Microsoft Sentinel skjemareferanse for normalisering av brukerbehandling

Normaliseringsskjemaet for Microsoft Sentinel brukerbehandling brukes til å beskrive brukerbehandlingsaktiviteter, for eksempel opprette en bruker eller gruppe, endre brukerattributt eller legge til en bruker i en gruppe. Slike hendelser rapporteres for eksempel av operativsystemer, katalogtjenester, identitetsstyringssystemer og annen systemrapportering om den lokale brukerstyringsaktiviteten.

Hvis du vil ha mer informasjon om normalisering i Microsoft Sentinel, kan du se Normalisering og ASIM (Advanced Security Information Model).

Skjemaoversikt

Brukerbehandlingsskjemaet for ASIM beskriver brukerbehandlingsaktiviteter. Aktivitetene omfatter vanligvis følgende enheter:

Aktør – brukeren som utfører administrasjonsaktiviteten.
Fungerende prosess - prosessen som brukes av skuespilleren til å utføre administrasjonsaktiviteten.
Src – når aktiviteten utføres over nettverket, kildeenheten som aktiviteten ble startet fra.
Målbruker – brukeren som er kontoadministrert.
Grupper målbrukeren legges til eller fjernes fra, eller endres.

Noen aktiviteter, for eksempel UserCreated, GroupCreated, UserModified og GroupModified*, angir eller oppdaterer brukeregenskaper. Egenskapssettet eller den oppdaterte er dokumentert i følgende felt:

EventSubType – navnet på verdien som ble angitt eller oppdatert. UpdatedPropertyName er et alias for EventSubType når EventSubType refererer til en av de relevante hendelsestypene.
PreviousPropertyValue - den forrige verdien av egenskapen.
NewPropertyValue – den oppdaterte verdien for egenskapen.

Parsere

Hvis du vil ha mer informasjon om ASIM-analyser, kan du se ASIM-analyseoversikten.

Parametere for filtreringsanalyse

Brukerbehandlingsanalyser støtter filtreringsparametere. Selv om disse parameterne er valgfrie, kan de forbedre spørringsytelsen.

Følgende filtreringsparametere er tilgjengelige:

Navn	Type:	Beskrivelse
starttidspunkt	Datetime	Filtrer bare brukerbehandlingshendelser som oppstod på eller etter dette tidspunktet. Denne parameteren `TimeGenerated` filtrerer på feltet, som er standardutformingen for tidspunktet for hendelsen, uavhengig av den parserspesifikke tilordningen av EventStartTime- og EventEndTime-feltene.
Endtime	Datetime	Filtrer bare brukerbehandlingshendelser som oppstod på eller før dette tidspunktet. Denne parameteren `TimeGenerated` filtrerer på feltet, som er standardutformingen for tidspunktet for hendelsen, uavhengig av den parserspesifikke tilordningen av EventStartTime- og EventEndTime-feltene.
srcipaddr_has_any_prefix	Dynamisk	Filtrer bare brukerbehandlingshendelser der kilde-IP-adresseprefikset samsvarer med noen av de oppførte verdiene. Prefikser bør slutte med et `.`, for eksempel: `10.0.`.
targetusername_has_any	Dynamisk	Filtrer bare brukerbehandlingshendelser der målbrukernavnet har noen av de oppførte verdiene.
actorusername_has_any	Dynamisk	Filtrer bare brukerbehandlingshendelser der aktørbrukernavnet har noen av de oppførte verdiene.
eventtype_in	Dynamisk	Filtrer bare brukerbehandlingshendelser der hendelsestypen er én av de oppførte verdiene, for eksempel `UserCreated`, `UserDeleted`, `UserModified`, `PasswordChanged`eller `GroupCreated`.

Hvis du for eksempel bare vil filtrere brukeropprettingshendelser fra den siste dagen, bruker du:

_Im_UserManagement (eventtype_in=dynamic(['UserCreated']), starttime = ago(1d), endtime=now())

Skjemadetaljer

Vanlige ASIM-felt

Viktig

Felt som er felles for alle skjemaer, beskrives i detalj i artikkelen ASIM Common Fields .

Vanlige felt med spesifikke retningslinjer

Listen nedenfor nevner felt som har spesifikke retningslinjer for prosessaktivitetshendelser:

Felt	Klasse	Type:	Beskrivelse
Eventtype	Obligatorisk	Nummerert	Beskriver operasjonen som er rapportert av posten. For brukerbehandlingsaktivitet er verdiene som støttes: - `UserCreated` - `UserDeleted` - `UserModified` - `UserLocked` - `UserUnlocked` - `UserDisabled` - `UserEnabled` - `PasswordChanged` - `PasswordReset` - `GroupCreated` - `GroupDeleted` - `GroupModified` - `UserAddedToGroup` - `UserRemovedFromGroup` - `GroupEnumerated` - `UserRead` - `GroupRead`
EventSubType	Valgfri	Nummerert	Følgende undertyper støttes: - `UserRead`: Passord, hash - `UserCreated`, `GroupCreated`, `UserModified`, `GroupModified`. Hvis du vil ha mer informasjon, kan du se UpdatedPropertyName
EventResult	Obligatorisk	Nummerert	Selv om feil er mulig, rapporterer de fleste systemer bare vellykkede brukerbehandlingshendelser. Den forventede verdien for vellykkede hendelser er `Success`.
EventResultDetails	Anbefalt	Nummerert	De gyldige verdiene er `NotAuthorized` og `Other`.
EventSeverity	Obligatorisk	Nummerert	Selv om en gyldig alvorlighetsgrad er tillatt, er alvorlighetsgraden av brukerbehandlingshendelser vanligvis `Informational`.
EventSchema	Obligatorisk	Nummerert	Navnet på skjemaet som er dokumentert her, er `UserManagement`.
EventSchemaVersion	Obligatorisk	SchemaVersion (streng)	Versjonen av skjemaet. Versjonen av skjemaet som er dokumentert her, er `0.1.2`.
Dvc-felt			For brukerbehandlingshendelser refererer enhetsfelt til systemet som rapporterer hendelsen. Dette er vanligvis systemet brukeren administreres på.

Alle fellesfelt

Felt som vises i tabellen nedenfor, er felles for alle ASIM-skjemaer. Alle retningslinjer som er angitt ovenfor, overstyrer de generelle retningslinjene for feltet. Et felt kan for eksempel være valgfritt generelt, men obligatorisk for et bestemt skjema. Hvis du vil ha mer informasjon om hvert felt, kan du se artikkelen ASIM Common Fields .

Klasse	Felt
Obligatorisk	- EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc
Anbefalt	- EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction
Valgfri	- EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOer - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope

Oppdaterte egenskapsfelt

Felt	Klasse	Type:	Beskrivelse
UpdatedPropertyName	Alias		Alias til EventSubType når hendelsestypen er `UserCreated`, `GroupCreated`, `UserModified`eller `GroupModified`. Verdier som støttes er: - `MultipleProperties`: Brukes når aktiviteten oppdaterer flere egenskaper - `Previous<PropertyName>`, der `<PropertyName>` er en av de støttede verdiene for `UpdatedPropertyName`. - `New<PropertyName>`, der `<PropertyName>` er en av de støttede verdiene for `UpdatedPropertyName`.
PreviousPropertyValue	Valgfri	Streng	Den forrige verdien som ble lagret i den angitte egenskapen.
NewPropertyValue	Valgfri	Streng	Den nye verdien som er lagret i den angitte egenskapen.

Målbrukerfelt

Felt	Klasse	Type:	Beskrivelse
TargetUserId	Valgfri	Streng	En maskinlesbar, alfanumerisk, unik representasjon av målbrukeren. Støttede formater og typer inkluderer: - SID (Windows): `S-1-5-21-1377283216-344919071-3415362939-500` - UID (Linux):`4578` - AADID (Microsoft Entra ID):`9267d02c-5f76-40a9-a9eb-b686f3ca47aa` - OktaId: `00urjk4znu3BcncfY0h7` - AWSId: `72643944673` Lagre ID-typen i TargetUserIdType-feltet . Hvis andre IDer er tilgjengelige, anbefaler vi at du normaliserer feltnavnene til henholdsvis TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId og TargetUserAwsId. Hvis du vil ha mer informasjon, kan du se Bruker-enheten. Eksempel: `S-1-12`
TargetUserIdType	Betinget	Nummerert	Typen ID som er lagret i TargetUserId-feltet . Støttede verdier er `SID`, `UID`, `AADID`, `OktaId`og `AWSId`.
TargetUsername	Valgfri	Brukernavn (streng)	Målbrukernavnet, inkludert domeneinformasjon når tilgjengelig. Bruk ett av følgende formater og i følgende prioritetsrekkefølge: - Upn/e-post: `johndow@contoso.com` - Vinduer: `Contoso\johndow` - DN: `CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM` - Enkelt: `johndow`. Bruk enkeltskjemaet bare hvis domeneinformasjon ikke er tilgjengelig. Lagre brukernavntypen i TargetUsernameType-feltet . Hvis andre IDer er tilgjengelige, anbefaler vi at du normaliserer feltnavnene til TargetUserUpn, TargetUserWindows og TargetUserDn. Hvis du vil ha mer informasjon, kan du se Bruker-enheten. Eksempel: `AlbertE`
TargetUsernameType	Betinget	Nummerert	Angir typen brukernavn som er lagret i TargetUsername-feltet . Støttede verdier inkluderer `UPN`, `Windows`, `DN`og `Simple`. Hvis du vil ha mer informasjon, kan du se Bruker-enheten. Eksempel: `Windows`
TargetUserType	Valgfri	Nummerert	Typen målbruker. Støttede verdier inkluderer: - `Regular` - `Machine` - `Admin` - `System` - `Application` - `Service Principal` - `Other` Obs! Verdien kan angis i kildeposten ved hjelp av forskjellige termer, som skal normaliseres til disse verdiene. Lagre den opprinnelige verdien i TargetOriginalUserType-feltet .
TargetOriginalUserType	Valgfri	Streng	Den opprinnelige målbrukertypen, hvis angitt av kilden.
TargetUserScope	Valgfri	Streng	Omfanget, for eksempel Microsoft Entra tenant, der TargetUserId og TargetUsername er definert. eller mer informasjon og liste over tillatte verdier, kan du se UserScope i artikkelen Oversikt over skjema.
TargetUserScopeId	Valgfri	Streng	Omfangs-ID-en, for eksempel Microsoft Entra katalog-ID, der TargetUserId og TargetUsername er definert. Hvis du vil ha mer informasjon og en liste over tillatte verdier, kan du se UserScopeId i artikkelen Oversikt over skjema.
TargetUserSessionId	Valgfri	Streng	Den unike IDen for målbrukerens påloggingsøkt. Eksempel: `999` Obs! Typen er definert som streng for å støtte forskjellige systemer, men i Windows må denne verdien være numerisk. Hvis du bruker en Windows- eller Linux-maskin og brukte en annen type, må du konvertere verdiene. Hvis du for eksempel brukte en heksadesimal verdi, konverterer du den til en desimalverdi.

Aktørfelt

Felt	Klasse	Type:	Beskrivelse
ActorUserId	Valgfri	Streng	En maskinlesbar, alfanumerisk, unik representasjon av aktøren. Støttede formater og typer inkluderer: - SID (Windows): `S-1-5-21-1377283216-344919071-3415362939-500` - UID (Linux):`4578` - AADID (Microsoft Entra ID):`9267d02c-5f76-40a9-a9eb-b686f3ca47aa` - OktaId: `00urjk4znu3BcncfY0h7` - AWSId: `72643944673` Lagre ID-typen i ActorUserIdType-feltet . Hvis andre ID-er er tilgjengelige, anbefaler vi at du normaliserer feltnavnene til henholdsvis ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId og ActorAwsId. Hvis du vil ha mer informasjon, kan du se Bruker-enheten. Eksempel: S-1-12
ActorUserIdType	Betinget	Nummerert	Typen ID som er lagret i ActorUserId-feltet . Støttede verdier inkluderer `SID`, `UID`, `AADID`, `OktaId`og `AWSId`.
ActorUsername	Obligatorisk	Brukernavn (streng)	Aktør-brukernavnet, inkludert domeneinformasjon når tilgjengelig. Bruk ett av følgende formater og i følgende prioritetsrekkefølge: - Upn/e-post: `johndow@contoso.com` - Vinduer: `Contoso\johndow` - DN: `CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM` - Enkelt: `johndow`. Bruk enkeltskjemaet bare hvis domeneinformasjon ikke er tilgjengelig. Lagre brukernavntypen i ActorUsernameType-feltet . Hvis andre IDer er tilgjengelige, anbefaler vi at du normaliserer feltnavnene til ActorUserUpn, ActorUserWindows og ActorUserDn. Hvis du vil ha mer informasjon, kan du se Bruker-enheten. Eksempel: `AlbertE`
Brukeren	Alias		Alias til ActorUsername.
ActorUsernameType	Betinget	Nummerert	Angir typen brukernavn som er lagret i ActorUsername-feltet . Støttede verdier er `UPN`, `Windows`, `DN`og `Simple`. Hvis du vil ha mer informasjon, kan du se Bruker-enheten. Eksempel: `Windows`
ActorUserType	Valgfri	Nummerert	Typen aktør. Tillatte verdier er: - `Regular` - `Machine` - `Admin` - `System` - `Application` - `Service Principal` - `Other` Obs! Verdien kan angis i kildeposten ved hjelp av forskjellige termer, som skal normaliseres til disse verdiene. Lagre den opprinnelige verdien i ActorOriginalUserType-feltet .
ActorOriginalUserType	Valgfri	Streng	Den opprinnelige målbrukertypen, hvis den leveres av rapporteringsenheten.
ActorOriginalUserType			Den opprinnelige aktørbrukertypen, hvis angitt av kilden.
ActorSessionId	Valgfri	Streng	Den unike ID-en for påloggingsøkten for aktøren. Eksempel: `999` Obs! Typen er definert som streng for å støtte forskjellige systemer, men i Windows må denne verdien være numerisk. Hvis du bruker en Windows-maskin og brukte en annen type, må du konvertere verdiene. Hvis du for eksempel brukte en heksadesimal verdi, konverterer du den til en desimalverdi.
ActorScope	Valgfri	Streng	Omfanget, for eksempel Microsoft Entra tenant, der ActorUserId og ActorUsername er definert. eller mer informasjon og liste over tillatte verdier, kan du se UserScope i artikkelen Oversikt over skjema.
ActorScopeId	Valgfri	Streng	Omfangs-ID-en, for eksempel Microsoft Entra Directory ID, der ActorUserId og ActorUsername er definert. eller mer informasjon og liste over tillatte verdier, kan du se UserScopeId i artikkelen Oversikt over skjema.

Gruppefelt

Felt	Klasse	Type:	Beskrivelse
GroupId	Valgfri	Streng	En maskinlesbar, alfanumerisk, unik representasjon av gruppen, for aktiviteter som involverer en gruppe. Støttede formater og typer inkluderer: - SID (Windows): `S-1-5-21-1377283216-344919071-3415362939-500` - UID (Linux):`4578` Lagre ID-typen i GroupIdType-feltet . Hvis andre IDer er tilgjengelige, anbefaler vi at du normaliserer feltnavnene til henholdsvis GroupSid eller GroupUid. Hvis du vil ha mer informasjon, kan du se Bruker-enheten. Eksempel: `S-1-12`
GroupIdType	Valgfri	Nummerert	Typen ID som er lagret i GroupId-feltet . Støttede verdier er `SID`, og `UID`.
GroupName	Valgfri	Streng	Gruppenavnet, inkludert domeneinformasjon når det er tilgjengelig, for aktiviteter som involverer en gruppe. Bruk ett av følgende formater og i følgende prioritetsrekkefølge: - Upn/e-post: `grp@contoso.com` - Vinduer: `Contoso\grp` - DN: `CN=grp,OU=Sales,DC=Fabrikam,DC=COM` - Enkelt: `grp`. Bruk enkeltskjemaet bare hvis domeneinformasjon ikke er tilgjengelig. Lagre gruppenavnetypen i GroupNameType-feltet . Hvis andre IDer er tilgjengelige, anbefaler vi at du normaliserer feltnavnene til GroupUpn, GroupNameWindows og GroupDn. Eksempel: `Contoso\Finance`
GroupNameType	Valgfri	Nummerert	Angir typen gruppenavn som er lagret i GroupName-feltet . Støttede verdier inkluderer `UPN`, `Windows`, `DN`og `Simple`. Eksempel: `Windows`
GroupType	Valgfri	Nummerert	Gruppetypen, for aktiviteter som involverer en gruppe. Støttede verdier inkluderer: - `Local Distribution` - `Local Security Enabled` - `Global Distribution` - `Global Security Enabled` - `Universal Distribution` - `Universal Security Enabled` - `Other` Obs! Verdien kan angis i kildeposten ved hjelp av forskjellige termer, som skal normaliseres til disse verdiene. Lagre den opprinnelige verdien i GroupOriginalType-feltet .
GroupOriginalType	Valgfri	Streng	Den opprinnelige gruppetypen, hvis angitt av kilden.

Kildefelt

Felt	Klasse	Type:	Beskrivelse
Src	Anbefalt	Streng	En unik identifikator for kildeenheten. Dette feltet kan alias for feltene SrcDvcId, SrcHostname eller SrcIpAddr . Eksempel: `192.168.12.1`
SrcIpAddr	Anbefalt	IP-adresse	IP-adressen til kildeenheten. Denne verdien er obligatorisk hvis SrcHostname er angitt. Eksempel: `77.138.103.108`
IpAddr	Alias		Alias til SrcIpAddr.
SrcPortNumber	Valgfri	Heltall	IP-porten som tilkoblingen oppsto fra. Det kan hende at den ikke er relevant for en økt som består av flere tilkoblinger. Eksempel: `2335`
SrcMacAddr	Valgfri	MAC-adresse (streng)	MAC-adressen til nettverksgrensesnittet som tilkoblingen eller økten kom fra. Eksempel: `06:10:9f:eb:8f:14`
SrcDescription	Valgfri	Streng	En beskrivende tekst som er knyttet til enheten. Eksempel: `Primary Domain Controller`.
SrcHostname	Anbefalt	Streng	Vertsnavnet for kildeenheten, unntatt domeneinformasjon. Eksempel: `DESKTOP-1282V4D`
SrcDomain	Anbefalt	Domene (streng)	Domenet til kildeenheten. Eksempel: `Contoso`
SrcDomainType	Anbefalt	Nummerert	Typen SrcDomain, hvis kjent. Mulige verdier inkluderer: - `Windows` (for eksempel `contoso`) - `FQDN` (for eksempel `microsoft.com`) Obligatorisk hvis SrcDomain brukes.
SrcFQDN	Valgfri	FQDN (streng)	Vertsnavnet for kildeenheten, inkludert domeneinformasjon når tilgjengelig. Obs! Dette feltet støtter både tradisjonelt FQDN-format og Windows-domene\vertsnavnformat. SrcDomainType-feltet gjenspeiler formatet som brukes. Eksempel: `Contoso\DESKTOP-1282V4D`
SrcDvcId	Valgfri	Streng	ID-en til kildeenheten som rapportert i posten. Eksempel: `ac7e9755-8eae-4ffc-8a02-50ed7a2216c3`
SrcDvcScopeId	Valgfri	Streng	Omfangs-ID-en for skyplattformen som enheten tilhører. SrcDvcScopeId tilordnes til en abonnements-ID på Azure og til en konto-ID på AWS.
SrcDvcScope	Valgfri	Streng	Omfanget for skyplattformen som enheten tilhører. SrcDvcScope tilordner til en abonnements-ID på Azure og til en konto-ID på AWS.
SrcDvcIdType	Betinget	Nummerert	Typen SrcDvcId, hvis kjent. Mulige verdier inkluderer: - `AzureResourceId` - `MDEid` Hvis flere IDer er tilgjengelige, bruker du den første fra listen ovenfor, og lagrer de andre i henholdsvis SrcDvcAzureResourceId og SrcDvcMDEid. Obs! Dette feltet er obligatorisk hvis SrcDvcId brukes.
SrcDeviceType	Valgfri	Nummerert	Typen kildeenhet. Mulige verdier inkluderer: - `Computer` - `Mobile Device` - `IOT Device` - `Other`
SrcGeoCountry	Valgfri	Land	Landet/området som er knyttet til kilde-IP-adressen. Eksempel: `USA`
SrcGeoRegion	Valgfri	Regionen	Området som er knyttet til kilde-IP-adressen. Eksempel: `Vermont`
SrcGeoCity	Valgfri	By	Byen som er knyttet til kilde-IP-adressen. Eksempel: `Burlington`
SrcGeoLatitude	Valgfri	Latitude	Breddegraden til den geografiske koordinaten som er knyttet til kilde-IP-adressen. Eksempel: `44.475833`
SrcGeoLongitude	Valgfri	Lengdegrad	Lengdegraden til den geografiske koordinaten som er knyttet til kilde-IP-adressen. Eksempel: `73.211944`
SrcRiskLevel	Valgfri	Heltall	Risikonivået som er knyttet til kilden. Verdien bør justeres til et område av `0` til , med `0` for godartet og `100100`for høy risiko. Eksempel: `90`
SrcOriginalRiskLevel	Valgfri	Streng	Risikonivået som er knyttet til kilden, som rapportert av rapporteringsenheten. Eksempel: `Suspicious`

Fungerende program

Felt	Klasse	Type:	Beskrivelse
ActingAppId	Valgfri	Streng	ID-en til programmet som brukes av aktøren til å utføre aktiviteten, inkludert en prosess, nettleser eller tjeneste. For eksempel: `0x12ae8`
ActingAppName	Valgfri	Streng	Navnet på programmet som brukes av aktøren til å utføre aktiviteten, inkludert en prosess, nettleser eller tjeneste. For eksempel: `C:\Windows\System32\svchost.exe`
ActingAppType	Valgfri	Nummerert	Typen fungerende søknad. Støttede verdier inkluderer: - `Process` - `Browser` - `Resource` - `Other`
ActingOriginalAppType	Valgfri	Streng	Programtypen som startet aktiviteten, som rapportert av rapporteringsenheten.
HttpUserAgent	Valgfri	Streng	Når godkjenning utføres over HTTP eller HTTPS, er denne feltverdien den user_agent HTTP-toppteksten som leveres av det fungerende programmet når du utfører godkjenningen. For eksempel: `Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1`

Inspeksjonsfelt

Følgende felt brukes til å representere denne inspeksjonen utført av et sikkerhetssystem som et slikt EDR-system.

Felt	Klasse	Type:	Beskrivelse
Regelnavn	Valgfri	Streng	Navnet eller ID-en for regelen ved å knytte til inspeksjonsresultatene.
Regelnummer	Valgfri	Heltall	Nummeret på regelen som er knyttet til inspeksjonsresultatene.
Regelen	Betinget	Streng	Verdien av kRuleName eller verdien til RuleNumber. Hvis verdien for RuleNumber brukes, bør typen konverteres til streng.
ThreatId	Valgfri	Streng	ID-en til trusselen eller skadelig programvare som er identifisert i filaktiviteten.
ThreatName	Valgfri	Streng	Navnet på trusselen eller skadelig programvare som er identifisert i filaktiviteten. Eksempel: `EICAR Test File`
Trusselkategori	Valgfri	Streng	Kategorien for trusselen eller skadelig programvare som er identifisert i filaktiviteten. Eksempel: `Trojan`
ThreatRiskLevel	Valgfri	RiskLevel (heltall)	Risikonivået som er knyttet til den identifiserte trusselen. Nivået må være et tall mellom 0 og 100. Obs! Verdien kan angis i kildeposten ved hjelp av en annen skala, som skal normaliseres til denne skalaen. Den opprinnelige verdien bør lagres i ThreatOriginalRiskLevel.
ThreatOriginalRiskLevel	Valgfri	Streng	Risikonivået som rapporteres av rapporteringsenheten.
ThreatField	Valgfri	Streng	Feltet som en trussel ble identifisert for.
ThreatConfidence	Valgfri	Konfidensnivå (heltall)	Konfidensnivået til trusselen som er identifisert, normalisert til en verdi mellom 0 og 100.
ThreatOriginalConfidence	Valgfri	Streng	Det opprinnelige konfidensnivået for trusselen identifisert, som rapportert av rapporteringsenheten.
ThreatIsActive	Valgfri	Boolsk	Sann hvis trusselen som identifiseres, anses som en aktiv trussel.
ThreatFirstReportedTime	Valgfri	Datetime	Første gang IP-adressen eller domenet ble identifisert som en trussel.
ThreatLastReportedTime	Valgfri	Datetime	Siste gang IP-adressen eller domenet ble identifisert som en trussel.

Flere felt og aliaser

Felt	Klasse	Type:	Beskrivelse
Vertsnavn	Alias		Alias til DvcHostname.

Skjemaoppdateringer

Endringene i versjon 0.1.2 av skjemaet er:

Lagt til inspeksjonsfelt.
La til kildefeltene SrcDescription, SrcMacAddr, SrcOriginalRiskLevel, SrcPortNumber, SrcRiskLevel
La til målfeltene TargetUserScope, TargetUserScopeId, TargetUserSessionId
La til aktørfeltene ActorOriginalUserType, ActorScope, ActorScopeId
La til fungerende programfelt ActingOriginalAppType

Neste trinn

Hvis du vil ha mer informasjon, kan du se:

Tilbakemeldinger

Var denne siden nyttig?

Last updated on 2026-04-23