某些欄位適用於所有 ASIM 結構描述。 每個結構描述可能會新增在特定結構描述內容中,使用一些常見欄位的指導方針。 例如,EventType 欄位允許的值可能會因結構描述而有所不同,因為 EventSchemaVersion 欄位的值可能會有所不同。
標準 Log Analytics 欄位
在大部分情況下,Log Analytics 會針對每個記錄產生下列字段。 當您 建立自定義連接器時,可以覆寫它們。
| 欄位 | 類型 | 討論 |
|---|---|---|
| 生成時間 | 日期/時間 | 報告裝置產生事件的時間。 |
| 型別 | 繩子 | 從中擷取記錄的原始數據表。 當可以透過多個通道接收到不同數據表的相同事件,而且具有相同 的 EventVendor 和 EventProduct 值時,此字段就很有用。 例如,可以將 Sysmon 事件收集到 Event 數據表或 WindowsEvent 數據表。 |
注意
Log Analytics 也會新增其他與安全性使用案例較不相關的字段。 如需詳細資訊,請參閱 Azure 監視器記錄中的標準數據行。
一般 ASIM 欄位
下列欄位是由 ASIM 針對所有架構所定義:
事件欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 事件消息 | 選擇性 | 繩子 | 包含在記錄中或從記錄產生的一般訊息或描述。 |
| EventCount 事件計數 | 必要 | 整數 | 記錄所描述的事件數目。 當來源支持匯總,而單一記錄可能會代表多個事件時,就會使用此值。 若為其他來源,請將 設定為 1。 |
| EventStartTime 事件開始時間 | 必要 | 日期時間 | 事件開始的時間。 如果來源支持匯總,且記錄代表多個事件,則會產生第一個事件的時間。 如果源記錄未提供,此字段會別名 TimeGenerated 字段。 |
| EventEndTime 事件結束時間 | 必要 | 日期時間 | 事件結束的時間。 如果來源支持匯總,且記錄代表多個事件,則會產生最後一個事件的時間。 如果源記錄未提供,此字段會別名 TimeGenerated 字段。 |
| EventType 事件類型 | 必要 | 列舉 | 描述記錄所報告的作業。 每個架構都會記錄此欄位的有效值清單。 原始的來源特定值會儲存在 EventOriginalType 欄位中。 |
| 事件子類型 | 選擇性 | 列舉 | 描述 EventType 欄位中所報告的作業細分。 每個架構都會記錄此欄位的有效值清單。 原始的來源特定值會儲存在 EventOriginalSubType 字段中。 |
| EventResult 事件結果 | 必要 | 列舉 | 下列其中一個值: Success、 Partial、 Failure、 NA (不適用)。 此值可能會在來源記錄中使用不同字詞提供,應將其正規化為這些值。 或者,來源可能只 提供 EventResultDetails 字段,應該加以分析以衍生 EventResult 值。 範例: Success |
| EventResultDetails 事件結果詳細資訊 | 建議需求 | 列舉 | EventResult 字段中所報告結果的原因或詳細數據。 每個架構都會記錄此欄位的有效值清單。 原始的來源特定值會儲存在 EventOriginalResultDetails 欄位中。 範例: NXDOMAIN |
| EventUid 事件 | 建議需求 | 繩子 | 記錄的唯一標識碼,由Microsoft Sentinel 指派。 此欄位通常對應至 _ItemId Log Analytics 欄位。 |
| 事件原創 | 選擇性 | 繩子 | 如果來源提供,則為原始記錄的唯一標識符。 範例: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| 事件原始類型 | 選擇性 | 繩子 | 來源所提供的原始事件類型或標識碼。 例如,此欄位用來儲存原始的 Windows 事件識別碼。 這個值是用來衍生 EventType,每個架構應該只有一個記錄的值。 範例: 4624 |
| EventOriginalSubType 事件原始子類型 | 選擇性 | 繩子 | 如果來源提供,則為原始事件子類型或標識符。 例如,此欄位是用來儲存原始 Windows 登入類型。 這個值是用來衍生 EventSubType,每個架構應該只記錄其中一個值。 範例: 2 |
| EventOriginalResult詳細資料 | 選擇性 | 繩子 | 來源所提供的原始結果詳細數據。 這個值是用來衍生 EventResultDetails,每個架構應該只記錄其中一個值。 |
| EventSeverity 事件嚴重性 | 建議需求 | 列舉 | 事件的嚴重性。 有效值為:Informational、、LowMedium、 或 High。 |
| EventOriginalSeverity 事件 | 選擇性 | 繩子 | 報告裝置所提供的原始嚴重性。 這個值是用來衍生 EventSeverity。 |
| 活動產品 | 必要 | 繩子 | 產生事件的產品。 此值應該是廠商和產品中列出的其中一個值。 範例: Sysmon |
| 事件產品版本 | 選擇性 | 繩子 | 產生事件的產品版本。 範例: 12.1 |
| EventVendor 事件供應商 | 必要 | 繩子 | 產生事件的產品的廠商。 此值應該是廠商和產品中列出的其中一個值。 範例: Microsoft |
| 事件架構 | 必要 | 列舉 | 事件正規化的架構。 每個架構都會記錄其架構名稱。 |
| EventSchemaVersion 事件架構版本 | 必要 | SchemaVersion(字串) | 結構描述的版本。 每個架構都會記錄其目前版本。 |
