Share via

The Advanced Security Information Model (ASIM) Network Session normalization schema reference (public preview)

  • Artikel

Het normalisatieschema voor Microsoft Sentinel-netwerksessies vertegenwoordigt een IP-netwerkactiviteit, zoals netwerkverbindingen en netwerksessies. Dergelijke gebeurtenissen worden bijvoorbeeld gerapporteerd door besturingssystemen, routers, firewalls en inbraakpreventiesystemen.

Het netwerknormalisatieschema kan elk type IP-netwerksessie vertegenwoordigen, maar is ontworpen om ondersteuning te bieden voor algemene brontypen, zoals Netflow, firewalls en inbraakpreventiesystemen.

Zie Normalization and the Advanced Security Information Model (ASIM) voor meer informatie over normalisatie in Microsoft Sentinel.

In dit artikel wordt versie 0.2.x van het netwerknormalisatieschema beschreven. Versie 0.1 is uitgebracht voordat ASIM beschikbaar was en niet overeenkomt met ASIM op verschillende plaatsen. Zie Verschillen tussen netwerknormalisatieschemaversies voor meer informatie.

Belangrijk

Het netwerknormalisatieschema is momenteel beschikbaar als preview-versie. Deze functie wordt geleverd zonder service level agreement. Dit wordt niet aanbevolen voor productieworkloads.

De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Parsers

Zie het overzicht van ASIM-parsers voor meer informatie over ASIM-parsers.

Parsers opheffen

Als u parsers wilt gebruiken die alle out-of-the-box parsers van ASIM samenvoegen en ervoor zorgen dat uw analyse wordt uitgevoerd op alle geconfigureerde bronnen, gebruikt u de _Im_NetworkSession filterparser of de _ASim_NetworkSession parameterloze parser.

U kunt ook werkruimte-geïmplementeerde ImNetworkSession parsers ASimNetworkSession gebruiken door ze te implementeren vanuit de GitHub-opslagplaats van Microsoft Sentinel.

Zie ingebouwde ASIM-parsers en door de werkruimte geïmplementeerde parsers voor meer informatie.

Out-of-the-box, bronspecifieke parsers

Raadpleeg voor de lijst met netwerksessieparsers Microsoft Sentinel out-of-the-box naar de lijst met ASIM-parsers

Uw eigen genormaliseerde parsers toevoegen

Bij het ontwikkelen van aangepaste parsers voor het netwerksessie-informatiemodel, noemt u uw KQL-functies met behulp van de volgende syntaxis:

  • vimNetworkSession<vendor><Product> voor geparametriseerde parsers
  • ASimNetworkSession<vendor><Product> voor reguliere parsers

Raadpleeg het artikel ASIM-parsers beheren voor meer informatie over het toevoegen van uw aangepaste parsers aan de netwerksessie die parsers samenvoegen.

Parserparameters filteren

De netwerksessieparsers ondersteunen filterparameters. Hoewel deze parameters optioneel zijn, kunnen ze de queryprestaties verbeteren.

De volgende filterparameters zijn beschikbaar:

Naam Type Omschrijving
Starttime datum/tijd Filter alleen netwerksessies die op of na deze tijd zijn gestart .
Eindtijd datum/tijd Filter alleen netwerksessies die op of vóór deze tijd zijn gestart .
srcipaddr_has_any_prefix dynamisch Filter alleen netwerksessies waarvoor het voorvoegsel van het bron-IP-adresveld zich in een van de vermelde waarden bevindt. Voorvoegsels moeten eindigen op een ., bijvoorbeeld: 10.0.. De lengte van de lijst is beperkt tot 10.000 items.
dstipaddr_has_any_prefix dynamisch Filter alleen netwerksessies waarvoor het voorvoegsel van het doel-IP-adresveld zich in een van de vermelde waarden bevindt. Voorvoegsels moeten eindigen op een ., bijvoorbeeld: 10.0.. De lengte van de lijst is beperkt tot 10.000 items.
ipaddr_has_any_prefix dynamisch Filter alleen netwerksessies waarvoor het doel-IP-adresveld of het voorvoegsel van het bron-IP-adres zich in een van de vermelde waarden bevindt. Voorvoegsels moeten eindigen op een ., bijvoorbeeld: 10.0.. De lengte van de lijst is beperkt tot 10.000 items.

Het veld ASimMatchingIpAddr wordt ingesteld met een van de waarden SrcIpAddr, DstIpAddrof Both om de overeenkomende velden of velden weer te geven.
dstportnumber Int Filter alleen netwerksessies met het opgegeven doelpoortnummer.
hostname_has_any dynamisch/tekenreeks Filter alleen netwerksessies waarvoor het doelhostnaamveld een van de waarden bevat die worden vermeld. De lengte van de lijst is beperkt tot 10.000 items.

Het veld ASimMatchingHostname wordt ingesteld met een van de waarden SrcHostname, DstHostnameof Both om de overeenkomende velden of velden weer te geven.
dvcaction dynamisch/tekenreeks Filter alleen netwerksessies waarvoor het veld Apparaatactie een van de vermelde waarden is.
eventresult String Filter alleen netwerksessies met een specifieke EventResult-waarde .

Sommige parameters kunnen beide lijst met waarden van het type dynamic of één tekenreekswaarde accepteren. Als u een letterlijke lijst wilt doorgeven aan parameters die een dynamische waarde verwachten, gebruikt u expliciet een dynamische letterlijke waarde. Bijvoorbeeld: dynamic(['192.168.','10.'])

Als u bijvoorbeeld alleen netwerksessies wilt filteren voor een opgegeven lijst met domeinnamen, gebruikt u:

let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)

Fooi

Als u een letterlijke lijst wilt doorgeven aan parameters die een dynamische waarde verwachten, gebruikt u expliciet een dynamische letterlijke waarde. Bijvoorbeeld: dynamic(['192.168.','10.']).

Genormaliseerde inhoud

Zie De inhoud van de netwerksessiebeveiliging voor een volledige lijst met analyseregels die gebruikmaken van genormaliseerde DNS-gebeurtenissen.

Schemaoverzicht

Het informatiemodel voor netwerksessies is afgestemd op het OSSEM Network-entiteitsschema.

Het netwerksessieschema fungeert voor verschillende typen vergelijkbare, maar afzonderlijke scenario's, die dezelfde velden delen. Deze scenario's worden geïdentificeerd door het veld EventType:

  • NetworkSession - een netwerksessie die wordt gerapporteerd door een tussenliggend apparaat dat het netwerk bewaakt, zoals een firewall, een router of een netwerktik.
  • L2NetworkSession - een netwerksessies waarvoor alleen laag 2-informatie beschikbaar is. Dergelijke gebeurtenissen bevatten MAC-adressen, maar geen IP-adressen.
  • Flow - een geaggregeerde gebeurtenis die meerdere vergelijkbare netwerksessies rapporteert, meestal gedurende een vooraf gedefinieerde periode, zoals Netflow-gebeurtenissen .
  • EndpointNetworkSession - een netwerksessie gerapporteerd door een van de eindpunten van de sessie, inclusief clients en servers. Voor dergelijke gebeurtenissen ondersteunt het schema de remote velden en local aliasvelden.
  • IDS - een netwerksessie gerapporteerd als verdacht. Een dergelijke gebeurtenis bevat een aantal inspectievelden en kan slechts één IP-adresveld hebben ingevuld, ofwel de bron of de bestemming.

Normaal gesproken moet een query slechts een subset van deze gebeurtenistypen selecteren en mogelijk afzonderlijke unieke aspecten van de use cases aanpakken. IdS-gebeurtenissen weerspiegelen bijvoorbeeld niet het volledige netwerkvolume en moeten niet in aanmerking worden genomen in analyse op basis van kolommen.

Netwerksessie-gebeurtenissen maken gebruik van de beschrijvingen Src en Dst geven de rollen aan van de apparaten en gerelateerde gebruikers en toepassingen die betrokken zijn bij de sessie. De hostnaam en het IP-adres van het bronapparaat zijn dus benoemd SrcHostname en SrcIpAddr. Andere ASIM-schema's worden meestal gebruikt Target in plaats van Dst.

Voor gebeurtenissen die zijn gerapporteerd door een eindpunt en waarvoor het gebeurtenistype is EndpointNetworkSession, worden de beschrijvingen Local en het eindpunt zelf en Remote het apparaat aan het andere uiteinde van de netwerksessie aangegeven.

De descriptor Dvc wordt gebruikt voor het rapportageapparaat, het lokale systeem voor sessies die door een eindpunt worden gerapporteerd, en het tussenliggende apparaat of netwerktik op andere netwerksessie-gebeurtenissen.

Schemadetails

Algemene ASIM-velden

Belangrijk

Velden die voor alle schema's gelden, worden uitgebreid beschreven in het artikel Algemene ASIM-velden .

Algemene velden met specifieke richtlijnen

In de volgende lijst worden velden vermeld met specifieke richtlijnen voor netwerksessie-gebeurtenissen:

Veld Klasse Type Omschrijving
EventCount Verplicht Geheel getal Netflow-bronnen ondersteunen aggregatie en het veld EventCount moet worden ingesteld op de waarde van het veld Netflow FLOWS . Voor andere bronnen is de waarde doorgaans ingesteld op 1.
EventType Verplicht Enumerated Beschrijft het scenario dat door de record wordt gerapporteerd.

Voor netwerksessierecords zijn de toegestane waarden:
- EndpointNetworkSession
- NetworkSession
- L2NetworkSession
- IDS
- Flow

Raadpleeg het schemaoverzicht voor meer informatie over gebeurtenistypen
EventSubType Optioneel String Aanvullende beschrijving van het gebeurtenistype, indien van toepassing.
Voor netwerksessierecords zijn ondersteunde waarden onder andere:
- Start
- End

Dit veld is niet relevant voor Flow gebeurtenissen.
EventResult Verplicht Enumerated Als het bronapparaat geen gebeurtenisresultaat opgeeft, moet EventResult zijn gebaseerd op de waarde van DvcAction. Als DvcAction isDeny, , Drop, Drop ICMP, Resetof Reset SourceReset Destination
, EventResult moet zijn Failure. Anders moet EventResult zijnSuccess.
EventResultDetails Aanbevolen Enumerated Reden of details voor het resultaat dat is gerapporteerd in het veld EventResult . Ondersteunde waarden zijn:
-Failover
- Ongeldig TCP
- Ongeldige tunnel
- Maximum aantal nieuwe pogingen
-Opnieuw instellen
- Routeringsprobleem
-Simulatie
-Beëindigd
-Timeout
- Tijdelijke fout
-Onbekende
- NA.

De oorspronkelijke, bronspecifieke waarde wordt opgeslagen in het veld EventOriginalResultDetails .
EventSchema Verplicht String De naam van het schema dat hier wordt beschreven, is NetworkSession.
EventSchemaVersion Verplicht String De versie van het schema. De versie van het schema dat hier wordt beschreven, is 0.2.6.
DvcAction Aanbevolen Enumerated De actie die is uitgevoerd op de netwerksessie. Ondersteunde waarden zijn:
- Allow
- Deny
- Drop
- Drop ICMP
- Reset
- Reset Source
- Reset Destination
- Encrypt
- Decrypt
- VPNroute

Opmerking: De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd voor deze waarden. De oorspronkelijke waarde moet worden opgeslagen in het veld DvcOriginalAction .

Voorbeeld: drop
EventSeverity Optioneel Enumerated Als het bronapparaat geen ernst van de gebeurtenis biedt, moet EventSeverity zijn gebaseerd op de waarde van DvcAction. Als DvcAction isDeny, , Drop, Drop ICMP, Resetof Reset SourceReset Destination
, EventSeverity moet zijn Low. Anders moet EventSeverity zijnInformational.
DvcInterface Het veld DvcInterface moet de DvcInboundInterface of de velden DvcOutboundInterface aliasen.
Dvc-velden Voor netwerksessie-gebeurtenissen verwijzen apparaatvelden naar het systeem dat de gebeurtenis Netwerksessie rapporteert.

Alle algemene velden

Velden die in de onderstaande tabel worden weergegeven, zijn gebruikelijk voor alle ASIM-schema's. Elke hierboven opgegeven richtlijn overschrijft de algemene richtlijnen voor het veld. Een veld kan bijvoorbeeld optioneel zijn in het algemeen, maar verplicht voor een specifiek schema. Raadpleeg het artikel algemene ASIM-velden voor meer informatie over elk veld.

Klasse Velden
Verplicht - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Aanbevolen - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Optioneel - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

Netwerksessievelden

Veld Klasse Type Omschrijving
NetworkApplicationProtocol Optioneel String Het protocol van de toepassingslaag dat wordt gebruikt door de verbinding of sessie. De waarde moet in hoofdletters staan.

Voorbeeld: FTP
NetworkProtocol Optioneel Enumerated Het IP-protocol dat wordt gebruikt door de verbinding of sessie zoals vermeld in de IANA-protocoltoewijzing, meestal TCP, UDPof ICMP.

Voorbeeld: TCP
NetworkProtocolVersion Optioneel Enumerated De versie van NetworkProtocol. Wanneer u deze gebruikt om onderscheid te maken tussen IP-versie, gebruikt u de waarden IPv4 en IPv6.
NetworkDirection Optioneel Enumerated De richting van de verbinding of sessie:

- Voor het EventTypeNetworkSession of FlowL2NetworkSessionvertegenwoordigt NetworkDirection de richting ten opzichte van de grens van de organisatie of cloudomgeving. Ondersteunde waarden zijn Inbound, OutboundLocal (aan de organisatie), External (aan de organisatie) of NA (niet van toepassing).

- Voor eventtype EndpointNetworkSessionvertegenwoordigt NetworkDirection de richting ten opzichte van het eindpunt. Ondersteunde waarden zijn Inbound, OutboundLocal (op het systeem) Listen of NA (niet van toepassing). De Listen waarde geeft aan dat een apparaat is begonnen met het accepteren van netwerkverbindingen, maar niet daadwerkelijk, noodzakelijkerwijs, verbonden is.
NetworkDuration Optioneel Geheel getal De hoeveelheid tijd, in milliseconden, voor de voltooiing van de netwerksessie of -verbinding.

Voorbeeld: 1500
Duur Alias Alias naar NetworkDuration.
NetworkIcmpType Optioneel String Voor een ICMP-bericht is het typenummer van het ICMP-bericht, zoals beschreven in RFC 2780 voor IPv4-netwerkverbindingen of in RFC 4443 voor IPv6-netwerkverbindingen.
NetworkIcmpCode Optioneel Geheel getal Voor een ICMP-bericht is het ICMP-codenummer zoals beschreven in RFC 2780 voor IPv4-netwerkverbindingen of in RFC 4443 voor IPv6-netwerkverbindingen.
Network Verbinding maken ionHistory Optioneel String TCP-vlaggen en andere informatie over mogelijke IP-headers.
DstBytes Aanbevolen Lang Het aantal bytes dat van de bestemming naar de bron is verzonden voor de verbinding of sessie. Als de gebeurtenis wordt geaggregeerd, moet DstBytes de som zijn van alle geaggregeerde sessies.

Voorbeeld: 32455
SrcBytes Aanbevolen Lang Het aantal bytes dat van de bron naar het doel is verzonden voor de verbinding of sessie. Als de gebeurtenis wordt geaggregeerd, moet SrcBytes de som zijn van alle geaggregeerde sessies.

Voorbeeld: 46536
Netwerkbytes Optioneel Lang Het aantal bytes dat in beide richtingen is verzonden. Als zowel BytesReceived als BytesSent bestaan, moet BytesTotal gelijk zijn aan de som. Als de gebeurtenis wordt samengevoegd, moet NetworkBytes de som zijn van alle geaggregeerde sessies.

Voorbeeld: 78991
DstPackets Optioneel Lang Het aantal pakketten dat van de bestemming naar de bron wordt verzonden voor de verbinding of sessie. De betekenis van een pakket wordt gedefinieerd door het rapportageapparaat. Als de gebeurtenis wordt geaggregeerd, moet DstPackets de som zijn van alle geaggregeerde sessies.

Voorbeeld: 446
SrcPackets Optioneel Lang Het aantal pakketten dat van de bron naar de bestemming voor de verbinding of sessie wordt verzonden. De betekenis van een pakket wordt gedefinieerd door het rapportageapparaat. Als de gebeurtenis wordt samengevoegd, moet SrcPackets de som zijn van alle geaggregeerde sessies.

Voorbeeld: 6478
NetworkPackets Optioneel Lang Het aantal pakketten dat in beide richtingen wordt verzonden. Als zowel PacketsReceived als PacketsSent bestaat, moet BytesTotal gelijk zijn aan de som. De betekenis van een pakket wordt gedefinieerd door het rapportageapparaat. Als de gebeurtenis wordt geaggregeerd, moet NetworkPackets de som zijn van alle geaggregeerde sessies.

Voorbeeld: 6924
NetworkSessionId Optioneel tekenreeks De sessie-id zoals gerapporteerd door het rapportageapparaat.

Voorbeeld: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80
Sessionid Alias String Alias naar NetworkSessionId.
TcpFlagsAck Optioneel Booleaanse waarde De TCP ACK-vlag gerapporteerd. De bevestigingsvlag wordt gebruikt om de geslaagde ontvangst van een pakket te bevestigen. Zoals we in het bovenstaande diagram kunnen zien, verzendt de ontvanger een ACK en een SYN in de tweede stap van het drierichtingshanddrukproces om de afzender te laten weten dat het oorspronkelijke pakket is ontvangen.
TcpFlagsFin Optioneel Booleaanse waarde De TCP FIN-vlag gerapporteerd. De voltooide vlag betekent dat er geen gegevens meer van de afzender zijn. Daarom wordt het gebruikt in het laatste pakket dat van de afzender is verzonden.
TcpFlagsSyn Optioneel Booleaanse waarde De TCP SYN-vlag gerapporteerd. De synchronisatievlag wordt gebruikt als eerste stap bij het tot stand brengen van een handshake in drie richtingen tussen twee hosts. Alleen het eerste pakket van zowel de afzender als de ontvanger moet deze vlag hebben ingesteld.
TcpFlagsUrg Optioneel Booleaanse waarde De TCP URG-vlag gerapporteerd. De urgente vlag wordt gebruikt om de ontvanger op de hoogte te stellen van het verwerken van de urgente pakketten voordat alle andere pakketten worden verwerkt. De ontvanger ontvangt een melding wanneer alle bekende urgente gegevens zijn ontvangen. Zie RFC 6093 voor meer informatie.
TcpFlagsPsh Optioneel Booleaanse waarde De TCP PSH-vlag gerapporteerd. De pushvlag is vergelijkbaar met de URG-vlag en vertelt de ontvanger dat deze pakketten moeten worden verwerkt wanneer ze worden ontvangen in plaats van ze te bufferen.
TcpFlagsRst Optioneel Booleaanse waarde De TCP RST-vlag gerapporteerd. De resetvlag wordt verzonden van de ontvanger naar de afzender wanneer een pakket wordt verzonden naar een bepaalde host die deze niet verwachtte.
TcpFlagsEce Optioneel Booleaanse waarde De TCP ECE-vlag gerapporteerd. Deze vlag is verantwoordelijk voor het aangeven of de TCP-peer ECN geschikt is. Zie RFC 3168 voor meer informatie.
TcpFlagsCwr Optioneel Booleaanse waarde De TCP CWR-vlag gerapporteerd. De gereduceerde vlag voor congestievensters wordt door de verzendende host gebruikt om aan te geven dat het een pakket heeft ontvangen met de ECE-vlag die is ingesteld. Zie RFC 3168 voor meer informatie.
TcpFlagsNs Optioneel Booleaanse waarde De TCP NS-vlag gerapporteerd. De vlag nonce sum is nog steeds een experimentele vlag die wordt gebruikt om te beschermen tegen onbedoelde schadelijke verberging van pakketten van de afzender. Zie RFC 3540 voor meer informatie

Doelsysteemvelden

Veld Klasse Type Omschrijving
Dst Aanbevolen Alias Een unieke id van de server die de DNS-aanvraag ontvangt.

Dit veld kan de velden DstDvcId, DstHostname of DstIpAddr aliasen.

Voorbeeld: 192.168.12.1
DstIpAddr Aanbevolen IP-adres Het IP-adres van de verbinding of sessiebestemming. Als de sessie gebruikmaakt van netwerkadresomzetting, DstIpAddr is dit het openbaar zichtbare adres en niet het oorspronkelijke adres van de bron, dat is opgeslagen in DstNatIpAddr

Voorbeeld: 2001:db8::ff00:42:8329

Opmerking: deze waarde is verplicht als DstHostname is opgegeven.
DstPortNumber Optioneel Geheel getal De doel-IP-poort.

Voorbeeld: 443
DstHostname Aanbevolen Hostnaam De hostnaam van het doelapparaat, met uitzondering van domeingegevens. Als er geen apparaatnaam beschikbaar is, slaat u het relevante IP-adres op in dit veld.

Voorbeeld: DESKTOP-1282V4D
DstDomain Aanbevolen String Het domein van het doelapparaat.

Voorbeeld: Contoso
DstDomainType Voorwaardelijk Enumerated Het type DstDomain. Raadpleeg DomainType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie.

Vereist als DstDomain wordt gebruikt.
DstFQDN Optioneel String De hostnaam van het doelapparaat, inclusief domeingegevens, indien beschikbaar.

Voorbeeld: Contoso\DESKTOP-1282V4D

Opmerking: dit veld ondersteunt zowel de traditionele FQDN-indeling als de Indeling windows-domein\hostnaam. Het DstDomainType weerspiegelt de gebruikte indeling.
DstDvcId Optioneel String De id van het doelapparaat. Als er meerdere id's beschikbaar zijn, gebruikt u de belangrijkste id en slaat u de andere op in de velden DstDvc<DvcIdType>.

Voorbeeld: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
DstDvcScopeId Optioneel String De bereik-id van het cloudplatform waartoe het apparaat behoort. DstDvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS.
DstDvcScope Optioneel String Het cloudplatformbereik waartoe het apparaat behoort. DstDvcScope wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS.
DstDvcIdType Voorwaardelijk Enumerated Het type DstDvcId. Voor een lijst met toegestane waarden en meer informatie raadpleegt u DvcIdType in het artikel Schemaoverzicht.

Vereist als DstDeviceId wordt gebruikt.
DstDeviceType Optioneel Enumerated Het type van het doelapparaat. Raadpleeg DeviceType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie.
DstZone Optioneel String De netwerkzone van de bestemming, zoals gedefinieerd door het rapportageapparaat.

Voorbeeld: Dmz
DstInterfaceName Optioneel String De netwerkinterface die wordt gebruikt voor de verbinding of sessie door het doelapparaat.

Voorbeeld: Microsoft Hyper-V Network Adapter
DstInterfaceGuid Optioneel String De GUID van de netwerkinterface die wordt gebruikt op het doelapparaat.

Voorbeeld:
46ad544b-eaf0-47ef-
827c-266030f545a6
DstMacAddr Optioneel String Het MAC-adres van de netwerkinterface die wordt gebruikt voor de verbinding of sessie door het doelapparaat.

Voorbeeld: 06:10:9f:eb:8f:14
DstVlanId Optioneel String De VLAN-id die is gerelateerd aan het doelapparaat.

Voorbeeld: 130
OuterVlanId Optioneel Alias Alias naar DstVlanId.

In veel gevallen kan het VLAN niet worden bepaald als een bron of een bestemming, maar wordt gekenmerkt als binnen- of buitenste. Deze alias waarmee wordt aangegeven dat DstVlanId moet worden gebruikt wanneer het VLAN wordt gekenmerkt als buitenste.
DstSubscriptionId Optioneel String De abonnements-id van het cloudplatform waartoe het doelapparaat behoort. DstSubscriptionId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS.
DstGeoCountry Optioneel Land/regio Het land dat is gekoppeld aan het doel-IP-adres. Zie Logische typen voor meer informatie.

Voorbeeld: USA
DstGeoRegion Optioneel Region De regio of status die is gekoppeld aan het doel-IP-adres. Zie Logische typen voor meer informatie.

Voorbeeld: Vermont
DstGeoCity Optioneel Plaats De plaats die is gekoppeld aan het doel-IP-adres. Zie Logische typen voor meer informatie.

Voorbeeld: Burlington
DstGeoL dankbaarheid Optioneel Breedtegraad De breedtegraad van de geografische coördinaat die is gekoppeld aan het doel-IP-adres. Zie Logische typen voor meer informatie.

Voorbeeld: 44.475833
DstGeoLongitude Optioneel Lengtegraad De lengtegraad van de geografische coördinaat die is gekoppeld aan het doel-IP-adres. Zie Logische typen voor meer informatie.

Voorbeeld: 73.211944

Doelgebruikersvelden

Veld Klasse Type Omschrijving
DstUserId Optioneel String Een machineleesbare, alfanumerieke, unieke weergave van de doelgebruiker. Raadpleeg de entiteit Gebruiker voor de ondersteunde indeling voor verschillende id-typen.

Voorbeeld: S-1-12
DstUserScope Optioneel String Het bereik, zoals Microsoft Entra-tenant, waarin DstUserId en DstUsername worden gedefinieerd. of meer informatie en lijst met toegestane waarden, zie UserScope in het artikel Schemaoverzicht.
DstUserScopeId Optioneel String De bereik-id, zoals Microsoft Entra Directory-id, waarin DstUserId en DstUsername worden gedefinieerd. Zie UserScopeId in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden.
DstUserIdType Voorwaardelijk UserIdType Het type id dat is opgeslagen in het veld DstUserId . Raadpleeg userIdType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie.
DstUsername Optioneel String De doelgebruikersnaam, inclusief domeingegevens, indien beschikbaar. Raadpleeg de entiteit Gebruiker voor de ondersteunde indeling voor verschillende id-typen. Gebruik het eenvoudige formulier alleen als domeingegevens niet beschikbaar zijn.

Sla het gebruikersnaamtype op in het veld DstUsernameType . Als er andere indelingen voor gebruikersnamen beschikbaar zijn, slaat u deze op in de velden DstUsername<UsernameType>.

Voorbeeld: AlbertE
Gebruiker Alias Alias naar DstUsername.
DstUsernameType Voorwaardelijk UsernameType Hiermee geeft u het type van de gebruikersnaam op die is opgeslagen in het veld DstUsername . Raadpleeg UsernameType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie.

Voorbeeld: Windows
DstUserType Optioneel UserType Het type doelgebruiker. Raadpleeg userType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie.

Opmerking: De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd voor deze waarden. Sla de oorspronkelijke waarde op in het veld DstOriginalUserType .
DstOriginalUserType Optioneel String Het oorspronkelijke doelgebruikerstype, indien opgegeven door de bron.

Doeltoepassingsvelden

Veld Klasse Type Omschrijving
DstAppName Optioneel String De naam van de doeltoepassing.

Voorbeeld: Facebook
DstAppId Optioneel String De id van de doeltoepassing, zoals gerapporteerd door het rapportageapparaat. Als DstAppType hetzelfde is Processen DstProcessIdDstAppId dezelfde waarde moet hebben.

Voorbeeld: 124
DstAppType Optioneel AppType Het type van de doeltoepassing. Raadpleeg AppType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie.

Dit veld is verplicht als DstAppName of DstAppId wordt gebruikt.
DstProcessName Optioneel String De bestandsnaam van het proces dat de netwerksessie heeft beëindigd. Deze naam wordt doorgaans beschouwd als de procesnaam.

Voorbeeld: C:\Windows\explorer.exe
Verwerken Alias Alias naar de DstProcessName

Voorbeeld: C:\Windows\System32\rundll32.exe
DstProcessId Optioneel String De proces-id (PID) van het proces dat de netwerksessie heeft beëindigd.

Voorbeeld: 48610176

Opmerking: Het type wordt gedefinieerd als tekenreeks ter ondersteuning van verschillende systemen, maar in Windows en Linux moet deze waarde numeriek zijn.

Als u een Windows- of Linux-computer gebruikt en een ander type gebruikt, moet u de waarden converteren. Als u bijvoorbeeld een hexadecimale waarde hebt gebruikt, converteert u deze naar een decimale waarde.
DstProcessGuid Optioneel String Een gegenereerde unieke id (GUID) van het proces dat de netwerksessie heeft beëindigd.

Voorbeeld: EF3BD0BD-2B74-60C5-AF5C-010000001E00

Bronsysteemvelden

Veld Klasse Type Omschrijving
Src Alias Een unieke id van het bronapparaat.

Dit veld kan een alias zijn voor de velden SrcDvcId, SrcHostname of SrcIpAddr .

Voorbeeld: 192.168.12.1
SrcIpAddr Aanbevolen IP-adres Het IP-adres waaruit de verbinding of sessie afkomstig is. Deze waarde is verplicht als SrcHostname is opgegeven. Als de sessie gebruikmaakt van netwerkadresomzetting, SrcIpAddr is het openbaar zichtbare adres en niet het oorspronkelijke adres van de bron, dat is opgeslagen in SrcNatIpAddr

Voorbeeld: 77.138.103.108
SrcPortNumber Optioneel Geheel getal De IP-poort waaruit de verbinding afkomstig is. Mogelijk is dit niet relevant voor een sessie die uit meerdere verbindingen bestaat.

Voorbeeld: 2335
SrcHostname Aanbevolen Hostnaam De hostnaam van het bronapparaat, met uitzondering van domeingegevens. Als er geen apparaatnaam beschikbaar is, slaat u het relevante IP-adres op in dit veld.

Voorbeeld: DESKTOP-1282V4D
SrcDomain Aanbevolen String Het domein van het bronapparaat.

Voorbeeld: Contoso
SrcDomainType Voorwaardelijk DomainType Het type SrcDomain. Raadpleeg DomainType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie.

Vereist als SrcDomain wordt gebruikt.
SrcFQDN Optioneel String De hostnaam van het bronapparaat, inclusief domeingegevens, indien beschikbaar.

Opmerking: dit veld ondersteunt zowel de traditionele FQDN-indeling als de Indeling windows-domein\hostnaam. Het veld SrcDomainType weerspiegelt de gebruikte indeling.

Voorbeeld: Contoso\DESKTOP-1282V4D
SrcDvcId Optioneel String De id van het bronapparaat. Als er meerdere id's beschikbaar zijn, gebruikt u de belangrijkste id en slaat u de andere op in de velden SrcDvc<DvcIdType>.

Voorbeeld: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId Optioneel String De bereik-id van het cloudplatform waartoe het apparaat behoort. SrcDvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS.
SrcDvcScope Optioneel String Het cloudplatformbereik waartoe het apparaat behoort. SrcDvcScope wordt toegewezen aan een abonnements-id in Azure en aan een account-id in AWS.
SrcDvcIdType Voorwaardelijk DvcIdType Het type SrcDvcId. Voor een lijst met toegestane waarden en meer informatie raadpleegt u DvcIdType in het artikel Schemaoverzicht.

Opmerking: dit veld is vereist als SrcDvcId wordt gebruikt.
SrcDeviceType Optioneel DeviceType Het type bronapparaat. Raadpleeg DeviceType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie.
SrcZone Optioneel String De netwerkzone van de bron, zoals gedefinieerd door het rapportageapparaat.

Voorbeeld: Internet
SrcInterfaceName Optioneel String De netwerkinterface die wordt gebruikt voor de verbinding of sessie door het bronapparaat.

Voorbeeld: eth01
SrcInterfaceGuid Optioneel String De GUID van de netwerkinterface die wordt gebruikt op het bronapparaat.

Voorbeeld:
46ad544b-eaf0-47ef-
827c-266030f545a6
SrcMacAddr Optioneel String Het MAC-adres van de netwerkinterface waaruit de verbinding of sessie afkomstig is.

Voorbeeld: 06:10:9f:eb:8f:14
SrcVlanId Optioneel String De VLAN-id die is gerelateerd aan het bronapparaat.

Voorbeeld: 130
InnerVlanId Optioneel Alias Alias naar SrcVlanId.

In veel gevallen kan het VLAN niet worden bepaald als een bron of een bestemming, maar wordt gekenmerkt als binnen- of buitenste. Deze alias om aan te geven dat SrcVlanId moet worden gebruikt wanneer het VLAN wordt gekenmerkt als inner.
SrcSubscriptionId Optioneel String De abonnements-id van het cloudplatform waartoe het bronapparaat behoort. SrcSubscriptionId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS.
SrcGeoCountry Optioneel Land/regio Het land dat is gekoppeld aan het bron-IP-adres.

Voorbeeld: USA
SrcGeoRegion Optioneel Region De regio die is gekoppeld aan het bron-IP-adres.

Voorbeeld: Vermont
SrcGeoCity Optioneel Plaats De plaats die is gekoppeld aan het bron-IP-adres.

Voorbeeld: Burlington
SrcGeoL dankbaarheid Optioneel Breedtegraad De breedtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres.

Voorbeeld: 44.475833
SrcGeoLongitude Optioneel Lengtegraad De lengtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres.

Voorbeeld: 73.211944

Brongebruikersvelden

Veld Klasse Type Omschrijving
SrcUserId Optioneel String Een machineleesbare, alfanumerieke, unieke weergave van de brongebruiker. Raadpleeg de entiteit Gebruiker voor de ondersteunde indeling voor verschillende id-typen.

Voorbeeld: S-1-12
SrcUserScope Optioneel String Het bereik, zoals Microsoft Entra-tenant, waarin SrcUserId en SrcUsername worden gedefinieerd. of meer informatie en lijst met toegestane waarden, zie UserScope in het artikel Schemaoverzicht.
SrcUserScopeId Optioneel String De bereik-id, zoals Microsoft Entra Directory-id, waarin SrcUserId en SrcUsername worden gedefinieerd. Zie UserScopeId in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden.
SrcUserIdType Voorwaardelijk UserIdType Het type id dat is opgeslagen in het veld SrcUserId . Raadpleeg userIdType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie.
SrcUsername Optioneel String De gebruikersnaam van de bron, inclusief domeingegevens, indien beschikbaar. Raadpleeg de entiteit Gebruiker voor de ondersteunde indeling voor verschillende id-typen. Gebruik het eenvoudige formulier alleen als domeingegevens niet beschikbaar zijn.

Sla het gebruikersnaamtype op in het veld SrcUsernameType . Als er andere indelingen voor gebruikersnamen beschikbaar zijn, slaat u deze op in de velden SrcUsername<UsernameType>.

Voorbeeld: AlbertE
SrcUsernameType Voorwaardelijk UsernameType Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld SrcUsername . Raadpleeg UsernameType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie.

Voorbeeld: Windows
SrcUserType Optioneel UserType Het type brongebruiker. Raadpleeg userType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie.

Opmerking: De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd voor deze waarden. Sla de oorspronkelijke waarde op in het veld SrcOriginalUserType .
SrcOriginalUserType Optioneel String Het oorspronkelijke type doelgebruiker, indien opgegeven door het rapportageapparaat.

Brontoepassingsvelden

Veld Klasse Type Omschrijving
SrcAppName Optioneel String De naam van de brontoepassing.

Voorbeeld: filezilla.exe
SrcAppId Optioneel String De id van de brontoepassing, zoals gerapporteerd door het rapportageapparaat. Als SrcAppType is Processen SrcAppIdSrcProcessId dezelfde waarde moet hebben.

Voorbeeld: 124
SrcAppType Optioneel AppType Het type brontoepassing. Raadpleeg AppType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie.

Dit veld is verplicht als SrcAppName of SrcAppId wordt gebruikt.
SrcProcessName Optioneel String De bestandsnaam van het proces dat de netwerksessie heeft gestart. Deze naam wordt doorgaans beschouwd als de procesnaam.

Voorbeeld: C:\Windows\explorer.exe
SrcProcessId Optioneel String De proces-id (PID) van het proces dat de netwerksessie heeft gestart.

Voorbeeld: 48610176

Opmerking: Het type wordt gedefinieerd als tekenreeks ter ondersteuning van verschillende systemen, maar in Windows en Linux moet deze waarde numeriek zijn.

Als u een Windows- of Linux-computer gebruikt en een ander type gebruikt, moet u de waarden converteren. Als u bijvoorbeeld een hexadecimale waarde hebt gebruikt, converteert u deze naar een decimale waarde.
SrcProcessGuid Optioneel String Een gegenereerde unieke id (GUID) van het proces dat de netwerksessie heeft gestart.

Voorbeeld: EF3BD0BD-2B74-60C5-AF5C-010000001E00

Lokale en externe aliassen

Alle bovenstaande bron- en doelvelden kunnen eventueel worden gealiaseerd op velden met dezelfde naam en de descriptors Local en Remote. Dit is meestal handig voor gebeurtenissen die zijn gerapporteerd door een eindpunt en waarvoor het gebeurtenistype is EndpointNetworkSession.

Voor dergelijke gebeurtenissen geven de descriptors Local het eindpunt zelf en Remote het apparaat aan het andere uiteinde van de netwerksessie aan. Voor binnenkomende verbindingen is het lokale systeem het doel, Local zijn velden aliassen voor de Dst velden en 'Externe' velden zijn aliassen voor Src velden. Voor uitgaande verbindingen is het lokale systeem daarentegen de bron, Local zijn velden aliassen voor de Src velden en Remote velden aliassen voor Dst velden.

Voor een binnenkomende gebeurtenis is het veld LocalIpAddr bijvoorbeeld een alias aan DstIpAddr en het veld RemoteIpAddr is een alias voor SrcIpAddr.

Hostnaam- en IP-adresaliassen

Veld Klasse Type Omschrijving
Hostnaam Alias - Als het gebeurtenistype een Flow alias is NetworkSessionvoor DstHostname, of L2NetworkSessionhostnaam.
- Als het gebeurtenistype isEndpointNetworkSession, is Hostnaam een alias naar RemoteHostname, die kan alias DstHostname of SrcHostName, afhankelijk van NetworkDirection
Ipaddr Alias - Als het gebeurtenistype is NetworkSession, Flow of L2NetworkSessionipAddr is een alias naar SrcIpAddr.
- Als het gebeurtenistype is, is EndpointNetworkSessionIpAddr een alias naarLocalIpAddr, die SrcIpAddrof DstIpAddr kan aliasen, afhankelijk van NetworkDirection.

Tussenliggende velden voor apparaat- en netwerkadresomzetting (NAT)

De volgende velden zijn handig als de record informatie bevat over een tussenliggend apparaat, zoals een firewall of een proxy, die de netwerksessie doorgeeft.

Tussenliggende systemen maken vaak gebruik van adresomzetting en daarom zijn het oorspronkelijke adres en het adres dat extern wordt waargenomen, niet hetzelfde. In dergelijke gevallen vertegenwoordigen de primaire adresvelden zoals SrcIPAddr en DstIpAddr de adressen die extern worden waargenomen, terwijl de NAT-adresvelden SrcNatIpAddr en DstNatIpAddr het interne adres van het oorspronkelijke apparaat vertegenwoordigen vóór de vertaling.

Veld Klasse Type Omschrijving
DstNatIpAddr Optioneel IP-adres De DstNatIpAddr vertegenwoordigt een van de volgende opties:
- Het oorspronkelijke adres van het doelapparaat als netwerkadresomzetting is gebruikt.
- Het IP-adres dat door het tussenliggende apparaat wordt gebruikt voor communicatie met de bron.

Voorbeeld: 2::1
DstNatPortNumber Optioneel Geheel getal Als dit wordt gerapporteerd door een tussenliggend NAT-apparaat, wordt de poort die door het NAT-apparaat wordt gebruikt voor communicatie met de bron.

Voorbeeld: 443
SrcNatIpAddr Optioneel IP-adres De SrcNatIpAddr vertegenwoordigt een van de volgende opties:
- Het oorspronkelijke adres van het bronapparaat als netwerkadresomzetting is gebruikt.
- Het IP-adres dat door het tussenliggende apparaat wordt gebruikt voor communicatie met de bestemming.

Voorbeeld: 4.3.2.1
SrcNatPortNumber Optioneel Geheel getal Indien gerapporteerd door een tussenliggend NAT-apparaat, wordt de poort die door het NAT-apparaat wordt gebruikt voor communicatie met de bestemming.

Voorbeeld: 345
DvcInboundInterface Optioneel String Als dit wordt gerapporteerd door een tussenliggend apparaat, wordt de netwerkinterface die door het NAT-apparaat wordt gebruikt voor de verbinding met het bronapparaat.

Voorbeeld: eth0
DvcOutboundInterface Optioneel String Indien gerapporteerd door een tussenliggend apparaat, wordt de netwerkinterface die door het NAT-apparaat wordt gebruikt voor de verbinding met het doelapparaat.

Voorbeeld: Ethernet adapter Ethernet 4e

Inspectievelden

De volgende velden worden gebruikt om aan te geven dat een beveiligingsapparaat, zoals een firewall, een IPS of een webbeveiligingsgateway, wordt uitgevoerd:

Veld Klasse Type Omschrijving
NetworkRuleName Optioneel String De naam of id van de regel waarop DvcAction is besloten.

Voorbeeld: AnyAnyDrop
NetworkRuleNumber Optioneel Geheel getal Het nummer van de regel waarop DvcAction is besloten.

Voorbeeld: 23
Regel Alias String De waarde van NetworkRuleName of de waarde van NetworkRuleNumber. Als de waarde van NetworkRuleNumber wordt gebruikt, moet het type worden geconverteerd naar tekenreeks.
ThreatId Optioneel String De id van de bedreiging of malware die is geïdentificeerd in de netwerksessie.

Voorbeeld: Tr.124
ThreatName Optioneel String De naam van de bedreiging of malware die is geïdentificeerd in de netwerksessie.

Voorbeeld: EICAR Test File
ThreatCategory Optioneel String De categorie van de bedreiging of malware die is geïdentificeerd in de netwerksessie.

Voorbeeld: Trojan
ThreatRiskLevel Optioneel Geheel getal Het risiconiveau dat aan de sessie is gekoppeld. Het niveau moet een getal tussen 0 en 100 zijn.

Opmerking: De waarde kan worden opgegeven in de bronrecord met behulp van een andere schaal, die moet worden genormaliseerd voor deze schaal. De oorspronkelijke waarde moet worden opgeslagen in ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel Optioneel String Het risiconiveau zoals gerapporteerd door het rapportageapparaat.
ThreatIpAddr Optioneel IP-adres Een IP-adres waarvoor een bedreiging is geïdentificeerd. Het veld ThreatField bevat de naam van het veld ThreatIpAddr .
ThreatField Voorwaardelijk Enumerated Het veld waarvoor een bedreiging is geïdentificeerd. De waarde is ofwel SrcIpAddrDstIpAddr.
ThreatConfidence Optioneel Geheel getal Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd tot een waarde tussen 0 en 100.
ThreatOriginalConfidence Optioneel String Het oorspronkelijke betrouwbaarheidsniveau van de geïdentificeerde bedreiging, zoals gerapporteerd door het rapportageapparaat.
ThreatIsActive Optioneel Booleaanse waarde Waar als de geïdentificeerde bedreiging wordt beschouwd als een actieve bedreiging.
ThreatFirstReportedTime Optioneel datum/tijd De eerste keer dat het IP-adres of domein als een bedreiging is geïdentificeerd.
ThreatLastReportedTime Optioneel datum/tijd De laatste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging.

Andere velden

Als de gebeurtenis wordt gerapporteerd door een van de eindpunten van de netwerksessie, kan deze informatie bevatten over het proces dat de sessie heeft gestart of beëindigd. In dergelijke gevallen wordt het ASIM-gebeurtenisschema gebruikt om deze informatie te normaliseren.

Schema-updates

Hier volgen de wijzigingen in versie 0.2.1 van het schema:

  • Toegevoegd Src en Dst als aliassen aan een toonaangevende id voor de bron- en doelsystemen.
  • De velden NetworkConnectionHistory, , , DstVlanIden InnerVlanIdOuterVlanIdSrcVlanId.

Hier volgen de wijzigingen in versie 0.2.2 van het schema:

  • Toegevoegd Remote en Local aliassen.
  • Het gebeurtenistype EndpointNetworkSessionis toegevoegd.
  • Gedefinieerd Hostname en IpAddr als aliassen voor RemoteHostname en LocalIpAddr respectievelijk wanneer het gebeurtenistype is EndpointNetworkSession.
  • Gedefinieerd DvcInterface als een alias voor DvcInboundInterface of DvcOutboundInterface.
  • Het type van de volgende velden gewijzigd van Geheel getal in Lang: SrcBytes, , DstBytesNetworkBytes, SrcPackets, , DstPacketsen NetworkPackets.
  • De velden NetworkProtocolVersion, SrcSubscriptionIden DstSubscriptionId.
  • DstUserDomain Afgeschaft en SrcUserDomain.

Hier volgen de wijzigingen in versie 0.2.3 van het schema:

  • ipaddr_has_any_prefix De filterparameter is toegevoegd.
  • De hostname_has_any filterparameter komt nu overeen met bron- of doelhostnamen.
  • De velden ASimMatchingHostname en ASimMatchingIpAddr.

Hier volgen de wijzigingen in versie 0.2.4 van het schema:

  • TcpFlags De velden zijn toegevoegd.
  • Bijgewerkt NetworkIcpmType en NetworkIcmpCode om de getalwaarde voor beide weer te geven.
  • Extra inspectievelden toegevoegd.
  • De naam van het veld ThreatRiskLevelOriginal is gewijzigd in ThreatOriginalRiskLevel overeenstemming met ASIM-conventies. Bestaande Microsoft-parsers blijven behouden ThreatRiskLevelOriginal tot 1 mei 2023.
  • Gemarkeerd EventResultDetails als aanbevolen en de toegestane waarden opgegeven.

Hier volgen de wijzigingen in versie 0.2.5 van het schema:

  • De velden DstUserScope, SrcUserScope, , SrcDvcScopeId, SrcDvcScope, DstDvcScopeId, , DstDvcScope, en DvcScopeId.DvcScope

Hier volgen de wijzigingen in versie 0.2.6 van het schema:

  • Id's toegevoegd als gebeurtenistype

Volgende stappen

Zie voor meer informatie: