Freigeben über


Referenz zum Schema für die Netzwerksitzungsnormalisierung des erweiterten Sicherheitsinformationsmodells (ADVANCED Security Information Model, ASIM) (öffentliche Vorschau)

Das Normalisierungsschema der Microsoft Sentinel-Netzwerksitzung stellt eine IP-Netzwerkaktivität dar, z. B. Netzwerkverbindungen und Netzwerksitzungen. Solche Ereignisse werden beispielsweise von Betriebssystemen, Routern, Firewalls und Intrusion-Prevention-Systemen gemeldet.

Das Netzwerknormalisierungsschema kann zwar jede Art von IP-Netzwerksitzung darstellen, ist jedoch auf die Unterstützung gängiger Quelltypen wie Netflow, Firewalls und Intrusion-Prevention-Systeme ausgelegt.

Weitere Informationen zur Normalisierung in Microsoft Sentinel finden Sie unter Normalisierung und erweitertes Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM).

In diesem Artikel wird die Version 0.2.x des Netzwerknormalisierungsschemas beschrieben. Die Version 0.1 wurde veröffentlicht, bevor ASIM verfügbar war, und ist an mehreren Stellen nicht auf ASIM abgestimmt. Weitere Informationen finden Sie unter Unterschiede zwischen Versionen der Netzwerknormalisierungsschemas.

Wichtig

Das Netzwerknormalisierungsschema befindet sich derzeit in der Vorschauphase. Dieses Feature wird ohne Vereinbarung zum Servicelevel bereitgestellt. Sie sollte nicht für Produktionsworkloads verwendet werden.

In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Parser

Weitere Informationen zu ASIM-Parsern finden Sie in der Übersicht über ASIM-Parser.

Vereinheitlichende Parsern

Um Parser zu verwenden, die alle bereits integrierten ASIM-Parser vereinheitlichen, und sicherzustellen, dass ihre Analyse über alle konfigurierten Quellen hinweg ausgeführt wird, verwenden Sie den Filterparser _Im_NetworkSession oder den parameterlosen Parser _ASim_NetworkSession.

Sie können auch vom Arbeitsbereich bereitgestellte ImNetworkSession- und ASimNetworkSession-Parser verwenden, indem Sie sie aus dem Microsoft Sentinel GitHub-Repository bereitstellen.

Weitere Informationen finden Sie unter Integrierte ASIM-Parser und im Arbeitsbereich bereitgestellte Parser.

Vorkonfigurierte, quellspezifische Parser

Die Liste der Netzwerksitzungsparser, die Microsoft Sentinel einsatzbereit zur Verfügung stellt, finden Sie in der ASIM-Parserliste

Hinzufügen eigener normalisierter Parser

Wenn Sie benutzerdefinierte Parser für das Netzwerksitzungs-Informationsmodell entwickeln, benennen Sie Ihre KQL-Funktionen anhand der folgenden Syntax:

  • vimNetworkSession<vendor><Product> für parametrisierte Parser
  • ASimNetworkSession<vendor><Product> für reguläre Parser

Im Artikel Verwalten von ASIM-Parsern erfahren Sie, wie Sie Ihre benutzerdefinierten Parser der Netzwerksitzung hinzufügen, die Parser vereinheitlicht.

Filtern von Parser-Parametern

Die Netzwerksitzungsparser unterstützen Filterparameter. Diese Parser sind optional, können aber die Abfrageleistung verbessern.

Die folgenden Filterparameter sind verfügbar:

Name Typ Beschreibung
StartTime datetime Filtern Sie nur Netzwerksitzungen, die zu oder nach diesem Zeitpunkt gestartet wurden.
EndTime datetime Filtern Sie nur Netzwerksitzungen, deren Ausführung zu oder nach diesem Zeitpunkt begonnen hat.
srcipaddr_has_any_prefix dynamisch Filtern Sie nur Netzwerksitzungen, deren Präfix des Felds für die Quell-IP-Adresse in einem der aufgeführten Werte enthalten ist. Präfixe müssen mit einem Punkt (.) enden. Beispiel: 10.0. Die Länge der Liste ist auf 10.000 Elemente beschränkt.
dstipaddr_has_any_prefix dynamisch Filtern Sie nur Netzwerksitzungen, deren Präfix des Felds für die Ziel-IP-Adresse in einem der aufgeführten Werte enthalten ist. Präfixe müssen mit einem Punkt (.) enden. Beispiel: 10.0. Die Länge der Liste ist auf 10.000 Elemente beschränkt.
ipaddr_has_any_prefix dynamisch Filtern Sie nur Netzwerksitzungen, deren Präfix des Felds für die Ziel-IP-Adresse oder des Felds für die Quell-IP-Adresse in einem der aufgeführten Werte enthalten ist. Präfixe müssen mit einem Punkt (.) enden. Beispiel: 10.0. Die Länge der Liste ist auf 10.000 Elemente beschränkt.

Das Feld ASimMatchingIpAddr wird mit einem der Werte SrcIpAddrDstIpAddr, oder Both festgelegt, um die übereinstimmenden Felder oder Felder widerzuspiegeln.
dstportnumber Int Filtern Sie nur Netzwerksitzungen mit der angegebenen Zielportnummer.
hostname_has_any dynamic/string Filtern Sie nur Netzwerksitzungen, bei denen das Feld für den Zielhostnamen einen der aufgeführten Werte enthält. Die Länge der Liste ist auf 10.000 Elemente beschränkt.

Das Feld ASimMatchingHostname wird mit einem der Werte SrcHostnameDstHostname, oder Both festgelegt, um die übereinstimmenden Felder oder Felder widerzuspiegeln.
dvcaction dynamic/string Filtern Sie nur Netzwerksitzungen, bei denen das Geräteaktionsfeld einen der aufgeführten Werte enthält.
eventresult String Filtern Sie nur Netzwerksitzungen mit einem bestimmten Wert für EventResult.

Einige Parameter können sowohl eine Liste von Werten des Typs dynamic als auch einen einzelnen Zeichenfolgenwert akzeptieren. Um eine Literalliste an Parameter zu übergeben, die einen dynamischen Wert erwarten, verwenden Sie explizit ein dynamisches Literal. Beispiel: dynamic(['192.168.','10.'])

Verwenden Sie beispielsweise Folgendes, um ausschließlich Netzwerksitzungen für eine angegebenen Liste von Domänennamen zu filtern:

let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)

Tipp

Um eine Literalliste an Parameter zu übergeben, die einen dynamischen Wert erwarten, verwenden Sie explizit ein dynamisches Literal. Beispiel: dynamic(['192.168.','10.']).

Normalisierter Inhalt

Eine vollständige Liste der Analyseregeln, die normalisierte DNS-Ereignisse verwenden, finden Sie unter Sicherheitsinhalte für Netzwerksitzungen.

Schemaübersicht

Das Netzwerksitzungsinformationsmodell ist auf das OSSEM-Netzwerkentitätsschema ausgerichtet.

Das Netzwerksitzungsschema bietet mehrere Arten ähnlicher, aber doch unterschiedlicher Szenarien, die dieselben Felder verwenden. Diese Szenarien werden durch das Feld EventType identifiziert:

  • NetworkSession – eine Netzwerksitzung, die von einem Zwischengerät gemeldet wird, das das Netzwerk überwacht, z. B. eine Firewall, ein Router oder ein Tap für ein Netzwerk.
  • L2NetworkSession – Netzwerksitzungen, für die nur Informationen der Ebene 2 verfügbar sind. Solche Ereignisse umfassen MAC-Adressen, aber keine IP-Adressen.
  • Flow – ein aggregiertes Ereignis, das mehrere ähnliche Netzwerksitzungen meldet, in der Regel über einen vordefinierten Zeitraum, z. B. Netflow-Ereignisse.
  • EndpointNetworkSession – eine Netzwerksitzung, die von einem der Endpunkte der Sitzung gemeldet wird, einschließlich Clients und Servern. Für solche Ereignisse unterstützt das Schema die Aliasfelder remote und local.
  • IDS – eine Netzwerksitzung, die als verdächtig gemeldet wird. Bei einem solchen Ereignis werden einige der Prüffelder und möglicherweise nur ein IP-Adressfeld ausgefüllt, entweder die Quelle oder das Ziel.

In der Regel sollte eine Abfrage nur eine Teilmenge dieser Ereignistypen auswählen und muss möglicherweise einzelne Aspekte der Anwendungsfälle separat behandeln. IDS-Ereignisse spiegeln beispielsweise nicht das gesamte Netzwerkvolumen wider und sollten bei spaltenbasierten Analysen nicht berücksichtigt werden.

Netzwerksitzungsereignisse verwenden die Deskriptoren Src und Dst, um die Rollen der Geräte und der zugehörigen Benutzer und Anwendungen, die an der Sitzung beteiligt sind, zu bezeichnen. So werden beispielsweise der Hostname und die IP-Adresse des Quellgeräts mit SrcHostname und SrcIpAddr bezeichnet. Andere ASIM-Schemata verwenden in der Regel Target anstelle von Dst.

Bei Ereignissen, die von einem Endpunkt gemeldet werden und bei denen der Ereignistyp EndpointNetworkSession ist, bezeichnen die Deskriptoren Local und Remote den Endpunkt selbst bzw. das Gerät am anderen Ende der Netzwerksitzung.

Der Deskriptor Dvc wird für das Berichterstellungsgerät verwendet. Dabei handelt es sich um das lokale System für Sitzungen, die von einem Endpunkt gemeldet werden, und für das Zwischengerät oder den Netzwerk-TAP für andere Netzwerksitzungsereignisse.

Schemadetails

Allgemeine ASIM-Felder

Wichtig

Felder, die allen Schemas gemeinsam sind, werden im Artikel Allgemeine ASIM-Felder ausführlich beschrieben.

Allgemeine Felder mit bestimmten Richtlinien

In der folgenden Liste werden Felder erwähnt, die bestimmte Richtlinien für Netzwerksitzungsereignisse enthalten:

Feld Klasse type BESCHREIBUNG
EventCount Obligatorisch. Integer Netflow-Quellen unterstützen Aggregation, und das Feld EventCount muss auf den Wert des Netflow-Felds FLOWS festgelegt werden. Bei anderen Quellen wird der Wert in der Regel auf 1 festgelegt.
EventType Obligatorisch. Enumerated Beschreibt das vom Datensatz gemeldete Szenario.

Für Netzwerksitzungsdatensätze sind die folgenden Werte zulässig:
- EndpointNetworkSession
- NetworkSession
- L2NetworkSession
- IDS
- Flow

Weitere Informationen zu Ereignistypen finden Sie in der Schemaübersicht.
EventSubType Optional String Zusätzliche Beschreibung des Ereignistyps, falls zutreffend.
Für Netzwerksitzungsdatensätze werden folgende Werte unterstützt:
- Start
- End

Dieses Feld ist für Flow-Ereignisse nicht relevant.
EventResult Obligatorisch. Enumerated Wenn das Quellgerät kein Ereignisergebnis angibt, sollte EventResult auf dem Wert von DvcAction basieren. Wenn DvcAction entsprechend Deny, Drop, Drop ICMP, Reset, Reset Source oder Reset Destination ist
, sollte EventResult entsprechend Failure sein. Andernfalls sollte EventResultSuccess sein.
EventResultDetails Empfohlen Enumerated Grund oder Details für das im Feld EventResult gemeldete Ergebnis. Diese Werte werden unterstützt:
- Failover
- Ungültiges TCP
- Ungültiger Tunnel
- Maximale Wiederholungsversuche
- Zurücksetzen
- Routingproblem
- Simulation
- Beendet
- Timeout
- Vorübergehender Fehler
- Unbekannt
- N/V.

Der ursprüngliche, quellspezifische Wert wird im Feld EventOriginalResultDetails gespeichert.
EventSchema Obligatorisch. String Der Name des hier dokumentierten Schemas lautet NetworkSession.
EventSchemaVersion Obligatorisch. String Die Version des Schemas. Die Version des hier dokumentierten Schemas lautet 0.2.6.
DvcAction Empfohlen Enumerated Die für die Netzwerksitzung vorgenommene Aktion. Diese Werte werden unterstützt:
- Allow
- Deny
- Drop
- Drop ICMP
- Reset
- Reset Source
- Reset Destination
- Encrypt
- Decrypt
- VPNroute

Hinweis: Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Der ursprüngliche Wert muss im Feld DvcOriginalAction gespeichert werden.

Beispiel: drop
EventSeverity Optional Enumerated Wenn das Quellgerät keinen Ereignisschweregrad angibt, sollte EventSeverity auf dem Wert von DvcAction basieren. Wenn DvcAction entsprechend Deny, Drop, Drop ICMP, Reset, Reset Source oder Reset Destination ist
, sollte EventSeverityLow sein. Andernfalls sollte EventSeverityInformational sein.
DvcInterface Das Feld „DvcInterface“ sollte einen Alias für die Felder DvcInboundInterface oder DvcOutboundInterface enthalten.
Dvc-Felder Bei Netzwerksitzungsereignissen verweisen Gerätefelder auf das System, von dem das Netzwerksitzungsereignis gemeldet wird.

Alle allgemeinen Felder

Felder, die in der folgenden Tabelle angezeigt werden, sind für alle ASIM-Schemas gleich. Jede oben angegebene Richtlinie setzt die allgemeinen Richtlinien für das Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel Allgemeine ASIM-Felder.

Klasse Fields
Obligatorisch. - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Empfohlen - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Optional - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

Netzwerksitzungsfelder

Feld Klasse type BESCHREIBUNG
NetworkApplicationProtocol Optional String Das Protokoll der Anwendungsschicht, das von der Verbindung oder der Sitzung verwendet wird. Der Wert muss vollständig in Großbuchstaben geschrieben werden.

Beispiel: FTP
NetworkProtocol Optional Enumerated Das IP-Protokoll, das von der Verbindung oder Sitzung verwendet wird, wie in der IANA-Protokollzuweisung aufgeführt (üblicherweise TCP, UDP oder ICMP).

Beispiel: TCP
NetworkProtocolVersion Optional Enumerated Die Version von NetworkProtocol. Wenn Sie sie verwenden, um zwischen der IP-Version zu unterscheiden, verwenden Sie die Werte IPv4 und IPv6.
NetworkDirection Optional Enumerated Die Richtung der Verbindung oder Sitzung:

- Für eventType NetworkSessionFlow oder L2NetworkSessionNetworkDirection stellt die Richtung relativ zur Organisations- oder Cloudumgebungsgrenze dar. Unterstützte Werte sind Inbound, Outbound, Local (für die Organisation), External (für die Organisation) oder NA (Nicht zutreffend).

- Für eventType EndpointNetworkSessionstellt NetworkDirection die Richtung relativ zum Endpunkt dar. Unterstützte Werte sind Inbound, Outbound, Local (für das System) Listen oder NA (Nicht zutreffend). Der Wert Listen gibt an, dass ein Gerät mit der Annahme von Netzwerkverbindungen begonnen hat, aber nicht unbedingt, dass es auch verbunden ist.
NetworkDuration Optional Integer Die Zeitspanne in Millisekunden für den Abschluss der Netzwerksitzung oder Verbindung.

Beispiel: 1500
Duration Alias Alias für NetworkDuration.
NetworkIcmpType Optional String Für eine ICMP-Nachricht wird der NAME des ICMP-Typs, der dem numerischen Wert zugeordnet ist, wie in RFC 2780 für IPv4-Netzwerkverbindungen oder in RFC 4443 für IPv6-Netzwerkverbindungen beschrieben.

Beispiel: Destination Unreachable für NetworkIcmpCode 3
NetworkIcmpCode Optional Integer Bei einer ICMP-Nachricht die ICMP-Codenummer, wie in RFC 2780 für IPv4-Netzwerkverbindungen bzw. in RFC 4443 für IPv6-Netzwerkverbindungen beschrieben.
NetworkConnectionHistory Optional String TCP-Flags und andere potenzielle IP-Headerinformationen.
DstBytes Empfohlen Long Die Anzahl Bytes, die für die Verbindung oder Sitzung vom Ziel an die Quelle gesendet werden. Wenn das Ereignis aggregiert wird, sollte DstBytes der Summe aller aggregierten Sitzungen entsprechen.

Beispiel: 32455
SrcBytes Empfohlen Long Die Anzahl Bytes, die für die Verbindung oder Sitzung von der Quelle an das Ziel gesendet werden. Wenn das Ereignis aggregiert wird, sollte SrcBytes der Summe aller aggregierten Sitzungen entsprechen.

Beispiel: 46536
NetworkBytes Optional Long Die Anzahl Bytes, die in beide Richtungen gesendet werden. Wenn sowohl BytesReceived als auch BytesSent vorliegt, sollte BytesTotal ihrer Summe entsprechen. Wenn das Ereignis aggregiert wird, sollte NetworkBytes der Summe aller aggregierten Sitzungen entsprechen.

Beispiel: 78991
DstPackets Optional Long Die Anzahl Pakete, die für die Verbindung oder Sitzung vom Ziel an die Quelle gesendet werden. Die Bedeutung eines Pakets wird vom meldenden Gerät definiert. Wenn das Ereignis aggregiert wird, sollte DstPackets der Summe aller aggregierten Sitzungen entsprechen.

Beispiel: 446
SrcPackets Optional Long Die Anzahl Pakete, die für die Verbindung oder Sitzung von der Quelle ans Ziel gesendet werden. Die Bedeutung eines Pakets wird vom meldenden Gerät definiert. Wenn das Ereignis aggregiert wird, sollte SrcPackets der Summe aller aggregierten Sitzungen entsprechen.

Beispiel: 6478
NetworkPackets Optional Long Die Anzahl von Paketen, die in beide Richtungen gesendet werden. Wenn sowohl PacketsReceived als auch PacketsSent vorliegt, sollte BytesTotal ihrer Summe entsprechen. Die Bedeutung eines Pakets wird vom meldenden Gerät definiert. Wenn das Ereignis aggregiert wird, sollte NetworkPackets der Summe aller aggregierten Sitzungen entsprechen.

Beispiel: 6924
NetworkSessionId Optional Zeichenfolge Der Sitzungsbezeichner, der vom meldenden Gerät gemeldet wird.

Beispiel: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80
SessionId Alias String Alias für NetworkSessionId.
TcpFlagsAck Optional Boolean Das gemeldete TCP ACK-Flag. Das Bestätigungsflag (Acknowledgement) wird verwendet, um den erfolgreichen Empfang eines Pakets zu bestätigen. Wie wir aus dem obigen Diagramm erkennen können, sendet der Empfänger ein ACK und ein SYN im zweiten Schritt des Dreiwege-Handshake-Prozesses, um dem Absender mitzuteilen, dass er dessen erstes Paket empfangen hat.
TcpFlagsFin Optional Boolean Das gemeldete TCP FIN-Flag. Das „Finished“-Flag (fertig) bedeutet, dass keine weiteren Daten vom Absender mehr vorhanden sind. Daher wird es im letzten Paket verwendet, das vom Absender gesendet wird.
TcpFlagsSyn Optional Boolean Das gemeldete TCP SYN-Flag. Das Synchronisierungsflag wird als erster Schritt verwendet, um einen Dreiwege-Handshake zwischen zwei Hosts herzustellen. Nur im ersten Paket sowohl des Absenders als auch des Empfängers sollte dieses Flag festgelegt sein.
TcpFlagsUrg Optional Boolean Das gemeldete TCP URG-Flag. Das „Urgent“-Flag (dringend) wird verwendet, um den Empfänger darüber zu benachrichtigen, dass die dringenden Pakete vor allen anderen Paketen verarbeitet werden sollen. Der Empfänger wird benachrichtigt, wenn alle bekannten dringenden Daten empfangen wurden. Weitere Informationen finden Sie unter RFC 6093.
TcpFlagsPsh Optional Boolean Das gemeldete TCP PSH-Flag. Das Push-Flag ähnelt dem URG-Flag und teilt dem Empfänger mit, dass diese Pakete sofort verarbeitet werden sollen, wenn sie empfangen werden, anstatt sie zu puffern.
TcpFlagsRst Optional Boolean Das gemeldete TCP RST-Flag. Das Zurücksetzen-Flag (Reset) wird vom Empfänger an den Absender gesendet, wenn ein Paket an einen bestimmten Host gesendet wurde, der es nicht erwartet hat.
TcpFlagsEce Optional Boolean Das gemeldete TCP ECE-Flag. Dieses Flag ist dafür verantwortlich, anzuzeigen, ob der TCP-Peer ECN-fähig ist. Weitere Informationen finden Sie unter RFC 3168.
TcpFlagsCwr Optional Boolean Das gemeldete TCP CWR-Flag. Das „Überlastungsfenster verkleinert“-Flag (Congestion Window Reduced) wird vom sendenden Host verwendet, um anzuzeigen, dass er ein Paket mit festgelegtem ECE-Flag empfangen hat. Weitere Informationen finden Sie unter RFC 3168.
TcpFlagsNs Optional Boolean Das gemeldete TCP NS-Flag. Das „Nonce-Summe“-Flag ist immer noch ein experimentelles Flag, das zum Schutz vor versehentlicher böswilliger Verschleierung von Paketen vom Absender verwendet wird. Weitere Informationen finden Sie unter RFC 3540.

Felder für „Zielsystem“

Feld Klasse type BESCHREIBUNG
Dst Empfohlen Alias Ein eindeutiger Bezeichner des Servers, der die DNS-Anforderung empfängt.

Dieses Feld kann ein Alias für das Feld DstDvcId, DstHostname oder DstIpAddr sein.

Beispiel: 192.168.12.1
DstIpAddr Empfohlen IP-Adresse Die IP-Adresse der Verbindung oder des Sitzungsziels. Wenn die Sitzung die Netzwerkadressenübersetzung verwendet, ist DstIpAddr die öffentlich sichtbare Adresse und nicht die ursprüngliche Adresse der Quelle, die in DstNatIpAddr gespeichert ist.

Beispiel: 2001:db8::ff00:42:8329

Hinweis: Dieser Wert ist obligatorisch, wenn DstHostname angegeben wird.
DstPortNumber Optional Integer Der Ziel-IP-Port

Beispiel: 443
DstHostname Empfohlen Hostname Der Hostname des Zielgeräts ohne Domäneninformationen. Wenn kein Gerätename verfügbar ist, speichern Sie die entsprechende IP-Adresse in diesem Feld.

Beispiel: DESKTOP-1282V4D
DstDomain Empfohlen String Die Domäne des Zielgeräts.

Beispiel: Contoso
DstDomainType Bedingt Enumerated Der Typ von DstDomain. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DomainType im Artikel „Schemaübersicht“.

Erforderlich, wenn DstDomain verwendet wird.
DstFQDN Optional String Der Hostname des Zielgeräts einschließlich Domäneninformationen, sofern verfügbar.

Beispiel: Contoso\DESKTOP-1282V4D

Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format „Domäne\Hostname“. DstDomainType spiegelt das verwendete Format wider.
DstDvcId Optional String Die ID des Zielgeräts. Wenn mehrere IDs verfügbar sind, verwenden Sie die wichtigste, und speichern Sie die anderen in den Feldern DstDvc<DvcIdType>.

Beispiel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
DstDvcScopeId Optional String Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. DstDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
DstDvcScope Optional String Der Cloudplattformbereich, zu dem das Gerät gehört. DstDvcScope wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
DstDvcIdType Bedingt Enumerated Der Typ von DstDvcId. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType im Artikel „Schemaübersicht“.

Erforderlich, wenn DstDeviceId verwendet wird.
DstDeviceType Optional Enumerated Der Typ des Zielgeräts. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DeviceType im Artikel „Schemaübersicht“.
DstZone Optional String Die Netzwerkzone des Ziels, wie sie vom meldenden Gerät definiert wird.

Beispiel: Dmz
DstInterfaceName Optional String Die Netzwerkschnittstelle, die vom Zielgerät für die Verbindung oder Sitzung verwendet wird.

Beispiel: Microsoft Hyper-V Network Adapter
DstInterfaceGuid Optional String Die GUID der Netzwerkschnittstelle, die auf dem Zielgerät verwendet wird.

Beispiel:
46ad544b-eaf0-47ef-
827c-266030f545a6
DstMacAddr Optional String Die MAC-Adresse der Netzwerkschnittstelle, die vom Zielgerät für die Verbindung oder Sitzung verwendet wird.

Beispiel: 06:10:9f:eb:8f:14
DstVlanId Optional String Die zugehörige VLAN-ID für das Zielgerät.

Beispiel: 130
OuterVlanId Optional Alias Alias für DstVlanId.

In vielen Fällen kann das VLAN nicht als Quelle oder Ziel bestimmt werden, sondern wird als „Inner“ (innen) oder „Outer“ (außen) gekennzeichnet. Dieser Alias für gibt an, dass DstVlanId verwendet werden soll, wenn das VLAN als „Outer“ (außen) gekennzeichnet ist.
DstSubscriptionId Optional String Die Abonnement-ID der Cloudplattform, zu der das Zielgerät gehört. DstSubscriptionId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
DstGeoCountry Optional Land Das Land/die Region, das bzw. die der Ziel-IP-Adresse zugeordnet ist. Weitere Informationen finden Sie unter Logische Typen.

Beispiel: USA
DstGeoRegion Optional Region Die der Ziel-IP-Adresse zugeordnete Region bzw. der Staat. Weitere Informationen finden Sie unter Logische Typen.

Beispiel: Vermont
DstGeoCity Optional City Die Stadt, die der Ziel-IP-Adresse zugeordnet ist. Weitere Informationen finden Sie unter Logische Typen.

Beispiel: Burlington
DstGeoLatitude Optional Breitengrad Der Breitengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist. Weitere Informationen finden Sie unter Logische Typen.

Beispiel: 44.475833
DstGeoLongitude Optional Längengrad Der Längengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist. Weitere Informationen finden Sie unter Logische Typen.

Beispiel: 73.211944

Felder für „Zielbenutzer“

Feld Klasse type BESCHREIBUNG
DstUserId Optional String Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Zielbenutzers. Das unterstützte Format für verschiedene ID-Typen finden Sie unter Die Benutzerentität.

Beispiel: S-1-12
DstUserScope Optional String Der Bereich (z. B. der Microsoft Entra-Mandant), in dem DstUserId und DstUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht.
DstUserScopeId Optional String Die Bereichs-ID (z. B. die Microsoft Entra-Verzeichnis-ID), in der DstUserId und DstUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht.
DstUserIdType Bedingt UserIdType Der Typ der ID, die im Feld DstUserId gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserIdType im Artikel „Schemaübersicht“.
DstUsername Optional String Der Zielbenutzername einschließlich Domäneninformationen, sofern verfügbar. Das unterstützte Format für verschiedene ID-Typen finden Sie unter Die Benutzerentität. Verwenden Sie dieses einfache Format nur, wenn keine Domäneninformationen verfügbar sind.

Speichern Sie den Benutzernamenstyp im Feld DstUsernameType. Wenn andere Benutzernamenformate verfügbar sind, speichern Sie sie in den Feldern DstUsername<UsernameType>.

Beispiel: AlbertE
User Alias Alias für DstUsername.
DstUsernameType Bedingt UsernameType Gibt den Typ des Benutzernamens an, der im Feld DstUsername gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UsernameType im Artikel „Schemaübersicht“.

Beispiel: Windows
DstUserType Optional UserType Der Typ des Zielbenutzers. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserType im Artikel „Schemaübersicht“.

Hinweis: Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld DstOriginalUserType.
DstOriginalUserType Optional String Der ursprüngliche Zielbenutzertyp, sofern von der Quelle bereitgestellt.

Felder für „Zielanwendung“

Feld Klasse type BESCHREIBUNG
DstAppName Optional String Der Name der Zielanwendung.

Beispiel: Facebook
DstAppId Optional String Die ID der Zielanwendung, wie vom meldenden Gerät angegeben. Wenn DstAppType den Wert Process hat, sollten DstAppId und DstProcessId denselben Wert haben.

Beispiel: 124
DstAppType Optional AppType Der Typ der Zielanwendung. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter AppType im Artikel „Schemaübersicht“.

Dieses Feld ist obligatorisch, wenn DstAppName oder DstAppId verwendet wird.
DstProcessName Optional String Der Dateiname des Prozesses, der die Netzwerksitzung beendet hat. Dieser Name wird in der Regel als Prozessname betrachtet.

Beispiel: C:\Windows\explorer.exe
Process Alias Alias für den DstProcessName

Beispiel: C:\Windows\System32\rundll32.exe
DstProcessId Optional String Die Prozess-ID (PID) des Prozesses, der die Netzwerksitzung beendet hat.

Beispiel: 48610176

Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows und Linux muss dieser Wert numerisch sein.

Wenn Sie einen Windows- oder Linux-Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie diesen in einen Dezimalwert.
DstProcessGuid Optional String Ein generierter eindeutiger Bezeichner (GUID) des Prozesses, der die Netzwerksitzung beendet hat.

Beispiel: EF3BD0BD-2B74-60C5-AF5C-010000001E00

Felder für „Quellsystem“

Feld Klasse type BESCHREIBUNG
Src Alias Der eindeutige Bezeichner des Quellgeräts.

Dieses Feld kann ein Alias für das Feld SrcDvcId, SrcHostname oder SrcIpAddr sein.

Beispiel: 192.168.12.1
SrcIpAddr Empfohlen IP-Adresse Die IP-Adresse, von der die Verbindung oder Sitzung stammt. Dieser Wert ist obligatorisch, wenn SrcHostname angegeben wird. Wenn die Sitzung die Netzwerkadressenübersetzung verwendet, ist SrcIpAddr die öffentlich sichtbare Adresse und nicht die ursprüngliche Adresse der Quelle, die in SrcNatIpAddr gespeichert ist.

Beispiel: 77.138.103.108
SrcPortNumber Optional Integer Der IP-Port, von dem die Verbindung stammt. Ist möglicherweise für Sitzungen, die mehrere Verbindungen umfassen, nicht relevant.

Beispiel: 2335
SrcHostname Empfohlen Hostname Der Hostname des Quellgeräts ohne Domäneninformationen. Wenn kein Gerätename verfügbar ist, speichern Sie die entsprechende IP-Adresse in diesem Feld.

Beispiel: DESKTOP-1282V4D
SrcDomain Empfohlen String Die Domäne des Quellgeräts.

Beispiel: Contoso
SrcDomainType Bedingt DomainType Der Typ von SrcDomain. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DomainType im Artikel „Schemaübersicht“.

Erforderlich, wenn SrcDomain verwendet wird.
SrcFQDN Optional String Der Hostname des Quellgeräts ggf. mit Informationen zur Domäne.

Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format „Domäne\Hostname“. Das Feld SrcDomainType spiegelt das verwendete Format wider.

Beispiel: Contoso\DESKTOP-1282V4D
SrcDvcId Optional String Die ID des Quellgeräts. Wenn mehrere IDs verfügbar sind, verwenden Sie die wichtigste, und speichern Sie die anderen in den Feldern SrcDvc<DvcIdType>.

Beispiel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId Optional String Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
SrcDvcScope Optional String Der Cloudplattformbereich, zu dem das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
SrcDvcIdType Bedingt DvcIdType Der Typ von SrcDvcId. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType im Artikel „Schemaübersicht“.

Hinweis: Dieses Feld ist erforderlich, wenn das Feld SrcDvcId verwendet wird.
SrcDeviceType Optional DeviceType Der Typ des Quellgeräts. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DeviceType im Artikel „Schemaübersicht“.
SrcZone Optional String Die Netzwerkzone der Quelle, wie sie vom meldenden Gerät definiert wird.

Beispiel: Internet
SrcInterfaceName Optional String Die Netzwerkschnittstelle, die vom Quellgerät für die Verbindung oder Sitzung verwendet wird.

Beispiel: eth01
SrcInterfaceGuid Optional String Die GUID der Netzwerkschnittstelle, die auf dem Quellgerät verwendet wird.

Beispiel:
46ad544b-eaf0-47ef-
827c-266030f545a6
SrcMacAddr Optional String Die MAC-Adresse der Netzwerkschnittstelle, von der aus die Verbindung oder Sitzung hergestellt wurde.

Beispiel: 06:10:9f:eb:8f:14
SrcVlanId Optional String Die zugehörige VLAN-ID für das Quellgerät.

Beispiel: 130
InnerVlanId Optional Alias Alias für SrcVlanId.

In vielen Fällen kann das VLAN nicht als Quelle oder Ziel bestimmt werden, sondern wird als „Inner“ (innen) oder „Outer“ (außen) gekennzeichnet. Dieser Alias für gibt an, dass SrcVlanId verwendet werden soll, wenn das VLAN als „Inner“ (innen) gekennzeichnet ist.
SrcSubscriptionId Optional String Die Abonnement-ID der Cloudplattform, zu der das Quellgerät gehört. SrcSubscriptionId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
SrcGeoCountry Optional Land Das Land/die Region, das bzw. die der Quell-IP-Adresse zugeordnet ist.

Beispiel: USA
SrcGeoRegion Optional Region Die der Quell-IP-Adresse zugeordnete Region.

Beispiel: Vermont
SrcGeoCity Optional City Die Stadt, die der Quell-IP-Adresse zugeordnet ist.

Beispiel: Burlington
SrcGeoLatitude Optional Breitengrad Der Breitengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist.

Beispiel: 44.475833
SrcGeoLongitude Optional Längengrad Der Längengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist.

Beispiel: 73.211944

Felder für „Quellbenutzer“

Feld Klasse type BESCHREIBUNG
SrcUserId Optional String Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Quellbenutzers. Das unterstützte Format für verschiedene ID-Typen finden Sie unter Die Benutzerentität.

Beispiel: S-1-12
SrcUserScope Optional String Der Bereich (z. B. der Microsoft Entra-Mandant), in dem SrcUserId und SrcUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht.
SrcUserScopeId Optional String Die Bereichs-ID (z. B. die Microsoft Entra-Verzeichnis-ID), in der SrcUserId und SrcUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht.
SrcUserIdType Bedingt UserIdType Der Typ der ID, die im Feld SrcUserId gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserIdType im Artikel „Schemaübersicht“.
SrcUsername Optional String Der Quellbenutzername einschließlich Informationen zur Domäne, falls verfügbar. Das unterstützte Format für verschiedene ID-Typen finden Sie unter Die Benutzerentität. Verwenden Sie dieses einfache Format nur, wenn keine Domäneninformationen verfügbar sind.

Speichern Sie den Benutzernamenstyp im Feld SrcUsernameType. Wenn andere Benutzernamenformate verfügbar sind, speichern Sie sie in den Feldern SrcUsername<UsernameType>.

Beispiel: AlbertE
SrcUsernameType Bedingt UsernameType Gibt den Typ des Benutzernamens an, der im Feld SrcUsername gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UsernameType im Artikel „Schemaübersicht“.

Beispiel: Windows
SrcUserType Optional UserType Der Typ des Quellbenutzers. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserType im Artikel „Schemaübersicht“.

Hinweis: Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld SrcOriginalUserType.
SrcOriginalUserType Optional String Der ursprüngliche Zielbenutzertyp, sofern vom meldenden Gerät bereitgestellt.

Felder für „Quellanwendung“

Feld Klasse type BESCHREIBUNG
SrcAppName Optional String Der Name der Quellanwendung.

Beispiel: filezilla.exe
SrcAppId Optional String Die ID der Quellanwendung, wie vom meldenden Gerät angegeben. Wenn SrcAppType den Wert Process hat, sollten SrcAppId und SrcProcessId denselben Wert haben.

Beispiel: 124
SrcAppType Optional AppType Der Typ der Quellanwendung. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter AppType im Artikel „Schemaübersicht“.

Dieses Feld ist obligatorisch, wenn SrcAppName oder SrcAppId verwendet wird.
SrcProcessName Optional String Der Dateiname des Prozesses, der die Netzwerksitzung initiiert hat. Dieser Name wird in der Regel als Prozessname betrachtet.

Beispiel: C:\Windows\explorer.exe
SrcProcessId Optional String Die Prozess-ID (PID) des Prozesses, der die Netzwerksitzung initiiert hat.

Beispiel: 48610176

Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows und Linux muss dieser Wert numerisch sein.

Wenn Sie einen Windows- oder Linux-Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie diesen in einen Dezimalwert.
SrcProcessGuid Optional String Ein generierter eindeutiger Bezeichner (GUID) des Prozesses, der die Netzwerksitzung initiiert hat.

Beispiel: EF3BD0BD-2B74-60C5-AF5C-010000001E00

Lokale Aliase und Remotealiase

Alle oben aufgeführten Quell- und Zielfelder können optional durch Felder mit demselben Namen und den Deskriptoren Local und Remote als Aliase ersetzt werden. Dies ist in der Regel hilfreich für Ereignisse, die von einem Endpunkt gemeldet werden und für die der Ereignistyp EndpointNetworkSession lautet.

Für solche Ereignisse bezeichnen die Deskriptoren Local und Remote den Endpunkt selbst bzw. das Gerät am anderen Ende der Netzwerksitzung. Bei eingehenden Verbindungen ist das lokale System das Ziel, Local-Felder sind Aliase für die Dst-Felder, und „Remote“-Felder sind Aliase für Src-Felder. Im Gegensatz dazu ist bei ausgehenden Verbindungen das lokale System die Quelle, Local-Felder sind Aliase für Src-Felder und Remote-Felder sind Aliase für Dst-Felder.

Für ein eingehendes Ereignis ist das Feld LocalIpAddr beispielsweise ein Alias für DstIpAddr und das Feld RemoteIpAddr ist ein Alias für SrcIpAddr.

Aliase für Hostname und IP-Adresse

Feld Klasse type BESCHREIBUNG
Hostname Alias – Wenn der Ereignistyp NetworkSession, Flow oder L2NetworkSession ist, ist „Hostname“ ein Alias für DstHostname.
– Wenn der Ereignistyp EndpointNetworkSession ist, ist „Hostname“ ein Alias für RemoteHostname, der je nach NetworkDirection entweder DstHostname oder SrcHostName als Alias verwenden kann.
IpAddr Alias – Wenn der Ereignistyp NetworkSession, Flow oder L2NetworkSession ist, ist „Hostname“ ein Alias für SrcIpAddr.
– Wenn der Ereignistyp EndpointNetworkSession ist, ist „IpAddr“ ein Alias für LocalIpAddr, der je nach NetworkDirection entweder SrcIpAddr oder DstIpAddr als Alias verwenden kann.

Felder für Zwischengerät und NAT (Network Address Translation)

Die folgenden Felder sind nützlich, wenn der Datensatz Informationen zu einem Zwischengerät wie etwa einer Firewall oder einem Proxy zum Vermitteln der Netzwerksitzung enthält.

Zwischensysteme verwenden häufig die Adressenübersetzung, daher sind die ursprüngliche Adresse und die extern beobachtete Adresse nicht identisch. In solchen Fällen stellen die primären Adressfelder wie SrcIPAddr und DstIpAddr die extern beobachteten Adressen dar, während die NAT-Adressfelder SrcNatIpAddr und DstNatIpAddr die interne Adresse des ursprünglichen Geräts vor der Übersetzung darstellen.

Feld Klasse type BESCHREIBUNG
DstNatIpAddr Optional IP-Adresse DstNatIpAddr stellt eine der folgenden Optionen dar:
– Die ursprüngliche Adresse des Zielgeräts, wenn die Netzwerkadressenübersetzung verwendet wurde.
– Die IP-Adresse, die vom Zwischengerät für die Kommunikation mit der Quelle verwendet wird.

Beispiel: 2::1
DstNatPortNumber Optional Integer Bei Meldung von einem NAT-Zwischengerät der vom NAT-Gerät für die Kommunikation mit der Quelle verwendete Port.

Beispiel: 443
SrcNatIpAddr Optional IP-Adresse SrcNatIpAddr stellt eine der folgenden Optionen dar:
– Die ursprüngliche Adresse des Quellgeräts, wenn die Netzwerkadressenübersetzung verwendet wurde.
– Die IP-Adresse, die vom Zwischengerät für die Kommunikation mit dem Ziel verwendet wird.

Beispiel: 4.3.2.1
SrcNatPortNumber Optional Integer Bei Meldung von einem NAT-Zwischengerät der vom NAT-Gerät für die Kommunikation mit dem Ziel verwendete Port.

Beispiel: 345
DvcInboundInterface Optional String Bei Meldung von einem Zwischengerät die vom NAT-Gerät für die Verbindung mit dem Quellgerät verwendete Netzwerkschnittstelle.

Beispiel: eth0
DvcOutboundInterface Optional String Bei Meldung von einem Zwischengerät die vom NAT-Gerät für die Verbindung mit dem Zielgerät verwendete Netzwerkschnittstelle.

Beispiel: Ethernet adapter Ethernet 4e

Inspektionsfelder

Die folgenden Felder werden zur Darstellung der Inspektion verwendet, die von einem Sicherheitsgerät wie etwa einer Firewall, einem IPS oder einem Websicherheitsgateway durchgeführt wurde:

Feld Klasse type BESCHREIBUNG
NetworkRuleName Optional String Der Name oder die ID der Regel, anhand derer die Entscheidung für DvcAction getroffen wurde.

Beispiel: AnyAnyDrop
NetworkRuleNumber Optional Integer Die Nummer der Regel, anhand derer die Entscheidung für DvcAction getroffen wurde.

Beispiel: 23
Regel Alias String Entweder der Wert NetworkRuleName oder der Wert NetworkRuleNumber. Bei Verwendung des Werts NetworkRuleNumber sollte der Typ in eine Zeichenfolge konvertiert werden.
ThreatId Optional String Die ID der in der Netzwerksitzung identifizierten Bedrohung oder Schadsoftware.

Beispiel: Tr.124
ThreatName Optional String Der Name der in der Netzwerksitzung identifizierten Bedrohung oder Schadsoftware.

Beispiel: EICAR Test File
ThreatCategory Optional String Die Kategorie der in der Netzwerksitzung identifizierten Bedrohung oder Schadsoftware.

Beispiel: Trojan
ThreatRiskLevel Optional Integer Die der Sitzung zugeordnete Risikostufe. Hierbei muss es sich um eine Zahl zwischen 0 und 100 handeln.

Hinweis: Der Wert ist im Quelldatensatz möglicherweise in einer anderen Skala angegeben und muss auf diese Skala normalisiert werden. Der ursprüngliche Wert muss im Feld ThreatRiskLevelOriginal gespeichert werden.
ThreatOriginalRiskLevel Optional String Die Risikostufe, wie vom meldenden Gerät gemeldet.
ThreatIpAddr Optional IP-Adresse Eine IP-Adresse, für die eine Bedrohung identifiziert wurde. Das Feld ThreatField enthält den Namen des Felds, das ThreatIpAddr darstellt.
ThreatField Bedingt Enumerated Das Feld, für das eine Bedrohung identifiziert wurde. Der Wert lautet entweder SrcIpAddr oder DstIpAddr.
ThreatConfidence Optional Integer Die Konfidenzstufe der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100
ThreatOriginalConfidence Optional String Die ursprüngliche Konfidenzstufe der identifizierten Bedrohung, wie vom meldenden Gerät gemeldet.
ThreatIsActive Optional Boolean TRUE, wenn die identifizierte Bedrohung als aktive Bedrohung betrachtet wird.
ThreatFirstReportedTime Optional datetime Das erste Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde
ThreatLastReportedTime Optional datetime Das letzte Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde

Weitere Felder

Wenn das Ereignis von einem der Endpunkte der Netzwerksitzung gemeldet wird, kann es Informationen zu dem Prozess enthalten, von dem die Sitzung initiiert oder beendet wurde. In solchen Fällen wird das ASIM-Prozessereignisschema zum Normalisieren dieser Informationen verwendet.

Schemaupdates

In der Version 0.2.1 des Schemas wurde Folgendes geändert:

  • Hinzufügung von Src und Dst als Aliase zu einem führenden Bezeichner für das Quell- und das Zielsystem.
  • Die Felder NetworkConnectionHistory, SrcVlanId, DstVlanId, InnerVlanId und OuterVlanId wurden hinzugefügt.

In der Version 0.2.2 des Schemas wurde Folgendes geändert:

  • Die Aliase Remote und Local wurden hinzugefügt.
  • Der Ereignistyp EndpointNetworkSession wurde hinzugefügt.
  • Hostname und IpAddr wurden als Aliase für RemoteHostname und LocalIpAddr definiert, wenn der Ereignistyp EndpointNetworkSession ist.
  • DvcInterface wurde als Alias für DvcInboundInterface oder DvcOutboundInterface definiert.
  • Der Typ der folgenden Felder wurde von „Integer“ in „Long“ geändert: SrcBytes, DstBytes, NetworkBytes, SrcPackets, DstPackets und NetworkPackets.
  • Die Felder NetworkProtocolVersion, SrcSubscriptionId und DstSubscriptionId wurden hinzugefügt.
  • Als veraltet markiert: DstUserDomain und SrcUserDomain.

In der Version 0.2.3 des Schemas wurde Folgendes geändert:

  • Der Filterparameter ipaddr_has_any_prefix wurde hinzugefügt.
  • Der Filterparameter hostname_has_any entspricht nun entweder dem Quell- oder Ziel-Hostnamen.
  • Die Felder ASimMatchingHostname und ASimMatchingIpAddr wurden hinzugefügt.

In der Version 0.2.4 des Schemas wurde Folgendes geändert:

  • Die TcpFlags-Felder wurden hinzugefügt.
  • NetworkIcpmType und NetworkIcmpCode wurden aktualisiert, sodass sie den Zahlenwert für beide widerspiegeln.
  • Zusätzliche Inspektionsfelder wurden hinzugefügt.
  • Das Feld „ThreatRiskLevelOriginal“ wurde in ThreatOriginalRiskLevel umbenannt, um die ASIM-Konventionen einzuhalten. Vorhandene Microsoft-Parser behalten bis zum 1. Mai 2023 ThreatRiskLevelOriginal bei.
  • EventResultDetails wurde als empfohlen gekennzeichnet, und die zulässigen Werte wurden angegeben.

In der Version 0.2.5 des Schemas wurde Folgendes geändert:

  • Die Felder DstUserScope, SrcUserScope, SrcDvcScopeId, SrcDvcScope, DstDvcScopeId, DstDvcScope, DvcScopeId und DvcScope wurden hinzugefügt.

In der Version 0.2.6 des Schemas wurde Folgendes geändert:

  • IDS als Ereignistyp hinzugefügt

Nächste Schritte

Weitere Informationen finden Sie unter