Az Advanced Security Information Model (ASIM) hitelesítési normalizálási sémájának referenciája (nyilvános előzetes verzió)
A Microsoft Sentinel authentication séma a felhasználói hitelesítéssel, a bejelentkezéssel és a kijelentkezéssel kapcsolatos események leírására szolgál. A hitelesítési eseményeket számos jelentéskészítő eszköz küldi el, általában az eseménystream részeként más események mellett. A Windows például számos hitelesítési eseményt küld más operációsrendszer-tevékenységesemények mellett.
A hitelesítési események közé tartoznak a hitelesítésre összpontosító rendszerek, például a VPN-átjárók vagy a tartományvezérlők eseményei, valamint a közvetlen hitelesítés egy végfelhasználói rendszerre, például számítógépre vagy tűzfalra.
A Microsoft Sentinel normalizálásáról további információt a Normalizálás és az Advanced Security Information Model (ASIM) című cikkben talál.
Fontos
A hitelesítési normalizálási séma jelenleg előzetes verzióban érhető el. Ez a funkció szolgáltatásszint-szerződés nélkül érhető el, és éles számítási feladatokhoz nem ajánlott.
Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Elemzők
ASIM-hitelesítési elemzők üzembe helyezése a Microsoft Sentinel GitHub-adattárból. Az ASIM-elemzőkkel kapcsolatos további információkért tekintse meg az ASIM-elemzők áttekintését ismertető cikket.
Elemzők egyesítése
Ha olyan elemzőket szeretne használni, amelyek egyesítik az összes beépített ASIM-elemzőt, és biztosítják, hogy az elemzés az összes konfigurált forrásban futjon, használja a imAuthentication
szűrőelemzőt vagy a ASimAuthentication
paraméter nélküli elemzőt.
Forrásspecifikus elemzők
A hitelesítési elemzők listájához a Microsoft Sentinel az ASIM-elemzők listáját tartalmazza:
Saját normalizált elemzők hozzáadása
Amikor egyéni elemzőket implementál a hitelesítési információs modellhez, nevezze el a KQL-függvényeket az alábbi szintaxissal:
vimAuthentication<vendor><Product>
elemzők szűréséhezASimAuthentication<vendor><Product>
paraméter nélküli elemzők esetén
Az egyéni elemzők egyesítő elemzőhöz való hozzáadásáról az ASIM-elemzők kezelése című témakörben olvashat.
Szűrőelemző paraméterek
Az im
elemzők vim*
támogatják a szűrési paramétereket. Bár ezek az elemzők nem kötelezőek, javíthatják a lekérdezés teljesítményét.
A következő szűrési paraméterek érhetők el:
Név | Típus | Leírás |
---|---|---|
indítási idő | dátum/idő | Csak az adott időpontban vagy után futott hitelesítési események szűrése. |
endtime | dátum/idő | Szűrjön csak azokat a hitelesítési eseményeket, amelyek ekkor vagy azt megelőzően futottak. |
targetusername_has | húr | Csak a felsorolt felhasználónevekkel rendelkező hitelesítési események szűrése. |
Ha például csak az elmúlt nap hitelesítési eseményeit szeretné szűrni egy adott felhasználóra, használja a következőt:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Tipp.
Ha egy konstanslistát dinamikus értéket váró paramétereknek szeretne átadni, használjon explicit módon egy dinamikus literált. Például: dynamic(['192.168.','10.'])
Normalizált tartalom
A normalizált hitelesítési elemzési szabályok egyediek, mivel a források közötti támadásokat észlelik. Így például ha egy felhasználó különböző országokból vagy régiókból jelentkezik be különböző, nem kapcsolódó rendszerekbe, a Microsoft Sentinel észleli ezt a fenyegetést.
A normalizált hitelesítési eseményeket használó elemzési szabályok teljes listájáért tekintse meg a hitelesítési séma biztonsági tartalmát.
Séma áttekintése
A hitelesítési információs modell az OSSEM bejelentkezési entitásséma szerint van összhangban.
Az alábbi táblázatban felsorolt mezők a hitelesítési eseményekre vonatkoznak, de hasonlóak más sémák mezőihez, és hasonló elnevezési konvenciók szerint vannak követve.
A hitelesítési események a következő entitásokra hivatkoznak:
- TargetUser – A rendszer hitelesítéséhez használt felhasználói adatok. A TargetSystem a hitelesítési esemény elsődleges tárgya, az alias pedig egy azonosított TargetUser aliasa.
- TargetApp – A hitelesített alkalmazás.
- Cél – Az a rendszer, amelyen a TaregtApp* fut.
- Színész – A hitelesítést kezdeményező felhasználó, ha eltér a TargetUserétől.
- ActingApp – Az Aktor által a hitelesítés végrehajtásához használt alkalmazás.
- Src – Az Aktor által a hitelesítés elindításához használt rendszer.
Az entitások közötti kapcsolat a legjobban az alábbiak szerint mutatható be:
Egy színész, amely egy eljáró alkalmazást futtat, a ActingApp egy forrásrendszeren (Src) megkísérli a targetuserként való hitelesítést egy TargetApp nevű célalkalmazáson, a TargetDvc célrendszeren.
Séma részletei
Az alábbi táblázatokban a Típus logikai típusra hivatkozik. További információ: Logikai típusok.
Gyakori ASIM-mezők
Fontos
Az összes sémában közös mezők részletes leírását az ASIM Common Fields című cikk ismerteti.
Általános mezők konkrét irányelvekkel
Az alábbi lista olyan mezőket említ, amelyek konkrét irányelvekkel rendelkeznek a hitelesítési eseményekhez:
Mező | Osztály | Típus | Leírás |
---|---|---|---|
EventType | Kötelező | Enumerated | A rekord által jelentett műveletet ismerteti. Hitelesítési rekordok esetén a támogatott értékek a következők: - Logon - Logoff - Elevate |
EventResultDetails | Ajánlott | Sztring | Az esemény eredményéhez társított részletek. Ezt a mezőt általában akkor tölti ki a rendszer, ha az eredmény hiba. Az engedélyezett értékek a következők: - No such user or password . Ezt az értéket akkor is használni kell, ha az eredeti esemény azt jelenti, hogy nincs ilyen felhasználó, jelszóra való hivatkozás nélkül.- No such user - Incorrect password - Incorrect key - Account expired - Password expired - User locked - User disabled - Logon violates policy . Ezt az értéket akkor kell használni, ha az eredeti esemény jelentései, például: MFA szükséges, bejelentkezés munkaidőn kívül, feltételes hozzáférési korlátozások vagy túl gyakori kísérletek.- Session expired - Other Az érték a forrásrekordban különböző kifejezések használatával adható meg, amelyeket ezekre az értékekre kell normalizálni. Az eredeti értéket az EventOriginalResultDetails mezőben kell tárolni |
EventSubType | Választható | Sztring | A bejelentkezési típus. Az engedélyezett értékek a következők: - System - Interactive - RemoteInteractive - Service - RemoteService - Remote – Akkor használható, ha a távoli bejelentkezés típusa ismeretlen.- AssumeRole - Általában akkor használatos, ha az esemény típusa .Elevate Az érték a forrásrekordban különböző kifejezések használatával adható meg, amelyeket ezekre az értékekre kell normalizálni. Az eredeti értéket az EventOriginalSubType mezőben kell tárolni. |
EventSchemaVersion | Kötelező | Sztring | A séma verziója. Az itt dokumentált séma verziója: 0.1.3 |
EventSchema | Kötelező | Sztring | Az itt dokumentált séma neve Hitelesítés. |
Dvc-mezők | - | - | Hitelesítési események esetén az eszközmezők az eseményt jelentéskészítő rendszerre vonatkoznak. |
Minden gyakori mező
Az alábbi táblázatban megjelenő mezők az összes ASIM-sémában gyakoriak. A fent megadott útmutatás felülbírálja a mező általános irányelveit. Előfordulhat például, hogy egy mező általában nem kötelező, de egy adott sémához kötelező. Az egyes mezőkkel kapcsolatos további részletekért tekintse meg az ASIM Common Fields cikket.
Osztály | Mezők |
---|---|
Kötelező | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
Ajánlott | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
Választható | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - További mezők - DvcDescription - DvcScopeId - DvcScope |
Hitelesítésspecifikus mezők
Mező | Osztály | Típus | Leírás |
---|---|---|---|
LogonMethod | Választható | Sztring | A hitelesítés végrehajtásához használt módszer. Példák: Username & Password , PKI |
LogonProtocol | Választható | Sztring | A hitelesítés végrehajtásához használt protokoll. Példa: NTLM |
Aktormezők
Mező | Osztály | Típus | Leírás |
---|---|---|---|
ActorUserId | Választható | Sztring | Az Aktor géppel olvasható, alfanumerikus, egyedi ábrázolása. További információkért és a további azonosítók alternatív mezőiért tekintse meg a Felhasználó entitást. Példa: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
ActorScope | Választható | Sztring | A hatókör, például a Microsoft Entra-bérlő, amelyben az ActorUserId és az ActorUsername definiálva van. vagy további információk és az engedélyezett értékek listája: UserScope a Séma áttekintése című cikkben. |
ActorScopeId | Választható | Sztring | A hatókör azonosítója, például a Microsoft Entra Directory azonosítója, amelyben az ActorUserId és az ActorUsername definiálva van. További információ és az engedélyezett értékek listája: UserScopeId a Séma áttekintése című cikkben. |
ActorUserIdType | Feltételes | UserIdType | Az ActorUserId mezőben tárolt azonosító típusa. További információ és az engedélyezett értékek listája: UserIdType a Séma áttekintése című cikkben. |
ActorUsername | Választható | Felhasználónév | Az Aktor felhasználóneve, beleértve a tartományinformációkat is, ha elérhető. További információt a Felhasználó entitás című témakörben talál. Példa: AlbertE |
ActorUsernameType | Feltételes | UsernameType | Az ActorUsername mezőben tárolt felhasználónév típusát adja meg. További információ és az engedélyezett értékek listája: UsernameType a Séma áttekintése című cikkben. Példa: Windows |
ActorUserType | Választható | UserType | Az Aktor típusa. További információ és az engedélyezett értékek listája: UserType a Séma áttekintése című cikkben. Például: Guest |
AktorOriginalUserType | Választható | UserType | A felhasználó típusa a jelentéskészítő eszköz által jelentett módon. |
ActorSessionId | Választható | Sztring | Az Aktor bejelentkezési munkamenetének egyedi azonosítója. Példa: 102pTUgC3p8RIqHvzxLCHnFlg |
Eljáró alkalmazásmezők
Mező | Osztály | Típus | Leírás |
---|---|---|---|
ActingAppId | Választható | Sztring | A színész nevében engedélyező alkalmazás azonosítója, beleértve a folyamatot, a böngészőt vagy a szolgáltatást. Például: 0x12ae8 |
ActingAppName | Választható | Sztring | A színész nevében engedélyező alkalmazás neve, beleértve a folyamatot, a böngészőt vagy a szolgáltatást. Például: C:\Windows\System32\svchost.exe |
ActingAppType | Választható | AppType | Az eljáró alkalmazás típusa. További információ és az értékek engedélyezett listája: AppType a Séma áttekintése című cikkben. |
HttpUserAgent | Választható | Sztring | Ha a hitelesítés HTTP-en vagy HTTPS-en keresztül történik, a mező értéke az user_agent HTTP-fejléc, amelyet az eljáró alkalmazás biztosít a hitelesítés végrehajtásakor. Például: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Célfelhasználói mezők
Mező | Osztály | Típus | Leírás |
---|---|---|---|
TargetUserId | Választható | UserId | A célfelhasználó géppel olvasható, alfanumerikus, egyedi ábrázolása. További információkért és a további azonosítók alternatív mezőiért tekintse meg a Felhasználó entitást. Példa: 00urjk4znu3BcncfY0h7 |
TargetUserScope | Választható | Sztring | A hatókör, például a Microsoft Entra-bérlő, amelyben a TargetUserId és a TargetUsername definiálva van. vagy további információk és az engedélyezett értékek listája: UserScope a Séma áttekintése című cikkben. |
TargetUserScopeId | Választható | Sztring | A hatókör azonosítója, például a Microsoft Entra Directory azonosítója, amelyben a TargetUserId és a TargetUsername van definiálva. További információ és az engedélyezett értékek listája: UserScopeId a Séma áttekintése című cikkben. |
TargetUserIdType | Feltételes | UserIdType | A TargetUserId mezőben tárolt felhasználói azonosító típusa. További információ és az engedélyezett értékek listája: UserIdType a Séma áttekintése című cikkben. Példa: SID |
TargetUsername | Választható | Felhasználónév | A célfelhasználó felhasználóneve, beleértve a tartományinformációkat is, ha elérhetők. További információt a Felhasználó entitás című témakörben talál. Példa: MarieC |
TargetUsernameType | Feltételes | UsernameType | A TargetUsername mezőben tárolt felhasználónév típusát adja meg. További információ és az engedélyezett értékek listája: UsernameType a Séma áttekintése című cikkben. |
TargetUserType | Választható | UserType | A célfelhasználó típusa. További információ és az engedélyezett értékek listája: UserType a Séma áttekintése című cikkben. Például: Member |
TargetSessionId | Választható | Sztring | A TargetUser bejelentkezési munkamenet-azonosítója a forráseszközön. |
TargetOriginalUserType | Választható | UserType | A felhasználó típusa a jelentéskészítő eszköz által jelentett módon. |
Felhasználó | Alias | Felhasználónév | A TargetUsername vagy a TargetUserId aliasa, ha a TargetUsername nincs definiálva. Példa: CONTOSO\dadmin |
Forrásrendszermezők
Mező | Osztály | Típus | Leírás |
---|---|---|---|
Src | Ajánlott | Sztring | A forráseszköz egyedi azonosítója. Ez a mező aliasként használhatja az SrcDvcId, SrcHostname vagy SrcIpAddr mezőket. Példa: 192.168.12.1 |
SrcDvcId | Választható | Sztring | A forráseszköz azonosítója. Ha több azonosító is elérhető, használja a legfontosabbat, és tárolja a többit a mezőkben SrcDvc<DvcIdType> .Példa: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
SrcDvcScopeId | Választható | Sztring | A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. Az SrcDvcScopeId az Azure-beli előfizetés-azonosítóra és az AWS-fiókazonosítóra van leképezetten. |
SrcDvcScope | Választható | Sztring | A felhőplatform hatóköre, amelyhez az eszköz tartozik. Az SrcDvcScope egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
SrcDvcIdType | Feltételes | DvcIdType | Az SrcDvcId típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a DvcIdType-t a Séma áttekintése című cikkben. Megjegyzés: Ez a mező SrcDvcId használata esetén kötelező. |
SrcDeviceType | Választható | DeviceType | A forráseszköz típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a DeviceType-t a Séma áttekintése című cikkben. |
SrcHostname | Ajánlott | Hostname (Gazdanév) | A forráseszköz gazdagépneve, a tartományinformációk kivételével. Ha nem érhető el eszköznév, ebben a mezőben tárolja a megfelelő IP-címet. Példa: DESKTOP-1282V4D |
SrcDomain | Ajánlott | Sztring | A forráseszköz tartománya. Példa: Contoso |
SrcDomainType | Feltételes | DomainType | A SrcDomain típusa. Az engedélyezett értékek listájáról és további információkról a Séma áttekintése című cikkben található DomainType című cikkben olvashat. A SrcDomain használata esetén kötelező megadni. |
SrcFQDN | Választható | Sztring | A forráseszköz állomásneve, beleértve a tartományinformációkat, ha elérhető. Megjegyzés: Ez a mező támogatja a hagyományos teljes tartománynév és a Windows tartománynév formátumot is. Az SrcDomainType mező a használt formátumot tükrözi. Példa: Contoso\DESKTOP-1282V4D |
SrcDescription | Választható | Sztring | Az eszközhöz társított leíró szöveg. Például: Primary Domain Controller |
SrcIpAddr | Választható | IP Address | A forráseszköz IP-címe. Példa: 2.2.2.2 |
SrcPortNumber | Választható | Egész | Az IP-port, ahonnan a kapcsolat származik. Példa: 2335 |
SrcDvcOs | Választható | Sztring | A forráseszköz operációs rendszere. Példa: Windows 10 |
IpAddr | Alias | Alias – SrcIpAddr | |
SrcIsp | Választható | Sztring | A forráseszköz által az internethez való csatlakozáshoz használt internetszolgáltató . Példa: corpconnect |
SrcGeoCountry | Választható | Ország | Példa: Canada További információ: Logikai típusok. |
SrcGeoCity | Választható | Város | Példa: Montreal További információ: Logikai típusok. |
SrcGeoRegion | Választható | Régió | Példa: Quebec További információ: Logikai típusok. |
SrcGeoLongtitude | Választható | Longitude | Példa: -73.614830 További információ: Logikai típusok. |
SrcGeoLatitude | Választható | Latitude | Példa: 45.505918 További információ: Logikai típusok. |
SrcRiskLevel | Választható | Egész | A forráshoz társított kockázati szint. Az értéket olyan tartományhoz 0 kell igazítani, amely 100 jóindulatú 0 és 100 magas kockázatú.Példa: 90 |
SrcOriginalRiskLevel | Választható | Egész | A forráshoz társított kockázati szint a jelentéskészítő eszköz által jelentett módon. Példa: Suspicious |
Célalkalmazás mezői
Mező | Osztály | Típus | Leírás |
---|---|---|---|
TargetAppId | Választható | Sztring | Annak az alkalmazásnak az azonosítója, amelyhez az engedélyezés szükséges, gyakran a jelentéskészítő eszköz rendeli hozzá. Példa: 89162 |
TargetAppName | Választható | Sztring | Annak az alkalmazásnak a neve, amelyhez az engedélyezés szükséges, beleértve a szolgáltatást, egy URL-címet vagy egy SaaS-alkalmazást. Példa: Saleforce |
TargetAppType | Választható | AppType | Az Aktor nevében engedélyező alkalmazás típusa. További információ és az értékek engedélyezett listája: AppType a Séma áttekintése című cikkben. |
TargetUrl | Választható | URL-cím | A célalkalmazáshoz társított URL-cím. Példa: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
LogonTarget | Alias | A TargetAppName, a TargetUrl vagy a TargetHostname aliasa, attól függően, hogy melyik mező írja le a legjobban a hitelesítési célt. |
Célrendszermezők
Mező | Osztály | Típus | Leírás |
---|---|---|---|
Dst | Alias | Sztring | A hitelesítési cél egyedi azonosítója. Ez a mező aliasa lehet a TargerDvcId, a TargetHostname, a TargetIpAddr, a TargetAppId vagy a TargetAppName mező. Példa: 192.168.12.1 |
TargetHostname | Ajánlott | Hostname (Gazdanév) | A céleszköz állomásneve, a tartományadatok kivételével. Példa: DESKTOP-1282V4D |
TargetDomain | Ajánlott | Sztring | A céleszköz tartománya. Példa: Contoso |
TargetDomainType | Feltételes | Enumerated | A TargetDomain típusa. Az engedélyezett értékek listájáról és további információkról a Séma áttekintése című cikkben található DomainType című cikkben olvashat. A TargetDomain használata esetén kötelező megadni. |
TargetFQDN | Választható | Sztring | A céleszköz állomásneve, beleértve a tartományinformációkat, ha elérhetőek. Példa: Contoso\DESKTOP-1282V4D Megjegyzés: Ez a mező támogatja a hagyományos teljes tartománynév és a Windows tartománynév formátumot is. A TargetDomainType a használt formátumot tükrözi. |
TargetDescription | Választható | Sztring | Az eszközhöz társított leíró szöveg. Például: Primary Domain Controller |
TargetDvcId | Választható | Sztring | A céleszköz azonosítója. Ha több azonosító is elérhető, használja a legfontosabbat, és tárolja a többit a mezőkben TargetDvc<DvcIdType> . Példa: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
TargetDvcScopeId | Választható | Sztring | A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. A TargetDvcScopeId egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
TargerDvcScope | Választható | Sztring | A felhőplatform hatóköre, amelyhez az eszköz tartozik. A TargetDvcScope egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
TargetDvcIdType | Feltételes | Enumerated | A TargetDvcId típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a DvcIdType-t a Séma áttekintése című cikkben. A TargetDeviceId használata esetén kötelező megadni. |
TargetDeviceType | Választható | Enumerated | A céleszköz típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a DeviceType-t a Séma áttekintése című cikkben. |
TargetIpAddr | Választható | IP Address | A céleszköz IP-címe. Példa: 2.2.2.2 |
TargetDvcOs | Választható | Sztring | A céleszköz operációs rendszere. Példa: Windows 10 |
TargetPortNumber | Választható | Egész | A céleszköz portja. |
TargetGeoCountry | Választható | Ország | A cél IP-címhez társított ország. Példa: USA |
TargetGeoRegion | Választható | Régió | A cél IP-címhez társított régió. Példa: Vermont |
TargetGeoCity | Választható | Város | A cél IP-címhez társított város. Példa: Burlington |
TargetGeoLatitude | Választható | Latitude | A cél IP-címhez társított földrajzi koordináták szélessége. Példa: 44.475833 |
TargetGeoLongitude | Választható | Longitude | A cél IP-címhez társított földrajzi koordináták hosszúsága. Példa: 73.211944 |
TargetRiskLevel | Választható | Egész | A célhoz társított kockázati szint. Az értéket olyan tartományhoz 0 kell igazítani, amely 100 jóindulatú 0 és 100 magas kockázatú.Példa: 90 |
TargetOriginalRiskLevel | Választható | Egész | A célhoz társított kockázati szint a jelentéskészítő eszköz által jelentett módon. Példa: Suspicious |
Vizsgálati mezők
A rendszer a következő mezőket használja a biztonsági rendszer által végzett ellenőrzés ábrázolására.
Mező | Osztály | Típus | Leírás |
---|---|---|---|
RuleName | Választható | Sztring | A szabály neve vagy azonosítója a vizsgálati eredményekhez társítva. |
RuleNumber | Választható | Egész | A vizsgálati eredményekhez társított szabály száma. |
Szabály | Alias | Sztring | A RuleName vagy a RuleNumber értéke. Ha a RuleNumber értékét használja, a típust sztringgé kell konvertálni. |
ThreatId | Választható | Sztring | A naplózási tevékenységben azonosított fenyegetés vagy kártevő azonosítója. |
ThreatName | Választható | Sztring | A naplózási tevékenységben azonosított fenyegetés vagy kártevő neve. |
ThreatCategory | Választható | Sztring | A naplózási fájltevékenységben azonosított fenyegetés vagy kártevők kategóriája. |
ThreatRiskLevel | Választható | Egész | Az azonosított fenyegetéshez társított kockázati szint. A szintnek 0 és 100 közötti számnak kell lennie. Megjegyzés: Előfordulhat, hogy az érték egy másik skálával jelenik meg a forrásrekordban, amelyet erre a skálára kell normalizálni. Az eredeti értéket a ThreatRiskLevelOriginal fájlban kell tárolni. |
ThreatOriginalRiskLevel | Választható | Sztring | A jelentéskészítő eszköz által jelentett kockázati szint. |
ThreatConfidence | Választható | Egész | A azonosított fenyegetés megbízhatósági szintje 0 és 100 közötti értékre normalizálva. |
ThreatOriginalConfidence | Választható | Sztring | Az azonosított fenyegetés eredeti megbízhatósági szintje a jelentéskészítő eszköz által jelentett módon. |
ThreatIsActive | Választható | Logikai | Igaz, ha az azonosított fenyegetés aktív fenyegetésnek minősül. |
ThreatFirstReportedTime | Választható | dátum/idő | Az IP-cím vagy tartomány első azonosítása fenyegetésként. |
ThreatLastReportedTime | Választható | dátum/idő | Az IP-cím vagy tartomány legutóbbi azonosítása fenyegetésként. |
ThreatIpAddr | Választható | IP Address | Egy IP-cím, amelyhez fenyegetést azonosítottak. A ThreatField mező a ThreatIpAddr által képviselt mező nevét tartalmazza. |
ThreatField | Választható | Enumerated | Az a mező, amelyhez fenyegetést azonosítottak. Az érték vagy SrcIpAddr TargetIpAddr . |
Sémafrissítések
A séma 0.1.1-es verziójának változásai:
- Frissítettük a felhasználói és az eszköz entitásmezőit, hogy igazodjanak más sémákhoz.
- Átnevezve
TargetDvc
,SrcDvc
illetve aSrc
Target
jelenlegi ASIM-irányelveknek megfelelően. Az átnevezett mezők 2022. július 1-ig aliasokként lesznek implementálva. Ezek a mezők a következők:SrcDvcHostname
,SrcDvcHostnameType
,SrcDvcType
,SrcDvcIpAddr
,TargetDvcHostname
,TargetDvcHostnameType
TargetDvcType
, ,TargetDvcIpAddr
ésTargetDvc
. - Hozzáadta az aliasokat
Src
ésDst
a . - Hozzáadta a mezőket
SrcDvcIdType
,SrcDeviceType
,TargetDvcIdType
ésTargetDeviceType
, ésEventSchema
.
A séma 0.1.2-es verziójának változásai:
- Hozzáadta a mezőket
ActorScope
,TargetUserScope
,SrcDvcScopeId
,SrcDvcScope
,TargetDvcScopeId
TargetDvcScope
,DvcScopeId
ésDvcScope
.
A séma 0.1.3-ás verziójának változásai:
- Hozzáadta a mezőket
SrcPortNumber
,ActorOriginalUserType
,ActorScopeId
,TargetOriginalUserType
,TargetUserScopeId
SrcDescription
,SrcRiskLevel
,SrcOriginalRiskLevel
ésTargetDescription
. - Ellenőrző mezők hozzáadva
- A célrendszer földrajzi helyének mezői hozzáadva.
Következő lépések
További információk:
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: