Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Microsoft Sentinel Schema zur Normalisierung der Benutzerverwaltung wird verwendet, um Benutzerverwaltungsaktivitäten zu beschreiben, z. B. das Erstellen eines Benutzers oder einer Gruppe, das Ändern des Benutzerattributes oder das Hinzufügen eines Benutzers zu einer Gruppe. Solche Ereignisse werden z. B. von Betriebssystemen, Verzeichnisdiensten, Identitätsverwaltungssystemen und allen anderen Systemen gemeldet, die die lokalen Benutzerverwaltungsaktivitäten melden.
Weitere Informationen zur Normalisierung in Microsoft Sentinel finden Sie unter Normalization and the Advanced Security Information Model (ASIM).
Schemaübersicht
Das ASIM-Benutzerverwaltungsschema beschreibt Benutzerverwaltungsaktivitäten. Die Aktivitäten umfassen in der Regel die folgenden Entitäten:
- Akteur : Der Benutzer, der die Verwaltungsaktivität ausführt.
- Acting Process : Der Prozess, der vom Akteur zum Ausführen der Verwaltungsaktivität verwendet wird.
- Src : Wenn die Aktivität über das Netzwerk ausgeführt wird, das Quellgerät, von dem die Aktivität initiiert wurde.
- Zielbenutzer : Der Benutzer, dessen Konto verwaltet wird.
- Gruppierung , zu der der Zielbenutzer hinzugefügt oder entfernt wird oder geändert wird.
Einige Aktivitäten, z. B . UserCreated, GroupCreated, UserModified und GroupModified*, legen Benutzereigenschaften fest oder aktualisieren sie. Der Eigenschaftssatz oder die aktualisierung ist in den folgenden Feldern dokumentiert:
- EventSubType : Der Name des Werts, der festgelegt oder aktualisiert wurde. UpdatedPropertyName ist ein Alias für EventSubType , wenn EventSubType auf einen der relevanten Ereignistypen verweist.
- PreviousPropertyValue : der vorherige Wert der Eigenschaft.
- NewPropertyValue : Der aktualisierte Wert der Eigenschaft.
Parser
Weitere Informationen zu ASIM-Parsern finden Sie in der Übersicht über ASIM-Parser.
Filtern von Parserparametern
Die Benutzerverwaltungsparser unterstützen das Filtern von Parametern. Diese Parameter sind zwar optional, können aber die Abfrageleistung verbessern.
Die folgenden Filterparameter sind verfügbar:
| Name | Typ | Beschreibung |
|---|---|---|
| starttime | Datum/Uhrzeit | Filtern Sie nur Benutzerverwaltungsereignisse, die zu oder nach diesem Zeitpunkt aufgetreten sind. Dieser Parameter filtert nach dem TimeGenerated Feld, das der Standardbezeichner für den Zeitpunkt des Ereignisses ist, unabhängig von der parserspezifischen Zuordnung der Felder EventStartTime und EventEndTime. |
| endtime | Datum/Uhrzeit | Filtern Sie nur Benutzerverwaltungsereignisse, die zu oder vor diesem Zeitpunkt aufgetreten sind. Dieser Parameter filtert nach dem TimeGenerated Feld, das der Standardbezeichner für den Zeitpunkt des Ereignisses ist, unabhängig von der parserspezifischen Zuordnung der Felder EventStartTime und EventEndTime. |
| srcipaddr_has_any_prefix | Dynamische | Filtern Sie nur Benutzerverwaltungsereignisse, bei denen das Quell-IP-Adresspräfix mit einem der aufgeführten Werte übereinstimmt. Präfixe sollten mit einem .enden, z. B. . 10.0. |
| targetusername_has_any | Dynamische | Filtern Sie nur Benutzerverwaltungsereignisse, bei denen der Zielbenutzername einen der aufgeführten Werte aufweist. |
| actorusername_has_any | Dynamische | Filtern Sie nur Benutzerverwaltungsereignisse, bei denen der Akteurbenutzername über einen der aufgeführten Werte verfügt. |
| eventtype_in | Dynamische | Filtern Sie nur Benutzerverwaltungsereignisse, bei denen der Ereignistyp einer der aufgeführten Werte ist, z UserCreated. B. , UserDeleted, UserModified, PasswordChangedoder GroupCreated. |
Um beispielsweise nur Benutzererstellungsereignisse vom letzten Tag zu filtern, verwenden Sie Folgendes:
_Im_UserManagement (eventtype_in=dynamic(['UserCreated']), starttime = ago(1d), endtime=now())
Schemadetails
Allgemeine ASIM-Felder
Wichtig
Felder, die allen Schemas gemeinsam sind, werden im Artikel Allgemeine Felder für ASIM ausführlich beschrieben.
Allgemeine Felder mit bestimmten Richtlinien
In der folgenden Liste werden Felder mit spezifischen Richtlinien für Prozessaktivitätsereignisse aufgeführt:
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| EventType | Erforderlich | Aufgelistet | Beschreibt den vom Datensatz gemeldeten Vorgang. Für Benutzerverwaltungsaktivitäten werden folgende Werte unterstützt: - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| EventSubType | Optional | Aufgelistet | Die folgenden Untertypen werden unterstützt: - UserRead: Kennwort, Hash- UserCreated, GroupCreated, UserModified, GroupModified. Weitere Informationen finden Sie unter UpdatedPropertyName. |
| EventResult | Erforderlich | Aufgelistet | Fehler sind zwar möglich, die meisten Systeme melden jedoch nur erfolgreiche Benutzerverwaltungsereignisse. Der erwartete Wert für erfolgreiche Ereignisse ist Success. |
| EventResultDetails | Empfohlen | Aufgelistet | Die gültigen Werte sind NotAuthorized und Other. |
| EventSeverity | Erforderlich | Aufgelistet | Während jeder gültige Schweregradwert zulässig ist, ist der Schweregrad von Benutzerverwaltungsereignissen in der Regel Informational. |
| EventSchema | Erforderlich | Aufgelistet | Der Name des hier dokumentierten Schemas lautet UserManagement. |
| EventSchemaVersion | Erforderlich | SchemaVersion (Zeichenfolge) | Die Version des Schemas. Die hier dokumentierte Version des Schemas ist 0.1.2. |
| Dvc-Felder | Bei Benutzerverwaltungsereignissen beziehen sich Gerätefelder auf das System, das das Ereignis meldet. Dies ist in der Regel das System, auf dem der Benutzer verwaltet wird. |
Alle gemeinsamen Felder
Felder, die in der folgenden Tabelle angezeigt werden, sind für alle ASIM-Schemas gemeinsam. Jede oben angegebene Richtlinie setzt die allgemeinen Richtlinien für das Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel ALLGEMEINE FELDER für ASIM .
| Class | Fields |
|---|---|
| Erforderlich |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Empfohlen |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optional |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Aktualisierte Eigenschaftenfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| UpdatedPropertyName | Alias | Alias für EventSubType, wenn der Ereignistyp , GroupCreated, UserModifiedoder GroupModifiedistUserCreated.Unterstützte Werte: - MultipleProperties: Wird verwendet, wenn die Aktivität mehrere Eigenschaften aktualisiert.- Previous<PropertyName>, wobei <PropertyName> einer der unterstützten Werte für UpdatedPropertyNameist. - New<PropertyName>, wobei <PropertyName> einer der unterstützten Werte für UpdatedPropertyNameist. |
|
| PreviousPropertyValue | Optional | Zeichenfolge | Der vorherige Wert, der in der angegebenen Eigenschaft gespeichert wurde. |
| NewPropertyValue | Optional | Zeichenfolge | Der neue Wert, der in der angegebenen Eigenschaft gespeichert ist. |
Zielbenutzerfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| TargetUserId | Optional | Zeichenfolge | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Zielbenutzers. Zu den unterstützten Formaten und Typen gehören: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Speichern Sie den ID-Typ im Feld TargetUserIdType . Wenn andere IDs verfügbar sind, wird empfohlen, die Feldnamen in TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId und TargetUserAwsId zu normalisieren. Weitere Informationen finden Sie unter Die Entität User. Beispiel: S-1-12 |
| TargetUserIdType | Bedingte | Aufgelistet | Der Typ der ID, die im Feld TargetUserId gespeichert ist. Unterstützte Werte sind SID, UID, AADID, OktaIdund AWSId. |
