Referenční informace k schématu normalizace relace sítě Advanced Security Information Model (ASIM) (Public Preview)
Schéma normalizace síťových relací služby Microsoft Sentinel představuje síťovou aktivitu PROTOKOLU IP, jako jsou síťová připojení a síťové relace. Tyto události jsou hlášeny například operačními systémy, směrovači, branami firewall a systémy prevence neoprávněných vniknutí.
Schéma normalizace sítě může představovat jakýkoli typ relace sítě IP, ale je navržený tak, aby poskytoval podporu pro běžné typy zdrojů, jako jsou netflow, brány firewall a systémy prevence neoprávněných vniknutí.
Další informace o normalizaci v Microsoft Sentinelu naleznete v tématu Normalizace a Advanced Security Information Model (ASIM).
Tento článek popisuje verzi 0.2.x schématu normalizace sítě. Verze 0.1 byla vydána před dostupností ASIM a není v souladu s ASIM na několika místech. Další informace naleznete v tématu Rozdíly mezi verzemi schématu normalizace sítě.
Důležité
Schéma normalizace sítě je aktuálně ve verzi Preview. Tato funkce je poskytována bez smlouvy o úrovni služeb. Nedoporučujeme ho pro produkční úlohy.
Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Analyzátory
Další informace o analyzátorech ASIM najdete v přehledu analyzátorů ASIM.
Sjednocení analyzátorů
Pokud chcete použít analyzátory, které sjednocují všechny předdefinované analyzátory ASIM a zajišťují, aby se analýza spouštěla ve všech nakonfigurovaných zdrojích, použijte _Im_NetworkSession analyzátor filtrování nebo _ASim_NetworkSession analyzátor bez parametrů.
Nasazené ImNetworkSession pracovní prostory a ASimNetworkSession analyzátory můžete použít také tak, že je nasadíte z úložiště Microsoft Sentinel na GitHubu.
Další informace najdete v integrovaných analyzátorech ASIM a analyzátorech nasazených v pracovním prostoru.
Předefinované analyzátory specifické pro zdroj
Seznam analyzátorů síťových relací, které Microsoft Sentinel nabízí, najdete v seznamu analyzátorů ASIM.
Přidání vlastních normalizovaných analyzátorů
Při vývoji vlastních analyzátorů pro informační model síťové relace pojmenujte funkce KQL pomocí následující syntaxe:
vimNetworkSession<vendor><Product>pro parametrizované analyzátoryASimNetworkSession<vendor><Product>pro pravidelné analyzátory
Informace o přidání vlastních analyzátorů do relace sítě s sjednocením analyzátorů najdete v článku Správa analyzátorů ASIM.
Filtrování parametrů analyzátoru
Analyzátory síťových relací podporují parametry filtrování. I když jsou tyto parametry volitelné, můžou zlepšit výkon dotazů.
K dispozici jsou následující parametry filtrování:
| Name | Typ | Popis |
|---|---|---|
| čas zahájení | datetime | Filtrovat pouze síťové relace, které se v tuto chvíli spustily nebo po tomto okamžiku. |
| endtime | datetime | Vyfiltrujte pouze síťové relace, které byly spuštěny dříve nebo dříve. |
| srcipaddr_has_any_prefix | dynamic | Vyfiltrujte pouze síťové relace, pro které je předpona pole zdrojové IP adresy v jedné z uvedených hodnot. Předpony by měly končit například : .10.0.. Délka seznamu je omezená na 10 000 položek. |
| dstipaddr_has_any_prefix | dynamic | Vyfiltrujte pouze síťové relace, pro které je předpona pole cílové IP adresy v jedné z uvedených hodnot. Předpony by měly končit například : .10.0.. Délka seznamu je omezená na 10 000 položek. |
| ipaddr_has_any_prefix | dynamic | Vyfiltrujte pouze síťové relace, pro které je pole cílové IP adresy nebo předpona pole zdrojové IP adresy v jedné z uvedených hodnot. Předpony by měly končit například : .10.0.. Délka seznamu je omezená na 10 000 položek.Pole ASimMatchingIpAddr je nastaveno s jednou z hodnot SrcIpAddr, DstIpAddrnebo Both odrážejí odpovídající pole nebo pole. |
| dstportnumber | Int | Filtrujte pouze síťové relace se zadaným číslem cílového portu. |
| hostname_has_any | dynamic/string | Vyfiltrujte pouze síťové relace, pro které má pole název cílového hostitele některou z uvedených hodnot. Délka seznamu je omezená na 10 000 položek. Pole ASimMatchingHostname je nastaveno s jednou z hodnot SrcHostname, DstHostnamenebo Both aby odrážel odpovídající pole nebo pole. |
| dvcaction | dynamic/string | Vyfiltrujte pouze síťové relace, pro které je pole Akce zařízení některé z uvedených hodnot. |
| eventresult | String | Filtrujte pouze síťové relace s konkrétní hodnotou EventResult . |
Některý parametr může přijmout oba seznamy hodnot typu dynamic nebo jednu řetězcovou hodnotu. Pokud chcete předat literálový seznam parametrům, které očekávají dynamickou hodnotu, explicitně použijte dynamický literál. Příklad: dynamic(['192.168.','10.'])
Pokud chcete například filtrovat pouze síťové relace pro zadaný seznam názvů domén, použijte:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
Tip
Pokud chcete předat literálový seznam parametrům, které očekávají dynamickou hodnotu, explicitně použijte dynamický literál. Například: dynamic(['192.168.','10.']).
Normalizovaný obsah
Úplný seznam analytických pravidel, která používají normalizované události DNS, najdete v tématu Obsah zabezpečení relace sítě.
Přehled schématu
Model informací o síťové relaci je v souladu se schématem entity sítě OSSEM.
Schéma relace sítě obsluhuje několik typů podobných, ale odlišných scénářů, které sdílejí stejná pole. Tyto scénáře jsou identifikovány polem EventType:
NetworkSession– síťová relace hlášená zprostředkujícím zařízením, které monitoruje síť, jako je brána firewall, směrovač nebo síťové klepnutí.L2NetworkSession– síťové relace, pro které jsou k dispozici pouze informace vrstvy 2. Tyto události budou zahrnovat adresy MAC, ale ne IP adresy.Flow– agregovaná událost, která hlásí více podobných síťových relací, obvykle v předdefinovaném časovém období, jako jsou události Netflow .EndpointNetworkSession– síťová relace hlášená jedním z koncových bodů relace, včetně klientů a serverů. U takových událostí schéma podporuje pole aliasůremotealocalpolí.IDS– síťová relace hlášená jako podezřelá. Tato událost bude mít vyplněná některá z kontrolních polí a může obsahovat pouze jedno pole IP adresy, a to buď zdroj, nebo cíl.
Dotaz by obvykle měl buď vybrat jenom podmnožinu těchto typů událostí, a možná bude potřeba řešit samostatně jedinečné aspekty případů použití. Například události IDS neodráží celý síťový svazek a neměly by se brát v úvahu v analýzách založených na sloupcích.
Události síťové relace používají popisovače Src a Dst označují role zařízení a souvisejících uživatelů a aplikací zapojených do relace. Například název hostitele zdrojového zařízení a IP adresa jsou pojmenované SrcHostname a SrcIpAddr. Jiná schémata ASIM se obvykle používají Target místo Dst.
Pro události hlášené koncovým bodem a pro které je EndpointNetworkSessiontyp události , popisovače Local a označují samotný koncový bod a Remote zařízení na druhém konci síťové relace.
Popisovač Dvc se používá pro zařízení pro generování sestav, což je místní systém pro relace hlášené koncovým bodem, a zprostředkující zařízení nebo síťové klepnutí pro jiné události relace sítě.
Podrobnosti schématu
Běžná pole ASIM
Důležité
Pole společná pro všechna schémata jsou podrobně popsaná v článku o společných polích ASIM.
Běžná pole s konkrétními pokyny
V následujícím seznamu jsou uvedena pole s konkrétními pokyny pro události relace sítě:
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| EventCount | Povinné | Celé číslo | Zdroje netflow podporují agregaci a pole EventCount by mělo být nastaveno na hodnotu pole Netflow FLOW . U jiných zdrojů je hodnota obvykle nastavena na 1. |
| Typ události | Povinné | Enumerated | Popisuje scénář hlášený záznamem. Pro záznamy relace sítě jsou povolené hodnoty: - EndpointNetworkSession- NetworkSession - L2NetworkSession- IDS - FlowDalší informace o typech událostí najdete v přehledu schématu . |
| EventSubType | Volitelné | String | Další popis typu události, pokud je k dispozici. U záznamů relace sítě zahrnují podporované hodnoty: - Start- EndToto pole není relevantní pro Flow události. |
| EventResult | Povinné | Enumerated | Pokud zdrojové zařízení neposkytuje výsledek události, měl by být EventResult založený na hodnotě DvcAction. Je-li DvcAction je , , ResetDropDrop ICMP, , Reset Source, , nebo Deny Reset Destination, EventResult by měl být Failure. Jinak by hodnota EventResult měla být Success. |
| EventResultDetails | Doporučené | Enumerated | Důvod nebo podrobnosti výsledku hlášeného v poli EventResult Podporované hodnoty jsou: – Převzetí služeb při selhání – Neplatný protokol TCP – Neplatný tunel – Maximální počet opakování -Resetovat – Problém se směrováním -Simulace -Ukončený -Přerušení zápasu – Přechodná chyba -Neznámý -SODÍK. Původní hodnota specifická pro zdroj je uložena v poli EventOriginalResultDetails . |
| EventSchema | Povinné | String | Název schématu popsaného zde je NetworkSession. |
| EventSchemaVersion | Povinné | String | Verze schématu. Verze zde popsaného schématu je 0.2.6. |
| DvcAction | Doporučené | Enumerated | Akce proběhla v síťové relaci. Podporované hodnoty jsou: - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNroutePoznámka: Hodnota může být ve zdrojovém záznamu poskytována pomocí různých termínů, které by se měly normalizovat na tyto hodnoty. Původní hodnota by měla být uložena v poli DvcOriginalAction . Příklad: drop |
| EventSeverity | Volitelné | Enumerated | Pokud zdrojové zařízení neposkytuje závažnost události, měla by být funkce EventSeverity založená na hodnotě DvcAction. Je-li DvcAction je , , ResetDropDrop ICMP, , Reset Source, , nebo Deny Reset Destination, EventSeverity by měla být Low. Jinak by hodnota EventSeverity měla být Informational. |
| DvcInterface | Pole DvcInterface by mělo aliasovat pole DvcInboundInterface nebo DvcOutboundInterface . | ||
| Pole Dvc | V případě událostí relace sítě pole zařízení odkazují na systém, který hlásí událost relace sítě. |
Všechna společná pole
Pole, která se zobrazují v následující tabulce, jsou společná pro všechna schémata ASIM. Všechny výše uvedené pokyny přepíší obecné pokyny pro dané pole. Pole může být například volitelné obecně, ale povinné pro konkrétní schéma. Další informace o jednotlivých polích najdete v článku o společných polích ASIM.
| Třída | Pole |
|---|---|
| Povinné | - EventCount - EventStartTime - EventEndTime - Typ události - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Doporučené | - EventResultDetails - EventSeverity - Id události - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Volitelné | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - UdálostOriginalSeverity - EventProductVersion - EventReportUrl - Vlastník události - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Další pole - Popis dvcDescription - DvcScopeId - DvcScope |
Pole relace sítě
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| NetworkApplicationProtocol | Volitelné | String | Protokol aplikační vrstvy používaný připojením nebo relací. Hodnota by měla být ve všech velkých písmenech. Příklad: FTP |
| NetworkProtocol | Volitelné | Enumerated | Protokol IP používaný připojením nebo relací, jak je uvedeno v přiřazení protokolu IANA, což je obvykle TCP, UDPnebo ICMP.Příklad: TCP |
| NetworkProtocolVersion | Volitelné | Enumerated | Verze NetworkProtocol. Při použití k rozlišení mezi verzí PROTOKOLU IP použijte hodnoty IPv4 a IPv6. |
| NetworkDirection | Volitelné | Enumerated | Směr připojení nebo relace: - Pro EventType NetworkSessionFlow nebo L2NetworkSession, NetworkDirection představuje směr relativní k organizaci nebo cloudovému prostředí hranice. Podporované hodnoty jsou Inbound, ( Local Outboundpro organizaci), External (pro organizaci) nebo NA (nelze použít).– Pro EventType EndpointNetworkSession, NetworkDirection představuje směr relativní ke koncovému bodu. Podporované hodnoty jsou Inbound, , Local Outbound(v systému) Listen nebo NA (Nelze použít). Hodnota Listen označuje, že zařízení začalo přijímat síťová připojení, ale ve skutečnosti není nutně připojená. |
| Doba trvání sítě | Volitelné | Celé číslo | Doba dokončení síťové relace nebo připojení v milisekundách. Příklad: 1500 |
| Doba trvání | Alias | Alias pro NetworkDuration. | |
| NetworkIcmpType | Volitelné | String | U zprávy ICMP zadejte název protokolu ICMP přidružený k číselné hodnotě, jak je popsáno v dokumentu RFC 2780 pro síťová připojení IPv4 nebo v RFC 4443 pro síťová připojení IPv6. Příklad: Destination Unreachable pro NetworkIcmpCode 3 |
| NetworkIcmpCode | Volitelné | Celé číslo | U zprávy ICMP je číslo kódu ICMP popsané v dokumentu RFC 2780 pro síťová připojení IPv4 nebo v RFC 4443 pro síťová připojení IPv6. |
| NetworkConnectionHistory | Volitelné | String | Příznaky PROTOKOLU TCP a další potenciální informace hlavičky IP. |
| DstBytes | Doporučené | Dlouhé celé číslo | Počet bajtů odeslaných z cíle do zdroje pro připojení nebo relaci. Pokud je událost agregovaná, měly by být hodnoty DstBytes součtem pro všechny agregované relace. Příklad: 32455 |
| SrcBytes | Doporučené | Dlouhé celé číslo | Počet bajtů odeslaných ze zdroje do cíle pro připojení nebo relaci. Pokud je událost agregovaná, měly by být SrcBytes součtem pro všechny agregované relace. Příklad: 46536 |
| Síťovébyty | Volitelné | Dlouhé celé číslo | Počet bajtů odeslaných v obou směrech Pokud existují bajtyReceived i BytesSent, měly by se bajtyTotal rovnat jejich součtu. Pokud je událost agregovaná, hodnota NetworkBytes by měla být součtem pro všechny agregované relace. Příklad: 78991 |
| Sady DstPackets | Volitelné | Dlouhé celé číslo | Počet paketů odeslaných z cíle do zdroje pro připojení nebo relaci. Význam paketu je definován zařízením pro generování sestav. Pokud je událost agregovaná, měly by být balíčky DstPackets součtem pro všechny agregované relace. Příklad: 446 |
| Sady SrcPackets | Volitelné | Dlouhé celé číslo | Počet paketů odeslaných ze zdroje do cíle pro připojení nebo relaci. Význam paketu je definován zařízením pro generování sestav. Pokud je událost agregovaná, měly by být balíčky SrcPackets součtem pro všechny agregované relace. Příklad: 6478 |
| NetworkPackets | Volitelné | Dlouhé celé číslo | Počet paketů odeslaných v obou směrech. Pokud existují paketyReceived i PacketsSent, měly by se bajtyTotal rovnat jejich součtu. Význam paketu je definován zařízením pro generování sestav. Pokud je událost agregovaná, sada NetworkPackets by měla být součtem pro všechny agregované relace. Příklad: 6924 |
| NetworkSessionId | Volitelné | string | Identifikátor relace hlášený zařízením pro generování sestav. Příklad: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| Id relace | Alias | String | Alias pro NetworkSessionId. |
| TcpFlagsAck | Volitelné | Logická hodnota | Nahlášený příznak TCP ACK Příznak potvrzení slouží k potvrzení úspěšného přijetí paketu. Jak vidíme z výše uvedeného diagramu, příjemce odešle ACK a SYN v druhém kroku procesu handshake, aby odesílateli řekl, že obdržel počáteční paket. |
| TcpFlagsFin | Volitelné | Logická hodnota | Nahlášený příznak TCP FIN. Dokončený příznak znamená, že odesílatel neobsahuje žádná další data. Proto se používá v posledním paketu odeslaném od odesílatele. |
| TcpFlagsSyn | Volitelné | Logická hodnota | Nahlášený příznak TCP SYN. Příznak synchronizace se používá jako první krok při vytvoření třícestné metody handshake mezi dvěma hostiteli. Tento příznak by měl mít nastavený pouze první paket od odesílatele i příjemce. |
| TcpFlagsUrg | Volitelné | Logická hodnota | Příznak TCP URG hlášený. Příznak urgentní slouží k oznámení příjemci, aby před zpracováním všech ostatních paketů zpracovával naléhavé pakety. Příjemce bude upozorněn, jakmile budou přijata všechna známá urgentní data. Další podrobnosti najdete v dokumentu RFC 6093. |
| TcpFlagsPsh | Volitelné | Logická hodnota | Příznak TCP PSH hlášený. Příznak push je podobný příznaku URG a informuje příjemce, aby tyto pakety zpracovával, protože jsou přijímány místo ukládání do vyrovnávací paměti. |
| TcpFlagsRst | Volitelné | Logická hodnota | Příznak TCP RST hlášený. Příznak resetování se odešle od příjemce odesílateli, když se paket odešle konkrétnímu hostiteli, který ho neočekával. |
| TcpFlagsEce | Volitelné | Logická hodnota | Příznak TCP ECE nahlášený. Tento příznak je zodpovědný za indikování, jestli je partnerský vztah TCP schopný ecN. Další podrobnosti najdete v dokumentu RFC 3168 . |
| TcpFlagsCwr | Volitelné | Logická hodnota | Příznak TCP CWR hlášený. Redukovaný příznak zahlcení používá odesílající hostitel k označení, že obdržel paket s nastaveným příznakem ECE. Další podrobnosti najdete v dokumentu RFC 3168 . |
| Sítě TcpFlagsNs | Volitelné | Logická hodnota | Příznak NS protokolu TCP hlášený. Příznak bez součtu je stále experimentální příznak, který slouží k ochraně před náhodným škodlivým skrytím paketů od odesílatele. Další podrobnosti najdete v dokumentu RFC 3540 . |
Cílová systémová pole
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Dst | Doporučené | Alias | Jedinečný identifikátor serveru, který přijímá požadavek DNS. Toto pole může aliasovat pole DstDvcId, DstHostname nebo DstIpAddr . Příklad: 192.168.12.1 |
| DstIpAddr | Doporučené | IP adresa | IP adresa cíle připojení nebo relace. Pokud relace používá překlad síťových adres, DstIpAddr je veřejně viditelná adresa, nikoli původní adresa zdroje, která je uložená v DstNatIpAddr.Příklad: 2001:db8::ff00:42:8329Poznámka: Tato hodnota je povinná, pokud je zadán název DstHostname . |
| DstPortNumber | Volitelné | Celé číslo | Cílový port IP adresy. Příklad: 443 |
| DstHostname | Doporučené | Název hostitele | Název hostitele cílového zařízení s výjimkou informací o doméně. Pokud není k dispozici žádný název zařízení, uložte do tohoto pole příslušnou IP adresu. Příklad: DESKTOP-1282V4D |
| DstDomain | Doporučené | String | Doména cílového zařízení. Příklad: Contoso |
| DstDomainType | Podmíněné | Enumerated | Typ DstDomain. Seznam povolených hodnot a další informace naleznete v části DomainType v článku Přehled schématu. Vyžaduje se, pokud se používá DstDomain . |
| DstFQDN | Volitelné | String | Název hostitele cílového zařízení, včetně informací o doméně, pokud je k dispozici. Příklad: Contoso\DESKTOP-1282V4D Poznámka: Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát názvu hostitele windows. DstDomainType odráží použitý formát. |
| DstDvcId | Volitelné | String | ID cílového zařízení. Pokud je k dispozici více ID, použijte ten nejdůležitější a uložte ostatní do polí DstDvc<DvcIdType>. Příklad: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | Volitelné | String | ID oboru cloudové platformy, do které zařízení patří. DstDvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| DstDvcScope | Volitelné | String | Rozsah cloudové platformy, do které zařízení patří. DstDvcScope mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| DstDvcIdType | Podmíněné | Enumerated | Typ DstDvcId. Seznam povolených hodnot a další informace najdete v části DvcIdType v článku Přehled schématu. Vyžaduje se, pokud se použije DstDeviceId . |
| DstDeviceType | Volitelné | Enumerated | Typ cílového zařízení. Seznam povolených hodnot a další informace najdete v části DeviceType v článku Přehled schématu. |
| DstZone | Volitelné | String | Zóna sítě cíle definovaná zařízením pro vytváření sestav. Příklad: Dmz |
| DstInterfaceName | Volitelné | String | Síťové rozhraní používané pro připojení nebo relaci cílovým zařízením. Příklad: Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | Volitelné | String | Identifikátor GUID síťového rozhraní použitého v cílovém zařízení. Příklad: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | Volitelné | String | Adresa MAC síťového rozhraní používaného pro připojení nebo relaci cílovým zařízením. Příklad: 06:10:9f:eb:8f:14 |
| DstVlanId | Volitelné | String | ID sítě VLAN související s cílovým zařízením. Příklad: 130 |
| OuterVlanId | Volitelné | Alias | Alias pro DstVlanId. V mnoha případech nelze síť VLAN určit jako zdroj nebo cíl, ale je charakterizována jako vnitřní nebo vnější. Tento alias označuje, že DstVlanId by měl být použit, když je síť VLAN charakterizována jako vnější. |
| DstSubscriptionId | Volitelné | String | ID předplatného cloudové platformy, do které cílové zařízení patří. DstSubscriptionId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| DstGeoCountry | Volitelné | Země | Země/oblast přidružená k cílové IP adrese. Další informace naleznete v tématu Logické typy. Příklad: USA |
| Oblast DstGeoRegion | Volitelné | Oblast | Oblast nebo stav přidružený k cílové IP adrese. Další informace naleznete v tématu Logické typy. Příklad: Vermont |
| DstGeoCity | Volitelné | City | Město přidružené k cílové IP adrese. Další informace naleznete v tématu Logické typy. Příklad: Burlington |
| DstGeoLatitude | Volitelné | Zeměpisná šířka | Zeměpisná šířka zeměpisné souřadnice přidružené k cílové IP adrese. Další informace naleznete v tématu Logické typy. Příklad: 44.475833 |
| DstGeoLongitude | Volitelné | Longitude | Zeměpisná délka zeměpisné souřadnice přidružené k cílové IP adrese. Další informace naleznete v tématu Logické typy. Příklad: 73.211944 |
Cílová uživatelská pole
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| DstUserId | Volitelné | String | Strojově čitelný alfanumerický, jedinečný reprezentace cílového uživatele. Informace o podporovaném formátu pro různé typy ID najdete v entitě Uživatel. Příklad: S-1-12 |
| DstUserScope | Volitelné | String | Obor, například tenant Microsoft Entra, ve kterém jsou definovány DstUserId a DstUsername . nebo další informace a seznam povolených hodnot, viz UserScope v článku Přehled schématu. |
| DstUserScopeId | Volitelné | String | ID oboru, například ID adresáře Microsoft Entra, ve kterém jsou definovány DstUserId a DstUsername . Další informace a seznam povolených hodnot naleznete v tématu UserScopeId v článku Přehled schématu. |
| DstUserIdType | Podmíněné | UserIdType | Typ ID uloženého v poli DstUserId . Seznam povolených hodnot a další informace najdete v části UserIdType v článku Přehled schématu. |
| DstUsername | Volitelné | String | Cílové uživatelské jméno, včetně informací o doméně, pokud jsou k dispozici. Informace o podporovaném formátu pro různé typy ID najdete v entitě Uživatel. Jednoduchý formulář použijte jenom v případě, že informace o doméně nejsou k dispozici. Do pole DstUsernameType uložte typ uživatelského jména. Pokud jsou k dispozici jiné formáty uživatelského jména, uložte je do polí DstUsername<UsernameType>.Příklad: AlbertE |
| Uživatel | Alias | Alias pro DstUsername. | |
| DstUsernameType | Podmíněné | UsernameType | Určuje typ uživatelského jména uloženého v poli DstUsername . Seznam povolených hodnot a další informace najdete v části UsernameType v článku Přehled schématu. Příklad: Windows |
| DstUserType | Volitelné | UserType | Typ cílového uživatele. Seznam povolených hodnot a další informace najdete v části UserType v článku Přehled schématu. Poznámka: Hodnota může být ve zdrojovém záznamu poskytována pomocí různých termínů, které by se měly normalizovat na tyto hodnoty. Uložte původní hodnotu do pole DstOriginalUserType . |
| DstOriginalUserType | Volitelné | String | Původní typ cílového uživatele, pokud zdroj poskytuje. |
Pole cílové aplikace
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| DstAppName | Volitelné | String | Název cílové aplikace. Příklad: Facebook |
| DstAppId | Volitelné | String | ID cílové aplikace, jak je hlášeno zařízením pro generování sestav. Pokud je ProcessDstAppId DstAppType a DstProcessId měl by mít stejnou hodnotu.Příklad: 124 |
| DstAppType | Volitelné | Typ aplikace | Typ cílové aplikace. Seznam povolených hodnot a další informace najdete v části AppType v článku Přehled schématu. Toto pole je povinné, pokud se používá DstAppName nebo DstAppId . |
| DstProcessName | Volitelné | String | Název souboru procesu, který ukončil síťovou relaci. Tento název se obvykle považuje za název procesu. Příklad: C:\Windows\explorer.exe |
| Proces | Alias | Alias pro DstProcessName Příklad: C:\Windows\System32\rundll32.exe |
|
| DstProcessId | Volitelné | String | ID procesu (PID) procesu, který ukončil síťovou relaci. Příklad: 48610176 Poznámka: Typ je definován jako řetězec pro podporu různých systémů, ale v systému Windows a Linux musí být tato hodnota číselná. Pokud používáte počítač s Windows nebo Linuxem a používáte jiný typ, nezapomeňte hodnoty převést. Pokud jste například použili šestnáctkovou hodnotu, převeďte ji na desetinnou hodnotu. |
| DstProcessGuid | Volitelné | String | Vygenerovaný jedinečný identifikátor (GUID) procesu, který ukončil relaci sítě. Příklad: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Pole zdrojového systému
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Src | Alias | Jedinečný identifikátor zdrojového zařízení. Toto pole může aliasovat pole SrcDvcId, SrcHostname nebo SrcIpAddr . Příklad: 192.168.12.1 |
|
| SrcIpAddr | Doporučené | IP adresa | IP adresa, ze které pochází připojení nebo relace. Tato hodnota je povinná, pokud je zadán název SrcHostname . Pokud relace používá překlad síťových adres, SrcIpAddr je veřejně viditelná adresa, nikoli původní adresa zdroje, která je uložená v SrcNatIpAddr.Příklad: 77.138.103.108 |
| SrcPortNumber | Volitelné | Celé číslo | Port IP, ze kterého připojení pochází. Nemusí být relevantní pro relaci, která obsahuje více připojení. Příklad: 2335 |
| SrcHostname | Doporučené | Název hostitele | Název hostitele zdrojového zařízení s výjimkou informací o doméně. Pokud není k dispozici žádný název zařízení, uložte do tohoto pole příslušnou IP adresu. Příklad: DESKTOP-1282V4D |
| SrcDomain | Doporučené | String | Doména zdrojového zařízení. Příklad: Contoso |
| SrcDomainType | Podmíněné | DomainType | Typ SrcDomain. Seznam povolených hodnot a další informace naleznete v části DomainType v článku Přehled schématu. Vyžaduje se, pokud se používá doména SrcDomain . |
| SrcFQDN | Volitelné | String | Název hostitele zdrojového zařízení, včetně informací o doméně, pokud je k dispozici. Poznámka: Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát názvu hostitele windows. Pole SrcDomainType odráží použitý formát. Příklad: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Volitelné | String | ID zdrojového zařízení. Pokud je k dispozici více ID, použijte ten nejdůležitější a uložte ostatní do polí SrcDvc<DvcIdType>.Příklad: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Volitelné | String | ID oboru cloudové platformy, do které zařízení patří. SrcDvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| SrcDvcScope | Volitelné | String | Rozsah cloudové platformy, do které zařízení patří. SrcDvcScope mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| SrcDvcIdType | Podmíněné | DvcIdType | Typ SrcDvcId. Seznam povolených hodnot a další informace najdete v části DvcIdType v článku Přehled schématu. Poznámka: Toto pole se vyžaduje, pokud se použije SrcDvcId . |
| SrcDeviceType | Volitelné | DeviceType | Typ zdrojového zařízení. Seznam povolených hodnot a další informace najdete v části DeviceType v článku Přehled schématu. |
| SrcZone | Volitelné | String | Zóna sítě zdroje definovaná zařízením pro vytváření sestav. Příklad: Internet |
| SrcInterfaceName | Volitelné | String | Síťové rozhraní používané pro připojení nebo relaci zdrojovým zařízením. Příklad: eth01 |
| SrcInterfaceGuid | Volitelné | String | Identifikátor GUID síťového rozhraní použitého na zdrojovém zařízení. Příklad: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | Volitelné | String | Adresa MAC síťového rozhraní, ze kterého pochází připojení nebo relace. Příklad: 06:10:9f:eb:8f:14 |
| SrcVlanId | Volitelné | String | ID sítě VLAN související se zdrojovým zařízením. Příklad: 130 |
| InnerVlanId | Volitelné | Alias | Alias pro SrcVlanId. V mnoha případech nelze síť VLAN určit jako zdroj nebo cíl, ale je charakterizována jako vnitřní nebo vnější. Tento alias označuje, že SrcVlanId by se měl použít, když je síť VLAN charakterizována jako vnitřní. |
| SrcSubscriptionId | Volitelné | String | ID předplatného cloudové platformy, do které zdrojové zařízení patří. SrcSubscriptionId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| SrcGeoCountry | Volitelné | Země | Země nebo oblast přidružená ke zdrojové IP adrese. Příklad: USA |
| SrcGeoRegion | Volitelné | Oblast | Oblast přidružená ke zdrojové IP adrese. Příklad: Vermont |
| SrcGeoCity | Volitelné | City | Město přidružené ke zdrojové IP adrese. Příklad: Burlington |
| SrcGeoLatitude | Volitelné | Zeměpisná šířka | Zeměpisná šířka zeměpisné souřadnice přidružené ke zdrojové IP adrese. Příklad: 44.475833 |
| SrcGeoLongitude | Volitelné | Longitude | Zeměpisná délka zeměpisné souřadnice přidružené ke zdrojové IP adrese. Příklad: 73.211944 |
Pole zdrojového uživatele
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| SrcUserId | Volitelné | String | Strojově čitelná alfanumerická, jedinečná reprezentace zdrojového uživatele. Informace o podporovaném formátu pro různé typy ID najdete v entitě Uživatel. Příklad: S-1-12 |
| SrcUserScope | Volitelné | String | Obor, například tenant Microsoft Entra, ve kterém jsou definovány SrcUserId a SrcUsername . nebo další informace a seznam povolených hodnot, viz UserScope v článku Přehled schématu. |
| SrcUserScopeId | Volitelné | String | ID oboru, například ID adresáře Microsoft Entra, ve kterém jsou definovány SrcUserId a SrcUsername . Další informace a seznam povolených hodnot naleznete v tématu UserScopeId v článku Přehled schématu. |
| SrcUserIdType | Podmíněné | UserIdType | Typ ID uloženého v poli SrcUserId . Seznam povolených hodnot a další informace najdete v části UserIdType v článku Přehled schématu. |
| SrcUsername | Volitelné | String | Zdrojové uživatelské jméno, včetně informací o doméně, pokud jsou k dispozici. Informace o podporovaném formátu pro různé typy ID najdete v entitě Uživatel. Jednoduchý formulář použijte jenom v případě, že informace o doméně nejsou k dispozici. Do pole SrcUsernameType uložte typ uživatelského jména. Pokud jsou k dispozici jiné formáty uživatelského jména, uložte je do polí SrcUsername<UsernameType>.Příklad: AlbertE |
| SrcUsernameType | Podmíněné | UsernameType | Určuje typ uživatelského jména uloženého v poli SrcUsername . Seznam povolených hodnot a další informace najdete v části UsernameType v článku Přehled schématu. Příklad: Windows |
| SrcUserType | Volitelné | UserType | Typ zdrojového uživatele. Seznam povolených hodnot a další informace najdete v části UserType v článku Přehled schématu. Poznámka: Hodnota může být ve zdrojovém záznamu poskytována pomocí různých termínů, které by se měly normalizovat na tyto hodnoty. Uložte původní hodnotu do pole SrcOriginalUserType . |
| SrcOriginalUserType | Volitelné | String | Původní typ cílového uživatele, pokud ho poskytuje zařízení pro vytváření sestav. |
Pole zdrojové aplikace
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| SrcAppName | Volitelné | String | Název zdrojové aplikace. Příklad: filezilla.exe |
| SrcAppId | Volitelné | String | ID zdrojové aplikace, jak je hlášeno zařízením pro generování sestav. Pokud je ProcessSrcAppId SrcAppType a SrcProcessId měl by mít stejnou hodnotu.Příklad: 124 |
| SrcAppType | Volitelné | Typ aplikace | Typ zdrojové aplikace. Seznam povolených hodnot a další informace najdete v části AppType v článku Přehled schématu. Toto pole je povinné, pokud se používá SrcAppName nebo SrcAppId . |
| SrcProcessName | Volitelné | String | Název souboru procesu, který inicioval síťovou relaci. Tento název se obvykle považuje za název procesu. Příklad: C:\Windows\explorer.exe |
| SrcProcessId | Volitelné | String | ID procesu (PID) procesu, který inicioval síťovou relaci. Příklad: 48610176 Poznámka: Typ je definován jako řetězec pro podporu různých systémů, ale v systému Windows a Linux musí být tato hodnota číselná. Pokud používáte počítač s Windows nebo Linuxem a používáte jiný typ, nezapomeňte hodnoty převést. Pokud jste například použili šestnáctkovou hodnotu, převeďte ji na desetinnou hodnotu. |
| SrcProcessGuid | Volitelné | String | Vygenerovaný jedinečný identifikátor (GUID) procesu, který inicioval relaci sítě. Příklad: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Místní a vzdálené aliasy
Všechna zdrojová a cílová pole uvedená výše mohou být volitelně aliasována poli se stejným názvem a popisovači Local a Remote. To je obvykle užitečné pro události hlášené koncovým bodem a pro které je EndpointNetworkSessiontyp události .
U takových událostí popisovače Local a Remote označení samotného koncového bodu a zařízení na druhém konci síťové relace. U příchozích připojení je místní systém cílem, Local pole jsou aliasy pro Dst pole a pole Vzdálená jsou aliasy pro Src pole. Naopak u odchozích připojení je místní systém zdrojem, Local pole jsou aliasy Src pro pole a Remote pole jsou aliasy pro Dst pole.
Například pro příchozí událost je pole LocalIpAddr aliasem DstIpAddr a pole RemoteIpAddr je aliasem pro SrcIpAddr.
Názvy hostitelů a aliasy IP adres
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Název hostitele | Alias | - Pokud je NetworkSessiontyp události nebo Flow L2NetworkSession, Název hostitele je alias DstHostname.- Pokud je EndpointNetworkSessiontyp události , název hostitele je alias RemoteHostname, který může alias DstHostname nebo SrcHostName v závislosti na NetworkDirection |
|
| IpAddr | Alias | - Pokud je NetworkSessiontyp události nebo L2NetworkSessionFlow , IpAddr je alias SrcIpAddr.– Pokud je EndpointNetworkSessiontyp události , IpAddr je alias , LocalIpAddrkterý může alias SrcIpAddr nebo DstIpAddr v závislosti na NetworkDirection. |
Pole zprostředkujícího zařízení a překladu adres (NAT)
Následující pole jsou užitečná, pokud záznam obsahuje informace o zprostředkujícím zařízení, jako je brána firewall nebo proxy server, který předá relaci sítě.
Zprostředkující systémy často používají překlad adres, a proto původní adresa a zjištěná adresa externě nejsou stejné. V takových případech primární pole adres, jako jsou SrcIPAddr a DstIpAddr , představují adresy pozorované externě, zatímco pole adres NAT, SrcNatIpAddr a DstNatIpAddr představují interní adresu původního zařízení před překladem.
Kontrolní pole
Následující pole slouží k reprezentaci kontroly, kterou provedlo bezpečnostní zařízení, jako je brána firewall, IPS nebo brána zabezpečení webu:
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| NetworkRuleName | Volitelné | String | Název nebo ID pravidla, podle kterého se o DvcAction rozhodl. Příklad: AnyAnyDrop |
| NetworkRuleNumber | Volitelné | Celé číslo | Počet pravidel, podle kterého bylo DvcAction rozhodnuto. Příklad: 23 |
| Pravidlo | Alias | String | Buď hodnota NetworkRuleName , nebo hodnota NetworkRuleNumber. Pokud je použita hodnota NetworkRuleNumber , typ by měl být převeden na řetězec. |
| ThreatId | Volitelné | String | ID hrozby nebo malwaru zjištěného v síťové relaci. Příklad: Tr.124 |
| ThreatName | Volitelné | String | Název hrozby nebo malwaru zjištěného v síťové relaci. Příklad: EICAR Test File |
| ThreatCategory | Volitelné | String | Kategorie hrozby nebo malwaru zjištěného v síťové relaci. Příklad: Trojan |
| ThreatRiskLevel | Volitelné | Celé číslo | Úroveň rizika přidružená k relaci. Úroveň by měla být číslo od 0 do 100. Poznámka: Hodnota může být ve zdrojovém záznamu poskytována pomocí jiného měřítka, které by se mělo normalizovat na toto měřítko. Původní hodnota by měla být uložena v ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Volitelné | String | Úroveň rizika hlášená zařízením pro generování sestav. |
| ThreatIpAddr | Volitelné | IP adresa | IP adresa, pro kterou byla zjištěna hrozba. Pole ThreatField obsahuje název pole ThreatIpAddr představuje. |
| ThreatField | Podmíněné | Enumerated | Pole, pro které byla zjištěna hrozba. Hodnota je buď SrcIpAddr nebo DstIpAddr. |
| ThreatConfidence | Volitelné | Celé číslo | Úroveň spolehlivosti zjištěné hrozby normalizovaná na hodnotu mezi 0 a 100. |
| ThreatOriginalConfidence | Volitelné | String | Původní úroveň spolehlivosti zjištěné hrozby, jak je hlášeno zařízením pro hlášení. |
| ThreatIsActive | Volitelné | Logická hodnota | Hodnota True, pokud je identifikovaná hrozba považována za aktivní hrozbu. |
| ThreatFirstReportedTime | Volitelné | datetime | Při prvním zjištění IP adresy nebo domény jako hrozby. |
| ThreatLastReportedTime | Volitelné | datetime | Čas posledního zjištění IP adresy nebo domény jako hrozby |
Další pole
Pokud je událost hlášena jedním z koncových bodů síťové relace, může obsahovat informace o procesu, který inicioval nebo ukončil relaci. V takových případech se k normalizaci těchto informací používá schéma událostí procesu ASIM.
Aktualizace schématu
Níže jsou uvedené změny ve verzi 0.2.1 schématu:
- Přidání
SrcaDstpřidání aliasů do počátečního identifikátoru pro zdrojové a cílové systémy - Přidání polí
NetworkConnectionHistory, ,SrcVlanIdDstVlanId,InnerVlanIdaOuterVlanId.
Níže jsou uvedené změny ve verzi 0.2.2 schématu:
- Přidání
RemoteaLocalaliasy - Přidání typu
EndpointNetworkSessionudálosti . - Definovány
HostnameaIpAddrjako aliasy proRemoteHostnameaLocalIpAddrv uvedeném pořadí, pokud jeEndpointNetworkSessiontyp události . - Definováno
DvcInterfacejako alias neboDvcInboundInterfaceDvcOutboundInterface. - Změna typu následujících polí z Integer na Long:
SrcBytes,DstBytes,NetworkBytes,SrcPackets, ,DstPacketsaNetworkPackets. - Byla přidána pole
NetworkProtocolVersion,SrcSubscriptionIdaDstSubscriptionId. DstUserDomainZastaralé aSrcUserDomain.
Níže jsou uvedené změny ve verzi 0.2.3 schématu:
- Přidání parametru
ipaddr_has_any_prefixfiltrování - Parametr
hostname_has_anyfiltrování teď odpovídá zdrojovým nebo cílovým názvům hostitelů. - Byla přidána pole
ASimMatchingHostnameaASimMatchingIpAddr.
Níže jsou uvedené změny ve verzi 0.2.4 schématu:
- Byla přidána
TcpFlagspole. - Aktualizováno
NetworkIcpmTypeaNetworkIcmpCodeaby odráželo číselnou hodnotu pro obě. - Byla přidána další kontrolní pole.
- Pole ThreatRiskLevelOriginal bylo přejmenováno tak, aby
ThreatOriginalRiskLevelodpovídalo konvencím ASIM. Stávající analyzátory Microsoftu se budou udržovatThreatRiskLevelOriginalaž do 1. května 2023. - Označte
EventResultDetailsjako doporučené a zadali povolené hodnoty.
Níže jsou uvedené změny ve verzi 0.2.5 schématu:
- Přidání polí
DstUserScope, ,SrcUserScopeSrcDvcScopeId,DstDvcScopeDvcScopeIdSrcDvcScopeDstDvcScopeId, a .DvcScope
Níže jsou uvedené změny ve verzi 0.2.6 schématu:
- Přidání IDS jako typu události
Další kroky
Další informace naleznete v tématu: