Gelişmiş Güvenlik Bilgileri Modeli (ASIM) Ağ Oturumu normalleştirme şema başvurusu (Genel önizleme)
Microsoft Sentinel Ağ Oturumu normalleştirme şeması, ağ bağlantıları ve ağ oturumları gibi bir IP ağ etkinliğini temsil eder. Bu tür olaylar, örneğin işletim sistemleri, yönlendiriciler, güvenlik duvarları ve izinsiz girişi önleme sistemleri tarafından bildirilir.
Ağ normalleştirme şeması herhangi bir IP ağ oturumu türünü temsil edebilir, ancak Netflow, güvenlik duvarları ve yetkisiz erişim önleme sistemleri gibi ortak kaynak türleri için destek sağlamak üzere tasarlanmıştır.
Microsoft Sentinel'de normalleştirme hakkında daha fazla bilgi için bkz . Normalleştirme ve Gelişmiş Güvenlik Bilgileri Modeli (ASIM).
Bu makalede, ağ normalleştirme şemasının 0.2.x sürümü açıklanmaktadır. Sürüm 0.1 , ASIM kullanılabilir olmadan önce yayımlandı ve asim ile çeşitli yerlerde uyumlu değil. Daha fazla bilgi için bkz . Ağ normalleştirme şeması sürümleri arasındaki farklar.
Önemli
Ağ normalleştirme şeması şu anda önizleme aşamasındadır. Bu özellik, hizmet düzeyi sözleşmesi olmadan sağlanır. Üretim iş yükleri için önerilmez.
Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.
Çözümleyicileri
ASIM ayrıştırıcıları hakkında daha fazla bilgi için bkz . ASIM ayrıştırıcılarına genel bakış.
Ayrıştırıcıları birleştirme
Tüm ASIM kullanıma alınmış ayrıştırıcıları birleştiren ayrıştırıcıları kullanmak ve çözümlemenizin yapılandırılan tüm kaynaklarda çalıştığından emin olmak için filtreleme ayrıştırıcısını _Im_NetworkSession veya parametresiz ayrıştırıcıyı _ASim_NetworkSession kullanın.
Çalışma alanı tarafından dağıtılan ImNetworkSession ve ASimNetworkSession ayrıştırıcıları Microsoft Sentinel GitHub deposundan dağıtarak da kullanabilirsiniz.
Daha fazla bilgi için bkz . yerleşik ASIM ayrıştırıcıları ve çalışma alanı tarafından dağıtılan ayrıştırıcılar.
Kullanıma açık, kaynağa özgü ayrıştırıcılar
Ağ Oturumu ayrıştırıcılarının listesi için Microsoft Sentinel kullanıma hazır sağlar ASIM ayrıştırıcıları listesine bakın
Kendi normalleştirilmiş ayrıştırıcılarınızı ekleme
Ağ Oturumu bilgi modeli için özel ayrıştırıcılar geliştirirken aşağıdaki söz dizimini kullanarak KQL işlevlerinizi adlandırın:
vimNetworkSession<vendor><Product>parametrized ayrıştırıcılar içinASimNetworkSession<vendor><Product>normal ayrıştırıcılar için
Ayrıştırıcıları birleştiren ağ oturumuna özel ayrıştırıcılarınızı eklemeyi öğrenmek için ASIM ayrıştırıcılarını yönetme makalesine bakın.
Ayrıştırıcı parametrelerini filtreleme
Ağ Oturumu ayrıştırıcıları filtreleme parametrelerini destekler. Bu parametreler isteğe bağlı olsa da sorgu performansınızı artırabilir.
Aşağıdaki filtreleme parametreleri kullanılabilir:
| Adı | Tür | Açıklama |
|---|---|---|
| starttime | datetime | Yalnızca şu anda veya sonrasında başlayan ağ oturumlarını filtreleyin. |
| bitiş saati | datetime | Yalnızca şu anda veya öncesinde çalışmaya başlayan ağ oturumlarını filtreleyin. |
| srcipaddr_has_any_prefix | dynamic | Yalnızca kaynak IP adresi alan ön ekinin listelenen değerlerden birinde yer aldığı ağ oturumlarını filtreleyin. Ön ekler ile .bitmelidir, örneğin: 10.0.. Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
| dstipaddr_has_any_prefix | dynamic | Yalnızca hedef IP adresi alan ön ekinin listelenen değerlerden birinde yer aldığı ağ oturumlarını filtreleyin. Ön ekler ile .bitmelidir, örneğin: 10.0.. Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
| ipaddr_has_any_prefix | dynamic | Yalnızca hedef IP adresi alanının veya kaynak IP adresi alanı ön ekinin listelenen değerlerden birinde bulunduğu ağ oturumlarını filtreleyin. Ön ekler ile .bitmelidir, örneğin: 10.0.. Listenin uzunluğu 10.000 öğeyle sınırlıdır.ASimMatchingIpAddr alanı, , DstIpAddrdeğerlerinden SrcIpAddrbiriyle veya Both eşleşen alanları veya alanları yansıtacak şekilde ayarlanır. |
| dstportnumber | Int | Yalnızca belirtilen hedef bağlantı noktası numarasına sahip ağ oturumlarını filtreleyin. |
| hostname_has_any | dinamik/dize | Yalnızca hedef konak adı alanında listelenen değerlerden herhangi birinin bulunduğu ağ oturumlarını filtreleyin. Listenin uzunluğu 10.000 öğeyle sınırlıdır. ASimMatchingHostname alanı , DstHostnameveya Both değerlerinden SrcHostnamebiriyle veya eşleşen alanları veya alanları yansıtacak şekilde ayarlanır. |
| dvcaction | dinamik/dize | Yalnızca Cihaz Eylemi alanının listelenen değerlerden biri olduğu ağ oturumlarını filtreleyin. |
| eventresult | String | Yalnızca belirli bir EventResult değerine sahip ağ oturumlarını filtreleyin. |
Bazı parametreler hem tür dynamic değerleri listesini hem de tek bir dize değerini kabul edebilir. Sabit bir listeyi dinamik değer bekleyen parametrelere geçirmek için, dinamik değişmez değeri açıkça kullanın. Örneğin: dynamic(['192.168.','10.'])
Örneğin, yalnızca belirtilen etki alanı adları listesi için ağ oturumlarını filtrelemek için şunu kullanın:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
İpucu
Sabit bir listeyi dinamik değer bekleyen parametrelere geçirmek için, dinamik değişmez değeri açıkça kullanın. Örneğin: dynamic(['192.168.','10.']).
Normalleştirilmiş içerik
Normalleştirilmiş DNS olaylarını kullanan analiz kurallarının tam listesi için bkz . Ağ oturumu güvenlik içeriği.
Şemaya genel bakış
Ağ Oturumu bilgi modeli, OSSEM Ağ varlık şemasıyla hizalanır.
Ağ Oturumu şeması, aynı alanları paylaşan çeşitli benzer ama farklı senaryo türlerine hizmet eder. Bu senaryolar EventType alanı tarafından tanımlanır:
NetworkSession- Güvenlik duvarı, yönlendirici veya ağ dokunması gibi ağı izleyen bir ara cihaz tarafından bildirilen bir ağ oturumu.L2NetworkSession- yalnızca katman 2 bilgilerinin kullanılabildiği bir ağ oturumları. Bu tür olaylar MAC adreslerini içerir ancak IP adreslerini içermez.Flow- Genellikle Netflow olayları gibi önceden tanımlanmış bir zaman aralığında birden çok benzer ağ oturumu bildiren toplu bir olay.EndpointNetworkSession- istemciler ve sunucular dahil olmak üzere oturumun bitiş noktalarından biri tarafından bildirilen bir ağ oturumu. Bu tür olaylar için şema velocaldiğer ad alanlarını desteklerremote.IDS- şüpheli olarak bildirilen bir ağ oturumu. Böyle bir olayda bazı denetim alanları doldurulur ve kaynak veya hedef olmak üzere yalnızca bir IP adresi alanı doldurulmuş olabilir.
Genellikle sorgunun bu olay türlerinin yalnızca bir alt kümesini seçmesi ve kullanım örneklerinin ayrı benzersiz yönlerini ele alması gerekebilir. Örneğin, IDS olayları ağ biriminin tamamını yansıtmaz ve sütun tabanlı analizde dikkate alınmamalıdır.
Ağ oturumu olayları, tanımlayıcıları Src kullanır ve Dst oturumda yer alan cihazların ve ilgili kullanıcıların ve uygulamaların rollerini belirtir. Bu nedenle, örneğin, kaynak cihaz ana bilgisayar adı ve IP adresi ve SrcIpAddrolarak adlandırılırSrcHostname. Diğer ASIM şemaları genellikle yerine DstkullanırTarget.
Bir uç nokta tarafından bildirilen ve olay türünün EndpointNetworkSessionolduğu olaylar için, sırasıyla uç noktanın kendisini ve cihazı ağ oturumunun diğer ucunda tanımlar Local Remote ve belirtir.
Tanımlayıcı Dvc , bir uç nokta tarafından bildirilen oturumlar için yerel sistem olan raporlama cihazı ve diğer ağ oturumu olayları için aracı cihaz veya ağ dokunması için kullanılır.
Şema ayrıntıları
Ortak ASIM alanları
Önemli
Tüm şemalarda ortak olan alanlar ASIM Ortak Alanları makalesinde ayrıntılı olarak açıklanmıştır.
Belirli yönergelere sahip ortak alanlar
Aşağıdaki listede Ağ Oturumu olayları için belirli yönergelere sahip alanlardan bahsediliyor:
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| EventCount | Zorunlu | Tamsayı | Netflow kaynakları toplamayı destekler ve EventCount alanı Netflow FLOWS alanının değerine ayarlanmalıdır. Diğer kaynaklar için değer genellikle olarak 1ayarlanır. |
| EventType | Zorunlu | Enumerated | Kayıt tarafından bildirilen senaryoyu açıklar. Ağ Oturumu kayıtları için izin verilen değerler şunlardır: - EndpointNetworkSession- NetworkSession - L2NetworkSession- IDS - FlowOlay türleri hakkında daha fazla bilgi için şemaya genel bakış bölümüne bakın |
| EventSubType | İsteğe bağlı | String | Varsa, olay türünün ek açıklaması. Ağ Oturumu kayıtları için desteklenen değerler şunlardır: - Start- EndBu alan olaylarla Flow ilgili değildir. |
| EventResult | Zorunlu | Enumerated | Kaynak cihaz bir olay sonucu sağlamazsa EventResult, DvcAction değerini temel almalıdır. DvcAction , , Drop ICMPDrop, , Reset, Reset Sourceveya ise DenyReset Destination, EventResult olmalıdır Failure. Aksi takdirde EventResult olmalıdırSuccess. |
| EventResultDetails | Önerilir | Enumerated | EventResult alanında bildirilen sonucun nedeni veya ayrıntıları. Desteklenen değerler şunlardır: - Yük devretme - Geçersiz TCP - Geçersiz Tünel - En Fazla Yeniden Deneme -Sıfırlama - Yönlendirme sorunu -Simülasyon -Sonlandırıldı -Zaman aşımı - Geçici hata -Bilinmeyen -NA. Özgün, kaynağa özgü değer EventOriginalResultDetails alanında depolanır. |
| EventSchema | Zorunlu | String | Burada belgelenen şemanın adıdır NetworkSession. |
| EventSchemaVersion | Zorunlu | String | Şema sürümü. Şemanın burada belgelenen sürümüdür 0.2.6. |
| DvcAction | Önerilir | Enumerated | Ağ oturumunda gerçekleştirilen eylem. Desteklenen değerler şunlardır: - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNrouteNot: Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değer bu değerlere normalleştirilmelidir. Özgün değer DvcOriginalAction alanında depolanmalıdır. Örnek: drop |
| EventSeverity | İsteğe bağlı | Enumerated | Kaynak cihaz bir olay önem derecesi sağlamıyorsa, EventSeverity DvcAction değerini temel almalıdır. DvcAction , , Drop ICMPDrop, , Reset, Reset Sourceveya ise DenyReset Destination, EventSeverity olmalıdır Low. Aksi takdirde EventSeverity olmalıdırInformational. |
| DvcInterface | DvcInterface alanı, DvcInboundInterface veya DvcOutboundInterface alanlarının diğer adını almalıdır. | ||
| Dvc alanları | Ağ Oturumu olayları için cihaz alanları Ağ Oturumu olayını bildiren sisteme başvurur. |
Tüm ortak alanlar
Aşağıdaki tabloda görünen alanlar tüm ASIM şemalarında ortaktır. Yukarıda belirtilen tüm yönergeler, alanın genel yönergelerini geçersiz kılar. Örneğin, bir alan genel olarak isteğe bağlı olabilir, ancak belirli bir şema için zorunlu olabilir. Her alan hakkında daha fazla bilgi için ASIM Ortak Alanları makalesine bakın.
| Sınıf | Alanlar |
|---|---|
| Zorunlu | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Önerilir | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| İsteğe bağlı | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - EkAlanlar - DvcDescription - DvcScopeId - DvcScope |
Ağ oturumu alanları
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| NetworkApplicationProtocol | İsteğe bağlı | String | Bağlantı veya oturum tarafından kullanılan uygulama katmanı protokolü. Değer tüm büyük harflerde olmalıdır. Örnek: FTP |
| NetworkProtocol | İsteğe bağlı | Enumerated | Bağlantı veya oturum tarafından genellikle , UDPICMPveya olan TCPIANA protokol atamasında listelendiği şekilde kullanılan IP protokolü.Örnek: TCP |
| NetworkProtocolVersion | İsteğe bağlı | Enumerated | NetworkProtocol sürümü. IP sürümünü ayırt etmek için kullanırken ve IPv6değerlerini IPv4 kullanın. |
| NetworkDirection | İsteğe bağlı | Enumerated | Bağlantının veya oturumun yönü: - EventType NetworkSessionveya Flow L2NetworkSessioniçin, NetworkDirection kuruluş veya bulut ortamı sınırına göre yönü temsil eder. Desteklenen değerler , , OutboundLocal (kuruluşa), External (kuruluşa) veya NA (Uygulanamaz) değerleridirInbound.- EventType EndpointNetworkSessioniçin, NetworkDirection uç noktaya göre yönü temsil eder. Desteklenen değerler , , OutboundLocal (sisteme) Listen veya NA (Uygulanamaz) değerleridirInbound. Listen değeri, bir cihazın ağ bağlantılarını kabul ettiğini ancak aslında bağlı olmadığını gösterir. |
| NetworkDuration | İsteğe bağlı | Tamsayı | Ağ oturumunun veya bağlantısının tamamlanması için milisaniye cinsinden süre. Örnek: 1500 |
| Süre | Diğer ad | NetworkDuration diğer adı. | |
| NetworkIcmpType | İsteğe bağlı | String | ICMP iletisi için, IPv4 ağ bağlantıları için RFC 2780 veya IPv6 ağ bağlantıları için RFC 4443'te açıklandığı gibi sayısal değerle ilişkili ICMP türü adı. Örnek: Destination Unreachable NetworkIcmpCode için 3 |
| NetworkIcmpCode | İsteğe bağlı | Tamsayı | ICMP iletisi için, IPv4 ağ bağlantıları için RFC 2780 veya IPv6 ağ bağlantıları için RFC 4443'te açıklandığı gibi ICMP kod numarası. |
| NetworkConnectionHistory | İsteğe bağlı | String | TCP bayrakları ve diğer olası IP üst bilgisi bilgileri. |
| DstBytes | Önerilir | Uzun | Bağlantı veya oturum için hedeften kaynağa gönderilen bayt sayısı. Olay toplanırsa, DstBytes tüm toplanan oturumların toplamı olmalıdır. Örnek: 32455 |
| SrcBytes | Önerilir | Uzun | Bağlantı veya oturum için kaynaktan hedefe gönderilen bayt sayısı. Olay toplanırsa, SrcBytes tüm toplanan oturumların toplamı olmalıdır. Örnek: 46536 |
| NetworkBytes | İsteğe bağlı | Uzun | Her iki yönde de gönderilen bayt sayısı. Hem BytesReceived hem de BytesSent varsa, BytesTotal toplamına eşit olmalıdır. Olay toplanırsa, NetworkBytes tüm toplanan oturumların toplamı olmalıdır. Örnek: 78991 |
| DstPackets | İsteğe bağlı | Uzun | Bağlantı veya oturum için hedeften kaynağa gönderilen paket sayısı. Bir paketin anlamı, raporlama cihazı tarafından tanımlanır. Olay toplanırsa, DstPackets tüm toplanan oturumların toplamı olmalıdır. Örnek: 446 |
| SrcPackets | İsteğe bağlı | Uzun | Bağlantı veya oturum için kaynaktan hedefe gönderilen paket sayısı. Bir paketin anlamı, raporlama cihazı tarafından tanımlanır. Olay toplanırsa, SrcPackets tüm toplanan oturumların toplamı olmalıdır. Örnek: 6478 |
| Ağ Paketleri | İsteğe bağlı | Uzun | Her iki yönde gönderilen paketlerin sayısı. Hem PacketsReceived hem de PacketsSent varsa BytesTotal toplamına eşit olmalıdır. Bir paketin anlamı, raporlama cihazı tarafından tanımlanır. Olay toplanırsa, NetworkPackets tüm toplanan oturumların toplamı olmalıdır. Örnek: 6924 |
| NetworkSessionId | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen oturum tanımlayıcısı. Örnek: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| SessionId | Diğer ad | String | NetworkSessionId diğer adı. |
| TcpFlagsAck | İsteğe bağlı | Boolean | TCP ACK Bayrağı bildirildi. Onay bayrağı, bir paketin başarıyla alınmış olduğunu onaylamak için kullanılır. Yukarıdaki diyagramda gördüğümüz gibi alıcı, gönderene ilk paketini aldığını söylemek için üç yönlü el sıkışma işleminin ikinci adımında bir ACK ve syn gönderir. |
| TcpFlagsFin | İsteğe bağlı | Boolean | TCP FIN Bayrağı bildirildi. Tamamlandı bayrağı, gönderenden başka veri olmadığı anlamına gelir. Bu nedenle, gönderenden gönderilen son pakette kullanılır. |
| TcpFlagsSyn | İsteğe bağlı | Boolean | TCP SYN Bayrağı bildirildi. Eşitleme bayrağı, iki konak arasında üç yönlü el sıkışması oluşturmanın ilk adımı olarak kullanılır. Yalnızca hem gönderenden hem de alıcıdan gelen ilk pakette bu bayrak ayarlanmalıdır. |
| TcpFlagsUrg | İsteğe bağlı | Boolean | TCP ÜRG Bayrağı bildirildi. Acil bayrağı, diğer tüm paketleri işlemeden önce alıcıya acil paketleri işlemesini bildirmek için kullanılır. Bilinen tüm acil veriler alındığında alıcıya bildirim gönderilir. Diğer ayrıntılar için bkz . RFC 6093 . |
| TcpFlagsPsh | İsteğe bağlı | Boolean | TCP PSH Bayrağı bildirildi. Gönderme bayrağı, ÜRG bayrağına benzer ve alıcıya bu paketleri arabelleğe almak yerine alındıklarında işlemesini söyler. |
| TcpFlagsRst | İsteğe bağlı | Boolean | TCP RST Bayrağı bildirildi. Sıfırlama bayrağı, bir paket beklemeyen belirli bir konağa gönderildiğinde alıcıdan gönderene gönderilir. |
| TcpFlagsEce | İsteğe bağlı | Boolean | TCP ECE Bayrağı bildirildi. Bu bayrak, TCP eşlerinin ECN özellikli olup olmadığını göstermekle sorumludur. Diğer ayrıntılar için bkz . RFC 3168 . |
| TcpFlagsCwr | İsteğe bağlı | Boolean | TCP CWR Bayrağı bildirildi. Tıkanıklık penceresi azaltılmış bayrağı, gönderen ana bilgisayar tarafından ECE bayrağı ayarlanmış bir paket aldığını belirtmek için kullanılır. Diğer ayrıntılar için bkz . RFC 3168 . |
| TcpFlagsN'ler | İsteğe bağlı | Boolean | TCP NS Bayrağı bildirildi. Nonce sum bayrağı, gönderenden gelen paketlerin yanlışlıkla kötü amaçlı gizlenmesinden korunmaya yardımcı olmak için kullanılan deneysel bir bayraktır. Diğer ayrıntılar için bkz. RFC 3540 |
Hedef sistem alanları
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| Dst | Önerilir | Diğer ad | DNS isteğini alan sunucunun benzersiz tanımlayıcısı. Bu alan DstDvcId, DstHostname veya DstIpAddr alanlarına diğer ad verebilir. Örnek: 192.168.12.1 |
| DstIpAddr | Önerilir | IP Adresi | Bağlantının veya oturum hedefinin IP adresi. Oturum ağ adresi çevirisi kullanıyorsa, DstIpAddr DstNatIpAddr'da depolanan kaynağın özgün adresi değil, genel olarak görünen adrestirÖrnek: 2001:db8::ff00:42:8329Not: DstHostname belirtilirse bu değer zorunludur. |
| DstPortNumber | İsteğe bağlı | Tamsayı | Hedef IP bağlantı noktası. Örnek: 443 |
| DstHostname | Önerilir | Konak adı | Etki alanı bilgileri hariç, hedef cihaz ana bilgisayar adı. Kullanılabilir cihaz adı yoksa ilgili IP adresini bu alanda depolayın. Örnek: DESKTOP-1282V4D |
| DstDomain | Önerilir | String | Hedef cihazın etki alanı. Örnek: Contoso |
| DstDomainType | Koşullu | Enumerated | DstDomain türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DomainType'a bakın. DstDomain kullanılıyorsa gereklidir. |
| DstFQDN | İsteğe bağlı | String | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef cihaz ana bilgisayar adı. Örnek: Contoso\DESKTOP-1282V4D Not: Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. DstDomainType, kullanılan biçimi yansıtır. |
| DstDvcId | İsteğe bağlı | String | Hedef cihazın kimliği. Birden çok kimlik varsa, en önemli kimlikleri kullanın ve diğerlerini alanlarında depolayın DstDvc<DvcIdType>. Örnek: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | İsteğe bağlı | String | Cihazın ait olduğu bulut platformu kapsam kimliği. DstDvcScopeId , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| DstDvcScope | İsteğe bağlı | String | Cihazın ait olduğu bulut platformu kapsamı. DstDvcScope , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| DstDvcIdType | Koşullu | Enumerated | DstDvcId türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DvcIdType'a bakın. DstDeviceId kullanılıyorsa gereklidir. |
| DstDeviceType | İsteğe bağlı | Enumerated | Hedef cihazın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DeviceType'a bakın. |
| DstZone | İsteğe bağlı | String | Raporlama cihazı tarafından tanımlandığı gibi hedefin ağ bölgesi. Örnek: Dmz |
| DstInterfaceName | İsteğe bağlı | String | Hedef cihaz tarafından bağlantı veya oturum için kullanılan ağ arabirimi. Örnek: Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | İsteğe bağlı | String | Hedef cihazda kullanılan ağ arabiriminin GUID'i. Örnek: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | İsteğe bağlı | String | Hedef cihaz tarafından bağlantı veya oturum için kullanılan ağ arabiriminin MAC adresi. Örnek: 06:10:9f:eb:8f:14 |
| DstVlanId | İsteğe bağlı | String | Hedef cihazla ilgili VLAN kimliği. Örnek: 130 |
| OuterVlanId | İsteğe bağlı | Diğer ad | DstVlanId diğer adı. Çoğu durumda VLAN bir kaynak veya hedef olarak belirlenemez, ancak iç veya dış olarak nitelendirilir. Bu diğer ad, VLAN dış olarak nitelendiğinde DstVlanId'nin kullanılması gerektiğini bildirir. |
| DstSubscriptionId | İsteğe bağlı | String | Hedef cihazın ait olduğu bulut platformu abonelik kimliği. DstSubscriptionId , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| DstGeoCountry | İsteğe bağlı | Ülke | Hedef IP adresiyle ilişkili ülke/bölge. Daha fazla bilgi için bkz . Mantıksal türler. Örnek: USA |
| DstGeoRegion | İsteğe bağlı | Bölge | Hedef IP adresiyle ilişkili bölge veya durum. Daha fazla bilgi için bkz . Mantıksal türler. Örnek: Vermont |
| DstGeoCity | İsteğe bağlı | City | Hedef IP adresiyle ilişkili şehir. Daha fazla bilgi için bkz . Mantıksal türler. Örnek: Burlington |
| DstGeoLatitude | İsteğe bağlı | Enlem | Hedef IP adresiyle ilişkili coğrafi koordinatın enlemi. Daha fazla bilgi için bkz . Mantıksal türler. Örnek: 44.475833 |
| DstGeoLongitude | İsteğe bağlı | Boylam | Hedef IP adresiyle ilişkili coğrafi koordinatın boylamı. Daha fazla bilgi için bkz . Mantıksal türler. Örnek: 73.211944 |
Hedef kullanıcı alanları
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| DstUserId | İsteğe bağlı | String | Makine tarafından okunabilir, alfasayısal, hedef kullanıcının benzersiz gösterimi. Farklı kimlik türleri için desteklenen biçim için Kullanıcı varlığına bakın. Örnek: S-1-12 |
| DstUserScope | İsteğe bağlı | String | DstUserId ve DstUsername'in tanımlandığı Microsoft Entra kiracısı gibi kapsam. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScope bölümüne bakın. |
| DstUserScopeId | İsteğe bağlı | String | DstUserId ve DstUsername'in tanımlandığı Microsoft Entra Dizin Kimliği gibi kapsam kimliği. daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScopeId bölümüne bakın. |
| DstUserIdType | Koşullu | UserIdType | DstUserId alanında depolanan kimliğin türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UserIdType'a bakın. |
| DstUsername | İsteğe bağlı | String | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef kullanıcı adı. Farklı kimlik türleri için desteklenen biçim için Kullanıcı varlığına bakın. Basit formu yalnızca etki alanı bilgileri kullanılamıyorsa kullanın. Kullanıcı adı türünü DstUsernameType alanında depolayın. Başka kullanıcı adı biçimleri varsa, bunları alanlarında DstUsername<UsernameType>depolayın.Örnek: AlbertE |
| Kullanıcı | Diğer ad | DstUsername diğer adı. | |
| DstUsernameType | Koşullu | UsernameType | DstUsername alanında depolanan kullanıcı adının türünü belirtir. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UsernameType'a bakın. Örnek: Windows |
| DstUserType | İsteğe bağlı | UserType | Hedef kullanıcının türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UserType'a bakın. Not: Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değer bu değerlere normalleştirilmelidir. Özgün değeri DstOriginalUserType alanında depolayın. |
| DstOriginalUserType | İsteğe bağlı | String | Kaynak tarafından sağlanmışsa özgün hedef kullanıcı türü. |
Hedef uygulama alanları
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| DstAppName | İsteğe bağlı | String | Hedef uygulamanın adı. Örnek: Facebook |
| DstAppId | İsteğe bağlı | String | Raporlama cihazı tarafından bildirilen hedef uygulamanın kimliği. DstAppType ise ProcessDstAppId ve DstProcessId aynı değere sahip olmalıdır.Örnek: 124 |
| DstAppType | İsteğe bağlı | AppType | Hedef uygulamanın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki AppType'a bakın. DstAppName veya DstAppId kullanılıyorsa bu alan zorunludur. |
| DstProcessName | İsteğe bağlı | String | Ağ oturumunu sonlandıran işlemin dosya adı. Bu ad genellikle işlem adı olarak kabul edilir. Örnek: C:\Windows\explorer.exe |
| İşlem | Diğer ad | DstProcessName diğer adı Örnek: C:\Windows\System32\rundll32.exe |
|
| DstProcessId | İsteğe bağlı | String | Ağ oturumunu sonlandıran işlemin işlem kimliği (PID). Örnek: 48610176 Not: Tür, farklı sistemleri desteklemek için dize olarak tanımlanır, ancak Windows ve Linux'ta bu değer sayısal olmalıdır. Windows veya Linux makinesi kullanıyorsanız ve farklı bir tür kullandıysanız, değerleri dönüştürdüğünüzden emin olun. Örneğin, onaltılık bir değer kullandıysanız, bunu ondalık değere dönüştürün. |
| DstProcessGuid | İsteğe bağlı | String | Ağ oturumunu sonlandıran işlemin oluşturulan benzersiz tanımlayıcısı (GUID). Örnek: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Kaynak sistem alanları
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| Src | Diğer ad | Kaynak cihazın benzersiz tanımlayıcısı. Bu alan SrcDvcId, SrcHostname veya SrcIpAddr alanlarının diğer adını alabilir. Örnek: 192.168.12.1 |
|
| SrcIpAddr | Önerilir | IP Adresi | Bağlantının veya oturumun kaynaklandığı IP adresi. SrcHostname belirtilirse bu değer zorunludur. Oturum ağ adresi çevirisi kullanıyorsa, SrcIpAddr SrcNatIpAddr'da depolanan kaynağın özgün adresi değil genel olarak görünen adrestirÖrnek: 77.138.103.108 |
| SrcPortNumber | İsteğe bağlı | Tamsayı | Bağlantının kaynaklandığı IP bağlantı noktası. Birden çok bağlantıdan oluşan bir oturumla ilgili olmayabilir. Örnek: 2335 |
| SrcHostname | Önerilir | Konak adı | Etki alanı bilgileri hariç kaynak cihaz ana bilgisayar adı. Kullanılabilir cihaz adı yoksa ilgili IP adresini bu alanda depolayın. Örnek: DESKTOP-1282V4D |
| SrcDomain | Önerilir | String | Kaynak cihazın etki alanı. Örnek: Contoso |
| SrcDomainType | Koşullu | DomainType | SrcDomain türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DomainType'a bakın. SrcDomain kullanılıyorsa gereklidir. |
| SrcFQDN | İsteğe bağlı | String | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak cihaz ana bilgisayar adı. Not: Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. SrcDomainType alanı kullanılan biçimi yansıtır. Örnek: Contoso\DESKTOP-1282V4D |
| SrcDvcId | İsteğe bağlı | String | Kaynak cihazın kimliği. Birden çok kimlik varsa, en önemli kimlikleri kullanın ve diğerlerini alanlarında depolayın SrcDvc<DvcIdType>.Örnek: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | İsteğe bağlı | String | Cihazın ait olduğu bulut platformu kapsam kimliği. SrcDvcScopeId , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| SrcDvcScope | İsteğe bağlı | String | Cihazın ait olduğu bulut platformu kapsamı. SrcDvcScope , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| SrcDvcIdType | Koşullu | DvcIdType | SrcDvcId türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DvcIdType'a bakın. Not: SrcDvcId kullanılıyorsa bu alan gereklidir. |
| SrcDeviceType | İsteğe bağlı | DeviceType | Kaynak cihazın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DeviceType'a bakın. |
| SrcZone | İsteğe bağlı | String | Raporlama cihazı tarafından tanımlanan kaynağın ağ bölgesi. Örnek: Internet |
| SrcInterfaceName | İsteğe bağlı | String | Kaynak cihaz tarafından bağlantı veya oturum için kullanılan ağ arabirimi. Örnek: eth01 |
| SrcInterfaceGuid | İsteğe bağlı | String | Kaynak cihazda kullanılan ağ arabiriminin GUID'i. Örnek: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | İsteğe bağlı | String | Bağlantının veya oturumun kaynaklandığı ağ arabiriminin MAC adresi. Örnek: 06:10:9f:eb:8f:14 |
| SrcVlanId | İsteğe bağlı | String | Kaynak cihazla ilgili VLAN kimliği. Örnek: 130 |
| InnerVlanId | İsteğe bağlı | Diğer ad | SrcVlanId diğer adı. Çoğu durumda VLAN bir kaynak veya hedef olarak belirlenemez, ancak iç veya dış olarak nitelendirilir. Bu diğer ad, VLAN iç olarak nitelendiğinde SrcVlanId kullanılması gerektiğini bildirir. |
| SrcSubscriptionId | İsteğe bağlı | String | Kaynak cihazın ait olduğu bulut platformu abonelik kimliği. SrcSubscriptionId , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| SrcGeoCountry | İsteğe bağlı | Ülke | Kaynak IP adresiyle ilişkili ülke/bölge. Örnek: USA |
| SrcGeoRegion | İsteğe bağlı | Bölge | Kaynak IP adresiyle ilişkilendirilmiş bölge. Örnek: Vermont |
| SrcGeoCity | İsteğe bağlı | City | Kaynak IP adresiyle ilişkili şehir. Örnek: Burlington |
| SrcGeoLatitude | İsteğe bağlı | Enlem | Kaynak IP adresiyle ilişkili coğrafi koordinatın enlemi. Örnek: 44.475833 |
| SrcGeoLongitude | İsteğe bağlı | Boylam | Kaynak IP adresiyle ilişkili coğrafi koordinatın boylamı. Örnek: 73.211944 |
Kaynak kullanıcı alanları
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| SrcUserId | İsteğe bağlı | String | Kaynak kullanıcının makine tarafından okunabilir, alfasayısal, benzersiz bir gösterimi. Farklı kimlik türleri için desteklenen biçim için Kullanıcı varlığına bakın. Örnek: S-1-12 |
| SrcUserScope | İsteğe bağlı | String | SrcUserId ve SrcUsername'in tanımlandığı Microsoft Entra kiracısı gibi kapsam. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScope bölümüne bakın. |
| SrcUserScopeId | İsteğe bağlı | String | SrcUserId ve SrcUsername'in tanımlandığı Microsoft Entra Dizin Kimliği gibi kapsam kimliği. daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScopeId bölümüne bakın. |
| SrcUserIdType | Koşullu | UserIdType | SrcUserId alanında depolanan kimliğin türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UserIdType'a bakın. |
| SrcUsername | İsteğe bağlı | String | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak kullanıcı adı. Farklı kimlik türleri için desteklenen biçim için Kullanıcı varlığına bakın. Basit formu yalnızca etki alanı bilgileri kullanılamıyorsa kullanın. Kullanıcı adı türünü SrcUsernameType alanında depolayın. Başka kullanıcı adı biçimleri varsa, bunları alanlarında SrcUsername<UsernameType>depolayın.Örnek: AlbertE |
| SrcUsernameType | Koşullu | UsernameType | SrcUsername alanında depolanan kullanıcı adının türünü belirtir. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UsernameType'a bakın. Örnek: Windows |
| SrcUserType | İsteğe bağlı | UserType | Kaynak kullanıcının türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UserType'a bakın. Not: Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değer bu değerlere normalleştirilmelidir. Özgün değeri SrcOriginalUserType alanında depolayın. |
| SrcOriginalUserType | İsteğe bağlı | String | Raporlama cihazı tarafından sağlanıyorsa özgün hedef kullanıcı türü. |
Kaynak uygulama alanları
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| SrcAppName | İsteğe bağlı | String | Kaynak uygulamanın adı. Örnek: filezilla.exe |
| SrcAppId | İsteğe bağlı | String | Raporlama cihazı tarafından bildirilen kaynak uygulamanın kimliği. SrcAppType ise ProcessSrcAppId ve SrcProcessId aynı değere sahip olmalıdır.Örnek: 124 |
| SrcAppType | İsteğe bağlı | AppType | Kaynak uygulamanın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki AppType'a bakın. SrcAppName veya SrcAppId kullanılıyorsa bu alan zorunludur. |
| SrcProcessName | İsteğe bağlı | String | Ağ oturumunu başlatan işlemin dosya adı. Bu ad genellikle işlem adı olarak kabul edilir. Örnek: C:\Windows\explorer.exe |
| SrcProcessId | İsteğe bağlı | String | Ağ oturumunu başlatan işlemin işlem kimliği (PID). Örnek: 48610176 Not: Tür, farklı sistemleri desteklemek için dize olarak tanımlanır, ancak Windows ve Linux'ta bu değer sayısal olmalıdır. Windows veya Linux makinesi kullanıyorsanız ve farklı bir tür kullandıysanız, değerleri dönüştürdüğünüzden emin olun. Örneğin, onaltılık bir değer kullandıysanız, bunu ondalık değere dönüştürün. |
| SrcProcessGuid | İsteğe bağlı | String | Ağ oturumunu başlatan işlemin oluşturulan benzersiz tanımlayıcısı (GUID). Örnek: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Yerel ve uzak diğer adlar
Yukarıda listelenen tüm kaynak ve hedef alanlar, isteğe bağlı olarak aynı ada ve tanımlayıcılara Local ve Remoteile alanlara göre diğer adla adlandırılabilir. Bu genellikle bir uç nokta tarafından bildirilen ve olay türünün EndpointNetworkSessionolduğu olaylar için yararlıdır.
Bu tür olaylar için tanımlayıcılar Local ve Remote sırasıyla ağ oturumunun diğer ucundaki uç noktanın kendisini ve cihazı belirtir. Gelen bağlantılar için hedef yerel sistemdir, Local alanlar alanların diğer adlarıdır Dst ve 'Uzak' alanlar alanlar için Src diğer adlardır. Buna karşılık, giden bağlantılar için kaynak yerel sistemdir, Local alanlar alanların diğer adlarıdır Src ve Remote alanlar da alanların diğer adlarıdır Dst .
Örneğin, bir gelen olay için, alanı LocalIpAddr için DstIpAddr bir diğer addır ve alanı RemoteIpAddr için bir diğer addır SrcIpAddr.
Ana bilgisayar adı ve IP adresi diğer adları
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| Ana Bilgisayar Adı | Diğer ad | - Olay türü NetworkSession, Flow veya L2NetworkSessionise, Ana bilgisayar adı DstHostname için bir diğer addır.- Olay türü ise EndpointNetworkSession, Hostname, NetworkDirection'a RemoteHostnamebağlı olarak DstHostname veya SrcHostName diğer adlarına sahip olan için bir diğer addır. |
|
| IpAddr | Diğer ad | - Olay türü NetworkSession, Flow veya L2NetworkSessionise, IpAddr, SrcIpAddr için bir diğer addır.- Olay türü ise EndpointNetworkSession, IpAddr, NetworkDirection'a LocalIpAddrbağlı olarak SrcIpAddr veya DstIpAddr diğer adlarına sahip olan için bir diğer addır. |
Aracı cihaz ve Ağ Adresi Çevirisi (NAT) alanları
Kayıt, ağ oturumunu aktaran güvenlik duvarı veya ara sunucu gibi bir aracı cihaz hakkında bilgi içeriyorsa aşağıdaki alanlar yararlıdır.
Aracı sistemler genellikle adres çevirisi kullanır ve bu nedenle özgün adres ve dışarıdan gözlemlenen adres aynı değildir. Bu gibi durumlarda, SrcIPAddr ve DstIpAddr gibi birincil adres alanları dışarıdan gözlemlenen adresleri temsil ederken NAT adres alanları, SrcNatIpAddr ve DstNatIpAddr çeviriden önce özgün cihazın iç adresini temsil eder.
Denetim alanları
Aşağıdaki alanlar güvenlik duvarı, IPS veya web güvenlik ağ geçidi gibi bir güvenlik cihazının hangi incelemeyi gerçekleştirdiğini göstermek için kullanılır:
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| NetworkRuleName | İsteğe bağlı | String | DvcAction'a karar verilen kuralın adı veya kimliği. Örnek: AnyAnyDrop |
| NetworkRuleNumber | İsteğe bağlı | Tamsayı | DvcAction'a karar verilen kuralın sayısı. Örnek: 23 |
| Kural | Diğer ad | String | NetworkRuleName değeri veya NetworkRuleNumber değeri. NetworkRuleNumber değeri kullanılıyorsa, türü dizeye dönüştürülmelidir. |
| ThreatId | İsteğe bağlı | String | Ağ oturumunda tanımlanan tehdit veya kötü amaçlı yazılımın kimliği. Örnek: Tr.124 |
| ThreatName | İsteğe bağlı | String | Ağ oturumunda tanımlanan tehdit veya kötü amaçlı yazılımın adı. Örnek: EICAR Test File |
| ThreatCategory | İsteğe bağlı | String | Ağ oturumunda tanımlanan tehdit veya kötü amaçlı yazılım kategorisi. Örnek: Trojan |
| ThreatRiskLevel | İsteğe bağlı | Tamsayı | Oturumla ilişkili risk düzeyi. Düzey 0 ile 100 arasında bir sayı olmalıdır. Not: Bu değer kaynak kayıtta farklı bir ölçek kullanılarak sağlanabilir ve bu ölçek normalleştirilmelidir. Özgün değer ThreatRiskLevelOriginal içinde depolanmalıdır. |
| ThreatOriginalRiskLevel | İsteğe bağlı | String | Raporlama cihazı tarafından bildirilen risk düzeyi. |
| ThreatIpAddr | İsteğe bağlı | IP Adresi | Bir tehdidin tanımlandığı IP adresi. ThreatField alanı ThreatIpAddr'ın temsil ettiği alanın adını içerir. |
| ThreatField | Koşullu | Enumerated | Bir tehdidin tanımlandığı alan. Değer veya SrcIpAddr DstIpAddrşeklindedir. |
| ThreatConfidence | İsteğe bağlı | Tamsayı | Tanımlanan tehdidin güvenilirlik düzeyi, 0 ile 100 arasında bir değere normalleştirilir. |
| ThreatOriginalConfidence | İsteğe bağlı | String | Raporlama cihazı tarafından bildirilen, tanımlanan tehdidin özgün güvenilirlik düzeyi. |
| ThreatIsActive | İsteğe bağlı | Boolean | Tanımlanan tehdit etkin bir tehdit olarak kabul edilirse true. |
| ThreatFirstReportedTime | İsteğe bağlı | datetime | IP adresi veya etki alanı ilk kez bir tehdit olarak tanımlandı. |
| ThreatLastReportedTime | İsteğe bağlı | datetime | IP adresinin veya etki alanının en son tehdit olarak tanımlandığı zaman. |
Diğer alanlar
Olay ağ oturumunun uç noktalarından biri tarafından bildirilirse, oturumu başlatan veya sonlandıran işlem hakkında bilgi içerebilir. Bu gibi durumlarda, ASIM İşlem Olayı şeması bu bilgileri normalleştirmek için kullanılır.
Şema güncelleştirmeleri
Şemanın 0.2.1 sürümündeki değişiklikler şunlardır:
DstKaynak ve hedef sistemler için öndeki tanımlayıcıya ve diğer adları olarak eklendiSrc.- , ,
SrcVlanId,DstVlanIdInnerVlanIdveOuterVlanIdalanlarınıNetworkConnectionHistoryekledik.
Şemanın 0.2.2 sürümündeki değişiklikler şunlardır:
- ve
Localdiğer adları eklendiRemote. - olay türü
EndpointNetworkSessioneklendi. IpAddrOlay türü olduğundaEndpointNetworkSessionve içinRemoteHostnameLocalIpAddrve diğer adları olarak tanımlanırHostname.- veya
DvcOutboundInterfaceiçinDvcInboundInterfacediğer ad olarak tanımlanırDvcInterface. - Aşağıdaki alanların türü Tamsayı olarak Long olarak değiştirildi:
SrcBytes,DstBytes,NetworkBytes,SrcPackets, ,DstPacketsveNetworkPackets. - ,
SrcSubscriptionIdveDstSubscriptionIdalanlarınıNetworkProtocolVersionekledik. - Ve kullanım dışı bırakıldı
DstUserDomainSrcUserDomain.
Şemanın 0.2.3 sürümündeki değişiklikler şunlardır:
ipaddr_has_any_prefixFiltreleme parametresi eklendi.- Filtreleme
hostname_has_anyparametresi artık kaynak veya hedef ana bilgisayar adlarıyla eşleşir. - ve
ASimMatchingIpAddralanlarınıASimMatchingHostnameekledik.
Şemanın 0.2.4 sürümündeki değişiklikler şunlardır:
TcpFlagsAlanlar eklendi.- ve her
NetworkIcmpCodeikisi için de sayı değerini yansıtacak şekilde güncelleştirildiNetworkIcpmType. - Ek inceleme alanları eklendi.
- 'ThreatRiskLevelOriginal' alanı ASIM kurallarıyla uyumlu olacak şekilde
ThreatOriginalRiskLevelyeniden adlandırıldı. Mevcut Microsoft ayrıştırıcıları 1 Mayıs 2023'e kadar devamThreatRiskLevelOriginaledecektir. - Önerilen olarak işaretlendi
EventResultDetailsve izin verilen değerleri belirtti.
Şemanın 0.2.5 sürümündeki değişiklikler şunlardır:
- , ,
SrcUserScope, , ,SrcDvcScope,DstDvcScopeId,DstDvcScopeDvcScopeIdveDvcScopealanlarınıDstUserScopeekledikSrcDvcScopeId.
Şemanın 0.2.6 sürümündeki değişiklikler şunlardır:
- IdS olay türü olarak eklendi
Sonraki adımlar
Daha fazla bilgi için bkz.
- ASIM Web seminerini izleyin veya slaytları gözden geçirin
- Gelişmiş Güvenlik Bilgileri Modeline (ASIM) genel bakış
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) içeriği