Az Advanced Security Information Model (ASIM) hálózati munkamenet normalizálási sémájának referenciája (nyilvános előzetes verzió)
A Microsoft Sentinel hálózati munkamenet normalizálási sémája egy IP-hálózati tevékenységet jelöl, például a hálózati kapcsolatokat és a hálózati munkameneteket. Az ilyen eseményeket például operációs rendszerek, útválasztók, tűzfalak és behatolás-megelőzési rendszerek jelentik.
A hálózati normalizálási séma bármilyen TÍPUSÚ IP-hálózati munkamenetet képviselhet, de úgy van kialakítva, hogy támogatást nyújtson a gyakori forrástípusokhoz, például a Netflow-hoz, a tűzfalakhoz és a behatolás-megelőzési rendszerekhez.
A Microsoft Sentinel normalizálásáról további információt a Normalizálás és az Advanced Security Information Model (ASIM) című cikkben talál.
Ez a cikk a hálózati normalizálási séma 0.2.x-es verzióját ismerteti. A 0.1-es verzió az ASIM megjelenése előtt jelent meg, és több helyen nem igazodik az ASIM-hez. További információt a hálózati normalizálási sémaverziók közötti különbségek című témakörben talál.
Fontos
A hálózati normalizálási séma jelenleg előzetes verzióban érhető el. Ez a funkció szolgáltatásszint-szerződés nélkül érhető el. Éles számítási feladatokhoz nem javasoljuk.
Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Elemzők
Az ASIM-elemzőkkel kapcsolatos további információkért tekintse meg az ASIM-elemzők áttekintését.
Elemzők egyesítése
Ha olyan elemzőket szeretne használni, amelyek egyesítik az összes beépített ASIM-elemzőt, és biztosítják, hogy az elemzés az összes konfigurált forrásban futjon, használja a _Im_NetworkSession szűrőelemzőt vagy a _ASim_NetworkSession paraméter nélküli elemzőt.
A munkaterületen üzembe helyezett ImNetworkSession és ASimNetworkSession elemzőket is használhatja a Microsoft Sentinel GitHub-adattárból való üzembe helyezéssel.
További információkért lásd a beépített ASIM-elemzőket és a munkaterületen üzembe helyezett elemzőket.
Házon kívül, forrásspecifikus elemzők
A Microsoft Sentinel által biztosított hálózati munkamenet-elemzők listájához tekintse meg az ASIM-elemzők listáját
Saját normalizált elemzők hozzáadása
A hálózati munkamenet-információs modell egyéni elemzőinek fejlesztésekor nevezze el a KQL-függvényeket az alábbi szintaxissal:
-
vimNetworkSession<vendor><Product>parametrizált elemzők esetén -
ASimNetworkSession<vendor><Product>normál elemzőkhöz
Az ASIM-elemzők kezelésével foglalkozó cikkből megtudhatja, hogyan vehet fel egyéni elemzőket a hálózati munkamenet egyesítő elemzőibe.
Szűrőelemző paraméterek
A hálózati munkamenet elemzői támogatják a szűrési paramétereket. Bár ezek a paraméterek nem kötelezőek, javíthatják a lekérdezés teljesítményét.
A következő szűrési paraméterek érhetők el:
| Név | Típus | Leírás |
|---|---|---|
| indítási idő | dátum/idő | Csak az adott időpontban vagy azt követően megkezdett hálózati munkamenetek szűrése. |
| endtime | dátum/idő | Szűrjön csak azokat a hálózati munkameneteket, amelyek ekkor vagy azt megelőzően kezdődtek . |
| srcipaddr_has_any_prefix | dinamikus | Csak olyan hálózati munkamenetek szűrése, amelyeknél a forrás IP-címmező előtagja a felsorolt értékek egyikében található. Az előtagoknak például a .következővel kell végződnie: 10.0.. A lista hossza legfeljebb 10 000 elem lehet. |
| dstipaddr_has_any_prefix | dinamikus | Csak olyan hálózati munkamenetek szűrése, amelyek cél IP-címmezőjének előtagja a felsorolt értékek egyikében található. Az előtagoknak például a .következővel kell végződnie: 10.0.. A lista hossza legfeljebb 10 000 elem lehet. |
| ipaddr_has_any_prefix | dinamikus | Csak olyan hálózati munkamenetek szűrése, amelyek cél IP-címmezője vagy forrás IP-címmező-előtagja a felsorolt értékek egyikében található. Az előtagoknak például a .következővel kell végződnie: 10.0.. A lista hossza legfeljebb 10 000 elem lehet.Az ASimMatchingIpAddr mező az értékek SrcIpAddregyikével van beállítva, DstIpAddrvagy Both az egyező mezőket vagy mezőket tükrözi. |
| dstportnumber | Int | Csak a megadott célportszámmal rendelkező hálózati munkamenetek szűrése. |
| hostname_has_any | dinamikus/sztring | Csak olyan hálózati munkamenetek szűrése, amelyeknél a cél állomásnév mezőjében szerepel a felsorolt értékek bármelyike. A lista hossza legfeljebb 10 000 elem lehet. Az ASimMatchingHostname mező az egyik értékkel SrcHostnamevan beállítva, DstHostnamevagy Both az egyező mezőket vagy mezőket tükrözi. |
| dvcaction | dinamikus/sztring | Csak olyan hálózati munkamenetek szűrése, amelyeknél az Eszközművelet mező a felsorolt értékek bármelyike. |
| eventresult | Sztring | Csak a megadott EventResult értékkel rendelkező hálózati munkamenetek szűrése. |
Egyes paraméterek a típusértékek dynamic listáját vagy egy sztringértéket is elfogadnak. Ha egy konstanslistát dinamikus értéket váró paramétereknek szeretne átadni, használjon explicit módon egy dinamikus literált. Például: dynamic(['192.168.','10.'])
Ha például csak a hálózati munkameneteket szeretné szűrni a megadott tartománynevek listájára, használja a következőt:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
Tipp.
Ha egy konstanslistát dinamikus értéket váró paramétereknek szeretne átadni, használjon explicit módon egy dinamikus literált. Például: dynamic(['192.168.','10.'])
Normalizált tartalom
A normalizált DNS-eseményeket használó elemzési szabályok teljes listáját a hálózati munkamenet biztonsági tartalma tartalmazza.
Séma áttekintése
A hálózati munkamenet információs modellje az OSSEM hálózati entitásséma szerint van összhangban.
A hálózati munkamenet sémája számos hasonló, de eltérő forgatókönyvet szolgál ki, amelyek azonos mezőkkel osztoznak. Ezeket a forgatókönyveket az EventType mező azonosítja:
-
NetworkSession- a hálózatot figyelő köztes eszköz által jelentett hálózati munkamenet, például tűzfal, útválasztó vagy hálózati koppintás. -
L2NetworkSession- olyan hálózati munkamenetek, amelyekhez csak a 2. réteg információi érhetők el. Az ilyen események a MAC-címeket tartalmazzák, az IP-címeket nem. -
Flow- olyan összesített esemény, amely több hasonló hálózati munkamenetet jelent, általában előre meghatározott időszakban, például Netflow-eseményeken . -
EndpointNetworkSession- a munkamenet egyik végpontja által jelentett hálózati munkamenet, beleértve az ügyfeleket és a kiszolgálókat is. Ilyen események esetén a séma támogatja az éslocalazremotealias mezőket. -
IDS- gyanúsként jelentett hálózati munkamenet. Egy ilyen eseményben a vizsgálati mezők némelyike ki lesz töltve, és csak egy IP-címmező van feltöltve, akár a forrás, akár a cél.
A lekérdezéseknek általában csak az adott eseménytípusok egy részhalmazát kell kiválasztaniuk, és előfordulhat, hogy a használati esetek külön egyedi szempontjaival kell foglalkozniuk. Az IDS-események például nem tükrözik a teljes hálózati kötetet, és az oszlopalapú elemzésekben nem szabad figyelembe venni őket.
A hálózati munkamenet eseményei a leírókat használják Src , valamint Dst a munkamenetben részt vevő eszközök és kapcsolódó felhasználók és alkalmazások szerepköreinek jelölésére. Így például a forráseszköz gazdagépneve és IP-címe neve SrcHostname és SrcIpAddr. Más ASIM-sémák általában Target a .Dst
A végpont által jelentett és az eseménytípusú EndpointNetworkSessionesemények esetében a leírók Local és Remote a végpontot, illetve az eszközt a hálózati munkamenet másik végén jelölik.
A leírót Dvc a jelentéskészítő eszközhöz használják, amely a végpont által jelentett munkamenetek helyi rendszere, a közbenső eszköz vagy a hálózati koppintás pedig más hálózati munkamenetek eseményeihez.
Séma részletei
Gyakori ASIM-mezők
Fontos
Az összes sémában közös mezők részletes leírását az ASIM Common Fields című cikk ismerteti.
Általános mezők konkrét irányelvekkel
Az alábbi lista azokat a mezőket sorolja fel, amelyek konkrét irányelvekkel rendelkeznek a hálózati munkamenet eseményeihez:
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| EventCount | Kötelező | Egész | A Netflow-források támogatják az összesítést, az EventCount mezőt pedig a Netflow FLOW mező értékére kell állítani. Más források esetében az érték általában a következőre 1van állítva: . |
| EventType | Kötelező | Enumerated | A rekord által jelentett forgatókönyvet ismerteti. A hálózati munkamenet rekordjai esetében az engedélyezett értékek a következők: - EndpointNetworkSession- NetworkSession - L2NetworkSession- IDS - FlowAz eseménytípusokkal kapcsolatos további információkért tekintse meg a séma áttekintését |
| EventSubType | Választható | Sztring | Szükség esetén az eseménytípus további leírása. A hálózati munkamenet rekordjai esetében a támogatott értékek a következők: - Start- EndEz a mező nem releváns események esetén Flow . |
| EventResult | Kötelező | Enumerated | Ha a forráseszköz nem ad meg eseményeredményt, az EventResult függvénynek a DvcAction értékén kell alapulnia. Ha a DvcAction az Deny, Drop, Drop ICMP, Reset, Reset Sourcevagy Reset Destination, EventResult kell lennie Failure. Ellenkező esetben az EventResult fájlnak kell lennie Success. |
| EventResultDetails | Ajánlott | Enumerated | Az EventResult mezőben jelentett eredmény oka vagy részletei. A támogatott értékek a következők: - Feladatátvétel - Érvénytelen TCP - Érvénytelen alagút – Újrapróbálkozás maximális száma -Átszed – Útválasztási probléma -Szimuláció -Megszűnik -Időkorlát - Átmeneti hiba -Ismeretlen -NA. Az eredeti, forrásspecifikus érték az EventOriginalResultDetails mezőben van tárolva. |
| EventSchema | Kötelező | Sztring | Az itt dokumentált séma neve.NetworkSession |
| EventSchemaVersion | Kötelező | Sztring | A séma verziója. Az itt dokumentált séma verziója.0.2.6 |
| DvcAction | Ajánlott | Enumerated | A hálózati munkameneten végrehajtott művelet. A támogatott értékek a következők: - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNrouteMegjegyzés: Az érték a forrásrekordban különböző kifejezések használatával adható meg, amelyeket ezekre az értékekre kell normalizálni. Az eredeti értéket a DvcOriginalAction mezőben kell tárolni. Példa: drop |
| EventSeverity | Választható | Enumerated | Ha a forráseszköz nem biztosít esemény súlyosságát, az EventSeverity függvénynek a DvcAction értékén kell alapulnia. Ha a DvcAction az Deny, Drop, Drop ICMP, Reset, Reset Sourcevagy Reset Destination, EventSeverity legyen Low. Ellenkező esetben az EventSeverity függvénynek kell lennie Informational. |
| DvcInterface | A DvcInterface mezőnek vagy a DvcInboundInterface vagy a DvcOutboundInterface mezőknek kell aliasnak lennie. | ||
| Dvc-mezők | A hálózati munkamenet eseményeinél az eszközmezők a hálózati munkamenet eseményét jelentik. |
Minden gyakori mező
Az alábbi táblázatban megjelenő mezők az összes ASIM-sémában gyakoriak. A fent megadott útmutatás felülbírálja a mező általános irányelveit. Előfordulhat például, hogy egy mező általában nem kötelező, de egy adott sémához kötelező. Az egyes mezőkkel kapcsolatos további információkért tekintse meg az ASIM Common Fields cikket.
| Osztály | Mezők |
|---|---|
| Kötelező |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Ajánlott |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Választható |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - További mezők - DvcDescription - DvcScopeId - DvcScope |
Hálózati munkamenet mezői
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| NetworkApplicationProtocol | Választható | Sztring | A kapcsolat vagy munkamenet által használt alkalmazásréteg-protokoll. Az értéknek nagybetűsnek kell lennie. Példa: FTP |
| NetworkProtocol | Választható | Enumerated | A kapcsolat vagy munkamenet által az IANA protokoll-hozzárendelésben felsorolt IP-protokoll, amely általában TCP, UDPvagy ICMP.Példa: TCP |
| NetworkProtocolVersion | Választható | Enumerated | A NetworkProtocol verziója. Ha az IP-verzió megkülönböztetésére használja, használja az értékeket IPv4 és IPv6a . |
| NetworkDirection | Választható | Enumerated | A kapcsolat vagy munkamenet iránya: - Az EventType NetworkSessionvagy FlowL2NetworkSessiona NetworkDirection esetében a szervezet vagy a felhőkörnyezet határához viszonyított irányt jelöli. A támogatott értékek a Inboundkövetkezők: , OutboundLocal (a szervezetnek), External (a szervezetnek) vagy NA (nem alkalmazható).- Az EventType EndpointNetworkSessionesetében a NetworkDirection a végponthoz viszonyított irányt jelöli. A támogatott értékek a következőkInbound: , LocalOutbound( a rendszerre) Listen vagy NA (Nem alkalmazható). Az Listen érték azt jelzi, hogy egy eszköz megkezdte a hálózati kapcsolatok elfogadását, de valójában nem feltétlenül csatlakozik. |
| NetworkDuration | Választható | Egész | A hálózati munkamenet vagy kapcsolat befejezéséhez szükséges idő ezredmásodpercben. Példa: 1500 |
| Időtartam | Alias | Alias a NetworkDuration szolgáltatáshoz. | |
| NetworkIcmpType | Választható | Sztring | ICMP-üzenet esetén a numerikus értékhez társított ICMP-típusnév, az IPv4-hálózati kapcsolatok RFC 2780-as verziójában vagy az IPv6-hálózati kapcsolatok RFC 4443-as verziójában leírtak szerint. Példa: Destination Unreachable NetworkIcmpCode esetén 3 |
| NetworkIcmpCode | Választható | Egész | ICMP-üzenet esetén az ICMP kódszáma az IPv4 hálózati kapcsolatok RFC 2780-as verziójában vagy az IPv6-hálózati kapcsolatok RFC 4443-as verziójában leírtak szerint. |
| NetworkConnectionHistory | Választható | Sztring | TCP-jelzők és egyéb lehetséges IP-fejlécadatok. |
| DstBytes | Ajánlott | Hosszú | A célhelyről a kapcsolat vagy munkamenet forrásának küldött bájtok száma. Ha az esemény összesítve van, a DstBytes az összes összesített munkamenet összegének kell lennie. Példa: 32455 |
| SrcBytes | Ajánlott | Hosszú | A forrásból a kapcsolat vagy munkamenet célhelyére küldött bájtok száma. Ha az esemény összesítve van, a SrcBytes-nek kell lennie az összes összesített munkamenet összegének. Példa: 46536 |
| NetworkBytes | Választható | Hosszú | A két irányban küldött bájtok száma. Ha a BytesReceived és a BytesSent is létezik, a BytesTotalnak egyenlőnek kell lennie az összeggel. Ha az esemény összesítve van, a NetworkBytes-nek az összes összesített munkamenet összegének kell lennie. Példa: 78991 |
| DstPackets | Választható | Hosszú | A célhelyről a kapcsolat vagy munkamenet forrásának küldött csomagok száma. A csomagok jelentését a jelentéskészítő eszköz határozza meg. Ha az esemény összesítve van, a DstPacketsnek az összes összesített munkamenet összegének kell lennie. Példa: 446 |
| SrcPackets | Választható | Hosszú | A forrásból a kapcsolat vagy munkamenet célhelyére küldött csomagok száma. A csomagok jelentését a jelentéskészítő eszköz határozza meg. Ha az esemény összesítve van, a SrcPackets az összes összesített munkamenet összegének kell lennie. Példa: 6478 |
| NetworkPackets | Választható | Hosszú | A két irányban küldött csomagok száma. Ha a PacketsReceived és a PacketsSent is létezik, a BytesTotalnak egyenlőnek kell lennie az összegükkel. A csomagok jelentését a jelentéskészítő eszköz határozza meg. Ha az esemény összesítve van, a NetworkPacketsnek az összes összesített munkamenet összegének kell lennie. Példa: 6924 |
| NetworkSessionId | Választható | húr | A jelentéskészítő eszköz által jelentett munkamenet-azonosító. Példa: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| Munkamenet-azonosító | Alias | Sztring | Alias a NetworkSessionId-hez. |
| TcpFlagsAck | Választható | Logikai | A JELENTETT TCP ACK-jelző. A nyugtázási jelzővel nyugtázhatja a csomagok sikeres fogadását. Ahogy a fenti ábrán látható, a fogadó egy ACK-t és egy SYN-t küld a háromutas kézfogási folyamat második lépésében, hogy tájékoztassa a feladót arról, hogy megkapta a kezdeti csomagot. |
| TcpFlagsFin | Választható | Logikai | A JELENTETT TCP FIN-jelző. A kész jelző azt jelenti, hogy nincs több adat a feladótól. Ezért a rendszer a feladótól küldött utolsó csomagban használja. |
| TcpFlagsSyn | Választható | Logikai | A JELENTETT TCP SYN-jelző. A szinkronizálási jelzőt első lépésként használjuk a két gazdagép közötti háromirányú kézfogás kialakításához. Csak a feladó és a fogadó első csomagja rendelkezhet ezzel a jelzővel. |
| TcpFlagsUrg | Választható | Logikai | A JELENTETT TCP URG jelző. A sürgős jelzővel a rendszer értesíti a fogadót a sürgős csomagok feldolgozásáról az összes többi csomag feldolgozása előtt. A fogadó értesítést kap, ha az összes ismert sürgős adat megérkezett. További részletekért lásd az RFC 6093-at . |
| TcpFlagsPsh | Választható | Logikai | A jelentett TCP PSH-jelző. A leküldéses jelző hasonló az URG jelzőhöz, és arra utasítja a fogadót, hogy a beérkező csomagok feldolgozása helyett pufferelje őket. |
| TcpFlagsRst | Választható | Logikai | A JELENTETT TCP RST-jelző. Az alaphelyzetbe állítás jelzőt a rendszer elküldi a címzetttől a feladónak, amikor egy csomagot egy olyan gazdagépre küldenek, amely nem várta. |
| TcpFlagsEce | Választható | Logikai | A JELENTETT TCP ECE-jelző. Ez a jelző felelős annak jelzéséért, hogy a TCP-társ ECN-kompatibilis-e. További részletekért lásd az RFC 3168-at . |
| TcpFlagsCwr | Választható | Logikai | A jelentett TCP CWR-jelző. A torlódási ablak csökkentett jelzőjével jelzi a küldő gazdagép, hogy kapott egy csomagot az ECE jelzőkészlettel. További részletekért lásd az RFC 3168-at . |
| TcpFlagsNs | Választható | Logikai | A jelentett TCP NS-jelző. A nonce sum flag továbbra is kísérleti jelző, amely segít megvédeni a csomagok véletlen rosszindulatú elrejtését a feladótól. További részletekért lásd: RFC 3540 |
Célrendszermezők
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| Dst | Ajánlott | Alias | A DNS-kérést fogadó kiszolgáló egyedi azonosítója. Ez a mező aliasként használhatja a DstDvcId, a DstHostname vagy a DstIpAddr mezőket. Példa: 192.168.12.1 |
| DstIpAddr | Ajánlott | IP-cím | A kapcsolat vagy a munkamenet célhelyének IP-címe. Ha a munkamenet hálózati címfordítást használ, DstIpAddr az a nyilvánosan látható cím, és nem a forrás eredeti címe, amelyet a DstNatIpAddr tárol Példa: 2001:db8::ff00:42:8329Megjegyzés: Ez az érték kötelező, ha a DstHostname meg van adva. |
| DstPortNumber | Választható | Egész | A cél IP-port. Példa: 443 |
| DstHostname | Ajánlott | Hostname (Gazdanév) | A céleszköz állomásneve, a tartományadatok kivételével. Ha nem érhető el eszköznév, ebben a mezőben tárolja a megfelelő IP-címet. Példa: DESKTOP-1282V4D |
| DstDomain | Ajánlott | Sztring | A céleszköz tartománya. Példa: Contoso |
| DstDomainType | Feltételes | Enumerated | A DstDomain típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a DomainType témakört a Séma áttekintése című cikkben. A DstDomain használata esetén kötelező megadni. |
| DstFQDN | Választható | Sztring | A céleszköz állomásneve, beleértve a tartományadatokat, ha elérhető. Példa: Contoso\DESKTOP-1282V4D Megjegyzés: Ez a mező támogatja a hagyományos teljes tartománynév és a Windows tartománynév formátumot is. A DstDomainType a használt formátumot tükrözi. |
| DstDvcId | Választható | Sztring | A céleszköz azonosítója. Ha több azonosító is elérhető, használja a legfontosabbat, és tárolja a többit a mezőkben DstDvc<DvcIdType>. Példa: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | Választható | Sztring | A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. A DstDvcScopeId az Azure-beli előfizetés-azonosítóra és az AWS-fiókazonosítóra van leképezetten. |
| DstDvcScope | Választható | Sztring | A felhőplatform hatóköre, amelyhez az eszköz tartozik. A DstDvcScope egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
| DstDvcIdType | Feltételes | Enumerated | A DstDvcId típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a DvcIdType-t a Séma áttekintése című cikkben. A DstDeviceId használata esetén kötelező megadni. |
| DstDeviceType | Választható | Enumerated | A céleszköz típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a DeviceType-t a Séma áttekintése című cikkben. |
| DstZone | Választható | Sztring | A célhely hálózati zónája a jelentéskészítő eszköz által meghatározott módon. Példa: Dmz |
| DstInterfaceName | Választható | Sztring | A céleszköz által a kapcsolathoz vagy munkamenethez használt hálózati adapter. Példa: Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | Választható | Sztring | A céleszközön használt hálózati adapter GUID azonosítója. Példa: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | Választható | Sztring | A céleszköz által a kapcsolathoz vagy munkamenethez használt hálózati adapter MAC-címe. Példa: 06:10:9f:eb:8f:14 |
| DstVlanId | Választható | Sztring | A céleszközhöz kapcsolódó VLAN-azonosító. Példa: 130 |
| OuterVlanId | Választható | Alias | Alias – DstVlanId. A VLAN sok esetben nem határozható meg forrásként vagy célként, de belső vagy külsőként van jellemezve. Ez az alias azt jelzi, hogy a DstVlanId-et akkor kell használni, ha a VLAN külsőként van jellemezve. |
| DstSubscriptionId | Választható | Sztring | Az a felhőplatform-előfizetés azonosítója, amelyhez a céleszköz tartozik. A DstSubscriptionId az Azure-beli előfizetés-azonosítóra és az AWS-fiókazonosítóra képez le. |
| DstGeoCountry | Választható | Ország | A cél IP-címéhez társított ország/régió. További információ: Logikai típusok. Példa: USA |
| DstGeoRegion | Választható | Régió | A cél IP-címhez társított régió vagy állam. További információ: Logikai típusok. Példa: Vermont |
| DstGeoCity | Választható | Város | A cél IP-címéhez társított város. További információ: Logikai típusok. Példa: Burlington |
| DstGeoLatitude | Választható | Latitude | A cél IP-címéhez társított földrajzi koordináták szélessége. További információ: Logikai típusok. Példa: 44.475833 |
| DstGeoLongitude | Választható | Longitude | A cél IP-címhez társított földrajzi koordinátának a hosszúsága. További információ: Logikai típusok. Példa: 73.211944 |
Célfelhasználói mezők
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| DstUserId | Választható | Sztring | A célfelhasználó géppel olvasható, alfanumerikus, egyedi ábrázolása. A különböző azonosítótípusok támogatott formátumához tekintse meg a Felhasználó entitást. Példa: S-1-12 |
| DstUserScope | Választható | Sztring | A hatókör, például a Microsoft Entra-bérlő, amelyben a DstUserId és a DstUsername definiálva van. vagy további információk és az engedélyezett értékek listája: UserScope a Séma áttekintése című cikkben. |
| DstUserScopeId | Választható | Sztring | A hatókör azonosítója, például a Microsoft Entra Directory ID, amelyben a DstUserId és a DstUsername definiálva van. További információ és az engedélyezett értékek listája: UserScopeId a Séma áttekintése című cikkben. |
| DstUserIdType | Feltételes | UserIdType | A DstUserId mezőben tárolt azonosító típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a UserIdType-t a Séma áttekintése című cikkben. |
| DstUsername | Választható | Sztring | A célnév, beleértve a tartományinformációkat, ha elérhető. A különböző azonosítótípusok támogatott formátumához tekintse meg a Felhasználó entitást. Csak akkor használja az egyszerű űrlapot, ha a tartományinformációk nem érhetők el. Tárolja a Felhasználónév típusát a DstUsernameType mezőben. Ha más felhasználónévformátumok is elérhetők, tárolja őket a mezőkben DstUsername<UsernameType>.Példa: AlbertE |
| Felhasználó | Alias | Alias a DstUsername névhez. | |
| DstUsernameType | Feltételes | UsernameType | A DstUsername mezőben tárolt felhasználónév típusát adja meg. Az engedélyezett értékek listájáért és további információkért tekintse meg a Felhasználónévtípust a Séma áttekintése című cikkben. Példa: Windows |
| DstUserType | Választható | UserType | A célfelhasználó típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a UserType című témakört a Séma áttekintése című cikkben. Megjegyzés: Az érték a forrásrekordban különböző kifejezések használatával adható meg, amelyeket ezekre az értékekre kell normalizálni. Tárolja az eredeti értéket a DstOriginalUserType mezőben. |
| DstOriginalUserType | Választható | Sztring | Az eredeti célfelhasználó típusa, ha a forrás megadja. |
Célalkalmazás mezői
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| DstAppName | Választható | Sztring | A célalkalmazás neve. Példa: Facebook |
| DstAppId | Választható | Sztring | A célalkalmazás azonosítója a jelentéskészítő eszköz által jelentett módon. Ha a DstAppType értéke , ProcessDstAppId és DstProcessId ugyanazzal az értékkel kell rendelkeznie.Példa: 124 |
| DstAppType | Választható | AppType | A célalkalmazás típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg az AppType-t a Séma áttekintése című cikkben. Ez a mező kötelező a DstAppName vagy a DstAppId használata esetén. |
| DstProcessName | Választható | Sztring | A hálózati munkamenetet megszakító folyamat fájlneve. Ez a név általában a folyamat neve. Példa: C:\Windows\explorer.exe |
| Folyamat | Alias | Alias a DstProcessName-hez Példa: C:\Windows\System32\rundll32.exe |
|
| DstProcessId | Választható | Sztring | A hálózati munkamenetet megszakító folyamat folyamatazonosítója (PID). Példa: 48610176 Megjegyzés: A típus sztringkéntvan definiálva a különböző rendszerek támogatásához, de Windows és Linux rendszeren ennek az értéknek numerikusnak kell lennie. Ha Windows vagy Linux rendszerű gépet használ, és más típust használ, mindenképpen konvertálja az értékeket. Ha például hexadecimális értéket használt, konvertálja decimális értékké. |
| DstProcessGuid | Választható | Sztring | A hálózati munkamenetet megszakító folyamat generált egyedi azonosítója (GUID). Példa: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Forrásrendszermezők
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| Src | Alias | A forráseszköz egyedi azonosítója. Ez a mező aliasa lehet az SrcDvcId, az SrcHostname vagy a SrcIpAddr mező. Példa: 192.168.12.1 |
|
| SrcIpAddr | Ajánlott | IP-cím | Az IP-cím, amelyről a kapcsolat vagy a munkamenet származik. Ez az érték kötelező, ha az SrcHostname meg van adva. Ha a munkamenet hálózati címfordítást használ, SrcIpAddr az a nyilvánosan látható cím, és nem a forrás eredeti címe, amelyet a SrcNatIpAddr tárol Példa: 77.138.103.108 |
| SrcPortNumber | Választható | Egész | Az IP-port, ahonnan a kapcsolat származik. Lehet, hogy nem releváns több kapcsolatot tartalmazó munkamenet esetén. Példa: 2335 |
| SrcHostname | Ajánlott | Hostname (Gazdanév) | A forráseszköz gazdagépneve, a tartományinformációk kivételével. Ha nem érhető el eszköznév, ebben a mezőben tárolja a megfelelő IP-címet. Példa: DESKTOP-1282V4D |
| SrcDomain | Ajánlott | Sztring | A forráseszköz tartománya. Példa: Contoso |
| SrcDomainType | Feltételes | DomainType | A SrcDomain típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a DomainType témakört a Séma áttekintése című cikkben. A SrcDomain használata esetén kötelező megadni. |
| SrcFQDN | Választható | Sztring | A forráseszköz állomásneve, beleértve a tartományinformációkat, ha elérhető. Megjegyzés: Ez a mező támogatja a hagyományos teljes tartománynév és a Windows tartománynév formátumot is. Az SrcDomainType mező a használt formátumot tükrözi. Példa: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Választható | Sztring | A forráseszköz azonosítója. Ha több azonosító is elérhető, használja a legfontosabbat, és tárolja a többit a mezőkben SrcDvc<DvcIdType>.Példa: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Választható | Sztring | A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. Az SrcDvcScopeId az Azure-beli előfizetés-azonosítóra és az AWS-fiókazonosítóra van leképezetten. |
| SrcDvcScope | Választható | Sztring | A felhőplatform hatóköre, amelyhez az eszköz tartozik. Az SrcDvcScope egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
| SrcDvcIdType | Feltételes | DvcIdType | Az SrcDvcId típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a DvcIdType-t a Séma áttekintése című cikkben. Megjegyzés: Ez a mező SrcDvcId használata esetén kötelező. |
| SrcDeviceType | Választható | DeviceType | A forráseszköz típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a DeviceType-t a Séma áttekintése című cikkben. |
| SrcZone | Választható | Sztring | A forrás hálózati zónája a jelentéskészítő eszköz által meghatározott módon. Példa: Internet |
| SrcInterfaceName | Választható | Sztring | A forráseszköz által a kapcsolathoz vagy munkamenethez használt hálózati adapter. Példa: eth01 |
| SrcInterfaceGuid | Választható | Sztring | A forráseszközön használt hálózati adapter GUID azonosítója. Példa: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | Választható | Sztring | Annak a hálózati adapternek a MAC-címe, ahonnan a kapcsolat vagy a munkamenet származik. Példa: 06:10:9f:eb:8f:14 |
| SrcVlanId | Választható | Sztring | A forráseszközhöz kapcsolódó VLAN-azonosító. Példa: 130 |
| InnerVlanId | Választható | Alias | Alias a SrcVlanId-hez. A VLAN sok esetben nem határozható meg forrásként vagy célként, de belső vagy külsőként van jellemezve. Ez az alias azt jelzi, hogy az SrcVlanId-et akkor kell használni, ha a VLAN belsőként van jellemezve. |
| SrcSubscriptionId | Választható | Sztring | A felhőplatform-előfizetés azonosítója, amelyhez a forráseszköz tartozik. SrcSubscriptionId-leképezés az Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra. |
| SrcGeoCountry | Választható | Ország | A forrás IP-címéhez társított ország/régió. Példa: USA |
| SrcGeoRegion | Választható | Régió | A forrás IP-címéhez társított régió. Példa: Vermont |
| SrcGeoCity | Választható | Város | A forrás IP-címéhez társított város. Példa: Burlington |
| SrcGeoLatitude | Választható | Latitude | A forrás IP-címhez társított földrajzi koordináták szélessége. Példa: 44.475833 |
| SrcGeoLongitude | Választható | Longitude | A forrás IP-címhez társított földrajzi koordináták hosszúsága. Példa: 73.211944 |
Forrásfelhasználói mezők
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| SrcUserId | Választható | Sztring | A forrásfelhasználó géppel olvasható, alfanumerikus, egyedi ábrázolása. A különböző azonosítótípusok támogatott formátumához tekintse meg a Felhasználó entitást. Példa: S-1-12 |
| SrcUserScope | Választható | Sztring | A hatókör, például a Microsoft Entra-bérlő, amelyben az SrcUserId és a SrcUsername definiálva van. vagy további információk és az engedélyezett értékek listája: UserScope a Séma áttekintése című cikkben. |
| SrcUserScopeId | Választható | Sztring | A hatókör azonosítója, például a Microsoft Entra Directory ID, amelyben az SrcUserId és a SrcUsername definiálva van. További információ és az engedélyezett értékek listája: UserScopeId a Séma áttekintése című cikkben. |
| SrcUserIdType | Feltételes | UserIdType | Az SrcUserId mezőben tárolt azonosító típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a UserIdType-t a Séma áttekintése című cikkben. |
| SrcUsername | Választható | Sztring | A forrás felhasználóneve, beleértve a tartományinformációkat is, ha elérhetők. A különböző azonosítótípusok támogatott formátumához tekintse meg a Felhasználó entitást. Csak akkor használja az egyszerű űrlapot, ha a tartományinformációk nem érhetők el. Tárolja a Felhasználónév típust a SrcUsernameType mezőben. Ha más felhasználónévformátumok is elérhetők, tárolja őket a mezőkben SrcUsername<UsernameType>.Példa: AlbertE |
| SrcUsernameType | Feltételes | UsernameType | A SrcUsername mezőben tárolt felhasználónév típusát adja meg. Az engedélyezett értékek listájáért és további információkért tekintse meg a Felhasználónévtípust a Séma áttekintése című cikkben. Példa: Windows |
| SrcUserType | Választható | UserType | A forrásfelhasználó típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a UserType című témakört a Séma áttekintése című cikkben. Megjegyzés: Az érték a forrásrekordban különböző kifejezések használatával adható meg, amelyeket ezekre az értékekre kell normalizálni. Tárolja az eredeti értéket a SrcOriginalUserType mezőben. |
| SrcOriginalUserType | Választható | Sztring | Ha a jelentéskészítő eszköz megadja, az eredeti célfelhasználó típusa. |
Forrásalkalmazás mezői
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| SrcAppName | Választható | Sztring | A forrásalkalmazás neve. Példa: filezilla.exe |
| SrcAppId | Választható | Sztring | A forrásalkalmazás azonosítója a jelentéskészítő eszköz által jelentett módon. Ha az SrcAppType értéke , ProcessSrcAppId és SrcProcessId ugyanazzal az értékkel kell rendelkeznie.Példa: 124 |
| SrcAppType | Választható | AppType | A forrásalkalmazás típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg az AppType-t a Séma áttekintése című cikkben. Ez a mező kötelező, ha SrcAppName vagy SrcAppId van használatban. |
| SrcProcessName | Választható | Sztring | A hálózati munkamenetet kezdeményező folyamat fájlneve. Ez a név általában a folyamat neve. Példa: C:\Windows\explorer.exe |
| SrcProcessId | Választható | Sztring | A hálózati munkamenetet kezdeményező folyamat folyamatazonosítója (PID). Példa: 48610176 Megjegyzés: A típus sztringkéntvan definiálva a különböző rendszerek támogatásához, de Windows és Linux rendszeren ennek az értéknek numerikusnak kell lennie. Ha Windows vagy Linux rendszerű gépet használ, és más típust használ, mindenképpen konvertálja az értékeket. Ha például hexadecimális értéket használt, konvertálja decimális értékké. |
| SrcProcessGuid | Választható | Sztring | A hálózati munkamenetet kezdeményező folyamat generált egyedi azonosítója (GUID). Példa: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Helyi és távoli aliasok
A fent felsorolt forrás- és célmezők tetszőlegesen aliasosak lehetnek az azonos nevű mezők, valamint a leírók Local és Remotea . Ez általában hasznos a végpont által jelentett és az eseménytípushoz EndpointNetworkSessiontartozó eseményekhez.
Ilyen események esetén a leírók Local és Remote a végpontot, illetve az eszközt a hálózati munkamenet másik végén jelölik. Bejövő kapcsolatok esetén a helyi rendszer a cél, Local a mezők aliasai a Dst mezőknek, a "Távoli" mezők pedig a mezők aliasai Src . Ezzel szemben a kimenő kapcsolatok esetében a helyi rendszer a forrás, Local a Src mezők a mezők aliasai, a Remote mezők pedig a mezők aliasai Dst .
Bejövő esemény esetén például a mező LocalIpAddr a cél aliasa DstIpAddr , a mező RemoteIpAddr pedig a következő aliasa SrcIpAddr: .
Állomásnév és IP-cím aliasai
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| Állomásnév | Alias | - Ha az esemény típusa NetworkSession, Flow vagy L2NetworkSessiona Gazdagépnév a DstHostname aliasa.- Ha az esemény típusa, EndpointNetworkSessiona Gazdagépnév egy aliasaRemoteHostname, amely a NetworkDirectiontól függően a DstHostname vagy az SrcHostName alias lehet |
|
| IpAddr | Alias | - Ha az esemény típusa NetworkSession, Flow vagy L2NetworkSessionaz IpAddr a SrcIpAddr aliasa.- Ha az esemény típusa az EndpointNetworkSession, akkor az IpAddr egy olyan aliasLocalIpAddr, amely a NetworkDirectiontól függően srcIpAddr vagy DstIpAddr alias lehet. |
Közvetítőeszköz és hálózati címfordítás (NAT) mezői
Az alábbi mezők akkor hasznosak, ha a rekord egy közvetítőeszközre, például tűzfalra vagy proxyra vonatkozó információkat tartalmaz, amelyek továbbítják a hálózati munkamenetet.
A közvetítő rendszerek gyakran használnak címfordítást, ezért az eredeti cím és a külsőleg megfigyelt cím nem azonos. Ilyen esetekben az olyan elsődleges címmezők, mint a SrcIPAddr és a DstIpAddr , a külsőleg megfigyelt címeket, míg a NAT-címmezők, a SrcNatIpAddr és a DstNatIpAddr az eredeti eszköz belső címét képviselik a fordítás előtt.
Vizsgálati mezők
A következő mezők azt az ellenőrzést jelölik, amelyet egy biztonsági eszköz, például tűzfal, IPS vagy webes biztonsági átjáró hajtott végre:
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| NetworkRuleName | Választható | Sztring | Annak a szabálynak a neve vagy azonosítója, amellyel a DvcAction döntést hozott. Példa: AnyAnyDrop |
| NetworkRuleNumber | Választható | Egész | Annak a szabálynak a száma, amellyel a DvcAction döntésre került. Példa: 23 |
| Szabály | Alias | Sztring | A NetworkRuleName vagy a NetworkRuleNumber értéke. Ha a NetworkRuleNumber értékét használja, a típust sztringgé kell konvertálni. |
| ThreatId | Választható | Sztring | A hálózati munkamenetben azonosított fenyegetés vagy kártevő azonosítója. Példa: Tr.124 |
| ThreatName | Választható | Sztring | A hálózati munkamenetben azonosított fenyegetés vagy kártevő neve. Példa: EICAR Test File |
| ThreatCategory | Választható | Sztring | A hálózati munkamenetben azonosított fenyegetés vagy kártevők kategóriája. Példa: Trojan |
| ThreatRiskLevel | Választható | Egész | A munkamenethez társított kockázati szint. A szintnek 0 és 100 közötti számnak kell lennie. Megjegyzés: Előfordulhat, hogy az érték egy másik skálával jelenik meg a forrásrekordban, amelyet erre a skálára kell normalizálni. Az eredeti értéket a ThreatRiskLevelOriginal fájlban kell tárolni. |
| ThreatOriginalRiskLevel | Választható | Sztring | A jelentéskészítő eszköz által jelentett kockázati szint. |
| ThreatIpAddr | Választható | IP Address | Egy IP-cím, amelyhez fenyegetést azonosítottak. A ThreatField mező a ThreatIpAddr által képviselt mező nevét tartalmazza. |
| ThreatField | Feltételes | Enumerated | Az a mező, amelyhez fenyegetést azonosítottak. Az érték vagy SrcIpAddrDstIpAddr. |
| ThreatConfidence | Választható | Egész | A azonosított fenyegetés megbízhatósági szintje 0 és 100 közötti értékre normalizálva. |
| ThreatOriginalConfidence | Választható | Sztring | Az azonosított fenyegetés eredeti megbízhatósági szintje a jelentéskészítő eszköz által jelentett módon. |
| ThreatIsActive | Választható | Logikai | Igaz, ha az azonosított fenyegetés aktív fenyegetésnek minősül. |
| ThreatFirstReportedTime | Választható | dátum/idő | Az IP-cím vagy tartomány első azonosítása fenyegetésként. |
| ThreatLastReportedTime | Választható | dátum/idő | Az IP-cím vagy tartomány legutóbbi azonosítása fenyegetésként. |
Egyéb mezők
Ha az eseményt a hálózati munkamenet egyik végpontja jelenti, az információkat is tartalmazhat a munkamenetet kezdeményező vagy megszakító folyamatról. Ilyen esetekben az ASIM folyamatesemény sémája normalizálja ezeket az információkat.
Sémafrissítések
A séma 0.2.1-es verziójának változásai a következők:
- Aliasként hozzáadva
Srca forrás- ésDstcélrendszerek vezető azonosítóihoz. - Hozzáadta a mezőket
NetworkConnectionHistory,SrcVlanId,DstVlanIdésOuterVlanIdInnerVlanId.
A séma 0.2.2-es verziójának változásai a következők:
- Hozzáadott
RemoteésLocalaliasok. - Hozzáadta az eseménytípust
EndpointNetworkSession. - Az eseménytípushoz és annak aliasaként
LocalIpAddrRemoteHostnamedefiniálvaHostnameEndpointNetworkSession.IpAddr - Aliasként definiálva
DvcInterfacea következőhözDvcInboundInterfacevagyDvcOutboundInterface. - Az alábbi mezők típusát egész számról Hosszúra módosította:
SrcBytes,DstBytes,NetworkBytes,SrcPackets,DstPacketsésNetworkPackets. - Hozzáadta a mezőket
NetworkProtocolVersion,SrcSubscriptionIdésDstSubscriptionId. - Elavult
DstUserDomainésSrcUserDomain.
A séma 0.2.3-s verziójának változásai a következők:
- Hozzáadta a
ipaddr_has_any_prefixszűrési paramétert. - A
hostname_has_anyszűrési paraméter most már megfelel a forrás vagy a cél állomásnévnek. - Hozzáadta a mezőket
ASimMatchingHostnameésASimMatchingIpAddra .
A séma 0.2.4-es verziójának változásai a következők:
- Hozzáadta a
TcpFlagsmezőket. - Frissítve
NetworkIcpmType, ésNetworkIcmpCodemindkettő számértékének megfelelően. - További ellenőrzési mezőket adott hozzá.
- A "ThreatRiskLevelOriginal" mező átnevezve
ThreatOriginalRiskLevellett az ASIM-konvenciókhoz való igazodásra. A meglévő Microsoft-elemzők 2023. május 1-ig megmaradnakThreatRiskLevelOriginal. - Ajánlottként jelölve
EventResultDetails, és megadta az engedélyezett értékeket.
A séma 0.2.5-ös verziójának változásai a következők:
- Hozzáadta a mezőket
DstUserScope,SrcUserScope,SrcDvcScopeId,SrcDvcScope,DstDvcScopeIdDstDvcScope,DvcScopeIdésDvcScope.
A séma 0.2.6-os verziójának változásai a következők:
- Azonosítók hozzáadása eseménytípusként
Következő lépések
További információk: