Die Standardisierungsschemareferenz für das Advanced Security Information Model (ASIM) für Netzwerksitzungen

Das Normalisierungsschema der Microsoft Sentinel-Netzwerksitzung stellt eine IP-Netzwerkaktivität dar, z. B. Netzwerkverbindungen und Netzwerksitzungen. Solche Ereignisse werden beispielsweise von Betriebssystemen, Routern, Firewalls und Intrusion-Prevention-Systemen gemeldet.

Das Netzwerknormalisierungsschema kann zwar jede Art von IP-Netzwerksitzung darstellen, ist jedoch auf die Unterstützung gängiger Quelltypen wie Netflow, Firewalls und Intrusion-Prevention-Systeme ausgelegt.

Weitere Informationen zur Normalisierung in Microsoft Sentinel finden Sie unter Normalisierung und erweitertes Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM).

Parser

Weitere Informationen zu ASIM-Parsern finden Sie in der Übersicht über ASIM-Parser.

Vereinheitlichende Parsern

Um Parser zu verwenden, die alle bereits integrierten ASIM-Parser vereinheitlichen, und sicherzustellen, dass ihre Analyse über alle konfigurierten Quellen hinweg ausgeführt wird, verwenden Sie den Filterparser _Im_NetworkSession oder den parameterlosen Parser _ASim_NetworkSession.

Sie können auch vom Arbeitsbereich bereitgestellte ImNetworkSession- und ASimNetworkSession-Parser verwenden, indem Sie sie aus dem Microsoft Sentinel GitHub-Repository bereitstellen.

Weitere Informationen finden Sie unter Integrierte ASIM-Parser und im Arbeitsbereich bereitgestellte Parser.

Vorkonfigurierte, quellspezifische Parser

Die Liste der Netzwerksitzungsparser, die Microsoft Sentinel einsatzbereit zur Verfügung stellt, finden Sie in der ASIM-Parserliste

Hinzufügen eigener normalisierter Parser

Wenn Sie benutzerdefinierte Parser für das Netzwerksitzungs-Informationsmodell entwickeln, benennen Sie Ihre KQL-Funktionen anhand der folgenden Syntax:

vimNetworkSession<vendor><Product> für parametrisierte Parser
ASimNetworkSession<vendor><Product> für reguläre Parser

Im Artikel Verwalten von ASIM-Parsern erfahren Sie, wie Sie Ihre benutzerdefinierten Parser der Netzwerksitzung hinzufügen, die Parser vereinheitlicht.

Filtern von Parser-Parametern

Die Netzwerksitzungsparser unterstützen Filterparameter. Diese Parser sind optional, können aber die Abfrageleistung verbessern.

Die folgenden Filterparameter sind verfügbar:

Name	Typ	Beschreibung
StartTime	Datum/Uhrzeit	Filtern Sie nur Netzwerksitzungen, die zu oder nach diesem Zeitpunkt gestartet wurden.
EndTime	Datum/Uhrzeit	Filtern Sie nur Netzwerksitzungen, deren Ausführung zu oder nach diesem Zeitpunkt begonnen hat.
srcipaddr_has_any_prefix	dynamisch	Filtern Sie nur Netzwerksitzungen, deren Präfix des Felds für die Quell-IP-Adresse in einem der aufgeführten Werte enthalten ist. Präfixe müssen mit einem Punkt (`.`) enden. Beispiel: `10.0.` Die Länge der Liste ist auf 10.000 Elemente beschränkt.
dstipaddr_has_any_prefix	dynamisch	Filtern Sie nur Netzwerksitzungen, deren Präfix des Felds für die Ziel-IP-Adresse in einem der aufgeführten Werte enthalten ist. Präfixe müssen mit einem Punkt (`.`) enden. Beispiel: `10.0.` Die Länge der Liste ist auf 10.000 Elemente beschränkt.
ipaddr_has_any_prefix	dynamisch	Filtern Sie nur Netzwerksitzungen, deren Präfix des Felds für die Ziel-IP-Adresse oder des Felds für die Quell-IP-Adresse in einem der aufgeführten Werte enthalten ist. Präfixe müssen mit einem Punkt (`.`) enden. Beispiel: `10.0.` Die Länge der Liste ist auf 10.000 Elemente beschränkt. Das Feld ASimMatchingIpAddr wird mit einem der Werte `SrcIpAddrDstIpAddr`, oder `Both` festgelegt, um die übereinstimmenden Felder oder Felder widerzuspiegeln.
dstportNummer	Integer	Filtern Sie nur Netzwerksitzungen mit der angegebenen Zielportnummer.
hostname_has_any	dynamisch/Zeichenfolge	Filtern Sie nur Netzwerksitzungen, bei denen das Feld für den Zielhostnamen einen der aufgeführten Werte enthält. Die Länge der Liste ist auf 10.000 Elemente beschränkt. Das Feld ASimMatchingHostname wird mit einem der Werte `SrcHostnameDstHostname`, oder `Both` festgelegt, um die übereinstimmenden Felder oder Felder widerzuspiegeln.
dvcaction	dynamisch/Zeichenfolge	Filtern Sie nur Netzwerksitzungen, bei denen das Geräteaktionsfeld einen der aufgeführten Werte enthält.
EreignisErgebnis	Schnur	Filtern Sie nur Netzwerksitzungen mit einem bestimmten Wert für EventResult.

Einige Parameter können sowohl eine Liste von Werten des Typs dynamic als auch einen einzelnen Zeichenfolgenwert akzeptieren. Um eine Literalliste an Parameter zu übergeben, die einen dynamischen Wert erwarten, verwenden Sie explizit ein dynamisches Literal. Beispiel: dynamic(['192.168.','10.'])

Verwenden Sie beispielsweise Folgendes, um ausschließlich Netzwerksitzungen für eine angegebenen Liste von Domänennamen zu filtern:

let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)

Tipp

Um eine Literalliste an Parameter zu übergeben, die einen dynamischen Wert erwarten, verwenden Sie explizit ein dynamisches Literal. Beispiel: dynamic(['192.168.','10.']).

Normalisierter Inhalt

Eine vollständige Liste der Analyseregeln, die normalisierte DNS-Ereignisse verwenden, finden Sie unter Sicherheitsinhalte für Netzwerksitzungen.

Schemaübersicht

Das Netzwerksitzungsinformationsmodell ist auf das OSSEM-Netzwerkentitätsschema ausgerichtet.

Das Netzwerksitzungsschema bietet mehrere Arten ähnlicher, aber doch unterschiedlicher Szenarien, die dieselben Felder verwenden. Diese Szenarien werden durch das Feld EventType identifiziert:

NetworkSession – eine Netzwerksitzung, die von einem Zwischengerät gemeldet wird, das das Netzwerk überwacht, z. B. eine Firewall, ein Router oder ein Tap für ein Netzwerk.
L2NetworkSession - eine Netzwerksitzung, für die nur Layer-2-Informationen verfügbar sind. Solche Ereignisse umfassen MAC-Adressen, aber keine IP-Adressen.
Flow – ein aggregiertes Ereignis, das mehrere ähnliche Netzwerksitzungen meldet, in der Regel über einen vordefinierten Zeitraum, z. B. Netflow-Ereignisse.
EndpointNetworkSession – eine Netzwerksitzung, die von einem der Endpunkte der Sitzung gemeldet wird, einschließlich Clients und Servern. Für solche Ereignisse unterstützt das Schema die Aliasfelder remote und local.
IDS – eine Netzwerksitzung, die als verdächtig gemeldet wird. Bei einem solchen Ereignis werden einige der Prüffelder und möglicherweise nur ein IP-Adressfeld ausgefüllt, entweder die Quelle oder das Ziel.

In der Regel sollte eine Abfrage nur eine Teilmenge dieser Ereignistypen auswählen und muss möglicherweise einzelne Aspekte der Anwendungsfälle separat behandeln. IDS-Ereignisse spiegeln beispielsweise nicht das gesamte Netzwerkvolumen wider und sollten bei spaltenbasierten Analysen nicht berücksichtigt werden.

Netzwerksitzungsereignisse verwenden die Deskriptoren Src und Dst, um die Rollen der Geräte und der zugehörigen Benutzer und Anwendungen, die an der Sitzung beteiligt sind, zu bezeichnen. So werden beispielsweise der Hostname und die IP-Adresse des Quellgeräts mit SrcHostname und SrcIpAddr bezeichnet. Andere ASIM-Schemata verwenden in der Regel Target anstelle von Dst.

Bei Ereignissen, die von einem Endpunkt gemeldet werden und bei denen der Ereignistyp EndpointNetworkSession ist, bezeichnen die Deskriptoren Local und Remote den Endpunkt selbst bzw. das Gerät am anderen Ende der Netzwerksitzung.

Der Deskriptor Dvc wird für das Berichterstellungsgerät verwendet. Dabei handelt es sich um das lokale System für Sitzungen, die von einem Endpunkt gemeldet werden, und für das Zwischengerät oder den Netzwerk-TAP für andere Netzwerksitzungsereignisse.

Schemadetails

Allgemeine ASIM-Felder

Wichtig

Felder, die allen Schemas gemeinsam sind, werden im Artikel Allgemeine ASIM-Felder ausführlich beschrieben.

Allgemeine Felder mit bestimmten Richtlinien

In der folgenden Liste werden Felder erwähnt, die bestimmte Richtlinien für Netzwerksitzungsereignisse enthalten:

Feld	Klasse	Typ	Beschreibung
Ereignisanzahl	Obligatorisch.	Ganze Zahl	Netflow-Quellen unterstützen Aggregation, und das Feld EventCount muss auf den Wert des Netflow-Felds FLOWS festgelegt werden. Bei anderen Quellen wird der Wert in der Regel auf `1` festgelegt.
EventType (Ereignistyp)	Obligatorisch.	Aufgezählt	Beschreibt das vom Datensatz gemeldete Szenario. Für Netzwerksitzungsdatensätze sind die folgenden Werte zulässig: - `EndpointNetworkSession` - `NetworkSession` - `L2NetworkSession` - `IDS` - `Flow` Weitere Informationen zu Ereignistypen finden Sie in der Schemaübersicht.
EventSubtype	Wahlfrei	Aufgezählt	Zusätzliche Beschreibung des Ereignistyps, falls zutreffend. Für Netzwerksitzungsdatensätze werden folgende Werte unterstützt: - `Start` - `End` Dieses Feld ist für `Flow`-Ereignisse nicht relevant.
EventResult	Obligatorisch.	Aufgezählt	Wenn das Quellgerät kein Ereignisergebnis angibt, sollte EventResult auf dem Wert von DvcAction basieren. Wenn DvcAction entsprechend `Deny`, `Drop`, `Drop ICMP`, `Reset`, `Reset Source` oder `Reset Destination` ist , sollte EventResult entsprechend `Failure` sein. Andernfalls sollte EventResult`Success` sein.
EventResultDetails	Empfohlen	Aufgezählt	Grund oder Details für das im Feld EventResult gemeldete Ergebnis. Diese Werte werden unterstützt: - Ausfall - Ungültiges TCP - Ungültiger Tunnel - Maximale Wiederholungsversuche - Zurücksetzen - Routingproblem -Simulation - Beendet -Zeitüberschreitung - Vorübergehender Fehler - Unbekannt - N/V. Der ursprüngliche, quellspezifische Wert wird im Feld EventOriginalResultDetails gespeichert.
EventSchema (Ereignis)	Obligatorisch.	Aufgezählt	Der Name des hier dokumentierten Schemas lautet `NetworkSession`.
EventSchemaVersion	Obligatorisch.	SchemaVersion (String)	Die Version des Schemas. Die Version des hier dokumentierten Schemas lautet `0.2.7`.
DvcAktion	Empfohlen	Aufgezählt	Die für die Netzwerksitzung vorgenommene Aktion. Diese Werte werden unterstützt: - `Allow` - `Deny` - `Drop` - `Drop ICMP` - `Reset` - `Reset Source` - `Reset Destination` - `Encrypt` - `Decrypt` - `VPNroute` Hinweis: Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Der ursprüngliche Wert muss im Feld DvcOriginalAction gespeichert werden. Beispiel: `drop`
EreignisSchweregrad	Wahlfrei	Aufgezählt	Wenn das Quellgerät keinen Ereignisschweregrad angibt, sollte EventSeverity auf dem Wert von DvcAction basieren. Wenn DvcAction entsprechend `Deny`, `Drop`, `Drop ICMP`, `Reset`, `Reset Source` oder `Reset Destination` ist , sollte EventSeverity`Low` sein. Andernfalls sollte EventSeverity`Informational` sein.
DvcSchnittstelle			Das Feld „DvcInterface“ sollte einen Alias für die Felder DvcInboundInterface oder DvcOutboundInterface enthalten.
Dvc-Felder			Bei Netzwerksitzungsereignissen verweisen Gerätefelder auf das System, von dem das Netzwerksitzungsereignis gemeldet wird.

Alle allgemeinen Felder

Felder, die in der folgenden Tabelle angezeigt werden, sind für alle ASIM-Schemas gleich. Jede oben angegebene Richtlinie setzt die allgemeinen Richtlinien für das Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel Allgemeine ASIM-Felder.

Klasse	Felder
Obligatorisch.	- Ereignisanzahl - EventStartZeit - EventEndTime - EventType (Ereignistyp) - EventResult - EventProdukt - EventVendor (Englisch) - EventSchema (Ereignis) - EventSchemaVersion - Dvc
Empfohlen	- EventResultDetails - EreignisSchweregrad - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdTyp - DvcAktion
Wahlfrei	- EventMessage (Ereignisnachricht) - EventSubtype - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion (EreignisProduktversion) - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAktion - DvcSchnittstelle - ZusätzlicheFelder - DvcBeschreibung - DvcScopeId - Dvc-Bereich

Netzwerksitzungsfelder

Feld	Klasse	Typ	Beschreibung
NetworkApplicationProtocol (NetzwerkAnwendungsProtokoll)	Wahlfrei	Schnur	Das Protokoll der Anwendungsschicht, das von der Verbindung oder der Sitzung verwendet wird. Der Wert muss vollständig in Großbuchstaben geschrieben werden. Beispiel: `FTP`
NetzwerkProtokoll	Wahlfrei	Aufgezählt	Das IP-Protokoll, das von der Verbindung oder Sitzung verwendet wird, wie in der IANA-Protokollzuweisung aufgeführt (üblicherweise `TCP`, `UDP` oder `ICMP`). Beispiel: `TCP`
NetworkProtocolVersion	Wahlfrei	Aufgezählt	Die Version von NetworkProtocol. Wenn Sie sie verwenden, um zwischen der IP-Version zu unterscheiden, verwenden Sie die Werte `IPv4` und `IPv6`.
NetzwerkRichtung	Wahlfrei	Aufgezählt	Die Richtung der Verbindung oder Sitzung: - Für eventType oder `NetworkSession`NetworkDirection `Flow` stellt die Richtung relativ zur Organisations- oder Cloudumgebungsgrenze dar. Unterstützte Werte sind `Inbound`, `Outbound`, `Local` (für die Organisation), `External` (für die Organisation) oder `NA` (Nicht zutreffend). - Für eventType `EndpointNetworkSession`stellt NetworkDirection die Richtung relativ zum Endpunkt dar. Unterstützte Werte sind `Inbound`, `Outbound`, `Local` (für das System) `Listen` oder `NA` (Nicht zutreffend). Der Wert `Listen` gibt an, dass ein Gerät mit der Annahme von Netzwerkverbindungen begonnen hat, aber nicht unbedingt, dass es auch verbunden ist.
Netzwerk-Dauer	Wahlfrei	Ganze Zahl	Die Zeitspanne in Millisekunden für den Abschluss der Netzwerksitzung oder Verbindung. Beispiel: `1500`
Dauer	Alias		Alias für NetworkDuration.
NetworkIcmpType	Wahlfrei	Schnur	Für eine ICMP-Nachricht wird der NAME des ICMP-Typs, der dem numerischen Wert zugeordnet ist, wie in RFC 2780 für IPv4-Netzwerkverbindungen oder in RFC 4443 für IPv6-Netzwerkverbindungen beschrieben. Beispiel: `Destination Unreachable` für NetworkIcmpCode `3`
NetworkIcmpCode (Englisch)	Wahlfrei	Ganze Zahl	Bei einer ICMP-Nachricht die ICMP-Codenummer, wie in RFC 2780 für IPv4-Netzwerkverbindungen bzw. in RFC 4443 für IPv6-Netzwerkverbindungen beschrieben.
NetworkConnectionGeschichte	Wahlfrei	Schnur	TCP-Flags und andere potenzielle IP-Headerinformationen.
DstBytes	Empfohlen	Lang	Die Anzahl Bytes, die für die Verbindung oder Sitzung vom Ziel an die Quelle gesendet werden. Wenn das Ereignis aggregiert wird, sollte DstBytes der Summe aller aggregierten Sitzungen entsprechen. Beispiel: `32455`
SrcBytes	Empfohlen	Lang	Die Anzahl Bytes, die für die Verbindung oder Sitzung von der Quelle an das Ziel gesendet werden. Wenn das Ereignis aggregiert wird, sollte SrcBytes der Summe aller aggregierten Sitzungen entsprechen. Beispiel: `46536`
Netzwerk-Bytes	Wahlfrei	Lang	Die Anzahl Bytes, die in beide Richtungen gesendet werden. Wenn sowohl BytesReceived als auch BytesSent vorliegt, sollte BytesTotal ihrer Summe entsprechen. Wenn das Ereignis aggregiert wird, sollte NetworkBytes der Summe aller aggregierten Sitzungen entsprechen. Beispiel: `78991`
Dst-Pakete	Wahlfrei	Lang	Die Anzahl Pakete, die für die Verbindung oder Sitzung vom Ziel an die Quelle gesendet werden. Die Bedeutung eines Pakets wird vom meldenden Gerät definiert. Wenn das Ereignis aggregiert wird, sollte DstPackets der Summe aller aggregierten Sitzungen entsprechen. Beispiel: `446`
Src-Pakete	Wahlfrei	Lang	Die Anzahl Pakete, die für die Verbindung oder Sitzung von der Quelle ans Ziel gesendet werden. Die Bedeutung eines Pakets wird vom meldenden Gerät definiert. Wenn das Ereignis aggregiert wird, sollte SrcPackets der Summe aller aggregierten Sitzungen entsprechen. Beispiel: `6478`
Netzwerk-Pakete	Wahlfrei	Lang	Die Anzahl von Paketen, die in beide Richtungen gesendet werden. Wenn sowohl PacketsReceived als auch PacketsSent vorhanden sind, sollte PacketsTotal deren Summe entsprechen. Die Bedeutung eines Pakets wird vom meldenden Gerät definiert. Wenn das Ereignis aggregiert wird, sollte NetworkPackets der Summe aller aggregierten Sitzungen entsprechen. Beispiel: `6924`
NetzwerkSessionId	Wahlfrei	Zeichenfolge	Der Sitzungsbezeichner, der vom meldenden Gerät gemeldet wird. Beispiel: `172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80`
Sitzungs-ID	Alias	Schnur	Alias für NetworkSessionId.
TcpFlagsAck	Wahlfrei	Boolescher Typ (Boolean)	Das gemeldete TCP ACK-Flag. Das Bestätigungsflag (Acknowledgement) wird verwendet, um den erfolgreichen Empfang eines Pakets zu bestätigen. Wie wir aus dem obigen Diagramm erkennen können, sendet der Empfänger ein ACK und ein SYN im zweiten Schritt des Dreiwege-Handshake-Prozesses, um dem Absender mitzuteilen, dass er dessen erstes Paket empfangen hat.
TcpFlagsFin	Wahlfrei	Boolescher Typ (Boolean)	Das gemeldete TCP FIN-Flag. Das „Finished“-Flag (fertig) bedeutet, dass keine weiteren Daten vom Absender mehr vorhanden sind. Daher wird es im letzten Paket verwendet, das vom Absender gesendet wird.
TcpFlagsSyn	Wahlfrei	Boolescher Typ (Boolean)	Das gemeldete TCP SYN-Flag. Das Synchronisierungsflag wird als erster Schritt verwendet, um einen Dreiwege-Handshake zwischen zwei Hosts herzustellen. Nur im ersten Paket sowohl des Absenders als auch des Empfängers sollte dieses Flag festgelegt sein.
TcpFlagsUrg	Wahlfrei	Boolescher Typ (Boolean)	Das gemeldete TCP URG-Flag. Das „Urgent“-Flag (dringend) wird verwendet, um den Empfänger darüber zu benachrichtigen, dass die dringenden Pakete vor allen anderen Paketen verarbeitet werden sollen. Der Empfänger wird benachrichtigt, wenn alle bekannten dringenden Daten empfangen wurden. Weitere Informationen finden Sie unter RFC 6093.
TcpFlagsPsh	Wahlfrei	Boolescher Typ (Boolean)	Das gemeldete TCP PSH-Flag. Das Push-Flag ähnelt dem URG-Flag und teilt dem Empfänger mit, dass diese Pakete sofort verarbeitet werden sollen, wenn sie empfangen werden, anstatt sie zu puffern.
TcpFlagsRst	Wahlfrei	Boolescher Typ (Boolean)	Das gemeldete TCP RST-Flag. Das Zurücksetzen-Flag (Reset) wird vom Empfänger an den Absender gesendet, wenn ein Paket an einen bestimmten Host gesendet wurde, der es nicht erwartet hat.
TcpFlagsEce	Wahlfrei	Boolescher Typ (Boolean)	Das gemeldete TCP ECE-Flag. Dieses Flag ist dafür verantwortlich, anzuzeigen, ob der TCP-Peer ECN-fähig ist. Weitere Informationen finden Sie unter RFC 3168.
TcpFlagsCwr	Wahlfrei	Boolescher Typ (Boolean)	Das gemeldete TCP CWR-Flag. Das „Überlastungsfenster verkleinert“-Flag (Congestion Window Reduced) wird vom sendenden Host verwendet, um anzuzeigen, dass er ein Paket mit festgelegtem ECE-Flag empfangen hat. Weitere Informationen finden Sie unter RFC 3168.
TcpFlagsNs	Wahlfrei	Boolescher Typ (Boolean)	Das gemeldete TCP NS-Flag. Das „Nonce-Summe“-Flag ist immer noch ein experimentelles Flag, das zum Schutz vor versehentlicher böswilliger Verschleierung von Paketen vom Absender verwendet wird. Weitere Informationen finden Sie unter RFC 3540.

Felder für „Zielsystem“

Feld	Klasse	Typ	Beschreibung
Dst	Alias		Ein eindeutiger Bezeichner des Servers, der die DNS-Anforderung empfängt. Dieses Feld kann ein Alias für das Feld DstDvcId, DstHostname oder DstIpAddr sein. Beispiel: `192.168.12.1`
DstIpAddr	Empfohlen	IP-Adresse	Die IP-Adresse der Verbindung oder des Sitzungsziels. Wenn die Sitzung die Netzwerkadressenübersetzung verwendet, ist `DstIpAddr` die öffentlich sichtbare Adresse und nicht die ursprüngliche Adresse der Quelle, die in DstNatIpAddr gespeichert ist. Beispiel: `2001:db8::ff00:42:8329` Hinweis: Dieser Wert ist obligatorisch, wenn DstHostname angegeben wird.
DstPortNummer	Wahlfrei	Ganze Zahl	Der Ziel-IP-Port Beispiel: `443`
DstHostname	Empfohlen	Hostname (String)	Der Hostname des Zielgeräts ohne Domäneninformationen. Wenn kein Gerätename verfügbar ist, speichern Sie die entsprechende IP-Adresse in diesem Feld. Beispiel: `DESKTOP-1282V4D`
DstDomain	Empfohlen	Domain (String)	Die Domäne des Zielgeräts. Beispiel: `Contoso`
DstDomainType	Bedingt	Aufgezählt	Der Typ von DstDomain. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DomainType im Artikel „Schemaübersicht“. Erforderlich, wenn DstDomain verwendet wird.
DstFQDN	Wahlfrei	FQDN (Saite)	Der Hostname des Zielgeräts einschließlich Domäneninformationen, sofern verfügbar. Beispiel: `Contoso\DESKTOP-1282V4D` Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format „Domäne\Hostname“. DstDomainType spiegelt das verwendete Format wider.
DstDvcId	Wahlfrei	Schnur	Die ID des Zielgeräts. Wenn mehrere IDs verfügbar sind, verwenden Sie die wichtigste, und speichern Sie die anderen in den Feldern `DstDvc<DvcIdType>`. Beispiel: `ac7e9755-8eae-4ffc-8a02-50ed7a2216c3`
DstDvcScopeId	Wahlfrei	Schnur	Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. DstDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
DstDvcScope	Wahlfrei	Schnur	Der Cloudplattformbereich, zu dem das Gerät gehört. DstDvcScope wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
DstDvcIdTyp	Bedingt	Aufgezählt	Der Typ von DstDvcId. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType im Artikel „Schemaübersicht“. Erforderlich, wenn DstDeviceId verwendet wird.
DstDeviceType	Wahlfrei	Aufgezählt	Der Typ des Zielgeräts. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DeviceType im Artikel „Schemaübersicht“.
DstZone	Wahlfrei	Schnur	Die Netzwerkzone des Ziels, wie sie vom meldenden Gerät definiert wird. Beispiel: `Dmz`
DstInterfaceName	Wahlfrei	Schnur	Die Netzwerkschnittstelle, die vom Zielgerät für die Verbindung oder Sitzung verwendet wird. Beispiel: `Microsoft Hyper-V Network Adapter`
DstInterfaceGuid	Wahlfrei	GUID (Saite)	Die GUID der Netzwerkschnittstelle, die auf dem Zielgerät verwendet wird. Beispiel: `46ad544b-eaf0-47ef-` `827c-266030f545a6`
DstMacAddr	Wahlfrei	MAC-Adresse (String)	Die MAC-Adresse der Netzwerkschnittstelle, die vom Zielgerät für die Verbindung oder Sitzung verwendet wird. Beispiel: `06:10:9f:eb:8f:14`
DstVlanId	Wahlfrei	Schnur	Die zugehörige VLAN-ID für das Zielgerät. Beispiel: `130`
OuterVlanId	Alias		Alias für DstVlanId. In vielen Fällen kann das VLAN nicht als Quelle oder Ziel bestimmt werden, sondern wird als „Inner“ (innen) oder „Outer“ (außen) gekennzeichnet. Dieser Alias für gibt an, dass DstVlanId verwendet werden soll, wenn das VLAN als „Outer“ (außen) gekennzeichnet ist.
DstGeoLand	Wahlfrei	Land / Region	Das Land/die Region, das der ZIEL-IP-Adresse zugeordnet ist. Weitere Informationen finden Sie unter Logische Typen. Beispiel: `USA`
DstGeoRegion	Wahlfrei	Region	Die der Ziel-IP-Adresse zugeordnete Region bzw. der Staat. Weitere Informationen finden Sie unter Logische Typen. Beispiel: `Vermont`
DstGeoCity	Wahlfrei	Stadt	Die Stadt, die der Ziel-IP-Adresse zugeordnet ist. Weitere Informationen finden Sie unter Logische Typen. Beispiel: `Burlington`
DstGeoLatitude	Wahlfrei	Breitengrad	Der Breitengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist. Weitere Informationen finden Sie unter Logische Typen. Beispiel: `44.475833`
DstGeoLängengrad	Wahlfrei	Längengrad	Der Längengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist. Weitere Informationen finden Sie unter Logische Typen. Beispiel: `73.211944`
DstBeschreibung	Wahlfrei	Schnur	Ein mit dem Gerät verknüpfter beschreibender Text. Beispiel: `Primary Domain Controller`.

Felder für „Zielbenutzer“

Feld	Klasse	Typ	Beschreibung
DstUserId	Wahlfrei	Schnur	Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Zielbenutzers. Das unterstützte Format für verschiedene ID-Typen finden Sie unter Die Benutzerentität. Beispiel: `S-1-12`
DstUserScope	Wahlfrei	Schnur	Der Bereich (z. B. der Microsoft Entra-Mandant), in dem DstUserId und DstUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht.
DstUserScopeId	Wahlfrei	Schnur	Die Bereichs-ID (z. B. die Microsoft Entra-Verzeichnis-ID), in der DstUserId und DstUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht.
DstUserIdType	Bedingt	Benutzer-IdTyp	Der Typ der ID, die im Feld DstUserId gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserIdType im Artikel „Schemaübersicht“.
DstBenutzername	Wahlfrei	Benutzername (String)	Der Zielbenutzername einschließlich Domäneninformationen, sofern verfügbar. Das unterstützte Format für verschiedene ID-Typen finden Sie unter Die Benutzerentität. Verwenden Sie dieses einfache Format nur, wenn keine Domäneninformationen verfügbar sind. Speichern Sie den Benutzernamenstyp im Feld DstUsernameType. Wenn andere Benutzernamenformate verfügbar sind, speichern Sie sie in den Feldern `DstUsername<UsernameType>`. Beispiel: `AlbertE`
Benutzer	Alias		Alias für DstUsername.
DstUsernameType (DstBenutzername)	Bedingt	BenutzernameTyp	Gibt den Typ des Benutzernamens an, der im Feld DstUsername gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UsernameType im Artikel „Schemaübersicht“. Beispiel: `Windows`
DstUserType	Wahlfrei	Benutzertyp	Der Typ des Zielbenutzers. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserType im Artikel „Schemaübersicht“. Hinweis: Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld DstOriginalUserType.
DstOriginalUserType	Wahlfrei	Schnur	Der ursprüngliche Zielbenutzertyp, sofern von der Quelle bereitgestellt.

Felder für „Zielanwendung“

Feld	Klasse	Typ	Beschreibung
DstAppName	Wahlfrei	Schnur	Der Name der Zielanwendung. Beispiel: `Facebook`
DstAppId	Wahlfrei	Schnur	Die ID der Zielanwendung, wie vom meldenden Gerät angegeben. Wenn DstAppType ist `Process`, `DstAppId` und `DstProcessId` sollte denselben Wert haben. Beispiel: `124`
DstAppType	Wahlfrei	App-Typ	Der Typ der Zielanwendung. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter AppType im Artikel „Schemaübersicht“. Dieses Feld ist obligatorisch, wenn DstAppName oder DstAppId verwendet wird.
DstProcessName	Wahlfrei	Schnur	Der Dateiname des Prozesses, der die Netzwerksitzung beendet hat. Dieser Name wird in der Regel als Prozessname betrachtet. Beispiel: `C:\Windows\explorer.exe`
Prozess	Alias		Alias für den DstProcessName Beispiel: `C:\Windows\System32\rundll32.exe`
DstProcessId	Wahlfrei	Schnur	Die Prozess-ID (PID) des Prozesses, der die Netzwerksitzung beendet hat. Beispiel: `48610176` Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows und Linux muss dieser Wert numerisch sein. Wenn Sie einen Windows- oder Linux-Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie diesen in einen Dezimalwert.
DstProcessGuid	Wahlfrei	Schnur	Ein generierter eindeutiger Bezeichner (GUID) des Prozesses, der die Netzwerksitzung beendet hat. Beispiel: `EF3BD0BD-2B74-60C5-AF5C-010000001E00`

Felder für „Quellsystem“

Feld	Klasse	Typ	Beschreibung
Src	Alias		Der eindeutige Bezeichner des Quellgeräts. Dieses Feld kann ein Alias für das Feld SrcDvcId, SrcHostname oder SrcIpAddr sein. Beispiel: `192.168.12.1`
SrcIpAddr	Empfohlen	IP-Adresse	Die IP-Adresse, von der die Verbindung oder Sitzung stammt. Dieser Wert ist obligatorisch, wenn SrcHostname angegeben wird. Wenn die Sitzung die Netzwerkadressenübersetzung verwendet, ist `SrcIpAddr` die öffentlich sichtbare Adresse und nicht die ursprüngliche Adresse der Quelle, die in SrcNatIpAddr gespeichert ist. Beispiel: `77.138.103.108`
SrcPortNummer	Wahlfrei	Ganze Zahl	Der IP-Port, von dem die Verbindung stammt. Ist möglicherweise für Sitzungen, die mehrere Verbindungen umfassen, nicht relevant. Beispiel: `2335`
SrcHostname	Empfohlen	Hostname (String)	Der Hostname des Quellgeräts ohne Domäneninformationen. Wenn kein Gerätename verfügbar ist, speichern Sie die entsprechende IP-Adresse in diesem Feld. Beispiel: `DESKTOP-1282V4D`
SrcDomain	Empfohlen	Domain (String)	Die Domäne des Quellgeräts. Beispiel: `Contoso`
SrcDomainType	Bedingt	DomainType (Domäne)	Der Typ von SrcDomain. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DomainType im Artikel „Schemaübersicht“. Erforderlich, wenn SrcDomain verwendet wird.
SrcFQDN	Wahlfrei	FQDN (Saite)	Der Hostname des Quellgeräts ggf. mit Informationen zur Domäne. Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format „Domäne\Hostname“. Das Feld SrcDomainType spiegelt das verwendete Format wider. Beispiel: `Contoso\DESKTOP-1282V4D`
SrcDvcId	Wahlfrei	Schnur	Die ID des Quellgeräts. Wenn mehrere IDs verfügbar sind, verwenden Sie die wichtigste, und speichern Sie die anderen in den Feldern `SrcDvc<DvcIdType>`. Beispiel: `ac7e9755-8eae-4ffc-8a02-50ed7a2216c3`
SrcDvcScopeId	Wahlfrei	Schnur	Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
SrcDvc-Bereich	Wahlfrei	Schnur	Der Cloudplattformbereich, zu dem das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
SrcDvcIdTyp	Bedingt	DvcIdTyp	Der Typ von SrcDvcId. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType im Artikel „Schemaübersicht“. Hinweis: Dieses Feld ist erforderlich, wenn das Feld SrcDvcId verwendet wird.
SrcDeviceType	Wahlfrei	Typ des Geräts	Der Typ des Quellgeräts. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DeviceType im Artikel „Schemaübersicht“.
SrcZone	Wahlfrei	Schnur	Die Netzwerkzone der Quelle, wie sie vom meldenden Gerät definiert wird. Beispiel: `Internet`
SrcInterfaceName	Wahlfrei	Schnur	Die Netzwerkschnittstelle, die vom Quellgerät für die Verbindung oder Sitzung verwendet wird. Beispiel: `eth01`
SrcInterfaceGuid	Wahlfrei	GUID (Saite)	Die GUID der Netzwerkschnittstelle, die auf dem Quellgerät verwendet wird. Beispiel: `46ad544b-eaf0-47ef-` `827c-266030f545a6`
SrcMacAddr	Wahlfrei	MAC-Adresse (String)	Die MAC-Adresse der Netzwerkschnittstelle, von der aus die Verbindung oder Sitzung hergestellt wurde. Beispiel: `06:10:9f:eb:8f:14`
SrcVlanId	Wahlfrei	Schnur	Die zugehörige VLAN-ID für das Quellgerät. Beispiel: `130`
InnerVlanId	Alias		Alias für SrcVlanId. In vielen Fällen kann das VLAN nicht als Quelle oder Ziel bestimmt werden, sondern wird als „Inner“ (innen) oder „Outer“ (außen) gekennzeichnet. Dieser Alias für gibt an, dass SrcVlanId verwendet werden soll, wenn das VLAN als „Inner“ (innen) gekennzeichnet ist.
SrcGeoLand	Wahlfrei	Land / Region	Das Land/die Region, das der Quell-IP-Adresse zugeordnet ist. Beispiel: `USA`
SrcGeoRegion	Wahlfrei	Region	Die der Quell-IP-Adresse zugeordnete Region. Beispiel: `Vermont`
SrcGeoCity	Wahlfrei	Stadt	Die Stadt, die der Quell-IP-Adresse zugeordnet ist. Beispiel: `Burlington`
SrcGeoLatitude	Wahlfrei	Breitengrad	Der Breitengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. Beispiel: `44.475833`
SrcGeoLängengrad	Wahlfrei	Längengrad	Der Längengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. Beispiel: `73.211944`
SrcBeschreibung	Wahlfrei	Schnur	Ein mit dem Gerät verknüpfter beschreibender Text. Beispiel: `Primary Domain Controller`.

Felder für „Quellbenutzer“

Feld	Klasse	Typ	Beschreibung
SrcUserId	Wahlfrei	Schnur	Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Quellbenutzers. Das unterstützte Format für verschiedene ID-Typen finden Sie unter Die Benutzerentität. Beispiel: `S-1-12`
SrcUserScope	Wahlfrei	Schnur	Der Bereich (z. B. der Microsoft Entra-Mandant), in dem SrcUserId und SrcUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht.
SrcUserScopeId	Wahlfrei	Schnur	Die Bereichs-ID (z. B. die Microsoft Entra-Verzeichnis-ID), in der SrcUserId und SrcUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht.
SrcUserIdType	Bedingt	Benutzer-IdTyp	Der Typ der ID, die im Feld SrcUserId gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserIdType im Artikel „Schemaübersicht“.
SrcBenutzername	Wahlfrei	Benutzername (String)	Der Quellbenutzername einschließlich Informationen zur Domäne, falls verfügbar. Das unterstützte Format für verschiedene ID-Typen finden Sie unter Die Benutzerentität. Verwenden Sie dieses einfache Format nur, wenn keine Domäneninformationen verfügbar sind. Speichern Sie den Benutzernamenstyp im Feld SrcUsernameType. Wenn andere Benutzernamenformate verfügbar sind, speichern Sie sie in den Feldern `SrcUsername<UsernameType>`. Beispiel: `AlbertE`
SrcUsernameType	Bedingt	BenutzernameTyp	Gibt den Typ des Benutzernamens an, der im Feld SrcUsername gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UsernameType im Artikel „Schemaübersicht“. Beispiel: `Windows`
SrcUserType	Wahlfrei	Benutzertyp	Der Typ des Quellbenutzers. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserType im Artikel „Schemaübersicht“. Hinweis: Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld SrcOriginalUserType.
SrcOriginalUserType	Wahlfrei	Schnur	Der ursprüngliche Zielbenutzertyp, sofern vom meldenden Gerät bereitgestellt.

Felder für „Quellanwendung“

Feld	Klasse	Typ	Beschreibung
SrcAppName	Wahlfrei	Schnur	Der Name der Quellanwendung. Beispiel: `filezilla.exe`
SrcAppId	Wahlfrei	Schnur	Die ID der Quellanwendung, wie vom meldenden Gerät angegeben. Wenn SrcAppType den Wert `Process` hat, sollten `SrcAppId` und `SrcProcessId` denselben Wert haben. Beispiel: `124`
SrcAppType	Wahlfrei	App-Typ	Der Typ der Quellanwendung. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter AppType im Artikel „Schemaübersicht“. Dieses Feld ist obligatorisch, wenn SrcAppName oder SrcAppId verwendet wird.
SrcProcessName	Wahlfrei	Schnur	Der Dateiname des Prozesses, der die Netzwerksitzung initiiert hat. Dieser Name wird in der Regel als Prozessname betrachtet. Beispiel: `C:\Windows\explorer.exe`
SrcProcessId	Wahlfrei	Schnur	Die Prozess-ID (PID) des Prozesses, der die Netzwerksitzung initiiert hat. Beispiel: `48610176` Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows und Linux muss dieser Wert numerisch sein. Wenn Sie einen Windows- oder Linux-Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie diesen in einen Dezimalwert.
SrcProcessGuid	Wahlfrei	Schnur	Ein generierter eindeutiger Bezeichner (GUID) des Prozesses, der die Netzwerksitzung initiiert hat. Beispiel: `EF3BD0BD-2B74-60C5-AF5C-010000001E00`

Lokale Aliase und Remotealiase

Alle oben aufgeführten Quell- und Zielfelder können optional durch Felder mit demselben Namen und den Deskriptoren Local und Remote als Aliase ersetzt werden. Dies ist in der Regel hilfreich für Ereignisse, die von einem Endpunkt gemeldet werden und für die der Ereignistyp EndpointNetworkSession lautet.

Für solche Ereignisse bezeichnen die Deskriptoren Local und Remote den Endpunkt selbst bzw. das Gerät am anderen Ende der Netzwerksitzung. Bei eingehenden Verbindungen ist das lokale System das Ziel, Local-Felder sind Aliase für die Dst-Felder, und „Remote“-Felder sind Aliase für Src-Felder. Im Gegensatz dazu ist bei ausgehenden Verbindungen das lokale System die Quelle, Local-Felder sind Aliase für Src-Felder und Remote-Felder sind Aliase für Dst-Felder.

Für ein eingehendes Ereignis ist das Feld LocalIpAddr beispielsweise ein Alias für DstIpAddr und das Feld RemoteIpAddr ist ein Alias für SrcIpAddr.

Aliase für Hostname und IP-Adresse

Feld	Klasse	Typ	Beschreibung
Hostname	Alias		– Wenn der Ereignistyp `NetworkSession`, `Flow` oder `L2NetworkSession` ist, ist „Hostname“ ein Alias für DstHostname. – Wenn der Ereignistyp `EndpointNetworkSession` ist, ist „Hostname“ ein Alias für `RemoteHostname`, der je nach NetworkDirection entweder DstHostname oder SrcHostName als Alias verwenden kann.
IpAddr	Alias		– Wenn der Ereignistyp `NetworkSession`, `Flow` oder `L2NetworkSession` ist, ist „Hostname“ ein Alias für SrcIpAddr. – Wenn der Ereignistyp `EndpointNetworkSession` ist, ist „IpAddr“ ein Alias für `LocalIpAddr`, der je nach NetworkDirection entweder SrcIpAddr oder DstIpAddr als Alias verwenden kann.

Felder für Zwischengerät und NAT (Network Address Translation)

Die folgenden Felder sind nützlich, wenn der Datensatz Informationen zu einem Zwischengerät wie etwa einer Firewall oder einem Proxy zum Vermitteln der Netzwerksitzung enthält.

Zwischensysteme verwenden häufig die Adressenübersetzung, daher sind die ursprüngliche Adresse und die extern beobachtete Adresse nicht identisch. In solchen Fällen stellen die primären Adressfelder wie SrcIPAddr und DstIpAddr die extern beobachteten Adressen dar, während die NAT-Adressfelder SrcNatIpAddr und DstNatIpAddr die interne Adresse des ursprünglichen Geräts vor der Übersetzung darstellen.

Feld	Klasse	Typ	Beschreibung
DstNatIpAddr	Wahlfrei	IP-Adresse	DstNatIpAddr stellt eine der folgenden Optionen dar: – Die ursprüngliche Adresse des Zielgeräts, wenn die Netzwerkadressenübersetzung verwendet wurde. – Die IP-Adresse, die vom Zwischengerät für die Kommunikation mit der Quelle verwendet wird. Beispiel: `2::1`
DstNatPortNummer	Wahlfrei	Ganze Zahl	Bei Meldung von einem NAT-Zwischengerät der vom NAT-Gerät für die Kommunikation mit der Quelle verwendete Port. Beispiel: `443`
SrcNatIpAddr	Wahlfrei	IP-Adresse	SrcNatIpAddr stellt eine der folgenden Optionen dar: – Die ursprüngliche Adresse des Quellgeräts, wenn die Netzwerkadressenübersetzung verwendet wurde. – Die IP-Adresse, die vom Zwischengerät für die Kommunikation mit dem Ziel verwendet wird. Beispiel: `4.3.2.1`
SrcNatPortNummer	Wahlfrei	Ganze Zahl	Bei Meldung von einem NAT-Zwischengerät der vom NAT-Gerät für die Kommunikation mit dem Ziel verwendete Port. Beispiel: `345`
DvcInboundSchnittstelle	Wahlfrei	Schnur	Bei Meldung von einem Zwischengerät die vom NAT-Gerät für die Verbindung mit dem Quellgerät verwendete Netzwerkschnittstelle. Beispiel: `eth0`
DvcOutboundSchnittstelle	Wahlfrei	Schnur	Bei Meldung von einem Zwischengerät die vom NAT-Gerät für die Verbindung mit dem Zielgerät verwendete Netzwerkschnittstelle. Beispiel: `Ethernet adapter Ethernet 4e`

Inspektionsfelder

Die folgenden Felder werden zur Darstellung der Inspektion verwendet, die von einem Sicherheitsgerät wie etwa einer Firewall, einem IPS oder einem Websicherheitsgateway durchgeführt wurde:

Feld	Klasse	Typ	Beschreibung
Netzwerk-Regelname	Wahlfrei	Schnur	Der Name oder die ID der Regel, anhand derer die Entscheidung für DvcAction getroffen wurde. Beispiel: `AnyAnyDrop`
NetzwerkRegelNummer	Wahlfrei	Ganze Zahl	Die Nummer der Regel, anhand derer die Entscheidung für DvcAction getroffen wurde. Beispiel: `23`
Regel	Alias	Schnur	Entweder der Wert NetworkRuleName oder der Wert NetworkRuleNumber. Bei Verwendung des Werts NetworkRuleNumber sollte der Typ in eine Zeichenfolge konvertiert werden.
Bedrohungs-ID	Wahlfrei	Schnur	Die ID der in der Netzwerksitzung identifizierten Bedrohung oder Schadsoftware. Beispiel: `Tr.124`
Name der Bedrohung	Wahlfrei	Schnur	Der Name der in der Netzwerksitzung identifizierten Bedrohung oder Schadsoftware. Beispiel: `EICAR Test File`
BedrohungKategorie	Wahlfrei	Schnur	Die Kategorie der in der Netzwerksitzung identifizierten Bedrohung oder Schadsoftware. Beispiel: `Trojan`
Bedrohungs-Risiko-Stufe	Wahlfrei	RiskLevel (Integer)	Die der Sitzung zugeordnete Risikostufe. Hierbei muss es sich um eine Zahl zwischen 0 und 100 handeln. Hinweis: Der Wert ist im Quelldatensatz möglicherweise in einer anderen Skala angegeben und muss auf diese Skala normalisiert werden. Der ursprüngliche Wert muss im Feld ThreatRiskLevelOriginal gespeichert werden.
BedrohungOriginalRisikoStufe	Wahlfrei	Schnur	Die Risikostufe, wie vom meldenden Gerät gemeldet.
BedrohungIpAddr	Wahlfrei	IP-Adresse	Eine IP-Adresse, für die eine Bedrohung identifiziert wurde. Das Feld ThreatField enthält den Namen des Felds, das ThreatIpAddr darstellt.
Bedrohungsfeld	Bedingt	Aufgezählt	Das Feld, für das eine Bedrohung identifiziert wurde. Der Wert lautet entweder `SrcIpAddr` oder `DstIpAddr`.
BedrohungVertrauen	Wahlfrei	ConfidenceLevel (Integer)	Die Konfidenzstufe der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100
BedrohungOriginalVertrauen	Wahlfrei	Schnur	Die ursprüngliche Konfidenzstufe der identifizierten Bedrohung, wie vom meldenden Gerät gemeldet.
ThreatIsActive	Wahlfrei	Boolescher Typ (Boolean)	TRUE, wenn die identifizierte Bedrohung als aktive Bedrohung betrachtet wird.
BedrohungErsteGemeldete Zeit	Wahlfrei	Datum/Uhrzeit	Das erste Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde
BedrohungLetzteGemeldete Zeit	Wahlfrei	Datum/Uhrzeit	Das letzte Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde

Weitere Felder

Feld	Klasse	Typ	Beschreibung
ASimMatchingIpAddr	Empfohlen	Aufgezählt	Wenn ein Parser die Filterparameter `ipaddr_has_any_prefix` verwendet, wird dieses Feld mit einem der Werte `SrcIpAddr`, `DstIpAddr` oder `Both` festgelegt, um die übereinstimmenden Felder oder Felder widerzuspiegeln.
ASimMatchingHostname	Empfohlen	Aufgezählt	Wenn ein Parser die Filterparameter `hostname_has_any` verwendet, wird dieses Feld mit einem der Werte `SrcHostname`, `DstHostname` oder `Both` festgelegt, um die übereinstimmenden Felder oder Felder widerzuspiegeln.

Wenn das Ereignis von einem der Endpunkte der Netzwerksitzung gemeldet wird, kann es Informationen zu dem Prozess enthalten, von dem die Sitzung initiiert oder beendet wurde. In solchen Fällen wird das ASIM-Prozessereignisschema zum Normalisieren dieser Informationen verwendet.

Schemaupdates

In der Version 0.2.1 des Schemas wurde Folgendes geändert:

Hinzufügung von Src und Dst als Aliase zu einem führenden Bezeichner für das Quell- und das Zielsystem.
Die Felder NetworkConnectionHistory, SrcVlanId, DstVlanId, InnerVlanId und OuterVlanId wurden hinzugefügt.

In der Version 0.2.2 des Schemas wurde Folgendes geändert:

Die Aliase Remote und Local wurden hinzugefügt.
Der Ereignistyp EndpointNetworkSession wurde hinzugefügt.
Hostname und IpAddr wurden als Aliase für RemoteHostname und LocalIpAddr definiert, wenn der Ereignistyp EndpointNetworkSession ist.
DvcInterface wurde als Alias für DvcInboundInterface oder DvcOutboundInterface definiert.
Der Typ der folgenden Felder wurde von „Integer“ in „Long“ geändert: SrcBytes, DstBytes, NetworkBytes, SrcPackets, DstPackets und NetworkPackets.
Das Feld NetworkProtocolVersion wurde hinzugefügt.
Als veraltet markiert: DstUserDomain und SrcUserDomain.

In der Version 0.2.3 des Schemas wurde Folgendes geändert:

Der Filterparameter ipaddr_has_any_prefix wurde hinzugefügt.
Der Filterparameter hostname_has_any entspricht nun entweder dem Quell- oder Ziel-Hostnamen.
Die Felder ASimMatchingHostname und ASimMatchingIpAddr wurden hinzugefügt.

In der Version 0.2.4 des Schemas wurde Folgendes geändert:

Die TcpFlags-Felder wurden hinzugefügt.
NetworkIcpmType und NetworkIcmpCode wurden aktualisiert, sodass sie den Zahlenwert für beide widerspiegeln.
Zusätzliche Inspektionsfelder wurden hinzugefügt.
Das Feld „ThreatRiskLevelOriginal“ wurde in ThreatOriginalRiskLevel umbenannt, um die ASIM-Konventionen einzuhalten. Vorhandene Microsoft-Parser behalten bis zum 1. Mai 2023 ThreatRiskLevelOriginal bei.
EventResultDetails wurde als empfohlen gekennzeichnet, und die zulässigen Werte wurden angegeben.

In der Version 0.2.5 des Schemas wurde Folgendes geändert:

Die Felder DstUserScope, SrcUserScope, SrcDvcScopeId, SrcDvcScope, DstDvcScopeId, DstDvcScope, DvcScopeId und DvcScope wurden hinzugefügt.

In der Version 0.2.6 des Schemas wurde Folgendes geändert:

IDS als Ereignistyp hinzugefügt

Im Folgenden sind die Änderungen in Version 0.2.7 des Schemas aufgeführt:

Die Felder DstDescription und wurden hinzugefügt SrcDescription

Nächste Schritte

Weitere Informationen finden Sie unter

Feedback

War diese Seite hilfreich?

Last updated on 2025-06-23