A referência do esquema de normalização da sessão de rede ASIM (Advanced Security Information Model) (visualização pública)
O esquema de normalização da Sessão de Rede do Microsoft Sentinel representa uma atividade de rede IP, como conexões de rede e sessões de rede. Tais eventos são relatados, por exemplo, por sistemas operacionais, roteadores, firewalls e sistemas de prevenção de intrusão.
O esquema de normalização de rede pode representar qualquer tipo de sessão de rede IP, mas foi projetado para fornecer suporte a tipos de fonte comuns, como Netflow, firewalls e sistemas de prevenção de invasões.
Para obter mais informações sobre normalização no Microsoft Sentinel, consulte Normalização e o modelo avançado de informações de segurança (ASIM).
Este artigo descreve a versão 0.2.x do esquema de normalização de rede. A versão 0.1 foi lançada antes do ASIM estar disponível e não se alinha com o ASIM em vários lugares. Para obter mais informações, consulte Diferenças entre versões de esquema de normalização de rede.
Importante
O esquema de normalização de rede está atualmente em visualização. Este recurso é fornecido sem um contrato de nível de serviço. Não recomendamos para cargas de trabalho de produção.
Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Analisadores
Para obter mais informações sobre analisadores ASIM, consulte a visão geral dos analisadores ASIM.
Analisadores unificadores
Para usar analisadores que unifiquem todos os analisadores ASIM prontos para uso e garantir que sua análise seja executada em todas as fontes configuradas, use o _Im_NetworkSession
analisador de filtragem ou o _ASim_NetworkSession
analisador sem parâmetros.
Você também pode usar o espaço de trabalho implantado ImNetworkSession
e ASimNetworkSession
analisadores implantando-os a partir do repositório GitHub do Microsoft Sentinel.
Para obter mais informações, consulte Analisadores ASIM internos e analisadores implantados no espaço de trabalho.
Analisadores prontos para uso e específicos da fonte
Para obter a lista dos analisadores de sessão de rede fornecidos pelo Microsoft Sentinel prontos para uso, consulte a lista de analisadores ASIM
Adicione seus próprios analisadores normalizados
Ao desenvolver analisadores personalizados para o modelo de informações da Sessão de Rede, nomeie suas funções KQL usando a seguinte sintaxe:
vimNetworkSession<vendor><Product>
para analisadores parametrizadosASimNetworkSession<vendor><Product>
para analisadores regulares
Consulte o artigo Gerenciando analisadores ASIM para saber como adicionar seus analisadores personalizados aos analisadores unificadores de sessão de rede.
Parâmetros do analisador de filtragem
Os analisadores de sessão de rede suportam parâmetros de filtragem. Embora esses parâmetros sejam opcionais, eles podem melhorar o desempenho da consulta.
Os seguintes parâmetros de filtragem estão disponíveis:
Nome | Tipo | Description |
---|---|---|
Hora de início | datetime | Filtre apenas sessões de rede que começaram nesse período ou após esse período. |
tempo de fim | datetime | Filtre apenas sessões de rede que começaram a ser executadas durante ou antes desse período. |
srcipaddr_has_any_prefix | dynamic | Filtre apenas sessões de rede para as quais o prefixo do campo de endereço IP de origem esteja em um dos valores listados. Os prefixos devem terminar com um . , por exemplo: 10.0. . O tamanho da lista é limitado a 10.000 itens. |
dstipaddr_has_any_prefix | dynamic | Filtre apenas sessões de rede para as quais o prefixo do campo de endereço IP de destino esteja em um dos valores listados. Os prefixos devem terminar com um . , por exemplo: 10.0. . O tamanho da lista é limitado a 10.000 itens. |
ipaddr_has_any_prefix | dynamic | Filtre apenas sessões de rede para as quais o campo de endereço IP de destino ou o prefixo do campo de endereço IP de origem esteja em um dos valores listados. Os prefixos devem terminar com um . , por exemplo: 10.0. . O tamanho da lista é limitado a 10.000 itens.O campo ASimMatchingIpAddr é definido com um dos valores SrcIpAddr , DstIpAddr ou Both para refletir os campos ou campos correspondentes. |
dstportnumber | Int | Filtre apenas sessões de rede com o número da porta de destino especificado. |
hostname_has_any | dinâmico/string | Filtre apenas sessões de rede para as quais o campo nome do host de destino tenha algum dos valores listados. O tamanho da lista é limitado a 10.000 itens. O campo ASimMatchingHostname é definido com um dos valores SrcHostname , DstHostname ou Both para refletir os campos ou campos correspondentes. |
DVCACTION | dinâmico/string | Filtre apenas sessões de rede para as quais o campo Ação do dispositivo seja qualquer um dos valores listados. |
resultado do evento | String | Filtre apenas sessões de rede com um valor EventResult específico. |
Alguns parâmetros podem aceitar tanto a lista de valores do tipo dynamic
ou um único valor de cadeia de caracteres. Para passar uma lista literal para parâmetros que esperam um valor dinâmico, use explicitamente um literal dinâmico. Por exemplo: dynamic(['192.168.','10.'])
Por exemplo, para filtrar apenas sessões de rede para uma lista especificada de nomes de domínio, use:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
Gorjeta
Para passar uma lista literal para parâmetros que esperam um valor dinâmico, use explicitamente um literal dinâmico. Por exemplo: dynamic(['192.168.','10.'])
.
Conteúdo normalizado
Para obter uma lista completa das regras de análise que usam eventos DNS normalizados, consulte Conteúdo de segurança da sessão de rede.
Descrição geral do esquema
O modelo de informações da Sessão de Rede está alinhado com o esquema de entidade da Rede OSSEM.
O esquema de Sessão de Rede serve vários tipos de cenários semelhantes, mas distintos, que partilham os mesmos campos. Esses cenários são identificados pelo campo EventType:
NetworkSession
- uma sessão de rede relatada por um dispositivo intermediário monitorando a rede, como um firewall, um roteador ou uma torneira de rede.L2NetworkSession
- sessões em rede para as quais apenas estão disponíveis informações da camada 2. Tais eventos incluirão endereços MAC, mas não endereços IP.Flow
- um evento agregado que relata várias sessões de rede semelhantes, normalmente durante um período de tempo predefinido, como eventos Netflow .EndpointNetworkSession
- uma sessão de rede reportada por um dos pontos finais da sessão, incluindo clientes e servidores. Para tais eventos, o esquema suporta osremote
campos elocal
alias.IDS
- uma sessão de rede relatada como suspeita. Esse evento terá alguns dos campos de inspeção preenchidos e poderá ter apenas um campo de endereço IP preenchido, seja a origem ou o destino.
Normalmente, uma consulta deve selecionar apenas um subconjunto desses tipos de evento e pode precisar abordar separadamente aspetos exclusivos dos casos de uso. Por exemplo, os eventos IDS não refletem todo o volume da rede e não devem ser levados em conta na análise baseada em colunas.
Os eventos de sessão de rede usam os descritores Src
e Dst
para indicar as funções dos dispositivos e usuários e aplicativos relacionados envolvidos na sessão. Assim, por exemplo, o nome do host do dispositivo de origem e o endereço IP são nomeados SrcHostname
e SrcIpAddr
. Outros esquemas ASIM normalmente usam Target
em vez de Dst
.
Para eventos relatados por um ponto de extremidade e para os quais o tipo de evento é EndpointNetworkSession
, os descritores Local
e Remote
denotam o ponto de extremidade em si e o dispositivo na outra extremidade da sessão de rede, respectivamente.
O descritor Dvc
é usado para o dispositivo de relatório, que é o sistema local para sessões relatadas por um ponto de extremidade, e o dispositivo intermediário ou toque de rede para outros eventos de sessão de rede.
Detalhes do esquema
Campos ASIM comuns
Importante
Os campos comuns a todos os esquemas são descritos em detalhes no artigo Campos comuns do ASIM.
Domínios comuns com orientações específicas
A lista a seguir menciona campos que têm diretrizes específicas para eventos de Sessão de Rede:
Campo | Classe | Tipo | Description |
---|---|---|---|
EventCount | Obrigatório | Número inteiro | As fontes do Netflow suportam agregação e o campo EventCount deve ser definido como o valor do campo Netflow FLOWS . Para outras fontes, o valor normalmente é definido como 1 . |
Tipo de Evento | Obrigatório | Enumerated | Descreve o cenário relatado pelo registro. Para registros de Sessão de Rede, os valores permitidos são: - EndpointNetworkSession - NetworkSession - L2NetworkSession - IDS - Flow Para obter mais informações sobre tipos de eventos, consulte a visão geral do esquema |
SubTipo de Evento | Opcional | String | Descrição adicional do tipo de evento, se aplicável. Para registos de Sessão de Rede, os valores suportados incluem: - Start - End Este campo não é relevante para Flow eventos. |
EventResult | Obrigatório | Enumerated | Se o dispositivo de origem não fornecer um resultado de evento, EventResult deve ser baseado no valor de DvcAction. Se DvcAction for Deny , Drop , , Reset Drop ICMP , Reset Source , ouReset Destination , EventResult deve ser Failure . Caso contrário, EventResult deve ser Success . |
EventResultDetails | Recomendado | Enumerated | Motivo ou detalhes do resultado relatado no campo EventResult . Os valores suportados são: - Failover - TCP inválido - Túnel inválido - Repetição máxima - Repor - Problema de roteamento - Simulação - Encerrado - Tempo limite - Erro transitório - Desconhecido - NA. O valor original, específico da fonte, é armazenado no campo EventOriginalResultDetails . |
EventSchema | Obrigatório | String | O nome do esquema documentado aqui é NetworkSession . |
EventSchemaVersion | Obrigatório | String | A versão do esquema. A versão do esquema documentada aqui é 0.2.6 . |
DvcAction | Recomendado | Enumerated | A ação executada na sessão de rede. Os valores suportados são: - Allow - Deny - Drop - Drop ICMP - Reset - Reset Source - Reset Destination - Encrypt - Decrypt - VPNroute Nota: O valor pode ser fornecido no registro de origem usando termos diferentes, que devem ser normalizados para esses valores. O valor original deve ser armazenado no campo DvcOriginalAction . Exemplo: drop |
EventSeverity | Opcional | Enumerated | Se o dispositivo de origem não fornecer uma gravidade de evento, EventSeverity deve ser baseado no valor de DvcAction. Se DvcAction for Deny , Drop , , Reset Drop ICMP , Reset Source , ouReset Destination , EventSeverity deve ser Low . Caso contrário, EventSeverity deve ser Informational . |
DvcInterface | O campo DvcInterface deve usar o alias dos campos DvcInboundInterface ou DvcOutboundInterface . | ||
Campos Dvc | Para eventos de Sessão de Rede, os campos de dispositivo referem-se ao sistema que relata o evento Sessão de Rede. |
Todos os campos comuns
Os campos que aparecem na tabela abaixo são comuns a todos os esquemas ASIM. Qualquer diretriz especificada acima substitui as diretrizes gerais para o campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais informações sobre cada campo, consulte o artigo Campos comuns do ASIM.
Classe | Campos |
---|---|
Obrigatório | - EventCount - EventStartTime - EventEndTime - Tipo de Evento - EventResult - EventoProduto - EventVendor - EventSchema - EventSchemaVersion - DVC |
Recomendado | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcNome do host - DvcDomínio - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
Opcional | - EventMessage - SubTipo de Evento - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Proprietário do Evento - DvcZona - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campos Adicionais - DvcDescrição - DvcScopeId - DvcScope |
Campos de sessão de rede
Campo | Classe | Tipo | Description |
---|---|---|---|
NetworkApplicationProtocol | Opcional | String | O protocolo da camada de aplicativo usado pela conexão ou sessão. O valor deve estar em maiúsculas. Exemplo: FTP |
Protocolo de rede | Opcional | Enumerated | O protocolo IP usado pela conexão ou sessão, conforme listado na atribuição de protocolo IANA, que normalmente TCP é , ou .ICMP UDP Exemplo: TCP |
NetworkProtocolVersion | Opcional | Enumerated | A versão do NetworkProtocol. Ao usá-lo para distinguir entre a versão IP, use os valores IPv4 e IPv6 . |
Direção de rede | Opcional | Enumerated | A direção da conexão ou sessão: - Para o EventType NetworkSession , Flow ou L2NetworkSession , NetworkDirection representa a direção relativa ao limite da organização ou do ambiente de nuvem. Os valores suportados são Inbound , Outbound , Local (para a organização), External (para a organização) ou NA (Não aplicável).- Para o EventType EndpointNetworkSession , NetworkDirection representa a direção relativa ao ponto de extremidade. Os valores suportados são Inbound , Outbound , Local (para o sistema) Listen ou NA (Não aplicável). O Listen valor indica que um dispositivo começou a aceitar conexões de rede, mas não está realmente, necessariamente, conectado. |
NetworkDuration | Opcional | Número inteiro | A quantidade de tempo, em milissegundos, para a conclusão da sessão de rede ou conexão. Exemplo: 1500 |
Duração | Alias | Alias para NetworkDuration. | |
NetworkIcmpType | Opcional | String | Para uma mensagem ICMP, o nome do tipo ICMP associado ao valor numérico, conforme descrito na RFC 2780 para conexões de rede IPv4 ou na RFC 4443 para conexões de rede IPv6. Exemplo: Destination Unreachable para NetworkIcmpCode 3 |
RedeIcmpCode | Opcional | Número inteiro | Para uma mensagem ICMP, o número de código ICMP conforme descrito em RFC 2780 para conexões de rede IPv4 ou em RFC 4443 para conexões de rede IPv6. |
NetworkConnectionHistory | Opcional | String | Sinalizadores TCP e outras informações potenciais de cabeçalho IP. |
DstBytes | Recomendado | Longo | O número de bytes enviados do destino para a origem da conexão ou sessão. Se o evento for agregado, DstBytes deve ser a soma em todas as sessões agregadas. Exemplo: 32455 |
SrcBytes | Recomendado | Longo | O número de bytes enviados da origem para o destino da conexão ou sessão. Se o evento for agregado, SrcBytes deve ser a soma em todas as sessões agregadas. Exemplo: 46536 |
NetworkBytes | Opcional | Longo | Número de bytes enviados em ambas as direções. Se BytesReceived e BytesSent existirem, BytesTotal deve ser igual à sua soma. Se o evento for agregado, NetworkBytes deve ser a soma em todas as sessões agregadas. Exemplo: 78991 |
DstPackets | Opcional | Longo | O número de pacotes enviados do destino para a origem da conexão ou sessão. O significado de um pacote é definido pelo dispositivo de relatório. Se o evento for agregado, DstPackets deve ser a soma em todas as sessões agregadas. Exemplo: 446 |
SrcPackets | Opcional | Longo | O número de pacotes enviados da origem para o destino da conexão ou sessão. O significado de um pacote é definido pelo dispositivo de relatório. Se o evento for agregado, SrcPackets deve ser a soma de todas as sessões agregadas. Exemplo: 6478 |
Pacotes de rede | Opcional | Longo | O número de pacotes enviados em ambas as direções. Se ambos PacketsReceived e PacketsSent existirem, BytesTotal deve ser igual à sua soma. O significado de um pacote é definido pelo dispositivo de relatório. Se o evento for agregado, NetworkPackets deve ser a soma de todas as sessões agregadas. Exemplo: 6924 |
NetworkSessionId | Opcional | string | O identificador de sessão conforme relatado pelo dispositivo de relatório. Exemplo: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
SessionId | Alias | String | Alias para NetworkSessionId. |
TcpFlagsAck | Opcional | Boolean | O sinalizador TCP ACK relatado. O sinalizador de confirmação é usado para confirmar o recebimento bem-sucedido de um pacote. Como podemos ver no diagrama acima, o recetor envia um ACK e um SYN na segunda etapa do processo de handshake de três vias para dizer ao remetente que recebeu seu pacote inicial. |
TcpFlagsFin | Opcional | Boolean | O sinalizador TCP FIN relatado. O sinalizador concluído significa que não há mais dados do remetente. Portanto, ele é usado no último pacote enviado pelo remetente. |
TcpFlagsSyn | Opcional | Boolean | O sinalizador TCP SYN relatado. O sinalizador de sincronização é usado como uma primeira etapa no estabelecimento de um handshake de três vias entre dois hosts. Apenas o primeiro pacote do emissor e do recetor deve ter esse sinalizador definido. |
TcpFlagsUrg | Opcional | Boolean | O sinalizador TCP URG relatado. O sinalizador de urgência é usado para notificar o recetor para processar os pacotes urgentes antes de processar todos os outros pacotes. O recetor será notificado quando todos os dados urgentes conhecidos tiverem sido recebidos. Consulte RFC 6093 para obter mais detalhes. |
TcpFlagsPsh | Opcional | Boolean | O sinalizador TCP PSH relatado. O sinalizador push é semelhante ao sinalizador URG e diz ao recetor para processar esses pacotes à medida que são recebidos, em vez de armazená-los em buffer. |
TcpFlagsRst | Opcional | Boolean | O sinalizador TCP RST relatado. O sinalizador de redefinição é enviado do recetor para o remetente quando um pacote é enviado para um host específico que não estava esperando. |
TcpFlagsEce | Opcional | Boolean | O sinalizador TCP ECE relatado. Esse sinalizador é responsável por indicar se o par TCP é compatível com ECN. Consulte RFC 3168 para obter mais detalhes. |
TcpFlagsCwr | Opcional | Boolean | O sinalizador TCP CWR relatado. O sinalizador reduzido da janela de congestionamento é usado pelo host de envio para indicar que recebeu um pacote com o sinalizador ECE definido. Consulte RFC 3168 para obter mais detalhes. |
TcpFlagsNs | Opcional | Boolean | O sinalizador TCP NS relatado. O sinalizador de soma nonce ainda é um sinalizador experimental usado para ajudar a proteger contra a ocultação maliciosa acidental de pacotes do remetente. Consulte RFC 3540 para obter mais detalhes |
Campos do sistema de destino
Campo | Classe | Tipo | Description |
---|---|---|---|
Dst | Recomendado | Alias | Um identificador exclusivo do servidor que recebe a solicitação DNS. Este campo pode usar o alias dos campos DstDvcId, DstHostname ou DstIpAddr . Exemplo: 192.168.12.1 |
DstIpAddr | Recomendado | Endereço IP | O endereço IP da conexão ou do destino da sessão. Se a sessão usa a conversão de endereços de rede, DstIpAddr é o endereço publicamente visível, e não o endereço original da fonte, que é armazenado em DstNatIpAddrExemplo: 2001:db8::ff00:42:8329 Nota: Este valor é obrigatório se DstHostname for especificado. |
DstPortNumber | Opcional | Número inteiro | A porta IP de destino. Exemplo: 443 |
DstHostname | Recomendado | Hostname (Nome do anfitrião) | O nome de host do dispositivo de destino, excluindo informações de domínio. Se nenhum nome de dispositivo estiver disponível, armazene o endereço IP relevante neste campo. Exemplo: DESKTOP-1282V4D |
DstDomínio | Recomendado | String | O domínio do dispositivo de destino. Exemplo: Contoso |
DstDomainType | Condicional | Enumerated | O tipo de DstDomain. Para obter uma lista de valores permitidos e mais informações, consulte DomainType no artigo Visão geral do esquema. Obrigatório se DstDomain for usado. |
DstFQDN | Opcional | String | O nome de host do dispositivo de destino, incluindo informações de domínio, quando disponíveis. Exemplo: Contoso\DESKTOP-1282V4D Nota: Este campo suporta o formato FQDN tradicional e o formato domínio\nome de anfitrião do Windows. O DstDomainType reflete o formato usado. |
DstDvcId | Opcional | String | A ID do dispositivo de destino. Se vários IDs estiverem disponíveis, use o mais importante e armazene os outros nos campos DstDvc<DvcIdType> . Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
DstDvcScopeId | Opcional | String | O ID de escopo da plataforma de nuvem ao qual o dispositivo pertence. O DstDvcScopeId é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
DstDvcScope | Opcional | String | O escopo da plataforma de nuvem ao qual o dispositivo pertence. O DstDvcScope é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
DstDvcIdType | Condicional | Enumerated | O tipo de DstDvcId. Para obter uma lista de valores permitidos e mais informações, consulte DvcIdType no artigo Visão geral do esquema. Necessário se DstDeviceId for usado. |
DstDeviceType | Opcional | Enumerated | O tipo do dispositivo de destino. Para obter uma lista de valores permitidos e mais informações, consulte DeviceType no artigo Visão geral do esquema. |
DstZona | Opcional | String | A zona de rede do destino, conforme definido pelo dispositivo de relatório. Exemplo: Dmz |
DstInterfaceName | Opcional | String | A interface de rede usada para a conexão ou sessão pelo dispositivo de destino. Exemplo: Microsoft Hyper-V Network Adapter |
DstInterfaceGuid | Opcional | String | O GUID da interface de rede usada no dispositivo de destino. Exemplo: 46ad544b-eaf0-47ef- 827c-266030f545a6 |
DstMacAddr | Opcional | String | O endereço MAC da interface de rede usada para a conexão ou sessão pelo dispositivo de destino. Exemplo: 06:10:9f:eb:8f:14 |
DstVlanId | Opcional | String | O ID DE VLAN relacionado ao dispositivo de destino. Exemplo: 130 |
OuterVlanId | Opcional | Alias | Alias para DstVlanId. Em muitos casos, a VLAN não pode ser determinada como uma origem ou um destino, mas é caracterizada como interna ou externa. Esse alias significa que DstVlanId deve ser usado quando a VLAN é caracterizada como externa. |
DstSubscriptionId | Opcional | String | O ID de assinatura da plataforma de nuvem ao qual o dispositivo de destino pertence. O DstSubscriptionId é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
DstGeoCountry | Opcional | País | O país associado ao endereço IP de destino. Para obter mais informações, consulte Tipos lógicos. Exemplo: USA |
DstGeoRegion | Opcional | País/Região | A região, ou estado, associado ao endereço IP de destino. Para obter mais informações, consulte Tipos lógicos. Exemplo: Vermont |
DstGeoCity | Opcional | City | A cidade associada ao endereço IP de destino. Para obter mais informações, consulte Tipos lógicos. Exemplo: Burlington |
DstGeoLatitude | Opcional | Latitude | A latitude da coordenada geográfica associada ao endereço IP de destino. Para obter mais informações, consulte Tipos lógicos. Exemplo: 44.475833 |
DstGeoLongitude | Opcional | Longitude | A longitude da coordenada geográfica associada ao endereço IP de destino. Para obter mais informações, consulte Tipos lógicos. Exemplo: 73.211944 |
Campos de utilizador de destino
Campo | Classe | Tipo | Description |
---|---|---|---|
DstUserId | Opcional | String | Uma representação única, alfanumérica e legível por máquina do utilizador de destino. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade User. Exemplo: S-1-12 |
DstUserScope | Opcional | String | O escopo, como o locatário Microsoft Entra, no qual DstUserId e DstUsername são definidos. ou mais informações e lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema. |
DstUserScopeId | Opcional | String | A ID do escopo, como a ID do Diretório do Microsoft Entra, na qual DstUserId e DstUsername são definidos. para obter mais informações e uma lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema. |
DstUserIdType | Condicional | UserIdType | O tipo do ID armazenado no campo DstUserId . Para obter uma lista de valores permitidos e mais informações, consulte UserIdType no artigo Visão geral do esquema. |
DstUsername | Opcional | String | O nome de usuário de destino, incluindo informações de domínio, quando disponíveis. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade User. Use o formulário simples somente se as informações do domínio não estiverem disponíveis. Armazene o tipo de nome de usuário no campo DstUsernameType . Se outros formatos de nome de usuário estiverem disponíveis, armazene-os nos campos DstUsername<UsernameType> .Exemplo: AlbertE |
Utilizador | Alias | Alias para DstUsername. | |
DstUsernameType | Condicional | UsernameType | Especifica o tipo do nome de usuário armazenado no campo DstUsername . Para obter uma lista de valores permitidos e mais informações, consulte UsernameType no artigo Visão geral do esquema. Exemplo: Windows |
DstUserType | Opcional | UserType | O tipo de usuário de destino. Para obter uma lista de valores permitidos e mais informações, consulte UserType no artigo Visão geral do esquema. Nota: O valor pode ser fornecido no registro de origem usando termos diferentes, que devem ser normalizados para esses valores. Armazene o valor original no campo DstOriginalUserType . |
DstOriginalUserType | Opcional | String | O tipo de usuário de destino original, se fornecido pela origem. |
Campos do aplicativo de destino
Campo | Classe | Tipo | Description |
---|---|---|---|
DstAppName | Opcional | String | O nome do aplicativo de destino. Exemplo: Facebook |
DstAppId | Opcional | String | A ID do aplicativo de destino, conforme relatado pelo dispositivo de relatório. Se DstAppType for Process , DstAppId e DstProcessId deve ter o mesmo valor.Exemplo: 124 |
DstAppType | Opcional | Tipo de aplicativo | O tipo do aplicativo de destino. Para obter uma lista de valores permitidos e mais informações, consulte AppType no artigo Visão geral do esquema. Este campo é obrigatório se DstAppName ou DstAppId forem usados. |
DstProcessName | Opcional | String | O nome do arquivo do processo que encerrou a sessão de rede. Este nome é normalmente considerado como o nome do processo. Exemplo: C:\Windows\explorer.exe |
Processo | Alias | Alias para o DstProcessName Exemplo: C:\Windows\System32\rundll32.exe |
|
DstProcessId | Opcional | String | A ID do processo (PID) do processo que encerrou a sessão de rede. Exemplo: 48610176 Nota: O tipo é definido como string para suportar sistemas variados, mas no Windows e Linux esse valor deve ser numérico. Se você estiver usando uma máquina Windows ou Linux e usou um tipo diferente, certifique-se de converter os valores. Por exemplo, se você usou um valor hexadecimal, converta-o em um valor decimal. |
DstProcessGuid | Opcional | String | Um identificador exclusivo gerado (GUID) do processo que encerrou a sessão de rede. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Campos do sistema de origem
Campo | Classe | Tipo | Description |
---|---|---|---|
Src | Alias | Um identificador exclusivo do dispositivo de origem. Este campo pode usar o alias dos campos SrcDvcId, SrcHostname ou SrcIpAddr . Exemplo: 192.168.12.1 |
|
SrcIpAddr | Recomendado | Endereço IP | O endereço IP do qual a conexão ou sessão se originou. Esse valor é obrigatório se SrcHostname for especificado. Se a sessão usa a conversão de endereços de rede, SrcIpAddr é o endereço publicamente visível, e não o endereço original da fonte, que é armazenado em SrcNatIpAddrExemplo: 77.138.103.108 |
SrcPortNumber | Opcional | Número inteiro | A porta IP da qual a conexão se originou. Pode não ser relevante para uma sessão que inclui várias conexões. Exemplo: 2335 |
SrcHostname | Recomendado | Hostname (Nome do anfitrião) | O nome de host do dispositivo de origem, excluindo informações de domínio. Se nenhum nome de dispositivo estiver disponível, armazene o endereço IP relevante neste campo. Exemplo: DESKTOP-1282V4D |
Domínio Src | Recomendado | String | O domínio do dispositivo de origem. Exemplo: Contoso |
SrcDomainType | Condicional | Tipo de domínio | O tipo de SrcDomain. Para obter uma lista de valores permitidos e mais informações, consulte DomainType no artigo Visão geral do esquema. Necessário se SrcDomain for usado. |
SrcFQDN | Opcional | String | O nome de host do dispositivo de origem, incluindo informações de domínio, quando disponíveis. Nota: Este campo suporta o formato FQDN tradicional e o formato domínio\nome de anfitrião do Windows. O campo SrcDomainType reflete o formato usado. Exemplo: Contoso\DESKTOP-1282V4D |
SrcDvcId | Opcional | String | A ID do dispositivo de origem. Se vários IDs estiverem disponíveis, use o mais importante e armazene os outros nos campos SrcDvc<DvcIdType> .Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
SrcDvcScopeId | Opcional | String | O ID de escopo da plataforma de nuvem ao qual o dispositivo pertence. O SrcDvcScopeId é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
SrcDvcScope | Opcional | String | O escopo da plataforma de nuvem ao qual o dispositivo pertence. O SrcDvcScope é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
SrcDvcIdType | Condicional | DvcIdType | O tipo de SrcDvcId. Para obter uma lista de valores permitidos e mais informações, consulte DvcIdType no artigo Visão geral do esquema. Nota: Este campo é obrigatório se SrcDvcId for usado. |
SrcDeviceType | Opcional | Tipo de dispositivo | O tipo do dispositivo de origem. Para obter uma lista de valores permitidos e mais informações, consulte DeviceType no artigo Visão geral do esquema. |
SrcZona | Opcional | String | A zona de rede da fonte, conforme definido pelo dispositivo de relatório. Exemplo: Internet |
SrcInterfaceName | Opcional | String | A interface de rede usada para a conexão ou sessão pelo dispositivo de origem. Exemplo: eth01 |
SrcInterfaceGuid | Opcional | String | O GUID da interface de rede usada no dispositivo de origem. Exemplo: 46ad544b-eaf0-47ef- 827c-266030f545a6 |
SrcMacAddr | Opcional | String | O endereço MAC da interface de rede a partir da qual a conexão ou sessão se originou. Exemplo: 06:10:9f:eb:8f:14 |
SrcVlanId | Opcional | String | O ID DE VLAN relacionado ao dispositivo de origem. Exemplo: 130 |
InnerVlanId | Opcional | Alias | Alias para SrcVlanId. Em muitos casos, a VLAN não pode ser determinada como uma origem ou um destino, mas é caracterizada como interna ou externa. Esse alias significa que SrcVlanId deve ser usado quando a VLAN é caracterizada como interna. |
SrcSubscriptionId | Opcional | String | O ID de assinatura da plataforma de nuvem ao qual o dispositivo de origem pertence. O SrcSubscriptionId é mapeado para um ID de assinatura no Azure e para um ID de conta na AWS. |
SrcGeoCountry | Opcional | País | O país associado ao endereço IP de origem. Exemplo: USA |
SrcGeoRegion | Opcional | País/Região | A região associada ao endereço IP de origem. Exemplo: Vermont |
SrcGeoCity | Opcional | City | A cidade associada ao endereço IP de origem. Exemplo: Burlington |
SrcGeoLatitude | Opcional | Latitude | A latitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 44.475833 |
SrcGeoLongitude | Opcional | Longitude | A longitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 73.211944 |
Campos de usuário de origem
Campo | Classe | Tipo | Description |
---|---|---|---|
SrcUserId | Opcional | String | Uma representação única, alfanumérica e legível por máquina do utilizador de origem. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade User. Exemplo: S-1-12 |
SrcUserScope | Opcional | String | O escopo, como o locatário do Microsoft Entra, no qual SrcUserId e SrcUsername são definidos. ou mais informações e lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema. |
SrcUserScopeId | Opcional | String | A ID do escopo, como a ID do Diretório do Microsoft Entra, na qual SrcUserId e SrcUsername são definidos. para obter mais informações e uma lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema. |
SrcUserIdType | Condicional | UserIdType | O tipo de ID armazenado no campo SrcUserId . Para obter uma lista de valores permitidos e mais informações, consulte UserIdType no artigo Visão geral do esquema. |
SrcUsername | Opcional | String | O nome de usuário de origem, incluindo informações de domínio, quando disponíveis. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade User. Use o formulário simples somente se as informações do domínio não estiverem disponíveis. Armazene o tipo de nome de usuário no campo SrcUsernameType . Se outros formatos de nome de usuário estiverem disponíveis, armazene-os nos campos SrcUsername<UsernameType> .Exemplo: AlbertE |
SrcUsernameType | Condicional | UsernameType | Especifica o tipo do nome de usuário armazenado no campo SrcUsername . Para obter uma lista de valores permitidos e mais informações, consulte UsernameType no artigo Visão geral do esquema. Exemplo: Windows |
SrcUserType | Opcional | UserType | O tipo de usuário de origem. Para obter uma lista de valores permitidos e mais informações, consulte UserType no artigo Visão geral do esquema. Nota: O valor pode ser fornecido no registro de origem usando termos diferentes, que devem ser normalizados para esses valores. Armazene o valor original no campo SrcOriginalUserType . |
SrcOriginalUserType | Opcional | String | O tipo de usuário de destino original, se fornecido pelo dispositivo de relatório. |
Campos do aplicativo de origem
Campo | Classe | Tipo | Description |
---|---|---|---|
SrcAppName | Opcional | String | O nome do aplicativo de origem. Exemplo: filezilla.exe |
SrcAppId | Opcional | String | A ID do aplicativo de origem, conforme relatado pelo dispositivo de relatório. Se SrcAppType for Process , SrcAppId e SrcProcessId deve ter o mesmo valor.Exemplo: 124 |
SrcAppType | Opcional | Tipo de aplicativo | O tipo do aplicativo de origem. Para obter uma lista de valores permitidos e mais informações, consulte AppType no artigo Visão geral do esquema. Este campo é obrigatório se forem utilizados SrcAppName ou SrcAppId . |
SrcProcessName | Opcional | String | O nome do arquivo do processo que iniciou a sessão de rede. Este nome é normalmente considerado como o nome do processo. Exemplo: C:\Windows\explorer.exe |
SrcProcessId | Opcional | String | A ID do processo (PID) do processo que iniciou a sessão de rede. Exemplo: 48610176 Nota: O tipo é definido como string para suportar sistemas variados, mas no Windows e Linux esse valor deve ser numérico. Se você estiver usando uma máquina Windows ou Linux e usou um tipo diferente, certifique-se de converter os valores. Por exemplo, se você usou um valor hexadecimal, converta-o em um valor decimal. |
SrcProcessGuid | Opcional | String | Um identificador exclusivo (GUID) gerado do processo que iniciou a sessão de rede. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Aliases locais e remotos
Todos os campos de origem e destino listados acima, podem ser opcionalmente aliased por campos com o mesmo nome e os descritores Local
e Remote
. Isso geralmente é útil para eventos relatados por um ponto de extremidade e para os quais o tipo de evento é EndpointNetworkSession
.
Para tais eventos, os descritores Local
e Remote
denotam o ponto final em si e o dispositivo na outra extremidade da sessão de rede, respectivamente. Para conexões de entrada, o sistema local é o destino, Local
os campos são aliases para os Dst
campos e os campos 'Remotos' são aliases para Src
campos. Por outro lado, para conexões de saída, o sistema local é a origem, Local
os campos são aliases para os Src
campos e Remote
os campos são aliases para Dst
campos.
Por exemplo, para um evento de entrada, o campo LocalIpAddr
é um alias para DstIpAddr
e o campo RemoteIpAddr
é um alias para SrcIpAddr
.
Aliases de nome de host e endereço IP
Campo | Classe | Tipo | Description |
---|---|---|---|
Nome de Anfitrião | Alias | - Se o tipo de evento for NetworkSession , Flow ou L2NetworkSession , Hostname é um alias para DstHostname.- Se o tipo de evento for EndpointNetworkSession , Hostname é um alias para RemoteHostname , que pode usar o alias DstHostname ou SrcHostName, dependendo de NetworkDirection |
|
IpAddr | Alias | - Se o tipo de evento for NetworkSession , Flow ou L2NetworkSession , IpAddr é um alias para SrcIpAddr.- Se o tipo de evento for EndpointNetworkSession , IpAddr é um alias para LocalIpAddr , que pode usar o alias SrcIpAddr ou DstIpAddr, dependendo de NetworkDirection. |
Campos NAT (Network Address Translation) e dispositivo intermediário
Os campos a seguir são úteis se o registro incluir informações sobre um dispositivo intermediário, como um firewall ou um proxy, que retransmite a sessão de rede.
Os sistemas intermediários utilizam frequentemente a tradução de endereços e, por conseguinte, o endereço original e o endereço observados externamente não são os mesmos. Nesses casos, os campos de endereço primário, como SrcIPAddr e DstIpAddr , representam os endereços observados externamente, enquanto os campos de endereço NAT, SrcNatIpAddr e DstNatIpAddr representam o endereço interno do dispositivo original antes da tradução.
Campos de inspeção
Os campos a seguir são usados para representar a inspeção que um dispositivo de segurança, como um firewall, um IPS ou um gateway de segurança da Web, realizou:
Campo | Classe | Tipo | Description |
---|---|---|---|
NetworkRuleName | Opcional | String | O nome ou ID da regra pela qual o DvcAction foi decidido. Exemplo: AnyAnyDrop |
NetworkRuleNumber | Opcional | Número inteiro | O número da regra pela qual o DvcAction foi decidido. Exemplo: 23 |
Regra | Alias | String | O valor de NetworkRuleName ou o valor de NetworkRuleNumber. Se o valor de NetworkRuleNumber for usado, o tipo deve ser convertido em string. |
ThreatId | Opcional | String | O ID da ameaça ou malware identificado na sessão de rede. Exemplo: Tr.124 |
Nome da Ameaça | Opcional | String | O nome da ameaça ou malware identificado na sessão de rede. Exemplo: EICAR Test File |
ThreatCategory | Opcional | String | A categoria da ameaça ou malware identificado na sessão de rede. Exemplo: Trojan |
ThreatRiskLevel | Opcional | Número inteiro | O nível de risco associado à sessão. O nível deve ser um número entre 0 e 100. Nota: O valor pode ser fornecido no registro de origem usando uma escala diferente, que deve ser normalizada para essa escala. O valor original deve ser armazenado em ThreatRiskLevelOriginal. |
ThreatOriginalRiskLevel | Opcional | String | O nível de risco comunicado pelo dispositivo de notificação. |
ThreatIpAddr | Opcional | Endereço IP | Um endereço IP para o qual foi identificada uma ameaça. O campo ThreatField contém o nome do campo que ThreatIpAddr representa. |
Campo de Ameaças | Condicional | Enumerated | O campo para o qual foi identificada uma ameaça. O valor é ou SrcIpAddr DstIpAddr . |
ThreatConfidence | Opcional | Número inteiro | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
ThreatOriginalConfidence | Opcional | String | O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
ThreatIsActive | Opcional | Boolean | True se a ameaça identificada for considerada uma ameaça ativa. |
ThreatFirstReportedTime | Opcional | datetime | A primeira vez que o endereço IP ou domínio foram identificados como uma ameaça. |
ThreatLastReportedTime | Opcional | datetime | A última vez que o endereço IP ou domínio foi identificado como uma ameaça. |
Outros domínios
Se o evento for relatado por um dos pontos de extremidade da sessão de rede, ele poderá incluir informações sobre o processo que iniciou ou encerrou a sessão. Nesses casos, o esquema de evento de processo ASIM é usado para normalizar essas informações.
Atualizações de esquema
A seguir estão as alterações na versão 0.2.1 do esquema:
- Adicionado
Src
eDst
como aliases a um identificador principal para os sistemas de origem e destino. - Adicionados os campos
NetworkConnectionHistory
,SrcVlanId
,DstVlanId
,InnerVlanId
, eOuterVlanId
.
A seguir estão as alterações na versão 0.2.2 do esquema:
- Adicionado
Remote
eLocal
aliases. - Adicionado o tipo
EndpointNetworkSession
de evento . - Definido
Hostname
eIpAddr
como aliases paraRemoteHostname
eLocalIpAddr
respectivamente quando o tipo de evento éEndpointNetworkSession
. - Definido
DvcInterface
como um alias paraDvcInboundInterface
ouDvcOutboundInterface
. - Alterado o tipo dos seguintes campos de Inteiro para Longo:
SrcBytes
,DstBytes
,NetworkBytes
,SrcPackets
,DstPackets
, eNetworkPackets
. - Adicionados os campos
NetworkProtocolVersion
,SrcSubscriptionId
eDstSubscriptionId
. - Preterido
DstUserDomain
eSrcUserDomain
.
A seguir estão as alterações na versão 0.2.3 do esquema:
- Adicionado o
ipaddr_has_any_prefix
parâmetro de filtragem. - O
hostname_has_any
parâmetro de filtragem agora corresponde aos nomes de host de origem ou de destino. - Adicionados os campos
ASimMatchingHostname
eASimMatchingIpAddr
.
A seguir estão as alterações na versão 0.2.4 do esquema:
- Adicionados os
TcpFlags
campos. - Atualizado
NetworkIcpmType
eNetworkIcmpCode
para refletir o valor numérico de ambos. - Adicionados campos de inspeção adicionais.
- O campo 'ThreatRiskLevelOriginal' foi renomeado para
ThreatOriginalRiskLevel
se alinhar com as convenções ASIM. Os analisadores Microsoft existentes serão mantidosThreatRiskLevelOriginal
até 1º de maio de 2023. - Marcado
EventResultDetails
como recomendado e especificado os valores permitidos.
A seguir estão as alterações na versão 0.2.5 do esquema:
- Adicionados os campos
DstUserScope
,SrcUserScope
, ,SrcDvcScopeId
SrcDvcScope
,DstDvcScopeId
,DstDvcScope
,DvcScopeId
, eDvcScope
.
A seguir estão as alterações na versão 0.2.6 do esquema:
- IDS adicionado como um tipo de evento
Próximos passos
Para obter mais informações, consulte:
- Assista ao Webinar da ASIM ou revise os slides
- Visão geral do ASIM (Advanced Security Information Model, modelo avançado de informações de segurança)
- Esquemas ASIM (Advanced Security Information Model)
- Analisadores ASIM (Advanced Security Information Model)
- Conteúdo do modelo avançado de informações de segurança (ASIM)