| TargetUsername | Optional | Benutzername (Zeichenfolge) | Der Zielbenutzername, einschließlich Domäneninformationen, falls verfügbar. Verwenden Sie eines der folgenden Formate und in der folgenden Reihenfolge der Priorität: - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Einfach: johndow. Verwenden Sie das Einfache Formular nur, wenn keine Domäneninformationen verfügbar sind.Speichern Sie den Benutzernamentyp im Feld TargetUsernameType . Wenn andere IDs verfügbar sind, wird empfohlen, die Feldnamen in TargetUserUpn, TargetUserWindows und TargetUserDn zu normalisieren. Weitere Informationen finden Sie unter Die Entität User. Beispiel: AlbertE |
| TargetUsernameType | Bedingte | Aufgelistet | Gibt den Typ des Benutzernamens an, der im Feld TargetUsername gespeichert ist. Unterstützte Werte sind , UPNWindows, DNund Simple. Weitere Informationen finden Sie unter Die Entität User.Beispiel: Windows |
| TargetUserType | Optional | Aufgelistet | Der Typ des Zielbenutzers. Unterstützte Werte: - Regular- Machine- Admin- System- Application- Service Principal- OtherHinweis: Der Wert kann im Quelldatensatz mit unterschiedlichen Begriffen bereitgestellt werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld TargetOriginalUserType . |
| TargetOriginalUserType | Optional | Zeichenfolge | Der ursprüngliche Zielbenutzertyp, wenn er von der Quelle bereitgestellt wird. |
| TargetUserScope | Optional | Zeichenfolge | Der Bereich, z. B. Microsoft Entra Mandant, in dem TargetUserId und TargetUsername definiert sind. oder weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht. |
| TargetUserScopeId | Optional | Zeichenfolge | Die Bereichs-ID, z. B. Microsoft Entra Verzeichnis-ID, in der TargetUserId und TargetUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht. |
| TargetUserSessionId | Optional | Zeichenfolge | Die eindeutige ID der Anmeldesitzung des Zielbenutzers. Beispiel: 999 Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows muss dieser Wert numerisch sein. Wenn Sie einen Windows- oder Linux Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie ihn in einen Dezimalwert. |
Akteurfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| ActorUserId | Optional | Zeichenfolge | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Akteurs. Zu den unterstützten Formaten und Typen gehören: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Speichern Sie den ID-Typ im Feld ActorUserIdType . Wenn andere IDs verfügbar sind, wird empfohlen, die Feldnamen in ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId und ActorAwsId zu normalisieren. Weitere Informationen finden Sie unter Die Entität User. Beispiel: S-1-12 |
| ActorUserIdType | Bedingte | Aufgelistet | Der Typ der ID, die im Feld ActorUserId gespeichert ist. Unterstützte Werte sind , SIDUID, AADID, OktaIdund AWSId. |
| ActorUsername | Erforderlich | Benutzername (Zeichenfolge) | Der Actor-Benutzername, einschließlich Domäneninformationen, falls verfügbar. Verwenden Sie eines der folgenden Formate und in der folgenden Reihenfolge der Priorität: - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Einfach: johndow. Verwenden Sie das Einfache Formular nur, wenn keine Domäneninformationen verfügbar sind.Speichern Sie den Benutzernamentyp im Feld ActorUsernameType . Wenn andere IDs verfügbar sind, wird empfohlen, die Feldnamen in ActorUserUpn, ActorUserWindows und ActorUserDn zu normalisieren. Weitere Informationen finden Sie unter Die Entität User. Beispiel: AlbertE |
| Benutzer | Alias | Alias für ActorUsername. | |
| ActorUsernameType | Bedingte | Aufgelistet | Gibt den Typ des Benutzernamens an, der im Feld ActorUsername gespeichert ist. Unterstützte Werte sind UPN, Windows, DNund Simple. Weitere Informationen finden Sie unter Die Entität User.Beispiel: Windows |
| ActorUserType | Optional | Aufgelistet | Der Typ des Akteurs. Gültige Werte sind: - Regular- Machine- Admin- System- Application- Service Principal- OtherHinweis: Der Wert kann im Quelldatensatz mit unterschiedlichen Begriffen bereitgestellt werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld ActorOriginalUserType . |
| ActorOriginalUserType | Optional | Zeichenfolge | Der ursprüngliche Zielbenutzertyp, wenn er vom Meldengerät bereitgestellt wird. |
| ActorOriginalUserType | Der ursprüngliche Akteurbenutzertyp, wenn er von der Quelle bereitgestellt wird. | ||
| ActorSessionId | Optional | Zeichenfolge | Die eindeutige ID der Anmeldesitzung des Actors. Beispiel: 999Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows muss dieser Wert numerisch sein. Wenn Sie einen Windows-Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie ihn in einen Dezimalwert. |
| ActorScope | Optional | Zeichenfolge | Der Bereich, z. B. Microsoft Entra Mandant, in dem ActorUserId und ActorUsername definiert sind. oder weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht. |
| ActorScopeId | Optional | Zeichenfolge | Die Bereichs-ID, z. B. Microsoft Entra Verzeichnis-ID, in der ActorUserId und ActorUsername definiert sind. oder weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht. |
Gruppierungsfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Groupid | Optional | Zeichenfolge | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung der Gruppe für Aktivitäten, an denen eine Gruppe beteiligt ist. Zu den unterstützten Formaten und Typen gehören: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578Speichern Sie den ID-Typ im Feld GroupIdType . Wenn andere IDs verfügbar sind, wird empfohlen, die Feldnamen in GroupSid bzw . GroupUid zu normalisieren. Weitere Informationen finden Sie unter Die Entität User. Beispiel: S-1-12 |
| GroupIdType | Optional | Aufgelistet | Der Typ der id, die im Feld GroupId gespeichert ist. Unterstützte Werte sind SID, und UID. |
| Groupname | Optional | Zeichenfolge | Der Gruppenname, einschließlich Domäneninformationen, falls verfügbar, für Aktivitäten, an denen eine Gruppe beteiligt ist. Verwenden Sie eines der folgenden Formate und in der folgenden Reihenfolge der Priorität: - Upn/Email: grp@contoso.com- Windows: Contoso\grp- DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM- Einfach: grp. Verwenden Sie das Einfache Formular nur, wenn keine Domäneninformationen verfügbar sind.Speichern Sie den Gruppennamentyp im Feld GroupNameType . Wenn andere IDs verfügbar sind, empfiehlt es sich, die Feldnamen in GroupUpn, GroupNameWindows und GroupDn zu normalisieren. Beispiel: Contoso\Finance |
| GroupNameType | Optional | Aufgelistet | Gibt den Typ des Gruppennamens an, der im Feld GroupName gespeichert ist. Unterstützte Werte sind , UPNWindows, DNund Simple.Beispiel: Windows |
| GroupType | Optional | Aufgelistet | Der Typ der Gruppe für Aktivitäten, an denen eine Gruppe beteiligt ist. Unterstützte Werte: - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- OtherHinweis: Der Wert kann im Quelldatensatz mit unterschiedlichen Begriffen bereitgestellt werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld GroupOriginalType . |
| GroupOriginalType | Optional | Zeichenfolge | Der ursprüngliche Gruppentyp, wenn er von der Quelle bereitgestellt wird. |
Quellfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Src | Empfohlen | Zeichenfolge | Ein eindeutiger Bezeichner des Quellgeräts. Dieses Feld kann ein Alias für die Felder SrcDvcId, SrcHostname oder SrcIpAddr sein. Beispiel: 192.168.12.1 |
| SrcIpAddr | Empfohlen | IP-Adresse | Die IP-Adresse des Quellgeräts. Dieser Wert ist obligatorisch, wenn SrcHostname angegeben ist. Beispiel: 77.138.103.108 |
| IpAddr | Alias | Alias für SrcIpAddr. | |
| SrcPortNumber | Optional | Integer | Der IP-Port, von dem die Verbindung stammt. Für eine Sitzung, die mehrere Verbindungen umfasst, ist möglicherweise nicht relevant. Beispiel: 2335 |
| SrcMacAddr | Optional | MAC-Adresse (Zeichenfolge) | Die MAC-Adresse der Netzwerkschnittstelle, von der die Verbindung oder Sitzung stammt. Beispiel: 06:10:9f:eb:8f:14 |
| SrcDescription | Optional | Zeichenfolge | Ein beschreibender Text, der dem Gerät zugeordnet ist. Beispiel: Primary Domain Controller. |
| SrcHostname | Empfohlen | Zeichenfolge | Der Hostname des Quellgeräts ohne Domäneninformationen. Beispiel: DESKTOP-1282V4D |
| SrcDomain | Empfohlen | Domäne (Zeichenfolge) | Die Domäne des Quellgeräts. Beispiel: Contoso |
| SrcDomainType | Empfohlen | Aufgelistet | Der Typ von SrcDomain, sofern bekannt. Mögliche Werte sind: - Windows (z contoso. B. )- FQDN (z microsoft.com. B. )Erforderlich, wenn SrcDomain verwendet wird. |
| SrcFQDN | Optional | FQDN (Zeichenfolge) | Der Hostname des Quellgeräts, einschließlich Domäneninformationen, sofern verfügbar. Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format Domäne\Hostname. Das Feld SrcDomainType gibt das verwendete Format an. Beispiel: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Optional | Zeichenfolge | Die ID des Quellgeräts, wie im Datensatz gemeldet. Beispiel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Optional | Zeichenfolge | Die Bereichs-ID der Cloudplattform, zu der das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID auf Azure und einer Konto-ID in AWS zugeordnet. |
| SrcDvcScope | Optional | Zeichenfolge | Der Cloudplattformbereich, zu dem das Gerät gehört. SrcDvcScope wird einer Abonnement-ID auf Azure und einer Konto-ID in AWS zugeordnet. |
| SrcDvcIdType | Bedingte | Aufgelistet | Der Typ von SrcDvcId, sofern bekannt. Mögliche Werte sind: - AzureResourceId- MDEidWenn mehrere IDs verfügbar sind, verwenden Sie die erste aus der vorherigen Liste, und speichern Sie die anderen in SrcDvcAzureResourceId bzw . SrcDvcMDEid. Hinweis: Dieses Feld ist erforderlich, wenn SrcDvcId verwendet wird. |
| SrcDeviceType | Optional | Aufgelistet | Der Typ des Quellgeräts. Mögliche Werte sind: - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | Optional | Land | Das Land/die Region, das der Quell-IP-Adresse zugeordnet ist. Beispiel: USA |
| SrcGeoRegion | Optional | Region | Die Region, die der Quell-IP-Adresse zugeordnet ist. Beispiel: Vermont |
| SrcGeoCity | Optional | Stadt/Ort | Der Ort, der der Quell-IP-Adresse zugeordnet ist. Beispiel: Burlington |
| SrcGeoLatitude | Optional | Breitengrad | Der Breitengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. Beispiel: 44.475833 |
| SrcGeoLongitude | Optional | Längengrad | Der Längengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. Beispiel: 73.211944 |
| SrcRiskLevel | Optional | Integer | Die der Quelle zugeordnete Risikostufe. Der Wert sollte auf einen Bereich von 0100bis angepasst werden, mit 0 für gutartig und 100 für ein hohes Risiko.Beispiel: 90 |
| SrcOriginalRiskLevel | Optional | Zeichenfolge | Die risikobehaftete Ebene, die der Quelle zugeordnet ist, wie vom Melden des Geräts gemeldet. Beispiel: Suspicious |
Acting Application
Inspektionsfelder
Die folgenden Felder werden verwendet, um die Überprüfung darzustellen, die von einem Sicherheitssystem wie einem EDR-System durchgeführt wird.
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Rulename | Optional | Zeichenfolge | Der Name oder die ID der Regel von, die den Inspektionsergebnissen zugeordnet ist. |
| RuleNumber | Optional | Integer | Die Nummer der Regel, die den Inspektionsergebnissen zugeordnet ist. |
| Rule | Bedingte | Zeichenfolge | Entweder der Wert von kRuleName oder der Wert von RuleNumber. Wenn der Wert von RuleNumber verwendet wird, sollte der Typ in eine Zeichenfolge konvertiert werden. |
| ThreatId | Optional | Zeichenfolge | Die ID der Bedrohung oder Schadsoftware, die in der Dateiaktivität identifiziert wurde. |
| ThreatName | Optional | Zeichenfolge | Der Name der Bedrohung oder Schadsoftware, die in der Dateiaktivität identifiziert wurde. Beispiel: EICAR Test File |
| Bedrohungskategorie | Optional | Zeichenfolge | Die Kategorie der Bedrohung oder Schadsoftware, die in der Dateiaktivität identifiziert wird. Beispiel: Trojan |
| ThreatRiskLevel | Optional | RiskLevel (Integer) | Die Risikostufe, die der identifizierten Bedrohung zugeordnet ist. Die Ebene sollte eine Zahl zwischen 0 und 100 sein. Hinweis: Der Wert kann im Quelldatensatz mithilfe einer anderen Skalierung bereitgestellt werden, die auf diese Skalierung normalisiert werden sollte. Der ursprüngliche Wert sollte in ThreatOriginalRiskLevel gespeichert werden. |
| ThreatOriginalRiskLevel | Optional | Zeichenfolge | Die vom Melden des Geräts gemeldete Risikostufe. |
| ThreatField | Optional | Zeichenfolge | Das Feld, für das eine Bedrohung identifiziert wurde. |
| ThreatConfidence | Optional | ConfidenceLevel (Integer) | Das Konfidenzniveau der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100. |
| ThreatOriginalConfidence | Optional | Zeichenfolge | Das ursprüngliche Konfidenzniveau der identifizierten Bedrohung, wie vom Melden des Geräts gemeldet. |
| ThreatIsActive | Optional | Boolean | True, wenn die identifizierte Bedrohung als aktive Bedrohung angesehen wird. |
| ThreatFirstReportedTime | Optional | Datum/Uhrzeit | Beim ersten Mal wurde die IP-Adresse oder Domäne als Bedrohung identifiziert. |
| ThreatLastReportedTime | Optional | Datum/Uhrzeit | Der Zeitpunkt, zu dem die IP-Adresse oder Domäne zuletzt als Bedrohung identifiziert wurde. |
Zusätzliche Felder und Aliase
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Hostname | Alias | Alias für DvcHostname. |
Schemaaktualisierungen
Die Änderungen in Version 0.1.2 des Schemas sind:
- Inspektionsfelder hinzugefügt.
- Die Quellfelder
SrcDescription,SrcMacAddr, ,SrcOriginalRiskLevelSrcPortNumber,SrcRiskLevel, , wurden hinzugefügt. - Die Zielfelder
TargetUserScope, ,TargetUserScopeIdwurden hinzugefügt.TargetUserSessionId - Die Akteurfelder
ActorOriginalUserType,ActorScope, wurden hinzugefügt.ActorScopeId - Das feld "Acting Application" wurde hinzugefügt.
ActingOriginalAppType
Nächste Schritte
Weitere Informationen finden Sie unter:
- Sehen Sie sich das ASIM-Webinar an, oder überprüfen Sie die Folien
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Advanced Security Information Model (ASIM)-Schemas
- ASIM-Parser (Advanced Security Information Model)
- Inhalt des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM)