Справочник по схеме нормализации сеанса расширенной информационной безопасности (ASIM)

Схема нормализации сетевого сеанса Microsoft Sentinel представляет действие IP-сети, например сетевые подключения и сетевые сеансы. Такие события сообщаются, например, операционными системами, маршрутизаторами, брандмауэрами и системами защиты от вторжений.

Схема нормализации сети может представлять любой тип сеанса IP-сети, но предназначена для обеспечения поддержки распространенных типов источников, таких как Netflow, брандмауэры и системы предотвращения вторжений.

Дополнительные сведения о нормализации в Microsoft Sentinel см. в разделе Нормализация и расширенная информационная модель безопасности (ASIM).

Парсеров

Дополнительные сведения о средствах синтаксического анализа ASIM см. в обзоре средства синтаксического анализа ASIM.

Объединение синтаксического анализа

Чтобы использовать средства синтаксического анализа, которые унифицировывают все встроенные средства синтаксического анализа ASIM и обеспечивают выполнение анализа во всех настроенных источниках, используйте _Im_NetworkSession средство синтаксического анализа.

Встроенные средства синтаксического анализа для конкретного источника

Список средств синтаксического анализа сетевых сеансов, Microsoft Sentinel предоставляет встроенные средства синтаксического анализа, см. в списке средств синтаксического анализа ASIM.

Добавление собственных нормализованных анализаторов

При разработке пользовательских средств синтаксического анализа для информационной модели сетевого сеанса присвойте функции KQL имя, используя следующий синтаксис:

  • vimNetworkSession<vendor><Product> для параметризованных синтаксических анализаторов
  • ASimNetworkSession<vendor><Product> для обычных синтаксического анализа

См. статью Управление средствами синтаксического анализа ASIM , чтобы узнать, как добавить пользовательские средства синтаксического анализа в унифицированные средства синтаксического анализа сетевого сеанса.

Фильтрация параметров средства синтаксического анализа

Средства синтаксического анализа сетевых сеансов поддерживают параметры фильтрации. Хотя эти параметры являются необязательными, они могут повысить производительность запроса.

Доступны следующие параметры фильтрации:

Имя Тип Описание
Starttime datetime Фильтровать только сетевые сеансы, которые были запущены в это время или позже. Этот параметр фильтрует TimeGenerated поле, которое является стандартным конструктором для времени события, независимо от сопоставления полей EventStartTime и EventEndTime специфичного для средства синтаксического анализа.
время окончания datetime Отфильтруйте только сетевые сеансы, которые начали выполняться в это время или раньше. Этот параметр фильтрует TimeGenerated поле, которое является стандартным конструктором для времени события, независимо от сопоставления полей EventStartTime и EventEndTime специфичного для средства синтаксического анализа.
srcipaddr_has_any_prefix Динамический Фильтрация только сетевых сеансов, для которых префикс поля исходного IP-адреса находится в одном из перечисленных значений. Префиксы должны заканчиваться .на , например: 10.0.. Длина списка ограничена 10 000 элементов.
dstipaddr_has_any_prefix Динамический Фильтрация только сетевых сеансов, для которых префикс поля IP-адреса назначения находится в одном из перечисленных значений. Префиксы должны заканчиваться .на , например: 10.0.. Длина списка ограничена 10 000 элементов.
ipaddr_has_any_prefix Динамический Фильтрация только сетевых сеансов, для которых поле IP-адреса назначения или префикс поля исходного IP-адреса находится в одном из перечисленных значений. Префиксы должны заканчиваться .на , например: 10.0.. Длина списка ограничена 10 000 элементов.

Поле ASimMatchingIpAddr задается с одним из значений SrcIpAddr, DstIpAddrили Both для отражения соответствующих полей или полей.
dstportnumber Целое Фильтрация только сетевых сеансов с указанным номером порта назначения.
hostname_has_any dynamic/string Фильтрация только сетевых сеансов, для которых поле имени узла назначения содержит любое из перечисленных значений. Длина списка ограничена 10 000 элементов.

Поле ASimMatchingHostname задается с одним из значений SrcHostname, DstHostnameили Both для отражения соответствующих полей или полей.
dvcaction dynamic/string Фильтрация только сетевых сеансов, для которых поле Действие устройства является любым из перечисленных значений.
eventresult String Фильтрация только сетевых сеансов с определенным значением EventResult .

Некоторые параметры могут принимать как список значений типа dynamic , так и одно строковое значение. Чтобы передать литерал списка параметрам, которые ожидают динамическое значение, явно используйте динамический литерал. Пример: dynamic(['192.168.','10.'])

Например, чтобы отфильтровать только сетевые сеансы по указанному списку доменных имен, используйте:

let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)

Совет

Чтобы передать литерал списка параметрам, которые ожидают динамическое значение, явно используйте динамический литерал. Пример: dynamic(['192.168.','10.']).

Нормализованное содержимое

Полный список правил аналитики, использующих нормализованные события DNS, см. в разделе Содержимое безопасности сетевого сеанса.

Обзор схемы

Информационная модель сетевого сеанса соответствует схеме сетевой сущности OSSEM.

Схема сетевого сеанса обслуживает несколько типов похожих, но отдельных сценариев, в которых используются одни и те же поля. Эти сценарии определяются полем EventType:

  • NetworkSession — сетевой сеанс, сообщаемый промежуточным устройством, отслеживаемым сетью, например брандмауэром, маршрутизатором или сетевым краном.
  • L2NetworkSession — сетевой сеанс, для которого доступны только сведения уровня 2. Такие события будут включать MAC-адреса, но не IP-адреса.
  • Flow — агрегированное событие, которое сообщает о нескольких аналогичных сетевых сеансах, как правило, в течение предопределенного периода времени, например о событиях Netflow .
  • EndpointNetworkSession — сетевой сеанс, сообщаемый одной из конечных точек сеанса, включая клиенты и серверы. Для таких событий схема поддерживает поля псевдонимов remote и local .
  • IDS — сетевой сеанс, указанный как подозрительный. В таком событии будут заполнены некоторые поля проверки, и может быть заполнено только одно поле IP-адреса( источник или назначение).

Как правило, запрос должен выбрать только подмножество этих типов событий, и может потребоваться отдельно учитывать уникальные аспекты вариантов использования. Например, события IDS не отражают весь объем сети и не должны учитываться в аналитике на основе столбцов.

События сетевого сеанса используют дескрипторы Src и Dst для обозначения ролей устройств и связанных пользователей и приложений, участвующих в сеансе. Например, имя узла и IP-адрес исходного устройства имеют имена SrcHostname и SrcIpAddr. Другие схемы ASIM обычно используют Target вместо Dst.

Для событий, сообщаемых конечной точкой и для которых типом события является EndpointNetworkSession, дескрипторы Local и Remote обозначают саму конечную точку и устройство на другом конце сетевого сеанса соответственно.

Дескриптор Dvc используется для устройства отчетов, которое является локальной системой для сеансов, о которых сообщает конечная точка, и промежуточным устройством или сетевым касанием для других событий сетевого сеанса.

Сведения о схеме

Общие поля ASIM

Важно!

Поля, общие для всех схем, подробно описаны в статье Общие поля ASIM .

Общие поля с определенными рекомендациями

В следующем списке упоминаются поля с определенными рекомендациями по событиям сетевого сеанса.

Поле Класс Тип Описание
EventCount Обязательный Integer Источники Netflow поддерживают агрегирование, а для поля EventCount должно быть задано значение поля Netflow FLOWS . Для других источников обычно задается 1значение .
Eventtype Обязательный Перечисленных Описывает сценарий, о котором сообщает запись.

Для записей сетевого сеанса допустимы следующие значения:
- EndpointNetworkSession
- NetworkSession
- L2NetworkSession
- IDS
- Flow

Дополнительные сведения о типах событий см. в обзоре схемы.
EventSubType Необязательный Перечисленных Дополнительное описание типа события, если применимо.
Для записей сетевого сеанса поддерживаются следующие значения:
- Start
- End

Это поле не относится к Flow событиям.
EventResult Обязательный Перечисленных Если исходное устройство не предоставляет результат события, EventResult должен основываться на значении DvcAction. Если DvcAction имеет значение Deny, Drop, Drop ICMP, Reset, Reset Sourceили Reset Destination
, EventResult должен иметь значение Failure. В противном случае eventResult должен иметь значение Success.
EventResultDetails Рекомендуемый Перечисленных Причина или сведения о результатах, указанных в поле EventResult . Поддерживаемые значения:
-Отказоустойчивого
— недопустимый TCP
— недопустимый туннель
— Максимальное число повторных попыток
-Сброс
— Проблема с маршрутизацией
-Моделирования
-Прекращено
-Времени ожидания
— Временная ошибка
— Неизвестно
-NA.

Исходное значение хранится в поле EventOriginalResultDetails .
EventSchema Обязательный Перечисленных Имя схемы, описанной здесь, — NetworkSession.
EventSchemaVersion Обязательный SchemaVersion (String) Версия схемы. Версия схемы, описанная здесь, — 0.2.7.
DvcAction Рекомендуемый Перечисленных Действие, выполняемое в сетевом сеансе. Поддерживаемые значения:
- Allow
- Deny
- Drop
- Drop ICMP
- Reset
- Reset Source
- Reset Destination
- Encrypt
- Decrypt
- VPNroute

Примечание. Значение может быть указано в исходной записи с помощью разных терминов, которые должны быть нормализованы для этих значений. Исходное значение должно храниться в поле DvcOriginalAction .

Пример: drop
EventSeverity Необязательный Перечисленных Если исходное устройство не предоставляет серьезность события, eventSeverity должна основываться на значении DvcAction. Если DvcAction имеет значение Deny, Drop, Drop ICMP, Reset, Reset Sourceили Reset Destination
, EventSeverity должен иметь значение Low. В противном случае значение EventSeverity должно иметь значение Informational.
DvcInterface Поле DvcInterface должно содержать псевдонимы полей DvcInboundInterface или DvcOutboundInterface .
Поля Dvc Для событий сетевого сеанса поля устройства относятся к системе, сообщая о событии сетевого сеанса.

Все общие поля

Поля, отображаемые в таблице ниже, являются общими для всех схем ASIM. Любое указанное выше руководство переопределяет общие рекомендации для поля. Например, поле может быть необязательным в целом, но обязательным для конкретной схемы. Дополнительные сведения о каждом поле см. в статье Общие поля ASIM .

Class Fields
Обязательный - EventCount
- EventStartTime
- EventEndTime
- Eventtype
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Рекомендуемый - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Необязательный - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- Дополнительные поля
- DvcDescription
- DvcScopeId
- DvcScope

Поля сетевого сеанса

Поле Класс Тип Описание
NetworkApplicationProtocol Необязательный String Протокол прикладного уровня, используемый подключением или сеансом. Значение должно быть в верхнем регистре.

Пример: FTP
NetworkProtocol Необязательный Перечисленных IP-протокол, используемый подключением или сеансом, как указано в разделе Назначение протокола IANA, которое обычно TCPимеет значение , UDPили ICMP.

Пример: TCP
NetworkProtocolVersion Необязательный Перечисленных Версия NetworkProtocol. При его использовании для различения ip-версии используйте значения IPv4 и IPv6.
NetworkDirection Необязательный Перечисленных Направление подключения или сеанса:

— Для EventTypeNetworkSessionFlow или L2NetworkSessionNetworkDirection представляет направление относительно границы организации или облачной среды. Поддерживаемые значения: Inbound, Outbound, Local (для организации), External (для организации) или NA (неприменимо).

— Для EventTypeEndpointNetworkSessionNetworkDirection представляет направление относительно конечной точки. Поддерживаемые значения: Inbound, Outbound, Local (для системы) Listen или NA (неприменимо). Значение Listen указывает, что устройство начало принимать сетевые подключения, но на самом деле не обязательно подключено.
NetworkDuration Необязательный Integer Время (в миллисекундах) для завершения сетевого сеанса или подключения.

Пример: 1500
Duration Alias Псевдоним для NetworkDuration.
NetworkIcmpType Необязательный String Для сообщения ICMP имя типа ICMP, связанное с числовым значением, как описано в rfc 2780 для сетевых подключений IPv4 или в RFC 4443 для сетевых подключений IPv6.

Пример: Destination Unreachable для NetworkIcmpCode 3
NetworkIcmpCode Необязательный Integer Для сообщения ICMP — номер кода ICMP, как описано в документе RFC 2780 для сетевых подключений IPv4 или в RFC 4443 для сетевых подключений IPv6.
NetworkConnectionHistory Необязательный String Флаги TCP и другие сведения о потенциальном IP-заголовке.
DstBytes Рекомендуемый Long Количество байтов, отправленных из назначения в источник для подключения или сеанса. Если событие агрегировано, DstBytes должна быть суммой по всем агрегированным сеансам.

Пример: 32455
SrcBytes Рекомендуемый Long Количество байтов, отправленных из источника в место назначения для подключения или сеанса. Если событие агрегировано, SrcBytes должна быть суммой по всем агрегированным сеансам.

Пример: 46536
NetworkBytes Необязательный Long Количество байтов, отправленных в обоих направлениях. Если существуют и BytesReceived , и BytesSent , BytesTotal должна равняться их сумме. Если событие агрегировано, значение NetworkBytes должно быть суммой по всем агрегированным сеансам.

Пример: 78991
DstPackets Необязательный Long Количество пакетов, отправляемых из назначения в источник для подключения или сеанса. Значение пакета определяется устройством отчетности. Если событие агрегировано, DstPackets должны быть суммой по всем агрегированным сеансам.

Пример: 446
SrcPackets Необязательный Long Количество пакетов, отправляемых из источника в место назначения для подключения или сеанса. Значение пакета определяется устройством отчетности. Если событие агрегировано, SrcPackets должна быть суммой по всем агрегированным сеансам.

Пример: 6478
NetworkPackets Необязательный Long Количество пакетов, отправленных в обоих направлениях. Если существуют оба свойства PacketsReceived и PacketsSent , значение PacketsTotal должно равняться их сумме. Значение пакета определяется устройством отчетности. Если событие агрегировано, NetworkPackets должна быть суммой по всем агрегированным сеансам.

Пример: 6924
NetworkSessionId Необязательный string Идентификатор сеанса, сообщаемый устройством отчетов.

Пример: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80
Sessionid Alias String Псевдоним для NetworkSessionId.
TcpFlagsAck Необязательный Логический Сообщается флаг TCP ACK. Флаг подтверждения используется для подтверждения успешного получения пакета. Как видно из приведенной выше схемы, получатель отправляет ACK и SYN на втором шаге процесса трехстороннего подтверждения, чтобы сообщить отправителю, что он получил свой первоначальный пакет.
TcpFlagsFin Необязательный Логический Сообщается о флаге TCP FIN. Готовый флаг означает, что от отправителя больше нет данных. Поэтому он используется в последнем пакете, отправленном отправителем.
TcpFlagsSyn Необязательный Логический Сообщается флаг TCP SYN. Флаг синхронизации используется в качестве первого шага при установлении трехстороннего подтверждения между двумя узлами. Только первый пакет от отправителя и получателя должен иметь этот флаг.
TcpFlagsUrg Необязательный Логический Сообщается о флаге TCP URG. Флаг urgent используется для уведомления получателя об обработке срочных пакетов перед обработкой всех остальных пакетов. Получатель будет уведомлен о получении всех известных срочных данных. Дополнительные сведения см. в статье RFC 6093 .
TcpFlagsPsh Необязательный Логический Сообщается флаг TCP PSH. Флаг отправки аналогичен флагу URG и указывает получателю обработать эти пакеты по мере их получения вместо буферизации.
TcpFlagsRst Необязательный Логический Сообщается флаг TCP RST. Флаг сброса отправляется от получателя отправителю при отправке пакета на конкретный узел, который не ожидал его.
TcpFlagsEce Необязательный Логический Сообщается о флаге TCP ECE. Этот флаг указывает, поддерживает ли одноранговый узел TCP ECN. Дополнительные сведения см. в статье RFC 3168 .
TcpFlagsCwr Необязательный Логический Сообщается флаг TCP CWR. Флаг уменьшения окна перегрузки используется отправляемым узлом, чтобы указать, что он получил пакет с установленным флагом ECE. Дополнительные сведения см. в статье RFC 3168 .
TcpFlagsNs Необязательный Логический Сообщается флаг TCP NS. Флаг суммы nonce по-прежнему является экспериментальным флагом, используемым для защиты от случайного злонамеренного сокрытия пакетов от отправителя. Дополнительные сведения см. в статье RFC 3540 .

Поля системы назначения

Поле Класс Тип Описание
Dst Alias Уникальный идентификатор сервера, получающего DNS-запрос.

Это поле может быть псевдонимом полей DstDvcId, DstHostname или DstIpAddr .

Пример: 192.168.12.1
DstIpAddr Рекомендуемый IP-адрес IP-адрес подключения или назначения сеанса. Если сеанс использует преобразование сетевых адресов, DstIpAddr является общедоступным адресом, а не исходным адресом источника, который хранится в DstNatIpAddr.

Пример: 2001:db8::ff00:42:8329

Примечание. Это значение является обязательным, если указано DstHostname .
DstPortNumber Необязательный Integer IP-порт назначения.

Пример: 443
DstHostname Рекомендуемый Hostname (String) Имя узла конечного устройства, за исключением сведений о домене. Если имя устройства недоступно, сохраните соответствующий IP-адрес в этом поле.

Пример: DESKTOP-1282V4D
DstDomain Рекомендуемый Домен (строка) Домен целевого устройства.

Пример: Contoso
DstDomainType Условного Перечисленных Тип DstDomain. Список допустимых значений и дополнительные сведения см. в статье DomainType статьи Общие сведения о схеме.

Требуется, если используется DstDomain .
DstFQDN Необязательный Полное доменное имя (строка) Имя узла конечного устройства, включая сведения о домене, если они доступны.

Пример: Contoso\DESKTOP-1282V4D

Примечание. Это поле поддерживает как традиционный формат полного доменного имени, так и формат домен\имя узла Windows. DstDomainType отражает используемый формат.
DstDvcId Необязательный String Идентификатор целевого устройства. Если доступно несколько идентификаторов, используйте наиболее важный и сохраните остальные в полях DstDvc<DvcIdType>.

Пример: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
DstDvcScopeId Необязательный String Идентификатор область облачной платформы, к которому принадлежит устройство. DstDvcScopeId сопоставляется с идентификатором подписки на Azure и идентификатором учетной записи в AWS.
DstDvcScope Необязательный String Облачная платформа область, к которой принадлежит устройство. Сопоставление DstDvcScope с идентификатором подписки на Azure и идентификатором учетной записи в AWS.
DstDvcIdType Условного Перечисленных Тип DstDvcId. Список допустимых значений и дополнительные сведения см. в разделе DvcIdTypeстатьи Общие сведения о схеме.

Требуется, если используется DstDeviceId .
DstDeviceType Необязательный Перечисленных Тип целевого устройства. Список допустимых значений и дополнительные сведения см. в статье DeviceType статьи Общие сведения о схеме.
DstZone Необязательный String Сетевая зона назначения, определяемая устройством отчетности.

Пример: Dmz
DstInterfaceName Необязательный String Сетевой интерфейс, используемый для подключения или сеанса конечным устройством.

Пример: Microsoft Hyper-V Network Adapter
DstInterfaceGuid Необязательный GUID (строка) GUID сетевого интерфейса, используемого на целевом устройстве.

Пример:
46ad544b-eaf0-47ef-
827c-266030f545a6
DstMacAddr Необязательный MAC-адрес (строка) MAC-адрес сетевого интерфейса, используемого для подключения или сеанса конечным устройством.

Пример: 06:10:9f:eb:8f:14
DstVlanId Необязательный String Идентификатор виртуальной локальной сети, связанный с целевым устройством.

Пример: 130
OuterVlanId Alias Псевдоним DstVlanId.

Во многих случаях виртуальную локальную сеть нельзя определить как источник или назначение, но она характеризуется как внутренняя или внешняя. Этот псевдоним означает, что DstVlanId следует использовать, если виртуальная локальная сеть характеризуется как внешняя.
DstGeoCountry Необязательный Страна Страна или регион, связанные с IP-адресом назначения. Дополнительные сведения см. в разделе Логические типы.

Пример: USA
DstGeoRegion Необязательный Region Регион или состояние, связанное с IP-адресом назначения. Дополнительные сведения см. в разделе Логические типы.

Пример: Vermont
DstGeoCity Необязательный Город Город, связанный с IP-адресом назначения. Дополнительные сведения см. в разделе Логические типы.

Пример: Burlington
DstGeoLatitude Необязательный Latitude Широта географической координаты, связанной с IP-адресом назначения. Дополнительные сведения см. в разделе Логические типы.

Пример: 44.475833
DstGeoLongitude Необязательный Longitude Долгота географической координаты, связанной с IP-адресом назначения. Дополнительные сведения см. в разделе Логические типы.

Пример: 73.211944
DstDescription Необязательный String Описательный текст, связанный с устройством. Пример: Primary Domain Controller.

Поля конечных пользователей

Поле Класс Тип Описание
DstUserId Необязательный String Удобочитаемое, буквенно-цифровое уникальное представление целевого пользователя. Поддерживаемый формат для различных типов идентификаторов см. в сущности User.

Пример: S-1-12
DstUserScope Необязательный String Область, например клиент Microsoft Entra, в котором определены DstUserId и DstUsername. дополнительные сведения и список допустимых значений см. в статье UserScope в статье Общие сведения о схеме.
DstUserScopeId Необязательный String Идентификатор область, например Microsoft Entra идентификатор каталога, в котором определены DstUserId и DstUsername. Дополнительные сведения и список допустимых значений см. в разделе UserScopeIdстатьи Общие сведения о схеме.
DstUserIdType Условного UserIdType Тип идентификатора, хранящегося в поле DstUserId . Список допустимых значений и дополнительные сведения см. в статье UserIdType статьи Общие сведения о схеме.
DstUsername Необязательный Имя пользователя (строка) Имя пользователя назначения, включая сведения о домене, если они доступны. Поддерживаемый формат для различных типов идентификаторов см. в сущности User. Используйте простую форму, только если сведения о домене недоступны.

Сохраните тип имени пользователя в поле DstUsernameType . Если доступны другие форматы имени пользователя, сохраните их в полях DstUsername<UsernameType>.

Пример: AlbertE
Пользователя Alias Псевдоним DstUsername.
DstUsernameType Условного UsernameType Указывает тип имени пользователя, хранящегося в поле DstUsername . Список допустимых значений и дополнительные сведения см. в статье UsernameType статьи Общие сведения о схеме.

Пример: Windows
DstUserType Необязательный UserType Тип целевого пользователя. Список допустимых значений и дополнительные сведения см. в статье UserType статьи Общие сведения о схеме.

Примечание. Значение может быть указано в исходной записи с помощью разных терминов, которые должны быть нормализованы для этих значений. Сохраните исходное значение в поле DstOriginalUserType .
DstOriginalUserType Необязательный String Исходный тип целевого пользователя, если он указан источником.

Поля целевого приложения

Поле Класс Тип Описание
DstAppName Необязательный String Имя целевого приложения.

Пример: Facebook
DstAppId Необязательный String Идентификатор целевого приложения, сообщаемый устройством отчетов. Если DstAppType имеет значение Process, DstAppId и DstProcessId должно иметь то же значение.

Пример: 124
DstAppType Необязательный AppType Тип целевого приложения. Список допустимых значений и дополнительные сведения см. в статье AppType в статье Общие сведения о схеме.

Это поле является обязательным, если используется DstAppName или DstAppId .
DstProcessName Необязательный String Имя файла процесса, завершив сетевой сеанс. Это имя обычно считается именем процесса.

Пример: C:\Windows\explorer.exe
Процесс Alias Псевдоним DstProcessName

Пример: C:\Windows\System32\rundll32.exe
DstProcessId Необязательный String Идентификатор процесса (PID) процесса, завершив сетевой сеанс.

Пример: 48610176

Примечание. Тип определяется как строка для поддержки различных систем, но в Windows и Linux это значение должно быть числовым.

Если вы используете компьютер с Windows или Linux и используете другой тип, обязательно преобразуйте значения. Например, если вы использовали шестнадцатеричное значение, преобразуйте его в десятичное значение.
DstProcessGuid Необязательный String Созданный уникальный идентификатор (GUID) процесса, завершив сетевой сеанс.

Пример: EF3BD0BD-2B74-60C5-AF5C-010000001E00

Поля исходной системы

Поле Класс Тип Описание
Src Alias Уникальный идентификатор исходного устройства.

Это поле может быть псевдонимом полей SrcDvcId, SrcHostname или SrcIpAddr .

Пример: 192.168.12.1
SrcIpAddr Рекомендуемый IP-адрес IP-адрес, с которого было создано подключение или сеанс. Это значение является обязательным, если указано имя SrcHostname . Если сеанс использует преобразование сетевых адресов, SrcIpAddr — это общедоступный адрес, а не исходный адрес источника, который хранится в SrcNatIpAddr.

Пример: 77.138.103.108
SrcPortNumber Необязательный Integer IP-порт, с которого было создано подключение. Может не иметь значения для сеанса, состоящего из нескольких подключений.

Пример: 2335
SrcHostname Рекомендуемый Hostname (String) Имя узла исходного устройства, за исключением сведений о домене. Если имя устройства недоступно, сохраните соответствующий IP-адрес в этом поле.

Пример: DESKTOP-1282V4D
SrcDomain Рекомендуемый Домен (строка) Домен исходного устройства.

Пример: Contoso
SrcDomainType Условного DomainType Тип SrcDomain. Список допустимых значений и дополнительные сведения см. в статье DomainType статьи Общие сведения о схеме.

Требуется, если используется SrcDomain .
SrcFQDN Необязательный Полное доменное имя (строка) Имя узла исходного устройства, включая сведения о домене, если они доступны.

Примечание. Это поле поддерживает как традиционный формат полного доменного имени, так и формат домен\имя узла Windows. Поле SrcDomainType отражает используемый формат.

Пример: Contoso\DESKTOP-1282V4D
SrcDvcId Необязательный String Идентификатор исходного устройства. Если доступно несколько идентификаторов, используйте наиболее важный и сохраните остальные в полях SrcDvc<DvcIdType>.

Пример: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId Необязательный String Идентификатор область облачной платформы, к которому принадлежит устройство. SrcDvcScopeId сопоставляется с идентификатором подписки на Azure и идентификатором учетной записи в AWS.
SrcDvcScope Необязательный String Облачная платформа область, к которой принадлежит устройство. SrcDvcScope сопоставляется с идентификатором подписки на Azure и идентификатором учетной записи в AWS.
SrcDvcIdType Условного DvcIdType Тип SrcDvcId. Список допустимых значений и дополнительные сведения см. в разделе DvcIdTypeстатьи Общие сведения о схеме.

Примечание. Это поле является обязательным, если используется SrcDvcId .
SrcDeviceType Необязательный DeviceType Тип исходного устройства. Список допустимых значений и дополнительные сведения см. в статье DeviceType статьи Общие сведения о схеме.
SrcZone Необязательный String Сетевая зона источника, определяемая устройством отчетности.

Пример: Internet
SrcInterfaceName Необязательный String Сетевой интерфейс, используемый для подключения или сеанса исходным устройством.

Пример: eth01
SrcInterfaceGuid Необязательный GUID (строка) GUID сетевого интерфейса, используемого на исходном устройстве.

Пример:
46ad544b-eaf0-47ef-
827c-266030f545a6
SrcMacAddr Необязательный MAC-адрес (строка) MAC-адрес сетевого интерфейса, из которого возникло подключение или сеанс.

Пример: 06:10:9f:eb:8f:14
SrcVlanId Необязательный String Идентификатор виртуальной локальной сети, связанный с исходным устройством.

Пример: 130
InnerVlanId Alias Псевдоним для SrcVlanId.

Во многих случаях виртуальную локальную сеть нельзя определить как источник или назначение, но она характеризуется как внутренняя или внешняя. Этот псевдоним означает, что SrcVlanId следует использовать, если виртуальная локальная сеть характеризуется как внутренняя.
SrcGeoCountry Необязательный Страна Страна или регион, связанные с исходным IP-адресом.

Пример: USA
SrcGeoRegion Необязательный Region Регион, связанный с исходным IP-адресом.

Пример: Vermont
SrcGeoCity Необязательный Город Город, связанный с исходным IP-адресом.

Пример: Burlington
SrcGeoLatitude Необязательный Latitude Широта географической координаты, связанной с исходным IP-адресом.

Пример: 44.475833
SrcGeoLongitude Необязательный Longitude Долгота географической координаты, связанной с исходным IP-адресом.

Пример: 73.211944
SrcDescription Необязательный String Описательный текст, связанный с устройством. Пример: Primary Domain Controller.

Поля исходного пользователя

Поле Класс Тип Описание
SrcUserId Необязательный String Машиночитаемое, буквенно-цифровое, уникальное представление исходного пользователя. Поддерживаемый формат для различных типов идентификаторов см. в сущности User.

Пример: S-1-12
SrcUserScope Необязательный String Область, например клиент Microsoft Entra, в котором определены SrcUserId и SrcUsername. дополнительные сведения и список допустимых значений см. в статье UserScope в статье Общие сведения о схеме.
SrcUserScopeId Необязательный String Идентификатор область, например Microsoft Entra идентификатор каталога, в котором определены SrcUserId и SrcUsername. Дополнительные сведения и список допустимых значений см. в разделе UserScopeIdстатьи Общие сведения о схеме.
SrcUserIdType Условного UserIdType Тип идентификатора, хранящегося в поле SrcUserId . Список допустимых значений и дополнительные сведения см. в статье UserIdType статьи Общие сведения о схеме.
SrcUsername Необязательный Имя пользователя (строка) Имя пользователя источника, включая сведения о домене, если они доступны. Поддерживаемый формат для различных типов идентификаторов см. в сущности User. Используйте простую форму, только если сведения о домене недоступны.

Сохраните тип имени пользователя в поле SrcUsernameType . Если доступны другие форматы имени пользователя, сохраните их в полях SrcUsername<UsernameType>.

Пример: AlbertE
SrcUsernameType Условного UsernameType Указывает тип имени пользователя, хранящегося в поле SrcUsername . Список допустимых значений и дополнительные сведения см. в статье UsernameType статьи Общие сведения о схеме.

Пример: Windows
SrcUserType Необязательный UserType Тип исходного пользователя. Список допустимых значений и дополнительные сведения см. в статье UserType статьи Общие сведения о схеме.

Примечание. Значение может быть указано в исходной записи с помощью разных терминов, которые должны быть нормализованы для этих значений. Сохраните исходное значение в поле SrcOriginalUserType .
SrcOriginalUserType Необязательный String Исходный тип целевого пользователя, если он указан устройством отчетности.

Поля исходного приложения

Поле Класс Тип Описание
SrcAppName Необязательный String Имя исходного приложения.

Пример: filezilla.exe
SrcAppId Необязательный String Идентификатор исходного приложения, сообщаемый устройством отчетов. Если SrcAppType имеет значение Process, SrcAppId и SrcProcessId должно иметь то же значение.

Пример: 124
SrcAppType Необязательный AppType Тип исходного приложения. Список допустимых значений и дополнительные сведения см. в статье AppType в статье Общие сведения о схеме.

Это поле является обязательным, если используется SrcAppName или SrcAppId .
SrcProcessName Необязательный String Имя файла процесса, который инициировал сетевой сеанс. Это имя обычно считается именем процесса.

Пример: C:\Windows\explorer.exe
SrcProcessId Необязательный String Идентификатор процесса (PID) процесса, который инициировал сетевой сеанс.

Пример: 48610176

Примечание. Тип определяется как строка для поддержки различных систем, но в Windows и Linux это значение должно быть числовым.

Если вы используете компьютер с Windows или Linux и используете другой тип, обязательно преобразуйте значения. Например, если вы использовали шестнадцатеричное значение, преобразуйте его в десятичное значение.
SrcProcessGuid Необязательный String Созданный уникальный идентификатор (GUID) процесса, который инициировал сетевой сеанс.

Пример: EF3BD0BD-2B74-60C5-AF5C-010000001E00

Локальные и удаленные псевдонимы

Все поля источника и назначения, перечисленные выше, можно при необходимости псевдонимировать по полям с одинаковым именем и дескрипторами Local и Remote. Обычно это полезно для событий, сообщаемых конечной точкой и для которых типом события является EndpointNetworkSession.

Для таких событий дескрипторы Local и Remote обозначают саму конечную точку и устройство на другом конце сетевого сеанса соответственно. Для входящих подключений локальная система является назначением, Local поля — псевдонимами Dst полей, а поля Remote — псевдонимами Src полей. И наоборот, для исходящих подключений локальная система является источником, Local поля — псевдонимами Src полей, а Remote поля — псевдонимами Dst полей.

Например, для входящего события поле LocalIpAddr является псевдонимом , DstIpAddr а поле RemoteIpAddr — псевдонимом SrcIpAddr.

Псевдонимы имени узла и IP-адресов

Поле Класс Тип Описание
Узла Alias — Если тип события имеет NetworkSessionзначение или FlowL2NetworkSession, имя узла является псевдонимом DstHostname.
— Если тип события — EndpointNetworkSession, имя узла — это псевдоним RemoteHostname, который может быть псевдонимом DstHostname или SrcHostName в зависимости от NetworkDirection.
IpAddr Alias — Если тип события имеет NetworkSessionзначение или FlowL2NetworkSession, IpAddr является псевдонимом SrcIpAddr.
— Если тип события — EndpointNetworkSession, IpAddr — это псевдоним LocalIpAddr, который может иметь псевдоним SrcIpAddr или DstIpAddr в зависимости от NetworkDirection.

Поля промежуточного устройства и преобразования сетевых адресов (NAT)

Следующие поля полезны, если запись содержит сведения о промежуточном устройстве, таком как брандмауэр или прокси-сервер, который ретранслирует сетевой сеанс.

Промежуточные системы часто используют перевод адресов, поэтому исходный адрес и адрес, наблюдаемый извне, не совпадают. В таких случаях поля основных адресов, такие как SrcIPAddr и DstIpAddr , представляют адреса, наблюдаемые извне, а поля адресов NAT SrcNatIpAddr и DstNatIpAddr представляют внутренний адрес исходного устройства перед преобразованием.

Поле Класс Тип Описание
DstNatIpAddr Необязательный IP-адрес DstNatIpAddr представляет одно из следующих значений:
— исходный адрес целевого устройства, если использовался преобразование сетевых адресов.
— IP-адрес, используемый промежуточным устройством для связи с источником.

Пример: 2::1
DstNatPortNumber Необязательный Integer Если сообщается промежуточным устройством NAT, порт, используемый устройством NAT для связи с источником.

Пример: 443
SrcNatIpAddr Необязательный IP-адрес SrcNatIpAddr представляет одно из следующих значений:
— исходный адрес исходного устройства, если использовалось преобразование сетевых адресов.
— IP-адрес, используемый промежуточным устройством для связи с назначением.

Пример: 4.3.2.1
SrcNatPortNumber Необязательный Integer Если сообщается промежуточным устройством NAT, порт, используемый устройством NAT для связи с назначением.

Пример: 345
DvcInboundInterface Необязательный String Если сообщается промежуточным устройством, сетевой интерфейс, используемый устройством NAT для подключения к исходному устройству.

Пример: eth0
DvcOutboundInterface Необязательный String Если сообщается промежуточным устройством, то сетевой интерфейс, используемый устройством NAT для подключения к конечному устройству.

Пример: Ethernet adapter Ethernet 4e

Поля проверки

Следующие поля используются для представления проверки, которую выполнило устройство безопасности, например брандмауэр, IPS или шлюз веб-безопасности.

Поле Класс Тип Описание
NetworkRuleName Необязательный String Имя или идентификатор правила, по которому было принято решение о DvcAction .

Пример: AnyAnyDrop
NetworkRuleNumber Необязательный Integer Номер правила, по которому было принято решение о DvcAction .

Пример: 23
Rule Alias String Значение NetworkRuleName или значение NetworkRuleNumber. Если используется значение NetworkRuleNumber , тип следует преобразовать в строку.
ThreatId Необязательный String Идентификатор угрозы или вредоносных программ, определенных в сетевом сеансе.

Пример: Tr.124
ThreatName Необязательный String Имя угрозы или вредоносной программы, обнаруженной в сетевом сеансе.

Пример: EICAR Test File
ThreatCategory Необязательный String Категория угрозы или вредоносного ПО, определяемая в сетевом сеансе.

Пример: Trojan
ThreatRiskLevel Необязательный RiskLevel (целое число) Уровень риска, связанный с сеансом. Уровень должен быть числом от 0 до 100.

Примечание. Значение может быть предоставлено в исходной записи с помощью другой шкалы, которая должна быть нормализована по этому масштабу. Исходное значение должно храниться в ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel Необязательный String Уровень риска, сообщаемый устройством отчетности.
ThreatIpAddr Необязательный IP-адрес IP-адрес, для которого была обнаружена угроза. Поле ThreatField содержит имя поля ThreatIpAddr , представляющего .
ThreatField Условного Перечисленных Поле, для которого была обнаружена угроза. Значение равно или SrcIpAddrDstIpAddr.
ThreatConfidence Необязательный ConfidenceLevel (Целое число) Уровень достоверности обнаруженной угрозы, нормализованный до значения от 0 до 100.
ThreatOriginalConfidence Необязательный String Исходный уровень достоверности обнаруженной угрозы, о чем сообщает устройство отчетности.
ThreatIsActive Необязательный Логический Значение true, если обнаруженная угроза считается активной угрозой.
ThreatFirstReportedTime Необязательный datetime При первом обнаружении IP-адреса или домена как угрозы.
ThreatLastReportedTime Необязательный datetime В последний раз IP-адрес или домен были определены как угроза.

Другие поля

Поле Класс Тип Описание
ASimMatchingIpAddr Рекомендуемый Перечисленных Если средство синтаксического анализа использует ipaddr_has_any_prefix параметры фильтрации, для этого поля задается одно из значений SrcIpAddr, DstIpAddrили Both для отражения соответствующих полей или полей.
ASimMatchingHostname Рекомендуемый Перечисленных Если средство синтаксического анализа использует hostname_has_any параметры фильтрации, для этого поля задается одно из значений SrcHostname, DstHostnameили Both для отражения соответствующих полей или полей.

Если событие сообщается одной из конечных точек сетевого сеанса, оно может содержать сведения о процессе, который инициировал или завершил сеанс. В таких случаях для нормализации этой информации используется схема события процесса ASIM .

Обновления схемы

Ниже приведены изменения в схеме версии 0.2.1.

  • Добавлены Src и Dst в качестве псевдонимов для ведущего идентификатора для исходной и целевой систем.
  • Добавлены поля NetworkConnectionHistory, SrcVlanId, DstVlanId, InnerVlanIdи OuterVlanId.

Ниже приведены изменения в схеме версии 0.2.2.

  • Добавлены Remote псевдонимы и Local .
  • Добавлен тип EndpointNetworkSessionсобытия .
  • Определяется Hostname и IpAddr в качестве псевдонимов для RemoteHostname и LocalIpAddr соответственно, если тип события имеет значение EndpointNetworkSession.
  • Определяется DvcInterface как псевдоним или DvcInboundInterfaceDvcOutboundInterface.
  • Изменен тип следующих полей с Integer на Long: SrcBytes, DstBytes, NetworkBytes, SrcPackets, DstPacketsи NetworkPackets.
  • Добавлено поле NetworkProtocolVersion.
  • Не рекомендуется DstUserDomain использовать и SrcUserDomain.

Ниже приведены изменения в схеме версии 0.2.3.

  • Добавлен ipaddr_has_any_prefix параметр фильтрации.
  • Теперь hostname_has_any параметр фильтрации соответствует именам узлов источника или назначения.
  • Добавлены поля ASimMatchingHostname и ASimMatchingIpAddr.

Ниже приведены изменения в схеме версии 0.2.4.

  • Добавлены TcpFlags поля.
  • Обновлено NetworkIcpmType и NetworkIcmpCode для отражения числового значения для обоих.
  • Добавлены дополнительные поля проверки.
  • Поле ThreatRiskLevelOriginal было переименовано ThreatOriginalRiskLevel в в соответствии с соглашениями ASIM. Существующие средства синтаксического анализа Майкрософт будут храниться ThreatRiskLevelOriginal до 1 мая 2023 г.
  • Помечены EventResultDetails как рекомендуемые и указаны допустимые значения.

Ниже приведены изменения в схеме версии 0.2.5.

  • Добавлены поля , , , , , DstDvcScopeId, DstDvcScope, DvcScopeIdи DvcScope. SrcDvcScopeSrcDvcScopeIdSrcUserScopeDstUserScope

Ниже приведены изменения в схеме версии 0.2.6.

  • Добавлены идентификаторы IDS в качестве типа события

Ниже приведены изменения в схеме версии 0.2.7.

  • Добавлены поля DstDescription и SrcDescription

Дальнейшие действия

Дополнительные сведения см. в указанных ниже статьях.

  • Last updated on