Delen via


De normalisatieschemaverwijzing voor Advanced Security Information Model (ASIM) voor verificatie (openbare preview)

Het Microsoft Sentinel-verificatieschema wordt gebruikt voor het beschrijven van gebeurtenissen met betrekking tot gebruikersverificatie, aanmelding en afmelding. Verificatie-gebeurtenissen worden verzonden door veel rapportageapparaten, meestal als onderdeel van de gebeurtenisstroom naast andere gebeurtenissen. Windows verzendt bijvoorbeeld verschillende verificatie-gebeurtenissen naast andere activiteiten van het besturingssysteem.

Verificatie-gebeurtenissen omvatten beide gebeurtenissen van systemen die zich richten op verificatie, zoals VPN-gateways of domeincontrollers, en directe verificatie naar een eindsysteem, zoals een computer of firewall.

Zie Normalization and the Advanced Security Information Model (ASIM) voor meer informatie over normalisatie in Microsoft Sentinel.

Belangrijk

Het normalisatieschema voor verificatie bevindt zich momenteel in PREVIEW. Deze functie wordt geleverd zonder service level agreement en wordt niet aanbevolen voor productieworkloads.

De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Parsers

ASIM-verificatieparsers implementeren vanuit de GitHub-opslagplaats van Microsoft Sentinel. Zie het overzicht van ASIM-parsers voor meer informatie over ASIM-parsers.

Parsers opheffen

Als u parsers wilt gebruiken die alle out-of-the-box parsers van ASIM samenvoegen en ervoor zorgen dat uw analyse wordt uitgevoerd op alle geconfigureerde bronnen, gebruikt u de imAuthentication filterparser of de ASimAuthentication parameterloze parser.

Bronspecifieke parsers

Raadpleeg de ASIM-parserslijst voor de lijst met verificatieparsers van Microsoft Sentinel:

Uw eigen genormaliseerde parsers toevoegen

Bij het implementeren van aangepaste parsers voor het verificatiegegevensmodel noemt u uw KQL-functies met behulp van de volgende syntaxis:

  • vimAuthentication<vendor><Product> voor het filteren van parsers
  • ASimAuthentication<vendor><Product> voor parameterloze parsers

Raadpleeg ASIM-parsers beheren voor informatie over het toevoegen van uw aangepaste parsers aan de samenvoegingsparser.

Parserparameters filteren

De im parsers vim* ondersteunen filterparameters. Hoewel deze parsers optioneel zijn, kunnen ze uw queryprestaties verbeteren.

De volgende filterparameters zijn beschikbaar:

Name Type Description
begintijd datetime Filter alleen verificatie-gebeurtenissen die op of na deze tijd zijn uitgevoerd.
eindtijd datetime Filter alleen verificatie-gebeurtenissen die op of vóór deze tijd zijn uitgevoerd.
targetusername_has tekenreeks Filter alleen verificatie-gebeurtenissen met een van de vermelde gebruikersnamen.

Als u bijvoorbeeld alleen verificatie-gebeurtenissen van de laatste dag naar een specifieke gebruiker wilt filteren, gebruikt u:

imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())

Tip

Als u een letterlijke lijst wilt doorgeven aan parameters die een dynamische waarde verwachten, gebruikt u expliciet een dynamische letterlijke waarde. Voorbeeld: dynamic(['192.168.','10.']).

Genormaliseerde inhoud

Genormaliseerde verificatieanalyseregels zijn uniek omdat ze aanvallen in verschillende bronnen detecteren. Als een gebruiker zich bijvoorbeeld heeft aangemeld bij verschillende, niet-gerelateerde systemen, uit verschillende landen/regio's, detecteert Microsoft Sentinel deze bedreiging nu.

Zie De beveiligingsinhoud van het verificatieschema voor een volledige lijst met analyseregels die gebruikmaken van genormaliseerde verificatiegebeurtenissen.

Schemaoverzicht

Het verificatiegegevensmodel is afgestemd op het ossem-aanmeldingsentiteitsschema.

De velden in de onderstaande tabel zijn specifiek voor verificatie-gebeurtenissen, maar zijn vergelijkbaar met velden in andere schema's en volgen vergelijkbare naamconventies.

Verificatie-gebeurtenissen verwijzen naar de volgende entiteiten:

  • TargetUser : de gebruikersgegevens die worden gebruikt voor verificatie bij het systeem. Het TargetSystem is het primaire onderwerp van de verificatie-gebeurtenis en de alias User aliast een TargetUser geïdentificeerd.
  • TargetApp : de toepassing is geverifieerd bij.
  • Target : het systeem waarop TargetApp* wordt uitgevoerd.
  • Actor : de gebruiker die de verificatie initieert, indien anders dan TargetUser.
  • ActingApp : de toepassing die door de actor wordt gebruikt om de verificatie uit te voeren.
  • Src : het systeem dat door de actor wordt gebruikt om de verificatie te initiëren.

De relatie tussen deze entiteiten wordt het beste als volgt gedemonstreerd:

Een actor, die een acterende toepassing uitvoert, ActingApp, op een bronsysteem, Src, probeert te verifiëren als targetuser voor een doeltoepassing, TargetApp, op een doelsysteem, TargetDvc.

Schemadetails

In de volgende tabellen verwijst Type naar een logisch type. Zie Logische typen voor meer informatie.

Algemene ASIM-velden

Belangrijk

Velden die voor alle schema's gelden, worden uitgebreid beschreven in het artikel Algemene ASIM-velden .

Algemene velden met specifieke richtlijnen

De volgende lijst vermeldt velden met specifieke richtlijnen voor verificatie-gebeurtenissen:

Veld Klas Type Description
EventType Verplicht Enumerated Beschrijft de bewerking die door de record is gerapporteerd.

Voor verificatierecords zijn ondersteunde waarden onder andere:
- Logon
- Logoff
- Elevate
EventResultDetails Aanbevolen String De details die zijn gekoppeld aan het resultaat van de gebeurtenis. Dit veld wordt meestal ingevuld wanneer het resultaat een fout is.

Toegestane waarden zijn:
- No such user or password. Deze waarde moet ook worden gebruikt wanneer de oorspronkelijke gebeurtenis meldt dat er geen dergelijke gebruiker is, zonder verwijzing naar een wachtwoord.
- No such user
- Incorrect password
- Incorrect key
- Account expired
- Password expired
- User locked
- User disabled
- Logon violates policy. Deze waarde moet worden gebruikt wanneer de oorspronkelijke gebeurtenis rapporteert, bijvoorbeeld: MFA vereist, aanmelden buiten werkuren, beperkingen voor voorwaardelijke toegang of te frequente pogingen.
- Session expired
- Other

De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd voor deze waarden. De oorspronkelijke waarde moet worden opgeslagen in het veld EventOriginalResultDetails
EventSubType Optioneel String Het aanmeldingstype. Toegestane waarden zijn:
- System
- Interactive
- RemoteInteractive
- Service
- RemoteService
- Remote - Gebruik dit wanneer het type externe aanmelding onbekend is.
- AssumeRole - Wordt meestal gebruikt wanneer het gebeurtenistype is Elevate.

De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd voor deze waarden. De oorspronkelijke waarde moet worden opgeslagen in het veld EventOriginalSubType.
EventSchemaVersion Verplicht String De versie van het schema. De versie van het schema dat hier wordt beschreven, is 0.1.3
EventSchema Verplicht String De naam van het schema dat hier wordt beschreven, is verificatie.
Dvc-velden - - Voor verificatie-gebeurtenissen verwijzen apparaatvelden naar het systeem dat de gebeurtenis rapporteert.

Alle algemene velden

Velden die in de onderstaande tabel worden weergegeven, zijn gebruikelijk voor alle ASIM-schema's. Elke hierboven opgegeven richtlijn overschrijft de algemene richtlijnen voor het veld. Een veld kan bijvoorbeeld optioneel zijn in het algemeen, maar verplicht voor een specifiek schema. Raadpleeg het artikel Algemene ASIM-velden voor meer informatie over elk veld.

Klas Velden
Verplicht - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Aanbevolen - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Optioneel - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

Verificatiespecifieke velden

Veld Klas Type Description
LogonMethod Optioneel String De methode die wordt gebruikt om verificatie uit te voeren.

Voorbeelden: Username & Password, PKI
LogonProtocol Optioneel String Het protocol dat wordt gebruikt om verificatie uit te voeren.

Voorbeeld: NTLM

Actorvelden

Veld Klas Type Description
ActorUserId Optioneel String Een machineleesbare, alfanumerieke, unieke weergave van de actor. Zie de entiteit Gebruiker voor meer informatie en voor alternatieve velden voor aanvullende id's.

Voorbeeld: S-1-12-1-4141952679-1282074057-627758481-2916039507
ActorScope Optioneel String Het bereik, zoals Microsoft Entra-tenant, waarin ActorUserId en ActorUsername worden gedefinieerd. of meer informatie en lijst met toegestane waarden, zie UserScope in het artikel Schemaoverzicht.
ActorScopeId Optioneel String De bereik-id, zoals Microsoft Entra Directory-id, waarin ActorUserId en ActorUsername worden gedefinieerd. Zie UserScopeId in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden.
ActorUserIdType Voorwaardelijk UserIdType Het type id dat is opgeslagen in het veld ActorUserId . Zie UserIdType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden.
ActorUsername Optioneel Username De gebruikersnaam van de actor, inclusief domeingegevens, indien beschikbaar. Zie De entiteit Gebruiker voor meer informatie.

Voorbeeld: AlbertE
ActorUsernameType Voorwaardelijk UsernameType Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld ActorUsername . Zie UsernameType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden.

Voorbeeld: Windows
ActorUserType Optioneel UserType Het type actor. Zie UserType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden.

Bijvoorbeeld: Guest
ActorOriginalUserType Optioneel UserType Het gebruikerstype zoals gerapporteerd door het rapportageapparaat.
ActorSessionId Optioneel String De unieke id van de aanmeldingssessie van de actor.

Voorbeeld: 102pTUgC3p8RIqHvzxLCHnFlg

Toepassingsvelden acteren

Veld Klas Type Description
ActingAppId Optioneel String De id van de toepassing die namens de actor wordt gemachtigd, met inbegrip van een proces, browser of service.

Bijvoorbeeld: 0x12ae8
ActingAppName Optioneel String De naam van de toepassing die namens de actor wordt gemachtigd, met inbegrip van een proces, browser of service.

Bijvoorbeeld: C:\Windows\System32\svchost.exe
ActingAppType Optioneel AppType Het type acterende toepassing. Zie AppType in het artikel Schemaoverzicht voor meer informatie en toegestane lijst met waarden.
HttpUserAgent Optioneel String Wanneer verificatie wordt uitgevoerd via HTTP of HTTPS, is de waarde van dit veld de user_agent HTTP-header die wordt geleverd door de acterende toepassing bij het uitvoeren van de verificatie.

Bijvoorbeeld: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

Doelgebruikersvelden

Veld Klas Type Description
TargetUserId Optioneel Gebruikers-id Een machineleesbare, alfanumerieke, unieke weergave van de doelgebruiker. Zie de entiteit Gebruiker voor meer informatie en voor alternatieve velden voor aanvullende id's.

Voorbeeld: 00urjk4znu3BcncfY0h7
TargetUserScope Optioneel String Het bereik, zoals Microsoft Entra-tenant, waarin TargetUserId en TargetUsername worden gedefinieerd. of meer informatie en lijst met toegestane waarden, zie UserScope in het artikel Schemaoverzicht.
TargetUserScopeId Optioneel String De bereik-id, zoals Microsoft Entra Directory-id, waarin TargetUserId en TargetUsername worden gedefinieerd. Zie UserScopeId in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden.
TargetUserIdType Voorwaardelijk UserIdType Het type gebruikers-id dat is opgeslagen in het veld TargetUserId . Zie UserIdType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden.

Voorbeeld: SID
TargetUsername Optioneel Username De gebruikersnaam van de doelgebruiker, inclusief domeingegevens, indien beschikbaar. Zie De entiteit Gebruiker voor meer informatie.

Voorbeeld: MarieC
TargetUsernameType Voorwaardelijk UsernameType Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld TargetUsername . Zie UsernameType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden.
TargetUserType Optioneel UserType Het type doelgebruiker. Zie UserType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden.

Bijvoorbeeld: Member
TargetSessionId Optioneel String De aanmeldingssessie-id van targetUser op het bronapparaat.
TargetOriginalUserType Optioneel UserType Het gebruikerstype zoals gerapporteerd door het rapportageapparaat.
Gebruiker Alias Username Alias naar de TargetUsername of de TargetUserId als TargetUsername niet is gedefinieerd.

Voorbeeld: CONTOSO\dadmin

Bronsysteemvelden

Veld Klas Type Description
Src Aanbevolen String Een unieke id van het bronapparaat.

Dit veld kan de velden SrcDvcId, SrcHostname of SrcIpAddr aliasen.

Voorbeeld: 192.168.12.1
SrcDvcId Optioneel String De id van het bronapparaat. Als er meerdere id's beschikbaar zijn, gebruikt u de belangrijkste id en slaat u de andere op in de velden SrcDvc<DvcIdType>.

Voorbeeld: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId Optioneel String De bereik-id van het cloudplatform waartoe het apparaat behoort. SrcDvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS.
SrcDvcScope Optioneel String Het cloudplatformbereik waartoe het apparaat behoort. SrcDvcScope wordt toegewezen aan een abonnements-id in Azure en aan een account-id in AWS.
SrcDvcIdType Voorwaardelijk DvcIdType Het type SrcDvcId. Voor een lijst met toegestane waarden en meer informatie raadpleegt u DvcIdType in het artikel Schemaoverzicht.

Opmerking: dit veld is vereist als SrcDvcId wordt gebruikt.
SrcDeviceType Optioneel DeviceType Het type bronapparaat. Raadpleeg DeviceType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie.
SrcHostname Aanbevolen Hostnaam De hostnaam van het bronapparaat, met uitzondering van domeingegevens. Als er geen apparaatnaam beschikbaar is, slaat u het relevante IP-adres op in dit veld.

Voorbeeld: DESKTOP-1282V4D
SrcDomain Aanbevolen String Het domein van het bronapparaat.

Voorbeeld: Contoso
SrcDomainType Voorwaardelijk DomainType Het type SrcDomain. Voor een lijst met toegestane waarden en meer informatie raadpleegt u DomainType in het artikel Schemaoverzicht.

Vereist als SrcDomain wordt gebruikt.
SrcFQDN Optioneel String De hostnaam van het bronapparaat, inclusief domeingegevens, indien beschikbaar.

Opmerking: dit veld ondersteunt zowel de traditionele FQDN-indeling als de Indeling windows-domein\hostnaam. Het veld SrcDomainType weerspiegelt de gebruikte indeling.

Voorbeeld: Contoso\DESKTOP-1282V4D
SrcDescription Optioneel String Een beschrijvende tekst die aan het apparaat is gekoppeld. Voorbeeld: Primary Domain Controller.
SrcIpAddr Optioneel IP-adres Het IP-adres van het bronapparaat.

Voorbeeld: 2.2.2.2
SrcPortNumber Optioneel Geheel getal De IP-poort waaruit de verbinding afkomstig is.

Voorbeeld: 2335
SrcDvcOs Optioneel String Het besturingssysteem van het bronapparaat.

Voorbeeld: Windows 10
IpAddr Alias Alias naar SrcIpAddr
SrcIsp Optioneel String De internetprovider (ISP) die door het bronapparaat wordt gebruikt om verbinding te maken met internet.

Voorbeeld: corpconnect
SrcGeoCountry Optioneel Land/regio Voorbeeld: Canada

Zie Logische typen voor meer informatie.
SrcGeoCity Optioneel City Voorbeeld: Montreal

Zie Logische typen voor meer informatie.
SrcGeoRegion Optioneel Regio Voorbeeld: Quebec

Zie Logische typen voor meer informatie.
SrcGeoLongtitude Optioneel Lengtegraad Voorbeeld: -73.614830

Zie Logische typen voor meer informatie.
SrcGeoL dankbaarheid Optioneel Breedtegraad Voorbeeld: 45.505918

Zie Logische typen voor meer informatie.
SrcRiskLevel Optioneel Geheel getal Het risiconiveau dat aan de bron is gekoppeld. De waarde moet worden aangepast aan een bereik van 0 tot, met 0 voor goedaardig en 100 voor 100een hoog risico.

Voorbeeld: 90
SrcOriginalRiskLevel Optioneel Geheel getal Het risiconiveau dat is gekoppeld aan de bron, zoals gerapporteerd door het rapportageapparaat.

Voorbeeld: Suspicious

Doeltoepassingsvelden

Veld Klas Type Description
TargetAppId Optioneel String De id van de toepassing waaraan de autorisatie is vereist, vaak toegewezen door het rapportageapparaat.

Voorbeeld: 89162
TargetAppName Optioneel String De naam van de toepassing waarvoor de autorisatie is vereist, inclusief een service, een URL of een SaaS-toepassing.

Voorbeeld: Saleforce
TargetAppType Optioneel AppType Het type toepassing dat namens de actor wordt gemachtigd. Zie AppType in het artikel Schemaoverzicht voor meer informatie en toegestane lijst met waarden.
TargetUrl Optioneel URL De URL die is gekoppeld aan de doeltoepassing.

Voorbeeld: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b
LogonTarget Alias Alias naar TargetAppName, TargetUrl of TargetHostname, welk veld het verificatiedoel het beste beschrijft.

Doelsysteemvelden

Veld Klas Type Description
Dst Alias String Een unieke id van het verificatiedoel.

In dit veld kunnen de velden TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId of TargetAppName worden opgevraagd.

Voorbeeld: 192.168.12.1
TargetHostname Aanbevolen Hostnaam De hostnaam van het doelapparaat, met uitzondering van domeingegevens.

Voorbeeld: DESKTOP-1282V4D
TargetDomain Aanbevolen String Het domein van het doelapparaat.

Voorbeeld: Contoso
TargetDomainType Voorwaardelijk Enumerated Het type TargetDomain. Voor een lijst met toegestane waarden en meer informatie raadpleegt u DomainType in het artikel Schemaoverzicht.

Vereist als TargetDomain wordt gebruikt.
TargetFQDN Optioneel String De hostnaam van het doelapparaat, inclusief domeingegevens, indien beschikbaar.

Voorbeeld: Contoso\DESKTOP-1282V4D

Opmerking: dit veld ondersteunt zowel de traditionele FQDN-indeling als de Indeling windows-domein\hostnaam. Het TargetDomainType weerspiegelt de gebruikte indeling.
TargetDescription Optioneel String Een beschrijvende tekst die aan het apparaat is gekoppeld. Voorbeeld: Primary Domain Controller.
TargetDvcId Optioneel String De id van het doelapparaat. Als er meerdere id's beschikbaar zijn, gebruikt u de belangrijkste id en slaat u de andere op in de velden TargetDvc<DvcIdType>.

Voorbeeld: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
TargetDvcScopeId Optioneel String De bereik-id van het cloudplatform waartoe het apparaat behoort. TargetDvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS.
TargerDvcScope Optioneel String Het cloudplatformbereik waartoe het apparaat behoort. TargetDvcScope wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS.
TargetDvcIdType Voorwaardelijk Enumerated Het type TargetDvcId. Voor een lijst met toegestane waarden en meer informatie raadpleegt u DvcIdType in het artikel Schemaoverzicht.

Vereist als TargetDeviceId wordt gebruikt.
TargetDeviceType Optioneel Enumerated Het type doelapparaat. Raadpleeg DeviceType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie.
TargetIpAddr Optioneel IP-adres Het IP-adres van het doelapparaat.

Voorbeeld: 2.2.2.2
TargetDvcOs Optioneel String Het besturingssysteem van het doelapparaat.

Voorbeeld: Windows 10
TargetPortNumber Optioneel Geheel getal De poort van het doelapparaat.
TargetGeoCountry Optioneel Land/regio Het land/de regio die is gekoppeld aan het doel-IP-adres.

Voorbeeld: USA
TargetGeoRegion Optioneel Regio De regio die is gekoppeld aan het doel-IP-adres.

Voorbeeld: Vermont
TargetGeoCity Optioneel City De plaats die is gekoppeld aan het doel-IP-adres.

Voorbeeld: Burlington
TargetGeoL dankbaarheid Optioneel Breedtegraad De breedtegraad van de geografische coördinaat die is gekoppeld aan het doel-IP-adres.

Voorbeeld: 44.475833
TargetGeoLongitude Optioneel Lengtegraad De lengtegraad van de geografische coördinaat die is gekoppeld aan het doel-IP-adres.

Voorbeeld: 73.211944
TargetRiskLevel Optioneel Geheel getal Het risiconiveau dat aan het doel is gekoppeld. De waarde moet worden aangepast aan een bereik van 0 tot, met 0 voor goedaardig en 100 voor 100een hoog risico.

Voorbeeld: 90
TargetOriginalRiskLevel Optioneel Geheel getal Het risiconiveau dat aan het doel is gekoppeld, zoals gerapporteerd door het rapportageapparaat.

Voorbeeld: Suspicious

Inspectievelden

De volgende velden worden gebruikt om de inspectie aan te geven die wordt uitgevoerd door een beveiligingssysteem.

Veld Klas Type Description
RuleName Optioneel String De naam of id van de regel door gekoppeld aan de inspectieresultaten.
RuleNumber Optioneel Geheel getal Het nummer van de regel die is gekoppeld aan de inspectieresultaten.
Regel Alias String De waarde van RuleName of de waarde van RuleNumber. Als de waarde van RuleNumber wordt gebruikt, moet het type worden geconverteerd naar tekenreeks.
ThreatId Optioneel String De id van de bedreiging of malware die is geïdentificeerd in de controleactiviteit.
ThreatName Optioneel String De naam van de bedreiging of malware die is geïdentificeerd in de controleactiviteit.
ThreatCategory Optioneel String De categorie van de bedreiging of malware die is geïdentificeerd in de activiteit van het controlebestand.
ThreatRiskLevel Optioneel Geheel getal Het risiconiveau dat is gekoppeld aan de geïdentificeerde bedreiging. Het niveau moet een getal tussen 0 en 100 zijn.

Opmerking: De waarde kan worden opgegeven in de bronrecord met behulp van een andere schaal, die moet worden genormaliseerd voor deze schaal. De oorspronkelijke waarde moet worden opgeslagen in ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel Optioneel String Het risiconiveau zoals gerapporteerd door het rapportageapparaat.
ThreatConfidence Optioneel Geheel getal Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd tot een waarde tussen 0 en 100.
ThreatOriginalConfidence Optioneel String Het oorspronkelijke betrouwbaarheidsniveau van de geïdentificeerde bedreiging, zoals gerapporteerd door het rapportageapparaat.
ThreatIsActive Optioneel Booleaanse waarde Waar als de geïdentificeerde bedreiging wordt beschouwd als een actieve bedreiging.
ThreatFirstReportedTime Optioneel datetime De eerste keer dat het IP-adres of domein als een bedreiging is geïdentificeerd.
ThreatLastReportedTime Optioneel datetime De laatste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging.
ThreatIpAddr Optioneel IP-adres Een IP-adres waarvoor een bedreiging is geïdentificeerd. Het veld ThreatField bevat de naam van het veld ThreatIpAddr .
ThreatField Optioneel Enumerated Het veld waarvoor een bedreiging is geïdentificeerd. De waarde is ofwel SrcIpAddr TargetIpAddr.

Schema-updates

Dit zijn de wijzigingen in versie 0.1.1 van het schema:

  • Bijgewerkte velden voor gebruikers- en apparaatentiteiten om te worden uitgelijnd met andere schema's.
  • De naam is gewijzigd TargetDvc en Src SrcDvc Target respectievelijk aangepast aan de huidige ASIM-richtlijnen. De hernoemde velden worden geïmplementeerd als aliassen tot 1 juli 2022. Deze velden omvatten: SrcDvcHostname, SrcDvcHostnameType, SrcDvcType, , SrcDvcIpAddr, TargetDvcHostname, TargetDvcHostnameType, TargetDvcType, , , en TargetDvcIpAddrTargetDvc.
  • De aliassen Src en Dst.
  • De velden, , en , en TargetDeviceTypeEventSchema. TargetDvcIdTypeSrcDeviceTypeSrcDvcIdType

Dit zijn de wijzigingen in versie 0.1.2 van het schema:

  • De velden ActorScope, TargetUserScope, , SrcDvcScopeId, SrcDvcScope, TargetDvcScopeId, , TargetDvcScope, en DvcScopeId.DvcScope

Dit zijn de wijzigingen in versie 0.1.3 van het schema:

  • De velden SrcPortNumber, , , ActorScopeId, TargetOriginalUserType, TargetUserScopeId, , SrcDescription, SrcRiskLevel, en SrcOriginalRiskLevel.TargetDescriptionActorOriginalUserType
  • Inspectievelden toegevoegd
  • Velden voor geografische locatie van het doelsysteem toegevoegd.

Volgende stappen

Zie voor meer informatie: