Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Skemaet til normalisering af Microsoft Sentinel brugeradministration bruges til at beskrive aktiviteter for brugeradministration, f.eks. oprettelse af en bruger eller en gruppe, ændring af brugerattribut eller tilføjelse af en bruger til en gruppe. Sådanne hændelser rapporteres f.eks. af operativsystemer, katalogtjenester, identitetsstyringssystemer og ethvert andet system, der rapporterer om dets lokale brugeradministrationsaktivitet.
Du kan få flere oplysninger om normalisering i Microsoft Sentinel under Normalisering og ASIM (Advanced Security Information Model).
Skemaoversigt
I ASIM-brugeradministrationsskemaet beskrives aktiviteter for brugeradministration. Aktiviteterne omfatter typisk følgende enheder:
- Agent – den bruger, der udfører administrationsaktiviteten.
- Fungerende proces – den proces, der bruges af agenten til at udføre administrationsaktiviteten.
- Src – når aktiviteten udføres via netværket, den kildeenhed, som aktiviteten blev startet fra.
- Destinationsbruger – den bruger, som kontoen administreres for.
- Gruppe , som destinationsbrugeren tilføjes eller fjernes fra, eller som ændres.
Nogle aktiviteter, f.eks . UserCreated, GroupCreated, UserModified og GroupModified*, angiver eller opdaterer brugeregenskaber. Egenskabssættet eller -opdatering er dokumenteret i følgende felter:
- EventSubType – navnet på den værdi, der blev angivet eller opdateret. UpdatedPropertyName er et alias til EventSubType , når EventSubType refererer til en af de relevante hændelsestyper.
- PreviousPropertyValue – egenskabens forrige værdi.
- NewPropertyValue – egenskabens opdaterede værdi.
Parsere
Du kan finde flere oplysninger om ASIM-fortolkninger i oversigten over ASIM-fortolkninger.
Filtreringsparserparametre
Fortolkningsparametrene for brugeradministration understøtter filtrering af parametre. Selvom disse parametre er valgfrie, kan de forbedre ydeevnen af din forespørgsel.
Følgende filtreringsparametre er tilgængelige:
| Navn | Type | Beskrivelse |
|---|---|---|
| Starttidspunkt | Datetime | Filtrer kun hændelser for brugeradministration, der opstod på eller efter dette tidspunkt. Denne parameter filtrerer feltet TimeGenerated , som er standarddesignatoren for tidspunktet for hændelsen, uanset den parserspecifikke tilknytning af felterne EventStartTime og EventEndTime. |
| slutklokkeslæt | Datetime | Filtrer kun hændelser for brugeradministration, der opstod på eller før dette tidspunkt. Denne parameter filtrerer feltet TimeGenerated , som er standarddesignatoren for tidspunktet for hændelsen, uanset den parserspecifikke tilknytning af felterne EventStartTime og EventEndTime. |
| srcipaddr_has_any_prefix | Dynamisk | Filtrer kun hændelser for brugeradministration, hvor kildens IP-adressepræfiks svarer til en af de angivne værdier. Præfikser skal slutte med en ., f.eks.: 10.0.. |
| targetusername_has_any | Dynamisk | Filtrer kun hændelser for brugeradministration, hvor destinationsbrugernavnet har nogen af de angivne værdier. |
| actorusername_has_any | Dynamisk | Filtrer kun hændelser for brugeradministration, hvor agentens brugernavn har nogen af de angivne værdier. |
| eventtype_in | Dynamisk | Filtrer kun hændelser for brugeradministration, hvor hændelsestypen er en af de angivne værdier, f.eksUserCreated. , UserDeleted, UserModifiedPasswordChanged, eller GroupCreated. |
Hvis du f.eks. kun vil filtrere hændelser for oprettelse af brugere fra den sidste dag, skal du bruge:
_Im_UserManagement (eventtype_in=dynamic(['UserCreated']), starttime = ago(1d), endtime=now())
Skemadetaljer
Almindelige ASIM-felter
Vigtigt!
Felter, der er fælles for alle skemaer, er beskrevet detaljeret i artiklen Almindelige ASIM-felter .
Almindelige felter med specifikke retningslinjer
På følgende liste nævnes felter, der har specifikke retningslinjer for procesaktivitetshændelser:
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| EventType | Obligatorisk | Optalt | Beskriver den handling, der er rapporteret af posten. For brugeradministrationsaktivitet er de understøttede værdier: - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| EventSubType | Valgfrit | Optalt | Følgende undertyper understøttes: - UserRead: Adgangskode, hash- UserCreated, GroupCreated, UserModified, GroupModified. Du kan få flere oplysninger under UpdatedPropertyName |
| EventResult | Obligatorisk | Optalt | Selvom det er muligt at fejle, rapporterer de fleste systemer kun vellykkede hændelser for brugeradministration. Den forventede værdi for vellykkede hændelser er Success. |
| EventResultDetails | Anbefalede | Optalt | De gyldige værdier er NotAuthorized og Other. |
| EventSeverity | Obligatorisk | Optalt | Selvom en gyldig alvorsgradsværdi er tilladt, er alvorsgraden af hændelser for brugeradministration typisk Informational. |
| EventSchema | Obligatorisk | Optalt | Navnet på skemaet, der er dokumenteret her, er UserManagement. |
| EventSchemaVersion | Obligatorisk | SchemaVersion (streng) | Versionen af skemaet. Den version af skemaet, der er dokumenteret her, er 0.1.2. |
| Dvc-felter | I forbindelse med hændelser for brugeradministration henviser enhedsfelter til det system, der rapporterer hændelsen. Dette er normalt det system, som brugeren administreres på. |
Alle almindelige felter
Felter, der vises i nedenstående tabel, er fælles for alle ASIM-skemaer. Alle retningslinjer, der er angivet ovenfor, tilsidesætter de generelle retningslinjer for feltet. Et felt kan f.eks. være valgfrit generelt, men obligatorisk for et bestemt skema. Du kan finde flere oplysninger om hvert felt i artiklen Almindelige ASIM-felter .
| Klasse | Felter |
|---|---|
| Obligatorisk |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Anbefalede |
-
EventResultDetails - EventSeverity - Hændelses-UID - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valgfrit |
-
Hændelsesmeddelelse - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Hændelsesejer - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Opdaterede egenskabsfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| UpdatedPropertyName | Alias | Alias til EventSubType , når hændelsestypen er UserCreated, GroupCreated, UserModifiedeller GroupModified.De understøttede værdier er: - MultipleProperties: Bruges, når aktiviteten opdaterer flere egenskaber- Previous<PropertyName>, hvor <PropertyName> er en af de understøttede værdier for UpdatedPropertyName. - New<PropertyName>, hvor <PropertyName> er en af de understøttede værdier for UpdatedPropertyName. |
|
| PreviousPropertyValue | Valgfrit | String | Den forrige værdi, der blev gemt i den angivne egenskab. |
| NewPropertyValue | Valgfrit | String | Den nye værdi, der er gemt i den angivne egenskab. |
Destinationsbrugerfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| TargetUserId | Valgfrit | String | En computerlæsbar, alfanumerisk, entydig repræsentation af destinationsbrugeren. Understøttede formater og typer omfatter: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Gem id-typen i feltet TargetUserIdType . Hvis der er andre id'er tilgængelige, anbefaler vi, at du normaliserer feltnavnene til henholdsvis TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId og TargetUserAwsId. Du kan få flere oplysninger under Brugerens objekt. Eksempel: S-1-12 |
| TargetUserIdType | Betinget | Optalt | Typen af det id, der er gemt i feltet TargetUserId . De understøttede værdier er SID, UID, AADID, OktaIdog AWSId. |
| Navn på destinationsbruger | Valgfrit | Brugernavn (streng) | Destinationsbrugernavnet, herunder domæneoplysninger, når de er tilgængelige. Brug et af følgende formater og i følgende prioritetsrækkefølge: - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Enkel: johndow. Brug kun formularen Simpel, hvis domæneoplysningerne ikke er tilgængelige.Gem brugernavnstypen i feltet TargetUsernameType . Hvis der er andre id'er tilgængelige, anbefaler vi, at du normaliserer feltnavnene til TargetUserUpn, TargetUserWindows og TargetUserDn. Du kan få flere oplysninger under Brugerens objekt. Eksempel: AlbertE |
| TargetUsernameType | Betinget | Optalt | Angiver den type brugernavn, der er gemt i feltet TargetUsername . De understøttede værdier omfatter UPN, Windows, DNog Simple. Du kan få flere oplysninger under Brugerens objekt.Eksempel: Windows |
| TargetUserType | Valgfrit | Optalt | Destinationsbrugerens type. Understøttede værdier omfatter: - Regular- Machine- Admin- System- Application- Service Principal- OtherBemærk! Værdien kan angives i kildeposten ved hjælp af andre ord, som skal normaliseres til disse værdier. Gem den oprindelige værdi i feltet TargetOriginalUserType . |
| TargetOriginalUserType | Valgfrit | String | Den oprindelige destinationsbrugertype, hvis den er angivet af kilden. |
| TargetUserScope | Valgfrit | String | Området, f.eks. Microsoft Entra lejer, hvor TargetUserId og TargetUsername er defineret. eller flere oplysninger og en liste over tilladte værdier i UserScope i artiklen Skemaoversigt. |
| TargetUserScopeId | Valgfrit | String | Område-id'et, f.eks. Microsoft Entra mappe-id, hvor TargetUserId og TargetUsername er defineret. Du kan få flere oplysninger og en liste over tilladte værdier i UserScopeId i artiklen Skemaoversigt. |
| TargetUserSessionId | Valgfrit | String | Det entydige id for destinationsbrugerens logonsession. Eksempel: 999 Bemærk! Typen er defineret som streng for at understøtte forskellige systemer, men i Windows skal denne værdi være numerisk. Hvis du bruger en Windows- eller Linux computer og har brugt en anden type, skal du sørge for at konvertere værdierne. Hvis du f.eks. har brugt en hexadecimal værdi, skal du konvertere den til en decimalværdi. |
Agentfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| AgentUserId | Valgfrit | String | En computerlæsbar, alfanumerisk, entydig repræsentation af agenten. Understøttede formater og typer omfatter: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Gem id-typen i feltet AgentUserIdType . Hvis der er andre id'er tilgængelige, anbefaler vi, at du normaliserer feltnavnene til henholdsvis ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId og ActorAwsId. Du kan få flere oplysninger under Brugerens objekt. Eksempel: S-1-12 |
| AgentUserIdType | Betinget | Optalt | Typen af det id, der er gemt i feltet AgentBruger-id . De understøttede værdier omfatter SID, UID, AADID, OktaIdog AWSId. |
| AgentBrugernavn | Obligatorisk | Brugernavn (streng) | Agentens brugernavn, herunder domæneoplysninger, når det er tilgængeligt. Brug et af følgende formater og i følgende prioritetsrækkefølge: - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Enkel: johndow. Brug kun formularen Simpel, hvis domæneoplysningerne ikke er tilgængelige.Gem brugernavnstypen i feltet AgentBrugernavnType . Hvis der er andre id'er tilgængelige, anbefaler vi, at du normaliserer feltnavnene til ActorUserUpn, ActorUserWindows og ActorUserDn. Du kan få flere oplysninger under Brugerens objekt. Eksempel: AlbertE |
| Bruger | Alias | Alias til AgentBrugernavn. | |
| AgentUsernameType | Betinget | Optalt | Angiver den type brugernavn, der er gemt i feltet AgentBrugernavn . De understøttede værdier er UPN, Windows, DNog Simple. Du kan få flere oplysninger under Brugerens objekt.Eksempel: Windows |
| AgentUserType | Valgfrit | Optalt | Agentens type. Tilladte værdier er: - Regular- Machine- Admin- System- Application- Service Principal- OtherBemærk! Værdien kan angives i kildeposten ved hjælp af andre ord, som skal normaliseres til disse værdier. Gem den oprindelige værdi i feltet AgentOriginalUserType . |
| AgentOriginalUserType | Valgfrit | String | Den oprindelige destinationsbrugertype, hvis den er angivet af rapporteringsenheden. |
| AgentOriginalUserType | Den oprindelige agentbrugertype, hvis den er angivet af kilden. | ||
| AgentSessionId | Valgfrit | String | Det entydige id for logonsessionen for agenten. Eksempel: 999Bemærk! Typen er defineret som streng for at understøtte forskellige systemer, men i Windows skal denne værdi være numerisk. Hvis du bruger en Windows-computer og har brugt en anden type, skal du sørge for at konvertere værdierne. Hvis du f.eks. har brugt en hexadecimal værdi, skal du konvertere den til en decimalværdi. |
| AgentScope | Valgfrit | String | Det omfang, f.eks. Microsoft Entra lejer, hvor AgentBruger-id og AgentBrugernavn er defineret. eller flere oplysninger og en liste over tilladte værdier i UserScope i artiklen Skemaoversigt. |
| AgentScopeId | Valgfrit | String | Område-id'et, f.eks. Microsoft Entra mappe-id, hvor AgentBruger-id og AgentBrugernavn er defineret. eller flere oplysninger og en liste over tilladte værdier i UserScopeId i artiklen Skemaoversigt. |
Gruppér felter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Gruppe-id | Valgfrit | String | En maskinlæsbar, alfanumerisk, entydig repræsentation af gruppen for aktiviteter, der involverer en gruppe. Understøttede formater og typer omfatter: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578Gem id-typen i feltet GroupIdType . Hvis der er andre id'er tilgængelige, anbefaler vi, at du normaliserer feltnavnene til henholdsvis GroupSid eller GroupUid. Du kan få flere oplysninger under Brugerens objekt. Eksempel: S-1-12 |
| GroupIdType | Valgfrit | Optalt | Typen af det id, der er gemt i feltet GroupId . De understøttede værdier er SID, og UID. |
| Gruppenavn | Valgfrit | String | Gruppenavnet, herunder domæneoplysninger, når de er tilgængelige, for aktiviteter, der involverer en gruppe. Brug et af følgende formater og i følgende prioritetsrækkefølge: - Upn/Email: grp@contoso.com- Windows: Contoso\grp- DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM- Enkel: grp. Brug kun formularen Simpel, hvis domæneoplysningerne ikke er tilgængelige.Gem typen af gruppenavn i feltet GroupNameType . Hvis der er andre id'er tilgængelige, anbefaler vi, at du normaliserer feltnavnene til GroupUpn, GroupNameWindows og GroupDn. Eksempel: Contoso\Finance |
| GroupNameType | Valgfrit | Optalt | Angiver typen af det gruppenavn, der er gemt i feltet GroupName . De understøttede værdier omfatter UPN, Windows, DNog Simple.Eksempel: Windows |
| Gruppetype | Valgfrit | Optalt | Gruppens type for aktiviteter, der involverer en gruppe. Understøttede værdier omfatter: - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- OtherBemærk! Værdien kan angives i kildeposten ved hjælp af andre ord, som skal normaliseres til disse værdier. Gem den oprindelige værdi i feltet GroupOriginalType . |
| Gruppeoriginaltype | Valgfrit | String | Den oprindelige gruppetype, hvis den er angivet af kilden. |
Kildefelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Src | Anbefalede | String | Et entydigt id for kildeenheden. Dette felt kan aliassere felterne SrcDvcId, SrcHostname eller SrcIpAddr . Eksempel: 192.168.12.1 |
| SrcIpAddr | Anbefalede | IP-adresse | IP-adressen på kildeenheden. Denne værdi er obligatorisk, hvis SrcHostname er angivet. Eksempel: 77.138.103.108 |
| IpAddr | Alias | Alias til SrcIpAddr. | |
| SrcPortNumber | Valgfrit | Heltal | Den IP-port, som forbindelsen stammer fra. Er muligvis ikke relevant for en session, der består af flere forbindelser. Eksempel: 2335 |
| SrcMacAddr | Valgfrit | MAC-adresse (streng) | MAC-adressen på den netværksgrænseflade, som forbindelsen eller sessionen stammer fra. Eksempel: 06:10:9f:eb:8f:14 |
| SrcDescription | Valgfrit | String | En beskrivende tekst, der er knyttet til enheden. For eksempel: Primary Domain Controller. |
| SrcHostname | Anbefalede | String | Kildeenhedens værtsnavn, undtagen domæneoplysninger. Eksempel: DESKTOP-1282V4D |
| SrcDomain | Anbefalede | Domæne (streng) | Kildeenhedens domæne. Eksempel: Contoso |
| SrcDomainType | Anbefalede | Optalt | Typen af SrcDomain, hvis den kendes. Mulige værdier omfatter: - Windows (f.eks. contoso)- FQDN (f.eks. microsoft.com)Obligatorisk, hvis SrcDomain bruges. |
| SrcFQDN | Valgfrit | FQDN (streng) | Kildeenhedens værtsnavn, herunder domæneoplysninger, når de er tilgængelige. Bemærk! Dette felt understøtter både traditionelt FQDN-format og Windows-domæne\værtsnavnformat. Feltet SrcDomainType afspejler det anvendte format. Eksempel: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Valgfrit | String | Id'et for kildeenheden som rapporteret i posten. Eksempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Valgfrit | String | Det område-id for cloudplatformen, som enheden tilhører. SrcDvcScopeId knyttes til et abonnements-id på Azure og til et konto-id på AWS. |
| SrcDvcScope | Valgfrit | String | Det cloudplatformsområde, som enheden tilhører. SrcDvcScope knyttes til et abonnements-id på Azure og til et konto-id på AWS. |
| SrcDvcIdType | Betinget | Optalt | Typen af SrcDvcId, hvis den er kendt. Mulige værdier omfatter: - AzureResourceId- MDEidHvis der er flere id'er tilgængelige, skal du bruge den første fra den foregående liste og gemme de andre i henholdsvis SrcDvcAzureResourceId og SrcDvcMDEid. Bemærk! Dette felt er obligatorisk, hvis der bruges SrcDvcId . |
| SrcDeviceType | Valgfrit | Optalt | Kildeenhedens type. Mulige værdier omfatter: - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | Valgfrit | Land | Det land/område, der er knyttet til kildens IP-adresse. Eksempel: USA |
| SrcGeoRegion | Valgfrit | Region | Det område, der er knyttet til kildens IP-adresse. Eksempel: Vermont |
| SrcGeoCity | Valgfrit | Byen | Den by, der er knyttet til kildens IP-adresse. Eksempel: Burlington |
| SrcGeoLatitude | Valgfrit | Breddegrad | Breddegraden for den geografiske koordinat, der er knyttet til kildens IP-adresse. Eksempel: 44.475833 |
| SrcGeoLongitude | Valgfrit | Længdegrad | Længdegraden for den geografiske koordinat, der er knyttet til kildens IP-adresse. Eksempel: 73.211944 |
| SrcRiskLevel | Valgfrit | Heltal | Det risikoniveau, der er knyttet til kilden. Værdien skal justeres til et interval af 0 typen , med 0 for godartet og 100 for 100en høj risiko.Eksempel: 90 |
| SrcOriginalRiskLevel | Valgfrit | String | Det risikoniveau, der er knyttet til kilden, som rapporteret af rapporteringsenheden. Eksempel: Suspicious |
Fungerende program
Kontrolfelter
Følgende felter bruges til at repræsentere den kontrol, der udføres af et sikkerhedssystem som et sådant EDR-system.
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| RuleName | Valgfrit | String | Navnet eller id'et for reglen ved at være knyttet til inspektionsresultaterne. |
| Regelnummer | Valgfrit | Heltal | Nummeret på den regel, der er knyttet til inspektionsresultaterne. |
| Regel | Betinget | String | Enten værdien af kRuleName eller værdien af RuleNumber. Hvis værdien af RuleNumber bruges, skal typen konverteres til en streng. |
| ThreatId | Valgfrit | String | Id'et for den trussel eller malware, der er identificeret i filaktiviteten. |
| ThreatName | Valgfrit | String | Navnet på den trussel eller malware, der er identificeret i filaktiviteten. Eksempel: EICAR Test File |
| ThreatCategory | Valgfrit | String | Kategorien af den trussel eller malware, der er identificeret i filaktiviteten. Eksempel: Trojan |
| ThreatRiskLevel | Valgfrit | RiskLevel (heltal) | Det risikoniveau, der er knyttet til den identificerede trussel. Niveauet skal være et tal mellem 0 og 100. Bemærk! Værdien kan angives i kildeposten ved hjælp af en anden skala, som skal normaliseres til denne skala. Den oprindelige værdi skal gemmes i ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Valgfrit | String | Risikoniveauet som rapporteret af rapporteringsenheden. |
| ThreatField | Valgfrit | String | Det felt, som en trussel blev identificeret for. |
| ThreatConfidence | Valgfrit | ConfidenceLevel (heltal) | Konfidensniveauet for den identificerede trussel normaliserede sig til en værdi mellem 0 og 100. |
| ThreatOriginalConfidence | Valgfrit | String | Det oprindelige tillidsniveau for den trussel, der blev identificeret, som rapporteret af rapporteringsenheden. |
| ThreatIsActive | Valgfrit | Boolesk | Sand, hvis den identificerede trussel betragtes som en aktiv trussel. |
| ThreatFirstReportedTime | Valgfrit | Datetime | Første gang IP-adressen eller domænet blev identificeret som en trussel. |
| ThreatLastReportedTime | Valgfrit | Datetime | Sidste gang IP-adressen eller domænet blev identificeret som en trussel. |
Yderligere felter og aliasser
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Værtsnavn | Alias | Alias til DvcHostname. |
Skemaopdateringer
Ændringerne i version 0.1.2 af skemaet er:
- Tilføjede kontrolfelter.
- Tilføjede kildefelterne
SrcDescription,SrcMacAddr,SrcOriginalRiskLevel,SrcPortNumber, ,SrcRiskLevel - Tilføjede destinationsfelterne
TargetUserScope, ,TargetUserScopeIdTargetUserSessionId - Agentfelterne
ActorOriginalUserType, ,ActorScope,ActorScopeId - Tilføjede det programfelt, der agerer
ActingOriginalAppType
Næste trin
Du kan finde flere oplysninger under: