Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O esquema de Autenticação Microsoft Sentinel é utilizado para descrever eventos relacionados com a autenticação do utilizador, o início de sessão e o fim de sessão. Os eventos de autenticação são enviados por muitos dispositivos de relatório, normalmente como parte do fluxo de eventos juntamente com outros eventos. Por exemplo, o Windows envia vários eventos de autenticação juntamente com outros eventos de atividade do SO.
Os eventos de autenticação incluem eventos de sistemas que se focam na autenticação, como gateways de VPN ou controladores de domínio, e autenticação direta para um sistema final, como um computador ou firewall.
Para obter mais informações sobre a normalização no Microsoft Sentinel, veja Normalização e Modelo avançado de informações de segurança (ASIM).
Analisadores
Implemente analisadores de autenticação ASIM a partir do repositório do GitHub Microsoft Sentinel. Para obter mais informações sobre os analisadores do ASIM, veja os artigos Descrição geral dos analisadores asIM.
Analisadores unificadores unificadores
Para utilizar analisadores que unifiquem todos os analisadores asim fora da caixa e certifique-se de que a sua análise é executada em todas as origens configuradas, utilize o imAuthentication analisador de filtragem ou o ASimAuthentication analisador sem parâmetros.
Analisadores específicos da origem
Para obter a lista de analisadores de autenticação Microsoft Sentinel fornece, veja a lista de analisadores asim:
Adicionar os seus próprios analisadores normalizados
Ao implementar analisadores personalizados para o modelo de informações de Autenticação, atribua um nome às funções KQL com a seguinte sintaxe:
-
vimAuthentication<vendor><Product>para filtrar analisadores -
ASimAuthentication<vendor><Product>para parsers sem parâmetros
Para obter informações sobre como adicionar os seus analisadores personalizados ao analisador unificador, consulte Gerir analisadores ASIM.
Filtrar parâmetros do analisador
Os im analisadores e vim*suportam parâmetros de filtragem. Embora estes analisadores sejam opcionais, podem melhorar o desempenho da consulta.
Estão disponíveis os seguintes parâmetros de filtragem:
| Nome | Tipo | Descrição |
|---|---|---|
| hora de início | datetime | Filtre apenas eventos de autenticação que foram executados em ou depois deste momento. Este parâmetro filtra no TimeGenerated campo, que é o designador padrão para a hora do evento, independentemente do mapeamento específico do analisador dos campos EventStartTime e EventEndTime. |
| endtime | datetime | Filtre apenas os eventos de autenticação que terminaram de ser executados em ou antes desta hora. Este parâmetro filtra no TimeGenerated campo, que é o designador padrão para a hora do evento, independentemente do mapeamento específico do analisador dos campos EventStartTime e EventEndTime. |
| targetusername_has | string | Filtre apenas eventos de autenticação que tenham qualquer um dos nomes de utilizador listados. |
Por exemplo, para filtrar apenas eventos de autenticação do último dia para um utilizador específico, utilize:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Dica
Para transmitir uma lista literal para parâmetros que esperam um valor dinâmico, utilize explicitamente um literal dinâmico. Por exemplo: dynamic(['192.168.','10.']).
Conteúdo normalizado
As regras de análise de autenticação normalizadas são exclusivas à medida que detetam ataques entre origens. Assim, por exemplo, se um utilizador tiver sessão iniciada em sistemas diferentes e não relacionados, de diferentes países/regiões, Microsoft Sentinel irá agora detetar esta ameaça.
Para obter uma lista completa das regras de análise que utilizam eventos de Autenticação normalizados, veja Conteúdo de segurança do esquema de autenticação.
Visão geral do esquema
O modelo de informações de autenticação está alinhado com o esquema de entidade de início de sessão OSSEM.
Os campos listados na tabela abaixo são específicos de Eventos de autenticação, mas são semelhantes a campos noutros esquemas e seguem convenções de nomenclatura semelhantes.
Os eventos de autenticação fazem referência às seguintes entidades:
- TargetUser – as informações de utilizador utilizadas para autenticar no sistema. O TargetSystem é o principal assunto do evento de autenticação e o alias User aliases a TargetUser identificado.
- TargetApp – a aplicação autenticada.
- Destino – o sistema no qual o TargetApp* está em execução.
- Actor – o utilizador que inicia a autenticação, se diferente de TargetUser.
- ActingApp – a aplicação utilizada pelo Ator para efetuar a autenticação.
- Src – o sistema utilizado pelo Ator para iniciar a autenticação.
A relação entre estas entidades é melhor demonstrada da seguinte forma:
Um Ator, a executar uma Aplicação de representação, ActingApp, num sistema de origem, Src, tenta autenticar-se como TargetUser numa aplicação de destino, TargetApp, num sistema de destino, TargetDvc.
Detalhes do esquema
Nas tabelas seguintes, Tipo refere-se a um tipo lógico. Para obter mais informações, veja Tipos lógicos.
Campos ASIM comuns
Importante
Os campos comuns a todos os esquemas são descritos em detalhe no artigo Campos Comuns do ASIM .
Campos comuns com diretrizes específicas
A lista seguinte menciona campos que têm diretrizes específicas para eventos de autenticação:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| EventType | Obrigatório | Enumerado | Descreve a operação comunicada pelo registo. Para registos de autenticação, os valores suportados incluem: - Logon - Logoff- Elevate |
| EventResultDetails | Recomendado | Enumerado | Os detalhes associados ao resultado do evento. Normalmente, este campo é preenchido quando o resultado é uma falha. Entre os valores permitidos são: - No such user or password. Este valor também deve ser utilizado quando o evento original comunica que não existe tal utilizador, sem referência a uma palavra-passe.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. Este valor deve ser utilizado quando o evento original comunica, por exemplo: MFA necessária, iniciar sessão fora do horário de trabalho, restrições de acesso condicional ou tentativas demasiado frequentes.- Session expired- OtherO valor pode ser fornecido no registo de origem com termos diferentes, que devem ser normalizados para estes valores. O valor original deve ser armazenado no campo EventOriginalResultDetails |
| EventSubType | Opcional | Enumerado | O tipo de início de sessão. Entre os valores permitidos são: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote - Utilize quando o tipo de início de sessão remoto for desconhecido.- AssumeRole - Normalmente utilizado quando o tipo de evento é Elevate. O valor pode ser fornecido no registo de origem com termos diferentes, que devem ser normalizados para estes valores. O valor original deve ser armazenado no campo EventOriginalSubType. |
| EventSchemaVersion | Obrigatório | SchemaVersion (Cadeia) | A versão do esquema. A versão do esquema documentado aqui é 0.1.4 |
| EventSchema | Obrigatório | Enumerado | O nome do esquema aqui documentado é Autenticação. |
| Campos dvc | - | - | Para eventos de autenticação, os campos do dispositivo referem-se ao sistema que reporta o evento. |
Todos os campos comuns
Os campos que aparecem na tabela abaixo são comuns a todos os esquemas ASIM. Qualquer orientação especificada acima substitui as diretrizes gerais do campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais detalhes sobre cada campo, veja o artigo Campos Comuns do ASIM .
| Classe | Fields |
|---|---|
| Obrigatório |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendado |
-
EventResultDetails - EventoSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campos Adicionais - DvcDescription - DvcScopeId - DvcScope |
Campos específicos da autenticação
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| LogonMethod | Opcional | Cadeia de caracteres | O método utilizado para efetuar a autenticação. Os valores permitidos incluem: Managed Identity, , Username & PasswordService Principal, Multi factor authentication, Passwordless, PKI, PAMe Other. Exemplos: Managed Identity |
| LogonProtocol | Opcional | Cadeia de caracteres | O protocolo utilizado para efetuar a autenticação. Exemplo: NTLM |
Campos de ator
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ActorUserId | Opcional | Cadeia de caracteres | Uma representação exclusiva, alfanumérica e legível por computador do Ator. Para obter mais informações e campos alternativos para IDs adicionais, veja A entidade Utilizador. Exemplo: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Opcional | Cadeia de caracteres | O âmbito, como Microsoft Entra inquilino, no qual ActorUserId e ActorUsername estão definidos. ou mais informações e lista de valores permitidos, veja UserScope no artigo Descrição Geral do Esquema. |
| ActorScopeId | Opcional | Cadeia de caracteres | O ID de âmbito, como Microsoft Entra ID do Diretório, no qual ActorUserId e ActorUsername estão definidos. para obter mais informações e lista de valores permitidos, veja UserScopeId no artigo Descrição Geral do Esquema. |
| ActorUserIdType | Condicional | UserIdType | O tipo do ID armazenado no campo ActorUserId . Para obter mais informações e lista de valores permitidos, veja UserIdType no artigo Descrição Geral do Esquema. |
| ActorUsername | Opcional | Nome de utilizador (Cadeia) | O nome de utilizador do Ator, incluindo informações de domínio quando disponível. Para obter mais informações, veja A entidade Utilizador. Exemplo: AlbertE |
| ActorUsernameType | Condicional | UsernameType | Especifica o tipo do nome de utilizador armazenado no campo ActorUsername . Para obter mais informações e lista de valores permitidos, veja UsernameType no artigo Descrição Geral do Esquema. Exemplo: Windows |
| ActorUserType | Opcional | UserType | O tipo do Ator. Para obter mais informações e lista de valores permitidos, veja UserType no artigo Descrição Geral do Esquema. Por exemplo: Guest |
| ActorOriginalUserType | Opcional | Cadeia de caracteres | O tipo de utilizador conforme comunicado pelo dispositivo de relatório. |
| ActorSessionId | Opcional | Cadeia de caracteres | O ID exclusivo da sessão de início de sessão do Ator. Exemplo: 102pTUgC3p8RIqHvzxLCHnFlg |
Campos da Aplicação em Ação
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ActingAppId | Opcional | Cadeia de caracteres | O ID da aplicação que autoriza em nome do ator, incluindo um processo, browser ou serviço. Por exemplo: 0x12ae8 |
| ActingAppName | Opcional | Cadeia de caracteres | O nome da aplicação que autoriza em nome do ator, incluindo um processo, browser ou serviço. Por exemplo: C:\Windows\System32\svchost.exe |
| ActingAppType | Opcional | AppType | O tipo de aplicação em ação. Para obter mais informações e a lista de valores permitida, veja AppType no artigo Descrição Geral do Esquema. |
| ActingOriginalAppType | Opcional | Cadeia de caracteres | O tipo da aplicação em ação conforme comunicado pelo dispositivo de relatório. |
| HttpUserAgent | Opcional | Cadeia de caracteres | Quando a autenticação é efetuada através de HTTP ou HTTPS, o valor deste campo é o cabeçalho http user_agent fornecido pela aplicação em ação ao efetuar a autenticação. Por exemplo: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Campos de utilizador de destino
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| TargetUserId | Opcional | Cadeia de caracteres | Uma representação exclusiva, alfanumérica e legível por computador do utilizador de destino. Para obter mais informações e campos alternativos para IDs adicionais, veja A entidade Utilizador. Exemplo: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | Opcional | Cadeia de caracteres | O âmbito, como Microsoft Entra inquilino, no qual TargetUserId e TargetUsername estão definidos. ou mais informações e lista de valores permitidos, veja UserScope no artigo Descrição Geral do Esquema. |
| TargetUserScopeId | Opcional | Cadeia de caracteres | O ID de âmbito, como Microsoft Entra ID do Diretório, no qual TargetUserId e TargetUsername são definidos. para obter mais informações e lista de valores permitidos, veja UserScopeId no artigo Descrição Geral do Esquema. |
| TargetUserIdType | Condicional | UserIdType | O tipo do ID de utilizador armazenado no campo TargetUserId . Para obter mais informações e lista de valores permitidos, veja UserIdType no artigo Descrição Geral do Esquema. Exemplo: SID |
| TargetUsername | Opcional | Nome de utilizador (Cadeia) | O nome de utilizador de destino, incluindo informações de domínio quando disponíveis. Para obter mais informações, veja A entidade Utilizador. Exemplo: MarieC |
| TargetUsernameType | Condicional | UsernameType | Especifica o tipo do nome de utilizador armazenado no campo TargetUsername . Para obter mais informações e lista de valores permitidos, veja UsernameType no artigo Descrição Geral do Esquema. |
| TargetUserType | Opcional | UserType | O tipo do utilizador de Destino. Para obter mais informações e lista de valores permitidos, veja UserType no artigo Descrição Geral do Esquema. Por exemplo: Member |
| TargetSessionId | Opcional | Cadeia de caracteres | O identificador da sessão de início de sessão do TargetUser no dispositivo de origem. |
| TargetOriginalUserType | Opcional | Cadeia de caracteres | O tipo de utilizador conforme comunicado pelo dispositivo de relatório. |
| Usuário | Alias | Nome de utilizador (Cadeia) | Alias para TargetUsername ou para TargetUserId se TargetUsername não estiver definido. Exemplo: CONTOSO\dadmin |
Campos do sistema de origem
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Src | Recomendado | Cadeia de caracteres | Um identificador exclusivo do dispositivo de origem. Este campo pode alias os campos SrcDvcId, SrcHostname ou SrcIpAddr . Exemplo: 192.168.12.1 |
| SrcDvcId | Opcional | Cadeia de caracteres | O ID do dispositivo de origem. Se estiverem disponíveis vários IDs, utilize o mais importante e armazene os outros nos campos SrcDvc<DvcIdType>.Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcional | Cadeia de caracteres | O ID de âmbito da plataforma na cloud ao qual o dispositivo pertence. O mapa SrcDvcScopeId é mapeado para um ID de subscrição no Azure e para um ID de conta no AWS. |
| SrcDvcScope | Opcional | Cadeia de caracteres | O âmbito da plataforma na cloud ao qual o dispositivo pertence. O SrcDvcScope mapeia para um ID de subscrição no Azure e para um ID de conta no AWS. |
| SrcDvcIdType | Condicional | DvcIdType | O tipo de SrcDvcId. Para obter uma lista de valores permitidos e mais informações, veja DvcIdType no artigo Descrição Geral do Esquema. Nota: este campo é necessário se o SrcDvcId for utilizado. |
| SrcDeviceType | Opcional | DeviceType | O tipo do dispositivo de origem. Para obter uma lista de valores permitidos e mais informações, veja DeviceType no artigo Descrição Geral do Esquema. |
| SrcHostname | Opcional | Nome do host | O nome do anfitrião do dispositivo de origem, excluindo as informações de domínio. Se não estiver disponível nenhum nome de dispositivo, armazene o endereço IP relevante neste campo. Exemplo: DESKTOP-1282V4D |
| SrcDomain | Opcional | Domínio (Cadeia) | O domínio do dispositivo de origem. Exemplo: Contoso |
| SrcDomainType | Condicional | DomainType | O tipo de SrcDomain. Para obter uma lista de valores permitidos e mais informações, veja DomainType no artigo Descrição Geral do Esquema. Necessário se o SrcDomain for utilizado. |
| SrcFQDN | Opcional | FQDN (Cadeia) | O nome do anfitrião do dispositivo de origem, incluindo informações de domínio quando disponível. Nota: este campo suporta o formato FQDN tradicional e o formato de domínio/nome do anfitrião do Windows. O campo SrcDomainType reflete o formato utilizado. Exemplo: Contoso\DESKTOP-1282V4D |
| SrcDescription | Opcional | Cadeia de caracteres | Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller. |
| SrcIpAddr | Recomendado | Endereço IP | O endereço IP do dispositivo de origem. Exemplo: 2.2.2.2 |
| SrcPortNumber | Opcional | Número inteiro | A porta IP a partir da qual a ligação teve origem. Exemplo: 2335 |
| SrcDvcOs | Opcional | Cadeia de caracteres | O SO do dispositivo de origem. Exemplo: Windows 10 |
| IpAddr | Alias | Alias to SrcIpAddr (Alias to SrcIpAddr) | |
| SrcIsp | Opcional | Cadeia de caracteres | O Fornecedor de Serviços Internet (ISP) utilizado pelo dispositivo de origem para ligar à Internet. Exemplo: corpconnect |
| SrcGeoCountry | Opcional | País/Região | Exemplo: Canada Para obter mais informações, veja Tipos lógicos. |
| SrcGeoCity | Optional | Cidade | Exemplo: Montreal Para obter mais informações, veja Tipos lógicos. |
| SrcGeoRegion | Opcional | Região | Exemplo: Quebec Para obter mais informações, veja Tipos lógicos. |
| SrcGeoLongitude | Opcional | Longitude | Exemplo: -73.614830 Para obter mais informações, veja Tipos lógicos. |
| SrcGeoLatitude | Opcional | Latitude | Exemplo: 45.505918 Para obter mais informações, veja Tipos lógicos. |
| SrcRiskLevel | Opcional | Número inteiro | O nível de risco associado à origem. O valor deve ser ajustado para um intervalo de 0 para , com 0 para benigno e 100 para 100um risco elevado.Exemplo: 90 |
| SrcOriginalRiskLevel | Opcional | Cadeia de caracteres | O nível de risco associado à origem, conforme comunicado pelo dispositivo de relatório. Exemplo: Suspicious |
Campos da aplicação de destino
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| TargetAppId | Opcional | Cadeia de caracteres | O ID da aplicação à qual a autorização é necessária, muitas vezes atribuída pelo dispositivo de relatório. Exemplo: 89162 |
| TargetAppName | Opcional | Cadeia de caracteres | O nome da aplicação à qual a autorização é necessária, incluindo um serviço, um URL ou uma aplicação SaaS. Exemplo: Saleforce |
| Aplicação | Alias | Alias para TargetAppName. | |
| TargetAppType | Condicional | AppType | O tipo da aplicação que autoriza em nome do Ator. Para obter mais informações e a lista de valores permitida, veja AppType no artigo Descrição Geral do Esquema. |
| TargetOriginalAppType | Opcional | Cadeia de caracteres | O tipo de aplicação que autoriza em nome do Ator, conforme comunicado pelo dispositivo de relatório. |
| TargetUrl | Opcional | URL | O URL associado à aplicação de destino. Exemplo: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Alias | Alias para TargetAppName, TargetUrl ou TargetHostname, o campo que melhor descreve o destino de autenticação. |
Campos do sistema de destino
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Dst | Alias | Cadeia de caracteres | Um identificador exclusivo do destino de autenticação. Este campo pode alias os campos TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId ou TargetAppName . Exemplo: 192.168.12.1 |
| TargetHostname | Recomendado | Nome do host | O nome do anfitrião do dispositivo de destino, excluindo as informações de domínio. Exemplo: DESKTOP-1282V4D |
| TargetDomain | Recomendado | Domínio (Cadeia) | O domínio do dispositivo de destino. Exemplo: Contoso |
| TargetDomainType | Condicional | Enumerado | O tipo de TargetDomain. Para obter uma lista de valores permitidos e mais informações, veja DomainType no artigo Descrição Geral do Esquema. Necessário se o TargetDomain for utilizado. |
| TargetFQDN | Opcional | FQDN (Cadeia) | O nome do anfitrião do dispositivo de destino, incluindo informações de domínio quando disponíveis. Exemplo: Contoso\DESKTOP-1282V4D Nota: este campo suporta o formato FQDN tradicional e o formato de domínio/nome do anfitrião do Windows. O TargetDomainType reflete o formato utilizado. |
| TargetDescription | Opcional | Cadeia de caracteres | Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller. |
| TargetDvcId | Opcional | Cadeia de caracteres | O ID do dispositivo de destino. Se estiverem disponíveis vários IDs, utilize o mais importante e armazene os outros nos campos TargetDvc<DvcIdType>. Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Opcional | Cadeia de caracteres | O ID de âmbito da plataforma na cloud ao qual o dispositivo pertence. TargetDvcScopeId mapeie para um ID de subscrição no Azure e para um ID de conta no AWS. |
| TargetDvcScope | Opcional | Cadeia de caracteres | O âmbito da plataforma na cloud ao qual o dispositivo pertence. TargetDvcScope mapeie para um ID de subscrição no Azure e para um ID de conta no AWS. |
| TargetDvcIdType | Condicional | Enumerado | O tipo de TargetDvcId. Para obter uma lista de valores permitidos e mais informações, veja DvcIdType no artigo Descrição Geral do Esquema. Necessário se TargetDeviceId for utilizado. |
| TargetDeviceType | Opcional | Enumerado | O tipo do dispositivo de destino. Para obter uma lista de valores permitidos e mais informações, veja DeviceType no artigo Descrição Geral do Esquema. |
| TargetIpAddr | Opcional | Endereço IP | O endereço IP do dispositivo de destino. Exemplo: 2.2.2.2 |
| TargetDvcOs | Opcional | Cadeia de caracteres | O SO do dispositivo de destino. Exemplo: Windows 10 |
| TargetPortNumber | Opcional | Número inteiro | A porta do dispositivo de destino. |
| TargetGeoCountry | Opcional | País/Região | O país/região associado ao endereço IP de destino. Exemplo: USA |
| TargetGeoRegion | Opcional | Região | A região associada ao endereço IP de destino. Exemplo: Vermont |
| TargetGeoCity | Optional | Cidade | A cidade associada ao endereço IP de destino. Exemplo: Burlington |
| TargetGeoLatitude | Opcional | Latitude | A latitude da coordenada geográfica associada ao endereço IP de destino. Exemplo: 44.475833 |
| TargetGeoLongitude | Opcional | Longitude | A longitude da coordenada geográfica associada ao endereço IP de destino. Exemplo: 73.211944 |
| TargetRiskLevel | Opcional | Número inteiro | O nível de risco associado ao destino. O valor deve ser ajustado para um intervalo de 0 para , com 0 para benigno e 100 para 100um risco elevado.Exemplo: 90 |
| TargetOriginalRiskLevel | Opcional | Cadeia de caracteres | O nível de risco associado ao destino, conforme comunicado pelo dispositivo de relatório. Exemplo: Suspicious |
Campos de inspeção
Os seguintes campos são utilizados para representar essa inspeção realizada por um sistema de segurança.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| RuleName | Opcional | Cadeia de caracteres | O nome ou ID da regra associado aos resultados da inspeção. |
| RuleNumber | Opcional | Número inteiro | O número da regra associada aos resultados da inspeção. |
| Rule | Alias | Cadeia de caracteres | O valor de RuleName ou o valor de RuleNumber. Se o valor de RuleNumber for utilizado, o tipo deve ser convertido em cadeia. |
| ThreatId | Opcional | Cadeia de caracteres | O ID da ameaça ou software maligno identificado na atividade de auditoria. |
| ThreatName | Opcional | Cadeia de caracteres | O nome da ameaça ou software maligno identificado na atividade de auditoria. |
| ThreatCategory | Opcional | Cadeia de caracteres | A categoria da ameaça ou software maligno identificado na atividade de ficheiro de auditoria. |
| ThreatRiskLevel | Opcional | RiskLevel (Número Inteiro) | O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. Nota: o valor pode ser fornecido no registo de origem com uma escala diferente, que deve ser normalizada para esta escala. O valor original deve ser armazenado em ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcional | Cadeia de caracteres | O nível de risco, conforme comunicado pelo dispositivo de relatório. |
| ThreatConfidence | Opcional | ConfidenceLevel (Número Inteiro) | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatOriginalConfidence | Opcional | Cadeia de caracteres | O nível de confiança original da ameaça identificado, conforme comunicado pelo dispositivo de relatório. |
| ThreatIsActive | Opcional | Booliano | Verdadeiro se a ameaça identificada for considerada uma ameaça ativa. |
| ThreatFirstReportedTime | Opcional | datetime | A primeira vez que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatLastReportedTime | Opcional | datetime | A última vez que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatIpAddr | Opcional | Endereço IP | Um endereço IP para o qual foi identificada uma ameaça. O campo ThreatField contém o nome do campo que ThreatIpAddr representa. |
| ThreatField | Condicional | Enumerado | O campo para o qual foi identificada uma ameaça. O valor é ou SrcIpAddrTargetIpAddr. |
Atualizações de esquema
Estas são as alterações na versão 0.1.1 do esquema:
- Campos de entidade de utilizador e dispositivo atualizados para alinhar com outros esquemas.
- Nome mudado
TargetDvceSrcDvcparaTargeteSrcrespetivamente para alinhar com as diretrizes atuais do ASIM. Os campos com o nome mudado serão implementados como aliases até 1 de julho de 2022. Esses campos incluem:SrcDvcHostname,SrcDvcHostnameType,SrcDvcType,SrcDvcIpAddr,TargetDvcHostname,TargetDvcHostnameType,TargetDvcType, ,TargetDvcIpAddreTargetDvc. - Foram adicionados os aliases
SrceDst. - Foram adicionados os campos
SrcDvcIdType,SrcDeviceType,TargetDvcIdTypeeTargetDeviceTypeeEventSchema.
Estas são as alterações na versão 0.1.2 do esquema:
- Foram adicionados os campos
ActorScope,TargetUserScope,SrcDvcScopeId,SrcDvcScope,TargetDvcScopeId,TargetDvcScope,DvcScopeIdeDvcScope.
Estas são as alterações na versão 0.1.3 do esquema:
- Foram adicionados os campos
SrcPortNumber,ActorOriginalUserType,ActorScopeId,TargetOriginalUserType,TargetUserScopeId,SrcDescription,SrcRiskLevel,SrcOriginalRiskLeveleTargetDescription. - Campos de inspeção adicionados
- Campos de geolocalização do sistema de destino adicionados.
Estas são as alterações na versão 0.1.4 do esquema:
- Foram adicionados os campos
ActingOriginalAppTypeeTargetOriginalAppType. - Foi adicionado o alias
Application.
Próximas etapas
Para saber mais, confira:
- Ver o Webinar do ASIM ou rever os diapositivos
- Descrição geral do Modelo de Informação de Segurança Avançada (ASIM)
- Esquemas do Modelo de Informação de Segurança Avançada (ASIM)
- Analisadores do Modelo de Informação de Segurança Avançada (ASIM)
- Conteúdo do Modelo de Informação de Segurança Avançada (ASIM)