進階安全性資訊模型 (ASIM) 網路會話正規化架構參考 (公開預覽)
Microsoft Sentinel 網路會話正規化架構代表 IP 網路活動,例如網路連線和網路會話。 例如,作業系統、路由器、防火牆和入侵預防系統會報告這類事件。
網路正規化架構可以代表任何類型的 IP 網路會話,但其設計目的是支援常見的來源類型,例如 Netflow、防火牆和入侵預防系統。
如需 Microsoft Sentinel 中正規化的詳細資訊,請參閱 正規化和進階安全性資訊模型(ASIM)。
本文說明網路正規化架構的 0.2.x 版。 0.1 版是在 ASIM 可用之前發行,而且在數個地方與 ASIM 不一致。 如需詳細資訊,請參閱 網路正規化架構版本 之間的差異。
重要
網路正規化架構目前為預覽 狀態 。 此功能在沒有服務等級協定的情況下提供。 不建議用於生產工作負載。
Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
剖析器
如需 ASIM 剖析器的詳細資訊,請參閱 ASIM 剖析器概觀 。
統一剖析器
若要使用將所有 ASIM 現成剖析器統一起來的剖析器,並確保分析在所有設定的來源上執行,請使用 _Im_NetworkSession 篩選剖析器或 _ASim_NetworkSession 無參數剖析器。
您也可以從 Microsoft Sentinel GitHub 存放庫 部署工作區 ImNetworkSession 和 ASimNetworkSession 剖析器。
如需詳細資訊,請參閱 內建的 ASIM 剖析器和工作區部署的剖析器 。
現用的現用來源特定剖析器
如需網路會話剖析器清單,Microsoft Sentinel 提供現成的參考 ASIM 剖析器清單
新增您自己的標準化剖析器
開發網路會話資訊模型的自訂剖析器 時 ,請使用下列語法為您的 KQL 函式命名:
vimNetworkSession<vendor><Product>適用于參數化剖析器ASimNetworkSession<vendor><Product>適用于一般剖析器
請參閱管理 ASIM 剖析器 一文 ,瞭解如何將自訂剖析器新增至網路會話統一剖析器。
篩選剖析器參數
網路會話剖析器支援 篩選參數 。 雖然這些參數是選擇性的,但它們可以改善查詢效能。
下列篩選參數可供使用:
| 名稱 | 類型 | 描述 |
|---|---|---|
| starttime | Datetime | 只篩選在此時間或之後啟動 的網路會話 。 |
| endtime | Datetime | 只篩選在此時間或之前開始 執行的網路會話 。 |
| srcipaddr_has_any_prefix | dynamic | 僅篩選來源 IP 位址欄位 前置詞位於其中一個列出的值的網路會話 。 前置詞應該以 . 結尾,例如: 10.0. 。 清單的長度限制為 10,000 個專案。 |
| dstipaddr_has_any_prefix | dynamic | 僅篩選目的地 IP 位址欄位 前置詞位於其中一個列出的值的網路會話 。 前置詞應該以 . 結尾,例如: 10.0. 。 清單的長度限制為 10,000 個專案。 |
| ipaddr_has_any_prefix | dynamic | 僅篩選目的地 IP 位址欄位 或 來源 IP 位址欄位 前置詞位於其中一個列出的值的網路會話 。 前置詞應該以 . 結尾,例如: 10.0. 。 清單的長度限制為 10,000 個專案。欄位 ASimMatchingIpAddr 會設定為其中一個值 SrcIpAddr 、 DstIpAddr 或 Both ,以反映相符的欄位或欄位。 |
| dstportnumber | int | 僅篩選具有指定目的地埠號碼的網路會話。 |
| hostname_has_any | 動態/字串 | 僅篩選目的地主機名稱欄位 具有任何列出的值的網路會話 。 清單的長度限制為 10,000 個專案。 欄位 ASimMatchingHostname 是使用 、 或 Both 值之 SrcHostnameDstHostname 一來設定,以反映相符的欄位或欄位。 |
| dvcaction | 動態/字串 | 僅篩選 [裝置動作] 欄位 是所列任何值的網路會話 。 |
| eventresult | String | 僅篩選具有特定 EventResult 值的網路會話。 |
某些參數可以接受類型的 dynamic 值清單或單一字串值。 若要將常值清單傳遞至預期動態值的參數,請明確使用 動態常值 。 例如:dynamic(['192.168.','10.'])
例如,若要僅篩選指定功能變數名稱清單的網路會話,請使用:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
提示
若要將常值清單傳遞至預期動態值的參數,請明確使用 動態常值 。 例如: dynamic(['192.168.','10.']) 。
標準化內容
如需使用標準化 DNS 事件之分析規則的完整清單,請參閱 網路會話安全性內容 。
架構概觀
網路會話資訊模型會與 OSSEM 網路實體架構 一致。
網路會話架構提供數種類型的類似但不同的案例,這些案例會共用相同的欄位。 這些案例是由 EventType 欄位所識別:
NetworkSession- 由監視網路的中繼裝置所報告的網路會話,例如防火牆、路由器或網路點選。L2NetworkSession- 只有第 2 層資訊可供使用的網路會話。 這類事件會包含 MAC 位址,但不包含 IP 位址。Flow- 報告多個類似網路會話的匯總事件,通常是在預先定義的時段內,例如 Netflow 事件。EndpointNetworkSession- 會話的其中一個端點所報告的網路會話,包括用戶端和伺服器。 針對這類事件,架構支援remote和local別名欄位。IDS- 回報為可疑的網路會話。 這類事件會填入一些檢查欄位,而且可能只有一個 IP 位址欄位填入來源或目的地。
一般而言,查詢應該只選取這些事件種類的子集,而且可能需要個別解決使用案例的獨特層面。 例如,IDS 事件不會反映整個網路磁片區,而且不應該在以資料行為基礎的分析中納入考慮。
網路會話事件會使用描述元 Src 和 Dst 來表示裝置的角色,以及會話中相關使用者和應用程式的角色。 因此,例如,來源裝置主機名稱和 IP 位址會命名 SrcHostname 為 和 SrcIpAddr 。 其他 ASIM 架構通常會使用 Target , Dst 而不是 。
針對端點所報告的事件,以及事件種類為 EndpointNetworkSession 的事件,描述項 Local 和 Remote 表示端點本身和裝置分別位於網路會話的另一端。
描述元 Dvc 用於報告裝置,這是端點所報告會話的本機系統,以及其他網路會話事件的中繼裝置或網路點選。
架構詳細資料
一般 ASIM 欄位
重要
ASIM 通用欄位一文會詳細說明 所有架構的通用欄位 。
具有特定指導方針的常見欄位
下列清單提及具有網路會話事件特定指導方針的欄位:
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| EventCount | 必要 | 整數 | Netflow 來源支援匯總,而 EventCount 欄位應該設定為 Netflow FLOW 欄位的值。 對於其他來源,值通常會設定為 1 。 |
| EventType | 必要 | 枚舉 | 描述記錄所報告的案例。 針對網路會話記錄,允許的值如下: - EndpointNetworkSession- NetworkSession - L2NetworkSession- IDS - Flow如需事件種類的詳細資訊,請參閱 架構概觀 |
| EventSubType | 選擇性 | String | 如果適用的話,事件種類的其他描述。 針對網路會話記錄,支援的值包括: - Start- End此欄位與事件無關 Flow 。 |
| EventResult | 必要 | 枚舉 | 如果來源裝置未提供事件結果, EventResult 應以 DvcAction 的值 為基礎。 如果 DvcAction 為 Deny 、、 Drop 、 ResetDrop ICMP 、 Reset Source 或Reset Destination、 EventResult 應該是 Failure 。 否則, EventResult 應該是 Success 。 |
| EventResultDetails | 建議需求 | 枚舉 | EventResult 欄位中所報告 結果的原因或詳細資料。 支援的值為: -故障 - 不正確 TCP - 不正確通道 - 重試次數上限 -重 置 - 路由問題 -模擬 -終止 -超時 - 暫時性錯誤 -未知 -那。 原始的來源特定值會儲存在 EventOriginalResultDetails 欄位中。 |
| EventSchema | 必要 | String | 這裡記載的架構名稱為 NetworkSession 。 |
| EventSchemaVersion | 必要 | String | 結構描述的版本。 這裡記載的架構版本為 0.2.6 。 |
| DvcAction | 建議需求 | 枚舉 | 在網路會話上採取的動作。 支援的值為: - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNroute注意 :來源記錄中可能會使用不同的詞彙來提供此值,這應該會正規化為這些值。 原始值應該儲存在 DvcOriginalAction 欄位中。 範例: drop |
| EventSeverity | 選擇性 | 枚舉 | 如果來源裝置未提供事件嚴重性, EventSeverity 應該以 DvcAction 的值 為基礎。 如果 DvcAction 為 Deny 、、 Drop 、 ResetDrop ICMP 、 Reset Source 或Reset Destination、 EventSeverity 應該是 Low 。 否則, EventSeverity 應該是 Informational 。 |
| DvcInterface | DvcInterface 欄位應該將 DvcInboundInterface 或 DvcOutboundInterface 欄位別名 。 | ||
| Dvc 欄位 | 針對網路會話事件,裝置欄位是指報告網路會話事件的系統。 |
所有通用欄位
下表中顯示的欄位適用于所有 ASIM 架構。 上述任何指定的指導方針會覆寫欄位的一般指導方針。 例如,欄位通常是選擇性的,但特定架構的必要專案。 如需每個欄位的詳細資訊,請參閱 ASIM 通用欄位 一文。
網路會話欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| NetworkApplicationProtocol | 選擇性 | String | 連接或會話所使用的應用層通訊協定。 值應全部大寫。 範例: FTP |
| NetworkProtocol | 選擇性 | 枚舉 | 連線或會話所使用的 IP 通訊協定,如 IANA 通訊協定指派中 所列,通常是 TCP 、 UDP 或 ICMP 。 範例: TCP |
| NetworkProtocolVersion | 選擇性 | 枚舉 | NetworkProtocol 的版本 。 使用它來區別 IP 版本時,請使用 值 IPv4 和 IPv6 。 |
| NetworkDirection | 選擇性 | 枚舉 | 連線或會話的方向: - 針對 EventType NetworkSession 或 L2NetworkSession , Flow NetworkDirection 代表相對於組織或雲端環境界限的方向。 支援的值為 Inbound 、、 LocalOutbound 、(組織)、 External (組織)或 NA (不適用)。- 針對 EventType,NetworkDirection EndpointNetworkSession 代表相對於端點的方向。 支援的值為 Inbound 、、 OutboundLocal 、、 Listen 或 NA (不適用)。 值 Listen 表示裝置已開始接受網路連線,但實際上不一定已連線。 |
| NetworkDuration | 選擇性 | 整數 | 完成網路會話或連線的時間量,以毫秒為單位。 範例: 1500 |
| 期間 | Alias | NetworkDuration 的 別名。 | |
| NetworkIcmpType | 選擇性 | String | 針對 ICMP 訊息,ICMP 訊息類型號碼,如 IPv4 網路連線的 RFC 2780 中所述,或 IPv6 網路連線的 RFC 4443 中所述 。 |
| NetworkIcmpCode | 選擇性 | 整數 | 針對 ICMP 訊息,如 RFC 2780 針對 IPv4 網路連線所述 ,或針對 IPv6 網路連線使用 RFC 4443 中所述的 ICMP 代碼編號。 |
| Network連線ionHistory | 選擇性 | String | TCP 旗標和其他潛在的 IP 標頭資訊。 |
| DstBytes | 建議需求 | Long | 從目的地傳送到連線或會話來源的位元組數目。 如果匯總事件, DstBytes 應該是所有匯總會話的總和。 範例: 32455 |
| SrcBytes | 建議需求 | Long | 從來源傳送到連線或會話目的地的位元組數目。 如果匯總事件, SrcBytes 應該是所有匯總會話的總和。 範例: 46536 |
| NetworkBytes | 選擇性 | Long | 雙向傳送的位元組數目。 如果 BytesReceived 和 BytesSent 都 存在, BytesTotal 應該等於其總和 。 如果匯總事件, NetworkBytes 應該是所有匯總會話的總和。 範例: 78991 |
| DstPackets | 選擇性 | Long | 從目的地傳送至連線或會話來源的封包數目。 封包的意義是由報告裝置所定義。 如果匯總事件, DstPackets 應該是所有匯總會話的總和。 範例: 446 |
| SrcPackets | 選擇性 | Long | 從來源傳送至連線或會話目的地的封包數目。 封包的意義是由報告裝置所定義。 如果匯總事件, SrcPackets 應該是所有匯總會話的總和。 範例: 6478 |
| NetworkPackets | 選擇性 | Long | 雙向傳送的封包數目。 如果 PacketsReceived 和 PacketsSent 都存在, BytesTotal 應該等於其總和 。 封包的意義是由報告裝置所定義。 如果匯總事件, NetworkPackets 應該是所有匯總會話的總和。 範例: 6924 |
| NetworkSessionId | 選擇性 | string | 報告裝置所報告的會話識別碼。 範例: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| SessionId | Alias | String | NetworkSessionId 的 別名。 |
| TcpFlagsAck | 選擇性 | 布林值 | 回報 TCP ACK 旗標。 通知旗標用來確認封包的成功接收。 如上圖所示,接收者會在三向交握程式的第二個步驟中傳送 ACK 和 SYN,告知傳送者收到其初始封包。 |
| TcpFlagsFin | 選擇性 | 布林值 | 回報 TCP FIN 旗標。 完成的旗標表示寄件者不再有資料。 因此,它會用於傳送者傳送的最後一個封包中。 |
| TcpFlagsSyn | 選擇性 | 布林值 | 回報 TCP SYN 旗標。 同步處理旗標是建立兩部主機之間三向交握的第一個步驟。 只有寄件者和接收者的第一個封包才應設定此旗標。 |
| TcpFlagsUrg | 選擇性 | 布林值 | TCP 敦促旗標報告。 緊急旗標可用來通知接收者在處理所有其他封包之前處理緊急封包。 接收者會在收到所有已知的緊急資料時收到通知。 如需詳細資訊,請參閱 RFC 6093 。 |
| TcpFlagsPsh | 選擇性 | 布林值 | 回報 TCP PSH 旗標。 推送旗標類似于 PUSH 旗標,並告訴接收者在收到封包時處理這些封包,而不是緩衝處理這些封包。 |
| TcpFlagsRst | 選擇性 | 布林值 | 回報 TCP RST 旗標。 當封包傳送至未預期封包的特定主機時,重設旗標會從接收者傳送到傳送者。 |
| TcpFlagsEce | 選擇性 | 布林值 | 回報 TCP ECE 旗標。 此旗標負責指出 TCP 對等是否 支援 ECN。 如需詳細資訊,請參閱 RFC 3168 。 |
| TcpFlagsCwr | 選擇性 | 布林值 | 回報 TCP CWR 旗標。 傳送主機會使用壅塞視窗縮減旗標,以指出它已收到已設定 ECE 旗標的封包。 如需詳細資訊,請參閱 RFC 3168 。 |
| TcpFlagsN | 選擇性 | 布林值 | 回報 TCP NS 旗標。 Nonce sum 旗標仍然是實驗性旗標,用來協助防止傳送者意外惡意隱藏封包。 如需詳細資訊,請參閱 RFC 3540 |
目的地系統欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| Dst | 建議需求 | Alias | 接收 DNS 要求之伺服器的唯一識別碼。 此欄位可能會將 DstDvcId 、 DstHostname 或 DstIpAddr 欄位別名。 範例: 192.168.12.1 |
| DstIpAddr | 建議需求 | IP 位址 | 連線或會話目的地的 IP 位址。 如果會話使用網路位址轉譯, DstIpAddr 則為公開可見的位址,而不是來源的原始位址,儲存在 DstNatIpAddr 中 範例: 2001:db8::ff00:42:8329注意 :如果 指定 DstHostname ,這個值是必要的。 |
| DstPortNumber | 選擇性 | 整數 | 目的地 IP 埠。 範例: 443 |
| DstHostname | 建議需求 | 主機名稱 | 目的地裝置主機名稱,不包括網域資訊。 如果沒有可用的裝置名稱,請將相關的 IP 位址儲存在此欄位中。 範例: DESKTOP-1282V4D |
| DstDomain | 建議需求 | String | 目的地裝置的網域。 範例: Contoso |
| DstDomainType | 條件 | 枚舉 | DstDomain 的類型 。 如需允許的值清單和進一步資訊,請參閱 架構概觀一文 中的 DomainType 。 如果使用 DstDomain ,則為必要項。 |
| DstFQDN | 選擇性 | String | 目的地裝置主機名稱,包括可用時的網域資訊。 範例: Contoso\DESKTOP-1282V4D 注意 :此欄位同時支援傳統的 FQDN 格式和 Windows 網域\主機名稱格式。 DstDomainType 會反映所使用的格式。 |
| DstDvcId | 選擇性 | String | 目的地裝置的識別碼。 如果有多個識別符可用,請使用最重要的識別碼,並將其他識別碼儲存在 欄位中 DstDvc<DvcIdType> 。 範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | 選擇性 | String | 裝置所屬的雲端平臺範圍識別碼。 DstDvcScopeId 會對應至 Azure 上的訂用帳戶識別碼,以及對應至 AWS 上的帳戶識別碼。 |
| DstDvcScope | 選擇性 | String | 裝置所屬的雲端平臺範圍。 DstDvcScope 對應至 Azure 上的訂用帳戶識別碼,以及 AWS 上的帳戶識別碼。 |
| DstDvcIdType | 條件 | 枚舉 | DstDvcId 的類型 。 如需允許的值清單和進一步資訊,請參閱 架構概觀一文 中的 DvcIdType 。 如果使用 DstDeviceId ,則為必要專案。 |
| DstDeviceType | 選擇性 | 枚舉 | 目的地裝置的類型。 如需允許的值清單和進一步資訊,請參閱 架構概觀一文 中的 DeviceType 。 |
| DstZone | 選擇性 | String | 目的地的網路區域,如報告裝置所定義。 範例: Dmz |
| DstInterfaceName | 選擇性 | String | 目的地裝置用於連線或會話的網路介面。 範例: Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | 選擇性 | String | 目的地裝置上使用之網路介面的 GUID。 範例: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | 選擇性 | String | 目的地裝置用於連線或會話之網路介面的 MAC 位址。 範例: 06:10:9f:eb:8f:14 |
| DstVlanId | 選擇性 | String | 與目的地裝置相關的 VLAN 識別碼。 範例: 130 |
| OuterVlanId | 選擇性 | Alias | DstVlanId 的 別名。 在許多情況下,VLAN 無法判斷為來源或目的地,但特性為內部或外部。 這個別名表示 當 VLAN 特徵為外部時,應該使用 DstVlanId 。 |
| DstSubscriptionId | 選擇性 | String | 目的地裝置所屬的雲端平臺訂用帳戶識別碼。 DstSubscriptionId 會對應至 Azure 上的訂用帳戶識別碼,以及 AWS 上的帳戶識別碼。 |
| DstGeoCountry | 選擇性 | 國家/地區 | 與目的地 IP 位址相關聯的國家/地區。 如需詳細資訊,請參閱 邏輯類型 。 範例: USA |
| DstGeoRegion | 選擇性 | 區域 | 與目的地 IP 位址相關聯的區域或狀態。 如需詳細資訊,請參閱 邏輯類型 。 範例: Vermont |
| DstGeoCity | 選擇性 | 城市 | 與目的地 IP 位址相關聯的城市。 如需詳細資訊,請參閱 邏輯類型 。 範例: Burlington |
| DstGeoLatitude | 選擇性 | 緯度 | 與目的地 IP 位址相關聯的地理座標緯度。 如需詳細資訊,請參閱 邏輯類型 。 範例: 44.475833 |
| DstGeoLongitude | 選擇性 | 經度 | 與目的地 IP 位址相關聯的地理座標經度。 如需詳細資訊,請參閱 邏輯類型 。 範例: 73.211944 |
目的地使用者欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| DstUserId | 選擇性 | String | 電腦可讀取、英數位元、目的地使用者的唯一標記法。 如需不同識別碼類型支援的格式,請參閱 User 實體 。 範例: S-1-12 |
| DstUserScope | 選擇性 | String | 定義 DstUserId 和 DstUsername 的 Microsoft Entra 租使用者 等範圍。 或詳細資訊和允許的值清單,請參閱 架構概觀一文 中的 UserScope 。 |
| DstUserScopeId | 選擇性 | String | 定義 DstUserId 和 DstUsername 的範圍識別碼, 例如 Microsoft Entra Directory 識別碼。 如需允許值的詳細資訊和清單,請參閱 架構概觀一文 中的 UserScopeId 。 |
| DstUserIdType | 條件 | UserIdType | 儲存在 DstUserId 欄位中的識別碼類型。 如需允許值和進一步資訊的清單,請參閱 架構概觀一文 中的 UserIdType 。 |
| DstUsername | 選擇性 | String | 目的地使用者名稱,包括可用時的網域資訊。 如需不同識別碼類型支援的格式,請參閱 User 實體 。 只有在網域資訊無法使用時,才使用簡單表單。 將 [使用者名稱類型] 儲存在 [DstUsernameType ] 欄位中。 如果有其他使用者名稱格式可供使用,請將它們儲存在 欄位中 DstUsername<UsernameType> 。範例: AlbertE |
| 使用者 | Alias | DstUsername 的別名。 | |
| DstUsernameType | 條件 | UsernameType | 指定儲存在 DstUsername 欄位中的使用者名稱 類型。 如需允許的值清單和進一步資訊,請參閱 架構概觀一文 中的 UsernameType 。 範例: Windows |
| DstUserType | 選擇性 | UserType | 目的地使用者的類型。 如需允許的值清單和進一步資訊,請參閱 架構概觀一文 中的 UserType 。 注意 :來源記錄中可能會使用不同的詞彙來提供此值,這應該會正規化為這些值。 將原始值儲存在 DstOriginalUserType 欄位中。 |
| DstOriginalUserType | 選擇性 | String | 來源所提供的原始目的地使用者類型。 |
目的地應用程式欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| DstAppName | 選擇性 | String | 目的地應用程式的名稱。 範例: Facebook |
| DstAppId | 選擇性 | String | 目的地應用程式的識別碼,如報告裝置所報告。如果 DstAppType 為 Process , DstAppId 且 DstProcessId 應該具有相同的值。範例: 124 |
| DstAppType | 選擇性 | AppType | 目的地應用程式的型別。 如需允許的值清單和進一步資訊,請參閱 架構概觀一文 中的 AppType 。 如果使用 DstAppName 或 DstAppId ,則此欄位是必要的。 |
| DstProcessName | 選擇性 | String | 終止網路會話之進程的檔案名。 此名稱通常被視為進程名稱。 範例: C:\Windows\explorer.exe |
| 處理 | Alias | DstProcessName 的 別名 範例: C:\Windows\System32\rundll32.exe |
|
| DstProcessId | 選擇性 | String | 終止網路會話之進程的進程識別碼 (PID)。 範例: 48610176 注意 :類型定義為 支援不同系統的字串 ,但在 Windows 和 Linux 上,此值必須是數值。 如果您使用 Windows 或 Linux 電腦並使用不同的類型,請務必轉換值。 例如,如果您使用十六進位值,請將它轉換成十進位值。 |
| DstProcessGuid | 選擇性 | String | 終止網路會話之進程所產生的唯一識別碼 (GUID)。 範例: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
來源系統欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| Src | Alias | 來源裝置的唯一識別碼。 此欄位可能會將 SrcDvcId 、 SrcHostname 或 SrcIpAddr 欄位別名。 範例: 192.168.12.1 |
|
| SrcIpAddr | 建議需求 | IP 位址 | 連線或會話的來源 IP 位址。 如果 指定 SrcHostname ,這個值是必要的。 如果會話使用網路位址轉譯, SrcIpAddr 則為公開可見的位址,而不是儲存在 SrcNatIpAddr 中來源的原始位址範例: 77.138.103.108 |
| SrcPortNumber | 選擇性 | 整數 | 連線的來源 IP 埠。 可能與組成多個連線的會話無關。 範例: 2335 |
| SrcHostname | 建議需求 | 主機名稱 | 來源裝置主機名稱,不包括網域資訊。 如果沒有可用的裝置名稱,請將相關的 IP 位址儲存在此欄位中。 範例: DESKTOP-1282V4D |
| SrcDomain | 建議需求 | String | 來源裝置的網域。 範例: Contoso |
| SrcDomainType | 條件 | DomainType | SrcDomain 的類型 。 如需允許的值清單和進一步資訊,請參閱 架構概觀一文 中的 DomainType 。 如果使用 SrcDomain ,則為必要項。 |
| SrcFQDN | 選擇性 | String | 來源裝置主機名稱,包括可用時的網域資訊。 注意 :此欄位同時支援傳統的 FQDN 格式和 Windows 網域\主機名稱格式。 SrcDomainType 欄位會反映所使用的格式。 範例: Contoso\DESKTOP-1282V4D |
| SrcDvcId | 選擇性 | String | 來源裝置的識別碼。 如果有多個識別符可用,請使用最重要的識別碼,並將其他識別碼儲存在 欄位中 SrcDvc<DvcIdType> 。範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 選擇性 | String | 裝置所屬的雲端平臺範圍識別碼。 SrcDvcScopeId 會對應至 Azure 上的訂用帳戶識別碼,以及對應至 AWS 上的帳戶識別碼。 |
| SrcDvcScope | 選擇性 | String | 裝置所屬的雲端平臺範圍。 SrcDvcScope 對應至 Azure 上的訂用帳戶識別碼,以及 AWS 上的帳戶識別碼。 |
| SrcDvcIdType | 條件 | DvcIdType | SrcDvcId 的類型 。 如需允許的值清單和進一步資訊,請參閱 架構概觀一文 中的 DvcIdType 。 注意 :如果使用 SrcDvcId ,則需要此欄位。 |
| SrcDeviceType | 選擇性 | DeviceType | 來源裝置的類型。 如需允許的值清單和進一步資訊,請參閱 架構概觀一文 中的 DeviceType 。 |
| SrcZone | 選擇性 | String | 來源的網路區域,如報告裝置所定義。 範例: Internet |
| SrcInterfaceName | 選擇性 | String | 來源裝置用於連線或會話的網路介面。 範例: eth01 |
| SrcInterfaceGuid | 選擇性 | String | 來源裝置上使用之網路介面的 GUID。 範例: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | 選擇性 | String | 連線或會話來源之網路介面的 MAC 位址。 範例: 06:10:9f:eb:8f:14 |
| SrcVlanId | 選擇性 | String | 與來源裝置相關的 VLAN 識別碼。 範例: 130 |
| InnerVlanId | 選擇性 | Alias | SrcVlanId 的 別名。 在許多情況下,VLAN 無法判斷為來源或目的地,但特性為內部或外部。 這個別名表示 當 VLAN 特性為內部時,應該使用 SrcVlanId 。 |
| SrcSubscriptionId | 選擇性 | String | 來源裝置所屬的雲端平臺訂用帳戶識別碼。 SrcSubscriptionId 會對應至 Azure 上的訂用帳戶識別碼,以及對應至 AWS 上的帳戶識別碼。 |
| SrcGeoCountry | 選擇性 | 國家/地區 | 與來源 IP 位址相關聯的國家/地區。 範例: USA |
| SrcGeoRegion | 選擇性 | 區域 | 與來源 IP 位址相關聯的區域。 範例: Vermont |
| SrcGeoCity | 選擇性 | 城市 | 與來源 IP 位址相關聯的城市。 範例: Burlington |
| SrcGeoLatitude | 選擇性 | 緯度 | 與來源 IP 位址相關聯的地理座標緯度。 範例: 44.475833 |
| SrcGeoLongitude | 選擇性 | 經度 | 與來源 IP 位址相關聯的地理座標經度。 範例: 73.211944 |
來源使用者欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| SrcUserId | 選擇性 | String | 電腦可讀取、英數位元、來源使用者的唯一標記法。 如需不同識別碼類型支援的格式,請參閱 User 實體 。 範例: S-1-12 |
| SrcUserScope | 選擇性 | String | 定義 SrcUserId 和 SrcUsername 的 Microsoft Entra 租使用者 等範圍。 或詳細資訊和允許的值清單,請參閱 架構概觀一文 中的 UserScope 。 |
| SrcUserScopeId | 選擇性 | String | 定義 SrcUserId 和 SrcUsername 的範圍識別碼, 例如 Microsoft Entra Directory 識別碼。 如需允許值的詳細資訊和清單,請參閱 架構概觀一文 中的 UserScopeId 。 |
| SrcUserIdType | 條件 | UserIdType | 儲存在 SrcUserId 欄位中的識別碼類型。 如需允許值和進一步資訊的清單,請參閱 架構概觀一文 中的 UserIdType 。 |
| SrcUsername | 選擇性 | String | 來源使用者名稱,包括可用時的網域資訊。 如需不同識別碼類型支援的格式,請參閱 User 實體 。 只有在網域資訊無法使用時,才使用簡單表單。 將 [使用者名稱類型] 儲存在 [SrcUsernameType ] 欄位中。 如果有其他使用者名稱格式可供使用,請將它們儲存在 欄位中 SrcUsername<UsernameType> 。範例: AlbertE |
| SrcUsernameType | 條件 | UsernameType | 指定儲存在 SrcUsername 欄位中的使用者名稱 類型。 如需允許的值清單和進一步資訊,請參閱 架構概觀一文 中的 UsernameType 。 範例: Windows |
| SrcUserType | 選擇性 | UserType | 來源使用者的類型。 如需允許的值清單和進一步資訊,請參閱 架構概觀一文 中的 UserType 。 注意 :來源記錄中可能會使用不同的詞彙來提供此值,這應該會正規化為這些值。 將原始值儲存在 SrcOriginalUserType 欄位中。 |
| SrcOriginalUserType | 選擇性 | String | 如果報告裝置提供,則為原始目的地使用者類型。 |
來源應用程式欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| SrcAppName | 選擇性 | String | 來源應用程式的名稱。 範例: filezilla.exe |
| SrcAppId | 選擇性 | String | 來源應用程式的識別碼,如報告裝置所報告。 如果 SrcAppType 為 Process , SrcAppId 且 SrcProcessId 應該具有相同的值。範例: 124 |
| SrcAppType | 選擇性 | AppType | 來源應用程式的型別。 如需允許的值清單和進一步資訊,請參閱 架構概觀一文 中的 AppType 。 如果使用 SrcAppName 或 SrcAppId ,則此欄位為必要欄位。 |
| SrcProcessName | 選擇性 | String | 起始網路會話之進程的檔案名。 此名稱通常被視為進程名稱。 範例: C:\Windows\explorer.exe |
| SrcProcessId | 選擇性 | String | 起始網路會話之進程的進程識別碼 (PID)。 範例: 48610176 注意 :類型定義為 支援不同系統的字串 ,但在 Windows 和 Linux 上,此值必須是數值。 如果您使用 Windows 或 Linux 電腦並使用不同的類型,請務必轉換值。 例如,如果您使用十六進位值,請將它轉換成十進位值。 |
| SrcProcessGuid | 選擇性 | String | 起始網路會話之進程的產生唯一識別碼 (GUID)。 範例: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
本機和遠端別名
以上所列的所有來源和目的地欄位,都可以由具有相同名稱和描述元 Local 和 的 Remote 欄位選擇性別名。 這通常有助於端點所報告的事件,且事件種類為 EndpointNetworkSession 。
對於這類事件,描述項 Local 和 Remote 分別表示端點本身和網路會話另一端的裝置。 針對輸入連線,本機系統是目的地、 Local 欄位是欄位的別名 Dst ,而 'Remote' 欄位則是欄位的 Src 別名。 相反地,對於輸出連線,本機系統是來源、 Local 欄位是欄位的別名 Src ,而 Remote 欄位則是欄位的 Dst 別名。
例如,針對輸入事件,欄位 LocalIpAddr 是 的 DstIpAddr 別名,而 欄位 RemoteIpAddr 是 的 SrcIpAddr 別名。
主機名稱和 IP 位址別名
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 主機 名 | Alias | - 如果事件種類為 NetworkSession 、 Flow 或 L2NetworkSession ,Hostname 是 DstHostname 的 別名。- 如果事件種類為 EndpointNetworkSession ,Hostname 是 的 RemoteHostname 別名,視 NetworkDirection 而定 ,可能會將 DstHostname 或 SrcHostName 別名別名 |
|
| IpAddr | Alias | - 如果事件種類為 NetworkSession 、 Flow 或 L2NetworkSession ,IpAddr 是 SrcIpAddr 的 別名。- 如果事件種類為 EndpointNetworkSession ,IpAddr 是 的 LocalIpAddr 別名,視 NetworkDirection 而定 ,它可以將 SrcIpAddr 或 DstIpAddr 別名 化 。 |
中繼裝置和網路位址轉譯 (NAT) 欄位
如果記錄包含中繼裝置的相關資訊,例如防火牆或 Proxy,轉播網路會話,下欄欄位會很有用。
中繼系統通常會使用位址轉譯,因此在外部觀察到的原始位址和位址並不相同。 在這種情況下,SrcIPAddr 和 DstIpAddr 等 主要位址欄位代表外部觀察到的位址,而 NAT 位址欄位、 SrcNatIpAddr 和 DstNatIpAddr 則代表原始裝置的內部位址,然後再 翻譯。
檢查欄位
下欄欄位可用來表示執行防火牆、IPS 或 Web 安全性閘道等安全性裝置的檢查:
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| NetworkRuleName | 選擇性 | String | 決定 DvcAction 規則 的名稱或識別碼。 範例: AnyAnyDrop |
| NetworkRuleNumber | 選擇性 | 整數 | DvcAction 決定的規則 數目。 範例: 23 |
| 規則 | Alias | String | NetworkRuleName 的值 或 NetworkRuleNumber 的值 。 如果使用 NetworkRuleNumber 的值 ,則類型應該轉換成字串。 |
| ThreatId | 選擇性 | String | 網路會話中識別的威脅或惡意程式碼識別碼。 範例: Tr.124 |
| ThreatName | 選擇性 | String | 網路會話中識別的威脅或惡意程式碼名稱。 範例: EICAR Test File |
| ThreatCategory | 選擇性 | String | 網路會話中識別的威脅或惡意程式碼類別。 範例: Trojan |
| ThreatRiskLevel | 選擇性 | 整數 | 與會話相關聯的風險層級。 層級應該是介於 0 到 100 之間的 數位。 注意 :來源記錄中可能會使用不同的小數位數來提供此值,而這個小數位數應該正規化為這個小數位數。 原始值應該儲存在 ThreatRiskLevelOriginal 中。 |
| ThreatOriginalRiskLevel | 選擇性 | String | 報告裝置所報告的風險層級。 |
| ThreatIpAddr | 選擇性 | IP 位址 | 識別威脅的 IP 位址。 Field ThreatField 包含 ThreatIpAddr 欄位的名稱 。 |
| ThreatField | 條件 | 枚舉 | 識別威脅的欄位。 值為 SrcIpAddr 或 DstIpAddr 。 |
| ThreatConfidence | 選擇性 | 整數 | 識別的威脅信賴等級,標準化為介於 0 到 100 之間的值。 |
| ThreatOriginalConfidence | 選擇性 | String | 所識別威脅的原始信賴等級,如報告裝置所報告。 |
| ThreatIsActive | 選擇性 | 布林值 | 如果識別的威脅被視為作用中威脅,則為 True。 |
| ThreatFirstReportedTime | 選擇性 | Datetime | 第一次將 IP 位址或網域識別為威脅。 |
| ThreatLastReportedTime | 選擇性 | Datetime | 上次將 IP 位址或網域識別為威脅的時間。 |
其他欄位
如果事件是由網路會話的其中一個端點所報告,它可能包含起始或終止會話之進程的相關資訊。 在這種情況下, ASIM 進程事件架構 是用來正規化這項資訊。
架構更新
以下是架構 0.2.1 版的變更:
- 將
Src和Dst新增為來源和目的地系統前置識別碼的別名。 - 已新增 、
SrcVlanId、DstVlanId、InnerVlanId和OuterVlanId欄位NetworkConnectionHistory。
以下是架構 0.2.2 版的變更:
- 已新增
Remote和Local別名。 - 已新增事件種類
EndpointNetworkSession。 - 當
Hostname事件種類為EndpointNetworkSession時,分別定義為 和IpAddrLocalIpAddr的RemoteHostname別名。 - 定義為
DvcInterface或DvcOutboundInterface的DvcInboundInterface別名。 - 將下欄欄位的類型從 Integer 變更為 Long:
SrcBytes、、DstBytes、NetworkBytesSrcPackets、DstPackets、 和NetworkPackets。 - 已新增 、 和
DstSubscriptionId欄位NetworkProtocolVersionSrcSubscriptionId。 - 已被
DstUserDomain取代和SrcUserDomain。
以下是架構 0.2.3 版的變更:
ipaddr_has_any_prefix已新增篩選參數。- 篩選
hostname_has_any參數現在符合來源或目的地主機名稱。 - 已新增欄位
ASimMatchingHostname和ASimMatchingIpAddr。
以下是架構 0.2.4 版的變更:
- 已新增
TcpFlags欄位。 - 已更新
NetworkIcpmType和NetworkIcmpCode以反映兩者的數位值。 - 已新增其他檢查欄位。
- 欄位 'ThreatRiskLevelOriginal' 已重新命名為
ThreatOriginalRiskLevel,以符合 ASIM 慣例。 現有的 Microsoft 剖析器將持續到ThreatRiskLevelOriginal2023 年 5 月 1 日。 - 標示
EventResultDetails為建議,並指定允許的值。
以下是架構 0.2.5 版的變更:
- 已新增
DstUserScope欄位 、SrcUserScope、、SrcDvcScopeId、DstDvcScopeIdSrcDvcScope、DstDvcScope、、DvcScopeId和DvcScope。
以下是架構 0.2.6 版的變更:
- 已將 IDS 新增為事件種類
下一步
如需詳細資訊,請參閱