Справочник по схеме нормализации сетевого сеанса в расширенной информационной модели безопасности (ASIM) (общедоступная предварительная версия)

  • Статья

Схема нормализации сетевых сеансов Microsoft Sentinel представляет собой действие IP-сети, например, сетевые подключения и сетевые сеансы. О таких событиях сообщается, например, операционными системами, маршрутизаторами, брандмауэрами и системами предотвращения вторжения.

Схема нормализации сети может представлять любой тип сеанса IP-сети, но создана обеспечивать поддержку распространенных типов источников, таких как Netflow, брандмауэры и системы предотвращения вторжений.

Дополнительные сведения о нормализации в Microsoft Sentinel см. в статье Нормализация и расширенная информационная модель безопасности (ASIM).

В этой статье описывается версия 0.2.x схемы нормализации сети. Версия 0.1 была выпущена до того, как ASIM стала доступна и не соответствует ей в нескольких местах. Дополнительные сведения см. в разделе Различия между версиями схемы нормализации сети.

Важно!

В настоящее время схема нормализации сети предоставляется в предварительной версии. Эта функция предоставляется без соглашения об уровне обслуживания. Мы не рекомендуем использовать ее при нагрузках, обычных для рабочих средах.

Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Средства синтаксического анализа

Дополнительные сведения о средствах синтаксического анализа ASIM см. в обзоре средств синтаксического анализа ASIM.

Комплексные средства синтаксического анализа

Чтобы использовать средства синтаксического анализа, объединяющие все готовые средства синтаксического анализа ASIM, и убедиться, что ваш анализ выполняется во всех настроенных источниках, используйте средство синтаксического анализа с фильтрацией _Im_NetworkSession или средство синтаксического анализа без параметров_ASim_NetworkSession.

Вы также можете использовать средства синтаксического анализа ImNetworkSession и ASimNetworkSession, развернутые в рабочей области, развернув их из репозитория Microsoft Sentinel на GitHub.

Дополнительные сведения см. в разделе Встроенные средства синтаксического анализа ASIM и развернутые в рабочей области средства синтаксического анализа.

Готовые и зависящие от источника средства синтаксического анализа

Список стандартных средств синтаксического анализа сетевых сеансов Microsoft Sentinel см. в списке средств синтаксического анализа ASIM.

Добавление собственных нормализованных средств синтаксического анализа

При разработке пользовательских средств синтаксического анализа для информационной модели сетевого сеанса назовите свои функции KQL, используя следующий синтаксис:

  • vimNetworkSession<vendor><Product> для параметризованных средств синтаксического анализа
  • ASimNetworkSession<vendor><Product> для обычных средств синтаксического анализа

Сведения о добавлении пользовательских средств синтаксического анализа в сетевой сеанс, объединяющий средства синтаксического анализа, см. в статье Управление средствами синтаксического анализа ASIM.

Параметры фильтрации средств синтаксического анализа

Средства синтаксического анализа сеансов сети поддерживают фильтрацию параметров. Хотя эти параметры являются необязательными, они могут повысить производительность запросов.

Доступны следующие параметры фильтрации:

Имя. Тип Описание
starttime datetime Фильтровать только те сетевые сеансы, которые были запущены в это время или после этого.
endtime datetime Фильтровать только те сетевые сеансы, которые были запущены начали выполняться в течение этого времени или раньше.
srcipaddr_has_any_prefix по строкам Фильтровать только сетевые сеансы, для которых префикс поля исходного IP-адреса находится в одном из указанных значений. Префиксы должны заканчиваться на ., например: 10.0.. Длина списка ограничена 10 000 элементов.
dstipaddr_has_any_prefix по строкам Фильтровать только сетевые сеансы, для которых префикс поля IP-адреса назначения находится в одном из указанных значений. Префиксы должны заканчиваться на ., например: 10.0.. Длина списка ограничена 10 000 элементов.
ipaddr_has_any_prefix по строкам Фильтровать только сетевые сеансы, для которых префикс поля IP-адреса назначения или поля исходного IP-адреса имеет одно из указанных значений. Префиксы должны заканчиваться на ., например: 10.0.. Длина списка ограничена 10 000 элементов.

Поле ASimMatchingIpAddr задается одним из значений SrcIpAddr, DstIpAddr или Both в зависимости от соответствующих полей.
dstportnumber Int Фильтровать только сетевые сеансы с указанным номером порта назначения.
hostname_has_any dynamic/string Фильтровать только сетевые сеансы, для которых поле назначения hostname имеет любое из указанных значений. Длина списка ограничена 10 000 элементов.

Поле ASimMatchingHostname задается одним из значений SrcHostname, DstHostname или Both в зависимости от соответствующих полей.
dvcaction dynamic/string Фильтровать только сетевые сеансы, для которых поле действия устройства имеет любое из указанных значений.
eventresult Строка Фильтровать только сетевые сеансы с определенным значением EventResult.

Некоторые параметры могут принимать оба списка значений типа dynamic или одно строковое значение. Чтобы передать список литералов в параметры, которые предполагают динамическое значение, явно используйте динамический литерал. Пример: dynamic(['192.168.','10.'])

Например, чтобы отфильтровать только сетевые сеансы для указанного списка доменных имен, используйте:

let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)

Совет

Чтобы передать список литералов в параметры, которые предполагают динамическое значение, явно используйте динамический литерал. Например: dynamic(['192.168.','10.']).

Нормализованное содержимое

Полный список правил аналитики, использующих нормализованные события DNS, см. в разделе "Содержимое безопасности сеансов сети".

Общее представление схемы

Информационная модель сетевого сеанса согласована со схемой сетевой сущности OSSEM.

Схема сеанса сети служит нескольким типам похожих, но различных сценариев, которые используют одни и те же поля. Эти сценарии определяются полем EventType:

  • NetworkSession — сетевой сеанс, сообщаемый промежуточным устройством мониторинга сети, например брандмауэром, маршрутизатором или касанием сети.
  • L2NetworkSession — сетевые сеансы, для которых доступна только информация уровня 2. Такие события будут включать MAC-адреса, но не IP-адреса.
  • Flow — агрегированное событие, которое сообщает несколько аналогичных сетевых сеансов, обычно за определенный период времени, например события Netflow .
  • EndpointNetworkSession — сетевой сеанс, сообщаемый одной из конечных точек сеанса, включая клиенты и серверы. Для таких событий схема поддерживает remote поля и local псевдонимы.
  • IDS — сетевой сеанс, сообщающийся как подозрительный. Такое событие будет иметь некоторые поля проверки, заполненные, и может быть заполнено только одно поле IP-адреса, исходное или целевое.

Как правило, запрос должен выбрать только подмножество этих типов событий, и может потребоваться решить отдельные уникальные аспекты вариантов использования. Например, события IDS не отражают весь объем сети и не должны учитываться в аналитике на основе столбцов.

События сетевого сеанса используют дескрипторы Src и Dst для обозначения ролей устройств, а также связанных с ними пользователей и приложений, участвующих в сеансе. Например, имя узла и IP-адрес исходного устройства называются SrcHostname и SrcIpAddr. Другие схемы ASIM обычно используются Target вместо Dst.

Для событий, о которых сообщается конечной точкой, для которых тип события — это EndpointNetworkSession, дескрипторы Local и Remote обозначают саму конечную точку и устройство на другом конце сетевого сеанса соответственно.

Дескриптор Dvc используется для устройства отчетов, которое является локальной системой для сеансов, о которых сообщается конечной точкой, а также промежуточного устройства или сетевого отвода для других событий сетевого сеанса.

Сведения о схеме

Общие поля ASIM

Важно!

Поля, общие для всех схем, подробно описаны в статье Общие поля ASIM.

Общие поля с конкретными рекомендациями

В следующем списке упоминаются поля, имеющие определенные рекомендации по обработке событий сетевого сеанса:

Поле Класс Тип Описание
EventCount Обязательно Целое число Источники Netflow поддерживают агрегирование, а в поле EventCount должно быть задано значение поля Netflow FLOWS. Для других источников обычно устанавливается значение 1.
EventType Обязательно Enumerated Описывает сценарий, сообщаемый записью.

Для записей сетевого сеанса допустимы следующие значения:
- EndpointNetworkSession
- NetworkSession
- L2NetworkSession
- IDS
- Flow

Дополнительные сведения о типах событий см. в обзоре схемы.
EventSubType Необязательно Строка Дополнительное описание типа события, если применимо.
Для записей сетевого сеанса поддерживаются следующие значения:
- Start
- End

Это поле не относится к Flow событиям.
EventResult Обязательно Enumerated Если исходное устройство не предоставляет результат события, значение EventResult должно основываться на значении DvcAction. Если DvcAction имеет значение Deny, Drop, Drop ICMPResetReset Source или Reset Destination
, значение EventResult должно быть Failure. В противном случае значение EventResult должно быть Success.
EventResultDetails Рекомендуемая конфигурация Enumerated Причина или подробные сведения для результата, полученного в поле EventResult. Поддерживаются значения:
-Отказоустойчивого
— Недопустимый TCP
- Недопустимый Tunnel
- Максимальное число повторных попыток
- Сброс
- Проблема с маршрутизацией
- Моделирование
- Завершено
- Время ожидания
— временная ошибка
- Неизвестно
- Нет данных.

Исходное, связанное с источником значение, хранится в поле EventOriginalResultDetails.
EventSchema Обязательно Строка Имя описанной здесь схемы — NetworkSession.
EventSchemaVersion Обязательно Строка Номер версии схемы. Версия описанной здесь схемы — 0.2.6.
DvcAction Рекомендуемая конфигурация Enumerated Действие, выполняемое в сетевом сеансе. Поддерживаются значения:
- Allow
- Deny
- Drop
- Drop ICMP
- Reset
- Reset Source
- Reset Destination
- Encrypt
- Decrypt
- VPNroute

Примечание. Значение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы до этих значений. Исходное значение следует хранить в поле DvcOriginalAction.

Пример: drop
EventSeverity Необязательно Enumerated Если исходное устройство не предоставляет серьезность события, значение EventSeverity должно основываться на значении DvcAction. Если DvcAction имеет значение Deny, Drop, Drop ICMPResetReset Source или Reset Destination
, значение EventSeverity должно быть Low. В противном случае значение EventSeverity должно быть Informational.
DvcInterface Поле DvcInterface должно быть псевдонимом полей DvcInboundInterface или DvcOutboundInterface.
Поля Dvc Для событий сетевого сеанса поля устройства ссылаются на систему, которая сообщает о событии сетевого сеанса.

Все общие поля

Поля, представленные в таблице ниже, являются общими для всех схем ASIM. Все указанные выше рекомендации переопределяют общие рекомендации для поля. Например, поле может быть необязательным в целом, но обязательным для конкретной схемы. Дополнительные сведения о каждом поле см. в статье Общие поля ASIM.

Class Поля
Обязательно - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Рекомендуемая конфигурация - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Необязательно - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

Поля сетевого сеанса

Поле Класс Тип Описание
NetworkApplicationProtocol Необязательно Строка Протокол на уровне приложения, используемый соединением или сеансом. Значение должно находиться во всех верхних регистрах.

Пример: FTP
NetworkProtocol Необязательно Enumerated IP-протокол, используемый подключением или сеансом в соответствии с назначением протокола IANA, которое обычно является TCP, UDP или ICMP.

Пример: TCP
NetworkProtocolVersion Необязательно Enumerated Версия NetworkProtocol. При его использовании для различения версии IP используйте значения IPv4 и IPv6.
NetworkDirection Необязательно Enumerated Направление подключения или сеанса:

— Для EventTypeNetworkSessionFlow или L2NetworkSessionNetworkDirection представляет направление относительно границы организации или облачной среды. Поддерживаемые значения: Inbound, Outbound, Local (для организации), External (для организации) или NA (неприменимо).

— Для EventTypeEndpointNetworkSession, NetworkDirection представляет направление относительно конечной точки. Поддерживаемые значения: Inbound, Outbound, Local (для системы) Listen или NA (неприменимо). Значение Listen указывает, что устройство начало принимать сетевые подключения, но не обязательно, в действительности, подключено.
NetworkDuration Необязательно Целое число Время в миллисекундах, необходимое для завершения сетевого сеанса или подключения.

Пример: 1500
Длительность Псевдоним Псевдоним для NetworkDuration.
NetworkIcmpType Необязательно Строка Для сообщения ICMP — номер типа сообщения ICMP, как описано в RFC 2780 для сетевых подключений IPv4 или в RFC 4443 для сетевых подключений IPv6.
NetworkIcmpCode Необязательно Целое число Для сообщения ICMP — кодовый номер ICMP, как описано в RFC 2780 для сетевых подключений IPv4 или в RFC 4443 для сетевых подключений IPv6.
NetworkConnectionHistory Необязательно Строка Флаги TCP и другие возможные сведения о заголовке IP.
DstBytes Рекомендуемая конфигурация Long Число байтов, отправленных от места назначения к источнику для соединения или сеанса. Если событие является агрегированным, значение DstBytes должно быть суммой всех агрегированных сеансов.

Пример: 32455
SrcBytes Рекомендуемая конфигурация Long Число байтов, отправленных от источника к месту назначения для соединения или сеанса. Если событие является агрегированным, значение SrcBytes должно быть суммой всех агрегированных сеансов.

Пример: 46536
NetworkBytes Необязательно Long Число байтов, отправленных в обоих направлениях. Если BytesReceived и BytesSent существуют, значение BytesTotal должно быть равно их сумме. Если событие является агрегированным, значение NetworkBytes должно быть суммой всех агрегированных сеансов.

Пример: 78991
DstPackets Необязательно Long Число пакетов, отправленных от места назначения к источнику для соединения или сеанса. Значение пакета определяется устройством составления отчетов. Если событие является агрегированным, значение DstPackets должно быть суммой всех агрегированных сеансов.

Пример: 446
SrcPackets Необязательно Long Число пакетов, отправленных от источника к месту назначения для соединения или сеанса. Значение пакета определяется устройством составления отчетов. Если событие является агрегированным, значение SrcPackets должно быть суммой всех агрегированных сеансов.

Пример: 6478
NetworkPackets Необязательно Long Число пакетов, отправленных в обоих направлениях. Если PacketsReceived и PacketsSent существуют, значение BytesTotal должно быть равно их сумме. Значение пакета определяется устройством составления отчетов. Если событие является агрегированным, значение NetworkPackets должно быть суммой всех агрегированных сеансов.

Пример: 6924
NetworkSessionId Необязательно строка Идентификатор сеанса, сообщаемый устройством составления отчетов.

Пример: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80
SessionId Псевдоним Строка Псевдоним для NetworkSessionId.
TcpFlagsAck Необязательно Логическое значение Отчет о флаге TCP ACK. Флаг подтверждения используется для подтверждения успешного получения пакета. Как видно из схемы выше, получатель отправляет ACK и SYN на втором этапе процесса трехэтапного подтверждения, чтобы сообщить отправителю, что он получил свой первоначальный пакет.
TcpFlagsFin Необязательно Логическое значение Отчет о флаге TCP FIN. Готовый флаг означает, что данных от отправителя больше нет. Поэтому он используется в последнем пакете, отправленном отправителем.
TcpFlagsSyn Необязательно Логическое значение Отчет о флаге TCP SYN. Флаг синхронизации используется в качестве первого шага в установлении трехэтапного подтверждения между двумя узлами. Этот флаг должен быть установлен только для первого пакета как от отправителя, так и от получателя.
TcpFlagsUrg Необязательно Логическое значение Отчет о флаге TCP URG. Срочный флаг используется для уведомления получателя о необходимости обработки срочных пакетов перед обработкой всех остальных пакетов. Получатель будет уведомлен, когда будут получены все известные срочные данные. Дополнительные сведения см. на странице RFC 6093.
TcpFlagsPsh Необязательно Логическое значение Отчет о флаге TCP PSH. Флаг отправки аналогичен флагу URG и указывает получателю обрабатывать эти пакеты по мере их получения, а не буферизовать их.
TcpFlagsRst Необязательно Логическое значение Отчет о флаге TCP RST. Флаг сброса отправляется от получателя к отправителю, когда пакет отправляется на конкретный узел, который этого не ожидал.
TcpFlagsEce Необязательно Логическое значение Отчет о флаге TCP ECE. Этот флаг отвечает за указание того, поддерживает ли одноранговый узел TCP ECN. Дополнительные сведения см. на странице RFC 3168.
TcpFlagsCwr Необязательно Логическое значение Отчет о флаге TCP CWR. Флаг уменьшения окна перегрузки используется узлом-отправителем, чтобы указать, что он получил пакет с установленным флагом ECE. Дополнительные сведения см. на странице RFC 3168.
TcpFlagsNs Необязательно Логическое значение Отчет о флаге TCP NS. Флаг суммы nonce по-прежнему является экспериментальным флагом, используемым для защиты от случайного злонамеренного сокрытия пакетов от отправителя. Дополнительные сведения см. на странице RFC 3540

Поля системы назначения

Поле Класс Тип Описание
Dst Рекомендуемая конфигурация Псевдоним Уникальный идентификатор сервера, получающего DNS-запрос.

Это поле может быть псевдонимом для полей DstDvcId, DstHostname или DstIpAddr.

Пример: 192.168.12.1
DstIpAddr Рекомендуемая конфигурация IP-адрес IP-адрес подключения или назначения сеанса. Если в сеансе используется преобразование сетевых адресов, DstIpAddr является общедоступным адресом, а не исходным адресом источника, который хранится в DstNatIpAddr

Пример: 2001:db8::ff00:42:8329

Примечание. Это значение обязательно, если указано поле DstHostname.
DstPortNumber Необязательно Целое число Порт назначения.

Пример: 443
DstHostname Рекомендуемая конфигурация Hostname (Имя узла) Имя узла устройства назначения, включая сведения о домене. Если имя устройства недоступно, сохраните в этом поле соответствующий IP-адрес.

Пример: DESKTOP-1282V4D
DstDomain Рекомендуемая конфигурация Строка Домен устройства назначения.

Пример: Contoso
DstDomainType Условный Enumerated Тип DstDomain. Список допустимых значений и дополнительные сведения см. в разделе DomainType статьи Схемы расширенной информационной модели безопасности (ASIM).

Является обязательным при использовании DstDomain.
DstFQDN Необязательно Строка Имя узла устройства назначения, включая сведения о домене, если они доступны.

Пример: Contoso\DESKTOP-1282V4D

Примечание. Это поле поддерживает как традиционные форматы FQDN, так и формат домен\имя_узла Windows. DstDomainType отражает используемый формат.
DstDvcId Необязательно Строка Идентификатор ресурса устройства назначения. Если доступно несколько идентификаторов, используйте наиболее важный из них, другие храните в полях DstDvc<DvcIdType>.

Пример: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
DstDvcScopeId Необязательно Строка Облачная платформа область идентификатор устройства. DstDvcScopeId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS.
DstDvcScope Необязательно Строка Облачная платформа область принадлежит устройству. DstDvcScope сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS.
DstDvcIdType Условный Enumerated Тип DstDvcId. Список допустимых значений и дополнительные сведения см. в разделе DvcIdType статьи Схемы расширенной информационной модели безопасности (ASIM).

Является обязательным при использовании DstDeviceId.
DstDeviceType Необязательно Enumerated Тип устройства назначения. Список допустимых значений и дополнительные сведения см. в разделе DeviceType статьи Схемы расширенной информационной модели безопасности (ASIM).
DstZone Необязательно Строка Зона сети назначения, определенная на устройстве составления отчетов.

Пример: Dmz
DstInterfaceName Необязательно Строка Сетевой интерфейс, используемый устройством назначения для подключения или сеанса.

Пример: Microsoft Hyper-V Network Adapter
DstInterfaceGuid Необязательно Строка Идентификатор GUID сетевого интерфейса, используемого на устройстве назначения.

Пример:
46ad544b-eaf0-47ef-
827c-266030f545a6
DstMacAddr Необязательно Строка MAC-адрес сетевого интерфейса, используемый устройством назначения для подключения или сеанса.

Пример: 06:10:9f:eb:8f:14
DstVlanId Необязательно Строка Идентификатор виртуальной ЛС, относящийся к устройству назначения.

Пример: 130
OuterVlanId Необязательно Псевдоним Псевдоним для DstVlanId.

Во многих случаях виртуальная ЛС не может быть определена как источник или назначение, но характеризуется как внутренняя или внешняя. Этот псевдоним означает, что DstVlanId следует использовать, когда виртуальная ЛС характеризуется как внешняя.
DstSubscriptionId Необязательно Строка Идентификатор подписки на облачную платформу, к которой принадлежит устройство назначения. DstSubscriptionId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS.
DstGeoCountry Необязательно Страна/регион Страна, связанная с IP-адресом назначения. Дополнительные сведения см. в разделе Логические типы.

Пример: USA
DstGeoRegion Необязательно Регион Регион или состояние, связанное с целевым IP-адресом. Дополнительные сведения см. в разделе Логические типы.

Пример: Vermont
DstGeoCity Необязательно City Город, связанный с IP-адресом назначения. Дополнительные сведения см. в разделе Логические типы.

Пример: Burlington
DstGeoLatitude Необязательно Широта Широта географической координаты, связанная с IP-адресом назначения. Дополнительные сведения см. в разделе Логические типы.

Пример: 44.475833
DstGeoLongitude Необязательно Долгота Долгота географической координаты, связанная с IP-адресом назначения. Дополнительные сведения см. в разделе Логические типы.

Пример: 73.211944

Поля назначения пользователя

Поле Класс Тип Описание
DstUserId Необязательно Строка Считываемое компьютером буквенно-цифровое, уникальное представление пользователя назначения. Поддерживаемые форматы для различных типов идентификаторов см. в разделе Сущность пользователя.

Пример: S-1-12
DstUserScope Необязательно Строка Область, например клиент Microsoft Entra, в котором определены DstUserId и DstUsername. или дополнительные сведения и список разрешенных значений см. в разделе UserScope в статье "Обзор схемы".
DstUserScopeId Необязательно Строка Идентификатор область, например идентификатор каталога Microsoft Entra, в котором определены DstUserId и DstUserName. Дополнительные сведения и список разрешенных значений см. в разделе UserScopeId в статье "Обзор схемы".
DstUserIdType Условный UserIdType Тип идентификатора, который хранится в поле DstUserId. Список допустимых значений и дополнительные сведения см. в разделе UserIdType статьи Схемы расширенной информационной модели безопасности (ASIM).
DstUsername Необязательно Строка Имя пользователя назначения, включая сведения о домене, если они доступны. Поддерживаемые форматы для различных типов идентификаторов см. в разделе Сущность пользователя. Используйте простую форму, только если сведения о домене недоступны.

Храните тип имени пользователя в поле DstUsernameType. Если доступны другие форматы имени пользователя, сохраните их в полях DstUsername<UsernameType>.

Пример: AlbertE
Пользователь Псевдоним Псевдоним для DstUsername.
DstUsernameType Условный UsernameType Указывает тип имени пользователя, хранимого в поле DstUsername. Список допустимых значений и дополнительные сведения см. в разделе UsernameType статьи Схемы расширенной информационной модели безопасности (ASIM).

Пример: Windows
DstUserType Необязательно UserType Тип пользователя назначения. Список допустимых значений и дополнительные сведения см. в разделе UserType статьи Схемы расширенной информационной модели безопасности (ASIM).

Примечание. Значение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы до этих значений. Сохраните исходное значение в поле DstOriginalUserType.
DstOriginalUserType Необязательно Строка Начальный тип пользователя назначения, если он указан источником.

Поля приложения назначения

Поле Класс Тип Описание
DstAppName Необязательно Строка Введите имя приложения назначения.

Пример: Facebook
DstAppId Необязательно Строка Идентификатор целевого приложения, сообщаемый устройством отчета. Если DstAppType равно Process, DstAppId и DstProcessId должны иметь одинаковое значение.

Пример: 124
DstAppType Необязательно AppType Тип приложения назначения. Список допустимых значений и дополнительные сведения см. в разделе AppType статьи Схемы расширенной информационной модели безопасности (ASIM).

Это поле является обязательным, если используется DstAppName или DstAppId.
DstProcessName Необязательно Строка Имя файла процесса, завершившего сетевой сеанс. Это имя обычно считается именем процесса.

Пример: C:\Windows\explorer.exe
Обработать Псевдоним Псевдоним для DstProcessName

Пример: C:\Windows\System32\rundll32.exe
DstProcessId Необязательно Строка Идентификатор процесса (PID) процесса, завершившего сетевой сеанс.

Пример: 48610176

Примечание. Тип определяется как строка для поддержки различных систем, но в Windows и Linux это значение должно быть числовым.

Если вы используете компьютер с Windows или Linux и применяете другой тип, обязательно преобразуйте эти значения. Например, если вы использовали шестнадцатеричное значение, преобразуйте его в десятичное.
DstProcessGuid Необязательно Строка Сгенерированный уникальный идентификатор (GUID) процесса, завершившего сетевой сеанс.

Пример: EF3BD0BD-2B74-60C5-AF5C-010000001E00

Поля исходной системы

Поле Класс Тип Описание
Src Псевдоним Уникальный идентификатор исходного устройства.

Это поле может быть псевдонимом для полей SrcDvcId, SrcHostname или SrcIpAddr.

Пример: 192.168.12.1
SrcIpAddr Рекомендуемая конфигурация IP-адрес IP-адрес, с которого поступило соединение или сеанс. Это значение обязательно, если указано SrcHostname. Если в сеансе используется преобразование сетевых адресов, SrcIpAddr является общедоступным адресом, а не исходным адресом источника, который хранится в SrcNatIpAddr

Пример: 77.138.103.108
SrcPortNumber Необязательно Целое число Порт IP-адреса, с которого было создано подключение. Может не иметь отношения к сеансу, включающему несколько подключений.

Пример: 2335
SrcHostname Рекомендуемая конфигурация Hostname (Имя узла) Имя узла исходного устройства, включая сведения о домене. Если имя устройства недоступно, сохраните в этом поле соответствующий IP-адрес.

Пример: DESKTOP-1282V4D
SrcDomain Рекомендуемая конфигурация Строка Домен исходного устройства.

Пример: Contoso
SrcDomainType Условный DomainType Тип SrcDomain. Список допустимых значений и дополнительные сведения см. в разделе DomainType статьи Схемы расширенной информационной модели безопасности (ASIM).

Является обязательным при использовании SrcDomain.
SrcFQDN Необязательно Строка Имя узла исходного устройства, включая сведения о домене, если они доступны.

Примечание. Это поле поддерживает как традиционные форматы FQDN, так и формат домен\имя_узла Windows. Поле SrcDomainType отражает используемый формат.

Пример: Contoso\DESKTOP-1282V4D
SrcDvcId Необязательно Строка Идентификатор исходного устройства. Если доступно несколько идентификаторов, используйте наиболее важный из них, другие храните в полях SrcDvc<DvcIdType>.

Пример: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId Необязательно Строка Облачная платформа область идентификатор устройства. SrcDvcScopeId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS.
SrcDvcScope Необязательно Строка Облачная платформа область принадлежит устройству. SrcDvcScope сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS.
SrcDvcIdType Условный DvcIdType Тип SrcDvcId. Список допустимых значений и дополнительные сведения см. в разделе DvcIdType статьи Схемы расширенной информационной модели безопасности (ASIM).

Примечание. Это поле является обязательным, если используется SrcDvcId.
SrcDeviceType Необязательно DeviceType Тип исходного устройства. Список допустимых значений и дополнительные сведения см. в разделе DeviceType статьи Схемы расширенной информационной модели безопасности (ASIM).
SrcZone Необязательно Строка Зона сети источника, определенная на устройстве составления отчетов.

Пример: Internet
SrcInterfaceName Необязательно Строка Сетевой интерфейс, используемый исходным устройством для подключения или сеанса.

Пример: eth01
SrcInterfaceGuid Необязательно Строка GUID сетевого интерфейса, используемого на исходном устройстве.

Пример:
46ad544b-eaf0-47ef-
827c-266030f545a6
SrcMacAddr Необязательно Строка MAC-адрес сетевого интерфейса, из которого создано подключение или сеанс.

Пример: 06:10:9f:eb:8f:14
SrcVlanId Необязательно Строка Идентификатор виртуальной ЛС, относящийся к исходному устройству.

Пример: 130
InnerVlanId Необязательно Псевдоним Псевдоним для SrcVlanId.

Во многих случаях виртуальная ЛС не может быть определена как источник или назначение, но характеризуется как внутренняя или внешняя. Этот псевдоним означает, что SrcVlanId следует использовать, когда виртуальная ЛС характеризуется как внутренняя.
SrcSubscriptionId Необязательно Строка Идентификатор подписки на облачную платформу, к которой принадлежит исходное устройство. SrcSubscriptionId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS.
SrcGeoCountry Необязательно Страна/регион Страна, связанная с исходным IP-адресом.

Пример: USA
SrcGeoRegion Необязательно Регион Регион, связанный с исходным IP-адресом.

Пример: Vermont
SrcGeoCity Необязательно City Город, связанный с исходным IP-адресом.

Пример: Burlington
SrcGeoLatitude Необязательно Широта Географическая широта, связанная с исходным IP-адресом.

Пример: 44.475833
SrcGeoLongitude Необязательно Долгота Географическая долгота, связанная с исходным IP-адресом.

Пример: 73.211944

Поля исходного пользователя

Поле Класс Тип Описание
SrcUserId Необязательно Строка Считываемое компьютером буквенно-цифровое, уникальное представление исходного пользователя. Поддерживаемые форматы для различных типов идентификаторов см. в разделе Сущность пользователя.

Пример: S-1-12
SrcUserScope Необязательно Строка Область, например клиент Microsoft Entra, в котором определены SrcUserId и SrcUsername. или дополнительные сведения и список разрешенных значений см. в разделе UserScope в статье "Обзор схемы".
SrcUserScopeId Необязательно Строка Идентификатор область, например идентификатор каталога Microsoft Entra, в котором определены SrcUserId и SrcUsername. Дополнительные сведения и список разрешенных значений см. в разделе UserScopeId в статье "Обзор схемы".
SrcUserIdType Условный UserIdType Тип идентификатора, который хранится в поле SrcUserId. Список допустимых значений и дополнительные сведения см. в разделе UserIdType статьи Схемы расширенной информационной модели безопасности (ASIM).
SrcUsername Необязательно Строка Имя исходного пользователя, включая сведения о домене, если они доступны. Поддерживаемые форматы для различных типов идентификаторов см. в разделе Сущность пользователя. Используйте простую форму, только если сведения о домене недоступны.

Храните тип имени пользователя в поле SrcUsernameType. Если доступны другие форматы имени пользователя, сохраните их в полях SrcUsername<UsernameType>.

Пример: AlbertE
SrcUsernameType Условный UsernameType Указывает тип имени пользователя, хранимого в поле SrcUsername. Список допустимых значений и дополнительные сведения см. в разделе UsernameType статьи Схемы расширенной информационной модели безопасности (ASIM).

Пример: Windows
SrcUserType Необязательно UserType Тип исходного пользователя. Список допустимых значений и дополнительные сведения см. в разделе UserType статьи Схемы расширенной информационной модели безопасности (ASIM).

Примечание. Значение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы до этих значений. Сохраните исходное значение в поле SrcOriginalUserType.
SrcOriginalUserType Необязательно Строка Исходный тип пользователя назначения, если он указан передающим устройством.

Поля исходного приложения

Поле Класс Тип Описание
SrcAppName Необязательно Строка Имя исходного приложения.

Пример: filezilla.exe
SrcAppId Необязательно Строка Идентификатор исходного приложения, который сообщается передающим устройством. Если SrcAppType равно Process, SrcAppId и SrcProcessId должны иметь одинаковое значение.

Пример: 124
SrcAppType Необязательно AppType Тип исходного приложения. Список допустимых значений и дополнительные сведения см. в разделе AppType статьи Схемы расширенной информационной модели безопасности (ASIM).

Это поле является обязательным, если используется SrcAppName или SrcAppId.
SrcProcessName Необязательно Строка Имя файла процесса, инициировавшего сетевой сеанс. Это имя обычно считается именем процесса.

Пример: C:\Windows\explorer.exe
SrcProcessId Необязательно Строка Идентификатор процесса (PID) процесса, который инициировал сетевой сеанс.

Пример: 48610176

Примечание. Тип определяется как строка для поддержки различных систем, но в Windows и Linux это значение должно быть числовым.

Если вы используете компьютер с Windows или Linux и применяете другой тип, обязательно преобразуйте эти значения. Например, если вы использовали шестнадцатеричное значение, преобразуйте его в десятичное.
SrcProcessGuid Необязательно Строка Сгенерированный уникальный идентификатор (GUID) процесса, инициировавшего сетевой сеанс.

Пример: EF3BD0BD-2B74-60C5-AF5C-010000001E00

Локальные и удаленные псевдонимы

Все поля источника и назначения, перечисленные выше, могут быть дополнительно обозначены полями с тем же именем и дескрипторами Local и Remote. Это обычно полезно для событий, о которых сообщается конечной точкой, для которых тип события — EndpointNetworkSession.

Для таких событий дескрипторы Local и Remote обозначают саму конечную точку и устройство на другом конце сетевого сеанса соответственно. Для входящих подключений локальная система является назначением, поля Local являются псевдонимами полей Dst, а "удаленные" поля являются псевдонимами для полей Src. И наоборот, для исходящих подключений локальная система является источником, поля Local являются псевдонимами полей Src, а поля Remote являются псевдонимами для полей Dst.

Например, для входящего события поле LocalIpAddr является псевдонимом DstIpAddr, а поле RemoteIpAddr — псевдонимом SrcIpAddr.

Псевдонимы имени узла и IP-адреса

Поле Класс Тип Описание
Hostname Псевдоним — Если тип события имеет NetworkSessionзначение или FlowL2NetworkSessionимя узла является псевдонимом DstHostname.
— Если тип события — EndpointNetworkSession, имя узла является псевдонимом для RemoteHostname, которое может быть псевдонимом для DstHostname или SrcHostName, в зависимости от NetworkDirection
IpAddr Псевдоним — Если тип события имеет NetworkSessionFlow тип события или L2NetworkSessionipAddr является псевдонимом SrcIpAddr.
— Если тип события имеет EndpointNetworkSessionтип события, IpAddr — это псевдоним, в который может быть псевдоним LocalIpAddrSrcIpAddr или DstIpAddr, в зависимости от NetworkDirection.

Поля промежуточного устройства и преобразования сетевых адресов (NAT)

Следующие поля полезны, если запись содержит сведения о промежуточном устройстве, таком как брандмауэр или прокси-сервер, который передает сетевой сеанс.

В промежуточных системах часто используется преобразование адресов, и, следовательно, исходный адрес и адрес, с которыми вы столкнулись, не совпадают. В таких случаях основные поля адреса, такие как SrcIPAddr и DstIpAddr представляют адреса, которые наблюдаются извне, в то же время как поля адреса NAT, SrcNatIpAddr и DstNatIpAddr представляют внутренний адрес исходного устройства перед преобразованием.

Поле Класс Тип Описание
DstNatIpAddr Необязательно IP-адрес The DstNatIpAddr представляет одно из следующих:
— Исходный адрес устройства назначения, если использовалось преобразование сетевых адресов.
— IP-адрес, используемый промежуточным устройством для связи с источником.

Пример: 2::1
DstNatPortNumber Необязательно Целое число Если сообщение передается промежуточным устройством NAT, то это будет порт, используемый устройством NAT для связи с источником.

Пример: 443
SrcNatIpAddr Необязательно IP-адрес SrcNatIpAddr представляет одно из следующих:
— Исходный адрес исходного устройства, если использовалось преобразование сетевых адресов.
— IP-адрес, используемый промежуточным устройством для связи с назначением.

Пример: 4.3.2.1
SrcNatPortNumber Необязательно Целое число Если сообщение передается промежуточным устройством NAT, то это будет порт, используемый устройством NAT для связи с пунктом назначения.

Пример: 345
DvcInboundInterface Необязательно Строка Если сообщение передается промежуточным устройством, то это сетевой интерфейс, используемый устройством NAT для подключения к исходному устройству.

Пример: eth0
DvcOutboundInterface Необязательно Строка Если сообщение передается промежуточным устройством, то это сетевой интерфейс, используемый устройством NAT для подключения к устройству назначения.

Пример: Ethernet adapter Ethernet 4e

Поля проверки

Следующие поля используются для представления проверки, которую выполнило устройство безопасности, такое как брандмауэр, IPS, или шлюз безопасности:

Поле Класс Тип Описание
NetworkRuleName Необязательно Строка Имя или идентификатор правила, по которому было принято решение об DvcAction.

Пример: AnyAnyDrop
NetworkRuleNumber Необязательно Целое число Номер правила, по которому было принято решение об DvcAction.

Пример: 23
Правило Псевдоним Строка Значение NetworkRuleName или значение NetworkRuleNumber. Если используется значение NetworkRuleNumber, тип должен быть преобразован в строку.
ThreatId Необязательно Строка Идентификатор угрозы или вредоносной программы, определенной в сетевом сеансе.

Пример: Tr.124
ThreatName Необязательно Строка Имя угрозы или вредоносной программы, определенной в сетевом сеансе.

Пример: EICAR Test File
ThreatCategory Необязательно Строка Категория угрозы или вредоносной программы, определенной в сетевом сеансе.

Пример: Trojan
ThreatRiskLevel Необязательно Целое число Связанный с сеансом уровень риска. Уровень должен быть числом от 0 до 100.

Примечание. Значение может быть указано в исходной записи с использованием другой шкалы, которая должна быть нормализована по этой шкале. Исходное значение следует хранить в поле ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel Необязательно Строка Уровень риска, сообщаемый устройством отчетов.
ThreatIpAddr Необязательно IP-адрес IP-адрес, для которого была обнаружена угроза. Поле ThreatField содержит имя поля, которое представляет ThreatIpAddr.
ThreatField Условный Enumerated Поле, для которого была обнаружена угроза. Имеет значение SrcIpAddr или DstIpAddr.
ThreatConfidence Необязательно Целое число Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100.
ThreatOriginalConfidence Необязательно Строка Исходный уровень достоверности для обнаруженной угрозы, полученный от устройства, сообщившего о ней.
ThreatIsActive Необязательно Логическое значение Значение true, если обнаруженная угроза считается активной.
ThreatFirstReportedTime Необязательно datetime Время первого обнаружения угрозы для этого IP-адреса или домена.
ThreatLastReportedTime Необязательно datetime Время последнего обнаружения угрозы для этого IP-адреса или домена.

Другие поля

Если о событии сообщает одна из конечных точек сетевого сеанса, оно может содержать сведения о процессе, который инициировал или завершил сеанс. В таких случаях используется схема событий процесса ASIM для нормализации этой информации.

Обновления схемы

Ниже приведены изменения в версии 0.2.1 схемы:

  • Добавлены Src и Dst в качестве псевдонимов к основному идентификатору для систем источника и назначения.
  • Добавлены поля NetworkConnectionHistory, SrcVlanId, DstVlanId, InnerVlanId и OuterVlanId.

Ниже приведены изменения в версии 0.2.2 схемы:

  • Добавлены псевдонимы Remote и Local.
  • Добавлен тип события EndpointNetworkSession.
  • Определены Hostname и IpAddr как псевдонимы для RemoteHostname и LocalIpAddr соответственно, если тип события — EndpointNetworkSession.
  • Определено DvcInterface как псевдоним для DvcInboundInterface или DvcOutboundInterface.
  • Изменен тип следующих полей с Integer на Long: SrcBytes, DstBytes, NetworkBytes, SrcPacketsDstPackets и NetworkPackets.
  • Добавлены поля NetworkProtocolVersion, SrcSubscriptionId и DstSubscriptionId.
  • Больше не поддерживаются DstUserDomain и SrcUserDomain.

Ниже приведены изменения в версии 0.2.3 схемы:

  • Добавлен параметр фильтрации ipaddr_has_any_prefix.
  • Параметр фильтрации hostname_has_any теперь соответствует имени исходного или целевого узла.
  • Добавлены поля ASimMatchingHostname и ASimMatchingIpAddr.

Ниже приведены изменения в версии 0.2.4 схемы:

  • Добавлены поля TcpFlags.
  • Обновлены NetworkIcpmType и NetworkIcmpCode, чтобы отразить числовое значение для обоих.
  • Добавлены дополнительные поля проверки.
  • Поле ThreatRiskLevelOriginal было переименовано в ThreatOriginalRiskLevel соответствии с соглашениями ASIM. Существующие средства синтаксического анализа Microsoft будут поддерживать ThreatRiskLevelOriginal до 1 мая 2023 г.
  • Отмечено EventResultDetails как рекомендовано и указаны допустимые значения.

Ниже приведены изменения в схеме версии 0.2.5:

  • Добавлены поля DstUserScope, SrcUserScope, DstDvcScopeIdSrcDvcScopeDstDvcScopeSrcDvcScopeId, DvcScopeIdи .DvcScope

Ниже приведены изменения в схеме версии 0.2.6:

  • Добавленные идентификаторы в качестве типа события

Дальнейшие действия

Дополнительные сведения см. в разделе: