Dokumentacja schematu normalizacji sesji sieciowej usługi Advanced Security Information Model (ASIM) (publiczna wersja zapoznawcza)
Schemat normalizacji sesji sieciowej usługi Microsoft Sentinel reprezentuje aktywność sieci IP, taką jak połączenia sieciowe i sesje sieciowe. Takie zdarzenia są zgłaszane, na przykład przez systemy operacyjne, routery, zapory i systemy zapobiegania włamaniom.
Schemat normalizacji sieci może reprezentować dowolny typ sesji sieci IP, ale ma na celu zapewnienie obsługi typowych typów źródłowych, takich jak Netflow, zapory i systemy zapobiegania włamaniom.
Aby uzyskać więcej informacji na temat normalizacji w usłudze Microsoft Sentinel, zobacz Normalizacja i Zaawansowany model informacji o zabezpieczeniach (ASIM).
W tym artykule opisano wersję 0.2.x schematu normalizacji sieci. Wersja 0.1 została wydana przed udostępnieniem karty ASIM i nie jest zgodna z kartą ASIM w kilku miejscach. Aby uzyskać więcej informacji, zobacz Różnice między wersjami schematu normalizacji sieci.
Ważne
Schemat normalizacji sieci jest obecnie w wersji zapoznawczej. Ta funkcja jest udostępniana bez umowy dotyczącej poziomu usług. Nie zalecamy obsługi obciążeń produkcyjnych.
Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Parsery
Aby uzyskać więcej informacji na temat analizatorów ASIM, zobacz omówienie analizatorów ASIM.
Ujednolicanie analizatorów
Aby użyć analizatorów, które ujednolicają wszystkie analizatory out-of-the-box ASIM i upewnij się, że analiza jest uruchamiana we wszystkich skonfigurowanych źródłach, użyj _Im_NetworkSession analizatora filtrowania lub _ASim_NetworkSession analizatora bez parametrów.
Można również użyć narzędzi do wdrażania ImNetworkSession i ASimNetworkSession analizowania obszarów roboczych, wdrażając je z repozytorium GitHub usługi Microsoft Sentinel.
Aby uzyskać więcej informacji, zobacz wbudowane analizatory ASIM i analizatory wdrożone w obszarze roboczym.
Gotowe do użycia analizatory specyficzne dla źródła
Aby uzyskać listę analizatorów sesji sieciowych, usługa Microsoft Sentinel udostępnia gotowe do użycia, zapoznaj się z listą analizatorów ASIM
Dodawanie własnych znormalizowanych analizatorów
Podczas tworzenia niestandardowych analizatorów dla modelu informacji o sesji sieciowej nazwij funkcje KQL przy użyciu następującej składni:
vimNetworkSession<vendor><Product>dla analizatorów sparametryzowanychASimNetworkSession<vendor><Product>dla zwykłych analizatorów
Zapoznaj się z artykułem Zarządzanie analizatorami ASIM, aby dowiedzieć się, jak dodać analizatory niestandardowe do sesji sieciowej jednoczące analizatory.
Parametry analizatora filtrowania
Analizatory sesji sieciowych obsługują parametry filtrowania. Chociaż te parametry są opcjonalne, mogą zwiększyć wydajność zapytań.
Dostępne są następujące parametry filtrowania:
| Nazwisko | Pisz | Opis |
|---|---|---|
| godzina rozpoczęcia | datetime | Filtruj tylko sesje sieciowe, które rozpoczęły się o tej godzinie lub po tej godzinie. |
| godzina zakończenia | datetime | Filtruj tylko sesje sieciowe, które zaczęły działać o lub wcześniej. |
| srcipaddr_has_any_prefix | dynamiczna | Filtruj tylko sesje sieciowe, dla których prefiks pola źródłowego adresu IP znajduje się w jednej z wymienionych wartości. Prefiksy powinny kończyć się elementem ., na przykład : 10.0.. Długość listy jest ograniczona do 10 000 elementów. |
| dstipaddr_has_any_prefix | dynamiczna | Filtruj tylko sesje sieciowe, dla których prefiks pola docelowego adresu IP znajduje się w jednej z wymienionych wartości. Prefiksy powinny kończyć się elementem ., na przykład : 10.0.. Długość listy jest ograniczona do 10 000 elementów. |
| ipaddr_has_any_prefix | dynamiczna | Filtruj tylko sesje sieciowe, dla których pole docelowego adresu IP lub źródłowy prefiks pola adresu IP znajduje się w jednej z wymienionych wartości. Prefiksy powinny kończyć się elementem ., na przykład : 10.0.. Długość listy jest ograniczona do 10 000 elementów.Pole ASimMatchingIpAddr jest ustawione przy użyciu jednej z wartości SrcIpAddr, DstIpAddrlub Both odzwierciedla pasujących pól lub pól. |
| dstportnumber | Int | Filtruj tylko sesje sieciowe przy użyciu określonego numeru portu docelowego. |
| hostname_has_any | dynamic/string | Filtruj tylko sesje sieciowe, dla których pole nazwy hosta docelowego ma dowolną z wymienionych wartości. Długość listy jest ograniczona do 10 000 elementów. Pole ASimMatchingHostname jest ustawione przy użyciu jednej z wartości SrcHostname, DstHostnamelub Both odzwierciedla pasujących pól lub pól. |
| dvcaction | dynamic/string | Filtruj tylko sesje sieciowe, dla których pole Akcja urządzenia jest dowolną z wymienionych wartości. |
| eventresult | String | Filtruj tylko sesje sieciowe z określoną wartością EventResult . |
Niektóre parametry mogą akceptować zarówno listę wartości typu dynamic , jak i pojedynczego ciągu. Aby przekazać listę literałów do parametrów, które oczekują wartości dynamicznej, jawnie użyj literału dynamicznego. Na przykład: dynamic(['192.168.','10.']).
Aby na przykład filtrować tylko sesje sieciowe dla określonej listy nazw domen, użyj:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
Napiwek
Aby przekazać listę literałów do parametrów, które oczekują wartości dynamicznej, jawnie użyj literału dynamicznego. Na przykład: dynamic(['192.168.','10.']).
Znormalizowana zawartość
Aby uzyskać pełną listę reguł analizy korzystających z znormalizowanych zdarzeń DNS, zobacz Zawartość zabezpieczeń sesji sieciowej.
Przegląd schematu
Model informacji o sesji sieciowej jest zgodny ze schematem jednostki sieciowej OSSEM Network.
Schemat sesji sieciowej obsługuje kilka typów podobnych, ale odrębnych scenariuszy, które współużytkują te same pola. Te scenariusze są identyfikowane przez pole EventType:
NetworkSession— sesja sieci zgłoszona przez pośrednie urządzenie monitorujące sieć, taką jak zapora, router lub naciśnięcie sieci.L2NetworkSession— sesje sieciowe, dla których są dostępne tylko informacje o warstwie 2. Takie zdarzenia będą zawierać adresy MAC, ale nie adresy IP.Flow— zagregowane zdarzenie, które zgłasza wiele podobnych sesji sieciowych, zwykle w wstępnie zdefiniowanym okresie, takim jak zdarzenia Netflow .EndpointNetworkSession— sesja sieci zgłoszona przez jeden z punktów końcowych sesji, w tym klientów i serwerów. W przypadku takich zdarzeń schemat obsługuje pola aliasuremotei .localIDS— sesja sieci zgłoszona jako podejrzana. Takie zdarzenie będzie miało wypełnione niektóre pola inspekcji i może zawierać tylko jedno pole adresu IP, czyli źródło lub miejsce docelowe.
Zazwyczaj zapytanie powinno wybrać tylko podzbiór tych typów zdarzeń i może wymagać oddzielnego, unikatowego aspektu przypadków użycia. Na przykład zdarzenia IDS nie odzwierciedlają całego woluminu sieciowego i nie powinny być uwzględniane w analizie opartej na kolumnach.
Zdarzenia sesji sieciowej używają deskryptorów Src i Dst określają role urządzeń i powiązanych użytkowników i aplikacji zaangażowanych w sesję. Na przykład źródłowa nazwa hosta urządzenia i adres IP mają nazwy SrcHostname i SrcIpAddr. Inne schematy ASIM zwykle używają Target zamiast Dst.
W przypadku zdarzeń zgłaszanych przez punkt końcowy i dla których typ zdarzenia to EndpointNetworkSession, deskryptorzy Local i Remote oznaczają sam punkt końcowy oraz urządzenie na drugim końcu sesji sieciowej.
Deskryptor Dvc jest używany dla urządzenia raportowania, czyli systemu lokalnego dla sesji zgłoszonych przez punkt końcowy, oraz pośredniczącego urządzenia lub naciśnięcia sieciowego dla innych zdarzeń sesji sieciowej.
Szczegóły schematu
Typowe pola karty ASIM
Ważne
Pola wspólne dla wszystkich schematów zostały szczegółowo opisane w artykule ASIM Common Fields (Wspólne pola karty ASIM).
Typowe pola z określonymi wytycznymi
Na poniższej liście wymieniono pola, które mają określone wytyczne dotyczące zdarzeń sesji sieciowej:
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| EventCount | Obowiązkowy | Integer | Źródła netflow obsługują agregację, a pole EventCount powinno być ustawione na wartość pola Netflow FLOWS . W przypadku innych źródeł wartość jest zwykle ustawiona na 1wartość . |
| EventType | Obowiązkowy | Enumerated | Opisuje scenariusz zgłoszony przez rekord. W przypadku rekordów sesji sieciowej dozwolone wartości to: - EndpointNetworkSession- NetworkSession - L2NetworkSession- IDS - FlowAby uzyskać więcej informacji na temat typów zdarzeń, zapoznaj się z omówieniem schematu |
| EventSubType | Opcjonalnie | String | Dodatkowy opis typu zdarzenia, jeśli ma to zastosowanie. W przypadku rekordów sesji sieci obsługiwane są następujące wartości: - Start- EndTo pole nie jest istotne dla Flow zdarzeń. |
| EventResult | Obowiązkowy | Enumerated | Jeśli urządzenie źródłowe nie podaje wyniku zdarzenia, wartość EventResult powinna być oparta na wartości DvcAction. Jeśli dvcAction to Deny, , Drop ICMPDrop, Reset, lub Reset SourceReset Destination, wartość EventResult powinna mieć wartość Failure. W przeciwnym razie wartość EventResult powinna mieć wartość Success. |
| EventResultDetails | Zalecane | Enumerated | Przyczyna lub szczegóły wyniku zgłoszonego w polu EventResult . Obsługiwane wartości to: — Tryb failover — Nieprawidłowy protokół TCP - Nieprawidłowy tunel - Maksymalna liczba ponownych prób -Resetować — Problem z routingiem -Symulacja -Zakończone -Limit czasu - Błąd przejściowy -Nieznany -NIE. Oryginalna, specyficzna dla źródła wartość jest przechowywana w polu EventOriginalResultDetails . |
| EventSchema | Obowiązkowy | String | Nazwa schematu udokumentowanego tutaj to NetworkSession. |
| EventSchemaVersion | Obowiązkowy | String | Wersja schematu. Wersja schematu udokumentowanego tutaj to 0.2.6. |
| DvcAction | Zalecane | Enumerated | Akcja podjęta w sesji sieciowej. Obsługiwane wartości to: - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNrouteUwaga: Wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Oryginalna wartość powinna być przechowywana w polu DvcOriginalAction . Przykład: drop |
| EventSeverity | Opcjonalnie | Enumerated | Jeśli urządzenie źródłowe nie zapewnia ważności zdarzenia, wartość EventSeverity powinna być oparta na wartości DvcAction. Jeśli dvcAction to Deny, , Drop ICMPDrop, Reset, lub Reset SourceReset Destination, wartość EventSeverity powinna mieć wartość Low. W przeciwnym razie wartość EventSeverity powinna mieć wartość Informational. |
| DvcInterface | Pole DvcInterface powinno aliasować pola DvcInboundInterface lub DvcOutboundInterface . | ||
| Pola dvc | W przypadku zdarzeń sesji sieciowej pola urządzenia odnoszą się do systemu raportowania zdarzenia sesji sieciowej. |
Wszystkie typowe pola
Pola wyświetlane w poniższej tabeli są wspólne dla wszystkich schematów ASIM. Wszelkie wytyczne określone powyżej zastępują ogólne wytyczne dotyczące pola. Na przykład pole może być ogólnie opcjonalne, ale obowiązkowe dla określonego schematu. Aby uzyskać więcej informacji na temat każdego pola, zapoznaj się z artykułem ASIM Common Fields (Wspólne pola karty ASIM).
| Klasa | Pola |
|---|---|
| Obowiązkowy | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Zalecane | - EventResultDetails - EventSeverity - Identyfikator zdarzenia - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcjonalnie | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Właściciel zdarzenia - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Dodatkowe pola - DvcDescription - DvcScopeId - DvcScope |
Pola sesji sieciowej
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| NetworkApplicationProtocol | Opcjonalnie | String | Protokół warstwy aplikacji używany przez połączenie lub sesję. Wartość powinna znajdować się we wszystkich wielkich literach. Przykład: FTP |
| NetworkProtocol | Opcjonalnie | Enumerated | Protokół IP używany przez połączenie lub sesję wymieniony w przypisaniu protokołu IANA, który jest zazwyczaj TCP, UDPlub ICMP.Przykład: TCP |
| NetworkProtocolVersion | Opcjonalnie | Enumerated | Wersja networkProtocol. W przypadku używania go do rozróżniania wersji adresu IP użyj wartości IPv4 i IPv6. |
| NetworkDirection | Opcjonalnie | Enumerated | Kierunek połączenia lub sesji: — Dla parametru EventType NetworkSessionlub L2NetworkSessionFlow , NetworkDirection reprezentuje kierunek względem granicy środowiska organizacji lub chmury. Obsługiwane wartości to Inbound, OutboundLocal , (w organizacji), External (do organizacji) lub NA (Nie dotyczy).— W przypadku elementu EventType EndpointNetworkSessionelement NetworkDirection reprezentuje kierunek względem punktu końcowego. Obsługiwane wartości to Inbound, Outbound, Local (do systemu) Listen lub NA (Nie dotyczy). Wartość Listen wskazuje, że urządzenie zaczęło akceptować połączenia sieciowe, ale niekoniecznie jest połączone. |
| NetworkDuration | Opcjonalnie | Integer | Czas( w milisekundach) na zakończenie sesji sieciowej lub połączenia. Przykład: 1500 |
| Czas trwania | Alias | Alias do networkDuration. | |
| NetworkIcmpType | Opcjonalnie | String | W przypadku komunikatu ICMP nazwa typu ICMP skojarzona z wartością liczbową, zgodnie z opisem w specyfikacji RFC 2780 dla połączeń sieciowych IPv4 lub W specyfikacji RFC 4443 dla połączeń sieciowych IPv6. Przykład: Destination Unreachable dla networkIcmpCode 3 |
| NetworkIcmpCode | Opcjonalnie | Integer | W przypadku komunikatu ICMP numer kodu ICMP zgodnie z opisem w specyfikacji RFC 2780 dla połączeń sieciowych IPv4 lub W specyfikacji RFC 4443 dla połączeń sieciowych IPv6. |
| NetworkConnectionHistory | Opcjonalnie | String | Flagi TCP i inne potencjalne informacje nagłówka IP. |
| Bajty DstBytes | Zalecane | Długi | Liczba bajtów wysłanych z miejsca docelowego do źródła dla połączenia lub sesji. Jeśli zdarzenie jest agregowane, DstBytes powinny być sumą wszystkich zagregowanych sesji. Przykład: 32455 |
| SrcBytes | Zalecane | Długi | Liczba bajtów wysłanych ze źródła do miejsca docelowego dla połączenia lub sesji. Jeśli zdarzenie jest agregowane, SrcBytes powinny być sumą wszystkich zagregowanych sesji. Przykład: 46536 |
| Liczba bajtów sieci | Opcjonalnie | Długi | Liczba bajtów wysłanych w obu kierunkach. Jeśli istnieją oba bajtyReceived i BytesSent, BajtyTotal powinny być równe ich suma. Jeśli zdarzenie jest agregowane, wartości NetworkBytes powinny być sumą wszystkich zagregowanych sesji. Przykład: 78991 |
| Zestawy DstPackets | Opcjonalnie | Długi | Liczba pakietów wysyłanych z miejsca docelowego do źródła połączenia lub sesji. Znaczenie pakietu jest definiowane przez urządzenie raportowania. Jeśli zdarzenie jest agregowane, zestawy DstPackets powinny być sumą wszystkich zagregowanych sesji. Przykład: 446 |
| Zestawy SrcPackets | Opcjonalnie | Długi | Liczba pakietów wysłanych ze źródła do miejsca docelowego dla połączenia lub sesji. Znaczenie pakietu jest definiowane przez urządzenie raportowania. Jeśli zdarzenie jest agregowane, zestawy SrcPackets powinny być sumą wszystkich zagregowanych sesji. Przykład: 6478 |
| NetworkPackets | Opcjonalnie | Długi | Liczba pakietów wysłanych w obu kierunkach. Jeśli istnieją zarówno pakietyReceived , jak i PacketsSent , wartość BytesTotal powinna być równa ich sumie. Znaczenie pakietu jest definiowane przez urządzenie raportowania. Jeśli zdarzenie jest agregowane, zestawy NetworkPackets powinny być sumą wszystkich zagregowanych sesji. Przykład: 6924 |
| NetworkSessionId | Opcjonalnie | string | Identyfikator sesji zgłoszony przez urządzenie raportowania. Przykład: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| Identyfikator sesji | Alias | String | Alias do networkSessionId. |
| TcpFlagsAck | Opcjonalnie | Wartość logiczna | Zgłoszono flagę TCP ACK. Flaga potwierdzenia służy do potwierdzenia pomyślnego otrzymania pakietu. Jak widać na powyższym diagramie, odbiornik wysyła ACK i SYN w drugim kroku trzykierunkowego procesu uzgadniania, aby poinformować nadawcę, że otrzymał swój początkowy pakiet. |
| TcpFlagsFin | Opcjonalnie | Wartość logiczna | Zgłoszono flagę TCP FIN. Ukończona flaga oznacza, że nie ma więcej danych od nadawcy. W związku z tym jest on używany w ostatnim pakiecie wysyłanym z nadawcy. |
| TcpFlagsSyn | Opcjonalnie | Wartość logiczna | Zgłoszono flagę TCP SYN. Flaga synchronizacji jest używana jako pierwszy krok podczas ustanawiania trzykierunkowego uzgadniania między dwoma hostami. Ten flaga powinna zawierać tylko pierwszy pakiet zarówno od nadawcy, jak i odbiorcy. |
| TcpFlagsUrg | Opcjonalnie | Wartość logiczna | Zgłoszono flagę TCP URG. Flaga pilna służy do powiadamiania odbiorcy o przetwarzaniu pilnych pakietów przed przetworzeniem wszystkich innych pakietów. Odbiorca zostanie powiadomiony o odebraniu wszystkich znanych pilnych danych. Aby uzyskać więcej informacji, zobacz RFC 6093 . |
| TcpFlagsPsh | Opcjonalnie | Wartość logiczna | Zgłoszona flaga TCP PSH. Flaga wypychania jest podobna do flagi URG i nakazuje odbiornikowi przetworzenie tych pakietów, ponieważ są one odbierane zamiast buforowania. |
| TcpFlagsRst | Opcjonalnie | Wartość logiczna | Zgłoszono flagę RST PROTOKOŁU TCP. Flaga resetowania jest wysyłana z odbiornika do nadawcy, gdy pakiet jest wysyłany do określonego hosta, który go nie spodziewał. |
| TcpFlagsEce | Opcjonalnie | Wartość logiczna | Zgłoszona flaga ECE protokołu TCP. Ta flaga jest odpowiedzialna za wskazanie, czy element równorzędny TCP jest w stanie obsługiwać usługę ECN. Aby uzyskać więcej informacji, zobacz RFC 3168 . |
| TcpFlagsCwr | Opcjonalnie | Wartość logiczna | Zgłoszono flagę CWR protokołu TCP. Obniżona flaga okna przeciążenia jest używana przez hosta wysyłającego, aby wskazać, że otrzymał pakiet z ustawionym flagą ECE. Aby uzyskać więcej informacji, zobacz RFC 3168 . |
| TcpFlagsNs | Opcjonalnie | Wartość logiczna | Zgłoszono flagę TCP NS. Flaga sumy niezwiązanej jest nadal flagą eksperymentalną używaną do ochrony przed przypadkowym złośliwym ukrywaniem pakietów od nadawcy. Aby uzyskać więcej informacji, zobacz RFC 3540 |
Pola systemu docelowego
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Czasu letniego | Zalecane | Alias | Unikatowy identyfikator serwera odbierającego żądanie DNS. To pole może aliasuć pola DstDvcId, DstHostname lub DstIpAddr . Przykład: 192.168.12.1 |
| DstIpAddr | Zalecane | Adres IP | Adres IP miejsca docelowego połączenia lub sesji. Jeśli sesja używa tłumaczenia adresów sieciowych, DstIpAddr jest publicznie widocznym adresem, a nie oryginalnym adresem źródła, który jest przechowywany w DstNatIpAddrPrzykład: 2001:db8::ff00:42:8329Uwaga: ta wartość jest obowiązkowa, jeśli określono nazwę DstHostname . |
| DstPortNumber | Opcjonalnie | Integer | Docelowy port IP. Przykład: 443 |
| Nazwa hosta Dst | Zalecane | Hostname (Nazwa hosta) | Nazwa hosta urządzenia docelowego z wyłączeniem informacji o domenie. Jeśli żadna nazwa urządzenia nie jest dostępna, zapisz odpowiedni adres IP w tym polu. Przykład: DESKTOP-1282V4D |
| DstDomain | Zalecane | String | Domena urządzenia docelowego. Przykład: Contoso |
| DstDomainType | Warunkowe | Enumerated | Typ DstDomain. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DomainType w artykule Omówienie schematu. Wymagane, jeśli jest używana domena DstDomain . |
| Nazwa DstFQDN | Opcjonalnie | String | Nazwa hosta urządzenia docelowego, w tym informacje o domenie, gdy są dostępne. Przykład: Contoso\DESKTOP-1282V4D Uwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa_hosta systemu Windows. Typ DstDomainType odzwierciedla używany format. |
| DstDvcId | Opcjonalnie | String | Identyfikator urządzenia docelowego. Jeśli dostępnych jest wiele identyfikatorów, użyj najważniejszego identyfikatora i zapisz pozostałe w polach DstDvc<DvcIdType>. Przykład: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | Opcjonalnie | String | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. DstDvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| DstDvcScope | Opcjonalnie | String | Zakres platformy w chmurze, do którego należy urządzenie. DstDvcScope mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| DstDvcIdType | Warunkowe | Enumerated | Typ DstDvcId. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DvcIdType w artykule Omówienie schematu. Wymagane, jeśli jest używany identyfikator DstDeviceId . |
| DstDeviceType | Opcjonalnie | Enumerated | Typ urządzenia docelowego. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zapoznaj się z artykułem DeviceType (Typ urządzenia) w artykule Przegląd schematu. |
| Strefa Dst | Opcjonalnie | String | Strefa sieciowa miejsca docelowego zgodnie z definicją urządzenia raportowania. Przykład: Dmz |
| DstInterfaceName | Opcjonalnie | String | Interfejs sieciowy używany na potrzeby połączenia lub sesji przez urządzenie docelowe. Przykład: Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | Opcjonalnie | String | Identyfikator GUID interfejsu sieciowego używanego na urządzeniu docelowym. Przykład: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | Opcjonalnie | String | Adres MAC interfejsu sieciowego używanego do połączenia lub sesji przez urządzenie docelowe. Przykład: 06:10:9f:eb:8f:14 |
| DstVlanId | Opcjonalnie | String | Identyfikator sieci VLAN powiązany z urządzeniem docelowym. Przykład: 130 |
| OuterVlanId | Opcjonalnie | Alias | Alias do identyfikatora DstVlanId. W wielu przypadkach nie można określić sieci VLAN jako źródła lub miejsca docelowego, ale jest scharakteryzowana jako wewnętrzna lub zewnętrzna. Ten alias oznacza, że należy użyć identyfikatora DstVlanId , gdy sieć VLAN jest scharakteryzowana jako zewnętrzna. |
| Identyfikator DstSubscriptionId | Opcjonalnie | String | Identyfikator subskrypcji platformy w chmurze, do którego należy urządzenie docelowe. DstSubscriptionId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| DstGeoCountry | Opcjonalnie | Kraj | Kraj/region skojarzony z docelowym adresem IP. Aby uzyskać więcej informacji, zobacz Typy logiczne. Przykład: USA |
| DstGeoRegion | Opcjonalnie | Region (Region) | Region lub stan skojarzony z docelowym adresem IP. Aby uzyskać więcej informacji, zobacz Typy logiczne. Przykład: Vermont |
| DstGeoCity | Opcjonalnie | City | Miasto skojarzone z docelowym adresem IP. Aby uzyskać więcej informacji, zobacz Typy logiczne. Przykład: Burlington |
| DstGeoLatitude | Opcjonalnie | Szerokość | Szerokość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP. Aby uzyskać więcej informacji, zobacz Typy logiczne. Przykład: 44.475833 |
| DstGeoLongitude | Opcjonalnie | Długość | Długość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP. Aby uzyskać więcej informacji, zobacz Typy logiczne. Przykład: 73.211944 |
Pola użytkownika docelowego
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| DstUserId | Opcjonalnie | String | Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja użytkownika docelowego. Aby uzyskać obsługiwany format dla różnych typów identyfikatorów, zapoznaj się z jednostką Użytkownik. Przykład: S-1-12 |
| DstUserScope | Opcjonalnie | String | Zakres, taki jak dzierżawa microsoft Entra, w którym zdefiniowano identyfikator DstUserId i DstUsername . lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu. |
| DstUserScopeId | Opcjonalnie | String | Identyfikator zakresu, taki jak Microsoft Entra Directory ID, w którym zdefiniowano identyfikator DstUserId i DstUsername . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserScopeId w artykule Omówienie schematu. |
| DstUserIdType | Warunkowe | UserIdType | Typ identyfikatora przechowywanego w polu DstUserId . Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz UserIdType w artykule Przegląd schematu. |
| Nazwa użytkownika Dst | Opcjonalnie | String | Nazwa użytkownika docelowego, w tym informacje o domenie, gdy są dostępne. Aby uzyskać obsługiwany format dla różnych typów identyfikatorów, zapoznaj się z jednostką Użytkownik. Użyj prostego formularza tylko wtedy, gdy informacje o domenie nie są dostępne. Zapisz typ nazwy użytkownika w polu DstUsernameType . Jeśli są dostępne inne formaty nazw użytkowników, zapisz je w polach DstUsername<UsernameType>.Przykład: AlbertE |
| Użytkownik | Alias | Alias do nazwy DstUsername. | |
| DstUsernameType | Warunkowe | Typ nazwy użytkownika | Określa typ nazwy użytkownika przechowywanej w polu DstUsername . Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz UsernameType w artykule Przegląd schematu. Przykład: Windows |
| DstUserType | Opcjonalnie | UserType | Typ użytkownika docelowego. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz UserType w artykule Przegląd schematu. Uwaga: Wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Zapisz oryginalną wartość w polu DstOriginalUserType . |
| DstOriginalUserType | Opcjonalnie | String | Oryginalny typ użytkownika docelowego, jeśli jest podany przez źródło. |
Pola aplikacji docelowej
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| DstAppName | Opcjonalnie | String | Nazwa aplikacji docelowej. Przykład: Facebook |
| Identyfikator DstAppId | Opcjonalnie | String | Identyfikator aplikacji docelowej zgłoszonej przez urządzenie raportowania. Jeśli parametr DstAppType ma Processwartość , DstAppId i DstProcessId powinien mieć tę samą wartość.Przykład: 124 |
| DstAppType | Opcjonalnie | Typ aplikacji | Typ aplikacji docelowej. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zapoznaj się z artykułem AppType w artykule Przegląd schematu. To pole jest obowiązkowe, jeśli są używane identyfikatory DstAppName lub DstAppId . |
| DstProcessName | Opcjonalnie | String | Nazwa pliku procesu, który zakończył sesję sieci. Ta nazwa jest zwykle uważana za nazwę procesu. Przykład: C:\Windows\explorer.exe |
| Proces | Alias | Alias do nazwy DstProcessName Przykład: C:\Windows\System32\rundll32.exe |
|
| Identyfikator DstProcessId | Opcjonalnie | String | Identyfikator procesu (PID) procesu, który zakończył sesję sieci. Przykład: 48610176 Uwaga: typ jest definiowany jako ciąg do obsługi różnych systemów, ale w systemach Windows i Linux ta wartość musi być numeryczna. Jeśli używasz maszyny z systemem Windows lub Linux i używasz innego typu, pamiętaj, aby przekonwertować wartości. Jeśli na przykład użyto wartości szesnastkowej, przekonwertuj ją na wartość dziesiętną. |
| DstProcessGuid | Opcjonalnie | String | Wygenerowany unikatowy identyfikator (GUID) procesu, który zakończył sesję sieciową. Przykład: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Pola systemu źródłowego
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Src | Alias | Unikatowy identyfikator urządzenia źródłowego. To pole może aliasuć pola SrcDvcId, SrcHostname lub SrcIpAddr . Przykład: 192.168.12.1 |
|
| SrcIpAddr | Zalecane | Adres IP | Adres IP, z którego pochodzi połączenie lub sesja. Ta wartość jest obowiązkowa, jeśli określono nazwę SrcHostname . Jeśli sesja używa tłumaczenia adresów sieciowych, SrcIpAddr jest publicznie widocznym adresem, a nie oryginalnym adresem źródła, który jest przechowywany w SrcNatIpAddrPrzykład: 77.138.103.108 |
| SrcPortNumber | Opcjonalnie | Integer | Port IP, z którego pochodzi połączenie. Może nie być istotne dla sesji składającej się z wielu połączeń. Przykład: 2335 |
| SrcHostname | Zalecane | Hostname (Nazwa hosta) | Nazwa hosta urządzenia źródłowego z wyłączeniem informacji o domenie. Jeśli żadna nazwa urządzenia nie jest dostępna, zapisz odpowiedni adres IP w tym polu. Przykład: DESKTOP-1282V4D |
| SrcDomain | Zalecane | String | Domena urządzenia źródłowego. Przykład: Contoso |
| SrcDomainType | Warunkowe | Typ domeny | Typ SrcDomain. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DomainType w artykule Omówienie schematu. Wymagane, jeśli jest używany SrcDomain . |
| SrcFQDN | Opcjonalnie | String | Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, gdy są dostępne. Uwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa_hosta systemu Windows. Pole SrcDomainType odzwierciedla używany format. Przykład: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Opcjonalnie | String | Identyfikator urządzenia źródłowego. Jeśli dostępnych jest wiele identyfikatorów, użyj najważniejszego identyfikatora i zapisz pozostałe w polach SrcDvc<DvcIdType>.Przykład: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcjonalnie | String | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. SrcDvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| SrcDvcScope | Opcjonalnie | String | Zakres platformy w chmurze, do którego należy urządzenie. SrcDvcScope mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| SrcDvcIdType | Warunkowe | DvcIdType | Typ SrcDvcId. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DvcIdType w artykule Omówienie schematu. Uwaga: to pole jest wymagane, jeśli jest używany identyfikator SrcDvcId . |
| SrcDeviceType | Opcjonalnie | Typ urządzenia | Typ urządzenia źródłowego. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zapoznaj się z artykułem DeviceType (Typ urządzenia) w artykule Przegląd schematu. |
| SrcZone | Opcjonalnie | String | Strefa sieciowa źródła zgodnie z definicją urządzenia raportowania. Przykład: Internet |
| SrcInterfaceName | Opcjonalnie | String | Interfejs sieciowy używany na potrzeby połączenia lub sesji przez urządzenie źródłowe. Przykład: eth01 |
| SrcInterfaceGuid | Opcjonalnie | String | Identyfikator GUID interfejsu sieciowego używanego na urządzeniu źródłowym. Przykład: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | Opcjonalnie | String | Adres MAC interfejsu sieciowego, z którego pochodzi połączenie lub sesja. Przykład: 06:10:9f:eb:8f:14 |
| SrcVlanId | Opcjonalnie | String | Identyfikator sieci VLAN powiązany z urządzeniem źródłowym. Przykład: 130 |
| InnerVlanId | Opcjonalnie | Alias | Alias do SrcVlanId. W wielu przypadkach nie można określić sieci VLAN jako źródła lub miejsca docelowego, ale jest scharakteryzowana jako wewnętrzna lub zewnętrzna. Ten alias oznacza, że SrcVlanId powinien być używany, gdy sieć VLAN jest scharakteryzowana jako wewnętrzna. |
| SrcSubscriptionId | Opcjonalnie | String | Identyfikator subskrypcji platformy w chmurze, do którego należy urządzenie źródłowe. SrcSubscriptionId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| SrcGeoCountry | Opcjonalnie | Kraj | Kraj/region skojarzony ze źródłowym adresem IP. Przykład: USA |
| SrcGeoRegion | Opcjonalnie | Region (Region) | Region skojarzony ze źródłowym adresem IP. Przykład: Vermont |
| SrcGeoCity | Opcjonalnie | City | Miasto skojarzone ze źródłowym adresem IP. Przykład: Burlington |
| SrcGeoLatitude | Opcjonalnie | Szerokość | Szerokość geograficzna współrzędnych geograficznych skojarzonych z źródłowym adresem IP. Przykład: 44.475833 |
| SrcGeoLongitude | Opcjonalnie | Długość | Długość geograficzna współrzędnej geograficznej skojarzonej z źródłowym adresem IP. Przykład: 73.211944 |
Pola użytkownika źródłowego
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| SrcUserId | Opcjonalnie | String | Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja użytkownika źródłowego. Aby uzyskać obsługiwany format dla różnych typów identyfikatorów, zapoznaj się z jednostką Użytkownik. Przykład: S-1-12 |
| SrcUserScope | Opcjonalnie | String | Zakres, taki jak dzierżawa firmy Microsoft Entra, w którym zdefiniowano identyfikator SrcUserId i SrcUsername . lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu. |
| SrcUserScopeId | Opcjonalnie | String | Identyfikator zakresu, taki jak Microsoft Entra Directory ID, w którym zdefiniowano identyfikator SrcUserId i SrcUsername . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserScopeId w artykule Omówienie schematu. |
| SrcUserIdType | Warunkowe | UserIdType | Typ identyfikatora przechowywanego w polu SrcUserId . Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz UserIdType w artykule Przegląd schematu. |
| SrcUsername | Opcjonalnie | String | Źródłowa nazwa użytkownika, w tym informacje o domenie, gdy są dostępne. Aby uzyskać obsługiwany format dla różnych typów identyfikatorów, zapoznaj się z jednostką Użytkownik. Użyj prostego formularza tylko wtedy, gdy informacje o domenie nie są dostępne. Zapisz typ nazwy użytkownika w polu SrcUsernameType . Jeśli są dostępne inne formaty nazw użytkowników, zapisz je w polach SrcUsername<UsernameType>.Przykład: AlbertE |
| SrcUsernameType | Warunkowe | Typ nazwy użytkownika | Określa typ nazwy użytkownika przechowywanej w polu SrcUsername . Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz UsernameType w artykule Przegląd schematu. Przykład: Windows |
| SrcUserType | Opcjonalnie | UserType | Typ użytkownika źródłowego. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz UserType w artykule Przegląd schematu. Uwaga: Wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Zapisz oryginalną wartość w polu SrcOriginalUserType . |
| SrcOriginalUserType | Opcjonalnie | String | Oryginalny typ użytkownika docelowego, jeśli jest udostępniany przez urządzenie raportowania. |
Pola aplikacji źródłowej
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| SrcAppName | Opcjonalnie | String | Nazwa aplikacji źródłowej. Przykład: filezilla.exe |
| SrcAppId | Opcjonalnie | String | Identyfikator aplikacji źródłowej zgłoszony przez urządzenie raportowania. Jeśli parametr SrcAppType ma Processwartość , SrcAppId i SrcProcessId powinien mieć tę samą wartość.Przykład: 124 |
| SrcAppType | Opcjonalnie | Typ aplikacji | Typ aplikacji źródłowej. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zapoznaj się z artykułem AppType w artykule Przegląd schematu. To pole jest obowiązkowe, jeśli są używane identyfikatory SrcAppName lub SrcAppId . |
| SrcProcessName | Opcjonalnie | String | Nazwa pliku procesu, który zainicjował sesję sieci. Ta nazwa jest zwykle uważana za nazwę procesu. Przykład: C:\Windows\explorer.exe |
| SrcProcessId | Opcjonalnie | String | Identyfikator procesu (PID) procesu, który zainicjował sesję sieci. Przykład: 48610176 Uwaga: typ jest definiowany jako ciąg do obsługi różnych systemów, ale w systemach Windows i Linux ta wartość musi być numeryczna. Jeśli używasz maszyny z systemem Windows lub Linux i używasz innego typu, pamiętaj, aby przekonwertować wartości. Jeśli na przykład użyto wartości szesnastkowej, przekonwertuj ją na wartość dziesiętną. |
| SrcProcessGuid | Opcjonalnie | String | Wygenerowany unikatowy identyfikator (GUID) procesu, który zainicjował sesję sieciową. Przykład: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Aliasy lokalne i zdalne
Wszystkie pola źródłowe i docelowe wymienione powyżej można opcjonalnie aliasować według pól o tej samej nazwie oraz deskryptorach Local i Remote. Jest to zwykle przydatne w przypadku zdarzeń zgłaszanych przez punkt końcowy i dla których typ zdarzenia to EndpointNetworkSession.
W przypadku takich zdarzeń deskryptorzy Local i Remote oznaczają sam punkt końcowy i urządzenie na drugim końcu sesji sieciowej. W przypadku połączeń przychodzących system lokalny jest miejscem docelowym, Local pola są aliasami Dst w polach, a pola "Remote" to aliasy do Src pól. Z drugiej strony, w przypadku połączeń wychodzących system lokalny jest źródłem, Local pola są aliasami Src do pól, a Remote pola są aliasami do Dst pól.
Na przykład w przypadku zdarzenia przychodzącego pole LocalIpAddr jest aliasem, DstIpAddr a pole RemoteIpAddr jest aliasem .SrcIpAddr
Nazwa hosta i aliasy adresów IP
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Nazwa hosta | Alias | - Jeśli typ zdarzenia to NetworkSession, Flow lub L2NetworkSession, Nazwa hosta jest aliasem DstHostname.- Jeśli typ zdarzenia to EndpointNetworkSession, nazwa hosta jest aliasem , RemoteHostnamektóry może aliasem DstHostname lub SrcHostName, w zależności od NetworkDirection |
|
| IpAddr | Alias | - Jeśli typ zdarzenia to NetworkSession, Flow lub L2NetworkSession, IpAddr jest aliasem SrcIpAddr.- Jeśli typ zdarzenia to EndpointNetworkSession, IpAddr jest aliasem , LocalIpAddrktóry może aliasem SrcIpAddr lub DstIpAddr, w zależności od NetworkDirection. |
Pola pośredniczącego urządzenia i translatora adresów sieciowych (NAT)
Poniższe pola są przydatne, jeśli rekord zawiera informacje o urządzeniu pośredniczącym, takim jak zapora lub serwer proxy, który przekazuje sesję sieciową.
Systemy pośredniczące często używają tłumaczenia adresów, dlatego oryginalny adres i adres obserwowany zewnętrznie nie są takie same. W takich przypadkach pola adresu podstawowego, takie jak SrcIPAddr i DstIpAddr , reprezentują adresy obserwowane zewnętrznie, podczas gdy pola adresów sieciowych, SrcNatIpAddr i DstNatIpAddr reprezentują wewnętrzny adres oryginalnego urządzenia przed tłumaczeniem.
Pola inspekcji
Następujące pola służą do reprezentowania inspekcji urządzenia zabezpieczeń, takiego jak zapora, adres IPS lub brama zabezpieczeń sieci Web:
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| NetworkRuleName | Opcjonalnie | String | Nazwa lub identyfikator reguły, za pomocą której podjęto decyzję DvcAction . Przykład: AnyAnyDrop |
| NetworkRuleNumber | Opcjonalnie | Integer | Liczba reguł, za pomocą których podjęto decyzję DvcAction . Przykład: 23 |
| Reguła | Alias | String | Wartość NetworkRuleName lub wartość NetworkRuleNumber. Jeśli jest używana wartość NetworkRuleNumber , typ powinien zostać przekonwertowany na ciąg. |
| ThreatId | Opcjonalnie | String | Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w sesji sieciowej. Przykład: Tr.124 |
| ThreatName | Opcjonalnie | String | Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w sesji sieciowej. Przykład: EICAR Test File |
| ThreatCategory | Opcjonalnie | String | Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w sesji sieciowej. Przykład: Trojan |
| ThreatRiskLevel | Opcjonalnie | Integer | Poziom ryzyka skojarzony z sesją. Poziom powinien być liczbą z zakresu od 0 do 100. Uwaga: wartość może być podana w rekordzie źródłowym przy użyciu innej skali, która powinna być znormalizowana do tej skali. Oryginalna wartość powinna być przechowywana w usłudze ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcjonalnie | String | Poziom ryzyka zgłoszony przez urządzenie raportowania. |
| ThreatIpAddr | Opcjonalnie | Adres IP | Adres IP, dla którego zidentyfikowano zagrożenie. Pole ThreatField zawiera nazwę pola ThreatIpAddr reprezentuje. |
| ThreatField | Warunkowe | Enumerated | Pole, dla którego zidentyfikowano zagrożenie. Wartość to SrcIpAddr lub DstIpAddr. |
| ThreatConfidence | Opcjonalnie | Integer | Zidentyfikowany poziom ufności zagrożenia znormalizowany do wartości z zakresu od 0 do 100. |
| ThreatOriginalConfidence | Opcjonalnie | String | Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgodnie z raportem urządzenia raportowania. |
| ThreatIsActive | Opcjonalnie | Wartość logiczna | Prawda, jeśli zidentyfikowane zagrożenie jest uznawane za aktywne zagrożenie. |
| ThreatFirstReportedTime | Opcjonalnie | datetime | Po raz pierwszy adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
| ThreatLastReportedTime | Opcjonalnie | datetime | Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
Inne pola
Jeśli zdarzenie jest zgłaszane przez jeden z punktów końcowych sesji sieciowej, może zawierać informacje o procesie, który zainicjował lub zakończył sesję. W takich przypadkach schemat zdarzenia procesu ASIM służy do normalizacji tych informacji.
Aktualizacje schematu
Poniżej przedstawiono zmiany w wersji 0.2.1 schematu:
- Dodano
Srcaliasy iDstjako aliasy do wiodącego identyfikatora dla systemów źródłowych i docelowych. - Dodano pola
NetworkConnectionHistory, ,SrcVlanId,DstVlanIdInnerVlanId, iOuterVlanId.
Poniżej przedstawiono zmiany w wersji 0.2.2 schematu:
- Dodano
Remotealiasy i .Local - Dodano typ
EndpointNetworkSessionzdarzenia . - Zdefiniowane
Hostnamei jako aliasy dlaRemoteHostnameiLocalIpAddrIpAddrodpowiednio, gdy typ zdarzenia toEndpointNetworkSession. - Zdefiniowano
DvcInterfacejako alias naDvcInboundInterfacelubDvcOutboundInterface. - Zmieniono typ następujących pól z Liczba całkowita na Long:
SrcBytes, ,DstBytes,NetworkBytesSrcPackets, ,DstPacketsiNetworkPackets. - Dodano pola
NetworkProtocolVersion,SrcSubscriptionIdiDstSubscriptionId. - Przestarzałe
DstUserDomainiSrcUserDomain.
Poniżej przedstawiono zmiany w wersji 0.2.3 schematu:
- Dodano parametr filtrowania
ipaddr_has_any_prefix. - Parametr filtrowania
hostname_has_anyjest teraz zgodny z nazwami hostów źródłowych lub docelowych. - Dodano pola
ASimMatchingHostnameiASimMatchingIpAddr.
Poniżej przedstawiono zmiany w wersji 0.2.4 schematu:
TcpFlagsDodano pola.- Zaktualizowano
NetworkIcpmTypewartości iNetworkIcmpCodeodzwierciedlające wartość liczb dla obu tych elementów. - Dodano dodatkowe pola inspekcji.
- Nazwa pola "ThreatRiskLevelOriginal" została zmieniona na tak, aby
ThreatOriginalRiskLevelbyła zgodna z konwencjami ASIM. Istniejące analizatory firmy Microsoft będą utrzymywaneThreatRiskLevelOriginaldo 1 maja 2023 r. - Oznaczone
EventResultDetailsjako zalecane i określone dozwolone wartości.
Poniżej przedstawiono zmiany w wersji 0.2.5 schematu:
- Dodano pola
DstUserScope, , ,SrcDvcScopeIdDstDvcScopeIdSrcDvcScopeDstDvcScopeSrcUserScope,DvcScopeIdi .DvcScope
Poniżej przedstawiono zmiany w wersji 0.2.6 schematu:
- Dodano identyfikatory jako typ zdarzenia
Następne kroki
Aby uzyskać więcej informacji, zobacz:
- Obejrzyj seminarium internetowe ASIM lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Zawartość usługi Advanced Security Information Model (ASIM)