Microsoft Sentinel 網路會話正規化結構代表一種 IP 網路活動,例如網路連線與網路會話。 例如,作業系統、路由器、防火牆及入侵防護系統會回報此類事件。
網路正規化結構可代表任何類型的 IP 網路會話,但設計目的是支援常見的來源類型,如網路流量、防火牆及入侵防護系統。
欲了解更多關於Microsoft Sentinel正規化的資訊,請參閱 ASIM) 正規化及先進安全資訊模型 (。
解析器
欲了解更多關於 ASIM 解析器的資訊,請參閱 ASIM 解析器概述。
統一解析器
要使用統一所有 ASIM 現成解析器的解析器,並確保你的分析能跨越所有設定的原始碼,請使用解析 _Im_NetworkSession 器。
開箱即用、針對來源的解析器
關於網路會話解析器列表,Microsoft Sentinel 開箱即用,請參考 ASIM 解析器清單
加入你自己的正規化解析器
在為網路會話資訊模型 開發自訂解析器 時,請使用以下語法為你的 KQL 函式命名:
-
vimNetworkSession<vendor><Product>對於參數化解析器 -
ASimNetworkSession<vendor><Product>對於一般解析器
請參閱文章 《管理 ASIM 解析器 》,了解如何將自訂解析器加入網路會話統一解析器。
過濾解析器參數
網路會話解析器支援 過濾參數。 雖然這些參數是可選的,但它們能提升你的查詢效能。
以下過濾參數可用:
| 名稱 | 類型 | 描述 |
|---|---|---|
| 開始時間 | datetime | 只過濾從此時間開始或之後 開始 的網路會話。 此參數會在欄位上過濾 TimeGenerated ,欄位是事件時間的標準指示符,無論 EventStartTime 與 EventEndTime 欄位的解析器特定映射為何。 |
| 末日 | datetime | 只過濾從此時間 開始 運行的網路會話。 此參數會在欄位上過濾 TimeGenerated ,欄位是事件時間的標準指示符,無論 EventStartTime 與 EventEndTime 欄位的解析器特定映射為何。 |
| srcipaddr_has_any_prefix | 動態 | 只過濾來源 IP 位址欄位 前綴位於上述值中的網路會話。 前綴應以 .結尾,例如: 10.0.。 清單長度限制為10,000件。 |
| dstipaddr_has_any_prefix | 動態 | 僅過濾 目的 IP 位址欄位 前綴位於上述值中的網路會話。 前綴應以 .結尾,例如: 10.0.。 清單長度限制為10,000件。 |
| ipaddr_has_any_prefix | 動態 | 僅過濾 目的 IP 位址欄位 或 來源 IP 位址欄位 前綴位於上述某一值中的網路會話。 前綴應以 .結尾,例如: 10.0.。 清單長度限制為10,000件。ASimMatchingIpAddr 欄位以 、 DstIpAddr或 Both 之一設定SrcIpAddr,以反映匹配欄位或欄位。 |
| dstportnumber | 臨界值 | 僅過濾指定目的埠號的網路會話。 |
| hostname_has_any | 動態/弦樂 | 僅篩選目標 主機名稱欄位 包含上述任何值的網路會話。 清單長度限制為10,000件。 ASimMatchingHostname 欄位會以 SrcHostname、 DstHostname或 Both 之一來反映匹配欄位或欄位。 |
| DVCACTION | 動態/弦樂 | 僅過濾裝置 動作欄位 為上述任一值的網路會話。 |
| 事件結果 | 字串 | 只過濾具有特定 EventResult 值的網路會話。 |
某些參數可以接受 type 的 dynamic 值列表或單一字串值。 若要將文字列表傳給預期動態值的參數,請明確使用 動態文字。 例如:dynamic(['192.168.','10.'])
例如,若要僅篩選網路會話以篩選指定的網域名稱清單,請使用:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
提示
若要將文字列表傳給預期動態值的參數,請明確使用 動態文字。 例如:dynamic(['192.168.','10.'])。
正規化內容
如需使用正規化 DNS 事件的完整分析規則清單,請參閱 網路會話安全內容。
架構概觀
網路會話資訊模型與 OSSEM 網路實體結構對齊。
網路會話結構服務多種相似但不同的情境,這些場景共享相同欄位。 這些情境由 EventType 欄位識別:
-
NetworkSession- 由監控網路的中介裝置(如防火牆、路由器或網路分流器)報告的網路會話。 -
L2NetworkSession- 僅有第二層資訊的網路會話。 此類事件會包含 MAC 位址,但不包含 IP 位址。 -
Flow- 彙整事件,報告多個類似的網路會話,通常在預定時間範圍內,例如 Netflow 事件。 -
EndpointNetworkSession- 由會話端點之一回報的網路會話,包括用戶端與伺服器。 針對此類事件,結構支援remote和localalias 欄位。 -
IDS- 一個被報告為可疑的網路會話。 此類事件會填入部分檢查欄位,且可能只填入一個 IP 位址欄位,可能是來源或目的地。
通常,查詢應該只選擇這些事件類型的子集,並可能需要分別處理使用案例中獨特的面向。 例如,IDS 事件不反映整個網路量,不應納入欄位式分析。
網路會話事件使用描述符 Src , Dst 表示裝置及相關使用者和應用程式的角色。 例如,來源裝置的主機名稱和 IP 位址分別命名 SrcHostname 為 和 SrcIpAddr。 其他 ASIM 結構通常使用 TargetDst。
對於端點報告且事件類型為 EndpointNetworkSession的事件,描述符 Local 和 Remote 分別代表端點本身及網路會話另一端的裝置。
描述符 Dvc 用於報告裝置,該裝置是終端機報告會話的本地系統,以及其他網路會話事件的中介裝置或網路分流器。
結構細節
常見的ASIM欄位
重要事項
所有結構共有的欄位可參考 ASIM 公共欄位 文章。
具有特定指引的共同領域
以下列表提及有特定指引的欄位:
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 事件計數 | 強制性 | 整數 | Netflow 來源支援聚合, EventCount 欄位應設定為 Netflow FLOWS 欄位的值。 對於其他來源,通常會將值設為 1。 |
| 事件類型 | 強制性 | 列舉 | 描述紀錄中報導的情況。 對於網路會話記錄,允許的值為: - EndpointNetworkSession- NetworkSession - L2NetworkSession- IDS - Flow欲了解更多事件類型資訊,請參閱 結構概述 |
| 事件子類型 | 選用 | 列舉 | 如適用,請提供事件類型的額外說明。 對於網路會話記錄,支援的值包括: - Start- End這個欄位對活動無關 Flow 。 |
| 事件結果 | 強制性 | 列舉 | 若來源裝置未提供事件結果,事件 結果 應基於 DvcAction 的值。 若 DvcAction 為 Deny、 Drop、 Drop ICMP、 ResetReset Source、 或Reset Destination, 事件結果 應為 Failure。 否則, EventResult 應該是 Success。 |
| 事件結果詳情 | 建議 | 列舉 |
EventResult 欄位中回報結果的原因或細節。 支援的值有: - 備援 - 無效 TCP - 無效隧道 - 最大重試 - 重置 - 路由問題 - 模擬 - 終止 - 暫停 - 瞬態誤差 - 未知 - 不行。 原始的、來源特定的值會儲存在 EventOriginalResultDetails 欄位中。 |
| 事件架構 | 強制性 | 列舉 | 此處記錄的結構名稱為 NetworkSession。 |
| 事件架構版本 | 強制性 | SchemaVersion 的 (字串) | 那個版本的架構。 此處所記錄的結構版本為 0.2.7。 |
| Dvc行動 | 建議 | 列舉 | 網路會議所採取的行動。 支援的值有: - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNroute注意:該值可能在來源記錄中透過使用不同術語提供,應以這些數值標準化。 原始值應該儲存在 DvcOriginalAction 欄位中。 範例: drop |
| EventSeverity | 選用 | 列舉 | 如果來源裝置沒有提供事件嚴重度,事件 嚴重度 應該是根據 DvcAction 的值來設定。 若 DvcAction 為 Deny、 Drop、 Drop ICMP、 ResetReset Source、 或Reset Destination事件 嚴重度 應為 Low。 否則, 事件嚴重度 應該為 Informational。 |
| Dvc介面 | DvcInterface 欄位應與 DvcInboundInterface 或 DvcOutboundInterface 欄位作為別名。 | ||
| DVC 場 | 對於網路會話事件,裝置欄位指的是報告網路會話事件的系統。 |
所有共同領域
下表中出現的欄位是所有 ASIM 架構共有的。 上述任何指引都凌駕於該領域的一般指引之上。 例如,某個欄位一般可能是可選的,但在特定結構中卻是強制的。 欲了解更多各領域的資訊,請參閱 ASIM 的「共同領域 」條目。
| Class | Fields |
|---|---|
| 強制性 |
-
事件計數 - 事件開始時間 - 事件結束時間 - 事件類型 - 事件結果 - EventProduct - EventVendor - 事件架構 - 事件架構版本 - DVC |
| 建議 |
-
事件結果詳情 - 事件嚴重度 - 最終 - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DVCID - DvcIdType - Dvc行動 |
| 選用 |
-
活動訊息 - 事件子類型 - 事件原創 - 事件原創類型 - 事件原始子類型 - 事件原始結果細節 - 事件原始嚴重度 - 事件產品版本 - 事件報告網址 - 活動擁有者 - DvcZone - DvcMacAddr - DVCOS - DvcOS 版本 - DVC原創行動 - Dvc介面 - 額外欄位 - DVC說明 - DvcScopeID - DvcScope(視覺化器) |
網路會話欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| NetworkApplicationProtocol | 選用 | 字串 | 連接或會話所使用的應用層協定。 數值應該全部大寫。 範例: FTP |
| 網路協定 | 選用 | 列舉 | 連線或會話所使用的 IP 協定,依 照 IANA 協定指派,通常 TCP為 、 UDP、 或 ICMP。範例: TCP |
| 網路協定版本 | 選用 | 列舉 | NetworkProtocol 的版本。 用它來區分 IP 版本時,請使用 IPv4 和 IPv6。 |
| 網絡方向 | 選用 | 列舉 | 連線或會話的方向: - 對於 EventType NetworkSession,Flow或 L2NetworkSession,NetworkDirection 代表相對於組織或雲端環境邊界的方向。 支持的數值為 Inbound、 、 Outbound (Local 組織) 、 External 組織 () 或 NA (不適用) 。- 對於 EventType,NetworkDirection EndpointNetworkSession 代表相對於端點的方向。 支援的數值為 Inbound、 、 Outbound (Local 系統) ,或 ListenNA (不適用) 。 這個 Listen 數值表示裝置已經開始接受網路連線,但實際上並不一定已經連接。 |
| 網絡持續時間 | 選用 | 整數 | 網路會話或連線完成所需的時間(以毫秒計)。 範例: 1500 |
| Duration | 別名 | 網路 別名:長短。 | |
| NetworkIcmpType | 選用 | 字串 | 對於 ICMP 訊息,與數值相關聯的 ICMP 類型名稱,如 IPv4 網路連線的 RFC 2780 或 IPv6 網路連線的 RFC 4443 所述。 範例: Destination Unreachable NetworkIcmpCode 3 |
| NetworkIcmpCode | 選用 | 整數 | 對於 ICMP 訊息,IPv4 網路連線使用 RFC 2780 中描述的 ICMP 代碼號,IPv6 網路連線則使用 RFC 4443 中所述。 |
| NetworkConnection歷史 | 選用 | 字串 | TCP 旗標及其他潛在的 IP 標頭資訊。 |
| DstBytes | 建議 | Long | 從目的地傳送到來源的連線或會話位元組數。 如果事件是聚合的, DstBytes 應該是所有聚合會話的總和。 範例: 32455 |
| SrcBytes | 建議 | Long | 連接或會話從來源傳送到目的地的位元組數。 若事件被聚合, Srcbytes 應為所有聚合會話的總和。 範例: 46536 |
| NetworkBytes | 選用 | Long | 雙向傳送的位元組數。 如果 BytesReceived 和 BytesSent 都存在,則 BytesTotal 應該等於它們的總和。 若事件被聚合, NetworkBytes 應為所有聚合會話的總和。 範例: 78991 |
| DstPackets | 選用 | Long | 連接或會話從目的地發送到來源的封包數量。 封包的意義由報告裝置定義。 若事件被彙總, DstPackets 應為所有聚合會話的總和。 範例: 446 |
| SrcPackets | 選用 | Long | 從來源發送到目的地的連線或會話封包數量。 封包的意義由報告裝置定義。 若事件被聚合, SrcPackets 應為所有聚合會話的總和。 範例: 6478 |
| 網路封包 | 選用 | Long | 雙向傳送的封包數量。 若同時存在 PacketsReceived 與 PacketsSent ,則 PacketsTotal 應等於兩者的總和。 封包的意義由報告裝置定義。 若事件為聚合, NetworkPackets 應為所有聚合會話的總和。 範例: 6924 |
| NetworkSessionID | 選用 | 字串 | 報告裝置回報的會話識別碼。 範例: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| SessionID | 別名 | 字串 | 別名為 NetworkSessionId。 |
| Tcp旗幟攻擊 | 選用 | 布林值 | TCP ACK 標誌報告。 確認標誌用於確認封包成功接收。 如上圖所示,接收端在三方握手流程的第二步發送 ACK 和 SYN,以告知發送端已收到初始封包。 |
| TcpFlagsFin | 選用 | 布林值 | TCP FIN 標誌報告。 完成的旗標表示發送者沒有更多資料。 因此,它會用於發送端最後一次傳送的封包。 |
| TcpFlagsSyn | 選用 | 布林值 | TCP SYN 標誌報告。 同步旗標是建立兩位主機間三方握手的第一步。 只有發送端和接收端的第一個封包應該會設定此標誌。 |
| TcpFlagsUrg | 選用 | 布林值 | TCP URG 旗標報告。 緊急標誌用來通知接收端先處理緊急封包,再處理其他封包。 當接收者收到所有已知緊急資料後,將會收到通知。 更多細節請參閱 RFC 6093 。 |
| Tcp旗幟 | 選用 | 布林值 | TCP PSH 旗標報告。 推送旗標類似於 URG 旗標,指示接收端在封包接收時處理,而非緩衝。 |
| Tcp FlagsRst | 選用 | 布林值 | TCP RST 旗標報告。 當封包被傳送到某個未預期到的主機時,重置旗標會從接收端傳送給發送端。 |
| TcpFlagsEce | 選用 | 布林值 | TCP ECE 標誌報告。 此旗標負責指示 TCP 對等端是否 具備 ECN 能力。 更多細節請參見 RFC 3168 。 |
| Tcp旗幟委員會 | 選用 | 布林值 | TCP CWR 旗標報告。 擁塞視窗減少旗標是發送端主機用來表示已收到設定為 ECE 標誌的封包。 更多細節請參見 RFC 3168 。 |
| TcpFlagsNs | 選用 | 布林值 | TCP NS 旗標報告。 nonce sum 旗標仍是一種實驗性旗標,用來防止封包被惡意隱藏於發送端。 更多詳情請參見 RFC 3540 |
目的地系統欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| Dst(夏令時間) | 別名 | 接收 DNS 請求的唯一伺服器識別碼。 此欄位可能被稱為 DstDvcId、 DstHostname 或 DstIpAddr 欄位。 範例: 192.168.12.1 |
|
| DstIpAddr | 建議 | IP 位址 | 連線或會話目的地的 IP 位址。 若會話使用網路位址轉換,則DstIpAddr為公開可見位址,而非原始位址,原始位址儲存在 DstNatIpAddr 中範例: 2001:db8::ff00:42:8329注意:若指定 DstHostname 則此值為必須。 |
| DstPort編號 | 選用 | 整數 | 目的地 IP 埠。 範例: 443 |
| DstHostname | 建議 | 主機名稱 (字串) | 目的地裝置的主機名稱,不包含網域資訊。 若無法使用裝置名稱,則在此欄位中儲存相關的 IP 位址。 範例: DESKTOP-1282V4D |
| DstDomain | 建議 | 定義域 (字串) | 目的裝置的網域。 範例: Contoso |
| DstDomainType | 條件式 | 列舉 |
DstDomain 的類型。 關於允許的值列表及更多資訊,請參閱結構概覽文章中的 DomainType。 若使用 DstDomain 則為必要。 |
| DstFQDN | 選用 | FQDN (字串) | 目的裝置主機名稱,包括網域資訊(如有)。 範例: Contoso\DESKTOP-1282V4D 注意:此欄位支援傳統 FQDN 格式及 Windows 網域/主機名稱格式。 DstDomainType 反映了所使用的格式。 |
| DstDvcId | 選用 | 字串 | 目的地裝置的 ID。 如果有多個 ID,使用最重要的一個,其他則存於欄位 DstDvc<DvcIdType>。 範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | 選用 | 字串 | 裝置所屬的雲端平台範圍 ID。 DstDvcScopeId會映射到Azure上的訂閱ID,以及AWS上的帳戶ID。 |
| DstDvcScope(數位數位視覺化器) | 選用 | 字串 | 裝置所屬的雲端平台範圍。 DstDvcScope 映射到 Azure 上的訂閱 ID,以及 AWS 上的帳戶 ID。 |
| DstDvcIdType | 條件式 | 列舉 |
DstDvcID 的類型。 關於允許的值清單及更多資訊,請參閱結構概覽文章中的 DvcIdType。 若使用 DstDeviceId ,則必須。 |
| Dst裝置類型 | 選用 | 列舉 | 目的地裝置的類型。 關於允許的值清單及更多資訊,請參閱結構概覽文章中的 DeviceType。 |
| DstZone | 選用 | 字串 | 目的地的網路區域,由報告裝置定義。 範例: Dmz |
| Dst介面名稱 | 選用 | 字串 | 目的裝置用於連線或會話的網路介面。 範例: Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | 選用 | GUID (弦) | 目的裝置所使用的網路介面的 GUID。 例如: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | 選用 | MAC 位址 (字串) | 目的裝置用於連線或會話的網路介面的 MAC 位址。 範例: 06:10:9f:eb:8f:14 |
| DstVlanId | 選用 | 字串 | VLAN ID 與目的地裝置相關。 範例: 130 |
| 外域 | 別名 | 別名為 DstVlanId。 在許多情況下,VLAN 無法被確定為來源或目的地,而是被描述為內部或外部。 此別名表示當 VLAN 被定義為外部時,應使用 DstVlanId 。 |
|
| DstGeoCountry | 選用 | 國家/地區 | 與目的地 IP 位址相關的國家/地區。 欲了解更多資訊,請參閱 邏輯型別。 範例: USA |
| DstGeoRegion(地理區域) | 選用 | 區域 | 與目的地 IP 位址相關的區域或州。 欲了解更多資訊,請參閱 邏輯型別。 範例: Vermont |
| DstGeoCity | 選用 | 城市 | 與目的地 IP 位址相關的城市。 欲了解更多資訊,請參閱 邏輯型別。 範例: Burlington |
| Dst地理緯度 | 選用 | 緯度 | 與目的地 IP 位址相關的地理座標緯度。 欲了解更多資訊,請參閱 邏輯型別。 範例: 44.475833 |
| Dst地理經度 | 選用 | 經度 | 與目的地 IP 位址相關的地理座標經度。 欲了解更多資訊,請參閱 邏輯型別。 範例: 73.211944 |
| Dst描述 | 選用 | 字串 | 與裝置相關的描述文字。 例如:Primary Domain Controller。 |
目的使用者欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| DstUserID | 選用 | 字串 | 這是一種機器可讀、字母數字、唯一代表目的使用者的表示方式。 關於不同 ID 類型的支援格式,請參考 使用者實體。 範例: S-1-12 |
| DstUserScope(使用者範圍) | 選用 | 字串 | 範圍,例如 Microsoft Entra 租戶,定義了 DstUserID 和 DstUsername。 或更多資訊與允許值清單,請參閱結構概覽文章中的 UserScope。 |
| DstUserScopeID | 選用 | 字串 | 範圍 ID,例如 Microsoft Entra 目錄 ID,定義了 DstUserID 和 DstUsername。 欲了解更多資訊及允許值清單,請參閱結構概覽文章中的 UserScopeId。 |
| DstUserIdType | 條件式 | 使用者IdType | 儲存在 DstUserID 欄位的 ID 類型。 關於允許的值清單及更多資訊,請參閱結構概覽文章中的 UserIdType。 |
| Dst用戶名 | 選用 | 用戶名 (String) | 目的地用戶名,並在有網域資訊時提供。 關於不同 ID 類型的支援格式,請參考 使用者實體。 只有在網域資訊無法取得時,才使用簡易表單。 將使用者名稱類型儲存在 DstUsernameType 欄位。 如果有其他使用者名稱格式,請將它們儲存在欄位 DstUsername<UsernameType>中。範例: AlbertE |
| 使用者 | 別名 | 別名是 DstUsername。 | |
| DstUsernameType | 條件式 | 使用者名稱類型 | 指定儲存在 DstUsername 欄位的使用者名稱類型。 關於允許的值清單及更多資訊,請參閱結構概覽文章中的 UsernameType。 範例: Windows |
| DstUserType | 選用 | UserType | 目的地使用者的類型。 關於允許的值清單及更多資訊,請參閱結構概覽文章中的 UserType。 注意:該值可能在來源記錄中透過使用不同術語提供,應以這些數值標準化。 將原始值儲存在 DstOriginalUserType 欄位。 |
| Dst原始使用者類型 | 選用 | 字串 | 如果來源提供,則是原始目的使用者類型。 |
目的應用欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| DstAppName | 選用 | 字串 | 目的地應用程式的名稱。 範例: Facebook |
| DstAppId(緊急應用) | 選用 | 字串 | 目標應用程式的識別碼,由報告裝置回報。 如果 DstAppType 是 Process, DstAppId 且 DstProcessId 應該有相同的值。範例: 124 |
| DstAppType | 選用 | AppType | 目的地應用程式的類型。 關於允許的值清單及更多資訊,請參閱結構概覽文章中的 AppType。 若使用 DstAppName 或 DstAppId ,此欄位為必填。 |
| DstProcessName | 選用 | 字串 | 終止網路會話的程序檔名。 這個名稱通常被視為製程名稱。 範例: C:\Windows\explorer.exe |
| 流程 | 別名 |
DstProcessName 的別名 範例: C:\Windows\System32\rundll32.exe |
|
| DstProcessID | 選用 | 字串 | 程序 ID (終止網路會話程序的 PID) 。 範例: 48610176 注意:為了支援不同系統,該型別定義為字串,但在 Windows 和 Linux 上,此值必須是數字。 如果你使用的是 Windows 或 Linux 電腦,且使用不同類型的電腦,務必轉換這些數值。 例如,如果你使用了十六進位值,請將其轉換為十進位值。 |
| DstProcessGuid | 選用 | 字串 | 產生的唯一識別碼 (GUID) ,該程序終止了網路會話。 範例: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
來源系統欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 原始紀錄 | 別名 | 來源裝置的唯一識別碼。 此欄位可能作為 SrcDvcId、 SrcHostname 或 SrcIpAddr 欄位的別名。 範例: 192.168.12.1 |
|
| SrcIpAddr | 建議 | IP 位址 | 連線或會話來源的 IP 位址。 若指定 SrcHostname 則此值為必須。 若會話使用網路位址轉換,SrcIpAddr則為公開可見的位址,而非原始位址,原始位址則儲存在 SrcNatIpAddr 中範例: 77.138.103.108 |
| SrcPortNumber | 選用 | 整數 | 連線來源的 IP 埠。 對於包含多個連線的會話來說,可能不適用。 範例: 2335 |
| SrcHostname | 建議 | 主機名稱 (字串) | 來源裝置主機名稱,不含網域資訊。 若無法使用裝置名稱,則在此欄位中儲存相關的 IP 位址。 範例: DESKTOP-1282V4D |
| SrcDomain | 建議 | 定義域 (字串) | 來源裝置的網域。 範例: Contoso |
| SrcDomainType | 條件式 | 網域類型 |
SrcDomain 的類型。 關於允許的值列表及更多資訊,請參閱結構概覽文章中的 DomainType。 若使用 SrcDomain 則必須。 |
| SrcFQDN | 選用 | FQDN (字串) | 來源裝置主機名稱,包括網域資訊(若有)。 注意:此欄位支援傳統 FQDN 格式及 Windows 網域/主機名稱格式。 SrcDomainType 欄位反映了所使用的格式。 範例: Contoso\DESKTOP-1282V4D |
| SrcDvcId | 選用 | 字串 | 來源裝置的 ID。 如果有多個 ID,使用最重要的一個,其他則存於欄位 SrcDvc<DvcIdType>。範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 選用 | 字串 | 裝置所屬的雲端平台範圍 ID。 SrcDvcScopeId會映射到Azure上的訂閱ID,以及AWS上的帳戶ID。 |
| SrcDvcScope(標準化示波器) | 選用 | 字串 | 裝置所屬的雲端平台範圍。 SrcDvcScope 映射到 Azure 上的訂閱 ID,以及 AWS 上的帳戶 ID。 |
| SrcDvcIdType | 條件式 | DvcIdType |
SrcDvcId的類型。 關於允許的值清單及更多資訊,請參閱結構概覽文章中的 DvcIdType。 注意:若使用 SrcDvcId ,則此欄位為必填欄位。 |
| SrcDeviceType | 選用 | 裝置類型 | 來源裝置的類型。 關於允許的值清單及更多資訊,請參閱結構概覽文章中的 DeviceType。 |
| SrcZone | 選用 | 字串 | 來源的網路區域,依據報告裝置所定義。 範例: Internet |
| SrcInterfaceName | 選用 | 字串 | 來源裝置用於連線或會話的網路介面。 範例: eth01 |
| SrcInterfaceGuid | 選用 | GUID (弦) | 來源裝置所用網路介面的 GUID。 例如: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | 選用 | MAC 位址 (字串) | 連線或會話所起源的網路介面的 MAC 位址。 範例: 06:10:9f:eb:8f:14 |
| SrcVlanId | 選用 | 字串 | VLAN ID 與來源裝置相關。 範例: 130 |
| 內在的VlanId | 別名 | 別名為 SrcVlanId。 在許多情況下,VLAN 無法被確定為來源或目的地,而是被描述為內部或外部。 此別名表示當 VLAN 被定義為內部時,應使用 SrcVlanId 。 |
|
| SrcGeoCountry | 選用 | 國家/地區 | 與來源 IP 位址相關的國家/地區。 範例: USA |
| SrcGeoRegion | 選用 | 區域 | 與來源 IP 位址相關的區域。 範例: Vermont |
| SrcGeoCity | 選用 | 城市 | 與來源 IP 位址相關的城市。 範例: Burlington |
| 地理緯度 | 選用 | 緯度 | 與來源 IP 位址相關的地理座標緯度。 範例: 44.475833 |
| 地理經度 | 選用 | 經度 | 與來源 IP 位址相關的地理座標經度。 範例: 73.211944 |
| 描述 | 選用 | 字串 | 與裝置相關的描述文字。 例如:Primary Domain Controller。 |
來源使用者欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| SrcUserID | 選用 | 字串 | 一個機器可讀、字母數字且獨特的來源使用者表示方式。 關於不同 ID 類型的支援格式,請參考 使用者實體。 範例: S-1-12 |
| SrcUserScope | 選用 | 字串 | 範圍,例如 Microsoft Entra 租戶,定義了 SrcUserID 和 SrcUsername。 或更多資訊與允許值清單,請參閱結構概覽文章中的 UserScope。 |
| SrcUserScopeID | 選用 | 字串 | 範圍 ID,例如 Microsoft Entra Directory ID,定義了 SrcUserID 和 SrcUsername。 欲了解更多資訊及允許值清單,請參閱結構概覽文章中的 UserScopeId。 |
| SrcUserIdType | 條件式 | 使用者IdType | SrcUserId 欄位中儲存的 ID 類型。 關於允許的值清單及更多資訊,請參閱結構概覽文章中的 UserIdType。 |
| SrcUsername | 選用 | 用戶名 (String) | 來源用戶名,並在有網域資訊時提供。 關於不同 ID 類型的支援格式,請參考 使用者實體。 只有在網域資訊無法取得時,才使用簡易表單。 將使用者名稱類型儲存在 SrcUsernameType 欄位。 如果有其他使用者名稱格式,請將它們儲存在欄位 SrcUsername<UsernameType>中。範例: AlbertE |
| SrcUsernameType | 條件式 | 使用者名稱類型 | 指定儲存在 SrcUsername 欄位的使用者名稱類型。 關於允許的值清單及更多資訊,請參閱結構概覽文章中的 UsernameType。 範例: Windows |
| SrcUserType | 選用 | UserType | 來源使用者的類型。 關於允許的值清單及更多資訊,請參閱結構概覽文章中的 UserType。 注意:該值可能在來源記錄中透過使用不同術語提供,應以這些數值標準化。 將原始值儲存在 SrcOriginalUserType 欄位。 |
| SrcOriginalUserType | 選用 | 字串 | 如果回報裝置提供原始目的使用者類型。 |
來源應用欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| SrcAppName | 選用 | 字串 | 來源應用程式的名稱。 範例: filezilla.exe |
| SrcAppId(描述性功能) | 選用 | 字串 | 來源應用程式的 ID,由報告裝置回報。 若 SrcAppType 為 Process, SrcAppId 則 SrcProcessId 和 值應該相同。範例: 124 |
| SrcAppType | 選用 | AppType | 來源應用程式的類型。 關於允許的值清單及更多資訊,請參閱結構概覽文章中的 AppType。 若使用 SrcAppName 或 SrcAppId ,則此欄位為強制性。 |
| SrcProcessName | 選用 | 字串 | 啟動網路會話的程序檔名。 這個名稱通常被視為製程名稱。 範例: C:\Windows\explorer.exe |
| SrcProcessID | 選用 | 字串 | 程序 ID (發起網路會話的程序的 PID) 。 範例: 48610176 注意:為了支援不同系統,該型別定義為字串,但在 Windows 和 Linux 上,此值必須是數字。 如果你使用的是 Windows 或 Linux 電腦,且使用不同類型的電腦,務必轉換這些數值。 例如,如果你使用了十六進位值,請將其轉換為十進位值。 |
| SrcProcessGuid | 選用 | 字串 | 產生的唯一識別碼 (GUID) ,代表發起網路會話的程序。 範例: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
本地與遠端別名
上述所有來源與目的欄位,皆可選擇性地被同名欄位及描述符LocalRemote與 。 這通常對端點報告且事件類型為 EndpointNetworkSession的事件特別有用。
對於此類事件,描述符 Local 和 Remote 分別代表終端點本身及網路會話另一端的裝置。 對於入站連線,本地系統是目的地, Local 欄位是欄位 Dst 的別名,而「遠端」欄位則是欄位的 Src 別名。 相反地,對於出站連線,本地系統是來源, Local 欄位是欄位的 Src 別名, Remote 欄位是欄位的 Dst 別名。
例如,對於一個入站事件,欄位LocalIpAddr是 的別名,欄位RemoteIpAddr是 的DstIpAddr別名SrcIpAddr。
主機名稱與 IP 位址別名
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 主機名稱 | 別名 | - 若事件類型為 ,或L2NetworkSession為 NetworkSession,Flow主機名稱為 DstHostname 的別名。- 若事件類型為 EndpointNetworkSession,主機名稱為別名,該別名RemoteHostname可由 DstHostname 或 SrcHostName 替代,視 NetworkDirection 而定 |
|
| IpAddr | 別名 | - 若事件類型為 NetworkSession或 , FlowL2NetworkSession則 IpAddr 是 SrcIpAddr 的別名。- 若事件類型為 EndpointNetworkSession,IpAddr 是別名, LocalIpAddr可別名 SrcIpAddr 或 DstIpAddr,視 NetworkDirection 而定。 |
NAT) 欄位 (中介裝置與網路位址轉換
若記錄包含中介裝置(如防火牆或代理伺服器)的資訊,以下欄位會很有用,該裝置負責轉發網路會話。
中介系統通常使用位址轉換,因此原始位址與外部觀察到的位址並不相同。 在這種情況下,主要位址欄位如 SrcIPAddr 和 DstIpAddr 代表外部觀察到的位址,而 NAT 位址欄位 SrcNatIpAddr 和 DstNatIpAddr 則代表原始裝置在轉換前的內部位址。
檢查場
以下欄位用來表示安全裝置(如防火牆、IPS 或網路安全閘道)所執行的檢查:
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| NetworkRuleName | 選用 | 字串 |
DvcAction 所依據的規則名稱或識別碼。 範例: AnyAnyDrop |
| NetworkRuleNumber | 選用 | 整數 |
DvcAction 所依據的規則編號。 範例: 23 |
| Rule | 別名 | 字串 | 要麼是 NetworkRuleName 的值,要麼是 NetworkRuleNumber 的值。 若使用 NetworkRuleNumber 的值,該型別應轉換為字串。 |
| 威脅本體 | 選用 | 字串 | 網路會話中識別出的威脅或惡意軟體的識別碼。 範例: Tr.124 |
| 威脅名稱 | 選用 | 字串 | 網路會話中識別出的威脅或惡意軟體名稱。 範例: EICAR Test File |
| 威脅類別 | 選用 | 字串 | 網路會話中識別出的威脅或惡意軟體類別。 範例: Trojan |
| 威脅風險等級 | 選用 | 風險等級 (整數) | 與會談相關的風險等級。 等級應該是 0 到 100 之間的數字。 注意:該值可能在來源記錄中透過使用不同的刻度來提供,該刻度應被正規化至該刻度。 原始值應該儲存在 ThreatRiskLevelOriginal。 |
| 威脅原始風險等級 | 選用 | 字串 | 報告裝置報告的風險等級。 |
| 威脅加倍 | 選用 | IP 位址 | 一個識別出威脅的 IP 位址。 ThreatField 欄位包含 ThreatIpAddr 所代表的欄位名稱。 |
| 威脅場 | 條件式 | 列舉 | 該領域被識別為威脅。 其值為SrcIpAddrDstIpAddr或 。 |
| 威脅信心 | 選用 | 信心水準 (整數) | 所識別威脅的信心等級,標準化為0到100之間的值。 |
| 威脅原創自信 | 選用 | 字串 | 根據報告裝置回報的原始威脅信心等級。 |
| 威脅是活躍的 | 選用 | 布林值 | 如果所識別的威脅被視為活躍威脅,那是正確的。 |
| 威脅首次報告時間 | 選用 | datetime | 第一次識別出 IP 位址或網域為威脅。 |
| 威脅最後報告時間 | 選用 | datetime | 最後一次該 IP 位址或網域被識別為威脅的時間。 |
其他領域
若事件由網路會話的某端點回報,可能會包含啟動或終止會話的程序資訊。 在這種情況下, ASIM Process Event 架構 會用來正規化這些資訊。
結構更新
以下是結構 0.2.1 版本的變更:
- 新增
Src並Dst作為來源與目的系統的首位識別碼別名。 - 加上欄位
NetworkConnectionHistory、SrcVlanId、DstVlanId、InnerVlanId和OuterVlanId。
以下是結構 0.2.2 版本的變更:
- 新增
Remote與Local別名。 - 新增事件類型
EndpointNetworkSession。 - 當事件類型為
EndpointNetworkSession時,定義Hostname和IpAddr分別為LocalIpAddrRemoteHostname和 的別名。 - 定義
DvcInterface為 或DvcInboundInterfaceDvcOutboundInterface的別名。 - 將以下欄位的類型由整數改為長欄位:
SrcBytes、NetworkPacketsDstBytesNetworkBytesSrcPacketsDstPackets和 。 - 新增欄位
NetworkProtocolVersion。 - 已
DstUserDomain棄用且SrcUserDomain。
以下是結構 0.2.3 版本的變更:
- 新增
ipaddr_has_any_prefix了過濾參數。 -
hostname_has_any過濾參數現在會匹配來源或目的主機名稱。 - 加上欄位
ASimMatchingHostname和ASimMatchingIpAddr。
以下是結構 0.2.4 版本的變更:
- 補充
TcpFlags了欄位。 - 已更新
NetworkIcpmType並NetworkIcmpCode反映兩者的數字值。 - 新增了額外的檢查欄位。
- 欄位「ThreatRiskLevelOriginal」被重新命名為
ThreatOriginalRiskLevel,以符合 ASIM 慣例。 現有的 Microsoft 解析器將維護ThreatRiskLevelOriginal至 2023 年 5 月 1 日。 - 標記
EventResultDetails為推薦值,並指定允許的值。
以下是結構 0.2.5 版本的變更:
- 加入了欄位
DstUserScope、SrcUserScope、SrcDvcScopeId、DvcScopeSrcDvcScopeDstDvcScopeIdDstDvcScopeDvcScopeId和 。
以下是結構 0.2.6 版本的變更:
- 新增 IDS 作為事件類型
以下是結構 0.2.7 版本的變更:
- 加入了欄位
DstDescription和SrcDescription
後續步驟
如需詳細資訊,請參閱: