Referência do esquema de normalização de Sessão de Rede do ASIM (Modelo de Informações de Segurança Avançado) (versão prévia pública)
O esquema de normalização de Sessão de Rede do Microsoft Sentinel representa uma atividade de rede de IP, como conexões de rede e sessões de rede. Esses eventos são relatados, por exemplo, por sistemas operacionais, roteadores, firewalls e sistemas de prevenção contra intrusões.
O esquema de normalização de rede pode representar qualquer tipo de uma sessão de rede IP, mas foi projetado para dar suporte a tipos de origem comuns, como NetFlow, firewalls e sistemas de prevenção contra intrusão.
Para saber mais sobre a normalização no Microsoft Sentinel, confira Normalização e o ASIM (Modelo de Informações de Segurança Avançado).
Este artigo descreve a versão 0.2.x do esquema de normalização de rede. A versão 0.1 foi lançada antes que o ASIM estivesse disponível e não se alinha com o ASIM em vários locais. Para obter mais informações, confira Diferenças entre as versões do esquema de normalização de rede.
Importante
Atualmente, o esquema de normalização de rede está em versão prévia. O recurso é fornecido sem um Contrato de Nível de Serviço. Não o recomendamos para carga de trabalho de produção.
Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Analisadores
Para obter mais informações sobre os analisadores do ASIM, consulte a Visão geral dos analisadores do ASIM.
Unificando analisadores
Para usar analisadores que unificam todos os analisadores do ASIM e garantir que sua análise seja executado em todas as fontes configuradas, use o _Im_NetworkSessionanalisador de filtragem ou o _ASim_NetworkSession analisador sem parâmetros.
Você também pode usar os analisadores ImNetworkSession e ASimNetworkSession implantados pelo workspace ao implantá-los no ImNetworkSession.
Para obter mais informações, consulte Analisadores ASIM integrados e analisadores implantados no workspace.
Analisadores específicos da origem e prontos para uso
Para obter a lista dos analisadores de Sessão de Rede que o Microsoft Sentinel fornece prontos para uso, consulte a Lista dos analisadores do ASIM
Adicionar seus próprios analisadores normalizados
Ao desenvolver analisadores personalizados para o modelo de informação da Sessão de Rede, dê um nome às suas funções KQL usando a seguinte sintaxe:
vimNetworkSession<vendor><Product>para analisadores parametrizadosASimNetworkSession<vendor><Product>para analisadores regulares
Consulte o artigo Gerenciando analisadores ASIM para saber como adicionar seus analisadores personalizados à sessão de rede unificando analisadores.
Filtragem de parâmetros de analisador
Os analisadores de Sessão de Rede dão suporte a parâmetros de filtragem. Embora esses analisadores sejam opcionais, eles podem melhorar o desempenho da consulta.
Os seguintes parâmetros de filtragem estão disponíveis:
| Nome | Tipo | Descrição |
|---|---|---|
| starttime | DATETIME | Filtrar somente sessões de rede iniciadas nesse horário ou depois dele. |
| endtime | DATETIME | Filtrar somente sessões de rede cuja execução iniciou nesse horário ou antes dele. |
| srcipaddr_has_any_prefix | dinâmico | Filtrar somente as sessões de rede para as quais o prefixo do campo de endereço IP de origem é um dos valores listados. Os prefixos devem terminar com um ., por exemplo: 10.0.. O comprimento da lista é limitado a dez mil itens. |
| dstipaddr_has_any_prefix | dinâmico | Filtrar somente as sessões de rede para as quais o prefixo do campo de endereço IP de destino é um dos valores listados. Os prefixos devem terminar com um ., por exemplo: 10.0.. O comprimento da lista é limitado a dez mil itens. |
| ipaddr_has_any_prefix | dinâmico | Filtrar somente as sessões de rede para as quais o prefixo do campo de endereço IP de destino ou do campo de endereço IP de origem é um dos valores listados. Os prefixos devem terminar com um ., por exemplo: 10.0.. O comprimento da lista é limitado a dez mil itens.O campo ASimMatchingIpAddr é definido com um dos valores SrcIpAddr, DstIpAddr, ou Both para refletir os campos ou campos correspondentes. |
| dstportnumber | Int | Filtre somente sessões de rede com o número de porta de destino especificado. |
| hostname_has_any | dynamic/string | Filtrar somente as sessões de rede para as quais o campo do nome do host de destino tem um dos valores listados. O comprimento da lista é limitado a dez mil itens. O campo ASimMatchingHostname é definido com um dos valores SrcHostname, DstHostname, ou Both para refletir os campos ou campos correspondentes. |
| dvcaction | dynamic/string | Filtrar somente as sessões de rede para as quais o campo Ação do Dispositivo é um dos valores listados. |
| eventresult | String | Filtre somente sessões de rede com um valor EventResult específico. |
Alguns parâmetros podem aceitar uma lista de valores do tipo dynamic ou um só valor de cadeia de caracteres. Para passar uma lista literal para parâmetros que esperam um valor dinâmico, use explicitamente um literal dinâmico. Por exemplo: dynamic(['192.168.','10.'])
Por exemplo, para filtrar somente sessões de rede em uma lista especificada de nomes de domínio, use o seguinte:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
Dica
Para passar uma lista literal para parâmetros que esperam um valor dinâmico, use explicitamente um literal dinâmico. Por exemplo: dynamic(['192.168.','10.']).
Conteúdo normalizado
Para obter uma lista completa de regras de análise que usam eventos DNS normalizados, confira o Conteúdo de segurança da sessão de rede.
Visão geral do esquema
O modelo de informação de Sessão de Rede está alinhado com o esquema de entidade de Rede OSSEM.
O esquema de Sessão de Rede atende a vários tipos de cenários semelhantes, mas distintos, que compartilham os mesmos campos. Esses cenários são identificados pelo campo EventType:
NetworkSession: uma sessão de rede relatada por um dispositivo intermediário que monitora a rede, como um firewall, um roteador ou um TAP de rede.L2NetworkSession: sessões de rede para as quais apenas as informações da camada 2 estão disponíveis. Esses eventos incluirão endereços MAC, mas não endereços IP.Flow: um evento agregado que relata várias sessões de rede semelhantes, normalmente durante um período de tempo predefinido, como eventos Netflow.EndpointNetworkSession: uma sessão de rede relatada por um dos pontos de extremidade da sessão, incluindo clientes e servidores. Para esses eventos, o esquema dá suporte aos campos de aliasremoteelocal.IDS: uma sessão de rede relatada como suspeita. Esse evento terá alguns dos campos de inspeção preenchidos e poderá ter apenas um campo de endereço IP preenchido, seja a origem ou o destino.
Normalmente, uma consulta deve selecionar apenas um subconjunto desses tipos de evento e pode precisar abordar aspectos separados exclusivos dos casos de uso. Por exemplo, os eventos IDS não refletem todo o volume de rede e não devem ser levados em conta na análise baseada em coluna.
Os eventos de sessão de rede usam os descritores e para denotar as funções dos dispositivos Src e Dst usuários e aplicativos relacionados envolvidos na sessão. Portanto, por exemplo, o nome do host do dispositivo de origem e o endereço IP são chamados SrcHostname e SrcIpAddr. Outros esquemas ASIM normalmente usam Target em vez de Dst.
Para eventos relatados por um ponto de extremidade cujo o tipo de evento é EndpointNetworkSession, os descritores Local e Remote denotam o próprio ponto de extremidade e o dispositivo na outra extremidade da sessão de rede, respectivamente.
O descritor Dvc é usado para o dispositivo de relatório, que é o sistema local para sessões relatadas por um ponto de extremidade e o toque de rede, ou dispositivo intermediário para outros eventos de sessão de rede.
Detalhes do esquema
Campos comuns do ASIM
Importante
Os campos comuns a todos os esquemas estão descritos em detalhes no artigo Campos comuns do ASIM.
Campos comuns com diretrizes específicas
A seguinte lista menciona os campos que têm diretrizes específicas para eventos de sessão de rede:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| EventCount | Obrigatório | Inteiro | As fontes do Netflow dão suporte à agregação, e o campo EventCount deve ser definido como o valor do campo FLUXOS do Netflow. Para outras fontes, o valor normalmente é definido como 1. |
| Tipo de evento | Obrigatório | Enumerated | Descreve o cenário relatado pelo registro. Para registros de Sessão de Rede, os valores permitidos são: - EndpointNetworkSession- NetworkSession - L2NetworkSession- IDS - FlowPara obter mais informações sobre tipos de evento, consulte a visão geral do esquema |
| EventSubType | Opcional | Cadeia de caracteres | Descrição adicional do tipo de evento, se aplicável. Para os registros das Sessões de Rede, os valores com suporte incluem: - Start- EndEsse campo não é relevante para eventos Flow. |
| EventResult | Obrigatório | Enumerated | Se o dispositivo de origem não fornecer um resultado de evento, EventResult deverá ser baseado no valor de DvcAction. Se DvcAction for Deny, Drop, Drop ICMP, Reset, Reset Source ou Reset Destination, EventResult deverá ser Failure. Caso contrário, EventResult deverá ser Success. |
| EventResultDetails | Recomendadas | Enumerated | Motivo ou detalhes do resultado relatado no campo EventResult. Os valores com suporte são: - Failover - TCP inválido - Túnel inválido - Repetição máxima - Redefinir - Problema de roteamento - Simulação - Encerrado - Tempo limite - Erro transitório - Desconhecido - ND. O valor original específico da origem é armazenado no campo EventOriginalResultDetails. |
| EventSchema | Obrigatório | String | O nome do esquema documentado aqui é NetworkSession. |
| EventSchemaVersion | Obrigatório | String | A versão do esquema. A versão do esquema documentado aqui é 0.2.6. |
| DvcAction | Recomendadas | Enumerated | A ação realizada na sessão de rede. Os valores com suporte são: - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNrouteObservação: O valor pode ser fornecido no registro de origem usando diferentes termos, que devem ser normalizados para esses valores. O valor original deve ser armazenado no campo DvcOriginalAction. Exemplo: drop |
| EventSeverity | Opcional | Enumerated | Se o dispositivo de origem não fornecer uma severidade de evento, EventSeverity deverá ser baseado no valor de DvcAction. Se DvcAction for Deny, Drop, Drop ICMP, Reset, Reset Source ou Reset Destination, EventSeverity deverá ser Low. Caso contrário, EventSeverity deverá ser Informational. |
| DvcInterface | O campo DvcInterface deve ter como alias os campos DvcInboundInterface ou DvcOutboundInterface. | ||
| Campos Dvc | Para eventos de Sessão de Rede, os campos do dispositivo referem-se ao sistema que relata o evento de Sessão de Rede. |
Todos os campos comuns
Os campos que aparecem na tabela abaixo são comuns a todos os esquemas do ASIM. Qualquer diretriz especificada acima substitui as diretrizes gerais do campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para saber mais sobre cada campo, confira o artigo Campos comuns do ASIM.
| Classe | Fields |
|---|---|
| Obrigatório | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendadas | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campos da sessão de rede
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| NetworkApplicationProtocol | Opcional | Cadeia de caracteres | O protocolo de camada de aplicativo usado pela conexão ou sessão. O valor deve estar em letras maiúsculas. Exemplo: FTP |
| Protocolo de rede | Opcional | Enumerated | O protocolo IP usado pela conexão ou pela sessão, conforme listado na atribuição de protocolo IANA, que normalmente é TCP, UDP ou ICMP.Exemplo: TCP |
| NetworkProtocolVersion | Opcional | Enumerated | A versão do NetworkProtocol. Ao usá-lo para distinguir entre a versão de IP, use os valores IPv4 e IPv6. |
| NetworkDirection | Opcional | Enumerated | A direção da conexão ou da sessão: - Para o EventType NetworkSession , Flow ou L2NetworkSession, NetworkDirection representa a direção relativa ao limite da organização ou do ambiente de nuvem. Os valores compatíveis são Inbound, Outbound, Local (para a organização), External (para a organização) ou NA (não aplicável).- Para o EventType EndpointNetworkSession, NetworkDirection representa a direção relativa ao endpoint. Os valores compatíveis são Inbound, Outbound, Local (para o sistema), Listen ou NA (não aplicável). O valor Listen indica que um dispositivo começou a aceitar conexões de rede, mas não está, necessariamente, conectado. |
| NetworkDuration | Opcional | Inteiro | O tempo, em milissegundos, até a conclusão da conexão ou da sessão de rede. Exemplo: 1500 |
| Duration | Alias | Alias para NetworkDuration. | |
| TipoIcmpRede | Opcional | String | Para uma mensagem ICMP, nome do tipo ICMP associado ao valor numérico, conforme descrito no RFC 2780 para conexões de rede IPv4 ou no RFC 4443 para conexões de rede IPv6. Exemplo: Destination Unreachable para NetworkIcmpCode 3 |
| NetworkIcmpCode | Opcional | Inteiro | Para uma mensagem ICMP, o número do código do ICMP, conforme descrito na RFC 2780 para conexões de rede IPv4 ou na RFC 4443 para conexões de rede IPv6. |
| NetworkConnectionHistory | Opcional | String | Sinalizadores TCP e outras informações potenciais de cabeçalho IP. |
| DstBytes | Recomendadas | long | O número de bytes enviados do destino para a origem da conexão ou sessão. Se o evento for agregado, DstBytes deverá ser a soma de todas as sessões agregadas. Exemplo: 32455 |
| SrcBytes | Recomendadas | long | O número de bytes enviados da origem para o destino da conexão ou sessão. Se o evento for agregado, SrcBytes deverá ser a soma de todas as sessões agregadas. Exemplo: 46536 |
| NetworkBytes | Opcional | long | Número de bytes enviados em ambas as direções. Se BytesReceived e BytesSent existirem, BytesTotal será igual à soma dos dois. Se o evento for agregado, NetworkBytes deverá ser a soma de todas as sessões agregadas. Exemplo: 78991 |
| DstPackets | Opcional | long | O número de pacotes enviados do destino para a origem da conexão ou sessão. O significado de um pacote é definido pelo dispositivo de relatório. Se o evento for agregado, DstPackets deverá ser a soma de todas as sessões agregadas. Exemplo: 446 |
| SrcPackets | Opcional | long | O número de pacotes enviados da origem para o destino da conexão ou sessão. O significado de um pacote é definido pelo dispositivo de relatório. Se o evento for agregado, SrcPackets deverá ser a soma de todas as sessões agregadas. Exemplo: 6478 |
| NetworkPackets | Opcional | long | O número de pacotes enviados em ambas as direções. Se PacketsReceived e PacketsSent existirem, BytesTotal será igual à soma dos dois. O significado de um pacote é definido pelo dispositivo de relatório. Se o evento for agregado, NetworkPackets deverá ser a soma de todas as sessões agregadas. Exemplo: 6924 |
| NetworkSessionId | Opcional | string | O identificador de sessão, conforme relatado pelo dispositivo de relatório. Exemplo: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| SessionId | Alias | String | Alias para NetworkSessionId. |
| TcpFlagsAck | Opcional | Boolean | O sinalizador TCP ACK relatado. O sinalizador de confirmação é usado para reconhecer o recebimento bem-sucedido de um pacote. Como podemos ver no diagrama acima, o receptor envia um ACK e um SYN na segunda etapa do processo de handshake de três vias para informar ao remetente que ele recebeu seu pacote inicial. |
| TcpFlagsFin | Opcional | Boolean | O sinalizador TCP FIN relatado. O sinalizador concluído significa que não há mais dados do remetente. Portanto, ele é usado no último pacote enviado do remetente. |
| TcpFlagsSyn | Opcional | Boolean | O sinalizador TCP SYN relatado. O sinalizador de sincronização é usado como uma primeira etapa para estabelecer um handshake de três vias entre dois hosts. Somente o primeiro pacote do remetente e do receptor deve ter esse sinalizador definido. |
| TcpFlagsUrg | Opcional | Boolean | O sinalizador TCP URG relatado. O sinalizador urgente é usado para notificar o receptor para processar os pacotes urgentes antes de processar todos os outros pacotes. O receptor será notificado quando todos os dados urgentes conhecidos tiverem sido recebidos. Consulte a RFC 6093 para obter mais detalhes. |
| TcpFlagsPsh | Opcional | Boolean | O sinalizador TCP PSH relatado. O sinalizador de push é semelhante ao sinalizador URG e informa ao receptor para processar esses pacotes conforme eles são recebidos em vez de armazená-los em buffer. |
| TcpFlagsRst | Opcional | Boolean | O sinalizador TCP RST relatado. O sinalizador de redefinição é enviado do receptor para o remetente quando um pacote é enviado para um host específico que não estava esperando por ele. |
| TcpFlagsEce | Opcional | Boolean | O sinalizador TCP ECE relatado. Esse sinalizador é responsável por indicar se o par TCP tem capacidade de ECN. Consulte a RFC 3168 para obter mais detalhes. |
| TcpFlagsCwr | Opcional | Boolean | O sinalizador TCP CWR relatado. O sinalizador reduzido da janela de congestionamento é usado pelo host de envio para indicar que recebeu um pacote com o sinalizador ECE definido. Consulte a RFC 3168 para obter mais detalhes. |
| TcpFlagsNs | Opcional | Boolean | O sinalizador TCP NS relatado. O sinalizador de soma de nonce ainda é um sinalizador experimental usado para ajudar a proteger contra ocultação mal-intencionada acidental de pacotes do remetente. Consulte a RFC 3540 para obter mais detalhes |
Campos do sistema de destino
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Dst | Recomendadas | Alias | Um identificador exclusivo do servidor que está recebendo a solicitação DNS. Esse campo pode gerar alias dos campos DstDvcId, DstHostname ou DstIpAddr. Exemplo: 192.168.12.1 |
| DstIpAddr | Recomendadas | Endereço IP | O endereço IP da conexão ou do destino da sessão. Se a sessão usar a conversão de endereços de rede, DstIpAddr será o endereço visível publicamente, e não o endereço original da origem que está armazenada em DstNatIpAddrExemplo: 2001:db8::ff00:42:8329Observação: esse valor será obrigatório se DstHostname for especificado. |
| DstPortNumber | Opcional | Inteiro | A porta do IP de destino. Exemplo: 443 |
| DstHostname | Recomendadas | Nome do host | O nome do host do dispositivo de destino, excluindo informações de domínio. Se nenhum nome de dispositivo estiver disponível, armazene o endereço IP relevante nesse campo. Exemplo: DESKTOP-1282V4D |
| DstDomain | Recomendadas | String | O domínio do dispositivo de destino. Exemplo: Contoso |
| DstDomainType | Condicional | Enumerated | O tipo de DstDomain. Para obter uma lista de valores permitidos e informações adicionais, consulte DomainType no artigo Visão Geral do Esquema. Obrigatório se DstDomain for usado. |
| DstFQDN | Opcional | Cadeia de caracteres | O nome do host do dispositivo de destino, incluindo informações de domínio, quando disponíveis. Exemplo: Contoso\DESKTOP-1282V4D Observação: esse campo dá suporte ao formato FQDN tradicional e ao formato domínio\nome do host do Windows. O DstDomainType reflete o formato usado. |
| DstDvcId | Opcional | String | A ID do dispositivo de destino. Se várias IDs estiverem disponíveis, use a mais importante e armazene as outras nos campos DstDvc<DvcIdType>. Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | Opcional | String | A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do DstDvcScopeId para uma ID da assinatura no Azure e para uma ID da conta no AWS. |
| DstDvcScope | Opcional | String | O escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do DstDvcScope para uma ID da assinatura no Azure e para uma ID da conta no AWS. |
| DstDvcIdType | Condicional | Enumerated | O tipo de DstDvcId. Para obter uma lista de valores permitidos e informações adicionais, consulte DvcIdType no artigo Visão geral do esquema. Obrigatório se DstDeviceId for usado. |
| DstDeviceType | Opcional | Enumerated | O tipo do dispositivo de destino. Para obter uma lista de valores permitidos e informações adicionais, consulte DeviceType no artigo Visão geral do esquema. |
| DstZone | Opcional | Cadeia de caracteres | A zona de rede do destino, conforme definido pelo dispositivo de relatório. Exemplo: Dmz |
| DstInterfaceName | Opcional | Cadeia de caracteres | O adaptador de rede usado pelo dispositivo de destino para a conexão ou sessão. Exemplo: Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | Opcional | Cadeia de caracteres | O GUID do adaptador de rede usado no dispositivo de destino. Exemplo: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | Opcional | String | O endereço MAC do adaptador de rede usado pelo dispositivo de destino para a conexão ou a sessão. Exemplo: 06:10:9f:eb:8f:14 |
| DstVlanId | Opcional | String | A ID da VLAN relacionada ao dispositivo de destino. Exemplo: 130 |
| OuterVlanId | Opcional | Alias | Alias para DstVlanId. Em muitos casos, a VLAN não pode ser determinada como uma origem ou um destino, mas é caracterizada como interna ou externa. Esse alias para significa que DstVlanId deve ser usado quando a VLAN é caracterizada como externa. |
| DstSubscriptionId | Opcional | String | A ID da assinatura da plataforma de nuvem à qual o dispositivo de destino pertence. Mapa do DstSubscriptionId para uma ID da assinatura no Azure e para uma ID da conta no AWS. |
| DstGeoCountry | Opcional | País | O país associado ao endereço IP de destino. Para obter mais informações, confira Tipos lógicos. Exemplo: USA |
| DstGeoRegion | Opcional | Região | A região ou estado associado ao endereço IP de destino. Para obter mais informações, confira Tipos lógicos. Exemplo: Vermont |
| DstGeoCity | Opcional | City | A cidade associada ao endereço IP de destino. Para obter mais informações, confira Tipos lógicos. Exemplo: Burlington |
| DstGeoLatitude | Opcional | Latitude | A latitude da coordenada geográfica associada ao endereço IP de destino. Para obter mais informações, confira Tipos lógicos. Exemplo: 44.475833 |
| DstGeoLongitude | Opcional | Longitude | A longitude da coordenada geográfica associada ao endereço IP de destino. Para obter mais informações, confira Tipos lógicos. Exemplo: 73.211944 |
Campos de usuário de destino
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| DstUserId | Opcional | Cadeia de caracteres | Uma representação exclusiva, alfanumérica e legível pelo computador do usuário de destino. Para o formato com suporte para tipos de ID diferentes, consulte a entidade do Usuário. Exemplo: S-1-12 |
| DstUserScope | Opcional | String | O escopo, como o locatário do Microsoft Entra, no qual DstUserId e DstUsername são definidos. Para obter mais informações e uma lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema. |
| DstUserScopeId | Opcional | String | A ID do escopo, como o Microsoft Entra Directory ID, na qual são definidos DstUserId e DstUsername. para obter mais informações e uma lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema. |
| DstUserIdType | Condicional | UserIdType | O tipo da ID armazenada no campo DstUserId. Para obter uma lista de valores permitidos e informações adicionais, consulte UserIdType no artigo Visão geral do esquema. |
| DstUsername | Opcional | String | O nome de usuário de destino, incluindo informações de domínio, quando disponíveis. Para o formato com suporte para tipos de ID diferentes, consulte a entidade do Usuário. Use o formulário simples somente quando as informações de domínio não estiverem disponíveis. Armazene o tipo Username no campo DstUsernameType. Se outros formatos de nome de usuário estiverem disponíveis, armazene-os nos campos DstUsername<UsernameType>.Exemplo: AlbertE |
| Usuário | Alias | Alias para DstUsername. | |
| DstUsernameType | Condicional | UsernameType | Especifica o tipo do nome de usuário armazenado no campo DstUsername. Para obter uma lista de valores permitidos e informações adicionais, consulte UsernameType no artigo Visão geral do esquema. Exemplo: Windows |
| DstUserType | Opcional | UserType | O tipo de usuário de destino. Para obter uma lista de valores permitidos e informações adicionais, consulte UserType no artigo Visão geral do esquema. Observação: O valor pode ser fornecido no registro de origem usando diferentes termos, que devem ser normalizados para esses valores. Armazene o valor original no campo DstOriginalUserType. |
| DstOriginalUserType | Opcional | Cadeia de caracteres | O tipo de usuário de destino original, se fornecido pela fonte. |
Campos do aplicativo de destino
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| DstAppName | Opcional | Cadeia de caracteres | O nome do aplicativo de destino. Exemplo: Facebook |
| DstAppId | Opcional | String | A ID do aplicativo de destino, conforme relatado pelo dispositivo de relatório. Se DstAppType for Process, então DstAppId e DstProcessId deverão ter o mesmo valor.Exemplo: 124 |
| DstAppType | Opcional | AppType | O tipo do aplicativo de destino. Para obter uma lista de valores permitidos e informações adicionais, consulte AppType no artigo Visão geral do esquema. Esse campo será obrigatório se DstAppName ou DstAppId forem usados. |
| DstProcessName | Opcional | String | O nome do arquivo do processo que terminou a sessão de rede. Normalmente, esse nome é considerado como o nome do processo. Exemplo: C:\Windows\explorer.exe |
| Processo | Alias | Alias para o DstProcessName Exemplo: C:\Windows\System32\rundll32.exe |
|
| DstProcessId | Opcional | String | A ID de processo (PID) do processo que terminou a sessão de rede. Exemplo: 48610176 Observação: o tipo é definido como uma cadeia de caracteres para ser compatível com sistemas variados, mas no Windows e no Linux esse valor deve ser numérico. Se você estiver usando um computador Windows ou Linux e tiver usado um tipo diferente, converta os valores. Por exemplo, se você tiver usado um valor hexadecimal, converta-o em um valor decimal. |
| DstProcessGuid | Opcional | String | Um GUID (identificador exclusivo gerado) do processo que terminou a sessão de rede. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Campos do sistema de origem
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Src | Alias | Um identificador exclusivo do dispositivo de origem. Esse campo pode gerar alias dos campos SrcDvcId, SrcHostname ou SrcIpAddr. Exemplo: 192.168.12.1 |
|
| SrcIpAddr | Recomendadas | Endereço IP | O endereço IP em que a conexão ou sessão foi originada. Esse valor será obrigatório se SrcHostname for especificado. Se a sessão usar a conversão de endereços de rede, SrcIpAddr será o endereço visível publicamente, e não o endereço original da origem que está armazenada em SrcNatIpAddrExemplo: 77.138.103.108 |
| SrcPortNumber | Opcional | Inteiro | A porta IP em que a conexão foi originada. Pode não ser relevante para uma sessão que abrange várias conexões. Exemplo: 2335 |
| SrcNome do host | Recomendadas | Nome do host | O nome do host do dispositivo de origem, incluindo informações de domínio. Se nenhum nome de dispositivo estiver disponível, armazene o endereço IP relevante nesse campo. Exemplo: DESKTOP-1282V4D |
| SrcDomain | Recomendadas | String | O domínio do dispositivo de origem. Exemplo: Contoso |
| SrcDomainType | Condicional | DomainType | O tipo de SrcDomain. Para obter uma lista de valores permitidos e informações adicionais, consulte DomainType no artigo Visão Geral do Esquema. Necessário se SrcDomain for usado. |
| SrcFQDN | Opcional | Cadeia de caracteres | O nome do host do dispositivo de origem, incluindo informações de domínio quando disponível. Observação: esse campo dá suporte ao formato FQDN tradicional e ao formato domínio\nome do host do Windows. O campo SrcDomainType reflete o formato usado. Exemplo: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Opcional | String | A ID do dispositivo de origem. Se várias IDs estiverem disponíveis, use a mais importante e armazene as outras nos campos SrcDvc<DvcIdType>.Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcional | String | A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do SrcDvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
| SrcDvcScope | Opcional | String | O escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do SrcDvcScope para uma ID da assinatura no Azure e para uma ID da conta no AWS. |
| SrcDvcIdType | Condicional | DvcIdType | Tipo de SrcDvcId. Para obter uma lista de valores permitidos e informações adicionais, consulte DvcIdType no artigo Visão geral do esquema. Observação: esse campo será obrigatório se SrcDvcId for usado. |
| SrcDeviceType | Opcional | DeviceType | O tipo do dispositivo de origem. Para obter uma lista de valores permitidos e informações adicionais, consulte DeviceType no artigo Visão geral do esquema. |
| SrcZone | Opcional | Cadeia de caracteres | A zona de rede da origem, conforme definido pelo dispositivo de relatório. Exemplo: Internet |
| SrcInterfaceName | Opcional | Cadeia de caracteres | O adaptador de rede usado pelo dispositivo de origem para a conexão ou sessão. Exemplo: eth01 |
| SrcInterfaceGuid | Opcional | Cadeia de caracteres | O GUID do adaptador de rede usado no dispositivo de origem. Exemplo: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | Opcional | Cadeia de caracteres | O endereço MAC do adaptador de rede em que a sessão ou a conexão foi originada. Exemplo: 06:10:9f:eb:8f:14 |
| SrcVlanId | Opcional | String | A ID da VLAN relacionada ao dispositivo de origem. Exemplo: 130 |
| InnerVlanId | Opcional | Alias | Alias para SrcVlanId. Em muitos casos, a VLAN não pode ser determinada como uma origem ou um destino, mas é caracterizada como interna ou externa. Esse alias para significa que SrcVlanId deve ser usado quando a VLAN é caracterizada como interna. |
| SrcSubscriptionId | Opcional | String | A ID da assinatura da plataforma de nuvem à qual o dispositivo de origem pertence. Mapa do SrcSubscriptionId para uma ID da assinatura no Azure e para uma ID da conta no AWS. |
| SrcGeoCountry | Opcional | País | O país associado ao endereço IP de origem. Exemplo: USA |
| SrcGeoRegion | Opcional | Região | A região associada ao endereço IP de origem. Exemplo: Vermont |
| SrcGeoCity | Opcional | City | A cidade associada ao endereço IP de origem. Exemplo: Burlington |
| SrcGeoLatitude | Opcional | Latitude | A latitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 44.475833 |
| SrcGeoLongitude | Opcional | Longitude | A longitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 73.211944 |
Campos do usuário de origem
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| SrcUserId | Opcional | Cadeia de caracteres | Uma representação exclusiva, alfanumérica e legível pelo computador do usuário de origem. Para o formato com suporte para tipos de ID diferentes, consulte a entidade do Usuário. Exemplo: S-1-12 |
| SrcUserScope | Opcional | String | O escopo, como o locatário do Microsoft Entra, no qual SrcUserId e SrcUsername são definidos. Para obter mais informações e uma lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema. |
| SrcUserScopeId | Opcional | String | A ID do escopo, como o Microsoft Entra Directory ID, na qual são definidos SrcUserId e SrcUsername. para obter mais informações e uma lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema. |
| SrcUserIdType | Condicional | UserIdType | O tipo da ID armazenada no campo SrcUserId. Para obter uma lista de valores permitidos e informações adicionais, consulte UserIdType no artigo Visão geral do esquema. |
| SrcUsername | Opcional | String | O nome de usuário de origem, incluindo informações de domínio, quando disponíveis. Para o formato com suporte para tipos de ID diferentes, consulte a entidade do Usuário. Use o formulário simples somente quando as informações de domínio não estiverem disponíveis. Armazene o tipo Username no campo SrcUsernameType. Se outros formatos de nome de usuário estiverem disponíveis, armazene-os nos campos SrcUsername<UsernameType>.Exemplo: AlbertE |
| SrcUsernameType | Condicional | UsernameType | Especifica o tipo do nome de usuário armazenado no campo SrcUsername. Para obter uma lista de valores permitidos e informações adicionais, consulte UsernameType no artigo Visão geral do esquema. Exemplo: Windows |
| SrcUserType | Opcional | UserType | O tipo de usuário de origem. Para obter uma lista de valores permitidos e informações adicionais, consulte UserType no artigo Visão geral do esquema. Observação: O valor pode ser fornecido no registro de origem usando diferentes termos, que devem ser normalizados para esses valores. Armazene o valor original no campo SrcOriginalUserType. |
| SrcOriginalUserType | Opcional | String | O tipo de usuário de destino original, se fornecido pelo dispositivo de relatório. |
Campos de aplicativo de origem
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| SrcAppName | Opcional | Cadeia de caracteres | O nome do aplicativo de origem. Exemplo: filezilla.exe |
| SrcAppId | Opcional | String | A ID do aplicativo de destino, conforme relatado pelo dispositivo de relatório. Se SrcAppType for Process, então SrcAppId e SrcProcessId deverão ter o mesmo valor.Exemplo: 124 |
| SrcAppType | Opcional | AppType | O tipo do aplicativo de origem. Para obter uma lista de valores permitidos e informações adicionais, consulte AppType no artigo Visão geral do esquema. Esse campo será obrigatório se SrcAppName ou SrcAppId for usado. |
| SrcProcessName | Opcional | String | O nome do arquivo do processo que iniciou a sessão de rede. Normalmente, esse nome é considerado como o nome do processo. Exemplo: C:\Windows\explorer.exe |
| SrcProcessId | Opcional | String | A ID de processo (PID) do processo que iniciou a sessão de rede. Exemplo: 48610176 Observação: o tipo é definido como uma cadeia de caracteres para ser compatível com sistemas variados, mas no Windows e no Linux esse valor deve ser numérico. Se você estiver usando um computador Windows ou Linux e tiver usado um tipo diferente, converta os valores. Por exemplo, se você tiver usado um valor hexadecimal, converta-o em um valor decimal. |
| SrcProcessGuid | Opcional | String | Um GUID (identificador exclusivo gerado) do processo que iniciou a sessão de rede. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Aliases locais e remotos
Todos os campos de origem e de destino listados acima podem ser, opcionalmente, com aliases por campos com o mesmo nome e os descritores Local e Remote. Isso geralmente é útil para eventos relatados por um ponto de extremidade e para o qual o tipo de evento é EndpointNetworkSession.
Para esses eventos, os descritores Local e Remote denotam o próprio ponto de extremidade e o dispositivo na outra extremidade da sessão de rede, respectivamente. Para conexões de entrada, o sistema local é o destino, os campos Local são aliases para os campos Dst, e os campos 'Remotos ' são aliases para campos Src. Para conexões de saída, o sistema local é a origem, os campos Local são aliases para os campos Src, e os campos Remote são aliases para campos Dst.
Por exemplo, para um evento de entrada, o campo LocalIpAddr é um alias para DstIpAddr, e o campo RemoteIpAddr é um alias para SrcIpAddr.
Nome de host e aliases de endereço IP
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Hostname | Alias | – Se o tipo de evento for NetworkSession, Flow ou L2NetworkSession, o Hostname será um alias para DstHostname.– Se o tipo de evento for EndpointNetworkSession, o Hostname é um alias para RemoteHostname, que pode ser alias de DstHostname ou SrcHostName, dependendo de NetworkDirection |
|
| IpAddr | Alias | – Se o tipo de evento for NetworkSession, Flow ou L2NetworkSession, o Hostname será um alias para SrcIpAddr.– Se o tipo de evento for EndpointNetworkSession, o IpAddr será um alias para LocalIpAddr, que pode ser alias de SrcIpAddr ou DstIpAddr, dependendo de NetworkDirection. |
Campos do dispositivo intermediário e NAT (Conversão de Endereços de Rede)
Os campos a seguir serão úteis se o registro incluir informações sobre um dispositivo intermediário, como um firewall ou um proxy, que retransmite a sessão de rede.
Os sistemas intermediários geralmente usam a conversão de endereços e, portanto, o endereço original e o endereço observado externamente não são os mesmos. Nesses casos, os campos de endereço primário, como SrcIPAddr e DstIpAddr, representam os endereços observados externamente, enquanto os campos de endereço NAT, SrcNatIpAddr e DstNatIpAddr, representam o endereço interno do dispositivo original antes da tradução.
Campos de inspeção
Os seguintes campos são usados para representar essa inspeção que um dispositivo de segurança, como um firewall, um IPS ou um gateway de segurança da Web, realizou:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| NetworkRuleName | Opcional | Cadeia de caracteres | O nome ou a ID da regra pela qual a DvcAction foi decidida. Exemplo: AnyAnyDrop |
| NetworkRuleNumber | Opcional | Inteiro | O número da regra pela qual DvcAction foi decidida. Exemplo: 23 |
| Regra | Alias | String | O valor de NetworkRuleName ou o valor de NetworkRuleNumber. Se o valor de NetworkRuleNumber for usado, o tipo deverá ser convertido em cadeia de caracteres. |
| ThreatId | Opcional | Cadeia de caracteres | A ID da ameaça ou do malware identificado na sessão de rede. Exemplo: Tr.124 |
| ThreatName | Opcional | Cadeia de caracteres | O nome da ameaça ou do malware identificado na sessão de rede. Exemplo: EICAR Test File |
| ThreatCategory | Opcional | Cadeia de caracteres | A categoria da ameaça ou do malware identificado na sessão de rede. Exemplo: Trojan |
| ThreatRiskLevel | Opcional | Inteiro | O nível de risco associado à sessão. O nível deve ser um número entre 0 e 100. Observação: o valor pode ser fornecido no registro de origem usando uma escala diferente, que deve ser normalizado para essa escala. O valor original deve ser armazenado em ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcional | Cadeia de caracteres | O nível de risco, conforme relatado pelo dispositivo de relatório. |
| ThreatIpAddr | Opcional | Endereço IP | Um endereço IP para o qual uma ameaça foi identificada. O campo ThreatField contém o nome do campo que ThreatIpAddr representa. |
| ThreatField | Condicional | Enumerated | O campo para o qual uma ameaça foi identificada. O valor é SrcIpAddr ou DstIpAddr. |
| ThreatConfidence | Opcional | Inteiro | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatOriginalConfidence | Opcional | String | O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
| ThreatIsActive | Opcional | Boolean | True, se a ameaça identificada é considerada uma ameaça ativa. |
| ThreatFirstReportedTime | Opcional | DATETIME | A primeira vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatLastReportedTime | Opcional | DATETIME | A última vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
Outros campos
Se o evento for relatado por um dos pontos de extremidade da sessão de rede, ele poderá incluir informações sobre o processo que iniciou ou encerrou a sessão. Nesses casos, o esquema de Evento de Processo do ASIM é usado para normalizar essas informações.
Atualizações de esquema
Estas são as alterações na versão 0.2.1 do esquema:
- Adicionados
SrceDstcomo aliases a um identificador principal para os sistemas de origem e de destino. - Adicionados os campos
NetworkConnectionHistory,SrcVlanId,DstVlanId,InnerVlanIdeOuterVlanId.
Estas são as alterações na versão 0.2.2 do esquema:
- Adicionados os aliases
RemoteeLocal. - Adicionado o tipo de evento
EndpointNetworkSession. - Definido
HostnameeIpAddrcomo aliases paraRemoteHostnameeLocalIpAddr, respectivamente, quando o tipo de evento éEndpointNetworkSession. - Definido
DvcInterfacecomo um alias paraDvcInboundInterfaceouDvcOutboundInterface. - Alterado o tipo dos campos a seguir de inteiro para longo:
SrcBytes,DstBytes,NetworkBytes,SrcPackets,DstPacketseNetworkPackets. - Adicionados os campos
NetworkProtocolVersion,SrcSubscriptionIdeDstSubscriptionId. - Preteridos
DstUserDomaineSrcUserDomain.
Estas são as alterações na versão 0.2.3 do esquema:
- Adicionado o parâmetro
ipaddr_has_any_prefixde filtragem. - O parâmetro
hostname_has_anyde filtragem agora corresponde aos nomes do host de origem ou de destino. - Adicionados os campos
ASimMatchingHostnameeASimMatchingIpAddr.
Estas são as alterações na versão 0.2.4 do esquema:
- Adicionados os campos
TcpFlags. - Atualizados
NetworkIcpmTypeeNetworkIcmpCodepara refletir o valor do número para ambos. - Adicionados campos de inspeção adicionais.
- O campo ''ThreatRiskLevelOriginal'' foi renomeado para
ThreatOriginalRiskLevelse alinhar às convenções ASIM. Os analisadores existentes da Microsoft manterãoThreatRiskLevelOriginalaté 1º de maio de 2023. - Marcado
EventResultDetailscomo recomendado e especificados os valores permitidos.
Estas são as alterações na versão 0.2.5 do esquema:
- Adicionados os campos
DstUserScope,SrcUserScope,SrcDvcScopeId,SrcDvcScope,DstDvcScopeId,DstDvcScope,DvcScopeIdeDvcScope.
Estas são as alterações na versão 0.2.6 do esquema:
- IDS adicionado como um tipo de evento
Próximas etapas
Para obter mais informações, consulte:
- Assista ao Webinar do ASIM ou examine os slides
- Visão geral do ASIM (Modelo de Informações de Segurança Avançado)
- Esquemas do ASIM (Modelo de Informações de Segurança Avançado)
- Analisadores do ASIM (Modelo de Informações de Segurança Avançado)
- Conteúdo do ASIM (Modelo de Informações de Segurança Avançado)