De normalisatieschemaverwijzing voor Advanced Security Information Model (ASIM) voor verificatie (openbare preview)
Het Microsoft Sentinel-verificatieschema wordt gebruikt voor het beschrijven van gebeurtenissen met betrekking tot gebruikersverificatie, aanmelding en afmelding. Verificatie-gebeurtenissen worden verzonden door veel rapportageapparaten, meestal als onderdeel van de gebeurtenisstroom naast andere gebeurtenissen. Windows verzendt bijvoorbeeld verschillende verificatie-gebeurtenissen naast andere activiteiten van het besturingssysteem.
Verificatie-gebeurtenissen omvatten beide gebeurtenissen van systemen die zich richten op verificatie, zoals VPN-gateways of domeincontrollers, en directe verificatie naar een eindsysteem, zoals een computer of firewall.
Zie Normalization and the Advanced Security Information Model (ASIM) voor meer informatie over normalisatie in Microsoft Sentinel.
Belangrijk
Het normalisatieschema voor verificatie bevindt zich momenteel in PREVIEW. Deze functie wordt geleverd zonder service level agreement en wordt niet aanbevolen voor productieworkloads.
De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Parsers
ASIM-verificatieparsers implementeren vanuit de GitHub-opslagplaats van Microsoft Sentinel. Zie het overzicht van ASIM-parsers voor meer informatie over ASIM-parsers.
Parsers opheffen
Als u parsers wilt gebruiken die alle out-of-the-box parsers van ASIM samenvoegen en ervoor zorgen dat uw analyse wordt uitgevoerd op alle geconfigureerde bronnen, gebruikt u de imAuthentication
filterparser of de ASimAuthentication
parameterloze parser.
Bronspecifieke parsers
Raadpleeg de ASIM-parserslijst voor de lijst met verificatieparsers van Microsoft Sentinel:
Uw eigen genormaliseerde parsers toevoegen
Bij het implementeren van aangepaste parsers voor het verificatiegegevensmodel noemt u uw KQL-functies met behulp van de volgende syntaxis:
vimAuthentication<vendor><Product>
voor het filteren van parsersASimAuthentication<vendor><Product>
voor parameterloze parsers
Raadpleeg ASIM-parsers beheren voor informatie over het toevoegen van uw aangepaste parsers aan de samenvoegingsparser.
Parserparameters filteren
De im
parsers vim*
ondersteunen filterparameters. Hoewel deze parsers optioneel zijn, kunnen ze uw queryprestaties verbeteren.
De volgende filterparameters zijn beschikbaar:
Name | Type | Description |
---|---|---|
begintijd | datetime | Filter alleen verificatie-gebeurtenissen die op of na deze tijd zijn uitgevoerd. |
eindtijd | datetime | Filter alleen verificatie-gebeurtenissen die op of vóór deze tijd zijn uitgevoerd. |
targetusername_has | tekenreeks | Filter alleen verificatie-gebeurtenissen met een van de vermelde gebruikersnamen. |
Als u bijvoorbeeld alleen verificatie-gebeurtenissen van de laatste dag naar een specifieke gebruiker wilt filteren, gebruikt u:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Tip
Als u een letterlijke lijst wilt doorgeven aan parameters die een dynamische waarde verwachten, gebruikt u expliciet een dynamische letterlijke waarde. Voorbeeld: dynamic(['192.168.','10.'])
.
Genormaliseerde inhoud
Genormaliseerde verificatieanalyseregels zijn uniek omdat ze aanvallen in verschillende bronnen detecteren. Als een gebruiker zich bijvoorbeeld heeft aangemeld bij verschillende, niet-gerelateerde systemen, uit verschillende landen/regio's, detecteert Microsoft Sentinel deze bedreiging nu.
Zie De beveiligingsinhoud van het verificatieschema voor een volledige lijst met analyseregels die gebruikmaken van genormaliseerde verificatiegebeurtenissen.
Schemaoverzicht
Het verificatiegegevensmodel is afgestemd op het ossem-aanmeldingsentiteitsschema.
De velden in de onderstaande tabel zijn specifiek voor verificatie-gebeurtenissen, maar zijn vergelijkbaar met velden in andere schema's en volgen vergelijkbare naamconventies.
Verificatie-gebeurtenissen verwijzen naar de volgende entiteiten:
- TargetUser : de gebruikersgegevens die worden gebruikt voor verificatie bij het systeem. Het TargetSystem is het primaire onderwerp van de verificatie-gebeurtenis en de alias User aliast een TargetUser geïdentificeerd.
- TargetApp : de toepassing is geverifieerd bij.
- Target : het systeem waarop TargetApp* wordt uitgevoerd.
- Actor : de gebruiker die de verificatie initieert, indien anders dan TargetUser.
- ActingApp : de toepassing die door de actor wordt gebruikt om de verificatie uit te voeren.
- Src : het systeem dat door de actor wordt gebruikt om de verificatie te initiëren.
De relatie tussen deze entiteiten wordt het beste als volgt gedemonstreerd:
Een actor, die een acterende toepassing uitvoert, ActingApp, op een bronsysteem, Src, probeert te verifiëren als targetuser voor een doeltoepassing, TargetApp, op een doelsysteem, TargetDvc.
Schemadetails
In de volgende tabellen verwijst Type naar een logisch type. Zie Logische typen voor meer informatie.
Algemene ASIM-velden
Belangrijk
Velden die voor alle schema's gelden, worden uitgebreid beschreven in het artikel Algemene ASIM-velden .
Algemene velden met specifieke richtlijnen
De volgende lijst vermeldt velden met specifieke richtlijnen voor verificatie-gebeurtenissen:
Veld | Klas | Type | Description |
---|---|---|---|
EventType | Verplicht | Enumerated | Beschrijft de bewerking die door de record is gerapporteerd. Voor verificatierecords zijn ondersteunde waarden onder andere: - Logon - Logoff - Elevate |
EventResultDetails | Aanbevolen | String | De details die zijn gekoppeld aan het resultaat van de gebeurtenis. Dit veld wordt meestal ingevuld wanneer het resultaat een fout is. Toegestane waarden zijn: - No such user or password . Deze waarde moet ook worden gebruikt wanneer de oorspronkelijke gebeurtenis meldt dat er geen dergelijke gebruiker is, zonder verwijzing naar een wachtwoord.- No such user - Incorrect password - Incorrect key - Account expired - Password expired - User locked - User disabled - Logon violates policy . Deze waarde moet worden gebruikt wanneer de oorspronkelijke gebeurtenis rapporteert, bijvoorbeeld: MFA vereist, aanmelden buiten werkuren, beperkingen voor voorwaardelijke toegang of te frequente pogingen.- Session expired - Other De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd voor deze waarden. De oorspronkelijke waarde moet worden opgeslagen in het veld EventOriginalResultDetails |
EventSubType | Optioneel | String | Het aanmeldingstype. Toegestane waarden zijn: - System - Interactive - RemoteInteractive - Service - RemoteService - Remote - Gebruik dit wanneer het type externe aanmelding onbekend is.- AssumeRole - Wordt meestal gebruikt wanneer het gebeurtenistype is Elevate . De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd voor deze waarden. De oorspronkelijke waarde moet worden opgeslagen in het veld EventOriginalSubType. |
EventSchemaVersion | Verplicht | String | De versie van het schema. De versie van het schema dat hier wordt beschreven, is 0.1.3 |
EventSchema | Verplicht | String | De naam van het schema dat hier wordt beschreven, is verificatie. |
Dvc-velden | - | - | Voor verificatie-gebeurtenissen verwijzen apparaatvelden naar het systeem dat de gebeurtenis rapporteert. |
Alle algemene velden
Velden die in de onderstaande tabel worden weergegeven, zijn gebruikelijk voor alle ASIM-schema's. Elke hierboven opgegeven richtlijn overschrijft de algemene richtlijnen voor het veld. Een veld kan bijvoorbeeld optioneel zijn in het algemeen, maar verplicht voor een specifiek schema. Raadpleeg het artikel Algemene ASIM-velden voor meer informatie over elk veld.
Klas | Velden |
---|---|
Verplicht | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
Aanbevolen | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
Optioneel | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Verificatiespecifieke velden
Veld | Klas | Type | Description |
---|---|---|---|
LogonMethod | Optioneel | String | De methode die wordt gebruikt om verificatie uit te voeren. Voorbeelden: Username & Password , PKI |
LogonProtocol | Optioneel | String | Het protocol dat wordt gebruikt om verificatie uit te voeren. Voorbeeld: NTLM |
Actorvelden
Veld | Klas | Type | Description |
---|---|---|---|
ActorUserId | Optioneel | String | Een machineleesbare, alfanumerieke, unieke weergave van de actor. Zie de entiteit Gebruiker voor meer informatie en voor alternatieve velden voor aanvullende id's. Voorbeeld: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
ActorScope | Optioneel | String | Het bereik, zoals Microsoft Entra-tenant, waarin ActorUserId en ActorUsername worden gedefinieerd. of meer informatie en lijst met toegestane waarden, zie UserScope in het artikel Schemaoverzicht. |
ActorScopeId | Optioneel | String | De bereik-id, zoals Microsoft Entra Directory-id, waarin ActorUserId en ActorUsername worden gedefinieerd. Zie UserScopeId in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
ActorUserIdType | Voorwaardelijk | UserIdType | Het type id dat is opgeslagen in het veld ActorUserId . Zie UserIdType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
ActorUsername | Optioneel | Username | De gebruikersnaam van de actor, inclusief domeingegevens, indien beschikbaar. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: AlbertE |
ActorUsernameType | Voorwaardelijk | UsernameType | Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld ActorUsername . Zie UsernameType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. Voorbeeld: Windows |
ActorUserType | Optioneel | UserType | Het type actor. Zie UserType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. Bijvoorbeeld: Guest |
ActorOriginalUserType | Optioneel | UserType | Het gebruikerstype zoals gerapporteerd door het rapportageapparaat. |
ActorSessionId | Optioneel | String | De unieke id van de aanmeldingssessie van de actor. Voorbeeld: 102pTUgC3p8RIqHvzxLCHnFlg |
Toepassingsvelden acteren
Veld | Klas | Type | Description |
---|---|---|---|
ActingAppId | Optioneel | String | De id van de toepassing die namens de actor wordt gemachtigd, met inbegrip van een proces, browser of service. Bijvoorbeeld: 0x12ae8 |
ActingAppName | Optioneel | String | De naam van de toepassing die namens de actor wordt gemachtigd, met inbegrip van een proces, browser of service. Bijvoorbeeld: C:\Windows\System32\svchost.exe |
ActingAppType | Optioneel | AppType | Het type acterende toepassing. Zie AppType in het artikel Schemaoverzicht voor meer informatie en toegestane lijst met waarden. |
HttpUserAgent | Optioneel | String | Wanneer verificatie wordt uitgevoerd via HTTP of HTTPS, is de waarde van dit veld de user_agent HTTP-header die wordt geleverd door de acterende toepassing bij het uitvoeren van de verificatie. Bijvoorbeeld: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Doelgebruikersvelden
Veld | Klas | Type | Description |
---|---|---|---|
TargetUserId | Optioneel | Gebruikers-id | Een machineleesbare, alfanumerieke, unieke weergave van de doelgebruiker. Zie de entiteit Gebruiker voor meer informatie en voor alternatieve velden voor aanvullende id's. Voorbeeld: 00urjk4znu3BcncfY0h7 |
TargetUserScope | Optioneel | String | Het bereik, zoals Microsoft Entra-tenant, waarin TargetUserId en TargetUsername worden gedefinieerd. of meer informatie en lijst met toegestane waarden, zie UserScope in het artikel Schemaoverzicht. |
TargetUserScopeId | Optioneel | String | De bereik-id, zoals Microsoft Entra Directory-id, waarin TargetUserId en TargetUsername worden gedefinieerd. Zie UserScopeId in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
TargetUserIdType | Voorwaardelijk | UserIdType | Het type gebruikers-id dat is opgeslagen in het veld TargetUserId . Zie UserIdType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. Voorbeeld: SID |
TargetUsername | Optioneel | Username | De gebruikersnaam van de doelgebruiker, inclusief domeingegevens, indien beschikbaar. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: MarieC |
TargetUsernameType | Voorwaardelijk | UsernameType | Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld TargetUsername . Zie UsernameType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
TargetUserType | Optioneel | UserType | Het type doelgebruiker. Zie UserType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. Bijvoorbeeld: Member |
TargetSessionId | Optioneel | String | De aanmeldingssessie-id van targetUser op het bronapparaat. |
TargetOriginalUserType | Optioneel | UserType | Het gebruikerstype zoals gerapporteerd door het rapportageapparaat. |
Gebruiker | Alias | Username | Alias naar de TargetUsername of de TargetUserId als TargetUsername niet is gedefinieerd. Voorbeeld: CONTOSO\dadmin |
Bronsysteemvelden
Veld | Klas | Type | Description |
---|---|---|---|
Src | Aanbevolen | String | Een unieke id van het bronapparaat. Dit veld kan de velden SrcDvcId, SrcHostname of SrcIpAddr aliasen. Voorbeeld: 192.168.12.1 |
SrcDvcId | Optioneel | String | De id van het bronapparaat. Als er meerdere id's beschikbaar zijn, gebruikt u de belangrijkste id en slaat u de andere op in de velden SrcDvc<DvcIdType> .Voorbeeld: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
SrcDvcScopeId | Optioneel | String | De bereik-id van het cloudplatform waartoe het apparaat behoort. SrcDvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
SrcDvcScope | Optioneel | String | Het cloudplatformbereik waartoe het apparaat behoort. SrcDvcScope wordt toegewezen aan een abonnements-id in Azure en aan een account-id in AWS. |
SrcDvcIdType | Voorwaardelijk | DvcIdType | Het type SrcDvcId. Voor een lijst met toegestane waarden en meer informatie raadpleegt u DvcIdType in het artikel Schemaoverzicht. Opmerking: dit veld is vereist als SrcDvcId wordt gebruikt. |
SrcDeviceType | Optioneel | DeviceType | Het type bronapparaat. Raadpleeg DeviceType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. |
SrcHostname | Aanbevolen | Hostnaam | De hostnaam van het bronapparaat, met uitzondering van domeingegevens. Als er geen apparaatnaam beschikbaar is, slaat u het relevante IP-adres op in dit veld. Voorbeeld: DESKTOP-1282V4D |
SrcDomain | Aanbevolen | String | Het domein van het bronapparaat. Voorbeeld: Contoso |
SrcDomainType | Voorwaardelijk | DomainType | Het type SrcDomain. Voor een lijst met toegestane waarden en meer informatie raadpleegt u DomainType in het artikel Schemaoverzicht. Vereist als SrcDomain wordt gebruikt. |
SrcFQDN | Optioneel | String | De hostnaam van het bronapparaat, inclusief domeingegevens, indien beschikbaar. Opmerking: dit veld ondersteunt zowel de traditionele FQDN-indeling als de Indeling windows-domein\hostnaam. Het veld SrcDomainType weerspiegelt de gebruikte indeling. Voorbeeld: Contoso\DESKTOP-1282V4D |
SrcDescription | Optioneel | String | Een beschrijvende tekst die aan het apparaat is gekoppeld. Voorbeeld: Primary Domain Controller . |
SrcIpAddr | Optioneel | IP-adres | Het IP-adres van het bronapparaat. Voorbeeld: 2.2.2.2 |
SrcPortNumber | Optioneel | Geheel getal | De IP-poort waaruit de verbinding afkomstig is. Voorbeeld: 2335 |
SrcDvcOs | Optioneel | String | Het besturingssysteem van het bronapparaat. Voorbeeld: Windows 10 |
IpAddr | Alias | Alias naar SrcIpAddr | |
SrcIsp | Optioneel | String | De internetprovider (ISP) die door het bronapparaat wordt gebruikt om verbinding te maken met internet. Voorbeeld: corpconnect |
SrcGeoCountry | Optioneel | Land/regio | Voorbeeld: Canada Zie Logische typen voor meer informatie. |
SrcGeoCity | Optioneel | City | Voorbeeld: Montreal Zie Logische typen voor meer informatie. |
SrcGeoRegion | Optioneel | Regio | Voorbeeld: Quebec Zie Logische typen voor meer informatie. |
SrcGeoLongtitude | Optioneel | Lengtegraad | Voorbeeld: -73.614830 Zie Logische typen voor meer informatie. |
SrcGeoL dankbaarheid | Optioneel | Breedtegraad | Voorbeeld: 45.505918 Zie Logische typen voor meer informatie. |
SrcRiskLevel | Optioneel | Geheel getal | Het risiconiveau dat aan de bron is gekoppeld. De waarde moet worden aangepast aan een bereik van 0 tot, met 0 voor goedaardig en 100 voor 100 een hoog risico.Voorbeeld: 90 |
SrcOriginalRiskLevel | Optioneel | Geheel getal | Het risiconiveau dat is gekoppeld aan de bron, zoals gerapporteerd door het rapportageapparaat. Voorbeeld: Suspicious |
Doeltoepassingsvelden
Veld | Klas | Type | Description |
---|---|---|---|
TargetAppId | Optioneel | String | De id van de toepassing waaraan de autorisatie is vereist, vaak toegewezen door het rapportageapparaat. Voorbeeld: 89162 |
TargetAppName | Optioneel | String | De naam van de toepassing waarvoor de autorisatie is vereist, inclusief een service, een URL of een SaaS-toepassing. Voorbeeld: Saleforce |
TargetAppType | Optioneel | AppType | Het type toepassing dat namens de actor wordt gemachtigd. Zie AppType in het artikel Schemaoverzicht voor meer informatie en toegestane lijst met waarden. |
TargetUrl | Optioneel | URL | De URL die is gekoppeld aan de doeltoepassing. Voorbeeld: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
LogonTarget | Alias | Alias naar TargetAppName, TargetUrl of TargetHostname, welk veld het verificatiedoel het beste beschrijft. |
Doelsysteemvelden
Veld | Klas | Type | Description |
---|---|---|---|
Dst | Alias | String | Een unieke id van het verificatiedoel. In dit veld kunnen de velden TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId of TargetAppName worden opgevraagd. Voorbeeld: 192.168.12.1 |
TargetHostname | Aanbevolen | Hostnaam | De hostnaam van het doelapparaat, met uitzondering van domeingegevens. Voorbeeld: DESKTOP-1282V4D |
TargetDomain | Aanbevolen | String | Het domein van het doelapparaat. Voorbeeld: Contoso |
TargetDomainType | Voorwaardelijk | Enumerated | Het type TargetDomain. Voor een lijst met toegestane waarden en meer informatie raadpleegt u DomainType in het artikel Schemaoverzicht. Vereist als TargetDomain wordt gebruikt. |
TargetFQDN | Optioneel | String | De hostnaam van het doelapparaat, inclusief domeingegevens, indien beschikbaar. Voorbeeld: Contoso\DESKTOP-1282V4D Opmerking: dit veld ondersteunt zowel de traditionele FQDN-indeling als de Indeling windows-domein\hostnaam. Het TargetDomainType weerspiegelt de gebruikte indeling. |
TargetDescription | Optioneel | String | Een beschrijvende tekst die aan het apparaat is gekoppeld. Voorbeeld: Primary Domain Controller . |
TargetDvcId | Optioneel | String | De id van het doelapparaat. Als er meerdere id's beschikbaar zijn, gebruikt u de belangrijkste id en slaat u de andere op in de velden TargetDvc<DvcIdType> . Voorbeeld: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
TargetDvcScopeId | Optioneel | String | De bereik-id van het cloudplatform waartoe het apparaat behoort. TargetDvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
TargerDvcScope | Optioneel | String | Het cloudplatformbereik waartoe het apparaat behoort. TargetDvcScope wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
TargetDvcIdType | Voorwaardelijk | Enumerated | Het type TargetDvcId. Voor een lijst met toegestane waarden en meer informatie raadpleegt u DvcIdType in het artikel Schemaoverzicht. Vereist als TargetDeviceId wordt gebruikt. |
TargetDeviceType | Optioneel | Enumerated | Het type doelapparaat. Raadpleeg DeviceType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. |
TargetIpAddr | Optioneel | IP-adres | Het IP-adres van het doelapparaat. Voorbeeld: 2.2.2.2 |
TargetDvcOs | Optioneel | String | Het besturingssysteem van het doelapparaat. Voorbeeld: Windows 10 |
TargetPortNumber | Optioneel | Geheel getal | De poort van het doelapparaat. |
TargetGeoCountry | Optioneel | Land/regio | Het land/de regio die is gekoppeld aan het doel-IP-adres. Voorbeeld: USA |
TargetGeoRegion | Optioneel | Regio | De regio die is gekoppeld aan het doel-IP-adres. Voorbeeld: Vermont |
TargetGeoCity | Optioneel | City | De plaats die is gekoppeld aan het doel-IP-adres. Voorbeeld: Burlington |
TargetGeoL dankbaarheid | Optioneel | Breedtegraad | De breedtegraad van de geografische coördinaat die is gekoppeld aan het doel-IP-adres. Voorbeeld: 44.475833 |
TargetGeoLongitude | Optioneel | Lengtegraad | De lengtegraad van de geografische coördinaat die is gekoppeld aan het doel-IP-adres. Voorbeeld: 73.211944 |
TargetRiskLevel | Optioneel | Geheel getal | Het risiconiveau dat aan het doel is gekoppeld. De waarde moet worden aangepast aan een bereik van 0 tot, met 0 voor goedaardig en 100 voor 100 een hoog risico.Voorbeeld: 90 |
TargetOriginalRiskLevel | Optioneel | Geheel getal | Het risiconiveau dat aan het doel is gekoppeld, zoals gerapporteerd door het rapportageapparaat. Voorbeeld: Suspicious |
Inspectievelden
De volgende velden worden gebruikt om de inspectie aan te geven die wordt uitgevoerd door een beveiligingssysteem.
Veld | Klas | Type | Description |
---|---|---|---|
RuleName | Optioneel | String | De naam of id van de regel door gekoppeld aan de inspectieresultaten. |
RuleNumber | Optioneel | Geheel getal | Het nummer van de regel die is gekoppeld aan de inspectieresultaten. |
Regel | Alias | String | De waarde van RuleName of de waarde van RuleNumber. Als de waarde van RuleNumber wordt gebruikt, moet het type worden geconverteerd naar tekenreeks. |
ThreatId | Optioneel | String | De id van de bedreiging of malware die is geïdentificeerd in de controleactiviteit. |
ThreatName | Optioneel | String | De naam van de bedreiging of malware die is geïdentificeerd in de controleactiviteit. |
ThreatCategory | Optioneel | String | De categorie van de bedreiging of malware die is geïdentificeerd in de activiteit van het controlebestand. |
ThreatRiskLevel | Optioneel | Geheel getal | Het risiconiveau dat is gekoppeld aan de geïdentificeerde bedreiging. Het niveau moet een getal tussen 0 en 100 zijn. Opmerking: De waarde kan worden opgegeven in de bronrecord met behulp van een andere schaal, die moet worden genormaliseerd voor deze schaal. De oorspronkelijke waarde moet worden opgeslagen in ThreatRiskLevelOriginal. |
ThreatOriginalRiskLevel | Optioneel | String | Het risiconiveau zoals gerapporteerd door het rapportageapparaat. |
ThreatConfidence | Optioneel | Geheel getal | Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd tot een waarde tussen 0 en 100. |
ThreatOriginalConfidence | Optioneel | String | Het oorspronkelijke betrouwbaarheidsniveau van de geïdentificeerde bedreiging, zoals gerapporteerd door het rapportageapparaat. |
ThreatIsActive | Optioneel | Booleaanse waarde | Waar als de geïdentificeerde bedreiging wordt beschouwd als een actieve bedreiging. |
ThreatFirstReportedTime | Optioneel | datetime | De eerste keer dat het IP-adres of domein als een bedreiging is geïdentificeerd. |
ThreatLastReportedTime | Optioneel | datetime | De laatste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging. |
ThreatIpAddr | Optioneel | IP-adres | Een IP-adres waarvoor een bedreiging is geïdentificeerd. Het veld ThreatField bevat de naam van het veld ThreatIpAddr . |
ThreatField | Optioneel | Enumerated | Het veld waarvoor een bedreiging is geïdentificeerd. De waarde is ofwel SrcIpAddr TargetIpAddr . |
Schema-updates
Dit zijn de wijzigingen in versie 0.1.1 van het schema:
- Bijgewerkte velden voor gebruikers- en apparaatentiteiten om te worden uitgelijnd met andere schema's.
- De naam is gewijzigd
TargetDvc
enSrc
SrcDvc
Target
respectievelijk aangepast aan de huidige ASIM-richtlijnen. De hernoemde velden worden geïmplementeerd als aliassen tot 1 juli 2022. Deze velden omvatten:SrcDvcHostname
,SrcDvcHostnameType
,SrcDvcType
, ,SrcDvcIpAddr
,TargetDvcHostname
,TargetDvcHostnameType
,TargetDvcType
, , , enTargetDvcIpAddr
TargetDvc
. - De aliassen
Src
enDst
. - De velden, , en , en
TargetDeviceType
EventSchema
.TargetDvcIdType
SrcDeviceType
SrcDvcIdType
Dit zijn de wijzigingen in versie 0.1.2 van het schema:
- De velden
ActorScope
,TargetUserScope
, ,SrcDvcScopeId
,SrcDvcScope
,TargetDvcScopeId
, ,TargetDvcScope
, enDvcScopeId
.DvcScope
Dit zijn de wijzigingen in versie 0.1.3 van het schema:
- De velden
SrcPortNumber
, , ,ActorScopeId
,TargetOriginalUserType
,TargetUserScopeId
, ,SrcDescription
,SrcRiskLevel
, enSrcOriginalRiskLevel
.TargetDescription
ActorOriginalUserType
- Inspectievelden toegevoegd
- Velden voor geografische locatie van het doelsysteem toegevoegd.
Volgende stappen
Zie voor meer informatie: