Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Schemat för Microsoft Sentinel-autentisering används för att beskriva händelser som rör användarautentisering, inloggning och utloggning. Autentiseringshändelser skickas av många rapporteringsenheter, vanligtvis som en del av händelseströmmen tillsammans med andra händelser. Windows skickar till exempel flera autentiseringshändelser tillsammans med andra os-aktivitetshändelser.
Autentiseringshändelser omfattar både händelser från system som fokuserar på autentisering, till exempel VPN-gatewayer eller domänkontrollanter, och direktautentisering till ett slutsystem, till exempel en dator eller brandvägg.
Mer information om normalisering i Microsoft Sentinel finns i Normalisering och ASIM (Advanced Security Information Model).
Tolkar
Distribuera ASIM-autentiseringsparsers från Microsoft Sentinel GitHub-lagringsplats. Mer information om ASIM-parsers finns i artiklarna översikt över ASIM-parsare.
Förena parsrar
Om du vill använda parsers som förenar alla ASIM-parsers och ser till att analysen körs över alla konfigurerade källor använder imAuthentication du filtreringsparsern eller parsern ASimAuthentication utan parameter.
Källspecifika parsers
Listan över autentiseringsparsers Microsoft Sentinel innehåller finns i ASIM-parsningslistan:
Lägg till dina egna normaliserade parsers
När du implementerar anpassade parsers för autentiseringsinformationsmodellen namnger du dina KQL-funktioner med hjälp av följande syntax:
-
vimAuthentication<vendor><Product>för filtrering av parsers -
ASimAuthentication<vendor><Product>för parameterlösa parsers
Information om hur du lägger till dina anpassade parsers i den enande parsern finns i Hantera ASIM-parsers.
Filtrera parserparametrar
Parsarna im och vim* stöder filtreringsparametrar. Även om dessa parsers är valfria kan de förbättra dina frågeprestanda.
Följande filtreringsparametrar är tillgängliga:
| Namn | Typ | Beskrivning |
|---|---|---|
| Starttime | Datetime | Filtrera endast autentiseringshändelser som kördes vid eller efter den här tiden. Den här parametern filtrerar fältet TimeGenerated , som är standarddesignatorn för tidpunkten för händelsen, oavsett parserspecifik mappning av fälten EventStartTime och EventEndTime. |
| Endtime | Datetime | Filtrera endast autentiseringshändelser som har körts vid eller före den här tiden. Den här parametern filtrerar fältet TimeGenerated , som är standarddesignatorn för tidpunkten för händelsen, oavsett parserspecifik mappning av fälten EventStartTime och EventEndTime. |
| targetusername_has | sträng | Filtrera endast autentiseringshändelser som har något av de angivna användarnamnen. |
Om du till exempel bara vill filtrera autentiseringshändelser från den senaste dagen till en viss användare använder du:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Tips
Om du vill skicka en literallista till parametrar som förväntar sig ett dynamiskt värde använder du uttryckligen en dynamisk literal. Till exempel: dynamic(['192.168.','10.']).
Normaliserat innehåll
Normaliserade analysregler för autentisering är unika eftersom de identifierar attacker mellan källor. Om en användare till exempel är inloggad i olika, orelaterade system, från olika länder/regioner, kommer Microsoft Sentinel nu att identifiera det här hotet.
En fullständig lista över analysregler som använder normaliserade autentiseringshändelser finns i Säkerhetsinnehåll för autentiseringsschema.
Schemaöversikt
Autentiseringsinformationsmodellen är anpassad till OSSEM-inloggningsentitetsschemat.
Fälten som anges i tabellen nedan är specifika för autentiseringshändelser, men liknar fält i andra scheman och följer liknande namngivningskonventioner.
Autentiseringshändelser refererar till följande entiteter:
- TargetUser – Den användarinformation som används för att autentisera till systemet. TargetSystem är det primära ämnet för autentiseringshändelsen och aliaset Användaralias som en TargetUser har identifierat.
- TargetApp – programmet som autentiserats till.
- Target – det system där TargetApp* körs.
- Aktör – Användaren som initierar autentiseringen, om den skiljer sig från TargetUser.
- ActingApp – det program som används av aktören för att utföra autentiseringen.
- Src – det system som används av aktören för att initiera autentiseringen.
Relationen mellan dessa entiteter visas bäst på följande sätt:
En aktör som kör ett tillförordnadt program, ActingApp, på ett källsystem, Src, försöker autentisera som en TargetUser till ett målprogram, TargetApp, på ett målsystem, TargetDvc.
Schemainformation
I följande tabeller refererar Type till en logisk typ. Mer information finns i Logiska typer.
Vanliga ASIM-fält
Viktigt
Fält som är gemensamma för alla scheman beskrivs i detalj i artikeln vanliga ASIM-fält .
Vanliga fält med specifika riktlinjer
I följande lista nämns fält som har specifika riktlinjer för autentiseringshändelser:
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| EventType | Obligatorisk | Uppräknade | Beskriver åtgärden som rapporterats av posten. För autentiseringsposter är följande värden som stöds: - Logon - Logoff- Elevate |
| EventResultDetails | Rekommenderas | Uppräknade | Den information som är associerad med händelseresultatet. Det här fältet fylls vanligtvis i när resultatet är ett fel. Tillåtna värden är: - No such user or password. Det här värdet bör också användas när den ursprungliga händelsen rapporterar att det inte finns någon sådan användare, utan hänvisning till ett lösenord.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. Det här värdet ska användas när den ursprungliga händelsen rapporterar, till exempel: MFA krävs, loggar in utanför arbetstid, begränsningar för villkorlig åtkomst eller för ofta förekommande försök.- Session expired- OtherVärdet kan anges i källposten med olika termer, som ska normaliseras till dessa värden. Det ursprungliga värdet ska lagras i fältet EventOriginalResultDetails |
| EventSubType | Valfritt | Uppräknade | Inloggningstypen. Tillåtna värden är: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote – Används när typen av fjärrinloggning är okänd.- AssumeRole – Används vanligtvis när händelsetypen är Elevate. Värdet kan anges i källposten med olika termer, som ska normaliseras till dessa värden. Det ursprungliga värdet ska lagras i fältet EventOriginalSubType. |
| EventSchemaVersion | Obligatorisk | SchemaVersion (sträng) | Versionen av schemat. Den version av schemat som dokumenteras här är 0.1.4 |
| EventSchema | Obligatorisk | Uppräknade | Namnet på schemat som dokumenteras här är Autentisering. |
| Dvc-fält | - | - | För autentiseringshändelser refererar enhetsfälten till systemet som rapporterar händelsen. |
Alla vanliga fält
Fält som visas i tabellen nedan är gemensamma för alla ASIM-scheman. Eventuella riktlinjer som anges ovan åsidosätter de allmänna riktlinjerna för fältet. Ett fält kan till exempel vara valfritt i allmänhet, men obligatoriskt för ett visst schema. Mer information om varje fält finns i artikeln vanliga ASIM-fält .
| Klass | Fält |
|---|---|
| Obligatorisk |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Rekommenderas |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valfritt |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Autentiseringsspecifika fält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| LogonMethod | Valfritt | Sträng | Den metod som används för att utföra autentisering. Tillåtna värden är: Managed Identity, Service Principal, Username & Password, Multi factor authentication, Passwordless, PKI, PAMoch Other. Exempel: Managed Identity |
| LogonProtocol | Valfritt | Sträng | Det protokoll som används för att utföra autentisering. Exempel: NTLM |
Aktörsfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| ActorUserId | Valfritt | Sträng | En maskinläsbar, alfanumerisk, unik representation av aktören. Mer information och alternativa fält för ytterligare ID:n finns i Entiteten Användare. Exempel: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Valfritt | Sträng | Omfånget, till exempel Microsoft Entra klientorganisation, där ActorUserId och ActorUsername definieras. eller mer information och lista över tillåtna värden finns i UserScope i artikeln Schemaöversikt. |
| ActorScopeId | Valfritt | Sträng | Omfångs-ID, till exempel Microsoft Entra katalog-ID, där ActorUserId och ActorUsername definieras. Mer information och lista över tillåtna värden finns i UserScopeId i artikeln Schemaöversikt. |
| ActorUserIdType | Villkorsstyrd | UserIdType | Typen av ID som lagras i fältet ActorUserId . Mer information och lista över tillåtna värden finns i UserIdType i artikeln Schemaöversikt. |
| ActorUsername | Valfritt | Användarnamn (sträng) | Aktörens användarnamn, inklusive domäninformation när det är tillgängligt. Mer information finns i Användarentiteten. Exempel: AlbertE |
| ActorUsernameType | Villkorsstyrd | UsernameType | Anger typen av användarnamn som lagras i fältet ActorUsername . Mer information och lista över tillåtna värden finns i UsernameType i artikeln Schemaöversikt. Exempel: Windows |
| ActorUserType | Valfritt | UserType | Typen av aktör. Mer information och lista över tillåtna värden finns i UserType i artikeln Schemaöversikt. Till exempel: Guest |
| ActorOriginalUserType | Valfritt | Sträng | Användartypen som rapporteras av rapporteringsenheten. |
| ActorSessionId | Valfritt | Sträng | Det unika ID:t för inloggningssessionen för aktören. Exempel: 102pTUgC3p8RIqHvzxLCHnFlg |
Fält för agerar program
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| ActingAppId | Valfritt | Sträng | ID:t för programmet som auktoriserar åt aktören, inklusive en process, webbläsare eller tjänst. Till exempel: 0x12ae8 |
| ActingAppName | Valfritt | Sträng | Namnet på programmet som auktoriseras för aktörens räkning, inklusive en process, webbläsare eller tjänst. Till exempel: C:\Windows\System32\svchost.exe |
| ActingAppType | Valfritt | AppType | Typ av verkande program. Mer information och lista över tillåtna värden finns i AppType i artikeln Schemaöversikt. |
| ActingOriginalAppType | Valfritt | Sträng | Den typ av det tillförordnade programmet som rapporteras av rapporteringsenheten. |
| HttpUserAgent | Valfritt | Sträng | När autentisering utförs via HTTP eller HTTPS är det här fältets värde det user_agent HTTP-huvudet som tillhandahålls av det tillförordnade programmet när autentiseringen utförs. Till exempel: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Målanvändarfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| TargetUserId | Valfritt | Sträng | En maskinläsbar, alfanumerisk och unik representation av målanvändaren. Mer information och alternativa fält för ytterligare ID:n finns i Entiteten Användare. Exempel: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | Valfritt | Sträng | Omfånget, till exempel Microsoft Entra klientorganisation, där TargetUserId och TargetUsername definieras. eller mer information och lista över tillåtna värden finns i UserScope i artikeln Schemaöversikt. |
| TargetUserScopeId | Valfritt | Sträng | Omfångs-ID, till exempel Microsoft Entra katalog-ID, där TargetUserId och TargetUsername definieras. Mer information och lista över tillåtna värden finns i UserScopeId i artikeln Schemaöversikt. |
| TargetUserIdType | Villkorsstyrd | UserIdType | Typen av användar-ID som lagras i fältet TargetUserId . Mer information och lista över tillåtna värden finns i UserIdType i artikeln Schemaöversikt. Exempel: SID |
| TargetUsername | Valfritt | Användarnamn (sträng) | Målanvändarens användarnamn, inklusive domäninformation när det är tillgängligt. Mer information finns i Användarentiteten. Exempel: MarieC |
| TargetUsernameType | Villkorsstyrd | UsernameType | Anger typen av användarnamn som lagras i fältet TargetUsername . Mer information och lista över tillåtna värden finns i UsernameType i artikeln Schemaöversikt. |
| TargetUserType | Valfritt | UserType | Typ av målanvändare. Mer information och lista över tillåtna värden finns i UserType i artikeln Schemaöversikt. Till exempel: Member |
| TargetSessionId | Valfritt | Sträng | Inloggningssessionsidentifieraren för TargetUser på källenheten. |
| TargetOriginalUserType | Valfritt | Sträng | Användartypen som rapporteras av rapporteringsenheten. |
| Användare | Alias | Användarnamn (sträng) | Alias för TargetUsername eller TargetUserId om TargetUsername inte har definierats. Exempel: CONTOSO\dadmin |
Källsystemfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Src | Rekommenderas | Sträng | En unik identifierare för källenheten. Det här fältet kan vara alias för fälten SrcDvcId, SrcHostname eller SrcIpAddr . Exempel: 192.168.12.1 |
| SrcDvcId | Valfritt | Sträng | Källenhetens ID. Om flera ID:t är tillgängliga använder du det viktigaste och lagrar de andra i fälten SrcDvc<DvcIdType>.Exempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Valfritt | Sträng | Molnplattformens omfångs-ID som enheten tillhör. SrcDvcScopeId mappas till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
| SrcDvcScope | Valfritt | Sträng | Molnplattformsomfånget som enheten tillhör. SrcDvcScope mappar till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
| SrcDvcIdType | Villkorsstyrd | DvcIdType | Typ av SrcDvcId. En lista över tillåtna värden och ytterligare information finns i DvcIdType i artikeln Schemaöversikt. Obs! Det här fältet krävs om SrcDvcId används. |
| SrcDeviceType | Valfritt | DeviceType | Typ av källenhet. En lista över tillåtna värden och ytterligare information finns i DeviceType i artikeln Schemaöversikt. |
| SrcHostname | Valfritt | Hostname | Källenhetens värdnamn, exklusive domäninformation. Om inget enhetsnamn är tillgängligt lagrar du relevant IP-adress i det här fältet. Exempel: DESKTOP-1282V4D |
| SrcDomain | Valfritt | Domän (sträng) | Källenhetens domän. Exempel: Contoso |
| SrcDomainType | Villkorsstyrd | DomainType | Typ av SrcDomain. En lista över tillåtna värden och ytterligare information finns i DomainType i artikeln Schemaöversikt. Krävs om SrcDomain används. |
| SrcFQDN | Valfritt | FQDN (sträng) | Källenhetens värdnamn, inklusive domäninformation när det är tillgängligt. Obs! Det här fältet stöder både traditionellt FQDN-format och Windows-domän\värddatornamnformat. Fältet SrcDomainType återspeglar det format som används. Exempel: Contoso\DESKTOP-1282V4D |
| SrcDescription | Valfritt | Sträng | En beskrivande text som är associerad med enheten. Till exempel: Primary Domain Controller. |
| SrcIpAddr | Rekommenderas | IP-adress | Källenhetens IP-adress. Exempel: 2.2.2.2 |
| SrcPortNumber | Valfritt | Heltal | IP-porten som anslutningen kommer från. Exempel: 2335 |
| SrcDvcOs | Valfritt | Sträng | Källenhetens operativsystem. Exempel: Windows 10 |
| IpAddr | Alias | Alias till SrcIpAddr | |
| SrcIsp | Valfritt | Sträng | Internetleverantören (ISP) som används av källenheten för att ansluta till Internet. Exempel: corpconnect |
| SrcGeoCountry | Valfritt | Land | Exempel: Canada Mer information finns i Logiska typer. |
| SrcGeoCity | Valfritt | Ort | Exempel: Montreal Mer information finns i Logiska typer. |
| SrcGeoRegion | Valfritt | Region | Exempel: Quebec Mer information finns i Logiska typer. |
| SrcGeoLongitude | Valfritt | Longitud | Exempel: -73.614830 Mer information finns i Logiska typer. |
| SrcGeoLatitude | Valfritt | Latitude | Exempel: 45.505918 Mer information finns i Logiska typer. |
| SrcRiskLevel | Valfritt | Heltal | Den risknivå som är associerad med källan. Värdet ska justeras till ett intervall på 0 till , med 0 för godartad och 100100för hög risk.Exempel: 90 |
| SrcOriginalRiskLevel | Valfritt | Sträng | Den risknivå som är associerad med källan, enligt rapporteringsenhetens rapporter. Exempel: Suspicious |
Målprogramfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| TargetAppId | Valfritt | Sträng | ID:t för det program som auktoriseringen krävs till, som ofta tilldelas av rapporteringsenheten. Exempel: 89162 |
| TargetAppName | Valfritt | Sträng | Namnet på det program som auktoriseringen krävs för, inklusive en tjänst, en URL eller ett SaaS-program. Exempel: Saleforce |
| Program | Alias | Alias för TargetAppName. | |
| TargetAppType | Villkorsstyrd | AppType | Typen av program som auktoriserar för aktörens räkning. Mer information och lista över tillåtna värden finns i AppType i artikeln Schemaöversikt. |
| TargetOriginalAppType | Valfritt | Sträng | Den typ av program som auktoriseras för aktörens räkning som rapporteras av rapporteringsenheten. |
| TargetUrl | Valfritt | URL | Den URL som är associerad med målprogrammet. Exempel: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| InloggningMål | Alias | Alias för antingen TargetAppName, TargetUrl eller TargetHostname, beroende på vilket fält som bäst beskriver autentiseringsmålet. |
Målsystemfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Dst | Alias | Sträng | En unik identifierare för autentiseringsmålet. Det här fältet kan vara alias för fälten TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId eller TargetAppName . Exempel: 192.168.12.1 |
| TargetHostname | Rekommenderas | Hostname | Målenhetens värdnamn, exklusive domäninformation. Exempel: DESKTOP-1282V4D |
| TargetDomain | Rekommenderas | Domän (sträng) | Målenhetens domän. Exempel: Contoso |
| TargetDomainType | Villkorsstyrd | Uppräknade | Typ av TargetDomain. En lista över tillåtna värden och ytterligare information finns i DomainType i artikeln Schemaöversikt. Krävs om TargetDomain används. |
| TargetFQDN | Valfritt | FQDN (sträng) | Målenhetens värdnamn, inklusive domäninformation när det är tillgängligt. Exempel: Contoso\DESKTOP-1282V4D Obs! Det här fältet stöder både traditionellt FQDN-format och Windows-domän\värddatornamnformat. TargetDomainType återspeglar det format som används. |
| TargetDescription | Valfritt | Sträng | En beskrivande text som är associerad med enheten. Till exempel: Primary Domain Controller. |
| TargetDvcId | Valfritt | Sträng | Målenhetens ID. Om flera ID:t är tillgängliga använder du det viktigaste och lagrar de andra i fälten TargetDvc<DvcIdType>. Exempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Valfritt | Sträng | Molnplattformens omfångs-ID som enheten tillhör. TargetDvcScopeId mappar till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
| TargetDvcScope | Valfritt | Sträng | Molnplattformsomfånget som enheten tillhör. TargetDvcScope mappar till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
| TargetDvcIdType | Villkorsstyrd | Uppräknade | Typ av TargetDvcId. En lista över tillåtna värden och ytterligare information finns i DvcIdType i artikeln Schemaöversikt. Krävs om TargetDeviceId används. |
| TargetDeviceType | Valfritt | Uppräknade | Typ av målenhet. En lista över tillåtna värden och ytterligare information finns i DeviceType i artikeln Schemaöversikt. |
| TargetIpAddr | Valfritt | IP-adress | MÅLenhetens IP-adress. Exempel: 2.2.2.2 |
| TargetDvcOs | Valfritt | Sträng | Målenhetens operativsystem. Exempel: Windows 10 |
| TargetPortNumber | Valfritt | Heltal | Målenhetens port. |
| TargetGeoCountry | Valfritt | Land | Det land/den region som är associerad med mål-IP-adressen. Exempel: USA |
| TargetGeoRegion | Valfritt | Region | Den region som är associerad med mål-IP-adressen. Exempel: Vermont |
| TargetGeoCity | Valfritt | Ort | Den stad som är associerad med målets IP-adress. Exempel: Burlington |
| TargetGeoLatitude | Valfritt | Latitude | Latitud för den geografiska koordinat som är associerad med målets IP-adress. Exempel: 44.475833 |
| TargetGeoLongitude | Valfritt | Longitud | Longitud för den geografiska koordinat som är associerad med mål-IP-adressen. Exempel: 73.211944 |
| TargetRiskLevel | Valfritt | Heltal | Den risknivå som är associerad med målet. Värdet ska justeras till ett intervall på 0 till , med 0 för godartad och 100100för hög risk.Exempel: 90 |
| TargetOriginalRiskLevel | Valfritt | Sträng | Den risknivå som är associerad med målet, enligt rapporteringsenhetens rapporter. Exempel: Suspicious |
Kontrollfält
Följande fält används för att representera inspektionen som utförs av ett säkerhetssystem.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| RuleName | Valfritt | Sträng | Namnet eller ID:t för regeln som associeras med inspektionsresultaten. |
| RuleNumber | Valfritt | Heltal | Numret på regeln som är associerad med inspektionsresultaten. |
| Regel | Alias | Sträng | Antingen värdet för RuleName eller värdet för RuleNumber. Om värdet för RuleNumber används ska typen konverteras till sträng. |
| ThreatId | Valfritt | Sträng | ID:t för det hot eller den skadliga kod som identifieras i granskningsaktiviteten. |
| ThreatName | Valfritt | Sträng | Namnet på det hot eller den skadliga kod som identifieras i granskningsaktiviteten. |
| ThreatCategory | Valfritt | Sträng | Kategorin för det hot eller den skadliga kod som identifieras i granskningsfilens aktivitet. |
| ThreatRiskLevel | Valfritt | RiskLevel (heltal) | Den risknivå som är associerad med det identifierade hotet. Nivån ska vara ett tal mellan 0 och 100. Obs! Värdet kan anges i källposten med hjälp av en annan skala, som ska normaliseras till den här skalan. Det ursprungliga värdet ska lagras i ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Valfritt | Sträng | Risknivån som rapporteras av rapporteringsenheten. |
| ThreatConfidence | Valfritt | ConfidenceLevel (heltal) | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatOriginalConfidence | Valfritt | Sträng | Den ursprungliga konfidensnivån för det identifierade hotet, enligt rapporteringsenhetens rapporter. |
| ThreatIsActive | Valfritt | Boolesk | Sant om det identifierade hotet anses vara ett aktivt hot. |
| ThreatFirstReportedTime | Valfritt | Datetime | Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatLastReportedTime | Valfritt | Datetime | Senaste gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatIpAddr | Valfritt | IP-adress | En IP-adress för vilken ett hot har identifierats. Fältet ThreatField innehåller namnet på fältet ThreatIpAddr representerar. |
| ThreatField | Villkorsstyrd | Uppräknade | Det fält för vilket ett hot identifierades. Värdet är antingen SrcIpAddr eller TargetIpAddr. |
Schemauppdateringar
Det här är ändringarna i version 0.1.1 av schemat:
- Användar- och enhetsentitetsfält har uppdaterats så att de överensstämmer med andra scheman.
- Har bytt
TargetDvcnamn ochSrcDvctillTargetrespektiveSrcför att överensstämma med aktuella ASIM-riktlinjer. De omdöpta fälten implementeras som alias fram till den 1 juli 2022. Dessa fält omfattar:SrcDvcHostname,SrcDvcHostnameType,SrcDvcType,SrcDvcIpAddr,TargetDvcHostname,TargetDvcHostnameType,TargetDvcType,TargetDvcIpAddrochTargetDvc. - Aliasen och
Dsthar lagtsSrctill. - Fälten ,
SrcDeviceType,TargetDvcIdTypeochTargetDeviceType, och harEventSchemalagtsSrcDvcIdTypetill.
Det här är ändringarna i version 0.1.2 av schemat:
- Fälten , , , , , ,
TargetDvcScopeochDvcScopeIdDvcScopehar lagtsActorScopetill.TargetDvcScopeIdSrcDvcScopeSrcDvcScopeIdTargetUserScope
Det här är ändringarna i version 0.1.3 av schemat:
- Fälten , , , , , ,
SrcDescription,SrcRiskLevel,SrcOriginalRiskLevelochTargetDescriptionhar lagtsSrcPortNumbertill.TargetUserScopeIdTargetOriginalUserTypeActorScopeIdActorOriginalUserType - Kontrollfält har lagts till
- Målsystemets geoplatsfält har lagts till.
Det här är ändringarna i version 0.1.4 av schemat:
- Fälten och
TargetOriginalAppTypehar lagts tillActingOriginalAppType. - Aliaset har lagts till
Application.
Nästa steg
Mer information finns i: