Naslaginformatie over het normalisatieschema voor Microsoft Sentinel gebruikersbeheer

Het normalisatieschema voor Microsoft Sentinel gebruikersbeheer wordt gebruikt om activiteiten voor gebruikersbeheer te beschrijven, zoals het maken van een gebruiker of een groep, het wijzigen van het gebruikerskenmerk of het toevoegen van een gebruiker aan een groep. Dergelijke gebeurtenissen worden bijvoorbeeld gerapporteerd door besturingssystemen, adreslijstservices, identiteitsbeheersystemen en andere systemen die rapporteren over de lokale gebruikersbeheeractiviteit.

Zie Normalisatie en het Advanced Security Information Model (ASIM) voor meer informatie over normalisatie in Microsoft Sentinel.

Schemaoverzicht

Het ASIM-gebruikersbeheerschema beschrijft activiteiten voor gebruikersbeheer. De activiteiten omvatten doorgaans de volgende entiteiten:

Actor : de gebruiker die de beheeractiviteit uitvoert.
Acterend proces : het proces dat door de actor wordt gebruikt om de beheeractiviteit uit te voeren.
Src : wanneer de activiteit wordt uitgevoerd via het netwerk, het bronapparaat van waaruit de activiteit is gestart.
Doelgebruiker : de gebruiker die het account wordt beheerd.
Groepeer de doelgebruiker wordt toegevoegd, verwijderd uit of wordt gewijzigd.

Sommige activiteiten, zoals UserCreated, GroupCreated, UserModified en GroupModified*, stellen gebruikerseigenschappen in of werken deze bij. De eigenschappen die zijn ingesteld of bijgewerkt, worden beschreven in de volgende velden:

EventSubType : de naam van de waarde die is ingesteld of bijgewerkt. UpdatedPropertyName is een alias voor EventSubType wanneer EventSubType verwijst naar een van de relevante gebeurtenistypen.
PreviousPropertyValue : de vorige waarde van de eigenschap.
NewPropertyValue : de bijgewerkte waarde van de eigenschap.

Parsers

Zie het overzicht van ASIM-parsers voor meer informatie over ASIM-parsers.

Parameters voor filteren van parser

De parsers voor gebruikersbeheer ondersteunen filterparameters. Hoewel deze parameters optioneel zijn, kunnen ze uw queryprestaties verbeteren.

De volgende filterparameters zijn beschikbaar:

Naam	Type	Beschrijving
Starttime	Datetime	Filter alleen gebruikersbeheergebeurtenissen die zich op of na deze tijd hebben voorgedaan. Deze parameter filtert op het `TimeGenerated` veld, dat de standaardindeling is voor de tijd van de gebeurtenis, ongeacht de parserspecifieke toewijzing van de velden EventStartTime en EventEndTime.
Eindtijd	Datetime	Filter alleen gebruikersbeheergebeurtenissen die zich op of vóór deze tijd hebben voorgedaan. Deze parameter filtert op het `TimeGenerated` veld, dat de standaardindeling is voor de tijd van de gebeurtenis, ongeacht de parserspecifieke toewijzing van de velden EventStartTime en EventEndTime.
srcipaddr_has_any_prefix	Dynamische	Filter alleen gebruikersbeheergebeurtenissen waarbij het bron-IP-adresvoorvoegsel overeenkomt met een van de vermelde waarden. Voorvoegsels moeten eindigen op een `.`, bijvoorbeeld: `10.0.`.
targetusername_has_any	Dynamische	Filter alleen gebruikersbeheergebeurtenissen waarbij de doelgebruikersnaam een van de vermelde waarden heeft.
actorusername_has_any	Dynamische	Filter alleen gebruikersbeheergebeurtenissen waarbij de gebruikersnaam van de actor een van de vermelde waarden heeft.
eventtype_in	Dynamische	Filter alleen gebruikersbeheer-gebeurtenissen waarbij het gebeurtenistype een van de vermelde waarden is, zoals `UserCreated`, `UserDeleted`, `UserModified`, `PasswordChanged`, of `GroupCreated`.

Als u bijvoorbeeld alleen gebeurtenissen voor het maken van gebruikers van de afgelopen dag wilt filteren, gebruikt u:

_Im_UserManagement (eventtype_in=dynamic(['UserCreated']), starttime = ago(1d), endtime=now())

Schemadetails

Algemene ASIM-velden

Belangrijk

Algemene velden voor alle schema's worden uitgebreid beschreven in het artikel Algemene velden van ASIM .

Algemene velden met specifieke richtlijnen

In de volgende lijst worden velden vermeld met specifieke richtlijnen voor procesactiviteitsevenementen:

Veld	Klasse	Type	Beschrijving
EventType	Verplicht	Opgesomde	Beschrijft de bewerking die door de record wordt gerapporteerd. Voor gebruikersbeheeractiviteit zijn de ondersteunde waarden: - `UserCreated` - `UserDeleted` - `UserModified` - `UserLocked` - `UserUnlocked` - `UserDisabled` - `UserEnabled` - `PasswordChanged` - `PasswordReset` - `GroupCreated` - `GroupDeleted` - `GroupModified` - `UserAddedToGroup` - `UserRemovedFromGroup` - `GroupEnumerated` - `UserRead` - `GroupRead`
EventSubType	Optioneel	Opgesomde	De volgende subtypen worden ondersteund: - `UserRead`: Wachtwoord, Hash - `UserCreated`, `GroupCreated`, `UserModified`, `GroupModified`. Zie UpdatedPropertyName voor meer informatie
EventResult	Verplicht	Opgesomde	Hoewel een fout mogelijk is, rapporteren de meeste systemen alleen geslaagde gebeurtenissen voor gebruikersbeheer. De verwachte waarde voor geslaagde gebeurtenissen is `Success`.
EventResultDetails	Aanbevolen	Opgesomde	De geldige waarden zijn `NotAuthorized` en `Other`.
EventSeverity	Verplicht	Opgesomde	Hoewel elke geldige ernstwaarde is toegestaan, is de ernst van gebeurtenissen voor gebruikersbeheer meestal `Informational`.
EventSchema	Verplicht	Opgesomde	De naam van het schema dat hier wordt beschreven, is `UserManagement`.
EventSchemaVersion	Verplicht	SchemaVersion (tekenreeks)	De versie van het schema. De versie van het schema dat hier wordt beschreven, is `0.1.2`.
Dvc-velden			Voor gebeurtenissen voor gebruikersbeheer verwijzen apparaatvelden naar het systeem dat de gebeurtenis rapporteert. Dit is meestal het systeem waarop de gebruiker wordt beheerd.

Alle algemene velden

Velden die in de onderstaande tabel worden weergegeven, zijn gemeenschappelijk voor alle ASIM-schema's. Elke hierboven opgegeven richtlijn overschrijft de algemene richtlijnen voor het veld. Een veld kan bijvoorbeeld in het algemeen optioneel zijn, maar verplicht voor een specifiek schema. Raadpleeg het artikel Algemene velden van ASIM voor meer informatie over elk veld.

Klasse	Velden
Verplicht	- EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc
Aanbevolen	- EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction
Optioneel	- EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcO's - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope

Bijgewerkte eigenschapsvelden

Veld	Klasse	Type	Beschrijving
UpdatedPropertyName	Alias		Alias naar EventSubType wanneer het gebeurtenistype , `GroupCreated`, `UserModified`of `GroupModified`is`UserCreated`. Ondersteunde waarden zijn: - `MultipleProperties`: Wordt gebruikt wanneer de activiteit meerdere eigenschappen bijwerken - `Previous<PropertyName>`, waarbij `<PropertyName>` een van de ondersteunde waarden is voor `UpdatedPropertyName`. - `New<PropertyName>`, waarbij `<PropertyName>` een van de ondersteunde waarden is voor `UpdatedPropertyName`.
PreviousPropertyValue	Optioneel	Tekenreeks	De vorige waarde die is opgeslagen in de opgegeven eigenschap.
NewPropertyValue	Optioneel	Tekenreeks	De nieuwe waarde die is opgeslagen in de opgegeven eigenschap.

Doelgebruikersvelden

Veld	Klasse	Type	Beschrijving
TargetUserId	Optioneel	Tekenreeks	Een machineleesbare, alfanumerieke, unieke weergave van de doelgebruiker. Ondersteunde indelingen en typen zijn onder andere: - SID (Windows): `S-1-5-21-1377283216-344919071-3415362939-500` - UID (Linux):`4578` - AADID (Microsoft Entra ID):`9267d02c-5f76-40a9-a9eb-b686f3ca47aa` - OktaId: `00urjk4znu3BcncfY0h7` - AWSId: `72643944673` Sla het id-type op in het veld TargetUserIdType . Als er andere id's beschikbaar zijn, raden we u aan de veldnamen te normaliseren naar respectievelijk TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId en TargetUserAwsId. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: `S-1-12`
TargetUserIdType	Voorwaardelijke	Opgesomde	Het type id dat is opgeslagen in het veld TargetUserId . Ondersteunde waarden zijn `SID`, `UID`, `AADID`, `OktaId`en `AWSId`.
TargetUsername	Optioneel	Gebruikersnaam (tekenreeks)	De doelgebruikersnaam, inclusief domeingegevens indien beschikbaar. Gebruik een van de volgende indelingen en in de volgende volgorde van prioriteit: - Upn/Email:`johndow@contoso.com` - Windows: `Contoso\johndow` - DN: `CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM` - Eenvoudig: `johndow`. Gebruik het eenvoudige formulier alleen als er geen domeingegevens beschikbaar zijn. Sla het gebruikersnaamtype op in het veld TargetUsernameType . Als er andere id's beschikbaar zijn, raden we u aan de veldnamen te normaliseren naar TargetUserUpn, TargetUserWindows en TargetUserDn. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: `AlbertE`
TargetUsernameType	Voorwaardelijke	Opgesomde	Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld TargetUsername . Ondersteunde waarden zijn , `UPNWindows`, `DN`en `Simple`. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: `Windows`
TargetUserType	Optioneel	Opgesomde	Het type doelgebruiker. Ondersteunde waarden zijn onder andere: - `Regular` - `Machine` - `Admin` - `System` - `Application` - `Service Principal` - `Other` Opmerking: De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd naar deze waarden. Sla de oorspronkelijke waarde op in het veld TargetOriginalUserType .
TargetOriginalUserType	Optioneel	Tekenreeks	Het oorspronkelijke doelgebruikerstype, indien opgegeven door de bron.
TargetUserScope	Optioneel	Tekenreeks	Het bereik, zoals Microsoft Entra tenant, waarin TargetUserId en TargetUsername zijn gedefinieerd. of zie UserScope in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden.
TargetUserScopeId	Optioneel	Tekenreeks	De bereik-id, zoals Microsoft Entra Directory-id, waarin TargetUserId en TargetUsername zijn gedefinieerd. Zie UserScopeId in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden.
TargetUserSessionId	Optioneel	Tekenreeks	De unieke id van de aanmeldingssessie van de doelgebruiker. Voorbeeld: `999` Opmerking: Het type is gedefinieerd als tekenreeks voor ondersteuning van verschillende systemen, maar in Windows moet deze waarde numeriek zijn. Als u een Windows- of Linux-machine gebruikt en een ander type hebt gebruikt, moet u de waarden converteren. Als u bijvoorbeeld een hexadecimale waarde hebt gebruikt, converteert u deze naar een decimale waarde.

Actorvelden

Veld	Klasse	Type	Beschrijving
ActorUserId	Optioneel	Tekenreeks	Een machineleesbare, alfanumerieke, unieke weergave van de Actor. Ondersteunde indelingen en typen zijn onder andere: - SID (Windows): `S-1-5-21-1377283216-344919071-3415362939-500` - UID (Linux):`4578` - AADID (Microsoft Entra ID):`9267d02c-5f76-40a9-a9eb-b686f3ca47aa` - OktaId: `00urjk4znu3BcncfY0h7` - AWSId: `72643944673` Sla het id-type op in het veld ActorUserIdType . Als er andere id's beschikbaar zijn, raden we u aan de veldnamen te normaliseren naar respectievelijk ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId en ActorAwsId. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: S-1-12
ActorUserIdType	Voorwaardelijke	Opgesomde	Het type id dat is opgeslagen in het veld ActorUserId . Ondersteunde waarden zijn , `SIDUID`, `AADIDOktaId`, en `AWSId`.
ActorUsername	Verplicht	Gebruikersnaam (tekenreeks)	De actor-gebruikersnaam, inclusief domeingegevens, indien beschikbaar. Gebruik een van de volgende indelingen en in de volgende volgorde van prioriteit: - Upn/Email:`johndow@contoso.com` - Windows: `Contoso\johndow` - DN: `CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM` - Eenvoudig: `johndow`. Gebruik het eenvoudige formulier alleen als er geen domeingegevens beschikbaar zijn. Sla het type Gebruikersnaam op in het veld ActorUsernameType . Als er andere id's beschikbaar zijn, raden we u aan de veldnamen te normaliseren naar ActorUserUpn, ActorUserWindows en ActorUserDn. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: `AlbertE`
Gebruiker	Alias		Alias naar ActorUsername.
ActorUsernameType	Voorwaardelijke	Opgesomde	Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld ActorUsername . Ondersteunde waarden zijn `UPN`, `Windows`, `DN`en `Simple`. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: `Windows`
ActorUserType	Optioneel	Opgesomde	Het type actor. Toegestane waarden zijn: - `Regular` - `Machine` - `Admin` - `System` - `Application` - `Service Principal` - `Other` Opmerking: De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd naar deze waarden. Sla de oorspronkelijke waarde op in het veld ActorOriginalUserType .
ActorOriginalUserType	Optioneel	Tekenreeks	Het oorspronkelijke doelgebruikerstype, indien opgegeven door het rapportageapparaat.
ActorOriginalUserType			Het oorspronkelijke actorgebruikerstype, indien opgegeven door de bron.
ActorSessionId	Optioneel	Tekenreeks	De unieke id van de aanmeldingssessie van de Actor. Voorbeeld: `999` Opmerking: Het type is gedefinieerd als tekenreeks voor ondersteuning van verschillende systemen, maar in Windows moet deze waarde numeriek zijn. Als u een Windows-computer gebruikt en een ander type hebt gebruikt, moet u de waarden converteren. Als u bijvoorbeeld een hexadecimale waarde hebt gebruikt, converteert u deze naar een decimale waarde.
ActorScope	Optioneel	Tekenreeks	Het bereik, zoals Microsoft Entra tenant, waarin ActorUserId en ActorUsername zijn gedefinieerd. of zie UserScope in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden.
ActorScopeId	Optioneel	Tekenreeks	De bereik-id, zoals Microsoft Entra Directory-id, waarin ActorUserId en ActorUsername zijn gedefinieerd. of zie UserScopeId in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden.

Groepsvelden

Veld	Klasse	Type	Beschrijving
GroupId	Optioneel	Tekenreeks	Een machineleesbare, alfanumerieke, unieke weergave van de groep voor activiteiten waarbij een groep betrokken is. Ondersteunde indelingen en typen zijn onder andere: - SID (Windows): `S-1-5-21-1377283216-344919071-3415362939-500` - UID (Linux):`4578` Sla het id-type op in het veld GroupIdType . Als er andere id's beschikbaar zijn, raden we u aan de veldnamen te normaliseren naar respectievelijk GroupSid of GroupUid. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: `S-1-12`
GroupIdType	Optioneel	Opgesomde	Het type id dat is opgeslagen in het veld GroupId . Ondersteunde waarden zijn `SID`, en `UID`.
Groupname	Optioneel	Tekenreeks	De groepsnaam, inclusief domeingegevens indien beschikbaar, voor activiteiten waarbij een groep betrokken is. Gebruik een van de volgende indelingen en in de volgende volgorde van prioriteit: - Upn/Email:`grp@contoso.com` - Windows: `Contoso\grp` - DN: `CN=grp,OU=Sales,DC=Fabrikam,DC=COM` - Eenvoudig: `grp`. Gebruik het eenvoudige formulier alleen als er geen domeingegevens beschikbaar zijn. Sla het groepsnaamtype op in het veld GroupNameType . Als er andere id's beschikbaar zijn, raden we u aan de veldnamen te normaliseren naar GroupUpn, GroupNameWindows en GroupDn. Voorbeeld: `Contoso\Finance`
GroupNameType	Optioneel	Opgesomde	Hiermee geeft u het type van de groepsnaam op die is opgeslagen in het veld GroupName . Ondersteunde waarden zijn , `UPNWindows`, `DN`en `Simple`. Voorbeeld: `Windows`
GroupType	Optioneel	Opgesomde	Het type groep, voor activiteiten waarbij een groep betrokken is. Ondersteunde waarden zijn onder andere: - `Local Distribution` - `Local Security Enabled` - `Global Distribution` - `Global Security Enabled` - `Universal Distribution` - `Universal Security Enabled` - `Other` Opmerking: De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd naar deze waarden. Sla de oorspronkelijke waarde op in het veld GroupOriginalType .
GroupOriginalType	Optioneel	Tekenreeks	Het oorspronkelijke groepstype, indien opgegeven door de bron.

Bronvelden

Veld	Klasse	Type	Beschrijving
Src	Aanbevolen	Tekenreeks	Een unieke id van het bronapparaat. Dit veld kan de alias van de velden SrcDvcId, SrcHostname of SrcIpAddr zijn. Voorbeeld: `192.168.12.1`
SrcIpAddr	Aanbevolen	IP-adres	Het IP-adres van het bronapparaat. Deze waarde is verplicht als SrcHostname is opgegeven. Voorbeeld: `77.138.103.108`
Ipaddr	Alias		Alias naar SrcIpAddr.
SrcPortNumber	Optioneel	Geheel getal	De IP-poort van waaruit de verbinding afkomstig is. Is mogelijk niet relevant voor een sessie die uit meerdere verbindingen bestaat. Voorbeeld: `2335`
SrcMacAddr	Optioneel	MAC-adres (tekenreeks)	Het MAC-adres van de netwerkinterface waaruit de verbinding of sessie afkomstig is. Voorbeeld: `06:10:9f:eb:8f:14`
SrcDescription	Optioneel	Tekenreeks	Een beschrijvende tekst die is gekoppeld aan het apparaat. Bijvoorbeeld: `Primary Domain Controller`.
SrcHostname	Aanbevolen	Tekenreeks	De hostnaam van het bronapparaat, met uitzondering van domeingegevens. Voorbeeld: `DESKTOP-1282V4D`
SrcDomain	Aanbevolen	Domein (tekenreeks)	Het domein van het bronapparaat. Voorbeeld: `Contoso`
SrcDomainType	Aanbevolen	Opgesomde	Het type SrcDomain, indien bekend. Mogelijke waarden zijn: - `Windows` (zoals `contoso`) - `FQDN` (zoals `microsoft.com`) Vereist als SrcDomain wordt gebruikt.
SrcFQDN	Optioneel	FQDN (tekenreeks)	De hostnaam van het bronapparaat, inclusief domeingegevens indien beschikbaar. Opmerking: dit veld ondersteunt zowel de traditionele FQDN-indeling als de Windows-indeling domein\hostnaam. In het veld SrcDomainType wordt de gebruikte indeling weergegeven. Voorbeeld: `Contoso\DESKTOP-1282V4D`
SrcDvcId	Optioneel	Tekenreeks	De id van het bronapparaat zoals gerapporteerd in de record. Voorbeeld: `ac7e9755-8eae-4ffc-8a02-50ed7a2216c3`
SrcDvcScopeId	Optioneel	Tekenreeks	De bereik-id van het cloudplatform waartoe het apparaat behoort. SrcDvcScopeId wordt toegewezen aan een abonnements-id op Azure en aan een account-id op AWS.
SrcDvcScope	Optioneel	Tekenreeks	Het cloudplatformbereik waartoe het apparaat behoort. SrcDvcScope wordt toegewezen aan een abonnements-id op Azure en aan een account-id op AWS.
SrcDvcIdType	Voorwaardelijke	Opgesomde	Het type SrcDvcId, indien bekend. Mogelijke waarden zijn: - `AzureResourceId` - `MDEid` Als er meerdere id's beschikbaar zijn, gebruikt u de eerste uit de voorgaande lijst en slaat u de andere id's op in respectievelijk SrcDvcAzureResourceId en SrcDvcMDEid. Opmerking: dit veld is vereist als SrcDvcId wordt gebruikt.
SrcDeviceType	Optioneel	Opgesomde	Het type van het bronapparaat. Mogelijke waarden zijn: - `Computer` - `Mobile Device` - `IOT Device` - `Other`
SrcGeoCountry	Optioneel	Land	Het land/de regio die is gekoppeld aan het bron-IP-adres. Voorbeeld: `USA`
SrcGeoRegion	Optioneel	Regio	De regio die is gekoppeld aan het bron-IP-adres. Voorbeeld: `Vermont`
SrcGeoCity	Optioneel	Plaats	De plaats die is gekoppeld aan het bron-IP-adres. Voorbeeld: `Burlington`
SrcGeoLatitude	Optioneel	Latitude	De breedtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. Voorbeeld: `44.475833`
SrcGeoLongitude	Optioneel	Lengtegraad	De lengtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. Voorbeeld: `73.211944`
SrcRiskLevel	Optioneel	Geheel getal	Het risiconiveau dat aan de bron is gekoppeld. De waarde moet worden aangepast tot een bereik van `0` tot , met `0` voor goedaardig en `100` voor `100`een hoog risico. Voorbeeld: `90`
SrcOriginalRiskLevel	Optioneel	Tekenreeks	Het risiconiveau dat is gekoppeld aan de bron, zoals gerapporteerd door het rapportageapparaat. Voorbeeld: `Suspicious`

Actieve toepassing

Veld	Klasse	Type	Beschrijving
ActingAppId	Optioneel	Tekenreeks	De id van de toepassing die door de actor wordt gebruikt om de activiteit uit te voeren, inclusief een proces, browser of service. Bijvoorbeeld:`0x12ae8`
ActingAppName	Optioneel	Tekenreeks	De naam van de toepassing die door de actor wordt gebruikt om de activiteit uit te voeren, inclusief een proces, browser of service. Bijvoorbeeld:`C:\Windows\System32\svchost.exe`
ActingAppType	Optioneel	Opgesomde	Het type actieve toepassing. Ondersteunde waarden zijn onder andere: - `Process` - `Browser` - `Resource` - `Other`
ActingOriginalAppType	Optioneel	Tekenreeks	Het type toepassing dat de activiteit heeft geïnitieerd, zoals gerapporteerd door het rapportageapparaat.
HttpUserAgent	Optioneel	Tekenreeks	Wanneer verificatie wordt uitgevoerd via HTTP of HTTPS, is de waarde van dit veld de user_agent HTTP-header die door de actieve toepassing wordt opgegeven bij het uitvoeren van de verificatie. Bijvoorbeeld:`Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1`

Inspectievelden

De volgende velden worden gebruikt om die inspectie weer te geven die wordt uitgevoerd door een beveiligingssysteem zoals een EDR-systeem.

Veld	Klasse	Type	Beschrijving
RuleName	Optioneel	Tekenreeks	De naam of id van de regel die is gekoppeld aan de inspectieresultaten.
RuleNumber	Optioneel	Geheel getal	Het nummer van de regel die is gekoppeld aan de inspectieresultaten.
Regel	Voorwaardelijke	Tekenreeks	De waarde van kRuleName of de waarde van RuleNumber. Als de waarde van RuleNumber wordt gebruikt, moet het type worden geconverteerd naar tekenreeks.
ThreatId	Optioneel	Tekenreeks	De id van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit.
ThreatName	Optioneel	Tekenreeks	De naam van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit. Voorbeeld: `EICAR Test File`
ThreatCategory	Optioneel	Tekenreeks	De categorie van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit. Voorbeeld: `Trojan`
ThreatRiskLevel	Optioneel	RiskLevel (geheel getal)	Het risiconiveau dat is gekoppeld aan de geïdentificeerde bedreiging. Het niveau moet een getal tussen 0 en 100 zijn. Opmerking: de waarde kan worden opgegeven in de bronrecord met behulp van een andere schaal, die moet worden genormaliseerd naar deze schaal. De oorspronkelijke waarde moet worden opgeslagen in ThreatOriginalRiskLevel.
ThreatOriginalRiskLevel	Optioneel	Tekenreeks	Het risiconiveau zoals gerapporteerd door het rapportageapparaat.
ThreatField	Optioneel	Tekenreeks	Het veld waarvoor een bedreiging is geïdentificeerd.
ThreatConfidence	Optioneel	ConfidenceLevel (geheel getal)	Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd naar een waarde tussen 0 en een 100.
ThreatOriginalConfidence	Optioneel	Tekenreeks	Het oorspronkelijke betrouwbaarheidsniveau van de geïdentificeerde bedreiging, zoals gerapporteerd door het rapportageapparaat.
ThreatIsActive	Optioneel	Booleaanse waarde	Waar als de geïdentificeerde bedreiging wordt beschouwd als een actieve bedreiging.
ThreatFirstReportedTime	Optioneel	Datetime	De eerste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging.
ThreatLastReportedTime	Optioneel	Datetime	De laatste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging.

Aanvullende velden en aliassen

Veld	Klasse	Type	Beschrijving
Hostname	Alias		Alias naar DvcHostname.

Schema-updates

De wijzigingen in versie 0.1.2 van het schema zijn:

Inspectievelden toegevoegd.
De bronvelden SrcDescription, SrcMacAddr, SrcOriginalRiskLevel, SrcPortNumber, SrcRiskLevel, , toegevoegd
De doelvelden TargetUserScopezijn toegevoegd, , TargetUserScopeIdTargetUserSessionId
De actorvelden ActorOriginalUserTypezijn toegevoegd, , ActorScopeActorScopeId
Het veld voor de acterende toepassing toegevoegd ActingOriginalAppType

Volgende stappen

Zie voor meer informatie:

Feedback

Is deze pagina nuttig?

Last updated on 2026-04-23