Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Lo schema di autenticazione Microsoft Sentinel viene usato per descrivere gli eventi correlati all'autenticazione utente, all'accesso e alla disconnessione. Gli eventi di autenticazione vengono inviati da molti dispositivi di report, in genere come parte del flusso di eventi insieme ad altri eventi. Ad esempio, Windows invia diversi eventi di autenticazione insieme ad altri eventi di attività del sistema operativo.
Gli eventi di autenticazione includono entrambi gli eventi dei sistemi incentrati sull'autenticazione, ad esempio gateway VPN o controller di dominio, e l'autenticazione diretta a un sistema finale, ad esempio un computer o un firewall.
Per altre informazioni sulla normalizzazione in Microsoft Sentinel, vedere Normalization and the Advanced Security Information Model (ASIM).
Parser
Distribuire i parser di autenticazione ASIM dal repository GitHub Microsoft Sentinel. Per altre informazioni sui parser ASIM, vedere gli articoli Panoramica dei parser ASIM.
Unificazione dei parser
Per usare parser che unificano tutti i parser predefiniti di ASIM e assicurarsi che l'analisi venga eseguita in tutte le origini configurate, usare il imAuthentication parser di filtro o il ASimAuthentication parser senza parametri.
Parser specifici dell'origine
Per l'elenco dei parser di autenticazione Microsoft Sentinel fornisce, vedere l'elenco dei parser ASIM:
Aggiungere i propri parser normalizzati
Quando si implementano parser personalizzati per il modello informativo di autenticazione, denominare le funzioni KQL usando la sintassi seguente:
-
vimAuthentication<vendor><Product>per filtrare i parser -
ASimAuthentication<vendor><Product>per i parser senza parametri
Per informazioni sull'aggiunta di parser personalizzati al parser unificante, vedere Gestione dei parser ASIM.
Filtro dei parametri del parser
I im parser e vim* supportano i parametri di filtro. Anche se questi parser sono facoltativi, possono migliorare le prestazioni delle query.
Sono disponibili i parametri di filtro seguenti:
| Nome | Tipo | Descrizione |
|---|---|---|
| Starttime | datetime | Filtrare solo gli eventi di autenticazione eseguiti in corrispondenza o dopo questo periodo di tempo. Questo parametro filtra il TimeGenerated campo, ovvero l'indicatore standard per l'ora dell'evento, indipendentemente dal mapping specifico del parser dei campi EventStartTime e EventEndTime. |
| Endtime | datetime | Filtrare solo gli eventi di autenticazione che hanno terminato l'esecuzione in corrispondenza o prima di questo momento. Questo parametro filtra il TimeGenerated campo, ovvero l'indicatore standard per l'ora dell'evento, indipendentemente dal mapping specifico del parser dei campi EventStartTime e EventEndTime. |
| targetusername_has | stringa | Filtrare solo gli eventi di autenticazione con uno dei nomi utente elencati. |
Ad esempio, per filtrare solo gli eventi di autenticazione dall'ultimo giorno a un utente specifico, usare:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Consiglio
Per passare un elenco di valori letterali a parametri che prevedono un valore dinamico, usare in modo esplicito un valore letterale dinamico. Ad esempio: dynamic(['192.168.','10.']).
Contenuto normalizzato
Le regole di analisi dell'autenticazione normalizzate sono univoche in quanto rilevano attacchi tra origini. Ad esempio, se un utente ha eseguito l'accesso a sistemi diversi e non correlati da paesi/aree geografiche diversi, Microsoft Sentinel ora rileverà questa minaccia.
Per un elenco completo delle regole di analisi che usano eventi di autenticazione normalizzati, vedere Contenuto della sicurezza dello schema di autenticazione.
Panoramica sullo schema
Il modello di informazioni sull'autenticazione è allineato allo schema dell'entità di accesso OSSEM.
I campi elencati nella tabella seguente sono specifici degli eventi di autenticazione, ma sono simili ai campi di altri schemi e seguono convenzioni di denominazione simili.
Gli eventi di autenticazione fanno riferimento alle entità seguenti:
- TargetUser : informazioni utente usate per l'autenticazione nel sistema. TargetSystem è l'oggetto principale dell'evento di autenticazione e l'alias User identifica un oggetto TargetUser.
- TargetApp : l'applicazione in cui è stata eseguita l'autenticazione.
- Destinazione : sistema in cui è in esecuzione TargetApp*.
- Attore : l'utente che avvia l'autenticazione, se diverso da TargetUser.
- ActingApp : applicazione usata dall'attore per eseguire l'autenticazione.
- Src : sistema usato dall'attore per avviare l'autenticazione.
La relazione tra queste entità è illustrata nel modo seguente:
Un attore, che esegue un'applicazione che agisce, ActingApp, in un sistema di origine, Src, tenta di eseguire l'autenticazione come TargetUser a un'applicazione di destinazione, TargetApp, in un sistema di destinazione, TargetDvc.
Dettagli dello schema
Nelle tabelle seguenti , Type fa riferimento a un tipo logico. Per altre informazioni, vedere Tipi logici.
Campi ASIM comuni
Importante
I campi comuni a tutti gli schemi sono descritti in dettaglio nell'articolo Campi comuni di ASIM .
Campi comuni con linee guida specifiche
Nell'elenco seguente vengono indicati i campi con linee guida specifiche per gli eventi di autenticazione:
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| EventType | Obbligatorio | Enumerato | Descrive l'operazione segnalata dal record. Per i record di autenticazione, i valori supportati includono: - Logon - Logoff- Elevate |
| EventResultDetails | Consigliata | Enumerato | Dettagli associati al risultato dell'evento. Questo campo viene in genere popolato quando il risultato è un errore. I valori consentiti sono: - No such user or password. Questo valore deve essere usato anche quando l'evento originale segnala che non esiste alcun utente di questo tipo, senza riferimento a una password.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. Questo valore deve essere usato quando l'evento originale segnala, ad esempio: MFA obbligatoria, accesso al di fuori dell'orario di lavoro, restrizioni di accesso condizionale o tentativi troppo frequenti.- Session expired- OtherIl valore può essere fornito nel record di origine usando termini diversi, che devono essere normalizzati in base a questi valori. Il valore originale deve essere archiviato nel campo EventOriginalResultDetails |
| EventSubType | Facoltativo | Enumerato | Tipo di accesso. I valori consentiti sono: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote - Usare quando il tipo di accesso remoto è sconosciuto.- AssumeRole - Usato in genere quando il tipo di evento è Elevate. Il valore può essere fornito nel record di origine usando termini diversi, che devono essere normalizzati in base a questi valori. Il valore originale deve essere archiviato nel campo EventOriginalSubType. |
| EventSchemaVersion | Obbligatorio | SchemaVersion (String) | Versione dello schema. La versione dello schema documentata qui è 0.1.4 |
| EventSchema | Obbligatorio | Enumerato | Il nome dello schema documentato qui è Authentication.The name of the schema documented here is Authentication. |
| Campi Dvc | - | - | Per gli eventi di autenticazione, i campi del dispositivo fanno riferimento al sistema che segnala l'evento. |
Tutti i campi comuni
I campi visualizzati nella tabella seguente sono comuni a tutti gli schemi ASIM. Qualsiasi linea guida specificata in precedenza sostituisce le linee guida generali per il campo. Ad esempio, un campo può essere facoltativo in generale, ma obbligatorio per uno schema specifico. Per altre informazioni su ogni campo, vedere l'articolo Campi comuni di ASIM .
| Classe | Campi |
|---|---|
| Obbligatorio |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Consigliata |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Facoltativo |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcO - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campi specifici dell'autenticazione
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| LogonMethod | Facoltativo | Stringa | Metodo utilizzato per eseguire l'autenticazione. I valori consentiti includono: Managed Identity, Service Principal, Username & Password, Multi factor authentication, PKIPasswordless, , PAMe Other. Esempi: Managed Identity |
| LogonProtocol | Facoltativo | Stringa | Protocollo usato per eseguire l'autenticazione. Esempio: NTLM |
Campi dell'attore
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| ActorUserId | Facoltativo | Stringa | Rappresentazione univoca, alfanumerica e leggibile dal computer dell'attore. Per altre informazioni e per i campi alternativi per gli ID aggiuntivi, vedere L'entità Utente. Esempio: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Facoltativo | Stringa | Ambito, ad esempio Microsoft Entra tenant, in cui sono definiti ActorUserId e ActorUsername. o altre informazioni e l'elenco dei valori consentiti, vedere UserScopenell'articolo Panoramica dello schema. |
| ActorScopeId | Facoltativo | Stringa | ID ambito, ad esempio Microsoft Entra ID directory, in cui sono definiti ActorUserId e ActorUsername. Per altre informazioni e l'elenco dei valori consentiti, vedere UserScopeIdnell'articolo Panoramica dello schema. |
| ActorUserIdType | Condizionale | UserIdType | Tipo dell'ID archiviato nel campo ActorUserId . Per altre informazioni e l'elenco dei valori consentiti, vedere UserIdTypenell'articolo Panoramica dello schema. |
| ActorUsername | Facoltativo | Nome utente (stringa) | Nome utente dell'attore, incluse le informazioni sul dominio quando disponibili. Per altre informazioni, vedere L'entità Utente. Esempio: AlbertE |
| ActorUsernameType | Condizionale | UsernameType | Specifica il tipo di nome utente archiviato nel campo ActorUsername . Per altre informazioni e l'elenco dei valori consentiti, vedere UsernameTypenell'articolo Panoramica dello schema. Esempio: Windows |
| ActorUserType | Facoltativo | Usertype | Tipo dell'oggetto Actor. Per altre informazioni ed elenco dei valori consentiti, vedere UserTypenell'articolo Panoramica dello schema. Ad esempio: Guest |
| ActorOriginalUserType | Facoltativo | Stringa | Tipo di utente segnalato dal dispositivo di report. |
| ActorSessionId | Facoltativo | Stringa | ID univoco della sessione di accesso dell'attore. Esempio: 102pTUgC3p8RIqHvzxLCHnFlg |
Campi applicazione in azione
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| ActingAppId | Facoltativo | Stringa | ID dell'applicazione che autorizza per conto dell'attore, inclusi un processo, un browser o un servizio. Ad esempio: 0x12ae8 |
| ActingAppName | Facoltativo | Stringa | Nome dell'applicazione che autorizza per conto dell'attore, inclusi un processo, un browser o un servizio. Ad esempio: C:\Windows\System32\svchost.exe |
| ActingAppType | Facoltativo | AppType | Tipo di applicazione che agisce. Per altre informazioni e l'elenco di valori consentiti, vedere AppTypenell'articolo Panoramica dello schema. |
| ActingOriginalAppType | Facoltativo | Stringa | Tipo dell'applicazione che agisce come segnalato dal dispositivo di report. |
| HttpUserAgent | Facoltativo | Stringa | Quando l'autenticazione viene eseguita tramite HTTP o HTTPS, il valore di questo campo è l'intestazione HTTP user_agent fornita dall'applicazione che esegue l'autenticazione. Ad esempio: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Campi utente di destinazione
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| TargetUserId | Facoltativo | Stringa | Rappresentazione univoca, alfanumerica e leggibile dal computer dell'utente di destinazione. Per altre informazioni e per i campi alternativi per gli ID aggiuntivi, vedere L'entità Utente. Esempio: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | Facoltativo | Stringa | Ambito, ad esempio Microsoft Entra tenant, in cui vengono definiti TargetUserId e TargetUsername. o altre informazioni e l'elenco dei valori consentiti, vedere UserScopenell'articolo Panoramica dello schema. |
| TargetUserScopeId | Facoltativo | Stringa | ID ambito, ad esempio Microsoft Entra ID directory, in cui vengono definiti TargetUserId e TargetUsername. Per altre informazioni e l'elenco dei valori consentiti, vedere UserScopeIdnell'articolo Panoramica dello schema. |
| TargetUserIdType | Condizionale | UserIdType | Tipo dell'ID utente archiviato nel campo TargetUserId . Per altre informazioni e l'elenco dei valori consentiti, vedere UserIdTypenell'articolo Panoramica dello schema. Esempio: SID |
| TargetUsername | Facoltativo | Nome utente (stringa) | Nome utente di destinazione, incluse le informazioni sul dominio quando disponibile. Per altre informazioni, vedere L'entità Utente. Esempio: MarieC |
| TargetUsernameType | Condizionale | UsernameType | Specifica il tipo di nome utente archiviato nel campo TargetUsername . Per altre informazioni e l'elenco dei valori consentiti, vedere UsernameTypenell'articolo Panoramica dello schema. |
| TargetUserType | Facoltativo | Usertype | Tipo dell'utente di destinazione. Per altre informazioni ed elenco dei valori consentiti, vedere UserTypenell'articolo Panoramica dello schema. Ad esempio: Member |
| TargetSessionId | Facoltativo | Stringa | Identificatore della sessione di accesso di TargetUser nel dispositivo di origine. |
| TargetOriginalUserType | Facoltativo | Stringa | Tipo di utente segnalato dal dispositivo di report. |
| Utente | Alias | Nome utente (stringa) | Alias per TargetUsername o TargetUserId se TargetUsername non è definito. Esempio: CONTOSO\dadmin |
Campi del sistema di origine
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Src | Consigliata | Stringa | Identificatore univoco del dispositivo di origine. Questo campo può aliasare i campi SrcDvcId, SrcHostname o SrcIpAddr . Esempio: 192.168.12.1 |
| SrcDvcId | Facoltativo | Stringa | ID del dispositivo di origine. Se sono disponibili più ID, usare quello più importante e archiviarne gli altri nei campi SrcDvc<DvcIdType>.Esempio: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Facoltativo | Stringa | ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. SrcDvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| SrcDvcScope | Facoltativo | Stringa | Ambito della piattaforma cloud a cui appartiene il dispositivo. SrcDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| SrcDvcIdType | Condizionale | DvcIdType | Tipo di SrcDvcId. Per un elenco dei valori consentiti e altre informazioni, vedere DvcIdTypenell'articolo Panoramica dello schema. Nota: questo campo è obbligatorio se si usa SrcDvcId . |
| SrcDeviceType | Facoltativo | Devicetype | Tipo del dispositivo di origine. Per un elenco dei valori consentiti e altre informazioni, vedere DeviceTypenell'articolo Panoramica dello schema. |
| SrcHostname | Facoltativo | Nome host | Nome host del dispositivo di origine, escluse le informazioni sul dominio. Se non è disponibile alcun nome del dispositivo, archiviare l'indirizzo IP pertinente in questo campo. Esempio: DESKTOP-1282V4D |
| SrcDomain | Facoltativo | Dominio (stringa) | Dominio del dispositivo di origine. Esempio: Contoso |
| SrcDomainType | Condizionale | Domaintype | Tipo di SrcDomain. Per un elenco dei valori consentiti e altre informazioni, vedere DomainTypenell'articolo Panoramica dello schema. Obbligatorio se si usa SrcDomain . |
| SrcFQDN | Facoltativo | FQDN (String) | Nome host del dispositivo di origine, incluse le informazioni sul dominio quando disponibile. Nota: questo campo supporta sia il formato FQDN tradizionale che il formato dominio\nome host di Windows. Il campo SrcDomainType riflette il formato utilizzato. Esempio: Contoso\DESKTOP-1282V4D |
| SrcDescription | Facoltativo | Stringa | Testo descrittivo associato al dispositivo. Ad esempio: Primary Domain Controller. |
| SrcIpAddr | Consigliata | Indirizzo IP | Indirizzo IP del dispositivo di origine. Esempio: 2.2.2.2 |
| SrcPortNumber | Facoltativo | Numero intero | Porta IP da cui ha origine la connessione. Esempio: 2335 |
| SrcDvcOs | Facoltativo | Stringa | Sistema operativo del dispositivo di origine. Esempio: Windows 10 |
| IpAddr | Alias | Alias per SrcIpAddr | |
| SrcIsp | Facoltativo | Stringa | Provider di servizi Internet (ISP) usato dal dispositivo di origine per connettersi a Internet. Esempio: corpconnect |
| SrcGeoCountry | Facoltativo | Paese | Esempio: Canada Per altre informazioni, vedere Tipi logici. |
| SrcGeoCity | Facoltativo | Città | Esempio: Montreal Per altre informazioni, vedere Tipi logici. |
| SrcGeoRegion | Facoltativo | Area geografica | Esempio: Quebec Per altre informazioni, vedere Tipi logici. |
| SrcGeoLongitude | Facoltativo | Longitudine | Esempio: -73.614830 Per altre informazioni, vedere Tipi logici. |
| SrcGeoLatitude | Facoltativo | Latitudine | Esempio: 45.505918 Per altre informazioni, vedere Tipi logici. |
| SrcRiskLevel | Facoltativo | Numero intero | Livello di rischio associato all'origine. Il valore deve essere regolato in base a un intervallo di 0 , 100con 0 per un valore non dannoso e 100 per un rischio elevato.Esempio: 90 |
| SrcOriginalRiskLevel | Facoltativo | Stringa | Livello di rischio associato all'origine, come indicato dal dispositivo di report. Esempio: Suspicious |
Campi dell'applicazione di destinazione
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| TargetAppId | Facoltativo | Stringa | ID dell'applicazione a cui è richiesta l'autorizzazione, spesso assegnata dal dispositivo di report. Esempio: 89162 |
| TargetAppName | Facoltativo | Stringa | Nome dell'applicazione a cui è richiesta l'autorizzazione, inclusi un servizio, un URL o un'applicazione SaaS. Esempio: Saleforce |
| Applicazione | Alias | Alias per TargetAppName. | |
| TargetAppType | Condizionale | AppType | Tipo dell'applicazione che autorizza per conto dell'attore. Per altre informazioni e l'elenco di valori consentiti, vedere AppTypenell'articolo Panoramica dello schema. |
| TargetOriginalAppType | Facoltativo | Stringa | Tipo dell'applicazione che autorizza per conto dell'attore come segnalato dal dispositivo di report. |
| TargetUrl | Facoltativo | URL | URL associato all'applicazione di destinazione. Esempio: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Alias | Alias per TargetAppName, TargetUrl o TargetHostname, a seconda del campo che meglio descrive la destinazione di autenticazione. |
Campi del sistema di destinazione
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Dst | Alias | Stringa | Identificatore univoco della destinazione di autenticazione. Questo campo può assegnare un alias ai campi TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId o TargetAppName . Esempio: 192.168.12.1 |
| TargetHostname | Consigliata | Nome host | Nome host del dispositivo di destinazione, escluse le informazioni sul dominio. Esempio: DESKTOP-1282V4D |
| TargetDomain | Consigliata | Dominio (stringa) | Dominio del dispositivo di destinazione. Esempio: Contoso |
| TargetDomainType | Condizionale | Enumerato | Tipo di TargetDomain. Per un elenco dei valori consentiti e altre informazioni, vedere DomainTypenell'articolo Panoramica dello schema. Obbligatorio se si usa TargetDomain . |
| TargetFQDN | Facoltativo | FQDN (String) | Nome host del dispositivo di destinazione, incluse le informazioni sul dominio quando disponibile. Esempio: Contoso\DESKTOP-1282V4D Nota: questo campo supporta sia il formato FQDN tradizionale che il formato dominio\nome host di Windows. TargetDomainType riflette il formato usato. |
| TargetDescription | Facoltativo | Stringa | Testo descrittivo associato al dispositivo. Ad esempio: Primary Domain Controller. |
| TargetDvcId | Facoltativo | Stringa | ID del dispositivo di destinazione. Se sono disponibili più ID, usare quello più importante e archiviarne gli altri nei campi TargetDvc<DvcIdType>. Esempio: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Facoltativo | Stringa | ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. TargetDvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| TargetDvcScope | Facoltativo | Stringa | Ambito della piattaforma cloud a cui appartiene il dispositivo. TargetDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| TargetDvcIdType | Condizionale | Enumerato | Tipo di TargetDvcId. Per un elenco dei valori consentiti e altre informazioni, vedere DvcIdTypenell'articolo Panoramica dello schema. Obbligatorio se si usa TargetDeviceId . |
| TargetDeviceType | Facoltativo | Enumerato | Tipo del dispositivo di destinazione. Per un elenco dei valori consentiti e altre informazioni, vedere DeviceTypenell'articolo Panoramica dello schema. |
| TargetIpAddr | Facoltativo | Indirizzo IP | Indirizzo IP del dispositivo di destinazione. Esempio: 2.2.2.2 |
| TargetDvcOs | Facoltativo | Stringa | Sistema operativo del dispositivo di destinazione. Esempio: Windows 10 |
| TargetPortNumber | Facoltativo | Numero intero | Porta del dispositivo di destinazione. |
| TargetGeoCountry | Facoltativo | Paese | Paese/area geografica associato all'indirizzo IP di destinazione. Esempio: USA |
| TargetGeoRegion | Facoltativo | Area geografica | Area associata all'indirizzo IP di destinazione. Esempio: Vermont |
| TargetGeoCity | Facoltativo | Città | Città associata all'indirizzo IP di destinazione. Esempio: Burlington |
| TargetGeoLatitude | Facoltativo | Latitudine | La latitudine della coordinata geografica associata all'indirizzo IP di destinazione. Esempio: 44.475833 |
| TargetGeoLongitude | Facoltativo | Longitudine | Longitudine della coordinata geografica associata all'indirizzo IP di destinazione. Esempio: 73.211944 |
| TargetRiskLevel | Facoltativo | Numero intero | Livello di rischio associato alla destinazione. Il valore deve essere regolato in base a un intervallo di 0 , 100con 0 per un valore non dannoso e 100 per un rischio elevato.Esempio: 90 |
| TargetOriginalRiskLevel | Facoltativo | Stringa | Livello di rischio associato alla destinazione, come indicato dal dispositivo di report. Esempio: Suspicious |
Campi di ispezione
I campi seguenti vengono usati per rappresentare l'ispezione eseguita da un sistema di sicurezza.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Rulename | Facoltativo | Stringa | Nome o ID della regola associato ai risultati dell'ispezione. |
| RuleNumber | Facoltativo | Numero intero | Numero della regola associata ai risultati dell'ispezione. |
| Regola | Alias | Stringa | Valore di RuleName o valore di RuleNumber. Se viene utilizzato il valore di RuleNumber , il tipo deve essere convertito in stringa. |
| ThreatId | Facoltativo | Stringa | ID della minaccia o del malware identificato nell'attività di controllo. |
| ThreatName | Facoltativo | Stringa | Nome della minaccia o del malware identificato nell'attività di controllo. |
| ThreatCategory | Facoltativo | Stringa | Categoria della minaccia o del malware identificato nell'attività del file di controllo. |
| ThreatRiskLevel | Facoltativo | RiskLevel (Integer) | Livello di rischio associato alla minaccia identificata. Il livello deve essere un numero compreso tra 0 e 100. Nota: il valore può essere fornito nel record di origine usando una scala diversa, che deve essere normalizzata in base a questa scala. Il valore originale deve essere archiviato in ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Facoltativo | Stringa | Livello di rischio segnalato dal dispositivo di segnalazione. |
| ThreatConfidence | Facoltativo | ConfidenceLevel (Integer) | Livello di attendibilità della minaccia identificata, normalizzata in un valore compreso tra 0 e 100. |
| ThreatOriginalConfidence | Facoltativo | Stringa | Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di segnalazione. |
| ThreatIsActive | Facoltativo | Booleano | True se la minaccia identificata è considerata una minaccia attiva. |
| ThreatFirstReportedTime | Facoltativo | datetime | La prima volta che l'indirizzo IP o il dominio è stato identificato come una minaccia. |
| ThreatLastReportedTime | Facoltativo | datetime | L'ultima volta che l'indirizzo IP o il dominio è stato identificato come una minaccia. |
| ThreatIpAddr | Facoltativo | Indirizzo IP | Indirizzo IP per cui è stata identificata una minaccia. Il campo ThreatField contiene il nome del campo rappresentato da ThreatIpAddr . |
| ThreatField | Condizionale | Enumerato | Campo per il quale è stata identificata una minaccia. Il valore è SrcIpAddr o TargetIpAddr. |
Aggiornamenti dello schema
Di seguito sono riportate le modifiche apportate alla versione 0.1.1 dello schema:
- Campi di entità utente e dispositivo aggiornati per l'allineamento con altri schemi.
- Rinominato
TargetDvceSrcDvcrispettivamente inTargeteSrcper allinearsi alle linee guida ASIM correnti. I campi rinominati verranno implementati come alias fino al 1° luglio 2022. Tali campi includono:SrcDvcHostname,SrcDvcHostnameType,SrcDvcType,SrcDvcIpAddr,TargetDvcHostname,TargetDvcHostnameType,TargetDvcType,TargetDvcIpAddreTargetDvc. - Sono stati aggiunti gli
Srcalias eDst. - Sono stati aggiunti i campi
SrcDvcIdType,SrcDeviceType,TargetDvcIdTypeeTargetDeviceTypeeEventSchema.
Di seguito sono riportate le modifiche apportate alla versione 0.1.2 dello schema:
- Sono stati aggiunti i campi
ActorScope,TargetUserScope,SrcDvcScopeId,SrcDvcScope,TargetDvcScopeIdTargetDvcScope,DvcScopeIdeDvcScope.
Di seguito sono riportate le modifiche apportate alla versione 0.1.3 dello schema:
- Sono stati aggiunti i campi
SrcPortNumber, ,ActorOriginalUserTypeActorScopeId,TargetOriginalUserType,SrcDescriptionTargetUserScopeId,SrcRiskLevel,SrcOriginalRiskLevel, eTargetDescription. - Campi di ispezione aggiunti
- Sono stati aggiunti campi di posizione geografica del sistema di destinazione.
Di seguito sono riportate le modifiche apportate alla versione 0.1.4 dello schema:
- Sono stati aggiunti i campi
ActingOriginalAppTypeeTargetOriginalAppType. - Aggiunta dell'alias
Application.
Passaggi successivi
Per ulteriori informazioni, vedere: