Справочник по схеме нормализации проверки подлинности в расширенной информационной модели безопасности (ASIM) (общедоступная предварительная версия)
Схема проверки подлинности Microsoft Sentinel используется для описания событий, связанных с проверкой подлинности пользователя, входом в систему и выходом из нее. События проверки подлинности отправляются многими отчетными устройствами, обычно как часть потока событий вместе с другими событиями. Например, Windows отправляет несколько событий проверки подлинности в сочетании с другими событиями действий ОС.
К событиям проверки подлинности относятся события специализированных систем для проверки подлинности, таких как шлюзы VPN и контроллеры доменов, а также события прямой проверки подлинности в конечных системах, таких как компьютеры и брандмауэры.
Дополнительные сведения о нормализации в Microsoft Sentinel см. в статье Нормализация и расширенная информационная модель безопасности (ASIM).
Важно!
Схема нормализации проверки подлинности сейчас предоставляется в ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Эта функция предоставляется без соглашения об уровне обслуживания, и ее не рекомендуется использовать в среде для производственных рабочих нагрузок.
Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Средства синтаксического анализа
Средства синтаксического анализа ASIM развертываются из раздела о Microsoft Sentinel репозитория GitHub. Дополнительные сведения о средствах синтаксического анализа ASIM см. в обзоре средств синтаксического анализа ASIM.
Комплексные средства синтаксического анализа
Чтобы использовать средства синтаксического анализа, объединяющие все готовые средства синтаксического анализа ASIM, и убедиться, что ваш анализ выполняется во всех настроенных источниках, используйте средство синтаксического анализа с фильтрацией imAuthentication или средство синтаксического анализа без параметровASimAuthentication.
Средства синтаксического анализа, зависящие от ресурса
Список средств синтаксического анализа проверки подлинности Microsoft Sentinel см. в списке средств синтаксического анализа ASIM.
Добавление собственных нормализованных средств синтаксического анализа
При реализации пользовательских средств синтаксического анализа для информационной модели проверки подлинности назовите свои функции KQL, используя следующий синтаксис:
vimAuthentication<vendor><Product>для средств синтаксического анализа с фильтрацией;ASimAuthentication<vendor><Product>для средств синтаксического анализа без параметров.
Сведения о добавлении пользовательских средств синтаксического анализа в объединяющее средство синтаксического анализа см. в статье Управление средствами синтаксического анализа ASIM.
Параметры фильтрации средств синтаксического анализа
Средства синтаксического анализа im и vim* поддерживают параметры фильтрации. Хотя эти средства синтаксического анализа являются необязательными, они могут повысить производительность запросов.
Доступны следующие параметры фильтрации:
| Имя. | Тип | Описание |
|---|---|---|
| starttime | datetime | Фильтрация только тех событий проверки подлинности, которые выполнялись в указанное время или позже. |
| endtime | datetime | Фильтрация только тех событий проверки подлинности, выполнение которых завершилось в указанное время или раньше. |
| targetusername_has | строка | Фильтрация только событий проверки подлинности, для которых есть любое из перечисленных имен пользователей. |
Например, чтобы отфильтровать только события проверки подлинности за последний день для определенного пользователя, укажите:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Совет
Чтобы передать список литералов в параметры, которые предполагают динамическое значение, явно используйте динамический литерал. Например: dynamic(['192.168.','10.']).
Нормализованное содержимое
Аналитические правила нормализованной проверки подлинности уникальны тем, что нацелены на выявление атак по нескольким разным источникам. Например, если пользователь вошел в разные, несвязанные системы из разных стран или регионов, Microsoft Sentinel теперь обнаружит эту угрозу.
Полный список правил аналитики, использующих нормализованные события проверки подлинности, см. в разделе Содержимое безопасности схемы проверки подлинности.
Общее представление схемы
Информационная модель проверки подлинности соответствует схеме сущности входа OSSEM.
В этой таблице перечислены события, которые используются только для событий проверки подлинности, которые имеют сходство с полями других схем и соответствуют сходным соглашениям об именовании.
События проверки подлинности содержат ссылки на следующие сущности:
- TargetUser — сведения о пользователе, используемые для проверки подлинности в системе. TargetSystem — это основной субъект события проверки подлинности, а псевдоним User является псевдонимом идентифицированногоTargetUser.
- TargetApp — приложение, в котором выполнялась проверка подлинности.
- Target — система, в которой работает TaregtApp*.
- Actor — пользователь, инициирующий проверку подлинности, если он отличается от TargetUser.
- ActingApp — приложение, используемое субъектом Actor для выполнения проверки подлинности.
- Src — система, используемая субъектом Actor для инициации проверки подлинности.
Эти сущности имеют следующие отношения и зависимости:
Субъект Actor, запускающий действующее приложение ActingApp в исходной системе Src, пытается в качестве TargetUser выполнить проверку подлинности для целевого приложения TargetApp в целевой системе TargetDvc.
Сведения о схеме
В следующих таблицах Тип обозначает логический тип. Дополнительные сведения см. в разделе Логические типы.
Общие поля ASIM
Важно!
Поля, общие для всех схем, подробно описаны в статье Общие поля ASIM.
Общие поля с конкретными рекомендациями
В следующем списке упоминаются поля, имеющие определенные рекомендации по обработке событий проверки подлинности:
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| EventType | Обязательно | Enumerated | Описывает операцию, о которой сообщает эта запись. Для записей проверки подлинности поддерживаются следующие значения: - Logon - Logoff- Elevate |
| EventResultDetails | Рекомендуемая конфигурация | Строка | Сведения, связанные с результатом события. Обычно это поле заполняется при сбое. Допустимые значения: - No such user or password. Это значение также следует использовать, когда исходное событие сообщает о том, что такого пользователя нет, без ссылки на пароль.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. Это значение следует использовать, когда исходное событие сообщает о требовании MFA, входе в систему в нерабочее время, ограничениях условного доступа, слишком большом числе попыток и т. п.- Session expired- OtherЗначение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы до этих значений. Исходное значение должно храниться в поле EventOriginalResultDetails |
| EventSubType | Необязательно | Строка | Тип входа. Допустимые значения: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote — используется, если тип удаленного входа неизвестен.- AssumeRole — обычно используется при типе Elevateсобытия. Значение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы до этих значений. Исходное значение должно храниться в поле EventOriginalSubType. |
| EventSchemaVersion | Обязательно | Строка | Номер версии схемы. Здесь приведена версия схемы 0.1.3 |
| EventSchema | Обязательно | Строка | Схема, задокументированная здесь, имеет название Проверка подлинности. |
| Поля Dvc | - | - | Для событий проверки подлинности поля устройства относятся к системе, сообщающей о событии. |
Все общие поля
Поля, представленные в таблице ниже, являются общими для всех схем ASIM. Все указанные выше рекомендации переопределяют общие рекомендации для поля. Например, поле может быть необязательным в целом, но обязательным для конкретной схемы. Дополнительные сведения о каждом поле см. в статье Общие поля ASIM.
| Class | Поля |
|---|---|
| Обязательно | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Рекомендуемая конфигурация | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Необязательно | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Поля, связанные с проверкой подлинности
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| LogonMethod | Необязательно | Строка | Этот метод используется для проверки подлинности. Примеры: Username & Password, PKI |
| LogonProtocol | Необязательно | Строка | Протокол, используемый для проверки подлинности. Пример: NTLM |
Поля Actor
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| ActorUserId | Необязательно | Строка | Считываемое компьютером буквенно-цифровое значение, уникальным образом представляющее Actor. Дополнительные сведения и альтернативные поля для дополнительных идентификаторов см. в разделе Сущность пользователя. Пример: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Необязательно | Строка | Область, например клиент Microsoft Entra, в котором определены ActorUserId и ActorUsername. или дополнительные сведения и список разрешенных значений см. в разделе UserScope в статье "Обзор схемы". |
| ActorScopeId | Необязательно | Строка | Идентификатор область, например идентификатор каталога Microsoft Entra, в котором определены ActorUserId и ActorUsername. Дополнительные сведения и список разрешенных значений см. в разделе UserScopeId в статье "Обзор схемы". |
| ActorUserIdType | Условный | UserIdType | Тип идентификатора, который хранится в поле ActorUserId. Дополнительные сведения и список допустимых значений см. в разделе UserIdType в статье Общие сведения о схеме. |
| ActorUsername | Необязательно | Имя пользователя | Имя пользователя Actor, включая сведения о домене, если они доступны. Подробнее см. в статье Сущность пользователя. Пример: AlbertE |
| ActorUsernameType | Условный | UsernameType | Определяет тип имени пользователя, которое хранится в поле ActorUsername. Дополнительные сведения и список допустимых значений см. в разделе UsernameType в статье Общие сведения о схеме. Пример: Windows |
| ActorUserType | Необязательно | UserType | Тип Actor. Дополнительные сведения и список допустимых значений см. в разделе UserType в статье Общие сведения о схеме. Пример: Guest |
| ActorOriginalUserType | Необязательно | UserType | Тип пользователя, сообщаемый устройством отчетов. |
| ActorSessionId | Необязательно | Строка | Уникальный идентификатор сеанса входа Actor. Пример: 102pTUgC3p8RIqHvzxLCHnFlg |
Поля действующего приложения
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| ActingAppId | Необязательно | Строка | Идентификатор приложения, выполняющего авторизацию от имени Actor, включая процесс, браузер или службу. Пример: 0x12ae8 |
| ActingAppName | Необязательно | Строка | Имя приложения, выполняющего авторизацию от имени Actor, включая процесс, браузер или службу. Пример: C:\Windows\System32\svchost.exe |
| ActingAppType | Необязательно | AppType | Тип действующего приложения. Дополнительные сведения и список допустимых значений см. в разделе AppType в статье Общие сведения о схеме. |
| HttpUserAgent | Необязательно | Строка | Если проверка подлинности выполняется по протоколу HTTP или HTTPS, значение этого поля содержит заголовок HTTP user_agent, предоставленный действующим приложением при выполнении проверки подлинности. Пример: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Поля целевого пользователя
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| TargetUserId | Необязательно | UserId | Считываемое компьютером буквенно-цифровое значение, уникальным образом представляющее целевого пользователя. Дополнительные сведения и альтернативные поля для дополнительных идентификаторов см. в разделе Сущность пользователя. Пример: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | Необязательно | Строка | Область, например клиент Microsoft Entra, в котором определены TargetUserId и TargetUsername. или дополнительные сведения и список разрешенных значений см. в разделе UserScope в статье "Обзор схемы". |
| TargetUserScopeId | Необязательно | Строка | Идентификатор область, например идентификатор каталога Microsoft Entra, в котором определены TargetUserId и TargetUsername. Дополнительные сведения и список разрешенных значений см. в разделе UserScopeId в статье "Обзор схемы". |
| TargetUserIdType | Условный | UserIdType | Тип идентификатора пользователя, сохраненного в поле TargetUserId. Дополнительные сведения и список допустимых значений см. в разделе UserIdType в статье Общие сведения о схеме. Пример: SID |
| TargetUsername | Необязательно | Имя пользователя | Имя целевого пользователя, включая сведения о домене, если они доступны. Подробнее см. в статье Сущность пользователя. Пример: MarieC |
| TargetUsernameType | Условный | UsernameType | Указывает тип имени пользователя, хранимого в поле TargetUsername. Дополнительные сведения и список допустимых значений см. в разделе UsernameType в статье Общие сведения о схеме. |
| TargetUserType | Необязательно | UserType | Тип целевого пользователя. Дополнительные сведения и список допустимых значений см. в разделе UserType в статье Общие сведения о схеме. Пример: Member |
| TargetSessionId | Необязательно | Строка | Идентификатор сеанса входа для TargetUser на исходном устройстве. |
| TargetOriginalUserType | Необязательно | UserType | Тип пользователя, сообщаемый устройством отчетов. |
| Пользователь | Псевдоним | Имя пользователя | Псевдоним поля TargetUsername или TargetUserId, если не определено значение TargetUsername. Пример: CONTOSO\dadmin |
Поля исходной системы
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Src | Рекомендуемая конфигурация | Строка | Уникальный идентификатор исходного устройства. Это поле может быть псевдонимом полей SrcDvcId, SrcHostname или SrcIpAddr. Пример: 192.168.12.1 |
| SrcDvcId | Необязательно | Строка | Идентификатор исходного устройства. Если доступно несколько идентификаторов, используйте наиболее важный из них, другие храните в полях SrcDvc<DvcIdType>.Пример: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Необязательно | Строка | Облачная платформа область идентификатор устройства. SrcDvcScopeId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| SrcDvcScope | Необязательно | Строка | Облачная платформа область принадлежит устройству. SrcDvcScope сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| SrcDvcIdType | Условный | DvcIdType | Тип SrcDvcId. Список допустимых значений и дополнительные сведения см. в разделе DvcIdType в статье Общие сведения о схеме. Примечание. Это поле является обязательным, если используется SrcDvcId. |
| SrcDeviceType | Необязательно | DeviceType | Тип исходного устройства. Список допустимых значений и дополнительные сведения см. в разделе DeviceType в Статье обзора схемы. |
| SrcHostname | Рекомендуемая конфигурация | Hostname (Имя узла) | Имя узла исходного устройства, включая сведения о домене. Если имя устройства недоступно, сохраните в этом поле соответствующий IP-адрес. Пример: DESKTOP-1282V4D |
| SrcDomain | Рекомендуемая конфигурация | Строка | Домен исходного устройства. Пример: Contoso |
| SrcDomainType | Условный | DomainType | Тип SrcDomain. Список допустимых значений и дополнительные сведения см. в разделе DomainType в Статье обзора схемы. Является обязательным при использовании SrcDomain. |
| SrcFQDN | Необязательно | Строка | Имя узла исходного устройства, включая сведения о домене, если они доступны. Примечание. Это поле поддерживает как традиционные форматы FQDN, так и формат домен\имя_узла Windows. Поле SrcDomainType отражает используемый формат. Пример: Contoso\DESKTOP-1282V4D |
| SrcDescription | Необязательно | Строка | Текст описания, связанный с устройством. Например: Primary Domain Controller. |
| SrcIpAddr | Необязательно | IP-адрес | IP-адрес исходного устройства. Пример: 2.2.2.2 |
| SrcPortNumber | Необязательно | Целое число | Порт IP-адреса, с которого было создано подключение. Пример: 2335 |
| SrcDvcOs | Необязательно | Строка | ОС исходного устройства. Пример: Windows 10 |
| IpAddr | Псевдоним | Псевдоним для SrcIpAddr | |
| SrcIsp | Необязательно | Строка | Поставщик служб Интернета, используемый исходным устройством для подключения к Интернету. Пример: corpconnect |
| SrcGeoCountry | Необязательно | Страна/регион | Пример: Canada Дополнительные сведения см. в разделе Логические типы. |
| SrcGeoCity | Необязательно | City | Пример: Montreal Дополнительные сведения см. в разделе Логические типы. |
| SrcGeoRegion | Необязательно | Регион | Пример: Quebec Дополнительные сведения см. в разделе Логические типы. |
| SrcGeoLongtitude | Необязательно | Долгота | Пример: -73.614830 Дополнительные сведения см. в разделе Логические типы. |
| SrcGeoLatitude | Необязательно | Широта | Пример: 45.505918 Дополнительные сведения см. в разделе Логические типы. |
| SrcRiskLevel | Необязательно | Целое число | Связанный с источником уровень риска. Значение должно находиться в диапазоне от 0 до 100, при этом 0 означает благоприятный результат, а 100 — высокий риск.Пример: 90 |
| SrcOriginalRiskLevel | Необязательно | Целое число | Уровень риска, связанный с источником, как сообщается устройством отчетов. Пример: Suspicious |
Поля целевого приложения
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| TargetAppId | Необязательно | Строка | Идентификатор приложения, к которому выполняется попытка доступа, обычно присваивается устройством, передающим сведения. Пример: 89162 |
| TargetAppName | Необязательно | Строка | Имя приложения, к которому осуществляется попытка доступа, включая службу, URL-адрес или приложение SaaS. Пример: Saleforce |
| TargetAppType | Необязательно | AppType | Тип приложения, которое выполняет проверку подлинности от имени Actor. Дополнительные сведения и список допустимых значений см. в разделе AppType в статье Общие сведения о схеме. |
| TargetUrl | Необязательно | URL | URL-адрес, связанный с целевым приложением. Пример: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Псевдоним | Псевдоним для поля TargetAppName, TargetUrl или TargetHostname в зависимости от того, какое из полей лучше описывает целевой объект проверки подлинности. |
Поля целевой системы
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Dst | Псевдоним | Строка | Уникальный идентификатор целевого объекта проверки подлинности. Это поле может быть псевдонимом полей TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId или TargetAppName. Пример: 192.168.12.1 |
| TargetHostname | Рекомендуемая конфигурация | Hostname (Имя узла) | Имя узла исходного устройства, за исключением сведений о домене. Пример: DESKTOP-1282V4D |
| TargetDomain | Рекомендуемая конфигурация | Строка | Домен целевого устройства. Пример: Contoso |
| TargetDomainType | Условный | Enumerated | Тип TargetDomain. Список допустимых значений и дополнительные сведения см. в разделе DomainType в Статье обзора схемы. Является обязательным при использовании TargetDomain. |
| TargetFQDN | Необязательно | Строка | Имя узла целевого устройства, включая сведения о домене, если они доступны. Пример: Contoso\DESKTOP-1282V4D Примечание. Это поле поддерживает как традиционные форматы FQDN, так и формат домен\имя_узла Windows. TargetDomainType отражает используемый формат. |
| TargetDescription | Необязательно | Строка | Текст описания, связанный с устройством. Например: Primary Domain Controller. |
| TargetDvcId | Необязательно | Строка | Идентификатор целевого устройства. Если доступно несколько идентификаторов, используйте наиболее важный из них, другие храните в полях TargetDvc<DvcIdType>. Пример: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Необязательно | Строка | Облачная платформа область идентификатор устройства. TargetDvcScopeId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| TargerDvcScope | Необязательно | Строка | Облачная платформа область принадлежит устройству. TargetDvcScope сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| TargetDvcIdType | Условный | Enumerated | Тип TargetDvcId. Список допустимых значений и дополнительные сведения см. в разделе DvcIdType в статье Общие сведения о схеме. Является обязательным при использовании TargetDeviceId. |
| TargetDeviceType | Необязательно | Enumerated | Тип целевого устройства. Список допустимых значений и дополнительные сведения см. в разделе DeviceType в Статье обзора схемы. |
| TargetIpAddr | Необязательно | IP-адрес | IP-адрес целевого устройства. Пример: 2.2.2.2 |
| TargetDvcOs | Необязательно | Строка | ОС целевого устройства. Пример: Windows 10 |
| TargetPortNumber | Необязательно | Целое число | Порт на целевом устройстве. |
| TargetGeoCountry | Необязательно | Страна/регион | Страна, связанная с целевым IP-адресом. Пример: USA |
| TargetGeoRegion | Необязательно | Регион | Регион, связанный с целевым IP-адресом. Пример: Vermont |
| TargetGeoCity | Необязательно | City | Город, связанный с целевым IP-адресом. Пример: Burlington |
| TargetGeoLatitude | Необязательно | Широта | Широта географической координаты, связанной с целевым IP-адресом. Пример: 44.475833 |
| TargetGeoLongitude | Необязательно | Долгота | Долгота географической координаты, связанной с целевым IP-адресом. Пример: 73.211944 |
| TargetRiskLevel | Необязательно | Целое число | Уровень риска, связанный с целевым объектом. Значение должно находиться в диапазоне от 0 до 100, при этом 0 означает благоприятный результат, а 100 — высокий риск.Пример: 90 |
| TargetOriginalRiskLevel | Необязательно | Целое число | Уровень риска, связанный с целевым объектом, как сообщается устройством отчетов. Пример: Suspicious |
Поля проверки
Следующие поля используются для представления проверки, выполняемой системой безопасности.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| RuleName | Необязательно | Строка | Имя или идентификатор правила, связанные с результатами проверки. |
| RuleNumber | Необязательно | Целое число | Число правил, связанных с результатами проверки. |
| Правило | Псевдоним | Строка | Значение RuleName или значение RuleNumber. Если используется значение RuleNumber , тип следует преобразовать в строку. |
| ThreatId | Необязательно | Строка | Идентификатор угрозы или вредоносных программ, определенных в действии аудита. |
| ThreatName | Необязательно | Строка | Имя угрозы или вредоносных программ, определенных в действии аудита. |
| ThreatCategory | Необязательно | Строка | Категория угроз или вредоносных программ, определенных в действии файла аудита. |
| ThreatRiskLevel | Необязательно | Целое число | Уровень риска, связанный с идентифицированной угрозой. Уровень должен быть числом от 0 до 100. Примечание. Значение может быть указано в исходной записи с использованием другой шкалы, которая должна быть нормализована по этой шкале. Исходное значение следует хранить в поле ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Необязательно | Строка | Уровень риска, сообщаемый устройством отчетов. |
| ThreatConfidence | Необязательно | Целое число | Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100. |
| ThreatOriginalConfidence | Необязательно | Строка | Исходный уровень достоверности для обнаруженной угрозы, полученный от устройства, сообщившего о ней. |
| ThreatIsActive | Необязательно | Логическое значение | Значение true, если обнаруженная угроза считается активной. |
| ThreatFirstReportedTime | Необязательно | datetime | Время первого обнаружения угрозы для этого IP-адреса или домена. |
| ThreatLastReportedTime | Необязательно | datetime | Время последнего обнаружения угрозы для этого IP-адреса или домена. |
| ThreatIpAddr | Необязательно | IP-адрес | IP-адрес, для которого была обнаружена угроза. Поле ThreatField содержит имя поля, которое представляет ThreatIpAddr. |
| ThreatField | Необязательно | Enumerated | Поле, для которого была обнаружена угроза. Имеет значение SrcIpAddr или TargetIpAddr. |
Обновления схемы
Ниже приведены изменения в версии 0.1.1 схемы:
- Обновлены поля сущностей пользователя и устройства для согласования с другими схемами.
- Переименованы
TargetDvcиSrcDvcнаTargetиSrcсоответственно для согласования с текущими рекомендациями ASIM. Переименованные поля будут реализованы в виде псевдонимов до 1 июля 2022 г. К этим полям относятся:SrcDvcHostname,SrcDvcHostnameType,SrcDvcType,SrcDvcIpAddr,TargetDvcHostname,TargetDvcHostnameType,TargetDvcType,TargetDvcIpAddrиTargetDvc. - Добавлены псевдонимы
SrcиDst. - Добавлены поля
SrcDvcIdType,SrcDeviceTypeиTargetDvcIdType, аTargetDeviceTypeтакжеEventSchema.
Это изменения в схеме версии 0.1.2:
- Добавлены поля
ActorScope,TargetUserScope,TargetDvcScopeIdSrcDvcScopeTargetDvcScopeSrcDvcScopeId,DvcScopeIdи .DvcScope
Это изменения в схеме версии 0.1.3:
- Добавлены поля
SrcPortNumber,ActorOriginalUserType,SrcDescriptionActorScopeIdTargetUserScopeIdSrcRiskLevelTargetOriginalUserType,SrcOriginalRiskLevelи .TargetDescription - Добавлены поля проверки
- Добавлены поля географического расположения целевой системы.
Дальнейшие действия
Дополнительные сведения см. в разделе:
- Посмотрите веб-семинар ASIM или слайды.
- Обзор расширенной информационной модели безопасности (ASIM)
- Схемы расширенной информационной модели безопасности (ASIM)
- Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
- Содержимое расширенной информационной модели безопасности (ASIM)