Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Skjemaet for Microsoft Sentinel-godkjenning brukes til å beskrive hendelser relatert til brukergodkjenning, pålogging og avlogging. Godkjenningshendelser sendes av mange rapporteringsenheter, vanligvis som en del av hendelsesstrømmen sammen med andre hendelser. Windows sender for eksempel flere godkjenningshendelser sammen med andre OS-aktivitetshendelser.
Godkjenningshendelser omfatter begge hendelser fra systemer som fokuserer på godkjenning, for eksempel VPN-gatewayer eller domenekontrollere, og direkte godkjenning til et sluttsystem, for eksempel en datamaskin eller brannmur.
Hvis du vil ha mer informasjon om normalisering i Microsoft Sentinel, kan du se Normalisering og ASIM (Advanced Security Information Model).
Parsere
Distribuer ASIM-godkjenningsanalyser fra gitHub-repositoriet Microsoft Sentinel. Hvis du vil ha mer informasjon om ASIM-analyser, kan du se artiklene ASIM-analyseoversikt.
Samlende analyser
Hvis du vil bruke parsere som forener alle ASIM-parsere som er ferdig brukte, og sikre at analysen kjører på tvers av alle de konfigurerte kildene, kan du bruke imAuthentication filtreringsanalysen eller den parameterfrie parseren ASimAuthentication .
Kildespesifikke analyser
Hvis du vil se listen over godkjenningsanalyser Microsoft Sentinel kan du se ASIM-parserlisten:
Legg til dine egne normaliserte analyser
Når du implementerer egendefinerte analyser for informasjonsmodellen for godkjenning, kan du gi navn til KQL-funksjonene ved hjelp av følgende syntaks:
-
vimAuthentication<vendor><Product>for filtreringsanalyser -
ASimAuthentication<vendor><Product>for parameter-less-parsers
Hvis du vil ha informasjon om hvordan du legger til egendefinerte analyser i den samlende parseren, kan du se Administrere ASIM-analyser.
Parametere for filtreringsanalyse
vim* Parserne im støtter filtreringsparametere. Selv om disse parserne er valgfrie, kan de forbedre spørringsytelsen.
Følgende filtreringsparametere er tilgjengelige:
| Navn | Type: | Beskrivelse |
|---|---|---|
| starttidspunkt | Datetime | Filtrer bare godkjenningshendelser som kjørte på eller etter dette tidspunktet. Denne parameteren TimeGenerated filtrerer på feltet, som er standardutformingen for tidspunktet for hendelsen, uavhengig av den parserspesifikke tilordningen av EventStartTime- og EventEndTime-feltene. |
| Endtime | Datetime | Filtrer bare godkjenningshendelser som er ferdig å kjøre på eller før dette tidspunktet. Denne parameteren TimeGenerated filtrerer på feltet, som er standardutformingen for tidspunktet for hendelsen, uavhengig av den parserspesifikke tilordningen av EventStartTime- og EventEndTime-feltene. |
| targetusername_has | Streng | Filtrer bare godkjenningshendelser som har noen av de oppførte brukernavnene. |
Hvis du for eksempel bare vil filtrere godkjenningshendelser fra den siste dagen til en bestemt bruker, bruker du:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Tips
Hvis du vil sende en litteral liste til parametere som forventer en dynamisk verdi, bruker du eksplisitt en dynamisk litteral. Eksempel: dynamic(['192.168.','10.']).
Normalisert innhold
Analytiske regler for normalisert godkjenning er unike når de oppdager angrep på tvers av kilder. Så hvis for eksempel en bruker logget på forskjellige, ikke-relaterte systemer, fra forskjellige land/områder, vil Microsoft Sentinel nå oppdage denne trusselen.
Hvis du vil ha en fullstendig liste over analyseregler som bruker normaliserte godkjenningshendelser, kan du se sikkerhetsinnhold for godkjenningsskjema.
Skjemaoversikt
Informasjonsmodellen for godkjenning er justert med OSSEM-påloggingsenhetsskjemaet.
Feltene som er oppført i tabellen nedenfor, er spesifikke for godkjenningshendelser, men ligner på felt i andre skjemaer og følger lignende navnekonvensjoner.
Godkjenningshendelser refererer til følgende enheter:
- TargetUser – brukerinformasjonen som brukes til å godkjenne til systemet. TargetSystem er hovedemnet for godkjenningshendelsen, og aliaset Brukeraliaserer en TargetUser identifisert.
- TargetApp – programmet er godkjent til.
- Mål – Systemet som TargetApp* kjører på.
- Aktør – Brukeren som starter godkjenningen, hvis den er forskjellig fra TargetUser.
- ActingApp – programmet som brukes av aktøren til å utføre godkjenningen.
- Src – systemet som brukes av aktøren til å starte godkjenningen.
Forholdet mellom disse enhetene demonstreres best som følger:
En aktør som kjører et fungerende program, ActingApp, på et kildesystem, Src, forsøker å godkjenne som en TargetUser til et målprogram, TargetApp, på et målsystem, TargetDvc.
Skjemadetaljer
I tabellene nedenfor refererer Type til en logisk type. Hvis du vil ha mer informasjon, kan du se logiske typer.
Vanlige ASIM-felt
Viktig
Felt som er felles for alle skjemaer, beskrives i detalj i artikkelen ASIM Common Fields .
Vanlige felt med spesifikke retningslinjer
Listen nedenfor nevner felt som har spesifikke retningslinjer for godkjenningshendelser:
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| Eventtype | Obligatorisk | Nummerert | Beskriver operasjonen som er rapportert av posten. For godkjenningsposter omfatter støttede verdier: - Logon - Logoff- Elevate |
| EventResultDetails | Anbefalt | Nummerert | Detaljene som er knyttet til hendelsesresultatet. Dette feltet fylles vanligvis ut når resultatet er en feil. Tillatte verdier inkluderer: - No such user or password. Denne verdien bør også brukes når den opprinnelige hendelsen rapporterer at det ikke finnes noen slik bruker, uten referanse til et passord.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. Denne verdien bør brukes når den opprinnelige hendelsen rapporterer, for eksempel: MFA obligatorisk, logg på utenfor arbeidstiden, betingede tilgangsbegrensninger eller for hyppige forsøk.- Session expired- OtherVerdien kan angis i kildeposten ved hjelp av forskjellige termer, som skal normaliseres til disse verdiene. Den opprinnelige verdien bør lagres i feltet EventOriginalResultDetails |
| EventSubType | Valgfri | Nummerert | Påloggingstypen. Tillatte verdier inkluderer: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote – Brukes når typen ekstern pålogging er ukjent.- AssumeRole - Brukes vanligvis når hendelsestypen er Elevate. Verdien kan angis i kildeposten ved hjelp av forskjellige termer, som skal normaliseres til disse verdiene. Den opprinnelige verdien bør lagres i feltet EventOriginalSubType. |
| EventSchemaVersion | Obligatorisk | SchemaVersion (streng) | Versjonen av skjemaet. Versjonen av skjemaet som er dokumentert her, er 0.1.4 |
| EventSchema | Obligatorisk | Nummerert | Navnet på skjemaet som er dokumentert her, er godkjenning. |
| Dvc-felt | - | - | For godkjenningshendelser refererer enhetsfelt til systemet som rapporterer hendelsen. |
Alle fellesfelt
Felt som vises i tabellen nedenfor, er felles for alle ASIM-skjemaer. Alle retningslinjer som er angitt ovenfor, overstyrer de generelle retningslinjene for feltet. Et felt kan for eksempel være valgfritt generelt, men obligatorisk for et bestemt skjema. Hvis du vil ha mer informasjon om hvert felt, kan du se artikkelen ASIM Common Fields .
| Klasse | Felt |
|---|---|
| Obligatorisk |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Anbefalt |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valgfri |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOer - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Godkjenningsspesifikke felt
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| Påloggingsmetode | Valgfri | Streng | Metoden som brukes til å utføre godkjenning. Tillatte verdier inkluderer: Managed Identity, , Username & PasswordService Principal, Multi factor authentication, Passwordless, PKIPAMog Other. Eksempler: Managed Identity |
| LogonProtocol | Valgfri | Streng | Protokollen som brukes til å utføre godkjenning. Eksempel: NTLM |
Aktørfelt
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| ActorUserId | Valgfri | Streng | En maskinlesbar, alfanumerisk, unik representasjon av aktøren. Hvis du vil ha mer informasjon, og for alternative felt for flere ID-er, kan du se Bruker-enheten. Eksempel: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Valgfri | Streng | Omfanget, for eksempel Microsoft Entra tenant, der ActorUserId og ActorUsername er definert. eller mer informasjon og liste over tillatte verdier, kan du se UserScope i artikkelen Oversikt over skjema. |
| ActorScopeId | Valgfri | Streng | Omfangs-ID-en, for eksempel Microsoft Entra Directory ID, der ActorUserId og ActorUsername er definert. Hvis du vil ha mer informasjon og en liste over tillatte verdier, kan du se UserScopeId i artikkelen Oversikt over skjema. |
| ActorUserIdType | Betinget | UserIdType | Typen ID som er lagret i ActorUserId-feltet . Hvis du vil ha mer informasjon og en liste over tillatte verdier, kan du se UserIdType i artikkelen Oversikt over skjema. |
| ActorUsername | Valgfri | Brukernavn (streng) | Skuespillerens brukernavn, inkludert domeneinformasjon når tilgjengelig. Hvis du vil ha mer informasjon, kan du se Bruker-enheten. Eksempel: AlbertE |
| ActorUsernameType | Betinget | UsernameType | Angir typen brukernavn som er lagret i ActorUsername-feltet . Hvis du vil ha mer informasjon og en liste over tillatte verdier, kan du se UsernameType i artikkelen Oversikt over skjema. Eksempel: Windows |
| ActorUserType | Valgfri | UserType | Typen aktør. Hvis du vil ha mer informasjon og en liste over tillatte verdier, kan du se UserType i artikkelen Oversikt over skjema. For eksempel: Guest |
| ActorOriginalUserType | Valgfri | Streng | Brukertypen som rapportert av rapporteringsenheten. |
| ActorSessionId | Valgfri | Streng | Den unike ID-en for påloggingsøkten til skuespilleren. Eksempel: 102pTUgC3p8RIqHvzxLCHnFlg |
Fungerende programfelt
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| ActingAppId | Valgfri | Streng | ID-en til programmet som godkjenner på vegne av aktøren, inkludert en prosess, nettleser eller tjeneste. For eksempel: 0x12ae8 |
| ActingAppName | Valgfri | Streng | Navnet på programmet som godkjenner på vegne av aktøren, inkludert en prosess, nettleser eller tjeneste. For eksempel: C:\Windows\System32\svchost.exe |
| ActingAppType | Valgfri | AppType | Typen fungerende søknad. Hvis du vil ha mer informasjon og tillatt liste over verdier, kan du se AppType i artikkelen Oversikt over skjema. |
| ActingOriginalAppType | Valgfri | Streng | Typen fungerende program som rapporteres av rapporteringsenheten. |
| HttpUserAgent | Valgfri | Streng | Når godkjenning utføres over HTTP eller HTTPS, er denne feltverdien den user_agent HTTP-toppteksten som leveres av det fungerende programmet når du utfører godkjenningen. For eksempel: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Målbrukerfelt
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| TargetUserId | Valgfri | Streng | En maskinlesbar, alfanumerisk, unik representasjon av målbrukeren. Hvis du vil ha mer informasjon, og for alternative felt for flere ID-er, kan du se Bruker-enheten. Eksempel: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | Valgfri | Streng | Omfanget, for eksempel Microsoft Entra tenant, der TargetUserId og TargetUsername er definert. eller mer informasjon og liste over tillatte verdier, kan du se UserScope i artikkelen Oversikt over skjema. |
| TargetUserScopeId | Valgfri | Streng | Omfangs-ID-en, for eksempel Microsoft Entra katalog-ID, der TargetUserId og TargetUsername er definert. Hvis du vil ha mer informasjon og en liste over tillatte verdier, kan du se UserScopeId i artikkelen Oversikt over skjema. |
| TargetUserIdType | Betinget | UserIdType | Typen bruker-ID som er lagret i TargetUserId-feltet . Hvis du vil ha mer informasjon og en liste over tillatte verdier, kan du se UserIdType i artikkelen Oversikt over skjema. Eksempel: SID |
| TargetUsername | Valgfri | Brukernavn (streng) | Brukernavnet for målbrukeren, inkludert domeneinformasjon når det er tilgjengelig. Hvis du vil ha mer informasjon, kan du se Bruker-enheten. Eksempel: MarieC |
| TargetUsernameType | Betinget | UsernameType | Angir typen brukernavn som er lagret i TargetUsername-feltet . Hvis du vil ha mer informasjon og en liste over tillatte verdier, kan du se UsernameType i artikkelen Oversikt over skjema. |
| TargetUserType | Valgfri | UserType | Typen målbruker. Hvis du vil ha mer informasjon og en liste over tillatte verdier, kan du se UserType i artikkelen Oversikt over skjema. For eksempel: Member |
| TargetSessionId | Valgfri | Streng | Identifikatoren for påloggingsøkten for TargetUser på kildeenheten. |
| TargetOriginalUserType | Valgfri | Streng | Brukertypen som rapportert av rapporteringsenheten. |
| Bruker | Alias | Brukernavn (streng) | Alias til TargetUsername eller TargetUserId hvis TargetUsername ikke er definert. Eksempel: CONTOSO\dadmin |
Kildesystemfelt
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| Src | Anbefalt | Streng | En unik identifikator for kildeenheten. Dette feltet kan alias for feltene SrcDvcId, SrcHostname eller SrcIpAddr . Eksempel: 192.168.12.1 |
| SrcDvcId | Valgfri | Streng | ID-en til kildeenheten. Hvis flere IDer er tilgjengelige, bruker du den viktigste og lagrer de andre i feltene SrcDvc<DvcIdType>.Eksempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Valgfri | Streng | Omfangs-ID-en for skyplattformen som enheten tilhører. SrcDvcScopeId tilordnes til en abonnements-ID på Azure og til en konto-ID på AWS. |
| SrcDvcScope | Valgfri | Streng | Omfanget for skyplattformen som enheten tilhører. SrcDvcScope tilordner til en abonnements-ID på Azure og til en konto-ID på AWS. |
| SrcDvcIdType | Betinget | DvcIdType | Typen SrcDvcId. Hvis du vil ha en liste over tillatte verdier og ytterligere informasjon, kan du se DvcIdType i artikkelen Oversikt over skjema. Obs! Dette feltet er obligatorisk hvis SrcDvcId brukes. |
| SrcDeviceType | Valgfri | DeviceType | Typen kildeenhet. Hvis du vil ha en liste over tillatte verdier og ytterligere informasjon, kan du se DeviceType i artikkelen Oversikt over skjema. |
| SrcHostname | Valgfri | Vertsnavn | Vertsnavnet for kildeenheten, unntatt domeneinformasjon. Hvis ingen enhetsnavn er tilgjengelig, lagrer du den relevante IP-adressen i dette feltet. Eksempel: DESKTOP-1282V4D |
| SrcDomain | Valgfri | Domene (streng) | Domenet til kildeenheten. Eksempel: Contoso |
| SrcDomainType | Betinget | DomainType | Typen SrcDomain. Hvis du vil ha en liste over tillatte verdier og ytterligere informasjon, kan du se DomainType i artikkelen Oversikt over skjema. Obligatorisk hvis SrcDomain brukes. |
| SrcFQDN | Valgfri | FQDN (streng) | Vertsnavnet for kildeenheten, inkludert domeneinformasjon når tilgjengelig. Obs! Dette feltet støtter både tradisjonelt FQDN-format og Windows-domene\vertsnavnformat. SrcDomainType-feltet gjenspeiler formatet som brukes. Eksempel: Contoso\DESKTOP-1282V4D |
| SrcDescription | Valgfri | Streng | En beskrivende tekst som er knyttet til enheten. Eksempel: Primary Domain Controller. |
| SrcIpAddr | Anbefalt | IP-adresse | IP-adressen til kildeenheten. Eksempel: 2.2.2.2 |
| SrcPortNumber | Valgfri | Heltall | IP-porten som tilkoblingen oppsto fra. Eksempel: 2335 |
| SrcDvcOs | Valgfri | Streng | Operativsystemet til kildeenheten. Eksempel: Windows 10 |
| IpAddr | Alias | Alias til SrcIpAddr | |
| SrcIsp | Valgfri | Streng | Internett-leverandøren (ISP) som brukes av kildeenheten til å koble til Internett. Eksempel: corpconnect |
| SrcGeoCountry | Valgfri | Land | Eksempel: Canada Hvis du vil ha mer informasjon, kan du se logiske typer. |
| SrcGeoCity | Valgfri | By | Eksempel: Montreal Hvis du vil ha mer informasjon, kan du se logiske typer. |
| SrcGeoRegion | Valgfri | Regionen | Eksempel: Quebec Hvis du vil ha mer informasjon, kan du se logiske typer. |
| SrcGeoLongitude | Valgfri | Lengdegrad | Eksempel: -73.614830 Hvis du vil ha mer informasjon, kan du se logiske typer. |
| SrcGeoLatitude | Valgfri | Latitude | Eksempel: 45.505918 Hvis du vil ha mer informasjon, kan du se logiske typer. |
| SrcRiskLevel | Valgfri | Heltall | Risikonivået som er knyttet til kilden. Verdien bør justeres til et område av 0 til , med 0 for godartet og 100100for høy risiko.Eksempel: 90 |
| SrcOriginalRiskLevel | Valgfri | Streng | Risikonivået som er knyttet til kilden, som rapportert av rapporteringsenheten. Eksempel: Suspicious |
Målprogramfelt
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| TargetAppId | Valgfri | Streng | ID-en til programmet som autorisasjonen kreves for, ofte tilordnet av rapporteringsenheten. Eksempel: 89162 |
| TargetAppName | Valgfri | Streng | Navnet på programmet som autorisasjonen kreves for, inkludert en tjeneste, en nettadresse eller et SaaS-program. Eksempel: Saleforce |
| Programmet | Alias | Alias til TargetAppName. | |
| TargetAppType | Betinget | AppType | Typen program som godkjenner på vegne av aktøren. Hvis du vil ha mer informasjon og tillatt liste over verdier, kan du se AppType i artikkelen Oversikt over skjema. |
| TargetOriginalAppType | Valgfri | Streng | Typen program som godkjenner på vegne av aktøren, som rapportert av rapporteringsenheten. |
| TargetUrl | Valgfri | URL | URL-adressen som er knyttet til målprogrammet. Eksempel: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Alias | Alias til enten TargetAppName, TargetUrl eller TargetHostname, avhengig av hvilket felt som best beskriver godkjenningsmålet. |
Målsystemfelt
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| Sommertid | Alias | Streng | En unik identifikator for godkjenningsmålet. Dette feltet kan alias for feltene TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId eller TargetAppName . Eksempel: 192.168.12.1 |
| TargetHostname | Anbefalt | Vertsnavn | Vertsnavnet for målenheten, unntatt domeneinformasjon. Eksempel: DESKTOP-1282V4D |
| TargetDomain | Anbefalt | Domene (streng) | Domenet til målenheten. Eksempel: Contoso |
| TargetDomainType | Betinget | Nummerert | Typen TargetDomain. Hvis du vil ha en liste over tillatte verdier og ytterligere informasjon, kan du se DomainType i artikkelen Oversikt over skjema. Obligatorisk hvis TargetDomain brukes. |
| TargetFQDN | Valgfri | FQDN (streng) | Vertsnavnet for målenheten, inkludert domeneinformasjon når tilgjengelig. Eksempel: Contoso\DESKTOP-1282V4D Obs! Dette feltet støtter både tradisjonelt FQDN-format og Windows-domene\vertsnavnformat. TargetDomainType gjenspeiler formatet som brukes. |
| TargetDescription | Valgfri | Streng | En beskrivende tekst som er knyttet til enheten. Eksempel: Primary Domain Controller. |
| TargetDvcId | Valgfri | Streng | ID-en til målenheten. Hvis flere IDer er tilgjengelige, bruker du den viktigste og lagrer de andre i feltene TargetDvc<DvcIdType>. Eksempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Valgfri | Streng | Omfangs-ID-en for skyplattformen som enheten tilhører. TargetDvcScopeId tilordnes til en abonnements-ID på Azure og til en konto-ID på AWS. |
| TargetDvcScope | Valgfri | Streng | Omfanget for skyplattformen som enheten tilhører. TargetDvcScope tilordner en abonnements-ID på Azure og til en konto-ID på AWS. |
| TargetDvcIdType | Betinget | Nummerert | Typen TargetDvcId. Hvis du vil ha en liste over tillatte verdier og ytterligere informasjon, kan du se DvcIdType i artikkelen Oversikt over skjema. Obligatorisk hvis TargetDeviceId brukes. |
| TargetDeviceType | Valgfri | Nummerert | Typen målenhet. Hvis du vil ha en liste over tillatte verdier og ytterligere informasjon, kan du se DeviceType i artikkelen Oversikt over skjema. |
| TargetIpAddr | Valgfri | IP-adresse | IP-adressen til målenheten. Eksempel: 2.2.2.2 |
| TargetDvcOs | Valgfri | Streng | Operativsystemet til målenheten. Eksempel: Windows 10 |
| TargetPortNumber | Valgfri | Heltall | Porten til målenheten. |
| TargetGeoCountry | Valgfri | Land | Landet/området som er knyttet til mål-IP-adressen. Eksempel: USA |
| TargetGeoRegion | Valgfri | Regionen | Området som er knyttet til mål-IP-adressen. Eksempel: Vermont |
| TargetGeoCity | Valgfri | By | Byen som er knyttet til mål-IP-adressen. Eksempel: Burlington |
| TargetGeoLatitude | Valgfri | Latitude | Breddegraden til den geografiske koordinaten som er knyttet til mål-IP-adressen. Eksempel: 44.475833 |
| TargetGeoLongitude | Valgfri | Lengdegrad | Lengdegraden til den geografiske koordinaten som er knyttet til mål-IP-adressen. Eksempel: 73.211944 |
| TargetRiskLevel | Valgfri | Heltall | Risikonivået som er knyttet til målet. Verdien bør justeres til et område av 0 til , med 0 for godartet og 100100for høy risiko.Eksempel: 90 |
| TargetOriginalRiskLevel | Valgfri | Streng | Risikonivået som er knyttet til målet, som rapportert av rapporteringsenheten. Eksempel: Suspicious |
Inspeksjonsfelt
Følgende felt brukes til å representere denne inspeksjonen utført av et sikkerhetssystem.
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| Regelnavn | Valgfri | Streng | Navnet eller ID-en for regelen ved å knytte til inspeksjonsresultatene. |
| Regelnummer | Valgfri | Heltall | Nummeret på regelen som er knyttet til inspeksjonsresultatene. |
| Regelen | Alias | Streng | Verdien av RuleName eller verdien av RuleNumber. Hvis verdien for RuleNumber brukes, bør typen konverteres til streng. |
| ThreatId | Valgfri | Streng | ID-en for trusselen eller skadelig programvare som er identifisert i overvåkingsaktiviteten. |
| ThreatName | Valgfri | Streng | Navnet på trusselen eller skadelig programvare som er identifisert i overvåkingsaktiviteten. |
| Trusselkategori | Valgfri | Streng | Kategorien for trusselen eller skadelig programvare som identifiseres i overvåkingsfilaktiviteten. |
| ThreatRiskLevel | Valgfri | RiskLevel (heltall) | Risikonivået som er knyttet til den identifiserte trusselen. Nivået må være et tall mellom 0 og 100. Obs! Verdien kan angis i kildeposten ved hjelp av en annen skala, som skal normaliseres til denne skalaen. Den opprinnelige verdien bør lagres i ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Valgfri | Streng | Risikonivået som rapporteres av rapporteringsenheten. |
| ThreatConfidence | Valgfri | Konfidensnivå (heltall) | Konfidensnivået til trusselen som er identifisert, normalisert til en verdi mellom 0 og 100. |
| ThreatOriginalConfidence | Valgfri | Streng | Det opprinnelige konfidensnivået for trusselen identifisert, som rapportert av rapporteringsenheten. |
| ThreatIsActive | Valgfri | Boolsk | Sann hvis trusselen som identifiseres, anses som en aktiv trussel. |
| ThreatFirstReportedTime | Valgfri | Datetime | Første gang IP-adressen eller domenet ble identifisert som en trussel. |
| ThreatLastReportedTime | Valgfri | Datetime | Siste gang IP-adressen eller domenet ble identifisert som en trussel. |
| ThreatIpAddr | Valgfri | IP-adresse | En IP-adresse som en trussel ble identifisert for. Feltet ThreatField inneholder navnet på feltet ThreatIpAddr representerer. |
| ThreatField | Betinget | Nummerert | Feltet som en trussel ble identifisert for. Verdien er enten SrcIpAddr eller TargetIpAddr. |
Skjemaoppdateringer
Dette er endringene i versjon 0.1.1 av skjemaet:
- Oppdaterte enhetsfeltene for bruker og enhet slik at de samsvarer med andre skjemaer.
- Endret
TargetDvcnavn ogSrcDvctilTargetogSrchenholdsvis for å samsvare med gjeldende ASIM-retningslinjer. Feltene med nytt navn vil bli implementert som aliaser frem til 1. juli 2022. Disse feltene omfatter:SrcDvcHostname,SrcDvcHostnameType,SrcDvcType,SrcDvcIpAddr,TargetDvcHostname,TargetDvcTypeTargetDvcHostnameType,TargetDvcIpAddrogTargetDvc. - La til aliasene
SrcogDst. - La til feltene
SrcDvcIdType,SrcDeviceType,TargetDvcIdTypeogTargetDeviceType, ogEventSchema.
Dette er endringene i versjon 0.1.2 av skjemaet:
- La til feltene
ActorScope,TargetUserScope,SrcDvcScopeId,SrcDvcScopeTargetDvcScopeId,TargetDvcScope,DvcScopeIdogDvcScope.
Dette er endringene i versjon 0.1.3 av skjemaet:
- La til feltene
SrcPortNumber,ActorOriginalUserType,ActorScopeId,TargetOriginalUserTypeTargetUserScopeId,SrcDescription,SrcRiskLevel,SrcOriginalRiskLevelogTargetDescription. - Lagt til inspeksjonsfelt
- Lagt til geoplasseringsfelt for målsystem.
Dette er endringene i versjon 0.1.4 av skjemaet:
- La til feltene
ActingOriginalAppTypeogTargetOriginalAppType. - La til aliaset
Application.
Neste trinn
Hvis du vil ha mer informasjon, kan du se: