Gelişmiş Güvenlik Bilgileri Modeli (ASIM) Ağ Oturumu normalleştirme şema başvurusu

Microsoft Sentinel Ağ Oturumu normalleştirme şeması, ağ bağlantıları ve ağ oturumları gibi bir IP ağ etkinliğini temsil eder. Bu tür olaylar, örneğin işletim sistemleri, yönlendiriciler, güvenlik duvarları ve izinsiz girişi önleme sistemleri tarafından bildirilir.

Ağ normalleştirme şeması herhangi bir IP ağ oturumu türünü temsil edebilir, ancak Netflow, güvenlik duvarları ve yetkisiz erişim önleme sistemleri gibi ortak kaynak türleri için destek sağlamak üzere tasarlanmıştır.

Microsoft Sentinel'de normalleştirme hakkında daha fazla bilgi için bkz . Normalleştirme ve Gelişmiş Güvenlik Bilgileri Modeli (ASIM).

Çözümleyicileri

ASIM ayrıştırıcıları hakkında daha fazla bilgi için bkz . ASIM ayrıştırıcılarına genel bakış.

Ayrıştırıcıları birleştirme

Tüm ASIM kullanıma alınmış ayrıştırıcıları birleştiren ayrıştırıcıları kullanmak ve çözümlemenizin yapılandırılan tüm kaynaklarda çalıştığından emin olmak için ayrıştırıcıyı _Im_NetworkSession kullanın.

Kullanıma açık, kaynağa özgü ayrıştırıcılar

Ağ Oturumu ayrıştırıcılarının listesi için Microsoft Sentinel kullanıma hazır sağlar ASIM ayrıştırıcıları listesine bakın

Kendi normalleştirilmiş ayrıştırıcılarınızı ekleme

Ağ Oturumu bilgi modeli için özel ayrıştırıcılar geliştirirken aşağıdaki söz dizimini kullanarak KQL işlevlerinizi adlandırın:

• vimNetworkSession<vendor><Product> parametrized ayrıştırıcılar için
• ASimNetworkSession<vendor><Product> normal ayrıştırıcılar için

Ayrıştırıcıları birleştiren ağ oturumuna özel ayrıştırıcılarınızı eklemeyi öğrenmek için ASIM ayrıştırıcılarını yönetme makalesine bakın.

Ayrıştırıcı parametrelerini filtreleme

Ağ Oturumu ayrıştırıcıları filtreleme parametrelerini destekler. Bu parametreler isteğe bağlı olsa da sorgu performansınızı artırabilir.

Aşağıdaki filtreleme parametreleri kullanılabilir:

Adı	Tür	Açıklama
başlangıç zamanı	tarih/zaman	Yalnızca şu anda veya sonrasında başlayan ağ oturumlarını filtreleyin. Bu parametre, EventStartTime ve EventEndTime alanlarının TimeGenerated ayrıştırıcıya özgü eşlemesine bakılmaksızın olay zamanı için standart belirleyici olan alanı filtreler.
bitiş saati	tarih/zaman	Yalnızca şu anda veya öncesinde çalışmaya başlayan ağ oturumlarını filtreleyin. Bu parametre, EventStartTime ve EventEndTime alanlarının TimeGenerated ayrıştırıcıya özgü eşlemesine bakılmaksızın olay zamanı için standart belirleyici olan alanı filtreler.
srcipaddr_has_any_prefix	dinamik	Yalnızca kaynak IP adresi alan ön ekinin listelenen değerlerden birinde yer aldığı ağ oturumlarını filtreleyin. Ön ekler ile .bitmelidir, örneğin: 10.0.. Listenin uzunluğu 10.000 öğeyle sınırlıdır.
dstipaddr_has_any_prefix	dinamik	Yalnızca hedef IP adresi alan ön ekinin listelenen değerlerden birinde yer aldığı ağ oturumlarını filtreleyin. Ön ekler ile .bitmelidir, örneğin: 10.0.. Listenin uzunluğu 10.000 öğeyle sınırlıdır.
ipaddr_has_any_prefix	dinamik	Yalnızca hedef IP adresi alanının veya kaynak IP adresi alanı ön ekinin listelenen değerlerden birinde bulunduğu ağ oturumlarını filtreleyin. Ön ekler ile .bitmelidir, örneğin: 10.0.. Listenin uzunluğu 10.000 öğeyle sınırlıdır. ASimMatchingIpAddr alanı, , SrcIpAddrdeğerlerinden DstIpAddrbiriyle veya Both eşleşen alanları veya alanları yansıtacak şekilde ayarlanır.
dstportnumarası	Int	Yalnızca belirtilen hedef bağlantı noktası numarasına sahip ağ oturumlarını filtreleyin.
hostname_has_any	dinamik/dize	Yalnızca hedef konak adı alanında listelenen değerlerden herhangi birinin bulunduğu ağ oturumlarını filtreleyin. Listenin uzunluğu 10.000 öğeyle sınırlıdır. ASimMatchingHostname alanı , SrcHostnameveya DstHostname değerlerinden Bothbiriyle veya eşleşen alanları veya alanları yansıtacak şekilde ayarlanır.
dvcaction	dinamik/dize	Yalnızca Cihaz Eylemi alanının listelenen değerlerden biri olduğu ağ oturumlarını filtreleyin.
Etkinlik sonucu	Dize	Yalnızca belirli bir EventResult değerine sahip ağ oturumlarını filtreleyin.

Bazı parametreler hem tür dynamic değerleri listesini hem de tek bir dize değerini kabul edebilir. Sabit bir listeyi dinamik değer bekleyen parametrelere geçirmek için, dinamik değişmez değeri açıkça kullanın. Örneğin: dynamic(['192.168.','10.'])

Örneğin, yalnızca belirtilen etki alanı adları listesi için ağ oturumlarını filtrelemek için şunu kullanın:

let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)

İpucu

Sabit bir listeyi dinamik değer bekleyen parametrelere geçirmek için, dinamik değişmez değeri açıkça kullanın. Örneğin: dynamic(['192.168.','10.']).

Normalleştirilmiş içerik

Normalleştirilmiş DNS olaylarını kullanan analiz kurallarının tam listesi için bkz . Ağ oturumu güvenlik içeriği.

Şemaya genel bakış

Ağ Oturumu bilgi modeli, OSSEM Ağ varlık şemasıyla hizalanır.

Ağ Oturumu şeması, aynı alanları paylaşan çeşitli benzer ama farklı senaryo türlerine hizmet eder. Bu senaryolar EventType alanı tarafından tanımlanır:

• NetworkSession - Güvenlik duvarı, yönlendirici veya ağ dokunması gibi ağı izleyen bir ara cihaz tarafından bildirilen bir ağ oturumu.
• L2NetworkSession - yalnızca katman 2 bilgisinin mevcut olduğu bir ağ oturumu. Bu tür olaylar MAC adreslerini içerir ancak IP adreslerini içermez.
• Flow- Genellikle Netflow olayları gibi önceden tanımlanmış bir zaman aralığında birden çok benzer ağ oturumu bildiren toplu bir olay.
• EndpointNetworkSession - istemciler ve sunucular dahil olmak üzere oturumun bitiş noktalarından biri tarafından bildirilen bir ağ oturumu. Bu tür olaylar için şema ve remote diğer ad alanlarını desteklerlocal.
• IDS - şüpheli olarak bildirilen bir ağ oturumu. Böyle bir olayda bazı denetim alanları doldurulur ve kaynak veya hedef olmak üzere yalnızca bir IP adresi alanı doldurulmuş olabilir.

Genellikle sorgunun bu olay türlerinin yalnızca bir alt kümesini seçmesi ve kullanım örneklerinin ayrı benzersiz yönlerini ele alması gerekebilir. Örneğin, IDS olayları ağ biriminin tamamını yansıtmaz ve sütun tabanlı analizde dikkate alınmamalıdır.

Ağ oturumu olayları, tanımlayıcıları Src kullanır ve Dst oturumda yer alan cihazların ve ilgili kullanıcıların ve uygulamaların rollerini belirtir. Bu nedenle, örneğin, kaynak cihaz ana bilgisayar adı ve IP adresi ve SrcHostnameolarak adlandırılırSrcIpAddr. Diğer ASIM şemaları genellikle yerine TargetkullanırDst.

Bir uç nokta tarafından bildirilen ve olay türünün EndpointNetworkSessionolduğu olaylar için, sırasıyla uç noktanın kendisini ve cihazı ağ oturumunun diğer ucunda tanımlar LocalRemote ve belirtir.

Tanımlayıcı Dvc , bir uç nokta tarafından bildirilen oturumlar için yerel sistem olan raporlama cihazı ve diğer ağ oturumu olayları için aracı cihaz veya ağ dokunması için kullanılır.

Şema ayrıntıları

Ortak ASIM alanları

Önemli

Tüm şemalarda ortak olan alanlar ASIM Ortak Alanları makalesinde ayrıntılı olarak açıklanmıştır.

Belirli yönergelere sahip ortak alanlar

Aşağıdaki listede Ağ Oturumu olayları için belirli yönergelere sahip alanlardan bahsediliyor:

Alan	Sınıf	Tür	Açıklama
Olay Sayısı	Zorunlu	Tamsayı	Netflow kaynakları toplamayı destekler ve EventCount alanı Netflow FLOWS alanının değerine ayarlanmalıdır. Diğer kaynaklar için değer genellikle olarak 1ayarlanır.
Olay Türü	Zorunlu	Numaralandırılmış	Kayıt tarafından bildirilen senaryoyu açıklar. Ağ Oturumu kayıtları için izin verilen değerler şunlardır: - EndpointNetworkSession - NetworkSession - L2NetworkSession - IDS - Flow Olay türleri hakkında daha fazla bilgi için şemaya genel bakış bölümüne bakın
EventSubType (Olay Alt Türü)	İsteğe bağlı	Numaralandırılmış	Varsa, olay türünün ek açıklaması. Ağ Oturumu kayıtları için desteklenen değerler şunlardır: - Start - End Bu alan olaylarla Flow ilgili değildir.
Olay Sonucu	Zorunlu	Numaralandırılmış	Kaynak cihaz bir olay sonucu sağlamazsa EventResult, DvcAction değerini temel almalıdır. DvcActionDenyDrop , EventResult olmalıdır Failure. Aksi takdirde EventResult olmalıdırSuccess.
EventResultDetails	Önerilir	Numaralandırılmış	EventResult alanında bildirilen sonucun nedeni veya ayrıntıları. Desteklenen değerler şunlardır: - Yük devretme - Geçersiz TCP - Geçersiz Tünel - En Fazla Yeniden Deneme -Sıfırlama - Yönlendirme sorunu -Simülasyon -Sonlandırıldı -Zaman aşımı - Geçici hata -Bilinmeyen -NA. Özgün, kaynağa özgü değer EventOriginalResultDetails alanında depolanır.
Olay Şeması	Zorunlu	Numaralandırılmış	Burada belgelenen şemanın adıdır NetworkSession.
EventSchemaVersion	Zorunlu	SchemaVersion (Dizeli)	Şema sürümü. Şemanın burada belgelenen sürümüdür 0.2.7.
DvcAction	Önerilir	Numaralandırılmış	Ağ oturumunda gerçekleştirilen eylem. Desteklenen değerler şunlardır: - Allow - Deny - Drop - Drop ICMP - Reset - Reset Source - Reset Destination - Encrypt - Decrypt - VPNroute Not: Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değer bu değerlere normalleştirilmelidir. Özgün değer DvcOriginalAction alanında depolanmalıdır. Örnek: drop
Olay Şiddeti	İsteğe bağlı	Numaralandırılmış	Kaynak cihaz bir olay önem derecesi sağlamıyorsa, EventSeverity DvcAction değerini temel almalıdır. DvcActionDenyDrop , EventSeverity olmalıdır Low. Aksi takdirde EventSeverity olmalıdırInformational.
Dvc Arayüzü			DvcInterface alanı, DvcInboundInterface veya DvcOutboundInterface alanlarının diğer adını almalıdır.
Dvc alanları			Ağ Oturumu olayları için cihaz alanları Ağ Oturumu olayını bildiren sisteme başvurur.

Tüm ortak alanlar

Aşağıdaki tabloda görünen alanlar tüm ASIM şemalarında ortaktır. Yukarıda belirtilen tüm yönergeler, alanın genel yönergelerini geçersiz kılar. Örneğin, bir alan genel olarak isteğe bağlı olabilir, ancak belirli bir şema için zorunlu olabilir. Her alan hakkında daha fazla bilgi için ASIM Ortak Alanları makalesine bakın.

Sınıf	Alanlar
Zorunlu	- Olay Sayısı - Olay Başlangıç Zamanı - EventEndTime (Olay Bitiş Zamanı) - Olay Türü - Olay Sonucu - EventProduct (Etkinlik Ürünü) - Etkinlik Satıcısı - Olay Şeması - EventSchemaVersion - Dvc
Önerilir	- OlaySonuçDetaylar - Olay Şiddeti - EventUid - DvcIpAddr - DvcAna Bilgisayar Adı - DvcEtki Alanı - DvcEtki Alanı Türü - DvcFQDN - DvcId Kimliği - DvcIdType - DvcAction
İsteğe bağlı	- Etkinlik Mesajı - EventSubType (Olay Alt Türü) - EventOriginalUid - EventOriginalType - EventOriginalSubType - OlayOrijinalSonuçDetaylar - OlayOrijinalŞiddet - EventProductVersion (EtkinlikÜrün Sürümü) - EventReportUrl - Etkinlik Sahibi - DvcZone (DvcBölgesi) - DvcMacAddr - DvcO'lar - DvcOsVersion - DvcOriginalAction - Dvc Arayüzü - EkAlanlar - DvcAçıklama - DvcScopeId - DvcScope

Ağ oturumu alanları

Alan	Sınıf	Tür	Açıklama
NetworkApplicationProtocol (Ağ Uygulama Protokolü)	İsteğe bağlı	Dize	Bağlantı veya oturum tarafından kullanılan uygulama katmanı protokolü. Değer tüm büyük harflerde olmalıdır. Örnek: FTP
Ağ Protokolü	İsteğe bağlı	Numaralandırılmış	Bağlantı veya oturum tarafından genellikle , TCPveya olan UDPIANA protokol atamasında ICMPlistelendiği şekilde kullanılan IP protokolü. Örnek: TCP
NetworkProtocolVersion	İsteğe bağlı	Numaralandırılmış	NetworkProtocol sürümü. IP sürümünü ayırt etmek için kullanırken ve IPv4değerlerini IPv6 kullanın.
Ağ Yönü	İsteğe bağlı	Numaralandırılmış	Bağlantının veya oturumun yönü: - EventTypeNetworkSessionveya FlowL2NetworkSessioniçin, NetworkDirection kuruluş veya bulut ortamı sınırına göre yönü temsil eder. Desteklenen değerler , , InboundOutbound (kuruluşa), Local (kuruluşa) veya External (Uygulanamaz) değerleridirNA. - EventTypeEndpointNetworkSessioniçin, NetworkDirection uç noktaya göre yönü temsil eder. Desteklenen değerler , , InboundOutbound (sisteme) Local veya Listen (Uygulanamaz) değerleridirNA. Listen değeri, bir cihazın ağ bağlantılarını kabul ettiğini ancak aslında bağlı olmadığını gösterir.
Ağ Süresi	İsteğe bağlı	Tamsayı	Ağ oturumunun veya bağlantısının tamamlanması için milisaniye cinsinden süre. Örnek: 1500
Süre	Diğer ad		NetworkDuration diğer adı.
NetworkIcmpType	İsteğe bağlı	Dize	ICMP iletisi için, IPv4 ağ bağlantıları için RFC 2780 veya IPv6 ağ bağlantıları için RFC 4443'teaçıklandığı gibi sayısal değerle ilişkili ICMP türü adı. Örnek: Destination Unreachable NetworkIcmpCode için 3
NetworkIcmpCode	İsteğe bağlı	Tamsayı	ICMP iletisi için, IPv4 ağ bağlantıları için RFC 2780 veya IPv6 ağ bağlantıları için RFC 4443'teaçıklandığı gibi ICMP kod numarası.
NetworkConnectionHistory (Ağ Bağlantı Geçmişi	İsteğe bağlı	Dize	TCP bayrakları ve diğer olası IP üst bilgisi bilgileri.
DstBayt	Önerilir	Uzun	Bağlantı veya oturum için hedeften kaynağa gönderilen bayt sayısı. Olay toplanırsa, DstBytes tüm toplanan oturumların toplamı olmalıdır. Örnek: 32455
SrcBayt	Önerilir	Uzun	Bağlantı veya oturum için kaynaktan hedefe gönderilen bayt sayısı. Olay toplanırsa, SrcBytes tüm toplanan oturumların toplamı olmalıdır. Örnek: 46536
Ağ Baytları	İsteğe bağlı	Uzun	Her iki yönde de gönderilen bayt sayısı. Hem BytesReceived hem de BytesSent varsa, BytesTotal toplamına eşit olmalıdır. Olay toplanırsa, NetworkBytes tüm toplanan oturumların toplamı olmalıdır. Örnek: 78991
DstPackets (DstPaketler)	İsteğe bağlı	Uzun	Bağlantı veya oturum için hedeften kaynağa gönderilen paket sayısı. Bir paketin anlamı, raporlama cihazı tarafından tanımlanır. Olay toplanırsa, DstPackets tüm toplanan oturumların toplamı olmalıdır. Örnek: 446
SrcPackets (Src Paketleri)	İsteğe bağlı	Uzun	Bağlantı veya oturum için kaynaktan hedefe gönderilen paket sayısı. Bir paketin anlamı, raporlama cihazı tarafından tanımlanır. Olay toplanırsa, SrcPackets tüm toplanan oturumların toplamı olmalıdır. Örnek: 6478
Ağ Paketleri	İsteğe bağlı	Uzun	Her iki yönde gönderilen paketlerin sayısı. Hem PacketsReceived hem de PacketsSent varsa , PacketsTotal toplamına eşit olmalıdır. Bir paketin anlamı, raporlama cihazı tarafından tanımlanır. Olay toplanırsa, NetworkPackets tüm toplanan oturumların toplamı olmalıdır. Örnek: 6924
NetworkSessionId	İsteğe bağlı	Dize	Raporlama cihazı tarafından bildirilen oturum tanımlayıcısı. Örnek: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80
Oturum Kimliği	Diğer ad	Dize	NetworkSessionId diğer adı.
TcpFlagsAck	İsteğe bağlı	Boolean (Boole Mantığı)	TCP ACK Bayrağı bildirildi. Onay bayrağı, bir paketin başarıyla alınmış olduğunu onaylamak için kullanılır. Yukarıdaki diyagramda gördüğümüz gibi alıcı, gönderene ilk paketini aldığını söylemek için üç yönlü el sıkışma işleminin ikinci adımında bir ACK ve syn gönderir.
TcpFlagsFin	İsteğe bağlı	Boolean (Boole Mantığı)	TCP FIN Bayrağı bildirildi. Tamamlandı bayrağı, gönderenden başka veri olmadığı anlamına gelir. Bu nedenle, gönderenden gönderilen son pakette kullanılır.
TcpFlagsSyn	İsteğe bağlı	Boolean (Boole Mantığı)	TCP SYN Bayrağı bildirildi. Eşitleme bayrağı, iki konak arasında üç yönlü el sıkışması oluşturmanın ilk adımı olarak kullanılır. Yalnızca hem gönderenden hem de alıcıdan gelen ilk pakette bu bayrak ayarlanmalıdır.
TcpFlagsUrg	İsteğe bağlı	Boolean (Boole Mantığı)	TCP ÜRG Bayrağı bildirildi. Acil bayrağı, diğer tüm paketleri işlemeden önce alıcıya acil paketleri işlemesini bildirmek için kullanılır. Bilinen tüm acil veriler alındığında alıcıya bildirim gönderilir. Diğer ayrıntılar için bkz . RFC 6093 .
TcpFlagsPsh	İsteğe bağlı	Boolean (Boole Mantığı)	TCP PSH Bayrağı bildirildi. Gönderme bayrağı, ÜRG bayrağına benzer ve alıcıya bu paketleri arabelleğe almak yerine alındıklarında işlemesini söyler.
TcpFlagsRst	İsteğe bağlı	Boolean (Boole Mantığı)	TCP RST Bayrağı bildirildi. Sıfırlama bayrağı, bir paket beklemeyen belirli bir konağa gönderildiğinde alıcıdan gönderene gönderilir.
TcpFlagsEce	İsteğe bağlı	Boolean (Boole Mantığı)	TCP ECE Bayrağı bildirildi. Bu bayrak, TCP eşlerinin ECN özellikli olup olmadığını göstermekle sorumludur. Diğer ayrıntılar için bkz . RFC 3168 .
TcpFlagsCwr	İsteğe bağlı	Boolean (Boole Mantığı)	TCP CWR Bayrağı bildirildi. Tıkanıklık penceresi azaltılmış bayrağı, gönderen ana bilgisayar tarafından ECE bayrağı ayarlanmış bir paket aldığını belirtmek için kullanılır. Diğer ayrıntılar için bkz . RFC 3168 .
TcpFlagsN'ler	İsteğe bağlı	Boolean (Boole Mantığı)	TCP NS Bayrağı bildirildi. Nonce sum bayrağı, gönderenden gelen paketlerin yanlışlıkla kötü amaçlı gizlenmesinden korunmaya yardımcı olmak için kullanılan deneysel bir bayraktır. Diğer ayrıntılar için bkz. RFC 3540

Hedef sistem alanları

Alan	Sınıf	Tür	Açıklama
Dst	Diğer ad		DNS isteğini alan sunucunun benzersiz tanımlayıcısı. Bu alan DstDvcId, DstHostname veya DstIpAddr alanlarına diğer ad verebilir. Örnek: 192.168.12.1
DstIpAddr	Önerilir	IP Adresi	Bağlantının veya oturum hedefinin IP adresi. Oturum ağ adresi çevirisi kullanıyorsa, DstIpAddr DstNatIpAddr'da depolanan kaynağın özgün adresi değil, genel olarak görünen adrestir Örnek: 2001:db8::ff00:42:8329 Not: DstHostname belirtilirse bu değer zorunludur.
DstPortNumarası	İsteğe bağlı	Tamsayı	Hedef IP bağlantı noktası. Örnek: 443
DstAna Bilgisayar Adı	Önerilir	Host adı (Dizili)	Etki alanı bilgileri hariç, hedef cihaz ana bilgisayar adı. Kullanılabilir cihaz adı yoksa ilgili IP adresini bu alanda depolayın. Örnek: DESKTOP-1282V4D
DstEtki Alanı	Önerilir	Alan (Dizili)	Hedef cihazın etki alanı. Örnek: Contoso
DstEtki Alanı Türü	Koşullu	Numaralandırılmış	DstDomain türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DomainType'a bakın. DstDomain kullanılıyorsa gereklidir.
DstFQDN	İsteğe bağlı	FQDN (Dizeli)	Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef cihaz ana bilgisayar adı. Örnek: Contoso\DESKTOP-1282V4D Not: Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. DstDomainType, kullanılan biçimi yansıtır.
DstDvcId	İsteğe bağlı	Dize	Hedef cihazın kimliği. Birden çok kimlik varsa, en önemli kimlikleri kullanın ve diğerlerini alanlarında depolayın DstDvc<DvcIdType>. Örnek: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
DstDvcScopeId	İsteğe bağlı	Dize	Cihazın ait olduğu bulut platformu kapsam kimliği. DstDvcScopeId , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
DstDvcScope	İsteğe bağlı	Dize	Cihazın ait olduğu bulut platformu kapsamı. DstDvcScope , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
DstDvcIdType	Koşullu	Numaralandırılmış	DstDvcId türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DvcIdType'a bakın. DstDeviceId kullanılıyorsa gereklidir.
DstDeviceType	İsteğe bağlı	Numaralandırılmış	Hedef cihazın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DeviceType'a bakın.
DstBölgesi	İsteğe bağlı	Dize	Raporlama cihazı tarafından tanımlandığı gibi hedefin ağ bölgesi. Örnek: Dmz
DstInterfaceName (Arabirim adı)	İsteğe bağlı	Dize	Hedef cihaz tarafından bağlantı veya oturum için kullanılan ağ arabirimi. Örnek: Microsoft Hyper-V Network Adapter
DstInterfaceGuid	İsteğe bağlı	GUID (Diz)	Hedef cihazda kullanılan ağ arabiriminin GUID'i. Örnek: 46ad544b-eaf0-47ef- 827c-266030f545a6
DstMacAddr	İsteğe bağlı	MAC Adresi (Dizeli)	Hedef cihaz tarafından bağlantı veya oturum için kullanılan ağ arabiriminin MAC adresi. Örnek: 06:10:9f:eb:8f:14
DstVlanId	İsteğe bağlı	Dize	Hedef cihazla ilgili VLAN kimliği. Örnek: 130
OuterVlanId	Diğer ad		DstVlanId diğer adı. Çoğu durumda VLAN bir kaynak veya hedef olarak belirlenemez, ancak iç veya dış olarak nitelendirilir. Bu diğer ad, VLAN dış olarak nitelendiğinde DstVlanId'nin kullanılması gerektiğini bildirir.
DstGeo Ülkesi	İsteğe bağlı	Ülke	Hedef IP adresiyle ilişkili ülke/bölge. Daha fazla bilgi için bkz . Mantıksal türler. Örnek: USA
DstGeo Bölgesi	İsteğe bağlı	Bölge	Hedef IP adresiyle ilişkili bölge veya durum. Daha fazla bilgi için bkz . Mantıksal türler. Örnek: Vermont
DstGeoCity	İsteğe bağlı	Şehir	Hedef IP adresiyle ilişkili şehir. Daha fazla bilgi için bkz . Mantıksal türler. Örnek: Burlington
DstGeoLatitude (İngilizce)	İsteğe bağlı	Enlem	Hedef IP adresiyle ilişkili coğrafi koordinatın enlemi. Daha fazla bilgi için bkz . Mantıksal türler. Örnek: 44.475833
DstGeoLongitude	İsteğe bağlı	Boylam	Hedef IP adresiyle ilişkili coğrafi koordinatın boylamı. Daha fazla bilgi için bkz . Mantıksal türler. Örnek: 73.211944
DstDescription	İsteğe bağlı	Dize	Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Primary Domain Controller.

Hedef kullanıcı alanları

Alan	Sınıf	Tür	Açıklama
DstUserId	İsteğe bağlı	Dize	Makine tarafından okunabilir, alfasayısal, hedef kullanıcının benzersiz gösterimi. Farklı kimlik türleri için desteklenen biçim için Kullanıcı varlığına bakın. Örnek: S-1-12
DstUserScope	İsteğe bağlı	Dize	DstUserId ve DstUsername'in tanımlandığı Microsoft Entra kiracısı gibi kapsam. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScope bölümüne bakın.
DstUserScopeId	İsteğe bağlı	Dize	DstUserId ve DstUsername'in tanımlandığı Microsoft Entra Dizin Kimliği gibi kapsam kimliği. daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScopeId bölümüne bakın.
DstUserIdType	Koşullu	UserIdType	DstUserId alanında depolanan kimliğin türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UserIdType'a bakın.
DstKullanıcı Adı	İsteğe bağlı	Kullanıcı adı (Dizgi)	Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef kullanıcı adı. Farklı kimlik türleri için desteklenen biçim için Kullanıcı varlığına bakın. Basit formu yalnızca etki alanı bilgileri kullanılamıyorsa kullanın. Kullanıcı adı türünü DstUsernameType alanında depolayın. Başka kullanıcı adı biçimleri varsa, bunları alanlarında DstUsername<UsernameType>depolayın. Örnek: AlbertE
Kullanıcı	Diğer ad		DstUsername diğer adı.
DstKullanıcı Adı Türü	Koşullu	Kullanıcı Adı Türü	DstUsername alanında depolanan kullanıcı adının türünü belirtir. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UsernameType'a bakın. Örnek: Windows
DstUserType	İsteğe bağlı	Kullanıcı Türü	Hedef kullanıcının türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UserType'a bakın. Not: Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değer bu değerlere normalleştirilmelidir. Özgün değeri DstOriginalUserType alanında depolayın.
DstOriginalUserType	İsteğe bağlı	Dize	Kaynak tarafından sağlanmışsa özgün hedef kullanıcı türü.

Hedef uygulama alanları

Alan	Sınıf	Tür	Açıklama
DstAppName (Uygulama Adı)	İsteğe bağlı	Dize	Hedef uygulamanın adı. Örnek: Facebook
DstAppId	İsteğe bağlı	Dize	Raporlama cihazı tarafından bildirilen hedef uygulamanın kimliği. Eğer DstAppType ise Processve DstAppIdDstProcessId aynı değere sahip olmalıdır. Örnek: 124
DstAppType	İsteğe bağlı	Uygulama Türü	Hedef uygulamanın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki AppType'a bakın. DstAppName veya DstAppId kullanılıyorsa bu alan zorunludur.
DstProcessName (İşlem Adı)	İsteğe bağlı	Dize	Ağ oturumunu sonlandıran işlemin dosya adı. Bu ad genellikle işlem adı olarak kabul edilir. Örnek: C:\Windows\explorer.exe
İşlem	Diğer ad		DstProcessName diğer adı Örnek: C:\Windows\System32\rundll32.exe
DstProcessId	İsteğe bağlı	Dize	Ağ oturumunu sonlandıran işlemin işlem kimliği (PID). Örnek: 48610176 Not: Tür, farklı sistemleri desteklemek için dize olarak tanımlanır, ancak Windows ve Linux'ta bu değer sayısal olmalıdır. Windows veya Linux makinesi kullanıyorsanız ve farklı bir tür kullandıysanız, değerleri dönüştürdüğünüzden emin olun. Örneğin, onaltılık bir değer kullandıysanız, bunu ondalık değere dönüştürün.
DstProcessGuid	İsteğe bağlı	Dize	Ağ oturumunu sonlandıran işlemin oluşturulan benzersiz tanımlayıcısı (GUID). Örnek: EF3BD0BD-2B74-60C5-AF5C-010000001E00

Kaynak sistem alanları

Alan	Sınıf	Tür	Açıklama
Src	Diğer ad		Kaynak cihazın benzersiz tanımlayıcısı. Bu alan SrcDvcId, SrcHostname veya SrcIpAddr alanlarının diğer adını alabilir. Örnek: 192.168.12.1
SrcIpAddr	Önerilir	IP Adresi	Bağlantının veya oturumun kaynaklandığı IP adresi. SrcHostname belirtilirse bu değer zorunludur. Oturum ağ adresi çevirisi kullanıyorsa, SrcIpAddr SrcNatIpAddr'da depolanan kaynağın özgün adresi değil genel olarak görünen adrestir Örnek: 77.138.103.108
SrcPort Numarası	İsteğe bağlı	Tamsayı	Bağlantının kaynaklandığı IP bağlantı noktası. Birden çok bağlantıdan oluşan bir oturumla ilgili olmayabilir. Örnek: 2335
SrcAna Bilgisayar Adı	Önerilir	Host adı (Dizili)	Etki alanı bilgileri hariç kaynak cihaz ana bilgisayar adı. Kullanılabilir cihaz adı yoksa ilgili IP adresini bu alanda depolayın. Örnek: DESKTOP-1282V4D
SrcEtki Alanı	Önerilir	Alan (Dizili)	Kaynak cihazın etki alanı. Örnek: Contoso
SrcEtki Alanı Türü	Koşullu	Etki Alanı Türü	SrcDomain türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DomainType'a bakın. SrcDomain kullanılıyorsa gereklidir.
SrcFQDN	İsteğe bağlı	FQDN (Dizeli)	Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak cihaz ana bilgisayar adı. Not: Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. SrcDomainType alanı kullanılan biçimi yansıtır. Örnek: Contoso\DESKTOP-1282V4D
SrcDvcId	İsteğe bağlı	Dize	Kaynak cihazın kimliği. Birden çok kimlik varsa, en önemli kimlikleri kullanın ve diğerlerini alanlarında depolayın SrcDvc<DvcIdType>. Örnek: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId	İsteğe bağlı	Dize	Cihazın ait olduğu bulut platformu kapsam kimliği. SrcDvcScopeId , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
SrcDvcScope	İsteğe bağlı	Dize	Cihazın ait olduğu bulut platformu kapsamı. SrcDvcScope , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
SrcDvcIdType	Koşullu	DvcIdType	SrcDvcId türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DvcIdType'a bakın. Not: SrcDvcId kullanılıyorsa bu alan gereklidir.
SrcDeviceType	İsteğe bağlı	CihazTürü	Kaynak cihazın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DeviceType'a bakın.
SrcBölgesi	İsteğe bağlı	Dize	Raporlama cihazı tarafından tanımlanan kaynağın ağ bölgesi. Örnek: Internet
SrcInterfaceName (SrcArabirim Adı)	İsteğe bağlı	Dize	Kaynak cihaz tarafından bağlantı veya oturum için kullanılan ağ arabirimi. Örnek: eth01
SrcInterfaceGuid	İsteğe bağlı	GUID (Diz)	Kaynak cihazda kullanılan ağ arabiriminin GUID'i. Örnek: 46ad544b-eaf0-47ef- 827c-266030f545a6
SrcMacAddr	İsteğe bağlı	MAC Adresi (Dizeli)	Bağlantının veya oturumun kaynaklandığı ağ arabiriminin MAC adresi. Örnek: 06:10:9f:eb:8f:14
SrcVlanId	İsteğe bağlı	Dize	Kaynak cihazla ilgili VLAN kimliği. Örnek: 130
InnerVlanId	Diğer ad		SrcVlanId diğer adı. Çoğu durumda VLAN bir kaynak veya hedef olarak belirlenemez, ancak iç veya dış olarak nitelendirilir. Bu diğer ad, VLAN iç olarak nitelendiğinde SrcVlanId kullanılması gerektiğini bildirir.
SrcGeoÜlke	İsteğe bağlı	Ülke	Kaynak IP adresiyle ilişkili ülke/bölge. Örnek: USA
SrcGeoRegion	İsteğe bağlı	Bölge	Kaynak IP adresiyle ilişkilendirilmiş bölge. Örnek: Vermont
SrcGeoŞehir	İsteğe bağlı	Şehir	Kaynak IP adresiyle ilişkili şehir. Örnek: Burlington
SrcGeoLatitude (İngilizce)	İsteğe bağlı	Enlem	Kaynak IP adresiyle ilişkili coğrafi koordinatın enlemi. Örnek: 44.475833
SrcGeoLongitude (İngilizce)	İsteğe bağlı	Boylam	Kaynak IP adresiyle ilişkili coğrafi koordinatın boylamı. Örnek: 73.211944
SrcDescription	İsteğe bağlı	Dize	Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Primary Domain Controller.

Kaynak kullanıcı alanları

Alan	Sınıf	Tür	Açıklama
SrcUserId	İsteğe bağlı	Dize	Kaynak kullanıcının makine tarafından okunabilir, alfasayısal, benzersiz bir gösterimi. Farklı kimlik türleri için desteklenen biçim için Kullanıcı varlığına bakın. Örnek: S-1-12
SrcUserScope	İsteğe bağlı	Dize	SrcUserId ve SrcUsername'in tanımlandığı Microsoft Entra kiracısı gibi kapsam. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScope bölümüne bakın.
SrcUserScopeId	İsteğe bağlı	Dize	SrcUserId ve SrcUsername'in tanımlandığı Microsoft Entra Dizin Kimliği gibi kapsam kimliği. daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScopeId bölümüne bakın.
SrcUserIdType	Koşullu	UserIdType	SrcUserId alanında depolanan kimliğin türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UserIdType'a bakın.
SrcKullanıcı Adı	İsteğe bağlı	Kullanıcı adı (Dizgi)	Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak kullanıcı adı. Farklı kimlik türleri için desteklenen biçim için Kullanıcı varlığına bakın. Basit formu yalnızca etki alanı bilgileri kullanılamıyorsa kullanın. Kullanıcı adı türünü SrcUsernameType alanında depolayın. Başka kullanıcı adı biçimleri varsa, bunları alanlarında SrcUsername<UsernameType>depolayın. Örnek: AlbertE
SrcKullanıcı Adı Türü	Koşullu	Kullanıcı Adı Türü	SrcUsername alanında depolanan kullanıcı adının türünü belirtir. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UsernameType'a bakın. Örnek: Windows
SrcUserType (İngilizce)	İsteğe bağlı	Kullanıcı Türü	Kaynak kullanıcının türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UserType'a bakın. Not: Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değer bu değerlere normalleştirilmelidir. Özgün değeri SrcOriginalUserType alanında depolayın.
SrcOriginalUserType	İsteğe bağlı	Dize	Raporlama cihazı tarafından sağlanıyorsa özgün hedef kullanıcı türü.

Kaynak uygulama alanları

Alan	Sınıf	Tür	Açıklama
SrcAppName (SrcAppName)	İsteğe bağlı	Dize	Kaynak uygulamanın adı. Örnek: filezilla.exe
SrcAppId (SrcAppId)	İsteğe bağlı	Dize	Raporlama cihazı tarafından bildirilen kaynak uygulamanın kimliği. SrcAppType ise ProcessSrcAppId ve SrcProcessId aynı değere sahip olmalıdır. Örnek: 124
SrcAppType	İsteğe bağlı	Uygulama Türü	Kaynak uygulamanın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki AppType'a bakın. SrcAppName veya SrcAppId kullanılıyorsa bu alan zorunludur.
SrcProcessName	İsteğe bağlı	Dize	Ağ oturumunu başlatan işlemin dosya adı. Bu ad genellikle işlem adı olarak kabul edilir. Örnek: C:\Windows\explorer.exe
SrcProcessId	İsteğe bağlı	Dize	Ağ oturumunu başlatan işlemin işlem kimliği (PID). Örnek: 48610176 Not: Tür, farklı sistemleri desteklemek için dize olarak tanımlanır, ancak Windows ve Linux'ta bu değer sayısal olmalıdır. Windows veya Linux makinesi kullanıyorsanız ve farklı bir tür kullandıysanız, değerleri dönüştürdüğünüzden emin olun. Örneğin, onaltılık bir değer kullandıysanız, bunu ondalık değere dönüştürün.
SrcProcessGuid	İsteğe bağlı	Dize	Ağ oturumunu başlatan işlemin oluşturulan benzersiz tanımlayıcısı (GUID). Örnek: EF3BD0BD-2B74-60C5-AF5C-010000001E00

Yerel ve uzak diğer adlar

Yukarıda listelenen tüm kaynak ve hedef alanlar, isteğe bağlı olarak aynı ada ve tanımlayıcılara Local ve Remoteile alanlara göre diğer adla adlandırılabilir. Bu genellikle bir uç nokta tarafından bildirilen ve olay türünün EndpointNetworkSessionolduğu olaylar için yararlıdır.

Bu tür olaylar için tanımlayıcılar Local ve Remote sırasıyla ağ oturumunun diğer ucundaki uç noktanın kendisini ve cihazı belirtir. Gelen bağlantılar için hedef yerel sistemdir, Local alanlar alanların diğer adlarıdır Dst ve 'Uzak' alanlar alanlar için Src diğer adlardır. Buna karşılık, giden bağlantılar için kaynak yerel sistemdir, Local alanlar alanların diğer adlarıdır Src ve Remote alanlar da alanların diğer adlarıdır Dst .

Örneğin, bir gelen olay için, alanı LocalIpAddr için DstIpAddr bir diğer addır ve alanı RemoteIpAddr için bir diğer addır SrcIpAddr.

Ana bilgisayar adı ve IP adresi diğer adları

Alan	Sınıf	Tür	Açıklama
Ana Bilgisayar Adı	Diğer ad		- Olay türü NetworkSession, Flow veya L2NetworkSessionise, Ana bilgisayar adı DstHostname için bir diğer addır. - Olay türü iseEndpointNetworkSession, Hostname, NetworkDirection'a RemoteHostnamebağlı olarak DstHostname veya SrcHostName diğer adlarına sahip olan için bir diğer addır.
IpAddr (İngilizce)	Diğer ad		- Olay türü NetworkSession, Flow veya L2NetworkSessionise, IpAddr, SrcIpAddr için bir diğer addır. - Olay türü iseEndpointNetworkSession, IpAddr, NetworkDirection'a LocalIpAddrbağlı olarak SrcIpAddr veya DstIpAddr diğer adlarına sahip olan için bir diğer addır.

Aracı cihaz ve Ağ Adresi Çevirisi (NAT) alanları

Kayıt, ağ oturumunu aktaran güvenlik duvarı veya ara sunucu gibi bir aracı cihaz hakkında bilgi içeriyorsa aşağıdaki alanlar yararlıdır.

Aracı sistemler genellikle adres çevirisi kullanır ve bu nedenle özgün adres ve dışarıdan gözlemlenen adres aynı değildir. Bu gibi durumlarda, SrcIPAddr ve DstIpAddr gibi birincil adres alanları dışarıdan gözlemlenen adresleri temsil ederken NAT adres alanları, SrcNatIpAddr ve DstNatIpAddr çeviriden önce özgün cihazın iç adresini temsil eder.

Alan	Sınıf	Tür	Açıklama
DstNatIpAddr	İsteğe bağlı	IP Adresi	DstNatIpAddr aşağıdakilerden birini temsil eder: - Ağ adresi çevirisi kullanıldıysa hedef cihazın özgün adresi. - Aracı cihaz tarafından kaynakla iletişim için kullanılan IP adresi. Örnek: 2::1
DstNatPortNumber	İsteğe bağlı	Tamsayı	Aracı bir NAT cihazı tarafından bildirilirse, NAT cihazı tarafından kaynakla iletişim için kullanılan bağlantı noktası. Örnek: 443
SrcNatIpAddr	İsteğe bağlı	IP Adresi	SrcNatIpAddr aşağıdakilerden birini temsil eder: - Ağ adresi çevirisi kullanıldıysa kaynak cihazın özgün adresi. - Aracı cihaz tarafından hedefle iletişim için kullanılan IP adresi. Örnek: 4.3.2.1
SrcNatPort Numarası	İsteğe bağlı	Tamsayı	Aracı bir NAT cihazı tarafından bildirilirse, NAT cihazı tarafından hedefle iletişim için kullanılan bağlantı noktası. Örnek: 345
DvcInboundInterface	İsteğe bağlı	Dize	Aracı bir cihaz tarafından bildirilirse, kaynak cihaza bağlantı için NAT cihazı tarafından kullanılan ağ arabirimi. Örnek: eth0
DvcOutboundInterface	İsteğe bağlı	Dize	Aracı bir cihaz tarafından bildirilirse, hedef cihaza bağlantı için NAT cihazı tarafından kullanılan ağ arabirimi. Örnek: Ethernet adapter Ethernet 4e

Denetim alanları

Aşağıdaki alanlar güvenlik duvarı, IPS veya web güvenlik ağ geçidi gibi bir güvenlik cihazının hangi incelemeyi gerçekleştirdiğini göstermek için kullanılır:

Alan	Sınıf	Tür	Açıklama
NetworkRuleName (Ağ Kuralı)	İsteğe bağlı	Dize	DvcAction'a karar verilen kuralın adı veya kimliği. Örnek: AnyAnyDrop
Ağ KuralNumarası	İsteğe bağlı	Tamsayı	DvcAction'a karar verilen kuralın sayısı. Örnek: 23
Kural	Diğer ad	Dize	NetworkRuleName değeri veya NetworkRuleNumber değeri. NetworkRuleNumber değeri kullanılıyorsa, türü dizeye dönüştürülmelidir.
Tehdit Kimliği	İsteğe bağlı	Dize	Ağ oturumunda tanımlanan tehdit veya kötü amaçlı yazılımın kimliği. Örnek: Tr.124
Tehdit Adı	İsteğe bağlı	Dize	Ağ oturumunda tanımlanan tehdit veya kötü amaçlı yazılımın adı. Örnek: EICAR Test File
Tehdit Kategorisi	İsteğe bağlı	Dize	Ağ oturumunda tanımlanan tehdit veya kötü amaçlı yazılım kategorisi. Örnek: Trojan
ThreatRiskLevel (Tehdit Risk Düzeyi)	İsteğe bağlı	RiskLevel (Tam Sayı)	Oturumla ilişkili risk düzeyi. Düzey 0 ile 100 arasında bir sayı olmalıdır. Not: Bu değer kaynak kayıtta farklı bir ölçek kullanılarak sağlanabilir ve bu ölçek normalleştirilmelidir. Özgün değer ThreatRiskLevelOriginal içinde depolanmalıdır.
TehditOrijinalRiskSeviye	İsteğe bağlı	Dize	Raporlama cihazı tarafından bildirilen risk düzeyi.
ThreatIpAddr	İsteğe bağlı	IP Adresi	Bir tehdidin tanımlandığı IP adresi. ThreatField alanı ThreatIpAddr'ın temsil ettiği alanın adını içerir.
Tehdit Alanı	Koşullu	Numaralandırılmış	Bir tehdidin tanımlandığı alan. Değer veya SrcIpAddrDstIpAddrşeklindedir.
Tehdit Güveni	İsteğe bağlı	Güven Seviyesi (Tam Sayı)	Tanımlanan tehdidin güvenilirlik düzeyi, 0 ile 100 arasında bir değere normalleştirilir.
ThreatOriginalConfidence	İsteğe bağlı	Dize	Raporlama cihazı tarafından bildirilen, tanımlanan tehdidin özgün güvenilirlik düzeyi.
ThreatIsActive (Tehdit Aktif)	İsteğe bağlı	Boolean (Boole Mantığı)	Tanımlanan tehdit etkin bir tehdit olarak kabul edilirse true.
ThreatFirstReportedTime (İlk Olarak Bildirildi)	İsteğe bağlı	tarih/zaman	IP adresi veya etki alanı ilk kez bir tehdit olarak tanımlandı.
ThreatLastReportedTime	İsteğe bağlı	tarih/zaman	IP adresinin veya etki alanının en son tehdit olarak tanımlandığı zaman.

Diğer alanlar

Alan	Sınıf	Tür	Açıklama
ASimMatchingIpAddr	Önerilir	Numaralandırılmış	Ayrıştırıcı filtreleme parametrelerini kullandığındaipaddr_has_any_prefix, bu alan , SrcIpAddrdeğerlerinden DstIpAddrbiriyle veya Both eşleşen alanları veya alanları yansıtacak şekilde ayarlanır.
ASimMatchingHostname	Önerilir	Numaralandırılmış	Ayrıştırıcı filtreleme parametrelerini kullandığındahostname_has_any, bu alan , SrcHostnamedeğerlerinden DstHostnamebiriyle veya Both eşleşen alanları veya alanları yansıtacak şekilde ayarlanır.

Olay ağ oturumunun uç noktalarından biri tarafından bildirilirse, oturumu başlatan veya sonlandıran işlem hakkında bilgi içerebilir. Bu gibi durumlarda, ASIM İşlem Olayı şeması bu bilgileri normalleştirmek için kullanılır.

Şema güncelleştirmeleri

Şemanın 0.2.1 sürümündeki değişiklikler şunlardır:

• Src Kaynak ve hedef sistemler için öndeki tanımlayıcıya ve diğer adları olarak eklendiDst.
• , , NetworkConnectionHistory, SrcVlanIdDstVlanIdve InnerVlanIdalanlarını OuterVlanIdekledik.

Şemanın 0.2.2 sürümündeki değişiklikler şunlardır:

• ve Remote diğer adları eklendiLocal.
• olay türü EndpointNetworkSessioneklendi.
• Hostname Olay türü olduğunda IpAddrve için RemoteHostnameLocalIpAddr ve diğer adları olarak tanımlanırEndpointNetworkSession.
• veya DvcInterfaceiçin DvcInboundInterface diğer ad olarak tanımlanırDvcOutboundInterface.
• Aşağıdaki alanların türü Tamsayı olarak Long olarak değiştirildi: SrcBytes, DstBytes, NetworkBytes, SrcPackets, , DstPacketsve NetworkPackets.
• alanını NetworkProtocolVersionekledik.
• Ve kullanım dışı bırakıldı DstUserDomainSrcUserDomain.

Şemanın 0.2.3 sürümündeki değişiklikler şunlardır:

• ipaddr_has_any_prefix Filtreleme parametresi eklendi.
• Filtreleme hostname_has_any parametresi artık kaynak veya hedef ana bilgisayar adlarıyla eşleşir.
• ve ASimMatchingHostnamealanlarını ASimMatchingIpAddr ekledik.

Şemanın 0.2.4 sürümündeki değişiklikler şunlardır:

• TcpFlags Alanlar eklendi.
• ve her NetworkIcpmType ikisi için de sayı değerini yansıtacak şekilde güncelleştirildiNetworkIcmpCode.
• Ek inceleme alanları eklendi.
• 'ThreatRiskLevelOriginal' alanı ASIM kurallarıyla uyumlu olacak şekilde ThreatOriginalRiskLevel yeniden adlandırıldı. Mevcut Microsoft ayrıştırıcıları 1 Mayıs 2023'e kadar devam ThreatRiskLevelOriginal edecektir.
• Önerilen olarak işaretlendi EventResultDetails ve izin verilen değerleri belirtti.

Şemanın 0.2.5 sürümündeki değişiklikler şunlardır:

• , , DstUserScope, , , SrcUserScope, SrcDvcScopeId, SrcDvcScopeDstDvcScopeIdve DstDvcScopealanlarını DvcScopeIdekledikDvcScope.

Şemanın 0.2.6 sürümündeki değişiklikler şunlardır:

• IdS olay türü olarak eklendi

Şema 0.2.7 sürümündeki değişiklikler şunlardır:

• Alanlar DstDescription eklendi ve SrcDescription

Sonraki adımlar

Daha fazla bilgi için bkz.

• ASIM Web seminerini izleyin veya slaytları gözden geçirin
• Gelişmiş Güvenlik Bilgileri Modeline (ASIM) genel bakış
• Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
• Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları
• Gelişmiş Güvenlik Bilgileri Modeli (ASIM) içeriği