Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Normaliseringsskjemaet for Microsoft Sentinel-overvåkingshendelser representerer hendelser som er knyttet til revisjonssporet til informasjonssystemene. Overvåkingssporet logger systemkonfigurasjonsaktiviteter og policyendringer. Slike endringer utføres ofte av systemansvarlige, men kan også utføres av brukere når de konfigurerer innstillingene for sine egne programmer.
Hvert system logger overvåkingshendelser sammen med kjerneaktivitetsloggene. En brannmur loggfører for eksempel hendelser om nettverksøktene er prosesser, og overvåkingshendelser om konfigurasjonsendringer som brukes i selve brannmuren.
Hvis du vil ha mer informasjon om normalisering i Microsoft Sentinel, kan du se Normalisering og ASIM (Advanced Security Information Model).
Skjemaoversikt
Hovedfeltene i en overvåkingshendelse er:
- Objektet, som for eksempel kan være en administrert ressurs eller policyregel, som hendelsen fokuserer på, representert av feltobjektet. Feltet ObjectType angir objekttypen.
- Programkonteksten for objektet, representert av feltet TargetAppName, som er alias av programmet.
- Operasjonen som utføres på objektet, representert av feltene EventType og Operation. Mens Operasjon er verdien kilden rapporterte, er EventType en normalisert versjon som er mer konsekvent på tvers av kilder.
- De gamle og nye verdiene for objektet, hvis aktuelt, representeres av henholdsvis OldValue og NewValue .
Overvåkingshendelser refererer også til følgende enheter, som er involvert i konfigurasjonsoperasjonen:
- Aktør – Brukeren som utfører konfigurasjonsoperasjonen.
- TargetApp – programmet eller systemet som konfigurasjonsoperasjonen gjelder for.
- Mål – Systemet som TargetApp* kjører på.
- ActingApp – programmet som brukes av aktøren til å utføre konfigurasjonsoperasjonen.
- Src – systemet som brukes av aktøren til å starte konfigurasjonsoperasjonen, hvis den er forskjellig fra Mål.
Dvc Beskrivelsen brukes for rapporteringsenheten, som er det lokale systemet for økter rapportert av et endepunkt, og mellomleddet eller sikkerhetsenheten i andre tilfeller.
Parsere
Distribuere og bruke analyser for overvåkingshendelser
Distribuer ASIM-revisjonshendelsesanalyser fra Microsoft Sentinel GitHub-repositoriet. Hvis du vil spørre på tvers av alle kilder for overvåkingshendelser, kan du bruke den samlende parseren imAuditEvent som tabellnavn i spørringen.
Hvis du vil ha mer informasjon om hvordan du bruker ASIM-analyser, kan du se ASIM-analyseoversikten. Se ASIM-analyselisten for listen over revisjonshendelsesanalyser Microsoft Sentinel
Legg til dine egne normaliserte analyser
Når du implementerer egendefinerte analyser for filhendelsesinformasjonsmodellen, gir du navn til KQL-funksjonene ved hjelp av følgende syntaks: imAuditEvent<vendor><Product>. Se artikkelen Administrere ASIM-analyser for å lære hvordan du legger til egendefinerte parsere i analyseanalysen for overvåkingshendelsen.
Parametere for filtreringsanalyse
Analyser av overvåkingshendelser støtter filtreringsparametere. Selv om disse parameterne er valgfrie, kan de forbedre spørringsytelsen.
Følgende filtreringsparametere er tilgjengelige:
| Navn | Type: | Beskrivelse |
|---|---|---|
| starttidspunkt | Datetime | Filtrer bare hendelser som kjørte på eller etter dette tidspunktet. Denne parameteren TimeGenerated bruker feltet som tidsutforming for hendelsen. |
| Endtime | Datetime | Filtrer bare hendelsesspørringer som er ferdig med å kjøre på eller før dette tidspunktet. Denne parameteren TimeGenerated bruker feltet som tidsutforming for hendelsen. |
| srcipaddr_has_any_prefix | Dynamisk | Filtrer bare hendelser fra denne kilde-IP-adressen, som representert i SrcIpAddr-feltet . |
| eventtype_in | Streng | Filtrer bare hendelser der hendelsestypen, som representert i EventType-feltet , er alle vilkårene som er angitt. |
| eventresult | Streng | Filtrer bare hendelser der hendelsesresultatet, som representert i EventResult-feltet , er lik parameterverdien. |
| actorusername_has_any | dynamisk/streng | Filtrer bare hendelser der ActorUsername inneholder noen av vilkårene som er angitt. |
| operation_has_any | dynamisk/streng | Filtrer bare hendelser der Operasjon-feltet inneholder noen av vilkårene som er angitt. |
| object_has_any | dynamisk/streng | Filtrer bare hendelser der Objekt-feltet inneholder noen av vilkårene som er angitt. |
| newvalue_has_any | dynamisk/streng | Filtrer bare hendelser der NewValue-feltet inneholder noen av vilkårene som er angitt. |
Noen parametere kan godta begge listene med verdier av typen dynamic eller en enkelt strengverdi. Hvis du vil sende en litteral liste til parametere som forventer en dynamisk verdi, bruker du eksplisitt en dynamisk litteral. For eksempel: dynamic(['192.168.','10.'])
Hvis du for eksempel bare vil filtrere overvåkingshendelser med vilkårene install eller updateoperasjonsfeltet , bruker du følgende fra den siste dagen:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
Skjemadetaljer
Vanlige ASIM-felt
Viktig
Felt som er felles for alle skjemaer, beskrives i detalj i artikkelen ASIM Common Fields .
Vanlige felt med spesifikke retningslinjer
Listen nedenfor nevner felt som har spesifikke retningslinjer for overvåkingshendelser:
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| Eventtype | Obligatorisk | Nummerert | Beskriver operasjonen som overvåkes av hendelsen ved hjelp av en normalisert verdi. Bruk EventSubType til å oppgi ytterligere detaljer, som den normaliserte verdien ikke formidler, og Operasjon. for å lagre operasjonen som rapportert av rapporteringsenheten. For overvåkingshendelsesposter er de tillatte verdiene: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Initialize- Start- Stop- Other Overvåkingshendelser representerer et stort utvalg operasjoner, og Other verdien aktiverer tilordningsoperasjoner som ikke har noen tilsvarende EventType. Bruken av Other begrenser imidlertid brukervennligheten til hendelsen og bør unngås hvis mulig. |
| EventSubType | Valgfri | Streng | Gir ytterligere detaljer, som den normaliserte verdien i EventType ikke formidler. |
| EventSchema | Obligatorisk | Nummerert | Navnet på skjemaet som er dokumentert her, er AuditEvent. |
| EventSchemaVersion | Obligatorisk | SchemaVersion (streng) | Versjonen av skjemaet. Versjonen av skjemaet som er dokumentert her, er 0.1.2. |
Alle fellesfelt
Felt som vises i tabellen, er felles for alle ASIM-skjemaer. Alle retningslinjer som er angitt i dette dokumentet overstyrer de generelle retningslinjene for feltet. Et felt kan for eksempel være valgfritt generelt, men obligatorisk for et bestemt skjema. Hvis du vil ha mer informasjon om hvert felt, kan du se artikkelen ASIM Common Fields .
| Klasse | Felt |
|---|---|
| Obligatorisk |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Anbefalt |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valgfri |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOer - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Overvåkingsfelt
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| Operasjonen | Obligatorisk | Streng | Operasjonen overvåkes som rapportert av rapporteringsenheten. |
| Objekt | Obligatorisk | Streng | Navnet på objektet der operasjonen identifisert av EventType utføres. |
| Objectid | Valgfri | Streng | IDen til objektet der operasjonen identifisert av EventType utføres. |
| ObjectType | Betinget | Nummerert | Objekttypen. Tillatte verdier er: - Cloud Resource- Configuration Atom- Policy Rule- Event Log- Scheduled Task- Service- Directory Service Object- Other |
| OriginalObjectType | Valgfri | Streng | Objekttypen som rapporteres av rapporteringssystemet |
| Oldvalue | Valgfri | Streng | Den gamle verdien for objektet før operasjonen, hvis aktuelt. |
| NewValue | Anbefalt | Streng | Den nye verdien for objektet etter at operasjonen ble utført, hvis aktuelt. |
| Verdi | Alias | Alias til NewValue | |
| Valuetype | Betinget | Nummerert | Typen for de gamle og nye verdiene. Tillatte verdier er -Andre |
Aktørfelt
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| ActorUserId | Valgfri | Streng | En maskinlesbar, alfanumerisk, unik representasjon av aktøren. Hvis du vil ha mer informasjon, og for alternative felt for andre ID-er, kan du se Bruker-enheten. Eksempel: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Valgfri | Streng | Omfanget, for eksempel Microsoft Entra Domain Name, der ActorUserId og ActorUsername er definert. eller mer informasjon og liste over tillatte verdier, kan du se UserScope i artikkelen Oversikt over skjema. |
| ActorScopeId | Valgfri | Streng | Omfangs-ID-en, for eksempel Microsoft Entra Directory ID, der ActorUserId og ActorUsername er definert. Hvis du vil ha mer informasjon og en liste over tillatte verdier, kan du se UserScopeId i artikkelen Oversikt over skjema. |
| ActorUserIdType | Betinget | Nummerert | Typen ID som er lagret i ActorUserId-feltet . Hvis du vil ha mer informasjon og en liste over tillatte verdier, kan du se UserIdType i artikkelen Oversikt over skjema. |
| ActorUsername | Anbefalt | Brukernavn (streng) | Skuespillerens brukernavn, inkludert domeneinformasjon når tilgjengelig. Hvis du vil ha mer informasjon, kan du se Bruker-enheten. Eksempel: AlbertE |
| Bruker | Alias | Alias til ActorUsername | |
| ActorUsernameType | Betinget | UsernameType | Angir typen brukernavn som er lagret i ActorUsername-feltet . Hvis du vil ha mer informasjon og en liste over tillatte verdier, kan du se UsernameType i artikkelen Oversikt over skjema. Eksempel: Windows |
| ActorUserType | Valgfri | UserType | Typen aktør. Hvis du vil ha mer informasjon og en liste over tillatte verdier, kan du se UserType i artikkelen Oversikt over skjema. For eksempel: Guest |
| ActorOriginalUserType | Valgfri | Streng | Brukertypen som rapportert av rapporteringsenheten. |
| ActorSessionId | Valgfri | Streng | Den unike ID-en for påloggingsøkten til skuespilleren. Eksempel: 102pTUgC3p8RIqHvzxLCHnFlg |
Målprogramfelt
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| TargetAppId | Valgfri | Streng | ID-en for programmet som hendelsen gjelder for, inkludert en prosess, nettleser eller tjeneste. Eksempel: 89162 |
| TargetAppName | Valgfri | Streng | Navnet på programmet som hendelsen gjelder for, inkludert en tjeneste, en nettadresse eller et SaaS-program. Eksempel: Exchange 365 |
| Programmet | Alias | Alias til TargetAppName | |
| TargetAppType | Betinget | AppType | Typen program som godkjenner på vegne av aktøren. Hvis du vil ha mer informasjon og tillatt liste over verdier, kan du se AppType i artikkelen Oversikt over skjema. |
| TargetOriginalAppType | Valgfri | Streng | Programtypen som hendelsen gjelder for, som rapportert av rapporteringsenheten. |
| TargetUrl | Valgfri | URL | URL-adressen som er knyttet til målprogrammet. Eksempel: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
Målsystemfelt
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| Sommertid | Alias | Streng | En unik identifikator for godkjenningsmålet. Dette feltet kan alias for feltene TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId eller TargetAppName . Eksempel: 192.168.12.1 |
| TargetHostname | Anbefalt | Vertsnavn | Vertsnavnet for målenheten, unntatt domeneinformasjon. Eksempel: DESKTOP-1282V4D |
| TargetDomain | Valgfri | Domain(String) | Domenet til målenheten. Eksempel: Contoso |
| TargetDomainType | Betinget | Nummerert | Typen TargetDomain. Hvis du vil ha en liste over tillatte verdier og ytterligere informasjon, kan du se DomainType i artikkelen Oversikt over skjema. Obligatorisk hvis TargetDomain brukes. |
| TargetFQDN | Valgfri | FQDN (streng) | Vertsnavnet for målenheten, inkludert domeneinformasjon når tilgjengelig. Eksempel: Contoso\DESKTOP-1282V4D Obs! Dette feltet støtter både tradisjonelt FQDN-format og Windows-domene\vertsnavnformat. TargetDomainType gjenspeiler formatet som brukes. |
| TargetDescription | Valgfri | Streng | En beskrivende tekst som er knyttet til enheten. Eksempel: Primary Domain Controller. |
| TargetDvcId | Valgfri | Streng | ID-en til målenheten. Hvis flere IDer er tilgjengelige, bruker du den viktigste og lagrer de andre i feltene TargetDvc<DvcIdType>. Eksempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Valgfri | Streng | Omfangs-ID-en for skyplattformen som enheten tilhører. TargetDvcScopeId tilordnes til en abonnements-ID på Azure og til en konto-ID på AWS. |
| TargetDvcScope | Valgfri | Streng | Omfanget for skyplattformen som enheten tilhører. TargetDvcScope tilordner en abonnements-ID på Azure og til en konto-ID på AWS. |
| TargetDvcIdType | Betinget | Nummerert | Typen TargetDvcId. Hvis du vil ha en liste over tillatte verdier og mer informasjon, kan du se DvcIdType i artikkelen Oversikt over skjema. Obligatorisk hvis TargetDeviceId brukes. |
| TargetDeviceType | Valgfri | Nummerert | Typen målenhet. Hvis du vil ha en liste over tillatte verdier og mer informasjon, kan du se DeviceType i artikkelen Oversikt over skjema. |
| TargetIpAddr | Anbefalt | IP-adresse | IP-adressen til målenheten. Eksempel: 2.2.2.2 |
| TargetDvcOs | Valgfri | Streng | Operativsystemet til målenheten. Eksempel: Windows 10 |
| TargetPortNumber | Valgfri | Heltall | Porten til målenheten. |
| TargetGeoCountry | Valgfri | Land | Landet/området som er knyttet til IP-adressen for mål. Eksempel: USA |
| TargetGeoRegion | Valgfri | Regionen | Området i et land/område som er knyttet til MÅL-IP-adressen. Eksempel: Vermont |
| TargetGeoCity | Valgfri | By | Byen som er knyttet til MÅL-IP-adressen. Eksempel: Burlington |
| TargetGeoLatitude | Valgfri | Latitude | Breddegraden til den geografiske koordinaten som er knyttet til MÅL-IP-adressen. Eksempel: 44.475833 |
| TargetGeoLongitude | Valgfri | Lengdegrad | Lengdegraden til den geografiske koordinaten som er knyttet til MÅL-IP-adressen. Eksempel: 73.211944 |
| TargetRiskLevel | Valgfri | Heltall | Risikonivået som er knyttet til målet. Verdien bør justeres til et område av 0 til , med 0 for godartet og 100100for høy risiko.Eksempel: 90 |
| TargetOriginalRiskLevel | Valgfri | Streng | Risikonivået som er knyttet til målet, som rapportert av rapporteringsenheten. Eksempel: Suspicious |
Fungerende programfelt
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| ActingAppId | Valgfri | Streng | ID-en til programmet som startet den rapporterte aktiviteten, inkludert en prosess, nettleser eller tjeneste. For eksempel: 0x12ae8 |
| ActingAppName | Valgfri | Streng | Navnet på programmet som startet den rapporterte aktiviteten, inkludert en tjeneste, en nettadresse eller et SaaS-program. For eksempel: C:\Windows\System32\svchost.exe |
| ActingAppType | Valgfri | AppType | Typen fungerende søknad. Hvis du vil ha mer informasjon og tillatt liste over verdier, kan du se AppType i artikkelen Oversikt over skjema. |
| ActingOriginalAppType | Valgfri | Streng | Programtypen som startet aktiviteten, som rapportert av rapporteringsenheten. |
| HttpUserAgent | Valgfri | Streng | Når godkjenning utføres over HTTP eller HTTPS, er denne feltverdien den user_agent HTTP-toppteksten som leveres av det fungerende programmet når du utfører godkjenningen. For eksempel: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Kildesystemfelt
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| Src | Alias | Streng | En unik identifikator for kildeenheten. Dette feltet kan alias for feltene SrcDvcId, SrcHostname eller SrcIpAddr . Eksempel: 192.168.12.1 |
| SrcIpAddr | Anbefalt | IP-adresse | IP-adressen som tilkoblingen eller økten kom fra. Eksempel: 77.138.103.108 |
| IpAddr | Alias | Alias til SrcIpAddr eller TargetIpAddr hvis SrcIpAddr ikke er angitt. | |
| SrcPortNumber | Valgfri | Heltall | IP-porten som tilkoblingen oppsto fra. Det kan hende at den ikke er relevant for en økt som består av flere tilkoblinger. Eksempel: 2335 |
| SrcHostname | Valgfri | Vertsnavn | Vertsnavnet for kildeenheten, unntatt domeneinformasjon. Hvis ingen enhetsnavn er tilgjengelig, lagrer du den relevante IP-adressen i dette feltet. Eksempel: DESKTOP-1282V4D |
| SrcDomain | Valgfri | Domene (streng) | Domenet til kildeenheten. Eksempel: Contoso |
| SrcDomainType | Betinget | DomainType | Typen SrcDomain. Hvis du vil ha en liste over tillatte verdier og ytterligere informasjon, kan du se DomainType i artikkelen Oversikt over skjema. Obligatorisk hvis SrcDomain brukes. |
| SrcFQDN | Valgfri | FQDN (streng) | Vertsnavnet for kildeenheten, inkludert domeneinformasjon når tilgjengelig. Obs! Dette feltet støtter både tradisjonelt FQDN-format og Windows-domene\vertsnavnformat. SrcDomainType-feltet gjenspeiler formatet som brukes. Eksempel: Contoso\DESKTOP-1282V4D |
| SrcDescription | Valgfri | Streng | En beskrivende tekst som er knyttet til enheten. Eksempel: Primary Domain Controller. |
| SrcDvcId | Valgfri | Streng | ID-en til kildeenheten. Hvis flere IDer er tilgjengelige, bruker du den viktigste og lagrer de andre i feltene SrcDvc<DvcIdType>.Eksempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Valgfri | Streng | Omfangs-ID-en for skyplattformen som enheten tilhører. SrcDvcScopeId tilordnes til en abonnements-ID på Azure og til en konto-ID på AWS. |
| SrcDvcScope | Valgfri | Streng | Omfanget for skyplattformen som enheten tilhører. SrcDvcScope tilordner til en abonnements-ID på Azure og til en konto-ID på AWS. |
| SrcDvcIdType | Betinget | DvcIdType | Typen SrcDvcId. Hvis du vil ha en liste over tillatte verdier og mer informasjon, kan du se DvcIdType i artikkelen Oversikt over skjema. Obs! Dette feltet er obligatorisk hvis SrcDvcId brukes. |
| SrcDeviceType | Valgfri | DeviceType | Typen kildeenhet. Hvis du vil ha en liste over tillatte verdier og mer informasjon, kan du se DeviceType i artikkelen Oversikt over skjema. |
| SrcGeoCountry | Valgfri | Land | Landet/området som er knyttet til kilde-IP-adressen. Eksempel: USA |
| SrcGeoRegion | Valgfri | Regionen | Området i et land/område som er knyttet til kilde-IP-adressen. Eksempel: Vermont |
| SrcGeoCity | Valgfri | By | Byen som er knyttet til kilde-IP-adressen. Eksempel: Burlington |
| SrcGeoLatitude | Valgfri | Latitude | Breddegraden til den geografiske koordinaten som er knyttet til kilde-IP-adressen. Eksempel: 44.475833 |
| SrcGeoLongitude | Valgfri | Lengdegrad | Lengdegraden til den geografiske koordinaten som er knyttet til kilde-IP-adressen. Eksempel: 73.211944 |
| SrcRiskLevel | Valgfri | Heltall | Risikonivået som er knyttet til kilden. Verdien bør justeres til et område av 0 til , med 0 for godartet og 100100for høy risiko.Eksempel: 90 |
| SrcOriginalRiskLevel | Valgfri | Streng | Risikonivået som er knyttet til kilden, som rapportert av rapporteringsenheten. Eksempel: Suspicious |
Inspeksjonsfelt
Følgende felt brukes til å representere denne inspeksjonen utført av et sikkerhetssystem.
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| Regelnavn | Valgfri | Streng | Navnet eller ID-en for regelen ved å knytte til inspeksjonsresultatene. |
| Regelnummer | Valgfri | Heltall | Nummeret på regelen som er knyttet til inspeksjonsresultatene. |
| Regelen | Alias | Streng | Verdien av RuleName eller verdien av RuleNumber. Hvis verdien for RuleNumber brukes, bør typen konverteres til streng. |
| ThreatId | Valgfri | Streng | ID-en for trusselen eller skadelig programvare som er identifisert i overvåkingsaktiviteten. |
| ThreatName | Valgfri | Streng | Navnet på trusselen eller skadelig programvare som er identifisert i overvåkingsaktiviteten. |
| Trusselkategori | Valgfri | Streng | Kategorien for trusselen eller skadelig programvare som identifiseres i overvåkingsfilaktiviteten. |
| ThreatRiskLevel | Valgfri | RiskLevel (heltall) | Risikonivået som er knyttet til den identifiserte trusselen. Nivået må være et tall mellom 0 og 100. Obs! Verdien kan angis i kildeposten ved hjelp av en annen skala, som skal normaliseres til denne skalaen. Den opprinnelige verdien bør lagres i ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Valgfri | Streng | Risikonivået som rapporteres av rapporteringsenheten. |
| ThreatConfidence | Valgfri | Konfidensnivå (heltall) | Konfidensnivået til trusselen som er identifisert, normalisert til en verdi mellom 0 og 100. |
| ThreatOriginalConfidence | Valgfri | Streng | Det opprinnelige konfidensnivået for trusselen identifisert, som rapportert av rapporteringsenheten. |
| ThreatIsActive | Valgfri | Boolsk | Sann hvis trusselen som identifiseres, anses som en aktiv trussel. |
| ThreatFirstReportedTime | Valgfri | Datetime | Første gang IP-adressen eller domenet ble identifisert som en trussel. |
| ThreatLastReportedTime | Valgfri | Datetime | Siste gang IP-adressen eller domenet ble identifisert som en trussel. |
| ThreatIpAddr | Valgfri | IP-adresse | En IP-adresse som en trussel ble identifisert for. Feltet ThreatField inneholder navnet på feltet ThreatIpAddr representerer. |
| ThreatField | Betinget | Nummerert | Feltet som en trussel ble identifisert for. Verdien er enten SrcIpAddr eller TargetIpAddr. |
Skjemaoppdateringer
Endringene i versjon 0.1.1 av skjemaet er:
- La til feltet
ObjectIdogOriginalObjectType.
Endringene i versjon 0.1.2 av skjemaet er:
- La til feltet
ActingOriginalAppType,OriginalObjectType,SrcOriginalRiskLevel,SrcRiskLevel,TargetGeoCityTargetGeoCountry,,TargetGeoLatitude,TargetGeoLongitudeTargetGeoRegion,TargetOriginalAppType,TargetOriginalRiskLevelogTargetRiskLevel
Neste trinn
Hvis du vil ha mer informasjon, kan du se: