הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
סכימת Microsoft Sentinel של ניהול משתמשים משמשת לתיאור פעילויות ניהול משתמשים, כגון יצירת משתמש או קבוצה, שינוי תכונת משתמש או הוספת משתמש לקבוצה. אירועים אלה מדווחים, לדוגמה, על-ידי מערכות הפעלה, שירותי מדריך כתובות, מערכות ניהול זהויות וכל דיווח מערכת אחר על פעילות ניהול המשתמשים המקומית.
לקבלת מידע נוסף אודות נרמול ב- Microsoft Sentinel, ראה נרמול ומודל מידע אבטחה מתקדם (ASIM).
מבט כולל על סכימה
סכימת ניהול המשתמשים של ASIM מתארת פעילויות ניהול משתמשים. הפעילויות כוללות בדרך כלל את הישויות הבאות:
- מעורר - המשתמש שמבצע את פעילות הניהול.
- תהליך פועל - התהליך המשמש את המעוות לביצוע פעילות הניהול.
- Src - כאשר הפעילות מתבצעת דרך הרשת, התקן המקור ממנו הופעלה הפעילות.
- משתמש יעד - המשתמש שהחשבון שלו מנוהל.
- קבוצה שמשתמש היעד מתווסף או מוסר מתוכם, או עובר שינוי.
פעילויות מסוימות, כגון UserCreated, GroupCreated, UserModified ו- GroupModified*, מגדירות או מעדכנת מאפייני משתמש. ערכת המאפיינים או העדכון מתעדים בשדות הבאים:
- EventSubType - שם הערך הוגדר או עודכן. UpdatedPropertyName הוא כינוי ל- EventSubType כאשר EventSubType מפנה לאחד מסוגי האירועים הרלוונטיים.
- PreviousPropertyValue - הערך הקודם של המאפיין.
- NewPropertyValue - הערך המעודכן של המאפיין.
מנתחי מבנה טקסט
לקבלת מידע נוסף אודות מנתחי ASIM, עיין במבט כולל על מנתחי ASIM.
סינון פרמטרים של מנתח
מנתחי ניהול המשתמשים תומכים בפרמטרים של סינון. בעוד שפרמטרים אלה הם אופציונליים, הם יכולים לשפר את ביצועי השאילתה שלך.
הפרמטרים הבאים לסינון זמינים:
| Name | סוג | תיאור |
|---|---|---|
| זמן התחלה | Datetime | סנן רק אירועי ניהול משתמשים שהתרחשו בשעה זו או לאחר מכן. פרמטר TimeGenerated זה מסנן בשדה, שהוא המציין הסטנדרטי עבור מועד האירוע, ללא קשר למיפוי הספציפי למנתח של השדות EventStartTime ו- EventEndTime. |
| שעת סיום | Datetime | סנן רק אירועי ניהול משתמשים שהתרחשו בשעה זו או לפניה. פרמטר TimeGenerated זה מסנן בשדה, שהוא המציין הסטנדרטי עבור מועד האירוע, ללא קשר למיפוי הספציפי למנתח של השדות EventStartTime ו- EventEndTime. |
| srcipaddr_has_any_prefix | דינמי | סנן רק אירועי ניהול משתמשים שבהם קידומת כתובת ה- IP המהווה מקור תואמת לכל אחד מהערכים המפורטים. קידומות צריכות להסתיים ב- ., לדוגמה: 10.0.. |
| targetusername_has_any | דינמי | סנן רק אירועי ניהול משתמשים שבהם שם המשתמש המוגדר כיעד כולל אחד מהערכים המפורטים. |
| actorusername_has_any | דינמי | סנן רק אירועי ניהול משתמשים שבהם שם המשתמש של המעוות מכיל את כל הערכים המפורטים. |
| eventtype_in | דינמי | סנן רק אירועי ניהול משתמשים שבהם סוג האירוע הוא אחד מהערכים המפורטים, UserCreatedכגון , UserDeleted, UserModified, PasswordChangedאו GroupCreated. |
לדוגמה, כדי לסנן רק אירועים של יצירת משתמשים מהיום האחרון, השתמש בפעולות הבאות:
_Im_UserManagement (eventtype_in=dynamic(['UserCreated']), starttime = ago(1d), endtime=now())
פרטי סכימה
שדות ASIM נפוצים
חשוב
שדות המשותפים לכל הסכימות מתוארים בפירוט במאמר שדות משותפים של ASIM .
שדות משותפים עם קווים מנחים ספציפיים
הרשימה הבאה מציינת שדות הכוללים קווים מנחים ספציפיים לאירועי פעילות בתהליך:
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| סוג אירוע | חובה | ספירה | מתאר את הפעולה שדווחה על-ידי הרשומה. עבור פעילות ניהול משתמשים, הערכים הנתמכים הם: - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| סוג אירוע | אופציונלי | ספירה | סוגי המשנה הבאים נתמכים: - UserRead: סיסמה, קוד Hash- UserCreated, GroupCreated, UserModified, GroupModified. לקבלת מידע נוסף, ראה UpdatedPropertyName |
| EventResult | חובה | ספירה | למרות שהכשל אפשרי, רוב המערכות מדווחות רק על אירועי ניהול משתמשים מוצלחים. הערך הצפוי עבור אירועים מוצלחים הוא Success. |
| EventResultDetails | מומלץ | ספירה | הערכים החוקיים הם ו NotAuthorized - Other. |
| תם האירוע | חובה | ספירה | למרות שערך חומרה חוקי מותר, החומרה של אירועי ניהול משתמשים היא בדרך כלל Informational. |
| מסת אירוע | חובה | ספירה | שם הסכימה התהמסמכים כאן הוא UserManagement. |
| לוח אירועים | חובה | SchemaVersion (מחרוזת) | גירסת הסכימה. גירסת הסכימה התהמסמכים כאן היא 0.1.2. |
| שדות Dvc | עבור אירועי ניהול משתמשים, שדות מכשירים מתייחסים אל דיווח המערכת על האירוע. זוהי בדרך כלל המערכת שבה המשתמש מנוהל. |
כל השדות המשותפים
שדות המופיעים בטבלה שלהלן משותפים לכל סכימות ה- ASIM. כל קו מנחה שצוין לעיל עוקף את הקווים המנחים הכלליים עבור השדה. לדוגמה, שדה עשוי להיות אופציונלי באופן כללי, אך הכרחי עבור סכימה ספציפית. לקבלת פרטים נוספים על כל שדה, עיין במאמר שדות משותפים של ASIM .
| מחלקה | שדות |
|---|---|
| חובה |
-
מספר אירועים - EventStartTime - EventEndTime - סוג אירוע - EventResult - EventProduct - אירועים ודור - מסת אירוע - לוח אירועים - Dvc (Dvc) |
| מומלץ |
-
EventResultDetails - תם האירוע - EventUid - DvcIpAddr - DvcHostname - DvcDomain - סוג DvcDomain - DvcFQDN - מזהה DvcId - סוג DvcId - DvcAction |
| אופציונלי |
-
הודעת אירוע - סוג אירוע - EventOriginalUid - סוג אירועאוריגינאלי - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - לוח אירועים - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - שדות נוספים - DvcDescription - DvcScopeId - DvcScope |
שדות מאפיינים מעודכנים
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| עדכוןPropertyName | כינוי | כינוי ל- EventSubType כאשר סוג האירוע הוא UserCreated, GroupCreated, UserModifiedאו GroupModified.הערכים הנתמכים הם: - MultipleProperties: משמש כאשר הפעילות מעדכון מאפיינים מרובים- Previous<PropertyName>, כאשר <PropertyName> אחד מהערכים הנתמכים עבור UpdatedPropertyName. - New<PropertyName>, כאשר <PropertyName> אחד מהערכים הנתמכים עבור UpdatedPropertyName. |
|
| PreviousPropertyValue | אופציונלי | מחרוזת | הערך הקודם שאוחסן במאפיין שצוין. |
| NewPropertyValue | אופציונלי | מחרוזת | הערך החדש המאוחסן במאפיין שצוין. |
שדות משתמש המשמשים כיעד
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| מזהה שימוש של יעד | אופציונלי | מחרוזת | ייצוג אלפאנומרי, קריא למחשב, ייחודי של משתמש היעד. תבניות וסוגים נתמכים כוללים: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- מזהה אישור: 00urjk4znu3BcncfY0h7- מזהה AWS: 72643944673אחסן את סוג המזהה בשדה TargetUserIdType . אם קיימים זהים אחרים זמינים, מומלץ לרמל את שמות השדות ל- TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId ו- TargetUserAwsId, בהתאמה. לקבלת מידע נוסף, ראה ישות המשתמש. דוגמה S-1-12 |
| סוג TargetUserId | מותנה | ספירה | סוג המזהה המאוחסן בשדה TargetUserId . הערכים הנתמכים הם SID, UID, AADID, OktaIdו- AWSId. |
| TargetUsername | אופציונלי | שם משתמש (מחרוזת) | שם המשתמש המשמש כיעד, כולל פרטי תחום כאשר הוא זמין. השתמש באחת מהתבניות הבאות ובעדיפות הבאה: - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- שם פרטי: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- פשוט: johndow. השתמש בטופס Simple רק אם פרטי תחום אינם זמינים.אחסן את סוג שם המשתמש בשדה TargetUsernameType . אם ישנם זהים זמינים אחרים, מומלץ לרמל את שמות השדות ל- TargetUserUpn, TargetUserWindows ו- TargetUserDn. לקבלת מידע נוסף, ראה ישות המשתמש. דוגמה AlbertE |
| TargetUsernameType | מותנה | ספירה | מציין את סוג שם המשתמש המאוחסן בשדה TargetUsername . הערכים הנתמכים כוללים UPNאת , Windows, DNו- Simple. לקבלת מידע נוסף, ראה ישות המשתמש.דוגמה Windows |
| סוג יעד | אופציונלי | ספירה | סוג משתמש היעד. הערכים הנתמכים כוללים: - Regular- Machine- Admin- System- Application- Service Principal- Otherהערה: ייתכן שהערך יצוין ברשומת המקור באמצעות מונחים שונים, שיש לנוירמול לערכים אלה. אחסן את הערך המקורי בשדה TargetOriginalUserType . |
| TargetOriginalUserType | אופציונלי | מחרוזת | סוג המשתמש המשמש כיעד המקורי, אם סופק על-ידי המקור. |
| TargetUserScope | אופציונלי | מחרוזת | הטווח, כגון דייר Microsoft Entra, שבו הוגדרו TargetUserIdו- TargetUsername. או מידע נוסף ורשימה של ערכים מותרים, ראה UserScope במאמר מבט כולל על הסכימה. |
| TargetUserScopeId | אופציונלי | מחרוזת | מזהה הטווח, כגון מזהה Microsoft Entra, שבו הוגדרו TargetUserIdו- TargetUsername. לקבלת מידע נוסף ורשימה של ערכים מותרים, ראה UserScopeId במאמר סקירת סכימה. |
| TargetUserSessionId | אופציונלי | מחרוזת | המזהה הייחודי של הפעלת הכניסה של משתמש היעד. דוגמה 999 הערה: הסוג מוגדר כמחרוזת לתמיכה במערכות משתנות, אך ב- Windows ערך זה חייב להיות מספרי. אם אתה משתמש במחשב Windows או Linux והשתמשו בסוג אחר, הקפד להמיר את הערכים. לדוגמה, אם השתמשת בערך הקסדצימאלי, המר אותו לערך עשרוני. |
שדות 'מעורר'
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| ActorUserId | אופציונלי | מחרוזת | ייצוג אלפאנומרי ייחודי קריא של מכונה של המעוין. תבניות וסוגים נתמכים כוללים: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- מזהה אישור: 00urjk4znu3BcncfY0h7- מזהה AWS: 72643944673אחסן את סוג המזהה בשדה ActorUserIdType . אם קיימים המזהים האחרים זמינים, מומלץ לנורמל את שמות השדות ל - ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId ו - ActorAwsId, בהתאמה. לקבלת מידע נוסף, ראה ישות המשתמש. דוגמה: S-1-12 |
| ActorUserIdType | מותנה | ספירה | סוג המזהה המאוחסן בשדה ActorUserId . הערכים הנתמכים כוללים SIDאת , UID, AADID, OktaIdו- AWSId. |
| שם משתמש של שחקן | חובה | שם משתמש (מחרוזת) | שם המשתמש של המעוות, כולל פרטי תחום כאשר הוא זמין. השתמש באחת מהתבניות הבאות ובעדיפות הבאה: - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- שם פרטי: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- פשוט: johndow. השתמש בטופס Simple רק אם פרטי תחום אינם זמינים.אחסן את סוג שם המשתמש בשדה ActorUsernameType . אם קיימים זהים אחרים זמינים, מומלץ לרמל את שמות השדות ל - ActorUserUpn, ActorUserWindows ו - ActorUserDn. לקבלת מידע נוסף, ראה ישות המשתמש. דוגמה AlbertE |
| משתמש | כינוי | Alias to ActorUsername. | |
| ActorUsernameType | מותנה | ספירה | מציין את סוג שם המשתמש המאוחסן בשדה ActorUsername . הערכים הנתמכים הם UPN, Windows, DNו- Simple. לקבלת מידע נוסף, ראה ישות המשתמש.דוגמה Windows |
| ActorUserType | אופציונלי | ספירה | סוג המעומעון. הערכים המותרים הם: - Regular- Machine- Admin- System- Application- Service Principal- Otherהערה: ייתכן שהערך יצוין ברשומת המקור באמצעות מונחים שונים, שיש לנוירמול לערכים אלה. אחסן את הערך המקורי בשדה ActorOriginalUserType . |
| ActorOriginalUserType | אופציונלי | מחרוזת | סוג המשתמש המשמש כיעד המקורי, אם סופק על-ידי התקן הדיווח. |
| ActorOriginalUserType | סוג המשתמש של המעוות המקורי, אם סופק על-ידי המקור. | ||
| ActorSessionId | אופציונלי | מחרוזת | המזהה הייחודי של הפעלת הכניסה של המעויר. דוגמה 999הערה: הסוג מוגדר כמחרוזת לתמיכה במערכות משתנות, אך ב- Windows ערך זה חייב להיות מספרי. אם אתה משתמש במחשב Windows והשתמשת בסוג אחר, הקפד להמיר את הערכים. לדוגמה, אם השתמשת בערך הקסדצימאלי, המר אותו לערך עשרוני. |
| סקופ מעורר | אופציונלי | מחרוזת | הטווח, כגון דייר Microsoft Entra, שבו הוגדרו ActorUserIdו- ActorUsername. או מידע נוסף ורשימה של ערכים מותרים, ראה UserScope במאמר מבט כולל על הסכימה. |
| ActorScopeId | אופציונלי | מחרוזת | מזהה הטווח, כגון מזהה Microsoft Entra, שבו הוגדרו ActorUserIdו- ActorUsername. או מידע נוסף ורשימה של ערכים מותרים, ראה UserScopeId במאמר מבט כולל על הסכימה. |
שדות קבוצה
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| מזהה קבוצה | אופציונלי | מחרוזת | ייצוג אלפאנומרי, ייחודי לקריאה מכונה, של הקבוצה, לפעילויות הקשורות לקבוצה. תבניות וסוגים נתמכים כוללים: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578אחסן את סוג המזהה בשדה GroupIdType . אם ישנם זהים זמינים אחרים, מומלץ לרמל את שמות השדות ל- GroupSid או ל- GroupUid, בהתאמה. לקבלת מידע נוסף, ראה ישות המשתמש. דוגמה S-1-12 |
| סוג קבוצה | אופציונלי | ספירה | סוג המזהה המאוחסן בשדה GroupId . הערכים הנתמכים הם , SIDו- UID. |
| שם קבוצה | אופציונלי | מחרוזת | שם הקבוצה, כולל פרטי תחום כאשר הם זמינים, עבור פעילויות הכוללות קבוצה. השתמש באחת מהתבניות הבאות ובעדיפות הבאה: - Upn/Email: grp@contoso.com- Windows: Contoso\grp- שם פרטי: CN=grp,OU=Sales,DC=Fabrikam,DC=COM- פשוט: grp. השתמש בטופס Simple רק אם פרטי תחום אינם זמינים.אחסן את סוג שם הקבוצה בשדה GroupNameType . אם ישנם זהים זמינים אחרים, מומלץ לרמל את שמות השדות ל- GroupUpn, ל- GroupNameWindows ול- GroupDn. דוגמה Contoso\Finance |
| סוג קבוצה | אופציונלי | ספירה | מציין את סוג שם הקבוצה המאוחסן בשדה GroupName . הערכים הנתמכים כוללים UPNאת , Windows, DNו- Simple.דוגמה Windows |
| סוג קבוצה | אופציונלי | ספירה | סוג הקבוצה, עבור פעילויות הכוללות קבוצה. הערכים הנתמכים כוללים: - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- Otherהערה: ייתכן שהערך יצוין ברשומת המקור באמצעות מונחים שונים, שיש לנוירמול לערכים אלה. אחסן את הערך המקורי בשדה GroupOriginalType . |
| סוג קבוצה של קיבוץ | אופציונלי | מחרוזת | סוג הקבוצה המקורית, אם סופק על-ידי המקור. |
שדות מקור
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| Src | מומלץ | מחרוזת | מזהה ייחודי של התקן המקור. שדה זה עשוי להשתמש בכינוי השדות SrcDvcId, SrcHostname או SrcIpAddr . דוגמה 192.168.12.1 |
| SrcIpAddr | מומלץ | כתובת IP | כתובת ה- IP של התקן המקור. ערך זה הכרחי אם צוין SrcHostname . דוגמה 77.138.103.108 |
| IpAddr | כינוי | כינוי ל- SrcIpAddr. | |
| SrcPortNumber | אופציונלי | מספר שלם | יציאת ה- IP שממנה נוצר החיבור. ייתכן שלא תהיה רלוונטית להפעלה הכוללת חיבורים מרובים. דוגמה 2335 |
| SrcMacAddr | אופציונלי | כתובת MAC (מחרוזת) | כתובת ה- MAC של ממשק הרשת שממנו נוצר החיבור או ההפעלה. דוגמה 06:10:9f:eb:8f:14 |
| SrcDescription | אופציונלי | מחרוזת | טקסט תיאורי המשויך למכשיר. לדוגמה: Primary Domain Controller. |
| שם SrcHost | מומלץ | מחרוזת | שם המחשב המארח של התקן המקור, לא כולל פרטי תחום. דוגמה DESKTOP-1282V4D |
| SrcDomain | מומלץ | תחום (מחרוזת) | התחום של התקן המקור. דוגמה Contoso |
| SrcDomainType | מומלץ | ספירה | הסוג של SrcDomain, אם הוא ידוע. ערכים אפשריים כוללים: - Windows (כגון contoso)- FQDN (כגון microsoft.com)נדרש אם SrcDomain נמצא בשימוש. |
| SrcFQDN | אופציונלי | FQDN (מחרוזת) | שם המחשב המארח של התקן המקור, כולל פרטי תחום כאשר הוא זמין. הערה: שדה זה תומך הן בתבנית FQDN מסורתית והן בתבנית Windows domain\hostname. השדה SrcDomainType משקף את התבנית שבה נעשה שימוש. דוגמה Contoso\DESKTOP-1282V4D |
| SrcDvcId | אופציונלי | מחרוזת | המזהה של התקן המקור כפי שדווח ברשומה. דוגמה ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | אופציונלי | מחרוזת | מזהה הטווח של פלטפורמת הענן שהמכשיר שייך אליו. SrcDvcScopeId ממופה למזהה מנוי ב- Azure ומזהה חשבון ב- AWS. |
| SrcDvcScope | אופציונלי | מחרוזת | היקף פלטפורמת הענן שהמכשיר שייך אליו. SrcDvcScope ממופה למזהה מנוי ב- Azure ומזהה חשבון ב- AWS. |
| SrcDvcIdType | מותנה | ספירה | הסוג של SrcDvcId, אם הוא ידוע. ערכים אפשריים כוללים: - AzureResourceId- MDEidאם קיימים מספר זהים זמינים, השתמש בפריט הראשון מהרשימה הקודמת ואחסן את האחרים ב- SrcDvcAzureResourceId וב - SrcDvcMDEid, בהתאמה. הערה: שדה זה נדרש אם SrcDvcId נמצא בשימוש. |
| SrcDeviceType | אופציונלי | ספירה | סוג התקן המקור. ערכים אפשריים כוללים: - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | אופציונלי | המדינה | המדינה/אזור המשויכים לכתובת ה- IP של המקור. דוגמה USA |
| SrcGeoRegion | אופציונלי | אזור | האזור המשויך לכתובת ה- IP של המקור. דוגמה Vermont |
| SrcGeoCity | אופציונלי | עיר | העיר המשויכת לכתובת ה- IP של המקור. דוגמה Burlington |
| הכרת תודה | אופציונלי | Latitude | קו הרוחב של הקואורדינטות הגיאוגרפיות המשויכות לכתובת ה- IP של המקור. דוגמה 44.475833 |
| SrcGeoLongitude | אופציונלי | קו אורך | קו האורך של הקואורדינטה הגיאוגרפית המשויכת לכתובת ה- IP של המקור. דוגמה 73.211944 |
| SrcRiskLevel | אופציונלי | מספר שלם | רמת הסיכון המשויכת למקור. יש להתאים את הערך לטווח של ל- 0100, עם 0 לב טוב ובסיכון 100 גבוה.דוגמה 90 |
| SrcOriginalRiskLevel | אופציונלי | מחרוזת | רמת הסיכון המשויכת למקור, כפי שדווח על-ידי התקן הדיווח. דוגמה Suspicious |
יישום פועל
שדות בדיקה
השדות הבאים משמשים כדי לייצג בדיקה זו שבוצעה על-ידי מערכת אבטחה כגון מערכת EDR.
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| שם כלל | אופציונלי | מחרוזת | השם או המזהה של הכלל על-ידי משויך לתוצאות הבדיקה. |
| מספר כלל | אופציונלי | מספר שלם | מספר הכלל המשויך לתוצאות הבדיקה. |
| כלל | מותנה | מחרוזת | הערך של kRuleName או הערך של RuleNumber. אם נעשה שימוש בערך RuleNumber , יש להמיר את הסוג למחרוזת. |
| מזהה איום | אופציונלי | מחרוזת | המזהה של האיום או התוכנות הזדוניות המזוהות בפעילות הקובץ. |
| שם איום | אופציונלי | מחרוזת | שם האיום או התוכנות הזדוניות המזוהות בפעילות הקובץ. דוגמה EICAR Test File |
| קטגוריית איום | אופציונלי | מחרוזת | קטגוריית האיום או התוכנות הזדוניות המזוהות בפעילות הקובץ. דוגמה Trojan |
| ThreatRiskLevel | אופציונלי | RiskLevel (מספר שלם) | רמת הסיכון המשויכת לאיום המזוהה. הרמה צריכה להיות מספר בין 0 ל - 100. הערה: הערך עשוי להיות מסופק ברשומת המקור באמצעות קנה מידה אחר, שיש לנוירמול לקנה מידה זה. יש לאחסן את הערך המקורי ב - ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | אופציונלי | מחרוזת | רמת הסיכון כפי שדווח על-ידי התקן הדיווח. |
| ThreatField | אופציונלי | מחרוזת | השדה שעבורו זוהה איום. |
| ThreatConfidence | אופציונלי | ConfidenceLevel (מספר שלם) | רמת הביטחון של האיום שזוהה, מנורמה לערך בין 0 ל- 100. |
| ThreatOriginalConfidence | אופציונלי | מחרוזת | רמת הביטחון המקורית של האיום שזוהה, כפי שדווח על-ידי התקן הדיווח. |
| איומיםאקטיביים | אופציונלי | בוליאני | נכון אם האיום שזוהה נחשב לאיום פעיל. |
| ThreatFirstReportedTime | אופציונלי | Datetime | בפעם הראשונה שבה כתובת ה- IP או התחום זוהו כאיום. |
| ThreatLastReportedTime | אופציונלי | Datetime | הפעם האחרונה שבה כתובת ה- IP או התחום זוהו כאיום. |
שדות בכינויים נוספים
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| שם מחשב מארח | כינוי | Alias to DvcHostname. |
עדכוני סכימה
השינויים בגירסה 0.1.2 של הסכימה הם:
- שדות בדיקה נוספו.
- הוספת את שדות המקור
SrcDescription,SrcMacAddr,SrcOriginalRiskLevel,SrcPortNumber,SrcRiskLevel, - הוספת שדות היעד
TargetUserScope,TargetUserScopeId,TargetUserSessionId - הוסיף את שדות המעושחקים
ActorOriginalUserType,ActorScope,ActorScopeId - נוסף שדה היישום הפועל
ActingOriginalAppType
השלבים הבאים
לקבלת מידע נוסף, ראה: