Partilhar via


Esquema de normalização de rede do Microsoft Sentinel (versão herdada - visualização pública)

O esquema de normalização de rede é usado para descrever eventos de rede relatados e é usado pelo Microsoft Sentinel para permitir a unificação de análises.

Para obter mais informações, consulte Normalização e o modelo avançado de informações de segurança (ASIM).

Importante

Este artigo está relacionado à versão 0.1 do esquema de normalização de rede, que foi lançado como uma visualização antes do ASIM estar disponível. A versão 0.2.x do esquema de normalização de rede alinha-se com o ASIM e fornece outros aprimoramentos.

Para obter mais informações, consulte Diferenças entre versões de esquema de normalização de rede

Terminologia

A seguinte terminologia é usada em esquemas do Microsoft Sentinel:

Termo Definição
Dispositivo de relatório O sistema envia os registros para o Microsoft Sentinel. Pode não ser o sistema sujeito do registo.
Registo Uma unidade de dados enviados a partir do dispositivo de relatório. Esta unidade de dados é muitas vezes referida como log, ou alert, eventmas também pode ter outros tipos.

Tipos de dados e formatos

A tabela a seguir fornece orientação para normalizar valores de dados, o que é necessário para campos normalizados e recomendado para outros campos.

Tipo de dados Tipo físico Formato e valor
Data/Hora Um dos seguintes, dependendo da capacidade do método de ingestão usado, na prioridade decrescente:
  • Tipo de data/hora integrado do Log Analytics
  • Um campo inteiro usando a representação numérica datetime do Log Analytics
  • Um campo de cadeia de caracteres usando a representação numérica datetime do Log Analytics
Representação datetime do Log Analytics.

A representação de data e hora do Log Analytics é semelhante em natureza, mas diferente da representação de hora Unix. Consulte estas diretrizes de conversão.

A data e a hora devem ser ajustadas para fusos horários.
Endereço MAC String Notação dois-pontos-hexadecimal
Endereço IP Endereço IP O esquema não tem endereços IPv4 e IPv6 separados. Qualquer campo de endereço IP pode incluir um endereço IPv4 ou um endereço IPv6:
  • IPv4 em uma notação ponto-decimal
  • IPv6 em notação de 8 hextets, permitindo as formas curtas descritas aqui.
Utilizador String Estão disponíveis os seguintes 3 campos de utilizador:
  • User name
  • UPN do usuário
  • Domínio do utilizador
ID de utilizador String Os seguintes 2 IDs de usuário são suportados atualmente:
  • SID do usuário
  • Microsoft Entra ID
Dispositivo String As seguintes 3 colunas de dispositivo/host são suportadas:
  • ID
  • Nome
  • O nome de domínio completamente qualificado (FQDN)
País String Uma string usando ISO 3166-1, de acordo com as seguintes prioridades:
  • Códigos alfa-2, como US para os Estados Unidos
  • Códigos alfa-3, como USA para os Estados Unidos
  • Nome abreviado
Região String O nome da subdivisão do país usando a ISO 3166-2
Localidade String
Longitude Duplo Representação de coordenadas ISO 6709 (decimal assinado)
Latitude Duplo Representação de coordenadas ISO 6709 (decimal assinado)
Algoritmo Hash String São suportadas as quatro colunas hash seguintes:
  • MD5
  • SHA1
  • SHA256
  • SHA512
Tipo de Arquivo: String O tipo do tipo de arquivo:
  • Extensão
  • Classe
  • NomedType

Esquema da tabela de sessões de rede

Abaixo está o esquema da tabela de sessões de rede, versionada 1.0.0

Nome do campo Tipo de Valor Exemplo Description Entidades OSSEM associadas
Tipo de Evento String Trânsito Tipo de evento a ser recolhido Event
SubTipo de Evento String Autenticação Descrição adicional do tipo, se aplicável Event
EventCount Número inteiro 10 O número de eventos agregados, se aplicável. Event
EventEndTime Data/Hora Ver "tipos de dados" A hora em que o evento terminou Event
EventMessage string Acesso negado Uma mensagem ou descrição geral, incluída ou gerada a partir do registo Event
DvcIpAddr Endereço IP 23.21.23.34 O endereço IP do dispositivo que gera o registo Dispositivo,
IP
DvcMacAddr String 06:10:9F:EB:8F:14 O endereço MAC da interface de rede do dispositivo de relatório a partir do qual o evento foi enviado. Dispositivo,
Mac
DvcNome do host Nome do dispositivo (String) syslogserver1.contoso.com O nome do dispositivo que gera a mensagem. Dispositivo
EventoProduto String OfficeSharepoint O produto gerador do evento. Event
EventProductVersion string 9.0 A versão do produto que gera o evento. Event
EventResourceId ID do dispositivo (String) /subscriptions/3c1bb38c-82e3-4f8d-a115-a7110ba70d05 /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 O ID do recurso do dispositivo que gera a mensagem. Event
EventReportUrl String https://192.168.1.1/repoerts/ae3-56.htm Um link para o relatório completo criado pelo dispositivo de relatório Event
EventVendor String Microsoft O fornecedor do produto que gera o evento. Event
EventResult Multivalor: Sucesso, Parcial, Falha, [Vazio] (String) Com êxito O resultado reportado para a atividade. Valor vazio quando não aplicável. Event
EventResultDetails String Palavra-passe errada Motivo ou detalhes para o resultado relatado em EventResult Event
EventSchemaVersion Real 0.1 Versão do esquema do Microsoft Sentinel. Atualmente 0,1. Event
EventSeverity String Mínimo Se a atividade relatada tiver um impacto na segurança, indica a gravidade do impacto. Event
EventOriginalUid String AF6AE8FE-FF43-4A4C-B537-8635976A2B51 O ID do registro do dispositivo de relatório. Event
EventStartTime Data/Hora Ver "tipos de dados" A hora em que o evento foi declarado Event
Gerado por tempo Data/Hora Ver "tipos de dados" A hora em que o evento ocorreu, conforme relatado pela fonte de relatório. Campo personalizado
EventTimeIngested Data/Hora Ver "tipos de dados" A hora em que o evento foi ingerido ao Microsoft Sentinel. Será adicionado pelo Microsoft Sentinel. Event
EventUid Guid (Corda) 516A64E3-8360-4F1E-A67C-D96B3D52DF54 Identificador exclusivo usado pelo Microsoft Sentinel para marcar uma linha. Event
NetworkApplicationProtocol String HTTPS O protocolo da camada de aplicativo usado pela conexão ou sessão. Rede
DstBytes número inteiro 32455 O número de bytes enviados do destino para a origem da conexão ou sessão. Destino
SrcBytes número inteiro 46536 O número de bytes enviados da origem para o destino da conexão ou sessão. Source
NetworkBytes número inteiro 78991 Número de bytes enviados em ambas as direções. Se BytesReceived e BytesSent existirem, BytesTotal deve ser igual à sua soma. Rede
Direção de rede Vários valores: Entrada, Saída (string) Interna A direção da conexão ou sessão, para dentro ou para fora da organização. Rede
DstGeoCity String Burlington A cidade associada ao endereço IP de destino Destino,
Geografia
DstGeoCountry País (String) EUA O país associado ao endereço IP de origem Destino,
Geografia
DstDvcNome do host Nome do dispositivo (String) victim_pc O nome do dispositivo de destino Destino
Dispositivo
DstDvcFqdn String victim_pc.contoso.local O nome de domínio totalmente qualificado do host onde o log foi criado Destino,
Dispositivo
DstDomainHostname string CONTOSO O domínio do destino, O domínio do host de destino (site, nome de domínio, etc.), por exemplo, para pesquisas de DNS ou pesquisas NS Destino
DstInterfaceName string Adaptador de rede Microsoft Hyper-V A interface de rede usada para a conexão ou sessão pelo dispositivo de destino. Destino
DstInterfaceGuid string 2BB33827-6BB6-48DB-8DE6-DB9E0B9F9C9B GUID da interface de rede que foi usada para a solicitação de autenticação Destino
DstIpAddr Endereço IP 2001:db8::ff00:42:8329 O endereço IP da conexão ou destino da sessão, mais comumente referido como o IP de destino no pacote de rede Destino,
IP
DstDvcIpAddr Endereço IP 75.22.12.2 O endereço IP de destino de um dispositivo que não está diretamente associado ao pacote de rede Destino,
Dispositivo,
IP
DstGeoLatitude Latitude (Duplo) 44.475833 A latitude da coordenada geográfica associada ao endereço IP de destino Destino,
Geografia
DstMacAddr String 06:10:9F:EB:8F:14 O endereço MAC da interface de rede na qual a conexão ou sessão terminou, mais comumente referido ao MAC de destino no pacote de rede Destino,
MAC
DstDvcMacAddr String 06:10:9F:EB:8F:14 O endereço MAC de destino de um dispositivo que não está diretamente associado ao pacote de rede. Destino,
Dispositivo,
MAC
DstDvcDomínio String CONTOSO O domínio do dispositivo de destino. Destino,
Dispositivo
DstPortNumber Número inteiro 443 A porta IP de destino. Destino,
Porta
DstGeoRegion Região (String) Vermont A região associada ao endereço IP de destino Destino,
Geografia
DstResourceId ID do dispositivo (String) /subscriptions/3c1bb38c-82e3-4f8d-a115-a7110ba70d05 /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /vítima O ID do recurso do dispositivo de destino. Destino
DstNatIpAddr Endereço IP 2::1 Se relatado por um dispositivo NAT intermediário, como um firewall, o endereço IP usado pelo dispositivo NAT para comunicação com a fonte. NAT de destino,
IP
DstNatPortNumber número inteiro 443 Se relatado por um dispositivo NAT intermediário, como um firewall, a porta usada pelo dispositivo NAT para comunicação com a fonte. NAT de destino,
Porta
DstUserSid SID do usuário S-12-1445 O ID de usuário da identidade associada ao destino da sessão. Normalmente, a identidade usada para autenticar um servidor. Para obter mais informações, consulte Tipos e formatos de dados. Destino,
Utilizador
DstUserAadId Corda (guid) AE92B0B4-CFBA-4B42-85A0-FBD862F4DF54 A ID do objeto da conta Microsoft Entra do usuário no final da sessão de destino Destino,
Utilizador
DstUserName Nome de usuário (String) johnd O nome de usuário da identidade associada ao destino da sessão. Destino,
Utilizador
DstUserUpn string johnd@anon.com O UPN da identidade associada ao destino da sessão. Destino,
Utilizador
DstUserDomain string GRUPO DE TRABALHO O domínio ou nome do computador da conta no destino da sessão Destino,
Utilizador
DstZona String Dmz A zona de rede do destino, conforme definido pelo dispositivo de relatório. Destino
DstGeoLongitude Longitude (Duplo) -73.211944 A longitude da coordenada geográfica associada ao endereço IP de destino Destino,
Geografia
DvcAction Vários valores: Permitir, Negar, Soltar (string) Permitir Se relatado por um dispositivo intermediário, como um firewall, a ação executada pelo dispositivo. Dispositivo
DvcInboundInterface String eth0 Se relatado por um dispositivo intermediário, como um firewall, a interface de rede usada por ele para a conexão com o dispositivo de origem. Dispositivo
DvcOutboundInterface String Adaptador Ethernet Ethernet 4 Se relatado por um dispositivo intermediário, como um firewall, a interface de rede usada por ele para a conexão com o dispositivo de destino. Dispositivo
NetworkDuration Número inteiro 1500 A quantidade de tempo, em milissegundos, para a conclusão da sessão de rede ou conexão Rede
RedeIcmpCode Número inteiro 34 Para uma mensagem ICMP, o valor numérico do tipo de mensagem ICMP (RFC 2780 ou RFC 4443). Rede
NetworkIcmpType String Destino Inacessível Para uma mensagem ICMP, representação de texto do tipo de mensagem ICMP (RFC 2780 ou RFC 4443). Rede
DstPackets número inteiro 446 O número de pacotes enviados do destino para a origem da conexão ou sessão. O significado de um pacote é definido pelo dispositivo de relatório. Destino
SrcPackets número inteiro 6478 O número de pacotes enviados da origem para o destino da conexão ou sessão. O significado de um pacote é definido pelo dispositivo de relatório. Source
Pacotes de rede número inteiro 0 Número de pacotes enviados em ambas as direções. Se ambos PacketsReceived e PacketsSent existirem, BytesTotal deve ser igual à sua soma. Rede
HttpRequestTime Número inteiro 700 O tempo necessário para enviar a solicitação ao servidor, se aplicável. Http
HttpResponseTime Número inteiro 800 O tempo necessário para receber uma resposta no servidor, se aplicável. Http
NetworkRuleName String AnyAnyDrop O nome ou ID da regra pela qual DeviceAction foi decidido Rede
NetworkRuleNumber número inteiro 23 Número de regra correspondente Rede
NetworkSessionId string 172_12_53_32_4322__123_64_207_1_80 O identificador de sessão conforme relatado pelo dispositivo de relatório. Por exemplo, identificador de sessão L7 para aplicativos específicos após a autenticação Rede
SrcGeoCity String Burlington A cidade associada ao endereço IP de origem Fonte,
Geografia
SrcGeoCountry País (String) EUA O país associado ao endereço IP de origem Fonte,
Geografia
SrcDvcNome do host Nome do dispositivo (String) vilão O nome do dispositivo de origem Fonte,
Dispositivo
SrcDvcFqdn string Villain.malicious.com O nome de domínio totalmente qualificado do host onde o log foi criado Fonte,
Dispositivo
Domínio SrcDvc string EVILORG Domínio do dispositivo a partir do qual a sessão foi iniciada Fonte,
Dispositivo
SrcDvcOs String iOS O SO do dispositivo de origem Fonte,
Dispositivo
SrcDvcModelName String Samsung Galaxy Note O nome do modelo do dispositivo de origem Fonte,
Dispositivo
SrcDvcModelNumber String 10,0 O número do modelo do dispositivo de origem Fonte,
Dispositivo
SrcDvcType String Mobile O tipo do dispositivo de origem Fonte,
Dispositivo
SrcIntefaceName String ETH01 A interface de rede usada para a conexão ou sessão pelo dispositivo de origem. Source
SrcInterfaceGuid String 46AD544B-EAF0-47EF-827C-266030F545A6 GUID da interface de rede usada Source
SrcIpAddr Endereço IP 77.138.103.108 O endereço IP do qual a conexão ou sessão se originou. Fonte,
IP
SrcDvcIpAddr Endereço IP 77.138.103.108 O endereço IP de origem de um dispositivo não diretamente associado ao pacote de rede (coletado por um provedor ou calculado explicitamente). Fonte,
Dispositivo,
IP
SrcGeoLatitude Latitude (Duplo) 44.475833 A latitude da coordenada geográfica associada ao endereço IP de origem Fonte,
Geografia
SrcGeoLongitude Longitude (Duplo) -73.211944 A longitude da coordenada geográfica associada ao endereço IP de origem Fonte,
Geografia
SrcMacAddr String 06:10:9F:EB:8F:14 O endereço MAC da interface de rede a partir da qual a conexão od sessão se originou. Fonte,
Mac
SrcDvcMacAddr String 06:10:9F:EB:8F:14 O endereço MAC de origem de um dispositivo que não está diretamente associado ao pacote de rede. Fonte,
Dispositivo,
Mac
SrcPortNumber Número inteiro 2335 A porta IP da qual a conexão se originou. Pode não ser relevante para uma sessão que inclui várias conexões. Fonte,
Porta
SrcGeoRegion Região (String) Vermont A região dentro de um país associada ao endereço IP de origem Fonte,
Geografia
SrcResourceId String /subscriptions/3c1bb38c-82e3-4f8d-a115-a7110ba70d05 /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 O ID do recurso do dispositivo que gera a mensagem. Source
SrcNatIpAddr Endereço IP 4.3.2.1 Se relatado por um dispositivo NAT intermediário, como um firewall, o endereço IP usado pelo dispositivo NAT para comunicação com o destino. Fonte NAT,
IP
SrcNatPortNumber Número inteiro 345 Se relatado por um dispositivo NAT intermediário, como um firewall, a porta usada pelo dispositivo NAT para comunicação com o destino. Fonte NAT,
Porta
SrcUserSid ID de usuário (String) S-15-1445 O ID de usuário da identidade associada à origem das sessões. Normalmente, o usuário executa uma ação no cliente. Para obter mais informações, consulte Tipos e formatos de dados. Fonte,
Utilizador
SrcUserAadId Corda (guid) 16C8752C-7DD2-4CAD-9E03-FB5D1CEE5477 A ID do objeto da conta Microsoft Entra do usuário no final da sessão de origem Fonte,
Utilizador
SrcUserName Nome de usuário (String) Fábio O nome de usuário da identidade associada à origem das sessões. Normalmente, o usuário executa uma ação no cliente. Para obter mais informações, consulte Tipos e formatos de dados. Source
Utilizador
SrcUserUpn string bob@alice.com UPN da conta que inicia a sessão Fonte,
Utilizador
SrcUserDomain string COMPUTADOR O domínio da conta que inicia a sessão Fonte,
Utilizador
SrcZona String Tocar A zona de rede da fonte, conforme definido pelo dispositivo de relatório. Source
Protocolo de rede String TCP O protocolo IP usado pela conexão ou sessão. Normalmente, TCP, UDP ou ICMP Rede
CloudAppName String Facebook O nome do aplicativo de destino para um aplicativo HTTP conforme identificado por um proxy. Cloud
CloudAppId String 124 A ID do aplicativo de destino para um aplicativo HTTP, conforme identificado por um proxy. Esse valor normalmente é específico para o proxy usado. Cloud
CloudAppOperation String DeleteFile A operação que o usuário executou no contexto do aplicativo de destino para um aplicativo HTTP, conforme identificado por um proxy. Esse valor normalmente é específico para o proxy usado. Cloud
CloudAppRiskLevel String 3 O nível de risco associado a um aplicativo HTTP, conforme identificado por um proxy. Esse valor normalmente é específico para o proxy usado. Cloud
Nome do arquivo String ImNotMalicious.exe O nome do arquivo transmitido pelas conexões de rede para protocolos, como FTP e HTTP, que fornecem as informações de nome do arquivo. Ficheiro
FilePath String C:\Malicious\ImNotMalicious.exe O caminho completo, incluindo o nome do arquivo, do arquivo Ficheiro
FileHashMd5 String 51BC68715FC7C109DCEA406B42D9D78F O valor hash MD5 do ficheiro transmitido através das ligações de rede para os protocolos. Ficheiro
FileHashSha1 String 491AE3... C299821476F4 O valor hash SHA1 do ficheiro transmitido através das ligações de rede para os protocolos. Ficheiro
FileHashSha256 String 9B8F8EDB... C129976F03 O valor hash SHA256 do ficheiro transmitido através das ligações de rede para os protocolos. Ficheiro
FileHashSha512 String 5E127D... F69F73F01F361 O valor hash SHA512 do ficheiro transmitido através das ligações de rede para os protocolos. Ficheiro
Extensão de arquivo String exe O tipo do arquivo transmitido através das conexões de rede para protocolos como FTP e HTTP. Ficheiro
FileMimeType String aplicação/msword O tipo MIME do arquivo transmitido pelas conexões de rede para protocolos como FTP e HTTP Ficheiro
Tamanho do arquivo Número inteiro 23500 O tamanho do arquivo, em bytes, do arquivo transmitido através das conexões de rede para protocolos. Ficheiro
Versão Http String 2.0 A versão da solicitação HTTP para conexões de rede HTTP/HTTPS. Http
HttpRequestMethod String GET O método HTTP para sessões de rede HTTP/HTTPS. Http
HttpStatusCode String 404 O código de status HTTP para sessões de rede HTTP/HTTPS. Http
HttpContentType String dados de várias partes/formulários; limite=algo O cabeçalho do tipo de conteúdo de Resposta HTTP para sessões de rede HTTP/HTTPS. Http
HttpReferrerOriginal String https://developer.mozilla.org/en-US/docs/Web/JavaScript O cabeçalho do referenciador HTTP para sessões de rede HTTP/HTTPS. Http
HttpUserAgentOriginal String Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/83.0.4103.97 Safari/537.36 O cabeçalho do agente do usuário HTTP para sessões de rede HTTP/HTTPS. Http
HttpRequestXff String 120.12.41.1 O cabeçalho HTTP X-Forwarded-For para sessões de rede HTTP/HTTPS. Http
UrlCategory String Motores de busca O agrupamento definido de um URL, possivelmente com base no domínio no URL, relacionado ao que é o conteúdo. Por exemplo: adulto, notícias, publicidade, domínios estacionados e assim por diante.) url
UrlOriginal String https:// contoso.com/fo/?k=v&q=u#f A URL de solicitação HTTP para sessões de rede HTTP/HTTPS. Url
UrlHostname String contoso.com A parte do domínio de uma URL de solicitação HTTP para sessões de rede HTTP/HTTPS. Url
ThreatCategory String Cavalo de Troia A categoria de uma ameaça identificada por um sistema de segurança, como o Web Security Gateway de um IPS, e está associada a esta sessão de rede. Ameaça
ThreatId String Tr.124 A ID de uma ameaça identificada por um sistema de segurança, como o Web Security Gateway de um IPS, e está associada a esta sessão de rede. Ameaça
Nome da Ameaça String Ficheiro de teste EICAR O nome da ameaça ou malware identificado Ameaça
Campos Adicionais Dinâmico (saco JSON) {
Imóvel1: "val1",
Propriedade2: "val2"
}
Quando nenhuma coluna respetiva no esquema corresponder, outros campos podem ser armazenados em um saco JSON.
Para análise em tempo de consulta, recomendamos promover colunas adicionais em vez de usar um pacote JSON, pois o empacotamento de dados no código JSON degradará o desempenho da consulta.
Campo personalizado

Diferenças entre a versão 0.1 e a versão 0.2

A versão original do esquema de normalização de sessão do Microsoft Sentinel Network, versão 0.1, foi lançada como uma prévia antes do ASIM estar disponível.

As diferenças entre a versão 0.1, documentada neste artigo, e a versão 0.2.x incluem:

  • Na versão 0.2, nomes de analisadores unificadores e específicos da fonte foram alterados para estarem em conformidade com uma convenção de nomenclatura ASIM padrão.
  • A versão 0.2 adiciona diretrizes específicas e analisadores unificadores para acomodar tipos de dispositivos específicos.

As seções a seguir descrevem como a versão 0.2.x difere para campos específicos.

Campos adicionados na versão 0.2

Os seguintes campos foram adicionados na versão 0.2.x e não existem na versão 0.1:

  • DstAppType
  • DstDeviceType
  • DstDomainType
  • DstDvcId
  • DstDvcIdType
  • DstOriginalUserType
  • DstUserIdType
  • DstUsernameType
  • DstUserType
  • DvcActionOriginal
  • DvcDomínio
  • DvcDomainType
  • DvcFQDN
  • DvcId
  • DvcIdType
  • DvcIdType
  • EventOriginalSeverity
  • EventOriginalType
  • SrcAppId
  • SrcAppName
  • SrcAppType
  • SrcDeviceType
  • SrcDomainType
  • SrcDvcId
  • SrcDvcIdType
  • SrcOriginalUserType
  • SrcUserIdType
  • SrcUsernameType
  • SrcUserType
  • ThreatRiskLevelOriginal
  • Url

Campos recentemente aliased na versão 0.2

Os seguintes campos são agora aliased na versão 0.2.x com a introdução do ASIM:

Campo na versão 0.1 Alias na versão 0.2
SessionId NetworkSessionId
Duration NetworkDuration
IpAddr SrcIpAddr
Utilizador DstUsername
Hostname (Nome do anfitrião) DstHostname
UserAgent HttpUserAgent

Campos modificados na versão 0.2

Os campos a seguir são enumerados na versão 0.2.x e exigem um valor específico de uma lista fornecida.

  • EventType
  • EventResultDetails
  • EventSeverity

Campos renomeados na versão 0.2

Os seguintes campos foram renomeados na versão 0.2.x:

  • Na versão 0.2, use os campos internos do Log Analytics:

    Observe que ingestion_time() é uma função KQL e não um nome de campo.

    Campo na versão 0.1 Renomeado na versão 0.2
    EventResourceId _ResourceId
    EventUid _ItemId
    EventTimeIngested ingestion_time()
  • Renomeado para alinhar com as melhorias no ASIM e OSSEM:

    Campo na versão 0.1 Renomeado na versão 0.2
    HttpReferrerOriginal HttpReferrer
    HttpUserAgentOriginal HttpUserAgent
  • Renomeado para refletir que o destino da sessão de rede não precisa ser um serviço de nuvem:

    Campo na versão 0.1 Renomeado na versão 0.2
    CloudAppId DstAppId
    CloudAppName DstAppName
    CloudAppRiskLevel ThreatRiskLevel
  • Renomeado para alterar o caso e alinhar com o tratamento ASIM da entidade do usuário:

    Campo na versão 0.1 Renomeado na versão 0.2
    DstUserName DstUsername
    SrcUserName SrcUsername
  • Renomeado para se alinhar melhor com a entidade do dispositivo ASIM e permitir IDs de recursos diferentes das do Azure:

    Campo na versão 0.1 Renomeado na versão 0.2
    DstResourceId SrcDvcAzureRerouceId
    SrcResourceId SrcDvcAzureRerouceId
  • Renomeado para remover a cadeia de caracteres dos nomes de campo, pois a Dvc manipulação na versão 0.1 era inconsistente:

    Campo na versão 0.1 Renomeado na versão 0.2
    DstDvcDomínio DstDomínio
    DstDvcFqdn DstFqdn
    DstDvcNome do host DstHostname
    Domínio SrcDvc Domínio Src
    SrcDvcFqdn SrcFqdn
    SrcDvcNome do host SrcHostname
  • Renomeado para alinhar com as diretrizes de representação de arquivo ASIM:

    Campo na versão 0.1 Renomeado na versão 0.2
    FileHashMd5 ArquivoMD5
    FileHashSha1 FileSHA1
    FileHashSha256 ArquivoSHA256
    FileHashSha512 ArquivoSHA512
    FileMimeType FileContentType

Campos removidos na versão 0.2

Os seguintes campos existem apenas na versão 0.1 e foram removidos na versão 0.2.x:

Razão Campos removidos
Removido porque existem duplicatas, sem a Dvc cadeia de caracteres no nome do campo - DstDvcIpAddr
- DstDvcMacAddr
- SrcDvcIpAddr
- SrcDvcMacAddr
Removido para alinhar com o tratamento ASIM de URLs - UrlHostname
Removido porque esses campos normalmente não são fornecidos como parte de eventos de Sessão de Rede.

Se um evento incluir esses campos, use o esquema Process Event para entender como descrever as propriedades do dispositivo.
- SrcDvcOs
- SrcDvcModelName
- SrcDvcModelNumber
- DvcMacAddr
- DvcOs
Removido para alinhar com as diretrizes de representação de arquivos ASIM - FilePath
- FileExtension
Removido, pois este campo indica que um esquema diferente deve ser usado, como o esquema de autenticação. - CloudAppOperation
Removido à medida que duplica DstHostname - DstDomainHostname

Próximos passos

Para obter mais informações, consulte: