Schemareferens för normalisering av nätverkssessioner i ASIM (Advanced Security Information Model) (offentlig förhandsversion)
Normaliseringsschemat för Microsoft Sentinel-nätverkssessionen representerar en IP-nätverksaktivitet, till exempel nätverksanslutningar och nätverkssessioner. Sådana händelser rapporteras till exempel av operativsystem, routrar, brandväggar och intrångsskyddssystem.
Schemat för nätverksnormalisering kan representera vilken typ av IP-nätverkssession som helst, men är utformat för att ge stöd för vanliga källtyper, till exempel Netflow, brandväggar och intrångsskyddssystem.
Mer information om normalisering i Microsoft Sentinel finns i Normalisering och ASIM (Advanced Security Information Model).
I den här artikeln beskrivs version 0.2.x av schemat för nätverksnormalisering. Version 0.1 släpptes innan ASIM var tillgängligt och överensstämmer inte med ASIM på flera platser. Mer information finns i Skillnader mellan schemaversioner för nätverksnormalisering.
Viktigt!
Schemat för nätverksnormalisering är för närvarande i förhandsversion. Den här funktionen tillhandahålls utan ett serviceavtal. Vi rekommenderar det inte för produktionsarbetsbelastningar.
Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Tolkar
Mer information om ASIM-parsare finns i översikten över ASIM-parsare.
Förena parsers
Om du vill använda parsers som förenar alla ASIM-parsare och ser till att analysen körs över alla konfigurerade källor använder du _Im_NetworkSession filtreringsparsern eller parsern _ASim_NetworkSession utan parameter.
Du kan också använda arbetsytedistribuerade ImNetworkSession och ASimNetworkSession parsare genom att distribuera dem från Microsoft Sentinel GitHub-lagringsplatsen.
Mer information finns i inbyggda ASIM-parsare och arbetsytedistribuerade parsers.
Färdiga, källspecifika parsare
I listan över nätverkssessionsparsers innehåller Microsoft Sentinel en out-of-the-box-lista med ASIM-parsare
Lägg till dina egna normaliserade parsers
När du utvecklar anpassade parsers för informationsmodellen nätverkssession namnger du dina KQL-funktioner med hjälp av följande syntax:
vimNetworkSession<vendor><Product>för parametriserade parsersASimNetworkSession<vendor><Product>för vanliga parsare
Se artikeln Hantera ASIM-parsare för att lära dig hur du lägger till dina anpassade parsers i nätverkssessionen förenande parsare.
Filtrera parserparametrar
Nätverkssessionsparsers stöder filtreringsparametrar. Även om de här parametrarna är valfria kan de förbättra frågeprestandan.
Följande filtreringsparametrar är tillgängliga:
| Namn | Type | Description |
|---|---|---|
| Starttime | datetime | Filtrera endast nätverkssessioner som startades vid eller efter den här tiden. |
| Endtime | datetime | Filtrera endast nätverkssessioner som började köras vid eller före den här tiden. |
| srcipaddr_has_any_prefix | dynamisk | Filtrera endast nätverkssessioner där käll-IP-adressfältets prefix finns i något av de angivna värdena. Prefix bör sluta med , .till exempel: 10.0.. Listans längd är begränsad till 10 000 objekt. |
| dstipaddr_has_any_prefix | dynamisk | Filtrera endast nätverkssessioner där mål-IP-adressfältets prefix finns i något av de angivna värdena. Prefix bör sluta med , .till exempel: 10.0.. Listans längd är begränsad till 10 000 objekt. |
| ipaddr_has_any_prefix | dynamisk | Filtrera endast nätverkssessioner för vilka mål-IP-adressfältet eller käll-IP-adressfältets prefix finns i något av de angivna värdena. Prefix bör sluta med , .till exempel: 10.0.. Listans längd är begränsad till 10 000 objekt.Fältet ASimMatchingIpAddr anges med ett av värdena SrcIpAddr, DstIpAddreller Both för att återspegla de matchande fälten eller fälten. |
| dstportnumber | Int | Filtrera endast nätverkssessioner med det angivna målportnumret. |
| hostname_has_any | dynamisk/sträng | Filtrera endast nätverkssessioner där fältet för målvärdnamn har något av värdena i listan. Listans längd är begränsad till 10 000 objekt. Fältet ASimMatchingHostname anges med ett av värdena SrcHostname, DstHostnameeller Both för att återspegla matchande fält eller fält. |
| dvcaction | dynamisk/sträng | Filtrera endast nätverkssessioner för vilka fältet Enhetsåtgärd är något av de värden som anges. |
| eventresult | String | Filtrera endast nätverkssessioner med ett specifikt EventResult-värde . |
Vissa parametrar kan acceptera båda värdena av typen dynamic eller ett enda strängvärde. Om du vill skicka en literallista till parametrar som förväntar sig ett dynamiskt värde använder du uttryckligen en dynamisk literal. Exempelvis: dynamic(['192.168.','10.'])
Om du till exempel bara vill filtrera nätverkssessioner för en angiven lista med domännamn använder du:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
Dricks
Om du vill skicka en literallista till parametrar som förväntar sig ett dynamiskt värde använder du uttryckligen en dynamisk literal. Exempel: dynamic(['192.168.','10.']).
Normaliserat innehåll
En fullständig lista över analysregler som använder normaliserade DNS-händelser finns i Nätverkssessionssäkerhetsinnehåll.
Schemaöversikt
Informationsmodellen för nätverkssessioner är anpassad till OSSEM-nätverksentitetsschemat.
Schemat för nätverkssessionen innehåller flera typer av liknande men distinkta scenarier som delar samma fält. Dessa scenarier identifieras av fältet EventType:
NetworkSession– en nätverkssession som rapporteras av en mellanliggande enhet som övervakar nätverket, till exempel en brandvägg, en router eller ett nätverkstryck.L2NetworkSession– nätverkssessioner där endast nivå 2-information är tillgänglig. Sådana händelser inkluderar MAC-adresser men inte IP-adresser.Flow– en aggregerad händelse som rapporterar flera liknande nätverkssessioner, vanligtvis under en fördefinierad tidsperiod, till exempel Netflow-händelser .EndpointNetworkSession– en nätverkssession som rapporteras av en av slutpunkterna i sessionen, inklusive klienter och servrar. För sådana händelser stöder schemat fältenremoteochlocalalias.IDS– en nätverkssession som rapporterats som misstänkt. En sådan händelse har några av kontrollfälten ifyllda och kan bara ha ett IP-adressfält fyllt, antingen källan eller målet.
Vanligtvis bör en fråga antingen välja en delmängd av dessa händelsetyper och kan behöva hantera separat unika aspekter av användningsfallen. IDS-händelser återspeglar till exempel inte hela nätverksvolymen och bör inte beaktas i kolumnbaserad analys.
Nätverkssessionshändelser använder deskriptorerna Src och Dst anger rollerna för de enheter och relaterade användare och program som ingår i sessionen. Till exempel namnges SrcHostname till exempel källenhetens värdnamn och IP-adress och SrcIpAddr. Andra ASIM-scheman används Target vanligtvis i stället för Dst.
För händelser som rapporteras av en slutpunkt och för vilka händelsetypen är EndpointNetworkSessionanger deskriptorerna Local och Remote själva slutpunkten och enheten i den andra änden av nätverkssessionen.
Dvc Beskrivningen används för rapporteringsenheten, som är det lokala systemet för sessioner som rapporteras av en slutpunkt, och mellanliggande enhet eller nätverkstryckning för andra nätverkssessionshändelser.
Schemainformation
Vanliga ASIM-fält
Viktigt!
Fält som är gemensamma för alla scheman beskrivs i detalj i artikeln vanliga ASIM-fält .
Vanliga fält med specifika riktlinjer
I följande lista nämns fält som har specifika riktlinjer för nätverkssessionshändelser:
| Fält | Klass | Typ | Description |
|---|---|---|---|
| EventCount | Obligatorisk | Heltal | Netflow-källor stöder aggregering och fältet EventCount ska anges till värdet för fältet Netflow FLOWS . För andra källor är värdet vanligtvis inställt på 1. |
| Eventtype | Obligatorisk | Enumerated | Beskriver scenariot som rapporterats av posten. För nätverkssessionsposter är de tillåtna värdena: - EndpointNetworkSession- NetworkSession - L2NetworkSession- IDS - FlowMer information om händelsetyper finns i schemaöversikten |
| EventSubType | Valfri | String | Ytterligare beskrivning av händelsetypen, om tillämpligt. För nätverkssessionsposter finns följande värden som stöds: - Start- EndDet här är ett fält som inte är relevant för Flow händelser. |
| EventResult | Obligatorisk | Enumerated | Om källenheten inte ger något händelseresultat bör EventResult baseras på värdet för DvcAction. Om DvcAction är Deny, Drop, Drop ICMP, Reset, Reset Sourceeller Reset Destination, EventResult ska vara Failure. Annars bör EventResult vara Success. |
| EventResultDetails | Rekommenderat | Enumerated | Orsak eller information för resultatet som rapporteras i fältet EventResult . Värden som stöds är: -Failover – Ogiltig TCP - Ogiltig tunnel – Maximalt återförsök -Återställa – Routningsproblem -Simulering -Avslutas -Timeout – Tillfälligt fel -Okänd -NA. Det ursprungliga källspecifika värdet lagras i fältet EventOriginalResultDetails . |
| EventSchema | Obligatorisk | String | Namnet på schemat som dokumenteras här är NetworkSession. |
| EventSchemaVersion | Obligatorisk | String | Versionen av schemat. Den version av schemat som dokumenteras här är 0.2.6. |
| DvcAction | Rekommenderat | Enumerated | Den åtgärd som vidtagits i nätverkssessionen. Värden som stöds är: - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNrouteObs! Värdet kan anges i källposten med hjälp av olika termer, som bör normaliseras till dessa värden. Det ursprungliga värdet ska lagras i fältet DvcOriginalAction . Exempel: drop |
| EventSeverity | Valfri | Enumerated | Om källenheten inte ger någon allvarlighetsgrad för händelsen bör EventSeverity baseras på värdet för DvcAction. Om DvcAction är Deny, Drop, Drop ICMP, Reset, Reset Sourceeller Reset Destination, EventSeverity ska vara Low. Annars bör EventSeverity vara Informational. |
| DvcInterface | Fältet DvcInterface ska ha ett alias för fälten DvcInboundInterface eller DvcOutboundInterface . | ||
| Dvc-fält | För nätverkssessionshändelser refererar enhetsfälten till systemet som rapporterar händelsen Nätverkssession. |
Alla vanliga fält
Fält som visas i tabellen nedan är gemensamma för alla ASIM-scheman. Alla riktlinjer som anges ovan åsidosätter de allmänna riktlinjerna för fältet. Ett fält kan till exempel vara valfritt i allmänhet, men obligatoriskt för ett specifikt schema. Mer information om varje fält finns i artikeln vanliga ASIM-fält .
| Klass | Fält |
|---|---|
| Obligatorisk | - EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Rekommenderat | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valfri | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Nätverkssessionsfält
| Fält | Klass | Typ | Description |
|---|---|---|---|
| NetworkApplicationProtocol | Valfri | String | Protokollet för programskiktet som används av anslutningen eller sessionen. Värdet ska vara i versaler. Exempel: FTP |
| NetworkProtocol | Valfri | Enumerated | IP-protokollet som används av anslutningen eller sessionen enligt listan i IANA-protokolltilldelningen, som vanligtvis TCPär , UDPeller ICMP.Exempel: TCP |
| NetworkProtocolVersion | Valfri | Enumerated | Versionen av NetworkProtocol. När du använder den för att skilja mellan IP-versionen använder du värdena IPv4 och IPv6. |
| NetworkDirection | Valfri | Enumerated | Riktningen för anslutningen eller sessionen: – För EventType NetworkSession, Flow eller L2NetworkSession, representerar NetworkDirection riktningen i förhållande till organisationens eller molnmiljöns gräns. Värden som stöds är Inbound, Outbound, Local (för organisationen), External (för organisationen) eller NA (ej tillämpligt).– För EventType EndpointNetworkSessionrepresenterar NetworkDirection riktningen i förhållande till slutpunkten. Värden som stöds är Inbound, Outbound, Local (för systemet) Listen eller NA (ej tillämpligt). Värdet Listen anger att en enhet har börjat acceptera nätverksanslutningar men faktiskt inte nödvändigtvis är ansluten. |
| NetworkDuration | Valfri | Heltal | Hur lång tid, i millisekunder, för slutförandet av nätverkssessionen eller anslutningen. Exempel: 1500 |
| Varaktighet | Alias | Alias till NetworkDuration. | |
| NetworkIcmpType | Valfri | String | För ett ICMP-meddelande skriver ICMP-meddelandenumret enligt beskrivningen i RFC 2780 för IPv4-nätverksanslutningar eller i RFC 4443 för IPv6-nätverksanslutningar. |
| NetworkIcmpCode | Valfri | Heltal | För ett ICMP-meddelande, ICMP-kodnumret enligt beskrivningen i RFC 2780 för IPv4-nätverksanslutningar eller i RFC 4443 för IPv6-nätverksanslutningar. |
| Nätverk Anslut ionHistory | Valfri | String | TCP-flaggor och annan potentiell INFORMATION om IP-huvuden. |
| DstBytes | Rekommenderat | Long | Antalet byte som skickas från målet till källan för anslutningen eller sessionen. Om händelsen aggregeras ska DstBytes vara summan för alla aggregerade sessioner. Exempel: 32455 |
| SrcBytes | Rekommenderat | Long | Antalet byte som skickas från källan till målet för anslutningen eller sessionen. Om händelsen aggregeras ska SrcBytes vara summan för alla aggregerade sessioner. Exempel: 46536 |
| NetworkBytes | Valfri | Long | Antal byte som skickats i båda riktningarna. Om både BytesReceived och BytesSent finns ska BytesTotal vara lika med summan. Om händelsen aggregeras ska NetworkBytes vara summan för alla aggregerade sessioner. Exempel: 78991 |
| DstPackets | Valfri | Long | Antalet paket som skickas från målet till källan för anslutningen eller sessionen. Innebörden av ett paket definieras av rapporteringsenheten. Om händelsen aggregeras ska DstPackets vara summan för alla aggregerade sessioner. Exempel: 446 |
| SrcPackets | Valfri | Long | Antalet paket som skickas från källan till målet för anslutningen eller sessionen. Innebörden av ett paket definieras av rapporteringsenheten. Om händelsen aggregeras ska SrcPackets vara summan för alla aggregerade sessioner. Exempel: 6478 |
| NetworkPackets | Valfri | Long | Antalet paket som skickas i båda riktningarna. Om både PacketsReceived och PacketsSent finns bör BytesTotal vara lika med summan. Innebörden av ett paket definieras av rapporteringsenheten. Om händelsen aggregeras ska NetworkPackets vara summan för alla aggregerade sessioner. Exempel: 6924 |
| NetworkSessionId | Valfri | sträng | Sessionsidentifieraren som rapporteras av rapporteringsenheten. Exempel: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| Sessionid | Alias | String | Alias till NetworkSessionId. |
| TcpFlagsAck | Valfri | Booleskt | TCP ACK-flaggan rapporterade. Bekräftelseflaggan används för att bekräfta att ett paket har tagits emot. Som vi kan se i diagrammet ovan skickar mottagaren en ACK och en SYN i det andra steget i handskakningsprocessen på tre sätt för att berätta för avsändaren att den tog emot sitt första paket. |
| TcpFlagsFin | Valfri | Booleskt | TCP FIN-flaggan rapporterades. Den färdiga flaggan innebär att det inte finns några fler data från avsändaren. Därför används det i det senaste paketet som skickades från avsändaren. |
| TcpFlagsSyn | Valfri | Booleskt | TCP SYN-flaggan rapporterad. Synkroniseringsflaggan används som ett första steg för att upprätta ett trevägshandskakning mellan två värdar. Endast det första paketet från både avsändaren och mottagaren ska ha den här flaggan inställd. |
| TcpFlagsUrg | Valfri | Booleskt | TCP URG-flaggan rapporterades. Den brådskande flaggan används för att meddela mottagaren att bearbeta brådskande paket innan alla andra paket bearbetas. Mottagaren meddelas när alla kända brådskande uppgifter har tagits emot. Mer information finns i RFC 6093 . |
| TcpFlagsPsh | Valfri | Booleskt | TCP PSH-flaggan rapporterad. Push-flaggan liknar URG-flaggan och instruerar mottagaren att bearbeta dessa paket när de tas emot i stället för att buffrar dem. |
| TcpFlagsRst | Valfri | Booleskt | TCP RST-flaggan rapporterad. Återställningsflaggan skickas från mottagaren till avsändaren när ett paket skickas till en viss värd som inte förväntade sig det. |
| TcpFlagsEce | Valfri | Booleskt | TCP ECE-flaggan rapporterad. Den här flaggan ansvarar för att ange om TCP-peern är ECN-kapabel. Mer information finns i RFC 3168 . |
| TcpFlagsCwr | Valfri | Booleskt | TCP CWR-flaggan rapporterad. Den minskade flaggan för överbelastningsfönstret används av den sändande värden för att indikera att den tog emot ett paket med ECE-flaggan inställd. Mer information finns i RFC 3168 . |
| TcpFlagsNs | Valfri | Booleskt | TCP NS-flaggan rapporterad. Nonce sum-flaggan är fortfarande en experimentell flagga som används för att skydda mot oavsiktligt skadligt döljande av paket från avsändaren. Mer information finns i RFC 3540 |
Målsystemfält
| Fält | Klass | Typ | Description |
|---|---|---|---|
| Dst | Rekommenderat | Alias | En unik identifierare för den server som tar emot DNS-begäran. Det här fältet kan vara alias för fälten DstDvcId, DstHostname eller DstIpAddr. Exempel: 192.168.12.1 |
| DstIpAddr | Rekommenderat | IP-adress | IP-adressen för anslutningen eller sessionsmålet. Om sessionen använder översättning DstIpAddr av nätverksadresser är den offentligt synliga adressen och inte källans ursprungliga adress, som lagras i DstNatIpAddrExempel: 2001:db8::ff00:42:8329Obs! Det här värdet är obligatoriskt om DstHostname har angetts. |
| DstPortNumber | Valfri | Heltal | Målets IP-port. Exempel: 443 |
| DstHostname | Rekommenderat | Värdnamn | Målenhetens värdnamn, exklusive domäninformation. Om inget enhetsnamn är tillgängligt lagrar du relevant IP-adress i det här fältet. Exempel: DESKTOP-1282V4D |
| DstDomain | Rekommenderat | String | Målenhetens domän. Exempel: Contoso |
| DstDomainType | Villkorsstyrd | Enumerated | Typ av DstDomain. En lista över tillåtna värden och ytterligare information finns i DomainType i artikeln Schemaöversikt. Krävs om DstDomain används. |
| DstFQDN | Valfri | String | Värdnamnet för målenheten, inklusive domäninformation när det är tillgängligt. Exempel: Contoso\DESKTOP-1282V4D Obs! Det här fältet stöder både traditionellt FQDN-format och Windows-domän\värdnamnsformat. DstDomainType återspeglar det format som används. |
| DstDvcId | Valfri | String | Målenhetens ID. Om flera ID:er är tillgängliga använder du det viktigaste och lagrar de andra i fälten DstDvc<DvcIdType>. Exempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | Valfri | String | Molnplattformens omfångs-ID som enheten tillhör. DstDvcScopeId mappa till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| DstDvcScope | Valfri | String | Molnplattformsomfånget som enheten tillhör. DstDvcScope mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| DstDvcIdType | Villkorsstyrd | Enumerated | Typ av DstDvcId. En lista över tillåtna värden och ytterligare information finns i DvcIdType i artikeln Schemaöversikt. Krävs om DstDeviceId används. |
| DstDeviceType | Valfri | Enumerated | Typ av målenhet. En lista över tillåtna värden och ytterligare information finns i DeviceType i artikeln Schemaöversikt. |
| DstZone | Valfri | String | Målets nätverkszon, enligt definitionen av rapporteringsenheten. Exempel: Dmz |
| DstInterfaceName | Valfri | String | Nätverksgränssnittet som används för anslutningen eller sessionen av målenheten. Exempel: Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | Valfri | String | GUID för nätverksgränssnittet som används på målenheten. Exempel: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | Valfri | String | MAC-adressen för nätverksgränssnittet som används för anslutningen eller sessionen av målenheten. Exempel: 06:10:9f:eb:8f:14 |
| DstVlanId | Valfri | String | VLAN-ID:t som är relaterat till målenheten. Exempel: 130 |
| OuterVlanId | Valfri | Alias | Alias till DstVlanId. I många fall kan VLAN inte fastställas som en källa eller ett mål men kännetecknas som inre eller yttre. Det här aliaset betyder att DstVlanId ska användas när VLAN karakteriseras som yttre. |
| DstSubscriptionId | Valfri | String | Prenumerations-ID för molnplattformen som målenheten tillhör. DstSubscriptionId mappa till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| DstGeoCountry | Valfri | Land | Det land som är associerat med mål-IP-adressen. Mer information finns i Logiska typer. Exempel: USA |
| DstGeoRegion | Valfri | Region | Den region eller det tillstånd som är associerat med målets IP-adress. Mer information finns i Logiska typer. Exempel: Vermont |
| DstGeoCity | Valfri | City | Den ort som är associerad med mål-IP-adressen. Mer information finns i Logiska typer. Exempel: Burlington |
| DstGeoLatitude | Valfri | Latitud | Latitud för den geografiska koordinat som är associerad med målets IP-adress. Mer information finns i Logiska typer. Exempel: 44.475833 |
| DstGeoLongitude | Valfri | Longitud | Longitud för den geografiska koordinat som är associerad med målets IP-adress. Mer information finns i Logiska typer. Exempel: 73.211944 |
Målanvändarfält
| Fält | Klass | Typ | Description |
|---|---|---|---|
| DstUserId | Valfri | String | En maskinläsbar, alfanumerisk, unik representation av målanvändaren. Det format som stöds för olika ID-typer finns i användarentiteten. Exempel: S-1-12 |
| DstUserScope | Valfri | String | Omfånget, till exempel Microsoft Entra-klientorganisationen, där DstUserId och DstUsername definieras. eller mer information och lista över tillåtna värden, se UserScope i artikeln Schemaöversikt. |
| DstUserScopeId | Valfri | String | Omfångs-ID:t, till exempel Microsoft Entra-katalog-ID, där DstUserId och DstUsername definieras. Mer information och lista över tillåtna värden finns i UserScopeId i artikeln Schemaöversikt. |
| DstUserIdType | Villkorsstyrd | UserIdType | Typen av ID som lagras i fältet DstUserId . En lista över tillåtna värden och ytterligare information finns i UserIdType i artikeln Schemaöversikt. |
| DstUsername | Valfri | String | Målanvändarnamnet, inklusive domäninformation när det är tillgängligt. Det format som stöds för olika ID-typer finns i användarentiteten. Använd bara det enkla formuläret om domäninformation inte är tillgänglig. Lagra användarnamnstypen i fältet DstUsernameType . Om andra användarnamnsformat är tillgängliga lagrar du dem i fälten DstUsername<UsernameType>.Exempel: AlbertE |
| Användare | Alias | Alias till DstUsername. | |
| DstUsernameType | Villkorsstyrd | UsernameType | Anger typen av användarnamn som lagras i fältet DstUsername . En lista över tillåtna värden och ytterligare information finns i UsernameType i artikeln Schemaöversikt. Exempel: Windows |
| DstUserType | Valfri | UserType | Typ av målanvändare. En lista över tillåtna värden och ytterligare information finns i UserType i artikeln Schemaöversikt. Obs! Värdet kan anges i källposten med hjälp av olika termer, som bör normaliseras till dessa värden. Lagra det ursprungliga värdet i fältet DstOriginalUserType . |
| DstOriginalUserType | Valfri | String | Den ursprungliga målanvändartypen, om den tillhandahålls av källan. |
Målprogramfält
| Fält | Klass | Typ | Description |
|---|---|---|---|
| DstAppName | Valfri | String | Namnet på målprogrammet. Exempel: Facebook |
| DstAppId | Valfri | String | ID:t för målprogrammet enligt rapporteringsenhetens rapporter. Om DstAppType är Processoch DstAppIdDstProcessId bör ha samma värde.Exempel: 124 |
| DstAppType | Valfri | AppType | Typ av målprogram. En lista över tillåtna värden och ytterligare information finns i AppType i artikeln Schemaöversikt. Det här fältet är obligatoriskt om DstAppName eller DstAppId används. |
| DstProcessName | Valfri | String | Filnamnet på den process som avslutade nätverkssessionen. Det här namnet anses vanligtvis vara processnamnet. Exempel: C:\Windows\explorer.exe |
| Bearbeta | Alias | Alias till DstProcessName Exempel: C:\Windows\System32\rundll32.exe |
|
| DstProcessId | Valfri | String | Process-ID (PID) för den process som avslutade nätverkssessionen. Exempel: 48610176 Obs! Typen definieras som sträng för att stödja olika system, men i Windows och Linux måste det här värdet vara numeriskt. Om du använder en Windows- eller Linux-dator och använder en annan typ ska du konvertera värdena. Om du till exempel använde ett hexadecimalt värde konverterar du det till ett decimalvärde. |
| DstProcessGuid | Valfri | String | En genererad unik identifierare (GUID) för processen som avslutade nätverkssessionen. Exempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Källsystemfält
| Fält | Klass | Typ | Description |
|---|---|---|---|
| Src | Alias | En unik identifierare för källenheten. Det här fältet kan vara alias för fälten SrcDvcId, SrcHostname eller SrcIpAddr. Exempel: 192.168.12.1 |
|
| SrcIpAddr | Rekommenderat | IP-adress | DEN IP-adress som anslutningen eller sessionen kommer från. Det här värdet är obligatoriskt om SrcHostname har angetts. Om sessionen använder översättning av nätverksadresser SrcIpAddr är den offentligt synliga adressen och inte källans ursprungliga adress, som lagras i SrcNatIpAddrExempel: 77.138.103.108 |
| SrcPortNumber | Valfri | Heltal | DEN IP-port som anslutningen kommer från. Kanske inte är relevant för en session som består av flera anslutningar. Exempel: 2335 |
| SrcHostname | Rekommenderat | Värdnamn | Källenhetens värdnamn, exklusive domäninformation. Om inget enhetsnamn är tillgängligt lagrar du relevant IP-adress i det här fältet. Exempel: DESKTOP-1282V4D |
| SrcDomain | Rekommenderat | String | Källenhetens domän. Exempel: Contoso |
| SrcDomainType | Villkorsstyrd | DomainType | Typen av SrcDomain. En lista över tillåtna värden och ytterligare information finns i DomainType i artikeln Schemaöversikt. Krävs om SrcDomain används. |
| SrcFQDN | Valfri | String | Värdnamnet för källenheten, inklusive domäninformation när det är tillgängligt. Obs! Det här fältet stöder både traditionellt FQDN-format och Windows-domän\värdnamnsformat. Fältet SrcDomainType återspeglar det format som används. Exempel: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Valfri | String | Källenhetens ID. Om flera ID:er är tillgängliga använder du det viktigaste och lagrar de andra i fälten SrcDvc<DvcIdType>.Exempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Valfri | String | Molnplattformens omfångs-ID som enheten tillhör. SrcDvcScopeId mappas till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| SrcDvcScope | Valfri | String | Molnplattformsomfånget som enheten tillhör. SrcDvcScope mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| SrcDvcIdType | Villkorsstyrd | DvcIdType | Typen av SrcDvcId. En lista över tillåtna värden och ytterligare information finns i DvcIdType i artikeln Schemaöversikt. Obs! Det här fältet krävs om SrcDvcId används. |
| SrcDeviceType | Valfri | DeviceType | Typ av källenhet. En lista över tillåtna värden och ytterligare information finns i DeviceType i artikeln Schemaöversikt. |
| SrcZone | Valfri | String | Källans nätverkszon enligt definitionen av rapporteringsenheten. Exempel: Internet |
| SrcInterfaceName | Valfri | String | Nätverksgränssnittet som används för anslutningen eller sessionen av källenheten. Exempel: eth01 |
| SrcInterfaceGuid | Valfri | String | GUID för nätverksgränssnittet som används på källenheten. Exempel: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | Valfri | String | MAC-adressen för nätverksgränssnittet som anslutningen eller sessionen kommer från. Exempel: 06:10:9f:eb:8f:14 |
| SrcVlanId | Valfri | String | VLAN-ID:t som är relaterat till källenheten. Exempel: 130 |
| InnerVlanId | Valfri | Alias | Alias till SrcVlanId. I många fall kan VLAN inte fastställas som en källa eller ett mål men kännetecknas som inre eller yttre. Det här aliaset betyder att SrcVlanId ska användas när VLAN karakteriseras som inre. |
| SrcSubscriptionId | Valfri | String | Prenumerations-ID:t för molnplattformen som källenheten tillhör. SrcSubscriptionId mappa till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| SrcGeoCountry | Valfri | Land | Det land som är associerat med källans IP-adress. Exempel: USA |
| SrcGeoRegion | Valfri | Region | Den region som är associerad med källans IP-adress. Exempel: Vermont |
| SrcGeoCity | Valfri | City | Den ort som är associerad med källans IP-adress. Exempel: Burlington |
| SrcGeoLatitude | Valfri | Latitud | Latitud för den geografiska koordinat som är associerad med källans IP-adress. Exempel: 44.475833 |
| SrcGeoLongitude | Valfri | Longitud | Longitud för den geografiska koordinat som är associerad med källans IP-adress. Exempel: 73.211944 |
Källanvändarfält
| Fält | Klass | Typ | Description |
|---|---|---|---|
| SrcUserId | Valfri | String | En maskinläsbar, alfanumerisk, unik representation av källanvändaren. Det format som stöds för olika ID-typer finns i användarentiteten. Exempel: S-1-12 |
| SrcUserScope | Valfri | String | Omfånget, till exempel Microsoft Entra-klientorganisationen, där SrcUserId och SrcUsername definieras. eller mer information och lista över tillåtna värden, se UserScope i artikeln Schemaöversikt. |
| SrcUserScopeId | Valfri | String | Omfångs-ID:t, till exempel Microsoft Entra-katalog-ID, där SrcUserId och SrcUsername definieras. Mer information och lista över tillåtna värden finns i UserScopeId i artikeln Schemaöversikt. |
| SrcUserIdType | Villkorsstyrd | UserIdType | Typen av ID som lagras i fältet SrcUserId . En lista över tillåtna värden och ytterligare information finns i UserIdType i artikeln Schemaöversikt. |
| SrcUsername | Valfri | String | Källans användarnamn, inklusive domäninformation när det är tillgängligt. Det format som stöds för olika ID-typer finns i användarentiteten. Använd bara det enkla formuläret om domäninformation inte är tillgänglig. Lagra användarnamnstypen i fältet SrcUsernameType . Om andra användarnamnsformat är tillgängliga lagrar du dem i fälten SrcUsername<UsernameType>.Exempel: AlbertE |
| SrcUsernameType | Villkorsstyrd | UsernameType | Anger typen av användarnamn som lagras i fältet SrcUsername . En lista över tillåtna värden och ytterligare information finns i UsernameType i artikeln Schemaöversikt. Exempel: Windows |
| SrcUserType | Valfri | UserType | Typ av källanvändare. En lista över tillåtna värden och ytterligare information finns i UserType i artikeln Schemaöversikt. Obs! Värdet kan anges i källposten med hjälp av olika termer, som bör normaliseras till dessa värden. Lagra det ursprungliga värdet i fältet SrcOriginalUserType . |
| SrcOriginalUserType | Valfri | String | Den ursprungliga målanvändartypen, om den tillhandahålls av rapporteringsenheten. |
Källprogramfält
| Fält | Klass | Typ | Description |
|---|---|---|---|
| SrcAppName | Valfri | String | Namnet på källprogrammet. Exempel: filezilla.exe |
| SrcAppId | Valfri | String | ID:t för källprogrammet enligt rapporteringsenhetens rapporter. Om SrcAppType är Process, SrcAppId och SrcProcessId bör ha samma värde.Exempel: 124 |
| SrcAppType | Valfri | AppType | Typ av källprogram. En lista över tillåtna värden och ytterligare information finns i AppType i artikeln Schemaöversikt. Det här fältet är obligatoriskt om SrcAppName eller SrcAppId används. |
| SrcProcessName | Valfri | String | Filnamnet för den process som initierade nätverkssessionen. Det här namnet anses vanligtvis vara processnamnet. Exempel: C:\Windows\explorer.exe |
| SrcProcessId | Valfri | String | Process-ID (PID) för den process som initierade nätverkssessionen. Exempel: 48610176 Obs! Typen definieras som sträng för att stödja olika system, men i Windows och Linux måste det här värdet vara numeriskt. Om du använder en Windows- eller Linux-dator och använder en annan typ ska du konvertera värdena. Om du till exempel använde ett hexadecimalt värde konverterar du det till ett decimalvärde. |
| SrcProcessGuid | Valfri | String | En genererad unik identifierare (GUID) för den process som initierade nätverkssessionen. Exempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Lokala alias och fjärranslutna alias
Alla käll- och målfält som anges ovan kan även aliaseras av fält med samma namn och deskriptorerna Local och Remote. Detta är vanligtvis användbart för händelser som rapporteras av en slutpunkt och för vilka händelsetypen är EndpointNetworkSession.
För sådana händelser beskriver deskriptorerna LocalRemote själva slutpunkten och enheten i den andra änden av nätverkssessionen. För inkommande anslutningar är det lokala systemet målet, Local fälten är alias för fälten Dst och "Fjärrfält" är alias för Src fält. För utgående anslutningar är det lokala systemet källan, Local fälten är alias för fälten Src och Remote fält är alias för Dst fält.
För en inkommande händelse är fältet LocalIpAddr till exempel ett alias till DstIpAddr och fältet RemoteIpAddr är ett alias till SrcIpAddr.
Värdnamn och IP-adressalias
| Fält | Klass | Typ | Description |
|---|---|---|---|
| Värdnamn | Alias | – Om händelsetypen är NetworkSession, Flow eller L2NetworkSession, är värdnamnet ett alias till DstHostname.– Om händelsetypen är EndpointNetworkSessionär Hostname ett alias till RemoteHostname, som kan aliaset DstHostname eller SrcHostName, beroende på NetworkDirection |
|
| IpAddr | Alias | – Om händelsetypen är NetworkSession, Flow eller L2NetworkSession, är IpAddr ett alias för SrcIpAddr.– Om händelsetypen är EndpointNetworkSessionär IpAddr ett alias till LocalIpAddr, som kan aliaset SrcIpAddr eller DstIpAddr, beroende på NetworkDirection. |
Nat-fält (Mellanliggande enhet) och NAT-fält (Network Address Translation)
Följande fält är användbara om posten innehåller information om en mellanliggande enhet, till exempel en brandvägg eller en proxy, som vidarebefordrar nätverkssessionen.
Mellanliggande system använder ofta adressöversättning och därför är den ursprungliga adressen och den adress som observeras externt inte densamma. I sådana fall representerar de primära adressfälten som SrcIPAddr och DstIpAddr de adresser som observerats externt, medan NAT-adressfälten SrcNatIpAddr och DstNatIpAddr representerar den ursprungliga enhetens interna adress före översättning.
Kontrollfält
Följande fält används för att representera den kontroll som en säkerhetsenhet, till exempel en brandvägg, en IPS eller en webbsäkerhetsgateway har utfört:
| Fält | Klass | Typ | Description |
|---|---|---|---|
| NetworkRuleName | Valfri | String | Namnet eller ID:t för regeln som DvcAction beslutades om. Exempel: AnyAnyDrop |
| NetworkRuleNumber | Valfri | Heltal | Antalet av regeln som DvcAction beslutades om. Exempel: 23 |
| Regel | Alias | String | Antingen värdet för NetworkRuleName eller värdet för NetworkRuleNumber. Om värdet för NetworkRuleNumber används ska typen konverteras till sträng. |
| ThreatId | Valfri | String | ID:t för det hot eller den skadliga kod som identifierades i nätverkssessionen. Exempel: Tr.124 |
| ThreatName | Valfri | String | Namnet på det hot eller den skadliga kod som identifierades i nätverkssessionen. Exempel: EICAR Test File |
| ThreatCategory | Valfri | String | Kategorin för hot eller skadlig kod som identifierades i nätverkssessionen. Exempel: Trojan |
| ThreatRiskLevel | Valfri | Heltal | Risknivån som är associerad med sessionen. Nivån ska vara ett tal mellan 0 och 100. Obs! Värdet kan anges i källposten med hjälp av en annan skala, som bör normaliseras till den här skalan. Det ursprungliga värdet ska lagras i ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Valfri | String | Risknivån som rapporteras av rapporteringsenheten. |
| ThreatIpAddr | Valfri | IP-adress | En IP-adress som ett hot identifierades för. Fältet ThreatField innehåller namnet på fältet ThreatIpAddr representerar. |
| ThreatField | Villkorsstyrd | Enumerated | Fältet som ett hot identifierades för. Värdet är antingen SrcIpAddr eller DstIpAddr. |
| ThreatConfidence | Valfri | Heltal | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatOriginalConfidence | Valfri | String | Den ursprungliga konfidensnivån för det identifierade hotet, enligt rapporteringsenhetens rapporter. |
| ThreatIsActive | Valfri | Booleskt | Sant om det identifierade hotet anses vara ett aktivt hot. |
| ThreatFirstReportedTime | Valfri | datetime | Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatLastReportedTime | Valfri | datetime | Senast IP-adressen eller domänen identifierades som ett hot. |
Andra fält
Om händelsen rapporteras av en av slutpunkterna i nätverkssessionen kan den innehålla information om processen som initierade eller avslutade sessionen. I sådana fall används ASIM Process Event-schemat för att normalisera den här informationen.
Schemauppdateringar
Följande är ändringarna i version 0.2.1 av schemat:
- Lade till
SrcochDstsom alias till en ledande identifierare för käll- och målsystemen. - Fälten
NetworkConnectionHistory,SrcVlanId,DstVlanId,InnerVlanIdochOuterVlanId.
Följande är ändringarna i version 0.2.2 av schemat:
- Har lagts till
RemoteochLocalalias. - Lade till händelsetypen
EndpointNetworkSession. - Definieras
HostnameochIpAddrsom alias förRemoteHostnamerespektiveLocalIpAddrnär händelsetypen ärEndpointNetworkSession. - Definieras
DvcInterfacesom ett alias tillDvcInboundInterfaceellerDvcOutboundInterface. - Ändrade typen av följande fält från Heltal till Long:
SrcBytes,DstBytes,NetworkBytes,SrcPackets, ,DstPacketsochNetworkPackets. - Fälten
NetworkProtocolVersion,SrcSubscriptionIdochDstSubscriptionId. - Inaktuell och
DstUserDomainSrcUserDomain.
Följande är ändringarna i version 0.2.3 av schemat:
- Filtreringsparametern har lagts
ipaddr_has_any_prefixtill. hostname_has_anyFiltreringsparametern matchar nu antingen käll- eller målvärdnamn.- Fälten
ASimMatchingHostnameochASimMatchingIpAddr.
Följande är ändringarna i version 0.2.4 av schemat:
- Fälten har lagts till
TcpFlags. - Uppdaterad
NetworkIcpmTypeochNetworkIcmpCodeför att återspegla talvärdet för båda. - Ytterligare kontrollfält har lagts till.
- Fältet "ThreatRiskLevelOriginal" har bytt namn till för att
ThreatOriginalRiskLevelöverensstämma med ASIM-konventioner. Befintliga Microsoft-parsare kommer att underhållasThreatRiskLevelOriginalfram till den 1 maj 2023. - Markerat
EventResultDetailssom rekommenderat och angett de tillåtna värdena.
Följande är ändringarna i version 0.2.5 av schemat:
- Fälten har lagts till
DstUserScope,SrcUserScope,SrcDvcScopeIdSrcDvcScope,DstDvcScopeId,DstDvcScope,DvcScopeIdochDvcScope.
Följande är ändringarna i version 0.2.6 av schemat:
- IDS har lagts till som händelsetyp
Nästa steg
Mer information finns i: