Referenční informace schématu normalizace relace sítě Microsoft Sentinel (Public Preview)
Schéma normalizace síťové relace slouží k popisu aktivity sítě protokolu IP. To zahrnuje síťová připojení a síťové relace. Takové události jsou hlášeny například operačními systémy, směrovači, branami firewall, systémy ochrany před neoprávněnými vniknutími a branami zabezpečení webu.
Další informace o normalizaci v rámci Microsoft Sentinel najdete v tématu normalizace a Advanced Siem Information Model (Asim).
Důležité
Tento článek popisuje verzi 0,2. x schématu normalizace sítě, kde verze 0,1 byla vydána před tím, než byl Asim k dispozici a není zarovnána s Asim na několika místech. Další informace najdete v tématu rozdíly mezi verzemi schématu normalizace sítě.
Důležité
Schéma normalizace sítě je momentálně ve verzi PREVIEW. Tato funkce se poskytuje bez smlouvy o úrovni služeb a nedoporučuje se pro produkční úlohy.
Doplňkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, Preview nebo jinak ještě nedostupné ve všeobecné dostupnosti.
Přehled schématu
Schéma normalizace sítě může představovat libovolný typ relace sítě IP, ale je navržena speciálně pro poskytování podpory pro běžné typy zdrojů, jako jsou NetFlow, brány firewall a systémy prevence vniknutí.
Analyzátorů
Nezávislá analyzátory zdrojového kódu
Pokud chcete použít analyzátory source-nezávislá, které sjednotí všechny předem připravené analyzátory, a zajistit, aby se vaše analýza spouštěla ve všech nakonfigurovaných zdrojích, použijte jako název tabulky v dotazu následující funkce KQL:
| Název | Popis | Pokyny k použití |
|---|---|---|
| imNetworkSession | Agregační analyzátor, který pomocí sjednocení zahrnuje normalizované události ze všech zdrojů síťových relací . | – Tento analyzátor aktualizujte, pokud chcete přidat nebo odebrat zdroje ze služby source-nezávislá Analytics. – Tuto funkci můžete použít ve svých dotazech source-nezávislá. |
| ASimNetworkSession | Podobně jako u funkce imNetworkSession , ale bez podpory parametrů, a proto nevynutí, aby nástroj pro výběr času stránky protokolů použil custom hodnotu. |
– Pokud chcete přidat nebo odebrat zdroje ze zdroje-nezávislá Analytics, aktualizujte tyto analyzátory. – Tuto funkci použijte v dotazech source-nezávislá, pokud neplánujete použít parametry. |
| vimNetworkSession<vendor><product> | Analyzátory specifické pro zdroj implementují normalizaci pro konkrétní zdroj. Příklad: vimNetworkSessionSysmonLinux |
– Přidejte analyzátor specifický pro zdroj, když není k dispozici žádný předem připravený analyzátor normalizace. Aktualizujte im agregační analyzátor tak, aby zahrnoval odkaz na váš nový analyzátor. – Aktualizace analyzátoru specifického pro zdroj pro řešení problémů s analýzou a normalizací – Použijte analyzátor specifický pro zdroj pro analýzu specifickou pro zdroj. |
| ASimNetworkSession<vendor><product>> | Analyzátory specifické pro zdroj implementují normalizaci pro konkrétní zdroj. Na rozdíl od vim* funkcí ASim* funkce nepodporují parametry. |
– Přidejte analyzátor specifický pro zdroj, když není k dispozici žádný předem připravený analyzátor normalizace. Aktualizujte agregační ASim analyzátor tak, aby zahrnoval odkaz na váš nový analyzátor.– Aktualizace analyzátoru specifického pro zdroj pro řešení problémů s analýzou a normalizací – Použijte ASim analyzátor specifický pro zdroj pro interaktivní dotazy, pokud nepoužíváte parametry. |
nasaďte analyzátory ASIM z úložiště Microsoft Sentinel GitHub.
Předem připravené – analyzátory specifické pro zdroj
Microsoft Sentinel poskytuje následující integrované analyzátory síťových relací pro konkrétní produkt:
| Název | Popis |
|---|---|
| Microsoft 365 Defender pro koncový bod | -Parametry: vimNetworkSessionMicrosoft365Defender -Regular: ASimNetworkSessionMicrosoft365Defender |
| Microsoft Defender pro IoT – koncový bod (MD4IoT) | -Parametry: vimNetworkSessionMD4IoT -Regular: ASimNetworkSessionMD4IoT |
| Microsoft Sysmon pro Linux | -Parametry: vimNetworkSessionSysmonLinux -Regular: ASimNetworkSessionSysmonLinux |
| brána Firewall pro události Windows | Windows aktivita brány firewall shromážděná pomocí Windowsch událostí 515x shromážděná pomocí agenta Log Analytics nebo agenta Azure Monitor do události nebo do tabulky WindowsEvent. -Parametry: vimNetworkSessionMicrosoftWindowsEventFirewall -Regular: ASimNetworkSessionMicrosoftWindowsEventFirewall |
Přidat vlastní normalizované analyzátory
Při implementaci vlastních analyzátorů pro model informací o síťové relaci pojmenujte funkce KQL pomocí následující syntaxe:
vimNetworkSession<vendor><Product>pro analyzátory s parametryASimNetworkSession<vendor><Product>pro běžné analyzátory
Pak přidejte nový analyzátor do imNetworkSession nebo ASimNetworkSession v uvedeném pořadí.
Filtrování parametrů analyzátoru
im vim* Analyzátory a podporují filtrování parametrů. I když jsou tyto analyzátory volitelné, můžou zlepšit výkon dotazů.
K dispozici jsou následující parametry filtrování:
| Název | Typ | Popis |
|---|---|---|
| spuštění | datetime | Filtrovat pouze síťové relace, které byly spuštěny v nebo po tomto čase. |
| EndTime | datetime | Filtruje jenom síťové relace, které začaly běžet v této době nebo před ní. |
| srcipaddr_has_any_prefix | dynamic | Filtruje jenom síťové relace, pro které je předpona pole zdrojové IP adresy v jedné z uvedených hodnot. |
| dstipaddr_has_any_prefix | dynamic | Filtruje jenom síťové relace, u kterých je předpona pole cílové IP adresy v jedné z uvedených hodnot. |
| dstportnum | int | Filtruje jenom síťové relace se zadaným cílovým číslem portu. |
| hostname_has_any | dynamic | Vyfiltrujte pouze síťové relace, pro které pole cílového názvu hostitele obsahuje některou z uvedených hodnot. |
| dvcaction | dynamic | Vyfiltrujte pouze síťové relace, pro které je v poli akce zařízení uvedena některá z uvedených hodnot. |
| eventresult | řetězec | Filtruje jenom síťové relace s určitou hodnotou EventResult . |
Chcete-li například filtrovat pouze webové relace pro zadaný seznam názvů domén, použijte:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co",...]);
imNetworkSession (hostname_has_any = torProxies)
Podrobnosti schématu
Model informací o síťových relacích je zarovnán od schématu entity OSSEM Network.
Aby bylo možné v souladu s osvědčenými postupy, používá schéma síťové relace popisovače Src a DST k identifikaci zdrojového a cílového zařízení síťové relace bez zahrnutí tokenu Souběžná do názvu pole.
Například název hostitele zdrojového zařízení a IP adresa mají název SrcHostname a SrcIpAddr , nikoli Src Souběžná hostname a Src Souběžná IpAddr. Předpona Souběžná se používá jenom pro vytváření sestav nebo zprostředkující zařízení, jak je to možné.
Pole, která popisují uživatele a aplikace přidružené ke zdrojovým a cílovým zařízením, používají také popisovače Src a letní čas .
Jiná schémata ASIM obvykle místo letního času používají cíl .
Společná pole
Pole společná pro všechna schémata jsou popsána v přehledu schématu Asim. Následující pole mají konkrétní pokyny pro události procesu:
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| EventCount | Povinné | Integer | NetFlow zdroje podporují agregaci a pole EventCount by mělo být nastaveno na hodnotu pole toky NetFlow. U jiných zdrojů je hodnota obvykle nastavena na 1 . |
| Typ | Povinné | Enumerated | Popisuje operaci oznámenou záznamem. V případě záznamů síťových relací jsou podporovány tyto hodnoty: - NetworkConnection- NetworkSession |
| EventSubType | Volitelné | Řetězec | Další popis typu události, je-li k dispozici. V případě záznamů síťových relací jsou podporovány tyto hodnoty: - Start- End |
| EventSchema | Povinné | Řetězec | Název schématu, který je zde popsán, je NetworkSession . |
| EventSchemaVersion | Povinné | Řetězec | Verze schématu. Verze schématu dokumentovaného tady je 0.2.1 |
| DvcAction | Volitelné | Enumerated | Akce provedená v síťové relaci. Podporované hodnoty jsou: - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNroutePoznámka: hodnota může být poskytnuta ve zdrojovém záznamu s použitím různých podmínek, které by měly být normalizovány na tyto hodnoty. Původní hodnota by měla být uložena v poli DvcOriginalAction . Příklad: drop |
| Souběžná pole | V případě událostí síťové relace se pole zařízení vztahují na systém hlášení události síťové relace. | ||
Pole síťové relace
Následující pole jsou společná pro všechna protokolování aktivit síťové relace:
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Platnou | Doporučeno | Řetězec | Jedinečný identifikátor serveru, který přijímá požadavek DNS V tomto poli můžou být vystupovat pole DstDvcId, DstHostnamenebo DstIpAddr . Příklad: 192.168.12.1 |
| DstIpAddr | Doporučeno | IP adresa | IP adresa připojení nebo cíle relace. Příklad: 2001:db8::ff00:42:8329Poznámka: Tato hodnota je povinná, pokud je zadaný DstHostname . |
| DstPortNumber | Volitelné | Integer | Cílový port IP. Příklad: 443 |
| DstHostname | Doporučeno | Řetězec | Název hostitele cílového zařízení, s výjimkou informací o doméně. Pokud není k dispozici žádný název zařízení, uložte příslušnou IP adresu do tohoto pole. Příklad: DESKTOP-1282V4DPoznámka: Tato hodnota je povinná, pokud je zadaný DstIpAddr . |
| Název hostitele | Alias | Alias na DstHostname | |
| DstDomain | Doporučeno | Řetězec | Doména cílového zařízení. Příklad: Contoso |
| DstDomainType | Doporučeno | Enumerated | Typ DstDomain, je-li znám. Mezi možné hodnoty patří: - Windows (contoso\mypc)- FQDN (docs.microsoft.com)Vyžaduje se, pokud se použije DstDomain . |
| DstFQDN | Volitelné | Řetězec | Název hostitele cílového zařízení, včetně informací o doméně, je-li k dispozici. Příklad: Contoso\DESKTOP-1282V4D poznámka: toto pole podporuje formát tradičního plně kvalifikovaného názvu domény a formát Windows domain\hostname. DstDomainType odráží použitý formát. |
| DstDvcId | Volitelné | Řetězec | ID cílového zařízení, jak je uvedeno v záznamu. Příklad: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcIdType | Volitelné | Enumerated | Typ DstDvcId, je-li znám. Mezi možné hodnoty patří: - AzureResourceId- MDEidIfPokud je k dispozici více identifikátorů ID, použijte první z nich v seznamu výše a uložte ostatní do polí DstDvcAzureResourceId nebo DstDvcMDEid v uvedeném pořadí. Vyžaduje se, pokud se použije DstDeviceId . |
| DstDeviceType | Volitelné | Enumerated | Typ cílového zařízení. Mezi možné hodnoty patří: - Computer- Mobile Device- IOT Device- Other |
| DstUserId | Volitelné | Řetězec | Uživatelsky čitelné alfanumerické a jedinečné reprezentace cílového uživatele. Mezi podporované formáty a typy patří: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Azure Active Directory): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673V poli DstUserIdType uložte typ ID. Pokud jsou k dispozici další ID, doporučujeme normalizovat názvy polí na DstUserSid, DstUserUid, DstUserAADID, DstUserOktaId a UserAwsId, v uvedeném pořadí. Další informace najdete v tématu entita uživatele. Příklad: S-1-12 |
| DstUserIdType | Volitelné | Enumerated | Typ ID, který je uložený v poli DstUserId . Podporovány jsou následující hodnoty: SID , UIS , AADID , OktaId a AWSId . |
| DstUsername | Volitelné | Řetězec | Cílové uživatelské jméno, včetně informací o doméně, je-li k dispozici. Použijte jeden z následujících formátů a v následujícím pořadí podle priority: - Hlavní název uživatele nebo e-mail: johndow@contoso.com- Windows: Contoso\johndow- Rozlišující název: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Jednoduché: johndow . Pouze v případě, že nejsou k dispozici informace o doméně, použijte jednoduchý formulář.Do pole DstUsernameType uložte typ uživatelské jméno. Pokud jsou k dispozici další ID, doporučujeme normalizovat názvy polí na DstUserUpn, DstUserWindows a DstUserDn. Další informace najdete v tématu entita uživatele. Příklad: AlbertE |
| Uživatelský | Alias | Alias na DstUsername | |
| DstUsernameType | Volitelné | Enumerated | Určuje typ uživatelského jména uloženého v poli DstUsername . Mezi podporované hodnoty patří: UPN , Windows , a DN Simple . Další informace najdete v tématu entita uživatele.Příklad: Windows |
| DstUserType | Volitelné | Enumerated | Typ objektu actor Mezi podporované hodnoty patří: - Regular- Machine- Admin- System- Application- Service Principal- OtherPoznámka: hodnota může být poskytnuta ve zdrojovém záznamu s použitím různých podmínek, které by měly být normalizovány na tyto hodnoty. Původní hodnotu uložte do pole DstOriginalUserType . |
| DstOriginalUserType | Volitelné | Řetězec | Původní typ cílového uživatele, pokud je k dispozici ve zdroji. |
| DstUserDomain | Volitelné | Řetězec | Toto pole je uchováváno pouze z důvodu zpětné kompatibility. ASIM vyžaduje informace o doméně, pokud je k dispozici, aby byla součástí pole DstUsername . |
| DstAppName | Volitelné | Řetězec | Název cílové aplikace Příklad: Facebook |
| DstAppId | Volitelné | Řetězec | ID cílové aplikace, jak je uvedeno v zařízení pro vytváření sestav. Příklad: 124 |
| DstAppType | Volitelné | Řetězec | Typ aplikace, která je autorizována jménem objektu actor. Mezi podporované hodnoty patří: - Process- Service- Resource- URL- SaaS application- OtherToto pole je povinné, pokud se používají DstAppName nebo DstAppId . |
| DstZone | Volitelné | Řetězec | Zóna sítě cíle, jak je definována zařízením pro vytváření sestav. Příklad: Dmz |
| DstInterfaceName | Volitelné | Řetězec | Síťové rozhraní používané pro připojení nebo relaci cílového zařízení. Příklad: Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | Volitelné | Řetězec | Identifikátor GUID síťového rozhraní používaného na cílovém zařízení. Příklad: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | Volitelné | Řetězec | Adresa MAC síťového rozhraní používaného pro připojení nebo relaci cílového zařízení. Příklad: 06:10:9f:eb:8f:14 |
| DstVlanId | Volitelné | Řetězec | ID sítě VLAN související s cílovým zařízením. 4.6 130 |
| OuterVlanId | Volitelné | Alias | Alias pro DstVlanId. V mnoha případech nemůže být síť VLAN určena jako zdroj nebo cíl, ale je charakterizována jako vnitřní nebo vnější. Tento alias označuje, že DstVlanId by měl být použit v případě, že je síť VLAN charakterizována jako vnější. |
| DstGeoCountry | Volitelné | Země | Země přidružená k cílové IP adrese. Další informace naleznete v tématu logické typy. Příklad: USA |
| DstGeoRegion | Volitelné | Oblast | Oblast nebo stav v rámci země přidružené k cílové IP adrese. Další informace naleznete v tématu logické typy. Příklad: Vermont |
| DstGeoCity | Volitelné | City (Město) | Město přidružené k cílové IP adrese. Další informace naleznete v tématu logické typy. Příklad: Burlington |
| DstGeoLatitude | Volitelné | Zeměpisná šířka | Zeměpisná šířka zeměpisné souřadnice přidružená k cílové IP adrese. Další informace naleznete v tématu logické typy. Příklad: 44.475833 |
| DstGeoLongitude | Volitelné | Zeměpisná délka | Zeměpisná délka geografické souřadnice přidružené k cílové IP adrese. Další informace naleznete v tématu logické typy. Příklad: 73.211944 |
| Src | Doporučeno | Řetězec | Jedinečný identifikátor zdrojového zařízení. V tomto poli můžou být vystupovat pole SrcDvcId, SrcHostnamenebo SrcIpAddr . Příklad: 192.168.12.1 |
| SrcIpAddr | Doporučeno | IP adresa | IP adresa, ze které pochází připojení nebo relace. Tato hodnota je povinná, pokud je zadaný SrcHostname . Příklad: 77.138.103.108 |
| IpAddr | Alias | Alias na SrcIpAddr | |
| SrcPortNumber | Volitelné | Integer | Port IP, ze kterého bylo připojení vytvořeno. Nemusí být relevantní pro relaci zahrnující více připojení. Příklad: 2335 |
| SrcHostname | Doporučeno | Řetězec | Název hostitele zdrojového zařízení, s výjimkou informací o doméně. Pokud není k dispozici žádný název zařízení, uložte příslušnou IP adresu do tohoto pole. Tato hodnota je povinná, pokud je zadaný SrcIpAddr . Příklad: DESKTOP-1282V4D |
| SrcDomain | Doporučeno | Řetězec | Doména zdrojového zařízení. Příklad: Contoso |
| SrcDomainType | Doporučeno | Enumerated | Typ SrcDomain, je-li znám. Mezi možné hodnoty patří: - Windows (například: contoso )- FQDN (například: microsoft.com )Vyžaduje se, pokud se použije SrcDomain . |
| SrcFQDN | Volitelné | Řetězec | Název hostitele zdrojového zařízení, včetně informací o doméně, je-li k dispozici. poznámka: toto pole podporuje formát tradičního plně kvalifikovaného názvu domény a formát Windows domain\hostname. V poli SrcDomainType se zobrazuje použitý formát. Příklad: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Volitelné | Řetězec | ID zdrojového zařízení, jak je uvedeno v záznamu. Příklad: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcIdType | Volitelné | Enumerated | Typ SrcDvcId, je-li znám. Mezi možné hodnoty patří: - AzureResourceId- MDEidPokud je k dispozici více ID, použijte první ze seznamu výše a uložte ostatní do SrcDvcAzureResourceId a SrcDvcMDEid v uvedeném pořadí. Poznámka: Toto pole je povinné, pokud se používá SrcDvcId . |
| SrcDeviceType | Volitelné | Enumerated | Typ zdrojového zařízení. Mezi možné hodnoty patří: - Computer- Mobile Device- IOT Device- Other |
| SrcUserId | Volitelné | Řetězec | Uživatelsky čitelné alfanumerické a jedinečné reprezentace zdrojového uživatele. Mezi typy formátů a podpor patří: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Azure Active Directory): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673V poli SrcUserIdType uložte typ ID. Pokud jsou k dispozici další ID, doporučujeme normalizovat názvy polí na SrcUserSid, SrcUserUid, SrcUserAadId, SrcUserOktaId a UserAwsId, v uvedeném pořadí. Další informace najdete v tématu entita uživatele. Příklad: S-1-12 |
| SrcUserIdType | Volitelné | Enumerated | Typ ID, který je uložený v poli SrcUserId . Mezi podporované hodnoty patří: SID , UIS , AADID , OktaId a AWSId . |
| SrcUsername | Volitelné | Řetězec | Uživatelské jméno zdroje, včetně informací o doméně, je-li k dispozici. Použijte jeden z následujících formátů a v následujícím pořadí podle priority: - Hlavní název uživatele nebo e-mail: johndow@contoso.com- Windows: Contoso\johndow- Rozlišující název: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Jednoduché: johndow . Pouze v případě, že nejsou k dispozici informace o doméně, použijte jednoduchý formulář.Do pole SrcUsernameType uložte typ uživatelské jméno. Pokud jsou k dispozici další ID, doporučujeme normalizovat názvy polí na SrcUserUpn, SrcUserWindows a SrcUserDn. Další informace najdete v tématu entita uživatele. Příklad: AlbertE |
| SrcUsernameType | Volitelné | Enumerated | Určuje typ uživatelského jména uloženého v poli SrcUsername . Podporované hodnoty jsou: UPN , Windows , a DN Simple . Další informace najdete v tématu entita uživatele.Příklad: Windows |
| SrcUserType | Volitelné | Enumerated | Typ objektu actor Povolené hodnoty jsou následující: - Regular- Machine- Admin- System- Application- Service Principal- OtherPoznámka: hodnota může být poskytnuta ve zdrojovém záznamu s použitím různých podmínek, které by měly být normalizovány na tyto hodnoty. Původní hodnotu uložte do pole SrcOriginalUserType . |
| SrcOriginalUserType | Původní typ zdrojového uživatele, pokud je k dispozici ve zdroji. | ||
| SrcUserDomain | Volitelné | Řetězec | Toto pole je uchováváno pouze z důvodu zpětné kompatibility. ASIM vyžaduje informace o doméně, pokud je k dispozici, aby byla součástí pole SrcUsername . |
| SrcAppName | Volitelné | Řetězec | Název zdrojové aplikace. Příklad: filezilla.exe |
| SrcAppId | Volitelné | Řetězec | ID cílové aplikace, jak je uvedeno v zařízení pro vytváření sestav. Příklad: 124 |
| SrcAppType | Volitelné | Řetězec | Typ zdrojové aplikace. Mezi podporované hodnoty patří: - Process- Service- Resource- OtherToto pole je povinné, pokud se používají SrcAppName nebo SrcAppId . |
| SrcZone | Volitelné | Řetězec | Síťová zóna zdroje, jak je definována zařízením pro vytváření sestav. Příklad: Internet |
| SrcIntefaceName | Volitelné | Řetězec | Síťové rozhraní používané pro připojení nebo relaci ze zdrojového zařízení. Příklad: eth01 |
| SrcInterfaceGuid | Volitelné | Řetězec | Identifikátor GUID síťového rozhraní používaného na zdrojovém zařízení. Příklad: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | Volitelné | Řetězec | Adresa MAC síťového rozhraní, ze kterého se vytvořilo připojení nebo relace. Příklad: 06:10:9f:eb:8f:14 |
| SrcVlanId | Volitelné | Řetězec | ID sítě VLAN související se zdrojovým zařízením. 4.6 130 |
| InnerVlanId | Volitelné | Alias | Alias pro SrcVlanId. V mnoha případech nemůže být síť VLAN určena jako zdroj nebo cíl, ale je charakterizována jako vnitřní nebo vnější. Tento alias označuje, že SrcVlanId by měl být použit v případě, že je síť VLAN charakterizována jako vnitřní. |
| SrcGeoCountry | Volitelné | Země | Země přidružená ke zdrojové IP adrese. Příklad: USA |
| SrcGeoRegion | Volitelné | Oblast | Oblast v rámci země přidružená ke zdrojové IP adrese. Příklad: Vermont |
| SrcGeoCity | Volitelné | City (Město) | Město přidružené ke zdrojové IP adrese. Příklad: Burlington |
| SrcGeoLatitude | Volitelné | Zeměpisná šířka | Zeměpisná šířka zeměpisné souřadnice přidružená ke zdrojové IP adrese. Příklad: 44.475833 |
| SrcGeoLongitude | Volitelné | Zeměpisná délka | Zeměpisná délka geografické souřadnice přidružené ke zdrojové IP adrese. Příklad: 73.211944 |
| NetworkApplicationProtocol | Volitelné | Řetězec | Protokol aplikační vrstvy používaný připojením nebo relací. Pokud je zadaná hodnota DstPortNumber , doporučujeme, abyste zahrnuli i NetworkApplicationProtocol . Pokud hodnota není k dispozici ze zdroje, odvozuje hodnotu z hodnoty DstPortNumber . Příklad: FTP |
| NetworkProtocol | Volitelné | Enumerated | Protokol IP použitý připojením nebo relací, jak je uvedeno v části přiřazení protokolu IANA. Obvykle, TCP UDP nebo ICMP .Příklad: TCP |
| NetworkDirection | Volitelné | Enumerated | Směr připojení nebo relace do organizace nebo mimo ni. Mezi podporované hodnoty patří: Inbound , Outbound , Listen . Listen indikuje, že zařízení zahájilo přijímání síťových připojení, ale není ve skutečnosti nutně připojené. |
| NetworkDuration | Volitelné | Integer | Množství času v milisekundách pro dokončení síťové relace nebo připojení. Příklad: 1500 |
| Doba trvání | Alias | Alias na NetworkDuration | |
| NetworkIcmpCode | Volitelné | Integer | U zprávy protokolu ICMP se jedná o číselnou hodnotu typu zpráva ICMP, jak je popsáno v dokumentu rfc 2780 pro síťová připojení IPv4, nebo v dokumentu RFC 4443 pro síťová připojení IPv6. Pokud je zadána hodnota NetworkIcmpType , toto pole je povinné. Pokud hodnota není k dispozici ze zdroje, vyvozuje místo toho hodnotu z pole NetworkIcmpType . Příklad: 34 |
| NetworkIcmpType | Volitelné | Řetězec | V případě zprávy ICMP se jedná o typ zprávy ICMP, jak je popsáno v dokumentu rfc 2780 pro síťová připojení IPv4, nebo v dokumentu RFC 4443 pro síťová připojení IPv6. Příklad: Destination Unreachable |
| NetworkConnectionHistory | Volitelné | Řetězec | Příznaky TCP a další možné informace v hlavičce protokolu IP. |
| DstBytes | Doporučeno | Integer | Počet bajtů odeslaných z cíle do zdroje pro připojení nebo relaci. Pokud je událost agregovaná, DstBytes by měla být součtem všech agregovaných relací. Příklad: 32455 |
| SrcBytes | Doporučeno | Integer | Počet bajtů odeslaných ze zdroje do cíle pro připojení nebo relaci. Pokud je událost agregovaná, SrcBytes by měla být součtem všech agregovaných relací. Příklad: 46536 |
| NetworkBytes | Volitelné | Integer | Počet bajtů odeslaných v obou směrech. Pokud existují obě BytesReceived i BytesSent , bytesTotal by se měla rovnat jejich součtu. Pokud je událost agregovaná, NetworkBytes by měla být součtem všech agregovaných relací. Příklad: 78991 |
| DstPackets | Volitelné | Integer | Počet paketů odeslaných z cíle do zdroje pro připojení nebo relaci. Význam paketu je definován zařízením pro vytváření sestav. Pokud je událost agregovaná, DstPackets by měla být součtem všech agregovaných relací. Příklad: 446 |
| SrcPackets | Volitelné | Integer | Počet paketů odeslaných ze zdroje do cíle pro připojení nebo relaci. Význam paketu je definován zařízením pro vytváření sestav. Pokud je událost agregovaná, SrcPackets by měla být součtem všech agregovaných relací. Příklad: 6478 |
| NetworkPackets | Volitelné | Integer | Počet paketů odeslaných v obou směrech. Pokud existují obě PacketsReceived i PacketsSent , bytesTotal by se měla rovnat jejich součtu. Význam paketu je definován zařízením pro vytváření sestav. Pokud je událost agregovaná, NetworkPackets by měla být součtem všech agregovaných relací. Příklad: 6924 |
| NetworkSessionId | Volitelné | řetězec | Identifikátor relace, který je hlášen zařízením pro vytváření sestav. Příklad: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| SessionId | Alias | Řetězec | Alias na NetworkSessionId |
Pole zprostředkujícího zařízení
Následující pole jsou užitečná, pokud záznam obsahuje informace o zprostředkujícím zařízení, jako je například brána firewall nebo proxy server, který přenáší síťovou relaci.
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| DstNatIpAddr | Volitelné | IP adresa | Pokud služba oznamuje zprostředkující zařízení NAT, IP adresu, kterou zařízení NAT používá ke komunikaci se zdrojem. Příklad: 2::1 |
| DstNatPortNumber | Volitelné | Integer | Pokud zařízení nahlásí zprostředkující zařízení NAT, port používaný zařízením NAT pro komunikaci se zdrojem. Příklad: 443 |
| SrcNatIpAddr | Volitelné | IP adresa | Pokud služba oznamuje zprostředkující zařízení NAT, IP adresu, kterou zařízení NAT používá pro komunikaci s cílem. Příklad: 4.3.2.1 |
| SrcNatPortNumber | Volitelné | Integer | Pokud zařízení nahlásí zprostředkující zařízení NAT, port používaný zařízením NAT pro komunikaci s cílem. Příklad: 345 |
| DvcInboundInterface | Volitelné | Řetězec | Pokud zařízení hlásí zprostředkující zařízení, síťové rozhraní používané zařízením NAT pro připojení ke zdrojovému zařízení. Příklad: eth0 |
| DvcOutboundInterface | Volitelné | Řetězec | Pokud je hlášen zprostředkujícím zařízením, síťové rozhraní používané zařízením NAT pro připojení k cílovému zařízení. Příklad: Ethernet adapter Ethernet 4e |
Kontrolní pole
Následující pole slouží k reprezentaci této kontroly, kterou bezpečnostní zařízení, jako je brána firewall, IP adresa nebo brána webového zabezpečení:
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| NetworkRuleName | Volitelné | Řetězec | Název nebo ID pravidla, podle kterého bylo DvcAction rozhodnuto. Příklad: AnyAnyDrop |
| NetworkRuleNumber | Volitelné | Integer | Číslo pravidla, podle kterého bylo DvcAction rozhodnuto. Příklad: 23 |
| Pravidlo | Povinné | Řetězec | Buď NetworkRuleName nebo NetworkRuleNumber |
| ThreatId | Volitelné | Řetězec | ID hrozby nebo malwaru identifikovaného v síťové relaci. Příklad: Tr.124 |
| Threat | Volitelné | Řetězec | Název hrozby nebo malwaru identifikovaného v síťové relaci. Příklad: EICAR Test File |
| ThreatCategory | Volitelné | Řetězec | Kategorie hrozby nebo malwaru identifikovaného v síťové relaci. Příklad: Trojan |
| ThreatRiskLevel | Volitelné | Integer | Úroveň rizika přidružená k relaci. Úroveň by měla být číslo mezi 0 a 100. Poznámka: hodnota může být k dispozici ve zdrojovém záznamu pomocí jiného měřítka, které by mělo být normalizováno na tento rozsah. Původní hodnota by měla být uložena v ThreatRiskLevelOriginal. |
| ThreatRiskLevelOriginal | Volitelné | Řetězec | Úroveň rizika hlášená zařízením pro vytváření sestav. |
Další pole
Pokud je událost hlášena jedním z koncových bodů síťové relace, může obsahovat informace o procesu, který inicioval nebo ukončil relaci. V takových případech Asim schéma událostí procesu k normalizaci těchto informací.
Aktualizace schématu
Jedná se o změny ve verzi 0.2.1 schématu:
- Přidány
SrcaDstjako aliasy k počátečnímu identifikátoru pro zdrojové a cílové systémy. - Přidání polí
NetworkConnectionHistory,,SrcVlanId,DstVlanIdInnerVlanIdaOuterVlanId
Další kroky
Další informace naleznete v tématu: