Schema di normalizzazione della rete di Microsoft Sentinel (versione legacy - Anteprima pubblica)
Lo schema di normalizzazione di rete viene usato per descrivere gli eventi di rete segnalati e viene usato da Microsoft Sentinel per abilitare l'analisi unificata.
Per altre informazioni, vedere Normalizzazione e Advanced Security Information Model (ASIM).
Importante
Questo articolo è correlato alla versione 0.1 dello schema di normalizzazione di rete, rilasciato come anteprima prima che ASIM fosse disponibile. La versione 0.2.x dello schema di normalizzazione di rete è allineata con ASIM e offre altri miglioramenti.
Per altre informazioni, vedere Differenze tra le versioni dello schema di normalizzazione di rete
Terminologia
La terminologia seguente viene usata negli schemi di Microsoft Sentinel:
| Termine | Definizione |
|---|---|
| Dispositivo per la creazione di report | Il sistema invia i record a Microsoft Sentinel. Potrebbe non essere il sistema soggetto del record. |
| Record | Unità di dati inviati dal dispositivo di segnalazione. Questa unità di dati viene spesso definita log, evento alert, ma può avere anche altri tipi. |
Tipi di dati e formati
La tabella seguente fornisce indicazioni per la normalizzazione dei valori di dati, necessari per i campi normalizzati e consigliati per altri campi.
| Tipo di dati | Tipo fisico | Formato e valore |
|---|---|---|
| Data/Ora | Una delle opzioni seguenti, a seconda della funzionalità del metodo di inserimento usata, in priorità decrescente:
|
Rappresentazione datetime di Log Analytics. La rappresentazione di data e ora di Log Analytics è simile alla natura, ma diversa dalla rappresentazione dell'ora Unix. Fare riferimento a queste linee guida per la conversione. La data e l'ora devono essere modificate per i fusi orari. |
| Indirizzo MAC | String | Notazione colon-esadecimale |
| Indirizzo IP | Indirizzo IP | Lo schema non dispone di indirizzi IPv4 e IPv6 separati. Qualsiasi campo indirizzo IP può includere un indirizzo IPv4 o un indirizzo IPv6:
|
| Utente | String | Sono disponibili i 3 campi utente seguenti:
|
| ID utente | String | Sono attualmente supportati i 2 ID utente seguenti:
|
| Dispositivo | String | Sono supportate le 3 colonne di dispositivo/host seguenti:
|
| Paese/area geografica | String | Stringa che usa ISO 3166-1, in base alle priorità seguenti:
|
| Area | String | Nome della suddivisione paese/area geografica con ISO 3166-2 |
| Città | String | |
| Longitudine | Double | Rappresentazione delle coordinate ISO 6709 (decimale con segno) |
| Latitudine | Double | Rappresentazione delle coordinate ISO 6709 (decimale con segno) |
| Algoritmo hash | String | Sono supportate le 4 colonne hash seguenti:
|
| Tipo di file | String | Tipo di file:
|
Schema della tabella sessioni di rete
Di seguito è riportato lo schema della tabella delle sessioni di rete, con versione 1.0.0
| Nome del campo | Tipo di valore | Esempio | Descrizione | Entità OSSEM associate |
|---|---|---|---|---|
| EventType | String | Traffico | Tipo di evento da raccogliere | Event |
| EventSubType | String | Autenticazione | Descrizione aggiuntiva del tipo, se applicabile | Event |
| EventCount | Intero | 10 | Numero di eventi aggregati, se applicabile. | Event |
| EventEndTime | Data/ora | Vedere "tipi di dati" | Ora in cui l'evento è terminato | Event |
| EventMessage | string | accesso negato | Messaggio o descrizione generale, incluso in o generato dal record | Event |
| DvcIpAddr | Indirizzo IP | 23.21.23.34 | Indirizzo IP del dispositivo che genera il record | Dispositivo IP |
| DvcMacAddr | String | 06:10:9f:eb:8f:14 | Indirizzo MAC dell'interfaccia di rete del dispositivo di report da cui è stato inviato l'evento. | Dispositivo Mac |
| DvcHostname | Nome dispositivo (stringa) | syslogserver1.contoso.com | Nome del dispositivo che genera il messaggio. | Dispositivo |
| EventProduct | String | OfficeSharepoint | Prodotto che genera l'evento. | Event |
| EventProductVersion | string | 9.0 | Versione del prodotto che genera l'evento. | Event |
| EventResourceId | ID dispositivo (stringa) | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeee4e4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | ID risorsa del dispositivo che genera il messaggio. | Event |
| EventReportUrl | String | https://192.168.1.1/repoerts/ae3-56.htm | Collegamento al report completo creato dal dispositivo di report | Event |
| EventVendor | String | Microsoft | Fornitore del prodotto che genera l'evento. | Event |
| EventResult | Multivalore: Success, Partial, Failure, [Empty] (String) | Success | Risultato segnalato per l'attività. Valore vuoto se non applicabile. | Event |
| EventResultDetails | String | Password errata | Motivo o dettagli per il risultato segnalato in EventResult | Event |
| EventSchemaVersion | Reale | 0.1 | Versione dello schema di Microsoft Sentinel. Attualmente 0.1. | Event |
| EventSeverity | String | Basso | Se l'attività segnalata ha un impatto sulla sicurezza, indica la gravità dell'impatto. | Event |
| EventOriginalUid | String | af6ae8fe-ff43-4a4c-b537-8635976a2b51 | ID del record dal dispositivo di report. | Event |
| EventStartTime | Data/ora | Vedere "tipi di dati" | Ora in cui l'evento ha dichiarato | Event |
| TimeGenerated | Data/ora | Vedere "tipi di dati" | Ora in cui si è verificato l'evento, come segnalato dall'origine report. | Campo personalizzato |
| EventTimeIngested | Data/ora | Vedere "tipi di dati" | Ora in cui l'evento è stato inserito in Microsoft Sentinel. Verrà aggiunto da Microsoft Sentinel. | Event |
| EventUid | Guid (string) | 516a64e3-8360-4f1e-a67c-d96b3d52df54 | Identificatore univoco usato da Microsoft Sentinel per contrassegnare una riga. | Event |
| NetworkApplicationProtocol | String | HTTPS | Protocollo del livello applicazione usato dalla connessione o dalla sessione. | Rete |
| DstBytes | int | 32455 | Numero di byte inviati dalla destinazione all'origine per la connessione o la sessione. | Destinazione |
| SrcBytes | int | 46536 | Numero di byte inviati dall'origine alla destinazione per la connessione o la sessione. | Origine |
| NetworkBytes | int | 78991 | Numero di byte inviati in entrambe le direzioni. Se esistono sia BytesReceived che BytesSent, BytesTotal deve essere uguale alla somma. | Rete |
| NetworkDirection | Multivalore: in ingresso, in uscita (stringa) | In entrata | Direzione della connessione o della sessione, all'interno o all'esterno dell'organizzazione. | Rete |
| DstGeoCity | String | Burlington | Città associata all'indirizzo IP di destinazione | Destinazione Area geografica |
| DstGeoCountry | Country (String) | USA | Paese/area geografica associato all'indirizzo IP di origine | Destinazione Area geografica |
| DstDvcHostname | Nome dispositivo (Stringa) | victim_pc | Nome del dispositivo di destinazione | Destinazione Dispositivo |
| DstDvcFqdn | String | victim_pc.contoso.local | Nome di dominio completo dell'host in cui è stato creato il log | Destinazione Dispositivo |
| DstDomainHostname | string | CONTOSO | Dominio della destinazione, Dominio dell'host di destinazione (sito Web, nome di dominio e così via), ad esempio per ricerche DNS o ricerche NS | Destinazione |
| DstInterfaceName | string | Scheda di rete Microsoft Hyper-V | Interfaccia di rete usata per la connessione o la sessione dal dispositivo di destinazione. | Destinazione |
| DstInterfaceGuid | string | 2BB33827-6BB6-48DB-8DE6-DB9E0B9F9C9B | GUID dell'interfaccia di rete usata per la richiesta di autenticazione | Destinazione |
| DstIpAddr | Indirizzo IP | 2001:db8::ff00:42:8329 | L'indirizzo IP della destinazione della connessione o della sessione, noto più comunemente come IP di destinazione nel pacchetto di rete | Destinazione IP |
| DstDvcIpAddr | Indirizzo IP | 75.22.12.2 | Indirizzo IP di destinazione di un dispositivo non direttamente associato al pacchetto di rete | Destinazione Dispositivo IP |
| DstGeoLatitude | Latitudine (double) | 44.475833 | Latitudine della coordinata geografica associata all'indirizzo IP di destinazione | Destinazione Area geografica |
| DstMacAddr | String | 06:10:9f:eb:8f:14 | L'indirizzo MAC dell'interfaccia di rete in cui la connessione o la sessione è stata terminata, in genere denominata MAC di destinazione nel pacchetto di rete | Destinazione MAC |
| DstDvcMacAddr | String | 06:10:9f:eb:8f:14 | Indirizzo MAC di destinazione di un dispositivo non direttamente associato al pacchetto di rete. | Destinazione Dispositivo MAC |
| DstDvcDomain | String | CONTOSO | Dominio del dispositivo di destinazione. | Destinazione Dispositivo |
| DstPortNumber | Intero | 443 | Porta IP di destinazione. | Destinazione Porta |
| DstGeoRegion | Region (String) | Vermont | Area associata all'indirizzo IP di destinazione | Destinazione Area geografica |
| DstResourceId | ID dispositivo (stringa) | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeee4e4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /victim | ID risorsa del dispositivo di destinazione. | Destinazione |
| DstNatIpAddr | Indirizzo IP | 2::1 | Se segnalato da un dispositivo NAT intermedio, ad esempio un firewall, l'indirizzo IP usato dal dispositivo NAT per la comunicazione con l'origine. | NAT di destinazione, IP |
| DstNatPortNumber | int | 443 | Se segnalato da un dispositivo NAT intermedio, ad esempio un firewall, la porta usata dal dispositivo NAT per la comunicazione con l'origine. | NAT di destinazione, Porta |
| DstUserSid | SID utente | S-12-1445 | ID utente dell'identità associata alla destinazione della sessione. In genere, l'identità usata per autenticare un server. Per altre informazioni, vedere Tipi di dati e formati. | Destinazione User |
| DstUserAadId | Stringa (guid) | ae92b0b4-digitata-4b42-85a0-fbd862f4df54 | ID oggetto dell'account Microsoft Entra dell'utente alla fine della sessione di destinazione | Destinazione User |
| DstUserName | Nome utente (stringa) | johnd | Nome utente dell'identità associata alla destinazione della sessione. | Destinazione User |
| DstUserUpn | string | johnd@anon.com | UPN dell'identità associata alla destinazione della sessione. | Destinazione User |
| DstUserDomain | string | GRUPPO DI LAVORO | Nome di dominio o computer dell'account nella destinazione della sessione | Destinazione User |
| DstZone | String | Dmz | Zona di rete della destinazione, come definito dal dispositivo di report. | Destinazione |
| DstGeoLongitude | Longitudine (double) | -73.211944 | Longitudine della coordinata geografica associata all'indirizzo IP di destinazione | Destinazione Area geografica |
| DvcAction | Multivalore: Allow, Deny, Drop (string) | Consenti | Se segnalato da un dispositivo intermedio, ad esempio un firewall, l'azione eseguita dal dispositivo. | Dispositivo |
| DvcInboundInterface | String | eth0 | Se segnalato da un dispositivo intermedio, ad esempio un firewall, l'interfaccia di rete usata da essa per la connessione al dispositivo di origine. | Dispositivo |
| DvcOutboundInterface | String | Scheda Ethernet Ethernet 4 | Se segnalato da un dispositivo intermedio, ad esempio un firewall, l'interfaccia di rete usata da essa per la connessione al dispositivo di destinazione. | Dispositivo |
| NetworkDuration | Intero | 1500 | Quantità di tempo, in millisecondo, per il completamento della sessione di rete o della connessione | Rete |
| NetworkIcmpCode | Intero | 34 | Per un messaggio ICMP, il valore numerico del tipo di messaggio ICMP (RFC 2780 o RFC 4443). | Rete |
| NetworkIcmpType | String | Destinazione non raggiungibile | Per un messaggio ICMP, rappresentazione testuale del tipo di messaggio ICMP (RFC 2780 o RFC 4443). | Rete |
| DstPackets | int | 446 | Numero di pacchetti inviati dalla destinazione all'origine per la connessione o la sessione. Il significato di un pacchetto è definito dal dispositivo di report. | Destinazione |
| SrcPackets | int | 6478 | Numero di pacchetti inviati dall'origine alla destinazione per la connessione o la sessione. Il significato di un pacchetto è definito dal dispositivo di report. | Origine |
| NetworkPackets | int | 0 | Numero di pacchetti inviati in entrambe le direzioni. Se sono presenti sia PacketsReceived che PacketsSent, BytesTotal deve essere uguale alla somma. | Rete |
| HttpRequestTime | Intero | 700 | Quantità di tempo necessaria per inviare la richiesta al server, se applicabile. | Http |
| HttpResponseTime | Intero | 800 | Quantità di tempo necessaria per ricevere una risposta nel server, se applicabile. | Http |
| NetworkRuleName | String | AnyAnyDrop | Nome o ID della regola in base al quale DeviceAction è stato deciso | Rete |
| NetworkRuleNumber | int | 23 | Numero di regola corrispondente | Rete |
| NetworkSessionId | string | 172_12_53_32_4322__123_64_207_1_80 | Identificatore di sessione segnalato dal dispositivo di report. Ad esempio, identificatore di sessione L7 per applicazioni specifiche che seguono l'autenticazione | Rete |
| SrcGeoCity | String | Burlington | Città associata all'indirizzo IP di origine | Fonte Area geografica |
| SrcGeoCountry | Country (String) | USA | Paese/area geografica associato all'indirizzo IP di origine | Fonte Area geografica |
| SrcDvcHostname | Nome dispositivo (Stringa) | furfante | Nome del dispositivo di origine | Fonte Dispositivo |
| SrcDvcFqdn | string | Villain.malicious.com | Nome di dominio completo dell'host in cui è stato creato il log | Fonte Dispositivo |
| SrcDvcDomain | string | EVILORG | Dominio del dispositivo da cui è stata avviata la sessione | Fonte Dispositivo |
| SrcDvcOs | String | iOS | Sistema operativo del dispositivo di origine | Fonte Dispositivo |
| SrcDvcModelName | String | Samsung Galaxy Note | Nome del modello del dispositivo di origine | Fonte Dispositivo |
| SrcDvcModelNumber | String | 10.0 | Numero di modello del dispositivo di origine | Fonte Dispositivo |
| SrcDvcType | String | Dispositivi mobili | Tipo del dispositivo di origine | Fonte Dispositivo |
| SrcInterfaceName | String | eth01 | Interfaccia di rete usata per la connessione o la sessione dal dispositivo di origine. | Origine |
| SrcInterfaceGuid | String | 46ad544b-eaf0-47ef-827c-266030f545a6 | GUID dell'interfaccia di rete usata | Origine |
| SrcIpAddr | Indirizzo IP | 77.138.103.108 | Indirizzo IP da cui ha avuto origine la connessione o la sessione. | Fonte IP |
| SrcDvcIpAddr | Indirizzo IP | 77.138.103.108 | L'indirizzo IP di origine di un dispositivo non direttamente associato al pacchetto di rete (raccolto da un provider o calcolato in modo esplicito). | Fonte Dispositivo IP |
| SrcGeoLatitude | Latitudine (double) | 44.475833 | Latitudine della coordinata geografica associata all'indirizzo IP di origine | Fonte Area geografica |
| SrcGeoLongitude | Longitudine (double) | -73.211944 | Longitudine della coordinata geografica associata all'indirizzo IP di origine | Fonte Area geografica |
| SrcMacAddr | String | 06:10:9f:eb:8f:14 | Indirizzo MAC dell'interfaccia di rete da cui ha avuto origine la sessione di connessione od. | Fonte Mac |
| SrcDvcMacAddr | String | 06:10:9f:eb:8f:14 | Indirizzo MAC di origine di un dispositivo non direttamente associato al pacchetto di rete. | Fonte Dispositivo Mac |
| SrcPortNumber | Intero | 2335 | Porta IP da cui ha avuto origine la connessione. Potrebbe non essere rilevante per una sessione che comprende più connessioni. | Fonte Porta |
| SrcGeoRegion | Region (String) | Vermont | L'area all'interno di un paese/area geografica associata all'indirizzo IP di origine | Fonte Area geografica |
| SrcResourceId | String | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeee4e4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | ID risorsa del dispositivo che genera il messaggio. | Origine |
| SrcNatIpAddr | Indirizzo IP | 4.3.2.1 | Se segnalato da un dispositivo NAT intermedio, ad esempio un firewall, l'indirizzo IP usato dal dispositivo NAT per la comunicazione con la destinazione. | NAT di origine, IP |
| SrcNatPortNumber | Intero | 345 | Se segnalato da un dispositivo NAT intermedio, ad esempio un firewall, la porta usata dal dispositivo NAT per la comunicazione con la destinazione. | NAT di origine, Porta |
| SrcUserSid | ID utente (stringa) | S-15-1445 | ID utente dell'identità associata all'origine delle sessioni. In genere, l'utente esegue un'azione sul client. Per altre informazioni, vedere Tipi di dati e formati. | Fonte User |
| SrcUserAadId | Stringa (guid) | 16c8752c-7dd2-4cad-9e03-fb5d1cee5477 | ID oggetto dell'account Microsoft Entra dell'utente alla fine della sessione | Fonte User |
| SrcUserName | Nome utente (stringa) | bob | Nome utente dell'identità associata all'origine delle sessioni. In genere, l'utente esegue un'azione sul client. Per altre informazioni, vedere Tipi di dati e formati. | Origine User |
| SrcUserUpn | string | bob@alice.com | UPN dell'account che avvia la sessione | Fonte User |
| SrcUserDomain | string | DESKTOP | Dominio per l'account che avvia la sessione | Fonte User |
| SrcZone | String | Tocco | Zona di rete dell'origine, come definito dal dispositivo di report. | Origine |
| NetworkProtocol | String | TCP | Protocollo IP utilizzato dalla connessione o dalla sessione. In genere, TCP, UDP o ICMP | Rete |
| CloudAppName | String | Nome dell'applicazione di destinazione per un'applicazione HTTP identificata da un proxy. | Cloud | |
| CloudAppId | String | 124 | ID dell'applicazione di destinazione per un'applicazione HTTP identificata da un proxy. Questo valore è in genere specifico del proxy usato. | Cloud |
| CloudAppOperation | String | DeleteFile | Operazione eseguita dall'utente nel contesto dell'applicazione di destinazione per un'applicazione HTTP identificata da un proxy. Questo valore è in genere specifico del proxy usato. | Cloud |
| CloudAppRiskLevel | String | 3 | Livello di rischio associato a un'applicazione HTTP identificato da un proxy. Questo valore è in genere specifico del proxy usato. | Cloud |
| FileName | String | ImNotMalicious.exe | Nome file trasmesso sulle connessioni di rete per i protocolli, ad esempio FTP e HTTP, che forniscono le informazioni sul nome file. | file |
| FilePath | String | C:\Dannoso\ImNotMalicious.exe | Percorso completo, incluso il nome file, del file | file |
| FileHashMd5 | String | 51BC68715FC7C109DCEA406B42D9D78F | Valore hash MD5 del file trasmesso tramite le connessioni di rete per i protocolli. | file |
| FileHashSha1 | String | 491AE3... C299821476F4 | Valore hash SHA1 del file trasmesso tramite le connessioni di rete per i protocolli. | file |
| FileHashSha256 | String | 9B8F8EDB... C129976F03 | Valore hash SHA256 del file trasmesso tramite le connessioni di rete per i protocolli. | file |
| FileHashSha512 | String | 5E127D... F69F73F01F361 | Valore hash SHA512 del file trasmesso tramite le connessioni di rete per i protocolli. | file |
| FileExtension | String | exe | Tipo del file trasmesso tramite le connessioni di rete per protocolli come FTP e HTTP. | file |
| FileMimeType | String | application/msword | Tipo MIME del file trasmesso tramite le connessioni di rete per protocolli quali FTP e HTTP | file |
| FileSize | Intero | 23500 | Dimensioni del file, in byte, del file trasmesso tramite le connessioni di rete per i protocolli. | file |
| HttpVersion | String | 2.0 | Versione della richiesta HTTP per le connessioni di rete HTTP/HTTPS. | Http |
| HttpRequestMethod | String | GET | Metodo HTTP per le sessioni di rete HTTP/HTTPS. | Http |
| HttpStatusCode | String | 404 | Codice di stato HTTP per le sessioni di rete HTTP/HTTPS. | Http |
