Справочник по схеме нормализации сетевого сеанса в расширенной информационной модели безопасности (ASIM) (общедоступная предварительная версия)
Схема нормализации сетевых сеансов Microsoft Sentinel представляет собой действие IP-сети, например, сетевые подключения и сетевые сеансы. О таких событиях сообщается, например, операционными системами, маршрутизаторами, брандмауэрами и системами предотвращения вторжения.
Схема нормализации сети может представлять любой тип сеанса IP-сети, но создана обеспечивать поддержку распространенных типов источников, таких как Netflow, брандмауэры и системы предотвращения вторжений.
Дополнительные сведения о нормализации в Microsoft Sentinel см. в статье Нормализация и расширенная информационная модель безопасности (ASIM).
В этой статье описывается версия 0.2.x схемы нормализации сети. Версия 0.1 была выпущена до того, как ASIM стала доступна и не соответствует ей в нескольких местах. Дополнительные сведения см. в разделе Различия между версиями схемы нормализации сети.
Внимание
В настоящее время схема нормализации сети предоставляется в предварительной версии. Эта функция предоставляется без соглашения об уровне обслуживания. Мы не рекомендуем использовать ее при нагрузках, обычных для рабочих средах.
Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Средства синтаксического анализа
Дополнительные сведения о средствах синтаксического анализа ASIM см. в обзоре средств синтаксического анализа ASIM.
Комплексные средства синтаксического анализа
Чтобы использовать средства синтаксического анализа, объединяющие все готовые средства синтаксического анализа ASIM, и убедиться, что ваш анализ выполняется во всех настроенных источниках, используйте средство синтаксического анализа с фильтрацией _Im_NetworkSession или средство синтаксического анализа без параметров_ASim_NetworkSession.
Вы также можете использовать средства синтаксического анализа ImNetworkSession и ASimNetworkSession, развернутые в рабочей области, развернув их из репозитория Microsoft Sentinel на GitHub.
Дополнительные сведения см. в разделе Встроенные средства синтаксического анализа ASIM и развернутые в рабочей области средства синтаксического анализа.
Готовые и зависящие от источника средства синтаксического анализа
Список стандартных средств синтаксического анализа сетевых сеансов Microsoft Sentinel см. в списке средств синтаксического анализа ASIM.
Добавление собственных нормализованных средств синтаксического анализа
При разработке пользовательских средств синтаксического анализа для информационной модели сетевого сеанса назовите свои функции KQL, используя следующий синтаксис:
vimNetworkSession<vendor><Product>для параметризованных средств синтаксического анализаASimNetworkSession<vendor><Product>для обычных средств синтаксического анализа
Сведения о добавлении пользовательских средств синтаксического анализа в сетевой сеанс, объединяющий средства синтаксического анализа, см. в статье Управление средствами синтаксического анализа ASIM.
Параметры фильтрации средств синтаксического анализа
Средства синтаксического анализа сеансов сети поддерживают фильтрацию параметров. Хотя эти параметры являются необязательными, они могут повысить производительность запросов.
Доступны следующие параметры фильтрации:
| Имя. | Тип | Описание |
|---|---|---|
| starttime | datetime | Фильтровать только те сетевые сеансы, которые были запущены в это время или после этого. |
| endtime | datetime | Фильтровать только те сетевые сеансы, которые были запущены начали выполняться в течение этого времени или раньше. |
| srcipaddr_has_any_prefix | по строкам | Фильтровать только сетевые сеансы, для которых префикс поля исходного IP-адреса находится в одном из указанных значений. Префиксы должны заканчиваться на ., например: 10.0.. Длина списка ограничена 10 000 элементов. |
| dstipaddr_has_any_prefix | по строкам | Фильтровать только сетевые сеансы, для которых префикс поля IP-адреса назначения находится в одном из указанных значений. Префиксы должны заканчиваться на ., например: 10.0.. Длина списка ограничена 10 000 элементов. |
| ipaddr_has_any_prefix | по строкам | Фильтровать только сетевые сеансы, для которых префикс поля IP-адреса назначения или поля исходного IP-адреса имеет одно из указанных значений. Префиксы должны заканчиваться на ., например: 10.0.. Длина списка ограничена 10 000 элементов.Поле ASimMatchingIpAddr задается одним из значений SrcIpAddr, DstIpAddr или Both в зависимости от соответствующих полей. |
| dstportnumber | Int | Фильтровать только сетевые сеансы с указанным номером порта назначения. |
| hostname_has_any | dynamic/string | Фильтровать только сетевые сеансы, для которых поле назначения hostname имеет любое из указанных значений. Длина списка ограничена 10 000 элементов. Поле ASimMatchingHostname задается одним из значений SrcHostname, DstHostname или Both в зависимости от соответствующих полей. |
| dvcaction | dynamic/string | Фильтровать только сетевые сеансы, для которых поле действия устройства имеет любое из указанных значений. |
| eventresult | Строка | Фильтровать только сетевые сеансы с определенным значением EventResult. |
Некоторые параметры могут принимать оба списка значений типа dynamic или одно строковое значение. Чтобы передать список литералов в параметры, которые предполагают динамическое значение, явно используйте динамический литерал. Например: dynamic(['192.168.','10.'])
Например, чтобы отфильтровать только сетевые сеансы для указанного списка доменных имен, используйте:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
Совет
Чтобы передать список литералов в параметры, которые предполагают динамическое значение, явно используйте динамический литерал. Например: dynamic(['192.168.','10.']).
Нормализованное содержимое
Полный список правил аналитики, использующих нормализованные события DNS, см. в разделе "Содержимое безопасности сеансов сети".
Общее представление схемы
Информационная модель сетевого сеанса согласована со схемой сетевой сущности OSSEM.
Схема сеанса сети служит нескольким типам похожих, но различных сценариев, которые используют одни и те же поля. Эти сценарии определяются полем EventType:
NetworkSession— сетевой сеанс, сообщаемый промежуточным устройством мониторинга сети, например брандмауэром, маршрутизатором или касанием сети.L2NetworkSession— сетевые сеансы, для которых доступна только информация уровня 2. Такие события будут включать MAC-адреса, но не IP-адреса.Flow— агрегированное событие, которое сообщает несколько аналогичных сетевых сеансов, обычно за определенный период времени, например события Netflow .EndpointNetworkSession— сетевой сеанс, сообщаемый одной из конечных точек сеанса, включая клиенты и серверы. Для таких событий схема поддерживаетremoteполя иlocalпсевдонимы.IDS— сетевой сеанс, сообщающийся как подозрительный. Такое событие будет иметь некоторые поля проверки, заполненные, и может быть заполнено только одно поле IP-адреса, исходное или целевое.
Как правило, запрос должен выбрать только подмножество этих типов событий, и может потребоваться решить отдельные уникальные аспекты вариантов использования. Например, события IDS не отражают весь объем сети и не должны учитываться в аналитике на основе столбцов.
События сетевого сеанса используют дескрипторы Src и Dst для обозначения ролей устройств, а также связанных с ними пользователей и приложений, участвующих в сеансе. Например, имя узла и IP-адрес исходного устройства называются SrcHostname и SrcIpAddr. Другие схемы ASIM обычно используются Target вместо Dst.
Для событий, о которых сообщается конечной точкой, для которых тип события — это EndpointNetworkSession, дескрипторы Local и Remote обозначают саму конечную точку и устройство на другом конце сетевого сеанса соответственно.
Дескриптор Dvc используется для устройства отчетов, которое является локальной системой для сеансов, о которых сообщается конечной точкой, а также промежуточного устройства или сетевого отвода для других событий сетевого сеанса.
Сведения о схеме
Общие поля ASIM
Внимание
Поля, общие для всех схем, подробно описаны в статье Общие поля ASIM.
Общие поля с конкретными рекомендациями
В следующем списке упоминаются поля, имеющие определенные рекомендации по обработке событий сетевого сеанса:
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| EventCount | Обязательно | Целое | Источники Netflow поддерживают агрегирование, а в поле EventCount должно быть задано значение поля Netflow FLOWS. Для других источников обычно устанавливается значение 1. |
| EventType | Обязательно | Enumerated | Описывает сценарий, сообщаемый записью. Для записей сетевого сеанса допустимы следующие значения: - EndpointNetworkSession- NetworkSession - L2NetworkSession- IDS - FlowДополнительные сведения о типах событий см. в обзоре схемы. |
| EventSubType | Необязательно | Строка | Дополнительное описание типа события, если применимо. Для записей сетевого сеанса поддерживаются следующие значения: - Start- EndЭто поле не относится к Flow событиям. |
| EventResult | Обязательно | Enumerated | Если исходное устройство не предоставляет результат события, значение EventResult должно основываться на значении DvcAction. Если DvcAction имеет значение Deny, Drop, Drop ICMPResetReset Source или Reset Destination, значение EventResult должно быть Failure. В противном случае значение EventResult должно быть Success. |
| EventResultDetails | Рекомендуемая конфигурация | Enumerated | Причина или подробные сведения для результата, полученного в поле EventResult. Поддерживаются значения: — отработка отказа — Недопустимый TCP - Недопустимый Tunnel - Максимальное число повторных попыток - Сброс - Проблема с маршрутизацией - Моделирование - Завершено - Время ожидания — временная ошибка - Неизвестно - Нет данных. Исходное, связанное с источником значение, хранится в поле EventOriginalResultDetails. |
| EventSchema | Обязательно | Строка | Имя описанной здесь схемы — NetworkSession. |
| EventSchemaVersion | Обязательно | Строка | Номер версии схемы. Версия описанной здесь схемы — 0.2.6. |
| DvcAction | Рекомендуемая конфигурация | Enumerated | Действие, выполняемое в сетевом сеансе. Поддерживаются значения: - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNrouteПримечание. Значение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы до этих значений. Исходное значение следует хранить в поле DvcOriginalAction. Пример: drop |
| EventSeverity | Необязательно | Enumerated | Если исходное устройство не предоставляет серьезность события, значение EventSeverity должно основываться на значении DvcAction. Если DvcAction имеет значение Deny, Drop, Drop ICMPResetReset Source или Reset Destination, значение EventSeverity должно быть Low. В противном случае значение EventSeverity должно быть Informational. |
| DvcInterface | Поле DvcInterface должно быть псевдонимом полей DvcInboundInterface или DvcOutboundInterface. | ||
| Поля Dvc | Для событий сетевого сеанса поля устройства ссылаются на систему, которая сообщает о событии сетевого сеанса. |
Все общие поля
Поля, представленные в таблице ниже, являются общими для всех схем ASIM. Все указанные выше рекомендации переопределяют общие рекомендации для поля. Например, поле может быть необязательным в целом, но обязательным для конкретной схемы. Дополнительные сведения о каждом поле см. в статье Общие поля ASIM.
| Class | Поля |
|---|---|
| Обязательно | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Рекомендуемая конфигурация | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Необязательно | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Поля сетевого сеанса
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| NetworkApplicationProtocol | Необязательно | Строка | Протокол на уровне приложения, используемый соединением или сеансом. Значение должно находиться во всех верхних регистрах. Пример: FTP |
| NetworkProtocol | Необязательно | Enumerated | IP-протокол, используемый подключением или сеансом в соответствии с назначением протокола IANA, которое обычно является TCP, UDP или ICMP.Пример: TCP |
| NetworkProtocolVersion | Необязательно | Enumerated | Версия NetworkProtocol. При его использовании для различения версии IP используйте значения IPv4 и IPv6. |
| NetworkDirection | Необязательно | Enumerated | Направление подключения или сеанса: — Для eventType NetworkSessionFlow или L2NetworkSessionNetworkDirection представляет направление относительно границы организации или облачной среды. Поддерживаемые значения: Inbound, Outbound, Local (для организации), External (для организации) или NA (неприменимо).— Для EventType EndpointNetworkSessionnetworkDirection представляет направление относительно конечной точки. Поддерживаемые значения: Inbound, Outbound, Local (для системы) Listen или NA (неприменимо). Значение Listen указывает, что устройство начало принимать сетевые подключения, но не обязательно, в действительности, подключено. |
| NetworkDuration | Необязательно | Целое | Время в миллисекундах, необходимое для завершения сетевого сеанса или подключения. Пример: 1500 |
| Длительность | Псевдоним | Псевдоним для NetworkDuration. | |
| NetworkIcmpType | Необязательно | Строка | Для сообщения ICMP имя типа ICMP, связанное с числовым значением, как описано в RFC 2780 для сетевых подключений IPv4 или в RFC 4443 для сетевых подключений IPv6. Пример: Destination Unreachable для NetworkIcmpCode 3 |
| NetworkIcmpCode | Необязательно | Целое | Для сообщения ICMP — кодовый номер ICMP, как описано в RFC 2780 для сетевых подключений IPv4 или в RFC 4443 для сетевых подключений IPv6. |
| NetworkConnectionHistory | Необязательно | Строка | Флаги TCP и другие возможные сведения о заголовке IP. |
| DstBytes | Рекомендуемая конфигурация | Long | Число байтов, отправленных от места назначения к источнику для соединения или сеанса. Если событие является агрегированным, значение DstBytes должно быть суммой всех агрегированных сеансов. Пример: 32455 |
| SrcBytes | Рекомендуемая конфигурация | Long | Число байтов, отправленных от источника к месту назначения для соединения или сеанса. Если событие является агрегированным, значение SrcBytes должно быть суммой всех агрегированных сеансов. Пример: 46536 |
| NetworkBytes | Необязательно | Long | Число байтов, отправленных в обоих направлениях. Если BytesReceived и BytesSent существуют, значение BytesTotal должно быть равно их сумме. Если событие является агрегированным, значение NetworkBytes должно быть суммой всех агрегированных сеансов. Пример: 78991 |
| DstPackets | Необязательно | Long | Число пакетов, отправленных от места назначения к источнику для соединения или сеанса. Значение пакета определяется устройством составления отчетов. Если событие является агрегированным, значение DstPackets должно быть суммой всех агрегированных сеансов. Пример: 446 |
| SrcPackets | Необязательно | Long | Число пакетов, отправленных от источника к месту назначения для соединения или сеанса. Значение пакета определяется устройством составления отчетов. Если событие является агрегированным, значение SrcPackets должно быть суммой всех агрегированных сеансов. Пример: 6478 |
| NetworkPackets | Необязательно | Long | Число пакетов, отправленных в обоих направлениях. Если PacketsReceived и PacketsSent существуют, значение BytesTotal должно быть равно их сумме. Значение пакета определяется устройством составления отчетов. Если событие является агрегированным, значение NetworkPackets должно быть суммой всех агрегированных сеансов. Пример: 6924 |
| NetworkSessionId | Необязательно | строка | Идентификатор сеанса, сообщаемый устройством составления отчетов. Пример: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| SessionId | Псевдоним | Строка | Псевдоним для NetworkSessionId. |
| TcpFlagsAck | Необязательно | Логический | Отчет о флаге TCP ACK. Флаг подтверждения используется для подтверждения успешного получения пакета. Как видно из схемы выше, получатель отправляет ACK и SYN на втором этапе процесса трехэтапного подтверждения, чтобы сообщить отправителю, что он получил свой первоначальный пакет. |
| TcpFlagsFin | Необязательно | Логический | Отчет о флаге TCP FIN. Готовый флаг означает, что данных от отправителя больше нет. Поэтому он используется в последнем пакете, отправленном отправителем. |
| TcpFlagsSyn | Необязательно | Логический | Отчет о флаге TCP SYN. Флаг синхронизации используется в качестве первого шага в установлении трехэтапного подтверждения между двумя узлами. Этот флаг должен быть установлен только для первого пакета как от отправителя, так и от получателя. |
| TcpFlagsUrg | Необязательно | Логический | Отчет о флаге TCP URG. Срочный флаг используется для уведомления получателя о необходимости обработки срочных пакетов перед обработкой всех остальных пакетов. Получатель будет уведомлен, когда будут получены все известные срочные данные. Дополнительные сведения см. на странице RFC 6093. |
| TcpFlagsPsh | Необязательно | Логический | Отчет о флаге TCP PSH. Флаг отправки аналогичен флагу URG и указывает получателю обрабатывать эти пакеты по мере их получения, а не буферизовать их. |
| TcpFlagsRst | Необязательно | Логический | Отчет о флаге TCP RST. Флаг сброса отправляется от получателя к отправителю, когда пакет отправляется на конкретный узел, который этого не ожидал. |
| TcpFlagsEce | Необязательно | Логический | Отчет о флаге TCP ECE. Этот флаг отвечает за указание того, поддерживает ли одноранговый узел TCP ECN. Дополнительные сведения см. на странице RFC 3168. |
| TcpFlagsCwr | Необязательно | Логический | Отчет о флаге TCP CWR. Флаг уменьшения окна перегрузки используется узлом-отправителем, чтобы указать, что он получил пакет с установленным флагом ECE. Дополнительные сведения см. на странице RFC 3168. |
| TcpFlagsNs | Необязательно | Логический | Отчет о флаге TCP NS. Флаг суммы nonce по-прежнему является экспериментальным флагом, используемым для защиты от случайного злонамеренного сокрытия пакетов от отправителя. Дополнительные сведения см. на странице RFC 3540 |
Поля системы назначения
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Dst | Рекомендуемая конфигурация | Псевдоним | Уникальный идентификатор сервера, получающего DNS-запрос. Это поле может быть псевдонимом для полей DstDvcId, DstHostname или DstIpAddr. Пример: 192.168.12.1 |
| DstIpAddr | Рекомендуемая конфигурация | IP-адрес | IP-адрес подключения или назначения сеанса. Если в сеансе используется преобразование сетевых адресов, DstIpAddr является общедоступным адресом, а не исходным адресом источника, который хранится в DstNatIpAddrПример: 2001:db8::ff00:42:8329Примечание. Это значение обязательно, если указано поле DstHostname. |
| DstPortNumber | Необязательно | Целое | Порт назначения. Пример: 443 |
| DstHostname | Рекомендуемая конфигурация | Hostname (Имя узла) | Имя узла устройства назначения, включая сведения о домене. Если имя устройства недоступно, сохраните в этом поле соответствующий IP-адрес. Пример: DESKTOP-1282V4D |
| DstDomain | Рекомендуемая конфигурация | Строка | Домен устройства назначения. Пример: Contoso |
| DstDomainType | Условный | Enumerated | Тип DstDomain. Список допустимых значений и дополнительные сведения см. в разделе DomainType статьи Схемы расширенной информационной модели безопасности (ASIM). Является обязательным при использовании DstDomain. |
| DstFQDN | Необязательно | Строка | Имя узла устройства назначения, включая сведения о домене, если они доступны. Пример: Contoso\DESKTOP-1282V4D Примечание. Это поле поддерживает как традиционные форматы FQDN, так и формат домен\имя_узла Windows. DstDomainType отражает используемый формат. |
| DstDvcId | Необязательно | Строка | Идентификатор ресурса устройства назначения. Если доступно несколько идентификаторов, используйте наиболее важный из них, другие храните в полях DstDvc<DvcIdType>. Пример: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | Необязательно | Строка | Идентификатор области облачной платформы, к которому принадлежит устройство. DstDvcScopeId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| DstDvcScope | Необязательно | Строка | Область облачной платформы, к которой принадлежит устройство. DstDvcScope сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| DstDvcIdType | Условный | Enumerated | Тип DstDvcId. Список допустимых значений и дополнительные сведения см. в разделе DvcIdType статьи Схемы расширенной информационной модели безопасности (ASIM). Является обязательным при использовании DstDeviceId. |
| DstDeviceType | Необязательно | Enumerated | Тип устройства назначения. Список допустимых значений и дополнительные сведения см. в разделе DeviceType статьи Схемы расширенной информационной модели безопасности (ASIM). |
| DstZone | Необязательно | Строка | Зона сети назначения, определенная на устройстве составления отчетов. Пример: Dmz |
| DstInterfaceName | Необязательно | Строка | Сетевой интерфейс, используемый устройством назначения для подключения или сеанса. Пример: Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | Необязательно | Строка | Идентификатор GUID сетевого интерфейса, используемого на устройстве назначения. Пример: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | Необязательно | Строка | MAC-адрес сетевого интерфейса, используемый устройством назначения для подключения или сеанса. Пример: 06:10:9f:eb:8f:14 |
| DstVlanId | Необязательно | Строка | Идентификатор виртуальной ЛС, относящийся к устройству назначения. Пример: 130 |
| OuterVlanId | Необязательно | Псевдоним | Псевдоним для DstVlanId. Во многих случаях виртуальная ЛС не может быть определена как источник или назначение, но характеризуется как внутренняя или внешняя. Этот псевдоним означает, что DstVlanId следует использовать, когда виртуальная ЛС характеризуется как внешняя. |
| DstSubscriptionId | Необязательно | Строка | Идентификатор подписки на облачную платформу, к которой принадлежит устройство назначения. DstSubscriptionId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| DstGeoCountry | Необязательно | Страна/регион | Страна или регион, связанный с целевым IP-адресом. Дополнительные сведения см. в разделе Логические типы. Пример: USA |
| DstGeoRegion | Необязательно | Область/регион | Регион или состояние, связанное с целевым IP-адресом. Дополнительные сведения см. в разделе Логические типы. Пример: Vermont |
| DstGeoCity | Необязательно | Город | Город, связанный с IP-адресом назначения. Дополнительные сведения см. в разделе Логические типы. Пример: Burlington |
| DstGeoLatitude | Необязательно | Широта | Широта географической координаты, связанная с IP-адресом назначения. Дополнительные сведения см. в разделе Логические типы. Пример: 44.475833 |
| DstGeoLongitude | Необязательно | Долгота | Долгота географической координаты, связанная с IP-адресом назначения. Дополнительные сведения см. в разделе Логические типы. Пример: 73.211944 |
Поля назначения пользователя
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| DstUserId | Необязательно | Строка | Считываемое компьютером буквенно-цифровое, уникальное представление пользователя назначения. Поддерживаемые форматы для различных типов идентификаторов см. в разделе Сущность пользователя. Пример: S-1-12 |
| DstUserScope | Необязательно | Строка | Область, например клиент Microsoft Entra, в которой определены DstUserId и DstUsername . или дополнительные сведения и список разрешенных значений см. в разделе UserScope в статье "Обзор схемы". |
| DstUserScopeId | Необязательно | Строка | Идентификатор области, например идентификатор каталога Microsoft Entra, в котором определены DstUserId и DstUsername . Дополнительные сведения и список разрешенных значений см. в разделе UserScopeId в статье "Обзор схемы". |
| DstUserIdType | Условный | UserIdType | Тип идентификатора, который хранится в поле DstUserId. Список допустимых значений и дополнительные сведения см. в разделе UserIdType статьи Схемы расширенной информационной модели безопасности (ASIM). |
| DstUsername | Необязательно | Строка | Имя пользователя назначения, включая сведения о домене, если они доступны. Поддерживаемые форматы для различных типов идентификаторов см. в разделе Сущность пользователя. Используйте простую форму, только если сведения о домене недоступны. Храните тип имени пользователя в поле DstUsernameType. Если доступны другие форматы имени пользователя, сохраните их в полях DstUsername<UsernameType>.Пример: AlbertE |
| Пользователь | Псевдоним | Псевдоним для DstUsername. | |
| DstUsernameType | Условный | UsernameType | Указывает тип имени пользователя, хранимого в поле DstUsername. Список допустимых значений и дополнительные сведения см. в разделе UsernameType статьи Схемы расширенной информационной модели безопасности (ASIM). Пример: Windows |
| DstUserType | Необязательно | UserType | Тип пользователя назначения. Список допустимых значений и дополнительные сведения см. в разделе UserType статьи Схемы расширенной информационной модели безопасности (ASIM). Примечание. Значение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы до этих значений. Сохраните исходное значение в поле DstOriginalUserType. |
| DstOriginalUserType | Необязательно | Строка | Начальный тип пользователя назначения, если он указан источником. |
Поля приложения назначения
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| DstAppName | Необязательно | Строка | Введите имя приложения назначения. Пример: Facebook |
| DstAppId | Необязательно | Строка | Идентификатор целевого приложения, сообщаемый устройством отчета. Если DstAppType равно Process, DstAppId и DstProcessId должны иметь одинаковое значение.Пример: 124 |
| DstAppType | Необязательно | AppType | Тип приложения назначения. Список допустимых значений и дополнительные сведения см. в разделе AppType статьи Схемы расширенной информационной модели безопасности (ASIM). Это поле является обязательным, если используется DstAppName или DstAppId. |
| DstProcessName | Необязательно | Строка | Имя файла процесса, завершившего сетевой сеанс. Это имя обычно считается именем процесса. Пример: C:\Windows\explorer.exe |
| Обработать | Псевдоним | Псевдоним для DstProcessName Пример: C:\Windows\System32\rundll32.exe |
|
| DstProcessId | Необязательно | Строка | Идентификатор процесса (PID) процесса, завершившего сетевой сеанс. Пример: 48610176 Примечание. Тип определяется как строка для поддержки различных систем, но в Windows и Linux это значение должно быть числовым. Если вы используете компьютер с Windows или Linux и применяете другой тип, обязательно преобразуйте эти значения. Например, если вы использовали шестнадцатеричное значение, преобразуйте его в десятичное. |
| DstProcessGuid | Необязательно | Строка | Сгенерированный уникальный идентификатор (GUID) процесса, завершившего сетевой сеанс. Пример: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Поля исходной системы
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Src | Псевдоним | Уникальный идентификатор исходного устройства. Это поле может быть псевдонимом для полей SrcDvcId, SrcHostname или SrcIpAddr. Пример: 192.168.12.1 |
|
| SrcIpAddr | Рекомендуемая конфигурация | IP-адрес | IP-адрес, с которого поступило соединение или сеанс. Это значение обязательно, если указано SrcHostname. Если в сеансе используется преобразование сетевых адресов, SrcIpAddr является общедоступным адресом, а не исходным адресом источника, который хранится в SrcNatIpAddrПример: 77.138.103.108 |
| SrcPortNumber | Необязательно | Целое | Порт IP-адреса, с которого было создано подключение. Может не иметь отношения к сеансу, включающему несколько подключений. Пример: 2335 |
| SrcHostname | Рекомендуемая конфигурация | Hostname (Имя узла) | Имя узла исходного устройства, включая сведения о домене. Если имя устройства недоступно, сохраните в этом поле соответствующий IP-адрес. Пример: DESKTOP-1282V4D |
| SrcDomain | Рекомендуемая конфигурация | Строка | Домен исходного устройства. Пример: Contoso |
| SrcDomainType | Условный | DomainType | Тип SrcDomain. Список допустимых значений и дополнительные сведения см. в разделе DomainType статьи Схемы расширенной информационной модели безопасности (ASIM). Является обязательным при использовании SrcDomain. |
| SrcFQDN | Необязательно | Строка | Имя узла исходного устройства, включая сведения о домене, если они доступны. Примечание. Это поле поддерживает как традиционные форматы FQDN, так и формат домен\имя_узла Windows. Поле SrcDomainType отражает используемый формат. Пример: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Необязательно | Строка | Идентификатор исходного устройства. Если доступно несколько идентификаторов, используйте наиболее важный из них, другие храните в полях SrcDvc<DvcIdType>.Пример: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Необязательно | Строка | Идентификатор области облачной платформы, к которому принадлежит устройство. SrcDvcScopeId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| SrcDvcScope | Необязательно | Строка | Область облачной платформы, к которой принадлежит устройство. SrcDvcScope сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| SrcDvcIdType | Условный | DvcIdType | Тип SrcDvcId. Список допустимых значений и дополнительные сведения см. в разделе DvcIdType статьи Схемы расширенной информационной модели безопасности (ASIM). Примечание. Это поле является обязательным, если используется SrcDvcId. |
| SrcDeviceType | Необязательно | DeviceType | Тип исходного устройства. Список допустимых значений и дополнительные сведения см. в разделе DeviceType статьи Схемы расширенной информационной модели безопасности (ASIM). |
| SrcZone | Необязательно | Строка | Зона сети источника, определенная на устройстве составления отчетов. Пример: Internet |
| SrcInterfaceName | Необязательно | Строка | Сетевой интерфейс, используемый исходным устройством для подключения или сеанса. Пример: eth01 |
| SrcInterfaceGuid | Необязательно | Строка | GUID сетевого интерфейса, используемого на исходном устройстве. Пример: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | Необязательно | Строка | MAC-адрес сетевого интерфейса, из которого создано подключение или сеанс. Пример: 06:10:9f:eb:8f:14 |
| SrcVlanId | Необязательно | Строка | Идентификатор виртуальной ЛС, относящийся к исходному устройству. Пример: 130 |
| InnerVlanId | Необязательно | Псевдоним | Псевдоним для SrcVlanId. Во многих случаях виртуальная ЛС не может быть определена как источник или назначение, но характеризуется как внутренняя или внешняя. Этот псевдоним означает, что SrcVlanId следует использовать, когда виртуальная ЛС характеризуется как внутренняя. |
| SrcSubscriptionId | Необязательно | Строка | Идентификатор подписки на облачную платформу, к которой принадлежит исходное устройство. SrcSubscriptionId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| SrcGeoCountry | Необязательно | Страна/регион | Страна или регион, связанный с исходным IP-адресом. Пример: USA |
| SrcGeoRegion | Необязательно | Область/регион | Регион, связанный с исходным IP-адресом. Пример: Vermont |
| SrcGeoCity | Необязательно | Город | Город, связанный с исходным IP-адресом. Пример: Burlington |
| SrcGeoLatitude | Необязательно | Широта | Географическая широта, связанная с исходным IP-адресом. Пример: 44.475833 |
| SrcGeoLongitude | Необязательно | Долгота | Географическая долгота, связанная с исходным IP-адресом. Пример: 73.211944 |
Поля исходного пользователя
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| SrcUserId | Необязательно | Строка | Считываемое компьютером буквенно-цифровое, уникальное представление исходного пользователя. Поддерживаемые форматы для различных типов идентификаторов см. в разделе Сущность пользователя. Пример: S-1-12 |
| SrcUserScope | Необязательно | Строка | Область, например клиент Microsoft Entra, в которой определены SrcUserId и SrcUsername . или дополнительные сведения и список разрешенных значений см. в разделе UserScope в статье "Обзор схемы". |
| SrcUserScopeId | Необязательно | Строка | Идентификатор области, например идентификатор каталога Microsoft Entra, в котором определены SrcUserId и SrcUsername . Дополнительные сведения и список разрешенных значений см. в разделе UserScopeId в статье "Обзор схемы". |
| SrcUserIdType | Условный | UserIdType | Тип идентификатора, который хранится в поле SrcUserId. Список допустимых значений и дополнительные сведения см. в разделе UserIdType статьи Схемы расширенной информационной модели безопасности (ASIM). |
| SrcUsername | Необязательно | Строка | Имя исходного пользователя, включая сведения о домене, если они доступны. Поддерживаемые форматы для различных типов идентификаторов см. в разделе Сущность пользователя. Используйте простую форму, только если сведения о домене недоступны. Храните тип имени пользователя в поле SrcUsernameType. Если доступны другие форматы имени пользователя, сохраните их в полях SrcUsername<UsernameType>.Пример: AlbertE |
| SrcUsernameType | Условный | UsernameType | Указывает тип имени пользователя, хранимого в поле SrcUsername. Список допустимых значений и дополнительные сведения см. в разделе UsernameType статьи Схемы расширенной информационной модели безопасности (ASIM). Пример: Windows |
| SrcUserType | Необязательно | UserType | Тип исходного пользователя. Список допустимых значений и дополнительные сведения см. в разделе UserType статьи Схемы расширенной информационной модели безопасности (ASIM). Примечание. Значение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы до этих значений. Сохраните исходное значение в поле SrcOriginalUserType. |
| SrcOriginalUserType | Необязательно | Строка | Исходный тип пользователя назначения, если он указан передающим устройством. |
Поля исходного приложения
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| SrcAppName | Необязательно | Строка | Имя исходного приложения. Пример: filezilla.exe |
| SrcAppId | Необязательно | Строка | Идентификатор исходного приложения, который сообщается передающим устройством. Если SrcAppType равно Process, SrcAppId и SrcProcessId должны иметь одинаковое значение.Пример: 124 |
| SrcAppType | Необязательно | AppType | Тип исходного приложения. Список допустимых значений и дополнительные сведения см. в разделе AppType статьи Схемы расширенной информационной модели безопасности (ASIM). Это поле является обязательным, если используется SrcAppName или SrcAppId. |
| SrcProcessName | Необязательно | Строка | Имя файла процесса, инициировавшего сетевой сеанс. Это имя обычно считается именем процесса. Пример: C:\Windows\explorer.exe |
| SrcProcessId | Необязательно | Строка | Идентификатор процесса (PID) процесса, который инициировал сетевой сеанс. Пример: 48610176 Примечание. Тип определяется как строка для поддержки различных систем, но в Windows и Linux это значение должно быть числовым. Если вы используете компьютер с Windows или Linux и применяете другой тип, обязательно преобразуйте эти значения. Например, если вы использовали шестнадцатеричное значение, преобразуйте его в десятичное. |
| SrcProcessGuid | Необязательно | Строка | Сгенерированный уникальный идентификатор (GUID) процесса, инициировавшего сетевой сеанс. Пример: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Локальные и удаленные псевдонимы
Все поля источника и назначения, перечисленные выше, могут быть дополнительно обозначены полями с тем же именем и дескрипторами Local и Remote. Это обычно полезно для событий, о которых сообщается конечной точкой, для которых тип события — EndpointNetworkSession.
Для таких событий дескрипторы Local и Remote обозначают саму конечную точку и устройство на другом конце сетевого сеанса соответственно. Для входящих подключений локальная система является назначением, поля Local являются псевдонимами полей Dst, а "удаленные" поля являются псевдонимами для полей Src. И наоборот, для исходящих подключений локальная система является источником, поля Local являются псевдонимами полей Src, а поля Remote являются псевдонимами для полей Dst.
Например, для входящего события поле LocalIpAddr является псевдонимом DstIpAddr, а поле RemoteIpAddr — псевдонимом SrcIpAddr.
Псевдонимы имени узла и IP-адреса
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Hostname | Псевдоним | — Если тип события имеет NetworkSessionзначение или Flow L2NetworkSessionимя узла является псевдонимом DstHostname.— Если тип события — EndpointNetworkSession, имя узла является псевдонимом для RemoteHostname, которое может быть псевдонимом для DstHostname или SrcHostName, в зависимости от NetworkDirection |
|
| IpAddr | Псевдоним | — Если тип события имеет NetworkSessionFlow тип события или L2NetworkSessionipAddr является псевдонимом SrcIpAddr.— Если тип события имеет EndpointNetworkSessionтип события, IpAddr — это псевдоним, в который может быть псевдоним LocalIpAddrSrcIpAddr или DstIpAddr, в зависимости от NetworkDirection. |
Поля промежуточного устройства и преобразования сетевых адресов (NAT)
Следующие поля полезны, если запись содержит сведения о промежуточном устройстве, таком как брандмауэр или прокси-сервер, который передает сетевой сеанс.
В промежуточных системах часто используется преобразование адресов, и, следовательно, исходный адрес и адрес, с которыми вы столкнулись, не совпадают. В таких случаях основные поля адреса, такие как SrcIPAddr и DstIpAddr представляют адреса, которые наблюдаются извне, в то же время как поля адреса NAT, SrcNatIpAddr и DstNatIpAddr представляют внутренний адрес исходного устройства перед преобразованием.
Поля проверки
Следующие поля используются для представления проверки, которую выполнило устройство безопасности, такое как брандмауэр, IPS, или шлюз безопасности:
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| NetworkRuleName | Необязательно | Строка | Имя или идентификатор правила, по которому было принято решение об DvcAction. Пример: AnyAnyDrop |
| NetworkRuleNumber | Необязательно | Целое | Номер правила, по которому было принято решение об DvcAction. Пример: 23 |
| Правило | Псевдоним | Строка | Значение NetworkRuleName или значение NetworkRuleNumber. Если используется значение NetworkRuleNumber, тип должен быть преобразован в строку. |
| ThreatId | Необязательно | Строка | Идентификатор угрозы или вредоносной программы, определенной в сетевом сеансе. Пример: Tr.124 |
| ThreatName | Необязательно | Строка | Имя угрозы или вредоносной программы, определенной в сетевом сеансе. Пример: EICAR Test File |
| ThreatCategory | Необязательно | Строка | Категория угрозы или вредоносной программы, определенной в сетевом сеансе. Пример: Trojan |
| ThreatRiskLevel | Необязательно | Целое | Связанный с сеансом уровень риска. Уровень должен быть числом от 0 до 100. Примечание. Значение может быть указано в исходной записи с использованием другой шкалы, которая должна быть нормализована по этой шкале. Исходное значение следует хранить в поле ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Необязательно | Строка | Уровень риска, сообщаемый устройством отчетов. |
| ThreatIpAddr | Необязательно | IP-адрес | IP-адрес, для которого была обнаружена угроза. Поле ThreatField содержит имя поля, которое представляет ThreatIpAddr. |
| ThreatField | Условный | Enumerated | Поле, для которого была обнаружена угроза. Имеет значение SrcIpAddr или DstIpAddr. |
| ThreatConfidence | Необязательно | Целое | Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100. |
| ThreatOriginalConfidence | Необязательно | Строка | Исходный уровень достоверности для обнаруженной угрозы, полученный от устройства, сообщившего о ней. |
| ThreatIsActive | Необязательно | Логический | Значение true, если обнаруженная угроза считается активной. |
| ThreatFirstReportedTime | Необязательно | datetime | Время первого обнаружения угрозы для этого IP-адреса или домена. |
| ThreatLastReportedTime | Необязательно | datetime | Время последнего обнаружения угрозы для этого IP-адреса или домена. |
Другие поля
Если о событии сообщает одна из конечных точек сетевого сеанса, оно может содержать сведения о процессе, который инициировал или завершил сеанс. В таких случаях используется схема событий процесса ASIM для нормализации этой информации.
Обновления схемы
Ниже приведены изменения в версии 0.2.1 схемы:
- Добавлены
SrcиDstв качестве псевдонимов к основному идентификатору для систем источника и назначения. - Добавлены поля
NetworkConnectionHistory,SrcVlanId,DstVlanId,InnerVlanIdиOuterVlanId.
Ниже приведены изменения в версии 0.2.2 схемы:
- Добавлены псевдонимы
RemoteиLocal. - Добавлен тип события
EndpointNetworkSession. - Определены
HostnameиIpAddrкак псевдонимы дляRemoteHostnameиLocalIpAddrсоответственно, если тип события —EndpointNetworkSession. - Определено
DvcInterfaceкак псевдоним дляDvcInboundInterfaceилиDvcOutboundInterface. - Изменен тип следующих полей с Integer на Long:
SrcBytes,DstBytes,NetworkBytes,SrcPacketsDstPacketsиNetworkPackets. - Добавлены поля
NetworkProtocolVersion,SrcSubscriptionIdиDstSubscriptionId. - Больше не поддерживаются
DstUserDomainиSrcUserDomain.
Ниже приведены изменения в версии 0.2.3 схемы:
- Добавлен параметр фильтрации
ipaddr_has_any_prefix. - Параметр фильтрации
hostname_has_anyтеперь соответствует имени исходного или целевого узла. - Добавлены поля
ASimMatchingHostnameиASimMatchingIpAddr.
Ниже приведены изменения в версии 0.2.4 схемы:
- Добавлены поля
TcpFlags. - Обновлены
NetworkIcpmTypeиNetworkIcmpCode, чтобы отразить числовое значение для обоих. - Добавлены дополнительные поля проверки.
- Поле ThreatRiskLevelOriginal было переименовано в
ThreatOriginalRiskLevelсоответствии с соглашениями ASIM. Существующие средства синтаксического анализа Microsoft будут поддерживатьThreatRiskLevelOriginalдо 1 мая 2023 г. - Отмечено
EventResultDetailsкак рекомендовано и указаны допустимые значения.
Ниже приведены изменения в схеме версии 0.2.5:
- Добавлены поля
DstUserScope,SrcUserScope,DstDvcScopeIdSrcDvcScopeDstDvcScopeSrcDvcScopeId,DvcScopeIdи .DvcScope
Ниже приведены изменения в схеме версии 0.2.6:
- Добавленные идентификаторы в качестве типа события
Дальнейшие действия
Дополнительные сведения см. в разделе:
- Посмотрите веб-семинар ASIM или слайды.
- Обзор расширенной информационной модели безопасности (ASIM)
- Схемы расширенной информационной модели безопасности (ASIM)
- Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
- Содержимое расширенной информационной модели безопасности (ASIM)