Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Microsoft Sentinel Audit events normalization schema edustaa tapahtumia, jotka liittyvät tietojärjestelmien kirjausketjuun. Kirjausketju kirjaa järjestelmän määritystoiminnot ja käytäntömuutokset. Järjestelmänvalvojat tekevät tällaisia muutoksia usein, mutta käyttäjät voivat suorittaa ne myös määrittäessään omien sovellustensa asetuksia.
Jokainen järjestelmä kirjaa valvontatapahtumat ydintoimintalokien rinnalle. Esimerkiksi palomuuri kirjaa tapahtumat, jotka liittyvät verkkoistuntoihin, jotka koskevat prosesseja, ja valvontatapahtumia itse palomuuriin käyttöönotetuista määritysmuutoksista.
Lisätietoja Microsoft Sentinel normalisoinnista on kohdassa Normalisointi ja ASIM (Advanced Security Information Model).
Rakenteen yleiskatsaus
Valvontatapahtuman pääkentät ovat seuraavat:
- -objekti, joka voi olla esimerkiksi hallittu resurssi tai käytäntösääntö, johon tapahtuma keskittyy, edustaa kenttäObjekti. ObjectType-kenttä määrittää objektin tyypin.
- Objektin sovelluskonteksti, jota edustaa TargetAppName-kenttä, jonka alias on Sovellus.
- Objektille suoritettu toiminto, jota edustavat kentät EventType ja Operation. Vaikka Toiminto on raportoidun lähteen arvo, EventType on normalisoitu versio, joka on yhdenmukaisempi kaikissa lähteissä.
- Objektin vanhat ja uudet arvot, jos käytettävissä, edustavat OldValue ja NewValue .
Valvontatapahtumat viittaavat myös seuraaviin entiteetteihin, jotka osallistuvat määritystoimintoon:
- Actor – Määritystoiminnon suorittava käyttäjä.
- TargetApp – Sovellus tai järjestelmä, johon määritystoimintoa sovelletaan.
- Target – Järjestelmä, jossa TargetApp* on käynnissä.
- ActingApp – Toimijan määritystoiminnon suorittamiseen käyttämä sovellus.
- Src – Toimijan käyttämä järjestelmä määritystoiminnon aloittamiseen, jos se on eri kuin Target.
Kuvaajaa Dvc käytetään muissa tapauksissa raportointilaitteessa, joka on päätepisteen raportoimien istuntojen paikallinen järjestelmä, sekä välittäjässä tai turvalaitteessa.
Jäsentimet
Valvontatapahtumien jäsennysten käyttöönotto ja käyttäminen
Ota ASIM-valvontatapahtumien jäsentimet käyttöön Microsoft Sentinel GitHub-säilöstä. Jos haluat tehdä kyselyn kaikissa valvontatapahtumien lähteissä, käytä yhdistävää jäsennintä imAuditEvent kyselyn taulukon nimenä.
Lisätietoja ASIM-jäsennysten käytöstä on ASIM-jäsennysten yleiskatsauksessa. Valvontatapahtuman jäsentäjien luettelo, jonka Microsoft Sentinel tarjoaa, on ASIM-jäsennysluettelossa
Omien normalisoitujen jäsennysten lisääminen
Kun toteutat mukautettuja jäsennystoimintoja tiedostotapahtuman tietomallille, anna KQL-funktioille nimeksi seuraava syntaksi: imAuditEvent<vendor><Product>. Katso artikkelista ASIM-jäsennysten hallinta ohjeet mukautettujen jäsennysten lisäämiseen valvontatapahtuman yhtenäistämisen jäsennykseen.
Jäsennysparametrien suodattaminen
Valvontatapahtumien jäsentimet tukevat suodatusparametreja. Vaikka nämä parametrit ovat valinnaisia, ne voivat parantaa kyselyn suorituskykyä.
Seuraavat suodatusparametrit ovat käytettävissä:
| Nimi | Kirjoita | Kuvaus |
|---|---|---|
| aloitusaika | Datetime | Suodata vain tapahtumat, jotka suoritettiin tällä kertaa tai sen jälkeen. Tämä parametri käyttää - TimeGenerated kenttää tapahtuman ajan määrityksenä. |
| päättymisaika | Datetime | Suodata vain tapahtumat, joiden suorittaminen on päättynyt tähän aikaan tai sitä ennen. Tämä parametri käyttää - TimeGenerated kenttää tapahtuman ajan määrityksenä. |
| srcipaddr_has_any_prefix | Dynaaminen | Suodata vain tapahtumat tästä IP-lähdeosoitteesta SrcIpAddr-kentässä esitetyllä tavalla. |
| eventtype_in | Merkkijono | Suodata vain tapahtumat, joissa EventType-kentässä esitetty tapahtumatyyppi on jokin annetuista ehdoista. |
| eventresult | Merkkijono | Suodata vain tapahtumat, joissa tapahtuman tulos , kuten EventResult-kentässä on esitetty, vastaa parametrin arvoa. |
| actorusername_has_any | dynaaminen/merkkijono | Suodata vain tapahtumat, joissa ActorUsername sisältää jonkin annetuista ehdoista. |
| operation_has_any | dynaaminen/merkkijono | Suodata vain tapahtumat, joissa Toiminto-kenttä sisältää jonkin annetuista ehdoista. |
| object_has_any | dynaaminen/merkkijono | Suodata vain tapahtumat, joissa Objekti-kenttä sisältää jonkin annetuista termeistä. |
| newvalue_has_any | dynaaminen/merkkijono | Suodata vain tapahtumat, joissa NewValue-kenttä sisältää jonkin annetuista ehdoista. |
Jotkin parametrit voivat hyväksyä sekä tyyppiarvojen dynamic luettelon että yksittäisen merkkijonoarvon. Jos haluat välittää literaaliluettelon parametreihin, jotka odottavat dynaamista arvoa, käytä eksplisiittisesti dynaamista literaalia. Esimerkiksi: dynamic(['192.168.','10.'])
Jos esimerkiksi haluat suodattaa vain valvontatapahtumat termeillä install tai update niiden Toiminto-kentässä viimeisestä päivästä alkaen, käytä seuraavaa:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
Rakenteen tiedot
Yleiset ASIM-kentät
Tärkeää
Kaikille rakenteille yhteiset kentät on kuvattu yksityiskohtaisesti ASIM:n yleiset kentät - artikkelissa.
Yleiset kentät, joissa on tarkat ohjeet
Seuraavassa luettelossa mainitaan kentät, joilla on tarkat ohjeet valvontatapahtumia varten:
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Tapahtuman tyyppi | Pakollinen | Lueteltu | Kuvaa tapahtuman valvoman toiminnon käyttämällä normalisoitua arvoa.
EventSubType-funktion avulla voit antaa lisätietoja, joita normalisoitu arvo ei välitä, ja Toiminnon. tallentaaksesi toiminnon raportointilaitteen ilmoittamalla tavalla. Tapahtuman valvontatietueiden sallitut arvot ovat seuraavat: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Initialize- Start- Stop- Other Valvontatapahtumat edustavat monia erilaisia toimintoja, ja Other arvo mahdollistaa yhdistämistoiminnot, joilla ei ole vastaavaa EventTypekohdetta. -tapahtuman käyttö Other rajoittaa kuitenkin tapahtuman käytettävyyttä, ja sitä tulee välttää, jos se on mahdollista. |
| EventSubType | Valinnainen | Merkkijono | Antaa lisätietoja, joita EventType-funktion normalisoitu arvo ei välitä. |
| EventSchema | Pakollinen | Lueteltu | Tässä dokumentoitun rakenteen nimi on AuditEvent. |
| EventSchemaVersion | Pakollinen | SchemaVersion (merkkijono) | Rakenteen versio. Tässä dokumentoitu rakenteen versio on 0.1.2. |
Kaikki yleiset kentät
Taulukossa näkyvät kentät ovat yhteisiä kaikille ASIM-rakenteille. Mikä tahansa tässä asiakirjassa määritetyistä ohjeista ohittaa kentän yleiset ohjeet. Kenttä voi olla esimerkiksi yleisesti valinnainen, mutta tietyn rakenteen pakollinen. Lisätietoja kustakin kentästä on ASIM:n yleiset kentät -artikkelissa.
| Luokan | Kentät |
|---|---|
| Pakollinen |
-
Tapahtumien määrä - Tapahtuman alkamisaika - Tapahtuman aika - Tapahtuman tyyppi - Tapahtuman tulos - Tapahtuman tuote - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Suositellut |
-
EventResultDetails - Tapahtumankaltaisuus - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valinnainen |
-
Tapahtuman viesti - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Tapahtuman omistajan nimi - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Lisäkentät - DvcDescription - DvcScopeId - DvcScope |
Valvontakentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Toiminta | Pakollinen | Merkkijono | Raportointilaitteen raportoima toiminto. |
| Objekti | Pakollinen | Merkkijono | Sen objektin nimi, jolle EventType-toiminnon määrittämä toiminto suoritetaan. |
| ObjectId | Valinnainen | Merkkijono | Sen objektin tunnus, jolle EventType-toiminnon määrittämä toiminto suoritetaan. |
| ObjectType | Ehdollinen | Lueteltu |
Objektin tyyppi. Sallitut arvot ovat: - Cloud Resource- Configuration Atom- Policy Rule- Event Log- Scheduled Task- Service- Directory Service Object- Other |
| Alkuperäinen objektityyppi | Valinnainen | Merkkijono | Raportointijärjestelmän ilmoittama objektin tyyppi |
| OldValue | Valinnainen | Merkkijono | Objektin vanha arvo ennen toimintoa, jos sellainen on. |
| NewValue | Suositellut | Merkkijono | Objektin uusi arvo toiminnon suorittamisen jälkeen, jos käytettävissä. |
| Arvo | Alias | NewValue-alias | |
| Arvon tyyppi | Ehdollinen | Lueteltu | Vanhojen ja uusien arvojen tyyppi. Sallitut arvot ovat -Muut |
Toimijakentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| ActorUserId | Valinnainen | Merkkijono | Koneluettava, aakkosnumeerinen, toimijan ainutlaatuinen esitys. Lisätietoja ja vaihtoehtoisia kenttiä muille tunnuksille on kohdassa Käyttäjä-entiteetti. Esimerkki S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| Näyttelijänskooppi | Valinnainen | Merkkijono | Laajuus, kuten Microsoft Entra Domain Name, jossa ActorUserId ja ActorUsername on määritetty. jos haluat lisätietoja ja luettelon sallitut arvot, tutustu UserScope-artikkeliinRakenteen yleiskatsaus -artikkelissa. |
| ActorScopeId | Valinnainen | Merkkijono | Vaikutusalueen tunnus, kuten Microsoft Entra-hakemistotunnus, jossa ActorUserId ja ActorUsername on määritetty. Lisätietoja ja luettelo sallitut arvot on userscopeid-tunnuksen kohdassa Rakenteen yleiskatsaus -artikkelissa. |
| ActorUserIdType | Ehdollinen | Lueteltu | ActorUserId-kenttään tallennetun tunnuksen tyyppi. Lisätietoja ja luettelo sallitut arvot on kohdassa UserIdTypeRakenteen yleiskatsaus -artikkelissa. |
| Toimijan nimi | Suositellut | Käyttäjänimi (merkkijono) | Toimijan käyttäjänimi, mukaan lukien toimialueen tiedot, kun se on käytettävissä. Lisätietoja on kohdassa Käyttäjä-entiteetti. Esimerkki AlbertE |
| Käyttäjä | Alias | Alias ActorUsername-nimelle | |
| ActorUsernameType | Ehdollinen | Käyttäjänimityyppi | Määrittää ActorUsername-kenttään tallennetun käyttäjänimen tyypin. Lisätietoja ja sallittujen arvojen luettelo on kohdassa KäyttäjänimityyppiRakenteen yleiskatsaus -artikkelissa. Esimerkki Windows |
| ActorUserType | Valinnainen | Käyttäjätyyppi | Näyttelijän tyyppi. Lisätietoja ja sallittujen arvojen luettelo on kohdassa KäyttäjätyyppiRakenteen yleiskatsaus -artikkelissa. Esimerkiksi: Guest |
| NäyttelijäOriginalUserType | Valinnainen | Merkkijono | Käyttäjätyyppi raportointilaitteen ilmoittamana. |
| ActorSessionId | Valinnainen | Merkkijono | Toimijan kirjautumisistunnon yksilöivä tunnus. Esimerkki 102pTUgC3p8RIqHvzxLCHnFlg |
Kohdesovelluksen kentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| TargetAppId | Valinnainen | Merkkijono | Sen sovelluksen tunnus, jota tapahtuma koskee, mukaan lukien prosessi, selain tai palvelu. Esimerkki 89162 |
| TargetAppName | Valinnainen | Merkkijono | Sen sovelluksen nimi, jota tapahtuma koskee, mukaan lukien palvelu, URL-osoite tai SaaS-sovellus. Esimerkki Exchange 365 |
| Sovellus | Alias | TargetAppName-alias | |
| TargetAppType | Ehdollinen | AppType | Toimijan puolesta valtuutettavan sovelluksen tyyppi. Lisätietoja ja sallittujen arvojen luettelo löytyy Rakenteen yleiskatsaus -artikkelinAppType-kohdasta. |
| TargetOriginalAppType | Valinnainen | Merkkijono | Sen sovelluksen tyyppi, johon tapahtumaa sovelletaan raportointilaitteen raportoimana. |
| TargetUrl | Valinnainen | URL | Kohdesovellukseen liittyvä URL-osoite. Esimerkki https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
Kohdejärjestelmäkentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Dst | Alias | Merkkijono | Todennuskohteen yksilöllinen tunnus. Tämän kentän tunnuksena voi olla TargetDvcId-, TargetHostname-, TargetIpAddr-, TargetAppId- tai TargetAppName-kentät . Esimerkki 192.168.12.1 |
| TargetHostname | Suositellut | Isäntänimi | Kohdelaitteen isäntänimi ilman toimialuetietoja. Esimerkki DESKTOP-1282V4D |
| Kohdetoimialue | Valinnainen | Domain(String) | Kohdelaitteen toimialue. Esimerkki Contoso |
| TargetDomainType | Ehdollinen | Lueteltu |
TargetDomain-tyyppi. Luettelo sallitut arvot ja lisätietoja on kohdassa ToimialuetyyppiRakenteen yleiskatsaus -artikkelissa. Pakollinen, jos TargetDomain on käytössä. |
| TargetFQDN | Valinnainen | FQDN (merkkijono) | Kohdelaitteen isäntänimi, mukaan lukien toimialuetiedot, kun ne ovat käytettävissä. Esimerkki Contoso\DESKTOP-1282V4D Huomautus: Tämä kenttä tukee sekä perinteistä FQDN-muotoa että Windowsin toimialue\isäntänimi-muotoa. TargetDomainType kuvastaa käytettyä muotoa. |
| TargetDescription | Valinnainen | Merkkijono | Laitteeseen liittyvä kuvaava teksti. Esimerkki: Primary Domain Controller. |
| TargetDvcId | Valinnainen | Merkkijono | Kohdelaitteen tunnus. Jos käytettävissä on useita tunnuksia, käytä tärkeintä ja tallenna muut kentät -kenttiin TargetDvc<DvcIdType>. Esimerkki ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Valinnainen | Merkkijono | Pilviympäristön vaikutusalueen tunnus, jolle laite kuuluu. TargetDvcScopeId-kartta tilaustunnukseen Azure ja tilin tunnukseen AWS:ssä. |
| TargetDvcScope | Valinnainen | Merkkijono | Pilviympäristön laajuus, jolle laite kuuluu. TargetDvcScope-kartta tilaustunnukseen Azure ja tilitunnukseen AWS:ssä. |
| TargetDvcIdType | Ehdollinen | Lueteltu |
TargetDvcId-tyyppi. Luettelo sallitut arvot ja lisätietoja on artikkelissa DvcIdTypeRakenteen yleiskatsaus -artikkelissa. Pakollinen, jos TargetDeviceId on käytössä. |
| TargetDeviceType | Valinnainen | Lueteltu | Kohdelaitteen tyyppi. Luettelo sallitut arvot ja lisätiedot on artikkelissa LaitetyyppiRakenteen yleiskatsaus -artikkelissa. |
| TargetIpAddr | Suositellut | IP-osoite | Kohdelaitteen IP-osoite. Esimerkki 2.2.2.2 |
| TargetDvcOs | Valinnainen | Merkkijono | Kohdelaitteen käyttöjärjestelmä. Esimerkki Windows 10 |
| TargetPortNumber | Valinnainen | Kokonaisluku | Kohdelaitteen portti. |
| TargetGeoCountry | Valinnainen | Maa | Kohde-IP-osoitteeseen liittyvä maa tai alue. Esimerkki USA |
| TargetGeoRegion | Valinnainen | Alue | Kohde-IP-osoitteeseen liittyvän maan tai alueen alue. Esimerkki Vermont |
| TargetGeoCity | Valinnainen | Kaupunki | Kohde-IP-osoitteeseen liitetty kaupunki. Esimerkki Burlington |
| TargetGeoLatitude | Valinnainen | Latitude | Kohde-IP-osoitteeseen liittyvän maantieteellisen koordinaatin leveysaste. Esimerkki 44.475833 |
| TargetGeoLongitude | Valinnainen | Pituusaste | Kohde-IP-osoitteeseen liittyvän maantieteellisen koordinaatin pituusaste. Esimerkki 73.211944 |
| TargetRiskLevel | Valinnainen | Kokonaisluku | Tavoitteeseen liittyvä riskitaso. Arvo tulee säätää arvoalueeseen 0100, jolla 0 on hyvänlaatuinen ja 100 suuri riski.Esimerkki 90 |
| TargetOriginalRiskLevel | Valinnainen | Merkkijono | Raportointilaitteen ilmoittama kohteeseen liittyvä riskitaso. Esimerkki Suspicious |
Toimivat sovelluskentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| ActingAppId | Valinnainen | Merkkijono | Raportoidun toiminnon aloittaneen sovelluksen tunnus, mukaan lukien prosessi, selain tai palvelu. Esimerkiksi: 0x12ae8 |
| ActingAppName | Valinnainen | Merkkijono | Raportoidun toiminnon aloittaneen sovelluksen nimi, mukaan lukien palvelu, URL-osoite tai SaaS-sovellus. Esimerkiksi: C:\Windows\System32\svchost.exe |
| ActingAppType | Valinnainen | AppType | Toimivan hakemuksen tyyppi. Lisätietoja ja sallittujen arvojen luettelo löytyy Rakenteen yleiskatsaus -artikkelinAppType-kohdasta. |
| ActingOriginalAppType | Valinnainen | Merkkijono | Toiminnon aloittaneen sovelluksen tyyppi raportointilaitteen ilmoittamana. |
| HttpUserAgent | Valinnainen | Merkkijono | Kun todennus suoritetaan HTTP: llä tai HTTPS: llä, tämän kentän arvo on user_agent HTTP-otsikko, jonka toimiva sovellus antaa todennuksen suorittamisen aikana. Esimerkiksi: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Lähdejärjestelmäkentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Src | Alias | Merkkijono | Lähdelaitteen yksilöllinen tunnus. Tämä kenttä voi olla alias SrcDvcId-, SrcHostname- tai SrcIpAddr-kentät . Esimerkki 192.168.12.1 |
| SrcIpAddr | Suositellut | IP-osoite | IP-osoite, josta yhteys tai istunto sai alkunsa. Esimerkki 77.138.103.108 |
| IpAddr | Alias | Alias kohteeseen SrcIpAddr tai TargetIpAddr , jos SrcIpAddr-tunnusta ei ole annettu. | |
| SrcPortNumber | Valinnainen | Kokonaisluku | IP-portti, josta yhteys on peräisin. Ei ehkä ole merkityksellistä, jos istunto koostuu useista yhteyksistä. Esimerkki 2335 |
| SrcHostname | Valinnainen | Isäntänimi | Lähdelaitteen isäntänimi ilman toimialuetietoja. Jos laitteen nimeä ei ole käytettävissä, tallenna asianmukainen IP-osoite tähän kenttään. Esimerkki DESKTOP-1282V4D |
| SrcDomain | Valinnainen | Toimialue (merkkijono) | Lähdelaitteen toimialue. Esimerkki Contoso |
| SrcDomainType | Ehdollinen | Toimialueen tyyppi |
SrcDomain-tyyppi. Luettelo sallitut arvot ja lisätietoja on kohdassa ToimialuetyyppiRakenteen yleiskatsaus -artikkelissa. Pakollinen, jos SrcDomain on käytössä. |
| SrcFQDN | Valinnainen | FQDN (merkkijono) | Lähdelaitteen isäntänimi, mukaan lukien toimialueen tiedot, kun ne ovat käytettävissä. Huomautus: Tämä kenttä tukee sekä perinteistä FQDN-muotoa että Windowsin toimialue\isäntänimi-muotoa. SrcDomainType-kenttä kuvastaa käytettyä muotoa. Esimerkki Contoso\DESKTOP-1282V4D |
| SrcDescription | Valinnainen | Merkkijono | Laitteeseen liittyvä kuvaava teksti. Esimerkki: Primary Domain Controller. |
| SrcDvcId | Valinnainen | Merkkijono | Lähdelaitteen tunnus. Jos käytettävissä on useita tunnuksia, käytä tärkeintä ja tallenna muut kentät -kenttiin SrcDvc<DvcIdType>.Esimerkki ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Valinnainen | Merkkijono | Pilviympäristön vaikutusalueen tunnus, jolle laite kuuluu. SrcDvcScopeId-kartta tilaustunnukseen Azure ja tilin tunnukseen AWS:ssä. |
| SrcDvcScope | Valinnainen | Merkkijono | Pilviympäristön laajuus, jolle laite kuuluu. SrcDvcScope karttaa tilaustunnukseen Azure ja tilin tunnukseen AWS:ssä. |
| SrcDvcIdType | Ehdollinen | DvcIdType |
SrcDvcId-tyyppi. Luettelo sallitut arvot ja lisätietoja on artikkelissa DvcIdTypeRakenteen yleiskatsaus -artikkelissa. Huomautus: Tämä kenttä on pakollinen, jos käytetään SrcDvcId :tä. |
| SrcDeviceType | Valinnainen | Laitteen tyyppi | Lähdelaitteen tyyppi. Luettelo sallitut arvot ja lisätiedot on artikkelissa LaitetyyppiRakenteen yleiskatsaus -artikkelissa. |
| SrcGeoCountry | Valinnainen | Maa | Lähde-IP-osoitteeseen liittyvä maa tai alue. Esimerkki USA |
| SrcGeoRegion | Valinnainen | Alue | Lähde-IP-osoitteeseen liittyvän maan tai alueen alue. Esimerkki Vermont |
| SrcGeoCity | Valinnainen | Kaupunki | Lähde-IP-osoitteeseen liitetty kaupunki. Esimerkki Burlington |
| SrcGeoLatitude | Valinnainen | Latitude | Lähde-IP-osoitteeseen liittyvän maantieteellisen koordinaatin leveysaste. Esimerkki 44.475833 |
| SrcGeoLongitude | Valinnainen | Pituusaste | Lähde-IP-osoitteeseen liittyvän maantieteellisen koordinaatin pituusaste. Esimerkki 73.211944 |
| SrcRiskLevel | Valinnainen | Kokonaisluku | Lähteeseen liittyvä riskitaso. Arvo tulee säätää arvoalueeseen 0100, jolla 0 on hyvänlaatuinen ja 100 suuri riski.Esimerkki 90 |
| SrcOriginalRiskLevel | Valinnainen | Merkkijono | Lähteeseen liittyvä riskitaso raportointilaitteen raportoimana. Esimerkki Suspicious |
Tarkastuskentät
Seuraavia kenttiä käytetään edustamaan turvajärjestelmän suorittamaa tarkastusta.
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Säännön nimi | Valinnainen | Merkkijono | Tarkastuksen tuloksiin liittyvän säännön nimi tai tunnus. |
| Säännön numero | Valinnainen | Kokonaisluku | Tarkastustuloksiin liittyvän säännön numero. |
| Sääntö | Alias | Merkkijono | Joko RuleName-arvo tai RuleNumber-arvo. Jos rulenumber-arvoa käytetään, tyyppi tulee muuntaa merkkijonoksi. |
| ThreatId | Valinnainen | Merkkijono | Valvontatoiminnossa tunnistetun uhan tai haittaohjelman tunnus. |
| ThreatName | Valinnainen | Merkkijono | Valvonnan yhteydessä tunnistetun uhan tai haittaohjelman nimi. |
| Uhkien luokka | Valinnainen | Merkkijono | Valvontatiedostotoiminnassa tunnistetun uhan tai haittaohjelmiston luokka. |
| ThreatRiskLevel | Valinnainen | RiskLevel (kokonaisluku) | Tunnistettuun uhkaan liittyvä riskitaso. Tason on oltava luku väliltä 0 - 100. Huomautus: Arvo voidaan antaa lähdetietueessa käyttämällä eri asteikkoa, joka tulee normalisoida tähän mittakaavaan. Alkuperäinen arvo tulee tallentaa kohteeseen ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Valinnainen | Merkkijono | Raportointilaitteen ilmoittama riskitaso. |
| ThreatConfidence | Valinnainen | ConfidenceLevel (kokonaisluku) | Tunnistetun uhan luottamustaso normalisoituna arvoon 0 - 100. |
| ThreatOriginalConfidence | Valinnainen | Merkkijono | Raportoijalaitteen ilmoittama tunnistaman uhan alkuperäinen luotettavuustaso. |
| ThreatIsActive | Valinnainen | Totuusarvo | Tosi, jos tunnistettua uhkaa pidetään aktiivisena uhkana. |
| ThreatFirstReportedTime | Valinnainen | Datetime | Ensimmäinen kerta, kun IP-osoite tai toimialue tunnistettiin uhaksi. |
| ThreatLastReportedTime | Valinnainen | Datetime | Edellisen kerran IP-osoite tai toimialue tunnistettiin uhaksi. |
| ThreatIpAddr | Valinnainen | IP-osoite | IP-osoite, josta tunnistettiin uhka. ThreatField-kenttä sisältää ThreatIpAddr-kentän nimen. |
| Uhkakenttä | Ehdollinen | Lueteltu | Kenttä, josta uhka tunnistettiin. Arvo on joko SrcIpAddr tai TargetIpAddr. |
Rakennepäivitykset
Rakenteen versioon 0.1.1 tehdyt muutokset ovat:
- Lisätty kenttä
ObjectIdjaOriginalObjectType.
Rakenteen versioon 0.1.2 tehdyt muutokset ovat seuraavat:
- Lisätty kenttä
ActingOriginalAppType, ,OriginalObjectType,SrcOriginalRiskLevel,SrcRiskLevelTargetGeoCity,,TargetGeoCountryTargetGeoLatitude,TargetGeoLongitude,TargetGeoRegion,,TargetOriginalAppType,TargetOriginalRiskLeveljaTargetRiskLevel
Seuraavat vaiheet
Lisätietoja on seuraavissa artikkeleissa: