Dokumentacja schematu alertów advanced Security Information Model (ASIM)
Schemat alertów usługi Microsoft Sentinel został zaprojektowany w celu normalizacji alertów związanych z zabezpieczeniami z różnych produktów do standardowego formatu w ramach modelu ASIM (Advanced Security Information Model). Ten schemat koncentruje się wyłącznie na zdarzeniach zabezpieczeń, zapewniając spójną i wydajną analizę w różnych źródłach danych.
Schemat alertów reprezentuje różne typy alertów zabezpieczeń, takie jak zagrożenia, podejrzane działania, anomalie zachowania użytkownika i naruszenia zgodności. Te alerty są zgłaszane przez różne produkty i systemy zabezpieczeń, w tym między innymi EDR, oprogramowanie antywirusowe, systemy wykrywania włamań, narzędzia do zapobiegania utracie danych itp.
Aby uzyskać więcej informacji na temat normalizacji w usłudze Microsoft Sentinel, zobacz Normalizacja i Zaawansowany model informacji o zabezpieczeniach (ASIM).
Ważne
Schemat normalizacji alertów jest obecnie w wersji zapoznawczej. Ta funkcja jest udostępniana bez umowy dotyczącej poziomu usług. Nie zalecamy obsługi obciążeń produkcyjnych.
Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Parsery
Aby uzyskać więcej informacji na temat analizatorów ASIM, zobacz omówienie analizatorów ASIM.
Ujednolicanie analizatorów
Aby użyć analizatorów, które ujednolicają wszystkie analizatory out-of-the-box ASIM i upewnij się, że analiza jest uruchamiana we wszystkich skonfigurowanych źródłach, użyj _Im_AlertEvent analizatora filtrowania lub _ASim_AlertEvent analizatora bez parametrów. Można również użyć narzędzi do wdrażania imAlertEvent i ASimAlertEvent analizowania obszarów roboczych, wdrażając je z repozytorium GitHub usługi Microsoft Sentinel.
Aby uzyskać więcej informacji, zobacz wbudowane analizatory ASIM i analizatory wdrożone w obszarze roboczym.
Gotowe do użycia analizatory specyficzne dla źródła
Aby uzyskać listę analizatorów alertów, które usługa Microsoft Sentinel udostępnia gotowe do użycia, zapoznaj się z listą analizatorów ASIM.
Dodawanie własnych znormalizowanych analizatorów
Podczas tworzenia niestandardowych analizatorów dla modelu informacji o alertach nazwij funkcje KQL przy użyciu następującej składni:
-
vimAlertEvent<vendor><Product>dla analizatorów sparametryzowanych -
ASimAlertEvent<vendor><Product>dla zwykłych analizatorów
Zapoznaj się z artykułem Managing ASIM parsers (Zarządzanie analizatorami ASIM), aby dowiedzieć się, jak dodać analizatory niestandardowe do analizatorów ujednolicających alerty.
Parametry analizatora filtrowania
Analizatory alertów obsługują różne parametry filtrowania w celu zwiększenia wydajności zapytań. Te parametry są opcjonalne, ale mogą zwiększyć wydajność zapytań. Dostępne są następujące parametry filtrowania:
| Nazwisko | Pisz | Opis |
|---|---|---|
| godzina rozpoczęcia | datetime | Filtruj tylko alerty, które rozpoczęły się o tej godzinie lub po tej godzinie. |
| godzina zakończenia | datetime | Filtruj tylko alerty, które rozpoczęły się o lub wcześniej. |
| ipaddr_has_any_prefix | dynamiczna | Filtruj tylko alerty, dla których pole "DvcIpAddr" znajduje się w jednej z wymienionych wartości. |
| hostname_has_any | dynamiczna | Filtruj tylko alerty, dla których pole "DvcHostname" znajduje się w jednej z wymienionych wartości. |
| username_has_any | dynamiczna | Filtruj tylko alerty, dla których pole "Nazwa użytkownika" znajduje się w jednej z wymienionych wartości. |
| attacktactics_has_any | dynamiczna | Filtruj tylko alerty, dla których pole "AttackTactics" znajduje się w jednej z wymienionych wartości. |
| attacktechniques_has_any | dynamiczna | Filtruj tylko alerty, dla których pole "Techniki ataków" znajduje się w jednej z wymienionych wartości. |
| threatcategory_has_any | dynamiczna | Filtruj tylko alerty, dla których pole "ThreatCategory" znajduje się w jednej z wymienionych wartości. |
| alertverdict_has_any | dynamiczna | Filtruj tylko alerty, dla których pole "AlertVerdict" znajduje się w jednej z wymienionych wartości. |
| eventseverity_has_any | dynamiczna | Filtruj tylko alerty, dla których pole "EventSeverity" znajduje się w jednej z wymienionych wartości. |
Przegląd schematu
Schemat alertu obsługuje kilka typów zdarzeń zabezpieczeń, które współużytkują te same pola. Te zdarzenia są identyfikowane przez pole EventType:
- Informacje o zagrożeniach: alerty związane z różnymi typami złośliwych działań, takich jak złośliwe oprogramowanie, wyłudzanie informacji, oprogramowanie wymuszanie okupu i inne zagrożenia cybernetyczne.
- Podejrzane działania: alerty dotyczące działań, które nie muszą być potwierdzone, ale są podejrzane i uzasadniają dalsze badanie, takie jak wiele nieudanych prób logowania lub dostęp do plików z ograniczeniami.
- Anomalie zachowania użytkownika: alerty wskazujące nietypowe lub nieoczekiwane zachowanie użytkownika, które mogą sugerować problem z zabezpieczeniami, takie jak nieprawidłowe czasy logowania lub nietypowe wzorce dostępu do danych.
- Naruszenia zgodności: alerty związane z niezgodnością z przepisami lub zasadami wewnętrznymi. Na przykład maszyna wirtualna uwidoczniona przy użyciu otwartych portów publicznych narażonych na ataki (Alert zabezpieczeń w chmurze).
Ważne
Aby zachować istotność i skuteczność schematu alertów, należy zamapować tylko alerty związane z zabezpieczeniami.
Schemat alertu odwołuje się do następujących jednostek w celu przechwycenia szczegółowych informacji o alercie:
-
Pola Dvc służą do przechwytywania szczegółów dotyczących hosta lub adresu IP skojarzonego z alertem
-
Pola użytkownika służą do przechwytywania szczegółów dotyczących użytkownika skojarzonego z alertem.
- Podobnie pola Proces, Plik, Adres URL, Rejestr i Adres e-mail są używane do przechwytywania tylko kluczowych szczegółów dotyczących procesu, pliku, adresu URL, rejestru i poczty e-mail skojarzonej odpowiednio z alertem.
Ważne
- Podczas tworzenia analizatora specyficznego dla produktu użyj schematu alertu ASIM, gdy alert zawiera informacje o zdarzeniu zabezpieczeń lub potencjalnym zagrożeniu, a podstawowe informacje mogą być mapowane bezpośrednio na dostępne pola schematu alertu. Schemat alertu jest idealny do przechwytywania informacji podsumowania bez rozległych pól specyficznych dla jednostki.
- Jeśli jednak znajdziesz się umieszczając istotne pola w obszarze "AdditionalFields" z powodu braku bezpośrednich dopasowań pól, rozważ bardziej wyspecjalizowany schemat. Jeśli na przykład alert zawiera szczegóły dotyczące sieci, takie jak wiele adresów IP, np. SrcIpAdr, DstIpAddr, PortNumber itp., możesz wybrać schemat NetworkSession w schemacie alertu. Wyspecjalizowane schematy udostępniają również dedykowane pola do przechwytywania informacji związanych z zagrożeniami, zwiększania jakości danych i ułatwiania wydajnej analizy.
Szczegóły schematu
Typowe pola karty ASIM
Na poniższej liście wymieniono pola, które mają określone wytyczne dotyczące zdarzeń alertu:
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| EventType | Obowiązkowy | Enumerated | Typ zdarzenia. Obsługiwane wartości to: - Alert |
| EventSubType | Zalecane | Enumerated | Określa podtyp lub kategorię zdarzenia alertu, zapewniając bardziej szczegółowy opis w szerszej klasyfikacji zdarzeń. To pole pomaga odróżnić charakter wykrytego problemu, poprawiając priorytetyzację zdarzeń i strategie reagowania. Obsługiwane wartości to: - Threat (Reprezentuje potwierdzoną lub wysoce prawdopodobną złośliwą aktywność, która może naruszyć bezpieczeństwo systemu lub sieci)- Suspicious Activity (Flaguje zachowanie lub zdarzenia, które wydają się nietypowe lub podejrzane, choć nie zostało jeszcze potwierdzone jako złośliwe)- Anomaly (Identyfikuje odchylenia od normalnych wzorców, które mogą wskazywać na potencjalne zagrożenie bezpieczeństwa lub problem operacyjny)- Compliance Violation (Wyróżnia działania, które naruszają przepisy, zasady lub standardy zgodności) |
| Identyfikator zdarzenia | Obowiązkowy | string | Ciąg alfanumeryczny czytelny dla maszyny, który jednoznacznie identyfikuje alert w systemie. Na przykład: A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
| EventMessage | Opcjonalnie | string | Szczegółowe informacje o alercie, w tym jego kontekst, przyczyna i potencjalny wpływ. Na przykład: Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
| IpAddr | Alias | Alias lub przyjazna nazwa pola DvcIpAddr . |
|
| Nazwa hosta | Alias | Alias lub przyjazna nazwa pola DvcHostname . |
|
| EventSchema | Obowiązkowy | string | Schemat używany dla zdarzenia. Schemat udokumentowany tutaj to AlertEvent. |
| EventSchemaVersion | Obowiązkowy | string | Wersja schematu. Wersja schematu udokumentowanego tutaj to 0.1. |
Wszystkie typowe pola
Pola wyświetlane w poniższej tabeli są wspólne dla wszystkich schematów ASIM. Wszelkie wytyczne określone powyżej zastępują ogólne wytyczne dotyczące pola. Na przykład pole może być ogólnie opcjonalne, ale obowiązkowe dla określonego schematu. Aby uzyskać więcej informacji na temat każdego pola, zapoznaj się z artykułem ASIM Common Fields (Wspólne pola karty ASIM).
| Klasa | Pola |
|---|---|
| Obowiązkowy |
-
EventCount - EventStartTime - EventEndTime - EventType - Identyfikator zdarzenia - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
| Zalecane |
-
EventSubType - EventSeverity - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType |
| Opcjonalnie |
-
EventMessage - EventOriginalType - EventOriginalSubType - EventOriginalSeverity - EventProductVersion - EventOriginalUid - EventReportUrl - EventResult - Właściciel zdarzenia - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcAction - DvcOriginalAction - DvcInterface - Dodatkowe pola - DvcDescription - DvcScopeId - DvcScope |
Pola inspekcji
W poniższej tabeli opisano pola, które zapewniają krytyczne informacje o regułach i zagrożeniach skojarzonych z alertami. Razem pomagają wzbogacić kontekst alertu, co ułatwia analitykom zabezpieczeń zrozumienie jego pochodzenia i istotności.
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Identyfikator alertu | Alias | string | Alias lub przyjazna nazwa pola EventUid . |
| Nazwa alertu | Zalecane | string | Tytuł lub nazwa alertu. Na przykład: Possible use of the Rubeus kerberoasting tool |
| AlertDescription | Alias | string | Alias lub przyjazna nazwa pola EventMessage . |
| AlertVerdict | Opcjonalnie | Enumerated | Ostateczna determinacja lub wynik alertu wskazujący, czy alert został potwierdzony jako zagrożenie, uznane za podejrzane lub rozpoznane jako fałszywie dodatnie. Obsługiwane wartości to: - True Positive (Potwierdzone jako uzasadnione zagrożenie)- False Positive (Niepoprawnie zidentyfikowane jako zagrożenie)- Benign Positive (gdy zdarzenie jest określane jako nieszkodliwe)- Unknown (Niepewny lub nieokreślony stan) |
| AlertStatus | Opcjonalnie | Enumerated | Wskazuje bieżący stan lub postęp alertu. Obsługiwane wartości to: - Active- Closed |
| AlertOriginalStatus | Opcjonalnie | string | Stan alertu zgłoszonego przez system źródłowy. |
| DetectionMethod | Opcjonalnie | Enumerated | Zawiera szczegółowe informacje o określonej metodzie wykrywania, technologii lub źródle danych, które przyczyniły się do generowania alertu. To pole zapewnia lepszy wgląd w sposób, w jaki alert został wykryty lub wyzwolony, ułatwiając zrozumienie kontekstu wykrywania i niezawodności. Obsługiwane wartości to: - EDR: Systemy wykrywania punktów końcowych i reagowania, które monitorują i analizują działania punktów końcowych w celu identyfikowania zagrożeń.- Behavioral Analytics: techniki wykrywania nietypowych wzorców w zachowaniu użytkownika, urządzenia lub systemu.- Reputation: Wykrywanie zagrożeń na podstawie reputacji adresów IP, domen lub plików.- Threat Intelligence: Zewnętrzne lub wewnętrzne źródła danych wywiadowczych dostarczające dane dotyczące znanych zagrożeń lub taktyki przeciwnika.- Intrusion Detection: Systemy, które monitorują ruch sieciowy lub działania pod kątem oznak włamania lub ataków.- Automated Investigation: Zautomatyzowane systemy, które analizują i badają alerty, zmniejszając obciążenie ręczne.- Antivirus: Tradycyjne aparaty antywirusowe wykrywające złośliwe oprogramowanie na podstawie podpisów i heurystyki.- Data Loss Prevention: Rozwiązania ukierunkowane na zapobieganie nieautoryzowanym transferom lub wyciekom danych.- User Defined Blocked List: listy niestandardowe zdefiniowane przez użytkowników w celu blokowania określonych adresów IP, domen lub plików.- Cloud Security Posture Management: Narzędzia, które oceniają zagrożenia bezpieczeństwa i zarządzają nimi w środowiskach chmury.- Cloud Application Security: Rozwiązania, które zabezpieczają aplikacje i dane w chmurze.- Scheduled Alerts: alerty generowane na podstawie wstępnie zdefiniowanych harmonogramów lub progów.- Other: Każda inna metoda wykrywania, która nie jest objęta powyższymi kategoriami. |
| Reguła | Alias | string | Wartość RuleName lub wartość RuleNumber. Jeśli jest używana wartość RuleNumber, typ powinien zostać przekonwertowany na ciąg. |
| RuleNumber | Opcjonalnie | int | Liczba reguł skojarzonych z alertem. Na przykład: 123456 |
| RuleName | Opcjonalnie | string | Nazwa lub identyfikator reguły skojarzonej z alertem. Na przykład: Server PSEXEC Execution via Remote Access |
| RuleDescription | Opcjonalnie | string | Opis reguły skojarzonej z alertem. Na przykład: This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
| ThreatId | Opcjonalnie | string | Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w alercie. Na przykład: 1234567891011121314 |
| ThreatName | Opcjonalnie | string | Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w alercie. Na przykład: Init.exe |
| ThreatFirstReportedTime | Opcjonalnie | datetime | Data i godzina zgłoszenia zagrożenia. Na przykład: 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Opcjonalnie | datetime | Data i godzina ostatniego zgłoszenia zagrożenia. Na przykład: 2024-09-19T10:12:10.0000000Z |
| ThreatCategory | Zalecane | Enumerated | Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w alercie. Obsługiwane wartości to: Malware, Ransomware, TrojanVirusWormAdwareSpywareRootkitCryptominorPhishingSpamMaliciousUrlSpoofingSecurity Policy ViolationUnknown |
| ThreatOriginalCategory | Opcjonalnie | string | Kategoria zagrożenia zgłoszonego przez system źródłowy. |
| ThreatIsActive | Opcjonalnie | bool | Wskazuje, czy zagrożenie jest obecnie aktywne. Obsługiwane wartości to: True, False |
| ThreatRiskLevel | Opcjonalnie | int | Poziom ryzyka skojarzony z zagrożeniem. Poziom powinien być liczbą z zakresu od 0 do 100. Uwaga: wartość może być podana w rekordzie źródłowym przy użyciu innej skali, która powinna być znormalizowana do tej skali. Oryginalna wartość powinna być przechowywana w usłudze ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcjonalnie | string | Poziom ryzyka zgłoszony przez system źródłowy. |
| ThreatConfidence | Opcjonalnie | int | Zidentyfikowany poziom ufności zagrożenia znormalizowany do wartości z zakresu od 0 do 100. |
| ThreatOriginalConfidence | Opcjonalnie | string | Poziom ufności zgłoszony przez system źródłowy. |
| Typ wskaźnika | Zalecane | Enumerated | Typ lub kategoria wskaźnika Obsługiwane wartości to: - Ip- User- Process- Registry- Url- Host- Cloud Resource- Application- File- Email- Mailbox- Logon Session |
| Skojarzenie wskaźnika | Opcjonalnie | Enumerated | Określa, czy wskaźnik jest połączony z zagrożeniem, czy bezpośrednio na nie wpływa. Obsługiwane wartości to: - Associated- Targeted |
| AttackTactics | Zalecane | string | Taktyka ataku (nazwa, identyfikator lub obie) skojarzona z alertem. Preferowany format: np.: Persistence, Privilege Escalation |
| Techniki ataków | Zalecane | string | Techniki ataku (nazwa, identyfikator lub oba) skojarzone z alertem. Preferowany format: np.: Local Groups (T1069.001), Domain Groups (T1069.002) |
| AttackRemediationSteps | Zalecane | string | Zalecane działania lub kroki w celu ograniczenia lub skorygowania zidentyfikowanych ataków lub zagrożeń. np. 1. Make sure the machine is completely updated and all your software has the latest patch.2. Contact your incident response team. |
Pola użytkownika
W tej sekcji zdefiniowano pola związane z identyfikacją i klasyfikacją użytkowników skojarzonych z alertem, co zapewnia czytelność dla użytkownika, na który ma to wpływ, oraz format ich tożsamości. Jeśli alert zawiera dodatkowe, wiele pól związanych z użytkownikiem, które przekraczają to, co jest mapowane w tym miejscu, możesz rozważyć, czy wyspecjalizowany schemat, taki jak schemat zdarzenia uwierzytelniania, może być bardziej odpowiedni do pełnego reprezentowania danych.
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| UserId | Opcjonalnie | string | Czytelna dla maszyny alfanumeryczna reprezentacja użytkownika skojarzonego z alertem. Na przykład: A1bC2dE3fH4iJ5kL6mN7o |
| UserIdType | Warunkowe | Enumerated | Typ identyfikatora użytkownika, taki jak GUID, SIDlub Email.Obsługiwane wartości to: - GUID- SID- Email- Username- Phone- Other |
| Nazwa użytkownika | Zalecane | string | Nazwa użytkownika skojarzonego z alertem, w tym informacje o domenie, jeśli są dostępne. np. Contoso\JSmith lub john.smith@contoso.com |
| Użytkownik | Alias | string | Alias lub przyjazna nazwa pola Username . |
| Typ nazwy użytkownika | Warunkowe | Typ nazwy użytkownika | Określa typ nazwy użytkownika przechowywanej Username w polu. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UsernameType w artykule Omówienie schematu.Na przykład: Windows |
| Typ użytkownika | Opcjonalnie | UserType | Typ aktora. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserType w artykule Omówienie schematu. Na przykład: Guest |
| OriginalUserType | Opcjonalnie | string | Typ użytkownika zgłoszony przez urządzenie raportowania. |
| UserSessionId | Opcjonalnie | string | Unikatowy identyfikator sesji użytkownika skojarzonej z alertem. Na przykład: a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
| UserScopeId | Opcjonalnie | string | Identyfikator zakresu, taki jak Microsoft Entra Directory ID, w którym zdefiniowano identyfikator użytkownika i nazwę użytkownika. Na przykład: a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
| UserScope | Opcjonalnie | string | Zakres, taki jak dzierżawa firmy Microsoft Entra, w którym zdefiniowano identyfikator UserId i nazwa użytkownika. lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu. Na przykład: Contoso Directory |
Pola procesu
Ta sekcja umożliwia przechwytywanie szczegółów związanych z jednostką procesu zaangażowaną w alert przy użyciu określonych pól. Jeśli alert zawiera dodatkowe, szczegółowe pola związane z procesem, które przekraczają to, co jest tutaj mapowane, możesz rozważyć, czy wyspecjalizowany schemat, taki jak schemat zdarzenia procesu, może być bardziej odpowiedni, aby w pełni reprezentować dane.
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Identyfikator procesu | Opcjonalnie | string | Identyfikator procesu (PID) skojarzony z alertem. Na przykład: 12345678 |
| ProcessCommandLine | Opcjonalnie | string | Wiersz polecenia służący do uruchamiania procesu. Na przykład: "choco.exe" -v |
| Nazwa procesu | Opcjonalnie | string | Nazwa procesu. Na przykład: C:\Windows\explorer.exe |
| ProcessFileCompany | Opcjonalnie | string | Firma, która utworzyła plik obrazu procesu. Na przykład: Microsoft |
Pola pliku
Ta sekcja umożliwia przechwytywanie szczegółów związanych z jednostką plików zaangażowaną w alert. Jeśli alert zawiera dodatkowe, szczegółowe pola związane z plikami, które przekraczają to, co jest mapowane w tym miejscu, możesz rozważyć, czy wyspecjalizowany schemat, taki jak schemat zdarzenia pliku, może być bardziej odpowiedni do pełnego reprezentowania danych.
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Pod nazwą | Opcjonalnie | string | Nazwa pliku skojarzonego z alertem bez ścieżki lub lokalizacji. Na przykład: Notepad.exe |
| FilePath | Opcjonalnie | string | pełna, znormalizowana ścieżka pliku docelowego, w tym folder lub lokalizacja, nazwa pliku i rozszerzenie. Na przykład: C:\Windows\System32\notepad.exe |
| FileSHA1 | Opcjonalnie | string | Skrót SHA1 pliku. Na przykład: j5kl6mn7op8qr9st0uv1 |
| FileSHA256 | Opcjonalnie | string | Skrót SHA256 pliku. Na przykład: a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
| FileMD5 | Opcjonalnie | string | Skrót MD5 pliku. Na przykład: j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
| Rozmiar pliku | Opcjonalnie | długi | Rozmiar pliku w bajtach. Na przykład: 123456 |
Pole adresu URL
Jeśli alert zawiera informacje o jednostce Url, następujące pola mogą przechwytywać dane związane z adresem URL.
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Adres URL | Opcjonalnie | string | Ciąg adresu URL przechwycony w alercie. Na przykład: https://contoso.com/fo/?k=v&q=u#f |
Pola rejestru
Jeśli alert zawiera szczegółowe informacje o jednostce rejestru, użyj następujących pól, aby przechwycić określone informacje związane z rejestrem.
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Klucz rejestru | Opcjonalnie | string | Klucz rejestru skojarzony z alertem znormalizowany do standardowych konwencji nazewnictwa kluczy głównych. Na przykład: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Opcjonalnie | string | Wartość rejestru. Na przykład: ImagePath |
| RegistryValueData | Opcjonalnie | string | Dane wartości rejestru. Na przykład: C:\Windows\system32;C:\Windows; |
| RegistryValueType | Opcjonalnie | Enumerated | Typ wartości rejestru. Na przykład: Reg_Expand_Sz |
Pola poczty e-mail
Jeśli alert zawiera informacje o jednostce poczty e-mail, użyj następujących pól, aby przechwycić określone szczegóły dotyczące poczty e-mail.
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| EmailMessageId | Opcjonalnie | string | Unikatowy identyfikator wiadomości e-mail skojarzony z alertem. Na przykład: Request for Invoice Access |
| Adres e-mailpodsubject | Opcjonalnie | string | Temat wiadomości e-mail. Na przykład: j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
Aktualizacje schematu
Poniżej przedstawiono zmiany w różnych wersjach schematu:
- Wersja 0.1: wersja początkowa.