다음을 통해 공유


ASIM(고급 보안 정보 모델) 인증 정규화 스키마 참조(공개 미리 보기)

Microsoft Sentinel 인증 스키마는 사용자 인증, 로그인 및 로그아웃과 관련된 이벤트를 설명하는 데 사용됩니다. 인증 이벤트는 일반적으로 다른 이벤트와 함께 이벤트 스트림의 일부로 많은 보고 디바이스에서 전송됩니다. 예를 들어 Windows는 다른 OS 활동 이벤트와 함께 여러 인증 이벤트를 보냅니다.

인증 이벤트에는 VPN 게이트웨이 또는 도메인 컨트롤러와 같은 인증에 중점을 둔 시스템의 이벤트와 컴퓨터 또는 방화벽과 같은 최종 시스템에 대한 직접 인증이 모두 포함됩니다.

Microsoft Sentinel의 정규화에 대한 자세한 내용은 정규화 및 ASIM(고급 보안 정보 모델)을 참조하세요.

Important

인증 정규화 스키마는 현재 미리 보기로 제공됩니다. 이 기능은 서비스 수준 계약 없이 제공되며 프로덕션 워크로드에는 권장되지 않습니다.

Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

파서

Microsoft Sentinel GitHub 리포지토리에서 ASIM 인증 파서를 배포합니다. ASIM 파서에 대한 자세한 내용은 ASIM 파서 개요 문서를 참조하세요.

파서 통합

모든 ASIM 기본 제공 파서를 통합하는 파서를 사용하고 구성된 모든 원본에서 분석이 실행되도록 하려면 imAuthentication 필터링 파서 또는 ASimAuthentication 매개 변수가 없는 파서를 사용합니다.

원본 관련 파서

Microsoft Sentinel에서 제공하는 인증 파서 목록은 ASIM 파서 목록을 참조하세요.

사용자 고유의 정규화된 파서 추가

인증 정보 모델에 대한 사용자 지정 파서를 구현할 때 다음 구문을 사용하여 KQL 함수의 이름을 지정합니다.

  • vimAuthentication<vendor><Product> - 필터링 파서의 경우
  • ASimAuthentication<vendor><Product> - 매개 변수가 없는 파서의 경우

통합 파서에 사용자 지정 파서를 추가하는 방법에 대한 자세한 내용은 ASIM 파서 관리를 참조하세요.

파서 매개 변수 필터링

imvim* 파서는 필터링 매개 변수를 지원합니다. 이러한 파서는 선택 사항이지만 쿼리 성능을 개선시킬 수 있습니다.

다음 필터링 매개 변수를 사용할 수 있습니다.

속성 형식 설명
starttime 날짜/시간 이 시간 또는 그 이후에 실행된 인증 이벤트만 필터링합니다.
endtime 날짜/시간 이 시간 또는 그 이전에 실행이 완료된 인증 이벤트만 필터링합니다.
targetusername_has string 나열된 사용자 이름이 있는 인증 이벤트만 필터링합니다.

예를 들어 마지막 날부터 특정 사용자에 대한 인증 이벤트만 필터링하려면 다음을 사용합니다.

imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())

동적 값이 필요한 매개 변수에 리터럴 목록을 전달하려면 동적 리터럴을 명시적으로 사용합니다. 예: dynamic(['192.168.','10.'])

정규화된 콘텐츠

정규화된 인증 분석 규칙은 원본에서 공격을 감지할 때 고유합니다. 예를 들어 사용자가 다른 국가/지역에서 서로 다른 관련 없는 시스템에 로그인한 경우 Microsoft Sentinel은 이제 이 위협을 감지합니다.

정규화된 인증 이벤트를 사용하는 분석 규칙의 전체 목록은 인증 스키마 보안 콘텐츠를 참조하세요.

스키마 개요

인증 정보 모델은 OSSEM 로그온 엔터티 스키마와 정렬됩니다.

아래 표에 나열된 필드는 인증 이벤트와 관련이 있지만 다른 스키마의 필드와 유사하며 유사한 명명 규칙을 따릅니다.

인증 이벤트는 다음 엔터티를 참조합니다.

  • TargetUser - 시스템 인증에 사용되는 사용자 정보입니다. TargetSystem은 인증 이벤트의 기본 주체이고 별칭 사용자는 식별된 TargetUser로 지정됩니다.
  • TargetApp - 애플리케이션이 인증되었습니다.
  • 대상 - TargetApp*이 실행 중인 시스템입니다.
  • Actor - TargetUser와 다른 경우 인증을 시작하는 사용자입니다.
  • ActingApp - Actor가 인증을 수행하는 데 사용하는 애플리케이션입니다.
  • Src - Actor가 인증을 시작하는 데 사용하는 시스템입니다.

이러한 엔터티 간의 관계는 다음과 같이 가장 잘 설명됩니다.

원본 시스템 Src에서 작동하는 애플리케이션 ActingApp을 실행하는 Actor는 대상 시스템 TargetDvc에서 대상 애플리케이션 TargetApp에 대해 TargetUser로 인증을 시도합니다.

스키마 세부 정보

다음 표에서 형식은 논리적 형식을 나타냅니다. 자세한 내용은 논리적 형식을 참조하세요.

일반적인 ASIM 필드

Important

모든 스키마에 공통적인 필드는 ASIM 공통 필드 문서에 자세히 설명되어 있습니다.

특정 지침이 있는 공통 필드

다음 목록에는 인증 이벤트에 대한 특정 지침이 있는 필드가 나와 있습니다.

필드 클래스 Type 설명
EventType 필수 Enumerated 레코드에서 보고하는 작업을 설명합니다.

인증 레코드의 경우 지원되는 값은 다음과 같습니다.
- Logon
- Logoff
- Elevate
EventResultDetails 권장 문자열 이벤트 결과와 관련된 세부 정보입니다. 이 필드는 일반적으로 결과가 실패할 때 채워집니다.

허용되는 값은 다음과 같습니다.
- No such user or password. 이 값은 원래 이벤트에서 암호에 대한 참조 없이 이러한 사용자가 없다고 보고하는 경우에도 사용해야 합니다.
- No such user
- Incorrect password
- Incorrect key
- Account expired
- Password expired
- User locked
- User disabled
- Logon violates policy. 이 값은 원래 이벤트 보고서(예: MFA 필요, 근무 시간 외 로그온, 조건부 액세스 제한 또는 너무 빈번한 시도)를 보고할 때 사용해야 합니다.
- Session expired
- Other

이 값은 이러한 값으로 정규화되어야 하는 다른 용어를 사용하여 원본 레코드에 제공될 수 있습니다. 원래 값은 EventOriginalResultDetails 필드에 저장해야 합니다.
EventSubType 선택 사항 문자열 로그인 형식입니다. 허용되는 값은 다음과 같습니다.
- System
- Interactive
- RemoteInteractive
- Service
- RemoteService
- Remote - 원격 로그인 유형을 알 수 없는 경우에 사용합니다.
- AssumeRole - 일반적으로 이벤트 유형 Elevate이 .일 때 사용됩니다.

이 값은 이러한 값으로 정규화되어야 하는 다른 용어를 사용하여 원본 레코드에 제공될 수 있습니다. 원래 값은 EventOriginalSubType 필드에 저장되어야 합니다.
EventSchemaVersion 필수 문자열 스키마의 버전입니다. 여기에 설명된 스키마의 버전은 0.1.3입니다
EventSchema 필수 문자열 여기에 설명된 스키마의 이름은 Authentication입니다.
Dvc 필드 - - 인증 이벤트의 경우 디바이스 필드는 이벤트를 보고하는 시스템을 참조하세요.

모든 공통 필드

아래 표에 나열된 필드는 모든 ASIM 스키마에 공통적으로 적용됩니다. 위에 지정된 모든 지침은 필드에 대한 일반 지침을 재정의합니다. 예를 들어 필드가 일반적으로 선택 사항이지만 특정 스키마에서는 필수 사항일 수 있습니다. 각 필드에 대한 자세한 내용은 ASIM 공통 필드 문서를 참조하세요.

클래스 필드
필수 - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
권장 - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
선택 사항 - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

인증 관련 필드

필드 클래스 Type 설명
LogonMethod 선택 사항 문자열 인증을 수행하는 데 사용되는 방법입니다.

예제: Username & Password, PKI
LogonProtocol 선택 사항 문자열 인증을 수행하는 데 사용되는 프로토콜입니다.

예: NTLM

작업자 필드

필드 클래스 Type 설명
ActorUserId 선택 사항 문자열 컴퓨터에서 읽을 수 있는 영숫자, 행위자의 고유한 표현입니다. 자세한 내용 및 추가 ID에 대한 대체 필드는 사용자 항목을 참조하세요.

예: S-1-12-1-4141952679-1282074057-627758481-2916039507
ActorScope 선택 사항 문자열 ActorUserId 및 ActorUsername정의된 Microsoft Entra 테넌트와 같은 범위입니다. 또는 허용되는 값에 대한 자세한 내용과 목록은 스키마 개요 문서의 UserScope참조하세요.
ActorScopeId 선택 사항 문자열 ActorUserId 및 ActorUsername이 정의된 Microsoft Entra 디렉터리 ID와 같은 범위 ID입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서의 UserScopeId참조하세요.
ActorUserIdType 조건부 UserIdType ActorUserId 필드에 저장된 ID의 형식입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서에서 UserIdType을 참조하세요.
ActorUsername 선택 사항 사용자 이름 사용 가능한 경우 도메인 정보를 포함하여 행위자의 사용자 이름입니다. 자세한 내용은 사용자 엔터티를 참조하세요.

예: AlbertE
ActorUsernameType 조건부 UsernameType ActorUsername 필드에 저장된 사용자 이름의 형식을 지정합니다. 자세한 내용과 허용되는 값 목록은 스키마 개요 문서에서 UsernameType을 참조하세요.

예: Windows
ActorUserType 선택 사항 UserType 행위자의 형식입니다. 자세한 내용과 허용되는 값 목록은 스키마 개요 문서에서 UserType을 참조하세요.

예: Guest
ActorOriginalUserType 선택 사항 UserType 보고 디바이스에서 보고한 사용자 유형입니다.
ActorSessionId 선택 사항 문자열 행위자 로그인 세션의 고유 ID입니다.

예: 102pTUgC3p8RIqHvzxLCHnFlg

작업 애플리케이션 필드

필드 클래스 Type 설명
ActingAppId 선택 사항 문자열 프로세스, 브라우저 또는 서비스를 포함하여 작업자를 대신하여 권한을 부여하는 애플리케이션의 ID입니다.

예: 0x12ae8
ActingAppName 선택 사항 문자열 프로세스, 브라우저 또는 서비스를 포함하여 작업자를 대신하여 권한을 부여하는 애플리케이션의 이름입니다.

예: C:\Windows\System32\svchost.exe
ActingAppType 선택 사항 AppType 작업 애플리케이션의 형식입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서에서 AppType을 참조하세요.
HttpUserAgent 선택 사항 문자열 HTTP 또는 HTTPS를 통해 인증을 수행하는 경우 이 필드의 값은 인증을 수행할 때 동작 애플리케이션에서 제공하는 user_agent HTTP 헤더입니다.

예: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

대상 사용자 필드

필드 클래스 Type 설명
TargetUserId 선택 사항 사용자 ID 컴퓨터에서 읽을 수 있는 영숫자의 대상 사용자에 대한 고유한 표현입니다. 자세한 내용 및 추가 ID에 대한 대체 필드는 사용자 항목을 참조하세요.

예: 00urjk4znu3BcncfY0h7
TargetUserScope 선택 사항 문자열 TargetUserId 및 TargetUsername정의된 Microsoft Entra 테넌트와 같은 범위입니다. 또는 허용되는 값에 대한 자세한 내용과 목록은 스키마 개요 문서의 UserScope참조하세요.
TargetUserScopeId 선택 사항 문자열 TargetUserId 및 TargetUsername이 정의된 Microsoft Entra Directory ID와 같은 범위 ID입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서의 UserScopeId참조하세요.
TargetUserIdType 조건부 UserIdType TargetUserId 필드에 저장된 사용자 ID의 형식입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서에서 UserIdType을 참조하세요.

예: SID
TargetUsername 선택 사항 사용자 이름 사용 가능한 경우 도메인 정보를 포함한 대상 사용자 이름입니다. 자세한 내용은 사용자 엔터티를 참조하세요.

예: MarieC
TargetUsernameType 조건부 UsernameType TargetUsername 필드에 저장된 사용자 이름의 형식을 지정합니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서에서 UsernameType을 참조하세요.
TargetUserType 선택 사항 UserType 대상 사용자의 형식입니다. 자세한 내용과 허용되는 값 목록은 스키마 개요 문서에서 UserType을 참조하세요.

예: Member
TargetSessionId 선택 사항 문자열 원본 디바이스에 있는 TargetUser의 로그인 세션 식별자입니다.
TargetOriginalUserType 선택 사항 UserType 보고 디바이스에서 보고한 사용자 유형입니다.
사용자 Alias 사용자 이름 TargetUsername에 대한 별칭 또는 TargetUsername이 정의되지 않은 경우 TargetUserId에 대한 별칭입니다.

예: CONTOSO\dadmin

원본 시스템 필드

필드 클래스 Type 설명
Src 권장 문자열 원본 디바이스의 고유 식별자입니다.

이 필드는 SrcDvcId, SrcHostname 또는 SrcIpAddr 필드의 별칭을 지정할 수 있습니다.

예: 192.168.12.1
SrcDvcId 선택 사항 문자열 원본 디바이스의 ID입니다. 여러 ID를 사용할 수 있는 경우 가장 중요한 ID를 사용하고 나머지는 SrcDvc<DvcIdType> 필드에 저장합니다.

예: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId 선택 사항 문자열 디바이스가 속한 클라우드 플랫폼 범위 ID입니다. SrcDvcScopeId 는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다.
SrcDvcScope 선택 사항 문자열 디바이스가 속한 클라우드 플랫폼 범위입니다. SrcDvcScope는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다.
SrcDvcIdType 조건부 DvcIdType SrcDvcId 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서에서 DvcIdType을 참조하세요.

참고: 이 필드는 SrcDvcId가 사용되는 경우 필수입니다.
SrcDeviceType 선택 사항 DeviceType 원본 디바이스의 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서에서 DeviceType을 참조하세요.
SrcHostname 권장 Hostname 도메인 정보를 제외한 원본 디바이스 호스트 이름입니다. 사용 가능한 디바이스 이름이 없으면 이 필드에 관련 IP 주소를 저장합니다.

예: DESKTOP-1282V4D
SrcDomain 권장 문자열 원본 디바이스의 도메인입니다.

예: Contoso
SrcDomainType 조건부 DomainType SrcDomain 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서DomainType을 참조하세요.

SrcDomain을 사용하는 경우 필수입니다.
SrcFQDN 선택 사항 문자열 사용 가능한 경우 도메인 정보를 포함하는 원본 디바이스 호스트 이름입니다.

참고: 이 필드는 기존 FQDN 형식과 Windows 도메인\호스트 이름 형식을 모두 지원합니다. SrcDomainType 필드는 사용된 형식을 반영합니다.

예: Contoso\DESKTOP-1282V4D
SrcDescription 선택 사항 문자열 디바이스와 관련된 설명 텍스트입니다. 예: Primary Domain Controller
SrcIpAddr 선택 사항 IP 주소 원본 디바이스의 IP 주소입니다.

예: 2.2.2.2
SrcPortNumber 선택 사항 정수 연결이 시작된 IP 포트입니다.

예: 2335
SrcDvcOs 선택 사항 문자열 원본 디바이스의 OS입니다.

예: Windows 10
IpAddr Alias SrcIpAddr에 대한 별칭
SrcIsp 선택 사항 문자열 원본 디바이스에서 인터넷에 연결하는 데 사용하는 ISP(인터넷 서비스 공급자)입니다.

예: corpconnect
SrcGeoCountry 선택 사항 국가 예: Canada

자세한 내용은 논리적 형식을 참조하세요.
SrcGeoCity 선택 사항 City 예: Montreal

자세한 내용은 논리적 형식을 참조하세요.
SrcGeoRegion 선택 사항 지역 예: Quebec

자세한 내용은 논리적 형식을 참조하세요.
SrcGeoLongtitude 선택 사항 경도 예: -73.614830

자세한 내용은 논리적 형식을 참조하세요.
SrcGeoLatitude 선택 사항 위도 예: 45.505918

자세한 내용은 논리적 형식을 참조하세요.
SrcRiskLevel 선택 사항 정수 원본과 관련된 위험 수준입니다. 값은 0 ~ 100 범위로 조정해야 하며, 0은 무해함이고 100은 고위험입니다.

예: 90
SrcOriginalRiskLevel 선택 사항 정수 보고 디바이스에서 보고한 원본과 연결된 위험 수준입니다.

예: Suspicious

대상 애플리케이션 필드

필드 클래스 Type 설명
TargetAppId 선택 사항 문자열 권한 부여가 필요한 애플리케이션의 ID이며, 디바이스에서 할당하는 경우가 많습니다.

예: 89162
TargetAppName 선택 사항 문자열 서비스, URL 또는 SaaS 애플리케이션을 포함하여 권한 부여가 필요한 애플리케이션의 이름입니다.

예: Saleforce
TargetAppType 선택 사항 AppType 작업자를 대신하여 권한을 부여하는 애플리케이션의 형식입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서에서 AppType을 참조하세요.
TargetUrl 선택 사항 URL 대상 애플리케이션과 연결된 URL입니다.

예: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b
LogonTarget Alias TargetAppName, TargetUrl 또는 TargetHostname의 별칭 중 인증 대상을 가장 잘 설명하는 필드입니다.

대상 시스템 필드

필드 클래스 Type 설명
Dst Alias 문자열 인증 대상의 고유 식별자입니다.

이 필드는 TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId 또는 TargetAppName 필드의 별칭을 지정할 수 있습니다.

예: 192.168.12.1
TargetHostname 권장 Hostname 도메인 정보를 제외한 대상 디바이스 호스트 이름입니다.

예: DESKTOP-1282V4D
TargetDomain 권장 문자열 대상 디바이스의 도메인입니다.

예: Contoso
TargetDomainType 조건부 Enumerated TargetDomain 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서DomainType을 참조하세요.

TargetDomain이 사용되는 경우 필수입니다.
TargetFQDN 선택 사항 문자열 사용 가능한 경우 도메인 정보를 포함하여 대상 디바이스 호스트 이름입니다.

예: Contoso\DESKTOP-1282V4D

참고: 이 필드는 기존 FQDN 형식과 Windows 도메인\호스트 이름 형식을 모두 지원합니다. TargetDomainType은 사용된 형식을 반영합니다.
TargetDescription 선택 사항 문자열 디바이스와 관련된 설명 텍스트입니다. 예: Primary Domain Controller
TargetDvcId 선택 사항 문자열 대상 디바이스의 ID입니다. 여러 ID를 사용할 수 있는 경우 가장 중요한 ID를 사용하고 나머지는 TargetDvc<DvcIdType> 필드에 저장합니다.

예: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
TargetDvcScopeId 선택 사항 문자열 디바이스가 속한 클라우드 플랫폼 범위 ID입니다. TargetDvcScopeId 는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다.
TargerDvcScope 선택 사항 문자열 디바이스가 속한 클라우드 플랫폼 범위입니다. TargetDvcScope는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다.
TargetDvcIdType 조건부 Enumerated TargetDvcId 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서에서 DvcIdType을 참조하세요.

TargetDeviceId가 사용되는 경우 필수입니다.
TargetDeviceType 선택 사항 Enumerated 대상 디바이스의 유형입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서에서 DeviceType을 참조하세요.
TargetIpAddr 선택 사항 IP 주소 대상 디바이스의 IP 주소입니다.

예: 2.2.2.2
TargetDvcOs 선택 사항 문자열 대상 디바이스의 OS입니다.

예: Windows 10
TargetPortNumber 선택 사항 정수 대상 디바이스의 포트입니다.
TargetGeoCountry 선택 사항 국가 대상 IP 주소와 연결된 국가/지역입니다.

예: USA
TargetGeoRegion 선택 사항 지역 대상 IP 주소와 연결된 지역입니다.

예: Vermont
TargetGeoCity 선택 사항 City 대상 IP 주소와 연결된 도시입니다.

예: Burlington
TargetGeoLatitude 선택 사항 위도 대상 IP 주소와 연결된 지리적 좌표의 위도입니다.

예: 44.475833
TargetGeoLongitude 선택 사항 경도 대상 IP 주소와 연결된 지리적 좌표의 경도입니다.

예: 73.211944
TargetRiskLevel 선택 사항 정수 대상과 연결된 위험 수준입니다. 값은 0 ~ 100 범위로 조정해야 하며, 0은 무해함이고 100은 고위험입니다.

예: 90
TargetOriginalRiskLevel 선택 사항 정수 보고 디바이스에서 보고한 대상과 연결된 위험 수준입니다.

예: Suspicious

검사 필드

다음 필드는 보안 시스템에서 수행하는 검사를 나타내는 데 사용됩니다.

필드 클래스 Type 설명
RuleName 선택 사항 문자열 검사 결과와 연결된 규칙의 이름 또는 ID입니다.
RuleNumber 선택 사항 정수 검사 결과와 연결된 규칙의 수입니다.
규칙 Alias 문자열 RuleName 값 또는 RuleNumber 값입니다. RuleNumber 값을 사용하는 경우 형식을 문자열로 변환해야 합니다.
ThreatId 선택 사항 문자열 감사 활동에서 식별된 위협 또는 맬웨어의 ID입니다.
ThreatName 선택 사항 문자열 감사 활동에서 식별된 위협 또는 맬웨어의 이름입니다.
ThreatCategory 선택 사항 문자열 감사 파일 활동에서 식별된 위협 또는 맬웨어의 범주입니다.
ThreatRiskLevel 선택 사항 정수 식별된 위협과 관련된 위험 수준입니다. 수준은 0에서 100 사이의 숫자여야 합니다.

참고: 이 척도로 정규화되어야 하는 다른 척도를 사용하여 값을 원본 레코드에 제공할 수 있습니다. 원래 값은 ThreatRiskLevelOriginal에 저장해야 합니다.
ThreatOriginalRiskLevel 선택 사항 문자열 보고 디바이스에서 보고한 위험 수준입니다.
ThreatConfidence 선택 사항 정수 식별된 위협의 신뢰 수준이며, 0~100의 값으로 정규화됩니다.
ThreatOriginalConfidence 선택 사항 문자열 보고 디바이스에서 보고하는 식별된 위협의 원래 신뢰 수준입니다.
ThreatIsActive 선택 사항 Boolean True이면 식별된 위협이 활성 위협으로 간주됩니다.
ThreatFirstReportedTime 선택 사항 날짜/시간 IP 주소 또는 도메인이 처음으로 위협으로 식별된 시간입니다.
ThreatLastReportedTime 선택 사항 날짜/시간 IP 주소 또는 도메인이 마지막으로 위협으로 식별된 시간입니다.
ThreatIpAddr 선택 사항 IP 주소 위협이 식별된 IP 주소입니다. ThreatField 필드에는 ThreatIpAddr에서 나타내는 필드의 이름이 포함됩니다.
ThreatField 선택 사항 Enumerated 위협이 식별된 필드입니다. 값은 SrcIpAddr 또는 TargetIpAddr입니다.

스키마 업데이트

다음은 스키마 버전 0.1.1의 변경 내용입니다.

  • 다른 스키마에 맞게 사용자 및 디바이스 엔터티 필드가 업데이트되었습니다.
  • 현재 ASIM 가이드라인에 맞게 TargetDvcSrcDvc의 이름을 각각 TargetSrc로 변경했습니다. 이름이 변경된 필드는 2022년 7월 1일까지 별칭으로 구현됩니다. 이러한 필드에는 SrcDvcHostname, SrcDvcHostnameType, SrcDvcType, SrcDvcIpAddr, TargetDvcHostname, TargetDvcHostnameType, TargetDvcType, TargetDvcIpAddrTargetDvc가 포함됩니다.
  • 별칭 SrcDst를 추가했습니다.
  • 필드SrcDvcIdType, SrcDeviceType, TargetDvcIdTypeTargetDeviceTypeEventSchema.

다음은 스키마 버전 0.1.2의 변경 내용입니다.

  • 필드ActorScope, ,TargetUserScope, SrcDvcScopeId, SrcDvcScopeTargetDvcScopeId, TargetDvcScopeDvcScopeIdDvcScope.를 추가했습니다.

다음은 스키마 버전 0.1.3의 변경 내용입니다.

  • 필드SrcPortNumber, ,ActorOriginalUserType, ActorScopeId, TargetUserScopeIdTargetOriginalUserType, SrcDescription, SrcRiskLevelSrcOriginalRiskLevelTargetDescription.를 추가했습니다.
  • 검사 필드 추가됨
  • 대상 시스템 지리적 위치 필드가 추가되었습니다.

다음 단계

자세한 내용은 다음을 참조하세요.