Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Schemat alertów Microsoft Sentinel jest przeznaczony do normalizacji alertów związanych z zabezpieczeniami z różnych produktów do standardowego formatu w usłudze Microsoft Advanced Security Information Model (ASIM). Ten schemat koncentruje się wyłącznie na zdarzeniach zabezpieczeń, zapewniając spójną i wydajną analizę różnych źródeł danych.
Schemat alertów reprezentuje różne typy alertów zabezpieczeń, takie jak zagrożenia, podejrzane działania, anomalie zachowania użytkownika i naruszenia zgodności. Te alerty są zgłaszane przez różne produkty i systemy zabezpieczeń, w tym między innymi EDR, oprogramowanie antywirusowe, systemy wykrywania włamań, narzędzia do zapobiegania utracie danych itp.
Aby uzyskać więcej informacji na temat normalizacji w Microsoft Sentinel, zobacz Normalizacja i Zaawansowany model informacji o zabezpieczeniach (ASIM).
Parsery
Aby uzyskać więcej informacji na temat analizatorów ASIM, zobacz omówienie analizatorów ASIM.
Ujednolicanie analizatorów
Aby użyć analizatorów, które ujednolicają wszystkie wbudowane analizatory ASIM i upewnij się, że analiza jest uruchamiana we wszystkich skonfigurowanych źródłach, użyj _Im_AlertEvent analizatora.
Out-of-the-box, analizatory specyficzne dla źródła
Aby uzyskać listę analizatorów alertów, Microsoft Sentinel jest udostępniana jako out-of-the-box, zapoznaj się z listą analizatorów ASIM.
Dodawanie własnych znormalizowanych analizatorów
Podczas tworzenia niestandardowych analizatorów dla modelu informacji o alertach nazwij funkcje KQL przy użyciu następującej składni:
-
vimAlertEvent<vendor><Product>dla analizatorów sparametryzowanych -
ASimAlertEvent<vendor><Product>dla zwykłych analizatorów
Zapoznaj się z artykułem Managing ASIM parsers (Zarządzanie analizatorami ASIM), aby dowiedzieć się, jak dodać niestandardowe analizatory do analizatorów ujednolicających alerty.
Filtrowanie parametrów analizatora
Analizatory alertów obsługują różne parametry filtrowania w celu zwiększenia wydajności zapytań. Te parametry są opcjonalne, ale mogą zwiększyć wydajność zapytań. Dostępne są następujące parametry filtrowania:
| Name (Nazwa) | Wpisać | Opis |
|---|---|---|
| Starttime | Datetime | Filtruj tylko alerty, które rozpoczęły się o tej godzinie lub później. Ten parametr filtruje TimeGenerated pole, które jest standardowym projektantem czasu zdarzenia, niezależnie od mapowania specyficznego dla analizatora pól EventStartTime i EventEndTime. |
| Endtime | Datetime | Filtruj tylko alerty, które rozpoczęły się o tej godzinie lub przed tą godziną. Ten parametr filtruje TimeGenerated pole, które jest standardowym projektantem czasu zdarzenia, niezależnie od mapowania specyficznego dla analizatora pól EventStartTime i EventEndTime. |
| ipaddr_has_any_prefix | Dynamiczne | Filtruj tylko alerty, dla których pole "DvcIpAddr" znajduje się w jednej z wymienionych wartości. |
| hostname_has_any | Dynamiczne | Filtruj tylko alerty, dla których pole "DvcHostname" znajduje się w jednej z wymienionych wartości. |
| username_has_any | Dynamiczne | Filtruj tylko alerty, dla których pole "Nazwa użytkownika" znajduje się w jednej z wymienionych wartości. |
| attacktactics_has_any | Dynamiczne | Filtruj tylko alerty, dla których pole "AttackTactics" znajduje się w jednej z wymienionych wartości. |
| attacktechniques_has_any | Dynamiczne | Filtruj tylko alerty, dla których pole "AttackTechniques" znajduje się w jednej z wymienionych wartości. |
| threatcategory_has_any | Dynamiczne | Filtruj tylko alerty, dla których pole "ThreatCategory" znajduje się w jednej z wymienionych wartości. |
| alertverdict_has_any | Dynamiczne | Filtruj tylko alerty, dla których pole "AlertVerdict" znajduje się w jednej z wymienionych wartości. |
| eventseverity_has_any | Dynamiczne | Filtruj tylko alerty, dla których pole "EventSeverity" znajduje się w jednej z wymienionych wartości. |
Omówienie schematu
Schemat alertów obsługuje kilka typów zdarzeń zabezpieczeń, które współużytkują te same pola. Te zdarzenia są identyfikowane przez pole EventType:
- Informacje o zagrożeniach: alerty związane z różnymi typami złośliwych działań, takich jak złośliwe oprogramowanie, wyłudzanie informacji, oprogramowanie wymuszające okup i inne zagrożenia cybernetyczne.
- Podejrzane działania: alerty dotyczące działań, które niekoniecznie są potwierdzonymi zagrożeniami, ale są podejrzane i wymagają dalszych badań, takich jak wiele nieudanych prób logowania lub dostęp do ograniczonych plików.
- Anomalie zachowania użytkownika: alerty wskazujące nietypowe lub nieoczekiwane zachowanie użytkownika, które mogą sugerować problem z zabezpieczeniami, taki jak nietypowe czasy logowania lub nietypowe wzorce dostępu do danych.
- Naruszenia zgodności: alerty związane z niezgodnością z zasadami regulacyjnymi lub wewnętrznymi. Na przykład maszyna wirtualna uwidoczniona z otwartymi portami publicznymi narażonymi na ataki (alert zabezpieczeń w chmurze).
Ważna
Aby zachować istotność i skuteczność schematu alertów, należy mapować tylko alerty związane z zabezpieczeniami.
Schemat alertów odwołuje się do następujących jednostek w celu przechwycenia szczegółów alertu:
- Pola dvc służą do przechwytywania szczegółów dotyczących hosta lub adresu IP skojarzonego z alertem
-
Pola użytkownika służą do przechwytywania szczegółów dotyczących użytkownika skojarzonego z alertem.
- Podobnie pola Proces, Plik, Adres URL, Rejestr i Email są używane do przechwytywania tylko kluczowych szczegółów dotyczących odpowiednio procesu, pliku, adresu URL, rejestru i poczty e-mail skojarzonych z alertem.
Ważna
- Podczas tworzenia analizatora specyficznego dla produktu użyj schematu alertu usługi ASIM, gdy alert zawiera informacje o zdarzeniu zabezpieczeń lub potencjalnym zagrożeniu, a podstawowe szczegóły można mapować bezpośrednio do dostępnych pól schematu alertów. Schemat alertów jest idealny do przechwytywania informacji podsumowania bez rozległych pól specyficznych dla jednostki.
- Jeśli jednak umieścisz podstawowe pola w polu "AdditionalFields" z powodu braku bezpośrednich dopasowań pól, rozważ bardziej wyspecjalizowany schemat. Jeśli na przykład alert zawiera szczegóły związane z siecią, takie jak wiele adresów IP, np. SrcIpAdr, DstIpAddr, PortNumber itp., możesz wybrać schemat NetworkSession w schemacie alertu. Wyspecjalizowane schematy udostępniają również dedykowane pola do przechwytywania informacji związanych z zagrożeniami, poprawiania jakości danych i ułatwiania wydajnej analizy.
Szczegóły schematu
Typowe pola usługi ASIM
Na poniższej liście wymieniono pola, które mają określone wytyczne dotyczące zdarzeń alertów:
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| EventType | Obowiązkowe | Wyliczane | Typ zdarzenia. Obsługiwane wartości to: - Alert |
| EventSubType | Zalecane | Wyliczane | Określa podtyp lub kategorię zdarzenia alertu, zapewniając bardziej szczegółowe informacje w ramach szerszej klasyfikacji zdarzeń. To pole pomaga odróżnić charakter wykrytego problemu, poprawiając priorytetyzację incydentów i strategie reagowania. Obsługiwane wartości obejmują: - Threat (Reprezentuje potwierdzone lub wysoce prawdopodobne złośliwe działanie, które może naruszyć system lub sieć)- Suspicious Activity (Flagi zachowanie lub zdarzenia, które wydają się nietypowe lub podejrzane, choć jeszcze nie potwierdzone jako złośliwe)- Anomaly (Identyfikuje odchylenia od normalnych wzorców, które mogą wskazywać na potencjalne zagrożenie bezpieczeństwa lub problem operacyjny)- Compliance Violation (Wyróżnia działania naruszające standardy regulacyjne, zasady lub zgodności) |
| EventUid | Obowiązkowe | ciąg | Czytelny dla maszyny ciąg alfanumeryczny, który jednoznacznie identyfikuje alert w systemie. Przykład. A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
| EventMessage | Opcjonalny | ciąg | Szczegółowe informacje o alertie, w tym jego kontekst, przyczyna i potencjalny wpływ. Przykład. Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
| IpAddr | Alias | Alias lub przyjazna nazwa pola DvcIpAddr . |
|
| Hostname (Nazwa hosta) | Alias | Alias lub przyjazna nazwa pola DvcHostname . |
|
| EventSchema | Obowiązkowe | Wyliczane | Schemat używany na potrzeby zdarzenia. Schemat udokumentowany w tym miejscu to AlertEvent. |
| EventSchemaVersion | Obowiązkowe | SchemaVersion (ciąg) | Wersja schematu. Udokumentowana tutaj wersja schematu to 0.1. |
Wszystkie typowe pola
Pola wyświetlane w poniższej tabeli są wspólne dla wszystkich schematów ASIM. Wszelkie wytyczne określone powyżej zastępują ogólne wytyczne dotyczące pola. Na przykład pole może być opcjonalne ogólnie, ale obowiązkowe dla określonego schematu. Aby uzyskać więcej informacji na temat każdego pola, zapoznaj się z artykułem ASIM Common Fields (Typowe pola usługi ASIM ).
| Klasa | Pola |
|---|---|
| Obowiązkowe |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventUid - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
| Zalecane |
-
EventSubType - EventSeverity - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType |
| Opcjonalny |
-
EventMessage - EventOriginalType - EventOriginalSubType - EventOriginalSeverity - EventProductVersion - EventOriginalUid - EventReportUrl - EventResult - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcAction - DvcOriginalAction - DvcInterface - Pola dodatkowe - DvcDescription - DvcScopeId - DvcScope |
Pola inspekcji
W poniższej tabeli opisano pola, które zapewniają krytyczny wgląd w reguły i zagrożenia związane z alertami. Razem pomagają wzbogacić kontekst alertu, ułatwiając analitykom zabezpieczeń zrozumienie jego pochodzenia i znaczenia.
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| AlertId | Alias | ciąg | Alias lub przyjazna nazwa pola EventUid . |
| Nazwa alertu | Zalecane | ciąg | Tytuł lub nazwa alertu. Przykład. Possible use of the Rubeus kerberoasting tool |
| AlertDescription | Alias | ciąg | Alias lub przyjazna nazwa pola EventMessage . |
| AlertVerdict | Opcjonalny | Wyliczane | Ostateczne określenie lub wynik alertu wskazujący, czy alert został potwierdzony jako zagrożenie, uznany za podejrzany, czy rozpoznany jako fałszywie dodatni. Obsługiwane wartości to: - True Positive (Potwierdzone jako uzasadnione zagrożenie)- False Positive (Niepoprawnie zidentyfikowane jako zagrożenie)- Benign Positive (gdy zdarzenie zostanie uznane za nieszkodliwe)- Unknown (Stan niepewny lub nieokreślony) |
| AlertStatus | Opcjonalny | Wyliczane | Wskazuje bieżący stan lub postęp alertu. Obsługiwane wartości to: - Active- Closed |
| AlertOriginalStatus | Opcjonalny | ciąg | Stan alertu zgłoszony przez system źródłowy. |
| DetectionMethod | Opcjonalny | Wyliczane | Zawiera szczegółowe informacje o konkretnej metodzie wykrywania, technologii lub źródle danych, które przyczyniły się do wygenerowania alertu. To pole zapewnia lepszy wgląd w to, w jaki sposób alert został wykryty lub wyzwolony, co ułatwia zrozumienie kontekstu wykrywania i niezawodności. Obsługiwane wartości obejmują: - EDR: Systemy wykrywania i reagowania punktów końcowych, które monitorują i analizują działania punktu końcowego w celu zidentyfikowania zagrożeń.- Behavioral Analytics: Techniki, które wykrywają nietypowe wzorce w zachowaniu użytkownika, urządzenia lub systemu.- Reputation: Wykrywanie zagrożeń na podstawie reputacji adresów IP, domen lub plików.- Threat Intelligence: Zewnętrzne lub wewnętrzne źródła danych wywiadowczych dostarczające danych dotyczących znanych zagrożeń lub taktyk przeciwnika.- Intrusion Detection: Systemy monitorujące ruch sieciowy lub działania pod kątem oznak włamań lub ataków.- Automated Investigation: zautomatyzowane systemy analizujące i badające alerty, zmniejszające obciążenie ręczne.- Antivirus: Tradycyjne aparaty antywirusowe wykrywają złośliwe oprogramowanie na podstawie sygnatur i algorytmów heurystycznych.- Data Loss Prevention: Rozwiązania skoncentrowane na zapobieganiu nieautoryzowanemu transferowi lub wyciekom danych.- User Defined Blocked List: listy niestandardowe zdefiniowane przez użytkowników w celu blokowania określonych adresów IP, domen lub plików.- Cloud Security Posture Management: Narzędzia, które oceniają zagrożenia bezpieczeństwa i zarządzają nimi w środowiskach chmury.- Cloud Application Security: rozwiązania, które zabezpieczają aplikacje i dane w chmurze.- Scheduled Alerts: alerty generowane na podstawie wstępnie zdefiniowanych harmonogramów lub progów.- Other: Wszelkie inne metody wykrywania nieobjęte powyższymi kategoriami. |
| Reguły | Alias | ciąg | Wartość ruleName lub wartość RuleNumber. Jeśli jest używana wartość RuleNumber, typ powinien zostać przekonwertowany na ciąg. |
| Numer reguły | Opcjonalny | Int | Liczba reguł skojarzonych z alertem. Przykład. 123456 |
| Rulename | Opcjonalny | ciąg | Nazwa lub identyfikator reguły skojarzonej z alertem. Przykład. Server PSEXEC Execution via Remote Access |
| RuleDescription | Opcjonalny | ciąg | Opis reguły skojarzonej z alertem. Przykład. This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
| ThreatId | Opcjonalny | ciąg | Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w alercie. Przykład. 1234567891011121314 |
| ThreatName | Opcjonalny | ciąg | Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w alercie. Przykład. Init.exe |
| ThreatFirstReportedTime | Opcjonalny | Datetime | Data i godzina pierwszego zgłoszenia zagrożenia. Przykład. 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Opcjonalny | Datetime | Data i godzina ostatniego zgłoszenia zagrożenia. Przykład. 2024-09-19T10:12:10.0000000Z |
| ThreatCategory | Zalecane | Wyliczane | Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowana w alercie. Obsługiwane wartości to: , , , , , , , , Rootkit, Cryptominor, Phishing, Spam, MaliciousUrl, , Spoofing, , , Security Policy ViolationSpywareAdwareWormVirusTrojanRansomwareMalwareUnknown |
| ThreatOriginalCategory | Opcjonalny | ciąg | Kategoria zagrożenia zgłoszona przez system źródłowy. |
| ThreatIsActive | Opcjonalny | Bool | Wskazuje, czy zagrożenie jest obecnie aktywne. Obsługiwane wartości to: True, False |
| ThreatRiskLevel | Opcjonalny | RiskLevel (liczba całkowita) | Poziom ryzyka skojarzony z zagrożeniem. Poziom powinien być liczbą z zakresu od 0 do 100. Uwaga: wartość może zostać podana w rekordzie źródłowym przy użyciu innej skali, która powinna zostać znormalizowana do tej skali. Oryginalna wartość powinna być przechowywana w witrynie ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcjonalny | ciąg | Poziom ryzyka zgłoszony przez system źródłowy. |
| ThreatConfidence | Opcjonalny | ConfidenceLevel (liczba całkowita) | Poziom ufności zidentyfikowanego zagrożenia znormalizowany do wartości od 0 do 100. |
| ThreatOriginalConfidence | Opcjonalny | ciąg | Poziom ufności zgłoszony przez system źródłowy. |
| Typ wskaźnika | Zalecane | Wyliczane | Typ lub kategoria wskaźnika Obsługiwane wartości to: - Ip- User- Process- Registry- Url- Host- Cloud Resource- Application- File- Email- Mailbox- Logon Session |
| IndicatorAssociation | Opcjonalny | Wyliczane | Określa, czy wskaźnik jest połączony z zagrożeniem, czy bezpośrednio na nie wpływa. Obsługiwane wartości to: - Associated- Targeted |
| AttackTactics | Zalecane | ciąg | Taktyka ataku (nazwa, identyfikator lub oba) skojarzona z alertem. Preferowany format: Przykład: Persistence, Privilege Escalation |
| AttackTechniques | Zalecane | ciąg | Techniki ataku (nazwa, identyfikator lub oba) skojarzone z alertem. Preferowany format: Przykład: Local Groups (T1069.001), Domain Groups (T1069.002) |
| AttackRemediationSteps | Zalecane | ciąg | Zalecane akcje lub kroki w celu wyeliminowania lub skorygowania zidentyfikowanego ataku lub zagrożenia. Przykład. 1. Make sure the machine is completely updated and all your software has the latest patch.2. Contact your incident response team. |
Pola użytkownika
W tej sekcji zdefiniowano pola związane z identyfikacją i klasyfikacją użytkowników skojarzonych z alertem, zapewniając czytelność dotyczącą użytkownika, na który ma to wpływ, oraz formatu jego tożsamości. Jeśli alert zawiera dodatkowe, wiele pól związanych z użytkownikiem, które przekraczają to, co jest mapowane tutaj, możesz rozważyć, czy wyspecjalizowany schemat, taki jak schemat zdarzeń uwierzytelniania, może być bardziej odpowiedni do pełnego reprezentowania danych.
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| Userid | Opcjonalny | ciąg | Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja użytkownika skojarzonego z alertem. Przykład. A1bC2dE3fH4iJ5kL6mN7o |
| UserIdType | Warunkowe | Wyliczane | Typ identyfikatora użytkownika, taki jak GUID, SIDlub Email.Obsługiwane wartości to: - GUID- SID- Email- Username- Phone- Other |
| Nazwa użytkownika | Zalecane | Nazwa użytkownika (ciąg) | Nazwa użytkownika skojarzonego z alertem, w tym informacje o domenie, jeśli są dostępne. np. Contoso\JSmith lub john.smith@contoso.com |
| Użytkownik | Alias | ciąg | Alias lub przyjazna nazwa pola Username . |
| Typ nazwy użytkownika | Warunkowe | Typ nazwy użytkownika | Określa typ nazwy użytkownika przechowywanej Username w polu. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UsernameType w artykule Omówienie schematu.Przykład. Windows |
| Usertype | Opcjonalny | Usertype | Typ aktora. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserType w artykule Omówienie schematu. Przykład. Guest |
| OriginalUserType | Opcjonalny | ciąg | Typ użytkownika zgłoszony przez urządzenie raportowania. |
| UserSessionId | Opcjonalny | ciąg | Unikatowy identyfikator sesji użytkownika skojarzonej z alertem. Przykład. a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
| UserScopeId | Opcjonalny | ciąg | Identyfikator zakresu, taki jak identyfikator katalogu Microsoft Entra, w którym zdefiniowano identyfikator użytkownika i nazwę użytkownika. Przykład. a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
| UserScope | Opcjonalny | ciąg | Zakres, taki jak dzierżawa Microsoft Entra, w którym zdefiniowano identyfikator użytkownika i nazwę użytkownika. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu. Przykład. Contoso Directory |
Pola procesu
Ta sekcja umożliwia przechwytywanie szczegółów związanych z jednostką procesu biorącą udział w alercie przy użyciu określonych pól. Jeśli alert zawiera dodatkowe, szczegółowe pola związane z procesem, które przekraczają to, co jest zamapowane w tym miejscu, możesz rozważyć, czy wyspecjalizowany schemat, taki jak schemat zdarzeń procesu, może być bardziej odpowiedni do pełnego reprezentowania danych.
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| Processid | Opcjonalny | ciąg | Identyfikator procesu (PID) skojarzony z alertem. Przykład. 12345678 |
| ProcessCommandLine | Opcjonalny | ciąg | Wiersz polecenia używany do uruchomienia procesu. Przykład. "choco.exe" -v |
| Nazwa procesu | Opcjonalny | ciąg | Nazwa procesu. Przykład. C:\Windows\explorer.exe |
| ProcessFileCompany | Opcjonalny | ciąg | Firma, która utworzyła plik obrazu procesu. Przykład. Microsoft |
Pola plików
Ta sekcja umożliwia przechwytywanie szczegółów związanych z jednostką pliku biorącą udział w alercie. Jeśli alert zawiera dodatkowe, szczegółowe pola związane z plikami, które przekraczają to, co jest zamapowane tutaj, możesz rozważyć, czy wyspecjalizowany schemat, taki jak schemat zdarzeń pliku, może być bardziej odpowiedni do pełnego reprezentowania danych.
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| Pod nazwą | Opcjonalny | ciąg | Nazwa pliku skojarzonego z alertem bez ścieżki lub lokalizacji. Przykład. Notepad.exe |
| Filepath | Opcjonalny | ciąg | Pełna, znormalizowana ścieżka pliku docelowego, w tym folder lub lokalizacja, nazwa pliku i rozszerzenie. Przykład. C:\Windows\System32\notepad.exe |
| FileSHA1 | Opcjonalny | ciąg | Skrót SHA1 pliku. Przykład. j5kl6mn7op8qr9st0uv1 |
| FileSHA256 | Opcjonalny | ciąg | Skrót SHA256 pliku. Przykład. a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
| PlikMD5 | Opcjonalny | ciąg | Skrót MD5 pliku. Przykład. j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
| Rozmiar pliku | Opcjonalny | Długi | Rozmiar pliku w bajtach. Przykład. 123456 |
Pole adresu URL
Jeśli alert zawiera informacje o jednostce url, następujące pola mogą przechwytywać dane związane z adresem URL.
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| Adres url | Opcjonalny | ciąg | Ciąg adresu URL przechwycony w alercie. Przykład. https://contoso.com/fo/?k=v&q=u#f |
Pola rejestru
Jeśli alert zawiera szczegółowe informacje o jednostce rejestru, użyj następujących pól, aby przechwycić określone informacje związane z rejestrem.
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| Registrykey | Opcjonalny | ciąg | Klucz rejestru skojarzony z alertem znormalizowany do standardowych konwencji nazewnictwa kluczy głównych. Przykład. HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Opcjonalny | ciąg | Wartość rejestru. Przykład. ImagePath |
| RegistryValueData | Opcjonalny | ciąg | Dane wartości rejestru. Przykład. C:\Windows\system32;C:\Windows; |
| RegistryValueType | Opcjonalny | Wyliczane | Typ wartości rejestru. Przykład. Reg_Expand_Sz |
pola Email
Jeśli alert zawiera informacje o jednostce poczty e-mail, użyj następujących pól, aby przechwycić szczegółowe informacje dotyczące poczty e-mail.
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| EmailMessageId | Opcjonalny | ciąg | Unikatowy identyfikator wiadomości e-mail skojarzony z alertem. Przykład. Request for Invoice Access |
| EmailSubject | Opcjonalny | ciąg | Temat wiadomości e-mail. Przykład. j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
Aktualizacje schematu
Poniżej przedstawiono zmiany w różnych wersjach schematu:
- Wersja 0.1: wersja początkowa.