Dokumentacja schematu normalizacji sesji sieciowej usługi Advanced Security Information Model (ASIM) (publiczna wersja zapoznawcza)

  • Artykuł

Schemat normalizacji sesji sieciowej usługi Microsoft Sentinel reprezentuje aktywność sieci IP, taką jak połączenia sieciowe i sesje sieciowe. Takie zdarzenia są zgłaszane, na przykład przez systemy operacyjne, routery, zapory i systemy zapobiegania włamaniom.

Schemat normalizacji sieci może reprezentować dowolny typ sesji sieci IP, ale ma na celu zapewnienie obsługi typowych typów źródłowych, takich jak Netflow, zapory i systemy zapobiegania włamaniom.

Aby uzyskać więcej informacji na temat normalizacji w usłudze Microsoft Sentinel, zobacz Normalizacja i Zaawansowany model informacji o zabezpieczeniach (ASIM).

W tym artykule opisano wersję 0.2.x schematu normalizacji sieci. Wersja 0.1 została wydana przed udostępnieniem karty ASIM i nie jest zgodna z kartą ASIM w kilku miejscach. Aby uzyskać więcej informacji, zobacz Różnice między wersjami schematu normalizacji sieci.

Ważne

Schemat normalizacji sieci jest obecnie w wersji zapoznawczej. Ta funkcja jest udostępniana bez umowy dotyczącej poziomu usług. Nie zalecamy obsługi obciążeń produkcyjnych.

Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Parsery

Aby uzyskać więcej informacji na temat analizatorów ASIM, zobacz omówienie analizatorów ASIM.

Ujednolicanie analizatorów

Aby użyć analizatorów, które ujednolicają wszystkie analizatory out-of-the-box ASIM i upewnij się, że analiza jest uruchamiana we wszystkich skonfigurowanych źródłach, użyj _Im_NetworkSession analizatora filtrowania lub _ASim_NetworkSession analizatora bez parametrów.

Można również użyć narzędzi do wdrażania ImNetworkSession i ASimNetworkSession analizowania obszarów roboczych, wdrażając je z repozytorium GitHub usługi Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz wbudowane analizatory ASIM i analizatory wdrożone w obszarze roboczym.

Gotowe do użycia analizatory specyficzne dla źródła

Aby uzyskać listę analizatorów sesji sieciowych, usługa Microsoft Sentinel udostępnia gotowe do użycia, zapoznaj się z listą analizatorów ASIM

Dodawanie własnych znormalizowanych analizatorów

Podczas tworzenia niestandardowych analizatorów dla modelu informacji o sesji sieciowej nazwij funkcje KQL przy użyciu następującej składni:

  • vimNetworkSession<vendor><Product> dla analizatorów sparametryzowanych
  • ASimNetworkSession<vendor><Product> dla zwykłych analizatorów

Zapoznaj się z artykułem Zarządzanie analizatorami ASIM, aby dowiedzieć się, jak dodać analizatory niestandardowe do sesji sieciowej jednoczące analizatory.

Parametry analizatora filtrowania

Analizatory sesji sieciowych obsługują parametry filtrowania. Chociaż te parametry są opcjonalne, mogą zwiększyć wydajność zapytań.

Dostępne są następujące parametry filtrowania:

Imię i nazwisko/nazwa Pisz Opis
Starttime Data i godzina Filtruj tylko sesje sieciowe, które rozpoczęły się o tej godzinie lub po tej godzinie.
Endtime Data i godzina Filtruj tylko sesje sieciowe, które zaczęły działać o lub wcześniej.
srcipaddr_has_any_prefix dynamiczna Filtruj tylko sesje sieciowe, dla których prefiks pola źródłowego adresu IP znajduje się w jednej z wymienionych wartości. Prefiksy powinny kończyć się elementem ., na przykład : 10.0.. Długość listy jest ograniczona do 10 000 elementów.
dstipaddr_has_any_prefix dynamiczna Filtruj tylko sesje sieciowe, dla których prefiks pola docelowego adresu IP znajduje się w jednej z wymienionych wartości. Prefiksy powinny kończyć się elementem ., na przykład : 10.0.. Długość listy jest ograniczona do 10 000 elementów.
ipaddr_has_any_prefix dynamiczna Filtruj tylko sesje sieciowe, dla których pole docelowego adresu IP lub źródłowy prefiks pola adresu IP znajduje się w jednej z wymienionych wartości. Prefiksy powinny kończyć się elementem ., na przykład : 10.0.. Długość listy jest ograniczona do 10 000 elementów.

Pole ASimMatchingIpAddr jest ustawione przy użyciu jednej z wartości SrcIpAddr, DstIpAddrlub Both odzwierciedla pasujących pól lub pól.
dstportnumber Int Filtruj tylko sesje sieciowe przy użyciu określonego numeru portu docelowego.
hostname_has_any dynamic/string Filtruj tylko sesje sieciowe, dla których pole nazwy hosta docelowego ma dowolną z wymienionych wartości. Długość listy jest ograniczona do 10 000 elementów.

Pole ASimMatchingHostname jest ustawione przy użyciu jednej z wartości SrcHostname, DstHostnamelub Both odzwierciedla pasujących pól lub pól.
dvcaction dynamic/string Filtruj tylko sesje sieciowe, dla których pole Akcja urządzenia jest dowolną z wymienionych wartości.
eventresult Ciąg Filtruj tylko sesje sieciowe z określoną wartością EventResult .

Niektóre parametry mogą akceptować zarówno listę wartości typu dynamic , jak i pojedynczego ciągu. Aby przekazać listę literałów do parametrów, które oczekują wartości dynamicznej, jawnie użyj literału dynamicznego. Na przykład: dynamic(['192.168.','10.']).

Aby na przykład filtrować tylko sesje sieciowe dla określonej listy nazw domen, użyj:

let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)

Napiwek

Aby przekazać listę literałów do parametrów, które oczekują wartości dynamicznej, jawnie użyj literału dynamicznego. Na przykład: dynamic(['192.168.','10.']).

Znormalizowana zawartość

Aby uzyskać pełną listę reguł analizy korzystających z znormalizowanych zdarzeń DNS, zobacz Zawartość zabezpieczeń sesji sieciowej.

Przegląd schematu

Model informacji o sesji sieciowej jest zgodny ze schematem jednostki sieciowej OSSEM Network.

Schemat sesji sieciowej obsługuje kilka typów podobnych, ale odrębnych scenariuszy, które współużytkują te same pola. Te scenariusze są identyfikowane przez pole EventType:

  • NetworkSession — sesja sieci zgłoszona przez pośrednie urządzenie monitorujące sieć, taką jak zapora, router lub naciśnięcie sieci.
  • L2NetworkSession — sesje sieciowe, dla których są dostępne tylko informacje o warstwie 2. Takie zdarzenia będą zawierać adresy MAC, ale nie adresy IP.
  • Flow — zagregowane zdarzenie, które zgłasza wiele podobnych sesji sieciowych, zwykle w wstępnie zdefiniowanym okresie, takim jak zdarzenia Netflow .
  • EndpointNetworkSession — sesja sieci zgłoszona przez jeden z punktów końcowych sesji, w tym klientów i serwerów. W przypadku takich zdarzeń schemat obsługuje pola aliasu remote i .local
  • IDS — sesja sieci zgłoszona jako podejrzana. Takie zdarzenie będzie miało wypełnione niektóre pola inspekcji i może zawierać tylko jedno pole adresu IP, czyli źródło lub miejsce docelowe.

Zazwyczaj zapytanie powinno wybrać tylko podzbiór tych typów zdarzeń i może wymagać oddzielnego, unikatowego aspektu przypadków użycia. Na przykład zdarzenia IDS nie odzwierciedlają całego woluminu sieciowego i nie powinny być uwzględniane w analizie opartej na kolumnach.

Zdarzenia sesji sieciowej używają deskryptorów Src i Dst określają role urządzeń i powiązanych użytkowników i aplikacji zaangażowanych w sesję. Na przykład źródłowa nazwa hosta urządzenia i adres IP mają nazwy SrcHostname i SrcIpAddr. Inne schematy ASIM zwykle używają Target zamiast Dst.

W przypadku zdarzeń zgłaszanych przez punkt końcowy i dla których typ zdarzenia to EndpointNetworkSession, deskryptorzy Local i Remote oznaczają sam punkt końcowy oraz urządzenie na drugim końcu sesji sieciowej.

Deskryptor Dvc jest używany dla urządzenia raportowania, czyli systemu lokalnego dla sesji zgłoszonych przez punkt końcowy, oraz pośredniczącego urządzenia lub naciśnięcia sieciowego dla innych zdarzeń sesji sieciowej.

Szczegóły schematu

Typowe pola karty ASIM

Ważne

Pola wspólne dla wszystkich schematów zostały szczegółowo opisane w artykule ASIM Common Fields (Wspólne pola karty ASIM).

Typowe pola z określonymi wytycznymi

Na poniższej liście wymieniono pola, które mają określone wytyczne dotyczące zdarzeń sesji sieciowej:

Pole Klasa Type Opis
EventCount Obowiązkowy Wartość całkowita Źródła netflow obsługują agregację, a pole EventCount powinno być ustawione na wartość pola Netflow FLOWS . W przypadku innych źródeł wartość jest zwykle ustawiona na 1wartość .
Eventtype Obowiązkowy Enumerated Opisuje scenariusz zgłoszony przez rekord.

W przypadku rekordów sesji sieciowej dozwolone wartości to:
- EndpointNetworkSession
- NetworkSession
- L2NetworkSession
- IDS
- Flow

Aby uzyskać więcej informacji na temat typów zdarzeń, zapoznaj się z omówieniem schematu
EventSubType Opcjonalnie Ciąg Dodatkowy opis typu zdarzenia, jeśli ma to zastosowanie.
W przypadku rekordów sesji sieci obsługiwane są następujące wartości:
- Start
- End

To pole nie jest istotne dla Flow zdarzeń.
EventResult Obowiązkowy Enumerated Jeśli urządzenie źródłowe nie podaje wyniku zdarzenia, wartość EventResult powinna być oparta na wartości DvcAction. Jeśli dvcAction to Deny, , Drop ICMPDrop, Reset, lub Reset SourceReset Destination
, wartość EventResult powinna mieć wartość Failure. W przeciwnym razie wartość EventResult powinna mieć wartość Success.
EventResultDetails Zalecane Enumerated Przyczyna lub szczegóły wyniku zgłoszonego w polu EventResult . Obsługiwane wartości to:
-Pracy awaryjnej
— Nieprawidłowy protokół TCP
- Nieprawidłowy tunel
- Maksymalna liczba ponownych prób
-Zresetować
— Problem z routingiem
-Symulacji
-Zakończone
-Limit czasu
- Błąd przejściowy
-Nieznany
-NA.

Oryginalna, specyficzna dla źródła wartość jest przechowywana w polu EventOriginalResultDetails .
EventSchema Obowiązkowy Ciąg Nazwa schematu udokumentowanego tutaj to NetworkSession.
EventSchemaVersion Obowiązkowy Ciąg Wersja schematu. Wersja schematu udokumentowanego tutaj to 0.2.6.
DvcAction Zalecane Enumerated Akcja podjęta w sesji sieciowej. Obsługiwane wartości to:
- Allow
- Deny
- Drop
- Drop ICMP
- Reset
- Reset Source
- Reset Destination
- Encrypt
- Decrypt
- VPNroute

Uwaga: Wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Oryginalna wartość powinna być przechowywana w polu DvcOriginalAction .

Przykład: drop
EventSeverity Opcjonalnie Enumerated Jeśli urządzenie źródłowe nie zapewnia ważności zdarzenia, wartość EventSeverity powinna być oparta na wartości DvcAction. Jeśli dvcAction to Deny, , Drop ICMPDrop, Reset, lub Reset SourceReset Destination
, wartość EventSeverity powinna mieć wartość Low. W przeciwnym razie wartość EventSeverity powinna mieć wartość Informational.
DvcInterface Pole DvcInterface powinno aliasować pola DvcInboundInterface lub DvcOutboundInterface .
Pola dvc W przypadku zdarzeń sesji sieciowej pola urządzenia odnoszą się do systemu raportowania zdarzenia sesji sieciowej.

Wszystkie typowe pola

Pola wyświetlane w poniższej tabeli są wspólne dla wszystkich schematów ASIM. Wszelkie wytyczne określone powyżej zastępują ogólne wytyczne dotyczące pola. Na przykład pole może być ogólnie opcjonalne, ale obowiązkowe dla określonego schematu. Aby uzyskać więcej informacji na temat każdego pola, zapoznaj się z artykułem ASIM Common Fields (Wspólne pola karty ASIM).

Klasa Pola
Obowiązkowy - EventCount
- EventStartTime
- EventEndTime
- Eventtype
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Zalecane - EventResultDetails
- EventSeverity
- Identyfikator zdarzenia
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Opcjonalnie - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- Właściciel zdarzenia
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- Dodatkowe pola
- DvcDescription
- DvcScopeId
- DvcScope

Pola sesji sieciowej

Pole Klasa Type Opis
NetworkApplicationProtocol Opcjonalnie Ciąg Protokół warstwy aplikacji używany przez połączenie lub sesję. Wartość powinna znajdować się we wszystkich wielkich literach.

Przykład: FTP
Networkprotocol Opcjonalnie Enumerated Protokół IP używany przez połączenie lub sesję wymieniony w przypisaniu protokołu IANA, który jest zazwyczaj TCP, UDPlub ICMP.

Przykład: TCP
NetworkProtocolVersion Opcjonalnie Enumerated Wersja networkProtocol. W przypadku używania go do rozróżniania wersji adresu IP użyj wartości IPv4 i IPv6.
NetworkDirection Opcjonalnie Enumerated Kierunek połączenia lub sesji:

— Dla parametru EventTypeNetworkSession lub L2NetworkSessionFlow , NetworkDirection reprezentuje kierunek względem granicy środowiska organizacji lub chmury. Obsługiwane wartości to Inbound, OutboundLocal , (w organizacji), External (do organizacji) lub NA (Nie dotyczy).

— W przypadku elementu EventTypeEndpointNetworkSession, NetworkDirection reprezentuje kierunek względem punktu końcowego. Obsługiwane wartości to Inbound, Outbound, Local (do systemu) Listen lub NA (Nie dotyczy). Wartość Listen wskazuje, że urządzenie zaczęło akceptować połączenia sieciowe, ale niekoniecznie jest połączone.
NetworkDuration Opcjonalnie Wartość całkowita Czas( w milisekundach) na zakończenie sesji sieciowej lub połączenia.

Przykład: 1500
Czas trwania Alias Alias do networkDuration.
NetworkIcmpType Opcjonalnie Ciąg Dla komunikatu ICMP numer typu komunikatu ICMP, zgodnie z opisem w RFC 2780 dla połączeń sieciowych IPv4 lub W RFC 4443 dla połączeń sieciowych IPv6.
NetworkIcmpCode Opcjonalnie Wartość całkowita W przypadku komunikatu ICMP numer kodu ICMP zgodnie z opisem w specyfikacji RFC 2780 dla połączeń sieciowych IPv4 lub W specyfikacji RFC 4443 dla połączeń sieciowych IPv6.
Network Połączenie ionHistory Opcjonalnie Ciąg Flagi TCP i inne potencjalne informacje nagłówka IP.
Bajty DstBytes Zalecane Długi Liczba bajtów wysłanych z miejsca docelowego do źródła dla połączenia lub sesji. Jeśli zdarzenie jest agregowane, DstBytes powinny być sumą wszystkich zagregowanych sesji.

Przykład: 32455
SrcBytes Zalecane Długi Liczba bajtów wysłanych ze źródła do miejsca docelowego dla połączenia lub sesji. Jeśli zdarzenie jest agregowane, SrcBytes powinny być sumą wszystkich zagregowanych sesji.

Przykład: 46536
Liczba bajtów sieci Opcjonalnie Długi Liczba bajtów wysłanych w obu kierunkach. Jeśli istnieją oba bajtyReceived i BytesSent, BajtyTotal powinny być równe ich suma. Jeśli zdarzenie jest agregowane, wartości NetworkBytes powinny być sumą wszystkich zagregowanych sesji.

Przykład: 78991
Zestawy DstPackets Opcjonalnie Długi Liczba pakietów wysyłanych z miejsca docelowego do źródła połączenia lub sesji. Znaczenie pakietu jest definiowane przez urządzenie raportowania. Jeśli zdarzenie jest agregowane, zestawy DstPackets powinny być sumą wszystkich zagregowanych sesji.

Przykład: 446
Zestawy SrcPackets Opcjonalnie Długi Liczba pakietów wysłanych ze źródła do miejsca docelowego dla połączenia lub sesji. Znaczenie pakietu jest definiowane przez urządzenie raportowania. Jeśli zdarzenie jest agregowane, zestawy SrcPackets powinny być sumą wszystkich zagregowanych sesji.

Przykład: 6478
NetworkPackets Opcjonalnie Długi Liczba pakietów wysłanych w obu kierunkach. Jeśli istnieją zarówno pakietyReceived , jak i PacketsSent , wartość BytesTotal powinna być równa ich sumie. Znaczenie pakietu jest definiowane przez urządzenie raportowania. Jeśli zdarzenie jest agregowane, zestawy NetworkPackets powinny być sumą wszystkich zagregowanych sesji.

Przykład: 6924
NetworkSessionId Opcjonalnie string Identyfikator sesji zgłoszony przez urządzenie raportowania.

Przykład: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80
Sessionid Alias Ciąg Alias do networkSessionId.
TcpFlagsAck Opcjonalnie Wartość logiczna Zgłoszono flagę TCP ACK. Flaga potwierdzenia służy do potwierdzenia pomyślnego otrzymania pakietu. Jak widać na powyższym diagramie, odbiornik wysyła ACK i SYN w drugim kroku trzykierunkowego procesu uzgadniania, aby poinformować nadawcę, że otrzymał swój początkowy pakiet.
TcpFlagsFin Opcjonalnie Wartość logiczna Zgłoszono flagę TCP FIN. Ukończona flaga oznacza, że nie ma więcej danych od nadawcy. W związku z tym jest on używany w ostatnim pakiecie wysyłanym z nadawcy.
TcpFlagsSyn Opcjonalnie Wartość logiczna Zgłoszono flagę TCP SYN. Flaga synchronizacji jest używana jako pierwszy krok podczas ustanawiania trzykierunkowego uzgadniania między dwoma hostami. Ten flaga powinna zawierać tylko pierwszy pakiet zarówno od nadawcy, jak i odbiorcy.
TcpFlagsUrg Opcjonalnie Wartość logiczna Zgłoszono flagę TCP URG. Flaga pilna służy do powiadamiania odbiorcy o przetwarzaniu pilnych pakietów przed przetworzeniem wszystkich innych pakietów. Odbiorca zostanie powiadomiony o odebraniu wszystkich znanych pilnych danych. Aby uzyskać więcej informacji, zobacz RFC 6093 .
TcpFlagsPsh Opcjonalnie Wartość logiczna Zgłoszona flaga TCP PSH. Flaga wypychania jest podobna do flagi URG i nakazuje odbiornikowi przetworzenie tych pakietów, ponieważ są one odbierane zamiast buforowania.
TcpFlagsRst Opcjonalnie Wartość logiczna Zgłoszono flagę RST PROTOKOŁU TCP. Flaga resetowania jest wysyłana z odbiornika do nadawcy, gdy pakiet jest wysyłany do określonego hosta, który go nie spodziewał.
TcpFlagsEce Opcjonalnie Wartość logiczna Zgłoszona flaga ECE protokołu TCP. Ta flaga jest odpowiedzialna za wskazanie, czy element równorzędny TCP jest w stanie obsługiwać usługę ECN. Aby uzyskać więcej informacji, zobacz RFC 3168 .
TcpFlagsCwr Opcjonalnie Wartość logiczna Zgłoszono flagę CWR protokołu TCP. Obniżona flaga okna przeciążenia jest używana przez hosta wysyłającego, aby wskazać, że otrzymał pakiet z ustawionym flagą ECE. Aby uzyskać więcej informacji, zobacz RFC 3168 .
TcpFlagsNs Opcjonalnie Wartość logiczna Zgłoszono flagę TCP NS. Flaga sumy niezwiązanej jest nadal flagą eksperymentalną używaną do ochrony przed przypadkowym złośliwym ukrywaniem pakietów od nadawcy. Aby uzyskać więcej informacji, zobacz RFC 3540

Pola systemu docelowego

Pole Klasa Type Opis
Czasu letniego Zalecane Alias Unikatowy identyfikator serwera odbierającego żądanie DNS.

To pole może aliasuć pola DstDvcId, DstHostname lub DstIpAddr .

Przykład: 192.168.12.1
DstIpAddr Zalecane Adres IP Adres IP miejsca docelowego połączenia lub sesji. Jeśli sesja używa tłumaczenia adresów sieciowych, DstIpAddr jest publicznie widocznym adresem, a nie oryginalnym adresem źródła, który jest przechowywany w DstNatIpAddr

Przykład: 2001:db8::ff00:42:8329

Uwaga: ta wartość jest obowiązkowa, jeśli określono nazwę DstHostname .
DstPortNumber Opcjonalnie Wartość całkowita Docelowy port IP.

Przykład: 443
Nazwa hosta Dst Zalecane Hostname (Nazwa hosta) Nazwa hosta urządzenia docelowego z wyłączeniem informacji o domenie. Jeśli żadna nazwa urządzenia nie jest dostępna, zapisz odpowiedni adres IP w tym polu.

Przykład: DESKTOP-1282V4D
DstDomain Zalecane Ciąg Domena urządzenia docelowego.

Przykład: Contoso
DstDomainType Warunkowe Enumerated Typ DstDomain. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DomainType w artykule Omówienie schematu.

Wymagane, jeśli jest używana domena DstDomain .
Nazwa DstFQDN Opcjonalnie Ciąg Nazwa hosta urządzenia docelowego, w tym informacje o domenie, gdy są dostępne.

Przykład: Contoso\DESKTOP-1282V4D

Uwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa_hosta systemu Windows. Typ DstDomainType odzwierciedla używany format.
DstDvcId Opcjonalnie Ciąg Identyfikator urządzenia docelowego. Jeśli dostępnych jest wiele identyfikatorów, użyj najważniejszego identyfikatora i zapisz pozostałe w polach DstDvc<DvcIdType>.

Przykład: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
DstDvcScopeId Opcjonalnie Ciąg Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. DstDvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS.
DstDvcScope Opcjonalnie Ciąg Zakres platformy w chmurze, do którego należy urządzenie. DstDvcScope mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS.
DstDvcIdType Warunkowe Enumerated Typ DstDvcId. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DvcIdType w artykule Omówienie schematu.

Wymagane, jeśli jest używany identyfikator DstDeviceId .
DstDeviceType Opcjonalnie Enumerated Typ urządzenia docelowego. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zapoznaj się z artykułem DeviceType (Typ urządzenia) w artykule Przegląd schematu.
Strefa Dst Opcjonalnie Ciąg Strefa sieciowa miejsca docelowego zgodnie z definicją urządzenia raportowania.

Przykład: Dmz
DstInterfaceName Opcjonalnie Ciąg Interfejs sieciowy używany na potrzeby połączenia lub sesji przez urządzenie docelowe.

Przykład: Microsoft Hyper-V Network Adapter
DstInterfaceGuid Opcjonalnie Ciąg Identyfikator GUID interfejsu sieciowego używanego na urządzeniu docelowym.

Przykład:
46ad544b-eaf0-47ef-
827c-266030f545a6
DstMacAddr Opcjonalnie Ciąg Adres MAC interfejsu sieciowego używanego do połączenia lub sesji przez urządzenie docelowe.

Przykład: 06:10:9f:eb:8f:14
DstVlanId Opcjonalnie Ciąg Identyfikator sieci VLAN powiązany z urządzeniem docelowym.

Przykład: 130
OuterVlanId Opcjonalnie Alias Alias do identyfikatora DstVlanId.

W wielu przypadkach nie można określić sieci VLAN jako źródła lub miejsca docelowego, ale jest scharakteryzowana jako wewnętrzna lub zewnętrzna. Ten alias oznacza, że należy użyć identyfikatora DstVlanId , gdy sieć VLAN jest scharakteryzowana jako zewnętrzna.
Identyfikator DstSubscriptionId Opcjonalnie Ciąg Identyfikator subskrypcji platformy w chmurze, do którego należy urządzenie docelowe. DstSubscriptionId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS.
DstGeoCountry Opcjonalnie Kraj Kraj skojarzony z docelowym adresem IP. Aby uzyskać więcej informacji, zobacz Typy logiczne.

Przykład: USA
DstGeoRegion Opcjonalnie Region Region lub stan skojarzony z docelowym adresem IP. Aby uzyskać więcej informacji, zobacz Typy logiczne.

Przykład: Vermont
DstGeoCity Opcjonalnie City (Miasto) Miasto skojarzone z docelowym adresem IP. Aby uzyskać więcej informacji, zobacz Typy logiczne.

Przykład: Burlington
DstGeoLatitude Opcjonalnie Szerokość geograficzna Szerokość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP. Aby uzyskać więcej informacji, zobacz Typy logiczne.

Przykład: 44.475833
DstGeoLongitude Opcjonalnie Długość Długość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP. Aby uzyskać więcej informacji, zobacz Typy logiczne.

Przykład: 73.211944

Pola użytkownika docelowego

Pole Klasa Type Opis
DstUserId Opcjonalnie Ciąg Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja użytkownika docelowego. Aby uzyskać obsługiwany format dla różnych typów identyfikatorów, zapoznaj się z jednostką Użytkownik.

Przykład: S-1-12
DstUserScope Opcjonalnie Ciąg Zakres, taki jak dzierżawa microsoft Entra, w którym zdefiniowano identyfikator DstUserId i DstUsername . lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu.
DstUserScopeId Opcjonalnie Ciąg Identyfikator zakresu, taki jak Microsoft Entra Directory ID, w którym zdefiniowano identyfikator DstUserId i DstUsername . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserScopeId w artykule Omówienie schematu.
DstUserIdType Warunkowe UserIdType Typ identyfikatora przechowywanego w polu DstUserId . Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz UserIdType w artykule Przegląd schematu.
Nazwa użytkownika Dst Opcjonalnie Ciąg Nazwa użytkownika docelowego, w tym informacje o domenie, gdy są dostępne. Aby uzyskać obsługiwany format dla różnych typów identyfikatorów, zapoznaj się z jednostką Użytkownik. Użyj prostego formularza tylko wtedy, gdy informacje o domenie nie są dostępne.

Zapisz typ nazwy użytkownika w polu DstUsernameType . Jeśli są dostępne inne formaty nazw użytkowników, zapisz je w polach DstUsername<UsernameType>.

Przykład: AlbertE
Użytkownik Alias Alias do nazwy DstUsername.
DstUsernameType Warunkowe Typ nazwy użytkownika Określa typ nazwy użytkownika przechowywanej w polu DstUsername . Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz UsernameType w artykule Przegląd schematu.

Przykład: Windows
DstUserType Opcjonalnie UserType Typ użytkownika docelowego. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz UserType w artykule Przegląd schematu.

Uwaga: Wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Zapisz oryginalną wartość w polu DstOriginalUserType .
DstOriginalUserType Opcjonalnie Ciąg Oryginalny typ użytkownika docelowego, jeśli jest podany przez źródło.

Pola aplikacji docelowej

Pole Klasa Type Opis
DstAppName Opcjonalnie Ciąg Nazwa aplikacji docelowej.

Przykład: Facebook
Identyfikator DstAppId Opcjonalnie Ciąg Identyfikator aplikacji docelowej zgłoszonej przez urządzenie raportowania. Jeśli parametr DstAppType ma Processwartość , DstAppId i DstProcessId powinien mieć tę samą wartość.

Przykład: 124
DstAppType Opcjonalnie Typ aplikacji Typ aplikacji docelowej. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zapoznaj się z artykułem AppType w artykule Przegląd schematu.

To pole jest obowiązkowe, jeśli są używane identyfikatory DstAppName lub DstAppId .
DstProcessName Opcjonalnie Ciąg Nazwa pliku procesu, który zakończył sesję sieci. Ta nazwa jest zwykle uważana za nazwę procesu.

Przykład: C:\Windows\explorer.exe
Proces Alias Alias do nazwy DstProcessName

Przykład: C:\Windows\System32\rundll32.exe
Identyfikator DstProcessId Opcjonalnie Ciąg Identyfikator procesu (PID) procesu, który zakończył sesję sieci.

Przykład: 48610176

Uwaga: typ jest definiowany jako ciąg do obsługi różnych systemów, ale w systemach Windows i Linux ta wartość musi być numeryczna.

Jeśli używasz maszyny z systemem Windows lub Linux i używasz innego typu, pamiętaj, aby przekonwertować wartości. Jeśli na przykład użyto wartości szesnastkowej, przekonwertuj ją na wartość dziesiętną.
DstProcessGuid Opcjonalnie Ciąg Wygenerowany unikatowy identyfikator (GUID) procesu, który zakończył sesję sieciową.

Przykład: EF3BD0BD-2B74-60C5-AF5C-010000001E00

Pola systemu źródłowego

Pole Klasa Type Opis
Src Alias Unikatowy identyfikator urządzenia źródłowego.

To pole może aliasuć pola SrcDvcId, SrcHostname lub SrcIpAddr .

Przykład: 192.168.12.1
SrcIpAddr Zalecane Adres IP Adres IP, z którego pochodzi połączenie lub sesja. Ta wartość jest obowiązkowa, jeśli określono nazwę SrcHostname . Jeśli sesja używa tłumaczenia adresów sieciowych, SrcIpAddr jest publicznie widocznym adresem, a nie oryginalnym adresem źródła, który jest przechowywany w SrcNatIpAddr

Przykład: 77.138.103.108
SrcPortNumber Opcjonalnie Wartość całkowita Port IP, z którego pochodzi połączenie. Może nie być istotne dla sesji składającej się z wielu połączeń.

Przykład: 2335
SrcHostname Zalecane Hostname (Nazwa hosta) Nazwa hosta urządzenia źródłowego z wyłączeniem informacji o domenie. Jeśli żadna nazwa urządzenia nie jest dostępna, zapisz odpowiedni adres IP w tym polu.

Przykład: DESKTOP-1282V4D
SrcDomain Zalecane Ciąg Domena urządzenia źródłowego.

Przykład: Contoso
SrcDomainType Warunkowe Domaintype Typ SrcDomain. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DomainType w artykule Omówienie schematu.

Wymagane, jeśli jest używany SrcDomain .
SrcFQDN Opcjonalnie Ciąg Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, gdy są dostępne.

Uwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa_hosta systemu Windows. Pole SrcDomainType odzwierciedla używany format.

Przykład: Contoso\DESKTOP-1282V4D
SrcDvcId Opcjonalnie Ciąg Identyfikator urządzenia źródłowego. Jeśli dostępnych jest wiele identyfikatorów, użyj najważniejszego identyfikatora i zapisz pozostałe w polach SrcDvc<DvcIdType>.

Przykład: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId Opcjonalnie Ciąg Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. SrcDvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS.
SrcDvcScope Opcjonalnie Ciąg Zakres platformy w chmurze, do którego należy urządzenie. SrcDvcScope mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS.
SrcDvcIdType Warunkowe DvcIdType Typ SrcDvcId. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DvcIdType w artykule Omówienie schematu.

Uwaga: to pole jest wymagane, jeśli jest używany identyfikator SrcDvcId .
SrcDeviceType Opcjonalnie Devicetype Typ urządzenia źródłowego. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zapoznaj się z artykułem DeviceType (Typ urządzenia) w artykule Przegląd schematu.
SrcZone Opcjonalnie Ciąg Strefa sieciowa źródła zgodnie z definicją urządzenia raportowania.

Przykład: Internet
SrcInterfaceName Opcjonalnie Ciąg Interfejs sieciowy używany na potrzeby połączenia lub sesji przez urządzenie źródłowe.

Przykład: eth01
SrcInterfaceGuid Opcjonalnie Ciąg Identyfikator GUID interfejsu sieciowego używanego na urządzeniu źródłowym.

Przykład:
46ad544b-eaf0-47ef-
827c-266030f545a6
SrcMacAddr Opcjonalnie Ciąg Adres MAC interfejsu sieciowego, z którego pochodzi połączenie lub sesja.

Przykład: 06:10:9f:eb:8f:14
SrcVlanId Opcjonalnie Ciąg Identyfikator sieci VLAN powiązany z urządzeniem źródłowym.

Przykład: 130
InnerVlanId Opcjonalnie Alias Alias do SrcVlanId.

W wielu przypadkach nie można określić sieci VLAN jako źródła lub miejsca docelowego, ale jest scharakteryzowana jako wewnętrzna lub zewnętrzna. Ten alias oznacza, że SrcVlanId powinien być używany, gdy sieć VLAN jest scharakteryzowana jako wewnętrzna.
SrcSubscriptionId Opcjonalnie Ciąg Identyfikator subskrypcji platformy w chmurze, do którego należy urządzenie źródłowe. SrcSubscriptionId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS.
SrcGeoCountry Opcjonalnie Kraj Kraj skojarzony ze źródłowym adresem IP.

Przykład: USA
SrcGeoRegion Opcjonalnie Region Region skojarzony ze źródłowym adresem IP.

Przykład: Vermont
SrcGeoCity Opcjonalnie City (Miasto) Miasto skojarzone ze źródłowym adresem IP.

Przykład: Burlington
SrcGeoLatitude Opcjonalnie Szerokość geograficzna Szerokość geograficzna współrzędnych geograficznych skojarzonych z źródłowym adresem IP.

Przykład: 44.475833
SrcGeoLongitude Opcjonalnie Długość Długość geograficzna współrzędnej geograficznej skojarzonej z źródłowym adresem IP.

Przykład: 73.211944

Pola użytkownika źródłowego

Pole Klasa Type Opis
SrcUserId Opcjonalnie Ciąg Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja użytkownika źródłowego. Aby uzyskać obsługiwany format dla różnych typów identyfikatorów, zapoznaj się z jednostką Użytkownik.

Przykład: S-1-12
SrcUserScope Opcjonalnie Ciąg Zakres, taki jak dzierżawa firmy Microsoft Entra, w którym zdefiniowano identyfikator SrcUserId i SrcUsername . lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu.
SrcUserScopeId Opcjonalnie Ciąg Identyfikator zakresu, taki jak Microsoft Entra Directory ID, w którym zdefiniowano identyfikator SrcUserId i SrcUsername . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserScopeId w artykule Omówienie schematu.
SrcUserIdType Warunkowe UserIdType Typ identyfikatora przechowywanego w polu SrcUserId . Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz UserIdType w artykule Przegląd schematu.
SrcUsername Opcjonalnie Ciąg Źródłowa nazwa użytkownika, w tym informacje o domenie, gdy są dostępne. Aby uzyskać obsługiwany format dla różnych typów identyfikatorów, zapoznaj się z jednostką Użytkownik. Użyj prostego formularza tylko wtedy, gdy informacje o domenie nie są dostępne.

Zapisz typ nazwy użytkownika w polu SrcUsernameType . Jeśli są dostępne inne formaty nazw użytkowników, zapisz je w polach SrcUsername<UsernameType>.

Przykład: AlbertE
SrcUsernameType Warunkowe Typ nazwy użytkownika Określa typ nazwy użytkownika przechowywanej w polu SrcUsername . Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz UsernameType w artykule Przegląd schematu.

Przykład: Windows
SrcUserType Opcjonalnie UserType Typ użytkownika źródłowego. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz UserType w artykule Przegląd schematu.

Uwaga: Wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Zapisz oryginalną wartość w polu SrcOriginalUserType .
SrcOriginalUserType Opcjonalnie Ciąg Oryginalny typ użytkownika docelowego, jeśli jest udostępniany przez urządzenie raportowania.

Pola aplikacji źródłowej

Pole Klasa Type Opis
SrcAppName Opcjonalnie Ciąg Nazwa aplikacji źródłowej.

Przykład: filezilla.exe
SrcAppId Opcjonalnie Ciąg Identyfikator aplikacji źródłowej zgłoszony przez urządzenie raportowania. Jeśli parametr SrcAppType ma Processwartość , SrcAppId i SrcProcessId powinien mieć tę samą wartość.

Przykład: 124
SrcAppType Opcjonalnie Typ aplikacji Typ aplikacji źródłowej. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zapoznaj się z artykułem AppType w artykule Przegląd schematu.

To pole jest obowiązkowe, jeśli są używane identyfikatory SrcAppName lub SrcAppId .
SrcProcessName Opcjonalnie Ciąg Nazwa pliku procesu, który zainicjował sesję sieci. Ta nazwa jest zwykle uważana za nazwę procesu.

Przykład: C:\Windows\explorer.exe
SrcProcessId Opcjonalnie Ciąg Identyfikator procesu (PID) procesu, który zainicjował sesję sieci.

Przykład: 48610176

Uwaga: typ jest definiowany jako ciąg do obsługi różnych systemów, ale w systemach Windows i Linux ta wartość musi być numeryczna.

Jeśli używasz maszyny z systemem Windows lub Linux i używasz innego typu, pamiętaj, aby przekonwertować wartości. Jeśli na przykład użyto wartości szesnastkowej, przekonwertuj ją na wartość dziesiętną.
SrcProcessGuid Opcjonalnie Ciąg Wygenerowany unikatowy identyfikator (GUID) procesu, który zainicjował sesję sieciową.

Przykład: EF3BD0BD-2B74-60C5-AF5C-010000001E00

Aliasy lokalne i zdalne

Wszystkie pola źródłowe i docelowe wymienione powyżej można opcjonalnie aliasować według pól o tej samej nazwie oraz deskryptorach Local i Remote. Jest to zwykle przydatne w przypadku zdarzeń zgłaszanych przez punkt końcowy i dla których typ zdarzenia to EndpointNetworkSession.

W przypadku takich zdarzeń deskryptorzy Local i Remote oznaczają sam punkt końcowy i urządzenie na drugim końcu sesji sieciowej. W przypadku połączeń przychodzących system lokalny jest miejscem docelowym, Local pola są aliasami Dst w polach, a pola "Remote" to aliasy do Src pól. Z drugiej strony, w przypadku połączeń wychodzących system lokalny jest źródłem, Local pola są aliasami Src do pól, a Remote pola są aliasami do Dst pól.

Na przykład w przypadku zdarzenia przychodzącego pole LocalIpAddr jest aliasem, DstIpAddr a pole RemoteIpAddr jest aliasem .SrcIpAddr

Nazwa hosta i aliasy adresów IP

Pole Klasa Type Opis
Nazwa hosta Alias - Jeśli typ zdarzenia to NetworkSession, Flow lub L2NetworkSession, Nazwa hosta jest aliasem DstHostname.
- Jeśli typ zdarzenia to EndpointNetworkSession, nazwa hosta jest aliasem , RemoteHostnamektóry może aliasem DstHostname lub SrcHostName, w zależności od NetworkDirection
IpAddr Alias - Jeśli typ zdarzenia to NetworkSession, Flow lub L2NetworkSession, IpAddr jest aliasem SrcIpAddr.
- Jeśli typ zdarzenia to EndpointNetworkSession, IpAddr jest aliasem , LocalIpAddrktóry może aliasem SrcIpAddr lub DstIpAddr, w zależności od NetworkDirection.

Pola pośredniczącego urządzenia i translatora adresów sieciowych (NAT)

Poniższe pola są przydatne, jeśli rekord zawiera informacje o urządzeniu pośredniczącym, takim jak zapora lub serwer proxy, który przekazuje sesję sieciową.

Systemy pośredniczące często używają tłumaczenia adresów, dlatego oryginalny adres i adres obserwowany zewnętrznie nie są takie same. W takich przypadkach pola adresu podstawowego, takie jak SrcIPAddr i DstIpAddr , reprezentują adresy obserwowane zewnętrznie, podczas gdy pola adresów sieciowych, SrcNatIpAddr i DstNatIpAddr reprezentują wewnętrzny adres oryginalnego urządzenia przed tłumaczeniem.

Pole Klasa Type Opis
DstNatIpAddr Opcjonalnie Adres IP Obiekt DstNatIpAddr reprezentuje jedną z następujących wartości:
- Oryginalny adres urządzenia docelowego, jeśli użyto tłumaczenia adresu sieciowego.
- Adres IP używany przez urządzenie pośredniczące do komunikacji ze źródłem.

Przykład: 2::1
DstNatPortNumber Opcjonalnie Wartość całkowita Jeśli jest zgłaszane przez pośredniczące urządzenie NAT, port używany przez urządzenie NAT do komunikacji ze źródłem.

Przykład: 443
SrcNatIpAddr Opcjonalnie Adres IP Element SrcNatIpAddr reprezentuje jedną z następujących wartości:
- Oryginalny adres urządzenia źródłowego, jeśli użyto tłumaczenia adresu sieciowego.
- Adres IP używany przez urządzenie pośredniczące do komunikacji z miejscem docelowym.

Przykład: 4.3.2.1
SrcNatPortNumber Opcjonalnie Wartość całkowita Jeśli jest zgłaszane przez pośredniczące urządzenie NAT, port używany przez urządzenie NAT do komunikacji z miejscem docelowym.

Przykład: 345
DvcInboundInterface Opcjonalnie Ciąg Jeśli jest zgłaszane przez urządzenie pośredniczące, interfejs sieciowy używany przez urządzenie NAT na potrzeby połączenia z urządzeniem źródłowym.

Przykład: eth0
DvcOutboundInterface Opcjonalnie Ciąg Jeśli jest zgłaszane przez urządzenie pośredniczące, interfejs sieciowy używany przez urządzenie NAT na potrzeby połączenia z urządzeniem docelowym.

Przykład: Ethernet adapter Ethernet 4e

Pola inspekcji

Następujące pola służą do reprezentowania inspekcji urządzenia zabezpieczeń, takiego jak zapora, adres IPS lub brama zabezpieczeń sieci Web:

Pole Klasa Type Opis
NetworkRuleName Opcjonalnie Ciąg Nazwa lub identyfikator reguły, za pomocą której podjęto decyzję DvcAction .

Przykład: AnyAnyDrop
NetworkRuleNumber Opcjonalnie Wartość całkowita Liczba reguł, za pomocą których podjęto decyzję DvcAction .

Przykład: 23
Reguły Alias Ciąg Wartość NetworkRuleName lub wartość NetworkRuleNumber. Jeśli jest używana wartość NetworkRuleNumber , typ powinien zostać przekonwertowany na ciąg.
ThreatId Opcjonalnie Ciąg Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w sesji sieciowej.

Przykład: Tr.124
ThreatName Opcjonalnie Ciąg Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w sesji sieciowej.

Przykład: EICAR Test File
ThreatCategory Opcjonalnie Ciąg Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w sesji sieciowej.

Przykład: Trojan
ThreatRiskLevel Opcjonalnie Wartość całkowita Poziom ryzyka skojarzony z sesją. Poziom powinien być liczbą z zakresu od 0 do 100.

Uwaga: wartość może być podana w rekordzie źródłowym przy użyciu innej skali, która powinna być znormalizowana do tej skali. Oryginalna wartość powinna być przechowywana w usłudze ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel Opcjonalnie Ciąg Poziom ryzyka zgłoszony przez urządzenie raportowania.
ThreatIpAddr Opcjonalnie Adres IP Adres IP, dla którego zidentyfikowano zagrożenie. Pole ThreatField zawiera nazwę pola ThreatIpAddr reprezentuje.
ThreatField Warunkowe Enumerated Pole, dla którego zidentyfikowano zagrożenie. Wartość to SrcIpAddr lub DstIpAddr.
ThreatConfidence Opcjonalnie Wartość całkowita Zidentyfikowany poziom ufności zagrożenia znormalizowany do wartości z zakresu od 0 do 100.
ThreatOriginalConfidence Opcjonalnie Ciąg Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgodnie z raportem urządzenia raportowania.
ThreatIsActive Opcjonalnie Wartość logiczna Prawda, jeśli zidentyfikowane zagrożenie jest uznawane za aktywne zagrożenie.
ThreatFirstReportedTime Opcjonalnie Data i godzina Po raz pierwszy adres IP lub domena zostały zidentyfikowane jako zagrożenie.
ThreatLastReportedTime Opcjonalnie Data i godzina Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie.

Inne pola

Jeśli zdarzenie jest zgłaszane przez jeden z punktów końcowych sesji sieciowej, może zawierać informacje o procesie, który zainicjował lub zakończył sesję. W takich przypadkach schemat zdarzenia procesu ASIM służy do normalizacji tych informacji.

Aktualizacje schematu

Poniżej przedstawiono zmiany w wersji 0.2.1 schematu:

  • Dodano Src aliasy i Dst jako aliasy do wiodącego identyfikatora dla systemów źródłowych i docelowych.
  • Dodano pola NetworkConnectionHistory, , SrcVlanId, DstVlanIdInnerVlanId, i OuterVlanId.

Poniżej przedstawiono zmiany w wersji 0.2.2 schematu:

  • Dodano Remote aliasy i .Local
  • Dodano typ EndpointNetworkSessionzdarzenia .
  • Zdefiniowane Hostname i jako aliasy dla RemoteHostname i LocalIpAddrIpAddr odpowiednio, gdy typ zdarzenia to EndpointNetworkSession.
  • Zdefiniowano DvcInterface jako alias na DvcInboundInterface lub DvcOutboundInterface.
  • Zmieniono typ następujących pól z Liczba całkowita na Long: SrcBytes, , DstBytes, NetworkBytesSrcPackets, , DstPacketsi NetworkPackets.
  • Dodano pola NetworkProtocolVersion, SrcSubscriptionIdi DstSubscriptionId.
  • Przestarzałe DstUserDomain i SrcUserDomain.

Poniżej przedstawiono zmiany w wersji 0.2.3 schematu:

  • Dodano parametr filtrowania ipaddr_has_any_prefix .
  • Parametr filtrowania hostname_has_any jest teraz zgodny z nazwami hostów źródłowych lub docelowych.
  • Dodano pola ASimMatchingHostname i ASimMatchingIpAddr.

Poniżej przedstawiono zmiany w wersji 0.2.4 schematu:

  • TcpFlags Dodano pola.
  • Zaktualizowano NetworkIcpmType wartości i NetworkIcmpCode odzwierciedlające wartość liczb dla obu tych elementów.
  • Dodano dodatkowe pola inspekcji.
  • Nazwa pola "ThreatRiskLevelOriginal" została zmieniona na tak, aby ThreatOriginalRiskLevel była zgodna z konwencjami ASIM. Istniejące analizatory firmy Microsoft będą utrzymywane ThreatRiskLevelOriginal do 1 maja 2023 r.
  • Oznaczone EventResultDetails jako zalecane i określone dozwolone wartości.

Poniżej przedstawiono zmiany w wersji 0.2.5 schematu:

  • Dodano pola DstUserScope, , , SrcDvcScopeIdDstDvcScopeIdSrcDvcScopeDstDvcScopeSrcUserScope, DvcScopeIdi .DvcScope

Poniżej przedstawiono zmiany w wersji 0.2.6 schematu:

  • Dodano identyfikatory jako typ zdarzenia

Następne kroki

Aby uzyskać więcej informacji, zobacz: