Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het normalisatieschema Microsoft Sentinel Controlegebeurtenissen vertegenwoordigt gebeurtenissen die zijn gekoppeld aan de audittrail van informatiesystemen. De audittrail registreert systeemconfiguratieactiviteiten en beleidswijzigingen. Dergelijke wijzigingen worden vaak uitgevoerd door systeembeheerders, maar kunnen ook worden uitgevoerd door gebruikers bij het configureren van de instellingen van hun eigen toepassingen.
Elk systeem registreert auditgebeurtenissen naast de kernactiviteitenlogboeken. Een firewall meldt bijvoorbeeld gebeurtenissen over de netwerksessies zijn processen en controleert gebeurtenissen over configuratiewijzigingen die zijn toegepast op de firewall zelf.
Zie Normalisatie en het Advanced Security Information Model (ASIM) voor meer informatie over normalisatie in Microsoft Sentinel.
Schemaoverzicht
De belangrijkste velden van een auditgebeurtenis zijn:
- Het object, dat bijvoorbeeld een beheerde resource of beleidsregel kan zijn, waarop de gebeurtenis is gericht, wordt vertegenwoordigd door het veld Object. Het veld ObjectType geeft het type van het object op.
- De toepassingscontext van het object, vertegenwoordigd door het veld TargetAppName, dat als alias wordt opgegeven door Toepassing.
- De bewerking die is uitgevoerd op het object, vertegenwoordigd door de velden EventType en Operation. Hoewel Operation de waarde is die de bron heeft gerapporteerd, is EventType een genormaliseerde versie die consistenter is voor alle bronnen.
- De oude en nieuwe waarden voor het object, indien van toepassing, worden vertegenwoordigd door respectievelijk OldValue en NewValue .
Controlegebeurtenissen verwijzen ook naar de volgende entiteiten, die betrokken zijn bij de configuratiebewerking:
- Actor : de gebruiker die de configuratiebewerking uitvoert.
- TargetApp : de toepassing of het systeem waarop de configuratiebewerking van toepassing is.
- Doel : het systeem waarop TargetApp* wordt uitgevoerd.
- ActingApp : de toepassing die door de Actor wordt gebruikt om de configuratiebewerking uit te voeren.
- Src : het systeem dat door de Actor wordt gebruikt om de configuratiebewerking te initiëren, indien anders dan Doel.
De descriptor Dvc wordt gebruikt voor het rapportageapparaat, dat het lokale systeem is voor sessies die door een eindpunt worden gerapporteerd, en in andere gevallen het tussenliggende of beveiligingsapparaat.
Parsers
Parsers voor controlegebeurtenissen implementeren en gebruiken
Implementeer de ASIM-controlegebeurtenissenparser vanuit de Microsoft Sentinel GitHub-opslagplaats. Als u een query wilt uitvoeren op alle auditgebeurtenisbronnen, gebruikt u de parseringsfunctie voor samenvoeging imAuditEvent als de tabelnaam in uw query.
Zie het overzicht van ASIM-parsers voor meer informatie over het gebruik van ASIM-parsers. Raadpleeg de lijst met ASIM-parsers voor de lijst met controlegebeurtenissenparses Microsoft Sentinel out-of-the-box biedt
Uw eigen genormaliseerde parsers toevoegen
Bij het implementeren van aangepaste parsers voor het bestandsgebeurtenisinformatiemodel geeft u de KQL-functies een naam met behulp van de volgende syntaxis: imAuditEvent<vendor><Product>. Raadpleeg het artikel ASIM-parsers beheren voor meer informatie over het toevoegen van uw aangepaste parsers aan de parser voor het samenvoegen van controlegebeurtenissen.
Parameters voor filteren van parser
De parsers voor controlegebeurtenissen ondersteunen filterparameters. Hoewel deze parameters optioneel zijn, kunnen ze uw queryprestaties verbeteren.
De volgende filterparameters zijn beschikbaar:
| Naam | Type | Beschrijving |
|---|---|---|
| Starttime | Datetime | Filter alleen gebeurtenissen die op of na deze tijd zijn uitgevoerd. Deze parameter gebruikt het TimeGenerated veld als de tijdsopgave van de gebeurtenis. |
| Eindtijd | Datetime | Filter alleen gebeurtenisquery's die op of vóór deze tijd zijn uitgevoerd. Deze parameter gebruikt het TimeGenerated veld als de tijdsopgave van de gebeurtenis. |
| srcipaddr_has_any_prefix | Dynamische | Filter alleen gebeurtenissen van dit bron-IP-adres, zoals weergegeven in het veld SrcIpAddr . |
| eventtype_in | tekenreeks | Filter alleen gebeurtenissen waarin het gebeurtenistype, zoals weergegeven in het veld EventType , een van de opgegeven termen is. |
| eventresult | tekenreeks | Filter alleen gebeurtenissen waarin het gebeurtenisresultaat, zoals weergegeven in het veld EventResult , gelijk is aan de parameterwaarde. |
| actorusername_has_any | dynamisch/tekenreeks | Filter alleen gebeurtenissen waarin de ActorUsername een van de opgegeven voorwaarden bevat. |
| operation_has_any | dynamisch/tekenreeks | Filter alleen gebeurtenissen waarin het veld Bewerking een van de opgegeven voorwaarden bevat. |
| object_has_any | dynamisch/tekenreeks | Filter alleen gebeurtenissen waarin het veld Object een van de opgegeven termen bevat. |
| newvalue_has_any | dynamisch/tekenreeks | Filter alleen gebeurtenissen waarin het veld NewValue een van de opgegeven termen bevat. |
Sommige parameters kunnen zowel een lijst met waarden van het type dynamic als één tekenreekswaarde accepteren. Als u een letterlijke lijst wilt doorgeven aan parameters die een dynamische waarde verwachten, gebruikt u expliciet een dynamische letterlijke waarde. Bijvoorbeeld:dynamic(['192.168.','10.'])
Als u bijvoorbeeld alleen auditgebeurtenissen wilt filteren met de voorwaarden install of update in het veld Bewerking van de laatste dag, gebruikt u:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
Schemadetails
Algemene ASIM-velden
Belangrijk
Algemene velden voor alle schema's worden uitgebreid beschreven in het artikel Algemene velden van ASIM .
Algemene velden met specifieke richtlijnen
In de volgende lijst worden velden vermeld met specifieke richtlijnen voor controlegebeurtenissen:
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| EventType | Verplicht | Opgesomde | Beschrijft de bewerking die wordt gecontroleerd door de gebeurtenis met behulp van een genormaliseerde waarde. Gebruik EventSubType om meer details op te geven, die de genormaliseerde waarde niet overdraagt, en Bewerking. om de bewerking op te slaan zoals gerapporteerd door het rapportageapparaat. Voor auditgebeurtenisrecords zijn de toegestane waarden: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Initialize- Start- Stop- Other Controlegebeurtenissen vertegenwoordigen een grote verscheidenheid aan bewerkingen en de Other waarde maakt toewijzingsbewerkingen mogelijk die geen overeenkomende EventTypehebben. Het gebruik van Other de gebeurtenis beperkt echter de bruikbaarheid van de gebeurtenis en moet indien mogelijk worden vermeden. |
| EventSubType | Optioneel | Tekenreeks | Bevat meer details, die niet worden weergegeven in de genormaliseerde waarde in EventType . |
| EventSchema | Verplicht | Opgesomde | De naam van het schema dat hier wordt beschreven, is AuditEvent. |
| EventSchemaVersion | Verplicht | SchemaVersion (tekenreeks) | De versie van het schema. De versie van het schema dat hier wordt beschreven, is 0.1.2. |
Alle algemene velden
Velden die in de tabel worden weergegeven, zijn gemeenschappelijk voor alle ASIM-schema's. Alle richtlijnen die in dit document zijn opgegeven, overschrijven de algemene richtlijnen voor het veld. Een veld kan bijvoorbeeld in het algemeen optioneel zijn, maar verplicht voor een specifiek schema. Zie het artikel Algemene ASIM-velden voor meer informatie over elk veld.
| Klasse | Velden |
|---|---|
| Verplicht |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Aanbevolen |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optioneel |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcO's - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Auditvelden
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| Bewerking | Verplicht | Tekenreeks | De gecontroleerde bewerking zoals gerapporteerd door het rapportageapparaat. |
| Object | Verplicht | Tekenreeks | De naam van het object waarop de door EventType geïdentificeerde bewerking wordt uitgevoerd. |
| ObjectId | Optioneel | Tekenreeks | De id van het object waarop de door EventType geïdentificeerde bewerking wordt uitgevoerd. |
| ObjectType | Voorwaardelijke | Opgesomde | Het type object. Toegestane waarden zijn: - Cloud Resource- Configuration Atom- Policy Rule- Event Log- Scheduled Task- Service- Directory Service Object- Other |
| OriginalObjectType | Optioneel | Tekenreeks | Het type object zoals gerapporteerd door het rapportagesysteem |
| Oldvalue | Optioneel | Tekenreeks | De oude waarde van Object voorafgaand aan de bewerking, indien van toepassing. |
| NewValue | Aanbevolen | Tekenreeks | De nieuwe waarde van Object nadat de bewerking is uitgevoerd, indien van toepassing. |
| Waarde | Alias | Alias naar NewValue | |
| Valuetype | Voorwaardelijke | Opgesomde | Het type van de oude en nieuwe waarden. Toegestane waarden zijn -Andere |
Actorvelden
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| ActorUserId | Optioneel | Tekenreeks | Een machineleesbare, alfanumerieke, unieke weergave van de Actor. Zie De entiteit Gebruiker voor meer informatie en voor alternatieve velden voor andere id's. Voorbeeld: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Optioneel | Tekenreeks | Het bereik, zoals Microsoft Entra Domeinnaam, waarin ActorUserId en ActorUsername zijn gedefinieerd. of zie UserScope in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| ActorScopeId | Optioneel | Tekenreeks | De bereik-id, zoals Microsoft Entra Directory-id, waarin ActorUserId en ActorUsername zijn gedefinieerd. Zie UserScopeId in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| ActorUserIdType | Voorwaardelijke | Opgesomde | Het type id dat is opgeslagen in het veld ActorUserId . Zie UserIdType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| ActorUsername | Aanbevolen | Gebruikersnaam (tekenreeks) | De gebruikersnaam van de actor, inclusief domeingegevens indien beschikbaar. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: AlbertE |
| Gebruiker | Alias | Alias naar ActorUsername | |
| ActorUsernameType | Voorwaardelijke | UsernameType | Hiermee geeft u het type van de gebruikersnaam op dat is opgeslagen in het veld ActorUsername . Zie UsernameType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. Voorbeeld: Windows |
| ActorUserType | Optioneel | UserType | Het type actor. Zie UserType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. Bijvoorbeeld: Guest |
| ActorOriginalUserType | Optioneel | Tekenreeks | Het gebruikerstype zoals gerapporteerd door het rapportageapparaat. |
| ActorSessionId | Optioneel | Tekenreeks | De unieke id van de aanmeldingssessie van de Actor. Voorbeeld: 102pTUgC3p8RIqHvzxLCHnFlg |
Doeltoepassingsvelden
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| TargetAppId | Optioneel | Tekenreeks | De id van de toepassing waarop de gebeurtenis van toepassing is, inclusief een proces, browser of service. Voorbeeld: 89162 |
| TargetAppName | Optioneel | Tekenreeks | De naam van de toepassing waarop de gebeurtenis van toepassing is, inclusief een service, een URL of een SaaS-toepassing. Voorbeeld: Exchange 365 |
| Toepassing | Alias | Alias naar TargetAppName | |
| TargetAppType | Voorwaardelijke | AppType | Het type toepassing dat namens de actor wordt gemachtigd. Zie AppType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| TargetOriginalAppType | Optioneel | Tekenreeks | Het type toepassing waarop de gebeurtenis van toepassing is, zoals gerapporteerd door het rapportageapparaat. |
| TargetUrl | Optioneel | URL | De URL die is gekoppeld aan de doeltoepassing. Voorbeeld: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
Doelsysteemvelden
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| Dst | Alias | Tekenreeks | Een unieke id van het verificatiedoel. Dit veld kan de velden TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId of TargetAppName als alias gebruiken . Voorbeeld: 192.168.12.1 |
| TargetHostname | Aanbevolen | Hostname | De hostnaam van het doelapparaat, met uitzondering van domeingegevens. Voorbeeld: DESKTOP-1282V4D |
| TargetDomain | Optioneel | Domein(tekenreeks) | Het domein van het doelapparaat. Voorbeeld: Contoso |
| TargetDomainType | Voorwaardelijke | Opgesomde | Het type TargetDomain. Raadpleeg DomainType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Vereist als TargetDomain wordt gebruikt. |
| TargetFQDN | Optioneel | FQDN (tekenreeks) | De hostnaam van het doelapparaat, inclusief domeingegevens indien beschikbaar. Voorbeeld: Contoso\DESKTOP-1282V4D Opmerking: dit veld ondersteunt zowel de traditionele FQDN-indeling als de Windows-indeling domein\hostnaam. Het TargetDomainType weerspiegelt de gebruikte indeling. |
| TargetDescription | Optioneel | Tekenreeks | Een beschrijvende tekst die is gekoppeld aan het apparaat. Bijvoorbeeld: Primary Domain Controller. |
| TargetDvcId | Optioneel | Tekenreeks | De id van het doelapparaat. Als er meerdere id's beschikbaar zijn, gebruikt u de belangrijkste id en slaat u de andere id's op in de velden TargetDvc<DvcIdType>. Voorbeeld: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Optioneel | Tekenreeks | De bereik-id van het cloudplatform waartoe het apparaat behoort. TargetDvcScopeId wordt toegewezen aan een abonnements-id op Azure en aan een account-id op AWS. |
| TargetDvcScope | Optioneel | Tekenreeks | Het cloudplatformbereik waartoe het apparaat behoort. TargetDvcScope wordt toegewezen aan een abonnements-id op Azure en aan een account-id op AWS. |
| TargetDvcIdType | Voorwaardelijke | Opgesomde | Het type TargetDvcId. Raadpleeg DvcIdType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Vereist als TargetDeviceId wordt gebruikt. |
| TargetDeviceType | Optioneel | Opgesomde | Het type van het doelapparaat. Raadpleeg DeviceType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. |
| TargetIpAddr | Aanbevolen | IP-adres | Het IP-adres van het doelapparaat. Voorbeeld: 2.2.2.2 |
| TargetDvcO's | Optioneel | Tekenreeks | Het besturingssysteem van het doelapparaat. Voorbeeld: Windows 10 |
| TargetPortNumber | Optioneel | Geheel getal | De poort van het doelapparaat. |
| TargetGeoCountry | Optioneel | Land | Het land/de regio die is gekoppeld aan het DOEL-IP-adres. Voorbeeld: USA |
| TargetGeoRegion | Optioneel | Regio | De regio binnen een land/regio die is gekoppeld aan het DOEL-IP-adres. Voorbeeld: Vermont |
| TargetGeoCity | Optioneel | Plaats | De plaats die is gekoppeld aan het DOEL-IP-adres. Voorbeeld: Burlington |
| TargetGeoLatitude | Optioneel | Latitude | De breedtegraad van de geografische coördinaat die is gekoppeld aan het DOEL-IP-adres. Voorbeeld: 44.475833 |
| TargetGeoLongitude | Optioneel | Lengtegraad | De lengtegraad van de geografische coördinaat die is gekoppeld aan het DOEL-IP-adres. Voorbeeld: 73.211944 |
| TargetRiskLevel | Optioneel | Geheel getal | Het risiconiveau dat aan het doel is gekoppeld. De waarde moet worden aangepast tot een bereik van 0 tot , met 0 voor goedaardig en 100 voor 100een hoog risico.Voorbeeld: 90 |
| TargetOriginalRiskLevel | Optioneel | Tekenreeks | Het risiconiveau dat is gekoppeld aan het doel, zoals gerapporteerd door het rapportageapparaat. Voorbeeld: Suspicious |
Velden voor actieve toepassing
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| ActingAppId | Optioneel | Tekenreeks | De id van de toepassing die de gerapporteerde activiteit heeft geïnitieerd, inclusief een proces, browser of service. Bijvoorbeeld: 0x12ae8 |
| ActingAppName | Optioneel | Tekenreeks | De naam van de toepassing die de gerapporteerde activiteit heeft geïnitieerd, inclusief een service, een URL of een SaaS-toepassing. Bijvoorbeeld: C:\Windows\System32\svchost.exe |
| ActingAppType | Optioneel | AppType | Het type actieve toepassing. Zie AppType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| ActingOriginalAppType | Optioneel | Tekenreeks | Het type toepassing dat de activiteit heeft geïnitieerd, zoals gerapporteerd door het rapportageapparaat. |
| HttpUserAgent | Optioneel | Tekenreeks | Wanneer verificatie wordt uitgevoerd via HTTP of HTTPS, is de waarde van dit veld de user_agent HTTP-header die door de actieve toepassing wordt opgegeven bij het uitvoeren van de verificatie. Bijvoorbeeld: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Bronsysteemvelden
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| Src | Alias | Tekenreeks | Een unieke id van het bronapparaat. Dit veld kan de alias van de velden SrcDvcId, SrcHostname of SrcIpAddr zijn. Voorbeeld: 192.168.12.1 |
| SrcIpAddr | Aanbevolen | IP-adres | Het IP-adres waaruit de verbinding of sessie afkomstig is. Voorbeeld: 77.138.103.108 |
| Ipaddr | Alias | Alias naar SrcIpAddr of naar TargetIpAddr als SrcIpAddr niet is opgegeven. | |
| SrcPortNumber | Optioneel | Geheel getal | De IP-poort van waaruit de verbinding afkomstig is. Is mogelijk niet relevant voor een sessie die uit meerdere verbindingen bestaat. Voorbeeld: 2335 |
| SrcHostname | Optioneel | Hostname | De hostnaam van het bronapparaat, met uitzondering van domeingegevens. Als er geen apparaatnaam beschikbaar is, slaat u het relevante IP-adres in dit veld op. Voorbeeld: DESKTOP-1282V4D |
| SrcDomain | Optioneel | Domein (tekenreeks) | Het domein van het bronapparaat. Voorbeeld: Contoso |
| SrcDomainType | Voorwaardelijke | DomainType | Het type SrcDomain. Raadpleeg DomainType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Vereist als SrcDomain wordt gebruikt. |
| SrcFQDN | Optioneel | FQDN (tekenreeks) | De hostnaam van het bronapparaat, inclusief domeingegevens indien beschikbaar. Opmerking: dit veld ondersteunt zowel de traditionele FQDN-indeling als de Windows-indeling domein\hostnaam. In het veld SrcDomainType wordt de gebruikte indeling weergegeven. Voorbeeld: Contoso\DESKTOP-1282V4D |
| SrcDescription | Optioneel | Tekenreeks | Een beschrijvende tekst die is gekoppeld aan het apparaat. Bijvoorbeeld: Primary Domain Controller. |
| SrcDvcId | Optioneel | Tekenreeks | De id van het bronapparaat. Als er meerdere id's beschikbaar zijn, gebruikt u de belangrijkste id en slaat u de andere id's op in de velden SrcDvc<DvcIdType>.Voorbeeld: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Optioneel | Tekenreeks | De bereik-id van het cloudplatform waartoe het apparaat behoort. SrcDvcScopeId wordt toegewezen aan een abonnements-id op Azure en aan een account-id op AWS. |
| SrcDvcScope | Optioneel | Tekenreeks | Het cloudplatformbereik waartoe het apparaat behoort. SrcDvcScope wordt toegewezen aan een abonnements-id op Azure en aan een account-id op AWS. |
| SrcDvcIdType | Voorwaardelijke | DvcIdType | Het type SrcDvcId. Raadpleeg DvcIdType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Opmerking: dit veld is vereist als SrcDvcId wordt gebruikt. |
| SrcDeviceType | Optioneel | DeviceType | Het type van het bronapparaat. Raadpleeg DeviceType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. |
| SrcGeoCountry | Optioneel | Land | Het land/de regio die is gekoppeld aan het bron-IP-adres. Voorbeeld: USA |
| SrcGeoRegion | Optioneel | Regio | De regio binnen een land/regio die is gekoppeld aan het bron-IP-adres. Voorbeeld: Vermont |
| SrcGeoCity | Optioneel | Plaats | De plaats die is gekoppeld aan het bron-IP-adres. Voorbeeld: Burlington |
| SrcGeoLatitude | Optioneel | Latitude | De breedtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. Voorbeeld: 44.475833 |
| SrcGeoLongitude | Optioneel | Lengtegraad | De lengtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. Voorbeeld: 73.211944 |
| SrcRiskLevel | Optioneel | Geheel getal | Het risiconiveau dat aan de bron is gekoppeld. De waarde moet worden aangepast tot een bereik van 0 tot , met 0 voor goedaardig en 100 voor 100een hoog risico.Voorbeeld: 90 |
| SrcOriginalRiskLevel | Optioneel | Tekenreeks | Het risiconiveau dat is gekoppeld aan de bron, zoals gerapporteerd door het rapportageapparaat. Voorbeeld: Suspicious |
Inspectievelden
De volgende velden worden gebruikt om de door een beveiligingssysteem uitgevoerde inspectie aan te geven.
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| RuleName | Optioneel | Tekenreeks | De naam of id van de regel die is gekoppeld aan de inspectieresultaten. |
| RuleNumber | Optioneel | Geheel getal | Het nummer van de regel die is gekoppeld aan de inspectieresultaten. |
| Regel | Alias | Tekenreeks | De waarde van RuleName of de waarde van RuleNumber. Als de waarde van RuleNumber wordt gebruikt, moet het type worden geconverteerd naar tekenreeks. |
| ThreatId | Optioneel | Tekenreeks | De id van de bedreiging of malware die is geïdentificeerd in de controleactiviteit. |
| ThreatName | Optioneel | Tekenreeks | De naam van de bedreiging of malware die is geïdentificeerd in de controleactiviteit. |
| ThreatCategory | Optioneel | Tekenreeks | De categorie van de bedreiging of malware die is geïdentificeerd in de activiteit van het auditbestand. |
| ThreatRiskLevel | Optioneel | RiskLevel (geheel getal) | Het risiconiveau dat is gekoppeld aan de geïdentificeerde bedreiging. Het niveau moet een getal tussen 0 en 100 zijn. Opmerking: de waarde kan worden opgegeven in de bronrecord met behulp van een andere schaal, die moet worden genormaliseerd naar deze schaal. De oorspronkelijke waarde moet worden opgeslagen in ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Optioneel | Tekenreeks | Het risiconiveau zoals gerapporteerd door het rapportageapparaat. |
| ThreatConfidence | Optioneel | ConfidenceLevel (geheel getal) | Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd naar een waarde tussen 0 en een 100. |
| ThreatOriginalConfidence | Optioneel | Tekenreeks | Het oorspronkelijke betrouwbaarheidsniveau van de geïdentificeerde bedreiging, zoals gerapporteerd door het rapportageapparaat. |
| ThreatIsActive | Optioneel | Booleaanse waarde | Waar als de geïdentificeerde bedreiging wordt beschouwd als een actieve bedreiging. |
| ThreatFirstReportedTime | Optioneel | Datetime | De eerste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging. |
| ThreatLastReportedTime | Optioneel | Datetime | De laatste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging. |
| ThreatIpAddr | Optioneel | IP-adres | Een IP-adres waarvoor een bedreiging is geïdentificeerd. Het veld ThreatField bevat de naam van het veld dat ThreatIpAddr vertegenwoordigt. |
| ThreatField | Voorwaardelijke | Opgesomde | Het veld waarvoor een bedreiging is geïdentificeerd. De waarde is of SrcIpAddrTargetIpAddr. |
Schema-updates
De wijzigingen in versie 0.1.1 van het schema zijn:
- Het veld
ObjectIdenOriginalObjectTypetoegevoegd.
De wijzigingen in versie 0.1.2 van het schema zijn:
- Het veld
ActingOriginalAppType, , ,SrcOriginalRiskLevel,SrcRiskLevelTargetGeoCity,,TargetGeoCountry,TargetGeoLatitude,TargetGeoLongitude,TargetGeoRegionTargetOriginalAppTypeTargetOriginalRiskLevel,OriginalObjectTypeen toegevoegdTargetRiskLevel
Volgende stappen
Zie voor meer informatie: