Dokumentacja schematu normalizacji zarządzania użytkownikami usługi Microsoft Sentinel

Schemat normalizacji zarządzania użytkownikami usługi Microsoft Sentinel służy do opisywania działań związanych z zarządzaniem użytkownikami, takich jak tworzenie użytkownika lub grupy, zmienianie atrybutu użytkownika lub dodawanie użytkownika do grupy. Takie zdarzenia są zgłaszane, na przykład przez systemy operacyjne, usługi katalogowe, systemy zarządzania tożsamościami i wszelkie inne systemy raportowania działań związanych z zarządzaniem użytkownikami lokalnymi.

Aby uzyskać więcej informacji na temat normalizacji w usłudze Microsoft Sentinel, zobacz Normalizacja i Zaawansowany model informacji o zabezpieczeniach (ASIM).

Przegląd schematu

Schemat zarządzania użytkownikami ASIM opisuje działania związane z zarządzaniem użytkownikami. Działania zazwyczaj obejmują następujące jednostki:

• Aktor — użytkownik wykonujący działania zarządzania.
• Proces działający — proces używany przez aktora do wykonywania działań zarządzania.
• Src — gdy działanie jest wykonywane za pośrednictwem sieci, urządzenie źródłowe, z którego zainicjowano działanie.
• Użytkownik docelowy — użytkownik, który jest zarządzany przez konto.
• Grupuj użytkownika docelowego jest dodawany lub usuwany albo modyfikowany.

Niektóre działania, takie jak UserCreated, GroupCreated, UserModified i GroupModified*, ustawiają lub aktualizują właściwości użytkownika. Zestaw lub aktualizacja właściwości jest udokumentowany w następujących polach:

• EventSubType — nazwa wartości, która została ustawiona lub zaktualizowana. UpdatedPropertyName to alias klasy EventSubType, gdy element EventSubType odwołuje się do jednego z odpowiednich typów zdarzeń.
• PreviousPropertyValue — poprzednia wartość właściwości.
• NewPropertyValue — zaktualizowana wartość właściwości.

Szczegóły schematu

Typowe pola karty ASIM

Ważne

Pola wspólne dla wszystkich schematów zostały szczegółowo opisane w artykule ASIM Common Fields (Wspólne pola karty ASIM).

Typowe pola z określonymi wytycznymi

Na poniższej liście wymieniono pola, które mają określone wytyczne dotyczące zdarzeń działań procesów:

Pole	Klasa	Typ	Opis
EventType	Obowiązkowy	Enumerated	Opisuje operację zgłoszoną przez rekord. W przypadku działań zarządzania użytkownikami obsługiwane są następujące wartości: - UserCreated - UserDeleted - UserModified - UserLocked - UserUnlocked - UserDisabled - UserEnabled - PasswordChanged - PasswordReset - GroupCreated - GroupDeleted - GroupModified - UserAddedToGroup - UserRemovedFromGroup - GroupEnumerated - UserRead - GroupRead
EventSubType (Typ zdarzeniaEventSubType)	Opcjonalnie	Enumerated	Obsługiwane są następujące podtypy: - UserRead: hasło, skrót - UserCreated, , GroupCreatedUserModified, , GroupModified. Aby uzyskać więcej informacji, zobacz UpdatedPropertyName
EventResult	Obowiązkowy	Enumerated	Chociaż awaria jest możliwa, większość systemów zgłasza tylko pomyślne zdarzenia zarządzania użytkownikami. Oczekiwaną wartością pomyślnych zdarzeń jest Success.
EventResultDetails	Zalecane	Enumerated	Prawidłowe wartości to NotAuthorized i Other.
EventSeverity	Obowiązkowy	Enumerated	Chociaż dowolna prawidłowa wartość ważności jest dozwolona, ważność zdarzeń zarządzania użytkownikami jest zwykle Informational.
EventSchema	Obowiązkowy	Enumerated	Nazwa schematu udokumentowanego tutaj to UserManagement.
EventSchemaVersion	Obowiązkowy	SchemaVersion (String)	Wersja schematu. Wersja schematu udokumentowanego tutaj to 0.1.2.
Pola dvc			W przypadku zdarzeń zarządzania użytkownikami pola urządzeń odnoszą się do systemu raportowania zdarzenia. Zazwyczaj jest to system, w którym użytkownik jest zarządzany.

Wszystkie typowe pola

Pola wyświetlane w poniższej tabeli są wspólne dla wszystkich schematów ASIM. Wszelkie wytyczne określone powyżej zastępują ogólne wytyczne dotyczące pola. Na przykład pole może być ogólnie opcjonalne, ale obowiązkowe dla określonego schematu. Aby uzyskać więcej informacji na temat każdego pola, zapoznaj się z artykułem ASIM Common Fields (Wspólne pola karty ASIM).

Klasa	Pola
Obowiązkowy	- Liczba zdarzeń - ZdarzenieStartTime - EventEndTime (Czas zakończenia wydarzenia) - Typ zdarzenia - Wynik zdarzenia - ZdarzenieProdukt - Sprzedawca zdarzeń - Schemat zdarzeń - EventSchemaVersion - Dvc
Zalecane	- Szczegóły zdarzenia - EventSeverity (Ważność zdarzenia) - Identyfikator zdarzenia - DvcIpAddr - DvcHostname (nazwa_hosta) - Domena DvcDomena - DvcDomainType (Typ_domeny) - Nazwa DvcFQDN - DvcId - DvcIdType - DvcAction
Opcjonalnie	- Wiadomość o zdarzeniu - EventSubType (Typ zdarzeniaEventSubType) - Identyfikator EventOriginalUid - WydarzenieOryginalny Typ - WydarzenieOryginalny Subtyp - ZdarzenieOriginalResultDetails - WydarzenieOryginalnaPoważność - EventProductVersion (Wersja zdarzenia) - Adres URL raportu zdarzenia - Właściciel zdarzenia - Strefa DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - Interfejs DvcInterface - Dodatkowe pola - Opis Dvc - DvcScopeId (Identyfikator Zakresu) - DvcScope (Zakres dvc)

Zaktualizowane pola właściwości

Pole	Klasa	Typ	Opis
AktualizowanaNazwaNieruchomości	Alias		Alias do EventSubType , gdy typ zdarzenia to UserCreated, GroupCreated, UserModifiedlub GroupModified. Obsługiwane wartości to: - MultipleProperties: używane, gdy działanie aktualizuje wiele właściwości - Previous<PropertyName>, gdzie <PropertyName> jest jedną z obsługiwanych wartości dla elementu UpdatedPropertyName. - New<PropertyName>, gdzie <PropertyName> jest jedną z obsługiwanych wartości dla elementu UpdatedPropertyName.
PreviousPropertyValue	Opcjonalnie	String	Poprzednia wartość, która została zapisana w określonej właściwości.
NewPropertyValue	Opcjonalnie	String	Nowa wartość przechowywana w określonej właściwości.

Pola użytkownika docelowego

Pole	Klasa	Typ	Opis
TargetUserId	Opcjonalnie	String	Czytelna dla maszyny alfanumeryczna reprezentacja użytkownika docelowego. Obsługiwane formaty i typy obejmują: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500 - UID (Linux): 4578 - AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa - OktaId: 00urjk4znu3BcncfY0h7 - AWSId: 72643944673 Zapisz typ identyfikatora w polu TargetUserIdType . Jeśli są dostępne inne identyfikatory, zalecamy normalizację nazw pól odpowiednio na TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId i TargetUserAwsId. Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik. Przykład: S-1-12
TargetUserIdType	Warunkowy	Enumerated	Typ identyfikatora przechowywanego w polu TargetUserId . Obsługiwane wartości to SID, , UID, AADIDOktaId, i AWSId.
TargetUsername	Opcjonalnie	Nazwa użytkownika (String)	Docelowa nazwa użytkownika, w tym informacje o domenie, gdy są dostępne. Użyj jednego z następujących formatów i w następującej kolejności priorytetu: - Nazwa upn/adres e-mail: johndow@contoso.com - Windows: Contoso\johndow - DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM - Proste: johndow. Użyj formularza prostego tylko wtedy, gdy informacje o domenie nie są dostępne. Zapisz typ nazwy użytkownika w polu TargetUsernameType . Jeśli są dostępne inne identyfikatory, zalecamy normalizację nazw pól na TargetUserUpn, TargetUserWindows i TargetUserDn. Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik. Przykład: AlbertE
TargetUsernameType	Warunkowy	Enumerated	Określa typ nazwy użytkownika przechowywanej w polu TargetUsername . Obsługiwane wartości obejmują UPN, , WindowsDNi Simple. Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik. Przykład: Windows
TargetUserType	Opcjonalnie	Enumerated	Typ użytkownika docelowego. Obsługiwane wartości to: - Regular - Machine - Admin - System - Application - Service Principal - Other Uwaga: Wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Zapisz oryginalną wartość w polu TargetOriginalUserType .
TargetOriginalUserType	Opcjonalnie	String	Oryginalny typ użytkownika docelowego, jeśli jest podany przez źródło.
TargetUserScope	Opcjonalnie	String	Zakres, taki jak dzierżawa firmy Microsoft Entra, w którym zdefiniowano identyfikator TargetUserId i TargetUsername . lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu.
TargetUserScopeId	Opcjonalnie	String	Identyfikator zakresu, taki jak Identyfikator katalogu Entra firmy Microsoft, w którym zdefiniowano identyfikator TargetUserId i TargetUsername . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserScopeId w artykule Omówienie schematu.
TargetUserSessionId	Opcjonalnie	String	Unikatowy identyfikator sesji logowania użytkownika docelowego. Przykład: 999 Uwaga: typ jest definiowany jako ciąg do obsługi różnych systemów, ale w systemie Windows ta wartość musi być numeryczna. Jeśli używasz maszyny z systemem Windows lub Linux i używasz innego typu, pamiętaj, aby przekonwertować wartości. Jeśli na przykład użyto wartości szesnastkowej, przekonwertuj ją na wartość dziesiętną.

Pola aktora

Pole	Klasa	Typ	Opis
AktorUserId	Opcjonalnie	String	Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja aktora. Obsługiwane formaty i typy obejmują: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500 - UID (Linux): 4578 - AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa - OktaId: 00urjk4znu3BcncfY0h7 - AWSId: 72643944673 Zapisz typ identyfikatora w polu ActorUserIdType . Jeśli są dostępne inne identyfikatory, zalecamy znormalizowanie nazw pól odpowiednio do ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId i ActorAwsId. Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik. Przykład: S-1-12
AktorUserIdType	Warunkowy	Enumerated	Typ identyfikatora przechowywanego w polu ActorUserId . Obsługiwane wartości obejmują SID, , UID, AADIDOktaId, i AWSId.
AktorUsername	Obowiązkowy	Nazwa użytkownika (String)	Nazwa użytkownika aktora, w tym informacje o domenie, gdy są dostępne. Użyj jednego z następujących formatów i w następującej kolejności priorytetu: - Nazwa upn/adres e-mail: johndow@contoso.com - Windows: Contoso\johndow - DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM - Proste: johndow. Użyj formularza prostego tylko wtedy, gdy informacje o domenie nie są dostępne. Zapisz typ nazwy użytkownika w polu ActorUsernameType . Jeśli są dostępne inne identyfikatory, zalecamy znormalizowanie nazw pól do pola ActorUserUpn, ActorUserWindows i ActorUserDn. Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik. Przykład: AlbertE
Użytkownik	Alias		Alias do ActorUsername.
AktorUsernameType	Warunkowy	Enumerated	Określa typ nazwy użytkownika przechowywanej w polu ActorUsername . Obsługiwane wartości to UPN, , WindowsDNi Simple. Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik. Przykład: Windows
AktorUserType	Opcjonalnie	Enumerated	Typ aktora. Dozwolone wartości to: - Regular - Machine - Admin - System - Application - Service Principal - Other Uwaga: Wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Zapisz oryginalną wartość w polu ActorOriginalUserType .
AktorOryginalnyTyp użytkownika	Opcjonalnie	String	Oryginalny typ użytkownika docelowego, jeśli jest udostępniany przez urządzenie raportowania.
AktorOryginalnyTyp użytkownika			Oryginalny typ użytkownika aktora, jeśli został podany przez źródło.
ActorsSessionId	Opcjonalnie	String	Unikatowy identyfikator sesji logowania aktora. Przykład: 999 Uwaga: typ jest definiowany jako ciąg do obsługi różnych systemów, ale w systemie Windows ta wartość musi być numeryczna. Jeśli używasz maszyny z systemem Windows i używasz innego typu, pamiętaj, aby przekonwertować wartości. Jeśli na przykład użyto wartości szesnastkowej, przekonwertuj ją na wartość dziesiętną.
AktorZakres	Opcjonalnie	String	Zakres, taki jak dzierżawa firmy Microsoft Entra, w którym zdefiniowano element ActorUserId i ActorUsername . lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu.
AktorScopeId	Opcjonalnie	String	Identyfikator zakresu, taki jak Identyfikator katalogu Entra firmy Microsoft, w którym zdefiniowano element ActorUserId i ActorUsername . lub więcej informacji i listy dozwolonych wartości, zobacz UserScopeId w artykule Przegląd schematu.

Pola grupy

Pole	Klasa	Typ	Opis
Identyfikator grupy	Opcjonalnie	String	Możliwość odczytu maszynowego, alfanumeryczna, unikatowa reprezentacja grupy w przypadku działań obejmujących grupę. Obsługiwane formaty i typy obejmują: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500 - UID (Linux): 4578 Zapisz typ identyfikatora w polu GroupIdType . Jeśli są dostępne inne identyfikatory, zalecamy normalizację nazw pól odpowiednio na GroupSid lub GroupUid. Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik. Przykład: S-1-12
GroupIdType	Opcjonalnie	Enumerated	Typ identyfikatora przechowywanego w polu GroupId . Obsługiwane wartości to SID, i UID.
Nazwa grupy	Opcjonalnie	String	Nazwa grupy, w tym informacje o domenie, gdy są dostępne, dla działań dotyczących grupy. Użyj jednego z następujących formatów i w następującej kolejności priorytetu: - Nazwa upn/adres e-mail: grp@contoso.com - Windows: Contoso\grp - DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM - Proste: grp. Użyj formularza prostego tylko wtedy, gdy informacje o domenie nie są dostępne. Zapisz typ nazwy grupy w polu GroupNameType . Jeśli są dostępne inne identyfikatory, zalecamy znormalizowanie nazw pól w polach GroupUpn, GroupNameWindows i GroupDn. Przykład: Contoso\Finance
NazwaGrupaTyp	Opcjonalnie	Enumerated	Określa typ nazwy grupy przechowywanej w polu Nazwa_grupy . Obsługiwane wartości obejmują UPN, , WindowsDNi Simple. Przykład: Windows
Typ grupy	Opcjonalnie	Enumerated	Typ grupy dla działań obejmujących grupę. Obsługiwane wartości to: - Local Distribution - Local Security Enabled - Global Distribution - Global Security Enabled - Universal Distribution - Universal Security Enabled - Other Uwaga: Wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Zapisz oryginalną wartość w polu GroupOriginalType .
GrupaOryginalny Typ	Opcjonalnie	String	Oryginalny typ grupy, jeśli jest podany przez źródło.

Pola źródłowe

Pole	Klasa	Typ	Opis
Src	Zalecane	String	Unikatowy identyfikator urządzenia źródłowego. To pole może aliasuć pola SrcDvcId, SrcHostname lub SrcIpAddr . Przykład: 192.168.12.1
SrcIpAddr powiedział:	Zalecane	adres IP	Adres IP urządzenia źródłowego. Ta wartość jest obowiązkowa, jeśli określono nazwę SrcHostname . Przykład: 77.138.103.108
IpAddr	Alias		Alias do SrcIpAddr.
SrcPortNumber	Opcjonalnie	Integer	Port IP, z którego pochodzi połączenie. Może nie być istotne dla sesji składającej się z wielu połączeń. Przykład: 2335
SrcMacAddr	Opcjonalnie	Adres MAC (String)	Adres MAC interfejsu sieciowego, z którego pochodzi połączenie lub sesja. Przykład: 06:10:9f:eb:8f:14
Opis SrcDescription	Opcjonalnie	String	Tekst opisowy skojarzony z urządzeniem. Na przykład: Primary Domain Controller.
SrcHostname (nazwa hosta src)	Zalecane	String	Nazwa hosta urządzenia źródłowego z wyłączeniem informacji o domenie. Przykład: DESKTOP-1282V4D
Domena Src	Zalecane	Dziedzina (ciąg znaków)	Domena urządzenia źródłowego. Przykład: Contoso
Typ_domeny Src	Zalecane	Enumerated	Typ SrcDomain, jeśli jest znany. Możliwe wartości to: - Windows (na przykład contoso) - FQDN (na przykład microsoft.com) Wymagane, jeśli jest używany SrcDomain .
SrcFQDN	Opcjonalnie	FQDN (struna)	Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, gdy są dostępne. Uwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa_hosta systemu Windows. Pole SrcDomainType odzwierciedla używany format. Przykład: Contoso\DESKTOP-1282V4D
Identyfikator SrcDvcId	Opcjonalnie	String	Identyfikator urządzenia źródłowego zgłoszony w rekordzie. Przykład: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
Identyfikator SrcDvcScopeId	Opcjonalnie	String	Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. SrcDvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS.
SrcDvcScope (SrcDvcScope)	Opcjonalnie	String	Zakres platformy w chmurze, do którego należy urządzenie. SrcDvcScope mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS.
SrcDvcIdType	Warunkowy	Enumerated	Typ SrcDvcId, jeśli jest znany. Możliwe wartości to: - AzureResourceId - MDEid Jeśli dostępnych jest wiele identyfikatorów, użyj pierwszego z poprzedniej listy i zapisz pozostałe identyfikatory odpowiednio w SrcDvcAzureResourceId i SrcDvcMDEid. Uwaga: to pole jest wymagane, jeśli jest używany identyfikator SrcDvcId .
SrcDeviceType	Opcjonalnie	Enumerated	Typ urządzenia źródłowego. Możliwe wartości to: - Computer - Mobile Device - IOT Device - Other
SrcGeoCountry	Opcjonalnie	Kraj	Kraj/region skojarzony ze źródłowym adresem IP. Przykład: USA
SrcGeoRegion	Opcjonalnie	Region (Region)	Region skojarzony ze źródłowym adresem IP. Przykład: Vermont
SrcGeoCity	Opcjonalnie	City	Miasto skojarzone ze źródłowym adresem IP. Przykład: Burlington
SrcGeoLatitude	Opcjonalnie	Szerokość	Szerokość geograficzna współrzędnych geograficznych skojarzonych z źródłowym adresem IP. Przykład: 44.475833
SrcGeoLongitude	Opcjonalnie	Długość	Długość geograficzna współrzędnej geograficznej skojarzonej z źródłowym adresem IP. Przykład: 73.211944
SrcRiskLevel	Opcjonalnie	Integer	Poziom ryzyka skojarzony ze źródłem. Wartość powinna być dostosowana do zakresu 0 wartości z 100wartością , z wartością 0 dla łagodnego i 100 wysokiego ryzyka. Przykład: 90
SrcOriginalRiskLevel	Opcjonalnie	String	Poziom ryzyka skojarzony ze źródłem, zgodnie z raportem urządzenia raportowania. Przykład: Suspicious

Działająca aplikacja

Pole	Klasa	Typ	Opis
ActingAppId	Opcjonalnie	String	Identyfikator aplikacji używanej przez aktora do wykonywania działania, w tym procesu, przeglądarki lub usługi. Na przykład: 0x12ae8.
ActingAppName	Opcjonalnie	String	Nazwa aplikacji używanej przez aktora do wykonywania działania, w tym procesu, przeglądarki lub usługi. Na przykład: C:\Windows\System32\svchost.exe.
ActingAppType	Opcjonalnie	Enumerated	Typ działającej aplikacji. Obsługiwane wartości to: - Process - Browser - Resource - Other
ActingOriginalAppType	Opcjonalnie	String	Typ aplikacji, która zainicjowała aktywność, zgłoszony przez urządzenie raportujące.
HttpUserAgent	Opcjonalnie	String	W przypadku uwierzytelniania za pośrednictwem protokołu HTTP lub HTTPS wartość tego pola to user_agent nagłówek HTTP udostępniany przez działającą aplikację podczas przeprowadzania uwierzytelniania. Na przykład: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1.

Pola inspekcji

Poniższe pola są używane do reprezentowania inspekcji przeprowadzonej przez system bezpieczeństwa, taki jak system EDR.

Pole	Klasa	Typ	Opis
RuleName	Opcjonalnie	String	Nazwa lub identyfikator reguły skojarzonej z wynikami inspekcji.
RuleNumber	Opcjonalnie	Integer	Liczba reguł skojarzonych z wynikami inspekcji.
Reguła	Warunkowy	String	Wartość kRuleName lub wartość RuleNumber. Jeśli jest używana wartość RuleNumber , typ powinien zostać przekonwertowany na ciąg.
Identyfikator zagrożenia	Opcjonalnie	String	Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku.
Nazwa_zagrożenia	Opcjonalnie	String	Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku. Przykład: EICAR Test File
Kategoria zagrożenia	Opcjonalnie	String	Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku. Przykład: Trojan
Poziom zagrożenia	Opcjonalnie	RiskLevel (Liczba całkowita)	Poziom ryzyka skojarzony z zidentyfikowanym zagrożeniem. Poziom powinien być liczbą z zakresu od 0 do 100. Uwaga: wartość może być podana w rekordzie źródłowym przy użyciu innej skali, która powinna być znormalizowana do tej skali. Wartość oryginalna powinna być zapisana w ThreatOriginalRiskLevel.
ThreatOriginalRiskLevel	Opcjonalnie	String	Poziom ryzyka zgłoszony przez urządzenie raportowania.
Pole zagrożeń	Opcjonalnie	String	Pole, dla którego zidentyfikowano zagrożenie.
Pewność siebie	Opcjonalnie	Poziom Ufności (Liczba całkowita)	Zidentyfikowany poziom ufności zagrożenia znormalizowany do wartości z zakresu od 0 do 100.
ThreatOriginalConfidence (Pewność siebie)	Opcjonalnie	String	Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgodnie z raportem urządzenia raportowania.
ThreatIsActive (Zagrożenie)	Opcjonalnie	logiczny	Prawda, jeśli zidentyfikowane zagrożenie jest uznawane za aktywne zagrożenie.
ZagrożenieFirstReportedTime	Opcjonalnie	data/godzina	Po raz pierwszy adres IP lub domena zostały zidentyfikowane jako zagrożenie.
ThreatLastReportedTime (Czas zagrożenia)	Opcjonalnie	data/godzina	Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie.

Dodatkowe pola i aliasy

Pole	Klasa	Typ	Opis
Nazwa hosta	Alias		Alias na DvcHostname.

Aktualizacje schematu

Zmiany w wersji 0.1.2 schematu to:

• Dodano pola inspekcyjne.
• Dodano pola SrcDescriptionźródłowe , SrcMacAddr, SrcOriginalRiskLevel, SrcPortNumber, SrcRiskLevel
• Dodano pola TargetUserScopedocelowe , TargetUserScopeId, TargetUserSessionId
• Dodano pola ActorOriginalUserTypeaktora , ActorScope, ActorScopeId
• Dodano pole aplikacji aktorskiej ActingOriginalAppType

Następne kroki

Aby uzyskać więcej informacji, zobacz:

• Obejrzyj seminarium internetowe ASIM lub przejrzyj slajdy
• Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Zawartość usługi Advanced Security Information Model (ASIM)