Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Microsoft Sentinel Denetim olayları normalleştirme şeması, bilgi sistemlerinin denetim kaydıyla ilişkili olayları temsil eder. Denetim kaydı, sistem yapılandırma etkinliklerini ve ilke değişikliklerini günlüğe kaydeder. Bu tür değişiklikler genellikle sistem yöneticileri tarafından gerçekleştirilir, ancak kullanıcılar kendi uygulamalarının ayarlarını yapılandırırken de gerçekleştirilebilir.
Her sistem, denetim olaylarını temel etkinlik günlükleriyle birlikte günlüğe kaydeder. Örneğin, güvenlik duvarı ağ oturumlarıyla ilgili olayları işlemler olarak günlüğe kaydeder ve Güvenlik Duvarı'nın kendisine uygulanan yapılandırma değişiklikleriyle ilgili olayları denetler.
Microsoft Sentinel normalleştirme hakkında daha fazla bilgi için bkz. Normalleştirme ve Gelişmiş Güvenlik Bilgi Modeli (ASIM).
Şemaya genel bakış
Denetim olayının ana alanları şunlardır:
- Nesne, örneğin, olayın odaklandığı yönetilen bir kaynak veya ilke kuralı olabilir ve Object alanıyla temsil edilir. ObjectType alanı nesnenin türünü belirtir.
- Nesnenin uygulama bağlamı, Application tarafından diğer adı verilen TargetAppName alanıyla temsil edilir.
- EventType ve Operation alanlarıyla temsil edilen nesne üzerinde gerçekleştirilen işlem. İşlem, kaynağın bildirdiği değer olsa da, EventType kaynaklar arasında daha tutarlı olan normalleştirilmiş bir sürümdür.
- Nesnenin eski ve yeni değerleri (varsa) sırasıyla OldValue ve NewValue ile temsil edilir.
Denetim olayları, yapılandırma işlemine dahil olan aşağıdaki varlıklara da başvurur:
- Actor - Yapılandırma işlemini gerçekleştiren kullanıcı.
- TargetApp - Yapılandırma işleminin uygulandığı uygulama veya sistem.
- Target - TargetApp* uygulamasının çalıştığı sistem.
- ActingApp - Aktör tarafından yapılandırma işlemini gerçekleştirmek için kullanılan uygulama.
- Src - Target'dan farklıysa, Actor tarafından yapılandırma işlemini başlatmak için kullanılan sistem.
Tanımlayıcı Dvc , bir uç nokta tarafından bildirilen oturumlar için yerel sistem olan raporlama cihazı ve diğer durumlarda aracı veya güvenlik cihazı için kullanılır.
Çözümleyicileri
Denetim olayları ayrıştırıcılarını dağıtma ve kullanma
Microsoft Sentinel GitHub deposundan ASIM denetim olayları ayrıştırıcılarını dağıtın. Tüm denetim olayı kaynaklarını sorgulamak için, sorgunuzda tablo adı olarak birleştirici ayrıştırıcıyı imAuditEvent kullanın.
ASIM ayrıştırıcılarını kullanma hakkında daha fazla bilgi için bkz. ASIM ayrıştırıcılarına genel bakış. Denetim olayı ayrıştırıcılarının listesi için Microsoft Sentinel kullanıma hazır sağlar ASIM ayrıştırıcıları listesine bakın
Kendi normalleştirilmiş ayrıştırıcılarınızı ekleme
Dosya Olayı bilgi modeli için özel ayrıştırıcılar uygularken aşağıdaki söz dizimini kullanarak KQL işlevlerinizi adlandırın: imAuditEvent<vendor><Product>.
Ayrıştırıcıyı birleştiren denetim olayına özel ayrıştırıcılarınızı eklemeyi öğrenmek için ASIM ayrıştırıcılarını yönetme makalesine bakın.
Ayrıştırıcı parametrelerini filtreleme
Denetim olayları ayrıştırıcıları filtreleme parametrelerini destekler. Bu parametreler isteğe bağlı olsa da sorgu performansınızı artırabilir.
Aşağıdaki filtreleme parametreleri kullanılabilir:
| Name | Tür | Açıklama |
|---|---|---|
| Starttime | Datetime | Yalnızca bu sürenin sonunda veya sonrasında çalıştırılan olayları filtreleyin. Bu parametre, TimeGenerated olayı zaman belirleyicisi olarak alanını kullanır. |
| Endtime | Datetime | Yalnızca bu saatte veya öncesinde çalıştırılması biten olay sorgularını filtreleyin. Bu parametre, TimeGenerated olayı zaman belirleyicisi olarak alanını kullanır. |
| srcipaddr_has_any_prefix | Dinamik | SrcIpAddr alanında gösterildiği gibi yalnızca bu kaynak IP adresinden gelen olayları filtreleyin. |
| eventtype_in | dize | Yalnızca EventType alanında gösterildiği gibi olay türünün sağlanan terimlerden herhangi biri olduğu olayları filtreleyin. |
| eventresult | dize | Yalnızca EventResult alanında gösterildiği gibi olay sonucunun parametre değerine eşit olduğu olayları filtreleyin. |
| actorusername_has_any | dinamik/dize | Yalnızca ActorUsername öğesinin sağlanan terimlerden herhangi birini içerdiği olayları filtreleyin. |
| operation_has_any | dinamik/dize | Yalnızca İşlem alanının sağlanan terimlerden herhangi birini içerdiği olayları filtreleyin. |
| object_has_any | dinamik/dize | Yalnızca Nesne alanında sağlanan terimlerden herhangi birini içeren olayları filtreleyin. |
| newvalue_has_any | dinamik/dize | Yalnızca NewValue alanının sağlanan terimlerden herhangi birini içerdiği olayları filtreleyin. |
Bazı parametreler hem tür dynamic değerleri listesini hem de tek bir dize değerini kabul edebilir. Dinamik değer bekleyen parametrelere değişmez değer listesi geçirmek için, dinamik değişmez değeri açıkça kullanın. Örneğin: dynamic(['192.168.','10.'])
Örneğin, son günden itibaren yalnızca denetim olaylarını terimlere install veya updateİşlem alanına göre filtrelemek için şunu kullanın:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
Şema ayrıntıları
Ortak ASIM alanları
Önemli
Tüm şemalarda ortak olan alanlar ASIM Ortak Alanları makalesinde ayrıntılı olarak açıklanmıştır.
Belirli yönergelere sahip ortak alanlar
Aşağıdaki listede Denetim Olayları için belirli yönergelere sahip alanlardan bahsedmektedir:
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| Eventtype | Zorunlu | Numaralandırılmış | Olay tarafından normalleştirilmiş bir değer kullanılarak denetlenen işlemi açıklar. Normalleştirilmiş değerin iletmediği diğer ayrıntıları ve İşlem'i sağlamak için EventSubType kullanın. raporlama cihazı tarafından bildirilen işlemi depolamak için. Denetim Olayı kayıtları için izin verilen değerler şunlardır: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Initialize- Start- Stop- Other Denetim olayları çok çeşitli işlemleri temsil eden ve Other değeri karşılık gelen EventTypeolmayan eşleme işlemlerini etkinleştirir. Ancak, kullanımı Other olayın kullanılabilirliğini sınırlar ve mümkünse kaçınılmalıdır. |
| EventSubType | İsteğe bağlı | Dize | EventType'taki normalleştirilmiş değerin iletmediği diğer ayrıntıları sağlar. |
| EventSchema | Zorunlu | Numaralandırılmış | Burada belgelenen şemanın adıdır AuditEvent. |
| EventSchemaVersion | Zorunlu | SchemaVersion (Dize) | Şemanın sürümü. Şemanın burada belgelenen sürümüdür 0.1.2. |
Tüm ortak alanlar
Tabloda görünen alanlar tüm ASIM şemalarında ortaktır. Bu belgede belirtilen yönergelerden herhangi biri alanın genel yönergelerini geçersiz kılar. Örneğin, bir alan genel olarak isteğe bağlı olabilir, ancak belirli bir şema için zorunlu olabilir. Her alan hakkında daha fazla bilgi için ASIM Ortak Alanları makalesine bakın.
| Sınıfı | Alanları |
|---|---|
| Zorunlu |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Önerilen |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| İsteğe bağlı |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcO'lar - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Denetim alanları
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| Işlem | Zorunlu | Dize | İşlem, raporlama cihazı tarafından bildirilen şekilde denetlendi. |
| Nesne | Zorunlu | Dize | EventType tarafından tanımlanan işlemin gerçekleştirildiği nesnenin adı. |
| Objectıd | İsteğe bağlı | Dize | EventType tarafından tanımlanan işlemin gerçekleştirildiği nesnenin kimliği. |
| Nesnetürü | Koşullu | Numaralandırılmış |
Nesne türü. İzin verilen değerler şunlardır: - Cloud Resource- Configuration Atom- Policy Rule- Event Log- Scheduled Task- Service- Directory Service Object- Other |
| OriginalObjectType | İsteğe bağlı | Dize | Raporlama sistemi tarafından bildirilen Nesne türü |
| Oldvalue | İsteğe bağlı | Dize | İşlemden önceki object değerinin (varsa) değeri. |
| Newvalue | Önerilen | Dize | İşlem gerçekleştirildikten sonra object değerinin (varsa) yeni değeri. |
| Değer | Diğer ad | NewValue diğer adı | |
| Valuetype | Koşullu | Numaralandırılmış | Eski ve yeni değerlerin türü. İzin verilen değerler şunlardır: -Diğer |
Aktör alanları
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| ActorUserId | İsteğe bağlı | Dize | Aktörün makine tarafından okunabilir, alfasayısal, benzersiz bir gösterimi. Daha fazla bilgi ve diğer kimlikler için alternatif alanlar için bkz. Kullanıcı varlığı. Örnek: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | İsteğe bağlı | Dize | ActorUserId ve ActorUsername'in tanımlandığı Microsoft Entra Etki Alanı Adı gibi kapsam. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUserScope bölümüne bakın. |
| ActorScopeId | İsteğe bağlı | Dize | ActorUserId ve ActorUsername'in tanımlandığı Microsoft Entra Dizin Kimliği gibi kapsam kimliği. daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUserScopeId bölümüne bakın. |
| ActorUserIdType | Koşullu | Numaralandırılmış | ActorUserId alanında depolanan kimliğin türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiUserIdType bölümüne bakın. |
| ActorUsername | Önerilen | Kullanıcı adı (Dize) | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere Aktörün kullanıcı adı. Daha fazla bilgi için bkz. Kullanıcı varlığı. Örnek: AlbertE |
| Kullanıcı | Diğer ad | ActorUsername diğer adı | |
| ActorUsernameType | Koşullu | UsernameType |
ActorUsername alanında depolanan kullanıcı adının türünü belirtir. Daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUsernameType bölümüne bakın. Örnek: Windows |
| ActorUserType | İsteğe bağlı | Usertype | Aktörün türü. Daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUserType bölümüne bakın. Örneğin: Guest |
| ActorOriginalUserType | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen kullanıcı türü. |
| ActorSessionId | İsteğe bağlı | Dize | Aktörün oturum açma oturumunun benzersiz kimliği. Örnek: 102pTUgC3p8RIqHvzxLCHnFlg |
Hedef uygulama alanları
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| TargetAppId | İsteğe bağlı | Dize | İşlem, tarayıcı veya hizmet de dahil olmak üzere olayın geçerli olduğu uygulamanın kimliği. Örnek: 89162 |
| TargetAppName | İsteğe bağlı | Dize | Hizmet, URL veya SaaS uygulaması da dahil olmak üzere olayın geçerli olduğu uygulamanın adı. Örnek: Exchange 365 |
| Uygulama | Diğer ad | TargetAppName diğer adı | |
| TargetAppType | Koşullu | AppType | Aktör adına yetkilendirilen uygulamanın türü. Daha fazla bilgi ve izin verilen değer listesi için Şemaya Genel Bakış makalesindekiAppType bölümüne bakın. |
| TargetOriginalAppType | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen olay için geçerli olan uygulamanın türü. |
| TargetUrl | İsteğe bağlı | URL | Hedef uygulamayla ilişkilendirilmiş URL. Örnek: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
Hedef sistem alanları
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| Dst | Diğer ad | Dize | Kimlik doğrulama hedefinin benzersiz tanımlayıcısı. Bu alan TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId veya TargetAppName alanlarını adlandırabilir. Örnek: 192.168.12.1 |
| TargetHostname | Önerilen | Ana bilgisayar adı | Etki alanı bilgileri hariç, hedef cihaz ana bilgisayar adı. Örnek: DESKTOP-1282V4D |
| TargetDomain | İsteğe bağlı | Etki Alanı(Dize) | Hedef cihazın etki alanı. Örnek: Contoso |
| TargetDomainType | Koşullu | Numaralandırılmış |
TargetDomain türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiDomainType'a bakın. TargetDomain kullanılıyorsa gereklidir. |
| TargetFQDN | İsteğe bağlı | FQDN (Dize) | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef cihaz ana bilgisayar adı. Örnek: Contoso\DESKTOP-1282V4D Not: Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. TargetDomainType, kullanılan biçimi yansıtır. |
| TargetDescription | İsteğe bağlı | Dize | Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Primary Domain Controller. |
| TargetDvcId | İsteğe bağlı | Dize | Hedef cihazın kimliği. Birden çok kimlik varsa, en önemli kimlikleri kullanın ve diğerlerini alanlarında depolayın TargetDvc<DvcIdType>. Örnek: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | İsteğe bağlı | Dize | Cihazın ait olduğu bulut platformu kapsam kimliği. TargetDvcScopeId, Azure'teki bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| TargetDvcScope | İsteğe bağlı | Dize | Cihazın ait olduğu bulut platformu kapsamı. TargetDvcScope, Azure'teki bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| TargetDvcIdType | Koşullu | Numaralandırılmış |
TargetDvcId türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiDvcIdType'a bakın. TargetDeviceId kullanılıyorsa gereklidir. |
| TargetDeviceType | İsteğe bağlı | Numaralandırılmış | Hedef cihazın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiDeviceType'a bakın. |
| TargetIpAddr | Önerilen | IP Adresi | Hedef cihazın IP adresi. Örnek: 2.2.2.2 |
| TargetDvcOs | İsteğe bağlı | Dize | Hedef cihazın işletim sistemi. Örnek: Windows 10 |
| TargetPortNumber | İsteğe bağlı | Tamsayı | Hedef cihazın bağlantı noktası. |
| TargetGeoCountry | İsteğe bağlı | Ülke | Hedef IP adresiyle ilişkili ülke/bölge. Örnek: USA |
| TargetGeoRegion | İsteğe bağlı | Bölge | Hedef IP adresiyle ilişkilendirilmiş bir ülke/bölge içindeki bölge. Örnek: Vermont |
| TargetGeoCity | İsteğe bağlı | Şehir | Hedef IP adresiyle ilişkilendirilmiş şehir. Örnek: Burlington |
| TargetGeoLatitude | İsteğe bağlı | Enlem | Hedef IP adresiyle ilişkili coğrafi koordinatın enlemi. Örnek: 44.475833 |
| TargetGeoLongitude | İsteğe bağlı | Boylam | Hedef IP adresiyle ilişkili coğrafi koordinatın boylamı. Örnek: 73.211944 |
| TargetRiskLevel | İsteğe bağlı | Tamsayı | Hedefle ilişkili risk düzeyi. Değer, iyi huylu ve 100 yüksek risk için ile bir 0 aralığına 0100ayarlanmalıdır.Örnek: 90 |
| TargetOriginalRiskLevel | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen hedefle ilişkili risk düzeyi. Örnek: Suspicious |
Eylem Uygulama alanları
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| ActingAppId | İsteğe bağlı | Dize | İşlem, tarayıcı veya hizmet de dahil olmak üzere bildirilen etkinliği başlatan uygulamanın kimliği. Örneğin: 0x12ae8 |
| ActingAppName | İsteğe bağlı | Dize | Hizmet, URL veya SaaS uygulaması dahil olmak üzere bildirilen etkinliği başlatan uygulamanın adı. Örneğin: C:\Windows\System32\svchost.exe |
| ActingAppType | İsteğe bağlı | AppType | Oyunculuk uygulamasının türü. Daha fazla bilgi ve izin verilen değer listesi için Şemaya Genel Bakış makalesindekiAppType bölümüne bakın. |
| ActingOriginalAppType | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen etkinliği başlatan uygulamanın türü. |
| HttpUserAgent | İsteğe bağlı | Dize | Kimlik doğrulaması HTTP veya HTTPS üzerinden gerçekleştirildiğinde, bu alanın değeri, kimlik doğrulamasını gerçekleştirirken eylem yapan uygulama tarafından sağlanan user_agent HTTP üst bilgisidir. Örneğin: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Kaynak sistem alanları
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| Src | Diğer ad | Dize | Kaynak cihazın benzersiz tanımlayıcısı. Bu alan SrcDvcId, SrcHostname veya SrcIpAddr alanlarını diğer adla adlandırabilir. Örnek: 192.168.12.1 |
| SrcIpAddr | Önerilen | IP adresi | Bağlantının veya oturumun kaynaklandığı IP adresi. Örnek: 77.138.103.108 |
| IpAddr | Diğer ad | SrcIpAddr veya SrcIpAddr sağlanmadıysa TargetIpAddr için diğer ad. | |
| SrcPortNumber | İsteğe bağlı | Tamsayı | Bağlantının kaynaklandığı IP bağlantı noktası. Birden çok bağlantıdan oluşan bir oturum için uygun olmayabilir. Örnek: 2335 |
| SrcHostname | İsteğe bağlı | Ana bilgisayar adı | Etki alanı bilgileri hariç, kaynak cihaz ana bilgisayar adı. Kullanılabilir cihaz adı yoksa, ilgili IP adresini bu alanda depolayın. Örnek: DESKTOP-1282V4D |
| SrcDomain | İsteğe bağlı | Etki Alanı (Dize) | Kaynak cihazın etki alanı. Örnek: Contoso |
| SrcDomainType | Koşullu | Domaintype |
SrcDomain türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiDomainType'a bakın. SrcDomain kullanılıyorsa gereklidir. |
| SrcFQDN | İsteğe bağlı | FQDN (Dize) | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak cihaz ana bilgisayar adı. Not: Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. SrcDomainType alanı kullanılan biçimi yansıtır. Örnek: Contoso\DESKTOP-1282V4D |
| SrcDescription | İsteğe bağlı | Dize | Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Primary Domain Controller. |
| SrcDvcId | İsteğe bağlı | Dize | Kaynak cihazın kimliği. Birden çok kimlik varsa, en önemli kimlikleri kullanın ve diğerlerini alanlarında depolayın SrcDvc<DvcIdType>.Örnek: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | İsteğe bağlı | Dize | Cihazın ait olduğu bulut platformu kapsam kimliği. SrcDvcScopeId, Azure'teki bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| SrcDvcScope | İsteğe bağlı | Dize | Cihazın ait olduğu bulut platformu kapsamı. SrcDvcScope, Azure'teki bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| SrcDvcIdType | Koşullu | DvcIdType |
SrcDvcId türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiDvcIdType'a bakın. Not: SrcDvcId kullanılıyorsa bu alan gereklidir. |
| SrcDeviceType | İsteğe bağlı | Devicetype | Kaynak cihazın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiDeviceType'a bakın. |
| SrcGeoCountry | İsteğe bağlı | Ülke | Kaynak IP adresiyle ilişkili ülke/bölge. Örnek: USA |
| SrcGeoRegion | İsteğe bağlı | Bölge | Kaynak IP adresiyle ilişkilendirilmiş bir ülke/bölge içindeki bölge. Örnek: Vermont |
| SrcGeoCity | İsteğe bağlı | Şehir | Kaynak IP adresiyle ilişkilendirilmiş şehir. Örnek: Burlington |
| SrcGeoLatitude | İsteğe bağlı | Enlem | Kaynak IP adresiyle ilişkili coğrafi koordinatın enlemi. Örnek: 44.475833 |
| SrcGeoLongitude | İsteğe bağlı | Boylam | Kaynak IP adresiyle ilişkili coğrafi koordinatın boylamı. Örnek: 73.211944 |
| SrcRiskLevel | İsteğe bağlı | Tamsayı | Kaynakla ilişkili risk düzeyi. Değer, iyi huylu ve 100 yüksek risk için ile bir 0 aralığına 0100ayarlanmalıdır.Örnek: 90 |
| SrcOriginalRiskLevel | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen kaynakla ilişkili risk düzeyi. Örnek: Suspicious |
İnceleme alanları
Aşağıdaki alanlar, bir güvenlik sistemi tarafından gerçekleştirilen incelemeyi temsil etmek için kullanılır.
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| Rulename | İsteğe bağlı | Dize | Denetim sonuçlarıyla ilişkili kuralın adı veya kimliği. |
| RuleNumber | İsteğe bağlı | Tamsayı | İnceleme sonuçlarıyla ilişkili kuralın sayısı. |
| Kural | Diğer ad | Dize | RuleName değeri veya RuleNumber değeri. RuleNumber değeri kullanılırsa, tür dizeye dönüştürülmelidir. |
| ThreatId | İsteğe bağlı | Dize | Denetim etkinliğinde tanımlanan tehdidin veya kötü amaçlı yazılımın kimliği. |
| ThreatName | İsteğe bağlı | Dize | Denetim etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılımın adı. |
| ThreatCategory | İsteğe bağlı | Dize | Denetim dosyası etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılım kategorisi. |
| ThreatRiskLevel | İsteğe bağlı | RiskLevel (Tamsayı) | Tanımlanan tehditle ilişkili risk düzeyi. Düzey 0 ile 100 arasında bir sayı olmalıdır. Not: Değer kaynak kayıtta farklı bir ölçek kullanılarak sağlanabilir ve bu ölçek normalleştirilmelidir. Özgün değer ThreatRiskLevelOriginal içinde depolanmalıdır. |
| ThreatOriginalRiskLevel | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen risk düzeyi. |
| ThreatConfidence | İsteğe bağlı | ConfidenceLevel (Tamsayı) | Tanımlanan tehdidin güvenilirlik düzeyi, 0 ile 100 arasında bir değere normalleştirilmiştir. |
| ThreatOriginalConfidence | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen, tanımlanan tehdidin özgün güvenilirlik düzeyi. |
| ThreatIsActive | İsteğe bağlı | Boole | Tanımlanan tehdit etkin bir tehdit olarak kabul edilirse true. |
| ThreatFirstReportedTime | İsteğe bağlı | Datetime | IP adresi veya etki alanı ilk kez bir tehdit olarak tanımlandı. |
| ThreatLastReportedTime | İsteğe bağlı | Datetime | IP adresinin veya etki alanının en son tehdit olarak tanımlandığı zaman. |
| ThreatIpAddr | İsteğe bağlı | IP Adresi | Bir tehdidin tanımlandığı bir IP adresi. ThreatField alanı ThreatIpAddr tarafından temsil edilen alanın adını içerir. |
| ThreatField | Koşullu | Numaralandırılmış | Bir tehdidin tanımlandığı alan. Değer veya SrcIpAddrTargetIpAddrşeklindedir. |
Şema güncelleştirmeleri
Şemanın 0.1.1 sürümündeki değişiklikler şunlardır:
- ve
OriginalObjectTypealanıObjectIdeklendi.
Şemanın 0.1.2 sürümündeki değişiklikler şunlardır:
- , , ,
OriginalObjectType,SrcOriginalRiskLevelSrcRiskLevel,,TargetGeoCountryTargetGeoCity,TargetGeoLongitudeTargetGeoLatitude,TargetOriginalRiskLevelTargetOriginalAppTypeTargetGeoRegion, ve alanı eklendiActingOriginalAppTypeTargetRiskLevel
Sonraki adımlar
Daha fazla bilgi için bkz.: