A referência do esquema de normalização de autenticação ASIM (Advanced Security Information Model) (visualização pública)
O esquema de Autenticação do Microsoft Sentinel é usado para descrever eventos relacionados à autenticação do usuário, entrada e saída. Os eventos de autenticação são enviados por muitos dispositivos de relatório, geralmente como parte do fluxo de eventos junto com outros eventos. Por exemplo, o Windows envia vários eventos de autenticação juntamente com outros eventos de atividade do SO.
Os eventos de autenticação incluem eventos de sistemas que se concentram na autenticação, como gateways VPN ou controladores de domínio, e autenticação direta para um sistema final, como um computador ou firewall.
Para obter mais informações sobre normalização no Microsoft Sentinel, consulte Normalização e o modelo avançado de informações de segurança (ASIM).
Importante
O esquema de normalização de autenticação está atualmente em visualização. Esse recurso é fornecido sem um contrato de nível de serviço e não é recomendado para cargas de trabalho de produção.
Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Analisadores
Implante analisadores de autenticação ASIM a partir do repositório GitHub do Microsoft Sentinel. Para obter mais informações sobre analisadores ASIM, consulte os artigos Visão geral dos analisadores ASIM.
Analisadores unificadores
Para usar analisadores que unifiquem todos os analisadores ASIM prontos para uso e garantir que sua análise seja executada em todas as fontes configuradas, use o analisador de filtragem ou o imAuthenticationASimAuthentication analisador sem parâmetros.
Analisadores específicos da fonte
Para obter a lista de analisadores de autenticação fornecidos pelo Microsoft Sentinel, consulte a lista de analisadores ASIM:
Adicione seus próprios analisadores normalizados
Ao implementar analisadores personalizados para o modelo de informações de autenticação, nomeie suas funções KQL usando a seguinte sintaxe:
vimAuthentication<vendor><Product>para filtrar analisadoresASimAuthentication<vendor><Product>para analisadores sem parâmetros
Para obter informações sobre como adicionar seus analisadores personalizados ao analisador unificador, consulte Gerenciando analisadores ASIM.
Parâmetros do analisador de filtragem
Os im analisadores e vim* suportam parâmetros de filtragem. Embora esses analisadores sejam opcionais, eles podem melhorar o desempenho da consulta.
Os seguintes parâmetros de filtragem estão disponíveis:
| Nome | Tipo | Descrição |
|---|---|---|
| Hora de início | datetime | Filtre apenas eventos de autenticação executados durante ou após esse período. |
| tempo de fim | datetime | Filtre apenas os eventos de autenticação que terminaram a execução durante ou antes desse período. |
| targetusername_has | string | Filtre apenas eventos de autenticação que tenham qualquer um dos nomes de usuário listados. |
Por exemplo, para filtrar apenas eventos de autenticação do último dia para um usuário específico, use:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Gorjeta
Para passar uma lista literal para parâmetros que esperam um valor dinâmico, use explicitamente um literal dinâmico. Por exemplo: dynamic(['192.168.','10.']).
Conteúdo normalizado
As regras analíticas de autenticação normalizada são exclusivas, pois detetam ataques entre fontes. Assim, por exemplo, se um utilizador tiver iniciado sessão em sistemas diferentes, não relacionados, de diferentes países/regiões, o Microsoft Sentinel irá agora detetar esta ameaça.
Para obter uma lista completa das regras de análise que usam eventos de Autenticação normalizados, consulte Conteúdo de segurança do esquema de autenticação.
Descrição geral do esquema
O modelo de informações de autenticação está alinhado com o esquema de entidade de logon OSSEM.
Os campos listados na tabela abaixo são específicos para eventos de autenticação, mas são semelhantes aos campos em outros esquemas e seguem convenções de nomenclatura semelhantes.
Os eventos de autenticação fazem referência às seguintes entidades:
- TargetUser - As informações do usuário usadas para autenticar no sistema. O TargetSystem é o assunto principal do evento de autenticação e o alias User aliases um TargetUser identificado.
- TargetApp - O aplicativo autenticado em.
- Target - O sistema no qual o TaregtApp* está sendo executado.
- Ator - O utilizador que inicia a autenticação, se for diferente de TargetUser.
- ActingApp - O aplicativo usado pelo Ator para realizar a autenticação.
- Src - O sistema usado pelo Ator para iniciar a autenticação.
A relação entre estas entidades é melhor demonstrada da seguinte forma:
Um ator, executando um aplicativo atuante, ActingApp, em um sistema de origem, Src, tenta autenticar como um TargetUser para um aplicativo de destino, TargetApp, em um sistema de destino, TargetDvc.
Detalhes do esquema
Nas tabelas a seguir, Type refere-se a um tipo lógico. Para obter mais informações, consulte Tipos lógicos.
Campos ASIM comuns
Importante
Os campos comuns a todos os esquemas são descritos em detalhes no artigo Campos comuns do ASIM.
Domínios comuns com orientações específicas
A lista a seguir menciona campos que têm diretrizes específicas para eventos de autenticação:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Tipo de Evento | Obrigatório | Enumerated | Descreve a operação relatada pelo registro. Para registros de autenticação, os valores suportados incluem: - Logon - Logoff- Elevate |
| EventResultDetails | Recomendado | String | Os detalhes associados ao resultado do evento. Este campo é normalmente preenchido quando o resultado é uma falha. Os valores permitidos incluem: - No such user or password. Esse valor deve ser usado também quando o evento original informa que não há tal usuário, sem referência a uma senha.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. Esse valor deve ser usado quando o evento original relata, por exemplo: MFA necessário, logon fora do horário de trabalho, restrições de acesso condicional ou tentativas muito frequentes.- Session expired- OtherO valor pode ser fornecido no registro de origem usando termos diferentes, que devem ser normalizados para esses valores. O valor original deve ser armazenado no campo EventOriginalResultDetails |
| EventSubType | Opcional | String | O tipo de início de sessão. Os valores permitidos incluem: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote - Use quando o tipo de login remoto é desconhecido.- AssumeRole - Normalmente usado quando o tipo de evento é Elevate. O valor pode ser fornecido no registro de origem usando termos diferentes, que devem ser normalizados para esses valores. O valor original deve ser armazenado no campo EventOriginalSubType. |
| EventSchemaVersion | Obrigatório | String | A versão do esquema. A versão do esquema documentada aqui é 0.1.3 |
| EventSchema | Obrigatório | String | O nome do esquema documentado aqui é Autenticação. |
| Campos Dvc | - | - | Para eventos de autenticação, os campos de dispositivo referem-se ao sistema que relata o evento. |
Todos os campos comuns
Os campos que aparecem na tabela abaixo são comuns a todos os esquemas ASIM. Qualquer diretriz especificada acima substitui as diretrizes gerais para o campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais detalhes sobre cada campo, consulte o artigo Campos comuns do ASIM.
| Classe | Campos |
|---|---|
| Obrigatório | - EventCount - EventStartTime - EventEndTime - Tipo de Evento - EventResult - EventoProduto - EventVendor - EventSchema - EventSchemaVersion - DVC |
| Recomendado | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcNome do host - DvcDomínio - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Proprietário do Evento - DvcZona - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campos Adicionais - DvcDescrição - DvcScopeId - DvcScope |
Campos específicos de autenticação
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Método Logon | Opcional | String | O método usado para executar a autenticação. Exemplos: Username & Password, PKI |
| Protocolo de logon | Opcional | String | O protocolo usado para executar a autenticação. Exemplo: NTLM |
Campos de atores
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ActorUserId | Opcional | String | Uma representação única, alfanumérica e legível por máquina do Ator. Para obter mais informações e campos alternativos para IDs adicionais, consulte A entidade Usuário. Exemplo: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Opcional | String | O escopo, como o locatário do Microsoft Entra, no qual ActorUserId e ActorUsername são definidos. ou mais informações e lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema. |
| ActorScopeId | Opcional | String | A ID do escopo, como a ID do diretório do Microsoft Entra, na qual ActorUserId e ActorUsername são definidos. para obter mais informações e uma lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema. |
| ActorUserIdType | Condicional | UserIdType | O tipo de ID armazenado no campo ActorUserId . Para obter mais informações e uma lista de valores permitidos, consulte UserIdType no artigo Visão geral do esquema. |
| ActorUsername | Opcional | Nome de Utilizador | O nome de usuário do ator, incluindo informações de domínio, quando disponíveis. Para obter mais informações, consulte A entidade Usuário. Exemplo: AlbertE |
| ActorUsernameType | Condicional | UsernameType | Especifica o tipo do nome de usuário armazenado no campo ActorUsername . Para obter mais informações e uma lista de valores permitidos, consulte UsernameType no artigo Visão geral do esquema. Exemplo: Windows |
| ActorUserType | Opcional | UserType | O tipo do ator. Para obter mais informações e uma lista de valores permitidos, consulte UserType no artigo Visão geral do esquema. Por exemplo: Guest |
| ActorOriginalUserType | Opcional | UserType | O tipo de usuário conforme relatado pelo dispositivo de relatório. |
| ActorSessionId | Opcional | String | O ID exclusivo da sessão de entrada do Ator. Exemplo: 102pTUgC3p8RIqHvzxLCHnFlg |
Campos Aplicação em Atuação
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ActingAppId | Opcional | String | A ID do aplicativo que autoriza em nome do ator, incluindo um processo, navegador ou serviço. Por exemplo: 0x12ae8 |
| ActingAppName | Opcional | String | O nome do aplicativo que autoriza em nome do ator, incluindo um processo, navegador ou serviço. Por exemplo: C:\Windows\System32\svchost.exe |
| ActingAppType | Opcional | Tipo de aplicativo | O tipo de aplicação atuante. Para obter mais informações e uma lista de valores permitidos, consulte AppType no artigo Visão geral do esquema. |
| HttpUserAgent | Opcional | String | Quando a autenticação é executada por HTTP ou HTTPS, o valor desse campo é o cabeçalho HTTP user_agent fornecido pelo aplicativo que atua ao executar a autenticação. Por exemplo: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Campos de utilizador alvo
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| TargetUserId | Opcional | UserId | Uma representação única, alfanumérica e legível por máquina do utilizador alvo. Para obter mais informações e campos alternativos para IDs adicionais, consulte A entidade Usuário. Exemplo: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | Opcional | String | O escopo, como o locatário do Microsoft Entra, no qual TargetUserId e TargetUsername são definidos. ou mais informações e lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema. |
| TargetUserScopeId | Opcional | String | A ID do escopo, como a ID do Diretório do Microsoft Entra, na qual TargetUserId e TargetUsername são definidos. para obter mais informações e uma lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema. |
| TargetUserIdType | Condicional | UserIdType | O tipo de ID de usuário armazenado no campo TargetUserId . Para obter mais informações e uma lista de valores permitidos, consulte UserIdType no artigo Visão geral do esquema. Exemplo: SID |
| TargetUsername | Opcional | Nome de Utilizador | O nome de usuário do usuário de destino, incluindo informações de domínio, quando disponíveis. Para obter mais informações, consulte A entidade Usuário. Exemplo: MarieC |
| TargetUsernameType | Condicional | UsernameType | Especifica o tipo do nome de usuário armazenado no campo TargetUsername . Para obter mais informações e uma lista de valores permitidos, consulte UsernameType no artigo Visão geral do esquema. |
| TargetUserType | Opcional | UserType | O tipo do usuário de destino. Para obter mais informações e uma lista de valores permitidos, consulte UserType no artigo Visão geral do esquema. Por exemplo: Member |
| TargetSessionId | Opcional | String | O identificador de sessão de entrada do TargetUser no dispositivo de origem. |
| TargetOriginalUserType | Opcional | UserType | O tipo de usuário conforme relatado pelo dispositivo de relatório. |
| Utilizador | Alias | Nome de Utilizador | Alias para o TargetUsername ou para o TargetUserId se TargetUsername não estiver definido. Exemplo: CONTOSO\dadmin |
Campos do sistema de origem
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Src | Recomendado | String | Um identificador exclusivo do dispositivo de origem. Este campo pode usar o alias dos campos SrcDvcId, SrcHostname ou SrcIpAddr . Exemplo: 192.168.12.1 |
| SrcDvcId | Opcional | String | A ID do dispositivo de origem. Se vários IDs estiverem disponíveis, use o mais importante e armazene os outros nos campos SrcDvc<DvcIdType>.Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcional | String | O ID de escopo da plataforma de nuvem ao qual o dispositivo pertence. O SrcDvcScopeId é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
| SrcDvcScope | Opcional | String | O escopo da plataforma de nuvem ao qual o dispositivo pertence. O SrcDvcScope é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
| SrcDvcIdType | Condicional | DvcIdType | O tipo de SrcDvcId. Para obter uma lista de valores permitidos e mais informações, consulte DvcIdType no artigo Visão geral do esquema. Nota: Este campo é obrigatório se SrcDvcId for usado. |
| SrcDeviceType | Opcional | Tipo de dispositivo | O tipo do dispositivo de origem. Para obter uma lista de valores permitidos e mais informações, consulte DeviceType no artigo Visão geral do esquema. |
| SrcHostname | Recomendado | Hostname (Nome do anfitrião) | O nome de host do dispositivo de origem, excluindo informações de domínio. Se nenhum nome de dispositivo estiver disponível, armazene o endereço IP relevante neste campo. Exemplo: DESKTOP-1282V4D |
| Domínio Src | Recomendado | String | O domínio do dispositivo de origem. Exemplo: Contoso |
| SrcDomainType | Condicional | Tipo de domínio | O tipo de SrcDomain. Para obter uma lista de valores permitidos e mais informações, consulte DomainType no artigo Visão geral do esquema. Necessário se SrcDomain for usado. |
| SrcFQDN | Opcional | String | O nome de host do dispositivo de origem, incluindo informações de domínio, quando disponíveis. Nota: Este campo suporta o formato FQDN tradicional e o formato domínio\nome de anfitrião do Windows. O campo SrcDomainType reflete o formato usado. Exemplo: Contoso\DESKTOP-1282V4D |
| SrcDescrição | Opcional | String | Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller. |
| SrcIpAddr | Opcional | Endereço IP | O endereço IP do dispositivo de origem. Exemplo: 2.2.2.2 |
| SrcPortNumber | Opcional | Integer | A porta IP da qual a conexão se originou. Exemplo: 2335 |
| SrcDvcOs | Opcional | String | O SO do dispositivo de origem. Exemplo: Windows 10 |
| IpAddr | Alias | Alias para SrcIpAddr | |
| SrcIsp | Opcional | String | O provedor de serviços de Internet (ISP) usado pelo dispositivo de origem para se conectar à Internet. Exemplo: corpconnect |
| SrcGeoCountry | Opcional | País | Exemplo: Canada Para obter mais informações, consulte Tipos lógicos. |
| SrcGeoCity | Opcional | City | Exemplo: Montreal Para obter mais informações, consulte Tipos lógicos. |
| SrcGeoRegion | Opcional | Região | Exemplo: Quebec Para obter mais informações, consulte Tipos lógicos. |
| SrcGeoLongtitude | Opcional | Longitude | Exemplo: -73.614830 Para obter mais informações, consulte Tipos lógicos. |
| SrcGeoLatitude | Opcional | Latitude | Exemplo: 45.505918 Para obter mais informações, consulte Tipos lógicos. |
| SrcRiskLevel | Opcional | Integer | O nível de risco associado à fonte. O valor deve ser ajustado para uma faixa de 0 , com 0 para benigno 100e 100 para um alto risco.Exemplo: 90 |
| SrcOriginalRiskLevel | Opcional | Integer | O nível de risco associado à fonte, conforme relatado pelo dispositivo de relatório. Exemplo: Suspicious |
Campos do aplicativo de destino
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| TargetAppId | Opcional | String | O ID do aplicativo para o qual a autorização é necessária, geralmente atribuído pelo dispositivo de relatório. Exemplo: 89162 |
| TargetAppName | Opcional | String | O nome do aplicativo para o qual a autorização é necessária, incluindo um serviço, uma URL ou um aplicativo SaaS. Exemplo: Saleforce |
| TargetAppType | Opcional | Tipo de aplicativo | O tipo de pedido que autoriza em nome do Ator. Para obter mais informações e uma lista de valores permitidos, consulte AppType no artigo Visão geral do esquema. |
| TargetUrl | Opcional | URL | A URL associada ao aplicativo de destino. Exemplo: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Alias | Alias para TargetAppName, TargetUrl ou TargetHostname, o campo que melhor descrever o destino de autenticação. |
Campos do sistema de destino
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Dst | Alias | String | Um identificador exclusivo do destino de autenticação. Este campo pode usar o alias dos campos TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId ou TargetAppName. Exemplo: 192.168.12.1 |
| TargetHostname | Recomendado | Hostname (Nome do anfitrião) | O nome de host do dispositivo de destino, excluindo informações de domínio. Exemplo: DESKTOP-1282V4D |
| Domínio-alvo | Recomendado | String | O domínio do dispositivo de destino. Exemplo: Contoso |
| TargetDomainType | Condicional | Enumerated | O tipo de TargetDomain. Para obter uma lista de valores permitidos e mais informações, consulte DomainType no artigo Visão geral do esquema. Necessário se TargetDomain for usado. |
| TargetFQDN | Opcional | String | O nome de host do dispositivo de destino, incluindo informações de domínio, quando disponíveis. Exemplo: Contoso\DESKTOP-1282V4D Nota: Este campo suporta o formato FQDN tradicional e o formato domínio\nome de anfitrião do Windows. O TargetDomainType reflete o formato usado. |
| Descrição do alvo | Opcional | String | Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller. |
| TargetDvcId | Opcional | String | O ID do dispositivo de destino. Se vários IDs estiverem disponíveis, use o mais importante e armazene os outros nos campos TargetDvc<DvcIdType>. Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Opcional | String | O ID de escopo da plataforma de nuvem ao qual o dispositivo pertence. O TargetDvcScopeId é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
| TargerDvcScope | Opcional | String | O escopo da plataforma de nuvem ao qual o dispositivo pertence. O TargetDvcScope é mapeado para um ID de assinatura no Azure e para um ID de conta na AWS. |
| TargetDvcIdType | Condicional | Enumerated | O tipo de TargetDvcId. Para obter uma lista de valores permitidos e mais informações, consulte DvcIdType no artigo Visão geral do esquema. Necessário se TargetDeviceId for usado. |
| TargetDeviceType | Opcional | Enumerated | O tipo do dispositivo alvo. Para obter uma lista de valores permitidos e mais informações, consulte DeviceType no artigo Visão geral do esquema. |
| TargetIpAddr | Opcional | Endereço IP | O endereço IP do dispositivo de destino. Exemplo: 2.2.2.2 |
| TargetDvcOs | Opcional | String | O SO do dispositivo alvo. Exemplo: Windows 10 |
| TargetPortNumber | Opcional | Integer | A porta do dispositivo de destino. |
| TargetGeoCountry | Opcional | País | O país associado ao endereço IP de destino. Exemplo: USA |
| TargetGeoRegion | Opcional | Região | A região associada ao endereço IP de destino. Exemplo: Vermont |
| TargetGeoCity | Opcional | City | A cidade associada ao endereço IP de destino. Exemplo: Burlington |
| TargetGeoLatitude | Opcional | Latitude | A latitude da coordenada geográfica associada ao endereço IP de destino. Exemplo: 44.475833 |
| TargetGeoLongitude | Opcional | Longitude | A longitude da coordenada geográfica associada ao endereço IP de destino. Exemplo: 73.211944 |
| TargetRiskLevel | Opcional | Integer | O nível de risco associado ao alvo. O valor deve ser ajustado para uma faixa de 0 , com 0 para benigno 100e 100 para um alto risco.Exemplo: 90 |
| TargetOriginalRiskLevel | Opcional | Integer | O nível de risco associado ao alvo, conforme relatado pelo dispositivo de relatório. Exemplo: Suspicious |
Campos de inspeção
Os campos a seguir são usados para representar a inspeção realizada por um sistema de segurança.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| RuleName | Opcional | String | O nome ou ID da regra associado aos resultados da inspeção. |
| Número da regra | Opcional | Integer | O número da regra associada aos resultados da inspeção. |
| Regra | Alias | String | O valor de RuleName ou o valor de RuleNumber. Se o valor de RuleNumber for usado, o tipo deve ser convertido em string. |
| ThreatId | Opcional | String | O ID da ameaça ou malware identificado na atividade de auditoria. |
| Nome da Ameaça | Opcional | String | O nome da ameaça ou malware identificado na atividade de auditoria. |
| ThreatCategory | Opcional | String | A categoria da ameaça ou malware identificado na atividade do arquivo de auditoria. |
| ThreatRiskLevel | Opcional | Integer | O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. Nota: O valor pode ser fornecido no registro de origem usando uma escala diferente, que deve ser normalizada para essa escala. O valor original deve ser armazenado em ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcional | String | O nível de risco comunicado pelo dispositivo de notificação. |
| ThreatConfidence | Opcional | Integer | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatOriginalConfidence | Opcional | String | O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
| ThreatIsActive | Opcional | Booleano | True se a ameaça identificada for considerada uma ameaça ativa. |
| ThreatFirstReportedTime | Opcional | datetime | A primeira vez que o endereço IP ou domínio foram identificados como uma ameaça. |
| ThreatLastReportedTime | Opcional | datetime | A última vez que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatIpAddr | Opcional | Endereço IP | Um endereço IP para o qual foi identificada uma ameaça. O campo ThreatField contém o nome do campo que ThreatIpAddr representa. |
| Campo de Ameaças | Opcional | Enumerated | O campo para o qual foi identificada uma ameaça. O valor é ou SrcIpAddrTargetIpAddr. |
Atualizações de esquema
Estas são as alterações na versão 0.1.1 do esquema:
- Campos de entidade de usuário e dispositivo atualizados para alinhamento com outros esquemas.
- Renomeado
TargetDvceSrcDvcpara, eSrcrespectivamente, paraTargetalinhar com as diretrizes atuais do ASIM. Os campos renomeados serão implementados como aliases até 1º de julho de 2022. Esses campos incluem:SrcDvcHostname, , , ,TargetDvcHostnameSrcDvcTypeSrcDvcIpAddrSrcDvcHostnameType, , ,TargetDvcIpAddrTargetDvcHostnameTypeTargetDvcTypee .TargetDvc - Adicionados os aliases
SrceDst. - Adicionados os campos
SrcDvcIdType, ,SrcDeviceTypeTargetDvcIdType, e , eTargetDeviceTypeEventSchema.
Estas são as alterações na versão 0.1.2 do esquema:
- Adicionados os campos
ActorScope, , ,SrcDvcScope, , , ,DvcScopeIdTargetDvcScopeIdTargetDvcScopeTargetUserScopeSrcDvcScopeIde .DvcScope
Estas são as alterações na versão 0.1.3 do esquema:
- Adicionados os campos
SrcPortNumber, , , , , ,ActorOriginalUserType,SrcRiskLevelTargetUserScopeIdTargetOriginalUserTypeSrcDescriptionActorScopeIdSrcOriginalRiskLevele .TargetDescription - Campos de inspeção adicionados
- Adicionado campo de geolocalização do sistema de destino.
Próximos passos
Para obter mais informações, consulte:
- Assista ao Webinar da ASIM ou revise os slides
- Visão geral do ASIM (Advanced Security Information Model, modelo avançado de informações de segurança)
- Esquemas ASIM (Advanced Security Information Model)
- Analisadores ASIM (Advanced Security Information Model)
- Conteúdo do modelo avançado de informações de segurança (ASIM)