Microsoft Sentinel ağ normalleştirme şeması (Eski sürüm - Genel önizleme)
Ağ normalleştirme şeması, bildirilen ağ olaylarını açıklamak için kullanılır ve birleştirme analizini etkinleştirmek için Microsoft Sentinel tarafından kullanılır.
Daha fazla bilgi için bkz. Normalleştirme ve Gelişmiş Güvenlik Bilgileri Modeli (ASIM).
Önemli
Bu makale, ASIM kullanılabilir olmadan önce önizleme olarak yayımlanan ağ normalleştirme şemasının 0.1 sürümüyle ilgilidir. Ağ normalleştirme şemasının 0.2.x sürümü ASIM ile uyumlu olur ve başka geliştirmeler sağlar.
Daha fazla bilgi için bkz. Ağ normalleştirme şeması sürümleri arasındaki farklar
Terminoloji
Microsoft Sentinel şemalarında aşağıdaki terminoloji kullanılır:
| Süre | Tanım |
|---|---|
| Raporlama cihazı | Kayıtları Microsoft Sentinel'e gönderen sistem. Kaydın konu sistemi olmayabilir. |
| Kayıt | Raporlama cihazından gönderilen bir veri birimi. Bu veri birimi genellikle , eventveya alertolarak logadlandırılır, ancak başka türlere de sahip olabilir. |
Veri türleri ve biçimleri
Aşağıdaki tabloda, normalleştirilmiş alanlar için gerekli olan ve diğer alanlar için önerilen veri değerlerini normalleştirme yönergeleri sağlanır.
| Veri türü | Fiziksel tür | Biçim ve değer |
|---|---|---|
| Tarih/Saat | Azalan önceliğe göre kullanılan alma yöntemi özelliğine bağlı olarak aşağıdakilerden biri:
|
Log Analytics tarih saat gösterimi. Log Analytics tarih ve saat gösterimi doğası gereği benzerdir ancak Unix saat gösteriminden farklıdır. Bu dönüştürme yönergelerine bakın. Saat dilimleri için tarih ve saat ayarlanmalıdır. |
| MAC Adresi | String | İki nokta üst üste onaltılık gösterimi |
| IP Address | IP Adresi | Şemada ayrı IPv4 ve IPv6 adresleri yok. Herhangi bir IP adresi alanı bir IPv4 adresi veya IPv6 adresi içerebilir:
|
| Kullanıcı | String | Aşağıdaki 3 kullanıcı alanı kullanılabilir:
|
| Kullanıcı Kimliği | String | Şu anda aşağıdaki 2 kullanıcı kimliği desteklenmektedir:
|
| Cihaz | String | Aşağıdaki 3 cihaz/konak sütunu desteklenir:
|
| Ülke | String | Aşağıdaki önceliklere göre ISO 3166-1 kullanan bir dize:
|
| Bölge | String | ISO 3166-2 kullanan ülke/bölge alt bölüm adı |
| Şehir | String | |
| Boylam | Çift | ISO 6709 koordinat gösterimi (imzalı ondalık) |
| Enlem | Çift | ISO 6709 koordinat gösterimi (imzalı ondalık) |
| Karma Algoritma | String | Aşağıdaki 4 karma sütun desteklenir:
|
| Dosya Türü | String | Dosya türünün türü:
|
Ağ oturumları tablo şeması
Aşağıda, sürüm 1.0.0 olan ağ oturumları tablosunun şeması yer almaktadır
| Alan adı | Değer türü | Örnek | Açıklama | İlişkili OSSEM varlıkları |
|---|---|---|---|---|
| EventType | String | Trafik | Toplanan olay türü | Etkinlik |
| EventSubType | String | Kimlik Doğrulaması | Varsa, türün ek açıklaması | Etkinlik |
| EventCount | Tamsayı | 10 | Varsa toplanan olay sayısı. | Etkinlik |
| EventEndTime | Tarih/Zaman | Bkz. "veri türleri" | Olayın sona erdiği saat | Etkinlik |
| EventMessage | Dize | erişim reddedildi | Kayıtta bulunan veya kayıttan oluşturulan genel bir ileti veya açıklama | Etkinlik |
| DvcIpAddr | IP Adresi | 23.21.23.34 | Kaydı oluşturan cihazın IP adresi | Aygıt IP |
| DvcMacAddr | String | 06:10:9f:eb:8f:14 | Olayın gönderildiği raporlama cihazının ağ arabiriminin MAC adresi. | Aygıt Mac |
| DvcHostname | Cihaz Adı (Dize) | syslogserver1.contoso.com | İletiyi oluşturan cihazın cihaz adı. | Cihaz |
| EventProduct | String | OfficeSharepoint | Olayı oluşturan ürün. | Etkinlik |
| EventProductVersion | Dize | 9.0 | Olayı oluşturan ürünün sürümü. | Etkinlik |
| EventResourceId | Cihaz Kimliği (Dize) | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | İletiyi oluşturan cihazın kaynak kimliği. | Etkinlik |
| EventReportUrl | String | https://192.168.1.1/repoerts/ae3-56.htm | Raporlama cihazı tarafından oluşturulan raporun tamamının bağlantısı | Etkinlik |
| EventVendor | String | Microsoft | Olayı oluşturan ürünün satıcısı. | Etkinlik |
| EventResult | Birden Çok Değerli: Başarı, Kısmi, Hata, [Boş] (Dize) | Başarılı | Etkinlik için bildirilen sonuç. Geçerli olmadığında boş değer. | Etkinlik |
| EventResultDetails | String | Yanlış Parola | EventResult'ta bildirilen sonucun nedeni veya ayrıntıları | Etkinlik |
| EventSchemaVersion | Gerçek sayı | 0,1 | Microsoft Sentinel Şema Sürümü. Şu anda 0.1. | Etkinlik |
| EventSeverity | String | Düşük | Bildirilen etkinliğin bir güvenlik etkisi varsa, etkinin önem derecesini belirtir. | Etkinlik |
| EventOriginalUid | String | af6ae8fe-ff43-4a4c-b537-8635976a2b51 | Raporlama cihazından kayıt kimliği. | Etkinlik |
| EventStartTime | Tarih/Zaman | Bkz. "veri türleri" | Olayın belirttiği saat | Etkinlik |
| TimeGenerated | Tarih/Zaman | Bkz. "veri türleri" | Raporlama kaynağı tarafından bildirilen olayın gerçekleştiği saat. | Özel alan |
| EventTimeIngested | Tarih/Zaman | Bkz. "veri türleri" | Olayın Microsoft Sentinel'e alındığı saat. Microsoft Sentinel tarafından eklenecektir. | Etkinlik |
| EventUid | Guid (Dize) | 516a64e3-8360-4f1e-a67c-d96b3d52df54 | Microsoft Sentinel tarafından bir satırı işaretlemek için kullanılan benzersiz tanımlayıcı. | Etkinlik |
| NetworkApplicationProtocol | String | HTTPS | Bağlantı veya oturum tarafından kullanılan uygulama katmanı protokolü. | Ağ |
| DstBytes | int | 32455 | Bağlantı veya oturum için hedeften kaynağa gönderilen bayt sayısı. | Hedef |
| SrcBytes | int | 46536 | Bağlantı veya oturum için kaynaktan hedefe gönderilen bayt sayısı. | Kaynak |
| NetworkBytes | int | 78991 | Her iki yönde de gönderilen bayt sayısı. Hem BytesReceived hem de BytesSent varsa, BytesTotal toplamına eşit olmalıdır. | Ağ |
| NetworkDirection | Çoklu değer: Gelen, Giden (dize) | Gelen | Kuruluşun içine veya dışına bağlantının veya oturumun yönü. | Ağ |
| DstGeoCity | String | Burlington | Hedef IP adresiyle ilişkilendirilmiş şehir | Hedef Coğrafi Bölge |
| DstGeoCountry | Ülke (Dize) | ABD | Kaynak IP adresiyle ilişkili ülke/bölge | Hedef Coğrafi Bölge |
| DstDvcHostname | Cihaz adı (Dize) | victim_pc | Hedef cihazın cihaz adı | Hedef Cihaz |
| DstDvcFqdn | String | victim_pc.contoso.local | Günlüğün oluşturulduğu konağın tam etki alanı adı | Hedef Cihaz |
| DstDomainHostname | Dize | CONTOSO | Hedefin etki alanı, Hedef ana bilgisayarın etki alanı (web sitesi, etki alanı adı vb.), örneğin DNS aramaları veya NS aramaları için | Hedef |
| DstInterfaceName | Dize | Microsoft Hyper-V Ağ Bağdaştırıcısı | Hedef cihaz tarafından bağlantı veya oturum için kullanılan ağ arabirimi. | Hedef |
| DstInterfaceGuid | Dize | 2BB33827-6BB6-48DB-8DE6-DB9E0B9F9C9B | Kimlik doğrulama isteği için kullanılan ağ arabiriminin GUID'i | Hedef |
| DstIpAddr | IP Adresi | 2001:db8::ff00:42:8329 | Bağlantı veya oturum hedefinin IP adresi; en yaygın olarak ağ paketindeki hedef IP olarak adlandırılır | Hedef IP |
| DstDvcIpAddr | IP Adresi | 75.22.12.2 | Ağ paketiyle doğrudan ilişkilendirilmemiş bir cihazın hedef IP adresi | Hedef Aygıt IP |
| DstGeoLatitude | Enlem (Çift) | 44.475833 | Hedef IP adresiyle ilişkili coğrafi koordinatın enlemi | Hedef Coğrafi Bölge |
| DstMacAddr | String | 06:10:9f:eb:8f:14 | Bağlantının veya oturumun sonlandırıldığı ağ arabiriminin MAC adresi; en yaygın olarak ağ paketindeki hedef MAC'e başvurur | Hedef MAC |
| DstDvcMacAddr | String | 06:10:9f:eb:8f:14 | Ağ paketiyle doğrudan ilişkilendirilmemiş bir cihazın hedef MAC adresi. | Hedef Aygıt MAC |
| DstDvcDomain | String | CONTOSO | Hedef cihazın Etki Alanı. | Hedef Cihaz |
| DstPortNumber | Tamsayı | 443 | Hedef IP bağlantı noktası. | Hedef Bağlantı noktası |
| DstGeoRegion | Bölge (Dize) | Vermont | Hedef IP adresiyle ilişkilendirilmiş bölge | Hedef Coğrafi Bölge |
| DstResourceId | Cihaz Kimliği (Dize) | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /victim | Hedef cihazın kaynak kimliği. | Hedef |
| DstNatIpAddr | IP Adresi | 2::1 | Güvenlik duvarı gibi bir aracı NAT cihazı tarafından bildirilirse, NAT cihazı tarafından kaynakla iletişim için kullanılan IP adresi. | Hedef NAT, IP |
| DstNatPortNumber | int | 443 | Güvenlik duvarı gibi bir aracı NAT cihazı tarafından bildirilirse, NAT cihazı tarafından kaynakla iletişim için kullanılan bağlantı noktası. | Hedef NAT, Bağlantı noktası |
| DstUserSid | Kullanıcı SID'i | S-12-1445 | Oturumun hedefiyle ilişkili kimliğin Kullanıcı Kimliği. Genellikle, bir sunucunun kimliğini doğrulamak için kullanılan kimlik. Daha fazla bilgi için bkz . Veri türleri ve biçimleri. | Hedef User |
| DstUserAadId | Dize (guid) | ae92b0b4-cfba-4b42-85a0-fbd862f4df54 | Oturumun hedef ucundaki kullanıcının Microsoft Entra hesabı nesne kimliği | Hedef User |
| DstUserName | Kullanıcı Adı (Dize) | johnd | Oturumun hedefiyle ilişkili kimliğin kullanıcı adı. | Hedef User |
| DstUserUpn | Dize | johnd@anon.com | Oturumun hedefiyle ilişkili kimliğin UPN'sini. | Hedef User |
| DstUserDomain | Dize | ÇALıŞMA GRUBU | Oturumun hedefinde hesabın etki alanı veya bilgisayar adı | Hedef User |
| DstZone | String | Dmz | Raporlama cihazı tarafından tanımlandığı gibi hedefin ağ bölgesi. | Hedef |
| DstGeoLongitude | Boylam (Çift) | -73.211944 | Hedef IP adresiyle ilişkili coğrafi koordinatın boylamı | Hedef Coğrafi Bölge |
| DvcAction | Çoklu değer: İzin Ver, Reddet, Bırak (dize) | İzin Ver | Güvenlik duvarı gibi bir aracı cihaz tarafından bildirilirse, cihaz tarafından gerçekleştirilen eylem. | Cihaz |
| DvcInboundInterface | String | eth0 | Güvenlik duvarı gibi bir aracı cihaz tarafından bildirilirse, kaynak cihaza bağlantı için bu cihaz tarafından kullanılan ağ arabirimi. | Cihaz |
| DvcOutboundInterface | String | Ethernet bağdaştırıcısı Ethernet 4 | Güvenlik duvarı gibi bir aracı cihaz tarafından bildirilirse, hedef cihaza bağlantı için bu cihaz tarafından kullanılan ağ arabirimi. | Cihaz |
| NetworkDuration | Tamsayı | 1500 | Ağ oturumunun veya bağlantısının tamamlanması için milisaniye cinsinden süre | Ağ |
| NetworkIcmpCode | Tamsayı | 34 | ICMP iletisi için, ICMP iletisi sayısal değer (RFC 2780 veya RFC 4443) yazın. | Ağ |
| NetworkIcmpType | String | Hedefe Ulaşılamıyor | ICMP iletisi için, ICMP ileti türü metin gösterimi (RFC 2780 veya RFC 4443). | Ağ |
| DstPackets | int | 446 | Bağlantı veya oturum için hedeften kaynağa gönderilen paket sayısı. Bir paketin anlamı, raporlama cihazı tarafından tanımlanır. | Hedef |
| SrcPackets | int | 6478 | Bağlantı veya oturum için kaynaktan hedefe gönderilen paket sayısı. Bir paketin anlamı, raporlama cihazı tarafından tanımlanır. | Kaynak |
| Ağ Paketleri | int | 0 | Her iki yönde gönderilen paket sayısı. Hem PacketsReceived hem de PacketsSent varsa BytesTotal toplamına eşit olmalıdır. | Ağ |
| HttpRequestTime | Tamsayı | 700 | varsa, isteğin sunucuya gönderilmesi için geçen süre. | Http |
| HttpResponseTime | Tamsayı | 800 | Varsa, sunucuda yanıt almak için geçen süre. | Http |
| NetworkRuleName | String | AnyAnyDrop | DeviceAction'a karar verilen kuralın adı veya kimliği | Ağ |
| NetworkRuleNumber | int | 23 | Eşleşen kural numarası | Ağ |
| NetworkSessionId | Dize | 172_12_53_32_4322__123_64_207_1_80 | Raporlama cihazı tarafından bildirilen oturum tanımlayıcısı. Örneğin, kimlik doğrulaması sonrasında belirli uygulamalar için L7 oturum tanımlayıcısı | Ağ |
| SrcGeoCity | String | Burlington | Kaynak IP adresiyle ilişkili şehir | Kaynak Coğrafi Bölge |
| SrcGeoCountry | Ülke (Dize) | ABD | Kaynak IP adresiyle ilişkili ülke/bölge | Kaynak Coğrafi Bölge |
| SrcDvcHostname | Cihaz adı (Dize) | Hain | Kaynak cihazın cihaz adı | Kaynak Cihaz |
| SrcDvcFqdn | Dize | Villain.malicious.com | Günlüğün oluşturulduğu konağın tam etki alanı adı | Kaynak Cihaz |
| SrcDvcDomain | Dize | EVILORG | Oturumun başlatıldığı cihazın etki alanı | Kaynak Cihaz |
| SrcDvcOs | String | iOS | Kaynak cihazın işletim sistemi | Kaynak Cihaz |
| SrcDvcModelName | String | Samsung Galaxy Note | Kaynak cihazın model adı | Kaynak Cihaz |
| SrcDvcModelNumber | String | 10.0 | Kaynak cihazın model numarası | Kaynak Cihaz |
| SrcDvcType | String | Mobil | Kaynak cihazın türü | Kaynak Cihaz |
| SrcInterfaceName | String | eth01 | Kaynak cihaz tarafından bağlantı veya oturum için kullanılan ağ arabirimi. | Kaynak |
| SrcInterfaceGuid | String | 46ad544b-eaf0-47ef-827c-266030f545a6 | Kullanılan ağ arabiriminin GUID'i | Kaynak |
| SrcIpAddr | IP Adresi | 77.138.103.108 | Bağlantının veya oturumun kaynaklandığı IP adresi. | Kaynak IP |
| SrcDvcIpAddr | IP Adresi | 77.138.103.108 | Ağ paketiyle doğrudan ilişkili olmayan bir cihazın kaynak IP adresi (bir sağlayıcı tarafından toplanır veya açıkça hesaplanır). | Kaynak Aygıt IP |
| SrcGeoLatitude | Enlem (Çift) | 44.475833 | Kaynak IP adresiyle ilişkili coğrafi koordinatın enlemi | Kaynak Coğrafi Bölge |
| SrcGeoLongitude | Boylam (Çift) | -73.211944 | Kaynak IP adresiyle ilişkili coğrafi koordinatın boylamı | Kaynak Coğrafi Bölge |
| SrcMacAddr | String | 06:10:9f:eb:8f:14 | Bağlantı od oturumunun kaynaklandığı ağ arabiriminin MAC adresi. | Kaynak Mac |
| SrcDvcMacAddr | String | 06:10:9f:eb:8f:14 | Ağ paketiyle doğrudan ilişkilendirilmemiş bir cihazın kaynak MAC adresi. | Kaynak Aygıt Mac |
| SrcPortNumber | Tamsayı | 2335 | Bağlantının kaynaklandığı IP bağlantı noktası. Birden çok bağlantıdan oluşan bir oturumla ilgili olmayabilir. | Kaynak Bağlantı noktası |
| SrcGeoRegion | Bölge (Dize) | Vermont | Kaynak IP adresiyle ilişkilendirilmiş bir ülke/bölge içindeki bölge | Kaynak Coğrafi Bölge |
| SrcResourceId | String | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | İletiyi oluşturan cihazın kaynak kimliği. | Kaynak |
| SrcNatIpAddr | IP Adresi | 4.3.2.1 | Güvenlik duvarı gibi bir aracı NAT cihazı tarafından bildirilirse, NAT cihazı tarafından hedefle iletişim için kullanılan IP adresi. | Kaynak NAT, IP |
| SrcNatPortNumber | Tamsayı | 345 | Güvenlik duvarı gibi bir aracı NAT cihazı tarafından bildirilirse, NAT cihazı tarafından hedefle iletişim için kullanılan bağlantı noktası. | Kaynak NAT, Bağlantı noktası |
| SrcUserSid | Kullanıcı Kimliği (Dize) | S-15-1445 | Oturum kaynağıyla ilişkili kimliğin kullanıcı kimliği. Genellikle, kullanıcı istemcide bir eylem gerçekleştirir. Daha fazla bilgi için bkz . Veri türleri ve biçimleri. | Kaynak User |
| SrcUserAadId | Dize (guid) | 16c8752c-7dd2-4cad-9e03-fb5d1cee5477 | Oturumun kaynak sonundaki kullanıcının Microsoft Entra hesabı nesne kimliği | Kaynak User |
| SrcUserName | Kullanıcı Adı (Dize) | Bob | Oturum kaynağıyla ilişkilendirilmiş kimliğin kullanıcı adı. Genellikle, kullanıcı istemcide bir eylem gerçekleştirir. Daha fazla bilgi için bkz . Veri türleri ve biçimleri. | Kaynak User |
| SrcUserUpn | Dize | bob@alice.com | Oturumu başlatan hesabın UPN'i | Kaynak User |
| SrcUserDomain | Dize | MASAÜSTÜ | Oturumu başlatan hesabın etki alanı | Kaynak User |
| SrcZone | String | Dokunma | Raporlama cihazı tarafından tanımlanan kaynağın ağ bölgesi. | Kaynak |
| NetworkProtocol | String | TCP | Bağlantı veya oturum tarafından kullanılan IP protokolü. Genellikle TCP, UDP veya ICMP | Ağ |
| CloudAppName | String | Bir http uygulaması için bir ara sunucu tarafından tanımlanan hedef uygulamanın adı. | Bulut | |
| CloudAppId | String | 124 | Bir HTTP uygulaması için bir ara sunucu tarafından tanımlanan hedef uygulamanın kimliği. Bu değer genellikle kullanılan ara sunucuya özgüdür. | Bulut |
| CloudAppOperation | String | DeleteFile | Kullanıcının bir HTTP uygulaması için bir proxy tarafından tanımlanan hedef uygulama bağlamında gerçekleştirdiği işlem. Bu değer genellikle kullanılan ara sunucuya özgüdür. | Bulut |
| CloudAppRiskLevel | String | 3 | Ara sunucu tarafından tanımlanan bir HTTP uygulamasıyla ilişkili risk düzeyi. Bu değer genellikle kullanılan ara sunucuya özgüdür. | Bulut |
| Dosyaadı | String | ImNotMalicious.exe | Dosya adı bilgilerini sağlayan FTP ve HTTP gibi protokoller için ağ bağlantıları üzerinden iletilen dosya adı. | Dosya |
| FilePath | String | C:\Malicious\ImNotMalicious.exe | Dosyanın dosya adı da dahil olmak üzere tam yolu | Dosya |
| FileHashMd5 | String | 51BC68715FC7C109DCEA406B42D9D78F | Protokoller için ağ bağlantıları üzerinden iletilen dosyanın MD5 karma değeri. | Dosya |
| FileHashSha1 | String | 491AE3... C299821476F4 | Protokoller için ağ bağlantıları üzerinden iletilen dosyanın SHA1 karma değeri. | Dosya |
| FileHashSha256 | String | 9B8F8EDB... C129976F03 | Protokoller için ağ bağlantıları üzerinden iletilen dosyanın SHA256 karma değeri. | Dosya |
| FileHashSha512 | String | 5E127D... F69F73F01F361 | Protokoller için ağ bağlantıları üzerinden iletilen dosyanın SHA512 karma değeri. | Dosya |
| FileExtension | String | exe | FTP ve HTTP gibi protokoller için ağ bağlantıları üzerinden iletilen dosyanın türü. | Dosya |
| FileMimeType | String | application/msword | FTP ve HTTP gibi protokoller için ağ bağlantıları üzerinden iletilen dosyanın MIME türü | Dosya |
| Dosya Boyutu | Tamsayı | 23500 | Protokoller için ağ bağlantıları üzerinden iletilen dosyanın bayt cinsinden boyutu. | Dosya |
| HttpVersion | String | 2.0 | HTTP/HTTPS ağ bağlantıları için HTTP İstek Sürümü. | Http |
| HttpRequestMethod | String | GET | HTTP/HTTPS ağ oturumları için HTTP Yöntemi. | Http |
| HttpStatusCode | String | 404 | HTTP/HTTPS ağ oturumları için HTTP Durum Kodu. | Http |
| HttpContentType | String | multipart/form-data; sınır=bir şey | HTTP/HTTPS ağ oturumları için HTTP Yanıtı içerik türü üst bilgisi. | Http |
| HttpReferrerOriginal | String | https://developer.mozilla.org/en-US/docs/Web/JavaScript | HTTP/HTTPS ağ oturumları için HTTP başvuran üst bilgisi. | Http |
| HttpUserAgentOriginal | String | Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, Gecko gibi) Chrome/83.0.4103.97 Safari/537.36 | HTTP/HTTPS ağ oturumları için HTTP kullanıcı aracısı üst bilgisi. | Http |
| HttpRequestXff | String | 120.12.41.1 | HTTP/HTTPS ağ oturumları için HTTP X İletilmiş-For üst bilgisi. | Http |
| UrlCategory | String | Arama motorları | Url'nin tanımlı gruplandırma işlemi, büyük olasılıkla URL'deki etki alanına göre içeriğin ne olduğuyla ilgilidir. Örneğin: yetişkin, haber, reklam, park edilmiş etki alanları vb.) | url |
| UrlOriginal | String | https:// contoso.com/fo/?k=v&q=u#f | HTTP/HTTPS ağ oturumları için HTTP isteği URL'si. | Url |
| UrlHostname | String | contoso.com | HTTP/HTTPS ağ oturumları için bir HTTP isteği URL'sinin etki alanı bölümü. | Url |
| ThreatCategory | String | Trojan | IPS'nin Web Güvenlik Ağ Geçidi gibi bir güvenlik sistemi tarafından tanımlanan ve bu ağ oturumuyla ilişkili bir tehdit kategorisi. | Tehdit |
| ThreatId | String | Tr.124 | IPS'nin Web Güvenlik Ağ Geçidi gibi bir güvenlik sistemi tarafından tanımlanan ve bu ağ oturumuyla ilişkili bir tehdidin kimliği. | Tehdit |
| ThreatName | String | EICAR Test Dosyası | Tanımlanan tehdit veya kötü amaçlı yazılımın adı | Tehdit |
| EkAlanlar | Dinamik (JSON çantası) | { Özellik1: "val1", Özellik2: "val2" } |
Şemada ilgili sütun eşleşmediğinde, diğer alanlar bir JSON paketinde depolanabilir. Sorgu zamanı ayrıştırma için JSON koduna veri paketlemek sorgu performansını düşürecek şekilde JSON paketi kullanmak yerine ek sütunları yükseltmenizi öneririz. |
Özel alan |
Sürüm 0.1 ile sürüm 0.2 arasındaki farklar
Microsoft Sentinel Ağ oturumu normalleştirme şemasının özgün sürümü olan sürüm 0.1, ASIM kullanıma sunulmadan önce önizleme olarak yayımlandı.
Bu makalede belgelenen sürüm 0.1 ile 0.2.x sürümü arasındaki farklar şunlardır:
- Sürüm 0.2'de, birleştirici ve kaynağa özgü ayrıştırıcı adları standart ASIM adlandırma kuralına uyacak şekilde değiştirilmiştir.
- Sürüm 0.2, belirli cihaz türlerini barındırmak için belirli yönergeler ve ayrıştırıcıları birleştiren ekler.
Aşağıdaki bölümlerde 0.2.x sürümünün belirli alanlar için farkı açıklanmaktadır.
Sürüm 0.2'de alanlar eklendi
Aşağıdaki alanlar 0.2.x sürümüne eklendi ve sürüm 0.1'de yok:
- DstAppType
- DstDeviceType
- DstDomainType
- DstDvcId
- DstDvcIdType
- DstOriginalUserType
- DstUserIdType
- DstUsernameType
- DstUserType
- DvcActionOriginal
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcIdType
- EventOriginalSeverity
- EventOriginalType
- SrcAppId
- SrcAppName
- SrcAppType
- SrcDeviceType
- SrcDomainType
- SrcDvcId
- SrcDvcIdType
- SrcOriginalUserType
- SrcUserIdType
- SrcUsernameType
- SrcUserType
- ThreatRiskLevelOriginal
- Url
Sürüm 0.2'de yeni diğer ad eklenen alanlar
Aşağıdaki alanlar artık ASIM'in kullanıma sunulmasıyla birlikte sürüm 0.2.x'te diğer adla adlandırılır:
| Sürüm 0.1'deki alan | Sürüm 0.2'deki diğer ad |
|---|---|
| SessionId | NetworkSessionId |
| Süre | NetworkDuration |
| IpAddr | SrcIpAddr |
| User | DstUsername |
| Konak adı | DstHostname |
| UserAgent | HttpUserAgent |
Sürüm 0.2'de değiştirilen alanlar
Aşağıdaki alanlar 0.2.x sürümünde numaralandırılır ve sağlanan listeden belirli bir değer gerektirir.
- EventType
- EventResultDetails
- EventSeverity
Sürüm 0.2'de yeniden adlandırılan alanlar
Aşağıdaki alanlar 0.2.x sürümünde yeniden adlandırıldı:
Sürüm 0.2'de yerleşik Log Analytics alanlarını kullanın:
Alan adı değil KQL işlevi olduğunu
ingestion_time()unutmayın.Sürüm 0.1'deki alan Sürüm 0.2'de yeniden adlandırıldı EventResourceId _ResourceId EventUid _ItemId EventTimeIngested ingestion_time() ASIM ve OSSEM'deki iyileştirmelerle uyumlu olacak şekilde yeniden adlandırıldı:
Sürüm 0.1'deki alan Sürüm 0.2'de yeniden adlandırıldı HttpReferrerOriginal HttpReferrer HttpUserAgentOriginal HttpUserAgent Ağ oturumu hedefinin bir bulut hizmeti olması gerekmediğini yansıtacak şekilde yeniden adlandırıldı:
Sürüm 0.1'deki alan Sürüm 0.2'de yeniden adlandırıldı CloudAppId DstAppId CloudAppName DstAppName CloudAppRiskLevel ThreatRiskLevel Büyük/küçük harf değişikliği yapmak ve kullanıcı varlığının ASIM işlemesiyle uyumlu hale getirmek için yeniden adlandırıldı:
Sürüm 0.1'deki alan Sürüm 0.2'de yeniden adlandırıldı DstUserName DstUsername SrcUserName SrcUsername ASIM cihaz varlığıyla daha iyi uyumlu olacak şekilde yeniden adlandırıldı ve Azure'ın dışındaki kaynak kimliklerine izin verin:
Sürüm 0.1'deki alan Sürüm 0.2'de yeniden adlandırıldı DstResourceId SrcDvcAzureResourceId SrcResourceId SrcDvcAzureResourceId 0.1 sürümünde işleme tutarsız olduğundan, dize alan adlarından kaldırılacak
Dvcşekilde yeniden adlandırıldı:Sürüm 0.1'deki alan Sürüm 0.2'de yeniden adlandırıldı DstDvcDomain DstDomain DstDvcFqdn DstFqdn DstDvcHostname DstHostname SrcDvcDomain SrcDomain SrcDvcFqdn SrcFqdn SrcDvcHostname SrcHostname ASIM dosya gösterimi kılavuzuyla uyumlu olacak şekilde yeniden adlandırıldı:
Sürüm 0.1'deki alan Sürüm 0.2'de yeniden adlandırıldı FileHashMd5 FileMD5 FileHashSha1 FileSHA1 FileHashSha256 FileSHA256 FileHashSha512 FileSHA512 FileMimeType FileContentType
Sürüm 0.2'de alanlar kaldırıldı
Aşağıdaki alanlar yalnızca sürüm 0.1'de bulunur ve sürüm 0.2.x'te kaldırılmıştır:
| Nedeni | Kaldırılan alanlar |
|---|---|
Yinelenenler var olduğundan, alan adında dize olmadan Dvc kaldırıldı |
- DstDvcIpAddr - DstDvcMacAddr - SrcDvcIpAddr - SrcDvcMacAddr |
| URL'lerin ASIM işlemesiyle uyumlu hale getirmek için kaldırıldı | - UrlHostname |
| Bu alanlar genellikle Ağ Oturumu olaylarının bir parçası olarak sağlanmadığından kaldırılır. Bir olay bu alanları içeriyorsa, cihaz özelliklerinin nasıl açıklandığını anlamak için İşlem Olayı şemasını kullanın. |
- SrcDvcOs - SrcDvcModelName - SrcDvcModelNumber - DvcMacAddr - DvcO'lar |
| ASIM dosya gösterimi kılavuzuyla hizalamak için kaldırıldı | - FilePath - FileExtension |
| Bu alan, Kimlik Doğrulama şeması gibi farklı bir şemanın kullanılması gerektiğini gösterdiğinden kaldırıldı. | - CloudAppOperation |
Yinelenen olarak kaldırıldı DstHostname |
- DstDomainHostname |
Sonraki adımlar
Daha fazla bilgi için bkz.
- Microsoft Sentinel'de normalleştirme
- Microsoft Sentinel kimlik doğrulaması normalleştirme şeması başvurusu (Genel önizleme)
- Microsoft Sentinel dosya olayı normalleştirme şeması başvurusu (Genel önizleme)
- Microsoft Sentinel DNS normalleştirme şeması başvurusu
- Microsoft Sentinel işlem olayı normalleştirme şeması başvurusu
- Microsoft Sentinel kayıt defteri olayı normalleştirme şeması başvurusu (Genel önizleme)