進階安全性資訊模型 (ASIM) 網路工作階段正規化架構參考 (公開預覽)
Microsoft Sentinel 網路會話正規化架構代表 IP 網路活動,例如網路連線和網路會話。 例如,操作系統、路由器、防火牆和入侵預防系統會報告這類事件。
網路正規化架構可以代表任何類型的IP網路會話,但其設計目的是支援常見的來源類型,例如 Netflow、防火牆和入侵預防系統。
如需Microsoft Sentinel 中正規化的詳細資訊,請參閱正規化和進階安全性資訊模型 (ASIM)。
本文說明網路正規化架構的0.2.x版。 0.1 版是在 ASIM 可用之前發行,而且在數個地方與 ASIM 不一致。 如需詳細資訊,請參閱 網路正規化架構版本之間的差異。
重要
網路正規化架構目前為預覽狀態。 此功能已推出但不提供服務等級協定。 不建議用於生產工作負載。
Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
剖析器
如需 ASIM 剖析器的詳細資訊,請參閱 ASIM 剖析器概觀。
統一剖析器
若要使用將所有 ASIM 現成剖析器統一起來的剖析器,並確保分析在所有設定的來源上執行,請使用 _Im_NetworkSession
篩選剖析器或 _ASim_NetworkSession
無參數剖析器。
您也可以從 Sentinel GitHub 存放庫Microsoft部署工作區ImNetworkSession
和ASimNetworkSession
剖析器。
如需詳細資訊,請參閱 內建的 ASIM 剖析器和工作區部署的剖析器。
現用的現用來源特定剖析器
如需網路會話剖析器清單,Microsoft Sentinel 提供現成的參考 ASIM 剖析器清單
新增您自己的標準化剖析器
開發網路工作階段資訊模型的自訂剖析器時,請使用下列語法為您的 KQL 函式命名:
vimNetworkSession<vendor><Product>
適用於參數化剖析器ASimNetworkSession<vendor><Product>
適用於一般剖析器
請參閱管理 ASIM 剖析器一文,瞭解如何將自定義剖析器新增至網路會話統一剖析器。
篩選剖析器參數
網路會話剖析器支援 篩選參數。 雖然這些參數是選擇性的,但它們可以改善查詢效能。
下列篩選參數可供使用:
名稱 | 類型 | 描述 |
---|---|---|
starttime | Datetime | 只篩選在此時間或之後啟動的網路工作階段。 |
endtime | Datetime | 只篩選在此時間或之前開始執行的網路工作階段。 |
srcipaddr_has_any_prefix | dynamic | 僅篩選來源 IP 位址欄位前置詞位於其中一個列出的值的網路工作階段。 前置詞應該以 . 結尾,例如: 10.0. 。 清單的長度限制為10,000個專案。 |
dstipaddr_has_any_prefix | dynamic | 僅篩選目的地 IP 位址欄位前置詞位於其中一個列出的值的網路會話。 前置詞應該以 . 結尾,例如: 10.0. 。 清單的長度限制為10,000個專案。 |
ipaddr_has_any_prefix | dynamic | 僅篩選目的地 IP 位址欄位或來源 IP 位址欄位前置詞位於其中一個列出的值的網路會話。 前置詞應該以 . 結尾,例如: 10.0. 。 清單的長度限制為10,000個專案。欄位 ASimMatchingIpAddr 會設定為其中一個值 SrcIpAddr 、 DstIpAddr 或 Both ,以反映相符的欄位或欄位。 |
dstportnumber | int | 僅篩選具有指定目的地埠號碼的網路會話。 |
hostname_has_any | 動態/字串 | 僅篩選目的地主機名字段具有任何列出的值的網路會話。 清單的長度限制為10,000個專案。 欄位 ASimMatchingHostname 是使用、 或 Both 值之SrcHostname DstHostname 一來設定,以反映相符的欄位或欄位。 |
dvcaction | 動態/字串 | 僅篩選 [裝置動作] 欄位是所列任何值的網路會話。 |
eventresult | String | 僅篩選具有特定 EventResult 值的網路會話。 |
某些參數可以接受類型的 dynamic
值清單或單一字串值。 若要將常值清單傳遞至預期動態值的參數,請明確使用 動態常值。 例如:dynamic(['192.168.','10.'])
例如,若要僅篩選指定功能變數名稱清單的網路工作階段,請使用:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
提示
若要將常值清單傳遞至預期動態值的參數,請明確使用 動態常值。 例如: dynamic(['192.168.','10.'])
。
標準化內容
如需使用標準化 DNS 事件之分析規則的完整清單,請參閱 網路會話安全性內容。
結構描述概觀
網路會話資訊模型會與 OSSEM 網路實體架構一致。
網路會話架構提供數種類型的類似但不同的案例,這些案例會共用相同的字段。 這些案例是由 EventType 欄位所識別:
NetworkSession
- 由監視網路的中繼裝置所報告的網路會話,例如防火牆、路由器或網路點選。L2NetworkSession
- 只有第 2 層資訊可供使用的網路工作階段。 這類事件會包含 MAC 位址,但不包含 IP 位址。Flow
- 報告多個類似網路會話的匯總事件,通常是在預先定義的時段內,例如 Netflow 事件。EndpointNetworkSession
- 工作階段的其中一個端點所報告的網路工作階段,包括客戶端和伺服器。 針對這類事件,架構支援remote
和local
別名字段。IDS
- 回報為可疑的網路會話。 這類事件會填入一些檢查欄位,而且可能只有一個IP位址欄位填入來源或目的地。
一般而言,查詢應該只選取這些事件類型的子集,而且可能需要個別解決使用案例的獨特層面。 例如,IDS 事件不會反映整個網路磁碟區,而且不應該在以數據行為基礎的分析中納入考慮。
網路會話事件會使用描述元 Src
和 Dst
來表示裝置的角色,以及會話中相關使用者和應用程式的角色。 因此,例如,來源裝置主機名和IP位址會命名 SrcHostname
為和 SrcIpAddr
。 其他 ASIM 架構通常會使用 Target
, Dst
而不是 。
針對端點所報告的事件,以及事件類型為 EndpointNetworkSession
的事件,描述項 Local
和 Remote
表示端點本身和裝置分別位於網路會話的另一端。
描述元 Dvc
用於報告裝置,這是端點所報告會話的本機系統,以及其他網路會話事件的中繼裝置或網路點選。
架構詳細數據
一般 ASIM 欄位
重要
ASIM 通用欄位一文會詳細說明 所有架構的通用欄位 。
具有特定指導方針的常見欄位
下列清單提及具有網路會話事件特定指導方針的欄位:
欄位 | 類別 | 類型 | 描述 |
---|---|---|---|
EventCount | 必要 | 整數 | Netflow 來源支持匯總,而 EventCount 字段應該設定為 Netflow FLOW 字段的值。 對於其他來源,值通常會設定為 1 。 |
EventType | 必要 | 枚舉 | 描述記錄所報告的案例。 針對網路工作階段記錄,允許的值如下: - EndpointNetworkSession - NetworkSession - L2NetworkSession - IDS - Flow 如需事件類型的詳細資訊,請參閱 架構概觀 |
EventSubType | 選擇性 | String | 如果適用的話,事件類型的其他描述。 針對網路工作階段記錄,支援的值包括: - Start - End 此欄位與事件無關 Flow 。 |
EventResult | 必要 | 枚舉 | 如果來源裝置未提供事件結果,EventResult 應以 DvcAction 的值為基礎。 如果 DvcAction 為 Deny 、、Drop 、Reset Drop ICMP 、 Reset Source 或Reset Destination 、 EventResult 應該是 Failure 。 否則, EventResult 應該是 Success 。 |
EventResultDetails | 建議需求 | 枚舉 | EventResult 字段中所報告結果的原因或詳細數據。 支援的值為: - 故障轉移 - 無效的 TCP - 無效的通道 - 重試次數上限 -重置 - 路由問題 -類比 - Terminated -超時 - 暫時性錯誤 - 未知 -那。 原始的來源特定值會儲存在 EventOriginalResultDetails 欄位中。 |
EventSchema | 必要 | String | 這裡記載的架構名稱為 NetworkSession 。 |
EventSchemaVersion | 必要 | String | 結構描述的版本。 這裡記載的架構版本為 0.2.6 。 |
DvcAction | 建議需求 | 枚舉 | 在網路會話上採取的動作。 支援的值為: - Allow - Deny - Drop - Drop ICMP - Reset - Reset Source - Reset Destination - Encrypt - Decrypt - VPNroute 注意:來源記錄中可能會使用不同的詞彙來提供此值,這應該會正規化為這些值。 原始值應該儲存在 DvcOriginalAction 欄位中。 範例: drop |
EventSeverity | 選擇性 | 枚舉 | 如果來源裝置未提供事件嚴重性,EventSeverity 應該以 DvcAction 的值為基礎。 如果 DvcAction 為 Deny 、、Drop 、Reset Drop ICMP 、 Reset Source 或Reset Destination 、 EventSeverity 應該是 Low 。 否則, EventSeverity 應該是 Informational 。 |
DvcInterface | DvcInterface 欄位應該將 DvcInboundInterface 或 DvcOutboundInterface 字段別名。 | ||
Dvc 欄位 | 針對網路會話事件,裝置字段是指報告網路會話事件的系統。 |
所有通用欄位
下表中顯示的欄位適用於所有 ASIM 架構。 上述任何指定的指導方針會覆寫欄位的一般指導方針。 例如,欄位通常是選擇性的,但特定架構的必要專案。 如需每個欄位的詳細資訊,請參閱 ASIM 通用欄位 一文。
網路會話欄位
欄位 | 類別 | 類型 | 描述 |
---|---|---|---|
NetworkApplicationProtocol | 選擇性 | String | 連接或會話所使用的應用層通訊協定。 值應全部大寫。 範例: FTP |
NetworkProtocol | 選擇性 | 枚舉 | 連線或會話所使用的IP通訊協定,如IANA通訊協定指派中所列,通常是TCP 、UDP 或ICMP 。範例: TCP |
NetworkProtocolVersion | 選擇性 | 枚舉 | NetworkProtocol 的版本。 使用它來區別 IP 版本時,請使用 值 IPv4 和 IPv6 。 |
NetworkDirection | 選擇性 | 枚舉 | 線上或會話的方向: - 針對 EventType NetworkSession 或 L2NetworkSession , Flow NetworkDirection 代表相對於組織或雲端環境界限的方向。 支援的值為 Inbound 、、 Local Outbound 、(組織)、 External (組織)或NA (不適用)。- 針對 EventType EndpointNetworkSession , NetworkDirection 代表相對於端點的方向。 支援的值為 Inbound 、、 Outbound Local 、、Listen 或 NA (不適用)。 值 Listen 表示裝置已開始接受網路連線,但實際上不一定已連線。 |
NetworkDuration | 選擇性 | 整數 | 完成網路會話或連線的時間量,以毫秒為單位。 範例: 1500 |
期間 | Alias | NetworkDuration 的別名。 | |
NetworkIcmpType | 選擇性 | String | 針對ICMP訊息,與數值相關聯的ICMP類型名稱,如IPv4網路連線的 RFC 2780 中所述,或IPv6網路連線的 RFC 4443 中所述。 範例: Destination Unreachable 適用於 NetworkIcmpCode 3 |
NetworkIcmpCode | 選擇性 | 整數 | 針對ICMP訊息,如 RFC 2780 針對IPv4網路連線所述,或針對IPv6網路連線使用 RFC 4443 中所述的ICMP代碼編號。 |
NetworkConnectionHistory | 選擇性 | String | TCP 旗標和其他潛在的IP標頭資訊。 |
DstBytes | 建議需求 | Long | 從目的地傳送到連線或會話來源的位元元組數目。 如果匯總事件, DstBytes 應該是所有匯總會話的總和。 範例: 32455 |
SrcBytes | 建議需求 | Long | 從來源傳送到連線或會話目的地的位元元組數目。 如果匯總事件, SrcBytes 應該是所有匯總會話的總和。 範例: 46536 |
NetworkBytes | 選擇性 | Long | 雙向傳送的位元組數目。 如果 BytesReceived 和 BytesSent 都存在,BytesTotal 應該等於其總和。 如果匯總事件, NetworkBytes 應該是所有匯總會話的總和。 範例: 78991 |
DstPackets | 選擇性 | Long | 從目的地傳送至連線或會話來源的封包數目。 封包的意義是由報告裝置所定義。 如果匯總事件, DstPackets 應該是所有匯總會話的總和。 範例: 446 |
SrcPackets | 選擇性 | Long | 從來源傳送至連線或會話目的地的封包數目。 封包的意義是由報告裝置所定義。 如果匯總事件, SrcPackets 應該是所有匯總會話的總和。 範例: 6478 |
NetworkPackets | 選擇性 | Long | 雙向傳送的封包數目。 如果 PacketsReceived 和 PacketsSent 都存在,BytesTotal 應該等於其總和。 封包的意義是由報告裝置所定義。 如果匯總事件, NetworkPackets 應該是所有匯總會話的總和。 範例: 6924 |
NetworkSessionId | 選擇性 | 字串 | 報告裝置所報告的會話標識碼。 範例: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
SessionId | Alias | String | NetworkSessionId 的別名。 |
TcpFlagsAck | 選擇性 | 布林值 | 回報 TCP ACK 旗標。 通知旗標用來確認封包的成功接收。 如上圖所示,接收者會在三向交握程式的第二個步驟中傳送 ACK 和 SYN,告知傳送者收到其初始封包。 |
TcpFlagsFin | 選擇性 | 布林值 | 回報 TCP FIN 旗標。 完成的旗標表示發件者不再有數據。 因此,它會用於傳送者傳送的最後一個封包中。 |
TcpFlagsSyn | 選擇性 | 布林值 | 回報 TCP SYN 旗標。 同步處理旗標是建立兩部主機之間三向交握的第一個步驟。 只有寄件人和接收者的第一個封包才應設定此旗標。 |
TcpFlagsUrg | 選擇性 | 布林值 | TCP 敦促旗標報告。 緊急旗標可用來通知接收者在處理所有其他封包之前處理緊急封包。 接收者會在收到所有已知的緊急數據時收到通知。 如需詳細資訊,請參閱 RFC 6093 。 |
TcpFlagsPsh | 選擇性 | 布林值 | 回報 TCP PSH 旗標。 推送旗標類似於 PUSH 旗標,並告訴接收者在收到封包時處理這些封包,而不是緩衝處理這些封包。 |
TcpFlagsRst | 選擇性 | 布林值 | 回報 TCP RST 旗標。 當封包傳送至未預期封包的特定主機時,重設旗標會從接收者傳送到傳送者。 |
TcpFlagsEce | 選擇性 | 布林值 | 回報 TCP ECE 旗標。 此旗標負責指出 TCP 對等是否 支援 ECN。 如需詳細資訊,請參閱 RFC 3168 。 |
TcpFlagsCwr | 選擇性 | 布林值 | 回報 TCP CWR 旗標。 傳送主機會使用壅塞窗口縮減旗標,以指出它已收到已設定 ECE 旗標的封包。 如需詳細資訊,請參閱 RFC 3168 。 |
TcpFlagsN | 選擇性 | 布林值 | 回報 TCP NS 旗標。 Nonce sum 旗標仍然是實驗性旗標,用來協助防止傳送者意外惡意隱藏封包。 如需詳細資訊,請參閱 RFC 3540 |
目的地系統欄位
欄位 | 類別 | 類型 | 描述 |
---|---|---|---|
Dst | 建議需求 | Alias | 接收 DNS 要求之伺服器的唯一標識碼。 此欄位可能會將 DstDvcId、 DstHostname 或 DstIpAddr 欄位別名。 範例: 192.168.12.1 |
DstIpAddr | 建議需求 | IP 位址 | 線上或會話目的地的IP位址。 如果會話使用網路位址轉譯,DstIpAddr 則為公開可見的位址,而不是來源的原始位址,儲存在 DstNatIpAddr 中範例: 2001:db8::ff00:42:8329 注意:如果 指定 DstHostname ,這個值是必要的。 |
DstPortNumber | 選擇性 | 整數 | 目的地 IP 連接埠。 範例: 443 |
DstHostname | 建議需求 | 主機名稱 | 目的地裝置主機名,不包括網域資訊。 如果沒有可用的裝置名稱,請將相關的IP位址儲存在此欄位中。 範例: DESKTOP-1282V4D |
DstDomain | 建議需求 | String | 目的地裝置的網域。 範例: Contoso |
DstDomainType | 條件 | 枚舉 | DstDomain 的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的 DomainType。 如果使用 DstDomain ,則為必要項。 |
DstFQDN | 選擇性 | String | 目的地裝置主機名,包括可用時的網域資訊。 範例: Contoso\DESKTOP-1282V4D 注意:此欄位同時支持傳統的 FQDN 格式和 Windows 網域\主機名格式。 DstDomainType 會反映所使用的格式。 |
DstDvcId | 選擇性 | String | 目的地裝置的標識碼。 如果有多個識別碼可用,請使用最重要的標識符,並將其他標識符儲存在字段中 DstDvc<DvcIdType> 。 範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
DstDvcScopeId | 選擇性 | String | 裝置所屬的雲端平臺範圍標識碼。 DstDvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及對應至 AWS 上的帳戶標識碼。 |
DstDvcScope | 選擇性 | String | 裝置所屬的雲端平台範圍。 DstDvcScope 對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
DstDvcIdType | 條件 | 枚舉 | DstDvcId 的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的 DvcIdType。 如果使用 DstDeviceId ,則為必要專案。 |
DstDeviceType | 選擇性 | 枚舉 | 目的地裝置的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的DeviceType。 |
DstZone | 選擇性 | String | 目的地的網路區域,如報告裝置所定義。 範例: Dmz |
DstInterfaceName | 選擇性 | String | 目的地裝置用於連線或會話的網路介面。 範例: Microsoft Hyper-V Network Adapter |
DstInterfaceGuid | 選擇性 | String | 目的地裝置上使用之網路介面的 GUID。 範例: 46ad544b-eaf0-47ef- 827c-266030f545a6 |
DstMacAddr | 選擇性 | String | 目的地裝置用於連線或會話之網路介面的 MAC 位址。 範例: 06:10:9f:eb:8f:14 |
DstVlanId | 選擇性 | String | 與目的地裝置相關的 VLAN 識別碼。 範例: 130 |
OuterVlanId | 選擇性 | Alias | DstVlanId 的別名。 在許多情況下,VLAN 無法判斷為來源或目的地,但特性為內部或外部。 這個別名表示 當 VLAN 特徵為外部時,應該使用 DstVlanId 。 |
DstSubscriptionId | 選擇性 | String | 目的地裝置所屬的雲端平臺訂用帳戶標識碼。 DstSubscriptionId 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
DstGeoCountry | 選擇性 | Country | 與目的地IP位址相關聯的國家/地區。 如需詳細資訊,請參閱 邏輯類型。 範例: USA |
DstGeoRegion | 選擇性 | 區域 | 與目的地IP位址相關聯的區域或狀態。 如需詳細資訊,請參閱 邏輯類型。 範例: Vermont |
DstGeoCity | 選擇性 | 縣/市 | 與目的地IP位址相關聯的城市。 如需詳細資訊,請參閱 邏輯類型。 範例: Burlington |
DstGeoLatitude | 選擇性 | 緯度 | 與目的地IP位址相關聯的地理座標緯度。 如需詳細資訊,請參閱 邏輯類型。 範例: 44.475833 |
DstGeoLongitude | 選擇性 | 經度 | 與目的地IP位址相關聯的地理座標經度。 如需詳細資訊,請參閱 邏輯類型。 範例: 73.211944 |
目的地使用者欄位
欄位 | 類別 | 類型 | 描述 |
---|---|---|---|
DstUserId | 選擇性 | String | 計算機可讀取、英數位元、目的地使用者的唯一表示法。 如需不同標識碼類型支援的格式,請參閱 User實體。 範例: S-1-12 |
DstUserScope | 選擇性 | String | 定義 DstUserId 和 DstUsername 的 entra 租使用者等範圍,例如 Microsoft。 或詳細資訊和允許的值清單,請參閱架構概觀一文中的UserScope。 |
DstUserScopeId | 選擇性 | String | 定義 DstUserId 和 DstUsername 的範圍標識碼,例如 Microsoft Entra Directory ID。 如需允許值的詳細資訊和清單,請參閱架構概觀一文中的UserScopeId。 |
DstUserIdType | 條件 | UserIdType | 儲存在 DstUserId 欄位中的標識碼類型。 如需允許值和進一步資訊的清單,請參閱架構概觀一文中的UserIdType。 |
DstUsername | 選擇性 | String | 目的地用戶名稱,包括可用時的網域資訊。 如需不同標識碼類型支援的格式,請參閱 User實體。 只有在網域信息無法使用時,才使用簡單表單。 將 [使用者名稱類型] 儲存在 [DstUsernameType ] 字段中。 如果有其他使用者名稱格式可供使用,請將它們儲存在欄位中 DstUsername<UsernameType> 。範例: AlbertE |
使用者 | Alias | DstUsername 的別名。 | |
DstUsernameType | 條件 | UsernameType | 指定儲存在 DstUsername 欄位中的使用者名稱 類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的UsernameType。 範例: Windows |
DstUserType | 選擇性 | UserType | 目的地用戶的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的UserType。 注意:來源記錄中可能會使用不同的詞彙來提供此值,這應該會正規化為這些值。 將原始值儲存在 DstOriginalUserType 欄位中。 |
DstOriginalUserType | 選擇性 | String | 來源所提供的原始目的地用戶類型。 |
目的地應用程式欄位
欄位 | 類別 | 類型 | 描述 |
---|---|---|---|
DstAppName | 選擇性 | String | 目的地應用程式的名稱。 範例: Facebook |
DstAppId | 選擇性 | String | 目的地應用程式的標識碼,如報告裝置所報告。如果 DstAppType 為 Process , DstAppId 且 DstProcessId 應該具有相同的值。範例: 124 |
DstAppType | 選擇性 | AppType | 目的地應用程式的型別。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的AppType。 如果使用 DstAppName 或 DstAppId ,則此欄位是必要的。 |
DstProcessName | 選擇性 | String | 終止網路會話之進程的檔名。 此名稱通常被視為進程名稱。 範例: C:\Windows\explorer.exe |
處理 | Alias | DstProcessName 的 別名 範例: C:\Windows\System32\rundll32.exe |
|
DstProcessId | 選擇性 | String | 終止網路會話之進程的進程標識碼 (PID)。 範例: 48610176 注意:類型定義為 支援不同系統的字串 ,但在 Windows 和 Linux 上,此值必須是數值。 如果您使用 Windows 或 Linux 計算機並使用不同的類型,請務必轉換值。 例如,如果您使用十六進位值,請將它轉換成十進位值。 |
DstProcessGuid | 選擇性 | String | 終止網路會話之進程所產生的唯一標識碼 (GUID)。 範例: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
來源系統欄位
欄位 | 類別 | 類型 | 描述 |
---|---|---|---|
Src | Alias | 來源裝置的唯一標識碼。 此欄位可能會將 SrcDvcId、 SrcHostname 或 SrcIpAddr 字段別名。 範例: 192.168.12.1 |
|
SrcIpAddr | 建議需求 | IP 位址 | 線上或會話的來源IP位址。 如果 指定 SrcHostname ,這個值是必要的。 如果會話使用網路位址轉換, SrcIpAddr 則為公開可見的位址,而不是儲存在 SrcNatIpAddr 中來源的原始位址範例: 77.138.103.108 |
SrcPortNumber | 選擇性 | 整數 | 線上來源 IP 連接埠。 可能與組成多個連線的會話無關。 範例: 2335 |
SrcHostname | 建議需求 | 主機名稱 | 來源裝置主機名,不包括網域資訊。 如果沒有可用的裝置名稱,請將相關的IP位址儲存在此欄位中。 範例: DESKTOP-1282V4D |
SrcDomain | 建議需求 | String | 來源裝置的網域。 範例: Contoso |
SrcDomainType | 條件 | DomainType | SrcDomain 的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的 DomainType。 如果使用 SrcDomain ,則為必要項。 |
SrcFQDN | 選擇性 | String | 來源裝置主機名,包括可用時的網域資訊。 注意:此欄位同時支持傳統的 FQDN 格式和 Windows 網域\主機名格式。 SrcDomainType 字段會反映所使用的格式。 範例: Contoso\DESKTOP-1282V4D |
SrcDvcId | 選擇性 | String | 來源裝置的標識碼。 如果有多個識別碼可用,請使用最重要的標識符,並將其他標識符儲存在字段中 SrcDvc<DvcIdType> 。範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
SrcDvcScopeId | 選擇性 | String | 裝置所屬的雲端平臺範圍標識碼。 SrcDvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及對應至 AWS 上的帳戶標識碼。 |
SrcDvcScope | 選擇性 | String | 裝置所屬的雲端平台範圍。 SrcDvcScope 對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
SrcDvcIdType | 條件 | DvcIdType | SrcDvcId 的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的 DvcIdType。 注意:如果使用 SrcDvcId ,則需要此欄位。 |
SrcDeviceType | 選擇性 | DeviceType | 來源裝置的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的DeviceType。 |
SrcZone | 選擇性 | String | 來源的網路區域,如報告裝置所定義。 範例: Internet |
SrcInterfaceName | 選擇性 | String | 來源裝置用於連線或會話的網路介面。 範例: eth01 |
SrcInterfaceGuid | 選擇性 | String | 來源裝置上使用之網路介面的 GUID。 範例: 46ad544b-eaf0-47ef- 827c-266030f545a6 |
SrcMacAddr | 選擇性 | String | 聯機或會話來源之網路介面的 MAC 位址。 範例: 06:10:9f:eb:8f:14 |
SrcVlanId | 選擇性 | String | 與來源裝置相關的 VLAN 識別碼。 範例: 130 |
InnerVlanId | 選擇性 | Alias | SrcVlanId 的別名。 在許多情況下,VLAN 無法判斷為來源或目的地,但特性為內部或外部。 這個別名表示 當 VLAN 特性為內部時,應該使用 SrcVlanId 。 |
SrcSubscriptionId | 選擇性 | String | 來源裝置所屬的雲端平臺訂用帳戶標識碼。 SrcSubscriptionId 會對應至 Azure 上的訂用帳戶標識碼,以及對應至 AWS 上的帳戶標識碼。 |
SrcGeoCountry | 選擇性 | Country | 與來源IP位址相關聯的國家/地區。 範例: USA |
SrcGeoRegion | 選擇性 | 區域 | 與來源IP位址相關聯的區域。 範例: Vermont |
SrcGeoCity | 選擇性 | 縣/市 | 與來源IP位址相關聯的城市。 範例: Burlington |
SrcGeoLatitude | 選擇性 | 緯度 | 與來源IP位址相關聯的地理座標緯度。 範例: 44.475833 |
SrcGeoLongitude | 選擇性 | 經度 | 與來源IP位址相關聯的地理座標經度。 範例: 73.211944 |
來源使用者欄位
欄位 | 類別 | 類型 | 描述 |
---|---|---|---|
SrcUserId | 選擇性 | String | 計算機可讀取、英數位元、來源使用者的唯一表示法。 如需不同標識碼類型支援的格式,請參閱 User實體。 範例: S-1-12 |
SrcUserScope | 選擇性 | String | 定義 SrcUserId 和 SrcUsername 的 Microsoft Entra 租使用者等範圍。 或詳細資訊和允許的值清單,請參閱架構概觀一文中的UserScope。 |
SrcUserScopeId | 選擇性 | String | 定義 SrcUserId 和 SrcUsername 的範圍標識碼,例如 Microsoft Entra 目錄標識符。 如需允許值的詳細資訊和清單,請參閱架構概觀一文中的UserScopeId。 |
SrcUserIdType | 條件 | UserIdType | 儲存在 SrcUserId 欄位中的識別碼類型。 如需允許值和進一步資訊的清單,請參閱架構概觀一文中的UserIdType。 |
SrcUsername | 選擇性 | String | 來源用戶名稱,包括可用時的網域資訊。 如需不同標識碼類型支援的格式,請參閱 User實體。 只有在網域信息無法使用時,才使用簡單表單。 將 [使用者名稱類型] 儲存在 [SrcUsernameType ] 字段中。 如果有其他使用者名稱格式可供使用,請將它們儲存在欄位中 SrcUsername<UsernameType> 。範例: AlbertE |
SrcUsernameType | 條件 | UsernameType | 指定儲存在 SrcUsername 欄位中的使用者名稱 類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的UsernameType。 範例: Windows |
SrcUserType | 選擇性 | UserType | 來源用戶的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的UserType。 注意:來源記錄中可能會使用不同的詞彙來提供此值,這應該會正規化為這些值。 將原始值儲存在 SrcOriginalUserType 欄位中。 |
SrcOriginalUserType | 選擇性 | String | 如果報告裝置提供,則為原始目的地用戶類型。 |
來源應用程式欄位
欄位 | 類別 | 類型 | 描述 |
---|---|---|---|
SrcAppName | 選擇性 | String | 來源應用程式的名稱。 範例: filezilla.exe |
SrcAppId | 選擇性 | String | 來源應用程式的標識碼,如報告裝置所報告。 如果 SrcAppType 為 Process , SrcAppId 且 SrcProcessId 應該具有相同的值。範例: 124 |
SrcAppType | 選擇性 | AppType | 來源應用程式的型別。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的AppType。 如果使用 SrcAppName 或 SrcAppId ,則此欄位為必要字段。 |
SrcProcessName | 選擇性 | String | 起始網路會話之進程的檔名。 此名稱通常被視為進程名稱。 範例: C:\Windows\explorer.exe |
SrcProcessId | 選擇性 | String | 起始網路會話之進程的進程標識碼 (PID)。 範例: 48610176 注意:類型定義為 支援不同系統的字串 ,但在 Windows 和 Linux 上,此值必須是數值。 如果您使用 Windows 或 Linux 計算機並使用不同的類型,請務必轉換值。 例如,如果您使用十六進位值,請將它轉換成十進位值。 |
SrcProcessGuid | 選擇性 | String | 起始網路會話之進程的產生唯一標識碼 (GUID)。 範例: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
本機和遠端別名
以上所列的所有來源和目的地字段,都可以由具有相同名稱和描述元 Local
和的 Remote
字段選擇性別名。 這通常有助於端點所報告的事件,且事件類型為 EndpointNetworkSession
。
對於這類事件,描述項 Local
和 Remote
分別表示端點本身和網路會話另一端的裝置。 針對輸入連線,本機系統是目的地、 Local
欄位是欄位的別名 Dst
,而 'Remote' 字段則是字段的 Src
別名。 相反地,對於輸出連線,本機系統是來源、 Local
欄位是欄位的別名 Src
,而 Remote
欄位則是欄位的 Dst
別名。
例如,針對輸入事件,欄位 LocalIpAddr
是的 DstIpAddr
別名,而欄位 RemoteIpAddr
是 的 SrcIpAddr
別名。
主機名和IP位址別名
欄位 | 類別 | 類型 | 描述 |
---|---|---|---|
主機名稱 | Alias | - 如果事件類型為 NetworkSession 、 Flow 或 L2NetworkSession ,Hostname 是 DstHostname 的別名。- 如果事件類型為 EndpointNetworkSession ,Hostname 是 的RemoteHostname 別名,視 NetworkDirection 而定,可能會將 DstHostname 或 SrcHostName 別名別名 |
|
IpAddr | Alias | - 如果事件類型為 NetworkSession 、 Flow 或 L2NetworkSession ,IpAddr 是 SrcIpAddr 的別名。- 如果事件類型為 EndpointNetworkSession ,IpAddr 是 的LocalIpAddr 別名,視 NetworkDirection 而定,它可以將 SrcIpAddr 或 DstIpAddr 別名化。 |
中繼裝置和網路位址轉換 (NAT) 欄位
如果記錄包含中繼裝置的相關信息,例如防火牆或 Proxy,轉播網路會話,下列字段會很有用。
中繼系統通常會使用位址轉譯,因此在外部觀察到的原始位址和位址並不相同。 在這種情況下,SrcIPAddr 和 DstIpAddr 等主要位址字段代表外部觀察到的位址,而 NAT 位址欄位、SrcNatIpAddr 和 DstNatIpAddr 則代表原始裝置的內部位址,然後再翻譯。
檢查欄位
下列欄位可用來表示執行防火牆、IPS 或 Web 安全性閘道等安全性裝置的檢查:
欄位 | 類別 | 類型 | 描述 |
---|---|---|---|
NetworkRuleName | 選擇性 | String | 決定 DvcAction 規則的名稱或標識碼。 範例: AnyAnyDrop |
NetworkRuleNumber | 選擇性 | 整數 | DvcAction 決定的規則數目。 範例: 23 |
規則 | Alias | String | NetworkRuleName 的值或 NetworkRuleNumber 的值。 如果使用 NetworkRuleNumber 的值,則類型應該轉換成字串。 |
ThreatId | 選擇性 | String | 網路會話中識別的威脅或惡意代碼標識碼。 範例: Tr.124 |
ThreatName | 選擇性 | String | 網路會話中識別的威脅或惡意代碼名稱。 範例: EICAR Test File |
ThreatCategory | 選擇性 | String | 網路會話中識別的威脅或惡意代碼類別。 範例: Trojan |
ThreatRiskLevel | 選擇性 | 整數 | 與會話相關聯的風險層級。 層級應該是介於 0 到 100 之間的數位。 注意:來源記錄中可能會使用不同的小數字數來提供此值,而這個小數字數應該正規化為這個小數字數。 原始值應該儲存在 ThreatRiskLevelOriginal 中。 |
ThreatOriginalRiskLevel | 選擇性 | String | 報告裝置所報告的風險層級。 |
ThreatIpAddr | 選擇性 | IP 位址 | 識別威脅的IP位址。 Field ThreatField 包含 ThreatIpAddr 字段的名稱。 |
ThreatField | 條件 | 枚舉 | 識別威脅的欄位。 值為 SrcIpAddr 或 DstIpAddr 。 |
ThreatConfidence | 選擇性 | 整數 | 識別的威脅信賴等級,標準化為介於 0 到 100 之間的值。 |
ThreatOriginalConfidence | 選擇性 | String | 所識別威脅的原始信賴等級,如報告裝置所報告。 |
ThreatIsActive | 選擇性 | 布林值 | 如果識別的威脅被視為作用中威脅,則為 True。 |
ThreatFirstReportedTime | 選擇性 | Datetime | 第一次將IP位址或網域識別為威脅。 |
ThreatLastReportedTime | 選擇性 | Datetime | 上次將IP位址或網域識別為威脅的時間。 |
其他欄位
如果事件是由網路會話的其中一個端點所報告,它可能包含起始或終止會話之進程的相關信息。 在這種情況下, ASIM進程事件架構 是用來正規化這項資訊。
架構更新
以下是架構 0.2.1 版的變更:
- 將
Src
和Dst
新增為來源和目的地系統前置標識符的別名。 - 已新增、
SrcVlanId
、DstVlanId
、InnerVlanId
和OuterVlanId
欄位NetworkConnectionHistory
。
以下是架構 0.2.2 版的變更:
- 已新增
Remote
和Local
別名。 - 新增事件類型
EndpointNetworkSession
。 - 當
Hostname
事件類型為EndpointNetworkSession
時,分別定義為 和IpAddr
LocalIpAddr
的RemoteHostname
別名。 - 定義為
DvcInterface
或DvcOutboundInterface
的DvcInboundInterface
別名。 - 將下列欄位的類型從 Integer 變更為 Long:
SrcBytes
、、DstBytes
、NetworkBytes
SrcPackets
、DstPackets
、 和NetworkPackets
。 - 已新增、 和
DstSubscriptionId
欄位NetworkProtocolVersion
SrcSubscriptionId
。 - 已
DstUserDomain
取代與SrcUserDomain
。
以下是架構 0.2.3 版的變更:
ipaddr_has_any_prefix
已新增篩選參數。- 篩選
hostname_has_any
參數現在符合來源或目的地主機名。 - 新增欄位
ASimMatchingHostname
與ASimMatchingIpAddr
。
以下是架構 0.2.4 版的變更:
- 已新增
TcpFlags
欄位。 - 已更新
NetworkIcpmType
和NetworkIcmpCode
以反映兩者的數位值。 - 已新增其他檢查欄位。
- 欄位 'ThreatRiskLevelOriginal' 已重新命名為
ThreatOriginalRiskLevel
,以符合 ASIM 慣例。 現有的Microsoft剖析器將維持ThreatRiskLevelOriginal
到 2023 年 5 月 1 日為止。 - 標示
EventResultDetails
為建議,並指定允許的值。
以下是架構 0.2.5 版的變更:
- 新增欄
DstUserScope
位、SrcUserScope
、、、SrcDvcScopeId
、DstDvcScopeId
SrcDvcScope
、DstDvcScope
、DvcScopeId
和DvcScope
。
以下是架構 0.2.6 版的變更:
- 已將 IDS 新增為事件類型
下一步
如需詳細資訊,請參閱