Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Microsoft Sentinel Kimlik Doğrulaması şeması, kullanıcı kimlik doğrulaması, oturum açma ve oturum kapatma ile ilgili olayları açıklamak için kullanılır. Kimlik doğrulama olayları, genellikle diğer olaylarla birlikte olay akışının bir parçası olarak birçok raporlama cihazı tarafından gönderilir. Örneğin, Windows diğer işletim sistemi etkinlik olaylarının yanı sıra birkaç kimlik doğrulama olayı gönderir.
Kimlik doğrulama olayları, VPN ağ geçitleri veya etki alanı denetleyicileri gibi kimlik doğrulamasına odaklanan sistemlerden gelen olayları ve bilgisayar veya güvenlik duvarı gibi bir son sisteme doğrudan kimlik doğrulamasını içerir.
Microsoft Sentinel'de normalleştirme hakkında daha fazla bilgi için bkz . Normalleştirme ve Gelişmiş Güvenlik Bilgileri Modeli (ASIM).
Çözümleyicileri
Microsoft Sentinel GitHub deposundan ASIM kimlik doğrulama ayrıştırıcıları dağıtın. ASIM ayrıştırıcıları hakkında daha fazla bilgi için ASIM ayrıştırıcılarının genel bakışı makalelerine bakınız.
Ayrıştırıcıları birleştirme
Tüm ASIM kullanıma alınmış ayrıştırıcıları birleştiren ayrıştırıcıları kullanmak ve çözümlemenizin yapılandırılan tüm kaynaklarda çalıştığından emin olmak için filtreleme ayrıştırıcısını imAuthentication veya parametresiz ayrıştırıcıyı ASimAuthentication kullanın.
Kaynağa özgü ayrıştırıcılar
Microsoft Sentinel tarafından sunulan kimlik doğrulama ayrıştırıcıları listesi için ASIM ayrıştırıcıları listesine bakın:
Kendi normalleştirilmiş ayrıştırıcılarınızı ekleme
Kimlik doğrulama bilgileri modeli için özel ayrıştırıcılar uygularken aşağıdaki söz dizimini kullanarak KQL işlevlerinizi adlandırın:
-
vimAuthentication<vendor><Product>ayrıştırıcıları filtrelemek için -
ASimAuthentication<vendor><Product>parametresiz ayrıştırıcılar için
Birleştirici ayrıştırıcıya özel ayrıştırıcılarınızı ekleme hakkında bilgi için ASIM ayrıştırıcılarını yönetme bölümüne bakın.
Ayrıştırıcı parametrelerini filtreleme
im ve ayrıştırıcıları filtreleme parametrelerini desteklervim*. Bu ayrıştırıcılar isteğe bağlı olsa da sorgu performansınızı artırabilir.
Aşağıdaki filtreleme parametreleri kullanılabilir:
| Adı | Tür | Açıklama |
|---|---|---|
| starttime | datetime | Yalnızca bu sürenin sonunda veya sonrasında çalıştırılan kimlik doğrulama olaylarını filtreleyin. Bu parametre, EventStartTime ve EventEndTime alanlarının TimeGenerated ayrıştırıcıya özgü eşlemesine bakılmaksızın olay zamanı için standart belirleyici olan alanı filtreler. |
| bitiş saati | datetime | Yalnızca şu anda veya öncesinde çalışması tamamlanan kimlik doğrulama olaylarını filtreleyin. Bu parametre, EventStartTime ve EventEndTime alanlarının TimeGenerated ayrıştırıcıya özgü eşlemesine bakılmaksızın olay zamanı için standart belirleyici olan alanı filtreler. |
| targetusername_has | Dize | Yalnızca listelenen kullanıcı adlarından herhangi birine sahip kimlik doğrulama olaylarını filtreleyin. |
Örneğin, yalnızca son güne ait kimlik doğrulama olaylarını belirli bir kullanıcıya filtrelemek için şunu kullanın:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
İpucu
Sabit bir listeyi dinamik değer bekleyen parametrelere geçirmek için, dinamik değişmez değeri açıkça kullanın. Örneğin: dynamic(['192.168.','10.']).
Normalleştirilmiş içerik
Normalleştirilmiş kimlik doğrulama analizi kuralları, kaynaklar arasında saldırıları algıladıkça benzersizdir. Örneğin, bir kullanıcı farklı ülkelerden/bölgelerden farklı, ilişkisiz sistemlerde oturum açtıysa Microsoft Sentinel artık bu tehdidi algılar.
Normalleştirilmiş Kimlik Doğrulaması olaylarını kullanan analiz kurallarının tam listesi için bkz . Kimlik doğrulaması şeması güvenlik içeriği.
Şemaya genel bakış
Kimlik doğrulama bilgileri modeli, OSSEM oturum açma varlık şemasıyla hizalanır.
Aşağıdaki tabloda listelenen alanlar Kimlik doğrulama olaylarına özeldir, ancak diğer şemalardaki alanlara benzer ve benzer adlandırma kurallarına uyar.
Kimlik doğrulama olayları aşağıdaki varlıklara başvurur:
- TargetUser - Sistemde kimlik doğrulaması yapmak için kullanılan kullanıcı bilgileri. TargetSystem, kimlik doğrulama olayının birincil konusudur ve Kullanıcı diğer adı bir TargetUser'ın tanımlamış olduğu diğer addır.
- TargetApp - Kimliği doğrulanan uygulama.
- Target - TargetApp* uygulamasının çalıştığı sistem.
- Actor - TargetUser'dan farklıysa kimlik doğrulamasını başlatan kullanıcı.
- ActingApp - Aktör tarafından kimlik doğrulamasını gerçekleştirmek için kullanılan uygulama.
- Src - Aktör tarafından kimlik doğrulamasını başlatmak için kullanılan sistem.
Bu varlıklar arasındaki ilişki en iyi şekilde aşağıdaki gibi gösterilir:
Src adlı bir kaynak sistemde eyleme geçen Bir Uygulama olan ActingApp'i çalıştıran aktör, hedef bir uygulama olan TargetApp'te TargetDvc adlı hedef sistemde TargetUser olarak kimlik doğrulaması yapmaya çalışır.
Şema ayrıntıları
Aşağıdaki tablolarda, Tür bir mantıksal türe başvurur. Daha fazla bilgi için bkz . Mantıksal türler.
Ortak ASIM alanları
Önemli
Tüm şemalarda ortak olan alanlar ASIM Ortak Alanları makalesinde ayrıntılı olarak açıklanmıştır.
Belirli yönergelere sahip ortak alanlar
Aşağıdaki listede, kimlik doğrulama olayları için belirli yönergelere sahip alanlardan bahsediliyor:
| Alan | Sınıf | Tür | Açıklama |
|---|---|---|---|
| EventType | Zorunlu | Enumerated | Kayıt tarafından bildirilen işlemi açıklar. Kimlik doğrulama kayıtları için desteklenen değerler şunlardır: - Logon - Logoff- Elevate |
| OlaySonuçDetaylar | Önerilir | Enumerated | Olay sonucuyla ilişkili ayrıntılar. Bu alan genellikle sonuç bir hata olduğunda doldurulur. İzin verilen değerler şunlardır: - No such user or password. Bu değer, özgün olay parola başvurusu olmadan böyle bir kullanıcı olmadığını bildirdiğinde de kullanılmalıdır.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. Bu değer, örneğin orijinal olay raporlarında kullanılmalıdır; örneğin: MFA gerekli, çalışma saatleri dışında giriş yapma, koşullu erişim kısıtlamaları veya çok sık yapılan denemeler.- Session expired- OtherDeğer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değerlerle normalleştirilmelidir. Özgün değer EventOriginalResultDetails alanında depolanmalıdır |
| EventSubType | İsteğe bağlı | Enumerated | Oturum açma türü. İzin verilen değerler şunlardır: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote - Uzaktan oturum açma türü bilinmediğinde kullanın.- AssumeRole - Genellikle olay türü olduğunda Elevatekullanılır. Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değerlerle normalleştirilmelidir. Özgün değer EventOriginalSubType alanında depolanmalıdır. |
| EventSchemaVersion | Zorunlu | SchemaVersion (Dizeli) | Şema sürümü. Şemanın burada belgelenen sürümü 0.1.4 |
| EventSchema | Zorunlu | Enumerated | Burada belgelenen şemanın adı Kimlik Doğrulaması'dır. |
| Dvc alanları | - | - | Kimlik doğrulama olayları için cihaz alanları olayı bildiren sisteme bakın. |
Tüm ortak alanlar
Aşağıdaki tabloda görünen alanlar tüm ASIM şemalarında ortaktır. Yukarıda belirtilen tüm yönergeler, alanın genel yönergelerini geçersiz kılar. Örneğin, bir alan genel olarak isteğe bağlı olabilir, ancak belirli bir şema için zorunlu olabilir. Her alan hakkında daha fazla ayrıntı için ASIM Ortak Alanları makalesine bakın.
| Sınıf | Alanlar |
|---|---|
| Zorunlu |
-
Olay Sayısı - Olay Başlangıç Zamanı - EventEndTime (Olay Bitiş Zamanı) - Olay Türü - Olay Sonucu - EventProduct (Etkinlik Ürünü) - Etkinlik Satıcısı - Olay Şeması - EventSchemaVersion - Dvc |
| Önerilir |
-
OlaySonuçDetaylar - Olay Şiddeti - EventUid - DvcIpAddr - DvcAna Bilgisayar Adı - DvcEtki Alanı - DvcEtki Alanı Türü - DvcFQDN - DvcId - DvcIdType - DvcAction |
| İsteğe bağlı |
-
Etkinlik Mesajı - EventSubType (Olay Alt Türü) - EventOriginalUid - EventOriginalType - EventOriginalSubType - OlayOrijinalSonuçDetaylar - OlayOrijinalŞiddet - EventProductVersion (EtkinlikÜrün Sürümü) - EventReportUrl - Etkinlik Sahibi - DvcZone (DvcBölgesi) - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - Dvc Arayüzü - EkAlanlar - DvcDescription - DvcScopeId - DvcScope |
Kimlik doğrulamasına özgü alanlar
| Alan | Sınıf | Tür | Açıklama |
|---|---|---|---|
| LogonMethod | İsteğe bağlı | String | Kimlik doğrulaması gerçekleştirmek için kullanılan yöntem. İzin verilen değerler şunlardır: Managed Identity, Service Principal, Username & Password, Multi factor authentication, Passwordless, , PKI, PAMve Other. Örnekler: Managed Identity |
| LogonProtocol | İsteğe bağlı | String | Kimlik doğrulaması gerçekleştirmek için kullanılan protokol. Örnek: NTLM |
Aktör alanları
| Alan | Sınıf | Tür | Açıklama |
|---|---|---|---|
| ActorUserId | İsteğe bağlı | String | Aktör'ün makine tarafından okunabilir, alfasayısal, benzersiz bir gösterimi. Daha fazla bilgi ve ek kimlikler için alternatif alanlar için bkz . Kullanıcı varlığı. Örnek: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | İsteğe bağlı | String | ActorUserId ve ActorUsername'in tanımlandığı Microsoft Entra kiracısı gibi kapsam. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScope bölümüne bakın. |
| ActorScopeId | İsteğe bağlı | String | ActorUserId ve ActorUsername'in tanımlandığı Microsoft Entra Dizin Kimliği gibi kapsam kimliği. daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScopeId bölümüne bakın. |
| ActorUserIdType | Koşullu | UserIdType | ActorUserId alanında depolanan kimliğin türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UserIdType bölümüne bakın. |
| ActorUsername | İsteğe bağlı | Kullanıcı adı (Dizgi) | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere Aktörün kullanıcı adı. Daha fazla bilgi için bkz . Kullanıcı varlığı. Örnek: AlbertE |
| ActorUsernameType | Koşullu | UsernameType | ActorUsername alanında depolanan kullanıcı adının türünü belirtir. Daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UsernameType bölümüne bakın. Örnek: Windows |
| ActorUserType | İsteğe bağlı | UserType | Aktör türü. Daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserType bölümüne bakın. Örneğin: Guest |
| ActorOriginalUserType | İsteğe bağlı | String | Raporlama cihazı tarafından bildirilen kullanıcı türü. |
| ActorSessionId | İsteğe bağlı | String | Aktör'ün oturum açma oturumunun benzersiz kimliği. Örnek: 102pTUgC3p8RIqHvzxLCHnFlg |
Uygulama Alanlarını Harekete Geçirme
| Alan | Sınıf | Tür | Açıklama |
|---|---|---|---|
| ActingAppId | İsteğe bağlı | String | İşlem, tarayıcı veya hizmet dahil olmak üzere aktör adına yetkilendirilen uygulamanın kimliği. Örneğin: 0x12ae8 |
| ActingAppName | İsteğe bağlı | String | İşlem, tarayıcı veya hizmet dahil olmak üzere aktör adına yetkilendirilen uygulamanın adı. Örneğin: C:\Windows\System32\svchost.exe |
| ActingAppType | İsteğe bağlı | AppType | Eylem uygulama türü. Daha fazla bilgi ve izin verilen değer listesi için Şemaya Genel Bakış makalesindeki AppType'a bakın. |
| ActingOriginalAppType | İsteğe bağlı | String | Raporlama cihazı tarafından bildirilen uygulamanın türü. |
| HttpUserAgent | İsteğe bağlı | String | Kimlik doğrulaması HTTP veya HTTPS üzerinden gerçekleştirildiğinde, bu alanın değeri, kimlik doğrulamasını gerçekleştirirken eylem yapan uygulama tarafından sağlanan user_agent HTTP üst bilgisidir. Örneğin: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Hedef kullanıcı alanları
| Alan | Sınıf | Tür | Açıklama |
|---|---|---|---|
| TargetUserId | İsteğe bağlı | String | Makine tarafından okunabilir, alfasayısal, hedef kullanıcının benzersiz gösterimi. Daha fazla bilgi ve ek kimlikler için alternatif alanlar için bkz . Kullanıcı varlığı. Örnek: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | İsteğe bağlı | String | TargetUserId ve TargetUsername'in tanımlandığı Microsoft Entra kiracısı gibi kapsam. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScope bölümüne bakın. |
| TargetUserScopeId | İsteğe bağlı | String | TargetUserId ve TargetUsername'in tanımlandığı Microsoft Entra Dizin Kimliği gibi kapsam kimliği. daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScopeId bölümüne bakın. |
| TargetUserIdType | Koşullu | UserIdType | TargetUserId alanında depolanan kullanıcı kimliğinin türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UserIdType bölümüne bakın. Örnek: SID |
| HedefKullanıcı Adı | İsteğe bağlı | Kullanıcı adı (Dizgi) | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef kullanıcı kullanıcı adı. Daha fazla bilgi için bkz . Kullanıcı varlığı. Örnek: MarieC |
| TargetUsernameType | Koşullu | UsernameType | TargetUsername alanında depolanan kullanıcı adının türünü belirtir. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UsernameType bölümüne bakın. |
| TargetUserType | İsteğe bağlı | UserType | Hedef kullanıcının türü. Daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserType bölümüne bakın. Örneğin: Member |
| TargetSessionId | İsteğe bağlı | String | Kaynak cihazdaki TargetUser oturum açma oturum tanımlayıcısı. |
| TargetOriginalUserType | İsteğe bağlı | String | Raporlama cihazı tarafından bildirilen kullanıcı türü. |
| Kullanıcı | Diğer ad | Kullanıcı adı (Dizgi) | TargetUsername tanımlanmamışsa TargetUsername veya TargetUserId için diğer ad. Örnek: CONTOSO\dadmin |
Kaynak sistem alanları
| Alan | Sınıf | Tür | Açıklama |
|---|---|---|---|
| Src | Önerilir | String | Kaynak cihazın benzersiz tanımlayıcısı. Bu alan SrcDvcId, SrcHostname veya SrcIpAddr alanlarına diğer ad verebilir. Örnek: 192.168.12.1 |
| SrcDvcId | İsteğe bağlı | String | Kaynak cihazın kimliği. Birden çok kimlik varsa, en önemli kimlikleri kullanın ve diğerlerini alanlarında depolayın SrcDvc<DvcIdType>.Örnek: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | İsteğe bağlı | String | Cihazın ait olduğu bulut platformu kapsam kimliği. SrcDvcScopeId , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| SrcDvcScope | İsteğe bağlı | String | Cihazın ait olduğu bulut platformu kapsamı. SrcDvcScope , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| SrcDvcIdType | Koşullu | DvcIdType | SrcDvcId türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DvcIdType'a bakın. Not: SrcDvcId kullanılıyorsa bu alan gereklidir. |
| SrcDeviceType | İsteğe bağlı | DeviceType | Kaynak cihazın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DeviceType'a bakın. |
| SrcAna Bilgisayar Adı | İsteğe bağlı | Konak adı | Etki alanı bilgileri hariç kaynak cihaz ana bilgisayar adı. Kullanılabilir cihaz adı yoksa ilgili IP adresini bu alanda depolayın. Örnek: DESKTOP-1282V4D |
| SrcEtki Alanı | İsteğe bağlı | Alan (Dizili) | Kaynak cihazın etki alanı. Örnek: Contoso |
| SrcEtki Alanı Türü | Koşullu | DomainType | SrcDomain türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DomainType'a bakın. SrcDomain kullanılıyorsa gereklidir. |
| SrcFQDN | İsteğe bağlı | FQDN (Dizeli) | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak cihaz ana bilgisayar adı. Not: Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. SrcDomainType alanı kullanılan biçimi yansıtır. Örnek: Contoso\DESKTOP-1282V4D |
| SrcDescription | İsteğe bağlı | String | Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Primary Domain Controller. |
| SrcIpAddr | Önerilir | IP Adresi | Kaynak cihazın IP adresi. Örnek: 2.2.2.2 |
| SrcPortNumber | İsteğe bağlı | Tamsayı | Bağlantının kaynaklandığı IP bağlantı noktası. Örnek: 2335 |
| SrcDvcOs | İsteğe bağlı | String | Kaynak cihazın işletim sistemi. Örnek: Windows 10 |
| IpAddr | Diğer ad | SrcIpAddr diğer adı | |
| SrcIsp | İsteğe bağlı | String | Kaynak cihaz tarafından İnternet'e bağlanmak için kullanılan İnternet Hizmet Sağlayıcısı (ISS). Örnek: corpconnect |
| SrcGeoCountry | İsteğe bağlı | Ülke | Örnek: Canada Daha fazla bilgi için bkz . Mantıksal türler. |
| SrcGeoCity | İsteğe bağlı | City | Örnek: Montreal Daha fazla bilgi için bkz . Mantıksal türler. |
| SrcGeoRegion | İsteğe bağlı | Bölge | Örnek: Quebec Daha fazla bilgi için bkz . Mantıksal türler. |
| SrcGeoLongitude | İsteğe bağlı | Boylam | Örnek: -73.614830 Daha fazla bilgi için bkz . Mantıksal türler. |
| SrcGeoLatitude | İsteğe bağlı | Enlem | Örnek: 45.505918 Daha fazla bilgi için bkz . Mantıksal türler. |
| SrcRiskLevel | İsteğe bağlı | Tamsayı | Kaynakla ilişkili risk düzeyi. Değeri, iyi huylu ve 0 yüksek risk içeren 100 bir aralığına 0100ayarlanmalıdır.Örnek: 90 |
| SrcOriginalRiskLevel | İsteğe bağlı | String | Raporlama cihazı tarafından bildirilen kaynakla ilişkili risk düzeyi. Örnek: Suspicious |
Hedef uygulama alanları
| Alan | Sınıf | Tür | Açıklama |
|---|---|---|---|
| TargetAppId | İsteğe bağlı | String | Yetkilendirmenin gerekli olduğu uygulamanın kimliği, genellikle raporlama cihazı tarafından atanır. Örnek: 89162 |
| TargetAppName | İsteğe bağlı | String | Hizmet, URL veya SaaS uygulaması dahil olmak üzere yetkilendirmenin gerekli olduğu uygulamanın adı. Örnek: Saleforce |
| Uygulama | Diğer ad | TargetAppName için diğer ad. | |
| TargetAppType | Koşullu | AppType | Aktör adına yetkilendirilen uygulamanın türü. Daha fazla bilgi ve izin verilen değer listesi için Şemaya Genel Bakış makalesindeki AppType'a bakın. |
| TargetOriginalAppType | İsteğe bağlı | String | Aktör adına raporlama cihazı tarafından bildirilen yetkilendirilen uygulama türü. |
| TargetUrl | İsteğe bağlı | URL | Hedef uygulamayla ilişkili URL. Örnek: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Diğer ad | Kimlik doğrulama hedefini en iyi açıklayan alan olan TargetAppName, TargetUrl veya TargetHostname için diğer ad. |
Hedef sistem alanları
| Alan | Sınıf | Tür | Açıklama |
|---|---|---|---|
| Dst | Diğer ad | String | Kimlik doğrulama hedefinin benzersiz tanımlayıcısı. Bu alan TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId veya TargetAppName alanlarına diğer ad verebilir. Örnek: 192.168.12.1 |
| TargetHostname | Önerilir | Konak adı | Etki alanı bilgileri hariç hedef cihaz ana bilgisayar adı. Örnek: DESKTOP-1282V4D |
| TargetDomain | Önerilir | Alan (Dizili) | Hedef cihazın etki alanı. Örnek: Contoso |
| TargetDomainType | Koşullu | Enumerated | TargetDomain türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DomainType'a bakın. TargetDomain kullanılıyorsa gereklidir. |
| TargetFQDN | İsteğe bağlı | FQDN (Dizeli) | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef cihaz ana bilgisayar adı. Örnek: Contoso\DESKTOP-1282V4D Not: Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. TargetDomainType, kullanılan biçimi yansıtır. |
| HedefTanım | İsteğe bağlı | String | Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Primary Domain Controller. |
| TargetDvcId | İsteğe bağlı | String | Hedef cihazın kimliği. Birden çok kimlik varsa, en önemli kimlikleri kullanın ve diğerlerini alanlarında depolayın TargetDvc<DvcIdType>. Örnek: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | İsteğe bağlı | String | Cihazın ait olduğu bulut platformu kapsam kimliği. TargetDvcScopeId , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| TargetDvcScope | İsteğe bağlı | String | Cihazın ait olduğu bulut platformu kapsamı. TargetDvcScope , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| TargetDvcIdType | Koşullu | Enumerated | TargetDvcId türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DvcIdType'a bakın. TargetDeviceId kullanılıyorsa gereklidir. |
| TargetDeviceType | İsteğe bağlı | Enumerated | Hedef cihazın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DeviceType'a bakın. |
| TargetIpAddr | İsteğe bağlı | IP Adresi | Hedef cihazın IP adresi. Örnek: 2.2.2.2 |
| TargetDvcOs | İsteğe bağlı | String | Hedef cihazın işletim sistemi. Örnek: Windows 10 |
| TargetPortNumber | İsteğe bağlı | Tamsayı | Hedef cihazın bağlantı noktası. |
| TargetGeoCountry | İsteğe bağlı | Ülke | Hedef IP adresiyle ilişkili ülke/bölge. Örnek: USA |
| TargetGeoRegion | İsteğe bağlı | Bölge | Hedef IP adresiyle ilişkilendirilmiş bölge. Örnek: Vermont |
| TargetGeoCity | İsteğe bağlı | City | Hedef IP adresiyle ilişkili şehir. Örnek: Burlington |
| TargetGeoLatitude | İsteğe bağlı | Enlem | Hedef IP adresiyle ilişkili coğrafi koordinatın enlemi. Örnek: 44.475833 |
| TargetGeoLongitude | İsteğe bağlı | Boylam | Hedef IP adresiyle ilişkili coğrafi koordinatın boylamı. Örnek: 73.211944 |
| TargetRiskLevel | İsteğe bağlı | Tamsayı | Hedefle ilişkili risk düzeyi. Değeri, iyi huylu ve 0 yüksek risk içeren 100 bir aralığına 0100ayarlanmalıdır.Örnek: 90 |
| TargetOriginalRiskLevel | İsteğe bağlı | String | Raporlama cihazı tarafından bildirilen hedefle ilişkili risk düzeyi. Örnek: Suspicious |
Denetim alanları
Aşağıdaki alanlar, bir güvenlik sistemi tarafından gerçekleştirilen incelemeyi temsil etmek için kullanılır.
| Alan | Sınıf | Tür | Açıklama |
|---|---|---|---|
| Rulename | İsteğe bağlı | String | Denetim sonuçlarıyla ilişkili kuralın adı veya kimliği. |
| KuralSayısı | İsteğe bağlı | Tamsayı | denetim sonuçlarıyla ilişkili kuralın sayısı. |
| Kural | Diğer ad | String | RuleName değeri veya RuleNumber değeri. RuleNumber değeri kullanılırsa, türü dizeye dönüştürülmelidir. |
| ThreatId | İsteğe bağlı | String | Denetim etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılımın kimliği. |
| ThreatName | İsteğe bağlı | String | Denetim etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılımın adı. |
| ThreatCategory | İsteğe bağlı | String | Denetim dosyası etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılım kategorisi. |
| ThreatRiskLevel | İsteğe bağlı | RiskLevel (Tam Sayı) | Tanımlanan tehditle ilişkili risk düzeyi. Düzey 0 ile 100 arasında bir sayı olmalıdır. Not: Bu değer kaynak kayıtta farklı bir ölçek kullanılarak sağlanabilir ve bu ölçek normalleştirilmelidir. Özgün değer ThreatRiskLevelOriginal içinde depolanmalıdır. |
| TehditOrijinalRiskSeviye | İsteğe bağlı | String | Raporlama cihazı tarafından bildirilen risk düzeyi. |
| ThreatConfidence | İsteğe bağlı | Güven Seviyesi (Tam Sayı) | Tanımlanan tehdidin güvenilirlik düzeyi, 0 ile 100 arasında bir değere normalleştirilir. |
| ThreatOriginalConfidence | İsteğe bağlı | String | Raporlama cihazı tarafından bildirilen, tanımlanan tehdidin özgün güvenilirlik düzeyi. |
| ThreatIsActive | İsteğe bağlı | Boolean | Tanımlanan tehdit etkin bir tehdit olarak kabul edilirse true. |
| ThreatFirstReportedTime | İsteğe bağlı | datetime | IP adresi veya etki alanı ilk kez bir tehdit olarak tanımlandı. |
| ThreatLastReportedTime | İsteğe bağlı | datetime | IP adresinin veya etki alanının en son tehdit olarak tanımlandığı zaman. |
| ThreatIpAddr | İsteğe bağlı | IP Adresi | Bir tehdidin tanımlandığı IP adresi. ThreatField alanı ThreatIpAddr'ın temsil ettiği alanın adını içerir. |
| Tehdit Alanı | Koşullu | Enumerated | Bir tehdidin tanımlandığı alan. Değer veya SrcIpAddrTargetIpAddrşeklindedir. |
Şema güncelleştirmeleri
Şemanın 0.1.1 sürümündeki değişiklikler şunlardır:
- Kullanıcı ve cihaz varlığı alanları diğer şemalarla uyumlu olacak şekilde güncelleştirildi.
- Geçerli ASIM yönergeleriyle uyumlu hale getirmek için sırasıyla ve olarak yeniden adlandırıldı
TargetDvcSrcDvcTarget.SrcYeniden adlandırılan alanlar 1 Temmuz 2022'ye kadar diğer ad olarak uygulanacaktır. Bu alanlar şunlardır:SrcDvcHostname,SrcDvcHostnameType,SrcDvcType,SrcDvcIpAddr,TargetDvcHostname, ,TargetDvcHostnameType,TargetDvcTypeTargetDvcIpAddrveTargetDvc. - ve
Srcdiğer adlarıDsteklendi. - , ,
SrcDvcIdTypeSrcDeviceTypeveTargetDvcIdTypeTargetDeviceTypeve alanlarınıEventSchemaekledik.
Şemanın 0.1.2 sürümündeki değişiklikler şunlardır:
- , ,
ActorScope, , ,TargetUserScope,SrcDvcScopeId,SrcDvcScopeTargetDvcScopeIdveTargetDvcScopealanlarınıDvcScopeIdekledikDvcScope.
Şemanın 0.1.3 sürümündeki değişiklikler şunlardır:
- , ,
SrcPortNumber, , ,ActorOriginalUserType,ActorScopeId,TargetOriginalUserType,TargetUserScopeIdSrcDescriptionveSrcRiskLevelalanlarınıSrcOriginalRiskLevelekledikTargetDescription. - Denetim alanları eklendi
- Hedef sistem coğrafi konum alanları eklendi.
Şemanın 0.1.4 sürümündeki değişiklikler şunlardır:
- ve
ActingOriginalAppTypealanlarınıTargetOriginalAppTypeekledik. - Takma adın
Applicationeklendiği .
Sonraki adımlar
Daha fazla bilgi için bkz.
- ASIM Web seminerini izleyin veya slaytları gözden geçirin
- Gelişmiş Güvenlik Bilgileri Modeline (ASIM) genel bakış
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) içeriği