Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Schemat normalizacji zdarzeń inspekcji Microsoft Sentinel reprezentuje zdarzenia skojarzone ze ścieżką inspekcji systemów informacyjnych. Dziennik inspekcji rejestruje działania konfiguracji systemu i zmiany zasad. Takie zmiany są często wykonywane przez administratorów systemu, ale mogą być również wykonywane przez użytkowników podczas konfigurowania ustawień własnych aplikacji.
Każdy system rejestruje zdarzenia inspekcji wraz z podstawowymi dziennikami aktywności. Na przykład zapora będzie rejestrować zdarzenia dotyczące sesji sieciowych, a zdarzenia inspekcji dotyczące zmian konfiguracji stosowane do samej zapory.
Aby uzyskać więcej informacji na temat normalizacji w Microsoft Sentinel, zobacz Normalizacja i Zaawansowany model informacji o zabezpieczeniach (ASIM).
Omówienie schematu
Główne pola zdarzenia inspekcji to:
- Obiekt, który może być na przykład zarządzanym zasobem lub regułą zasad, na której koncentruje się zdarzenie reprezentowane przez obiekt pola. Typ obiektu pola określa typ obiektu.
- Kontekst aplikacji obiektu reprezentowany przez pole TargetAppName, które jest aliasem aplikacji.
- Operacja wykonywana na obiekcie reprezentowana przez pola EventType i Operation. Chociaż operacja jest wartością zgłoszoną przez źródło, eventType to znormalizowana wersja, która jest bardziej spójna w różnych źródłach.
- Stare i nowe wartości obiektu, jeśli mają zastosowanie, reprezentowane odpowiednio przez wartości OldValue i NewValue .
Zdarzenia inspekcji odwołują się również do następujących jednostek, które są zaangażowane w operację konfiguracji:
- Aktor — użytkownik wykonujący operację konfiguracji.
- TargetApp — aplikacja lub system, dla którego ma zastosowanie operacja konfiguracji.
- Target — system, w którym działa aplikacja TargetApp*.
- ActingApp — aplikacja używana przez aktora do wykonania operacji konfiguracji.
- Src — system używany przez aktora do inicjowania operacji konfiguracji, jeśli jest inny niż target.
Deskryptor Dvc jest używany dla urządzenia raportowania, czyli lokalnego systemu sesji zgłaszanych przez punkt końcowy, a w innych przypadkach urządzenia pośredniczącego lub zabezpieczającego.
Parsery
Wdrażanie i używanie analizatorów zdarzeń inspekcji
Wdróż analizatory zdarzeń inspekcji usługi ASIM z repozytorium gitHub Microsoft Sentinel. Aby wykonać zapytanie we wszystkich źródłach zdarzeń inspekcji, użyj analizatora imAuditEvent ujednolicenia jako nazwy tabeli w zapytaniu.
Aby uzyskać więcej informacji na temat korzystania z analizatorów ASIM, zobacz omówienie analizatorów ASIM. Aby uzyskać listę analizatorów zdarzeń inspekcji, Microsoft Sentinel udostępnia wbudowaną listę analizatorów ASIM
Dodawanie własnych znormalizowanych analizatorów
Podczas implementowania niestandardowych analizatorów dla modelu informacji o zdarzeniu pliku nazwij funkcje KQL przy użyciu następującej składni: imAuditEvent<vendor><Product>. Zapoznaj się z artykułem Managing ASIM parsers (Zarządzanie analizatorami ASIM ), aby dowiedzieć się, jak dodać niestandardowe analizatory do analizatora ujednolicenia zdarzeń inspekcji.
Filtrowanie parametrów analizatora
Analizatory zdarzeń inspekcji obsługują parametry filtrowania. Te parametry są opcjonalne, ale mogą zwiększyć wydajność zapytania.
Dostępne są następujące parametry filtrowania:
| Name (Nazwa) | Wpisać | Opis |
|---|---|---|
| Starttime | Datetime | Filtruj tylko zdarzenia uruchomione o tej godzinie lub później. Ten parametr używa TimeGenerated pola jako projektanta czasu zdarzenia. |
| Endtime | Datetime | Filtruj tylko zapytania dotyczące zdarzeń, które zakończyły działanie o tej godzinie lub przed tą godziną. Ten parametr używa TimeGenerated pola jako projektanta czasu zdarzenia. |
| srcipaddr_has_any_prefix | Dynamiczne | Filtruj tylko zdarzenia z tego źródłowego adresu IP, które są reprezentowane w polu SrcIpAddr . |
| eventtype_in | ciąg | Filtruj tylko zdarzenia, w których typ zdarzenia reprezentowany w polu EventType to dowolny z podanych terminów. |
| eventresult | ciąg | Filtruj tylko zdarzenia, w których wynik zdarzenia reprezentowany w polu EventResult jest równy wartości parametru. |
| actorusername_has_any | dynamic/string | Filtruj tylko zdarzenia, w których nazwa ActorUsername zawiera dowolne z podanych terminów. |
| operation_has_any | dynamic/string | Filtruj tylko zdarzenia, w których pole Operacja zawiera dowolne z podanych terminów. |
| object_has_any | dynamic/string | Filtruj tylko zdarzenia, w których pole Obiekt zawiera dowolne z podanych terminów. |
| newvalue_has_any | dynamic/string | Filtruj tylko zdarzenia, w których pole NewValue zawiera dowolne z podanych terminów. |
Niektóre parametry mogą akceptować zarówno listę wartości typu dynamic , jak i pojedynczą wartość ciągu. Aby przekazać listę literałów do parametrów, które oczekują wartości dynamicznej, jawnie użyj literału dynamicznego. Przykład: dynamic(['192.168.','10.'])
Aby na przykład filtrować tylko zdarzenia inspekcji z terminami install lub update w ich polu Operacja , z ostatniego dnia użyj:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
Szczegóły schematu
Typowe pola usługi ASIM
Ważna
Pola wspólne dla wszystkich schematów zostały szczegółowo opisane w artykule ASIM Common Fields (Pola wspólne usługi ASIM ).
Typowe pola z określonymi wytycznymi
Na poniższej liście wymieniono pola, które mają określone wytyczne dotyczące zdarzeń inspekcji:
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| Eventtype | Obowiązkowe | Wyliczane | Opisuje operację poddaną inspekcji przez zdarzenie przy użyciu znormalizowanych wartości. Użyj parametru EventSubType , aby podać dalsze szczegóły, których nie przekazuje znormalizowane wartości, oraz operację. w celu przechowywania operacji zgłoszonej przez urządzenie raportowania. W przypadku rekordów zdarzeń inspekcji dozwolone wartości to: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Initialize- Start- Stop- Other Zdarzenia inspekcji reprezentują wiele różnych operacji, a Other wartość umożliwia operacje mapowania, które nie mają odpowiadających im EventTypeoperacji . Jednak użycie Other ogranicza użyteczność zdarzenia i należy unikać, jeśli to możliwe. |
| EventSubType | Opcjonalny | Ciąg | Zawiera dalsze szczegóły, których znormalizowana wartość w typie zdarzenia nie jest przekazywana. |
| EventSchema | Obowiązkowe | Wyliczane | Nazwa schematu udokumentowanego w tym miejscu to AuditEvent. |
| EventSchemaVersion | Obowiązkowe | SchemaVersion (ciąg) | Wersja schematu. Udokumentowana tutaj wersja schematu to 0.1.2. |
Wszystkie typowe pola
Pola wyświetlane w tabeli są wspólne dla wszystkich schematów ASIM. Dowolna z wytycznych określonych w tym dokumencie zastępuje ogólne wytyczne dotyczące pola. Na przykład pole może być opcjonalne ogólnie, ale obowiązkowe dla określonego schematu. Aby uzyskać więcej informacji na temat każdego pola, zobacz artykuł ASIM Common Fields (Typowe pola usługi ASIM ).
| Klasa | Pola |
|---|---|
| Obowiązkowe |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Zalecane |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcjonalny |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Pola dodatkowe - DvcDescription - DvcScopeId - DvcScope |
Pola inspekcji
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| Operacji | Obowiązkowe | Ciąg | Operacja poddana inspekcji zgodnie z raportem urządzenia raportowania. |
| Obiektu | Obowiązkowe | Ciąg | Nazwa obiektu, na którym wykonywana jest operacja zidentyfikowana przez typ zdarzenia . |
| Objectid | Opcjonalny | Ciąg | Identyfikator obiektu, na którym wykonywana jest operacja zidentyfikowana przez typ zdarzenia . |
| Objecttype | Warunkowe | Wyliczane | Typ obiektu. Dozwolone wartości to: - Cloud Resource- Configuration Atom- Policy Rule- Event Log- Scheduled Task- Service- Directory Service Object- Other |
| OriginalObjectType | Opcjonalny | Ciąg | Typ obiektu zgłoszony przez system raportowania |
| Oldvalue | Opcjonalny | Ciąg | Stara wartość obiektu przed operacją, jeśli ma zastosowanie. |
| Newvalue | Zalecane | Ciąg | Nowa wartość obiektu po wykonaniu operacji, jeśli ma to zastosowanie. |
| Wartość | Alias | Alias to NewValue | |
| Valuetype | Warunkowe | Wyliczane | Typ starych i nowych wartości. Dozwolone wartości to -Innych |
Pola aktora
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| ActorUserId | Opcjonalny | Ciąg | Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja aktora. Aby uzyskać więcej informacji i w przypadku pól alternatywnych dla innych identyfikatorów, zobacz Jednostka Użytkownik. Przykład: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Opcjonalny | Ciąg | Zakres, taki jak Microsoft Entra Nazwa domeny, w którym zdefiniowano elementy ActorUserId i ActorUsername. lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu. |
| ActorScopeId | Opcjonalny | Ciąg | Identyfikator zakresu, taki jak identyfikator katalogu Microsoft Entra, w którym zdefiniowano elementy ActorUserId i ActorUsername. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserScopeId w artykule Omówienie schematu. |
| ActorUserIdType | Warunkowe | Wyliczane | Typ identyfikatora przechowywanego w polu ActorUserId . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserIdType w artykule Omówienie schematu. |
| ActorUsername | Zalecane | Nazwa użytkownika (ciąg) | Nazwa użytkownika aktora, w tym informacje o domenie, jeśli są dostępne. Aby uzyskać więcej informacji, zobacz jednostka Użytkownik. Przykład: AlbertE |
| Użytkownik | Alias | Alias do ActorUsername | |
| ActorUsernameType | Warunkowe | Typ nazwy użytkownika | Określa typ nazwy użytkownika przechowywanej w polu ActorUsername . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UsernameType w artykule Omówienie schematu. Przykład: Windows |
| ActorUserType | Opcjonalny | Usertype | Typ aktora. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserType w artykule Omówienie schematu. Przykład: Guest |
| ActorOriginalUserType | Opcjonalny | Ciąg | Typ użytkownika zgłoszony przez urządzenie raportowania. |
| ActorSessionId | Opcjonalny | Ciąg | Unikatowy identyfikator sesji logowania aktora. Przykład: 102pTUgC3p8RIqHvzxLCHnFlg |
Pola aplikacji docelowej
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| TargetAppId | Opcjonalny | Ciąg | Identyfikator aplikacji, do której ma zastosowanie zdarzenie, w tym proces, przeglądarka lub usługa. Przykład: 89162 |
| TargetAppName | Opcjonalny | Ciąg | Nazwa aplikacji, do której ma zastosowanie zdarzenie, w tym usługa, adres URL lub aplikacja SaaS. Przykład: Exchange 365 |
| Aplikacji | Alias | Alias to TargetAppName | |
| TargetAppType | Warunkowe | Typ aplikacji | Typ autoryzowania aplikacji w imieniu aktora. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz AppType w artykule Omówienie schematu. |
| TargetOriginalAppType | Opcjonalny | Ciąg | Typ aplikacji, do której ma zastosowanie zdarzenie zgłoszone przez urządzenie raportowania. |
| TargetUrl | Opcjonalny | URL | Adres URL skojarzony z aplikacją docelową. Przykład: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
Docelowe pola systemowe
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| Czasu letniego | Alias | Ciąg | Unikatowy identyfikator obiektu docelowego uwierzytelniania. To pole może zawierać aliasy pól TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId lub TargetAppName . Przykład: 192.168.12.1 |
| TargetHostname | Zalecane | Nazwa hosta | Nazwa hosta urządzenia docelowego z wyłączeniem informacji o domenie. Przykład: DESKTOP-1282V4D |
| Domena docelowa | Opcjonalny | Domain(String) | Domena urządzenia docelowego. Przykład: Contoso |
| TargetDomainType | Warunkowe | Wyliczane | Typ obiektu TargetDomain. Aby uzyskać listę dozwolonych wartości i więcej informacji, zapoznaj się z tematem DomainType w artykule Omówienie schematu. Wymagane, jeśli jest używana domena docelowa . |
| TargetFQDN | Opcjonalny | FQDN (ciąg) | Nazwa hosta urządzenia docelowego, w tym informacje o domenie, jeśli są dostępne. Przykład: Contoso\DESKTOP-1282V4D Uwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa hosta systemu Windows. Wartość TargetDomainType odzwierciedla używany format. |
| TargetDescription | Opcjonalny | Ciąg | Opisowy tekst skojarzony z urządzeniem. Przykład: Primary Domain Controller. |
| TargetDvcId | Opcjonalny | Ciąg | Identyfikator urządzenia docelowego. Jeśli dostępnych jest wiele identyfikatorów, użyj najważniejszego identyfikatora i zapisz pozostałe w polach TargetDvc<DvcIdType>. Przykład: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Opcjonalny | Ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. TargetDvcScopeId mapuje identyfikator subskrypcji na Azure i na identyfikator konta na platformie AWS. |
| TargetDvcScope | Opcjonalny | Ciąg | Zakres platformy w chmurze, do którego należy urządzenie. TargetDvcScope mapuje identyfikator subskrypcji na Azure i na identyfikator konta na platformie AWS. |
| TargetDvcIdType | Warunkowe | Wyliczane | Typ identyfikatora TargetDvcId. Aby uzyskać listę dozwolonych wartości i więcej informacji, zobacz DvcIdType w artykule Omówienie schematu. Wymagane, jeśli jest używany identyfikator TargetDeviceId . |
| TargetDeviceType | Opcjonalny | Wyliczane | Typ urządzenia docelowego. Aby uzyskać listę dozwolonych wartości i więcej informacji, zobacz DeviceType w artykule Omówienie schematu. |
| TargetIpAddr | Zalecane | Adres IP | Adres IP urządzenia docelowego. Przykład: 2.2.2.2 |
| Obiekty TargetDvcOs | Opcjonalny | Ciąg | System operacyjny urządzenia docelowego. Przykład: Windows 10 |
| TargetPortNumber | Opcjonalny | Liczba całkowita | Port urządzenia docelowego. |
| TargetGeoCountry | Opcjonalny | Kraj | Kraj/region skojarzony z docelowym adresem IP. Przykład: USA |
| TargetGeoRegion | Opcjonalny | Region | Region w kraju/regionie skojarzony z docelowym adresem IP. Przykład: Vermont |
| TargetGeoCity | Opcjonalny | Miasto | Miasto skojarzone z docelowym adresem IP. Przykład: Burlington |
| TargetGeoLatitude | Opcjonalny | Szerokość geograficzna | Szerokość geograficzna współrzędnej skojarzonej z docelowym adresem IP. Przykład: 44.475833 |
| TargetGeoLongitude | Opcjonalny | Długość geograficzna | Długość geograficzna współrzędnej skojarzonej z docelowym adresem IP. Przykład: 73.211944 |
| TargetRiskLevel | Opcjonalny | Liczba całkowita | Poziom ryzyka skojarzony z elementem docelowym. Wartość powinna być dostosowana do zakresu 0 do 100, z 0 dla niegroźnych i 100 dla wysokiego ryzyka.Przykład: 90 |
| TargetOriginalRiskLevel | Opcjonalny | Ciąg | Poziom ryzyka skojarzony z obiektem docelowym, zgłoszony przez urządzenie raportowania. Przykład: Suspicious |
Działające pola aplikacji
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| ActingAppId | Opcjonalny | Ciąg | Identyfikator aplikacji, która zainicjowała zgłoszone działanie, w tym proces, przeglądarka lub usługa. Przykład: 0x12ae8 |
| ActingAppName | Opcjonalny | Ciąg | Nazwa aplikacji, która zainicjowała zgłoszone działanie, w tym usługa, adres URL lub aplikacja SaaS. Przykład: C:\Windows\System32\svchost.exe |
| ActingAppType | Opcjonalny | Typ aplikacji | Typ działającej aplikacji. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz AppType w artykule Omówienie schematu. |
| ActingOriginalAppType | Opcjonalny | Ciąg | Typ aplikacji, która zainicjowała działanie zgłoszone przez urządzenie raportowania. |
| HttpUserAgent | Opcjonalny | Ciąg | W przypadku uwierzytelniania za pośrednictwem protokołu HTTP lub HTTPS wartość tego pola jest user_agent nagłówka HTTP dostarczonego przez działającą aplikację podczas wykonywania uwierzytelniania. Przykład: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Pola systemu źródłowego
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| Src | Alias | Ciąg | Unikatowy identyfikator urządzenia źródłowego. To pole może mieć alias pól SrcDvcId, SrcHostname lub SrcIpAddr . Przykład: 192.168.12.1 |
| SrcIpAddr | Zalecane | Adres IP | Adres IP, z którego pochodzi połączenie lub sesja. Przykład: 77.138.103.108 |
| IpAddr | Alias | Alias do SrcIpAddr lub targetIpAddr , jeśli nie podano SrcIpAddr . | |
| SrcPortNumber | Opcjonalny | Liczba całkowita | Port IP, z którego pochodzi połączenie. Może nie być istotne dla sesji obejmującej wiele połączeń. Przykład: 2335 |
| SrcHostname | Opcjonalny | Nazwa hosta | Nazwa hosta urządzenia źródłowego z wyłączeniem informacji o domenie. Jeśli nazwa urządzenia nie jest dostępna, zapisz odpowiedni adres IP w tym polu. Przykład: DESKTOP-1282V4D |
| SrcDomain | Opcjonalny | Domena (ciąg) | Domena urządzenia źródłowego. Przykład: Contoso |
| SrcDomainType | Warunkowe | Domaintype | Typ SrcDomain. Aby uzyskać listę dozwolonych wartości i więcej informacji, zapoznaj się z tematem DomainType w artykule Omówienie schematu. Wymagane, jeśli jest używana domena SrcDomain . |
| SrcFQDN | Opcjonalny | FQDN (ciąg) | Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, jeśli są dostępne. Uwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa hosta systemu Windows. Pole SrcDomainType odzwierciedla używany format. Przykład: Contoso\DESKTOP-1282V4D |
| SrcDescription | Opcjonalny | Ciąg | Opisowy tekst skojarzony z urządzeniem. Przykład: Primary Domain Controller. |
| Identyfikator SrcDvcId | Opcjonalny | Ciąg | Identyfikator urządzenia źródłowego. Jeśli dostępnych jest wiele identyfikatorów, użyj najważniejszego identyfikatora i zapisz pozostałe w polach SrcDvc<DvcIdType>.Przykład: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcjonalny | Ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. SrcDvcScopeId mapuje identyfikator subskrypcji na Azure i na identyfikator konta na platformie AWS. |
| SrcDvcScope | Opcjonalny | Ciąg | Zakres platformy w chmurze, do którego należy urządzenie. SrcDvcScope mapuje identyfikator subskrypcji na Azure i na identyfikator konta na platformie AWS. |
| SrcDvcIdType | Warunkowe | DvcIdType | Typ identyfikatora SrcDvcId. Aby uzyskać listę dozwolonych wartości i więcej informacji, zobacz DvcIdType w artykule Omówienie schematu. Uwaga: to pole jest wymagane, jeśli jest używany identyfikator SrcDvcId . |
| SrcDeviceType | Opcjonalny | Devicetype | Typ urządzenia źródłowego. Aby uzyskać listę dozwolonych wartości i więcej informacji, zobacz DeviceType w artykule Omówienie schematu. |
| SrcGeoCountry | Opcjonalny | Kraj | Kraj/region skojarzony ze źródłowym adresem IP. Przykład: USA |
| SrcGeoRegion | Opcjonalny | Region | Region w kraju/regionie skojarzony ze źródłowym adresem IP. Przykład: Vermont |
| SrcGeoCity | Opcjonalny | Miasto | Miasto skojarzone ze źródłowym adresem IP. Przykład: Burlington |
| SrcGeoLatitude | Opcjonalny | Szerokość geograficzna | Szerokość geograficzna współrzędnej skojarzonej ze źródłowym adresem IP. Przykład: 44.475833 |
| SrcGeoLongitude | Opcjonalny | Długość geograficzna | Długość geograficzna współrzędnej skojarzonej ze źródłowym adresem IP. Przykład: 73.211944 |
| SrcRiskLevel | Opcjonalny | Liczba całkowita | Poziom ryzyka skojarzony ze źródłem. Wartość powinna być dostosowana do zakresu 0 do 100, z 0 dla niegroźnych i 100 dla wysokiego ryzyka.Przykład: 90 |
| SrcOriginalRiskLevel | Opcjonalny | Ciąg | Poziom ryzyka skojarzony ze źródłem, zgłoszony przez urządzenie raportowania. Przykład: Suspicious |
Pola inspekcji
Poniższe pola są używane do reprezentowania tej inspekcji przeprowadzanej przez system zabezpieczeń.
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| Rulename | Opcjonalny | Ciąg | Nazwa lub identyfikator reguły skojarzony z wynikami inspekcji. |
| Numer reguły | Opcjonalny | Liczba całkowita | Liczba reguł skojarzonych z wynikami inspekcji. |
| Reguły | Alias | Ciąg | Wartość ruleName lub wartość RuleNumber. Jeśli jest używana wartość RuleNumber , typ powinien zostać przekonwertowany na ciąg. |
| ThreatId | Opcjonalny | Ciąg | Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu inspekcji. |
| ThreatName | Opcjonalny | Ciąg | Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu inspekcji. |
| ThreatCategory | Opcjonalny | Ciąg | Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowana w działaniu pliku inspekcji. |
| ThreatRiskLevel | Opcjonalny | RiskLevel (liczba całkowita) | Poziom ryzyka skojarzony z zidentyfikowanym zagrożeniem. Poziom powinien być liczbą z zakresu od 0 do 100. Uwaga: wartość może zostać podana w rekordzie źródłowym przy użyciu innej skali, która powinna zostać znormalizowana do tej skali. Oryginalna wartość powinna być przechowywana w witrynie ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcjonalny | Ciąg | Poziom ryzyka zgłoszony przez urządzenie raportowania. |
| ThreatConfidence | Opcjonalny | ConfidenceLevel (liczba całkowita) | Poziom ufności zidentyfikowanego zagrożenia znormalizowany do wartości od 0 do 100. |
| ThreatOriginalConfidence | Opcjonalny | Ciąg | Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgłoszony przez urządzenie raportowania. |
| ThreatIsActive | Opcjonalny | Wartość logiczna | Prawda, jeśli zidentyfikowane zagrożenie jest uważane za aktywne zagrożenie. |
| ThreatFirstReportedTime | Opcjonalny | Datetime | Przy pierwszym zidentyfikowaniu adresu IP lub domeny jako zagrożenia. |
| ThreatLastReportedTime | Opcjonalny | Datetime | Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
| ThreatIpAddr | Opcjonalny | Adres IP | Adres IP, dla którego zidentyfikowano zagrożenie. Pole ThreatField zawiera nazwę pola ThreatIpAddr reprezentuje. |
| Pole zagrożenia | Warunkowe | Wyliczane | Pole, dla którego zidentyfikowano zagrożenie. Wartość to albo SrcIpAddr lub TargetIpAddr. |
Aktualizacje schematu
Zmiany w wersji 0.1.1 schematu to:
- Dodano pola
ObjectIdiOriginalObjectType.
Zmiany w wersji 0.1.2 schematu to:
- Dodano pole
ActingOriginalAppType,OriginalObjectType,SrcOriginalRiskLevel,SrcRiskLevel,TargetGeoCity,TargetGeoCountry,TargetGeoLatitude,TargetGeoLongitude,,TargetGeoRegion,TargetOriginalAppType,,TargetOriginalRiskLeveliTargetRiskLevel
Następne kroki
Więcej informacji można znaleźć w następujących artykułach:
- Obejrzyj seminarium internetowe usługi ASIM lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Zawartość zaawansowanego modelu informacji o zabezpieczeniach (ASIM)