Dokumentacja schematu normalizacji sesji sieciowej usługi Advanced Security Information Model (ASIM)

Schemat normalizacji sesji sieciowej usługi Microsoft Sentinel reprezentuje aktywność sieci IP, taką jak połączenia sieciowe i sesje sieciowe. Takie zdarzenia są zgłaszane, na przykład przez systemy operacyjne, routery, zapory i systemy zapobiegania włamaniom.

Schemat normalizacji sieci może reprezentować dowolny typ sesji sieci IP, ale ma na celu zapewnienie obsługi typowych typów źródłowych, takich jak Netflow, zapory i systemy zapobiegania włamaniom.

Aby uzyskać więcej informacji na temat normalizacji w usłudze Microsoft Sentinel, zobacz Normalizacja i Zaawansowany model informacji o zabezpieczeniach (ASIM).

Parsery

Aby uzyskać więcej informacji na temat analizatorów ASIM, zobacz omówienie analizatorów ASIM.

Ujednolicanie analizatorów

Aby użyć analizatorów, które ujednolicają wszystkie analizatory out-of-the-box ASIM i upewnij się, że analiza jest uruchamiana we wszystkich skonfigurowanych źródłach, użyj _Im_NetworkSession analizatora filtrowania lub _ASim_NetworkSession analizatora bez parametrów.

Można również użyć narzędzi do wdrażania ImNetworkSession i ASimNetworkSession analizowania obszarów roboczych, wdrażając je z repozytorium GitHub usługi Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz wbudowane analizatory ASIM i analizatory wdrożone w obszarze roboczym.

Gotowe do użycia analizatory specyficzne dla źródła

Aby uzyskać listę analizatorów sesji sieciowych, usługa Microsoft Sentinel udostępnia gotowe do użycia, zapoznaj się z listą analizatorów ASIM

Dodawanie własnych znormalizowanych analizatorów

Podczas tworzenia niestandardowych analizatorów dla modelu informacji o sesji sieciowej nazwij funkcje KQL przy użyciu następującej składni:

• vimNetworkSession<vendor><Product> dla analizatorów sparametryzowanych
• ASimNetworkSession<vendor><Product> dla zwykłych analizatorów

Zapoznaj się z artykułem Zarządzanie analizatorami ASIM, aby dowiedzieć się, jak dodać analizatory niestandardowe do sesji sieciowej jednoczące analizatory.

Parametry analizatora filtrowania

Analizatory sesji sieciowych obsługują parametry filtrowania. Chociaż te parametry są opcjonalne, mogą zwiększyć wydajność zapytań.

Dostępne są następujące parametry filtrowania:

Niektóre parametry mogą akceptować zarówno listę wartości typu dynamic , jak i pojedynczego ciągu. Aby przekazać listę literałów do parametrów, które oczekują wartości dynamicznej, jawnie użyj literału dynamicznego. Na przykład: dynamic(['192.168.','10.']).

Aby na przykład filtrować tylko sesje sieciowe dla określonej listy nazw domen, użyj:

let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)

Znormalizowana zawartość

Aby uzyskać pełną listę reguł analizy korzystających z znormalizowanych zdarzeń DNS, zobacz Zawartość zabezpieczeń sesji sieciowej.

Przegląd schematu

Model informacji o sesji sieciowej jest zgodny ze schematem jednostki sieciowej OSSEM Network.

Schemat sesji sieciowej obsługuje kilka typów podobnych, ale odrębnych scenariuszy, które współużytkują te same pola. Te scenariusze są identyfikowane przez pole EventType:

• NetworkSession — sesja sieci zgłoszona przez pośrednie urządzenie monitorujące sieć, taką jak zapora, router lub naciśnięcie sieci.
• L2NetworkSession - sesję sieciową, dla której dostępne są tylko informacje warstwy 2. Takie zdarzenia będą zawierać adresy MAC, ale nie adresy IP.
• Flow — zagregowane zdarzenie, które zgłasza wiele podobnych sesji sieciowych, zwykle w wstępnie zdefiniowanym okresie, takim jak zdarzenia Netflow .
• EndpointNetworkSession — sesja sieci zgłoszona przez jeden z punktów końcowych sesji, w tym klientów i serwerów. W przypadku takich zdarzeń schemat obsługuje pola aliasu remote i .local
• IDS — sesja sieci zgłoszona jako podejrzana. Takie zdarzenie będzie miało wypełnione niektóre pola inspekcji i może zawierać tylko jedno pole adresu IP, czyli źródło lub miejsce docelowe.

Zazwyczaj zapytanie powinno wybrać tylko podzbiór tych typów zdarzeń i może wymagać oddzielnego, unikatowego aspektu przypadków użycia. Na przykład zdarzenia IDS nie odzwierciedlają całego woluminu sieciowego i nie powinny być uwzględniane w analizie opartej na kolumnach.

Zdarzenia sesji sieciowej używają deskryptorów Src i Dst określają role urządzeń i powiązanych użytkowników i aplikacji zaangażowanych w sesję. Na przykład źródłowa nazwa hosta urządzenia i adres IP mają nazwy SrcHostname i SrcIpAddr. Inne schematy ASIM zwykle używają Target zamiast Dst.

W przypadku zdarzeń zgłaszanych przez punkt końcowy i dla których typ zdarzenia to EndpointNetworkSession, deskryptorzy Local i Remote oznaczają sam punkt końcowy oraz urządzenie na drugim końcu sesji sieciowej.

Deskryptor Dvc jest używany dla urządzenia raportowania, czyli systemu lokalnego dla sesji zgłoszonych przez punkt końcowy, oraz pośredniczącego urządzenia lub naciśnięcia sieciowego dla innych zdarzeń sesji sieciowej.

Szczegóły schematu

Typowe pola karty ASIM

Typowe pola z określonymi wytycznymi

Na poniższej liście wymieniono pola, które mają określone wytyczne dotyczące zdarzeń sesji sieciowej:

Wszystkie typowe pola

Pola wyświetlane w poniższej tabeli są wspólne dla wszystkich schematów ASIM. Wszelkie wytyczne określone powyżej zastępują ogólne wytyczne dotyczące pola. Na przykład pole może być ogólnie opcjonalne, ale obowiązkowe dla określonego schematu. Aby uzyskać więcej informacji na temat każdego pola, zapoznaj się z artykułem ASIM Common Fields (Wspólne pola karty ASIM).

Pola sesji sieciowej

Pola systemu docelowego

Pola użytkownika docelowego

Pola aplikacji docelowej

Pola systemu źródłowego

Pola użytkownika źródłowego

Pola aplikacji źródłowej

Aliasy lokalne i zdalne

Wszystkie pola źródłowe i docelowe wymienione powyżej można opcjonalnie aliasować według pól o tej samej nazwie oraz deskryptorach Local i Remote. Jest to zwykle przydatne w przypadku zdarzeń zgłaszanych przez punkt końcowy i dla których typ zdarzenia to EndpointNetworkSession.

W przypadku takich zdarzeń deskryptorzy Local i Remote oznaczają sam punkt końcowy i urządzenie na drugim końcu sesji sieciowej. W przypadku połączeń przychodzących system lokalny jest miejscem docelowym, Local pola są aliasami Dst w polach, a pola "Remote" to aliasy do Src pól. Z drugiej strony, w przypadku połączeń wychodzących system lokalny jest źródłem, Local pola są aliasami Src do pól, a Remote pola są aliasami do Dst pól.

Na przykład w przypadku zdarzenia przychodzącego pole LocalIpAddr jest aliasem, DstIpAddr a pole RemoteIpAddr jest aliasem .SrcIpAddr

Nazwa hosta i aliasy adresów IP

Pola pośredniczącego urządzenia i translatora adresów sieciowych (NAT)

Poniższe pola są przydatne, jeśli rekord zawiera informacje o urządzeniu pośredniczącym, takim jak zapora lub serwer proxy, który przekazuje sesję sieciową.

Systemy pośredniczące często używają tłumaczenia adresów, dlatego oryginalny adres i adres obserwowany zewnętrznie nie są takie same. W takich przypadkach pola adresu podstawowego, takie jak SrcIPAddr i DstIpAddr , reprezentują adresy obserwowane zewnętrznie, podczas gdy pola adresów sieciowych, SrcNatIpAddr i DstNatIpAddr reprezentują wewnętrzny adres oryginalnego urządzenia przed tłumaczeniem.

Pola inspekcji

Następujące pola służą do reprezentowania inspekcji urządzenia zabezpieczeń, takiego jak zapora, adres IPS lub brama zabezpieczeń sieci Web:

Inne pola

Jeśli zdarzenie jest zgłaszane przez jeden z punktów końcowych sesji sieciowej, może zawierać informacje o procesie, który zainicjował lub zakończył sesję. W takich przypadkach schemat zdarzenia procesu ASIM służy do normalizacji tych informacji.

Aktualizacje schematu

Poniżej przedstawiono zmiany w wersji 0.2.1 schematu:

• Dodano Src aliasy i Dst jako aliasy do wiodącego identyfikatora dla systemów źródłowych i docelowych.
• Dodano pola NetworkConnectionHistory, , SrcVlanId, DstVlanIdInnerVlanId, i OuterVlanId.

Poniżej przedstawiono zmiany w wersji 0.2.2 schematu:

• Dodano Remote aliasy i .Local
• Dodano typ EndpointNetworkSessionzdarzenia .
• Zdefiniowane Hostname i jako aliasy dla IpAddr i RemoteHostnameLocalIpAddr odpowiednio, gdy typ zdarzenia to EndpointNetworkSession.
• Zdefiniowano DvcInterface jako alias na DvcInboundInterface lub DvcOutboundInterface.
• Zmieniono typ następujących pól z Liczba całkowita na Long: SrcBytes, , DstBytes, NetworkBytesSrcPackets, , DstPacketsi NetworkPackets.
• Dodano pole NetworkProtocolVersion.
• Przestarzałe DstUserDomain i SrcUserDomain.

Poniżej przedstawiono zmiany w wersji 0.2.3 schematu:

• Dodano parametr filtrowania ipaddr_has_any_prefix .
• Parametr filtrowania hostname_has_any jest teraz zgodny z nazwami hostów źródłowych lub docelowych.
• Dodano pola ASimMatchingHostname i ASimMatchingIpAddr.

Poniżej przedstawiono zmiany w wersji 0.2.4 schematu:

• TcpFlags Dodano pola.
• Zaktualizowano NetworkIcpmType wartości i NetworkIcmpCode odzwierciedlające wartość liczb dla obu tych elementów.
• Dodano dodatkowe pola inspekcji.
• Nazwa pola "ThreatRiskLevelOriginal" została zmieniona na tak, aby ThreatOriginalRiskLevel była zgodna z konwencjami ASIM. Istniejące analizatory firmy Microsoft będą utrzymywane ThreatRiskLevelOriginal do 1 maja 2023 r.
• Oznaczone EventResultDetails jako zalecane i określone dozwolone wartości.

Poniżej przedstawiono zmiany w wersji 0.2.5 schematu:

• Dodano pola DstUserScope, , , SrcUserScopeSrcDvcScopeIdSrcDvcScopeDstDvcScopeIdDstDvcScope, DvcScopeIdi .DvcScope

Poniżej przedstawiono zmiany w wersji 0.2.6 schematu:

• Dodano identyfikatory jako typ zdarzenia

Poniżej przedstawiono zmiany w wersji 0.2.7 schematu:

• Dodano pola DstDescription i SrcDescription

Następne kroki

Aby uzyskać więcej informacji, zobacz:

• Obejrzyj seminarium internetowe ASIM lub przejrzyj slajdy
• Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Zawartość usługi Advanced Security Information Model (ASIM)