Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Normaliseringsskemaet Microsoft Sentinel netværkssession repræsenterer en IP-netværksaktivitet, f.eks. netværksforbindelser og netværkssessioner. Sådanne hændelser rapporteres for eksempel af operativsystemer, routere, firewalls og intrusion forebyggelsessystemer.
Netværksnormaliseringsskemaet kan repræsentere alle typer af en IP-netværkssession, men er designet til at understøtte almindelige kildetyper, f.eks. Netflow, firewalls og systemer til forebyggelse af indtrængen.
Du kan få flere oplysninger om normalisering i Microsoft Sentinel under Normalisering og ASIM (Advanced Security Information Model).
Parsere
Du kan finde flere oplysninger om ASIM-fortolkninger i oversigten over ASIM-fortolkninger.
Forenende fortolkere
Hvis du vil bruge fortolkere, der forener alle ASIM-fortolkninger, der er klar til brug, og sikre, at din analyse kører på tværs af alle de konfigurerede kilder, skal du bruge fortolkeren _Im_NetworkSession .
Ude af funktion, kildespecifikke fortolkninger
Hvis du vil se listen over fortolkninger af netværkssessionen Microsoft Sentinel leverer klar til brug, skal du se listen over ASIM-fortolkninger
Tilføj dine egne normaliserede fortolkere
Når du udvikler brugerdefinerede fortolkninger for informationsmodellen for netværkssessionen, skal du navngive dine KQL-funktioner ved hjælp af følgende syntaks:
-
vimNetworkSession<vendor><Product>til parametriserede fortolkere -
ASimNetworkSession<vendor><Product>for almindelige fortolkninger
Se artiklen Administration af ASIM-fortolkere for at få mere at vide om, hvordan du føjer dine brugerdefinerede fortolkere til netværkssessionen forener fortolkere.
Filtreringsparserparametre
Fortolkningsparametrene for netværkssessionen understøtter filtrering af parametre. Selvom disse parametre er valgfrie, kan de forbedre ydeevnen af din forespørgsel.
Følgende filtreringsparametre er tilgængelige:
| Navn | Type | Beskrivelse |
|---|---|---|
| Starttidspunkt | Datetime | Filtrer kun netværkssessioner, der startede på eller efter dette tidspunkt. Denne parameter filtrerer feltet TimeGenerated , som er standarddesignatoren for tidspunktet for hændelsen, uanset den parserspecifikke tilknytning af felterne EventStartTime og EventEndTime. |
| slutklokkeslæt | Datetime | Filtrer kun netværkssessioner, der startede med at køre på eller før dette tidspunkt. Denne parameter filtrerer feltet TimeGenerated , som er standarddesignatoren for tidspunktet for hændelsen, uanset den parserspecifikke tilknytning af felterne EventStartTime og EventEndTime. |
| srcipaddr_has_any_prefix | Dynamisk | Filtrer kun netværkssessioner, hvor præfikset for kildens IP-adresse er i en af de angivne værdier. Præfikser skal slutte med en ., f.eks.: 10.0.. Længden af listen er begrænset til 10.000 elementer. |
| dstipaddr_has_any_prefix | Dynamisk | Filtrer kun netværkssessioner, hvor præfikset for IP-adressen for destinationen er i en af de angivne værdier. Præfikser skal slutte med en ., f.eks.: 10.0.. Længden af listen er begrænset til 10.000 elementer. |
| ipaddr_has_any_prefix | Dynamisk | Filtrer kun de netværkssessioner, hvor destinations-IP-adressefeltet eller kildens IP-adressefeltpræfiks findes i en af de angivne værdier. Præfikser skal slutte med en ., f.eks.: 10.0.. Længden af listen er begrænset til 10.000 elementer.Feltet ASimMatchingIpAddr er angivet med en af værdierne SrcIpAddr, DstIpAddreller Both for at afspejle de tilsvarende felter eller felter. |
| dstportnumber | Int | Filtrer kun netværkssessioner med det angivne destinationsportnummer. |
| hostname_has_any | dynamisk/streng | Filtrer kun de netværkssessioner, hvor destinationsværtsnavn-feltet har en af de angivne værdier. Længden af listen er begrænset til 10.000 elementer. Feltet ASimMatchingHostname er angivet med en af værdierne SrcHostname, DstHostnameeller Both for at afspejle de tilsvarende felter eller felter. |
| dvcaction | dynamisk/streng | Filtrer kun de netværkssessioner, hvor feltet Enhedshandling er en af de angivne værdier. |
| eventresult | String | Filtrer kun netværkssessioner med en bestemt EventResult-værdi . |
Nogle parametre kan acceptere begge lister med værdier af typen dynamic eller en enkelt strengværdi. Hvis du vil overføre en konstantliste til parametre, der forventer en dynamisk værdi, skal du eksplicit bruge en dynamisk konstant. For eksempel: dynamic(['192.168.','10.'])
Hvis du f.eks. kun vil filtrere netværkssessioner for en angivet liste over domænenavne, skal du bruge:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
Tip
Hvis du vil overføre en konstantliste til parametre, der forventer en dynamisk værdi, skal du eksplicit bruge en dynamisk konstant. For eksempel: dynamic(['192.168.','10.']).
Normaliseret indhold
Du kan se en komplet liste over analyseregler, der bruger normaliserede DNS-hændelser, under Sikkerhedsindhold for netværkssession.
Skemaoversigt
Informationsmodellen for netværkssessionen er justeret i forhold til OSSEM Network-enhedsskemaet.
Skemaet til netværkssessionen serverer flere typer lignende, men særskilte scenarier, som deler de samme felter. Disse scenarier identificeres af feltet EventType:
-
NetworkSession- en netværkssession, der rapporteres af en mellemliggende enhed, der overvåger netværket, f.eks. en firewall, en router eller et netværkstryk. -
L2NetworkSession- en netværkssession, hvor der kun er lag 2-oplysninger tilgængelige. Sådanne hændelser omfatter MAC-adresser, men ikke IP-adresser. -
Flow– en samlet hændelse, der rapporterer flere lignende netværkssessioner, typisk over en foruddefineret tidsperiode, f.eks . Netflow-hændelser . -
EndpointNetworkSession– en netværkssession, der rapporteres af et af slutpunkterne for sessionen, herunder klienter og servere. For sådanne hændelser understøtter skemaet aliasfelterneremoteoglocal. -
IDS– en netværkssession, der er rapporteret som mistænkelig. En sådan hændelse vil have nogle af kontrolfelterne udfyldt, og der kan kun være udfyldt ét IP-adressefelt, enten kilden eller destinationen.
En forespørgsel skal typisk enten vælge blot et undersæt af disse hændelsestyper og skal muligvis håndtere separate entydige aspekter af use cases. IDS-hændelser afspejler f.eks. ikke hele netværksenheden og bør ikke tages i betragtning i kolonnebaserede analyser.
Netværkssessionshændelser bruger beskrivelserne Src og Dst til at angive rollerne for de enheder og relaterede brugere og programmer, der er involveret i sessionen. Så kildeenhedens værtsnavn og IP-adresse navngives SrcHostname f.eks. og SrcIpAddr. Andre ASIM-skemaer bruger Target typisk i stedet for Dst.
For hændelser, der rapporteres af et slutpunkt, og hvor hændelsestypen er EndpointNetworkSession, beskriver Local og Remote angiver henholdsvis slutpunktet og enheden i den anden ende af netværkssessionen.
Dvc Beskrivelsen bruges til rapporteringsenheden, som er det lokale system for sessioner, der er rapporteret af et slutpunkt, og mellemliggende enhed eller netværkstryk for andre netværkssessionshændelser.
Skemadetaljer
Almindelige ASIM-felter
Vigtigt!
Felter, der er fælles for alle skemaer, er beskrevet detaljeret i artiklen Almindelige ASIM-felter .
Almindelige felter med specifikke retningslinjer
På følgende liste nævnes felter, der har specifikke retningslinjer for hændelser i netværkssessionen:
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| EventCount | Obligatorisk | Heltal | Netflow-kilder understøtter sammenlægning, og feltet EventCount skal angives til værdien i feltet Netflow FLOWS . For andre kilder angives værdien typisk til 1. |
| EventType | Obligatorisk | Optalt | Beskriver det scenarie, der rapporteres af posten. For netværkssessionsposter er de tilladte værdier: - EndpointNetworkSession- NetworkSession - L2NetworkSession- IDS - FlowDu kan finde flere oplysninger om hændelsestyper i skemaoversigten |
| EventSubType | Valgfrit | Optalt | Yderligere beskrivelse af hændelsestypen, hvis det er relevant. For netværkssessionsposter omfatter understøttede værdier: - Start- EndDette felt er ikke relevant for Flow hændelser. |
| EventResult | Obligatorisk | Optalt | Hvis kildeenheden ikke leverer et hændelsesresultat, skal EventResult være baseret på værdien af DvcAction. Hvis DvcAction er Deny, Drop, Drop ICMP, Reset, Reset Sourceeller Reset Destination, EventResult skal være Failure. Ellers skal EventResult være Success. |
| EventResultDetails | Anbefalede | Optalt | Årsag eller oplysninger om resultatet rapporteret i feltet EventResult . De understøttede værdier er: -Failover - Ugyldig TCP - Ugyldig tunnel - Maksimalt antal forsøg -Nulstille - Distributionsproblem -Simulering -Afsluttet -Timeout - Midlertidig fejl -Ukendt -NA. Den oprindelige kildespecifikke værdi gemmes i feltet EventOriginalResultDetails . |
| EventSchema | Obligatorisk | Optalt | Navnet på skemaet, der er dokumenteret her, er NetworkSession. |
| EventSchemaVersion | Obligatorisk | SchemaVersion (streng) | Versionen af skemaet. Den version af skemaet, der er dokumenteret her, er 0.2.7. |
| DvcAction | Anbefalede | Optalt | Den handling, der udføres på netværkssessionen. De understøttede værdier er: - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNrouteBemærk! Værdien kan angives i kildeposten ved hjælp af andre ord, som skal normaliseres til disse værdier. Den oprindelige værdi skal gemmes i feltet DvcOriginalAction . Eksempel: drop |
| EventSeverity | Valgfrit | Optalt | Hvis kildeenheden ikke angiver en hændelses alvorsgrad, skal EventSeverity være baseret på værdien af DvcAction. Hvis DvcAction er Deny, Drop, Drop ICMP, Reset, Reset Sourceeller Reset Destination, EventSeverity skal være Low. Ellers skal EventSeverity være Informational. |
| DvcInterface | Feltet DvcInterface skal enten bruge aliasset DvcInboundInterface eller felterne DvcOutboundInterface . | ||
| Dvc-felter | I forbindelse med netværkssessionshændelser henviser enhedsfelter til det system, der rapporterer hændelsen Netværkssession. |
Alle almindelige felter
Felter, der vises i nedenstående tabel, er fælles for alle ASIM-skemaer. Alle retningslinjer, der er angivet ovenfor, tilsidesætter de generelle retningslinjer for feltet. Et felt kan f.eks. være valgfrit generelt, men obligatorisk for et bestemt skema. Du kan finde flere oplysninger om hvert felt i artiklen Almindelige ASIM-felter .
| Klasse | Felter |
|---|---|
| Obligatorisk |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Anbefalede |
-
EventResultDetails - EventSeverity - Hændelses-UID - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valgfrit |
-
Hændelsesmeddelelse - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Hændelsesejer - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Netværkssessionsfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| NetworkApplicationProtocol | Valgfrit | String | Protokollen for programlaget, der bruges af forbindelsen eller sessionen. Værdien skal være med store bogstaver. Eksempel: FTP |
| NetworkProtocol | Valgfrit | Optalt | Den IP-protokol, der bruges af forbindelsen eller sessionen som angivet i IANA-protokoltildelingen, som typisk TCPer , UDPeller ICMP.Eksempel: TCP |
| NetworkProtocolVersion | Valgfrit | Optalt | Versionen af NetworkProtocol. Når du bruger den til at skelne mellem IP-version, skal du bruge værdierne IPv4 og IPv6. |
| NetworkDirection | Valgfrit | Optalt | Retningen for forbindelsen eller sessionen: – For EventType NetworkSessionFlow eller L2NetworkSessionrepræsenterer NetworkDirection retningen i forhold til organisationens eller cloudmiljøets grænse. De understøttede værdier er Inbound, Outbound, Local (til organisationen), External (til organisationen) eller NA (Ikke tilgængelig).– For EventType EndpointNetworkSession repræsenterer NetworkDirection retningen i forhold til slutpunktet. De understøttede værdier er Inbound, Outbound, Local (til systemet) Listen eller NA (Ikke tilgængelig). Værdien Listen angiver, at en enhed er begyndt at acceptere netværksforbindelser, men faktisk ikke nødvendigvis har forbindelse. |
| Netværksvarighed | Valgfrit | Heltal | Den tid i millisekunder, der er brugt til fuldførelse af netværkssessionen eller -forbindelsen. Eksempel: 1500 |
| Varighed | Alias | Alias til Netværksvarighed. | |
| NetworkIcmpType | Valgfrit | String | I forbindelse med en ICMP-meddelelse skal du angive et ICMP-typenavn, der er knyttet til den numeriske værdi, som beskrevet i RFC 2780 for IPv4-netværksforbindelser eller i RFC 4443 for IPv6-netværksforbindelser. Eksempel: Destination Unreachable for NetworkIcmpCode 3 |
| NetworkIcmpCode | Valgfrit | Heltal | IcMP-kodenummeret for en ICMP-meddelelse som beskrevet i RFC 2780 for IPv4-netværksforbindelser eller i RFC 4443 for IPv6-netværksforbindelser. |
| NetworkConnectionHistory | Valgfrit | String | TCP-flag og andre potentielle IP-headeroplysninger. |
| DstBytes | Anbefalede | Lang | Det antal byte, der er sendt fra destinationen til kilden for forbindelsen eller sessionen. Hvis hændelsen er samlet, skal DstBytes være summen for alle samlede sessioner. Eksempel: 32455 |
| SrcBytes | Anbefalede | Lang | Det antal byte, der er sendt fra kilden til destinationen for forbindelsen eller sessionen. Hvis hændelsen er samlet, skal SrcBytes være summen for alle aggregerede sessioner. Eksempel: 46536 |
| NetworkBytes | Valgfrit | Lang | Antal byte, der er sendt i begge retninger. Hvis både BytesReceived og BytesSent findes, skal BytesTotal svare til deres sum. Hvis hændelsen er samlet, skal NetworkBytes være summen for alle samlede sessioner. Eksempel: 78991 |
| DstPackets | Valgfrit | Lang | Det antal pakker, der er sendt fra destinationen til kilden for forbindelsen eller sessionen. Betydningen af en pakke defineres af rapporteringsenheden. Hvis hændelsen er samlet, skal DstPackets være summen for alle aggregerede sessioner. Eksempel: 446 |
| SrcPackets | Valgfrit | Lang | Det antal pakker, der er sendt fra kilden til destinationen for forbindelsen eller sessionen. Betydningen af en pakke defineres af rapporteringsenheden. Hvis hændelsen er samlet, skal SrcPackets være summen for alle samlede sessioner. Eksempel: 6478 |
| NetworkPackets | Valgfrit | Lang | Antallet af pakker, der sendes i begge retninger. Hvis både PacketsReceived og PacketsSent findes, skal PacketsTotal svare til deres sum. Betydningen af en pakke defineres af rapporteringsenheden. Hvis hændelsen er samlet, skal NetworkPackets være summen for alle samlede sessioner. Eksempel: 6924 |
| NetworkSessionId | Valgfrit | Streng | Sessions-id'et som rapporteret af rapporteringsenheden. Eksempel: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| Sessionid | Alias | String | Alias til NetworkSessionId. |
| TcpFlagsAck | Valgfrit | Boolesk | TCP ACK-flaget rapporterede. Bekræftelsesflaget bruges til at bekræfte den vellykkede modtagelse af en pakke. Som vi kan se fra ovenstående diagram, sender modtageren en ACK og en SYN i andet trin af den trevejs håndtryksproces for at fortælle afsenderen, at den modtog sin første pakke. |
| TcpFlagsFin | Valgfrit | Boolesk | TCP FIN-flaget blev rapporteret. Det færdige flag betyder, at der ikke er flere data fra afsenderen. Derfor bruges den i den sidste pakke, der sendes fra afsenderen. |
| TcpFlagsSyn | Valgfrit | Boolesk | TCP SYN-flaget blev rapporteret. Synkroniseringsflaget bruges som et første trin i oprettelsen af et trevejs-håndtryk mellem to værter. Kun den første pakke fra både afsender og modtager skal have dette flag angivet. |
| TcpFlagsUrg | Valgfrit | Boolesk | TCP URG-flaget blev rapporteret. Det presserende flag bruges til at underrette modtageren om at behandle hastepakkerne, før alle andre pakker behandles. Modtageren får besked, når alle kendte hastedata er modtaget. Se RFC 6093 for at få flere oplysninger. |
| TcpFlagsPsh | Valgfrit | Boolesk | TCP PSH-flaget blev rapporteret. Pushflaget ligner URG-flaget og beder modtageren om at behandle disse pakker, da de modtages i stedet for at bufferlagre dem. |
| TcpFlagsRst | Valgfrit | Boolesk | TCP RST-flaget blev rapporteret. Nulstillingsflaget sendes fra modtageren til afsenderen, når en pakke sendes til en bestemt vært, der ikke forventede det. |
| TcpFlagsEce | Valgfrit | Boolesk | TCP ECE-flaget blev rapporteret. Dette flag er ansvarligt for at angive, om TCP-peeren kan bruge ECN. Se RFC 3168 for at få flere oplysninger. |
| TcpFlagsCwr | Valgfrit | Boolesk | TCP CWR-flaget blev rapporteret. Vinduet med reduceret overbelastning bruges af afsendelsesværten til at angive, at den har modtaget en pakke med ECE-flaget angivet. Se RFC 3168 for at få flere oplysninger. |
| TcpFlagsN'er | Valgfrit | Boolesk | TCP NS-flaget blev rapporteret. Nonce sum-flaget er stadig et eksperimentelt flag, der bruges til at beskytte mod utilsigtet ondsindet hemmeligholdelse af pakker fra afsenderen. Se RFC 3540 for at få flere oplysninger |
Destinationssystemfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Dst | Alias | Et entydigt id for den server, der modtager DNS-anmodningen. Dette felt kan aliasse felterne DstDvcId, DstHostname eller DstIpAddr . Eksempel: 192.168.12.1 |
|
| DstIpAddr | Anbefalede | IP-adresse | IP-adressen for forbindelsen eller sessionsdestinationen. Hvis sessionen bruger oversættelse af netværksadresser, DstIpAddr er det den offentligt synlige adresse og ikke kildens oprindelige adresse, der er gemt i DstNatIpAddrEksempel: 2001:db8::ff00:42:8329Bemærk! Denne værdi er obligatorisk, hvis DstHostname er angivet. |
| DstPortNumber | Valgfrit | Heltal | Destinationens IP-port. Eksempel: 443 |
| DstHostname | Anbefalede | Værtsnavn (streng) | Værtsnavnet på destinationsenheden med undtagelse af domæneoplysninger. Hvis der ikke er noget tilgængeligt enhedsnavn, skal du gemme den relevante IP-adresse i dette felt. Eksempel: DESKTOP-1282V4D |
| DstDomain | Anbefalede | Domæne (streng) | Destinationsenhedens domæne. Eksempel: Contoso |
| DstDomainType | Betinget | Optalt | Typen af DstDomain. Du kan finde en liste over tilladte værdier og yderligere oplysninger i artiklen Domænetype i skemaoversigten. Påkrævet, hvis DstDomain bruges. |
| DstFQDN | Valgfrit | FQDN (streng) | Værtsnavnet på destinationsenheden, herunder domæneoplysninger, når de er tilgængelige. Eksempel: Contoso\DESKTOP-1282V4D Bemærk! Dette felt understøtter både traditionelt FQDN-format og Windows-domæne\værtsnavnformat. DstDomainType afspejler det anvendte format. |
| DstDvcId | Valgfrit | String | Id'et for destinationsenheden. Hvis der er flere id'er tilgængelige, skal du bruge det vigtigste og gemme de andre i felterne DstDvc<DvcIdType>. Eksempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | Valgfrit | String | Det område-id for cloudplatformen, som enheden tilhører. DstDvcScopeId knyttes til et abonnements-id på Azure og til et konto-id på AWS. |
| DstDvcScope | Valgfrit | String | Det cloudplatformsområde, som enheden tilhører. DstDvcScope knyttes til et abonnements-id på Azure og til et konto-id på AWS. |
| DstDvcIdType | Betinget | Optalt | Typen af DstDvcId. Du kan finde en liste over tilladte værdier og yderligere oplysninger i DvcIdType i artiklen Skemaoversigt. Påkrævet, hvis DstDeviceId bruges. |
| DstDeviceType | Valgfrit | Optalt | Destinationsenhedens type. Du kan finde en liste over tilladte værdier og yderligere oplysninger i DeviceType i artiklen Skemaoversigt. |
| DstZone | Valgfrit | String | Destinationszonen, som defineret af rapporteringsenheden. Eksempel: Dmz |
| DstInterfaceName | Valgfrit | String | Den netværksgrænseflade, der bruges til forbindelsen eller sessionen af destinationsenheden. Eksempel: Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | Valgfrit | GUID (streng) | GUID'et for den netværksgrænseflade, der bruges på destinationsenheden. Eksempel: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | Valgfrit | MAC-adresse (streng) | MAC-adressen på den netværksgrænseflade, der bruges til forbindelsen eller sessionen af destinationsenheden. Eksempel: 06:10:9f:eb:8f:14 |
| DstVlanId | Valgfrit | String | Det VLAN-id, der er relateret til destinationsenheden. Eksempel: 130 |
| OuterVlanId | Alias | Alias til DstVlanId. I mange tilfælde kan VLAN'en ikke bestemmes som en kilde eller en destination, men er karakteriseret som indre eller ydre. Dette alias angiver, at DstVlanId skal bruges, når VLAN'en er karakteriseret som ydre. |
|
| DstGeoCountry | Valgfrit | Land | Det land/område, der er knyttet til DESTINATIONS-IP-adressen. Du kan få flere oplysninger under Logiske typer. Eksempel: USA |
| DstGeoRegion | Valgfrit | Region | Det område eller den stat, der er knyttet til DESTINATIONS-IP-adressen. Du kan få flere oplysninger under Logiske typer. Eksempel: Vermont |
| DstGeoCity | Valgfrit | Byen | Den by, der er knyttet til destinations-IP-adressen. Du kan få flere oplysninger under Logiske typer. Eksempel: Burlington |
| DstGeoLatitude | Valgfrit | Breddegrad | Breddegraden for den geografiske koordinat, der er knyttet til destinationens IP-adresse. Du kan få flere oplysninger under Logiske typer. Eksempel: 44.475833 |
| DstGeoLongitude | Valgfrit | Længdegrad | Længdegraden for den geografiske koordinat, der er knyttet til destinationens IP-adresse. Du kan få flere oplysninger under Logiske typer. Eksempel: 73.211944 |
| DstDescription | Valgfrit | String | En beskrivende tekst, der er knyttet til enheden. For eksempel: Primary Domain Controller. |
Destinationsbrugerfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| DstUserId | Valgfrit | String | En computerlæsbar, alfanumerisk, entydig repræsentation af destinationsbrugeren. Du kan se det understøttede format for forskellige id-typer i objektet Bruger. Eksempel: S-1-12 |
| DstUserScope | Valgfrit | String | Området, f.eks. Microsoft Entra lejer, hvor DstUserId og DstUsername er defineret. eller flere oplysninger og en liste over tilladte værdier i UserScope i artiklen Skemaoversigt. |
| DstUserScopeId | Valgfrit | String | Område-id'et, f.eks. Microsoft Entra mappe-id, hvor DstUserId og DstUsername er defineret. Du kan få flere oplysninger og en liste over tilladte værdier i UserScopeId i artiklen Skemaoversigt. |
| DstUserIdType | Betinget | UserIdType | Typen af det id, der er gemt i feltet DstUserId . Du kan finde en liste over tilladte værdier og yderligere oplysninger i Artiklen UserIdType i Skemaoversigt. |
| DstUsername | Valgfrit | Brugernavn (streng) | Destinationsbrugernavnet, herunder domæneoplysninger, når det er tilgængeligt. Du kan se det understøttede format for forskellige id-typer i objektet Bruger. Brug kun den enkle formular, hvis domæneoplysningerne ikke er tilgængelige. Gem brugernavnstypen i feltet DstUsernameType . Hvis der er andre brugernavnsformater tilgængelige, skal du gemme dem i felterne DstUsername<UsernameType>.Eksempel: AlbertE |
| Bruger | Alias | Alias til DstUsername. | |
| DstUsernameType | Betinget | UsernameType | Angiver den type brugernavn, der er gemt i feltet DstUsername . Du kan finde en liste over tilladte værdier og yderligere oplysninger i artiklen UsernameType i skemaoversigten. Eksempel: Windows |
| DstUserType | Valgfrit | UserType | Destinationsbrugerens type. Du kan finde en liste over tilladte værdier og yderligere oplysninger i artiklen UserType i skemaoversigten. Bemærk! Værdien kan angives i kildeposten ved hjælp af andre ord, som skal normaliseres til disse værdier. Gem den oprindelige værdi i feltet DstOriginalUserType . |
| DstOriginalUserType | Valgfrit | String | Den oprindelige destinationsbrugertype, hvis den er angivet af kilden. |
Destinationsprogramfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| DstAppName | Valgfrit | String | Navnet på destinationsprogrammet. Eksempel: Facebook |
| DstAppId | Valgfrit | String | Id'et for destinationsprogrammet, som rapporteret af rapporteringsenheden. Hvis DstAppType er Processog DstAppIdDstProcessId skal have den samme værdi.Eksempel: 124 |
| DstAppType | Valgfrit | AppType | Destinationsprogrammets type. Du kan finde en liste over tilladte værdier og yderligere oplysninger i artiklen AppType i skemaoversigten. Dette felt er obligatorisk, hvis DstAppName eller DstAppId bruges. |
| DstProcessName | Valgfrit | String | Filnavnet på den proces, der afsluttede netværkssessionen. Dette navn anses typisk for at være procesnavnet. Eksempel: C:\Windows\explorer.exe |
| Proces | Alias | Alias til DstProcessName Eksempel: C:\Windows\System32\rundll32.exe |
|
| DstProcessId | Valgfrit | String | Proces-id'et (PID) for den proces, der afsluttede netværkssessionen. Eksempel: 48610176 Bemærk! Typen er defineret som streng for at understøtte forskellige systemer, men i Windows og Linux skal denne værdi være numerisk. Hvis du bruger en Windows- eller Linux computer og har brugt en anden type, skal du sørge for at konvertere værdierne. Hvis du f.eks. har brugt en hexadecimal værdi, skal du konvertere den til en decimalværdi. |
| DstProcessGuid | Valgfrit | String | Et genereret entydigt id (GUID) for den proces, der afsluttede netværkssessionen. Eksempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Kildesystemfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Src | Alias | Et entydigt id for kildeenheden. Dette felt kan aliassere felterne SrcDvcId, SrcHostname eller SrcIpAddr . Eksempel: 192.168.12.1 |
|
| SrcIpAddr | Anbefalede | IP-adresse | Den IP-adresse, som forbindelsen eller sessionen stammer fra. Denne værdi er obligatorisk, hvis SrcHostname er angivet. Hvis sessionen bruger oversættelse af netværksadresser, SrcIpAddr er det den offentligt synlige adresse og ikke kildens oprindelige adresse, der er gemt i SrcNatIpAddrEksempel: 77.138.103.108 |
| SrcPortNumber | Valgfrit | Heltal | Den IP-port, som forbindelsen stammer fra. Er muligvis ikke relevant for en session, der består af flere forbindelser. Eksempel: 2335 |
| SrcHostname | Anbefalede | Værtsnavn (streng) | Kildeenhedens værtsnavn, undtagen domæneoplysninger. Hvis der ikke er noget tilgængeligt enhedsnavn, skal du gemme den relevante IP-adresse i dette felt. Eksempel: DESKTOP-1282V4D |
| SrcDomain | Anbefalede | Domæne (streng) | Kildeenhedens domæne. Eksempel: Contoso |
| SrcDomainType | Betinget | Domænetype | Typen af SrcDomain. Du kan finde en liste over tilladte værdier og yderligere oplysninger i artiklen Domænetype i skemaoversigten. Obligatorisk, hvis SrcDomain bruges. |
| SrcFQDN | Valgfrit | FQDN (streng) | Kildeenhedens værtsnavn, herunder domæneoplysninger, når de er tilgængelige. Bemærk! Dette felt understøtter både traditionelt FQDN-format og Windows-domæne\værtsnavnformat. Feltet SrcDomainType afspejler det anvendte format. Eksempel: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Valgfrit | String | Id'et for kildeenheden. Hvis der er flere id'er tilgængelige, skal du bruge det vigtigste og gemme de andre i felterne SrcDvc<DvcIdType>.Eksempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Valgfrit | String | Det område-id for cloudplatformen, som enheden tilhører. SrcDvcScopeId knyttes til et abonnements-id på Azure og til et konto-id på AWS. |
| SrcDvcScope | Valgfrit | String | Det cloudplatformsområde, som enheden tilhører. SrcDvcScope knyttes til et abonnements-id på Azure og til et konto-id på AWS. |
| SrcDvcIdType | Betinget | DvcIdType | Typen af SrcDvcId. Du kan finde en liste over tilladte værdier og yderligere oplysninger i DvcIdType i artiklen Skemaoversigt. Bemærk! Dette felt er obligatorisk, hvis der bruges SrcDvcId . |
| SrcDeviceType | Valgfrit | DeviceType | Kildeenhedens type. Du kan finde en liste over tilladte værdier og yderligere oplysninger i DeviceType i artiklen Skemaoversigt. |
| SrcZone | Valgfrit | String | Kildens netværkszone, som defineret af rapporteringsenheden. Eksempel: Internet |
| SrcInterfaceName | Valgfrit | String | Den netværksgrænseflade, der bruges til forbindelsen eller sessionen af kildeenheden. Eksempel: eth01 |
| SrcInterfaceGuid | Valgfrit | GUID (streng) | GUID'et for den netværksgrænseflade, der bruges på kildeenheden. Eksempel: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | Valgfrit | MAC-adresse (streng) | MAC-adressen på den netværksgrænseflade, som forbindelsen eller sessionen stammer fra. Eksempel: 06:10:9f:eb:8f:14 |
| SrcVlanId | Valgfrit | String | Det VLAN-id, der er relateret til kildeenheden. Eksempel: 130 |
| InnerVlanId | Alias | Alias til SrcVlanId. I mange tilfælde kan VLAN'en ikke bestemmes som en kilde eller en destination, men er karakteriseret som indre eller ydre. Dette alias angiver, at SrcVlanId skal bruges, når VLAN'en er karakteriseret som indre. |
|
| SrcGeoCountry | Valgfrit | Land | Det land/område, der er knyttet til kildens IP-adresse. Eksempel: USA |
| SrcGeoRegion | Valgfrit | Region | Det område, der er knyttet til kildens IP-adresse. Eksempel: Vermont |
| SrcGeoCity | Valgfrit | Byen | Den by, der er knyttet til kildens IP-adresse. Eksempel: Burlington |
| SrcGeoLatitude | Valgfrit | Breddegrad | Breddegraden for den geografiske koordinat, der er knyttet til kildens IP-adresse. Eksempel: 44.475833 |
| SrcGeoLongitude | Valgfrit | Længdegrad | Længdegraden for den geografiske koordinat, der er knyttet til kildens IP-adresse. Eksempel: 73.211944 |
| SrcDescription | Valgfrit | String | En beskrivende tekst, der er knyttet til enheden. For eksempel: Primary Domain Controller. |
Kildebrugerfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| SrcUserId | Valgfrit | String | En computerlæsbar, alfanumerisk, entydig repræsentation af kildebrugeren. Du kan se det understøttede format for forskellige id-typer i objektet Bruger. Eksempel: S-1-12 |
| SrcUserScope | Valgfrit | String | Det område, f.eks. Microsoft Entra lejer, hvor SrcUserId og SrcUsername er defineret. eller flere oplysninger og en liste over tilladte værdier i UserScope i artiklen Skemaoversigt. |
| SrcUserScopeId | Valgfrit | String | Område-id'et, f.eks. Microsoft Entra mappe-id, hvor SrcUserId og SrcUsername er defineret. Du kan få flere oplysninger og en liste over tilladte værdier i UserScopeId i artiklen Skemaoversigt. |
| SrcUserIdType | Betinget | UserIdType | Typen af det id, der er gemt i feltet SrcUserId . Du kan finde en liste over tilladte værdier og yderligere oplysninger i Artiklen UserIdType i Skemaoversigt. |
| SrcUsername | Valgfrit | Brugernavn (streng) | Kildebrugernavnet, herunder domæneoplysninger, når de er tilgængelige. Du kan se det understøttede format for forskellige id-typer i objektet Bruger. Brug kun den enkle formular, hvis domæneoplysningerne ikke er tilgængelige. Gem brugernavnstypen i feltet SrcUsernameType . Hvis der er andre brugernavnsformater tilgængelige, skal du gemme dem i felterne SrcUsername<UsernameType>.Eksempel: AlbertE |
| SrcUsernameType | Betinget | UsernameType | Angiver den type brugernavn, der er gemt i feltet SrcUsername . Du kan finde en liste over tilladte værdier og yderligere oplysninger i artiklen UsernameType i skemaoversigten. Eksempel: Windows |
| SrcUserType | Valgfrit | UserType | Typen af kildebruger. Du kan finde en liste over tilladte værdier og yderligere oplysninger i artiklen UserType i skemaoversigten. Bemærk! Værdien kan angives i kildeposten ved hjælp af andre ord, som skal normaliseres til disse værdier. Gem den oprindelige værdi i feltet SrcOriginalUserType . |
| SrcOriginalUserType | Valgfrit | String | Den oprindelige destinationsbrugertype, hvis den er angivet af rapporteringsenheden. |
Kildeprogramfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| SrcAppName | Valgfrit | String | Navnet på kildeprogrammet. Eksempel: filezilla.exe |
| SrcAppId | Valgfrit | String | Id'et for kildeprogrammet, som rapporteret af rapporteringsenheden. Hvis SrcAppType er Process, SrcAppId og SrcProcessId skal have den samme værdi.Eksempel: 124 |
| SrcAppType | Valgfrit | AppType | Kildeprogrammets type. Du kan finde en liste over tilladte værdier og yderligere oplysninger i artiklen AppType i skemaoversigten. Dette felt er obligatorisk, hvis der bruges SrcAppName eller SrcAppId . |
| SrcProcessName | Valgfrit | String | Filnavnet på den proces, der startede netværkssessionen. Dette navn anses typisk for at være procesnavnet. Eksempel: C:\Windows\explorer.exe |
| SrcProcessId | Valgfrit | String | Proces-id'et (PID) for den proces, der startede netværkssessionen. Eksempel: 48610176 Bemærk! Typen er defineret som streng for at understøtte forskellige systemer, men i Windows og Linux skal denne værdi være numerisk. Hvis du bruger en Windows- eller Linux computer og har brugt en anden type, skal du sørge for at konvertere værdierne. Hvis du f.eks. har brugt en hexadecimal værdi, skal du konvertere den til en decimalværdi. |
| SrcProcessGuid | Valgfrit | String | Et genereret entydigt id (GUID) for den proces, der startede netværkssessionen. Eksempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Lokale og eksterne aliasser
Alle de kilde- og destinationsfelter, der er angivet ovenfor, kan eventuelt aliasseres efter felter med det samme navn og beskrivelserne Local og Remote. Dette er typisk nyttigt for hændelser, der rapporteres af et slutpunkt, og for hvilke hændelsestypen er EndpointNetworkSession.
For sådanne hændelser angiver beskrivelserne Local og Remote selve slutpunktet og enheden i den anden ende af netværkssessionen. For indgående forbindelser er det lokale system destinationen, Local felter er aliasser for Dst felterne, og 'Fjernfelter' er aliasser for Src felter. Omvendt er det lokale system kilden for udgående forbindelser, Local felter er aliasser for Src felterne, og Remote felter er aliasser for Dst felter.
For en indgående hændelse er feltet LocalIpAddr f.eks. et alias til DstIpAddr , og feltet RemoteIpAddr er et alias til SrcIpAddr.
Aliasser for værtsnavn og IP-adresse
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Værtsnavn | Alias | – Hvis hændelsestypen er NetworkSession, Flow eller L2NetworkSession, er Værtsnavn et alias til DstHostname.- Hvis hændelsestypen er EndpointNetworkSession, er Værtsnavn et alias til RemoteHostname, som kan aliasset enten DstHostname eller SrcHostName, afhængigt af NetworkDirection |
|
| IpAddr | Alias | - Hvis hændelsestypen er NetworkSession, Flow eller L2NetworkSession, er IpAddr et alias for SrcIpAddr.- Hvis hændelsestypen er EndpointNetworkSession, er IpAddr et alias til LocalIpAddr, som kan aliasset enten SrcIpAddr eller DstIpAddr, afhængigt af NetworkDirection. |
Nat-felter (Mellemliggende enhed og Netværksadresseoversættelse)
Følgende felter er nyttige, hvis posten indeholder oplysninger om en mellemliggende enhed, f.eks. en firewall eller en proxy, som relæer netværkssessionen.
Mellemliggende systemer bruger ofte adresseoversættelse, og derfor er den oprindelige adresse og den adresse, der blev observeret eksternt, ikke den samme. I sådanne tilfælde repræsenterer de primære adressefelter, f.eks . SrcIPAddr og DstIpAddr de adresser, der er observeret eksternt, mens NAT-adressefelterne SrcNatIpAddr og DstNatIpAddr repræsenterer den interne adresse på den oprindelige enhed før oversættelse.
Kontrolfelter
Følgende felter bruges til at repræsentere den kontrol, som en sikkerhedsenhed, f.eks. en firewall, en IPS eller en websikkerhedsgateway udførte:
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Navn på netværksregel | Valgfrit | String | Navnet eller id'et for den regel, som DvcAction blev vedtaget efter. Eksempel: AnyAnyDrop |
| NetworkRuleNumber | Valgfrit | Heltal | Nummeret på den regel, som DvcAction blev vedtaget efter. Eksempel: 23 |
| Regel | Alias | String | Enten værdien af NetworkRuleName eller værdien af NetworkRuleNumber. Hvis værdien af NetworkRuleNumber bruges, skal typen konverteres til en streng. |
| ThreatId | Valgfrit | String | Id'et for den trussel eller malware, der er identificeret i netværkssessionen. Eksempel: Tr.124 |
| ThreatName | Valgfrit | String | Navnet på den trussel eller malware, der er identificeret i netværkssessionen. Eksempel: EICAR Test File |
| ThreatCategory | Valgfrit | String | Kategorien af den trussel eller malware, der er identificeret i netværkssessionen. Eksempel: Trojan |
| ThreatRiskLevel | Valgfrit | RiskLevel (heltal) | Det risikoniveau, der er knyttet til sessionen. Niveauet skal være et tal mellem 0 og 100. Bemærk! Værdien kan angives i kildeposten ved hjælp af en anden skala, som skal normaliseres til denne skala. Den oprindelige værdi skal gemmes i ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Valgfrit | String | Risikoniveauet som rapporteret af rapporteringsenheden. |
| ThreatIpAddr | Valgfrit | IP-adresse | En IP-adresse, som en trussel blev identificeret for. Feltet ThreatField indeholder navnet på det felt , som ThreatIpAddr repræsenterer. |
| ThreatField | Betinget | Optalt | Det felt, som en trussel blev identificeret for. Værdien er enten SrcIpAddr eller DstIpAddr. |
| ThreatConfidence | Valgfrit | ConfidenceLevel (heltal) | Konfidensniveauet for den identificerede trussel normaliserede sig til en værdi mellem 0 og 100. |
| ThreatOriginalConfidence | Valgfrit | String | Det oprindelige tillidsniveau for den trussel, der blev identificeret, som rapporteret af rapporteringsenheden. |
| ThreatIsActive | Valgfrit | Boolesk | Sand, hvis den identificerede trussel betragtes som en aktiv trussel. |
| ThreatFirstReportedTime | Valgfrit | Datetime | Første gang IP-adressen eller domænet blev identificeret som en trussel. |
| ThreatLastReportedTime | Valgfrit | Datetime | Sidste gang IP-adressen eller domænet blev identificeret som en trussel. |
Andre felter
Hvis hændelsen rapporteres af et af slutpunkterne for netværkssessionen, kan den indeholde oplysninger om den proces, der startede eller afsluttede sessionen. I sådanne tilfælde bruges SKEMAet for ASIM-proceshændelser til at normalisere disse oplysninger.
Skemaopdateringer
Følgende er ændringerne i version 0.2.1 af skemaet:
- Tilføjet
SrcogDstsom aliaser til et foranstillet id for kilde- og destinationssystemerne. - Tilføjede felterne
NetworkConnectionHistory,SrcVlanId,DstVlanId,InnerVlanIdogOuterVlanId.
Følgende er ændringerne i version 0.2.2 af skemaet:
- Tilføjede
Remotealiasser ogLocal. - Hændelsestypen
EndpointNetworkSessioner tilføjet. - Defineret
HostnameogIpAddrsom aliaser forRemoteHostnamehenholdsvis ogLocalIpAddr, når hændelsestypen erEndpointNetworkSession. - Defineret
DvcInterfacesom et alias tilDvcInboundInterfaceellerDvcOutboundInterface. - Ændrede typen af følgende felter fra Integer til Long:
SrcBytes,DstBytes,NetworkBytes,SrcPackets,DstPacketsogNetworkPackets. - Feltet
NetworkProtocolVersioner tilføjet. - Frarådes
DstUserDomainogSrcUserDomain.
Følgende er ændringerne i version 0.2.3 af skemaet:
- Filterparameteren
ipaddr_has_any_prefixer tilføjet. - Filterparameteren
hostname_has_anystemmer nu overens med enten kilde- eller destinationsværtsnavne. - Tilføjede felterne
ASimMatchingHostnameogASimMatchingIpAddr.
Følgende er ændringerne i version 0.2.4 af skemaet:
- Tilføjede felterne
TcpFlags. - Opdateret
NetworkIcpmTypeogNetworkIcmpCodefor at afspejle talværdien for begge. - Tilføjede yderligere kontrolfelter.
- Feltet 'ThreatRiskLevelOriginal' blev omdøbt til at
ThreatOriginalRiskLeveljustere med ASIM-konventioner. Eksisterende Microsoft-fortolkere bevarerThreatRiskLevelOriginalindtil den 1. maj 2023. - Markeret
EventResultDetailssom anbefalet og angivet de tilladte værdier.
Følgende er ændringerne i version 0.2.5 af skemaet:
- Felterne
DstUserScope,SrcUserScope,SrcDvcScopeId,SrcDvcScope,DstDvcScopeId,DstDvcScope,DvcScopeIdogDvcScope.
Følgende er ændringerne i version 0.2.6 af skemaet:
- IdS er tilføjet som en hændelsestype
Følgende er ændringerne i version 0.2.7 af skemaet:
- Tilføjede felterne
DstDescriptionogSrcDescription
Næste trin
Du kan finde flere oplysninger under: