Dokumentacja schematu normalizacji zdarzeń inspekcji usługi Advanced Security Information Model (ASIM) (publiczna wersja zapoznawcza)
Schemat normalizacji zdarzeń inspekcji usługi Microsoft Sentinel reprezentuje zdarzenia skojarzone z dziennikiem inspekcji systemów informacyjnych. Dziennik inspekcji rejestruje działania konfiguracji systemu i zmiany zasad. Takie zmiany są często wykonywane przez administratorów systemu, ale mogą być również wykonywane przez użytkowników podczas konfigurowania ustawień własnych aplikacji.
Każdy system rejestruje zdarzenia inspekcji wraz z podstawowymi dziennikami aktywności. Na przykład zapora będzie rejestrować zdarzenia dotyczące sesji sieciowych jest procesami, a zdarzenia inspekcji dotyczące zmian konfiguracji zastosowanych do samej zapory.
Aby uzyskać więcej informacji na temat normalizacji w usłudze Microsoft Sentinel, zobacz Normalizacja i Zaawansowany model informacji o zabezpieczeniach (ASIM).
Ważne
Schemat normalizacji zdarzeń inspekcji jest obecnie w wersji zapoznawczej. Ta funkcja jest udostępniana bez umowy dotyczącej poziomu usług. Nie zalecamy obsługi obciążeń produkcyjnych.
Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Przegląd schematu
Główne pola zdarzenia inspekcji to:
- Obiekt, na przykład zarządzany zasób lub reguła zasad, na którym koncentruje się zdarzenie, reprezentowane przez obiekt pola. Pole ObjectType określa typ obiektu.
- Kontekst aplikacji obiektu reprezentowany przez pole TargetAppName, który jest aliasowany przez aplikację.
- Operacja wykonywana na obiekcie reprezentowana przez pola EventType i Operation. Chociaż operacja jest wartością zgłoszoną przez źródło, EventType jest znormalizowaną wersją, która jest bardziej spójna w różnych źródłach.
- Stare i nowe wartości dla obiektu, jeśli ma to zastosowanie, reprezentowane odpowiednio przez OldValue i NewValue.
Zdarzenia inspekcji odwołują się również do następujących jednostek, które są zaangażowane w operację konfiguracji:
- Aktor — użytkownik wykonujący operację konfiguracji.
- TargetApp — aplikacja lub system, dla którego ma zastosowanie operacja konfiguracji.
- Target — system, w którym działa taregtApp*.
- ActingApp — aplikacja używana przez aktora do wykonywania operacji konfiguracji.
- Src — system używany przez aktora do inicjowania operacji konfiguracji, jeśli różni się od docelowej.
Deskryptor Dvc jest używany dla urządzenia raportowania, czyli systemu lokalnego dla sesji zgłoszonych przez punkt końcowy oraz pośredniczącego lub urządzenia zabezpieczającego w innych przypadkach.
Parsery
Wdrażanie i używanie analizatorów zdarzeń inspekcji
Wdróż analizatory zdarzeń inspekcji ASIM z repozytorium GitHub usługi Microsoft Sentinel. Aby wykonywać zapytania dotyczące wszystkich źródeł zdarzeń inspekcji imAuditEvent , użyj analizatora jednoczącego jako nazwy tabeli w zapytaniu.
Aby uzyskać więcej informacji na temat korzystania z analizatorów ASIM, zobacz omówienie analizatorów ASIM. Aby uzyskać listę analizatorów zdarzeń inspekcji, usługa Microsoft Sentinel udostępnia gotowe do użycia, zapoznaj się z listą analizatorów ASIM
Dodawanie własnych znormalizowanych analizatorów
Podczas implementowania niestandardowych analizatorów dla modelu informacji o zdarzeniach plików nazwij funkcje KQL przy użyciu następującej składni: imAuditEvent<vendor><Product>. Zapoznaj się z artykułem Managing ASIM parsers (Zarządzanie analizatorami ASIM), aby dowiedzieć się, jak dodać analizatory niestandardowe do analizatora zdarzeń inspekcji.
Parametry analizatora filtrowania
Analizatory zdarzeń inspekcji obsługują parametry filtrowania. Chociaż te parametry są opcjonalne, mogą zwiększyć wydajność zapytań.
Dostępne są następujące parametry filtrowania:
| Imię i nazwisko/nazwa | Pisz | Opis |
|---|---|---|
| Starttime | Data i godzina | Filtruj tylko zdarzenia uruchomione w czasie lub po tym czasie. Ten parametr używa TimeGenerated pola jako inicjatora czasu zdarzenia. |
| Endtime | Data i godzina | Filtruj tylko zapytania, które zakończyły działanie o lub wcześniej. Ten parametr używa TimeGenerated pola jako inicjatora czasu zdarzenia. |
| srcipaddr_has_any_prefix | dynamiczna | Filtruj tylko zdarzenia z tego źródłowego adresu IP, jak pokazano w polu SrcIpAddr . |
| eventtype_in | string | Filtruj tylko zdarzenia, w których typ zdarzenia reprezentowane w polu EventType jest dowolnym z podanych terminów. |
| eventresult | string | Filtruj tylko zdarzenia, w których wynik zdarzenia reprezentowany w polu EventResult jest równy wartości parametru. |
| actorusername_has_any | dynamic/string | Filtruj tylko zdarzenia, w których element ActorUsername zawiera dowolne podane terminy. |
| operation_has_any | dynamic/string | Filtruj tylko zdarzenia, w których pole Operacja zawiera dowolne podane terminy. |
| object_has_any | dynamic/string | Filtruj tylko zdarzenia, w których pole Object zawiera dowolny z podanych terminów. |
| newvalue_has_any | dynamic/string | Filtruj tylko zdarzenia, w których pole NewValue zawiera dowolne podane terminy. |
Niektóre parametry mogą akceptować zarówno listę wartości typu dynamic , jak i pojedynczego ciągu. Aby przekazać listę literałów do parametrów, które oczekują wartości dynamicznej, jawnie użyj literału dynamicznego. Na przykład: dynamic(['192.168.','10.']).
Aby na przykład filtrować tylko zdarzenia inspekcji przy użyciu terminów install lub update w polu Operacja , użyj polecenia z ostatniego dnia:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
Szczegóły schematu
Typowe pola karty ASIM
Ważne
Pola wspólne dla wszystkich schematów zostały szczegółowo opisane w artykule ASIM Common Fields (Wspólne pola karty ASIM).
Typowe pola z określonymi wytycznymi
Na poniższej liście wymieniono pola, które mają określone wytyczne dotyczące zdarzeń inspekcji:
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Eventtype | Obowiązkowy | Enumerated | Opisuje operację przeprowadź inspekcję przez zdarzenie przy użyciu znormalizowanej wartości. Użyj klasy EventSubType , aby podać więcej szczegółów, których znormalizowana wartość nie przekazuje i Operacja. do przechowywania operacji zgłoszonej przez urządzenie raportowania. W przypadku rekordów zdarzeń inspekcji dozwolone wartości to: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Other Zdarzenia inspekcji reprezentują dużą gamę operacji, a Other wartość umożliwia operacje mapowania, które nie mają odpowiedniego elementu EventType. Jednak stosowanie Other ograniczeń użyteczności zdarzenia i należy unikać, jeśli to możliwe. |
| EventSubType | Opcjonalnie | Ciąg | Zawiera dodatkowe szczegóły, których znormalizowana wartość w typie eventtype nie przekazuje. |
| EventSchema | Obowiązkowy | Ciąg | Nazwa schematu udokumentowanego tutaj to AuditEvent. |
| EventSchemaVersion | Obowiązkowy | Ciąg | Wersja schematu. Wersja schematu udokumentowanego tutaj to 0.1. |
Wszystkie typowe pola
Pola wyświetlane w tabeli są wspólne dla wszystkich schematów ASIM. Każdy z wytycznych określonych w tym dokumencie zastępuje ogólne wytyczne dotyczące pola. Na przykład pole może być ogólnie opcjonalne, ale obowiązkowe dla określonego schematu. Aby uzyskać więcej informacji na temat każdego pola, zobacz artykuł ASIM Common Fields (Wspólne pola karty ASIM).
| Klasa | Pola |
|---|---|
| Obowiązkowy | - EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Zalecane | - EventResultDetails - EventSeverity - Identyfikator zdarzenia - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcjonalnie | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Właściciel zdarzenia - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Dodatkowe pola - DvcDescription - DvcScopeId - DvcScope |
Pola inspekcji
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Operacja | Obowiązkowy | Ciąg | Operacja inspekcji zgłoszona przez urządzenie raportowania. |
| Obiekt | Obowiązkowy | Ciąg | Nazwa obiektu, na którym jest wykonywana operacja zidentyfikowana przez typ zdarzenia . |
| Objecttype | Obowiązkowy | Enumerated | Typ obiektu. Dozwolone wartości to: - Cloud Resource- Configuration Atom- Policy Rule-Innych |
| Oldvalue | Opcjonalnie | Ciąg | Stara wartość obiektu przed operacją, jeśli ma to zastosowanie. |
| Newvalue | Opcjonalnie | Ciąg | Nowa wartość obiektu po wykonaniu operacji, jeśli ma to zastosowanie. |
| Wartość | Alias | Alias do NewValue | |
| Valuetype | Warunkowe | Enumerated | Typ starych i nowych wartości. Dozwolone wartości to -Innych |
Pola aktora
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| AktorUserId | Opcjonalnie | Ciąg | Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja aktora. Aby uzyskać więcej informacji i w przypadku pól alternatywnych dla innych identyfikatorów, zobacz Jednostka Użytkownik. Przykład: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| AktorZakres | Opcjonalnie | Ciąg | Zakres, taki jak Microsoft Entra Domain Name, w którym zdefiniowano element ActorUserId i ActorUsername . lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu. |
| AktorScopeId | Opcjonalnie | Ciąg | Identyfikator zakresu, taki jak Identyfikator katalogu Entra firmy Microsoft, w którym zdefiniowano element ActorUserId i ActorUsername . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserScopeId w artykule Omówienie schematu. |
| AktorUserIdType | Warunkowe | UserIdType | Typ identyfikatora przechowywanego w polu ActorUserId . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserIdType w artykule Przegląd schematu. |
| AktorUsername | Zalecane | Nazwa użytkownika | Nazwa użytkownika aktora, w tym informacje o domenie, gdy są dostępne. Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik. Przykład: AlbertE |
| Użytkownik | Alias | Alias do ActorUsername | |
| AktorUsernameType | Warunkowe | Typ nazwy użytkownika | Określa typ nazwy użytkownika przechowywanej w polu ActorUsername . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UsernameType w artykule Omówienie schematu. Przykład: Windows |
| AktorUserType | Opcjonalnie | UserType | Typ aktora. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserType w artykule Omówienie schematu. Na przykład: Guest. |
| ActorOriginalUserType | Opcjonalnie | UserType | Typ użytkownika zgłoszony przez urządzenie raportowania. |
| ActorsSessionId | Opcjonalnie | Ciąg | Unikatowy identyfikator sesji logowania aktora. Przykład: 102pTUgC3p8RIqHvzxLCHnFlg |
Pola aplikacji docelowej
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| TargetAppId | Opcjonalnie | Ciąg | Identyfikator aplikacji, do której ma zastosowanie zdarzenie, w tym proces, przeglądarka lub usługa. Przykład: 89162 |
| TargetAppName | Opcjonalnie | Ciąg | Nazwa aplikacji, do której ma zastosowanie zdarzenie, w tym usługa, adres URL lub aplikacja SaaS. Przykład: Exchange 365 |
| Aplikacja | Alias | Alias na TargetAppName | |
| TargetAppType | Opcjonalnie | Typ aplikacji | Typ aplikacji autoryzującej w imieniu aktora. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz Artykuł AppType w artykule Przegląd schematu. |
| TargetUrl | Opcjonalnie | URL | Adres URL skojarzony z aplikacją docelową. Przykład: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
Pola systemu docelowego
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Czasu letniego | Alias | Ciąg | Unikatowy identyfikator obiektu docelowego uwierzytelniania. To pole może mieć alias pól TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId lub TargetAppName . Przykład: 192.168.12.1 |
| TargetHostname | Zalecane | Hostname (Nazwa hosta) | Nazwa hosta urządzenia docelowego z wyłączeniem informacji o domenie. Przykład: DESKTOP-1282V4D |
| TargetDomain | Zalecane | Ciąg | Domena urządzenia docelowego. Przykład: Contoso |
| TargetDomainType | Warunkowe | Enumerated | Typ elementu TargetDomain. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DomainType w artykule Omówienie schematu. Wymagane, jeśli jest używana domena docelowa . |
| Nazwa docelowaFQDN | Opcjonalnie | Ciąg | Nazwa hosta urządzenia docelowego, w tym informacje o domenie, gdy są dostępne. Przykład: Contoso\DESKTOP-1282V4D Uwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa_hosta systemu Windows. Typ TargetDomainType odzwierciedla używany format. |
| TargetDescription | Opcjonalnie | Ciąg | Tekst opisowy skojarzony z urządzeniem. Na przykład: Primary Domain Controller. |
| TargetDvcId | Opcjonalnie | Ciąg | Identyfikator urządzenia docelowego. Jeśli dostępnych jest wiele identyfikatorów, użyj najważniejszego identyfikatora i zapisz pozostałe w polach TargetDvc<DvcIdType>. Przykład: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Opcjonalnie | Ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. TargetDvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| TargetDvcScope | Opcjonalnie | Ciąg | Zakres platformy w chmurze, do którego należy urządzenie. TargetDvcScope mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| TargetDvcIdType | Warunkowe | Enumerated | Typ TargetDvcId. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DvcIdType w artykule Omówienie schematu. Wymagane, jeśli jest używany identyfikator TargetDeviceId . |
| TargetDeviceType | Opcjonalnie | Enumerated | Typ urządzenia docelowego. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zapoznaj się z artykułem DeviceType (Typ urządzenia) w artykule Przegląd schematu. |
| TargetIpAddr | Opcjonalnie | Adres IP | Adres IP urządzenia docelowego. Przykład: 2.2.2.2 |
| TargetDvcOs | Opcjonalnie | Ciąg | System operacyjny urządzenia docelowego. Przykład: Windows 10 |
| TargetPortNumber | Opcjonalnie | Wartość całkowita | Port urządzenia docelowego. |
Pola aplikacji działających
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| ActingAppId | Opcjonalnie | Ciąg | Identyfikator aplikacji, która zainicjowała zgłoszone działanie, w tym proces, przeglądarkę lub usługę. Na przykład: 0x12ae8. |
| ActiveAppName | Opcjonalnie | Ciąg | Nazwa aplikacji, która zainicjowała zgłoszone działanie, w tym usługę, adres URL lub aplikację SaaS. Na przykład: C:\Windows\System32\svchost.exe. |
| ActingAppType | Opcjonalnie | Typ aplikacji | Typ działającej aplikacji. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz Artykuł AppType w artykule Przegląd schematu. |
| HttpUserAgent | Opcjonalnie | Ciąg | W przypadku uwierzytelniania za pośrednictwem protokołu HTTP lub HTTPS wartość tego pola to user_agent nagłówek HTTP udostępniany przez działającą aplikację podczas przeprowadzania uwierzytelniania. Na przykład: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1. |
Pola systemu źródłowego
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Src | Alias | Ciąg | Unikatowy identyfikator urządzenia źródłowego. To pole może aliasuć pola SrcDvcId, SrcHostname lub SrcIpAddr . Przykład: 192.168.12.1 |
| SrcIpAddr | Zalecane | Adres IP | Adres IP, z którego pochodzi połączenie lub sesja. Przykład: 77.138.103.108 |
| IpAddr | Alias | Alias do SrcIpAddr lub targetIpAddr, jeśli nie podano elementu SrcIpAddr. | |
| SrcPortNumber | Opcjonalnie | Wartość całkowita | Port IP, z którego pochodzi połączenie. Może nie być istotne dla sesji składającej się z wielu połączeń. Przykład: 2335 |
| SrcHostname | Zalecane | Hostname (Nazwa hosta) | Nazwa hosta urządzenia źródłowego z wyłączeniem informacji o domenie. Jeśli żadna nazwa urządzenia nie jest dostępna, zapisz odpowiedni adres IP w tym polu. Przykład: DESKTOP-1282V4D |
| SrcDomain | Zalecane | Ciąg | Domena urządzenia źródłowego. Przykład: Contoso |
| SrcDomainType | Warunkowe | Domaintype | Typ SrcDomain. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DomainType w artykule Omówienie schematu. Wymagane, jeśli jest używany SrcDomain . |
| SrcFQDN | Opcjonalnie | Ciąg | Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, gdy są dostępne. Uwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa_hosta systemu Windows. Pole SrcDomainType odzwierciedla używany format. Przykład: Contoso\DESKTOP-1282V4D |
| SrcDescription | Opcjonalnie | Ciąg | Tekst opisowy skojarzony z urządzeniem. Na przykład: Primary Domain Controller. |
| SrcDvcId | Opcjonalnie | Ciąg | Identyfikator urządzenia źródłowego. Jeśli dostępnych jest wiele identyfikatorów, użyj najważniejszego identyfikatora i zapisz pozostałe w polach SrcDvc<DvcIdType>.Przykład: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcjonalnie | Ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. SrcDvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| SrcDvcScope | Opcjonalnie | Ciąg | Zakres platformy w chmurze, do którego należy urządzenie. SrcDvcScope mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| SrcDvcIdType | Warunkowe | DvcIdType | Typ SrcDvcId. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DvcIdType w artykule Omówienie schematu. Uwaga: to pole jest wymagane, jeśli jest używany identyfikator SrcDvcId . |
| SrcDeviceType | Opcjonalnie | Devicetype | Typ urządzenia źródłowego. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zapoznaj się z artykułem DeviceType (Typ urządzenia) w artykule Przegląd schematu. |
| SrcSubscriptionId | Opcjonalnie | Ciąg | Identyfikator subskrypcji platformy w chmurze, do którego należy urządzenie źródłowe. SrcSubscriptionId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| SrcGeoCountry | Opcjonalnie | Kraj | Kraj skojarzony ze źródłowym adresem IP. Przykład: USA |
| SrcGeoRegion | Opcjonalnie | Region | Region w kraju skojarzonym z źródłowym adresem IP. Przykład: Vermont |
| SrcGeoCity | Opcjonalnie | City (Miasto) | Miasto skojarzone ze źródłowym adresem IP. Przykład: Burlington |
| SrcGeoLatitude | Opcjonalnie | Szerokość geograficzna | Szerokość geograficzna współrzędnych geograficznych skojarzonych z źródłowym adresem IP. Przykład: 44.475833 |
| SrcGeoLongitude | Opcjonalnie | Długość | Długość geograficzna współrzędnej geograficznej skojarzonej z źródłowym adresem IP. Przykład: 73.211944 |
Pola inspekcji
Poniższe pola są używane do reprezentowania tej inspekcji przeprowadzonej przez system zabezpieczeń.
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Rulename | Opcjonalnie | Ciąg | Nazwa lub identyfikator reguły skojarzonej z wynikami inspekcji. |
| RuleNumber | Opcjonalnie | Wartość całkowita | Liczba reguł skojarzonych z wynikami inspekcji. |
| Reguły | Alias | Ciąg | Wartość RuleName lub wartość RuleNumber. Jeśli jest używana wartość RuleNumber , typ powinien zostać przekonwertowany na ciąg. |
| ThreatId | Opcjonalnie | Ciąg | Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu inspekcji. |
| ThreatName | Opcjonalnie | Ciąg | Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu inspekcji. |
| ThreatCategory | Opcjonalnie | Ciąg | Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku inspekcji. |
| ThreatRiskLevel | Opcjonalnie | Wartość całkowita | Poziom ryzyka skojarzony z zidentyfikowanym zagrożeniem. Poziom powinien być liczbą z zakresu od 0 do 100. Uwaga: wartość może być podana w rekordzie źródłowym przy użyciu innej skali, która powinna być znormalizowana do tej skali. Oryginalna wartość powinna być przechowywana w usłudze ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcjonalnie | Ciąg | Poziom ryzyka zgłoszony przez urządzenie raportowania. |
| ThreatConfidence | Opcjonalnie | Wartość całkowita | Zidentyfikowany poziom ufności zagrożenia znormalizowany do wartości z zakresu od 0 do 100. |
| ThreatOriginalConfidence | Opcjonalnie | Ciąg | Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgodnie z raportem urządzenia raportowania. |
| ThreatIsActive | Opcjonalnie | Wartość logiczna | Prawda, jeśli zidentyfikowane zagrożenie jest uznawane za aktywne zagrożenie. |
| ThreatFirstReportedTime | Opcjonalnie | Data i godzina | Po raz pierwszy adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
| ThreatLastReportedTime | Opcjonalnie | Data i godzina | Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
| ThreatIpAddr | Opcjonalnie | Adres IP | Adres IP, dla którego zidentyfikowano zagrożenie. Pole ThreatField zawiera nazwę pola ThreatIpAddr reprezentuje. |
| ThreatField | Opcjonalnie | Enumerated | Pole, dla którego zidentyfikowano zagrożenie. Wartość to SrcIpAddr lub TargetIpAddr. |
Następne kroki
Aby uzyskać więcej informacji, zobacz:
- Obejrzyj seminarium internetowe ASIM lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Zawartość usługi Advanced Security Information Model (ASIM)