ASIM(고급 보안 정보 모델) 네트워크 세션 정규화 스키마 참조(공개 미리 보기)
Microsoft Sentinel 네트워크 세션 정규화 스키마는 네트워크 연결 및 네트워크 세션과 같은 IP 네트워크 활동을 나타냅니다. 이러한 이벤트는 예를 들어 운영 체제, 라우터, 방화벽 및 침입 방지 시스템에 의해 보고됩니다.
네트워크 정규화 스키마는 모든 형식의 IP 네트워크 세션을 나타낼 수 있지만 Netflow, 방화벽 및 침입 방지 시스템과 같은 일반적인 원본 형식에 대한 지원을 제공하도록 설계되었습니다.
Microsoft Sentinel의 정규화에 대한 자세한 내용은 정규화 및 ASIM(고급 보안 정보 모델)을 참조하세요.
이 문서에서는 네트워크 정규화 스키마 버전 0.2.x에 대해 설명합니다. 버전 0.1은 ASIM을 사용할 수 있기 전에 릴리스되었으며 여러 곳에서 ASIM과 일치하지 않습니다. 자세한 내용은 네트워크 정규화 스키마 버전 간의 차이점을 참조하세요.
Important
네트워크 정규화 스키마는 현재 미리 보기 상태입니다. 해당 기능은 별도의 서비스 수준 규약 없이 이용할 수 있습니다. 프로덕션 워크로드에는 권장하지 않습니다.
Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.
파서
ASIM 파서에 대한 자세한 내용은 ASIM 파서 개요를 참조하세요.
파서 통합
모든 ASIM 기본 제공 파서를 통합하는 파서를 사용하고 구성된 모든 원본에서 분석이 실행되도록 하려면 _Im_NetworkSession 필터링 파서 또는 _ASim_NetworkSession 매개 변수가 없는 파서를 사용합니다.
또한 Microsoft Sentinel GitHub 리포지토리에서 배포하여 작업 영역에 배포된 ImNetworkSession 및 ASimNetworkSession 파서를 사용할 수 있습니다.
자세한 내용은 기본 제공 ASIM 파서 및 작업 영역 배포 파서를 참조하세요.
기본 제공 원본 관련 파서
Microsoft Sentinel이 기본 제공하는 네트워크 세션 파서 목록은 ASIM 파서 목록을 참조하세요.
사용자 고유의 정규화된 파서 추가
네트워크 세션 정보 모델에 대한 사용자 지정 파서를 개발할 때 다음 구문을 사용하여 KQL 함수의 이름을 지정합니다.
vimNetworkSession<vendor><Product>- 매개 변수화된 파서의 경우ASimNetworkSession<vendor><Product>- 일반 파서의 경우
사용자 지정 파서를 네트워크 세션 통합 파서에 추가하는 방법을 알아보려면 ASIM 파서 관리 문서를 참조하세요.
파서 매개 변수 필터링
네트워크 세션 파서는 필터링 매개 변수를 지원합니다. 이러한 매개 변수는 선택 사항이지만 쿼리 성능을 향상시킬 수 있습니다.
다음 필터링 매개 변수를 사용할 수 있습니다.
| 속성 | 형식 | 설명 |
|---|---|---|
| starttime | 날짜/시간 | 이 시간 이후에 시작한 네트워크 세션만 필터링합니다. |
| endtime | 날짜/시간 | 이 시간 또는 그 이전에 실행을 시작한 네트워크 세션만 필터링합니다. |
| srcipaddr_has_any_prefix | dynamic | 원본 IP 주소 필드 접두사가 나열된 값 중 하나에 있는 네트워크 세션만 필터링합니다. 접두사는 .로 끝나야 합니다(예: 10.0.). 목록의 길이는 10,000개 항목으로 제한됩니다. |
| dstipaddr_has_any_prefix | dynamic | 대상 IP 주소 필드 접두사가 나열된 값 중 하나에 있는 네트워크 세션만 필터링합니다. 접두사는 .로 끝나야 합니다(예: 10.0.). 목록의 길이는 10,000개 항목으로 제한됩니다. |
| ipaddr_has_any_prefix | dynamic | 대상 IP 주소 필드 또는 원본 IP 주소 필드 접두사가 나열된 값 중 하나에 있는 네트워크 세션만 필터링합니다. 접두사는 .로 끝나야 합니다(예: 10.0.). 목록의 길이는 10,000개 항목으로 제한됩니다.ASimMatchingIpAddr 필드는 일치하는 필드 또는 필드를 반영하기 위해 SrcIpAddr, DstIpAddr 또는 Both 값 중 하나로 설정됩니다. |
| dstportnumber | 정수 | 지정된 대상 포트 번호가 있는 네트워크 세션만 필터링합니다. |
| hostname_has_any | 동적/문자열 | 대상 호스트 이름 필드에 나열된 값이 있는 네트워크 세션만 필터링합니다. 목록의 길이는 10,000개 항목으로 제한됩니다. ASimMatchingHostname 필드는 일치하는 필드 또는 필드를 반영하기 위해 SrcHostname, DstHostname 또는 Both 값 중 하나로 설정됩니다. |
| dvcaction | 동적/문자열 | 디바이스 작업 필드가 나열된 값 중 하나인 네트워크 세션만 필터링합니다. |
| eventresult | 문자열 | 특정 EventResult 값이 있는 네트워크 세션만 필터링합니다. |
일부 매개 변수는 형식 dynamic 값 목록 또는 단일 문자열 값을 모두 허용할 수 있습니다. 동적 값이 필요한 매개 변수에 리터럴 목록을 전달하려면 동적 리터럴을 명시적으로 사용합니다. 예: dynamic(['192.168.','10.'])
예를 들어 지정된 도메인 이름 목록에 대한 네트워크 세션만 필터링하려면 다음을 사용합니다.
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
팁
동적 값이 필요한 매개 변수에 리터럴 목록을 전달하려면 동적 리터럴을 명시적으로 사용합니다. 예: dynamic(['192.168.','10.'])
정규화된 콘텐츠
정규화된 DNS 이벤트를 사용하는 분석 규칙의 전체 목록은 네트워크 세션 보안 콘텐츠를 참조 하세요.
스키마 개요
네트워크 세션 정보 모델은 OSSEM 네트워크 항목 스키마와 일치합니다.
네트워크 세션 스키마는 동일한 필드를 공유하는 유사하지만 고유한 여러 유형의 시나리오를 제공합니다. 이러한 시나리오는 EventType 필드로 식별됩니다.
NetworkSession- 방화벽, 라우터 또는 네트워크 탭과 같은 네트워크를 모니터링하는 중간 디바이스에서 보고한 네트워크 세션입니다.L2NetworkSession- 계층 2 정보만 사용할 수 있는 네트워크 세션입니다. 해당 이벤트에는 MAC 주소를 포함하지만 IP 주소는 포함하지 않습니다.Flow- 일반적으로 Netflow 이벤트와 같이 미리 정의된 기간 동안 여러 유사한 네트워크 세션을 보고하는 집계된 이벤트입니다.EndpointNetworkSession- 클라이언트 및 서버를 포함하여 세션의 끝점 중 하나에서 보고한 네트워크 세션입니다. 이러한 이벤트의 경우 스키마는 별칭 필드와local별칭 필드를 지원remote합니다.IDS- 의심스러운 것으로 보고된 네트워크 세션입니다. 이러한 이벤트에는 일부 검사 필드가 채워지고 하나의 IP 주소 필드(원본 또는 대상)만 채워질 수 있습니다.
일반적으로 쿼리는 이러한 이벤트 형식의 하위 집합만 선택해야 하며 사용 사례의 고유한 측면을 별도로 해결해야 할 수 있습니다. 예를 들어 IDS 이벤트는 전체 네트워크 볼륨을 반영하지 않으며 열 기반 분석에서 고려해서는 안 됩니다.
네트워크 세션 이벤트는 설명자 Src 및 Dst를 사용하여 세션에 관련된 디바이스 및 관련 사용자 및 애플리케이션의 역할을 나타냅니다. 따라서 예를 들어 원본 디바이스 호스트 이름과 IP 주소의 이름은 SrcHostname 및 SrcIpAddr입니다. 다른 ASIM 스키마는 일반적으로 대신 사용합니다 Target Dst.
엔드포인트에 의해 보고되고 이벤트 유형이 EndpointNetworkSession인 이벤트의 경우 설명자 Local 및 Remote는 각각 엔드포인트 자체와 네트워크 세션의 다른 쪽 끝에 있는 디바이스를 나타냅니다.
설명자 Dvc는 보고 디바이스에 사용됩니다. 이 디바이스는 엔드포인트에서 보고한 세션에 대한 로컬 시스템이고 다른 네트워크 세션 이벤트에 대해서는 중간 디바이스 또는 네트워크 탭에 사용됩니다.
스키마 세부 정보
일반적인 ASIM 필드
Important
모든 스키마에 공통적인 필드는 ASIM 공통 필드 문서에 자세히 설명되어 있습니다.
특정 지침이 있는 공통 필드
다음 목록에는 네트워크 세션 이벤트에 대한 특정 지침이 있는 필드가 나와 있습니다.
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| EventCount | 필수 | 정수 | Netflow 원본은 집계를 지원하며 EventCount 필드는 Netflow FLOWS 필드 값으로 설정되어야 합니다. 다른 원본의 경우 값은 일반적으로 1로 설정됩니다. |
| EventType | 필수 | Enumerated | 레코드에서 보고한 시나리오를 설명합니다. 네트워크 세션 레코드의 경우 허용되는 값은 다음과 같습니다. - EndpointNetworkSession- NetworkSession - L2NetworkSession- IDS - Flow이벤트 유형에 대한 자세한 내용은 스키마 개요를 참조하세요. |
| EventSubType | 선택 사항 | 문자열 | 해당하는 경우 이벤트 유형에 대한 추가 설명입니다. 네트워크 세션 레코드의 경우 지원되는 값은 다음과 같습니다. - Start- End이 필드는 이벤트와 Flow 관련이 없습니다. |
| EventResult | 필수 | Enumerated | 원본 디바이스가 이벤트 결과를 제공하지 않는 경우 EventResult는 DvcAction 값을 기반으로 해야 합니다. DvcAction이 Deny, Drop, Drop ICMP, Reset, Reset Source 또는 Reset Destination인 경우, EventResult는 Failure여야 합니다. 그렇지 않으면 EventResult는 Success여야 합니다. |
| EventResultDetails | 권장 | Enumerated | EventResult 필드에 보고된 결과에 대한 이유 또는 세부 정보입니다. 지원되는 값은 다음과 같습니다. - 장애 조치(failover) - 잘못된 TCP - 잘못된 터널 - 최대 재시도 - 재설정 - 라우팅 문제 - 시뮬레이션 - 종료됨 - 시간 제한 - 일시적인 오류 - 알 수 없음 - NA. 원본의 원본별 값은 EventOriginalResultDetails 필드에 저장됩니다. |
| EventSchema | 필수 | 문자열 | 여기에 설명된 스키마의 이름은 NetworkSession입니다. |
| EventSchemaVersion | 필수 | 문자열 | 스키마의 버전입니다. 여기에 설명된 스키마의 버전은 0.2.6입니다. |
| DvcAction | 권장 | Enumerated | 네트워크 세션에서 수행된 작업입니다. 지원되는 값은 다음과 같습니다. - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNroute참고: 다른 용어를 사용하여 원본 레코드에 값을 제공할 수 있으며 이러한 값으로 정규화되어야 합니다. 원래 값은 DvcOriginalAction 필드에 저장해야 합니다. 예: drop |
| EventSeverity | 선택 사항 | Enumerated | 원본 디바이스가 이벤트 심각도를 제공하지 않는 경우 EventSeverity는 DvcAction 값을 기반으로 해야 합니다. DvcAction이 Deny, Drop, Drop ICMP, Reset, Reset Source 또는 Reset Destination인 경우, EventSeverity는 Low여야 합니다. 그렇지 않으면 EventSeverity는 Informational이어야 합니다. |
| DvcInterface | DvcInterface 필드는 DvcInboundInterface 또는 DvcOutboundInterface 필드의 별칭을 지정해야 합니다. | ||
| Dvc 필드 | 네트워크 세션 이벤트의 경우 디바이스 필드는 네트워크 세션 이벤트를 보고하는 시스템을 참조하세요. |
모든 공통 필드
아래 표에 나열된 필드는 모든 ASIM 스키마에 공통적으로 적용됩니다. 위에 지정된 모든 지침은 필드에 대한 일반 지침을 재정의합니다. 예를 들어 필드가 일반적으로 선택 사항이지만 특정 스키마에서는 필수 사항일 수 있습니다. 각 필드에 대한 자세한 내용은 ASIM 공통 필드 문서를 참조하세요.
네트워크 세션 필드
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| NetworkApplicationProtocol | 선택 사항 | 문자열 | 연결 또는 세션에서 사용하는 애플리케이션 계층 프로토콜입니다. 값은 모두 대문자여야 합니다. 예: FTP |
| NetworkProtocol | 선택 사항 | Enumerated | 일반적으로 TCP, UDP 또는 ICMP인 IANA 프로토콜 할당에 나열된 연결 또는 세션에서 사용하는 IP 프로토콜입니다.예: TCP |
| NetworkProtocolVersion | 선택 사항 | Enumerated | NetworkProtocol의 버전입니다. 이를 사용하여 IP 버전을 구분할 때 IPv4 및 IPv6 값을 사용합니다. |
| NetworkDirection | 선택 사항 | Enumerated | 연결 또는 세션의 방향: - EventType NetworkSession또는 Flow L2NetworkSessionNetworkDirection의 경우 조직 또는 클라우드 환경 경계를 기준으로 방향을 나타냅니다. 지원되는 값은 Inbound, Outbound, Local(조직에 대해), External(조직에 대해) 또는 NA(해당 사항 없음)입니다.- EventType EndpointNetworkSession의 경우 NetworkDirection은 엔드포인트를 기준으로 방향을 나타냅니다. 지원되는 값은 Inbound, Outbound, Local(시스템에 대해), Listen 또는 NA(해당 사항 없음)입니다. Listen 값은 디바이스가 네트워크 연결을 수락하기 시작했지만 실제로는 반드시 연결되어 있지는 않음을 나타냅니다. |
| NetworkDuration | 선택 사항 | 정수 | 네트워크 세션 또는 연결을 완료하는 데 걸리는 시간(밀리초) 예: 1500 |
| 기간 | 별칭 | NetworkDuration에 대한 별칭입니다. | |
| NetworkIcmpType | 선택 사항 | 문자열 | ICMP 메시지의 경우 IPv4 네트워크 연결의 경우 RFC 2780 또는 IPv6 네트워크 연결의 경우 RFC 4443에 설명된 대로 숫자 값과 연결된 ICMP 형식 이름입니다. 예: Destination Unreachable NetworkIcmpCode의 경우 3 |
| NetworkIcmpCode | 선택 사항 | 정수 | ICMP 메시지의 경우 IPv4 네트워크 연결의 경우 RFC 2780 또는 IPv6 네트워크 연결의 경우 RFC 4443에 설명된 대로 ICMP 코드 번호입니다. |
| NetworkConnectionHistory | 선택 사항 | 문자열 | TCP 플래그 및 기타 잠재적인 IP 헤더 정보. |
| DstBytes | 권장 | Long | 연결 또는 세션의 대상에서 원본으로 보낸 바이트 수 이벤트가 집계된 경우 DstBytes는 집계된 모든 세션의 합계여야 합니다. 예: 32455 |
| SrcBytes | 권장 | Long | 연결 또는 세션의 원본에서 대상으로 보낸 바이트 수 이벤트가 집계된 경우 SrcBytes는 집계된 모든 세션의 합계여야 합니다. 예: 46536 |
| NetworkBytes | 선택 사항 | Long | 양방향으로 전송된 바이트 수입니다. BytesReceived와 BytesSent가 모두 있는 경우 그 합계는 BytesTotal과 같아야 합니다. 이벤트가 집계된 경우 NetworkBytes는 집계된 모든 세션의 합계여야 합니다. 예: 78991 |
| DstPackets | 선택 사항 | Long | 연결 또는 세션에 대한 대상에서 원본으로 전송된 패킷 수입니다. 패킷의 의미는 보고 디바이스에 의해 정의됩니다. 이벤트가 집계된 경우 DstPackets는 집계된 모든 세션의 합계여야 합니다. 예: 446 |
| SrcPackets | 선택 사항 | Long | 원본에서 연결 또는 세션의 대상으로 전송된 패킷 수입니다. 패킷의 의미는 보고 디바이스에 의해 정의됩니다. 이벤트가 집계된 경우 SrcPackets는 집계된 모든 세션의 합계여야 합니다. 예: 6478 |
| NetworkPackets | 선택 사항 | Long | 양방향으로 전송된 패킷 수입니다. PacketsReceived와 PacketsSent가 모두 있는 경우 그 합계는 BytesTotal과 같아야 합니다. 패킷의 의미는 보고 디바이스에 의해 정의됩니다. 이벤트가 집계된 경우 NetworkPackets는 집계된 모든 세션의 합계여야 합니다. 예: 6924 |
| NetworkSessionId | 선택 사항 | string | 보고 디바이스에서 보고한 세션 식별자입니다. 예: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| SessionId | 별칭 | 문자열 | NetworkSessionId에 대한 별칭입니다. |
| TcpFlagsAck | 선택 사항 | Boolean | TCP ACK 플래그가 보고되었습니다. 승인 플래그는 패킷의 성공적인 수신을 승인하는 데 사용됩니다. 위의 다이어그램에서 볼 수 있듯이 수신자는 3방향 핸드셰이크 프로세스의 두 번째 단계에서 ACK 및 SYN을 전송하여 보낸 사람에게 초기 패킷을 수신했음을 알립니다. |
| TcpFlagsFin | 선택 사항 | Boolean | TCP FIN 플래그가 보고되었습니다. 완료된 플래그는 보낸 사람으로부터 더 이상 데이터가 없음을 의미합니다. 따라서 보낸 사람으로부터 전송된 마지막 패킷에 사용됩니다. |
| TcpFlagsSyn | 선택 사항 | Boolean | TCP SYN 플래그가 보고되었습니다. 동기화 플래그는 두 호스트 간에 3방향 핸드셰이크를 설정하는 첫 번째 단계로 사용됩니다. 보낸 사람 및 수신자 모두의 첫 번째 패킷에만 이 플래그를 설정해야 합니다. |
| TcpFlagsUrg | 선택 사항 | Boolean | TCP URG 플래그가 보고되었습니다. 긴급 플래그는 다른 모든 패킷을 처리하기 전에 수신자에게 긴급 패킷을 처리하도록 알리는 데 사용됩니다. 알려진 긴급 데이터가 모두 수신되면 수신자에게 알림이 전송됩니다. 자세한 내용은 RFC 6093을 참조하세요. |
| TcpFlagsPsh | 선택 사항 | Boolean | TCP PSH 플래그가 보고되었습니다. 푸시 플래그는 URG 플래그와 유사하며 버퍼링하는 대신 수신되는 패킷을 처리하도록 수신자에게 지시합니다. |
| TcpFlagsRst | 선택 사항 | Boolean | TCP RST 플래그가 보고되었습니다. 패킷이 예상하지 못한 특정 호스트로 전송되면 재설정 플래그가 수신자에서 보낸 사람에게 전송됩니다. |
| TcpFlagsEce | 선택 사항 | Boolean | TCP ECE 플래그가 보고되었습니다. 이 플래그는 TCP 피어가 ECN을 사용할 수 있는지 여부를 나타냅니다. 자세한 내용은 RFC 3168을 참조하세요. |
| TcpFlagsCwr | 선택 사항 | Boolean | TCP CWR 플래그가 보고되었습니다. 혼잡 창 축소 플래그는 전송 호스트가 ECE 플래그가 설정된 패킷을 수신했음을 나타내는 데 사용됩니다. 자세한 내용은 RFC 3168을 참조하세요. |
| TcpFlagsNs | 선택 사항 | Boolean | TCP NS 플래그가 보고되었습니다. nonce sum 플래그는 여전히 보낸 사람으로부터 패킷의 우발적이고 악의적인 은폐를 방지하는 데 사용되는 실험적 플래그입니다. 자세한 내용은 RFC 3540을 참조하세요. |
대상 시스템 필드
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| Dst | 권장 | 별칭 | DNS 요청을 수신하는 서버의 고유 식별자입니다. 이 필드는 DstDvcId, DstHostname 또는 DstIpAddr 필드의 별칭을 지정할 수 있습니다. 예: 192.168.12.1 |
| DstIpAddr | 권장 | IP 주소 | 연결 또는 세션 대상의 IP 주소입니다. 세션이 네트워크 주소 변환을 사용하는 경우 DstIpAddr은 공개적으로 표시되는 주소이며 DstNatIpAddr에 저장된 원본의 원래 주소가 아닙니다.예: 2001:db8::ff00:42:8329참고: 이 값은 DstHostname이 지정된 경우 필수입니다. |
| DstPortNumber | 선택 사항 | 정수 | 대상 IP 포트입니다. 예: 443 |
| DstHostname | 권장 | Hostname | 도메인 정보를 제외한 대상 디바이스 호스트 이름입니다. 사용 가능한 디바이스 이름이 없으면 이 필드에 관련 IP 주소를 저장합니다. 예: DESKTOP-1282V4D |
| DstDomain | 권장 | 문자열 | 대상 디바이스의 도메인입니다. 예: Contoso |
| DstDomainType | 조건부 | Enumerated | DstDomain 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서의 DomainType을 참조하세요. DstDomain이 사용되는 경우 필수입니다. |
| DstFQDN | 선택 사항 | 문자열 | 사용 가능한 경우 도메인 정보를 포함한 대상 디바이스 호스트 이름입니다. 예: Contoso\DESKTOP-1282V4D 참고: 이 필드는 기존 FQDN 형식과 Windows 도메인\호스트 이름 형식을 모두 지원합니다. DstDomainType은 사용된 형식을 반영합니다. |
| DstDvcId | 선택 사항 | 문자열 | 대상 디바이스의 ID입니다. 여러 ID를 사용할 수 있는 경우 가장 중요한 ID를 사용하고 나머지는 DstDvc<DvcIdType> 필드에 저장합니다. 예: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | 선택 사항 | 문자열 | 디바이스가 속한 클라우드 플랫폼 범위 ID입니다. DstDvcScopeId 는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| DstDvcScope | 선택 사항 | 문자열 | 디바이스가 속한 클라우드 플랫폼 범위입니다. DstDvcScope는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| DstDvcIdType | 조건부 | Enumerated | DstDvcId 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서에서 DvcIdType을 참조하세요. DstDeviceId가 사용되는 경우 필수입니다. |
| DstDeviceType | 선택 사항 | Enumerated | 대상 디바이스의 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서에서 DeviceType을 참조하세요. |
| DstZone | 선택 사항 | 문자열 | 보고 디바이스에 정의된 대상의 네트워크 영역 예: Dmz |
| DstInterfaceName | 선택 사항 | 문자열 | 대상 디바이스의 연결 또는 세션에 사용되는 네트워크 인터페이스 예: Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | 선택 사항 | 문자열 | 대상 디바이스에서 사용되는 네트워크 인터페이스의 GUID입니다. 예시: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | 선택 사항 | 문자열 | 대상 디바이스의 연결 또는 세션에 사용되는 네트워크 인터페이스의 MAC 주소입니다. 예: 06:10:9f:eb:8f:14 |
| DstVlanId | 선택 사항 | 문자열 | 대상 디바이스와 관련된 VLAN ID입니다. 예: 130 |
| OuterVlanId | 선택 사항 | 별칭 | DstVlanId에 대한 별칭입니다. 많은 경우 VLAN은 원본 또는 대상으로 결정할 수 없지만 내부 또는 외부로 특성화됩니다. 이 별칭은 VLAN이 외부로 특성화될 때 DstVlanId를 사용해야 함을 나타냅니다. |
| DstSubscriptionId | 선택 사항 | 문자열 | 대상 디바이스가 속한 클라우드 플랫폼 구독 ID입니다. DstSubscriptionId는 Azure의 구독 ID와 AWS의 계정 ID에 매핑됩니다. |
| DstGeoCountry | 선택 사항 | 국가 | 대상 IP 주소와 연결된 국가입니다. 자세한 내용은 논리적 형식을 참조하세요. 예: USA |
| DstGeoRegion | 선택 사항 | 지역 | 대상 IP 주소와 연결된 지역 또는 상태입니다. 자세한 내용은 논리적 형식을 참조하세요. 예: Vermont |
| DstGeoCity | 선택 사항 | City | 대상 IP 주소와 연결된 도시입니다. 자세한 내용은 논리적 형식을 참조하세요. 예: Burlington |
| DstGeoLatitude | 선택 사항 | 위도 | 대상 IP 주소와 연결된 지리적 좌표의 위도입니다. 자세한 내용은 논리적 형식을 참조하세요. 예: 44.475833 |
| DstGeoLongitude | 선택 사항 | 경도 | 대상 IP 주소와 연결된 지리적 좌표의 경도입니다. 자세한 내용은 논리적 형식을 참조하세요. 예: 73.211944 |
대상 사용자 필드
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| DstUserId | 선택 사항 | 문자열 | 대상 사용자에 대한 컴퓨터 판독 가능한 영숫자 고유 표현입니다. 다양한 ID 형식에 지원되는 형식은 사용자 항목을 참조하세요. 예: S-1-12 |
| DstUserScope | 선택 사항 | 문자열 | DstUserId 및 DstUsername이 정의된 Microsoft Entra 테넌트와 같은 범위입니다. 또는 허용되는 값에 대한 자세한 내용과 목록은 스키마 개요 문서의 UserScope를 참조하세요. |
| DstUserScopeId | 선택 사항 | 문자열 | DstUserId 및 DstUsername이 정의된 Microsoft Entra 디렉터리 ID와 같은 범위 ID입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서의 UserScopeId를 참조하세요. |
| DstUserIdType | 조건부 | UserIdType | DstUserId 필드에 저장된 ID 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서의 UserIdType을 참조하세요. |
| DstUsername | 선택 사항 | 문자열 | 사용 가능한 경우 도메인 정보를 포함한 대상 사용자 이름입니다. 다양한 ID 형식에 지원되는 형식은 사용자 항목을 참조하세요. 도메인 정보를 사용할 수 없는 경우에만 단순 양식을 사용합니다. DstUsernameType 필드에 사용자 이름 형식을 저장합니다. 다른 사용자 이름 형식을 사용할 수 있는 경우 DstUsername<UsernameType> 필드에 저장합니다.예: AlbertE |
| 사용자 | 별칭 | DstUsername에 대한 별칭입니다. | |
| DstUsernameType | 조건부 | UsernameType | DstUsername 필드에 저장된 사용자 이름 형식을 지정합니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서의 UsernameType을 참조하세요. 예: Windows |
| DstUserType | 선택 사항 | UserType | 대상 사용자의 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서에서 UserType을 참조하세요. 참고: 다른 용어를 사용하여 원본 레코드에 값을 제공할 수 있으며 이러한 값으로 정규화되어야 합니다. DstOriginalUserType 필드에 원래 값을 저장합니다. |
| DstOriginalUserType | 선택 사항 | 문자열 | 원본에서 제공한 경우 원래 대상 사용자 유형입니다. |
대상 애플리케이션 필드
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| DstAppName | 선택 사항 | 문자열 | 대상 애플리케이션의 이름입니다. 예: Facebook |
| DstAppId | 선택 사항 | 문자열 | 보고 디바이스에서 보고한 대상 애플리케이션의 ID입니다. DstAppType이 Process이면 DstAppId와 DstProcessId는 동일한 값을 가져야 합니다.예: 124 |
| DstAppType | 선택 사항 | AppType | 대상 애플리케이션의 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서에서 AppType을 참조하세요. 이 필드는 DstAppName 또는 DstAppId가 사용되는 경우 필수입니다. |
| DstProcessName | 선택 사항 | 문자열 | 네트워크 세션을 종료한 프로세스의 파일 이름입니다. 이 이름은 일반적으로 프로세스 이름으로 간주됩니다. 예: C:\Windows\explorer.exe |
| Process | 별칭 | DstProcessName에 대한 별칭 예: C:\Windows\System32\rundll32.exe |
|
| DstProcessId | 선택 사항 | 문자열 | 네트워크 세션을 종료한 프로세스의 PID(프로세스 ID)입니다. 예: 48610176 참고: 형식은 다양한 시스템을 지원하기 위해 문자열로 정의되지만 Windows 및 Linux에서는 이 값이 숫자여야 합니다. Windows 또는 Linux 머신을 사용하고 다른 형식을 사용하는 경우에는 값을 변환해야 합니다. 예를 들어 16진수 값을 사용한 경우 10진수 값으로 변환합니다. |
| DstProcessGuid | 선택 사항 | 문자열 | 네트워크 세션을 종료한 프로세스의 생성된 GUID(고유 식별자)입니다. 예: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
원본 시스템 필드
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| Src | 별칭 | 원본 디바이스의 고유 식별자입니다. 이 필드는 SrcDvcId, SrcHostname 또는 SrcIpAddr 필드의 별칭을 지정할 수 있습니다. 예: 192.168.12.1 |
|
| SrcIpAddr | 권장 | IP 주소 | 연결 또는 세션이 시작된 IP 주소입니다. 이 값은 SrcHostname이 지정된 경우 필수입니다. 세션이 네트워크 주소 변환을 사용하는 경우 SrcIpAddr은 공개적으로 표시되는 주소이며 SrcNatIpAddr에 저장된 원본의 원래 주소가 아닙니다.예: 77.138.103.108 |
| SrcPortNumber | 선택 사항 | 정수 | 연결이 시작된 IP 포트입니다. 여러 연결을 구성하는 세션과 관련이 없을 수 있습니다. 예: 2335 |
| SrcHostname | 권장 | Hostname | 도메인 정보를 제외한 원본 디바이스 호스트 이름입니다. 사용 가능한 디바이스 이름이 없으면 이 필드에 관련 IP 주소를 저장합니다. 예: DESKTOP-1282V4D |
| SrcDomain | 권장 | 문자열 | 원본 디바이스의 도메인입니다. 예: Contoso |
| SrcDomainType | 조건부 | DomainType | SrcDomain 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서의 DomainType을 참조하세요. SrcDomain을 사용하는 경우 필수입니다. |
| SrcFQDN | 선택 사항 | 문자열 | 사용 가능한 경우 도메인 정보를 포함하는 원본 디바이스 호스트 이름입니다. 참고: 이 필드는 기존 FQDN 형식과 Windows 도메인\호스트 이름 형식을 모두 지원합니다. SrcDomainType 필드는 사용된 형식을 반영합니다. 예: Contoso\DESKTOP-1282V4D |
| SrcDvcId | 선택 사항 | 문자열 | 원본 디바이스의 ID입니다. 여러 ID를 사용할 수 있는 경우 가장 중요한 ID를 사용하고 나머지는 SrcDvc<DvcIdType> 필드에 저장합니다.예: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 선택 사항 | 문자열 | 디바이스가 속한 클라우드 플랫폼 범위 ID입니다. SrcDvcScopeId 는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| SrcDvcScope | 선택 사항 | 문자열 | 디바이스가 속한 클라우드 플랫폼 범위입니다. SrcDvcScope는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| SrcDvcIdType | 조건부 | DvcIdType | SrcDvcId 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서에서 DvcIdType을 참조하세요. 참고: 이 필드는 SrcDvcId가 사용되는 경우 필수입니다. |
| SrcDeviceType | 선택 사항 | DeviceType | 원본 디바이스의 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서에서 DeviceType을 참조하세요. |
| SrcZone | 선택 사항 | 문자열 | 보고 디바이스에서 정의한 원본 네트워크 영역 예: Internet |
| SrcInterfaceName | 선택 사항 | 문자열 | 원본 디바이스에서 연결 또는 세션에 사용하는 네트워크 인터페이스 예: eth01 |
| SrcInterfaceGuid | 선택 사항 | 문자열 | 원본 디바이스에서 사용되는 네트워크 인터페이스의 GUID입니다. 예시: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | 선택 사항 | 문자열 | 연결 또는 세션이 시작된 네트워크 인터페이스의 MAC 주소입니다. 예: 06:10:9f:eb:8f:14 |
| SrcVlanId | 선택 사항 | 문자열 | 원본 디바이스와 관련된 VLAN ID입니다. 예: 130 |
| InnerVlanId | 선택 사항 | 별칭 | SrcVlanId에 대한 별칭입니다. 많은 경우 VLAN은 원본 또는 대상으로 결정할 수 없지만 내부 또는 외부로 특성화됩니다. 이 별칭은 VLAN이 내부로 특성화될 때 SrcVlanId를 사용해야 함을 나타냅니다. |
| SrcSubscriptionId | 선택 사항 | 문자열 | 원본 디바이스가 속한 클라우드 플랫폼 구독 ID입니다. SrcSubscriptionId는 Azure의 구독 ID와 AWS의 계정 ID에 매핑됩니다. |
| SrcGeoCountry | 선택 사항 | 국가 | 원본 IP 주소와 연결된 국가입니다. 예: USA |
| SrcGeoRegion | 선택 사항 | 지역 | 원본 IP 주소와 연결된 지역입니다. 예: Vermont |
| SrcGeoCity | 선택 사항 | City | 원본 IP 주소와 연결된 도시입니다. 예: Burlington |
| SrcGeoLatitude | 선택 사항 | 위도 | 원본 IP 주소와 연결된 지리적 좌표의 위도입니다. 예: 44.475833 |
| SrcGeoLongitude | 선택 사항 | 경도 | 원본 IP 주소와 연결된 지리적 좌표의 경도입니다. 예: 73.211944 |
원본 사용자 필드
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| SrcUserId | 선택 사항 | 문자열 | 원본 사용자에 대한 컴퓨터 판독 가능한 영숫자 고유 표현입니다. 다양한 ID 형식에 지원되는 형식은 사용자 항목을 참조하세요. 예: S-1-12 |
| SrcUserScope | 선택 사항 | 문자열 | SrcUserId 및 SrcUsername이 정의된 Microsoft Entra 테넌트와 같은 범위입니다. 또는 허용되는 값에 대한 자세한 내용과 목록은 스키마 개요 문서의 UserScope를 참조하세요. |
| SrcUserScopeId | 선택 사항 | 문자열 | SrcUserId 및 SrcUsername이 정의된 Microsoft Entra 디렉터리 ID와 같은 범위 ID입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서의 UserScopeId를 참조하세요. |
| SrcUserIdType | 조건부 | UserIdType | SrcUserId 필드에 저장된 ID 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서의 UserIdType을 참조하세요. |
| SrcUsername | 선택 사항 | 문자열 | 사용 가능한 경우 도메인 정보를 포함한 원본 사용자 이름입니다. 다양한 ID 형식에 지원되는 형식은 사용자 항목을 참조하세요. 도메인 정보를 사용할 수 없는 경우에만 단순 양식을 사용합니다. SrcUsernameType 필드에 사용자 이름 형식을 저장합니다. 다른 사용자 이름 형식을 사용할 수 있는 경우 SrcUsername<UsernameType> 필드에 저장합니다.예: AlbertE |
| SrcUsernameType | 조건부 | UsernameType | SrcUsername 필드에 저장된 사용자 이름 형식을 지정합니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서의 UsernameType을 참조하세요. 예: Windows |
| SrcUserType | 선택 사항 | UserType | 원본 사용자의 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서에서 UserType을 참조하세요. 참고: 다른 용어를 사용하여 원본 레코드에 값을 제공할 수 있으며 이러한 값으로 정규화되어야 합니다. SrcOriginalUserType 필드에 원래 값을 저장합니다. |
| SrcOriginalUserType | 선택 사항 | 문자열 | 보고 디바이스에서 제공한 경우 원래 대상 사용자 유형입니다. |
원본 애플리케이션 필드
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| SrcAppName | 선택 사항 | 문자열 | 원본 애플리케이션의 이름입니다. 예: filezilla.exe |
| SrcAppId | 선택 사항 | 문자열 | 보고 디바이스에서 보고한 원본 애플리케이션의 ID입니다. SrcAppType이 Process인 경우 SrcAppId와 SrcProcessId는 동일한 값을 가져야 합니다.예: 124 |
| SrcAppType | 선택 사항 | AppType | 원본 애플리케이션의 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서에서 AppType을 참조하세요. 이 필드는 SrcAppName 또는 SrcAppId가 사용되는 경우 필수입니다. |
| SrcProcessName | 선택 사항 | 문자열 | 네트워크 세션을 시작한 프로세스의 파일 이름입니다. 이 이름은 일반적으로 프로세스 이름으로 간주됩니다. 예: C:\Windows\explorer.exe |
| SrcProcessId | 선택 사항 | 문자열 | 네트워크 세션을 시작한 프로세스의 PID(프로세스 ID)입니다. 예: 48610176 참고: 형식은 다양한 시스템을 지원하기 위해 문자열로 정의되지만 Windows 및 Linux에서는 이 값이 숫자여야 합니다. Windows 또는 Linux 머신을 사용하고 다른 형식을 사용하는 경우에는 값을 변환해야 합니다. 예를 들어 16진수 값을 사용한 경우 10진수 값으로 변환합니다. |
| SrcProcessGuid | 선택 사항 | 문자열 | 네트워크 세션을 시작한 프로세스의 생성된 GUID(고유 식별자)입니다. 예: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
로컬 및 원격 별칭
위에 나열된 모든 원본 및 대상 필드는 동일한 이름과 설명자 Local 및 Remote를 가진 필드로 선택적으로 별칭을 지정할 수 있습니다. 이는 일반적으로 엔드포인트에서 보고하고 이벤트 유형이 EndpointNetworkSession인 이벤트에 유용합니다.
이러한 이벤트의 경우 설명자 Local 및 Remote는 각각 엔드포인트 자체와 네트워크 세션의 다른 쪽 끝에 있는 디바이스를 나타냅니다. 인바운드 연결의 경우 로컬 시스템은 대상이고 Local 필드는 Dst 필드에 대한 별칭이며 'Remote' 필드는 Src 필드에 대한 별칭입니다. 반대로 아웃바운드 연결의 경우 로컬 시스템은 원본이고 Local 필드는 Src 필드에 대한 별칭이며 Remote 필드는 Dst 필드에 대한 별칭입니다.
예를 들어 인바운드 이벤트의 경우 LocalIpAddr 필드는 DstIpAddr에 대한 별칭이고 RemoteIpAddr 필드는 SrcIpAddr에 대한 별칭입니다.
호스트 이름 및 IP 주소 별칭
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| Hostname | 별칭 | - 이벤트 유형이 NetworkSession, Flow 또는 L2NetworkSession인 경우 Hostname은 DstHostname에 대한 별칭입니다.- 이벤트 유형이 EndpointNetworkSession인 경우 호스트 이름은 RemoteHostname의 별칭이며, NetworkDirection에 따라 DstHostname 또는 SrcHostName의 별칭을 지정할 수 있습니다. |
|
| IpAddr | 별칭 | - 이벤트 유형이 NetworkSession, Flow 또는 L2NetworkSession인 경우 IpAddr은 SrcIpAddr에 대한 별칭입니다.- 이벤트 유형이 EndpointNetworkSession인 경우 IpAddr은 LocalIpAddr에 대한 별칭이며, NetworkDirection에 따라 SrcIpAddr 또는 DstIpAddr의 별칭을 지정할 수 있습니다. |
중간 디바이스 및 NAT(Network Address Translation) 필드
다음 필드는 네트워크 세션을 릴레이하는 방화벽 또는 프록시와 같은 중간 디바이스에 대한 정보를 레코드에 포함하는 경우에 유용합니다.
중간 시스템은 종종 주소 변환을 사용하므로 원래 주소와 외부에서 관찰되는 주소가 동일하지 않습니다. 이러한 경우 SrcIPAddr 및 DstIpAddr과 같은 기본 주소 필드는 외부에서 관찰되는 주소를 나타내고 NAT 주소 필드인 SrcNatIpAddr 및 DstNatIpAddr은 변환 전 원래 디바이스의 내부 주소를 나타냅니다.
검사 필드
다음 필드는 방화벽, IPS 또는 웹 보안 게이트웨이와 같은 보안 디바이스가 수행한 검사를 나타내는 데 사용됩니다.
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| NetworkRuleName | 선택 사항 | 문자열 | DvcAction이 결정된 규칙의 이름 또는 ID입니다. 예: AnyAnyDrop |
| NetworkRuleNumber | 선택 사항 | 정수 | DvcAction이 결정된 규칙의 번호입니다. 예: 23 |
| 규칙 | 별칭 | 문자열 | NetworkRuleName 값 또는 NetworkRuleNumber 값입니다. NetworkRuleNumber 값을 사용하는 경우 형식을 문자열로 변환해야 합니다. |
| ThreatId | 선택 사항 | 문자열 | 네트워크 세션에서 식별된 위협 또는 맬웨어의 ID입니다. 예: Tr.124 |
| ThreatName | 선택 사항 | 문자열 | 네트워크 세션에서 식별된 위협 또는 맬웨어의 이름입니다. 예: EICAR Test File |
| ThreatCategory | 선택 사항 | 문자열 | 네트워크 세션에서 식별된 위협 또는 맬웨어의 범주입니다. 예: Trojan |
| ThreatRiskLevel | 선택 사항 | 정수 | 세션과 관련된 위험 수준입니다. 수준은 0에서 100 사이의 숫자여야 합니다. 참고: 이 척도로 정규화되어야 하는 다른 척도를 사용하여 값을 원본 레코드에 제공할 수 있습니다. 원래 값은 ThreatRiskLevelOriginal에 저장해야 합니다. |
| ThreatOriginalRiskLevel | 선택 사항 | 문자열 | 보고 디바이스에서 보고한 위험 수준입니다. |
| ThreatIpAddr | 선택 사항 | IP 주소 | 위협이 식별된 IP 주소입니다. ThreatField 필드에는 ThreatIpAddr에서 나타내는 필드의 이름이 포함됩니다. |
| ThreatField | 조건부 | Enumerated | 위협이 식별된 필드입니다. 값은 SrcIpAddr 또는 DstIpAddr입니다. |
| ThreatConfidence | 선택 사항 | 정수 | 식별된 위협의 신뢰 수준이며, 0~100의 값으로 정규화됩니다. |
| ThreatOriginalConfidence | 선택 사항 | 문자열 | 보고 디바이스에서 보고하는 식별된 위협의 원래 신뢰 수준입니다. |
| ThreatIsActive | 선택 사항 | Boolean | True이면 식별된 위협이 활성 위협으로 간주됩니다. |
| ThreatFirstReportedTime | 선택 사항 | 날짜/시간 | IP 주소 또는 도메인이 처음으로 위협으로 식별된 시간입니다. |
| ThreatLastReportedTime | 선택 사항 | 날짜/시간 | IP 주소 또는 도메인이 마지막으로 위협으로 식별된 시간입니다. |
기타 필드
이벤트가 네트워크 세션의 엔드포인트 중 하나에서 보고되면 세션을 시작하거나 종료한 프로세스에 대한 정보가 포함될 수 있습니다. 이러한 경우 ASIM 프로세스 이벤트 스키마가 이 정보를 정규화하는 데 사용됩니다.
스키마 업데이트
다음은 스키마 버전 0.2.1의 변경 내용입니다.
- 원본 및 대상 시스템의 선행 식별자에 별칭으로
Src및Dst를 추가했습니다. NetworkConnectionHistory,SrcVlanId,DstVlanId,InnerVlanId및OuterVlanId필드를 추가했습니다.
다음은 스키마 버전 0.2.2의 변경 내용입니다.
Remote및Local별칭을 추가했습니다.- 이벤트 유형
EndpointNetworkSession을 추가했습니다. - 이벤트 유형이
EndpointNetworkSession일 때 각각RemoteHostname및LocalIpAddr에 대한 별칭으로Hostname및IpAddr을 정의했습니다. DvcInterface를DvcInboundInterface또는DvcOutboundInterface에 대한 별칭으로 정의했습니다.SrcBytes,DstBytes,NetworkBytes,SrcPackets,DstPackets및NetworkPackets필드 형식을 정수에서 Long으로 변경했습니다.NetworkProtocolVersion,SrcSubscriptionId및DstSubscriptionId필드를 추가했습니다.DstUserDomain및SrcUserDomain사용되지 않음
다음은 스키마 버전 0.2.3의 변경 내용입니다.
ipaddr_has_any_prefix필터링 매개 변수가 추가되었습니다.- 이제
hostname_has_any필터링 매개 변수가 원본 또는 대상 호스트 이름과 일치합니다. ASimMatchingHostname및ASimMatchingIpAddr필드를 추가했습니다.
다음은 스키마 버전 0.2.4의 변경 내용입니다.
TcpFlags필드를 추가했습니다.NetworkIcpmType과NetworkIcmpCode가 둘 다에 대한 숫자 값을 반영하도록 업데이트되었습니다.- 추가 검사 필드가 추가되었습니다.
- ASIM 규칙에 맞게 'ThreatRiskLevelOriginal' 필드의 이름이 바뀌었
ThreatOriginalRiskLevel습니다. 기존 Microsoft 파서는 2023년 5월 1일까지ThreatRiskLevelOriginal을 유지됩니다. EventResultDetails를 권장으로 표시하고 허용되는 값을 지정했습니다.
다음은 스키마 버전 0.2.5의 변경 내용입니다.
- 필드
DstUserScope, ,SrcUserScope,SrcDvcScopeId,SrcDvcScopeDstDvcScopeId,DstDvcScopeDvcScopeId및DvcScope.를 추가했습니다.
다음은 스키마 버전 0.2.6의 변경 내용입니다.
- 이벤트 유형으로 IDS 추가됨
다음 단계
자세한 내용은 다음을 참조하세요.