Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Schemat uwierzytelniania Microsoft Sentinel służy do opisywania zdarzeń związanych z uwierzytelnianiem użytkowników, logowaniem i wylogowywaniem. Zdarzenia uwierzytelniania są wysyłane przez wiele urządzeń raportowania, zwykle jako część strumienia zdarzeń wraz z innymi zdarzeniami. Na przykład system Windows wysyła kilka zdarzeń uwierzytelniania wraz z innymi zdarzeniami działania systemu operacyjnego.
Zdarzenia uwierzytelniania obejmują oba zdarzenia z systemów, które koncentrują się na uwierzytelnianiu, takie jak bramy sieci VPN lub kontrolery domeny, oraz bezpośrednie uwierzytelnianie do systemu końcowego, takiego jak komputer lub zapora.
Aby uzyskać więcej informacji na temat normalizacji w Microsoft Sentinel, zobacz Normalizacja i Zaawansowany model informacji o zabezpieczeniach (ASIM).
Parsery
Wdróż analizatory uwierzytelniania usługi ASIM z repozytorium gitHub Microsoft Sentinel. Aby uzyskać więcej informacji na temat analizatorów ASIM, zobacz artykuły Omówienie analizatorów ASIM.
Ujednolicanie analizatorów
Aby użyć analizatorów ujednolicających wszystkie analizatory out-of-the-box usługi ASIM i upewnij się, że analiza jest uruchamiana we wszystkich skonfigurowanych źródłach, użyj imAuthentication analizatora filtrowania lub ASimAuthentication analizatora bez parametrów.
Analizatory specyficzne dla źródła
Aby uzyskać listę analizatorów uwierzytelniania, Microsoft Sentinel zawiera informacje, zapoznaj się z listą analizatorów ASIM:
Dodawanie własnych znormalizowanych analizatorów
Podczas implementowania analizatorów niestandardowych dla modelu informacji uwierzytelniania nazwij funkcje KQL przy użyciu następującej składni:
-
vimAuthentication<vendor><Product>do filtrowania analizatorów -
ASimAuthentication<vendor><Product>dla analizatorów bez parametrów
Aby uzyskać informacje na temat dodawania analizatorów niestandardowych do analizatora ujednolicenia, zobacz Zarządzanie analizatorami ASIM.
Filtrowanie parametrów analizatora
Analizatory im i vim* obsługują parametry filtrowania. Chociaż te analizatory są opcjonalne, mogą zwiększyć wydajność zapytań.
Dostępne są następujące parametry filtrowania:
| Name (Nazwa) | Wpisać | Opis |
|---|---|---|
| Starttime | Datetime | Filtruj tylko zdarzenia uwierzytelniania uruchomione o tej godzinie lub później. Ten parametr filtruje TimeGenerated pole, które jest standardowym projektantem czasu zdarzenia, niezależnie od mapowania specyficznego dla analizatora pól EventStartTime i EventEndTime. |
| Endtime | Datetime | Filtruj tylko zdarzenia uwierzytelniania, które zakończyły działanie o tej godzinie lub przed tą godziną. Ten parametr filtruje TimeGenerated pole, które jest standardowym projektantem czasu zdarzenia, niezależnie od mapowania specyficznego dla analizatora pól EventStartTime i EventEndTime. |
| targetusername_has | ciąg | Filtruj tylko zdarzenia uwierzytelniania, które mają dowolną z wymienionych nazw użytkowników. |
Aby na przykład filtrować tylko zdarzenia uwierzytelniania z ostatniego dnia do określonego użytkownika, użyj:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Porada
Aby przekazać listę literałów do parametrów, które oczekują wartości dynamicznej, jawnie użyj literału dynamicznego. Przykład: dynamic(['192.168.','10.']).
Znormalizowana zawartość
Znormalizowane reguły analityczne uwierzytelniania są unikatowe podczas wykrywania ataków między źródłami. Jeśli na przykład użytkownik zalogował się do różnych, niepowiązanych systemów z różnych krajów/regionów, Microsoft Sentinel teraz wykryje to zagrożenie.
Aby uzyskać pełną listę reguł analizy korzystających ze znormalizowanych zdarzeń uwierzytelniania, zobacz Zawartość zabezpieczeń schematu uwierzytelniania.
Omówienie schematu
Model informacji uwierzytelniania jest zgodny ze schematem jednostki logowania OSSEM.
Pola wymienione w poniższej tabeli są specyficzne dla zdarzeń uwierzytelniania, ale są podobne do pól w innych schematach i są zgodne z podobnymi konwencjami nazewnictwa.
Zdarzenia uwierzytelniania odwołują się do następujących jednostek:
- TargetUser — informacje o użytkowniku używane do uwierzytelniania w systemie. TargetSystem jest głównym tematem zdarzenia uwierzytelniania, a alias użytkownika aliasy targetuser zidentyfikowane.
- TargetApp — aplikacja uwierzytelniona w aplikacji.
- Target — system, w którym działa aplikacja TargetApp*.
- Aktor — użytkownik inicjujący uwierzytelnianie, jeśli jest inny niż TargetUser.
- ActingApp — aplikacja używana przez aktora do przeprowadzenia uwierzytelniania.
- Src — system używany przez aktora do zainicjowania uwierzytelniania.
Relację między tymi jednostkami najlepiej przedstawić w następujący sposób:
Aktor, uruchamiając działającą aplikację ActingApp w systemie źródłowym Src, próbuje uwierzytelnić się jako użytkownik docelowy w aplikacji docelowej TargetApp w systemie docelowym TargetDvc.
Szczegóły schematu
W poniższych tabelach typ odnosi się do typu logicznego. Aby uzyskać więcej informacji, zobacz Typy logiczne.
Typowe pola usługi ASIM
Ważna
Pola wspólne dla wszystkich schematów zostały szczegółowo opisane w artykule ASIM Common Fields (Pola wspólne usługi ASIM ).
Typowe pola z określonymi wytycznymi
Na poniższej liście wymieniono pola, które mają określone wytyczne dotyczące zdarzeń uwierzytelniania:
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| EventType | Obowiązkowe | Wyliczane | Opisuje operację zgłoszoną przez rekord. W przypadku rekordów uwierzytelniania obsługiwane wartości obejmują: - Logon - Logoff- Elevate |
| EventResultDetails | Zalecane | Wyliczane | Szczegóły skojarzone z wynikiem zdarzenia. To pole jest zwykle wypełniane, gdy wynik jest niepowodzeniem. Dozwolone wartości obejmują: - No such user or password. Ta wartość powinna być również używana, gdy oryginalne zdarzenie zgłasza, że nie ma takiego użytkownika, bez odwołania do hasła.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. Ta wartość powinna być używana, gdy oryginalne zdarzenie zgłasza, na przykład: wymagana uwierzytelnianie wieloskładnikowe, logowanie poza godzinami pracy, ograniczenia dostępu warunkowego lub zbyt częste próby.- Session expired- OtherWartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Oryginalna wartość powinna być przechowywana w polu EventOriginalResultDetails |
| EventSubType | Opcjonalny | Wyliczane | Typ logowania. Dozwolone wartości obejmują: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote - Użyj, gdy typ logowania zdalnego jest nieznany.- AssumeRole — Zwykle używane, gdy typ zdarzenia to Elevate. Wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Oryginalna wartość powinna być przechowywana w polu EventOriginalSubType. |
| EventSchemaVersion | Obowiązkowe | SchemaVersion (ciąg) | Wersja schematu. Wersja schematu udokumentowana w tym miejscu jest 0.1.4 |
| EventSchema | Obowiązkowe | Wyliczane | Nazwa schematu udokumentowanego w tym miejscu to Uwierzytelnianie. |
| Pola dvc | - | - | W przypadku zdarzeń uwierzytelniania pola urządzenia znajdują się w systemie zgłaszającym zdarzenie. |
Wszystkie typowe pola
Pola wyświetlane w poniższej tabeli są wspólne dla wszystkich schematów ASIM. Wszelkie wytyczne określone powyżej zastępują ogólne wytyczne dotyczące pola. Na przykład pole może być opcjonalne ogólnie, ale obowiązkowe dla określonego schematu. Aby uzyskać więcej informacji na temat każdego pola, zapoznaj się z artykułem ASIM Common Fields (Typowe pola usługi ASIM ).
| Klasa | Pola |
|---|---|
| Obowiązkowe |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Zalecane |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcjonalny |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Pola dodatkowe - DvcDescription - DvcScopeId - DvcScope |
Pola specyficzne dla uwierzytelniania
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| LogonMethod | Opcjonalny | Ciąg | Metoda używana do uwierzytelniania. Dozwolone wartości to: , , , , , , , PAMi Other. PKIPasswordlessMulti factor authenticationUsername & PasswordService PrincipalManaged Identity Przykłady: Managed Identity |
| LogonProtocol | Opcjonalny | Ciąg | Protokół używany do uwierzytelniania. Przykład: NTLM |
Pola aktora
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| ActorUserId | Opcjonalny | Ciąg | Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja aktora. Aby uzyskać więcej informacji i w przypadku pól alternatywnych dla dodatkowych identyfikatorów, zobacz Jednostka Użytkownik. Przykład: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Opcjonalny | Ciąg | Zakres, taki jak dzierżawa Microsoft Entra, w którym zdefiniowano elementy ActorUserId i ActorUsername. lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu. |
| ActorScopeId | Opcjonalny | Ciąg | Identyfikator zakresu, taki jak identyfikator katalogu Microsoft Entra, w którym zdefiniowano elementy ActorUserId i ActorUsername. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserScopeId w artykule Omówienie schematu. |
| ActorUserIdType | Warunkowe | UserIdType | Typ identyfikatora przechowywanego w polu ActorUserId . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserIdType w artykule Omówienie schematu. |
| ActorUsername | Opcjonalny | Nazwa użytkownika (ciąg) | Nazwa użytkownika aktora, w tym informacje o domenie, jeśli są dostępne. Aby uzyskać więcej informacji, zobacz jednostka Użytkownik. Przykład: AlbertE |
| ActorUsernameType | Warunkowe | Typ nazwy użytkownika | Określa typ nazwy użytkownika przechowywanej w polu ActorUsername . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UsernameType w artykule Omówienie schematu. Przykład: Windows |
| ActorUserType | Opcjonalny | Usertype | Typ aktora. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserType w artykule Omówienie schematu. Przykład: Guest |
| ActorOriginalUserType | Opcjonalny | Ciąg | Typ użytkownika zgłoszony przez urządzenie raportowania. |
| ActorSessionId | Opcjonalny | Ciąg | Unikatowy identyfikator sesji logowania aktora. Przykład: 102pTUgC3p8RIqHvzxLCHnFlg |
Działające pola aplikacji
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| ActingAppId | Opcjonalny | Ciąg | Identyfikator aplikacji autoryzowanej w imieniu aktora, w tym proces, przeglądarka lub usługa. Przykład: 0x12ae8 |
| ActingAppName | Opcjonalny | Ciąg | Nazwa aplikacji autoryzującej w imieniu aktora, w tym proces, przeglądarka lub usługa. Przykład: C:\Windows\System32\svchost.exe |
| ActingAppType | Opcjonalny | Typ aplikacji | Typ działającej aplikacji. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz AppType w artykule Omówienie schematu. |
| ActingOriginalAppType | Opcjonalny | Ciąg | Typ działającej aplikacji zgłoszony przez urządzenie raportowania. |
| HttpUserAgent | Opcjonalny | Ciąg | W przypadku uwierzytelniania za pośrednictwem protokołu HTTP lub HTTPS wartość tego pola jest user_agent nagłówka HTTP dostarczonego przez działającą aplikację podczas wykonywania uwierzytelniania. Przykład: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Pola użytkownika docelowego
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| TargetUserId | Opcjonalny | Ciąg | Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja użytkownika docelowego. Aby uzyskać więcej informacji i w przypadku pól alternatywnych dla dodatkowych identyfikatorów, zobacz Jednostka Użytkownik. Przykład: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | Opcjonalny | Ciąg | Zakres, taki jak dzierżawa Microsoft Entra, w którym zdefiniowano elementy TargetUserId i TargetUsername. lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu. |
| TargetUserScopeId | Opcjonalny | Ciąg | Identyfikator zakresu, taki jak identyfikator katalogu Microsoft Entra, w którym zdefiniowano elementy TargetUserId i TargetUsername. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserScopeId w artykule Omówienie schematu. |
| TargetUserIdType | Warunkowe | UserIdType | Typ identyfikatora użytkownika przechowywanego w polu TargetUserId . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserIdType w artykule Omówienie schematu. Przykład: SID |
| TargetUsername | Opcjonalny | Nazwa użytkownika (ciąg) | Nazwa użytkownika docelowego, w tym informacje o domenie, jeśli są dostępne. Aby uzyskać więcej informacji, zobacz jednostka Użytkownik. Przykład: MarieC |
| TargetUsernameType | Warunkowe | Typ nazwy użytkownika | Określa typ nazwy użytkownika przechowywanej w polu TargetUsername . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UsernameType w artykule Omówienie schematu. |
| TargetUserType | Opcjonalny | Usertype | Typ użytkownika docelowego. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserType w artykule Omówienie schematu. Przykład: Member |
| TargetSessionId | Opcjonalny | Ciąg | Identyfikator sesji logowania elementu TargetUser na urządzeniu źródłowym. |
| TargetOriginalUserType | Opcjonalny | Ciąg | Typ użytkownika zgłoszony przez urządzenie raportowania. |
| Użytkownik | Alias | Nazwa użytkownika (ciąg) | Alias do targetusername lub targetUserId , jeśli targetUsername nie jest zdefiniowany. Przykład: CONTOSO\dadmin |
Pola systemu źródłowego
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| Src | Zalecane | Ciąg | Unikatowy identyfikator urządzenia źródłowego. To pole może mieć alias pól SrcDvcId, SrcHostname lub SrcIpAddr . Przykład: 192.168.12.1 |
| Identyfikator SrcDvcId | Opcjonalny | Ciąg | Identyfikator urządzenia źródłowego. Jeśli dostępnych jest wiele identyfikatorów, użyj najważniejszego identyfikatora i zapisz pozostałe w polach SrcDvc<DvcIdType>.Przykład: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcjonalny | Ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. SrcDvcScopeId mapuje identyfikator subskrypcji na Azure i na identyfikator konta na platformie AWS. |
| SrcDvcScope | Opcjonalny | Ciąg | Zakres platformy w chmurze, do którego należy urządzenie. SrcDvcScope mapuje identyfikator subskrypcji na Azure i na identyfikator konta na platformie AWS. |
| SrcDvcIdType | Warunkowe | DvcIdType | Typ identyfikatora SrcDvcId. Aby uzyskać listę dozwolonych wartości i więcej informacji, zobacz DvcIdType w artykule Omówienie schematu. Uwaga: to pole jest wymagane, jeśli jest używany identyfikator SrcDvcId . |
| SrcDeviceType | Opcjonalny | Devicetype | Typ urządzenia źródłowego. Aby uzyskać listę dozwolonych wartości i więcej informacji, zobacz DeviceType w artykule Omówienie schematu. |
| SrcHostname | Opcjonalny | Nazwa hosta | Nazwa hosta urządzenia źródłowego z wyłączeniem informacji o domenie. Jeśli nazwa urządzenia nie jest dostępna, zapisz odpowiedni adres IP w tym polu. Przykład: DESKTOP-1282V4D |
| SrcDomain | Opcjonalny | Domena (ciąg) | Domena urządzenia źródłowego. Przykład: Contoso |
| SrcDomainType | Warunkowe | Domaintype | Typ SrcDomain. Aby uzyskać listę dozwolonych wartości i więcej informacji, zapoznaj się z tematem DomainType w artykule Omówienie schematu. Wymagane, jeśli jest używana domena SrcDomain . |
| SrcFQDN | Opcjonalny | FQDN (ciąg) | Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, jeśli są dostępne. Uwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa hosta systemu Windows. Pole SrcDomainType odzwierciedla używany format. Przykład: Contoso\DESKTOP-1282V4D |
| SrcDescription | Opcjonalny | Ciąg | Opisowy tekst skojarzony z urządzeniem. Przykład: Primary Domain Controller. |
| SrcIpAddr | Zalecane | Adres IP | Adres IP urządzenia źródłowego. Przykład: 2.2.2.2 |
| SrcPortNumber | Opcjonalny | Liczba całkowita | Port IP, z którego pochodzi połączenie. Przykład: 2335 |
| SrcDvcOs | Opcjonalny | Ciąg | System operacyjny urządzenia źródłowego. Przykład: Windows 10 |
| IpAddr | Alias | Alias do SrcIpAddr | |
| SrcIsp | Opcjonalny | Ciąg | Dostawca usług internetowych (ISP) używany przez urządzenie źródłowe do nawiązywania połączenia z Internetem. Przykład: corpconnect |
| SrcGeoCountry | Opcjonalny | Kraj | Przykład: Canada Aby uzyskać więcej informacji, zobacz Typy logiczne. |
| SrcGeoCity | Opcjonalny | Miasto | Przykład: Montreal Aby uzyskać więcej informacji, zobacz Typy logiczne. |
| SrcGeoRegion | Opcjonalny | Region | Przykład: Quebec Aby uzyskać więcej informacji, zobacz Typy logiczne. |
| SrcGeoLongitude | Opcjonalny | Długość geograficzna | Przykład: -73.614830 Aby uzyskać więcej informacji, zobacz Typy logiczne. |
| SrcGeoLatitude | Opcjonalny | Szerokość geograficzna | Przykład: 45.505918 Aby uzyskać więcej informacji, zobacz Typy logiczne. |
| SrcRiskLevel | Opcjonalny | Liczba całkowita | Poziom ryzyka skojarzony ze źródłem. Wartość powinna być dostosowana do zakresu 0 do 100, z 0 dla niegroźnych i 100 dla wysokiego ryzyka.Przykład: 90 |
| SrcOriginalRiskLevel | Opcjonalny | Ciąg | Poziom ryzyka skojarzony ze źródłem, zgłoszony przez urządzenie raportowania. Przykład: Suspicious |
Pola aplikacji docelowej
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| TargetAppId | Opcjonalny | Ciąg | Identyfikator aplikacji, do której jest wymagana autoryzacja, często przypisywany przez urządzenie raportowania. Przykład: 89162 |
| TargetAppName | Opcjonalny | Ciąg | Nazwa aplikacji, do której jest wymagana autoryzacja, w tym usługa, adres URL lub aplikacja SaaS. Przykład: Saleforce |
| Aplikacji | Alias | Alias do elementu TargetAppName. | |
| TargetAppType | Warunkowe | Typ aplikacji | Typ autoryzowania aplikacji w imieniu aktora. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz AppType w artykule Omówienie schematu. |
| TargetOriginalAppType | Opcjonalny | Ciąg | Typ autoryzowania aplikacji w imieniu aktora zgłoszony przez urządzenie raportowania. |
| TargetUrl | Opcjonalny | URL | Adres URL skojarzony z aplikacją docelową. Przykład: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Alias | Alias do wartości TargetAppName, TargetUrl lub TargetHostname, niezależnie od tego, które pole najlepiej opisuje cel uwierzytelniania. |
Docelowe pola systemowe
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| Czasu letniego | Alias | Ciąg | Unikatowy identyfikator obiektu docelowego uwierzytelniania. To pole może zawierać aliasy pól TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId lub TargetAppName . Przykład: 192.168.12.1 |
| TargetHostname | Zalecane | Nazwa hosta | Nazwa hosta urządzenia docelowego z wyłączeniem informacji o domenie. Przykład: DESKTOP-1282V4D |
| Domena docelowa | Zalecane | Domena (ciąg) | Domena urządzenia docelowego. Przykład: Contoso |
| TargetDomainType | Warunkowe | Wyliczane | Typ obiektu TargetDomain. Aby uzyskać listę dozwolonych wartości i więcej informacji, zapoznaj się z tematem DomainType w artykule Omówienie schematu. Wymagane, jeśli jest używana domena docelowa . |
| TargetFQDN | Opcjonalny | FQDN (ciąg) | Nazwa hosta urządzenia docelowego, w tym informacje o domenie, jeśli są dostępne. Przykład: Contoso\DESKTOP-1282V4D Uwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa hosta systemu Windows. Wartość TargetDomainType odzwierciedla używany format. |
| TargetDescription | Opcjonalny | Ciąg | Opisowy tekst skojarzony z urządzeniem. Przykład: Primary Domain Controller. |
| TargetDvcId | Opcjonalny | Ciąg | Identyfikator urządzenia docelowego. Jeśli dostępnych jest wiele identyfikatorów, użyj najważniejszego identyfikatora i zapisz pozostałe w polach TargetDvc<DvcIdType>. Przykład: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Opcjonalny | Ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. TargetDvcScopeId mapuje identyfikator subskrypcji na Azure i na identyfikator konta na platformie AWS. |
| TargetDvcScope | Opcjonalny | Ciąg | Zakres platformy w chmurze, do którego należy urządzenie. TargetDvcScope mapuje identyfikator subskrypcji na Azure i na identyfikator konta na platformie AWS. |
| TargetDvcIdType | Warunkowe | Wyliczane | Typ identyfikatora TargetDvcId. Aby uzyskać listę dozwolonych wartości i więcej informacji, zobacz DvcIdType w artykule Omówienie schematu. Wymagane, jeśli jest używany identyfikator TargetDeviceId . |
| TargetDeviceType | Opcjonalny | Wyliczane | Typ urządzenia docelowego. Aby uzyskać listę dozwolonych wartości i więcej informacji, zobacz DeviceType w artykule Omówienie schematu. |
| TargetIpAddr | Opcjonalny | Adres IP | Adres IP urządzenia docelowego. Przykład: 2.2.2.2 |
| Obiekty TargetDvcOs | Opcjonalny | Ciąg | System operacyjny urządzenia docelowego. Przykład: Windows 10 |
| TargetPortNumber | Opcjonalny | Liczba całkowita | Port urządzenia docelowego. |
| TargetGeoCountry | Opcjonalny | Kraj | Kraj/region skojarzony z docelowym adresem IP. Przykład: USA |
| TargetGeoRegion | Opcjonalny | Region | Region skojarzony z docelowym adresem IP. Przykład: Vermont |
| TargetGeoCity | Opcjonalny | Miasto | Miasto skojarzone z docelowym adresem IP. Przykład: Burlington |
| TargetGeoLatitude | Opcjonalny | Szerokość geograficzna | Szerokość geograficzna współrzędnej skojarzonej z docelowym adresem IP. Przykład: 44.475833 |
| TargetGeoLongitude | Opcjonalny | Długość geograficzna | Długość geograficzna współrzędnej skojarzonej z docelowym adresem IP. Przykład: 73.211944 |
| TargetRiskLevel | Opcjonalny | Liczba całkowita | Poziom ryzyka skojarzony z elementem docelowym. Wartość powinna być dostosowana do zakresu 0 do 100, z 0 dla niegroźnych i 100 dla wysokiego ryzyka.Przykład: 90 |
| TargetOriginalRiskLevel | Opcjonalny | Ciąg | Poziom ryzyka skojarzony z obiektem docelowym, zgłoszony przez urządzenie raportowania. Przykład: Suspicious |
Pola inspekcji
Poniższe pola są używane do reprezentowania tej inspekcji przeprowadzanej przez system zabezpieczeń.
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| Rulename | Opcjonalny | Ciąg | Nazwa lub identyfikator reguły skojarzony z wynikami inspekcji. |
| Numer reguły | Opcjonalny | Liczba całkowita | Liczba reguł skojarzonych z wynikami inspekcji. |
| Reguły | Alias | Ciąg | Wartość ruleName lub wartość RuleNumber. Jeśli jest używana wartość RuleNumber , typ powinien zostać przekonwertowany na ciąg. |
| ThreatId | Opcjonalny | Ciąg | Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu inspekcji. |
| ThreatName | Opcjonalny | Ciąg | Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu inspekcji. |
| ThreatCategory | Opcjonalny | Ciąg | Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowana w działaniu pliku inspekcji. |
| ThreatRiskLevel | Opcjonalny | RiskLevel (liczba całkowita) | Poziom ryzyka skojarzony z zidentyfikowanym zagrożeniem. Poziom powinien być liczbą z zakresu od 0 do 100. Uwaga: wartość może zostać podana w rekordzie źródłowym przy użyciu innej skali, która powinna zostać znormalizowana do tej skali. Oryginalna wartość powinna być przechowywana w witrynie ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcjonalny | Ciąg | Poziom ryzyka zgłoszony przez urządzenie raportowania. |
| ThreatConfidence | Opcjonalny | ConfidenceLevel (liczba całkowita) | Poziom ufności zidentyfikowanego zagrożenia znormalizowany do wartości od 0 do 100. |
| ThreatOriginalConfidence | Opcjonalny | Ciąg | Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgłoszony przez urządzenie raportowania. |
| ThreatIsActive | Opcjonalny | Wartość logiczna | Prawda, jeśli zidentyfikowane zagrożenie jest uważane za aktywne zagrożenie. |
| ThreatFirstReportedTime | Opcjonalny | Datetime | Przy pierwszym zidentyfikowaniu adresu IP lub domeny jako zagrożenia. |
| ThreatLastReportedTime | Opcjonalny | Datetime | Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
| ThreatIpAddr | Opcjonalny | Adres IP | Adres IP, dla którego zidentyfikowano zagrożenie. Pole ThreatField zawiera nazwę pola ThreatIpAddr reprezentuje. |
| Pole zagrożenia | Warunkowe | Wyliczane | Pole, dla którego zidentyfikowano zagrożenie. Wartość to albo SrcIpAddr lub TargetIpAddr. |
Aktualizacje schematu
Są to zmiany w wersji 0.1.1 schematu:
- Zaktualizowano pola jednostek użytkownika i urządzenia w celu dopasowania ich do innych schematów.
- Zmieniono nazwę
TargetDvciSrcDvcodpowiednio naTargetiSrc, aby były zgodne z bieżącymi wytycznymi dotyczącymi usługi ASIM. Nazwy pól będą implementowane jako aliasy do 1 lipca 2022 r. Te pola obejmują:SrcDvcHostname,SrcDvcHostnameType,SrcDvcType,SrcDvcIpAddr,TargetDvcHostname,TargetDvcHostnameType, ,TargetDvcType,TargetDvcIpAddriTargetDvc. - Dodano aliasy
SrciDst. - Dodano pola
SrcDvcIdType,SrcDeviceType,TargetDvcIdType, iTargetDeviceTypeiEventSchema.
Są to zmiany w wersji 0.1.2 schematu:
- Dodano pola
ActorScope,TargetUserScope,SrcDvcScopeId,SrcDvcScope,TargetDvcScopeId, ,TargetDvcScope,DvcScopeId, iDvcScope.
Są to zmiany w wersji 0.1.3 schematu:
- Dodano pola
SrcPortNumber,ActorOriginalUserType,ActorScopeId,TargetOriginalUserType,TargetUserScopeId,SrcDescription, ,SrcRiskLevel, ,SrcOriginalRiskLeveliTargetDescription. - Dodano pola inspekcji
- Dodano pola lokalizacji geograficznej systemu docelowego.
Są to zmiany w wersji 0.1.4 schematu:
- Dodano pola
ActingOriginalAppTypeiTargetOriginalAppType. - Dodano alias
Application.
Następne kroki
Więcej informacji można znaleźć w następujących artykułach:
- Obejrzyj seminarium internetowe usługi ASIM lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Zawartość zaawansowanego modelu informacji o zabezpieczeniach (ASIM)