Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Microsoft Sentinel Ilmoitusrakenne on suunniteltu normalisoimaan suojaushälytykset eri tuotteista standardoituun muotoon Microsoft Advanced Security Information Modelissa (ASIM). Tämä rakenne keskittyy yksinomaan suojaustapahtumiin ja varmistaa yhdenmukaisen ja tehokkaan analyysin eri tietolähteissä.
Hälytysrakenne edustaa erilaisia suojaushälytyksiä, kuten uhkia, epäilyttäviä toimintoja, käyttäjän toimintapoikkeamia ja yhteensopivuusrikkomuksia. Näitä ilmoituksia raportoivat eri suojaustuotteet ja -järjestelmät, mukaan lukien näihin kuitenkaan rajoittumatta EDR:t, virustentorjuntaohjelmisto, luvattoman käytön tunnistusjärjestelmät, tietojen menetyksen estämistyökalut jne.
Lisätietoja Microsoft Sentinel normalisoinnista on kohdassa Normalisointi ja ASIM (Advanced Security Information Model).
Jäsentimet
Lisätietoja ASIM-jäsennyksistä on ASIM-jäsennysten yleiskatsauksessa.
Jäsennysten yhtenäistäminen
Jos haluat käyttää jäsentimiä, jotka yhdistävät kaikki valmiit ASIM-jäsennykset, ja varmista, että analyysisi suoritetaan kaikissa määritetyissä lähteissä, käytä jäsennintä _Im_AlertEvent .
Valmiita lähdekohtaisia jäsennyksiä
Saat luettelon ilmoitusten jäsennyksistä, Microsoft Sentinel on valmis, ASIM-jäsennysluettelosta.
Omien normalisoitujen jäsennysten lisääminen
Kun kehität mukautettuja jäsennystoimintoja Ilmoitustietomallille, anna KQL-funktioille nimeksi seuraava syntaksi:
-
vimAlertEvent<vendor><Product>parametrisoiduille jäsennyksille -
ASimAlertEvent<vendor><Product>tavallisille jäsennyksille
Katso artikkelista ASIM-jäsennysten hallinta , miten voit lisätä mukautettuja jäsennintäsi ilmoituksen jäsentäjien yhtenäistämiseen.
Jäsennysparametrien suodattaminen
Ilmoitusten jäsennykset tukevat erilaisia suodatusparametreja kyselyn suorituskyvyn parantamiseksi. Nämä parametrit ovat valinnaisia, mutta ne voivat parantaa kyselyn suorituskykyä. Seuraavat suodatusparametrit ovat käytettävissä:
| Nimi | Kirjoita | Kuvaus |
|---|---|---|
| aloitusaika | Datetime | Suodata vain ilmoitukset, jotka alkoivat tällä hetkellä tai sen jälkeen. Tämä parametri suodattaa TimeGenerated kentän, joka on tapahtuman ajan vakiomäärittäjä riippumatta EventStartTime- ja EventEndTime-kenttien jäsennyskohtaisesta yhdistämisestä. |
| päättymisaika | Datetime | Suodata vain ilmoitukset, jotka alkoivat tähän aikaan tai sitä ennen. Tämä parametri suodattaa TimeGenerated kentän, joka on tapahtuman ajan vakiomäärittäjä riippumatta EventStartTime- ja EventEndTime-kenttien jäsennyskohtaisesta yhdistämisestä. |
| ipaddr_has_any_prefix | Dynaaminen | Suodata vain ilmoitukset, joiden DvcIpAddr-kenttä on jossakin luetelluista arvoista. |
| hostname_has_any | Dynaaminen | Suodata vain ilmoitukset, joiden DvcHostname-kenttä on jossakin luetelluista arvoista. |
| username_has_any | Dynaaminen | Suodata vain ilmoitukset, joiden Username-kenttä on jossakin luettelossa olevista arvoista. |
| attacktactics_has_any | Dynaaminen | Suodata vain ilmoitukset, joiden AttackTactics-kenttä on jossakin luetelluista arvoista. |
| attacktechniques_has_any | Dynaaminen | Suodata vain ilmoitukset, joiden AttackParametri-kenttä on jossakin luetelluista arvoista. |
| threatcategory_has_any | Dynaaminen | Suodata vain ilmoitukset, joiden ThreatCategory-kenttä on yhdessä luetelluista arvoista. |
| alertverdict_has_any | Dynaaminen | Suodata vain ilmoitukset, joiden AlertVerdict-kenttä on jossakin luetelluista arvoista. |
| eventseverity_has_any | Dynaaminen | Suodata vain ilmoitukset, joiden EventSeverity-kenttä on jossakin luetelluista arvoista. |
Rakenteen yleiskatsaus
Ilmoitusrakenne tarjoaa useita erilaisia suojaustapahtumia, joilla on samat kentät. EventType-kenttä tunnistaa nämä tapahtumat:
- Uhkatiedot: Hälytyksiä, jotka liittyvät erilaisiin haitallisiin toimiin, kuten haittaohjelmiin, tietojenkalasteluun, kiristyshaittaohjelmiin ja muihin kyberuhkiin.
- Epäilyttävät toimet: Ilmoitukset toiminnoista, jotka eivät välttämättä ole vahvistettuja uhkia, mutta ovat epäilyttäviä ja vaativat lisätutkimuksia, kuten useita epäonnistuneita kirjautumisyrityksiä tai käyttöoikeuksia rajoitettuihin tiedostoihin.
- Käyttäjän toiminnan poikkeavuudet: Ilmoitukset, jotka ilmaisevat epätavallista tai odottamatonta käyttäjän toimintaa, joka saattaa viitata suojausongelmaan, kuten epänormaalit kirjautumisajat tai epätavalliset tietojen käyttötavat.
- Vaatimustenmukaisuusrikkomukset: Hälytykset, jotka liittyvät säännösten tai sisäisten käytäntöjen noudattamatta jättäminen. Esimerkiksi näennäiskone, joka on altistunut avoimien julkisten porttien ollessa alttiina hyökkäyksille (Pilvisuojaushälytys).
Tärkeää
Ilmoitusrakenteen merkityksen ja tehokkuuden säilyttämiseksi vain tietoturvaan liittyvät hälytykset on yhdistettävä.
Ilmoitusrakenne viittaa seuraaviin entiteetteihin ilmoituksen tietojen tallentamiseksi:
-
Dvc-kenttien avulla tallennetaan tietoja hälytykseen liittyvästä isännästä tai Ip-osoitteesta
-
Käyttäjäkenttiä käytetään hälytykseen liittyvän käyttäjän tietojen tallentamiseen.
- Samoin Prosessi-, Tiedosto-, URL-, Rekisteri- ja Sähköposti-kenttiä käytetään sieppaamaan vain tärkeitä tietoja ilmoitukseen liittyvästä prosessista, tiedostosta, URL-osoitteesta, rekisteristä ja sähköpostista.
Tärkeää
- Kun luot tuotekohtaista jäsennintä, käytä ASIM-ilmoitusrakennetta, kun ilmoitus sisältää tietoja suojaustapauksesta tai mahdollisesta uhasta, ja ensisijaiset tiedot voidaan yhdistää suoraan käytettävissä oleviin hälytysrakennekenttiin. Ilmoitusrakenne sopii erinomaisesti yhteenvetotietojen tallentamiseen ilman laajoja entiteettikohtaisia kenttiä.
- Jos kuitenkin huomaat sijoittavasi olennaiset kentät 'AdditionalFields'-kenttään, koska suoria kenttävastaavuuksia ei ole, harkitse erikoisempaa rakennetta. Jos ilmoitus sisältää esimerkiksi verkkoon liittyviä tietoja, kuten useita IP-osoitteita, kuten SrcIpAdr, DstIpAddr tai PortNumber, voit valita NetworkSession-rakenteen ilmoitusrakenteen kautta. Erikoistuneet rakenteet tarjoavat myös erillisiä kenttiä uhkiin liittyvien tietojen keräämiseen, tietojen laadun parantamiseen ja tehokkaan analyysin helpottamiseen.
Rakenteen tiedot
Yleiset ASIM-kentät
Seuraavassa luettelossa mainitaan kentät, joissa on erityiset ohjeet ilmoitustapahtumia varten:
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Tapahtuman tyyppi | Pakollinen | Lueteltu | Tapahtuman tyyppi. Tuetut arvot ovat: - Alert |
| EventSubType | Suositellut | Lueteltu | Määrittää hälytystapahtuman alatyypin tai luokan ja antaa tarkempia tietoja laajemmassa tapahtuman luokituksessa. Tämä kenttä auttaa erottamaan havaitun ongelman luonteen sekä parantamaan tapausten priorisointia ja vastausstrategioita. Tuettuja arvoja ovat seuraavat: - Threat (Edustaa vahvistettua tai erittäin todennäköistä haitallista toimintaa, joka voi vaarantaa järjestelmän tai verkon)- Suspicious Activity (Merkinnät, jotka vaikuttavat epätavallisilta tai epäilyttäviltä, vaikka niitä ei ole vielä vahvistettu haitallisiksi)- Anomaly (Tunnistaa poikkeamat normaaleista malleista, jotka voivat viitata mahdolliseen suojausriskiin tai operatiiviseen ongelmaan)- Compliance Violation (Korostaa toimet, jotka rikkovat sääntely-, käytäntö- tai yhteensopivuusstandardeja) |
| EventUid | Pakollinen | Merkkijono | Koneluettava aakkosnumeerinen merkkijono, joka yksilöi ilmoituksen järjestelmässä. Esim. A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
| Tapahtuman viesti | Valinnainen | Merkkijono | Yksityiskohtaisia tietoja ilmoituksesta, mukaan lukien sen konteksti, syy ja mahdollinen vaikutus. Esim. Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
| IpAddr | Alias | Kentän tunnus tai kutsumanimi DvcIpAddr . |
|
| Hostname (Isäntänimi) | Alias | Kentän tunnus tai kutsumanimi DvcHostname . |
|
| EventSchema | Pakollinen | Lueteltu | Tapahtumassa käytettävä rakenne. Tässä dokumentoitu rakenne on AlertEvent. |
| EventSchemaVersion | Pakollinen | SchemaVersion (merkkijono) | Rakenteen versio. Tässä dokumentoitu rakenteen versio on 0.1. |
Kaikki yleiset kentät
Alla olevassa taulukossa näkyvät kentät ovat yhteisiä kaikille ASIM-rakenteille. Kaikki edellä määritetyt ohjeet ohittavat kentän yleiset ohjeet. Kenttä voi olla esimerkiksi yleisesti valinnainen, mutta tietyn rakenteen pakollinen. Lisätietoja kustakin kentästä on ARTIKKELISSA ASIM:n yleiset kentät .
| Luokan | Kentät |
|---|---|
| Pakollinen |
-
Tapahtumien määrä - Tapahtuman alkamisaika - Tapahtuman aika - Tapahtuman tyyppi - EventUid - Tapahtuman tuote - EventVendor - EventSchema - EventSchemaVersion |
| Suositellut |
-
EventSubType - Tapahtumankaltaisuus - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType |
| Valinnainen |
-
Tapahtuman viesti - EventOriginalType - EventOriginalSubType - EventOriginalSeverity - EventProductVersion - EventOriginalUid - EventReportUrl - Tapahtuman tulos - Tapahtuman omistajan nimi - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcAction - DvcOriginalAction - DvcInterface - Lisäkentät - DvcDescription - DvcScopeId - DvcScope |
Tarkastuskentät
Seuraavassa taulukossa käsitellään kenttiä, jotka tarjoavat tärkeitä merkityksellisiä tietoja hälytyksiin liittyvistä säännöistä ja uhkista. Yhdessä ne auttavat rikastuttamaan hälytyksen kontekstia, jolloin tietoturva-analyytikoiden on helpompi ymmärtää sen alkuperää ja merkitystä.
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| AlertId | Alias | Merkkijono | Kentän tunnus tai kutsumanimi EventUid . |
| Ilmoituksen nimi | Suositellut | Merkkijono | Ilmoituksen otsikko tai nimi. Esim. Possible use of the Rubeus kerberoasting tool |
| Ilmoituksen kuvaus | Alias | Merkkijono | Kentän tunnus tai kutsumanimi EventMessage . |
| Ilmoituksen vakinainen | Valinnainen | Lueteltu | Hälytyksen lopullinen määritys tai tulos, joka ilmaisee, vahvistettiinko hälytys uhkaksi, pidettiinkö sitä epäilyttävänä vai selvitettiinkö se vääränä positiivisena. Tuetut arvot ovat: - True Positive (Vahvistettu lailliseksi uhaksi)- False Positive (Tunnistetaan virheellisesti uhaksi)- Benign Positive (jos tapahtuma on todettu vaarattomaksi)- Unknown (Epävarma tai määrittämätön tila) |
| Ilmoituksen tila | Valinnainen | Lueteltu | Ilmaisee hälytyksen nykyisen tilan tai edistymisen. Tuetut arvot ovat: - Active- Closed |
| AlertOriginalStatus | Valinnainen | Merkkijono | Hälytyksen tila, jonka alkuperäinen järjestelmä on ilmoittanut. |
| DetectionMethod | Valinnainen | Lueteltu | Antaa yksityiskohtaisia tietoja erityisestä tunnistusmenetelmästä, tekniikasta tai tietolähteestä, joka vaikutti hälytyksen luomiseen. Tässä kentässä on enemmän tietoa siitä, miten ilmoitus havaittiin tai käynnistettiin, mikä auttaa ymmärtämään tunnistuskontekstia ja luotettavuutta. Tuettuja arvoja ovat seuraavat: - EDR: Päätepisteiden tunnistus- ja vastausjärjestelmät, jotka valvovat ja analysoivat päätepisteen toimintoja uhkien tunnistamiseksi.- Behavioral Analytics: Tekniikat, jotka havaitsevat epänormaaleja malleja käyttäjän, laitteen tai järjestelmän toiminnassa.- Reputation: Uhkien tunnistaminen IP-osoitteiden, toimialueiden tai tiedostojen maineen perusteella.- Threat Intelligence: Ulkoiset tai sisäiset tiedustelusyötteet, jotka tarjoavat tietoja tunnetuista uhkista tai vastustajien taktiikoista.- Intrusion Detection: Järjestelmät, jotka valvovat verkkoliikennettä tai toimintaa tunkeutumisen tai hyökkäysten merkkien varalta.- Automated Investigation: Automatisoidut järjestelmät, jotka analysoivat ja tutkivat hälytyksiä, mikä vähentää manuaalista kuormitusta.- Antivirus: Perinteiset virustentorjuntaohjelmat, jotka havaitsevat haittaohjelmia allekirjoitusten ja heuristiikan perusteella.- Data Loss Prevention: Ratkaisut keskittyvät luvattoman tiedonsiirron tai vuotojen estämiseen.- User Defined Blocked List: Käyttäjän määrittämät mukautetut luettelot tiettyjen IPS:ien, toimialueiden tai tiedostojen estämiseksi.- Cloud Security Posture Management: Työkalut, jotka arvioivat ja hallitsevat pilviympäristöjen suojausriskejä.- Cloud Application Security: Ratkaisut, jotka suojaavat pilvisovelluksia ja tietoja.- Scheduled Alerts: Ennalta määritettyjen aikataulujen tai raja-arvojen perusteella luodut ilmoitukset.- Other: Mikä tahansa muu havaitsemismenetelmä, jota yllä olevat luokat eivät kata. |
| Sääntö | Alias | Merkkijono | Joko RuleName-arvo tai RuleNumber-arvo. Jos rulenumber-arvoa käytetään, tyyppi tulee muuntaa merkkijonoksi. |
| Säännön numero | Valinnainen | Int | Ilmoituksiin liittyvän säännön numero. Esim. 123456 |
| Säännön nimi | Valinnainen | Merkkijono | Ilmoitukseen liittyvän säännön nimi tai tunnus. Esim. Server PSEXEC Execution via Remote Access |
| Säännön kuvaus | Valinnainen | Merkkijono | Ilmoituksiin liittyvän säännön kuvaus. Esim. This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
| ThreatId | Valinnainen | Merkkijono | Hälytyksessä tunnistetun uhan tai haittaohjelman tunnus. Esim. 1234567891011121314 |
| ThreatName | Valinnainen | Merkkijono | Hälytyksen uhan tai haittaohjelman nimi. Esim. Init.exe |
| ThreatFirstReportedTime | Valinnainen | Datetime | Päivämäärä ja kellonaika, jolloin uhasta ilmoitettiin ensimmäisen kerran. Esim. 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Valinnainen | Datetime | Päivämäärä ja kellonaika, jolloin uhasta viimeksi ilmoitettiin. Esim. 2024-09-19T10:12:10.0000000Z |
| Uhkien luokka | Suositellut | Lueteltu | Hälytyksessä tunnistetun uhan tai haittaohjelman luokka. Tuetut arvot ovat: Malware, , Ransomware, TrojanVirus, , Worm, Adware, Spyware, Rootkit, Cryptominor, , Phishing, Spam, MaliciousUrl, , SpoofingSecurity Policy ViolationUnknown |
| ThreatOriginalCategory | Valinnainen | Merkkijono | Uhan luokka, jonka alkuperäinen järjestelmä on ilmoittanut. |
| ThreatIsActive | Valinnainen | Bool | Ilmaisee, onko uhka tällä hetkellä aktiivinen. Tuetut arvot ovat: True, False |
| ThreatRiskLevel | Valinnainen | RiskLevel (kokonaisluku) | Uhkaan liittyvä riskitaso. Tason on oltava luku väliltä 0 - 100. Huomautus: Arvo voidaan antaa lähdetietueessa käyttämällä eri asteikkoa, joka tulee normalisoida tähän mittakaavaan. Alkuperäinen arvo tulee tallentaa kohteeseen ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Valinnainen | Merkkijono | Riskitaso, jonka alkuperäinen järjestelmä on ilmoittanut. |
| ThreatConfidence | Valinnainen | ConfidenceLevel (kokonaisluku) | Tunnistetun uhan luottamustaso normalisoituna arvoon 0 - 100. |
| ThreatOriginalConfidence | Valinnainen | Merkkijono | Alkuperäinen järjestelmä ilmoittaa luotettavuustason. |
| Ilmaisimen tyyppi | Suositellut | Lueteltu | Ilmaisimen tyyppi tai luokka Tuetut arvot ovat: - Ip- User- Process- Registry- Url- Host- Cloud Resource- Application- File- Email- Mailbox- Logon Session |
| Ilmaisimen kytkennät | Valinnainen | Lueteltu | Määrittää, onko uhka linkitetty ilmaisimeen vai suoraan siihen. Tuetut arvot ovat: - Associated- Targeted |
| AttackTactics | Suositellut | Merkkijono | Hälytykseen liittyvä hyökkäystaktiikka (nimi, tunnus tai molemmat). Ensisijainen muoto: Esim: Persistence, Privilege Escalation |
| Attack -äijä | Suositellut | Merkkijono | Hälytykseen liittyvät hyökkäystekniikat (nimi, tunnus tai molemmat). Ensisijainen muoto: Esim: Local Groups (T1069.001), Domain Groups (T1069.002) |
| AttackRemediationSteps | Suositellut | Merkkijono | Suositellut toimet tai toimet tunnistetun hyökkäyksen tai uhan lieventämiseksi tai korjaamiseksi. Esim. 1. Make sure the machine is completely updated and all your software has the latest patch.2. Contact your incident response team. |
Käyttäjän kentät
Tässä osiossa määritetään kentät, jotka liittyvät ilmoitukseen liitettyjen käyttäjien tunnistamiseen ja luokitteluun, mikä selkeyttää käyttäjään kohdistuvaa vaikutusta ja käyttäjätietojen muotoa. Jos ilmoitus sisältää muita, useita käyttäjään liittyviä kenttiä, jotka ylittävät tässä yhdistetyn kentän, voit harkita, onko erityinen rakenne, kuten todennustapahtumarakenne, tarkoituksenmukaisempi esittämään tiedot täysin.
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Käyttäjätunnus | Valinnainen | Merkkijono | Koneluettava, aakkosnumeerinen, yksilöivä esitys hälytykseen liittyvästä käyttäjästä. Esim. A1bC2dE3fH4iJ5kL6mN7o |
| UserIdType | Ehdollinen | Lueteltu | Käyttäjätunnuksen tyyppi, kuten GUID, SIDtai Email.Tuetut arvot ovat: - GUID- SID- Email- Username- Phone- Other |
| Käyttäjänimi | Suositellut | Käyttäjänimi (merkkijono) | Hälytykseen liittyvän käyttäjän nimi, mukaan lukien toimialuetiedot, kun ne ovat käytettävissä. esim. Contoso\JSmith tai john.smith@contoso.com |
| Käyttäjä | Alias | Merkkijono | Kentän tunnus tai kutsumanimi Username . |
| Käyttäjänimityyppi | Ehdollinen | Käyttäjänimityyppi | Määrittää kenttään tallennetun Username käyttäjänimen tyypin. Lisätietoja ja sallittujen arvojen luettelo on kohdassa KäyttäjänimityyppiRakenteen yleiskatsaus -artikkelissa.Esim. Windows |
| Käyttäjätyyppi | Valinnainen | Käyttäjätyyppi | Näyttelijän tyyppi. Lisätietoja ja sallittujen arvojen luettelo on kohdassa KäyttäjätyyppiRakenteen yleiskatsaus -artikkelissa. Esim. Guest |
| Alkuperäinen käyttäjätyyppi | Valinnainen | Merkkijono | Käyttäjätyyppi raportointilaitteen ilmoittamana. |
| UserSessionId | Valinnainen | Merkkijono | Ilmoitukseen liittyvän käyttäjän istunnon yksilöllinen tunnus. Esim. a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
| UserScopeId | Valinnainen | Merkkijono | Käyttöalueen tunnus, kuten Microsoft Entra hakemistotunnus, johon UserId ja Username on määritetty. Esim. a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
| UserScope | Valinnainen | Merkkijono | Vaikutusalue, kuten Microsoft Entra vuokraaja, jossa UserId ja Username on määritetty. Lisätietoja ja luettelo sallitut arvot on userscope-kohdassaRakenteen yleiskatsaus -artikkelissa. Esim. Contoso Directory |
Prosessikentät
Tämän osan avulla voit tallentaa ilmoitukseen liittyvään prosessientiteettiin liittyviä tietoja määritettyjen kenttien avulla. Jos ilmoitus sisältää muita yksityiskohtaisia prosessiin liittyviä kenttiä, jotka ylittävät tässä yhdistetyt kentät, voit harkita, onko erityinen rakenne, kuten prosessitapahtumarakenne, tarkoituksenmukaisempi esittämään tiedot täysin.
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| ProcessId | Valinnainen | Merkkijono | Ilmoitukseen liittyvä prosessin tunnus (PID). Esim. 12345678 |
| Prosessikomentoviiva | Valinnainen | Merkkijono | Prosessin käynnistämiseen käytettävä komentorivi. Esim. "choco.exe" -v |
| Prosessin nimi | Valinnainen | Merkkijono | Prosessin nimi. Esim. C:\Windows\explorer.exe |
| ProcessFileCompany | Valinnainen | Merkkijono | Yritys, joka loi prosessin kuvatiedoston. Esim. Microsoft |
Tiedostokentät
Tämän osan avulla voit siepata ilmoitukseen liittyvään tiedostoentiteettiin liittyviä tietoja. Jos ilmoitus sisältää muita yksityiskohtaisia tiedostoon liittyviä kenttiä, jotka ylittävät tässä yhdistetyn kentän, voit harkita, onko erityinen rakenne, kuten Tiedostotapahtuma-rakenne, tarkoituksenmukaisempi esittämään tiedot täysin.
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Tiedostonimi | Valinnainen | Merkkijono | Hälytykseen liittyvän tiedoston nimi ilman polkua tai sijaintia. Esim. Notepad.exe |
| Filepath | Valinnainen | Merkkijono | Kohdetiedoston koko normalisoitu polku, mukaan lukien kansio tai sijainti, tiedoston nimi ja tunniste. Esim. C:\Windows\System32\notepad.exe |
| TiedostonSHA1 | Valinnainen | Merkkijono | Tiedoston SHA1-hajautusarvo. Esim. j5kl6mn7op8qr9st0uv1 |
| TiedostoSHA256 | Valinnainen | Merkkijono | Tiedoston SHA256-hajautusarvo. Esim. a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
| FileMD5 | Valinnainen | Merkkijono | Tiedoston MD5-hajautusarvo. Esim. j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
| Tiedostokoko | Valinnainen | Pitkä | Tiedoston koko tavuina. Esim. 123456 |
URL-kenttä
Jos ilmoituksesi sisältää tietoja URL-entiteetistä, seuraavat kentät voivat siepata URL-osoitteeseen liittyviä tietoja.
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Url | Valinnainen | Merkkijono | Ilmoituksesta siepattu URL-merkkijono. Esim. https://contoso.com/fo/?k=v&q=u#f |
Rekisterikentät
Jos ilmoituksesi sisältää rekisterientiteetin tietoja, tallenna tietyt rekisteriin liittyvät tiedot seuraavien kenttien avulla.
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Rekisteriavain | Valinnainen | Merkkijono | Hälytykseen liittyvä rekisteriavain normalisoitu perusavaimen vakionimeämiskäytäntöihin. Esim. HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Valinnainen | Merkkijono | Rekisteriarvoa. Esim. ImagePath |
| RegistryValueData | Valinnainen | Merkkijono | Rekisteriarvon tiedot. Esim. C:\Windows\system32;C:\Windows; |
| RegistryValueType | Valinnainen | Lueteltu | Rekisteriarvon tyyppi. Esim. Reg_Expand_Sz |
Sähköpostikentät
Jos ilmoituksesi sisältää tietoja sähköpostientiteetistä, tallenna tietyt sähköpostiin liittyvät tiedot seuraavien kenttien avulla.
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Sähköpostin viestitunnus | Valinnainen | Merkkijono | Hälytykseen liittyvän sähköpostiviestin yksilöllinen tunnus. Esim. Request for Invoice Access |
| Sähköpostin aliobjekti | Valinnainen | Merkkijono | Sähköpostin aihe. Esim. j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
Rakenteen Päivitykset
Rakenteen eri versioissa tehdyt muutokset ovat seuraavat:
- Versio 0.1: Ensimmäinen julkaisu.