| HttpContentType | String | multipart/form-data; boundary=something | Intestazione del tipo di contenuto risposta HTTP per le sessioni di rete HTTP/HTTPS. | Http |
| HttpReferrerOriginal | String | https://developer.mozilla.org/en-US/docs/Web/JavaScript | Intestazione del referrer HTTP per le sessioni di rete HTTP/HTTPS. | Http |
| HttpUserAgentOriginal | String | Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, come Gecko) Chrome/83.0.4103.97 Safari/537.36 | Intestazione dell'agente utente HTTP per le sessioni di rete HTTP/HTTPS. | Http |
| HttpRequestXff | String | 120.12.41.1 | Intestazione HTTP X-Forwarded-For per le sessioni di rete HTTP/HTTPS. | Http |
| UrlCategory | String | Motori di ricerca | Raggruppamento definito di un URL, possibilmente basato sul dominio nell'URL, correlato al contenuto. Ad esempio: adulti, notizie, pubblicità, domini parcheggiati e così via. | URL. |
| UrlOriginal | String | https:// contoso.com/fo/?k=v&q=u#f | URL della richiesta HTTP per le sessioni di rete HTTP/HTTPS. | Url |
| UrlHostname | String | contoso.com | Parte del dominio di un URL di richiesta HTTP per le sessioni di rete HTTP/HTTPS. | Url |
| ThreatCategory | String | Trojan | La categoria di una minaccia identificata da un sistema di sicurezza, ad esempio gateway di sicurezza Web di un IPS, è associata a questa sessione di rete. | Minaccia |
| ThreatId | String | Tr.124 | L'ID di una minaccia identificata da un sistema di sicurezza, ad esempio il gateway di sicurezza Web di un IPS, ed è associato a questa sessione di rete. | Minaccia |
| ThreatName | String | EICAR Test File | Nome della minaccia o del malware identificato | Minaccia |
| Campi aggiuntivi | Dinamico (contenitore JSON) | { Property1: "val1", Property2: "val2" } |
Quando nessuna colonna corrispondente nello schema corrisponde, è possibile archiviare altri campi in un contenitore JSON. Per l'analisi in fase di query, è consigliabile promuovere colonne aggiuntive anziché usare un contenitore JSON come compressione dei dati nel codice JSON consentirà di ridurre le prestazioni delle query. |
Campo personalizzato |
Differenze tra la versione 0.1 e la versione 0.2
La versione originale dello schema di normalizzazione della sessione di rete di Microsoft Sentinel, versione 0.1, è stata rilasciata come anteprima prima che ASIM fosse disponibile.
Le differenze tra la versione 0.1, documentata in questo articolo e la versione 0.2.x includono:
- Nella versione 0.2, i nomi di parser specifici dell'origine e unificati sono stati modificati in modo che siano conformi a una convenzione di denominazione ASIM standard.
- La versione 0.2 aggiunge linee guida specifiche e parser unificanti per supportare tipi di dispositivi specifici.
Le sezioni seguenti descrivono le differenze tra la versione 0.2.x e i campi specifici.
Aggiunta di campi nella versione 0.2
I campi seguenti sono stati aggiunti nella versione 0.2.x e non esistono nella versione 0.1:
- DstAppType
- DstDeviceType
- DstDomainType
- DstDvcId
- DstDvcIdType
- DstOriginalUserType
- DstUserIdType
- DstUsernameType
- DstUserType
- DvcActionOriginal
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcIdType
- EventOriginalSeverity
- EventOriginalType
- SrcAppId
- SrcAppName
- SrcAppType
- SrcDeviceType
- SrcDomainType
- SrcDvcId
- SrcDvcIdType
- SrcOriginalUserType
- SrcUserIdType
- SrcUsernameType
- SrcUserType
- ThreatRiskLevelOriginal
- Url
Nuovi campi con alias nella versione 0.2
I campi seguenti sono ora alias nella versione 0.2.x con l'introduzione di ASIM:
| Campo nella versione 0.1 | Alias nella versione 0.2 |
|---|---|
| SessionId | NetworkSessionId |
| Durata | NetworkDuration |
| IpAddr | SrcIpAddr |
| User | DstUsername |
| Hostname (Nome host) | DstHostname |
| UserAgent | HttpUserAgent |
Campi modificati nella versione 0.2
I campi seguenti vengono enumerati nella versione 0.2.x e richiedono un valore specifico da un elenco fornito.
- EventType
- EventResultDetails
- EventSeverity
Campi rinominati nella versione 0.2
I campi seguenti sono stati rinominati nella versione 0.2.x:
Nella versione 0.2 usare i campi predefiniti di Log Analytics:
Si noti che
ingestion_time()è una funzione KQL e non un nome di campo.Campo nella versione 0.1 Rinominato nella versione 0.2 EventResourceId _ResourceId EventUid _ItemId EventTimeIngested ingestion_time() Rinominato per allinearsi ai miglioramenti in ASIM e OSSEM:
Campo nella versione 0.1 Rinominato nella versione 0.2 HttpReferrerOriginal HttpReferrer HttpUserAgentOriginal HttpUserAgent Rinominato in modo da riflettere che la destinazione della sessione di rete non deve essere un servizio cloud:
Campo nella versione 0.1 Rinominato nella versione 0.2 CloudAppId DstAppId CloudAppName DstAppName CloudAppRiskLevel ThreatRiskLevel Rinominato per modificare il caso e allinearlo alla gestione ASIM dell'entità utente:
Campo nella versione 0.1 Rinominato nella versione 0.2 DstUserName DstUsername SrcUserName SrcUsername Rinominato in modo da allinearsi meglio all'entità dispositivo ASIM e consentire id risorsa diversi da quelli di Azure:
Campo nella versione 0.1 Rinominato nella versione 0.2 DstResourceId SrcDvcAzureResourceId SrcResourceId SrcDvcAzureResourceId Rinominata per rimuovere la stringa dai nomi dei campi, poiché la
Dvcgestione nella versione 0.1 non è coerente:Campo nella versione 0.1 Rinominato nella versione 0.2 DstDvcDomain DstDomain DstDvcFqdn DstFqdn DstDvcHostname DstHostname SrcDvcDomain SrcDomain SrcDvcFqdn SrcFqdn SrcDvcHostname SrcHostname Rinominato in allineamento con le linee guida per la rappresentazione dei file ASIM:
Campo nella versione 0.1 Rinominato nella versione 0.2 FileHashMd5 FileMD5 FileHashSha1 FileSHA1 FileHashSha256 FileSHA256 FileHashSha512 FileSHA512 FileMimeType FileContentType
Campi rimossi nella versione 0.2
I campi seguenti esistono solo nella versione 0.1 e sono stati rimossi nella versione 0.2.x:
| Motivo | Campi rimossi |
|---|---|
Rimosso perché esistono duplicati, senza la Dvc stringa nel nome del campo |
- DstDvcIpAddr - DstDvcMacAddr - SrcDvcIpAddr - SrcDvcMacAddr |
| Rimosso per allinearsi alla gestione ASIM degli URL | - UrlHostname |
| Rimosso perché questi campi non vengono in genere forniti come parte degli eventi della sessione di rete. Se un evento include questi campi, usare lo schema process event per comprendere come descrivere le proprietà del dispositivo. |
- SrcDvcOs - SrcDvcModelName - SrcDvcModelNumber - DvcMacAddr - DvcOs |
| Rimosso per allinearsi alle linee guida per la rappresentazione dei file ASIM | - FilePath - FileExtension |
| Rimosso come questo campo indica che deve essere usato uno schema diverso, ad esempio lo schema di autenticazione. | - CloudAppOperation |
Rimosso come duplicato DstHostname |
- DstDomainHostname |
Passaggi successivi
Per altre informazioni, vedi:
- Normalizzazione in Microsoft Sentinel
- Informazioni di riferimento sullo schema di normalizzazione dell'autenticazione di Microsoft Sentinel (anteprima pubblica)
- Riferimento allo schema di normalizzazione degli eventi di file di Microsoft Sentinel (anteprima pubblica)
- Informazioni di riferimento sullo schema di normalizzazione DNS di Microsoft Sentinel
- Riferimento allo schema di normalizzazione degli eventi di processo di Microsoft Sentinel
- Riferimento allo schema di normalizzazione degli eventi del Registro di sistema di Microsoft Sentinel (anteprima pubblica)