Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Microsoft Sentinel Normalisierungsschema für Überwachungsereignisse stellt Ereignisse dar, die dem Überwachungspfad von Informationssystemen zugeordnet sind. Der Überwachungspfad protokolliert Systemkonfigurationsaktivitäten und Richtlinienänderungen. Solche Änderungen werden häufig von Systemadministratoren vorgenommen, können aber auch von Benutzern vorgenommen werden, wenn sie die Einstellungen ihrer eigenen Anwendungen konfigurieren.
Jedes System protokolliert Überwachungsereignisse neben seinen Kernaktivitätsprotokollen. Beispielsweise protokolliert eine Firewall Ereignisse zu den Netzwerksitzungen ist Prozesse und überwacht Ereignisse zu Konfigurationsänderungen, die auf die Firewall selbst angewendet werden.
Weitere Informationen zur Normalisierung in Microsoft Sentinel finden Sie unter Normalization and the Advanced Security Information Model (ASIM).
Schemaübersicht
Die Hauptfelder eines Überwachungsereignisses sind:
- Das -Objekt, bei dem es sich z. B. um eine verwaltete Ressource oder Richtlinienregel handeln kann, auf die sich das Ereignis konzentriert, dargestellt durch das Feld Objekt. Das Feld ObjectType gibt den Typ des Objekts an.
- Der Anwendungskontext des Objekts, dargestellt durch das Feld TargetAppName, das von Application als Alias verwendet wird.
- Der Vorgang, der für das Objekt ausgeführt wird, dargestellt durch die Felder EventType und Operation. Während Operation der Wert ist, den die Quelle gemeldet hat, ist EventType eine normalisierte Version, die quellenübergreifend konsistenter ist.
- Die alten und neuen Werte für das Objekt, falls zutreffend, dargestellt durch OldValue bzw . NewValue .
Überwachungsereignisse verweisen auch auf die folgenden Entitäten, die am Konfigurationsvorgang beteiligt sind:
- Actor : Der Benutzer, der den Konfigurationsvorgang ausführt.
- TargetApp : Die Anwendung oder das System, für die der Konfigurationsvorgang gilt.
- Ziel : Das System, auf dem TargetApp* ausgeführt wird.
- ActingApp : Die Anwendung, die vom Actor zum Ausführen des Konfigurationsvorgangs verwendet wird.
- Src : Das System, das vom Actor verwendet wird, um den Konfigurationsvorgang zu initiieren, wenn es sich von Target unterscheidet.
Der Deskriptor Dvc wird für das meldende Gerät verwendet, bei dem es sich um das lokale System für von einem Endpunkt gemeldete Sitzungen handelt, und in anderen Fällen für das Zwischen- oder Sicherheitsgerät.
Parser
Bereitstellen und Verwenden von Überwachungsereignisseparsern
Stellen Sie die ASIM-Überwachungsereignisse-Parser aus dem Microsoft Sentinel GitHub-Repository bereit. Um alle Überwachungsereignisquellen abzufragen, verwenden Sie den vereinheitlichenden Parser imAuditEvent als Tabellennamen in Ihrer Abfrage.
Weitere Informationen zur Verwendung von ASIM-Parsern finden Sie in der Übersicht über ASIM-Parser. Die Liste der Überwachungsereignisparser, die Microsoft Sentinel sofort verfügbar sind, finden Sie in der Liste der ASIM-Parser.
Hinzufügen eigener normalisierter Parser
Wenn Sie benutzerdefinierte Parser für das Dateiereignisinformationsmodell implementieren, benennen Sie Ihre KQL-Funktionen mit der folgenden Syntax: imAuditEvent<vendor><Product>. Lesen Sie den Artikel Verwalten von ASIM-Parsern , um zu erfahren, wie Sie Ihre benutzerdefinierten Parser zum vereinheitlichenden Parser des Überwachungsereignisses hinzufügen.
Filtern von Parserparametern
Die Überwachungsereignisseparser unterstützen das Filtern von Parametern. Diese Parameter sind zwar optional, können aber die Abfrageleistung verbessern.
Die folgenden Filterparameter sind verfügbar:
| Name | Typ | Beschreibung |
|---|---|---|
| starttime | Datum/Uhrzeit | Filtern Sie nur Ereignisse, die zu oder nach diesem Zeitpunkt ausgeführt wurden. Dieser Parameter verwendet das TimeGenerated -Feld als Zeit-Bezeichner des Ereignisses. |
| endtime | Datum/Uhrzeit | Filtern Sie nur Ereignisabfragen, die zu oder vor diesem Zeitpunkt ausgeführt wurden. Dieser Parameter verwendet das TimeGenerated -Feld als Zeit-Bezeichner des Ereignisses. |
| srcipaddr_has_any_prefix | Dynamische | Filtern Sie nur Ereignisse aus dieser Quell-IP-Adresse, wie im Feld SrcIpAddr dargestellt. |
| eventtype_in | string | Filtern Sie nur Ereignisse, bei denen der Ereignistyp, wie im Feld EventType dargestellt, einem der bereitgestellten Begriffe entspricht. |
| eventresult | string | Filtern Sie nur Ereignisse, bei denen das Im Feld EventResult dargestellte Ereignisergebnis gleich dem Parameterwert ist. |
| actorusername_has_any | dynamic/string | Filtern Sie nur Ereignisse, in denen actorUsername einen der bereitgestellten Begriffe enthält. |
| operation_has_any | dynamic/string | Filtern Sie nur Ereignisse, in denen das Feld Vorgang einen der angegebenen Begriffe enthält. |
| object_has_any | dynamic/string | Filtern Sie nur Ereignisse, in denen das Objektfeld einen der angegebenen Begriffe enthält. |
| newvalue_has_any | dynamic/string | Filtern Sie nur Ereignisse, in denen das Feld NewValue einen der bereitgestellten Begriffe enthält. |
Einige Parameter können sowohl eine Liste von Werten vom Typ dynamic als auch einen einzelnen Zeichenfolgenwert akzeptieren. Um eine Literalliste an Parameter zu übergeben, die einen dynamischen Wert erwarten, verwenden Sie explizit ein dynamisches Literal. Beispiel: dynamic(['192.168.','10.'])
Um beispielsweise nur Überwachungsereignisse mit den Begriffen install oder update im Feld Vorgang vom letzten Tag zu filtern, verwenden Sie Folgendes:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
Schemadetails
Allgemeine ASIM-Felder
Wichtig
Felder, die allen Schemas gemeinsam sind, werden im Artikel Allgemeine Felder für ASIM ausführlich beschrieben.
Allgemeine Felder mit bestimmten Richtlinien
In der folgenden Liste werden Felder mit spezifischen Richtlinien für Überwachungsereignisse aufgeführt:
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Eventtype | Erforderlich | Aufgelistet | Beschreibt den Vorgang, der vom Ereignis mithilfe eines normalisierten Werts überwacht wird. Verwenden Sie EventSubType , um weitere Details bereitzustellen, die der normalisierte Wert nicht vermittelt, und Operation. , um den Vorgang zu speichern, wie vom meldenden Gerät gemeldet. Für Überwachungsereignisdatensätze sind folgende Werte zulässig: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Initialize- Start- Stop- Other Überwachungsereignisse stellen eine Vielzahl von Vorgängen dar, und der Other Wert ermöglicht Zuordnungsvorgänge ohne entsprechende EventType. Die Verwendung von Other schränkt jedoch die Nutzbarkeit des Ereignisses ein und sollte nach Möglichkeit vermieden werden. |
| EventSubType | Optional | Zeichenfolge | Stellt weitere Details bereit, die der normalisierte Wert in EventType nicht vermittelt. |
| EventSchema | Erforderlich | Aufgelistet | Der Name des hier dokumentierten Schemas lautet AuditEvent. |
| EventSchemaVersion | Erforderlich | SchemaVersion (Zeichenfolge) | Die Version des Schemas. Die hier dokumentierte Version des Schemas ist 0.1.2. |
Alle gemeinsamen Felder
Felder, die in der Tabelle angezeigt werden, sind für alle ASIM-Schemas gemeinsam. Alle in diesem Dokument angegebenen Richtlinien setzen die allgemeinen Richtlinien für das Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel ALLGEMEINE ASIM-Felder .
| Class | Fields |
|---|---|
| Erforderlich |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Empfohlen |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optional |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Überwachungsfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Vorgang | Erforderlich | Zeichenfolge | Der vom Melden des Geräts gemeldete Vorgang. |
| Objekt | Erforderlich | Zeichenfolge | Der Name des Objekts, für das der durch EventType identifizierte Vorgang ausgeführt wird. |
| Objectid | Optional | Zeichenfolge | Die ID des Objekts, für das der durch EventType identifizierte Vorgang ausgeführt wird. |
| Objecttype | Bedingte | Aufgelistet | Der Objekttyp. Gültige Werte sind: - Cloud Resource- Configuration Atom- Policy Rule- Event Log- Scheduled Task- Service- Directory Service Object- Other |
| OriginalObjectType | Optional | Zeichenfolge | Der Vom Berichtssystem gemeldete Objekttyp. |
| Oldvalue | Optional | Zeichenfolge | Der alte Wert von Object vor dem Vorgang, falls zutreffend. |
| Newvalue | Empfohlen | Zeichenfolge | Der neue Wert von Object , nachdem der Vorgang ausgeführt wurde, falls zutreffend. |
| Wert | Alias | Alias für NewValue | |
| Valuetype | Bedingte | Aufgelistet | Der Typ der alten und neuen Werte. Zulässige Werte sind -Andere |
Akteurfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| ActorUserId | Optional | Zeichenfolge | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Akteurs. Weitere Informationen und alternative Felder für andere IDs finden Sie unter Die Entität User. Beispiel: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Optional | Zeichenfolge | Der Bereich, z. B. Microsoft Entra Domänenname, in dem ActorUserId und ActorUsername definiert sind. oder weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht. |
| ActorScopeId | Optional | Zeichenfolge | Die Bereichs-ID, z. B. Microsoft Entra Verzeichnis-ID, in der ActorUserId und ActorUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht. |
| ActorUserIdType | Bedingte | Aufgelistet | Der Typ der ID, die im Feld ActorUserId gespeichert ist. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserIdType im Artikel Schemaübersicht. |
| ActorUsername | Empfohlen | Benutzername (Zeichenfolge) | Der Benutzername des Akteurs, einschließlich Domäneninformationen, falls verfügbar. Weitere Informationen finden Sie unter Die Entität User. Beispiel: AlbertE |
| Benutzer | Alias | Alias für ActorUsername | |
| ActorUsernameType | Bedingte | UsernameType | Gibt den Typ des Benutzernamens an, der im Feld ActorUsername gespeichert ist. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UsernameType im Artikel Schemaübersicht. Beispiel: Windows |
| ActorUserType | Optional | UserType | Der Typ des Akteurs. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserType im Artikel Schemaübersicht. Beispiel: Guest |
| ActorOriginalUserType | Optional | Zeichenfolge | Der Benutzertyp, der vom Melden des Geräts gemeldet wird. |
| ActorSessionId | Optional | Zeichenfolge | Die eindeutige ID der Anmeldesitzung des Actors. Beispiel: 102pTUgC3p8RIqHvzxLCHnFlg |
Zielanwendungsfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| TargetAppId | Optional | Zeichenfolge | Die ID der Anwendung, für die das Ereignis gilt, einschließlich eines Prozesses, Browsers oder Diensts. Beispiel: 89162 |
| TargetAppName | Optional | Zeichenfolge | Der Name der Anwendung, für die das Ereignis gilt, einschließlich eines Diensts, einer URL oder einer SaaS-Anwendung. Beispiel: Exchange 365 |
| Anwendung | Alias | Alias für TargetAppName | |
| TargetAppType | Bedingte | AppType | Der Typ der Anwendung, die im Namen des Actor autorisiert. Weitere Informationen und eine Liste zulässiger Werte finden Sie unter AppType im Artikel Schemaübersicht. |
| TargetOriginalAppType | Optional | Zeichenfolge | Der Typ der Anwendung, für die das Ereignis gilt, wie vom meldenden Gerät gemeldet. |
| TargetUrl | Optional | URL | Die URL, die der Zielanwendung zugeordnet ist. Beispiel: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
Zielsystemfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Dst | Alias | Zeichenfolge | Ein eindeutiger Bezeichner des Authentifizierungsziels. Dieses Feld kann ein Alias für die Felder TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId oder TargetAppName sein. Beispiel: 192.168.12.1 |
| TargetHostname | Empfohlen | Hostname | Der Hostname des Zielgeräts ohne Domäneninformationen. Beispiel: DESKTOP-1282V4D |
| TargetDomain | Optional | Domain(String) | Die Domäne des Zielgeräts. Beispiel: Contoso |
| TargetDomainType | Bedingte | Aufgelistet | Der Typ von TargetDomain. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DomainType im Artikel Schemaübersicht. Erforderlich, wenn TargetDomain verwendet wird. |
| TargetFQDN | Optional | FQDN (Zeichenfolge) | Der Hostname des Zielgeräts, einschließlich Domäneninformationen, falls verfügbar. Beispiel: Contoso\DESKTOP-1282V4D Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format Domäne\Hostname. TargetDomainType gibt das verwendete Format an. |
| TargetDescription | Optional | Zeichenfolge | Ein beschreibender Text, der dem Gerät zugeordnet ist. Beispiel: Primary Domain Controller. |
| TargetDvcId | Optional | Zeichenfolge | Die ID des Zielgeräts. Wenn mehrere IDs verfügbar sind, verwenden Sie die wichtigste, und speichern Sie die anderen in den Feldern TargetDvc<DvcIdType>. Beispiel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Optional | Zeichenfolge | Die Bereichs-ID der Cloudplattform, zu der das Gerät gehört. TargetDvcScopeId wird einer Abonnement-ID auf Azure und einer Konto-ID in AWS zugeordnet. |
| TargetDvcScope | Optional | Zeichenfolge | Der Cloudplattformbereich, zu dem das Gerät gehört. TargetDvcScope wird einer Abonnement-ID auf Azure und einer Konto-ID in AWS zugeordnet. |
| TargetDvcIdType | Bedingte | Aufgelistet | Der Typ von TargetDvcId. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType im Artikel Schemaübersicht. Erforderlich, wenn TargetDeviceId verwendet wird. |
| TargetDeviceType | Optional | Aufgelistet | Der Typ des Zielgeräts. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DeviceType im Artikel Schemaübersicht. |
| TargetIpAddr | Empfohlen | IP-Adresse | Die IP-Adresse des Zielgeräts. Beispiel: 2.2.2.2 |
| TargetDvcOs | Optional | Zeichenfolge | Das Betriebssystem des Zielgeräts. Beispiel: Windows 10 |
| TargetPortNumber | Optional | Integer | Der Port des Zielgeräts. |
| TargetGeoCountry | Optional | Land | Das Land/die Region, das der Ziel-IP-Adresse zugeordnet ist. Beispiel: USA |
| TargetGeoRegion | Optional | Region | Die Region in einem Land/einer Region, die der Ziel-IP-Adresse zugeordnet ist. Beispiel: Vermont |
| TargetGeoCity | Optional | Stadt/Ort | Der Ort, der der Ziel-IP-Adresse zugeordnet ist. Beispiel: Burlington |
| TargetGeoLatitude | Optional | Breitengrad | Der Breitengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist. Beispiel: 44.475833 |
| TargetGeoLongitude | Optional | Längengrad | Der Längengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist. Beispiel: 73.211944 |
| TargetRiskLevel | Optional | Integer | Die Risikostufe, die dem Ziel zugeordnet ist. Der Wert sollte auf einen Bereich von 0100bis angepasst werden, mit 0 für gutartig und 100 für ein hohes Risiko.Beispiel: 90 |
| TargetOriginalRiskLevel | Optional | Zeichenfolge | Die Risikostufe, die dem Ziel zugeordnet ist, wie vom Melden des Geräts gemeldet. Beispiel: Suspicious |
Verwenden von Anwendungsfeldern
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| ActingAppId | Optional | Zeichenfolge | Die ID der Anwendung, die die gemeldete Aktivität initiiert hat, einschließlich eines Prozesses, Browsers oder Diensts. Beispiel: 0x12ae8 |
| ActingAppName | Optional | Zeichenfolge | Der Name der Anwendung, die die gemeldete Aktivität initiiert hat, einschließlich eines Diensts, einer URL oder einer SaaS-Anwendung. Beispiel: C:\Windows\System32\svchost.exe |
| ActingAppType | Optional | AppType | Der Typ der handelnden Anwendung. Weitere Informationen und eine Liste zulässiger Werte finden Sie unter AppType im Artikel Schemaübersicht. |
| ActingOriginalAppType | Optional | Zeichenfolge | Der Typ der Anwendung, die die Aktivität initiiert hat, wie vom Melden des Geräts gemeldet. |
| HttpUserAgent | Optional | Zeichenfolge | Wenn die Authentifizierung über HTTP oder HTTPS durchgeführt wird, ist der Wert dieses Felds der user_agent HTTP-Header, der von der handelnden Anwendung bei der Authentifizierung bereitgestellt wird. Beispiel: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Quellsystemfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Src | Alias | Zeichenfolge | Ein eindeutiger Bezeichner des Quellgeräts. Dieses Feld kann ein Alias für die Felder SrcDvcId, SrcHostname oder SrcIpAddr sein. Beispiel: 192.168.12.1 |
| SrcIpAddr | Empfohlen | IP-Adresse | Die IP-Adresse, von der die Verbindung oder Sitzung stammt. Beispiel: 77.138.103.108 |
| IpAddr | Alias | Alias für SrcIpAddr oder für TargetIpAddr , wenn SrcIpAddr nicht angegeben ist. | |
| SrcPortNumber | Optional | Integer | Der IP-Port, von dem die Verbindung stammt. Für eine Sitzung, die mehrere Verbindungen umfasst, ist möglicherweise nicht relevant. Beispiel: 2335 |
| SrcHostname | Optional | Hostname | Der Hostname des Quellgeräts ohne Domäneninformationen. Wenn kein Gerätename verfügbar ist, speichern Sie die relevante IP-Adresse in diesem Feld. Beispiel: DESKTOP-1282V4D |
| SrcDomain | Optional | Domäne (Zeichenfolge) | Die Domäne des Quellgeräts. Beispiel: Contoso |
| SrcDomainType | Bedingte | DomainType | Der Typ von SrcDomain. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DomainType im Artikel Schemaübersicht. Erforderlich, wenn SrcDomain verwendet wird. |
| SrcFQDN | Optional | FQDN (Zeichenfolge) | Der Hostname des Quellgeräts, einschließlich Domäneninformationen, sofern verfügbar. Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format Domäne\Hostname. Das Feld SrcDomainType gibt das verwendete Format an. Beispiel: Contoso\DESKTOP-1282V4D |
| SrcDescription | Optional | Zeichenfolge | Ein beschreibender Text, der dem Gerät zugeordnet ist. Beispiel: Primary Domain Controller. |
| SrcDvcId | Optional | Zeichenfolge | Die ID des Quellgeräts. Wenn mehrere IDs verfügbar sind, verwenden Sie die wichtigste, und speichern Sie die anderen in den Feldern SrcDvc<DvcIdType>.Beispiel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Optional | Zeichenfolge | Die Bereichs-ID der Cloudplattform, zu der das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID auf Azure und einer Konto-ID in AWS zugeordnet. |
| SrcDvcScope | Optional | Zeichenfolge | Der Cloudplattformbereich, zu dem das Gerät gehört. SrcDvcScope wird einer Abonnement-ID auf Azure und einer Konto-ID in AWS zugeordnet. |
| SrcDvcIdType | Bedingte | DvcIdType | Der Typ von SrcDvcId. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType im Artikel Schemaübersicht. Hinweis: Dieses Feld ist erforderlich, wenn SrcDvcId verwendet wird. |
| SrcDeviceType | Optional | DeviceType | Der Typ des Quellgeräts. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DeviceType im Artikel Schemaübersicht. |
| SrcGeoCountry | Optional | Land | Das Land/die Region, das der Quell-IP-Adresse zugeordnet ist. Beispiel: USA |
| SrcGeoRegion | Optional | Region | Die Region in einem Land/einer Region, die der Quell-IP-Adresse zugeordnet ist. Beispiel: Vermont |
| SrcGeoCity | Optional | Stadt/Ort | Der Ort, der der Quell-IP-Adresse zugeordnet ist. Beispiel: Burlington |
| SrcGeoLatitude | Optional | Breitengrad | Der Breitengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. Beispiel: 44.475833 |
| SrcGeoLongitude | Optional | Längengrad | Der Längengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. Beispiel: 73.211944 |
| SrcRiskLevel | Optional | Integer | Die der Quelle zugeordnete Risikostufe. Der Wert sollte auf einen Bereich von 0100bis angepasst werden, mit 0 für gutartig und 100 für ein hohes Risiko.Beispiel: 90 |
| SrcOriginalRiskLevel | Optional | Zeichenfolge | Die risikobehaftete Ebene, die der Quelle zugeordnet ist, wie vom Melden des Geräts gemeldet. Beispiel: Suspicious |
Inspektionsfelder
Die folgenden Felder werden verwendet, um die von einem Sicherheitssystem durchgeführte Überprüfung darzustellen.
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Rulename | Optional | Zeichenfolge | Der Name oder die ID der Regel von, die den Inspektionsergebnissen zugeordnet ist. |
| RuleNumber | Optional | Integer | Die Nummer der Regel, die den Inspektionsergebnissen zugeordnet ist. |
| Rule | Alias | Zeichenfolge | Entweder der Wert von RuleName oder der Wert von RuleNumber. Wenn der Wert von RuleNumber verwendet wird, sollte der Typ in eine Zeichenfolge konvertiert werden. |
| ThreatId | Optional | Zeichenfolge | Die ID der Bedrohung oder Schadsoftware, die in der Überwachungsaktivität identifiziert wurde. |
| ThreatName | Optional | Zeichenfolge | Der Name der Bedrohung oder Schadsoftware, die in der Überwachungsaktivität identifiziert wurde. |
| Bedrohungskategorie | Optional | Zeichenfolge | Die Kategorie der Bedrohung oder Schadsoftware, die in der Überwachungsdateiaktivität identifiziert wurde. |
| ThreatRiskLevel | Optional | RiskLevel (Integer) | Die Risikostufe, die der identifizierten Bedrohung zugeordnet ist. Die Ebene sollte eine Zahl zwischen 0 und 100 sein. Hinweis: Der Wert kann im Quelldatensatz mithilfe einer anderen Skalierung bereitgestellt werden, die auf diese Skalierung normalisiert werden sollte. Der ursprüngliche Wert sollte in ThreatRiskLevelOriginal gespeichert werden. |
| ThreatOriginalRiskLevel | Optional | Zeichenfolge | Die vom Melden des Geräts gemeldete Risikostufe. |
| ThreatConfidence | Optional | ConfidenceLevel (Integer) | Das Konfidenzniveau der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100. |
| ThreatOriginalConfidence | Optional | Zeichenfolge | Das ursprüngliche Konfidenzniveau der identifizierten Bedrohung, wie vom Melden des Geräts gemeldet. |
| ThreatIsActive | Optional | Boolean | True, wenn die identifizierte Bedrohung als aktive Bedrohung angesehen wird. |
| ThreatFirstReportedTime | Optional | Datum/Uhrzeit | Beim ersten Mal wurde die IP-Adresse oder Domäne als Bedrohung identifiziert. |
| ThreatLastReportedTime | Optional | Datum/Uhrzeit | Der Zeitpunkt, zu dem die IP-Adresse oder Domäne zuletzt als Bedrohung identifiziert wurde. |
| ThreatIpAddr | Optional | IP-Adresse | Eine IP-Adresse, für die eine Bedrohung identifiziert wurde. Das Feld ThreatField enthält den Namen des Felds ThreatIpAddr darstellt. |
| ThreatField | Bedingte | Aufgelistet | Das Feld, für das eine Bedrohung identifiziert wurde. Der Wert ist entweder SrcIpAddr oder TargetIpAddr. |
Schemaaktualisierungen
Die Änderungen in Version 0.1.1 des Schemas sind:
- Das Feld
ObjectIdundOriginalObjectTypewurden hinzugefügt.
Die Änderungen in Version 0.1.2 des Schemas sind:
- Das Feld
ActingOriginalAppType, ,OriginalObjectType,SrcOriginalRiskLevelSrcRiskLevel,TargetGeoCity,,TargetGeoCountry,TargetGeoLatitude,TargetGeoLongitude,,TargetOriginalAppTypeTargetGeoRegion,,TargetOriginalRiskLevelund wurde hinzugefügt.TargetRiskLevel
Nächste Schritte
Weitere Informationen finden Sie unter:
- Sehen Sie sich das ASIM-Webinar an, oder überprüfen Sie die Folien
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Advanced Security Information Model (ASIM)-Schemas
- ASIM-Parser (Advanced Security Information Model)
- Inhalt des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM)