Referenční informace o schématu normalizace ověřování Advanced Security Information Model (ASIM) (Public Preview)
Schéma ověřování Služby Microsoft Sentinel slouží k popisu událostí souvisejících s ověřováním uživatelů, přihlášením a odhlášením. Události ověřování se odesílají mnoha nahlašovaných zařízení, obvykle jako součást datového proudu událostí spolu s dalšími událostmi. Například Systém Windows odesílá několik událostí ověřování spolu s dalšími událostmi aktivit operačního systému.
Události ověřování zahrnují obě události ze systémů, které se zaměřují na ověřování, jako jsou brány VPN nebo řadiče domény, a přímé ověřování do koncového systému, jako je počítač nebo brána firewall.
Další informace o normalizaci v Microsoft Sentinelu naleznete v tématu Normalizace a Advanced Security Information Model (ASIM).
Důležité
Schéma normalizace ověřování je aktuálně ve verzi PREVIEW. Tato funkce je poskytována bez smlouvy o úrovni služeb a nedoporučuje se pro produkční úlohy.
Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Analyzátory
Nasaďte analyzátory ověřování ASIM z úložiště Microsoft Sentinel Na GitHubu. Další informace o analyzátorech ASIM najdete v článcích s přehledem analyzátorů ASIM.
Sjednocení analyzátorů
Pokud chcete použít analyzátory, které sjednocují všechny předdefinované analyzátory ASIM a zajišťují, aby se analýza spouštěla ve všech nakonfigurovaných zdrojích, použijte imAuthentication analyzátor filtrování nebo ASimAuthentication analyzátor bez parametrů.
Analyzátory specifické pro zdroj
Seznam analyzátorů ověřování, které Microsoft Sentinel poskytuje, najdete v seznamu analyzátorů ASIM:
Přidání vlastních normalizovaných analyzátorů
Při implementaci vlastních analyzátorů pro model informací o ověřování pojmenujte funkce KQL pomocí následující syntaxe:
vimAuthentication<vendor><Product>pro filtrování analyzátorůASimAuthentication<vendor><Product>pro analyzátory bez parametrů
Informace o přidání vlastních analyzátorů do sjednocujícího analyzátoru najdete v tématu Správa analyzátorů ASIM.
Filtrování parametrů analyzátoru
vim* Analyzátory im podporují parametry filtrování. I když jsou tyto analyzátory volitelné, můžou zlepšit výkon dotazů.
K dispozici jsou následující parametry filtrování:
| Name | Typ | Popis |
|---|---|---|
| Starttime | datetime | Vyfiltrujte pouze události ověřování, které se v tuto chvíli spustily nebo po této době. |
| Endtime | datetime | Vyfiltrujte pouze události ověřování, které se dokončily v této době nebo dříve. |
| targetusername_has | řetězec | Vyfiltrujte pouze události ověřování, které mají některá z uvedených uživatelských jmen. |
Pokud chcete například filtrovat pouze události ověřování z posledního dne na konkrétního uživatele, použijte:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Tip
Pokud chcete předat literálový seznam parametrům, které očekávají dynamickou hodnotu, explicitně použijte dynamický literál. Příklad: dynamic(['192.168.','10.']).
Normalizovaný obsah
Normalizovaná analytická pravidla ověřování jsou jedinečná, protože detekují útoky napříč zdroji. Pokud se například uživatel přihlásil k různým nesouvisejícím systémům z různých zemí nebo oblastí, Microsoft Sentinel teď tuto hrozbu zjistí.
Úplný seznam analytických pravidel, která používají normalizované události ověřování, najdete v tématu Obsah zabezpečení schématu ověřování.
Přehled schématu
Model ověřovacích informací je v souladu se schématem přihlašovací entity OSSEM.
Pole uvedená v následující tabulce jsou specifická pro události ověřování, ale jsou podobná polím v jiných schématech a dodržují podobné zásady vytváření názvů.
Události ověřování odkazují na následující entity:
- TargetUser – informace o uživateli použité k ověření v systému. TargetSystem je primárním předmětem ověřovací události a alias User aliasy identifikovaného cílového uživatele.
- TargetApp – aplikace byla ověřena.
- Target – systém, na kterém je spuštěná aplikace TaregtApp*.
- Objekt actor – uživatel, který spouští ověřování, pokud se liší od cílového uživatele.
- ActingApp – aplikace používaná objektem Actor k provedení ověřování.
- Src – systém používaný objektem Actor k zahájení ověřování.
Vztah mezi těmito entitami je nejlepší předvést následujícím způsobem:
Objekt actor, ve kterém běží herecká aplikace, ActingApp, ve zdrojovém systému Src, se pokusí ověřit jako TargetUser pro cílovou aplikaci, TargetApp, v cílovém systému TargetDvc.
Podrobnosti schématu
V následujících tabulkách typ odkazuje na logický typ. Další informace naleznete v tématu Logické typy.
Běžná pole ASIM
Důležité
Pole společná pro všechna schémata jsou podrobně popsaná v článku o společných polích ASIM.
Běžná pole s konkrétními pokyny
V následujícím seznamu jsou uvedena pole s konkrétními pokyny pro události ověřování:
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Eventtype | Povinný | Enumerated | Popisuje operaci hlášenou záznamem. Pro záznamy ověřování patří podporované hodnoty: - Logon - Logoff- Elevate |
| EventResultDetails | Doporučené | Řetězec | Podrobnosti přidružené k výsledku události. Toto pole se obvykle vyplní, když dojde k selhání výsledku. Mezi povolené hodnoty patří: - No such user or password. Tato hodnota by se měla použít také v případě, že původní sestavy událostí, které takový uživatel neobsahuje, bez odkazu na heslo.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. Tato hodnota by se měla použít, když se hlásí původní události, například: vyžaduje se vícefaktorové ověřování, přihlášení mimo pracovní dobu, omezení podmíněného přístupu nebo příliš časté pokusy.- Session expired- OtherHodnota může být ve zdrojovém záznamu poskytována pomocí různých termínů, které by se měly normalizovat na tyto hodnoty. Původní hodnota by měla být uložena v poli EventOriginalResultDetails. |
| EventSubType | Volitelné | Řetězec | Typ přihlášení. Mezi povolené hodnoty patří: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote – Používá se, když je typ vzdáleného přihlášení neznámý.- AssumeRole - Obvykle se používá, pokud je Elevatetyp události . Hodnota může být ve zdrojovém záznamu poskytována pomocí různých termínů, které by se měly normalizovat na tyto hodnoty. Původní hodnota by měla být uložena v poli EventOriginalSubType. |
| EventSchemaVersion | Povinný | Řetězec | Verze schématu. Verze zde popsaného schématu je 0.1.3 |
| EventSchema | Povinný | Řetězec | Název schématu popsaného zde je Ověřování. |
| Pole Dvc | - | - | V případě událostí ověřování pole zařízení odkazují na systém, který událost hlásí. |
Všechna společná pole
Pole, která se zobrazují v následující tabulce, jsou společná pro všechna schémata ASIM. Všechny výše uvedené pokyny přepíší obecné pokyny pro dané pole. Pole může být například volitelné obecně, ale povinné pro konkrétní schéma. Další podrobnosti o jednotlivých polích najdete v článku o společných polích ASIM.
| Třída | Pole |
|---|---|
| Povinný | - EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Doporučené | - EventResultDetails - EventSeverity - Id události - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Volitelné | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - UdálostOriginalSeverity - EventProductVersion - EventReportUrl - Vlastník události - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Další pole - Popis dvcDescription - DvcScopeId - DvcScope |
Pole specifická pro ověřování
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| LogonMethod | Volitelné | Řetězec | Metoda použitá k ověření. Příklady: Username & Password, PKI |
| LogonProtocol | Volitelné | Řetězec | Protokol použitý k ověření. Příklad: NTLM |
Pole objektu actor
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| ActorUserId | Volitelné | Řetězec | Strojově čitelná alfanumerická, jedinečná reprezentace objektu Actor. Další informace a alternativní pole pro další ID naleznete v tématu Entita Uživatel. Příklad: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Volitelné | Řetězec | Obor, například tenant Microsoft Entra, ve kterém jsou definovány ActorUserId a ActorUsername . nebo další informace a seznam povolených hodnot, viz UserScope v článku Přehled schématu. |
| ActorScopeId | Volitelné | Řetězec | ID oboru, například ID adresáře Microsoft Entra, ve kterém jsou definovány ActorUserId a ActorUsername . Další informace a seznam povolených hodnot naleznete v tématu UserScopeId v článku Přehled schématu. |
| ActorUserIdType | Podmíněné | UserIdType | Typ ID uloženého v poli ActorUserId . Další informace a seznam povolených hodnot naleznete v části UserIdType v článku Přehled schématu. |
| ActorUsername | Volitelné | Uživatelské jméno | Uživatelské jméno objektu Actor, včetně informací o doméně, pokud jsou k dispozici. Další informace naleznete v tématu Entita Uživatel. Příklad: AlbertE |
| ActorUsernameType | Podmíněné | UsernameType | Určuje typ uživatelského jména uloženého v poli ActorUsername . Další informace a seznam povolených hodnot naleznete v části UsernameType v článku Přehled schématu. Příklad: Windows |
| ActorUserType | Volitelné | UserType | Typ objektu Actor. Další informace a seznam povolených hodnot naleznete v části UserType v článku Přehled schématu. Například: Guest |
| ActorOriginalUserType | Volitelné | UserType | Typ uživatele hlášený zařízením pro generování sestav. |
| ActorSessionId | Volitelné | Řetězec | Jedinečné ID přihlašovací relace objektu Actor. Příklad: 102pTUgC3p8RIqHvzxLCHnFlg |
Pole aplikace pro herectví
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| ActingAppId | Volitelné | Řetězec | ID aplikace, která autorizuje jménem objektu actor, včetně procesu, prohlížeče nebo služby. Například: 0x12ae8 |
| ActingAppName | Volitelné | Řetězec | Název aplikace, která autorizuje jménem objektu actor, včetně procesu, prohlížeče nebo služby. Například: C:\Windows\System32\svchost.exe |
| ActingAppType | Volitelné | Typ aplikace | Typ fungující aplikace. Další informace a seznam povolených hodnot naleznete v tématu AppType v článku Přehled schématu. |
| HttpUserAgent | Volitelné | Řetězec | Při ověřování prostřednictvím protokolu HTTP nebo HTTPS je hodnota tohoto pole user_agent hlavička HTTP poskytovaná hereckou aplikací při ověřování. Například: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Cílová uživatelská pole
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| TargetUserId | Volitelné | ID uživatele | Strojově čitelná alfanumerická, jedinečná reprezentace cílového uživatele. Další informace a alternativní pole pro další ID naleznete v tématu Entita Uživatel. Příklad: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | Volitelné | Řetězec | Obor, například tenant Microsoft Entra, ve kterém jsou definovány TargetUserId a TargetUsername . nebo další informace a seznam povolených hodnot, viz UserScope v článku Přehled schématu. |
| TargetUserScopeId | Volitelné | Řetězec | ID oboru, například ID adresáře Microsoft Entra, ve kterém jsou definovány TargetUserId a TargetUsername . Další informace a seznam povolených hodnot naleznete v tématu UserScopeId v článku Přehled schématu. |
| TargetUserIdType | Podmíněné | UserIdType | Typ ID uživatele uloženého v poli TargetUserId . Další informace a seznam povolených hodnot naleznete v části UserIdType v článku Přehled schématu. Příklad: SID |
| TargetUsername | Volitelné | Uživatelské jméno | Uživatelské jméno cílového uživatele, včetně informací o doméně, pokud jsou k dispozici. Další informace naleznete v tématu Entita Uživatel. Příklad: MarieC |
| TargetUsernameType | Podmíněné | UsernameType | Určuje typ uživatelského jména uloženého v poli TargetUsername . Další informace a seznam povolených hodnot naleznete v části UsernameType v článku Přehled schématu. |
| TargetUserType | Volitelné | UserType | Typ cílového uživatele. Další informace a seznam povolených hodnot naleznete v části UserType v článku Přehled schématu. Například: Member |
| TargetSessionId | Volitelné | Řetězec | Identifikátor relace přihlášení cílového uživatele na zdrojovém zařízení. |
| TargetOriginalUserType | Volitelné | UserType | Typ uživatele hlášený zařízením pro generování sestav. |
| Uživatel | Alias | Uživatelské jméno | Alias pro TargetUsername nebo TargetUserId , pokud targetUsername není definován. Příklad: CONTOSO\dadmin |
Pole zdrojového systému
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Src | Doporučené | Řetězec | Jedinečný identifikátor zdrojového zařízení. Toto pole může aliasovat pole SrcDvcId, SrcHostname nebo SrcIpAddr . Příklad: 192.168.12.1 |
| SrcDvcId | Volitelné | Řetězec | ID zdrojového zařízení. Pokud je k dispozici více ID, použijte ten nejdůležitější a uložte ostatní do polí SrcDvc<DvcIdType>.Příklad: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Volitelné | Řetězec | ID oboru cloudové platformy, do které zařízení patří. SrcDvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| SrcDvcScope | Volitelné | Řetězec | Rozsah cloudové platformy, do které zařízení patří. SrcDvcScope mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| SrcDvcIdType | Podmíněné | DvcIdType | Typ SrcDvcId. Seznam povolených hodnot a další informace najdete v části DvcIdType v článku Přehled schématu. Poznámka: Toto pole se vyžaduje, pokud se použije SrcDvcId . |
| SrcDeviceType | Volitelné | DeviceType | Typ zdrojového zařízení. Seznam povolených hodnot a další informace najdete v části DeviceType v článku Přehled schématu. |
| SrcHostname | Doporučené | Název hostitele | Název hostitele zdrojového zařízení s výjimkou informací o doméně. Pokud není k dispozici žádný název zařízení, uložte do tohoto pole příslušnou IP adresu. Příklad: DESKTOP-1282V4D |
| SrcDomain | Doporučené | Řetězec | Doména zdrojového zařízení. Příklad: Contoso |
| SrcDomainType | Podmíněné | DomainType | Typ SrcDomain. Seznam povolených hodnot a další informace najdete v části DomainType v článku Přehled schématu. Vyžaduje se, pokud se používá doména SrcDomain . |
| SrcFQDN | Volitelné | Řetězec | Název hostitele zdrojového zařízení, včetně informací o doméně, pokud je k dispozici. Poznámka: Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát názvu hostitele windows. Pole SrcDomainType odráží použitý formát. Příklad: Contoso\DESKTOP-1282V4D |
| SrcDescription | Volitelné | Řetězec | Popisný text přidružený k zařízení Příklad: Primary Domain Controller. |
| SrcIpAddr | Volitelné | IP adresa | IP adresa zdrojového zařízení. Příklad: 2.2.2.2 |
| SrcPortNumber | Volitelné | Integer | Port IP, ze kterého připojení pochází. Příklad: 2335 |
| SrcDvcOs | Volitelné | Řetězec | Operační systém zdrojového zařízení. Příklad: Windows 10 |
| IpAddr | Alias | Alias pro SrcIpAddr | |
| SrcIsp | Volitelné | Řetězec | Poskytovatel internetových služeb používaný zdrojovým zařízením pro připojení k internetu. Příklad: corpconnect |
| SrcGeoCountry | Volitelné | Země/oblast | Příklad: Canada Další informace naleznete v tématu Logické typy. |
| SrcGeoCity | Volitelné | City (Město) | Příklad: Montreal Další informace naleznete v tématu Logické typy. |
| SrcGeoRegion | Volitelné | Oblast | Příklad: Quebec Další informace naleznete v tématu Logické typy. |
| SrcGeoLongtitude | Volitelné | Longitude | Příklad: -73.614830 Další informace naleznete v tématu Logické typy. |
| SrcGeoLatitude | Volitelné | Zeměpisná šířka | Příklad: 45.505918 Další informace naleznete v tématu Logické typy. |
| SrcRiskLevel | Volitelné | Integer | Úroveň rizika přidružená ke zdroji Hodnota by měla být upravena na rozsah 0100, s 0 neškodným a 100 vysokým rizikem.Příklad: 90 |
| SrcOriginalRiskLevel | Volitelné | Integer | Úroveň rizika přidružená ke zdroji, jak je hlášeno zařízením pro generování sestav. Příklad: Suspicious |
Pole cílové aplikace
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| TargetAppId | Volitelné | Řetězec | ID aplikace, ke které se vyžaduje autorizace, často přiřazené zařízením pro generování sestav. Příklad: 89162 |
| TargetAppName | Volitelné | Řetězec | Název aplikace, ke které se vyžaduje autorizace, včetně služby, adresy URL nebo aplikace SaaS. Příklad: Saleforce |
| TargetAppType | Volitelné | Typ aplikace | Typ aplikace autorizující jménem objektu Actor. Další informace a seznam povolených hodnot naleznete v tématu AppType v článku Přehled schématu. |
| TargetUrl | Volitelné | Adresa URL | Adresa URL přidružená k cílové aplikaci. Příklad: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Alias | Alias pro TargetAppName, TargetUrl nebo TargetHostname podle toho, které pole nejlépe popisuje cíl ověřování. |
Pole cílového systému
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Dst | Alias | Řetězec | Jedinečný identifikátor cíle ověřování. Toto pole může aliasovat pole TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId nebo TargetAppName . Příklad: 192.168.12.1 |
| TargetHostname | Doporučené | Název hostitele | Název hostitele cílového zařízení s výjimkou informací o doméně. Příklad: DESKTOP-1282V4D |
| Cílová doména | Doporučené | Řetězec | Doména cílového zařízení. Příklad: Contoso |
| TargetDomainType | Podmíněné | Enumerated | Typ TargetDomain. Seznam povolených hodnot a další informace najdete v části DomainType v článku Přehled schématu. Vyžaduje se, pokud se používá cílová doména . |
| CílovýFQDN | Volitelné | Řetězec | Název hostitele cílového zařízení, včetně informací o doméně, pokud je k dispozici. Příklad: Contoso\DESKTOP-1282V4D Poznámka: Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát názvu hostitele windows. TargetDomainType odráží použitý formát. |
| TargetDescription | Volitelné | Řetězec | Popisný text přidružený k zařízení Příklad: Primary Domain Controller. |
| TargetDvcId | Volitelné | Řetězec | ID cílového zařízení. Pokud je k dispozici více ID, použijte ten nejdůležitější a uložte ostatní do polí TargetDvc<DvcIdType>. Příklad: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Volitelné | Řetězec | ID oboru cloudové platformy, do které zařízení patří. TargetDvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| TargerDvcScope | Volitelné | Řetězec | Rozsah cloudové platformy, do které zařízení patří. TargetDvcScope mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| TargetDvcIdType | Podmíněné | Enumerated | Typ TargetDvcId. Seznam povolených hodnot a další informace najdete v části DvcIdType v článku Přehled schématu. Vyžaduje se, pokud se použije TargetDeviceId . |
| TargetDeviceType | Volitelné | Enumerated | Typ cílového zařízení. Seznam povolených hodnot a další informace najdete v části DeviceType v článku Přehled schématu. |
| TargetIpAddr | Volitelné | IP adresa | IP adresa cílového zařízení. Příklad: 2.2.2.2 |
| TargetDvcOs | Volitelné | Řetězec | Operační systém cílového zařízení. Příklad: Windows 10 |
| TargetPortNumber | Volitelné | Integer | Port cílového zařízení. |
| TargetGeoCountry | Volitelné | Země/oblast | Země přidružená k cílové IP adrese. Příklad: USA |
| TargetGeoRegion | Volitelné | Oblast | Oblast přidružená k cílové IP adrese. Příklad: Vermont |
| TargetGeoCity | Volitelné | City (Město) | Město přidružené k cílové IP adrese. Příklad: Burlington |
| TargetGeoLatitude | Volitelné | Zeměpisná šířka | Zeměpisná šířka zeměpisné souřadnice přidružené k cílové IP adrese. Příklad: 44.475833 |
| TargetGeoLongitude | Volitelné | Longitude | Zeměpisná délka zeměpisné souřadnice přidružené k cílové IP adrese. Příklad: 73.211944 |
| TargetRiskLevel | Volitelné | Integer | Úroveň rizika přidružená k cíli. Hodnota by měla být upravena na rozsah 0100, s 0 neškodným a 100 vysokým rizikem.Příklad: 90 |
| TargetOriginalRiskLevel | Volitelné | Integer | Úroveň rizika přidružená k cíli, jak je hlášeno zařízením pro generování sestav. Příklad: Suspicious |
Kontrolní pole
Následující pole slouží k reprezentaci kontroly prováděné systémem zabezpečení.
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| RuleName | Volitelné | Řetězec | Název nebo ID pravidla přidružené k výsledkům kontroly. |
| RuleNumber | Volitelné | Integer | Počet pravidel přidružených k výsledkům kontroly. |
| Pravidlo | Alias | Řetězec | Buď hodnota RuleName , nebo hodnota RuleNumber. Pokud se použije hodnota RuleNumber , typ by měl být převeden na řetězec. |
| ThreatId | Volitelné | Řetězec | ID hrozby nebo malwaru zjištěného v aktivitě auditu. |
| ThreatName | Volitelné | Řetězec | Název hrozby nebo malwaru zjištěného v aktivitě auditu. |
| ThreatCategory | Volitelné | Řetězec | Kategorie hrozby nebo malwaru zjištěného v aktivitě souboru auditu. |
| ThreatRiskLevel | Volitelné | Integer | Úroveň rizika spojená s identifikovanou hrozbou. Úroveň by měla být číslo od 0 do 100. Poznámka: Hodnota může být ve zdrojovém záznamu poskytována pomocí jiného měřítka, které by se mělo normalizovat na toto měřítko. Původní hodnota by měla být uložena v ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Volitelné | Řetězec | Úroveň rizika hlášená zařízením pro generování sestav. |
| ThreatConfidence | Volitelné | Integer | Úroveň spolehlivosti zjištěné hrozby normalizovaná na hodnotu mezi 0 a 100. |
| ThreatOriginalConfidence | Volitelné | Řetězec | Původní úroveň spolehlivosti zjištěné hrozby, jak je hlášeno zařízením pro hlášení. |
| ThreatIsActive | Volitelné | Logické | Hodnota True, pokud je identifikovaná hrozba považována za aktivní hrozbu. |
| ThreatFirstReportedTime | Volitelné | datetime | Při prvním zjištění IP adresy nebo domény jako hrozby. |
| ThreatLastReportedTime | Volitelné | datetime | Čas posledního zjištění IP adresy nebo domény jako hrozby |
| ThreatIpAddr | Volitelné | IP adresa | IP adresa, pro kterou byla zjištěna hrozba. Pole ThreatField obsahuje název pole ThreatIpAddr představuje. |
| ThreatField | Volitelné | Enumerated | Pole, pro které byla zjištěna hrozba. Hodnota je buď SrcIpAddr nebo TargetIpAddr. |
Aktualizace schématu
Jedná se o změny ve verzi 0.1.1 schématu:
- Aktualizovali jsme pole entit uživatelů a zařízení tak, aby odpovídala jiným schématům.
- Přejmenováno
TargetDvcaSrcDvcTargetSrcv uvedeném pořadí tak, aby odpovídalo aktuálním pokynům ASIM. Přejmenovaná pole budou implementována jako aliasy až do 1. července 2022. Tato pole zahrnují:SrcDvcHostname,SrcDvcHostnameType, ,SrcDvcIpAddrSrcDvcType,TargetDvcHostnameTargetDvcHostnameType, ,TargetDvcType,TargetDvcIpAddr, aTargetDvc. - Přidání aliasů
SrcaDst. - Byla přidána pole
SrcDvcIdType, ,SrcDeviceTypeTargetDvcIdTypeaTargetDeviceTypeaEventSchema.
Jedná se o změny ve verzi 0.1.2 schématu:
- Přidání polí
ActorScope, ,TargetUserScopeSrcDvcScopeId,TargetDvcScopeDvcScopeIdSrcDvcScopeTargetDvcScopeId, a .DvcScope
Jedná se o změny ve verzi 0.1.3 schématu:
- Přidání polí , , ,
ActorScopeIdSrcDescriptionTargetUserScopeIdSrcOriginalRiskLevelSrcRiskLevelTargetOriginalUserType, a .TargetDescriptionActorOriginalUserTypeSrcPortNumber - Přidání kontrolních polí
- Přidání polí geografického umístění cílového systému
Další kroky
Další informace naleznete zde: