Naslag voor normaliseringsschema voor Microsoft Sentinel-netwerksessie (openbare preview)
Het normaliseringsschema van de netwerksessie wordt gebruikt om een IP-netwerkactiviteit te beschrijven. Dit omvat netwerkverbindingen en netwerksessies. Dergelijke gebeurtenissen worden bijvoorbeeld gerapporteerd door besturingssystemen, routers, firewalls, inbraakpreventiesystemen en webbeveiligingsgateways.
Zie Normalization and the Advanced SIEM Information Model (ASIM) (Normalisering en advanced SIEM Information Model (ASIM) )voor meer informatie over normalisatie in Microsoft Sentinel.
Belangrijk
In dit artikel wordt versie 0.2.x van het netwerknormalisatieschema beschreven, waarbij versie 0.1 werd uitgebracht voordat ASIM beschikbaar was en niet op verschillende plaatsen wordt uitgelijnd met ASIM. Zie Verschillen tussen schemaversies voor netwerknormalisatie voor meer informatie.
Belangrijk
Het netwerknormalisatieschema is momenteel beschikbaar als preview-versie. Deze functie wordt aangeboden zonder service level agreement en wordt niet aanbevolen voor productieworkloads.
De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Schema-overzicht
Het netwerknormalisatieschema kan elk type IP-netwerksessie vertegenwoordigen, maar is speciaal ontworpen om ondersteuning te bieden voor algemene brontypen, zoals Netflow, firewalls en inbraakpreventiesystemen.
Parsers
Bronagnostische parsers
Als u de bron-agnostische parsers wilt gebruiken die alle out-of-the-box parsers combineren en ervoor wilt zorgen dat uw analyse wordt uitgevoerd in alle geconfigureerde bronnen, gebruikt u de volgende KQL-functies als de tabelnaam in uw query:
| Naam | Beschrijving | Gebruiksinstructies |
|---|---|---|
| imNetworkSession | Aggregatieve parser die gebruikmaakt van union om genormaliseerde gebeurtenissen uit alle netwerksessiebronnen op te nemen. | - Werk deze parser bij als u bronnen wilt toevoegen aan of verwijderen uit bron-agnostische analyses. - Gebruik deze functie in uw bron-agnostische query's. |
| ASimNetworkSession | Vergelijkbaar met de functie imNetworkSession, maar zonder ondersteuning voor parameters, en daarom wordt de paginatijd- picker voor logboeken niet gedwongen de waarde te custom gebruiken. |
- Werk deze parsers bij als u bronnen wilt toevoegen aan of verwijderen uit bron-agnostische analyses. - Gebruik deze functie in uw bron-agnostische query's als u niet van plan bent om parameters te gebruiken. |
| vimNetworkSession<vendor><product> | Bronspecifieke parsers implementeren normalisatie voor een specifieke bron. Voorbeeld: vimNetworkSessionSysmonLinux |
- Voeg een bronspecifieke parser toe voor een bron wanneer er geen out-of-the-box-normaliseringsparser is. Werk de im aggregatieve parser bij met verwijzing naar uw nieuwe parser. - Werk een bronspecifieke parser bij om problemen met parseren en normaliseren op te lossen. - Gebruik een bronspecifieke parser voor bronspecifieke analyses. |
| ASimNetworkSession<vendor><product>> | Bronspecifieke parsers implementeren normalisatie voor een specifieke bron. In tegenstelling vim* tot de functies bieden de functies geen ondersteuning voor ASim* parameters. |
- Voeg een bronspecifieke parser toe voor een bron wanneer er geen out-of-the-box-normaliseringsparser is. Werk de aggregatieve ASim parser bij met verwijzing naar uw nieuwe parser.- Werk een bronspecifieke parser bij om problemen met parseren en normaliseren op te lossen. - Gebruik een ASim bronspecifieke parser voor interactieve query's wanneer u geen parameters gebruikt. |
IMPLEMENTEER ASIM-parsers vanuit de Microsoft Sentinel-GitHub opslagplaats.
Out-of-the-box, bronspecifieke parsers
Microsoft Sentinel biedt de volgende ingebouwde, productspecifieke netwerksessieparsers:
| Naam | Beschrijving |
|---|---|
| Microsoft 365 Defender voor eindpunt | - Geparametriseerd: vimNetworkSessionMicrosoft365Defender - Regelmatig: ASimNetworkSessionMicrosoft365Defender |
| Microsoft Defender for IoT - Eindpunt (MD4IoT) | - Geparametriseerd: vimNetworkSessionMD4IoT - Regelmatig: ASimNetworkSessionMD4Iot |
| Microsoft Sysmon voor Linux | - Geparametriseerd: vimNetworkSessionSysmonLinux - Regelmatig: ASimNetworkSessionSysmonLinux |
| Windows Events Firewall | Windows firewallactiviteit zoals verzameld met behulp van Windows Gebeurtenissen 515x, verzameld met behulp van de Log Analytics-agent of de Azure Monitor-agent in de tabel Gebeurtenis of WindowsEvent. - Geparametriseerd: vimNetworkSessionMicrosoftWindowsEventFirewall - Regelmatig: ASimNetworkSessionMicrosoftWindowsEventFirewall |
Uw eigen genormaliseerde parsers toevoegen
Wanneer u aangepaste parsers implementeert voor het informatiemodel van de netwerksessie, gebruikt u de volgende syntaxis om uw KQL-functies een naam te geven:
vimNetworkSession<vendor><Product>voor geparametriseerde parsersASimNetworkSession<vendor><Product>voor reguliere parsers
Voeg vervolgens de nieuwe parser toe aan imNetworkSession ASimNetworkSession of .
Parserparameters filteren
De im vim* parsers en ondersteunen filterparameters. Hoewel deze parsers optioneel zijn, kunnen ze uw queryprestaties verbeteren.
De volgende filterparameters zijn beschikbaar:
| Naam | Type | Beschrijving |
|---|---|---|
| Starttime | datum/tijd | Filter alleen netwerksessies die op of na deze tijd zijn gestart. |
| Eindtijd | datum/tijd | Filter alleen netwerksessies die op of vóór deze tijd zijn gestart. |
| srcipaddr_has_any_prefix | dynamisch | Filter alleen netwerksessies waarvoor het veld voor het bron-IP-adres in een van de vermelde waarden staat. |
| dstipaddr_has_any_prefix | dynamisch | Filter alleen netwerksessies waarvoor het veld voor het doel-IP-adres in een van de vermelde waarden staat. |
| dstportnum | int | Filter alleen netwerksessies met het opgegeven doelpoortnummer. |
| hostname_has_any | dynamisch | Filter alleen de netwerksessies waarvoor het doelhostnaamveld een van de vermelde waarden heeft. |
| dvcaction | dynamisch | Filter alleen de netwerksessies waarvoor het veld Apparaatactie een van de vermelde waarden is. |
| eventresult | tekenreeks | Filter alleen netwerksessies met een specifieke EventResult-waarde. |
Als u bijvoorbeeld alleen websessies wilt filteren op een opgegeven lijst met domeinnamen, gebruikt u:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co",...]);
imNetworkSession (hostname_has_any = torProxies)
Schemadetails
Het informatiemodel Netwerksessies is uitgelijnd is het ossem-netwerkentiteitsschema.
Om te voldoen aan de best practices in de branche, gebruikt het netwerksessieschema de descriptors Src en Dst om de bron- en doelapparaten van de netwerksessie te identificeren, zonder het token Dvc op te nemen in de veldnaam.
De hostnaam en het IP-adres van het bronapparaat hebben dus respectievelijk de namen SrcHostname en SrcIpAddr en niet Src Dvc Hostname en Src Dvc IpAddr. Het voorvoegsel Dvc wordt alleen gebruikt voor het rapportage- of intermediaire apparaat, indien van toepassing.
Velden die de gebruiker en toepassing beschrijven die zijn gekoppeld aan de bron- en doelapparaten, gebruiken ook de Src- en Dst-descriptors.
Andere ASIM-schema's gebruiken doorgaans Target in plaats van Dst.
Algemene velden
Velden die gemeenschappelijk zijn voor alle schema's, worden beschreven in het overzicht van het ASIM-schema. De volgende velden hebben specifieke richtlijnen voor procesgebeurtenissen:
| Veld | Klas | Type | Beschrijving |
|---|---|---|---|
| EventCount | Verplicht | Geheel getal | Netflow-bronnen ondersteunen aggregatie en het veld EventCount moet worden ingesteld op de waarde van het veld Netflow FLOWS. Voor andere bronnen wordt de waarde doorgaans ingesteld op 1 . |
| EventType | Verplicht | Enumerated | Beschrijft de bewerking die door de record wordt gerapporteerd. Ondersteunde waarden voor netwerksessiesrecords zijn onder andere: - NetworkConnection- NetworkSession |
| EventSubType | Optioneel | Tekenreeks | Aanvullende beschrijving van het gebeurtenistype, indien van toepassing. Ondersteunde waarden voor netwerksessiesrecords zijn onder andere: - Start- End |
| EventSchema | Verplicht | Tekenreeks | De naam van het schema dat hier wordt beschreven, is NetworkSession . |
| EventSchemaVersion | Verplicht | Tekenreeks | De versie van het schema. De hier beschreven versie van het schema is 0.2.1 |
| DvcAction | Optioneel | Enumerated | De actie die wordt ondernomen op de netwerksessie. Ondersteunde waarden zijn: - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNrouteOpmerking: de waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd naar deze waarden. De oorspronkelijke waarde moet worden opgeslagen in het veld DvcOriginalAction. Voorbeeld: drop |
| Dvc-velden | Voor netwerksessiegebeurtenissen verwijzen apparaatvelden naar het systeem dat de netwerksessiegebeurtenis rapporteert. | ||
Velden voor netwerksessie
De volgende velden zijn gebruikelijk voor alle logboekregistratie van netwerksessieactiviteiten:
| Veld | Klas | Type | Beschrijving |
|---|---|---|---|
| Dst | Aanbevolen | Tekenreeks | Een unieke id van de server die de DNS-aanvraag ontvangt. Dit veld kan een alias zijn voor de velden DstDvcId, DstHostnameof DstIpAddr. Voorbeeld: 192.168.12.1 |
| DstIpAddr | Aanbevolen | IP-adres | Het IP-adres van de verbinding of sessiebestemming. Voorbeeld: 2001:db8::ff00:42:8329Opmerking: deze waarde is verplicht als DstHostname is opgegeven. |
| DstPortNumber | Optioneel | Geheel getal | De doel-IP-poort. Voorbeeld: 443 |
| DstHostname | Aanbevolen | Tekenreeks | De hostnaam van het doelapparaat, met uitzondering van domeingegevens. Als er geen apparaatnaam beschikbaar is, moet u het relevante IP-adres in dit veld opslaan. Voorbeeld: DESKTOP-1282V4DOpmerking: deze waarde is verplicht als DstIpAddr is opgegeven. |
| Hostname | Alias | Alias voor DstHostname | |
| DstDomain | Aanbevolen | Tekenreeks | Het domein van het doelapparaat. Voorbeeld: Contoso |
| DstDomainType | Aanbevolen | Enumerated | Het type DstDomain,indien bekend. Mogelijke waarden zijn: - Windows (contoso\mypc)- FQDN (docs.microsoft.com)Vereist als DstDomain wordt gebruikt. |
| DstFQDN | Optioneel | Tekenreeks | De hostnaam van het doelapparaat, inclusief domeingegevens, indien beschikbaar. Voorbeeld: Contoso\DESKTOP-1282V4D Opmerking: dit veld ondersteunt zowel de traditionele FQDN-indeling als Windows indeling domain\hostname. Het DstDomainType weerspiegelt de gebruikte indeling. |
| DstDvcId | Optioneel | Tekenreeks | De id van het doelapparaat zoals vermeld in de record. Voorbeeld: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcIdType | Optioneel | Enumerated | Het type DstDvcId,indien bekend. Mogelijke waarden zijn: - AzureResourceId- MDEidIfAls er meerdere ID's beschikbaar zijn, gebruikt u de eerste uit de bovenstaande lijst en slaan u de andere op in respectievelijk de velden DstDvcAzureResourceId of DstDvcMDEid. Vereist als DstDeviceId wordt gebruikt. |
| DstDeviceType | Optioneel | Enumerated | Het type doelapparaat. Mogelijke waarden zijn: - Computer- Mobile Device- IOT Device- Other |
| DstUserId | Optioneel | Tekenreeks | Een door de machine leesbare, alfanumerieke, unieke weergave van de doelgebruiker. Ondersteunde indelingen en typen zijn onder andere: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- A TIJDENSD (Azure Active Directory): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Sla het id-type op in het veld DstUserIdType. Als er andere ID's beschikbaar zijn, raden we u aan om de veldnamen te normaliseren naar respectievelijk DstUserSid, DstUserUid, DstUserAOGEND, DstUserOktaId en UserAwsId. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: S-1-12 |
| DstUserIdType | Optioneel | Enumerated | Het type id dat is opgeslagen in het veld DstUserId. Ondersteunde waarden zijn: SID , , , en UIS AADID OktaId AWSId . |
| DstUsername | Optioneel | Tekenreeks | De doel-gebruikersnaam, inclusief domeingegevens, indien beschikbaar. Gebruik een van de volgende indelingen en in de volgende volgorde van prioriteit: - Upn/email: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Eenvoudig: johndow . Gebruik het formulier Eenvoudig alleen als er geen domeingegevens beschikbaar zijn.Sla het gebruikersnaamtype op in het veld DstUsernameType. Als er andere ID's beschikbaar zijn, raden we u aan de veldnamen te normaliseren naar DstUserUpn, DstUserWindows en DstUserDn. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: AlbertE |
| Gebruiker | Alias | Alias voor DstUsername | |
| DstUsernameType | Optioneel | Enumerated | Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld DstUsername. Ondersteunde waarden zijn: UPN Windows , , en DN Simple . Zie De entiteit Gebruiker voor meer informatie.Voorbeeld: Windows |
| DstUserType | Optioneel | Enumerated | Het type Actor. Ondersteunde waarden zijn: - Regular- Machine- Admin- System- Application- Service Principal- OtherOpmerking: de waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd naar deze waarden. Sla de oorspronkelijke waarde op in het veld DstOriginalUserType. |
| DstOriginalUserType | Optioneel | Tekenreeks | Het oorspronkelijke doelgebruikerstype, indien opgegeven door de bron. |
| DstUserDomain | Optioneel | Tekenreeks | Dit veld wordt alleen voor compatibiliteit met eerdere eerdere bewaarde. ASIM vereist dat domeingegevens, indien beschikbaar, deel uitmaken van het veld DstUsername. |
| DstAppName | Optioneel | Tekenreeks | De naam van de doeltoepassing. Voorbeeld: Facebook |
| DstAppId | Optioneel | Tekenreeks | De id van de doeltoepassing, zoals gerapporteerd door het rapportageapparaat. Voorbeeld: 124 |
| DstAppType | Optioneel | Tekenreeks | Het type toepassing dat namens de Actor autoriseert. Ondersteunde waarden zijn: - Process- Service- Resource- URL- SaaS application- OtherDit veld is verplicht als DstAppName of DstAppId worden gebruikt. |
| DstZone | Optioneel | Tekenreeks | De netwerkzone van de bestemming, zoals gedefinieerd door het rapportageapparaat. Voorbeeld: Dmz |
| DstInterfaceName | Optioneel | Tekenreeks | De netwerkinterface die wordt gebruikt voor de verbinding of sessie door het doelapparaat. Voorbeeld: Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | Optioneel | Tekenreeks | De GUID van de netwerkinterface die wordt gebruikt op het doelapparaat. Voorbeeld: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | Optioneel | Tekenreeks | Het MAC-adres van de netwerkinterface op dat wordt gebruikt voor de verbinding of sessie door het doelapparaat. Voorbeeld: 06:10:9f:eb:8f:14 |
| DstVlanId | Optioneel | Tekenreeks | De VLAN-id die is gerelateerd aan het doelapparaat. Voorbeelden: 130 |
| OuterVlanId | Optioneel | Alias | Alias voor DstVlanId. In veel gevallen kan het VLAN niet worden bepaald als een bron of bestemming, maar worden gekenmerkt als binnenste of buitenste. Deze alias geeft aan dat DstVlanId moet worden gebruikt wanneer het VLAN wordt gekenmerkt als buitenste. |
| DstGeoCountry | Optioneel | Land/regio | Het land dat is gekoppeld aan het doel-IP-adres. Zie Logische typen voor meer informatie. Voorbeeld: USA |
| DstGeoRegion | Optioneel | Region | De regio of staat binnen een land dat is gekoppeld aan het DOEL-IP-adres. Zie Logische typen voor meer informatie. Voorbeeld: Vermont |
| DstGeoCity | Optioneel | Plaats | De plaats die is gekoppeld aan het DOEL-IP-adres. Zie Logische typen voor meer informatie. Voorbeeld: Burlington |
| DstGeoLadek | Optioneel | Breedtegraad | De breedtegraad van de geografische coördinaat die is gekoppeld aan het DOEL-IP-adres. Zie Logische typen voor meer informatie. Voorbeeld: 44.475833 |
| DstGeoLongitude | Optioneel | Lengtegraad | De lengtegraad van de geografische coördinaat die is gekoppeld aan het doel-IP-adres. Zie Logische typen voor meer informatie. Voorbeeld: 73.211944 |
| Src | Aanbevolen | Tekenreeks | Een unieke id van het bronapparaat. Dit veld kan een alias zijn voor de velden SrcDvcId, SrcHostnameof SrcIpAddr. Voorbeeld: 192.168.12.1 |
| SrcIpAddr | Aanbevolen | IP-adres | Het IP-adres van waaruit de verbinding of sessie afkomstig is. Deze waarde is verplicht als SrcHostname is opgegeven. Voorbeeld: 77.138.103.108 |
| Ipaddr | Alias | Alias voor SrcIpAddr | |
| SrcPortNumber | Optioneel | Geheel getal | De IP-poort van waaruit de verbinding afkomstig is. Is mogelijk niet relevant voor een sessie die uit meerdere verbindingen bestaat. Voorbeeld: 2335 |
| SrcHostname | Aanbevolen | Tekenreeks | De hostnaam van het bronapparaat, met uitzondering van domeingegevens. Als er geen apparaatnaam beschikbaar is, moet u het relevante IP-adres opslaan in dit veld. Deze waarde is verplicht als SrcIpAddr is opgegeven. Voorbeeld: DESKTOP-1282V4D |
| SrcDomain | Aanbevolen | Tekenreeks | Het domein van het bronapparaat. Voorbeeld: Contoso |
| SrcDomainType | Aanbevolen | Enumerated | Het type SrcDomain,indien bekend. Mogelijke waarden zijn: - Windows (zoals: contoso )- FQDN (zoals: microsoft.com )Vereist als SrcDomain wordt gebruikt. |
| SrcFQDN | Optioneel | Tekenreeks | De hostnaam van het bronapparaat, inclusief domeingegevens, indien beschikbaar. Opmerking: dit veld ondersteunt zowel de traditionele FQDN-indeling als Windows indeling domain\hostname. Het veld SrcDomainType weerspiegelt de gebruikte indeling. Voorbeeld: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Optioneel | Tekenreeks | De id van het bronapparaat zoals gerapporteerd in de record. Bijvoorbeeld: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcIdType | Optioneel | Enumerated | Het type SrcDvcId,indien bekend. Mogelijke waarden zijn: - AzureResourceId- MDEidAls er meerdere ID's beschikbaar zijn, gebruikt u de eerste uit de bovenstaande lijst en sla u de andere op in respectievelijk SrcDvcAzureResourceId en SrcDvcMDEid. Opmerking: dit veld is vereist als SrcDvcId wordt gebruikt. |
| SrcDeviceType | Optioneel | Enumerated | Het type bronapparaat. Mogelijke waarden zijn: - Computer- Mobile Device- IOT Device- Other |
| SrcUserId | Optioneel | Tekenreeks | Een voor machines leesbare, alfanumerieke, unieke weergave van de brongebruiker. Indeling en ondersteunde typen zijn onder andere: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- A VERLEENDED (Azure Active Directory): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Sla het id-type op in het veld SrcUserIdType. Als er andere ID's beschikbaar zijn, raden we u aan om de veldnamen te normaliseren naar respectievelijk SrcUserSid, SrcUserUid, SrcUserAadId, SrcUserOktaId en UserAwsId. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: S-1-12 |
| SrcUserIdType | Optioneel | Enumerated | Het type id dat is opgeslagen in het veld SrcUserId. Ondersteunde waarden SID zijn: UIS , , , AADID en OktaId AWSId . |
| SrcUsername | Optioneel | Tekenreeks | De bron-gebruikersnaam, inclusief domeingegevens, indien beschikbaar. Gebruik een van de volgende indelingen en in de volgende volgorde van prioriteit: - Upn/e-mail: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Eenvoudig: johndow . Gebruik het formulier Eenvoudig alleen als er geen domeingegevens beschikbaar zijn.Sla het type gebruikersnaam op in het veld SrcUsernameType. Als er andere ID's beschikbaar zijn, raden we u aan de veldnamen te normaliseren naar SrcUserUpn, SrcUserWindows en SrcUserDn. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: AlbertE |
| SrcUsernameType | Optioneel | Enumerated | Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld SrcUsername. Ondersteunde waarden UPN zijn: Windows , , en DN Simple . Zie De entiteit Gebruiker voor meer informatie.Voorbeeld: Windows |
| SrcUserType | Optioneel | Enumerated | Het type Actor. Toegestane waarden zijn: - Regular- Machine- Admin- System- Application- Service Principal- OtherOpmerking: de waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd naar deze waarden. Sla de oorspronkelijke waarde op in het veld SrcOriginalUserType. |
| SrcOriginalUserType | Het oorspronkelijke brongebruikerstype, indien opgegeven door de bron. | ||
| SrcUserDomain | Optioneel | Tekenreeks | Dit veld wordt alleen bewaard voor compatibiliteit met eerdere compatibiliteit. ASIM vereist dat domeingegevens, indien beschikbaar, deel uitmaken van het veld SrcUsername. |
| SrcAppName | Optioneel | Tekenreeks | De naam van de brontoepassing. Voorbeeld: filezilla.exe |
| SrcAppId | Optioneel | Tekenreeks | De id van de doeltoepassing, zoals gerapporteerd door het rapportageapparaat. Voorbeeld: 124 |
| SrcAppType | Optioneel | Tekenreeks | Het type van de brontoepassing. Ondersteunde waarden zijn: - Process- Service- Resource- OtherDit veld is verplicht als SrcAppName of SrcAppId wordt gebruikt. |
| SrcZone | Optioneel | Tekenreeks | De netwerkzone van de bron, zoals gedefinieerd door het rapportageapparaat. Voorbeeld: Internet |
| SrcIntefaceName | Optioneel | Tekenreeks | De netwerkinterface die wordt gebruikt voor de verbinding of sessie door het bronapparaat. Voorbeeld: eth01 |
| SrcInterfaceGuid | Optioneel | Tekenreeks | De GUID van de netwerkinterface die wordt gebruikt op het bronapparaat. Voorbeeld: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | Optioneel | Tekenreeks | Het MAC-adres van de netwerkinterface waaruit de verbinding of sessie afkomstig is. Voorbeeld: 06:10:9f:eb:8f:14 |
| SrcVlanId | Optioneel | Tekenreeks | De VLAN-id die is gerelateerd aan het bronapparaat. Voorbeelden: 130 |
| InnerVlanId | Optioneel | Alias | Alias voor SrcVlanId. In veel gevallen kan het VLAN niet worden bepaald als een bron of bestemming, maar worden gekenmerkt als binnenste of buitenste. Deze alias geeft aan dat SrcVlanId moet worden gebruikt wanneer het VLAN wordt gekenmerkt als binnenste. |
| SrcGeoCountry | Optioneel | Land/regio | Het land dat is gekoppeld aan het bron-IP-adres. Voorbeeld: USA |
| SrcGeoRegion | Optioneel | Region | De regio binnen een land dat is gekoppeld aan het bron-IP-adres. Voorbeeld: Vermont |
| SrcGeoCity | Optioneel | Plaats | De plaats die is gekoppeld aan het bron-IP-adres. Voorbeeld: Burlington |
| SrcGeoLarc | Optioneel | Breedtegraad | De breedtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. Voorbeeld: 44.475833 |
| SrcGeoLongitude | Optioneel | Lengtegraad | De lengtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. Voorbeeld: 73.211944 |
| NetworkApplicationProtocol | Optioneel | Tekenreeks | Het toepassingslaagprotocol dat wordt gebruikt door de verbinding of sessie. Als de waarde DstPortNumber is opgegeven, raden we u aan networkApplicationProtocol ook op te nemen. Als de waarde niet beschikbaar is vanuit de bron, leidt u de waarde af van de waarde DstPortNumber. Voorbeeld: FTP |
| NetworkProtocol | Optioneel | Enumerated | Het IP-protocol dat wordt gebruikt door de verbinding of sessie, zoals vermeld in IANA-protocoltoewijzing. Normaal gesproken TCP , UDP of ICMP .Voorbeeld: TCP |
| NetworkDirection | Optioneel | Enumerated | De richting van de verbinding of sessie, naar of buiten de organisatie. Ondersteunde waarden zijn: Inbound , Outbound , Listen . Listen geeft aan dat een apparaat is begonnen met het accepteren van netwerkverbindingen, maar niet daadwerkelijk, noodzakelijkerwijs, is verbonden. |
| NetworkDuration | Optioneel | Geheel getal | De hoeveelheid tijd, in milliseconden, voor het voltooien van de netwerksessie of -verbinding. Voorbeeld: 1500 |
| Duur | Alias | Alias voor NetworkDuration | |
| NetworkIcmpCode | Optioneel | Geheel getal | Voor een ICMP-bericht typt u de numerieke waarde van het ICMP-bericht zoals beschreven in RFC 2780 voor IPv4-netwerkverbindingen of in RFC 4443 voor IPv6-netwerkverbindingen. Als er een NetworkIcmpType-waarde wordt opgegeven, is dit veld verplicht. Als de waarde niet beschikbaar is vanuit de bron, moet u in plaats daarvan de waarde afleiden uit het veld NetworkIcmpType. Voorbeeld: 34 |
| NetworkIcmpType | Optioneel | Tekenreeks | Voor een ICMP-bericht typt het ICMP-bericht tekstweergave, zoals beschreven in RFC 2780 voor IPv4-netwerkverbindingen of in RFC 4443 voor IPv6-netwerkverbindingen. Voorbeeld: Destination Unreachable |
| NetworkConnectionHistory | Optioneel | Tekenreeks | TCP-vlaggen en andere informatie over mogelijke IP-headers. |
| DstBytes | Aanbevolen | Geheel getal | Het aantal bytes dat is verzonden van het doel naar de bron voor de verbinding of sessie. Als de gebeurtenis wordt geaggregeerd, moet DstBytes de som zijn van alle geaggregeerde sessies. Voorbeeld: 32455 |
| SrcBytes | Aanbevolen | Geheel getal | Het aantal bytes dat is verzonden van de bron naar het doel voor de verbinding of sessie. Als de gebeurtenis wordt geaggregeerd, moet SrcBytes de som zijn van alle geaggregeerde sessies. Voorbeeld: 46536 |
| NetworkBytes | Optioneel | Geheel getal | Het aantal bytes dat in beide richtingen wordt verzonden. Als zowel BytesReceived als BytesSent bestaan, moet BytesTotal gelijk zijn aan de som. Als de gebeurtenis wordt geaggregeerd, moet NetworkBytes de som zijn van alle geaggregeerde sessies. Voorbeeld: 78991 |
| DstPackets | Optioneel | Geheel getal | Het aantal pakketten dat van het doel naar de bron wordt verzonden voor de verbinding of sessie. De betekenis van een pakket wordt gedefinieerd door het rapportageapparaat. Als de gebeurtenis wordt geaggregeerd, moet DstPackets de som zijn van alle geaggregeerde sessies. Voorbeeld: 446 |
| SrcPackets | Optioneel | Geheel getal | Het aantal pakketten dat is verzonden van de bron naar het doel voor de verbinding of sessie. De betekenis van een pakket wordt gedefinieerd door het rapportageapparaat. Als de gebeurtenis wordt geaggregeerd, moet SrcPackets de som zijn van alle geaggregeerde sessies. Voorbeeld: 6478 |
| NetworkPackets | Optioneel | Geheel getal | Het aantal pakketten dat in beide richtingen wordt verzonden. Als zowel PacketsReceived als PacketsSent bestaan, moet BytesTotal gelijk zijn aan de som. De betekenis van een pakket wordt gedefinieerd door het rapportageapparaat. Als de gebeurtenis wordt geaggregeerd, moet NetworkPackets de som zijn van alle geaggregeerde sessies. Voorbeeld: 6924 |
| NetworkSessionId | Optioneel | tekenreeks | De sessie-id zoals gerapporteerd door het rapportageapparaat. Voorbeeld: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| Sessionid | Alias | Tekenreeks | Alias voor NetworkSessionId |
Velden voor intermediaire apparaten
De volgende velden zijn handig als de record informatie bevat over een tussenliggende apparaat, zoals een firewall of een proxy, waarmee de netwerksessie wordt doorgegeven.
| Veld | Klas | Type | Beschrijving |
|---|---|---|---|
| DstNatIpAddr | Optioneel | IP-adres | Als dit wordt gerapporteerd door een tussenliggende NAT-apparaat, het IP-adres dat door het NAT-apparaat wordt gebruikt voor communicatie met de bron. Voorbeeld: 2::1 |
| DstNatPortNumber | Optioneel | Geheel getal | Als dit wordt gerapporteerd door een tussenliggende NAT-apparaat, de poort die door het NAT-apparaat wordt gebruikt voor communicatie met de bron. Voorbeeld: 443 |
| SrcNatIpAddr | Optioneel | IP-adres | Als dit wordt gerapporteerd door een tussenliggende NAT-apparaat, het IP-adres dat door het NAT-apparaat wordt gebruikt voor communicatie met de bestemming. Voorbeeld: 4.3.2.1 |
| SrcNatPortNumber | Optioneel | Geheel getal | Als dit wordt gerapporteerd door een tussenliggende NAT-apparaat, de poort die door het NAT-apparaat wordt gebruikt voor communicatie met de bestemming. Voorbeeld: 345 |
| DvcInboundInterface | Optioneel | Tekenreeks | Als dit wordt gerapporteerd door een tussenliggende apparaat, de netwerkinterface die door het NAT-apparaat wordt gebruikt voor de verbinding met het bronapparaat. Voorbeeld: eth0 |
| DvcOutboundInterface | Optioneel | Tekenreeks | Als dit wordt gerapporteerd door een tussenliggende apparaat, de netwerkinterface die door het NAT-apparaat wordt gebruikt voor de verbinding met het doelapparaat. Voorbeeld: Ethernet adapter Ethernet 4e |
Inspectievelden
De volgende velden worden gebruikt om de inspectie aan te geven die een beveiligingsapparaat, zoals een firewall, een IPS of een webbeveiligingsgateway, heeft uitgevoerd:
| Veld | Klas | Type | Beschrijving |
|---|---|---|---|
| NetworkRuleName | Optioneel | Tekenreeks | De naam of id van de regel waarmee DvcAction is gekozen. Voorbeeld: AnyAnyDrop |
| NetworkRuleNumber | Optioneel | Geheel getal | Het nummer van de regel waarmee DvcAction is bepaald. Voorbeeld: 23 |
| Regel | Verplicht | Tekenreeks | Of NetworkRuleName``NetworkRuleNumber |
| ThreatId | Optioneel | Tekenreeks | De id van de bedreiging of malware die is geïdentificeerd in de netwerksessie. Voorbeeld: Tr.124 |
| ThreatName | Optioneel | Tekenreeks | De naam van de bedreiging of malware die is geïdentificeerd in de netwerksessie. Voorbeeld: EICAR Test File |
| ThreatCategory | Optioneel | Tekenreeks | De categorie van de bedreiging of malware die is geïdentificeerd in de netwerksessie. Voorbeeld: Trojan |
| ThreatRiskLevel | Optioneel | Geheel getal | Het risiconiveau dat is gekoppeld aan de sessie. Het niveau moet een getal tussen 0 en 100 zijn. Opmerking: de waarde kan worden opgegeven in de bronrecord met behulp van een andere schaal, die moet worden genormaliseerd naar deze schaal. De oorspronkelijke waarde moet worden opgeslagen in ThreatRiskLevelOriginal. |
| ThreatRiskLevelOriginal | Optioneel | Tekenreeks | Het risiconiveau zoals gerapporteerd door het rapportageapparaat. |
Andere velden
Als de gebeurtenis wordt gerapporteerd door een van de eindpunten van de netwerksessie, kan deze informatie bevatten over het proces dat de sessie heeft gestart of beëindigd. In dergelijke gevallen kan het ASIM-procesgebeurtenisschema deze informatie normaliseren.
Schema-updates
Dit zijn de wijzigingen in versie 0.2.1 van het schema:
- En
SrcalsDstaliassen toegevoegd aan een vooraanstaand id voor de bron- en doelsystemen. - De velden
NetworkConnectionHistory, , , en zijnSrcVlanIdDstVlanIdInnerVlanIdtoegevoegdOuterVlanId
Volgende stappen
Zie voor meer informatie: