Dokumentacja schematu normalizacji uwierzytelniania usługi Advanced Security Information Model (ASIM) (publiczna wersja zapoznawcza)
Schemat uwierzytelniania usługi Microsoft Sentinel służy do opisywania zdarzeń związanych z uwierzytelnianiem użytkownika, logowaniem i wylogowywaniem. Zdarzenia uwierzytelniania są wysyłane przez wiele urządzeń raportowania, zwykle jako część strumienia zdarzeń wraz z innymi zdarzeniami. Na przykład system Windows wysyła kilka zdarzeń uwierzytelniania wraz z innymi zdarzeniami działania systemu operacyjnego.
Zdarzenia uwierzytelniania obejmują oba zdarzenia z systemów, które koncentrują się na uwierzytelnianiu, takim jak bramy sieci VPN lub kontrolery domeny, oraz bezpośrednie uwierzytelnianie do systemu końcowego, takie jak komputer lub zapora.
Aby uzyskać więcej informacji na temat normalizacji w usłudze Microsoft Sentinel, zobacz Normalizacja i Zaawansowany model informacji o zabezpieczeniach (ASIM).
Ważne
Schemat normalizacji uwierzytelniania jest obecnie w wersji zapoznawczej. Ta funkcja jest udostępniana bez umowy dotyczącej poziomu usług i nie jest zalecana w przypadku obciążeń produkcyjnych.
Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Parsery
Wdróż analizatory uwierzytelniania ASIM z repozytorium GitHub usługi Microsoft Sentinel. Aby uzyskać więcej informacji na temat analizatorów ASIM, zobacz artykuły Analizatory ASIM overview..
Ujednolicanie analizatorów
Aby użyć analizatorów, które ujednolicają wszystkie analizatory out-of-the-box ASIM i upewnij się, że analiza jest uruchamiana we wszystkich skonfigurowanych źródłach, użyj imAuthentication analizatora filtrowania lub ASimAuthentication analizatora bez parametrów.
Analizatory specyficzne dla źródła
Aby uzyskać listę analizatorów uwierzytelniania, które udostępnia usługa Microsoft Sentinel, zapoznaj się z listą analizatorów ASIM:
Dodawanie własnych znormalizowanych analizatorów
Podczas implementowania niestandardowych analizatorów dla modelu informacji o uwierzytelnianiu nazwij funkcje KQL przy użyciu następującej składni:
vimAuthentication<vendor><Product>do filtrowania analizatorówASimAuthentication<vendor><Product>dla analizatorów bez parametrów
Aby uzyskać informacje na temat dodawania analizatorów niestandardowych do analizatora ujednolicania, zobacz Managing ASIM parsers (Zarządzanie analizatorami ASIM).
Parametry analizatora filtrowania
Analizatory im i vim* obsługują parametry filtrowania. Chociaż te analizatory są opcjonalne, mogą zwiększyć wydajność zapytań.
Dostępne są następujące parametry filtrowania:
| Imię i nazwisko/nazwa | Pisz | Opis |
|---|---|---|
| Starttime | Data i godzina | Filtruj tylko zdarzenia uwierzytelniania uruchomione w czasie lub po tym czasie. |
| Endtime | Data i godzina | Filtruj tylko zdarzenia uwierzytelniania, które zakończyły działanie o lub wcześniej. |
| targetusername_has | string | Filtruj tylko zdarzenia uwierzytelniania, które mają dowolną z wymienionych nazw użytkowników. |
Aby na przykład filtrować tylko zdarzenia uwierzytelniania od ostatniego dnia do określonego użytkownika, użyj:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Napiwek
Aby przekazać listę literałów do parametrów, które oczekują wartości dynamicznej, jawnie użyj literału dynamicznego. Na przykład: dynamic(['192.168.','10.']).
Znormalizowana zawartość
Znormalizowane reguły analityczne uwierzytelniania są unikatowe, ponieważ wykrywają ataki między źródłami. Na przykład jeśli użytkownik zalogował się do różnych, niepowiązanych systemów z różnych krajów/regionów, usługa Microsoft Sentinel wykryje teraz to zagrożenie.
Aby uzyskać pełną listę reguł analizy korzystających ze znormalizowanych zdarzeń uwierzytelniania, zobacz Zawartość zabezpieczeń schematu uwierzytelniania.
Przegląd schematu
Model informacji o uwierzytelnianiu jest zgodny ze schematem jednostki logowania OSSEM.
Pola wymienione w poniższej tabeli są specyficzne dla zdarzeń uwierzytelniania, ale są podobne do pól w innych schematach i są zgodne z podobnymi konwencjami nazewnictwa.
Zdarzenia uwierzytelniania odwołują się do następujących jednostek:
- TargetUser — informacje o użytkowniku używane do uwierzytelniania w systemie. TargetSystem jest głównym podmiotem zdarzenia uwierzytelniania, a alias Użytkownika aliasy zidentyfikowane przez użytkownika TargetUser.
- TargetApp — aplikacja uwierzytelniona w usłudze .
- Target — system, w którym działa taregtApp*.
- Aktor — użytkownik inicjujący uwierzytelnianie, jeśli jest inny niż TargetUser.
- ActingApp — aplikacja używana przez aktora do przeprowadzania uwierzytelniania.
- Src — system używany przez aktora do inicjowania uwierzytelniania.
Relacja między tymi jednostkami jest najlepiej pokazana w następujący sposób:
Aktor, uruchamiając działającą aplikację, ActingApp, w systemie źródłowym Src, próbuje uwierzytelnić się jako TargetUser w aplikacji docelowej, TargetApp, w systemie docelowym TargetDvc.
Szczegóły schematu
W poniższych tabelach typ odnosi się do typu logicznego. Aby uzyskać więcej informacji, zobacz Typy logiczne.
Typowe pola karty ASIM
Ważne
Pola wspólne dla wszystkich schematów zostały szczegółowo opisane w artykule ASIM Common Fields (Wspólne pola karty ASIM).
Typowe pola z określonymi wytycznymi
Na poniższej liście wymieniono pola, które mają określone wytyczne dotyczące zdarzeń uwierzytelniania:
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Eventtype | Obowiązkowy | Enumerated | Opisuje operację zgłoszoną przez rekord. W przypadku rekordów uwierzytelniania obsługiwane wartości to: - Logon - Logoff- Elevate |
| EventResultDetails | Zalecane | Ciąg | Szczegóły skojarzone z wynikiem zdarzenia. To pole jest zwykle wypełniane, gdy wynik jest błędem. Dozwolone wartości obejmują: - No such user or password. Ta wartość powinna być używana również wtedy, gdy oryginalne zdarzenie zgłasza, że nie ma takiego użytkownika, bez odwołowania się do hasła.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. Ta wartość powinna być używana, gdy oryginalne raporty o zdarzeniach, na przykład: wymagana uwierzytelnianie wieloskładnikowe, logowanie poza godzinami pracy, ograniczenia dostępu warunkowego lub zbyt częste próby.- Session expired- OtherWartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Oryginalna wartość powinna być przechowywana w polu EventOriginalResultDetails |
| EventSubType | Opcjonalnie | Ciąg | Typ logowania. Dozwolone wartości obejmują: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote — Użyj, gdy typ logowania zdalnego jest nieznany.- AssumeRole — zwykle używane, gdy typ zdarzenia to Elevate. Wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Oryginalna wartość powinna być przechowywana w polu EventOriginalSubType. |
| EventSchemaVersion | Obowiązkowy | Ciąg | Wersja schematu. Wersja schematu udokumentowana tutaj jest 0.1.3 |
| EventSchema | Obowiązkowy | Ciąg | Nazwa schematu udokumentowanego tutaj to Uwierzytelnianie. |
| Pola dvc | - | - | W przypadku zdarzeń uwierzytelniania pola urządzeń odnoszą się do systemu raportowania zdarzenia. |
Wszystkie typowe pola
Pola wyświetlane w poniższej tabeli są wspólne dla wszystkich schematów ASIM. Wszelkie wytyczne określone powyżej zastępują ogólne wytyczne dotyczące pola. Na przykład pole może być ogólnie opcjonalne, ale obowiązkowe dla określonego schematu. Aby uzyskać więcej informacji na temat każdego pola, zapoznaj się z artykułem ASIM Common Fields (Wspólne pola karty ASIM).
| Klasa | Pola |
|---|---|
| Obowiązkowy | - EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Zalecane | - EventResultDetails - EventSeverity - Identyfikator zdarzenia - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcjonalnie | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Właściciel zdarzenia - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Dodatkowe pola - DvcDescription - DvcScopeId - DvcScope |
Pola specyficzne dla uwierzytelniania
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| LogonMethod | Opcjonalnie | Ciąg | Metoda używana do przeprowadzania uwierzytelniania. Przykłady: Username & Password, PKI |
| LogonProtocol | Opcjonalnie | Ciąg | Protokół używany do przeprowadzania uwierzytelniania. Przykład: NTLM |
Pola aktora
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| AktorUserId | Opcjonalnie | Ciąg | Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja aktora. Aby uzyskać więcej informacji i w przypadku pól alternatywnych dla dodatkowych identyfikatorów, zobacz Jednostka Użytkownik. Przykład: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| AktorZakres | Opcjonalnie | Ciąg | Zakres, taki jak dzierżawa firmy Microsoft Entra, w którym zdefiniowano element ActorUserId i ActorUsername . lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu. |
| AktorScopeId | Opcjonalnie | Ciąg | Identyfikator zakresu, taki jak Identyfikator katalogu Entra firmy Microsoft, w którym zdefiniowano element ActorUserId i ActorUsername . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserScopeId w artykule Omówienie schematu. |
| AktorUserIdType | Warunkowe | UserIdType | Typ identyfikatora przechowywanego w polu ActorUserId . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserIdType w artykule Przegląd schematu. |
| AktorUsername | Opcjonalnie | Nazwa użytkownika | Nazwa użytkownika aktora, w tym informacje o domenie, gdy są dostępne. Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik. Przykład: AlbertE |
| AktorUsernameType | Warunkowe | Typ nazwy użytkownika | Określa typ nazwy użytkownika przechowywanej w polu ActorUsername . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UsernameType w artykule Omówienie schematu. Przykład: Windows |
| AktorUserType | Opcjonalnie | UserType | Typ aktora. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserType w artykule Omówienie schematu. Na przykład: Guest. |
| ActorOriginalUserType | Opcjonalnie | UserType | Typ użytkownika zgłoszony przez urządzenie raportowania. |
| ActorsSessionId | Opcjonalnie | Ciąg | Unikatowy identyfikator sesji logowania aktora. Przykład: 102pTUgC3p8RIqHvzxLCHnFlg |
Pola aplikacji działających
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| ActingAppId | Opcjonalnie | Ciąg | Identyfikator aplikacji autoryzującej w imieniu aktora, w tym proces, przeglądarka lub usługa. Na przykład: 0x12ae8. |
| ActingAppName | Opcjonalnie | Ciąg | Nazwa aplikacji autoryzującej w imieniu aktora, w tym proces, przeglądarka lub usługa. Na przykład: C:\Windows\System32\svchost.exe. |
| ActingAppType | Opcjonalnie | Typ aplikacji | Typ działającej aplikacji. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz Artykuł AppType w artykule Przegląd schematu. |
| HttpUserAgent | Opcjonalnie | Ciąg | W przypadku uwierzytelniania za pośrednictwem protokołu HTTP lub HTTPS wartość tego pola to user_agent nagłówek HTTP udostępniany przez działającą aplikację podczas przeprowadzania uwierzytelniania. Na przykład: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1. |
Pola użytkownika docelowego
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| TargetUserId | Opcjonalnie | Identyfikator użytkownika | Czytelna dla maszyny alfanumeryczna reprezentacja użytkownika docelowego. Aby uzyskać więcej informacji i w przypadku pól alternatywnych dla dodatkowych identyfikatorów, zobacz Jednostka Użytkownik. Przykład: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | Opcjonalnie | Ciąg | Zakres, taki jak dzierżawa firmy Microsoft Entra, w którym zdefiniowano identyfikator TargetUserId i TargetUsername . lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu. |
| TargetUserScopeId | Opcjonalnie | Ciąg | Identyfikator zakresu, taki jak Identyfikator katalogu Entra firmy Microsoft, w którym zdefiniowano identyfikator TargetUserId i TargetUsername . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserScopeId w artykule Omówienie schematu. |
| TargetUserIdType | Warunkowe | UserIdType | Typ identyfikatora użytkownika przechowywanego w polu TargetUserId . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserIdType w artykule Przegląd schematu. Przykład: SID |
| TargetUsername | Opcjonalnie | Nazwa użytkownika | Docelowa nazwa użytkownika, w tym informacje o domenie, gdy są dostępne. Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik. Przykład: MarieC |
| TargetUsernameType | Warunkowe | Typ nazwy użytkownika | Określa typ nazwy użytkownika przechowywanej w polu TargetUsername . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UsernameType w artykule Omówienie schematu. |
| TargetUserType | Opcjonalnie | UserType | Typ użytkownika docelowego. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserType w artykule Omówienie schematu. Na przykład: Member. |
| TargetSessionId | Opcjonalnie | Ciąg | Identyfikator sesji logowania użytkownika TargetUser na urządzeniu źródłowym. |
| TargetOriginalUserType | Opcjonalnie | UserType | Typ użytkownika zgłoszony przez urządzenie raportowania. |
| Użytkownik | Alias | Nazwa użytkownika | Alias do TargetUsername lub targetUserId , jeśli targetUsername nie jest zdefiniowany. Przykład: CONTOSO\dadmin |
Pola systemu źródłowego
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Src | Zalecane | Ciąg | Unikatowy identyfikator urządzenia źródłowego. To pole może aliasuć pola SrcDvcId, SrcHostname lub SrcIpAddr . Przykład: 192.168.12.1 |
| SrcDvcId | Opcjonalnie | Ciąg | Identyfikator urządzenia źródłowego. Jeśli dostępnych jest wiele identyfikatorów, użyj najważniejszego identyfikatora i zapisz pozostałe w polach SrcDvc<DvcIdType>.Przykład: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcjonalnie | Ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. SrcDvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| SrcDvcScope | Opcjonalnie | Ciąg | Zakres platformy w chmurze, do którego należy urządzenie. SrcDvcScope mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| SrcDvcIdType | Warunkowe | DvcIdType | Typ SrcDvcId. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DvcIdType w artykule Przegląd schematu. Uwaga: to pole jest wymagane, jeśli jest używany identyfikator SrcDvcId . |
| SrcDeviceType | Opcjonalnie | Devicetype | Typ urządzenia źródłowego. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DeviceType w artykule Przegląd schematu. |
| SrcHostname | Zalecane | Hostname (Nazwa hosta) | Nazwa hosta urządzenia źródłowego z wyłączeniem informacji o domenie. Jeśli żadna nazwa urządzenia nie jest dostępna, zapisz odpowiedni adres IP w tym polu. Przykład: DESKTOP-1282V4D |
| SrcDomain | Zalecane | Ciąg | Domena urządzenia źródłowego. Przykład: Contoso |
| SrcDomainType | Warunkowe | Domaintype | Typ SrcDomain. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DomainType w artykule Przegląd schematu. Wymagane, jeśli jest używany SrcDomain . |
| SrcFQDN | Opcjonalnie | Ciąg | Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, gdy są dostępne. Uwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa_hosta systemu Windows. Pole SrcDomainType odzwierciedla używany format. Przykład: Contoso\DESKTOP-1282V4D |
| SrcDescription | Opcjonalnie | Ciąg | Tekst opisowy skojarzony z urządzeniem. Na przykład: Primary Domain Controller. |
| SrcIpAddr | Opcjonalnie | Adres IP | Adres IP urządzenia źródłowego. Przykład: 2.2.2.2 |
| SrcPortNumber | Opcjonalnie | Wartość całkowita | Port IP, z którego pochodzi połączenie. Przykład: 2335 |
| SrcDvcOs | Opcjonalnie | Ciąg | System operacyjny urządzenia źródłowego. Przykład: Windows 10 |
| IpAddr | Alias | Alias do SrcIpAddr | |
| SrcIsp | Opcjonalnie | Ciąg | Dostawca usług internetowych (ISP) używany przez urządzenie źródłowe do łączenia się z Internetem. Przykład: corpconnect |
| SrcGeoCountry | Opcjonalnie | Kraj | Przykład: Canada Aby uzyskać więcej informacji, zobacz Typy logiczne. |
| SrcGeoCity | Opcjonalnie | City (Miasto) | Przykład: Montreal Aby uzyskać więcej informacji, zobacz Typy logiczne. |
| SrcGeoRegion | Opcjonalnie | Region | Przykład: Quebec Aby uzyskać więcej informacji, zobacz Typy logiczne. |
| SrcGeoLongtitude | Opcjonalnie | Długość | Przykład: -73.614830 Aby uzyskać więcej informacji, zobacz Typy logiczne. |
| SrcGeoLatitude | Opcjonalnie | Szerokość geograficzna | Przykład: 45.505918 Aby uzyskać więcej informacji, zobacz Typy logiczne. |
| SrcRiskLevel | Opcjonalnie | Wartość całkowita | Poziom ryzyka skojarzony ze źródłem. Wartość powinna być dostosowana do zakresu 0 wartości z 100wartością , z wartością 0 dla łagodnego i 100 wysokiego ryzyka.Przykład: 90 |
| SrcOriginalRiskLevel | Opcjonalnie | Wartość całkowita | Poziom ryzyka skojarzony ze źródłem, zgodnie z raportem urządzenia raportowania. Przykład: Suspicious |
Pola aplikacji docelowej
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| TargetAppId | Opcjonalnie | Ciąg | Identyfikator aplikacji, do której jest wymagana autoryzacja, często przypisywana przez urządzenie raportowania. Przykład: 89162 |
| TargetAppName | Opcjonalnie | Ciąg | Nazwa aplikacji, do której jest wymagana autoryzacja, w tym usługa, adres URL lub aplikacja SaaS. Przykład: Saleforce |
| TargetAppType | Opcjonalnie | Typ aplikacji | Typ aplikacji autoryzującej w imieniu aktora. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz Artykuł AppType w artykule Przegląd schematu. |
| TargetUrl | Opcjonalnie | URL | Adres URL skojarzony z aplikacją docelową. Przykład: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LognTarget | Alias | Alias do targetAppName, TargetUrl lub TargetHostname, w zależności od tego, które pole najlepiej opisuje cel uwierzytelniania. |
Pola systemu docelowego
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Czasu letniego | Alias | Ciąg | Unikatowy identyfikator obiektu docelowego uwierzytelniania. To pole może mieć alias pól TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId lub TargetAppName . Przykład: 192.168.12.1 |
| TargetHostname | Zalecane | Hostname (Nazwa hosta) | Nazwa hosta urządzenia docelowego z wyłączeniem informacji o domenie. Przykład: DESKTOP-1282V4D |
| TargetDomain | Zalecane | Ciąg | Domena urządzenia docelowego. Przykład: Contoso |
| TargetDomainType | Warunkowe | Enumerated | Typ elementu TargetDomain. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DomainType w artykule Przegląd schematu. Wymagane, jeśli jest używana domena docelowa . |
| Nazwa docelowaFQDN | Opcjonalnie | Ciąg | Nazwa hosta urządzenia docelowego, w tym informacje o domenie, gdy są dostępne. Przykład: Contoso\DESKTOP-1282V4D Uwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa_hosta systemu Windows. Typ TargetDomainType odzwierciedla używany format. |
| TargetDescription | Opcjonalnie | Ciąg | Tekst opisowy skojarzony z urządzeniem. Na przykład: Primary Domain Controller. |
| TargetDvcId | Opcjonalnie | Ciąg | Identyfikator urządzenia docelowego. Jeśli dostępnych jest wiele identyfikatorów, użyj najważniejszego identyfikatora i zapisz pozostałe w polach TargetDvc<DvcIdType>. Przykład: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Opcjonalnie | Ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. TargetDvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| TargerDvcScope | Opcjonalnie | Ciąg | Zakres platformy w chmurze, do którego należy urządzenie. TargetDvcScope mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| TargetDvcIdType | Warunkowe | Enumerated | Typ TargetDvcId. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DvcIdType w artykule Przegląd schematu. Wymagane, jeśli jest używany identyfikator TargetDeviceId . |
| TargetDeviceType | Opcjonalnie | Enumerated | Typ urządzenia docelowego. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DeviceType w artykule Przegląd schematu. |
| TargetIpAddr | Opcjonalnie | Adres IP | Adres IP urządzenia docelowego. Przykład: 2.2.2.2 |
| TargetDvcOs | Opcjonalnie | Ciąg | System operacyjny urządzenia docelowego. Przykład: Windows 10 |
| TargetPortNumber | Opcjonalnie | Wartość całkowita | Port urządzenia docelowego. |
| TargetGeoCountry | Opcjonalnie | Kraj | Kraj skojarzony z docelowym adresem IP. Przykład: USA |
| TargetGeoRegion | Opcjonalnie | Region | Region skojarzony z docelowym adresem IP. Przykład: Vermont |
| TargetGeoCity | Opcjonalnie | City (Miasto) | Miasto skojarzone z docelowym adresem IP. Przykład: Burlington |
| TargetGeoLatitude | Opcjonalnie | Szerokość geograficzna | Szerokość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP. Przykład: 44.475833 |
| TargetGeoLongitude | Opcjonalnie | Długość | Długość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP. Przykład: 73.211944 |
| TargetRiskLevel | Opcjonalnie | Wartość całkowita | Poziom ryzyka skojarzony z celem. Wartość powinna być dostosowana do zakresu 0 wartości z 100wartością , z wartością 0 dla łagodnego i 100 wysokiego ryzyka.Przykład: 90 |
| TargetOriginalRiskLevel | Opcjonalnie | Wartość całkowita | Poziom ryzyka skojarzony z obiektem docelowym, zgodnie z raportem urządzenia raportowania. Przykład: Suspicious |
Pola inspekcji
Poniższe pola są używane do reprezentowania tej inspekcji przeprowadzonej przez system zabezpieczeń.
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Rulename | Opcjonalnie | Ciąg | Nazwa lub identyfikator reguły skojarzonej z wynikami inspekcji. |
| RuleNumber | Opcjonalnie | Wartość całkowita | Liczba reguł skojarzonych z wynikami inspekcji. |
| Reguły | Alias | Ciąg | Wartość RuleName lub wartość RuleNumber. Jeśli jest używana wartość RuleNumber , typ powinien zostać przekonwertowany na ciąg. |
| ThreatId | Opcjonalnie | Ciąg | Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu inspekcji. |
| ThreatName | Opcjonalnie | Ciąg | Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu inspekcji. |
| ThreatCategory | Opcjonalnie | Ciąg | Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku inspekcji. |
| ThreatRiskLevel | Opcjonalnie | Wartość całkowita | Poziom ryzyka skojarzony z zidentyfikowanym zagrożeniem. Poziom powinien być liczbą z zakresu od 0 do 100. Uwaga: wartość może być podana w rekordzie źródłowym przy użyciu innej skali, która powinna być znormalizowana do tej skali. Oryginalna wartość powinna być przechowywana w usłudze ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcjonalnie | Ciąg | Poziom ryzyka zgłoszony przez urządzenie raportowania. |
| ThreatConfidence | Opcjonalnie | Wartość całkowita | Zidentyfikowany poziom ufności zagrożenia znormalizowany do wartości z zakresu od 0 do 100. |
| ThreatOriginalConfidence | Opcjonalnie | Ciąg | Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgodnie z raportem urządzenia raportowania. |
| ThreatIsActive | Opcjonalnie | Wartość logiczna | Prawda, jeśli zidentyfikowane zagrożenie jest uznawane za aktywne zagrożenie. |
| ThreatFirstReportedTime | Opcjonalnie | Data i godzina | Po raz pierwszy adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
| ThreatLastReportedTime | Opcjonalnie | Data i godzina | Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
| ThreatIpAddr | Opcjonalnie | Adres IP | Adres IP, dla którego zidentyfikowano zagrożenie. Pole ThreatField zawiera nazwę pola ThreatIpAddr reprezentuje. |
| ThreatField | Opcjonalnie | Enumerated | Pole, dla którego zidentyfikowano zagrożenie. Wartość to SrcIpAddr lub TargetIpAddr. |
Aktualizacje schematu
Są to zmiany w wersji 0.1.1 schematu:
- Zaktualizowano pola jednostek użytkownika i urządzenia w celu dostosowania ich do innych schematów.
- Zmieniono
TargetDvcnazwy i odpowiednio naTargetiSrcDvcSrc, aby dostosować je do bieżących wytycznych dotyczących karty ASIM. Zmienione nazwy pól zostaną zaimplementowane jako aliasy do 1 lipca 2022 r. Te pola obejmują:SrcDvcHostname,SrcDvcHostnameTypeTargetDvcHostnameTypeSrcDvcTypeTargetDvcHostnameTargetDvcTypeSrcDvcIpAddr,TargetDvcIpAddr, i .TargetDvc - Dodano aliasy
SrciDst. - Dodano pola
SrcDvcIdType,SrcDeviceTypeTargetDvcIdTypeiTargetDeviceType.EventSchema
Są to zmiany w wersji 0.1.2 schematu:
- Dodano pola
ActorScope, , ,SrcDvcScopeIdTargetDvcScopeIdSrcDvcScopeTargetDvcScopeTargetUserScope,DvcScopeIdi .DvcScope
Są to zmiany w wersji 0.1.3 schematu:
- Dodano pola
SrcPortNumber, , ,ActorScopeIdSrcDescriptionActorOriginalUserTypeTargetUserScopeIdSrcRiskLevelTargetOriginalUserType, ,SrcOriginalRiskLeveli .TargetDescription - Dodano pola inspekcji
- Dodano pola lokalizacji geograficznej systemu docelowego.
Następne kroki
Aby uzyskać więcej informacji, zobacz:
- Obejrzyj seminarium internetowe ASIM lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Zawartość usługi Advanced Security Information Model (ASIM)