Schemareferens för microsoft Sentinel-nätverkssessions normalisering (offentlig förhandsversion)
Normaliseringsschemat för nätverkssessioner används för att beskriva en IP-nätverksaktivitet. Detta inkluderar nätverksanslutningar och nätverkssessioner. Sådana händelser rapporteras till exempel av operativsystem, routrar, brandväggar, intrångsskyddssystem och webbsäkerhetsgatewayer.
Mer information om normalisering i Microsoft Sentinel finns i Normalisering och Advanced SIEM Information Model (ASIM).
Viktigt
Den här artikeln beskriver version 0.2.x av nätverkets normaliseringsschema, där version 0.1 släpptes innan ASIM var tillgänglig och inte överensstämmer med ASIM på flera platser. Mer information finns i Skillnader mellan schemaversioner för nätverks normalisering.
Viktigt
Schemat för nätverks normalisering finns för närvarande i FÖRHANDSVERSION. Den här funktionen tillhandahålls utan serviceavtal och rekommenderas inte för produktionsarbetsbelastningar.
Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som inte har släppts allmänt ännu.
Översikt över schema
Schemat för nätverks normalisering kan representera vilken typ av IP-nätverkssession som helst, men är särskilt utformat för att ge stöd för vanliga källtyper, till exempel Netflow, brandväggar och intrångsskyddssystem.
Tolkar
Källoberoende parser
Använd följande KQL-funktioner som tabellnamn i din fråga om du vill använda de källoberoende parsererna som förenar alla inlästa parsers och ser till att analysen körs över alla konfigurerade källor:
| Name | Beskrivning | Användningsanvisningar |
|---|---|---|
| imNetworkSession | Aggregative-parser som använder union för att inkludera normaliserade händelser från alla nätverkssessionskällor. | – Uppdatera den här parsern om du vill lägga till eller ta bort källor från källoberoende analys. – Använd den här funktionen i dina källoberoende frågor. |
| ASimNetworkSession | Liknar funktionen imNetworkSession, men utan parameterstöd, och tvingar därför inte loggsidans tidsväljare att använda custom värdet. |
– Uppdatera dessa parsers om du vill lägga till eller ta bort källor från källoberoende analys. – Använd den här funktionen i dina källoberoende frågor om du inte planerar att använda parametrar. |
| vimNetworkSession<vendor><product> | Källspecifika parser implementerar normalisering för en specifik källa. Exempel: vimNetworkSessionSysmonLinux |
– Lägg till en källspecifik parser för en källa när det inte finns någon standard normaliseringsparser. Uppdatera den im aggregativa parsern så att den innehåller referens till din nya parser. – Uppdatera en källspecifik parser för att lösa parsnings- och normaliseringsproblem. – Använd en källspecifik parser för källspecifik analys. |
| ASimNetworkSession<vendor><product>> | Källspecifika parser implementerar normalisering för en specifik källa. Till skillnad vim* från funktionerna stöder funktionerna inte ASim* parametrar. |
– Lägg till en källspecifik parser för en källa när det inte finns någon standard normaliseringsparser. Uppdatera den aggregativa ASim parsern så att den innehåller referens till din nya parser.– Uppdatera en källspecifik parser för att lösa parsnings- och normaliseringsproblem. – Använd en ASim källspecifik parser för interaktiva frågor när du inte använder parametrar. |
Distribuera ASIM-parsers från Microsoft Sentinel-GitHub-lagringsplatsen.
Källkodsspecifika parsers
Microsoft Sentinel tillhandahåller följande inbyggda, produktspecifika parser för nätverkssessioner:
| Namn | Beskrivning |
|---|---|
| Microsoft 365 Defender för slutpunkt | – Parametriserad: vimNetworkSessionMicrosoft365Defender – Vanlig: ASimNetworkSessionMicrosoft365Defender |
| Microsoft Defender för IoT – slutpunkt (MD4IoT) | – Parametriserad: vimNetworkSessionMD4IoT – Vanlig: ASimNetworkSessionMD4IoT |
| Microsoft Sysmon för Linux | – Parametriserad: vimNetworkSessionSysmonLinux – Vanlig: ASimNetworkSessionSysmonLinux |
| brandvägg för Windows-händelser | Windows en brandväggsaktivitet som samlas in med hjälp av Windows Events 515x och som samlats in med antingen Log Analytics-agenten eller Azure Monitor-agenten i antingen händelse- eller WindowsEvent-tabellen. – Parametriserad: vimNetworkSessionMicrosoftWindowsEventFirewall – Vanlig: ASimNetworkSessionMicrosoftWindowsEventFirewall |
Lägg till dina egna normaliserade parsers
När du implementerar anpassade parsers för informationsmodellen för nätverkssessioner ska du namnge dina KQL-funktioner med hjälp av följande syntax:
vimNetworkSession<vendor><Product>för parametriserade parsersASimNetworkSession<vendor><Product>för vanliga parsers
Lägg sedan till den nya parsern imNetworkSession till ASimNetworkSession respektive .
Filtrera parserparametrar
im vim* Parsererna och stöder filtreringsparametrar . Även om de här parsarna är valfria kan de förbättra dina frågeprestanda.
Följande filtreringsparametrar är tillgängliga:
| Namn | Typ | Beskrivning |
|---|---|---|
| Starttime | datetime | Filtrera endast nätverkssessioner som startade vid eller efter den här tiden. |
| Endtime | datetime | Filtrera endast nätverkssessioner som började köras vid eller före den här tiden. |
| srcipaddr_has_any_prefix | dynamisk | Filtrera endast nätverkssessioner där källans IP-adressfältprefix finns i något av de angivna värdena. |
| dstipaddr_has_any_prefix | dynamisk | Filtrera endast nätverkssessioner där mål-IP-adressens fältprefix finns i något av de angivna värdena. |
| dstportnum | int | Filtrera endast nätverkssessioner med det angivna målportnumret. |
| hostname_has_any | dynamisk | Filtrera endast de nätverkssessioner där fältet för målvärdnamn innehåller något av de värden som anges. |
| dvcaction | dynamisk | Filtrera endast de nätverkssessioner som fältet Enhetsåtgärd är något av värdena i listan för. |
| eventresult | sträng | Filtrera endast nätverkssessioner med ett specifikt EventResult-värde. |
Om du till exempel bara vill filtrera webbsessioner för en angiven lista med domännamn använder du:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co",...]);
imNetworkSession (hostname_has_any = torProxies)
Schemainformation
Informationsmodellen för nätverkssessioner är anpassad till OSSEM-nätverkets entitetsschema.
För att följa branschens bästa praxis använder nätverksschemat beskrivningarna Src och Dst för att identifiera källan för nätverkssessioner och målenheterna, utan att inkludera token Dvc i fältnamnet.
Till exempel har källenhetens värdnamn och IP-adress namnen SrcHostname respektive SrcIpAddr, och inte Src Dvc Hostname och Src Dvc IpAddr. Prefixet Dvc används endast för rapportering eller mellanliggande enhet, i tillämpliga fall.
Fält som beskriver den användare och det program som är associerat med käll- och målenheterna använder även Src- och Dst-beskrivningarna.
Andra ASIM-scheman använder vanligtvis Mål i stället för Dst.
Vanliga fält
Fält som är gemensamma för alla scheman beskrivs i översikten över ASIM-schemat. Följande fält har specifika riktlinjer för processhändelser:
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| EventCount | Obligatorisk | Integer | Netflow-källor stöder aggregering och fältet EventCount ska anges till värdet för fältet Netflow FLOWS. För andra källor är värdet vanligtvis inställt på 1 . |
| Eventtype | Obligatorisk | Enumerated | Beskriver den åtgärd som rapporteras av posten. Värden som stöds för nätverkssessionsposter är: - NetworkConnection- NetworkSession |
| EventSubType | Valfritt | Sträng | Ytterligare beskrivning av händelsetypen, om tillämpligt. Värden som stöds för nätverkssessionsposter är: - Start- End |
| EventSchema | Obligatorisk | Sträng | Namnet på schemat som dokumenteras här är NetworkSession . |
| EventSchemaVersion | Obligatorisk | Sträng | Versionen av schemat. Den version av schemat som dokumenteras här är 0.2.1 |
| DvcAction | Valfritt | Enumerated | Den åtgärd som vidtas i nätverkssessionen. Värden som stöds är: - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNrouteObs! Värdet kan anges i källposten med olika termer, som ska normaliseras till dessa värden. Det ursprungliga värdet ska lagras i fältet DvcOriginalAction. Exempel: drop |
| Dvc-fält | För Nätverkssessionshändelser refererar enhetsfält till systemet som rapporterar nätverkssessionshändelsen. | ||
Nätverkssessionsfält
Följande fält är gemensamma för all loggning av nätverkssessionsaktivitet:
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Dst | Rekommenderas | Sträng | En unik identifierare för servern som tar emot DNS-begäran. Det här fältet kan ha ett alias för fälten DstDvcId, DstHostname eller DstIpAddr. Exempel: 192.168.12.1 |
| DstIpAddr | Rekommenderas | IP-adress | IP-adressen för anslutningen eller sessionsmålet. Exempel: 2001:db8::ff00:42:8329Obs! Det här värdet är obligatoriskt om DstHostname har angetts. |
| DstPortNumber | Valfritt | Integer | Mål-IP-porten. Exempel: 443 |
| DstHostname | Rekommenderas | Sträng | Målenhetens värdnamn, exklusive domäninformation. Om inget enhetsnamn är tillgängligt lagrar du relevant IP-adress i det här fältet. Exempel: DESKTOP-1282V4DObs! Det här värdet är obligatoriskt om DstIpAddr har angetts. |
| Värdnamn | Alias | Alias till DstHostname | |
| DstDomain | Rekommenderas | Sträng | Målenhetens domän. Exempel: Contoso |
| DstDomainType | Rekommenderas | Enumerated | Typen av DstDomain, om det är känt. Möjliga värden är: - Windows (contoso\mypc)- FQDN (docs.microsoft.com)Krävs om DstDomain används. |
| DstFQDN | Valfritt | Sträng | Målenhetens värdnamn, inklusive domäninformation när det är tillgängligt. Exempel: Contoso\DESKTOP-1282V4D Obs! Det här fältet stöder både traditionellt FQDN-format Windows formatet domain\hostname. DstDomainType återspeglar det format som används. |
| DstDvcId | Valfritt | Sträng | ID:t för målenheten som rapporteras i posten. Exempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcIdType | Valfritt | Enumerated | Typen av DstDvcId, om det är känt. Möjliga värden är: - AzureResourceId- MDEidIfOm flera ID:er är tillgängliga använder du det första i listan ovan och lagrar de andra i fälten DstDvcAzureResourceId respektive DstDvcMDEid. Krävs om DstDeviceId används. |
| DstDeviceType | Valfritt | Enumerated | Typ av målenhet. Möjliga värden är: - Computer- Mobile Device- IOT Device- Other |
| DstUserId | Valfritt | Sträng | En maskinläsbar, alfanumerisk, unik representation av målanvändaren. Format och typer som stöds är: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Azure Active Directory): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Lagra ID-typen i fältet DstUserIdType. Om andra ID:n är tillgängliga rekommenderar vi att du normaliserar fältnamnen till DstUserSid, DstUserUid, DstUserAADID, DstUserOktaId respektive UserAwsId. Mer information finns i Användarentiteten. Exempel: S-1-12 |
| DstUserIdType | Valfritt | Enumerated | Typen av ID som lagras i fältet DstUserId. Värden som stöds är: SID , , , och UIS AADID OktaId AWSId . |
| DstUsername | Valfritt | Sträng | Mål-användarnamnet, inklusive domäninformation när det är tillgängligt. Använd något av följande format och i följande prioritetsordning: - Upn/e-post: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Enkelt: johndow . Använd endast formuläret Enkelt om domäninformation inte är tillgänglig.Lagra användarnamntypen i fältet DstUsernameType. Om andra ID:er är tillgängliga rekommenderar vi att du normaliserar fältnamnen till DstUserUpn, DstUserWindows och DstUserDn. Mer information finns i Användarentiteten. Exempel: AlbertE |
| Användaren | Alias | Alias till DstUsername | |
| DstUsernameType | Valfritt | Enumerated | Anger typen av användarnamn som lagras i fältet DstUsername. Värden som stöds är: UPN Windows , , och DN Simple . Mer information finns i Användarentiteten.Exempel: Windows |
| DstUserType | Valfritt | Enumerated | Typ av aktör. Värden som stöds är: - Regular- Machine- Admin- System- Application- Service Principal- OtherObs! Värdet kan anges i källposten med olika termer, som ska normaliseras till dessa värden. Lagra det ursprungliga värdet i fältet DstOriginalUserType. |
| DstOriginalUserType | Valfritt | Sträng | Den ursprungliga målanvändartypen, om den tillhandahålls av källan. |
| DstUserDomain | Valfritt | Sträng | Det här fältet behålls endast för bakåtkompatibilitet. ASIM kräver att domäninformation, om den är tillgänglig, ingår i fältet DstUsername. |
| DstAppName | Valfritt | Sträng | Namnet på målprogrammet. Exempel: Facebook |
| DstAppId | Valfritt | Sträng | Målprogrammets ID, enligt rapporteringsenhetens rapporteringsenhet. Exempel: 124 |
| DstAppType | Valfritt | Sträng | Typ av program som auktoriserar för aktörens räkning. Värden som stöds är: - Process- Service- Resource- URL- SaaS application- OtherDet här fältet är obligatoriskt om DstAppName eller DstAppId används. |
| DstZone | Valfritt | Sträng | Målets nätverkszon, enligt definitionen av rapportenheten. Exempel: Dmz |
| DstInterfaceName | Valfritt | Sträng | Nätverksgränssnittet som används för anslutningen eller sessionen av målenheten. Exempel: Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | Valfritt | Sträng | GUID för nätverksgränssnittet som används på målenheten. Exempel: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | Valfritt | Sträng | MAC-adressen för nätverksgränssnittet som används för anslutningen eller sessionen av målenheten. Exempel: 06:10:9f:eb:8f:14 |
| DstVlanId | Valfritt | Sträng | Det VLAN-ID som är relaterat till målenheten. Exempel: 130 |
| OuterVlanId | Valfritt | Alias | Alias till DstVlanId. I många fall kan VLAN inte fastställas som en källa eller ett mål, men det kännetecknas som inre eller yttre. Detta alias innebär att DstVlanId ska användas när VLAN kännetecknas som yttre. |
| DstGeoCountry | Valfritt | Land | Landet som är associerat med målets IP-adress. Mer information finns i Logiska typer. Exempel: USA |
| DstGeoRegion | Valfritt | Region | Regionen, eller delstaten, inom ett land som är associerat med målets IP-adress. Mer information finns i Logiska typer. Exempel: Vermont |
| DstGeoCity | Valfritt | City | Den ort som är associerad med målets IP-adress. Mer information finns i Logiska typer. Exempel: Burlington |
| DstGeoLatitude | Valfritt | Latitud | Latitud för den geografiska koordinat som är associerad med målets IP-adress. Mer information finns i Logiska typer. Exempel: 44.475833 |
| DstGeoLongitude | Valfritt | Longitud | Longituden för den geografiska koordinat som är associerad med målets IP-adress. Mer information finns i Logiska typer. Exempel: 73.211944 |
| Src | Rekommenderas | Sträng | En unik identifierare för källenheten. Det här fältet kan ha ett alias för fälten SrcDvcId, SrcHostnameeller SrcIpAddr. Exempel: 192.168.12.1 |
| SrcIpAddr | Rekommenderas | IP-adress | IP-adressen som anslutningen eller sessionen kom från. Det här värdet är obligatoriskt om SrcHostname har angetts. Exempel: 77.138.103.108 |
| IpAddr | Alias | Alias till SrcIpAddr | |
| SrcPortNumber | Valfritt | Integer | IP-porten som anslutningen kom från. Kanske inte är relevant för en session som består av flera anslutningar. Exempel: 2335 |
| SrcHostname | Rekommenderas | Sträng | Källenhetens värdnamn, exklusive domäninformation. Om inget enhetsnamn är tillgängligt lagrar du relevant IP-adress i det här fältet. Det här värdet är obligatoriskt om SrcIpAddr har angetts. Exempel: DESKTOP-1282V4D |
| SrcDomain | Rekommenderas | Sträng | Källenhetens domän. Exempel: Contoso |
| SrcDomainType | Rekommenderas | Enumerated | Typen av SrcDomain, om det är känt. Möjliga värden är: - Windows (till exempel: contoso )- FQDN (till exempel: microsoft.com )Krävs om SrcDomain används. |
| SrcFQDN | Valfritt | Sträng | Källenhetens värdnamn, inklusive domäninformation när det är tillgängligt. Obs! Det här fältet stöder både traditionellt FQDN-format Windows av formatet domain\hostname. Fältet SrcDomainType återspeglar det format som används. Exempel: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Valfritt | Sträng | ID:t för källenheten som rapporteras i posten. Exempelvis: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcIdType | Valfritt | Enumerated | Typen av SrcDvcId, om det är känt. Möjliga värden är: - AzureResourceId- MDEidOm flera ID:er är tillgängliga använder du det första i listan ovan och lagrar de andra i SrcDvcAzureResourceId respektive SrcDvcMDEid. Obs! Det här fältet krävs om SrcDvcId används. |
| SrcDeviceType | Valfritt | Enumerated | Typ av källenhet. Möjliga värden är: - Computer- Mobile Device- IOT Device- Other |
| SrcUserId | Valfritt | Sträng | En maskinläsbar, alfanumerisk, unik representation av källanvändaren. Format och typer som stöds är: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Azure Active Directory): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Lagra ID-typen i fältet SrcUserIdType. Om andra ID:n är tillgängliga rekommenderar vi att du normaliserar fältnamnen till SrcUserSid, SrcUserUid, SrcUserAadId, SrcUserOktaId respektive UserAwsId. Mer information finns i Entiteten Användare. Exempel: S-1-12 |
| SrcUserIdType | Valfritt | Enumerated | Typ av ID som lagras i fältet SrcUserId. Värden som stöds är: SID , , , och UIS AADID OktaId AWSId . |
| SrcUsername | Valfritt | Sträng | Källans användarnamn, inklusive domäninformation när det är tillgängligt. Använd något av följande format och i följande prioritetsordning: - Upn/E-post: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Enkelt: johndow . Använd endast formuläret Enkelt om domäninformation inte är tillgänglig.Lagra användarnamnstypen i fältet SrcUsernameType. Om andra ID:er är tillgängliga rekommenderar vi att du normaliserar fältnamnen till SrcUserUpn, SrcUserWindows och SrcUserDn. Mer information finns i Användarentiteten. Exempel: AlbertE |
| SrcUsernameType | Valfritt | Enumerated | Anger typen av användarnamn som lagras i fältet SrcUsername. Värden som stöds är: UPN Windows , , och DN Simple . Mer information finns i Användarentiteten.Exempel: Windows |
| SrcUserType | Valfritt | Enumerated | Typ av Aktör. Tillåtna värden är: - Regular- Machine- Admin- System- Application- Service Principal- OtherObs! Värdet kan anges i källposten med olika termer, som ska normaliseras till dessa värden. Lagra det ursprungliga värdet i fältet SrcOriginalUserType. |
| SrcOriginalUserType | Den ursprungliga källanvändartypen, om den tillhandahålls av källan. | ||
| SrcUserDomain | Valfritt | Sträng | Det här fältet behålls endast för bakåtkompatibilitet. ASIM kräver att domäninformation, om den är tillgänglig, ingår i fältet SrcUsername. |
| SrcAppName | Valfritt | Sträng | Namnet på källprogrammet. Exempel: filezilla.exe |
| SrcAppId | Valfritt | Sträng | MÅLprogrammets ID, enligt rapporteringsenhetens rapporteringsenhet. Exempel: 124 |
| SrcAppType | Valfritt | Sträng | Typ av källprogram. Värden som stöds är: - Process- Service- Resource- OtherDet här fältet är obligatoriskt om SrcAppName eller SrcAppId används. |
| SrcZone | Valfritt | Sträng | Källans nätverkszon enligt definitionen av rapporteringsenheten. Exempel: Internet |
| SrcIntefaceName | Valfritt | Sträng | Nätverksgränssnittet som används för anslutningen eller sessionen av källenheten. Exempel: eth01 |
| SrcInterfaceGuid | Valfritt | Sträng | GUID för nätverksgränssnittet som används på källenheten. Exempel: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | Valfritt | Sträng | MAC-adressen för nätverksgränssnittet som anslutningen eller sessionen kom från. Exempel: 06:10:9f:eb:8f:14 |
| SrcVlanId | Valfritt | Sträng | VLAN-ID:t som är relaterat till källenheten. Exempel: 130 |
| InnerVlanId | Valfritt | Alias | Alias till SrcVlanId. I många fall kan VLAN inte fastställas som en källa eller ett mål, men det kännetecknas som inre eller yttre. Det här aliaset innebär att SrcVlanId ska användas när VLAN betecknas som inre. |
| SrcGeoCountry | Valfritt | Land | Landet som är associerat med källans IP-adress. Exempel: USA |
| SrcGeoRegion | Valfritt | Region | Regionen i ett land som är associerat med källans IP-adress. Exempel: Vermont |
| SrcGeoCity | Valfritt | City | Den ort som är associerad med källans IP-adress. Exempel: Burlington |
| SrcGeoLatitude | Valfritt | Latitud | Latitud för den geografiska koordinat som är associerad med källans IP-adress. Exempel: 44.475833 |
| SrcGeoLongitude | Valfritt | Longitud | Longituden för den geografiska koordinat som är associerad med källans IP-adress. Exempel: 73.211944 |
| NetworkApplicationProtocol | Valfritt | Sträng | Protokoll för programlager som används av anslutningen eller sessionen. Om DstPortNumber-värdet anges rekommenderar vi att du även inkluderar NetworkApplicationProtocol. Om värdet inte är tillgängligt från källan härleder du värdet från DstPortNumber-värdet. Exempel: FTP |
| NetworkProtocol | Valfritt | Enumerated | IP-protokollet som används av anslutningen eller sessionen enligt listan i IANA-protokolltilldelningen. Vanligtvis TCP , UDP eller ICMP .Exempel: TCP |
| NetworkDirection | Valfritt | Enumerated | Anslutningens eller sessionens riktning, till eller från organisationen. Värden som stöds är: Inbound , Outbound , Listen . Listen anger att en enhet har börjat acceptera nätverksanslutningar, men inte nödvändigtvis är ansluten. |
| NetworkDuration | Valfritt | Integer | Hur lång tid, i millisekunder, som nätverkssessionen eller anslutningen har slutförts. Exempel: 1500 |
| Varaktighet | Alias | Alias till NetworkDuration | |
| NetworkIcmpCode | Valfritt | Integer | För ett ICMP-meddelande skriver ICMP-meddelandet numeriskt värde enligt beskrivningen i RFC 2780 för IPv4-nätverksanslutningar, eller i RFC 4443 för IPv6-nätverksanslutningar. Om ett NetworkIcmpType-värde anges är det här fältet obligatoriskt. Om värdet inte är tillgängligt från källan härleder du värdet från fältet NetworkIcmpType i stället. Exempel: 34 |
| NetworkIcmpType | Valfritt | Sträng | För ett ICMP-meddelande, ICMP-meddelandetypens textrepresentation, enligt beskrivningen i RFC 2780 för IPv4-nätverksanslutningar, eller i RFC 4443 för IPv6-nätverksanslutningar. Exempel: Destination Unreachable |
| NetworkConnectionHistory | Valfritt | Sträng | TCP-flaggor och annan potentiell information om IP-huvudet. |
| DstByte | Rekommenderas | Integer | Antalet byte som skickas från målet till källan för anslutningen eller sessionen. Om händelsen aggregeras ska DstBytes vara summan för alla aggregerade sessioner. Exempel: 32455 |
| SrcBytes | Rekommenderas | Integer | Antalet byte som skickas från källan till målet för anslutningen eller sessionen. Om händelsen aggregeras ska SrcBytes vara summan för alla aggregerade sessioner. Exempel: 46536 |
| NetworkBytes | Valfritt | Integer | Antal byte som skickats i båda riktningarna. Om både BytesReceived och BytesSent finns bör BytesTotal vara lika med summan. Om händelsen aggregeras ska NetworkBytes vara summan för alla aggregerade sessioner. Exempel: 78991 |
| DstPackets | Valfritt | Integer | Antalet paket som skickas från målet till källan för anslutningen eller sessionen. Innebörden av ett paket definieras av rapporteringsenheten. Om händelsen aggregeras ska DstPackets vara summan för alla aggregerade sessioner. Exempel: 446 |
| SrcPackets | Valfritt | Integer | Antalet paket som skickas från källan till målet för anslutningen eller sessionen. Innebörden av ett paket definieras av rapporteringsenheten. Om händelsen aggregeras ska SrcPackets vara summan för alla aggregerade sessioner. Exempel: 6478 |
| NetworkPackets | Valfritt | Integer | Antalet paket som skickas i båda riktningarna. Om både PacketsReceived och PacketsSent finns bör BytesTotal vara lika med summan. Innebörden av ett paket definieras av rapporteringsenheten. Om händelsen aggregeras ska NetworkPackets vara summan för alla aggregerade sessioner. Exempel: 6924 |
| NetworkSessionId | Valfritt | sträng | Sessionsidentifieraren som rapporteras av rapportenheten. Exempel: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| Sessionid | Alias | Sträng | Alias till NetworkSessionId |
Mellanliggande enhetsfält
Följande fält är användbara om posten innehåller information om en mellanliggande enhet, till exempel en brandvägg eller en proxyserver, som vidarebefordrar nätverkssessionen.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| DstNatIpAddr | Valfritt | IP-adress | Om den rapporteras av en mellanliggande NAT-enhet, den IP-adress som används av NAT-enheten för kommunikation med källan. Exempel: 2::1 |
| DstNatPortNumber | Valfritt | Integer | Om den rapporteras av en mellanliggande NAT-enhet, den port som används av NAT-enheten för kommunikation med källan. Exempel: 443 |
| SrcNatIpAddr | Valfritt | IP-adress | Om den rapporteras av en mellanliggande NAT-enhet, den IP-adress som används av NAT-enheten för kommunikation med målet. Exempel: 4.3.2.1 |
| SrcNatPortNumber | Valfritt | Integer | Om den rapporteras av en mellanliggande NAT-enhet, den port som används av NAT-enheten för kommunikation med målet. Exempel: 345 |
| DvcInboundInterface | Valfritt | Sträng | Om det rapporteras av en mellanliggande enhet, används nätverksgränssnittet av NAT-enheten för anslutningen till källenheten. Exempel: eth0 |
| DvcOutboundInterface | Valfritt | Sträng | Om det rapporteras av en mellanliggande enhet, används nätverksgränssnittet av NAT-enheten för anslutningen till målenheten. Exempel: Ethernet adapter Ethernet 4e |
Inspektionsfält
Följande fält används för att representera en kontroll som utförs av en säkerhetsenhet, till exempel en brandvägg, en IPS eller en webbsäkerhetsgateway:
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| NetworkRuleName | Valfritt | Sträng | Namn eller ID för regeln som DvcAction har beslutats för. Exempel: AnyAnyDrop |
| NetworkRuleNumber | Valfritt | Integer | Numret på regeln som DvcAction har beslutats med. Exempel: 23 |
| Regel | Obligatorisk | Sträng | Antingen NetworkRuleName eller NetworkRuleNumber |
| ThreatId | Valfritt | Sträng | ID för hotet eller skadlig kod som identifierats i nätverkssessionen. Exempel: Tr.124 |
| ThreatName | Valfritt | Sträng | Namnet på hotet eller den skadliga kod som identifierades i nätverkssessionen. Exempel: EICAR Test File |
| ThreatCategory | Valfritt | Sträng | Kategorin för det hot eller den skadliga kod som identifieras i nätverkssessionen. Exempel: Trojan |
| ThreatRiskLevel | Valfritt | Integer | Risknivån som är associerad med sessionen. Nivån ska vara ett tal mellan 0 och 100. Obs! Värdet kan anges i källposten med en annan skala, som ska normaliseras till den här skalan. Det ursprungliga värdet ska lagras i ThreatRiskLevelOriginal. |
| ThreatRiskLevelOriginal | Valfritt | Sträng | Risknivån som rapporteras av den rapporterande enheten. |
Andra fält
Om händelsen rapporteras av en av slutpunkterna i nätverkssessionen kan den innehålla information om processen som initierade eller avslutade sessionen. I sådana fall bearbetar ASIM händelseschemat för att normalisera den här informationen.
Schemauppdateringar
Det här är ändringarna i version 0.2.1 av schemat:
- Och
Srchar lagts till som alias till en inledandeDstidentifierare för käll- och målsystemen. - Fälten
NetworkConnectionHistory,SrcVlanId, , och harDstVlanIdlagtsInnerVlanIdtillOuterVlanId
Nästa steg
Mer information finns i: