Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Microsoft Sentinel todentamisrakennetta käytetään kuvaamaan tapahtumia, jotka liittyvät käyttäjän todentamiseen, kirjautumiseen ja uloskirjautumiseen. Todennustapahtumia lähettävät monet raportointilaitteet, jotka ovat yleensä osa tapahtumavirtaa muiden tapahtumien rinnalla. Windows esimerkiksi lähettää useita todennustapahtumia muiden käyttöjärjestelmän toimintotapahtumien rinnalle.
Todennustapahtumia ovat sekä todennukseen keskittyneiden järjestelmien tapahtumat, kuten VPN-yhdyskäytävät tai toimialueen ohjauskoneet, että suora todentaminen loppujärjestelmään, kuten tietokoneeseen tai palomuuriin.
Lisätietoja Microsoft Sentinel normalisoinnista on kohdassa Normalisointi ja ASIM (Advanced Security Information Model).
Jäsentimet
Ota ASIM-todentamisen jäsentimet käyttöön GitHub Microsoft Sentinel säilöstä. Lisätietoja ASIM-jäsennyksistä on artikkelissa ASIM-jäsentimien yleiskatsaus.
Jäsennysten yhtenäistäminen
Jos haluat käyttää jäsentimiä, jotka yhdistävät kaikki valmiit ASIM-jäsennykset, ja varmista, että analyysi suoritetaan kaikissa määritetyissä lähteissä, käytä imAuthentication suodatusparseria tai parametritonta jäsennintä ASimAuthentication .
Lähdekohtaiset jäsennykset
Jos haluat nähdä luettelon Microsoft Sentinel tarjoamista todentamisen jäsennyksistä, katso ASIM-jäsentimien luettelo:
Omien normalisoitujen jäsennysten lisääminen
Kun toteutat mukautettuja jäsennystoimintoja todennustietomallille, nimeä KQL-funktiosi seuraavalla syntaksilla:
-
vimAuthentication<vendor><Product>jäsentäjien suodattamiseen -
ASimAuthentication<vendor><Product>parametrittomista jäsennyksistä
Lisätietoja mukautettujen jäsennysten lisäämisestä yhtenäistämisen jäsennykseen on artikkelissa ASIM-jäsentimien hallinta.
Jäsennysparametrien suodattaminen
- im ja vim* -jäsentimet tukevat suodatusparametreja. Vaikka nämä jäsentimet ovat valinnaisia, ne voivat parantaa kyselyn suorituskykyä.
Seuraavat suodatusparametrit ovat käytettävissä:
| Nimi | Kirjoita | Kuvaus |
|---|---|---|
| aloitusaika | Datetime | Suodata vain todennustapahtumat, jotka suoritettiin tällä kertaa tai sen jälkeen. Tämä parametri suodattaa TimeGenerated kentän, joka on tapahtuman ajan vakiomäärittäjä riippumatta EventStartTime- ja EventEndTime-kenttien jäsennyskohtaisesta yhdistämisestä. |
| päättymisaika | Datetime | Suodata vain todennustapahtumat, jotka on suoritettu ennen tätä aikaa. Tämä parametri suodattaa TimeGenerated kentän, joka on tapahtuman ajan vakiomäärittäjä riippumatta EventStartTime- ja EventEndTime-kenttien jäsennyskohtaisesta yhdistämisestä. |
| targetusername_has | Merkkijono | Suodata vain todennustapahtumat, joilla on jokin luettelon käyttäjänimistä. |
Jos haluat suodattaa esimerkiksi vain viimeisen päivän todennustapahtumat tietylle käyttäjälle, käytä seuraavaa:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Vihje
Jos haluat välittää literaaliluettelon parametreihin, jotka odottavat dynaamista arvoa, käytä eksplisiittisesti dynaamista literaalia. Esimerkki: dynamic(['192.168.','10.']).
Normalisoitu sisältö
Normalisoidut todennusanalytiikkasäännöt ovat ainutlaatuisia, koska ne havaitsevat hyökkäyksiä eri lähteistä. Jos käyttäjä esimerkiksi kirjautui sisään erilaisiin, toisiinsa liittymättömiin järjestelmiin eri maista/alueilta, Microsoft Sentinel havaitsee nyt tämän uhan.
Täydellinen luettelo normalisoituja todennustapahtumia käyttävistä analytiikkasäännöistä on kohdassa Todentamisrakenteen suojaussisältö.
Rakenteen yleiskatsaus
Todennustietomalli on tasattu OSSEM-kirjautumisentiteettirakenteen kanssa.
Alla olevassa taulukossa luetellut kentät koskevat todennustapahtumia, mutta ne muistuttavat muiden rakenteiden kenttiä ja noudattavat samankaltaisia nimeämiskäytäntöjä.
Todennustapahtumat viittaavat seuraaviin entiteetteihin:
- TargetUser – Järjestelmän todentamiseen käytetyt käyttäjätiedot. TargetSystem on todennustapahtuman ensisijainen aihe, ja alias käyttäjä aliaksilla, jonka TargetUser tunnistaa.
- TargetApp – Sovellukseen, jonka todennus on luotu.
- Target – Järjestelmä, jossa TargetApp* on käynnissä.
- Toimija – Todennuksen aloittaja, jos se on eri kuin TargetUser.
- ActingApp – Toimijan todennuksen suorittamiseen käyttämä sovellus.
- Src – Toimijan todennuksen aloittamiseen käyttämä järjestelmä.
Näiden entiteettien välinen suhde esitetään parhaiten seuraavasti:
Toimija, joka suorittaa toimivaa sovellusta, ActingApp, lähdejärjestelmässä, Src, yrittää todentaa kohteen kohdesovellukseksi, TargetApp, kohdejärjestelmässä TargetDvc.
Rakenteen tiedot
Seuraavissa taulukoissa Tyyppi viittaa loogiseen tyyppiin. Lisätietoja on artikkelissa Loogiset tyypit.
Yleiset ASIM-kentät
Tärkeää
Kaikille rakenteille yhteiset kentät on kuvattu yksityiskohtaisesti ASIM:n yleiset kentät - artikkelissa.
Yleiset kentät, joissa on tarkat ohjeet
Seuraavassa luettelossa mainitaan kentät, joissa on tarkat ohjeet todentamistapahtumiin:
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Tapahtuman tyyppi | Pakollinen | Lueteltu | Kuvailee tietueen ilmoittaman toiminnon. Todennustietueiden tuettuja arvoja ovat seuraavat: - Logon - Logoff- Elevate |
| EventResultDetails | Suositellut | Lueteltu | Tapahtuman tulokseen liittyvät tiedot. Tämä kenttä täytetään yleensä, kun tulos on epäonnistunut. Sallittuja arvoja ovat seuraavat: - No such user or password. Tätä arvoa tulee käyttää myös silloin, kun alkuperäinen tapahtuma ilmoittaa, että tällaista käyttäjää ei ole, ilman viittausta salasanaan.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. Tätä arvoa tulee käyttää, kun alkuperäinen tapahtuma raportoi, esimerkiksi pakollinen monimenetelmäinen todentaminen, kirjautuminen työajan ulkopuolelle, ehdollisen käytön rajoitukset tai liian usein tehdyt yritykset.- Session expired- OtherArvo voidaan antaa lähdetietueessa käyttämällä eri termejä, jotka tulee normalisoida näihin arvoihin. Alkuperäinen arvo tulee tallentaa kenttään EventOriginalResultDetails |
| EventSubType | Valinnainen | Lueteltu | Kirjautumistyyppi. Sallittuja arvoja ovat seuraavat: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote - Käytä, kun etäkirjautumistyyppi on tuntematon.- AssumeRole - Käytetään yleensä, kun tapahtumatyyppi on Elevate. Arvo voidaan antaa lähdetietueessa käyttämällä eri termejä, jotka tulee normalisoida näihin arvoihin. Alkuperäinen arvo tulee tallentaa Kenttään EventOriginalSubType. |
| EventSchemaVersion | Pakollinen | SchemaVersion (merkkijono) | Rakenteen versio. Tässä dokumentoitu rakenteen versio on 0.1.4 |
| EventSchema | Pakollinen | Lueteltu | Tässä dokumentoitun rakenteen nimi on Todennus. |
| Dvc-kentät | - | - | Todennustapahtumien osalta laitekentät viittaavat tapahtumasta raportoivan järjestelmän. |
Kaikki yleiset kentät
Alla olevassa taulukossa näkyvät kentät ovat yhteisiä kaikille ASIM-rakenteille. Kaikki edellä määritetyt ohjeet ohittavat kentän yleiset ohjeet. Kenttä voi olla esimerkiksi yleisesti valinnainen, mutta tietyn rakenteen pakollinen. Lisätietoja kustakin kentästä on ARTIKKELISSA ASIM:n yleiset kentät .
| Luokan | Kentät |
|---|---|
| Pakollinen |
-
Tapahtumien määrä - Tapahtuman alkamisaika - Tapahtuman aika - Tapahtuman tyyppi - Tapahtuman tulos - Tapahtuman tuote - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Suositellut |
-
EventResultDetails - Tapahtumankaltaisuus - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valinnainen |
-
Tapahtuman viesti - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Tapahtuman omistajan nimi - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Lisäkentät - DvcDescription - DvcScopeId - DvcScope |
Todennuskohtaiset kentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Kirjaudu sisään | Valinnainen | Merkkijono | Todennuksen suorittamiseen käytettävä menetelmä. Sallittuja arvoja ovat : Managed Identity, , Service PrincipalUsername & Password, , Multi factor authentication, Passwordless, PKI, , PAMja Other. Esimerkkejä: Managed Identity |
| LogonProtocol | Valinnainen | Merkkijono | Todennuksen suorittamiseen käytettävä protokolla. Esimerkki NTLM |
Toimijakentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| ActorUserId | Valinnainen | Merkkijono | Koneluettava, aakkosnumeerinen, toimijan ainutlaatuinen esitys. Lisätietoja ja vaihtoehtoisia kenttiä lisätunnuksille on kohdassa Käyttäjä-entiteetti. Esimerkki S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| Näyttelijänskooppi | Valinnainen | Merkkijono | Laajuus, kuten Microsoft Entra vuokraaja, jossa ActorUserId ja ActorUsername on määritetty. jos haluat lisätietoja ja luettelon sallitut arvot, tutustu UserScope-artikkeliinRakenteen yleiskatsaus -artikkelissa. |
| ActorScopeId | Valinnainen | Merkkijono | Vaikutusalueen tunnus, kuten Microsoft Entra-hakemistotunnus, jossa ActorUserId ja ActorUsername on määritetty. Lisätietoja ja luettelo sallitut arvot on userscopeid-tunnuksen kohdassa Rakenteen yleiskatsaus -artikkelissa. |
| ActorUserIdType | Ehdollinen | UserIdType | ActorUserId-kenttään tallennetun tunnuksen tyyppi. Lisätietoja ja luettelo sallitut arvot on kohdassa UserIdTypeRakenteen yleiskatsaus -artikkelissa. |
| Toimijan nimi | Valinnainen | Käyttäjänimi (merkkijono) | Toimijan käyttäjänimi, mukaan lukien toimialueen tiedot, kun se on käytettävissä. Lisätietoja on kohdassa Käyttäjä-entiteetti. Esimerkki AlbertE |
| ActorUsernameType | Ehdollinen | Käyttäjänimityyppi | Määrittää ActorUsername-kenttään tallennetun käyttäjänimen tyypin. Lisätietoja ja sallittujen arvojen luettelo on kohdassa KäyttäjänimityyppiRakenteen yleiskatsaus -artikkelissa. Esimerkki Windows |
| ActorUserType | Valinnainen | Käyttäjätyyppi | Näyttelijän tyyppi. Lisätietoja ja sallittujen arvojen luettelo on kohdassa KäyttäjätyyppiRakenteen yleiskatsaus -artikkelissa. Esimerkiksi: Guest |
| NäyttelijäOriginalUserType | Valinnainen | Merkkijono | Käyttäjätyyppi raportointilaitteen ilmoittamana. |
| ActorSessionId | Valinnainen | Merkkijono | Toimijan kirjautumisistunnon yksilöivä tunnus. Esimerkki 102pTUgC3p8RIqHvzxLCHnFlg |
Toimivat sovelluskentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| ActingAppId | Valinnainen | Merkkijono | Toimijan puolesta valtuutettavan sovelluksen tunnus, mukaan lukien prosessi, selain tai palvelu. Esimerkiksi: 0x12ae8 |
| ActingAppName | Valinnainen | Merkkijono | Toimijan puolesta valtuutettavan sovelluksen nimi, mukaan lukien prosessi, selain tai palvelu. Esimerkiksi: C:\Windows\System32\svchost.exe |
| ActingAppType | Valinnainen | AppType | Toimivan hakemuksen tyyppi. Lisätietoja ja sallittujen arvojen luettelo löytyy Rakenteen yleiskatsaus -artikkelinAppType-kohdasta. |
| ActingOriginalAppType | Valinnainen | Merkkijono | Raporttilaitteen ilmoittaman toimivan sovelluksen tyyppi. |
| HttpUserAgent | Valinnainen | Merkkijono | Kun todennus suoritetaan HTTP: llä tai HTTPS: llä, tämän kentän arvo on user_agent HTTP-otsikko, jonka toimiva sovellus antaa todennuksen suorittamisen aikana. Esimerkiksi: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Kohdekäyttäjän kentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| TargetUserId | Valinnainen | Merkkijono | Koneluettava, aakkosnumeerinen, kohdekäyttäjän yksilöllinen esitys. Lisätietoja ja vaihtoehtoisia kenttiä lisätunnuksille on kohdassa Käyttäjä-entiteetti. Esimerkki 00urjk4znu3BcncfY0h7 |
| TargetUserScope | Valinnainen | Merkkijono | Laajuus, kuten Microsoft Entra vuokraaja, jossa TargetUserId ja TargetUsername on määritetty. jos haluat lisätietoja ja luettelon sallitut arvot, tutustu UserScope-artikkeliinRakenteen yleiskatsaus -artikkelissa. |
| TargetUserScopeId | Valinnainen | Merkkijono | Vaikutusalueen tunnus, kuten Microsoft Entra hakemistotunnus, jossa TargetUserId ja TargetUsername on määritetty. Lisätietoja ja luettelo sallitut arvot on userscopeid-tunnuksen kohdassa Rakenteen yleiskatsaus -artikkelissa. |
| TargetUserIdType | Ehdollinen | UserIdType |
TargetUserId-kenttään tallennetun käyttäjätunnuksen tyyppi. Lisätietoja ja luettelo sallitut arvot on kohdassa UserIdTypeRakenteen yleiskatsaus -artikkelissa. Esimerkki SID |
| TargetUsername | Valinnainen | Käyttäjänimi (merkkijono) | Kohdekäyttäjänimi, mukaan lukien toimialueen tiedot, kun se on käytettävissä. Lisätietoja on kohdassa Käyttäjä-entiteetti. Esimerkki MarieC |
| TargetUsernameType | Ehdollinen | Käyttäjänimityyppi | Määrittää TargetUsername-kenttään tallennetun käyttäjänimen tyypin. Lisätietoja ja luettelo sallitut arvot on kohdassa KäyttäjänimityyppiRakenteen yleiskatsaus -artikkelissa. |
| TargetUserType | Valinnainen | Käyttäjätyyppi | Kohdekäyttäjän tyyppi. Lisätietoja ja sallittujen arvojen luettelo on kohdassa KäyttäjätyyppiRakenteen yleiskatsaus -artikkelissa. Esimerkiksi: Member |
| TargetSessionId | Valinnainen | Merkkijono | TargetUser-kohteen kirjautumisistunnon tunnus lähdelaitteessa. |
| TargetOriginalUserType | Valinnainen | Merkkijono | Käyttäjätyyppi raportointilaitteen ilmoittamana. |
| Käyttäjä | Alias | Käyttäjänimi (merkkijono) |
Alias TargetUsername- tai TargetUserId-tunnukseen, jos TargetUsername-nimeä ei ole määritetty. Esimerkki CONTOSO\dadmin |
Lähdejärjestelmäkentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Src | Suositellut | Merkkijono | Lähdelaitteen yksilöllinen tunnus. Tämä kenttä voi olla alias SrcDvcId-, SrcHostname- tai SrcIpAddr-kentät . Esimerkki 192.168.12.1 |
| SrcDvcId | Valinnainen | Merkkijono | Lähdelaitteen tunnus. Jos käytettävissä on useita tunnuksia, käytä tärkeintä ja tallenna muut kentät -kenttiin SrcDvc<DvcIdType>.Esimerkki ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Valinnainen | Merkkijono | Pilviympäristön vaikutusalueen tunnus, jolle laite kuuluu. SrcDvcScopeId-kartta tilaustunnukseen Azure ja tilin tunnukseen AWS:ssä. |
| SrcDvcScope | Valinnainen | Merkkijono | Pilviympäristön laajuus, jolle laite kuuluu. SrcDvcScope karttaa tilaustunnukseen Azure ja tilin tunnukseen AWS:ssä. |
| SrcDvcIdType | Ehdollinen | DvcIdType |
SrcDvcId-tyyppi. Sallittujen arvojen ja lisätietojen luettelo löytyy Scheman yleiskatsaus -artikkelinDvcIdType-kohdasta. Huomautus: Tämä kenttä on pakollinen, jos käytetään SrcDvcId :tä. |
| SrcDeviceType | Valinnainen | Laitteen tyyppi | Lähdelaitteen tyyppi. Luettelo sallitut arvot ja lisätietoja on kohdassa LaitetyyppiRakenteen yleiskatsaus -artikkelissa. |
| SrcHostname | Valinnainen | Isäntänimi | Lähdelaitteen isäntänimi ilman toimialuetietoja. Jos laitteen nimeä ei ole käytettävissä, tallenna asianmukainen IP-osoite tähän kenttään. Esimerkki DESKTOP-1282V4D |
| SrcDomain | Valinnainen | Toimialue (merkkijono) | Lähdelaitteen toimialue. Esimerkki Contoso |
| SrcDomainType | Ehdollinen | Toimialueen tyyppi |
SrcDomain-tyyppi. Sallittujen arvojen ja lisätietojen luettelo löytyy Rakenteen yleiskatsaus -artikkelinkohdasta DomainType. Pakollinen, jos SrcDomain on käytössä. |
| SrcFQDN | Valinnainen | FQDN (merkkijono) | Lähdelaitteen isäntänimi, mukaan lukien toimialueen tiedot, kun ne ovat käytettävissä. Huomautus: Tämä kenttä tukee sekä perinteistä FQDN-muotoa että Windowsin toimialue\isäntänimi-muotoa. SrcDomainType-kenttä kuvastaa käytettyä muotoa. Esimerkki Contoso\DESKTOP-1282V4D |
| SrcDescription | Valinnainen | Merkkijono | Laitteeseen liittyvä kuvaava teksti. Esimerkki: Primary Domain Controller. |
| SrcIpAddr | Suositellut | IP-osoite | Lähdelaitteen IP-osoite. Esimerkki 2.2.2.2 |
| SrcPortNumber | Valinnainen | Kokonaisluku | IP-portti, josta yhteys on peräisin. Esimerkki 2335 |
| SrcDvcOs | Valinnainen | Merkkijono | Lähdelaitteen käyttöjärjestelmä. Esimerkki Windows 10 |
| IpAddr | Alias | Alias kohteeseen SrcIpAddr | |
| SrcIsp | Valinnainen | Merkkijono | Internet-palveluntarjoaja, jota lähdelaite käyttää Internet-yhteyden muodostamiseen. Esimerkki corpconnect |
| SrcGeoCountry | Valinnainen | Maa | EsimerkkiCanada Lisätietoja on artikkelissa Loogiset tyypit. |
| SrcGeoCity | Valinnainen | Kaupunki | EsimerkkiMontreal Lisätietoja on artikkelissa Loogiset tyypit. |
| SrcGeoRegion | Valinnainen | Alue | EsimerkkiQuebec Lisätietoja on artikkelissa Loogiset tyypit. |
| SrcGeoLongitude | Valinnainen | Pituusaste | Esimerkki-73.614830 Lisätietoja on artikkelissa Loogiset tyypit. |
| SrcGeoLatitude | Valinnainen | Latitude | Esimerkki45.505918 Lisätietoja on artikkelissa Loogiset tyypit. |
| SrcRiskLevel | Valinnainen | Kokonaisluku | Lähteeseen liittyvä riskitaso. Arvo tulee säätää arvoalueeseen 0100, jolla 0 on hyvänlaatuinen ja 100 suuri riski.Esimerkki 90 |
| SrcOriginalRiskLevel | Valinnainen | Merkkijono | Lähteeseen liittyvä riskitaso raportointilaitteen raportoimana. Esimerkki Suspicious |
Kohdesovelluksen kentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| TargetAppId | Valinnainen | Merkkijono | Sen sovelluksen tunnus, johon valtuutus vaaditaan, ja usein raportointilaitteen määrittämä tunnus. Esimerkki 89162 |
| TargetAppName | Valinnainen | Merkkijono | Sen sovelluksen nimi, johon valtuutus vaaditaan, mukaan lukien palvelu, URL-osoite tai SaaS-sovellus. Esimerkki Saleforce |
| Sovellus | Alias | Alias TargetAppName-nimeen. | |
| TargetAppType | Ehdollinen | AppType | Toimijan puolesta valtuutettavan sovelluksen tyyppi. Lisätietoja ja sallittujen arvojen luettelo löytyy Rakenteen yleiskatsaus -artikkelinAppType-kohdasta. |
| TargetOriginalAppType | Valinnainen | Merkkijono | Sen sovelluksen tyyppi, joka valtuuttaa toimijan puolesta raportointilaitteen ilmoittamana. |
| TargetUrl | Valinnainen | URL | Kohdesovellukseen liittyvä URL-osoite. Esimerkki https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Alias | Tunnus joko TargetAppNamelle, TargetUrl:lle tai TargetHostnamelle sen kentän mukaan, joka parhaiten kuvaa todennuskohdetta. |
Kohdejärjestelmäkentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Dst | Alias | Merkkijono | Todennuskohteen yksilöllinen tunnus. Tämän kentän tunnuksena voi olla TargetDvcId-, TargetHostname-, TargetIpAddr-, TargetAppId- tai TargetAppName-kentät . Esimerkki 192.168.12.1 |
| TargetHostname | Suositellut | Isäntänimi | Kohdelaitteen isäntänimi ilman toimialuetietoja. Esimerkki DESKTOP-1282V4D |
| Kohdetoimialue | Suositellut | Toimialue (merkkijono) | Kohdelaitteen toimialue. Esimerkki Contoso |
| TargetDomainType | Ehdollinen | Lueteltu |
TargetDomain-tyyppi. Sallittujen arvojen ja lisätietojen luettelo löytyy Rakenteen yleiskatsaus -artikkelinkohdasta DomainType. Pakollinen, jos TargetDomain on käytössä. |
| TargetFQDN | Valinnainen | FQDN (merkkijono) | Kohdelaitteen isäntänimi, mukaan lukien toimialuetiedot, kun ne ovat käytettävissä. Esimerkki Contoso\DESKTOP-1282V4D Huomautus: Tämä kenttä tukee sekä perinteistä FQDN-muotoa että Windowsin toimialue\isäntänimi-muotoa. TargetDomainType kuvastaa käytettyä muotoa. |
| TargetDescription | Valinnainen | Merkkijono | Laitteeseen liittyvä kuvaava teksti. Esimerkki: Primary Domain Controller. |
| TargetDvcId | Valinnainen | Merkkijono | Kohdelaitteen tunnus. Jos käytettävissä on useita tunnuksia, käytä tärkeintä ja tallenna muut kentät -kenttiin TargetDvc<DvcIdType>. Esimerkki ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Valinnainen | Merkkijono | Pilviympäristön vaikutusalueen tunnus, jolle laite kuuluu. TargetDvcScopeId-kartta tilaustunnukseen Azure ja tilin tunnukseen AWS:ssä. |
| TargetDvcScope | Valinnainen | Merkkijono | Pilviympäristön laajuus, jolle laite kuuluu. TargetDvcScope-kartta tilaustunnukseen Azure ja tilitunnukseen AWS:ssä. |
| TargetDvcIdType | Ehdollinen | Lueteltu |
TargetDvcId-tyyppi. Sallittujen arvojen ja lisätietojen luettelo löytyy Scheman yleiskatsaus -artikkelinDvcIdType-kohdasta. Pakollinen, jos TargetDeviceId on käytössä. |
| TargetDeviceType | Valinnainen | Lueteltu | Kohdelaitteen tyyppi. Luettelo sallitut arvot ja lisätietoja on kohdassa LaitetyyppiRakenteen yleiskatsaus -artikkelissa. |
| TargetIpAddr | Valinnainen | IP-osoite | Kohdelaitteen IP-osoite. Esimerkki 2.2.2.2 |
| TargetDvcOs | Valinnainen | Merkkijono | Kohdelaitteen käyttöjärjestelmä. Esimerkki Windows 10 |
| TargetPortNumber | Valinnainen | Kokonaisluku | Kohdelaitteen portti. |
| TargetGeoCountry | Valinnainen | Maa | Kohde-IP-osoitteeseen liitetty maa tai alue. Esimerkki USA |
| TargetGeoRegion | Valinnainen | Alue | Kohde-IP-osoitteeseen liittyvä alue. Esimerkki Vermont |
| TargetGeoCity | Valinnainen | Kaupunki | Kohde-IP-osoitteeseen liitetty kaupunki. Esimerkki Burlington |
| TargetGeoLatitude | Valinnainen | Latitude | IP-kohdeosoitteeseen liittyvän maantieteellisen koordinaatin leveysaste. Esimerkki 44.475833 |
| TargetGeoLongitude | Valinnainen | Pituusaste | IP-kohdeosoitteeseen liittyvän maantieteellisen koordinaatin pituusaste. Esimerkki 73.211944 |
| TargetRiskLevel | Valinnainen | Kokonaisluku | Tavoitteeseen liittyvä riskitaso. Arvo tulee säätää arvoalueeseen 0100, jolla 0 on hyvänlaatuinen ja 100 suuri riski.Esimerkki 90 |
| TargetOriginalRiskLevel | Valinnainen | Merkkijono | Raportointilaitteen ilmoittama kohteeseen liittyvä riskitaso. Esimerkki Suspicious |
Tarkastuskentät
Seuraavia kenttiä käytetään edustamaan turvajärjestelmän suorittamaa tarkastusta.
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Säännön nimi | Valinnainen | Merkkijono | Tarkastuksen tuloksiin liittyvän säännön nimi tai tunnus. |
| Säännön numero | Valinnainen | Kokonaisluku | Tarkastustuloksiin liittyvän säännön numero. |
| Sääntö | Alias | Merkkijono | Joko RuleName-arvo tai RuleNumber-arvo. Jos rulenumber-arvoa käytetään, tyyppi tulee muuntaa merkkijonoksi. |
| ThreatId | Valinnainen | Merkkijono | Valvontatoiminnossa tunnistetun uhan tai haittaohjelman tunnus. |
| ThreatName | Valinnainen | Merkkijono | Valvonnan yhteydessä tunnistetun uhan tai haittaohjelman nimi. |
| Uhkien luokka | Valinnainen | Merkkijono | Valvontatiedostotoiminnassa tunnistetun uhan tai haittaohjelmiston luokka. |
| ThreatRiskLevel | Valinnainen | RiskLevel (kokonaisluku) | Tunnistettuun uhkaan liittyvä riskitaso. Tason on oltava luku väliltä 0 - 100. Huomautus: Arvo voidaan antaa lähdetietueessa käyttämällä eri asteikkoa, joka tulee normalisoida tähän mittakaavaan. Alkuperäinen arvo tulee tallentaa kohteeseen ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Valinnainen | Merkkijono | Raportointilaitteen ilmoittama riskitaso. |
| ThreatConfidence | Valinnainen | ConfidenceLevel (kokonaisluku) | Tunnistetun uhan luottamustaso normalisoituna arvoon 0 - 100. |
| ThreatOriginalConfidence | Valinnainen | Merkkijono | Raportoijalaitteen ilmoittama tunnistaman uhan alkuperäinen luotettavuustaso. |
| ThreatIsActive | Valinnainen | Totuusarvo | Tosi, jos tunnistettua uhkaa pidetään aktiivisena uhkana. |
| ThreatFirstReportedTime | Valinnainen | Datetime | Ensimmäinen kerta, kun IP-osoite tai toimialue tunnistettiin uhaksi. |
| ThreatLastReportedTime | Valinnainen | Datetime | Edellisen kerran IP-osoite tai toimialue tunnistettiin uhaksi. |
| ThreatIpAddr | Valinnainen | IP-osoite | IP-osoite, josta tunnistettiin uhka. ThreatField-kenttä sisältää ThreatIpAddr-kentän nimen. |
| Uhkakenttä | Ehdollinen | Lueteltu | Kenttä, josta uhka tunnistettiin. Arvo on joko SrcIpAddr tai TargetIpAddr. |
Rakennepäivitykset
Nämä ovat rakenteen version 0.1.1 muutokset:
- Päivitettiin käyttäjän ja laitteen entiteettikentät vastaamaan muita rakenteita.
- Nimetty uudelleen
TargetDvcjaSrcDvcTargetSrcvastaavasti nykyisten ASIM-ohjeiden mukaisesti. Uudelleennimetyt kentät otetaan käyttöön aliaksina 1.7.2022 asti. Näitä kenttiä ovat esimerkiksi seuraavat: , , , , ,TargetDvcHostname,TargetDvcHostnameType,TargetDvcType,TargetDvcIpAddrjaTargetDvc.SrcDvcIpAddrSrcDvcTypeSrcDvcHostnameTypeSrcDvcHostname - Lisätyt tunnukset
SrcjaDst. - Kentät
SrcDvcIdType, ,SrcDeviceTypeTargetDvcIdTypejaTargetDeviceType,EventSchemaon lisätty.
Nämä ovat rakenteen version 0.1.2 muutokset:
- Lisätty kentät
ActorScope, ,TargetUserScopeSrcDvcScopeId,SrcDvcScope,TargetDvcScopeId, ,TargetDvcScope,DvcScopeIdjaDvcScope.
Nämä ovat rakenteen version 0.1.3 muutokset:
- Lisätty kentät
SrcPortNumber, ,ActorOriginalUserType,ActorScopeIdTargetOriginalUserType,TargetUserScopeId, ,SrcDescription,SrcRiskLevel, ,SrcOriginalRiskLeveljaTargetDescription. - Lisätty tarkastuskentät
- Lisätty kohdejärjestelmän maantieteellisen sijainnin kentät.
Nämä ovat rakenteen version 0.1.4 muutokset:
- Lisätty kentät
ActingOriginalAppTypejaTargetOriginalAppType. - Lisäsi aliaksen
Application.
Seuraavat vaiheet
Lisätietoja on seuraavissa artikkeleissa: