Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het Microsoft Sentinel waarschuwingsschema is ontworpen om beveiligingsgerelateerde waarschuwingen van verschillende producten te normaliseren in een gestandaardiseerde indeling binnen Microsoft Advanced Security Information Model (ASIM). Dit schema is uitsluitend gericht op beveiligingsevenementen en zorgt voor een consistente en efficiënte analyse van verschillende gegevensbronnen.
Het waarschuwingsschema vertegenwoordigt verschillende soorten beveiligingswaarschuwingen, zoals bedreigingen, verdachte activiteiten, afwijkingen van gebruikersgedrag en schendingen van naleving. Deze waarschuwingen worden gerapporteerd door verschillende beveiligingsproducten en -systemen, waaronder maar niet beperkt tot EDR's, antivirussoftware, inbraakdetectiesystemen, hulpprogramma's voor het voorkomen van gegevensverlies, enzovoort.
Zie Normalisatie en het Advanced Security Information Model (ASIM) voor meer informatie over normalisatie in Microsoft Sentinel.
Parsers
Zie het overzicht van ASIM-parsers voor meer informatie over ASIM-parsers.
Parseerfuncties samenvoegen
Als u parsers wilt gebruiken waarmee alle out-of-the-box ASIM-parsers worden samengevoegd en ervoor wilt zorgen dat uw analyse wordt uitgevoerd in alle geconfigureerde bronnen, gebruikt u de _Im_AlertEvent parser.
Out-of-the-box, bronspecifieke parsers
Raadpleeg de lijst met ASIM-parsers voor de lijst met waarschuwingsparsesers Microsoft Sentinel out-of-the-box biedt.
Uw eigen genormaliseerde parsers toevoegen
Wanneer u aangepaste parsers ontwikkelt voor het waarschuwingsgegevensmodel, geeft u de KQL-functies een naam met behulp van de volgende syntaxis:
-
vimAlertEvent<vendor><Product>voor geparameteriseerde parsers -
ASimAlertEvent<vendor><Product>voor normale parsers
Raadpleeg het artikel ASIM-parsers beheren voor meer informatie over het toevoegen van uw aangepaste parsers aan de waarschuwings-unifying parsers.
Parameters filteren op parser
De waarschuwingsparser ondersteunt verschillende filterparameters om de queryprestaties te verbeteren. Deze parameters zijn optioneel, maar kunnen uw queryprestaties verbeteren. De volgende filterparameters zijn beschikbaar:
| Naam | Type | Beschrijving |
|---|---|---|
| Starttime | Datetime | Filter alleen waarschuwingen die op of na deze tijd zijn gestart. Deze parameter filtert op het TimeGenerated veld, dat de standaardindeling is voor de tijd van de gebeurtenis, ongeacht de parserspecifieke toewijzing van de velden EventStartTime en EventEndTime. |
| Eindtijd | Datetime | Filter alleen waarschuwingen die zijn gestart op of vóór deze tijd. Deze parameter filtert op het TimeGenerated veld, dat de standaardindeling is voor de tijd van de gebeurtenis, ongeacht de parserspecifieke toewijzing van de velden EventStartTime en EventEndTime. |
| ipaddr_has_any_prefix | Dynamische | Filter alleen waarschuwingen waarvoor het veld 'DvcIpAddr' zich in een van de vermelde waarden bevindt. |
| hostname_has_any | Dynamische | Filter alleen waarschuwingen waarvoor het veld 'DvcHostname' zich in een van de vermelde waarden bevindt. |
| username_has_any | Dynamische | Filter alleen waarschuwingen waarvoor het veld 'Gebruikersnaam' zich in een van de vermelde waarden bevindt. |
| attacktactics_has_any | Dynamische | Filter alleen waarschuwingen waarvoor het veld 'AttackTactics' zich in een van de vermelde waarden bevindt. |
| attacktechniques_has_any | Dynamische | Filter alleen waarschuwingen waarvoor het veld AttackTechniques zich in een van de vermelde waarden bevindt. |
| threatcategory_has_any | Dynamische | Filter alleen waarschuwingen waarvoor het veld ThreatCategory zich in een van de vermelde waarden bevindt. |
| alertverdict_has_any | Dynamische | Filter alleen waarschuwingen waarvoor het veld AlertVerdict zich in een van de vermelde waarden bevindt. |
| eventseverity_has_any | Dynamische | Filter alleen waarschuwingen waarvoor het veld EventSeverity zich in een van de vermelde waarden bevindt. |
Schemaoverzicht
Het waarschuwingsschema dient voor verschillende typen beveiligingsevenementen, die dezelfde velden delen. Deze gebeurtenissen worden geïdentificeerd door het veld EventType:
- Bedreigingsinformatie: waarschuwingen met betrekking tot verschillende soorten schadelijke activiteiten, zoals malware, phishing, ransomware en andere cyberbedreigingen.
- Verdachte activiteiten: waarschuwingen voor activiteiten die niet noodzakelijkerwijs zijn bevestigd, maar verdacht zijn en verder onderzoek rechtvaardigen, zoals meerdere mislukte aanmeldingspogingen of toegang tot beperkte bestanden.
- Afwijkingen in gebruikersgedrag: waarschuwingen die ongebruikelijk of onverwacht gebruikersgedrag aangeven die een beveiligingsprobleem kunnen suggereren, zoals abnormale aanmeldingstijden of ongebruikelijke patronen voor gegevenstoegang.
- Nalevingsschendingen: waarschuwingen met betrekking tot niet-naleving van regelgeving of intern beleid. Bijvoorbeeld een VM die wordt weergegeven met open openbare poorten die kwetsbaar zijn voor aanvallen (Cloud Security Alert).
Belangrijk
Om de relevantie en effectiviteit van het waarschuwingsschema te behouden, moeten alleen beveiligingswaarschuwingen worden toegewezen.
Waarschuwingsschema verwijst naar de volgende entiteiten om details over de waarschuwing vast te leggen:
-
Dvc-velden worden gebruikt om details vast te leggen over de host of het IP-adres dat is gekoppeld aan de waarschuwing
-
Gebruikersvelden worden gebruikt om details vast te leggen over de gebruiker die is gekoppeld aan de waarschuwing.
- Op dezelfde manier worden de velden Proces, Bestand, URL, Register en Email gebruikt om alleen belangrijke details vast te leggen over het proces, bestand, URL, register en e-mailadres dat respectievelijk aan de waarschuwing is gekoppeld.
Belangrijk
- Gebruik bij het bouwen van een productspecifieke parser het schema ASIM-waarschuwing wanneer de waarschuwing informatie bevat over een beveiligingsincident of mogelijke bedreiging en de primaire details rechtstreeks kunnen worden toegewezen aan beschikbare waarschuwingsschemavelden. Het waarschuwingsschema is ideaal voor het vastleggen van overzichtsinformatie zonder uitgebreide entiteitsspecifieke velden.
- Als u echter merkt dat u essentiële velden in 'AdditionalFields' plaatst vanwege een gebrek aan directe veldovereenkomsten, kunt u een meer gespecialiseerd schema overwegen. Als een waarschuwing bijvoorbeeld netwerkgerelateerde gegevens bevat, zoals meerdere IP-adressen, bijvoorbeeld SrcIpAdr, DstIpAddr, PortNumber, enzovoort, kunt u kiezen voor het NetworkSession-schema via het waarschuwingsschema. Gespecialiseerde schema's bieden ook speciale velden voor het vastleggen van bedreigingsgerelateerde informatie, het verbeteren van de gegevenskwaliteit en het faciliteren van een efficiënte analyse.
Schemadetails
Algemene ASIM-velden
In de volgende lijst worden velden vermeld met specifieke richtlijnen voor waarschuwingsevenementen:
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| EventType | Verplicht | Opgesomde | Type van de gebeurtenis. Ondersteunde waarden zijn: - Alert |
| EventSubType | Aanbevolen | Opgesomde | Hiermee geeft u het subtype of de categorie van de waarschuwings gebeurtenis op, met gedetailleerdere details binnen de bredere gebeurtenisclassificatie. Dit veld helpt bij het onderscheiden van de aard van het gedetecteerde probleem, waardoor de prioriteitstelling van incidenten en responsstrategieën worden verbeterd. Ondersteunde waarden zijn onder andere: - Threat (Vertegenwoordigt een bevestigde of hoogstwaarschijnlijk schadelijke activiteit die het systeem of netwerk kan in gevaar komen)- Suspicious Activity (Markeert gedrag of gebeurtenissen die ongebruikelijk of verdacht lijken, maar nog niet als schadelijk zijn bevestigd)- Anomaly (Identificeert afwijkingen van normale patronen die kunnen duiden op een potentieel beveiligingsrisico of operationeel probleem)- Compliance Violation (Markeert activiteiten die in strijd zijn met regelgeving, beleid of nalevingsstandaarden) |
| EventUid | Verplicht | tekenreeks | Een machineleesbare, alfanumerieke tekenreeks die een waarschuwing in een systeem uniek identificeert. Bijvoorbeeld. A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
| EventMessage | Optioneel | tekenreeks | Gedetailleerde informatie over de waarschuwing, met inbegrip van de context, oorzaak en mogelijke impact. Bijvoorbeeld. Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
| Ipaddr | Alias | Alias of beschrijvende naam voor DvcIpAddr veld. |
|
| Hostnaam | Alias | Alias of beschrijvende naam voor DvcHostname veld. |
|
| EventSchema | Verplicht | Opgesomde | Het schema dat wordt gebruikt voor de gebeurtenis. Het schema dat hier wordt beschreven, is AlertEvent. |
| EventSchemaVersion | Verplicht | SchemaVersion (tekenreeks) | De versie van het schema. De versie van het schema dat hier wordt beschreven, is 0.1. |
Alle algemene velden
Velden die in de onderstaande tabel worden weergegeven, zijn gemeenschappelijk voor alle ASIM-schema's. Elke hierboven opgegeven richtlijn overschrijft de algemene richtlijnen voor het veld. Een veld kan bijvoorbeeld in het algemeen optioneel zijn, maar verplicht voor een specifiek schema. Raadpleeg het artikel Algemene velden van ASIM voor meer informatie over elk veld.
| Klasse | Velden |
|---|---|
| Verplicht |
-
EventCount - EventStartTime - EventEndTime - EventType - EventUid - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
| Aanbevolen |
-
EventSubType - EventSeverity - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType |
| Optioneel |
-
EventMessage - EventOriginalType - EventOriginalSubType - EventOriginalSeverity - EventProductVersion - EventOriginalUid - EventReportUrl - EventResult - EventOwner - DvcZone - DvcMacAddr - DvcO's - DvcOsVersion - DvcAction - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Inspectievelden
De volgende tabel bevat velden die essentiële inzichten bieden in de regels en bedreigingen die zijn gekoppeld aan waarschuwingen. Samen helpen ze de context van de waarschuwing te verrijken, waardoor beveiligingsanalisten gemakkelijker de oorsprong en betekenis ervan kunnen begrijpen.
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| AlertId | Alias | tekenreeks | Alias of beschrijvende naam voor EventUid veld. |
| AlertName | Aanbevolen | tekenreeks | Titel of naam van de waarschuwing. Bijvoorbeeld. Possible use of the Rubeus kerberoasting tool |
| AlertDescription | Alias | tekenreeks | Alias of beschrijvende naam voor EventMessage veld. |
| AlertVerdict | Optioneel | Opgesomde | De uiteindelijke vaststelling of het resultaat van de waarschuwing, die aangeeft of de waarschuwing is bevestigd als een bedreiging, verdacht wordt geacht of is opgelost als een fout-positief. Ondersteunde waarden zijn: - True Positive (Bevestigd als een legitieme bedreiging)- False Positive (Onjuist geïdentificeerd als een bedreiging)- Benign Positive (wanneer wordt vastgesteld dat de gebeurtenis onschadelijk is)- Unknown (Onzekere of onbepaalde status) |
| AlertStatus | Optioneel | Opgesomde | Geeft de huidige status of voortgang van de waarschuwing aan. Ondersteunde waarden zijn: - Active- Closed |
| AlertOriginalStatus | Optioneel | tekenreeks | De status van de waarschuwing zoals gerapporteerd door het oorspronkelijke systeem. |
| DetectionMethod | Optioneel | Opgesomde | Bevat gedetailleerde informatie over de specifieke detectiemethode, technologie of gegevensbron die heeft bijgedragen aan het genereren van de waarschuwing. Dit veld biedt meer inzicht in hoe de waarschuwing is gedetecteerd of geactiveerd, wat helpt bij het begrijpen van de detectiecontext en betrouwbaarheid. Ondersteunde waarden zijn onder andere: - EDR: Eindpuntdetectie- en responssystemen die eindpuntactiviteiten bewaken en analyseren om bedreigingen te identificeren.- Behavioral Analytics: Technieken die abnormale patronen in gebruikers-, apparaat- of systeemgedrag detecteren.- Reputation: Detectie van bedreigingen op basis van de reputatie van IP-adressen, domeinen of bestanden.- Threat Intelligence: externe of interne informatiefeeds die gegevens verstrekken over bekende bedreigingen of aanvallertactieken.- Intrusion Detection: Systemen die netwerkverkeer of -activiteiten controleren op tekenen van inbraak of aanvallen.- Automated Investigation: Geautomatiseerde systemen die waarschuwingen analyseren en onderzoeken, waardoor de handmatige werkbelasting wordt verminderd.- Antivirus: traditionele antivirusprogramma's die malware detecteren op basis van handtekeningen en heuristieken.- Data Loss Prevention: Oplossingen die gericht zijn op het voorkomen van onbevoegde gegevensoverdrachten of lekken.- User Defined Blocked List: Aangepaste lijsten die door gebruikers zijn gedefinieerd om specifieke IP-adressen, domeinen of bestanden te blokkeren.- Cloud Security Posture Management: Hulpprogramma's die beveiligingsrisico's in cloudomgevingen beoordelen en beheren.- Cloud Application Security: Oplossingen die cloudtoepassingen en -gegevens beveiligen.- Scheduled Alerts: Waarschuwingen gegenereerd op basis van vooraf gedefinieerde schema's of drempelwaarden.- Other: elke andere detectiemethode die niet onder de bovenstaande categorieën valt. |
| Regel | Alias | tekenreeks | De waarde van RuleName of de waarde van RuleNumber. Als de waarde van RuleNumber wordt gebruikt, moet het type worden geconverteerd naar tekenreeks. |
| RuleNumber | Optioneel | int | Het nummer van de regel die is gekoppeld aan de waarschuwing. Bijvoorbeeld. 123456 |
| RuleName | Optioneel | tekenreeks | De naam of id van de regel die is gekoppeld aan de waarschuwing. Bijvoorbeeld. Server PSEXEC Execution via Remote Access |
| RuleDescription | Optioneel | tekenreeks | Beschrijving van de regel die is gekoppeld aan de waarschuwing. Bijvoorbeeld. This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
| ThreatId | Optioneel | tekenreeks | De id van de bedreiging of malware die in de waarschuwing is geïdentificeerd. Bijvoorbeeld. 1234567891011121314 |
| ThreatName | Optioneel | tekenreeks | De naam van de bedreiging of malware die in de waarschuwing is geïdentificeerd. Bijvoorbeeld. Init.exe |
| ThreatFirstReportedTime | Optioneel | Datetime | De datum en tijd waarop de bedreiging voor het eerst is gerapporteerd. Bijvoorbeeld. 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Optioneel | Datetime | De datum en tijd waarop de bedreiging voor het laatst is gerapporteerd. Bijvoorbeeld. 2024-09-19T10:12:10.0000000Z |
| ThreatCategory | Aanbevolen | Opgesomde | De categorie van de bedreiging of malware die in de waarschuwing is geïdentificeerd. Ondersteunde waarden zijn: Malware, Ransomware, Trojan, Virus, Worm, Adware, Spyware, Rootkit, Cryptominor, Phishing, Spam, MaliciousUrlSpoofing, , , Security Policy ViolationUnknown |
| ThreatOriginalCategory | Optioneel | tekenreeks | De categorie van de bedreiging zoals gerapporteerd door het oorspronkelijke systeem. |
| ThreatIsActive | Optioneel | Bool | Geeft aan of de bedreiging momenteel actief is. Ondersteunde waarden zijn: True, False |
| ThreatRiskLevel | Optioneel | RiskLevel (geheel getal) | Het risiconiveau dat aan de bedreiging is gekoppeld. Het niveau moet een getal tussen 0 en 100 zijn. Opmerking: de waarde kan worden opgegeven in de bronrecord met behulp van een andere schaal, die moet worden genormaliseerd naar deze schaal. De oorspronkelijke waarde moet worden opgeslagen in ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Optioneel | tekenreeks | Het risiconiveau zoals gerapporteerd door het oorspronkelijke systeem. |
| ThreatConfidence | Optioneel | ConfidenceLevel (geheel getal) | Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd naar een waarde tussen 0 en een 100. |
| ThreatOriginalConfidence | Optioneel | tekenreeks | Het betrouwbaarheidsniveau zoals gerapporteerd door het oorspronkelijke systeem. |
| IndicatorType | Aanbevolen | Opgesomde | Het type of de categorie van de indicator Ondersteunde waarden zijn: - Ip- User- Process- Registry- Url- Host- Cloud Resource- Application- File- Email- Mailbox- Logon Session |
| IndicatorAssociation | Optioneel | Opgesomde | Hiermee geeft u op of de indicator is gekoppeld aan of rechtstreeks wordt beïnvloed door de bedreiging. Ondersteunde waarden zijn: - Associated- Targeted |
| AttackTactics | Aanbevolen | tekenreeks | De aanvaltactieken (naam, id of beide) die zijn gekoppeld aan de waarschuwing. Voorkeursindeling: Bijvoorbeeld: Persistence, Privilege Escalation |
| AttackTechniques | Aanbevolen | tekenreeks | De aanvalstechnieken (naam, id of beide) die zijn gekoppeld aan de waarschuwing. Voorkeursindeling: Bijvoorbeeld: Local Groups (T1069.001), Domain Groups (T1069.002) |
| AttackRemediationSteps | Aanbevolen | tekenreeks | Aanbevolen acties of stappen om de geïdentificeerde aanval of bedreiging te beperken of te herstellen. Bijvoorbeeld. 1. Make sure the machine is completely updated and all your software has the latest patch.2. Contact your incident response team. |
Gebruikersvelden
In deze sectie worden velden gedefinieerd met betrekking tot de identificatie en classificatie van gebruikers die zijn gekoppeld aan een waarschuwing, zodat de betrokken gebruiker en de indeling van hun identiteit duidelijk zijn. Als de waarschuwing extra, meerdere gebruikersgerelateerde velden bevat die groter zijn dan wat hier is toegewezen, kunt u overwegen of een gespecialiseerd schema, zoals het schema voor verificatiegebeurtenissen, geschikter is om de gegevens volledig weer te geven.
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| UserID | Optioneel | tekenreeks | Een machineleesbare, alfanumerieke, unieke weergave van de gebruiker die aan de waarschuwing is gekoppeld. Bijvoorbeeld. A1bC2dE3fH4iJ5kL6mN7o |
| UserIdType | Voorwaardelijke | Opgesomde | Het type van de gebruikers-id, zoals GUID, SIDof Email.Ondersteunde waarden zijn: - GUID- SID- Email- Username- Phone- Other |
| Gebruikersnaam | Aanbevolen | Gebruikersnaam (tekenreeks) | Naam van de gebruiker die is gekoppeld aan de waarschuwing, inclusief domeingegevens indien beschikbaar. bijvoorbeeld of Contoso\JSmithjohn.smith@contoso.com |
| Gebruiker | Alias | tekenreeks | Alias of beschrijvende naam voor Username veld. |
| UsernameType | Voorwaardelijke | UsernameType | Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het Username veld. Zie UsernameType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden.Bijvoorbeeld. Windows |
| UserType | Optioneel | UserType | Het type actor. Zie UserType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. Bijvoorbeeld. Guest |
| OriginalUserType | Optioneel | tekenreeks | Het gebruikerstype zoals gerapporteerd door het rapportageapparaat. |
| UserSessionId | Optioneel | tekenreeks | De unieke id van de sessie van de gebruiker die is gekoppeld aan de waarschuwing. Bijvoorbeeld. a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
| UserScopeId | Optioneel | tekenreeks | De bereik-id, zoals Microsoft Entra Directory-id, waarin UserId en Username zijn gedefinieerd. Bijvoorbeeld. a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
| UserScope | Optioneel | tekenreeks | Het bereik, zoals Microsoft Entra tenant, waarin UserId en Username zijn gedefinieerd. Zie UserScope in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. Bijvoorbeeld. Contoso Directory |
Procesvelden
In deze sectie kunt u details vastleggen met betrekking tot een procesentiteit die betrokken is bij een waarschuwing met behulp van de opgegeven velden. Als de waarschuwing aanvullende, gedetailleerde procesgerelateerde velden bevat die verder gaan dan wat hier is toegewezen, kunt u overwegen of een gespecialiseerd schema, zoals het schema procesgebeurtenis, geschikter is om de gegevens volledig weer te geven.
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| ProcessId | Optioneel | tekenreeks | De proces-id (PID) die is gekoppeld aan de waarschuwing. Bijvoorbeeld. 12345678 |
| ProcessCommandLine | Optioneel | tekenreeks | Opdrachtregel die wordt gebruikt om het proces te starten. Bijvoorbeeld. "choco.exe" -v |
| ProcessName | Optioneel | tekenreeks | Naam van het proces. Bijvoorbeeld. C:\Windows\explorer.exe |
| ProcessFileCompany | Optioneel | tekenreeks | Bedrijf dat het procesinstallatiekopieënbestand heeft gemaakt. Bijvoorbeeld. Microsoft |
Bestandsvelden
In deze sectie kunt u details vastleggen met betrekking tot een bestandsentiteit die betrokken is bij een waarschuwing. Als de waarschuwing aanvullende, gedetailleerde bestandsgerelateerde velden bevat die verder gaan dan wat hier is toegewezen, kunt u overwegen of een gespecialiseerd schema, zoals het schema bestandsgebeurtenis, geschikter is om de gegevens volledig weer te geven.
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| Bestandsnaam | Optioneel | tekenreeks | Naam van het bestand dat is gekoppeld aan de waarschuwing, zonder pad of locatie. Bijvoorbeeld. Notepad.exe |
| Filepath | Optioneel | tekenreeks | Het volledige, genormaliseerde pad van het doelbestand, inclusief de map of locatie, de bestandsnaam en de extensie. Bijvoorbeeld. C:\Windows\System32\notepad.exe |
| FileSHA1 | Optioneel | tekenreeks | SHA1-hash van het bestand. Bijvoorbeeld. j5kl6mn7op8qr9st0uv1 |
| BestandSHA256 | Optioneel | tekenreeks | SHA256-hash van het bestand. Bijvoorbeeld. a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
| FileMD5 | Optioneel | tekenreeks | MD5-hash van het bestand. Bijvoorbeeld. j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
| Bestandsgrootte | Optioneel | Lange | Grootte van het bestand in bytes. Bijvoorbeeld. 123456 |
URL-veld
Als uw waarschuwing informatie bevat over de URL-entiteit, kunnen de volgende velden URL-gerelateerde gegevens vastleggen.
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| Url | Optioneel | tekenreeks | De URL-tekenreeks die is vastgelegd in de waarschuwing. Bijvoorbeeld. https://contoso.com/fo/?k=v&q=u#f |
Registervelden
Als uw waarschuwing details over de registerentiteit bevat, gebruikt u de volgende velden om specifieke registergerelateerde informatie vast te leggen.
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| RegistryKey | Optioneel | tekenreeks | De registersleutel die is gekoppeld aan de waarschuwing, genormaliseerd naar standaard naamconventies voor basissleutels. Bijvoorbeeld. HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Optioneel | tekenreeks | Registerwaarde. Bijvoorbeeld. ImagePath |
| RegistryValueData | Optioneel | tekenreeks | Gegevens van de registerwaarde. Bijvoorbeeld. C:\Windows\system32;C:\Windows; |
| RegistryValueType | Optioneel | Opgesomde | Type van de registerwaarde. Bijvoorbeeld. Reg_Expand_Sz |
Email velden
Als uw waarschuwing informatie over e-mailentiteit bevat, gebruikt u de volgende velden om specifieke e-mailgerelateerde details vast te leggen.
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| EmailMessageId | Optioneel | tekenreeks | Unieke id voor het e-mailbericht, gekoppeld aan de waarschuwing. Bijvoorbeeld. Request for Invoice Access |
| EmailSubject | Optioneel | tekenreeks | Onderwerp van het e-mailbericht. Bijvoorbeeld. j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
Schema Updates
Hier volgen de wijzigingen in verschillende versies van het schema:
- Versie 0.1: Eerste release.