De naslaginformatie over het schema voor netwerksessienormalisatie van ASIM (Advanced Security Information Model)

Het normalisatieschema voor Microsoft Sentinel netwerksessie vertegenwoordigt een IP-netwerkactiviteit, zoals netwerkverbindingen en netwerksessies. Dergelijke gebeurtenissen worden bijvoorbeeld gerapporteerd door besturingssystemen, routers, firewalls en inbraakpreventiesystemen.

Het schema voor netwerknormalisatie kan elk type IP-netwerksessie vertegenwoordigen, maar is ontworpen om ondersteuning te bieden voor algemene brontypen, zoals Netflow, firewalls en inbraakpreventiesystemen.

Zie Normalisatie en het Advanced Security Information Model (ASIM) voor meer informatie over normalisatie in Microsoft Sentinel.

Parsers

Zie het overzicht van ASIM-parsers voor meer informatie over ASIM-parsers.

Parseerfuncties samenvoegen

Als u parsers wilt gebruiken waarmee alle out-of-the-box ASIM-parsers worden samengevoegd en ervoor wilt zorgen dat uw analyse wordt uitgevoerd in alle geconfigureerde bronnen, gebruikt u de _Im_NetworkSession parser.

Out-of-the-box, bronspecifieke parsers

Raadpleeg de lijst met ASIM-parsers voor de lijst met netwerksessieparsesers Microsoft Sentinel out-of-the-box biedt

Uw eigen genormaliseerde parsers toevoegen

Wanneer u aangepaste parsers ontwikkelt voor het netwerksessiegegevensmodel, geeft u de KQL-functies een naam met behulp van de volgende syntaxis:

vimNetworkSession<vendor><Product> voor geparametriseerde parsers
ASimNetworkSession<vendor><Product> voor normale parsers

Raadpleeg het artikel ASIM-parsers beheren voor meer informatie over het toevoegen van uw aangepaste parsers aan de parseringsservers voor netwerksessies.

Parameters voor filteren van parser

De netwerksessieparser ondersteunt filterparameters. Hoewel deze parameters optioneel zijn, kunnen ze uw queryprestaties verbeteren.

De volgende filterparameters zijn beschikbaar:

Naam	Type	Beschrijving
Starttime	Datetime	Filter alleen netwerksessies die zijn gestart om of na deze tijd. Deze parameter filtert op het `TimeGenerated` veld, dat de standaardindeling is voor de tijd van de gebeurtenis, ongeacht de parserspecifieke toewijzing van de velden EventStartTime en EventEndTime.
Eindtijd	Datetime	Filter alleen netwerksessies die zijn gestart op of vóór deze tijd. Deze parameter filtert op het `TimeGenerated` veld, dat de standaardindeling is voor de tijd van de gebeurtenis, ongeacht de parserspecifieke toewijzing van de velden EventStartTime en EventEndTime.
srcipaddr_has_any_prefix	Dynamische	Filter alleen netwerksessies waarvoor het bron-IP-adresveldvoorvoegsel zich in een van de vermelde waarden bevindt. Voorvoegsels moeten eindigen op een `.`, bijvoorbeeld: `10.0.`. De lengte van de lijst is beperkt tot 10.000 items.
dstipaddr_has_any_prefix	Dynamische	Filter alleen netwerksessies waarvoor het voorvoegsel van het doel-IP-adresveld zich in een van de vermelde waarden bevindt. Voorvoegsels moeten eindigen op een `.`, bijvoorbeeld: `10.0.`. De lengte van de lijst is beperkt tot 10.000 items.
ipaddr_has_any_prefix	Dynamische	Filter alleen netwerksessies waarvoor het doel-IP-adresveld of het veldvoorvoegsel van het bron-IP-adres zich in een van de vermelde waarden bevindt. Voorvoegsels moeten eindigen op een `.`, bijvoorbeeld: `10.0.`. De lengte van de lijst is beperkt tot 10.000 items. Het veld ASimMatchingIpAddr wordt ingesteld met een van de waarden `SrcIpAddr`, `DstIpAddr`of `Both` om de overeenkomende velden of velden weer te geven.
dstportnumber	Int	Filter alleen netwerksessies met het opgegeven doelpoortnummer.
hostname_has_any	dynamisch/tekenreeks	Filter alleen netwerksessies waarvoor het veld doelhostnaam een van de vermelde waarden bevat. De lengte van de lijst is beperkt tot 10.000 items. Het veld ASimMatchingHostname is ingesteld met een van de waarden `SrcHostname`, `DstHostname`of `Both` om de overeenkomende velden of velden weer te geven.
dvcaction	dynamisch/tekenreeks	Filter alleen netwerksessies waarvoor het veld Apparaatactie een van de vermelde waarden is.
eventresult	Tekenreeks	Filter alleen netwerksessies met een specifieke EventResult-waarde .

Sommige parameters kunnen zowel een lijst met waarden van het type dynamic als één tekenreekswaarde accepteren. Als u een letterlijke lijst wilt doorgeven aan parameters die een dynamische waarde verwachten, gebruikt u expliciet een dynamische letterlijke waarde. Bijvoorbeeld:dynamic(['192.168.','10.'])

Als u bijvoorbeeld alleen netwerksessies wilt filteren op een opgegeven lijst met domeinnamen, gebruikt u:

let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)

Tip

Als u een letterlijke lijst wilt doorgeven aan parameters die een dynamische waarde verwachten, gebruikt u expliciet een dynamische letterlijke waarde. Bijvoorbeeld: dynamic(['192.168.','10.']).

Genormaliseerde inhoud

Zie Netwerksessiebeveiligingsinhoud voor een volledige lijst met analyseregels die gebruikmaken van genormaliseerde DNS-gebeurtenissen.

Schemaoverzicht

Het informatiemodel van de netwerksessie is afgestemd op het entiteitsschema OSSEM Network.

Het netwerksessieschema dient voor verschillende typen vergelijkbare, maar afzonderlijke scenario's, die dezelfde velden delen. Deze scenario's worden geïdentificeerd door het veld EventType:

NetworkSession - een netwerksessie die wordt gerapporteerd door een tussenliggend apparaat dat het netwerk bewaakt, zoals een firewall, een router of een netwerktik.
L2NetworkSession - een netwerksessie waarvoor alleen laag 2-informatie beschikbaar is. Dergelijke gebeurtenissen omvatten MAC-adressen, maar geen IP-adressen.
Flow - een geaggregeerde gebeurtenis die meerdere vergelijkbare netwerksessies rapporteert, meestal gedurende een vooraf gedefinieerde periode, zoals Netflow-gebeurtenissen .
EndpointNetworkSession - een netwerksessie gerapporteerd door een van de eindpunten van de sessie, inclusief clients en servers. Voor dergelijke gebeurtenissen ondersteunt het schema de remote aliasvelden en local .
IDS - een netwerksessie die als verdacht wordt gerapporteerd. Een dergelijke gebeurtenis bevat een aantal van de inspectievelden en kan slechts één IP-adresveld hebben ingevuld, ofwel de bron of het doel.

Normaal gesproken moet een query slechts een subset van deze gebeurtenistypen selecteren en mogelijk unieke aspecten van de use cases aanpakken. IDS-gebeurtenissen geven bijvoorbeeld niet het hele netwerkvolume weer en mogen niet worden meegenomen in analyses op basis van kolommen.

Netwerksessie-gebeurtenissen gebruiken de descriptors Src en Dst om de rollen aan te geven van de apparaten en gerelateerde gebruikers en toepassingen die bij de sessie betrokken zijn. De hostnaam en het IP-adres van het bronapparaat hebben bijvoorbeeld de naam SrcHostname en SrcIpAddr. Andere ASIM-schema's gebruiken Target doorgaans in plaats van Dst.

Voor gebeurtenissen die zijn gerapporteerd door een eindpunt en waarvoor het gebeurtenistype is EndpointNetworkSession, LocalRemote worden respectievelijk het eindpunt zelf en het apparaat aan het andere einde van de netwerksessie aangegeven.

De descriptor Dvc wordt gebruikt voor het rapportageapparaat, het lokale systeem voor sessies die zijn gerapporteerd door een eindpunt, en de tussenliggende apparaat- of netwerktik voor andere netwerksessie-gebeurtenissen.

Schemadetails

Algemene ASIM-velden

Belangrijk

Algemene velden voor alle schema's worden uitgebreid beschreven in het artikel Algemene velden van ASIM .

Algemene velden met specifieke richtlijnen

In de volgende lijst worden velden vermeld met specifieke richtlijnen voor netwerksessie-gebeurtenissen:

Veld	Klasse	Type	Beschrijving
EventCount	Verplicht	Geheel getal	Netflow-bronnen ondersteunen aggregatie en het veld EventCount moet worden ingesteld op de waarde van het veld Netflow FLOWS . Voor andere bronnen is de waarde doorgaans ingesteld op `1`.
EventType	Verplicht	Opgesomde	Beschrijft het scenario dat door de record wordt gerapporteerd. Voor netwerksessierecords zijn de toegestane waarden: - `EndpointNetworkSession` - `NetworkSession` - `L2NetworkSession` - `IDS` - `Flow` Raadpleeg het schemaoverzicht voor meer informatie over gebeurtenistypen
EventSubType	Optioneel	Opgesomde	Aanvullende beschrijving van het gebeurtenistype, indien van toepassing. Voor netwerksessierecords omvatten ondersteunde waarden: - `Start` - `End` Dit veld is niet relevant voor `Flow` gebeurtenissen.
EventResult	Verplicht	Opgesomde	Als het bronapparaat geen gebeurtenisresultaat opgeeft, moet EventResult zijn gebaseerd op de waarde van DvcAction. Als DvcAction`Deny`, `Drop`, `Drop ICMP`, `Reset`, `Reset Source`of `Reset Destination` , Moet EventResult zijn `Failure`. Anders moet EventResult zijn `Success`.
EventResultDetails	Aanbevolen	Opgesomde	Reden of details voor het resultaat dat is gerapporteerd in het veld EventResult . Ondersteunde waarden zijn: -Failover - Ongeldige TCP - Ongeldige tunnel - Maximum aantal nieuwe pogingen -Opnieuw instellen - Routeringsprobleem -Simulatie -Beëindigd -Timeout - Tijdelijke fout -Onbekende - N.V. De oorspronkelijke, bronspecifieke waarde wordt opgeslagen in het veld EventOriginalResultDetails .
EventSchema	Verplicht	Opgesomde	De naam van het schema dat hier wordt beschreven, is `NetworkSession`.
EventSchemaVersion	Verplicht	SchemaVersion (tekenreeks)	De versie van het schema. De versie van het schema dat hier wordt beschreven, is `0.2.7`.
DvcAction	Aanbevolen	Opgesomde	De actie die is uitgevoerd op de netwerksessie. Ondersteunde waarden zijn: - `Allow` - `Deny` - `Drop` - `Drop ICMP` - `Reset` - `Reset Source` - `Reset Destination` - `Encrypt` - `Decrypt` - `VPNroute` Opmerking: De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd naar deze waarden. De oorspronkelijke waarde moet worden opgeslagen in het veld DvcOriginalAction . Voorbeeld: `drop`
EventSeverity	Optioneel	Opgesomde	Als het bronapparaat geen ernst van de gebeurtenis opgeeft, moet EventSeverity zijn gebaseerd op de waarde van DvcAction. Als DvcAction`Deny`, `Drop`, `Drop ICMP`, `Reset`, `Reset Source`of `Reset Destination` , EventSeverity moet zijn `Low`. Anders moet EventSeverity zijn `Informational`.
DvcInterface			Het veld DvcInterface moet de velden DvcInboundInterface of DvcOutboundInterface als alias gebruiken.
Dvc-velden			Voor Netwerksessie-gebeurtenissen verwijzen apparaatvelden naar het systeem dat de gebeurtenis Netwerksessie rapporteert.

Alle algemene velden

Velden die in de onderstaande tabel worden weergegeven, zijn gemeenschappelijk voor alle ASIM-schema's. Elke hierboven opgegeven richtlijn overschrijft de algemene richtlijnen voor het veld. Een veld kan bijvoorbeeld in het algemeen optioneel zijn, maar verplicht voor een specifiek schema. Raadpleeg het artikel Algemene velden van ASIM voor meer informatie over elk veld.

Klasse	Velden
Verplicht	- EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc
Aanbevolen	- EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction
Optioneel	- EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcO's - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope

Velden voor netwerksessie

Veld	Klasse	Type	Beschrijving
NetworkApplicationProtocol	Optioneel	Tekenreeks	Het toepassingslaagprotocol dat wordt gebruikt door de verbinding of sessie. De waarde moet in alle hoofdletters staan. Voorbeeld: `FTP`
NetworkProtocol	Optioneel	Opgesomde	Het IP-protocol dat wordt gebruikt door de verbinding of sessie zoals vermeld in de IANA-protocoltoewijzing. Dit is meestal `TCP`, `UDP`of `ICMP`. Voorbeeld: `TCP`
NetworkProtocolVersion	Optioneel	Opgesomde	De versie van NetworkProtocol. Wanneer u deze gebruikt om onderscheid te maken tussen IP-versie, gebruikt u de waarden `IPv4` en `IPv6`.
NetworkDirection	Optioneel	Opgesomde	De richting van de verbinding of sessie: - Voor eventtype`NetworkSessionFlow` of `L2NetworkSession`vertegenwoordigt NetworkDirection de richting ten opzichte van de grens van de organisatie- of cloudomgeving. Ondersteunde waarden zijn `Inbound`, `OutboundLocal` (voor de organisatie), `External` (voor de organisatie) of `NA` (niet van toepassing). - Voor het EventType`EndpointNetworkSession` vertegenwoordigt NetworkDirection de richting ten opzichte van het eindpunt. Ondersteunde waarden zijn `Inbound`, `Outbound`( `Local` voor het systeem) `Listen` of `NA` (Niet van toepassing). De `Listen` waarde geeft aan dat een apparaat is begonnen met het accepteren van netwerkverbindingen, maar niet echt, noodzakelijkerwijs, is verbonden.
NetworkDuration	Optioneel	Geheel getal	De hoeveelheid tijd, in milliseconden, voor het voltooien van de netwerksessie of verbinding. Voorbeeld: `1500`
Duur	Alias		Alias naar NetworkDuration.
NetworkIcmpType	Optioneel	Tekenreeks	Voor een ICMP-bericht typt ICMP de naam die is gekoppeld aan de numerieke waarde, zoals beschreven in RFC 2780 voor IPv4-netwerkverbindingen of in RFC 4443 voor IPv6-netwerkverbindingen. Voorbeeld: `Destination Unreachable` voor NetworkIcmpCode `3`
NetworkIcmpCode	Optioneel	Geheel getal	Voor een ICMP-bericht het ICMP-codenummer zoals beschreven in RFC 2780 voor IPv4-netwerkverbindingen of in RFC 4443 voor IPv6-netwerkverbindingen.
NetworkConnectionHistory	Optioneel	Tekenreeks	TCP-vlaggen en andere potentiële IP-headergegevens.
Dstbytes	Aanbevolen	Lange	Het aantal bytes dat van de bestemming naar de bron voor de verbinding of sessie is verzonden. Als de gebeurtenis wordt geaggregeerd, moet DstBytes de som zijn van alle geaggregeerde sessies. Voorbeeld: `32455`
SrcBytes	Aanbevolen	Lange	Het aantal bytes dat van de bron naar de bestemming voor de verbinding of sessie is verzonden. Als de gebeurtenis wordt geaggregeerd, moeten SrcBytes de som zijn van alle geaggregeerde sessies. Voorbeeld: `46536`
Netwerkbytes	Optioneel	Lange	Het aantal bytes dat in beide richtingen is verzonden. Als zowel BytesReceived als BytesSent bestaan, moet BytesTotal gelijk zijn aan hun som. Als de gebeurtenis wordt geaggregeerd, moeten Netwerkbytes de som zijn van alle geaggregeerde sessies. Voorbeeld: `78991`
DstPackets	Optioneel	Lange	Het aantal pakketten dat van de bestemming naar de bron is verzonden voor de verbinding of sessie. De betekenis van een pakket wordt gedefinieerd door het rapportageapparaat. Als de gebeurtenis wordt geaggregeerd, moet DstPackets de som zijn van alle geaggregeerde sessies. Voorbeeld: `446`
SrcPackets	Optioneel	Lange	Het aantal pakketten dat van de bron naar de bestemming voor de verbinding of sessie is verzonden. De betekenis van een pakket wordt gedefinieerd door het rapportageapparaat. Als de gebeurtenis wordt geaggregeerd, moet SrcPackets de som zijn van alle geaggregeerde sessies. Voorbeeld: `6478`
NetworkPackets	Optioneel	Lange	Het aantal pakketten dat in beide richtingen wordt verzonden. Als zowel PacketsReceived als PacketsSent bestaan, moet PacketsTotal gelijk zijn aan hun som. De betekenis van een pakket wordt gedefinieerd door het rapportageapparaat. Als de gebeurtenis wordt geaggregeerd, moet NetworkPackets de som zijn van alle geaggregeerde sessies. Voorbeeld: `6924`
NetworkSessionId	Optioneel	tekenreeks	De sessie-id zoals gerapporteerd door het rapportageapparaat. Voorbeeld: `172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80`
Sessionid	Alias	Tekenreeks	Alias naar NetworkSessionId.
TcpFlagsAck	Optioneel	Booleaanse waarde	De tcp-ACK-vlag gerapporteerd. De bevestigingsvlag wordt gebruikt om de ontvangst van een pakket te bevestigen. Zoals we in het bovenstaande diagram kunnen zien, verzendt de ontvanger een ACK en een SYN in de tweede stap van het handshake-proces in drie richtingen om de afzender te laten weten dat deze het eerste pakket heeft ontvangen.
TcpFlagsFin	Optioneel	Booleaanse waarde	De TCP FIN-vlag gerapporteerd. De voltooide vlag betekent dat er geen gegevens meer zijn van de afzender. Daarom wordt het gebruikt in het laatste pakket dat is verzonden van de afzender.
TcpFlagsSyn	Optioneel	Booleaanse waarde	De TCP SYN-vlag gerapporteerd. De synchronisatievlag wordt gebruikt als eerste stap bij het tot stand brengen van een handshake in drie richtingen tussen twee hosts. Alleen het eerste pakket van zowel de afzender als de ontvanger moet deze vlag hebben ingesteld.
TcpFlagsUrg	Optioneel	Booleaanse waarde	De tcp-URG-vlag gerapporteerd. De urgentievlag wordt gebruikt om de ontvanger te waarschuwen dat de urgente pakketten moeten worden verwerkt voordat alle andere pakketten worden verwerkt. De ontvanger krijgt een melding wanneer alle bekende urgente gegevens zijn ontvangen. Zie RFC 6093 voor meer informatie.
TcpFlagsPsh	Optioneel	Booleaanse waarde	De TCP PSH-vlag gerapporteerd. De pushvlag is vergelijkbaar met de URG-vlag en vertelt de ontvanger deze pakketten te verwerken terwijl ze worden ontvangen in plaats van ze te bufferen.
TcpFlagsRst	Optioneel	Booleaanse waarde	De TCP RST-vlag gerapporteerd. De resetvlag wordt verzonden van de ontvanger naar de afzender wanneer een pakket wordt verzonden naar een bepaalde host die het niet verwachtte.
TcpFlagsEce	Optioneel	Booleaanse waarde	De GERAPPORTEERDE TCP ECE-vlag. Deze vlag is verantwoordelijk voor het aangeven of de TCP-peer ecn-compatibel is. Zie RFC 3168 voor meer informatie.
TcpFlagsCwr	Optioneel	Booleaanse waarde	De TCP CWR-vlag gerapporteerd. De vlag voor het verminderde congestievenster wordt gebruikt door de verzendende host om aan te geven dat deze een pakket heeft ontvangen met de ECE-vlag ingesteld. Zie RFC 3168 voor meer informatie.
TcpFlagsNs	Optioneel	Booleaanse waarde	De gerapporteerde TCP NS-vlag. De nonce sum-vlag is nog steeds een experimentele vlag die wordt gebruikt om te beschermen tegen onbedoelde kwaadaardige verberging van pakketten voor de afzender. Zie RFC 3540 voor meer informatie

Doelsysteemvelden

Veld	Klasse	Type	Beschrijving
Dst	Alias		Een unieke id van de server die de DNS-aanvraag ontvangt. Dit veld kan de alias van de velden DstDvcId, DstHostname of DstIpAddr zijn. Voorbeeld: `192.168.12.1`
DstIpAddr	Aanbevolen	IP-adres	Het IP-adres van de verbinding of sessiebestemming. Als de sessie gebruikmaakt van netwerkadresomzetting, `DstIpAddr` is het openbaar zichtbare adres en niet het oorspronkelijke adres van de bron, dat is opgeslagen in DstNatIpAddr Voorbeeld: `2001:db8::ff00:42:8329` Opmerking: deze waarde is verplicht als DstHostname is opgegeven.
DstPortNumber	Optioneel	Geheel getal	De doel-IP-poort. Voorbeeld: `443`
DstHostname	Aanbevolen	Hostnaam (tekenreeks)	De hostnaam van het doelapparaat, met uitzondering van domeingegevens. Als er geen apparaatnaam beschikbaar is, slaat u het relevante IP-adres in dit veld op. Voorbeeld: `DESKTOP-1282V4D`
DstDomain	Aanbevolen	Domein (tekenreeks)	Het domein van het doelapparaat. Voorbeeld: `Contoso`
DstDomainType	Voorwaardelijke	Opgesomde	Het type DstDomain. Raadpleeg DomainType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Vereist als DstDomain wordt gebruikt.
DstFQDN	Optioneel	FQDN (tekenreeks)	De hostnaam van het doelapparaat, inclusief domeingegevens indien beschikbaar. Voorbeeld: `Contoso\DESKTOP-1282V4D` Opmerking: dit veld ondersteunt zowel de traditionele FQDN-indeling als de Windows-indeling domein\hostnaam. Het DstDomainType weerspiegelt de gebruikte indeling.
DstDvcId	Optioneel	Tekenreeks	De id van het doelapparaat. Als er meerdere id's beschikbaar zijn, gebruikt u de belangrijkste id en slaat u de andere id's op in de velden `DstDvc<DvcIdType>`. Voorbeeld: `ac7e9755-8eae-4ffc-8a02-50ed7a2216c3`
DstDvcScopeId	Optioneel	Tekenreeks	De bereik-id van het cloudplatform waartoe het apparaat behoort. DstDvcScopeId wordt toegewezen aan een abonnements-id op Azure en aan een account-id op AWS.
DstDvcScope	Optioneel	Tekenreeks	Het cloudplatformbereik waartoe het apparaat behoort. DstDvcScope wordt toegewezen aan een abonnements-id op Azure en aan een account-id op AWS.
DstDvcIdType	Voorwaardelijke	Opgesomde	Het type DstDvcId. Raadpleeg DvcIdType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Vereist als DstDeviceId wordt gebruikt.
DstDeviceType	Optioneel	Opgesomde	Het type van het doelapparaat. Raadpleeg DeviceType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie.
DstZone	Optioneel	Tekenreeks	De netwerkzone van de bestemming, zoals gedefinieerd door het rapportageapparaat. Voorbeeld: `Dmz`
DstInterfaceName	Optioneel	Tekenreeks	De netwerkinterface die wordt gebruikt voor de verbinding of sessie door het doelapparaat. Voorbeeld: `Microsoft Hyper-V Network Adapter`
DstInterfaceGuid	Optioneel	GUID (tekenreeks)	De GUID van de netwerkinterface die op het doelapparaat wordt gebruikt. Voorbeeld: `46ad544b-eaf0-47ef-` `827c-266030f545a6`
DstMacAddr	Optioneel	MAC-adres (tekenreeks)	Het MAC-adres van de netwerkinterface die wordt gebruikt voor de verbinding of sessie door het doelapparaat. Voorbeeld: `06:10:9f:eb:8f:14`
DstVlanId	Optioneel	Tekenreeks	De VLAN-id die is gerelateerd aan het doelapparaat. Voorbeeld: `130`
OuterVlanId	Alias		Alias naar DstVlanId. In veel gevallen kan het VLAN niet worden bepaald als een bron of bestemming, maar wordt het gekenmerkt als binnen- of buitenste. Deze alias geeft aan dat DstVlanId moet worden gebruikt wanneer het VLAN wordt gekenmerkt als outer.
DstGeoCountry	Optioneel	Land	Het land/de regio die is gekoppeld aan het doel-IP-adres. Zie Logische typen voor meer informatie. Voorbeeld: `USA`
DstGeoRegion	Optioneel	Regio	De regio of status die is gekoppeld aan het doel-IP-adres. Zie Logische typen voor meer informatie. Voorbeeld: `Vermont`
DstGeoCity	Optioneel	Plaats	De plaats die is gekoppeld aan het doel-IP-adres. Zie Logische typen voor meer informatie. Voorbeeld: `Burlington`
DstGeoLatitude	Optioneel	Latitude	De breedtegraad van de geografische coördinaat die is gekoppeld aan het doel-IP-adres. Zie Logische typen voor meer informatie. Voorbeeld: `44.475833`
DstGeoLongitude	Optioneel	Lengtegraad	De lengtegraad van de geografische coördinaat die is gekoppeld aan het doel-IP-adres. Zie Logische typen voor meer informatie. Voorbeeld: `73.211944`
DstDescription	Optioneel	Tekenreeks	Een beschrijvende tekst die is gekoppeld aan het apparaat. Bijvoorbeeld: `Primary Domain Controller`.

Doelgebruikersvelden

Veld	Klasse	Type	Beschrijving
DstUserId	Optioneel	Tekenreeks	Een machineleesbare, alfanumerieke, unieke weergave van de doelgebruiker. Raadpleeg de entiteit Gebruiker voor de ondersteunde indeling voor verschillende id-typen. Voorbeeld: `S-1-12`
DstUserScope	Optioneel	Tekenreeks	Het bereik, zoals Microsoft Entra tenant, waarin DstUserId en DstUsername zijn gedefinieerd. of zie UserScope in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden.
DstUserScopeId	Optioneel	Tekenreeks	De bereik-id, zoals Microsoft Entra Directory-id, waarin DstUserId en DstUsername zijn gedefinieerd. Zie UserScopeId in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden.
DstUserIdType	Voorwaardelijke	UserIdType	Het type id dat is opgeslagen in het veld DstUserId . Raadpleeg UserIdType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie.
DstUsername	Optioneel	Gebruikersnaam (tekenreeks)	De doelgebruikersnaam, inclusief domeingegevens indien beschikbaar. Raadpleeg de entiteit Gebruiker voor de ondersteunde indeling voor verschillende id-typen. Gebruik het eenvoudige formulier alleen als domeingegevens niet beschikbaar zijn. Sla het gebruikersnaamtype op in het veld DstUsernameType . Als er andere gebruikersnaamindelingen beschikbaar zijn, slaat u deze op in de velden `DstUsername<UsernameType>`. Voorbeeld: `AlbertE`
Gebruiker	Alias		Alias naar DstUsername.
DstUsernameType	Voorwaardelijke	UsernameType	Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld DstUsername . Raadpleeg UsernameType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Voorbeeld: `Windows`
DstUserType	Optioneel	UserType	Het type doelgebruiker. Raadpleeg UserType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Opmerking: De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd naar deze waarden. Sla de oorspronkelijke waarde op in het veld DstOriginalUserType .
DstOriginalUserType	Optioneel	Tekenreeks	Het oorspronkelijke doelgebruikerstype, indien opgegeven door de bron.

Doeltoepassingsvelden

Veld	Klasse	Type	Beschrijving
DstAppName	Optioneel	Tekenreeks	De naam van de doeltoepassing. Voorbeeld: `Facebook`
DstAppId	Optioneel	Tekenreeks	De id van de doeltoepassing, zoals gerapporteerd door het rapportageapparaat. Als DstAppType is `Process`en `DstAppIdDstProcessId` dezelfde waarde moet hebben. Voorbeeld: `124`
DstAppType	Optioneel	AppType	Het type van de doeltoepassing. Raadpleeg AppType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Dit veld is verplicht als DstAppName of DstAppId wordt gebruikt.
DstProcessName	Optioneel	Tekenreeks	De bestandsnaam van het proces waarmee de netwerksessie is beëindigd. Deze naam wordt doorgaans beschouwd als de procesnaam. Voorbeeld: `C:\Windows\explorer.exe`
Proces	Alias		Alias naar de DstProcessName Voorbeeld: `C:\Windows\System32\rundll32.exe`
DstProcessId	Optioneel	Tekenreeks	De proces-id (PID) van het proces waarmee de netwerksessie is beëindigd. Voorbeeld: `48610176` Opmerking: Het type wordt gedefinieerd als tekenreeks voor ondersteuning van verschillende systemen, maar in Windows en Linux moet deze waarde numeriek zijn. Als u een Windows- of Linux-machine gebruikt en een ander type hebt gebruikt, moet u de waarden converteren. Als u bijvoorbeeld een hexadecimale waarde hebt gebruikt, converteert u deze naar een decimale waarde.
DstProcessGuid	Optioneel	Tekenreeks	Een gegenereerde unieke id (GUID) van het proces waarmee de netwerksessie is beëindigd. Voorbeeld: `EF3BD0BD-2B74-60C5-AF5C-010000001E00`

Bronsysteemvelden

Veld	Klasse	Type	Beschrijving
Src	Alias		Een unieke id van het bronapparaat. Dit veld kan de alias van de velden SrcDvcId, SrcHostname of SrcIpAddr zijn. Voorbeeld: `192.168.12.1`
SrcIpAddr	Aanbevolen	IP-adres	Het IP-adres waaruit de verbinding of sessie afkomstig is. Deze waarde is verplicht als SrcHostname is opgegeven. Als de sessie gebruikmaakt van netwerkadresomzetting, `SrcIpAddr` is het openbaar zichtbare adres en niet het oorspronkelijke adres van de bron, dat is opgeslagen in SrcNatIpAddr Voorbeeld: `77.138.103.108`
SrcPortNumber	Optioneel	Geheel getal	De IP-poort van waaruit de verbinding afkomstig is. Is mogelijk niet relevant voor een sessie die uit meerdere verbindingen bestaat. Voorbeeld: `2335`
SrcHostname	Aanbevolen	Hostnaam (tekenreeks)	De hostnaam van het bronapparaat, met uitzondering van domeingegevens. Als er geen apparaatnaam beschikbaar is, slaat u het relevante IP-adres in dit veld op. Voorbeeld: `DESKTOP-1282V4D`
SrcDomain	Aanbevolen	Domein (tekenreeks)	Het domein van het bronapparaat. Voorbeeld: `Contoso`
SrcDomainType	Voorwaardelijke	DomainType	Het type SrcDomain. Raadpleeg DomainType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Vereist als SrcDomain wordt gebruikt.
SrcFQDN	Optioneel	FQDN (tekenreeks)	De hostnaam van het bronapparaat, inclusief domeingegevens indien beschikbaar. Opmerking: dit veld ondersteunt zowel de traditionele FQDN-indeling als de Windows-indeling domein\hostnaam. In het veld SrcDomainType wordt de gebruikte indeling weergegeven. Voorbeeld: `Contoso\DESKTOP-1282V4D`
SrcDvcId	Optioneel	Tekenreeks	De id van het bronapparaat. Als er meerdere id's beschikbaar zijn, gebruikt u de belangrijkste id en slaat u de andere id's op in de velden `SrcDvc<DvcIdType>`. Voorbeeld: `ac7e9755-8eae-4ffc-8a02-50ed7a2216c3`
SrcDvcScopeId	Optioneel	Tekenreeks	De bereik-id van het cloudplatform waartoe het apparaat behoort. SrcDvcScopeId wordt toegewezen aan een abonnements-id op Azure en aan een account-id op AWS.
SrcDvcScope	Optioneel	Tekenreeks	Het cloudplatformbereik waartoe het apparaat behoort. SrcDvcScope wordt toegewezen aan een abonnements-id op Azure en aan een account-id op AWS.
SrcDvcIdType	Voorwaardelijke	DvcIdType	Het type SrcDvcId. Raadpleeg DvcIdType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Opmerking: dit veld is vereist als SrcDvcId wordt gebruikt.
SrcDeviceType	Optioneel	DeviceType	Het type van het bronapparaat. Raadpleeg DeviceType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie.
SrcZone	Optioneel	Tekenreeks	De netwerkzone van de bron, zoals gedefinieerd door het rapportageapparaat. Voorbeeld: `Internet`
SrcInterfaceName	Optioneel	Tekenreeks	De netwerkinterface die wordt gebruikt voor de verbinding of sessie door het bronapparaat. Voorbeeld: `eth01`
SrcInterfaceGuid	Optioneel	GUID (tekenreeks)	De GUID van de netwerkinterface die wordt gebruikt op het bronapparaat. Voorbeeld: `46ad544b-eaf0-47ef-` `827c-266030f545a6`
SrcMacAddr	Optioneel	MAC-adres (tekenreeks)	Het MAC-adres van de netwerkinterface waaruit de verbinding of sessie afkomstig is. Voorbeeld: `06:10:9f:eb:8f:14`
SrcVlanId	Optioneel	Tekenreeks	De VLAN-id die is gerelateerd aan het bronapparaat. Voorbeeld: `130`
InnerVlanId	Alias		Alias naar SrcVlanId. In veel gevallen kan het VLAN niet worden bepaald als een bron of bestemming, maar wordt het gekenmerkt als binnen- of buitenste. Deze alias geeft aan dat SrcVlanId moet worden gebruikt wanneer het VLAN wordt gekenmerkt als inner.
SrcGeoCountry	Optioneel	Land	Het land/de regio die is gekoppeld aan het bron-IP-adres. Voorbeeld: `USA`
SrcGeoRegion	Optioneel	Regio	De regio die is gekoppeld aan het bron-IP-adres. Voorbeeld: `Vermont`
SrcGeoCity	Optioneel	Plaats	De plaats die is gekoppeld aan het bron-IP-adres. Voorbeeld: `Burlington`
SrcGeoLatitude	Optioneel	Latitude	De breedtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. Voorbeeld: `44.475833`
SrcGeoLongitude	Optioneel	Lengtegraad	De lengtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. Voorbeeld: `73.211944`
SrcDescription	Optioneel	Tekenreeks	Een beschrijvende tekst die is gekoppeld aan het apparaat. Bijvoorbeeld: `Primary Domain Controller`.

Brongebruikersvelden

Veld	Klasse	Type	Beschrijving
SrcUserId	Optioneel	Tekenreeks	Een machineleesbare, alfanumerieke, unieke weergave van de brongebruiker. Raadpleeg de entiteit Gebruiker voor de ondersteunde indeling voor verschillende id-typen. Voorbeeld: `S-1-12`
SrcUserScope	Optioneel	Tekenreeks	Het bereik, zoals Microsoft Entra tenant, waarin SrcUserId en SrcUsername zijn gedefinieerd. of zie UserScope in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden.
SrcUserScopeId	Optioneel	Tekenreeks	De bereik-id, zoals Microsoft Entra Directory-id, waarin SrcUserId en SrcUsername zijn gedefinieerd. Zie UserScopeId in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden.
SrcUserIdType	Voorwaardelijke	UserIdType	Het type id dat is opgeslagen in het veld SrcUserId . Raadpleeg UserIdType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie.
SrcUsername	Optioneel	Gebruikersnaam (tekenreeks)	De brongebruikersnaam, inclusief domeingegevens, indien beschikbaar. Raadpleeg de entiteit Gebruiker voor de ondersteunde indeling voor verschillende id-typen. Gebruik het eenvoudige formulier alleen als domeingegevens niet beschikbaar zijn. Sla het gebruikersnaamtype op in het veld SrcUsernameType . Als er andere gebruikersnaamindelingen beschikbaar zijn, slaat u deze op in de velden `SrcUsername<UsernameType>`. Voorbeeld: `AlbertE`
SrcUsernameType	Voorwaardelijke	UsernameType	Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld SrcUsername . Raadpleeg UsernameType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Voorbeeld: `Windows`
SrcUserType	Optioneel	UserType	Het type brongebruiker. Raadpleeg UserType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Opmerking: De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd naar deze waarden. Sla de oorspronkelijke waarde op in het veld SrcOriginalUserType .
SrcOriginalUserType	Optioneel	Tekenreeks	Het oorspronkelijke doelgebruikerstype, indien opgegeven door het rapportageapparaat.

Brontoepassingsvelden

Veld	Klasse	Type	Beschrijving
SrcAppName	Optioneel	Tekenreeks	De naam van de brontoepassing. Voorbeeld: `filezilla.exe`
SrcAppId	Optioneel	Tekenreeks	De id van de brontoepassing, zoals gerapporteerd door het rapportageapparaat. Als SrcAppType is `Process`en `SrcAppIdSrcProcessId` dezelfde waarde moet hebben. Voorbeeld: `124`
SrcAppType	Optioneel	AppType	Het type van de brontoepassing. Raadpleeg AppType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Dit veld is verplicht als SrcAppName of SrcAppId wordt gebruikt.
SrcProcessName	Optioneel	Tekenreeks	De bestandsnaam van het proces waarmee de netwerksessie is gestart. Deze naam wordt doorgaans beschouwd als de procesnaam. Voorbeeld: `C:\Windows\explorer.exe`
SrcProcessId	Optioneel	Tekenreeks	De proces-id (PID) van het proces waarmee de netwerksessie is gestart. Voorbeeld: `48610176` Opmerking: Het type wordt gedefinieerd als tekenreeks voor ondersteuning van verschillende systemen, maar in Windows en Linux moet deze waarde numeriek zijn. Als u een Windows- of Linux-machine gebruikt en een ander type hebt gebruikt, moet u de waarden converteren. Als u bijvoorbeeld een hexadecimale waarde hebt gebruikt, converteert u deze naar een decimale waarde.
SrcProcessGuid	Optioneel	Tekenreeks	Een gegenereerde unieke id (GUID) van het proces dat de netwerksessie heeft geïnitieerd. Voorbeeld: `EF3BD0BD-2B74-60C5-AF5C-010000001E00`

Lokale en externe aliassen

Alle hierboven vermelde bron- en doelvelden kunnen eventueel worden gealiaseerd door velden met dezelfde naam en de descriptors Local en Remote. Dit is meestal handig voor gebeurtenissen die zijn gerapporteerd door een eindpunt en waarvoor het gebeurtenistype is EndpointNetworkSession.

Voor dergelijke gebeurtenissen worden LocalRemote respectievelijk het eindpunt zelf en het apparaat aan het andere einde van de netwerksessie aangegeven. Voor binnenkomende verbindingen is het lokale systeem het doel, Local zijn velden aliassen voor de Dst velden en 'Externe' velden zijn aliassen voor Src velden. Omgekeerd is voor uitgaande verbindingen het lokale systeem de bron, Local zijn velden aliassen voor de Src velden en Remote velden aliassen voor Dst velden.

Voor een binnenkomende gebeurtenis is het veld LocalIpAddr bijvoorbeeld een alias voor DstIpAddr en is het veld RemoteIpAddr een alias van SrcIpAddr.

Aliassen voor hostnaam en IP-adres

Veld	Klasse	Type	Beschrijving
Hostname	Alias		- Als het gebeurtenistype , `Flow` of `L2NetworkSession`is`NetworkSession`, is Hostnaam een alias voor DstHostname. - Als het gebeurtenistype is `EndpointNetworkSession`, is Hostnaam een alias voor `RemoteHostname`, die kan de alias DstHostname of SrcHostName, afhankelijk van NetworkDirection
Ipaddr	Alias		- Als het gebeurtenistype , `Flow` of `L2NetworkSession`is`NetworkSession`, is IpAddr een alias van SrcIpAddr. - Als het gebeurtenistype is `EndpointNetworkSession`, is IpAddr een alias voor `LocalIpAddr`, die de alias SrcIpAddr of DstIpAddr kan gebruiken, afhankelijk van NetworkDirection.

Tussenliggende velden apparaat en NAT (Network Address Translation)

De volgende velden zijn handig als de record informatie bevat over een tussenliggend apparaat, zoals een firewall of een proxy, waarmee de netwerksessie wordt doorgegeven.

Tussenliggende systemen maken vaak gebruik van adresomzetting en daarom zijn het oorspronkelijke adres en het externe adres niet hetzelfde. In dergelijke gevallen vertegenwoordigen de primaire adresvelden, zoals SrcIPAddr en DstIpAddr , de adressen die extern worden waargenomen, terwijl de NAT-adresvelden, SrcNatIpAddr en DstNatIpAddr het interne adres van het oorspronkelijke apparaat vertegenwoordigen vóór de vertaling.

Veld	Klasse	Type	Beschrijving
DstNatIpAddr	Optioneel	IP-adres	De DstNatIpAddr vertegenwoordigt een van de volgende opties: - Het oorspronkelijke adres van het doelapparaat als netwerkadresomzetting is gebruikt. - Het IP-adres dat door het tussenliggende apparaat wordt gebruikt voor communicatie met de bron. Voorbeeld: `2::1`
DstNatPortNumber	Optioneel	Geheel getal	Indien gerapporteerd door een tussenliggend NAT-apparaat, de poort die door het NAT-apparaat wordt gebruikt voor communicatie met de bron. Voorbeeld: `443`
SrcNatIpAddr	Optioneel	IP-adres	De SrcNatIpAddr vertegenwoordigt een van de volgende: - Het oorspronkelijke adres van het bronapparaat als netwerkadresomzetting is gebruikt. - Het IP-adres dat door het tussenliggende apparaat wordt gebruikt voor communicatie met de bestemming. Voorbeeld: `4.3.2.1`
SrcNatPortNumber	Optioneel	Geheel getal	Indien gerapporteerd door een tussenliggend NAT-apparaat, de poort die door het NAT-apparaat wordt gebruikt voor communicatie met de bestemming. Voorbeeld: `345`
DvcInboundInterface	Optioneel	Tekenreeks	Indien gerapporteerd door een tussenliggend apparaat, de netwerkinterface die door het NAT-apparaat wordt gebruikt voor de verbinding met het bronapparaat. Voorbeeld: `eth0`
DvcOutboundInterface	Optioneel	Tekenreeks	Indien gerapporteerd door een tussenliggend apparaat, de netwerkinterface die door het NAT-apparaat wordt gebruikt voor de verbinding met het doelapparaat. Voorbeeld: `Ethernet adapter Ethernet 4e`

Inspectievelden

De volgende velden worden gebruikt om de inspectie weer te geven die een beveiligingsapparaat zoals een firewall, een IPS of een webbeveiligingsgateway heeft uitgevoerd:

Veld	Klasse	Type	Beschrijving
NetworkRuleName	Optioneel	Tekenreeks	De naam of id van de regel waarop DvcAction is besloten. Voorbeeld: `AnyAnyDrop`
NetworkRuleNumber	Optioneel	Geheel getal	Het nummer van de regel waarop DvcAction is besloten. Voorbeeld: `23`
Regel	Alias	Tekenreeks	De waarde van NetworkRuleName of de waarde van NetworkRuleNumber. Als de waarde van NetworkRuleNumber wordt gebruikt, moet het type worden geconverteerd naar tekenreeks.
ThreatId	Optioneel	Tekenreeks	De id van de bedreiging of malware die is geïdentificeerd in de netwerksessie. Voorbeeld: `Tr.124`
ThreatName	Optioneel	Tekenreeks	De naam van de bedreiging of malware die in de netwerksessie is geïdentificeerd. Voorbeeld: `EICAR Test File`
ThreatCategory	Optioneel	Tekenreeks	De categorie van de bedreiging of malware die in de netwerksessie is geïdentificeerd. Voorbeeld: `Trojan`
ThreatRiskLevel	Optioneel	RiskLevel (geheel getal)	Het risiconiveau dat aan de sessie is gekoppeld. Het niveau moet een getal tussen 0 en 100 zijn. Opmerking: de waarde kan worden opgegeven in de bronrecord met behulp van een andere schaal, die moet worden genormaliseerd naar deze schaal. De oorspronkelijke waarde moet worden opgeslagen in ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel	Optioneel	Tekenreeks	Het risiconiveau zoals gerapporteerd door het rapportageapparaat.
ThreatIpAddr	Optioneel	IP-adres	Een IP-adres waarvoor een bedreiging is geïdentificeerd. Het veld ThreatField bevat de naam van het veld dat ThreatIpAddr vertegenwoordigt.
ThreatField	Voorwaardelijke	Opgesomde	Het veld waarvoor een bedreiging is geïdentificeerd. De waarde is of `SrcIpAddrDstIpAddr`.
ThreatConfidence	Optioneel	ConfidenceLevel (geheel getal)	Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd naar een waarde tussen 0 en een 100.
ThreatOriginalConfidence	Optioneel	Tekenreeks	Het oorspronkelijke betrouwbaarheidsniveau van de geïdentificeerde bedreiging, zoals gerapporteerd door het rapportageapparaat.
ThreatIsActive	Optioneel	Booleaanse waarde	Waar als de geïdentificeerde bedreiging wordt beschouwd als een actieve bedreiging.
ThreatFirstReportedTime	Optioneel	Datetime	De eerste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging.
ThreatLastReportedTime	Optioneel	Datetime	De laatste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging.

Overige velden

Veld	Klasse	Type	Beschrijving
ASimMatchingIpAddr	Aanbevolen	Opgesomde	Wanneer een parser de `ipaddr_has_any_prefix` filterparameters gebruikt, wordt dit veld ingesteld met een van de waarden `SrcIpAddr`, `DstIpAddr`of `Both` om de overeenkomende velden of velden weer te geven.
ASimMatchingHostname	Aanbevolen	Opgesomde	Wanneer een parser de `hostname_has_any` filterparameters gebruikt, wordt dit veld ingesteld met een van de waarden `SrcHostname`, `DstHostname`of `Both` om de overeenkomende velden of velden weer te geven.

Als de gebeurtenis wordt gerapporteerd door een van de eindpunten van de netwerksessie, kan deze informatie bevatten over het proces waarmee de sessie is gestart of beëindigd. In dergelijke gevallen wordt het schema ASIM Process Event gebruikt om deze informatie te normaliseren.

Schema-updates

Hier volgen de wijzigingen in versie 0.2.1 van het schema:

Dst En Src toegevoegd als aliassen aan een voorloop-id voor de bron- en doelsystemen.
De velden NetworkConnectionHistory, SrcVlanId, DstVlanId, InnerVlanIden OuterVlanId.

Hier volgen de wijzigingen in versie 0.2.2 van het schema:

Toegevoegde Remote aliassen en Local aliassen.
Het gebeurtenistype EndpointNetworkSessionis toegevoegd.
Gedefinieerd Hostname en IpAddr als aliassen voor RemoteHostname respectievelijk en LocalIpAddr wanneer het gebeurtenistype is EndpointNetworkSession.
Gedefinieerd DvcInterface als een alias voor DvcInboundInterface of DvcOutboundInterface.
Het type van de volgende velden is gewijzigd van Geheel getal in Lang: SrcBytes, DstBytesNetworkBytes, , SrcPackets, DstPacketsen NetworkPackets.
Het veld NetworkProtocolVersionis toegevoegd.
DstUserDomain Afgeschaft en SrcUserDomain.

Hier volgen de wijzigingen in versie 0.2.3 van het schema:

ipaddr_has_any_prefix De filterparameter toegevoegd.
De hostname_has_any filterparameter komt nu overeen met de hostnamen van de bron of de bestemming.
De velden ASimMatchingHostname en ASimMatchingIpAddrzijn toegevoegd.

Hier volgen de wijzigingen in versie 0.2.4 van het schema:

De velden zijn TcpFlags toegevoegd.
Bijgewerkt NetworkIcpmType en NetworkIcmpCode om de getalwaarde voor beide weer te geven.
Aanvullende inspectievelden toegevoegd.
De naam van het veld ThreatRiskLevelOriginal is gewijzigd in om ThreatOriginalRiskLevel uit te lijnen met ASIM-conventies. Bestaande Microsoft-parsers blijven behouden ThreatRiskLevelOriginal tot 1 mei 2023.
Gemarkeerd EventResultDetails als aanbevolen en de toegestane waarden opgegeven.

Hier volgen de wijzigingen in versie 0.2.5 van het schema:

De velden , , , , , DstDvcScopeId, DstDvcScope, , DvcScopeIden DvcScope. SrcDvcScopeSrcDvcScopeIdSrcUserScopeDstUserScope

Hier volgen de wijzigingen in versie 0.2.6 van het schema:

Id's toegevoegd als gebeurtenistype

Hier volgen de wijzigingen in versie 0.2.7 van het schema:

De velden DstDescription en SrcDescription

Volgende stappen

Zie voor meer informatie:

Feedback

Is deze pagina nuttig?

Last updated on 2026-04-23