Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Schéma normalizace Microsoft Sentinel síťových relací představuje aktivitu sítě PROTOKOLU IP, jako jsou síťová připojení a síťové relace. Takové události hlásí například operační systémy, směrovače, brány firewall a systémy pro prevenci neoprávněných vniknutí.
Schéma normalizace sítě může představovat jakýkoli typ síťové relace PROTOKOLU IP, ale je navržené tak, aby poskytovalo podporu pro běžné typy zdrojů, jako jsou netflow, brány firewall a systémy pro prevenci neoprávněných vniknutí.
Další informace o normalizaci v Microsoft Sentinel najdete v tématech Normalizace a Rozšířený model informací o zabezpečení (ASIM).
Analyzátory
Další informace o analyzátorech ASIM najdete v přehledu analyzátorů ASIM.
Sjednocující analyzátory
Pokud chcete použít analyzátory, které sjednotí všechny předpřipravené analyzátory ASIM a zajistí, aby vaše analýza běžela ve všech nakonfigurovaných zdrojích, použijte _Im_NetworkSession analyzátor.
Předefinované analyzátory specifické pro zdroj
Seznam analyzátorů síťových relací Microsoft Sentinel, které jsou k mání, najdete v seznamu analyzátorů ASIM.
Přidání vlastních normalizovaných analyzátorů
Při vývoji vlastních analyzátorů pro informační model síťové relace pojmenujte funkce KQL pomocí následující syntaxe:
-
vimNetworkSession<vendor><Product>pro parametrizované analyzátory -
ASimNetworkSession<vendor><Product>pro běžné analyzátory
Informace o přidání vlastních analyzátorů do síťové relace sjednocující analyzátory najdete v článku Správa analyzátorů ASIM .
Filtrování parametrů analyzátoru
Analyzátory síťových relací podporují parametry filtrování. I když jsou tyto parametry volitelné, můžou zvýšit výkon dotazů.
K dispozici jsou následující parametry filtrování:
| Name (Název) | Typ | Popis |
|---|---|---|
| Starttime | Datetime | Filtrování pouze síťových relací, které se spustily v nebo po této době. Tento parametr filtruje TimeGenerated pole, které je standardním designem pro čas události, bez ohledu na mapování polí EventStartTime a EventEndTime specifické pro analyzátor. |
| Endtime | Datetime | Filtrování pouze síťových relací, které začaly běžet v nebo před touto dobou. Tento parametr filtruje TimeGenerated pole, které je standardním designem pro čas události, bez ohledu na mapování polí EventStartTime a EventEndTime specifické pro analyzátor. |
| srcipaddr_has_any_prefix | Dynamické | Filtrovat pouze síťové relace, pro které je předpona pole zdrojové IP adresy v jedné z uvedených hodnot. Předpony by měly končit .na , například: 10.0.. Délka seznamu je omezená na 10 000 položek. |
| dstipaddr_has_any_prefix | Dynamické | Filtrovat pouze síťové relace, pro které je předpona pole cílové IP adresy v jedné z uvedených hodnot. Předpony by měly končit .na , například: 10.0.. Délka seznamu je omezená na 10 000 položek. |
| ipaddr_has_any_prefix | Dynamické | Filtrovat pouze síťové relace, pro které je pole cílové IP adresy nebo předpona pole zdrojové IP adresy v jedné z uvedených hodnot. Předpony by měly končit .na , například: 10.0.. Délka seznamu je omezená na 10 000 položek.Pole ASimMatchingIpAddr je nastaveno s jednou z hodnot SrcIpAddr, nebo Both tak, DstIpAddraby odráželo odpovídající pole nebo pole. |
| dstportnumber | Int | Filtrujte pouze síťové relace se zadaným cílovým číslem portu. |
| hostname_has_any | dynamic/string | Filtrovat pouze síťové relace, pro které pole názvu cílového hostitele obsahuje některou z uvedených hodnot. Délka seznamu je omezená na 10 000 položek. Pole ASimMatchingHostname je nastaveno s jednou z hodnot SrcHostname, nebo Both tak, DstHostnameaby odráželo odpovídající pole nebo pole. |
| dvcaction | dynamic/string | Filtrovat pouze síťové relace, pro které je pole Akce zařízení některou z uvedených hodnot. |
| eventresult | String | Filtrujte pouze síťové relace s konkrétní hodnotou EventResult . |
Některé parametry můžou přijímat jak seznam hodnot typu, dynamic tak jednu řetězcovou hodnotu. Chcete-li předat seznam literálů parametrům, které očekávají dynamickou hodnotu, explicitně použijte dynamický literál. Například: dynamic(['192.168.','10.'])
Pokud například chcete filtrovat jenom síťové relace pro zadaný seznam názvů domén, použijte:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
Tip
Chcete-li předat seznam literálů parametrům, které očekávají dynamickou hodnotu, explicitně použijte dynamický literál. Příklad: dynamic(['192.168.','10.']).
Normalizovaný obsah
Úplný seznam analytických pravidel, která používají normalizované události DNS, najdete v tématu Obsah zabezpečení síťové relace.
Přehled schématu
Model informací o síťové relaci je v souladu se schématem síťové entity OSSEM.
Schéma síťové relace obsluhuje několik typů podobných, ale jedinečných scénářů, které sdílejí stejná pole. Tyto scénáře jsou identifikovány polem EventType:
-
NetworkSession– síťová relace hlášená zprostředkujícím zařízením monitorujícím síť, například bránou firewall, směrovačem nebo síťovým klepnutím. -
L2NetworkSession– síťová relace, pro kterou jsou k dispozici pouze informace vrstvy 2. Tyto události budou zahrnovat adresy MAC, ale ne IP adresy. -
Flow– agregovaná událost, která hlásí několik podobných síťových relací, obvykle za předdefinované časové období, například události Netflow . -
EndpointNetworkSession– síťová relace hlášená jedním z koncových bodů relace, včetně klientů a serverů. U takových událostí schéma podporuje pole aliasůremotealocal. -
IDS– síťová relace nahlášená jako podezřelá. Taková událost bude mít vyplněná některá pole kontroly a může mít vyplněné jenom jedno pole IP adresy, zdroj nebo cíl.
Dotaz by obvykle měl vybrat jenom podmnožinu těchto typů událostí a může potřebovat řešit samostatně jedinečné aspekty případů použití. Například události IDS neodrážejí celý síťový objem a neměly by se brát v úvahu při analýze založené na sloupcích.
Události síťové relace používají popisovače Src a Dst označují role zařízení a souvisejících uživatelů a aplikací zapojených do relace. Například název hostitele zdrojového zařízení a IP adresa jsou pojmenované SrcHostname a SrcIpAddr. Jiná schémata ASIM obvykle používají Target místo Dst.
U událostí hlášených koncovým bodem, pro které je EndpointNetworkSessiontyp události , popisovače Local a Remote označují samotný koncový bod a zařízení na druhém konci síťové relace.
Popisovač Dvc se používá pro zařízení pro vytváření sestav, což je místní systém pro relace hlášené koncovým bodem, a zprostředkující zařízení nebo síťové klepnutí pro jiné události síťové relace.
Podrobnosti schématu
Běžná pole ASIM
Důležité
Pole společná pro všechna schémata jsou podrobně popsána v článku o společných polích ASIM .
Společná pole se specifickými pokyny
V následujícím seznamu jsou uvedena pole, která obsahují konkrétní pokyny pro události síťové relace:
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| Počet událostí | Povinné | Celé číslo | Zdroje Netflow podporují agregaci a pole EventCount by mělo být nastaveno na hodnotu pole Netflow FLOWS . U jiných zdrojů je hodnota obvykle nastavená na 1hodnotu . |
| Eventtype | Povinné | Výčtové | Popisuje scénář hlášený záznamem. Pro záznamy relací sítě jsou povolené hodnoty: - EndpointNetworkSession- NetworkSession - L2NetworkSession- IDS - FlowDalší informace o typech událostí najdete v přehledu schématu. |
| EventSubType | Nepovinný | Výčtové | Další popis typu události, pokud je k dispozici. Mezi podporované hodnoty záznamů síťových relací patří: - Start- EndToto pole není relevantní pro Flow události. |
| EventResult | Povinné | Výčtové | Pokud zdrojové zařízení neposkytuje výsledek události, hodnota EventResult by měla být založena na hodnotě DvcAction. Pokud je DenyDvcAction , Drop, Drop ICMP, ResetReset Source, neboReset DestinationHodnota EventResult by měla být Failure. Jinak by hodnota EventResult měla být Success. |
| EventResultDetails | Doporučené | Výčtové | Důvod nebo podrobnosti o výsledku hlášeného v poli EventResult Podporované hodnoty jsou: -Zabezpečení před selháním – Neplatný protokol TCP – Neplatný tunel – Maximální počet opakování -Obnovit – Problém se směrováním -Simulace -Ukončena -Časový limit – Přechodná chyba -Neznámý - Na. Původní hodnota specifická pro zdroj je uložena v poli EventOriginalResultDetails . |
| EventSchema | Povinné | Výčtové | Název zde popsaného schématu je NetworkSession. |
| EventSchemaVersion | Povinné | SchemaVersion (řetězec) | Verze schématu. Verze zde popsaného schématu je 0.2.7. |
| Akce DvcAction | Doporučené | Výčtové | Akce proběhla v síťové relaci. Podporované hodnoty jsou: - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNroutePoznámka: Hodnota může být ve zdrojovém záznamu zadaná pomocí různých termínů, které by měly být normalizovány na tyto hodnoty. Původní hodnota by měla být uložena v poli DvcOriginalAction . Například: drop |
| EventSeverity | Nepovinný | Výčtové | Pokud zdrojové zařízení neposkytuje závažnost události, měla by být hodnota EventSeverity založena na hodnotě DvcAction. Pokud je DenyDvcAction , Drop, Drop ICMP, ResetReset Source, neboReset DestinationHodnota EventSeverity by měla být Low. Jinak by hodnota EventSeverity měla být Informational. |
| DvcInterface | Pole DvcInterface by mělo aliasovat pole DvcInboundInterface nebo DvcOutboundInterface . | ||
| Pole Dvc | V případě událostí síťové relace pole zařízení odkazují na systém, který hlásí událost síťové relace. |
Všechna společná pole
Pole, která se zobrazují v následující tabulce, jsou společná pro všechna schémata ASIM. Všechny výše uvedené pokyny přepisují obecné pokyny pro dané pole. Pole může být například volitelné obecně, ale povinné pro konkrétní schéma. Další informace o jednotlivých polích najdete v článku o společných polích ASIM .
| Třída | Pole |
|---|---|
| Povinné |
-
Počet událostí - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Doporučené |
-
EventResultDetails - EventSeverity - Id události - DvcIpAddr - Název hostitele Dvc - Doména dvc - DvcDomainType - DvcFQDN - DvcId - DvcIdType - Akce DvcAction |
| Nepovinný |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Vlastník událostí - DvcZone - DvcMacAddr - DvcO - DvcOsVersion - DvcOriginalAction - DvcInterface - Další pole - Popis dvcDescription - DvcScopeId - DvcScope |
Pole síťové relace
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| NetworkApplicationProtocol | Nepovinný | String | Protokol aplikační vrstvy používaný připojením nebo relací. Hodnota by měla být všechna velká písmena. Například: FTP |
| NetworkProtocol | Nepovinný | Výčtové | Protokol IP používaný připojením nebo relací, jak je uvedeno v přiřazení protokolu IANA, což je obvykle TCP, UDPnebo ICMP.Například: TCP |
| NetworkProtocolVersion | Nepovinný | Výčtové | Verze NetworkProtocol. Pokud ji používáte k rozlišení mezi verzí PROTOKOLU IP, použijte hodnoty IPv4 a IPv6. |
| NetworkDirection | Nepovinný | Výčtové | Směr připojení nebo relace: – Pro EventType NetworkSession nebo FlowL2NetworkSessionpředstavuje NetworkDirection směr relativní k hranici organizace nebo cloudového prostředí. Podporované hodnoty jsou Inbound, OutboundLocal (pro organizaci), External (pro organizaci) nebo NA (Nelze použít).– Pro EventType EndpointNetworkSessionpředstavuje NetworkDirection směr relativní ke koncovému bodu. Podporované hodnoty jsou Inbound, Outbound, Local (pro systém) Listen nebo NA (Nejde použít). Hodnota Listen označuje, že zařízení začalo přijímat síťová připojení, ale ve skutečnosti není nutně připojené. |
| Doba trvání sítě | Nepovinný | Celé číslo | Doba v milisekundách pro dokončení síťové relace nebo připojení. Například: 1500 |
| Doba trvání | Alias | Alias na NetworkDuration. | |
| NetworkIcmpType | Nepovinný | String | U zprávy PROTOKOLU ICMP je název typu PROTOKOLU ICMP přidružený k číselné hodnotě, jak je popsáno v dokumentu RFC 2780 pro síťová připojení IPv4 nebo v RFC 4443 pro síťová připojení IPv6. Příklad: Destination Unreachable pro NetworkIcmpCode 3 |
| NetworkIcmpCode | Nepovinný | Celé číslo | Pro zprávu ICMP číslo kódu ICMP, jak je popsáno v dokumentu RFC 2780 pro síťová připojení IPv4 nebo v RFC 4443 pro síťová připojení IPv6. |
| NetworkConnectionHistory | Nepovinný | String | Příznaky protokolu TCP a další informace o potenciální hlavičce PROTOKOLU IP. |
| DstBytes | Doporučené | Dlouhé | Počet bajtů odeslaných z cíle do zdroje pro připojení nebo relaci. Pokud je událost agregovaná, hodnota DstBytes by měla být součtem všech agregovaných relací. Například: 32455 |
| SrcBytes | Doporučené | Dlouhé | Počet bajtů odeslaných ze zdroje do cíle pro připojení nebo relaci. Pokud je událost agregovaná, SrcBytes by měl být součet všech agregovaných relací. Například: 46536 |
| NetworkBytes | Nepovinný | Dlouhé | Počet bajtů odeslaných oběma směry Pokud bytesReceived a BytesSent existují, BytesTotal by se měl rovnat jejich součtu. Pokud je událost agregovaná, hodnota NetworkBytes by měla být součtem všech agregovaných relací. Například: 78991 |
| DstPackets | Nepovinný | Dlouhé | Počet paketů odeslaných z cíle do zdroje pro připojení nebo relaci. Význam paketu definuje zařízení pro vytváření sestav. Pokud je událost agregovaná, DstPackets by měl být součet všech agregovaných relací. Například: 446 |
| SrcPackety | Nepovinný | Dlouhé | Počet paketů odeslaných ze zdroje do cíle pro připojení nebo relaci. Význam paketu definuje zařízení pro vytváření sestav. Pokud je událost agregovaná, SrcPackets by měl být součet všech agregovaných relací. Například: 6478 |
| NetworkPackety | Nepovinný | Dlouhé | Počet paketů odeslaných v obou směrech. Pokud oba PacketsReceived a PacketsSent existují, PacketsTotal by se měl rovnat jejich součtu. Význam paketu definuje zařízení pro vytváření sestav. Pokud je událost agregovaná, networkpackety by měly být součtem všech agregovaných relací. Například: 6924 |
| NetworkSessionId | Nepovinný | řetězec | Identifikátor relace nahlášený zařízením pro vytváření sestav. Například: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| Sessionid | Alias | String | Alias pro NetworkSessionId. |
| TcpFlagsAck | Nepovinný | Boolean | Příznak TCP ACK byl nahlášen. Příznak potvrzení se používá k potvrzení úspěšného přijetí paketu. Jak je vidět z výše uvedeného diagramu, příjemce odešle ACK a SYN ve druhém kroku třícestného procesu metody handshake, aby odesílateli sdělil, že obdržel počáteční paket. |
| TcpFlagsFin | Nepovinný | Boolean | Příznak TCP FIN byl nahlášen. Příznak dokončeno znamená, že odesílatel nemá žádná další data. Proto se používá v posledním paketu odeslaném od odesílatele. |
| TcpFlagsSyn | Nepovinný | Boolean | Příznak TCP SYN byl nahlášen. Příznak synchronizace se používá jako první krok při vytváření trojcestné metody handshake mezi dvěma hostiteli. Tento příznak by měl mít nastavený pouze první paket od odesílatele i příjemce. |
| TcpFlagsUrg | Nepovinný | Boolean | Příznak TCP URG byl nahlášen. Příznak urgent se používá k upozornění příjemce, aby před zpracováním všech ostatních paketů zpracovali naléhavé pakety. Příjemce bude upozorněn na přijetí všech známých naléhavých dat. Další podrobnosti najdete v dokumentu RFC 6093 . |
| TcpFlagsPsh | Nepovinný | Boolean | Příznak PROTOKOLU TCP PSH byl nahlášen. Příznak nabízeného oznámení je podobný příznaku URG a říká příjemci, aby tyto pakety zpracovával při jejich přijetí místo ukládání do vyrovnávací paměti. |
| TcpFlagsRst | Nepovinný | Boolean | Příznak protokolu TCP RST byl nahlášen. Příznak resetování se odesílateli odešle při odeslání paketu na konkrétního hostitele, který ho neočekával. |
| TcpFlagsEce | Nepovinný | Boolean | Příznak ECE protokolu TCP byl nahlášen. Tento příznak je zodpovědný za indikování, jestli partnerský uzel TCP podporuje ECN. Další podrobnosti najdete v dokumentu RFC 3168 . |
| TcpFlagsCwr | Nepovinný | Boolean | Nahlášený příznak TCP CWR. Příznak omezení okna zahlcení používá odesílající hostitel k označení, že přijal paket s nastaveným příznakem ECE. Další podrobnosti najdete v dokumentu RFC 3168 . |
| TcpFlagsNs | Nepovinný | Boolean | Nahlášený příznak NS protokolu TCP. Příznak nonce sum je stále experimentální příznak, který pomáhá chránit před náhodným škodlivým skrytí paketů od odesílatele. Další podrobnosti najdete v DOKUMENTU RFC 3540 . |
Pole cílového systému
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| Dst | Alias | Jedinečný identifikátor serveru, který přijímá požadavek DNS. Toto pole může aliasovat pole DstDvcId, DstHostname nebo DstIpAddr . Například: 192.168.12.1 |
|
| DstIpAddr | Doporučené | IP adresa | IP adresa připojení nebo cíle relace. Pokud relace používá překlad síťových adres, DstIpAddr je veřejně viditelná adresa, a ne původní adresa zdroje, která je uložená v DstNatIpAddr.Například: 2001:db8::ff00:42:8329Poznámka: Tato hodnota je povinná, pokud je zadán DstHostname . |
| DstPortNumber | Nepovinný | Celé číslo | Cílový port IP. Například: 443 |
| DstHostname | Doporučené | Název hostitele (řetězec) | Název hostitele cílového zařízení s výjimkou informací o doméně. Pokud není k dispozici žádný název zařízení, uložte příslušnou IP adresu do tohoto pole. Například: DESKTOP-1282V4D |
| DstDomain | Doporučené | Doména (řetězec) | Doména cílového zařízení. Například: Contoso |
| DstDomainType | Podmíněné | Výčtové | Typ DstDomain. Seznam povolených hodnot a další informace najdete v tématu DomainType v článku Přehled schématu. Vyžaduje se, pokud se používá doména DstDomain . |
| DstFQDN | Nepovinný | Plně kvalifikovaný název domény (řetězec) | Název hostitele cílového zařízení, včetně informací o doméně, pokud jsou k dispozici. Například: Contoso\DESKTOP-1282V4D Poznámka: Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát windows doména\název hostitele. Typ DstDomainType odráží použitý formát. |
| DstDvcId | Nepovinný | String | ID cílového zařízení. Pokud je k dispozici více ID, použijte nejdůležitější id a ostatní uložte do polí DstDvc<DvcIdType>. Například: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | Nepovinný | String | ID oboru cloudové platformy, do které zařízení patří. DstDvcScopeId se mapuje na ID předplatného na Azure a na ID účtu v AWS. |
| DstDvcScope | Nepovinný | String | Rozsah cloudové platformy, do které zařízení patří. DstDvcScope se mapuje na ID předplatného na Azure a na ID účtu v AWS. |
| DstDvcIdType | Podmíněné | Výčtové | Typ DstDvcId. Seznam povolených hodnot a další informace najdete v tématu DvcIdType v článku Přehled schématu. Vyžaduje se, pokud se používá DstDeviceId . |
| DstDeviceType | Nepovinný | Výčtové | Typ cílového zařízení. Seznam povolených hodnot a další informace najdete v tématu DeviceType v článku Přehled schématu. |
| DstZone | Nepovinný | String | Síťová zóna cíle definovaná zařízením pro vytváření sestav. Například: Dmz |
| DstInterfaceName | Nepovinný | String | Síťové rozhraní používané pro připojení nebo relaci cílovým zařízením. Například: Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | Nepovinný | GUID (řetězec) | Identifikátor GUID síťového rozhraní použitého na cílovém zařízení Příklad: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | Nepovinný | Adresa MAC (řetězec) | Adresa MAC síťového rozhraní používaného pro připojení nebo relaci cílovým zařízením. Například: 06:10:9f:eb:8f:14 |
| DstVlanId | Nepovinný | String | ID sítě VLAN související s cílovým zařízením Například: 130 |
| OuterVlanId | Alias | Alias pro DstVlanId. V mnoha případech nejde síť VLAN určit jako zdroj nebo cíl, ale je charakterizována jako vnitřní nebo vnější. Tento alias znamená, že DstVlanId by se měl použít, pokud je síť VLAN charakterizována jako vnější. |
|
| DstGeoCountry | Nepovinný | Země | Země nebo oblast přidružená k cílové IP adrese. Další informace najdete v tématu Logické typy. Například: USA |
| Oblast DstGeo | Nepovinný | Oblasti | Oblast nebo stav přidružený k cílové IP adrese. Další informace najdete v tématu Logické typy. Například: Vermont |
| DstGeoCity | Nepovinný | Město | Město přidružené k cílové IP adrese. Další informace najdete v tématu Logické typy. Například: Burlington |
| DstGeoLatitude | Nepovinný | Šířky | Zeměpisná šířka zeměpisné souřadnice přidružené k cílové IP adrese. Další informace najdete v tématu Logické typy. Například: 44.475833 |
| DstGeoLongitude | Nepovinný | Délky | Zeměpisná délka zeměpisné souřadnice přidružené k cílové IP adrese. Další informace najdete v tématu Logické typy. Například: 73.211944 |
| Popis dstDescription | Nepovinný | String | Popisný text přidružený k zařízení Příklad: Primary Domain Controller. |
Pole cílového uživatele
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| DstUserId | Nepovinný | String | Strojově čitelná alfanumerická a jedinečná reprezentace cílového uživatele. Informace o podporovaném formátu pro různé typy ID najdete v entitě Uživatel. Například: S-1-12 |
| DstUserScope | Nepovinný | String | Obor, například Microsoft Entra tenant, ve kterém jsou definovány DstUserId a DstUsername. další informace a seznam povolených hodnot najdete v tématu UserScope v článku Přehled schématu. |
| DstUserScopeId | Nepovinný | String | ID oboru, například Microsoft Entra ID adresáře, ve kterém jsou definovány DstUserId a DstUsername. Další informace a seznam povolených hodnot najdete v tématu UserScopeId v článku Přehled schématu. |
| DstUserIdType | Podmíněné | UserIdType | Typ ID uloženého v poli DstUserId . Seznam povolených hodnot a další informace najdete v tématu UserIdType v článku Přehled schématu. |
| DstUsername | Nepovinný | Uživatelské jméno (řetězec) | Cílové uživatelské jméno, včetně informací o doméně, pokud jsou k dispozici. Informace o podporovaném formátu pro různé typy ID najdete v entitě Uživatel. Jednoduchý formulář použijte jenom v případě, že informace o doméně nejsou k dispozici. Typ uživatelského jména uložte do pole DstUsernameType . Pokud jsou k dispozici jiné formáty uživatelského jména, uložte je do polí DstUsername<UsernameType>.Například: AlbertE |
| Uživatele | Alias | Alias pro DstUsername. | |
| DstUsernameType | Podmíněné | Typ uživatelského jména | Určuje typ uživatelského jména uloženého v poli DstUsername . Seznam povolených hodnot a další informace najdete v tématu UsernameType v článku Přehled schématu. Například: Windows |
| DstUserType | Nepovinný | Typ uživatele | Typ cílového uživatele. Seznam povolených hodnot a další informace najdete v tématu UserType v článku Přehled schématu. Poznámka: Hodnota může být ve zdrojovém záznamu zadaná pomocí různých termínů, které by měly být normalizovány na tyto hodnoty. Původní hodnotu uložte do pole DstOriginalUserType . |
| DstOriginalUserType | Nepovinný | String | Původní cílový typ uživatele, pokud je zadaný zdrojem. |
Pole cílové aplikace
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| DstAppName | Nepovinný | String | Název cílové aplikace. Například: Facebook |
| Id aplikace DstApp | Nepovinný | String | ID cílové aplikace hlášené zařízením pro vytváření sestav. Pokud je ProcessDstAppType , DstAppId a DstProcessId měl by mít stejnou hodnotu.Například: 124 |
| Typ aplikace DstApp | Nepovinný | Typ aplikace | Typ cílové aplikace. Seznam povolených hodnot a další informace najdete v tématu AppType v článku Přehled schématu. Toto pole je povinné, pokud se používá DstAppName nebo DstAppId . |
| DstProcessName | Nepovinný | String | Název souboru procesu, který ukončil relaci sítě. Tento název se obvykle považuje za název procesu. Například: C:\Windows\explorer.exe |
| Proces | Alias | Alias pro DstProcessName Například: C:\Windows\System32\rundll32.exe |
|
| DstProcessId | Nepovinný | String | ID procesu (PID) procesu, který ukončil relaci sítě. Například: 48610176 Poznámka: Typ je definován jako řetězec pro podporu různých systémů, ale ve Windows a Linux musí být tato hodnota číselná. Pokud používáte počítač s Windows nebo Linux a používáte jiný typ, nezapomeňte hodnoty převést. Pokud jste například použili šestnáctkovou hodnotu, převeďte ji na desetinnou hodnotu. |
| DstProcessGuid | Nepovinný | String | Vygenerovaný jedinečný identifikátor (GUID) procesu, který ukončil relaci sítě. Například: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Pole zdrojového systému
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| Src | Alias | Jedinečný identifikátor zdrojového zařízení. Toto pole může aliasovat pole SrcDvcId, SrcHostname nebo SrcIpAddr . Například: 192.168.12.1 |
|
| SrcIpAddr | Doporučené | IP adresa | IP adresa, ze které pochází připojení nebo relace. Tato hodnota je povinná, pokud je zadána hodnota SrcHostname . Pokud relace používá překlad síťových adres, SrcIpAddr je veřejně viditelná adresa, a ne původní adresa zdroje, která je uložená v SrcNatIpAddr.Například: 77.138.103.108 |
| SrcPortNumber | Nepovinný | Celé číslo | Port IP, ze kterého pochází připojení. Nemusí být relevantní pro relaci obsahující více připojení. Například: 2335 |
| SrcHostname | Doporučené | Název hostitele (řetězec) | Název hostitele zdrojového zařízení s výjimkou informací o doméně. Pokud není k dispozici žádný název zařízení, uložte příslušnou IP adresu do tohoto pole. Například: DESKTOP-1282V4D |
| SrcDomain | Doporučené | Doména (řetězec) | Doména zdrojového zařízení. Například: Contoso |
| SrcDomainType | Podmíněné | Typ domény | Typ SrcDomain. Seznam povolených hodnot a další informace najdete v tématu DomainType v článku Přehled schématu. Vyžaduje se, pokud se používá doména SrcDomain . |
| SrcFQDN | Nepovinný | Plně kvalifikovaný název domény (řetězec) | Název hostitele zdrojového zařízení, včetně informací o doméně, pokud jsou k dispozici. Poznámka: Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát windows doména\název hostitele. Pole SrcDomainType odráží použitý formát. Například: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Nepovinný | String | ID zdrojového zařízení. Pokud je k dispozici více ID, použijte nejdůležitější id a ostatní uložte do polí SrcDvc<DvcIdType>.Například: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Nepovinný | String | ID oboru cloudové platformy, do které zařízení patří. SrcDvcScopeId se mapuje na ID předplatného na Azure a na ID účtu v AWS. |
| SrcDvcScope | Nepovinný | String | Rozsah cloudové platformy, do které zařízení patří. SrcDvcScope se mapuje na ID předplatného na Azure a na ID účtu v AWS. |
| SrcDvcIdType | Podmíněné | DvcIdType | Typ SrcDvcId. Seznam povolených hodnot a další informace najdete v tématu DvcIdType v článku Přehled schématu. Poznámka: Toto pole je povinné, pokud se používá SrcDvcId . |
| SrcDeviceType | Nepovinný | DeviceType | Typ zdrojového zařízení. Seznam povolených hodnot a další informace najdete v tématu DeviceType v článku Přehled schématu. |
| SrcZone | Nepovinný | String | Zóna sítě zdroje definovaná zařízením pro generování sestav. Například: Internet |
| SrcInterfaceName | Nepovinný | String | Síťové rozhraní používané pro připojení nebo relaci zdrojovým zařízením. Například: eth01 |
| SrcInterfaceGuid | Nepovinný | GUID (řetězec) | Identifikátor GUID síťového rozhraní použitého na zdrojovém zařízení Příklad: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | Nepovinný | Adresa MAC (řetězec) | Adresa MAC síťového rozhraní, ze kterého připojení nebo relace pochází. Například: 06:10:9f:eb:8f:14 |
| SrcVlanId | Nepovinný | String | ID sítě VLAN související se zdrojovým zařízením Například: 130 |
| InnerVlanId | Alias | Alias pro SrcVlanId. V mnoha případech nejde síť VLAN určit jako zdroj nebo cíl, ale je charakterizována jako vnitřní nebo vnější. Tento alias značí, že by se mělo použít SrcVlanId , pokud je síť VLAN charakterizována jako vnitřní. |
|
| SrcGeoCountry | Nepovinný | Země | Země nebo oblast přidružená ke zdrojové IP adrese. Například: USA |
| Oblast SrcGeo | Nepovinný | Oblasti | Oblast přidružená ke zdrojové IP adrese. Například: Vermont |
| SrcGeoCity | Nepovinný | Město | Město přidružené ke zdrojové IP adrese. Například: Burlington |
| SrcGeoLatitude | Nepovinný | Šířky | Zeměpisná šířka zeměpisné souřadnice přidružené ke zdrojové IP adrese. Například: 44.475833 |
| SrcGeoLongitude | Nepovinný | Délky | Zeměpisná délka zeměpisné souřadnice přidružené ke zdrojové IP adrese. Například: 73.211944 |
| Popis SrcDescription | Nepovinný | String | Popisný text přidružený k zařízení Příklad: Primary Domain Controller. |
Pole zdrojového uživatele
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| SrcUserId | Nepovinný | String | Strojově čitelná alfanumerická jedinečná reprezentace zdrojového uživatele. Informace o podporovaném formátu pro různé typy ID najdete v entitě Uživatel. Například: S-1-12 |
| SrcUserScope | Nepovinný | String | Obor, například Microsoft Entra tenant, ve kterém jsou definovány SrcUserId a SrcUsername. další informace a seznam povolených hodnot najdete v tématu UserScope v článku Přehled schématu. |
| SrcUserScopeId | Nepovinný | String | ID oboru, například Microsoft Entra ID adresáře, ve kterém jsou definovány SrcUserId a SrcUsername. Další informace a seznam povolených hodnot najdete v tématu UserScopeId v článku Přehled schématu. |
| SrcUserIdType | Podmíněné | UserIdType | Typ ID uloženého v poli SrcUserId . Seznam povolených hodnot a další informace najdete v tématu UserIdType v článku Přehled schématu. |
| SrcUsername | Nepovinný | Uživatelské jméno (řetězec) | Uživatelské jméno zdroje, včetně informací o doméně, pokud jsou k dispozici. Informace o podporovaném formátu pro různé typy ID najdete v entitě Uživatel. Jednoduchý formulář použijte jenom v případě, že informace o doméně nejsou k dispozici. Typ uživatelského jména uložte do pole SrcUsernameType . Pokud jsou k dispozici jiné formáty uživatelského jména, uložte je do polí SrcUsername<UsernameType>.Například: AlbertE |
| SrcUsernameType | Podmíněné | Typ uživatelského jména | Určuje typ uživatelského jména uloženého v poli SrcUsername . Seznam povolených hodnot a další informace najdete v tématu UsernameType v článku Přehled schématu. Například: Windows |
| SrcUserType | Nepovinný | Typ uživatele | Typ zdrojového uživatele. Seznam povolených hodnot a další informace najdete v tématu UserType v článku Přehled schématu. Poznámka: Hodnota může být ve zdrojovém záznamu zadaná pomocí různých termínů, které by měly být normalizovány na tyto hodnoty. Uložte původní hodnotu do pole SrcOriginalUserType . |
| SrcOriginalUserType | Nepovinný | String | Původní typ cílového uživatele, pokud je poskytován zařízením pro vytváření sestav. |
Pole zdrojové aplikace
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| SrcAppName | Nepovinný | String | Název zdrojové aplikace. Například: filezilla.exe |
| SrcAppId | Nepovinný | String | ID zdrojové aplikace hlášené zařízením pro vytváření sestav. Pokud je ProcessSrcAppType , SrcAppId a SrcProcessId měl by mít stejnou hodnotu.Například: 124 |
| SrcAppType | Nepovinný | Typ aplikace | Typ zdrojové aplikace. Seznam povolených hodnot a další informace najdete v tématu AppType v článku Přehled schématu. Toto pole je povinné, pokud se používá SrcAppName nebo SrcAppId . |
| SrcProcessName | Nepovinný | String | Název souboru procesu, který inicioval relaci sítě. Tento název se obvykle považuje za název procesu. Například: C:\Windows\explorer.exe |
| SrcProcessId | Nepovinný | String | ID procesu (PID) procesu, který inicioval relaci sítě. Například: 48610176 Poznámka: Typ je definován jako řetězec pro podporu různých systémů, ale ve Windows a Linux musí být tato hodnota číselná. Pokud používáte počítač s Windows nebo Linux a používáte jiný typ, nezapomeňte hodnoty převést. Pokud jste například použili šestnáctkovou hodnotu, převeďte ji na desetinnou hodnotu. |
| SrcProcessGuid | Nepovinný | String | Vygenerovaný jedinečný identifikátor (GUID) procesu, který inicioval relaci sítě. Například: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Místní a vzdálené aliasy
Všechna zdrojová a cílová pole uvedená výše můžou být volitelně aliasována poli se stejným názvem a popisovači Local a Remote. To je obvykle užitečné pro události hlášené koncovým bodem a pro které je EndpointNetworkSessiontyp události .
U takových událostí popisovače Local označují Remote samotný koncový bod a zařízení na druhém konci síťové relace. U příchozích připojení je cílem místní systém, Local pole jsou aliasy polí Dst a vzdálená pole jsou aliasy polí Src . Naopak u odchozích připojení je zdrojem místní systém, Local pole jsou aliasy Src polí a Remote pole aliasy polí Dst .
Například pro příchozí událost je pole LocalIpAddr aliasem pro DstIpAddr a pole RemoteIpAddr je aliasem pro SrcIpAddr.
Aliasy názvu hostitele a IP adres
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| Hostname | Alias | – Pokud je NetworkSessiontyp události , Flow nebo L2NetworkSession, název hostitele je alias pro DstHostname.– Pokud je EndpointNetworkSessiontyp události , hostname je alias pro RemoteHostname, který může aliasovat DstHostname nebo SrcHostName v závislosti na NetworkDirection. |
|
| IpAddr | Alias | – Pokud je NetworkSessiontyp události , Flow nebo L2NetworkSession, IpAddr je alias pro SrcIpAddr.– Pokud je EndpointNetworkSessiontyp události , IpAddr je alias pro LocalIpAddr, který může aliasovat buď SrcIpAddr , nebo DstIpAddr, v závislosti na NetworkDirection. |
Pole zprostředkující zařízení a překlad adres (NAT)
Následující pole jsou užitečná, pokud záznam obsahuje informace o zprostředkujícím zařízení, jako je brána firewall nebo proxy server, které předává síťovou relaci.
Zprostředkovatelské systémy často používají překlad adres, a proto původní adresa a adresa pozorovaná externě nejsou stejné. V takových případech primární pole adres, jako jsou SrcIPAddr a DstIpAddr , představují adresy zjištěné externě, zatímco pole adres PŘEKLADU adres , SrcNatIpAddr a DstNatIpAddr představují interní adresu původního zařízení před překladem.
Pole kontroly
Následující pole se používají k vyjádření kontroly, kterou provedlo bezpečnostní zařízení, jako je brána firewall, IPS nebo brána webového zabezpečení:
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| NetworkRuleName | Nepovinný | String | Název nebo ID pravidla, podle kterého byla akce DvcAction rozhodnuta. Například: AnyAnyDrop |
| NetworkRuleNumber | Nepovinný | Celé číslo | Číslo pravidla, podle kterého byla akce DvcAction rozhodována. Například: 23 |
| Pravidlo | Alias | String | Buď hodnotu NetworkRuleName nebo hodnotu NetworkRuleNumber. Pokud je použita hodnota NetworkRuleNumber , typ by měl být převeden na řetězec. |
| ThreatId | Nepovinný | String | ID hrozby nebo malwaru zjištěného v síťové relaci. Například: Tr.124 |
| ThreatName | Nepovinný | String | Název hrozby nebo malwaru zjištěného v síťové relaci. Například: EICAR Test File |
| ThreatCategory | Nepovinný | String | Kategorie hrozby nebo malwaru identifikované v síťové relaci. Například: Trojan |
| ThreatRiskLevel | Nepovinný | RiskLevel (integer) | Úroveň rizika přidružená k relaci. Úroveň by měla být číslo mezi 0 a 100. Poznámka: Hodnota může být ve zdrojovém záznamu poskytována pomocí jiného měřítka, které by mělo být normalizováno na toto měřítko. Původní hodnota by měla být uložena v ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Nepovinný | String | Úroveň rizika hlášená zařízením pro hlášení. |
| ThreatIpAddr | Nepovinný | IP adresa | IP adresa, pro kterou byla zjištěna hrozba. Pole ThreatField obsahuje název pole ThreatIpAddr představuje. |
| ThreatField | Podmíněné | Výčtové | Pole, pro které byla zjištěna hrozba. Hodnota je buď SrcIpAddr nebo DstIpAddr. |
| ThreatConfidence | Nepovinný | ConfidenceLevel (integer) | Úroveň spolehlivosti identifikované hrozby normalizovaná na hodnotu mezi 0 a 100. |
| ThreatOriginalConfidence | Nepovinný | String | Původní úroveň spolehlivosti zjištěné hrozby hlášená zařízením pro hlášení. |
| ThreatIsActive | Nepovinný | Boolean | Hodnota True, pokud je identifikovaná hrozba považována za aktivní hrozbu. |
| ThreatFirstReportedTime | Nepovinný | Datetime | První identifikace IP adresy nebo domény jako hrozby. |
| ThreatLastReportedTime | Nepovinný | Datetime | Čas, kdy byla IP adresa nebo doména naposledy identifikovány jako hrozba. |
Další pole
Pokud událost hlásí některý z koncových bodů síťové relace, může obsahovat informace o procesu, který relaci inicioval nebo ukončil. V takových případech se k normalizaci těchto informací používá schéma událostí procesu ASIM .
Aktualizace schématu
Níže jsou uvedené změny ve verzi 0.2.1 schématu:
- Přidání
SrcaDstjako aliasů k počátečnímu identifikátoru zdrojového a cílového systému - Přidání polí
NetworkConnectionHistory,SrcVlanId,DstVlanId,InnerVlanIdaOuterVlanId.
Níže jsou uvedené změny ve verzi 0.2.2 schématu:
- Přidání
Remotealiasů aLocal - Byl přidán typ
EndpointNetworkSessionudálosti . - Definované
HostnameaIpAddrjako aliasy proRemoteHostnameaLocalIpAddrv uvedeném pořadí, pokud jeEndpointNetworkSessiontyp události . - Definováno
DvcInterfacejako alias proDvcInboundInterfaceneboDvcOutboundInterface. - Změnil se typ následujících polí z Integer na Long:
SrcBytes,DstBytes,NetworkBytes,SrcPackets,DstPackets, aNetworkPackets. - Bylo přidáno pole
NetworkProtocolVersion. - Zastaralé
DstUserDomainaSrcUserDomain.
Ve verzi 0.2.3 schématu jsou uvedené následující změny:
- Přidání parametru
ipaddr_has_any_prefixfiltrování - Parametr
hostname_has_anyfiltrování teď odpovídá zdrojovým nebo cílovým názvům hostitelů. - Přidání polí
ASimMatchingHostnameaASimMatchingIpAddr.
Níže jsou uvedené změny ve verzi 0.2.4 schématu:
- Byla přidána
TcpFlagspole. - Aktualizace
NetworkIcpmTypeaNetworkIcmpCodetak, aby odrážela číselnou hodnotu obou. - Přidání dalších polí kontroly
- Pole ThreatRiskLevelOriginal bylo přejmenováno na
ThreatOriginalRiskLevelv souladu s konvencemi ASIM. Stávající analyzátory Microsoftu budou zachoványThreatRiskLevelOriginaldo 1. května 2023. - Označeno
EventResultDetailsjako doporučené a zadalo povolené hodnoty.
Níže jsou uvedené změny ve verzi 0.2.5 schématu:
- Přidání polí
DstUserScope,SrcUserScope, ,SrcDvcScopeId,SrcDvcScopeDstDvcScopeId,DstDvcScope, ,DvcScopeIdaDvcScope.
Níže jsou uvedené změny ve verzi 0.2.6 schématu:
- Přidání IDS jako typu události
Níže jsou uvedené změny ve verzi 0.2.7 schématu:
- Přidání polí
DstDescriptionaSrcDescription
Další kroky
Další informace najdete tady: