你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
网络规范化架构用于描述报告的网络事件,并由Microsoft Sentinel用于启用统一分析。
有关详细信息,请参阅 规范化和高级安全信息模型 (ASIM) 。
重要
本文与网络规范化架构版本 0.1 相关,该架构在 ASIM 可用之前作为预览版发布。 网络规范化架构的版本 0.2.x 与 ASIM 保持一致,并提供其他增强功能。
有关详细信息,请参阅 网络规范化架构版本之间的差异
术语
以下术语用于Microsoft Sentinel架构:
| Term | 定义 |
|---|---|
| 报告设备 | 将记录发送到Microsoft Sentinel的系统。 它可能不是记录的主题系统。 |
| Record | 从报告设备发送的数据单位。 此数据单元通常称为 log、 event或 alert,但也可以具有其他类型的数据。 |
数据类型和格式
下表提供了规范化数据值的指导,规范化字段需要规范化数据值,建议用于其他字段。
| 数据类型 | 物理类型 | 格式和值 |
|---|---|---|
| 日期/时间 | 以下任一项,具体取决于所使用的引入方法功能,优先级降序:
|
Log Analytics 日期时间表示形式。 Log Analytics 日期和时间表示形式本质上相似,但不同于 Unix 时间表示形式。 请参阅这些转换指南。 必须针对时区调整日期和时间。 |
| MAC 地址 | String | Colon-Hexadecimal 表示法 |
| IP 地址 | IP 地址 | 架构没有单独的 IPv4 和 IPv6 地址。 任何 IP 地址字段都可能包含 IPv4 地址或 IPv6 地址:
|
| 用户 | String | 以下 3 个用户字段可用:
|
| 用户 ID | String | 目前支持以下 2 个用户 ID:
|
| 设备 | String | 支持以下 3 个设备/主机列:
|
| 国家/地区 | String | 根据以下优先级使用 ISO 3166-1 的字符串:
|
| Region | String | 使用 ISO 3166-2 的国家/地区细分名称 |
| 市/县 | String | |
| Longitude | 双精度 | ISO 6709 坐标表示形式 (带符号十进制) |
| Latitude | 双精度 | ISO 6709 坐标表示形式 (带符号十进制) |
| 哈希算法 | String | 支持以下 4 个哈希列:
|
| 文件类型 | String | 文件类型的类型:
|
网络会话表架构
下面是网络会话表的架构,版本为 1.0.0
| 字段名 | 值类型 | 示例 | 说明 | 关联的 OSSEM 实体 |
|---|---|---|---|---|
| EventType | String | 交通 | 正在收集的事件的类型 | 事件 |
| EventSubType | String | 身份验证 | 类型的额外说明(如果适用) | 事件 |
| EventCount | 整数 | 10 | 聚合的事件数(如果适用)。 | 事件 |
| EventEndTime | 日期/时间 | 请参阅“数据类型” | 事件结束的时间 | 事件 |
| EventMessage | string | 访问被拒绝 | 常规消息或说明(包含在记录中或从记录中生成) | 事件 |
| DvcIpAddr | IP 地址 | 23.21.23.34 | 生成记录的设备 IP 地址 | 装置 IP |
| DvcMacAddr | String | 06:10:9f:eb:8f:14 | 从中发送事件的报告设备的网络接口的 MAC 地址。 | 装置 Mac |
| DvcHostname | 设备名称 (字符串) | syslogserver1.contoso.com | 生成消息的设备的设备名称。 | 设备 |
| EventProduct | String | OfficeSharepoint | 生成事件的产品。 | 事件 |
| EventProductVersion | string | 9.0 | 生成事件的产品的版本。 | 事件 |
| EventResourceId | 设备 ID (字符串) | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | 生成消息的设备的资源 ID。 | 事件 |
| EventReportUrl | String | https://192.168.1.1/repoerts/ae3-56.htm | 指向报表设备创建的完整报表的链接 | 事件 |
| EventVendor | String | Microsoft | 生成事件的产品的供应商。 | 事件 |
| EventResult | 多值:成功、部分、失败、[空] (字符串) | 成功 | 活动报告的结果。 如果不适用,则为空值。 | 事件 |
| EventResultDetails | String | 密码错误 | EventResult 中报告的结果的原因或详细信息 | 事件 |
| EventSchemaVersion | 真正 | 0.1 | Microsoft Sentinel架构版本。 当前为 0.1。 | 事件 |
| EventSeverity | String | 低 | 如果报告的活动有安全影响,则表示影响的严重性。 | 事件 |
| EventOriginalUid | String | af6ae8fe-ff43-4a4c-b537-8635976a2b51 | 报告设备的记录 ID。 | 事件 |
| EventStartTime | 日期/时间 | 请参阅“数据类型” | 事件所声明的时间 | 事件 |
| TimeGenerated | 日期/时间 | 请参阅“数据类型” | 事件发生的时间,由报告源报告。 | 自定义字段 |
| EventTimeIngested | 日期/时间 | 请参阅“数据类型” | 事件引入到Microsoft Sentinel的时间。 将由 Microsoft Sentinel 添加。 | 事件 |
| EventUid | Guid (字符串) | 516a64e3-8360-4f1e-a67c-d96b3d52df54 | Microsoft Sentinel用于标记行的唯一标识符。 | 事件 |
| NetworkApplicationProtocol | String | HTTPS | 连接或会话使用的应用程序层协议。 | 网络 |
| DstBytes | int | 32455 | 从目标发送到连接或会话源的字节数。 | 目标 |
| SrcBytes | int | 46536 | 从源发送到连接或会话的目标的字节数。 | 源 |
| NetworkBytes | int | 78991 | 双向发送的字节数。 如果 BytesReceived 和 BytesSent 都存在,则 BytesTotal 应等于其和。 | 网络 |
| NetworkDirection | 多值:入站、出站 (字符串) | 入境 | 连接或会话(进出组织)的方向。 | 网络 |
| DstGeoCity | String | 伯 灵 顿 | 与目标 IP 地址关联的城市 | 目的地 地理位置 |
| DstGeoCountry | 国家/地区 (字符串) | 美国 | 与源 IP 地址关联的国家/地区 | 目的地 地理位置 |
| DstDvcHostname | 设备名称 (字符串) | victim_pc | 目标设备的设备名称 | 目标 设备 |
| DstDvcFqdn | String | victim_pc.contoso.local | 创建日志的主机的完全限定域名 | 目的地 设备 |
| DstDomainHostname | string | CONTOSO | 目标的域、目标主机 (网站的域、域名等 ) ,例如 DNS 查找或 NS 查找 | 目标 |
| DstInterfaceName | string | Microsoft Hyper-V网络适配器 | 目标设备用于连接或会话的网络接口。 | 目标 |
| DstInterfaceGuid | string | 2BB33827-6BB6-48DB-8DE6-DB9E0B9F9C9B | 用于身份验证请求的网络接口的 GUID | 目标 |
| DstIpAddr | IP 地址 | 2001:db8::ff00:42:8329 | 连接或会话目标的 IP 地址,通常称为网络数据包中的目标 IP | 目的地 IP |
| DstDvcIpAddr | IP 地址 | 75.22.12.2 | 不直接与网络数据包关联的设备的目标 IP 地址 | 目的地 装置 IP |
| DstGeoLatitude | 纬度 (双) | 44.475833 | 与目标 IP 地址关联的地理坐标的纬度 | 目的地 地理位置 |
| DstMacAddr | String | 06:10:9f:eb:8f:14 | 连接或会话终止的网络接口的 MAC 地址,通常指网络数据包中的目标 MAC | 目的地 Mac |
| DstDvcMacAddr | String | 06:10:9f:eb:8f:14 | 不直接与网络数据包关联的设备的目标 MAC 地址。 | 目的地 装置 Mac |
| DstDvcDomain | String | CONTOSO | 目标设备的域。 | 目的地 设备 |
| DstPortNumber | 整数 | 443 | 目标 IP 端口。 | 目的地 端口 |
| DstGeoRegion | 区域 (字符串) | 佛蒙特州 | 与目标 IP 地址关联的区域 | 目的地 地理位置 |
| DstResourceId | 设备 ID (字符串) | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /victim | 目标设备的资源 ID。 | 目标 |
| DstNatIpAddr | IP 地址 | 2::1 | 如果由中间 NAT 设备(如防火墙)报告,则为 NAT 设备用于与源通信的 IP 地址。 | 目标 NAT, IP |
| DstNatPortNumber | int | 443 | 如果由中间 NAT 设备(如防火墙)报告,则 NAT 设备用于与源通信的端口。 | 目标 NAT, 端口 |
| DstUserSid | 用户 SID | S-12-1445 | 与会话目标关联的标识的用户 ID。 通常,用于对服务器进行身份验证的标识。 有关详细信息,请参阅 数据类型和格式。 | 目的地 用户 |
| DstUserAadId | 字符串 (guid) | ae92b0b4-cfba-4b42-85a0-fbd862f4df54 | 会话目标结束时用户的Microsoft Entra帐户对象 ID | 目的地 用户 |
| DstUserName | 用户名 (字符串) | johnd | 与会话目标关联的标识的用户名。 | 目的地 用户 |
| DstUserUpn | string | johnd@anon.com | 与会话目标关联的标识的 UPN。 | 目的地 用户 |
| DstUserDomain | string | 工作组 | 会话目标的帐户的域或计算机名称 | 目的地 用户 |
| DstZone | String | Dmz | 目标的网络区域,由报告设备定义。 | 目标 |
| DstGeoLongitude | 经度 (双) | -73.211944 | 与目标 IP 地址关联的地理坐标的经度 | 目的地 地理位置 |
| DvcAction | 多值:允许、拒绝、删除 (字符串) | 允许 | 如果由中介设备(如防火墙)报告,则设备执行的操作。 | 设备 |
| DvcInboundInterface | String | eth0 | 如果由中间设备(如防火墙)报告,则为用于连接到源设备的网络接口。 | 设备 |
| DvcOutboundInterface | String | 以太网适配器以太网 4 | 如果由中介设备(如防火墙)报告,则为用于连接到目标设备的网络接口。 | 设备 |
| NetworkDuration | 整数 | 1500 | 网络会话或连接完成的时间(以毫秒为单位) | 网络 |
| NetworkIcmpCode | 整数 | 34 | 对于 ICMP 消息,ICMP 消息类型数值 (RFC 2780 或 RFC 4443) 。 | 网络 |
| NetworkIcmpType | String | 无法访问目标 | 对于 ICMP 消息,ICMP 消息类型文本表示形式 (RFC 2780 或 RFC 4443) 。 | 网络 |
| DstPackets | int | 446 | 从目标发送到连接或会话源的数据包数。 数据包的含义由报告设备定义。 | 目标 |
| SrcPackets | int | 6478 | 从源发送到连接或会话目标的数据包数。 数据包的含义由报告设备定义。 | 源 |
| NetworkPackets | int | 0 | 双向发送的数据包数。 如果 PacketsReceived 和 PacketsSent 都存在,则 BytesTotal 应等于其和。 | 网络 |
| HttpRequestTime | 整数 | 700 | 将请求发送到服务器所花费的时间(如果适用)。 | Http |
| HttpResponseTime | 整数 | 800 | 在服务器中接收响应所花费的时间(如果适用)。 | Http |
| NetworkRuleName | String | AnyAnyDrop | 确定 DeviceAction 所依据的规则的名称或 ID | 网络 |
| NetworkRuleNumber | int | 23 | 匹配的规则编号 | 网络 |
| NetworkSessionId | string | 172_12_53_32_4322__123_64_207_1_80 | 报告设备报告的会话标识符。 例如,身份验证后特定应用程序的 L7 会话标识符 | 网络 |
| SrcGeoCity | String | 伯 灵 顿 | 与源 IP 地址关联的城市 | 源 地理位置 |
| SrcGeoCountry | 国家/地区 (字符串) | 美国 | 与源 IP 地址关联的国家/地区 | 源 地理位置 |
| SrcDvcHostname | 设备名称 (字符串) | 小人 | 源设备的设备名称 | 源 设备 |
| SrcDvcFqdn | string | Villain.malicious.com | 创建日志的主机的完全限定域名 | 源 设备 |
| SrcDvcDomain | string | EVILORG | 从中启动会话的设备域 | 源 设备 |
| SrcDvcOs | String | iOS | 源设备的 OS | 源 设备 |
| SrcDvcModelName | String | Samsung Galaxy Note | 源设备的型号名称 | 源 设备 |
| SrcDvcModelNumber | String | 10.0 | 源设备的型号 | 源 设备 |
| SrcDvcType | String | 移动设备 | 源设备的类型 | 源 设备 |
| SrcInterfaceName | String | eth01 | 源设备用于连接或会话的网络接口。 | 源 |
| SrcInterfaceGuid | String | 46ad544b-eaf0-47ef-827c-266030f545a6 | 使用的网络接口的 GUID | 源 |
| SrcIpAddr | IP 地址 | 77.138.103.108 | 发起连接或会话的 IP 地址。 | 源 IP |
| SrcDvcIpAddr | IP 地址 | 77.138.103.108 | 不直接与网络数据包关联的设备的源 IP 地址 (提供程序收集或显式计算) 。 | 源 装置 IP |
| SrcGeoLatitude | 纬度 (双) | 44.475833 | 与源 IP 地址关联的地理坐标的纬度 | 源 地理位置 |
| SrcGeoLongitude | 经度 (双) | -73.211944 | 与源 IP 地址关联的地理坐标的经度 | 源 地理位置 |
| SrcMacAddr | String | 06:10:9f:eb:8f:14 | 发起连接 od 会话的网络接口的 MAC 地址。 | 源 Mac |
| SrcDvcMacAddr | String | 06:10:9f:eb:8f:14 | 不直接与网络数据包关联的设备的源 MAC 地址。 | 源 装置 Mac |
| SrcPortNumber | 整数 | 2335 | 发起连接的 IP 端口。 可能与包含多个连接的会话无关。 | 源 端口 |
| SrcGeoRegion | 区域 (字符串) | 佛蒙特州 | 与源 IP 地址关联的国家/地区中的区域 | 源 地理位置 |
| SrcResourceId | String | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | 生成消息的设备的资源 ID。 | 源 |
| SrcNatIpAddr | IP 地址 | 4.3.2.1 | 如果由中间 NAT 设备(如防火墙)报告,则 NAT 设备用于与目标通信的 IP 地址。 | 源 NAT、 IP |
| SrcNatPortNumber | 整数 | 345 | 如果由中间 NAT 设备(如防火墙)报告,则 NAT 设备用于与目标通信的端口。 | 源 NAT、 端口 |
| SrcUserSid | 用户 ID (字符串) | S-15-1445 | 与会话源关联的标识的用户 ID。 通常,用户在客户端上执行操作。 有关详细信息,请参阅 数据类型和格式。 | 源 用户 |
| SrcUserAadId | 字符串 (guid) | 16c8752c-7dd2-4cad-9e03-fb5d1cee5477 | 会话源端用户的Microsoft Entra帐户对象 ID | 源 用户 |
| SrcUserName | 用户名 (字符串) | 鲍勃 | 与会话源关联的标识的用户名。 通常,用户在客户端上执行操作。 有关详细信息,请参阅 数据类型和格式。 | 源 用户 |
| SrcUserUpn | string | bob@alice.com | 启动会话的帐户的 UPN | 源 用户 |
| SrcUserDomain | string | 桌面 | 启动会话的帐户的域 | 源 用户 |
| SrcZone | String | 点击 | 源的网络区域,由报告设备定义。 | 源 |
| NetworkProtocol | String | TCP | 连接或会话使用的 IP 协议。 通常为 TCP、UDP 或 ICMP | 网络 |
| CloudAppName | String | 代理标识的 HTTP 应用程序的目标应用程序的名称。 | 云 | |
| CloudAppId | String | 124 | 代理标识的 HTTP 应用程序的目标应用程序的 ID。 此值通常特定于使用的代理。 | 云 |
| CloudAppOperation | String | DeleteFile | 用户在目标应用程序上下文中为代理标识的 HTTP 应用程序执行的操作。 此值通常特定于使用的代理。 | 云 |
| CloudAppRiskLevel | String | 3 | 与代理标识的 HTTP 应用程序关联的风险级别。 此值通常特定于使用的代理。 | 云 |
| FileName | String | ImNotMalicious.exe | 通过网络连接传输的文件名,用于提供文件名信息的协议(例如 FTP 和 HTTP)。 | 文件 |
| FilePath | String | C:\Malicious\ImNotMalicious.exe | 文件的完整路径,包括文件名 | 文件 |
| FileHashMd5 | String | 51BC68715FC7C109DCEA406B42D9D78F | 通过协议的网络连接传输的文件的 MD5 哈希值。 | 文件 |
| FileHashSha1 | String | 491AE3...C299821476F4 | 通过协议的网络连接传输的文件的 SHA1 哈希值。 | 文件 |
| FileHashSha256 | String | 9B8F8EDB...C129976F03 | 通过协议的网络连接传输的文件的 SHA256 哈希值。 | 文件 |
| FileHashSha512 | String | 5E127D...F69F73F01F361 | 通过协议的网络连接传输的文件的 SHA512 哈希值。 | 文件 |
| FileExtension | String | Exe | 通过 FTP 和 HTTP 等协议的网络连接传输的文件的类型。 | 文件 |
| FileMimeType | String | application/msword | 通过 FTP 和 HTTP 等协议的网络连接传输的文件的 MIME 类型 | 文件 |
| FileSize | 整数 | 23500 | 通过协议的网络连接传输的文件的文件大小(以字节为单位)。 | 文件 |
| HttpVersion | String | 2.0 | HTTP/HTTPS 网络连接的 HTTP 请求版本。 | Http |
| HttpRequestMethod | String | GET | HTTP/HTTPS 网络会话的 HTTP 方法。 | Http |
| HttpStatusCode | String | 404 | HTTP/HTTPS 网络会话的 HTTP 状态代码。 | Http |
| HttpContentType | String | multipart/form-data;boundary=某物 | HTTP/HTTPS 网络会话的 HTTP 响应内容类型标头。 | Http |
| HttpReferrerOriginal | String | https://developer.mozilla.org/en-US/docs/Web/JavaScript | HTTP/HTTPS 网络会话的 HTTP 引用网站标头。 | Http |
| HttpUserAgentOriginal | String | Mozilla/5.0 (Windows NT 10.0;WOW64) AppleWebKit/537.36 (KHTML,如 Gecko) Chrome/83.0.4103.97 Safari/537.36 | HTTP/HTTPS 网络会话的 HTTP 用户代理标头。 | Http |
| HttpRequestXff | String | 120.12.41.1 | HTTP/HTTPS 网络会话的 HTTP X-Forwarded-For 标头。 | Http |
| UrlCategory | String | 搜索引擎 | 定义的 URL 分组(可能基于 URL 中的域),与内容相关。 例如:成人、新闻、广告、已停域等。) | url |
| UrlOriginal | String | https:// contoso.com/fo/?k=v&q=u#f | HTTP/HTTPS 网络会话的 HTTP 请求 URL。 | URL |
| UrlHostname | String | contoso.com | HTTP/HTTPS 网络会话的 HTTP 请求 URL 的域部分。 | URL |
| ThreatCategory | String | 木马 | 由安全系统(例如 IPS 的 Web 安全网关)标识的威胁类别,并与此网络会话相关联。 | 威胁 |
| ThreatId | String | Tr.124 | 由安全系统(例如 IPS 的 Web 安全网关)标识的威胁的 ID,并与此网络会话相关联。 | 威胁 |
| ThreatName | String | EICAR 测试文件 | 已识别的威胁或恶意软件的名称 | 威胁 |
| AdditionalFields | 动态 (JSON 包) | { 属性 1:“val1”, Property2:“val2” } |
当架构中没有相应的列匹配时,其他字段可以存储在 JSON 包中。 对于查询时分析,建议提升其他列而不是使用 JSON 包,因为将数据打包到 JSON 代码中会降低查询性能。 |
自定义字段 |
版本 0.1 和版本 0.2 之间的差异
Microsoft Sentinel网络会话规范化架构的原始版本(版本 0.1)在 ASIM 可用之前作为预览版发布。
本文介绍的版本 0.1 与 版本 0.2.x 之间的差异包括:
- 在版本 0.2 中,统一和特定于源的分析程序名称已更改为符合标准 ASIM 命名约定。
- 版本 0.2 添加了特定准则和统一分析程序,以适应特定的设备类型。
以下部分介绍了 版本 0.2.x 在特定字段方面有何不同。
在版本 0.2 中添加了字段
以下字段已在 版本 0.2.x 中添加,在版本 0.1 中不存在:
- DstAppType
- DstDeviceType
- DstDomainType
- DstDvcId
- DstDvcIdType
- DstOriginalUserType
- DstUserIdType
- DstUsernameType
- DstUserType
- DvcActionOriginal
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcIdType
- EventOriginalSeverity
- EventOriginalType
- SrcAppId
- SrcAppName
- SrcAppType
- SrcDeviceType
- SrcDomainType
- SrcDvcId
- SrcDvcIdType
- SrcOriginalUserType
- SrcUserIdType
- SrcUsernameType
- SrcUserType
- ThreatRiskLevelOriginal
- URL
版本 0.2 中新别名的字段
以下字段现在在 版本 0.2.x 中进行了别名,并引入了 ASIM:
| 0.1 版中的字段 | 版本 0.2 中的别名 |
|---|---|
| SessionId | NetworkSessionId |
| 持续时间 | NetworkDuration |
| IpAddr | SrcIpAddr |
| 用户 | DstUsername |
| 主机名称 | DstHostname |
| UserAgent | HttpUserAgent |
版本 0.2 中修改的字段
以下字段在 版本 0.2.x 中枚举,需要提供列表中的特定值。
- EventType
- EventResultDetails
- EventSeverity
版本 0.2 中重命名的字段
以下字段已在 版本 0.2.x 中重命名:
在版本 0.2 中,使用内置的 Log Analytics 字段:
请注意,
ingestion_time()是 KQL 函数,而不是字段名称。0.1 版中的字段 在版本 0.2 中重命名 EventResourceId _ResourceId EventUid _ItemId EventTimeIngested ingestion_time () 重命名为与 ASIM 和 OSSEM 中的改进保持一致:
0.1 版中的字段 在版本 0.2 中重命名 HttpReferrerOriginal HttpReferrer HttpUserAgentOriginal HttpUserAgent 重命名以反映网络会话目标不一定是云服务:
0.1 版中的字段 在版本 0.2 中重命名 CloudAppId DstAppId CloudAppName DstAppName CloudAppRiskLevel ThreatRiskLevel 重命名以更改大小写并与用户实体的 ASIM 处理保持一致:
0.1 版中的字段 在版本 0.2 中重命名 DstUserName DstUsername SrcUserName SrcUsername 重命名以更好地与 ASIM 设备实体保持一致,并允许使用Azure以外的资源 ID:
0.1 版中的字段 在版本 0.2 中重命名 DstResourceId SrcDvcAzureResourceId SrcResourceId SrcDvcAzureResourceId 重命名以从字段名称中删除
Dvc字符串,因为版本 0.1 中的处理不一致:0.1 版中的字段 在版本 0.2 中重命名 DstDvcDomain DstDomain DstDvcFqdn DstFqdn DstDvcHostname DstHostname SrcDvcDomain SrcDomain SrcDvcFqdn SrcFqdn SrcDvcHostname SrcHostname 重命名为与 ASIM 文件表示指南保持一致:
0.1 版中的字段 在版本 0.2 中重命名 FileHashMd5 FileMD5 FileHashSha1 FileSHA1 FileHashSha256 FileSHA256 FileHashSha512 FileSHA512 FileMimeType FileContentType
删除了 0.2 版中的字段
以下字段仅在版本 0.1 中存在,并在 版本 0.2.x 中删除:
| Reason | 已删除字段 |
|---|---|
已删除,因为存在重复项,字段名称中没有 Dvc 字符串 |
- DstDvcIpAddr - DstDvcMacAddr - SrcDvcIpAddr - SrcDvcMacAddr |
| 删除以与 URL 的 ASIM 处理保持一致 | - UrlHostname |
|
已删除,因为这些字段通常不作为网络会话事件的一部分提供。 如果事件包括这些字段,请使用 进程事件架构 来了解如何描述设备属性。 |
- SrcDvcOs - SrcDvcModelName - SrcDvcModelNumber - DvcMacAddr - DvcOs |
| 删除以与 ASIM 文件表示指南保持一致 | - FilePath - FileExtension |
| 已删除,因为此字段指示应使用不同的架构,例如 身份验证架构。 | - CloudAppOperation |
复制时删除 DstHostname |
- DstDomainHostname |
后续步骤
有关更多信息,请参阅: