共用方式為


Microsoft Sentinel 網路正規化架構 (舊版 - 公開預覽)

網路正規化架構可用來描述回報的網路事件,並由Microsoft Sentinel 來啟用統一分析。

如需詳細資訊,請參閱正規化和進階安全性資訊模型(ASIM)。

重要

本文與 0.1 版的網路正規化架構有關,此架構在 ASIM 可用之前已發行為預覽版。 網路正規化架構的 0.2.x 版與 ASIM 一致,並提供其他增強功能。

如需詳細資訊,請參閱 網路正規化架構版本之間的差異

詞彙

下列術語用於Microsoft Sentinel 架構:

詞彙 定義
報告裝置 系統會將記錄傳送至 sentinel Microsoft。 它可能不是記錄的主旨系統。
錄製 從報告裝置傳送的資料單位。 此資料單位通常稱為 logeventalert,但也可以有其他類型的 。

資料類型和格式

下表提供標準化欄位所需的數據值正規化指引,並建議用於其他欄位。

資料類型 實體類型 格式和值
日期/時間 下列其中一項,視所使用的內嵌方法功能而定,優先順序遞減:
  • Log Analytics 內建日期時間類型
  • 使用 Log Analytics datetime 數值表示的整數位段
  • 使用 Log Analytics datetime 數值表示的字串字段
Log Analytics 日期時間表示法。

Log Analytics 日期和時間表示法在本質上很類似,但與 Unix 時間表示法不同。 請參閱這些轉換指導方針。

必須調整時區的日期和時間。
MAC 位址 String 冒號十六進位表示法
IP 位址 IP 位址 架構沒有個別的 IPv4 和 IPv6 位址。 任何 IP 位址欄位可能包含 IPv4 位址或 IPv6 位址:
  • 點十進位表示法中的IPv4
  • IPv6 in 8 hextets 表示法,允許這裡所述的簡短表單。
使用者 String 下列 3 個使用者欄位可供使用:
  • 使用者名稱
  • 使用者UPN
  • 用戶網域
使用者識別碼 String 目前支援下列 2 個使用者識別碼:
  • 使用者 SID
  • Microsoft Entra ID
裝置 String 支援下列 3 個裝置/主機資料列:
  • 識別碼
  • 名稱
  • 完整網域名稱 (FQDN)
國家/地區 String 根據下列優先順序,使用 ISO 3166-1 的字串:
  • Alpha-2 代碼,例如 US 美國
  • Alpha-3 代碼,例如 USA 美國
  • 簡短名稱
區域 String 使用 ISO 3166-2 的國家/地區細分名稱
市/鎮 String
緯度 雙重 ISO 6709 座標表示法(帶正負號的十進制數)
緯度 雙重 ISO 6709 座標表示法(帶正負號的十進制數)
哈希演算法 String 支援下列 4 個哈希資料列:
  • MD5
  • SHA1
  • SHA256
  • SHA512
檔案類型 String 檔案類型的類型:
  • 副檔名
  • 類別
  • NamedType

網路會話數據表架構

以下是 1.0.0 版的網路會話數據表架構

欄位名稱 值類型 範例 描述 相關聯的 OSSEM 實體
EventType String 交通流量 正在收集的事件類型 活動
EventSubType String 驗證 如果適用,類型的額外描述 活動
EventCount 整數 10 如果適用,匯總的事件數目。 活動
EventEndTime 日期/時間 請參閱「數據類型」 事件結束的時間 活動
EventMessage 字串 拒絕存取 包含或從記錄產生的一般訊息或描述 活動
DvcIpAddr IP 位址 23.21.23.34 產生記錄之裝置的IP位址 裝置
IP
DvcMacAddr String 06:10:9f:eb:8f:14 傳送事件之報告裝置網路介面的 MAC 位址。 裝置
Mac
DvcHostname 裝置名稱 (字串) syslogserver1.contoso.com 產生訊息之裝置的裝置名稱。 裝置
EventProduct String OfficeSharepoint 產生事件的產品。 活動
EventProductVersion 字串 9.0 產生事件的產品版本。 活動
EventResourceId 裝置識別碼 (字串) /subscriptions/3c1bb38c-82e3-4f8d-a115-a7110ba70d05 /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 產生訊息之裝置的資源標識碼。 活動
EventReportUrl String https://192.168.1.1/repoerts/ae3-56.htm 報告裝置所建立完整報表的連結 活動
EventVendor String Microsoft 產生事件的產品的廠商。 活動
EventResult 多重值:成功、部分、失敗、[空白] (字串) 成功 活動回報的結果。 不適用時為空白值。 活動
EventResultDetails String 密碼錯誤 EventResult 中報告結果的原因或詳細數據 活動
EventSchemaVersion Real 0.1 Microsoft Sentinel 架構版本。 目前為 0.1。 活動
EventSeverity String 如果回報的活動有安全性影響,表示影響嚴重性。 活動
EventOriginalUid String af6ae8fe-ff43-4a4c-b537-8635976a2b51 來自報告裝置的記錄標識碼。 活動
EventStartTime 日期/時間 請參閱「數據類型」 事件陳述的時間 活動
TimeGenerated 日期/時間 請參閱「數據類型」 事件發生的時間,如報告來源所報告。 自訂欄位
EventTimeIngested 日期/時間 請參閱「數據類型」 事件擷取至 sentinel Microsoft的時間。 將會由Microsoft Sentinel 新增。 活動
EventUid Guid (字串) 516a64e3-8360-4f1e-a67c-d96b3d52df54 Microsoft Sentinel 用來標示數據列的唯一標識碼。 活動
NetworkApplicationProtocol String HTTPS 連接或會話所使用的應用層通訊協定。 網路
DstBytes int 32455 從目的地傳送到連線或會話來源的位元元組數目。 Destination
SrcBytes int 46536 從來源傳送到連線或會話目的地的位元元組數目。 來源
NetworkBytes int 78991 雙向傳送的位元組數目。 如果 BytesReceived 和 BytesSent 都存在,BytesTotal 應該等於其總和。 網路
NetworkDirection 多重值:輸入、輸出 (字串) 傳入 聯機或會話進出組織的方向。 網路
DstGeoCity String 伯 靈頓 與目的地IP位址相關聯的城市 目的地
地理位置
DstGeoCountry 國家/地區(字串) USA 與來源IP位址相關聯的國家/地區 目的地
地理位置
DstDvcHostname 裝置名稱 (字串) victim_pc 目的地裝置的裝置名稱 Destination
裝置
DstDvcFqdn String victim_pc.contoso.local 建立記錄之主機的完整功能變數名稱 目的地
裝置
DstDomainHostname 字串 CONTOSO 目的地的網域、目的地主機的網域(網站、功能變數名稱等),例如 DNS 查閱或 NS 查閱 Destination
DstInterfaceName 字串 Microsoft Hyper-V 網路介面卡 目的地裝置用於連線或會話的網路介面。 Destination
DstInterfaceGuid 字串 2BB33827-6BB6-48DB-8DE6-DB9E0B9F9C9B 用於驗證要求的網路介面 GUID Destination
DstIpAddr IP 位址 2001:db8::ff00:42:8329 連線或會話目的地的IP位址,最常稱為網路封包中的目的地IP 目的地
IP
DstDvcIpAddr IP 位址 75.22.12.2 未與網路封包直接關聯的裝置目的地 IP 位址 目的地
裝置
IP
DstGeoLatitude 緯度 (雙) 44.475833 與目的地IP位址相關聯的地理座標緯度 目的地
地理位置
DstMacAddr String 06:10:9f:eb:8f:14 連線或會話終止的網路介面 MAC 位址,最常參考網路封包中的目的地 MAC 目的地
MAC
DstDvcMacAddr String 06:10:9f:eb:8f:14 未與網路封包直接關聯的裝置目的地 MAC 位址。 目的地
裝置
MAC
DstDvcDomain String CONTOSO 目的地裝置的網域。 目的地
裝置
DstPortNumber 整數 443 目的地 IP 連接埠。 目的地
連接埠
DstGeoRegion 區域 (字串) 佛蒙特州 與目的地IP位址相關聯的區域 目的地
地理位置
DstResourceId 裝置識別碼 (字串) /subscriptions/3c1bb38c-82e3-4f8d-a115-a7110ba70d05 /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /victim 目的地裝置的資源標識碼。 Destination
DstNatIpAddr IP 位址 2::1 如果由中繼 NAT 裝置回報,例如防火牆,NAT 裝置用來與來源通訊的 IP 位址。 目的地 NAT,
IP
DstNatPortNumber int 443 如果由中繼 NAT 裝置回報,例如防火牆,NAT 裝置用來與來源通訊的埠。 目的地 NAT,
連接埠
DstUserSid 使用者 SID S-12-1445 與會話目的地相關聯的身分識別使用者標識碼。 一般而言,用來驗證伺服器的身分識別。 如需詳細資訊,請參閱 數據類型和格式 目的地
User
DstUserAadId 字串 (guid) ae92b0b4-cfba-4b42-85a0-fbd862f4df54 會話目的地端使用者Microsoft Entra 帳戶對象標識碼 目的地
User
DstUserName 使用者名稱(字串) johnd 與會話目的地相關聯的身分識別用戶名稱。 目的地
User
DstUserUpn 字串 johnd@anon.com 與會話目的地相關聯的身分識別UPN。 目的地
User
DstUserDomain 字串 工作群組 會話目的地的帳戶網域或計算機名稱 目的地
User
DstZone String Dmz 目的地的網路區域,如報告裝置所定義。 Destination
DstGeoLongitude 經度(雙精度浮點數) -73.211944 與目的地IP位址相關聯的地理座標經度 目的地
地理位置
DvcAction 多重值:允許、拒絕、卸除 (字串) 允許 如果由中繼裝置回報,例如防火牆,則裝置所採取的動作。 裝置
DvcInboundInterface String eth0 如果由防火牆等中繼裝置回報,則為來源裝置連線所使用的網路介面。 裝置
DvcOutboundInterface String 乙太網路卡乙太網路 4 如果由防火牆等中繼裝置回報,則其用來連線至目的地裝置的網路介面。 裝置
NetworkDuration 整數 1500 網路會話或連線完成的時間量,以毫秒為單位 網路
NetworkIcmpCode 整數 34 針對ICMP訊息,ICMP訊息類型數值 (RFC 2780 或 RFC 4443)。 網路
NetworkIcmpType String 目的地無法連線 針對ICMP訊息,ICMP訊息類型文字表示法 (RFC 2780 或 RFC 4443)。 網路
DstPackets int 4:46 從目的地傳送至連線或會話來源的封包數目。 封包的意義是由報告裝置所定義。 Destination
SrcPackets int 6478 從來源傳送至連線或會話目的地的封包數目。 封包的意義是由報告裝置所定義。 來源
NetworkPackets int 0 雙向傳送的封包數目。 如果 PacketsReceived 和 PacketsSent 都存在,BytesTotal 應該等於其總和。 網路
HttpRequestTime 整數 700 如果適用,將要求傳送至伺服器所花費的時間量。 Http
HttpResponseTime 整數 800 如果適用,在伺服器中接收回應所花費的時間量。 Http
NetworkRuleName String AnyAnyDrop 由 DeviceAction 決定規則的名稱或識別碼 網路
NetworkRuleNumber int 23 相符的規則編號 網路
NetworkSessionId 字串 172_12_53_32_4322__123_64_207_1_80 報告裝置所報告的會話標識碼。 例如,驗證之後特定應用程式的 L7 工作階段識別碼 網路
SrcGeoCity String 伯 靈頓 與來源IP位址相關聯的城市
地理位置
SrcGeoCountry 國家/地區(字串) USA 與來源IP位址相關聯的國家/地區
地理位置
SrcDvcHostname 裝置名稱 (字串) 小人 來源裝置的裝置名稱
裝置
SrcDvcFqdn 字串 Villain.malicious.com 建立記錄之主機的完整功能變數名稱
裝置
SrcDvcDomain 字串 EVILORG 起始會話的來源裝置網域
裝置
SrcDvcOs String iOS 來源裝置的OS
裝置
SrcDvcModelName String Samsung Galaxy Note 來源裝置的模型名稱
裝置
SrcDvcModelNumber String 10.0 來源裝置的型號
裝置
SrcDvcType String 行動 來源裝置的類型
裝置
SrcIntefaceName String eth01 來源裝置用於連線或會話的網路介面。 來源
SrcInterfaceGuid String 46ad544b-eaf0-47ef-827c-266030f545a6 使用的網路介面 GUID 來源
SrcIpAddr IP 位址 77.138.103.108 線上或會話的來源IP位址。
IP
SrcDvcIpAddr IP 位址 77.138.103.108 裝置的來源IP位址未與網路封包直接關聯(由提供者收集或明確計算)。
裝置
IP
SrcGeoLatitude 緯度 (雙) 44.475833 與來源IP位址相關聯的地理座標緯度
地理位置
SrcGeoLongitude 經度(雙精度浮點數) -73.211944 與來源IP位址相關聯的地理座標經度
地理位置
SrcMacAddr String 06:10:9f:eb:8f:14 聯機 od 工作階段的來源網路介面 MAC 位址。
Mac
SrcDvcMacAddr String 06:10:9f:eb:8f:14 未與網路封包直接關聯的裝置來源 MAC 位址。
裝置
Mac
SrcPortNumber 整數 2335 線上來源 IP 連接埠。 可能與包含多個連線的會話無關。
連接埠
SrcGeoRegion 區域 (字串) 佛蒙特州 與來源IP位址相關聯的國家/區域內區域
地理位置
SrcResourceId String /subscriptions/3c1bb38c-82e3-4f8d-a115-a7110ba70d05 /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 產生訊息之裝置的資源標識碼。 來源
SrcNatIpAddr IP 位址 4.3.2.1 如果由中繼 NAT 裝置回報,例如防火牆,NAT 裝置用來與目的地通訊的 IP 位址。 來源 NAT,
IP
SrcNatPortNumber 整數 345 如果由中繼 NAT 裝置回報,例如防火牆,NAT 裝置用來與目的地通訊的埠。 來源 NAT,
連接埠
SrcUserSid 使用者識別碼 (字串) S-15-1445 與會話來源相關聯之身分識別的使用者標識碼。 一般而言,使用者在用戶端上執行動作。 如需詳細資訊,請參閱 數據類型和格式
User
SrcUserAadId 字串 (guid) 16c8752c-7dd2-4cad-9e03-fb5d1cee5477 會話來源端使用者Microsoft Entra 帳戶對象標識碼
User
SrcUserName 使用者名稱(字串) bob 與會話來源相關聯的身分識別用戶名稱。 一般而言,使用者在用戶端上執行動作。 如需詳細資訊,請參閱 數據類型和格式 來源
User
SrcUserUpn 字串 bob@alice.com 起始會話之帳戶的UPN
User
SrcUserDomain 字串 電腦 起始會話之帳戶的網域
User
SrcZone String 點選 來源的網路區域,如報告裝置所定義。 來源
NetworkProtocol String TCP 連接或會話所使用的IP通訊協定。 一般而言,TCP、UDP 或 ICMP 網路
CloudAppName String Facebook 由 Proxy 識別之 HTTP 應用程式的目的地應用程式名稱。 雲端
CloudAppId String 124 由 Proxy 識別之 HTTP 應用程式的目的地應用程式識別碼。 此值通常專屬於所使用的 Proxy。 雲端
CloudAppOperation String DeleteFile 使用者在 HTTP 應用程式目的地應用程式內容中執行的作業,如 Proxy 所識別。 此值通常專屬於所使用的 Proxy。 雲端
CloudAppRiskLevel String 3 與 PROXY 所識別之 HTTP 應用程式相關聯的風險層級。 此值通常專屬於所使用的 Proxy。 雲端
FileName String ImNotMalicious.exe 透過網路連線傳輸的檔名,例如 FTP 和 HTTP,可提供檔名資訊。 檔案
FilePath String C:\Malicious\ImNotMalicious.exe 檔案的完整路徑,包括檔名 檔案
FileHashMd5 String 51BC68715FC7C109DCEA406B42D9D78F 透過通訊協議網路連線傳輸之檔案的 MD5 哈希值。 檔案
FileHashSha1 String 491AE3...C299821476F4 透過通訊協議網路連線傳輸之檔案的SHA1哈希值。 檔案
FileHashSha256 String 9B8F8EDB...C129976F03 透過通訊協議網路連線傳輸之檔案的SHA256哈希值。 檔案
FileHashSha512 String 5E127D...F69F73F01F361 透過通訊協議網路連線傳輸之檔案的SHA512哈希值。 檔案
FileExtension String exe 透過網路連線傳輸的檔類型,適用於 FTP 和 HTTP 等通訊協定。 檔案
FileMimeType String application/msword 透過網路連線傳輸之檔案的 MIME 類型,適用於 FTP 和 HTTP 等通訊協定 檔案
FileSize 整數 23500 透過通訊協定網路連線傳輸的檔案大小,以位元組為單位。 檔案
HttpVersion String 2.0 HTTP/HTTPS 網路連線的 HTTP 要求版本。 Http
HttpRequestMethod String GET HTTP/HTTPS 網路會話的 HTTP 方法。 Http
HttpStatusCode String 404 HTTP/HTTPS 網路工作階段的 HTTP 狀態代碼。 Http
HttpContentType String multipart/form-data;boundary=something HTTP/HTTPS 網路會話的 HTTP 回應內容類型標頭。 Http
HttpReferrerOriginal String https://developer.mozilla.org/en-US/docs/Web/JavaScript HTTP/HTTPS 網路會話的 HTTP 查閱者標頭。 Http
HttpUserAgentOriginal String Mozilla/5.0 (Windows NT 10.0;WOW64) AppleWebKit/537.36 (KHTML,例如 Gecko) Chrome/83.0.4103.97 Safari/537.36 HTTP/HTTPS 網路會話的 HTTP 使用者代理程式標頭。 Http
HttpRequestXff String 120.12.41.1 HTTP/HTTPS 網络會話的 HTTP X-Forwarded-For 標頭。 Http
UrlCategory String 搜尋引擎 URL 的已定義群組,可能根據URL中的網域,與內容的內容相關。 例如:成人、新聞、廣告、停駐網域等等。 URL
UrlOriginal String https:// contoso.com/fo/?k=v&q=u#f HTTP/HTTPS 網路會話的 HTTP 要求 URL。 Url
UrlHostname String contoso.com HTTP/HTTPS 網路會話之 HTTP 要求URL的網域部分。 Url
ThreatCategory String 木馬程式 安全性系統所識別的威脅類別,例如 IPS 的 Web 安全性閘道,且與此網路會話相關聯。 威脅
ThreatId String Tr.124 安全性系統所識別的威脅標識碼,例如 IPS 的 Web 安全性閘道,且與此網路會話相關聯。 威脅
ThreatName String EICAR 測試檔案 識別的威脅或惡意代碼名稱 威脅
AdditionalFields 動態 (JSON 包) {
Property1: “val1”,
Property2:“val2”
}
當架構中沒有任何個別數據行相符時,其他欄位可以儲存在 JSON 包中。
針對查詢時間剖析,建議您升級其他數據行,而不是使用 JSON 包將數據封裝到 JSON 程式代碼,將會降低查詢效能。
自訂欄位

0.1 版與 0.2 版之間的差異

Microsoft Sentinel 網路會話正規化架構 0.1 版的原始版本在 ASIM 可供使用之前發行為預覽。

本文記載的版本 0.1 與 0.2.x 版之間的差異包括:

  • 在 0.2 版中,統一和來源特定的剖析器名稱已變更為符合標準 ASIM 命名慣例。
  • 0.2 版會新增特定指導方針和統一剖析器,以容納特定的裝置類型。

下列各節說明 0.2.x 版針對特定欄位的差異。

已在 0.2 版中新增欄位

下列欄位已在 0.2.x 版中新增,且不存在於 0.1 版中:

  • DstAppType
  • DstDeviceType
  • DstDomainType
  • DstDvcId
  • DstDvcIdType
  • DstOriginalUserType
  • DstUserIdType
  • DstUsernameType
  • DstUserType
  • DvcActionOriginal
  • DvcDomain
  • DvcDomainType
  • DvcFQDN
  • DvcId
  • DvcIdType
  • DvcIdType
  • EventOriginalSeverity
  • EventOriginalType
  • SrcAppId
  • SrcAppName
  • SrcAppType
  • SrcDeviceType
  • SrcDomainType
  • SrcDvcId
  • SrcDvcIdType
  • SrcOriginalUserType
  • SrcUserIdType
  • SrcUsernameType
  • SrcUserType
  • ThreatRiskLevelOriginal
  • Url

0.2 版中的新別名字段

下列欄位現在在 0.2.x 版中加上別名,並引進 ASIM:

0.1 版中的欄位 0.2 版中的別名
SessionId NetworkSessionId
期間 NetworkDuration
IpAddr SrcIpAddr
User DstUsername
主機名稱 DstHostname
UserAgent HttpUserAgent

0.2 版中修改的欄位

下列欄位會在 0.2.x 版中列舉,而且需要提供清單中的特定值。

  • EventType
  • EventResultDetails
  • EventSeverity

0.2 版中已重新命名的欄位

下列欄位已在 0.2.x 版中重新命名:

  • 在 0.2 版中,使用內建的 Log Analytics 字段:

    請注意, ingestion_time() 是 KQL 函式,而不是功能變數名稱。

    0.1 版中的欄位 在 0.2 版中重新命名
    EventResourceId _ResourceId
    EventUid _ItemId
    EventTimeIngested ingestion_time()
  • 已重新命名以配合 ASIM 和 OSSEM 中的改善:

    0.1 版中的欄位 在 0.2 版中重新命名
    HttpReferrerOriginal HttpReferrer
    HttpUserAgentOriginal HttpUserAgent
  • 重新命名以反映網路會話目的地不一定是雲端服務

    0.1 版中的欄位 在 0.2 版中重新命名
    CloudAppId DstAppId
    CloudAppName DstAppName
    CloudAppRiskLevel ThreatRiskLevel
  • 已重新命名以變更案例,並與用戶實體的 ASIM 處理一致:

    0.1 版中的欄位 在 0.2 版中重新命名
    DstUserName DstUsername
    SrcUserName SrcUsername
  • 已重新命名以更符合 ASIM 裝置實體,並允許 Azure 以外的資源識別碼:

    0.1 版中的欄位 在 0.2 版中重新命名
    DstResourceId SrcDvcAzureRerouceId
    SrcResourceId SrcDvcAzureRerouceId
  • 重新命名為從功能變數名稱中移除 Dvc 字串,因為 0.1 版中的處理不一致

    0.1 版中的欄位 在 0.2 版中重新命名
    DstDvcDomain DstDomain
    DstDvcFqdn DstFqdn
    DstDvcHostname DstHostname
    SrcDvcDomain SrcDomain
    SrcDvcFqdn SrcFqdn
    SrcDvcHostname SrcHostname
  • 已重新命名以配合 ASIM 檔案表示指引

    0.1 版中的欄位 在 0.2 版中重新命名
    FileHashMd5 FileMD5
    FileHashSha1 FileSHA1
    FileHashSha256 FileSHA256
    FileHashSha512 FileSHA512
    FileMimeType FileContentType

已移除 0.2 版中的欄位

下列欄位只存在於 0.1 版中,且已在 0.2.x 版中移除

原因 移除的欄位
已移除,因為重複專案存在,而功能變數名稱中沒有 Dvc 字串 - DstDvcIpAddr
- DstDvcMacAddr
- SrcDvcIpAddr
- SrcDvcMacAddr
已移除以配合 URL 的 ASIM 處理 - UrlHostname
已移除,因為這些欄位通常不會作為網路會話事件的一部分提供。

如果事件包含這些欄位,請使用 Process Event 架構 來瞭解如何描述裝置屬性。
- SrcDvcOs
- SrcDvcModelName
- SrcDvcModelNumber
- DvcMacAddr
- DvcOs
已移除以配合 ASIM 檔案表示指引 - FilePath
- FileExtension
已移除,因為此欄位表示應該使用不同的架構,例如 驗證架構 - CloudAppOperation
已移除,因為它重複 DstHostname - DstDomainHostname

下一步

如需詳細資訊,請參閱