Condividi tramite


Riferimento allo schema di normalizzazione dell'autenticazione advanced security information model (ASIM) (anteprima pubblica)

Lo schema di autenticazione di Microsoft Sentinel viene usato per descrivere gli eventi correlati all'autenticazione utente, all'accesso e alla disconnessa. Gli eventi di autenticazione vengono inviati da molti dispositivi di report, in genere come parte del flusso di eventi insieme ad altri eventi. Ad esempio, Windows invia diversi eventi di autenticazione insieme ad altri eventi di attività del sistema operativo.

Gli eventi di autenticazione includono entrambi gli eventi dei sistemi che si concentrano sull'autenticazione, ad esempio gateway VPN o controller di dominio, e l'autenticazione diretta a un sistema finale, ad esempio un computer o un firewall.

Per altre informazioni sulla normalizzazione in Microsoft Sentinel, vedere Normalizzazione e Advanced Security Information Model (ASIM).

Importante

Lo schema di normalizzazione dell'autenticazione è attualmente in ANTEPRIMA. Questa funzionalità viene fornita senza un contratto di servizio e non è consigliata per i carichi di lavoro di produzione.

Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Parser

Distribuire parser di autenticazione ASIM dal repository GitHub di Microsoft Sentinel. Per altre informazioni sui parser ASIM, vedere gli articoli Panoramica dei parser ASIM.

Parser di unificazione

Per usare parser che unificano tutti i parser predefiniti di ASIM e assicurarsi che l'analisi venga eseguita in tutte le origini configurate, usare il imAuthentication parser di filtro o il ASimAuthentication parser senza parametri.

Parser specifici dell'origine

Per l'elenco dei parser di autenticazione forniti da Microsoft Sentinel, vedere l'elenco dei parser ASIM:

Aggiungere parser normalizzati personalizzati

Quando si implementano parser personalizzati per il modello di informazioni di autenticazione, denominare le funzioni KQL usando la sintassi seguente:

  • vimAuthentication<vendor><Product> per parser di filtro
  • ASimAuthentication<vendor><Product> per parser senza parametri

Per informazioni sull'aggiunta di parser personalizzati al parser unificatore, vedere Gestione dei parser ASIM.

Filtro dei parametri del parser

I im parser e vim* supportano i parametri di filtro. Anche se questi parser sono facoltativi, possono migliorare le prestazioni delle query.

Sono disponibili i parametri di filtro seguenti:

Nome Tipo Descrizione
starttime datetime Filtrare solo gli eventi di autenticazione eseguiti in o dopo questa volta.
endtime datetime Filtrare solo gli eventi di autenticazione che hanno terminato l'esecuzione in o prima di questa volta.
targetusername_has string Filtrare solo gli eventi di autenticazione con uno qualsiasi dei nomi utente elencati.

Ad esempio, per filtrare solo gli eventi di autenticazione dall'ultimo giorno a un utente specifico, usare:

imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())

Suggerimento

Per passare un elenco di valori letterali ai parametri che prevedono un valore dinamico, usare in modo esplicito un valore letterale dinamico. Ad esempio: dynamic(['192.168.','10.']).

Contenuto normalizzato

Le regole di analisi dell'autenticazione normalizzate sono univoche perché rilevano gli attacchi tra le origini. Ad esempio, se un utente ha eseguito l'accesso a sistemi diversi, non correlati, da paesi/aree geografiche diverse, Microsoft Sentinel rileverà ora questa minaccia.

Per un elenco completo delle regole di analisi che usano eventi di autenticazione normalizzati, vedere Contenuto di sicurezza dello schema di autenticazione.

Panoramica dello schema

Il modello di informazioni di autenticazione è allineato allo schema di entità di accesso OSSEM.

I campi elencati nella tabella seguente sono specifici degli eventi di autenticazione, ma sono simili ai campi in altri schemi e seguono convenzioni di denominazione simili.

Gli eventi di autenticazione fanno riferimento alle entità seguenti:

  • TargetUser : informazioni utente usate per l'autenticazione nel sistema. TargetSystem è l'oggetto principale dell'evento di autenticazione e l'alias User aliases un TargetUser identificato.
  • TargetApp : l'applicazione è stata autenticata.
  • Target : sistema in cui è in esecuzione TargetApp*.
  • Attore : l'utente che avvia l'autenticazione, se diverso da TargetUser.
  • ActingApp: applicazione usata dall'attore per eseguire l'autenticazione.
  • Src: sistema usato dall'attore per avviare l'autenticazione.

La relazione tra queste entità è illustrata in modo ottimale nel modo seguente:

Un attore, che esegue un'applicazione che agisce, ActingApp, in un sistema di origine, Src, tenta di eseguire l'autenticazione come TargetUser in un'applicazione di destinazione, TargetApp, in un sistema di destinazione, TargetDvc.

Dettagli dello schema

Nelle tabelle seguenti Type fa riferimento a un tipo logico. Per altre informazioni, vedere Tipi logici.

Campi comuni di ASIM

Importante

I campi comuni a tutti gli schemi sono descritti in dettaglio nell'articolo Campi comuni ASIM.

Campi comuni con linee guida specifiche

Nell'elenco seguente vengono menzionati campi con linee guida specifiche per gli eventi di autenticazione:

Campo Classe Tipo Descrizione
EventType Obbligatorio Enumerated Descrive l'operazione segnalata dal record.

Per i record di autenticazione, i valori supportati includono:
- Logon
- Logoff
- Elevate
EventResultDetails Consigliato String Dettagli associati al risultato dell'evento. Questo campo viene in genere popolato quando il risultato è un errore.

I valori consentiti includono:
- No such user or password. Questo valore deve essere usato anche quando l'evento originale segnala che tale utente non esiste, senza riferimento a una password.
- No such user
- Incorrect password
- Incorrect key
- Account expired
- Password expired
- User locked
- User disabled
- Logon violates policy. Questo valore deve essere usato quando l'evento originale segnala, ad esempio, l'autenticazione a più fattori obbligatoria, l'accesso al di fuori dell'orario lavorativo, le restrizioni di accesso condizionale o i tentativi troppo frequenti.
- Session expired
- Other

Il valore può essere fornito nel record di origine usando termini diversi, che devono essere normalizzati in questi valori. Il valore originale deve essere archiviato nel campo EventOriginalResultDetails
EventSubType Facoltativo String Tipo di accesso. I valori consentiti includono:
- System
- Interactive
- RemoteInteractive
- Service
- RemoteService
- Remote - Usare quando il tipo di accesso remoto è sconosciuto.
- AssumeRole - In genere usato quando il tipo di evento è Elevate.

Il valore può essere fornito nel record di origine usando termini diversi, che devono essere normalizzati in questi valori. Il valore originale deve essere archiviato nel campo EventOriginalSubType.
EventSchemaVersion Obbligatorio String La versione dello schema. La versione dello schema documentata qui è 0.1.3
EventSchema Obbligatorio String Il nome dello schema documentato qui è Autenticazione.
Campi Dvc - - Per gli eventi di autenticazione, i campi del dispositivo fanno riferimento al sistema che segnala l'evento.

Tutti i campi comuni

I campi visualizzati nella tabella seguente sono comuni a tutti gli schemi ASIM. Tutte le linee guida specificate in precedenza sostituiscono le linee guida generali per il campo. Ad esempio, un campo potrebbe essere facoltativo in generale, ma obbligatorio per uno schema specifico. Per altri dettagli su ogni campo, vedere l'articolo Campi comuni di ASIM.

Classe Campi
Obbligatorio - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Consigliato - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Facoltativo - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- Campi aggiuntivi
- DvcDescription
- DvcScopeId
- DvcScope

Campi specifici dell'autenticazione

Campo Classe Tipo Descrizione
LogonMethod Facoltativo String Metodo utilizzato per eseguire l'autenticazione.

Esempi: Username & Password, PKI
LogonProtocol Facoltativo String Protocollo utilizzato per eseguire l'autenticazione.

Esempio: NTLM

Campi attore

Campo Classe Tipo Descrizione
ActorUserId Facoltativo String Rappresentazione univoca, alfanumerica e leggibile del computer dell'attore. Per altre informazioni e per campi alternativi per ID aggiuntivi, vedere L'entità Utente.

Esempio: S-1-12-1-4141952679-1282074057-627758481-2916039507
ActorScope Facoltativo String Ambito, ad esempio il tenant di Microsoft Entra, in cui vengono definiti ActorUserId e ActorUsername . o più informazioni ed elenco dei valori consentiti, vedere UserScope nell'articolo Panoramica dello schema.
ActorScopeId Facoltativo String ID ambito, ad esempio l'ID directory di Microsoft Entra, in cui vengono definiti ActorUserId e ActorUsername . per altre informazioni ed elenco dei valori consentiti, vedere UserScopeId nell'articolo Panoramica dello schema.
ActorUserIdType Condizionale UserIdType Tipo dell'ID archiviato nel campo ActorUserId . Per altre informazioni ed elenco dei valori consentiti, vedere UserIdType nell'articolo Panoramica dello schema.
ActorUsername Facoltativo Username Nome utente dell'attore, incluse le informazioni sul dominio, se disponibili. Per altre informazioni, vedere L'entità Utente.

Esempio: AlbertE
ActorUsernameType Condizionale UsernameType Specifica il tipo di nome utente archiviato nel campo ActorUsername . Per altre informazioni e l'elenco dei valori consentiti, vedere UsernameType nell'articolo Panoramica dello schema.

Esempio: Windows
ActorUserType Facoltativo UserType Tipo dell'attore. Per altre informazioni e l'elenco dei valori consentiti, vedere UserType nell'articolo Panoramica dello schema.

Ad esempio: Guest
ActorOriginalUserType Facoltativo UserType Tipo di utente segnalato dal dispositivo di report.
ActorSessionId Facoltativo String ID univoco della sessione di accesso dell'attore.

Esempio: 102pTUgC3p8RIqHvzxLCHnFlg

Campi applicazione agendo

Campo Classe Tipo Descrizione
ActingAppId Facoltativo String ID dell'applicazione che autorizza per conto dell'attore, incluso un processo, un browser o un servizio.

Ad esempio: 0x12ae8
ActingAppName Facoltativo String Nome dell'applicazione che autorizza per conto dell'attore, incluso un processo, un browser o un servizio.

Ad esempio: C:\Windows\System32\svchost.exe
ActingAppType Facoltativo AppType Tipo di applicazione che agisce. Per altre informazioni e l'elenco di valori consentiti, vedere AppType nell'articolo Panoramica dello schema.
HttpUserAgent Facoltativo String Quando l'autenticazione viene eseguita tramite HTTP o HTTPS, il valore di questo campo è l'intestazione HTTP user_agent fornita dall'applicazione che agisce durante l'esecuzione dell'autenticazione.

Ad esempio: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

Campi utente di destinazione

Campo Classe Tipo Descrizione
TargetUserId Facoltativo ID utente Rappresentazione univoca dell'utente di destinazione leggibile, alfanumerica e leggibile dal computer. Per altre informazioni e per campi alternativi per ID aggiuntivi, vedere L'entità Utente.

Esempio: 00urjk4znu3BcncfY0h7
TargetUserScope Facoltativo String Ambito, ad esempio il tenant di Microsoft Entra, in cui vengono definiti TargetUserId e TargetUsername . o più informazioni ed elenco dei valori consentiti, vedere UserScope nell'articolo Panoramica dello schema.
TargetUserScopeId Facoltativo String ID ambito, ad esempio ID directory Di Microsoft Entra, in cui sono definiti TargetUserId e TargetUsername . per altre informazioni ed elenco dei valori consentiti, vedere UserScopeId nell'articolo Panoramica dello schema.
TargetUserIdType Condizionale UserIdType Tipo di ID utente archiviato nel campo TargetUserId . Per altre informazioni ed elenco dei valori consentiti, vedere UserIdType nell'articolo Panoramica dello schema.

Esempio: SID
TargetUsername Facoltativo Username Nome utente di destinazione, incluse le informazioni sul dominio, se disponibili. Per altre informazioni, vedere L'entità Utente.

Esempio: MarieC
TargetUsernameType Condizionale UsernameType Specifica il tipo di nome utente archiviato nel campo TargetUsername . Per altre informazioni ed elenco dei valori consentiti, vedere UsernameType nell'articolo Panoramica dello schema.
TargetUserType Facoltativo UserType Tipo dell'utente di destinazione. Per altre informazioni e l'elenco dei valori consentiti, vedere UserType nell'articolo Panoramica dello schema.

Ad esempio: Member
TargetSessionId Facoltativo String Identificatore della sessione di accesso di TargetUser nel dispositivo di origine.
TargetOriginalUserType Facoltativo UserType Tipo di utente segnalato dal dispositivo di report.
Utente Alias Username Alias per TargetUsername o per TargetUserId se TargetUsername non è definito.

Esempio: CONTOSO\dadmin

Campi del sistema di origine

Campo Classe Tipo Descrizione
Src Consigliato String Identificatore univoco del dispositivo di origine.

Questo campo può aliasre i campi SrcDvcId, SrcHostname o SrcIpAddr .

Esempio: 192.168.12.1
SrcDvcId Facoltativo String ID del dispositivo di origine. Se sono disponibili più ID, usare quello più importante e archiviare gli altri nei campi SrcDvc<DvcIdType>.

Esempio: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId Facoltativo String L’ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. SrcDvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS.
SrcDvcScope Facoltativo String L'ambito della piattaforma cloud a cui appartiene il dispositivo. SrcDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS.
SrcDvcIdType Condizionale DvcIdType Tipo di SrcDvcId. Per un elenco di valori consentiti e altre informazioni, vedere DvcIdType nell'articolo Panoramica dello schema.

Nota: questo campo è obbligatorio se viene usato SrcDvcId .
SrcDeviceType Facoltativo DeviceType Tipo del dispositivo di origine. Per un elenco di valori consentiti e altre informazioni, vedere DeviceType nell'articolo Panoramica dello schema.
SrcHostname Consigliato Hostname (Nome host) Nome host del dispositivo di origine, escluse le informazioni sul dominio. Se non è disponibile alcun nome di dispositivo, archiviare l'indirizzo IP pertinente in questo campo.

Esempio: DESKTOP-1282V4D
SrcDomain Consigliato String Dominio del dispositivo di origine.

Esempio: Contoso
SrcDomainType Condizionale DomainType Tipo di SrcDomain. Per un elenco di valori consentiti e altre informazioni, vedere DomainType nell'articolo Panoramica dello schema.

Obbligatorio se viene usato SrcDomain .
SrcFQDN Facoltativo String Nome host del dispositivo di origine, incluse le informazioni sul dominio, se disponibili.

Nota: questo campo supporta sia il formato FQDN tradizionale che il formato domain\hostname di Windows. Il campo SrcDomainType riflette il formato utilizzato.

Esempio: Contoso\DESKTOP-1282V4D
SrcDescription Facoltativo String Un testo descrittivo associato al dispositivo. Ad esempio: Primary Domain Controller.
SrcIpAddr Facoltativo Indirizzo IP Indirizzo IP del dispositivo di origine.

Esempio: 2.2.2.2
SrcPortNumber Facoltativo Intero Porta IP da cui ha avuto origine la connessione.

Esempio: 2335
SrcDvcOs Facoltativo String Sistema operativo del dispositivo di origine.

Esempio: Windows 10
IpAddr Alias Alias per SrcIpAddr
SrcIsp Facoltativo String Provider di servizi Internet (ISP) usato dal dispositivo di origine per connettersi a Internet.

Esempio: corpconnect
SrcGeoCountry Facoltativo Country Esempio: Canada

Per altre informazioni, vedere Tipi logici.
SrcGeoCity Facoltativo Città Esempio: Montreal

Per altre informazioni, vedere Tipi logici.
SrcGeoRegion Facoltativo Paese Esempio: Quebec

Per altre informazioni, vedere Tipi logici.
SrcGeoLongtitude Facoltativo Longitude Esempio: -73.614830

Per altre informazioni, vedere Tipi logici.
SrcGeoLatitude Facoltativo Latitude Esempio: 45.505918

Per altre informazioni, vedere Tipi logici.
SrcRiskLevel Facoltativo Intero Livello di rischio associato all'origine. Il valore deve essere regolato in un intervallo di 0 in , con 0 per un rischio non dannoso e 100 per 100un rischio elevato.

Esempio: 90
SrcOriginalRiskLevel Facoltativo Intero Livello di rischio associato all'origine, come segnalato dal dispositivo di report.

Esempio: Suspicious

Campi dell'applicazione di destinazione

Campo Classe Tipo Descrizione
TargetAppId Facoltativo String ID dell'applicazione a cui è richiesta l'autorizzazione, spesso assegnata dal dispositivo di report.

Esempio: 89162
TargetAppName Facoltativo String Nome dell'applicazione a cui è necessaria l'autorizzazione, incluso un servizio, un URL o un'applicazione SaaS.

Esempio: Saleforce
TargetAppType Facoltativo AppType Tipo dell'applicazione che autorizza per conto dell'attore. Per altre informazioni e l'elenco di valori consentiti, vedere AppType nell'articolo Panoramica dello schema.
TargetUrl Facoltativo URL URL associato all'applicazione di destinazione.

Esempio: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b
LogonTarget Alias Alias per TargetAppName, TargetUrl o TargetHostname, a qualsiasi campo che descrive meglio la destinazione di autenticazione.

Campi di sistema di destinazione

Campo Classe Tipo Descrizione
Dst Alias String Identificatore univoco della destinazione di autenticazione.

Questo campo può aliasre i campi TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId o TargetAppName .

Esempio: 192.168.12.1
TargetHostname Consigliato Hostname (Nome host) Nome host del dispositivo di destinazione, escluse le informazioni sul dominio.

Esempio: DESKTOP-1282V4D
TargetDomain Consigliato String Dominio del dispositivo di destinazione.

Esempio: Contoso
TargetDomainType Condizionale Enumerated Tipo di TargetDomain. Per un elenco di valori consentiti e altre informazioni, vedere DomainType nell'articolo Panoramica dello schema.

Obbligatorio se viene usato TargetDomain .
TargetFQDN Facoltativo String Nome host del dispositivo di destinazione, incluse le informazioni sul dominio, se disponibili.

Esempio: Contoso\DESKTOP-1282V4D

Nota: questo campo supporta sia il formato FQDN tradizionale che il formato domain\hostname di Windows. TargetDomainType riflette il formato usato.
TargetDescription Facoltativo String Un testo descrittivo associato al dispositivo. Ad esempio: Primary Domain Controller.
TargetDvcId Facoltativo String ID del dispositivo di destinazione. Se sono disponibili più ID, usare quello più importante e archiviare gli altri nei campi TargetDvc<DvcIdType>.

Esempio: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
TargetDvcScopeId Facoltativo String L’ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. TargetDvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS.
TargerDvcScope Facoltativo String L'ambito della piattaforma cloud a cui appartiene il dispositivo. TargetDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS.
TargetDvcIdType Condizionale Enumerated Tipo di TargetDvcId. Per un elenco di valori consentiti e altre informazioni, vedere DvcIdType nell'articolo Panoramica dello schema.

Obbligatorio se viene usato TargetDeviceId .
TargetDeviceType Facoltativo Enumerated Tipo del dispositivo di destinazione. Per un elenco di valori consentiti e altre informazioni, vedere DeviceType nell'articolo Panoramica dello schema.
TargetIpAddr Facoltativo Indirizzo IP Indirizzo IP del dispositivo di destinazione.

Esempio: 2.2.2.2
TargetDvcOs Facoltativo String Sistema operativo del dispositivo di destinazione.

Esempio: Windows 10
TargetPortNumber Facoltativo Intero Porta del dispositivo di destinazione.
TargetGeoCountry Facoltativo Country Paese/area geografica associato all'indirizzo IP di destinazione.

Esempio: USA
TargetGeoRegion Facoltativo Paese Area associata all'indirizzo IP di destinazione.

Esempio: Vermont
TargetGeoCity Facoltativo Città Città associata all'indirizzo IP di destinazione.

Esempio: Burlington
TargetGeoLatitude Facoltativo Latitude Latitudine della coordinata geografica associata all'indirizzo IP di destinazione.

Esempio: 44.475833
TargetGeoLongitude Facoltativo Longitude Longitudine della coordinata geografica associata all'indirizzo IP di destinazione.

Esempio: 73.211944
TargetRiskLevel Facoltativo Intero Livello di rischio associato alla destinazione. Il valore deve essere regolato in un intervallo di 0 in , con 0 per un rischio non dannoso e 100 per 100un rischio elevato.

Esempio: 90
TargetOriginalRiskLevel Facoltativo Intero Livello di rischio associato alla destinazione, come segnalato dal dispositivo di report.

Esempio: Suspicious

Campi di ispezione

I campi seguenti vengono usati per rappresentare l'ispezione eseguita da un sistema di sicurezza.

Campo Classe Tipo Descrizione
RuleName Facoltativo String Nome o ID della regola associata ai risultati dell'ispezione.
RuleNumber Facoltativo Intero Numero della regola associata ai risultati dell'ispezione.
Regola Alias String Valore di RuleName o valore di RuleNumber. Se viene usato il valore di RuleNumber , il tipo deve essere convertito in stringa.
ThreatId Facoltativo String ID della minaccia o del malware identificato nell'attività di controllo.
ThreatName Facoltativo String Nome della minaccia o del malware identificato nell'attività di controllo.
ThreatCategory Facoltativo String Categoria della minaccia o del malware identificato nell'attività del file di controllo.
ThreatRiskLevel Facoltativo Intero Livello di rischio associato alla minaccia identificata. Il livello deve essere un numero compreso tra 0 e 100.

Nota: il valore potrebbe essere fornito nel record di origine usando una scala diversa, che deve essere normalizzata per questa scala. Il valore originale deve essere archiviato in ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel Facoltativo String Livello di rischio segnalato dal dispositivo di report.
ThreatConfidence Facoltativo Intero Livello di attendibilità della minaccia identificata, normalizzato in un valore compreso tra 0 e 100.
ThreatOriginalConfidence Facoltativo String Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di report.
ThreatIsActive Facoltativo Booleano True se la minaccia identificata è considerata una minaccia attiva.
ThreatFirstReportedTime Facoltativo datetime La prima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia.
ThreatLastReportedTime Facoltativo datetime L'ultima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia.
ThreatIpAddr Facoltativo Indirizzo IP Indirizzo IP per il quale è stata identificata una minaccia. Il campo ThreatField contiene il nome del campo ThreatIpAddr rappresenta.
ThreatField Facoltativo Enumerated Campo per il quale è stata identificata una minaccia. Il valore può essere SrcIpAddr o TargetIpAddr.

Aggiornamenti dello schema

Queste sono le modifiche apportate alla versione 0.1.1 dello schema:

  • Campi di entità utente e dispositivo aggiornati per allinearsi ad altri schemi.
  • Rinominato TargetDvc e SrcDvc rispettivamente in per allinearsi Target Src alle linee guida correnti di ASIM. I campi rinominati verranno implementati come alias fino al 1° luglio 2022. Questi campi includono: SrcDvcHostname, SrcDvcTypeSrcDvcHostnameType, SrcDvcIpAddr, TargetDvcHostname, TargetDvcHostnameType, TargetDvcType, TargetDvcIpAddr, e TargetDvc.
  • Sono stati aggiunti gli alias Src e Dst.
  • Sono stati aggiunti i campi SrcDvcIdType, SrcDeviceTypeTargetDvcIdType, e TargetDeviceTypee EventSchema.

Queste sono le modifiche apportate alla versione 0.1.2 dello schema:

  • Sono stati aggiunti i campi ActorScope, SrcDvcScopeSrcDvcScopeIdTargetDvcScopeIdTargetUserScope, TargetDvcScope, DvcScopeId, e .DvcScope

Queste sono le modifiche apportate alla versione 0.1.3 dello schema:

  • Sono stati aggiunti i campi SrcPortNumber, ActorOriginalUserTypeActorScopeId, TargetOriginalUserType, TargetUserScopeId, SrcDescription, SrcRiskLevel, SrcOriginalRiskLevele TargetDescription.
  • Aggiunta di campi di ispezione
  • Aggiunta dei campi di posizione geografica del sistema di destinazione.

Passaggi successivi

Per altre informazioni, vedi: