Riferimento allo schema di normalizzazione della sessione di rete (ASIM) Advanced Security Information Model (anteprima pubblica)

Articolo
10/18/2023

Lo schema di normalizzazione della sessione di rete di Microsoft Sentinel rappresenta un'attività di rete IP, ad esempio connessioni di rete e sessioni di rete. Tali eventi vengono segnalati, ad esempio, da sistemi operativi, router, firewall e sistemi di prevenzione delle intrusioni.

Lo schema di normalizzazione di rete può rappresentare qualsiasi tipo di sessione di rete IP, ma è progettato per fornire supporto per i tipi di origine comuni, ad esempio Netflow, firewall e sistemi di prevenzione delle intrusioni.

Per altre informazioni sulla normalizzazione in Microsoft Sentinel, vedere Normalizzazione e Advanced Security Information Model (ASIM).

Questo articolo descrive la versione 0.2.x dello schema di normalizzazione di rete. La versione 0.1 è stata rilasciata prima che ASIM fosse disponibile e non sia allineata ad ASIM in diverse posizioni. Per altre informazioni, vedere Differenze tra le versioni dello schema di normalizzazione di rete.

Importante

Lo schema di normalizzazione di rete è attualmente in anteprima. Questa funzionalità viene fornita senza un contratto di servizio. Non è consigliabile usarlo per carichi di lavoro di produzione.

Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Parser

Per altre informazioni sui parser ASIM, vedere panoramica dei parser ASIM.

Parser di unificazione

Per usare parser che unificano tutti i parser predefiniti di ASIM e assicurarsi che l'analisi venga eseguita in tutte le origini configurate, usare il _Im_NetworkSession parser di filtro o il _ASim_NetworkSession parser senza parametri.

È anche possibile usare i parser e ASimNetworkSession distribuiti ImNetworkSession nell'area di lavoro distribuindoli dal repository GitHub di Microsoft Sentinel.

Per altre informazioni, vedere Parser ASIM predefiniti e parser distribuiti nell'area di lavoro.

Parser specifici dell'origine predefiniti

Per l'elenco dei parser di sessione di rete forniti da Microsoft Sentinel, vedere l'elenco dei parser ASIM

Aggiungere parser normalizzati personalizzati

Quando si sviluppano parser personalizzati per il modello di informazioni sessione di rete, denominare le funzioni KQL usando la sintassi seguente:

vimNetworkSession<vendor><Product> per parser parametrizzati
ASimNetworkSession<vendor><Product> per parser regolari

Fare riferimento all'articolo Gestione dei parser ASIM per informazioni su come aggiungere parser personalizzati alle sessioni di rete che unificano i parser.

Filtro dei parametri del parser

I parser di sessione di rete supportano i parametri di filtro. Anche se questi parametri sono facoltativi, possono migliorare le prestazioni delle query.

Sono disponibili i parametri di filtro seguenti:

Nome	Tipo	Descrizione
starttime	datetime	Filtrare solo le sessioni di rete avviate in o dopo questa volta.
endtime	datetime	Filtrare solo le sessioni di rete che sono iniziate in esecuzione in o prima di questa volta.
srcipaddr_has_any_prefix	dynamic	Filtrare solo le sessioni di rete per le quali il prefisso del campo dell'indirizzo IP di origine si trova in uno dei valori elencati. I prefissi devono terminare con un `.`oggetto , ad esempio : `10.0.`. La lunghezza dell'elenco è limitata a 10.000 elementi.
dstipaddr_has_any_prefix	dynamic	Filtrare solo le sessioni di rete per le quali il prefisso del campo dell'indirizzo IP di destinazione si trova in uno dei valori elencati. I prefissi devono terminare con un `.`oggetto , ad esempio : `10.0.`. La lunghezza dell'elenco è limitata a 10.000 elementi.
ipaddr_has_any_prefix	dynamic	Filtrare solo le sessioni di rete per le quali il campo indirizzo IP di destinazione o il prefisso del campo dell'indirizzo IP di origine si trova in uno dei valori elencati. I prefissi devono terminare con un `.`oggetto , ad esempio : `10.0.`. La lunghezza dell'elenco è limitata a 10.000 elementi. Il campo ASimMatchingIpAddr viene impostato con uno dei valori `SrcIpAddr`, `DstIpAddr`o `Both` per riflettere i campi o i campi corrispondenti.
dstportnumber	Int	Filtrare solo le sessioni di rete con il numero di porta di destinazione specificato.
hostname_has_any	dynamic/string	Filtrare solo le sessioni di rete per le quali il campo nome host di destinazione contiene uno dei valori elencati. La lunghezza dell'elenco è limitata a 10.000 elementi. Il campo ASimMatchingHostname viene impostato con uno dei valori `SrcHostname`, `DstHostname`o `Both` per riflettere i campi o i campi corrispondenti.
dvcaction	dynamic/string	Filtrare solo le sessioni di rete per le quali il campo Azione dispositivo è uno dei valori elencati.
eventresult	String	Filtrare solo le sessioni di rete con un valore EventResult specifico.

Alcuni parametri possono accettare entrambi l'elenco di valori di tipo dynamic o un singolo valore stringa. Per passare un elenco di valori letterali ai parametri che prevedono un valore dinamico, usare in modo esplicito un valore letterale dinamico. Ad esempio: dynamic(['192.168.','10.'])

Ad esempio, per filtrare solo le sessioni di rete per un elenco specificato di nomi di dominio, usare:

let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)

Suggerimento

Per passare un elenco di valori letterali ai parametri che prevedono un valore dinamico, usare in modo esplicito un valore letterale dinamico. Ad esempio: dynamic(['192.168.','10.']).

Contenuto normalizzato

Per un elenco completo delle regole di analisi che usano eventi DNS normalizzati, vedere Contenuto della sicurezza delle sessioni di rete.

Panoramica dello schema

Il modello di informazioni sessione di rete è allineato allo schema di entità OSSEM Network.

Lo schema sessione di rete offre diversi tipi di scenari simili ma distinti, che condividono gli stessi campi. Questi scenari sono identificati dal campo EventType:

NetworkSession : una sessione di rete segnalata da un dispositivo intermedio che monitora la rete, ad esempio un firewall, un router o un tocco di rete.
L2NetworkSession - Sessioni di rete per le quali sono disponibili solo le informazioni di livello 2. Tali eventi includono indirizzi MAC, ma non indirizzi IP.
Flow - Un evento aggregato che segnala più sessioni di rete simili, in genere in un periodo di tempo predefinito, ad esempio gli eventi Netflow .
EndpointNetworkSession : una sessione di rete segnalata da uno dei punti finali della sessione, inclusi client e server. Per tali eventi, lo schema supporta i remote campi alias e local .
IDS : una sessione di rete segnalata come sospetta. Un evento di questo tipo includerà alcuni campi di ispezione popolati e potrebbe avere un solo campo indirizzo IP popolato, l'origine o la destinazione.

In genere, una query deve selezionare solo un subset di tali tipi di evento e potrebbe essere necessario gestire separatamente aspetti univoci dei casi d'uso. Ad esempio, gli eventi IDS non riflettono l'intero volume di rete e non devono essere presi in considerazione nell'analisi basata su colonne.

Gli eventi di sessione di rete usano i descrittori Src e Dst per indicare i ruoli dei dispositivi e degli utenti e delle applicazioni correlati coinvolti nella sessione. Ad esempio, il nome host e l'indirizzo IP del dispositivo di origine sono denominati SrcHostname e SrcIpAddr. Altri schemi ASIM usano Target in genere anziché Dst.

Per gli eventi segnalati da un endpoint e per cui il tipo di evento è EndpointNetworkSession, i descrittori Local e Remote denotano rispettivamente l'endpoint stesso e il dispositivo all'altra estremità della sessione di rete.

Il descrittore Dvc viene usato per il dispositivo di report, ovvero il sistema locale per le sessioni segnalate da un endpoint e il dispositivo intermedio o il tocco di rete per altri eventi di sessione di rete.

Dettagli dello schema

Campi comuni di ASIM

Importante

I campi comuni a tutti gli schemi sono descritti in dettaglio nell'articolo Campi comuni ASIM.

Campi comuni con linee guida specifiche

L'elenco seguente elenca i campi con linee guida specifiche per gli eventi di sessione di rete:

Campo	Classe	Tipo	Descrizione
EventCount	Obbligatorio	Intero	Le origini Netflow supportano l'aggregazione e il campo EventCount deve essere impostato sul valore del campo FLUSSI netflow. Per altre origini, il valore viene in genere impostato su `1`.
EventType	Obbligatorio	Enumerated	Descrive lo scenario segnalato dal record. Per i record di sessione di rete, i valori consentiti sono: - `EndpointNetworkSession` - `NetworkSession` - `L2NetworkSession` - `IDS` - `Flow` Per altre informazioni sui tipi di evento, vedere la panoramica dello schema
EventSubType	Facoltativo	String	Descrizione aggiuntiva del tipo di evento, se applicabile. Per i record di sessione di rete, i valori supportati includono: - `Start` - `End` Questo campo non è rilevante per `Flow` gli eventi.
EventResult	Obbligatorio	Enumerated	Se il dispositivo di origine non fornisce un risultato dell'evento, EventResult deve essere basato sul valore di DvcAction. Se DvcAction è `Deny`, `Drop`, `Drop ICMP`, `Reset`, `Reset Source`o `Reset Destination` , EventResult deve essere `Failure`. In caso contrario, EventResult deve essere `Success`.
EventResultDetails	Consigliato	Enumerated	Motivo o dettagli per il risultato segnalato nel campo EventResult . I valori supportati sono: - Failover - TCP non valido - Tunnel non valido - Numero massimo di tentativi -Resettare - Problema di routing -Simulazione - Terminato -Timeout - Errore temporaneo - Sconosciuto -NA. Il valore originale, specifico dell'origine , viene archiviato nel campo EventOriginalResultDetails .
EventSchema	Obbligatorio	String	Il nome dello schema documentato qui è `NetworkSession`.
EventSchemaVersion	Obbligatorio	String	La versione dello schema. La versione dello schema documentata qui è `0.2.6`.
DvcAction	Consigliato	Enumerated	Azione eseguita nella sessione di rete. I valori supportati sono: - `Allow` - `Deny` - `Drop` - `Drop ICMP` - `Reset` - `Reset Source` - `Reset Destination` - `Encrypt` - `Decrypt` - `VPNroute` Nota: è possibile specificare il valore nel record di origine usando termini diversi, che devono essere normalizzati in questi valori. Il valore originale deve essere archiviato nel campo DvcOriginalAction . Esempio: `drop`
EventSeverity	Facoltativo	Enumerated	Se il dispositivo di origine non fornisce una gravità dell'evento, EventSeverity deve essere basato sul valore di DvcAction. Se DvcAction è `Deny`, `Drop`, `Drop ICMP`, `Reset`, `Reset Source`o `Reset Destination` , EventSeverity deve essere `Low`. In caso contrario, EventSeverity deve essere `Informational`.
DvcInterface			Il campo DvcInterface deve eseguire l'alias dei campi DvcInboundInterface o DvcOutboundInterface .
Campi Dvc			Per gli eventi della sessione di rete, i campi del dispositivo fanno riferimento al sistema che segnala l'evento Sessione di rete.

Tutti i campi comuni

I campi visualizzati nella tabella seguente sono comuni a tutti gli schemi ASIM. Tutte le linee guida specificate in precedenza sostituiscono le linee guida generali per il campo. Ad esempio, un campo potrebbe essere facoltativo in generale, ma obbligatorio per uno schema specifico. Per altre informazioni su ogni campo, vedere l'articolo Campi comuni ASIM.

Classe	Campi
Obbligatorio	- EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc
Consigliato	- EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction
Facoltativo	- EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campi aggiuntivi - DvcDescription - DvcScopeId - DvcScope

Campi sessione di rete

Campo	Classe	Tipo	Descrizione
NetworkApplicationProtocol	Facoltativo	String	Protocollo del livello applicazione usato dalla connessione o dalla sessione. Il valore deve essere in maiuscolo. Esempio: `FTP`
NetworkProtocol	Facoltativo	Enumerated	Protocollo IP usato dalla connessione o dalla sessione, come indicato nell'assegnazione del protocollo IANA, che in genere `TCP`è , `UDP`o `ICMP`. Esempio: `TCP`
NetworkProtocolVersion	Facoltativo	Enumerated	Versione di NetworkProtocol. Quando viene usata per distinguere tra la versione IP, usare i valori `IPv4` e `IPv6`.
NetworkDirection	Facoltativo	Enumerated	Direzione della connessione o della sessione: - Per EventType `NetworkSession`o `Flow` `L2NetworkSession`, NetworkDirection rappresenta la direzione relativa al limite dell'organizzazione o dell'ambiente cloud. I valori supportati sono `Inbound`, `Outbound`( `Local` per l'organizzazione), `External` (per l'organizzazione) o `NA` (Non applicabile). - Per EventType `EndpointNetworkSession`, NetworkDirection rappresenta la direzione relativa all'endpoint. I valori supportati sono `Inbound`, `Outbound`, `Local` (per il sistema) `Listen` o `NA` (Non applicabile). Il `Listen` valore indica che un dispositivo ha iniziato ad accettare connessioni di rete, ma non è necessariamente connesso.
NetworkDuration	Facoltativo	Intero	Quantità di tempo, espressa in millisecondi, per il completamento della sessione di rete o della connessione. Esempio: `1500`
Durata	Alias		Alias in NetworkDuration.
NetworkIcmpType	Facoltativo	String	Per un messaggio ICMP, il nome del tipo ICMP associato al valore numerico, come descritto in RFC 2780 per le connessioni di rete IPv4 o in RFC 4443 per le connessioni di rete IPv6. Esempio: `Destination Unreachable` per NetworkIcmpCode `3`
NetworkIcmpCode	Facoltativo	Intero	Per un messaggio ICMP, il numero di codice ICMP come descritto in RFC 2780 per le connessioni di rete IPv4 o in RFC 4443 per le connessioni di rete IPv6.
NetworkConnectionHistory	Facoltativo	String	Flag TCP e altre informazioni potenziali sull'intestazione IP.
DstBytes	Consigliato	Lungo	Numero di byte inviati dalla destinazione all'origine per la connessione o la sessione. Se l'evento è aggregato, DstBytes deve corrispondere alla somma di tutte le sessioni aggregate. Esempio: `32455`
SrcBytes	Consigliato	Lungo	Numero di byte inviati dall'origine alla destinazione per la connessione o la sessione. Se l'evento è aggregato, SrcBytes deve corrispondere alla somma di tutte le sessioni aggregate. Esempio: `46536`
NetworkBytes	Facoltativo	Lungo	Numero di byte inviati in entrambe le direzioni. Se esistono sia BytesReceived che BytesSent , BytesTotal deve essere uguale alla somma. Se l'evento è aggregato, NetworkBytes deve essere la somma in tutte le sessioni aggregate. Esempio: `78991`
DstPackets	Facoltativo	Lungo	Numero di pacchetti inviati dalla destinazione all'origine per la connessione o la sessione. Il significato di un pacchetto è definito dal dispositivo di report. Se l'evento è aggregato, DstPackets deve essere la somma in tutte le sessioni aggregate. Esempio: `446`
SrcPackets	Facoltativo	Lungo	Numero di pacchetti inviati dall'origine alla destinazione per la connessione o la sessione. Il significato di un pacchetto è definito dal dispositivo di report. Se l'evento è aggregato, SrcPackets deve essere la somma in tutte le sessioni aggregate. Esempio: `6478`
NetworkPackets	Facoltativo	Lungo	Numero di pacchetti inviati in entrambe le direzioni. Se sono presenti sia PacketsReceived che PacketsSent, BytesTotal deve essere uguale alla somma. Il significato di un pacchetto è definito dal dispositivo di report. Se l'evento è aggregato, NetworkPackets deve corrispondere alla somma di tutte le sessioni aggregate. Esempio: `6924`
NetworkSessionId	Facoltativo	string	Identificatore di sessione segnalato dal dispositivo di report. Esempio: `172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80`
SessionId	Alias	String	Alias in NetworkSessionId.
TcpFlagsAck	Facoltativo	Booleano	Flag TCP ACK segnalato. Il flag di riconoscimento viene usato per confermare la ricezione corretta di un pacchetto. Come si può vedere dal diagramma precedente, il ricevitore invia un ACK e un SYN nel secondo passaggio del processo di handshake a tre vie per indicare al mittente che ha ricevuto il pacchetto iniziale.
TcpFlagsFin	Facoltativo	Booleano	Flag TCP FIN segnalato. Il flag completato indica che non sono presenti più dati dal mittente. Pertanto, viene usato nell'ultimo pacchetto inviato dal mittente.
TcpFlagsSyn	Facoltativo	Booleano	Flag TCP SYN segnalato. Il flag di sincronizzazione viene usato come primo passaggio per stabilire un handshake a tre vie tra due host. Solo il primo pacchetto del mittente e del destinatario deve avere questo flag impostato.
TcpFlagsUrg	Facoltativo	Booleano	Flag URG TCP segnalato. Il flag urgente viene usato per notificare al ricevitore di elaborare i pacchetti urgenti prima di elaborare tutti gli altri pacchetti. Il ricevitore riceverà una notifica quando sono stati ricevuti tutti i dati urgenti noti. Per altri dettagli, vedere RFC 6093 .
TcpFlagsPsh	Facoltativo	Booleano	Flag PSH TCP segnalato. Il flag push è simile al flag URG e indica al ricevitore di elaborare questi pacchetti quando vengono ricevuti anziché memorizzarli nel buffer.
TcpFlagsRst	Facoltativo	Booleano	Flag TCP RST segnalato. Il flag di reimpostazione viene inviato dal ricevitore al mittente quando un pacchetto viene inviato a un host specifico che non è previsto.
TcpFlagsEce	Facoltativo	Booleano	Flag TCP ECE segnalato. Questo flag è responsabile dell'indicazione se il peer TCP è in grado di supportare ECN. Per altri dettagli, vedere RFC 3168 .
TcpFlagsCwr	Facoltativo	Booleano	Flag CWR TCP segnalato. Il flag ridotto della finestra di congestione viene usato dall'host di invio per indicare che ha ricevuto un pacchetto con il flag ECE impostato. Per altri dettagli, vedere RFC 3168 .
TcpFlagsNs	Facoltativo	Booleano	Flag TCP NS segnalato. Il flag nonce sum è ancora un flag sperimentale usato per proteggere da errori accidentali di nascondere i pacchetti dal mittente. Per altri dettagli, vedere RFC 3540

Campi di sistema di destinazione

Campo	Classe	Tipo	Descrizione
Dst	Consigliato	Alias	Identificatore univoco del server che riceve la richiesta DNS. Questo campo potrebbe aliasre i campi DstDvcId, DstHostname o DstIpAddr . Esempio: `192.168.12.1`
DstIpAddr	Consigliato	Indirizzo IP	Indirizzo IP della connessione o della destinazione della sessione. Se la sessione usa la conversione degli indirizzi di rete, `DstIpAddr` è l'indirizzo visibile pubblicamente e non l'indirizzo originale dell'origine, archiviato in DstNatIpAddr Esempio: `2001:db8::ff00:42:8329` Nota: questo valore è obbligatorio se si specifica DstHostname .
DstPortNumber	Facoltativo	Intero	Porta IP di destinazione. Esempio: `443`
DstHostname	Consigliato	Hostname (Nome host)	Nome host del dispositivo di destinazione, escluse le informazioni sul dominio. Se non è disponibile alcun nome di dispositivo, archiviare l'indirizzo IP pertinente in questo campo. Esempio: `DESKTOP-1282V4D`
DstDomain	Consigliato	String	Dominio del dispositivo di destinazione. Esempio: `Contoso`
DstDomainType	Condizionale	Enumerated	Tipo di DstDomain. Per un elenco di valori consentiti e altre informazioni, vedere DomainType nell'articolo Panoramica dello schema. Obbligatorio se viene usato DstDomain .
DstFQDN	Facoltativo	String	Nome host del dispositivo di destinazione, incluse le informazioni sul dominio, se disponibili. Esempio: `Contoso\DESKTOP-1282V4D` Nota: questo campo supporta sia il formato FQDN tradizionale che il formato domain\hostname di Windows. DstDomainType riflette il formato usato.
DstDvcId	Facoltativo	String	ID del dispositivo di destinazione. Se sono disponibili più ID, usare quello più importante e archiviare gli altri nei campi `DstDvc<DvcIdType>`. Esempio: `ac7e9755-8eae-4ffc-8a02-50ed7a2216c3`
DstDvcScopeId	Facoltativo	String	ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. DstDvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS.
DstDvcScope	Facoltativo	String	L'ambito della piattaforma cloud a cui appartiene il dispositivo. DstDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS.
DstDvcIdType	Condizionale	Enumerated	Tipo di DstDvcId. Per un elenco di valori consentiti e altre informazioni, vedere DvcIdType nell'articolo Panoramica dello schema. Obbligatorio se viene usato DstDeviceId .
DstDeviceType	Facoltativo	Enumerated	Tipo del dispositivo di destinazione. Per un elenco di valori consentiti e altre informazioni, vedere DeviceType nell'articolo Panoramica dello schema.
DstZone	Facoltativo	String	Zona di rete della destinazione, come definito dal dispositivo di report. Esempio: `Dmz`
DstInterfaceName	Facoltativo	String	Interfaccia di rete usata per la connessione o la sessione dal dispositivo di destinazione. Esempio: `Microsoft Hyper-V Network Adapter`
DstInterfaceGuid	Facoltativo	String	GUID dell'interfaccia di rete usata nel dispositivo di destinazione. Esempio: `46ad544b-eaf0-47ef-` `827c-266030f545a6`
DstMacAddr	Facoltativo	String	Indirizzo MAC dell'interfaccia di rete usata per la connessione o la sessione dal dispositivo di destinazione. Esempio: `06:10:9f:eb:8f:14`
DstVlanId	Facoltativo	String	ID VLAN correlato al dispositivo di destinazione. Esempio: `130`
OuterVlanId	Facoltativo	Alias	Alias per DstVlanId. In molti casi, la VLAN non può essere determinata come origine o destinazione, ma è caratterizzata come interna o esterna. Questo alias indica che DstVlanId deve essere usato quando la VLAN è caratterizzata come esterna.
DstSubscriptionId	Facoltativo	String	ID sottoscrizione della piattaforma cloud a cui appartiene il dispositivo di destinazione. DstSubscriptionId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS.
DstGeoCountry	Facoltativo	Country	Paese associato all'indirizzo IP di destinazione. Per altre informazioni, vedere Tipi logici. Esempio: `USA`
DstGeoRegion	Facoltativo	Paese	Area, o stato, associata all'indirizzo IP di destinazione. Per altre informazioni, vedere Tipi logici. Esempio: `Vermont`
DstGeoCity	Facoltativo	Città	Città associata all'indirizzo IP di destinazione. Per altre informazioni, vedere Tipi logici. Esempio: `Burlington`
DstGeoLatitude	Facoltativo	Latitude	Latitudine della coordinata geografica associata all'indirizzo IP di destinazione. Per altre informazioni, vedere Tipi logici. Esempio: `44.475833`
DstGeoLongitude	Facoltativo	Longitude	Longitudine della coordinata geografica associata all'indirizzo IP di destinazione. Per altre informazioni, vedere Tipi logici. Esempio: `73.211944`

Campi utente di destinazione

Campo	Classe	Tipo	Descrizione
DstUserId	Facoltativo	String	Rappresentazione univoca, alfanumerica e leggibile del computer dell'utente di destinazione. Per il formato supportato per tipi ID diversi, vedere l'entità User. Esempio: `S-1-12`
DstUserScope	Facoltativo	String	Ambito, ad esempio il tenant di Microsoft Entra, in cui sono definiti DstUserId e DstUsername . o più informazioni ed elenco dei valori consentiti, vedere UserScope nell'articolo Panoramica dello schema.
DstUserScopeId	Facoltativo	String	ID ambito, ad esempio ID directory Di Microsoft Entra, in cui sono definiti DstUserId e DstUsername . per altre informazioni ed elenco dei valori consentiti, vedere UserScopeId nell'articolo Panoramica dello schema.
DstUserIdType	Condizionale	UserIdType	Tipo dell'ID archiviato nel campo DstUserId . Per un elenco di valori consentiti e altre informazioni, vedere UserIdType nell'articolo Panoramica dello schema.
DstUsername	Facoltativo	String	Nome utente di destinazione, incluse le informazioni sul dominio, se disponibili. Per il formato supportato per tipi ID diversi, vedere l'entità User. Usare il modulo semplice solo se le informazioni sul dominio non sono disponibili. Archiviare il tipo Nome utente nel campo DstUsernameType . Se sono disponibili altri formati di nome utente, archiviarli nei campi `DstUsername<UsernameType>`. Esempio: `AlbertE`
Utente	Alias		Alias in DstUsername.
DstUsernameType	Condizionale	UsernameType	Specifica il tipo di nome utente archiviato nel campo DstUsername . Per un elenco di valori consentiti e altre informazioni, vedere UsernameType nell'articolo Panoramica dello schema. Esempio: `Windows`
DstUserType	Facoltativo	UserType	Tipo di utente di destinazione. Per un elenco di valori consentiti e altre informazioni, vedere UserType nell'articolo Panoramica dello schema. Nota: è possibile specificare il valore nel record di origine usando termini diversi, che devono essere normalizzati in questi valori. Archiviare il valore originale nel campo DstOriginalUserType .
DstOriginalUserType	Facoltativo	String	Tipo di utente di destinazione originale, se fornito dall'origine.

Campi dell'applicazione di destinazione

Campo	Classe	Tipo	Descrizione
DstAppName	Facoltativo	String	Nome dell'applicazione di destinazione. Esempio: `Facebook`
DstAppId	Facoltativo	String	ID dell'applicazione di destinazione, come segnalato dal dispositivo di report. Se DstAppType è `Process`e `DstAppId` `DstProcessId` deve avere lo stesso valore. Esempio: `124`
DstAppType	Facoltativo	AppType	Tipo dell'applicazione di destinazione. Per un elenco di valori consentiti e altre informazioni, vedere AppType nell'articolo Panoramica dello schema. Questo campo è obbligatorio se vengono usati DstAppName o DstAppId .
DstProcessName	Facoltativo	String	Nome del file del processo che ha terminato la sessione di rete. Questo nome viene in genere considerato il nome del processo. Esempio: `C:\Windows\explorer.exe`
Processo	Alias		Alias per DstProcessName Esempio: `C:\Windows\System32\rundll32.exe`
DstProcessId	Facoltativo	String	ID processo (PID) del processo che ha terminato la sessione di rete. Esempio: `48610176` Nota: il tipo è definito come stringa per supportare sistemi diversi, ma in Windows e Linux questo valore deve essere numerico. Se si usa un computer Windows o Linux e si usa un tipo diverso, assicurarsi di convertire i valori. Ad esempio, se è stato usato un valore esadecimale, convertirlo in un valore decimale.
DstProcessGuid	Facoltativo	String	Identificatore univoco generato (GUID) del processo che ha terminato la sessione di rete. Esempio: `EF3BD0BD-2B74-60C5-AF5C-010000001E00`

Campi del sistema di origine

Campo	Classe	Tipo	Descrizione
Src	Alias		Identificatore univoco del dispositivo di origine. Questo campo potrebbe eseguire l'alias dei campi SrcDvcId, SrcHostname o SrcIpAddr . Esempio: `192.168.12.1`
SrcIpAddr	Consigliato	Indirizzo IP	Indirizzo IP da cui ha avuto origine la connessione o la sessione. Questo valore è obbligatorio se viene specificato SrcHostname . Se la sessione usa la conversione degli indirizzi di rete, `SrcIpAddr` è l'indirizzo visibile pubblicamente e non l'indirizzo originale dell'origine, archiviato in SrcNatIpAddr Esempio: `77.138.103.108`
SrcPortNumber	Facoltativo	Intero	Porta IP da cui ha avuto origine la connessione. Potrebbe non essere rilevante per una sessione che comprende più connessioni. Esempio: `2335`
SrcHostname	Consigliato	Hostname (Nome host)	Nome host del dispositivo di origine, escluse le informazioni sul dominio. Se non è disponibile alcun nome di dispositivo, archiviare l'indirizzo IP pertinente in questo campo. Esempio: `DESKTOP-1282V4D`
SrcDomain	Consigliato	String	Dominio del dispositivo di origine. Esempio: `Contoso`
SrcDomainType	Condizionale	DomainType	Tipo di SrcDomain. Per un elenco di valori consentiti e altre informazioni, vedere DomainType nell'articolo Panoramica dello schema. Obbligatorio se viene usato SrcDomain .
SrcFQDN	Facoltativo	String	Nome host del dispositivo di origine, incluse le informazioni sul dominio, se disponibili. Nota: questo campo supporta sia il formato FQDN tradizionale che il formato domain\hostname di Windows. Il campo SrcDomainType riflette il formato utilizzato. Esempio: `Contoso\DESKTOP-1282V4D`
SrcDvcId	Facoltativo	String	ID del dispositivo di origine. Se sono disponibili più ID, usare quello più importante e archiviare gli altri nei campi `SrcDvc<DvcIdType>`. Esempio: `ac7e9755-8eae-4ffc-8a02-50ed7a2216c3`
SrcDvcScopeId	Facoltativo	String	ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. SrcDvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS.
SrcDvcScope	Facoltativo	String	L'ambito della piattaforma cloud a cui appartiene il dispositivo. SrcDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS.
SrcDvcIdType	Condizionale	DvcIdType	Tipo di SrcDvcId. Per un elenco di valori consentiti e altre informazioni, vedere DvcIdType nell'articolo Panoramica dello schema. Nota: questo campo è obbligatorio se viene usato SrcDvcId .
SrcDeviceType	Facoltativo	DeviceType	Tipo del dispositivo di origine. Per un elenco di valori consentiti e altre informazioni, vedere DeviceType nell'articolo Panoramica dello schema.
SrcZone	Facoltativo	String	Zona di rete dell'origine, come definito dal dispositivo di report. Esempio: `Internet`
SrcInterfaceName	Facoltativo	String	Interfaccia di rete usata per la connessione o la sessione dal dispositivo di origine. Esempio: `eth01`
SrcInterfaceGuid	Facoltativo	String	GUID dell'interfaccia di rete usata nel dispositivo di origine. Esempio: `46ad544b-eaf0-47ef-` `827c-266030f545a6`
SrcMacAddr	Facoltativo	String	Indirizzo MAC dell'interfaccia di rete da cui ha avuto origine la connessione o la sessione. Esempio: `06:10:9f:eb:8f:14`
SrcVlanId	Facoltativo	String	ID VLAN correlato al dispositivo di origine. Esempio: `130`
InnerVlanId	Facoltativo	Alias	Alias per SrcVlanId. In molti casi, la VLAN non può essere determinata come origine o destinazione, ma è caratterizzata come interna o esterna. Questo alias per indicare che SrcVlanId deve essere usato quando la VLAN è caratterizzata come interna.
SrcSubscriptionId	Facoltativo	String	ID sottoscrizione della piattaforma cloud a cui appartiene il dispositivo di origine. SrcSubscriptionId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS.
SrcGeoCountry	Facoltativo	Country	Paese associato all'indirizzo IP di origine. Esempio: `USA`
SrcGeoRegion	Facoltativo	Paese	Area associata all'indirizzo IP di origine. Esempio: `Vermont`
SrcGeoCity	Facoltativo	Città	Città associata all'indirizzo IP di origine. Esempio: `Burlington`
SrcGeoLatitude	Facoltativo	Latitude	Latitudine della coordinata geografica associata all'indirizzo IP di origine. Esempio: `44.475833`
SrcGeoLongitude	Facoltativo	Longitude	Longitudine della coordinata geografica associata all'indirizzo IP di origine. Esempio: `73.211944`

Campi utente di origine

Campo	Classe	Tipo	Descrizione
SrcUserId	Facoltativo	String	Rappresentazione univoca dell'utente di origine leggibile, alfanumerica e leggibile dal computer. Per il formato supportato per tipi ID diversi, vedere l'entità User. Esempio: `S-1-12`
SrcUserScope	Facoltativo	String	Ambito, ad esempio il tenant di Microsoft Entra, in cui sono definiti SrcUserId e SrcUsername . o più informazioni ed elenco dei valori consentiti, vedere UserScope nell'articolo Panoramica dello schema.
SrcUserScopeId	Facoltativo	String	ID ambito, ad esempio ID directory Microsoft Entra, in cui sono definiti SrcUserId e SrcUsername . per altre informazioni ed elenco dei valori consentiti, vedere UserScopeId nell'articolo Panoramica dello schema.
SrcUserIdType	Condizionale	UserIdType	Tipo dell'ID archiviato nel campo SrcUserId . Per un elenco di valori consentiti e altre informazioni, vedere UserIdType nell'articolo Panoramica dello schema.
SrcUsername	Facoltativo	String	Nome utente di origine, incluse le informazioni sul dominio, se disponibili. Per il formato supportato per tipi ID diversi, vedere l'entità User. Usare il modulo semplice solo se le informazioni sul dominio non sono disponibili. Archiviare il tipo Nome utente nel campo SrcUsernameType . Se sono disponibili altri formati di nome utente, archiviarli nei campi `SrcUsername<UsernameType>`. Esempio: `AlbertE`
SrcUsernameType	Condizionale	UsernameType	Specifica il tipo di nome utente archiviato nel campo SrcUsername . Per un elenco di valori consentiti e altre informazioni, vedere UsernameType nell'articolo Panoramica dello schema. Esempio: `Windows`
SrcUserType	Facoltativo	UserType	Tipo di utente di origine. Per un elenco di valori consentiti e altre informazioni, vedere UserType nell'articolo Panoramica dello schema. Nota: è possibile specificare il valore nel record di origine usando termini diversi, che devono essere normalizzati in questi valori. Archiviare il valore originale nel campo SrcOriginalUserType .
SrcOriginalUserType	Facoltativo	String	Tipo di utente di destinazione originale, se fornito dal dispositivo di report.

Campi dell'applicazione di origine

Campo	Classe	Tipo	Descrizione
SrcAppName	Facoltativo	String	Nome dell'applicazione di origine. Esempio: `filezilla.exe`
SrcAppId	Facoltativo	String	ID dell'applicazione di origine, come segnalato dal dispositivo di report. Se SrcAppType è `Process`e `SrcAppId` `SrcProcessId` deve avere lo stesso valore. Esempio: `124`
SrcAppType	Facoltativo	AppType	Tipo dell'applicazione di origine. Per un elenco di valori consentiti e altre informazioni, vedere AppType nell'articolo Panoramica dello schema. Questo campo è obbligatorio se vengono usati SrcAppName o SrcAppId .
SrcProcessName	Facoltativo	String	Nome del file del processo che ha avviato la sessione di rete. Questo nome viene in genere considerato il nome del processo. Esempio: `C:\Windows\explorer.exe`
SrcProcessId	Facoltativo	String	ID processo (PID) del processo che ha avviato la sessione di rete. Esempio: `48610176` Nota: il tipo è definito come stringa per supportare sistemi diversi, ma in Windows e Linux questo valore deve essere numerico. Se si usa un computer Windows o Linux e si usa un tipo diverso, assicurarsi di convertire i valori. Ad esempio, se è stato usato un valore esadecimale, convertirlo in un valore decimale.
SrcProcessGuid	Facoltativo	String	Identificatore univoco generato (GUID) del processo che ha avviato la sessione di rete. Esempio: `EF3BD0BD-2B74-60C5-AF5C-010000001E00`

Alias locali e remoti

Tutti i campi di origine e di destinazione elencati in precedenza possono essere facoltativamente aliasati da campi con lo stesso nome e i descrittori Local e Remote. Ciò è in genere utile per gli eventi segnalati da un endpoint e per cui il tipo di evento è EndpointNetworkSession.

Per tali eventi, i descrittori Local e Remote denotano rispettivamente l'endpoint stesso e il dispositivo all'altra estremità della sessione di rete. Per le connessioni in ingresso, il sistema locale è la destinazione, Local i campi sono alias per i campi e i Dst campi 'Remote' sono alias per Src i campi. Viceversa, per le connessioni in uscita, il sistema locale è l'origine, Local i campi sono alias per i Src campi e Remote i campi sono alias per Dst i campi.

Ad esempio, per un evento in ingresso, il campo LocalIpAddr è un alias a DstIpAddr e il campo RemoteIpAddr è un alias di SrcIpAddr.

Alias di nome host e indirizzo IP

Campo	Classe	Tipo	Descrizione
Hostname (Nome host)	Alias		- Se il tipo di evento è `NetworkSession`, `Flow` o `L2NetworkSession`, Nome host è un alias per DstHostname. - Se il tipo di evento è `EndpointNetworkSession`, Hostname è un alias di `RemoteHostname`, che può eseguire l'alias DstHostname o SrcHostName, a seconda di NetworkDirection
IpAddr	Alias		- Se il tipo di evento è `NetworkSession`o `L2NetworkSessionFlow` , IpAddr è un alias di SrcIpAddr. - Se il tipo di evento è `EndpointNetworkSession`, IpAddr è un alias di , che può aliasare `LocalIpAddr`SrcIpAddr o DstIpAddr, a seconda di NetworkDirection.

Campi NAT (Network Address Translation) intermedio e dispositivo intermedio

I campi seguenti sono utili se il record include informazioni su un dispositivo intermedio, ad esempio un firewall o un proxy, che inoltra la sessione di rete.

I sistemi intermedi usano spesso la traduzione degli indirizzi e pertanto l'indirizzo originale e l'indirizzo osservato esternamente non sono uguali. In questi casi, i campi degli indirizzi primari, ad esempio SrcIPAddr e DstIpAddr , rappresentano gli indirizzi osservati esternamente, mentre i campi degli indirizzi NAT, SrcNatIpAddr e DstNatIpAddr rappresentano l'indirizzo interno del dispositivo originale prima della conversione.

Campo	Classe	Tipo	Descrizione
DstNatIpAddr	Facoltativo	Indirizzo IP	DstNatIpAddr rappresenta uno dei due elementi seguenti: - Indirizzo originale del dispositivo di destinazione se è stata usata la traduzione degli indirizzi di rete. - L'indirizzo IP usato dal dispositivo intermedio per la comunicazione con l'origine. Esempio: `2::1`
DstNatPortNumber	Facoltativo	Intero	Se segnalato da un dispositivo NAT intermedio, la porta usata dal dispositivo NAT per la comunicazione con l'origine. Esempio: `443`
SrcNatIpAddr	Facoltativo	Indirizzo IP	SrcNatIpAddr rappresenta uno dei seguenti: - L'indirizzo originale del dispositivo di origine se è stata usata la traduzione degli indirizzi di rete. - Indirizzo IP usato dal dispositivo intermedio per la comunicazione con la destinazione. Esempio: `4.3.2.1`
SrcNatPortNumber	Facoltativo	Intero	Se segnalato da un dispositivo NAT intermedio, la porta usata dal dispositivo NAT per la comunicazione con la destinazione. Esempio: `345`
DvcInboundInterface	Facoltativo	String	Se segnalato da un dispositivo intermedio, l'interfaccia di rete usata dal dispositivo NAT per la connessione al dispositivo di origine. Esempio: `eth0`
DvcOutboundInterface	Facoltativo	String	Se segnalato da un dispositivo intermedio, l'interfaccia di rete usata dal dispositivo NAT per la connessione al dispositivo di destinazione. Esempio: `Ethernet adapter Ethernet 4e`

Campi di ispezione

I campi seguenti vengono usati per rappresentare l'ispezione eseguita da un dispositivo di sicurezza, ad esempio un firewall, un IPS o un gateway di sicurezza Web:

Campo	Classe	Tipo	Descrizione
NetworkRuleName	Facoltativo	String	Nome o ID della regola su cui È stato deciso DvcAction . Esempio: `AnyAnyDrop`
NetworkRuleNumber	Facoltativo	Intero	Numero della regola in base alla quale DvcAction è stato deciso. Esempio: `23`
Regola	Alias	String	Valore di NetworkRuleName o valore di NetworkRuleNumber. Se viene usato il valore di NetworkRuleNumber , il tipo deve essere convertito in stringa.
ThreatId	Facoltativo	String	ID della minaccia o del malware identificato nella sessione di rete. Esempio: `Tr.124`
ThreatName	Facoltativo	String	Nome della minaccia o del malware identificato nella sessione di rete. Esempio: `EICAR Test File`
ThreatCategory	Facoltativo	String	Categoria della minaccia o del malware identificato nella sessione di rete. Esempio: `Trojan`
ThreatRiskLevel	Facoltativo	Intero	Livello di rischio associato alla sessione. Il livello deve essere un numero compreso tra 0 e 100. Nota: il valore potrebbe essere fornito nel record di origine usando una scala diversa, che deve essere normalizzata per questa scala. Il valore originale deve essere archiviato in ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel	Facoltativo	String	Livello di rischio segnalato dal dispositivo di report.
ThreatIpAddr	Facoltativo	Indirizzo IP	Indirizzo IP per il quale è stata identificata una minaccia. Il campo ThreatField contiene il nome del campo ThreatIpAddr rappresenta.
ThreatField	Condizionale	Enumerated	Campo per il quale è stata identificata una minaccia. Il valore può essere `SrcIpAddr` o `DstIpAddr`.
ThreatConfidence	Facoltativo	Intero	Livello di attendibilità della minaccia identificata, normalizzato in un valore compreso tra 0 e 100.
ThreatOriginalConfidence	Facoltativo	String	Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di report.
ThreatIsActive	Facoltativo	Booleano	True se la minaccia identificata è considerata una minaccia attiva.
ThreatFirstReportedTime	Facoltativo	datetime	La prima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia.
ThreatLastReportedTime	Facoltativo	datetime	L'ultima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia.

Altri campi

Se l'evento viene segnalato da uno degli endpoint della sessione di rete, potrebbe includere informazioni sul processo che ha avviato o terminato la sessione. In questi casi, lo schema di eventi del processo ASIM viene usato per normalizzare queste informazioni.

Aggiornamenti dello schema

Di seguito sono riportate le modifiche apportate alla versione 0.2.1 dello schema:

Aggiunta Src e Dst come alias a un identificatore iniziale per i sistemi di origine e di destinazione.
Sono stati aggiunti i campi NetworkConnectionHistory, SrcVlanIdDstVlanId, InnerVlanId, e OuterVlanId.

Di seguito sono riportate le modifiche apportate alla versione 0.2.2 dello schema:

Aggiunta di Remote alias e Local .
Aggiunta del tipo di EndpointNetworkSessionevento .
Definito Hostname e IpAddr come alias per RemoteHostname e LocalIpAddr rispettivamente quando il tipo di evento è EndpointNetworkSession.
Definito DvcInterface come alias in DvcInboundInterface o DvcOutboundInterface.
Modifica del tipo dei campi seguenti da Integer a Long: SrcBytes, , DstBytesNetworkBytesSrcPackets, DstPackets, e NetworkPackets.
Sono stati aggiunti i campi NetworkProtocolVersion, SrcSubscriptionIde DstSubscriptionId.
Deprecato DstUserDomain e SrcUserDomain.

Di seguito sono riportate le modifiche apportate alla versione 0.2.3 dello schema:

Aggiunta del ipaddr_has_any_prefix parametro di filtro.
Il hostname_has_any parametro di filtro corrisponde ora ai nomi host di origine o di destinazione.
Sono stati aggiunti i campi ASimMatchingHostname e ASimMatchingIpAddr.

Di seguito sono riportate le modifiche apportate alla versione 0.2.4 dello schema:

Sono stati aggiunti i TcpFlags campi.
Aggiornato e NetworkIcmpCode per riflettere il valore numerico NetworkIcpmType per entrambi.
Aggiunta di campi di ispezione aggiuntivi.
Il campo 'ThreatRiskLevelOriginal' è stato rinominato in per allinearsi ThreatOriginalRiskLevel alle convenzioni ASIM. I parser Microsoft esistenti manterranno ThreatRiskLevelOriginal fino al 1° maggio 2023.
Contrassegnato EventResultDetails come consigliato e specificato i valori consentiti.

Di seguito sono riportate le modifiche apportate alla versione 0.2.5 dello schema:

Sono stati aggiunti i campi DstUserScope, SrcDvcScopeSrcDvcScopeIdDstDvcScopeIdSrcUserScope, DstDvcScope, DvcScopeId, e .DvcScope

Di seguito sono riportate le modifiche apportate alla versione 0.2.6 dello schema:

Aggiunta di IDS come tipo di evento

Passaggi successivi

Per altre informazioni, vedi:

Guardare il webinar di ASIM o esaminare le diapositive
Panoramica di Advanced Security Information Model (ASIM)
Schemi ASIM (Advanced Security Information Model)
Parser ASIM (Advanced Security Information Model)
Contenuto di Advanced Security Information Model (ASIM)

Condividi tramite