| 事件報告網址 | 選擇性 | 網址(字串) | 事件中提供的 URL,此資源會提供事件的詳細資訊。 |
| EventOwner 事件擁有者 | 選擇性 | 繩子 | 事件的擁有者,通常是產生事件的部門或子公司。 |
裝置欄位
不同架構和事件類型的裝置欄位角色不同。 例如:
- 針對網路會話事件,裝置欄位通常會提供產生事件之裝置的相關信息
- 針對 [處理] 事件,裝置欄位會提供執行進程之裝置上的資訊。
每個架構檔都會指定架構裝置的角色。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| DVC (視頻) | 暱稱 | 繩子 | 發生事件或報告事件之裝置的唯一標識符,視架構而定。 此欄位可能會將 DvcFQDN、DvcId、DvcHostname 或 DvcIpAddr 字段別名。 針對沒有明顯裝置的雲端來源,請使用與 [事件產品] 欄位相同的值。 |
| DvcIpAddr | 建議需求 | IP 位址 | 發生事件或報告事件之裝置的IP位址,視架構而定。 範例: 45.21.42.12 |
| Dvc主機名 | 建議需求 | 主機名稱 | 發生事件或報告事件的裝置主機名,視架構而定。 範例: ContosoDc |
| Dvc域 | 建議需求 | 域(字串) | 發生事件或報告事件之裝置的網域,視架構而定。 範例: Contoso |
| Dvc網域類型 | 條件 | 列舉 | DvcDomain 的類型。 如需允許值和進一步資訊的清單,請參閱 DomainType。 注意:如果使用 DvcDomain 字段,則需要此欄位。 |
| DvcFQDN | 選擇性 | FQDN(字串) | 發生事件或報告事件的裝置主機名,視架構而定。 範例: Contoso\DESKTOP-1282V4D注意:此欄位同時支持傳統的 FQDN 格式和 Windows 網域\主機名格式。 DvcDomainType 字段會反映所使用的格式。 |
| Dvc描述 | 選擇性 | 繩子 | 與裝置相關聯的描述性文字。 例如: Primary Domain Controller 。 |
| DVCID | 選擇性 | 繩子 | 發生事件或報告事件之裝置的唯一標識符,視架構而定。 範例: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| DvcId類型 | 條件 | 列舉 |
DvcId 的類型。 如需允許值和進一步資訊的清單,請參閱 DvcIdType。 - MDEid如果有多個標識碼可用,請使用清單中的第一個標識符,並使用功能變數名稱 DvcAzureResourceId 和 DvcMDEid 分別儲存其他識別碼。 注意:如果使用 DvcId 字段,則需要此欄位。 |
| DvcMacAddr | 選擇性 | MAC 位址 | 發生事件或報告事件裝置的 MAC 位址,視結構描述而定。 範例: 00:1B:44:11:3A:B7 |
| Dvc區域 | 選擇性 | 繩子 | 發生事件或報告事件裝置的網路,視結構描述而定。 區域由報告裝置定義。 範例: Dmz |
| DvcOS | 選擇性 | 繩子 | 在發生事件或報告事件裝置的作業系統執行。 範例: Windows |
| DvcOs版本 | 選擇性 | 繩子 | 在發生事件或報告事件裝置的作業系統版本。 範例: 10 |
| Dvc動作 | 選擇性 | 繩子 | 針對報告安全性系統,如果適用,則為系統所採取的動作。 範例: Blocked |
| DvcOriginal動作 | 選擇性 | 繩子 | 報告裝置所提供原始的 DvcAction。 |
| Dvc介面 | 選擇性 | 繩子 | 擷取資料的網路介面。 此字段通常與中繼或點選裝置所擷取的網路相關活動相關。 |
| DvcScopeID | 選擇性 | 繩子 | 裝置所屬的雲端平台範圍識別碼。 DvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及對應至 AWS 上的帳戶標識碼。 |
| Dvc範圍 | 選擇性 | 繩子 | 裝置所屬的雲端平台範圍。 DvcScope 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
其他欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 附加欄位 | 選擇性 | 動態 | 如果您的來源提供值得保留的其他資訊,請保留原始功能變數名稱,或建立動態 AdditionalFields 欄位,並將額外的資訊新增為索引鍵/值組。 |
架構更新
- 欄位
EventOwner已於 2022 年 12 月 1 日新增至通用欄位,因此已新增至所有架構。 - 欄位
EventUid已於 2022 年 12 月 26 日新增至通用欄位,因此已新增至所有架構。
廠商和產品
為了維持一致性,允許的廠商和產品清單會設定為 ASIM 的一部分,而且可能無法在可用時直接對應至來源所傳送的值。
EventVendor 和 EventProduct 字段中目前支援的廠商和產品清單分別為:
| 廠商 | 產品 |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- Microsoft Entra 識別符 - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for Linux- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
如果要為此處未列出的供應商或產品開發分析程式,請聯繫 Microsoft Sentinel 團隊以分配新的允許的供應商和產品指示符。
下一步
如需詳細資訊,請參閱