Referensi skema normalisasi Autentikasi Advanced Security Information Model (ASIM) (Pratinjau publik)
Skema Autentikasi Microsoft Sentinel digunakan untuk menjelaskan peristiwa yang terkait dengan autentikasi pengguna, kredensial masuk, dan kredensial keluar. Peristiwa autentikasi dikirim oleh banyak perangkat pelaporan, biasanya sebagai bagian dari aliran peristiwa bersama dengan peristiwa lainnya. Misalnya, Windows mengirimkan beberapa kejadian autentikasi bersama dengan kejadian aktivitas OS lainnya.
Kejadian autentikasi mencakup kedua kejadian dari sistem yang berfokus pada autentikasi seperti gateway VPN atau pengontrol domain, dan autentikasi langsung ke sistem akhir, seperti komputer atau firewall.
Untuk informasi selengkapnya tentang normalisasi di Microsoft Sentinel, lihat Normalisasi dan Model Informasi Keamanan Tingkat Lanjut (ASIM).
Penting
Skema normalisasi Autentikasi saat ini sedang dalam PRATINJAU. Fitur ini disediakan tanpa perjanjian tingkat layanan, dan tidak disarankan untuk beban kerja produksi.
Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Parser
Sebarkan parser autentikasi ASIM dari repositori GitHub Microsoft Azure Sentinel. Untuk informasi selengkapnya tentang parser ASIM, lihat artikel Gambaran umum parser ASIM.
Menyatukan pengurai
Untuk menggunakan pengurai yang menyatukan semua pengurai out-of-the-box ASIM, dan memastikan bahwa analisis Anda berjalan di semua sumber yang dikonfigurasi, gunakan imAuthentication memfilter pengurai atau ASimAuthentication pengurai tanpa parameter.
Pengurai sumber khusus
Untuk daftar parser autentikasi yang disediakan Microsoft Azure Sentinel, lihat daftar parser ASIM:
Tambahkan parser normalisasi Anda sendiri
Saat menerapkan pengurai kustom untuk model informasi Autentikasi, beri nama fungsi KQL Anda menggunakan sintaks berikut:
vimAuthentication<vendor><Product>untuk memfilter penguraiASimAuthentication<vendor><Product>untuk pengurai tanpa parameter
Untuk informasi tentang menambahkan parser kustom Anda ke parser pemersatu, lihat Mengelola parser ASIM.
Memfilter parameter parser
Parser im dan vim* mendukung pemfilteran parameter. Meskipun bersifat opsional, parser ini dapat meningkatkan performa kueri Anda.
Parameter pemfilteran berikut ini tersedia:
| Nama | Tipe | Deskripsi |
|---|---|---|
| starttime | datetime | Filter hanya peristiwa autentikasi yang berjalan pada atau setelah waktu ini. |
| endtime | datetime | Filter hanya peristiwa autentikasi yang selesai berjalan pada atau sebelum waktu ini. |
| targetusername_has | string | Filter hanya peristiwa autentikasi yang memiliki salah satu nama pengguna yang tercantum. |
Misalnya, untuk memfilter hanya peristiwa autentikasi dari hari terakhir ke pengguna tertentu, gunakan:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Tip
Untuk meneruskan daftar harfiah ke parameter yang memerlukan nilai dinamis, secara eksplisit gunakan harfiah dinamis. Sebagai contoh: dynamic(['192.168.','10.']).
Konten yang dinormalisasi
Aturan analitik autentikasi yang dinormalisasi unik karena mendeteksi serangan di seluruh sumber. Jadi, misalnya, jika pengguna masuk ke sistem yang berbeda dan tidak terkait, dari berbagai negara/wilayah, Microsoft Sentinel sekarang akan mendeteksi ancaman ini.
Untuk daftar lengkap aturan analitik yang menggunakan peristiwa Autentikasi yang dinormalisasi, lihat Konten keamanan skema autentikasi.
Gambaran umum Skema
Model informasi Autentikasi diselaraskan dengan skema entitas masuk OSSEM.
Bidang yang tercantum dalam tabel di bawah ini khusus untuk kejadian Autentikasi, tetapi mirip dengan bidang dalam skema lain dan mengikuti konvensi penamaan yang serupa.
kejadian autentikasi mereferensikan entitas berikut:
- TargetUser - Informasi pengguna yang digunakan untuk mengautentikasi ke sistem. TargetSystem adalah subyek utama dari peristiwa autentikasi, dan alias yang dialiaskan Pengguna TargetUser diidentifikasi.
- TargetApp - Aplikasi tujuan autentikasi.
- Target - Sistem tempat TaregtApp* berjalan.
- Pelaku - Pengguna yang memulai autentikasi, jika berbeda dari TargetUser.
- ActingApp - Aplikasi yang digunakan oleh Pelaku untuk melakukan autentikasi.
- Src - Sistem yang digunakan oleh Pelaku untuk memulai autentikasi.
Hubungan antara entitas ini paling baik ditunjukkan sebagai berikut:
Seorang Pelaku, menjalankan Aplikasi tindakan, ActingApp, pada sistem sumber, Src, mencoba untuk mengautentikasi sebagai TargetUser ke aplikasi target, TargetApp, pada sistem target, TargetDvc.
Detail skema
Dalam tabel berikut, Jenis mengacu pada jenis logis. Untuk informasi lebih lanjut, lihat Jenis Logis.
Bidang ASIM umum
Penting
Bidang yang umum untuk semua skema dijelaskan secara rinci dalam artikel Bidang Umum ASIM.
Bidang umum dengan pedoman khusus
Daftar berikut menyebutkan bidang yang memiliki pedoman khusus untuk peristiwa autentikasi:
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| EventType | Wajib | Disebutkan | Menggambarkan operasi yang dilaporkan oleh catatan. Untuk rekaman Autentikasi, nilai yang didukung meliputi: - Logon - Logoff- Elevate |
| EventResultDetails | Disarankan | String | Detail yang terkait dengan hasil peristiwa. Bidang ini biasanya diisi ketika hasilnya gagal. Nilai yang diizinkan meliputi: - No such user or password. Nilai ini harus digunakan juga ketika kejadian asli melaporkan bahwa tidak ada pengguna tersebut, tanpa mengacu pada kata sandi.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. Nilai ini harus digunakan ketika laporan kejadian asli, misalnya: MFA diperlukan, log masuk di luar jam kerja, pembatasan akses bersyarat, atau upaya yang terlalu sering.- Session expired- OtherNilai dapat diberikan dalam rekaman sumber menggunakan istilah yang berbeda, yang harus dinormalisasi ke nilai-nilai ini. Nilai asli harus disimpan di bidang EventOriginalResultDetails |
| EventSubType | Opsional | String | Jenis kredensial masuk. Nilai yang diizinkan meliputi: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote - Gunakan ketika jenis masuk jarak jauh tidak diketahui.- AssumeRole - Biasanya digunakan ketika jenis peristiwa adalah Elevate. Nilai dapat diberikan dalam rekaman sumber menggunakan istilah yang berbeda, yang harus dinormalisasi ke nilai-nilai ini. Nilai asli harus disimpan di bidang EventOriginalSubType. |
| EventSchemaVersion | Wajib | String | Versi skema. Versi skema yang didokumentasikan di sini adalah 0.1.3 |
| EventSchema | Wajib | String | Nama skema yang didokumentasikan di sini adalah Autentikasi. |
| Bidang Dvc | - | - | Untuk peristiwa autentikasi, bidang perangkat mengacu pada sistem yang melaporkan peristiwa. |
Semua bidang umum
Bidang yang muncul pada tabel di bawah ini adalah umum untuk semua skema ASIM. Setiap pedoman yang ditentukan di atas mengambil alih pedoman umum untuk bidang ini. Misalnya, sebuah bidang mungkin opsional secara umum, tetapi wajib untuk skema tertentu. Untuk detail lebih lanjut tentang setiap bidang, lihat artikel Bidang Umum ASIM.
| Kelas | Bidang |
|---|---|
| Wajib | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Disarankan | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opsional | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Bidang khusus autentikasi
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| LogonMethod | Opsional | String | Metode yang digunakan untuk melakukan autentikasi. Contoh: Username & Password, PKI |
| LogonProtocol | Opsional | String | Protokol yang digunakan untuk melakukan autentikasi. Contoh: NTLM |
Bidang pelaku
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| ActorUserId | Opsional | String | Representasi Pelaku yang dapat dibaca mesin, alfanumerik, unik. Untuk informasi selengkapnya, dan untuk bidang alternatif untuk ID tambahan, lihat Entitas pengguna. Contoh: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Opsional | String | Cakupan, seperti penyewa Microsoft Entra, di mana ActorUserId dan ActorUsername ditentukan. atau informasi selengkapnya dan daftar nilai yang diizinkan, lihat UserScope di artikel Gambaran Umum Skema. |
| ActorScopeId | Opsional | String | ID cakupan, seperti ID Microsoft Entra Directory, di mana ActorUserId dan ActorUsername ditentukan. untuk informasi selengkapnya dan daftar nilai yang diizinkan, lihat UserScopeId di artikel Gambaran Umum Skema. |
| ActorUserIdType | Kondisional | UserIdType | Jenis ID yang disimpan pada bidang ActorUserId. Untuk informasi selengkapnya dan daftar nilai yang diizinkan, lihat UserIdType di Artikel Ringkasan Skema. |
| ActorUsername | Opsional | Nama Pengguna | Nama pengguna Pelaku, termasuk informasi domain saat tersedia. Untuk informasi lebih lanjut, lihat Entitas pengguna. Contoh: AlbertE |
| ActorUsernameType | Kondisional | UsernameType | Menentukan jenis nama pengguna yang disimpan di bidang ActorUsername. Untuk informasi selengkapnya, dan daftar nilai yang diizinkan, lihat UsernameType di Artikel Ringkasan Skema. Contoh: Windows |
| ActorUserType | Opsional | UserType | Jenis Pelaku. Untuk informasi selengkapnya, dan daftar nilai yang diizinkan, lihat UserType di Artikel Ringkasan Skema. Misalnya: Guest |
| ActorOriginalUserType | Opsional | UserType | Jenis pengguna seperti yang dilaporkan oleh perangkat pelaporan. |
| ActorSessionId | Opsional | String | ID unik dari sesi rincian masuk Pelaku. Contoh: 102pTUgC3p8RIqHvzxLCHnFlg |
Bidang Aplikasi Tindakan
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| ActingAppId | Opsional | String | ID aplikasi yang memberi wewenang atas nama pelaku, termasuk proses, browser, atau layanan. Misalnya: 0x12ae8 |
| ActingAppName | Opsional | String | Nama aplikasi yang memberi wewenang atas nama pelaku, termasuk proses, browser, atau layanan. Misalnya: C:\Windows\System32\svchost.exe |
| ActingAppType | Opsional | AppType | Jenis aplikasi bertindak. Untuk informasi selengkapnya, dan daftar nilai yang diizinkan, lihat AppType di Artikel Ringkasan Skema. |
| HttpUserAgent | Opsional | String | Ketika autentikasi dilakukan melalui HTTP atau HTTPS, nilai bidang ini adalah header HTTP user_agent yang disediakan oleh aplikasi bertindak saat melakukan autentikasi. Misalnya: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Bidang target pengguna
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| TargetUserId | Opsional | UserId | Representasi pengguna target dapat dibaca mesin, alfanumerik, dan unik. Untuk informasi selengkapnya, dan untuk bidang alternatif untuk ID tambahan, lihat Entitas pengguna. Contoh: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | Opsional | String | Cakupan, seperti penyewa Microsoft Entra, di mana TargetUserId dan TargetUsername ditentukan. atau informasi selengkapnya dan daftar nilai yang diizinkan, lihat UserScope di artikel Gambaran Umum Skema. |
| TargetUserScopeId | Opsional | String | ID cakupan, seperti ID Microsoft Entra Directory, di mana TargetUserId dan TargetUsername ditentukan. untuk informasi selengkapnya dan daftar nilai yang diizinkan, lihat UserScopeId di artikel Gambaran Umum Skema. |
| TargetUserIdType | Kondisional | UserIdType | Jenis ID pengguna yang disimpan di bidang TargetUserId. Untuk informasi selengkapnya dan daftar nilai yang diizinkan, lihat UserIdType di Artikel Ringkasan Skema. Contoh: SID |
| TargetUsername | Opsional | Nama Pengguna | Nama pengguna target, termasuk informasi domain bila tersedia. Untuk informasi lebih lanjut, lihat Entitas pengguna. Contoh: MarieC |
| TargetUsernameType | Kondisional | UsernameType | Menentukan jenis nama pengguna yang disimpan di bidang TargetUsername. Untuk informasi selengkapnya dan daftar nilai yang diizinkan, lihat UsernameType di Artikel Ringkasan Skema. |
| TargetUserType | Opsional | UserType | Jenis pengguna Target. Untuk informasi selengkapnya, dan daftar nilai yang diizinkan, lihat UserType di Artikel Ringkasan Skema. Misalnya: Member |
| TargetSessionId | Opsional | String | Pengenal sesi rincian masuk dari TargetUser pada perangkat sumber. |
| TargetOriginalUserType | Opsional | UserType | Jenis pengguna seperti yang dilaporkan oleh perangkat pelaporan. |
| Pengguna | Alias | Nama Pengguna | Alias ke TargetUsername atau ke TargetUserId jika TargetUsername tidak ditentukan. Contoh: CONTOSO\dadmin |
Bidang sistem sumber
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| Src | Disarankan | String | Pengenal unik perangkat sumber. Bidang ini bisa menjadi alias bagi bidang SrcDvcId, SrcHostname, atau SrclpAddr. Contoh: 192.168.12.1 |
| SrcDvcId | Opsional | String | ID perangkat sumber. Jika terdapat beberapa ID tersedia, gunakan yang paling penting, dan simpan yang lain di bidang SrcDvc<DvcIdType>.Contoh: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opsional | String | ID cakupan platform cloud milik perangkat. Peta SrcDvcScopeId ke ID langganan di Azure dan ke ID akun di AWS. |
| SrcDvcScope | Opsional | String | Cakupan platform cloud milik perangkat. SrcDvcScope memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
| SrcDvcIdType | Kondisional | DvcIdType | Jenis SrcDvcId. Untuk daftar nilai yang diizinkan dan informasi selengkapnya, lihat DvcIdType dalam Artikel Ringkasan Skema. Catatan: Bidang ini diperlukan jika SrcDvcId digunakan. |
| SrcDeviceType | Opsional | DeviceType | Jenis perangkat sumber Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DeviceType dalam artikel Gambaran Umum Skema. |
| SrcHostname | Disarankan | Nama host | Nama host perangkat sumber, tidak termasuk informasi domain. Jika tidak ada nama perangkat yang tersedia, simpan alamat IP yang relevan di bidang ini. Contoh: DESKTOP-1282V4D |
| SrcDomain | Disarankan | String | Domain perangkat sumber. Contoh: Contoso |
| SrcDomainType | Kondisional | DomainType | Jenis SrcDomain. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DomainType di artikel Gambaran Umum Skema. Diperlukan jika SrcDomain digunakan. |
| SrcFQDN | Opsional | String | Nama host perangkat sumber, termasuk informasi domain saat tersedia. Catatan: Bidang ini mendukung format FQDN tradisional dan format domain\hostname Windows. Bidang SrcDomainType mencerminkan format yang digunakan. Contoh: Contoso\DESKTOP-1282V4D |
| SrcDescription | Opsional | String | Teks deskriptif yang terkait dengan perangkat. Sebagai contoh: Primary Domain Controller. |
| SrcIpAddr | Opsional | Alamat IP | Alamat IP perangkat sumber. Contoh: 2.2.2.2 |
| SrcPortNumber | Opsional | Bilangan bulat | Port IP tempat sambungan berasal. Contoh: 2335 |
| SrcDvcOs | Opsional | String | OS perangkat sumber. Contoh: Windows 10 |
| IpAddr | Alias | Alias ke SrcIpAddr | |
| SrcIsp | Opsional | String | Penyedia Layanan Internet(ISP) yang digunakan oleh perangkat sumber untuk terhubung ke internet. Contoh: corpconnect |
| SrcGeoCountry | Opsional | Negara | Contoh: Canada Untuk informasi lebih lanjut, lihat Jenis Logis. |
| SrcGeoCity | Opsional | Kota | Contoh: Montreal Untuk informasi lebih lanjut, lihat Jenis Logis. |
| SrcGeoRegion | Opsional | Wilayah | Contoh: Quebec Untuk informasi lebih lanjut, lihat Jenis Logis. |
| SrcGeoLongtitude | Opsional | Garis bujur | Contoh: -73.614830 Untuk informasi lebih lanjut, lihat Jenis Logis. |
| SrcGeoLatitude | Opsional | Garis Lintang | Contoh: 45.505918 Untuk informasi lebih lanjut, lihat Jenis Logis. |
| SrcRiskLevel | Opsional | Bilangan bulat | Tingkat risiko yang terkait dengan sumber. Nilai harus disesuaikan dengan rentang 0 hingga 100, dengan 0 menjadi tidak berisiko dan 100 menjadi risiko tinggi.Contoh: 90 |
| SrcOriginalRiskLevel | Opsional | Bilangan bulat | Tingkat risiko yang terkait dengan sumbernya, seperti yang dilaporkan oleh perangkat pelaporan. Contoh: Suspicious |
Bidang aplikasi target
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| TargetAppId | Opsional | String | ID aplikasi yang diperlukan otorisasi, sering ditetapkan oleh perangkat pelaporan. Contoh: 89162 |
| TargetAppName | Opsional | String | Nama aplikasi yang diperlukan otorisasi, termasuk layanan, URL, atau aplikasi SaaS. Contoh: Saleforce |
| TargetAppType | Opsional | AppType | Jenis aplikasi yang memberi wewenang atas nama Pelaku. Untuk informasi selengkapnya, dan daftar nilai yang diizinkan, lihat AppType di Artikel Ringkasan Skema. |
| TargetUrl | Opsional | URL | URL yang terkait dengan aplikasi target. Contoh: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Alias | Aliaskan ke TargetAppName, TargetUrl, atau TargetHostname, bidang mana pun yang paling menggambarkan target autentikasi. |
Bidang sistem target
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| Dst | Alias | String | Pengidentifikasi unik dari target autentikasi. Bidang ini mungkin mengalias bidang TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId, atau TargetAppName. Contoh: 192.168.12.1 |
| TargetHostname | Disarankan | Nama host | Nama host perangkat target, tidak termasuk informasi domain. Contoh: DESKTOP-1282V4D |
| TargetDomain | Disarankan | String | Domain perangkat target. Contoh: Contoso |
| TargetDomainType | Kondisional | Disebutkan | Jenis TargetDomain. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DomainType di artikel Gambaran Umum Skema. Diperlukan jika TargetDomain digunakan. |
| TargetFQDN | Opsional | String | Nama host perangkat target, termasuk informasi domain saat tersedia. Contoh: Contoso\DESKTOP-1282V4D Catatan: Bidang ini mendukung format FQDN tradisional dan format domain\hostname Windows. TargetDomainType mencerminkan format yang digunakan. |
| TargetDescription | Opsional | String | Teks deskriptif yang terkait dengan perangkat. Sebagai contoh: Primary Domain Controller. |
| TargetDvcId | Opsional | String | ID dari perangkat target. Jika terdapat beberapa ID tersedia, gunakan yang paling penting, dan simpan yang lain di bidang TargetDvc<DvcIdType>. Contoh: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Opsional | String | ID cakupan platform cloud milik perangkat. TargetDvcScopeId memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
| TargerDvcScope | Opsional | String | Cakupan platform cloud milik perangkat. TargetDvcScope memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
| TargetDvcIdType | Kondisional | Disebutkan | Jenis TargetDvcId. Untuk daftar nilai yang diizinkan dan informasi selengkapnya, lihat DvcIdType dalam Artikel Ringkasan Skema. Diperlukan jika TargetDeviceId digunakan. |
| TargetDeviceType | Opsional | Disebutkan | Jenis perangkat target. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DeviceType dalam artikel Gambaran Umum Skema. |
| TargetIpAddr | Opsional | Alamat IP | Alamat IP perangkat target. Contoh: 2.2.2.2 |
| TargetDvcOs | Opsional | String | OS perangkat target. Contoh: Windows 10 |
| TargetPortNumber | Opsional | Bilangan bulat | Port perangkat target. |
| TargetGeoCountry | Opsional | Negara | Negara yang terkait dengan alamat IP target. Contoh: USA |
| TargetGeoRegion | Opsional | Wilayah | Wilayah yang terkait dengan alamat IP target. Contoh: Vermont |
| TargetGeoCity | Opsional | Kota | Kota yang terkait dengan alamat IP target. Contoh: Burlington |
| TargetGeoLatitude | Opsional | Garis Lintang | Garis lintang koordinat geografis yang terkait dengan alamat IP target. Contoh: 44.475833 |
| TargetGeoLongitude | Opsional | Garis bujur | Garis bujur koordinat geografis yang terkait dengan alamat IP target. Contoh: 73.211944 |
| TargetRiskLevel | Opsional | Bilangan bulat | Tingkat risiko yang terkait dengan target. Nilai harus disesuaikan dengan rentang 0 hingga 100, dengan 0 menjadi tidak berisiko dan 100 menjadi risiko tinggi.Contoh: 90 |
| TargetOriginalRiskLevel | Opsional | Bilangan bulat | Tingkat risiko yang terkait dengan target, seperti yang dilaporkan oleh perangkat pelaporan. Contoh: Suspicious |
Bidang inspeksi
Bidang berikut digunakan untuk mewakili inspeksi yang dilakukan oleh sistem keamanan.
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| RuleName | Opsional | String | Nama atau ID aturan dengan dikaitkan dengan hasil inspeksi. |
| RuleNumber | Opsional | Bilangan bulat | Jumlah aturan yang terkait dengan hasil inspeksi. |
| Aturan | Alias | String | Baik nilai RuleName atau nilai RuleNumber. Jika nilai RuleNumber digunakan, jenis harus dikonversi ke string. |
| ThreatId | Opsional | String | ID ancaman atau malware yang diidentifikasi dalam aktivitas audit. |
| ThreatName | Opsional | String | Nama ancaman atau malware yang diidentifikasi dalam aktivitas audit. |
| ThreatCategory | Opsional | String | Kategori ancaman atau malware yang diidentifikasi dalam aktivitas file audit. |
| ThreatRiskLevel | Opsional | Bilangan bulat | Tingkat risiko yang terkait dengan ancaman yang diidentifikasi. Levelnya harus berupa angka antara 0 hingga 100. Catatan: Nilai ini dapat diberikan dalam catatan sumber menggunakan skala yang berbeda, yang harus dinormalisasi ke skala ini. Nilai asli harus disimpan di ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opsional | String | Tingkat risiko seperti yang dilaporkan oleh perangkat pelaporan. |
| ThreatConfidence | Opsional | Bilangan bulat | Tingkat keyakinan ancaman yang diidentifikasi, dinormalisasi ke nilai antara 0 dan 100. |
| ThreatOriginalConfidence | Opsional | String | Tingkat keyakinan asli ancaman yang diidentifikasi, seperti yang dilaporkan oleh perangkat pelaporan. |
| ThreatIsActive | Opsional | Boolean | Benar jika ancaman yang diidentifikasi dianggap sebagai ancaman aktif. |
| ThreatFirstReportedTime | Opsional | datetime | Pertama kali alamat IP atau domain diidentifikasi sebagai ancaman. |
| ThreatLastReportedTime | Opsional | datetime | Terakhir kali alamat IP atau domain diidentifikasi sebagai ancaman. |
| ThreatIpAddr | Opsional | Alamat IP | Alamat IP yang ancamannya diidentifikasi. Bidang ThreatField berisi nama bidang yang diwakili ThreatIpAddr. |
| ThreatField | Opsional | Disebutkan | Bidang yang ancamannya diidentifikasi. Nilainya adalah SrcIpAddr atau TargetIpAddr. |
Pembaruan skema
Ini adalah perubahan dalam versi 0.1.1 dari skema tersebut:
- Memperbarui bidang entitas pengguna dan perangkat untuk menyelaraskan dengan skema lain.
- Berganti nama
TargetDvcdanSrcDvckeTargetdanSrcmasing-masing untuk meratakan dengan pedoman ASIM saat ini. Bidang yang diganti namanya akan diimplementasikan sebagai alias hingga 1 Juli 2022. Bidang-bidang tersebut meliputi:SrcDvcHostname,SrcDvcHostnameType,SrcDvcType,SrcDvcIpAddr,TargetDvcHostname,TargetDvcHostnameType,TargetDvcType,TargetDvcIpAddr, danTargetDvc. - Menambahkan alias
SrcdanDst. - Menambahkan bidang
SrcDvcIdType, ,SrcDeviceTypeTargetDvcIdType, danTargetDeviceType, danEventSchema.
Ini adalah perubahan dalam versi 0.1.2 dari skema:
- Menambahkan bidang
ActorScope, ,TargetUserScope,SrcDvcScopeIdSrcDvcScope, ,TargetDvcScopeId,TargetDvcScope,DvcScopeId, danDvcScope.
Ini adalah perubahan dalam versi 0.1.3 dari skema tersebut:
- Menambahkan bidang
SrcPortNumber, ,ActorOriginalUserType,ActorScopeIdTargetOriginalUserType, ,TargetUserScopeId,SrcDescription,SrcRiskLevel,SrcOriginalRiskLevel, danTargetDescription. - Menambahkan bidang inspeksi
- Menambahkan bidang lokasi geografis sistem target.
Langkah berikutnya
Untuk informasi selengkapnya, lihat: