Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Схема нормализации сетевых сеансов Microsoft Sentinel представляет собой действие IP-сети, например, сетевые подключения и сетевые сеансы. О таких событиях сообщается, например, операционными системами, маршрутизаторами, брандмауэрами и системами предотвращения вторжения.
Схема нормализации сети может представлять любой тип сеанса IP-сети, но создана обеспечивать поддержку распространенных типов источников, таких как Netflow, брандмауэры и системы предотвращения вторжений.
Дополнительные сведения о нормализации в Microsoft Sentinel см. в статье Нормализация и расширенная информационная модель безопасности (ASIM).
Средства синтаксического анализа
Дополнительные сведения о средствах синтаксического анализа ASIM см. в обзоре средств синтаксического анализа ASIM.
Комплексные средства синтаксического анализа
Чтобы использовать средства синтаксического анализа, которые объединяют все средства синтаксического анализа ASIM вне коробки и убедитесь, что анализ выполняется во всех настроенных источниках, используйте _Im_NetworkSession средство синтаксического анализа.
Готовые и зависящие от источника средства синтаксического анализа
Список стандартных средств синтаксического анализа сетевых сеансов Microsoft Sentinel см. в списке средств синтаксического анализа ASIM.
Добавление собственных нормализованных средств синтаксического анализа
При разработке пользовательских средств синтаксического анализа для информационной модели сетевого сеанса назовите свои функции KQL, используя следующий синтаксис:
-
vimNetworkSession<vendor><Product>для параметризованных средств синтаксического анализа -
ASimNetworkSession<vendor><Product>для обычных средств синтаксического анализа
Сведения о добавлении пользовательских средств синтаксического анализа в сетевой сеанс, объединяющий средства синтаксического анализа, см. в статье Управление средствами синтаксического анализа ASIM.
Параметры фильтрации средств синтаксического анализа
Средства синтаксического анализа сеансов сети поддерживают фильтрацию параметров. Хотя эти параметры являются необязательными, они могут повысить производительность запросов.
Доступны следующие параметры фильтрации:
| Имя. | Тип | Описание |
|---|---|---|
| Время начала | дата/время | Фильтровать только те сетевые сеансы, которые были запущены в это время или после этого. Этот параметр фильтрует TimeGenerated поле, являющееся стандартным конструктором во время события, независимо от сопоставления конкретных анализаторов полей EventStartTime и EventEndTime. |
| Окончание времени | дата/время | Фильтровать только те сетевые сеансы, которые были запущены начали выполняться в течение этого времени или раньше. Этот параметр фильтрует TimeGenerated поле, являющееся стандартным конструктором во время события, независимо от сопоставления конкретных анализаторов полей EventStartTime и EventEndTime. |
| srcipaddr_has_any_prefix | по строкам | Фильтровать только сетевые сеансы, для которых префикс поля исходного IP-адреса находится в одном из указанных значений. Префиксы должны заканчиваться на ., например: 10.0.. Длина списка ограничена 10 000 элементов. |
| dstipaddr_has_any_prefix | по строкам | Фильтровать только сетевые сеансы, для которых префикс поля IP-адреса назначения находится в одном из указанных значений. Префиксы должны заканчиваться на ., например: 10.0.. Длина списка ограничена 10 000 элементов. |
| ipaddr_has_any_prefix | по строкам | Фильтровать только сетевые сеансы, для которых префикс поля IP-адреса назначения или поля исходного IP-адреса имеет одно из указанных значений. Префиксы должны заканчиваться на ., например: 10.0.. Длина списка ограничена 10 000 элементов.Поле ASimMatchingIpAddr задается одним из значений SrcIpAddr, DstIpAddr или Both в зависимости от соответствующих полей. |
| dstportnumber | int | Фильтровать только сетевые сеансы с указанным номером порта назначения. |
| hostname_has_any | динамический/струнный | Фильтровать только сетевые сеансы, для которых поле назначения hostname имеет любое из указанных значений. Длина списка ограничена 10 000 элементов. Поле ASimMatchingHostname задается одним из значений SrcHostname, DstHostname или Both в зависимости от соответствующих полей. |
| DVCACTION | динамический/струнный | Фильтровать только сетевые сеансы, для которых поле действия устройства имеет любое из указанных значений. |
| eventresult | Строка | Фильтровать только сетевые сеансы с определенным значением EventResult. |
Некоторые параметры могут принимать оба списка значений типа dynamic или одно строковое значение. Чтобы передать список литералов в параметры, которые предполагают динамическое значение, явно используйте динамический литерал. Например: dynamic(['192.168.','10.'])
Например, чтобы отфильтровать только сетевые сеансы для указанного списка доменных имен, используйте:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
Совет
Чтобы передать список литералов в параметры, которые предполагают динамическое значение, явно используйте динамический литерал. Например: dynamic(['192.168.','10.']).
Нормализованное содержимое
Полный список правил аналитики, использующих нормализованные события DNS, см. в разделе "Содержимое безопасности сеансов сети".
Общее представление схемы
Информационная модель сетевого сеанса согласована со схемой сетевой сущности OSSEM.
Схема сеанса сети служит нескольким типам похожих, но различных сценариев, которые используют одни и те же поля. Эти сценарии определяются полем EventType:
-
NetworkSession— сетевой сеанс, сообщаемый промежуточным устройством мониторинга сети, например брандмауэром, маршрутизатором или касанием сети. -
L2NetworkSession- сетевой сессии, для которой доступна только информация уровня 2. Такие события будут включать MAC-адреса, но не IP-адреса. -
Flow— агрегированное событие, которое сообщает несколько аналогичных сетевых сеансов, обычно за определенный период времени, например события Netflow . -
EndpointNetworkSession— сетевой сеанс, сообщаемый одной из конечных точек сеанса, включая клиенты и серверы. Для таких событий схема поддерживаетremoteполя иlocalпсевдонимы. -
IDS— сетевой сеанс, сообщающийся как подозрительный. Такое событие будет иметь некоторые поля проверки, заполненные, и может быть заполнено только одно поле IP-адреса, исходное или целевое.
Как правило, запрос должен выбрать только подмножество этих типов событий, и может потребоваться решить отдельные уникальные аспекты вариантов использования. Например, события IDS не отражают весь объем сети и не должны учитываться в аналитике на основе столбцов.
События сетевого сеанса используют дескрипторы Src и Dst для обозначения ролей устройств, а также связанных с ними пользователей и приложений, участвующих в сеансе. Например, имя узла и IP-адрес исходного устройства называются SrcHostname и SrcIpAddr. Другие схемы ASIM обычно используются Target вместо Dst.
Для событий, о которых сообщается конечной точкой, для которых тип события — это EndpointNetworkSession, дескрипторы Local и Remote обозначают саму конечную точку и устройство на другом конце сетевого сеанса соответственно.
Дескриптор Dvc используется для устройства отчетов, которое является локальной системой для сеансов, о которых сообщается конечной точкой, а также промежуточного устройства или сетевого отвода для других событий сетевого сеанса.
Сведения о схеме
Общие поля ASIM
Внимание
Поля, общие для всех схем, подробно описаны в статье Общие поля ASIM.
Общие поля с конкретными рекомендациями
В следующем списке упоминаются поля, имеющие определенные рекомендации по обработке событий сетевого сеанса:
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| EventCount (Количество событий) | Обязательно | Целое | Источники Netflow поддерживают агрегирование, а в поле EventCount должно быть задано значение поля Netflow FLOWS. Для других источников обычно устанавливается значение 1. |
| Тип события | Обязательно | Перечислено | Описывает сценарий, сообщаемый записью. Для записей сетевого сеанса допустимы следующие значения: - EndpointNetworkSession- NetworkSession - L2NetworkSession- IDS - FlowДополнительные сведения о типах событий см. в обзоре схемы. |
| Подтип события | Необязательно | Перечислено | Дополнительное описание типа события, если применимо. Для записей сетевого сеанса поддерживаются следующие значения: - Start- EndЭто поле не относится к Flow событиям. |
| EventResult (EventResult) | Обязательно | Перечислено | Если исходное устройство не предоставляет результат события, значение EventResult должно основываться на значении DvcAction. Если DvcAction имеет значение Deny, Drop, Drop ICMPResetReset Source или Reset Destination, значение EventResult должно быть Failure. В противном случае значение EventResult должно быть Success. |
| EventResultDetails (ПодробнееEventResultDetails) | Рекомендуемая конфигурация | Перечислено | Причина или подробные сведения для результата, полученного в поле EventResult. Поддерживаются значения: — отработка отказа — Недопустимый TCP - Недопустимый Tunnel - Максимальное число повторных попыток - Сброс - Проблема с маршрутизацией - Моделирование - Завершено - Время ожидания — временная ошибка - Неизвестно - Нет данных. Исходное, связанное с источником значение, хранится в поле EventOriginalResultDetails. |
| EventSchema (Схема событий) | Обязательно | Перечислено | Имя описанной здесь схемы — NetworkSession. |
| EventSchemaVersion (Версия EventSchemaVersion) | Обязательно | SchemaVersion (String) | Номер версии схемы. Версия описанной здесь схемы — 0.2.7. |
| DvcAction | Рекомендуемая конфигурация | Перечислено | Действие, выполняемое в сетевом сеансе. Поддерживаются значения: - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNrouteПримечание. Значение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы до этих значений. Исходное значение следует хранить в поле DvcOriginalAction. Пример: drop |
| Серьезность события | Необязательно | Перечислено | Если исходное устройство не предоставляет серьезность события, значение EventSeverity должно основываться на значении DvcAction. Если DvcAction имеет значение Deny, Drop, Drop ICMPResetReset Source или Reset Destination, значение EventSeverity должно быть Low. В противном случае значение EventSeverity должно быть Informational. |
| Интерфейс Dvc | Поле DvcInterface должно быть псевдонимом полей DvcInboundInterface или DvcOutboundInterface. | ||
| Поля Dvc | Для событий сетевого сеанса поля устройства ссылаются на систему, которая сообщает о событии сетевого сеанса. |
Все общие поля
Поля, представленные в таблице ниже, являются общими для всех схем ASIM. Все указанные выше рекомендации переопределяют общие рекомендации для поля. Например, поле может быть необязательным в целом, но обязательным для конкретной схемы. Дополнительные сведения о каждом поле см. в статье Общие поля ASIM.
Поля сетевого сеанса
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Протокол NetworkApplicationProtocol | Необязательно | Строка | Протокол на уровне приложения, используемый соединением или сеансом. Значение должно находиться во всех верхних регистрах. Пример: FTP |
| Сетевой протокол | Необязательно | Перечислено | IP-протокол, используемый подключением или сеансом в соответствии с назначением протокола IANA, которое обычно является TCP, UDP или ICMP.Пример: TCP |
| Версия сетевого протокола | Необязательно | Перечислено | Версия NetworkProtocol. При его использовании для различения версии IP используйте значения IPv4 и IPv6. |
| Сетевое направление | Необязательно | Перечислено | Направление подключения или сеанса: — Для или NetworkSessionFlow представляет направление относительно границы организации или облачной среды. Поддерживаемые значения: Inbound, Outbound, Local (для организации), External (для организации) или NA (неприменимо).— Для EventType EndpointNetworkSessionnetworkDirection представляет направление относительно конечной точки. Поддерживаемые значения: Inbound, Outbound, Local (для системы) Listen или NA (неприменимо). Значение Listen указывает, что устройство начало принимать сетевые подключения, но не обязательно, в действительности, подключено. |
| Продолжительность сети | Необязательно | Целое | Время в миллисекундах, необходимое для завершения сетевого сеанса или подключения. Пример: 1500 |
| Длительность | Псевдоним | Псевдоним для NetworkDuration. | |
| NetworkIcmpType (Тип сети) | Необязательно | Строка | Для сообщения ICMP имя типа ICMP, связанное с числовым значением, как описано в RFC 2780 для сетевых подключений IPv4 или в RFC 4443 для сетевых подключений IPv6. Пример: Destination Unreachable для NetworkIcmpCode 3 |
| NetworkIcmpCode (Сетевой код ICMP) | Необязательно | Целое | Для сообщения ICMP — кодовый номер ICMP, как описано в RFC 2780 для сетевых подключений IPv4 или в RFC 4443 для сетевых подключений IPv6. |
| История NetworkConnection | Необязательно | Строка | Флаги TCP и другие возможные сведения о заголовке IP. |
| DstBytes | Рекомендуемая конфигурация | Длинный | Число байтов, отправленных от места назначения к источнику для соединения или сеанса. Если событие является агрегированным, значение DstBytes должно быть суммой всех агрегированных сеансов. Пример: 32455 |
| SrcBytes | Рекомендуемая конфигурация | Длинный | Число байтов, отправленных от источника к месту назначения для соединения или сеанса. Если событие является агрегированным, значение SrcBytes должно быть суммой всех агрегированных сеансов. Пример: 46536 |
| Сетевые байты | Необязательно | Длинный | Число байтов, отправленных в обоих направлениях. Если BytesReceived и BytesSent существуют, значение BytesTotal должно быть равно их сумме. Если событие является агрегированным, значение NetworkBytes должно быть суммой всех агрегированных сеансов. Пример: 78991 |
| DstPackets | Необязательно | Длинный | Число пакетов, отправленных от места назначения к источнику для соединения или сеанса. Значение пакета определяется устройством составления отчетов. Если событие является агрегированным, значение DstPackets должно быть суммой всех агрегированных сеансов. Пример: 446 |
| SrcPackets | Необязательно | Длинный | Число пакетов, отправленных от источника к месту назначения для соединения или сеанса. Значение пакета определяется устройством составления отчетов. Если событие является агрегированным, значение SrcPackets должно быть суммой всех агрегированных сеансов. Пример: 6478 |
| Сетевые пакеты | Необязательно | Длинный | Число пакетов, отправленных в обоих направлениях. Если существуют оба пакета и PacketsSent, PacketsTotal должен быть равным сумме. Значение пакета определяется устройством составления отчетов. Если событие является агрегированным, значение NetworkPackets должно быть суммой всех агрегированных сеансов. Пример: 6924 |
| Идентификатор сетевой сессии | Необязательно | строка | Идентификатор сеанса, сообщаемый устройством составления отчетов. Пример: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| Идентификатор сеанса | Псевдоним | Строка | Псевдоним для NetworkSessionId. |
| TcpFlagsAck | Необязательно | Логический | Отчет о флаге TCP ACK. Флаг подтверждения используется для подтверждения успешного получения пакета. Как видно из схемы выше, получатель отправляет ACK и SYN на втором этапе процесса трехэтапного подтверждения, чтобы сообщить отправителю, что он получил свой первоначальный пакет. |
| TcpFlagsFin | Необязательно | Логический | Отчет о флаге TCP FIN. Готовый флаг означает, что данных от отправителя больше нет. Поэтому он используется в последнем пакете, отправленном отправителем. |
| TcpFlagsSyn | Необязательно | Логический | Отчет о флаге TCP SYN. Флаг синхронизации используется в качестве первого шага в установлении трехэтапного подтверждения между двумя узлами. Этот флаг должен быть установлен только для первого пакета как от отправителя, так и от получателя. |
| TcpFlagsUrg | Необязательно | Логический | Отчет о флаге TCP URG. Срочный флаг используется для уведомления получателя о необходимости обработки срочных пакетов перед обработкой всех остальных пакетов. Получатель будет уведомлен, когда будут получены все известные срочные данные. Дополнительные сведения см. на странице RFC 6093. |
| TcpFlagsPsh | Необязательно | Логический | Отчет о флаге TCP PSH. Флаг отправки аналогичен флагу URG и указывает получателю обрабатывать эти пакеты по мере их получения, а не буферизовать их. |
| TcpFlagsRst | Необязательно | Логический | Отчет о флаге TCP RST. Флаг сброса отправляется от получателя к отправителю, когда пакет отправляется на конкретный узел, который этого не ожидал. |
| TcpFlagsEce | Необязательно | Логический | Отчет о флаге TCP ECE. Этот флаг отвечает за указание того, поддерживает ли одноранговый узел TCP ECN. Дополнительные сведения см. на странице RFC 3168. |
| TcpFlagsCwr | Необязательно | Логический | Отчет о флаге TCP CWR. Флаг уменьшения окна перегрузки используется узлом-отправителем, чтобы указать, что он получил пакет с установленным флагом ECE. Дополнительные сведения см. на странице RFC 3168. |
| TcpFlagsNs | Необязательно | Логический | Отчет о флаге TCP NS. Флаг суммы nonce по-прежнему является экспериментальным флагом, используемым для защиты от случайного злонамеренного сокрытия пакетов от отправителя. Дополнительные сведения см. на странице RFC 3540 |
Поля системы назначения
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| ДСТ | Псевдоним | Уникальный идентификатор сервера, получающего DNS-запрос. Это поле может быть псевдонимом для полей DstDvcId, DstHostname или DstIpAddr. Пример: 192.168.12.1 |
|
| DstIpAddr | Рекомендуемая конфигурация | IP-адрес | IP-адрес подключения или назначения сеанса. Если в сеансе используется преобразование сетевых адресов, DstIpAddr является общедоступным адресом, а не исходным адресом источника, который хранится в DstNatIpAddrПример: 2001:db8::ff00:42:8329Примечание. Это значение обязательно, если указано поле DstHostname. |
| DstPortNumber | Необязательно | Целое | Порт назначения. Пример: 443 |
| DstHostname | Рекомендуемая конфигурация | Имя хозяина (строка) | Имя узла устройства назначения, включая сведения о домене. Если имя устройства недоступно, сохраните в этом поле соответствующий IP-адрес. Пример: DESKTOP-1282V4D |
| DstDomain | Рекомендуемая конфигурация | Домен (строка) | Домен устройства назначения. Пример: Contoso |
| DstDomainType | Условный | Перечислено | Тип DstDomain. Список допустимых значений и дополнительные сведения см. в разделе DomainType статьи Схемы расширенной информационной модели безопасности (ASIM). Является обязательным при использовании DstDomain. |
| DstFQDN | Необязательно | Полное доменное имя (строка) | Имя узла устройства назначения, включая сведения о домене, если они доступны. Пример: Contoso\DESKTOP-1282V4D Примечание. Это поле поддерживает как традиционные форматы FQDN, так и формат домен\имя_узла Windows. DstDomainType отражает используемый формат. |
| DstDvcId | Необязательно | Строка | Идентификатор ресурса устройства назначения. Если доступно несколько идентификаторов, используйте наиболее важный из них, другие храните в полях DstDvc<DvcIdType>. Пример: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | Необязательно | Строка | Идентификатор области облачной платформы, к которому принадлежит устройство. DstDvcScopeId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| DstDvcScope | Необязательно | Строка | Область облачной платформы, к которой принадлежит устройство. DstDvcScope сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| DstDvcIdType | Условный | Перечислено | Тип DstDvcId. Список допустимых значений и дополнительные сведения см. в разделе DvcIdType статьи Схемы расширенной информационной модели безопасности (ASIM). Является обязательным при использовании DstDeviceId. |
| DstDeviceType | Необязательно | Перечислено | Тип устройства назначения. Список допустимых значений и дополнительные сведения см. в разделе DeviceType статьи Схемы расширенной информационной модели безопасности (ASIM). |
| DstZone | Необязательно | Строка | Зона сети назначения, определенная на устройстве составления отчетов. Пример: Dmz |
| DstInterfaceName | Необязательно | Строка | Сетевой интерфейс, используемый устройством назначения для подключения или сеанса. Пример: Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | Необязательно | GUID (строка) | Идентификатор GUID сетевого интерфейса, используемого на устройстве назначения. Пример: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | Необязательно | MAC-адрес (строка) | MAC-адрес сетевого интерфейса, используемый устройством назначения для подключения или сеанса. Пример: 06:10:9f:eb:8f:14 |
| DstVlanId | Необязательно | Строка | Идентификатор виртуальной ЛС, относящийся к устройству назначения. Пример: 130 |
| OuterVlanId | Псевдоним | Псевдоним для DstVlanId. Во многих случаях виртуальная ЛС не может быть определена как источник или назначение, но характеризуется как внутренняя или внешняя. Этот псевдоним означает, что DstVlanId следует использовать, когда виртуальная ЛС характеризуется как внешняя. |
|
| DstGeoCountry | Необязательно | Страна/регион | Страна или регион, связанный с целевым IP-адресом. Дополнительные сведения см. в разделе Логические типы. Пример: USA |
| DstGeoRegion | Необязательно | Область/регион | Регион или состояние, связанное с целевым IP-адресом. Дополнительные сведения см. в разделе Логические типы. Пример: Vermont |
| DstGeoCity | Необязательно | Город | Город, связанный с IP-адресом назначения. Дополнительные сведения см. в разделе Логические типы. Пример: Burlington |
| DstGeoLatitude | Необязательно | Широта | Широта географической координаты, связанная с IP-адресом назначения. Дополнительные сведения см. в разделе Логические типы. Пример: 44.475833 |
| DstGeoLongitude | Необязательно | Долгота | Долгота географической координаты, связанная с IP-адресом назначения. Дополнительные сведения см. в разделе Логические типы. Пример: 73.211944 |
| Описание DstОписание | Необязательно | Строка | Текст описания, связанный с устройством. Например: Primary Domain Controller. |
Поля назначения пользователя
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| DstUserId | Необязательно | Строка | Считываемое компьютером буквенно-цифровое, уникальное представление пользователя назначения. Поддерживаемые форматы для различных типов идентификаторов см. в разделе Сущность пользователя. Пример: S-1-12 |
| DstUserScope | Необязательно | Строка | Область, например клиент Microsoft Entra, в которой определены DstUserId и DstUsername . или дополнительные сведения и список разрешенных значений см. в разделе UserScope в статье "Обзор схемы". |
| DstUserScopeId | Необязательно | Строка | Идентификатор области, например идентификатор каталога Microsoft Entra, в котором определены DstUserId и DstUsername . Дополнительные сведения и список разрешенных значений см. в разделе UserScopeId в статье "Обзор схемы". |
| DstUserIdType | Условный | UserIdType (Тип пользователя) | Тип идентификатора, который хранится в поле DstUserId. Список допустимых значений и дополнительные сведения см. в разделе UserIdType статьи Схемы расширенной информационной модели безопасности (ASIM). |
| DstИмя пользователя | Необязательно | Имя пользователя (строка) | Имя пользователя назначения, включая сведения о домене, если они доступны. Поддерживаемые форматы для различных типов идентификаторов см. в разделе Сущность пользователя. Используйте простую форму, только если сведения о домене недоступны. Храните тип имени пользователя в поле DstUsernameType. Если доступны другие форматы имени пользователя, сохраните их в полях DstUsername<UsernameType>.Пример: AlbertE |
| Пользователь | Псевдоним | Псевдоним для DstUsername. | |
| DstUsernameType | Условный | Тип имени пользователя | Указывает тип имени пользователя, хранимого в поле DstUsername. Список допустимых значений и дополнительные сведения см. в разделе UsernameType статьи Схемы расширенной информационной модели безопасности (ASIM). Пример: Windows |
| DstUserType | Необязательно | ТипПользователя | Тип пользователя назначения. Список допустимых значений и дополнительные сведения см. в разделе UserType статьи Схемы расширенной информационной модели безопасности (ASIM). Примечание. Значение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы до этих значений. Сохраните исходное значение в поле DstOriginalUserType. |
| DstOriginalUserType | Необязательно | Строка | Начальный тип пользователя назначения, если он указан источником. |
Поля приложения назначения
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| DstAppName | Необязательно | Строка | Введите имя приложения назначения. Пример: Facebook |
| DstAppId | Необязательно | Строка | Идентификатор приложения назначения, который сообщается устройством отчетов. Если DstAppType равен Process, DstAppId и DstProcessId значение должно иметь одинаковое.Пример: 124 |
| DstAppType | Необязательно | Тип приложения | Тип приложения назначения. Список допустимых значений и дополнительные сведения см. в разделе AppType статьи Схемы расширенной информационной модели безопасности (ASIM). Это поле является обязательным, если используется DstAppName или DstAppId. |
| DstProcessName | Необязательно | Строка | Имя файла процесса, завершившего сетевой сеанс. Это имя обычно считается именем процесса. Пример: C:\Windows\explorer.exe |
| Обработать | Псевдоним | Псевдоним для DstProcessName Пример: C:\Windows\System32\rundll32.exe |
|
| DstProcessId | Необязательно | Строка | Идентификатор процесса (PID) процесса, завершившего сетевой сеанс. Пример: 48610176 Примечание. Тип определяется как строка для поддержки различных систем, но в Windows и Linux это значение должно быть числовым. Если вы используете компьютер с Windows или Linux и применяете другой тип, обязательно преобразуйте эти значения. Например, если вы использовали шестнадцатеричное значение, преобразуйте его в десятичное. |
| DstProcessGuid | Необязательно | Строка | Сгенерированный уникальный идентификатор (GUID) процесса, завершившего сетевой сеанс. Пример: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Поля исходной системы
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Источник: | Псевдоним | Уникальный идентификатор исходного устройства. Это поле может быть псевдонимом для полей SrcDvcId, SrcHostname или SrcIpAddr. Пример: 192.168.12.1 |
|
| SrcIpAddr | Рекомендуемая конфигурация | IP-адрес | IP-адрес, с которого поступило соединение или сеанс. Это значение обязательно, если указано SrcHostname. Если в сеансе используется преобразование сетевых адресов, SrcIpAddr является общедоступным адресом, а не исходным адресом источника, который хранится в SrcNatIpAddrПример: 77.138.103.108 |
| Номер порта | Необязательно | Целое | Порт IP-адреса, с которого было создано подключение. Может не иметь отношения к сеансу, включающему несколько подключений. Пример: 2335 |
| SrcHostname (Имя хоста) | Рекомендуемая конфигурация | Имя хозяина (строка) | Имя узла исходного устройства, включая сведения о домене. Если имя устройства недоступно, сохраните в этом поле соответствующий IP-адрес. Пример: DESKTOP-1282V4D |
| SrcDomain | Рекомендуемая конфигурация | Домен (строка) | Домен исходного устройства. Пример: Contoso |
| SrcDomainType (Тип домена) | Условный | DomainType (Тип домена) | Тип SrcDomain. Список допустимых значений и дополнительные сведения см. в разделе DomainType статьи Схемы расширенной информационной модели безопасности (ASIM). Является обязательным при использовании SrcDomain. |
| SrcFQDN | Необязательно | Полное доменное имя (строка) | Имя узла исходного устройства, включая сведения о домене, если они доступны. Примечание. Это поле поддерживает как традиционные форматы FQDN, так и формат домен\имя_узла Windows. Поле SrcDomainType отражает используемый формат. Пример: Contoso\DESKTOP-1282V4D |
| SrcDvcId (SrcDvcId) | Необязательно | Строка | Идентификатор исходного устройства. Если доступно несколько идентификаторов, используйте наиболее важный из них, другие храните в полях SrcDvc<DvcIdType>.Пример: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId (Идентификатор SrcDvcScopeId) | Необязательно | Строка | Идентификатор области облачной платформы, к которому принадлежит устройство. SrcDvcScopeId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| SrcDvcScope (SrcDvcScope) | Необязательно | Строка | Область облачной платформы, к которой принадлежит устройство. SrcDvcScope сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| SrcDvcIdType (Тип SrcDvcId) | Условный | DvcIdType | Тип SrcDvcId. Список допустимых значений и дополнительные сведения см. в разделе DvcIdType статьи Схемы расширенной информационной модели безопасности (ASIM). Примечание. Это поле является обязательным, если используется SrcDvcId. |
| SrcDeviceType (Тип устройства) | Необязательно | Тип устройства | Тип исходного устройства. Список допустимых значений и дополнительные сведения см. в разделе DeviceType статьи Схемы расширенной информационной модели безопасности (ASIM). |
| SrcZone | Необязательно | Строка | Зона сети источника, определенная на устройстве составления отчетов. Пример: Internet |
| SrcInterfaceName (Имя интерфейса) | Необязательно | Строка | Сетевой интерфейс, используемый исходным устройством для подключения или сеанса. Пример: eth01 |
| SrcInterfaceGuid (SrcInterfaceGuid) | Необязательно | GUID (строка) | GUID сетевого интерфейса, используемого на исходном устройстве. Пример: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | Необязательно | MAC-адрес (строка) | MAC-адрес сетевого интерфейса, из которого создано подключение или сеанс. Пример: 06:10:9f:eb:8f:14 |
| SrcVlanId | Необязательно | Строка | Идентификатор виртуальной ЛС, относящийся к исходному устройству. Пример: 130 |
| InnerVlanId (ИннерВланИд) | Псевдоним | Псевдоним для SrcVlanId. Во многих случаях виртуальная ЛС не может быть определена как источник или назначение, но характеризуется как внутренняя или внешняя. Этот псевдоним означает, что SrcVlanId следует использовать, когда виртуальная ЛС характеризуется как внутренняя. |
|
| SrcGeoCountry | Необязательно | Страна/регион | Страна или регион, связанный с исходным IP-адресом. Пример: USA |
| SrcGeoRegion | Необязательно | Область/регион | Регион, связанный с исходным IP-адресом. Пример: Vermont |
| SrcGeoCity | Необязательно | Город | Город, связанный с исходным IP-адресом. Пример: Burlington |
| SrcGeoLatitude | Необязательно | Широта | Географическая широта, связанная с исходным IP-адресом. Пример: 44.475833 |
| SrcGeoLongitude (англ.) | Необязательно | Долгота | Географическая долгота, связанная с исходным IP-адресом. Пример: 73.211944 |
| SrcОписание | Необязательно | Строка | Текст описания, связанный с устройством. Например: Primary Domain Controller. |
Поля исходного пользователя
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| SrcUserId (Идентификатор пользователя) | Необязательно | Строка | Считываемое компьютером буквенно-цифровое, уникальное представление исходного пользователя. Поддерживаемые форматы для различных типов идентификаторов см. в разделе Сущность пользователя. Пример: S-1-12 |
| SrcUserScope (SrcUserScope) | Необязательно | Строка | Область, например клиент Microsoft Entra, в которой определены SrcUserId и SrcUsername . или дополнительные сведения и список разрешенных значений см. в разделе UserScope в статье "Обзор схемы". |
| SrcUserScopeId (Идентификатор пользователяScopeId) | Необязательно | Строка | Идентификатор области, например идентификатор каталога Microsoft Entra, в котором определены SrcUserId и SrcUsername . Дополнительные сведения и список разрешенных значений см. в разделе UserScopeId в статье "Обзор схемы". |
| SrcUserIdType (Тип пользователя) | Условный | UserIdType (Тип пользователя) | Тип идентификатора, который хранится в поле SrcUserId. Список допустимых значений и дополнительные сведения см. в разделе UserIdType статьи Схемы расширенной информационной модели безопасности (ASIM). |
| SrcИмя пользователя | Необязательно | Имя пользователя (строка) | Имя исходного пользователя, включая сведения о домене, если они доступны. Поддерживаемые форматы для различных типов идентификаторов см. в разделе Сущность пользователя. Используйте простую форму, только если сведения о домене недоступны. Храните тип имени пользователя в поле SrcUsernameType. Если доступны другие форматы имени пользователя, сохраните их в полях SrcUsername<UsernameType>.Пример: AlbertE |
| SrcUsernameType (Тип пользователя) | Условный | Тип имени пользователя | Указывает тип имени пользователя, хранимого в поле SrcUsername. Список допустимых значений и дополнительные сведения см. в разделе UsernameType статьи Схемы расширенной информационной модели безопасности (ASIM). Пример: Windows |
| SrcUserType (Тип пользователя) | Необязательно | ТипПользователя | Тип исходного пользователя. Список допустимых значений и дополнительные сведения см. в разделе UserType статьи Схемы расширенной информационной модели безопасности (ASIM). Примечание. Значение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы до этих значений. Сохраните исходное значение в поле SrcOriginalUserType. |
| SrcOriginalUserType (Тип оригинального пользователя) | Необязательно | Строка | Исходный тип пользователя назначения, если он указан передающим устройством. |
Поля исходного приложения
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| SrcAppName (Имя SrcApp) | Необязательно | Строка | Имя исходного приложения. Пример: filezilla.exe |
| SrcAppId (SrcAppId) | Необязательно | Строка | Идентификатор исходного приложения, который сообщается передающим устройством. Если SrcAppType равно Process, SrcAppId и SrcProcessId должны иметь одинаковое значение.Пример: 124 |
| SrcAppType (Тип SrcApp) | Необязательно | Тип приложения | Тип исходного приложения. Список допустимых значений и дополнительные сведения см. в разделе AppType статьи Схемы расширенной информационной модели безопасности (ASIM). Это поле является обязательным, если используется SrcAppName или SrcAppId. |
| SrcProcessName (Имя процесса) | Необязательно | Строка | Имя файла процесса, инициировавшего сетевой сеанс. Это имя обычно считается именем процесса. Пример: C:\Windows\explorer.exe |
| SrcProcessId (Идентификатор SrcProcessId) | Необязательно | Строка | Идентификатор процесса (PID) процесса, который инициировал сетевой сеанс. Пример: 48610176 Примечание. Тип определяется как строка для поддержки различных систем, но в Windows и Linux это значение должно быть числовым. Если вы используете компьютер с Windows или Linux и применяете другой тип, обязательно преобразуйте эти значения. Например, если вы использовали шестнадцатеричное значение, преобразуйте его в десятичное. |
| SrcProcessGuid (SrcProcessGuid) | Необязательно | Строка | Сгенерированный уникальный идентификатор (GUID) процесса, инициировавшего сетевой сеанс. Пример: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Локальные и удаленные псевдонимы
Все поля источника и назначения, перечисленные выше, могут быть дополнительно обозначены полями с тем же именем и дескрипторами Local и Remote. Это обычно полезно для событий, о которых сообщается конечной точкой, для которых тип события — EndpointNetworkSession.
Для таких событий дескрипторы Local и Remote обозначают саму конечную точку и устройство на другом конце сетевого сеанса соответственно. Для входящих подключений локальная система является назначением, поля Local являются псевдонимами полей Dst, а "удаленные" поля являются псевдонимами для полей Src. И наоборот, для исходящих подключений локальная система является источником, поля Local являются псевдонимами полей Src, а поля Remote являются псевдонимами для полей Dst.
Например, для входящего события поле LocalIpAddr является псевдонимом DstIpAddr, а поле RemoteIpAddr — псевдонимом SrcIpAddr.
Псевдонимы имени узла и IP-адреса
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Имя хоста | Псевдоним | — Если тип события имеет NetworkSessionзначение или FlowL2NetworkSessionимя узла является псевдонимом DstHostname.— Если тип события — EndpointNetworkSession, имя узла является псевдонимом для RemoteHostname, которое может быть псевдонимом для DstHostname или SrcHostName, в зависимости от NetworkDirection |
|
| IpAddr | Псевдоним | — Если тип события имеет NetworkSessionFlow тип события или L2NetworkSessionipAddr является псевдонимом SrcIpAddr.— Если тип события имеет EndpointNetworkSessionтип события, IpAddr — это псевдоним, в который может быть псевдоним LocalIpAddrSrcIpAddr или DstIpAddr, в зависимости от NetworkDirection. |
Поля промежуточного устройства и преобразования сетевых адресов (NAT)
Следующие поля полезны, если запись содержит сведения о промежуточном устройстве, таком как брандмауэр или прокси-сервер, который передает сетевой сеанс.
В промежуточных системах часто используется преобразование адресов, и, следовательно, исходный адрес и адрес, с которыми вы столкнулись, не совпадают. В таких случаях основные поля адреса, такие как SrcIPAddr и DstIpAddr представляют адреса, которые наблюдаются извне, в то же время как поля адреса NAT, SrcNatIpAddr и DstNatIpAddr представляют внутренний адрес исходного устройства перед преобразованием.
Поля проверки
Следующие поля используются для представления проверки, которую выполнило устройство безопасности, такое как брандмауэр, IPS, или шлюз безопасности:
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| NetworkRuleName (Имя сетевого правила) | Необязательно | Строка | Имя или идентификатор правила, по которому было принято решение об DvcAction. Пример: AnyAnyDrop |
| NetworkRuleNumber (номер сетевого правила) | Необязательно | Целое | Номер правила, по которому было принято решение об DvcAction. Пример: 23 |
| Правило | Псевдоним | Строка | Значение NetworkRuleName или значение NetworkRuleNumber. Если используется значение NetworkRuleNumber, тип должен быть преобразован в строку. |
| ThreatId (Идентификатор угрозы) | Необязательно | Строка | Идентификатор угрозы или вредоносной программы, определенной в сетевом сеансе. Пример: Tr.124 |
| ИмяУгрозы | Необязательно | Строка | Имя угрозы или вредоносной программы, определенной в сетевом сеансе. Пример: EICAR Test File |
| Категория угроз | Необязательно | Строка | Категория угрозы или вредоносной программы, определенной в сетевом сеансе. Пример: Trojan |
| ThreatRiskLevel (Уровень угрозы) | Необязательно | RiskLevel (целое число) | Связанный с сеансом уровень риска. Уровень должен быть числом от 0 до 100. Примечание. Значение может быть указано в исходной записи с использованием другой шкалы, которая должна быть нормализована по этой шкале. Исходное значение следует хранить в поле ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel (ИсходныйУровень Риска) | Необязательно | Строка | Уровень риска, сообщаемый устройством отчетов. |
| ThreatIpAddr (УгрозаIpAddr) | Необязательно | IP-адрес | IP-адрес, для которого была обнаружена угроза. Поле ThreatField содержит имя поля, которое представляет ThreatIpAddr. |
| ThreatField (Поле угроз) | Условный | Перечислено | Поле, для которого была обнаружена угроза. Имеет значение SrcIpAddr или DstIpAddr. |
| УгрозаУверенность | Необязательно | Confidence Level (целое число) | Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100. |
| УгрозаОригинальнаяУверенность | Необязательно | Строка | Исходный уровень достоверности для обнаруженной угрозы, полученный от устройства, сообщившего о ней. |
| УгрозаАктивна | Необязательно | Логический | Значение true, если обнаруженная угроза считается активной. |
| ThreatFirstReportedTime (УгрозаFirstReportedTime) | Необязательно | дата/время | Время первого обнаружения угрозы для этого IP-адреса или домена. |
| ThreatLastReportedTime | Необязательно | дата/время | Время последнего обнаружения угрозы для этого IP-адреса или домена. |
Другие поля
Если о событии сообщает одна из конечных точек сетевого сеанса, оно может содержать сведения о процессе, который инициировал или завершил сеанс. В таких случаях используется схема событий процесса ASIM для нормализации этой информации.
Обновления схемы
Ниже приведены изменения в версии 0.2.1 схемы:
- Добавлены
SrcиDstв качестве псевдонимов к основному идентификатору для систем источника и назначения. - Добавлены поля
NetworkConnectionHistory,SrcVlanId,DstVlanId,InnerVlanIdиOuterVlanId.
Ниже приведены изменения в версии 0.2.2 схемы:
- Добавлены псевдонимы
RemoteиLocal. - Добавлен тип события
EndpointNetworkSession. - Определены
HostnameиIpAddrкак псевдонимы дляRemoteHostnameиLocalIpAddrсоответственно, если тип события —EndpointNetworkSession. - Определено
DvcInterfaceкак псевдоним дляDvcInboundInterfaceилиDvcOutboundInterface. - Изменен тип следующих полей с Integer на Long:
SrcBytes,DstBytes,NetworkBytes,SrcPacketsDstPacketsиNetworkPackets. - Добавлено поле
NetworkProtocolVersion. - Больше не поддерживаются
DstUserDomainиSrcUserDomain.
Ниже приведены изменения в версии 0.2.3 схемы:
- Добавлен параметр фильтрации
ipaddr_has_any_prefix. - Параметр фильтрации
hostname_has_anyтеперь соответствует имени исходного или целевого узла. - Добавлены поля
ASimMatchingHostnameиASimMatchingIpAddr.
Ниже приведены изменения в версии 0.2.4 схемы:
- Добавлены поля
TcpFlags. - Обновлены
NetworkIcpmTypeиNetworkIcmpCode, чтобы отразить числовое значение для обоих. - Добавлены дополнительные поля проверки.
- Поле ThreatRiskLevelOriginal было переименовано в
ThreatOriginalRiskLevelсоответствии с соглашениями ASIM. Существующие средства синтаксического анализа Microsoft будут поддерживатьThreatRiskLevelOriginalдо 1 мая 2023 г. - Отмечено
EventResultDetailsкак рекомендовано и указаны допустимые значения.
Ниже приведены изменения в схеме версии 0.2.5:
- Добавлены поля
DstUserScope,SrcUserScope,SrcDvcScopeIdSrcDvcScopeDstDvcScopeIdDstDvcScope,DvcScopeIdи .DvcScope
Ниже приведены изменения в схеме версии 0.2.6:
- Добавленные идентификаторы в качестве типа события
Ниже приведены изменения в версии 0.2.7 схемы:
- Добавлены поля
DstDescriptionиSrcDescription
Дальнейшие действия
Дополнительные сведения см. в разделе:
- Посмотрите веб-семинар ASIM или слайды.
- Обзор расширенной информационной модели безопасности (ASIM)
- Схемы расширенной информационной модели безопасности (ASIM)
- Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
- Содержимое расширенной информационной модели безопасности (ASIM)