Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Schemat normalizacji zarządzania Microsoft Sentinel użytkowników służy do opisywania działań zarządzania użytkownikami, takich jak tworzenie użytkownika lub grupy, zmiana atrybutu użytkownika lub dodawanie użytkownika do grupy. Takie zdarzenia są zgłaszane, na przykład przez systemy operacyjne, usługi katalogowe, systemy zarządzania tożsamościami i wszelkie inne raporty systemowe dotyczące lokalnego działania zarządzania użytkownikami.
Aby uzyskać więcej informacji na temat normalizacji w Microsoft Sentinel, zobacz Normalizacja i Zaawansowany model informacji o zabezpieczeniach (ASIM).
Omówienie schematu
Schemat zarządzania użytkownikami usługi ASIM opisuje działania związane z zarządzaniem użytkownikami. Działania te zwykle obejmują następujące jednostki:
- Aktor — użytkownik wykonujący działanie zarządzania.
- Proces działania — proces używany przez aktora do wykonywania działania zarządzania.
- Src — gdy działanie jest wykonywane za pośrednictwem sieci, urządzenie źródłowe, z którego zainicjowano działanie.
- Użytkownik docelowy — użytkownik, który jest kontem, jest zarządzany.
- Grupuj użytkownika docelowego, który jest dodawany, usuwany lub modyfikowany.
Niektóre działania, takie jak UserCreated, GroupCreated, UserModified i GroupModified*, ustawiają lub aktualizują właściwości użytkownika. Zestaw właściwości lub zaktualizowane są udokumentowane w następujących polach:
- EventSubType — nazwa wartości, która została ustawiona lub zaktualizowana. UpdatedPropertyName to alias elementu EventSubType , gdy eventSubType odwołuje się do jednego z odpowiednich typów zdarzeń.
- PreviousPropertyValue — poprzednia wartość właściwości.
- NewPropertyValue — zaktualizowana wartość właściwości.
Parsery
Aby uzyskać więcej informacji na temat analizatorów ASIM, zobacz omówienie analizatorów ASIM.
Filtrowanie parametrów analizatora
Analizatory zarządzania użytkownikami obsługują parametry filtrowania. Te parametry są opcjonalne, ale mogą zwiększyć wydajność zapytania.
Dostępne są następujące parametry filtrowania:
| Name (Nazwa) | Wpisać | Opis |
|---|---|---|
| Starttime | Datetime | Filtruj tylko zdarzenia zarządzania użytkownikami, które wystąpiły o tej godzinie lub później. Ten parametr filtruje TimeGenerated pole, które jest standardowym projektantem czasu zdarzenia, niezależnie od mapowania specyficznego dla analizatora pól EventStartTime i EventEndTime. |
| Endtime | Datetime | Filtruj tylko zdarzenia zarządzania użytkownikami, które wystąpiły o tej godzinie lub przed tą godziną. Ten parametr filtruje TimeGenerated pole, które jest standardowym projektantem czasu zdarzenia, niezależnie od mapowania specyficznego dla analizatora pól EventStartTime i EventEndTime. |
| srcipaddr_has_any_prefix | Dynamiczne | Filtruj tylko zdarzenia zarządzania użytkownikami, w których prefiks źródłowego adresu IP jest zgodny z dowolną z wymienionych wartości. Prefiksy powinny kończyć się wartością ., na przykład: 10.0.. |
| targetusername_has_any | Dynamiczne | Filtruj tylko zdarzenia zarządzania użytkownikami, w których docelowa nazwa użytkownika ma dowolną z wymienionych wartości. |
| actorusername_has_any | Dynamiczne | Filtruj tylko zdarzenia zarządzania użytkownikami, w których nazwa użytkownika aktora ma dowolną z wymienionych wartości. |
| eventtype_in | Dynamiczne | Filtruj tylko zdarzenia zarządzania użytkownikami, w których typ zdarzenia jest jedną z wymienionych wartości, takich jak UserCreated, UserDeleted, UserModified, PasswordChangedlub GroupCreated. |
Aby na przykład filtrować tylko zdarzenia tworzenia użytkowników z ostatniego dnia, użyj następujących elementów:
_Im_UserManagement (eventtype_in=dynamic(['UserCreated']), starttime = ago(1d), endtime=now())
Szczegóły schematu
Typowe pola usługi ASIM
Ważna
Pola wspólne dla wszystkich schematów zostały szczegółowo opisane w artykule ASIM Common Fields (Pola wspólne usługi ASIM ).
Typowe pola z określonymi wytycznymi
Na poniższej liście wymieniono pola, które mają określone wytyczne dotyczące zdarzeń działania procesu:
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| EventType | Obowiązkowe | Wyliczane | Opisuje operację zgłoszoną przez rekord. W przypadku działania zarządzania użytkownikami obsługiwane wartości to: - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| EventSubType | Opcjonalny | Wyliczane | Obsługiwane są następujące podtypy: - UserRead: Hasło, skrót- UserCreated, GroupCreated, UserModified, GroupModified. Aby uzyskać więcej informacji, zobacz UpdatedPropertyName |
| EventResult | Obowiązkowe | Wyliczane | Chociaż awaria jest możliwa, większość systemów zgłasza tylko pomyślne zdarzenia zarządzania użytkownikami. Oczekiwaną wartością dla zdarzeń zakończonych powodzeniem jest Success. |
| EventResultDetails | Zalecane | Wyliczane | Prawidłowe wartości to NotAuthorized i Other. |
| EventSeverity | Obowiązkowe | Wyliczane | Chociaż dowolna prawidłowa wartość ważności jest dozwolona, ważność zdarzeń zarządzania użytkownikami jest zazwyczaj Informational. |
| EventSchema | Obowiązkowe | Wyliczane | Nazwa schematu udokumentowanego w tym miejscu to UserManagement. |
| EventSchemaVersion | Obowiązkowe | SchemaVersion (ciąg) | Wersja schematu. Udokumentowana tutaj wersja schematu to 0.1.2. |
| Pola dvc | W przypadku zdarzeń zarządzania użytkownikami pola urządzeń odnoszą się do systemu, który zgłasza zdarzenie. Zazwyczaj jest to system, w którym użytkownik jest zarządzany. |
Wszystkie typowe pola
Pola wyświetlane w poniższej tabeli są wspólne dla wszystkich schematów ASIM. Wszelkie wytyczne określone powyżej zastępują ogólne wytyczne dotyczące pola. Na przykład pole może być opcjonalne ogólnie, ale obowiązkowe dla określonego schematu. Aby uzyskać więcej informacji na temat każdego pola, zapoznaj się z artykułem ASIM Common Fields (Typowe pola usługi ASIM ).
| Klasa | Pola |
|---|---|
| Obowiązkowe |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Zalecane |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcjonalny |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Pola dodatkowe - DvcDescription - DvcScopeId - DvcScope |
Zaktualizowane pola właściwości
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| UpdatedPropertyName | Alias | Alias do elementu EventSubType , gdy typ zdarzenia to UserCreated, GroupCreated, UserModifiedlub GroupModified.Obsługiwane wartości to: - MultipleProperties: używane, gdy działanie aktualizuje wiele właściwości- Previous<PropertyName>, gdzie <PropertyName> jest jedną z obsługiwanych wartości dla UpdatedPropertyNameelementu . - New<PropertyName>, gdzie <PropertyName> jest jedną z obsługiwanych wartości dla UpdatedPropertyNameelementu . |
|
| PreviousPropertyValue | Opcjonalny | Ciąg | Poprzednia wartość, która była przechowywana w określonej właściwości. |
| NewPropertyValue | Opcjonalny | Ciąg | Nowa wartość przechowywana w określonej właściwości. |
Pola użytkownika docelowego
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| TargetUserId | Opcjonalny | Ciąg | Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja użytkownika docelowego. Obsługiwane formaty i typy obejmują: - IDENTYFIKATOR SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Zapisz typ identyfikatora w polu TargetUserIdType . Jeśli są dostępne inne identyfikatory, zalecamy normalizację nazw pól odpowiednio do wartości TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId i TargetUserAwsId. Aby uzyskać więcej informacji, zobacz jednostka Użytkownik. Przykład: S-1-12 |
| TargetUserIdType | Warunkowe | Wyliczane | Typ identyfikatora przechowywanego w polu TargetUserId . Obsługiwane wartości to SID, UID, AADID, OktaIdi AWSId. |
| TargetUsername | Opcjonalny | Nazwa użytkownika (ciąg) | Docelowa nazwa użytkownika, w tym informacje o domenie, jeśli są dostępne. Użyj jednego z następujących formatów i w następującej kolejności priorytetu: - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- Nazwa DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Proste: johndow. Użyj formularza Simple tylko wtedy, gdy informacje o domenie nie są dostępne.Zapisz typ nazwy użytkownika w polu TargetUsernameType . Jeśli są dostępne inne identyfikatory, zalecamy znormalizowanie nazw pól do wartości TargetUserUpn, TargetUserWindows i TargetUserDn. Aby uzyskać więcej informacji, zobacz jednostka Użytkownik. Przykład: AlbertE |
| TargetUsernameType | Warunkowe | Wyliczane | Określa typ nazwy użytkownika przechowywanej w polu TargetUsername . Obsługiwane wartości to UPN, Windows, DN, i Simple. Aby uzyskać więcej informacji, zobacz jednostka Użytkownik.Przykład: Windows |
| TargetUserType | Opcjonalny | Wyliczane | Typ użytkownika docelowego. Obsługiwane wartości obejmują: - Regular- Machine- Admin- System- Application- Service Principal- OtherUwaga: wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Zapisz oryginalną wartość w polu TargetOriginalUserType . |
| TargetOriginalUserType | Opcjonalny | Ciąg | Oryginalny typ użytkownika docelowego, jeśli jest dostarczany przez źródło. |
| TargetUserScope | Opcjonalny | Ciąg | Zakres, taki jak dzierżawa Microsoft Entra, w którym zdefiniowano elementy TargetUserId i TargetUsername. lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu. |
| TargetUserScopeId | Opcjonalny | Ciąg | Identyfikator zakresu, taki jak identyfikator katalogu Microsoft Entra, w którym zdefiniowano elementy TargetUserId i TargetUsername. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserScopeId w artykule Omówienie schematu. |
| TargetUserSessionId | Opcjonalny | Ciąg | Unikatowy identyfikator sesji logowania użytkownika docelowego. Przykład: 999 Uwaga: typ jest definiowany jako ciąg do obsługi różnych systemów, ale w systemie Windows ta wartość musi być liczbowa. Jeśli używasz maszyny z systemem Windows lub Linux i używasz innego typu, przekonwertuj wartości. Jeśli na przykład użyto wartości szesnastkowej, przekonwertuj ją na wartość dziesiętną. |
Pola aktora
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| ActorUserId | Opcjonalny | Ciąg | Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja aktora. Obsługiwane formaty i typy obejmują: - IDENTYFIKATOR SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Zapisz typ identyfikatora w polu ActorUserIdType . Jeśli są dostępne inne identyfikatory, zalecamy normalizację nazw pól odpowiednio do actoruserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId i ActorAwsId. Aby uzyskać więcej informacji, zobacz jednostka Użytkownik. Przykład: S-1-12 |
| ActorUserIdType | Warunkowe | Wyliczane | Typ identyfikatora przechowywanego w polu ActorUserId . Obsługiwane wartości to SID, UID, AADID, OktaId, i AWSId. |
| ActorUsername | Obowiązkowe | Nazwa użytkownika (ciąg) | Nazwa użytkownika aktora, w tym informacje o domenie, jeśli są dostępne. Użyj jednego z następujących formatów i w następującej kolejności priorytetu: - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- Nazwa DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Proste: johndow. Użyj formularza Simple tylko wtedy, gdy informacje o domenie nie są dostępne.Zapisz typ nazwy użytkownika w polu ActorUsernameType . Jeśli są dostępne inne identyfikatory, zalecamy znormalizowanie nazw pól do elementów ActorUserUpn, ActorUserWindows i ActorUserDn. Aby uzyskać więcej informacji, zobacz jednostka Użytkownik. Przykład: AlbertE |
| Użytkownika | Alias | Alias do ActorUsername. | |
| ActorUsernameType | Warunkowe | Wyliczane | Określa typ nazwy użytkownika przechowywanej w polu ActorUsername . Obsługiwane wartości to UPN, Windows, DNi Simple. Aby uzyskać więcej informacji, zobacz jednostka Użytkownik.Przykład: Windows |
| ActorUserType | Opcjonalny | Wyliczane | Typ aktora. Dozwolone wartości to: - Regular- Machine- Admin- System- Application- Service Principal- OtherUwaga: wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Zapisz oryginalną wartość w polu ActorOriginalUserType . |
| ActorOriginalUserType | Opcjonalny | Ciąg | Oryginalny typ użytkownika docelowego, jeśli jest dostarczany przez urządzenie raportowania. |
| ActorOriginalUserType | Oryginalny typ użytkownika aktora, jeśli jest dostarczany przez źródło. | ||
| ActorSessionId | Opcjonalny | Ciąg | Unikatowy identyfikator sesji logowania aktora. Przykład: 999Uwaga: typ jest definiowany jako ciąg do obsługi różnych systemów, ale w systemie Windows ta wartość musi być liczbowa. Jeśli używasz maszyny z systemem Windows i używasz innego typu, przekonwertuj wartości. Jeśli na przykład użyto wartości szesnastkowej, przekonwertuj ją na wartość dziesiętną. |
| ActorScope | Opcjonalny | Ciąg | Zakres, taki jak dzierżawa Microsoft Entra, w którym zdefiniowano elementy ActorUserId i ActorUsername. lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu. |
| ActorScopeId | Opcjonalny | Ciąg | Identyfikator zakresu, taki jak identyfikator katalogu Microsoft Entra, w którym zdefiniowano elementy ActorUserId i ActorUsername. lub więcej informacji i listy dozwolonych wartości, zobacz UserScopeId w artykule Omówienie schematu. |
Pola grupy
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| Groupid | Opcjonalny | Ciąg | Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja grupy dla działań obejmujących grupę. Obsługiwane formaty i typy obejmują: - IDENTYFIKATOR SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578Zapisz typ identyfikatora w polu GroupIdType . Jeśli są dostępne inne identyfikatory, zalecamy znormalizowanie nazw pól odpowiednio do wartości GroupSid lub GroupUid. Aby uzyskać więcej informacji, zobacz jednostka Użytkownik. Przykład: S-1-12 |
| GroupIdType | Opcjonalny | Wyliczane | Typ identyfikatora przechowywanego w polu GroupId . Obsługiwane wartości to SID, i UID. |
| Groupname | Opcjonalny | Ciąg | Nazwa grupy, w tym informacje o domenie, jeśli są dostępne, dla działań obejmujących grupę. Użyj jednego z następujących formatów i w następującej kolejności priorytetu: - Upn/Email: grp@contoso.com- Windows: Contoso\grp- Nazwa DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM- Proste: grp. Użyj formularza Simple tylko wtedy, gdy informacje o domenie nie są dostępne.Zapisz typ nazwy grupy w polu GroupNameType . Jeśli są dostępne inne identyfikatory, zalecamy znormalizowane nazwy pól : GroupUpn, GroupNameWindows i GroupDn. Przykład: Contoso\Finance |
| GroupNameType | Opcjonalny | Wyliczane | Określa typ nazwy grupy przechowywanej w polu Nazwa grupy. Obsługiwane wartości to UPN, Windows, DN, i Simple.Przykład: Windows |
| Grouptype | Opcjonalny | Wyliczane | Typ grupy dla działań obejmujących grupę. Obsługiwane wartości obejmują: - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- OtherUwaga: wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Zapisz oryginalną wartość w polu GroupOriginalType . |
| GroupOriginalType | Opcjonalny | Ciąg | Oryginalny typ grupy, jeśli jest dostarczany przez źródło. |
Pola źródłowe
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| Src | Zalecane | Ciąg | Unikatowy identyfikator urządzenia źródłowego. To pole może mieć alias pól SrcDvcId, SrcHostname lub SrcIpAddr . Przykład: 192.168.12.1 |
| SrcIpAddr | Zalecane | Adres IP | Adres IP urządzenia źródłowego. Ta wartość jest obowiązkowa, jeśli określono nazwę SrcHostname . Przykład: 77.138.103.108 |
| IpAddr | Alias | Alias do SrcIpAddr. | |
| SrcPortNumber | Opcjonalny | Liczba całkowita | Port IP, z którego pochodzi połączenie. Może nie być istotne dla sesji obejmującej wiele połączeń. Przykład: 2335 |
| SrcMacAddr | Opcjonalny | Adres MAC (ciąg) | Adres MAC interfejsu sieciowego, z którego pochodzi połączenie lub sesja. Przykład: 06:10:9f:eb:8f:14 |
| SrcDescription | Opcjonalny | Ciąg | Opisowy tekst skojarzony z urządzeniem. Przykład: Primary Domain Controller. |
| SrcHostname | Zalecane | Ciąg | Nazwa hosta urządzenia źródłowego z wyłączeniem informacji o domenie. Przykład: DESKTOP-1282V4D |
| SrcDomain | Zalecane | Domena (ciąg) | Domena urządzenia źródłowego. Przykład: Contoso |
| SrcDomainType | Zalecane | Wyliczane | Typ SrcDomain, jeśli jest znany. Możliwe wartości obejmują: - Windows (na przykład contoso)- FQDN (na przykład microsoft.com)Wymagane, jeśli jest używana domena SrcDomain . |
| SrcFQDN | Opcjonalny | FQDN (ciąg) | Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, jeśli są dostępne. Uwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa hosta systemu Windows. Pole SrcDomainType odzwierciedla używany format. Przykład: Contoso\DESKTOP-1282V4D |
| Identyfikator SrcDvcId | Opcjonalny | Ciąg | Identyfikator urządzenia źródłowego zgłoszony w rekordzie. Przykład: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcjonalny | Ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. SrcDvcScopeId mapuje identyfikator subskrypcji na Azure i na identyfikator konta na platformie AWS. |
| SrcDvcScope | Opcjonalny | Ciąg | Zakres platformy w chmurze, do którego należy urządzenie. SrcDvcScope mapuje identyfikator subskrypcji na Azure i na identyfikator konta na platformie AWS. |
| SrcDvcIdType | Warunkowe | Wyliczane | Typ SrcDvcId, jeśli jest znany. Możliwe wartości obejmują: - AzureResourceId- MDEidJeśli dostępnych jest wiele identyfikatorów, użyj pierwszego z poprzedniej listy i zapisz pozostałe odpowiednio w parametrach SrcDvcAzureResourceId i SrcDvcMDEid. Uwaga: to pole jest wymagane, jeśli jest używany identyfikator SrcDvcId . |
| SrcDeviceType | Opcjonalny | Wyliczane | Typ urządzenia źródłowego. Możliwe wartości obejmują: - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | Opcjonalny | Kraj | Kraj/region skojarzony ze źródłowym adresem IP. Przykład: USA |
| SrcGeoRegion | Opcjonalny | Region | Region skojarzony ze źródłowym adresem IP. Przykład: Vermont |
| SrcGeoCity | Opcjonalny | Miasto | Miasto skojarzone ze źródłowym adresem IP. Przykład: Burlington |
| SrcGeoLatitude | Opcjonalny | Szerokość geograficzna | Szerokość geograficzna współrzędnej skojarzonej ze źródłowym adresem IP. Przykład: 44.475833 |
| SrcGeoLongitude | Opcjonalny | Długość geograficzna | Długość geograficzna współrzędnej skojarzonej ze źródłowym adresem IP. Przykład: 73.211944 |
| SrcRiskLevel | Opcjonalny | Liczba całkowita | Poziom ryzyka skojarzony ze źródłem. Wartość powinna być dostosowana do zakresu 0 do 100, z 0 dla niegroźnych i 100 dla wysokiego ryzyka.Przykład: 90 |
| SrcOriginalRiskLevel | Opcjonalny | Ciąg | Poziom ryzyka skojarzony ze źródłem, zgłoszony przez urządzenie raportowania. Przykład: Suspicious |
Działająca aplikacja
Pola inspekcji
Poniższe pola są używane do reprezentowania tej inspekcji przeprowadzanej przez system zabezpieczeń, taki jak system EDR.
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| Rulename | Opcjonalny | Ciąg | Nazwa lub identyfikator reguły skojarzony z wynikami inspekcji. |
| Numer reguły | Opcjonalny | Liczba całkowita | Liczba reguł skojarzonych z wynikami inspekcji. |
| Reguły | Warunkowe | Ciąg | Wartość kRuleName lub wartość ruleNumber. Jeśli jest używana wartość RuleNumber , typ powinien zostać przekonwertowany na ciąg. |
| ThreatId | Opcjonalny | Ciąg | Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku. |
| ThreatName | Opcjonalny | Ciąg | Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku. Przykład: EICAR Test File |
| ThreatCategory | Opcjonalny | Ciąg | Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku. Przykład: Trojan |
| ThreatRiskLevel | Opcjonalny | RiskLevel (liczba całkowita) | Poziom ryzyka skojarzony z zidentyfikowanym zagrożeniem. Poziom powinien być liczbą z zakresu od 0 do 100. Uwaga: wartość może zostać podana w rekordzie źródłowym przy użyciu innej skali, która powinna zostać znormalizowana do tej skali. Oryginalna wartość powinna być przechowywana w aplikacji ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Opcjonalny | Ciąg | Poziom ryzyka zgłoszony przez urządzenie raportowania. |
| Pole zagrożenia | Opcjonalny | Ciąg | Pole, dla którego zidentyfikowano zagrożenie. |
| ThreatConfidence | Opcjonalny | ConfidenceLevel (liczba całkowita) | Poziom ufności zidentyfikowanego zagrożenia znormalizowany do wartości od 0 do 100. |
| ThreatOriginalConfidence | Opcjonalny | Ciąg | Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgłoszony przez urządzenie raportowania. |
| ThreatIsActive | Opcjonalny | Wartość logiczna | Prawda, jeśli zidentyfikowane zagrożenie jest uważane za aktywne zagrożenie. |
| ThreatFirstReportedTime | Opcjonalny | Datetime | Przy pierwszym zidentyfikowaniu adresu IP lub domeny jako zagrożenia. |
| ThreatLastReportedTime | Opcjonalny | Datetime | Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
Dodatkowe pola i aliasy
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| Nazwa hosta | Alias | Alias do dvcHostname. |
Aktualizacje schematu
Zmiany w wersji 0.1.2 schematu to:
- Dodano pola inspekcji.
- Dodano pola
SrcDescriptionźródłowe ,SrcMacAddr,SrcOriginalRiskLevel,SrcPortNumber, ,SrcRiskLevel, - Dodano pola
TargetUserScopedocelowe , ,TargetUserScopeIdTargetUserSessionId - Dodano pola
ActorOriginalUserTypeaktora , ,ActorScopeActorScopeId - Dodano działające pole aplikacji
ActingOriginalAppType
Następne kroki
Więcej informacji można znaleźć w następujących artykułach:
- Obejrzyj seminarium internetowe usługi ASIM lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Zawartość zaawansowanego modelu informacji o zabezpieczeniach (ASIM)