הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
סכימת Microsoft Sentinel משמשת לתיאור אירועים הקשורים לאימות משתמשים, לכניסה וליציאה. אירועי אימות נשלחים על-ידי התקני דיווח רבים, בדרך כלל כחלק מזרימת האירוע לצד אירועים אחרים. לדוגמה, Windows שולח כמה אירועי אימות לצד אירועי פעילות אחרים של מערכת ההפעלה.
אירועי אימות כוללים את שני האירועים ממערכות המתמקדות באימות כגון שערי VPN או בקרי תחום, ואימות ישיר למערכת קצה, כגון מחשב או חומת אש.
לקבלת מידע נוסף אודות נרמול ב- Microsoft Sentinel, ראה נרמול ומודל מידע אבטחה מתקדם (ASIM).
מנתחי מבנה טקסט
פרוס מנתחי אימות ASIM ממאגר Microsoft Sentinel GitHub. לקבלת מידע נוסף אודות מנתחי ASIM, עיין במאמרים מבט כולל על מנתחי ASIM.
אחד מנתחים
כדי להשתמש במנתחים שמקשרים את כל מנתחי ASIM הזמינים לשימוש, ומבטיחים שהניתוח שלך יפוג בכל המקורות שתצורתם נקבעה, imAuthenticationASimAuthentication השתמש במנתח הסינון או במנתח ללא הפרמטר.
מנתחים ספציפיים למקור
לקבלת הרשימה של מנתחי האימות Microsoft Sentinel עיין ברשימת מנתחי ASIM:
הוספת מנתחים מנומולים משלך
בעת יישום מנתחים מותאמים אישית עבור מודל מידע האימות, תן שם לפונקציות KQL באמצעות התחביר הבא:
-
vimAuthentication<vendor><Product>לסינון מנתחים -
ASimAuthentication<vendor><Product>עבור מנתחים ללא פרמטרים
לקבלת מידע אודות הוספת מנתחים מותאמים אישית למנתח המקשר, ראה ניהול מנתחי ASIM.
סינון פרמטרים של מנתח
המנתחים imvim* ומנתחי הטקסט תומכים בפרמטרים של סינון. בעוד מנתחים אלה הם אופציונליים, הם יכולים לשפר את ביצועי השאילתה שלך.
הפרמטרים הבאים לסינון זמינים:
| Name | סוג | תיאור |
|---|---|---|
| זמן התחלה | Datetime | סנן רק אירועי אימות שהפעלו בשעה זו או לאחר מכן. פרמטר TimeGenerated זה מסנן בשדה, שהוא המציין הסטנדרטי עבור מועד האירוע, ללא קשר למיפוי הספציפי למנתח של השדות EventStartTime ו- EventEndTime. |
| שעת סיום | Datetime | סנן רק אירועי אימות שהפעלתם הסתיימה בשעה זו או לפניה. פרמטר TimeGenerated זה מסנן בשדה, שהוא המציין הסטנדרטי עבור מועד האירוע, ללא קשר למיפוי הספציפי למנתח של השדות EventStartTime ו- EventEndTime. |
| targetusername_has | מחרוזת | סנן רק אירועי אימות בעלי שמות המשתמשים המפורטים. |
לדוגמה, כדי לסנן אירועי אימות בלבד מהיום האחרון למשתמש ספציפי, השתמש בפעולות הבאות:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
עצה
כדי להעביר רשימה מילולית לפרמטרים המצפים לערך דינאמי, השתמש באופן מפורש בליטרלי דינאמי. לדוגמה: dynamic(['192.168.','10.']).
תוכן מנורמה
כללים אנליטיים של אימות מנורמה הם ייחודיים כאשר הם מזהים תקיפות בין מקורות. לכן, לדוגמה, אם משתמש נכנס למערכות שונות ולא קשורות, ממדינות/אזורים שונים, Microsoft Sentinel יזהה כעת איום זה.
לקבלת רשימה מלאה של כללי ניתוח המשתמשים באירועי אימות נורמלים, ראה תוכן אבטחה של סכימת אימות.
מבט כולל על סכימה
מודל מידע האימות מיושר עם סכימת ישות הכניסה של OSSEM.
השדות המפורטים בטבלה שלהלן ספציפיים לאירועי אימות, אך הם דומים לשדות בסכימות אחרות ופועלים לפי מוסכמות דומות למתן שמות.
אירועי אימות מפנים לישויות הבאות:
- TargetUser - פרטי המשתמש המשמשים לאימות מול המערכת. TargetSystem הוא הנושא הראשי של אירוע האימות, והכינוי User aliass a TargetUser זיהה.
- TargetApp - היישום שאומת מולו.
- Target - המערכת שבה פועל TargetApp*.
- מעורר - המשתמש שיזם את האימות, אם הוא שונה מ- TargetUser.
- ActingApp - היישום המשמש את המעוות לביצוע האימות.
- Src - המערכת המשמשת את המעוות ליזום את האימות.
קשר הגומלין בין ישויות אלה מודגם באופן הטוב ביותר באופן הבא:
שחקן, שמפעיל יישום פועל, ActingApp, במערכת מקור, Src, מנסה לבצע אימות כ- TargetUser ביישום יעד, TargetApp, במערכת יעד, TargetDvc.
פרטי סכימה
בטבלאות הבאות, Type מתייחס לסוג לוגי. לקבלת מידע נוסף, ראה סוגים לוגיים.
שדות ASIM נפוצים
חשוב
שדות המשותפים לכל הסכימות מתוארים בפירוט במאמר שדות משותפים של ASIM .
שדות משותפים עם קווים מנחים ספציפיים
הרשימה הבאה מציינת שדות הכוללים קווים מנחים ספציפיים עבור אירועי אימות:
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| סוג אירוע | חובה | ספירה | מתאר את הפעולה שדווחה על-ידי הרשומה. עבור רשומות אימות, הערכים הנתמכים כוללים: - Logon - Logoff- Elevate |
| EventResultDetails | מומלץ | ספירה | הפרטים המשויכים לתוצאה של האירוע. שדה זה מאוכלס בדרך כלל כאשר התוצאה היא כשל. הערכים המותרים כוללים: - No such user or password. יש להשתמש בערך זה גם כאשר האירוע המקורי מדווח שאין משתמש כזה, ללא הפניה לסיסמה.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. יש להשתמש בערך זה כאשר דוחות האירוע המקוריים, לדוגמה: נדרש MFA, כניסה מחוץ לשעות העבודה, הגבלות גישה מותנית או ניסיונות תכופים מדי.- Session expired- Otherניתן לכלול את הערך ברשומת המקור באמצעות מונחים שונים, שיש לנוירמול לערכים אלה. יש לאחסן את הערך המקורי בשדה EventOriginalResultDetails |
| סוג אירוע | אופציונלי | ספירה | סוג הכניסה. הערכים המותרים כוללים: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote - השתמש כאשר סוג הכניסה מרחוק אינו ידוע.- AssumeRole - משמש בדרך כלל כאשר סוג האירוע הוא Elevate. ניתן לכלול את הערך ברשומת המקור באמצעות מונחים שונים, שיש לנוירמול לערכים אלה. יש לאחסן את הערך המקורי בשדה EventOriginalSubType. |
| לוח אירועים | חובה | SchemaVersion (מחרוזת) | גירסת הסכימה. גירסת הסכימה התהמסמכים כאן היא 0.1.4 |
| מסת אירוע | חובה | ספירה | שם הסכימה התהמסמכים כאן הוא אימות. |
| שדות Dvc | - | - | עבור אירועי אימות, שדות מכשירים מתייחסים למערכת שדיווחת על האירוע. |
כל השדות המשותפים
שדות המופיעים בטבלה שלהלן משותפים לכל סכימות ה- ASIM. כל קו מנחה שצוין לעיל עוקף את הקווים המנחים הכלליים עבור השדה. לדוגמה, שדה עשוי להיות אופציונלי באופן כללי, אך הכרחי עבור סכימה ספציפית. לקבלת פרטים נוספים על כל שדה, עיין במאמר שדות משותפים של ASIM .
| מחלקה | שדות |
|---|---|
| חובה |
-
מספר אירועים - EventStartTime - EventEndTime - סוג אירוע - EventResult - EventProduct - אירועים ודור - מסת אירוע - לוח אירועים - Dvc (Dvc) |
| מומלץ |
-
EventResultDetails - תם האירוע - EventUid - DvcIpAddr - DvcHostname - DvcDomain - סוג DvcDomain - DvcFQDN - מזהה DvcId - סוג DvcId - DvcAction |
| אופציונלי |
-
הודעת אירוע - סוג אירוע - EventOriginalUid - סוג אירועאוריגינאלי - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - לוח אירועים - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - שדות נוספים - DvcDescription - DvcScopeId - DvcScope |
שדות ספציפיים לאימות
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| LogonMethod | אופציונלי | מחרוזת | השיטה המשמשת לביצוע אימות. הערכים המותרים כוללים: Managed Identity, Service Principal, Username & Password, Multi factor authentication, PasswordlessPKI, PAMו- Other. דוגמאות: Managed Identity |
| LogonProtocol | אופציונלי | מחרוזת | הפרוטוקול המשמש לביצוע אימות. דוגמה NTLM |
שדות 'מעורר'
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| ActorUserId | אופציונלי | מחרוזת | ייצוג אלפאנומרי ייחודי קריא של מכונה של המעוין. לקבלת מידע נוסף, ולשדות חלופיים עבור זהות נוספת, ראה ישות המשתמש. דוגמה S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| סקופ מעורר | אופציונלי | מחרוזת | הטווח, כגון דייר Microsoft Entra, שבו הוגדרו ActorUserIdו- ActorUsername. או מידע נוסף ורשימה של ערכים מותרים, ראה UserScope במאמר מבט כולל על הסכימה. |
| ActorScopeId | אופציונלי | מחרוזת | מזהה הטווח, כגון מזהה Microsoft Entra, שבו הוגדרו ActorUserIdו- ActorUsername. לקבלת מידע נוסף ורשימה של ערכים מותרים, ראה UserScopeId במאמר סקירת סכימה. |
| ActorUserIdType | מותנה | סוג משתמש | סוג המזהה המאוחסן בשדה ActorUserId . לקבלת מידע נוסף ורשימה של ערכים מותרים, ראה UserIdType במאמר סקירת סכימה. |
| שם משתמש של שחקן | אופציונלי | שם משתמש (מחרוזת) | שם המשתמש של המעו שחקן, כולל פרטי תחום כאשר הוא זמין. לקבלת מידע נוסף, ראה ישות המשתמש. דוגמה AlbertE |
| ActorUsernameType | מותנה | סוג שם משתמש | מציין את סוג שם המשתמש המאוחסן בשדה ActorUsername . לקבלת מידע נוסף ורשימה של ערכים מותרים, ראה UsernameType במאמר מבט כולל על סכימה. דוגמה Windows |
| ActorUserType | אופציונלי | סוג משתמש | סוג המעומעון. לקבלת מידע נוסף ורשימה של ערכים מותרים, ראה UserType במאמר מבט כולל על סכימה. לדוגמה: Guest |
| ActorOriginalUserType | אופציונלי | מחרוזת | סוג המשתמש כפי שדווח על-ידי התקן הדיווח. |
| ActorSessionId | אופציונלי | מחרוזת | המזהה הייחודי של הפעלת הכניסה של המעויר. דוגמה 102pTUgC3p8RIqHvzxLCHnFlg |
שדות 'יישום פועל'
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| מזהה יישום בפועל | אופציונלי | מחרוזת | המזהה של היישום המורשה בשם המעויר, כולל תהליך, דפדפן או שירות. לדוגמה: 0x12ae8 |
| שם בפועל | אופציונלי | מחרוזת | שם היישום המורשה בשם המעויר, כולל תהליך, דפדפן או שירות. לדוגמה: C:\Windows\System32\svchost.exe |
| סוג יישום בפועל | אופציונלי | סוג יישום | סוג האפליקציה הפועלת. לקבלת מידע נוסף ורשימת ערכים מותרים, ראה AppType במאמר מבט כולל על סכימה. |
| ActingOriginalAppType | אופציונלי | מחרוזת | סוג היישום הפועל כפי שדווח על-ידי התקן הדיווח. |
| HttpUserAgent | אופציונלי | מחרוזת | כאשר מתבצע אימות באמצעות HTTP או HTTPS, הערך של שדה זה הוא user_agent HTTP שסופקה על-ידי היישום הפועל בעת ביצוע האימות. לדוגמה: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
שדות משתמש המשמשים כיעד
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| מזהה שימוש של יעד | אופציונלי | מחרוזת | ייצוג אלפאנומרי, קריא למחשב, ייחודי של משתמש היעד. לקבלת מידע נוסף, ולשדות חלופיים עבור זהות נוספת, ראה ישות המשתמש. דוגמה 00urjk4znu3BcncfY0h7 |
| TargetUserScope | אופציונלי | מחרוזת | הטווח, כגון דייר Microsoft Entra, שבו הוגדרו TargetUserIdו- TargetUsername. או מידע נוסף ורשימה של ערכים מותרים, ראה UserScope במאמר מבט כולל על הסכימה. |
| TargetUserScopeId | אופציונלי | מחרוזת | מזהה הטווח, כגון מזהה Microsoft Entra, שבו הוגדרו TargetUserIdו- TargetUsername. לקבלת מידע נוסף ורשימה של ערכים מותרים, ראה UserScopeId במאמר סקירת סכימה. |
| סוג TargetUserId | מותנה | סוג משתמש | סוג מזהה המשתמש המאוחסן בשדה TargetUserId . לקבלת מידע נוסף ורשימה של ערכים מותרים, ראה UserIdType במאמר סקירת סכימה. דוגמה SID |
| TargetUsername | אופציונלי | שם משתמש (מחרוזת) | שם המשתמש המשמש כיעד, כולל פרטי תחום כאשר הוא זמין. לקבלת מידע נוסף, ראה ישות המשתמש. דוגמה MarieC |
| TargetUsernameType | מותנה | סוג שם משתמש | מציין את סוג שם המשתמש המאוחסן בשדה TargetUsername . לקבלת מידע נוסף ורשימה של ערכים מותרים, ראה UsernameType במאמר מבט כולל על סכימה. |
| סוג יעד | אופציונלי | סוג משתמש | סוג משתמש היעד. לקבלת מידע נוסף ורשימה של ערכים מותרים, ראה UserType במאמר מבט כולל על סכימה. לדוגמה: Member |
| מזהה יעד | אופציונלי | מחרוזת | מזהה הפעלת הכניסה של TargetUser במכשיר המקור. |
| TargetOriginalUserType | אופציונלי | מחרוזת | סוג המשתמש כפי שדווח על-ידי התקן הדיווח. |
| משתמש | כינוי | שם משתמש (מחרוזת) | כינוי ל - TargetUsername או ל- TargetUserId אם TargetUsername אינו מוגדר. דוגמה CONTOSO\dadmin |
שדות מערכת מקור
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| Src | מומלץ | מחרוזת | מזהה ייחודי של התקן המקור. שדה זה עשוי להשתמש בכינוי השדות SrcDvcId, SrcHostname או SrcIpAddr . דוגמה 192.168.12.1 |
| SrcDvcId | אופציונלי | מחרוזת | המזהה של התקן המקור. אם קיימים מספר זהים זמינים, השתמש במקש החשוב ביותר ולאחסן את הפריטים האחרים בשדות SrcDvc<DvcIdType>.דוגמה ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | אופציונלי | מחרוזת | מזהה הטווח של פלטפורמת הענן שהמכשיר שייך אליו. SrcDvcScopeId ממופה למזהה מנוי ב- Azure ומזהה חשבון ב- AWS. |
| SrcDvcScope | אופציונלי | מחרוזת | היקף פלטפורמת הענן שהמכשיר שייך אליו. SrcDvcScope ממופה למזהה מנוי ב- Azure ומזהה חשבון ב- AWS. |
| SrcDvcIdType | מותנה | סוג DvcId | הסוג של SrcDvcId. לקבלת רשימה של ערכים מותרים ומידע נוסף עיין ב- DvcIdType במאמר סקירת סכימה. הערה: שדה זה נדרש אם SrcDvcId נמצא בשימוש. |
| SrcDeviceType | אופציונלי | סוג התקן | סוג התקן המקור. לקבלת רשימה של ערכים מותרים ומידע נוסף עיין ב- DeviceType במאמר סקירת סכימה. |
| שם SrcHost | אופציונלי | Hostname | שם המחשב המארח של התקן המקור, לא כולל פרטי תחום. אם אין שם מכשיר זמין, אחסן את כתובת ה- IP הרלוונטית בשדה זה. דוגמה DESKTOP-1282V4D |
| SrcDomain | אופציונלי | תחום (מחרוזת) | התחום של התקן המקור. דוגמה Contoso |
| SrcDomainType | מותנה | סוג תחום | סוג SrcDomain. לקבלת רשימה של ערכים מותרים ומידע נוסף עיין ב - DomainType במאמר סקירת סכימה. נדרש אם SrcDomain נמצא בשימוש. |
| SrcFQDN | אופציונלי | FQDN (מחרוזת) | שם המחשב המארח של התקן המקור, כולל פרטי תחום כאשר הוא זמין. הערה: שדה זה תומך הן בתבנית FQDN מסורתית והן בתבנית Windows domain\hostname. השדה SrcDomainType משקף את התבנית שבה נעשה שימוש. דוגמה Contoso\DESKTOP-1282V4D |
| SrcDescription | אופציונלי | מחרוזת | טקסט תיאורי המשויך למכשיר. לדוגמה: Primary Domain Controller. |
| SrcIpAddr | מומלץ | כתובת IP | כתובת ה- IP של התקן המקור. דוגמה 2.2.2.2 |
| SrcPortNumber | אופציונלי | מספר שלם | יציאת ה- IP שממנה נוצר החיבור. דוגמה 2335 |
| SrcDvcOs | אופציונלי | מחרוזת | מערכת ההפעלה של התקן המקור. דוגמה Windows 10 |
| IpAddr | כינוי | כינוי ל - SrcIpAddr | |
| SrcIsp | אופציונלי | מחרוזת | ספק שירותי האינטרנט (ISP) המשמש את התקן המקור כדי להתחבר לאינטרנט. דוגמה corpconnect |
| SrcGeoCountry | אופציונלי | המדינה | דוגמהCanada לקבלת מידע נוסף, ראה סוגים לוגיים. |
| SrcGeoCity | אופציונלי | עיר | דוגמהMontreal לקבלת מידע נוסף, ראה סוגים לוגיים. |
| SrcGeoRegion | אופציונלי | אזור | דוגמהQuebec לקבלת מידע נוסף, ראה סוגים לוגיים. |
| SrcGeoLongitude | אופציונלי | קו אורך | דוגמה-73.614830 לקבלת מידע נוסף, ראה סוגים לוגיים. |
| הכרת תודה | אופציונלי | Latitude | דוגמה45.505918 לקבלת מידע נוסף, ראה סוגים לוגיים. |
| SrcRiskLevel | אופציונלי | מספר שלם | רמת הסיכון המשויכת למקור. יש להתאים את הערך לטווח של ל- 0100, עם 0 לב טוב ובסיכון 100 גבוה.דוגמה 90 |
| SrcOriginalRiskLevel | אופציונלי | מחרוזת | רמת הסיכון המשויכת למקור, כפי שדווח על-ידי התקן הדיווח. דוגמה Suspicious |
שדות יישום יעד
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| מזהה יעד | אופציונלי | מחרוזת | מזהה היישום שאליו נדרשת ההרשאה, לרוב מוקצה על-ידי התקן הדיווח. דוגמה 89162 |
| TargetAppName | אופציונלי | מחרוזת | שם היישום שאליו נדרשת ההרשאה, כולל שירות, כתובת URL או יישום SaaS. דוגמה Saleforce |
| יישום | כינוי | כינוי ל - TargetAppName. | |
| סוג יעד | מותנה | סוג יישום | סוג היישום המורשה בשם המעוות. לקבלת מידע נוסף ורשימת ערכים מותרים, ראה AppType במאמר מבט כולל על סכימה. |
| TargetOriginalAppType | אופציונלי | מחרוזת | סוג היישום המורשה בשם המעו השמע כפי שדווח על-ידי התקן הדיווח. |
| יעדUrl | אופציונלי | כתובת url | כתובת ה- URL המשויכת ליישום היעד. דוגמה https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| תיוג כניסה | כינוי | כינוי ל- TargetAppName, ל- TargetUrl או ל- TargetHostname, השדה המתאים ביותר המתאר את יעד האימות. |
שדות מערכת יעד
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| שעון הקיץ | כינוי | מחרוזת | מזהה ייחודי של יעד האימות. שדה זה עשוי להוסיף כינוי לשדות TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId או TargetAppName . דוגמה 192.168.12.1 |
| שם אירוח יעד | מומלץ | Hostname | שם המחשב המארח של התקן היעד, לא כולל פרטי תחום. דוגמה DESKTOP-1282V4D |
| תחום יעד | מומלץ | תחום (מחרוזת) | התחום של התקן היעד. דוגמה Contoso |
| TargetDomainType | מותנה | ספירה | הסוג של TargetDomain. לקבלת רשימה של ערכים מותרים ומידע נוסף עיין ב - DomainType במאמר סקירת סכימה. נדרש אם נעשה שימוש ב- TargetDomain . |
| TargetFQDN | אופציונלי | FQDN (מחרוזת) | שם המחשב המארח של התקן היעד, כולל פרטי תחום כאשר הוא זמין. דוגמה Contoso\DESKTOP-1282V4D הערה: שדה זה תומך הן בתבנית FQDN מסורתית והן בתבנית Windows domain\hostname. ה - TargetDomainType משקף את התבנית שבה נעשה שימוש. |
| TargetDescription | אופציונלי | מחרוזת | טקסט תיאורי המשויך למכשיר. לדוגמה: Primary Domain Controller. |
| TargetDvcId | אופציונלי | מחרוזת | המזהה של מכשיר היעד. אם קיימים מספר זהים זמינים, השתמש במקש החשוב ביותר ולאחסן את הפריטים האחרים בשדות TargetDvc<DvcIdType>. דוגמה ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | אופציונלי | מחרוזת | מזהה הטווח של פלטפורמת הענן שהמכשיר שייך אליו. TargetDvcScopeId ממופה למזהה מנוי Azure ומזהה חשבון ב- AWS. |
| TargetDvcScope | אופציונלי | מחרוזת | היקף פלטפורמת הענן שהמכשיר שייך אליו. TargetDvcScope ממופה למזהה מנוי ב- Azure ומזהה חשבון ב- AWS. |
| TargetDvcIdType | מותנה | ספירה | הסוג של TargetDvcId. לקבלת רשימה של ערכים מותרים ומידע נוסף עיין ב- DvcIdType במאמר סקירת סכימה. נדרש אם נעשה שימוש ב- TargetDeviceId . |
| סוג יעד | אופציונלי | ספירה | סוג התקן היעד. לקבלת רשימה של ערכים מותרים ומידע נוסף עיין ב- DeviceType במאמר סקירת סכימה. |
| TargetIpAddr | אופציונלי | כתובת IP | כתובת ה- IP של מכשיר היעד. דוגמה 2.2.2.2 |
| TargetDvcOs | אופציונלי | מחרוזת | מערכת ההפעלה של מכשיר היעד. דוגמה Windows 10 |
| TargetPortNumber | אופציונלי | מספר שלם | היציאה של התקן היעד. |
| TargetGeoCountry | אופציונלי | המדינה | המדינה/אזור המשויכים לכתובת ה- IP של היעד. דוגמה USA |
| TargetGeoRegion | אופציונלי | אזור | האזור המשויך לכתובת ה- IP של היעד. דוגמה Vermont |
| TargetGeoCity | אופציונלי | עיר | העיר המשויכת לכתובת ה- IP של היעד. דוגמה Burlington |
| TargetGeoLatitude | אופציונלי | Latitude | קו הרוחב של הקואורדינטה הגיאוגרפית המשויכת לכתובת ה- IP של היעד. דוגמה 44.475833 |
| TargetGeoLongitude | אופציונלי | קו אורך | קו האורך של הקואורדינטה הגיאוגרפית המשויכת לכתובת ה- IP של היעד. דוגמה 73.211944 |
| TargetRiskLevel | אופציונלי | מספר שלם | רמת הסיכון המשויכת ליעד. יש להתאים את הערך לטווח של ל- 0100, עם 0 לב טוב ובסיכון 100 גבוה.דוגמה 90 |
| TargetOriginalRiskLevel | אופציונלי | מחרוזת | רמת הסיכון המשויכת ליעד, כפי שדווח על-ידי התקן הדיווח. דוגמה Suspicious |
שדות בדיקה
השדות הבאים משמשים כדי לייצג בדיקה זו שבוצעה על-ידי מערכת אבטחה.
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| שם כלל | אופציונלי | מחרוזת | השם או המזהה של הכלל על-ידי משויך לתוצאות הבדיקה. |
| מספר כלל | אופציונלי | מספר שלם | מספר הכלל המשויך לתוצאות הבדיקה. |
| כלל | כינוי | מחרוזת | הערך של RuleName או הערך של RuleNumber. אם נעשה שימוש בערך RuleNumber , יש להמיר את הסוג למחרוזת. |
| מזהה איום | אופציונלי | מחרוזת | המזהה של האיום או התוכנות הזדוניות המזוהות בפעילות הביקורת. |
| שם איום | אופציונלי | מחרוזת | שם האיום או התוכנות הזדוניות המזוהות בפעילות הביקורת. |
| קטגוריית איום | אופציונלי | מחרוזת | קטגוריית האיום או התוכנות הזדוניות המזוהות בפעילות קבצי ביקורת. |
| ThreatRiskLevel | אופציונלי | RiskLevel (מספר שלם) | רמת הסיכון המשויכת לאיום המזוהה. הרמה צריכה להיות מספר בין 0 ל - 100. הערה: הערך עשוי להיות מסופק ברשומת המקור באמצעות קנה מידה אחר, שיש לנוירמול לקנה מידה זה. יש לאחסן את הערך המקורי ב - ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | אופציונלי | מחרוזת | רמת הסיכון כפי שדווח על-ידי התקן הדיווח. |
| ThreatConfidence | אופציונלי | ConfidenceLevel (מספר שלם) | רמת הביטחון של האיום שזוהה, מנורמה לערך בין 0 ל- 100. |
| ThreatOriginalConfidence | אופציונלי | מחרוזת | רמת הביטחון המקורית של האיום שזוהה, כפי שדווח על-ידי התקן הדיווח. |
| איומיםאקטיביים | אופציונלי | בוליאני | נכון אם האיום שזוהה נחשב לאיום פעיל. |
| ThreatFirstReportedTime | אופציונלי | Datetime | בפעם הראשונה שבה כתובת ה- IP או התחום זוהו כאיום. |
| ThreatLastReportedTime | אופציונלי | Datetime | הפעם האחרונה שבה כתובת ה- IP או התחום זוהו כאיום. |
| ThreatIpAddr | אופציונלי | כתובת IP | כתובת IP שעבורה זוהה איום. השדה ThreatField מכיל את שם השדה ThreatIpAddr מייצג. |
| ThreatField | מותנה | ספירה | השדה שעבורו זוהה איום. הערך הוא או SrcIpAddrTargetIpAddr. |
עדכוני סכימה
אלה הם השינויים בגירסה 0.1.1 של הסכימה:
- שדות ישות משתמש והתקן מעודכנים כדי להתיישר עם סכימות אחרות.
- שמם משתנה
TargetDvcSrcDvcלTarget- ולהתאמהSrcבהתאם לקווים המנחים הנוכחיים של ASIM. השדות ששמו השתנה ייושמו ככינויים עד ה- 1 ביולי 2022. שדות אלה כוללים:SrcDvcHostname,SrcDvcHostnameType,SrcDvcType,SrcDvcIpAddr,TargetDvcHostname,TargetDvcHostnameTypeTargetDvcType,TargetDvcIpAddrו-TargetDvc. - נוסף הכינויים ו
Src-Dst. - הוספת את השדות
SrcDvcIdType,SrcDeviceType,TargetDvcIdType, וTargetDeviceType- ו-EventSchema.
אלה הם השינויים בגירסה 0.1.2 של הסכימה:
- הוספת את השדות
ActorScope,TargetUserScope,SrcDvcScopeId,SrcDvcScope,TargetDvcScopeId,TargetDvcScope,DvcScopeIdו-DvcScope.
אלה הם השינויים בגירסה 0.1.3 של הסכימה:
- הוספת את השדות
SrcPortNumber,ActorOriginalUserType,ActorScopeId,TargetOriginalUserType,TargetUserScopeId,SrcRiskLevelSrcDescription,SrcOriginalRiskLevelו-TargetDescription. - שדות בדיקה שנוספו
- נוספו שדות מיקום גיאוגרפי של מערכת היעד.
אלה הם השינויים בגירסה 0.1.4 של הסכימה:
- הוספת את השדות ואת
ActingOriginalAppTypeTargetOriginalAppType. - נוסף הכינוי
Application.
השלבים הבאים
לקבלת מידע נוסף, ראה: