Dokumentacja schematu normalizacji sesji sieciowej zaawansowanego modelu informacji o zabezpieczeniach (ASIM)

Schemat normalizacji sesji sieciowej Microsoft Sentinel reprezentuje działanie sieci IP, takie jak połączenia sieciowe i sesje sieciowe. Takie zdarzenia są zgłaszane, na przykład przez systemy operacyjne, routery, zapory i systemy zapobiegania włamaniom.

Schemat normalizacji sieci może reprezentować dowolny typ sesji sieci IP, ale został zaprojektowany w celu zapewnienia obsługi typowych typów źródeł, takich jak Netflow, zapory i systemy zapobiegania włamaniom.

Aby uzyskać więcej informacji na temat normalizacji w Microsoft Sentinel, zobacz Normalizacja i Zaawansowany model informacji o zabezpieczeniach (ASIM).

Parsery

Aby uzyskać więcej informacji na temat analizatorów ASIM, zobacz omówienie analizatorów ASIM.

Ujednolicanie analizatorów

Aby użyć analizatorów, które ujednolicają wszystkie wbudowane analizatory ASIM, i upewnij się, że analiza jest uruchamiana we wszystkich skonfigurowanych źródłach, użyj _Im_NetworkSession analizatora.

Out-of-the-box, analizatory specyficzne dla źródła

Aby uzyskać listę analizatorów sesji sieciowych Microsoft Sentinel zapewnia out-of-the-box, zapoznaj się z listą analizatorów ASIM

Dodawanie własnych znormalizowanych analizatorów

Podczas tworzenia niestandardowych analizatorów dla modelu informacji sesji sieciowej nazwij funkcje KQL przy użyciu następującej składni:

vimNetworkSession<vendor><Product> dla analizatorów parametryzowanych
ASimNetworkSession<vendor><Product> dla zwykłych analizatorów

Zapoznaj się z artykułem Managing ASIM parsers (Zarządzanie analizatorami ASIM ), aby dowiedzieć się, jak dodać niestandardowe analizatory do analizatorów ujednolicających sesję sieciową.

Filtrowanie parametrów analizatora

Analizatory sesji sieciowej obsługują parametry filtrowania. Te parametry są opcjonalne, ale mogą zwiększyć wydajność zapytania.

Dostępne są następujące parametry filtrowania:

Name (Nazwa)	Wpisać	Opis
Starttime	Datetime	Filtruj tylko sesje sieciowe , które rozpoczęły się o tej godzinie lub później. Ten parametr filtruje `TimeGenerated` pole, które jest standardowym projektantem czasu zdarzenia, niezależnie od mapowania specyficznego dla analizatora pól EventStartTime i EventEndTime.
Endtime	Datetime	Filtruj tylko sesje sieciowe, które zaczęły działać o tej godzinie lub przed tą godziną. Ten parametr filtruje `TimeGenerated` pole, które jest standardowym projektantem czasu zdarzenia, niezależnie od mapowania specyficznego dla analizatora pól EventStartTime i EventEndTime.
srcipaddr_has_any_prefix	Dynamiczne	Filtruj tylko sesje sieciowe, dla których prefiks pola źródłowego adresu IP znajduje się w jednej z wymienionych wartości. Prefiksy powinny kończyć się wartością `.`, na przykład: `10.0.`. Długość listy jest ograniczona do 10 000 elementów.
dstipaddr_has_any_prefix	Dynamiczne	Filtruj tylko sesje sieciowe, dla których prefiks pola docelowego adresu IP znajduje się w jednej z wymienionych wartości. Prefiksy powinny kończyć się wartością `.`, na przykład: `10.0.`. Długość listy jest ograniczona do 10 000 elementów.
ipaddr_has_any_prefix	Dynamiczne	Filtruj tylko sesje sieciowe, dla których prefiks pola docelowego adresu IP lub źródłowego adresu IP znajduje się w jednej z wymienionych wartości. Prefiksy powinny kończyć się wartością `.`, na przykład: `10.0.`. Długość listy jest ograniczona do 10 000 elementów. Pole ASimMatchingIpAddr jest ustawione z jedną z wartości `SrcIpAddr`, `DstIpAddr`lub `Both` w celu odzwierciedlenia pasujących pól lub pól.
dstportnumber	Int	Filtruj tylko sesje sieciowe z określonym numerem portu docelowego.
hostname_has_any	dynamic/string	Filtruj tylko sesje sieciowe, dla których pole docelowej nazwy hosta ma dowolną z wymienionych wartości. Długość listy jest ograniczona do 10 000 elementów. Pole ASimMatchingHostname jest ustawione z jedną z wartości `SrcHostname`, `DstHostname`lub `Both` w celu odzwierciedlenia pasujących pól lub pól.
dvcaction	dynamic/string	Filtruj tylko sesje sieciowe, dla których pole Akcja urządzenia jest dowolną z wymienionych wartości.
eventresult	Ciąg	Filtruj tylko sesje sieciowe z określoną wartością EventResult .

Niektóre parametry mogą akceptować zarówno listę wartości typu dynamic , jak i pojedynczą wartość ciągu. Aby przekazać listę literałów do parametrów, które oczekują wartości dynamicznej, jawnie użyj literału dynamicznego. Przykład: dynamic(['192.168.','10.'])

Aby na przykład filtrować tylko sesje sieciowe dla określonej listy nazw domen, użyj:

let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)

Porada

Aby przekazać listę literałów do parametrów, które oczekują wartości dynamicznej, jawnie użyj literału dynamicznego. Przykład: dynamic(['192.168.','10.']).

Znormalizowana zawartość

Aby uzyskać pełną listę reguł analizy korzystających z znormalizowanych zdarzeń DNS, zobacz Zawartość zabezpieczeń sesji sieciowej.

Omówienie schematu

Model informacji o sesji sieciowej jest zgodny ze schematem jednostki sieci OSSEM.

Schemat sesji sieciowej obsługuje kilka typów podobnych, ale odrębnych scenariuszy, które współużytkują te same pola. Te scenariusze są identyfikowane przez pole EventType:

NetworkSession — sesja sieciowa zgłoszona przez urządzenie pośrednie monitorujące sieć, na przykład zapora, router lub naciśnięcie sieci.
L2NetworkSession — sesja sieciowa, dla której są dostępne tylko informacje o warstwie 2. Takie zdarzenia będą obejmować adresy MAC, ale nie adresy IP.
Flow — zdarzenie zagregowane, które zgłasza wiele podobnych sesji sieciowych, zazwyczaj w wstępnie zdefiniowanym okresie, takim jak zdarzenia netflow .
EndpointNetworkSession — sesja sieciowa zgłoszona przez jeden z punktów końcowych sesji, w tym klientów i serwerów. W przypadku takich zdarzeń schemat obsługuje pola aliasów remote i local .
IDS — sesja sieciowa zgłoszona jako podejrzana. Takie zdarzenie będzie zawierać niektóre pola inspekcji wypełnione i może mieć tylko jedno pole adresu IP wypełnione, źródło lub miejsce docelowe.

Zazwyczaj zapytanie powinno wybrać tylko podzbiór tych typów zdarzeń i może być konieczne zajęcie się osobno unikatowym aspektem przypadków użycia. Na przykład zdarzenia usług IDS nie odzwierciedlają całego woluminu sieciowego i nie powinny być brane pod uwagę w analizie opartej na kolumnach.

Zdarzenia sesji sieciowej używają deskryptorów Src i Dst określają role urządzeń oraz powiązanych użytkowników i aplikacji biorących udział w sesji. Na przykład nazwa hosta urządzenia źródłowego i adres IP mają nazwę SrcHostname i SrcIpAddr. Inne schematy ASIM zwykle używają Target zamiast Dst.

W przypadku zdarzeń zgłaszanych przez punkt końcowy, dla których typ zdarzenia to EndpointNetworkSession, deskryptory Local i Remote oznaczają odpowiednio sam punkt końcowy i urządzenie na drugim końcu sesji sieciowej.

Deskryptor Dvc jest używany dla urządzenia raportowania, czyli systemu lokalnego dla sesji zgłaszanych przez punkt końcowy, a urządzenie pośredniczące lub naciśnięcie sieci dla innych zdarzeń sesji sieciowej.

Szczegóły schematu

Typowe pola usługi ASIM

Ważna

Pola wspólne dla wszystkich schematów zostały szczegółowo opisane w artykule ASIM Common Fields (Pola wspólne usługi ASIM ).

Typowe pola z określonymi wytycznymi

Na poniższej liście wymieniono pola, które mają określone wytyczne dotyczące zdarzeń sesji sieciowej:

Pole	Klasa	Wpisać	Opis
EventCount	Obowiązkowe	Liczba całkowita	Źródła netflow obsługują agregację, a pole EventCount powinno być ustawione na wartość pola Przepływy przepływu sieciowego. W przypadku innych źródeł wartość jest zwykle ustawiona na `1`wartość .
Eventtype	Obowiązkowe	Wyliczane	Opisuje scenariusz zgłoszony przez rekord. W przypadku rekordów sesji sieciowej dozwolone wartości to: - `EndpointNetworkSession` - `NetworkSession` - `L2NetworkSession` - `IDS` - `Flow` Aby uzyskać więcej informacji na temat typów zdarzeń, zapoznaj się z omówieniem schematu
EventSubType	Opcjonalny	Wyliczane	Dodatkowy opis typu zdarzenia, jeśli ma zastosowanie. W przypadku rekordów sesji sieciowej obsługiwane wartości obejmują: - `Start` - `End` To pole nie ma znaczenia dla zdarzeń `Flow` .
EventResult	Obowiązkowe	Wyliczane	Jeśli urządzenie źródłowe nie podaje wyniku zdarzenia, funkcja EventResult powinna być oparta na wartości DvcAction. Jeśli dvcAction to `Deny`, `Drop`, `Drop ICMP`, `Reset`, , `Reset Source`lub `Reset Destination` , Parametr EventResult powinien mieć wartość `Failure`. W przeciwnym razie parametr EventResult powinien mieć wartość `Success`.
EventResultDetails	Zalecane	Wyliczane	Przyczyna lub szczegóły wyniku zgłoszonego w polu EventResult . Obsługiwane wartości to: -Pracy awaryjnej - Nieprawidłowy protokół TCP - Nieprawidłowy tunel — Maksymalna liczba ponawianych prób -Zresetować — Problem z routingiem -Symulacji -Zakończone -Limit czasu — Błąd przejściowy -Nieznany -NA. Oryginalna wartość specyficzna dla źródła jest przechowywana w polu EventOriginalResultDetails .
EventSchema	Obowiązkowe	Wyliczane	Nazwa schematu udokumentowanego w tym miejscu to `NetworkSession`.
EventSchemaVersion	Obowiązkowe	SchemaVersion (ciąg)	Wersja schematu. Udokumentowana tutaj wersja schematu to `0.2.7`.
DvcAction	Zalecane	Wyliczane	Akcja podjęta w sesji sieciowej. Obsługiwane wartości to: - `Allow` - `Deny` - `Drop` - `Drop ICMP` - `Reset` - `Reset Source` - `Reset Destination` - `Encrypt` - `Decrypt` - `VPNroute` Uwaga: wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Oryginalna wartość powinna być przechowywana w polu DvcOriginalAction . Przykład: `drop`
EventSeverity	Opcjonalny	Wyliczane	Jeśli urządzenie źródłowe nie zapewnia ważności zdarzenia, wartość EventSeverity powinna być oparta na wartości DvcAction. Jeśli dvcAction to `Deny`, `Drop`, `Drop ICMP`, `Reset`, , `Reset Source`lub `Reset Destination` , EventSeverity powinien mieć wartość `Low`. W przeciwnym razie parametr EventSeverity powinien mieć wartość `Informational`.
DvcInterface			Pole DvcInterface powinno mieć alias pól DvcInboundInterface lub DvcOutboundInterface .
Pola dvc			W przypadku zdarzeń sesji sieciowej pola urządzenia odnoszą się do systemu zgłaszającego zdarzenie sesji sieciowej.

Wszystkie typowe pola

Pola wyświetlane w poniższej tabeli są wspólne dla wszystkich schematów ASIM. Wszelkie wytyczne określone powyżej zastępują ogólne wytyczne dotyczące pola. Na przykład pole może być opcjonalne ogólnie, ale obowiązkowe dla określonego schematu. Aby uzyskać więcej informacji na temat każdego pola, zapoznaj się z artykułem ASIM Common Fields (Typowe pola usługi ASIM ).

Klasa	Pola
Obowiązkowe	- EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc
Zalecane	- EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction
Opcjonalny	- EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Pola dodatkowe - DvcDescription - DvcScopeId - DvcScope

Pola sesji sieciowej

Pole	Klasa	Wpisać	Opis
NetworkApplicationProtocol	Opcjonalny	Ciąg	Protokół warstwy aplikacji używany przez połączenie lub sesję. Wartość powinna być we wszystkich wielkich literach. Przykład: `FTP`
Networkprotocol	Opcjonalny	Wyliczane	Protokół IP używany przez połączenie lub sesję wymieniony w przypisaniu protokołu IANA, który jest zazwyczaj `TCP`, `UDP`lub `ICMP`. Przykład: `TCP`
NetworkProtocolVersion	Opcjonalny	Wyliczane	Wersja narzędzia NetworkProtocol. W przypadku używania go do rozróżniania wersji adresu IP użyj wartości `IPv4` i `IPv6`.
NetworkDirection	Opcjonalny	Wyliczane	Kierunek połączenia lub sesji: — Dla elementu EventType`NetworkSessionFlow` lub `L2NetworkSession`, NetworkDirection reprezentuje kierunek względem granicy organizacji lub środowiska w chmurze. Obsługiwane wartości to `Inbound`, `Outbound`, `Local` (dla organizacji), `External` (dla organizacji) lub `NA` (Nie dotyczy). — W przypadku typu zdarzenia`EndpointNetworkSession`networkdirection reprezentuje kierunek względem punktu końcowego. Obsługiwane wartości to `Inbound`, `Outbound`, `Local` (do systemu) `Listen` lub `NA` (Nie dotyczy). Wartość `Listen` wskazuje, że urządzenie zaczęło akceptować połączenia sieciowe, ale w rzeczywistości nie jest połączone.
NetworkDuration	Opcjonalny	Liczba całkowita	Ilość czasu w milisekundach na ukończenie sesji sieciowej lub połączenia. Przykład: `1500`
Długość	Alias		Alias do pozycji NetworkDuration.
NetworkIcmpType	Opcjonalny	Ciąg	W przypadku komunikatu ICMP nazwa typu ICMP skojarzona z wartością liczbową, zgodnie z opisem w artykule RFC 2780 dla połączeń sieciowych IPv4 lub RFC 4443 dla połączeń sieciowych IPv6. Przykład: `Destination Unreachable` w przypadku programu NetworkIcmpCode `3`
NetworkIcmpCode	Opcjonalny	Liczba całkowita	W przypadku komunikatu ICMP numer kodu ICMP zgodnie z opisem w dokumencie RFC 2780 dla połączeń sieciowych IPv4 lub W RFC 4443 dla połączeń sieciowych IPv6.
NetworkConnectionHistory	Opcjonalny	Ciąg	Flagi TCP i inne potencjalne informacje nagłówka ip.
DstBytes	Zalecane	Długi	Liczba bajtów wysłanych z miejsca docelowego do źródła dla połączenia lub sesji. Jeśli zdarzenie jest agregowane, wartość DstBytes powinna być sumą dla wszystkich zagregowanych sesji. Przykład: `32455`
SrcBytes	Zalecane	Długi	Liczba bajtów wysłanych ze źródła do miejsca docelowego dla połączenia lub sesji. Jeśli zdarzenie jest agregowane, wartość SrcBytes powinna być sumą dla wszystkich zagregowanych sesji. Przykład: `46536`
Liczba bajtów sieci	Opcjonalny	Długi	Liczba bajtów wysłanych w obu kierunkach. Jeśli istnieją zarówno BajtyReceived , jak i BytesSent , wartość BytesTotal powinna być równa ich sumie. Jeśli zdarzenie jest agregowane, wartość NetworkBytes powinna być sumą dla wszystkich zagregowanych sesji. Przykład: `78991`
Pakiety DstPacket	Opcjonalny	Długi	Liczba pakietów wysłanych z miejsca docelowego do źródła dla połączenia lub sesji. Znaczenie pakietu jest definiowane przez urządzenie raportowania. Jeśli zdarzenie jest agregowane, pakiety DstPackets powinny być sumą dla wszystkich zagregowanych sesji. Przykład: `446`
Pakiety SrcPacket	Opcjonalny	Długi	Liczba pakietów wysłanych ze źródła do miejsca docelowego dla połączenia lub sesji. Znaczenie pakietu jest definiowane przez urządzenie raportowania. Jeśli zdarzenie jest agregowane, pakiety SrcPacket powinny być sumą dla wszystkich zagregowanych sesji. Przykład: `6478`
Pakiety sieciowe	Opcjonalny	Długi	Liczba pakietów wysłanych w obu kierunkach. Jeśli istnieją zarówno PacketsReceived , jak i PacketsSent , parametr PacketsTotal powinien być równy ich sumie. Znaczenie pakietu jest definiowane przez urządzenie raportowania. Jeśli zdarzenie jest agregowane, pakiety NetworkPackets powinny być sumą dla wszystkich zagregowanych sesji. Przykład: `6924`
NetworkSessionId	Opcjonalny	ciąg	Identyfikator sesji zgłoszony przez urządzenie raportowania. Przykład: `172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80`
Sessionid	Alias	Ciąg	Alias do pozycji NetworkSessionId.
TcpFlagsAck	Opcjonalny	Wartość logiczna	Zgłoszono flagę TCP ACK. Flaga potwierdzenia jest używana do potwierdzenia pomyślnego odebrania pakietu. Jak widać na powyższym diagramie, odbiornik wysyła ACK i SYN w drugim kroku procesu uzgadniania trójstopniowego, aby poinformować nadawcę, że otrzymał początkowy pakiet.
TcpFlagsFin	Opcjonalny	Wartość logiczna	Zgłoszono flagę TCP FIN. Ukończona flaga oznacza, że nie ma więcej danych od nadawcy. W związku z tym jest on używany w ostatnim pakietze wysłanym z nadawcy.
TcpFlagsSyn	Opcjonalny	Wartość logiczna	Zgłoszono flagę syn protokołu TCP. Flaga synchronizacji jest używana jako pierwszy krok do ustanowienia uzgadniania trzystopnie między dwoma hostami. Tylko pierwszy pakiet od nadawcy i odbiorcy powinien mieć ustawioną tę flagę.
TcpFlagsUrg	Opcjonalny	Wartość logiczna	Zgłoszono flagę TCP URG. Pilna flaga jest używana do powiadamiania odbiorcy o przetwarzaniu pilnych pakietów przed przetworzeniem wszystkich innych pakietów. Odbiorca zostanie powiadomiony o odebraniu wszystkich znanych pilnych danych. Aby uzyskać więcej informacji , zobacz RFC 6093 .
TcpFlagsPsh	Opcjonalny	Wartość logiczna	Zgłoszono flagę TCP PSH. Flaga wypychania jest podobna do flagi URG i informuje odbiorcę o przetworzeniu tych pakietów w miarę ich otrzymywania zamiast buforowania.
TcpFlagsRst	Opcjonalny	Wartość logiczna	Zgłoszono flagę TCP RST. Flaga resetowania jest wysyłana z odbiornika do nadawcy, gdy pakiet jest wysyłany do określonego hosta, który nie oczekiwał.
TcpFlagsEce	Opcjonalny	Wartość logiczna	Zgłoszono flagę TCP ECE. Ta flaga jest odpowiedzialna za wskazanie, czy element równorzędny TCP może obsługiwać sieć ECN. Aby uzyskać więcej informacji, zobacz RFC 3168 .
TcpFlagsCwr	Opcjonalny	Wartość logiczna	Zgłoszono flagę TCP CWR. Flaga ograniczenia przeciążenia okna jest używana przez hosta wysyłającego, aby wskazać, że otrzymał pakiet z ustawioną flagą ECE. Aby uzyskać więcej informacji, zobacz RFC 3168 .
TcpFlagsNs	Opcjonalny	Wartość logiczna	Zgłoszono flagę TCP NS. Flaga nonce sum jest nadal eksperymentalną flagą używaną do ochrony przed przypadkowym złośliwym ukrywaniem pakietów przed nadawcą. Aby uzyskać więcej informacji, zobacz RFC 3540

Pola systemu docelowego

Pole	Klasa	Wpisać	Opis
Czasu letniego	Alias		Unikatowy identyfikator serwera odbierającego żądanie DNS. To pole może mieć alias pól DstDvcId, DstHostname lub DstIpAddr . Przykład: `192.168.12.1`
DstIpAddr	Zalecane	Adres IP	Adres IP miejsca docelowego połączenia lub sesji. Jeśli sesja używa tłumaczenia adresów sieciowych, `DstIpAddr` jest publicznie widocznym adresem, a nie oryginalnym adresem źródła, który jest przechowywany w DstNatIpAddr Przykład: `2001:db8::ff00:42:8329` Uwaga: ta wartość jest obowiązkowa, jeśli określono nazwę DstHostname .
DstPortNumber	Opcjonalny	Liczba całkowita	Docelowy port IP. Przykład: `443`
DstHostname	Zalecane	Nazwa hosta (ciąg)	Nazwa hosta urządzenia docelowego z wyłączeniem informacji o domenie. Jeśli nazwa urządzenia nie jest dostępna, zapisz odpowiedni adres IP w tym polu. Przykład: `DESKTOP-1282V4D`
DstDomain	Zalecane	Domena (ciąg)	Domena urządzenia docelowego. Przykład: `Contoso`
DstDomainType	Warunkowe	Wyliczane	Typ domeny DstDomain. Aby uzyskać listę dozwolonych wartości i więcej informacji, zapoznaj się z tematem DomainType w artykule Omówienie schematu. Wymagane, jeśli jest używana domena DstDomain .
Nazwa DstFQDN	Opcjonalny	FQDN (ciąg)	Nazwa hosta urządzenia docelowego, w tym informacje o domenie, jeśli są dostępne. Przykład: `Contoso\DESKTOP-1282V4D` Uwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa hosta systemu Windows. DstDomainType odzwierciedla używany format.
DstDvcId	Opcjonalny	Ciąg	Identyfikator urządzenia docelowego. Jeśli dostępnych jest wiele identyfikatorów, użyj najważniejszego identyfikatora i zapisz pozostałe w polach `DstDvc<DvcIdType>`. Przykład: `ac7e9755-8eae-4ffc-8a02-50ed7a2216c3`
DstDvcScopeId	Opcjonalny	Ciąg	Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. DstDvcScopeId mapuje identyfikator subskrypcji na Azure i na identyfikator konta na platformie AWS.
DstDvcScope	Opcjonalny	Ciąg	Zakres platformy w chmurze, do którego należy urządzenie. DstDvcScope mapuje identyfikator subskrypcji na Azure i na identyfikator konta na platformie AWS.
DstDvcIdType	Warunkowe	Wyliczane	Typ identyfikatora DstDvcId. Aby uzyskać listę dozwolonych wartości i więcej informacji, zobacz DvcIdType w artykule Omówienie schematu. Wymagane, jeśli jest używany identyfikator DstDeviceId .
DstDeviceType	Opcjonalny	Wyliczane	Typ urządzenia docelowego. Aby uzyskać listę dozwolonych wartości i więcej informacji, zobacz DeviceType w artykule Omówienie schematu.
Strefa DstZone	Opcjonalny	Ciąg	Strefa sieciowa miejsca docelowego zdefiniowana przez urządzenie raportowania. Przykład: `Dmz`
DstInterfaceName	Opcjonalny	Ciąg	Interfejs sieciowy używany do połączenia lub sesji przez urządzenie docelowe. Przykład: `Microsoft Hyper-V Network Adapter`
DstInterfaceGuid	Opcjonalny	IDENTYFIKATOR GUID (ciąg)	Identyfikator GUID interfejsu sieciowego używanego na urządzeniu docelowym. Przykład: `46ad544b-eaf0-47ef-` `827c-266030f545a6`
DstMacAddr	Opcjonalny	Adres MAC (ciąg)	Adres MAC interfejsu sieciowego używanego na potrzeby połączenia lub sesji przez urządzenie docelowe. Przykład: `06:10:9f:eb:8f:14`
DstVlanId	Opcjonalny	Ciąg	Identyfikator sieci VLAN związany z urządzeniem docelowym. Przykład: `130`
OuterVlanId	Alias		Alias do DstVlanId. W wielu przypadkach nie można określić sieci VLAN jako źródła lub miejsca docelowego, ale jest ona scharakteryzowana jako wewnętrzna lub zewnętrzna. Ten alias oznacza, że identyfikator DstVlanId powinien być używany, gdy sieć VLAN jest scharakteryzowana jako zewnętrzna.
DstGeoCountry	Opcjonalny	Kraj	Kraj/region skojarzony z docelowym adresem IP. Aby uzyskać więcej informacji, zobacz Typy logiczne. Przykład: `USA`
DstGeoRegion	Opcjonalny	Region	Region lub stan skojarzony z docelowym adresem IP. Aby uzyskać więcej informacji, zobacz Typy logiczne. Przykład: `Vermont`
DstGeoCity	Opcjonalny	Miasto	Miasto skojarzone z docelowym adresem IP. Aby uzyskać więcej informacji, zobacz Typy logiczne. Przykład: `Burlington`
DstGeoLatitude	Opcjonalny	Szerokość geograficzna	Szerokość geograficzna współrzędnej skojarzonej z docelowym adresem IP. Aby uzyskać więcej informacji, zobacz Typy logiczne. Przykład: `44.475833`
DstGeoLongitude	Opcjonalny	Długość geograficzna	Długość geograficzna współrzędnej skojarzonej z docelowym adresem IP. Aby uzyskać więcej informacji, zobacz Typy logiczne. Przykład: `73.211944`
Opis DstDescription	Opcjonalny	Ciąg	Opisowy tekst skojarzony z urządzeniem. Przykład: `Primary Domain Controller`.

Pola użytkownika docelowego

Pole	Klasa	Wpisać	Opis
Identyfikator DstUserId	Opcjonalny	Ciąg	Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja użytkownika docelowego. Aby uzyskać obsługiwany format dla różnych typów identyfikatorów, zapoznaj się z jednostką Użytkownik. Przykład: `S-1-12`
DstUserScope	Opcjonalny	Ciąg	Zakres, taki jak dzierżawa Microsoft Entra, w którym zdefiniowano DstUserId i DstUsername. lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu.
DstUserScopeId	Opcjonalny	Ciąg	Identyfikator zakresu, taki jak identyfikator katalogu Microsoft Entra, w którym zdefiniowano DstUserId i DstUsername. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserScopeId w artykule Omówienie schematu.
DstUserIdType	Warunkowe	UserIdType	Typ identyfikatora przechowywanego w polu DstUserId . Aby uzyskać listę dozwolonych wartości i więcej informacji, zobacz UserIdType w artykule Omówienie schematu.
DstUsername	Opcjonalny	Nazwa użytkownika (ciąg)	Docelowa nazwa użytkownika, w tym informacje o domenie, jeśli są dostępne. Aby uzyskać obsługiwany format dla różnych typów identyfikatorów, zapoznaj się z jednostką Użytkownik. Użyj prostego formularza tylko wtedy, gdy informacje o domenie nie są dostępne. Zapisz typ nazwy użytkownika w polu DstUsernameType . Jeśli są dostępne inne formaty nazwy użytkownika, zapisz je w polach `DstUsername<UsernameType>`. Przykład: `AlbertE`
Użytkownika	Alias		Alias do nazwy DstUsername.
DstUsernameType	Warunkowe	Typ nazwy użytkownika	Określa typ nazwy użytkownika przechowywanej w polu DstUsername . Aby uzyskać listę dozwolonych wartości i więcej informacji, zobacz UsernameType w artykule Omówienie schematu. Przykład: `Windows`
DstUserType	Opcjonalny	Usertype	Typ użytkownika docelowego. Aby uzyskać listę dozwolonych wartości i więcej informacji, zobacz UserType w artykule Omówienie schematu. Uwaga: wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Zapisz oryginalną wartość w polu DstOriginalUserType .
DstOriginalUserType	Opcjonalny	Ciąg	Oryginalny typ użytkownika docelowego, jeśli jest dostarczany przez źródło.

Pola aplikacji docelowej

Pole	Klasa	Wpisać	Opis
DstAppName	Opcjonalny	Ciąg	Nazwa aplikacji docelowej. Przykład: `Facebook`
DstAppId	Opcjonalny	Ciąg	Identyfikator aplikacji docelowej zgłoszony przez urządzenie raportowania. Jeśli wartość DstAppType to `Process`i `DstProcessIdDstAppId` powinna mieć taką samą wartość. Przykład: `124`
DstAppType	Opcjonalny	Typ aplikacji	Typ aplikacji docelowej. Aby uzyskać listę dozwolonych wartości i więcej informacji, zapoznaj się z tematem AppType w artykule Omówienie schematu. To pole jest obowiązkowe, jeśli są używane nazwy DstAppName lub DstAppId .
DstProcessName	Opcjonalny	Ciąg	Nazwa pliku procesu, który zakończył sesję sieci. Ta nazwa jest zwykle uważana za nazwę procesu. Przykład: `C:\Windows\explorer.exe`
Proces	Alias		Alias do nazwy DstProcessName Przykład: `C:\Windows\System32\rundll32.exe`
DstProcessId	Opcjonalny	Ciąg	Identyfikator procesu (PID) procesu, który zakończył sesję sieci. Przykład: `48610176` Uwaga: typ jest zdefiniowany jako ciąg do obsługi różnych systemów, ale w systemie Windows i Linux ta wartość musi być liczbowa. Jeśli używasz maszyny z systemem Windows lub Linux i używasz innego typu, przekonwertuj wartości. Jeśli na przykład użyto wartości szesnastkowej, przekonwertuj ją na wartość dziesiętną.
DstProcessGuid	Opcjonalny	Ciąg	Wygenerowany unikatowy identyfikator (GUID) procesu, który zakończył sesję sieciową. Przykład: `EF3BD0BD-2B74-60C5-AF5C-010000001E00`

Pola systemu źródłowego

Pole	Klasa	Wpisać	Opis
Src	Alias		Unikatowy identyfikator urządzenia źródłowego. To pole może mieć alias pól SrcDvcId, SrcHostname lub SrcIpAddr . Przykład: `192.168.12.1`
SrcIpAddr	Zalecane	Adres IP	Adres IP, z którego pochodzi połączenie lub sesja. Ta wartość jest obowiązkowa, jeśli określono nazwę SrcHostname . Jeśli sesja używa tłumaczenia adresów sieciowych, `SrcIpAddr` jest publicznie widocznym adresem, a nie oryginalnym adresem źródła, który jest przechowywany w elemencie SrcNatIpAddr Przykład: `77.138.103.108`
SrcPortNumber	Opcjonalny	Liczba całkowita	Port IP, z którego pochodzi połączenie. Może nie być istotne dla sesji obejmującej wiele połączeń. Przykład: `2335`
SrcHostname	Zalecane	Nazwa hosta (ciąg)	Nazwa hosta urządzenia źródłowego z wyłączeniem informacji o domenie. Jeśli nazwa urządzenia nie jest dostępna, zapisz odpowiedni adres IP w tym polu. Przykład: `DESKTOP-1282V4D`
SrcDomain	Zalecane	Domena (ciąg)	Domena urządzenia źródłowego. Przykład: `Contoso`
SrcDomainType	Warunkowe	Domaintype	Typ SrcDomain. Aby uzyskać listę dozwolonych wartości i więcej informacji, zapoznaj się z tematem DomainType w artykule Omówienie schematu. Wymagane, jeśli jest używana domena SrcDomain .
SrcFQDN	Opcjonalny	FQDN (ciąg)	Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, jeśli są dostępne. Uwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa hosta systemu Windows. Pole SrcDomainType odzwierciedla używany format. Przykład: `Contoso\DESKTOP-1282V4D`
Identyfikator SrcDvcId	Opcjonalny	Ciąg	Identyfikator urządzenia źródłowego. Jeśli dostępnych jest wiele identyfikatorów, użyj najważniejszego identyfikatora i zapisz pozostałe w polach `SrcDvc<DvcIdType>`. Przykład: `ac7e9755-8eae-4ffc-8a02-50ed7a2216c3`
SrcDvcScopeId	Opcjonalny	Ciąg	Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. SrcDvcScopeId mapuje identyfikator subskrypcji na Azure i na identyfikator konta na platformie AWS.
SrcDvcScope	Opcjonalny	Ciąg	Zakres platformy w chmurze, do którego należy urządzenie. SrcDvcScope mapuje identyfikator subskrypcji na Azure i na identyfikator konta na platformie AWS.
SrcDvcIdType	Warunkowe	DvcIdType	Typ identyfikatora SrcDvcId. Aby uzyskać listę dozwolonych wartości i więcej informacji, zobacz DvcIdType w artykule Omówienie schematu. Uwaga: to pole jest wymagane, jeśli jest używany identyfikator SrcDvcId .
SrcDeviceType	Opcjonalny	Devicetype	Typ urządzenia źródłowego. Aby uzyskać listę dozwolonych wartości i więcej informacji, zobacz DeviceType w artykule Omówienie schematu.
SrcZone	Opcjonalny	Ciąg	Strefa sieciowa źródła zdefiniowana przez urządzenie raportowania. Przykład: `Internet`
SrcInterfaceName	Opcjonalny	Ciąg	Interfejs sieciowy używany do połączenia lub sesji przez urządzenie źródłowe. Przykład: `eth01`
SrcInterfaceGuid	Opcjonalny	IDENTYFIKATOR GUID (ciąg)	Identyfikator GUID interfejsu sieciowego używanego na urządzeniu źródłowym. Przykład: `46ad544b-eaf0-47ef-` `827c-266030f545a6`
SrcMacAddr	Opcjonalny	Adres MAC (ciąg)	Adres MAC interfejsu sieciowego, z którego pochodzi połączenie lub sesja. Przykład: `06:10:9f:eb:8f:14`
SrcVlanId	Opcjonalny	Ciąg	Identyfikator sieci VLAN powiązany z urządzeniem źródłowym. Przykład: `130`
InnerVlanId	Alias		Alias do SrcVlanId. W wielu przypadkach nie można określić sieci VLAN jako źródła lub miejsca docelowego, ale jest ona scharakteryzowana jako wewnętrzna lub zewnętrzna. Ten alias oznacza, że SrcVlanId powinien być używany, gdy sieć VLAN jest scharakteryzowana jako wewnętrzna.
SrcGeoCountry	Opcjonalny	Kraj	Kraj/region skojarzony ze źródłowym adresem IP. Przykład: `USA`
SrcGeoRegion	Opcjonalny	Region	Region skojarzony ze źródłowym adresem IP. Przykład: `Vermont`
SrcGeoCity	Opcjonalny	Miasto	Miasto skojarzone ze źródłowym adresem IP. Przykład: `Burlington`
SrcGeoLatitude	Opcjonalny	Szerokość geograficzna	Szerokość geograficzna współrzędnej skojarzonej ze źródłowym adresem IP. Przykład: `44.475833`
SrcGeoLongitude	Opcjonalny	Długość geograficzna	Długość geograficzna współrzędnej skojarzonej ze źródłowym adresem IP. Przykład: `73.211944`
SrcDescription	Opcjonalny	Ciąg	Opisowy tekst skojarzony z urządzeniem. Przykład: `Primary Domain Controller`.

Pola użytkownika źródłowego

Pole	Klasa	Wpisać	Opis
Identyfikator SrcUserId	Opcjonalny	Ciąg	Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja użytkownika źródłowego. Aby uzyskać obsługiwany format dla różnych typów identyfikatorów, zapoznaj się z jednostką Użytkownik. Przykład: `S-1-12`
SrcUserScope	Opcjonalny	Ciąg	Zakres, taki jak dzierżawa Microsoft Entra, w którym zdefiniowano wartości SrcUserId i SrcUsername. lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu.
SrcUserScopeId	Opcjonalny	Ciąg	Identyfikator zakresu, taki jak identyfikator katalogu Microsoft Entra, w którym zdefiniowano SrcUserId i SrcUsername. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserScopeId w artykule Omówienie schematu.
SrcUserIdType	Warunkowe	UserIdType	Typ identyfikatora przechowywanego w polu SrcUserId . Aby uzyskać listę dozwolonych wartości i więcej informacji, zobacz UserIdType w artykule Omówienie schematu.
SrcUsername	Opcjonalny	Nazwa użytkownika (ciąg)	Nazwa użytkownika źródła, w tym informacje o domenie, jeśli są dostępne. Aby uzyskać obsługiwany format dla różnych typów identyfikatorów, zapoznaj się z jednostką Użytkownik. Użyj prostego formularza tylko wtedy, gdy informacje o domenie nie są dostępne. Zapisz typ nazwy użytkownika w polu SrcUsernameType . Jeśli są dostępne inne formaty nazwy użytkownika, zapisz je w polach `SrcUsername<UsernameType>`. Przykład: `AlbertE`
SrcUsernameType	Warunkowe	Typ nazwy użytkownika	Określa typ nazwy użytkownika przechowywanej w polu SrcUsername . Aby uzyskać listę dozwolonych wartości i więcej informacji, zobacz UsernameType w artykule Omówienie schematu. Przykład: `Windows`
SrcUserType	Opcjonalny	Usertype	Typ użytkownika źródłowego. Aby uzyskać listę dozwolonych wartości i więcej informacji, zobacz UserType w artykule Omówienie schematu. Uwaga: wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Zapisz oryginalną wartość w polu SrcOriginalUserType .
SrcOriginalUserType	Opcjonalny	Ciąg	Oryginalny typ użytkownika docelowego, jeśli jest dostarczany przez urządzenie raportowania.

Pola aplikacji źródłowej

Pole	Klasa	Wpisać	Opis
SrcAppName	Opcjonalny	Ciąg	Nazwa aplikacji źródłowej. Przykład: `filezilla.exe`
SrcAppId	Opcjonalny	Ciąg	Identyfikator aplikacji źródłowej zgłoszony przez urządzenie raportowania. Jeśli wartość SrcAppType to `Process`i `SrcProcessIdSrcAppId` powinna mieć taką samą wartość. Przykład: `124`
SrcAppType	Opcjonalny	Typ aplikacji	Typ aplikacji źródłowej. Aby uzyskać listę dozwolonych wartości i więcej informacji, zapoznaj się z tematem AppType w artykule Omówienie schematu. To pole jest obowiązkowe, jeśli są używane nazwy SrcAppName lub SrcAppId .
SrcProcessName	Opcjonalny	Ciąg	Nazwa pliku procesu, który zainicjował sesję sieci. Ta nazwa jest zwykle uważana za nazwę procesu. Przykład: `C:\Windows\explorer.exe`
SrcProcessId	Opcjonalny	Ciąg	Identyfikator procesu (PID) procesu, który zainicjował sesję sieci. Przykład: `48610176` Uwaga: typ jest zdefiniowany jako ciąg do obsługi różnych systemów, ale w systemie Windows i Linux ta wartość musi być liczbowa. Jeśli używasz maszyny z systemem Windows lub Linux i używasz innego typu, przekonwertuj wartości. Jeśli na przykład użyto wartości szesnastkowej, przekonwertuj ją na wartość dziesiętną.
SrcProcessGuid	Opcjonalny	Ciąg	Wygenerowany unikatowy identyfikator (GUID) procesu, który zainicjował sesję sieciową. Przykład: `EF3BD0BD-2B74-60C5-AF5C-010000001E00`

Aliasy lokalne i zdalne

Wszystkie pola źródłowe i docelowe wymienione powyżej mogą być opcjonalnie aliasowane przez pola o tej samej nazwie oraz deskryptory Local i Remote. Jest to zazwyczaj przydatne w przypadku zdarzeń zgłaszanych przez punkt końcowy i dla których typ zdarzenia to EndpointNetworkSession.

W przypadku takich zdarzeń deskryptory Local i Remote oznaczają odpowiednio sam punkt końcowy i urządzenie na drugim końcu sesji sieciowej. W przypadku połączeń przychodzących system lokalny jest miejscem docelowym, Local pola są aliasami Dst pól, a pola "Zdalne" są aliasami Src pól. Z drugiej strony w przypadku połączeń wychodzących system lokalny jest źródłem, Local pola są aliasami Src pól, a Remote pola są aliasami pól Dst .

Na przykład dla zdarzenia przychodzącego pole LocalIpAddr jest aliasem, a DstIpAddr pole RemoteIpAddr jest aliasem do SrcIpAddr.

Aliasy nazwy hosta i adresu IP

Pole	Klasa	Wpisać	Opis
Nazwa hosta	Alias		— Jeśli typ zdarzenia to `NetworkSession`, `Flow` lub `L2NetworkSession`, nazwa hosta jest aliasem nazwy DstHostname. — Jeśli typ zdarzenia to `EndpointNetworkSession`, nazwa hosta jest aliasem , `RemoteHostname`który może aliasować nazwę DstHostname lub SrcHostName, w zależności od polecenia NetworkDirection
IpAddr	Alias		— Jeśli typ zdarzenia to `NetworkSession`, `Flow` lub `L2NetworkSession`, IpAddr jest aliasem SrcIpAddr. - Jeśli typ zdarzenia to `EndpointNetworkSession`, ipAddr jest aliasem do `LocalIpAddr`, który może aliasować SrcIpAddr lub DstIpAddr, w zależności od networkdirection.

Pola translatora adresów sieciowych urządzeń pośredniczących i adresów sieciowych

Poniższe pola są przydatne, jeśli rekord zawiera informacje o urządzeniu pośredniczącym, na przykład o zaporze lub serwerze proxy, który przekazuje sesję sieciową.

Systemy pośredniczące często używają tłumaczenia adresów, dlatego oryginalny adres i adres obserwowany zewnętrznie nie są takie same. W takich przypadkach pola adresu podstawowego, takie jak SrcIPAddr i DstIpAddr , reprezentują adresy obserwowane zewnętrznie, podczas gdy pola adresów NAT, SrcNatIpAddr i DstNatIpAddr reprezentują wewnętrzny adres oryginalnego urządzenia przed tłumaczeniem.

Pole	Klasa	Wpisać	Opis
DstNatIpAddr	Opcjonalny	Adres IP	DstNatIpAddr reprezentuje jedną z następujących wartości: — oryginalny adres urządzenia docelowego, jeśli użyto tłumaczenia adresu sieciowego. - Adres IP używany przez urządzenie pośredniczące do komunikacji ze źródłem. Przykład: `2::1`
DstNatPortNumber	Opcjonalny	Liczba całkowita	W przypadku zgłoszenia przez pośredniczące urządzenie NAT port używany przez urządzenie NAT do komunikacji ze źródłem. Przykład: `443`
SrcNatIpAddr	Opcjonalny	Adres IP	SrcNatIpAddr reprezentuje jedną z następujących wartości: - Oryginalny adres urządzenia źródłowego, jeśli użyto tłumaczenia adresu sieciowego. - Adres IP używany przez urządzenie pośredniczące do komunikacji z miejscem docelowym. Przykład: `4.3.2.1`
SrcNatPortNumber	Opcjonalny	Liczba całkowita	W przypadku zgłoszenia przez pośredniczące urządzenie NAT port używany przez urządzenie NAT do komunikacji z miejscem docelowym. Przykład: `345`
DvcInboundInterface	Opcjonalny	Ciąg	W przypadku zgłoszenia przez urządzenie pośredniczące interfejs sieciowy używany przez urządzenie TRANSLATOR na potrzeby połączenia z urządzeniem źródłowym. Przykład: `eth0`
DvcOutboundInterface	Opcjonalny	Ciąg	W przypadku zgłoszenia przez urządzenie pośredniczące interfejs sieciowy używany przez urządzenie TRANSLATOR na potrzeby połączenia z urządzeniem docelowym. Przykład: `Ethernet adapter Ethernet 4e`

Pola inspekcji

Następujące pola są używane do reprezentowania tej inspekcji, która została wykonana na urządzeniu zabezpieczającym, takim jak zapora, protokół IPS lub brama zabezpieczeń sieci Web:

Pole	Klasa	Wpisać	Opis
NetworkRuleName	Opcjonalny	Ciąg	Nazwa lub identyfikator reguły, według której podjęto decyzję o dvcAction . Przykład: `AnyAnyDrop`
NetworkRuleNumber	Opcjonalny	Liczba całkowita	Liczba zasad, na podstawie których podjęto decyzję o dvcAction . Przykład: `23`
Reguły	Alias	Ciąg	Wartość parametru NetworkRuleName lub wartość parametru NetworkRuleNumber. Jeśli jest używana wartość parametru NetworkRuleNumber , typ powinien zostać przekonwertowany na ciąg.
ThreatId	Opcjonalny	Ciąg	Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w sesji sieciowej. Przykład: `Tr.124`
ThreatName	Opcjonalny	Ciąg	Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w sesji sieciowej. Przykład: `EICAR Test File`
ThreatCategory	Opcjonalny	Ciąg	Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w sesji sieciowej. Przykład: `Trojan`
ThreatRiskLevel	Opcjonalny	RiskLevel (liczba całkowita)	Poziom ryzyka skojarzony z sesją. Poziom powinien być liczbą z zakresu od 0 do 100. Uwaga: wartość może zostać podana w rekordzie źródłowym przy użyciu innej skali, która powinna zostać znormalizowana do tej skali. Oryginalna wartość powinna być przechowywana w witrynie ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel	Opcjonalny	Ciąg	Poziom ryzyka zgłoszony przez urządzenie raportowania.
ThreatIpAddr	Opcjonalny	Adres IP	Adres IP, dla którego zidentyfikowano zagrożenie. Pole ThreatField zawiera nazwę pola ThreatIpAddr reprezentuje.
Pole zagrożenia	Warunkowe	Wyliczane	Pole, dla którego zidentyfikowano zagrożenie. Wartość to albo `SrcIpAddr` lub `DstIpAddr`.
ThreatConfidence	Opcjonalny	ConfidenceLevel (liczba całkowita)	Poziom ufności zidentyfikowanego zagrożenia znormalizowany do wartości od 0 do 100.
ThreatOriginalConfidence	Opcjonalny	Ciąg	Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgłoszony przez urządzenie raportowania.
ThreatIsActive	Opcjonalny	Wartość logiczna	Prawda, jeśli zidentyfikowane zagrożenie jest uważane za aktywne zagrożenie.
ThreatFirstReportedTime	Opcjonalny	Datetime	Przy pierwszym zidentyfikowaniu adresu IP lub domeny jako zagrożenia.
ThreatLastReportedTime	Opcjonalny	Datetime	Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie.

Inne pola

Pole	Klasa	Wpisać	Opis
ASimMatchingIpAddr	Zalecane	Wyliczane	Gdy analizator używa `ipaddr_has_any_prefix` parametrów filtrowania, to pole jest ustawiane z jedną z wartości `SrcIpAddr`, `DstIpAddr`lub `Both` w celu odzwierciedlenia pasujących pól lub pól.
ASimMatchingHostname	Zalecane	Wyliczane	Gdy analizator używa `hostname_has_any` parametrów filtrowania, to pole jest ustawiane z jedną z wartości `SrcHostname`, `DstHostname`lub `Both` w celu odzwierciedlenia pasujących pól lub pól.

Jeśli zdarzenie jest zgłaszane przez jeden z punktów końcowych sesji sieciowej, może zawierać informacje o procesie, który zainicjował lub zakończył sesję. W takich przypadkach schemat zdarzeń procesu ASIM jest używany do normalizacji tych informacji.

Aktualizacje schematu

Poniżej przedstawiono zmiany w wersji 0.2.1 schematu:

Dodano Src aliasy i Dst jako do wiodącego identyfikatora systemów źródłowych i docelowych.
Dodano pola NetworkConnectionHistory, SrcVlanId, DstVlanId, InnerVlanId, i OuterVlanId.

Poniżej przedstawiono zmiany w wersji 0.2.2 schematu:

Dodano Remote aliasy i Local .
Dodano typ EndpointNetworkSessionzdarzenia .
Zdefiniowane Hostname i IpAddr jako aliasy odpowiednio dla RemoteHostname i LocalIpAddr , gdy typ zdarzenia to EndpointNetworkSession.
Zdefiniowane DvcInterface jako alias do DvcInboundInterface lub DvcOutboundInterface.
Zmieniono typ następujących pól z Liczba całkowita na Długa: SrcBytes, DstBytes, NetworkBytes, , SrcPackets, DstPacketsi NetworkPackets.
Dodano pole NetworkProtocolVersion.
Przestarzałe DstUserDomain i SrcUserDomain.

Poniżej przedstawiono zmiany w wersji 0.2.3 schematu:

ipaddr_has_any_prefix Dodano parametr filtrowania.
Parametr filtrowania hostname_has_any jest teraz zgodny ze źródłowymi lub docelowymi nazwami hostów.
Dodano pola ASimMatchingHostname i ASimMatchingIpAddr.

Poniżej przedstawiono zmiany w wersji 0.2.4 schematu:

TcpFlags Dodano pola.
Zaktualizowano NetworkIcpmType i NetworkIcmpCode w celu odzwierciedlenia wartości liczbowej dla obu tych elementów.
Dodano dodatkowe pola inspekcji.
Nazwa pola "ThreatRiskLevelOriginal" została zmieniona tak, aby ThreatOriginalRiskLevel była zgodna z konwencjami ASIM. Istniejące analizatory firmy Microsoft będą przechowywane ThreatRiskLevelOriginal do 1 maja 2023 r.
Oznaczono EventResultDetails jako zalecane i określono dozwolone wartości.

Poniżej przedstawiono zmiany w wersji 0.2.5 schematu:

Dodano pola DstUserScope, SrcUserScope, SrcDvcScopeId, SrcDvcScope, DstDvcScopeId, , DstDvcScope, DvcScopeId, i DvcScope.

Poniżej przedstawiono zmiany w wersji 0.2.6 schematu:

Dodano usługę IDS jako typ zdarzenia

Poniżej przedstawiono zmiany w wersji 0.2.7 schematu:

Dodano pola DstDescription i SrcDescription

Następne kroki

Więcej informacji można znaleźć w następujących artykułach:

Opinia

Czy ta strona była pomocna?

Last updated on 2026-04-23