Referenz zum Schema für die Netzwerksitzungsnormalisierung des erweiterten Sicherheitsinformationsmodells (ADVANCED Security Information Model, ASIM) (öffentliche Vorschau)
Das Normalisierungsschema der Microsoft Sentinel-Netzwerksitzung stellt eine IP-Netzwerkaktivität dar, z. B. Netzwerkverbindungen und Netzwerksitzungen. Solche Ereignisse werden beispielsweise von Betriebssystemen, Routern, Firewalls und Intrusion-Prevention-Systemen gemeldet.
Das Netzwerknormalisierungsschema kann zwar jede Art von IP-Netzwerksitzung darstellen, ist jedoch auf die Unterstützung gängiger Quelltypen wie Netflow, Firewalls und Intrusion-Prevention-Systeme ausgelegt.
Weitere Informationen zur Normalisierung in Microsoft Sentinel finden Sie unter Normalisierung und erweitertes Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM).
In diesem Artikel wird die Version 0.2.x des Netzwerknormalisierungsschemas beschrieben. Die Version 0.1 wurde veröffentlicht, bevor ASIM verfügbar war, und ist an mehreren Stellen nicht auf ASIM abgestimmt. Weitere Informationen finden Sie unter Unterschiede zwischen Versionen der Netzwerknormalisierungsschemas.
Wichtig
Das Netzwerknormalisierungsschema befindet sich derzeit in der Vorschauphase. Dieses Feature wird ohne Vereinbarung zum Servicelevel bereitgestellt. Sie sollte nicht für Produktionsworkloads verwendet werden.
In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Parser
Weitere Informationen zu ASIM-Parsern finden Sie in der Übersicht über ASIM-Parser.
Vereinheitlichende Parsern
Um Parser zu verwenden, die alle bereits integrierten ASIM-Parser vereinheitlichen, und sicherzustellen, dass ihre Analyse über alle konfigurierten Quellen hinweg ausgeführt wird, verwenden Sie den Filterparser _Im_NetworkSession
oder den parameterlosen Parser _ASim_NetworkSession
.
Sie können auch vom Arbeitsbereich bereitgestellte ImNetworkSession
- und ASimNetworkSession
-Parser verwenden, indem Sie sie aus dem Microsoft Sentinel GitHub-Repository bereitstellen.
Weitere Informationen finden Sie unter Integrierte ASIM-Parser und im Arbeitsbereich bereitgestellte Parser.
Vorkonfigurierte, quellspezifische Parser
Die Liste der Netzwerksitzungsparser, die Microsoft Sentinel einsatzbereit zur Verfügung stellt, finden Sie in der ASIM-Parserliste
Hinzufügen eigener normalisierter Parser
Wenn Sie benutzerdefinierte Parser für das Netzwerksitzungs-Informationsmodell entwickeln, benennen Sie Ihre KQL-Funktionen anhand der folgenden Syntax:
vimNetworkSession<vendor><Product>
für parametrisierte ParserASimNetworkSession<vendor><Product>
für reguläre Parser
Im Artikel Verwalten von ASIM-Parsern erfahren Sie, wie Sie Ihre benutzerdefinierten Parser der Netzwerksitzung hinzufügen, die Parser vereinheitlicht.
Filtern von Parser-Parametern
Die Netzwerksitzungsparser unterstützen Filterparameter. Diese Parser sind optional, können aber die Abfrageleistung verbessern.
Die folgenden Filterparameter sind verfügbar:
Name | Typ | Beschreibung |
---|---|---|
StartTime | datetime | Filtern Sie nur Netzwerksitzungen, die zu oder nach diesem Zeitpunkt gestartet wurden. |
EndTime | datetime | Filtern Sie nur Netzwerksitzungen, deren Ausführung zu oder nach diesem Zeitpunkt begonnen hat. |
srcipaddr_has_any_prefix | dynamisch | Filtern Sie nur Netzwerksitzungen, deren Präfix des Felds für die Quell-IP-Adresse in einem der aufgeführten Werte enthalten ist. Präfixe müssen mit einem Punkt (. ) enden. Beispiel: 10.0. Die Länge der Liste ist auf 10.000 Elemente beschränkt. |
dstipaddr_has_any_prefix | dynamisch | Filtern Sie nur Netzwerksitzungen, deren Präfix des Felds für die Ziel-IP-Adresse in einem der aufgeführten Werte enthalten ist. Präfixe müssen mit einem Punkt (. ) enden. Beispiel: 10.0. Die Länge der Liste ist auf 10.000 Elemente beschränkt. |
ipaddr_has_any_prefix | dynamisch | Filtern Sie nur Netzwerksitzungen, deren Präfix des Felds für die Ziel-IP-Adresse oder des Felds für die Quell-IP-Adresse in einem der aufgeführten Werte enthalten ist. Präfixe müssen mit einem Punkt (. ) enden. Beispiel: 10.0. Die Länge der Liste ist auf 10.000 Elemente beschränkt.Das Feld ASimMatchingIpAddr wird mit einem der Werte SrcIpAddr DstIpAddr , oder Both festgelegt, um die übereinstimmenden Felder oder Felder widerzuspiegeln. |
dstportnumber | Int | Filtern Sie nur Netzwerksitzungen mit der angegebenen Zielportnummer. |
hostname_has_any | dynamic/string | Filtern Sie nur Netzwerksitzungen, bei denen das Feld für den Zielhostnamen einen der aufgeführten Werte enthält. Die Länge der Liste ist auf 10.000 Elemente beschränkt. Das Feld ASimMatchingHostname wird mit einem der Werte SrcHostname DstHostname , oder Both festgelegt, um die übereinstimmenden Felder oder Felder widerzuspiegeln. |
dvcaction | dynamic/string | Filtern Sie nur Netzwerksitzungen, bei denen das Geräteaktionsfeld einen der aufgeführten Werte enthält. |
eventresult | String | Filtern Sie nur Netzwerksitzungen mit einem bestimmten Wert für EventResult. |
Einige Parameter können sowohl eine Liste von Werten des Typs dynamic
als auch einen einzelnen Zeichenfolgenwert akzeptieren. Um eine Literalliste an Parameter zu übergeben, die einen dynamischen Wert erwarten, verwenden Sie explizit ein dynamisches Literal. Beispiel: dynamic(['192.168.','10.'])
Verwenden Sie beispielsweise Folgendes, um ausschließlich Netzwerksitzungen für eine angegebenen Liste von Domänennamen zu filtern:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
Tipp
Um eine Literalliste an Parameter zu übergeben, die einen dynamischen Wert erwarten, verwenden Sie explizit ein dynamisches Literal. Beispiel: dynamic(['192.168.','10.'])
.
Normalisierter Inhalt
Eine vollständige Liste der Analyseregeln, die normalisierte DNS-Ereignisse verwenden, finden Sie unter Sicherheitsinhalte für Netzwerksitzungen.
Schemaübersicht
Das Netzwerksitzungsinformationsmodell ist auf das OSSEM-Netzwerkentitätsschema ausgerichtet.
Das Netzwerksitzungsschema bietet mehrere Arten ähnlicher, aber doch unterschiedlicher Szenarien, die dieselben Felder verwenden. Diese Szenarien werden durch das Feld EventType identifiziert:
NetworkSession
– eine Netzwerksitzung, die von einem Zwischengerät gemeldet wird, das das Netzwerk überwacht, z. B. eine Firewall, ein Router oder ein Tap für ein Netzwerk.L2NetworkSession
– Netzwerksitzungen, für die nur Informationen der Ebene 2 verfügbar sind. Solche Ereignisse umfassen MAC-Adressen, aber keine IP-Adressen.Flow
– ein aggregiertes Ereignis, das mehrere ähnliche Netzwerksitzungen meldet, in der Regel über einen vordefinierten Zeitraum, z. B. Netflow-Ereignisse.EndpointNetworkSession
– eine Netzwerksitzung, die von einem der Endpunkte der Sitzung gemeldet wird, einschließlich Clients und Servern. Für solche Ereignisse unterstützt das Schema die Aliasfelderremote
undlocal
.IDS
– eine Netzwerksitzung, die als verdächtig gemeldet wird. Bei einem solchen Ereignis werden einige der Prüffelder und möglicherweise nur ein IP-Adressfeld ausgefüllt, entweder die Quelle oder das Ziel.
In der Regel sollte eine Abfrage nur eine Teilmenge dieser Ereignistypen auswählen und muss möglicherweise einzelne Aspekte der Anwendungsfälle separat behandeln. IDS-Ereignisse spiegeln beispielsweise nicht das gesamte Netzwerkvolumen wider und sollten bei spaltenbasierten Analysen nicht berücksichtigt werden.
Netzwerksitzungsereignisse verwenden die Deskriptoren Src
und Dst
, um die Rollen der Geräte und der zugehörigen Benutzer und Anwendungen, die an der Sitzung beteiligt sind, zu bezeichnen. So werden beispielsweise der Hostname und die IP-Adresse des Quellgeräts mit SrcHostname
und SrcIpAddr
bezeichnet. Andere ASIM-Schemata verwenden in der Regel Target
anstelle von Dst
.
Bei Ereignissen, die von einem Endpunkt gemeldet werden und bei denen der Ereignistyp EndpointNetworkSession
ist, bezeichnen die Deskriptoren Local
und Remote
den Endpunkt selbst bzw. das Gerät am anderen Ende der Netzwerksitzung.
Der Deskriptor Dvc
wird für das Berichterstellungsgerät verwendet. Dabei handelt es sich um das lokale System für Sitzungen, die von einem Endpunkt gemeldet werden, und für das Zwischengerät oder den Netzwerk-TAP für andere Netzwerksitzungsereignisse.
Schemadetails
Allgemeine ASIM-Felder
Wichtig
Felder, die allen Schemas gemeinsam sind, werden im Artikel Allgemeine ASIM-Felder ausführlich beschrieben.
Allgemeine Felder mit bestimmten Richtlinien
In der folgenden Liste werden Felder erwähnt, die bestimmte Richtlinien für Netzwerksitzungsereignisse enthalten:
Feld | Klasse | type | BESCHREIBUNG |
---|---|---|---|
EventCount | Obligatorisch. | Integer | Netflow-Quellen unterstützen Aggregation, und das Feld EventCount muss auf den Wert des Netflow-Felds FLOWS festgelegt werden. Bei anderen Quellen wird der Wert in der Regel auf 1 festgelegt. |
EventType | Obligatorisch. | Enumerated | Beschreibt das vom Datensatz gemeldete Szenario. Für Netzwerksitzungsdatensätze sind die folgenden Werte zulässig: - EndpointNetworkSession - NetworkSession - L2NetworkSession - IDS - Flow Weitere Informationen zu Ereignistypen finden Sie in der Schemaübersicht. |
EventSubType | Optional | String | Zusätzliche Beschreibung des Ereignistyps, falls zutreffend. Für Netzwerksitzungsdatensätze werden folgende Werte unterstützt: - Start - End Dieses Feld ist für Flow -Ereignisse nicht relevant. |
EventResult | Obligatorisch. | Enumerated | Wenn das Quellgerät kein Ereignisergebnis angibt, sollte EventResult auf dem Wert von DvcAction basieren. Wenn DvcAction entsprechend Deny , Drop , Drop ICMP , Reset , Reset Source oder Reset Destination ist, sollte EventResult entsprechend Failure sein. Andernfalls sollte EventResultSuccess sein. |
EventResultDetails | Empfohlen | Enumerated | Grund oder Details für das im Feld EventResult gemeldete Ergebnis. Diese Werte werden unterstützt: - Failover - Ungültiges TCP - Ungültiger Tunnel - Maximale Wiederholungsversuche - Zurücksetzen - Routingproblem - Simulation - Beendet - Timeout - Vorübergehender Fehler - Unbekannt - N/V. Der ursprüngliche, quellspezifische Wert wird im Feld EventOriginalResultDetails gespeichert. |
EventSchema | Obligatorisch. | String | Der Name des hier dokumentierten Schemas lautet NetworkSession . |
EventSchemaVersion | Obligatorisch. | String | Die Version des Schemas. Die Version des hier dokumentierten Schemas lautet 0.2.6 . |
DvcAction | Empfohlen | Enumerated | Die für die Netzwerksitzung vorgenommene Aktion. Diese Werte werden unterstützt: - Allow - Deny - Drop - Drop ICMP - Reset - Reset Source - Reset Destination - Encrypt - Decrypt - VPNroute Hinweis: Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Der ursprüngliche Wert muss im Feld DvcOriginalAction gespeichert werden. Beispiel: drop |
EventSeverity | Optional | Enumerated | Wenn das Quellgerät keinen Ereignisschweregrad angibt, sollte EventSeverity auf dem Wert von DvcAction basieren. Wenn DvcAction entsprechend Deny , Drop , Drop ICMP , Reset , Reset Source oder Reset Destination ist, sollte EventSeverity Low sein. Andernfalls sollte EventSeverityInformational sein. |
DvcInterface | Das Feld „DvcInterface“ sollte einen Alias für die Felder DvcInboundInterface oder DvcOutboundInterface enthalten. | ||
Dvc-Felder | Bei Netzwerksitzungsereignissen verweisen Gerätefelder auf das System, von dem das Netzwerksitzungsereignis gemeldet wird. |
Alle allgemeinen Felder
Felder, die in der folgenden Tabelle angezeigt werden, sind für alle ASIM-Schemas gleich. Jede oben angegebene Richtlinie setzt die allgemeinen Richtlinien für das Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel Allgemeine ASIM-Felder.
Klasse | Fields |
---|---|
Obligatorisch. | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
Empfohlen | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
Optional | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Netzwerksitzungsfelder
Feld | Klasse | type | BESCHREIBUNG |
---|---|---|---|
NetworkApplicationProtocol | Optional | String | Das Protokoll der Anwendungsschicht, das von der Verbindung oder der Sitzung verwendet wird. Der Wert muss vollständig in Großbuchstaben geschrieben werden. Beispiel: FTP |
NetworkProtocol | Optional | Enumerated | Das IP-Protokoll, das von der Verbindung oder Sitzung verwendet wird, wie in der IANA-Protokollzuweisung aufgeführt (üblicherweise TCP , UDP oder ICMP ).Beispiel: TCP |
NetworkProtocolVersion | Optional | Enumerated | Die Version von NetworkProtocol. Wenn Sie sie verwenden, um zwischen der IP-Version zu unterscheiden, verwenden Sie die Werte IPv4 und IPv6 . |
NetworkDirection | Optional | Enumerated | Die Richtung der Verbindung oder Sitzung: - Für eventType NetworkSession Flow oder L2NetworkSession NetworkDirection stellt die Richtung relativ zur Organisations- oder Cloudumgebungsgrenze dar. Unterstützte Werte sind Inbound , Outbound , Local (für die Organisation), External (für die Organisation) oder NA (Nicht zutreffend).- Für eventType EndpointNetworkSession stellt NetworkDirection die Richtung relativ zum Endpunkt dar. Unterstützte Werte sind Inbound , Outbound , Local (für das System) Listen oder NA (Nicht zutreffend). Der Wert Listen gibt an, dass ein Gerät mit der Annahme von Netzwerkverbindungen begonnen hat, aber nicht unbedingt, dass es auch verbunden ist. |
NetworkDuration | Optional | Integer | Die Zeitspanne in Millisekunden für den Abschluss der Netzwerksitzung oder Verbindung. Beispiel: 1500 |
Duration | Alias | Alias für NetworkDuration. | |
NetworkIcmpType | Optional | String | Für eine ICMP-Nachricht wird der NAME des ICMP-Typs, der dem numerischen Wert zugeordnet ist, wie in RFC 2780 für IPv4-Netzwerkverbindungen oder in RFC 4443 für IPv6-Netzwerkverbindungen beschrieben. Beispiel: Destination Unreachable für NetworkIcmpCode 3 |
NetworkIcmpCode | Optional | Integer | Bei einer ICMP-Nachricht die ICMP-Codenummer, wie in RFC 2780 für IPv4-Netzwerkverbindungen bzw. in RFC 4443 für IPv6-Netzwerkverbindungen beschrieben. |
NetworkConnectionHistory | Optional | String | TCP-Flags und andere potenzielle IP-Headerinformationen. |
DstBytes | Empfohlen | Long | Die Anzahl Bytes, die für die Verbindung oder Sitzung vom Ziel an die Quelle gesendet werden. Wenn das Ereignis aggregiert wird, sollte DstBytes der Summe aller aggregierten Sitzungen entsprechen. Beispiel: 32455 |
SrcBytes | Empfohlen | Long | Die Anzahl Bytes, die für die Verbindung oder Sitzung von der Quelle an das Ziel gesendet werden. Wenn das Ereignis aggregiert wird, sollte SrcBytes der Summe aller aggregierten Sitzungen entsprechen. Beispiel: 46536 |
NetworkBytes | Optional | Long | Die Anzahl Bytes, die in beide Richtungen gesendet werden. Wenn sowohl BytesReceived als auch BytesSent vorliegt, sollte BytesTotal ihrer Summe entsprechen. Wenn das Ereignis aggregiert wird, sollte NetworkBytes der Summe aller aggregierten Sitzungen entsprechen. Beispiel: 78991 |
DstPackets | Optional | Long | Die Anzahl Pakete, die für die Verbindung oder Sitzung vom Ziel an die Quelle gesendet werden. Die Bedeutung eines Pakets wird vom meldenden Gerät definiert. Wenn das Ereignis aggregiert wird, sollte DstPackets der Summe aller aggregierten Sitzungen entsprechen. Beispiel: 446 |
SrcPackets | Optional | Long | Die Anzahl Pakete, die für die Verbindung oder Sitzung von der Quelle ans Ziel gesendet werden. Die Bedeutung eines Pakets wird vom meldenden Gerät definiert. Wenn das Ereignis aggregiert wird, sollte SrcPackets der Summe aller aggregierten Sitzungen entsprechen. Beispiel: 6478 |
NetworkPackets | Optional | Long | Die Anzahl von Paketen, die in beide Richtungen gesendet werden. Wenn sowohl PacketsReceived als auch PacketsSent vorliegt, sollte BytesTotal ihrer Summe entsprechen. Die Bedeutung eines Pakets wird vom meldenden Gerät definiert. Wenn das Ereignis aggregiert wird, sollte NetworkPackets der Summe aller aggregierten Sitzungen entsprechen. Beispiel: 6924 |
NetworkSessionId | Optional | Zeichenfolge | Der Sitzungsbezeichner, der vom meldenden Gerät gemeldet wird. Beispiel: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
SessionId | Alias | String | Alias für NetworkSessionId. |
TcpFlagsAck | Optional | Boolean | Das gemeldete TCP ACK-Flag. Das Bestätigungsflag (Acknowledgement) wird verwendet, um den erfolgreichen Empfang eines Pakets zu bestätigen. Wie wir aus dem obigen Diagramm erkennen können, sendet der Empfänger ein ACK und ein SYN im zweiten Schritt des Dreiwege-Handshake-Prozesses, um dem Absender mitzuteilen, dass er dessen erstes Paket empfangen hat. |
TcpFlagsFin | Optional | Boolean | Das gemeldete TCP FIN-Flag. Das „Finished“-Flag (fertig) bedeutet, dass keine weiteren Daten vom Absender mehr vorhanden sind. Daher wird es im letzten Paket verwendet, das vom Absender gesendet wird. |
TcpFlagsSyn | Optional | Boolean | Das gemeldete TCP SYN-Flag. Das Synchronisierungsflag wird als erster Schritt verwendet, um einen Dreiwege-Handshake zwischen zwei Hosts herzustellen. Nur im ersten Paket sowohl des Absenders als auch des Empfängers sollte dieses Flag festgelegt sein. |
TcpFlagsUrg | Optional | Boolean | Das gemeldete TCP URG-Flag. Das „Urgent“-Flag (dringend) wird verwendet, um den Empfänger darüber zu benachrichtigen, dass die dringenden Pakete vor allen anderen Paketen verarbeitet werden sollen. Der Empfänger wird benachrichtigt, wenn alle bekannten dringenden Daten empfangen wurden. Weitere Informationen finden Sie unter RFC 6093. |
TcpFlagsPsh | Optional | Boolean | Das gemeldete TCP PSH-Flag. Das Push-Flag ähnelt dem URG-Flag und teilt dem Empfänger mit, dass diese Pakete sofort verarbeitet werden sollen, wenn sie empfangen werden, anstatt sie zu puffern. |
TcpFlagsRst | Optional | Boolean | Das gemeldete TCP RST-Flag. Das Zurücksetzen-Flag (Reset) wird vom Empfänger an den Absender gesendet, wenn ein Paket an einen bestimmten Host gesendet wurde, der es nicht erwartet hat. |
TcpFlagsEce | Optional | Boolean | Das gemeldete TCP ECE-Flag. Dieses Flag ist dafür verantwortlich, anzuzeigen, ob der TCP-Peer ECN-fähig ist. Weitere Informationen finden Sie unter RFC 3168. |
TcpFlagsCwr | Optional | Boolean | Das gemeldete TCP CWR-Flag. Das „Überlastungsfenster verkleinert“-Flag (Congestion Window Reduced) wird vom sendenden Host verwendet, um anzuzeigen, dass er ein Paket mit festgelegtem ECE-Flag empfangen hat. Weitere Informationen finden Sie unter RFC 3168. |
TcpFlagsNs | Optional | Boolean | Das gemeldete TCP NS-Flag. Das „Nonce-Summe“-Flag ist immer noch ein experimentelles Flag, das zum Schutz vor versehentlicher böswilliger Verschleierung von Paketen vom Absender verwendet wird. Weitere Informationen finden Sie unter RFC 3540. |
Felder für „Zielsystem“
Feld | Klasse | type | BESCHREIBUNG |
---|---|---|---|
Dst | Empfohlen | Alias | Ein eindeutiger Bezeichner des Servers, der die DNS-Anforderung empfängt. Dieses Feld kann ein Alias für das Feld DstDvcId, DstHostname oder DstIpAddr sein. Beispiel: 192.168.12.1 |
DstIpAddr | Empfohlen | IP-Adresse | Die IP-Adresse der Verbindung oder des Sitzungsziels. Wenn die Sitzung die Netzwerkadressenübersetzung verwendet, ist DstIpAddr die öffentlich sichtbare Adresse und nicht die ursprüngliche Adresse der Quelle, die in DstNatIpAddr gespeichert ist.Beispiel: 2001:db8::ff00:42:8329 Hinweis: Dieser Wert ist obligatorisch, wenn DstHostname angegeben wird. |
DstPortNumber | Optional | Integer | Der Ziel-IP-Port Beispiel: 443 |
DstHostname | Empfohlen | Hostname | Der Hostname des Zielgeräts ohne Domäneninformationen. Wenn kein Gerätename verfügbar ist, speichern Sie die entsprechende IP-Adresse in diesem Feld. Beispiel: DESKTOP-1282V4D |
DstDomain | Empfohlen | String | Die Domäne des Zielgeräts. Beispiel: Contoso |
DstDomainType | Bedingt | Enumerated | Der Typ von DstDomain. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DomainType im Artikel „Schemaübersicht“. Erforderlich, wenn DstDomain verwendet wird. |
DstFQDN | Optional | String | Der Hostname des Zielgeräts einschließlich Domäneninformationen, sofern verfügbar. Beispiel: Contoso\DESKTOP-1282V4D Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format „Domäne\Hostname“. DstDomainType spiegelt das verwendete Format wider. |
DstDvcId | Optional | String | Die ID des Zielgeräts. Wenn mehrere IDs verfügbar sind, verwenden Sie die wichtigste, und speichern Sie die anderen in den Feldern DstDvc<DvcIdType> . Beispiel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
DstDvcScopeId | Optional | String | Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. DstDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
DstDvcScope | Optional | String | Der Cloudplattformbereich, zu dem das Gerät gehört. DstDvcScope wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
DstDvcIdType | Bedingt | Enumerated | Der Typ von DstDvcId. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType im Artikel „Schemaübersicht“. Erforderlich, wenn DstDeviceId verwendet wird. |
DstDeviceType | Optional | Enumerated | Der Typ des Zielgeräts. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DeviceType im Artikel „Schemaübersicht“. |
DstZone | Optional | String | Die Netzwerkzone des Ziels, wie sie vom meldenden Gerät definiert wird. Beispiel: Dmz |
DstInterfaceName | Optional | String | Die Netzwerkschnittstelle, die vom Zielgerät für die Verbindung oder Sitzung verwendet wird. Beispiel: Microsoft Hyper-V Network Adapter |
DstInterfaceGuid | Optional | String | Die GUID der Netzwerkschnittstelle, die auf dem Zielgerät verwendet wird. Beispiel: 46ad544b-eaf0-47ef- 827c-266030f545a6 |
DstMacAddr | Optional | String | Die MAC-Adresse der Netzwerkschnittstelle, die vom Zielgerät für die Verbindung oder Sitzung verwendet wird. Beispiel: 06:10:9f:eb:8f:14 |
DstVlanId | Optional | String | Die zugehörige VLAN-ID für das Zielgerät. Beispiel: 130 |
OuterVlanId | Optional | Alias | Alias für DstVlanId. In vielen Fällen kann das VLAN nicht als Quelle oder Ziel bestimmt werden, sondern wird als „Inner“ (innen) oder „Outer“ (außen) gekennzeichnet. Dieser Alias für gibt an, dass DstVlanId verwendet werden soll, wenn das VLAN als „Outer“ (außen) gekennzeichnet ist. |
DstSubscriptionId | Optional | String | Die Abonnement-ID der Cloudplattform, zu der das Zielgerät gehört. DstSubscriptionId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
DstGeoCountry | Optional | Land / Region | Das Land/die Region, das der ZIEL-IP-Adresse zugeordnet ist. Weitere Informationen finden Sie unter Logische Typen. Beispiel: USA |
DstGeoRegion | Optional | Region | Die der Ziel-IP-Adresse zugeordnete Region bzw. der Staat. Weitere Informationen finden Sie unter Logische Typen. Beispiel: Vermont |
DstGeoCity | Optional | City | Die Stadt, die der Ziel-IP-Adresse zugeordnet ist. Weitere Informationen finden Sie unter Logische Typen. Beispiel: Burlington |
DstGeoLatitude | Optional | Breitengrad | Der Breitengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist. Weitere Informationen finden Sie unter Logische Typen. Beispiel: 44.475833 |
DstGeoLongitude | Optional | Längengrad | Der Längengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist. Weitere Informationen finden Sie unter Logische Typen. Beispiel: 73.211944 |
Felder für „Zielbenutzer“
Feld | Klasse | type | BESCHREIBUNG |
---|---|---|---|
DstUserId | Optional | String | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Zielbenutzers. Das unterstützte Format für verschiedene ID-Typen finden Sie unter Die Benutzerentität. Beispiel: S-1-12 |
DstUserScope | Optional | String | Der Bereich (z. B. der Microsoft Entra-Mandant), in dem DstUserId und DstUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht. |
DstUserScopeId | Optional | String | Die Bereichs-ID (z. B. die Microsoft Entra-Verzeichnis-ID), in der DstUserId und DstUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht. |
DstUserIdType | Bedingt | UserIdType | Der Typ der ID, die im Feld DstUserId gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserIdType im Artikel „Schemaübersicht“. |
DstUsername | Optional | String | Der Zielbenutzername einschließlich Domäneninformationen, sofern verfügbar. Das unterstützte Format für verschiedene ID-Typen finden Sie unter Die Benutzerentität. Verwenden Sie dieses einfache Format nur, wenn keine Domäneninformationen verfügbar sind. Speichern Sie den Benutzernamenstyp im Feld DstUsernameType. Wenn andere Benutzernamenformate verfügbar sind, speichern Sie sie in den Feldern DstUsername<UsernameType> .Beispiel: AlbertE |
User | Alias | Alias für DstUsername. | |
DstUsernameType | Bedingt | UsernameType | Gibt den Typ des Benutzernamens an, der im Feld DstUsername gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UsernameType im Artikel „Schemaübersicht“. Beispiel: Windows |
DstUserType | Optional | UserType | Der Typ des Zielbenutzers. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserType im Artikel „Schemaübersicht“. Hinweis: Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld DstOriginalUserType. |
DstOriginalUserType | Optional | String | Der ursprüngliche Zielbenutzertyp, sofern von der Quelle bereitgestellt. |
Felder für „Zielanwendung“
Feld | Klasse | type | BESCHREIBUNG |
---|---|---|---|
DstAppName | Optional | String | Der Name der Zielanwendung. Beispiel: Facebook |
DstAppId | Optional | String | Die ID der Zielanwendung, wie vom meldenden Gerät angegeben. Wenn DstAppType den Wert Process hat, sollten DstAppId und DstProcessId denselben Wert haben.Beispiel: 124 |
DstAppType | Optional | AppType | Der Typ der Zielanwendung. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter AppType im Artikel „Schemaübersicht“. Dieses Feld ist obligatorisch, wenn DstAppName oder DstAppId verwendet wird. |
DstProcessName | Optional | String | Der Dateiname des Prozesses, der die Netzwerksitzung beendet hat. Dieser Name wird in der Regel als Prozessname betrachtet. Beispiel: C:\Windows\explorer.exe |
Process | Alias | Alias für den DstProcessName Beispiel: C:\Windows\System32\rundll32.exe |
|
DstProcessId | Optional | String | Die Prozess-ID (PID) des Prozesses, der die Netzwerksitzung beendet hat. Beispiel: 48610176 Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows und Linux muss dieser Wert numerisch sein. Wenn Sie einen Windows- oder Linux-Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie diesen in einen Dezimalwert. |
DstProcessGuid | Optional | String | Ein generierter eindeutiger Bezeichner (GUID) des Prozesses, der die Netzwerksitzung beendet hat. Beispiel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Felder für „Quellsystem“
Feld | Klasse | type | BESCHREIBUNG |
---|---|---|---|
Src | Alias | Der eindeutige Bezeichner des Quellgeräts. Dieses Feld kann ein Alias für das Feld SrcDvcId, SrcHostname oder SrcIpAddr sein. Beispiel: 192.168.12.1 |
|
SrcIpAddr | Empfohlen | IP-Adresse | Die IP-Adresse, von der die Verbindung oder Sitzung stammt. Dieser Wert ist obligatorisch, wenn SrcHostname angegeben wird. Wenn die Sitzung die Netzwerkadressenübersetzung verwendet, ist SrcIpAddr die öffentlich sichtbare Adresse und nicht die ursprüngliche Adresse der Quelle, die in SrcNatIpAddr gespeichert ist.Beispiel: 77.138.103.108 |
SrcPortNumber | Optional | Integer | Der IP-Port, von dem die Verbindung stammt. Ist möglicherweise für Sitzungen, die mehrere Verbindungen umfassen, nicht relevant. Beispiel: 2335 |
SrcHostname | Empfohlen | Hostname | Der Hostname des Quellgeräts ohne Domäneninformationen. Wenn kein Gerätename verfügbar ist, speichern Sie die entsprechende IP-Adresse in diesem Feld. Beispiel: DESKTOP-1282V4D |
SrcDomain | Empfohlen | String | Die Domäne des Quellgeräts. Beispiel: Contoso |
SrcDomainType | Bedingt | DomainType | Der Typ von SrcDomain. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DomainType im Artikel „Schemaübersicht“. Erforderlich, wenn SrcDomain verwendet wird. |
SrcFQDN | Optional | String | Der Hostname des Quellgeräts ggf. mit Informationen zur Domäne. Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format „Domäne\Hostname“. Das Feld SrcDomainType spiegelt das verwendete Format wider. Beispiel: Contoso\DESKTOP-1282V4D |
SrcDvcId | Optional | String | Die ID des Quellgeräts. Wenn mehrere IDs verfügbar sind, verwenden Sie die wichtigste, und speichern Sie die anderen in den Feldern SrcDvc<DvcIdType> .Beispiel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
SrcDvcScopeId | Optional | String | Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
SrcDvcScope | Optional | String | Der Cloudplattformbereich, zu dem das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
SrcDvcIdType | Bedingt | DvcIdType | Der Typ von SrcDvcId. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType im Artikel „Schemaübersicht“. Hinweis: Dieses Feld ist erforderlich, wenn das Feld SrcDvcId verwendet wird. |
SrcDeviceType | Optional | DeviceType | Der Typ des Quellgeräts. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DeviceType im Artikel „Schemaübersicht“. |
SrcZone | Optional | String | Die Netzwerkzone der Quelle, wie sie vom meldenden Gerät definiert wird. Beispiel: Internet |
SrcInterfaceName | Optional | String | Die Netzwerkschnittstelle, die vom Quellgerät für die Verbindung oder Sitzung verwendet wird. Beispiel: eth01 |
SrcInterfaceGuid | Optional | String | Die GUID der Netzwerkschnittstelle, die auf dem Quellgerät verwendet wird. Beispiel: 46ad544b-eaf0-47ef- 827c-266030f545a6 |
SrcMacAddr | Optional | String | Die MAC-Adresse der Netzwerkschnittstelle, von der aus die Verbindung oder Sitzung hergestellt wurde. Beispiel: 06:10:9f:eb:8f:14 |
SrcVlanId | Optional | String | Die zugehörige VLAN-ID für das Quellgerät. Beispiel: 130 |
InnerVlanId | Optional | Alias | Alias für SrcVlanId. In vielen Fällen kann das VLAN nicht als Quelle oder Ziel bestimmt werden, sondern wird als „Inner“ (innen) oder „Outer“ (außen) gekennzeichnet. Dieser Alias für gibt an, dass SrcVlanId verwendet werden soll, wenn das VLAN als „Inner“ (innen) gekennzeichnet ist. |
SrcSubscriptionId | Optional | String | Die Abonnement-ID der Cloudplattform, zu der das Quellgerät gehört. SrcSubscriptionId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
SrcGeoCountry | Optional | Land / Region | Das Land/die Region, das der Quell-IP-Adresse zugeordnet ist. Beispiel: USA |
SrcGeoRegion | Optional | Region | Die der Quell-IP-Adresse zugeordnete Region. Beispiel: Vermont |
SrcGeoCity | Optional | City | Die Stadt, die der Quell-IP-Adresse zugeordnet ist. Beispiel: Burlington |
SrcGeoLatitude | Optional | Breitengrad | Der Breitengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. Beispiel: 44.475833 |
SrcGeoLongitude | Optional | Längengrad | Der Längengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. Beispiel: 73.211944 |
Felder für „Quellbenutzer“
Feld | Klasse | type | BESCHREIBUNG |
---|---|---|---|
SrcUserId | Optional | String | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Quellbenutzers. Das unterstützte Format für verschiedene ID-Typen finden Sie unter Die Benutzerentität. Beispiel: S-1-12 |
SrcUserScope | Optional | String | Der Bereich (z. B. der Microsoft Entra-Mandant), in dem SrcUserId und SrcUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht. |
SrcUserScopeId | Optional | String | Die Bereichs-ID (z. B. die Microsoft Entra-Verzeichnis-ID), in der SrcUserId und SrcUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht. |
SrcUserIdType | Bedingt | UserIdType | Der Typ der ID, die im Feld SrcUserId gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserIdType im Artikel „Schemaübersicht“. |
SrcUsername | Optional | String | Der Quellbenutzername einschließlich Informationen zur Domäne, falls verfügbar. Das unterstützte Format für verschiedene ID-Typen finden Sie unter Die Benutzerentität. Verwenden Sie dieses einfache Format nur, wenn keine Domäneninformationen verfügbar sind. Speichern Sie den Benutzernamenstyp im Feld SrcUsernameType. Wenn andere Benutzernamenformate verfügbar sind, speichern Sie sie in den Feldern SrcUsername<UsernameType> .Beispiel: AlbertE |
SrcUsernameType | Bedingt | UsernameType | Gibt den Typ des Benutzernamens an, der im Feld SrcUsername gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UsernameType im Artikel „Schemaübersicht“. Beispiel: Windows |
SrcUserType | Optional | UserType | Der Typ des Quellbenutzers. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserType im Artikel „Schemaübersicht“. Hinweis: Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld SrcOriginalUserType. |
SrcOriginalUserType | Optional | String | Der ursprüngliche Zielbenutzertyp, sofern vom meldenden Gerät bereitgestellt. |
Felder für „Quellanwendung“
Feld | Klasse | type | BESCHREIBUNG |
---|---|---|---|
SrcAppName | Optional | String | Der Name der Quellanwendung. Beispiel: filezilla.exe |
SrcAppId | Optional | String | Die ID der Quellanwendung, wie vom meldenden Gerät angegeben. Wenn SrcAppType den Wert Process hat, sollten SrcAppId und SrcProcessId denselben Wert haben.Beispiel: 124 |
SrcAppType | Optional | AppType | Der Typ der Quellanwendung. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter AppType im Artikel „Schemaübersicht“. Dieses Feld ist obligatorisch, wenn SrcAppName oder SrcAppId verwendet wird. |
SrcProcessName | Optional | String | Der Dateiname des Prozesses, der die Netzwerksitzung initiiert hat. Dieser Name wird in der Regel als Prozessname betrachtet. Beispiel: C:\Windows\explorer.exe |
SrcProcessId | Optional | String | Die Prozess-ID (PID) des Prozesses, der die Netzwerksitzung initiiert hat. Beispiel: 48610176 Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows und Linux muss dieser Wert numerisch sein. Wenn Sie einen Windows- oder Linux-Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie diesen in einen Dezimalwert. |
SrcProcessGuid | Optional | String | Ein generierter eindeutiger Bezeichner (GUID) des Prozesses, der die Netzwerksitzung initiiert hat. Beispiel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Lokale Aliase und Remotealiase
Alle oben aufgeführten Quell- und Zielfelder können optional durch Felder mit demselben Namen und den Deskriptoren Local
und Remote
als Aliase ersetzt werden. Dies ist in der Regel hilfreich für Ereignisse, die von einem Endpunkt gemeldet werden und für die der Ereignistyp EndpointNetworkSession
lautet.
Für solche Ereignisse bezeichnen die Deskriptoren Local
und Remote
den Endpunkt selbst bzw. das Gerät am anderen Ende der Netzwerksitzung. Bei eingehenden Verbindungen ist das lokale System das Ziel, Local
-Felder sind Aliase für die Dst
-Felder, und „Remote“-Felder sind Aliase für Src
-Felder. Im Gegensatz dazu ist bei ausgehenden Verbindungen das lokale System die Quelle, Local
-Felder sind Aliase für Src
-Felder und Remote
-Felder sind Aliase für Dst
-Felder.
Für ein eingehendes Ereignis ist das Feld LocalIpAddr
beispielsweise ein Alias für DstIpAddr
und das Feld RemoteIpAddr
ist ein Alias für SrcIpAddr
.
Aliase für Hostname und IP-Adresse
Feld | Klasse | type | BESCHREIBUNG |
---|---|---|---|
Hostname | Alias | – Wenn der Ereignistyp NetworkSession , Flow oder L2NetworkSession ist, ist „Hostname“ ein Alias für DstHostname.– Wenn der Ereignistyp EndpointNetworkSession ist, ist „Hostname“ ein Alias für RemoteHostname , der je nach NetworkDirection entweder DstHostname oder SrcHostName als Alias verwenden kann. |
|
IpAddr | Alias | – Wenn der Ereignistyp NetworkSession , Flow oder L2NetworkSession ist, ist „Hostname“ ein Alias für SrcIpAddr.– Wenn der Ereignistyp EndpointNetworkSession ist, ist „IpAddr“ ein Alias für LocalIpAddr , der je nach NetworkDirection entweder SrcIpAddr oder DstIpAddr als Alias verwenden kann. |
Felder für Zwischengerät und NAT (Network Address Translation)
Die folgenden Felder sind nützlich, wenn der Datensatz Informationen zu einem Zwischengerät wie etwa einer Firewall oder einem Proxy zum Vermitteln der Netzwerksitzung enthält.
Zwischensysteme verwenden häufig die Adressenübersetzung, daher sind die ursprüngliche Adresse und die extern beobachtete Adresse nicht identisch. In solchen Fällen stellen die primären Adressfelder wie SrcIPAddr und DstIpAddr die extern beobachteten Adressen dar, während die NAT-Adressfelder SrcNatIpAddr und DstNatIpAddr die interne Adresse des ursprünglichen Geräts vor der Übersetzung darstellen.
Inspektionsfelder
Die folgenden Felder werden zur Darstellung der Inspektion verwendet, die von einem Sicherheitsgerät wie etwa einer Firewall, einem IPS oder einem Websicherheitsgateway durchgeführt wurde:
Feld | Klasse | type | BESCHREIBUNG |
---|---|---|---|
NetworkRuleName | Optional | String | Der Name oder die ID der Regel, anhand derer die Entscheidung für DvcAction getroffen wurde. Beispiel: AnyAnyDrop |
NetworkRuleNumber | Optional | Integer | Die Nummer der Regel, anhand derer die Entscheidung für DvcAction getroffen wurde. Beispiel: 23 |
Regel | Alias | String | Entweder der Wert NetworkRuleName oder der Wert NetworkRuleNumber. Bei Verwendung des Werts NetworkRuleNumber sollte der Typ in eine Zeichenfolge konvertiert werden. |
ThreatId | Optional | String | Die ID der in der Netzwerksitzung identifizierten Bedrohung oder Schadsoftware. Beispiel: Tr.124 |
ThreatName | Optional | String | Der Name der in der Netzwerksitzung identifizierten Bedrohung oder Schadsoftware. Beispiel: EICAR Test File |
ThreatCategory | Optional | String | Die Kategorie der in der Netzwerksitzung identifizierten Bedrohung oder Schadsoftware. Beispiel: Trojan |
ThreatRiskLevel | Optional | Integer | Die der Sitzung zugeordnete Risikostufe. Hierbei muss es sich um eine Zahl zwischen 0 und 100 handeln. Hinweis: Der Wert ist im Quelldatensatz möglicherweise in einer anderen Skala angegeben und muss auf diese Skala normalisiert werden. Der ursprüngliche Wert muss im Feld ThreatRiskLevelOriginal gespeichert werden. |
ThreatOriginalRiskLevel | Optional | String | Die Risikostufe, wie vom meldenden Gerät gemeldet. |
ThreatIpAddr | Optional | IP-Adresse | Eine IP-Adresse, für die eine Bedrohung identifiziert wurde. Das Feld ThreatField enthält den Namen des Felds, das ThreatIpAddr darstellt. |
ThreatField | Bedingt | Enumerated | Das Feld, für das eine Bedrohung identifiziert wurde. Der Wert lautet entweder SrcIpAddr oder DstIpAddr . |
ThreatConfidence | Optional | Integer | Die Konfidenzstufe der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100 |
ThreatOriginalConfidence | Optional | String | Die ursprüngliche Konfidenzstufe der identifizierten Bedrohung, wie vom meldenden Gerät gemeldet. |
ThreatIsActive | Optional | Boolean | TRUE, wenn die identifizierte Bedrohung als aktive Bedrohung betrachtet wird. |
ThreatFirstReportedTime | Optional | datetime | Das erste Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
ThreatLastReportedTime | Optional | datetime | Das letzte Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
Weitere Felder
Wenn das Ereignis von einem der Endpunkte der Netzwerksitzung gemeldet wird, kann es Informationen zu dem Prozess enthalten, von dem die Sitzung initiiert oder beendet wurde. In solchen Fällen wird das ASIM-Prozessereignisschema zum Normalisieren dieser Informationen verwendet.
Schemaupdates
In der Version 0.2.1 des Schemas wurde Folgendes geändert:
- Hinzufügung von
Src
undDst
als Aliase zu einem führenden Bezeichner für das Quell- und das Zielsystem. - Die Felder
NetworkConnectionHistory
,SrcVlanId
,DstVlanId
,InnerVlanId
undOuterVlanId
wurden hinzugefügt.
In der Version 0.2.2 des Schemas wurde Folgendes geändert:
- Die Aliase
Remote
undLocal
wurden hinzugefügt. - Der Ereignistyp
EndpointNetworkSession
wurde hinzugefügt. Hostname
undIpAddr
wurden als Aliase fürRemoteHostname
undLocalIpAddr
definiert, wenn der EreignistypEndpointNetworkSession
ist.DvcInterface
wurde als Alias fürDvcInboundInterface
oderDvcOutboundInterface
definiert.- Der Typ der folgenden Felder wurde von „Integer“ in „Long“ geändert:
SrcBytes
,DstBytes
,NetworkBytes
,SrcPackets
,DstPackets
undNetworkPackets
. - Die Felder
NetworkProtocolVersion
,SrcSubscriptionId
undDstSubscriptionId
wurden hinzugefügt. - Als veraltet markiert:
DstUserDomain
undSrcUserDomain
.
In der Version 0.2.3 des Schemas wurde Folgendes geändert:
- Der Filterparameter
ipaddr_has_any_prefix
wurde hinzugefügt. - Der Filterparameter
hostname_has_any
entspricht nun entweder dem Quell- oder Ziel-Hostnamen. - Die Felder
ASimMatchingHostname
undASimMatchingIpAddr
wurden hinzugefügt.
In der Version 0.2.4 des Schemas wurde Folgendes geändert:
- Die
TcpFlags
-Felder wurden hinzugefügt. NetworkIcpmType
undNetworkIcmpCode
wurden aktualisiert, sodass sie den Zahlenwert für beide widerspiegeln.- Zusätzliche Inspektionsfelder wurden hinzugefügt.
- Das Feld „ThreatRiskLevelOriginal“ wurde in
ThreatOriginalRiskLevel
umbenannt, um die ASIM-Konventionen einzuhalten. Vorhandene Microsoft-Parser behalten bis zum 1. Mai 2023ThreatRiskLevelOriginal
bei. EventResultDetails
wurde als empfohlen gekennzeichnet, und die zulässigen Werte wurden angegeben.
In der Version 0.2.5 des Schemas wurde Folgendes geändert:
- Die Felder
DstUserScope
,SrcUserScope
,SrcDvcScopeId
,SrcDvcScope
,DstDvcScopeId
,DstDvcScope
,DvcScopeId
undDvcScope
wurden hinzugefügt.
In der Version 0.2.6 des Schemas wurde Folgendes geändert:
- IDS als Ereignistyp hinzugefügt
Nächste Schritte
Weitere Informationen finden Sie unter
- Sehen Sie sich das ASIM-Webinar an, oder befassen Sie sich mit den Folien.
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Schemas für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Parser für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Inhalte für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)