Referenz zum Schema für die Überwachungsereignisnormalisierung des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM) (öffentliche Vorschau)
Das Microsoft Sentinel-Normalisierungsschema für Überwachungsereignisse stellt Ereignisse dar, die dem Überwachungspfad von Informationssystemen zugeordnet sind. Der Überwachungspfad protokolliert Systemkonfigurationsaktivitäten und Richtlinienänderungen. Solche Änderungen werden häufig von Systemadministrator*innen durchgeführt, können aber auch von Benutzer*innen vorgenommen werden, wenn sie die Einstellungen ihrer eigenen Anwendungen konfigurieren.
Jedes System protokolliert Überwachungsereignisse zusammen mit seinen zentralen Aktivitätsprotokollen. Beispielsweise protokolliert eine Firewall Ereignisse zu den verarbeiteten Netzwerksitzungen sowie Überwachungsereignisse zu Konfigurationsänderungen, die auf die Firewall selbst angewandt werden.
Weitere Informationen zur Normalisierung in Microsoft Sentinel finden Sie unter Normalisierung und erweitertes Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM).
Wichtig
Das Normalisierungsschema für Überwachungsereignisse ist derzeit als Vorschau verfügbar. Dieses Feature wird ohne Vereinbarung zum Servicelevel bereitgestellt. Sie sollte nicht für Produktionsworkloads verwendet werden.
In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Schemaübersicht
Die wichtigsten Felder eines Überwachungsereignisses sind:
- Das Objekt, das z. B. eine verwaltete Ressource oder Richtlinienregel sein kann, auf die sich das Ereignis bezieht, dargestellt durch das Feld Object. Das Feld ObjectType gibt den Typ des Objekts an.
- Der Anwendungskontext des Objekts, dargestellt durch das Feld TargetAppName, das von Application als Alias verwendet wird.
- Der für das Objekt ausgeführte Vorgang, dargestellt durch die Felder EventType und Operation. Während Operation der Wert ist, den die Quelle gemeldet hat, ist EventType eine normalisierte Version, die quellenübergreifend konsistenter ist.
- Die alten und neuen Werte für das Objekt, falls zutreffend, dargestellt durch OldValue bzw. NewValue.
Überwachungsereignisse verweisen auch auf die folgenden Entitäten, die am Konfigurationsvorgang beteiligt sind:
- Actor: Die oder der Benutzer*in, die/der den Konfigurationsvorgang ausführt
- TargetApp: Die Anwendung oder das System, für die/das der Konfigurationsvorgang gilt
- Target: Das System, auf dem TargetApp* ausgeführt wird.
- ActingApp: Die Anwendung, die vom Actor zum Durchführen des Konfigurationsvorgangs verwendet wird
- Src: Das System, das vom Actor verwendet wird, um den Konfigurationsvorgang zu initiieren, sofern es sich von Target unterscheidet.
Der Deskriptor Dvc wird für das Berichterstellungsgerät verwendet. Dabei handelt es sich um das lokale System für Sitzungen, die von einem Endpunkt gemeldet werden, und in anderen Fällen um das Zwischengerät oder das sekundäre Gerät.
Parser
Bereitstellen und Verwenden von Überwachungsereignisparsern
Stellen Sie die ASIM-Überwachungsereignisparser aus dem Microsoft Sentinel-GitHub-Repository bereit. Verwenden Sie zum Abfragen aller Überwachungsereignisquellen den vereinheitlichenden Parser imAuditEvent als Tabellennamen in Ihrer Abfrage.
Weitere Informationen zur Verwendung von ASIM-Parsern finden Sie in der Übersicht über ASIM-Parser. Die Liste der Überwachungsereignisparser, die Microsoft Sentinel einsatzbereit zur Verfügung stellt, finden Sie in der ASIM-Parserliste
Hinzufügen eigener normalisierter Parser
Wenn Sie benutzerdefinierte Parser für das Dateiereignis-Informationsmodell implementieren, benennen Sie Ihre KQL-Funktionen mit der folgenden Syntax: imAuditEvent<vendor><Product>. Im Artikel Verwalten von ASIM-Parsern erfahren Sie, wie Sie Ihre benutzerdefinierten Parser dem vereinheitlichenden Parser für Überwachungsereignisse hinzufügen.
Filtern von Parser-Parametern
Die Überwachungsereignisparser unterstützen Filterparameter. Diese Parser sind optional, können aber die Abfrageleistung verbessern.
Die folgenden Filterparameter sind verfügbar:
| Name | Typ | Beschreibung |
|---|---|---|
| StartTime | datetime | Es werden nur Ereignisse gefiltert, die zu oder nach diesem Zeitpunkt ausgeführt wurden. Dieser Parameter verwendet das TimeGenerated-Feld als Zeitkennzeichner des Ereignisses. |
| EndTime | datetime | Es werden nur Ereignisabfragen gefiltert, deren Ausführung zu oder vor diesem Zeitpunkt beendet wurde. Dieser Parameter verwendet das TimeGenerated-Feld als Zeitkennzeichner des Ereignisses. |
| srcipaddr_has_any_prefix | dynamisch | Es werden nur Ereignisse aus dieser Quell-IP-Adresse gefiltert, wie im Feld SrcIpAddr dargestellt. |
| eventtype_in | Zeichenfolge | Es werden nur Ereignisse gefiltert, bei denen der Ereignistyp, wie im Feld EventType dargestellt, einer der angegebenen Begriffe ist. |
| eventresult | Zeichenfolge | Es werden nur Ereignisse gefiltert, bei denen das Ereignisergebnis, wie im Feld EventResult dargestellt, gleich dem Parameterwert ist. |
| actorusername_has_any | dynamisch/Zeichenfolge | Es werden nur Ereignisse gefiltert, bei denen ActorUsername einen der angegebenen Begriffe enthält. |
| operation_has_any | dynamisch/Zeichenfolge | Es werden nur Ereignisse gefiltert, bei denen das Feld Operation einen der angegebenen Begriffe enthält. |
| object_has_any | dynamisch/Zeichenfolge | Es werden nur Ereignisse gefiltert, bei denen das Feld Object einen der angegebenen Begriffe enthält. |
| newvalue_has_any | dynamisch/Zeichenfolge | Es werden nur Ereignisse gefiltert, bei denen das Feld NewValue einen der angegebenen Begriffe enthält. |
Einige Parameter können sowohl eine Liste von Werten des Typs dynamic als auch einen einzelnen Zeichenfolgenwert akzeptieren. Um eine Literalliste an Parameter zu übergeben, die einen dynamischen Wert erwarten, verwenden Sie explizit ein dynamisches Literal. Beispiel: dynamic(['192.168.','10.'])
Um beispielsweise nur Überwachungsereignisse mit den Begriffen install oder update im Feld Operation vom letzten Tag zu filtern, verwenden Sie Folgendes:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
Schemadetails
Allgemeine ASIM-Felder
Wichtig
Felder, die allen Schemas gemeinsam sind, werden im Artikel Allgemeine ASIM-Felder ausführlich beschrieben.
Allgemeine Felder mit bestimmten Richtlinien
In der folgenden Liste werden Felder aufgeführt, die bestimmte Richtlinien für Überwachungsereignisse enthalten:
| Feld | Klasse | type | Beschreibung |
|---|---|---|---|
| EventType | Obligatorisch. | Enumerated | Beschreibt den Vorgang, der vom Ereignis mit einem normalisierten Wert überwacht wird. Verwenden Sie EventSubType, um weitere Details bereitzustellen, die der normalisierte Wert nicht angibt, sowie Operation, um den Vorgang wie vom Gerät gemeldet zu speichern. Für Überwachungsereignisdatensätze sind die folgenden Werte zulässig: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Other Überwachungsereignisse stellen eine Vielzahl von Vorgängen dar, und der Wert Other ermöglicht Zuordnungsvorgänge ohne entsprechenden EventType. Die Verwendung von Other schränkt jedoch die Nutzbarkeit des Ereignisses ein und sollte nach Möglichkeit vermieden werden. |
| EventSubType | Optional | String | Weitere Details werden bereitgestellt, die der normalisierte Wert in EventType nicht angibt. |
| EventSchema | Obligatorisch. | String | Der Name des hier dokumentierten Schemas lautet AuditEvent. |
| EventSchemaVersion | Obligatorisch. | String | Die Version des Schemas. Die Version des hier dokumentierten Schemas lautet 0.1. |
Alle allgemeinen Felder
Felder, die in der Tabelle angezeigt werden, sind für alle ASIM-Schemas gleich. Jede der in diesem Dokument angegebenen Richtlinien setzt die allgemeinen Richtlinien für das Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel Allgemeine ASIM-Felder.
| Klasse | Fields |
|---|---|
| Obligatorisch. | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Empfohlen | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optional | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Überwachungsfelder
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| Operation | Obligatorisch. | String | Der Vorgang, der überwacht wird, wie vom Gerät gemeldet |
| Object | Obligatorisch. | String | Der Name des Objekts, für das der durch EventType identifizierte Vorgang ausgeführt wird |
| ObjectType | Obligatorisch. | Enumerated | Der Typ von Object. Zulässige Werte sind: - Cloud Resource- Configuration Atom- Policy Rule- Sonstige |
| OldValue | Optional | String | Der alte Wert von Object vor dem Vorgang, falls zutreffend |
| NewValue | Optional | String | Der neue Wert von Object, nachdem der Vorgang ausgeführt wurde, falls zutreffend |
| Value | Alias | Alias für NewValue | |
| ValueType | Bedingt | Enumerated | Der Typ der alten und neuen Werte Zulässige Werte sind - Sonstige |
Akteurfelder
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| ActorUserId | Optional | String | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Akteurs. Weitere Informationen und alternative Felder für andere IDs finden Sie unter Die Benutzerentität. Beispiel: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Optional | String | Der Bereich, z. B. der Microsoft Entra-Domänenname, in dem ActorUserId und ActorUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht. |
| ActorScopeId | Optional | String | Die Bereichs-ID, z. B. die Microsoft Entra Directory-ID, in der ActorUserId und ActorUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht. |
| ActorUserIdType | Bedingt | UserIdType | Der Typ der ID, die im Feld ActorUserId gespeichert ist. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserIdType im Artikel „Schemaübersicht“. |
| ActorUsername | Empfohlen | Username | Der Benutzername des Akteurs ggf. mit Informationen zur Domäne. Weitere Informationen finden Sie unter Benutzerentität. Beispiel: AlbertE |
| Benutzer | Alias | Alias für ActorUsername | |
| ActorUsernameType | Bedingt | UsernameType | Gibt den Typ des Benutzernamens an, der im Feld ActorUsername gespeichert ist. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UsernameType im Artikel „Schemaübersicht“. Beispiel: Windows |
| ActorUserType | Optional | UserType | Der Typ des Akteurs. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserType im Artikel „Schemaübersicht“. Beispiel: Guest |
| ActorOriginalUserType | Optional | UserType | Der Benutzertyp, wie vom Gerät gemeldet. |
| ActorSessionId | Optional | String | Die eindeutige ID der Anmeldesitzung des Akteurs. Beispiel: 102pTUgC3p8RIqHvzxLCHnFlg |
Zielanwendungsfelder
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| TargetAppId | Optional | String | Die ID der Anwendung, für die das Ereignis gilt. Dabei kann es sich um einen Prozess, einen Browser oder einen Dienst handeln. Beispiel: 89162 |
| TargetAppName | Optional | String | Der Name der Anwendung, für die das Ereignis gilt. Dabei kann es sich um einen Dienst, eine URL oder eine SaaS-Anwendung handeln. Beispiel: Exchange 365 |
| Application | Alias | Alias für TargetAppName | |
| TargetAppType | Optional | AppType | Der Typ der Anwendung, die im Auftrag des Akteurs Autorisierungen durchführt. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter AppType im Artikel „Schemaübersicht“. |
| TargetUrl | Optional | URL | Die der Zielanwendung zugeordnete URL. Beispiel: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
Felder für „Zielsystem“
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| Dst | Alias | String | Ein eindeutiger Bezeichner des Authentifizierungsziels. Dieses Feld kann einen Alias für die Felder TargetDvcld, TargetHostname, TargetIpAddr, TargetAppId oder TargetAppName enthalten. Beispiel: 192.168.12.1 |
| TargetHostname | Empfohlen | Hostname | Der Hostname des Zielgeräts ohne Domäneninformationen. Beispiel: DESKTOP-1282V4D |
| TargetDomain | Empfohlen | String | Die Domäne des Zielgeräts. Beispiel: Contoso |
| TargetDomainType | Bedingt | Enumerated | Der Typ von TargetDomain. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DomainType im Artikel „Schemaübersicht“. Erforderlich, wenn TargetDomain verwendet wird. |
| TargetFQDN | Optional | String | Der Hostname des Zielgeräts ggf. mit Informationen zur Domäne. Beispiel: Contoso\DESKTOP-1282V4D Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format „Domäne\Hostname“. TargetDomainType spiegelt das verwendete Format wider. |
| TargetDescription | Optional | String | Ein mit dem Gerät verknüpfter beschreibender Text. Beispiel: Primary Domain Controller. |
| TargetDvcId | Optional | String | Die ID des Zielgeräts Wenn mehrere IDs verfügbar sind, verwenden Sie die wichtigste, und speichern Sie die anderen in den Feldern TargetDvc<DvcIdType>. Beispiel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Optional | String | Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. TargetDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| TargetDvcScope | Optional | String | Der Cloudplattformbereich, zu dem das Gerät gehört. TargetDvcScope wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| TargetDvcIdType | Bedingt | Enumerated | Der Typ von TargetDvcId. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType im Artikel „Schemaübersicht“. Erforderlich, wenn TargetDeviceId verwendet wird. |
| TargetDeviceType | Optional | Enumerated | Der Typ des Zielgeräts. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DeviceType im Artikel „Schemaübersicht“. |
| TargetIpAddr | Optional | IP-Adresse | Die IP-Adresse des Zielgeräts. Beispiel: 2.2.2.2 |
| TargetDvcOs | Optional | String | Das Betriebssystem des Zielgeräts. Beispiel: Windows 10 |
| TargetPortNumber | Optional | Integer | Der Port des Zielgeräts. |
Felder für „Agierende Anwendung“
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| ActingAppId | Optional | String | Die ID der Anwendung, die die gemeldete Aktivität initiiert hat, einschließlich eines Prozesses, Browsers oder Diensts. Beispiel: 0x12ae8 |
| ActiveAppName | Optional | String | Der Name der Anwendung, die die gemeldete Aktivität initiiert hat, einschließlich eines Diensts, einer URL oder einer SaaS-Anwendung. Beispiel: C:\Windows\System32\svchost.exe |
| ActingAppType | Optional | AppType | Der Typ der agierenden Anwendung. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter AppType im Artikel „Schemaübersicht“. |
| HttpUserAgent | Optional | String | Wenn die Authentifizierung über HTTP oder HTTPS erfolgt, entspricht der Wert dieses Felds dem HTTP-Header „user_agent“, der von der agierenden Anwendung beim Durchführen der Authentifizierung bereitgestellt wird. Beispiel: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Felder für „Quellsystem“
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| Src | Alias | String | Der eindeutige Bezeichner des Quellgeräts. Dieses Feld kann ein Alias für das Feld SrcDvcId, SrcHostname oder SrcIpAddr sein. Beispiel: 192.168.12.1 |
| SrcIpAddr | Empfohlen | IP-Adresse | Die IP-Adresse, von der die Verbindung oder Sitzung stammt. Beispiel: 77.138.103.108 |
| IpAddr | Alias | Alias für SrcIpAddr oder für TargetIpAddr, wenn SrcIpAddr nicht bereitgestellt wird. | |
| SrcPortNumber | Optional | Integer | Der IP-Port, von dem die Verbindung stammt. Ist möglicherweise für Sitzungen, die mehrere Verbindungen umfassen, nicht relevant. Beispiel: 2335 |
| SrcHostname | Empfohlen | Hostname | Der Hostname des Quellgeräts ohne Domäneninformationen. Wenn kein Gerätename verfügbar ist, speichern Sie die entsprechende IP-Adresse in diesem Feld. Beispiel: DESKTOP-1282V4D |
| SrcDomain | Empfohlen | String | Die Domäne des Quellgeräts. Beispiel: Contoso |
| SrcDomainType | Bedingt | DomainType | Der Typ von SrcDomain. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DomainType im Artikel „Schemaübersicht“. Erforderlich, wenn SrcDomain verwendet wird. |
| SrcFQDN | Optional | String | Der Hostname des Quellgeräts ggf. mit Informationen zur Domäne. Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format „Domäne\Hostname“. Das Feld SrcDomainType spiegelt das verwendete Format wider. Beispiel: Contoso\DESKTOP-1282V4D |
| SrcDescription | Optional | String | Ein mit dem Gerät verknüpfter beschreibender Text. Beispiel: Primary Domain Controller. |
| SrcDvcId | Optional | String | Die ID des Quellgeräts. Wenn mehrere IDs verfügbar sind, verwenden Sie die wichtigste, und speichern Sie die anderen in den Feldern SrcDvc<DvcIdType>.Beispiel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Optional | String | Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| SrcDvcScope | Optional | String | Der Cloudplattformbereich, zu dem das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| SrcDvcIdType | Bedingt | DvcIdType | Der Typ von SrcDvcId. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType im Artikel „Schemaübersicht“. Hinweis: Dieses Feld ist erforderlich, wenn das Feld SrcDvcId verwendet wird. |
| SrcDeviceType | Optional | DeviceType | Der Typ des Quellgeräts. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DeviceType im Artikel „Schemaübersicht“. |
| SrcSubscriptionId | Optional | String | Die Abonnement-ID der Cloudplattform, zu der das Quellgerät gehört. SrcSubscriptionId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| SrcGeoCountry | Optional | Land / Region | Das Land/die Region, das der Quell-IP-Adresse zugeordnet ist. Beispiel: USA |
| SrcGeoRegion | Optional | Region | Die Region innerhalb eines Landes/einer Region, die der Quell-IP-Adresse zugeordnet ist. Beispiel: Vermont |
| SrcGeoCity | Optional | City | Die Stadt, die der Quell-IP-Adresse zugeordnet ist. Beispiel: Burlington |
| SrcGeoLatitude | Optional | Breitengrad | Der Breitengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. Beispiel: 44.475833 |
| SrcGeoLongitude | Optional | Längengrad | Der Längengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. Beispiel: 73.211944 |
Inspektionsfelder
Die folgenden Felder werden verwendet, um die Überprüfung darzustellen, die von einem Sicherheitssystem durchgeführt wird.
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| RuleName | Optional | String | Der Name oder die ID der Regel, die den Inspektionsergebnissen zugeordnet ist. |
| RuleNumber | Optional | Integer | Die Nummer der Regel, die den Inspektionsergebnissen zugeordnet ist. |
| Regel | Alias | String | Entweder der Wert von RuleName oder der Wert von RuleNumber. Bei Verwendung des Werts RuleNumber sollte der Typ in eine Zeichenfolge konvertiert werden. |
| ThreatId | Optional | String | Die ID der in der Überwachungsaktivität identifizierten Bedrohung oder Schadsoftware |
| ThreatName | Optional | String | Der Name der in der Überwachungsaktivität identifizierten Bedrohung oder Schadsoftware |
| ThreatCategory | Optional | String | Die Kategorie der in der Überwachungsdateiaktivität identifizierten Bedrohung oder Schadsoftware |
| ThreatRiskLevel | Optional | Integer | Die Risikostufe, die der identifizierten Bedrohung zugeordnet ist. Hierbei muss es sich um eine Zahl zwischen 0 und 100 handeln. Hinweis: Der Wert ist im Quelldatensatz möglicherweise in einer anderen Skala angegeben und muss auf diese Skala normalisiert werden. Der ursprüngliche Wert muss im Feld ThreatRiskLevelOriginal gespeichert werden. |
| ThreatOriginalRiskLevel | Optional | String | Die Risikostufe, wie vom meldenden Gerät gemeldet. |
| ThreatConfidence | Optional | Integer | Die Konfidenzstufe der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100 |
| ThreatOriginalConfidence | Optional | String | Die ursprüngliche Konfidenzstufe der identifizierten Bedrohung, wie vom meldenden Gerät gemeldet. |
| ThreatIsActive | Optional | Boolean | TRUE, wenn die identifizierte Bedrohung als aktive Bedrohung betrachtet wird. |
| ThreatFirstReportedTime | Optional | datetime | Das erste Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
| ThreatLastReportedTime | Optional | datetime | Das letzte Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
| ThreatIpAddr | Optional | IP-Adresse | Eine IP-Adresse, für die eine Bedrohung identifiziert wurde. Das Feld ThreatField enthält den Namen des Felds, das ThreatIpAddr darstellt. |
| ThreatField | Optional | Enumerated | Das Feld, für das eine Bedrohung identifiziert wurde. Der Wert lautet entweder SrcIpAddr oder TargetIpAddr. |
Nächste Schritte
Weitere Informationen finden Sie unter
- Sehen Sie sich das ASIM-Webinar an, oder befassen Sie sich mit den Folien.
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Schemas für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Parser für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Inhalte für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)