Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Microsoft Sentinel Ağ Oturumu normalleştirme şeması, ağ bağlantıları ve ağ oturumları gibi bir IP ağ etkinliğini temsil eder. Bu tür olaylar, örneğin işletim sistemleri, yönlendiriciler, güvenlik duvarları ve izinsiz girişi önleme sistemleri tarafından bildirilir.
Ağ normalleştirme şeması herhangi bir IP ağ oturumu türünü temsil edebilir, ancak Netflow, güvenlik duvarları ve yetkisiz erişim önleme sistemleri gibi ortak kaynak türleri için destek sağlamak üzere tasarlanmıştır.
Microsoft Sentinel normalleştirme hakkında daha fazla bilgi için bkz. Normalleştirme ve Gelişmiş Güvenlik Bilgi Modeli (ASIM).
Çözümleyicileri
ASIM ayrıştırıcıları hakkında daha fazla bilgi için bkz. ASIM ayrıştırıcılarına genel bakış.
Ayrıştırıcıları birleştirme
Tüm ASIM kullanıma alınmış ayrıştırıcıları birleştiren ayrıştırıcıları kullanmak ve çözümlemenizin yapılandırılan tüm kaynaklarda çalıştığından emin olmak için ayrıştırıcıyı _Im_NetworkSession kullanın.
Kullanıma açık, kaynağa özgü ayrıştırıcılar
İlk kullanıma sunulan ağ oturumu ayrıştırıcıları Microsoft Sentinel listesi için ASIM ayrıştırıcıları listesine bakın
Kendi normalleştirilmiş ayrıştırıcılarınızı ekleme
Ağ Oturumu bilgi modeli için özel ayrıştırıcılar geliştirirken aşağıdaki söz dizimini kullanarak KQL işlevlerinizi adlandırın:
-
vimNetworkSession<vendor><Product>parametrized ayrıştırıcılar için -
ASimNetworkSession<vendor><Product>normal ayrıştırıcılar için
Ayrıştırıcıları birleştiren ağ oturumuna özel ayrıştırıcılarınızı eklemeyi öğrenmek için ASIM ayrıştırıcılarını yönetme makalesine bakın.
Ayrıştırıcı parametrelerini filtreleme
Ağ Oturumu ayrıştırıcıları filtreleme parametrelerini destekler. Bu parametreler isteğe bağlı olsa da sorgu performansınızı artırabilir.
Aşağıdaki filtreleme parametreleri kullanılabilir:
| Name | Tür | Açıklama |
|---|---|---|
| Starttime | Datetime | Yalnızca şu anda veya sonrasında başlayan ağ oturumlarını filtreleyin. Bu parametre, EventStartTime ve EventEndTime alanlarının ayrıştırıcıya özgü eşlemesine bakılmaksızın, olay zamanı için standart belirleyici olan alana filtrelenir TimeGenerated . |
| Endtime | Datetime | Yalnızca şu anda veya öncesinde çalışmaya başlayan ağ oturumlarını filtreleyin. Bu parametre, EventStartTime ve EventEndTime alanlarının ayrıştırıcıya özgü eşlemesine bakılmaksızın, olay zamanı için standart belirleyici olan alana filtrelenir TimeGenerated . |
| srcipaddr_has_any_prefix | Dinamik | Yalnızca kaynak IP adresi alan ön ekinin listelenen değerlerden birinde yer aldığı ağ oturumlarını filtreleyin. Ön ekler ile .bitmelidir, örneğin: 10.0.. Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
| dstipaddr_has_any_prefix | Dinamik | Yalnızca hedef IP adresi alan ön ekinin listelenen değerlerden birinde yer aldığı ağ oturumlarını filtreleyin. Ön ekler ile .bitmelidir, örneğin: 10.0.. Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
| ipaddr_has_any_prefix | Dinamik | Yalnızca hedef IP adresi alanının veya kaynak IP adresi alanı ön ekinin listelenen değerlerden birinde yer aldığı ağ oturumlarını filtreleyin. Ön ekler ile .bitmelidir, örneğin: 10.0.. Listenin uzunluğu 10.000 öğeyle sınırlıdır.ASimMatchingIpAddr alanı , SrcIpAddrveya değerlerinden DstIpAddrbiriyle veya Both eşleşen alanları veya alanları yansıtacak şekilde ayarlanır. |
| dstportnumber | Int | Yalnızca belirtilen hedef bağlantı noktası numarasına sahip ağ oturumlarını filtreleyin. |
| hostname_has_any | dinamik/dize | Yalnızca hedef konak adı alanında listelenen değerlerden herhangi birinin bulunduğu ağ oturumlarını filtreleyin. Listenin uzunluğu 10.000 öğeyle sınırlıdır. ASimMatchingHostname alanı , SrcHostnamedeğerlerinden DstHostnamebiriyle veya Both eşleşen alanları veya alanları yansıtacak şekilde ayarlanır. |
| dvcaction | dinamik/dize | Yalnızca Cihaz Eylemi alanının listelenen değerlerden biri olduğu ağ oturumlarını filtreleyin. |
| eventresult | Dize | Yalnızca belirli bir EventResult değerine sahip ağ oturumlarını filtreleyin. |
Bazı parametreler hem tür dynamic değerleri listesini hem de tek bir dize değerini kabul edebilir. Dinamik değer bekleyen parametrelere değişmez değer listesi geçirmek için, dinamik değişmez değeri açıkça kullanın. Örneğin: dynamic(['192.168.','10.'])
Örneğin, yalnızca belirtilen etki alanı adları listesi için ağ oturumlarını filtrelemek için şunu kullanın:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
İpucu
Dinamik değer bekleyen parametrelere değişmez değer listesi geçirmek için, dinamik değişmez değeri açıkça kullanın. Örneğin: dynamic(['192.168.','10.']).
Normalleştirilmiş içerik
Normalleştirilmiş DNS olaylarını kullanan analiz kurallarının tam listesi için bkz. Ağ oturumu güvenlik içeriği.
Şemaya genel bakış
Ağ Oturumu bilgi modeli , OSSEM Ağ varlık şemasıyla hizalanır.
Ağ Oturumu şeması, aynı alanları paylaşan benzer ancak farklı senaryoların çeşitli türlerine hizmet eder. Bu senaryolar EventType alanı tarafından tanımlanır:
-
NetworkSession- Güvenlik duvarı, yönlendirici veya ağ dokunması gibi ağı izleyen bir ara cihaz tarafından bildirilen bir ağ oturumu. -
L2NetworkSession- yalnızca katman 2 bilgilerinin kullanılabildiği bir ağ oturumu. Bu tür olaylar MAC adreslerini içerir ancak IP adreslerini içermez. -
Flow- genellikle Netflow olayları gibi önceden tanımlanmış bir zaman aralığında birden çok benzer ağ oturumu bildiren bir toplu olay. -
EndpointNetworkSession- istemciler ve sunucular da dahil olmak üzere oturumun bitiş noktalarından biri tarafından bildirilen bir ağ oturumu. Bu tür olaylar için şema veremotediğer ad alanlarını desteklerlocal. -
IDS- şüpheli olarak bildirilen bir ağ oturumu. Böyle bir olayda bazı inceleme alanları doldurulur ve kaynak veya hedef olmak üzere yalnızca bir IP adresi alanı doldurulmuş olabilir.
Genellikle, bir sorgu bu olay türlerinin yalnızca bir alt kümesini seçmelidir ve kullanım örneklerinin benzersiz yönlerini ayrı ayrı ele alması gerekebilir. Örneğin, IDS olayları ağ biriminin tamamını yansıtmaz ve sütun tabanlı analizde dikkate alınmamalıdır.
Ağ oturumu olayları tanımlayıcıları Src kullanır ve Dst oturumda yer alan cihazların ve ilgili kullanıcıların ve uygulamaların rollerini belirtir. Bu nedenle, örneğin, kaynak cihaz ana bilgisayar adı ve IP adresi ve SrcHostnameolarak adlandırılırSrcIpAddr. Diğer ASIM şemaları genellikle yerine TargetkullanırDst.
Bir uç nokta tarafından bildirilen ve olay türünün EndpointNetworkSessionolduğu olaylar için, sırasıyla uç noktanın kendisini ve Local cihazı ağ oturumunun diğer ucunda tanımlar Remote ve belirtir.
Tanımlayıcı Dvc , bir uç nokta tarafından bildirilen oturumlar için yerel sistem olan raporlama cihazı ve diğer ağ oturumu olayları için aracı cihaz veya ağ dokunması için kullanılır.
Şema ayrıntıları
Ortak ASIM alanları
Önemli
Tüm şemalarda ortak olan alanlar ASIM Ortak Alanları makalesinde ayrıntılı olarak açıklanmıştır.
Belirli yönergelere sahip ortak alanlar
Aşağıdaki listede Ağ Oturumu olayları için belirli yönergelere sahip alanlardan bahsedmektedir:
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| EventCount | Zorunlu | Tamsayı | Netflow kaynakları toplamayı destekler ve EventCount alanı Netflow FLOWS alanının değerine ayarlanmalıdır. Diğer kaynaklar için değer genellikle olarak 1ayarlanır. |
| Eventtype | Zorunlu | Numaralandırılmış | Kayıt tarafından bildirilen senaryoyu açıklar. Ağ Oturumu kayıtları için izin verilen değerler şunlardır: - EndpointNetworkSession- NetworkSession - L2NetworkSession- IDS - FlowOlay türleri hakkında daha fazla bilgi için şemaya genel bakış bölümüne bakın |
| EventSubType | İsteğe bağlı | Numaralandırılmış | Varsa olay türünün ek açıklaması. Ağ Oturumu kayıtları için desteklenen değerler şunlardır: - Start- EndBu alan olaylarla Flow ilgili değildir. |
| EventResult | Zorunlu | Numaralandırılmış | Kaynak cihaz bir olay sonucu sağlamıyorsa , EventResultDvcAction değerini temel almalıdır.
DvcActionDeny, , Drop, Drop ICMP, Reset, Reset Sourceveya iseReset Destination, EventResult olmalıdır Failure. Aksi takdirde EventResult olmalıdır Success. |
| EventResultDetails | Önerilen | Numaralandırılmış |
EventResult alanında bildirilen sonucun nedeni veya ayrıntıları. Desteklenen değerler şunlardır: -Başarısızlık - Geçersiz TCP - Geçersiz Tünel - En Fazla Yeniden Deneme -Sıfırlamak - Yönlendirme sorunu -Simülasyon -Sonlandırıldı -Zaman aşımı - Geçici hata -Bilinmeyen -NA. Özgün, kaynağa özgü değer EventOriginalResultDetails alanında depolanır. |
| EventSchema | Zorunlu | Numaralandırılmış | Burada belgelenen şemanın adıdır NetworkSession. |
| EventSchemaVersion | Zorunlu | SchemaVersion (Dize) | Şemanın sürümü. Şemanın burada belgelenen sürümüdür 0.2.7. |
| DvcAction | Önerilen | Numaralandırılmış | Ağ oturumunda gerçekleştirilen eylem. Desteklenen değerler şunlardır: - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNrouteNot: Değer kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değerlerle normalleştirilmelidir. Özgün değer DvcOriginalAction alanında depolanmalıdır. Örnek: drop |
| EventSeverity | İsteğe bağlı | Numaralandırılmış | Kaynak cihaz bir olay önem derecesi sağlamıyorsa, EventSeverityDvcAction değerini temel almalıdır.
DvcActionDeny, , Drop, Drop ICMP, Reset, Reset Sourceveya iseReset Destination, EventSeverity olmalıdır Low. Aksi takdirde EventSeverity olmalıdır Informational. |
| DvcInterface | DvcInterface alanı , DvcInboundInterface veya DvcOutboundInterface alanlarının diğer adını almalıdır. | ||
| Dvc alanları | Ağ Oturumu olayları için cihaz alanları Ağ Oturumu olayını bildiren sisteme başvurur. |
Tüm ortak alanlar
Aşağıdaki tabloda görünen alanlar tüm ASIM şemalarında ortaktır. Yukarıda belirtilen tüm yönergeler alanın genel yönergelerini geçersiz kılar. Örneğin, bir alan genel olarak isteğe bağlı olabilir, ancak belirli bir şema için zorunlu olabilir. Her alan hakkında daha fazla bilgi için ASIM Ortak Alanları makalesine bakın.
| Sınıfı | Alanları |
|---|---|
| Zorunlu |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Önerilen |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| İsteğe bağlı |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcO'lar - DvcOsVersion - DvcOriginalAction - DvcInterface - EkAlanlar - DvcDescription - DvcScopeId - DvcScope |
Ağ oturumu alanları
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| NetworkApplicationProtocol | İsteğe bağlı | Dize | Bağlantı veya oturum tarafından kullanılan uygulama katmanı protokolü. Değer tüm büyük harflerde olmalıdır. Örnek: FTP |
| Networkprotocol | İsteğe bağlı | Numaralandırılmış | Bağlantı veya oturum tarafından genellikle , veya TCPolan UDPICMP listelendiği şekilde kullanılan IP protokolü.Örnek: TCP |
| NetworkProtocolVersion | İsteğe bağlı | Numaralandırılmış |
NetworkProtocol sürümü. IP sürümünü ayırt etmek için kullanırken ve IPv4değerlerini IPv6 kullanın. |
| NetworkDirection | İsteğe bağlı | Numaralandırılmış | Bağlantının veya oturumun yönü: - EventType NetworkSessionFlow veya L2NetworkSessioniçin, NetworkDirection kuruluş veya bulut ortamı sınırına göre yönü temsil eder. Desteklenen değerler Inbound, , OutboundLocal(kuruluşa), External (kuruluşa) veya NA (Uygulanamaz) değerleridir.- EventType EndpointNetworkSession için , NetworkDirection uç noktaya göre yönü temsil eder. Desteklenen değerler Inbound, , OutboundLocal (sisteme) Listen veya NA (Uygulanamaz) değerleridir.
Listen değeri, bir cihazın ağ bağlantılarını kabul ettiğini ancak aslında bağlı olmadığını gösterir. |
| NetworkDuration | İsteğe bağlı | Tamsayı | Ağ oturumunun veya bağlantının tamamlanması için milisaniye cinsinden süre. Örnek: 1500 |
| Süre | Diğer ad | NetworkDuration diğer adı. | |
| NetworkIcmpType | İsteğe bağlı | Dize | ICMP iletisi için, IPv4 ağ bağlantıları için RFC 2780 veya IPv6 ağ bağlantıları için RFC 4443'te açıklandığı gibi sayısal değerle ilişkilendirilmiş ICMP türü adı. Örnek: Destination Unreachable NetworkIcmpCode için 3 |
| NetworkIcmpCode | İsteğe bağlı | Tamsayı | ICMP iletisi için, IPv4 ağ bağlantıları için RFC 2780 veya IPv6 ağ bağlantıları için RFC 4443'te açıklandığı gibi ICMP kod numarası. |
| NetworkConnectionHistory | İsteğe bağlı | Dize | TCP bayrakları ve diğer olası IP üst bilgisi bilgileri. |
| DstBytes | Önerilen | Uzun | Bağlantı veya oturum için hedeften kaynağa gönderilen bayt sayısı. Olay toplanırsa , DstBytes tüm toplanan oturumların toplamı olmalıdır. Örnek: 32455 |
| SrcBytes | Önerilen | Uzun | Bağlantı veya oturum için kaynaktan hedefe gönderilen bayt sayısı. Olay toplanırsa, SrcBytes tüm toplanan oturumların toplamı olmalıdır. Örnek: 46536 |
| NetworkBytes | İsteğe bağlı | Uzun | Her iki yönde gönderilen bayt sayısı. Hem BytesReceived hem de BytesSent varsa, BytesTotal toplamına eşit olmalıdır. Olay toplanırsa, NetworkBytes tüm toplanan oturumların toplamı olmalıdır. Örnek: 78991 |
| DstPackets | İsteğe bağlı | Uzun | Bağlantı veya oturum için hedeften kaynağa gönderilen paket sayısı. Bir paketin anlamı raporlama cihazı tarafından tanımlanır. Olay toplanırsa , DstPackets tüm toplanan oturumların toplamı olmalıdır. Örnek: 446 |
| SrcPackets | İsteğe bağlı | Uzun | Bağlantı veya oturum için kaynaktan hedefe gönderilen paket sayısı. Bir paketin anlamı raporlama cihazı tarafından tanımlanır. Olay toplanırsa , SrcPackets tüm toplanan oturumların toplamı olmalıdır. Örnek: 6478 |
| Ağ Paketleri | İsteğe bağlı | Uzun | Her iki yönde gönderilen paketlerin sayısı. Hem PacketsReceived hem de PacketsSent varsa, PacketsTotal toplamına eşit olmalıdır. Bir paketin anlamı raporlama cihazı tarafından tanımlanır. Olay toplanırsa , NetworkPackets tüm toplanan oturumların toplamı olmalıdır. Örnek: 6924 |
| NetworkSessionId | İsteğe bağlı | dize | Raporlama cihazı tarafından bildirilen oturum tanımlayıcısı. Örnek: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| Sessionıd | Diğer ad | Dize | NetworkSessionId diğer adı. |
| TcpFlagsAck | İsteğe bağlı | Boole | BILDIRILEN TCP ACK Bayrağı. Onay bayrağı, bir paketin başarıyla alındıysa bunu kabul etmek için kullanılır. Yukarıdaki diyagramdan görebildiğimiz gibi alıcı, gönderene ilk paketini aldığını söylemek için üç yönlü el sıkışma işleminin ikinci adımında bir ACK ve syn gönderir. |
| TcpFlagsFin | İsteğe bağlı | Boole | TCP FIN Bayrağı bildirildi. Tamamlanmış bayrağı, gönderenden başka veri olmadığı anlamına gelir. Bu nedenle, gönderenden gönderilen son pakette kullanılır. |
| TcpFlagsSyn | İsteğe bağlı | Boole | BILDIRILEN TCP SYN Bayrağı. Eşitleme bayrağı, iki konak arasında üç yönlü el sıkışması oluşturmanın ilk adımı olarak kullanılır. Yalnızca hem gönderenden hem de alıcıdan gelen ilk pakette bu bayrak ayarlanmalıdır. |
| TcpFlagsUrg | İsteğe bağlı | Boole | TCP ÜRG Bayrağı bildirildi. Acil bayrağı, diğer tüm paketleri işlemeden önce alıcıya acil paketleri işlemesini bildirmek için kullanılır. Bilinen tüm acil veriler alındığında alıcıya bildirim gönderilir. Diğer ayrıntılar için bkz. RFC 6093 . |
| TcpFlagsPsh | İsteğe bağlı | Boole | TCP PSH Bayrağı bildirildi. Gönderme bayrağı, ÜRG bayrağına benzer ve alıcıya bu paketleri arabelleğe almak yerine alındıkları gibi işlemesini söyler. |
| TcpFlagsRst | İsteğe bağlı | Boole | TCP RST Bayrağı bildirildi. Sıfırlama bayrağı, bir paket beklemeyen belirli bir konağa gönderildiğinde alıcıdan gönderene gönderilir. |
| TcpFlagsEce | İsteğe bağlı | Boole | TCP ECE Bayrağı bildirildi. Bu bayrak, TCP eşinin ECN özellikli olup olmadığını belirtmekle sorumludur. Diğer ayrıntılar için bkz. RFC 3168 . |
| TcpFlagsCwr | İsteğe bağlı | Boole | BILDIRILEN TCP CWR Bayrağı. Tıkanıklık penceresi azaltılmış bayrağı, gönderen ana bilgisayar tarafından ECE bayrağı ayarlanmış bir paket aldığını belirtmek için kullanılır. Diğer ayrıntılar için bkz. RFC 3168 . |
| TcpFlagsN'ler | İsteğe bağlı | Boole | TCP NS Bayrağı bildirildi. Nonce sum bayrağı, gönderenden gelen paketlerin yanlışlıkla kötü amaçlı gizlenmesinden korunmaya yardımcı olmak için kullanılan deneysel bir bayraktır. Diğer ayrıntılar için bkz. RFC 3540 |
Hedef sistem alanları
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| Dst | Diğer ad | DNS isteğini alan sunucunun benzersiz tanımlayıcısı. Bu alan DstDvcId, DstHostname veya DstIpAddr alanlarını diğer adla adlandırabilir. Örnek: 192.168.12.1 |
|
| DstIpAddr | Önerilen | IP adresi | Bağlantının veya oturum hedefinin IP adresi. Oturum ağ adresi çevirisi kullanıyorsa, DstIpAddrDstNatIpAddr içinde depolanan kaynağın özgün adresi değil, genel olarak görünen adrestirÖrnek: 2001:db8::ff00:42:8329Not: DstHostname belirtilirse bu değer zorunludur. |
| DstPortNumber | İsteğe bağlı | Tamsayı | Hedef IP bağlantı noktası. Örnek: 443 |
| DstHostname | Önerilen | Ana Bilgisayar Adı (Dize) | Etki alanı bilgileri hariç, hedef cihaz ana bilgisayar adı. Kullanılabilir cihaz adı yoksa, ilgili IP adresini bu alanda depolayın. Örnek: DESKTOP-1282V4D |
| DstDomain | Önerilen | Etki Alanı (Dize) | Hedef cihazın etki alanı. Örnek: Contoso |
| DstDomainType | Koşullu | Numaralandırılmış |
DstDomain türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiDomainType'a bakın. DstDomain kullanılıyorsa gereklidir. |
| DstFQDN | İsteğe bağlı | FQDN (Dize) | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef cihaz ana bilgisayar adı. Örnek: Contoso\DESKTOP-1282V4D Not: Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. DstDomainType, kullanılan biçimi yansıtır. |
| DstDvcId | İsteğe bağlı | Dize | Hedef cihazın kimliği. Birden çok kimlik varsa, en önemli kimlikleri kullanın ve diğerlerini alanlarında depolayın DstDvc<DvcIdType>. Örnek: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | İsteğe bağlı | Dize | Cihazın ait olduğu bulut platformu kapsam kimliği. DstDvcScopeId, Azure'teki bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| DstDvcScope | İsteğe bağlı | Dize | Cihazın ait olduğu bulut platformu kapsamı. DstDvcScope, Azure'teki bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| DstDvcIdType | Koşullu | Numaralandırılmış |
DstDvcId türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiDvcIdType'a bakın. DstDeviceId kullanılıyorsa gereklidir. |
| DstDeviceType | İsteğe bağlı | Numaralandırılmış | Hedef cihazın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiDeviceType'a bakın. |
| DstZone | İsteğe bağlı | Dize | Raporlama cihazı tarafından tanımlanan hedefin ağ bölgesi. Örnek: Dmz |
| DstInterfaceName | İsteğe bağlı | Dize | Hedef cihaz tarafından bağlantı veya oturum için kullanılan ağ arabirimi. Örnek: Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | İsteğe bağlı | GUID (Dize) | Hedef cihazda kullanılan ağ arabiriminin GUID'i. Örneğin: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | İsteğe bağlı | MAC Adresi (Dize) | Hedef cihaz tarafından bağlantı veya oturum için kullanılan ağ arabiriminin MAC adresi. Örnek: 06:10:9f:eb:8f:14 |
| DstVlanId | İsteğe bağlı | Dize | Hedef cihazla ilgili VLAN kimliği. Örnek: 130 |
| OuterVlanId | Diğer ad |
DstVlanId diğer adı. Çoğu durumda VLAN bir kaynak veya hedef olarak belirlenemez, ancak iç veya dış olarak nitelenebilir. VLAN dış olarak nitelendiğinde DstVlanId'nin kullanılması gerektiğini belirten bu diğer ad. |
|
| DstGeoCountry | İsteğe bağlı | Ülke | Hedef IP adresiyle ilişkili ülke/bölge. Daha fazla bilgi için bkz. Mantıksal türler. Örnek: USA |
| DstGeoRegion | İsteğe bağlı | Bölge | Hedef IP adresiyle ilişkili bölge veya durum. Daha fazla bilgi için bkz. Mantıksal türler. Örnek: Vermont |
| DstGeoCity | İsteğe bağlı | Şehir | Hedef IP adresiyle ilişkilendirilmiş şehir. Daha fazla bilgi için bkz. Mantıksal türler. Örnek: Burlington |
| DstGeoLatitude | İsteğe bağlı | Enlem | Hedef IP adresiyle ilişkili coğrafi koordinatın enlemi. Daha fazla bilgi için bkz. Mantıksal türler. Örnek: 44.475833 |
| DstGeoLongitude | İsteğe bağlı | Boylam | Hedef IP adresiyle ilişkili coğrafi koordinatın boylamı. Daha fazla bilgi için bkz. Mantıksal türler. Örnek: 73.211944 |
| DstDescription | İsteğe bağlı | Dize | Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Primary Domain Controller. |
Hedef kullanıcı alanları
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| DstUserId | İsteğe bağlı | Dize | Makine tarafından okunabilir, alfasayısal, hedef kullanıcının benzersiz gösterimi. Farklı kimlik türleri için desteklenen biçim için Kullanıcı varlığına bakın. Örnek: S-1-12 |
| DstUserScope | İsteğe bağlı | Dize | DstUserId ve DstUsername'in tanımlandığı Microsoft Entra kiracısı gibi kapsam. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUserScope bölümüne bakın. |
| DstUserScopeId | İsteğe bağlı | Dize | DstUserId ve DstUsername'in tanımlandığı Microsoft Entra Dizin Kimliği gibi kapsam kimliği. daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUserScopeId bölümüne bakın. |
| DstUserIdType | Koşullu | UserIdType | DstUserId alanında depolanan kimliğin türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiUserIdType'a bakın. |
| DstUsername | İsteğe bağlı | Kullanıcı adı (Dize) | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef kullanıcı adı. Farklı kimlik türleri için desteklenen biçim için Kullanıcı varlığına bakın. Basit formu yalnızca etki alanı bilgileri kullanılamıyorsa kullanın. Kullanıcı adı türünü DstUsernameType alanında depolayın. Başka kullanıcı adı biçimleri varsa, bunları alanlarında DstUsername<UsernameType>depolayın.Örnek: AlbertE |
| Kullanıcı | Diğer ad | DstUsername diğer adı. | |
| DstUsernameType | Koşullu | UsernameType |
DstUsername alanında depolanan kullanıcı adının türünü belirtir. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiUsernameType bölümüne bakın. Örnek: Windows |
| DstUserType | İsteğe bağlı | Usertype | Hedef kullanıcının türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiUserType'a bakın. Not: Değer kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değerlerle normalleştirilmelidir. Özgün değeri DstOriginalUserType alanında depolayın. |
| DstOriginalUserType | İsteğe bağlı | Dize | Kaynak tarafından sağlanmışsa özgün hedef kullanıcı türü. |
Hedef uygulama alanları
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| DstAppName | İsteğe bağlı | Dize | Hedef uygulamanın adı. Örnek: Facebook |
| DstAppId | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen hedef uygulamanın kimliği.
DstAppType ise ProcessDstAppId ve DstProcessId aynı değere sahip olmalıdır.Örnek: 124 |
| DstAppType | İsteğe bağlı | AppType | Hedef uygulamanın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiAppType'a bakın. DstAppName veya DstAppId kullanılıyorsa bu alan zorunludur. |
| DstProcessName | İsteğe bağlı | Dize | Ağ oturumunu sonlandıran işlemin dosya adı. Bu ad genellikle işlem adı olarak kabul edilir. Örnek: C:\Windows\explorer.exe |
| Işlem | Diğer ad |
DstProcessName diğer adı Örnek: C:\Windows\System32\rundll32.exe |
|
| DstProcessId | İsteğe bağlı | Dize | Ağ oturumunu sonlandıran işlemin işlem kimliği (PID). Örnek: 48610176 Not: Tür, farklı sistemleri desteklemek için dize olarak tanımlanır, ancak Windows'ta ve Linux bu değerin sayısal olması gerekir. Windows veya Linux makinesi kullanıyorsanız ve farklı bir tür kullandıysanız, değerleri dönüştürdüğünüzden emin olun. Örneğin, onaltılık bir değer kullandıysanız, bunu ondalık değere dönüştürün. |
| DstProcessGuid | İsteğe bağlı | Dize | Ağ oturumunu sonlandıran işlemin oluşturulmuş benzersiz tanımlayıcısı (GUID). Örnek: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Kaynak sistem alanları
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| Src | Diğer ad | Kaynak cihazın benzersiz tanımlayıcısı. Bu alan SrcDvcId, SrcHostname veya SrcIpAddr alanlarını diğer adla adlandırabilir. Örnek: 192.168.12.1 |
|
| SrcIpAddr | Önerilen | IP adresi | Bağlantının veya oturumun kaynaklandığı IP adresi.
SrcHostname belirtilirse bu değer zorunludur. Oturum ağ adresi çevirisi kullanıyorsa, SrcIpAddr kaynağın SrcNatIpAddr içinde depolanan özgün adresi değil, genel olarak görünen adrestirÖrnek: 77.138.103.108 |
| SrcPortNumber | İsteğe bağlı | Tamsayı | Bağlantının kaynaklandığı IP bağlantı noktası. Birden çok bağlantıdan oluşan bir oturum için uygun olmayabilir. Örnek: 2335 |
| SrcHostname | Önerilen | Ana Bilgisayar Adı (Dize) | Etki alanı bilgileri hariç, kaynak cihaz ana bilgisayar adı. Kullanılabilir cihaz adı yoksa, ilgili IP adresini bu alanda depolayın. Örnek: DESKTOP-1282V4D |
| SrcDomain | Önerilen | Etki Alanı (Dize) | Kaynak cihazın etki alanı. Örnek: Contoso |
| SrcDomainType | Koşullu | Domaintype |
SrcDomain türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiDomainType'a bakın. SrcDomain kullanılıyorsa gereklidir. |
| SrcFQDN | İsteğe bağlı | FQDN (Dize) | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak cihaz ana bilgisayar adı. Not: Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. SrcDomainType alanı kullanılan biçimi yansıtır. Örnek: Contoso\DESKTOP-1282V4D |
| SrcDvcId | İsteğe bağlı | Dize | Kaynak cihazın kimliği. Birden çok kimlik varsa, en önemli kimlikleri kullanın ve diğerlerini alanlarında depolayın SrcDvc<DvcIdType>.Örnek: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | İsteğe bağlı | Dize | Cihazın ait olduğu bulut platformu kapsam kimliği. SrcDvcScopeId, Azure'teki bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| SrcDvcScope | İsteğe bağlı | Dize | Cihazın ait olduğu bulut platformu kapsamı. SrcDvcScope, Azure'teki bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| SrcDvcIdType | Koşullu | DvcIdType |
SrcDvcId türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiDvcIdType'a bakın. Not: SrcDvcId kullanılıyorsa bu alan gereklidir. |
| SrcDeviceType | İsteğe bağlı | Devicetype | Kaynak cihazın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiDeviceType'a bakın. |
| SrcZone | İsteğe bağlı | Dize | Raporlama cihazı tarafından tanımlanan kaynağın ağ bölgesi. Örnek: Internet |
| SrcInterfaceName | İsteğe bağlı | Dize | Kaynak cihaz tarafından bağlantı veya oturum için kullanılan ağ arabirimi. Örnek: eth01 |
| SrcInterfaceGuid | İsteğe bağlı | GUID (Dize) | Kaynak cihazda kullanılan ağ arabiriminin GUID'i. Örneğin: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | İsteğe bağlı | MAC Adresi (Dize) | Bağlantının veya oturumun kaynaklandığı ağ arabiriminin MAC adresi. Örnek: 06:10:9f:eb:8f:14 |
| SrcVlanId | İsteğe bağlı | Dize | Kaynak cihazla ilgili VLAN kimliği. Örnek: 130 |
| InnerVlanId | Diğer ad |
SrcVlanId diğer adı. Çoğu durumda VLAN bir kaynak veya hedef olarak belirlenemez, ancak iç veya dış olarak nitelenebilir. VLAN iç olarak nitelendiğinde SrcVlanId'nin kullanılması gerektiğini belirten bu diğer ad. |
|
| SrcGeoCountry | İsteğe bağlı | Ülke | Kaynak IP adresiyle ilişkili ülke/bölge. Örnek: USA |
| SrcGeoRegion | İsteğe bağlı | Bölge | Kaynak IP adresiyle ilişkilendirilmiş bölge. Örnek: Vermont |
| SrcGeoCity | İsteğe bağlı | Şehir | Kaynak IP adresiyle ilişkilendirilmiş şehir. Örnek: Burlington |
| SrcGeoLatitude | İsteğe bağlı | Enlem | Kaynak IP adresiyle ilişkili coğrafi koordinatın enlemi. Örnek: 44.475833 |
| SrcGeoLongitude | İsteğe bağlı | Boylam | Kaynak IP adresiyle ilişkili coğrafi koordinatın boylamı. Örnek: 73.211944 |
| SrcDescription | İsteğe bağlı | Dize | Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Primary Domain Controller. |
Kaynak kullanıcı alanları
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| SrcUserId | İsteğe bağlı | Dize | Kaynak kullanıcının makine tarafından okunabilir, alfasayısal, benzersiz bir gösterimi. Farklı kimlik türleri için desteklenen biçim için Kullanıcı varlığına bakın. Örnek: S-1-12 |
| SrcUserScope | İsteğe bağlı | Dize | SrcUserId ve SrcUsername'in tanımlandığı Microsoft Entra kiracısı gibi kapsam. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUserScope bölümüne bakın. |
| SrcUserScopeId | İsteğe bağlı | Dize | SrcUserId ve SrcUsername'in tanımlandığı Microsoft Entra Dizin Kimliği gibi kapsam kimliği. daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUserScopeId bölümüne bakın. |
| SrcUserIdType | Koşullu | UserIdType | SrcUserId alanında depolanan kimliğin türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiUserIdType'a bakın. |
| SrcUsername | İsteğe bağlı | Kullanıcı adı (Dize) | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak kullanıcı adı. Farklı kimlik türleri için desteklenen biçim için Kullanıcı varlığına bakın. Basit formu yalnızca etki alanı bilgileri kullanılamıyorsa kullanın. Kullanıcı adı türünü SrcUsernameType alanında depolayın. Başka kullanıcı adı biçimleri varsa, bunları alanlarında SrcUsername<UsernameType>depolayın.Örnek: AlbertE |
| SrcUsernameType | Koşullu | UsernameType |
SrcUsername alanında depolanan kullanıcı adının türünü belirtir. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiUsernameType bölümüne bakın. Örnek: Windows |
| SrcUserType | İsteğe bağlı | Usertype | Kaynak kullanıcının türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiUserType'a bakın. Not: Değer kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değerlerle normalleştirilmelidir. Özgün değeri SrcOriginalUserType alanında depolayın. |
| SrcOriginalUserType | İsteğe bağlı | Dize | Raporlama cihazı tarafından sağlanıyorsa özgün hedef kullanıcı türü. |
Kaynak uygulama alanları
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| SrcAppName | İsteğe bağlı | Dize | Kaynak uygulamanın adı. Örnek: filezilla.exe |
| SrcAppId | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen kaynak uygulamanın kimliği.
SrcAppType ise ProcessSrcAppId ve SrcProcessId aynı değere sahip olmalıdır.Örnek: 124 |
| SrcAppType | İsteğe bağlı | AppType | Kaynak uygulamanın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiAppType'a bakın. SrcAppName veya SrcAppId kullanılıyorsa bu alan zorunludur. |
| SrcProcessName | İsteğe bağlı | Dize | Ağ oturumunu başlatan işlemin dosya adı. Bu ad genellikle işlem adı olarak kabul edilir. Örnek: C:\Windows\explorer.exe |
| SrcProcessId | İsteğe bağlı | Dize | Ağ oturumunu başlatan işlemin işlem kimliği (PID). Örnek: 48610176 Not: Tür, farklı sistemleri desteklemek için dize olarak tanımlanır, ancak Windows'ta ve Linux bu değerin sayısal olması gerekir. Windows veya Linux makinesi kullanıyorsanız ve farklı bir tür kullandıysanız, değerleri dönüştürdüğünüzden emin olun. Örneğin, onaltılık bir değer kullandıysanız, bunu ondalık değere dönüştürün. |
| SrcProcessGuid | İsteğe bağlı | Dize | Ağ oturumunu başlatan işlemin oluşturulmuş benzersiz tanımlayıcısı (GUID). Örnek: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Yerel ve uzak diğer adlar
Yukarıda listelenen tüm kaynak ve hedef alanları, isteğe bağlı olarak aynı ada ve tanımlayıcılara Local ve Remotealanlara göre diğer adla adlandırılabilir. Bu genellikle bir uç nokta tarafından bildirilen ve olay türünün EndpointNetworkSessionolduğu olaylar için yararlıdır.
Bu tür olaylar için, uç noktayı ve Local cihazı sırasıyla ağ oturumunun diğer ucunda açıklayıcılar Remote ve belirtir. Gelen bağlantılar için hedef yerel sistemdir, Local alanlar alanların diğer adlarıdır Dst ve 'Uzak' alanlar alanların diğer adlarıdır Src . Buna karşılık, giden bağlantılar için kaynak yerel sistemdir, Local alanlar alanların diğer adlarıdır Src ve Remote alanlar alanların diğer adlarıdır Dst .
Örneğin, bir gelen olay için, alanı LocalIpAddr için bir diğer addır DstIpAddr ve alanı RemoteIpAddr için bir diğer addır SrcIpAddr.
Ana bilgisayar adı ve IP adresi diğer adları
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| Ana Bilgisayar Adı | Diğer ad | - Olay türü NetworkSession, Flow veya L2NetworkSessionise, Ana Bilgisayar Adı DstHostname'in diğer adıdır.- Olay türü ise EndpointNetworkSession, Hostname, RemoteHostnamebağlı olarak DstHostname veya SrcHostName diğer adlarını kullanabilen için bir diğer addır. |
|
| IpAddr | Diğer ad | - Olay türü NetworkSession, Flow veya L2NetworkSessionise, IpAddr SrcIpAddr'ın diğer adıdır.- Olay türü ise EndpointNetworkSession, IpAddr, LocalIpAddr bağlı olarak SrcIpAddr veya DstIpAddr diğer adlarına sahip olan bir diğer addır. |
Aracı cihaz ve Ağ Adresi Çevirisi (NAT) alanları
Kayıt, ağ oturumunu aktaran bir güvenlik duvarı veya ara sunucu gibi bir aracı cihaz hakkında bilgi içeriyorsa aşağıdaki alanlar yararlıdır.
Aracı sistemler genellikle adres çevirisi kullanır ve bu nedenle özgün adres ile dışarıdan gözlemlenen adres aynı değildir. Bu gibi durumlarda, SrcIPAddr ve DstIpAddr gibi birincil adres alanları harici olarak gözlemlenen adresleri temsil ederken NAT adres alanları, SrcNatIpAddr ve DstNatIpAddr çeviriden önce özgün cihazın iç adresini temsil eder.
İnceleme alanları
Aşağıdaki alanlar güvenlik duvarı, IPS veya web güvenlik ağ geçidi gibi bir güvenlik cihazının hangi incelemeyi gerçekleştirdiğini göstermek için kullanılır:
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| NetworkRuleName | İsteğe bağlı | Dize |
DvcAction'a karar verilen kuralın adı veya kimliği. Örnek: AnyAnyDrop |
| NetworkRuleNumber | İsteğe bağlı | Tamsayı |
DvcAction'a karar verilen kuralın sayısı. Örnek: 23 |
| Kural | Diğer ad | Dize | NetworkRuleName değeri veya NetworkRuleNumber değeri. NetworkRuleNumber değeri kullanılıyorsa, tür dizeye dönüştürülmelidir. |
| ThreatId | İsteğe bağlı | Dize | Ağ oturumunda tanımlanan tehdit veya kötü amaçlı yazılımın kimliği. Örnek: Tr.124 |
| ThreatName | İsteğe bağlı | Dize | Ağ oturumunda tanımlanan tehdit veya kötü amaçlı yazılımın adı. Örnek: EICAR Test File |
| ThreatCategory | İsteğe bağlı | Dize | Ağ oturumunda tanımlanan tehdit veya kötü amaçlı yazılım kategorisi. Örnek: Trojan |
| ThreatRiskLevel | İsteğe bağlı | RiskLevel (Tamsayı) | Oturumla ilişkili risk düzeyi. Düzey 0 ile 100 arasında bir sayı olmalıdır. Not: Değer kaynak kayıtta farklı bir ölçek kullanılarak sağlanabilir ve bu ölçek normalleştirilmelidir. Özgün değer ThreatRiskLevelOriginal içinde depolanmalıdır. |
| ThreatOriginalRiskLevel | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen risk düzeyi. |
| ThreatIpAddr | İsteğe bağlı | IP Adresi | Bir tehdidin tanımlandığı bir IP adresi. ThreatField alanı ThreatIpAddr tarafından temsil edilen alanın adını içerir. |
| ThreatField | Koşullu | Numaralandırılmış | Bir tehdidin tanımlandığı alan. Değer veya SrcIpAddrDstIpAddrşeklindedir. |
| ThreatConfidence | İsteğe bağlı | ConfidenceLevel (Tamsayı) | Tanımlanan tehdidin güvenilirlik düzeyi, 0 ile 100 arasında bir değere normalleştirilmiştir. |
| ThreatOriginalConfidence | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen, tanımlanan tehdidin özgün güvenilirlik düzeyi. |
| ThreatIsActive | İsteğe bağlı | Boole | Tanımlanan tehdit etkin bir tehdit olarak kabul edilirse true. |
| ThreatFirstReportedTime | İsteğe bağlı | Datetime | IP adresi veya etki alanı ilk kez bir tehdit olarak tanımlandı. |
| ThreatLastReportedTime | İsteğe bağlı | Datetime | IP adresinin veya etki alanının en son tehdit olarak tanımlandığı zaman. |
Diğer alanlar
Olay ağ oturumunun uç noktalarından biri tarafından bildirilirse, oturumu başlatan veya sonlandıran işlem hakkında bilgi içerebilir. Bu gibi durumlarda, bu bilgileri normalleştirmek için ASIM İşlem Olayı şeması kullanılır.
Şema güncelleştirmeleri
Şemanın 0.2.1 sürümündeki değişiklikler şunlardır:
- Kaynak ve
Srchedef sistemler için önde gelen tanımlayıcıya ve diğer adları olarak eklendiDst. - , ,
NetworkConnectionHistory,SrcVlanIdDstVlanIdveInnerVlanIdalanlarınıOuterVlanIdekledik.
Şemanın 0.2.2 sürümündeki değişiklikler şunlardır:
- ve
Remotediğer adları eklendiLocal. - olay türü
EndpointNetworkSessioneklendi. - olay türü
Hostnameolduğunda veIpAddriçinRemoteHostnameve diğer adları olarak tanımlanırLocalIpAddr.EndpointNetworkSession - veya
DvcInterfaceiçinDvcInboundInterfacediğer ad olarak tanımlanırDvcOutboundInterface. - Aşağıdaki alanların türü Tamsayı yerine Uzun olarak değiştirildi:
SrcBytes,DstBytes,NetworkBytes,SrcPackets,DstPackets, veNetworkPackets. - alanı
NetworkProtocolVersioneklendi. - Ve kullanım dışı bırakıldı
DstUserDomainSrcUserDomain.
Şemanın 0.2.3 sürümündeki değişiklikler şunlardır:
-
ipaddr_has_any_prefixFiltreleme parametresi eklendi. - Filtreleme
hostname_has_anyparametresi artık kaynak veya hedef ana bilgisayar adlarıyla eşleşir. - ve
ASimMatchingHostnamealanlarınıASimMatchingIpAddrekledik.
Şemanın 0.2.4 sürümündeki değişiklikler şunlardır:
-
TcpFlagsAlanları ekledik. - ve her
NetworkIcpmTypeikisinin sayı değerini yansıtacak şekilde güncelleştirildiNetworkIcmpCode. - Ek inceleme alanları eklendi.
- 'ThreatRiskLevelOriginal' alanı ASIM kurallarıyla uyumlu olacak şekilde
ThreatOriginalRiskLevelyeniden adlandırıldı. Mevcut Microsoft ayrıştırıcıları 1 Mayıs 2023'e kadar bakımThreatRiskLevelOriginalyapacaktır. - Önerilen olarak işaretlendi
EventResultDetailsve izin verilen değerleri belirtti.
Şemanın 0.2.5 sürümündeki değişiklikler şunlardır:
- , , ,
DstUserScopeSrcUserScope, ,SrcDvcScopeId,SrcDvcScope,DstDvcScopeIdveDstDvcScopeDvcScopeIdalanlarınıDvcScopeekledik.
Şemanın 0.2.6 sürümündeki değişiklikler şunlardır:
- Olay türü olarak IDS eklendi
Şemanın 0.2.7 sürümündeki değişiklikler şunlardır:
- alanları
DstDescriptioneklendi veSrcDescription
İlgili içerik
- Gelişmiş Güvenlik Bilgileri Modeline (ASIM) genel bakış
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) içeriği
- Azure Sentinel Web Semineri: Azure Sentinel'da Bilgiler Model-Understanding Normalleştirme