Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Schéma ověřování Microsoft Sentinel slouží k popisu událostí souvisejících s ověřováním uživatelů, přihlášením a odhlášením. Události ověřování odesílají mnoho zařízení pro vytváření sestav, obvykle jako součást streamu událostí spolu s dalšími událostmi. Systém Windows například odesílá několik událostí ověřování spolu s dalšími událostmi aktivit operačního systému.
Události ověřování zahrnují události ze systémů, které se zaměřují na ověřování, jako jsou brány VPN gateway nebo řadiče domény, a přímé ověřování do koncového systému, jako je počítač nebo brána firewall.
Další informace o normalizaci v Microsoft Sentinel najdete v tématech Normalizace a Rozšířený model informací o zabezpečení (ASIM).
Analyzátory
Nasaďte analyzátory ověřování ASIM z úložiště Microsoft Sentinel GitHub. Další informace o analyzátorech ASIM najdete v článcích Přehled analyzátorů ASIM.
Sjednocující analyzátory
Pokud chcete použít analyzátory, které sjednotí všechny předpřipravené analyzátory ASIM a zajistí, aby vaše analýza běžela ve všech nakonfigurovaných zdrojích, použijte imAuthentication analyzátor filtrování nebo ASimAuthentication analyzátor bez parametrů.
Analyzátory specifické pro zdroje
Seznam analyzátorů ověřování, Microsoft Sentinel poskytuje, najdete v seznamu analyzátorů ASIM:
Přidání vlastních normalizovaných analyzátorů
Při implementaci vlastních analyzátorů pro model ověřovacích informací pojmenujte funkce KQL pomocí následující syntaxe:
-
vimAuthentication<vendor><Product>pro filtrovací analyzátory -
ASimAuthentication<vendor><Product>pro analyzátory bez parametrů
Informace o přidání vlastních analyzátorů do sjednocovacího analyzátoru najdete v tématu Správa analyzátorů ASIM.
Filtrování parametrů analyzátoru
Analyzátory im a vim* podporují parametry filtrování. I když jsou tyto analyzátory volitelné, můžou zvýšit výkon dotazů.
K dispozici jsou následující parametry filtrování:
| Name (Název) | Typ | Popis |
|---|---|---|
| Starttime | Datetime | Filtrovat pouze události ověřování, které se spustily v nebo po této době. Tento parametr filtruje TimeGenerated pole, které je standardním designem pro čas události, bez ohledu na mapování polí EventStartTime a EventEndTime specifické pro analyzátor. |
| Endtime | Datetime | Filtrovat pouze události ověřování, které se dokončily v nebo před tímto časem. Tento parametr filtruje TimeGenerated pole, které je standardním designem pro čas události, bez ohledu na mapování polí EventStartTime a EventEndTime specifické pro analyzátor. |
| targetusername_has | řetězec | Filtrovat pouze události ověřování, které mají některá z uvedených uživatelských jmen. |
Pokud například chcete filtrovat pouze události ověřování z posledního dne pro konkrétního uživatele, použijte:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Tip
Chcete-li předat seznam literálů parametrům, které očekávají dynamickou hodnotu, explicitně použijte dynamický literál. Příklad: dynamic(['192.168.','10.']).
Normalizovaný obsah
Analytická pravidla normalizovaného ověřování jsou jedinečná, protože detekují útoky napříč zdroji. Pokud se například uživatel přihlásil k různým nesouvisejícím systémům z různých zemí nebo oblastí, Microsoft Sentinel teď tuto hrozbu zjistí.
Úplný seznam analytických pravidel, která používají normalizované události ověřování, najdete v tématu Obsah zabezpečení schématu ověřování.
Přehled schématu
Model ověřovacích informací je v souladu se schématem přihlašovací entity OSSEM.
Pole uvedená v následující tabulce jsou specifická pro události ověřování, ale podobají se polím v jiných schématech a řídí se podobnými konvencemi vytváření názvů.
Události ověřování odkazují na následující entity:
- TargetUser – informace o uživateli použité k ověření v systému. TargetSystem je primárním předmětem události ověřování a alias uživatele aliasy uživatele identifikovaného cílového uživatele.
- TargetApp – aplikace ověřená pro.
- Target – systém, ve kterém je spuštěná aplikace TargetApp*.
- Actor – uživatel iniciující ověřování, pokud se liší od TargetUser.
- ActingApp – aplikace používaná objektem Actor k provedení ověřování.
- Src – systém používaný objektem Actor k zahájení ověřování.
Vztah mezi těmito entitami je nejlepší demonstrovat takto:
Objekt Actor, který spouští fungující aplikaci ActingApp ve zdrojovém systému Src, se pokusí ověřit jako targetUser pro cílovou aplikaci TargetApp v cílovém systému TargetDvc.
Podrobnosti schématu
V následujících tabulkách type odkazuje na logický typ. Další informace najdete v tématu Logické typy.
Běžná pole ASIM
Důležité
Pole společná pro všechna schémata jsou podrobně popsána v článku o společných polích ASIM .
Společná pole se specifickými pokyny
V následujícím seznamu jsou uvedena pole, která obsahují konkrétní pokyny pro události ověřování:
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| Eventtype | Povinné | Výčtové | Popisuje operaci hlášenou záznamem. Podporované hodnoty pro záznamy ověřování zahrnují: - Logon - Logoff- Elevate |
| EventResultDetails | Doporučené | Výčtové | Podrobnosti přidružené k výsledku události. Toto pole se obvykle vyplní, když výsledkem je selhání. Mezi povolené hodnoty patří: - No such user or password. Tato hodnota by se měla použít také v případě, že původní událost hlásí, že takový uživatel neexistuje, bez odkazu na heslo.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. Tato hodnota by se měla použít, když původní událost hlásí, například: vyžaduje se vícefaktorové ověřování, přihlášení mimo pracovní dobu, omezení podmíněného přístupu nebo příliš časté pokusy.- Session expired- OtherHodnota může být ve zdrojovém záznamu zadaná pomocí různých termínů, které by měly být normalizovány na tyto hodnoty. Původní hodnota by měla být uložená v poli EventOriginalResultDetails. |
| EventSubType | Nepovinný | Výčtové | Typ přihlášení. Mezi povolené hodnoty patří: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote – Použijte, když je typ vzdáleného přihlášení neznámý.- AssumeRole – Obvykle se používá, když je Elevatetyp události . Hodnota může být ve zdrojovém záznamu zadaná pomocí různých termínů, které by měly být normalizovány na tyto hodnoty. Původní hodnota by měla být uložena v poli EventOriginalSubType. |
| EventSchemaVersion | Povinné | SchemaVersion (řetězec) | Verze schématu. Verze zde popsaného schématu je 0.1.4 |
| EventSchema | Povinné | Výčtové | Název schématu popsaného tady je Ověřování. |
| Pole Dvc | - | - | V případě událostí ověřování pole zařízení odkazují na systém, který událost hlásí. |
Všechna společná pole
Pole, která se zobrazují v následující tabulce, jsou společná pro všechna schémata ASIM. Všechny výše uvedené pokyny přepisují obecné pokyny pro dané pole. Pole může být například volitelné obecně, ale povinné pro konkrétní schéma. Další podrobnosti o jednotlivých polích najdete v článku o společných polích ASIM .
| Třída | Pole |
|---|---|
| Povinné |
-
Počet událostí - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Doporučené |
-
EventResultDetails - EventSeverity - Id události - DvcIpAddr - Název hostitele Dvc - Doména dvc - DvcDomainType - DvcFQDN - DvcId - DvcIdType - Akce DvcAction |
| Nepovinný |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Vlastník událostí - DvcZone - DvcMacAddr - DvcO - DvcOsVersion - DvcOriginalAction - DvcInterface - Další pole - Popis dvcDescription - DvcScopeId - DvcScope |
Pole specifická pro ověřování
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| Přihlašovací metoda | Nepovinný | String | Metoda používaná k ověřování. Mezi povolené hodnoty patří: Managed Identity, Service Principal, Username & Password, PasswordlessMulti factor authentication, PKI, PAM, a Other. Příklady: Managed Identity |
| Přihlašovacíprotokol | Nepovinný | String | Protokol použitý k ověřování. Například: NTLM |
Pole objektu Actor
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| ActorUserId | Nepovinný | String | Strojově čitelná alfanumerická a jedinečná reprezentace objektu Actor. Další informace a alternativní pole pro další ID najdete v tématu Entita Uživatel. Například: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Nepovinný | String | Obor, například Microsoft Entra tenant, ve kterém jsou definovány ActorUserId a ActorUsername. další informace a seznam povolených hodnot najdete v tématu UserScope v článku Přehled schématu. |
| ActorScopeId | Nepovinný | String | ID oboru, například Microsoft Entra ID adresáře, ve kterém jsou definovány ActorUserId a ActorUsername. Další informace a seznam povolených hodnot najdete v tématu UserScopeId v článku Přehled schématu. |
| ActorUserIdType | Podmíněné | UserIdType | Typ ID uloženého v poli ActorUserId . Další informace a seznam povolených hodnot najdete v tématu UserIdType v článku Přehled schématu. |
| ActorUsername | Nepovinný | Uživatelské jméno (řetězec) | Uživatelské jméno objektu Actor, včetně informací o doméně, pokud jsou k dispozici. Další informace najdete v tématu Entita Uživatel. Například: AlbertE |
| ActorUsernameType | Podmíněné | Typ uživatelského jména | Určuje typ uživatelského jména uloženého v poli ActorUsername . Další informace a seznam povolených hodnot najdete v tématu UsernameType v článku Přehled schématu. Například: Windows |
| ActorUserType | Nepovinný | Typ uživatele | Typ objektu Actor. Další informace a seznam povolených hodnot najdete v tématu UserType v článku Přehled schématu. Například: Guest |
| ActorOriginalUserType | Nepovinný | String | Typ uživatele hlášený zařízením pro vytváření sestav. |
| ActorSessionId | Nepovinný | String | Jedinečné ID přihlašovací relace objektu Actor. Například: 102pTUgC3p8RIqHvzxLCHnFlg |
Pole fungující aplikace
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| ActingAppId | Nepovinný | String | ID aplikace autorizující jménem aktéra, včetně procesu, prohlížeče nebo služby. Například: 0x12ae8 |
| ActingAppName | Nepovinný | String | Název aplikace autorizující jménem aktéra, včetně procesu, prohlížeče nebo služby. Například: C:\Windows\System32\svchost.exe |
| ActingAppType | Nepovinný | Typ aplikace | Typ fungující aplikace. Další informace a seznam povolených hodnot najdete v tématu AppType v článku Přehled schématu. |
| ActingOriginalAppType | Nepovinný | String | Typ fungující aplikace hlášený zařízením pro vytváření sestav. |
| HttpUserAgent | Nepovinný | String | Pokud se ověřování provádí přes PROTOKOL HTTP nebo HTTPS, hodnota tohoto pole je user_agent hlavička HTTP, kterou při provádění ověřování poskytuje fungující aplikace. Například: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Pole cílového uživatele
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| Id cílového uživatele | Nepovinný | String | Strojově čitelná alfanumerická jedinečná reprezentace cílového uživatele. Další informace a alternativní pole pro další ID najdete v tématu Entita Uživatel. Například: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | Nepovinný | String | Obor, například Microsoft Entra tenant, ve kterém jsou definovány TargetUserId a TargetUsername. další informace a seznam povolených hodnot najdete v tématu UserScope v článku Přehled schématu. |
| TargetUserScopeId | Nepovinný | String | ID oboru, například Microsoft Entra ID adresáře, ve kterém jsou definovány TargetUserId a TargetUsername. Další informace a seznam povolených hodnot najdete v tématu UserScopeId v článku Přehled schématu. |
| TargetUserIdType | Podmíněné | UserIdType | Typ ID uživatele uloženého v poli TargetUserId Další informace a seznam povolených hodnot najdete v tématu UserIdType v článku Přehled schématu. Například: SID |
| TargetUsername | Nepovinný | Uživatelské jméno (řetězec) | Uživatelské jméno cílového uživatele, včetně informací o doméně, pokud jsou k dispozici. Další informace najdete v tématu Entita Uživatel. Například: MarieC |
| TargetUsernameType | Podmíněné | Typ uživatelského jména | Určuje typ uživatelského jména uloženého v poli TargetUsername . Další informace a seznam povolených hodnot najdete v tématu UsernameType v článku Přehled schématu. |
| TargetUserType | Nepovinný | Typ uživatele | Typ cílového uživatele. Další informace a seznam povolených hodnot najdete v tématu UserType v článku Přehled schématu. Například: Member |
| TargetSessionId | Nepovinný | String | Identifikátor relace přihlášení uživatele TargetUser na zdrojovém zařízení. |
| TargetOriginalUserType | Nepovinný | String | Typ uživatele hlášený zařízením pro vytváření sestav. |
| Uživatel | Alias | Uživatelské jméno (řetězec) | Alias pro TargetUsername nebo TargetUserId , pokud targetUsername není definován. Například: CONTOSO\dadmin |
Pole zdrojového systému
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| Src | Doporučené | String | Jedinečný identifikátor zdrojového zařízení. Toto pole může aliasovat pole SrcDvcId, SrcHostname nebo SrcIpAddr . Například: 192.168.12.1 |
| SrcDvcId | Nepovinný | String | ID zdrojového zařízení. Pokud je k dispozici více ID, použijte nejdůležitější id a ostatní uložte do polí SrcDvc<DvcIdType>.Například: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Nepovinný | String | ID oboru cloudové platformy, do které zařízení patří. SrcDvcScopeId se mapuje na ID předplatného na Azure a na ID účtu v AWS. |
| SrcDvcScope | Nepovinný | String | Rozsah cloudové platformy, do které zařízení patří. SrcDvcScope se mapuje na ID předplatného na Azure a na ID účtu v AWS. |
| SrcDvcIdType | Podmíněné | DvcIdType | Typ SrcDvcId. Seznam povolených hodnot a další informace najdete v tématu DvcIdType v článku Přehled schématu. Poznámka: Toto pole je povinné, pokud se používá SrcDvcId . |
| SrcDeviceType | Nepovinný | DeviceType | Typ zdrojového zařízení. Seznam povolených hodnot a další informace najdete v tématu DeviceType v článku Přehled schématu. |
| SrcHostname | Nepovinný | Název hostitele | Název hostitele zdrojového zařízení s výjimkou informací o doméně. Pokud není k dispozici žádný název zařízení, uložte příslušnou IP adresu do tohoto pole. Například: DESKTOP-1282V4D |
| SrcDomain | Nepovinný | Doména (řetězec) | Doména zdrojového zařízení. Například: Contoso |
| SrcDomainType | Podmíněné | Typ domény | Typ SrcDomain. Seznam povolených hodnot a další informace najdete v tématu DomainType v článku Přehled schématu. Vyžaduje se, pokud se používá doména SrcDomain . |
| SrcFQDN | Nepovinný | Plně kvalifikovaný název domény (řetězec) | Název hostitele zdrojového zařízení, včetně informací o doméně, pokud jsou k dispozici. Poznámka: Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát windows doména\název hostitele. Pole SrcDomainType odráží použitý formát. Například: Contoso\DESKTOP-1282V4D |
| Popis SrcDescription | Nepovinný | String | Popisný text přidružený k zařízení Příklad: Primary Domain Controller. |
| SrcIpAddr | Doporučené | IP adresa | IP adresa zdrojového zařízení. Například: 2.2.2.2 |
| SrcPortNumber | Nepovinný | Celé číslo | Port IP, ze kterého pochází připojení. Například: 2335 |
| SrcDvcOs | Nepovinný | String | Operační systém zdrojového zařízení. Například: Windows 10 |
| IpAddr | Alias | Alias pro SrcIpAddr | |
| SrcIsp | Nepovinný | String | Poskytovatel internetových služeb (ISP) používaný zdrojovým zařízením pro připojení k internetu. Například: corpconnect |
| SrcGeoCountry | Nepovinný | Země | Například: Canada Další informace najdete v tématu Logické typy. |
| SrcGeoCity | Nepovinný | Město | Například: Montreal Další informace najdete v tématu Logické typy. |
| Oblast SrcGeo | Nepovinný | Oblasti | Například: Quebec Další informace najdete v tématu Logické typy. |
| SrcGeoLongitude | Nepovinný | Délky | Například: -73.614830 Další informace najdete v tématu Logické typy. |
| SrcGeoLatitude | Nepovinný | Šířky | Například: 45.505918 Další informace najdete v tématu Logické typy. |
| SrcRiskLevel | Nepovinný | Celé číslo | Úroveň rizika přidružená ke zdroji. Hodnota by měla být upravena do rozsahu 0 do 100, s 0 neškodným a 100 vysokým rizikem.Například: 90 |
| SrcOriginalRiskLevel | Nepovinný | String | Úroveň rizika přidružená ke zdroji hlášená zařízením pro generování sestav. Například: Suspicious |
Cílová pole aplikace
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| TargetAppId | Nepovinný | String | ID aplikace, ke které se vyžaduje autorizace, často přiřazené zařízením pro vytváření sestav. Například: 89162 |
| TargetAppName | Nepovinný | String | Název aplikace, pro kterou se vyžaduje autorizace, včetně služby, adresy URL nebo aplikace SaaS. Například: Saleforce |
| Aplikace | Alias | Alias na TargetAppName. | |
| TargetAppType | Podmíněné | Typ aplikace | Typ aplikace autorizující jménem objektu Actor. Další informace a seznam povolených hodnot najdete v tématu AppType v článku Přehled schématu. |
| TargetOriginalAppType | Nepovinný | String | Typ aplikace, která se autorizuje jménem objektu Actor, jak je hlášeno zařízením pro vytváření sestav. |
| Cílová adresa | Nepovinný | URL | Adresa URL přidružená k cílové aplikaci. Například: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Alias | Alias pro TargetAppName, TargetUrl nebo TargetHostname, podle toho, které pole nejlépe popisuje cíl ověřování. |
Pole cílového systému
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| Dst | Alias | String | Jedinečný identifikátor cíle ověřování. Toto pole může aliasovat pole TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId nebo TargetAppName . Například: 192.168.12.1 |
| TargetHostname | Doporučené | Název hostitele | Název hostitele cílového zařízení s výjimkou informací o doméně. Například: DESKTOP-1282V4D |
| Cílová doména | Doporučené | Doména (řetězec) | Doména cílového zařízení. Například: Contoso |
| TargetDomainType | Podmíněné | Výčtové | Typ TargetDomain. Seznam povolených hodnot a další informace najdete v tématu DomainType v článku Přehled schématu. Vyžaduje se, pokud se používá targetDomain . |
| CílovýFQDN | Nepovinný | Plně kvalifikovaný název domény (řetězec) | Název hostitele cílového zařízení, včetně informací o doméně, pokud jsou k dispozici. Například: Contoso\DESKTOP-1282V4D Poznámka: Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát windows doména\název hostitele. TargetDomainType odráží použitý formát. |
| TargetDescription | Nepovinný | String | Popisný text přidružený k zařízení Příklad: Primary Domain Controller. |
| TargetDvcId | Nepovinný | String | ID cílového zařízení. Pokud je k dispozici více ID, použijte nejdůležitější id a ostatní uložte do polí TargetDvc<DvcIdType>. Například: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Nepovinný | String | ID oboru cloudové platformy, do které zařízení patří. TargetDvcScopeId se mapuje na ID předplatného na Azure a na ID účtu v AWS. |
| TargetDvcScope | Nepovinný | String | Rozsah cloudové platformy, do které zařízení patří. TargetDvcScope se mapuje na ID předplatného na Azure a na ID účtu v AWS. |
| TargetDvcIdType | Podmíněné | Výčtové | Typ TargetDvcId. Seznam povolených hodnot a další informace najdete v tématu DvcIdType v článku Přehled schématu. Vyžaduje se, pokud se používá TargetDeviceId . |
| TargetDeviceType | Nepovinný | Výčtové | Typ cílového zařízení. Seznam povolených hodnot a další informace najdete v tématu DeviceType v článku Přehled schématu. |
| TargetIpAddr | Nepovinný | IP adresa | IP adresa cílového zařízení. Například: 2.2.2.2 |
| Objekty targetDvcOs | Nepovinný | String | Operační systém cílového zařízení. Například: Windows 10 |
| TargetPortNumber | Nepovinný | Celé číslo | Port cílového zařízení. |
| TargetGeoCountry | Nepovinný | Země | Země nebo oblast přidružená k cílové IP adrese. Například: USA |
| TargetGeoRegion | Nepovinný | Oblasti | Oblast přidružená k cílové IP adrese. Například: Vermont |
| TargetGeoCity | Nepovinný | Město | Město přidružené k cílové IP adrese. Například: Burlington |
| TargetGeoLatitude | Nepovinný | Šířky | Zeměpisná šířka zeměpisné souřadnice přidružené k cílové IP adrese. Například: 44.475833 |
| TargetGeoLongitude | Nepovinný | Délky | Zeměpisná délka zeměpisné souřadnice přidružené k cílové IP adrese. Například: 73.211944 |
| TargetRiskLevel | Nepovinný | Celé číslo | Úroveň rizika přidružená k cíli. Hodnota by měla být upravena do rozsahu 0 do 100, s 0 neškodným a 100 vysokým rizikem.Například: 90 |
| TargetOriginalRiskLevel | Nepovinný | String | Úroveň rizika přidružená k cíli hlášená zařízením pro generování sestav. Například: Suspicious |
Pole kontroly
Následující pole se používají k reprezentaci kontroly provedené systémem zabezpečení.
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| Název pravidla | Nepovinný | String | Název nebo ID pravidla přidruženého k výsledkům kontroly. |
| Číslo pravidla | Nepovinný | Celé číslo | Číslo pravidla přidruženého k výsledkům kontroly. |
| Pravidlo | Alias | String | Buď hodnotu RuleName , nebo hodnotu RuleNumber. Pokud je použita hodnota RuleNumber , typ by měl být převeden na řetězec. |
| ThreatId | Nepovinný | String | ID hrozby nebo malwaru zjištěného v aktivitě auditu. |
| ThreatName | Nepovinný | String | Název hrozby nebo malwaru zjištěného v aktivitě auditu. |
| ThreatCategory | Nepovinný | String | Kategorie hrozby nebo malwaru identifikované v aktivitě souboru auditu |
| ThreatRiskLevel | Nepovinný | RiskLevel (integer) | Úroveň rizika související s identifikovanou hrozbou. Úroveň by měla být číslo mezi 0 a 100. Poznámka: Hodnota může být ve zdrojovém záznamu poskytována pomocí jiného měřítka, které by mělo být normalizováno na toto měřítko. Původní hodnota by měla být uložena v ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Nepovinný | String | Úroveň rizika hlášená zařízením pro hlášení. |
| ThreatConfidence | Nepovinný | ConfidenceLevel (integer) | Úroveň spolehlivosti identifikované hrozby normalizovaná na hodnotu mezi 0 a 100. |
| ThreatOriginalConfidence | Nepovinný | String | Původní úroveň spolehlivosti zjištěné hrozby hlášená zařízením pro hlášení. |
| ThreatIsActive | Nepovinný | Boolean | Hodnota True, pokud je identifikovaná hrozba považována za aktivní hrozbu. |
| ThreatFirstReportedTime | Nepovinný | Datetime | První identifikace IP adresy nebo domény jako hrozby. |
| ThreatLastReportedTime | Nepovinný | Datetime | Čas, kdy byla IP adresa nebo doména naposledy identifikovány jako hrozba. |
| ThreatIpAddr | Nepovinný | IP adresa | IP adresa, pro kterou byla zjištěna hrozba. Pole ThreatField obsahuje název pole ThreatIpAddr představuje. |
| ThreatField | Podmíněné | Výčtové | Pole, pro které byla zjištěna hrozba. Hodnota je buď SrcIpAddr nebo TargetIpAddr. |
Aktualizace schématu
Toto jsou změny ve verzi 0.1.1 schématu:
- Aktualizovali jsme pole entit uživatelů a zařízení tak, aby odpovídala ostatním schématům.
- Přejmenováno
TargetDvcaSrcDvcnaTargetaSrcv souladu s aktuálními pokyny PRO ASIM. Přejmenovaná pole budou implementována jako aliasy až do 1. července 2022. Mezi tato pole patří:SrcDvcHostname,SrcDvcHostnameType,SrcDvcType,SrcDvcIpAddr,TargetDvcHostnameTypeTargetDvcHostname,TargetDvcType,TargetDvcIpAddr, aTargetDvc. - Přidání aliasů
SrcaDst. - Přidání polí
SrcDvcIdType,SrcDeviceType,TargetDvcIdTypeaTargetDeviceTypeaEventSchema.
Toto jsou změny ve verzi 0.1.2 schématu:
- Přidání polí
ActorScope,TargetUserScope, ,SrcDvcScopeId,SrcDvcScopeTargetDvcScopeId,TargetDvcScope, ,DvcScopeIdaDvcScope.
Toto jsou změny ve verzi 0.1.3 schématu:
- Přidání polí
SrcPortNumber, , ,ActorScopeIdTargetOriginalUserType,TargetUserScopeId,SrcDescription,SrcRiskLevel, ,SrcOriginalRiskLevelaTargetDescription.ActorOriginalUserType - Přidání polí kontroly
- Přidání polí geografického umístění cílového systému
Toto jsou změny ve verzi 0.1.4 schématu:
- Přidání polí
ActingOriginalAppTypeaTargetOriginalAppType. - Přidání aliasu
Application
Další kroky
Další informace najdete tady: