Referensi skema normalisasi Sesi Jaringan Advanced Security Information Model (ASIM) (Pratinjau umum)

Skema normalisasi Sesi Jaringan Microsoft Sentinel mewakili aktivitas jaringan IP, seperti koneksi jaringan dan sesi jaringan. Peristiwa tersebut dilaporkan, misalnya, oleh sistem operasi, router, firewall, dan sistem pencegahan intrusi.

Skema normalisasi jaringan dapat mewakili semua jenis sesi jaringan IP tetapi dirancang untuk memberikan dukungan untuk jenis sumber umum, seperti Netflow, firewall, dan sistem pencegahan intrusi.

Untuk informasi selengkapnya tentang normalisasi di Microsoft Sentinel, lihat Normalisasi dan Model Informasi Keamanan Tingkat Lanjut (ASIM).

Artikel ini menjelaskan versi 0.2.x dari skema normalisasi jaringan. Versi 0.1 dirilis sebelum ASIM tersedia dan tidak selaras dengan ASIM di beberapa tempat. Untuk informasi selengkapnya, lihat Perbedaan antara versi skema normalisasi jaringan.

Penting

Skema normalisasi Jaringan saat ini dalam pratinjau. Fitur ini disediakan tanpa perjanjian tingkat layanan. Kami tidak merekomendasikannya untuk beban kerja produksi.

Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Parser

Untuk informasi selengkapnya tentang parser ASIM, lihat gambaran umum parser ASIM.

Menyatukan pengurai

Untuk menggunakan pengurai yang menyatukan semua pengurai out-of-the-box ASIM, dan memastikan bahwa analisis Anda berjalan di semua sumber yang dikonfigurasi, gunakan _Im_NetworkSession memfilter pengurai atau _ASim_NetworkSession pengurai tanpa parameter.

Anda juga dapat menggunakan ImNetworkSession penyebaran-ruang kerja dan pengurai ASimNetworkSession dengan menyebarkannya dari repositori Microsoft Sentinel GitHub.

Untuk informasi selengkapnya, lihat pengurai ASIM bawaan dan pengurai yang disebarkan di ruang kerja.

Pengurai di luar kotak, khusus-sumber

Untuk daftar parser Sesi Jaringan yang disediakan Microsoft Azure Sentinel di luar kotak, lihat daftar parser ASIM

Tambahkan parser normalisasi Anda sendiri

Saat mengembangkan pengurai kustom untuk model informasi Sesi Jaringan, beri nama fungsi KQL Anda menggunakan sintaks berikut:

• vimNetworkSession<vendor><Product> untuk pengurai berparameter
• ASimNetworkSession<vendor><Product> untuk pengurai reguler

Lihat artikel Mengelola pengurai ASIM untuk mempelajari cara menambahkan parser kustom Anda ke parser pemersatu sesi jaringan.

Memfilter parameter parser

Parser im dan vim* mendukung pemfilteran parameter. Meskipun bersifat opsional, parser ini dapat meningkatkan performa kueri Anda.

Parameter pemfilteran berikut ini tersedia:

Nama	Jenis	Deskripsi
starttime	tanggalwaktu	Filter hanya sesi jaringan yang dimulai pada atau setelah waktu ini.
endtime	tanggalwaktu	Filter hanya sesi jaringan yang mulai dijalankan pada atau setelah waktu ini.
srcipaddr_has_any_prefix	dinamis	Filter hanya sesi jaringan yang prefiks bidang alamat IP sumbernya berada di salah satu nilai yang tercantum. Awalan harus diakhiri dengan ., misalnya: 10.0.. Panjang daftar dibatasi hingga 10.000 item.
srcipaddr_has_any_prefix	dinamis	Filter hanya sesi jaringan yang prefiks bidang alamat IP sumbernya berada di salah satu nilai yang tercantum. Awalan harus diakhiri dengan ., misalnya: 10.0.. Panjang daftar dibatasi hingga 10.000 item.
ipaddr_has_any_prefix	dinamis	Filter hanya sesi jaringan yang prefiks bidang alamat IP tujuan atau bidang alamat IP sumber berada di salah satu nilai yang tercantum. Awalan harus diakhiri dengan ., misalnya: 10.0.. Panjang daftar dibatasi hingga 10.000 item. Bidang ASimMatchingIpAddr diatur dengan salah satu nilai SrcIpAddr, DstIpAddr, atau Both untuk mencerminkan bidang atau bidang yang cocok.
dstportnum	Int	Filter hanya sesi jaringan dengan nomor port tujuan yang ditentukan.
hostname_has_any	dinamis	Filter hanya sesi jaringan yang bidang nama host tujuan memiliki salah satu nilai yang tercantum. Panjang daftar dibatasi hingga 10.000 item. Bidang ASimMatchingHostname diatur dengan salah satu nilai SrcHostname, DstHostname, atau Both untuk mencerminkan bidang atau bidang yang cocok.
dvcaction	dinamis	Filter hanya sesi jaringan yang bidang Tindakan Perangkat adalah salah satu nilai yang tercantum.
eventresult	String	Filter hanya sesi jaringan dengan nilai EventResult tertentu.

Misalnya, untuk memfilter hanya sesi jaringan untuk daftar nama domain tertentu, gunakan:

let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)

Tip

Untuk meneruskan daftar harfiah ke parameter yang memerlukan nilai dinamis, secara eksplisit gunakan harfiah dinamis. Contoh: dynamic(['192.168.','10.']).

Gambaran umum Skema

Model informasi Sesi Jaringan disejajarkan dengan skema entitas Jaringan OSSEM.

Acara sesi jaringan menggunakan deskriptor Src dan Dst untuk menunjukkan peran perangkat dan pengguna dan aplikasi terkait yang terlibat dalam sesi tersebut. Jadi, misalnya, nama host perangkat sumber dan alamat IP diberi nama SrcHostname dan SrcIpAddr. Perhatikan skema ASIM lainnya biasanya menggunakan Target, bukan Dst.

Untuk peristiwa yang dilaporkan oleh titik akhir dan untuk jenis peristiwanya EndpointNetworkSession, deskriptor Local dan Remote menunjukkan titik akhir itu sendiri dan perangkat di ujung lain sesi jaringan masing-masing.

Deskriptor Dvc digunakan untuk perangkat pelaporan, yang merupakan sistem lokal untuk sesi yang dilaporkan oleh titik akhir, dan perangkat perantara atau ketukan jaringan untuk acara sesi jaringan lainnya.

Detail skema

Bidang ASIM umum

Penting

Bidang yang umum untuk semua skema dijelaskan secara rinci dalam artikel Bidang Umum ASIM.

Bidang umum dengan pedoman khusus

Daftar berikut menyebutkan bidang yang memiliki pedoman khusus untuk acara Sesi Jaringan:

Bidang	Kelas	Jenis	Deskripsi
EventCount	Wajib	Bilangan bulat	Sumber Netflow mendukung agregasi, dan bidang EventCount harus diatur ke nilai bidang FLOWS Netflow. Untuk sumber lain, nilainya biasanya disetel ke 1.
EventType	Wajib	Disebutkan	Menggambarkan operasi yang dilaporkan oleh rekaman. Untuk catatan Sesi Jaringan, nilai yang diizinkan adalah: - EndpointNetworkSession: untuk sesi yang dilaporkan oleh sistem titik akhir, termasuk klien dan server. Untuk sistem demikian, skema mendukung bidang alias remote dan local. - NetworkSession: untuk sesi yang dilaporkan oleh sistem perantara dan ketukan jaringan. - Flow: untuk NetFlow jenis arus agregat yang mengelompokkan beberapa sesi serupa bersama-sama. Untuk catatan demikian, EventSubType harus dibiarkan kosong.
EventSubType	Opsional	String	Deskripsi tambahan tentang jenis peristiwa, jika berlaku. Untuk catatan Sesi Jaringan, nilai yang didukung meliputi: - Start - End
EventResult	Wajib	Disebutkan	Jika perangkat sumber tidak memberikan hasil acara, EventResult harus didasarkan pada nilai DvcAction. Jika DvcAction adalah Deny, Drop, Drop ICMP, Reset, Reset Source, atau Reset Destination , EventResult seharusnya Failure. Jika tidak, EventResult harus Success.
EventSchema	Wajib	String	Nama skema yang didokumentasikan di sini adalah NetworkSession.
EventSchemaVersion	Wajib	String	Versi skema. Versi skema yang didokumentasikan di sini adalah 0.2.3.
DvcAction	Disarankan	Disebutkan	Tindakan yang diambil pada sesi jaringan. Nilai yang didukung adalah: - Allow - Deny - Drop - Drop ICMP - Reset - Reset Source - Reset Destination - Encrypt - Decrypt - VPNroute Catatan: Nilai mungkin disediakan dalam rekaman sumber dengan menggunakan istilah yang berbeda, yang harus dinormalisasi ke nilai-nilai ini. Nilai asli harus disimpan di bidang DvcOriginalAction. Contoh: drop
EventSeverity	Opsional	Disebutkan	Jika perangkat sumber tidak memberikan tingkat keparahan peristiwa, EventSeverity harus didasarkan pada nilai DvcAction. Jika DvcAction adalah Deny, Drop, Drop ICMP, Reset, Reset Source, atau Reset Destination , EventSeverity harus Low. Jika tidak, EventSeverity harus Informational.
DvcInterface			Bidang DvcInterface harus mengalias bidang DvcInboundInterface atau bidang DvcOutboundInterface.
Bidang Dvc			Untuk acara Sesi Jaringan, bidang perangkat mengacu pada sistem yang melaporkan acara Sesi Jaringan.

Semua bidang umum

Bidang yang muncul pada tabel di bawah ini adalah umum untuk semua skema ASIM. Setiap pedoman yang ditentukan di atas mengambil alih pedoman umum untuk bidang ini. Misalnya, sebuah bidang mungkin opsional secara umum, tetapi wajib untuk skema tertentu. Untuk detail lebih lanjut tentang setiap bidang, lihat artikel Bidang Umum ASIM.

Kelas	Bidang
Wajib	- EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc
Disarankan	- EventResultDetails - EventSeverity - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction
Opsional	- EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription

Bidang sesi jaringan

Bidang	Kelas	Jenis	Deskripsi
NetworkApplicationProtocol	Opsional	String	Protokol lapisan aplikasi yang digunakan oleh sambungan atau sesi. Jika nilai DstPortNumber diberikan, sebaiknya sertakan NetworkApplicationProtocol juga. Jika nilai tidak tersedia dari sumber, dapatkan nilai dari nilai DstPortNumber. Contoh: FTP
NetworkProtocol	Opsional	Disebutkan	Protokol IP yang digunakan oleh koneksi atau sesi seperti yang tercantum dalam penugasan protokol IANA, yang biasanya TCP, UDP, atau ICMP. Contoh: TCP
NetworkProtocolVersion	Opsional	Disebutkan	Versi NetworkProtocol. Saat menggunakannya untuk membedakan antara versi IP, gunakan nilai IPv4 dan IPv6.
NetworkDirection	Opsional	Disebutkan	Arah koneksi atau sesi: - Untuk EventTypeNetworkSession, NetworkDirection mewakili arah relatif terhadap organisasi atau batas lingkungan cloud. Nilai yang didukung adalah Inbound, Outbound, Local (ke organisasi), External (ke organisasi) atau NA (Tidak Berlaku). - Untuk EventTypeEndpointNetworkSession, NetworkDirection mewakili arah relatif terhadap titik akhir. Nilai yang didukung adalah Inbound, Outbound, Local (ke sistem), Listen atau NA (Tidak Berlaku). Nilai Listen menunjukkan bahwa perangkat telah mulai menerima sambungan jaringan, tetapi sebenarnya belum tentu tersambung.
NetworkDuration	Opsional	Bilangan bulat	Jumlah waktu, dalam milidetik, untuk penyelesaian sesi jaringan atau sambungan. Contoh: 1500
Durasi	Alias		Alias untuk NetworkDuration.
NetworkIcmpCode	Opsional	Bilangan bulat	Untuk pesan ICMP, nilai numerik jenis pesan ICMP seperti yang dijelaskan dalam RFC 2780 untuk koneksi jaringan IPv4, atau dalam RFC 4443 untuk koneksi jaringan IPv6. Jika nilai NetworkIcmpType disediakan, bidang ini wajib. Jika nilai tidak tersedia dari sumber, dapatkan nilai dari bidang NetworkIcmpType sebagai gantinya. Contoh: 34
NetworkIcmpType	Opsional	String	Untuk pesan ICMP, representasi teks jenis pesan ICMP, seperti yang dijelaskan dalam RFC 2780 untuk koneksi jaringan IPv4, atau di RFC 4443 untuk koneksi jaringan IPv6. Contoh: Destination Unreachable
NetworkConnectionHistory	Opsional	String	Bendera TCP dan informasi header IP potensial lainnya.
DstBytes	Disarankan	Long	Jumlah byte yang dikirim dari tujuan ke sumber untuk sambungan atau sesi. Jika peristiwa digabungkan, DstBytes harus merupakan jumlah dari semua sesi gabungan. Contoh: 32455
SrcBytes	Disarankan	Long	Jumlah byte yang dikirim dari sumber ke tujuan untuk sambungan atau sesi. Jika peristiwa digabungkan, SrcBytes harus merupakan jumlah dari semua sesi gabungan. Contoh: 46536
NetworkBytes	Opsional	Long	Jumlah byte yang dikirim ke kedua arah. Jika BytesReceived dan BytesSent ada, BytesTotal harus sama dengan jumlahnya. Jika acara digabungkan, NetworkBytes harus merupakan jumlah dari semua sesi gabungan. Contoh: 78991
DstPackets	Opsional	Long	Jumlah paket yang dikirim dari tujuan ke sumber untuk sambungan atau sesi. Arti dari paket didefinisikan oleh perangkat pelaporan. Jika peristiwa digabungkan, DstPackets harus merupakan jumlah di semua sesi gabungan. Contoh: 446
SrcPackets	Opsional	Long	Jumlah paket yang dikirim dari sumber ke tujuan untuk sambungan atau sesi. Arti dari paket didefinisikan oleh perangkat pelaporan. Jika peristiwa digabungkan, SrcPackets harus merupakan jumlah di semua sesi gabungan. Contoh: 6478
NetworkPackets	Opsional	Long	Jumlah paket yang dikirim ke kedua arah. Jika PacketsReceived dan PacketsSent ada, BytesTotal harus sama dengan jumlahnya. Arti dari paket didefinisikan oleh perangkat pelaporan. Jika acara digabungkan, NetworkPackets harus merupakan jumlah dari semua sesi gabungan. Contoh: 6924
NetworkSessionId	Opsional	string	Pengidentifikasi sesi seperti yang dilaporkan oleh perangkat pelaporan. Contoh: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80
SessionId	Alias	String	Alias untuk NetworkSessionId

Bidang sistem tujuan

Bidang	Kelas	Jenis	Deskripsi
Dst	Disarankan	Alias	Pengenal unik dari server yang menerima permintaan DNS. Bidang ini bisa mengalias bidang DstDvcId, DstHostname, atau DstIpAddr. Contoh: 192.168.12.1
DstIpAddr	Disarankan	Alamat IP	Alamat IP koneksi atau tujuan sesi. Jika sesi menggunakan terjemahan alamat jaringan, ini adalah alamat yang terlihat publik, dan bukan alamat asli sumber yang disimpan di DstNatIpAddr Contoh: 2001:db8::ff00:42:8329 Catatan: Nilai ini wajib jika DstHostname ditentukan.
DstPortNumber	Opsional	Bilangan bulat	Port IP tujuan. Contoh: 443
DstHostname	Disarankan	Nama host	Nama host perangkat tujuan, tidak termasuk informasi domain. Jika tidak ada nama perangkat yang tersedia, simpan alamat IP yang relevan di bidang ini. Contoh: DESKTOP-1282V4D
DstDomain	Disarankan	String	Domain perangkat tujuan. Contoh: Contoso
DstDomainType	Disarankan	Disebutkan	Jenis DstDomain. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DomainType di artikel Gambaran Umum Skema. Diperlukan jika DstDomain digunakan.
DstFQDN	Opsional	String	Nama host perangkat target, termasuk informasi domain saat tersedia. Contoh: Contoso\DESKTOP-1282V4D Catatan: Bidang ini mendukung format FQDN tradisional dan format domain\hostname Windows. DstDomainType mencerminkan format yang digunakan.
DstDvcId	Opsional	String	ID perangkat tujuan. Jika beberapa ID tersedia, gunakan yang paling penting, dan simpan yang lain di bidang DstDvc<DvcIdType>. Contoh: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
DstDvcIdType	Opsional	Disebutkan	Jenis DstDvcId. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DvcIdType dalam artikel Gambaran Umum Skema. Diperlukan jika DstDeviceId digunakan.
DstDeviceType	Opsional	Disebutkan	Jenis perangkat tujuan. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DeviceType dalam artikel Gambaran Umum Skema.
DstZone	Opsional	String	Zona jaringan dari tujuan, seperti yang didefinisikan oleh perangkat pelaporan. Contoh: Dmz
DstInterfaceName	Opsional	String	Antarmuka jaringan yang digunakan untuk sambungan atau sesi oleh perangkat tujuan. Contoh: Microsoft Hyper-V Network Adapter
DstInterfaceGuid	Opsional	String	GUID dari antarmuka jaringan yang digunakan pada perangkat tujuan. Contoh: 46ad544b-eaf0-47ef- 827c-266030f545a6
DstMacAddr	Opsional	String	Alamat MAC dari antarmuka jaringan yang digunakan untuk koneksi atau sesi oleh perangkat tujuan. Contoh: 06:10:9f:eb:8f:14
DstVlanId	Opsional	String	ID VLAN yang terkait dengan perangkat tujuan. Contoh: 130
OuterVlanId	Opsional	Alias	Alias untuk DstVlanId. Dalam banyak kasus, VLAN tidak dapat ditentukan sebagai sumber atau tujuan tetapi dicirikan sebagai inner atau outer. Alias ini menandakan bahwa DstVlanId harus digunakan ketika VLAN dicirikan sebagai outer.
DstSubscriptionId	Opsional	String	ID langganan platform cloud tempat perangkat tujuan berada. DvcSubscriptionId memetakan ke ID langganan di Azure dan ke ID akun di AWS.
DstGeoCountry	Opsional	Negara	Negara yang terkait dengan alamat IP tujuan. Untuk informasi lebih lanjut, lihat Jenis Logis. Contoh: USA
DstGeoRegion	Opsional	Wilayah	Wilayah, atau negara bagian, dalam negara yang terkait dengan alamat IP tujuan. Untuk informasi lebih lanjut, lihat Jenis Logis. Contoh: Vermont
DstGeoCity	Opsional	Kota	Kota yang terkait dengan alamat IP tujuan. Untuk informasi lebih lanjut, lihat Jenis Logis. Contoh: Burlington
DstGeoLatitude	Opsional	Garis Lintang	Garis lintang koordinat geografis yang terkait dengan alamat IP tujuan. Untuk informasi lebih lanjut, lihat Jenis Logis. Contoh: 44.475833
DstGeoLongitude	Opsional	Garis Bujur	Garis bujur koordinat geografis yang terkait dengan alamat IP tujuan. Untuk informasi lebih lanjut, lihat Jenis Logis. Contoh: 73.211944

Bidang pengguna tujuan

Bidang	Kelas	Jenis	Deskripsi
DstUserId	Opsional	String	Representasi unik, alfanumerik, dan dapat dibaca mesin dari pengguna tujuan. Untuk format yang didukung untuk jenis ID yang berbeda, lihat Entitas pengguna. Contoh: S-1-12
DstUserIdType	Opsional	UserIdType	Jenis ID yang disimpan di bidang DstUserId. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DvcIdType dalam artikel Gambaran Umum Skema.
DstUsername	Opsional	String	Nama pengguna Tujuan, termasuk informasi domain bila ada. Untuk format yang didukung untuk jenis ID yang berbeda, lihat Entitas pengguna. Gunakan formulir sederhana hanya jika informasi domain tidak tersedia. Simpan jenis Nama Pengguna di bidang DstUsernameType. Jika format nama pengguna lain tersedia, simpan di bidang DstUsername<UsernameType>. Contoh: AlbertE
Pengguna	Alias		Alias ke DstUsername.
DstUsernameType	Opsional	UsernameType	Menentukan jenis nama pengguna yang disimpan di bidang DstUsername. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat UsernameType dalam artikel Gambaran Umum Skema. Contoh: Windows
DstUserType	Opsional	UserType	Jenis pengguna tujuan. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat UserType dalam artikel Gambaran Umum Skema. Catatan: Nilai mungkin disediakan dalam rekaman sumber dengan menggunakan istilah yang berbeda, yang harus dinormalisasi ke nilai-nilai ini. Simpan nilai asli di bidang DstOriginalUserType.
DstOriginalUserType	Opsional	String	Jenis pengguna tujuan asli, jika disediakan oleh sumbernya.

Bidang Aplikasi tujuan

Bidang	Kelas	Jenis	Deskripsi
DstAppName	Opsional	String	Nama aplikasi tujuan. Contoh: Facebook
DstAppId	Opsional	String	ID aplikasi tujuan, seperti yang dilaporkan oleh perangkat pelapor. Contoh: 124
DstAppType	Opsional	AppType	Tipe aplikasi tujuan. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat AppType dalam artikel Gambaran Umum Skema. Bidang ini wajib jika DstAppName atau DstAppId digunakan.

Bidang sistem sumber

Bidang	Kelas	Jenis	Deskripsi
Src	Disarankan	Alias	Pengenal unik perangkat sumber. Bidang ini bisa menjadi alias bagi bidang SrcDvcId, SrcHostname, atau SrclpAddr. Contoh: 192.168.12.1
SrcIpAddr	Disarankan	Alamat IP	Alamat IP tempat koneksi atau sesi berasal. Nilai ini wajib jika SrcHostname ditentukan. Jika sesi menggunakan terjemahan alamat jaringan, ini adalah alamat yang terlihat oleh publik, dan bukan alamat asli sumber yang disimpan di SrcNatIpAddr Contoh: 77.138.103.108
SrcPortNumber	Opsional	Bilangan bulat	Port IP tempat sambungan berasal. Mungkin tidak relevan untuk sesi yang terdiri dari beberapa sambungan. Contoh: 2335
SrcHostname	Disarankan	Nama host	Nama host perangkat sumber, tidak termasuk informasi domain. Jika tidak ada nama perangkat yang tersedia, simpan alamat IP yang relevan di bidang ini. Contoh: DESKTOP-1282V4D
SrcDomain	Disarankan	String	Domain perangkat sumber. Contoh: Contoso
SrcDomainType	Disarankan	DomainType	Jenis SrcDomain. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DomainType di artikel Gambaran Umum Skema. Diperlukan jika SrcDomain digunakan.
SrcFQDN	Opsional	String	Nama host perangkat sumber, termasuk informasi domain saat tersedia. Catatan: Bidang ini mendukung format FQDN tradisional dan format domain\hostname Windows. Bidang SrcDomainType mencerminkan format yang digunakan. Contoh: Contoso\DESKTOP-1282V4D
SrcDvcId	Opsional	String	ID perangkat sumber. Jika terdapat beberapa ID tersedia, gunakan yang paling penting, dan simpan yang lain di bidang SrcDvc<DvcIdType>. Contoh: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcIdType	Opsional	DvcIdType	Jenis SrcDvcId. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DvcIdType dalam artikel Gambaran Umum Skema. Catatan: Bidang ini diperlukan jika SrcDvcId digunakan.
SrcDeviceType	Opsional	DeviceType	Jenis perangkat sumber Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DeviceType dalam artikel Gambaran Umum Skema.
SrcZone	Opsional	String	Zona jaringan dari sumber, seperti yang didefinisikan oleh perangkat pelaporan. Contoh: Internet
SrcInterfaceName	Opsional	String	Antarmuka jaringan yang digunakan untuk sambungan atau sesi oleh perangkat sumber. Contoh: eth01
SrcInterfaceGuid	Opsional	String	GUID antarmuka jaringan yang digunakan pada perangkat sumber. Contoh: 46ad544b-eaf0-47ef- 827c-266030f545a6
SrcMacAddr	Opsional	String	Alamat MAC antarmuka jaringan dari mana koneksi atau sesi berasal. Contoh: 06:10:9f:eb:8f:14
SrcVlanId	Opsional	String	ID VLAN yang terkait dengan perangkat sumber. Contoh: 130
InnerVlanId	Opsional	Alias	Alias untuk SrcVlanId. Dalam banyak kasus, VLAN tidak dapat ditentukan sebagai sumber atau tujuan tetapi dicirikan sebagai inner atau outer. Alias ini menandakan bahwa SrcVlanId harus digunakan ketika VLAN dicirikan sebagai inner.
SrcSubscriptionId	Opsional	String	ID langganan platform cloud milik perangkat sumber. DvcSubscriptionId memetakan ke ID langganan di Azure dan ke ID akun di AWS.
SrcGeoCountry	Opsional	Negara	Negara yang terkait dengan alamat IP sumber. Contoh: USA
SrcGeoRegion	Opsional	Wilayah	Wilayah dalam negara yang terkait dengan alamat IP sumber. Contoh: Vermont
SrcGeoCity	Opsional	Kota	Kota yang terkait dengan alamat IP sumber. Contoh: Burlington
SrcGeoLatitude	Opsional	Garis Lintang	Garis lintang koordinat geografis yang terkait dengan alamat IP sumber. Contoh: 44.475833
SrcGeoLongitude	Opsional	Garis Bujur	Garis bujur koordinat geografis yang terkait dengan alamat IP sumber. Contoh: 73.211944

Bidang pengguna sumber

Bidang	Kelas	Jenis	Deskripsi
SrcUserId	Opsional	String	Representasi unik, alfanumerik, dan dapat dibaca komputer dari pengguna sumber. Untuk format yang didukung untuk jenis ID yang berbeda, lihat Entitas pengguna. Contoh: S-1-12
SrcUserIdType	Opsional	UserIdType	Jenis ID yang disimpan pada bidang ActorUserId. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DvcIdType dalam artikel Gambaran Umum Skema.
SrcUsername	Opsional	String	Nama pengguna Sumber, termasuk informasi domain jika tersedia. Untuk format yang didukung untuk jenis ID yang berbeda, lihat Entitas pengguna. Gunakan formulir sederhana hanya jika informasi domain tidak tersedia. Simpan jenis Nama Pengguna di bidang SrcUsernameType. Jika format nama pengguna lain tersedia, simpan di bidang SrcUsername<UsernameType>. Contoh: AlbertE
SrcUsernameType	Opsional	UsernameType	Menentukan jenis nama pengguna yang disimpan di bidang TargetUsername. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat UsernameType dalam artikel Gambaran Umum Skema. Contoh: Windows
SrcUserType	Opsional	UserType	Jenis pengguna sumber. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat UserType dalam artikel Gambaran Umum Skema. Catatan: Nilai mungkin disediakan dalam rekaman sumber dengan menggunakan istilah yang berbeda, yang harus dinormalisasi ke nilai-nilai ini. Simpan nilai asli di bidang SrcOriginalUserType.
SrcOriginalUserType	Opsional	String	Jenis pengguna tujuan asli, jika disediakan oleh perangkat pelapor.

Bidang aplikasi sumber

Bidang	Kelas	Jenis	Deskripsi
SrcAppName	Opsional	String	Nama aplikasi sumber. Contoh: filezilla.exe
SrcAppId	Opsional	String	ID aplikasi sumber, seperti yang dilaporkan oleh perangkat pelapor. Contoh: 124
SrcAppType	Opsional	AppType	Jenis aplikasi sumber. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat AppType dalam artikel Gambaran Umum Skema. Bidang ini wajib jika SrcAppName atau SrcAppId digunakan.

Alias lokal dan jarak jauh

Semua bidang sumber dan tujuan yang tercantum di atas, dapat secara opsional alias oleh bidang dengan nama yang sama dan deskriptor Local dan Remote. Biasanya membantu untuk peristiwa yang dilaporkan oleh titik akhir dan untuk peristiwa dengan jenis acara EndpointNetworkSession.

Untuk peristiwa seperti itu deskriptor Local dan Remote menunjukkan titik akhir itu sendiri dan perangkat di ujung lain dari sesi jaringan masing-masing. Untuk koneksi masuk, sistem lokal adalah tujuan, bidang Local adalah alias ke bidang Dst, dan bidang 'Jarak Jauh' adalah alias ke bidang Src. Sebaliknya, untuk koneksi keluar, sistem lokal adalah sumber, bidang Local adalah alias ke bidang Src, dan bidang Remote adalah alias ke bidang Dst.

Misalnya, untuk peristiwa masuk, bidang LocalIpAddr adalah alias ke DstIpAddr dan bidang RemoteIpAddr adalah alias ke SrcIpAddr.

Nama host dan alias alamat IP

Bidang	Kelas	Jenis	Deskripsi
Hostname	Alias		- Jika jenis acara adalah NetworkSession, Nama host adalah alias ke DstHostname. - Jika jenis peristiwa adalah EndpointNetworkSession, Nama host adalah alias ke RemoteHostname, yang dapat menjadi alias DstHostname atau SrcHostName, tergantung pada NetworkDirection
IpAddr	Alias		- Jika jenis acara adalah NetworkSession, Nama host adalah alias untuk SrcIpAddr. - Jika jenis peristiwa adalah EndpointNetworkSession, Nama host adalah alias ke LocalIpAddr, yang dapat menjadi alias SrcIpAddr atau DstIpAddr, tergantung pada NetworkDirection.

Bidang perangkat perantara dan Terjemahan Alamat Jaringan (NAT)

Bidang berikut berguna jika catatan menyertakan informasi tentang perangkat perantara, seperti firewall atau proksi, yang merelai sesi jaringan.

Sistem perantara sering menggunakan terjemahan alamat dan oleh karena itu alamat asli dan alamat yang terlihat dari luar tidak sama. Dalam kasus demikian, bidang alamat utama seperti SrcIPAddr dan DstIpAddr mewakili alamat yang diamati secara eksternal, sedangkan bidang alamat NAT, SrcNatIpAddr dan DstNatIpAddr mewakili alamat internal perangkat asli sebelum terjemahan.

Bidang	Kelas	Jenis	Deskripsi
DstNatIpAddr	Opsional	Alamat IP	DstNatIpAddr mewakili salah satu dari: - Alamat asli perangkat tujuan jika terjemahan alamat jaringan digunakan. - Alamat IP yang digunakan oleh perangkat perantara untuk komunikasi dengan sumber. Contoh: 2::1
DstNatPortNumber	Opsional	Bilangan bulat	Jika dilaporkan oleh perangkat NAT perantara, port yang digunakan oleh perangkat NAT untuk komunikasi dengan sumbernya. Contoh: 443
SrcNatIpAddr	Opsional	Alamat IP	DstNatIpAddr mewakili salah satu dari: - Alamat asli perangkat tujuan jika terjemahan alamat jaringan digunakan. - Alamat IP yang digunakan oleh perangkat perantara untuk komunikasi dengan tujuan. Contoh: 4.3.2.1
SrcNatPortNumber	Opsional	Bilangan bulat	Jika dilaporkan oleh perangkat NAT perantara, port yang digunakan oleh perangkat NAT untuk komunikasi dengan tujuan. Contoh: 345
DvcInboundInterface	Opsional	String	Jika dilaporkan oleh perangkat perantara, antarmuka jaringan digunakan oleh perangkat NAT untuk koneksi ke perangkat sumber. Contoh: eth0
DvcOutboundInterface	Opsional	String	Jika dilaporkan oleh perangkat perantara, antarmuka jaringan digunakan oleh perangkat NAT untuk koneksi ke perangkat tujuan. Contoh: Ethernet adapter Ethernet 4e

Bidang inspeksi

Bidang berikut digunakan untuk mewakili pemeriksaan yang dilakukan oleh perangkat keamanan seperti firewall, IPS, atau gateway keamanan web:

Bidang	Kelas	Jenis	Deskripsi
NetworkRuleName	Opsional	String	Nama atau ID aturan yang digunakan untuk memutuskan DvcAction. Contoh: AnyAnyDrop
NetworkRuleNumber	Opsional	Bilangan bulat	Jumlah aturan yang digunakan untuk memutuskan DvcAction. Contoh: 23
Aturan	Wajib	Alias	Baik NetworkRuleName atau NetworkRuleNumber.
ThreatId	Opsional	String	ID ancaman atau malware yang diidentifikasi dalam sesi jaringan. Contoh: Tr.124
ThreatName	Opsional	String	Nama ancaman atau malware yang diidentifikasi dalam sesi jaringan. Contoh: EICAR Test File
ThreatCategory	Opsional	String	Kategori ancaman atau malware yang diidentifikasi dalam sesi jaringan. Contoh: Trojan
ThreatRiskLevel	Opsional	Bilangan bulat	Tingkat risiko yang terkait dengan sesi. Levelnya harus berupa angka antara 0 hingga 100. Catatan: Nilai ini dapat diberikan dalam catatan sumber menggunakan skala yang berbeda, yang harus dinormalisasi ke skala ini. Nilai asli harus disimpan di ThreatRiskLevelOriginal.
ThreatRiskLevelOriginal	Opsional	String	Tingkat risiko seperti yang dilaporkan oleh perangkat pelaporan.

Bidang lainnya

Jika peristiwa dilaporkan oleh salah satu titik akhir sesi jaringan, mungkin termasuk informasi tentang proses yang memulai atau mengakhiri sesi. Dalam kasus seperti itu, Skema Peristiwa Proses ASIM digunakan untuk menormalkan informasi ini.

Pembaruan skema

Berikut ini adalah perubahan dalam versi 0.2.1 dari skema tersebut:

• Penambahan Src dan Dst sebagai alias ke pengenal utama untuk sistem sumber dan tujuan.
• Tambahan bidang **NetworkConnectionHistory**, **SrcVlanId**, **DstVlanId**, InnerVlanId, dan OuterVlanId.

Berikut adalah perubahan dalam versi 0.2.2 dari skema tersebut:

• Penambahan alias Remote dan Local.
• Penambahan jenis acara EndpointNetworkSession.
• Definisi Hostname dan IpAddr sebagai alias untuk RemoteHostname dan LocalIpAddr masing-masing ketika jenis kejadiannya EndpointNetworkSession.
• Didefinisikan DvcInterface sebagai alias untuk DvcInboundInterface atau DvcOutboundInterface.
• Mengubah jenis bidang berikut dari Integer menjadi Long: SrcBytes, DstBytes, NetworkBytes, SrcPackets, DstPackets, dan NetworkPackets.
• Menambahkan bidang NetworkProtocolVersion, SrcSubscriptionId, dan DstSubscriptionId.
• Menghentikan DstUserDomain dan SrcUserDomain.

Berikut adalah perubahan dalam versi 0.2.3 dari skema tersebut:

• Menambahkan ipaddr_has_any_prefix parameter penyaringan.
• hostname_has_any Parameter penyaringan sekarang cocok dengan nama host sumber atau tujuan.
• Menambahkan bidang ASimMatchingHostname dan ASimMatchingIpAddr.

Langkah berikutnya

Untuk informasi selengkapnya, lihat:

• Tonton Webinar ASIM atau tinjau slide
• Gambaran umum Model Informasi Keamanan Tingkat Lanjut (ASIM)
• Skema Model Informasi Keamanan Tingkat Lanjut (ASIM)
• Pengurai Model Informasi Keamanan Tingkat Lanjut (ASIM)
• Konten Model Informasi Keamanan Tingkat Lanjut (ASIM)