Az Advanced Security Information Model (ASIM) hitelesítési normalizálási sémájának referenciája (nyilvános előzetes verzió)
A Microsoft Sentinel authentication séma a felhasználói hitelesítéssel, a bejelentkezéssel és a kijelentkezéssel kapcsolatos események leírására szolgál. A hitelesítési eseményeket számos jelentéskészítő eszköz küldi el, általában az eseménystream részeként más események mellett. A Windows például számos hitelesítési eseményt küld más operációsrendszer-tevékenységesemények mellett.
A hitelesítési események közé tartoznak a hitelesítésre összpontosító rendszerek, például a VPN-átjárók vagy a tartományvezérlők eseményei, valamint a közvetlen hitelesítés egy végfelhasználói rendszerre, például számítógépre vagy tűzfalra.
A Microsoft Sentinel normalizálásáról további információt a Normalizálás és az Advanced Security Information Model (ASIM) című cikkben talál.
Fontos
A hitelesítési normalizálási séma jelenleg előzetes verzióban érhető el. Ez a funkció szolgáltatásszint-szerződés nélkül érhető el, és éles számítási feladatokhoz nem ajánlott.
Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Elemzők
ASIM-hitelesítési elemzők üzembe helyezése a Microsoft Sentinel GitHub-adattárból. Az ASIM-elemzőkkel kapcsolatos további információkért tekintse meg az ASIM-elemzők áttekintését ismertető cikket.
Elemzők egyesítése
Ha olyan elemzőket szeretne használni, amelyek egyesítik az összes beépített ASIM-elemzőt, és biztosítják, hogy az elemzés az összes konfigurált forrásban futjon, használja a imAuthentication szűrőelemzőt vagy a ASimAuthentication paraméter nélküli elemzőt.
Forrásspecifikus elemzők
A hitelesítési elemzők listájához a Microsoft Sentinel az ASIM-elemzők listáját tartalmazza:
Saját normalizált elemzők hozzáadása
Amikor egyéni elemzőket implementál a hitelesítési információs modellhez, nevezze el a KQL-függvényeket az alábbi szintaxissal:
vimAuthentication<vendor><Product>elemzők szűréséhezASimAuthentication<vendor><Product>paraméter nélküli elemzők esetén
Az egyéni elemzők egyesítő elemzőhöz való hozzáadásáról az ASIM-elemzők kezelése című témakörben olvashat.
Szűrőelemző paraméterek
Az im elemzők vim* támogatják a szűrési paramétereket. Bár ezek az elemzők nem kötelezőek, javíthatják a lekérdezés teljesítményét.
A következő szűrési paraméterek érhetők el:
| Név | Típus | Leírás |
|---|---|---|
| indítási idő | dátum/idő | Csak az adott időpontban vagy után futott hitelesítési események szűrése. |
| endtime | dátum/idő | Szűrjön csak azokat a hitelesítési eseményeket, amelyek ekkor vagy azt megelőzően futottak. |
| targetusername_has | húr | Csak a felsorolt felhasználónevekkel rendelkező hitelesítési események szűrése. |
Ha például csak az elmúlt nap hitelesítési eseményeit szeretné szűrni egy adott felhasználóra, használja a következőt:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Tipp.
Ha egy konstanslistát dinamikus értéket váró paramétereknek szeretne átadni, használjon explicit módon egy dinamikus literált. Például: dynamic(['192.168.','10.'])
Normalizált tartalom
A normalizált hitelesítési elemzési szabályok egyediek, mivel a források közötti támadásokat észlelik. Így például ha egy felhasználó különböző országokból vagy régiókból jelentkezik be különböző, nem kapcsolódó rendszerekbe, a Microsoft Sentinel észleli ezt a fenyegetést.
A normalizált hitelesítési eseményeket használó elemzési szabályok teljes listájáért tekintse meg a hitelesítési séma biztonsági tartalmát.
Séma áttekintése
A hitelesítési információs modell az OSSEM bejelentkezési entitásséma szerint van összhangban.
Az alábbi táblázatban felsorolt mezők a hitelesítési eseményekre vonatkoznak, de hasonlóak más sémák mezőihez, és hasonló elnevezési konvenciók szerint vannak követve.
