Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Схема проверки подлинности Microsoft Sentinel используется для описания событий, связанных с проверкой подлинности пользователя, входом и выходом. События проверки подлинности отправляются многими устройствами отчетности, как правило, как часть потока событий наряду с другими событиями. Например, Windows отправляет несколько событий проверки подлинности вместе с другими событиями действий ОС.
К событиям проверки подлинности относятся как события из систем, ориентированных на проверку подлинности, например VPN-шлюзы или контроллеры домена, так и прямую проверку подлинности в конечную систему, например компьютер или брандмауэр.
Дополнительные сведения о нормализации в Microsoft Sentinel см. в разделе Нормализация и расширенная информационная модель безопасности (ASIM).
Парсеров
Разверните средства синтаксического анализа проверки подлинности ASIM из репозитория Microsoft Sentinel GitHub. Дополнительные сведения о средствах синтаксического анализа ASIM см. в статьях Обзор анализаторов ASIM.
Объединение синтаксического анализа
Чтобы использовать средства синтаксического анализа, которые унифицируют все встроенные средства синтаксического анализа ASIM и убедитесь, что анализ выполняется во всех настроенных источниках, используйте imAuthentication средство синтаксического анализа фильтра или ASimAuthentication средство синтаксического анализа без параметров.
Средства синтаксического анализа для конкретного источника
Список средств синтаксического анализа проверки подлинности, Microsoft Sentinel предоставляет, см. в списке средств синтаксического анализа ASIM:
Добавление собственных нормализованных анализаторов
При реализации пользовательских средств синтаксического анализа для информационной модели проверки подлинности назовите свои функции KQL, используя следующий синтаксис:
-
vimAuthentication<vendor><Product>для фильтров синтаксического анализа -
ASimAuthentication<vendor><Product>для синтаксического анализа без параметров
Сведения о добавлении пользовательских анализаторов в унифицированный синтаксический анализатор см. в статье Управление средствами синтаксического анализа ASIM.
Фильтрация параметров средства синтаксического анализа
Средства im синтаксического анализа и vim* поддерживают параметры фильтрации. Хотя эти средства синтаксического анализа являются необязательными, они могут повысить производительность запросов.
Доступны следующие параметры фильтрации:
| Имя | Тип | Описание |
|---|---|---|
| Starttime | datetime | Отфильтруйте только события проверки подлинности, которые были запущены в это время или позже. Этот параметр фильтрует TimeGenerated поле, которое является стандартным конструктором для времени события, независимо от сопоставления полей EventStartTime и EventEndTime специфичного для средства синтаксического анализа. |
| время окончания | datetime | Отфильтруйте только события проверки подлинности, которые были завершены в это время или раньше. Этот параметр фильтрует TimeGenerated поле, которое является стандартным конструктором для времени события, независимо от сопоставления полей EventStartTime и EventEndTime специфичного для средства синтаксического анализа. |
| targetusername_has | string | Фильтрация только событий проверки подлинности с любым из перечисленных имен пользователей. |
Например, чтобы отфильтровать только события проверки подлинности за последний день для определенного пользователя, используйте:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Совет
Чтобы передать литерал списка параметрам, которые ожидают динамическое значение, явно используйте динамический литерал. Пример: dynamic(['192.168.','10.']).
Нормализованное содержимое
Нормализованные правила аналитики проверки подлинности уникальны, так как они обнаруживают атаки из разных источников. Например, если пользователь вошел в разные несвязанные системы из разных стран или регионов, Microsoft Sentinel теперь обнаружит эту угрозу.
Полный список правил аналитики, использующих нормализованные события проверки подлинности, см. в разделе Сведения о безопасности схемы проверки подлинности.
Обзор схемы
Модель сведений о проверке подлинности соответствует схеме сущности входа в OSSEM.
Поля, перечисленные в таблице ниже, относятся к событиям проверки подлинности, но похожи на поля в других схемах и соответствуют аналогичным соглашениям об именовании.
События проверки подлинности ссылались на следующие сущности:
- TargetUser — сведения о пользователе, используемые для проверки подлинности в системе. TargetSystem является основным субъектом события проверки подлинности, а псевдоним User определяет целевой пользователь.
- TargetApp — приложение, прошедшее проверку подлинности.
- Target — система, в которой выполняется TargetApp*.
- Субъект — пользователь, инициирующий проверку подлинности, если он отличается от TargetUser.
- ActingApp — приложение, используемое субъектом для проверки подлинности.
- Src — система, используемая субъектом для инициации проверки подлинности.
Связь между этими сущностями лучше всего продемонстрировать следующим образом:
Субъект, запускающий действующее приложение ActingApp в исходной системе Src, пытается пройти проверку подлинности в качестве targetUser в целевом приложении TargetApp в целевой системе TargetDvc.
Сведения о схеме
В следующих таблицах тип относится к логическому типу. Дополнительные сведения см. в разделе Логические типы.
Общие поля ASIM
Важно!
Поля, общие для всех схем, подробно описаны в статье Общие поля ASIM .
Общие поля с определенными рекомендациями
В следующем списке упоминаются поля с определенными рекомендациями по событиям проверки подлинности:
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| EventType | Обязательный | Перечисленных | Описывает операцию, сообщаемую записью. Для записей проверки подлинности поддерживаются следующие значения: - Logon - Logoff- Elevate |
| EventResultDetails | Рекомендуемый | Перечисленных | Сведения, связанные с результатом события. Это поле обычно заполняется, когда результатом является сбой. Допустимые значения: - No such user or password. Это значение следует использовать также в том случае, если исходное событие сообщает о том, что такого пользователя нет, без ссылки на пароль.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. Это значение следует использовать, когда исходное событие сообщает, например: требуется MFA, вход в нерабочее время, ограничения условного доступа или слишком частые попытки.- Session expired- OtherЗначение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы для этих значений. Исходное значение должно храниться в поле EventOriginalResultDetails. |
| EventSubType | Необязательный | Перечисленных | Тип входа. Допустимые значения: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote — Используйте, если тип удаленного входа неизвестен.- AssumeRole — обычно используется, если тип события имеет значение Elevate. Значение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы для этих значений. Исходное значение должно храниться в поле EventOriginalSubType. |
| EventSchemaVersion | Обязательный | SchemaVersion (String) | Версия схемы. Версия схемы, описанная здесь: 0.1.4 |
| EventSchema | Обязательный | Перечисленных | Описанное здесь имя схемы — Проверка подлинности. |
| Поля Dvc | - | - | Для событий проверки подлинности поля устройства относятся к системе, сообщая о событии. |
Все общие поля
Поля, отображаемые в таблице ниже, являются общими для всех схем ASIM. Любое указанное выше руководство переопределяет общие рекомендации для поля. Например, поле может быть необязательным в целом, но обязательным для конкретной схемы. Дополнительные сведения о каждом поле см. в статье Общие поля ASIM .
| Class | Fields |
|---|---|
| Обязательный |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Рекомендуемый |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Необязательный |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Дополнительные поля - DvcDescription - DvcScopeId - DvcScope |
Поля, относящиеся к проверке подлинности
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| LogonMethod | Необязательный | String | Метод, используемый для проверки подлинности. Допустимые значения: Managed Identity, Service Principal, Username & Password, Multi factor authentication, Passwordless, PKI, PAMи Other. Примеры: Managed Identity |
| LogonProtocol | Необязательный | String | Протокол, используемый для проверки подлинности. Пример: NTLM |
Поля субъекта
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| ActorUserId | Необязательный | String | Машиночитаемое, буквенно-цифровое, уникальное представление субъекта. Дополнительные сведения и альтернативные поля для дополнительных идентификаторов см. в разделе Сущность пользователя. Пример: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Необязательный | String | Область, например клиент Microsoft Entra, в котором определены ActorUserId и ActorUsername. дополнительные сведения и список допустимых значений см. в статье UserScope в статье Общие сведения о схеме. |
| ActorScopeId | Необязательный | String | Идентификатор область, например Microsoft Entra идентификатор каталога, в котором определены ActorUserId и ActorUsername. Дополнительные сведения и список допустимых значений см. в разделе UserScopeIdстатьи Общие сведения о схеме. |
| ActorUserIdType | Условного | UserIdType | Тип идентификатора, хранящегося в поле ActorUserId . Дополнительные сведения и список допустимых значений см. в разделе UserIdTypeстатьи Общие сведения о схеме. |
| ActorUsername | Необязательный | Имя пользователя (строка) | Имя пользователя субъекта, включая сведения о домене, если они доступны. Дополнительные сведения см. в разделе Сущность пользователя. Пример: AlbertE |
| ActorUsernameType | Условного | UsernameType | Указывает тип имени пользователя, хранящегося в поле ActorUsername . Дополнительные сведения и список допустимых значений см. в статье UsernameType статьи Общие сведения о схеме. Пример: Windows |
| ActorUserType | Необязательный | UserType | Тип субъекта. Дополнительные сведения и список допустимых значений см. в статье UserType статьи Общие сведения о схеме. Пример: Guest |
| ActorOriginalUserType | Необязательный | String | Тип пользователя, о чем сообщает устройство отчетов. |
| ActorSessionId | Необязательный | String | Уникальный идентификатор сеанса входа субъекта. Пример: 102pTUgC3p8RIqHvzxLCHnFlg |
Поля действующего приложения
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| ActingAppId | Необязательный | String | Идентификатор приложения, авторизующего от имени субъекта, включая процесс, браузер или службу. Пример: 0x12ae8 |
| ActingAppName | Необязательный | String | Имя приложения, авторизующего от имени субъекта, включая процесс, браузер или службу. Пример: C:\Windows\System32\svchost.exe |
| ActingAppType | Необязательный | AppType | Тип действующего приложения. Дополнительные сведения и список разрешенных значений см. в разделе AppTypeстатьи Общие сведения о схеме. |
| ActingOriginalAppType | Необязательный | String | Тип действующего приложения, сообщаемый устройством отчетности. |
| HttpUserAgent | Необязательный | String | Если проверка подлинности выполняется по протоколу HTTP или HTTPS, значение этого поля является user_agent заголовка HTTP, предоставляемого действующим приложением при выполнении проверки подлинности. Пример: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Поля целевого пользователя
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| TargetUserId | Необязательный | String | Машиночитаемое, буквенно-цифровое, уникальное представление целевого пользователя. Дополнительные сведения и альтернативные поля для дополнительных идентификаторов см. в разделе Сущность пользователя. Пример: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | Необязательный | String | Область, например клиент Microsoft Entra, в котором определены TargetUserId и TargetUsername. дополнительные сведения и список допустимых значений см. в статье UserScope в статье Общие сведения о схеме. |
| TargetUserScopeId | Необязательный | String | Идентификатор область, например идентификатор каталога Microsoft Entra, в котором определены TargetUserId и TargetUsername. Дополнительные сведения и список допустимых значений см. в разделе UserScopeIdстатьи Общие сведения о схеме. |
| TargetUserIdType | Условного | UserIdType | Тип идентификатора пользователя, хранящегося в поле TargetUserId . Дополнительные сведения и список допустимых значений см. в разделе UserIdTypeстатьи Общие сведения о схеме. Пример: SID |
| TargetUsername | Необязательный | Имя пользователя (строка) | Имя пользователя целевого пользователя, включая сведения о домене, если они доступны. Дополнительные сведения см. в разделе Сущность пользователя. Пример: MarieC |
| TargetUsernameType | Условного | UsernameType | Указывает тип имени пользователя, хранящегося в поле TargetUsername . Дополнительные сведения и список допустимых значений см. в статье UsernameType статьи Общие сведения о схеме. |
| TargetUserType | Необязательный | UserType | Тип целевого пользователя. Дополнительные сведения и список допустимых значений см. в статье UserType статьи Общие сведения о схеме. Пример: Member |
| TargetSessionId | Необязательный | String | Идентификатор сеанса входа targetUser на исходном устройстве. |
| TargetOriginalUserType | Необязательный | String | Тип пользователя, о чем сообщает устройство отчетов. |
| Пользователь | Alias | Имя пользователя (строка) | Псевдоним targetUsername или TargetUserId , если targetUsername не определен. Пример: CONTOSO\dadmin |
Поля исходной системы
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Src | Рекомендуемый | String | Уникальный идентификатор исходного устройства. Это поле может содержать псевдонимы полей SrcDvcId, SrcHostname или SrcIpAddr . Пример: 192.168.12.1 |
| SrcDvcId | Необязательный | String | Идентификатор исходного устройства. Если доступно несколько идентификаторов, используйте наиболее важный и сохраните остальные в полях SrcDvc<DvcIdType>.Пример: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Необязательный | String | Идентификатор область облачной платформы, к которому принадлежит устройство. SrcDvcScopeId сопоставляется с идентификатором подписки на Azure и идентификатором учетной записи в AWS. |
| SrcDvcScope | Необязательный | String | Облачная платформа область, к которой принадлежит устройство. SrcDvcScope сопоставляется с идентификатором подписки на Azure и идентификатором учетной записи в AWS. |
| SrcDvcIdType | Условного | DvcIdType | Тип SrcDvcId. Список допустимых значений и дополнительные сведения см. в статье DvcIdType в статье Общие сведения о схеме. Примечание. Это поле является обязательным, если используется SrcDvcId . |
| SrcDeviceType | Необязательный | DeviceType | Тип исходного устройства. Список допустимых значений и дополнительные сведения см. в статье DeviceType в статье Общие сведения о схеме. |
| SrcHostname | Необязательный | Hostname (Имя узла) | Имя узла исходного устройства, за исключением сведений о домене. Если имя устройства недоступно, сохраните соответствующий IP-адрес в этом поле. Пример: DESKTOP-1282V4D |
| SrcDomain | Необязательный | Домен (строка) | Домен исходного устройства. Пример: Contoso |
| SrcDomainType | Условного | DomainType | Тип SrcDomain. Список допустимых значений и дополнительные сведения см. в разделе DomainType статьи Общие сведения о схеме. Требуется, если используется SrcDomain . |
| SrcFQDN | Необязательный | Полное доменное имя (строка) | Имя узла исходного устройства, включая сведения о домене, если они доступны. Примечание. Это поле поддерживает как традиционный формат полного доменного имени, так и формат домен\имя узла Windows. Поле SrcDomainType отражает используемый формат. Пример: Contoso\DESKTOP-1282V4D |
| SrcDescription | Необязательный | String | Описательный текст, связанный с устройством. Пример: Primary Domain Controller. |
| SrcIpAddr | Рекомендуемый | IP-адрес | IP-адрес исходного устройства. Пример: 2.2.2.2 |
| SrcPortNumber | Необязательный | Integer | IP-порт, с которого было создано подключение. Пример: 2335 |
| SrcDvcOs | Необязательный | String | ОС исходного устройства. Пример: Windows 10 |
| IpAddr | Alias | Псевдоним для SrcIpAddr | |
| SrcIsp | Необязательный | String | Поставщик услуг Интернета (ISP), используемый исходным устройством для подключения к Интернету. Пример: corpconnect |
| SrcGeoCountry | Необязательный | Страна | Пример: Canada Дополнительные сведения см. в разделе Логические типы. |
| SrcGeoCity | Необязательный | Город | Пример: Montreal Дополнительные сведения см. в разделе Логические типы. |
| SrcGeoRegion | Необязательный | Region | Пример: Quebec Дополнительные сведения см. в разделе Логические типы. |
| SrcGeoLongitude | Необязательный | Longitude | Пример: -73.614830 Дополнительные сведения см. в разделе Логические типы. |
| SrcGeoLatitude | Необязательный | Latitude | Пример: 45.505918 Дополнительные сведения см. в разделе Логические типы. |
| SrcRiskLevel | Необязательный | Integer | Уровень риска, связанный с источником. Значение должно быть скорректировано в диапазоне 0 до 100, с 0 для доброкачественных и 100 для высокого риска.Пример: 90 |
| SrcOriginalRiskLevel | Необязательный | String | Уровень риска, связанный с источником, о чем сообщает устройство отчетности. Пример: Suspicious |
Поля целевого приложения
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| TargetAppId | Необязательный | String | Идентификатор приложения, которому требуется авторизация, часто назначается устройством отчетности. Пример: 89162 |
| TargetAppName | Необязательный | String | Имя приложения, для которого требуется авторизация, включая службу, URL-адрес или приложение SaaS. Пример: Saleforce |
| Приложения | Alias | Псевдоним targetAppName. | |
| TargetAppType | Условного | AppType | Тип приложения, авторизующего от имени субъекта. Дополнительные сведения и список разрешенных значений см. в разделе AppTypeстатьи Общие сведения о схеме. |
| TargetOriginalAppType | Необязательный | String | Тип приложения, авторизующего от имени субъекта, как сообщается устройством отчетности. |
| TargetUrl | Необязательный | URL-адрес | URL-адрес, связанный с целевым приложением. Пример: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Alias | Псевдоним для TargetAppName, TargetUrl или TargetHostname, в зависимости от того, какое поле лучше всего описывает целевой объект проверки подлинности. |
Целевые системные поля
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Dst | Alias | String | Уникальный идентификатор целевого объекта проверки подлинности. Это поле может быть псевдонимом полей TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId или TargetAppName . Пример: 192.168.12.1 |
| TargetHostname | Рекомендуемый | Hostname (Имя узла) | Имя узла целевого устройства, за исключением сведений о домене. Пример: DESKTOP-1282V4D |
| TargetDomain | Рекомендуемый | Домен (строка) | Домен целевого устройства. Пример: Contoso |
| TargetDomainType | Условного | Перечисленных | Тип TargetDomain. Список допустимых значений и дополнительные сведения см. в разделе DomainType статьи Общие сведения о схеме. Требуется, если используется TargetDomain . |
| TargetFQDN | Необязательный | Полное доменное имя (строка) | Имя узла целевого устройства, включая сведения о домене, если они доступны. Пример: Contoso\DESKTOP-1282V4D Примечание. Это поле поддерживает как традиционный формат полного доменного имени, так и формат домен\имя узла Windows. TargetDomainType отражает используемый формат. |
| TargetDescription | Необязательный | String | Описательный текст, связанный с устройством. Пример: Primary Domain Controller. |
| TargetDvcId | Необязательный | String | Идентификатор целевого устройства. Если доступно несколько идентификаторов, используйте наиболее важный и сохраните остальные в полях TargetDvc<DvcIdType>. Пример: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Необязательный | String | Идентификатор область облачной платформы, к которому принадлежит устройство. TargetDvcScopeId сопоставляется с идентификатором подписки на Azure и идентификатором учетной записи в AWS. |
| TargetDvcScope | Необязательный | String | Облачная платформа область, к которой принадлежит устройство. TargetDvcScope сопоставляет идентификатор подписки на Azure и идентификатор учетной записи в AWS. |
| TargetDvcIdType | Условного | Перечисленных | Тип TargetDvcId. Список допустимых значений и дополнительные сведения см. в статье DvcIdType в статье Общие сведения о схеме. Требуется, если используется TargetDeviceId . |
| TargetDeviceType | Необязательный | Перечисленных | Тип целевого устройства. Список допустимых значений и дополнительные сведения см. в статье DeviceType в статье Общие сведения о схеме. |
| TargetIpAddr | Необязательный | IP-адрес | IP-адрес целевого устройства. Пример: 2.2.2.2 |
| TargetDvcOs | Необязательный | String | ОС целевого устройства. Пример: Windows 10 |
| TargetPortNumber | Необязательный | Integer | Порт целевого устройства. |
| TargetGeoCountry | Необязательный | Страна | Страна или регион, связанные с целевым IP-адресом. Пример: USA |
| TargetGeoRegion | Необязательный | Region | Регион, связанный с целевым IP-адресом. Пример: Vermont |
| TargetGeoCity | Необязательный | Город | Город, связанный с целевым IP-адресом. Пример: Burlington |
| TargetGeoLatitude | Необязательный | Latitude | Широта географической координаты, связанной с целевым IP-адресом. Пример: 44.475833 |
| TargetGeoLongitude | Необязательный | Longitude | Долгота географической координаты, связанной с целевым IP-адресом. Пример: 73.211944 |
| TargetRiskLevel | Необязательный | Integer | Уровень риска, связанный с целевым объектом. Значение должно быть скорректировано в диапазоне 0 до 100, с 0 для доброкачественных и 100 для высокого риска.Пример: 90 |
| TargetOriginalRiskLevel | Необязательный | String | Уровень риска, связанный с целевым объектом, о чем сообщает устройство отчетности. Пример: Suspicious |
Поля проверки
Следующие поля используются для представления проверки, выполняемой системой безопасности.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| RuleName | Необязательный | String | Имя или идентификатор правила, связанного с результатами проверки. |
| RuleNumber | Необязательный | Integer | Номер правила, связанного с результатами проверки. |
| Rule | Alias | String | Значение RuleName или значение RuleNumber. Если используется значение RuleNumber , тип следует преобразовать в строку. |
| ThreatId | Необязательный | String | Идентификатор угрозы или вредоносной программы, обнаруженной в действии аудита. |
| ThreatName | Необязательный | String | Имя угрозы или вредоносной программы, обнаруженной в действии аудита. |
| ThreatCategory | Необязательный | String | Категория угрозы или вредоносного ПО, обнаруженная в действии файла аудита. |
| ThreatRiskLevel | Необязательный | RiskLevel (целое число) | Уровень риска, связанный с обнаруженной угрозой. Уровень должен быть числом от 0 до 100. Примечание. Значение может быть предоставлено в исходной записи с помощью другой шкалы, которая должна быть нормализована по этому масштабу. Исходное значение должно храниться в ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Необязательный | String | Уровень риска, сообщаемый устройством отчетности. |
| ThreatConfidence | Необязательный | ConfidenceLevel (Целое число) | Уровень достоверности обнаруженной угрозы, нормализованный до значения от 0 до 100. |
| ThreatOriginalConfidence | Необязательный | String | Исходный уровень достоверности обнаруженной угрозы, о чем сообщает устройство отчетности. |
| ThreatIsActive | Необязательный | Логический | Значение true, если обнаруженная угроза считается активной угрозой. |
| ThreatFirstReportedTime | Необязательный | datetime | При первом обнаружении IP-адреса или домена как угрозы. |
| ThreatLastReportedTime | Необязательный | datetime | В последний раз IP-адрес или домен были определены как угроза. |
| ThreatIpAddr | Необязательный | IP-адрес | IP-адрес, для которого была обнаружена угроза. Поле ThreatField содержит имя поля ThreatIpAddr , представляющего . |
| ThreatField | Условного | Перечисленных | Поле, для которого была обнаружена угроза. Значение равно или SrcIpAddrTargetIpAddr. |
Обновления схемы
Ниже приведены изменения в схеме версии 0.1.1:
- Обновлены поля сущности пользователя и устройства в соответствии с другими схемами.
- Переименованы
TargetDvcиSrcDvcвTargetиSrcсоответственно в соответствии с текущими рекомендациями ASIM. Переименованные поля будут реализованы как псевдонимы до 1 июля 2022 г. К этим полям относятся:SrcDvcHostname,SrcDvcHostnameType,SrcDvcType,SrcDvcIpAddr,TargetDvcHostname,TargetDvcHostnameTypeTargetDvcType,TargetDvcIpAddrиTargetDvc. - Добавлены псевдонимы
SrcиDst. - Добавлены поля
SrcDvcIdType,SrcDeviceType,TargetDvcIdType, иTargetDeviceTypeиEventSchema.
Ниже приведены изменения в схеме версии 0.1.2:
- Добавлены поля , , , , ,
TargetDvcScopeId,TargetDvcScope,DvcScopeIdиDvcScope.SrcDvcScopeSrcDvcScopeIdTargetUserScopeActorScope
Ниже приведены изменения в схеме версии 0.1.3:
- Добавлены поля
SrcPortNumber, ,ActorOriginalUserTypeActorScopeId,TargetOriginalUserType, ,TargetUserScopeId, ,SrcDescription,SrcRiskLevelSrcOriginalRiskLevelиTargetDescription. - Добавлены поля проверки
- Добавлены поля географического расположения целевой системы.
Ниже приведены изменения в схеме версии 0.1.4:
- Добавлены поля
ActingOriginalAppTypeиTargetOriginalAppType. - Добавлен псевдоним
Application.
Дальнейшие действия
Дополнительные сведения см. в указанных ниже статьях.
- Просмотрите вебинар ASIM или просмотрите слайды
- Обзор расширенной информационной модели безопасности (ASIM)
- Схемы расширенной информационной модели безопасности (ASIM)
- Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
- Содержимое расширенной информационной модели безопасности (ASIM)