Schemat normalizacji sieci usługi Microsoft Sentinel (starsza wersja — publiczna wersja zapoznawcza)
Schemat normalizacji sieci służy do opisywania zgłoszonych zdarzeń sieciowych i jest używany przez usługę Microsoft Sentinel w celu umożliwienia ujednolicenia analiz.
Aby uzyskać więcej informacji, zobacz Normalizacja i Model zaawansowanych informacji o zabezpieczeniach (ASIM) .
Ważne
Ten artykuł dotyczy wersji 0.1 schematu normalizacji sieci, który został wydany jako wersja zapoznawcza przed udostępnieniem karty ASIM. Wersja 0.2.x schematu normalizacji sieci jest zgodna z kartą ASIM i zapewnia inne ulepszenia.
Aby uzyskać więcej informacji, zobacz Różnice między wersjami schematu normalizacji sieci
Terminologia
Poniższa terminologia jest używana w schematach usługi Microsoft Sentinel:
| Termin | Definicja |
|---|---|
| Urządzenie raportowania | System wysyła rekordy do usługi Microsoft Sentinel. Może to nie być system podmiotu rekordu. |
| Nagraj | Jednostka danych wysyłanych z urządzenia raportowania. Ta jednostka danych jest często określana jako log, eventlub alert, ale może również mieć inne typy. |
Typy i formaty danych
Poniższa tabela zawiera wskazówki dotyczące normalizacji wartości danych, które są wymagane dla znormalizowanych pól i zalecane dla innych pól.
| Typ danych | Typ fizyczny | Formatowanie i wartość |
|---|---|---|
| Data/godzina | Jedną z następujących czynności, w zależności od używanej możliwości metody pozyskiwania, w priorytetyzowaniu malejącym:
|
Reprezentacja daty/godziny usługi Log Analytics. Reprezentacja daty i godziny w usłudze Log Analytics jest podobna, ale różni się od reprezentacji czasu systemu Unix. Zapoznaj się z tymi wytycznymi dotyczącymi konwersji. Data i godzina muszą być dostosowane dla stref czasowych. |
| Adres MAC | String | Notacja dwukropkowa szesnastkowa |
| IP Address | Adres IP | Schemat nie ma oddzielnych adresów IPv4 i IPv6. Dowolne pole adresu IP może zawierać adres IPv4 lub adres IPv6:
|
| Użytkownik | String | Dostępne są następujące 3 pola użytkownika:
|
| Identyfikator użytkownika | String | Obecnie obsługiwane są następujące 2 identyfikatory użytkowników:
|
| Device | String | Obsługiwane są następujące 3 kolumny urządzenia/hosta:
|
| Kraj | String | Ciąg używający iso 3166-1 zgodnie z następującymi priorytetami:
|
| Region | String | Nazwa poddziału kraju/regionu przy użyciu iso 3166-2 |
| Miasto | String | |
| Długość | Liczba rzeczywista | Reprezentacja współrzędnych ISO 6709 (podpisana liczba dziesiętna) |
| Szerokość | Liczba rzeczywista | Reprezentacja współrzędnych ISO 6709 (podpisana liczba dziesiętna) |
| Algorytm skrótu | String | Obsługiwane są następujące 4 kolumny skrótu:
|
| Typ pliku | String | Typ pliku:
|
Schemat tabeli sesji sieciowych
Poniżej znajduje się schemat tabeli sesji sieciowych w wersji 1.0.0
| Nazwa pola | Typ wartości | Przykład | opis | Skojarzone jednostki OSSEM |
|---|---|---|---|---|
| EventType | String | Ruch | Typ zbieranego zdarzenia | Zdarzenie |
| EventSubType | String | Uwierzytelnianie | Dodatkowy opis typu, jeśli ma zastosowanie | Zdarzenie |
| EventCount | Integer | 10 | Liczba zdarzeń zagregowanych, jeśli ma to zastosowanie. | Zdarzenie |
| EventEndTime | Data/godzina | Zobacz "typy danych" | Godzina zakończenia zdarzenia | Zdarzenie |
| EventMessage | string | odmowa dostępu | Ogólny komunikat lub opis, dołączony do lub wygenerowany na podstawie rekordu | Zdarzenie |
| DvcIpAddr | Adres IP | 23.21.23.34 | Adres IP urządzenia generującego rekord | Urządzenie Adres IP |
| DvcMacAddr | String | 06:10:9f:eb:8f:14 | Adres MAC interfejsu sieciowego urządzenia raportowania, z którego wysłano zdarzenie. | Urządzenie Mac |
| DvcHostname | Nazwa urządzenia (ciąg) | syslogserver1.contoso.com | Nazwa urządzenia generującego komunikat. | Urządzenie |
| EventProduct | String | OfficeSharepoint | Produkt generujący zdarzenie. | Zdarzenie |
| EventProductVersion | string | 9.0 | Wersja produktu generująca zdarzenie. | Zdarzenie |
| EventResourceId | Identyfikator urządzenia (ciąg) | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | Identyfikator zasobu urządzenia generującego komunikat. | Zdarzenie |
| EventReportUrl | String | https://192.168.1.1/repoerts/ae3-56.htm | Link do pełnego raportu utworzonego przez urządzenie raportowania | Zdarzenie |
| EventVendor | String | Microsoft | Dostawca produktu generującego zdarzenie. | Zdarzenie |
| EventResult | Multivalue: Success, Partial, Failure, [Empty] (Ciąg) | Powodzenie | Wynik zgłoszony dla działania. Pusta wartość, jeśli nie ma zastosowania. | Zdarzenie |
| EventResultDetails | String | Nieprawidłowe hasło | Przyczyna lub szczegóły wyniku zgłoszonego w usłudze EventResult | Zdarzenie |
| EventSchemaVersion | Rzeczywista | 0.1 | Wersja schematu usługi Microsoft Sentinel. Obecnie 0,1. | Zdarzenie |
| EventSeverity | String | Niski | Jeśli zgłoszone działanie ma wpływ na bezpieczeństwo, oznacza ważność wpływu. | Zdarzenie |
| EventOriginalUid | String | af6ae8fe-ff43-4a4c-b537-8635976a2b51 | Identyfikator rekordu z urządzenia raportowania. | Zdarzenie |
| EventStartTime | Data/godzina | Zobacz "typy danych" | Czas, w którym określono zdarzenie | Zdarzenie |
| TimeGenerated | Data/godzina | Zobacz "typy danych" | Godzina wystąpienia zdarzenia zgłoszonego przez źródło raportowania. | Pole niestandardowe |
| EventTimeIngested | Data/godzina | Zobacz "typy danych" | Czas pozyskiwania zdarzenia do usługi Microsoft Sentinel. Zostanie dodany przez usługę Microsoft Sentinel. | Zdarzenie |
| Identyfikator zdarzenia | Guid (ciąg) | 516a64e3-8360-4f1e-a67c-d96b3d52df54 | Unikatowy identyfikator używany przez usługę Microsoft Sentinel do oznaczania wiersza. | Zdarzenie |
| NetworkApplicationProtocol | String | HTTPS | Protokół warstwy aplikacji używany przez połączenie lub sesję. | Sieć |
| Bajty DstBytes | int | 32455 | Liczba bajtów wysłanych z miejsca docelowego do źródła dla połączenia lub sesji. | Element docelowy |
| SrcBytes | int | 46536 | Liczba bajtów wysłanych ze źródła do miejsca docelowego dla połączenia lub sesji. | Źródło |
| Liczba bajtów sieci | int | 78991 | Liczba bajtów wysłanych w obu kierunkach. Jeśli istnieją oba bajtyReceived i BytesSent, BajtyTotal powinny być równe ich suma. | Sieć |
| NetworkDirection | Wiele wartości: ruch przychodzący, wychodzący (ciąg) | Przychodzący | Kierunek połączenia lub sesji, do lub z organizacji. | Sieć |
| DstGeoCity | String | Burlington | Miasto skojarzone z docelowym adresem IP | Cel Lokalizacja geograficzna |
| DstGeoCountry | Kraj (ciąg) | USA | Kraj/region skojarzony ze źródłowym adresem IP | Cel Lokalizacja geograficzna |
| DstDvcHostname | Nazwa urządzenia (ciąg) | victim_pc | Nazwa urządzenia docelowego | Element docelowy Urządzenie |
| DstDvcFqdn | String | victim_pc.contoso.local | W pełni kwalifikowana nazwa domeny hosta, na którym utworzono dziennik | Cel Urządzenie |
| DstDomainHostname | string | CONTOSO | Domena miejsca docelowego, domena hosta docelowego (witryna internetowa, nazwa domeny itp.), na przykład wyszukiwania DNS lub wyszukiwania NS | Element docelowy |
| DstInterfaceName | string | Karta sieciowa funkcji Microsoft Hyper-V | Interfejs sieciowy używany na potrzeby połączenia lub sesji przez urządzenie docelowe. | Element docelowy |
| DstInterfaceGuid | string | 2BB33827-6BB6-48DB-8DE6-DB9E0B9F9C9B | Identyfikator GUID interfejsu sieciowego, który był używany na potrzeby żądania uwierzytelniania | Element docelowy |
| DstIpAddr | Adres IP | 2001:db8::ff00:42:8329 | Adres IP miejsca docelowego połączenia lub sesji, najczęściej określany jako docelowy adres IP w pakiecie sieciowym | Cel Adres IP |
| DstDvcIpAddr | Adres IP | 75.22.12.2 | Docelowy adres IP urządzenia, który nie jest bezpośrednio skojarzony z pakietem sieciowym | Cel Urządzenie Adres IP |
| DstGeoLatitude | Szerokość geograficzna (podwójna) | 44.475833 | Szerokość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP | Cel Lokalizacja geograficzna |
| DstMacAddr | String | 06:10:9f:eb:8f:14 | Adres MAC interfejsu sieciowego, na którym zakończyło się połączenie lub sesja, najczęściej odnosi się do docelowego adresu MAC w pakiecie sieciowym | Cel MAC |
| DstDvcMacAddr | String | 06:10:9f:eb:8f:14 | Docelowy adres MAC urządzenia, który nie jest bezpośrednio skojarzony z pakietem sieciowym. | Cel Urządzenie MAC |
| DstDvcDomain | String | CONTOSO | Domena urządzenia docelowego. | Cel Urządzenie |
| DstPortNumber | Integer | 443 | Docelowy port IP. | Cel Port |
| DstGeoRegion | Region (ciąg) | Vermont | Region skojarzony z docelowym adresem IP | Cel Lokalizacja geograficzna |
| Identyfikator DstResourceId | Identyfikator urządzenia (ciąg) | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /victim | Identyfikator zasobu urządzenia docelowego. | Element docelowy |
| DstNatIpAddr | Adres IP | 2::1 | W przypadku zgłoszenia przez pośredniczące urządzenie NAT, takie jak zapora, adres IP używany przez urządzenie NAT do komunikacji ze źródłem. | Docelowy translator adresów sieciowych, Adres IP |
| DstNatPortNumber | int | 443 | W przypadku zgłoszenia przez pośredniczące urządzenie NAT, takie jak zapora, port używany przez urządzenie NAT do komunikacji ze źródłem. | Docelowy translator adresów sieciowych, Port |
| DstUserSid | Identyfikator SID użytkownika | S-12-1445 | Identyfikator użytkownika tożsamości skojarzonej z miejscem docelowym sesji. Zazwyczaj tożsamość używana do uwierzytelniania serwera. Aby uzyskać więcej informacji, zobacz Typy danych i formaty. | Cel User |
| DstUserAadId | Ciąg (guid) | ae92b0b4-cfba-4b42-85a0-fbd862f4df54 | Identyfikator obiektu konta Microsoft Entra użytkownika na końcu docelowej sesji | Cel User |
| DstUserName | Nazwa użytkownika (ciąg) | johnd | Nazwa użytkownika tożsamości skojarzonej z miejscem docelowym sesji. | Cel User |
| DstUserUpn | string | johnd@anon.com | Nazwa UPN tożsamości skojarzonej z miejscem docelowym sesji. | Cel User |
| DstUserDomain | string | GRUPA ROBOCZA | Nazwa domeny lub komputera konta w miejscu docelowym sesji | Cel User |
| Strefa Dst | String | Dmz | Strefa sieciowa miejsca docelowego zgodnie z definicją urządzenia raportowania. | Element docelowy |
| DstGeoLongitude | Długość geograficzna (podwójna) | -73.211944 | Długość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP | Cel Lokalizacja geograficzna |
| DvcAction | Wiele wartości: Zezwalaj, Odmów, Upuść (ciąg) | Zezwalaj | W przypadku zgłoszenia przez urządzenie pośredniczące, takie jak zapora, akcja wykonywana przez urządzenie. | Urządzenie |
| DvcInboundInterface | String | eth0 | W przypadku zgłoszenia przez urządzenie pośredniczące, takie jak zapora, interfejs sieciowy używany przez niego do połączenia z urządzeniem źródłowym. | Urządzenie |
| DvcOutboundInterface | String | Karta Ethernet Ethernet 4 | W przypadku zgłoszenia przez urządzenie pośredniczące, takie jak zapora, interfejs sieciowy używany przez niego do połączenia z urządzeniem docelowym. | Urządzenie |
| NetworkDuration | Integer | 1500 | Czas( w milisekundach) na zakończenie sesji sieciowej lub połączenia | Sieć |
| NetworkIcmpCode | Integer | 34 | W przypadku komunikatu ICMP komunikat ICMP wpisz wartość liczbową (RFC 2780 lub RFC 4443). | Sieć |
| NetworkIcmpType | String | Miejsce docelowe nie jest osiągalne | W przypadku wiadomości ICMP tekstowa reprezentacja typu komunikatu ICMP (RFC 2780 lub RFC 4443). | Sieć |
| Zestawy DstPackets | int | 446 | Liczba pakietów wysyłanych z miejsca docelowego do źródła połączenia lub sesji. Znaczenie pakietu jest definiowane przez urządzenie raportowania. | Element docelowy |
| Zestawy SrcPackets | int | 6478 | Liczba pakietów wysłanych ze źródła do miejsca docelowego dla połączenia lub sesji. Znaczenie pakietu jest definiowane przez urządzenie raportowania. | Źródło |
| NetworkPackets | int | 0 | Liczba pakietów wysyłanych w obu kierunkach. Jeśli istnieją zarówno pakietyReceived, jak i PacketsSent, wartość BytesTotal powinna być równa ich sumie. | Sieć |
| HttpRequestTime | Integer | 700 | Czas wysyłania żądania do serwera, jeśli ma to zastosowanie. | HTTP |
| HttpResponseTime | Integer | 800 | Ilość czasu potrzebnego na odebranie odpowiedzi na serwerze, jeśli ma to zastosowanie. | HTTP |
| NetworkRuleName | String | AnyAnyDrop | Nazwa lub identyfikator reguły, na której podjęto decyzję DeviceAction | Sieć |
| NetworkRuleNumber | int | 23 | Dopasowany numer reguły | Sieć |
| NetworkSessionId | string | 172_12_53_32_4322__123_64_207_1_80 | Identyfikator sesji zgłoszony przez urządzenie raportowania. Na przykład identyfikator sesji L7 dla określonych aplikacji po uwierzytelnianiu | Sieć |
| SrcGeoCity | String | Burlington | Miasto skojarzone ze źródłowym adresem IP | Źródło Lokalizacja geograficzna |
| SrcGeoCountry | Kraj (ciąg) | USA | Kraj/region skojarzony ze źródłowym adresem IP | Źródło Lokalizacja geograficzna |
| SrcDvcHostname | Nazwa urządzenia (ciąg) | złoczyńcą | Nazwa urządzenia źródłowego | Źródło Urządzenie |
| SrcDvcFqdn | string | Villain.malicious.com | W pełni kwalifikowana nazwa domeny hosta, na którym utworzono dziennik | Źródło Urządzenie |
| SrcDvcDomain | string | ZŁAORG | Domena urządzenia, z którego zainicjowano sesję | Źródło Urządzenie |
| SrcDvcOs | String | iOS | System operacyjny urządzenia źródłowego | Źródło Urządzenie |
| SrcDvcModelName | String | Samsung Galaxy Note | Nazwa modelu urządzenia źródłowego | Źródło Urządzenie |
| SrcDvcModelNumber | String | 10,0 | Numer modelu urządzenia źródłowego | Źródło Urządzenie |
| SrcDvcType | String | Aplikacje mobilne | Typ urządzenia źródłowego | Źródło Urządzenie |
| SrcInterfaceName | String | eth01 | Interfejs sieciowy używany na potrzeby połączenia lub sesji przez urządzenie źródłowe. | Źródło |
| SrcInterfaceGuid | String | 46ad544b-eaf0-47ef-827c-266030f545a6 | Identyfikator GUID używanego interfejsu sieciowego | Źródło |
| SrcIpAddr | Adres IP | 77.138.103.108 | Adres IP, z którego pochodzi połączenie lub sesja. | Źródło Adres IP |
| SrcDvcIpAddr | Adres IP | 77.138.103.108 | Źródłowy adres IP urządzenia nie jest bezpośrednio skojarzony z pakietem sieciowym (zbieranym przez dostawcę lub jawnie obliczanym). | Źródło Urządzenie Adres IP |
| SrcGeoLatitude | Szerokość geograficzna (podwójna) | 44.475833 | Szerokość geograficzna współrzędnej geograficznej skojarzonej z źródłowym adresem IP | Źródło Lokalizacja geograficzna |
| SrcGeoLongitude | Długość geograficzna (podwójna) | -73.211944 | Długość geograficzna współrzędnej geograficznej skojarzonej z źródłowym adresem IP | Źródło Lokalizacja geograficzna |
| SrcMacAddr | String | 06:10:9f:eb:8f:14 | Adres MAC interfejsu sieciowego, z którego pochodzi sesja połączenia od. | Źródło Mac |
| SrcDvcMacAddr | String | 06:10:9f:eb:8f:14 | Źródłowy adres MAC urządzenia, który nie jest bezpośrednio skojarzony z pakietem sieciowym. | Źródło Urządzenie Mac |
| SrcPortNumber | Integer | 2335 | Port IP, z którego pochodzi połączenie. Może nie być istotne dla sesji składającej się z wielu połączeń. | Źródło Port |
| SrcGeoRegion | Region (ciąg) | Vermont | Region w kraju/regionie skojarzonym ze źródłowym adresem IP | Źródło Lokalizacja geograficzna |
| SrcResourceId | String | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | Identyfikator zasobu urządzenia generującego komunikat. | Źródło |
| SrcNatIpAddr | Adres IP | 4.3.2.1 | W przypadku zgłoszenia przez pośredniczące urządzenie NAT, takie jak zapora, adres IP używany przez urządzenie NAT do komunikacji z miejscem docelowym. | Translator adresów sieciowych źródła, Adres IP |
| SrcNatPortNumber | Integer | 345 | Jeśli jest zgłaszane przez pośredniczące urządzenie NAT, takie jak zapora, port używany przez urządzenie NAT do komunikacji z miejscem docelowym. | Translator adresów sieciowych źródła, Port |
| SrcUserSid | Identyfikator użytkownika (ciąg) | S-15-1445 | Identyfikator użytkownika tożsamości skojarzonej ze źródłem sesji. Zazwyczaj użytkownik wykonuje akcję na kliencie. Aby uzyskać więcej informacji, zobacz Typy danych i formaty. | Źródło User |
| SrcUserAadId | Ciąg (guid) | 16c8752c-7dd2-4cad-9e03-fb5d1cee5477 | Identyfikator obiektu konta Microsoft Entra użytkownika na końcu źródłowej sesji | Źródło User |
| SrcUserName | Nazwa użytkownika (ciąg) | Bob | Nazwa użytkownika tożsamości skojarzonej ze źródłem sesji. Zazwyczaj użytkownik wykonuje akcję na kliencie. Aby uzyskać więcej informacji, zobacz Typy danych i formaty. | Źródło User |
| SrcUserUpn | string | bob@alice.com | Nazwa UPN konta inicjującego sesję | Źródło User |
| SrcUserDomain | string | KOMPUTER | Domena konta inicjującego sesję | Źródło User |
| SrcZone | String | Zawartość | Strefa sieciowa źródła zgodnie z definicją urządzenia raportowania. | Źródło |
| NetworkProtocol | String | TCP | Protokół IP używany przez połączenie lub sesję. Zazwyczaj protokół TCP, UDP lub ICMP | Sieć |
| CloudAppName | String | Nazwa aplikacji docelowej dla aplikacji HTTP zidentyfikowanej przez serwer proxy. | Chmura | |
| CloudAppId | String | 124 | Identyfikator aplikacji docelowej dla aplikacji HTTP zidentyfikowanej przez serwer proxy. Ta wartość jest zazwyczaj specyficzna dla używanego serwera proxy. | Chmura |
| CloudAppOperation | String | Usuń plik | Operacja wykonywana przez użytkownika w kontekście aplikacji docelowej dla aplikacji HTTP zidentyfikowanej przez serwer proxy. Ta wartość jest zazwyczaj specyficzna dla używanego serwera proxy. | Chmura |
| CloudAppRiskLevel | String | 3 | Poziom ryzyka skojarzony z aplikacją HTTP zidentyfikowany przez serwer proxy. Ta wartość jest zazwyczaj specyficzna dla używanego serwera proxy. | Chmura |
| Pod nazwą | String | ImNotMalicious.exe | Nazwa pliku przesyłana za pośrednictwem połączeń sieciowych dla protokołów, takich jak FTP i HTTP, które zawierają informacje o nazwie pliku. | Plik |
| FilePath | String | C:\Malicious\ImNotMalicious.exe | Pełna ścieżka, w tym nazwa pliku, | Plik |
| FileHashMd5 | String | 51BC68715FC7C109DCEA406B42D9D78F | Wartość skrótu MD5 pliku przesyłanego za pośrednictwem połączeń sieciowych dla protokołów. | Plik |
| FileHashSha1 | String | 491AE3... C299821476F4 | Wartość skrótu SHA1 pliku przesyłanego za pośrednictwem połączeń sieciowych dla protokołów. | Plik |
| FileHashSha256 | String | 9B8F8EDB... C129976F03 | Wartość skrótu SHA256 pliku przesyłanego za pośrednictwem połączeń sieciowych dla protokołów. | Plik |
| FileHashSha512 | String | 5E127D... F69F73F01F361 | Wartość skrótu SHA512 pliku przesyłanego za pośrednictwem połączeń sieciowych dla protokołów. | Plik |
| Rozszerzenie pliku | String | exe | Typ pliku przesyłanego za pośrednictwem połączeń sieciowych dla protokołów, takich jak FTP i HTTP. | Plik |
| FileMimeType | String | application/msword | Typ MIME pliku przesyłanego za pośrednictwem połączeń sieciowych dla protokołów, takich jak FTP i HTTP | Plik |
| Rozmiar pliku | Integer | 23500 | Rozmiar pliku w bajtach pliku przesyłanego za pośrednictwem połączeń sieciowych dla protokołów. | Plik |
| HttpVersion | String | 2.0 | Wersja żądania HTTP dla połączeń sieciowych HTTP/HTTPS. | HTTP |
| HttpRequestMethod | String | GET | Metoda HTTP dla sesji sieciOWYCH HTTP/HTTPS. | HTTP |
| HttpStatusCode | String | 404 | Kod stanu HTTP dla sesji sieciOWYCH HTTP/HTTPS. | HTTP |
| HttpContentType | String | multipart/form-data; boundary=something | Nagłówek typu zawartości odpowiedzi HTTP dla sesji sieciOWYCH HTTP/HTTPS. | HTTP |
| HttpReferrerOriginal | String | https://developer.mozilla.org/en-US/docs/Web/JavaScript | Nagłówek odwołania HTTP dla sesji sieciowych HTTP/HTTPS. | HTTP |
| HttpUserAgentOriginal | String | Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, na przykład Gecko) Chrome/83.0.4103.97 Safari/537.36 | Nagłówek agenta użytkownika HTTP dla sesji sieciOWYCH HTTP/HTTPS. | HTTP |
| HttpRequestXff | String | 120.12.41.1 | Nagłówek HTTP X-Forwarded-For dla sesji sieci HTTP/HTTPS. | HTTP |
| UrlCategory | String | Wyszukiwarek | Zdefiniowane grupowanie adresu URL, prawdopodobnie na podstawie domeny w adresie URL, związane z zawartością. Na przykład: osoby dorosłe, wiadomości, reklamy, zaparkowane domeny itd.) | Adres URL |
| UrlOriginal | String | https:// contoso.com/fo/?k=v&q=u#f | Adres URL żądania HTTP dla sesji sieciowych HTTP/HTTPS. | Url |
| UrlHostname | String | contoso.com | Część domeny adresu URL żądania HTTP dla sesji sieci HTTP/HTTPS. | Url |
| ThreatCategory | String | Koń trojański | Kategoria zagrożenia zidentyfikowanego przez system zabezpieczeń, taki jak Web Security Gateway usługi IPS i jest skojarzona z tą sesją sieciową. | Zagrożenie |
| ThreatId | String | Tr.124 | Identyfikator zagrożenia zidentyfikowanego przez system zabezpieczeń, taki jak Web Security Gateway usługi IPS i jest skojarzony z tą sesją sieciową. | Zagrożenie |
| ThreatName | String | Plik testowy EICAR | Nazwa zidentyfikowanego zagrożenia lub złośliwego oprogramowania | Zagrożenie |
| Dodatkowe pola | Dynamiczny (torba JSON) | { Właściwość1: "val1", Właściwość2: "val2" } |
Jeśli żadna kolumna w schemacie nie jest zgodna, inne pola mogą być przechowywane w torbie JSON. W przypadku analizowania czasu zapytania zalecamy promowanie dodatkowych kolumn zamiast używania torby JSON, ponieważ pakowanie danych do kodu JSON obniży wydajność zapytań. |
Pole niestandardowe |
Różnice między wersją 0.1 i wersją 0.2
Oryginalna wersja schematu normalizacji sesji sieci usługi Microsoft Sentinel w wersji 0.1 została wydana jako wersja zapoznawcza przed udostępnieniem karty ASIM.
Różnice między wersją 0.1 udokumentowaną w tym artykule i wersją 0.2.x obejmują:
- W wersji 0.2 nazwy analizatorów specyficznych dla źródła zostały zmienione tak, aby były zgodne ze standardową konwencją nazewnictwa ASIM.
- Wersja 0.2 dodaje określone wytyczne i ujednolicające analizatory, aby uwzględnić określone typy urządzeń.
W poniższych sekcjach opisano różnice wersji 0.2.x dla określonych pól.
Dodano pola w wersji 0.2
Następujące pola zostały dodane w wersji 0.2.x i nie istnieją w wersji 0.1:
- DstAppType
- DstDeviceType
- DstDomainType
- DstDvcId
- DstDvcIdType
- DstOriginalUserType
- DstUserIdType
- DstUsernameType
- DstUserType
- DvcActionOriginal
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcIdType
- EventOriginalSeverity
- EventOriginalType
- SrcAppId
- SrcAppName
- SrcAppType
- SrcDeviceType
- SrcDomainType
- SrcDvcId
- SrcDvcIdType
- SrcOriginalUserType
- SrcUserIdType
- SrcUsernameType
- SrcUserType
- ThreatRiskLevelOriginal
- Url
Nowo aliasowane pola w wersji 0.2
Następujące pola są teraz aliasowane w wersji 0.2.x z wprowadzeniem karty ASIM:
| Pole w wersji 0.1 | Alias w wersji 0.2 |
|---|---|
| Identyfikator sesji | NetworkSessionId |
| Czas trwania | NetworkDuration |
| IpAddr | SrcIpAddr |
| User | Nazwa użytkownika Dst |
| Hostname (Nazwa hosta) | Nazwa hosta Dst |
| UserAgent | HttpUserAgent |
Zmodyfikowane pola w wersji 0.2
Następujące pola są wyliczane w wersji 0.2.x i wymagają określonej wartości z podanej listy.
- EventType
- EventResultDetails
- EventSeverity
Zmieniono nazwy pól w wersji 0.2
Zmieniono nazwy następujących pól w wersji 0.2.x:
W wersji 0.2 użyj wbudowanych pól usługi Log Analytics:
Należy pamiętać, że
ingestion_time()jest to funkcja KQL, a nie nazwa pola.Pole w wersji 0.1 Zmieniono nazwę w wersji 0.2 EventResourceId _ResourceId Identyfikator zdarzenia _ItemId EventTimeIngested ingestion_time() Zmieniono nazwę w celu dostosowania do ulepszeń w usługach ASIM i OSSEM:
Pole w wersji 0.1 Zmieniono nazwę w wersji 0.2 HttpReferrerOriginal HttpReferrer HttpUserAgentOriginal HttpUserAgent Zmieniono nazwę, aby odzwierciedlić, że miejsce docelowe sesji sieciowej nie musi być usługą w chmurze:
Pole w wersji 0.1 Zmieniono nazwę w wersji 0.2 CloudAppId Identyfikator DstAppId CloudAppName DstAppName CloudAppRiskLevel ThreatRiskLevel Zmieniono nazwę, aby zmienić wielkość liter i dopasować do obsługi karty ASIM jednostki użytkownika:
Pole w wersji 0.1 Zmieniono nazwę w wersji 0.2 DstUserName Nazwa użytkownika Dst SrcUserName SrcUsername Zmieniono nazwę, aby lepiej dopasować się do jednostki urządzenia ASIM i zezwolić na identyfikatory zasobów innych niż platforma Azure:
Pole w wersji 0.1 Zmieniono nazwę w wersji 0.2 Identyfikator DstResourceId SrcDvcAzureResourceId SrcResourceId SrcDvcAzureResourceId Zmieniono nazwę,
Dvcaby usunąć ciąg z nazw pól, ponieważ obsługa w wersji 0.1 była niespójna:Pole w wersji 0.1 Zmieniono nazwę w wersji 0.2 DstDvcDomain DstDomain DstDvcFqdn Nazwa DstFqdn DstDvcHostname Nazwa hosta Dst SrcDvcDomain SrcDomain SrcDvcFqdn SrcFqdn SrcDvcHostname SrcHostname Zmieniono nazwę, aby dopasować do wskazówek dotyczących reprezentacji pliku ASIM:
Pole w wersji 0.1 Zmieniono nazwę w wersji 0.2 FileHashMd5 FileMD5 FileHashSha1 FileSHA1 FileHashSha256 FileSHA256 FileHashSha512 FileSHA512 FileMimeType FileContentType
Usunięto pola w wersji 0.2
Następujące pola istnieją tylko w wersji 0.1 i zostały usunięte w wersji 0.2.x:
| Przyczyna | Usunięte pola |
|---|---|
Usunięto, ponieważ istnieją duplikaty bez Dvc ciągu w nazwie pola |
- DstDvcIpAddr - DstDvcMacAddr - SrcDvcIpAddr - SrcDvcMacAddr |
| Usunięto w celu dostosowania do obsługi adresów URL za pomocą karty ASIM | - UrlHostname |
| Usunięto, ponieważ te pola nie są zwykle udostępniane w ramach zdarzeń sesji sieciowej. Jeśli zdarzenie zawiera te pola, użyj schematu zdarzenia procesu, aby zrozumieć, jak opisać właściwości urządzenia. |
- SrcDvcOs - SrcDvcModelName - SrcDvcModelNumber - DvcMacAddr - DvcOs |
| Usunięto w celu dostosowania do wskazówek dotyczących reprezentacji plików ASIM | - FilePath - FileExtension |
| Usunięto, ponieważ to pole wskazuje, że należy użyć innego schematu, takiego jak schemat uwierzytelniania. | — CloudAppOperation |
Usunięto zduplikowane DstHostname |
- DstDomainHostname |
Następne kroki
Aby uzyskać więcej informacji, zobacz:
- Normalizacja w usłudze Microsoft Sentinel
- Dokumentacja schematu normalizacji uwierzytelniania usługi Microsoft Sentinel (publiczna wersja zapoznawcza)
- Dokumentacja schematu normalizacji zdarzeń pliku usługi Microsoft Sentinel (publiczna wersja zapoznawcza)
- Dokumentacja schematu normalizacji DNS usługi Microsoft Sentinel
- Dokumentacja schematu normalizacji zdarzeń procesu usługi Microsoft Sentinel
- Dokumentacja schematu normalizacji zdarzeń rejestru usługi Microsoft Sentinel (publiczna wersja zapoznawcza)