ASIM(고급 보안 정보 모델) 인증 정규화 스키마 참조(공개 미리 보기)
Microsoft Sentinel 인증 스키마는 사용자 인증, 로그인 및 로그아웃과 관련된 이벤트를 설명하는 데 사용됩니다. 인증 이벤트는 일반적으로 다른 이벤트와 함께 이벤트 스트림의 일부로 많은 보고 디바이스에서 전송됩니다. 예를 들어 Windows는 다른 OS 활동 이벤트와 함께 여러 인증 이벤트를 보냅니다.
인증 이벤트에는 VPN 게이트웨이 또는 도메인 컨트롤러와 같은 인증에 중점을 둔 시스템의 이벤트와 컴퓨터 또는 방화벽과 같은 최종 시스템에 대한 직접 인증이 모두 포함됩니다.
Microsoft Sentinel의 정규화에 대한 자세한 내용은 정규화 및 ASIM(고급 보안 정보 모델)을 참조하세요.
Important
인증 정규화 스키마는 현재 미리 보기로 제공됩니다. 이 기능은 서비스 수준 계약 없이 제공되며 프로덕션 워크로드에는 권장되지 않습니다.
Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.
파서
Microsoft Sentinel GitHub 리포지토리에서 ASIM 인증 파서를 배포합니다. ASIM 파서에 대한 자세한 내용은 ASIM 파서 개요 문서를 참조하세요.
파서 통합
모든 ASIM 기본 제공 파서를 통합하는 파서를 사용하고 구성된 모든 원본에서 분석이 실행되도록 하려면 imAuthentication 필터링 파서 또는 ASimAuthentication 매개 변수가 없는 파서를 사용합니다.
원본 관련 파서
Microsoft Sentinel에서 제공하는 인증 파서 목록은 ASIM 파서 목록을 참조하세요.
사용자 고유의 정규화된 파서 추가
인증 정보 모델에 대한 사용자 지정 파서를 구현할 때 다음 구문을 사용하여 KQL 함수의 이름을 지정합니다.
vimAuthentication<vendor><Product>- 필터링 파서의 경우ASimAuthentication<vendor><Product>- 매개 변수가 없는 파서의 경우
통합 파서에 사용자 지정 파서를 추가하는 방법에 대한 자세한 내용은 ASIM 파서 관리를 참조하세요.
파서 매개 변수 필터링
im 및 vim* 파서는 필터링 매개 변수를 지원합니다. 이러한 파서는 선택 사항이지만 쿼리 성능을 개선시킬 수 있습니다.
다음 필터링 매개 변수를 사용할 수 있습니다.
| 속성 | 형식 | 설명 |
|---|---|---|
| starttime | 날짜/시간 | 이 시간 또는 그 이후에 실행된 인증 이벤트만 필터링합니다. |
| endtime | 날짜/시간 | 이 시간 또는 그 이전에 실행이 완료된 인증 이벤트만 필터링합니다. |
| targetusername_has | string | 나열된 사용자 이름이 있는 인증 이벤트만 필터링합니다. |
예를 들어 마지막 날부터 특정 사용자에 대한 인증 이벤트만 필터링하려면 다음을 사용합니다.
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
팁
동적 값이 필요한 매개 변수에 리터럴 목록을 전달하려면 동적 리터럴을 명시적으로 사용합니다. 예: dynamic(['192.168.','10.'])
정규화된 콘텐츠
정규화된 인증 분석 규칙은 원본에서 공격을 감지할 때 고유합니다. 예를 들어 사용자가 다른 국가/지역에서 서로 다른 관련 없는 시스템에 로그인한 경우 Microsoft Sentinel은 이제 이 위협을 감지합니다.
정규화된 인증 이벤트를 사용하는 분석 규칙의 전체 목록은 인증 스키마 보안 콘텐츠를 참조하세요.
스키마 개요
인증 정보 모델은 OSSEM 로그온 엔터티 스키마와 정렬됩니다.
아래 표에 나열된 필드는 인증 이벤트와 관련이 있지만 다른 스키마의 필드와 유사하며 유사한 명명 규칙을 따릅니다.
인증 이벤트는 다음 엔터티를 참조합니다.
- TargetUser - 시스템 인증에 사용되는 사용자 정보입니다. TargetSystem은 인증 이벤트의 기본 주체이고 별칭 사용자는 식별된 TargetUser로 지정됩니다.
- TargetApp - 애플리케이션이 인증되었습니다.
- 대상 - TargetApp*이 실행 중인 시스템입니다.
- Actor - TargetUser와 다른 경우 인증을 시작하는 사용자입니다.
- ActingApp - Actor가 인증을 수행하는 데 사용하는 애플리케이션입니다.
- Src - Actor가 인증을 시작하는 데 사용하는 시스템입니다.
이러한 엔터티 간의 관계는 다음과 같이 가장 잘 설명됩니다.
원본 시스템 Src에서 작동하는 애플리케이션 ActingApp을 실행하는 Actor는 대상 시스템 TargetDvc에서 대상 애플리케이션 TargetApp에 대해 TargetUser로 인증을 시도합니다.
스키마 세부 정보
다음 표에서 형식은 논리적 형식을 나타냅니다. 자세한 내용은 논리적 형식을 참조하세요.
일반적인 ASIM 필드
Important
모든 스키마에 공통적인 필드는 ASIM 공통 필드 문서에 자세히 설명되어 있습니다.
특정 지침이 있는 공통 필드
다음 목록에는 인증 이벤트에 대한 특정 지침이 있는 필드가 나와 있습니다.
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| EventType | 필수 | Enumerated | 레코드에서 보고하는 작업을 설명합니다. 인증 레코드의 경우 지원되는 값은 다음과 같습니다. - Logon - Logoff- Elevate |
| EventResultDetails | 권장 | 문자열 | 이벤트 결과와 관련된 세부 정보입니다. 이 필드는 일반적으로 결과가 실패할 때 채워집니다. 허용되는 값은 다음과 같습니다. - No such user or password. 이 값은 원래 이벤트에서 암호에 대한 참조 없이 이러한 사용자가 없다고 보고하는 경우에도 사용해야 합니다.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. 이 값은 원래 이벤트 보고서(예: MFA 필요, 근무 시간 외 로그온, 조건부 액세스 제한 또는 너무 빈번한 시도)를 보고할 때 사용해야 합니다.- Session expired- Other이 값은 이러한 값으로 정규화되어야 하는 다른 용어를 사용하여 원본 레코드에 제공될 수 있습니다. 원래 값은 EventOriginalResultDetails 필드에 저장해야 합니다. |
| EventSubType | 선택 사항 | 문자열 | 로그인 형식입니다. 허용되는 값은 다음과 같습니다. - System- Interactive- RemoteInteractive- Service- RemoteService- Remote - 원격 로그인 유형을 알 수 없는 경우에 사용합니다.- AssumeRole - 일반적으로 이벤트 유형 Elevate이 .일 때 사용됩니다. 이 값은 이러한 값으로 정규화되어야 하는 다른 용어를 사용하여 원본 레코드에 제공될 수 있습니다. 원래 값은 EventOriginalSubType 필드에 저장되어야 합니다. |
| EventSchemaVersion | 필수 | 문자열 | 스키마의 버전입니다. 여기에 설명된 스키마의 버전은 0.1.3입니다 |
| EventSchema | 필수 | 문자열 | 여기에 설명된 스키마의 이름은 Authentication입니다. |
| Dvc 필드 | - | - | 인증 이벤트의 경우 디바이스 필드는 이벤트를 보고하는 시스템을 참조하세요. |
모든 공통 필드
아래 표에 나열된 필드는 모든 ASIM 스키마에 공통적으로 적용됩니다. 위에 지정된 모든 지침은 필드에 대한 일반 지침을 재정의합니다. 예를 들어 필드가 일반적으로 선택 사항이지만 특정 스키마에서는 필수 사항일 수 있습니다. 각 필드에 대한 자세한 내용은 ASIM 공통 필드 문서를 참조하세요.
인증 관련 필드
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| LogonMethod | 선택 사항 | 문자열 | 인증을 수행하는 데 사용되는 방법입니다. 예제: Username & Password, PKI |
| LogonProtocol | 선택 사항 | 문자열 | 인증을 수행하는 데 사용되는 프로토콜입니다. 예: NTLM |
작업자 필드
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| ActorUserId | 선택 사항 | 문자열 | 컴퓨터에서 읽을 수 있는 영숫자, 행위자의 고유한 표현입니다. 자세한 내용 및 추가 ID에 대한 대체 필드는 사용자 항목을 참조하세요. 예: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | 선택 사항 | 문자열 | ActorUserId 및 ActorUsername이 정의된 Microsoft Entra 테넌트와 같은 범위입니다. 또는 허용되는 값에 대한 자세한 내용과 목록은 스키마 개요 문서의 UserScope를 참조하세요. |
| ActorScopeId | 선택 사항 | 문자열 | ActorUserId 및 ActorUsername이 정의된 Microsoft Entra 디렉터리 ID와 같은 범위 ID입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서의 UserScopeId를 참조하세요. |
| ActorUserIdType | 조건부 | UserIdType | ActorUserId 필드에 저장된 ID의 형식입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서에서 UserIdType을 참조하세요. |
| ActorUsername | 선택 사항 | 사용자 이름 | 사용 가능한 경우 도메인 정보를 포함하여 행위자의 사용자 이름입니다. 자세한 내용은 사용자 엔터티를 참조하세요. 예: AlbertE |
| ActorUsernameType | 조건부 | UsernameType | ActorUsername 필드에 저장된 사용자 이름의 형식을 지정합니다. 자세한 내용과 허용되는 값 목록은 스키마 개요 문서에서 UsernameType을 참조하세요. 예: Windows |
| ActorUserType | 선택 사항 | UserType | 행위자의 형식입니다. 자세한 내용과 허용되는 값 목록은 스키마 개요 문서에서 UserType을 참조하세요. 예: Guest |
| ActorOriginalUserType | 선택 사항 | UserType | 보고 디바이스에서 보고한 사용자 유형입니다. |
| ActorSessionId | 선택 사항 | 문자열 | 행위자 로그인 세션의 고유 ID입니다. 예: 102pTUgC3p8RIqHvzxLCHnFlg |
작업 애플리케이션 필드
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| ActingAppId | 선택 사항 | 문자열 | 프로세스, 브라우저 또는 서비스를 포함하여 작업자를 대신하여 권한을 부여하는 애플리케이션의 ID입니다. 예: 0x12ae8 |
| ActingAppName | 선택 사항 | 문자열 | 프로세스, 브라우저 또는 서비스를 포함하여 작업자를 대신하여 권한을 부여하는 애플리케이션의 이름입니다. 예: C:\Windows\System32\svchost.exe |
| ActingAppType | 선택 사항 | AppType | 작업 애플리케이션의 형식입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서에서 AppType을 참조하세요. |
| HttpUserAgent | 선택 사항 | 문자열 | HTTP 또는 HTTPS를 통해 인증을 수행하는 경우 이 필드의 값은 인증을 수행할 때 동작 애플리케이션에서 제공하는 user_agent HTTP 헤더입니다. 예: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
대상 사용자 필드
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| TargetUserId | 선택 사항 | 사용자 ID | 컴퓨터에서 읽을 수 있는 영숫자의 대상 사용자에 대한 고유한 표현입니다. 자세한 내용 및 추가 ID에 대한 대체 필드는 사용자 항목을 참조하세요. 예: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | 선택 사항 | 문자열 | TargetUserId 및 TargetUsername이 정의된 Microsoft Entra 테넌트와 같은 범위입니다. 또는 허용되는 값에 대한 자세한 내용과 목록은 스키마 개요 문서의 UserScope를 참조하세요. |
| TargetUserScopeId | 선택 사항 | 문자열 | TargetUserId 및 TargetUsername이 정의된 Microsoft Entra Directory ID와 같은 범위 ID입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서의 UserScopeId를 참조하세요. |
| TargetUserIdType | 조건부 | UserIdType | TargetUserId 필드에 저장된 사용자 ID의 형식입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서에서 UserIdType을 참조하세요. 예: SID |
| TargetUsername | 선택 사항 | 사용자 이름 | 사용 가능한 경우 도메인 정보를 포함한 대상 사용자 이름입니다. 자세한 내용은 사용자 엔터티를 참조하세요. 예: MarieC |
| TargetUsernameType | 조건부 | UsernameType | TargetUsername 필드에 저장된 사용자 이름의 형식을 지정합니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서에서 UsernameType을 참조하세요. |
| TargetUserType | 선택 사항 | UserType | 대상 사용자의 형식입니다. 자세한 내용과 허용되는 값 목록은 스키마 개요 문서에서 UserType을 참조하세요. 예: Member |
| TargetSessionId | 선택 사항 | 문자열 | 원본 디바이스에 있는 TargetUser의 로그인 세션 식별자입니다. |
| TargetOriginalUserType | 선택 사항 | UserType | 보고 디바이스에서 보고한 사용자 유형입니다. |
| 사용자 | Alias | 사용자 이름 | TargetUsername에 대한 별칭 또는 TargetUsername이 정의되지 않은 경우 TargetUserId에 대한 별칭입니다. 예: CONTOSO\dadmin |
원본 시스템 필드
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| Src | 권장 | 문자열 | 원본 디바이스의 고유 식별자입니다. 이 필드는 SrcDvcId, SrcHostname 또는 SrcIpAddr 필드의 별칭을 지정할 수 있습니다. 예: 192.168.12.1 |
| SrcDvcId | 선택 사항 | 문자열 | 원본 디바이스의 ID입니다. 여러 ID를 사용할 수 있는 경우 가장 중요한 ID를 사용하고 나머지는 SrcDvc<DvcIdType> 필드에 저장합니다.예: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 선택 사항 | 문자열 | 디바이스가 속한 클라우드 플랫폼 범위 ID입니다. SrcDvcScopeId 는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| SrcDvcScope | 선택 사항 | 문자열 | 디바이스가 속한 클라우드 플랫폼 범위입니다. SrcDvcScope는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| SrcDvcIdType | 조건부 | DvcIdType | SrcDvcId 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서에서 DvcIdType을 참조하세요. 참고: 이 필드는 SrcDvcId가 사용되는 경우 필수입니다. |
| SrcDeviceType | 선택 사항 | DeviceType | 원본 디바이스의 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서에서 DeviceType을 참조하세요. |
| SrcHostname | 권장 | Hostname | 도메인 정보를 제외한 원본 디바이스 호스트 이름입니다. 사용 가능한 디바이스 이름이 없으면 이 필드에 관련 IP 주소를 저장합니다. 예: DESKTOP-1282V4D |
| SrcDomain | 권장 | 문자열 | 원본 디바이스의 도메인입니다. 예: Contoso |
| SrcDomainType | 조건부 | DomainType | SrcDomain 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서의 DomainType을 참조하세요. SrcDomain을 사용하는 경우 필수입니다. |
| SrcFQDN | 선택 사항 | 문자열 | 사용 가능한 경우 도메인 정보를 포함하는 원본 디바이스 호스트 이름입니다. 참고: 이 필드는 기존 FQDN 형식과 Windows 도메인\호스트 이름 형식을 모두 지원합니다. SrcDomainType 필드는 사용된 형식을 반영합니다. 예: Contoso\DESKTOP-1282V4D |
| SrcDescription | 선택 사항 | 문자열 | 디바이스와 관련된 설명 텍스트입니다. 예: Primary Domain Controller |
| SrcIpAddr | 선택 사항 | IP 주소 | 원본 디바이스의 IP 주소입니다. 예: 2.2.2.2 |
| SrcPortNumber | 선택 사항 | 정수 | 연결이 시작된 IP 포트입니다. 예: 2335 |
| SrcDvcOs | 선택 사항 | 문자열 | 원본 디바이스의 OS입니다. 예: Windows 10 |
| IpAddr | Alias | SrcIpAddr에 대한 별칭 | |
| SrcIsp | 선택 사항 | 문자열 | 원본 디바이스에서 인터넷에 연결하는 데 사용하는 ISP(인터넷 서비스 공급자)입니다. 예: corpconnect |
| SrcGeoCountry | 선택 사항 | 국가 | 예: Canada 자세한 내용은 논리적 형식을 참조하세요. |
| SrcGeoCity | 선택 사항 | City | 예: Montreal 자세한 내용은 논리적 형식을 참조하세요. |
| SrcGeoRegion | 선택 사항 | 지역 | 예: Quebec 자세한 내용은 논리적 형식을 참조하세요. |
| SrcGeoLongtitude | 선택 사항 | 경도 | 예: -73.614830 자세한 내용은 논리적 형식을 참조하세요. |
| SrcGeoLatitude | 선택 사항 | 위도 | 예: 45.505918 자세한 내용은 논리적 형식을 참조하세요. |
| SrcRiskLevel | 선택 사항 | 정수 | 원본과 관련된 위험 수준입니다. 값은 0 ~ 100 범위로 조정해야 하며, 0은 무해함이고 100은 고위험입니다.예: 90 |
| SrcOriginalRiskLevel | 선택 사항 | 정수 | 보고 디바이스에서 보고한 원본과 연결된 위험 수준입니다. 예: Suspicious |
대상 애플리케이션 필드
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| TargetAppId | 선택 사항 | 문자열 | 권한 부여가 필요한 애플리케이션의 ID이며, 디바이스에서 할당하는 경우가 많습니다. 예: 89162 |
| TargetAppName | 선택 사항 | 문자열 | 서비스, URL 또는 SaaS 애플리케이션을 포함하여 권한 부여가 필요한 애플리케이션의 이름입니다. 예: Saleforce |
| TargetAppType | 선택 사항 | AppType | 작업자를 대신하여 권한을 부여하는 애플리케이션의 형식입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서에서 AppType을 참조하세요. |
| TargetUrl | 선택 사항 | URL | 대상 애플리케이션과 연결된 URL입니다. 예: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Alias | TargetAppName, TargetUrl 또는 TargetHostname의 별칭 중 인증 대상을 가장 잘 설명하는 필드입니다. |
대상 시스템 필드
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| Dst | Alias | 문자열 | 인증 대상의 고유 식별자입니다. 이 필드는 TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId 또는 TargetAppName 필드의 별칭을 지정할 수 있습니다. 예: 192.168.12.1 |
| TargetHostname | 권장 | Hostname | 도메인 정보를 제외한 대상 디바이스 호스트 이름입니다. 예: DESKTOP-1282V4D |
| TargetDomain | 권장 | 문자열 | 대상 디바이스의 도메인입니다. 예: Contoso |
| TargetDomainType | 조건부 | Enumerated | TargetDomain 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서의 DomainType을 참조하세요. TargetDomain이 사용되는 경우 필수입니다. |
| TargetFQDN | 선택 사항 | 문자열 | 사용 가능한 경우 도메인 정보를 포함하여 대상 디바이스 호스트 이름입니다. 예: Contoso\DESKTOP-1282V4D 참고: 이 필드는 기존 FQDN 형식과 Windows 도메인\호스트 이름 형식을 모두 지원합니다. TargetDomainType은 사용된 형식을 반영합니다. |
| TargetDescription | 선택 사항 | 문자열 | 디바이스와 관련된 설명 텍스트입니다. 예: Primary Domain Controller |
| TargetDvcId | 선택 사항 | 문자열 | 대상 디바이스의 ID입니다. 여러 ID를 사용할 수 있는 경우 가장 중요한 ID를 사용하고 나머지는 TargetDvc<DvcIdType> 필드에 저장합니다. 예: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | 선택 사항 | 문자열 | 디바이스가 속한 클라우드 플랫폼 범위 ID입니다. TargetDvcScopeId 는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| TargerDvcScope | 선택 사항 | 문자열 | 디바이스가 속한 클라우드 플랫폼 범위입니다. TargetDvcScope는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| TargetDvcIdType | 조건부 | Enumerated | TargetDvcId 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서에서 DvcIdType을 참조하세요. TargetDeviceId가 사용되는 경우 필수입니다. |
| TargetDeviceType | 선택 사항 | Enumerated | 대상 디바이스의 유형입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서에서 DeviceType을 참조하세요. |
| TargetIpAddr | 선택 사항 | IP 주소 | 대상 디바이스의 IP 주소입니다. 예: 2.2.2.2 |
| TargetDvcOs | 선택 사항 | 문자열 | 대상 디바이스의 OS입니다. 예: Windows 10 |
| TargetPortNumber | 선택 사항 | 정수 | 대상 디바이스의 포트입니다. |
| TargetGeoCountry | 선택 사항 | 국가 | 대상 IP 주소와 연결된 국가입니다. 예: USA |
| TargetGeoRegion | 선택 사항 | 지역 | 대상 IP 주소와 연결된 지역입니다. 예: Vermont |
| TargetGeoCity | 선택 사항 | City | 대상 IP 주소와 연결된 도시입니다. 예: Burlington |
| TargetGeoLatitude | 선택 사항 | 위도 | 대상 IP 주소와 연결된 지리적 좌표의 위도입니다. 예: 44.475833 |
| TargetGeoLongitude | 선택 사항 | 경도 | 대상 IP 주소와 연결된 지리적 좌표의 경도입니다. 예: 73.211944 |
| TargetRiskLevel | 선택 사항 | 정수 | 대상과 연결된 위험 수준입니다. 값은 0 ~ 100 범위로 조정해야 하며, 0은 무해함이고 100은 고위험입니다.예: 90 |
| TargetOriginalRiskLevel | 선택 사항 | 정수 | 보고 디바이스에서 보고한 대상과 연결된 위험 수준입니다. 예: Suspicious |
검사 필드
다음 필드는 보안 시스템에서 수행하는 검사를 나타내는 데 사용됩니다.
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| RuleName | 선택 사항 | 문자열 | 검사 결과와 연결된 규칙의 이름 또는 ID입니다. |
| RuleNumber | 선택 사항 | 정수 | 검사 결과와 연결된 규칙의 수입니다. |
| 규칙 | Alias | 문자열 | RuleName 값 또는 RuleNumber 값입니다. RuleNumber 값을 사용하는 경우 형식을 문자열로 변환해야 합니다. |
| ThreatId | 선택 사항 | 문자열 | 감사 활동에서 식별된 위협 또는 맬웨어의 ID입니다. |
| ThreatName | 선택 사항 | 문자열 | 감사 활동에서 식별된 위협 또는 맬웨어의 이름입니다. |
| ThreatCategory | 선택 사항 | 문자열 | 감사 파일 활동에서 식별된 위협 또는 맬웨어의 범주입니다. |
| ThreatRiskLevel | 선택 사항 | 정수 | 식별된 위협과 관련된 위험 수준입니다. 수준은 0에서 100 사이의 숫자여야 합니다. 참고: 이 척도로 정규화되어야 하는 다른 척도를 사용하여 값을 원본 레코드에 제공할 수 있습니다. 원래 값은 ThreatRiskLevelOriginal에 저장해야 합니다. |
| ThreatOriginalRiskLevel | 선택 사항 | 문자열 | 보고 디바이스에서 보고한 위험 수준입니다. |
| ThreatConfidence | 선택 사항 | 정수 | 식별된 위협의 신뢰 수준이며, 0~100의 값으로 정규화됩니다. |
| ThreatOriginalConfidence | 선택 사항 | 문자열 | 보고 디바이스에서 보고하는 식별된 위협의 원래 신뢰 수준입니다. |
| ThreatIsActive | 선택 사항 | Boolean | True이면 식별된 위협이 활성 위협으로 간주됩니다. |
| ThreatFirstReportedTime | 선택 사항 | 날짜/시간 | IP 주소 또는 도메인이 처음으로 위협으로 식별된 시간입니다. |
| ThreatLastReportedTime | 선택 사항 | 날짜/시간 | IP 주소 또는 도메인이 마지막으로 위협으로 식별된 시간입니다. |
| ThreatIpAddr | 선택 사항 | IP 주소 | 위협이 식별된 IP 주소입니다. ThreatField 필드에는 ThreatIpAddr에서 나타내는 필드의 이름이 포함됩니다. |
| ThreatField | 선택 사항 | Enumerated | 위협이 식별된 필드입니다. 값은 SrcIpAddr 또는 TargetIpAddr입니다. |
스키마 업데이트
다음은 스키마 버전 0.1.1의 변경 내용입니다.
- 다른 스키마에 맞게 사용자 및 디바이스 엔터티 필드가 업데이트되었습니다.
- 현재 ASIM 가이드라인에 맞게
TargetDvc및SrcDvc의 이름을 각각Target및Src로 변경했습니다. 이름이 변경된 필드는 2022년 7월 1일까지 별칭으로 구현됩니다. 이러한 필드에는SrcDvcHostname,SrcDvcHostnameType,SrcDvcType,SrcDvcIpAddr,TargetDvcHostname,TargetDvcHostnameType,TargetDvcType,TargetDvcIpAddr및TargetDvc가 포함됩니다. - 별칭
Src및Dst를 추가했습니다. - 필드
SrcDvcIdType,SrcDeviceType,TargetDvcIdType및TargetDeviceTypeEventSchema.
다음은 스키마 버전 0.1.2의 변경 내용입니다.
- 필드
ActorScope, ,TargetUserScope,SrcDvcScopeId,SrcDvcScopeTargetDvcScopeId,TargetDvcScopeDvcScopeId및DvcScope.를 추가했습니다.
다음은 스키마 버전 0.1.3의 변경 내용입니다.
- 필드
SrcPortNumber, ,ActorOriginalUserType,ActorScopeId,TargetUserScopeIdTargetOriginalUserType,SrcDescription,SrcRiskLevelSrcOriginalRiskLevel및TargetDescription.를 추가했습니다. - 검사 필드 추가됨
- 대상 시스템 지리적 위치 필드가 추가되었습니다.
다음 단계
자세한 내용은 다음을 참조하세요.