Referência do esquema de normalização da Sessão de Rede do Modelo de Informação de Segurança Avançada (ASIM)

O esquema de normalização da Sessão de Rede Microsoft Sentinel representa uma atividade de rede IP, como ligações de rede e sessões de rede. Tais eventos são comunicados, por exemplo, por sistemas operativos, routers, firewalls e sistemas de prevenção de intrusões.

O esquema de normalização de rede pode representar qualquer tipo de sessão de rede IP, mas foi concebido para fornecer suporte para tipos de origem comuns, como Netflow, firewalls e sistemas de prevenção de intrusões.

Para obter mais informações sobre a normalização no Microsoft Sentinel, veja Normalização e Modelo avançado de informações de segurança (ASIM).

Analisadores

Para obter mais informações sobre os analisadores do ASIM, veja Descrição geral dos analisadores do ASIM.

Analisadores unificadores unificadores

Para utilizar analisadores que unifiquem todos os analisadores asIM fora da caixa e certifique-se de que a sua análise é executada em todas as origens configuradas, utilize o _Im_NetworkSession analisador.

Analisadores específicos de origem fora da caixa

Para obter a lista de analisadores de Sessões de Rede Microsoft Sentinel fornece uma lista de analisadores de Sessão de Rede, consulte a lista de analisadores asim

Adicionar os seus próprios analisadores normalizados

Ao desenvolver analisadores personalizados para o modelo de informações da Sessão de Rede, atribua um nome às funções KQL com a seguinte sintaxe:

vimNetworkSession<vendor><Product> para parsers parametrizados
ASimNetworkSession<vendor><Product> para analisadores regulares

Veja o artigo Managing ASIM parsers (Gerir analisadores ASIM ) para saber como adicionar os seus analisadores personalizados aos analisadores unificadores unificadores da sessão de rede.

Filtrar parâmetros do analisador

Os analisadores de Sessões de Rede suportam parâmetros de filtragem. Embora estes parâmetros sejam opcionais, podem melhorar o desempenho da consulta.

Estão disponíveis os seguintes parâmetros de filtragem:

Nome	Tipo	Descrição
hora de início	datetime	Filtre apenas as sessões de rede iniciadas em ou depois deste momento. Este parâmetro filtra no `TimeGenerated` campo, que é o designador padrão para a hora do evento, independentemente do mapeamento específico do analisador dos campos EventStartTime e EventEndTime.
endtime	datetime	Filtre apenas as sessões de rede que começaram a ser executadas em ou antes desta hora. Este parâmetro filtra no `TimeGenerated` campo, que é o designador padrão para a hora do evento, independentemente do mapeamento específico do analisador dos campos EventStartTime e EventEndTime.
srcipaddr_has_any_prefix	dinâmico	Filtre apenas as sessões de rede para as quais o prefixo do campo de endereço IP de origem está num dos valores listados. Os prefixos devem terminar com um `.`, por exemplo: `10.0.`. O comprimento da lista está limitado a 10 000 itens.
dstipaddr_has_any_prefix	dinâmico	Filtre apenas as sessões de rede para as quais o prefixo do campo de endereço IP de destino está num dos valores listados. Os prefixos devem terminar com um `.`, por exemplo: `10.0.`. O comprimento da lista está limitado a 10 000 itens.
ipaddr_has_any_prefix	dinâmico	Filtre apenas as sessões de rede para as quais o prefixo do campo de endereço IP de destino ou do campo de endereço IP de origem está num dos valores listados. Os prefixos devem terminar com um `.`, por exemplo: `10.0.`. O comprimento da lista está limitado a 10 000 itens. O campo ASimMatchingIpAddr é definido com um dos valores `SrcIpAddr`, `DstIpAddr`ou `Both` para refletir os campos ou campos correspondentes.
dstportnumber	Int	Filtre apenas as sessões de rede com o número de porta de destino especificado.
hostname_has_any	dinâmico/cadeia	Filtre apenas as sessões de rede para as quais o campo de nome de anfitrião de destino tem qualquer um dos valores listados. O comprimento da lista está limitado a 10 000 itens. O campo ASimMatchingHostname é definido com um dos valores `SrcHostname`, `DstHostname`ou `Both` para refletir os campos ou campos correspondentes.
dvcaction	dinâmico/cadeia	Filtre apenas as sessões de rede para as quais o campo Ação do Dispositivo é qualquer um dos valores listados.
eventresult	Cadeia de caracteres	Filtre apenas sessões de rede com um valor EventResult específico.

Alguns parâmetros podem aceitar a lista de valores do tipo dynamic ou um único valor de cadeia. Para transmitir uma lista literal para parâmetros que esperam um valor dinâmico, utilize explicitamente um literal dinâmico. Por exemplo: dynamic(['192.168.','10.'])

Por exemplo, para filtrar apenas sessões de rede para uma lista especificada de nomes de domínio, utilize:

let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)

Dica

Para transmitir uma lista literal para parâmetros que esperam um valor dinâmico, utilize explicitamente um literal dinâmico. Por exemplo: dynamic(['192.168.','10.']).

Conteúdo normalizado

Para obter uma lista completa das regras de análise que utilizam eventos DNS normalizados, veja Conteúdo de segurança da sessão de rede.

Visão geral do esquema

O modelo de informações da Sessão de Rede está alinhado com o esquema de entidade da Rede OSSEM.

O esquema de Sessão de Rede serve vários tipos de cenários semelhantes, mas distintos, que partilham os mesmos campos. Esses cenários são identificados pelo campo EventType:

NetworkSession - uma sessão de rede comunicada por um dispositivo intermédio que monitoriza a rede, como uma Firewall, um router ou um toque de rede.
L2NetworkSession - uma sessão de rede para a qual só estão disponíveis informações de camada 2. Tais eventos incluirão endereços MAC, mas não endereços IP.
Flow - um evento agregado que reporta várias sessões de rede semelhantes, normalmente durante um período de tempo predefinido, como eventos do Netflow .
EndpointNetworkSession - uma sessão de rede comunicada por um dos pontos finais da sessão, incluindo clientes e servidores. Para tais eventos, o esquema suporta os campos de alias remote e local .
IDS - uma sessão de rede comunicada como suspeita. Este evento terá alguns dos campos de inspeção preenchidos e poderá ter apenas um campo de endereço IP preenchido, seja a origem ou o destino.

Normalmente, uma consulta deve selecionar apenas um subconjunto desses tipos de eventos e poderá ter de abordar aspetos exclusivos dos casos de utilização em separado. Por exemplo, os eventos IDS não refletem todo o volume de rede e não devem ser tidos em conta na análise baseada em colunas.

Os eventos de sessão de rede utilizam os descritores Src e Dst para denotar as funções dos dispositivos e utilizadores e aplicações relacionados envolvidos na sessão. Por exemplo, o nome do anfitrião e o endereço IP do dispositivo de origem têm o nome SrcHostname e SrcIpAddr. Normalmente, outros esquemas ASIM utilizam Target em vez de Dst.

Para eventos comunicados por um ponto final e para os quais o tipo de evento é EndpointNetworkSession, os descritores Local e Remote denotam o próprio ponto final e o dispositivo na outra extremidade da sessão de rede, respetivamente.

O descritor Dvc é utilizado para o dispositivo de relatório, que é o sistema local para sessões comunicadas por um ponto final, e o dispositivo intermediário ou toque na rede para outros eventos de sessão de rede.

Detalhes do esquema

Campos ASIM comuns

Importante

Os campos comuns a todos os esquemas são descritos em detalhe no artigo Campos Comuns do ASIM .

Campos comuns com diretrizes específicas

A lista seguinte menciona campos que têm diretrizes específicas para eventos de Sessão de Rede:

Campo	Classe	Tipo	Descrição
EventCount	Obrigatório	Número inteiro	As origens do Netflow suportam a agregação e o campo EventCount deve ser definido como o valor do campo Netflow FLOWS . Para outras origens, o valor é normalmente definido como `1`.
EventType	Obrigatório	Enumerado	Descreve o cenário comunicado pelo registo. Para registos de Sessões de Rede, os valores permitidos são: - `EndpointNetworkSession` - `NetworkSession` - `L2NetworkSession` - `IDS` - `Flow` Para obter mais informações sobre os tipos de eventos, veja a descrição geral do esquema
EventSubType	Opcional	Enumerado	Descrição adicional do tipo de evento, se aplicável. Para registos de Sessões de Rede, os valores suportados incluem: - `Start` - `End` Este campo não é relevante para `Flow` eventos.
EventResult	Obrigatório	Enumerado	Se o dispositivo de origem não fornecer um resultado de evento, EventResult deve basear-se no valor de DvcAction. Se DvcAction for `Deny`, `Drop`, `Drop ICMP`, `Reset`, `Reset Source`ou `Reset Destination` , EventResult deve ser `Failure`. Caso contrário, EventResult deve ser `Success`.
EventResultDetails	Recomendado	Enumerado	Motivo ou detalhes do resultado comunicado no campo EventResult . Os valores com suporte são: - Ativação pós-falha - TCP inválido - Túnel Inválido - Repetição Máxima - Repor - Problema de encaminhamento - Simulação - Terminado - Tempo limite - Erro transitório - Desconhecido - NA. O valor original, específico da origem, é armazenado no campo EventOriginalResultDetails .
EventSchema	Obrigatório	Enumerado	O nome do esquema documentado aqui é `NetworkSession`.
EventSchemaVersion	Obrigatório	SchemaVersion (Cadeia)	A versão do esquema. A versão do esquema documentado aqui é `0.2.7`.
DvcAction	Recomendado	Enumerado	A ação tomada na sessão de rede. Os valores com suporte são: - `Allow` - `Deny` - `Drop` - `Drop ICMP` - `Reset` - `Reset Source` - `Reset Destination` - `Encrypt` - `Decrypt` - `VPNroute` Nota: o valor pode ser fornecido no registo de origem com termos diferentes, que devem ser normalizados para estes valores. O valor original deve ser armazenado no campo DvcOriginalAction . Exemplo: `drop`
EventSeverity	Opcional	Enumerado	Se o dispositivo de origem não fornecer uma gravidade de evento, EventSeverity deve basear-se no valor de DvcAction. Se DvcAction for `Deny`, `Drop`, `Drop ICMP`, `Reset`, `Reset Source`ou `Reset Destination` , EventSeverity deve ser `Low`. Caso contrário, EventSeverity deve ser `Informational`.
DvcInterface			O campo DvcInterface deve alias os campos DvcInboundInterface ou DvcOutboundInterface .
Campos dvc			Para eventos de Sessão de Rede, os campos do dispositivo referem-se ao sistema que reporta o evento Sessão de Rede.

Todos os campos comuns

Os campos que aparecem na tabela abaixo são comuns a todos os esquemas ASIM. Qualquer orientação especificada acima substitui as diretrizes gerais do campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais informações sobre cada campo, veja o artigo Campos Comuns do ASIM .

Classe	Fields
Obrigatório	- EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc
Recomendado	- EventResultDetails - EventoSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction
Opcional	- EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campos Adicionais - DvcDescription - DvcScopeId - DvcScope

Campos de sessão de rede

Campo	Classe	Tipo	Descrição
NetworkApplicationProtocol	Opcional	Cadeia de caracteres	O protocolo de camada da aplicação utilizado pela ligação ou sessão. O valor deve estar em maiúsculas. Exemplo: `FTP`
NetworkProtocol	Opcional	Enumerado	O protocolo IP utilizado pela ligação ou sessão conforme listado na atribuição do protocolo IANA, que é normalmente `TCP`, `UDP`ou `ICMP`. Exemplo: `TCP`
NetworkProtocolVersion	Opcional	Enumerado	A versão de NetworkProtocol. Ao utilizá-la para distinguir entre a versão do IP, utilize os valores `IPv4` e `IPv6`.
RedeDireção	Opcional	Enumerado	A direção da ligação ou sessão: - Para EventType`NetworkSession`, `Flow` ou `L2NetworkSession`, NetworkDirection representa a direção relativa ao limite do ambiente da organização ou da cloud. Os valores suportados são `Inbound`, `Outbound`, `Local` (para a organização), `External` (para a organização) ou `NA` (Não Aplicável). - Para EventType`EndpointNetworkSession`, NetworkDirection representa a direção relativa ao ponto final. Os valores suportados são `Inbound`, `Outbound`, `Local` (para o sistema) `Listen` ou `NA` (Não Aplicável). O `Listen` valor indica que um dispositivo começou a aceitar ligações de rede, mas não está necessariamente ligado.
NetworkDuration	Opcional	Número inteiro	A quantidade de tempo, em milissegundos, para a conclusão da sessão ou ligação de rede. Exemplo: `1500`
Duration	Alias		Alias para NetworkDuration.
NetworkIcmpType	Opcional	Cadeia de caracteres	Para uma mensagem ICMP, escreva o nome do tipo ICMP associado ao valor numérico, conforme descrito em RFC 2780 para ligações de rede IPv4 ou em RFC 4443 para ligações de rede IPv6. Exemplo: `Destination Unreachable` para NetworkIcmpCode `3`
NetworkIcmpCode	Opcional	Número inteiro	Para uma mensagem ICMP, o número de código ICMP conforme descrito em RFC 2780 para ligações de rede IPv4 ou em RFC 4443 para ligações de rede IPv6.
NetworkConnectionHistory	Opcional	Cadeia de caracteres	Sinalizadores TCP e outras potenciais informações de cabeçalho de IP.
DstBytes	Recomendado	Long	O número de bytes enviados do destino para a origem da ligação ou sessão. Se o evento for agregado, dstBytes deve ser a soma em todas as sessões agregadas. Exemplo: `32455`
SrcBytes	Recomendado	Long	O número de bytes enviados da origem para o destino da ligação ou sessão. Se o evento for agregado, srcBytes deve ser a soma em todas as sessões agregadas. Exemplo: `46536`
NetworkBytes	Opcional	Long	Número de bytes enviados em ambas as direções. Se bytesReceived e BytesSent existirem, BytesTotal deverá ser igual à soma. Se o evento for agregado, NetworkBytes deve ser a soma em todas as sessões agregadas. Exemplo: `78991`
DstPackets	Opcional	Long	O número de pacotes enviados do destino para a origem da ligação ou sessão. O significado de um pacote é definido pelo dispositivo de relatório. Se o evento for agregado, dstPackets deve ser a soma em todas as sessões agregadas. Exemplo: `446`
SrcPackets	Opcional	Long	O número de pacotes enviados da origem para o destino da ligação ou sessão. O significado de um pacote é definido pelo dispositivo de relatório. Se o evento for agregado, srcPackets deve ser a soma em todas as sessões agregadas. Exemplo: `6478`
NetworkPackets	Opcional	Long	O número de pacotes enviados em ambas as direções. Se packetsReceived e PacketsSent existirem, PacketsTotal deve ser igual à soma. O significado de um pacote é definido pelo dispositivo de relatório. Se o evento for agregado, NetworkPackets deve ser a soma em todas as sessões agregadas. Exemplo: `6924`
NetworkSessionId	Opcional	string	O identificador da sessão, conforme comunicado pelo dispositivo de relatório. Exemplo: `172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80`
SessionId	Alias	Cadeia de caracteres	Alias para NetworkSessionId.
TcpFlagsAck	Opcional	Booliano	O Sinalizador TCP ACK reportado. O sinalizador de confirmação é utilizado para reconhecer a receção bem-sucedida de um pacote. Como podemos ver no diagrama acima, o recetor envia um ACK e um SYN no segundo passo do processo de handshake de três vias para indicar ao remetente que recebeu o pacote inicial.
TcpFlagsFin	Opcional	Booliano	O Sinalizador TCP FIN reportado. O sinalizador concluído significa que não existem mais dados do remetente. Por conseguinte, é utilizado no último pacote enviado do remetente.
TcpFlagsSyn	Opcional	Booliano	O Sinalizador TCP SYN reportado. O sinalizador de sincronização é utilizado como um primeiro passo para estabelecer um handshake de três vias entre dois anfitriões. Apenas o primeiro pacote do remetente e do recetor deve ter este sinalizador definido.
TcpFlagsUrg	Opcional	Booliano	O Sinalizador TCP URG informou. O sinalizador urgente é utilizado para notificar o recetor para processar os pacotes urgentes antes de processar todos os outros pacotes. O recetor será notificado quando todos os dados urgentes conhecidos tiverem sido recebidos. Consulte RFC 6093 para obter mais detalhes.
TcpFlagsPsh	Opcional	Booliano	O Sinalizador PSH TCP comunicado. O sinalizador push é semelhante ao sinalizador URG e indica ao recetor para processar estes pacotes à medida que são recebidos em vez de os colocar na memória intermédia.
TcpFlagsRst	Opcional	Booliano	O Sinalizador TCP RST comunicado. O sinalizador de reposição é enviado do recetor para o remetente quando um pacote é enviado para um anfitrião específico que não estava à espera.
TcpFlagsEce	Opcional	Booliano	O Sinalizador TCP ECE comunicado. Este sinalizador é responsável por indicar se o elemento da rede TCP é compatível com ECN. Consulte RFC 3168 para obter mais detalhes.
TcpFlagsCwr	Opcional	Booliano	O Sinalizador TCP CWR informou. O sinalizador reduzido da janela de congestionamento é utilizado pelo anfitrião de envio para indicar que recebeu um pacote com o sinalizador ECE definido. Consulte RFC 3168 para obter mais detalhes.
TcpFlagsNs	Opcional	Booliano	O Sinalizador NS do TCP foi comunicado. O sinalizador de soma de nonce ainda é um sinalizador experimental utilizado para ajudar a proteger contra ocultação maliciosa acidental de pacotes do remetente. Consulte RFC 3540 para obter mais detalhes

Campos do sistema de destino

Campo	Classe	Tipo	Descrição
Dst	Alias		Um identificador exclusivo do servidor que recebe o pedido DNS. Este campo pode alias os campos DstDvcId, DstHostname ou DstIpAddr . Exemplo: `192.168.12.1`
DstIpAddr	Recomendado	Endereço IP	O endereço IP da ligação ou destino da sessão. Se a sessão utilizar a tradução de endereços de rede, `DstIpAddr` será o endereço publicamente visível e não o endereço original da origem, que está armazenado em DstNatIpAddr Exemplo: `2001:db8::ff00:42:8329` Nota: este valor é obrigatório se dstHostname for especificado.
DstPortNumber	Opcional	Número inteiro	A porta IP de destino. Exemplo: `443`
DstHostname	Recomendado	Nome do anfitrião (Cadeia)	O nome do anfitrião do dispositivo de destino, excluindo as informações de domínio. Se não estiver disponível nenhum nome de dispositivo, armazene o endereço IP relevante neste campo. Exemplo: `DESKTOP-1282V4D`
DstDomain	Recomendado	Domínio (Cadeia)	O domínio do dispositivo de destino. Exemplo: `Contoso`
DstDomainType	Condicional	Enumerado	O tipo de DstDomain. Para obter uma lista de valores permitidos e mais informações, veja DomainType no artigo Descrição Geral do Esquema. Necessário se o DstDomain for utilizado.
DstFQDN	Opcional	FQDN (Cadeia)	O nome do anfitrião do dispositivo de destino, incluindo informações de domínio quando disponíveis. Exemplo: `Contoso\DESKTOP-1282V4D` Nota: este campo suporta o formato FQDN tradicional e o formato de domínio/nome do anfitrião do Windows. O DstDomainType reflete o formato utilizado.
DstDvcId	Opcional	Cadeia de caracteres	O ID do dispositivo de destino. Se estiverem disponíveis vários IDs, utilize o mais importante e armazene os outros nos campos `DstDvc<DvcIdType>`. Exemplo: `ac7e9755-8eae-4ffc-8a02-50ed7a2216c3`
DstDvcScopeId	Opcional	Cadeia de caracteres	O ID de âmbito da plataforma na cloud ao qual o dispositivo pertence. DstDvcScopeId mapeie para um ID de subscrição no Azure e para um ID de conta no AWS.
DstDvcScope	Opcional	Cadeia de caracteres	O âmbito da plataforma na cloud ao qual o dispositivo pertence. O DstDvcScope mapeia para um ID de subscrição no Azure e para um ID de conta no AWS.
DstDvcIdType	Condicional	Enumerado	O tipo de DstDvcId. Para obter uma lista de valores permitidos e mais informações, veja DvcIdType no artigo Descrição Geral do Esquema. Necessário se o DstDeviceId for utilizado.
DstDeviceType	Opcional	Enumerado	O tipo do dispositivo de destino. Para obter uma lista de valores permitidos e mais informações, veja DeviceType no artigo Descrição Geral do Esquema.
DstZone	Opcional	Cadeia de caracteres	A zona de rede do destino, conforme definido pelo dispositivo de relatório. Exemplo: `Dmz`
DstInterfaceName	Opcional	Cadeia de caracteres	A interface de rede utilizada para a ligação ou sessão pelo dispositivo de destino. Exemplo: `Microsoft Hyper-V Network Adapter`
DstInterfaceGuid	Opcional	GUID (Cadeia)	O GUID da interface de rede utilizada no dispositivo de destino. Exemplo: `46ad544b-eaf0-47ef-` `827c-266030f545a6`
DstMacAddr	Opcional	Endereço MAC (Cadeia)	O endereço MAC da interface de rede utilizada para a ligação ou sessão pelo dispositivo de destino. Exemplo: `06:10:9f:eb:8f:14`
DstVlanId	Opcional	Cadeia de caracteres	O ID de VLAN relacionado com o dispositivo de destino. Exemplo: `130`
OuterVlanId	Alias		Alias para DstVlanId. Em muitos casos, a VLAN não pode ser determinada como uma origem ou destino, mas é caracterizada como interna ou externa. Este alias significa que dstVlanId deve ser utilizado quando a VLAN é caracterizada como externa.
DstGeoCountry	Opcional	País/Região	O país/região associado ao endereço IP de destino. Para obter mais informações, veja Tipos lógicos. Exemplo: `USA`
DstGeoRegion	Opcional	Região	A região, ou estado, associado ao endereço IP de destino. Para obter mais informações, veja Tipos lógicos. Exemplo: `Vermont`
DstGeoCity	Optional	Cidade	A cidade associada ao endereço IP de destino. Para obter mais informações, veja Tipos lógicos. Exemplo: `Burlington`
DstGeoLatitude	Opcional	Latitude	A latitude da coordenada geográfica associada ao endereço IP de destino. Para obter mais informações, veja Tipos lógicos. Exemplo: `44.475833`
DstGeoLongitude	Opcional	Longitude	A longitude da coordenada geográfica associada ao endereço IP de destino. Para obter mais informações, veja Tipos lógicos. Exemplo: `73.211944`
DstDescription	Opcional	Cadeia de caracteres	Um texto descritivo associado ao dispositivo. Por exemplo: `Primary Domain Controller`.

Campos de utilizador de destino

Campo	Classe	Tipo	Descrição
DstUserId	Opcional	Cadeia de caracteres	Uma representação exclusiva, alfanumérica e legível por computador do utilizador de destino. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade Utilizador. Exemplo: `S-1-12`
DstUserScope	Opcional	Cadeia de caracteres	O âmbito, como Microsoft Entra inquilino, no qual DstUserId e DstUsername estão definidos. ou mais informações e lista de valores permitidos, veja UserScope no artigo Descrição Geral do Esquema.
DstUserScopeId	Opcional	Cadeia de caracteres	O ID de âmbito, como Microsoft Entra ID do Diretório, no qual dstUserId e DstUsername estão definidos. para obter mais informações e lista de valores permitidos, veja UserScopeId no artigo Descrição Geral do Esquema.
DstUserIdType	Condicional	UserIdType	O tipo do ID armazenado no campo DstUserId . Para obter uma lista de valores permitidos e mais informações, veja UserIdType no artigo Descrição Geral do Esquema.
DstUsername	Opcional	Nome de utilizador (Cadeia)	O nome de utilizador de destino, incluindo informações de domínio quando disponível. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade Utilizador. Utilize o formulário simples apenas se as informações de domínio não estiverem disponíveis. Armazene o tipo nome de utilizador no campo DstUsernameType . Se estiverem disponíveis outros formatos de nome de utilizador, armazene-os nos campos `DstUsername<UsernameType>`. Exemplo: `AlbertE`
Utilizador	Alias		Alias to DstUsername.
DstUsernameType	Condicional	UsernameType	Especifica o tipo de nome de utilizador armazenado no campo DstUsername . Para obter uma lista de valores permitidos e mais informações, veja UsernameType no artigo Descrição Geral do Esquema. Exemplo: `Windows`
DstUserType	Opcional	UserType	O tipo de utilizador de destino. Para obter uma lista de valores permitidos e mais informações, veja UserType no artigo Descrição Geral do Esquema. Nota: o valor pode ser fornecido no registo de origem com termos diferentes, que devem ser normalizados para estes valores. Armazene o valor original no campo DstOriginalUserType .
DstOriginalUserType	Opcional	Cadeia de caracteres	O tipo de utilizador de destino original, se for fornecido pela origem.

Campos da aplicação de destino

Campo	Classe	Tipo	Descrição
DstAppName	Opcional	Cadeia de caracteres	O nome da aplicação de destino. Exemplo: `Facebook`
DstAppId	Opcional	Cadeia de caracteres	O ID da aplicação de destino, conforme comunicado pelo dispositivo de relatório. Se DstAppType for `Process`e `DstAppIdDstProcessId` tiver o mesmo valor. Exemplo: `124`
DstAppType	Opcional	AppType	O tipo da aplicação de destino. Para obter uma lista de valores permitidos e mais informações, veja AppType no artigo Descrição Geral do Esquema. Este campo é obrigatório se forem utilizados DstAppName ou DstAppId .
DstProcessName	Opcional	Cadeia de caracteres	O nome do ficheiro do processo que terminou a sessão de rede. Normalmente, este nome é considerado o nome do processo. Exemplo: `C:\Windows\explorer.exe`
Processo	Alias		Alias to the DstProcessName (Alias to the DstProcessName) Exemplo: `C:\Windows\System32\rundll32.exe`
DstProcessId	Opcional	Cadeia de caracteres	O ID do processo (PID) do processo que terminou a sessão de rede. Exemplo: `48610176` Nota: o tipo é definido como cadeia para suportar sistemas variados, mas no Windows e Linux este valor tem de ser numérico. Se estiver a utilizar um computador Windows ou Linux e tiver utilizado um tipo diferente, certifique-se de que converte os valores. Por exemplo, se utilizou um valor hexadecimal, converta-o num valor decimal.
DstProcessGuid	Opcional	Cadeia de caracteres	Um identificador exclusivo gerado (GUID) do processo que terminou a sessão de rede. Exemplo: `EF3BD0BD-2B74-60C5-AF5C-010000001E00`

Campos do sistema de origem

Campo	Classe	Tipo	Descrição
Src	Alias		Um identificador exclusivo do dispositivo de origem. Este campo pode alias os campos SrcDvcId, SrcHostname ou SrcIpAddr . Exemplo: `192.168.12.1`
SrcIpAddr	Recomendado	Endereço IP	O endereço IP a partir do qual a ligação ou sessão teve origem. Este valor é obrigatório se srcHostname for especificado. Se a sessão utilizar a tradução de endereços de rede, `SrcIpAddr` será o endereço publicamente visível e não o endereço original da origem, que está armazenado em SrcNatIpAddr Exemplo: `77.138.103.108`
SrcPortNumber	Opcional	Número inteiro	A porta IP a partir da qual a ligação teve origem. Pode não ser relevante para uma sessão que inclua várias ligações. Exemplo: `2335`
SrcHostname	Recomendado	Nome do anfitrião (Cadeia)	O nome do anfitrião do dispositivo de origem, excluindo as informações de domínio. Se não estiver disponível nenhum nome de dispositivo, armazene o endereço IP relevante neste campo. Exemplo: `DESKTOP-1282V4D`
SrcDomain	Recomendado	Domínio (Cadeia)	O domínio do dispositivo de origem. Exemplo: `Contoso`
SrcDomainType	Condicional	DomainType	O tipo de SrcDomain. Para obter uma lista de valores permitidos e mais informações, veja DomainType no artigo Descrição Geral do Esquema. Necessário se o SrcDomain for utilizado.
SrcFQDN	Opcional	FQDN (Cadeia)	O nome do anfitrião do dispositivo de origem, incluindo informações de domínio quando disponível. Nota: este campo suporta o formato FQDN tradicional e o formato de domínio/nome do anfitrião do Windows. O campo SrcDomainType reflete o formato utilizado. Exemplo: `Contoso\DESKTOP-1282V4D`
SrcDvcId	Opcional	Cadeia de caracteres	O ID do dispositivo de origem. Se estiverem disponíveis vários IDs, utilize o mais importante e armazene os outros nos campos `SrcDvc<DvcIdType>`. Exemplo: `ac7e9755-8eae-4ffc-8a02-50ed7a2216c3`
SrcDvcScopeId	Opcional	Cadeia de caracteres	O ID de âmbito da plataforma na cloud ao qual o dispositivo pertence. O mapa SrcDvcScopeId é mapeado para um ID de subscrição no Azure e para um ID de conta no AWS.
SrcDvcScope	Opcional	Cadeia de caracteres	O âmbito da plataforma na cloud ao qual o dispositivo pertence. O SrcDvcScope mapeia para um ID de subscrição no Azure e para um ID de conta no AWS.
SrcDvcIdType	Condicional	DvcIdType	O tipo de SrcDvcId. Para obter uma lista de valores permitidos e mais informações, veja DvcIdType no artigo Descrição Geral do Esquema. Nota: este campo é necessário se o SrcDvcId for utilizado.
SrcDeviceType	Opcional	DeviceType	O tipo do dispositivo de origem. Para obter uma lista de valores permitidos e mais informações, veja DeviceType no artigo Descrição Geral do Esquema.
SrcZone	Opcional	Cadeia de caracteres	A zona de rede da origem, conforme definido pelo dispositivo de relatório. Exemplo: `Internet`
SrcInterfaceName	Opcional	Cadeia de caracteres	A interface de rede utilizada para a ligação ou sessão pelo dispositivo de origem. Exemplo: `eth01`
SrcInterfaceGuid	Opcional	GUID (Cadeia)	O GUID da interface de rede utilizada no dispositivo de origem. Exemplo: `46ad544b-eaf0-47ef-` `827c-266030f545a6`
SrcMacAddr	Opcional	Endereço MAC (Cadeia)	O endereço MAC da interface de rede a partir da qual a ligação ou sessão teve origem. Exemplo: `06:10:9f:eb:8f:14`
SrcVlanId	Opcional	Cadeia de caracteres	O ID de VLAN relacionado com o dispositivo de origem. Exemplo: `130`
InnerVlanId	Alias		Alias para SrcVlanId. Em muitos casos, a VLAN não pode ser determinada como uma origem ou destino, mas é caracterizada como interna ou externa. Este alias significa que srcVlanId deve ser utilizado quando a VLAN é caracterizada como interna.
SrcGeoCountry	Opcional	País/Região	O país/região associado ao endereço IP de origem. Exemplo: `USA`
SrcGeoRegion	Opcional	Região	A região associada ao endereço IP de origem. Exemplo: `Vermont`
SrcGeoCity	Optional	Cidade	A cidade associada ao endereço IP de origem. Exemplo: `Burlington`
SrcGeoLatitude	Opcional	Latitude	A latitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: `44.475833`
SrcGeoLongitude	Opcional	Longitude	A longitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: `73.211944`
SrcDescription	Opcional	Cadeia de caracteres	Um texto descritivo associado ao dispositivo. Por exemplo: `Primary Domain Controller`.

Campos de utilizador de origem

Campo	Classe	Tipo	Descrição
SrcUserId	Opcional	Cadeia de caracteres	Uma representação exclusiva, alfanumérica e legível pelo computador do utilizador de origem. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade Utilizador. Exemplo: `S-1-12`
SrcUserScope	Opcional	Cadeia de caracteres	O âmbito, como Microsoft Entra inquilino, no qual são definidos SrcUserId e SrcUsername. ou mais informações e lista de valores permitidos, veja UserScope no artigo Descrição Geral do Esquema.
SrcUserScopeId	Opcional	Cadeia de caracteres	O ID de âmbito, como Microsoft Entra ID do Diretório, no qual são definidos SrcUserId e SrcUsername. para obter mais informações e lista de valores permitidos, veja UserScopeId no artigo Descrição Geral do Esquema.
SrcUserIdType	Condicional	UserIdType	O tipo do ID armazenado no campo SrcUserId . Para obter uma lista de valores permitidos e mais informações, veja UserIdType no artigo Descrição Geral do Esquema.
SrcUsername	Opcional	Nome de utilizador (Cadeia)	O nome de utilizador de origem, incluindo informações de domínio quando disponíveis. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade Utilizador. Utilize o formulário simples apenas se as informações de domínio não estiverem disponíveis. Armazene o tipo nome de utilizador no campo SrcUsernameType . Se estiverem disponíveis outros formatos de nome de utilizador, armazene-os nos campos `SrcUsername<UsernameType>`. Exemplo: `AlbertE`
SrcUsernameType	Condicional	UsernameType	Especifica o tipo do nome de utilizador armazenado no campo SrcUsername . Para obter uma lista de valores permitidos e mais informações, veja UsernameType no artigo Descrição Geral do Esquema. Exemplo: `Windows`
SrcUserType	Opcional	UserType	O tipo de utilizador de origem. Para obter uma lista de valores permitidos e mais informações, veja UserType no artigo Descrição Geral do Esquema. Nota: o valor pode ser fornecido no registo de origem com termos diferentes, que devem ser normalizados para estes valores. Armazene o valor original no campo SrcOriginalUserType .
SrcOriginalUserType	Opcional	Cadeia de caracteres	O tipo de utilizador de destino original, se for fornecido pelo dispositivo de relatório.

Campos da aplicação de origem

Campo	Classe	Tipo	Descrição
SrcAppName	Opcional	Cadeia de caracteres	O nome da aplicação de origem. Exemplo: `filezilla.exe`
SrcAppId	Opcional	Cadeia de caracteres	O ID da aplicação de origem, conforme comunicado pelo dispositivo de relatório. Se SrcAppType for `Process`e `SrcAppIdSrcProcessId` tiver o mesmo valor. Exemplo: `124`
SrcAppType	Opcional	AppType	O tipo da aplicação de origem. Para obter uma lista de valores permitidos e mais informações, veja AppType no artigo Descrição Geral do Esquema. Este campo é obrigatório se forem utilizados SrcAppName ou SrcAppId .
SrcProcessName	Opcional	Cadeia de caracteres	O nome do ficheiro do processo que iniciou a sessão de rede. Normalmente, este nome é considerado o nome do processo. Exemplo: `C:\Windows\explorer.exe`
SrcProcessId	Opcional	Cadeia de caracteres	O ID do processo (PID) do processo que iniciou a sessão de rede. Exemplo: `48610176` Nota: o tipo é definido como cadeia para suportar sistemas variados, mas no Windows e Linux este valor tem de ser numérico. Se estiver a utilizar um computador Windows ou Linux e tiver utilizado um tipo diferente, certifique-se de que converte os valores. Por exemplo, se utilizou um valor hexadecimal, converta-o num valor decimal.
SrcProcessGuid	Opcional	Cadeia de caracteres	Um identificador exclusivo gerado (GUID) do processo que iniciou a sessão de rede. Exemplo: `EF3BD0BD-2B74-60C5-AF5C-010000001E00`

Aliases locais e remotos

Todos os campos de origem e destino listados acima podem ser opcionalmente aliasados por campos com o mesmo nome e os descritores Local e Remote. Normalmente, isto é útil para eventos comunicados por um ponto final e para os quais o tipo de evento é EndpointNetworkSession.

Para tais eventos, os descritores Local e Remote denotam o próprio ponto final e o dispositivo na outra extremidade da sessão de rede, respetivamente. Para ligações de entrada, o sistema local é o destino, Local os campos são aliases para os campos e os Dst campos "Remoto" são aliases para Src campos. Por outro lado, para ligações de saída, o sistema local é a origem, Local os campos são aliases para os campos e Remote os Src campos são aliases para Dst campos.

Por exemplo, para um evento de entrada, o campo LocalIpAddr é um alias para DstIpAddr e o campo RemoteIpAddr é um alias para SrcIpAddr.

Aliases de nome de anfitrião e endereço IP

Campo	Classe	Tipo	Descrição
Nome do anfitrião	Alias		- Se o tipo de evento for `NetworkSession`, `Flow` ou `L2NetworkSession`, Hostname é um alias para DstHostname. - Se o tipo de evento for `EndpointNetworkSession`, Hostname é um alias para `RemoteHostname`, que pode alias DstHostname ou SrcHostName, dependendo de NetworkDirection
IpAddr	Alias		- Se o tipo de evento for `NetworkSession`, `Flow` ou `L2NetworkSession`, IpAddr é um alias para SrcIpAddr. - Se o tipo de evento for `EndpointNetworkSession`, IpAddr é um alias para `LocalIpAddr`, que pode alias SrcIpAddr ou DstIpAddr, dependendo de NetworkDirection.

Dispositivo intermediário e campos NAT (Tradução de Endereços de Rede)

Os seguintes campos são úteis se o registo incluir informações sobre um dispositivo intermediário, como uma firewall ou um proxy, que reencaminha a sessão de rede.

Os sistemas intermediários utilizam frequentemente a tradução de endereços, pelo que o endereço original e o endereço observados externamente não são os mesmos. Nestes casos, os campos de endereço primário, como SrcIPAddr e DstIpAddr , representam os endereços observados externamente, enquanto os campos de endereço NAT, SrcNatIpAddr e DstNatIpAddr representam o endereço interno do dispositivo original antes da tradução.

Campo	Classe	Tipo	Descrição
DstNatIpAddr	Opcional	Endereço IP	O DstNatIpAddr representa um dos seguintes: - O endereço original do dispositivo de destino se tiver sido utilizada a tradução de endereços de rede. - O endereço IP utilizado pelo dispositivo intermediário para comunicação com a origem. Exemplo: `2::1`
DstNatPortNumber	Opcional	Número inteiro	Se for reportada por um dispositivo NAT intermediário, a porta utilizada pelo dispositivo NAT para comunicação com a origem. Exemplo: `443`
SrcNatIpAddr	Opcional	Endereço IP	O SrcNatIpAddr representa um dos seguintes: - O endereço original do dispositivo de origem se tiver sido utilizada a tradução de endereços de rede. - O endereço IP utilizado pelo dispositivo intermediário para comunicação com o destino. Exemplo: `4.3.2.1`
SrcNatPortNumber	Opcional	Número inteiro	Se for reportada por um dispositivo NAT intermediário, a porta utilizada pelo dispositivo NAT para comunicação com o destino. Exemplo: `345`
DvcInboundInterface	Opcional	Cadeia de caracteres	Se for reportada por um dispositivo intermediário, a interface de rede utilizada pelo dispositivo NAT para a ligação ao dispositivo de origem. Exemplo: `eth0`
DvcOutboundInterface	Opcional	Cadeia de caracteres	Se for reportada por um dispositivo intermediário, a interface de rede utilizada pelo dispositivo NAT para a ligação ao dispositivo de destino. Exemplo: `Ethernet adapter Ethernet 4e`

Campos de inspeção

Os seguintes campos são utilizados para representar a inspeção que um dispositivo de segurança, como uma firewall, um IPS ou um gateway de segurança Web efetuou:

Campo	Classe	Tipo	Descrição
NetworkRuleName	Opcional	Cadeia de caracteres	O nome ou ID da regra pela qual DvcAction foi decidido. Exemplo: `AnyAnyDrop`
NetworkRuleNumber	Opcional	Número inteiro	O número da regra pela qual a DvcAction foi decidida. Exemplo: `23`
Rule	Alias	Cadeia de caracteres	O valor de NetworkRuleName ou o valor de NetworkRuleNumber. Se for utilizado o valor de NetworkRuleNumber , o tipo deve ser convertido em cadeia.
ThreatId	Opcional	Cadeia de caracteres	O ID da ameaça ou software maligno identificado na sessão de rede. Exemplo: `Tr.124`
ThreatName	Opcional	Cadeia de caracteres	O nome da ameaça ou software maligno identificado na sessão de rede. Exemplo: `EICAR Test File`
ThreatCategory	Opcional	Cadeia de caracteres	A categoria da ameaça ou software maligno identificado na sessão de rede. Exemplo: `Trojan`
ThreatRiskLevel	Opcional	RiskLevel (Número Inteiro)	O nível de risco associado à sessão. O nível deve ser um número entre 0 e 100. Nota: o valor pode ser fornecido no registo de origem com uma escala diferente, que deve ser normalizada para esta escala. O valor original deve ser armazenado em ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel	Opcional	Cadeia de caracteres	O nível de risco, conforme comunicado pelo dispositivo de relatório.
ThreatIpAddr	Opcional	Endereço IP	Um endereço IP para o qual foi identificada uma ameaça. O campo ThreatField contém o nome do campo que ThreatIpAddr representa.
ThreatField	Condicional	Enumerado	O campo para o qual foi identificada uma ameaça. O valor é ou `SrcIpAddrDstIpAddr`.
ThreatConfidence	Opcional	ConfidenceLevel (Número Inteiro)	O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100.
ThreatOriginalConfidence	Opcional	Cadeia de caracteres	O nível de confiança original da ameaça identificado, conforme comunicado pelo dispositivo de relatório.
ThreatIsActive	Opcional	Booliano	Verdadeiro se a ameaça identificada for considerada uma ameaça ativa.
ThreatFirstReportedTime	Opcional	datetime	A primeira vez que o endereço IP ou domínio foi identificado como uma ameaça.
ThreatLastReportedTime	Opcional	datetime	A última vez que o endereço IP ou domínio foi identificado como uma ameaça.

Outros campos

Campo	Classe	Tipo	Descrição
ASimMatchingIpAddr	Recomendado	Enumerado	Quando um analisador utiliza os `ipaddr_has_any_prefix` parâmetros de filtragem, este campo é definido com um dos valores `SrcIpAddr`, `DstIpAddr`ou `Both` para refletir os campos ou campos correspondentes.
ASimMatchingHostname	Recomendado	Enumerado	Quando um analisador utiliza os `hostname_has_any` parâmetros de filtragem, este campo é definido com um dos valores `SrcHostname`, `DstHostname`ou `Both` para refletir os campos ou campos correspondentes.

Se o evento for comunicado por um dos pontos finais da sessão de rede, poderá incluir informações sobre o processo que iniciou ou terminou a sessão. Nestes casos, o esquema do Evento de Processo asIM é utilizado para normalizar estas informações.

Atualizações de esquema

Seguem-se as alterações na versão 0.2.1 do esquema:

Adicionados Src e Dst como aliases a um identificador à esquerda para os sistemas de origem e destino.
Foram adicionados os campos NetworkConnectionHistory, SrcVlanId, DstVlanId, InnerVlanIde OuterVlanId.

Seguem-se as alterações na versão 0.2.2 do esquema:

Adicionados Remote e Local aliases.
Foi adicionado o tipo de EndpointNetworkSessionevento .
Hostname Definido e IpAddr como aliases para RemoteHostname eLocalIpAddr, respetivamente, quando o tipo de evento é EndpointNetworkSession.
DvcInterface Definido como um alias para DvcInboundInterface ou DvcOutboundInterface.
Alterou o tipo dos seguintes campos de Número Inteiro para Longo: SrcBytes, , DstBytesNetworkBytes, SrcPackets, DstPacketse NetworkPackets.
Adicionado o campo NetworkProtocolVersion.
Preterido e DstUserDomainSrcUserDomain.

Seguem-se as alterações na versão 0.2.3 do esquema:

Foi adicionado o ipaddr_has_any_prefix parâmetro de filtragem.
O hostname_has_any parâmetro de filtragem corresponde agora aos nomes de anfitrião de origem ou de destino.
Foram adicionados os campos ASimMatchingHostname e ASimMatchingIpAddr.

Seguem-se as alterações na versão 0.2.4 do esquema:

Foram adicionados os TcpFlags campos.
Atualizado NetworkIcpmType e NetworkIcmpCode para refletir o valor de número para ambos.
Foram adicionados campos de inspeção adicionais.
O nome do campo "ThreatRiskLevelOriginal" foi mudado para ThreatOriginalRiskLevel para se alinhar com as convenções asIM. Os parsers existentes da Microsoft manter-se-ão ThreatRiskLevelOriginal até 1 de maio de 2023.
Marcado EventResultDetails como recomendado e especificado os valores permitidos.

Seguem-se as alterações na versão 0.2.5 do esquema:

Foram adicionados os campos DstUserScope, SrcUserScope, SrcDvcScopeId, SrcDvcScope, DstDvcScopeId, DstDvcScope, DvcScopeIde DvcScope.

Seguem-se as alterações na versão 0.2.6 do esquema:

IDS adicionado como um tipo de evento

Seguem-se as alterações na versão 0.2.7 do esquema:

Foram adicionados os campos DstDescription e SrcDescription

Próximas etapas

Para saber mais, confira:

Comentários

Esta página foi útil?

Last updated on 2026-04-23