Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Det Microsoft Sentinel skema til normalisering af overvågningshændelser repræsenterer hændelser, der er knyttet til revisionssporet for informationssystemer. Overvågningssporet logfører systemkonfigurationsaktiviteter og politikændringer. Sådanne ændringer udføres ofte af systemadministratorer, men kan også udføres af brugere, når de konfigurerer indstillingerne for deres egne programmer.
Hvert system logfører overvågningshændelser sammen med sine kerneaktivitetslogge. En firewall logfører f.eks. hændelser om de netværkssessioner, der er processer, og overvågningshændelser om konfigurationsændringer, der er anvendt på selve firewallen.
Du kan få flere oplysninger om normalisering i Microsoft Sentinel under Normalisering og ASIM (Advanced Security Information Model).
Skemaoversigt
Hovedfelterne i en overvågningshændelse er:
- Objektet, som f.eks. kan være en administreret ressource eller politikregel, som hændelsen fokuserer på, repræsenteret af feltet Objekt. Feltet ObjectType angiver objektets type.
- Objektets programkontekst, der repræsenteres af feltet TargetAppName, som er aliasset af Application.
- Den handling, der blev udført på objektet, repræsenteret af felterne EventType og Operation. Mens Operation er den værdi, som kilden rapporterede, er EventType en normaliseret version, der er mere ensartet på tværs af kilder.
- De gamle og nye værdier for objektet, hvis det er relevant, repræsenteret af henholdsvis OldValue og NewValue .
Overvågningshændelser refererer også til følgende objekter, som er involveret i konfigurationshandlingen:
- Agent – Den bruger, der udfører konfigurationshandlingen.
- TargetApp – Det program eller system, som konfigurationshandlingen gælder for.
- Target – Det system, som TargetApp* kører på.
- ActingApp – Det program, der bruges af agenten til at udføre konfigurationshandlingen.
- Src – Det system, der bruges af agenten til at starte konfigurationshandlingen, hvis det er forskelligt fra Target.
Dvc Beskrivelsen bruges til rapporteringsenheden, som er det lokale system for sessioner, der rapporteres af et slutpunkt, og mellemmanden eller sikkerhedsenheden i andre tilfælde.
Parsere
Udrulning og brug af fortolkere af overvågningshændelser
Udrul ASIM-overvågningshændelserne fra Microsoft Sentinel GitHub-lageret. Hvis du vil forespørge på tværs af alle kilder til overvågningshændelser, skal du bruge den samlende parser imAuditEvent som tabelnavn i forespørgslen.
Du kan finde flere oplysninger om brug af ASIM-fortolkere i oversigten over ASIM-fortolkninger. Hvis du vil se listen over fortolkninger af overvågningshændelser, Microsoft Sentinel leverer klar til brug, skal du se listen over ASIM-fortolkninger
Tilføj dine egne normaliserede fortolkere
Når du implementerer brugerdefinerede fortolkninger af oplysningsmodellen for filhændelser, skal du navngive dine KQL-funktioner ved hjælp af følgende syntaks: imAuditEvent<vendor><Product>. Se artiklen Administration af ASIM-fortolkere for at få mere at vide om, hvordan du føjer dine brugerdefinerede fortolkere til den forenende parser for overvågningshændelsen.
Filtreringsparserparametre
Fortolkningerne af overvågningshændelser understøtter filtreringsparametre. Selvom disse parametre er valgfrie, kan de forbedre ydeevnen af din forespørgsel.
Følgende filtreringsparametre er tilgængelige:
| Navn | Type | Beskrivelse |
|---|---|---|
| Starttidspunkt | Datetime | Filtrer kun hændelser, der kørte på eller efter dette tidspunkt. Denne parameter bruger feltet TimeGenerated som tidsdesigner for hændelsen. |
| slutklokkeslæt | Datetime | Filtrer kun hændelsesforespørgsler, der er færdige med at køre på eller før dette tidspunkt. Denne parameter bruger feltet TimeGenerated som tidsdesigner for hændelsen. |
| srcipaddr_has_any_prefix | Dynamisk | Filtrer kun hændelser fra denne kilde-IP-adresse, som vist i feltet SrcIpAddr . |
| eventtype_in | Streng | Filtrer kun hændelser, hvor hændelsestypen, som repræsenteres i feltet EventType , er et af de angivne vilkår. |
| eventresult | Streng | Filtrer kun hændelser, hvor hændelsesresultatet, som repræsenteret i feltet EventResult , er lig med parameterværdien. |
| actorusername_has_any | dynamisk/streng | Filtrer kun hændelser, hvor ActorUsername indeholder et af de angivne vilkår. |
| operation_has_any | dynamisk/streng | Filtrer kun hændelser, hvor handlingsfeltet indeholder nogen af de angivne vilkår. |
| object_has_any | dynamisk/streng | Filtrer kun hændelser, hvor feltet Objekt indeholder et af de angivne ord. |
| newvalue_has_any | dynamisk/streng | Filtrer kun hændelser, hvor feltet NewValue indeholder et af de angivne vilkår. |
Nogle parametre kan acceptere begge lister med værdier af typen dynamic eller en enkelt strengværdi. Hvis du vil overføre en konstantliste til parametre, der forventer en dynamisk værdi, skal du eksplicit bruge en dynamisk konstant. For eksempel: dynamic(['192.168.','10.'])
Hvis du f.eks. kun vil filtrere overvågningshændelser med vilkårene install eller update i feltet Operation fra den sidste dag, skal du bruge:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
Skemadetaljer
Almindelige ASIM-felter
Vigtigt!
Felter, der er fælles for alle skemaer, er beskrevet detaljeret i artiklen Almindelige ASIM-felter .
Almindelige felter med specifikke retningslinjer
På følgende liste nævnes felter, der har specifikke retningslinjer for overvågningshændelser:
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| EventType | Obligatorisk | Optalt | Beskriver den handling, der overvåges af hændelsen, ved hjælp af en normaliseret værdi. Brug EventSubType til at angive yderligere oplysninger, som den normaliserede værdi ikke formidler, og Operation. for at gemme handlingen som rapporteret af rapporteringsenheden. For overvågningshændelsesposter er de tilladte værdier: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Initialize- Start- Stop- Other Overvågningshændelser repræsenterer en lang række handlinger, og værdien Other aktiverer tilknytningshandlinger, der ikke har nogen tilsvarende EventType. Brugen af Other begrænser imidlertid hændelsens anvendelighed og bør undgås, hvis det er muligt. |
| EventSubType | Valgfrit | String | Indeholder flere oplysninger, som den normaliserede værdi i EventType ikke formidler. |
| EventSchema | Obligatorisk | Optalt | Navnet på skemaet, der er dokumenteret her, er AuditEvent. |
| EventSchemaVersion | Obligatorisk | SchemaVersion (streng) | Versionen af skemaet. Den version af skemaet, der er dokumenteret her, er 0.1.2. |
Alle almindelige felter
Felter, der vises i tabellen, er fælles for alle ASIM-skemaer. Alle de retningslinjer, der er angivet i dette dokument, tilsidesætter de generelle retningslinjer for feltet. Et felt kan f.eks. være valgfrit generelt, men obligatorisk for et bestemt skema. Du kan få flere oplysninger om hvert felt i artiklen Almindelige ASIM-felter .
| Klasse | Felter |
|---|---|
| Obligatorisk |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Anbefalede |
-
EventResultDetails - EventSeverity - Hændelses-UID - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valgfrit |
-
Hændelsesmeddelelse - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Hændelsesejer - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Overvågningsfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Drift | Obligatorisk | String | Den handling, der overvåges som rapporteret af rapporteringsenheden. |
| Objekt | Obligatorisk | String | Navnet på det objekt, som handlingen identificeret af EventType udføres på. |
| Objectid | Valgfrit | String | Id'et for det objekt, som handlingen identificeret af EventType udføres på. |
| Objecttype | Betinget | Optalt |
Objekttypen. Tilladte værdier er: - Cloud Resource- Configuration Atom- Policy Rule- Event Log- Scheduled Task- Service- Directory Service Object- Other |
| OriginalObjectType | Valgfrit | String | Objekttypen , som rapporteres af rapporteringssystemet |
| OldValue | Valgfrit | String | Den gamle værdi af Object før handlingen, hvis det er relevant. |
| Ny værdi | Anbefalede | String | Den nye værdi for Object efter handlingen blev udført, hvis det er relevant. |
| Værdi | Alias | Alias til NewValue | |
| Valuetype | Betinget | Optalt | Typen af de gamle og nye værdier. Tilladte værdier er -Andre |
Agentfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| AgentUserId | Valgfrit | String | En computerlæsbar, alfanumerisk, entydig repræsentation af agenten. Du kan finde flere oplysninger og alternative felter til andre id'er i Objektet Bruger. Eksempel: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| AgentScope | Valgfrit | String | Området, f.eks. Microsoft Entra domænenavn, hvor AgentBruger-id og AgentBrugernavn er defineret. eller flere oplysninger og en liste over tilladte værdier i UserScope i artiklen Skemaoversigt. |
| AgentScopeId | Valgfrit | String | Område-id'et, f.eks. Microsoft Entra mappe-id, hvor AgentBruger-id og AgentBrugernavn er defineret. Du kan få flere oplysninger og en liste over tilladte værdier i UserScopeId i artiklen Skemaoversigt. |
| AgentUserIdType | Betinget | Optalt | Typen af det id, der er gemt i feltet AgentBruger-id . Du kan få flere oplysninger og en liste over tilladte værdier i UserIdType i artiklen Skemaoversigt. |
| AgentBrugernavn | Anbefalede | Brugernavn (streng) | Agentens brugernavn, herunder domæneoplysninger, når de er tilgængelige. Du kan få flere oplysninger under Brugerens objekt. Eksempel: AlbertE |
| Bruger | Alias | Alias til AgentBrugernavn | |
| AgentUsernameType | Betinget | UsernameType | Angiver den type brugernavn, der er gemt i feltet AgentBrugernavn . Du kan få flere oplysninger og en liste over tilladte værdier i UsernameType i artiklen Skemaoversigt. Eksempel: Windows |
| AgentUserType | Valgfrit | UserType | Agentens type. Du kan få flere oplysninger og en liste over tilladte værdier i UserType i artiklen Skemaoversigt. For eksempel: Guest |
| AgentOriginalUserType | Valgfrit | String | Brugertypen som rapporteret af rapporteringsenheden. |
| AgentSessionId | Valgfrit | String | Det entydige id for logonsessionen for agenten. Eksempel: 102pTUgC3p8RIqHvzxLCHnFlg |
Felter i destinationsprogram
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| TargetAppId | Valgfrit | String | Id'et for det program, som hændelsen gælder for, herunder en proces, en browser eller en tjeneste. Eksempel: 89162 |
| TargetAppName | Valgfrit | String | Navnet på det program, som hændelsen gælder for, herunder en tjeneste, en URL-adresse eller et SaaS-program. Eksempel: Exchange 365 |
| Program | Alias | Alias til TargetAppName | |
| TargetAppType | Betinget | AppType | Den type program, der autoriserer på vegne af agenten. Du kan få flere oplysninger og en tilladt liste over værdier i AppType i artiklen Skemaoversigt. |
| TargetOriginalAppType | Valgfrit | String | Den type program, som hændelsen gælder for, som den rapporteres af rapporteringsenheden. |
| Destinationsurl | Valgfrit | URL | Den URL-adresse, der er knyttet til destinationsprogrammet. Eksempel: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
Destinationssystemfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Dst | Alias | String | Et entydigt id for godkendelsesmålet. Dette felt kan aliassere felterne TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId eller TargetAppName . Eksempel: 192.168.12.1 |
| TargetHostname | Anbefalede | Værtsnavn | Værtsnavnet på destinationsenheden med undtagelse af domæneoplysninger. Eksempel: DESKTOP-1282V4D |
| Destinationsdomæne | Valgfrit | Domæne(streng) | Destinationsenhedens domæne. Eksempel: Contoso |
| TargetDomainType | Betinget | Optalt | Typen af TargetDomain. Du kan finde en liste over tilladte værdier og yderligere oplysninger i artiklen Domænetype i skemaoversigten. Påkrævet, hvis TargetDomain bruges. |
| DestinationsFQDN | Valgfrit | FQDN (streng) | Destinationsenhedens værtsnavn, herunder domæneoplysninger, når de er tilgængelige. Eksempel: Contoso\DESKTOP-1282V4D Bemærk! Dette felt understøtter både traditionelt FQDN-format og Windows-domæne\værtsnavnformat. TargetDomainType afspejler det anvendte format. |
| Destinationsbeskrivelse | Valgfrit | String | En beskrivende tekst, der er knyttet til enheden. For eksempel: Primary Domain Controller. |
| TargetDvcId | Valgfrit | String | Id'et for destinationsenheden. Hvis der er flere id'er tilgængelige, skal du bruge det vigtigste og gemme de andre i felterne TargetDvc<DvcIdType>. Eksempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Valgfrit | String | Det område-id for cloudplatformen, som enheden tilhører. TargetDvcScopeId knyttes til et abonnements-id på Azure og til et konto-id på AWS. |
| TargetDvcScope | Valgfrit | String | Det cloudplatformsområde, som enheden tilhører. TargetDvcScope knyttes til et abonnements-id på Azure og til et konto-id på AWS. |
| TargetDvcIdType | Betinget | Optalt | Typen af TargetDvcId. Du kan finde en liste over tilladte værdier og yderligere oplysninger i DvcIdType i artiklen Skemaoversigt. Påkrævet, hvis TargetDeviceId bruges. |
| TargetDeviceType | Valgfrit | Optalt | Destinationsenhedens type. Du kan finde en liste over tilladte værdier og yderligere oplysninger i DeviceType i artiklen Skemaoversigt. |
| TargetIpAddr | Anbefalede | IP-adresse | IP-adressen på destinationsenheden. Eksempel: 2.2.2.2 |
| TargetDvcOs | Valgfrit | String | Destinationsenhedens operativsystem. Eksempel: Windows 10 |
| TargetPortNumber | Valgfrit | Heltal | Porten til destinationsenheden. |
| TargetGeoCountry | Valgfrit | Land | Det land/område, der er knyttet til MÅL-IP-adressen. Eksempel: USA |
| TargetGeoRegion | Valgfrit | Region | Området i et land/område, der er knyttet til IP-adressen for destinationen. Eksempel: Vermont |
| TargetGeoCity | Valgfrit | Byen | Den by, der er knyttet til MÅL-IP-adressen. Eksempel: Burlington |
| TargetGeoLatitude | Valgfrit | Breddegrad | Breddegraden for den geografiske koordinat, der er knyttet til MÅL-IP-adressen. Eksempel: 44.475833 |
| TargetGeoLongitude | Valgfrit | Længdegrad | Længdegraden for den geografiske koordinat, der er knyttet til MÅL-IP-adressen. Eksempel: 73.211944 |
| TargetRiskLevel | Valgfrit | Heltal | Det risikoniveau, der er knyttet til målet. Værdien skal justeres til et interval af 0 typen , med 0 for godartet og 100 for 100en høj risiko.Eksempel: 90 |
| TargetOriginalRiskLevel | Valgfrit | String | Det risikoniveau, der er knyttet til målet, som rapporteret af rapporteringsenheden. Eksempel: Suspicious |
Programfelter, der fungerer
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| ActingAppId | Valgfrit | String | Id'et for det program, der startede den rapporterede aktivitet, herunder en proces, en browser eller en tjeneste. For eksempel: 0x12ae8 |
| ActingAppName | Valgfrit | String | Navnet på det program, der startede den rapporterede aktivitet, herunder en tjeneste, en URL-adresse eller et SaaS-program. For eksempel: C:\Windows\System32\svchost.exe |
| ActingAppType | Valgfrit | AppType | Den type ansøgning, der skal indgives. Du kan få flere oplysninger og en tilladt liste over værdier i AppType i artiklen Skemaoversigt. |
| ActingOriginalAppType | Valgfrit | String | Den type program, der startede aktiviteten som rapporteret af rapporteringsenheden. |
| HttpUserAgent | Valgfrit | String | Når godkendelse udføres via HTTP eller HTTPS, er dette felts værdi den user_agent HTTP-header, der leveres af det program, der udfører godkendelsen. For eksempel: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Kildesystemfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Src | Alias | String | Et entydigt id for kildeenheden. Dette felt kan aliassere felterne SrcDvcId, SrcHostname eller SrcIpAddr . Eksempel: 192.168.12.1 |
| SrcIpAddr | Anbefalede | IP-adresse | Den IP-adresse, som forbindelsen eller sessionen stammer fra. Eksempel: 77.138.103.108 |
| IpAddr | Alias | Alias til SrcIpAddr eller TargetIpAddr , hvis SrcIpAddr ikke er angivet. | |
| SrcPortNumber | Valgfrit | Heltal | Den IP-port, som forbindelsen stammer fra. Er muligvis ikke relevant for en session, der består af flere forbindelser. Eksempel: 2335 |
| SrcHostname | Valgfrit | Værtsnavn | Kildeenhedens værtsnavn, undtagen domæneoplysninger. Hvis der ikke er noget tilgængeligt enhedsnavn, skal du gemme den relevante IP-adresse i dette felt. Eksempel: DESKTOP-1282V4D |
| SrcDomain | Valgfrit | Domæne (streng) | Kildeenhedens domæne. Eksempel: Contoso |
| SrcDomainType | Betinget | Domænetype | Typen af SrcDomain. Du kan finde en liste over tilladte værdier og yderligere oplysninger i artiklen Domænetype i skemaoversigten. Obligatorisk, hvis SrcDomain bruges. |
| SrcFQDN | Valgfrit | FQDN (streng) | Kildeenhedens værtsnavn, herunder domæneoplysninger, når de er tilgængelige. Bemærk! Dette felt understøtter både traditionelt FQDN-format og Windows-domæne\værtsnavnformat. Feltet SrcDomainType afspejler det anvendte format. Eksempel: Contoso\DESKTOP-1282V4D |
| SrcDescription | Valgfrit | String | En beskrivende tekst, der er knyttet til enheden. For eksempel: Primary Domain Controller. |
| SrcDvcId | Valgfrit | String | Id'et for kildeenheden. Hvis der er flere id'er tilgængelige, skal du bruge det vigtigste og gemme de andre i felterne SrcDvc<DvcIdType>.Eksempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Valgfrit | String | Det område-id for cloudplatformen, som enheden tilhører. SrcDvcScopeId knyttes til et abonnements-id på Azure og til et konto-id på AWS. |
| SrcDvcScope | Valgfrit | String | Det cloudplatformsområde, som enheden tilhører. SrcDvcScope knyttes til et abonnements-id på Azure og til et konto-id på AWS. |
| SrcDvcIdType | Betinget | DvcIdType | Typen af SrcDvcId. Du kan finde en liste over tilladte værdier og yderligere oplysninger i DvcIdType i artiklen Skemaoversigt. Bemærk! Dette felt er obligatorisk, hvis der bruges SrcDvcId . |
| SrcDeviceType | Valgfrit | DeviceType | Kildeenhedens type. Du kan finde en liste over tilladte værdier og yderligere oplysninger i DeviceType i artiklen Skemaoversigt. |
| SrcGeoCountry | Valgfrit | Land | Det land/område, der er knyttet til kildens IP-adresse. Eksempel: USA |
| SrcGeoRegion | Valgfrit | Region | Området i et land/område, der er knyttet til kildens IP-adresse. Eksempel: Vermont |
| SrcGeoCity | Valgfrit | Byen | Den by, der er knyttet til kildens IP-adresse. Eksempel: Burlington |
| SrcGeoLatitude | Valgfrit | Breddegrad | Breddegraden for den geografiske koordinat, der er knyttet til kildens IP-adresse. Eksempel: 44.475833 |
| SrcGeoLongitude | Valgfrit | Længdegrad | Længdegraden for den geografiske koordinat, der er knyttet til kildens IP-adresse. Eksempel: 73.211944 |
| SrcRiskLevel | Valgfrit | Heltal | Det risikoniveau, der er knyttet til kilden. Værdien skal justeres til et interval af 0 typen , med 0 for godartet og 100 for 100en høj risiko.Eksempel: 90 |
| SrcOriginalRiskLevel | Valgfrit | String | Det risikoniveau, der er knyttet til kilden, som rapporteret af rapporteringsenheden. Eksempel: Suspicious |
Kontrolfelter
Følgende felter bruges til at repræsentere den kontrol, der udføres af et sikkerhedssystem.
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| RuleName | Valgfrit | String | Navnet eller id'et for reglen ved at være knyttet til inspektionsresultaterne. |
| Regelnummer | Valgfrit | Heltal | Nummeret på den regel, der er knyttet til inspektionsresultaterne. |
| Regel | Alias | String | Enten værdien af RuleName eller værdien af RuleNumber. Hvis værdien af RuleNumber bruges, skal typen konverteres til en streng. |
| ThreatId | Valgfrit | String | Id'et for den trussel eller malware, der er identificeret i overvågningsaktiviteten. |
| ThreatName | Valgfrit | String | Navnet på den trussel eller malware, der er identificeret i overvågningsaktiviteten. |
| ThreatCategory | Valgfrit | String | Kategorien af den trussel eller malware, der er identificeret i overvågningsfilaktivitet. |
| ThreatRiskLevel | Valgfrit | RiskLevel (heltal) | Det risikoniveau, der er knyttet til den identificerede trussel. Niveauet skal være et tal mellem 0 og 100. Bemærk! Værdien kan angives i kildeposten ved hjælp af en anden skala, som skal normaliseres til denne skala. Den oprindelige værdi skal gemmes i ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Valgfrit | String | Risikoniveauet som rapporteret af rapporteringsenheden. |
| ThreatConfidence | Valgfrit | ConfidenceLevel (heltal) | Konfidensniveauet for den identificerede trussel normaliserede sig til en værdi mellem 0 og 100. |
| ThreatOriginalConfidence | Valgfrit | String | Det oprindelige tillidsniveau for den trussel, der blev identificeret, som rapporteret af rapporteringsenheden. |
| ThreatIsActive | Valgfrit | Boolesk | Sand, hvis den identificerede trussel betragtes som en aktiv trussel. |
| ThreatFirstReportedTime | Valgfrit | Datetime | Første gang IP-adressen eller domænet blev identificeret som en trussel. |
| ThreatLastReportedTime | Valgfrit | Datetime | Sidste gang IP-adressen eller domænet blev identificeret som en trussel. |
| ThreatIpAddr | Valgfrit | IP-adresse | En IP-adresse, som en trussel blev identificeret for. Feltet ThreatField indeholder navnet på det felt , som ThreatIpAddr repræsenterer. |
| ThreatField | Betinget | Optalt | Det felt, som en trussel blev identificeret for. Værdien er enten SrcIpAddr eller TargetIpAddr. |
Skemaopdateringer
Ændringerne i version 0.1.1 af skemaet er:
- Tilføjede feltet
ObjectIdogOriginalObjectType.
Ændringerne i version 0.1.2 af skemaet er:
- Feltet
ActingOriginalAppType,OriginalObjectType,SrcOriginalRiskLevel,SrcRiskLevel,TargetGeoCity,TargetGeoCountry,TargetGeoLatitude,TargetGeoLongitude,TargetGeoRegion,TargetOriginalAppType,TargetOriginalRiskLevel, ogTargetRiskLevel
Næste trin
Du kan finde flere oplysninger under: