Informazioni di riferimento sullo schema di normalizzazione della sessione di rete ASIM (Advanced Security Information Model)

Lo schema di normalizzazione della sessione di rete Microsoft Sentinel rappresenta un'attività di rete IP, ad esempio connessioni di rete e sessioni di rete. Tali eventi vengono segnalati, ad esempio, da sistemi operativi, router, firewall e sistemi di prevenzione delle intrusioni.

Lo schema di normalizzazione della rete può rappresentare qualsiasi tipo di sessione di rete IP, ma è progettato per fornire supporto per tipi di origine comuni, ad esempio Netflow, firewall e sistemi di prevenzione delle intrusioni.

Per altre informazioni sulla normalizzazione in Microsoft Sentinel, vedere Normalization and the Advanced Security Information Model (ASIM).

Parser

Per altre informazioni sui parser ASIM, vedere panoramica dei parser ASIM.

Unificazione dei parser

Per usare i parser che unificano tutti i parser predefiniti di ASIM e assicurarsi che l'analisi venga eseguita in tutte le origini configurate, usare il _Im_NetworkSession parser.

Parser predefiniti specifici dell'origine

Per l'elenco dei parser della sessione di rete Microsoft Sentinel fornisce informazioni predefinite, vedere l'elenco dei parser ASIM

Aggiungere i propri parser normalizzati

Quando si sviluppano parser personalizzati per il modello informativo sessione di rete, assegnare alle funzioni KQL il nome usando la sintassi seguente:

vimNetworkSession<vendor><Product> per i parser parametrizzati
ASimNetworkSession<vendor><Product> per i parser regolari

Per informazioni su come aggiungere i parser personalizzati alla sessione di rete che unifica i parser, vedere l'articolo Gestione dei parser ASIM .

Filtro dei parametri del parser

I parser della sessione di rete supportano i parametri di filtro. Anche se questi parametri sono facoltativi, possono migliorare le prestazioni delle query.

Sono disponibili i parametri di filtro seguenti:

Nome	Tipo	Descrizione
Starttime	datetime	Filtrare solo le sessioni di rete avviate in corrispondenza o dopo questo periodo di tempo. Questo parametro filtra il `TimeGenerated` campo, ovvero l'indicatore standard per l'ora dell'evento, indipendentemente dal mapping specifico del parser dei campi EventStartTime e EventEndTime.
Endtime	datetime	Filtrare solo le sessioni di rete che hanno iniziato l'esecuzione in corrispondenza o prima di questo momento. Questo parametro filtra il `TimeGenerated` campo, ovvero l'indicatore standard per l'ora dell'evento, indipendentemente dal mapping specifico del parser dei campi EventStartTime e EventEndTime.
srcipaddr_has_any_prefix	Dinamico	Filtrare solo le sessioni di rete per le quali il prefisso del campo indirizzo IP di origine si trova in uno dei valori elencati. I prefissi devono terminare con un `.`, ad esempio: `10.0.`. La lunghezza dell'elenco è limitata a 10.000 elementi.
dstipaddr_has_any_prefix	Dinamico	Filtrare solo le sessioni di rete per cui il prefisso del campo indirizzo IP di destinazione si trova in uno dei valori elencati. I prefissi devono terminare con un `.`, ad esempio: `10.0.`. La lunghezza dell'elenco è limitata a 10.000 elementi.
ipaddr_has_any_prefix	Dinamico	Filtrare solo le sessioni di rete per le quali il campo indirizzo IP di destinazione o il prefisso del campo indirizzo IP di origine si trova in uno dei valori elencati. I prefissi devono terminare con un `.`, ad esempio: `10.0.`. La lunghezza dell'elenco è limitata a 10.000 elementi. Il campo ASimMatchingIpAddr viene impostato con uno dei valori `SrcIpAddr`, `DstIpAddr`o `Both` per riflettere i campi o i campi corrispondenti.
dstportnumber	Soglia	Filtrare solo le sessioni di rete con il numero di porta di destinazione specificato.
hostname_has_any	dynamic/string	Filtrare solo le sessioni di rete per le quali il campo nome host di destinazione contiene uno dei valori elencati. La lunghezza dell'elenco è limitata a 10.000 elementi. Il campo ASimMatchingHostname viene impostato con uno dei valori `SrcHostname`, `DstHostname`o `Both` per riflettere i campi o i campi corrispondenti.
dvcaction	dynamic/string	Filtrare solo le sessioni di rete per cui il campo Azione dispositivo è uno dei valori elencati.
eventresult	Stringa	Filtrare solo le sessioni di rete con un valore EventResult specifico.

Alcuni parametri possono accettare sia l'elenco di valori di tipo dynamic che un singolo valore stringa. Per passare un elenco di valori letterali a parametri che prevedono un valore dinamico, usare in modo esplicito un valore letterale dinamico. Ad esempio: dynamic(['192.168.','10.'])

Ad esempio, per filtrare solo le sessioni di rete per un elenco specificato di nomi di dominio, usare:

let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)

Consiglio

Per passare un elenco di valori letterali a parametri che prevedono un valore dinamico, usare in modo esplicito un valore letterale dinamico. Ad esempio: dynamic(['192.168.','10.']).

Contenuto normalizzato

Per un elenco completo delle regole di analisi che usano eventi DNS normalizzati, vedere Contenuto della sicurezza della sessione di rete.

Panoramica sullo schema

Il modello informativo sessione di rete è allineato allo schema dell'entità di rete OSSEM.

Lo schema sessione di rete offre diversi tipi di scenari simili ma distinti, che condividono gli stessi campi. Questi scenari sono identificati dal campo EventType:

NetworkSession - una sessione di rete segnalata da un dispositivo intermedio che monitora la rete, ad esempio un firewall, un router o un tocco di rete.
L2NetworkSession - una sessione di rete per la quale sono disponibili solo informazioni di livello 2. Tali eventi includeranno indirizzi MAC, ma non indirizzi IP.
Flow : evento aggregato che segnala più sessioni di rete simili, in genere in un periodo di tempo predefinito, ad esempio gli eventi Netflow .
EndpointNetworkSession - una sessione di rete segnalata da uno dei punti finali della sessione, inclusi client e server. Per tali eventi, lo schema supporta i remote campi alias e local .
IDS - una sessione di rete segnalata come sospetta. Un evento di questo tipo avrà alcuni campi di ispezione popolati e potrebbe avere un solo campo di indirizzo IP popolato, ovvero l'origine o la destinazione.

In genere, una query deve selezionare solo un subset di tali tipi di eventi e potrebbe dover affrontare separatamente aspetti univoci dei casi d'uso. Ad esempio, gli eventi IDS non riflettono l'intero volume di rete e non devono essere presi in considerazione nell'analisi basata su colonne.

Gli eventi di sessione di rete usano i descrittori Src e Dst per indicare i ruoli dei dispositivi e degli utenti e delle applicazioni correlati coinvolti nella sessione. Ad esempio, il nome host e l'indirizzo IP del dispositivo di origine sono denominati SrcHostname e SrcIpAddr. Altri schemi ASIM in genere usano Target invece di Dst.

Per gli eventi segnalati da un endpoint e per i quali il tipo di evento è EndpointNetworkSession, i descrittori Local e Remote indicano rispettivamente l'endpoint stesso e il dispositivo all'altra estremità della sessione di rete.

Il descrittore Dvc viene usato per il dispositivo di report, ovvero il sistema locale per le sessioni segnalate da un endpoint, e il dispositivo intermedio o il tocco di rete per altri eventi di sessione di rete.

Dettagli dello schema

Campi ASIM comuni

Importante

I campi comuni a tutti gli schemi sono descritti in dettaglio nell'articolo Campi comuni di ASIM .

Campi comuni con linee guida specifiche

Nell'elenco seguente vengono indicati i campi con linee guida specifiche per gli eventi di sessione di rete:

Campo	Classe	Tipo	Descrizione
EventCount	Obbligatorio	Numero intero	Le origini netflow supportano l'aggregazione e il campo EventCount deve essere impostato sul valore del campo Flussi di flusso di rete. Per altre origini, il valore è in genere impostato su `1`.
Eventtype	Obbligatorio	Enumerato	Descrive lo scenario segnalato dal record. Per i record sessione di rete, i valori consentiti sono: - `EndpointNetworkSession` - `NetworkSession` - `L2NetworkSession` - `IDS` - `Flow` Per altre informazioni sui tipi di evento, vedere panoramica dello schema
EventSubType	Facoltativo	Enumerato	Descrizione aggiuntiva del tipo di evento, se applicabile. Per i record sessione di rete, i valori supportati includono: - `Start` - `End` Questo campo non è rilevante per `Flow` gli eventi.
EventResult	Obbligatorio	Enumerato	Se il dispositivo di origine non fornisce un risultato dell'evento, EventResult deve essere basato sul valore di DvcAction. Se DvcAction è `Deny`, , `Drop ICMPDrop`, `Reset`, `Reset Source`o`Reset Destination` , EventResult deve essere `Failure`. In caso contrario, EventResult deve essere `Success`.
EventResultDetails	Consigliata	Enumerato	Motivo o dettagli del risultato segnalato nel campo EventResult . I valori supportati sono: -Failover - TCP non valido - Tunnel non valido - Numero massimo di tentativi -Reimpostare - Problema di routing -Simulazione -Terminato -Timeout - Errore temporaneo -Sconosciuto -NA. Il valore originale, specifico dell'origine, viene archiviato nel campo EventOriginalResultDetails .
EventSchema	Obbligatorio	Enumerato	Il nome dello schema documentato qui è `NetworkSession`.
EventSchemaVersion	Obbligatorio	SchemaVersion (String)	Versione dello schema. La versione dello schema documentata qui è `0.2.7`.
DvcAction	Consigliata	Enumerato	Azione eseguita nella sessione di rete. I valori supportati sono: - `Allow` - `Deny` - `Drop` - `Drop ICMP` - `Reset` - `Reset Source` - `Reset Destination` - `Encrypt` - `Decrypt` - `VPNroute` Nota: il valore può essere fornito nel record di origine usando termini diversi, che devono essere normalizzati in base a questi valori. Il valore originale deve essere archiviato nel campo DvcOriginalAction . Esempio: `drop`
EventSeverity	Facoltativo	Enumerato	Se il dispositivo di origine non fornisce una gravità dell'evento, EventSeverity deve essere basato sul valore di DvcAction. Se DvcAction è `Deny`, , `Drop ICMPDrop`, `Reset`, `Reset Source`o`Reset Destination` , EventSeverity deve essere `Low`. In caso contrario, EventSeverity deve essere `Informational`.
DvcInterface			Il campo DvcInterface deve eseguire l'alias dei campi DvcInboundInterface o DvcOutboundInterface .
Campi Dvc			Per gli eventi sessione di rete, i campi del dispositivo fanno riferimento al sistema che segnala l'evento sessione di rete.

Tutti i campi comuni

I campi visualizzati nella tabella seguente sono comuni a tutti gli schemi ASIM. Qualsiasi linea guida specificata in precedenza sostituisce le linee guida generali per il campo. Ad esempio, un campo può essere facoltativo in generale, ma obbligatorio per uno schema specifico. Per altre informazioni su ogni campo, vedere l'articolo Campi comuni di ASIM .

Classe	Campi
Obbligatorio	- EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc
Consigliata	- EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction
Facoltativo	- EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcO - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope

Campi della sessione di rete

Campo	Classe	Tipo	Descrizione
NetworkApplicationProtocol	Facoltativo	Stringa	Protocollo a livello di applicazione usato dalla connessione o dalla sessione. Il valore deve essere in tutte le lettere maiuscole. Esempio: `FTP`
NetworkProtocol	Facoltativo	Enumerato	Protocollo IP usato dalla connessione o dalla sessione come elencato nell'assegnazione del protocollo IANA, che in genere `TCP`è , `UDP`o `ICMP`. Esempio: `TCP`
NetworkProtocolVersion	Facoltativo	Enumerato	Versione di NetworkProtocol. Quando lo si usa per distinguere tra la versione IP, usare i valori `IPv4` e `IPv6`.
NetworkDirection	Facoltativo	Enumerato	Direzione della connessione o della sessione: - Per EventType`NetworkSession`, `Flow` o `L2NetworkSession`, NetworkDirection rappresenta la direzione relativa al limite dell'organizzazione o dell'ambiente cloud. I valori supportati sono `Inbound`, `Outbound`, `Local` (per l'organizzazione), `External` (per l'organizzazione) o `NA` (non applicabile). - Per EventType`EndpointNetworkSession`, NetworkDirection rappresenta la direzione relativa all'endpoint. I valori supportati sono `Inbound`, `Outbound`, `Local` (per il sistema) `Listen` o `NA` (non applicabile). Il `Listen` valore indica che un dispositivo ha iniziato ad accettare connessioni di rete ma non è in realtà, necessariamente, connesso.
NetworkDuration	Facoltativo	Numero intero	La quantità di tempo, in millisecondi, per il completamento della sessione di rete o della connessione. Esempio: `1500`
Durata	Alias		Alias in NetworkDuration.
NetworkIcmpType	Facoltativo	Stringa	Per un messaggio ICMP, nome del tipo ICMP associato al valore numerico, come descritto in RFC 2780 per le connessioni di rete IPv4 o in RFC 4443 per le connessioni di rete IPv6. Esempio: `Destination Unreachable` per NetworkIcmpCode `3`
NetworkIcmpCode	Facoltativo	Numero intero	Per un messaggio ICMP, il numero di codice ICMP come descritto in RFC 2780 per le connessioni di rete IPv4 o in RFC 4443 per le connessioni di rete IPv6.
NetworkConnectionHistory	Facoltativo	Stringa	Flag TCP e altre potenziali informazioni sull'intestazione IP.
DstBytes	Consigliata	Lungo	Numero di byte inviati dalla destinazione all'origine per la connessione o la sessione. Se l'evento è aggregato, DstBytes deve essere la somma su tutte le sessioni aggregate. Esempio: `32455`
SrcBytes	Consigliata	Lungo	Numero di byte inviati dall'origine alla destinazione per la connessione o la sessione. Se l'evento è aggregato, SrcBytes deve essere la somma su tutte le sessioni aggregate. Esempio: `46536`
NetworkBytes	Facoltativo	Lungo	Numero di byte inviati in entrambe le direzioni. Se sono presenti sia BytesReceived che BytesSent , BytesTotal deve essere uguale alla somma. Se l'evento è aggregato, NetworkBytes deve essere la somma su tutte le sessioni aggregate. Esempio: `78991`
DstPackets	Facoltativo	Lungo	Numero di pacchetti inviati dalla destinazione all'origine per la connessione o la sessione. Il significato di un pacchetto è definito dal dispositivo di report. Se l'evento è aggregato, DstPackets deve essere la somma su tutte le sessioni aggregate. Esempio: `446`
SrcPackets	Facoltativo	Lungo	Numero di pacchetti inviati dall'origine alla destinazione per la connessione o la sessione. Il significato di un pacchetto è definito dal dispositivo di report. Se l'evento è aggregato, SrcPackets deve essere la somma su tutte le sessioni aggregate. Esempio: `6478`
NetworkPackets	Facoltativo	Lungo	Numero di pacchetti inviati in entrambe le direzioni. Se sono presenti sia PacketsReceived che PacketsSent , PacketsTotal deve essere uguale alla somma. Il significato di un pacchetto è definito dal dispositivo di report. Se l'evento è aggregato, NetworkPackets deve essere la somma su tutte le sessioni aggregate. Esempio: `6924`
NetworkSessionId	Facoltativo	stringa	Identificatore di sessione segnalato dal dispositivo di report. Esempio: `172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80`
SessionId	Alias	Stringa	Alias per NetworkSessionId.
TcpFlagsAck	Facoltativo	Booleano	Flag ACK TCP segnalato. Il flag acknowledgment viene usato per confermare la ricezione corretta di un pacchetto. Come si può vedere dal diagramma precedente, il ricevitore invia un ACK e un SYN nel secondo passaggio del processo di handshake a tre vie per indicare al mittente che ha ricevuto il pacchetto iniziale.
TcpFlagsFin	Facoltativo	Booleano	Flag TCP FIN segnalato. Il flag completato indica che non sono presenti più dati dal mittente. Viene quindi usato nell'ultimo pacchetto inviato dal mittente.
TcpFlagsSyn	Facoltativo	Booleano	Flag TCP SYN segnalato. Il flag di sincronizzazione viene usato come primo passaggio per stabilire un handshake a tre vie tra due host. Questo flag deve essere impostato solo per il primo pacchetto del mittente e del ricevitore.
TcpFlagsUrg	Facoltativo	Booleano	Flag TCP URG segnalato. Il flag urgent viene usato per notificare al ricevitore di elaborare i pacchetti urgenti prima di elaborare tutti gli altri pacchetti. Il ricevitore riceverà una notifica quando tutti i dati urgenti noti sono stati ricevuti. Per altri dettagli, vedere RFC 6093 .
TcpFlagsPsh	Facoltativo	Booleano	Flag PSH TCP segnalato. Il flag di push è simile al flag URG e indica al ricevitore di elaborare questi pacchetti man mano che vengono ricevuti invece di memorizzarli nel buffer.
TcpFlagsRst	Facoltativo	Booleano	Flag TCP RST segnalato. Il flag di reimpostazione viene inviato dal ricevitore al mittente quando un pacchetto viene inviato a un host specifico che non lo aspettava.
TcpFlagsEce	Facoltativo	Booleano	Flag ECE TCP segnalato. Questo flag è responsabile di indicare se il peer TCP è in grado di supportare ECN. Per altri dettagli, vedere RFC 3168 .
TcpFlagsCwr	Facoltativo	Booleano	Flag CWR TCP segnalato. Il flag ridotto della finestra di congestione viene usato dall'host di invio per indicare che ha ricevuto un pacchetto con il flag ECE impostato. Per altri dettagli, vedere RFC 3168 .
TcpFlagsNs	Facoltativo	Booleano	Flag NS TCP segnalato. Il flag sum nonce è ancora un flag sperimentale usato per proteggere da un occultamento accidentale di pacchetti da parte del mittente. Per altri dettagli, vedere RFC 3540

Campi del sistema di destinazione

Campo	Classe	Tipo	Descrizione
Dst	Alias		Identificatore univoco del server che riceve la richiesta DNS. Questo campo potrebbe aliasare i campi DstDvcId, DstHostname o DstIpAddr . Esempio: `192.168.12.1`
DstIpAddr	Consigliata	Indirizzo IP	Indirizzo IP della connessione o della destinazione della sessione. Se la sessione usa la conversione degli indirizzi di rete, `DstIpAddr` è l'indirizzo visibile pubblicamente e non l'indirizzo originale dell'origine, archiviato in DstNatIpAddr Esempio: `2001:db8::ff00:42:8329` Nota: questo valore è obbligatorio se viene specificato DstHostname .
DstPortNumber	Facoltativo	Numero intero	Porta IP di destinazione. Esempio: `443`
DstHostname	Consigliata	Nome host (stringa)	Nome host del dispositivo di destinazione, escluse le informazioni di dominio. Se non è disponibile alcun nome del dispositivo, archiviare l'indirizzo IP pertinente in questo campo. Esempio: `DESKTOP-1282V4D`
DstDomain	Consigliata	Dominio (stringa)	Dominio del dispositivo di destinazione. Esempio: `Contoso`
DstDomainType	Condizionale	Enumerato	Tipo di DstDomain. Per un elenco dei valori consentiti e altre informazioni, vedere DomainType nell'articolo Panoramica dello schema. Obbligatorio se viene usato DstDomain .
DstFQDN	Facoltativo	FQDN (String)	Nome host del dispositivo di destinazione, incluse le informazioni sul dominio quando disponibile. Esempio: `Contoso\DESKTOP-1282V4D` Nota: questo campo supporta sia il formato FQDN tradizionale che il formato dominio\nome host di Windows. DstDomainType riflette il formato usato.
DstDvcId	Facoltativo	Stringa	ID del dispositivo di destinazione. Se sono disponibili più ID, usare quello più importante e archiviarne gli altri nei campi `DstDvc<DvcIdType>`. Esempio: `ac7e9755-8eae-4ffc-8a02-50ed7a2216c3`
DstDvcScopeId	Facoltativo	Stringa	ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. DstDvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS.
DstDvcScope	Facoltativo	Stringa	Ambito della piattaforma cloud a cui appartiene il dispositivo. DstDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS.
DstDvcIdType	Condizionale	Enumerato	Tipo di DstDvcId. Per un elenco dei valori consentiti e altre informazioni, vedere DvcIdType nell'articolo Panoramica dello schema. Obbligatorio se viene usato DstDeviceId .
DstDeviceType	Facoltativo	Enumerato	Tipo del dispositivo di destinazione. Per un elenco dei valori consentiti e altre informazioni, vedere DeviceType nell'articolo Panoramica dello schema.
DstZone	Facoltativo	Stringa	Zona di rete della destinazione, come definito dal dispositivo di report. Esempio: `Dmz`
DstInterfaceName	Facoltativo	Stringa	Interfaccia di rete usata per la connessione o la sessione dal dispositivo di destinazione. Esempio: `Microsoft Hyper-V Network Adapter`
DstInterfaceGuid	Facoltativo	GUID (String)	GUID dell'interfaccia di rete usata nel dispositivo di destinazione. Esempio: `46ad544b-eaf0-47ef-` `827c-266030f545a6`
DstMacAddr	Facoltativo	Indirizzo MAC (stringa)	Indirizzo MAC dell'interfaccia di rete usata per la connessione o la sessione dal dispositivo di destinazione. Esempio: `06:10:9f:eb:8f:14`
DstVlanId	Facoltativo	Stringa	ID VLAN correlato al dispositivo di destinazione. Esempio: `130`
OuterVlanId	Alias		Alias per DstVlanId. In molti casi, la VLAN non può essere determinata come origine o destinazione, ma è caratterizzata come interna o esterna. Questo alias indica che DstVlanId deve essere usato quando la VLAN è caratterizzata come esterna.
DstGeoCountry	Facoltativo	Paese	Paese/area geografica associato all'indirizzo IP di destinazione. Per altre informazioni, vedere Tipi logici. Esempio: `USA`
DstGeoRegion	Facoltativo	Area geografica	L'area o lo stato associato all'indirizzo IP di destinazione. Per altre informazioni, vedere Tipi logici. Esempio: `Vermont`
DstGeoCity	Facoltativo	Città	Città associata all'indirizzo IP di destinazione. Per altre informazioni, vedere Tipi logici. Esempio: `Burlington`
DstGeoLatitude	Facoltativo	Latitudine	La latitudine della coordinata geografica associata all'indirizzo IP di destinazione. Per altre informazioni, vedere Tipi logici. Esempio: `44.475833`
DstGeoLongitude	Facoltativo	Longitudine	Longitudine della coordinata geografica associata all'indirizzo IP di destinazione. Per altre informazioni, vedere Tipi logici. Esempio: `73.211944`
DstDescription	Facoltativo	Stringa	Testo descrittivo associato al dispositivo. Ad esempio: `Primary Domain Controller`.

Campi utente di destinazione

Campo	Classe	Tipo	Descrizione
DstUserId	Facoltativo	Stringa	Rappresentazione univoca, alfanumerica e leggibile dal computer dell'utente di destinazione. Per il formato supportato per diversi tipi di ID, fare riferimento all'entità Utente. Esempio: `S-1-12`
DstUserScope	Facoltativo	Stringa	Ambito, ad esempio Microsoft Entra tenant, in cui vengono definiti DstUserId e DstUsername. o altre informazioni e l'elenco dei valori consentiti, vedere UserScope nell'articolo Panoramica dello schema.
DstUserScopeId	Facoltativo	Stringa	ID ambito, ad esempio Microsoft Entra ID directory, in cui vengono definiti DstUserId e DstUsername. Per altre informazioni e l'elenco dei valori consentiti, vedere UserScopeId nell'articolo Panoramica dello schema.
DstUserIdType	Condizionale	UserIdType	Tipo dell'ID archiviato nel campo DstUserId . Per un elenco dei valori consentiti e altre informazioni, vedere UserIdType nell'articolo Panoramica dello schema.
DstUsername	Facoltativo	Nome utente (stringa)	Nome utente di destinazione, incluse le informazioni sul dominio quando disponibile. Per il formato supportato per diversi tipi di ID, fare riferimento all'entità Utente. Usare il modulo semplice solo se le informazioni sul dominio non sono disponibili. Archiviare il tipo Username nel campo DstUsernameType . Se sono disponibili altri formati di nome utente, archiviarli nei campi `DstUsername<UsernameType>`. Esempio: `AlbertE`
Utente	Alias		Alias su DstUsername.
DstUsernameType	Condizionale	UsernameType	Specifica il tipo di nome utente archiviato nel campo DstUsername . Per un elenco dei valori consentiti e altre informazioni, vedere UsernameType nell'articolo Panoramica dello schema. Esempio: `Windows`
DstUserType	Facoltativo	Usertype	Tipo di utente di destinazione. Per un elenco dei valori consentiti e altre informazioni, vedere UserType nell'articolo Panoramica dello schema. Nota: il valore può essere fornito nel record di origine usando termini diversi, che devono essere normalizzati in base a questi valori. Archiviare il valore originale nel campo DstOriginalUserType .
DstOriginalUserType	Facoltativo	Stringa	Tipo di utente di destinazione originale, se fornito dall'origine.

Campi dell'applicazione di destinazione

Campo	Classe	Tipo	Descrizione
DstAppName	Facoltativo	Stringa	Nome dell'applicazione di destinazione. Esempio: `Facebook`
DstAppId	Facoltativo	Stringa	ID dell'applicazione di destinazione, come segnalato dal dispositivo di report. Se DstAppType è `Process`e `DstAppIdDstProcessId` deve avere lo stesso valore. Esempio: `124`
DstAppType	Facoltativo	AppType	Tipo dell'applicazione di destinazione. Per un elenco dei valori consentiti e altre informazioni, vedere AppType nell'articolo Panoramica dello schema. Questo campo è obbligatorio se vengono usati DstAppName o DstAppId .
DstProcessName	Facoltativo	Stringa	Nome file del processo che ha terminato la sessione di rete. Questo nome viene in genere considerato come nome del processo. Esempio: `C:\Windows\explorer.exe`
Processo	Alias		Alias per DstProcessName Esempio: `C:\Windows\System32\rundll32.exe`
DstProcessId	Facoltativo	Stringa	ID processo (PID) del processo che ha terminato la sessione di rete. Esempio: `48610176` Nota: il tipo è definito come stringa per supportare sistemi diversi, ma in Windows e Linux questo valore deve essere numerico. Se si usa un computer Windows o Linux e si usa un tipo diverso, assicurarsi di convertire i valori. Ad esempio, se è stato usato un valore esadecimale, convertirlo in un valore decimale.
DstProcessGuid	Facoltativo	Stringa	Identificatore univoco generato (GUID) del processo che ha terminato la sessione di rete. Esempio: `EF3BD0BD-2B74-60C5-AF5C-010000001E00`

Campi del sistema di origine

Campo	Classe	Tipo	Descrizione
Src	Alias		Identificatore univoco del dispositivo di origine. Questo campo potrebbe aliasare i campi SrcDvcId, SrcHostname o SrcIpAddr . Esempio: `192.168.12.1`
SrcIpAddr	Consigliata	Indirizzo IP	Indirizzo IP da cui ha origine la connessione o la sessione. Questo valore è obbligatorio se si specifica SrcHostname . Se la sessione usa la conversione degli indirizzi di rete, `SrcIpAddr` è l'indirizzo visibile pubblicamente e non l'indirizzo originale dell'origine, archiviato in SrcNatIpAddr Esempio: `77.138.103.108`
SrcPortNumber	Facoltativo	Numero intero	Porta IP da cui ha origine la connessione. Potrebbe non essere rilevante per una sessione che include più connessioni. Esempio: `2335`
SrcHostname	Consigliata	Nome host (stringa)	Nome host del dispositivo di origine, escluse le informazioni sul dominio. Se non è disponibile alcun nome del dispositivo, archiviare l'indirizzo IP pertinente in questo campo. Esempio: `DESKTOP-1282V4D`
SrcDomain	Consigliata	Dominio (stringa)	Dominio del dispositivo di origine. Esempio: `Contoso`
SrcDomainType	Condizionale	Domaintype	Tipo di SrcDomain. Per un elenco dei valori consentiti e altre informazioni, vedere DomainType nell'articolo Panoramica dello schema. Obbligatorio se si usa SrcDomain .
SrcFQDN	Facoltativo	FQDN (String)	Nome host del dispositivo di origine, incluse le informazioni sul dominio quando disponibile. Nota: questo campo supporta sia il formato FQDN tradizionale che il formato dominio\nome host di Windows. Il campo SrcDomainType riflette il formato utilizzato. Esempio: `Contoso\DESKTOP-1282V4D`
SrcDvcId	Facoltativo	Stringa	ID del dispositivo di origine. Se sono disponibili più ID, usare quello più importante e archiviarne gli altri nei campi `SrcDvc<DvcIdType>`. Esempio: `ac7e9755-8eae-4ffc-8a02-50ed7a2216c3`
SrcDvcScopeId	Facoltativo	Stringa	ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. SrcDvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS.
SrcDvcScope	Facoltativo	Stringa	Ambito della piattaforma cloud a cui appartiene il dispositivo. SrcDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS.
SrcDvcIdType	Condizionale	DvcIdType	Tipo di SrcDvcId. Per un elenco dei valori consentiti e altre informazioni, vedere DvcIdType nell'articolo Panoramica dello schema. Nota: questo campo è obbligatorio se si usa SrcDvcId .
SrcDeviceType	Facoltativo	Devicetype	Tipo del dispositivo di origine. Per un elenco dei valori consentiti e altre informazioni, vedere DeviceType nell'articolo Panoramica dello schema.
SrcZone	Facoltativo	Stringa	Zona di rete dell'origine, come definito dal dispositivo di report. Esempio: `Internet`
SrcInterfaceName	Facoltativo	Stringa	Interfaccia di rete usata per la connessione o la sessione dal dispositivo di origine. Esempio: `eth01`
SrcInterfaceGuid	Facoltativo	GUID (String)	GUID dell'interfaccia di rete usata nel dispositivo di origine. Esempio: `46ad544b-eaf0-47ef-` `827c-266030f545a6`
SrcMacAddr	Facoltativo	Indirizzo MAC (stringa)	Indirizzo MAC dell'interfaccia di rete da cui ha origine la connessione o la sessione. Esempio: `06:10:9f:eb:8f:14`
SrcVlanId	Facoltativo	Stringa	ID VLAN correlato al dispositivo di origine. Esempio: `130`
InnerVlanId	Alias		Alias per SrcVlanId. In molti casi, la VLAN non può essere determinata come origine o destinazione, ma è caratterizzata come interna o esterna. Questo alias indica che SrcVlanId deve essere usato quando la VLAN è caratterizzata come interna.
SrcGeoCountry	Facoltativo	Paese	Paese/area geografica associato all'indirizzo IP di origine. Esempio: `USA`
SrcGeoRegion	Facoltativo	Area geografica	Area associata all'indirizzo IP di origine. Esempio: `Vermont`
SrcGeoCity	Facoltativo	Città	Città associata all'indirizzo IP di origine. Esempio: `Burlington`
SrcGeoLatitude	Facoltativo	Latitudine	La latitudine della coordinata geografica associata all'indirizzo IP di origine. Esempio: `44.475833`
SrcGeoLongitude	Facoltativo	Longitudine	Longitudine della coordinata geografica associata all'indirizzo IP di origine. Esempio: `73.211944`
SrcDescription	Facoltativo	Stringa	Testo descrittivo associato al dispositivo. Ad esempio: `Primary Domain Controller`.

Campi utente di origine

Campo	Classe	Tipo	Descrizione
SrcUserId	Facoltativo	Stringa	Rappresentazione univoca, alfanumerica e leggibile dal computer dell'utente di origine. Per il formato supportato per diversi tipi di ID, fare riferimento all'entità Utente. Esempio: `S-1-12`
SrcUserScope	Facoltativo	Stringa	Ambito, ad esempio Microsoft Entra tenant, in cui vengono definiti SrcUserId e SrcUsername. o altre informazioni e l'elenco dei valori consentiti, vedere UserScope nell'articolo Panoramica dello schema.
SrcUserScopeId	Facoltativo	Stringa	ID ambito, ad esempio Microsoft Entra ID directory, in cui vengono definiti SrcUserId e SrcUsername. Per altre informazioni e l'elenco dei valori consentiti, vedere UserScopeId nell'articolo Panoramica dello schema.
SrcUserIdType	Condizionale	UserIdType	Tipo dell'ID archiviato nel campo SrcUserId . Per un elenco dei valori consentiti e altre informazioni, vedere UserIdType nell'articolo Panoramica dello schema.
SrcUsername	Facoltativo	Nome utente (stringa)	Nome utente di origine, incluse le informazioni sul dominio quando disponibili. Per il formato supportato per diversi tipi di ID, fare riferimento all'entità Utente. Usare il modulo semplice solo se le informazioni sul dominio non sono disponibili. Archiviare il tipo username nel campo SrcUsernameType . Se sono disponibili altri formati di nome utente, archiviarli nei campi `SrcUsername<UsernameType>`. Esempio: `AlbertE`
SrcUsernameType	Condizionale	UsernameType	Specifica il tipo di nome utente archiviato nel campo SrcUsername . Per un elenco dei valori consentiti e altre informazioni, vedere UsernameType nell'articolo Panoramica dello schema. Esempio: `Windows`
SrcUserType	Facoltativo	Usertype	Tipo di utente di origine. Per un elenco dei valori consentiti e altre informazioni, vedere UserType nell'articolo Panoramica dello schema. Nota: il valore può essere fornito nel record di origine usando termini diversi, che devono essere normalizzati in base a questi valori. Archiviare il valore originale nel campo SrcOriginalUserType .
SrcOriginalUserType	Facoltativo	Stringa	Tipo di utente di destinazione originale, se fornito dal dispositivo di report.

Campi dell'applicazione di origine

Campo	Classe	Tipo	Descrizione
SrcAppName	Facoltativo	Stringa	Nome dell'applicazione di origine. Esempio: `filezilla.exe`
SrcAppId	Facoltativo	Stringa	ID dell'applicazione di origine, come segnalato dal dispositivo di report. Se SrcAppType è `Process`e `SrcAppIdSrcProcessId` deve avere lo stesso valore. Esempio: `124`
SrcAppType	Facoltativo	AppType	Tipo dell'applicazione di origine. Per un elenco dei valori consentiti e altre informazioni, vedere AppType nell'articolo Panoramica dello schema. Questo campo è obbligatorio se si usa SrcAppName o SrcAppId .
SrcProcessName	Facoltativo	Stringa	Nome file del processo che ha avviato la sessione di rete. Questo nome viene in genere considerato come nome del processo. Esempio: `C:\Windows\explorer.exe`
SrcProcessId	Facoltativo	Stringa	ID processo (PID) del processo che ha avviato la sessione di rete. Esempio: `48610176` Nota: il tipo è definito come stringa per supportare sistemi diversi, ma in Windows e Linux questo valore deve essere numerico. Se si usa un computer Windows o Linux e si usa un tipo diverso, assicurarsi di convertire i valori. Ad esempio, se è stato usato un valore esadecimale, convertirlo in un valore decimale.
SrcProcessGuid	Facoltativo	Stringa	Identificatore univoco generato (GUID) del processo che ha avviato la sessione di rete. Esempio: `EF3BD0BD-2B74-60C5-AF5C-010000001E00`

Alias locali e remoti

Tutti i campi di origine e di destinazione elencati in precedenza possono essere facoltativamente aliasati da campi con lo stesso nome e i descrittori Local e Remote. Ciò è in genere utile per gli eventi segnalati da un endpoint e per i quali il tipo di evento è EndpointNetworkSession.

Per tali eventi i descrittori Local e Remote indicano rispettivamente l'endpoint stesso e il dispositivo all'altra estremità della sessione di rete. Per le connessioni in ingresso, il sistema locale è la destinazione, Local i campi sono alias per i Dst campi e i campi "remoti" sono alias per Src i campi. Al contrario, per le connessioni in uscita, il sistema locale è l'origine, Local i campi sono alias per i Src campi e Remote i campi sono alias per Dst i campi.

Ad esempio, per un evento in ingresso, il campo LocalIpAddr è un alias per DstIpAddr e il campo RemoteIpAddr è un alias per SrcIpAddr.

Alias nome host e indirizzo IP

Campo	Classe	Tipo	Descrizione
Hostname	Alias		- Se il tipo di evento è `NetworkSession`, `Flow` o `L2NetworkSession`, Hostname è un alias di DstHostname. - Se il tipo di evento è `EndpointNetworkSession`, Hostname è un alias di `RemoteHostname`, che può eseguire l'alias DstHostname o SrcHostName, a seconda di NetworkDirection
IpAddr	Alias		- Se il tipo di evento è `NetworkSession`, `Flow` o `L2NetworkSession`, IpAddr è un alias di SrcIpAddr. - Se il tipo di evento è `EndpointNetworkSession`, IpAddr è un alias di `LocalIpAddr`, che può eseguire l'alias SrcIpAddr o DstIpAddr, a seconda di NetworkDirection.

Dispositivi intermedi e campi NAT (Network Address Translation)

I campi seguenti sono utili se il record include informazioni su un dispositivo intermedio, ad esempio un firewall o un proxy, che inoltra la sessione di rete.

I sistemi intermedi usano spesso la traduzione degli indirizzi e quindi l'indirizzo originale e l'indirizzo osservato esternamente non sono gli stessi. In questi casi, i campi degli indirizzi primari, ad esempio SrcIPAddr e DstIpAddr , rappresentano gli indirizzi osservati esternamente, mentre i campi degli indirizzi NAT, SrcNatIpAddr e DstNatIpAddr rappresentano l'indirizzo interno del dispositivo originale prima della conversione.

Campo	Classe	Tipo	Descrizione
DstNatIpAddr	Facoltativo	Indirizzo IP	DstNatIpAddr rappresenta uno dei seguenti elementi: - Indirizzo originale del dispositivo di destinazione se è stata usata la conversione degli indirizzi di rete. - Indirizzo IP usato dal dispositivo intermedio per la comunicazione con l'origine. Esempio: `2::1`
DstNatPortNumber	Facoltativo	Numero intero	Se segnalata da un dispositivo NAT intermedio, la porta usata dal dispositivo NAT per la comunicazione con l'origine. Esempio: `443`
SrcNatIpAddr	Facoltativo	Indirizzo IP	SrcNatIpAddr rappresenta uno dei seguenti elementi: - Indirizzo originale del dispositivo di origine se è stata usata la conversione degli indirizzi di rete. - Indirizzo IP utilizzato dal dispositivo intermedio per la comunicazione con la destinazione. Esempio: `4.3.2.1`
SrcNatPortNumber	Facoltativo	Numero intero	Se segnalata da un dispositivo NAT intermedio, la porta usata dal dispositivo NAT per la comunicazione con la destinazione. Esempio: `345`
DvcInboundInterface	Facoltativo	Stringa	Se segnalata da un dispositivo intermedio, l'interfaccia di rete usata dal dispositivo NAT per la connessione al dispositivo di origine. Esempio: `eth0`
DvcOutboundInterface	Facoltativo	Stringa	Se segnalata da un dispositivo intermedio, l'interfaccia di rete usata dal dispositivo NAT per la connessione al dispositivo di destinazione. Esempio: `Ethernet adapter Ethernet 4e`

Campi di ispezione

I campi seguenti vengono usati per rappresentare l'ispezione eseguita da un dispositivo di sicurezza, ad esempio un firewall, un IPS o un gateway di sicurezza Web:

Campo	Classe	Tipo	Descrizione
NetworkRuleName	Facoltativo	Stringa	Nome o ID della regola in base alla quale È stato deciso DvcAction . Esempio: `AnyAnyDrop`
NetworkRuleNumber	Facoltativo	Numero intero	Numero della regola in base alla quale È stato deciso DvcAction . Esempio: `23`
Regola	Alias	Stringa	Il valore di NetworkRuleName o il valore di NetworkRuleNumber. Se viene utilizzato il valore di NetworkRuleNumber , il tipo deve essere convertito in stringa.
ThreatId	Facoltativo	Stringa	ID della minaccia o del malware identificato nella sessione di rete. Esempio: `Tr.124`
ThreatName	Facoltativo	Stringa	Nome della minaccia o del malware identificato nella sessione di rete. Esempio: `EICAR Test File`
ThreatCategory	Facoltativo	Stringa	Categoria della minaccia o del malware identificato nella sessione di rete. Esempio: `Trojan`
ThreatRiskLevel	Facoltativo	RiskLevel (Integer)	Livello di rischio associato alla sessione. Il livello deve essere un numero compreso tra 0 e 100. Nota: il valore può essere fornito nel record di origine usando una scala diversa, che deve essere normalizzata in base a questa scala. Il valore originale deve essere archiviato in ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel	Facoltativo	Stringa	Livello di rischio segnalato dal dispositivo di segnalazione.
ThreatIpAddr	Facoltativo	Indirizzo IP	Indirizzo IP per cui è stata identificata una minaccia. Il campo ThreatField contiene il nome del campo rappresentato da ThreatIpAddr .
ThreatField	Condizionale	Enumerato	Campo per il quale è stata identificata una minaccia. Il valore è `SrcIpAddr` o `DstIpAddr`.
ThreatConfidence	Facoltativo	ConfidenceLevel (Integer)	Livello di attendibilità della minaccia identificata, normalizzata in un valore compreso tra 0 e 100.
ThreatOriginalConfidence	Facoltativo	Stringa	Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di segnalazione.
ThreatIsActive	Facoltativo	Booleano	True se la minaccia identificata è considerata una minaccia attiva.
ThreatFirstReportedTime	Facoltativo	datetime	La prima volta che l'indirizzo IP o il dominio è stato identificato come una minaccia.
ThreatLastReportedTime	Facoltativo	datetime	L'ultima volta che l'indirizzo IP o il dominio è stato identificato come una minaccia.

Altri campi

Campo	Classe	Tipo	Descrizione
ASimMatchingIpAddr	Consigliata	Enumerato	Quando un parser usa i parametri di `ipaddr_has_any_prefix` filtro, questo campo viene impostato con uno dei valori `SrcIpAddr`, `DstIpAddr`o `Both` per riflettere i campi o i campi corrispondenti.
ASimMatchingHostname	Consigliata	Enumerato	Quando un parser usa i parametri di `hostname_has_any` filtro, questo campo viene impostato con uno dei valori `SrcHostname`, `DstHostname`o `Both` per riflettere i campi o i campi corrispondenti.

Se l'evento viene segnalato da uno degli endpoint della sessione di rete, potrebbe includere informazioni sul processo che ha avviato o terminato la sessione. In questi casi, lo schema dell'evento del processo ASIM viene usato per normalizzare queste informazioni.

Aggiornamenti dello schema

Di seguito sono riportate le modifiche apportate alla versione 0.2.1 dello schema:

Aggiunta Src di e Dst come alias a un identificatore iniziale per i sistemi di origine e di destinazione.
Sono stati aggiunti i campi NetworkConnectionHistory, SrcVlanId, DstVlanId, InnerVlanIde OuterVlanId.

Di seguito sono riportate le modifiche apportate alla versione 0.2.2 dello schema:

Aggiunti Remote alias e Local .
Aggiunta del tipo di EndpointNetworkSessionevento .
Definito Hostname e IpAddr come alias rispettivamente per RemoteHostname e LocalIpAddr quando il tipo di evento è EndpointNetworkSession.
Definito DvcInterface come alias per DvcInboundInterface o DvcOutboundInterface.
È stato modificato il tipo dei campi seguenti da Integer a Long: SrcBytes, DstBytes, NetworkBytes, SrcPackets, DstPacketse NetworkPackets.
Aggiunta del campo NetworkProtocolVersion.
Deprecato DstUserDomain e SrcUserDomain.

Di seguito sono riportate le modifiche apportate alla versione 0.2.3 dello schema:

Aggiunta del parametro di ipaddr_has_any_prefix filtro.
Il hostname_has_any parametro di filtro corrisponde ora ai nomi host di origine o di destinazione.
Sono stati aggiunti i campi ASimMatchingHostname e ASimMatchingIpAddr.

Di seguito sono riportate le modifiche apportate alla versione 0.2.4 dello schema:

Sono stati aggiunti i TcpFlags campi.
Aggiornato NetworkIcpmType e NetworkIcmpCode per riflettere il valore numerico per entrambi.
Sono stati aggiunti altri campi di ispezione.
Il campo 'ThreatRiskLevelOriginal' è stato rinominato in per allinearsi ThreatOriginalRiskLevel alle convenzioni ASIM. I parser Microsoft esistenti verranno mantenuti ThreatRiskLevelOriginal fino al 1° maggio 2023.
Contrassegnato EventResultDetails come consigliato e specificato i valori consentiti.

Di seguito sono riportate le modifiche apportate alla versione 0.2.5 dello schema:

Sono stati aggiunti i campi DstUserScope, SrcUserScope, SrcDvcScopeId, SrcDvcScope, DstDvcScopeIdDstDvcScope, DvcScopeIde DvcScope.

Di seguito sono riportate le modifiche apportate alla versione 0.2.6 dello schema:

IDS aggiunto come tipo di evento

Di seguito sono riportate le modifiche apportate alla versione 0.2.7 dello schema:

Sono stati aggiunti i campi DstDescription e SrcDescription

Passaggi successivi

Per ulteriori informazioni, vedere:

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-04-23