Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het Microsoft Sentinel-verificatieschema wordt gebruikt om gebeurtenissen te beschrijven met betrekking tot gebruikersverificatie, aanmelding en afmelding. Verificatie-gebeurtenissen worden verzonden door veel rapportageapparaten, meestal als onderdeel van de gebeurtenisstroom naast andere gebeurtenissen. Windows verzendt bijvoorbeeld verschillende verificatie-gebeurtenissen naast andere activiteiten van het besturingssysteem.
Verificatie-gebeurtenissen omvatten zowel gebeurtenissen van systemen die zich richten op verificatie, zoals VPN-gateways of domeincontrollers, als directe verificatie naar een eindsysteem, zoals een computer of firewall.
Zie Normalisatie en het Advanced Security Information Model (ASIM) voor meer informatie over normalisatie in Microsoft Sentinel.
Parsers
Implementeer ASIM-verificatieparseer vanuit de Microsoft Sentinel GitHub-opslagplaats. Zie de artikelen Overzicht van ASIM-parsers voor meer informatie over ASIM-parsers.
Parseerfuncties samenvoegen
Als u parsers wilt gebruiken waarmee alle out-of-the-box ASIM-parsers worden samengevoegd en ervoor wilt zorgen dat uw analyse wordt uitgevoerd voor alle geconfigureerde bronnen, gebruikt u de imAuthentication filterparser of de ASimAuthentication parameterloze parser.
Bronspecifieke parsers
Raadpleeg de lijst met ASIM-parsers voor de lijst met verificatieparseers die Microsoft Sentinel biedt:
Uw eigen genormaliseerde parsers toevoegen
Bij het implementeren van aangepaste parsers voor het verificatiegegevensmodel geeft u de KQL-functies een naam met behulp van de volgende syntaxis:
-
vimAuthentication<vendor><Product>voor het filteren van parsers -
ASimAuthentication<vendor><Product>voor parameterloze parsers
Raadpleeg ASIM-parsers beheren voor meer informatie over het toevoegen van uw aangepaste parsers aan de parseringsfunctie.
Parameters voor filteren van parser
De im parsers en vim* ondersteunen filterparameters. Hoewel deze parsers optioneel zijn, kunnen ze uw queryprestaties verbeteren.
De volgende filterparameters zijn beschikbaar:
| Naam | Type | Beschrijving |
|---|---|---|
| Starttime | Datetime | Filter alleen verificatie-gebeurtenissen die op of na deze tijd zijn uitgevoerd. Deze parameter filtert op het TimeGenerated veld, dat de standaardindeling is voor de tijd van de gebeurtenis, ongeacht de parserspecifieke toewijzing van de velden EventStartTime en EventEndTime. |
| Eindtijd | Datetime | Filter alleen verificatie-gebeurtenissen die op of vóór deze tijd zijn uitgevoerd. Deze parameter filtert op het TimeGenerated veld, dat de standaardindeling is voor de tijd van de gebeurtenis, ongeacht de parserspecifieke toewijzing van de velden EventStartTime en EventEndTime. |
| targetusername_has | tekenreeks | Filter alleen verificatie-gebeurtenissen die een van de vermelde gebruikersnamen hebben. |
Als u bijvoorbeeld alleen verificatie-gebeurtenissen van de laatste dag wilt filteren op een specifieke gebruiker, gebruikt u:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Tip
Als u een letterlijke lijst wilt doorgeven aan parameters die een dynamische waarde verwachten, gebruikt u expliciet een dynamische letterlijke waarde. Bijvoorbeeld: dynamic(['192.168.','10.']).
Genormaliseerde inhoud
Genormaliseerde analyseregels voor verificatie zijn uniek omdat ze aanvallen tussen bronnen detecteren. Als een gebruiker zich bijvoorbeeld aanmeldt bij verschillende, niet-gerelateerde systemen uit verschillende landen/regio's, detecteert Microsoft Sentinel deze bedreiging nu.
Zie Beveiligingsinhoud van verificatieschema's voor een volledige lijst met analyseregels die gebruikmaken van genormaliseerde verificatiegebeurtenissen.
Schemaoverzicht
Het verificatiegegevensmodel is afgestemd op het schema van de OSSEM-aanmeldingsentiteit.
De velden in de onderstaande tabel zijn specifiek voor verificatie-gebeurtenissen, maar zijn vergelijkbaar met velden in andere schema's en volgen vergelijkbare naamconventies.
Verificatie-gebeurtenissen verwijzen naar de volgende entiteiten:
- TargetUser : de gebruikersgegevens die worden gebruikt om te verifiëren bij het systeem. Het TargetSystem is het primaire onderwerp van de verificatie-gebeurtenis en de alias Gebruiker aliast een TargetUser geïdentificeerd.
- TargetApp : de toepassing die is geverifieerd voor.
- Doel : het systeem waarop TargetApp* wordt uitgevoerd.
- Actor : de gebruiker die de verificatie start, indien anders dan TargetUser.
- ActingApp : de toepassing die door de actor wordt gebruikt om de verificatie uit te voeren.
- Src : het systeem dat door de actor wordt gebruikt om de verificatie te initiëren.
De relatie tussen deze entiteiten kan het beste als volgt worden gedemonstreerd:
Een actor die een acterende toepassing, ActingApp, uitvoert op een bronsysteem, Src, probeert te verifiëren als een TargetUser bij een doeltoepassing, TargetApp, op een doelsysteem, TargetDvc.
Schemadetails
In de volgende tabellen verwijst Type naar een logisch type. Zie Logische typen voor meer informatie.
Algemene ASIM-velden
Belangrijk
Algemene velden voor alle schema's worden uitgebreid beschreven in het artikel Algemene velden van ASIM .
Algemene velden met specifieke richtlijnen
In de volgende lijst worden velden vermeld met specifieke richtlijnen voor verificatie-gebeurtenissen:
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| EventType | Verplicht | Opgesomde | Beschrijft de bewerking die door de record wordt gerapporteerd. Voor verificatierecords omvatten ondersteunde waarden: - Logon - Logoff- Elevate |
| EventResultDetails | Aanbevolen | Opgesomde | De details die zijn gekoppeld aan het gebeurtenisresultaat. Dit veld wordt meestal ingevuld wanneer het resultaat een fout is. Toegestane waarden zijn onder andere: - No such user or password. Deze waarde moet ook worden gebruikt wanneer de oorspronkelijke gebeurtenis meldt dat er geen dergelijke gebruiker is, zonder verwijzing naar een wachtwoord.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. Deze waarde moet worden gebruikt wanneer de oorspronkelijke gebeurtenis rapporteert, bijvoorbeeld: MFA vereist, aanmelden buiten werkuren, beperkingen voor voorwaardelijke toegang of te vaak proberen.- Session expired- OtherDe waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd naar deze waarden. De oorspronkelijke waarde moet worden opgeslagen in het veld EventOriginalResultDetails |
| EventSubType | Optioneel | Opgesomde | Het aanmeldingstype. Toegestane waarden zijn onder andere: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote - Gebruik wanneer het type externe aanmelding onbekend is.- AssumeRole - Wordt meestal gebruikt wanneer het gebeurtenistype is Elevate. De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd naar deze waarden. De oorspronkelijke waarde moet worden opgeslagen in het veld EventOriginalSubType. |
| EventSchemaVersion | Verplicht | SchemaVersion (tekenreeks) | De versie van het schema. De versie van het schema dat hier wordt beschreven, is 0.1.4 |
| EventSchema | Verplicht | Opgesomde | De naam van het schema dat hier wordt beschreven, is Verificatie. |
| Dvc-velden | - | - | Voor verificatie-gebeurtenissen verwijzen apparaatvelden naar het systeem dat de gebeurtenis rapporteert. |
Alle algemene velden
Velden die in de onderstaande tabel worden weergegeven, zijn gemeenschappelijk voor alle ASIM-schema's. Elke hierboven opgegeven richtlijn overschrijft de algemene richtlijnen voor het veld. Een veld kan bijvoorbeeld in het algemeen optioneel zijn, maar verplicht voor een specifiek schema. Raadpleeg het artikel Algemene velden van ASIM voor meer informatie over elk veld.
| Klasse | Velden |
|---|---|
| Verplicht |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Aanbevolen |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optioneel |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcO's - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Verificatiespecifieke velden
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| LogonMethod | Optioneel | Tekenreeks | De methode die wordt gebruikt om verificatie uit te voeren. Toegestane waarden zijn: Managed Identity, Username & PasswordService Principal, , Multi factor authentication, Passwordless, PKI, PAM, en Other. Voorbeelden: Managed Identity |
| LogonProtocol | Optioneel | Tekenreeks | Het protocol dat wordt gebruikt om verificatie uit te voeren. Voorbeeld: NTLM |
Actorvelden
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| ActorUserId | Optioneel | Tekenreeks | Een machineleesbare, alfanumerieke, unieke weergave van de Actor. Zie De entiteit Gebruiker voor meer informatie en voor alternatieve velden voor extra id's. Voorbeeld: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Optioneel | Tekenreeks | Het bereik, zoals Microsoft Entra tenant, waarin ActorUserId en ActorUsername zijn gedefinieerd. of zie UserScope in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| ActorScopeId | Optioneel | Tekenreeks | De bereik-id, zoals Microsoft Entra Directory-id, waarin ActorUserId en ActorUsername zijn gedefinieerd. Zie UserScopeId in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| ActorUserIdType | Voorwaardelijke | UserIdType | Het type id dat is opgeslagen in het veld ActorUserId . Zie UserIdType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| ActorUsername | Optioneel | Gebruikersnaam (tekenreeks) | De gebruikersnaam van de actor, inclusief domeingegevens indien beschikbaar. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: AlbertE |
| ActorUsernameType | Voorwaardelijke | UsernameType | Hiermee geeft u het type van de gebruikersnaam op dat is opgeslagen in het veld ActorUsername . Zie UsernameType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. Voorbeeld: Windows |
| ActorUserType | Optioneel | UserType | Het type actor. Zie UserType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. Bijvoorbeeld: Guest |
| ActorOriginalUserType | Optioneel | Tekenreeks | Het gebruikerstype zoals gerapporteerd door het rapportageapparaat. |
| ActorSessionId | Optioneel | Tekenreeks | De unieke id van de aanmeldingssessie van de Actor. Voorbeeld: 102pTUgC3p8RIqHvzxLCHnFlg |
Velden voor actieve toepassing
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| ActingAppId | Optioneel | Tekenreeks | De id van de toepassing die namens de actor autoriseert, inclusief een proces, browser of service. Bijvoorbeeld: 0x12ae8 |
| ActingAppName | Optioneel | Tekenreeks | De naam van de toepassing die namens de actor autoriseert, inclusief een proces, browser of service. Bijvoorbeeld: C:\Windows\System32\svchost.exe |
| ActingAppType | Optioneel | AppType | Het type actieve toepassing. Zie AppType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| ActingOriginalAppType | Optioneel | Tekenreeks | Het type van de actieve toepassing zoals gerapporteerd door het rapportageapparaat. |
| HttpUserAgent | Optioneel | Tekenreeks | Wanneer verificatie wordt uitgevoerd via HTTP of HTTPS, is de waarde van dit veld de user_agent HTTP-header die door de actieve toepassing wordt opgegeven bij het uitvoeren van de verificatie. Bijvoorbeeld: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Doelgebruikersvelden
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| TargetUserId | Optioneel | Tekenreeks | Een machineleesbare, alfanumerieke, unieke weergave van de doelgebruiker. Zie De entiteit Gebruiker voor meer informatie en voor alternatieve velden voor extra id's. Voorbeeld: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | Optioneel | Tekenreeks | Het bereik, zoals Microsoft Entra tenant, waarin TargetUserId en TargetUsername zijn gedefinieerd. of zie UserScope in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| TargetUserScopeId | Optioneel | Tekenreeks | De bereik-id, zoals Microsoft Entra Directory-id, waarin TargetUserId en TargetUsername zijn gedefinieerd. Zie UserScopeId in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| TargetUserIdType | Voorwaardelijke | UserIdType | Het type gebruikers-id dat is opgeslagen in het veld TargetUserId . Zie UserIdType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. Voorbeeld: SID |
| TargetUsername | Optioneel | Gebruikersnaam (tekenreeks) | De gebruikersnaam van de doelgebruiker, inclusief domeingegevens indien beschikbaar. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: MarieC |
| TargetUsernameType | Voorwaardelijke | UsernameType | Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld TargetUsername . Zie UsernameType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| TargetUserType | Optioneel | UserType | Het type van de doelgebruiker. Zie UserType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. Bijvoorbeeld: Member |
| TargetSessionId | Optioneel | Tekenreeks | De aanmeldingssessie-id van de TargetUser op het bronapparaat. |
| TargetOriginalUserType | Optioneel | Tekenreeks | Het gebruikerstype zoals gerapporteerd door het rapportageapparaat. |
| Gebruiker | Alias | Gebruikersnaam (tekenreeks) | Alias naar de TargetUsername of naar de TargetUserId als TargetUsername niet is gedefinieerd. Voorbeeld: CONTOSO\dadmin |
Bronsysteemvelden
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| Src | Aanbevolen | Tekenreeks | Een unieke id van het bronapparaat. Dit veld kan de velden SrcDvcId, SrcHostname of SrcIpAddr als alias gebruiken. Voorbeeld: 192.168.12.1 |
| SrcDvcId | Optioneel | Tekenreeks | De id van het bronapparaat. Als er meerdere id's beschikbaar zijn, gebruikt u de belangrijkste id en slaat u de andere id's op in de velden SrcDvc<DvcIdType>.Voorbeeld: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Optioneel | Tekenreeks | De bereik-id van het cloudplatform waartoe het apparaat behoort. SrcDvcScopeId wordt toegewezen aan een abonnements-id op Azure en aan een account-id op AWS. |
| SrcDvcScope | Optioneel | Tekenreeks | Het cloudplatformbereik waartoe het apparaat behoort. SrcDvcScope wordt toegewezen aan een abonnements-id op Azure en aan een account-id op AWS. |
| SrcDvcIdType | Voorwaardelijke | DvcIdType | Het type SrcDvcId. Raadpleeg DvcIdType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Opmerking: dit veld is vereist als SrcDvcId wordt gebruikt. |
| SrcDeviceType | Optioneel | DeviceType | Het type van het bronapparaat. Raadpleeg DeviceType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. |
| SrcHostname | Optioneel | Hostname | De hostnaam van het bronapparaat, met uitzondering van domeingegevens. Als er geen apparaatnaam beschikbaar is, slaat u het relevante IP-adres in dit veld op. Voorbeeld: DESKTOP-1282V4D |
| SrcDomain | Optioneel | Domein (tekenreeks) | Het domein van het bronapparaat. Voorbeeld: Contoso |
| SrcDomainType | Voorwaardelijke | DomainType | Het type SrcDomain. Raadpleeg DomainType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Vereist als SrcDomain wordt gebruikt. |
| SrcFQDN | Optioneel | FQDN (tekenreeks) | De hostnaam van het bronapparaat, inclusief domeingegevens indien beschikbaar. Opmerking: dit veld ondersteunt zowel de traditionele FQDN-indeling als de Windows-indeling domein\hostnaam. In het veld SrcDomainType wordt de gebruikte indeling weergegeven. Voorbeeld: Contoso\DESKTOP-1282V4D |
| SrcDescription | Optioneel | Tekenreeks | Een beschrijvende tekst die is gekoppeld aan het apparaat. Bijvoorbeeld: Primary Domain Controller. |
| SrcIpAddr | Aanbevolen | IP-adres | Het IP-adres van het bronapparaat. Voorbeeld: 2.2.2.2 |
| SrcPortNumber | Optioneel | Geheel getal | De IP-poort van waaruit de verbinding afkomstig is. Voorbeeld: 2335 |
| SrcDvcOs | Optioneel | Tekenreeks | Het besturingssysteem van het bronapparaat. Voorbeeld: Windows 10 |
| Ipaddr | Alias | Alias naar SrcIpAddr | |
| SrcIsp | Optioneel | Tekenreeks | De internetprovider (ISP) die door het bronapparaat wordt gebruikt om verbinding te maken met internet. Voorbeeld: corpconnect |
| SrcGeoCountry | Optioneel | Land | Voorbeeld: Canada Zie Logische typen voor meer informatie. |
| SrcGeoCity | Optioneel | Plaats | Voorbeeld: Montreal Zie Logische typen voor meer informatie. |
| SrcGeoRegion | Optioneel | Regio | Voorbeeld: Quebec Zie Logische typen voor meer informatie. |
| SrcGeoLongitude | Optioneel | Lengtegraad | Voorbeeld: -73.614830 Zie Logische typen voor meer informatie. |
| SrcGeoLatitude | Optioneel | Latitude | Voorbeeld: 45.505918 Zie Logische typen voor meer informatie. |
| SrcRiskLevel | Optioneel | Geheel getal | Het risiconiveau dat aan de bron is gekoppeld. De waarde moet worden aangepast tot een bereik van 0 tot , met 0 voor goedaardig en 100 voor 100een hoog risico.Voorbeeld: 90 |
| SrcOriginalRiskLevel | Optioneel | Tekenreeks | Het risiconiveau dat is gekoppeld aan de bron, zoals gerapporteerd door het rapportageapparaat. Voorbeeld: Suspicious |
Doeltoepassingsvelden
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| TargetAppId | Optioneel | Tekenreeks | De id van de toepassing waaraan de autorisatie is vereist, vaak toegewezen door het rapportageapparaat. Voorbeeld: 89162 |
| TargetAppName | Optioneel | Tekenreeks | De naam van de toepassing waarvoor de autorisatie is vereist, inclusief een service, een URL of een SaaS-toepassing. Voorbeeld: Saleforce |
| Toepassing | Alias | Alias naar TargetAppName. | |
| TargetAppType | Voorwaardelijke | AppType | Het type toepassing dat namens de actor wordt gemachtigd. Zie AppType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| TargetOriginalAppType | Optioneel | Tekenreeks | Het type toepassing dat namens de Actor wordt gemachtigd, zoals gerapporteerd door het rapportageapparaat. |
| TargetUrl | Optioneel | URL | De URL die is gekoppeld aan de doeltoepassing. Voorbeeld: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Alias | Alias naar TargetAppName, TargetUrl of TargetHostname, afhankelijk van welk veld het verificatiedoel het beste wordt beschreven. |
Doelsysteemvelden
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| Dst | Alias | Tekenreeks | Een unieke id van het verificatiedoel. Dit veld kan de velden TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId of TargetAppName als alias gebruiken . Voorbeeld: 192.168.12.1 |
| TargetHostname | Aanbevolen | Hostname | De hostnaam van het doelapparaat, met uitzondering van domeingegevens. Voorbeeld: DESKTOP-1282V4D |
| TargetDomain | Aanbevolen | Domein (tekenreeks) | Het domein van het doelapparaat. Voorbeeld: Contoso |
| TargetDomainType | Voorwaardelijke | Opgesomde | Het type TargetDomain. Raadpleeg DomainType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Vereist als TargetDomain wordt gebruikt. |
| TargetFQDN | Optioneel | FQDN (tekenreeks) | De hostnaam van het doelapparaat, inclusief domeingegevens indien beschikbaar. Voorbeeld: Contoso\DESKTOP-1282V4D Opmerking: dit veld ondersteunt zowel de traditionele FQDN-indeling als de Windows-indeling domein\hostnaam. Het TargetDomainType weerspiegelt de gebruikte indeling. |
| TargetDescription | Optioneel | Tekenreeks | Een beschrijvende tekst die is gekoppeld aan het apparaat. Bijvoorbeeld: Primary Domain Controller. |
| TargetDvcId | Optioneel | Tekenreeks | De id van het doelapparaat. Als er meerdere id's beschikbaar zijn, gebruikt u de belangrijkste id en slaat u de andere id's op in de velden TargetDvc<DvcIdType>. Voorbeeld: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Optioneel | Tekenreeks | De bereik-id van het cloudplatform waartoe het apparaat behoort. TargetDvcScopeId wordt toegewezen aan een abonnements-id op Azure en aan een account-id op AWS. |
| TargetDvcScope | Optioneel | Tekenreeks | Het cloudplatformbereik waartoe het apparaat behoort. TargetDvcScope wordt toegewezen aan een abonnements-id op Azure en aan een account-id op AWS. |
| TargetDvcIdType | Voorwaardelijke | Opgesomde | Het type TargetDvcId. Raadpleeg DvcIdType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Vereist als TargetDeviceId wordt gebruikt. |
| TargetDeviceType | Optioneel | Opgesomde | Het type van het doelapparaat. Raadpleeg DeviceType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. |
| TargetIpAddr | Optioneel | IP-adres | Het IP-adres van het doelapparaat. Voorbeeld: 2.2.2.2 |
| TargetDvcO's | Optioneel | Tekenreeks | Het besturingssysteem van het doelapparaat. Voorbeeld: Windows 10 |
| TargetPortNumber | Optioneel | Geheel getal | De poort van het doelapparaat. |
| TargetGeoCountry | Optioneel | Land | Het land/de regio die is gekoppeld aan het doel-IP-adres. Voorbeeld: USA |
| TargetGeoRegion | Optioneel | Regio | De regio die is gekoppeld aan het doel-IP-adres. Voorbeeld: Vermont |
| TargetGeoCity | Optioneel | Plaats | De plaats die is gekoppeld aan het doel-IP-adres. Voorbeeld: Burlington |
| TargetGeoLatitude | Optioneel | Latitude | De breedtegraad van de geografische coördinaat die is gekoppeld aan het doel-IP-adres. Voorbeeld: 44.475833 |
| TargetGeoLongitude | Optioneel | Lengtegraad | De lengtegraad van de geografische coördinaat die is gekoppeld aan het doel-IP-adres. Voorbeeld: 73.211944 |
| TargetRiskLevel | Optioneel | Geheel getal | Het risiconiveau dat aan het doel is gekoppeld. De waarde moet worden aangepast tot een bereik van 0 tot , met 0 voor goedaardig en 100 voor 100een hoog risico.Voorbeeld: 90 |
| TargetOriginalRiskLevel | Optioneel | Tekenreeks | Het risiconiveau dat is gekoppeld aan het doel, zoals gerapporteerd door het rapportageapparaat. Voorbeeld: Suspicious |
Inspectievelden
De volgende velden worden gebruikt om de door een beveiligingssysteem uitgevoerde inspectie aan te geven.
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| RuleName | Optioneel | Tekenreeks | De naam of id van de regel die is gekoppeld aan de inspectieresultaten. |
| RuleNumber | Optioneel | Geheel getal | Het nummer van de regel die is gekoppeld aan de inspectieresultaten. |
| Regel | Alias | Tekenreeks | De waarde van RuleName of de waarde van RuleNumber. Als de waarde van RuleNumber wordt gebruikt, moet het type worden geconverteerd naar tekenreeks. |
| ThreatId | Optioneel | Tekenreeks | De id van de bedreiging of malware die is geïdentificeerd in de controleactiviteit. |
| ThreatName | Optioneel | Tekenreeks | De naam van de bedreiging of malware die is geïdentificeerd in de controleactiviteit. |
| ThreatCategory | Optioneel | Tekenreeks | De categorie van de bedreiging of malware die is geïdentificeerd in de activiteit van het auditbestand. |
| ThreatRiskLevel | Optioneel | RiskLevel (geheel getal) | Het risiconiveau dat is gekoppeld aan de geïdentificeerde bedreiging. Het niveau moet een getal tussen 0 en 100 zijn. Opmerking: de waarde kan worden opgegeven in de bronrecord met behulp van een andere schaal, die moet worden genormaliseerd naar deze schaal. De oorspronkelijke waarde moet worden opgeslagen in ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Optioneel | Tekenreeks | Het risiconiveau zoals gerapporteerd door het rapportageapparaat. |
| ThreatConfidence | Optioneel | ConfidenceLevel (geheel getal) | Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd naar een waarde tussen 0 en een 100. |
| ThreatOriginalConfidence | Optioneel | Tekenreeks | Het oorspronkelijke betrouwbaarheidsniveau van de geïdentificeerde bedreiging, zoals gerapporteerd door het rapportageapparaat. |
| ThreatIsActive | Optioneel | Booleaanse waarde | Waar als de geïdentificeerde bedreiging wordt beschouwd als een actieve bedreiging. |
| ThreatFirstReportedTime | Optioneel | Datetime | De eerste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging. |
| ThreatLastReportedTime | Optioneel | Datetime | De laatste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging. |
| ThreatIpAddr | Optioneel | IP-adres | Een IP-adres waarvoor een bedreiging is geïdentificeerd. Het veld ThreatField bevat de naam van het veld dat ThreatIpAddr vertegenwoordigt. |
| ThreatField | Voorwaardelijke | Opgesomde | Het veld waarvoor een bedreiging is geïdentificeerd. De waarde is of SrcIpAddrTargetIpAddr. |
Schema-updates
Dit zijn de wijzigingen in versie 0.1.1 van het schema:
- Gebruikers- en apparaatentiteitsvelden bijgewerkt om uit te lijnen met andere schema's.
-
TargetDvcDe naam van enSrcDvcrespectievelijk enTargetis gewijzigd in overeenstemmingSrcmet de huidige ASIM-richtlijnen. De hernoemde velden worden geïmplementeerd als aliassen tot 1 juli 2022. Deze velden zijn:SrcDvcHostname,SrcDvcHostnameType,SrcDvcType,SrcDvcIpAddr,TargetDvcHostname,TargetDvcHostnameType,TargetDvcType, ,TargetDvcIpAddr, enTargetDvc. - De aliassen
SrcenDstzijn toegevoegd. - De velden
SrcDvcIdType,SrcDeviceType,TargetDvcIdTypeenTargetDeviceType, enEventSchematoegevoegd .
Dit zijn de wijzigingen in versie 0.1.2 van het schema:
- De velden , , , , ,
TargetDvcScopeId,TargetDvcScope, ,DvcScopeIdenDvcScope.SrcDvcScopeSrcDvcScopeIdTargetUserScopeActorScope
Dit zijn de wijzigingen in versie 0.1.3 van het schema:
- De velden , , , ,
TargetOriginalUserTypeTargetUserScopeId, ,SrcDescription,SrcRiskLevel, ,SrcOriginalRiskLevelenTargetDescription.ActorScopeIdActorOriginalUserTypeSrcPortNumber - Inspectievelden toegevoegd
- Geo-locatievelden van het doelsysteem toegevoegd.
Dit zijn de wijzigingen in versie 0.1.4 van het schema:
- De velden
ActingOriginalAppTypeenTargetOriginalAppTypezijn toegevoegd. - De alias
Applicationis toegevoegd.
Volgende stappen
Zie voor meer informatie: