Microsoft Sentinel ağ oturumu normalleştirme Şeması Başvurusu (Genel Önizleme)
Ağ oturumu normalleştirme şeması bir IP ağ etkinliğini tanımlamakta kullanılır. Bu, ağ bağlantılarını ve ağ oturumlarını içerir. Bu gibi olaylar, örneğin işletim sistemleri, yönlendiriciler, güvenlik duvarları, yetkisiz giriş önleme sistemleri ve web güvenliği ağ geçitleri tarafından bildirilir.
Microsoft Sentinel 'de normalleştirme hakkında daha fazla bilgi için bkz. normalleştirme ve gelişmiş SIEM bilgi modeli (ASıM).
Önemli
Bu makalede, sürüm 0,1 ' nın, asım kullanılabilir olmadan önce yayımlandığı ve birçok yerde asim ile hizalanmayan ağ normalleştirme şemasının 0.2. x sürümü açıklanır. Daha fazla bilgi için bkz. ağ normalleştirme şeması sürümleri arasındaki farklar.
Önemli
Ağ normalleştirme şeması şu anda ÖNIZLEME aşamasındadır. Bu özellik, bir hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yükleri için önerilmez.
Azure önizleme ek koşulları , Beta, önizleme veya henüz genel kullanıma sunulmayan Azure özelliklerine uygulanan ek yasal koşulları içerir.
Şemaya genel bakış
Ağ normalleştirme şeması herhangi bir IP ağ oturumu türünü temsil edebilir, ancak özellikle Netflow, güvenlik duvarları ve Izinsiz giriş önleme sistemleri gibi ortak kaynak türleri için destek sağlamak üzere tasarlanmıştır.
Icılar
Kaynak belirsiz ayrıştırıcılar
Tüm kullanıma hazır çözümleyicilerin tümünü kapsayan kaynak belirsiz Çözümleyicileri kullanmak ve analizin yapılandırılan tüm kaynaklar üzerinde çalıştığından emin olmak için, sorgunuzda tablo adı olarak aşağıdaki KQL işlevlerini kullanın:
| Ad | Açıklama | Kullanım yönergeleri |
|---|---|---|
| ımnetworksession | Tüm ağ oturumu kaynaklarından normalleştirilmiş olayları dahil etmek için UNION kullanan bir Ayrıştırıcıyı kullanır. | -Kaynağın agnostic Analytics 'ten kaynak eklemek veya kaldırmak istiyorsanız bu ayrıştırıcısı güncelleştirin. -Bu işlevi, kaynak agntik sorgularda kullanın. |
| ASimNetworkSession | Imnetworksession işlevine benzer, ancak parametre desteği olmadan, bu nedenle günlük sayfası zaman seçiciyi değeri kullanacak şekilde zorlamaz custom . |
-Kaynak agnostic Analytics 'ten kaynak eklemek veya kaldırmak istiyorsanız bu Çözümleyicileri güncelleştirin. -Parametreleri kullanmayı planlamıyorsanız, kaynak belirsiz sorgularda bu işlevi kullanın. |
| Vımnetworksession<vendor><product> | Kaynağa özgü ayrıştırıcılar, belirli bir kaynak için normalleştirme uygular. Örnek: vimNetworkSessionSysmonLinux |
-Kullanıma hazır bir normalleştirici ayrıştırıcısı olmadığında kaynak için kaynağa özgü bir ayrıştırıcı ekleyin. imYeni ayrıştırıcılarınızın başvurusunu içerecek şekilde aggregparser ayrıştırıcısını güncelleştirin. -Ayrıştırma ve normalleştirme sorunlarını gidermek için kaynağa özgü bir ayrıştırıcısı güncelleştirin. -Kaynağa özgü çözümlemeler için kaynağa özgü bir Ayrıştırıcı kullanın. |
| ASimNetworkSession<vendor><product>> | Kaynağa özgü ayrıştırıcılar, belirli bir kaynak için normalleştirme uygular. İşlevlerin aksine vim* ASim* İşlevler, parametreleri desteklemez. |
-Kullanıma hazır bir normalleştirici ayrıştırıcısı olmadığında kaynak için kaynağa özgü bir ayrıştırıcı ekleyin. ASimYeni ayrıştırıcılarınızın başvurusunu içerecek şekilde aggregparser ayrıştırıcısını güncelleştirin.-Ayrıştırma ve normalleştirme sorunlarını gidermek için kaynağa özgü bir ayrıştırıcısı güncelleştirin. - ASim Parametreleri kullanmadığınız zaman etkileşimli sorgular için kaynağa özgü bir Ayrıştırıcı kullanın. |
Microsoft Sentinel GitHub deposundanasim çözümleyicileri dağıtın.
Kullanıma hazır, kaynağa özgü çözümleyiciler
Microsoft Sentinel, ürüne özgü aşağıdaki yerleşik ağ oturumu Çözümleyicileri sağlar:
| Ad | Açıklama |
|---|---|
| uç nokta için Microsoft 365 Defender | - Parametrized: vimNetworkSessionMicrosoft365Defender -Normal: ASimNetworkSessionMicrosoft365Defender |
| IoT için Microsoft Defender-uç noktası (MD4IoT) | - Parametrized: vimNetworkSessionMD4IoT -Normal: ASimNetworkSessionMD4IoT |
| Linux için Microsoft Sysmon | -Parametrized: Vımnetworksessionsysmonlinux -Regular: Asınetworksessionsysmonlinux |
| Windows olayları güvenlik duvarı | Windows Windows olayları kullanılarak toplanan Log Analytics aracısı veya Azure izleyici aracısı kullanılarak olay veya WindowsEvent tablosuna toplanan bir güvenlik duvarı etkinliği. -Parametrized: Vımnetworksessionmicrosoftwindowseventfirewall -Regular: Asınetworksessionmicrosoftwindowseventfirewall |
Kendi normalleştirilmiş ayrıştırıcılarınızı ekleyin
Ağ oturumu bilgileri modeli için özel Çözümleyicileri uygularken, aşağıdaki sözdizimini kullanarak KQL işlevlerinizi adlandırın:
vimNetworkSession<vendor><Product>parametrized Çözümleyicileri içinASimNetworkSession<vendor><Product>düzenli çözümleyiciler için
Ardından, yeni ayrıştırıcısı imNetworkSession veya ASimNetworkSession sırasıyla ekleyin.
Ayrıştırıcı parametrelerini filtreleme
imVe vim* Çözümleyicileri filtre parametrelerinidestekler. Bu çözümleyiciler isteğe bağlı olsa da, sorgu performansınızı iyileştirebilirler.
Aşağıdaki filtreleme parametreleri kullanılabilir:
| Ad | Tür | Açıklama |
|---|---|---|
| StartTime | datetime | Yalnızca bu süre içinde veya sonrasında başlatılan ağ oturumlarını filtreleyin. |
| EndTime | datetime | Yalnızca bu süre içinde veya daha önce çalışmaya başlayan ağ oturumlarını filtreleyin. |
| srcipaddr_has_any_prefix | dynamic | Yalnızca kaynak IP adresi alan ön eki listelenen değerlerden birinde olan ağ oturumlarını filtreleyin. |
| dstipaddr_has_any_prefix | dynamic | Yalnızca hedef IP adresi alan ön ekinin listelenen değerlerden birinde olduğu ağ oturumlarını filtreleyin. |
| dstportnum | int | Yalnızca belirtilen hedef bağlantı noktası numarasına sahip ağ oturumlarını filtreleyin. |
| hostname_has_any | dynamic | Yalnızca hedef ana bilgisayar adı alanında listelenen herhangi bir değer bulunan ağ oturumlarını filtreleyin. |
| dvcaction | dynamic | Yalnızca cihaz eylemi alanı listelenen değerlerden herhangi biri olan ağ oturumlarını filtreleyin. |
| eventresult | string | Yalnızca belirli bir Eventresult değeri olan ağ oturumlarını filtreleyin. |
Örneğin, belirli bir etki alanı adları listesinin yalnızca Web oturumlarını filtrelemek için şunu kullanın:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co",...]);
imNetworkSession (hostname_has_any = torProxies)
Şema ayrıntıları
Ağ oturumları bilgi modeli, Ossem ağ varlık şemadır.
Sektör en iyi uygulamalarına uymak için ağ oturumu şeması, alan adında DVC belirtecini dahil etmeden, ağ oturumu kaynağını ve hedef cihazları tanımlamak için src ve DST tanımlayıcılarını kullanır.
Bu nedenle, örneğin, kaynak cihaz ana bilgisayar adı ve IP adresi sırasıyla SrcHostname ve srcıdresi olarak adlandırılır ve src DVC ana bilgisayar adı ve src DVC ipaddr değil. DVC ön eki yalnızca raporlama veya aracı cihaz için uygun şekilde kullanılır.
Kaynak ve hedef cihazlarla ilişkili kullanıcı ve uygulamayı tanımlayan alanlar src ve DST tanımlayıcılarını de kullanır.
Diğer ASIM şemaları, genellikle DST yerine hedefi kullanır.
Ortak alanlar
Tüm şemalarda ortak olan alanlar asım şemasına genel bakışbölümünde açıklanmıştır. Aşağıdaki alanlar, Işlem olayları için özel yönergelere sahiptir:
| Alan | Sınıf | Tür | Açıklama |
|---|---|---|---|
| EventCount | Zorunlu | Tamsayı | Netflow kaynakları toplamayı destekler ve Eventcount alanı Netflow akışları alanının değerine ayarlanmalıdır. Diğer kaynaklar için genellikle değer olarak ayarlanır 1 . |
| Türü | Zorunlu | Enumerated | Kayıt tarafından bildirilen işlemi açıklar. Ağ oturumu kayıtları için, desteklenen değerler şunları içerir: - NetworkConnection- NetworkSession |
| EventSubType | İsteğe Bağlı | Dize | Varsa, olay türünün ek açıklaması. Ağ oturumu kayıtları için, desteklenen değerler şunları içerir: - Start- End |
| EventSchema | Zorunlu | Dize | Burada belgelenen şemanın adı NetworkSession . |
| EventSchemaVersion | Zorunlu | Dize | Şema sürümü. Burada belgelenen şemanın sürümü 0.2.1 |
| DvcAction | İsteğe Bağlı | Enumerated | Ağ oturumunda gerçekleştirilen eylem. Desteklenen değerler şunlardır: - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNrouteNote: değer, bu değerlere normalleştirilmeli farklı terimler kullanılarak kaynak kaydında sağlanmış olabilir. Özgün değer Dvcorigınalaction alanında depolanmalıdır. Örnek: drop |
| DVC alanları | Ağ oturumu olayları için, cihaz alanları, ağ oturumu olayını bildiren sisteme başvurur. | ||
Ağ oturumu alanları
Aşağıdaki alanlar tüm ağ oturumu etkinlik günlüğü için ortaktır:
| Alan | Sınıf | Tür | Açıklama |
|---|---|---|---|
| HD | Önerilen | Dize | DNS isteğini alan sunucunun benzersiz tanıtıcısı. Bu alan, Dstdvcıd, Dsthostnameveya dstipaddr alanlarının diğer adı olabilir. Örnek: 192.168.12.1 |
| Dstıpaddr | Önerilen | IP Adresi | Bağlantının veya oturum hedefinin IP adresi. Örnek: 2001:db8::ff00:42:8329Note: dsthostname belirtilmişse bu değer zorunludur. |
| DstPortNumber | İsteğe Bağlı | Tamsayı | Hedef IP bağlantı noktası. Örnek: 443 |
| DstHostname | Önerilen | Dize | Etki alanı bilgileri hariç olmak üzere hedef cihaz ana bilgisayar adı. Kullanılabilir cihaz adı yoksa, ilgili IP adresini bu alanda saklayın. Örnek: DESKTOP-1282V4DNote: dstipaddr belirtilmişse bu değer zorunludur. |
| Konak | Diğer ad | Diğer ad Dsthostname | |
| DstDomain | Önerilen | Dize | Hedef cihazın etki alanı. Örnek: Contoso |
| DstDomainType | Önerilen | Enumerated | Biliniyorsa, dstdomaintürü. Olası değerler şunlardır: - Windows (contoso\mypc)- FQDN (docs.microsoft.com)Dstdomain kullanılıyorsa gereklidir. |
| DstFQDN | İsteğe Bağlı | Dize | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef cihaz ana bilgisayar adı. Örnek: Contoso\DESKTOP-1282V4D Note: bu alan hem geleneksel FQDN biçimini hem de etkialanı \ ana bilgisayar adı biçimini destekler Windows. Dstdomaintype , kullanılan biçimi yansıtır. |
| Dstdvcıd | İsteğe Bağlı | Dize | Kayıt içinde bildirilen hedef cihazın KIMLIĞI. Örnek: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcIdType | İsteğe Bağlı | Enumerated | Biliniyorsa DstDvcIdtürü. Olası değerler şunlardır: - AzureResourceId- MDEidIfBirden çok kimlik varsa, yukarıdaki listeden ilki kullanın ve diğerlerini sırasıyla DstDvcAzureResourceId veya DstDvcMDEid alanlarında depolar. DstDeviceId kullanılıyorsa gereklidir. |
| DstDeviceType | İsteğe Bağlı | Enumerated | Hedef cihazın türü. Olası değerler şunlardır: - Computer- Mobile Device- IOT Device- Other |
| DstUserId | İsteğe Bağlı | Dize | Hedef kullanıcının makine tarafından okunabilir, alfasayısal ve benzersiz bir gösterimi. Desteklenen biçimler ve türler şunlardır: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Azure Active Directory): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Kimlik türünü DstUserIdType alanında depolar. Diğer kimlikler varsa, alan adlarını sırasıyla DstUserSid, DstUserUid, DstUserAADID, DstUserOktaId ve UserAwsId olarak normalleştirmenizi öneririz. Daha fazla bilgi için bkz. Kullanıcı varlığı. Örnek: S-1-12 |
| DstUserIdType | İsteğe Bağlı | Enumerated | DstUserId alanında depolanan kimliğin türü. Desteklenen değerler: SID , UIS , , ve AADID OktaId AWSId . |
| DstUsername | İsteğe Bağlı | Dize | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere Hedef kullanıcı adı. Aşağıdaki biçimlerden birini ve aşağıdaki öncelik sırasına göre kullanın: - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Basit: johndow . Basit formunu yalnızca etki alanı bilgileri kullanılamıyorsa kullanın.Kullanıcı adı türünü DstUsernameType alanında depolar. Diğer kimlikler varsa, alan adlarını DstUserUpn, DstUserWindows ve DstUserDn olarak normalleştirmenizi öneririz. Daha fazla bilgi için bkz. Kullanıcı varlığı. Örnek: AlbertE |
| Kullanıcı | Diğer ad | DstUsername diğer adı | |
| DstUsernameType | İsteğe Bağlı | Enumerated | DstUsername alanında depolanan kullanıcı adı türünü belirtir. Desteklenen değerler şunlardır: UPN , Windows , ve DN Simple . Daha fazla bilgi için bkz. Kullanıcı varlığı.Örnek: Windows |
| DstUserType | İsteğe Bağlı | Enumerated | Aktör türü. Desteklenen değerler şunlardır: - Regular- Machine- Admin- System- Application- Service Principal- OtherNot: Değer, farklı terimler kullanılarak kaynak kayıtta sağlanıyor olabilir ve bu değerlerle normalleştirilmiş olması gerekir. Özgün değeri DstOriginalUserType alanında depolar. |
| DstOriginalUserType | İsteğe Bağlı | Dize | Kaynak tarafından sağlanıyorsa özgün hedef kullanıcı türü. |
| DstUserDomain | İsteğe Bağlı | Dize | Bu alan yalnızca geriye dönük uyumluluk için tutulur. ASIM, varsa DstUsername alanının bir parçası olmak için etki alanı bilgilerini gerektirir. |
| DstAppName | İsteğe Bağlı | Dize | Hedef uygulamanın adı. Örnek: Facebook |
| DstAppId | İsteğe Bağlı | Dize | Raporlama cihazı tarafından bildirilen hedef uygulamanın kimliği. Örnek: 124 |
| DstAppType | İsteğe Bağlı | Dize | Aktör adına yetkilendirme yapan uygulamanın türü. Desteklenen değerler şunlardır: - Process- Service- Resource- URL- SaaS application- OtherDstAppName veya DstAppId kullanılıyorsa bu alan zorunludur. |
| DstZone | İsteğe Bağlı | Dize | Raporlama cihazı tarafından tanımlandığı şekilde hedefin ağ bölgesi. Örnek: Dmz |
| DstInterfaceName | İsteğe Bağlı | Dize | Hedef cihaz tarafından bağlantı veya oturum için kullanılan ağ arabirimi. Örnek: Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | İsteğe Bağlı | Dize | Hedef cihazda kullanılan ağ arabiriminin GUID'si. Örnek: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | İsteğe Bağlı | Dize | Hedef cihaz tarafından bağlantı veya oturum için kullanılan ağ arabiriminin MAC adresi. Örnek: 06:10:9f:eb:8f:14 |
| DstVlanId | İsteğe Bağlı | Dize | Hedef cihazla ilgili VLAN kimliği. Örnekler: 130 |
| OuterVlanId | İsteğe Bağlı | Diğer ad | DstVlanId diğer adı. Çoğu durumda VLAN bir kaynak veya hedef olarak belirlenese de iç veya dış olarak belirlenir. VLAN dış olarak nitelendirilen olduğunda DstVlanId'nin kullan gerektiğini işaret eden bu diğer ad. |
| DstGeoCountry | İsteğe Bağlı | Ülke | Hedef IP adresiyle ilişkili ülke. Daha fazla bilgi için bkz. Mantıksal türler. Örnek: USA |
| DstGeoRegion | İsteğe Bağlı | Region | Hedef IP adresiyle ilişkili bir ülke içindeki bölge veya eyalet. Daha fazla bilgi için bkz. Mantıksal türler. Örnek: Vermont |
| DstGeoCity | İsteğe Bağlı | Şehir | Hedef IP adresiyle ilişkili şehir. Daha fazla bilgi için bkz. Mantıksal türler. Örnek: Burlington |
| DstGeoLatitude | İsteğe Bağlı | Enlem | Hedef IP adresiyle ilişkili coğrafi koordinat enlemi. Daha fazla bilgi için bkz. Mantıksal türler. Örnek: 44.475833 |
| DstGeoLongitude | İsteğe Bağlı | Boylam | Hedef IP adresiyle ilişkili coğrafi koordinat boylam. Daha fazla bilgi için bkz. Mantıksal türler. Örnek: 73.211944 |
| Src | Önerilen | Dize | Kaynak cihazın benzersiz tanımlayıcısı. Bu alan SrcDvcId, SrcHostnameveya SrcIpAddr alanlarının diğer adını oluşturabilir. Örnek: 192.168.12.1 |
| SrcIpAddr | Önerilen | IP Adresi | Bağlantının veya oturumun kaynaklandığı IP adresi. SrcHostname belirtilirse bu değer zorunludur. Örnek: 77.138.103.108 |
| IpAddr | Diğer ad | SrcIpAddr diğer adı | |
| SrcPortNumber | İsteğe Bağlı | Tamsayı | Bağlantının kaynaklandığı IP bağlantı noktası. Birden çok bağlantı içeren bir oturum için uygun olabilir. Örnek: 2335 |
| SrcHostname | Önerilen | Dize | Etki alanı bilgileri hariç olmak üzere kaynak cihaz ana bilgisayar adı. Kullanılabilir cihaz adı yoksa, ilgili IP adresini bu alanda depolar. SrcIpAddr belirtilirse bu değer zorunludur. Örnek: DESKTOP-1282V4D |
| SrcDomain | Önerilen | Dize | Kaynak cihazın etki alanı. Örnek: Contoso |
| SrcDomainType | Önerilen | Enumerated | Biliniyorsa SrcDomaintürü. Olası değerler şunlardır: - Windows (örneğin: contoso )- FQDN (örneğin: microsoft.com )SrcDomain kullanılıyorsa gereklidir. |
| SrcFQDN | İsteğe Bağlı | Dize | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak cihaz ana bilgisayar adı. Not: Bu alan hem geleneksel FQDN biçimini hem de etki Windows\konak adı biçimini destekler. SrcDomainType alanı, kullanılan biçimi gösterir. Örnek: Contoso\DESKTOP-1282V4D |
| SrcDvcId | İsteğe Bağlı | Dize | Kayıtta bildirilen kaynak cihazın kimliği. Örnek: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| Srcdvcıdtype | İsteğe Bağlı | Enumerated | Biliniyorsa Srcdvcıdtürü. Olası değerler şunlardır: - AzureResourceId- MDEidBirden fazla kimlik varsa, yukarıdaki listeden birinciden birini kullanın ve diğerlerini sırasıyla SrcDvcAzureResourceId ve Srcdvcmdeıd içinde depolayın. Note: srcdvcıd kullanılırsa bu alan gereklidir. |
| SrcDeviceType | İsteğe Bağlı | Enumerated | Kaynak cihazın türü. Olası değerler şunlardır: - Computer- Mobile Device- IOT Device- Other |
| Srcuserıd | İsteğe Bağlı | Dize | Kaynak kullanıcının makine tarafından okunabilen, alfasayısal ve benzersiz bir gösterimi. Biçim ve desteklenen türler şunlardır: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- aadıd (Azure Active Directory): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- Awsıd: 72643944673KIMLIK türünü Srcuserıdtype alanında depolayın. Başka kimlikler varsa, alan adlarını sırasıyla Srcusersıd, SrcUserUid, Srcuseraadıd, Srcuseroerıd ve Userawsıd olarak normalleştirmenizi öneririz. Daha fazla bilgi için bkz. Kullanıcı varlığı. Örnek: S-1-12 |
| Srcuserıdtype | İsteğe Bağlı | Enumerated | Srcuserıd alanında depolanan kimliğin türü. Desteklenen değerler şunlardır: SID , UIS , AADID , OktaId , ve AWSId . |
| SrcUsername | İsteğe Bağlı | Dize | Kullanılabilir olduğunda, etki alanı bilgileri de dahil olmak üzere kaynak Kullanıcı adı. Aşağıdaki biçimlerden birini ve öncelik sırasını kullanın: - UPN/e-posta: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Basit: johndow . Yalnızca etki alanı bilgileri kullanılamıyorsa basit formu kullanın.Kullanıcı adı türünü Srcusernametype alanına depolayın. Diğer kimlikler varsa, alan adlarını Srcuserupn, srcuserwindows ve srcuserdn olarak normalleştirmenizi öneririz. Daha fazla bilgi için bkz. Kullanıcı varlığı. Örnek: AlbertE |
| SrcUsernameType | İsteğe Bağlı | Enumerated | Srcusername alanında depolanan kullanıcı adının türünü belirtir. Desteklenen değerler şunlardır: UPN , Windows , DN , ve Simple . Daha fazla bilgi için bkz. Kullanıcı varlığı.Örnek: Windows |
| SrcUserType | İsteğe Bağlı | Enumerated | Aktör türü. İzin verilen değerler şunlardır: - Regular- Machine- Admin- System- Application- Service Principal- OtherNote: değer, bu değerlere normalleştirilmeli farklı terimler kullanılarak kaynak kaydında sağlanmış olabilir. İlk değeri Srcorigınalusertype alanında depolayın. |
| Srcorigınalusertype | Kaynak tarafından sağlanmışsa, özgün kaynak Kullanıcı türü. | ||
| SrcUserDomain | İsteğe Bağlı | Dize | Bu alan yalnızca geriye dönük uyumluluk için tutulur. ASIM, varsa etki alanı bilgilerinin Srcusername alanının bir parçası olmasını gerektirir. |
| SrcAppName | İsteğe Bağlı | Dize | Kaynak uygulamanın adı. Örnek: filezilla.exe |
| SrcAppId | İsteğe Bağlı | Dize | Raporlama cihazı tarafından raporlanan hedef uygulamanın KIMLIĞI. Örnek: 124 |
| SrcAppType | İsteğe Bağlı | Dize | Kaynak uygulamanın türü. Desteklenen değerler şunlardır: - Process- Service- Resource- OtherSrcAppName veya SrcAppId kullanılırsa bu alan zorunludur. |
| SrcZone | İsteğe Bağlı | Dize | Raporlama cihazı tarafından tanımlanan, kaynağın ağ bölgesi. Örnek: Internet |
| SrcIntefaceName | İsteğe Bağlı | Dize | Kaynak cihaz tarafından bağlantı veya oturum için kullanılan ağ arabirimi. Örnek: eth01 |
| Srcınterfaceguid | İsteğe Bağlı | Dize | Kaynak cihazda kullanılan ağ arabiriminin GUID 'SI. Örnek: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | İsteğe Bağlı | Dize | Bağlantının veya oturumun kaynaklandığı ağ arabiriminin MAC adresi. Örnek: 06:10:9f:eb:8f:14 |
| Srcvlanıd | İsteğe Bağlı | Dize | Kaynak cihazla ilgili VLAN KIMLIĞI. Örnekler 130 |
| Innervlanıd | İsteğe Bağlı | Diğer ad | Srcvlanıdiçin diğer ad. Çoğu durumda, VLAN kaynak veya hedef olarak belirlenemez ancak iç veya dış olarak nitelenebilir. Bu diğer ad, VLAN 'ın iç olarak nitelenmiştir olan Srcvlanıd 'nin kullanılması gerektiğini belirtir. |
| SrcGeoCountry | İsteğe Bağlı | Ülke | Kaynak IP adresiyle ilişkilendirilen ülke. Örnek: USA |
| SrcGeoRegion | İsteğe Bağlı | Region | Kaynak IP adresiyle ilişkili bir ülkenin içindeki bölge. Örnek: Vermont |
| SrcGeoCity | İsteğe Bağlı | Şehir | Kaynak IP adresiyle ilişkilendirilen şehir. Örnek: Burlington |
| Srcgeolanetnetme | İsteğe Bağlı | Enlem | Kaynak IP adresiyle ilişkili coğrafi koordinat enlem. Örnek: 44.475833 |
| SrcGeoLongitude | İsteğe Bağlı | Boylam | Kaynak IP adresiyle ilişkili coğrafi koordinat boylam. Örnek: 73.211944 |
| NetworkApplicationProtocol | İsteğe Bağlı | Dize | Bağlantı veya oturum tarafından kullanılan uygulama katmanı protokolü. Dstportnumber değeri sağlanmışsa, networkapplicationprotocol ' ı da dahil etmenizi öneririz. Değer kaynakta yoksa, Dstportnumber değerinden değeri türetebilirsiniz. Örnek: FTP |
| NetworkProtocol | İsteğe Bağlı | Enumerated | IANA protokol atamasındalistelenen bağlantı veya oturum tarafından kullanılan IP protokolü. Genellikle, TCP UDP veya ICMP .Örnek: TCP |
| NetworkDirection | İsteğe Bağlı | Enumerated | Bağlantının veya oturumun, kuruluşun içine veya dışına yönelik yönü. Desteklenen değerler şunlardır: Inbound , Outbound , Listen . Listen bir cihazın ağ bağlantılarını kabul ettiğini, ancak gerçekten, her zaman bağlı olmadığını gösterir. |
| NetworkDuration | İsteğe Bağlı | Tamsayı | Ağ oturumunun veya bağlantının tamamlanması için milisaniye cinsinden süre. Örnek: 1500 |
| Süre | Diğer ad | Networkduration için diğer ad | |
| NetworkIcmpCode | İsteğe Bağlı | Tamsayı | ICMP iletisi için, ıCMP iletisi, IPv4 ağ bağlantıları için rfc 2780 ' de açıklandığı gibi sayısal değeri veya IPv6 ağ bağlantıları için RFC 4443 ' de bir değer yazın. Bir NetworkIcmpType değeri sağlanmışsa, bu alan zorunludur. Değer kaynakta yoksa, bunun yerine NetworkIcmpType alanından türetebilirsiniz. Örnek: 34 |
| NetworkIcmpType | İsteğe Bağlı | Dize | ICMP iletisi için, IPv4 ağ bağlantıları için rfc 2780 ' de açıklandığı şekilde veya IPv6 ağ bağlantıları için RFC 4443 ' de açıklandığı gibi, ICMP ileti türü metin gösterimi. Örnek: Destination Unreachable |
| NetworkConnectionHistory | İsteğe Bağlı | Dize | TCP bayrakları ve diğer olası IP üstbilgi bilgileri. |
| DstBytes | Önerilen | Tamsayı | Bağlantı veya oturum için hedefin kaynağa gönderilen bayt sayısı. Olay toplanırsa, Dstbytes tüm toplanmış oturumların toplamı olmalıdır. Örnek: 32455 |
| SrcBytes | Önerilen | Tamsayı | Bağlantı veya oturum için kaynaktan hedefe gönderilen bayt sayısı. Olay toplanırsa, Srcbytes tüm toplanmış oturumların toplamı olmalıdır. Örnek: 46536 |
| NetworkBytes | İsteğe Bağlı | Tamsayı | Her iki yönde gönderilen bayt sayısı. Hem BytesReceived hem de BytesSent varsa, bytesTotal 'nin toplamına eşit olması gerekir. Olay toplanırsa, Networkbytes tüm toplanmış oturumların toplamı olmalıdır. Örnek: 78991 |
| DstPackets | İsteğe Bağlı | Tamsayı | Bağlantı veya oturum için hedefin kaynağına gönderilen paketlerin sayısı. Bir paketin anlamı raporlama cihazı tarafından tanımlanır. Olay toplanırsa, Dstpackets tüm toplanmış oturumların toplamı olmalıdır. Örnek: 446 |
| SrcPackets | İsteğe Bağlı | Tamsayı | Bağlantı veya oturum için kaynaktan hedefe gönderilen paket sayısı. Bir paketin anlamı raporlama cihazı tarafından tanımlanır. Olay toplanırsa, Srcpackets tüm toplanmış oturumların toplamı olmalıdır. Örnek: 6478 |
| NetworkPackets | İsteğe Bağlı | Tamsayı | Her iki yönde gönderilen paketlerin sayısı. Hem Packetsalal hem de Packetssent varsa, bytesTotal 'nin toplamına eşit olması gerekir. Bir paketin anlamı raporlama cihazı tarafından tanımlanır. Olay toplanırsa, Networkpackets tüm toplanmış oturumların toplamı olmalıdır. Örnek: 6924 |
| Networksessionıd | İsteğe Bağlı | string | Raporlama cihazı tarafından raporlanan oturum tanımlayıcısı. Örnek: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| Kimliği | Diğer ad | Dize | Networksessionıd için diğer ad |
Ara cihaz alanları
Kayıt, ağ oturumunu aktaran bir güvenlik duvarı veya ara sunucu gibi bir ara cihaz hakkında bilgi içeriyorsa aşağıdaki alanları yararlı olur.
| Alan | Sınıf | Tür | Açıklama |
|---|---|---|---|
| Dstnatıpaddr | İsteğe Bağlı | IP Adresi | Bir aracı NAT aygıtı tarafından bildirilirse, NAT aygıtı tarafından kaynakla iletişim için kullanılan IP adresi. Örnek: 2::1 |
| DstNatPortNumber | İsteğe Bağlı | Tamsayı | Bir aracı NAT aygıtı tarafından bildirilirse, NAT aygıtı tarafından kaynakla iletişim için kullanılan bağlantı noktası. Örnek: 443 |
| SrcNatIpAddr | İsteğe Bağlı | IP Adresi | Bir aracı NAT aygıtı tarafından bildirilirse, NAT aygıtı tarafından hedefle iletişim için kullanılan IP adresi. Örnek: 4.3.2.1 |
| SrcNatPortNumber | İsteğe Bağlı | Tamsayı | Bir aracı NAT aygıtı tarafından bildirilirse, NAT aygıtı tarafından hedefle iletişim için kullanılan bağlantı noktası. Örnek: 345 |
| Dvcinboundınterface | İsteğe Bağlı | Dize | Bir aracı cihaz tarafından bildirilirse, NAT aygıtı tarafından kaynak cihazla bağlantı için kullanılan ağ arabirimi. Örnek: eth0 |
| Dvcoutboundınterface | İsteğe Bağlı | Dize | Bir aracı cihaz tarafından bildirilirse, NAT aygıtı tarafından hedef cihazla bağlantı için kullanılan ağ arabirimi. Örnek: Ethernet adapter Ethernet 4e |
İnceleme alanları
Aşağıdaki alanlar, bir güvenlik duvarı, bir IP 'ler veya Web güvenlik ağ geçidi gibi bir güvenlik cihazının gerçekleştirdiği incelemeyi göstermek için kullanılır:
| Alan | Sınıf | Tür | Açıklama |
|---|---|---|---|
| NetworkRuleName | İsteğe Bağlı | Dize | Dvcaction 'ın üzerinde karar verdiği kuralın adı veya kimliği. Örnek: AnyAnyDrop |
| Networkrulenumarası | İsteğe Bağlı | Tamsayı | Dvcaction 'ın üzerinde karar verdiği kuralın numarası. Örnek: 23 |
| Kural | Zorunlu | Dize | NetworkRuleNameYa daNetworkRuleNumber |
| Threatıd | İsteğe Bağlı | Dize | Ağ oturumunda tanımlanan tehdit veya kötü amaçlı yazılımın KIMLIĞI. Örnek: Tr.124 |
| ThreatName | İsteğe Bağlı | Dize | Ağ oturumunda tanımlanan tehdit veya kötü amaçlı yazılımın adı. Örnek: EICAR Test File |
| ThreatCategory | İsteğe Bağlı | Dize | Ağ oturumunda tanımlanan tehdit veya kötü amaçlı yazılımın kategorisi. Örnek: Trojan |
| Threatrısklevel | İsteğe Bağlı | Tamsayı | Oturumla ilişkili risk düzeyi. Düzey 0 ile 100 arasında bir sayı olmalıdır. Note: değer, bu ölçeğe normalleştirilmesi gereken farklı bir ölçek kullanılarak kaynak kaydında sağlanmış olabilir. Özgün değer Threatrisklevelorijinaliçinde depolanmalıdır. |
| Threatrisklevelorijinal | İsteğe Bağlı | Dize | Raporlama cihazı tarafından raporlanan risk düzeyi. |
Diğer alanlar
Olay, ağ oturumunun uç noktalarından biri tarafından raporlandıysa, oturumu başlatan veya sonlandıran işlem hakkında bilgi içerebilir. Bu gibi durumlarda, bu bilgileri normalleştirmek için asım Işlem olay şeması .
Şema güncelleştirmeleri
Bu, şemanın 0.2.1 sürümündeki değişikliklerdir:
SrcDstKaynak ve hedef sistemler için önde gelen bir tanımlayıcıya diğer adlar eklendi.- ,,,
NetworkConnectionHistorySrcVlanIdDstVlanIdInnerVlanIdVe alanları eklendiOuterVlanId
Sonraki adımlar
Daha fazla bilgi için bkz.