Microsoft Sentinel 網路會話正規化架構代表 IP 網路活動,例如網路連線和網路會話。 例如,作系統、路由器、防火牆和入侵預防系統會報告這類事件。
網路正規化架構可以代表任何類型的IP網路會話,但其設計目的是支援常見的來源類型,例如 Netflow、防火牆和入侵預防系統。
如需Microsoft Sentinel 中正規化的詳細資訊,請參閱正規化和進階安全性資訊模型 (ASIM)。
剖析器
如需 ASIM 剖析器的詳細資訊,請參閱 ASIM 剖析器概觀。
統一剖析器
要使用統一所有 ASIM 現成解析器的解析器,並確保你的分析能跨越所有設定的原始碼,請使用解析 _Im_NetworkSession 器。
現用的現用來源特定剖析器
如需網路會話剖析器清單,Microsoft Sentinel 提供現成的參考 ASIM 剖析器清單
新增您自己的標準化剖析器
開發網路工作階段資訊模型的自訂剖析器時,請使用下列語法為您的 KQL 函式命名:
-
vimNetworkSession<vendor><Product>適用於參數化剖析器 -
ASimNetworkSession<vendor><Product>適用於一般剖析器
請參閱管理 ASIM 剖析器一文,瞭解如何將自定義剖析器新增至網路會話統一剖析器。
篩選剖析器參數
網路會話剖析器支援 篩選參數。 雖然這些參數是選擇性的,但它們可以改善查詢效能。
下列篩選參數可供使用:
| 名稱 | 類型 | 描述 |
|---|---|---|
| starttime | 日期時間 | 只篩選在此時間或之後啟動的網路工作階段。 |
| endtime | 日期時間 | 只篩選在此時間或之前開始執行的網路工作階段。 |
| srcipaddr_has_any_prefix | dynamic | 僅篩選來源 IP 位址欄位前置詞位於其中一個列出的值的網路工作階段。 前置詞應該以 .結尾,例如: 10.0.。 清單的長度限制為10,000個專案。 |
| dstipaddr_has_any_prefix | dynamic | 僅篩選目的地 IP 位址欄位前置詞位於其中一個列出的值的網路會話。 前置詞應該以 .結尾,例如: 10.0.。 清單的長度限制為10,000個專案。 |
| ipaddr_has_any_prefix | dynamic | 僅篩選目的地 IP 位址欄位或來源 IP 位址欄位前置詞位於其中一個列出的值的網路會話。 前置詞應該以 .結尾,例如: 10.0.。 清單的長度限制為10,000個專案。欄位 ASimMatchingIpAddr 會設定為其中一個值 SrcIpAddr、 DstIpAddr或 Both ,以反映相符的欄位或欄位。 |
| dstportnumber | int | 僅篩選具有指定目的地埠號碼的網路會話。 |
| hostname_has_any | 動態/字串 | 僅篩選目的地主機名字段具有任何列出的值的網路會話。 清單的長度限制為10,000個專案。 欄位 ASimMatchingHostname 是使用、 或 SrcHostname 值之DstHostnameBoth一來設定,以反映相符的欄位或欄位。 |
| dvcaction | 動態/字串 | 僅篩選 [裝置動作] 欄位是所列任何值的網路會話。 |
| eventresult | String | 僅篩選具有特定 EventResult 值的網路會話。 |
某些參數可以接受類型的 dynamic 值清單或單一字串值。 若要將常值清單傳遞至預期動態值的參數,請明確使用 動態常值。 例如:dynamic(['192.168.','10.'])
例如,若要僅篩選指定功能變數名稱清單的網路工作階段,請使用:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
提示
若要將常值清單傳遞至預期動態值的參數,請明確使用 動態常值。 例如: dynamic(['192.168.','10.']) 。
標準化內容
如需使用標準化 DNS 事件之分析規則的完整清單,請參閱 網路會話安全性內容。
結構描述概觀
網路會話資訊模型會與 OSSEM 網路實體架構一致。
網路會話架構提供數種類型的類似但不同的案例,這些案例會共用相同的字段。 這些案例是由 EventType 欄位所識別:
-
NetworkSession- 由監視網路的中繼裝置所報告的網路會話,例如防火牆、路由器或網路點選。 -
L2NetworkSession- 僅有第二層資訊的網路會話。 這類事件會包含 MAC 位址,但不包含 IP 位址。 -
Flow- 報告多個類似網路會話的匯總事件,通常是在預先定義的時段內,例如 Netflow 事件。 -
EndpointNetworkSession- 工作階段的其中一個端點所報告的網路工作階段,包括客戶端和伺服器。 針對這類事件,架構支援remote和local別名字段。 -
IDS- 回報為可疑的網路會話。 這類事件會填入一些檢查欄位,而且可能只有一個IP位址欄位填入來源或目的地。
一般而言,查詢應該只選取這些事件類型的子集,而且可能需要個別解決使用案例的獨特層面。 例如,IDS 事件不會反映整個網路磁碟區,而且不應該在以數據行為基礎的分析中納入考慮。
網路會話事件會使用描述元 Src 和 Dst 來表示裝置的角色,以及會話中相關使用者和應用程式的角色。 因此,例如,來源裝置主機名和IP位址會命名 SrcHostname 為和 SrcIpAddr。 其他 ASIM 架構通常會使用 Target , Dst而不是 。
針對端點所報告的事件,以及事件類型為 EndpointNetworkSession的事件,描述項 Local 和 Remote 表示端點本身和裝置分別位於網路會話的另一端。
描述元 Dvc 用於報告裝置,這是端點所報告會話的本機系統,以及其他網路會話事件的中繼裝置或網路點選。
架構詳細數據
一般 ASIM 欄位
重要
ASIM 通用欄位一文會詳細說明 所有架構的通用欄位 。
具有特定指導方針的常見欄位
下列清單提及具有網路會話事件特定指導方針的欄位:
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| EventCount | 必要 | 整數 | Netflow 來源支持匯總,而 EventCount 字段應該設定為 Netflow FLOW 字段的值。 對於其他來源,值通常會設定為 1。 |
| 事件類型 | 必要 | Enumerated | 描述記錄所報告的案例。 針對網路工作階段記錄,允許的值如下: - EndpointNetworkSession- NetworkSession - L2NetworkSession- IDS - Flow如需事件類型的詳細資訊,請參閱 架構概觀 |
| 事件子類型 | 選擇性 | Enumerated | 如果適用的話,事件類型的其他描述。 針對網路工作階段記錄,支援的值包括: - Start- End此欄位與事件無關 Flow 。 |
| 事件結果 | 必要 | Enumerated | 如果來源裝置未提供事件結果,EventResult 應以 DvcAction 的值為基礎。 如果 DvcAction 為 Deny、、Drop、Drop ICMPReset、 Reset Source或Reset Destination、 EventResult 應該是 Failure。 否則, EventResult 應該是 Success。 |
| EventResultDetails | 建議需求 | Enumerated | EventResult 字段中所報告結果的原因或詳細數據。 支援的值為: - 故障轉移 - 無效的 TCP - 無效的通道 - 重試次數上限 -重置 - 路由問題 -類比 - 已終止 -超時 - 暫時性錯誤 - 未知 -那。 原始的來源特定值會儲存在 EventOriginalResultDetails 欄位中。 |
| EventSchema | 必要 | Enumerated | 這裡記載的架構名稱為 NetworkSession。 |
| EventSchemaVersion | 必要 | SchemaVersion(字串) | 結構描述的版本。 這裡記載的架構版本為 0.2.7。 |
| Dvc動作 | 建議需求 | Enumerated | 在網路會話上採取的動作。 支援的值為: - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNroute注意:來源記錄中可能會使用不同的詞彙來提供此值,這應該會正規化為這些值。 原始值應該儲存在 DvcOriginalAction 欄位中。 範例: drop |
| EventSeverity | 選擇性 | Enumerated | 如果來源裝置未提供事件嚴重性,EventSeverity 應該以 DvcAction 的值為基礎。 如果 DvcAction 為 Deny、、Drop、Drop ICMPReset、 Reset Source或Reset Destination、 EventSeverity 應該是 Low。 否則, EventSeverity 應該是 Informational。 |
| DvcInterface | DvcInterface 欄位應該將 DvcInboundInterface 或 DvcOutboundInterface 字段別名。 | ||
| Dvc 欄位 | 針對網路會話事件,裝置字段是指報告網路會話事件的系統。 |
所有通用欄位
下表中顯示的欄位適用於所有 ASIM 架構。 上述任何指定的指導方針會覆寫欄位的一般指導方針。 例如,欄位通常是選擇性的,但特定架構的必要專案。 如需每個欄位的詳細資訊,請參閱 ASIM 通用欄位 一文。
| 類別 | 欄位 |
|---|---|
| 必要 |
-
事件計數 - 事件開始時間 - 事件結束時間 - 事件類型 - 事件結果 - 活動產品 - 活動供應商 - 事件架構 - 事件架構版本 - 視頻 |
| 建議需求 |
-
事件結果詳細資料 - 事件嚴重性 - 事件Uid - DvcIpAddr - Dvc主機名稱 - Dvc網域 - Dvc網域類型 - DvcFQDN - DVCID - DvcId類型 - Dvc動作 |
| 選擇性 |
-
事件訊息 - 事件子類型 - 事件原創 - 事件原始類型 - EventOriginal子類型 - EventOriginalResult詳細資料 - EventOriginal嚴重性 - 事件產品版本 - 事件報告網址 - 事件擁有者 - Dvc區域 - DvcMacAddr - DvcOS - DvcOs版本 - DvcOriginal動作 - Dvc介面 - 附加欄位 - Dvc說明 - DvcScopeID - Dvc範圍 |
網路會話欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| NetworkApplicationProtocol | 選擇性 | String | 連接或會話所使用的應用層通訊協定。 值應全部大寫。 範例: FTP |
| 網路通訊協定 | 選擇性 | Enumerated | 連線或會話所使用的IP通訊協定,如IANA通訊協定指派中 範例: TCP |
| NetworkProtocolVersion | 選擇性 | Enumerated | NetworkProtocol 的版本。 使用它來區別 IP 版本時,請使用 值 IPv4 和 IPv6。 |
| 網路方向 | 選擇性 | Enumerated | 線上或會話的方向: - 針對 或 NetworkSession, FlowL2NetworkSession 代表相對於組織或雲端環境界限的方向。 支援的值為 Inbound、、 OutboundLocal、(組織)、 External (組織)或NA(不適用)。- 針對 EventType EndpointNetworkSession, NetworkDirection 代表相對於端點的方向。 支援的值為 Inbound、、 OutboundLocal 、、Listen或 NA (不適用)。 值 Listen 表示裝置已開始接受網路連線,但實際上不一定已連線。 |
| 網路持續時間 | 選擇性 | 整數 | 完成網路會話或連線的時間量,以毫秒為單位。 範例: 1500 |
| 期間 | Alias | NetworkDuration 的別名。 | |
| NetworkIcmp類型 | 選擇性 | String | 針對ICMP訊息,與數值相關聯的ICMP類型名稱,如IPv4網路連線的 RFC 2780 中所述,或IPv6網路連線的 RFC 4443 中所述。 範例: Destination Unreachable 適用於 NetworkIcmpCode 3 |
| NetworkIcmpCode | 選擇性 | 整數 | 針對ICMP訊息,如 RFC 2780 針對IPv4網路連線所述,或針對IPv6網路連線使用 RFC 4443 中所述的ICMP代碼編號。 |
| NetworkConnectionHistory | 選擇性 | String | TCP 旗標和其他潛在的IP標頭資訊。 |
| DstBytes | 建議需求 | Long | 從目的地傳送到連線或會話來源的位元元組數目。 如果匯總事件, DstBytes 應該是所有匯總會話的總和。 範例: 32455 |
| SrcBytes | 建議需求 | Long | 從來源傳送到連線或會話目的地的位元元組數目。 如果匯總事件, SrcBytes 應該是所有匯總會話的總和。 範例: 46536 |
| NetworkBytes | 選擇性 | Long | 雙向傳送的位元組數目。 如果 BytesReceived 和 BytesSent 都存在,BytesTotal 應該等於其總和。 如果匯總事件, NetworkBytes 應該是所有匯總會話的總和。 範例: 78991 |
| DstPackets | 選擇性 | Long | 從目的地傳送至連線或會話來源的封包數目。 封包的意義是由報告裝置所定義。 如果匯總事件, DstPackets 應該是所有匯總會話的總和。 範例: 446 |
| SrcPackets | 選擇性 | Long | 從來源傳送至連線或會話目的地的封包數目。 封包的意義是由報告裝置所定義。 如果匯總事件, SrcPackets 應該是所有匯總會話的總和。 範例: 6478 |
| NetworkPackets | 選擇性 | Long | 雙向傳送的封包數目。 如果 PacketsReceived 和 PacketsSent 都存在, PacketsTotal 應該等於其總和。 封包的意義是由報告裝置所定義。 如果匯總事件, NetworkPackets 應該是所有匯總會話的總和。 範例: 6924 |
| NetworkSessionID | 選擇性 | 字串 | 報告裝置所報告的會話標識碼。 範例: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| SessionId | Alias | String | NetworkSessionId 的別名。 |
| TcpFlagsAck | 選擇性 | 布林值 | 回報 TCP ACK 旗標。 通知旗標用來確認封包的成功接收。 如上圖所示,接收者會在三向交握程式的第二個步驟中傳送 ACK 和 SYN,告知傳送者收到其初始封包。 |
| TcpFlagsFin | 選擇性 | 布林值 | 回報 TCP FIN 旗標。 完成的旗標表示發件者不再有數據。 因此,它會用於傳送者傳送的最後一個封包中。 |
| TcpFlagsSyn | 選擇性 | 布林值 | 回報 TCP SYN 旗標。 同步處理旗標是建立兩部主機之間三向交握的第一個步驟。 只有寄件人和接收者的第一個封包才應設定此旗標。 |
| TcpFlagsUrg | 選擇性 | 布林值 | TCP 敦促旗標報告。 緊急旗標可用來通知接收者在處理所有其他封包之前處理緊急封包。 接收者會在收到所有已知的緊急數據時收到通知。 如需詳細資訊,請參閱 RFC 6093 。 |
| TcpFlagsPsh | 選擇性 | 布林值 | 回報 TCP PSH 旗標。 推送旗標類似於 PUSH 旗標,並告訴接收者在收到封包時處理這些封包,而不是緩衝處理這些封包。 |
| TcpFlagsRst | 選擇性 | 布林值 | 回報 TCP RST 旗標。 當封包傳送至未預期封包的特定主機時,重設旗標會從接收者傳送到傳送者。 |
| TcpFlagsEce | 選擇性 | 布林值 | 回報 TCP ECE 旗標。 此旗標負責指出 TCP 對等是否 支援 ECN。 如需詳細資訊,請參閱 RFC 3168 。 |
| TcpFlagsCwr | 選擇性 | 布林值 | 回報 TCP CWR 旗標。 傳送主機會使用壅塞窗口縮減旗標,以指出它已收到已設定 ECE 旗標的封包。 如需詳細資訊,請參閱 RFC 3168 。 |
| TcpFlagsN | 選擇性 | 布林值 | 回報 TCP NS 旗標。 Nonce sum 旗標仍然是實驗性旗標,用來協助防止傳送者意外惡意隱藏封包。 如需詳細資訊,請參閱 RFC 3540 |
目的地系統欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 夏令時 | Alias | 接收 DNS 要求之伺服器的唯一標識碼。 此欄位可能會將 DstDvcId、 DstHostname 或 DstIpAddr 欄位別名。 範例: 192.168.12.1 |
|
| DstIpAddr | 建議需求 | IP 位址 | 線上或會話目的地的IP位址。 如果會話使用網路位址轉譯,DstIpAddr則為公開可見的位址,而不是來源的原始位址,儲存在 DstNatIpAddr 中範例: 2001:db8::ff00:42:8329注意:如果 指定 DstHostname ,這個值是必要的。 |
| DstPort編號 | 選擇性 | 整數 | 目的地 IP 連接埠。 範例: 443 |
| Dst主機名稱 | 建議需求 | 主機名稱(字串) | 目的地裝置主機名,不包括網域資訊。 如果沒有可用的裝置名稱,請將相關的IP位址儲存在此欄位中。 範例: DESKTOP-1282V4D |
| Dst網域 | 建議需求 | 域(字串) | 目的地裝置的網域。 範例: Contoso |
| Dst網域類型 | 條件 | Enumerated | DstDomain 的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的 DomainType。 如果使用 DstDomain ,則為必要項。 |
| DstFQDN | 選擇性 | FQDN(字串) | 目的地裝置主機名,包括可用時的網域資訊。 範例: Contoso\DESKTOP-1282V4D 注意:此欄位同時支持傳統的 FQDN 格式和 Windows 網域\主機名格式。 DstDomainType 會反映所使用的格式。 |
| DstDvcId | 選擇性 | String | 目的地裝置的標識碼。 如果有多個識別碼可用,請使用最重要的標識符,並將其他標識符儲存在字段中 DstDvc<DvcIdType>。 範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | 選擇性 | String | 裝置所屬的雲端平台範圍識別碼。 DstDvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及對應至 AWS 上的帳戶標識碼。 |
| DstDvc範圍 | 選擇性 | String | 裝置所屬的雲端平台範圍。 DstDvcScope 對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
| DstDvcIdType | 條件 | Enumerated | DstDvcId 的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的 DvcIdType。 如果使用 DstDeviceId ,則為必要專案。 |
| DstDeviceType | 選擇性 | Enumerated | 目的地裝置的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的DeviceType。 |
| DstZone | 選擇性 | String | 目的地的網路區域,如報告裝置所定義。 範例: Dmz |
| DstInterfaceName | 選擇性 | String | 目的地裝置用於連線或會話的網路介面。 範例: Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | 選擇性 | GUID(字串) | 目的地裝置上使用之網路介面的 GUID。 範例: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | 選擇性 | MAC 位址(字串) | 目的地裝置用於連線或會話之網路介面的 MAC 位址。 範例: 06:10:9f:eb:8f:14 |
| DstVlanId | 選擇性 | String | 與目的地裝置相關的 VLAN 識別碼。 範例: 130 |
| OuterVlanId | Alias | DstVlanId 的別名。 在許多情況下,VLAN 無法判斷為來源或目的地,但特性為內部或外部。 這個別名表示 當 VLAN 特徵為外部時,應該使用 DstVlanId 。 |
|
| DstGeoCountry | 選擇性 | Country | 與目的地IP位址相關聯的國家/地區。 如需詳細資訊,請參閱邏輯類型。 範例: USA |
| DstGeoRegion | 選擇性 | 區域 | 與目的地IP位址相關聯的區域或狀態。 如需詳細資訊,請參閱邏輯類型。 範例: Vermont |
| DstGeoCity | 選擇性 | 縣/市 | 與目的地IP位址相關聯的城市。 如需詳細資訊,請參閱邏輯類型。 範例: Burlington |
| DstGeoLatitude | 選擇性 | 緯度 | 與目的地IP位址相關聯的地理座標緯度。 如需詳細資訊,請參閱邏輯類型。 範例: 44.475833 |
| DstGeoLongitude | 選擇性 | 經度 | 與目的地IP位址相關聯的地理座標經度。 如需詳細資訊,請參閱邏輯類型。 範例: 73.211944 |
| Dst說明 | 選擇性 | String | 與裝置相關聯的描述性文字。 例如: Primary Domain Controller 。 |
目的地使用者欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| DstUserID | 選擇性 | String | 計算機可讀取、英數位元、目的地使用者的唯一表示法。 如需不同標識碼類型支援的格式,請參閱 User實體。 範例: S-1-12 |
| DstUserScope | 選擇性 | String | 定義 DstUserId 和 DstUsername 的 entra 租使用者等範圍,例如 Microsoft。 或詳細資訊和允許的值清單,請參閱架構概觀一文中的UserScope。 |
| DstUserScopeId | 選擇性 | String | 定義 DstUserId 和 DstUsername 的範圍標識碼,例如 Microsoft Entra Directory ID。 如需允許值的詳細資訊和清單,請參閱架構概觀一文中的UserScopeId。 |
| DstUserIdType | 條件 | UserIdType | 儲存在 DstUserId 欄位中的標識碼類型。 如需允許值和進一步資訊的清單,請參閱架構概觀一文中的UserIdType。 |
| Dst使用者名稱 | 選擇性 | 用戶名(字串) | 目的地用戶名稱,包括可用時的網域資訊。 如需不同標識碼類型支援的格式,請參閱 User實體。 只有在網域資訊無法使用時,才會使用簡單形式。 將 [使用者名稱類型] 儲存在 [DstUsernameType ] 字段中。 如果有其他使用者名稱格式可供使用,請將它們儲存在欄位中 DstUsername<UsernameType>。範例: AlbertE |
| 使用者 | Alias | DstUsername 的別名。 | |
| DstUsernameType | 條件 | UsernameType | 指定儲存在 DstUsername 欄位中的使用者名稱 類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的UsernameType。 範例: Windows |
| DstUserType | 選擇性 | UserType | 目的地用戶的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的UserType。 注意:來源記錄中可能會使用不同的詞彙來提供此值,這應該會正規化為這些值。 將原始值儲存在 DstOriginalUserType 欄位中。 |
| Dst原始使用者類型 | 選擇性 | String | 來源所提供的原始目的地用戶類型。 |
目的地應用程式欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| DstAppName | 選擇性 | String | 目的地應用程式的名稱。 範例: Facebook |
| DstAppId(緊急應用) | 選擇性 | String | 由報告裝置所報告的目的地應用程式的識別碼。 如果 DstAppType 是 Process, DstAppId 且 DstProcessId 應該有相同的值。範例: 124 |
| DstAppType | 選擇性 | AppType | 目的地應用程式的型別。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的AppType。 如果使用 DstAppName 或 DstAppId ,則此欄位是必要的。 |
| DstProcessName | 選擇性 | String | 終止網路會話之進程的檔名。 此名稱通常被視為進程名稱。 範例: C:\Windows\explorer.exe |
| 處理 | Alias | DstProcessName 的 別名 範例: C:\Windows\System32\rundll32.exe |
|
| DstProcessId | 選擇性 | String | 終止網路會話之進程的進程標識碼 (PID)。 範例: 48610176 注意:類型定義為 支援不同系統的字串 ,但在 Windows 和 Linux 上,此值必須是數值。 如果您使用 Windows 或 Linux 計算機並使用不同的類型,請務必轉換值。 例如,如果您使用十六進位值,請將它轉換成十進位值。 |
| DstProcessGuid | 選擇性 | String | 終止網路會話之進程所產生的唯一標識碼 (GUID)。 範例: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
來源系統欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 來源 | Alias | 來源裝置的唯一標識碼。 此欄位可能會將 SrcDvcId、 SrcHostname 或 SrcIpAddr 字段別名。 範例: 192.168.12.1 |
|
| SrcIpAddr | 建議需求 | IP 位址 | 線上或會話的來源IP位址。 如果 指定 SrcHostname ,這個值是必要的。 如果會話使用網路位址轉換, SrcIpAddr 則為公開可見的位址,而不是儲存在 SrcNatIpAddr 中來源的原始位址範例: 77.138.103.108 |
| SrcPortNumber | 選擇性 | 整數 | 線上來源 IP 連接埠。 可能與組成多個連線的會話無關。 範例: 2335 |
| Src主機名稱 | 建議需求 | 主機名稱(字串) | 來源裝置主機名,不包括網域資訊。 如果沒有可用的裝置名稱,請將相關的IP位址儲存在此欄位中。 範例: DESKTOP-1282V4D |
| Src網域 | 建議需求 | 域(字串) | 來源裝置的網域。 範例: Contoso |
| Src網域類型 | 條件 | DomainType | SrcDomain 的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的 DomainType。 如果使用 SrcDomain ,則為必要項。 |
| SrcFQDN | 選擇性 | FQDN(字串) | 來源裝置主機名,包括可用時的網域資訊。 注意:此欄位同時支持傳統的 FQDN 格式和 Windows 網域\主機名格式。 SrcDomainType 字段會反映所使用的格式。 範例: Contoso\DESKTOP-1282V4D |
| SrcDvcId | 選擇性 | String | 來源裝置的標識碼。 如果有多個識別碼可用,請使用最重要的標識符,並將其他標識符儲存在字段中 SrcDvc<DvcIdType>。範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 選擇性 | String | 裝置所屬的雲端平台範圍識別碼。 SrcDvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及對應至 AWS 上的帳戶標識碼。 |
| SrcDvc範圍 | 選擇性 | String | 裝置所屬的雲端平台範圍。 SrcDvcScope 對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
| SrcDvcIdType | 條件 | DvcIdType | SrcDvcId 的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的 DvcIdType。 注意:如果使用 SrcDvcId ,則需要此欄位。 |
| SrcDeviceType | 選擇性 | DeviceType | 來源裝置的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的DeviceType。 |
| SrcZone | 選擇性 | String | 來源的網路區域,如報告裝置所定義。 範例: Internet |
| SrcInterfaceName | 選擇性 | String | 來源裝置用於連線或會話的網路介面。 範例: eth01 |
| SrcInterfaceGuid | 選擇性 | GUID(字串) | 來源裝置上使用之網路介面的 GUID。 範例: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | 選擇性 | MAC 位址(字串) | 聯機或會話來源之網路介面的 MAC 位址。 範例: 06:10:9f:eb:8f:14 |
| SrcVlanId | 選擇性 | String | 與來源裝置相關的 VLAN 識別碼。 範例: 130 |
| InnerVlanId | Alias | SrcVlanId 的別名。 在許多情況下,VLAN 無法判斷為來源或目的地,但特性為內部或外部。 這個別名表示 當 VLAN 特性為內部時,應該使用 SrcVlanId 。 |
|
| SrcGeoCountry | 選擇性 | Country | 與來源IP位址相關聯的國家/地區。 範例: USA |
| SrcGeoRegion | 選擇性 | 區域 | 與來源IP位址相關聯的區域。 範例: Vermont |
| SrcGeoCity | 選擇性 | 縣/市 | 與來源IP位址相關聯的城市。 範例: Burlington |
| SrcGeoLatitude | 選擇性 | 緯度 | 與來源IP位址相關聯的地理座標緯度。 範例: 44.475833 |
| SrcGeoLongitude | 選擇性 | 經度 | 與來源IP位址相關聯的地理座標經度。 範例: 73.211944 |
| Src說明 | 選擇性 | String | 與裝置相關聯的描述性文字。 例如: Primary Domain Controller 。 |
來源使用者欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| SrcUserID | 選擇性 | String | 計算機可讀取、英數位元、來源使用者的唯一表示法。 如需不同標識碼類型支援的格式,請參閱 User實體。 範例: S-1-12 |
| SrcUserScope | 選擇性 | String | 定義 SrcUserId 和 SrcUsername 的 Microsoft Entra 租使用者等範圍。 或詳細資訊和允許的值清單,請參閱架構概觀一文中的UserScope。 |
| SrcUserScopeId | 選擇性 | String | 定義 SrcUserId 和 SrcUsername 的範圍標識碼,例如 Microsoft Entra 目錄標識符。 如需允許值的詳細資訊和清單,請參閱架構概觀一文中的UserScopeId。 |
| SrcUserIdType | 條件 | UserIdType | 儲存在 SrcUserId 欄位中的識別碼類型。 如需允許值和進一步資訊的清單,請參閱架構概觀一文中的UserIdType。 |
| Src使用者名稱 | 選擇性 | 用戶名(字串) | 來源使用者名稱,包括網域資訊 (如果可用)。 如需不同標識碼類型支援的格式,請參閱 User實體。 只有在網域資訊無法使用時,才會使用簡單形式。 將 [使用者名稱類型] 儲存在 [SrcUsernameType ] 字段中。 如果有其他使用者名稱格式可供使用,請將它們儲存在欄位中 SrcUsername<UsernameType>。範例: AlbertE |
| SrcUsernameType | 條件 | UsernameType | 指定儲存在 SrcUsername 欄位中的使用者名稱 類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的UsernameType。 範例: Windows |
| SrcUserType | 選擇性 | UserType | 來源使用者的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的UserType。 注意:來源記錄中可能會使用不同的詞彙來提供此值,這應該會正規化為這些值。 將原始值儲存在 SrcOriginalUserType 欄位中。 |
| SrcOriginalUserType | 選擇性 | String | 報告裝置所提供的原始目的地使用者類型。 |
來源應用程式欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| SrcAppName | 選擇性 | String | 來源應用程式的名稱。 範例: filezilla.exe |
| SrcAppId(描述性功能) | 選擇性 | String | 來源應用程式的標識碼,如報告裝置所報告。 如果 SrcAppType 為 Process, SrcAppId 且 SrcProcessId 應該具有相同的值。範例: 124 |
| SrcApp類型 | 選擇性 | AppType | 來源應用程式的型別。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的AppType。 如果使用 SrcAppName 或 SrcAppId ,則此欄位為必要字段。 |
| SrcProcessName | 選擇性 | String | 起始網路會話之進程的檔名。 此名稱通常被視為進程名稱。 範例: C:\Windows\explorer.exe |
| SrcProcessId | 選擇性 | String | 起始網路會話之進程的進程標識碼 (PID)。 範例: 48610176 注意:類型定義為 支援不同系統的字串 ,但在 Windows 和 Linux 上,此值必須是數值。 如果您使用 Windows 或 Linux 計算機並使用不同的類型,請務必轉換值。 例如,如果您使用十六進位值,請將它轉換成十進位值。 |
| SrcProcessGuid | 選擇性 | String | 起始網路會話之進程的產生唯一標識碼 (GUID)。 範例: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
本機和遠端別名
以上所列的所有來源和目的地字段,都可以由具有相同名稱和描述元 Local 和的 Remote字段選擇性別名。 這通常有助於端點所報告的事件,且事件類型為 EndpointNetworkSession。
對於這類事件,描述項 Local 和 Remote 分別表示端點本身和網路會話另一端的裝置。 針對輸入連線,本機系統是目的地、 Local 欄位是欄位的別名 Dst ,而 'Remote' 字段則是字段的 Src 別名。 相反地,對於輸出連線,本機系統是來源、 Local 欄位是欄位的別名 Src ,而 Remote 欄位則是欄位的 Dst 別名。
例如,針對輸入事件,欄位 LocalIpAddr 是的 DstIpAddr 別名,而欄位 RemoteIpAddr 是 的 SrcIpAddr別名。
主機名和IP位址別名
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 主機名稱 | Alias | - 如果事件類型為 NetworkSession、 Flow 或 L2NetworkSession,Hostname 是 DstHostname 的別名。- 如果事件類型為 EndpointNetworkSession,Hostname 是 的RemoteHostname別名,視 NetworkDirection 而定,可能會將 DstHostname 或 SrcHostName 別名別名 |
|
| IpAddr | Alias | - 如果事件類型為 NetworkSession、 Flow 或 L2NetworkSession,IpAddr 是 SrcIpAddr 的別名。- 如果事件類型為 EndpointNetworkSession,IpAddr 是 的LocalIpAddr別名,視 NetworkDirection 而定,它可以將 SrcIpAddr 或 DstIpAddr 別名化。 |
中繼裝置和網路位址轉換 (NAT) 欄位
如果記錄包含中繼裝置的相關信息,例如防火牆或 Proxy,轉播網路會話,下列字段會很有用。
中繼系統通常會使用位址轉譯,因此在外部觀察到的原始位址和位址並不相同。 在這種情況下,SrcIPAddr 和 DstIpAddr 等主要位址字段代表外部觀察到的位址,而 NAT 位址欄位、SrcNatIpAddr 和 DstNatIpAddr 則代表原始裝置的內部位址,然後再翻譯。
檢查欄位
下列欄位可用來表示執行防火牆、IPS 或 Web 安全性閘道等安全性裝置的檢查:
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 網路規則名稱 | 選擇性 | String | 決定 DvcAction 規則的名稱或標識碼。 範例: AnyAnyDrop |
| 網路規則編號 | 選擇性 | 整數 | DvcAction 決定的規則數目。 範例: 23 |
| 規則 | Alias | String | NetworkRuleName 的值或 NetworkRuleNumber 的值。 如果使用 NetworkRuleNumber 的值,則類型應該轉換成字串。 |
| ThreatId | 選擇性 | String | 網路會話中識別的威脅或惡意代碼標識碼。 範例: Tr.124 |
| ThreatName | 選擇性 | String | 網路會話中識別的威脅或惡意代碼名稱。 範例: EICAR Test File |
| ThreatCategory | 選擇性 | String | 網路會話中識別的威脅或惡意代碼類別。 範例: Trojan |
| ThreatRiskLevel | 選擇性 | 風險等級(整數) | 與會話相關聯的風險層級。 層級應該是介於 0 到 100 之間的數位。 注意:來源記錄中可能會使用不同的小數字數來提供此值,而這個小數字數應該正規化為這個小數字數。 原始值應該儲存在 ThreatRiskLevelOriginal 中。 |
| 威脅原始風險等級 | 選擇性 | String | 報告裝置所報告的風險層級。 |
| ThreatIpAddr | 選擇性 | IP 位址 | 識別威脅的IP位址。 Field ThreatField 包含 ThreatIpAddr 字段的名稱。 |
| 威脅欄位 | 條件 | Enumerated | 識別威脅的欄位。 值為 SrcIpAddr 或 DstIpAddr。 |
| ThreatConfidence | 選擇性 | 信心水準(整數) | 識別的威脅信賴等級,標準化為介於 0 到 100 之間的值。 |
| ThreatOriginalConfidence | 選擇性 | String | 所識別威脅的原始信賴等級,如報告裝置所報告。 |
| ThreatIsActive | 選擇性 | 布林值 | 如果識別的威脅被視為作用中威脅,則為 True。 |
| ThreatFirstReportedTime | 選擇性 | 日期時間 | 第一次將IP位址或網域識別為威脅。 |
| ThreatLastReportedTime | 選擇性 | 日期時間 | 上次將IP位址或網域識別為威脅的時間。 |
其他欄位
如果事件是由網路會話的其中一個端點所報告,它可能包含起始或終止會話之進程的相關信息。 在這種情況下, ASIM進程事件架構 是用來正規化這項資訊。
架構更新
以下是架構 0.2.1 版的變更:
- 將
Src和Dst新增為來源和目的地系統前置標識符的別名。 - 已新增、
NetworkConnectionHistory、SrcVlanId、DstVlanId和InnerVlanId欄位OuterVlanId。
以下是架構 0.2.2 版的變更:
- 已新增
Remote和Local別名。 - 新增事件類型
EndpointNetworkSession。 - 當
Hostname事件類型為IpAddr時,分別定義為 和RemoteHostnameLocalIpAddr的EndpointNetworkSession別名。 - 定義為
DvcInterface或DvcInboundInterface的DvcOutboundInterface別名。 - 將下列欄位的類型從 Integer 變更為 Long:
SrcBytes、、DstBytes、NetworkBytesSrcPackets、DstPackets、 和NetworkPackets。 - 新增欄位
NetworkProtocolVersion。 - 已
DstUserDomain取代與SrcUserDomain。
以下是架構 0.2.3 版的變更:
-
ipaddr_has_any_prefix已新增篩選參數。 - 篩選
hostname_has_any參數現在符合來源或目的地主機名。 - 新增欄位
ASimMatchingHostname與ASimMatchingIpAddr。
以下是架構 0.2.4 版的變更:
- 已新增
TcpFlags欄位。 - 已更新
NetworkIcpmType和NetworkIcmpCode以反映兩者的數位值。 - 已新增其他檢查欄位。
- 欄位 'ThreatRiskLevelOriginal' 已重新命名為
ThreatOriginalRiskLevel,以符合 ASIM 慣例。 現有的Microsoft剖析器將維持ThreatRiskLevelOriginal到 2023 年 5 月 1 日為止。 - 標示
EventResultDetails為建議,並指定允許的值。
以下是架構 0.2.5 版的變更:
- 新增欄
DstUserScope位、SrcUserScope、、、SrcDvcScopeId、SrcDvcScopeDstDvcScopeId、DstDvcScope、DvcScopeId和DvcScope。
以下是架構 0.2.6 版的變更:
- 已將 IDS 新增為事件類型
以下是結構 0.2.7 版本的變更:
- 加入了欄位
DstDescription和SrcDescription
下一步
如需詳細資訊,請參閱