Microsoft Sentinel 網路正規化架構 (舊版 - 公開預覽)
網路正規化架構可用來描述回報的網路事件,並由 Microsoft Sentinel 用來啟用統一分析。
如需詳細資訊,請參閱正規化和進階安全性資訊模型(ASIM)。
重要
本文與 0.1 版的網路正規化架構有關,此架構在 ASIM 可用之前已發行為預覽版。 網路正規化架構的 0.2.x 版與 ASIM 一致,並提供其他增強功能。
如需詳細資訊,請參閱 網路正規化架構版本之間的差異
詞彙
Microsoft Sentinel 架構中會使用下列術語:
| 詞彙 | 定義 |
|---|---|
| 報告裝置 | 將記錄傳送至 Microsoft Sentinel 的系統。 它可能不是記錄的主旨系統。 |
| 錄製 | 從報告裝置傳送的資料單位。 此資料單位通常稱為 log、 event或 alert,但也可以有其他類型的 。 |
資料類型和格式
下表提供標準化欄位所需的數據值正規化指引,並建議用於其他欄位。
| 資料類型 | 實體類型 | 格式和值 |
|---|---|---|
| 日期/時間 | 下列其中一項,視所使用的內嵌方法功能而定,優先順序遞減:
|
Log Analytics 日期時間表示法。 Log Analytics 日期和時間表示法在本質上很類似,但與 Unix 時間表示法不同。 請參閱這些轉換指導方針。 必須調整時區的日期和時間。 |
| MAC 位址 | String | 冒號十六進位表示法 |
| IP 位址 | IP 位址 | 架構沒有個別的 IPv4 和 IPv6 位址。 任何 IP 位址欄位可能包含 IPv4 位址或 IPv6 位址:
|
| 使用者 | String | 下列 3 個使用者欄位可供使用:
|
| 使用者識別碼 | String | 目前支援下列 2 個使用者識別碼:
|
| 裝置 | String | 支援下列 3 個裝置/主機資料列:
|
| 國家/地區 | String | 根據下列優先順序,使用 ISO 3166-1 的字串:
|
| 區域 | String | 使用 ISO 3166-2 的國家/地區細分名稱 |
| 市/鎮 | String | |
| 緯度 | 雙重 | ISO 6709 座標表示法(帶正負號的十進制數) |
| 緯度 | 雙重 | ISO 6709 座標表示法(帶正負號的十進制數) |
| 哈希演算法 | String | 支援下列 4 個哈希資料列:
|
| 檔案類型 | String | 檔案類型的類型:
|
網路會話數據表架構
以下是 1.0.0 版的網路會話數據表架構
| 欄位名稱 | 值類型 | 範例 | 描述 | 相關聯的 OSSEM 實體 |
|---|---|---|---|---|
| EventType | String | 交通流量 | 正在收集的事件類型 | Event |
| EventSubType | String | 驗證 | 如果適用,類型的額外描述 | Event |
| EventCount | 整數 | 10 | 如果適用,匯總的事件數目。 | Event |
| EventEndTime | 日期/時間 | 請參閱「數據類型」 | 事件結束的時間 | Event |
| EventMessage | string | 拒絕存取 | 包含或從記錄產生的一般訊息或描述 | Event |
| DvcIpAddr | IP 位址 | 23.21.23.34 | 產生記錄之裝置的IP位址 | 裝置 IP |
| DvcMacAddr | String | 06:10:9f:eb:8f:14 | 傳送事件之報告裝置網路介面的 MAC 位址。 | 裝置 Mac: |
| DvcHostname | 裝置名稱 (字串) | syslogserver1.contoso.com | 產生訊息之裝置的裝置名稱。 | 裝置 |
| EventProduct | String | OfficeSharepoint | 產生事件的產品。 | Event |
| EventProductVersion | string | 9.0 | 產生事件的產品版本。 | Event |
| EventResourceId | 裝置識別碼 (字串) | /subscriptions/3c1bb38c-82e3-4f8d-a115-a7110ba70d05 /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | 產生訊息之裝置的資源標識碼。 | Event |
| EventReportUrl | String | https://192.168.1.1/repoerts/ae3-56.htm | 報告裝置所建立完整報表的連結 | Event |
| EventVendor | String | Microsoft | 產生事件的產品的廠商。 | Event |
| EventResult | 多重值:成功、部分、失敗、[空白] (字串) | 成功 | 活動回報的結果。 不適用時為空白值。 | Event |
| EventResultDetails | String | 密碼錯誤 | EventResult 中報告結果的原因或詳細數據 | Event |
| EventSchemaVersion | Real | 0.1 | Microsoft Sentinel 架構版本。 目前為 0.1。 | Event |
| EventSeverity | String | 低 | 如果回報的活動有安全性影響,表示影響嚴重性。 | Event |
| EventOriginalUid | String | af6ae8fe-ff43-4a4c-b537-8635976a2b51 | 來自報告裝置的記錄標識碼。 | Event |
| EventStartTime | 日期/時間 | 請參閱「數據類型」 | 事件陳述的時間 | Event |
| TimeGenerated | 日期/時間 | 請參閱「數據類型」 | 事件發生的時間,如報告來源所報告。 | 自訂欄位 |
| EventTimeIngested | 日期/時間 | 請參閱「數據類型」 | 事件擷取至 Microsoft Sentinel 的時間。 Microsoft Sentinel 將會新增。 | Event |
| EventUid | Guid (字串) | 516a64e3-8360-4f1e-a67c-d96b3d52df54 | Microsoft Sentinel 用來標記數據列的唯一標識碼。 | Event |
| NetworkApplicationProtocol | String | HTTPS | 連接或會話所使用的應用層通訊協定。 | 網路 |
| DstBytes | int | 32455 | 從目的地傳送到連線或會話來源的位元元組數目。 | Destination |
| SrcBytes | int | 46536 | 從來源傳送到連線或會話目的地的位元元組數目。 | 來源 |
| NetworkBytes | int | 78991 | 雙向傳送的位元組數目。 如果 BytesReceived 和 BytesSent 都存在,BytesTotal 應該等於其總和。 | 網路 |
| NetworkDirection | 多重值:輸入、輸出 (字串) | 傳入 | 聯機或會話進出組織的方向。 | 網路 |
| DstGeoCity | String | 伯 靈頓 | 與目的地IP位址相關聯的城市 | 目的地 地理位置 |
| DstGeoCountry | 國家/地區(字串) | USA | 與來源IP位址相關聯的國家/地區 | 目的地 地理位置 |
| DstDvcHostname | 裝置名稱 (字串) | victim_pc | 目的地裝置的裝置名稱 | Destination 裝置 |
| DstDvcFqdn | String | victim_pc.contoso.local | 建立記錄之主機的完整功能變數名稱 | 目的地 裝置 |
| DstDomainHostname | string | CONTOSO | 目的地的網域、目的地主機的網域(網站、功能變數名稱等),例如 DNS 查閱或 NS 查閱 | Destination |
| DstInterfaceName | string | Microsoft Hyper-V 網路介面卡 | 目的地裝置用於連線或會話的網路介面。 | Destination |
| DstInterfaceGuid | string | 2BB33827-6BB6-48DB-8DE6-DB9E0B9F9C9B | 用於驗證要求的網路介面 GUID | Destination |
| DstIpAddr | IP 位址 | 2001:db8::ff00:42:8329 | 連線或會話目的地的IP位址,最常稱為網路封包中的目的地IP | 目的地 IP |
| DstDvcIpAddr | IP 位址 | 75.22.12.2 | 未與網路封包直接關聯的裝置目的地 IP 位址 | 目的地 裝置 IP |
| DstGeoLatitude | 緯度 (雙) | 44.475833 | 與目的地IP位址相關聯的地理座標緯度 | 目的地 地理位置 |
| DstMacAddr | String | 06:10:9f:eb:8f:14 | 連線或會話終止的網路介面 MAC 位址,最常參考網路封包中的目的地 MAC | 目的地 MAC |
| DstDvcMacAddr | String | 06:10:9f:eb:8f:14 | 未與網路封包直接關聯的裝置目的地 MAC 位址。 | 目的地 裝置 MAC |
| DstDvcDomain | String | CONTOSO | 目的地裝置的網域。 | 目的地 裝置 |
| DstPortNumber | 整數 | 443 | 目的地 IP 連接埠。 | 目的地 Port |
| DstGeoRegion | 區域 (字串) | 佛蒙特州 | 與目的地IP位址相關聯的區域 | 目的地 地理位置 |
| DstResourceId | 裝置識別碼 (字串) | /subscriptions/3c1bb38c-82e3-4f8d-a115-a7110ba70d05 /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /victim | 目的地裝置的資源標識碼。 | Destination |
| DstNatIpAddr | IP 位址 | 2::1 | 如果由中繼 NAT 裝置回報,例如防火牆,NAT 裝置用來與來源通訊的 IP 位址。 | 目的地 NAT, IP |
| DstNatPortNumber | int | 443 | 如果由中繼 NAT 裝置回報,例如防火牆,NAT 裝置用來與來源通訊的埠。 | 目的地 NAT, Port |
| DstUserSid | 使用者 SID | S-12-1445 | 與會話目的地相關聯的身分識別使用者標識碼。 一般而言,用來驗證伺服器的身分識別。 如需詳細資訊,請參閱 數據類型和格式。 | 目的地 User |
| DstUserAadId | 字串 (guid) | ae92b0b4-cfba-4b42-85a0-fbd862f4df54 | 會話目的地端使用者的 Microsoft Entra 帳戶對象識別碼 | 目的地 User |
| DstUserName | 使用者名稱(字串) | johnd | 與會話目的地相關聯的身分識別用戶名稱。 | 目的地 User |
| DstUserUpn | string | johnd@anon.com | 與會話目的地相關聯的身分識別UPN。 | 目的地 User |
| DstUserDomain | string | 工作群組 | 會話目的地的帳戶網域或計算機名稱 | 目的地 User |
| DstZone | String | Dmz | 目的地的網路區域,如報告裝置所定義。 | Destination |
| DstGeoLongitude | 經度(雙精度浮點數) | -73.211944 | 與目的地IP位址相關聯的地理座標經度 | 目的地 地理位置 |
| DvcAction | 多重值:允許、拒絕、卸除 (字串) | 允許 | 如果由中繼裝置回報,例如防火牆,則裝置所採取的動作。 | 裝置 |
| DvcInboundInterface | String | eth0 | 如果由防火牆等中繼裝置回報,則為來源裝置連線所使用的網路介面。 | 裝置 |
| DvcOutboundInterface | String | 乙太網路卡乙太網路 4 | 如果由防火牆等中繼裝置回報,則其用來連線至目的地裝置的網路介面。 | 裝置 |
| NetworkDuration | 整數 | 1500 | 網路會話或連線完成的時間量,以毫秒為單位 | 網路 |
| NetworkIcmpCode | 整數 | 34 | 針對ICMP訊息,ICMP訊息類型數值 (RFC 2780 或 RFC 4443)。 | 網路 |
| NetworkIcmpType | String | 目的地無法連線 | 針對ICMP訊息,ICMP訊息類型文字表示法 (RFC 2780 或 RFC 4443)。 | 網路 |
| DstPackets | int | 446 | 從目的地傳送至連線或會話來源的封包數目。 封包的意義是由報告裝置所定義。 | Destination |
| SrcPackets | int | 6478 | 從來源傳送至連線或會話目的地的封包數目。 封包的意義是由報告裝置所定義。 | 來源 |
| NetworkPackets | int | 0 | 雙向傳送的封包數目。 如果 PacketsReceived 和 PacketsSent 都存在,BytesTotal 應該等於其總和。 | 網路 |
| HttpRequestTime | 整數 | 700 | 如果適用,將要求傳送至伺服器所花費的時間量。 | Http |
| HttpResponseTime | 整數 | 800 | 如果適用,在伺服器中接收回應所花費的時間量。 | Http |
| NetworkRuleName | String | AnyAnyDrop | 由 DeviceAction 決定規則的名稱或識別碼 | 網路 |
| NetworkRuleNumber | int | 23 | 相符的規則編號 | 網路 |
| NetworkSessionId | string | 172_12_53_32_4322__123_64_207_1_80 | 報告裝置所報告的會話標識碼。 例如,驗證之後特定應用程式的 L7 工作階段識別碼 | 網路 |
| SrcGeoCity | String | 伯 靈頓 | 與來源IP位址相關聯的城市 | 源 地理位置 |
| SrcGeoCountry | 國家/地區(字串) | USA | 與來源IP位址相關聯的國家/地區 | 源 地理位置 |
| SrcDvcHostname | 裝置名稱 (字串) | 小人 | 來源裝置的裝置名稱 | 源 裝置 |
| SrcDvcFqdn | string | Villain.malicious.com | 建立記錄之主機的完整功能變數名稱 | 源 裝置 |
| SrcDvcDomain | string | EVILORG | 起始會話的來源裝置網域 | 源 裝置 |
| SrcDvcOs | String | iOS | 來源裝置的OS | 源 裝置 |
| SrcDvcModelName | String | Samsung Galaxy Note | 來源裝置的模型名稱 | 源 裝置 |
| SrcDvcModelNumber | String | 10.0 | 來源裝置的型號 | 源 裝置 |
| SrcDvcType | String | 行動裝置 | 來源裝置的類型 | 源 裝置 |
| SrcIntefaceName | String | eth01 | 來源裝置用於連線或會話的網路介面。 | 來源 |
| SrcInterfaceGuid | String | 46ad544b-eaf0-47ef-827c-266030f545a6 | 使用的網路介面 GUID | 來源 |
| SrcIpAddr | IP 位址 | 77.138.103.108 | 線上或會話的來源IP位址。 | 源 IP |
| SrcDvcIpAddr | IP 位址 | 77.138.103.108 | 裝置的來源IP位址未與網路封包直接關聯(由提供者收集或明確計算)。 | 源 裝置 IP |
| SrcGeoLatitude | 緯度 (雙) | 44.475833 | 與來源IP位址相關聯的地理座標緯度 | 源 地理位置 |
| SrcGeoLongitude | 經度(雙精度浮點數) | -73.211944 | 與來源IP位址相關聯的地理座標經度 | 源 地理位置 |
| SrcMacAddr | String | 06:10:9f:eb:8f:14 | 聯機 od 工作階段的來源網路介面 MAC 位址。 | 源 Mac: |
| SrcDvcMacAddr | String | 06:10:9f:eb:8f:14 | 未與網路封包直接關聯的裝置來源 MAC 位址。 | 源 裝置 Mac: |
| SrcPortNumber | 整數 | 2335 | 線上來源 IP 連接埠。 可能與包含多個連線的會話無關。 | 源 Port |
| SrcGeoRegion | 區域 (字串) | 佛蒙特州 | 與來源IP位址相關聯的國家/地區內區域 | 源 地理位置 |
| SrcResourceId | String | /subscriptions/3c1bb38c-82e3-4f8d-a115-a7110ba70d05 /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | 產生訊息之裝置的資源標識碼。 | 來源 |
| SrcNatIpAddr | IP 位址 | 4.3.2.1 | 如果由中繼 NAT 裝置回報,例如防火牆,NAT 裝置用來與目的地通訊的 IP 位址。 | 來源 NAT, IP |
| SrcNatPortNumber | 整數 | 345 | 如果由中繼 NAT 裝置回報,例如防火牆,NAT 裝置用來與目的地通訊的埠。 | 來源 NAT, Port |
| SrcUserSid | 使用者識別碼 (字串) | S-15-1445 | 與會話來源相關聯之身分識別的使用者標識碼。 一般而言,使用者在用戶端上執行動作。 如需詳細資訊,請參閱 數據類型和格式。 | 源 User |
| SrcUserAadId | 字串 (guid) | 16c8752c-7dd2-4cad-9e03-fb5d1cee5477 | 會話來源端使用者的 Microsoft Entra 帳戶對象識別碼 | 源 User |
| SrcUserName | 使用者名稱(字串) | bob | 與會話來源相關聯的身分識別用戶名稱。 一般而言,使用者在用戶端上執行動作。 如需詳細資訊,請參閱 數據類型和格式。 | 來源 User |
| SrcUserUpn | string | bob@alice.com | 起始會話之帳戶的UPN | 源 User |
| SrcUserDomain | string | 電腦 | 起始會話之帳戶的網域 | 源 User |
| SrcZone | String | 點選 | 來源的網路區域,如報告裝置所定義。 | 來源 |
| NetworkProtocol | String | TCP | 連接或會話所使用的IP通訊協定。 一般而言,TCP、UDP 或 ICMP | 網路 |
| CloudAppName | String | 由 Proxy 識別之 HTTP 應用程式的目的地應用程式名稱。 | 雲端 | |
| CloudAppId | String | 124 | 由 Proxy 識別之 HTTP 應用程式的目的地應用程式識別碼。 此值通常專屬於所使用的 Proxy。 | 雲端 |
| CloudAppOperation | String | DeleteFile | 使用者在 HTTP 應用程式目的地應用程式內容中執行的作業,如 Proxy 所識別。 此值通常專屬於所使用的 Proxy。 | 雲端 |
| CloudAppRiskLevel | String | 3 | 與 PROXY 所識別之 HTTP 應用程式相關聯的風險層級。 此值通常專屬於所使用的 Proxy。 | 雲端 |
| FileName | String | ImNotMalicious.exe | 透過網路連線傳輸的檔名,例如 FTP 和 HTTP,可提供檔名資訊。 | 檔案 |
| FilePath | String | C:\Malicious\ImNotMalicious.exe | 檔案的完整路徑,包括檔名 | 檔案 |
| FileHashMd5 | String | 51BC68715FC7C109DCEA406B42D9D78F | 透過通訊協議網路連線傳輸之檔案的 MD5 哈希值。 | 檔案 |
| FileHashSha1 | String | 491AE3...C299821476F4 | 透過通訊協議網路連線傳輸之檔案的SHA1哈希值。 | 檔案 |
| FileHashSha256 | String | 9B8F8EDB...C129976F03 | 透過通訊協議網路連線傳輸之檔案的SHA256哈希值。 | 檔案 |
| FileHashSha512 | String | 5E127D...F69F73F01F361 | 透過通訊協議網路連線傳輸之檔案的SHA512哈希值。 | 檔案 |
| FileExtension | String | exe | 透過網路連線傳輸的檔類型,適用於 FTP 和 HTTP 等通訊協定。 | 檔案 |
| FileMimeType | String | application/msword | 透過網路連線傳輸之檔案的 MIME 類型,適用於 FTP 和 HTTP 等通訊協定 | 檔案 |
| FileSize | 整數 | 23500 | 透過通訊協定網路連線傳輸的檔案大小,以位元組為單位。 | 檔案 |
| HttpVersion | String | 2.0 | HTTP/HTTPS 網路連線的 HTTP 要求版本。 | Http |
| HttpRequestMethod | String | GET | HTTP/HTTPS 網路會話的 HTTP 方法。 | Http |
| HttpStatusCode | String | 404 | HTTP/HTTPS 網路工作階段的 HTTP 狀態代碼。 | Http |
| HttpContentType | String | multipart/form-data;boundary=something | HTTP/HTTPS 網路會話的 HTTP 回應內容類型標頭。 | Http |
| HttpReferrerOriginal | String | https://developer.mozilla.org/en-US/docs/Web/JavaScript | HTTP/HTTPS 網路會話的 HTTP 查閱者標頭。 | Http |
| HttpUserAgentOriginal | String | Mozilla/5.0 (Windows NT 10.0;WOW64) AppleWebKit/537.36 (KHTML,例如 Gecko) Chrome/83.0.4103.97 Safari/537.36 | HTTP/HTTPS 網路會話的 HTTP 使用者代理程式標頭。 | Http |
| HttpRequestXff | String | 120.12.41.1 | HTTP/HTTPS 網络會話的 HTTP X-Forwarded-For 標頭。 | Http |
| UrlCategory | String | 搜尋引擎 | URL 的已定義群組,可能根據URL中的網域,與內容的內容相關。 例如:成人、新聞、廣告、停駐網域等等。 | URL |
| UrlOriginal | String | https:// contoso.com/fo/?k=v&q=u#f | HTTP/HTTPS 網路會話的 HTTP 要求 URL。 | Url |
| UrlHostname | String | contoso.com | HTTP/HTTPS 網路會話之 HTTP 要求URL的網域部分。 | Url |
| ThreatCategory | String | 木馬程式 | 安全性系統所識別的威脅類別,例如 IPS 的 Web 安全性閘道,且與此網路會話相關聯。 | 威脅 |
| ThreatId | String | Tr.124 | 安全性系統所識別的威脅標識碼,例如 IPS 的 Web 安全性閘道,且與此網路會話相關聯。 | 威脅 |
| ThreatName | String | EICAR 測試檔案 | 識別的威脅或惡意代碼名稱 | 威脅 |
| AdditionalFields | 動態 (JSON 包) | { Property1: “val1”, Property2:“val2” } |
當架構中沒有任何個別數據行相符時,其他欄位可以儲存在 JSON 包中。 針對查詢時間剖析,建議您升級其他數據行,而不是使用 JSON 包將數據封裝到 JSON 程式代碼,將會降低查詢效能。 |
自訂欄位 |
0.1 版與 0.2 版之間的差異
原始版本的 Microsoft Sentinel 網路會話正規化架構 0.1 版在 ASIM 可用之前已發行為預覽版。
本文記載的版本 0.1 與 0.2.x 版之間的差異包括:
- 在 0.2 版中,統一和來源特定的剖析器名稱已變更為符合標準 ASIM 命名慣例。
- 0.2 版會新增特定指導方針和統一剖析器,以容納特定的裝置類型。
下列各節說明 0.2.x 版針對特定欄位的差異。
已在 0.2 版中新增欄位
下列欄位已在 0.2.x 版中新增,且不存在於 0.1 版中:
- DstAppType
- DstDeviceType
- DstDomainType
- DstDvcId
- DstDvcIdType
- DstOriginalUserType
- DstUserIdType
- DstUsernameType
- DstUserType
- DvcActionOriginal
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcIdType
- EventOriginalSeverity
- EventOriginalType
- SrcAppId
- SrcAppName
- SrcAppType
- SrcDeviceType
- SrcDomainType
- SrcDvcId
- SrcDvcIdType
- SrcOriginalUserType
- SrcUserIdType
- SrcUsernameType
- SrcUserType
- ThreatRiskLevelOriginal
- Url
0.2 版中的新別名字段
下列欄位現在在 0.2.x 版中加上別名,並引進 ASIM:
| 0.1 版中的欄位 | 0.2 版中的別名 |
|---|---|
| 工作階段識別碼 | NetworkSessionId |
| 期間 | NetworkDuration |
| IpAddr | SrcIpAddr |
| User | DstUsername |
| 主機名稱 | DstHostname |
| UserAgent | HttpUserAgent |
0.2 版中修改的欄位
下列欄位會在 0.2.x 版中列舉,而且需要提供清單中的特定值。
- EventType
- EventResultDetails
- EventSeverity
0.2 版中已重新命名的欄位
下列欄位已在 0.2.x 版中重新命名:
在 0.2 版中,使用內建的 Log Analytics 字段:
請注意,
ingestion_time()是 KQL 函式,而不是功能變數名稱。0.1 版中的欄位 在 0.2 版中重新命名 EventResourceId _ResourceId EventUid _ItemId EventTimeIngested ingestion_time() 已重新命名以配合 ASIM 和 OSSEM 中的改善:
0.1 版中的欄位 在 0.2 版中重新命名 HttpReferrerOriginal HttpReferrer HttpUserAgentOriginal HttpUserAgent 重新命名以反映網路會話目的地不一定是雲端服務:
0.1 版中的欄位 在 0.2 版中重新命名 CloudAppId DstAppId CloudAppName DstAppName CloudAppRiskLevel ThreatRiskLevel 已重新命名以變更案例,並與用戶實體的 ASIM 處理一致:
0.1 版中的欄位 在 0.2 版中重新命名 DstUserName DstUsername SrcUserName SrcUsername 已重新命名以更符合 ASIM 裝置實體,並允許 Azure 以外的資源識別碼:
0.1 版中的欄位 在 0.2 版中重新命名 DstResourceId SrcDvcAzureRerouceId SrcResourceId SrcDvcAzureRerouceId 重新命名為從功能變數名稱中移除
Dvc字串,因為 0.1 版中的處理不一致:0.1 版中的欄位 在 0.2 版中重新命名 DstDvcDomain DstDomain DstDvcFqdn DstFqdn DstDvcHostname DstHostname SrcDvcDomain SrcDomain SrcDvcFqdn SrcFqdn SrcDvcHostname SrcHostname 已重新命名以配合 ASIM 檔案表示指引:
0.1 版中的欄位 在 0.2 版中重新命名 FileHashMd5 FileMD5 FileHashSha1 FileSHA1 FileHashSha256 FileSHA256 FileHashSha512 FileSHA512 FileMimeType FileContentType
已移除 0.2 版中的欄位
下列欄位只存在於 0.1 版中,且已在 0.2.x 版中移除:
| 原因 | 移除的欄位 |
|---|---|
已移除,因為重複專案存在,而功能變數名稱中沒有 Dvc 字串 |
- DstDvcIpAddr - DstDvcMacAddr - SrcDvcIpAddr - SrcDvcMacAddr |
| 已移除以配合 URL 的 ASIM 處理 | - UrlHostname |
| 已移除,因為這些欄位通常不會作為網路會話事件的一部分提供。 如果事件包含這些欄位,請使用 Process Event 架構 來瞭解如何描述裝置屬性。 |
- SrcDvcOs - SrcDvcModelName - SrcDvcModelNumber - DvcMacAddr - DvcOs |
| 已移除以配合 ASIM 檔案表示指引 | - FilePath - FileExtension |
| 已移除,因為此欄位表示應該使用不同的架構,例如 驗證架構。 | - CloudAppOperation |
已移除,因為它重複 DstHostname |
- DstDomainHostname |
下一步
如需詳細資訊,請參閱