Skjemareferansen for normalisering av nettverksøkt for avansert sikkerhetsinformasjonsmodell (ASIM)

Normaliseringsskjemaet for Microsoft Sentinel nettverksøkt representerer en IP-nettverksaktivitet, for eksempel nettverkstilkoblinger og nettverksøkter. Slike hendelser rapporteres for eksempel av operativsystemer, rutere, brannmurer og systemer for hindring av inntrenging.

Nettverksnormaliseringsskjemaet kan representere alle typer IP-nettverksøkter, men er utformet for å gi støtte for vanlige kildetyper, for eksempel Netflow, brannmurer og systemer for hindring av inntrenging.

Hvis du vil ha mer informasjon om normalisering i Microsoft Sentinel, kan du se Normalisering og ASIM (Advanced Security Information Model).

Parsere

Hvis du vil ha mer informasjon om ASIM-analyser, kan du se ASIM-analyseoversikten.

Samlende analyser

Hvis du vil bruke parsere som forener alle ASIM-parsere utenfor boksen, og sikre at analysen kjører på tvers av alle de konfigurerte kildene, bruker _Im_NetworkSession du analysen.

Ut-av-boksen, kildespesifikke parsers

Se ASIM-analyselisten for listen over nettverksøktanalyser Microsoft Sentinel

Legg til dine egne normaliserte analyser

Når du utvikler egendefinerte analyser for informasjonsmodellen for nettverksøkt, kan du gi navn til KQL-funksjonene ved hjelp av følgende syntaks:

vimNetworkSession<vendor><Product> for parametriserte parsere
ASimNetworkSession<vendor><Product> for vanlige analyser

Se artikkelen Administrere ASIM-analyser for å lære hvordan du legger til egendefinerte parsers i nettverksøkten for samlende analyser.

Parametere for filtreringsanalyse

Nettverksøktanalyser støtter filtreringsparametere. Selv om disse parameterne er valgfrie, kan de forbedre spørringsytelsen.

Følgende filtreringsparametere er tilgjengelige:

Navn	Type:	Beskrivelse
starttidspunkt	Datetime	Filtrer bare nettverksøkter som startet på eller etter dette tidspunktet . Denne parameteren `TimeGenerated` filtrerer på feltet, som er standardutformingen for tidspunktet for hendelsen, uavhengig av den parserspesifikke tilordningen av EventStartTime- og EventEndTime-feltene.
Endtime	Datetime	Filtrer bare nettverksøkter som begynte å kjøre på eller før dette tidspunktet. Denne parameteren `TimeGenerated` filtrerer på feltet, som er standardutformingen for tidspunktet for hendelsen, uavhengig av den parserspesifikke tilordningen av EventStartTime- og EventEndTime-feltene.
srcipaddr_has_any_prefix	Dynamisk	Filtrer bare nettverksøkter der kilde-IP-adressefeltprefikset er i én av de oppførte verdiene. Prefikser bør slutte med et `.`, for eksempel: `10.0.`. Lengden på listen er begrenset til 10 000 elementer.
dstipaddr_has_any_prefix	Dynamisk	Filtrer bare nettverksøkter der mål-IP-adressefeltprefikset er i én av de oppførte verdiene. Prefikser bør slutte med et `.`, for eksempel: `10.0.`. Lengden på listen er begrenset til 10 000 elementer.
ipaddr_has_any_prefix	Dynamisk	Filtrer bare nettverksøkter der mål-IP-adressefeltet eller kilde-IP-adressefeltprefikset er i én av de oppførte verdiene. Prefikser bør slutte med et `.`, for eksempel: `10.0.`. Lengden på listen er begrenset til 10 000 elementer. Feltet ASimMatchingIpAddr er angitt med én av verdiene `SrcIpAddr`, `DstIpAddr`eller `Both` for å gjenspeile de samsvarende feltene eller feltene.
dstportnumber	Int	Filtrer bare nettverksøkter med det angitte målportnummeret.
hostname_has_any	dynamisk/streng	Filtrer bare nettverksøkter der målvertsnavnfeltet har noen av verdiene som er oppført. Lengden på listen er begrenset til 10 000 elementer. Feltet ASimMatchingHostname er angitt med én av verdiene `SrcHostname`, `DstHostname`eller `Both` for å gjenspeile de samsvarende feltene eller feltene.
dvcaction	dynamisk/streng	Filtrer bare nettverksøkter der enhetshandlingsfeltet er noen av verdiene som er oppført.
eventresult	Streng	Filtrer bare nettverksøkter med en bestemt EventResult-verdi .

Noen parametere kan godta begge listene med verdier av typen dynamic eller en enkelt strengverdi. Hvis du vil sende en litteral liste til parametere som forventer en dynamisk verdi, bruker du eksplisitt en dynamisk litteral. For eksempel: dynamic(['192.168.','10.'])

Hvis du for eksempel bare vil filtrere nettverksøkter for en angitt liste over domenenavn, bruker du:

let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)

Tips

Hvis du vil sende en litteral liste til parametere som forventer en dynamisk verdi, bruker du eksplisitt en dynamisk litteral. Eksempel: dynamic(['192.168.','10.']).

Normalisert innhold

Hvis du vil ha en fullstendig liste over analyseregler som bruker normaliserte DNS-hendelser, kan du se sikkerhetsinnhold for nettverksøkter.

Skjemaoversikt

Informasjonsmodellen for nettverksøkten er justert med OSSEM Network-enhetsskjemaet.

Nettverksøktskjemaet serverer flere typer lignende, men distinkte scenarioer, som deler de samme feltene. Disse scenariene identifiseres av EventType-feltet:

NetworkSession – en nettverksøkt rapportert av en mellomliggende enhet som overvåker nettverket, for eksempel en brannmur, en ruter eller et nettverkstrykk.
L2NetworkSession – en nettverksøkt der bare lag 2-informasjon er tilgjengelig. Slike hendelser inkluderer MAC-adresser, men ikke IP-adresser.
Flow – en aggregert hendelse som rapporterer flere lignende nettverksøkter, vanligvis over en forhåndsdefinert tidsperiode, for eksempel Netflow-hendelser .
EndpointNetworkSession – en nettverksøkt rapportert av ett av endepunktene i økten, inkludert klienter og servere. For slike hendelser støtter remote skjemaet feltene og local aliasfeltene.
IDS - en nettverksøkt rapportert som mistenkelig. En slik hendelse vil ha noen av inspeksjonsfeltene fylt ut, og kan ha bare ett IP-adressefelt fylt ut, enten kilden eller målet.

Vanligvis bør en spørring enten velge bare et delsett av disse hendelsestypene, og må kanskje håndtere unike aspekter ved brukstilfellene separat. IDS-hendelser gjenspeiler for eksempel ikke hele nettverksvolumet og bør ikke tas i betraktning i kolonnebasert analyse.

Nettverksøkthendelser bruker beskrivelsene Src og Dst til å angi rollene til enhetene og relaterte brukere og programmer som er involvert i økten. Så, for eksempel, er kildeenhetens vertsnavn og IP-adresse navngitt SrcHostname og SrcIpAddr. Andre ASIM-skjemaer brukes Target vanligvis i stedet Dstfor .

For hendelser som rapporteres av et endepunkt og som hendelsestypen er EndpointNetworkSession, beskriver Local og Remote angir du selve endepunktet og enheten i den andre enden av nettverksøkten.

Dvc Beskrivelsen brukes for rapporteringsenheten, som er det lokale systemet for økter rapportert av et endepunkt, og mellomleddsenheten eller nettverkstrykket for andre nettverksøkthendelser.

Skjemadetaljer

Vanlige ASIM-felt

Viktig

Felt som er felles for alle skjemaer, beskrives i detalj i artikkelen ASIM Common Fields .

Vanlige felt med spesifikke retningslinjer

Listen nedenfor nevner felt som har spesifikke retningslinjer for nettverksøkthendelser:

Felt	Klasse	Type:	Beskrivelse
EventCount	Obligatorisk	Heltall	Netflow-kilder støtter aggregasjon, og EventCount-feltet må angis til verdien for Netflow FLOWS-feltet . For andre kilder er verdien vanligvis satt til `1`.
Eventtype	Obligatorisk	Nummerert	Beskriver scenarioet som ble rapportert av posten. For oppføringer for nettverksøkter er de tillatte verdiene: - `EndpointNetworkSession` - `NetworkSession` - `L2NetworkSession` - `IDS` - `Flow` Hvis du vil ha mer informasjon om hendelsestyper, kan du se skjemaoversikten
EventSubType	Valgfri	Nummerert	Ytterligere beskrivelse av hendelsestypen, hvis aktuelt. For oppføringer for nettverksøkter omfatter støttede verdier: - `Start` - `End` Dette er feltet som ikke er relevant for `Flow` hendelser.
EventResult	Obligatorisk	Nummerert	Hvis kildeenheten ikke gir et hendelsesresultat, bør EventResult være basert på verdien til DvcAction. Hvis DvcAction er `Deny`, `Drop`, `Drop ICMP`, `ResetReset Source`eller`Reset Destination` , bør EventResult være `Failure`. Ellers bør EventResult være `Success`.
EventResultDetails	Anbefalt	Nummerert	Årsak eller detaljer for resultatet rapportert i EventResult-feltet . Verdier som støttes er: -Failover - Ugyldig TCP - Ugyldig tunnel - Maksimalt antall nye forsøk -Tilbakestille - Rutingsproblem -Simulering -Avsluttet -Tidsavbrudd - Midlertidig feil -Ukjent -NA. Den opprinnelige kildespesifikke verdien lagres i EventOriginalResultDetails-feltet .
EventSchema	Obligatorisk	Nummerert	Navnet på skjemaet som er dokumentert her, er `NetworkSession`.
EventSchemaVersion	Obligatorisk	SchemaVersion (streng)	Versjonen av skjemaet. Versjonen av skjemaet som er dokumentert her, er `0.2.7`.
DvcAction	Anbefalt	Nummerert	Handlingen som utføres på nettverksøkten. Verdier som støttes er: - `Allow` - `Deny` - `Drop` - `Drop ICMP` - `Reset` - `Reset Source` - `Reset Destination` - `Encrypt` - `Decrypt` - `VPNroute` Obs! Verdien kan angis i kildeposten ved hjelp av forskjellige termer, som skal normaliseres til disse verdiene. Den opprinnelige verdien skal lagres i DvcOriginalAction-feltet . Eksempel: `drop`
EventSeverity	Valgfri	Nummerert	Hvis kildeenheten ikke gir en alvorsgrad for hendelsen, bør EventSeverity være basert på verdien til DvcAction. Hvis DvcAction er `Deny`, `Drop`, `Drop ICMP`, `ResetReset Source`eller`Reset Destination` , EventSeverity bør være `Low`. Ellers bør EventSeverity være `Informational`.
DvcInterface			DvcInterface-feltet bør alias enten DvcInboundInterface - eller DvcOutboundInterface-feltene .
Dvc-felt			For nettverksøkthendelser refererer enhetsfelt til systemet som rapporterer nettverksøkthendelsen.

Alle fellesfelt

Felt som vises i tabellen nedenfor, er felles for alle ASIM-skjemaer. Alle retningslinjer som er angitt ovenfor, overstyrer de generelle retningslinjene for feltet. Et felt kan for eksempel være valgfritt generelt, men obligatorisk for et bestemt skjema. Hvis du vil ha mer informasjon om hvert felt, kan du se artikkelen ASIM Common Fields .

Klasse	Felt
Obligatorisk	- EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc
Anbefalt	- EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction
Valgfri	- EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOer - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope

Nettverksøktfelt

Felt	Klasse	Type:	Beskrivelse
NetworkApplicationProtocol	Valgfri	Streng	Programlagprotokollen som brukes av tilkoblingen eller økten. Verdien må ha store bokstaver. Eksempel: `FTP`
NetworkProtocol	Valgfri	Nummerert	IP-protokollen som brukes av tilkoblingen eller økten som er oppført i IANA-protokolltilordning, som vanligvis `TCP`er , `UDP`eller `ICMP`. Eksempel: `TCP`
NetworkProtocolVersion	Valgfri	Nummerert	Versjonen av NetworkProtocol. Når du bruker den til å skille mellom IP-versjonen, bruker du verdiene `IPv4` og `IPv6`.
NetworkDirection	Valgfri	Nummerert	Retningen på tilkoblingen eller økten: – For EventType`NetworkSession` eller `FlowL2NetworkSession`, representerer NetworkDirection retningen i forhold til organisasjons- eller skymiljøgrensen. Verdier som støttes, er `Inbound`, `LocalOutbound`(for organisasjonen), `External` (for organisasjonen) eller `NA` (gjelder ikke). – For EventType`EndpointNetworkSession` representerer NetworkDirection retningen i forhold til endepunktet. Støttede verdier er `Inbound`, `Outbound`, `Local` (til systemet) `Listen` eller `NA` (gjelder ikke). Verdien `Listen` indikerer at en enhet har begynt å godta nettverkstilkoblinger, men egentlig ikke nødvendigvis er tilkoblet.
NetworkDuration	Valgfri	Heltall	Hvor lang tid, i millisekunder, for fullføring av nettverksøkten eller tilkoblingen. Eksempel: `1500`
Varighet	Alias		Alias for NetworkDuration.
NetworkIcmpType	Valgfri	Streng	For en ICMP-melding, ICMP-typenavn som er knyttet til den numeriske verdien, som beskrevet i RFC 2780 for IPv4-nettverkstilkoblinger, eller i RFC 4443 for IPv6-nettverkstilkoblinger. Eksempel: `Destination Unreachable` for NetworkIcmpCode `3`
NetworkIcmpCode	Valgfri	Heltall	For en ICMP-melding, ICMP-kodenummeret som beskrevet i RFC 2780 for IPv4-nettverkstilkoblinger, eller i RFC 4443 for IPv6-nettverkstilkoblinger.
NetworkConnectionHistory	Valgfri	Streng	TCP-flagg og annen potensiell IP-hodeinformasjon.
DstBytes	Anbefalt	Lang	Antall byte som sendes fra målet til kilden for tilkoblingen eller økten. Hvis hendelsen aggregeres, bør DstBytes være summen over alle aggregerte økter. Eksempel: `32455`
SrcBytes	Anbefalt	Lang	Antall byte som sendes fra kilden til målet for tilkoblingen eller økten. Hvis hendelsen aggregeres, skal SrcBytes være summen over alle aggregerte økter. Eksempel: `46536`
NetworkBytes	Valgfri	Lang	Antall byte som sendes i begge retninger. Hvis både BytesReceived og BytesSent finnes, skal BytesTotal være lik summen. Hvis hendelsen aggregeres, bør NetworkBytes være summen over alle aggregerte økter. Eksempel: `78991`
DstPackets	Valgfri	Lang	Antall pakker som sendes fra målet til kilden for tilkoblingen eller økten. Betydningen av en pakke defineres av rapporteringsenheten. Hvis hendelsen aggregeres, bør DstPackets være summen over alle aggregerte økter. Eksempel: `446`
SrcPackets	Valgfri	Lang	Antall pakker som sendes fra kilden til målet for tilkoblingen eller økten. Betydningen av en pakke defineres av rapporteringsenheten. Hvis hendelsen aggregeres, skal SrcPackets være summen over alle aggregerte økter. Eksempel: `6478`
NetworkPackets	Valgfri	Lang	Antall pakker som sendes i begge retninger. Hvis både PacketsReceived og PacketsSent finnes, skal PacketsTotal være lik summen. Betydningen av en pakke defineres av rapporteringsenheten. Hvis hendelsen aggregeres, bør NetworkPackets være summen over alle aggregerte økter. Eksempel: `6924`
NetworkSessionId	Valgfri	Streng	Øktidentifikatoren som rapporteres av rapporteringsenheten. Eksempel: `172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80`
Sessionid	Alias	Streng	Alias til NetworkSessionId.
TcpFlagsAck	Valgfri	Boolsk	TCP ACK-flagget er rapportert. Bekreftelsesflagget brukes til å bekrefte vellykket mottak av en pakke. Som vi kan se fra diagrammet ovenfor, sender mottakeren en ACK og en SYN i det andre trinnet i den treveis håndtrykkprosessen for å fortelle avsenderen at den mottok sin første pakke.
TcpFlagsFin	Valgfri	Boolsk	TCP FIN-flagget er rapportert. Det ferdige flagget betyr at det ikke er flere data fra avsenderen. Den brukes derfor i den siste pakken som ble sendt fra avsenderen.
TcpFlagsSyn	Valgfri	Boolsk	TCP SYN-flagget er rapportert. Synkroniseringsflagget brukes som et første trinn for å etablere et treveis håndtrykk mellom to verter. Bare den første pakken fra både avsenderen og mottakeren skal ha dette flagget angitt.
TcpFlagsUrg	Valgfri	Boolsk	TCP URG-flagget er rapportert. Det presserende flagget brukes til å varsle mottakeren om å behandle de presserende pakkene før du behandler alle andre pakker. Mottakeren vil bli varslet når alle kjente hastedata er mottatt. Se RFC 6093 for mer informasjon.
TcpFlagsPsh	Valgfri	Boolsk	TCP PSH-flagget er rapportert. Push-flagget ligner URG-flagget og ber mottakeren behandle disse pakkene etter hvert som de mottas i stedet for å bufre dem.
TcpFlagsRst	Valgfri	Boolsk	TCP RST-flagget er rapportert. Tilbakestillingsflagget sendes fra mottakeren til avsenderen når en pakke sendes til en bestemt vert som ikke forventet den.
TcpFlagsEce	Valgfri	Boolsk	TCP ECE-flagget er rapportert. Dette flagget er ansvarlig for å angi om TCP-noden er ecn-kompatibel. Se RFC 3168 for mer informasjon.
TcpFlagsCwr	Valgfri	Boolsk	TCP CWR-flagget er rapportert. Det reduserte flagget for overbelastningsvinduet brukes av avsenderverten til å angi at den mottok en pakke med ECE-flaggsettet. Se RFC 3168 for mer informasjon.
TcpFlagsNs	Valgfri	Boolsk	TCP NS-flagget er rapportert. Flagget for ikke-summer er fortsatt et eksperimentelt flagg som brukes til å beskytte mot utilsiktet skadelig skjuling av pakker fra avsenderen. Se RFC 3540 for mer informasjon

Målsystemfelt

Felt	Klasse	Type:	Beskrivelse
Sommertid	Alias		En unik identifikator for serveren som mottar DNS-forespørselen. Dette feltet kan alias for feltene DstDvcId, DstHostname eller DstIpAddr . Eksempel: `192.168.12.1`
DstIpAddr	Anbefalt	IP-adresse	IP-adressen til tilkoblings- eller øktmålet. Hvis økten bruker nettverksadresseoversettelse, `DstIpAddr` er den offentlig synlige adressen, og ikke den opprinnelige adressen til kilden, som er lagret i DstNatIpAddr Eksempel: `2001:db8::ff00:42:8329` Obs! Denne verdien er obligatorisk hvis DstHostname er angitt.
DstPortNumber	Valgfri	Heltall	IP-porten for mål. Eksempel: `443`
DstHostname	Anbefalt	Vertsnavn (streng)	Vertsnavnet for målenheten, unntatt domeneinformasjon. Hvis ingen enhetsnavn er tilgjengelig, lagrer du den relevante IP-adressen i dette feltet. Eksempel: `DESKTOP-1282V4D`
DstDomain	Anbefalt	Domene (streng)	Domenet til målenheten. Eksempel: `Contoso`
DstDomainType	Betinget	Nummerert	Typen DstDomain. Hvis du vil ha en liste over tillatte verdier og ytterligere informasjon, kan du se DomainType i artikkelen Oversikt over skjema. Obligatorisk hvis DstDomain brukes.
DstFQDN	Valgfri	FQDN (streng)	Vertsnavnet for målenheten, inkludert domeneinformasjon når tilgjengelig. Eksempel: `Contoso\DESKTOP-1282V4D` Obs! Dette feltet støtter både tradisjonelt FQDN-format og Windows-domene\vertsnavnformat. DstDomainType gjenspeiler formatet som brukes.
DstDvcId	Valgfri	Streng	ID-en til målenheten. Hvis flere IDer er tilgjengelige, bruker du den viktigste og lagrer de andre i feltene `DstDvc<DvcIdType>`. Eksempel: `ac7e9755-8eae-4ffc-8a02-50ed7a2216c3`
DstDvcScopeId	Valgfri	Streng	Omfangs-ID-en for skyplattformen som enheten tilhører. DstDvcScopeId tilordnes til en abonnements-ID på Azure og til en konto-ID på AWS.
DstDvcScope	Valgfri	Streng	Omfanget for skyplattformen som enheten tilhører. DstDvcScope tilordnes til en abonnements-ID på Azure og til en konto-ID på AWS.
DstDvcIdType	Betinget	Nummerert	Typen DstDvcId. Hvis du vil ha en liste over tillatte verdier og mer informasjon, kan du se DvcIdType i artikkelen Oversikt over skjema. Obligatorisk hvis DstDeviceId brukes.
DstDeviceType	Valgfri	Nummerert	Typen målenhet. Hvis du vil ha en liste over tillatte verdier og mer informasjon, kan du se DeviceType i artikkelen Oversikt over skjema.
DstZone	Valgfri	Streng	Nettverkssonen for målet, som definert av rapporteringsenheten. Eksempel: `Dmz`
DstInterfaceName	Valgfri	Streng	Nettverksgrensesnittet som brukes for tilkoblingen eller økten av målenheten. Eksempel: `Microsoft Hyper-V Network Adapter`
DstInterfaceGuid	Valgfri	GUID (streng)	GUID-en for nettverksgrensesnittet som brukes på målenheten. Eksempel: `46ad544b-eaf0-47ef-` `827c-266030f545a6`
DstMacAddr	Valgfri	MAC-adresse (streng)	MAC-adressen til nettverksgrensesnittet som brukes for tilkoblingen eller økten av målenheten. Eksempel: `06:10:9f:eb:8f:14`
DstVlanId	Valgfri	Streng	VLAN-ID-en som er relatert til målenheten. Eksempel: `130`
OuterVlanId	Alias		Alias til DstVlanId. I mange tilfeller kan ikke VLAN bestemmes som en kilde eller et mål, men er karakterisert som indre eller ytre. Dette aliaset som angir at DstVlanId skal brukes når VLAN-en er karakterisert som ytre.
DstGeoCountry	Valgfri	Land	Landet/området som er knyttet til MÅL-IP-adressen. Hvis du vil ha mer informasjon, kan du se logiske typer. Eksempel: `USA`
DstGeoRegion	Valgfri	Regionen	Området eller staten som er knyttet til MÅL-IP-adressen. Hvis du vil ha mer informasjon, kan du se logiske typer. Eksempel: `Vermont`
DstGeoCity	Valgfri	By	Byen som er knyttet til MÅL-IP-adressen. Hvis du vil ha mer informasjon, kan du se logiske typer. Eksempel: `Burlington`
DstGeoLatitude	Valgfri	Latitude	Breddegraden til den geografiske koordinaten som er knyttet til MÅL-IP-adressen. Hvis du vil ha mer informasjon, kan du se logiske typer. Eksempel: `44.475833`
DstGeoLongitude	Valgfri	Lengdegrad	Lengdegraden til den geografiske koordinaten som er knyttet til MÅL-IP-adressen. Hvis du vil ha mer informasjon, kan du se logiske typer. Eksempel: `73.211944`
DstDescription	Valgfri	Streng	En beskrivende tekst som er knyttet til enheten. Eksempel: `Primary Domain Controller`.

Målbrukerfelt

Felt	Klasse	Type:	Beskrivelse
DstUserId	Valgfri	Streng	En maskinlesbar, alfanumerisk, unik representasjon av målbrukeren. Hvis du vil ha et format som støttes for ulike ID-typer, kan du se brukerenheten. Eksempel: `S-1-12`
DstUserScope	Valgfri	Streng	Omfanget, for eksempel Microsoft Entra tenant, der DstUserId og DstUsername er definert. eller mer informasjon og liste over tillatte verdier, kan du se UserScope i artikkelen Oversikt over skjema.
DstUserScopeId	Valgfri	Streng	Omfangs-ID-en, for eksempel Microsoft Entra Directory ID, der DstUserId og DstUsername er definert. Hvis du vil ha mer informasjon og en liste over tillatte verdier, kan du se UserScopeId i artikkelen Oversikt over skjema.
DstUserIdType	Betinget	UserIdType	Typen ID som er lagret i DstUserId-feltet . Hvis du vil ha en liste over tillatte verdier og mer informasjon, kan du se UserIdType i artikkelen Oversikt over skjema.
DstUsername	Valgfri	Brukernavn (streng)	Målbrukernavnet, inkludert domeneinformasjon når tilgjengelig. Hvis du vil ha et format som støttes for ulike ID-typer, kan du se brukerenheten. Bruk bare det enkle skjemaet hvis domeneinformasjon ikke er tilgjengelig. Lagre brukernavntypen i feltet DstUsernameType . Hvis andre brukernavnformater er tilgjengelige, lagrer du dem i feltene `DstUsername<UsernameType>`. Eksempel: `AlbertE`
Brukeren	Alias		Alias til DstUsername.
DstUsernameType	Betinget	UsernameType	Angir typen brukernavn som er lagret i DstUsername-feltet . Hvis du vil ha en liste over tillatte verdier og mer informasjon, kan du se UsernameType i artikkelen Oversikt over skjema. Eksempel: `Windows`
DstUserType	Valgfri	UserType	Typen målbruker. Hvis du vil ha en liste over tillatte verdier og mer informasjon, kan du se UserType i artikkelen Oversikt over skjema. Obs! Verdien kan angis i kildeposten ved hjelp av forskjellige termer, som skal normaliseres til disse verdiene. Lagre den opprinnelige verdien i DstOriginalUserType-feltet .
DstOriginalUserType	Valgfri	Streng	Den opprinnelige målbrukertypen, hvis angitt av kilden.

Målprogramfelt

Felt	Klasse	Type:	Beskrivelse
DstAppName	Valgfri	Streng	Navnet på målprogrammet. Eksempel: `Facebook`
DstAppId	Valgfri	Streng	ID-en til målprogrammet, som rapportert av rapporteringsenheten. Hvis DstAppType er `Process`, `DstAppId` og `DstProcessId` skal ha samme verdi. Eksempel: `124`
DstAppType	Valgfri	AppType	Typen målprogram. Hvis du vil ha en liste over tillatte verdier og mer informasjon, kan du se AppType i artikkelen Oversikt over skjema. Dette feltet er obligatorisk hvis DstAppName eller DstAppId brukes.
DstProcessName	Valgfri	Streng	Filnavnet til prosessen som avsluttet nettverksøkten. Dette navnet anses vanligvis som prosessnavnet. Eksempel: `C:\Windows\explorer.exe`
Prosessen	Alias		Alias til DstProcessName Eksempel: `C:\Windows\System32\rundll32.exe`
DstProcessId	Valgfri	Streng	Prosess-ID-en (PID) for prosessen som avsluttet nettverksøkten. Eksempel: `48610176` Obs! Typen er definert som streng for å støtte forskjellige systemer, men i Windows og Linux må denne verdien være numerisk. Hvis du bruker en Windows- eller Linux-maskin og brukte en annen type, må du konvertere verdiene. Hvis du for eksempel brukte en heksadesimal verdi, konverterer du den til en desimalverdi.
DstProcessGuid	Valgfri	Streng	En generert unik identifikator (GUID) for prosessen som avsluttet nettverksøkten. Eksempel: `EF3BD0BD-2B74-60C5-AF5C-010000001E00`

Kildesystemfelt

Felt	Klasse	Type:	Beskrivelse
Src	Alias		En unik identifikator for kildeenheten. Dette feltet kan alias for feltene SrcDvcId, SrcHostname eller SrcIpAddr . Eksempel: `192.168.12.1`
SrcIpAddr	Anbefalt	IP-adresse	IP-adressen som tilkoblingen eller økten kom fra. Denne verdien er obligatorisk hvis SrcHostname er angitt. Hvis økten bruker nettverksadresseoversettelse, `SrcIpAddr` er den offentlig synlige adressen, og ikke den opprinnelige adressen til kilden, som er lagret i SrcNatIpAddr Eksempel: `77.138.103.108`
SrcPortNumber	Valgfri	Heltall	IP-porten som tilkoblingen oppsto fra. Det kan hende at den ikke er relevant for en økt som består av flere tilkoblinger. Eksempel: `2335`
SrcHostname	Anbefalt	Vertsnavn (streng)	Vertsnavnet for kildeenheten, unntatt domeneinformasjon. Hvis ingen enhetsnavn er tilgjengelig, lagrer du den relevante IP-adressen i dette feltet. Eksempel: `DESKTOP-1282V4D`
SrcDomain	Anbefalt	Domene (streng)	Domenet til kildeenheten. Eksempel: `Contoso`
SrcDomainType	Betinget	DomainType	Typen SrcDomain. Hvis du vil ha en liste over tillatte verdier og ytterligere informasjon, kan du se DomainType i artikkelen Oversikt over skjema. Obligatorisk hvis SrcDomain brukes.
SrcFQDN	Valgfri	FQDN (streng)	Vertsnavnet for kildeenheten, inkludert domeneinformasjon når tilgjengelig. Obs! Dette feltet støtter både tradisjonelt FQDN-format og Windows-domene\vertsnavnformat. SrcDomainType-feltet gjenspeiler formatet som brukes. Eksempel: `Contoso\DESKTOP-1282V4D`
SrcDvcId	Valgfri	Streng	ID-en til kildeenheten. Hvis flere IDer er tilgjengelige, bruker du den viktigste og lagrer de andre i feltene `SrcDvc<DvcIdType>`. Eksempel: `ac7e9755-8eae-4ffc-8a02-50ed7a2216c3`
SrcDvcScopeId	Valgfri	Streng	Omfangs-ID-en for skyplattformen som enheten tilhører. SrcDvcScopeId tilordnes til en abonnements-ID på Azure og til en konto-ID på AWS.
SrcDvcScope	Valgfri	Streng	Omfanget for skyplattformen som enheten tilhører. SrcDvcScope tilordner til en abonnements-ID på Azure og til en konto-ID på AWS.
SrcDvcIdType	Betinget	DvcIdType	Typen SrcDvcId. Hvis du vil ha en liste over tillatte verdier og mer informasjon, kan du se DvcIdType i artikkelen Oversikt over skjema. Obs! Dette feltet er obligatorisk hvis SrcDvcId brukes.
SrcDeviceType	Valgfri	DeviceType	Typen kildeenhet. Hvis du vil ha en liste over tillatte verdier og mer informasjon, kan du se DeviceType i artikkelen Oversikt over skjema.
SrcZone	Valgfri	Streng	Nettverkssonen for kilden, som definert av rapporteringsenheten. Eksempel: `Internet`
SrcInterfaceName	Valgfri	Streng	Nettverksgrensesnittet som brukes for tilkoblingen eller økten av kildeenheten. Eksempel: `eth01`
SrcInterfaceGuid	Valgfri	GUID (streng)	GUID-en for nettverksgrensesnittet som brukes på kildeenheten. Eksempel: `46ad544b-eaf0-47ef-` `827c-266030f545a6`
SrcMacAddr	Valgfri	MAC-adresse (streng)	MAC-adressen til nettverksgrensesnittet som tilkoblingen eller økten kom fra. Eksempel: `06:10:9f:eb:8f:14`
SrcVlanId	Valgfri	Streng	VLAN-ID-en som er relatert til kildeenheten. Eksempel: `130`
InnerVlanId	Alias		Alias til SrcVlanId. I mange tilfeller kan ikke VLAN bestemmes som en kilde eller et mål, men er karakterisert som indre eller ytre. Dette aliaset betyr at SrcVlanId skal brukes når VLAN er karakterisert som indre.
SrcGeoCountry	Valgfri	Land	Landet/området som er knyttet til kilde-IP-adressen. Eksempel: `USA`
SrcGeoRegion	Valgfri	Regionen	Området som er knyttet til kilde-IP-adressen. Eksempel: `Vermont`
SrcGeoCity	Valgfri	By	Byen som er knyttet til kilde-IP-adressen. Eksempel: `Burlington`
SrcGeoLatitude	Valgfri	Latitude	Breddegraden til den geografiske koordinaten som er knyttet til kilde-IP-adressen. Eksempel: `44.475833`
SrcGeoLongitude	Valgfri	Lengdegrad	Lengdegraden til den geografiske koordinaten som er knyttet til kilde-IP-adressen. Eksempel: `73.211944`
SrcDescription	Valgfri	Streng	En beskrivende tekst som er knyttet til enheten. Eksempel: `Primary Domain Controller`.

Kildebrukerfelt

Felt	Klasse	Type:	Beskrivelse
SrcUserId	Valgfri	Streng	En maskinlesbar, alfanumerisk, unik representasjon av kildebrukeren. Hvis du vil ha et format som støttes for ulike ID-typer, kan du se brukerenheten. Eksempel: `S-1-12`
SrcUserScope	Valgfri	Streng	Omfanget, for eksempel Microsoft Entra tenant, der SrcUserId og SrcUsername er definert. eller mer informasjon og liste over tillatte verdier, kan du se UserScope i artikkelen Oversikt over skjema.
SrcUserScopeId	Valgfri	Streng	Omfangs-ID-en, for eksempel Microsoft Entra Directory ID, der SrcUserId og SrcUsername er definert. Hvis du vil ha mer informasjon og en liste over tillatte verdier, kan du se UserScopeId i artikkelen Oversikt over skjema.
SrcUserIdType	Betinget	UserIdType	Typen ID som er lagret i SrcUserId-feltet . Hvis du vil ha en liste over tillatte verdier og mer informasjon, kan du se UserIdType i artikkelen Oversikt over skjema.
SrcUsername	Valgfri	Brukernavn (streng)	Kildebrukernavnet, inkludert domeneinformasjon når tilgjengelig. Hvis du vil ha et format som støttes for ulike ID-typer, kan du se brukerenheten. Bruk bare det enkle skjemaet hvis domeneinformasjon ikke er tilgjengelig. Lagre brukernavntypen i SrcUsernameType-feltet . Hvis andre brukernavnformater er tilgjengelige, lagrer du dem i feltene `SrcUsername<UsernameType>`. Eksempel: `AlbertE`
SrcUsernameType	Betinget	UsernameType	Angir typen brukernavn som er lagret i SrcUsername-feltet . Hvis du vil ha en liste over tillatte verdier og mer informasjon, kan du se UsernameType i artikkelen Oversikt over skjema. Eksempel: `Windows`
SrcUserType	Valgfri	UserType	Typen kildebruker. Hvis du vil ha en liste over tillatte verdier og mer informasjon, kan du se UserType i artikkelen Oversikt over skjema. Obs! Verdien kan angis i kildeposten ved hjelp av forskjellige termer, som skal normaliseres til disse verdiene. Lagre den opprinnelige verdien i SrcOriginalUserType-feltet .
SrcOriginalUserType	Valgfri	Streng	Den opprinnelige målbrukertypen, hvis den leveres av rapporteringsenheten.

Kildeprogramfelt

Felt	Klasse	Type:	Beskrivelse
SrcAppName	Valgfri	Streng	Navnet på kildeprogrammet. Eksempel: `filezilla.exe`
SrcAppId	Valgfri	Streng	ID-en til kildeprogrammet, som rapportert av rapporteringsenheten. Hvis SrcAppType er `Process`, `SrcAppId` og `SrcProcessId` skal ha samme verdi. Eksempel: `124`
SrcAppType	Valgfri	AppType	Typen kildeprogram. Hvis du vil ha en liste over tillatte verdier og mer informasjon, kan du se AppType i artikkelen Oversikt over skjema. Dette feltet er obligatorisk hvis SrcAppName eller SrcAppId brukes.
SrcProcessName	Valgfri	Streng	Filnavnet til prosessen som startet nettverksøkten. Dette navnet anses vanligvis som prosessnavnet. Eksempel: `C:\Windows\explorer.exe`
SrcProcessId	Valgfri	Streng	Prosess-ID-en (PID) for prosessen som startet nettverksøkten. Eksempel: `48610176` Obs! Typen er definert som streng for å støtte forskjellige systemer, men i Windows og Linux må denne verdien være numerisk. Hvis du bruker en Windows- eller Linux-maskin og brukte en annen type, må du konvertere verdiene. Hvis du for eksempel brukte en heksadesimal verdi, konverterer du den til en desimalverdi.
SrcProcessGuid	Valgfri	Streng	En generert unik identifikator (GUID) for prosessen som startet nettverksøkten. Eksempel: `EF3BD0BD-2B74-60C5-AF5C-010000001E00`

Lokale og eksterne aliaser

Alle kilde- og målfeltene som er oppført ovenfor, kan eventuelt aliaseres av felt med samme navn og beskrivelser Local og Remote. Dette er vanligvis nyttig for hendelser som rapporteres av et endepunkt, og som hendelsestypen er EndpointNetworkSessionfor.

For slike hendelser kan beskrivelsene Local og Remote angi selve endepunktet og enheten i den andre enden av nettverksøkten. For innkommende tilkoblinger er det lokale systemet målet, Local felter er aliaser for Dst feltene, og Eksterne felt er aliaser for Src felt. For utgående tilkoblinger er det lokale systemet kilden, Local feltene er aliaser for Src feltene, og Remote felt er aliaser for Dst felt.

Feltet er for eksempel et alias DstIpAddr for en innkommende hendelse, LocalIpAddr og feltet RemoteIpAddr er et alias for SrcIpAddr.

Vertsnavn og IP-adressealiaser

Felt	Klasse	Type:	Beskrivelse
Vertsnavn	Alias		– Hvis hendelsestypen er `NetworkSession`, `Flow` eller `L2NetworkSession`, er Vertsnavn et alias for DstHostname. – Hvis hendelsestypen er `EndpointNetworkSession`, er Vertsnavn et alias for `RemoteHostname`, som kan alias enten DstHostname eller SrcHostName, avhengig av NetworkDirection
IpAddr	Alias		– Hvis hendelsestypen er `NetworkSession`, `Flow` eller `L2NetworkSession`, er IpAddr et alias for SrcIpAddr. - Hvis hendelsestypen er `EndpointNetworkSession`, er IpAddr et alias for `LocalIpAddr`, som kan alias enten SrcIpAddr eller DstIpAddr, avhengig av NetworkDirection.

Felt for nettverksadresseoversettelse (NAT) og mellomledd

Følgende felter er nyttige hvis posten inneholder informasjon om en mellomliggende enhet, for eksempel en brannmur eller en proxy, som videresender nettverksøkten.

Mellomleddsystemer bruker ofte adresseoversettelse, og derfor er den opprinnelige adressen og adressen som er observert eksternt, ikke den samme. I slike tilfeller representerer de primære adressefeltene som SrcIPAddr og DstIpAddr adressene som ble observert eksternt, mens NAT-adressefeltene SrcNatIpAddr og DstNatIpAddr representerer den interne adressen til den opprinnelige enheten før oversettelse.

Felt	Klasse	Type:	Beskrivelse
DstNatIpAddr	Valgfri	IP-adresse	DstNatIpAddr representerer én av: – Den opprinnelige adressen til målenheten hvis oversettelse av nettverksadresse ble brukt. - IP-adressen som brukes av mellomenheten for kommunikasjon med kilden. Eksempel: `2::1`
DstNatPortNumber	Valgfri	Heltall	Hvis den rapporteres av en mellomliggende NAT-enhet, brukes porten som brukes av NAT-enheten til kommunikasjon med kilden. Eksempel: `443`
SrcNatIpAddr	Valgfri	IP-adresse	SrcNatIpAddr representerer én av: – Den opprinnelige adressen til kildeenheten hvis nettverksadresseoversettelse ble brukt. - IP-adressen som brukes av mellomleddsenheten for kommunikasjon med målet. Eksempel: `4.3.2.1`
SrcNatPortNumber	Valgfri	Heltall	Hvis den rapporteres av en mellomliggende NAT-enhet, brukes porten som brukes av NAT-enheten til kommunikasjon med målet. Eksempel: `345`
DvcInboundInterface	Valgfri	Streng	Hvis det rapporteres av en mellomliggende enhet, brukes nettverksgrensesnittet som brukes av NAT-enheten for tilkoblingen til kildeenheten. Eksempel: `eth0`
DvcOutboundInterface	Valgfri	Streng	Hvis det rapporteres av en mellomliggende enhet, brukes nettverksgrensesnittet som brukes av NAT-enheten for tilkoblingen til målenheten. Eksempel: `Ethernet adapter Ethernet 4e`

Inspeksjonsfelt

Følgende felt brukes til å representere denne inspeksjonen som en sikkerhetsenhet, for eksempel en brannmur, en IPS eller en gateway for nettsikkerhet, utførte:

Felt	Klasse	Type:	Beskrivelse
NetworkRuleName	Valgfri	Streng	Navnet eller ID-en til regelen som DvcAction ble bestemt på. Eksempel: `AnyAnyDrop`
NetworkRuleNumber	Valgfri	Heltall	Antallet av regelen som DvcAction ble bestemt på. Eksempel: `23`
Regelen	Alias	Streng	Verdien av NetworkRuleName eller verdien til NetworkRuleNumber. Hvis verdien for NetworkRuleNumber brukes, bør typen konverteres til streng.
ThreatId	Valgfri	Streng	ID-en til trusselen eller skadelig programvare som er identifisert i nettverksøkten. Eksempel: `Tr.124`
ThreatName	Valgfri	Streng	Navnet på trusselen eller skadelig programvare som er identifisert i nettverksøkten. Eksempel: `EICAR Test File`
Trusselkategori	Valgfri	Streng	Kategorien for trusselen eller skadelig programvare som er identifisert i nettverksøkten. Eksempel: `Trojan`
ThreatRiskLevel	Valgfri	RiskLevel (heltall)	Risikonivået som er knyttet til økten. Nivået må være et tall mellom 0 og 100. Obs! Verdien kan angis i kildeposten ved hjelp av en annen skala, som skal normaliseres til denne skalaen. Den opprinnelige verdien bør lagres i ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel	Valgfri	Streng	Risikonivået som rapporteres av rapporteringsenheten.
ThreatIpAddr	Valgfri	IP-adresse	En IP-adresse som en trussel ble identifisert for. Feltet ThreatField inneholder navnet på feltet ThreatIpAddr representerer.
ThreatField	Betinget	Nummerert	Feltet som en trussel ble identifisert for. Verdien er enten `SrcIpAddr` eller `DstIpAddr`.
ThreatConfidence	Valgfri	Konfidensnivå (heltall)	Konfidensnivået til trusselen som er identifisert, normalisert til en verdi mellom 0 og 100.
ThreatOriginalConfidence	Valgfri	Streng	Det opprinnelige konfidensnivået for trusselen identifisert, som rapportert av rapporteringsenheten.
ThreatIsActive	Valgfri	Boolsk	Sann hvis trusselen som identifiseres, anses som en aktiv trussel.
ThreatFirstReportedTime	Valgfri	Datetime	Første gang IP-adressen eller domenet ble identifisert som en trussel.
ThreatLastReportedTime	Valgfri	Datetime	Siste gang IP-adressen eller domenet ble identifisert som en trussel.

Andre felt

Felt	Klasse	Type:	Beskrivelse
ASimMatchingIpAddr	Anbefalt	Nummerert	Når en parser bruker `ipaddr_has_any_prefix` filtreringsparameterne, angis dette feltet med én av verdiene `SrcIpAddr`, `DstIpAddr`eller `Both` for å gjenspeile de samsvarende feltene eller feltene.
ASimMatchingHostname	Anbefalt	Nummerert	Når en parser bruker `hostname_has_any` filtreringsparameterne, angis dette feltet med én av verdiene `SrcHostname`, `DstHostname`eller `Both` for å gjenspeile de samsvarende feltene eller feltene.

Hvis hendelsen rapporteres av ett av endepunktene i nettverksøkten, kan den inneholde informasjon om prosessen som startet eller avsluttet økten. I slike tilfeller brukes skjemaet for ASIM-prosesshendelse til å normalisere denne informasjonen.

Skjemaoppdateringer

Følgende er endringene i versjon 0.2.1 av skjemaet:

Lagt til Src og Dst som aliaser til en ledende identifikator for kilde- og målsystemene.
La til feltene NetworkConnectionHistory, SrcVlanId, DstVlanIdInnerVlanId, og OuterVlanId.

Følgende er endringene i versjon 0.2.2 av skjemaet:

Lagt til Remote og Local aliaser.
La til hendelsestypen EndpointNetworkSession.
Definert Hostname og IpAddr som aliaser for RemoteHostname og LocalIpAddr henholdsvis når hendelsestypen er EndpointNetworkSession.
Definert DvcInterface som et alias for DvcInboundInterface eller DvcOutboundInterface.
Endret typen for følgende felt fra Heltall til Langt: SrcBytes, DstBytes, NetworkBytes, SrcPackets, DstPacketsog NetworkPackets.
La til feltet NetworkProtocolVersion.
Avskrevet DstUserDomain og SrcUserDomain.

Følgende er endringene i versjon 0.2.3 av skjemaet:

La til filtreringsparameteren ipaddr_has_any_prefix .
Filtreringsparameteren hostname_has_any samsvarer nå med kilde- eller målvertsnavnene.
La til feltene ASimMatchingHostname og ASimMatchingIpAddr.

Følgende er endringene i versjon 0.2.4 av skjemaet:

TcpFlags La til feltene.
Oppdatert NetworkIcpmType og NetworkIcmpCode for å gjenspeile tallverdien for begge.
Lagt til flere inspeksjonsfelt.
Feltet ThreatRiskLevelOriginal ble endret til å ThreatOriginalRiskLevel samsvare med ASIM-konvensjoner. Eksisterende Microsoft-analyser opprettholdes ThreatRiskLevelOriginal frem til 1. mai 2023.
Merket EventResultDetails som anbefalt, og spesifiserte de tillatte verdiene.

Følgende er endringene i versjon 0.2.5 av skjemaet:

La til feltene DstUserScope, SrcUserScope, SrcDvcScopeId, SrcDvcScopeDstDvcScopeId, DstDvcScope, DvcScopeIdog DvcScope.

Følgende er endringene i versjon 0.2.6 av skjemaet:

La til IDS som en hendelsestype

Følgende er endringene i versjon 0.2.7 av skjemaet:

Lagt til feltene DstDescription og SrcDescription

Neste trinn

Hvis du vil ha mer informasjon, kan du se:

Tilbakemeldinger

Var denne siden nyttig?

Last updated on 2026-04-23