Microsoft Sentinel 네트워크 세션 정규화 스키마는 네트워크 연결 및 네트워크 세션과 같은 IP 네트워크 활동을 나타냅니다. 이러한 이벤트는 예를 들어 운영 체제, 라우터, 방화벽 및 침입 방지 시스템에 의해 보고됩니다.
네트워크 정규화 스키마는 모든 유형의 IP 네트워크 세션을 나타낼 수 있지만 Netflow, 방화벽 및 침입 방지 시스템과 같은 일반적인 원본 형식에 대한 지원을 제공하도록 설계되었습니다.
Microsoft Sentinel 정규화에 대한 자세한 내용은 정규화 및 ASIM(고급 보안 정보 모델)을 참조하세요.
파서
ASIM 파서에 대한 자세한 내용은 ASIM 파서 개요를 참조하세요.
파서 통합
모든 ASIM 기본 파서를 통합하는 파서를 사용하고 구성된 모든 원본에서 분석이 실행되도록 하려면 파서를 사용합니다 _Im_NetworkSession .
기본 제공 원본별 파서
기본 제공 Microsoft Sentinel 네트워크 세션 파서 목록은 ASIM 파서 목록을 참조하세요.
정규화된 자체 파서 추가
네트워크 세션 정보 모델에 대한 사용자 지정 파서를 개발할 때 다음 구문을 사용하여 KQL 함수의 이름을 지정합니다.
-
vimNetworkSession<vendor><Product>매개 변수가 있는 파서의 경우 -
ASimNetworkSession<vendor><Product>일반 파서용
사용자 지정 파서를 네트워크 세션 통합 파서에 추가하는 방법을 알아보려면 ASIM 파서 관리 문서를 참조하세요.
파서 매개 변수 필터링
네트워크 세션 파서는 필터링 매개 변수를 지원합니다. 이러한 매개 변수는 선택 사항이지만 쿼리 성능을 향상시킬 수 있습니다.
다음 필터링 매개 변수를 사용할 수 있습니다.
| 이름 | 유형 | 설명 |
|---|---|---|
| Starttime | datetime | 이 시간 이후에 시작된 네트워크 세션만 필터링합니다. 이 매개 변수는 TimeGenerated EventStartTime 및 EventEndTime 필드의 파서별 매핑에 관계없이 이벤트 시간의 표준 지정자인 필드를 필터링합니다. |
| Endtime | datetime | 이 시간 또는 그 이전에 실행 되기 시작한 네트워크 세션만 필터링합니다. 이 매개 변수는 TimeGenerated EventStartTime 및 EventEndTime 필드의 파서별 매핑에 관계없이 이벤트 시간의 표준 지정자인 필드를 필터링합니다. |
| srcipaddr_has_any_prefix | 동적 |
원본 IP 주소 필드 접두사가 나열된 값 중 하나에 있는 네트워크 세션만 필터링합니다. 접두사는 로 .끝나야 합니다(예: 10.0.). 목록의 길이는 10,000개 항목으로 제한됩니다. |
| dstipaddr_has_any_prefix | 동적 |
대상 IP 주소 필드 접두사가 나열된 값 중 하나에 있는 네트워크 세션만 필터링합니다. 접두사는 로 .끝나야 합니다(예: 10.0.). 목록의 길이는 10,000개 항목으로 제한됩니다. |
| ipaddr_has_any_prefix | 동적 |
대상 IP 주소 필드 또는 원본 IP 주소 필드 접두사가 나열된 값 중 하나에 있는 네트워크 세션만 필터링합니다. 접두사는 로 .끝나야 합니다(예: 10.0.). 목록의 길이는 10,000개 항목으로 제한됩니다.ASimMatchingIpAddr 필드가 , 또는 Both 값 SrcIpAddrDstIpAddr중 하나로 설정되거나 일치하는 필드 또는 필드를 반영하도록 설정됩니다. |
| dstportnumber | 임계값 | 지정된 대상 포트 번호를 사용하여 네트워크 세션만 필터링합니다. |
| hostname_has_any | 동적/문자열 |
대상 호스트 이름 필드에 나열된 값이 있는 네트워크 세션만 필터링합니다. 목록의 길이는 10,000개 항목으로 제한됩니다. 필드 ASimMatchingHostname은 일치하는 필드 또는 필드를 반영하기 위해 , DstHostname또는 Both 값 SrcHostname중 하나로 설정됩니다. |
| dvcaction | 동적/문자열 | 디바이스 작업 필드가 나열된 값 중 하나의 네트워크 세션만 필터링합니다. |
| eventresult | String | 특정 EventResult 값을 사용하여 네트워크 세션만 필터링합니다. |
일부 매개 변수는 형식 dynamic 의 값 목록 또는 단일 문자열 값을 모두 허용할 수 있습니다. 동적 값이 필요한 매개 변수에 리터럴 목록을 전달하려면 동적 리터럴을 명시적으로 사용합니다. 예: dynamic(['192.168.','10.'])
예를 들어 지정된 도메인 이름 목록에 대한 네트워크 세션만 필터링하려면 다음을 사용합니다.
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
팁
동적 값이 필요한 매개 변수에 리터럴 목록을 전달하려면 동적 리터럴을 명시적으로 사용합니다. 예: dynamic(['192.168.','10.'])
정규화된 콘텐츠
정규화된 DNS 이벤트를 사용하는 분석 규칙의 전체 목록은 네트워크 세션 보안 콘텐츠를 참조하세요.
스키마 개요
네트워크 세션 정보 모델은 OSSEM 네트워크 엔터티 스키마와 정렬됩니다.
네트워크 세션 스키마는 동일한 필드를 공유하는 유사하지만 고유한 여러 유형의 시나리오를 제공합니다. 이러한 시나리오는 EventType 필드로 식별됩니다.
-
NetworkSession- 방화벽, 라우터 또는 네트워크 탭과 같은 네트워크를 모니터링하는 중간 디바이스에서 보고한 네트워크 세션입니다. -
L2NetworkSession- 계층 2 정보만 사용할 수 있는 네트워크 세션입니다. 이러한 이벤트에는 MAC 주소가 포함되지만 IP 주소는 포함되지 않습니다. -
Flow- 일반적으로 Netflow 이벤트와 같이 미리 정의된 기간 동안 여러 유사한 네트워크 세션을 보고하는 집계된 이벤트입니다. -
EndpointNetworkSession- 클라이언트 및 서버를 포함하여 세션의 끝점 중 하나에서 보고한 네트워크 세션입니다. 이러한 이벤트의 경우 스키마는 및local별칭 필드를 지원remote합니다. -
IDS- 의심스러운 것으로 보고된 네트워크 세션입니다. 이러한 이벤트에는 일부 검사 필드가 채워지고 원본 또는 대상 중 하나의 IP 주소 필드만 채워질 수 있습니다.
일반적으로 쿼리는 이러한 이벤트 형식의 하위 집합만 선택해야 하며 사용 사례의 고유한 측면을 별도로 해결해야 할 수 있습니다. 예를 들어 IDS 이벤트는 전체 네트워크 볼륨을 반영하지 않으며 열 기반 분석에서 고려해서는 안 됩니다.
네트워크 세션 이벤트는 설명자를 Src 사용하고 세션 Dst 에 관련된 디바이스 및 관련 사용자 및 애플리케이션의 역할을 나타냅니다. 예를 들어 원본 디바이스 호스트 이름 및 IP 주소의 이름은 SrcHostname 및 SrcIpAddr입니다. 다른 ASIM 스키마는 일반적으로 대신 Dst를 사용합니다Target.
엔드포인트에서 보고하고 이벤트 유형이 EndpointNetworkSession인 이벤트의 경우 설명자 Local 및 Remote 는 각각 네트워크 세션의 다른 쪽 끝에 있는 엔드포인트 자체와 디바이스를 나타냅니다.
설명자는 Dvc 엔드포인트에서 보고하는 세션의 로컬 시스템인 보고 디바이스와 다른 네트워크 세션 이벤트에 대한 중간 디바이스 또는 네트워크 탭에 사용됩니다.
스키마 세부 정보
일반 ASIM 필드
중요
모든 스키마에 공통된 필드는 ASIM 공통 필드 문서에서 자세히 설명합니다.
특정 지침이 있는 공통 필드
다음 목록에서는 네트워크 세션 이벤트에 대한 특정 지침이 있는 필드를 설명합니다.
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| EventCount | 필수 | 정수 | Netflow 원본은 집계를 지원하며 EventCount 필드는 Netflow FLOWS 필드의 값으로 설정되어야 합니다. 다른 원본의 경우 값은 일반적으로 로 1설정됩니다. |
| EventType | 필수 | 열거 | 레코드에서 보고한 시나리오를 설명합니다. 네트워크 세션 레코드의 경우 허용되는 값은 다음과 같습니다. - EndpointNetworkSession- NetworkSession - L2NetworkSession- IDS - Flow이벤트 유형에 대한 자세한 내용은 스키마 개요를 참조하세요. |
| EventSubType | 옵션 | 열거 | 해당하는 경우 이벤트 유형에 대한 추가 설명입니다. 네트워크 세션 레코드의 경우 지원되는 값은 다음과 같습니다. - Start- End이 필드는 이벤트와 Flow 관련이 없습니다. |
| EventResult | 필수 | 열거 | 원본 디바이스가 이벤트 결과를 제공하지 않는 경우 EventResult 는 DvcAction 값을 기반으로 해야 합니다.
DvcAction이 Deny, , Drop, Drop ICMPReset, , Reset Source또는 인 경우Reset Destination, EventResult 는 이어야 Failure합니다. 그렇지 않으면 EventResult 는 이어야 Success합니다. |
| EventResultDetails | 권장 | 열거 |
EventResult 필드에 보고된 결과에 대한 이유 또는 세부 정보입니다. 지원되는 값은 다음과 같습니다. -장애 조치 - 잘못된 TCP - 잘못된 터널 - 최대 재시도 -재설정 - 라우팅 문제 -시뮬레이션 -종료 -타임 아웃 - 일시적인 오류 -알려지지 않은 -Na. 원본별 원래 값은 EventOriginalResultDetails 필드에 저장됩니다. |
| EventSchema | 필수 | 열거 | 여기에 설명된 스키마의 이름은 입니다 NetworkSession. |
| EventSchemaVersion | 필수 | SchemaVersion(문자열) | 스키마의 버전입니다. 여기에 설명된 스키마의 버전은 입니다 0.2.7. |
| DvcAction | 권장 | 열거 | 네트워크 세션에서 수행된 작업입니다. 지원되는 값은 다음과 같습니다. - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNroute참고: 값은 이러한 값으로 정규화되어야 하는 다른 용어를 사용하여 원본 레코드에 제공될 수 있습니다. 원래 값은 DvcOriginalAction 필드에 저장되어야 합니다. 예: drop |
| EventSeverity | 옵션 | 열거 | 원본 디바이스가 이벤트 심각도를 제공하지 않는 경우 EventSeverity 는 DvcAction 값을 기반으로 해야 합니다.
DvcAction이 Deny, , Drop, Drop ICMPReset, , Reset Source또는 인 경우Reset Destination, EventSeverity 는 이어야 Low합니다. 그렇지 않으면 EventSeverity 는 이어야 Informational합니다. |
| DvcInterface | DvcInterface 필드는 DvcInboundInterface 또는 DvcOutboundInterface 필드의 별칭이어야 합니다. | ||
| Dvc 필드 | 네트워크 세션 이벤트의 경우 디바이스 필드는 네트워크 세션 이벤트를 보고하는 시스템을 참조합니다. |
모든 공통 필드
아래 표에 표시되는 필드는 모든 ASIM 스키마에 공통적으로 적용됩니다. 위에 지정된 모든 지침은 필드에 대한 일반 지침을 재정의합니다. 예를 들어 필드는 일반적으로 선택 사항이지만 특정 스키마에는 필수일 수 있습니다. 각 필드에 대한 자세한 내용은 ASIM 공통 필드 문서를 참조하세요.
| 클래스 | 필드 |
|---|---|
| 필수 |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| 권장 |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| 옵션 |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
네트워크 세션 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| NetworkApplicationProtocol | 옵션 | String | 연결 또는 세션에서 사용하는 애플리케이션 계층 프로토콜입니다. 값은 모두 대문자여야 합니다. 예: FTP |
| NetworkProtocol | 옵션 | 열거 |
IANA 프로토콜 할당에 나열된 연결 또는 세션에서 사용되는 IP 프로토콜(일반적으로 TCP, UDP또는 ICMP)입니다.예: TCP |
| NetworkProtocolVersion | 옵션 | 열거 |
NetworkProtocol의 버전입니다. IP 버전을 구분하는 데 사용하는 경우 및 값을 IPv4IPv6사용합니다. |
| NetworkDirection | 옵션 | 열거 | 연결 또는 세션의 방향: - EventType NetworkSessionFlow 또는 L2NetworkSession의 경우 NetworkDirection은 organization 또는 클라우드 환경 경계에 상대적인 방향을 나타냅니다. 지원되는 값은 Inbound, , OutboundLocal (organization), External (organization) 또는 NA (해당 없음)입니다.- EventType EndpointNetworkSession의 경우 NetworkDirection 은 엔드포인트를 기준으로 방향을 나타냅니다. 지원되는 값은 Inbound, Outbound, Local (시스템) Listen 또는 NA (해당 없음)입니다. 값은 Listen 디바이스가 네트워크 연결을 수락하기 시작했지만 실제로 연결되지는 않음을 나타냅니다. |
| NetworkDuration | 옵션 | 정수 | 네트워크 세션 또는 연결이 완료되는 데 걸리는 시간(밀리초)입니다. 예: 1500 |
| 기간 | 별칭 | NetworkDuration에 대한 별칭입니다. | |
| NetworkIcmpType | 옵션 | String | ICMP 메시지의 경우 IPv4 네트워크 연결의 경우 RFC 2780 또는 IPv6 네트워크 연결의 경우 RFC 4443 에 설명된 대로 숫자 값과 연결된 ICMP 형식 이름입니다. 예: Destination Unreachable NetworkIcmpCode의 경우 3 |
| NetworkIcmpCode | 옵션 | 정수 | ICMP 메시지의 경우 IPv4 네트워크 연결의 경우 RFC 2780 또는 IPv6 네트워크 연결의 경우 RFC 4443 에 설명된 ICMP 코드 번호입니다. |
| NetworkConnectionHistory | 옵션 | String | TCP 플래그 및 기타 잠재적 IP 헤더 정보입니다. |
| DstBytes | 권장 | 긴 | 연결 또는 세션에 대한 대상에서 원본으로 전송된 바이트 수입니다. 이벤트가 집계된 경우 DstBytes 는 집계된 모든 세션의 합계여야 합니다. 예: 32455 |
| SrcBytes | 권장 | 긴 | 연결 또는 세션에 대한 원본에서 대상으로 전송된 바이트 수입니다. 이벤트가 집계되면 SrcBytes 는 집계된 모든 세션의 합계여야 합니다. 예: 46536 |
| NetworkBytes | 옵션 | 긴 | 양방향으로 전송된 바이트 수입니다.
BytesReceived 및 BytesSent가 모두 있는 경우 BytesTotal은 해당 합계와 같아야 합니다. 이벤트가 집계된 경우 NetworkBytes 는 집계된 모든 세션의 합계여야 합니다. 예: 78991 |
| DstPackets | 옵션 | 긴 | 연결 또는 세션에 대한 대상에서 원본으로 전송된 패킷 수입니다. 패킷의 의미는 보고 디바이스에 의해 정의됩니다. 이벤트가 집계된 경우 DstPackets 는 집계된 모든 세션의 합계여야 합니다. 예: 446 |
| SrcPackets | 옵션 | 긴 | 연결 또는 세션에 대한 원본에서 대상으로 전송된 패킷 수입니다. 패킷의 의미는 보고 디바이스에 의해 정의됩니다. 이벤트가 집계된 경우 SrcPackets 는 집계된 모든 세션의 합계여야 합니다. 예: 6478 |
| NetworkPackets | 옵션 | 긴 | 양방향으로 전송된 패킷 수입니다.
PacketsReceived 및 PacketsSent가 모두 있는 경우 PacketsTotal은 해당 합계와 같아야 합니다. 패킷의 의미는 보고 디바이스에 의해 정의됩니다. 이벤트가 집계되면 NetworkPackets 는 집계된 모든 세션의 합계여야 합니다. 예: 6924 |
| NetworkSessionId | 옵션 | 문자열 | 보고 디바이스에서 보고한 세션 식별자입니다. 예: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| SessionId | 별칭 | String | NetworkSessionId에 대한 별칭입니다. |
| TcpFlagsAck | 옵션 | 부울 | TCP ACK 플래그가 보고되었습니다. 승인 플래그는 패킷의 성공적인 수신을 승인하는 데 사용됩니다. 위의 다이어그램에서 볼 수 있듯이 수신기는 3방향 핸드셰이크 프로세스의 두 번째 단계에서 ACK 및 SYN을 전송하여 보낸 사람에게 초기 패킷을 수신했음을 알 수 있습니다. |
| TcpFlagsFin | 옵션 | 부울 | TCP FIN 플래그가 보고되었습니다. 완료된 플래그는 보낸 사람으로부터 더 이상 데이터가 없음을 의미합니다. 따라서 보낸 사람으로부터 보낸 마지막 패킷에 사용됩니다. |
| TcpFlagsSyn | 옵션 | 부울 | TCP SYN 플래그가 보고되었습니다. 동기화 플래그는 두 호스트 간에 3방향 핸드셰이크를 설정하는 첫 번째 단계로 사용됩니다. 보낸 사람 및 수신자 모두의 첫 번째 패킷만 이 플래그를 설정해야 합니다. |
| TcpFlagsUrg | 옵션 | 부울 | TCP URG 플래그가 보고되었습니다. 긴급 플래그는 다른 모든 패킷을 처리하기 전에 수신자에게 긴급 패킷을 처리하도록 알리는 데 사용됩니다. 알려진 긴급 데이터가 모두 수신되면 수신자가 알림을 받습니다. 자세한 내용은 RFC 6093 을 참조하세요. |
| TcpFlagsPsh | 옵션 | 부울 | TCP PSH 플래그가 보고되었습니다. 푸시 플래그는 URG 플래그와 유사하며 수신자가 이러한 패킷을 버퍼링하는 대신 수신할 때 처리하도록 지시합니다. |
| TcpFlagsRst | 옵션 | 부울 | TCP RST 플래그가 보고되었습니다. 패킷이 예상하지 못한 특정 호스트로 전송되면 재설정 플래그가 수신자에서 보낸 사람에게 전송됩니다. |
| TcpFlagsEce | 옵션 | 부울 | TCP ECE 플래그가 보고되었습니다. 이 플래그는 TCP 피어가 ECN을 사용할 수 있는지 여부를 나타냅니다. 자세한 내용은 RFC 3168 을 참조하세요. |
| TcpFlagsCwr | 옵션 | 부울 | TCP CWR 플래그가 보고되었습니다. 혼잡 창 축소 플래그는 전송 호스트가 ECE 플래그가 설정된 패킷을 수신했음을 나타내는 데 사용됩니다. 자세한 내용은 RFC 3168 을 참조하세요. |
| TcpFlagsNs | 옵션 | 부울 | TCP NS 플래그가 보고되었습니다. nonce sum 플래그는 여전히 보낸 사람의 실수로 인한 악의적인 패킷 은폐로부터 보호하는 데 사용되는 실험적 플래그입니다. 자세한 내용은 RFC 3540 을 참조하세요. |
대상 시스템 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| Dst | 별칭 | DNS 요청을 수신하는 서버의 고유 식별자입니다. 이 필드는 DstDvcId, DstHostname 또는 DstIpAddr 필드의 별칭을 지정할 수 있습니다. 예: 192.168.12.1 |
|
| DstIpAddr | 권장 | IP 주소 | 연결 또는 세션 대상의 IP 주소입니다. 세션에서 네트워크 주소 변환 DstIpAddr 을 사용하는 경우 는 DstNatIpAddr에 저장된 원본의 원래 주소가 아니라 공개적으로 표시되는 주소입니다.예: 2001:db8::ff00:42:8329참고: DstHostname 이 지정된 경우 이 값은 필수입니다. |
| DstPortNumber | 옵션 | 정수 | 대상 IP 포트입니다. 예: 443 |
| DstHostname | 권장 | 호스트 이름(문자열) | 도메인 정보를 제외한 대상 디바이스 호스트 이름입니다. 사용할 수 있는 디바이스 이름이 없는 경우 이 필드에 관련 IP 주소를 저장합니다. 예: DESKTOP-1282V4D |
| DstDomain | 권장 | 도메인(문자열) | 대상 디바이스의 도메인입니다. 예: Contoso |
| DstDomainType | 조건부 | 열거 |
DstDomain의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의DomainType을 참조하세요. DstDomain을 사용하는 경우 필요합니다. |
| DstFQDN | 옵션 | FQDN(문자열) | 사용 가능한 경우 도메인 정보를 포함하는 대상 디바이스 호스트 이름입니다. 예: Contoso\DESKTOP-1282V4D 참고: 이 필드는 기존 FQDN 형식과 Windows 도메인\호스트 이름 형식을 모두 지원합니다. DstDomainType은 사용된 형식을 반영합니다. |
| DstDvcId | 옵션 | String | 대상 디바이스의 ID입니다. 여러 ID를 사용할 수 있는 경우 가장 중요한 ID를 사용하고 다른 ID를 필드에 DstDvc<DvcIdType>저장합니다. 예: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | 옵션 | String | 디바이스가 속한 클라우드 플랫폼 scope ID입니다. DstDvcScopeId는 Azure 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| DstDvcScope | 옵션 | String | 디바이스가 속한 클라우드 플랫폼 scope. DstDvcScope는 Azure 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| DstDvcIdType | 조건부 | 열거 |
DstDvcId의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의DvcIdType을 참조하세요. DstDeviceId를 사용하는 경우 필요합니다. |
| DstDeviceType | 옵션 | 열거 | 대상 디바이스의 유형입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의DeviceType을 참조하세요. |
| DstZone | 옵션 | String | 보고 디바이스에 정의된 대상의 네트워크 영역입니다. 예: Dmz |
| DstInterfaceName | 옵션 | String | 대상 디바이스의 연결 또는 세션에 사용되는 네트워크 인터페이스입니다. 예: Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | 옵션 | GUID(문자열) | 대상 디바이스에 사용되는 네트워크 인터페이스의 GUID입니다. 예: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | 옵션 | MAC 주소(문자열) | 대상 디바이스의 연결 또는 세션에 사용되는 네트워크 인터페이스의 MAC 주소입니다. 예: 06:10:9f:eb:8f:14 |
| DstVlanId | 옵션 | String | 대상 디바이스와 관련된 VLAN ID입니다. 예: 130 |
| OuterVlanId | 별칭 |
DstVlanId에 대한 별칭입니다. 대부분의 경우 VLAN은 원본 또는 대상으로 확인할 수 없지만 내부 또는 외부로 특징지어집니다. 이 별칭은 VLAN이 외부로 특징지어질 때 DstVlanId 를 사용해야 했음을 의미합니다. |
|
| DstGeoCountry | 옵션 | 국가 | 대상 IP 주소와 연결된 국가/지역입니다. 자세한 내용은 논리 형식을 참조하세요. 예: USA |
| DstGeoRegion | 옵션 | 지역 | 대상 IP 주소와 연결된 지역 또는 상태입니다. 자세한 내용은 논리 형식을 참조하세요. 예: Vermont |
| DstGeoCity | 선택 | 구/군/시 | 대상 IP 주소와 연결된 도시입니다. 자세한 내용은 논리 형식을 참조하세요. 예: Burlington |
| DstGeoLatitude | 옵션 | 위도 | 대상 IP 주소와 연결된 지리적 좌표의 위도입니다. 자세한 내용은 논리 형식을 참조하세요. 예: 44.475833 |
| DstGeoLongitude | 옵션 | 경도 | 대상 IP 주소와 연결된 지리적 좌표의 경도입니다. 자세한 내용은 논리 형식을 참조하세요. 예: 73.211944 |
| DstDescription | 옵션 | String | 디바이스와 연결된 설명 텍스트입니다. 예: Primary Domain Controller |
대상 사용자 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| DstUserId | 옵션 | String | 대상 사용자의 컴퓨터 읽기 가능, 영숫자 고유 표현입니다. 다양한 ID 형식에 대해 지원되는 형식은 사용자 엔터티를 참조하세요. 예: S-1-12 |
| DstUserScope | 옵션 | String | DstUserId 및 DstUsername이 정의된 Microsoft Entra 테넌트와 같은 scope. 또는 허용되는 값의 자세한 내용과 목록은 스키마 개요 문서의UserScope를 참조하세요. |
| DstUserScopeId | 옵션 | String | DstUserId 및 DstUsername이 정의된 Microsoft Entra 디렉터리 ID와 같은 scope ID입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서의UserScopeId를 참조하세요. |
| DstUserIdType | 조건부 | UserIdType | DstUserId 필드에 저장된 ID의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의UserIdType을 참조하세요. |
| DstUsername | 옵션 | 사용자 이름(문자열) | 사용 가능한 경우 도메인 정보를 포함한 대상 사용자 이름입니다. 다양한 ID 형식에 대해 지원되는 형식은 사용자 엔터티를 참조하세요. 도메인 정보를 사용할 수 없는 경우에만 간단한 양식을 사용합니다. 사용자 이름 형식을 DstUsernameType 필드에 저장합니다. 다른 사용자 이름 형식을 사용할 수 있는 경우 필드에 DstUsername<UsernameType>저장합니다.예: AlbertE |
| 사용자 | 별칭 | 별칭을 DstUsername으로 지정합니다. | |
| DstUsernameType | 조건부 | UsernameType |
DstUsername 필드에 저장된 사용자 이름의 형식을 지정합니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의UsernameType을 참조하세요. 예: Windows |
| DstUserType | 옵션 | UserType | 대상 사용자의 유형입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의UserType을 참조하세요. 참고: 값은 이러한 값으로 정규화되어야 하는 다른 용어를 사용하여 원본 레코드에 제공될 수 있습니다. 원래 값을 DstOriginalUserType 필드에 저장합니다. |
| DstOriginalUserType | 옵션 | String | 원본에서 제공하는 경우 원래 대상 사용자 유형입니다. |
대상 애플리케이션 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| DstAppName | 옵션 | String | 대상 애플리케이션의 이름입니다. 예: Facebook |
| DstAppId | 옵션 | String | 보고 디바이스에서 보고한 대상 애플리케이션의 ID입니다.
DstAppType이 이 ProcessDstAppId 고 DstProcessId 값이 같아야 합니다.예: 124 |
| DstAppType | 옵션 | AppType | 대상 애플리케이션의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의AppType을 참조하세요. DstAppName 또는 DstAppId를 사용하는 경우 이 필드는 필수입니다. |
| DstProcessName | 옵션 | String | 네트워크 세션을 종료한 프로세스의 파일 이름입니다. 이 이름은 일반적으로 프로세스 이름으로 간주됩니다. 예: C:\Windows\explorer.exe |
| 프로세스 | 별칭 |
DstProcessName에 대한 별칭 예: C:\Windows\System32\rundll32.exe |
|
| DstProcessId | 옵션 | String | 네트워크 세션을 종료한 프로세스의 PID(프로세스 ID)입니다. 예: 48610176 참고: 형식은 다양한 시스템을 지원하기 위해 문자열로 정의되지만 Windows 및 Linux 이 값은 숫자여야 합니다. Windows 또는 Linux 컴퓨터를 사용하고 다른 형식을 사용하는 경우 값을 변환해야 합니다. 예를 들어 16진수 값을 사용한 경우 10진수 값으로 변환합니다. |
| DstProcessGuid | 옵션 | String | 네트워크 세션을 종료한 프로세스의 생성된 GUID(고유 식별자)입니다. 예: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
원본 시스템 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| Src | 별칭 | 원본 디바이스의 고유 식별자입니다. 이 필드는 SrcDvcId, SrcHostname 또는 SrcIpAddr 필드의 별칭을 지정할 수 있습니다. 예: 192.168.12.1 |
|
| SrcIpAddr | 권장 | IP 주소 | 연결 또는 세션이 시작된 IP 주소입니다.
SrcHostname이 지정된 경우 이 값은 필수입니다. 세션에서 네트워크 주소 변환 SrcIpAddr 을 사용하는 경우 는 SrcNatIpAddr에 저장된 원본의 원래 주소가 아니라 공개적으로 표시되는 주소입니다.예: 77.138.103.108 |
| SrcPortNumber | 옵션 | 정수 | 연결이 시작된 IP 포트입니다. 여러 연결로 구성된 세션과 관련이 없을 수 있습니다. 예: 2335 |
| SrcHostname | 권장 | 호스트 이름(문자열) | 도메인 정보를 제외한 원본 디바이스 호스트 이름입니다. 사용할 수 있는 디바이스 이름이 없는 경우 이 필드에 관련 IP 주소를 저장합니다. 예: DESKTOP-1282V4D |
| SrcDomain | 권장 | 도메인(문자열) | 원본 디바이스의 도메인입니다. 예: Contoso |
| SrcDomainType | 조건부 | DomainType |
SrcDomain의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의DomainType을 참조하세요. SrcDomain을 사용하는 경우 필요합니다. |
| SrcFQDN | 옵션 | FQDN(문자열) | 사용 가능한 경우 도메인 정보를 포함하는 원본 디바이스 호스트 이름입니다. 참고: 이 필드는 기존 FQDN 형식과 Windows 도메인\호스트 이름 형식을 모두 지원합니다. SrcDomainType 필드는 사용된 형식을 반영합니다. 예: Contoso\DESKTOP-1282V4D |
| SrcDvcId | 옵션 | String | 원본 디바이스의 ID입니다. 여러 ID를 사용할 수 있는 경우 가장 중요한 ID를 사용하고 다른 ID를 필드에 SrcDvc<DvcIdType>저장합니다.예: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 옵션 | String | 디바이스가 속한 클라우드 플랫폼 scope ID입니다. SrcDvcScopeId는 Azure 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| SrcDvcScope | 옵션 | String | 디바이스가 속한 클라우드 플랫폼 scope. SrcDvcScope는 Azure 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| SrcDvcIdType | 조건부 | DvcIdType |
SrcDvcId의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의DvcIdType을 참조하세요. 참고: SrcDvcId 를 사용하는 경우 이 필드가 필요합니다. |
| SrcDeviceType | 옵션 | DeviceType | 원본 디바이스의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의DeviceType을 참조하세요. |
| SrcZone | 옵션 | String | 보고 디바이스에 정의된 원본의 네트워크 영역입니다. 예: Internet |
| SrcInterfaceName | 옵션 | String | 원본 디바이스의 연결 또는 세션에 사용되는 네트워크 인터페이스입니다. 예: eth01 |
| SrcInterfaceGuid | 옵션 | GUID(문자열) | 원본 디바이스에 사용되는 네트워크 인터페이스의 GUID입니다. 예: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | 옵션 | MAC 주소(문자열) | 연결 또는 세션이 시작된 네트워크 인터페이스의 MAC 주소입니다. 예: 06:10:9f:eb:8f:14 |
| SrcVlanId | 옵션 | String | 원본 디바이스와 관련된 VLAN ID입니다. 예: 130 |
| InnerVlanId | 별칭 |
SrcVlanId에 대한 별칭입니다. 대부분의 경우 VLAN은 원본 또는 대상으로 확인할 수 없지만 내부 또는 외부로 특징지어집니다. 이 별칭은 VLAN이 내부로 특징지어질 때 SrcVlanId 를 사용해야 했음을 의미합니다. |
|
| SrcGeoCountry | 옵션 | 국가 | 원본 IP 주소와 연결된 국가/지역입니다. 예: USA |
| SrcGeoRegion | 옵션 | 지역 | 원본 IP 주소와 연결된 지역입니다. 예: Vermont |
| SrcGeoCity | 선택 | 구/군/시 | 원본 IP 주소와 연결된 도시입니다. 예: Burlington |
| SrcGeoLatitude | 옵션 | 위도 | 원본 IP 주소와 연결된 지리적 좌표의 위도입니다. 예: 44.475833 |
| SrcGeoLongitude | 옵션 | 경도 | 원본 IP 주소와 연결된 지리적 좌표의 경도입니다. 예: 73.211944 |
| SrcDescription | 옵션 | String | 디바이스와 연결된 설명 텍스트입니다. 예: Primary Domain Controller |
원본 사용자 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| SrcUserId | 옵션 | String | 컴퓨터에서 읽을 수 있는 영숫자이며 원본 사용자의 고유한 표현입니다. 다양한 ID 형식에 대해 지원되는 형식은 사용자 엔터티를 참조하세요. 예: S-1-12 |
| SrcUserScope | 옵션 | String | SrcUserId 및 SrcUsername이 정의된 Microsoft Entra 테넌트와 같은 scope. 또는 허용되는 값의 자세한 내용과 목록은 스키마 개요 문서의UserScope를 참조하세요. |
| SrcUserScopeId | 옵션 | String | SrcUserId 및 SrcUsername이 정의된 Microsoft Entra 디렉터리 ID와 같은 scope ID입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서의UserScopeId를 참조하세요. |
| SrcUserIdType | 조건부 | UserIdType | SrcUserId 필드에 저장된 ID의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의UserIdType을 참조하세요. |
| SrcUsername | 옵션 | 사용자 이름(문자열) | 사용 가능한 경우 도메인 정보를 포함하는 원본 사용자 이름입니다. 다양한 ID 형식에 대해 지원되는 형식은 사용자 엔터티를 참조하세요. 도메인 정보를 사용할 수 없는 경우에만 간단한 양식을 사용합니다. 사용자 이름 형식을 SrcUsernameType 필드에 저장합니다. 다른 사용자 이름 형식을 사용할 수 있는 경우 필드에 SrcUsername<UsernameType>저장합니다.예: AlbertE |
| SrcUsernameType | 조건부 | UsernameType |
SrcUsername 필드에 저장된 사용자 이름의 형식을 지정합니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의UsernameType을 참조하세요. 예: Windows |
| SrcUserType | 옵션 | UserType | 원본 사용자의 유형입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의UserType을 참조하세요. 참고: 값은 이러한 값으로 정규화되어야 하는 다른 용어를 사용하여 원본 레코드에 제공될 수 있습니다. 원래 값을 SrcOriginalUserType 필드에 저장합니다. |
| SrcOriginalUserType | 옵션 | String | 보고 디바이스에서 제공하는 경우 원래 대상 사용자 유형입니다. |
원본 애플리케이션 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| SrcAppName | 옵션 | String | 원본 애플리케이션의 이름입니다. 예: filezilla.exe |
| SrcAppId | 옵션 | String | 보고 디바이스에서 보고한 원본 애플리케이션의 ID입니다.
SrcAppType이 이 ProcessSrcAppId 고 SrcProcessId 값이 같아야 합니다.예: 124 |
| SrcAppType | 옵션 | AppType | 원본 애플리케이션의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의AppType을 참조하세요. SrcAppName 또는 SrcAppId를 사용하는 경우 이 필드는 필수입니다. |
| SrcProcessName | 옵션 | String | 네트워크 세션을 시작한 프로세스의 파일 이름입니다. 이 이름은 일반적으로 프로세스 이름으로 간주됩니다. 예: C:\Windows\explorer.exe |
| SrcProcessId | 옵션 | String | 네트워크 세션을 시작한 프로세스의 PID(프로세스 ID)입니다. 예: 48610176 참고: 형식은 다양한 시스템을 지원하기 위해 문자열로 정의되지만 Windows 및 Linux 이 값은 숫자여야 합니다. Windows 또는 Linux 컴퓨터를 사용하고 다른 형식을 사용하는 경우 값을 변환해야 합니다. 예를 들어 16진수 값을 사용한 경우 10진수 값으로 변환합니다. |
| SrcProcessGuid | 옵션 | String | 네트워크 세션을 시작한 프로세스의 생성된 GUID(고유 식별자)입니다. 예: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
로컬 및 원격 별칭
위에 나열된 모든 원본 및 대상 필드는 필요에 따라 이름이 같은 필드와 설명자 Local 및 Remote로 별칭을 지정할 수 있습니다. 이는 일반적으로 엔드포인트에서 보고되고 이벤트 유형 EndpointNetworkSession이 인 이벤트에 유용합니다.
이러한 이벤트의 경우 설명자와 LocalRemote 는 각각 네트워크 세션의 다른 쪽 끝에 있는 엔드포인트 자체와 디바이스를 나타냅니다. 인바운드 연결의 경우 로컬 시스템이 대상이고, Local 필드는 필드의 별칭 Dst 이고, '원격' 필드는 필드에 대한 Src 별칭입니다. 반대로 아웃바운드 연결의 경우 로컬 시스템은 원본 Local 이고 필드는 필드에 대한 별칭 Src 이고 Remote 필드는 필드에 대한 Dst 별칭입니다.
예를 들어 인바운드 이벤트의 경우 필드는 LocalIpAddr 별칭 DstIpAddr 이고 필드는 RemoteIpAddr 에 대한 별칭 SrcIpAddr입니다.
호스트 이름 및 IP 주소 별칭
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| 호스트 | 별칭 | - 이벤트 유형이 NetworkSession, Flow 또는 L2NetworkSession인 경우 Hostname은 DstHostname의 별칭입니다.- 이벤트 유형이 EndpointNetworkSession인 경우 Hostname은 NetworkDirection에 RemoteHostname따라 DstHostname 또는 SrcHostName의 별칭을 지정할 수 있는 에 대한 별칭입니다. |
|
| IpAddr | 별칭 | - 이벤트 유형이 NetworkSession, Flow 또는 L2NetworkSession인 경우 IpAddr는 SrcIpAddr의 별칭입니다.- 이벤트 유형이 EndpointNetworkSession인 경우 IpAddr는 NetworkDirection에 LocalIpAddr따라 SrcIpAddr 또는 DstIpAddr의 별칭을 지정할 수 있는 에 대한 별칭입니다. |
중간 디바이스 및 NAT(네트워크 주소 변환) 필드
다음 필드는 레코드에 네트워크 세션을 릴레이하는 방화벽 또는 프록시와 같은 중간 디바이스에 대한 정보가 포함된 경우에 유용합니다.
중간 시스템은 종종 주소 번역을 사용하므로 외부적으로 관찰된 원래 주소와 주소가 동일하지 않습니다. 이러한 경우 SrcIPAddr 및 DstIpAddr 와 같은 기본 주소 필드는 외부에서 관찰된 주소를 나타내고 NAT 주소 필드, SrcNatIpAddr 및 DstNatIpAddr 는 변환 전에 원래 디바이스의 내부 주소를 나타냅니다.
검사 필드
다음 필드는 방화벽, IPS 또는 웹 보안 게이트웨이와 같은 보안 디바이스가 수행한 검사를 나타내는 데 사용됩니다.
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| NetworkRuleName | 옵션 | String |
DvcAction이 결정된 규칙의 이름 또는 ID입니다. 예: AnyAnyDrop |
| NetworkRuleNumber | 옵션 | 정수 |
DvcAction이 결정된 규칙의 수입니다. 예: 23 |
| 규칙 | 별칭 | String | NetworkRuleName 값 또는 NetworkRuleNumber 값입니다. NetworkRuleNumber 값을 사용하는 경우 형식을 문자열로 변환해야 합니다. |
| ThreatId | 옵션 | String | 네트워크 세션에서 식별된 위협 또는 맬웨어의 ID입니다. 예: Tr.124 |
| ThreatName | 옵션 | String | 네트워크 세션에서 식별된 위협 또는 맬웨어의 이름입니다. 예: EICAR Test File |
| ThreatCategory | 옵션 | String | 네트워크 세션에서 식별된 위협 또는 맬웨어의 범주입니다. 예: Trojan |
| ThreatRiskLevel | 옵션 | RiskLevel(정수) | 세션과 연결된 위험 수준입니다. 수준은 0에서 100 사이의 숫자여야 합니다. 참고: 이 배율로 정규화해야 하는 다른 배율을 사용하여 원본 레코드에 값을 제공할 수 있습니다. 원래 값은 ThreatRiskLevelOriginal에 저장되어야 합니다. |
| ThreatOriginalRiskLevel | 옵션 | String | 보고 디바이스에서 보고한 위험 수준입니다. |
| ThreatIpAddr | 옵션 | IP 주소 | 위협이 식별된 IP 주소입니다. ThreatField 필드에는 ThreatIpAddr가 나타내는 필드의 이름이 포함됩니다. |
| ThreatField | 조건부 | 열거 | 위협이 식별된 필드입니다. 값은 또는 DstIpAddr입니다SrcIpAddr. |
| ThreatConfidence | 옵션 | ConfidenceLevel(정수) | 식별된 위협의 신뢰 수준이며 0에서 100 사이의 값으로 정규화됩니다. |
| ThreatOriginalConfidence | 옵션 | String | 보고 디바이스에서 보고한 대로 식별된 위협의 원래 신뢰 수준입니다. |
| ThreatIsActive | 옵션 | 부울 | True이면 식별된 위협이 활성 위협으로 간주됩니다. |
| ThreatFirstReportedTime | 옵션 | datetime | IP 주소 또는 도메인이 처음으로 위협으로 식별된 경우 |
| ThreatLastReportedTime | 옵션 | datetime | IP 주소 또는 도메인이 마지막으로 위협으로 식별된 시간입니다. |
기타 필드
이벤트가 네트워크 세션의 엔드포인트 중 하나에서 보고되는 경우 세션을 시작하거나 종료한 프로세스에 대한 정보가 포함될 수 있습니다. 이러한 경우 ASIM 프로세스 이벤트 스키마 를 사용하여 이 정보를 정규화합니다.
스키마 업데이트
다음은 스키마 버전 0.2.1의 변경 내용입니다.
- 및 를 원본 및
Dst대상 시스템의 선행 식별자에 별칭으로 추가Src했습니다. - , ,
SrcVlanId,InnerVlanIdDstVlanId및OuterVlanId필드NetworkConnectionHistory가 추가되었습니다.
다음은 스키마 버전 0.2.2의 변경 내용입니다.
- 및
Local별칭이 추가Remote되었습니다. - 이벤트 유형
EndpointNetworkSession을 추가했습니다. - 및 는 이벤트 유형이 일 때 각각 및
LocalIpAddr의RemoteHostname별칭으로 정의IpAddrHostname됩니다EndpointNetworkSession. - 또는
DvcOutboundInterface에 대한 별칭으로 정의DvcInterface됩니다DvcInboundInterface. - 다음 필드의 형식을 정수에서 Long:
SrcBytes,DstBytes,NetworkBytes,SrcPacketsDstPackets및NetworkPackets로 변경했습니다. - 필드를
NetworkProtocolVersion추가했습니다. - 사용되지 않는
DstUserDomain및 입니다SrcUserDomain.
다음은 스키마 버전 0.2.3의 변경 내용입니다.
- 필터링 매개 변수를
ipaddr_has_any_prefix추가했습니다. - 이제 필터링 매개 변수가
hostname_has_any원본 또는 대상 호스트 이름과 일치합니다. - 및 필드
ASimMatchingHostnameASimMatchingIpAddr가 추가되었습니다.
다음은 스키마 버전 0.2.4의 변경 내용입니다.
- 필드를 추가했습니다
TcpFlags. - 및
NetworkIcmpCode가 업데이트NetworkIcpmType되어 둘 다의 숫자 값을 반영합니다. - 추가 검사 필드가 추가되었습니다.
- ASIM 규칙에 맞게 'ThreatRiskLevelOriginal' 필드의 이름이 바뀌었
ThreatOriginalRiskLevel습니다. 기존 Microsoft 파서는 2023년 5월 1일까지 유지됩니다ThreatRiskLevelOriginal. - 권장으로 표시
EventResultDetails되고 허용되는 값을 지정했습니다.
다음은 스키마 버전 0.2.5의 변경 내용입니다.
- , ,
SrcUserScope,SrcDvcScopeId,SrcDvcScope,DstDvcScopeId,DstDvcScope및DvcScope필드DstUserScope가DvcScopeId추가되었습니다.
다음은 스키마 버전 0.2.6의 변경 내용입니다.
- 이벤트 유형으로 IDS 추가
다음은 스키마 버전 0.2.7의 변경 내용입니다.
- 및 필드를 추가했습니다.
DstDescriptionSrcDescription
다음 단계
자세한 내용은 다음을 참조하세요.