Referensi skema normalisasi Sesi Jaringan Advanced Security Information Model (ASIM) (Pratinjau umum)
Skema normalisasi Sesi Jaringan Microsoft Sentinel mewakili aktivitas jaringan IP, seperti koneksi jaringan dan sesi jaringan. Peristiwa tersebut dilaporkan, misalnya, oleh sistem operasi, router, firewall, dan sistem pencegahan intrusi.
Skema normalisasi jaringan dapat mewakili semua jenis sesi jaringan IP tetapi dirancang untuk memberikan dukungan untuk jenis sumber umum, seperti Netflow, firewall, dan sistem pencegahan intrusi.
Untuk informasi selengkapnya tentang normalisasi di Microsoft Sentinel, lihat Normalisasi dan Model Informasi Keamanan Tingkat Lanjut (ASIM).
Artikel ini menjelaskan versi 0.2.x dari skema normalisasi jaringan. Versi 0.1 dirilis sebelum ASIM tersedia dan tidak selaras dengan ASIM di beberapa tempat. Untuk informasi selengkapnya, lihat Perbedaan antara versi skema normalisasi jaringan.
Penting
Skema normalisasi Jaringan saat ini dalam pratinjau. Fitur ini disediakan tanpa perjanjian tingkat layanan. Kami tidak merekomendasikannya untuk beban kerja produksi.
Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Parser
Untuk informasi selengkapnya tentang parser ASIM, lihat gambaran umum parser ASIM.
Menyatukan pengurai
Untuk menggunakan pengurai yang menyatukan semua pengurai out-of-the-box ASIM, dan memastikan bahwa analisis Anda berjalan di semua sumber yang dikonfigurasi, gunakan _Im_NetworkSession
memfilter pengurai atau _ASim_NetworkSession
pengurai tanpa parameter.
Anda juga dapat menggunakan penyebaran dengan ruang kerja ImNetworkSession
dan ASimNetworkSession
pengurai dengan menyebarkannya dari repositori Microsoft Sentinel GitHub.
Untuk informasi selengkapnya, lihat pengurai ASIM bawaan dan pengurai yang disebarkan di ruang kerja.
Pengurai di luar kotak, khusus-sumber
Untuk daftar parser Sesi Jaringan yang disediakan Microsoft Azure Sentinel di luar kotak, lihat daftar parser ASIM
Tambahkan parser normalisasi Anda sendiri
Saat mengembangkan pengurai kustom untuk model informasi Sesi Jaringan, beri nama fungsi KQL Anda menggunakan sintaks berikut:
-
vimNetworkSession<vendor><Product>
untuk pengurai berparameter -
ASimNetworkSession<vendor><Product>
untuk pengurai reguler
Lihat artikel Mengelola pengurai ASIM untuk mempelajari cara menambahkan parser kustom Anda ke parser pemersatu sesi jaringan.
Memfilter parameter parser
Pengurai Sesi Jaringan mendukung parameter pemfilteran. Meskipun parameter ini bersifat opsional, parameter ini dapat meningkatkan performa kueri Anda.
Parameter pemfilteran berikut ini tersedia:
Nama | Tipe | Deskripsi |
---|---|---|
starttime | datetime | Filter hanya sesi jaringan yang dimulai pada atau setelah waktu ini. |
endtime | datetime | Filter hanya sesi jaringan yang mulai dijalankan pada atau setelah waktu ini. |
srcipaddr_has_any_prefix | dinamis | Filter hanya sesi jaringan yang prefiks bidang alamat IP sumbernya berada di salah satu nilai yang tercantum. Prefiks harus diakhiri dengan . , misalnya: 10.0. . Panjang daftar dibatasi hingga 10.000 item. |
srcipaddr_has_any_prefix | dinamis | Filter hanya sesi jaringan yang prefiks bidang alamat IP sumbernya berada di salah satu nilai yang tercantum. Prefiks harus diakhiri dengan . , misalnya: 10.0. . Panjang daftar dibatasi hingga 10.000 item. |
ipaddr_has_any_prefix | dinamis | Filter hanya sesi jaringan yang prefiks bidang alamat IP tujuan atau bidang alamat IP sumber berada di salah satu nilai yang tercantum. Prefiks harus diakhiri dengan . , misalnya: 10.0. . Panjang daftar dibatasi hingga 10.000 item.Bidang ASimMatchingIpAddr diatur dengan salah satu nilai SrcIpAddr , DstIpAddr , atau Both untuk mencerminkan bidang atau bidang yang cocok. |
dstportnumber | Int | Filter hanya sesi jaringan dengan nomor port tujuan yang ditentukan. |
hostname_has_any | dynamic/string | Filter hanya sesi jaringan yang bidang nama host tujuan memiliki salah satu nilai yang tercantum. Panjang daftar dibatasi hingga 10.000 item. Bidang ASimMatchingHostname diatur dengan salah satu nilai SrcHostname , DstHostname , atau Both untuk mencerminkan bidang atau bidang yang cocok. |
dvcaction | dynamic/string | Filter hanya sesi jaringan yang bidang Tindakan Perangkat adalah salah satu nilai yang tercantum. |
eventresult | String | Filter hanya sesi jaringan dengan nilai EventResult tertentu. |
Beberapa parameter dapat menerima kedua daftar nilai jenis dynamic
atau nilai string tunggal. Untuk meneruskan daftar harfiah ke parameter yang memerlukan nilai dinamis, secara eksplisit gunakan harfiah dinamis. Misalnya: dynamic(['192.168.','10.'])
Misalnya, untuk memfilter hanya sesi jaringan untuk daftar nama domain tertentu, gunakan:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
Tip
Untuk meneruskan daftar harfiah ke parameter yang memerlukan nilai dinamis, secara eksplisit gunakan harfiah dinamis. Misalnya: dynamic(['192.168.','10.'])
.
Konten yang dinormalisasi
Untuk daftar lengkap aturan analitik yang menggunakan peristiwa DNS yang dinormalisasi, lihat Konten keamanan sesi jaringan.
Gambaran umum Skema
Model informasi Sesi Jaringan disejajarkan dengan skema entitas Jaringan OSSEM.
Skema Sesi Jaringan melayani beberapa jenis skenario serupa tetapi berbeda, yang memiliki bidang yang sama. Skenario tersebut diidentifikasi oleh bidang EventType:
-
NetworkSession
- sesi jaringan yang dilaporkan oleh perangkat perantara yang memantau jaringan, seperti Firewall, router, atau ketukan jaringan. -
L2NetworkSession
- sesi jaringan yang hanya tersedia informasi lapisan 2. Peristiwa tersebut akan mencakup alamat MAC tetapi bukan alamat IP. -
Flow
- peristiwa agregat yang melaporkan beberapa sesi jaringan serupa, biasanya selama periode waktu yang telah ditentukan sebelumnya, seperti peristiwa Netflow . -
EndpointNetworkSession
- sesi jaringan yang dilaporkan oleh salah satu titik akhir sesi, termasuk klien dan server. Untuk peristiwa tersebut, skema mendukungremote
bidang alias danlocal
. -
IDS
- sesi jaringan yang dilaporkan mencurigakan. Peristiwa seperti itu akan memiliki beberapa bidang inspeksi yang diisi, dan mungkin hanya memiliki satu bidang alamat IP yang diisi, baik sumber atau tujuan.
Biasanya, kueri harus memilih hanya subset dari jenis peristiwa tersebut, dan mungkin perlu mengatasi aspek unik kasus penggunaan secara terpisah. Misalnya, peristiwa IDS tidak mencerminkan seluruh volume jaringan dan tidak boleh diperhitungkan dalam analitik berbasis kolom.
Acara sesi jaringan menggunakan deskriptor Src
dan Dst
untuk menunjukkan peran perangkat dan pengguna dan aplikasi terkait yang terlibat dalam sesi tersebut. Jadi, misalnya, nama host perangkat sumber dan alamat IP diberi nama SrcHostname
dan SrcIpAddr
. Skema ASIM lainnya biasanya menggunakan Target
alih-alih Dst
.
Untuk peristiwa yang dilaporkan oleh titik akhir dan untuk jenis peristiwanya EndpointNetworkSession
, deskriptor Local
dan Remote
menunjukkan titik akhir itu sendiri dan perangkat di ujung lain sesi jaringan masing-masing.
Deskriptor Dvc
digunakan untuk perangkat pelaporan, yang merupakan sistem lokal untuk sesi yang dilaporkan oleh titik akhir, dan perangkat perantara atau ketukan jaringan untuk acara sesi jaringan lainnya.
Detail skema
Bidang ASIM umum
Penting
Bidang yang umum untuk semua skema dijelaskan secara rinci dalam artikel Bidang Umum ASIM.
Bidang umum dengan pedoman khusus
Daftar berikut menyebutkan bidang yang memiliki pedoman khusus untuk acara Sesi Jaringan:
Bidang | Kelas | Tipe | Deskripsi |
---|---|---|---|
EventCount | Wajib | Bilangan bulat | Sumber Netflow mendukung agregasi, dan bidang EventCount harus diatur ke nilai bidang FLOWS Netflow. Untuk sumber lain, nilainya biasanya disetel ke 1 . |
EventType | Wajib | Disebutkan | Menjelaskan skenario yang dilaporkan oleh rekaman. Untuk catatan Sesi Jaringan, nilai yang diizinkan adalah: - EndpointNetworkSession - NetworkSession - L2NetworkSession - IDS - Flow Untuk informasi selengkapnya tentang jenis peristiwa, lihat gambaran umum skema |
EventSubType | Opsional | String | Deskripsi tambahan tentang jenis peristiwa, jika berlaku. Untuk catatan Sesi Jaringan, nilai yang didukung meliputi: - Start - End Bidang ini tidak relevan untuk Flow peristiwa. |
EventResult | Wajib | Disebutkan | Jika perangkat sumber tidak memberikan hasil acara, EventResult harus didasarkan pada nilai DvcAction. Jika DvcAction adalah Deny , Drop , Drop ICMP , Reset , Reset Source , atau Reset Destination , EventResult seharusnya Failure . Jika tidak, EventResult harus Success . |
EventResultDetails | Direkomendasikan | Disebutkan | Alasan atau detail untuk hasil yang dilaporkan di bidang EventResult. Nilai yang didukung adalah: - Failover - TCP Tidak Valid - Terowongan Tidak Valid - Percobaan Kembali Maksimum - Reset - Masalah Perutean - Simulasi - Dihentikan - Batas Waktu - Kesalahan sementara - Tidak diketahui - TA. Nilai asli, spesifikasi sumber, disimpan dalam bidang EventOriginalResultDetails. |
EventSchema | Wajib | String | Nama skema yang didokumentasikan di sini adalah NetworkSession . |
EventSchemaVersion | Wajib | String | Versi skema. Versi skema yang didokumentasikan di sini adalah 0.2.6 . |
DvcAction | Direkomendasikan | Disebutkan | Tindakan yang diambil pada sesi jaringan. Nilai yang didukung adalah: - Allow - Deny - Drop - Drop ICMP - Reset - Reset Source - Reset Destination - Encrypt - Decrypt - VPNroute Catatan: Nilai mungkin disediakan dalam rekaman sumber dengan menggunakan istilah yang berbeda, yang harus dinormalisasi ke nilai-nilai ini. Nilai asli harus disimpan di bidang DvcOriginalAction. Contoh: drop |
EventSeverity | Opsional | Disebutkan | Jika perangkat sumber tidak memberikan tingkat keparahan peristiwa, EventSeverity harus didasarkan pada nilai DvcAction. Jika DvcAction adalah Deny , Drop , Drop ICMP , Reset , Reset Source , atau Reset Destination , EventSeverity harus Low . Jika tidak, EventSeverity harus Informational . |
DvcInterface | Bidang DvcInterface harus mengalias bidang DvcInboundInterface atau bidang DvcOutboundInterface. | ||
Bidang Dvc | Untuk acara Sesi Jaringan, bidang perangkat mengacu pada sistem yang melaporkan acara Sesi Jaringan. |
Semua bidang umum
Bidang yang muncul pada tabel di bawah ini adalah umum untuk semua skema ASIM. Setiap pedoman yang ditentukan di atas mengambil alih pedoman umum untuk bidang ini. Misalnya, sebuah bidang mungkin opsional secara umum, tetapi wajib untuk skema tertentu. Untuk informasi selengkapnya tentang kolom, lihat artikel Bidang Umum ASIM.
Kelas | Bidang |
---|---|
Wajib |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
Direkomendasikan |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
Opsional |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Bidang sesi jaringan
Bidang | Kelas | Tipe | Deskripsi |
---|---|---|---|
NetworkApplicationProtocol | Opsional | String | Protokol lapisan aplikasi yang digunakan oleh sambungan atau sesi. Nilai harus dalam huruf besar semua. Contoh: FTP |
NetworkProtocol | Opsional | Disebutkan | Protokol IP yang digunakan oleh koneksi atau sesi seperti yang tercantum dalam penugasan protokol IANA, yang biasanya TCP , UDP , atau ICMP .Contoh: TCP |
NetworkProtocolVersion | Opsional | Disebutkan | Versi NetworkProtocol. Saat menggunakannya untuk membedakan antara versi IP, gunakan nilai IPv4 dan IPv6 . |
NetworkDirection | Opsional | Disebutkan | Arah koneksi atau sesi: - Untuk EventType NetworkSession , Flow atau L2NetworkSession , NetworkDirection mewakili arah relatif terhadap batas organisasi atau lingkungan cloud. Nilai yang didukung adalah Inbound , Outbound , Local (ke organisasi), External (ke organisasi) atau NA (Tidak Berlaku).- Untuk EventType EndpointNetworkSession , NetworkDirection mewakili arah relatif terhadap titik akhir. Nilai yang didukung adalah Inbound , Outbound , Local (ke sistem), Listen atau NA (Tidak Berlaku). Nilai Listen menunjukkan bahwa perangkat telah mulai menerima sambungan jaringan, tetapi sebenarnya belum tentu tersambung. |
NetworkDuration | Opsional | Bilangan bulat | Jumlah waktu, dalam milidetik, untuk penyelesaian sesi jaringan atau sambungan. Contoh: 1500 |
Durasi | Alias | Alias untuk NetworkDuration. | |
NetworkIcmpType | Opsional | String | Untuk pesan ICMP, nama jenis ICMP yang terkait dengan nilai numerik, seperti yang dijelaskan dalam RFC 2780 untuk koneksi jaringan IPv4, atau di RFC 4443 untuk koneksi jaringan IPv6. Contoh: Destination Unreachable untuk NetworkIcmpCode 3 |
NetworkIcmpCode | Opsional | Bilangan bulat | Untuk pesan ICMP, nomor kode ICMP seperti yang dijelaskan dalam RFC 2780 untuk koneksi jaringan IPv4, atau dalam RFC 4443 untuk koneksi jaringan IPv6. |
NetworkConnectionHistory | Opsional | String | Bendera TCP dan informasi header IP potensial lainnya. |
DstBytes | Direkomendasikan | Panjang | Jumlah byte yang dikirim dari tujuan ke sumber untuk sambungan atau sesi. Jika peristiwa digabungkan, DstBytes harus merupakan jumlah dari semua sesi gabungan. Contoh: 32455 |
SrcBytes | Direkomendasikan | Panjang | Jumlah byte yang dikirim dari sumber ke tujuan untuk sambungan atau sesi. Jika peristiwa digabungkan, SrcBytes harus merupakan jumlah dari semua sesi gabungan. Contoh: 46536 |
NetworkBytes | Opsional | Panjang | Jumlah byte yang dikirim ke kedua arah. Jika BytesReceived dan BytesSent ada, BytesTotal harus sama dengan jumlahnya. Jika acara digabungkan, NetworkBytes harus merupakan jumlah dari semua sesi gabungan. Contoh: 78991 |
DstPackets | Opsional | Panjang | Jumlah paket yang dikirim dari tujuan ke sumber untuk sambungan atau sesi. Arti dari paket didefinisikan oleh perangkat pelaporan. Jika peristiwa digabungkan, DstPackets harus merupakan jumlah di semua sesi gabungan. Contoh: 446 |
SrcPackets | Opsional | Panjang | Jumlah paket yang dikirim dari sumber ke tujuan untuk sambungan atau sesi. Arti dari paket didefinisikan oleh perangkat pelaporan. Jika peristiwa digabungkan, SrcPackets harus merupakan jumlah di semua sesi gabungan. Contoh: 6478 |
NetworkPackets | Opsional | Panjang | Jumlah paket yang dikirim ke kedua arah. Jika PacketsReceived dan PacketsSent ada, BytesTotal harus sama dengan jumlahnya. Arti dari paket didefinisikan oleh perangkat pelaporan. Jika acara digabungkan, NetworkPackets harus merupakan jumlah dari semua sesi gabungan. Contoh: 6924 |
NetworkSessionId | Opsional | string | Pengidentifikasi sesi seperti yang dilaporkan oleh perangkat pelaporan. Contoh: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
SessionId | Alias | String | Alias untuk NetworkSessionId |
TcpFlagsAck | Opsional | Boolean | Bendera TCK ACK dilaporkan. Bendera konfirmasi digunakan untuk mengonfirmasi penerimaan paket yang berhasil. Seperti yang dapat kita lihat dari diagram di atas, penerima akan mengirim ACK dan SYN dalam langkah kedua proses konfirmasi tiga arah untuk memberi tahu pengirim bahwa ia menerima paket awalnya. |
TcpFlagsFin | Opsional | Boolean | Bendera TCP FIN dilaporkan. Bendera selesai berarti tidak ada lagi data dari pengirim. Oleh karena itu, bendera ini digunakan dalam paket terakhir yang dikirim dari pengirim. |
TcpFlagsSyn | Opsional | Boolean | Bendera TCP SYN dilaporkan. Bendera sinkronisasi digunakan sebagai langkah pertama dalam membangun konfirmasi tiga arah antara dua host. Hanya paket pertama dari pengirim dan penerima yang boleh mengatur bendera ini. |
TcpFlagsUrg | Opsional | Boolean | Bendera TCP URG dilaporkan. Bendera mendesak digunakan untuk memberi tahu penerima guna memproses paket mendesak sebelum memproses semua paket lainnya. Penerima akan diberi tahu ketika semua data mendesak yang diketahui telah diterima. Lihat RFC 6093 untuk mengetahui detail selengkapnya. |
TcpFlagsPsh | Opsional | Boolean | Bendera TCP PSH dilaporkan. Bendera push mirip dengan bendera URG dan memberi tahu penerima untuk memproses paket ini saat diterima alih-melakukan buffer terhadap paket. |
TcpFlagsRst | Opsional | Boolean | Bendera TCP RST dilaporkan. Bendera reset dikirim dari penerima ke pengirim ketika paket dikirim ke host tertentu yang tidak mengharapkannya. |
TcpFlagsEce | Opsional | Boolean | Bendera TCP ECE dilaporkan. Bendera ini bertanggung jawab untuk menunjukkan apakah peer TCP mendukung ECN. Lihat RFC 3168 untuk mengetahui detail selengkapnya. |
TcpFlagsCwr | Opsional | Boolean | Bendera TCP CWR dilaporkan. Bendera pengurangan periode kemacetan digunakan oleh host pengirim untuk menunjukkan bahwa ia menerima paket dengan set bendera ECE. Lihat RFC 3168 untuk mengetahui detail selengkapnya. |
TcpFlagsNs | Opsional | Boolean | Bendera TCP NS dilaporkan. Bendera jumlah nonce masih merupakan bendera eksperimental yang digunakan untuk membantu melindungi agar paket berbahaya yang tidak disengaja tidak disembunyikan dari pengirim. Lihat RFC 3540 untuk mengetahui detail selengkapnya |
Bidang sistem tujuan
Bidang | Kelas | Tipe | Deskripsi |
---|---|---|---|
Dst | Direkomendasikan | Alias | Pengenal unik dari server yang menerima permintaan DNS. Bidang ini bisa mengalias bidang DstDvcId, DstHostname, atau DstIpAddr. Contoh: 192.168.12.1 |
DstIpAddr | Direkomendasikan | Alamat IP | Alamat IP koneksi atau tujuan sesi. Jika sesi menggunakan terjemahan alamat jaringan, DstIpAddr adalah alamat yang terlihat publik, dan bukan alamat sumber asli, yang disimpan dalam DstNatIpAddrContoh: 2001:db8::ff00:42:8329 Catatan: Nilai ini wajib jika DstHostname ditentukan. |
DstPortNumber | Opsional | Bilangan bulat | Port IP tujuan. Contoh: 443 |
DstHostname | Direkomendasikan | Nama host | Nama host perangkat tujuan, tidak termasuk informasi domain. Jika tidak ada nama perangkat yang tersedia, simpan alamat IP yang relevan di bidang ini. Contoh: DESKTOP-1282V4D |
DstDomain | Direkomendasikan | String | Domain perangkat tujuan. Contoh: Contoso |
DstDomainType | Kondisional | Disebutkan | Jenis DstDomain. Untuk mengetahui daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DomainType di artikel Gambaran Umum Skema. Diperlukan jika DstDomain digunakan. |
DstFQDN | Opsional | String | Nama host perangkat target, termasuk informasi domain saat tersedia. Contoh: Contoso\DESKTOP-1282V4D Catatan: Bidang ini mendukung format FQDN tradisional dan format domain\hostname Windows. DstDomainType mencerminkan format yang digunakan. |
DstDvcId | Opsional | String | ID perangkat tujuan. Jika terdapat beberapa ID tersedia, gunakan yang paling penting, dan simpan yang lain di bidang DstDvc<DvcIdType> . Contoh: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
DstDvcScopeId | Opsional | String | ID cakupan platform cloud milik perangkat. DstDvcScopeId memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
DstDvcScope | Opsional | String | Cakupan platform cloud milik perangkat. DstDvcScope memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
DstDvcIdType | Kondisional | Disebutkan | Jenis DstDvcId. Untuk mengetahui daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DvcIdType di artikel Gambaran Umum Skema. Diperlukan jika DstDeviceId digunakan. |
DstDeviceType | Opsional | Disebutkan | Jenis perangkat tujuan. Untuk mengetahui daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DeviceType di artikel Gambaran Umum Skema. |
DstZone | Opsional | String | Zona jaringan dari tujuan, seperti yang didefinisikan oleh perangkat pelaporan. Contoh: Dmz |
DstInterfaceName | Opsional | String | Antarmuka jaringan yang digunakan untuk sambungan atau sesi oleh perangkat tujuan. Contoh: Microsoft Hyper-V Network Adapter |
DstInterfaceGuid | Opsional | String | GUID dari antarmuka jaringan yang digunakan pada perangkat tujuan. Contoh: 46ad544b-eaf0-47ef- 827c-266030f545a6 |
DstMacAddr | Opsional | String | Alamat MAC dari antarmuka jaringan yang digunakan untuk koneksi atau sesi oleh perangkat tujuan. Contoh: 06:10:9f:eb:8f:14 |
DstVlanId | Opsional | String | ID VLAN yang terkait dengan perangkat tujuan. Contoh: 130 |
OuterVlanId | Opsional | Alias | Alias untuk DstVlanId. Dalam banyak kasus, VLAN tidak dapat ditentukan sebagai sumber atau tujuan tetapi dicirikan sebagai inner atau outer. Alias ini menandakan bahwa DstVlanId harus digunakan ketika VLAN dicirikan sebagai outer. |
DstSubscriptionId | Opsional | String | ID langganan platform cloud tempat perangkat tujuan berada. DvcSubscriptionId memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
DstGeoCountry | Opsional | Negara | Negara/wilayah yang terkait dengan alamat IP tujuan. Untuk informasi lebih lanjut, lihat Jenis Logis. Contoh: USA |
DstGeoRegion | Opsional | Wilayah | Wilayah, atau status, yang terkait dengan alamat IP tujuan. Untuk informasi lebih lanjut, lihat Jenis Logis. Contoh: Vermont |
DstGeoCity | Opsional | Kota | Kota yang terkait dengan alamat IP tujuan. Untuk informasi lebih lanjut, lihat Jenis Logis. Contoh: Burlington |
DstGeoLatitude | Opsional | Garis Lintang | Garis lintang koordinat geografis yang terkait dengan alamat IP tujuan. Untuk informasi lebih lanjut, lihat Jenis Logis. Contoh: 44.475833 |
DstGeoLongitude | Opsional | Garis bujur | Garis bujur koordinat geografis yang terkait dengan alamat IP tujuan. Untuk informasi lebih lanjut, lihat Jenis Logis. Contoh: 73.211944 |
Bidang pengguna tujuan
Bidang | Kelas | Tipe | Deskripsi |
---|---|---|---|
DstUserId | Opsional | String | Representasi unik, alfanumerik, dan dapat dibaca mesin dari pengguna tujuan. Untuk format yang didukung untuk jenis ID yang berbeda, lihat Entitas pengguna. Contoh: S-1-12 |
DstUserScope | Opsional | String | Cakupan, seperti penyewa Microsoft Entra, di mana DstUserId dan DstUsername ditentukan. atau informasi selengkapnya dan daftar nilai yang diizinkan, lihat UserScope di artikel Gambaran Umum Skema. |
DstUserScopeId | Opsional | String | ID cakupan, seperti ID Microsoft Entra Directory, di mana DstUserId dan DstUsername ditentukan. untuk informasi selengkapnya dan daftar nilai yang diizinkan, lihat UserScopeId di artikel Gambaran Umum Skema. |
DstUserIdType | Kondisional | UserIdType | Jenis ID yang disimpan di bidang DstUserId. Untuk mengetahui daftar nilai yang diizinkan dan informasi lebih lanjut, lihat UserIdType di artikel Gambaran Umum Skema. |
DstUsername | Opsional | String | Nama pengguna Tujuan, termasuk informasi domain bila ada. Untuk format yang didukung untuk jenis ID yang berbeda, lihat Entitas pengguna. Gunakan formulir sederhana hanya jika informasi domain tidak tersedia. Simpan jenis Nama Pengguna di bidang DstUsernameType. Jika format nama pengguna lain tersedia, simpan di bidang DstUsername<UsernameType> .Contoh: AlbertE |
Pengguna | Alias | Alias ke DstUsername. | |
DstUsernameType | Kondisional | UsernameType | Menentukan jenis nama pengguna yang disimpan di bidang DstUsername. Untuk mengetahui daftar nilai yang diizinkan dan informasi lebih lanjut, lihat UsernameType di artikel Gambaran Umum Skema. Contoh: Windows |
DstUserType | Opsional | UserType | Jenis pengguna tujuan. Untuk mengetahui daftar nilai yang diizinkan dan informasi lebih lanjut, lihat UserType di artikel Gambaran Umum Skema. Catatan: Nilai mungkin disediakan dalam rekaman sumber dengan menggunakan istilah yang berbeda, yang harus dinormalisasi ke nilai-nilai ini. Simpan nilai asli di bidang DstOriginalUserType. |
DstOriginalUserType | Opsional | String | Jenis pengguna tujuan asli, jika disediakan oleh sumbernya. |
Bidang Aplikasi tujuan
Bidang | Kelas | Tipe | Deskripsi |
---|---|---|---|
DstAppName | Opsional | String | Nama aplikasi tujuan. Contoh: Facebook |
DstAppId | Opsional | String | ID aplikasi tujuan, seperti yang dilaporkan oleh perangkat pelaporan. Jika DstAppType adalah Process , DstAppId dan DstProcessId harus memiliki nilai yang sama.Contoh: 124 |
DstAppType | Opsional | AppType | Tipe aplikasi tujuan. Untuk mengetahui daftar nilai yang diizinkan dan informasi lebih lanjut, lihat AppType di artikel Gambaran Umum Skema. Bidang ini wajib jika DstAppName atau DstAppId digunakan. |
DstProcessName | Opsional | String | Nama file proses yang mengakhiri sesi jaringan. Nama ini biasanya dianggap sebagai nama proses. Contoh: C:\Windows\explorer.exe |
Proses | Alias | Alias ke DstProcessName Contoh: C:\Windows\System32\rundll32.exe |
|
DstProcessId | Opsional | String | ID proses (PID) dari proses yang mengakhiri sesi jaringan. Contoh: 48610176 Catatan: Jenis didefinisikan sebagai string untuk mendukung berbagai sistem, tetapi pada Windows dan Linux nilai ini harus berupa angka. Jika Anda menggunakan mesin Windows atau Linux dan menggunakan jenis yang berbeda, pastikan untuk mengonversi nilai ini. Misalnya, jika Anda menggunakan nilai heksadesimal, ubah menjadi nilai desimal. |
DstProcessGuid | Opsional | String | Pengidentifikasi unik (GUID) yang dihasilkan dari proses yang mengakhiri sesi jaringan. Contoh: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Bidang sistem sumber
Bidang | Kelas | Tipe | Deskripsi |
---|---|---|---|
Src | Alias | Pengenal unik perangkat sumber. Bidang ini bisa menjadi alias bagi bidang SrcDvcId, SrcHostname, atau SrclpAddr. Contoh: 192.168.12.1 |
|
SrcIpAddr | Direkomendasikan | Alamat IP | Alamat IP tempat koneksi atau sesi berasal. Nilai ini wajib jika SrcHostname ditentukan. Jika sesi menggunakan terjemahan alamat jaringan, SrcIpAddr adalah alamat yang terlihat oleh publik, dan bukan alamat asli sumber, yang disimpan di SrcNatIpAddrContoh: 77.138.103.108 |
SrcPortNumber | Opsional | Bilangan bulat | Port IP tempat sambungan berasal. Mungkin tidak relevan untuk sesi yang terdiri dari beberapa sambungan. Contoh: 2335 |
SrcHostname | Direkomendasikan | Nama host | Nama host perangkat sumber, tidak termasuk informasi domain. Jika tidak ada nama perangkat yang tersedia, simpan alamat IP yang relevan di bidang ini. Contoh: DESKTOP-1282V4D |
SrcDomain | Direkomendasikan | String | Domain perangkat sumber. Contoh: Contoso |
SrcDomainType | Kondisional | DomainType | Jenis SrcDomain. Untuk mengetahui daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DomainType di artikel Gambaran Umum Skema. Diperlukan jika SrcDomain digunakan. |
SrcFQDN | Opsional | String | Nama host perangkat sumber, termasuk informasi domain saat tersedia. Catatan: Bidang ini mendukung format FQDN tradisional dan format domain\hostname Windows. Bidang SrcDomainType mencerminkan format yang digunakan. Contoh: Contoso\DESKTOP-1282V4D |
SrcDvcId | Opsional | String | ID perangkat sumber. Jika terdapat beberapa ID tersedia, gunakan yang paling penting, dan simpan yang lain di bidang SrcDvc<DvcIdType> .Contoh: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
SrcDvcScopeId | Opsional | String | ID cakupan platform cloud milik perangkat. Peta SrcDvcScopeId ke ID langganan di Azure dan ke ID akun di AWS. |
SrcDvcScope | Opsional | String | Cakupan platform cloud milik perangkat. SrcDvcScope memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
SrcDvcIdType | Kondisional | DvcIdType | Jenis SrcDvcId. Untuk mengetahui daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DvcIdType di artikel Gambaran Umum Skema. Catatan: Bidang ini diperlukan jika SrcDvcId digunakan. |
SrcDeviceType | Opsional | DeviceType | Jenis perangkat sumber Untuk mengetahui daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DeviceType di artikel Gambaran Umum Skema. |
SrcZone | Opsional | String | Zona jaringan dari sumber, seperti yang didefinisikan oleh perangkat pelaporan. Contoh: Internet |
SrcInterfaceName | Opsional | String | Antarmuka jaringan yang digunakan untuk sambungan atau sesi oleh perangkat sumber. Contoh: eth01 |
SrcInterfaceGuid | Opsional | String | GUID antarmuka jaringan yang digunakan pada perangkat sumber. Contoh: 46ad544b-eaf0-47ef- 827c-266030f545a6 |
SrcMacAddr | Opsional | String | Alamat MAC antarmuka jaringan dari mana koneksi atau sesi berasal. Contoh: 06:10:9f:eb:8f:14 |
SrcVlanId | Opsional | String | ID VLAN yang terkait dengan perangkat sumber. Contoh: 130 |
InnerVlanId | Opsional | Alias | Alias untuk SrcVlanId. Dalam banyak kasus, VLAN tidak dapat ditentukan sebagai sumber atau tujuan tetapi dicirikan sebagai inner atau outer. Alias ini menandakan bahwa SrcVlanId harus digunakan ketika VLAN dicirikan sebagai inner. |
SrcSubscriptionId | Opsional | String | ID langganan platform cloud milik perangkat sumber. DvcSubscriptionId memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
SrcGeoCountry | Opsional | Negara | Negara/wilayah yang terkait dengan alamat IP sumber. Contoh: USA |
SrcGeoRegion | Opsional | Wilayah | Wilayah yang terkait dengan alamat IP sumber. Contoh: Vermont |
SrcGeoCity | Opsional | Kota | Kota yang terkait dengan alamat IP sumber. Contoh: Burlington |
SrcGeoLatitude | Opsional | Garis Lintang | Garis lintang koordinat geografis yang terkait dengan alamat IP sumber. Contoh: 44.475833 |
SrcGeoLongitude | Opsional | Garis bujur | Garis bujur koordinat geografis yang terkait dengan alamat IP sumber. Contoh: 73.211944 |
Bidang pengguna sumber
Bidang | Kelas | Tipe | Deskripsi |
---|---|---|---|
SrcUserId | Opsional | String | Representasi unik, alfanumerik, dan dapat dibaca komputer dari pengguna sumber. Untuk format yang didukung untuk jenis ID yang berbeda, lihat Entitas pengguna. Contoh: S-1-12 |
SrcUserScope | Opsional | String | Cakupan, seperti penyewa Microsoft Entra, di mana SrcUserId dan SrcUsername ditentukan. atau informasi selengkapnya dan daftar nilai yang diizinkan, lihat UserScope di artikel Gambaran Umum Skema. |
SrcUserScopeId | Opsional | String | ID cakupan, seperti ID Microsoft Entra Directory, di mana SrcUserId dan SrcUsername ditentukan. untuk informasi selengkapnya dan daftar nilai yang diizinkan, lihat UserScopeId di artikel Gambaran Umum Skema. |
SrcUserIdType | Kondisional | UserIdType | Jenis ID yang disimpan pada bidang ActorUserId. Untuk mengetahui daftar nilai yang diizinkan dan informasi lebih lanjut, lihat UserIdType di artikel Gambaran Umum Skema. |
SrcUsername | Opsional | String | Nama pengguna Sumber, termasuk informasi domain jika tersedia. Untuk format yang didukung untuk jenis ID yang berbeda, lihat Entitas pengguna. Gunakan formulir sederhana hanya jika informasi domain tidak tersedia. Simpan jenis Nama Pengguna di bidang SrcUsernameType. Jika format nama pengguna lain tersedia, simpan di bidang SrcUsername<UsernameType> .Contoh: AlbertE |
SrcUsernameType | Kondisional | UsernameType | Menentukan jenis nama pengguna yang disimpan di bidang TargetUsername. Untuk mengetahui daftar nilai yang diizinkan dan informasi lebih lanjut, lihat UsernameType di artikel Gambaran Umum Skema. Contoh: Windows |
SrcUserType | Opsional | UserType | Jenis pengguna sumber. Untuk mengetahui daftar nilai yang diizinkan dan informasi lebih lanjut, lihat UserType di artikel Gambaran Umum Skema. Catatan: Nilai mungkin disediakan dalam rekaman sumber dengan menggunakan istilah yang berbeda, yang harus dinormalisasi ke nilai-nilai ini. Simpan nilai asli di bidang SrcOriginalUserType. |
SrcOriginalUserType | Opsional | String | Jenis pengguna tujuan asli, jika disediakan oleh perangkat pelapor. |
Bidang aplikasi sumber
Bidang | Kelas | Tipe | Deskripsi |
---|---|---|---|
SrcAppName | Opsional | String | Nama aplikasi sumber. Contoh: filezilla.exe |
SrcAppId | Opsional | String | ID aplikasi sumber, seperti yang dilaporkan oleh perangkat pelapor. Jika SrcAppType adalah Process , SrcAppId dan SrcProcessId harus memiliki nilai yang sama.Contoh: 124 |
SrcAppType | Opsional | AppType | Jenis aplikasi sumber. Untuk mengetahui daftar nilai yang diizinkan dan informasi lebih lanjut, lihat AppType di artikel Gambaran Umum Skema. Bidang ini wajib jika SrcAppName atau SrcAppId digunakan. |
SrcProcessName | Opsional | String | Nama file dari proses yang memulai sesi jaringan. Nama ini biasanya dianggap sebagai nama proses. Contoh: C:\Windows\explorer.exe |
SrcProcessId | Opsional | String | ID proses (PID) dari proses yang memulai sesi jaringan. Contoh: 48610176 Catatan: Jenis didefinisikan sebagai string untuk mendukung berbagai sistem, tetapi pada Windows dan Linux nilai ini harus berupa angka. Jika Anda menggunakan mesin Windows atau Linux dan menggunakan jenis yang berbeda, pastikan untuk mengonversi nilai ini. Misalnya, jika Anda menggunakan nilai heksadesimal, ubah menjadi nilai desimal. |
SrcProcessGuid | Opsional | String | Pengidentifikasi unik (GUID) yang dihasilkan dari proses yang memulai sesi jaringan. Contoh: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Alias lokal dan jarak jauh
Semua bidang sumber dan tujuan yang tercantum di atas, dapat secara opsional alias oleh bidang dengan nama yang sama dan deskriptor Local
dan Remote
. Biasanya membantu untuk peristiwa yang dilaporkan oleh titik akhir dan untuk peristiwa dengan jenis acara EndpointNetworkSession
.
Untuk peristiwa seperti itu deskriptor Local
dan Remote
menunjukkan titik akhir itu sendiri dan perangkat di ujung lain dari sesi jaringan masing-masing. Untuk koneksi masuk, sistem lokal adalah tujuan, bidang Local
adalah alias ke bidang Dst
, dan bidang 'Jarak Jauh' adalah alias ke bidang Src
. Sebaliknya, untuk koneksi keluar, sistem lokal adalah sumber, bidang Local
adalah alias ke bidang Src
, dan bidang Remote
adalah alias ke bidang Dst
.
Misalnya, untuk peristiwa masuk, bidang LocalIpAddr
adalah alias ke DstIpAddr
dan bidang RemoteIpAddr
adalah alias ke SrcIpAddr
.
Nama host dan alias alamat IP
Bidang | Kelas | Tipe | Deskripsi |
---|---|---|---|
Hostname | Alias | - Jika jenis peristiwa adalah NetworkSession , Flow atau L2NetworkSession , Nama host adalah alias untuk DstHostname.- Jika jenis peristiwa adalah EndpointNetworkSession , Nama host adalah alias ke RemoteHostname , yang dapat menjadi alias DstHostname atau SrcHostName, tergantung pada NetworkDirection |
|
IpAddr | Alias | - Jika jenis peristiwa adalah NetworkSession , Flow atau L2NetworkSession , IpAddr adalah alias untuk SrcIpAddr.- Jika jenis peristiwa adalah EndpointNetworkSession , IpAddr adalah alias untuk LocalIpAddr , yang dapat alias baik SrcIpAddr atau DstIpAddr, tergantung pada NetworkDirection. |
Bidang perangkat perantara dan Terjemahan Alamat Jaringan (NAT)
Bidang berikut berguna jika catatan menyertakan informasi tentang perangkat perantara, seperti firewall atau proksi, yang merelai sesi jaringan.
Sistem perantara sering menggunakan terjemahan alamat dan oleh karena itu alamat asli dan alamat yang terlihat dari luar tidak sama. Dalam kasus demikian, bidang alamat utama seperti SrcIPAddr dan DstIpAddr mewakili alamat yang diamati secara eksternal, sedangkan bidang alamat NAT, SrcNatIpAddr dan DstNatIpAddr mewakili alamat internal perangkat asli sebelum terjemahan.
Bidang inspeksi
Bidang berikut digunakan untuk mewakili pemeriksaan yang dilakukan oleh perangkat keamanan seperti firewall, IPS, atau gateway keamanan web:
Bidang | Kelas | Tipe | Deskripsi |
---|---|---|---|
NetworkRuleName | Opsional | String | Nama atau ID aturan yang digunakan untuk memutuskan DvcAction. Contoh: AnyAnyDrop |
NetworkRuleNumber | Opsional | Bilangan bulat | Jumlah aturan yang digunakan untuk memutuskan DvcAction. Contoh: 23 |
Aturan | Alias | String | Baik nilai NetworkRuleName atau nilai NetworkRuleNumber. Perhatikan jika nilai NetworkRuleNumber digunakan, jenis tersebut harus dikonversi ke string. |
ThreatId | Opsional | String | ID ancaman atau malware yang diidentifikasi dalam sesi jaringan. Contoh: Tr.124 |
ThreatName | Opsional | String | Nama ancaman atau malware yang diidentifikasi dalam sesi jaringan. Contoh: EICAR Test File |
ThreatCategory | Opsional | String | Kategori ancaman atau malware yang diidentifikasi dalam sesi jaringan. Contoh: Trojan |
ThreatRiskLevel | Opsional | Bilangan bulat | Tingkat risiko yang terkait dengan sesi. Levelnya harus berupa angka antara 0 hingga 100. Catatan: Nilai ini dapat diberikan dalam catatan sumber menggunakan skala yang berbeda, yang harus dinormalisasi ke skala ini. Nilai asli harus disimpan di ThreatRiskLevelOriginal. |
ThreatOriginalRiskLevel | Opsional | String | Tingkat risiko seperti yang dilaporkan oleh perangkat pelaporan. |
ThreatIpAddr | Opsional | Alamat IP | Alamat IP yang ancamannya diidentifikasi. Bidang ThreatField berisi nama bidang yang diwakili ThreatIpAddr. |
ThreatField | Kondisional | Disebutkan | Bidang yang ancamannya diidentifikasi. Nilainya adalah SrcIpAddr atau DstIpAddr . |
ThreatConfidence | Opsional | Bilangan bulat | Tingkat keyakinan ancaman yang diidentifikasi, dinormalisasi ke nilai antara 0 dan 100. |
ThreatOriginalConfidence | Opsional | String | Tingkat keyakinan asli ancaman yang diidentifikasi, seperti yang dilaporkan oleh perangkat pelaporan. |
ThreatIsActive | Opsional | Boolean | Benar jika ancaman yang diidentifikasi dianggap sebagai ancaman aktif. |
ThreatFirstReportedTime | Opsional | datetime | Pertama kali alamat IP atau domain diidentifikasi sebagai ancaman. |
ThreatLastReportedTime | Opsional | datetime | Terakhir kali alamat IP atau domain diidentifikasi sebagai ancaman. |
Bidang lainnya
Jika peristiwa dilaporkan oleh salah satu titik akhir sesi jaringan, mungkin termasuk informasi tentang proses yang memulai atau mengakhiri sesi. Dalam kasus seperti itu, Skema Peristiwa Proses ASIM digunakan untuk menormalkan informasi ini.
Pembaruan skema
Berikut adalah perubahan dalam versi 0.2.1 dari skema:
- Penambahan
Src
danDst
sebagai alias ke pengenal utama untuk sistem sumber dan tujuan. - Menambahkan bidang
NetworkConnectionHistory
,SrcVlanId
,DstVlanId
,InnerVlanId
, danOuterVlanId
.
Berikut adalah perubahan dalam versi 0.2.2 dari skema:
- Penambahan alias
Remote
danLocal
. - Penambahan jenis acara
EndpointNetworkSession
. - Definisi
Hostname
danIpAddr
sebagai alias untukRemoteHostname
danLocalIpAddr
masing-masing ketika jenis kejadiannyaEndpointNetworkSession
. - Didefinisikan
DvcInterface
sebagai alias untukDvcInboundInterface
atauDvcOutboundInterface
. - Mengubah jenis bidang berikut dari Integer menjadi Long:
SrcBytes
,DstBytes
,NetworkBytes
,SrcPackets
,DstPackets
, danNetworkPackets
. - Menambahkan bidang
NetworkProtocolVersion
,SrcSubscriptionId
, danDstSubscriptionId
. - Menghentikan
DstUserDomain
danSrcUserDomain
.
Berikut adalah perubahan dalam versi 0.2.3 skema:
- Menambahkan
ipaddr_has_any_prefix
parameter penyaringan. -
hostname_has_any
Parameter penyaringan sekarang cocok dengan nama host sumber atau tujuan. - Menambahkan bidang
ASimMatchingHostname
danASimMatchingIpAddr
.
Berikut adalah perubahan dalam versi 0.2.4 dari skema:
- Menambahkan bidang
TcpFlags
. - Memperbarui
NetworkIcpmType
danNetworkIcmpCode
untuk mencerminkan nilai angka untuk keduanya. - Menambahkan bidang pemeriksaan tambahan.
- Bidang 'ThreatRiskLevelOriginal' diganti namanya menjadi
ThreatOriginalRiskLevel
selaras dengan konvensi ASIM. Pengurai Microsoft yang ada akan dipertahankanThreatRiskLevelOriginal
hingga 1 Mei 2023. - Menandai
EventResultDetails
sebagai direkomendasikan, dan menentukan nilai yang diizinkan.
Berikut ini adalah perubahan dalam skema versi 0.2.5:
- Menambahkan bidang
DstUserScope
, ,SrcUserScope
,SrcDvcScopeId
SrcDvcScope
, ,DstDvcScopeId
,DstDvcScope
,DvcScopeId
, danDvcScope
.
Berikut ini adalah perubahan dalam skema versi 0.2.6:
- Menambahkan IDS sebagai jenis peristiwa
Langkah berikutnya
Untuk informasi selengkapnya, lihat: