Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Normaliseringsschemat för Microsoft Sentinel nätverkssession representerar en IP-nätverksaktivitet, till exempel nätverksanslutningar och nätverkssessioner. Sådana händelser rapporteras till exempel av operativsystem, routrar, brandväggar och intrångsskyddssystem.
Schemat för nätverksnormalisering kan representera vilken typ av IP-nätverkssession som helst men är utformat för att ge stöd för vanliga källtyper, till exempel Netflow, brandväggar och intrångsskyddssystem.
Mer information om normalisering i Microsoft Sentinel finns i Normalisering och ASIM (Advanced Security Information Model).
Tolkar
Mer information om ASIM-parsers finns i översikten över ASIM-parsers.
Förena parsrar
Använd parsern om du vill använda parsers som förenar alla ASIM-parsers och se till att analysen körs över alla konfigurerade källor _Im_NetworkSession .
Färdiga källspecifika parsers
Listan över parsare för nätverkssessioner Microsoft Sentinel innehåller färdiga anvisningar finns i asim-parsers-listan
Lägg till dina egna normaliserade parsers
När du utvecklar anpassade parsers för informationsmodellen för nätverkssessioner namnger du dina KQL-funktioner med följande syntax:
-
vimNetworkSession<vendor><Product>för parametriserade parsers -
ASimNetworkSession<vendor><Product>för vanliga parsers
Läs artikeln Hantera ASIM-parsers för att lära dig hur du lägger till dina anpassade parsers i nätverkssessionens enande parsers.
Filtrera parserparametrar
Nätverkssessionsparsers stöder filtreringsparametrar. Även om de här parametrarna är valfria kan de förbättra frågeprestandan.
Följande filtreringsparametrar är tillgängliga:
| Namn | Typ | Beskrivning |
|---|---|---|
| Starttime | Datetime | Filtrera endast nätverkssessioner som startade vid eller efter den här tiden. Den här parametern filtrerar fältet TimeGenerated , som är standarddesignatorn för tidpunkten för händelsen, oavsett parserspecifik mappning av fälten EventStartTime och EventEndTime. |
| Endtime | Datetime | Filtrera endast nätverkssessioner som började köras vid eller före den här tiden. Den här parametern filtrerar fältet TimeGenerated , som är standarddesignatorn för tidpunkten för händelsen, oavsett parserspecifik mappning av fälten EventStartTime och EventEndTime. |
| srcipaddr_has_any_prefix | Dynamisk | Filtrera endast nätverkssessioner där käll-IP-adressfältets prefix finns i något av de angivna värdena. Prefix ska sluta med , .till exempel: 10.0.. Listans längd är begränsad till 10 000 objekt. |
| dstipaddr_has_any_prefix | Dynamisk | Filtrera endast nätverkssessioner där mål-IP-adressfältets prefix finns i något av de angivna värdena. Prefix ska sluta med , .till exempel: 10.0.. Listans längd är begränsad till 10 000 objekt. |
| ipaddr_has_any_prefix | Dynamisk | Filtrera endast nätverkssessioner där mål-IP-adressfältet eller källans IP-adressfältprefix finns i något av de angivna värdena. Prefix ska sluta med , .till exempel: 10.0.. Listans längd är begränsad till 10 000 objekt.Fältet ASimMatchingIpAddr anges med ett av värdena SrcIpAddr, DstIpAddreller Both för att återspegla matchande fält eller fält. |
| dstportnumber | Int | Filtrera endast nätverkssessioner med det angivna målportnumret. |
| hostname_has_any | dynamisk/sträng | Filtrera endast nätverkssessioner där fältet för målvärdnamn har något av värdena i listan. Listans längd är begränsad till 10 000 objekt. Fältet ASimMatchingHostname anges med ett av värdena SrcHostname, DstHostname, eller Both för att återspegla matchande fält eller fält. |
| dvcaction | dynamisk/sträng | Filtrera endast nätverkssessioner där fältet Enhetsåtgärd är något av de värden som anges. |
| eventresult | Sträng | Filtrera endast nätverkssessioner med ett specifikt EventResult-värde . |
Vissa parametrar kan acceptera både en lista med värden av typen dynamic eller ett enda strängvärde. Om du vill skicka en literallista till parametrar som förväntar sig ett dynamiskt värde använder du uttryckligen en dynamisk literal. Till exempel: dynamic(['192.168.','10.'])
Om du till exempel bara vill filtrera nätverkssessioner för en angiven lista över domännamn använder du:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
Tips
Om du vill skicka en literallista till parametrar som förväntar sig ett dynamiskt värde använder du uttryckligen en dynamisk literal. Till exempel: dynamic(['192.168.','10.']).
Normaliserat innehåll
En fullständig lista över analysregler som använder normaliserade DNS-händelser finns i Nätverkssessionens säkerhetsinnehåll.
Schemaöversikt
Informationsmodellen för nätverkssessioner är anpassad till OSSEM-nätverkets entitetsschema.
Schemat för nätverkssessionen innehåller flera typer av liknande men distinkta scenarier som delar samma fält. Dessa scenarier identifieras av fältet EventType:
-
NetworkSession– en nätverkssession som rapporteras av en mellanliggande enhet som övervakar nätverket, till exempel en brandvägg, en router eller en nätverkstapp. -
L2NetworkSession– en nätverkssession där endast nivå 2-information är tillgänglig. Sådana händelser inkluderar MAC-adresser men inte IP-adresser. -
Flow– en aggregerad händelse som rapporterar flera liknande nätverkssessioner, vanligtvis under en fördefinierad tidsperiod, till exempel Netflow-händelser . -
EndpointNetworkSession– en nätverkssession som rapporterats av någon av slutpunkterna i sessionen, inklusive klienter och servrar. För sådana händelser stöder schemat fälten ochlocalaliasfältenremote. -
IDS– en nätverkssession rapporterad som misstänkt. En sådan händelse har några av inspektionsfälten ifyllda och kan bara ha ett IP-adressfält ifyllt, antingen källan eller målet.
Vanligtvis bör en fråga antingen välja en delmängd av dessa händelsetyper och kan behöva hantera separat unika aspekter av användningsfallen. IDS-händelser återspeglar till exempel inte hela nätverksvolymen och bör inte beaktas i kolumnbaserad analys.
Nätverkssessionshändelser använder beskrivningarna Src och Dst anger rollerna för de enheter och relaterade användare och program som ingår i sessionen. Till exempel heter SrcHostname källenhetens värdnamn och IP-adress och SrcIpAddr. Andra ASIM-scheman används Target vanligtvis i stället för Dst.
För händelser som rapporteras av en slutpunkt och för vilka händelsetypen är EndpointNetworkSessionanger deskriptorerna Local och Remote själva slutpunkten och enheten i den andra änden av nätverkssessionen.
Dvc Beskrivningen används för rapporteringsenheten, som är det lokala systemet för sessioner som rapporteras av en slutpunkt, och mellanliggande enhet eller nätverkstryckning för andra nätverkssessionshändelser.
Schemainformation
Vanliga ASIM-fält
Viktigt
Fält som är gemensamma för alla scheman beskrivs i detalj i artikeln vanliga ASIM-fält .
Vanliga fält med specifika riktlinjer
I följande lista nämns fält som har specifika riktlinjer för nätverkssessionshändelser:
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| EventCount | Obligatorisk | Heltal | Netflow-källor stöder aggregering och fältet EventCount ska anges till värdet för fältet Netflow FLOWS . För andra källor är värdet vanligtvis inställt på 1. |
| Eventtype | Obligatorisk | Uppräknade | Beskriver scenariot som rapporterats av posten. För nätverkssessionsposter är de tillåtna värdena: - EndpointNetworkSession- NetworkSession - L2NetworkSession- IDS - FlowMer information om händelsetyper finns i schemaöversikten |
| EventSubType | Valfritt | Uppräknade | Ytterligare beskrivning av händelsetypen, om tillämpligt. För nätverkssessionsposter är följande värden som stöds: - Start- EndDet här är ett fält som inte är relevant för Flow händelser. |
| EventResult | Obligatorisk | Uppräknade | Om källenheten inte ger något händelseresultat bör EventResult baseras på värdet för DvcAction. Om DvcAction är Deny, Drop, Drop ICMP, Reset, Reset Sourceeller Reset Destinationbör EventResult vara Failure. Annars bör EventResult vara Success. |
| EventResultDetails | Rekommenderas | Uppräknade | Orsak eller information för resultatet som rapporteras i fältet EventResult . Värden som stöds är: -Failover – Ogiltig TCP – Ogiltig tunnel – Maximalt återförsök -Återställa – Routningsproblem -Simulering -Avslutas -Timeout – Tillfälligt fel -Okänd -NA. Det ursprungliga källspecifika värdet lagras i fältet EventOriginalResultDetails . |
| EventSchema | Obligatorisk | Uppräknade | Namnet på schemat som dokumenteras här är NetworkSession. |
| EventSchemaVersion | Obligatorisk | SchemaVersion (sträng) | Versionen av schemat. Den version av schemat som dokumenteras här är 0.2.7. |
| DvcAction | Rekommenderas | Uppräknade | Åtgärden som vidtas i nätverkssessionen. Värden som stöds är: - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNrouteObs! Värdet kan anges i källposten med hjälp av olika termer, som bör normaliseras till dessa värden. Det ursprungliga värdet ska lagras i fältet DvcOriginalAction . Exempel: drop |
| EventSeverity | Valfritt | Uppräknade | Om källenheten inte anger någon allvarlighetsgrad för händelsen bör EventSeverity baseras på värdet för DvcAction. Om DvcAction är Deny, Drop, Drop ICMP, Reset, Reset Sourceeller Reset Destination, EventSeverity ska vara Low. Annars bör EventSeverity vara Informational. |
| DvcInterface | Fältet DvcInterface ska ha aliaset DvcInboundInterface eller DvcOutboundInterface-fälten . | ||
| Dvc-fält | För nätverkssessionshändelser refererar enhetsfälten till systemet som rapporterar nätverkssessionshändelsen. |
Alla vanliga fält
Fält som visas i tabellen nedan är gemensamma för alla ASIM-scheman. Eventuella riktlinjer som anges ovan åsidosätter de allmänna riktlinjerna för fältet. Ett fält kan till exempel vara valfritt i allmänhet, men obligatoriskt för ett visst schema. Mer information om varje fält finns i artikeln vanliga ASIM-fält .
| Klass | Fält |
|---|---|
| Obligatorisk |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Rekommenderas |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valfritt |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Nätverkssessionsfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| NetworkApplicationProtocol | Valfritt | Sträng | Protokollet på programnivå som används av anslutningen eller sessionen. Värdet ska vara i versaler. Exempel: FTP |
| NetworkProtocol | Valfritt | Uppräknade | IP-protokollet som används av anslutningen eller sessionen enligt listan i IANA-protokolltilldelningen, som vanligtvis TCPär , UDPeller ICMP.Exempel: TCP |
| NetworkProtocolVersion | Valfritt | Uppräknade | Versionen av NetworkProtocol. När du använder den för att skilja mellan IP-version använder du värdena IPv4 och IPv6. |
| NetworkDirection | Valfritt | Uppräknade | Riktningen för anslutningen eller sessionen: – För EventType NetworkSession, Flow eller L2NetworkSession, representerar NetworkDirection riktningen i förhållande till organisationens eller molnmiljöns gräns. Värden som stöds är Inbound, Outbound, Local (för organisationen), External (för organisationen) eller NA (ej tillämpligt).– För EventType EndpointNetworkSession representerar NetworkDirection riktningen i förhållande till slutpunkten. Värden som stöds är Inbound, Outbound, Local (för systemet) Listen eller NA (ej tillämpligt). Värdet Listen anger att en enhet har börjat acceptera nätverksanslutningar men inte nödvändigtvis är ansluten. |
| NetworkDuration | Valfritt | Heltal | Hur lång tid, i millisekunder, för slutförandet av nätverkssessionen eller anslutningen. Exempel: 1500 |
| Varaktighet | Alias | Alias för NetworkDuration. | |
| NetworkIcmpType | Valfritt | Sträng | För ett ICMP-meddelande skriver ICMP-typnamnet som är associerat med det numeriska värdet, enligt beskrivningen i RFC 2780 för IPv4-nätverksanslutningar eller i RFC 4443 för IPv6-nätverksanslutningar. Exempel: Destination Unreachable för NetworkIcmpCode 3 |
| NetworkIcmpCode | Valfritt | Heltal | För ett ICMP-meddelande, ICMP-kodnumret enligt beskrivningen i RFC 2780 för IPv4-nätverksanslutningar, eller i RFC 4443 för IPv6-nätverksanslutningar. |
| NetworkConnectionHistory | Valfritt | Sträng | TCP-flaggor och annan potentiell INFORMATION om IP-huvuden. |
| DstBytes | Rekommenderas | Lång | Antalet byte som skickas från målet till källan för anslutningen eller sessionen. Om händelsen aggregeras ska DstBytes vara summan för alla aggregerade sessioner. Exempel: 32455 |
| SrcBytes | Rekommenderas | Lång | Antalet byte som skickas från källan till målet för anslutningen eller sessionen. Om händelsen aggregeras ska SrcBytes vara summan för alla aggregerade sessioner. Exempel: 46536 |
| Nätverksbyte | Valfritt | Lång | Antal byte som skickats i båda riktningarna. Om både BytesReceived och BytesSent finns ska BytesTotal vara lika med summan. Om händelsen aggregeras ska NetworkBytes vara summan för alla aggregerade sessioner. Exempel: 78991 |
| DstPackets | Valfritt | Lång | Antalet paket som skickas från målet till källan för anslutningen eller sessionen. Innebörden av ett paket definieras av rapporteringsenheten. Om händelsen aggregeras ska DstPackets vara summan för alla aggregerade sessioner. Exempel: 446 |
| SrcPackets | Valfritt | Lång | Antalet paket som skickas från källan till målet för anslutningen eller sessionen. Innebörden av ett paket definieras av rapporteringsenheten. Om händelsen aggregeras ska SrcPackets vara summan för alla aggregerade sessioner. Exempel: 6478 |
| NetworkPackets | Valfritt | Lång | Antalet paket som skickas i båda riktningarna. Om både PacketsReceived och PacketsSent finns bör PacketsTotal vara lika med summan. Innebörden av ett paket definieras av rapporteringsenheten. Om händelsen aggregeras ska NetworkPackets vara summan för alla aggregerade sessioner. Exempel: 6924 |
| NetworkSessionId | Valfritt | sträng | Sessionsidentifieraren som rapporteras av rapporteringsenheten. Exempel: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| Sessionid | Alias | Sträng | Alias för NetworkSessionId. |
| TcpFlagsAck | Valfritt | Boolesk | TCP ACK-flaggan rapporterades. Bekräftelseflaggan används för att bekräfta att ett paket har mottagits. Som vi kan se i diagrammet ovan skickar mottagaren en ACK och en SYN i det andra steget i trevägshandskakningsprocessen för att berätta för avsändaren att den tog emot sitt första paket. |
| TcpFlagsFin | Valfritt | Boolesk | TCP FIN-flaggan rapporterade. Den färdiga flaggan innebär att det inte finns några fler data från avsändaren. Därför används det i det senaste paketet som skickades från avsändaren. |
| TcpFlagsSyn | Valfritt | Boolesk | TCP SYN-flaggan rapporterades. Synkroniseringsflaggan används som ett första steg för att upprätta en trevägshandskakning mellan två värdar. Endast det första paketet från både avsändaren och mottagaren ska ha den här flaggan inställd. |
| TcpFlagsUrg | Valfritt | Boolesk | TCP URG-flaggan rapporterades. Den brådskande flaggan används för att meddela mottagaren att bearbeta de brådskande paketen innan alla andra paket bearbetas. Mottagaren meddelas när alla kända brådskande uppgifter har tagits emot. Mer information finns i RFC 6093 . |
| TcpFlagsPsh | Valfritt | Boolesk | TCP PSH-flaggan rapporterades. Push-flaggan liknar URG-flaggan och instruerar mottagaren att bearbeta dessa paket när de tas emot i stället för att buffrar dem. |
| TcpFlagsRst | Valfritt | Boolesk | TCP RST-flaggan rapporterades. Återställningsflaggan skickas från mottagaren till avsändaren när ett paket skickas till en viss värd som inte förväntade sig det. |
| TcpFlagsEce | Valfritt | Boolesk | TCP ECE-flaggan rapporterade. Den här flaggan ansvarar för att ange om TCP-peer är ECN-kompatibel. Mer information finns i RFC 3168 . |
| TcpFlagsCwr | Valfritt | Boolesk | TCP CWR-flaggan rapporterades. Flaggan Minskad överbelastningsfönster används av den sändande värden för att indikera att den har tagit emot ett paket med ECE-flaggan angiven. Mer information finns i RFC 3168 . |
| TcpFlagsNs | Valfritt | Boolesk | TCP NS-flaggan rapporterades. Nonce-summaflaggan är fortfarande en experimentell flagga som används för att skydda mot oavsiktligt skadligt döljande av paket från avsändaren. Mer information finns i RFC 3540 |
Målsystemfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Dst | Alias | En unik identifierare för den server som tar emot DNS-begäran. Det här fältet kan vara alias för fälten DstDvcId, DstHostname eller DstIpAddr . Exempel: 192.168.12.1 |
|
| DstIpAddr | Rekommenderas | IP-adress | IP-adressen för anslutningen eller sessionsmålet. Om sessionen använder översättning av nätverksadresser DstIpAddr är den offentligt synliga adressen och inte källans ursprungliga adress, som lagras i DstNatIpAddrExempel: 2001:db8::ff00:42:8329Obs! Det här värdet är obligatoriskt om DstHostname har angetts . |
| DstPortNumber | Valfritt | Heltal | Målets IP-port. Exempel: 443 |
| DstHostname | Rekommenderas | Värdnamn (sträng) | Målenhetens värdnamn, exklusive domäninformation. Om inget enhetsnamn är tillgängligt lagrar du relevant IP-adress i det här fältet. Exempel: DESKTOP-1282V4D |
| DstDomain | Rekommenderas | Domän (sträng) | Målenhetens domän. Exempel: Contoso |
| DstDomainType | Villkorsstyrd | Uppräknade | Typ av DstDomain. En lista över tillåtna värden och ytterligare information finns i DomainType i artikeln Schemaöversikt. Krävs om DstDomain används. |
| DstFQDN | Valfritt | FQDN (sträng) | Målenhetens värdnamn, inklusive domäninformation när det är tillgängligt. Exempel: Contoso\DESKTOP-1282V4D Obs! Det här fältet stöder både traditionellt FQDN-format och Windows-domän\värddatornamnformat. DstDomainType återspeglar det format som används. |
| DstDvcId | Valfritt | Sträng | Målenhetens ID. Om flera ID:t är tillgängliga använder du det viktigaste och lagrar de andra i fälten DstDvc<DvcIdType>. Exempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | Valfritt | Sträng | Molnplattformens omfångs-ID som enheten tillhör. DstDvcScopeId mappas till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
| DstDvcScope | Valfritt | Sträng | Molnplattformsomfånget som enheten tillhör. DstDvcScope mappas till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
| DstDvcIdType | Villkorsstyrd | Uppräknade | Typ av DstDvcId. En lista över tillåtna värden och ytterligare information finns i DvcIdType i artikeln Schemaöversikt. Krävs om DstDeviceId används. |
| DstDeviceType | Valfritt | Uppräknade | Typ av målenhet. En lista över tillåtna värden och ytterligare information finns i DeviceType i artikeln Schemaöversikt. |
| DstZone | Valfritt | Sträng | Målets nätverkszon enligt definitionen i rapporteringsenheten. Exempel: Dmz |
| DstInterfaceName | Valfritt | Sträng | Nätverksgränssnittet som används för anslutningen eller sessionen av målenheten. Exempel: Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | Valfritt | GUID (sträng) | GUID för nätverksgränssnittet som används på målenheten. Exempel: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | Valfritt | MAC-adress (sträng) | MAC-adressen för nätverksgränssnittet som används för anslutningen eller sessionen av målenheten. Exempel: 06:10:9f:eb:8f:14 |
| DstVlanId | Valfritt | Sträng | Det VLAN-ID som är relaterat till målenheten. Exempel: 130 |
| OuterVlanId | Alias | Alias för DstVlanId. I många fall kan VLAN inte fastställas som en källa eller ett mål, men det karakteriseras som inre eller yttre. Det här aliaset betyder att DstVlanId ska användas när VLAN karakteriseras som yttre. |
|
| DstGeoCountry | Valfritt | Land | Det land/den region som är associerad med mål-IP-adressen. Mer information finns i Logiska typer. Exempel: USA |
| DstGeoRegion | Valfritt | Region | Den region eller det tillstånd som är associerat med målets IP-adress. Mer information finns i Logiska typer. Exempel: Vermont |
| DstGeoCity | Valfritt | Ort | Den stad som är associerad med målets IP-adress. Mer information finns i Logiska typer. Exempel: Burlington |
| DstGeoLatitude | Valfritt | Latitude | Latitud för den geografiska koordinat som är associerad med målets IP-adress. Mer information finns i Logiska typer. Exempel: 44.475833 |
| DstGeoLongitude | Valfritt | Longitud | Longitud för den geografiska koordinat som är associerad med målets IP-adress. Mer information finns i Logiska typer. Exempel: 73.211944 |
| DstDescription | Valfritt | Sträng | En beskrivande text som är associerad med enheten. Till exempel: Primary Domain Controller. |
Målanvändarfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| DstUserId | Valfritt | Sträng | En maskinläsbar, alfanumerisk, unik representation av målanvändaren. Det format som stöds för olika ID-typer finns i entiteten Användare. Exempel: S-1-12 |
| DstUserScope | Valfritt | Sträng | Omfånget, till exempel Microsoft Entra klientorganisation, där DstUserId och DstUsername definieras. eller mer information och lista över tillåtna värden finns i UserScope i artikeln Schemaöversikt. |
| DstUserScopeId | Valfritt | Sträng | Omfångs-ID, till exempel Microsoft Entra Katalog-ID, där DstUserId och DstUsername definieras. Mer information och lista över tillåtna värden finns i UserScopeId i artikeln Schemaöversikt. |
| DstUserIdType | Villkorsstyrd | UserIdType | Typen av ID som lagras i fältet DstUserId . En lista över tillåtna värden och ytterligare information finns i UserIdType i artikeln Schemaöversikt. |
| DstUsername | Valfritt | Användarnamn (sträng) | Målanvändarnamnet, inklusive domäninformation när det är tillgängligt. Det format som stöds för olika ID-typer finns i entiteten Användare. Använd bara det enkla formuläret om domäninformation inte är tillgänglig. Lagra användarnamnstypen i fältet DstUsernameType . Om andra användarnamnsformat är tillgängliga lagrar du dem i fälten DstUsername<UsernameType>.Exempel: AlbertE |
| Användaren | Alias | Alias för DstUsername. | |
| DstUsernameType | Villkorsstyrd | UsernameType | Anger typen av användarnamn som lagras i fältet DstUsername . En lista över tillåtna värden och ytterligare information finns i UsernameType i artikeln Schemaöversikt. Exempel: Windows |
| DstUserType | Valfritt | UserType | Typ av målanvändare. En lista över tillåtna värden och ytterligare information finns i UserType i artikeln Schemaöversikt. Obs! Värdet kan anges i källposten med hjälp av olika termer, som bör normaliseras till dessa värden. Lagra det ursprungliga värdet i fältet DstOriginalUserType . |
| DstOriginalUserType | Valfritt | Sträng | Den ursprungliga målanvändartypen, om den tillhandahålls av källan. |
Målprogramfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| DstAppName | Valfritt | Sträng | Namnet på målprogrammet. Exempel: Facebook |
| DstAppId | Valfritt | Sträng | ID:t för målprogrammet enligt rapporteringsenheten. Om DstAppType är Processoch DstAppIdDstProcessId ska ha samma värde.Exempel: 124 |
| DstAppType | Valfritt | AppType | Typ av målprogram. En lista över tillåtna värden och ytterligare information finns i AppType i artikeln Schemaöversikt. Det här fältet är obligatoriskt om DstAppName eller DstAppId används. |
| DstProcessName | Valfritt | Sträng | Filnamnet på processen som avslutade nätverkssessionen. Det här namnet anses vanligtvis vara processnamnet. Exempel: C:\Windows\explorer.exe |
| Process | Alias | Alias till DstProcessName Exempel: C:\Windows\System32\rundll32.exe |
|
| DstProcessId | Valfritt | Sträng | Process-ID (PID) för processen som avslutade nätverkssessionen. Exempel: 48610176 Obs! Typen definieras som sträng för att stödja olika system, men i Windows och Linux måste det här värdet vara numeriskt. Om du använder en Windows- eller Linux dator och använder en annan typ ska du konvertera värdena. Om du till exempel använde ett hexadecimalt värde konverterar du det till ett decimalvärde. |
| DstProcessGuid | Valfritt | Sträng | En genererad unik identifierare (GUID) för processen som avslutade nätverkssessionen. Exempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Källsystemfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Src | Alias | En unik identifierare för källenheten. Det här fältet kan vara alias för fälten SrcDvcId, SrcHostname eller SrcIpAddr . Exempel: 192.168.12.1 |
|
| SrcIpAddr | Rekommenderas | IP-adress | IP-adressen som anslutningen eller sessionen kommer från. Det här värdet är obligatoriskt om SrcHostname anges. Om sessionen använder översättning av nätverksadresser SrcIpAddr är den offentligt synliga adressen och inte källans ursprungliga adress, som lagras i SrcNatIpAddrExempel: 77.138.103.108 |
| SrcPortNumber | Valfritt | Heltal | IP-porten som anslutningen kommer från. Kanske inte är relevant för en session som består av flera anslutningar. Exempel: 2335 |
| SrcHostname | Rekommenderas | Värdnamn (sträng) | Källenhetens värdnamn, exklusive domäninformation. Om inget enhetsnamn är tillgängligt lagrar du relevant IP-adress i det här fältet. Exempel: DESKTOP-1282V4D |
| SrcDomain | Rekommenderas | Domän (sträng) | Källenhetens domän. Exempel: Contoso |
| SrcDomainType | Villkorsstyrd | DomainType | Typ av SrcDomain. En lista över tillåtna värden och ytterligare information finns i DomainType i artikeln Schemaöversikt. Krävs om SrcDomain används. |
| SrcFQDN | Valfritt | FQDN (sträng) | Källenhetens värdnamn, inklusive domäninformation när det är tillgängligt. Obs! Det här fältet stöder både traditionellt FQDN-format och Windows-domän\värddatornamnformat. Fältet SrcDomainType återspeglar det format som används. Exempel: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Valfritt | Sträng | Källenhetens ID. Om flera ID:t är tillgängliga använder du det viktigaste och lagrar de andra i fälten SrcDvc<DvcIdType>.Exempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Valfritt | Sträng | Molnplattformens omfångs-ID som enheten tillhör. SrcDvcScopeId mappas till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
| SrcDvcScope | Valfritt | Sträng | Molnplattformsomfånget som enheten tillhör. SrcDvcScope mappar till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
| SrcDvcIdType | Villkorsstyrd | DvcIdType | Typ av SrcDvcId. En lista över tillåtna värden och ytterligare information finns i DvcIdType i artikeln Schemaöversikt. Obs! Det här fältet krävs om SrcDvcId används. |
| SrcDeviceType | Valfritt | DeviceType | Typ av källenhet. En lista över tillåtna värden och ytterligare information finns i DeviceType i artikeln Schemaöversikt. |
| SrcZone | Valfritt | Sträng | Källans nätverkszon enligt definitionen i rapporteringsenheten. Exempel: Internet |
| SrcInterfaceName | Valfritt | Sträng | Nätverksgränssnittet som används för anslutningen eller sessionen av källenheten. Exempel: eth01 |
| SrcInterfaceGuid | Valfritt | GUID (sträng) | GUID för nätverksgränssnittet som används på källenheten. Exempel: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | Valfritt | MAC-adress (sträng) | MAC-adressen för nätverksgränssnittet som anslutningen eller sessionen kommer från. Exempel: 06:10:9f:eb:8f:14 |
| SrcVlanId | Valfritt | Sträng | Det VLAN-ID som är relaterat till källenheten. Exempel: 130 |
| InnerVlanId | Alias | Alias för SrcVlanId. I många fall kan VLAN inte fastställas som en källa eller ett mål, men det karakteriseras som inre eller yttre. Det här aliaset betyder att SrcVlanId ska användas när VLAN karakteriseras som inre. |
|
| SrcGeoCountry | Valfritt | Land | Det land/den region som är associerad med källans IP-adress. Exempel: USA |
| SrcGeoRegion | Valfritt | Region | Den region som är associerad med källans IP-adress. Exempel: Vermont |
| SrcGeoCity | Valfritt | Ort | Den ort som är associerad med källans IP-adress. Exempel: Burlington |
| SrcGeoLatitude | Valfritt | Latitude | Latitud för den geografiska koordinat som är associerad med källans IP-adress. Exempel: 44.475833 |
| SrcGeoLongitude | Valfritt | Longitud | Longitud för den geografiska koordinat som är associerad med källans IP-adress. Exempel: 73.211944 |
| SrcDescription | Valfritt | Sträng | En beskrivande text som är associerad med enheten. Till exempel: Primary Domain Controller. |
Källanvändarfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| SrcUserId | Valfritt | Sträng | En maskinläsbar, alfanumerisk, unik representation av källanvändaren. Det format som stöds för olika ID-typer finns i entiteten Användare. Exempel: S-1-12 |
| SrcUserScope | Valfritt | Sträng | Omfånget, till exempel Microsoft Entra klientorganisation, där SrcUserId och SrcUsername definieras. eller mer information och lista över tillåtna värden finns i UserScope i artikeln Schemaöversikt. |
| SrcUserScopeId | Valfritt | Sträng | Omfångs-ID, till exempel Microsoft Entra katalog-ID, där SrcUserId och SrcUsername definieras. Mer information och lista över tillåtna värden finns i UserScopeId i artikeln Schemaöversikt. |
| SrcUserIdType | Villkorsstyrd | UserIdType | Typen av ID som lagras i fältet SrcUserId . En lista över tillåtna värden och ytterligare information finns i UserIdType i artikeln Schemaöversikt. |
| SrcUsername | Valfritt | Användarnamn (sträng) | Källans användarnamn, inklusive domäninformation när det är tillgängligt. Det format som stöds för olika ID-typer finns i entiteten Användare. Använd bara det enkla formuläret om domäninformation inte är tillgänglig. Lagra användarnamnstypen i fältet SrcUsernameType . Om andra användarnamnsformat är tillgängliga lagrar du dem i fälten SrcUsername<UsernameType>.Exempel: AlbertE |
| SrcUsernameType | Villkorsstyrd | UsernameType | Anger typen av användarnamn som lagras i fältet SrcUsername . En lista över tillåtna värden och ytterligare information finns i UsernameType i artikeln Schemaöversikt. Exempel: Windows |
| SrcUserType | Valfritt | UserType | Typ av källanvändare. En lista över tillåtna värden och ytterligare information finns i UserType i artikeln Schemaöversikt. Obs! Värdet kan anges i källposten med hjälp av olika termer, som bör normaliseras till dessa värden. Lagra det ursprungliga värdet i fältet SrcOriginalUserType . |
| SrcOriginalUserType | Valfritt | Sträng | Den ursprungliga målanvändartypen, om den tillhandahålls av rapporteringsenheten. |
Källprogramfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| SrcAppName | Valfritt | Sträng | Namnet på källprogrammet. Exempel: filezilla.exe |
| SrcAppId | Valfritt | Sträng | ID:t för källprogrammet enligt rapporteringsenheten. Om SrcAppType är Processoch SrcAppIdSrcProcessId ska ha samma värde.Exempel: 124 |
| SrcAppType | Valfritt | AppType | Typ av källprogram. En lista över tillåtna värden och ytterligare information finns i AppType i artikeln Schemaöversikt. Det här fältet är obligatoriskt om SrcAppName eller SrcAppId används. |
| SrcProcessName | Valfritt | Sträng | Filnamnet på den process som initierade nätverkssessionen. Det här namnet anses vanligtvis vara processnamnet. Exempel: C:\Windows\explorer.exe |
| SrcProcessId | Valfritt | Sträng | Process-ID (PID) för den process som initierade nätverkssessionen. Exempel: 48610176 Obs! Typen definieras som sträng för att stödja olika system, men i Windows och Linux måste det här värdet vara numeriskt. Om du använder en Windows- eller Linux dator och använder en annan typ ska du konvertera värdena. Om du till exempel använde ett hexadecimalt värde konverterar du det till ett decimalvärde. |
| SrcProcessGuid | Valfritt | Sträng | En genererad unik identifierare (GUID) för processen som initierade nätverkssessionen. Exempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Lokala alias och fjärralias
Alla käll- och målfält som anges ovan kan eventuellt aliaseras efter fält med samma namn och deskriptorerna Local och Remote. Detta är vanligtvis användbart för händelser som rapporteras av en slutpunkt och för vilka händelsetypen är EndpointNetworkSession.
För sådana händelser beskriver deskriptorerna Local och Remote anger själva slutpunkten och enheten i den andra änden av nätverkssessionen. För inkommande anslutningar är det lokala systemet målet, Local fälten är alias för fälten Dst och "Fjärrfält" är alias för Src fält. När det gäller utgående anslutningar är det lokala systemet källan, Local fälten är alias för fälten Src och Remote fält är alias för Dst fält.
För en inkommande händelse är fältet LocalIpAddr till exempel ett alias för DstIpAddr och fältet RemoteIpAddr är ett alias för SrcIpAddr.
Värdnamn och IP-adressalias
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Värdnamn | Alias | – Om händelsetypen är NetworkSession, Flow eller L2NetworkSession, är Värdnamn ett alias för DstHostname.– Om händelsetypen är EndpointNetworkSessionär värdnamnet ett alias för RemoteHostname, som kan aliaset DstHostname eller SrcHostName, beroende på NetworkDirection |
|
| IpAddr | Alias | – Om händelsetypen är NetworkSession, Flow eller L2NetworkSession, är IpAddr ett alias för SrcIpAddr.– Om händelsetypen är EndpointNetworkSessionär IpAddr ett alias till LocalIpAddr, som kan aliaset SrcIpAddr eller DstIpAddr, beroende på NetworkDirection. |
Nat-fält (Mellanliggande enhet och NAT)
Följande fält är användbara om posten innehåller information om en mellanliggande enhet, till exempel en brandvägg eller en proxy, som vidarebefordrar nätverkssessionen.
Mellanliggande system använder ofta adressöversättning och därför är den ursprungliga adressen och den adress som observeras externt inte densamma. I sådana fall representerar de primära adressfälten som SrcIPAddr och DstIpAddr de adresser som observerats externt, medan NAT-adressfälten SrcNatIpAddr och DstNatIpAddr representerar den ursprungliga enhetens interna adress före översättning.
Kontrollfält
Följande fält används för att representera den inspektion som en säkerhetsenhet, till exempel en brandvägg, en IPS eller en webbsäkerhetsgateway har utfört:
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| NetworkRuleName | Valfritt | Sträng | Namnet eller ID:t för regeln som DvcAction beslutades om. Exempel: AnyAnyDrop |
| NetworkRuleNumber | Valfritt | Heltal | Antalet av regeln som DvcAction beslutades om. Exempel: 23 |
| Regel | Alias | Sträng | Antingen värdet för NetworkRuleName eller värdet för NetworkRuleNumber. Om värdet för NetworkRuleNumber används ska typen konverteras till sträng. |
| ThreatId | Valfritt | Sträng | ID:t för det hot eller den skadliga kod som identifierades i nätverkssessionen. Exempel: Tr.124 |
| ThreatName | Valfritt | Sträng | Namnet på det hot eller den skadliga kod som identifieras i nätverkssessionen. Exempel: EICAR Test File |
| ThreatCategory | Valfritt | Sträng | Kategorin för det hot eller den skadliga kod som identifieras i nätverkssessionen. Exempel: Trojan |
| ThreatRiskLevel | Valfritt | RiskLevel (heltal) | Risknivån som är associerad med sessionen. Nivån ska vara ett tal mellan 0 och 100. Obs! Värdet kan anges i källposten med hjälp av en annan skala, som ska normaliseras till den här skalan. Det ursprungliga värdet ska lagras i ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Valfritt | Sträng | Risknivån som rapporteras av rapporteringsenheten. |
| ThreatIpAddr | Valfritt | IP-adress | En IP-adress för vilken ett hot har identifierats. Fältet ThreatField innehåller namnet på fältet ThreatIpAddr representerar. |
| ThreatField | Villkorsstyrd | Uppräknade | Det fält för vilket ett hot identifierades. Värdet är antingen SrcIpAddr eller DstIpAddr. |
| ThreatConfidence | Valfritt | ConfidenceLevel (heltal) | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatOriginalConfidence | Valfritt | Sträng | Den ursprungliga konfidensnivån för det identifierade hotet, enligt rapporteringsenhetens rapporter. |
| ThreatIsActive | Valfritt | Boolesk | Sant om det identifierade hotet anses vara ett aktivt hot. |
| ThreatFirstReportedTime | Valfritt | Datetime | Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatLastReportedTime | Valfritt | Datetime | Senaste gången IP-adressen eller domänen identifierades som ett hot. |
Andra fält
Om händelsen rapporteras av en av slutpunkterna i nätverkssessionen kan den innehålla information om processen som initierade eller avslutade sessionen. I sådana fall används ASIM-processhändelseschemat för att normalisera den här informationen.
Schemauppdateringar
Följande är ändringarna i version 0.2.1 av schemat:
- Har lagts
Srctill ochDstsom alias till en ledande identifierare för käll- och målsystemen. - Fälten ,
SrcVlanId,DstVlanId,InnerVlanIdochOuterVlanIdhar lagtsNetworkConnectionHistorytill.
Följande är ändringarna i version 0.2.2 av schemat:
- Har lagts till
RemoteochLocalalias. - Händelsetypen har lagts
EndpointNetworkSessiontill. - Definieras
HostnameochIpAddrsom alias förRemoteHostnamerespektiveLocalIpAddrnär händelsetypen ärEndpointNetworkSession. - Definieras
DvcInterfacesom ett alias tillDvcInboundInterfaceellerDvcOutboundInterface. - Ändrade typen av följande fält från Heltal till Lång:
SrcBytes,DstBytes,NetworkBytes,SrcPackets,DstPacketsochNetworkPackets. - Fältet har lagts till
NetworkProtocolVersion. - Inaktuell och
DstUserDomainSrcUserDomain.
Följande är ändringarna i version 0.2.3 av schemat:
- Filtreringsparametern har lagts
ipaddr_has_any_prefixtill. -
hostname_has_anyFiltreringsparametern matchar nu antingen käll- eller målvärdnamn. - Fälten och
ASimMatchingIpAddrhar lagts tillASimMatchingHostname.
Följande är ändringarna i version 0.2.4 av schemat:
- Fälten har lagts till
TcpFlags. - Uppdaterade
NetworkIcpmTypeochNetworkIcmpCodeför att återspegla talvärdet för båda. - Ytterligare kontrollfält har lagts till.
- Fältet "ThreatRiskLevelOriginal" har bytt namn till
ThreatOriginalRiskLevelför att överensstämma med ASIM-konventioner. Befintliga Microsoft-parsare kommer att underhållasThreatRiskLevelOriginalfram till den 1 maj 2023. - Markerad som rekommenderad
EventResultDetailsoch angiven de tillåtna värdena.
Följande är ändringarna i version 0.2.5 av schemat:
- Fälten , , , , , ,
DstDvcScopeochDvcScopeIdDvcScopehar lagtsDstUserScopetill.DstDvcScopeIdSrcDvcScopeSrcDvcScopeIdSrcUserScope
Följande är ändringarna i version 0.2.6 av schemat:
- IDS har lagts till som händelsetyp
Följande är ändringarna i version 0.2.7 av schemat:
- Fälten och har
DstDescriptionlagts tillSrcDescription
Nästa steg
Mer information finns i: