Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Microsoft Sentinel Uyarı Şeması, çeşitli ürünlerden gelen güvenlikle ilgili uyarıları Microsoft Gelişmiş Güvenlik Bilgileri Modeli (ASIM) içinde standartlaştırılmış bir biçimde normalleştirmek için tasarlanmıştır. Bu şema yalnızca güvenlik olaylarına odaklanarak farklı veri kaynakları arasında tutarlı ve verimli analiz sağlar.
Uyarı Şeması tehditler, şüpheli etkinlikler, kullanıcı davranışı anomalileri ve uyumluluk ihlalleri gibi çeşitli güvenlik uyarılarını temsil eder. Bu uyarılar EDR'ler, virüsten koruma yazılımı, izinsiz giriş algılama sistemleri, veri kaybı önleme araçları vb. dahil ancak bunlarla sınırlı olmamak üzere farklı güvenlik ürünleri ve sistemleri tarafından bildirilir.
Microsoft Sentinel normalleştirme hakkında daha fazla bilgi için bkz. Normalleştirme ve Gelişmiş Güvenlik Bilgi Modeli (ASIM).
Çözümleyicileri
ASIM ayrıştırıcıları hakkında daha fazla bilgi için bkz. ASIM ayrıştırıcılarına genel bakış.
Ayrıştırıcıları Birleştirme
Tüm ASIM kullanıma alınmış ayrıştırıcıları birleştiren ayrıştırıcıları kullanmak ve çözümlemenizin yapılandırılan tüm kaynaklarda çalıştığından emin olmak için ayrıştırıcıyı _Im_AlertEvent kullanın.
Kullanıma açık, Kaynağa Özgü Ayrıştırıcılar
Uyarı ayrıştırıcılarının listesi için Microsoft Sentinel kullanıma hazır olarak sağlanır, ASIM ayrıştırıcıları listesine bakın.
Kendi Normalleştirilmiş Ayrıştırıcılarınızı Ekleme
Uyarı bilgileri modeli için özel ayrıştırıcılar geliştirirken aşağıdaki söz dizimini kullanarak KQL işlevlerinizi adlandırın:
-
vimAlertEvent<vendor><Product>parametreli ayrıştırıcılar için -
ASimAlertEvent<vendor><Product>normal ayrıştırıcılar için
Ayrıştırıcıları birleştiren uyarıya özel ayrıştırıcılarınızı eklemeyi öğrenmek için ASIM ayrıştırıcılarını yönetme makalesine bakın.
Ayrıştırıcı Parametrelerini Filtreleme
Uyarı ayrıştırıcıları, sorgu performansını geliştirmek için çeşitli filtreleme parametrelerini destekler. Bu parametreler isteğe bağlıdır ancak sorgu performansınızı artırabilir. Aşağıdaki filtreleme parametreleri kullanılabilir:
| Name | Tür | Açıklama |
|---|---|---|
| Starttime | Datetime | Yalnızca şu anda veya sonrasında başlayan uyarıları filtreleyin. Bu parametre, EventStartTime ve EventEndTime alanlarının ayrıştırıcıya özgü eşlemesine bakılmaksızın, olay zamanı için standart belirleyici olan alana filtrelenir TimeGenerated . |
| Endtime | Datetime | Yalnızca şu anda veya öncesinde başlayan uyarıları filtreleyin. Bu parametre, EventStartTime ve EventEndTime alanlarının ayrıştırıcıya özgü eşlemesine bakılmaksızın, olay zamanı için standart belirleyici olan alana filtrelenir TimeGenerated . |
| ipaddr_has_any_prefix | Dinamik | Yalnızca 'DvcIpAddr' alanının listelenen değerlerden birinde yer aldığı uyarıları filtreleyin. |
| hostname_has_any | Dinamik | Yalnızca 'DvcHostname' alanının listelenen değerlerden birinde yer aldığı uyarıları filtreleyin. |
| username_has_any | Dinamik | Yalnızca 'Kullanıcı Adı' alanının listelenen değerlerden birinde yer aldığı uyarıları filtreleyin. |
| attacktactics_has_any | Dinamik | Yalnızca 'AttackTactics' alanının listelenen değerlerden birinde yer aldığı uyarıları filtreleyin. |
| attacktechniques_has_any | Dinamik | Yalnızca 'AttackTechniques' alanının listelenen değerlerden birinde yer aldığı uyarıları filtreleyin. |
| threatcategory_has_any | Dinamik | Yalnızca 'ThreatCategory' alanının listelenen değerlerden birinde yer aldığı uyarıları filtreleyin. |
| alertverdict_has_any | Dinamik | Yalnızca 'AlertVerdict' alanının listelenen değerlerden birinde yer aldığı uyarıları filtreleyin. |
| eventseverity_has_any | Dinamik | Yalnızca 'EventSeverity' alanının listelenen değerlerden birinde yer aldığı uyarıları filtreleyin. |
Şemaya Genel Bakış
Uyarı Şeması, aynı alanları paylaşan çeşitli güvenlik olayı türlerine hizmet eder. Bu olaylar EventType alanı tarafından tanımlanır:
- Tehdit Bilgileri: Kötü amaçlı yazılım, kimlik avı, fidye yazılımı ve diğer siber tehditler gibi çeşitli kötü amaçlı etkinliklerle ilgili uyarılar.
- Şüpheli Etkinlikler: Tehditlerin doğrulanmaması gerekmeyen ancak şüpheli olan ve birden çok başarısız oturum açma girişimi veya kısıtlı dosyalara erişim gibi daha fazla araştırma gerektiren etkinliklere yönelik uyarılar.
- Kullanıcı Davranışı Anomalileri: Anormal oturum açma süreleri veya olağan dışı veri erişim düzenleri gibi bir güvenlik sorunu önerebilecek olağan dışı veya beklenmeyen kullanıcı davranışını gösteren uyarılar.
- Uyumluluk İhlalleri: Mevzuat veya iç ilkelerle uyumsuzlukla ilgili uyarılar. Örneğin, açık genel bağlantı noktalarıyla kullanıma sunulan bir VM saldırılara karşı savunmasızdır (Bulut Güvenlik Uyarısı).
Önemli
Uyarı Şemasının ilgi düzeyini ve etkinliğini korumak için yalnızca güvenlikle ilgili uyarılar eşlenmelidir.
Uyarı şeması, uyarıyla ilgili ayrıntıları yakalamak için aşağıdaki varlıklara başvurur:
-
Dvc alanları, uyarıyla ilişkilendirilmiş konak veya IP hakkındaki ayrıntıları yakalamak için kullanılır
-
Kullanıcı alanları, uyarıyla ilişkilendirilmiş kullanıcı hakkındaki ayrıntıları yakalamak için kullanılır.
- Benzer şekilde İşlem, Dosya, Url, Kayıt Defteri ve Email alanları sırasıyla uyarıyla ilişkili işlem, dosya, Url, kayıt defteri ve e-postayla ilgili yalnızca önemli ayrıntıları yakalamak için kullanılır.
Önemli
- Ürüne özgü ayrıştırıcı oluştururken, uyarı bir güvenlik olayı veya olası tehdit hakkında bilgi içerdiğinde ASIM Uyarı şemasını kullanın ve birincil ayrıntılar doğrudan kullanılabilir Uyarı şeması alanlarına eşlenebilir. Uyarı şeması, varlığa özgü kapsamlı alanlar olmadan özet bilgileri yakalamak için idealdir.
- Ancak, doğrudan alan eşleşmelerinin olmaması nedeniyle temel alanları 'AdditionalFields' içine yerleştirdiğinizde fark ederseniz, daha özelleştirilmiş bir şemayı göz önünde bulundurun. Örneğin, bir uyarı birden çok IP adresi (SrcIpAdr, DstIpAddr, PortNumber vb.) gibi ağ ile ilgili ayrıntıları içeriyorsa, Uyarı şeması üzerinden NetworkSession şemasını tercih edebilirsiniz. Özelleştirilmiş şemalar ayrıca tehditle ilgili bilgileri yakalamak, veri kalitesini geliştirmek ve verimli analizi kolaylaştırmak için ayrılmış alanlar sağlar.
Şema Ayrıntıları
Ortak ASIM Alanları
Aşağıdaki listede Uyarı olayları için belirli yönergelere sahip alanlardan bahsedmektedir:
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| EventType | Zorunlu | Numaralandırılmış | Olayın türü. Desteklenen değerler şunlardır: - Alert |
| EventSubType | Önerilen | Numaralandırılmış | Daha geniş olay sınıflandırması içinde daha ayrıntılı ayrıntı sağlayan uyarı olayının alt türünü veya kategorisini belirtir. Bu alan, algılanan sorunun niteliğini ayırt ederek olay öncelik belirlemesini ve yanıt stratejilerini iyileştirmeye yardımcı olur. Desteklenen değerler şunlardır: - Threat (Sistemin veya ağın güvenliğini tehlikeye atabilecek doğrulanmış veya yüksek olasılıkla kötü amaçlı bir etkinliği temsil eder)- Suspicious Activity (Olağan dışı veya şüpheli görünen ancak henüz kötü amaçlı olarak onaylanmamış davranış veya olaylara bayraklar uygular)- Anomaly (Olası bir güvenlik riski veya işletim sorununa işaret edebilecek normal desenlerden sapmaları tanımlar)- Compliance Violation (Mevzuat, ilke veya uyumluluk standartlarını ihlal eden etkinlikleri vurgular) |
| EventUid | Zorunlu | dize | Bir sistem içindeki uyarıyı benzersiz olarak tanımlayan makine tarafından okunabilir, alfasayısal dize. Örneğin. A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
| EventMessage | İsteğe bağlı | dize | Bağlamı, nedeni ve olası etkisi de dahil olmak üzere uyarı hakkında ayrıntılı bilgiler. Örneğin. Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
| IpAddr | Diğer ad | Alan için DvcIpAddr diğer ad veya kolay ad. |
|
| Ana Bilgisayar Adı | Diğer ad | Alan için DvcHostname diğer ad veya kolay ad. |
|
| EventSchema | Zorunlu | Numaralandırılmış | Olay için kullanılan şema. Burada belgelenen şema şöyledir AlertEvent: . |
| EventSchemaVersion | Zorunlu | SchemaVersion (Dize) | Şemanın sürümü. Şemanın burada belgelenen sürümüdür 0.1. |
Tüm Ortak Alanlar
Aşağıdaki tabloda görünen alanlar tüm ASIM şemalarında ortaktır. Yukarıda belirtilen tüm yönergeler alanın genel yönergelerini geçersiz kılar. Örneğin, bir alan genel olarak isteğe bağlı olabilir, ancak belirli bir şema için zorunlu olabilir. Her alan hakkında daha fazla bilgi için ASIM Ortak Alanları makalesine bakın.
| Sınıfı | Alanları |
|---|---|
| Zorunlu |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventUid - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
| Önerilen |
-
EventSubType - EventSeverity - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType |
| İsteğe bağlı |
-
EventMessage - EventOriginalType - EventOriginalSubType - EventOriginalSeverity - EventProductVersion - EventOriginalUid - EventReportUrl - EventResult - EventOwner - DvcZone - DvcMacAddr - DvcO'lar - DvcOsVersion - DvcAction - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
İnceleme Alanları
Aşağıdaki tabloda, uyarılarla ilişkili kurallar ve tehditler hakkında kritik içgörüler sağlayan alanlar yer alır. Birlikte, uyarının bağlamını zenginleştirmeye yardımcı olur ve güvenlik analistlerinin kaynağını ve önemini anlamasını kolaylaştırır.
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| AlertId | Diğer ad | dize | Alan için EventUid diğer ad veya kolay ad. |
| AlertName | Önerilen | dize | Uyarının başlığı veya adı. Örneğin. Possible use of the Rubeus kerberoasting tool |
| AlertDescription | Diğer ad | dize | Alan için EventMessage diğer ad veya kolay ad. |
| UyarıVerdict | İsteğe bağlı | Numaralandırılmış | Uyarının tehdit olarak onaylandığını, şüpheli kabul edildiğini veya hatalı pozitif olarak çözümlendiğini belirten son belirleme veya sonuç. Desteklenen değerler şunlardır: - True Positive (Meşru bir tehdit olarak onaylandı)- False Positive (Yanlış bir tehdit olarak tanımlandı)- Benign Positive (olayın zararsız olduğu belirlendiğinde)- Unknown (Belirsiz veya belirsiz durum) |
| AlertStatus | İsteğe bağlı | Numaralandırılmış | Uyarının geçerli durumunu veya ilerleme durumunu gösterir. Desteklenen değerler şunlardır: - Active- Closed |
| AlertOriginalStatus | İsteğe bağlı | dize | Kaynak sistem tarafından bildirilen uyarının durumu. |
| DetectionMethod | İsteğe bağlı | Numaralandırılmış | Uyarının oluşturulmasına katkıda bulunan belirli algılama yöntemi, teknoloji veya veri kaynağı hakkında ayrıntılı bilgi sağlar. Bu alan, uyarının algılanması veya tetiklenmesi hakkında daha fazla içgörü sağlayarak algılama bağlamının ve güvenilirliğinin anlaşılmasına yardımcı olur. Desteklenen değerler şunlardır: - EDR: Tehditleri tanımlamak için uç nokta etkinliklerini izleyen ve analiz eden Uç Nokta Algılama ve Yanıt sistemleri.- Behavioral Analytics: Kullanıcı, cihaz veya sistem davranışındaki anormal desenleri algılayan teknikler.- Reputation: IP adreslerinin, etki alanlarının veya dosyaların saygınlığına bağlı olarak tehdit algılama.- Threat Intelligence: Bilinen tehditler veya saldırgan taktikler hakkında veri sağlayan dış veya iç zeka akışları.- Intrusion Detection: Ağ trafiğini veya izinsiz giriş veya saldırı işaretlerine yönelik etkinlikleri izleyen sistemler.- Automated Investigation: Uyarıları analiz eden ve araştıran ve el ile iş yükünü azaltan otomatik sistemler.- Antivirus: İmzalara ve buluşsal yöntemlere göre kötü amaçlı yazılımları algılayan geleneksel virüsten koruma motorları.- Data Loss Prevention: Yetkisiz veri aktarımlarını veya sızıntılarını önlemeye odaklanan çözümler.- User Defined Blocked List: Belirli IP'leri, etki alanlarını veya dosyaları engellemek için kullanıcılar tarafından tanımlanan özel listeler.- Cloud Security Posture Management: Bulut ortamlarındaki güvenlik risklerini değerlendiren ve yöneten araçlar.- Cloud Application Security: Bulut uygulamalarının ve verilerinin güvenliğini sağlayan çözümler.- Scheduled Alerts: Önceden tanımlanmış zamanlamalara veya eşiklere göre oluşturulan uyarılar.- Other: Yukarıdaki kategorilerin kapsamına alınmayan diğer tüm algılama yöntemleri. |
| Kural | Diğer ad | dize | RuleName değeri veya RuleNumber değeri. RuleNumber değeri kullanılırsa, tür dizeye dönüştürülmelidir. |
| RuleNumber | İsteğe bağlı | Int | Uyarıyla ilişkili kuralın numarası. Örneğin. 123456 |
| Rulename | İsteğe bağlı | dize | Uyarıyla ilişkili kuralın adı veya kimliği. Örneğin. Server PSEXEC Execution via Remote Access |
| RuleDescription | İsteğe bağlı | dize | Uyarıyla ilişkili kuralın açıklaması. Örneğin. This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
| ThreatId | İsteğe bağlı | dize | Uyarıda tanımlanan tehdidin veya kötü amaçlı yazılımın kimliği. Örneğin. 1234567891011121314 |
| ThreatName | İsteğe bağlı | dize | Uyarıda tanımlanan tehdit veya kötü amaçlı yazılımın adı. Örneğin. Init.exe |
| ThreatFirstReportedTime | İsteğe bağlı | Datetime | Tehdidin ilk bildirildiği tarih ve saat. Örneğin. 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | İsteğe bağlı | Datetime | Tehdidin en son bildirildiği tarih ve saat. Örneğin. 2024-09-19T10:12:10.0000000Z |
| ThreatCategory | Önerilen | Numaralandırılmış | Uyarıda tanımlanan tehdit veya kötü amaçlı yazılım kategorisi. Desteklenen değerler şunlardır: Malware, Ransomware, Trojan, Virus, , Worm, Adware, , Spyware, , SpamSecurity Policy ViolationCryptominorPhishingMaliciousUrlSpoofingRootkitUnknown |
| ThreatOriginalCategory | İsteğe bağlı | dize | Kaynak sistem tarafından bildirilen tehdit kategorisi. |
| ThreatIsActive | İsteğe bağlı | Bool | Tehdidin şu anda etkin olup olmadığını gösterir. Desteklenen değerler şunlardır: True, False |
| ThreatRiskLevel | İsteğe bağlı | RiskLevel (Tamsayı) | Tehditle ilişkili risk düzeyi. Düzey 0 ile 100 arasında bir sayı olmalıdır. Not: Değer kaynak kayıtta farklı bir ölçek kullanılarak sağlanabilir ve bu ölçek normalleştirilmelidir. Özgün değer ThreatRiskLevelOriginal içinde depolanmalıdır. |
| ThreatOriginalRiskLevel | İsteğe bağlı | dize | Kaynak sistem tarafından bildirilen risk düzeyi. |
| ThreatConfidence | İsteğe bağlı | ConfidenceLevel (Tamsayı) | Tanımlanan tehdidin güvenilirlik düzeyi, 0 ile 100 arasında bir değere normalleştirilmiştir. |
| ThreatOriginalConfidence | İsteğe bağlı | dize | Kaynak sistem tarafından bildirilen güvenilirlik düzeyi. |
| IndicatorType | Önerilen | Numaralandırılmış | Göstergenin türü veya kategorisi Desteklenen değerler şunlardır: - Ip- User- Process- Registry- Url- Host- Cloud Resource- Application- File- Email- Mailbox- Logon Session |
| IndicatorAssociation | İsteğe bağlı | Numaralandırılmış | Göstergenin tehditle bağlantılı mı yoksa doğrudan mı etkilendiğini belirtir. Desteklenen değerler şunlardır: - Associated- Targeted |
| AttackTactics | Önerilen | dize | Uyarıyla ilişkili saldırı taktikleri (ad, kimlik veya her ikisi). Tercih edilen biçim: Örneğin: Persistence, Privilege Escalation |
| AttackTechniques | Önerilen | dize | Uyarıyla ilişkili saldırı teknikleri (ad, kimlik veya her ikisi). Tercih edilen biçim: Örneğin: Local Groups (T1069.001), Domain Groups (T1069.002) |
| AttackRemediationSteps | Önerilen | dize | Tanımlanan saldırıyı veya tehdidi azaltmak veya düzeltmek için önerilen eylemler veya adımlar. Örneğin. 1. Make sure the machine is completely updated and all your software has the latest patch.2. Contact your incident response team. |
Kullanıcı Alanları
Bu bölüm, bir uyarıyla ilişkili kullanıcıların tanımlanması ve sınıflandırılmasıyla ilgili alanları tanımlar ve etkilenen kullanıcı ve kimliklerinin biçimi hakkında netlik sağlar. Uyarı, burada eşlenenleri aşan ek, kullanıcıyla ilgili alanlar içeriyorsa, Kimlik Doğrulama Olayı şeması gibi özel bir şemanın verileri tam olarak temsil etmek için daha uygun olup olmadığını düşünebilirsiniz.
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| Userıd | İsteğe bağlı | dize | Uyarıyla ilişkilendirilmiş kullanıcının makine tarafından okunabilir, alfasayısal, benzersiz bir gösterimi. Örneğin. A1bC2dE3fH4iJ5kL6mN7o |
| UserIdType | Koşullu | Numaralandırılmış | Kullanıcı kimliğinin türü, örneğin GUID, , SIDveya Email.Desteklenen değerler şunlardır: - GUID- SID- Email- Username- Phone- Other |
| Kullanıcı Adı | Önerilen | Kullanıcı adı (dize) | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere uyarıyla ilişkilendirilmiş kullanıcının adı. örneğin Contoso\JSmith veya john.smith@contoso.com |
| Kullanıcı | Diğer ad | dize | Alan için Username diğer ad veya kolay ad. |
| UsernameType | Koşullu | UsernameType | Alanında Username depolanan kullanıcı adının türünü belirtir. Daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUsernameType bölümüne bakın.Örneğin. Windows |
| Usertype | İsteğe bağlı | Usertype | Aktörün türü. Daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUserType bölümüne bakın. Örneğin. Guest |
| OriginalUserType | İsteğe bağlı | dize | Raporlama cihazı tarafından bildirilen kullanıcı türü. |
| UserSessionId | İsteğe bağlı | dize | Uyarıyla ilişkili kullanıcının oturumunun benzersiz kimliği. Örneğin. a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
| UserScopeId | İsteğe bağlı | dize | UserId ve Kullanıcı Adı'nın tanımlandığı Microsoft Entra Dizin Kimliği gibi kapsam kimliği. Örneğin. a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
| UserScope | İsteğe bağlı | dize | UserId ve Kullanıcı Adı'nın tanımlandığı Microsoft Entra kiracısı gibi kapsam. daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUserScope bölümüne bakın. Örneğin. Contoso Directory |
İşlem Alanları
Bu bölüm, belirtilen alanları kullanarak uyarıda yer alan bir işlem varlığıyla ilgili ayrıntıları yakalamanızı sağlar. Uyarı, burada eşlenenleri aşan ek, ayrıntılı işlemle ilgili alanlar içeriyorsa, İşlem Olayı şeması gibi özel bir şemanın verileri tam olarak temsil etmek için daha uygun olup olmadığını düşünebilirsiniz.
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| Processıd | İsteğe bağlı | dize | Uyarıyla ilişkili işlem kimliği (PID). Örneğin. 12345678 |
| ProcessCommandLine | İsteğe bağlı | dize | İşlemi başlatmak için kullanılan komut satırı. Örneğin. "choco.exe" -v |
| ProcessName | İsteğe bağlı | dize | İşlemin adı. Örneğin. C:\Windows\explorer.exe |
| ProcessFileCompany | İsteğe bağlı | dize | İşlem görüntü dosyasını oluşturan şirket. Örneğin. Microsoft |
Dosya Alanları
Bu bölüm, uyarıda yer alan bir dosya varlığıyla ilgili ayrıntıları yakalamanızı sağlar. Uyarı, burada eşlenenleri aşan ek, ayrıntılı dosyayla ilgili alanlar içeriyorsa, Dosya Olayı şeması gibi özel bir şemanın verileri tam olarak temsil etmek için daha uygun olup olmayacağını düşünebilirsiniz.
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| Dosyaadı | İsteğe bağlı | dize | Yol veya konum olmadan uyarıyla ilişkilendirilmiş dosyanın adı. Örneğin. Notepad.exe |
| Filepath | İsteğe bağlı | dize | Hedef dosyanın, klasör veya konum, dosya adı ve uzantı da dahil olmak üzere tam, normalleştirilmiş yolu. Örneğin. C:\Windows\System32\notepad.exe |
| FileSHA1 | İsteğe bağlı | dize | Dosyanın SHA1 karması. Örneğin. j5kl6mn7op8qr9st0uv1 |
| FileSHA256 | İsteğe bağlı | dize | Dosyanın SHA256 karması. Örneğin. a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
| FileMD5 | İsteğe bağlı | dize | Dosyanın MD5 karması. Örneğin. j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
| Filesize | İsteğe bağlı | Uzun | Dosyanın bayt cinsinden boyutu. Örneğin. 123456 |
Url Alanı
Uyarınız Url varlığı hakkında bilgi içeriyorsa, aşağıdaki alanlar URL ile ilgili verileri yakalayabilir.
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| Url | İsteğe bağlı | dize | Uyarıda yakalanan URL dizesi. Örneğin. https://contoso.com/fo/?k=v&q=u#f |
Kayıt Defteri Alanları
Uyarınız kayıt defteri varlığıyla ilgili ayrıntıları içeriyorsa, kayıt defteriyle ilgili belirli bilgileri yakalamak için aşağıdaki alanları kullanın.
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| RegistryKey | İsteğe bağlı | dize | Uyarıyla ilişkili kayıt defteri anahtarı, standart kök anahtar adlandırma kurallarına göre normalleştirilmiştir. Örneğin. HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | İsteğe bağlı | dize | Kayıt defteri değeri. Örneğin. ImagePath |
| RegistryValueData | İsteğe bağlı | dize | Kayıt defteri değerinin verileri. Örneğin. C:\Windows\system32;C:\Windows; |
| RegistryValueType | İsteğe bağlı | Numaralandırılmış | Kayıt defteri değerinin türü. Örneğin. Reg_Expand_Sz |
alanları Email
Uyarınız e-posta varlığı hakkında bilgi içeriyorsa, e-postayla ilgili belirli ayrıntıları yakalamak için aşağıdaki alanları kullanın.
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| EmailMessageId | İsteğe bağlı | dize | Uyarıyla ilişkili e-posta iletisi için benzersiz tanımlayıcı. Örneğin. Request for Invoice Access |
| EmailSubject | İsteğe bağlı | dize | E-postanın konusu. Örneğin. j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
Şema Güncelleştirmeler
Şemanın çeşitli sürümlerindeki değişiklikler şunlardır:
- Sürüm 0.1: İlk sürüm.