Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Microsoft Sentinel Schema zur Normalisierung von Netzwerksitzungen stellt eine IP-Netzwerkaktivität dar, z. B. Netzwerkverbindungen und Netzwerksitzungen. Solche Ereignisse werden beispielsweise von Betriebssystemen, Routern, Firewalls und Intrusion Prevention-Systemen gemeldet.
Das Netzwerknormalisierungsschema kann jeden Typ einer IP-Netzwerksitzung darstellen, ist jedoch so konzipiert, dass es allgemeine Quelltypen wie Netflow, Firewalls und Angriffsschutzsysteme unterstützt.
Weitere Informationen zur Normalisierung in Microsoft Sentinel finden Sie unter Normalization and the Advanced Security Information Model (ASIM).
Parser
Weitere Informationen zu ASIM-Parsern finden Sie in der Übersicht über ASIM-Parser.
Vereinheitlichende Parser
Verwenden Sie den _Im_NetworkSession Parser, um Parser zu verwenden, die alle standardmäßigen ASIM-Parser vereinheitlichen und sicherstellen möchten, dass Ihre Analyse in allen konfigurierten Quellen ausgeführt wird.
Sofort einsatzbereite, quellspezifische Parser
Die Liste der Netzwerksitzungsparser, die Microsoft Sentinel sofort verfügbar sind, finden Sie in der Liste der ASIM-Parser.
Hinzufügen eigener normalisierter Parser
Wenn Sie benutzerdefinierte Parser für das Netzwerksitzungsinformationsmodell entwickeln, benennen Sie Ihre KQL-Funktionen mit der folgenden Syntax:
-
vimNetworkSession<vendor><Product>für parametrisierte Parser -
ASimNetworkSession<vendor><Product>für reguläre Parser
Lesen Sie den Artikel Verwalten von ASIM-Parsern , um zu erfahren, wie Sie Ihre benutzerdefinierten Parser zu den vereinheitlichenden Parsern der Netzwerksitzung hinzufügen.
Filtern von Parserparametern
Die Netzwerksitzungsparser unterstützen das Filtern von Parametern. Diese Parameter sind zwar optional, können aber die Abfrageleistung verbessern.
Die folgenden Filterparameter sind verfügbar:
| Name | Typ | Beschreibung |
|---|---|---|
| starttime | Datum/Uhrzeit | Filtern Sie nur Netzwerksitzungen, die zu oder nach diesem Zeitpunkt gestartet wurden . Dieser Parameter filtert nach dem TimeGenerated Feld, das der Standardbezeichner für den Zeitpunkt des Ereignisses ist, unabhängig von der parserspezifischen Zuordnung der Felder EventStartTime und EventEndTime. |
| endtime | Datum/Uhrzeit | Filtern Sie nur Netzwerksitzungen, die zu oder vor diesem Zeitpunkt ausgeführt wurden . Dieser Parameter filtert nach dem TimeGenerated Feld, das der Standardbezeichner für den Zeitpunkt des Ereignisses ist, unabhängig von der parserspezifischen Zuordnung der Felder EventStartTime und EventEndTime. |
| srcipaddr_has_any_prefix | Dynamische | Filtern Sie nur Netzwerksitzungen, für die sich das Quell-IP-Adressfeldpräfix in einem der aufgeführten Werte befindet. Präfixe sollten mit einem .enden, z. B. . 10.0. Die Länge der Liste ist auf 10.000 Elemente beschränkt. |
| dstipaddr_has_any_prefix | Dynamische | Filtern Sie nur Netzwerksitzungen, für die sich das Präfix des Ziel-IP-Adressfelds in einem der aufgeführten Werte befindet. Präfixe sollten mit einem .enden, z. B. . 10.0. Die Länge der Liste ist auf 10.000 Elemente beschränkt. |
| ipaddr_has_any_prefix | Dynamische | Filtern Sie nur Netzwerksitzungen, für die sich das Ziel-IP-Adressfeld oder das Quell-IP-Adressfeldpräfix in einem der aufgeführten Werte befindet. Präfixe sollten mit einem .enden, z. B. . 10.0. Die Länge der Liste ist auf 10.000 Elemente beschränkt.Das Feld ASimMatchingIpAddr wird mit einem der Werte SrcIpAddr, DstIpAddroder Both festgelegt, um die übereinstimmenden Felder oder Felder widerzuspiegeln. |
| dstportnumber | Int | Filtern Sie nur Netzwerksitzungen mit der angegebenen Zielportnummer. |
| hostname_has_any | dynamic/string | Filtern Sie nur Netzwerksitzungen, für die das Feld "Zielhostname " einen der aufgeführten Werte enthält. Die Länge der Liste ist auf 10.000 Elemente beschränkt. Das Feld ASimMatchingHostname wird mit einem der Werte SrcHostname, DstHostnameoder Both festgelegt, um die übereinstimmenden Felder oder Felder widerzuspiegeln. |
| dvcaction | dynamic/string | Filtern Sie nur Netzwerksitzungen, für die das Feld Geräteaktion einen der aufgeführten Werte enthält. |
| eventresult | Zeichenfolge | Filtern Sie nur Netzwerksitzungen mit einem bestimmten EventResult-Wert . |
Einige Parameter können sowohl eine Liste von Werten vom Typ dynamic als auch einen einzelnen Zeichenfolgenwert akzeptieren. Um eine Literalliste an Parameter zu übergeben, die einen dynamischen Wert erwarten, verwenden Sie explizit ein dynamisches Literal. Beispiel: dynamic(['192.168.','10.'])
Um beispielsweise nur Netzwerksitzungen nach einer angegebenen Liste von Domänennamen zu filtern, verwenden Sie Folgendes:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
Tipp
Um eine Literalliste an Parameter zu übergeben, die einen dynamischen Wert erwarten, verwenden Sie explizit ein dynamisches Literal. Beispiel: dynamic(['192.168.','10.']).
Normalisierter Inhalt
Eine vollständige Liste der Analyseregeln, die normalisierte DNS-Ereignisse verwenden, finden Sie unter Netzwerksitzungssicherheitsinhalte.
Schemaübersicht
Das Netzwerksitzungsinformationsmodell ist am OSSEM-Netzwerkentitätsschema ausgerichtet.
Das Netzwerksitzungsschema bietet verschiedene Arten ähnlicher, aber unterschiedlicher Szenarien, die dieselben Felder verwenden. Diese Szenarien werden durch das Feld EventType identifiziert:
-
NetworkSession– Eine Netzwerksitzung, die von einem Zwischengerät gemeldet wird, das das Netzwerk überwacht, z. B. eine Firewall, einen Router oder ein Netzwerkabzweig. -
L2NetworkSession– Eine Netzwerksitzung, für die nur Layer-2-Informationen verfügbar sind. Solche Ereignisse umfassen MAC-Adressen, aber keine IP-Adressen. -
Flow: Ein aggregiertes Ereignis, das mehrere ähnliche Netzwerksitzungen meldet, in der Regel über einen vordefinierten Zeitraum, z. B. Netflow-Ereignisse . -
EndpointNetworkSession– eine Netzwerksitzung, die von einem der Endpunkte der Sitzung gemeldet wird, einschließlich Clients und Servern. Für solche Ereignisse unterstützt das Schema dieremoteAliasfelder undlocal. -
IDS– eine Netzwerksitzung, die als verdächtig gemeldet wird. Bei einem solchen Ereignis werden einige der Inspektionsfelder aufgefüllt, und möglicherweise wird nur ein IP-Adressfeld aufgefüllt, entweder die Quelle oder das Ziel.
In der Regel sollte eine Abfrage entweder nur eine Teilmenge dieser Ereignistypen auswählen und muss möglicherweise separat eindeutige Aspekte der Anwendungsfälle behandeln. IDS-Ereignisse spiegeln beispielsweise nicht das gesamte Netzwerkvolume wider und sollten bei der spaltenbasierten Analyse nicht berücksichtigt werden.
Netzwerksitzungsereignisse verwenden die Deskriptoren Src und Dst , um die Rollen der Geräte und der zugehörigen Benutzer und Anwendungen anzugeben, die an der Sitzung beteiligt sind. So werden beispielsweise der Hostname und die IP-Adresse des Quellgeräts und benannt SrcHostnameSrcIpAddr. Andere ASIM-Schemas verwenden Target in der Regel anstelle von Dst.
Bei Ereignissen, die von einem Endpunkt gemeldet werden und für die der Ereignistyp ist EndpointNetworkSession, bezeichnen die Deskriptoren Local und Remote den Endpunkt selbst bzw. das Gerät am anderen Ende der Netzwerksitzung.
Der Deskriptor Dvc wird für das meldende Gerät verwendet, bei dem es sich um das lokale System für von einem Endpunkt gemeldete Sitzungen handelt, und für andere Netzwerksitzungsereignisse das zwischengeschaltete Gerät oder das Netzwerk tippen.
Schemadetails
Allgemeine ASIM-Felder
Wichtig
Felder, die allen Schemas gemeinsam sind, werden im Artikel Allgemeine Felder für ASIM ausführlich beschrieben.
Allgemeine Felder mit bestimmten Richtlinien
In der folgenden Liste sind Felder aufgeführt, die bestimmte Richtlinien für Netzwerksitzungsereignisse aufweisen:
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| EventCount | Erforderlich | Integer | Netflow-Quellen unterstützen aggregation, und das Feld EventCount sollte auf den Wert des Netflow FLOWS-Felds festgelegt werden. Bei anderen Quellen wird der Wert in der Regel auf 1festgelegt. |
| Eventtype | Erforderlich | Aufgelistet | Beschreibt das vom Datensatz gemeldete Szenario. Für Netzwerksitzungsdatensätze sind folgende Werte zulässig: - EndpointNetworkSession- NetworkSession - L2NetworkSession- IDS - FlowWeitere Informationen zu Ereignistypen finden Sie in der Schemaübersicht. |
| EventSubType | Optional | Aufgelistet | Zusätzliche Beschreibung des Ereignistyps, falls zutreffend. Für Netzwerksitzungsdatensätze werden folgende Werte unterstützt: - Start- EndDieses Feld ist für Flow Ereignisse nicht relevant. |
| EventResult | Erforderlich | Aufgelistet | Wenn das Quellgerät kein Ereignisergebnis bereitstellt, sollte EventResult auf dem Wert von DvcAction basieren. Wenn DvcAction , Drop, Drop ICMP, ResetReset Source, oder ist DenyReset Destination, sollte EventResult sein Failure. Andernfalls sollte EventResult sein Success. |
| EventResultDetails | Empfohlen | Aufgelistet | Grund oder Details für das im Feld EventResult gemeldete Ergebnis. Unterstützte Werte: -Failover – Ungültiger TCP-Wert – Ungültiger Tunnel – Maximaler Wiederholungsversuch -Zurücksetzen - Routingproblem -Simulation -Beendet -Timeout – Vorübergehender Fehler - Unbekannt -NA. Der ursprüngliche, quellspezifische Wert wird im Feld EventOriginalResultDetails gespeichert. |
| EventSchema | Erforderlich | Aufgelistet | Der Name des hier dokumentierten Schemas lautet NetworkSession. |
| EventSchemaVersion | Erforderlich | SchemaVersion (Zeichenfolge) | Die Version des Schemas. Die hier dokumentierte Version des Schemas ist 0.2.7. |
| DvcAction | Empfohlen | Aufgelistet | Die Aktion, die für die Netzwerksitzung ausgeführt wird. Unterstützte Werte: - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNrouteHinweis: Der Wert kann im Quelldatensatz mit unterschiedlichen Begriffen bereitgestellt werden, die auf diese Werte normalisiert werden sollten. Der ursprüngliche Wert sollte im Feld DvcOriginalAction gespeichert werden. Beispiel: drop |
| EventSeverity | Optional | Aufgelistet | Wenn das Quellgerät keinen Ereignisschweregrad bereitstellt, sollte EventSeverity auf dem Wert von DvcAction basieren. Wenn DvcAction , Drop, Drop ICMP, ResetReset Source, oder ist DenyReset Destination, Sollte EventSeverity sein Low. Andernfalls sollte EventSeverity sein Informational. |
| DvcInterface | Das Feld DvcInterface sollte entweder als Alias für die Felder DvcInboundInterface oder DvcOutboundInterface verwendet werden. | ||
| Dvc-Felder | Bei Netzwerksitzungsereignissen beziehen sich Gerätefelder auf das System, das das Netzwerksitzungsereignis meldet. |
Alle gemeinsamen Felder
Felder, die in der folgenden Tabelle angezeigt werden, sind für alle ASIM-Schemas gemeinsam. Jede oben angegebene Richtlinie setzt die allgemeinen Richtlinien für das Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel ALLGEMEINE ASIM-Felder .
| Class | Fields |
|---|---|
| Erforderlich |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Empfohlen |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optional |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Netzwerksitzungsfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| NetworkApplicationProtocol | Optional | Zeichenfolge | Das von der Verbindung oder Sitzung verwendete Anwendungsschichtprotokoll. Der Wert sollte in Großbuchstaben enthalten sein. Beispiel: FTP |
| NetworkProtocol | Optional | Aufgelistet | Das IP-Protokoll, das von der Verbindung oder Sitzung verwendet wird, wie in der IANA-Protokollzuweisung aufgeführt, die in der Regel TCP, UDPoder ICMPist.Beispiel: TCP |
| NetworkProtocolVersion | Optional | Aufgelistet | Die Version von NetworkProtocol. Wenn Sie es verwenden, um zwischen DER IP-Version zu unterscheiden, verwenden Sie die Werte IPv4 und IPv6. |
| NetworkDirection | Optional | Aufgelistet | Die Richtung der Verbindung oder Sitzung: – Für EventType NetworkSessionFlow oder L2NetworkSessionstellt NetworkDirection die Richtung relativ zur organization- oder Cloudumgebungsgrenze dar. Unterstützte Werte sind Inbound, Outbound, Local (zum organization), External (zum organization) oder NA (Nicht zutreffend).– Für eventType EndpointNetworkSession stellt NetworkDirection die Richtung relativ zum Endpunkt dar. Unterstützte Werte sind Inbound, Outbound, Local (für das System) Listen oder NA (Nicht anwendbar). Der Listen Wert gibt an, dass ein Gerät begonnen hat, Netzwerkverbindungen zu akzeptieren, aber nicht unbedingt verbunden ist. |
| NetworkDuration | Optional | Integer | Die Zeitspanne in Millisekunden für den Abschluss der Netzwerksitzung oder -verbindung. Beispiel: 1500 |
| Duration | Alias | Alias für NetworkDuration. | |
| NetworkIcmpType | Optional | Zeichenfolge | Für eine ICMP-Nachricht der ICMP-Typname, der dem numerischen Wert zugeordnet ist, wie in RFC 2780 für IPv4-Netzwerkverbindungen oder in RFC 4443 für IPv6-Netzwerkverbindungen beschrieben. Beispiel: Destination Unreachable für NetworkIcmpCode 3 |
| NetworkIcmpCode | Optional | Integer | Bei einer ICMP-Nachricht die ICMP-Codenummer, wie in RFC 2780 für IPv4-Netzwerkverbindungen oder in RFC 4443 für IPv6-Netzwerkverbindungen beschrieben. |
| NetworkConnectionHistory | Optional | Zeichenfolge | TCP-Flags und andere potenzielle IP-Headerinformationen. |
| DstBytes | Empfohlen | Long | Die Anzahl der Bytes, die vom Ziel an die Quelle für die Verbindung oder Sitzung gesendet werden. Wenn das Ereignis aggregiert ist, sollte DstBytes die Summe aller aggregierten Sitzungen sein. Beispiel: 32455 |
| SrcBytes | Empfohlen | Long | Die Anzahl der Bytes, die von der Quelle an das Ziel für die Verbindung oder Sitzung gesendet werden. Wenn das Ereignis aggregiert ist, sollte SrcBytes die Summe aller aggregierten Sitzungen sein. Beispiel: 46536 |
| NetworkBytes | Optional | Long | Anzahl der in beide Richtungen gesendeten Bytes. Wenn bytesReceived und BytesSent vorhanden sind, sollte BytesTotal gleich ihrer Summe sein. Wenn das Ereignis aggregiert ist, sollte NetworkBytes die Summe aller aggregierten Sitzungen sein. Beispiel: 78991 |
| DstPackets | Optional | Long | Die Anzahl der Pakete, die vom Ziel an die Quelle für die Verbindung oder Sitzung gesendet werden. Die Bedeutung eines Pakets wird durch das meldende Gerät definiert. Wenn das Ereignis aggregiert wird, sollten DstPackets die Summe aller aggregierten Sitzungen sein. Beispiel: 446 |
| SrcPackets | Optional | Long | Die Anzahl der Pakete, die von der Quelle an das Ziel für die Verbindung oder Sitzung gesendet werden. Die Bedeutung eines Pakets wird durch das meldende Gerät definiert. Wenn das Ereignis aggregiert wird, sollte SrcPackets die Summe aller aggregierten Sitzungen sein. Beispiel: 6478 |
| NetworkPackets | Optional | Long | Die Anzahl der in beide Richtungen gesendeten Pakete. Wenn sowohl PacketsReceived als auch PacketsSent vorhanden sind, sollte PacketsTotal gleich ihrer Summe sein. Die Bedeutung eines Pakets wird durch das meldende Gerät definiert. Wenn das Ereignis aggregiert wird, sollten NetworkPackets die Summe aller aggregierten Sitzungen sein. Beispiel: 6924 |
| NetworkSessionId | Optional | string | Der Sitzungsbezeichner, der vom Melden des Geräts gemeldet wird. Beispiel: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| Sessionid | Alias | Zeichenfolge | Alias für NetworkSessionId. |
| TcpFlagsAck | Optional | Boolean | Das gemeldete TCP-ACK-Flag. Das Bestätigungsflag wird verwendet, um den erfolgreichen Empfang eines Pakets zu bestätigen. Wie wir aus dem obigen Diagramm sehen können, sendet der Empfänger im zweiten Schritt des Drei-Wege-Handshake-Prozesses einen ACK und ein SYN, um dem Absender mitzuteilen, dass er sein ursprüngliches Paket empfangen hat. |
| TcpFlagsFin | Optional | Boolean | Das gemeldete TCP FIN-Flag. Das fertige Flag bedeutet, dass keine Weiteren Daten vom Absender vorhanden sind. Daher wird es im letzten Paket verwendet, das vom Absender gesendet wurde. |
| TcpFlagsSyn | Optional | Boolean | Das gemeldete TCP-SYN-Flag. Das Synchronisierungsflag wird als erster Schritt beim Einrichten eines Drei-Wege-Handshakes zwischen zwei Hosts verwendet. Nur für das erste Paket von Absender und Empfänger sollte dieses Flag festgelegt sein. |
| TcpFlagsUrg | Optional | Boolean | Das gemeldete TCP-URG-Flag. Das flag urgent wird verwendet, um den Empfänger zu benachrichtigen, die dringenden Pakete zu verarbeiten, bevor alle anderen Pakete verarbeitet werden. Der Empfänger wird benachrichtigt, wenn alle bekannten dringenden Daten empfangen wurden. Weitere Informationen finden Sie unter RFC 6093 . |
| TcpFlagsPsh | Optional | Boolean | Das gemeldete TCP-PSH-Flag. Das Pushflag ähnelt dem URG-Flag und weist den Empfänger an, diese Pakete beim Empfang zu verarbeiten, anstatt sie zu puffern. |
| TcpFlagsRst | Optional | Boolean | Das gemeldete TCP RST-Flag. Das Zurücksetzungsflag wird vom Empfänger an den Absender gesendet, wenn ein Paket an einen bestimmten Host gesendet wird, der es nicht erwartet hat. |
| TcpFlagsEce | Optional | Boolean | Das gemeldete TCP ECE-Flag. Dieses Flag gibt an, ob der TCP-Peer ECN-fähig ist. Weitere Informationen finden Sie unter RFC 3168 . |
| TcpFlagsCwr | Optional | Boolean | Das gemeldete TCP-CWR-Flag. Das Flag zum Reduzieren des Überlastungsfensters wird vom sendenden Host verwendet, um anzugeben, dass er ein Paket mit festgelegtem ECE-Flag empfangen hat. Weitere Informationen finden Sie unter RFC 3168 . |
| TcpFlagsNs | Optional | Boolean | Das gemeldete TCP-NS-Flag. Das Nonce-Summenflag ist immer noch ein experimentelles Flag, das zum Schutz vor versehentlicher böswilliger Verschleierung von Paketen vor dem Absender verwendet wird. Weitere Informationen finden Sie unter RFC 3540 . |
Zielsystemfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Dst | Alias | Ein eindeutiger Bezeichner des Servers, der die DNS-Anforderung empfängt. Dieses Feld kann ein Alias für die Felder DstDvcId, DstHostname oder DstIpAddr sein. Beispiel: 192.168.12.1 |
|
| DstIpAddr | Empfohlen | IP-Adresse | Die IP-Adresse des Verbindungs- oder Sitzungsziels. Wenn die Sitzung die Netzwerkadressenübersetzung verwendet, DstIpAddr ist die öffentlich sichtbare Adresse und nicht die ursprüngliche Adresse der Quelle, die in DstNatIpAddr gespeichert ist.Beispiel: 2001:db8::ff00:42:8329Hinweis: Dieser Wert ist obligatorisch, wenn DstHostname angegeben ist. |
| DstPortNumber | Optional | Integer | Der IP-Zielport. Beispiel: 443 |
| DstHostname | Empfohlen | Hostname (Zeichenfolge) | Der Hostname des Zielgeräts ohne Domäneninformationen. Wenn kein Gerätename verfügbar ist, speichern Sie die relevante IP-Adresse in diesem Feld. Beispiel: DESKTOP-1282V4D |
| DstDomain | Empfohlen | Domäne (Zeichenfolge) | Die Domäne des Zielgeräts. Beispiel: Contoso |
| DstDomainType | Bedingte | Aufgelistet | Der Typ von DstDomain. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DomainType im Artikel Schemaübersicht. Erforderlich, wenn DstDomain verwendet wird. |
| DstFQDN | Optional | FQDN (Zeichenfolge) | Der Hostname des Zielgeräts, einschließlich Domäneninformationen, falls verfügbar. Beispiel: Contoso\DESKTOP-1282V4D Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format Domäne\Hostname. DstDomainType gibt das verwendete Format an. |
| DstDvcId | Optional | Zeichenfolge | Die ID des Zielgeräts. Wenn mehrere IDs verfügbar sind, verwenden Sie die wichtigste, und speichern Sie die anderen in den Feldern DstDvc<DvcIdType>. Beispiel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | Optional | Zeichenfolge | Die Bereichs-ID der Cloudplattform, zu der das Gerät gehört. DstDvcScopeId wird einer Abonnement-ID auf Azure und einer Konto-ID in AWS zugeordnet. |
| DstDvcScope | Optional | Zeichenfolge | Der Cloudplattformbereich, zu dem das Gerät gehört. DstDvcScope wird einer Abonnement-ID auf Azure und einer Konto-ID in AWS zugeordnet. |
| DstDvcIdType | Bedingte | Aufgelistet | Der Typ von DstDvcId. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType im Artikel Schemaübersicht. Erforderlich, wenn DstDeviceId verwendet wird. |
| DstDeviceType | Optional | Aufgelistet | Der Typ des Zielgeräts. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DeviceType im Artikel Schemaübersicht. |
| DstZone | Optional | Zeichenfolge | Die Netzwerkzone des Ziels, wie vom meldende Gerät definiert. Beispiel: Dmz |
| DstInterfaceName | Optional | Zeichenfolge | Die Netzwerkschnittstelle, die für die Verbindung oder Sitzung vom Zielgerät verwendet wird. Beispiel: Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | Optional | GUID (Zeichenfolge) | Die GUID der Netzwerkschnittstelle, die auf dem Zielgerät verwendet wird. Beispiel: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | Optional | MAC-Adresse (Zeichenfolge) | Die MAC-Adresse der Netzwerkschnittstelle, die für die Verbindung oder Sitzung des Zielgeräts verwendet wird. Beispiel: 06:10:9f:eb:8f:14 |
| DstVlanId | Optional | Zeichenfolge | Die VLAN-ID, die sich auf das Zielgerät bezieht. Beispiel: 130 |
| OuterVlanId | Alias | Alias für DstVlanId. In vielen Fällen kann das VLAN nicht als Quelle oder Ziel bestimmt werden, sondern ist als inner oder außen gekennzeichnet. Dieser Alias gibt an, dass DstVlanId verwendet werden soll, wenn das VLAN als äußerer Typ gekennzeichnet ist. |
|
| DstGeoCountry | Optional | Land | Das Land/die Region, das der Ziel-IP-Adresse zugeordnet ist. Weitere Informationen finden Sie unter Logische Typen. Beispiel: USA |
| DstGeoRegion | Optional | Region | Die Region oder der Status, die der Ziel-IP-Adresse zugeordnet ist. Weitere Informationen finden Sie unter Logische Typen. Beispiel: Vermont |
| DstGeoCity | Optional | Stadt/Ort | Der Ort, der der Ziel-IP-Adresse zugeordnet ist. Weitere Informationen finden Sie unter Logische Typen. Beispiel: Burlington |
| DstGeoLatitude | Optional | Breitengrad | Der Breitengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist. Weitere Informationen finden Sie unter Logische Typen. Beispiel: 44.475833 |
| DstGeoLongitude | Optional | Längengrad | Der Längengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist. Weitere Informationen finden Sie unter Logische Typen. Beispiel: 73.211944 |
| DstDescription | Optional | Zeichenfolge | Ein beschreibender Text, der dem Gerät zugeordnet ist. Beispiel: Primary Domain Controller. |
Zielbenutzerfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| DstUserId | Optional | Zeichenfolge | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Zielbenutzers. Das unterstützte Format für verschiedene ID-Typen finden Sie in der Entität Benutzer. Beispiel: S-1-12 |
| DstUserScope | Optional | Zeichenfolge | Der Bereich, z. B. Microsoft Entra Mandant, in dem DstUserId und DstUsername definiert sind. oder weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht. |
| DstUserScopeId | Optional | Zeichenfolge | Die Bereichs-ID, z. B. Microsoft Entra Verzeichnis-ID, in der DstUserId und DstUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht. |
| DstUserIdType | Bedingte | UserIdType | Der Typ der id, die im Feld DstUserId gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserIdType im Artikel Schemaübersicht. |
| DstBenutzername | Optional | Benutzername (Zeichenfolge) | Der Zielbenutzername, einschließlich Domäneninformationen, sofern verfügbar. Das unterstützte Format für verschiedene ID-Typen finden Sie in der Entität Benutzer. Verwenden Sie das einfache Formular nur, wenn keine Domäneninformationen verfügbar sind. Speichern Sie den Benutzernamentyp im Feld DstUsernameType . Wenn andere Benutzernamenformate verfügbar sind, speichern Sie diese in den Feldern DstUsername<UsernameType>.Beispiel: AlbertE |
| Benutzer | Alias | Alias für DstUsername. | |
| DstUsernameType | Bedingte | UsernameType | Gibt den Typ des Benutzernamens an, der im Feld DstUsername gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UsernameType im Artikel Schemaübersicht. Beispiel: Windows |
| DstUserType | Optional | UserType | Der Typ des Zielbenutzers. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserType im Artikel Schemaübersicht. Hinweis: Der Wert kann im Quelldatensatz mit unterschiedlichen Begriffen bereitgestellt werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld DstOriginalUserType . |
| DstOriginalUserType | Optional | Zeichenfolge | Der ursprüngliche Zielbenutzertyp, wenn er von der Quelle bereitgestellt wird. |
Zielanwendungsfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| DstAppName | Optional | Zeichenfolge | Der Name der Zielanwendung. Beispiel: Facebook |
| DstAppId | Optional | Zeichenfolge | Die ID der Zielanwendung, die vom Melden des Geräts gemeldet wird. Wenn DstAppType ist Processund DstAppIdDstProcessId den gleichen Wert aufweisen sollte.Beispiel: 124 |
| DstAppType | Optional | AppType | Der Typ der Zielanwendung. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter AppType im Artikel Schemaübersicht. Dieses Feld ist obligatorisch, wenn DstAppName oder DstAppId verwendet werden. |
| DstProcessName | Optional | Zeichenfolge | Der Dateiname des Prozesses, der die Netzwerksitzung beendet hat. Dieser Name wird in der Regel als Prozessname betrachtet. Beispiel: C:\Windows\explorer.exe |
| Prozess | Alias | Alias für DstProcessName Beispiel: C:\Windows\System32\rundll32.exe |
|
| DstProcessId | Optional | Zeichenfolge | Die Prozess-ID (PID) des Prozesses, der die Netzwerksitzung beendet hat. Beispiel: 48610176 Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows und Linux muss dieser Wert numerisch sein. Wenn Sie einen Windows- oder Linux Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie ihn in einen Dezimalwert. |
| DstProcessGuid | Optional | Zeichenfolge | Ein generierter eindeutiger Bezeichner (GUID) des Prozesses, der die Netzwerksitzung beendet hat. Beispiel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Quellsystemfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Src | Alias | Ein eindeutiger Bezeichner des Quellgeräts. Dieses Feld kann ein Alias für die Felder SrcDvcId, SrcHostname oder SrcIpAddr sein. Beispiel: 192.168.12.1 |
|
| SrcIpAddr | Empfohlen | IP-Adresse | Die IP-Adresse, von der die Verbindung oder Sitzung stammt. Dieser Wert ist obligatorisch, wenn SrcHostname angegeben ist. Wenn die Sitzung die Netzwerkadressenübersetzung verwendet, SrcIpAddr ist die öffentlich sichtbare Adresse und nicht die ursprüngliche Adresse der Quelle, die in SrcNatIpAddr gespeichert ist.Beispiel: 77.138.103.108 |
| SrcPortNumber | Optional | Integer | Der IP-Port, von dem die Verbindung stammt. Für eine Sitzung, die mehrere Verbindungen umfasst, ist möglicherweise nicht relevant. Beispiel: 2335 |
| SrcHostname | Empfohlen | Hostname (Zeichenfolge) | Der Hostname des Quellgeräts ohne Domäneninformationen. Wenn kein Gerätename verfügbar ist, speichern Sie die relevante IP-Adresse in diesem Feld. Beispiel: DESKTOP-1282V4D |
| SrcDomain | Empfohlen | Domäne (Zeichenfolge) | Die Domäne des Quellgeräts. Beispiel: Contoso |
| SrcDomainType | Bedingte | DomainType | Der Typ von SrcDomain. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DomainType im Artikel Schemaübersicht. Erforderlich, wenn SrcDomain verwendet wird. |
| SrcFQDN | Optional | FQDN (Zeichenfolge) | Der Hostname des Quellgeräts, einschließlich Domäneninformationen, sofern verfügbar. Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format Domäne\Hostname. Das Feld SrcDomainType gibt das verwendete Format an. Beispiel: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Optional | Zeichenfolge | Die ID des Quellgeräts. Wenn mehrere IDs verfügbar sind, verwenden Sie die wichtigste, und speichern Sie die anderen in den Feldern SrcDvc<DvcIdType>.Beispiel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Optional | Zeichenfolge | Die Bereichs-ID der Cloudplattform, zu der das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID auf Azure und einer Konto-ID in AWS zugeordnet. |
| SrcDvcScope | Optional | Zeichenfolge | Der Cloudplattformbereich, zu dem das Gerät gehört. SrcDvcScope wird einer Abonnement-ID auf Azure und einer Konto-ID in AWS zugeordnet. |
| SrcDvcIdType | Bedingte | DvcIdType | Der Typ von SrcDvcId. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType im Artikel Schemaübersicht. Hinweis: Dieses Feld ist erforderlich, wenn SrcDvcId verwendet wird. |
| SrcDeviceType | Optional | DeviceType | Der Typ des Quellgeräts. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DeviceType im Artikel Schemaübersicht. |
| SrcZone | Optional | Zeichenfolge | Die Netzwerkzone der Quelle, wie vom meldende Gerät definiert. Beispiel: Internet |
| SrcInterfaceName | Optional | Zeichenfolge | Die Netzwerkschnittstelle, die für die Verbindung oder Sitzung vom Quellgerät verwendet wird. Beispiel: eth01 |
| SrcInterfaceGuid | Optional | GUID (Zeichenfolge) | Die GUID der Netzwerkschnittstelle, die auf dem Quellgerät verwendet wird. Beispiel: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | Optional | MAC-Adresse (Zeichenfolge) | Die MAC-Adresse der Netzwerkschnittstelle, von der die Verbindung oder Sitzung stammt. Beispiel: 06:10:9f:eb:8f:14 |
| SrcVlanId | Optional | Zeichenfolge | Die VLAN-ID, die sich auf das Quellgerät bezieht. Beispiel: 130 |
| InnerVlanId | Alias | Alias für SrcVlanId. In vielen Fällen kann das VLAN nicht als Quelle oder Ziel bestimmt werden, sondern ist als inner oder außen gekennzeichnet. Dieser Alias bedeutet, dass SrcVlanId verwendet werden soll, wenn das VLAN als inner gekennzeichnet ist. |
|
| SrcGeoCountry | Optional | Land | Das Land/die Region, das der Quell-IP-Adresse zugeordnet ist. Beispiel: USA |
| SrcGeoRegion | Optional | Region | Die Region, die der Quell-IP-Adresse zugeordnet ist. Beispiel: Vermont |
| SrcGeoCity | Optional | Stadt/Ort | Der Ort, der der Quell-IP-Adresse zugeordnet ist. Beispiel: Burlington |
| SrcGeoLatitude | Optional | Breitengrad | Der Breitengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. Beispiel: 44.475833 |
| SrcGeoLongitude | Optional | Längengrad | Der Längengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. Beispiel: 73.211944 |
| SrcDescription | Optional | Zeichenfolge | Ein beschreibender Text, der dem Gerät zugeordnet ist. Beispiel: Primary Domain Controller. |
Quellbenutzerfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| SrcUserId | Optional | Zeichenfolge | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Quellbenutzers. Das unterstützte Format für verschiedene ID-Typen finden Sie in der Entität Benutzer. Beispiel: S-1-12 |
| SrcUserScope | Optional | Zeichenfolge | Der Bereich, z. B. Microsoft Entra Mandant, in dem SrcUserId und SrcUsername definiert sind. oder weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht. |
| SrcUserScopeId | Optional | Zeichenfolge | Die Bereichs-ID, z. B. Microsoft Entra Verzeichnis-ID, in der SrcUserId und SrcUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht. |
| SrcUserIdType | Bedingte | UserIdType | Der Typ der ID, die im Feld SrcUserId gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserIdType im Artikel Schemaübersicht. |
| SrcUsername | Optional | Benutzername (Zeichenfolge) | Der Quellbenutzername, einschließlich Domäneninformationen, sofern verfügbar. Das unterstützte Format für verschiedene ID-Typen finden Sie in der Entität Benutzer. Verwenden Sie das einfache Formular nur, wenn keine Domäneninformationen verfügbar sind. Speichern Sie den Benutzernamentyp im Feld SrcUsernameType . Wenn andere Benutzernamenformate verfügbar sind, speichern Sie diese in den Feldern SrcUsername<UsernameType>.Beispiel: AlbertE |
| SrcUsernameType | Bedingte | UsernameType | Gibt den Typ des Benutzernamens an, der im Feld SrcUsername gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UsernameType im Artikel Schemaübersicht. Beispiel: Windows |
| SrcUserType | Optional | UserType | Der Typ des Quellbenutzers. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserType im Artikel Schemaübersicht. Hinweis: Der Wert kann im Quelldatensatz mit unterschiedlichen Begriffen bereitgestellt werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld SrcOriginalUserType . |
| SrcOriginalUserType | Optional | Zeichenfolge | Der ursprüngliche Zielbenutzertyp, wenn er vom Meldengerät bereitgestellt wird. |
Quellanwendungsfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| SrcAppName | Optional | Zeichenfolge | Der Name der Quellanwendung. Beispiel: filezilla.exe |
| SrcAppId | Optional | Zeichenfolge | Die ID der Quellanwendung, die vom Melden des Geräts gemeldet wird. Wenn SrcAppType ist Processund SrcAppIdSrcProcessId den gleichen Wert haben sollte.Beispiel: 124 |
| SrcAppType | Optional | AppType | Der Typ der Quellanwendung. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter AppType im Artikel Schemaübersicht. Dieses Feld ist obligatorisch, wenn SrcAppName oder SrcAppId verwendet werden. |
| SrcProcessName | Optional | Zeichenfolge | Der Dateiname des Prozesses, der die Netzwerksitzung initiiert hat. Dieser Name wird in der Regel als Prozessname betrachtet. Beispiel: C:\Windows\explorer.exe |
| SrcProcessId | Optional | Zeichenfolge | Die Prozess-ID (PID) des Prozesses, der die Netzwerksitzung initiiert hat. Beispiel: 48610176 Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows und Linux muss dieser Wert numerisch sein. Wenn Sie einen Windows- oder Linux Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie ihn in einen Dezimalwert. |
| SrcProcessGuid | Optional | Zeichenfolge | Ein generierter eindeutiger Bezeichner (GUID) des Prozesses, der die Netzwerksitzung initiiert hat. Beispiel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Lokale und Remotealiase
Alle oben aufgeführten Quell- und Zielfelder können optional nach Feldern mit demselben Namen und den Deskriptoren Local und Remoteals Alias verwendet werden. Dies ist in der Regel hilfreich für Ereignisse, die von einem Endpunkt gemeldet werden und für die der Ereignistyp ist EndpointNetworkSession.
Bei solchen Ereignissen bezeichnen die Deskriptoren Local und Remote den Endpunkt selbst bzw. das Gerät am anderen Ende der Netzwerksitzung. Bei eingehenden Verbindungen ist das lokale System das Ziel, Local Felder sind Aliase für die Dst Felder und "Remote"-Felder sind Aliase für Src Felder. Umgekehrt ist für ausgehende Verbindungen das lokale System die Quelle, Local Felder sind Aliase für die Src Felder und Remote Felder sind Aliase für Dst Felder.
Für ein eingehendes Ereignis ist das Feld LocalIpAddr beispielsweise ein Alias für DstIpAddr und das Feld RemoteIpAddr ein Alias für SrcIpAddr.
Aliase für Hostname und IP-Adresse
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Hostname | Alias | – Wenn der Ereignistyp oder FlowL2NetworkSessionistNetworkSession, ist Hostname ein Alias für DstHostname.– Wenn der Ereignistyp ist EndpointNetworkSession, ist Hostname ein Alias für RemoteHostname, der je nach NetworkDirection entweder DstHostname oder SrcHostName aliasen kann. |
|
| IpAddr | Alias | – Wenn der Ereignistyp oder istNetworkSession, L2NetworkSessionFlow ist IpAddr ein Alias für SrcIpAddr.– Wenn der Ereignistyp ist EndpointNetworkSession, ist IpAddr ein Alias für LocalIpAddr, der je nach NetworkDirection entweder SrcIpAddr oder DstIpAddr aliasen kann. |
Zwischengerät und NAT-Felder (Network Address Translation, Netzwerkadressenübersetzung)
Die folgenden Felder sind nützlich, wenn der Datensatz Informationen zu einem zwischengeschalteten Gerät enthält, z. B. eine Firewall oder einen Proxy, der die Netzwerksitzung weitergibt.
Zwischensysteme verwenden häufig die Adressübersetzung, sodass die ursprüngliche Adresse und die extern beobachtete Adresse nicht identisch sind. In solchen Fällen stellen die primären Adressfelder wie SrcIPAddr und DstIpAddr die extern beobachteten Adressen dar, während die NAT-Adressfelder SrcNatIpAddr und DstNatIpAddr die interne Adresse des ursprünglichen Geräts vor der Übersetzung darstellen.
Inspektionsfelder
Die folgenden Felder werden verwendet, um die Überprüfung darzustellen, die ein Sicherheitsgerät wie eine Firewall, ein IPS oder ein Websicherheitsgateway durchgeführt hat:
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| NetworkRuleName | Optional | Zeichenfolge | Der Name oder die ID der Regel, für die DvcAction festgelegt wurde. Beispiel: AnyAnyDrop |
| NetworkRuleNumber | Optional | Integer | Die Anzahl der Regel, nach der DvcAction beschlossen wurde. Beispiel: 23 |
| Rule | Alias | Zeichenfolge | Entweder der Wert von NetworkRuleName oder der Wert von NetworkRuleNumber. Wenn der Wert von NetworkRuleNumber verwendet wird, sollte der Typ in string konvertiert werden. |
| ThreatId | Optional | Zeichenfolge | Die ID der Bedrohung oder Schadsoftware, die in der Netzwerksitzung identifiziert wurde. Beispiel: Tr.124 |
| ThreatName | Optional | Zeichenfolge | Der Name der in der Netzwerksitzung identifizierten Bedrohung oder Schadsoftware. Beispiel: EICAR Test File |
| Bedrohungskategorie | Optional | Zeichenfolge | Die Kategorie der Bedrohung oder Schadsoftware, die in der Netzwerksitzung identifiziert wurde. Beispiel: Trojan |
| ThreatRiskLevel | Optional | RiskLevel (Integer) | Die der Sitzung zugeordnete Risikostufe. Die Ebene sollte eine Zahl zwischen 0 und 100 sein. Hinweis: Der Wert kann im Quelldatensatz mithilfe einer anderen Skalierung bereitgestellt werden, die auf diese Skalierung normalisiert werden sollte. Der ursprüngliche Wert sollte in ThreatRiskLevelOriginal gespeichert werden. |
| ThreatOriginalRiskLevel | Optional | Zeichenfolge | Die vom Melden des Geräts gemeldete Risikostufe. |
| ThreatIpAddr | Optional | IP-Adresse | Eine IP-Adresse, für die eine Bedrohung identifiziert wurde. Das Feld ThreatField enthält den Namen des Felds ThreatIpAddr darstellt. |
| ThreatField | Bedingte | Aufgelistet | Das Feld, für das eine Bedrohung identifiziert wurde. Der Wert ist entweder SrcIpAddr oder DstIpAddr. |
| ThreatConfidence | Optional | ConfidenceLevel (Integer) | Das Konfidenzniveau der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100. |
| ThreatOriginalConfidence | Optional | Zeichenfolge | Das ursprüngliche Konfidenzniveau der identifizierten Bedrohung, wie vom Melden des Geräts gemeldet. |
| ThreatIsActive | Optional | Boolean | True, wenn die identifizierte Bedrohung als aktive Bedrohung angesehen wird. |
| ThreatFirstReportedTime | Optional | Datum/Uhrzeit | Beim ersten Mal wurde die IP-Adresse oder Domäne als Bedrohung identifiziert. |
| ThreatLastReportedTime | Optional | Datum/Uhrzeit | Der Zeitpunkt, zu dem die IP-Adresse oder Domäne zuletzt als Bedrohung identifiziert wurde. |
Andere Felder
Wenn das Ereignis von einem der Endpunkte der Netzwerksitzung gemeldet wird, kann es Informationen zu dem Prozess enthalten, der die Sitzung initiiert oder beendet hat. In solchen Fällen wird das ASIM-Prozessereignisschema verwendet, um diese Informationen zu normalisieren.
Schemaaktualisierungen
Im Folgenden sind die Änderungen in Version 0.2.1 des Schemas aufgeführt:
-
DstUnd als Aliase zu einem führenden Bezeichner für das Quell- und Zielsystem hinzugefügtSrc. - Die Felder
NetworkConnectionHistory, ,SrcVlanIdDstVlanId,InnerVlanIdundOuterVlanIdwurden hinzugefügt.
Im Folgenden sind die Änderungen in Version 0.2.2 des Schemas aufgeführt:
- Aliase und
LocalhinzugefügtRemote. - Der Ereignistyp
EndpointNetworkSessionwurde hinzugefügt. - Definiert
HostnameundIpAddrals Aliase fürRemoteHostnamebzwLocalIpAddr. , wenn der Ereignistyp istEndpointNetworkSession. - Definiert
DvcInterfaceals Alias fürDvcInboundInterfaceoderDvcOutboundInterface. - Der Typ der folgenden Felder wurde von Integer in Long geändert:
SrcBytes,DstBytes,NetworkBytes,SrcPackets,DstPacketsundNetworkPackets. - Das Feld
NetworkProtocolVersionwurde hinzugefügt. - Und
SrcUserDomainals veraltet gekennzeichnetDstUserDomain.
Im Folgenden sind die Änderungen in Version 0.2.3 des Schemas aufgeführt:
- Filterparameter
ipaddr_has_any_prefixhinzugefügt. - Der
hostname_has_anyFilterparameter stimmt nun entweder mit Quell- oder Zielhostnamen überein. - Die Felder
ASimMatchingHostnameundASimMatchingIpAddrwurden hinzugefügt.
Im Folgenden sind die Änderungen in Version 0.2.4 des Schemas aufgeführt:
- Die
TcpFlagsFelder wurden hinzugefügt. - Und
NetworkIcmpCodeaktualisiertNetworkIcpmType, um den Zahlenwert für beide widerzuspiegeln. - Zusätzliche Inspektionsfelder hinzugefügt.
- Das Feld "ThreatRiskLevelOriginal" wurde in umbenannt
ThreatOriginalRiskLevel, um den ASIM-Konventionen zu entsprechen. Vorhandene Microsoft-Parser werden bis zum 1. Mai 2023 beibehaltenThreatRiskLevelOriginal. - Als empfohlen markiert
EventResultDetailsund die zulässigen Werte angegeben.
Im Folgenden sind die Änderungen in Version 0.2.5 des Schemas aufgeführt:
- Die Felder
DstUserScope,SrcUserScope, ,SrcDvcScopeId,SrcDvcScope,DstDvcScopeIdDstDvcScope,DvcScopeId, undDvcScopewurden hinzugefügt.
Im Folgenden sind die Änderungen in Version 0.2.6 des Schemas aufgeführt:
- IDS als Ereignistyp hinzugefügt
Im Folgenden sind die Änderungen in Version 0.2.7 des Schemas aufgeführt:
- Die Felder
DstDescriptionund wurden hinzugefügt.SrcDescription
Nächste Schritte
Weitere Informationen finden Sie unter:
- Sehen Sie sich das ASIM-Webinar an, oder überprüfen Sie die Folien
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Advanced Security Information Model (ASIM)-Schemas
- ASIM-Parser (Advanced Security Information Model)
- Inhalt des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM)