Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Skemaet Microsoft Sentinel godkendelse bruges til at beskrive hændelser, der er relateret til brugergodkendelse, logon og logon. Godkendelseshændelser sendes af mange enheder, der rapporterer, som regel som en del af hændelsesstrømmen sammen med andre hændelser. Windows sender f.eks. flere godkendelseshændelser sammen med andre os-aktivitetshændelser.
Godkendelseshændelser omfatter begge hændelser fra systemer, der fokuserer på godkendelse, f.eks. VPN-gateways eller domænecontrollere, og direkte godkendelse til et slutsystem, f.eks. en computer eller firewall.
Du kan få flere oplysninger om normalisering i Microsoft Sentinel under Normalisering og ASIM (Advanced Security Information Model).
Parsere
Udrul ASIM-godkendelsesparsere fra GitHub-lageret Microsoft Sentinel. Du kan finde flere oplysninger om ASIM-fortolkninger i artiklen oversigt over ASIM-fortolkninger.
Forenende fortolkere
Hvis du vil bruge fortolkere, der forener alle ASIM-fortolkninger, der er klar til brug, og sikre, at din analyse kører på tværs af alle de konfigurerede kilder, skal du bruge imAuthentication filtreringsparseren eller parseren ASimAuthentication uden parameteren.
Kildespecifikke fortolkninger
Du kan finde en liste over godkendelsesparsere, Microsoft Sentinel indeholder, på listen over ASIM-fortolkninger:
Tilføj dine egne normaliserede fortolkere
Når du implementerer brugerdefinerede fortolkninger for modellen med godkendelsesoplysninger, skal du navngive dine KQL-funktioner ved hjælp af følgende syntaks:
-
vimAuthentication<vendor><Product>til filtrering af fortolkninger -
ASimAuthentication<vendor><Product>for parameter-less-parsers
Du kan finde oplysninger om, hvordan du føjer dine brugerdefinerede fortolkere til den forenende fortolker, i Administration af ASIM-fortolkere.
Filtreringsparserparametre
Fortolkningsparametrene im og vim* understøtter filtreringsparametre. Selvom disse fortolkninger er valgfrie, kan de forbedre din forespørgselsydeevne.
Følgende filtreringsparametre er tilgængelige:
| Navn | Type | Beskrivelse |
|---|---|---|
| Starttidspunkt | Datetime | Filtrer kun godkendelseshændelser, der kørte på eller efter dette tidspunkt. Denne parameter filtrerer feltet TimeGenerated , som er standarddesignatoren for tidspunktet for hændelsen, uanset den parserspecifikke tilknytning af felterne EventStartTime og EventEndTime. |
| slutklokkeslæt | Datetime | Filtrer kun godkendelseshændelser, der er færdige med at køre på eller før dette tidspunkt. Denne parameter filtrerer feltet TimeGenerated , som er standarddesignatoren for tidspunktet for hændelsen, uanset den parserspecifikke tilknytning af felterne EventStartTime og EventEndTime. |
| targetusername_has | Streng | Filtrer kun godkendelseshændelser, der har et af de angivne brugernavne. |
Hvis du f.eks. kun vil filtrere godkendelseshændelser fra den sidste dag til en bestemt bruger, skal du bruge:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Tip
Hvis du vil overføre en konstantliste til parametre, der forventer en dynamisk værdi, skal du eksplicit bruge en dynamisk konstant. For eksempel: dynamic(['192.168.','10.']).
Normaliseret indhold
Normaliserede regler for godkendelsesanalyse er entydige, da de registrerer angreb på tværs af kilder. Så hvis en bruger f.eks. er logget på forskellige, ikke-relaterede systemer fra forskellige lande/områder, registrerer Microsoft Sentinel nu denne trussel.
Du kan se en komplet liste over analyseregler, der bruger normaliserede godkendelseshændelser, under Sikkerhedsindhold i godkendelsesskema.
Skemaoversigt
Modellen med godkendelsesoplysninger er justeret i forhold til OSSEM-logonobjektskemaet.
De felter, der er angivet i nedenstående tabel, er specifikke for godkendelseshændelser, men svarer til felter i andre skemaer og følger lignende navngivningskonventioner.
Godkendelseshændelser refererer til følgende enheder:
- TargetUser – De brugeroplysninger, der bruges til at godkende systemet. TargetSystem er det primære emne for godkendelseshændelsen, og aliasset Brugeraliasser, som en TargetUser identificerede.
- TargetApp – Det program, der er godkendt til.
- Target – Det system, som TargetApp* kører på.
- Agent – Den bruger, der initierer godkendelsen, hvis den er forskellig fra TargetUser.
- ActingApp – Det program, der bruges af agenten til at udføre godkendelsen.
- Src – Det system, der bruges af agenten til at starte godkendelsen.
Relationen mellem disse objekter vises bedst på følgende måde:
En agent, der kører et program, der agerer, ActingApp, på et kildesystem, Src, forsøger at godkende som TargetUser til et destinationsprogram, TargetApp, på et destinationssystem, TargetDvc.
Skemadetaljer
I følgende tabeller refererer Type til en logisk type. Du kan få flere oplysninger under Logiske typer.
Almindelige ASIM-felter
Vigtigt!
Felter, der er fælles for alle skemaer, er beskrevet detaljeret i artiklen Almindelige ASIM-felter .
Almindelige felter med specifikke retningslinjer
På følgende liste nævnes felter, der har specifikke retningslinjer for godkendelseshændelser:
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| EventType | Obligatorisk | Optalt | Beskriver den handling, der er rapporteret af posten. I forbindelse med godkendelsesposter omfatter understøttede værdier: - Logon - Logoff- Elevate |
| EventResultDetails | Anbefalede | Optalt | De oplysninger, der er knyttet til hændelsesresultatet. Dette felt udfyldes typisk, når resultatet er en fejl. Tilladte værdier omfatter: - No such user or password. Denne værdi skal også bruges, når den oprindelige hændelse rapporterer, at en sådan bruger ikke findes, uden at der refereres til en adgangskode.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. Denne værdi skal bruges, når de oprindelige hændelsesrapporter, f.eks.: MFA er påkrævet, logger på uden for arbejdstiden, begrænsninger for betinget adgang eller for hyppige forsøg.- Session expired- OtherVærdien kan angives i kildeposten ved hjælp af forskellige ord, som skal normaliseres til disse værdier. Den oprindelige værdi skal gemmes i feltet EventOriginalResultDetails |
| EventSubType | Valgfrit | Optalt | Logontypen. Tilladte værdier omfatter: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote – Bruges, når typen af fjernlogon er ukendt.- AssumeRole – Bruges typisk, når hændelsestypen er Elevate. Værdien kan angives i kildeposten ved hjælp af forskellige ord, som skal normaliseres til disse værdier. Den oprindelige værdi skal gemmes i feltet EventOriginalSubType. |
| EventSchemaVersion | Obligatorisk | SchemaVersion (streng) | Versionen af skemaet. Den version af skemaet, der er dokumenteret her, er 0.1.4 |
| EventSchema | Obligatorisk | Optalt | Navnet på skemaet, der er dokumenteret her, er Godkendelse. |
| Dvc-felter | - | - | I forbindelse med godkendelseshændelser henviser enhedsfelter til det system, der rapporterer hændelsen. |
Alle almindelige felter
Felter, der vises i nedenstående tabel, er fælles for alle ASIM-skemaer. Alle retningslinjer, der er angivet ovenfor, tilsidesætter de generelle retningslinjer for feltet. Et felt kan f.eks. være valgfrit generelt, men obligatorisk for et bestemt skema. Du kan finde flere oplysninger om hvert felt i artiklen Almindelige ASIM-felter .
| Klasse | Felter |
|---|---|
| Obligatorisk |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Anbefalede |
-
EventResultDetails - EventSeverity - Hændelses-UID - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valgfrit |
-
Hændelsesmeddelelse - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Hændelsesejer - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Godkendelsesspecifikke felter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| LogonMetode | Valgfrit | String | Den metode, der bruges til at udføre godkendelse. Tilladte værdier omfatter: Managed Identity, Service Principal, Username & Password, Multi factor authentication, Passwordless, PKI, PAMog Other. Eksempler: Managed Identity |
| LogonProtocol | Valgfrit | String | Den protokol, der bruges til at udføre godkendelse. Eksempel: NTLM |
Agentfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| AgentUserId | Valgfrit | String | En computerlæsbar, alfanumerisk, entydig repræsentation af agenten. Du kan finde flere oplysninger og alternative felter til yderligere id'er i Objektet Bruger. Eksempel: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| AgentScope | Valgfrit | String | Det omfang, f.eks. Microsoft Entra lejer, hvor AgentBruger-id og AgentBrugernavn er defineret. eller flere oplysninger og en liste over tilladte værdier i UserScope i artiklen Skemaoversigt. |
| AgentScopeId | Valgfrit | String | Område-id'et, f.eks. Microsoft Entra mappe-id, hvor AgentBruger-id og AgentBrugernavn er defineret. Du kan få flere oplysninger og en liste over tilladte værdier i UserScopeId i artiklen Skemaoversigt. |
| AgentUserIdType | Betinget | UserIdType | Typen af det id, der er gemt i feltet AgentBruger-id . Du kan få flere oplysninger og en liste over tilladte værdier i UserIdType i artiklen Skemaoversigt. |
| AgentBrugernavn | Valgfrit | Brugernavn (streng) | Agentens brugernavn, herunder domæneoplysninger, når de er tilgængelige. Du kan få flere oplysninger under Brugerens objekt. Eksempel: AlbertE |
| AgentUsernameType | Betinget | UsernameType | Angiver den type brugernavn, der er gemt i feltet AgentBrugernavn . Du kan få flere oplysninger og en liste over tilladte værdier i UsernameType i artiklen Skemaoversigt. Eksempel: Windows |
| AgentUserType | Valgfrit | UserType | Agentens type. Du kan få flere oplysninger og en liste over tilladte værdier i UserType i artiklen Skemaoversigt. For eksempel: Guest |
| AgentOriginalUserType | Valgfrit | String | Brugertypen som rapporteret af rapporteringsenheden. |
| AgentSessionId | Valgfrit | String | Det entydige id for logonsessionen for agenten. Eksempel: 102pTUgC3p8RIqHvzxLCHnFlg |
Programfelter, der fungerer
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| ActingAppId | Valgfrit | String | Id'et for det program, der autoriserer på vegne af agenten, herunder en proces, en browser eller en tjeneste. For eksempel: 0x12ae8 |
| ActingAppName | Valgfrit | String | Navnet på det program, der autoriserer på vegne af agenten, herunder en proces, en browser eller en tjeneste. For eksempel: C:\Windows\System32\svchost.exe |
| ActingAppType | Valgfrit | AppType | Den type ansøgning, der skal indgives. Du kan få flere oplysninger og en tilladt liste over værdier i AppType i artiklen Skemaoversigt. |
| ActingOriginalAppType | Valgfrit | String | Typen af det program, der fungerer som rapporteret af rapporteringsenheden. |
| HttpUserAgent | Valgfrit | String | Når godkendelse udføres via HTTP eller HTTPS, er dette felts værdi den user_agent HTTP-header, der leveres af det program, der udfører godkendelsen. For eksempel: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Destinationsbrugerfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| TargetUserId | Valgfrit | String | En computerlæsbar, alfanumerisk, entydig repræsentation af destinationsbrugeren. Du kan finde flere oplysninger og alternative felter til yderligere id'er i Objektet Bruger. Eksempel: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | Valgfrit | String | Området, f.eks. Microsoft Entra lejer, hvor TargetUserId og TargetUsername er defineret. eller flere oplysninger og en liste over tilladte værdier i UserScope i artiklen Skemaoversigt. |
| TargetUserScopeId | Valgfrit | String | Område-id'et, f.eks. Microsoft Entra mappe-id, hvor TargetUserId og TargetUsername er defineret. Du kan få flere oplysninger og en liste over tilladte værdier i UserScopeId i artiklen Skemaoversigt. |
| TargetUserIdType | Betinget | UserIdType | Typen af det bruger-id, der er gemt i feltet TargetUserId . Du kan få flere oplysninger og en liste over tilladte værdier i UserIdType i artiklen Skemaoversigt. Eksempel: SID |
| Navn på destinationsbruger | Valgfrit | Brugernavn (streng) | Brugernavnet for destinationsbrugeren, herunder domæneoplysninger, når det er tilgængeligt. Du kan få flere oplysninger under Brugerens objekt. Eksempel: MarieC |
| TargetUsernameType | Betinget | UsernameType | Angiver den type brugernavn, der er gemt i feltet TargetUsername . Du kan få flere oplysninger og en liste over tilladte værdier i UsernameType i artiklen Skemaoversigt. |
| TargetUserType | Valgfrit | UserType | Destinationsbrugerens type. Du kan få flere oplysninger og en liste over tilladte værdier i UserType i artiklen Skemaoversigt. For eksempel: Member |
| TargetSessionId | Valgfrit | String | Id'et for logonsessionen for TargetUser på kildeenheden. |
| TargetOriginalUserType | Valgfrit | String | Brugertypen som rapporteret af rapporteringsenheden. |
| Bruger | Alias | Brugernavn (streng) | Alias til TargetUsername eller til TargetUserId , hvis TargetUsername ikke er defineret. Eksempel: CONTOSO\dadmin |
Kildesystemfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Src | Anbefalede | String | Et entydigt id for kildeenheden. Dette felt kan alias for felterne SrcDvcId, SrcHostname eller SrcIpAddr . Eksempel: 192.168.12.1 |
| SrcDvcId | Valgfrit | String | Id'et for kildeenheden. Hvis der er flere id'er tilgængelige, skal du bruge det vigtigste og gemme de andre i felterne SrcDvc<DvcIdType>.Eksempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Valgfrit | String | Det område-id for cloudplatformen, som enheden tilhører. SrcDvcScopeId knyttes til et abonnements-id på Azure og til et konto-id på AWS. |
| SrcDvcScope | Valgfrit | String | Det cloudplatformsområde, som enheden tilhører. SrcDvcScope knyttes til et abonnements-id på Azure og til et konto-id på AWS. |
| SrcDvcIdType | Betinget | DvcIdType | Typen af SrcDvcId. Du kan finde en liste over tilladte værdier og yderligere oplysninger i artiklen DvcIdType i skemaoversigten. Bemærk! Dette felt er obligatorisk, hvis der bruges SrcDvcId . |
| SrcDeviceType | Valgfrit | DeviceType | Kildeenhedens type. Du kan finde en liste over tilladte værdier og yderligere oplysninger i DeviceType i artiklen Skemaoversigt. |
| SrcHostname | Valgfrit | Værtsnavn | Kildeenhedens værtsnavn, undtagen domæneoplysninger. Hvis der ikke er noget tilgængeligt enhedsnavn, skal du gemme den relevante IP-adresse i dette felt. Eksempel: DESKTOP-1282V4D |
| SrcDomain | Valgfrit | Domæne (streng) | Kildeenhedens domæne. Eksempel: Contoso |
| SrcDomainType | Betinget | Domænetype | Typen af SrcDomain. Du kan finde en liste over tilladte værdier og yderligere oplysninger i Artiklen Domænetype i skemaoversigten. Obligatorisk, hvis SrcDomain bruges. |
| SrcFQDN | Valgfrit | FQDN (streng) | Kildeenhedens værtsnavn, herunder domæneoplysninger, når de er tilgængelige. Bemærk! Dette felt understøtter både traditionelt FQDN-format og Windows-domæne\værtsnavnformat. Feltet SrcDomainType afspejler det anvendte format. Eksempel: Contoso\DESKTOP-1282V4D |
| SrcDescription | Valgfrit | String | En beskrivende tekst, der er knyttet til enheden. For eksempel: Primary Domain Controller. |
| SrcIpAddr | Anbefalede | IP-adresse | IP-adressen på kildeenheden. Eksempel: 2.2.2.2 |
| SrcPortNumber | Valgfrit | Heltal | Den IP-port, som forbindelsen stammer fra. Eksempel: 2335 |
| SrcDvcOs | Valgfrit | String | Kildeenhedens operativsystem. Eksempel: Windows 10 |
| IpAddr | Alias | Alias til SrcIpAddr | |
| SrcIsp | Valgfrit | String | Internetudbyderen, der bruges af kildeenheden til at oprette forbindelse til internettet. Eksempel: corpconnect |
| SrcGeoCountry | Valgfrit | Land | Eksempel: Canada Du kan få flere oplysninger under Logiske typer. |
| SrcGeoCity | Valgfrit | Byen | Eksempel: Montreal Du kan få flere oplysninger under Logiske typer. |
| SrcGeoRegion | Valgfrit | Region | Eksempel: Quebec Du kan få flere oplysninger under Logiske typer. |
| SrcGeoLongitude | Valgfrit | Længdegrad | Eksempel: -73.614830 Du kan få flere oplysninger under Logiske typer. |
| SrcGeoLatitude | Valgfrit | Breddegrad | Eksempel: 45.505918 Du kan få flere oplysninger under Logiske typer. |
| SrcRiskLevel | Valgfrit | Heltal | Det risikoniveau, der er knyttet til kilden. Værdien skal justeres til et interval af 0 typen , med 0 for godartet og 100 for 100en høj risiko.Eksempel: 90 |
| SrcOriginalRiskLevel | Valgfrit | String | Det risikoniveau, der er knyttet til kilden, som rapporteret af rapporteringsenheden. Eksempel: Suspicious |
Felter i destinationsprogram
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| TargetAppId | Valgfrit | String | Id'et for det program, som godkendelsen kræves til, og som ofte tildeles af rapporteringsenheden. Eksempel: 89162 |
| TargetAppName | Valgfrit | String | Navnet på det program, som godkendelsen kræves til, herunder en tjeneste, en URL-adresse eller et SaaS-program. Eksempel: Saleforce |
| Program | Alias | Alias til TargetAppName. | |
| TargetAppType | Betinget | AppType | Den type program, der autoriserer på vegne af agenten. Du kan få flere oplysninger og en tilladt liste over værdier i AppType i artiklen Skemaoversigt. |
| TargetOriginalAppType | Valgfrit | String | Den type program, der er godkendt på vegne af agenten som rapporteret af rapporteringsenheden. |
| Destinationsurl | Valgfrit | URL | Den URL-adresse, der er knyttet til destinationsprogrammet. Eksempel: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Alias | Alias til enten TargetAppName, TargetUrl eller TargetHostname, uanset hvilket felt der bedst beskriver godkendelsesmålet. |
Destinationssystemfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Dst | Alias | String | Et entydigt id for godkendelsesmålet. Dette felt kan aliassere felterne TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId eller TargetAppName . Eksempel: 192.168.12.1 |
| TargetHostname | Anbefalede | Værtsnavn | Værtsnavnet på destinationsenheden med undtagelse af domæneoplysninger. Eksempel: DESKTOP-1282V4D |
| Destinationsdomæne | Anbefalede | Domæne (streng) | Destinationsenhedens domæne. Eksempel: Contoso |
| TargetDomainType | Betinget | Optalt | Typen af TargetDomain. Du kan finde en liste over tilladte værdier og yderligere oplysninger i Artiklen Domænetype i skemaoversigten. Påkrævet, hvis TargetDomain bruges. |
| DestinationsFQDN | Valgfrit | FQDN (streng) | Destinationsenhedens værtsnavn, herunder domæneoplysninger, når de er tilgængelige. Eksempel: Contoso\DESKTOP-1282V4D Bemærk! Dette felt understøtter både traditionelt FQDN-format og Windows-domæne\værtsnavnformat. TargetDomainType afspejler det anvendte format. |
| Destinationsbeskrivelse | Valgfrit | String | En beskrivende tekst, der er knyttet til enheden. For eksempel: Primary Domain Controller. |
| TargetDvcId | Valgfrit | String | Id'et for destinationsenheden. Hvis der er flere id'er tilgængelige, skal du bruge det vigtigste og gemme de andre i felterne TargetDvc<DvcIdType>. Eksempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Valgfrit | String | Det område-id for cloudplatformen, som enheden tilhører. TargetDvcScopeId knyttes til et abonnements-id på Azure og til et konto-id på AWS. |
| TargetDvcScope | Valgfrit | String | Det cloudplatformsområde, som enheden tilhører. TargetDvcScope knyttes til et abonnements-id på Azure og til et konto-id på AWS. |
| TargetDvcIdType | Betinget | Optalt | Typen af TargetDvcId. Du kan finde en liste over tilladte værdier og yderligere oplysninger i artiklen DvcIdType i skemaoversigten. Påkrævet, hvis TargetDeviceId bruges. |
| TargetDeviceType | Valgfrit | Optalt | Destinationsenhedens type. Du kan finde en liste over tilladte værdier og yderligere oplysninger i DeviceType i artiklen Skemaoversigt. |
| TargetIpAddr | Valgfrit | IP-adresse | IP-adressen på destinationsenheden. Eksempel: 2.2.2.2 |
| TargetDvcOs | Valgfrit | String | Destinationsenhedens operativsystem. Eksempel: Windows 10 |
| TargetPortNumber | Valgfrit | Heltal | Porten til destinationsenheden. |
| TargetGeoCountry | Valgfrit | Land | Det land/område, der er knyttet til MÅL-IP-adressen. Eksempel: USA |
| TargetGeoRegion | Valgfrit | Region | Det område, der er knyttet til destinationens IP-adresse. Eksempel: Vermont |
| TargetGeoCity | Valgfrit | Byen | Den by, der er knyttet til mål-IP-adressen. Eksempel: Burlington |
| TargetGeoLatitude | Valgfrit | Breddegrad | Breddegraden for den geografiske koordinat, der er knyttet til mål-IP-adressen. Eksempel: 44.475833 |
| TargetGeoLongitude | Valgfrit | Længdegrad | Længdegraden for den geografiske koordinat, der er knyttet til mål-IP-adressen. Eksempel: 73.211944 |
| TargetRiskLevel | Valgfrit | Heltal | Det risikoniveau, der er knyttet til målet. Værdien skal justeres til et interval af 0 typen , med 0 for godartet og 100 for 100en høj risiko.Eksempel: 90 |
| TargetOriginalRiskLevel | Valgfrit | String | Det risikoniveau, der er knyttet til målet, som rapporteret af rapporteringsenheden. Eksempel: Suspicious |
Kontrolfelter
Følgende felter bruges til at repræsentere den kontrol, der udføres af et sikkerhedssystem.
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| RuleName | Valgfrit | String | Navnet eller id'et for reglen ved at være knyttet til inspektionsresultaterne. |
| Regelnummer | Valgfrit | Heltal | Nummeret på den regel, der er knyttet til inspektionsresultaterne. |
| Regel | Alias | String | Enten værdien af RuleName eller værdien af RuleNumber. Hvis værdien af RuleNumber bruges, skal typen konverteres til en streng. |
| ThreatId | Valgfrit | String | Id'et for den trussel eller malware, der er identificeret i overvågningsaktiviteten. |
| ThreatName | Valgfrit | String | Navnet på den trussel eller malware, der er identificeret i overvågningsaktiviteten. |
| ThreatCategory | Valgfrit | String | Kategorien af den trussel eller malware, der er identificeret i overvågningsfilaktivitet. |
| ThreatRiskLevel | Valgfrit | RiskLevel (heltal) | Det risikoniveau, der er knyttet til den identificerede trussel. Niveauet skal være et tal mellem 0 og 100. Bemærk! Værdien kan angives i kildeposten ved hjælp af en anden skala, som skal normaliseres til denne skala. Den oprindelige værdi skal gemmes i ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Valgfrit | String | Risikoniveauet som rapporteret af rapporteringsenheden. |
| ThreatConfidence | Valgfrit | ConfidenceLevel (heltal) | Konfidensniveauet for den identificerede trussel normaliserede sig til en værdi mellem 0 og 100. |
| ThreatOriginalConfidence | Valgfrit | String | Det oprindelige tillidsniveau for den trussel, der blev identificeret, som rapporteret af rapporteringsenheden. |
| ThreatIsActive | Valgfrit | Boolesk | Sand, hvis den identificerede trussel betragtes som en aktiv trussel. |
| ThreatFirstReportedTime | Valgfrit | Datetime | Første gang IP-adressen eller domænet blev identificeret som en trussel. |
| ThreatLastReportedTime | Valgfrit | Datetime | Sidste gang IP-adressen eller domænet blev identificeret som en trussel. |
| ThreatIpAddr | Valgfrit | IP-adresse | En IP-adresse, som en trussel blev identificeret for. Feltet ThreatField indeholder navnet på det felt , som ThreatIpAddr repræsenterer. |
| ThreatField | Betinget | Optalt | Det felt, som en trussel blev identificeret for. Værdien er enten SrcIpAddr eller TargetIpAddr. |
Skemaopdateringer
Dette er ændringerne i version 0.1.1 af skemaet:
- Opdaterede bruger- og enhedsobjektfelter, så de stemmer overens med andre skemaer.
- Omdøbt
TargetDvcogSrcDvctilTargetogSrcfor at justere i forhold til de aktuelle ASIM-retningslinjer. De omdøbte felter implementeres som aliasser indtil den 1. juli 2022. Disse felter omfatter:SrcDvcHostname,SrcDvcHostnameType,SrcDvcType,SrcDvcIpAddr,TargetDvcHostname,TargetDvcHostnameType,TargetDvcType,TargetDvcIpAddrogTargetDvc. - Tilføjede aliasserne
SrcogDst. -
SrcDvcIdTypeFelterne ,SrcDeviceType,TargetDvcIdTypeog ogTargetDeviceTypeer tilføjetEventSchema.
Dette er ændringerne i version 0.1.2 af skemaet:
- Felterne
ActorScope,TargetUserScope,SrcDvcScopeId,SrcDvcScope,TargetDvcScopeId,TargetDvcScope,DvcScopeIdogDvcScope.
Dette er ændringerne i version 0.1.3 af skemaet:
- Felterne
SrcPortNumber,ActorOriginalUserType,ActorScopeId,TargetOriginalUserType,TargetUserScopeId,SrcDescription,SrcRiskLevel,SrcOriginalRiskLevel, ogTargetDescription. - Tilføjede kontrolfelter
- Tilføjede geo-placeringsfelter for målsystemet.
Dette er ændringerne i version 0.1.4 af skemaet:
- Tilføjede felterne
ActingOriginalAppTypeogTargetOriginalAppType. - Aliasset
Applicationer tilføjet.
Næste trin
Du kan finde flere oplysninger under: