Microsoft Sentinel informazioni di riferimento sullo schema di normalizzazione della gestione utenti

Lo schema di normalizzazione della gestione degli utenti Microsoft Sentinel viene usato per descrivere le attività di gestione degli utenti, ad esempio la creazione di un utente o un gruppo, la modifica dell'attributo utente o l'aggiunta di un utente a un gruppo. Tali eventi vengono segnalati, ad esempio, dai sistemi operativi, dai servizi directory, dai sistemi di gestione delle identità e da qualsiasi altro report di sistema sull'attività di gestione degli utenti locale.

Per altre informazioni sulla normalizzazione in Microsoft Sentinel, vedere Normalization and the Advanced Security Information Model (ASIM).

Panoramica sullo schema

Lo schema di gestione degli utenti ASIM descrive le attività di gestione degli utenti. Le attività includono in genere le entità seguenti:

Attore : l'utente che esegue l'attività di gestione.
Processo di azione : processo usato dall'attore per eseguire l'attività di gestione.
Src : quando l'attività viene eseguita in rete, il dispositivo di origine da cui è stata avviata l'attività.
Utente di destinazione : l'utente che gestisce l'account.
Raggruppare l'utente di destinazione da cui viene aggiunto o rimosso o modificato.

Alcune attività, ad esempio UserCreated, GroupCreated, UserModified e GroupModified*, impostano o aggiornano le proprietà utente. Il set di proprietà o l'aggiornamento è documentato nei campi seguenti:

EventSubType : nome del valore impostato o aggiornato. UpdatedPropertyName è un alias di EventSubType quando EventSubType fa riferimento a uno dei tipi di evento pertinenti.
PreviousPropertyValue : valore precedente della proprietà.
NewPropertyValue : valore aggiornato della proprietà.

Parser

Per altre informazioni sui parser ASIM, vedere panoramica dei parser ASIM.

Filtro dei parametri del parser

I parser di gestione utenti supportano i parametri di filtro. Anche se questi parametri sono facoltativi, possono migliorare le prestazioni delle query.

Sono disponibili i parametri di filtro seguenti:

Nome	Tipo	Descrizione
Starttime	datetime	Filtrare solo gli eventi di gestione degli utenti che si sono verificati in corrispondenza o dopo questo periodo di tempo. Questo parametro filtra il `TimeGenerated` campo, ovvero l'indicatore standard per l'ora dell'evento, indipendentemente dal mapping specifico del parser dei campi EventStartTime e EventEndTime.
Endtime	datetime	Filtrare solo gli eventi di gestione utente che si sono verificati in corrispondenza o prima di questo momento. Questo parametro filtra il `TimeGenerated` campo, ovvero l'indicatore standard per l'ora dell'evento, indipendentemente dal mapping specifico del parser dei campi EventStartTime e EventEndTime.
srcipaddr_has_any_prefix	Dinamico	Filtrare solo gli eventi di gestione utente in cui il prefisso dell'indirizzo IP di origine corrisponde a uno qualsiasi dei valori elencati. I prefissi devono terminare con un `.`, ad esempio: `10.0.`.
targetusername_has_any	Dinamico	Filtrare solo gli eventi di gestione utente in cui il nome utente di destinazione ha uno dei valori elencati.
actorusername_has_any	Dinamico	Filtrare solo gli eventi di gestione utente in cui il nome utente dell'attore ha uno dei valori elencati.
eventtype_in	Dinamico	Filtrare solo gli eventi di gestione utente in cui il tipo di evento è uno dei valori elencati, ad `UserCreated`esempio , `UserDeleted`, `UserModified`, `PasswordChanged`o `GroupCreated`.

Ad esempio, per filtrare solo gli eventi di creazione utente dell'ultimo giorno, usare:

_Im_UserManagement (eventtype_in=dynamic(['UserCreated']), starttime = ago(1d), endtime=now())

Dettagli dello schema

Campi ASIM comuni

Importante

I campi comuni a tutti gli schemi sono descritti in dettaglio nell'articolo Campi comuni di ASIM .

Campi comuni con linee guida specifiche

Nell'elenco seguente vengono indicati i campi con linee guida specifiche per gli eventi di attività di processo:

Campo	Classe	Tipo	Descrizione
EventType	Obbligatorio	Enumerato	Descrive l'operazione segnalata dal record. Per l'attività Gestione utenti, i valori supportati sono: - `UserCreated` - `UserDeleted` - `UserModified` - `UserLocked` - `UserUnlocked` - `UserDisabled` - `UserEnabled` - `PasswordChanged` - `PasswordReset` - `GroupCreated` - `GroupDeleted` - `GroupModified` - `UserAddedToGroup` - `UserRemovedFromGroup` - `GroupEnumerated` - `UserRead` - `GroupRead`
EventSubType	Facoltativo	Enumerato	Sono supportati i sottotipi seguenti: - `UserRead`: password, hash - `UserCreated`, `GroupCreated`, `UserModified`, `GroupModified`. Per altre informazioni, vedere UpdatedPropertyName
EventResult	Obbligatorio	Enumerato	Sebbene l'errore sia possibile, la maggior parte dei sistemi segnala solo eventi di gestione utente riusciti. Il valore previsto per gli eventi riusciti è `Success`.
EventResultDetails	Consigliata	Enumerato	I valori validi sono `NotAuthorized` e `Other`.
EventSeverity	Obbligatorio	Enumerato	Anche se è consentito qualsiasi valore di gravità valido, la gravità degli eventi di gestione degli utenti è in genere `Informational`.
EventSchema	Obbligatorio	Enumerato	Il nome dello schema documentato qui è `UserManagement`.
EventSchemaVersion	Obbligatorio	SchemaVersion (String)	Versione dello schema. La versione dello schema documentata qui è `0.1.2`.
Campi Dvc			Per gli eventi di gestione degli utenti, i campi del dispositivo fanno riferimento al sistema che segnala l'evento. Si tratta in genere del sistema in cui viene gestito l'utente.

Tutti i campi comuni

I campi visualizzati nella tabella seguente sono comuni a tutti gli schemi ASIM. Qualsiasi linea guida specificata in precedenza sostituisce le linee guida generali per il campo. Ad esempio, un campo può essere facoltativo in generale, ma obbligatorio per uno schema specifico. Per altre informazioni su ogni campo, vedere l'articolo Campi comuni di ASIM .

Classe	Campi
Obbligatorio	- EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc
Consigliata	- EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction
Facoltativo	- EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcO - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope

Campi delle proprietà aggiornati

Campo	Classe	Tipo	Descrizione
UpdatedPropertyName	Alias		Alias di EventSubType quando il tipo di evento è `UserCreated`, `GroupCreated`, `UserModified`o `GroupModified`. I valori supportati sono: - `MultipleProperties`: usato quando l'attività aggiorna più proprietà - `Previous<PropertyName>`, dove `<PropertyName>` è uno dei valori supportati per `UpdatedPropertyName`. - `New<PropertyName>`, dove `<PropertyName>` è uno dei valori supportati per `UpdatedPropertyName`.
PreviousPropertyValue	Facoltativo	Stringa	Valore precedente archiviato nella proprietà specificata.
NewPropertyValue	Facoltativo	Stringa	Nuovo valore archiviato nella proprietà specificata.

Campi utente di destinazione

Campo	Classe	Tipo	Descrizione
TargetUserId	Facoltativo	Stringa	Rappresentazione univoca, alfanumerica e leggibile dal computer dell'utente di destinazione. I formati e i tipi supportati includono: - SID (Windows): `S-1-5-21-1377283216-344919071-3415362939-500` - UID (Linux):`4578` - AADID (Microsoft Entra ID):`9267d02c-5f76-40a9-a9eb-b686f3ca47aa` - OktaId: `00urjk4znu3BcncfY0h7` - AWSId: `72643944673` Archiviare il tipo di ID nel campo TargetUserIdType . Se sono disponibili altri ID, è consigliabile normalizzare i nomi dei campi rispettivamente in TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId e TargetUserAwsId. Per altre informazioni, vedere L'entità Utente. Esempio: `S-1-12`
TargetUserIdType	Condizionale	Enumerato	Tipo dell'ID archiviato nel campo TargetUserId . I valori supportati sono `SID`, `UID`, `AADID`, `OktaId`e `AWSId`.
TargetUsername	Facoltativo	Nome utente (stringa)	Nome utente di destinazione, incluse le informazioni sul dominio quando disponibile. Usare uno dei formati seguenti e nell'ordine di priorità seguente: - Upn/Email:`johndow@contoso.com` - Windows: `Contoso\johndow` - DN: `CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM` - Semplice: `johndow`. Usare il modulo Semplice solo se le informazioni sul dominio non sono disponibili. Archiviare il tipo di nome utente nel campo TargetUsernameType . Se sono disponibili altri ID, è consigliabile normalizzare i nomi dei campi in TargetUserUpn, TargetUserWindows e TargetUserDn. Per altre informazioni, vedere L'entità Utente. Esempio: `AlbertE`
TargetUsernameType	Condizionale	Enumerato	Specifica il tipo di nome utente archiviato nel campo TargetUsername . I valori supportati includono `UPN`, `Windows`, `DN`e `Simple`. Per altre informazioni, vedere L'entità Utente. Esempio: `Windows`
TargetUserType	Facoltativo	Enumerato	Tipo di utente di destinazione. I valori supportati includono: - `Regular` - `Machine` - `Admin` - `System` - `Application` - `Service Principal` - `Other` Nota: il valore può essere fornito nel record di origine usando termini diversi, che devono essere normalizzati in base a questi valori. Archiviare il valore originale nel campo TargetOriginalUserType .
TargetOriginalUserType	Facoltativo	Stringa	Tipo di utente di destinazione originale, se fornito dall'origine.
TargetUserScope	Facoltativo	Stringa	Ambito, ad esempio Microsoft Entra tenant, in cui vengono definiti TargetUserId e TargetUsername. o altre informazioni e l'elenco dei valori consentiti, vedere UserScope nell'articolo Panoramica dello schema.
TargetUserScopeId	Facoltativo	Stringa	ID ambito, ad esempio Microsoft Entra ID directory, in cui vengono definiti TargetUserId e TargetUsername. Per altre informazioni e l'elenco dei valori consentiti, vedere UserScopeId nell'articolo Panoramica dello schema.
TargetUserSessionId	Facoltativo	Stringa	ID univoco della sessione di accesso dell'utente di destinazione. Esempio: `999` Nota: il tipo è definito come stringa per supportare sistemi diversi, ma in Windows questo valore deve essere numerico. Se si usa un computer Windows o Linux e si usa un tipo diverso, assicurarsi di convertire i valori. Ad esempio, se è stato usato un valore esadecimale, convertirlo in un valore decimale.

Campi dell'attore

Campo	Classe	Tipo	Descrizione
ActorUserId	Facoltativo	Stringa	Rappresentazione univoca, alfanumerica e leggibile dal computer dell'attore. I formati e i tipi supportati includono: - SID (Windows): `S-1-5-21-1377283216-344919071-3415362939-500` - UID (Linux):`4578` - AADID (Microsoft Entra ID):`9267d02c-5f76-40a9-a9eb-b686f3ca47aa` - OktaId: `00urjk4znu3BcncfY0h7` - AWSId: `72643944673` Archiviare il tipo di ID nel campo ActorUserIdType . Se sono disponibili altri ID, è consigliabile normalizzare i nomi dei campi rispettivamente in ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId e ActorAwsId. Per altre informazioni, vedere L'entità Utente. Esempio: S-1-12
ActorUserIdType	Condizionale	Enumerato	Tipo dell'ID archiviato nel campo ActorUserId . I valori supportati includono `SID`, `UID`, `AADID`, `OktaId`e `AWSId`.
ActorUsername	Obbligatorio	Nome utente (stringa)	Nome utente dell'attore, incluse le informazioni sul dominio quando disponibile. Usare uno dei formati seguenti e nell'ordine di priorità seguente: - Upn/Email:`johndow@contoso.com` - Windows: `Contoso\johndow` - DN: `CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM` - Semplice: `johndow`. Usare il modulo Semplice solo se le informazioni sul dominio non sono disponibili. Archiviare il tipo username nel campo ActorUsernameType . Se sono disponibili altri ID, è consigliabile normalizzare i nomi dei campi in ActorUserUpn, ActorUserWindows e ActorUserDn. Per altre informazioni, vedere L'entità Utente. Esempio: `AlbertE`
Utente	Alias		Alias per ActorUsername.
ActorUsernameType	Condizionale	Enumerato	Specifica il tipo di nome utente archiviato nel campo ActorUsername . I valori supportati sono `UPN`, `Windows`, `DN`e `Simple`. Per altre informazioni, vedere L'entità Utente. Esempio: `Windows`
ActorUserType	Facoltativo	Enumerato	Tipo dell'oggetto Actor. I valori consentiti sono: - `Regular` - `Machine` - `Admin` - `System` - `Application` - `Service Principal` - `Other` Nota: il valore può essere fornito nel record di origine usando termini diversi, che devono essere normalizzati in base a questi valori. Archiviare il valore originale nel campo ActorOriginalUserType .
ActorOriginalUserType	Facoltativo	Stringa	Tipo di utente di destinazione originale, se fornito dal dispositivo di report.
ActorOriginalUserType			Tipo di utente attore originale, se fornito dall'origine.
ActorSessionId	Facoltativo	Stringa	ID univoco della sessione di accesso dell'attore. Esempio: `999` Nota: il tipo è definito come stringa per supportare sistemi diversi, ma in Windows questo valore deve essere numerico. Se si usa un computer Windows e si usa un tipo diverso, assicurarsi di convertire i valori. Ad esempio, se è stato usato un valore esadecimale, convertirlo in un valore decimale.
ActorScope	Facoltativo	Stringa	Ambito, ad esempio Microsoft Entra tenant, in cui sono definiti ActorUserId e ActorUsername. o altre informazioni e l'elenco dei valori consentiti, vedere UserScope nell'articolo Panoramica dello schema.
ActorScopeId	Facoltativo	Stringa	ID ambito, ad esempio Microsoft Entra ID directory, in cui sono definiti ActorUserId e ActorUsername. o altre informazioni e l'elenco dei valori consentiti, vedere UserScopeId nell'articolo Panoramica dello schema.

Raggruppare i campi

Campo	Classe	Tipo	Descrizione
GroupId	Facoltativo	Stringa	Rappresentazione univoca, alfanumerica e leggibile dal computer del gruppo, per le attività che coinvolgono un gruppo. I formati e i tipi supportati includono: - SID (Windows): `S-1-5-21-1377283216-344919071-3415362939-500` - UID (Linux):`4578` Archiviare il tipo di ID nel campo GroupIdType . Se sono disponibili altri ID, è consigliabile normalizzare i nomi dei campi rispettivamente in GroupSid o GroupUid. Per altre informazioni, vedere L'entità Utente. Esempio: `S-1-12`
GroupIdType	Facoltativo	Enumerato	Tipo dell'ID archiviato nel campo GroupId . I valori supportati sono `SID`e `UID`.
Groupname	Facoltativo	Stringa	Nome del gruppo, incluse le informazioni sul dominio quando disponibile, per le attività che coinvolgono un gruppo. Usare uno dei formati seguenti e nell'ordine di priorità seguente: - Upn/Email:`grp@contoso.com` - Windows: `Contoso\grp` - DN: `CN=grp,OU=Sales,DC=Fabrikam,DC=COM` - Semplice: `grp`. Usare il modulo Semplice solo se le informazioni sul dominio non sono disponibili. Archiviare il tipo di nome del gruppo nel campo GroupNameType . Se sono disponibili altri ID, è consigliabile normalizzare i nomi dei campi in GroupUpn, GroupNameWindows e GroupDn. Esempio: `Contoso\Finance`
GroupNameType	Facoltativo	Enumerato	Specifica il tipo del nome del gruppo archiviato nel campo GroupName . I valori supportati includono `UPN`, `Windows`, `DN`e `Simple`. Esempio: `Windows`
GroupType	Facoltativo	Enumerato	Tipo del gruppo, per le attività che coinvolgono un gruppo. I valori supportati includono: - `Local Distribution` - `Local Security Enabled` - `Global Distribution` - `Global Security Enabled` - `Universal Distribution` - `Universal Security Enabled` - `Other` Nota: il valore può essere fornito nel record di origine usando termini diversi, che devono essere normalizzati in base a questi valori. Archiviare il valore originale nel campo GroupOriginalType .
GroupOriginalType	Facoltativo	Stringa	Tipo di gruppo originale, se fornito dall'origine.

Campi di origine

Campo	Classe	Tipo	Descrizione
Src	Consigliata	Stringa	Identificatore univoco del dispositivo di origine. Questo campo potrebbe aliasare i campi SrcDvcId, SrcHostname o SrcIpAddr . Esempio: `192.168.12.1`
SrcIpAddr	Consigliata	Indirizzo IP	Indirizzo IP del dispositivo di origine. Questo valore è obbligatorio se si specifica SrcHostname . Esempio: `77.138.103.108`
IpAddr	Alias		Alias per SrcIpAddr.
SrcPortNumber	Facoltativo	Numero intero	Porta IP da cui ha origine la connessione. Potrebbe non essere rilevante per una sessione che include più connessioni. Esempio: `2335`
SrcMacAddr	Facoltativo	Indirizzo MAC (stringa)	Indirizzo MAC dell'interfaccia di rete da cui ha origine la connessione o la sessione. Esempio: `06:10:9f:eb:8f:14`
SrcDescription	Facoltativo	Stringa	Testo descrittivo associato al dispositivo. Ad esempio: `Primary Domain Controller`.
SrcHostname	Consigliata	Stringa	Nome host del dispositivo di origine, escluse le informazioni sul dominio. Esempio: `DESKTOP-1282V4D`
SrcDomain	Consigliata	Dominio (stringa)	Dominio del dispositivo di origine. Esempio: `Contoso`
SrcDomainType	Consigliata	Enumerato	Tipo di SrcDomain, se noto. I valori possibili includono: - `Windows` (ad `contoso`esempio ) - `FQDN` (ad `microsoft.com`esempio ) Obbligatorio se si usa SrcDomain .
SrcFQDN	Facoltativo	FQDN (String)	Nome host del dispositivo di origine, incluse le informazioni sul dominio quando disponibile. Nota: questo campo supporta sia il formato FQDN tradizionale che il formato dominio\nome host di Windows. Il campo SrcDomainType riflette il formato utilizzato. Esempio: `Contoso\DESKTOP-1282V4D`
SrcDvcId	Facoltativo	Stringa	ID del dispositivo di origine come indicato nel record. Esempio: `ac7e9755-8eae-4ffc-8a02-50ed7a2216c3`
SrcDvcScopeId	Facoltativo	Stringa	ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. SrcDvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS.
SrcDvcScope	Facoltativo	Stringa	Ambito della piattaforma cloud a cui appartiene il dispositivo. SrcDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS.
SrcDvcIdType	Condizionale	Enumerato	Tipo di SrcDvcId, se noto. I valori possibili includono: - `AzureResourceId` - `MDEid` Se sono disponibili più ID, usare il primo dall'elenco precedente e archiviarne gli altri rispettivamente in SrcDvcAzureResourceId e SrcDvcMDEid. Nota: questo campo è obbligatorio se si usa SrcDvcId .
SrcDeviceType	Facoltativo	Enumerato	Tipo del dispositivo di origine. I valori possibili includono: - `Computer` - `Mobile Device` - `IOT Device` - `Other`
SrcGeoCountry	Facoltativo	Paese	Paese/area geografica associato all'indirizzo IP di origine. Esempio: `USA`
SrcGeoRegion	Facoltativo	Area geografica	Area associata all'indirizzo IP di origine. Esempio: `Vermont`
SrcGeoCity	Facoltativo	Città	Città associata all'indirizzo IP di origine. Esempio: `Burlington`
SrcGeoLatitude	Facoltativo	Latitudine	La latitudine della coordinata geografica associata all'indirizzo IP di origine. Esempio: `44.475833`
SrcGeoLongitude	Facoltativo	Longitudine	Longitudine della coordinata geografica associata all'indirizzo IP di origine. Esempio: `73.211944`
SrcRiskLevel	Facoltativo	Numero intero	Livello di rischio associato all'origine. Il valore deve essere regolato in base a un intervallo di `0` , `100`con `0` per un valore non dannoso e `100` per un rischio elevato. Esempio: `90`
SrcOriginalRiskLevel	Facoltativo	Stringa	Livello di rischio associato all'origine, come indicato dal dispositivo di report. Esempio: `Suspicious`

Applicazione in azione

Campo	Classe	Tipo	Descrizione
ActingAppId	Facoltativo	Stringa	ID dell'applicazione usata dall'attore per eseguire l'attività, inclusi un processo, un browser o un servizio. Ad esempio: `0x12ae8`
ActingAppName	Facoltativo	Stringa	Nome dell'applicazione usata dall'attore per eseguire l'attività, inclusi un processo, un browser o un servizio. Ad esempio: `C:\Windows\System32\svchost.exe`
ActingAppType	Facoltativo	Enumerato	Tipo di applicazione che agisce. I valori supportati includono: - `Process` - `Browser` - `Resource` - `Other`
ActingOriginalAppType	Facoltativo	Stringa	Tipo dell'applicazione che ha avviato l'attività come segnalato dal dispositivo di report.
HttpUserAgent	Facoltativo	Stringa	Quando l'autenticazione viene eseguita tramite HTTP o HTTPS, il valore di questo campo è l'intestazione HTTP user_agent fornita dall'applicazione che esegue l'autenticazione. Ad esempio: `Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1`

Campi di ispezione

I campi seguenti vengono usati per rappresentare l'ispezione eseguita da un sistema di sicurezza come un sistema EDR.

Campo	Classe	Tipo	Descrizione
Rulename	Facoltativo	Stringa	Nome o ID della regola associato ai risultati dell'ispezione.
RuleNumber	Facoltativo	Numero intero	Numero della regola associata ai risultati dell'ispezione.
Regola	Condizionale	Stringa	Valore di kRuleName o valore di RuleNumber. Se viene utilizzato il valore di RuleNumber , il tipo deve essere convertito in stringa.
ThreatId	Facoltativo	Stringa	ID della minaccia o del malware identificato nell'attività del file.
ThreatName	Facoltativo	Stringa	Nome della minaccia o del malware identificato nell'attività del file. Esempio: `EICAR Test File`
ThreatCategory	Facoltativo	Stringa	Categoria della minaccia o del malware identificato nell'attività del file. Esempio: `Trojan`
ThreatRiskLevel	Facoltativo	RiskLevel (Integer)	Livello di rischio associato alla minaccia identificata. Il livello deve essere un numero compreso tra 0 e 100. Nota: il valore può essere fornito nel record di origine usando una scala diversa, che deve essere normalizzata in base a questa scala. Il valore originale deve essere archiviato in ThreatOriginalRiskLevel.
ThreatOriginalRiskLevel	Facoltativo	Stringa	Livello di rischio segnalato dal dispositivo di segnalazione.
ThreatField	Facoltativo	Stringa	Campo per il quale è stata identificata una minaccia.
ThreatConfidence	Facoltativo	ConfidenceLevel (Integer)	Livello di attendibilità della minaccia identificata, normalizzata in un valore compreso tra 0 e 100.
ThreatOriginalConfidence	Facoltativo	Stringa	Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di segnalazione.
ThreatIsActive	Facoltativo	Booleano	True se la minaccia identificata è considerata una minaccia attiva.
ThreatFirstReportedTime	Facoltativo	datetime	La prima volta che l'indirizzo IP o il dominio è stato identificato come una minaccia.
ThreatLastReportedTime	Facoltativo	datetime	L'ultima volta che l'indirizzo IP o il dominio è stato identificato come una minaccia.

Campi e alias aggiuntivi

Campo	Classe	Tipo	Descrizione
Hostname	Alias		Alias in DvcHostname.

Aggiornamenti dello schema

Le modifiche apportate alla versione 0.1.2 dello schema sono:

Sono stati aggiunti campi di ispezione.
Aggiunta dei campi SrcDescriptiondi origine , , SrcMacAddrSrcOriginalRiskLevel, SrcPortNumber, , SrcRiskLevel,
Aggiunti i campi TargetUserScopedi destinazione , , TargetUserScopeIdTargetUserSessionId
Sono stati aggiunti i campi ActorOriginalUserTypedell'attore , , ActorScopeActorScopeId
È stato aggiunto il campo dell'applicazione che agisce ActingOriginalAppType

Passaggi successivi

Per ulteriori informazioni, vedere:

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-04-23