Referensi bidang skema umum Model Informasi Keamanan Lanjutan (ASIM) (pratinjau)
Beberapa bidang sudah umum untuk semua skema ASIM. Setiap skema mungkin menambahkan panduan untuk menggunakan beberapa bidang umum dalam konteks skema tertentu. Misalnya, nilai yang diizinkan untuk bidang EventType mungkin berbeda per skema, seperti halnya nilai bidang EventSchemaVersion.
Bidang Analisis Log Standar
Bidang berikut dihasilkan oleh Log Analytics, di sebagian besar kasus, untuk setiap rekaman. Bidang-bidang tersebut dapat diganti saat Anda membuat konektor khusus.
| Bidang | Jenis | Diskusi |
|---|---|---|
| TimeGenerated | tanggalwaktu | Waktu peristiwa dibuat oleh perangkat pelaporan. |
| _ResourceId | String | ID sumber daya Azure perangkat atau layanan pelaporan, atau ID sumber daya penerusan log untuk peristiwa yang diteruskan dengan menggunakan Syslog, CEF, atau WEF. _ResourceId tidak dibuat untuk sumber yang tidak memiliki konsep sumber daya, seperti Microsoft Defender untuk Titik Akhir dan akan mengosongkan peristiwa dari sumber ini. |
| Jenis | String | Tabel asli tempat catatan diambil. Bidang ini bermanfaat ketika kejadian yang sama dapat diterima melalui beberapa saluran ke tabel yang berbeda, dan memiliki nilai EventVendor dan EventProduct yang sama. Misalnya, peristiwa Sysmon dapat dikumpulkan ke tabel Event atau ke tabel WindowsEvent. |
Catatan
Analitik Log juga menambahkan bidang lain yang kurang relevan dengan kasus penggunaan keamanan. Untuk informasi selengkapnya, lihat Kolom standar di Log Azure Monitor.
Bidang ASIM umum
Bidang berikut ditentukan oleh ASIM untuk semua skema:
Bidang acara
| Bidang | Kelas | Jenis | Deskripsi |
|---|---|---|---|
| EventMessage | Opsional | String | Pesan atau deskripsi umum, baik yang disertakan atau dihasilkan dari rekaman. |
| EventCount | Wajib | Bilangan bulat | Jumlah peristiwa yang dijelaskan oleh rekaman. Nilai ini digunakan saat sumber mendukung agregasi, dan satu catatan mungkin mewakili beberapa peristiwa. Untuk sumber lain, atur ke 1. |
| EventStartTime | Wajib | Tanggal/Waktu | Waktu saat peristiwa dimulai. Jika sumber mendukung agregasi dan catatan mewakili beberapa peristiwa, waktu saat peristiwa pertama dibuat. Jika tidak disediakan oleh catatan sumber, bidang ini merupakan alias bidang TimeGenerated. |
| EventEndTime | Wajib | Tanggal/Waktu | Waktu saat peristiwa berakhir. Jika sumber mendukung agregasi dan catatan mewakili beberapa peristiwa, waktu saat peristiwa terakhir dibuat. Jika tidak disediakan oleh catatan sumber, bidang ini merupakan alias bidang TimeGenerated. |
| EventType | Wajib | Disebutkan | Menggambarkan operasi yang dilaporkan oleh catatan. Setiap skema mendokumentasikan daftar nilai yang valid untuk bidang ini. Nilai asli, spesifikasi sumber, disimpan dalam bidang EventOriginalType. |
| EventSubType | Opsional | Disebutkan | Penjelasan operasi subdivisi telah di laporkan di bidang EventType. Setiap skema mendokumentasikan daftar nilai yang valid untuk bidang ini. Nilai asli, spesifikasi sumber, disimpan dalam bidang EventOriginalSubType. |
| EventResult | Wajib | Disebutkan | Satu dari nilai berikut: Sukses, Sebagian, Gagal, NA (Tidak berlaku). Nilai mungkin diberikan dalam catatan sumber dengan menggunakan istilah yang berbeda, yang harus dinormalisasikan ke nilai-nilai ini. Atau, sumber mungkin hanya menyediakan bidang EventResultDetails, yang harus dianalisis untuk memperoleh nilai EventResult. Contoh: Success |
| EventResultDetails | Disarankan | Disebutkan | Alasan atau detail hasil yang dilaporkan di EventResult. Setiap skema mendokumentasikan daftar nilai yang valid untuk bidang ini. Nilai asli, spesifikasi sumber, disimpan dalam bidang EventOriginalResultDetails. Contoh: NXDOMAIN |
| EventOriginalUid | Opsional | String | ID unik dari rekaman asli, jika disediakan oleh sumbernya. Contoh: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | Opsional | String | Jenis acara asli atau ID, jika disediakan oleh sumber. Misalnya, bidang ini akan digunakan untuk menyimpan ID acara Windows asli. Nilai ini digunakan untuk mendapatkan EventType, yang seharusnya hanya memiliki salah satu nilai yang didokumentasikan untuk setiap skema. Contoh: 4624 |
| EventOriginalSubType | Opsional | String | Subjenis atau ID peristiwa asli, jika disediakan oleh sumbernya. Misalnya, bidang ini akan digunakan untuk menyimpan jenis logon Windows asli. Nilai ini digunakan untuk mendapatkan EventSubType, yang seharusnya hanya memiliki salah satu nilai yang didokumentasikan untuk setiap skema. Contoh: 2 |
| EventOriginalResultDetails | Opsional | String | Detail hasil asli disediakan oleh sumber. Nilai ini digunakan untuk memperoleh EventResultDetails, yang seharusnya hanya memiliki satu nilai yang didokumentasikan untuk setiap skema. |
| EventSeverity | Disarankan | Disebutkan | Tingkat keparahan peristiwa. Nilai yang valid adalah: Informational, Low, Medium, atau High. |
| EventOriginalSeverity | Opsional | String | Tingkat keparahan asli seperti yang disediakan oleh perangkat pelaporan. Nilai ini digunakan untuk mendapatkan EventSeverity. |
| EventProduct | Wajib | String | Produk yang menghasilkan peristiwa. Nilai harus menjadi salah satu nilai yang tercantum dalam Vendor dan Produk. Contoh: Sysmon |
| EventProductVersion | Opsional | String | Versi produk yang menghasilkan peristiwa. Contoh: 12.1 |
| EventVendor | Wajib | String | Vendor dari produk yang menghasilkan peristiwa. Nilai harus menjadi salah satu nilai yang tercantum dalam Vendor dan Produk. Contoh: Microsoft |
| EventSchema | Wajib | String | Skema acara dinormalisasi. Setiap skema mendokumentasikan nama skemanya. |
| EventSchemaVersion | Wajib | String | Versi skema. Setiap skema mendokumentasikan versinya saat ini. |
| EventReportUrl | Opsional | String | URL yang disediakan dalam peristiwa untuk sumber daya yang memberikan informasi lebih lanjut tentang peristiwa tersebut. |
Bidang perangkat
Peran bidang perangkat berbeda untuk skema dan jenis peristiwa yang berbeda. Misalnya, untuk skema Sesi Jaringan, bidang perangkat menyediakan informasi tentang perangkat yang menghasilkan peristiwa, sementara untuk skema Peristiwa Proses, bidang perangkat memberikan informasi mengenai perangkat tempat proses dijalankan. Setiap dokumen skema menentukan peran perangkat untuk skema tersebut.
| Bidang | Kelas | Jenis | Deskripsi |
|---|---|---|---|
| Dvc | Wajib | String | Pengenal unik perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut, tergantung pada skemanya. Bidang ini mungkin alias bidang DvcFQDN, DvcId, DvcHostname, atau DvcIpAddr. Untuk sumber cloud, yang tidak memiliki perangkat yang jelas, gunakan nilai yang sama dengan bidang EventProduct. |
| DvcIpAddr | Disarankan | Alamat IP | Alamat IP perangkat tempat terjadinya peristiwa atau yang melaporkan peristiwa tersebut, bergantung pada skema. Contoh: 45.21.42.12 |
| DvcHostname | Disarankan | Nama host | Nama host perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut, tergantung pada skemanya. Contoh: ContosoDc |
| DvcDomain | Disarankan | String | Domain perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut, tergantung pada skemanya. Contoh: Contoso |
| DvcDomainType | Disarankan | Disebutkan | Jenis DvcDomain. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DomainType. Catatan: Bidang ini diperlukan jika bidang DvcDomain digunakan. |
| DvcFQDN | Opsional | String | Nama host perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut, tergantung pada skemanya. Contoh: Contoso\DESKTOP-1282V4DCatatan: Bidang ini mendukung format FQDN tradisional dan format domain\hostname Windows. Bidang DvcDomainType mencerminkan format yang digunakan. |
| DvcDescription | Opsional | String | Teks deskriptif yang terkait dengan perangkat. Contoh: Primary Domain Controller. |
| DvcId | Opsional | String | ID unik perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut, tergantung pada skemanya. Contoh: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| DvcIdType | Opsional | Disebutkan | Jenis DvcId. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DvcIdType. - MDEidJika beberapa ID tersedia, gunakan yang pertama dari daftar, dan simpan yang lain dengan menggunakan nama bidang masing-masing DvcAzureResourceId dan DvcMDEid. Catatan: Bidang ini diperlukan jika bidang DvcId digunakan. |
| DvcMacAddr | Opsional | MAC | Alamat MAC perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut. Contoh: 00:1B:44:11:3A:B7 |
| DvcZone | Opsional | String | Jaringan tempat peristiwa terjadi atau yang melaporkan peristiwa, tergantung pada skemanya. Zona ini ditentukan oleh perangkat pelaporan. Contoh: Dmz |
| DvcOs | Opsional | String | Sistem operasi yang berjalan pada perangkat tempat terjadinya peristiwa atau yang melaporkan peristiwa tersebut. Contoh: Windows |
| DvcOsVersion | Opsional | String | Versi sistem operasi pada perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut. Contoh: 10 |
| DvcAction | Disarankan | String | Untuk melaporkan sistem keamanan, tindakan yang diambil oleh sistem, jika ada. Contoh: Blocked |
| DvcOriginalAction | Opsional | String | DvcAction asli seperti yang disediakan oleh perangkat pelaporan. |
| DvcInterface | Opsional | String | Antarmuka jaringan tempat data diambil. Bidang ini biasanya relevan dengan aktivitas terkait jaringan yang diambil oleh perangkat perantara atau perangkat tap. |
| DvcSubscriptionId | Opsional | String | ID langganan platform cloud milik perangkat. DvcSubscriptionId memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
Bidang lainnya
Vendor dan produk
Untuk menjaga konsistensi, daftar vendor dan produk yang diizinkan ditetapkan sebagai bagian dari ASIM, dan mungkin tidak secara langsung sesuai dengan nilai yang dikirim oleh sumber, jika tersedia.
Daftar vendor dan produk yang saat ini didukung yang digunakan di masing-masing bidang EventVendor dan EventProduct adalah:
| Vendor | Produk |
|---|---|
| AWS | - CloudTrail - VPC |
| Cisco | - ASA Umbrella |
| Corelight | Zeek |
| GCP | DNS Cloud |
| Infoblox | NIOS |
| Microsoft | - AAD - Azure Firewall - Azure File Storage - alur Azure NSG - Server DNS - Pertahanan Microsoft 365 untuk Titik Akhir - Microsoft Defender untuk IoT - Peristiwa Keamanan - Sharepoint 365 - Sysmon - Sysmon untuk Linux - VMConnection - Windows Firewall - WireData |
| Okta | - Okta - Auth0 |
| Palo Alto | - PanOS - CDL |
| PostgreSQL | PostgreSQL |
| Squid | Proksi Squid |
| Vectra AI | Vectra Steam |
| WatchGuard | Fireware |
| Zscaler | - DNS ZIA - Firewall ZIA - Proksi ZIA |
Jika Anda mengembangkan pengurai untuk vendor atau produk yang tidak tercantum di sini, hubungi tim Microsoft Sentinel untuk mengalokasikan vendor dan perancang produk baru yang diizinkan.
Langkah berikutnya
Untuk informasi selengkapnya, lihat: