Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Microsoft Sentinel Warnungsschema wurde entwickelt, um sicherheitsbezogene Warnungen aus verschiedenen Produkten in ein standardisiertes Format in Microsoft Advanced Security Information Model (ASIM) zu normalisieren. Dieses Schema konzentriert sich ausschließlich auf Sicherheitsereignisse, um eine konsistente und effiziente Analyse über verschiedene Datenquellen hinweg zu gewährleisten.
Das Warnungsschema stellt verschiedene Arten von Sicherheitswarnungen dar, z. B. Bedrohungen, verdächtige Aktivitäten, Anomalien beim Benutzerverhalten und Complianceverstöße. Diese Warnungen werden von verschiedenen Sicherheitsprodukten und -systemen gemeldet, einschließlich, aber nicht beschränkt auf EDRs, Antivirensoftware, Angriffserkennungssysteme, Tools zur Verhinderung von Datenverlust usw.
Weitere Informationen zur Normalisierung in Microsoft Sentinel finden Sie unter Normalization and the Advanced Security Information Model (ASIM).
Parser
Weitere Informationen zu ASIM-Parsern finden Sie in der Übersicht über ASIM-Parser.
Vereinheitlichende Parser
Verwenden Sie den _Im_AlertEvent Parser, um Parser zu verwenden, die alle standardmäßigen ASIM-Parser vereinheitlichen und sicherstellen möchten, dass Ihre Analyse in allen konfigurierten Quellen ausgeführt wird.
Sofort einsatzbereite, quellspezifische Parser
Die Liste der Warnungsparser, die Microsoft Sentinel standardmäßig bereitstellt, finden Sie in der Asim-Parserliste.
Hinzufügen eigener normalisierter Parser
Wenn Sie benutzerdefinierte Parser für das Warnungsinformationsmodell entwickeln , benennen Sie Ihre KQL-Funktionen mit der folgenden Syntax:
-
vimAlertEvent<vendor><Product>für parametrisierte Parser -
ASimAlertEvent<vendor><Product>für reguläre Parser
Lesen Sie den Artikel Verwalten von ASIM-Parsern , um zu erfahren, wie Sie Ihre benutzerdefinierten Parser zu den vereinheitlichenden Warnungsparsern hinzufügen.
Filtern von Parserparametern
Die Warnungsparser unterstützen verschiedene Filterparameter , um die Abfrageleistung zu verbessern. Diese Parameter sind optional, können aber die Abfrageleistung verbessern. Die folgenden Filterparameter sind verfügbar:
| Name | Typ | Beschreibung |
|---|---|---|
| starttime | Datum/Uhrzeit | Filtern Sie nur Warnungen, die zu oder nach diesem Zeitpunkt gestartet wurden. Dieser Parameter filtert nach dem TimeGenerated Feld, das der Standardbezeichner für den Zeitpunkt des Ereignisses ist, unabhängig von der parserspezifischen Zuordnung der Felder EventStartTime und EventEndTime. |
| endtime | Datum/Uhrzeit | Filtern Sie nur Warnungen, die zu oder vor diesem Zeitpunkt gestartet wurden. Dieser Parameter filtert nach dem TimeGenerated Feld, das der Standardbezeichner für den Zeitpunkt des Ereignisses ist, unabhängig von der parserspezifischen Zuordnung der Felder EventStartTime und EventEndTime. |
| ipaddr_has_any_prefix | Dynamische | Filtern Sie nur Warnungen, für die sich das Feld "DvcIpAddr" in einem der aufgelisteten Werte befindet. |
| hostname_has_any | Dynamische | Filtern Sie nur Warnungen, für die sich das Feld "DvcHostname" in einem der aufgelisteten Werte befindet. |
| username_has_any | Dynamische | Filtern Sie nur Warnungen, für die sich das Feld "Benutzername" in einem der aufgeführten Werte befindet. |
| attacktactics_has_any | Dynamische | Filtern Sie nur Warnungen, für die sich das Feld "AttackTactics" in einem der aufgelisteten Werte befindet. |
| attacktechniques_has_any | Dynamische | Filtern Sie nur Warnungen, für die sich das Feld "AttackTechniques" in einem der aufgelisteten Werte befindet. |
| threatcategory_has_any | Dynamische | Filtern Sie nur Warnungen, für die sich das Feld "ThreatCategory" in einem der aufgeführten Werte befindet. |
| alertverdict_has_any | Dynamische | Filtern Sie nur Warnungen, für die sich das Feld "AlertVerdict" in einem der aufgeführten Werte befindet. |
| eventseverity_has_any | Dynamische | Filtern Sie nur Warnungen, für die sich das Feld "EventSeverity" in einem der aufgelisteten Werte befindet. |
Schemaübersicht
Das Warnungsschema stellt verschiedene Arten von Sicherheitsereignissen bereit, die dieselben Felder verwenden. Diese Ereignisse werden durch das Feld EventType identifiziert:
- Bedrohungsinformationen: Warnungen im Zusammenhang mit verschiedenen Arten von schädlichen Aktivitäten wie Schadsoftware, Phishing, Ransomware und anderen Cyberbedrohungen.
- Verdächtige Aktivitäten: Warnungen für Aktivitäten, die nicht unbedingt bestätigte Bedrohungen sind, aber verdächtig sind und weitere Untersuchungen erfordern, z. B. mehrere fehlgeschlagene Anmeldeversuche oder zugriff auf eingeschränkte Dateien.
- Anomalien beim Benutzerverhalten: Warnungen, die auf ungewöhnliches oder unerwartetes Benutzerverhalten hinweisen, die auf ein Sicherheitsproblem hindeuten können, z. B. ungewöhnliche Anmeldezeiten oder ungewöhnliche Datenzugriffsmuster.
- Complianceverstöße: Warnungen im Zusammenhang mit der Nichteinhaltung gesetzlicher oder interner Richtlinien. Beispielsweise eine VM, die mit offenen öffentlichen Ports verfügbar gemacht wird, die anfällig für Angriffe sind (Cloudsicherheitswarnung).
Wichtig
Um die Relevanz und Effektivität des Warnungsschemas beizubehalten, sollten nur sicherheitsbezogene Warnungen zugeordnet werden.
Das Warnungsschema verweist auf die folgenden Entitäten, um Details zur Warnung zu erfassen:
-
Dvc-Felder werden verwendet, um Details zum Host oder zur IP-Adresse zu erfassen, die der Warnung zugeordnet sind.
-
Benutzerfelder werden verwendet, um Details zum Benutzer zu erfassen, der der Warnung zugeordnet ist.
- Auf ähnliche Weise werden die Felder Prozess, Datei, URL, Registrierung und Email verwendet, um nur wichtige Details zum Prozess, zur Datei, zur URL, zur Registrierung und zur E-Mail zu erfassen, die der Warnung zugeordnet sind.
Wichtig
- Verwenden Sie beim Erstellen eines produktspezifischen Parsers das ASIM-Warnungsschema, wenn die Warnung Informationen zu einem Sicherheitsvorfall oder einer potenziellen Bedrohung enthält und die primären Details direkt verfügbaren Warnungsschemafeldern zugeordnet werden können. Das Warnungsschema eignet sich ideal zum Erfassen von Zusammenfassungsinformationen ohne umfangreiche entitätsspezifische Felder.
- Wenn Sie jedoch wesentliche Felder in "AdditionalFields" platzieren, weil keine direkten Feldvergleiche vorhanden sind, sollten Sie ein spezielleres Schema in Betracht ziehen. Wenn eine Warnung z. B. netzwerkbezogene Details enthält, z. B. mehrere IP-Adressen, z. B. SrcIpAdr, DstIpAddr, PortNumber usw., können Sie sich für das NetworkSession-Schema über das Warnungsschema entscheiden. Spezialisierte Schemas bieten auch dedizierte Felder zum Erfassen bedrohungsbezogener Informationen, verbessern die Datenqualität und ermöglichen eine effiziente Analyse.
Schemadetails
Allgemeine ASIM-Felder
In der folgenden Liste sind Felder aufgeführt, die bestimmte Richtlinien für Warnungsereignisse aufweisen:
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| EventType | Erforderlich | Aufgelistet | Typ des Ereignisses. Unterstützte Werte: - Alert |
| EventSubType | Empfohlen | Aufgelistet | Gibt den Untertyp oder die Kategorie des Warnungsereignisses an und bietet detailliertere Details innerhalb der umfassenderen Ereignisklassifizierung. Dieses Feld trägt dazu bei, die Art des erkannten Problems zu unterscheiden und die Priorisierungs- und Reaktionsstrategien für Vorfälle zu verbessern. Unterstützte Werte: - Threat (Stellt eine bestätigte oder höchst wahrscheinlich böswillige Aktivität dar, die das System oder Netzwerk kompromittieren könnte)- Suspicious Activity (Kennzeichnet Verhalten oder Ereignisse, die ungewöhnlich oder verdächtig erscheinen, aber noch nicht als bösartig bestätigt)- Anomaly (Identifiziert Abweichungen von normalen Mustern, die auf ein potenzielles Sicherheitsrisiko oder betriebsbezogenes Problem hinweisen können)- Compliance Violation (Hebt Aktivitäten hervor, die gegen gesetzliche, Richtlinien- oder Compliancestandards verstoßen) |
| EventUid | Erforderlich | string | Eine maschinenlesbare, alphanumerische Zeichenfolge, die eine Warnung innerhalb eines Systems eindeutig identifiziert. E.g. A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
| EventMessage | Optional | string | Ausführliche Informationen zur Warnung, einschließlich Kontext, Ursache und potenziellen Auswirkungen. E.g. Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
| IpAddr | Alias | Alias oder Anzeigename für DvcIpAddr feld. |
|
| Hostname | Alias | Alias oder Anzeigename für DvcHostname feld. |
|
| EventSchema | Erforderlich | Aufgelistet | Das schema, das für das Ereignis verwendet wird. Das hier dokumentierte Schema ist AlertEvent. |
| EventSchemaVersion | Erforderlich | SchemaVersion (Zeichenfolge) | Die Version des Schemas. Die hier dokumentierte Version des Schemas ist 0.1. |
Alle allgemeinen Felder
Felder, die in der folgenden Tabelle angezeigt werden, sind für alle ASIM-Schemas gemeinsam. Jede oben angegebene Richtlinie setzt die allgemeinen Richtlinien für das Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel ALLGEMEINE ASIM-Felder .
| Klasse | Felder |
|---|---|
| Erforderlich |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventUid - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
| Empfohlen |
-
EventSubType - EventSeverity - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType |
| Optional |
-
EventMessage - EventOriginalType - EventOriginalSubType - EventOriginalSeverity - EventProductVersion - EventOriginalUid - EventReportUrl - EventResult - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcAction - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Inspektionsfelder
Die folgende Tabelle enthält Felder, die wichtige Einblicke in die Regeln und Bedrohungen im Zusammenhang mit Warnungen bieten. Zusammen tragen sie dazu bei, den Kontext der Warnung zu bereichern, sodass Sicherheitsanalysten ihren Ursprung und ihre Bedeutung leichter verstehen können.
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| AlertId | Alias | string | Alias oder Anzeigename für EventUid feld. |
| AlertName | Empfohlen | string | Titel oder Name der Warnung. E.g. Possible use of the Rubeus kerberoasting tool |
| AlertDescription | Alias | string | Alias oder Anzeigename für EventMessage feld. |
| AlertVerdict | Optional | Aufgelistet | Die endgültige Bestimmung oder das Ergebnis der Warnung, die angibt, ob die Warnung als Bedrohung bestätigt, als verdächtig eingestuft oder als falsch positiv gelöst wurde. Unterstützte Werte: - True Positive (Bestätigt als legitime Bedrohung)- False Positive (Fälschlicherweise als Bedrohung identifiziert)- Benign Positive (wenn das Ereignis als harmlos eingestuft wird)- Unknown(Unsichere oder unbestimmte status) |
| AlertStatus | Optional | Aufgelistet | Gibt den aktuellen Status oder Fortschritt der Warnung an. Unterstützte Werte: - Active- Closed |
| AlertOriginalStatus | Optional | string | Die status der Warnung, die vom Ursprungssystem gemeldet wird. |
| DetectionMethod | Optional | Aufgelistet | Enthält detaillierte Informationen zu der spezifischen Erkennungsmethode, Technologie oder Datenquelle, die zur Generierung der Warnung beigetragen hat. Dieses Feld bietet einen besseren Einblick in die Art und Weise, wie die Warnung erkannt oder ausgelöst wurde, und hilft beim Verständnis des Erkennungskontexts und der Zuverlässigkeit. Unterstützte Werte: - EDR: Endpunkterkennungs- und Reaktionssysteme, die Endpunktaktivitäten überwachen und analysieren, um Bedrohungen zu identifizieren.- Behavioral Analytics: Techniken, die ungewöhnliche Muster im Benutzer-, Geräte- oder Systemverhalten erkennen.- Reputation: Bedrohungserkennung basierend auf dem Ruf von IP-Adressen, Domänen oder Dateien.- Threat Intelligence: Externe oder interne Nachrichtenfeeds, die Daten zu bekannten Bedrohungen oder Angreifertaktiken bereitstellen.- Intrusion Detection: Systeme, die Netzwerkdatenverkehr oder -aktivitäten auf Anzeichen von Eindringversuchen oder Angriffen überwachen.- Automated Investigation: Automatisierte Systeme, die Warnungen analysieren und untersuchen, wodurch die manuelle Arbeitsauslastung reduziert wird.- Antivirus: Herkömmliche Antiviren-Engines, die Schadsoftware basierend auf Signaturen und Heuristiken erkennen.- Data Loss Prevention: Lösungen, die sich auf die Verhinderung nicht autorisierter Datenübertragungen oder Datenlecks konzentrieren.- User Defined Blocked List: Benutzerdefinierte Listen, die von Benutzern definiert werden, um bestimmte IP-Adressen, Domänen oder Dateien zu blockieren.- Cloud Security Posture Management: Tools zum Bewerten und Verwalten von Sicherheitsrisiken in Cloudumgebungen.- Cloud Application Security: Lösungen, die Cloudanwendungen und -daten schützen.- Scheduled Alerts: Warnungen, die basierend auf vordefinierten Zeitplänen oder Schwellenwerten generiert werden.- Other: Jede andere Erkennungsmethode, die nicht von den oben genannten Kategorien abgedeckt wird. |
| Rule | Alias | string | Entweder der Wert von RuleName oder der Wert von RuleNumber. Wenn der Wert von RuleNumber verwendet wird, sollte der Typ in eine Zeichenfolge konvertiert werden. |
| RuleNumber | Optional | int | Die Nummer der Regel, die der Warnung zugeordnet ist. E.g. 123456 |
| RuleName | Optional | string | Der Name oder die ID der Regel, die der Warnung zugeordnet ist. E.g. Server PSEXEC Execution via Remote Access |
| RuleDescription | Optional | string | Beschreibung der Regel, die der Warnung zugeordnet ist. E.g. This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
| ThreatId | Optional | string | Die ID der bedrohungs- oder schadsoftware, die in der Warnung identifiziert wurde. E.g. 1234567891011121314 |
| ThreatName | Optional | string | Der Name der Bedrohung oder Schadsoftware, die in der Warnung identifiziert wurde. E.g. Init.exe |
| ThreatFirstReportedTime | Optional | Datum/Uhrzeit | Datum und Uhrzeit, zu dem die Bedrohung zum ersten Mal gemeldet wurde. E.g. 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Optional | Datum/Uhrzeit | Datum und Uhrzeit, zu dem die Bedrohung zuletzt gemeldet wurde. E.g. 2024-09-19T10:12:10.0000000Z |
| Bedrohungskategorie | Empfohlen | Aufgelistet | Die Kategorie der Bedrohung oder Schadsoftware, die in der Warnung identifiziert wird. Unterstützte Werte sind: Malware, Ransomware, Trojan, Virus, Worm, , Adware, RootkitSpyware, Cryptominor, Phishing, Spam, MaliciousUrl, Spoofing, , Security Policy ViolationUnknown |
| ThreatOriginalCategory | Optional | string | Die Vom Ursprungssystem gemeldete Bedrohungskategorie. |
| ThreatIsActive | Optional | bool | Gibt an, ob die Bedrohung derzeit aktiv ist. Unterstützte Werte sind: True, False |
| ThreatRiskLevel | Optional | RiskLevel (Integer) | Die Risikostufe, die der Bedrohung zugeordnet ist. Die Ebene sollte eine Zahl zwischen 0 und 100 sein. Hinweis: Der Wert kann im Quelldatensatz mithilfe einer anderen Skalierung bereitgestellt werden, die auf diese Skalierung normalisiert werden sollte. Der ursprüngliche Wert sollte in ThreatRiskLevelOriginal gespeichert werden. |
| ThreatOriginalRiskLevel | Optional | string | Die vom Ursprungssystem gemeldete Risikostufe. |
| ThreatConfidence | Optional | ConfidenceLevel (Integer) | Das Konfidenzniveau der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100. |
| ThreatOriginalConfidence | Optional | string | Das vom Ursprungssystem gemeldete Konfidenzniveau. |
| IndicatorType | Empfohlen | Aufgelistet | Typ oder Kategorie des Indikators Unterstützte Werte: - Ip- User- Process- Registry- Url- Host- Cloud Resource- Application- File- Email- Mailbox- Logon Session |
| IndicatorAssociation | Optional | Aufgelistet | Gibt an, ob der Indikator mit der Bedrohung verknüpft ist oder direkt von der Bedrohung betroffen ist. Unterstützte Werte: - Associated- Targeted |
| AttackTactics | Empfohlen | string | Die Angriffstaktiken (Name, ID oder beides), die der Warnung zugeordnet sind. Bevorzugtes Format: E.g: Persistence, Privilege Escalation |
| AttackTechniques | Empfohlen | string | Die Angriffstechniken (Name, ID oder beides), die der Warnung zugeordnet sind. Bevorzugtes Format: E.g: Local Groups (T1069.001), Domain Groups (T1069.002) |
| AttackRemediationSteps | Empfohlen | string | Empfohlene Aktionen oder Schritte, um den identifizierten Angriff oder die identifizierte Bedrohung zu entschärfen oder zu beheben. E.g. 1. Make sure the machine is completely updated and all your software has the latest patch.2. Contact your incident response team. |
Benutzerfelder
In diesem Abschnitt werden Felder definiert, die sich auf die Identifizierung und Klassifizierung von Benutzern beziehen, die einer Warnung zugeordnet sind, um Klarheit über den betroffenen Benutzer und das Format seiner Identität zu schaffen. Wenn die Warnung zusätzliche, mehrere benutzerbezogene Felder enthält, die die hier zugeordneten Felder überschreiten, können Sie überlegen, ob ein spezialisiertes Schema, z. B. das Authentifizierungsereignisschema, geeignet ist, die Daten vollständig darzustellen.
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| UserId | Optional | string | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Benutzers, der der Warnung zugeordnet ist. E.g. A1bC2dE3fH4iJ5kL6mN7o |
| UserIdType | Bedingte | Aufgelistet | Der Typ der Benutzer-ID, z GUID. B. , SIDoder Email.Unterstützte Werte: - GUID- SID- Email- Username- Phone- Other |
| Username | Empfohlen | Benutzername (Zeichenfolge) | Name des Benutzers, der der Warnung zugeordnet ist, einschließlich Domäneninformationen, falls verfügbar. z. B. Contoso\JSmith oder john.smith@contoso.com |
| Benutzer | Alias | string | Alias oder Anzeigename für Username feld. |
| UsernameType | Bedingte | UsernameType | Gibt den Typ des Benutzernamens an, der Username im Feld gespeichert ist. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UsernameType im Artikel Schemaübersicht.E.g. Windows |
| UserType | Optional | UserType | Der Typ des Akteurs. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserType im Artikel Schemaübersicht. E.g. Guest |
| OriginalUserType | Optional | string | Der Benutzertyp, der vom Melden des Geräts gemeldet wird. |
| UserSessionId | Optional | string | Die eindeutige ID der Sitzung des Benutzers, die der Warnung zugeordnet ist. E.g. a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
| UserScopeId | Optional | string | Die Bereichs-ID, z. B. Microsoft Entra Verzeichnis-ID, in der UserId und Username definiert sind. E.g. a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
| UserScope | Optional | string | Der Bereich, z. B. Microsoft Entra Mandant, in dem UserId und Username definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht. E.g. Contoso Directory |
Prozessfelder
In diesem Abschnitt können Sie Details zu einer Prozessentität erfassen, die an einer Warnung beteiligt ist, indem Sie die angegebenen Felder verwenden. Wenn die Warnung zusätzliche, detaillierte prozessbezogene Felder enthält, die das hier zugeordnete Element überschreiten, können Sie überlegen, ob ein spezialisiertes Schema, z. B. das Prozessereignisschema, geeignet ist, die Daten vollständig darzustellen.
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Processid | Optional | string | Die der Warnung zugeordnete Prozess-ID (PID). E.g. 12345678 |
| ProcessCommandLine | Optional | string | Befehlszeile, die zum Starten des Prozesses verwendet wird. E.g. "choco.exe" -v |
| ProcessName | Optional | string | Name des Prozesses. E.g. C:\Windows\explorer.exe |
| ProcessFileCompany | Optional | string | Unternehmen, das die Prozessimagedatei erstellt hat. E.g. Microsoft |
Dateifelder
In diesem Abschnitt können Sie Details zu einer Dateientität erfassen, die an einer Warnung beteiligt ist. Wenn die Warnung zusätzliche, detaillierte dateibezogene Felder enthält, die die hier zugeordneten Felder überschreiten, können Sie überlegen, ob ein spezialisiertes Schema, z. B. das Dateiereignisschema, geeignet ist, die Daten vollständig darzustellen.
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| FileName | Optional | string | Name der Datei, die der Warnung zugeordnet ist, ohne Pfad oder Speicherort. E.g. Notepad.exe |
| FilePath | Optional | string | Der vollständige, normalisierte Pfad der Zieldatei, einschließlich des Ordners oder Speicherorts, des Dateinamens und der Erweiterung. E.g. C:\Windows\System32\notepad.exe |
| FileSHA1 | Optional | string | SHA1-Hash der Datei. E.g. j5kl6mn7op8qr9st0uv1 |
| DateiSHA256 | Optional | string | SHA256-Hash der Datei. E.g. a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
| FileMD5 | Optional | string | MD5-Hash der Datei. E.g. j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
| FileSize | Optional | long | Größe der Datei in Bytes. E.g. 123456 |
URL-Feld
Wenn Ihre Warnung Informationen zur URL-Entität enthält, können die folgenden Felder URL-bezogene Daten erfassen.
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Url | Optional | string | Die in der Warnung erfasste URL-Zeichenfolge. E.g. https://contoso.com/fo/?k=v&q=u#f |
Registrierungsfelder
Wenn Ihre Warnung Details zur Registrierungsentität enthält, verwenden Sie die folgenden Felder, um bestimmte registrierungsbezogene Informationen zu erfassen.
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Registrykey | Optional | string | Der der Warnung zugeordnete Registrierungsschlüssel, normalisiert auf Standardbenennungskonventionen für Stammschlüssel. E.g. HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Optional | string | Registrierungswert. E.g. ImagePath |
| RegistryValueData | Optional | string | Daten des Registrierungswerts. E.g. C:\Windows\system32;C:\Windows; |
| RegistryValueType | Optional | Aufgelistet | Typ des Registrierungswerts. E.g. Reg_Expand_Sz |
Email Felder
Wenn Ihre Warnung Informationen zur E-Mail-Entität enthält, verwenden Sie die folgenden Felder, um bestimmte E-Mail-bezogene Details zu erfassen.
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| EmailMessageId | Optional | string | Eindeutiger Bezeichner für die E-Mail-Nachricht, die der Warnung zugeordnet ist. E.g. Request for Invoice Access |
| EmailSubject | Optional | string | Betreff der E-Mail. E.g. j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
Schema-Updates
Im Folgenden sind die Änderungen in verschiedenen Versionen des Schemas aufgeführt:
- Version 0.1: Erste Version.