A hitelesítési események a következő entitásokra hivatkoznak:
- TargetUser – A rendszer hitelesítéséhez használt felhasználói adatok. A TargetSystem a hitelesítési esemény elsődleges tárgya, az alias pedig egy azonosított TargetUser aliasa.
- TargetApp – A hitelesített alkalmazás.
- Cél – Az a rendszer, amelyen a TaregtApp* fut.
- Színész – A hitelesítést kezdeményező felhasználó, ha eltér a TargetUserétől.
- ActingApp – Az Aktor által a hitelesítés végrehajtásához használt alkalmazás.
- Src – Az Aktor által a hitelesítés elindításához használt rendszer.
Az entitások közötti kapcsolat a legjobban az alábbiak szerint mutatható be:
Egy színész, amely egy eljáró alkalmazást futtat, a ActingApp egy forrásrendszeren (Src) megkísérli a targetuserként való hitelesítést egy TargetApp nevű célalkalmazáson, a TargetDvc célrendszeren.
Séma részletei
Az alábbi táblázatokban a Típus logikai típusra hivatkozik. További információ: Logikai típusok.
Gyakori ASIM-mezők
Fontos
Az összes sémában közös mezők részletes leírását az ASIM Common Fields című cikk ismerteti.
Általános mezők konkrét irányelvekkel
Az alábbi lista olyan mezőket említ, amelyek konkrét irányelvekkel rendelkeznek a hitelesítési eseményekhez:
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| EventType | Kötelező | Enumerated | A rekord által jelentett műveletet ismerteti. Hitelesítési rekordok esetén a támogatott értékek a következők: - Logon - Logoff- Elevate |
| EventResultDetails | Ajánlott | Sztring | Az esemény eredményéhez társított részletek. Ezt a mezőt általában akkor tölti ki a rendszer, ha az eredmény hiba. Az engedélyezett értékek a következők: - No such user or password. Ezt az értéket akkor is használni kell, ha az eredeti esemény azt jelenti, hogy nincs ilyen felhasználó, jelszóra való hivatkozás nélkül.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. Ezt az értéket akkor kell használni, ha az eredeti esemény jelentései, például: MFA szükséges, bejelentkezés munkaidőn kívül, feltételes hozzáférési korlátozások vagy túl gyakori kísérletek.- Session expired- OtherAz érték a forrásrekordban különböző kifejezések használatával adható meg, amelyeket ezekre az értékekre kell normalizálni. Az eredeti értéket az EventOriginalResultDetails mezőben kell tárolni |
| EventSubType | Választható | Sztring | A bejelentkezési típus. Az engedélyezett értékek a következők: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote – Akkor használható, ha a távoli bejelentkezés típusa ismeretlen.- AssumeRole- Általában akkor használatos, ha az esemény típusa .Elevate Az érték a forrásrekordban különböző kifejezések használatával adható meg, amelyeket ezekre az értékekre kell normalizálni. Az eredeti értéket az EventOriginalSubType mezőben kell tárolni. |
| EventSchemaVersion | Kötelező | Sztring | A séma verziója. Az itt dokumentált séma verziója: 0.1.3 |
| EventSchema | Kötelező | Sztring | Az itt dokumentált séma neve Hitelesítés. |
| Dvc-mezők | - | - | Hitelesítési események esetén az eszközmezők az eseményt jelentéskészítő rendszerre vonatkoznak. |
Minden gyakori mező
Az alábbi táblázatban megjelenő mezők az összes ASIM-sémában gyakoriak. A fent megadott útmutatás felülbírálja a mező általános irányelveit. Előfordulhat például, hogy egy mező általában nem kötelező, de egy adott sémához kötelező. Az egyes mezőkkel kapcsolatos további részletekért tekintse meg az ASIM Common Fields cikket.
| Osztály | Mezők |
|---|---|
| Kötelező | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Ajánlott | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Választható | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - További mezők - DvcDescription - DvcScopeId - DvcScope |
Hitelesítésspecifikus mezők
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| LogonMethod | Választható | Sztring | A hitelesítés végrehajtásához használt módszer. Példák: Username & Password, PKI |
| LogonProtocol | Választható | Sztring | A hitelesítés végrehajtásához használt protokoll. Példa: NTLM |
Aktormezők
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| ActorUserId | Választható | Sztring | Az Aktor géppel olvasható, alfanumerikus, egyedi ábrázolása. További információkért és a további azonosítók alternatív mezőiért tekintse meg a Felhasználó entitást. Példa: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Választható | Sztring | A hatókör, például a Microsoft Entra-bérlő, amelyben az ActorUserId és az ActorUsername definiálva van. vagy további információk és az engedélyezett értékek listája: UserScope a Séma áttekintése című cikkben. |
| ActorScopeId | Választható | Sztring | A hatókör azonosítója, például a Microsoft Entra Directory azonosítója, amelyben az ActorUserId és az ActorUsername definiálva van. További információ és az engedélyezett értékek listája: UserScopeId a Séma áttekintése című cikkben. |
| ActorUserIdType | Feltételes | UserIdType | Az ActorUserId mezőben tárolt azonosító típusa. További információ és az engedélyezett értékek listája: UserIdType a Séma áttekintése című cikkben. |
| ActorUsername | Választható | Felhasználónév | Az Aktor felhasználóneve, beleértve a tartományinformációkat is, ha elérhető. További információt a Felhasználó entitás című témakörben talál. Példa: AlbertE |
| ActorUsernameType | Feltételes | UsernameType | Az ActorUsername mezőben tárolt felhasználónév típusát adja meg. További információ és az engedélyezett értékek listája: UsernameType a Séma áttekintése című cikkben. Példa: Windows |
| ActorUserType | Választható | UserType | Az Aktor típusa. További információ és az engedélyezett értékek listája: UserType a Séma áttekintése című cikkben. Például: Guest |
| AktorOriginalUserType | Választható | UserType | A felhasználó típusa a jelentéskészítő eszköz által jelentett módon. |
| ActorSessionId | Választható | Sztring | Az Aktor bejelentkezési munkamenetének egyedi azonosítója. Példa: 102pTUgC3p8RIqHvzxLCHnFlg |
Eljáró alkalmazásmezők
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| ActingAppId | Választható | Sztring | A színész nevében engedélyező alkalmazás azonosítója, beleértve a folyamatot, a böngészőt vagy a szolgáltatást. Például: 0x12ae8 |
| ActingAppName | Választható | Sztring | A színész nevében engedélyező alkalmazás neve, beleértve a folyamatot, a böngészőt vagy a szolgáltatást. Például: C:\Windows\System32\svchost.exe |
| ActingAppType | Választható | AppType | Az eljáró alkalmazás típusa. További információ és az értékek engedélyezett listája: AppType a Séma áttekintése című cikkben. |
| HttpUserAgent | Választható | Sztring | Ha a hitelesítés HTTP-en vagy HTTPS-en keresztül történik, a mező értéke az user_agent HTTP-fejléc, amelyet az eljáró alkalmazás biztosít a hitelesítés végrehajtásakor. Például: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Célfelhasználói mezők
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| TargetUserId | Választható | UserId | A célfelhasználó géppel olvasható, alfanumerikus, egyedi ábrázolása. További információkért és a további azonosítók alternatív mezőiért tekintse meg a Felhasználó entitást. Példa: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | Választható | Sztring | A hatókör, például a Microsoft Entra-bérlő, amelyben a TargetUserId és a TargetUsername definiálva van. vagy további információk és az engedélyezett értékek listája: UserScope a Séma áttekintése című cikkben. |
| TargetUserScopeId | Választható | Sztring | A hatókör azonosítója, például a Microsoft Entra Directory azonosítója, amelyben a TargetUserId és a TargetUsername van definiálva. További információ és az engedélyezett értékek listája: UserScopeId a Séma áttekintése című cikkben. |
| TargetUserIdType | Feltételes | UserIdType | A TargetUserId mezőben tárolt felhasználói azonosító típusa. További információ és az engedélyezett értékek listája: UserIdType a Séma áttekintése című cikkben. Példa: SID |
| TargetUsername | Választható | Felhasználónév | A célfelhasználó felhasználóneve, beleértve a tartományinformációkat is, ha elérhetők. További információt a Felhasználó entitás című témakörben talál. Példa: MarieC |
| TargetUsernameType | Feltételes | UsernameType | A TargetUsername mezőben tárolt felhasználónév típusát adja meg. További információ és az engedélyezett értékek listája: UsernameType a Séma áttekintése című cikkben. |
| TargetUserType | Választható | UserType | A célfelhasználó típusa. További információ és az engedélyezett értékek listája: UserType a Séma áttekintése című cikkben. Például: Member |
| TargetSessionId | Választható | Sztring | A TargetUser bejelentkezési munkamenet-azonosítója a forráseszközön. |
| TargetOriginalUserType | Választható | UserType | A felhasználó típusa a jelentéskészítő eszköz által jelentett módon. |
| Felhasználó | Alias | Felhasználónév | A TargetUsername vagy a TargetUserId aliasa, ha a TargetUsername nincs definiálva. Példa: CONTOSO\dadmin |
Forrásrendszermezők
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| Src | Ajánlott | Sztring | A forráseszköz egyedi azonosítója. Ez a mező aliasként használhatja az SrcDvcId, SrcHostname vagy SrcIpAddr mezőket. Példa: 192.168.12.1 |
| SrcDvcId | Választható | Sztring | A forráseszköz azonosítója. Ha több azonosító is elérhető, használja a legfontosabbat, és tárolja a többit a mezőkben SrcDvc<DvcIdType>.Példa: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Választható | Sztring | A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. Az SrcDvcScopeId az Azure-beli előfizetés-azonosítóra és az AWS-fiókazonosítóra van leképezetten. |
| SrcDvcScope | Választható | Sztring | A felhőplatform hatóköre, amelyhez az eszköz tartozik. Az SrcDvcScope egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
| SrcDvcIdType | Feltételes | DvcIdType | Az SrcDvcId típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a DvcIdType-t a Séma áttekintése című cikkben. Megjegyzés: Ez a mező SrcDvcId használata esetén kötelező. |
| SrcDeviceType | Választható | DeviceType | A forráseszköz típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a DeviceType-t a Séma áttekintése című cikkben. |
| SrcHostname | Ajánlott | Hostname (Gazdanév) | A forráseszköz gazdagépneve, a tartományinformációk kivételével. Ha nem érhető el eszköznév, ebben a mezőben tárolja a megfelelő IP-címet. Példa: DESKTOP-1282V4D |
| SrcDomain | Ajánlott | Sztring | A forráseszköz tartománya. Példa: Contoso |
| SrcDomainType | Feltételes | DomainType | A SrcDomain típusa. Az engedélyezett értékek listájáról és további információkról a Séma áttekintése című cikkben található DomainType című cikkben olvashat. A SrcDomain használata esetén kötelező megadni. |
| SrcFQDN | Választható | Sztring | A forráseszköz állomásneve, beleértve a tartományinformációkat, ha elérhető. Megjegyzés: Ez a mező támogatja a hagyományos teljes tartománynév és a Windows tartománynév formátumot is. Az SrcDomainType mező a használt formátumot tükrözi. Példa: Contoso\DESKTOP-1282V4D |
| SrcDescription | Választható | Sztring | Az eszközhöz társított leíró szöveg. Például: Primary Domain Controller |
| SrcIpAddr | Választható | IP Address | A forráseszköz IP-címe. Példa: 2.2.2.2 |
| SrcPortNumber | Választható | Egész | Az IP-port, ahonnan a kapcsolat származik. Példa: 2335 |
| SrcDvcOs | Választható | Sztring | A forráseszköz operációs rendszere. Példa: Windows 10 |
| IpAddr | Alias | Alias – SrcIpAddr | |
| SrcIsp | Választható | Sztring | A forráseszköz által az internethez való csatlakozáshoz használt internetszolgáltató . Példa: corpconnect |
| SrcGeoCountry | Választható | Ország | Példa: Canada További információ: Logikai típusok. |
| SrcGeoCity | Választható | Város | Példa: Montreal További információ: Logikai típusok. |
| SrcGeoRegion | Választható | Régió | Példa: Quebec További információ: Logikai típusok. |
| SrcGeoLongtitude | Választható | Longitude | Példa: -73.614830 További információ: Logikai típusok. |
| SrcGeoLatitude | Választható | Latitude | Példa: 45.505918 További információ: Logikai típusok. |
| SrcRiskLevel | Választható | Egész | A forráshoz társított kockázati szint. Az értéket olyan tartományhoz 0 kell igazítani, amely 100jóindulatú 0 és 100 magas kockázatú.Példa: 90 |
| SrcOriginalRiskLevel | Választható | Egész | A forráshoz társított kockázati szint a jelentéskészítő eszköz által jelentett módon. Példa: Suspicious |
Célalkalmazás mezői
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| TargetAppId | Választható | Sztring | Annak az alkalmazásnak az azonosítója, amelyhez az engedélyezés szükséges, gyakran a jelentéskészítő eszköz rendeli hozzá. Példa: 89162 |
| TargetAppName | Választható | Sztring | Annak az alkalmazásnak a neve, amelyhez az engedélyezés szükséges, beleértve a szolgáltatást, egy URL-címet vagy egy SaaS-alkalmazást. Példa: Saleforce |
| TargetAppType | Választható | AppType | Az Aktor nevében engedélyező alkalmazás típusa. További információ és az értékek engedélyezett listája: AppType a Séma áttekintése című cikkben. |
| TargetUrl | Választható | URL-cím | A célalkalmazáshoz társított URL-cím. Példa: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Alias | A TargetAppName, a TargetUrl vagy a TargetHostname aliasa, attól függően, hogy melyik mező írja le a legjobban a hitelesítési célt. |
Célrendszermezők
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| Dst | Alias | Sztring | A hitelesítési cél egyedi azonosítója. Ez a mező aliasa lehet a TargerDvcId, a TargetHostname, a TargetIpAddr, a TargetAppId vagy a TargetAppName mező. Példa: 192.168.12.1 |
| TargetHostname | Ajánlott | Hostname (Gazdanév) | A céleszköz állomásneve, a tartományadatok kivételével. Példa: DESKTOP-1282V4D |
| TargetDomain | Ajánlott | Sztring | A céleszköz tartománya. Példa: Contoso |
| TargetDomainType | Feltételes | Enumerated | A TargetDomain típusa. Az engedélyezett értékek listájáról és további információkról a Séma áttekintése című cikkben található DomainType című cikkben olvashat. A TargetDomain használata esetén kötelező megadni. |
| TargetFQDN | Választható | Sztring | A céleszköz állomásneve, beleértve a tartományinformációkat, ha elérhetőek. Példa: Contoso\DESKTOP-1282V4D Megjegyzés: Ez a mező támogatja a hagyományos teljes tartománynév és a Windows tartománynév formátumot is. A TargetDomainType a használt formátumot tükrözi. |
| TargetDescription | Választható | Sztring | Az eszközhöz társított leíró szöveg. Például: Primary Domain Controller |
| TargetDvcId | Választható | Sztring | A céleszköz azonosítója. Ha több azonosító is elérhető, használja a legfontosabbat, és tárolja a többit a mezőkben TargetDvc<DvcIdType>. Példa: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Választható | Sztring | A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. A TargetDvcScopeId egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
| TargerDvcScope | Választható | Sztring | A felhőplatform hatóköre, amelyhez az eszköz tartozik. A TargetDvcScope egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
| TargetDvcIdType | Feltételes | Enumerated | A TargetDvcId típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a DvcIdType-t a Séma áttekintése című cikkben. A TargetDeviceId használata esetén kötelező megadni. |
| TargetDeviceType | Választható | Enumerated | A céleszköz típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a DeviceType-t a Séma áttekintése című cikkben. |
| TargetIpAddr | Választható | IP Address | A céleszköz IP-címe. Példa: 2.2.2.2 |
| TargetDvcOs | Választható | Sztring | A céleszköz operációs rendszere. Példa: Windows 10 |
| TargetPortNumber | Választható | Egész | A céleszköz portja. |
| TargetGeoCountry | Választható | Ország | A cél IP-címhez társított ország. Példa: USA |
| TargetGeoRegion | Választható | Régió | A cél IP-címhez társított régió. Példa: Vermont |
| TargetGeoCity | Választható | Város | A cél IP-címhez társított város. Példa: Burlington |
| TargetGeoLatitude | Választható | Latitude | A cél IP-címhez társított földrajzi koordináták szélessége. Példa: 44.475833 |
| TargetGeoLongitude | Választható | Longitude | A cél IP-címhez társított földrajzi koordináták hosszúsága. Példa: 73.211944 |
| TargetRiskLevel | Választható | Egész | A célhoz társított kockázati szint. Az értéket olyan tartományhoz 0 kell igazítani, amely 100jóindulatú 0 és 100 magas kockázatú.Példa: 90 |
| TargetOriginalRiskLevel | Választható | Egész | A célhoz társított kockázati szint a jelentéskészítő eszköz által jelentett módon. Példa: Suspicious |
Vizsgálati mezők
A rendszer a következő mezőket használja a biztonsági rendszer által végzett ellenőrzés ábrázolására.
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| RuleName | Választható | Sztring | A szabály neve vagy azonosítója a vizsgálati eredményekhez társítva. |
| RuleNumber | Választható | Egész | A vizsgálati eredményekhez társított szabály száma. |
| Szabály | Alias | Sztring | A RuleName vagy a RuleNumber értéke. Ha a RuleNumber értékét használja, a típust sztringgé kell konvertálni. |
| ThreatId | Választható | Sztring | A naplózási tevékenységben azonosított fenyegetés vagy kártevő azonosítója. |
| ThreatName | Választható | Sztring | A naplózási tevékenységben azonosított fenyegetés vagy kártevő neve. |
| ThreatCategory | Választható | Sztring | A naplózási fájltevékenységben azonosított fenyegetés vagy kártevők kategóriája. |
| ThreatRiskLevel | Választható | Egész | Az azonosított fenyegetéshez társított kockázati szint. A szintnek 0 és 100 közötti számnak kell lennie. Megjegyzés: Előfordulhat, hogy az érték egy másik skálával jelenik meg a forrásrekordban, amelyet erre a skálára kell normalizálni. Az eredeti értéket a ThreatRiskLevelOriginal fájlban kell tárolni. |
| ThreatOriginalRiskLevel | Választható | Sztring | A jelentéskészítő eszköz által jelentett kockázati szint. |
| ThreatConfidence | Választható | Egész | A azonosított fenyegetés megbízhatósági szintje 0 és 100 közötti értékre normalizálva. |
| ThreatOriginalConfidence | Választható | Sztring | Az azonosított fenyegetés eredeti megbízhatósági szintje a jelentéskészítő eszköz által jelentett módon. |
| ThreatIsActive | Választható | Logikai | Igaz, ha az azonosított fenyegetés aktív fenyegetésnek minősül. |
| ThreatFirstReportedTime | Választható | dátum/idő | Az IP-cím vagy tartomány első azonosítása fenyegetésként. |
| ThreatLastReportedTime | Választható | dátum/idő | Az IP-cím vagy tartomány legutóbbi azonosítása fenyegetésként. |
| ThreatIpAddr | Választható | IP Address | Egy IP-cím, amelyhez fenyegetést azonosítottak. A ThreatField mező a ThreatIpAddr által képviselt mező nevét tartalmazza. |
| ThreatField | Választható | Enumerated | Az a mező, amelyhez fenyegetést azonosítottak. Az érték vagy SrcIpAddr TargetIpAddr. |
Sémafrissítések
A séma 0.1.1-es verziójának változásai:
- Frissítettük a felhasználói és az eszköz entitásmezőit, hogy igazodjanak más sémákhoz.
- Átnevezve
TargetDvc,SrcDvcilletve aSrcTargetjelenlegi ASIM-irányelveknek megfelelően. Az átnevezett mezők 2022. július 1-ig aliasokként lesznek implementálva. Ezek a mezők a következők:SrcDvcHostname,SrcDvcHostnameType,SrcDvcType,SrcDvcIpAddr,TargetDvcHostname,TargetDvcHostnameTypeTargetDvcType, ,TargetDvcIpAddrésTargetDvc. - Hozzáadta az aliasokat
SrcésDsta . - Hozzáadta a mezőket
SrcDvcIdType,SrcDeviceType,TargetDvcIdTypeésTargetDeviceType, ésEventSchema.
A séma 0.1.2-es verziójának változásai:
- Hozzáadta a mezőket
ActorScope,TargetUserScope,SrcDvcScopeId,SrcDvcScope,TargetDvcScopeIdTargetDvcScope,DvcScopeIdésDvcScope.
A séma 0.1.3-ás verziójának változásai:
- Hozzáadta a mezőket
SrcPortNumber,ActorOriginalUserType,ActorScopeId,TargetOriginalUserType,TargetUserScopeIdSrcDescription,SrcRiskLevel,SrcOriginalRiskLevelésTargetDescription. - Ellenőrző mezők hozzáadva
- A célrendszer földrajzi helyének mezői hozzáadva.
Következő lépések
További információk:
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: