Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Microsoft Sentinel verkkoistunnon normalisointirakenne edustaa IP-verkkotoimintoa, kuten verkkoyhteyksiä ja verkkoistuntoja. Tällaisia tapahtumia raportoivat esimerkiksi käyttöjärjestelmät, reitittimet, palomuurit ja luvattoman käytön estojärjestelmät.
Verkon normalisointirakenne voi edustaa mitä tahansa IP-verkko-istuntoa, mutta se on suunniteltu tarjoamaan tukea yleisille lähdetyypeille, kuten Netflow,palomuurit ja luvattoman käytön estojärjestelmät.
Lisätietoja Microsoft Sentinel normalisoinnista on kohdassa Normalisointi ja ASIM (Advanced Security Information Model).
Jäsentimet
Lisätietoja ASIM-jäsennyksistä on ASIM-jäsennysten yleiskatsauksessa.
Jäsennysten yhtenäistäminen
Jos haluat käyttää jäsentimiä, jotka yhdistävät kaikki valmiit ASIM-jäsennykset, ja varmista, että analyysisi suoritetaan kaikissa määritetyissä lähteissä, käytä jäsennintä _Im_NetworkSession .
Käyttövalmiit lähdekohtaiset jäsennykset
Jos kyseessä on verkkoistunnon jäsennysluettelo, Microsoft Sentinel tarjoaa käyttövalmiin luettelon, katso ASIM-jäsennysluettelo
Omien normalisoitujen jäsennysten lisääminen
Kun kehität verkkoistunnon tietomallin mukautettuja jäsennystoimintoja , nimeä KQL-funktiosi seuraavalla syntaksilla:
-
vimNetworkSession<vendor><Product>parametrised parsers -parametrille -
ASimNetworkSession<vendor><Product>tavallisille jäsennyksille
Katso artikkelista ASIM-jäsennysten hallinta ohjeet mukautettujen jäsennysten lisäämiseen verkkoistuntoon jäsentäjien yhtenäistämiseksi.
Jäsennysparametrien suodattaminen
Verkkoistunnon jäsennykset tukevat suodatusparametreja. Vaikka nämä parametrit ovat valinnaisia, ne voivat parantaa kyselyn suorituskykyä.
Seuraavat suodatusparametrit ovat käytettävissä:
| Nimi | Kirjoita | Kuvaus |
|---|---|---|
| aloitusaika | Datetime | Suodata vain verkkoistunnot, jotka alkoivat tällä hetkellä tai sen jälkeen. Tämä parametri suodattaa TimeGenerated kentän, joka on tapahtuman ajan vakiomäärittäjä riippumatta EventStartTime- ja EventEndTime-kenttien jäsennyskohtaisesta yhdistämisestä. |
| päättymisaika | Datetime | Suodata vain verkkoistunnot, jotka alkoivat olla käynnissä tähän aikaan tai sitä ennen. Tämä parametri suodattaa TimeGenerated kentän, joka on tapahtuman ajan vakiomäärittäjä riippumatta EventStartTime- ja EventEndTime-kenttien jäsennyskohtaisesta yhdistämisestä. |
| srcipaddr_has_any_prefix | Dynaaminen | Suodata vain verkko-istunnot, joiden lähde-IP-osoitekentän etuliite on jossakin luetelluista arvoista. Etuliitteiden lopussa .tulee olla esimerkiksi : 10.0.. Luettelon pituus on rajoitettu 10 000 kohteeseen. |
| dstipaddr_has_any_prefix | Dynaaminen | Suodata vain verkko-istunnot, joiden kohteen IP-osoitekentän etuliite on jossakin luetelluista arvoista. Etuliitteiden lopussa .tulee olla esimerkiksi : 10.0.. Luettelon pituus on rajoitettu 10 000 kohteeseen. |
| ipaddr_has_any_prefix | Dynaaminen | Suodata vain verkko-istunnot, joissa kohteen IP-osoitekentän tai lähteen IP-osoitekentän etuliite on jossakin luetelluista arvoista. Etuliitteiden lopussa .tulee olla esimerkiksi : 10.0.. Luettelon pituus on rajoitettu 10 000 kohteeseen.ASimMatchingIpAddr-kentälle on määritetty jokin arvoista SrcIpAddr, DstIpAddrtai Both vastaavien kenttien tai kenttien mukaisesti. |
| dstportnumber | Int | Suodata vain verkkoistunnot, joissa on määritetty kohdeportin numero. |
| hostname_has_any | dynaaminen/merkkijono | Suodata vain verkkoistunnot, joissa kohteen isäntänimi-kentässä on jokin luetelluista arvoista. Luettelon pituus on rajoitettu 10 000 kohteeseen. ASimMatchingHostname-kenttään on määritetty jokin arvoista SrcHostname, DstHostnametai Both se vastaa vastaavia kenttiä tai kenttiä. |
| dvcaction | dynaaminen/merkkijono | Suodata vain verkkoistunnot, joiden Laitetoiminto-kenttä on jokin luetelluista arvoista. |
| eventresult | Merkkijono | Suodata vain verkkoistunnot tietyllä EventResult-arvolla . |
Jotkin parametrit voivat hyväksyä sekä tyyppiarvojen dynamic luettelon että yksittäisen merkkijonoarvon. Jos haluat välittää literaaliluettelon parametreihin, jotka odottavat dynaamista arvoa, käytä eksplisiittisesti dynaamista literaalia. Esimerkiksi: dynamic(['192.168.','10.'])
Jos esimerkiksi haluat suodattaa vain verkkoistunnot määritetylle toimialuenimien luettelolle, käytä seuraavaa:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
Vihje
Jos haluat välittää literaaliluettelon parametreihin, jotka odottavat dynaamista arvoa, käytä eksplisiittisesti dynaamista literaalia. Esimerkki: dynamic(['192.168.','10.']).
Normalisoitu sisältö
Täydellinen luettelo normalisoituja DNS-tapahtumia käyttävistä analytiikkasäännöistä on kohdassa Verkkoistunnon suojaussisältö.
Rakenteen yleiskatsaus
Verkkoistunnon tietomalli on tasattu OSSEM-verkkoentiteettirakenteen kanssa.
Verkkoistunnon rakenne sisältää useita erilaisia samankaltaisia mutta erillisiä skenaarioita, jotka jakavat samat kentät. EventType-kenttä tunnistaa nämä skenaariot:
-
NetworkSession- verkkoistunto, jonka verkkoa valvova välilaite, kuten palomuuri, reititin tai verkkokuuntelu, ilmoittaa. -
L2NetworkSession– verkkoistunto, jossa on käytettävissä vain tason 2 tietoja. Tällaiset tapahtumat sisältävät MAC-osoitteita, mutta eivät IP-osoitteita. -
Flow– koostettu tapahtuma, joka raportoi useista samankaltaisista verkkoistunnoista yleensä ennalta määritetyn ajanjakson aikana, kuten Netflow-tapahtumat . -
EndpointNetworkSession- verkkoistunto, jonka jokin istunnon päätepisteistä ilmoittaa, mukaan lukien asiakkaat ja palvelimet. Tällaisissa tapahtumissa rakenne tukee -remotejalocal-aliaskenttiä. -
IDS- verkkoistunto, joka on ilmoitettu epäilyttäväksi. Tällaiseen tapahtumaan täytetään joitakin tarkastuskenttiä, ja siinä voi olla täytettynä vain yksi IP-osoitekenttä, joko lähde tai kohdesijainti.
Yleensä kyselyn tulee valita vain näiden tapahtumatyyppien alijoukko, ja sen on ehkä käsiteltävä erikseen käyttötapausten yksilöllisiä näkökohtia. Esimerkiksi IDS-tapahtumat eivät vastaa koko verkkomäärää, eikä niitä tule ottaa huomioon sarakepohjaisessa analytiikassa.
Verkkoistunnon tapahtumat käyttävät kuvauksia Src ja Dst ilmaisevat istuntoon liittyvien laitteiden ja niihin liittyvien käyttäjien sekä sovellusten rooleja. Esimerkiksi lähdelaitteen isäntänimi ja IP-osoite nimetään SrcHostname ja SrcIpAddr. Muita ASIM-rakenteita käytetään Target yleensä -rakenteiden Dstsijaan.
Päätepisteen ilmoittamille tapahtumille, joiden tapahtumatyyppi on EndpointNetworkSession, kuvaavat Local päätepistettä itseään ja Remote laitetta verkkoistunnon toisessa päässä.
Kuvaajaa Dvc käytetään raportointilaitteessa, joka on päätepisteen raportoimien istuntojen paikallinen järjestelmä, ja välittäjälaitteella tai verkon napautuksella muissa verkkoistuntotapahtumissa.
Rakenteen tiedot
Yleiset ASIM-kentät
Tärkeää
Kaikille rakenteille yhteiset kentät on kuvattu yksityiskohtaisesti ASIM:n yleiset kentät - artikkelissa.
Yleiset kentät, joissa on tarkat ohjeet
Seuraavassa luettelossa mainitaan kentät, joissa on verkkoistuntotapahtumien erityiset ohjeet:
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Tapahtumien määrä | Pakollinen | Kokonaisluku | Netflow-lähteet tukevat koostamista, ja EventCount-kentän tulee olla Netflow FLOWS - kentän arvo. Muiden lähteiden arvoksi 1määritetään yleensä . |
| Tapahtuman tyyppi | Pakollinen | Lueteltu | Kuvailee tietueen raportoiman skenaarion. Verkkoistunnon tietueissa sallitut arvot ovat: - EndpointNetworkSession- NetworkSession - L2NetworkSession- IDS - FlowLisätietoja tapahtumatyypeistä on rakenteen yleiskatsauksessa |
| EventSubType | Valinnainen | Lueteltu | Tapahtumatyypin lisäkuvaus, jos käytettävissä. Verkkoistunnon tietueiden tuettuja arvoja ovat seuraavat: - Start- EndTämä kenttä ei ole merkityksellinen tapahtumien kannalta Flow . |
| Tapahtuman tulos | Pakollinen | Lueteltu | Jos lähdelaite ei anna tapahtuman tulosta, EventResult-arvon tulee perustua DvcAction-arvoon. Jos DvcAction on Deny, Drop, Drop ICMP, Reset, Reset Source, tai Reset Destination, EventResult on oltava Failure. Muussa tapauksessa EventResult-arvon on oltava Success. |
| EventResultDetails | Suositellut | Lueteltu |
EventResult-kentässä ilmoitetun tuloksen syy tai tiedot. Tuetut arvot ovat: -Vikasietoisuus - Virheellinen TCP - Virheellinen tunneli - Uudelleenyritysten enimmäismäärä -Palauttaa - Reititysongelma -Simulointi -Lopettaa -Aikakatkaisu - Tilapäinen virhe -Tuntematon -NA. Alkuperäinen lähdekohtainen arvo tallennetaan EventOriginalResultDetails-kenttään . |
| EventSchema | Pakollinen | Lueteltu | Tässä dokumentoitun rakenteen nimi on NetworkSession. |
| EventSchemaVersion | Pakollinen | SchemaVersion (merkkijono) | Rakenteen versio. Tässä dokumentoitu rakenteen versio on 0.2.7. |
| DvcAction | Suositellut | Lueteltu | Verkkoistunnossa suoritettu toiminto. Tuetut arvot ovat: - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNrouteHuomautus: Arvo voidaan antaa lähdetietueessa käyttämällä eri termejä, jotka tulee normalisoida näihin arvoihin. Alkuperäinen arvo tulee tallentaa DvcOriginalAction-kenttään . Esimerkki drop |
| Tapahtumankaltaisuus | Valinnainen | Lueteltu | Jos lähdelaite ei anna tapahtuman vakavuutta, EventSeverity-arvon tulee perustua DvcAction-arvoon. Jos DvcAction on Deny, Drop, Drop ICMP, Reset, Reset Source, tai Reset Destination, EventSeverity on . Low Muussa tapauksessa EventSeverity-arvon on oltava Informational. |
| DvcInterface | DvcInterface-kentän tulee olla joko DvcInboundInterface - tai DvcOutboundInterface-kenttä . | ||
| Dvc-kentät | Verkkoistunnon tapahtumissa laitekentät viittaavat verkkoistunnon tapahtuman raportoimiseen järjestelmään. |
Kaikki yleiset kentät
Alla olevassa taulukossa näkyvät kentät ovat yhteisiä kaikille ASIM-rakenteille. Kaikki edellä määritetyt ohjeet ohittavat kentän yleiset ohjeet. Kenttä voi olla esimerkiksi yleisesti valinnainen, mutta tietyn rakenteen pakollinen. Lisätietoja kustakin kentästä on ARTIKKELISSA ASIM:n yleiset kentät .
| Luokan | Kentät |
|---|---|
| Pakollinen |
-
Tapahtumien määrä - Tapahtuman alkamisaika - Tapahtuman aika - Tapahtuman tyyppi - Tapahtuman tulos - Tapahtuman tuote - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Suositellut |
-
EventResultDetails - Tapahtumankaltaisuus - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valinnainen |
-
Tapahtuman viesti - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Tapahtuman omistajan nimi - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Lisäkentät - DvcDescription - DvcScopeId - DvcScope |
Verkkoistunnon kentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| NetworkApplicationProtocol | Valinnainen | Merkkijono | Yhteyden tai istunnon käyttämä sovelluskerroksen protokolla. Arvon tulee olla kaikissa isoilla kirjaimilla. Esimerkki FTP |
| NetworkProtocol | Valinnainen | Lueteltu | YHTEYDEN tai istunnon käyttämä IP-protokolla IANA-protokollamäärityksen mukaisesti, joka on yleensä TCP, UDPtai ICMP.Esimerkki TCP |
| NetworkProtocolVersion | Valinnainen | Lueteltu |
NetworkProtocol-versio. Kun käytät sitä IP-version erottamiseen toisistaan, käytä arvoja IPv4 ja IPv6. |
| Verkon uudelleenohjaus | Valinnainen | Lueteltu | Yhteyden tai istunnon suunta: - EventType NetworkSessionFlow- tai L2NetworkSession,NetworkDirection-funktio edustaa suuntaa suhteessa organisaation tai pilviympäristön reunaan. Tuettuja arvoja ovat Inbound, Outbound, Local (organisaatiolle), External (organisaatiolle) tai NA (Ei käytettävissä).- EventType-arvolle EndpointNetworkSessionNetworkDirection edustaa päätepisteeseen nähden suuntaa. Tuetut arvot ovat Inbound, Outbound, Local (järjestelmään) Listen tai NA (Ei käytettävissä). Arvo Listen ilmaisee, että laite on alkanut hyväksyä verkkoyhteyksiä, mutta se ei välttämättä ole yhteydessä verkkoon. |
| Verkon kesto | Valinnainen | Kokonaisluku | Verkkoistunnon tai yhteyden valmistumiseen kuluva aika millisekunteina. Esimerkki 1500 |
| Kesto | Alias | NetworkDuration-tunnus. | |
| NetworkIcmpType | Valinnainen | Merkkijono | ICMP-sanoman osalta numeerisiin arvoihin liittyvä ICMP-tyypin nimi, joka on kuvattu kohdassa RFC 2780 IPv4-verkkoyhteyksille tai RFC 4443 :ssa IPv6-verkkoyhteyksille. Esimerkki: Destination Unreachable for NetworkIcmpCode 3 |
| NetworkIcmpCode | Valinnainen | Kokonaisluku | ICMP-viestin osalta ICMP-koodinumero, joka on kuvattu kohdassa RFC 2780 IPv4-verkkoyhteyksille tai RFC 4443 :ssa IPv6-verkkoyhteyksille. |
| NetworkConnectionHistory | Valinnainen | Merkkijono | TCP-merkinnät ja muut mahdolliset IP-otsikkotiedot. |
| DstBytes | Suositellut | Pitkä | Kohdesijainnista yhteyden tai istunnon lähteeseen lähetettyjen tavujen määrä. Jos tapahtuma on koottu, DstBytes-arvon on oltava kaikkien koottujen istuntojen summa. Esimerkki 32455 |
| SrcBytes | Suositellut | Pitkä | Lähteestä yhteyden tai istunnon kohdesijaintiin lähetettyjen tavujen määrä. Jos tapahtuma on koottu, SrcBytes-arvon on oltava kaikkien koottujen istuntojen summa. Esimerkki 46536 |
| Verkon tavut | Valinnainen | Pitkä | Molempiin suuntiin lähetettävien tavujen määrä. Jos sekä BytesReceived ettäBytesSent ovat olemassa, BytesTotal-arvon on oltava sama kuin niiden summa. Jos tapahtuma on koottu, NetworkBytes-arvon on oltava kaikkien koottujen istuntojen summa. Esimerkki 78991 |
| DstPackets | Valinnainen | Pitkä | Yhteyden tai istunnon lähteeseen lähetettyjen pakettien määrä. Raportointilaite määrittää paketin merkityksen. Jos tapahtuma on koottu, DstPackets-kohteen on oltava kaikkien koottujen istuntojen summa. Esimerkki 446 |
| SrcPackets | Valinnainen | Pitkä | Lähteestä yhteyden tai istunnon kohdesijainniin lähetettyjen pakettien määrä. Raportointilaite määrittää paketin merkityksen. Jos tapahtuma on koottu, SrcPackets-arvon on oltava kaikkien koottujen istuntojen summa. Esimerkki 6478 |
| Verkkopaketit | Valinnainen | Pitkä | Molempiin suuntiin lähetettyjen pakettien määrä. Jos sekä PacketsReceived että PacketsSent ovat olemassa, PacketsTotal-kohteen on oltava yhtä suuri kuin niiden summa. Raportointilaite määrittää paketin merkityksen. Jos tapahtuma on koottu, NetworkPackets-kohteen on oltava kaikkien koottujen istuntojen summa. Esimerkki 6924 |
| NetworkSessionId | Valinnainen | Merkkijono | Raportointilaitteen ilmoittama istunnon tunnus. Esimerkki 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| Sessionid | Alias | Merkkijono | NetworkSessionId-tunnus. |
| TcpFlagsAck | Valinnainen | Totuusarvo | TCP ACK -merkintä ilmoitettu. Kuittausmerkintää käytetään paketin onnistuneen vastaanottamisen hyväksymiseen. Kuten yllä olevasta kaaviosta näkyy, vastaanotin lähettää ACK: n ja SYN: n kolmivaiheisen kättelyprosessin toisessa vaiheessa kertoakseen lähettäjälle, että se sai alkuperäisen pakettinsa. |
| TcpFlagsFin | Valinnainen | Totuusarvo | TCP FIN -merkintä raportoitiin. Valmis merkintä tarkoittaa, että lähettäjältä ei ole enempää tietoja. Siksi sitä käytetään viimeisessä lähettäjän lähettämässä paketissa. |
| TcpFlagsSyn | Valinnainen | Totuusarvo | TCP SYN -merkintä ilmoitettu. Synkronointimerkintää käytetään ensimmäisenä vaiheena kahden isännän välisen kolmitiekäsitteen luomisessa. Vain ensimmäisellä lähettäjän ja vastaanottajan paketilla on oltava tämä merkintä asetettuna. |
| TcpFlagsUrg | Valinnainen | Totuusarvo | TCP URG -merkintä ilmoitettu. Kiireellistä merkintää käytetään ilmoittamaan vastaanottajalle kiireellisten pakettien käsittelystä ennen kaikkien muiden pakettien käsittelyä. Vastaanottajalle ilmoitetaan, kun kaikki tunnetut kiireelliset tiedot on vastaanotettu. Lisätietoja on kohdassa RFC 6093 . |
| TcpFlagsPsh | Valinnainen | Totuusarvo | Ilmoitettu TCP PSH -merkintä. Push-lippu on samanlainen kuin URG-lippu ja kehottaa vastaanottajaa käsittelemään nämä paketit, kun ne vastaanotetaan sen sijaan, että puskuroivat niitä. |
| TcpFlagsRst | Valinnainen | Totuusarvo | Ilmoitettu TCP RST -merkintä. Palautusmerkintä lähetetään vastaanottajasta lähettäjälle, kun paketti lähetetään tietylle isännälle, joka ei odottanut sitä. |
| TcpFlagsEce | Valinnainen | Totuusarvo | Ilmoitettu TCP ECE -merkintä. Tämä merkintä vastaa siitä, onko TCP-vertaisverkko ECN-yhteensopiva. Lisätietoja on kohdassa RFC 3168 . |
| TcpFlagsCwr | Valinnainen | Totuusarvo | Ilmoitettu TCP CWR -merkintä. Lähettävä isäntä käyttää ruuhkaikkunan pienennettyä merkintää ilmaisemaan, että se on vastaanottanut paketin, jossa on ECE-merkintä. Lisätietoja on kohdassa RFC 3168 . |
| TcpFlagsNs | Valinnainen | Totuusarvo | Ilmoitettu TCP NS -merkintä. Nonce Sum -lippu on edelleen kokeellinen lippu, jota käytetään suojaamaan lähettäjän tahattomalta pakettien piilottelulta. Lisätietoja on kohdassa RFC 3540 |
Kohdejärjestelmäkentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Dst | Alias | DNS-pyynnön vastaanottavan palvelimen yksilöllinen tunnus. Tämän kentän tunnuksena voi olla DstDvcId-, DstHostname- tai DstIpAddr-kentät . Esimerkki 192.168.12.1 |
|
| DstIpAddr | Suositellut | IP-osoite | Yhteyden tai istunnon kohteen IP-osoite. Jos istunto käyttää verkko-osoitteen kääntämistä, DstIpAddr on julkisesti näkyvä osoite eikä lähteen alkuperäinen osoite, joka on tallennettu DstNatIpAddr-tiedostoonEsimerkki 2001:db8::ff00:42:8329Huomautus: Tämä arvo on pakollinen, jos DstHostname on määritetty. |
| DstPortNumber | Valinnainen | Kokonaisluku | Kohde-IP-portti. Esimerkki 443 |
| DstHostname | Suositellut | Isäntänimi (merkkijono) | Kohdelaitteen isäntänimi ilman toimialuetietoja. Jos laitteen nimeä ei ole käytettävissä, tallenna asianmukainen IP-osoite tähän kenttään. Esimerkki DESKTOP-1282V4D |
| DstDomain | Suositellut | Toimialue (merkkijono) | Kohdelaitteen toimialue. Esimerkki Contoso |
| DstDomainType | Ehdollinen | Lueteltu |
DstDomain-tyyppi. Luettelo sallitut arvot ja lisätietoja on kohdassa ToimialuetyyppiRakenteen yleiskatsaus -artikkelissa. Pakollinen, jos DstDomain on käytössä. |
| DstFQDN | Valinnainen | FQDN (merkkijono) | Kohdelaitteen isäntänimi, mukaan lukien toimialuetiedot, kun ne ovat käytettävissä. Esimerkki Contoso\DESKTOP-1282V4D Huomautus: Tämä kenttä tukee sekä perinteistä FQDN-muotoa että Windowsin toimialue\isäntänimi-muotoa. DstDomainType kuvastaa käytettyä muotoa. |
| DstDvcId | Valinnainen | Merkkijono | Kohdelaitteen tunnus. Jos käytettävissä on useita tunnuksia, käytä tärkeintä ja tallenna muut kentät -kenttiin DstDvc<DvcIdType>. Esimerkki ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | Valinnainen | Merkkijono | Pilviympäristön vaikutusalueen tunnus, jolle laite kuuluu. DstDvcScopeId-kartta tilaustunnukseen Azure ja tilin tunnukseen AWS:ssä. |
| DstDvcScope | Valinnainen | Merkkijono | Pilviympäristön laajuus, jolle laite kuuluu. DstDvcScope-kartta tilaustunnukseen Azure ja tilin tunnukseen AWS:ssä. |
| DstDvcIdType | Ehdollinen | Lueteltu |
DstDvcId-tyyppi. Luettelo sallitut arvot ja lisätietoja on artikkelissa DvcIdTypeRakenteen yleiskatsaus -artikkelissa. Pakollinen, jos DstDeviceId on käytössä. |
| DstDeviceType | Valinnainen | Lueteltu | Kohdelaitteen tyyppi. Luettelo sallitut arvot ja lisätiedot on artikkelissa LaitetyyppiRakenteen yleiskatsaus -artikkelissa. |
| DstZone | Valinnainen | Merkkijono | Kohdesijainnin verkkovyöhyke raportointilaitteen määrittämänä. Esimerkki Dmz |
| DstInterfaceName | Valinnainen | Merkkijono | Kohdelaitteen yhteyden tai istunnon käyttämä verkkoliittymä. Esimerkki Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | Valinnainen | GUID (merkkijono) | Kohdelaitteessa käytetyn verkkoliittymän GUID-tunnus. Esimerkki: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | Valinnainen | MAC-osoite (merkkijono) | Kohdelaitteen yhteyden tai istunnon käyttämän verkkoliittymän MAC-osoite. Esimerkki 06:10:9f:eb:8f:14 |
| DstVlanId | Valinnainen | Merkkijono | Kohdelaitteeseen liittyvä VLAN-tunnus. Esimerkki 130 |
| Ulkovlan-tunnus | Alias | Alias kohtaan DstVlanId. Monissa tapauksissa VLAN:ia ei voida määrittää lähteeksi tai kohteeksi, mutta se on luonnehdittu sisemmän tai ulomman. Tämä alias ilmaisee, että DstVlanId-tunnusta tulee käyttää, kun VLAN on luonnehdittu ulkoreunaksi. |
|
| DstGeoCountry | Valinnainen | Maa | Kohde-IP-osoitteeseen liittyvä maa tai alue. Lisätietoja on artikkelissa Loogiset tyypit. Esimerkki USA |
| DstGeoRegion | Valinnainen | Alue | Kohde-IP-osoitteeseen liittyvä alue tai tila. Lisätietoja on artikkelissa Loogiset tyypit. Esimerkki Vermont |
| DstGeoCity | Valinnainen | Kaupunki | Kohde-IP-osoitteeseen liitetty kaupunki. Lisätietoja on artikkelissa Loogiset tyypit. Esimerkki Burlington |
| DstGeoLatitude | Valinnainen | Latitude | KOHDE-IP-osoitteeseen liittyvän maantieteellisen koordinaatin leveysaste. Lisätietoja on artikkelissa Loogiset tyypit. Esimerkki 44.475833 |
| DstGeoLongitude | Valinnainen | Pituusaste | IP-kohdeosoitteeseen liittyvän maantieteellisen koordinaatin pituusaste. Lisätietoja on artikkelissa Loogiset tyypit. Esimerkki 73.211944 |
| DstDescription | Valinnainen | Merkkijono | Laitteeseen liittyvä kuvaava teksti. Esimerkki: Primary Domain Controller. |
Kohdekäyttäjän kentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| DstUserId | Valinnainen | Merkkijono | Koneluettava, aakkosnumeerinen, kohdekäyttäjän yksilöllinen esitys. Lisätietoja tuetuista muodoista eri tunnustyypeille on Käyttäjä-entiteetissä. Esimerkki S-1-12 |
| DstUserScope | Valinnainen | Merkkijono | Laajuus, kuten Microsoft Entra vuokraaja, jossa DstUserId ja DstUsername on määritetty. jos haluat lisätietoja ja luettelon sallitut arvot, tutustu UserScope-artikkeliinRakenteen yleiskatsaus -artikkelissa. |
| DstUserScopeId | Valinnainen | Merkkijono | Vaikutusalueen tunnus, kuten Microsoft Entra-hakemistotunnus, johon DstUserId ja DstUsername on määritetty. Lisätietoja ja luettelo sallitut arvot on userscopeid-tunnuksen kohdassa Rakenteen yleiskatsaus -artikkelissa. |
| DstUserIdType | Ehdollinen | UserIdType | DstUserId-kenttään tallennetun tunnuksen tyyppi. Luettelo sallitut arvot ja lisätietoja on kohdassa UserIdTypeRakenteen yleiskatsaus -artikkelissa. |
| DstUsername | Valinnainen | Käyttäjänimi (merkkijono) | Kohdekäyttäjänimi, mukaan lukien toimialueen tiedot, kun se on käytettävissä. Lisätietoja tuetuista muodoista eri tunnustyypeille on Käyttäjä-entiteetissä. Käytä yksinkertaista lomaketta vain, jos toimialueen tiedot eivät ole käytettävissä. Tallenna Käyttäjänimi-tyyppi DstUsernameType-kenttään . Jos muita käyttäjänimimuotoja on käytettävissä, tallenna ne kenttiin DstUsername<UsernameType>.Esimerkki AlbertE |
| Käyttäjä | Alias | Alias kohtaan DstUsername. | |
| DstUsernameType | Ehdollinen | Käyttäjänimityyppi | Määrittää DstUsername-kenttään tallennetun käyttäjänimen tyypin. Luettelo sallitut arvot ja lisätietoja on kohdassa KäyttäjänimiTyyppiRakenteen yleiskatsaus -artikkelissa. Esimerkki Windows |
| DstUserType | Valinnainen | Käyttäjätyyppi | Kohdekäyttäjän tyyppi. Luettelo sallitut arvot ja lisätietoja on Kohdassa KäyttäjätyyppiRakenteen yleiskatsaus -artikkelissa. Huomautus: Arvo voidaan antaa lähdetietueessa käyttämällä eri termejä, jotka tulee normalisoida näihin arvoihin. Tallenna alkuperäinen arvo DstOriginalUserType-kenttään . |
| DstOriginalUserType | Valinnainen | Merkkijono | Alkuperäinen kohdekäyttäjätyyppi, jos lähde antaa sen. |
Kohdesovelluksen kentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| DstAppName | Valinnainen | Merkkijono | Kohdesovelluksen nimi. Esimerkki Facebook |
| DstAppId | Valinnainen | Merkkijono | Kohdesovelluksen tunnus raportointilaitteen ilmoittamana. Jos DstAppType on Process, DstAppId ja DstProcessId sillä pitäisi olla sama arvo.Esimerkki 124 |
| DstAppType | Valinnainen | AppType | Kohdesovelluksen tyyppi. Luettelo sallitut arvot ja lisätietoja on kohdassa AppTypeRakenteen yleiskatsaus -artikkelissa. Tämä kenttä on pakollinen, jos DstAppName - tai DstAppId-tunnusta käytetään. |
| DstProcessName | Valinnainen | Merkkijono | Verkkoistunnon lopettaneen prosessin tiedostonimi. Tätä nimeä pidetään yleensä prosessin nimenä. Esimerkki C:\Windows\explorer.exe |
| Prosessi | Alias |
DstProcessName-tunnus Esimerkki C:\Windows\System32\rundll32.exe |
|
| DstProcessId | Valinnainen | Merkkijono | Verkkoistunnon lopettaneen prosessin prosessitunnus (PID). Esimerkki 48610176 Huomautus: Tyyppi on määritetty merkkijonoksi, joka tukee vaihtelevia järjestelmiä, mutta Windowsissa ja Linux tämän arvon on oltava numeerinen. Jos käytät Windows- tai Linux konetta ja käytät eri tyyppiä, muista muuntaa arvot. Jos käytit esimerkiksi heksadesimaaliarvoa, muunna se desimaaliarvoksi. |
| DstProcessGuid | Valinnainen | Merkkijono | Luotu yksilöllinen tunnus (GUID) prosessille, joka lopetti verkkoistunnon. Esimerkki EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Lähdejärjestelmäkentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Src | Alias | Lähdelaitteen yksilöllinen tunnus. Tämä kenttä voi olla alias SrcDvcId-, SrcHostname- tai SrcIpAddr-kentät . Esimerkki 192.168.12.1 |
|
| SrcIpAddr | Suositellut | IP-osoite | IP-osoite, josta yhteys tai istunto sai alkunsa. Tämä arvo on pakollinen, jos SrcHostname on määritetty. Jos istunto käyttää verkko-osoitteen kääntämistä, SrcIpAddr on julkisesti näkyvä osoite eikä lähteen alkuperäinen osoite, joka on tallennettu SrcNatIpAddr-tietokantaanEsimerkki 77.138.103.108 |
| SrcPortNumber | Valinnainen | Kokonaisluku | IP-portti, josta yhteys on peräisin. Ei ehkä ole merkityksellistä, jos istunto koostuu useista yhteyksistä. Esimerkki 2335 |
| SrcHostname | Suositellut | Isäntänimi (merkkijono) | Lähdelaitteen isäntänimi ilman toimialuetietoja. Jos laitteen nimeä ei ole käytettävissä, tallenna asianmukainen IP-osoite tähän kenttään. Esimerkki DESKTOP-1282V4D |
| SrcDomain | Suositellut | Toimialue (merkkijono) | Lähdelaitteen toimialue. Esimerkki Contoso |
| SrcDomainType | Ehdollinen | Toimialueen tyyppi |
SrcDomain-tyyppi. Luettelo sallitut arvot ja lisätietoja on kohdassa ToimialuetyyppiRakenteen yleiskatsaus -artikkelissa. Pakollinen, jos SrcDomain on käytössä. |
| SrcFQDN | Valinnainen | FQDN (merkkijono) | Lähdelaitteen isäntänimi, mukaan lukien toimialueen tiedot, kun ne ovat käytettävissä. Huomautus: Tämä kenttä tukee sekä perinteistä FQDN-muotoa että Windowsin toimialue\isäntänimi-muotoa. SrcDomainType-kenttä kuvastaa käytettyä muotoa. Esimerkki Contoso\DESKTOP-1282V4D |
| SrcDvcId | Valinnainen | Merkkijono | Lähdelaitteen tunnus. Jos käytettävissä on useita tunnuksia, käytä tärkeintä ja tallenna muut kentät -kenttiin SrcDvc<DvcIdType>.Esimerkki ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Valinnainen | Merkkijono | Pilviympäristön vaikutusalueen tunnus, jolle laite kuuluu. SrcDvcScopeId-kartta tilaustunnukseen Azure ja tilin tunnukseen AWS:ssä. |
| SrcDvcScope | Valinnainen | Merkkijono | Pilviympäristön laajuus, jolle laite kuuluu. SrcDvcScope karttaa tilaustunnukseen Azure ja tilin tunnukseen AWS:ssä. |
| SrcDvcIdType | Ehdollinen | DvcIdType |
SrcDvcId-tyyppi. Luettelo sallitut arvot ja lisätietoja on artikkelissa DvcIdTypeRakenteen yleiskatsaus -artikkelissa. Huomautus: Tämä kenttä on pakollinen, jos käytetään SrcDvcId :tä. |
| SrcDeviceType | Valinnainen | Laitteen tyyppi | Lähdelaitteen tyyppi. Luettelo sallitut arvot ja lisätiedot on artikkelissa LaitetyyppiRakenteen yleiskatsaus -artikkelissa. |
| SrcZone | Valinnainen | Merkkijono | Lähteen verkkovyöhyke raportointilaitteen määrittämänä. Esimerkki Internet |
| SrcInterfaceName | Valinnainen | Merkkijono | Lähdelaitteen yhteyden tai istunnon käyttämä verkkoliittymä. Esimerkki eth01 |
| SrcInterfaceGuid | Valinnainen | GUID (merkkijono) | Lähdelaitteessa käytetyn verkkoliittymän GUID-tunnus. Esimerkki: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | Valinnainen | MAC-osoite (merkkijono) | Sen verkkoliittymän MAC-osoite, josta yhteys tai istunto on peräisin. Esimerkki 06:10:9f:eb:8f:14 |
| SrcVlanId | Valinnainen | Merkkijono | Lähdelaitteeseen liittyvä VLAN-tunnus. Esimerkki 130 |
| InnerVlanId | Alias | Alias kohtaan SrcVlanId. Monissa tapauksissa VLAN:ia ei voida määrittää lähteeksi tai kohteeksi, mutta se on luonnehdittu sisemmän tai ulomman. Tämä alias ilmaisee, että SrcVlanId :tä tulee käyttää, kun VLAN on luonnehdittu sisempään. |
|
| SrcGeoCountry | Valinnainen | Maa | Lähde-IP-osoitteeseen liittyvä maa tai alue. Esimerkki USA |
| SrcGeoRegion | Valinnainen | Alue | Lähde-IP-osoitteeseen liittyvä alue. Esimerkki Vermont |
| SrcGeoCity | Valinnainen | Kaupunki | Lähde-IP-osoitteeseen liitetty kaupunki. Esimerkki Burlington |
| SrcGeoLatitude | Valinnainen | Latitude | Lähde-IP-osoitteeseen liittyvän maantieteellisen koordinaatin leveysaste. Esimerkki 44.475833 |
| SrcGeoLongitude | Valinnainen | Pituusaste | Lähde-IP-osoitteeseen liittyvän maantieteellisen koordinaatin pituusaste. Esimerkki 73.211944 |
| SrcDescription | Valinnainen | Merkkijono | Laitteeseen liittyvä kuvaava teksti. Esimerkki: Primary Domain Controller. |
Lähdekäyttäjän kentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| SrcUserId | Valinnainen | Merkkijono | Koneluettava, aakkosnumeerinen, yksilöivä esitys lähdekäyttäjästä. Lisätietoja tuetuista muodoista eri tunnustyypeille on Käyttäjä-entiteetissä. Esimerkki S-1-12 |
| SrcUserScope | Valinnainen | Merkkijono | Laajuus, kuten Microsoft Entra vuokraaja, jossa SrcUserId ja SrcUsername on määritetty. jos haluat lisätietoja ja luettelon sallitut arvot, tutustu UserScope-artikkeliinRakenteen yleiskatsaus -artikkelissa. |
| SrcUserScopeId | Valinnainen | Merkkijono | Vaikutusalueen tunnus, kuten Microsoft Entra-hakemistotunnus, jossa SrcUserId ja SrcUsername on määritetty. Lisätietoja ja luettelo sallitut arvot on userscopeid-tunnuksen kohdassa Rakenteen yleiskatsaus -artikkelissa. |
| SrcUserIdType | Ehdollinen | UserIdType | SrcUserId-kenttään tallennetun tunnuksen tyyppi. Luettelo sallitut arvot ja lisätietoja on kohdassa UserIdTypeRakenteen yleiskatsaus -artikkelissa. |
| SrcUsername | Valinnainen | Käyttäjänimi (merkkijono) | Lähdekäyttäjänimi, mukaan lukien toimialuetiedot, kun se on käytettävissä. Lisätietoja tuetuista muodoista eri tunnustyypeille on Käyttäjä-entiteetissä. Käytä yksinkertaista lomaketta vain, jos toimialueen tiedot eivät ole käytettävissä. Tallenna Käyttäjänimi-tyyppi SrcUsernameType-kenttään . Jos muita käyttäjänimimuotoja on käytettävissä, tallenna ne kenttiin SrcUsername<UsernameType>.Esimerkki AlbertE |
| SrcUsernameType | Ehdollinen | Käyttäjänimityyppi | Määrittää SrcUsername-kenttään tallennetun käyttäjänimen tyypin. Luettelo sallitut arvot ja lisätietoja on kohdassa KäyttäjänimiTyyppiRakenteen yleiskatsaus -artikkelissa. Esimerkki Windows |
| SrcUserType | Valinnainen | Käyttäjätyyppi | Lähdekäyttäjän tyyppi. Luettelo sallitut arvot ja lisätietoja on Kohdassa KäyttäjätyyppiRakenteen yleiskatsaus -artikkelissa. Huomautus: Arvo voidaan antaa lähdetietueessa käyttämällä eri termejä, jotka tulee normalisoida näihin arvoihin. Tallenna alkuperäinen arvo SrcOriginalUserType-kenttään . |
| SrcOriginalUserType | Valinnainen | Merkkijono | Alkuperäinen kohdekäyttäjätyyppi, jos raporttilaite antaa sen. |
Lähdesovelluskentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| SrcAppName | Valinnainen | Merkkijono | Lähdesovelluksen nimi. Esimerkki filezilla.exe |
| SrcAppId | Valinnainen | Merkkijono | Lähdesovelluksen tunnus raportointilaitteen ilmoittamana. Jos SrcAppType on Process, SrcAppId ja SrcProcessId sillä pitäisi olla sama arvo.Esimerkki 124 |
| SrcAppType | Valinnainen | AppType | Lähdesovelluksen tyyppi. Luettelo sallitut arvot ja lisätietoja on kohdassa AppTypeRakenteen yleiskatsaus -artikkelissa. Tämä kenttä on pakollinen, jos käytetään SrcAppName - tai SrcAppId-tunnusta . |
| SrcProcessName | Valinnainen | Merkkijono | Verkkoistunnon aloittaneen prosessin tiedostonimi. Tätä nimeä pidetään yleensä prosessin nimenä. Esimerkki C:\Windows\explorer.exe |
| SrcProcessId | Valinnainen | Merkkijono | Verkkoistunnon aloittaneen prosessin prosessitunnus (PID). Esimerkki 48610176 Huomautus: Tyyppi on määritetty merkkijonoksi, joka tukee vaihtelevia järjestelmiä, mutta Windowsissa ja Linux tämän arvon on oltava numeerinen. Jos käytät Windows- tai Linux konetta ja käytät eri tyyppiä, muista muuntaa arvot. Jos käytit esimerkiksi heksadesimaaliarvoa, muunna se desimaaliarvoksi. |
| SrcProcessGuid | Valinnainen | Merkkijono | Luotu yksilöivä tunnus (GUID) prosessille, joka aloitti verkkoistunnon. Esimerkki EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Paikalliset ja etäaliakset
Kaikki yllä luetellut lähde- ja kohdekentät voidaan valinnaisesti määrittää samannimisillä kentillä sekä kuvaimilla Local ja Remote. Tästä on yleensä hyötyä päätepisteen ilmoittamille tapahtumille, joiden tapahtumatyyppi on EndpointNetworkSession.
Tällaisille tapahtumille kuvaajat Local ja Remote ilmaisevat päätepistettä itseään ja laitetta verkkoistunnon toisessa päässä. Saapuvissa yhteyksissä paikallinen järjestelmä on kohde, Local kentät ovat aliaksia kentille Dst ja Etä-kentät ovat aliaksia kentille Src . Toisaalta lähtevissä yhteyksissä paikallinen järjestelmä on lähde, Local kentät ovat kentille Src aliaksia ja Remote kentät ovat kentille Dst aliaksia.
Esimerkiksi saapuvan tapahtuman kenttä LocalIpAddr on alias DstIpAddr ja kenttä RemoteIpAddr on -alias SrcIpAddr.
Isäntänimi- ja IP-osoitealiakset
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Hostname | Alias | - Jos tapahtumatyyppi on , tai , Isäntänimi on Alias DstHostname-nimelle.L2NetworkSessionFlowNetworkSession- Jos tapahtumatyyppi on EndpointNetworkSession, Isäntänimi on alias kohteeseen RemoteHostname, joka voi olla alias joko DstHostname tai SrcHostNameNetworkDirection-parametrin mukaan |
|
| IpAddr | Alias | - Jos tapahtumatyyppi on , tai , IpAddr on Alias SrcIpAddr-tunnuksena.L2NetworkSessionFlowNetworkSession- Jos tapahtumatyyppi on EndpointNetworkSession, IpAddr on -alias LocalIpAddr, joka voi olla joko SrcIpAddr tai DstIpAddrNetworkDirection-tunnuksen mukaan. |
Välilaitteen ja verkko-osoitteen käännöskentät (NAT)
Seuraavat kentät ovat hyödyllisiä, jos tietue sisältää tietoja välittäjälaitteesta, kuten palomuurin tai välityspalvelimen, joka välittää verkkoistunnon.
Välittäjäjärjestelmissä käytetään usein osoitekäännöstä, joten alkuperäinen osoite ja ulkoisesti havaittu osoite eivät ole samat. Tällaisissa tapauksissa ensisijaiset osoitekentät, kuten SrcIPAddr ja DstIpAddr , edustavat havaittuja osoitteita ulkoisesti, kun taas NAT-osoitekentät SrcNatIpAddr ja DstNatIpAddr edustavat alkuperäisen laitteen sisäistä osoitetta ennen kääntämistä.
Tarkastuskentät
Seuraavia kenttiä käytetään edustamaan tarkastusta, jonka suoritti suojauslaite, kuten palomuuri, IPS tai verkkosuojausyhdyskäytävä:
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Verkon nimi | Valinnainen | Merkkijono | Sen säännön nimi tai tunnus, jolla DvcAction päätettiin. Esimerkki AnyAnyDrop |
| Verkonrulenumero | Valinnainen | Kokonaisluku | Sen säännön numero, jolla DvcAction päätettiin. Esimerkki 23 |
| Sääntö | Alias | Merkkijono | Joko NetworkRuleName-arvo tai NetworkRuleNumber-arvo. Jos NetworkRuleNumber-arvoa käytetään, tyyppi tulee muuntaa merkkijonoksi. |
| ThreatId | Valinnainen | Merkkijono | Verkkoistunnossa tunnistetun uhan tai haittaohjelmiston tunnus. Esimerkki Tr.124 |
| ThreatName | Valinnainen | Merkkijono | Verkkoistunnossa tunnistetun uhan tai haittaohjelmiston nimi. Esimerkki EICAR Test File |
| Uhkien luokka | Valinnainen | Merkkijono | Verkkoistunnossa tunnistetun uhan tai haittaohjelmiston luokka. Esimerkki Trojan |
| ThreatRiskLevel | Valinnainen | RiskLevel (kokonaisluku) | Istuntoon liittyvä riskitaso. Tason on oltava luku väliltä 0 - 100. Huomautus: Arvo voidaan antaa lähdetietueessa käyttämällä eri asteikkoa, joka tulee normalisoida tähän mittakaavaan. Alkuperäinen arvo tulee tallentaa kohteeseen ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Valinnainen | Merkkijono | Raportointilaitteen ilmoittama riskitaso. |
| ThreatIpAddr | Valinnainen | IP-osoite | IP-osoite, josta tunnistettiin uhka. ThreatField-kenttä sisältää ThreatIpAddr-kentän nimen. |
| Uhkakenttä | Ehdollinen | Lueteltu | Kenttä, josta uhka tunnistettiin. Arvo on joko SrcIpAddr tai DstIpAddr. |
| ThreatConfidence | Valinnainen | ConfidenceLevel (kokonaisluku) | Tunnistetun uhan luottamustaso normalisoituna arvoon 0 - 100. |
| ThreatOriginalConfidence | Valinnainen | Merkkijono | Raportoijalaitteen ilmoittama tunnistaman uhan alkuperäinen luotettavuustaso. |
| ThreatIsActive | Valinnainen | Totuusarvo | Tosi, jos tunnistettua uhkaa pidetään aktiivisena uhkana. |
| ThreatFirstReportedTime | Valinnainen | Datetime | Ensimmäinen kerta, kun IP-osoite tai toimialue tunnistettiin uhaksi. |
| ThreatLastReportedTime | Valinnainen | Datetime | Edellisen kerran IP-osoite tai toimialue tunnistettiin uhaksi. |
Muut kentät
Jos jokin verkkoistunnon päätepisteistä ilmoittaa tapahtumasta, se saattaa sisältää tietoja istunnon aloittaneesta tai päättyneestä prosessista. Tällaisissa tapauksissa ASIM-prosessitapahtuman rakennetta käytetään tietojen normalisointiin.
Rakennepäivitykset
Rakenteen versiossa 0.2.1 näkyvät seuraavat muutokset:
- Lisätty
SrcjaDstaliaksina lähde- ja kohdejärjestelmien johtavaan tunnukseen. - Kentät
NetworkConnectionHistory, ,SrcVlanIdDstVlanId,InnerVlanIdjaOuterVlanIdon lisätty.
Seuraavat muutokset ovat rakenteen versiossa 0.2.2:
- Lisätty
RemotejaLocalaliakset. - Tapahtumatyyppi
EndpointNetworkSessionon lisätty. - Määritetty
HostnamejaIpAddraliaksina tapahtumatyypilleRemoteHostnamejaLocalIpAddrvastaavassa järjestyksessä, kun tapahtumatyyppi onEndpointNetworkSession. - Määritetty
DvcInterfacealiakseksi kohteeseenDvcInboundInterfacetaiDvcOutboundInterface. - Muutti seuraavien kenttien tyypin kokonaisluvusta pitkäksi:
SrcBytes, ,DstBytes,NetworkBytes,SrcPackets,DstPacketsjaNetworkPackets. - Lisätty kenttä
NetworkProtocolVersion. - Vanhentuneet
DstUserDomainjaSrcUserDomain.
Seuraavat muutokset ovat rakenteen versiossa 0.2.3:
-
ipaddr_has_any_prefixLisätty suodatusparametri. -
hostname_has_anySuodatusparametri vastaa nyt joko lähteen tai kohteen isäntänimiä. - Lisätty kentät
ASimMatchingHostnamejaASimMatchingIpAddr.
Seuraavat muutokset ovat rakenteen versiossa 0.2.4:
- Kentät on
TcpFlagslisätty. - Päivitetty
NetworkIcpmTypevastaamaanNetworkIcmpCodekummankin lukuarvoa. - Lisätty ylimääräisiä tarkastuskenttiä.
- Kenttä ThreatRiskLevelOriginal nimettiin uudelleen asim-käytäntöjen mukaiseksi
ThreatOriginalRiskLevel. Aiemmin luodut Microsoft-jäsentimet säilytetäänThreatRiskLevelOriginal1.5.2023 asti. - Merkitty
EventResultDetailssuositelluksi ja määrittänyt sallitut arvot.
Seuraavat muutokset ovat rakenteen versiossa 0.2.5:
- Lisätty kentät
DstUserScope, ,SrcUserScopeSrcDvcScopeId,SrcDvcScope,DstDvcScopeId, ,DstDvcScope,DvcScopeIdjaDvcScope.
Rakenteen versiossa 0.2.6 näkyvät seuraavat muutokset:
- Lisätty IDS tapahtumatyyppinä
Seuraavat muutokset ovat rakenteen versiossa 0.2.7:
- Lisätty kentät
DstDescriptionjaSrcDescription
Seuraavat vaiheet
Lisätietoja on seuraavissa artikkeleissa: