Microsoft Sentinel-netwerknormalisatieschema (verouderde versie - openbare preview)
Het netwerknormalisatieschema wordt gebruikt om gerapporteerde netwerk gebeurtenissen te beschrijven en wordt gebruikt door Microsoft Sentinel om samen te stellen analyses mogelijk te maken.
Zie Normalization and the Advanced Security Information Model (ASIM) voor meer informatie.
Belangrijk
Dit artikel heeft betrekking op versie 0.1 van het netwerknormalisatieschema, dat is uitgebracht als preview voordat ASIM beschikbaar was. Versie 0.2.x van het netwerknormalisatieschema komt overeen met ASIM en biedt andere verbeteringen.
Zie Verschillen tussen netwerknormalisatieschemaversies voor meer informatie
Terminologie
De volgende terminologie wordt gebruikt in Microsoft Sentinel-schema's:
| Term | Definitie |
|---|---|
| Rapportageapparaat | Het systeem dat de records naar Microsoft Sentinel verzendt. Het is mogelijk niet het onderwerpsysteem van de record. |
| Record | Een eenheid met gegevens die worden verzonden vanaf het rapportageapparaat. Deze gegevenseenheid wordt vaak aangeduid als log, eventof alert, maar kan ook andere typen hebben. |
Gegevenstypen en -indelingen
De volgende tabel bevat richtlijnen voor het normaliseren van gegevenswaarden, die vereist zijn voor genormaliseerde velden en aanbevolen voor andere velden.
| Gegevenstype | Fysiek type | Opmaak en waarde |
|---|---|---|
| Datum/tijd | Een van de volgende opties, afhankelijk van de opnamemethode die wordt gebruikt, in aflopende prioriteit:
|
Log Analytics-datum/tijdweergave. De datum- en tijdweergave van Log Analytics is vergelijkbaar, maar verschilt van unix-tijdweergave. Raadpleeg deze richtlijnen voor conversie. De datum en tijd moeten worden aangepast voor tijdzones. |
| MAC-adres | String | Dubbele-hexadecimale notatie |
| IP-adres | IP-adres | Het schema heeft geen afzonderlijke IPv4- en IPv6-adressen. Elk IP-adresveld kan een IPv4-adres of IPv6-adres bevatten:
|
| Gebruiker | String | De volgende drie gebruikersvelden zijn beschikbaar:
|
| Gebruikers-ID | String | De volgende twee gebruikers-id's worden momenteel ondersteund:
|
| Apparaat | String | De volgende drie kolommen voor apparaten/hosts worden ondersteund:
|
| Land/regio | String | Een tekenreeks met ISO 3166-1, volgens de volgende prioriteiten:
|
| Regio | String | De naam van de onderverdeling van het land/de regio met ISO 3166-2 |
| Plaats | String | |
| Lengtegraad | Dubbel | ISO 6709-coördinaatweergave (ondertekend decimaal) |
| Breedtegraad | Dubbel | ISO 6709-coördinaatweergave (ondertekend decimaal) |
| Hash-algoritme | String | De volgende vier hashkolommen worden ondersteund:
|
| Bestandssoort | String | Het type van het bestandstype:
|
Tabelschema voor netwerksessies
Hieronder ziet u het schema van de tabel netwerksessies, versie 1.0.0
| Veldnaam | Waardetype | Opmerking | Beschrijving | Gekoppelde OSSEM-entiteiten |
|---|---|---|---|---|
| EventType | String | Verkeer | Type gebeurtenis dat wordt verzameld | Gebeurtenis |
| EventSubType | String | Verificatie | Extra beschrijving van het type, indien van toepassing | Gebeurtenis |
| EventCount | Geheel getal | 10 | Het aantal samengevoegde gebeurtenissen, indien van toepassing. | Gebeurtenis |
| EventEndTime | Datum/tijd | Zie 'gegevenstypen' | De tijd waarin de gebeurtenis is beëindigd | Gebeurtenis |
| EventMessage | tekenreeks | toegang geweigerd | Een algemeen bericht of een algemene beschrijving, opgenomen in of gegenereerd op basis van de record | Gebeurtenis |
| DvcIpAddr | IP-adres | 23.21.23.34 | Het IP-adres van het apparaat dat de record genereert | Apparaat IP |
| DvcMacAddr | String | 06:10:9f:eb:8f:14 | Het MAC-adres van de netwerkinterface van het rapportageapparaat van waaruit de gebeurtenis is verzonden. | Apparaat Mac |
| DvcHostname | Apparaatnaam (tekenreeks) | syslogserver1.contoso.com | De apparaatnaam van het apparaat dat het bericht genereert. | Apparaat |
| EventProduct | String | OfficeSharepoint | Het product dat de gebeurtenis genereert. | Gebeurtenis |
| EventProductVersion | tekenreeks | 9.0 | De versie van het product die de gebeurtenis genereert. | Gebeurtenis |
| EventResourceId | Apparaat-id (tekenreeks) | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | De resource-id van het apparaat dat het bericht genereert. | Gebeurtenis |
| EventReportUrl | String | https://192.168.1.1/repoerts/ae3-56.htm | Een koppeling naar het volledige rapport dat is gemaakt door het rapportageapparaat | Gebeurtenis |
| EventVendor | String | Microsoft | De leverancier van het product dat de gebeurtenis genereert. | Gebeurtenis |
| EventResult | Meerdere waarden: geslaagd, gedeeltelijk, mislukt, [leeg] (tekenreeks) | Geslaagd | Het resultaat dat voor de activiteit is gerapporteerd. Lege waarde indien niet van toepassing. | Gebeurtenis |
| EventResultDetails | String | Onjuist wachtwoord | Reden of details voor het resultaat dat is gerapporteerd in EventResult | Gebeurtenis |
| EventSchemaVersion | Real | 0,1 | Microsoft Sentinel-schemaversie. Momenteel 0.1. | Gebeurtenis |
| EventSeverity | String | Beperkt | Als de gerapporteerde activiteit een beveiligingsimpact heeft, geeft dit de ernst van de impact aan. | Gebeurtenis |
| EventOriginalUid | String | af6ae8fe-ff43-4a4c-b537-8635976a2b51 | De record-id van het rapportageapparaat. | Gebeurtenis |
| EventStartTime | Datum/tijd | Zie 'gegevenstypen' | De tijd waarin de gebeurtenis heeft aangegeven | Gebeurtenis |
| TimeGenerated | Datum/tijd | Zie 'gegevenstypen' | De tijd waarop de gebeurtenis heeft plaatsgevonden, zoals gerapporteerd door de rapportagebron. | Aangepast veld |
| EventTimeIngested | Datum/tijd | Zie 'gegevenstypen' | De tijd waarop de gebeurtenis is opgenomen in Microsoft Sentinel. Wordt toegevoegd door Microsoft Sentinel. | Gebeurtenis |
| EventUid | Guid (tekenreeks) | 516a64e3-8360-4f1e-a67c-d96b3d52df54 | De unieke id die door Microsoft Sentinel wordt gebruikt om een rij te markeren. | Gebeurtenis |
| NetworkApplicationProtocol | String | HTTPS | Het protocol van de toepassingslaag dat wordt gebruikt door de verbinding of sessie. | Netwerk |
| DstBytes | int | 32455 | Het aantal bytes dat van de bestemming naar de bron is verzonden voor de verbinding of sessie. | Bestemming |
| SrcBytes | int | 46536 | Het aantal bytes dat van de bron naar het doel is verzonden voor de verbinding of sessie. | Bron |
| Netwerkbytes | int | 78991 | Het aantal bytes dat in beide richtingen is verzonden. Als zowel BytesReceived als BytesSent bestaan, moet BytesTotal gelijk zijn aan de som. | Netwerk |
| NetworkDirection | Meerdere waarden: inkomend, uitgaand (tekenreeks) | Inkomend | De richting van de verbinding of sessie, naar of buiten de organisatie. | Netwerk |
| DstGeoCity | String | Burlington | De plaats die is gekoppeld aan het doel-IP-adres | Bestemming Geografisch |
| DstGeoCountry | Land (tekenreeks) | USA | Het land/de regio die is gekoppeld aan het bron-IP-adres | Bestemming Geografisch |
| DstDvcHostname | Apparaatnaam (tekenreeks) | victim_pc | De apparaatnaam van het doelapparaat | Bestemming Apparaat |
| DstDvcFqdn | String | victim_pc.contoso.local | De volledig gekwalificeerde domeinnaam van de host waar het logboek is gemaakt | Bestemming Apparaat |
| DstDomainHostname | tekenreeks | CONTOSO | Het domein van de bestemming, het domein van de doelhost (website, domeinnaam, enzovoort), bijvoorbeeld voor DNS-zoekacties of NS-zoekacties | Bestemming |
| DstInterfaceName | tekenreeks | Microsoft Hyper-V-netwerkadapter | De netwerkinterface die wordt gebruikt voor de verbinding of sessie door het doelapparaat. | Bestemming |
| DstInterfaceGuid | tekenreeks | 2BB33827-6BB6-48DB-8DE6-DB9E0B9F9C9B | GUID van de netwerkinterface die is gebruikt voor de verificatieaanvraag | Bestemming |
| DstIpAddr | IP-adres | 2001:db8::ff00:42:8329 | Het IP-adres van de verbinding of sessiebestemming, meestal aangeduid als het doel-IP in het netwerkpakket | Bestemming IP |
| DstDvcIpAddr | IP-adres | 75.22.12.2 | Het doel-IP-adres van een apparaat dat niet rechtstreeks is gekoppeld aan het netwerkpakket | Bestemming Apparaat IP |
| DstGeoL dankbaarheid | Breedtegraad (dubbel) | 44.475833 | De breedtegraad van de geografische coördinaat die is gekoppeld aan het doel-IP-adres | Bestemming Geografisch |
| DstMacAddr | String | 06:10:9f:eb:8f:14 | Het MAC-adres van de netwerkinterface waarop de verbinding of sessie is beëindigd, meestal aangeduid met de doel-MAC in het netwerkpakket | Bestemming MAC |
| DstDvcMacAddr | String | 06:10:9f:eb:8f:14 | Het mac-doeladres van een apparaat dat niet rechtstreeks is gekoppeld aan het netwerkpakket. | Bestemming Apparaat MAC |
| DstDvcDomain | String | CONTOSO | Het domein van het doelapparaat. | Bestemming Apparaat |
| DstPortNumber | Geheel getal | 443 | De doel-IP-poort. | Bestemming Poort |
| DstGeoRegion | Regio (tekenreeks) | Vermont | De regio die is gekoppeld aan het doel-IP-adres | Bestemming Geografisch |
| DstResourceId | Apparaat-id (tekenreeks) | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /victim | De resource-id van het doelapparaat. | Bestemming |
| DstNatIpAddr | IP-adres | 2::1 | Als dit wordt gerapporteerd door een tussenliggend NAT-apparaat zoals een firewall, wordt het IP-adres dat door het NAT-apparaat wordt gebruikt voor communicatie met de bron. | Doel-NAT, IP |
| DstNatPortNumber | int | 443 | Als dit wordt gerapporteerd door een tussenliggend NAT-apparaat zoals een firewall, wordt de poort die door het NAT-apparaat wordt gebruikt voor communicatie met de bron. | Doel-NAT, Poort |
| DstUserSid | Gebruikers-SID | S-12-1445 | De gebruikers-id van de identiteit die is gekoppeld aan de bestemming van de sessie. Normaal gesproken wordt de identiteit gebruikt om een server te verifiëren. Zie Gegevenstypen en -indelingen voor meer informatie. | Bestemming User |
| DstUserAadId | Tekenreeks (guid) | ae92b0b4-azurea-4b42-85a0-fbd862f4df54 | De object-id van het Microsoft Entra-account van de gebruiker aan het eind van de sessie | Bestemming User |
| DstUserName | Gebruikersnaam (tekenreeks) | johnd | De gebruikersnaam van de identiteit die is gekoppeld aan de bestemming van de sessie. | Bestemming User |
| DstUserUpn | tekenreeks | johnd@anon.com | De UPN van de identiteit die is gekoppeld aan de bestemming van de sessie. | Bestemming User |
| DstUserDomain | tekenreeks | WERKGROEP | De domein- of computernaam van het account op de bestemming van de sessie | Bestemming User |
| DstZone | String | Dmz | De netwerkzone van de bestemming, zoals gedefinieerd door het rapportageapparaat. | Bestemming |
| DstGeoLongitude | Lengtegraad (dubbel) | -73.211944 | De lengtegraad van de geografische coördinaat die is gekoppeld aan het doel-IP-adres | Bestemming Geografisch |
| DvcAction | Meerdere waarden: Toestaan, Weigeren, Neerzetten (tekenreeks) | Toestaan | Indien gerapporteerd door een tussenliggend apparaat, zoals een firewall, wordt de actie uitgevoerd door het apparaat. | Apparaat |
| DvcInboundInterface | String | eth0 | Als dit wordt gerapporteerd door een tussenliggend apparaat, zoals een firewall, wordt de netwerkinterface gebruikt voor de verbinding met het bronapparaat. | Apparaat |
| DvcOutboundInterface | String | Ethernet-adapter Ethernet 4 | Als dit wordt gerapporteerd door een tussenliggend apparaat, zoals een firewall, wordt de netwerkinterface gebruikt voor de verbinding met het doelapparaat. | Apparaat |
| NetworkDuration | Geheel getal | 1500 | De hoeveelheid tijd, in milliseconden, voor de voltooiing van de netwerksessie of -verbinding | Netwerk |
| NetworkIcmpCode | Geheel getal | 34 | Voor een ICMP-bericht typt ICMP-bericht numerieke waarde (RFC 2780 of RFC 4443). | Netwerk |
| NetworkIcmpType | String | Doel onbereikbaar | Voor een ICMP-bericht typt u tekstweergave (RFC 2780 of RFC 4443). | Netwerk |
| DstPackets | int | 446 | Het aantal pakketten dat van de bestemming naar de bron wordt verzonden voor de verbinding of sessie. De betekenis van een pakket wordt gedefinieerd door het rapportageapparaat. | Bestemming |
| SrcPackets | int | 6478 | Het aantal pakketten dat van de bron naar de bestemming voor de verbinding of sessie wordt verzonden. De betekenis van een pakket wordt gedefinieerd door het rapportageapparaat. | Bron |
| NetworkPackets | int | 0 | Het aantal pakketten dat in beide richtingen wordt verzonden. Als zowel PacketsReceived als PacketsSent bestaat, moet BytesTotal gelijk zijn aan de som. | Netwerk |
| HttpRequestTime | Geheel getal | 700 | De tijd die nodig was om de aanvraag naar de server te verzenden, indien van toepassing. | HTTP |
| HttpResponseTime | Geheel getal | 800 | De hoeveelheid tijd die nodig was om een antwoord op de server te ontvangen, indien van toepassing. | HTTP |
| NetworkRuleName | String | AnyAnyDrop | De naam of id van de regel waarop DeviceAction is besloten | Netwerk |
| NetworkRuleNumber | int | 23 | Overeenkomend regelnummer | Netwerk |
| NetworkSessionId | tekenreeks | 172_12_53_32_4322__123_64_207_1_80 | De sessie-id zoals gerapporteerd door het rapportageapparaat. Bijvoorbeeld L7-sessie-id voor specifieke toepassingen na verificatie | Netwerk |
| SrcGeoCity | String | Burlington | De plaats die is gekoppeld aan het bron-IP-adres | Bron Geografisch |
| SrcGeoCountry | Land (tekenreeks) | USA | Het land/de regio die is gekoppeld aan het bron-IP-adres | Bron Geografisch |
| SrcDvcHostname | Apparaatnaam (tekenreeks) | schurk | De apparaatnaam van het bronapparaat | Bron Apparaat |
| SrcDvcFqdn | tekenreeks | Villain.malicious.com | De volledig gekwalificeerde domeinnaam van de host waar het logboek is gemaakt | Bron Apparaat |
| SrcDvcDomain | tekenreeks | EVILORG | Domein van het apparaat van waaruit de sessie is gestart | Bron Apparaat |
| SrcDvcOs | String | iOS | Het besturingssysteem van het bronapparaat | Bron Apparaat |
| SrcDvcModelName | String | Samsung Galaxy Note | De modelnaam van het bronapparaat | Bron Apparaat |
| SrcDvcModelNumber | String | 10.0 | Het modelnummer van het bronapparaat | Bron Apparaat |
| SrcDvcType | String | Mobiel | Het type bronapparaat | Bron Apparaat |
| SrcInterfaceName | String | eth01 | De netwerkinterface die wordt gebruikt voor de verbinding of sessie door het bronapparaat. | Bron |
| SrcInterfaceGuid | String | 46ad544b-eaf0-47ef-827c-266030f545a6 | GUID van de gebruikte netwerkinterface | Bron |
| SrcIpAddr | IP-adres | 77.138.103.108 | Het IP-adres waaruit de verbinding of sessie afkomstig is. | Bron IP |
| SrcDvcIpAddr | IP-adres | 77.138.103.108 | Het bron-IP-adres van een apparaat dat niet rechtstreeks is gekoppeld aan het netwerkpakket (verzameld door een provider of expliciet berekend). | Bron Apparaat IP |
| SrcGeoL dankbaarheid | Breedtegraad (dubbel) | 44.475833 | De breedtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres | Bron Geografisch |
| SrcGeoLongitude | Lengtegraad (dubbel) | -73.211944 | De lengtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres | Bron Geografisch |
| SrcMacAddr | String | 06:10:9f:eb:8f:14 | Het MAC-adres van de netwerkinterface waaruit de od-verbindingsessie afkomstig is. | Bron Mac |
| SrcDvcMacAddr | String | 06:10:9f:eb:8f:14 | Het MAC-bronadres van een apparaat dat niet rechtstreeks is gekoppeld aan het netwerkpakket. | Bron Apparaat Mac |
| SrcPortNumber | Geheel getal | 2335 | De IP-poort waaruit de verbinding afkomstig is. Is mogelijk niet relevant voor een sessie die uit meerdere verbindingen bestaat. | Bron Poort |
| SrcGeoRegion | Regio (tekenreeks) | Vermont | De regio binnen een land/regio die is gekoppeld aan het bron-IP-adres | Bron Geografisch |
| SrcResourceId | String | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | De resource-id van het apparaat dat het bericht genereert. | Bron |
| SrcNatIpAddr | IP-adres | 4.3.2.1 | Als dit wordt gerapporteerd door een tussenliggend NAT-apparaat, zoals een firewall, wordt het IP-adres dat door het NAT-apparaat wordt gebruikt voor communicatie met de bestemming. | Bron-NAT, IP |
| SrcNatPortNumber | Geheel getal | 345 | Als dit wordt gerapporteerd door een tussenliggend NAT-apparaat, zoals een firewall, wordt de poort die door het NAT-apparaat wordt gebruikt voor communicatie met de bestemming. | Bron-NAT, Poort |
| SrcUserSid | Gebruikers-id (tekenreeks) | S-15-1445 | De gebruikers-id van de identiteit die is gekoppeld aan de sessiebron. Normaal gesproken voert de gebruiker een actie uit op de client. Zie Gegevenstypen en -indelingen voor meer informatie. | Bron User |
| SrcUserAadId | Tekenreeks (guid) | 16c8752c-7dd2-4cad-9e03-fb5d1cee5477 | De object-id van het Microsoft Entra-account van de gebruiker aan het broneinde van de sessie | Bron User |
| SrcUserName | Gebruikersnaam (tekenreeks) | bob | De gebruikersnaam van de identiteit die is gekoppeld aan de sessiebron. Normaal gesproken voert de gebruiker een actie uit op de client. Zie Gegevenstypen en -indelingen voor meer informatie. | Bron User |
| SrcUserUpn | tekenreeks | bob@alice.com | UPN van het account dat de sessie start | Bron User |
| SrcUserDomain | tekenreeks | BUREAUBLAD | Het domein voor het account dat de sessie start | Bron User |
| SrcZone | String | Tikken | De netwerkzone van de bron, zoals gedefinieerd door het rapportageapparaat. | Bron |
| NetworkProtocol | String | TCP | Het IP-protocol dat wordt gebruikt door de verbinding of sessie. Normaal gesproken TCP, UDP of ICMP | Netwerk |
| CloudAppName | String | De naam van de doeltoepassing voor een HTTP-toepassing zoals geïdentificeerd door een proxy. | Cloud | |
| CloudAppId | String | 124 | De id van de doeltoepassing voor een HTTP-toepassing zoals geïdentificeerd door een proxy. Deze waarde is doorgaans specifiek voor de gebruikte proxy. | Cloud |
| CloudAppOperation | String | DeleteFile | De bewerking die de gebruiker heeft uitgevoerd in de context van de doeltoepassing voor een HTTP-toepassing, zoals aangegeven door een proxy. Deze waarde is doorgaans specifiek voor de gebruikte proxy. | Cloud |
| CloudAppRiskLevel | String | 3 | Het risiconiveau dat is gekoppeld aan een HTTP-toepassing, zoals geïdentificeerd door een proxy. Deze waarde is doorgaans specifiek voor de gebruikte proxy. | Cloud |
| Bestandsnaam | String | ImNotMalicious.exe | De bestandsnaam die via de netwerkverbindingen wordt verzonden voor protocollen, zoals FTP en HTTP, die de bestandsnaamgegevens opgeven. | Bestand |
| FilePath | String | C:\Malicious\ImNotMalicious.exe | Het volledige pad, inclusief bestandsnaam, van het bestand | Bestand |
| FileHashMd5 | String | 51BC68715FC7C109DCEA406B42D9D78F | De MD5-hashwaarde van het bestand dat wordt verzonden via de netwerkverbindingen voor protocollen. | Bestand |
| FileHashSha1 | String | 491AE3... C299821476F4 | De SHA1-hashwaarde van het bestand dat via de netwerkverbindingen voor protocollen wordt verzonden. | Bestand |
| FileHashSha256 | String | 9B8F8EDB... C129976F03 | De SHA256-hashwaarde van het bestand dat via de netwerkverbindingen voor protocollen wordt verzonden. | Bestand |
| FileHashSha512 | String | 5E127D... F69F73F01F361 | De SHA512-hashwaarde van het bestand dat wordt verzonden via de netwerkverbindingen voor protocollen. | Bestand |
| FileExtension | String | exe | Het type bestand dat via de netwerkverbindingen wordt verzonden voor protocollen zoals FTP en HTTP. | Bestand |
| FileMimeType | String | application/msword | Het MIME-type van het bestand dat via de netwerkverbindingen wordt verzonden voor protocollen zoals FTP en HTTP | Bestand |
| FileSize | Geheel getal | 23500 | De bestandsgrootte, in bytes, van het bestand dat via de netwerkverbindingen voor protocollen wordt verzonden. | Bestand |
| HttpVersion | String | 2.0 | De HTTP-aanvraagversie voor HTTP/HTTPS-netwerkverbindingen. | HTTP |
| HttpRequestMethod | String | GET | De HTTP-methode voor HTTP/HTTPS-netwerksessies. | HTTP |
| HttpStatusCode | String | 404 | De HTTP-statuscode voor HTTP/HTTPS-netwerksessies. | HTTP |
| HttpContentType | String | multipart/form-data; grens=iets | De header van het http-antwoordinhoudstype voor HTTP/HTTPS-netwerksessies. | HTTP |
| HttpReferrerOriginal | String | https://developer.mozilla.org/en-US/docs/Web/JavaScript | De HTTP-verwijzingsheader voor HTTP/HTTPS-netwerksessies. | HTTP |
| HttpUserAgentOriginal | String | Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, zoals Gecko) Chrome/83.0.4103.97 Safari/537.36 | De HEADER van de HTTP-gebruikersagent voor HTTP/HTTPS-netwerksessies. | HTTP |
| HttpRequestXff | String | 120.12.41.1 | De HTTP X-Forwarded-For-header voor HTTP/HTTPS-netwerksessies. | HTTP |
| UrlCategory | String | Zoekmachines | De gedefinieerde groepering van een URL, mogelijk op basis van het domein in de URL, gerelateerd aan wat de inhoud is. Bijvoorbeeld: volwassen, nieuws, reclame, geparkeerde domeinen, enzovoort.) | URL |
| UrlOriginal | String | https:// contoso.com/fo/?k=v&q=u#f | De HTTP-aanvraag-URL voor HTTP/HTTPS-netwerksessies. | URL |
| UrlHostname | String | contoso.com | Het domeingedeelte van een HTTP-aanvraag-URL voor HTTP-/HTTPS-netwerksessies. | URL |
| ThreatCategory | String | Trojaan | De categorie van een bedreiging die wordt geïdentificeerd door een beveiligingssysteem zoals Web Security Gateway van een IPS en is gekoppeld aan deze netwerksessie. | Bedreiging |
| ThreatId | String | Tr.124 | De id van een bedreiging die wordt geïdentificeerd door een beveiligingssysteem, zoals webbeveiligingsgateway van een IPS, en is gekoppeld aan deze netwerksessie. | Bedreiging |
| ThreatName | String | EICAR-testbestand | De naam van de bedreiging of malware die is geïdentificeerd | Bedreiging |
| AdditionalFields | Dynamisch (JSON-zak) | { Eigenschap1: "val1", Eigenschap2: "val2" } |
Wanneer er geen respectieve kolom in het schema overeenkomt, kunnen andere velden worden opgeslagen in een JSON-zak. Voor het parseren van query's raden we u aan om extra kolommen te promoten in plaats van een JSON-zak te gebruiken, omdat het inpakken van gegevens in JSON-code de prestaties van query's verslechtert. |
Aangepast veld |
Verschillen tussen versie 0.1 en versie 0.2
De oorspronkelijke versie van het normalisatieschema voor Microsoft Sentinel Network-sessies, versie 0.1, is uitgebracht als preview voordat ASIM beschikbaar was.
Verschillen tussen versie 0.1, beschreven in dit artikel en versie 0.2.x zijn onder andere:
- In versie 0.2 zijn unificerings- en bronspecifieke parsernamen gewijzigd om te voldoen aan een standaard ASIM-naamconventie.
- Versie 0.2 voegt specifieke richtlijnen toe en voegt parsers toe voor specifieke apparaattypen.
In de volgende secties wordt beschreven hoe versie 0.2.x verschilt voor specifieke velden.
Velden toegevoegd in versie 0.2
De volgende velden zijn toegevoegd in versie 0.2.x en bestaan niet in versie 0.1:
- DstAppType
- DstDeviceType
- DstDomainType
- DstDvcId
- DstDvcIdType
- DstOriginalUserType
- DstUserIdType
- DstUsernameType
- DstUserType
- DvcActionOriginal
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcIdType
- EventOriginalSeverity
- EventOriginalType
- SrcAppId
- SrcAppName
- SrcAppType
- SrcDeviceType
- SrcDomainType
- SrcDvcId
- SrcDvcIdType
- SrcOriginalUserType
- SrcUserIdType
- SrcUsernameType
- SrcUserType
- ThreatRiskLevelOriginal
- URL
Nieuw aliasvelden in versie 0.2
De volgende velden zijn nu alias in versie 0.2.x met de introductie van ASIM:
| Veld in versie 0.1 | Alias in versie 0.2 |
|---|---|
| SessionId | NetworkSessionId |
| Duur | NetworkDuration |
| IpAddr | SrcIpAddr |
| User | DstUsername |
| Hostnaam | DstHostname |
| UserAgent | HttpUserAgent |
Gewijzigde velden in versie 0.2
De volgende velden worden opgesomd in versie 0.2.x en vereisen een specifieke waarde uit een opgegeven lijst.
- EventType
- EventResultDetails
- EventSeverity
Hernoemde velden in versie 0.2
De naam van de volgende velden is gewijzigd in versie 0.2.x:
Gebruik in versie 0.2 de ingebouwde Log Analytics-velden:
Houd er rekening mee dat dit
ingestion_time()een KQL-functie is en geen veldnaam.Veld in versie 0.1 De naam is gewijzigd in versie 0.2 EventResourceId _ResourceId EventUid _ItemId EventTimeIngested ingestion_time() De naam is gewijzigd in overeenstemming met verbeteringen in ASIM en OSSEM:
Veld in versie 0.1 De naam is gewijzigd in versie 0.2 HttpReferrerOriginal HttpReferrer HttpUserAgentOriginal HttpUserAgent De naam is gewijzigd om aan te geven dat het doel van de netwerksessie geen cloudservice hoeft te zijn:
Veld in versie 0.1 De naam is gewijzigd in versie 0.2 CloudAppId DstAppId CloudAppName DstAppName CloudAppRiskLevel ThreatRiskLevel Hernoemd om het hoofdlettergebruik te wijzigen en af te stemmen op de ASIM-verwerking van de gebruikersentiteit:
Veld in versie 0.1 De naam is gewijzigd in versie 0.2 DstUserName DstUsername SrcUserName SrcUsername De naam is gewijzigd zodat deze beter overeenkomt met de ASIM-apparaatentiteit en resource-id's toestaat die niet van Azure zijn:
Veld in versie 0.1 De naam is gewijzigd in versie 0.2 DstResourceId SrcDvcAzureResourceId SrcResourceId SrcDvcAzureResourceId De naam van de
Dvctekenreeks is gewijzigd in veldnamen, omdat de verwerking in versie 0.1 inconsistent was:Veld in versie 0.1 De naam is gewijzigd in versie 0.2 DstDvcDomain DstDomain DstDvcFqdn DstFqdn DstDvcHostname DstHostname SrcDvcDomain SrcDomain SrcDvcFqdn SrcFqdn SrcDvcHostname SrcHostname De naam is gewijzigd zodat deze overeenkomt met de richtlijnen voor ASIM-bestandsweergave:
Veld in versie 0.1 De naam is gewijzigd in versie 0.2 FileHashMd5 FileMD5 FileHashSha1 FileSHA1 FileHashSha256 FileSHA256 FileHashSha512 FileSHA512 FileMimeType FileContentType
Verwijderde velden in versie 0.2
De volgende velden bestaan alleen in versie 0.1 en zijn verwijderd in versie 0.2.x:
| Reden | Verwijderde velden |
|---|---|
Verwijderd omdat er duplicaten bestaan, zonder de Dvc tekenreeks in de veldnaam |
- DstDvcIpAddr - DstDvcMacAddr - SrcDvcIpAddr - SrcDvcMacAddr |
| Verwijderd om te worden uitgelijnd met ASIM-verwerking van URL's | - UrlHostname |
| Verwijderd omdat deze velden doorgaans niet worden opgegeven als onderdeel van netwerksessie-gebeurtenissen. Als een gebeurtenis deze velden bevat, gebruikt u het schema voor procesevenementen om te begrijpen hoe u apparaateigenschappen beschrijft. |
- SrcDvcOs - SrcDvcModelName - SrcDvcModelNumber - DvcMacAddr - DvcOs |
| Verwijderd om te worden uitgelijnd met de richtlijnen voor ASIM-bestandsweergave | - FilePath - FileExtension |
| Verwijderd omdat dit veld aangeeft dat een ander schema moet worden gebruikt, zoals het verificatieschema. | - CloudAppOperation |
Verwijderd terwijl het dupliceren is DstHostname |
- DstDomainHostname |
Volgende stappen
Zie voor meer informatie:
- Normalisatie in Microsoft Sentinel
- Normalisatieschemaverwijzing voor Microsoft Sentinel-verificatie (openbare preview)
- Normalisatieschemaverwijzing voor Microsoft Sentinel-bestandsevenementen (openbare preview)
- Naslaginformatie over dns-normalisatieschema voor Microsoft Sentinel
- Naslaginformatie over het normalisatieschema voor gebeurtenissen in Microsoft Sentinel-proces
- Schemaverwijzing voor microsoft Sentinel-register gebeurtenisnormalisatie (openbare preview)