Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Microsoft Sentinel-Authentifizierungsschema wird verwendet, um Ereignisse im Zusammenhang mit der Benutzerauthentifizierung, -anmeldung und -abmeldung zu beschreiben. Authentifizierungsereignisse werden von vielen Meldengeräten gesendet, in der Regel als Teil des Ereignisstreams zusammen mit anderen Ereignissen. Windows sendet beispielsweise mehrere Authentifizierungsereignisse neben anderen Betriebssystemaktivitätsereignissen.
Authentifizierungsereignisse umfassen sowohl Ereignisse von Systemen, die sich auf die Authentifizierung konzentrieren, z. B. VPN-Gateways oder Domänencontroller, als auch direkte Authentifizierung an ein Endsystem, z. B. einen Computer oder eine Firewall.
Weitere Informationen zur Normalisierung in Microsoft Sentinel finden Sie unter Normalization and the Advanced Security Information Model (ASIM).
Parser
Stellen Sie ASIM-Authentifizierungsparser aus dem Microsoft Sentinel GitHub-Repository bereit. Weitere Informationen zu ASIM-Parsern finden Sie in den Artikeln ÜBERSICHT ÜBER ASIM-Parser.
Vereinheitlichende Parser
Wenn Sie Parser verwenden möchten, die alle standardmäßigen ASIM-Parser vereinheitlichen und sicherstellen möchten, dass Ihre Analyse in allen konfigurierten Quellen ausgeführt wird, verwenden Sie den imAuthentication Filterparser oder den ASimAuthentication Parser ohne Parameter.
Quellenspezifische Parser
Die Liste der Authentifizierungsparser, die Microsoft Sentinel bereitstellt, finden Sie in der Asim-Parserliste:
Hinzufügen eigener normalisierter Parser
Wenn Sie benutzerdefinierte Parser für das Authentifizierungsinformationsmodell implementieren, benennen Sie Ihre KQL-Funktionen mit der folgenden Syntax:
-
vimAuthentication<vendor><Product>zum Filtern von Parsern -
ASimAuthentication<vendor><Product>für Parameterlose Parser
Informationen zum Hinzufügen ihrer benutzerdefinierten Parser zum vereinheitlichenden Parser finden Sie unter Verwalten von ASIM-Parsern.
Filtern von Parserparametern
Die im Parser und vim* unterstützen filterungsparameter. Diese Parser sind zwar optional, können aber die Abfrageleistung verbessern.
Die folgenden Filterparameter sind verfügbar:
| Name | Typ | Beschreibung |
|---|---|---|
| starttime | Datum/Uhrzeit | Filtern Sie nur Authentifizierungsereignisse, die zu oder nach diesem Zeitpunkt ausgeführt wurden. Dieser Parameter filtert nach dem TimeGenerated Feld, das der Standardbezeichner für den Zeitpunkt des Ereignisses ist, unabhängig von der parserspezifischen Zuordnung der Felder EventStartTime und EventEndTime. |
| endtime | Datum/Uhrzeit | Filtern Sie nur Authentifizierungsereignisse, die zu oder vor diesem Zeitpunkt ausgeführt wurden. Dieser Parameter filtert nach dem TimeGenerated Feld, das der Standardbezeichner für den Zeitpunkt des Ereignisses ist, unabhängig von der parserspezifischen Zuordnung der Felder EventStartTime und EventEndTime. |
| targetusername_has | string | Filtern Sie nur Authentifizierungsereignisse, die über einen der aufgelisteten Benutzernamen verfügen. |
Um beispielsweise nur Authentifizierungsereignisse vom letzten Tag für einen bestimmten Benutzer zu filtern, verwenden Sie Folgendes:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Tipp
Um eine Literalliste an Parameter zu übergeben, die einen dynamischen Wert erwarten, verwenden Sie explizit ein dynamisches Literal. Beispiel: dynamic(['192.168.','10.']).
Normalisierter Inhalt
Normalisierte Authentifizierungsanalyseregeln sind eindeutig, da sie Angriffe über Quellen hinweg erkennen. Wenn sich ein Benutzer beispielsweise bei unterschiedlichen, nicht verwandten Systemen aus verschiedenen Ländern/Regionen angemeldet hat, erkennt Microsoft Sentinel diese Bedrohung jetzt.
Eine vollständige Liste der Analyseregeln, die normalisierte Authentifizierungsereignisse verwenden, finden Sie unter Authentifizierungsschemasicherheitsinhalte.
Schemaübersicht
Das Authentifizierungsinformationsmodell ist am OSSEM-Anmeldeentitätsschema ausgerichtet.
Die in der folgenden Tabelle aufgeführten Felder sind spezifisch für Authentifizierungsereignisse, ähneln jedoch Feldern in anderen Schemas und entsprechen ähnlichen Namenskonventionen.
Authentifizierungsereignisse verweisen auf die folgenden Entitäten:
- TargetUser : Die Benutzerinformationen, die für die Authentifizierung beim System verwendet werden. TargetSystem ist der primäre Betreff des Authentifizierungsereignisses, und der Alias User gibt einen TargetUser-Alias an.
- TargetApp : Die Anwendung, die bei authentifiziert wurde.
- Ziel : Das System, auf dem TargetApp* ausgeführt wird.
- Actor : Der Benutzer, der die Authentifizierung initiiert, wenn er sich von TargetUser unterscheidet.
- ActingApp : Die Anwendung, die vom Actor zum Durchführen der Authentifizierung verwendet wird.
- Src : Das System, das vom Actor zum Initiieren der Authentifizierung verwendet wird.
Die Beziehung zwischen diesen Entitäten wird am besten wie folgt veranschaulicht:
Ein Akteur, der eine aktive Anwendung, ActingApp, auf einem Quellsystem, Src, ausführt, versucht, sich als TargetUser bei einer Zielanwendung, TargetApp, auf einem Zielsystem, TargetDvc, zu authentifizieren.
Schemadetails
In den folgenden Tabellen bezieht sich Type auf einen logischen Typ. Weitere Informationen finden Sie unter Logische Typen.
Allgemeine ASIM-Felder
Wichtig
Felder, die allen Schemas gemeinsam sind, werden im Artikel Allgemeine Felder für ASIM ausführlich beschrieben.
Allgemeine Felder mit bestimmten Richtlinien
In der folgenden Liste werden Felder mit spezifischen Richtlinien für Authentifizierungsereignisse aufgeführt:
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| EventType | Erforderlich | Aufgelistet | Beschreibt den vom Datensatz gemeldeten Vorgang. Für Authentifizierungsdatensätze werden folgende Werte unterstützt: - Logon - Logoff- Elevate |
| EventResultDetails | Empfohlen | Aufgelistet | Die Details, die dem Ereignisergebnis zugeordnet sind. Dieses Feld wird in der Regel aufgefüllt, wenn das Ergebnis ein Fehler ist. Zulässige Werte sind: - No such user or password. Dieser Wert sollte auch verwendet werden, wenn das ursprüngliche Ereignis meldet, dass kein solcher Benutzer ohne Verweis auf ein Kennwort vorhanden ist.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. Dieser Wert sollte verwendet werden, wenn das ursprüngliche Ereignis meldet, z. B. MFA erforderlich, Anmeldung außerhalb der Arbeitszeiten, Einschränkungen für bedingten Zugriff oder zu häufige Versuche.- Session expired- OtherDer Wert kann im Quelldatensatz mit unterschiedlichen Begriffen bereitgestellt werden, die auf diese Werte normalisiert werden sollten. Der ursprüngliche Wert sollte im Feld EventOriginalResultDetails gespeichert werden. |
| EventSubType | Optional | Aufgelistet | Der Anmeldetyp. Zulässige Werte sind: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote – Wird verwendet, wenn der Typ der Remoteanmeldung unbekannt ist.- AssumeRole – Wird in der Regel verwendet, wenn der Ereignistyp ist Elevate. Der Wert kann im Quelldatensatz mit unterschiedlichen Begriffen bereitgestellt werden, die auf diese Werte normalisiert werden sollten. Der ursprüngliche Wert sollte im Feld EventOriginalSubType gespeichert werden. |
| EventSchemaVersion | Erforderlich | SchemaVersion (Zeichenfolge) | Die Version des Schemas. Die hier dokumentierte Version des Schemas lautet 0.1.4 |
| EventSchema | Erforderlich | Aufgelistet | Der Name des hier dokumentierten Schemas lautet Authentication. |
| Dvc-Felder | - | - | Bei Authentifizierungsereignissen verweisen Gerätefelder auf das System, das das Ereignis meldet. |
Alle gemeinsamen Felder
Felder, die in der folgenden Tabelle angezeigt werden, sind für alle ASIM-Schemas gemeinsam. Jede oben angegebene Richtlinie setzt die allgemeinen Richtlinien für das Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel ALLGEMEINE FELDER für ASIM .
| Class | Fields |
|---|---|
| Erforderlich |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Empfohlen |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optional |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Authentifizierungsspezifische Felder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| LogonMethod | Optional | Zeichenfolge | Die Methode, die zum Durchführen der Authentifizierung verwendet wird. Zulässige Werte sind: Managed Identity, Service Principal, Username & Password, Multi factor authentication, Passwordless, PKI, PAMund Other. Beispiele: Managed Identity |
| LogonProtocol | Optional | Zeichenfolge | Das protokoll, das zum Durchführen der Authentifizierung verwendet wird. Beispiel: NTLM |
Akteurfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| ActorUserId | Optional | Zeichenfolge | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Akteurs. Weitere Informationen und alternative Felder für zusätzliche IDs finden Sie unter Die Entität User. Beispiel: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Optional | Zeichenfolge | Der Bereich, z. B. Microsoft Entra Mandant, in dem ActorUserId und ActorUsername definiert sind. oder weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht. |
| ActorScopeId | Optional | Zeichenfolge | Die Bereichs-ID, z. B. Microsoft Entra Verzeichnis-ID, in der ActorUserId und ActorUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht. |
| ActorUserIdType | Bedingte | UserIdType | Der Typ der ID, die im Feld ActorUserId gespeichert ist. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserIdType im Artikel Schemaübersicht. |
| ActorUsername | Optional | Benutzername (Zeichenfolge) | Der Benutzername des Akteurs, einschließlich Domäneninformationen, falls verfügbar. Weitere Informationen finden Sie unter Die Entität User. Beispiel: AlbertE |
| ActorUsernameType | Bedingte | UsernameType | Gibt den Typ des Benutzernamens an, der im Feld ActorUsername gespeichert ist. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UsernameType im Artikel Schemaübersicht. Beispiel: Windows |
| ActorUserType | Optional | UserType | Der Typ des Akteurs. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserType im Artikel Schemaübersicht. Beispiel: Guest |
| ActorOriginalUserType | Optional | Zeichenfolge | Der Benutzertyp, der vom Melden des Geräts gemeldet wird. |
| ActorSessionId | Optional | Zeichenfolge | Die eindeutige ID der Anmeldesitzung des Actors. Beispiel: 102pTUgC3p8RIqHvzxLCHnFlg |
Verwenden von Anwendungsfeldern
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| ActingAppId | Optional | Zeichenfolge | Die ID der Anwendung, die im Auftrag des Akteurs autorisiert wird, einschließlich eines Prozesses, Browsers oder Diensts. Beispiel: 0x12ae8 |
| ActingAppName | Optional | Zeichenfolge | Der Name der Anwendung, die im Namen des Akteurs autorisiert wird, einschließlich eines Prozesses, Browsers oder Diensts. Beispiel: C:\Windows\System32\svchost.exe |
| ActingAppType | Optional | AppType | Der Typ der handelnden Anwendung. Weitere Informationen und eine Liste zulässiger Werte finden Sie unter AppType im Artikel Schemaübersicht. |
| ActingOriginalAppType | Optional | Zeichenfolge | Der Typ der handelnden Anwendung, wie vom meldenden Gerät gemeldet. |
| HttpUserAgent | Optional | Zeichenfolge | Wenn die Authentifizierung über HTTP oder HTTPS durchgeführt wird, ist der Wert dieses Felds der user_agent HTTP-Header, der von der handelnden Anwendung bei der Authentifizierung bereitgestellt wird. Beispiel: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Zielbenutzerfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| TargetUserId | Optional | Zeichenfolge | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Zielbenutzers. Weitere Informationen und alternative Felder für zusätzliche IDs finden Sie unter Die Entität User. Beispiel: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | Optional | Zeichenfolge | Der Bereich, z. B. Microsoft Entra Mandant, in dem TargetUserId und TargetUsername definiert sind. oder weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht. |
| TargetUserScopeId | Optional | Zeichenfolge | Die Bereichs-ID, z. B. Microsoft Entra Verzeichnis-ID, in der TargetUserId und TargetUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht. |
| TargetUserIdType | Bedingte | UserIdType | Der Typ der Benutzer-ID, die im Feld TargetUserId gespeichert ist. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserIdType im Artikel Schemaübersicht. Beispiel: SID |
| TargetUsername | Optional | Benutzername (Zeichenfolge) | Der Benutzername des Zielbenutzers, einschließlich Domäneninformationen, falls verfügbar. Weitere Informationen finden Sie unter Die Entität User. Beispiel: MarieC |
| TargetUsernameType | Bedingte | UsernameType | Gibt den Typ des Benutzernamens an, der im Feld TargetUsername gespeichert ist. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UsernameType im Artikel Schemaübersicht. |
| TargetUserType | Optional | UserType | Der Typ des Zielbenutzers. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserType im Artikel Schemaübersicht. Beispiel: Member |
| TargetSessionId | Optional | Zeichenfolge | Der Anmeldesitzungsbezeichner des TargetUser auf dem Quellgerät. |
| TargetOriginalUserType | Optional | Zeichenfolge | Der Benutzertyp, der vom Melden des Geräts gemeldet wird. |
| Benutzer | Alias | Benutzername (Zeichenfolge) | Alias für TargetUsername oder TargetUserId , wenn TargetUsername nicht definiert ist. Beispiel: CONTOSO\dadmin |
Quellsystemfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Src | Empfohlen | Zeichenfolge | Ein eindeutiger Bezeichner des Quellgeräts. Dieses Feld kann ein Alias für die Felder SrcDvcId, SrcHostname oder SrcIpAddr sein. Beispiel: 192.168.12.1 |
| SrcDvcId | Optional | Zeichenfolge | Die ID des Quellgeräts. Wenn mehrere IDs verfügbar sind, verwenden Sie die wichtigste, und speichern Sie die anderen in den Feldern SrcDvc<DvcIdType>.Beispiel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Optional | Zeichenfolge | Die Bereichs-ID der Cloudplattform, zu der das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID auf Azure und einer Konto-ID in AWS zugeordnet. |
| SrcDvcScope | Optional | Zeichenfolge | Der Cloudplattformbereich, zu dem das Gerät gehört. SrcDvcScope wird einer Abonnement-ID auf Azure und einer Konto-ID in AWS zugeordnet. |
| SrcDvcIdType | Bedingte | DvcIdType | Der Typ von SrcDvcId. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType im Artikel Schemaübersicht. Hinweis: Dieses Feld ist erforderlich, wenn SrcDvcId verwendet wird. |
| SrcDeviceType | Optional | DeviceType | Der Typ des Quellgeräts. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DeviceType im Artikel Schemaübersicht. |
| SrcHostname | Optional | Hostname | Der Hostname des Quellgeräts ohne Domäneninformationen. Wenn kein Gerätename verfügbar ist, speichern Sie die relevante IP-Adresse in diesem Feld. Beispiel: DESKTOP-1282V4D |
| SrcDomain | Optional | Domäne (Zeichenfolge) | Die Domäne des Quellgeräts. Beispiel: Contoso |
| SrcDomainType | Bedingte | DomainType | Der Typ von SrcDomain. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DomainType im Artikel Schemaübersicht. Erforderlich, wenn SrcDomain verwendet wird. |
| SrcFQDN | Optional | FQDN (Zeichenfolge) | Der Hostname des Quellgeräts, einschließlich Domäneninformationen, sofern verfügbar. Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format Domäne\Hostname. Das Feld SrcDomainType gibt das verwendete Format an. Beispiel: Contoso\DESKTOP-1282V4D |
| SrcDescription | Optional | Zeichenfolge | Ein beschreibender Text, der dem Gerät zugeordnet ist. Beispiel: Primary Domain Controller. |
| SrcIpAddr | Empfohlen | IP-Adresse | Die IP-Adresse des Quellgeräts. Beispiel: 2.2.2.2 |
| SrcPortNumber | Optional | Integer | Der IP-Port, von dem die Verbindung stammt. Beispiel: 2335 |
| SrcDvcOs | Optional | Zeichenfolge | Das Betriebssystem des Quellgeräts. Beispiel: Windows 10 |
| IpAddr | Alias | Alias für SrcIpAddr | |
| SrcIsp | Optional | Zeichenfolge | Der Internetdienstanbieter (INTERNET Service Provider, ISP), der vom Quellgerät zum Herstellen einer Verbindung mit dem Internet verwendet wird. Beispiel: corpconnect |
| SrcGeoCountry | Optional | Land | Beispiel: Canada Weitere Informationen finden Sie unter Logische Typen. |
| SrcGeoCity | Optional | Stadt/Ort | Beispiel: Montreal Weitere Informationen finden Sie unter Logische Typen. |
| SrcGeoRegion | Optional | Region | Beispiel: Quebec Weitere Informationen finden Sie unter Logische Typen. |
| SrcGeoLongitude | Optional | Längengrad | Beispiel: -73.614830 Weitere Informationen finden Sie unter Logische Typen. |
| SrcGeoLatitude | Optional | Breitengrad | Beispiel: 45.505918 Weitere Informationen finden Sie unter Logische Typen. |
| SrcRiskLevel | Optional | Integer | Die der Quelle zugeordnete Risikostufe. Der Wert sollte auf einen Bereich von 0100bis angepasst werden, mit 0 für gutartig und 100 für ein hohes Risiko.Beispiel: 90 |
| SrcOriginalRiskLevel | Optional | Zeichenfolge | Die risikobehaftete Ebene, die der Quelle zugeordnet ist, wie vom Melden des Geräts gemeldet. Beispiel: Suspicious |
Zielanwendungsfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| TargetAppId | Optional | Zeichenfolge | Die ID der Anwendung, für die die Autorisierung erforderlich ist, die häufig vom meldenden Gerät zugewiesen wird. Beispiel: 89162 |
| TargetAppName | Optional | Zeichenfolge | Der Name der Anwendung, für die die Autorisierung erforderlich ist, einschließlich eines Diensts, einer URL oder einer SaaS-Anwendung. Beispiel: Saleforce |
| Anwendung | Alias | Alias für TargetAppName. | |
| TargetAppType | Bedingte | AppType | Der Typ der Anwendung, die im Namen des Actor autorisiert. Weitere Informationen und eine Liste zulässiger Werte finden Sie unter AppType im Artikel Schemaübersicht. |
| TargetOriginalAppType | Optional | Zeichenfolge | Der Typ der Anwendung, die im Namen des Actor autorisiert wird, wie vom meldenden Gerät gemeldet. |
| TargetUrl | Optional | URL | Die URL, die der Zielanwendung zugeordnet ist. Beispiel: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Alias | Alias für TargetAppName, TargetUrl oder TargetHostname, je nachdem, welches Feld das Authentifizierungsziel am besten beschreibt. |
Zielsystemfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Dst | Alias | Zeichenfolge | Ein eindeutiger Bezeichner des Authentifizierungsziels. Dieses Feld kann ein Alias für die Felder TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId oder TargetAppName sein. Beispiel: 192.168.12.1 |
| TargetHostname | Empfohlen | Hostname | Der Hostname des Zielgeräts ohne Domäneninformationen. Beispiel: DESKTOP-1282V4D |
| TargetDomain | Empfohlen | Domäne (Zeichenfolge) | Die Domäne des Zielgeräts. Beispiel: Contoso |
| TargetDomainType | Bedingte | Aufgelistet | Der Typ von TargetDomain. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DomainType im Artikel Schemaübersicht. Erforderlich, wenn TargetDomain verwendet wird. |
| TargetFQDN | Optional | FQDN (Zeichenfolge) | Der Hostname des Zielgeräts, einschließlich Domäneninformationen, falls verfügbar. Beispiel: Contoso\DESKTOP-1282V4D Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format Domäne\Hostname. TargetDomainType gibt das verwendete Format an. |
| TargetDescription | Optional | Zeichenfolge | Ein beschreibender Text, der dem Gerät zugeordnet ist. Beispiel: Primary Domain Controller. |
| TargetDvcId | Optional | Zeichenfolge | Die ID des Zielgeräts. Wenn mehrere IDs verfügbar sind, verwenden Sie die wichtigste, und speichern Sie die anderen in den Feldern TargetDvc<DvcIdType>. Beispiel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Optional | Zeichenfolge | Die Bereichs-ID der Cloudplattform, zu der das Gerät gehört. TargetDvcScopeId wird einer Abonnement-ID auf Azure und einer Konto-ID in AWS zugeordnet. |
| TargetDvcScope | Optional | Zeichenfolge | Der Cloudplattformbereich, zu dem das Gerät gehört. TargetDvcScope wird einer Abonnement-ID auf Azure und einer Konto-ID in AWS zugeordnet. |
| TargetDvcIdType | Bedingte | Aufgelistet | Der Typ von TargetDvcId. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType im Artikel Schemaübersicht. Erforderlich, wenn TargetDeviceId verwendet wird. |
| TargetDeviceType | Optional | Aufgelistet | Der Typ des Zielgeräts. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DeviceType im Artikel Schemaübersicht. |
| TargetIpAddr | Optional | IP-Adresse | Die IP-Adresse des Zielgeräts. Beispiel: 2.2.2.2 |
| TargetDvcOs | Optional | Zeichenfolge | Das Betriebssystem des Zielgeräts. Beispiel: Windows 10 |
| TargetPortNumber | Optional | Integer | Der Port des Zielgeräts. |
| TargetGeoCountry | Optional | Land | Das Land/die Region, das der Ziel-IP-Adresse zugeordnet ist. Beispiel: USA |
| TargetGeoRegion | Optional | Region | Die Region, die der Ziel-IP-Adresse zugeordnet ist. Beispiel: Vermont |
| TargetGeoCity | Optional | Stadt/Ort | Der Ort, der der ZIEL-IP-Adresse zugeordnet ist. Beispiel: Burlington |
| TargetGeoLatitude | Optional | Breitengrad | Der Breitengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist. Beispiel: 44.475833 |
| TargetGeoLongitude | Optional | Längengrad | Der Längengrad der geografischen Koordinate, die der ZIEL-IP-Adresse zugeordnet ist. Beispiel: 73.211944 |
| TargetRiskLevel | Optional | Integer | Die Risikostufe, die dem Ziel zugeordnet ist. Der Wert sollte auf einen Bereich von 0100bis angepasst werden, mit 0 für gutartig und 100 für ein hohes Risiko.Beispiel: 90 |
| TargetOriginalRiskLevel | Optional | Zeichenfolge | Die Risikostufe, die dem Ziel zugeordnet ist, wie vom Melden des Geräts gemeldet. Beispiel: Suspicious |
Inspektionsfelder
Die folgenden Felder werden verwendet, um die von einem Sicherheitssystem durchgeführte Überprüfung darzustellen.
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Rulename | Optional | Zeichenfolge | Der Name oder die ID der Regel von, die den Inspektionsergebnissen zugeordnet ist. |
| RuleNumber | Optional | Integer | Die Nummer der Regel, die den Inspektionsergebnissen zugeordnet ist. |
| Rule | Alias | Zeichenfolge | Entweder der Wert von RuleName oder der Wert von RuleNumber. Wenn der Wert von RuleNumber verwendet wird, sollte der Typ in eine Zeichenfolge konvertiert werden. |
| ThreatId | Optional | Zeichenfolge | Die ID der Bedrohung oder Schadsoftware, die in der Überwachungsaktivität identifiziert wurde. |
| ThreatName | Optional | Zeichenfolge | Der Name der Bedrohung oder Schadsoftware, die in der Überwachungsaktivität identifiziert wurde. |
| Bedrohungskategorie | Optional | Zeichenfolge | Die Kategorie der Bedrohung oder Schadsoftware, die in der Überwachungsdateiaktivität identifiziert wurde. |
| ThreatRiskLevel | Optional | RiskLevel (Integer) | Die Risikostufe, die der identifizierten Bedrohung zugeordnet ist. Die Ebene sollte eine Zahl zwischen 0 und 100 sein. Hinweis: Der Wert kann im Quelldatensatz mithilfe einer anderen Skalierung bereitgestellt werden, die auf diese Skalierung normalisiert werden sollte. Der ursprüngliche Wert sollte in ThreatRiskLevelOriginal gespeichert werden. |
| ThreatOriginalRiskLevel | Optional | Zeichenfolge | Die vom Melden des Geräts gemeldete Risikostufe. |
| ThreatConfidence | Optional | ConfidenceLevel (Integer) | Das Konfidenzniveau der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100. |
| ThreatOriginalConfidence | Optional | Zeichenfolge | Das ursprüngliche Konfidenzniveau der identifizierten Bedrohung, wie vom Melden des Geräts gemeldet. |
| ThreatIsActive | Optional | Boolean | True, wenn die identifizierte Bedrohung als aktive Bedrohung angesehen wird. |
| ThreatFirstReportedTime | Optional | Datum/Uhrzeit | Beim ersten Mal wurde die IP-Adresse oder Domäne als Bedrohung identifiziert. |
| ThreatLastReportedTime | Optional | Datum/Uhrzeit | Der Zeitpunkt, zu dem die IP-Adresse oder Domäne zuletzt als Bedrohung identifiziert wurde. |
| ThreatIpAddr | Optional | IP-Adresse | Eine IP-Adresse, für die eine Bedrohung identifiziert wurde. Das Feld ThreatField enthält den Namen des Felds ThreatIpAddr darstellt. |
| ThreatField | Bedingte | Aufgelistet | Das Feld, für das eine Bedrohung identifiziert wurde. Der Wert ist entweder SrcIpAddr oder TargetIpAddr. |
Schemaaktualisierungen
Dies sind die Änderungen in Version 0.1.1 des Schemas:
- Benutzer- und Geräteentitätsfelder wurden aktualisiert, um sie an anderen Schemas auszurichten.
- Umbenannt
TargetDvcin bzwSrcDvcSrc. entsprechendTargetden aktuellen ASIM-Richtlinien. Die umbenannten Felder werden bis zum 1. Juli 2022 als Aliase implementiert. Zu diesen Feldern gehören:SrcDvcHostname,SrcDvcHostnameType,SrcDvcType,SrcDvcIpAddr,TargetDvcHostname,TargetDvcHostnameType,TargetDvcType,TargetDvcIpAddrundTargetDvc. - Die Aliase
SrcundDstwurden hinzugefügt. - Die Felder
SrcDvcIdType,SrcDeviceType,TargetDvcIdTypeundTargetDeviceType, und wurden hinzugefügtEventSchema.
Dies sind die Änderungen in Version 0.1.2 des Schemas:
- Die Felder
ActorScope,TargetUserScope, ,SrcDvcScopeId,SrcDvcScope,TargetDvcScopeIdTargetDvcScope,DvcScopeId, undDvcScopewurden hinzugefügt.
Dies sind die Änderungen in Version 0.1.3 des Schemas:
- Die Felder
SrcPortNumber,ActorOriginalUserType, ,ActorScopeId,TargetOriginalUserType,TargetUserScopeId,SrcDescription,SrcRiskLevelSrcOriginalRiskLevel, undTargetDescriptionwurden hinzugefügt. - Inspektionsfelder hinzugefügt
- Felder für den geografischen Standort des Zielsystems hinzugefügt.
Dies sind die Änderungen in Version 0.1.4 des Schemas:
- Die Felder
ActingOriginalAppTypeundTargetOriginalAppTypewurden hinzugefügt. - Der Alias
Applicationwurde hinzugefügt.
Nächste Schritte
Weitere Informationen finden Sie unter:
- Sehen Sie sich das ASIM-Webinar an, oder überprüfen Sie die Folien
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Advanced Security Information Model (ASIM)-Schemas
- ASIM-Parser (Advanced Security Information Model)
- Inhalt des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM)