Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Lo schema di normalizzazione degli eventi Microsoft Sentinel Audit rappresenta gli eventi associati all'audit trail dei sistemi informativi. L'audit trail registra le attività di configurazione del sistema e le modifiche dei criteri. Tali modifiche vengono spesso eseguite dagli amministratori di sistema, ma possono anche essere eseguite dagli utenti durante la configurazione delle impostazioni delle proprie applicazioni.
Ogni sistema registra gli eventi di controllo insieme ai relativi log attività principali. Ad esempio, un firewall registrerà gli eventi relativi alle sessioni di rete sono processi e gli eventi di controllo sulle modifiche di configurazione applicate al firewall stesso.
Per altre informazioni sulla normalizzazione in Microsoft Sentinel, vedere Normalization and the Advanced Security Information Model (ASIM).
Panoramica sullo schema
I campi principali di un evento di controllo sono:
- Oggetto, che può essere, ad esempio, una risorsa gestita o una regola dei criteri, su cui si concentra l'evento, rappresentato dal campo Object. Il campo ObjectType specifica il tipo dell'oggetto.
- Contesto dell'applicazione dell'oggetto, rappresentato dal campo TargetAppName, aliasato da Application.
- Operazione eseguita sull'oggetto , rappresentato dai campi EventType e Operation. Mentre Operation è il valore segnalato dall'origine, EventType è una versione normalizzata più coerente tra le origini.
- Valori vecchi e nuovi per l'oggetto, se applicabile, rappresentati rispettivamente da OldValue e NewValue .
Gli eventi di controllo fanno inoltre riferimento alle entità seguenti, coinvolte nell'operazione di configurazione:
- Attore : utente che esegue l'operazione di configurazione.
- TargetApp : l'applicazione o il sistema per cui si applica l'operazione di configurazione.
- Destinazione : sistema in cui è in esecuzione TargetApp*.
- ActingApp : applicazione usata dall'attore per eseguire l'operazione di configurazione.
- Src : sistema usato dall'attore per avviare l'operazione di configurazione, se diverso da Target.
Il descrittore Dvc viene usato per il dispositivo di segnalazione, ovvero il sistema locale per le sessioni segnalate da un endpoint e il dispositivo intermedio o di sicurezza in altri casi.
Parser
Distribuzione e uso di parser di eventi di controllo
Distribuire i parser degli eventi di controllo ASIM dal repository GitHub Microsoft Sentinel. Per eseguire query su tutte le origini eventi di controllo, usare il parser imAuditEvent unificante come nome della tabella nella query.
Per altre informazioni sull'uso dei parser ASIM, vedere panoramica dei parser ASIM. Per l'elenco dei parser di eventi di controllo Microsoft Sentinel fornisce informazioni predefinite, vedere l'elenco dei parser ASIM
Aggiungere i propri parser normalizzati
Quando si implementano parser personalizzati per il modello di informazioni sugli eventi file, denominare le funzioni KQL usando la sintassi seguente: imAuditEvent<vendor><Product>. Per informazioni su come aggiungere i parser personalizzati al parser di unificazione dell'evento di controllo, vedere l'articolo Gestione dei parser ASIM .
Filtro dei parametri del parser
I parser degli eventi di controllo supportano i parametri di filtro. Anche se questi parametri sono facoltativi, possono migliorare le prestazioni delle query.
Sono disponibili i parametri di filtro seguenti:
| Nome | Tipo | Descrizione |
|---|---|---|
| Starttime | datetime | Filtrare solo gli eventi eseguiti in corrispondenza o dopo questo periodo di tempo. Questo parametro usa il TimeGenerated campo come indicatore di ora dell'evento. |
| Endtime | datetime | Filtrare solo le query degli eventi che hanno terminato l'esecuzione in corrispondenza o prima di questo momento. Questo parametro usa il TimeGenerated campo come indicatore di ora dell'evento. |
| srcipaddr_has_any_prefix | Dinamico | Filtrare solo gli eventi da questo indirizzo IP di origine, come rappresentato nel campo SrcIpAddr . |
| eventtype_in | stringa | Filtrare solo gli eventi in cui il tipo di evento, come rappresentato nel campo EventType , è uno dei termini specificati. |
| eventresult | stringa | Filtrare solo gli eventi in cui il risultato dell'evento, come rappresentato nel campo EventResult , è uguale al valore del parametro. |
| actorusername_has_any | dynamic/string | Filtrare solo gli eventi in cui ActorUsername include uno dei termini specificati. |
| operation_has_any | dynamic/string | Filtrare solo gli eventi in cui il campo Operazione include uno dei termini specificati. |
| object_has_any | dynamic/string | Filtrare solo gli eventi in cui il campo Oggetto include uno dei termini specificati. |
| newvalue_has_any | dynamic/string | Filtrare solo gli eventi in cui il campo NewValue include uno qualsiasi dei termini specificati. |
Alcuni parametri possono accettare sia l'elenco di valori di tipo dynamic che un singolo valore stringa. Per passare un elenco di valori letterali a parametri che prevedono un valore dinamico, usare in modo esplicito un valore letterale dinamico. Ad esempio: dynamic(['192.168.','10.'])
Ad esempio, per filtrare solo gli eventi di controllo con i termini install o update nel relativo campo Operazione , dall'ultimo giorno usare:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
Dettagli dello schema
Campi ASIM comuni
Importante
I campi comuni a tutti gli schemi sono descritti in dettaglio nell'articolo Campi comuni di ASIM .
Campi comuni con linee guida specifiche
Nell'elenco seguente vengono indicati i campi con linee guida specifiche per gli eventi di controllo:
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Eventtype | Obbligatorio | Enumerato | Descrive l'operazione verificata dall'evento usando un valore normalizzato. Usare EventSubType per fornire ulteriori dettagli, che il valore normalizzato non trasmette, e Operation. per archiviare l'operazione come segnalato dal dispositivo di report. Per i record dell'evento di controllo, i valori consentiti sono: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Initialize- Start- Stop- Other Gli eventi di controllo rappresentano un'ampia gamma di operazioni e il Other valore abilita le operazioni di mapping che non hanno corrispondenti EventType. Tuttavia, l'uso di Other limita l'usabilità dell'evento e, se possibile, deve essere evitato. |
| EventSubType | Facoltativo | Stringa | Fornisce altri dettagli, che il valore normalizzato in EventType non trasmette. |
| EventSchema | Obbligatorio | Enumerato | Il nome dello schema documentato qui è AuditEvent. |
| EventSchemaVersion | Obbligatorio | SchemaVersion (String) | Versione dello schema. La versione dello schema documentata qui è 0.1.2. |
Tutti i campi comuni
I campi visualizzati nella tabella sono comuni a tutti gli schemi ASIM. Una delle linee guida specificate in questo documento sostituisce le linee guida generali per il campo. Ad esempio, un campo può essere facoltativo in generale, ma obbligatorio per uno schema specifico. Per altre informazioni su ogni campo, vedere l'articolo Campi comuni di ASIM .
| Classe | Campi |
|---|---|
| Obbligatorio |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Consigliata |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Facoltativo |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcO - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campi di controllo
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Operazione | Obbligatorio | Stringa | Operazione verificata come segnalato dal dispositivo di report. |
| Oggetto | Obbligatorio | Stringa | Nome dell'oggetto in cui viene eseguita l'operazione identificata da EventType . |
| Objectid | Facoltativo | Stringa | ID dell'oggetto in cui viene eseguita l'operazione identificata da EventType . |
| Objecttype | Condizionale | Enumerato | Tipo di oggetto. I valori consentiti sono: - Cloud Resource- Configuration Atom- Policy Rule- Event Log- Scheduled Task- Service- Directory Service Object- Other |
| OriginalObjectType | Facoltativo | Stringa | Tipo di oggetto segnalato dal sistema di report |
| Oldvalue | Facoltativo | Stringa | Valore precedente di Object prima dell'operazione, se applicabile. |
| Newvalue | Consigliata | Stringa | Nuovo valore di Object dopo l'esecuzione dell'operazione, se applicabile. |
| Valore | Alias | Alias in NuovoValore | |
| Valuetype | Condizionale | Enumerato | Tipo dei valori vecchi e nuovi. I valori consentiti sono -Altro |
Campi dell'attore
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| ActorUserId | Facoltativo | Stringa | Rappresentazione univoca, alfanumerica e leggibile dal computer dell'attore. Per altre informazioni e per i campi alternativi per altri ID, vedere L'entità Utente. Esempio: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Facoltativo | Stringa | Ambito, ad esempio Microsoft Entra nome di dominio, in cui sono definiti ActorUserId e ActorUsername. o altre informazioni e l'elenco dei valori consentiti, vedere UserScopenell'articolo Panoramica dello schema. |
| ActorScopeId | Facoltativo | Stringa | ID ambito, ad esempio Microsoft Entra ID directory, in cui sono definiti ActorUserId e ActorUsername. Per altre informazioni e l'elenco dei valori consentiti, vedere UserScopeIdnell'articolo Panoramica dello schema. |
| ActorUserIdType | Condizionale | Enumerato | Tipo dell'ID archiviato nel campo ActorUserId . Per altre informazioni e l'elenco dei valori consentiti, vedere UserIdTypenell'articolo Panoramica dello schema. |
| ActorUsername | Consigliata | Nome utente (stringa) | Nome utente dell'attore, incluse le informazioni sul dominio quando disponibili. Per altre informazioni, vedere L'entità Utente. Esempio: AlbertE |
| Utente | Alias | Alias per ActorUsername | |
| ActorUsernameType | Condizionale | UsernameType | Specifica il tipo di nome utente archiviato nel campo ActorUsername . Per altre informazioni e l'elenco dei valori consentiti, vedere UsernameTypenell'articolo Panoramica dello schema. Esempio: Windows |
| ActorUserType | Facoltativo | Usertype | Tipo dell'oggetto Actor. Per altre informazioni ed elenco dei valori consentiti, vedere UserTypenell'articolo Panoramica dello schema. Ad esempio: Guest |
| ActorOriginalUserType | Facoltativo | Stringa | Tipo di utente segnalato dal dispositivo di report. |
| ActorSessionId | Facoltativo | Stringa | ID univoco della sessione di accesso dell'attore. Esempio: 102pTUgC3p8RIqHvzxLCHnFlg |
Campi dell'applicazione di destinazione
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| TargetAppId | Facoltativo | Stringa | ID dell'applicazione a cui si applica l'evento, inclusi un processo, un browser o un servizio. Esempio: 89162 |
| TargetAppName | Facoltativo | Stringa | Nome dell'applicazione a cui si applica l'evento, inclusi un servizio, un URL o un'applicazione SaaS. Esempio: Exchange 365 |
| Applicazione | Alias | Alias per TargetAppName | |
| TargetAppType | Condizionale | AppType | Tipo dell'applicazione che autorizza per conto dell'attore. Per altre informazioni e l'elenco di valori consentiti, vedere AppTypenell'articolo Panoramica dello schema. |
| TargetOriginalAppType | Facoltativo | Stringa | Tipo dell'applicazione a cui si applica l'evento come segnalato dal dispositivo di report. |
| TargetUrl | Facoltativo | URL | URL associato all'applicazione di destinazione. Esempio: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
Campi del sistema di destinazione
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Dst | Alias | Stringa | Identificatore univoco della destinazione di autenticazione. Questo campo può assegnare un alias ai campi TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId o TargetAppName . Esempio: 192.168.12.1 |
| TargetHostname | Consigliata | Nome host | Nome host del dispositivo di destinazione, escluse le informazioni sul dominio. Esempio: DESKTOP-1282V4D |
| TargetDomain | Facoltativo | Domain(String) | Dominio del dispositivo di destinazione. Esempio: Contoso |
| TargetDomainType | Condizionale | Enumerato | Tipo di TargetDomain. Per un elenco dei valori consentiti e altre informazioni, vedere DomainTypenell'articolo Panoramica dello schema. Obbligatorio se si usa TargetDomain . |
| TargetFQDN | Facoltativo | FQDN (String) | Nome host del dispositivo di destinazione, incluse le informazioni sul dominio quando disponibile. Esempio: Contoso\DESKTOP-1282V4D Nota: questo campo supporta sia il formato FQDN tradizionale che il formato dominio\nome host di Windows. TargetDomainType riflette il formato usato. |
| TargetDescription | Facoltativo | Stringa | Testo descrittivo associato al dispositivo. Ad esempio: Primary Domain Controller. |
| TargetDvcId | Facoltativo | Stringa | ID del dispositivo di destinazione. Se sono disponibili più ID, usare quello più importante e archiviarne gli altri nei campi TargetDvc<DvcIdType>. Esempio: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Facoltativo | Stringa | ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. TargetDvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| TargetDvcScope | Facoltativo | Stringa | Ambito della piattaforma cloud a cui appartiene il dispositivo. TargetDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| TargetDvcIdType | Condizionale | Enumerato | Tipo di TargetDvcId. Per un elenco dei valori consentiti e altre informazioni, vedere DvcIdTypenell'articolo Panoramica dello schema. Obbligatorio se si usa TargetDeviceId . |
| TargetDeviceType | Facoltativo | Enumerato | Tipo del dispositivo di destinazione. Per un elenco dei valori consentiti e altre informazioni, vedere DeviceTypenell'articolo Panoramica dello schema. |
| TargetIpAddr | Consigliata | Indirizzo IP | Indirizzo IP del dispositivo di destinazione. Esempio: 2.2.2.2 |
| TargetDvcOs | Facoltativo | Stringa | Sistema operativo del dispositivo di destinazione. Esempio: Windows 10 |
| TargetPortNumber | Facoltativo | Numero intero | Porta del dispositivo di destinazione. |
| TargetGeoCountry | Facoltativo | Paese | Paese/area geografica associato all'indirizzo IP di destinazione. Esempio: USA |
| TargetGeoRegion | Facoltativo | Area geografica | Area all'interno di un paese/area geografica associata all'indirizzo IP di destinazione. Esempio: Vermont |
| TargetGeoCity | Facoltativo | Città | Città associata all'indirizzo IP di destinazione. Esempio: Burlington |
| TargetGeoLatitude | Facoltativo | Latitudine | La latitudine della coordinata geografica associata all'indirizzo IP di destinazione. Esempio: 44.475833 |
| TargetGeoLongitude | Facoltativo | Longitudine | Longitudine della coordinata geografica associata all'indirizzo IP di destinazione. Esempio: 73.211944 |
| TargetRiskLevel | Facoltativo | Numero intero | Livello di rischio associato alla destinazione. Il valore deve essere regolato in base a un intervallo di 0 , 100con 0 per un valore non dannoso e 100 per un rischio elevato.Esempio: 90 |
| TargetOriginalRiskLevel | Facoltativo | Stringa | Livello di rischio associato alla destinazione, come indicato dal dispositivo di report. Esempio: Suspicious |
Campi applicazione in azione
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| ActingAppId | Facoltativo | Stringa | ID dell'applicazione che ha avviato l'attività segnalata, inclusi un processo, un browser o un servizio. Ad esempio: 0x12ae8 |
| ActingAppName | Facoltativo | Stringa | Nome dell'applicazione che ha avviato l'attività segnalata, inclusi un servizio, un URL o un'applicazione SaaS. Ad esempio: C:\Windows\System32\svchost.exe |
| ActingAppType | Facoltativo | AppType | Tipo di applicazione che agisce. Per altre informazioni e l'elenco di valori consentiti, vedere AppTypenell'articolo Panoramica dello schema. |
| ActingOriginalAppType | Facoltativo | Stringa | Tipo dell'applicazione che ha avviato l'attività come segnalato dal dispositivo di report. |
| HttpUserAgent | Facoltativo | Stringa | Quando l'autenticazione viene eseguita tramite HTTP o HTTPS, il valore di questo campo è l'intestazione HTTP user_agent fornita dall'applicazione che esegue l'autenticazione. Ad esempio: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Campi del sistema di origine
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Src | Alias | Stringa | Identificatore univoco del dispositivo di origine. Questo campo potrebbe aliasare i campi SrcDvcId, SrcHostname o SrcIpAddr . Esempio: 192.168.12.1 |
| SrcIpAddr | Consigliata | Indirizzo IP | Indirizzo IP da cui ha origine la connessione o la sessione. Esempio: 77.138.103.108 |
| IpAddr | Alias | Alias per SrcIpAddr o per TargetIpAddr se SrcIpAddr non è specificato. | |
| SrcPortNumber | Facoltativo | Numero intero | Porta IP da cui ha origine la connessione. Potrebbe non essere rilevante per una sessione che include più connessioni. Esempio: 2335 |
| SrcHostname | Facoltativo | Nome host | Nome host del dispositivo di origine, escluse le informazioni sul dominio. Se non è disponibile alcun nome del dispositivo, archiviare l'indirizzo IP pertinente in questo campo. Esempio: DESKTOP-1282V4D |
| SrcDomain | Facoltativo | Dominio (stringa) | Dominio del dispositivo di origine. Esempio: Contoso |
| SrcDomainType | Condizionale | Domaintype | Tipo di SrcDomain. Per un elenco dei valori consentiti e altre informazioni, vedere DomainTypenell'articolo Panoramica dello schema. Obbligatorio se si usa SrcDomain . |
| SrcFQDN | Facoltativo | FQDN (String) | Nome host del dispositivo di origine, incluse le informazioni sul dominio quando disponibile. Nota: questo campo supporta sia il formato FQDN tradizionale che il formato dominio\nome host di Windows. Il campo SrcDomainType riflette il formato utilizzato. Esempio: Contoso\DESKTOP-1282V4D |
| SrcDescription | Facoltativo | Stringa | Testo descrittivo associato al dispositivo. Ad esempio: Primary Domain Controller. |
| SrcDvcId | Facoltativo | Stringa | ID del dispositivo di origine. Se sono disponibili più ID, usare quello più importante e archiviarne gli altri nei campi SrcDvc<DvcIdType>.Esempio: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Facoltativo | Stringa | ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. SrcDvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| SrcDvcScope | Facoltativo | Stringa | Ambito della piattaforma cloud a cui appartiene il dispositivo. SrcDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| SrcDvcIdType | Condizionale | DvcIdType | Tipo di SrcDvcId. Per un elenco dei valori consentiti e altre informazioni, vedere DvcIdTypenell'articolo Panoramica dello schema. Nota: questo campo è obbligatorio se si usa SrcDvcId . |
| SrcDeviceType | Facoltativo | Devicetype | Tipo del dispositivo di origine. Per un elenco dei valori consentiti e altre informazioni, vedere DeviceTypenell'articolo Panoramica dello schema. |
| SrcGeoCountry | Facoltativo | Paese | Paese/area geografica associato all'indirizzo IP di origine. Esempio: USA |
| SrcGeoRegion | Facoltativo | Area geografica | Area all'interno di un paese/area geografica associata all'indirizzo IP di origine. Esempio: Vermont |
| SrcGeoCity | Facoltativo | Città | Città associata all'indirizzo IP di origine. Esempio: Burlington |
| SrcGeoLatitude | Facoltativo | Latitudine | La latitudine della coordinata geografica associata all'indirizzo IP di origine. Esempio: 44.475833 |
| SrcGeoLongitude | Facoltativo | Longitudine | Longitudine della coordinata geografica associata all'indirizzo IP di origine. Esempio: 73.211944 |
| SrcRiskLevel | Facoltativo | Numero intero | Livello di rischio associato all'origine. Il valore deve essere regolato in base a un intervallo di 0 , 100con 0 per un valore non dannoso e 100 per un rischio elevato.Esempio: 90 |
| SrcOriginalRiskLevel | Facoltativo | Stringa | Livello di rischio associato all'origine, come indicato dal dispositivo di report. Esempio: Suspicious |
Campi di ispezione
I campi seguenti vengono usati per rappresentare l'ispezione eseguita da un sistema di sicurezza.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Rulename | Facoltativo | Stringa | Nome o ID della regola associato ai risultati dell'ispezione. |
| RuleNumber | Facoltativo | Numero intero | Numero della regola associata ai risultati dell'ispezione. |
| Regola | Alias | Stringa | Valore di RuleName o valore di RuleNumber. Se viene utilizzato il valore di RuleNumber , il tipo deve essere convertito in stringa. |
| ThreatId | Facoltativo | Stringa | ID della minaccia o del malware identificato nell'attività di controllo. |
| ThreatName | Facoltativo | Stringa | Nome della minaccia o del malware identificato nell'attività di controllo. |
| ThreatCategory | Facoltativo | Stringa | Categoria della minaccia o del malware identificato nell'attività del file di controllo. |
| ThreatRiskLevel | Facoltativo | RiskLevel (Integer) | Livello di rischio associato alla minaccia identificata. Il livello deve essere un numero compreso tra 0 e 100. Nota: il valore può essere fornito nel record di origine usando una scala diversa, che deve essere normalizzata in base a questa scala. Il valore originale deve essere archiviato in ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Facoltativo | Stringa | Livello di rischio segnalato dal dispositivo di segnalazione. |
| ThreatConfidence | Facoltativo | ConfidenceLevel (Integer) | Livello di attendibilità della minaccia identificata, normalizzata in un valore compreso tra 0 e 100. |
| ThreatOriginalConfidence | Facoltativo | Stringa | Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di segnalazione. |
| ThreatIsActive | Facoltativo | Booleano | True se la minaccia identificata è considerata una minaccia attiva. |
| ThreatFirstReportedTime | Facoltativo | datetime | La prima volta che l'indirizzo IP o il dominio è stato identificato come una minaccia. |
| ThreatLastReportedTime | Facoltativo | datetime | L'ultima volta che l'indirizzo IP o il dominio è stato identificato come una minaccia. |
| ThreatIpAddr | Facoltativo | Indirizzo IP | Indirizzo IP per cui è stata identificata una minaccia. Il campo ThreatField contiene il nome del campo rappresentato da ThreatIpAddr . |
| ThreatField | Condizionale | Enumerato | Campo per il quale è stata identificata una minaccia. Il valore è SrcIpAddr o TargetIpAddr. |
Aggiornamenti dello schema
Le modifiche apportate alla versione 0.1.1 dello schema sono:
- Sono stati aggiunti il campo
ObjectIdeOriginalObjectType.
Le modifiche apportate alla versione 0.1.2 dello schema sono:
- Aggiunta del campo
ActingOriginalAppType, ,OriginalObjectType,SrcRiskLevelSrcOriginalRiskLevel,TargetGeoCityTargetGeoCountry,TargetGeoLatitude,TargetGeoLongitude,TargetGeoRegion,TargetOriginalAppType,,TargetOriginalRiskLeveleTargetRiskLevel
Passaggi successivi
Per ulteriori informazioni, vedere: