Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Schemat normalizacji sieci służy do opisywania zgłoszonych zdarzeń sieciowych i jest używany przez Microsoft Sentinel w celu umożliwienia ujednolicenia analizy.
Aby uzyskać więcej informacji, zobacz Normalization and the Advanced Security Information Model (ASIM) (Normalizacja i zaawansowany model informacji o zabezpieczeniach (ASIM).
Ważna
Ten artykuł dotyczy wersji 0.1 schematu normalizacji sieci, który został wydany jako wersja zapoznawcza przed udostępnieniem karty ASIM. Wersja 0.2.x schematu normalizacji sieci jest zgodna z usługą ASIM i zapewnia inne ulepszenia.
Aby uzyskać więcej informacji, zobacz Różnice między wersjami schematu normalizacji sieci
Terminologia
W schematach Microsoft Sentinel jest używana następująca terminologia:
| Okres | Definicja |
|---|---|
| Urządzenie raportowania | System wysyłający rekordy do Microsoft Sentinel. Może to nie być system podmiotu rekordu. |
| Rekord | Jednostka danych wysyłana z urządzenia raportowania. Ta jednostka danych jest często określana jako log, eventlub alert, ale może mieć również inne typy. |
Typy i formaty danych
Poniższa tabela zawiera wskazówki dotyczące normalizacji wartości danych, które są wymagane w przypadku znormalizowanych pól i zalecane dla innych pól.
| Typ danych | Typ fizyczny | Format i wartość |
|---|---|---|
| Data/godzina | Jedna z następujących wartości, w zależności od używanej możliwości metody pozyskiwania, ma malejący priorytet:
|
Reprezentacja daty/godziny usługi Log Analytics. Reprezentacja daty i godziny usługi Log Analytics ma podobny charakter, ale różni się od reprezentacji czasu unix. Zapoznaj się z tymi wytycznymi dotyczącymi konwersji. Data i godzina muszą być dostosowane dla stref czasowych. |
| Adres MAC | Ciąg | notacja Colon-Hexadecimal |
| IP Address (Adres IP) | Adres IP | Schemat nie ma oddzielnych adresów IPv4 i IPv6. Każde pole adresu IP może zawierać adres IPv4 lub adres IPv6:
|
| Użytkownik | Ciąg | Dostępne są następujące 3 pola użytkownika:
|
| Identyfikator użytkownika | Ciąg | Obecnie obsługiwane są następujące 2 identyfikatory użytkowników:
|
| Urządzenie | Ciąg | Obsługiwane są następujące 3 kolumny urządzenia/hosta:
|
| Kraj | Ciąg | Ciąg korzystający z iso 3166-1, zgodnie z następującymi priorytetami:
|
| Region | Ciąg | Nazwa podziału kraju/regionu przy użyciu iso 3166-2 |
| Miasto | Ciąg | |
| Długość geograficzna | Podwójne | Reprezentacja współrzędnych ISO 6709 (podpisana liczba dziesiętna) |
| Szerokość geograficzna | Podwójne | Reprezentacja współrzędnych ISO 6709 (podpisana liczba dziesiętna) |
| Algorytm skrótu | Ciąg | Obsługiwane są następujące 4 kolumny skrótów:
|
| Typ pliku | Ciąg | Typ pliku:
|
Schemat tabeli sesji sieciowych
Poniżej znajduje się schemat tabeli sesji sieciowych w wersji 1.0.0
| Nazwa pola | Typ wartości | Przykład | Opis | Skojarzone jednostki OSSEM |
|---|---|---|---|---|
| EventType | Ciąg | Ruchu | Typ zbieranego zdarzenia | Zdarzenie |
| EventSubType | Ciąg | Uwierzytelnianie | Dodatkowy opis typu, jeśli ma zastosowanie | Zdarzenie |
| EventCount | Liczba całkowita | 10 | Liczba zagregowanych zdarzeń, jeśli ma to zastosowanie. | Zdarzenie |
| EventEndTime | Data/godzina | Zobacz "typy danych" | Czas zakończenia zdarzenia | Zdarzenie |
| EventMessage | ciąg | odmowa dostępu | Ogólny komunikat lub opis dołączony do rekordu lub wygenerowany na podstawie rekordu | Zdarzenie |
| DvcIpAddr | Adres IP | 23.21.23.34 | Adres IP urządzenia generującego rekord | Urządzenia Adres IP |
| DvcMacAddr | Ciąg | 06:10:9f:eb:8f:14 | Adres MAC interfejsu sieciowego urządzenia raportowania, z którego zostało wysłane zdarzenie. | Urządzenia Mac |
| DvcHostname | Nazwa urządzenia (ciąg) | syslogserver1.contoso.com | Nazwa urządzenia generującego komunikat. | Urządzenie |
| EventProduct | Ciąg | OfficeSharepoint | Produkt generujący zdarzenie. | Zdarzenie |
| EventProductVersion | ciąg | 9.0 | Wersja produktu generującego zdarzenie. | Zdarzenie |
| EventResourceId | Identyfikator urządzenia (ciąg) | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeee4e4e4e4ee /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | Identyfikator zasobu urządzenia generującego komunikat. | Zdarzenie |
| EventReportUrl | Ciąg | https://192.168.1.1/repoerts/ae3-56.htm | Link do pełnego raportu utworzonego przez urządzenie raportowania | Zdarzenie |
| EventVendor | Ciąg | Microsoft | Dostawca produktu generującego zdarzenie. | Zdarzenie |
| EventResult | Wiele wartości: powodzenie, częściowe, niepowodzenie, [puste] (ciąg) | Sukces | Wynik zgłoszony dla działania. Pusta wartość, jeśli nie ma zastosowania. | Zdarzenie |
| EventResultDetails | Ciąg | Nieprawidłowe hasło | Przyczyna lub szczegóły wyniku zgłoszonego w elem. EventResult | Zdarzenie |
| EventSchemaVersion | Prawdziwe | 0.1 | Microsoft Sentinel wersji schematu. Obecnie 0.1. | Zdarzenie |
| EventSeverity | Ciąg | Niskie | Jeśli zgłoszone działanie ma wpływ na bezpieczeństwo, oznacza ważność wpływu. | Zdarzenie |
| EventOriginalUid | Ciąg | af6ae8fe-ff43-4a4c-b537-8635976a2b51 | Identyfikator rekordu z urządzenia raportowania. | Zdarzenie |
| EventStartTime | Data/godzina | Zobacz "typy danych" | Czas, w którym określono zdarzenie | Zdarzenie |
| TimeGenerated | Data/godzina | Zobacz "typy danych" | Czas wystąpienia zdarzenia zgłoszony przez źródło raportowania. | Pole niestandardowe |
| EventTimeIngested | Data/godzina | Zobacz "typy danych" | Czas pozyskiwania zdarzenia do Microsoft Sentinel. Zostanie dodany przez Microsoft Sentinel. | Zdarzenie |
| EventUid | Identyfikator GUID (ciąg) | 516a64e3-8360-4f1e-a67c-d96b3d52df54 | Unikatowy identyfikator używany przez Microsoft Sentinel do oznaczania wiersza. | Zdarzenie |
| NetworkApplicationProtocol | Ciąg | HTTPS | Protokół warstwy aplikacji używany przez połączenie lub sesję. | Sieci |
| DstBytes | Int | 32455 | Liczba bajtów wysłanych z miejsca docelowego do źródła dla połączenia lub sesji. | Destination (Miejsce docelowe) |
| SrcBytes | Int | 46536 | Liczba bajtów wysłanych ze źródła do miejsca docelowego dla połączenia lub sesji. | Źródło |
| Liczba bajtów sieci | Int | 78991 | Liczba bajtów wysłanych w obu kierunkach. Jeśli istnieją zarówno BajtyReceived, jak i BytesSent, wartość BytesTotal powinna być równa ich sumie. | Sieci |
| NetworkDirection | Wiele wartości: przychodzące, wychodzące (ciąg) | Przychodzących | Kierunek połączenia lub sesji do lub z organizacji. | Sieci |
| DstGeoCity | Ciąg | Burlington | Miasto skojarzone z docelowym adresem IP | Docelowy Geo |
| DstGeoCountry | Kraj (ciąg) | Stany Zjednoczone | Kraj/region skojarzony ze źródłowym adresem IP | Docelowy Geo |
| DstDvcHostname | Nazwa urządzenia (ciąg) | victim_pc | Nazwa urządzenia docelowego | Destination (Miejsce docelowe) Urządzenie |
| DstDvcFqdn | Ciąg | victim_pc.contoso.local | W pełni kwalifikowana nazwa domeny hosta, na którym utworzono dziennik | Docelowy Urządzenie |
| DstDomainHostname | ciąg | CONTOSO | Domena miejsca docelowego, domena hosta docelowego (witryna internetowa, nazwa domeny itp.), na przykład odnośniki DNS lub odnośniki NS | Destination (Miejsce docelowe) |
| DstInterfaceName | ciąg | karta sieciowa Microsoft Hyper-V | Interfejs sieciowy używany do połączenia lub sesji przez urządzenie docelowe. | Destination (Miejsce docelowe) |
| DstInterfaceGuid | ciąg | 2BB33827-6BB6-48DB-8DE6-DB9E0B9F9C9B | Identyfikator GUID interfejsu sieciowego, który był używany na potrzeby żądania uwierzytelniania | Destination (Miejsce docelowe) |
| DstIpAddr | Adres IP | 2001:db8::ff00:42:8329 | Adres IP miejsca docelowego połączenia lub sesji, najczęściej określany jako docelowy adres IP w pakietie sieciowym | Docelowy Adres IP |
| DstDvcIpAddr | Adres IP | 75.22.12.2 | Docelowy adres IP urządzenia, które nie jest bezpośrednio skojarzone z pakietem sieciowym | Docelowy Urządzenia Adres IP |
| DstGeoLatitude | Szerokość geograficzna (podwójna) | 44.475833 | Szerokość geograficzna współrzędnej skojarzonej z docelowym adresem IP | Docelowy Geo |
| DstMacAddr | Ciąg | 06:10:9f:eb:8f:14 | Adres MAC interfejsu sieciowego, na którym przerwano połączenie lub sesję, najczęściej odwołuje się do docelowego komputera MAC w pakietie sieciowym | Docelowy Komputerze mac |
| DstDvcMacAddr | Ciąg | 06:10:9f:eb:8f:14 | Docelowy adres MAC urządzenia, które nie jest bezpośrednio skojarzone z pakietem sieciowym. | Docelowy Urządzenia Komputerze mac |
| DstDvcDomain | Ciąg | CONTOSO | Domena urządzenia docelowego. | Docelowy Urządzenie |
| DstPortNumber | Liczba całkowita | 443 | Docelowy port IP. | Docelowy Port |
| DstGeoRegion | Region (ciąg) | Vermont | Region skojarzony z docelowym adresem IP | Docelowy Geo |
| DstResourceId | Identyfikator urządzenia (ciąg) | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /victim | Identyfikator zasobu urządzenia docelowego. | Destination (Miejsce docelowe) |
| DstNatIpAddr | Adres IP | 2::1 | W przypadku zgłoszenia przez pośredniczące urządzenie NAT, takie jak zapora, adres IP używany przez urządzenie NAT do komunikacji ze źródłem. | Docelowy translator adresów adresów ip, Adres IP |
| DstNatPortNumber | Int | 443 | W przypadku zgłoszenia przez pośredniczące urządzenie NAT, takie jak zapora, port używany przez urządzenie NAT do komunikacji ze źródłem. | Docelowy translator adresów adresów ip, Port |
| DstUserSid | Identyfikator SID użytkownika | S-12-1445 | Identyfikator użytkownika tożsamości skojarzonej z miejscem docelowym sesji. Zazwyczaj tożsamość używana do uwierzytelniania serwera. Aby uzyskać więcej informacji, zobacz Typy i formaty danych. | Docelowy Użytkownik |
| DstUserAadId | Ciąg (guid) | ae92b0b4-cfba-4b42-85a0-fbd862f4df54 | Identyfikator obiektu konta Microsoft Entra użytkownika na końcu sesji docelowej | Docelowy Użytkownik |
| DstUserName | Nazwa użytkownika (ciąg) | jand | Nazwa użytkownika tożsamości skojarzonej z miejscem docelowym sesji. | Docelowy Użytkownik |
| DstUserUpn | ciąg | johnd@anon.com | Nazwa UPN tożsamości skojarzonej z miejscem docelowym sesji. | Docelowy Użytkownik |
| DstUserDomain | ciąg | GRUPY ROBOCZEJ | Nazwa domeny lub komputera konta w miejscu docelowym sesji | Docelowy Użytkownik |
| Strefa DstZone | Ciąg | Dmz | Strefa sieciowa miejsca docelowego zdefiniowana przez urządzenie raportowania. | Destination (Miejsce docelowe) |
| DstGeoLongitude | Długość geograficzna (podwójna) | -73.211944 | Długość geograficzna współrzędnej skojarzonej z docelowym adresem IP | Docelowy Geo |
| DvcAction | Wiele wartości: Zezwalaj, Odmów, Upuść (ciąg) | Zezwalaj | W przypadku zgłoszenia przez urządzenie pośredniczące, takie jak zapora, akcja podjęta przez urządzenie. | Urządzenie |
| DvcInboundInterface | Ciąg | eth0 | W przypadku zgłoszenia przez urządzenie pośredniczące, takie jak zapora, interfejs sieciowy używany przez niego do połączenia z urządzeniem źródłowym. | Urządzenie |
| DvcOutboundInterface | Ciąg | Karta Ethernet Ethernet 4 | W przypadku zgłoszenia przez urządzenie pośredniczące, takie jak zapora, interfejs sieciowy używany przez niego do połączenia z urządzeniem docelowym. | Urządzenie |
| NetworkDuration | Liczba całkowita | 1500 | Ilość czasu w milisekundach na ukończenie sesji sieciowej lub połączenia | Sieci |
| NetworkIcmpCode | Liczba całkowita | 34 | W przypadku komunikatu ICMP komunikat ICMP wpisz wartość liczbową (RFC 2780 lub RFC 4443). | Sieci |
| NetworkIcmpType | Ciąg | Miejsce docelowe nieosiągalne | W przypadku komunikatu ICMP komunikat ICMP wpisz reprezentację tekstową (RFC 2780 lub RFC 4443). | Sieci |
| Pakiety DstPacket | Int | 446 | Liczba pakietów wysłanych z miejsca docelowego do źródła dla połączenia lub sesji. Znaczenie pakietu jest definiowane przez urządzenie raportowania. | Destination (Miejsce docelowe) |
| Pakiety SrcPacket | Int | 6478 | Liczba pakietów wysłanych ze źródła do miejsca docelowego dla połączenia lub sesji. Znaczenie pakietu jest definiowane przez urządzenie raportowania. | Źródło |
| Pakiety sieciowe | Int | 0 | Liczba pakietów wysłanych w obu kierunkach. Jeśli istnieją zarówno PacketsReceived, jak i PacketsSent, wartość BytesTotal powinna być równa ich sumie. | Sieci |
| HttpRequestTime | Liczba całkowita | 700 | Czas, jaki zajęło wysłanie żądania na serwer, jeśli ma to zastosowanie. | Http |
| HttpResponseTime | Liczba całkowita | 800 | Ilość czasu, jaki zajęło otrzymanie odpowiedzi na serwerze, jeśli ma to zastosowanie. | Http |
| NetworkRuleName | Ciąg | AnyAnyDrop | Nazwa lub identyfikator reguły, na podstawie której podjęto decyzję dotyczącą akcji DeviceAction | Sieci |
| NetworkRuleNumber | Int | 23 | Dopasowany numer reguły | Sieci |
| NetworkSessionId | ciąg | 172_12_53_32_4322__123_64_207_1_80 | Identyfikator sesji zgłoszony przez urządzenie raportowania. Na przykład identyfikator sesji L7 dla określonych aplikacji po uwierzytelnieniu | Sieci |
| SrcGeoCity | Ciąg | Burlington | Miasto skojarzone ze źródłowym adresem IP | Źródła Geo |
| SrcGeoCountry | Kraj (ciąg) | Stany Zjednoczone | Kraj/region skojarzony ze źródłowym adresem IP | Źródła Geo |
| SrcDvcHostname | Nazwa urządzenia (ciąg) | Villain | Nazwa urządzenia źródłowego | Źródła Urządzenie |
| SrcDvcFqdn | ciąg | Villain.malicious.com | W pełni kwalifikowana nazwa domeny hosta, na którym utworzono dziennik | Źródła Urządzenie |
| SrcDvcDomain | ciąg | EVILORG | Domena urządzenia, z którego zainicjowano sesję | Źródła Urządzenie |
| SrcDvcOs | Ciąg | iOS | System operacyjny urządzenia źródłowego | Źródła Urządzenie |
| SrcDvcModelName | Ciąg | Samsung Galaxy Note | Nazwa modelu urządzenia źródłowego | Źródła Urządzenie |
| SrcDvcModelNumber | Ciąg | 10.0 | Numer modelu urządzenia źródłowego | Źródła Urządzenie |
| SrcDvcType | Ciąg | Mobile | Typ urządzenia źródłowego | Źródła Urządzenie |
| SrcInterfaceName | Ciąg | eth01 | Interfejs sieciowy używany do połączenia lub sesji przez urządzenie źródłowe. | Źródło |
| SrcInterfaceGuid | Ciąg | 46ad544b-eaf0-47ef-827c-266030f545a6 | Identyfikator GUID używanego interfejsu sieciowego | Źródło |
| SrcIpAddr | Adres IP | 77.138.103.108 | Adres IP, z którego pochodzi połączenie lub sesja. | Źródła Adres IP |
| SrcDvcIpAddr | Adres IP | 77.138.103.108 | Źródłowy adres IP urządzenia, które nie jest bezpośrednio skojarzone z pakietem sieciowym (zbieranym przez dostawcę lub jawnie obliczonym). | Źródła Urządzenia Adres IP |
| SrcGeoLatitude | Szerokość geograficzna (podwójna) | 44.475833 | Szerokość geograficzna współrzędnej skojarzonej ze źródłowym adresem IP | Źródła Geo |
| SrcGeoLongitude | Długość geograficzna (podwójna) | -73.211944 | Długość geograficzna współrzędnej skojarzonej ze źródłowym adresem IP | Źródła Geo |
| SrcMacAddr | Ciąg | 06:10:9f:eb:8f:14 | Adres MAC interfejsu sieciowego, z którego pochodzi połączenie od sesji. | Źródła Mac |
| SrcDvcMacAddr | Ciąg | 06:10:9f:eb:8f:14 | Źródłowy adres MAC urządzenia, które nie jest bezpośrednio skojarzone z pakietem sieciowym. | Źródła Urządzenia Mac |
| SrcPortNumber | Liczba całkowita | 2335 | Port IP, z którego pochodzi połączenie. Może nie być istotne dla sesji obejmującej wiele połączeń. | Źródła Port |
| SrcGeoRegion | Region (ciąg) | Vermont | Region w kraju/regionie skojarzony ze źródłowym adresem IP | Źródła Geo |
| SrcResourceId | Ciąg | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeee4e4e4e4ee /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | Identyfikator zasobu urządzenia generującego komunikat. | Źródło |
| SrcNatIpAddr | Adres IP | 4.3.2.1 | W przypadku zgłoszenia przez pośredniczące urządzenie NAT, takie jak zapora, adres IP używany przez urządzenie NAT do komunikacji z miejscem docelowym. | Źródłowy translator adresów adresowych, Adres IP |
| SrcNatPortNumber | Liczba całkowita | 345 | W przypadku zgłoszenia przez pośredniczące urządzenie NAT, takie jak zapora, port używany przez urządzenie NAT do komunikacji z miejscem docelowym. | Źródłowy translator adresów adresowych, Port |
| SrcUserSid | Identyfikator użytkownika (ciąg) | S-15-1445 | Identyfikator użytkownika tożsamości skojarzonej ze źródłem sesji. Zazwyczaj użytkownik wykonuje akcję na kliencie. Aby uzyskać więcej informacji, zobacz Typy i formaty danych. | Źródła Użytkownik |
| SrcUserAadId | Ciąg (guid) | 16c8752c-7dd2-4cad-9e03-fb5d1cee5477 | Identyfikator obiektu konta Microsoft Entra użytkownika na końcu źródłowym sesji | Źródła Użytkownik |
| SrcUserName | Nazwa użytkownika (ciąg) | Bob | Nazwa użytkownika tożsamości skojarzonej ze źródłem sesji. Zazwyczaj użytkownik wykonuje akcję na kliencie. Aby uzyskać więcej informacji, zobacz Typy i formaty danych. | Źródło Użytkownik |
| SrcUserUpn | ciąg | bob@alice.com | Nazwa UPN konta inicjującego sesję | Źródła Użytkownik |
| SrcUserDomain | ciąg | PULPITU | Domena konta inicjującego sesję | Źródła Użytkownik |
| SrcZone | Ciąg | Zawartość | Strefa sieciowa źródła zdefiniowana przez urządzenie raportowania. | Źródło |
| Networkprotocol | Ciąg | TCP | Protokół IP używany przez połączenie lub sesję. Zazwyczaj TCP, UDP lub ICMP | Sieci |
| CloudAppName | Ciąg | Nazwa aplikacji docelowej dla aplikacji HTTP identyfikowana przez serwer proxy. | Chmura | |
| CloudAppId | Ciąg | 124 | Identyfikator aplikacji docelowej dla aplikacji HTTP zidentyfikowany przez serwer proxy. Ta wartość jest zazwyczaj specyficzna dla używanego serwera proxy. | Chmura |
| CloudAppOperation | Ciąg | Deletefile | Operacja wykonywana przez użytkownika w kontekście aplikacji docelowej dla aplikacji HTTP określona przez serwer proxy. Ta wartość jest zazwyczaj specyficzna dla używanego serwera proxy. | Chmura |
| CloudAppRiskLevel | Ciąg | 3 | Poziom ryzyka skojarzony z aplikacją HTTP zidentyfikowany przez serwer proxy. Ta wartość jest zazwyczaj specyficzna dla używanego serwera proxy. | Chmura |
| Pod nazwą | Ciąg | ImNotMalicious.exe | Nazwa pliku przesyłana za pośrednictwem połączeń sieciowych dla protokołów, takich jak FTP i HTTP, które zawierają informacje o nazwie pliku. | Plik |
| Filepath | Ciąg | C:\Malicious\ImNotMalicious.exe | Pełna ścieżka pliku, w tym nazwa pliku | Plik |
| FileHashMd5 | Ciąg | 51BC68715FC7C109DCEA406B42D9D78F | Wartość skrótu MD5 pliku przesyłanego za pośrednictwem połączeń sieciowych dla protokołów. | Plik |
| FileHashSha1 | Ciąg | 491AE3... C299821476F4 | Wartość skrótu SHA1 pliku przesyłanego za pośrednictwem połączeń sieciowych dla protokołów. | Plik |
| FileHashSha256 | Ciąg | 9B8F8EDB... C129976F03 | Wartość skrótu SHA256 pliku przesyłanego za pośrednictwem połączeń sieciowych dla protokołów. | Plik |
| FileHashSha512 | Ciąg | 5E127D... F69F73F01F361 | Wartość skrótu SHA512 pliku przesyłanego za pośrednictwem połączeń sieciowych dla protokołów. | Plik |
| Rozszerzenie pliku | Ciąg | Exe | Typ pliku przesyłanego za pośrednictwem połączeń sieciowych dla protokołów, takich jak FTP i HTTP. | Plik |
| FileMimeType | Ciąg | application/msword | Typ MIME pliku przesyłanego za pośrednictwem połączeń sieciowych dla protokołów takich jak FTP i HTTP | Plik |
| Rozmiar pliku | Liczba całkowita | 23500 | Rozmiar pliku w bajtach pliku przesyłanego za pośrednictwem połączeń sieciowych dla protokołów. | Plik |
| HttpVersion | Ciąg | 2.0 | Wersja żądania HTTP dla połączeń sieciowych HTTP/HTTPS. | Http |
| HttpRequestMethod | Ciąg | POBIERZ | Metoda HTTP dla sesji sieci HTTP/HTTPS. | Http |
| HttpStatusCode | Ciąg | 404 | Kod stanu HTTP dla sesji sieci HTTP/HTTPS. | Http |
| HttpContentType | Ciąg | multipart/form-data; boundary=coś | Nagłówek typu zawartości odpowiedzi HTTP dla sesji sieciowych HTTP/HTTPS. | Http |
| HttpReferrerOriginal | Ciąg | https://developer.mozilla.org/en-US/docs/Web/JavaScript | Nagłówek odwołań HTTP dla sesji sieciowych HTTP/HTTPS. | Http |
| HttpUserAgentOriginal | Ciąg | Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, jak Gecko) Chrome/83.0.4103.97 Safari/537.36 | Nagłówek agenta użytkownika HTTP dla sesji sieci HTTP/HTTPS. | Http |
| HttpRequestXff | Ciąg | 120.12.41.1 | Nagłówek HTTP X-Forwarded-For dla sesji sieciowych HTTP/HTTPS. | Http |
| UrlCategory | Ciąg | Wyszukiwarek | Zdefiniowane grupowanie adresu URL, prawdopodobnie na podstawie domeny w adresie URL, związane z zawartością. Na przykład: dla dorosłych, wiadomości, reklamy, zaparkowane domeny itd.) | Adres url |
| UrlOriginal | Ciąg | https:// contoso.com/fo/?k=v&q=u#f | Adres URL żądania HTTP dla sesji sieci HTTP/HTTPS. | Adres url |
| UrlHostname | Ciąg | contoso.com | Część domeny adresu URL żądania HTTP dla sesji sieciowych HTTP/HTTPS. | Adres url |
| ThreatCategory | Ciąg | Trojan | Kategoria zagrożenia zidentyfikowanego przez system zabezpieczeń, taki jak brama zabezpieczeń sieci Web usługi IPS, i jest skojarzona z tą sesją sieciową. | Zagrożenie |
| ThreatId | Ciąg | Tr.124 | Identyfikator zagrożenia zidentyfikowanego przez system zabezpieczeń, taki jak brama zabezpieczeń sieci Web usługi IPS, i jest skojarzony z tą sesją sieciową. | Zagrożenie |
| ThreatName | Ciąg | Plik testowy EICAR | Nazwa zidentyfikowanego zagrożenia lub złośliwego oprogramowania | Zagrożenie |
| Pola dodatkowe | Dynamiczny (torba JSON) | { Właściwość1: "val1", Właściwość2: "val2" } |
Jeśli żadna kolumna w schemacie nie jest zgodna, inne pola mogą być przechowywane w torbie JSON. W przypadku analizowania czasu wykonywania zapytań zalecamy promowanie dodatkowych kolumn zamiast używania torby JSON, ponieważ pakowanie danych do kodu JSON obniży wydajność zapytań. |
Pole niestandardowe |
Różnice między wersją 0.1 i wersją 0.2
Oryginalna wersja schematu normalizacji sesji sieci Microsoft Sentinel, wersja 0.1, została wydana jako wersja zapoznawcza przed udostępnieniem karty ASIM.
Różnice między wersją 0.1 udokumentowaną w tym artykule i wersją 0.2.x obejmują:
- W wersji 0.2 nazwy analizatora ujednolicenia i specyficzne dla źródła zostały zmienione, aby były zgodne ze standardową konwencją nazewnictwa ASIM.
- Wersja 0.2 dodaje konkretne wytyczne i analizatory ujednolicenia w celu uwzględnienia określonych typów urządzeń.
W poniższych sekcjach opisano różnice w wersji 0.2.x dla określonych pól.
Dodano pola w wersji 0.2
Następujące pola zostały dodane w wersji 0.2.x i nie istnieją w wersji 0.1:
- DstAppType
- DstDeviceType
- DstDomainType
- DstDvcId
- DstDvcIdType
- DstOriginalUserType
- DstUserIdType
- DstUsernameType
- DstUserType
- DvcActionOriginal
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcIdType
- EventOriginalSeverity
- EventOriginalType
- SrcAppId
- SrcAppName
- SrcAppType
- SrcDeviceType
- SrcDomainType
- Identyfikator SrcDvcId
- SrcDvcIdType
- SrcOriginalUserType
- SrcUserIdType
- SrcUsernameType
- SrcUserType
- ThreatRiskLevelOriginal
- Adres url
Nowo aliasowane pola w wersji 0.2
Następujące pola są teraz aliasowane w wersji 0.2.x wraz z wprowadzeniem karty ASIM:
| Pole w wersji 0.1 | Alias w wersji 0.2 |
|---|---|
| Sessionid | NetworkSessionId |
| Długość | NetworkDuration |
| IpAddr | SrcIpAddr |
| Użytkownik | DstUsername |
| Nazwa hosta | DstHostname |
| UserAgent | HttpUserAgent |
Zmodyfikowane pola w wersji 0.2
Poniższe pola są wyliczone w wersji 0.2.x i wymagają określonej wartości z podanej listy.
- EventType
- EventResultDetails
- EventSeverity
Zmieniono nazwy pól w wersji 0.2
Następujące pola zostały zmienione w wersji 0.2.x:
W wersji 0.2 użyj wbudowanych pól usługi Log Analytics:
Należy pamiętać, że
ingestion_time()jest to funkcja KQL, a nie nazwa pola.Pole w wersji 0.1 Zmieniono nazwę w wersji 0.2 EventResourceId _Resourceid EventUid _Itemid EventTimeIngested ingestion_time() Zmieniono nazwę, aby dostosować się do ulepszeń w usługach ASIM i OSSEM:
Pole w wersji 0.1 Zmieniono nazwę w wersji 0.2 HttpReferrerOriginal HttpReferrer HttpUserAgentOriginal HttpUserAgent Zmieniono nazwę, aby odzwierciedlić, że miejsce docelowe sesji sieciowej nie musi być usługą w chmurze:
Pole w wersji 0.1 Zmieniono nazwę w wersji 0.2 CloudAppId DstAppId CloudAppName DstAppName CloudAppRiskLevel ThreatRiskLevel Zmieniono nazwę, aby zmienić przypadek i dostosować go do obsługi ASIM jednostki użytkownika:
Pole w wersji 0.1 Zmieniono nazwę w wersji 0.2 DstUserName DstUsername SrcUserName SrcUsername Zmieniono nazwę, aby lepiej dopasować jednostkę urządzenia ASIM i zezwolić na identyfikatory zasobów inne niż Azure:
Pole w wersji 0.1 Zmieniono nazwę w wersji 0.2 DstResourceId SrcDvcAzureResourceId SrcResourceId SrcDvcAzureResourceId Zmieniono nazwę, aby usunąć
Dvcciąg z nazw pól, ponieważ obsługa w wersji 0.1 była niespójna:Pole w wersji 0.1 Zmieniono nazwę w wersji 0.2 DstDvcDomain DstDomain DstDvcFqdn DstFqdn DstDvcHostname DstHostname SrcDvcDomain SrcDomain SrcDvcFqdn SrcFqdn SrcDvcHostname SrcHostname Zmieniono nazwę tak, aby była zgodna ze wskazówkami dotyczącymi reprezentacji plików ASIM:
Pole w wersji 0.1 Zmieniono nazwę w wersji 0.2 FileHashMd5 PlikMD5 FileHashSha1 FileSHA1 FileHashSha256 FileSHA256 FileHashSha512 FileSHA512 FileMimeType FileContentType
Usunięto pola w wersji 0.2
Następujące pola istnieją tylko w wersji 0.1 i zostały usunięte w wersji 0.2.x:
| Powodu | Usunięte pola |
|---|---|
Usunięto, ponieważ istnieją duplikaty, bez Dvc ciągu w nazwie pola |
- DstDvcIpAddr - DstDvcMacAddr - SrcDvcIpAddr - SrcDvcMacAddr |
| Usunięto w celu wyrównania obsługi adresów URL przez usługę ASIM | - UrlHostname |
|
Usunięte, ponieważ te pola zwykle nie są udostępniane w ramach zdarzeń sesji sieciowej. Jeśli zdarzenie zawiera te pola, użyj schematu zdarzenia procesu , aby zrozumieć sposób opisywania właściwości urządzenia. |
- SrcDvcOs - SrcDvcModelName - SrcDvcModelNumber - DvcMacAddr - DvcO |
| Usunięto w celu wyrównania ze wskazówkami dotyczącymi reprezentacji plików ASIM | -Filepath - FileExtension |
| Usunięte, ponieważ to pole wskazuje, że należy użyć innego schematu, takiego jak schemat uwierzytelniania. | — CloudAppOperation |
Usunięto w miarę duplikatów DstHostname |
- DstDomainHostname |
Zawartość pokrewna
- Normalizacja w Microsoft Sentinel
- Microsoft Sentinel dokumentacja schematu normalizacji uwierzytelniania (publiczna wersja zapoznawcza)
- Microsoft Sentinel dokumentacja schematu normalizacji zdarzeń pliku (publiczna wersja zapoznawcza)
- Microsoft Sentinel dokumentacja schematu normalizacji DNS
- dokumentacja schematu normalizacji zdarzeń procesu Microsoft Sentinel
- Microsoft Sentinel dokumentacja schematu normalizacji zdarzeń rejestru (publiczna wersja zapoznawcza)