Udostępnij za pośrednictwem


Dokumentacja schematu normalizacji uwierzytelniania usługi Advanced Security Information Model (ASIM) (publiczna wersja zapoznawcza)

Schemat uwierzytelniania usługi Microsoft Sentinel służy do opisywania zdarzeń związanych z uwierzytelnianiem użytkownika, logowaniem i wylogowywaniem. Zdarzenia uwierzytelniania są wysyłane przez wiele urządzeń raportowania, zwykle jako część strumienia zdarzeń wraz z innymi zdarzeniami. Na przykład system Windows wysyła kilka zdarzeń uwierzytelniania wraz z innymi zdarzeniami działania systemu operacyjnego.

Zdarzenia uwierzytelniania obejmują oba zdarzenia z systemów, które koncentrują się na uwierzytelnianiu, takim jak bramy sieci VPN lub kontrolery domeny, oraz bezpośrednie uwierzytelnianie do systemu końcowego, takie jak komputer lub zapora.

Aby uzyskać więcej informacji na temat normalizacji w usłudze Microsoft Sentinel, zobacz Normalizacja i Zaawansowany model informacji o zabezpieczeniach (ASIM).

Ważne

Schemat normalizacji uwierzytelniania jest obecnie w wersji zapoznawczej. Ta funkcja jest udostępniana bez umowy dotyczącej poziomu usług i nie jest zalecana w przypadku obciążeń produkcyjnych.

Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Parsery

Wdróż analizatory uwierzytelniania ASIM z repozytorium GitHub usługi Microsoft Sentinel. Aby uzyskać więcej informacji na temat analizatorów ASIM, zobacz artykuły Analizatory ASIM overview..

Ujednolicanie analizatorów

Aby użyć analizatorów, które ujednolicają wszystkie analizatory out-of-the-box ASIM i upewnij się, że analiza jest uruchamiana we wszystkich skonfigurowanych źródłach, użyj imAuthentication analizatora filtrowania lub ASimAuthentication analizatora bez parametrów.

Analizatory specyficzne dla źródła

Aby uzyskać listę analizatorów uwierzytelniania, które udostępnia usługa Microsoft Sentinel, zapoznaj się z listą analizatorów ASIM:

Dodawanie własnych znormalizowanych analizatorów

Podczas implementowania niestandardowych analizatorów dla modelu informacji o uwierzytelnianiu nazwij funkcje KQL przy użyciu następującej składni:

  • vimAuthentication<vendor><Product> do filtrowania analizatorów
  • ASimAuthentication<vendor><Product> dla analizatorów bez parametrów

Aby uzyskać informacje na temat dodawania analizatorów niestandardowych do analizatora ujednolicania, zobacz Managing ASIM parsers (Zarządzanie analizatorami ASIM).

Parametry analizatora filtrowania

Analizatory im i vim* obsługują parametry filtrowania. Chociaż te analizatory są opcjonalne, mogą zwiększyć wydajność zapytań.

Dostępne są następujące parametry filtrowania:

Nazwisko Pisz Opis
godzina rozpoczęcia datetime Filtruj tylko zdarzenia uwierzytelniania uruchomione w czasie lub po tym czasie.
godzina zakończenia datetime Filtruj tylko zdarzenia uwierzytelniania, które zakończyły działanie o lub wcześniej.
targetusername_has string Filtruj tylko zdarzenia uwierzytelniania, które mają dowolną z wymienionych nazw użytkowników.

Aby na przykład filtrować tylko zdarzenia uwierzytelniania od ostatniego dnia do określonego użytkownika, użyj:

imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())

Napiwek

Aby przekazać listę literałów do parametrów, które oczekują wartości dynamicznej, jawnie użyj literału dynamicznego. Na przykład: dynamic(['192.168.','10.']).

Znormalizowana zawartość

Znormalizowane reguły analityczne uwierzytelniania są unikatowe, ponieważ wykrywają ataki między źródłami. Na przykład jeśli użytkownik zalogował się do różnych, niepowiązanych systemów z różnych krajów/regionów, usługa Microsoft Sentinel wykryje teraz to zagrożenie.

Aby uzyskać pełną listę reguł analizy korzystających ze znormalizowanych zdarzeń uwierzytelniania, zobacz Zawartość zabezpieczeń schematu uwierzytelniania.

Przegląd schematu

Model informacji o uwierzytelnianiu jest zgodny ze schematem jednostki logowania OSSEM.

Pola wymienione w poniższej tabeli są specyficzne dla zdarzeń uwierzytelniania, ale są podobne do pól w innych schematach i są zgodne z podobnymi konwencjami nazewnictwa.

Zdarzenia uwierzytelniania odwołują się do następujących jednostek:

  • TargetUser — informacje o użytkowniku używane do uwierzytelniania w systemie. TargetSystem jest głównym podmiotem zdarzenia uwierzytelniania, a alias Użytkownika aliasy zidentyfikowane przez użytkownika TargetUser.
  • TargetApp — aplikacja uwierzytelniona w usłudze .
  • Target — system, w którym działa aplikacja TargetApp*.
  • Aktor — użytkownik inicjujący uwierzytelnianie, jeśli jest inny niż TargetUser.
  • ActingApp — aplikacja używana przez aktora do przeprowadzania uwierzytelniania.
  • Src — system używany przez aktora do inicjowania uwierzytelniania.

Relacja między tymi jednostkami jest najlepiej pokazana w następujący sposób:

Aktor, uruchamiając działającą aplikację, ActingApp, w systemie źródłowym Src, próbuje uwierzytelnić się jako TargetUser w aplikacji docelowej, TargetApp, w systemie docelowym TargetDvc.

Szczegóły schematu

W poniższych tabelach typ odnosi się do typu logicznego. Aby uzyskać więcej informacji, zobacz Typy logiczne.

Typowe pola karty ASIM

Ważne

Pola wspólne dla wszystkich schematów zostały szczegółowo opisane w artykule ASIM Common Fields (Wspólne pola karty ASIM).

Typowe pola z określonymi wytycznymi

Na poniższej liście wymieniono pola, które mają określone wytyczne dotyczące zdarzeń uwierzytelniania:

Pole Klasa Type Opis
EventType Obowiązkowy Enumerated Opisuje operację zgłoszoną przez rekord.

W przypadku rekordów uwierzytelniania obsługiwane wartości to:
- Logon
- Logoff
- Elevate
EventResultDetails Zalecane String Szczegóły skojarzone z wynikiem zdarzenia. To pole jest zwykle wypełniane, gdy wynik jest błędem.

Dozwolone wartości obejmują:
- No such user or password. Ta wartość powinna być używana również wtedy, gdy oryginalne zdarzenie zgłasza, że nie ma takiego użytkownika, bez odwołowania się do hasła.
- No such user
- Incorrect password
- Incorrect key
- Account expired
- Password expired
- User locked
- User disabled
- Logon violates policy. Ta wartość powinna być używana, gdy oryginalne raporty o zdarzeniach, na przykład: wymagana uwierzytelnianie wieloskładnikowe, logowanie poza godzinami pracy, ograniczenia dostępu warunkowego lub zbyt częste próby.
- Session expired
- Other

Wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Oryginalna wartość powinna być przechowywana w polu EventOriginalResultDetails
EventSubType Opcjonalnie String Typ logowania. Dozwolone wartości obejmują:
- System
- Interactive
- RemoteInteractive
- Service
- RemoteService
- Remote — Użyj, gdy typ logowania zdalnego jest nieznany.
- AssumeRole — zwykle używane, gdy typ zdarzenia to Elevate.

Wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Oryginalna wartość powinna być przechowywana w polu EventOriginalSubType.
EventSchemaVersion Obowiązkowy String Wersja schematu. Wersja schematu udokumentowana tutaj jest 0.1.3
EventSchema Obowiązkowy String Nazwa schematu udokumentowanego tutaj to Uwierzytelnianie.
Pola dvc - - W przypadku zdarzeń uwierzytelniania pola urządzeń odnoszą się do systemu raportowania zdarzenia.

Wszystkie typowe pola

Pola wyświetlane w poniższej tabeli są wspólne dla wszystkich schematów ASIM. Wszelkie wytyczne określone powyżej zastępują ogólne wytyczne dotyczące pola. Na przykład pole może być ogólnie opcjonalne, ale obowiązkowe dla określonego schematu. Aby uzyskać więcej informacji na temat każdego pola, zapoznaj się z artykułem ASIM Common Fields (Wspólne pola karty ASIM).

Klasa Pola
Obowiązkowy - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Zalecane - EventResultDetails
- EventSeverity
- Identyfikator zdarzenia
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Opcjonalnie - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- Właściciel zdarzenia
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- Dodatkowe pola
- DvcDescription
- DvcScopeId
- DvcScope

Pola specyficzne dla uwierzytelniania

Pole Klasa Type Opis
LogonMethod Opcjonalnie String Metoda używana do przeprowadzania uwierzytelniania.

Przykłady: Username & Password, PKI
LogonProtocol Opcjonalnie String Protokół używany do przeprowadzania uwierzytelniania.

Przykład: NTLM

Pola aktora

Pole Klasa Type Opis
AktorUserId Opcjonalnie String Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja aktora. Aby uzyskać więcej informacji i w przypadku pól alternatywnych dla dodatkowych identyfikatorów, zobacz Jednostka Użytkownik.

Przykład: S-1-12-1-4141952679-1282074057-627758481-2916039507
AktorZakres Opcjonalnie String Zakres, taki jak dzierżawa firmy Microsoft Entra, w którym zdefiniowano element ActorUserId i ActorUsername . lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu.
AktorScopeId Opcjonalnie String Identyfikator zakresu, taki jak Identyfikator katalogu Entra firmy Microsoft, w którym zdefiniowano element ActorUserId i ActorUsername . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserScopeId w artykule Omówienie schematu.
AktorUserIdType Warunkowe UserIdType Typ identyfikatora przechowywanego w polu ActorUserId . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserIdType w artykule Przegląd schematu.
AktorUsername Opcjonalnie Username Nazwa użytkownika aktora, w tym informacje o domenie, gdy są dostępne. Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik.

Przykład: AlbertE
AktorUsernameType Warunkowe Typ nazwy użytkownika Określa typ nazwy użytkownika przechowywanej w polu ActorUsername . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UsernameType w artykule Omówienie schematu.

Przykład: Windows
AktorUserType Opcjonalnie UserType Typ aktora. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserType w artykule Omówienie schematu.

Na przykład: Guest.
ActorOriginalUserType Opcjonalnie UserType Typ użytkownika zgłoszony przez urządzenie raportowania.
ActorsSessionId Opcjonalnie String Unikatowy identyfikator sesji logowania aktora.

Przykład: 102pTUgC3p8RIqHvzxLCHnFlg

Pola aplikacji działających

Pole Klasa Type Opis
ActingAppId Opcjonalnie String Identyfikator aplikacji autoryzującej w imieniu aktora, w tym proces, przeglądarka lub usługa.

Na przykład: 0x12ae8.
ActingAppName Opcjonalnie String Nazwa aplikacji autoryzującej w imieniu aktora, w tym proces, przeglądarka lub usługa.

Na przykład: C:\Windows\System32\svchost.exe.
ActingAppType Opcjonalnie Typ aplikacji Typ działającej aplikacji. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz Artykuł AppType w artykule Przegląd schematu.
HttpUserAgent Opcjonalnie String W przypadku uwierzytelniania za pośrednictwem protokołu HTTP lub HTTPS wartość tego pola to user_agent nagłówek HTTP udostępniany przez działającą aplikację podczas przeprowadzania uwierzytelniania.

Na przykład: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1.

Pola użytkownika docelowego

Pole Klasa Type Opis
TargetUserId Opcjonalnie Identyfikator użytkownika Czytelna dla maszyny alfanumeryczna reprezentacja użytkownika docelowego. Aby uzyskać więcej informacji i w przypadku pól alternatywnych dla dodatkowych identyfikatorów, zobacz Jednostka Użytkownik.

Przykład: 00urjk4znu3BcncfY0h7
TargetUserScope Opcjonalnie String Zakres, taki jak dzierżawa firmy Microsoft Entra, w którym zdefiniowano identyfikator TargetUserId i TargetUsername . lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu.
TargetUserScopeId Opcjonalnie String Identyfikator zakresu, taki jak Identyfikator katalogu Entra firmy Microsoft, w którym zdefiniowano identyfikator TargetUserId i TargetUsername . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserScopeId w artykule Omówienie schematu.
TargetUserIdType Warunkowe UserIdType Typ identyfikatora użytkownika przechowywanego w polu TargetUserId . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserIdType w artykule Przegląd schematu.

Przykład: SID
TargetUsername Opcjonalnie Username Docelowa nazwa użytkownika, w tym informacje o domenie, gdy są dostępne. Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik.

Przykład: MarieC
TargetUsernameType Warunkowe Typ nazwy użytkownika Określa typ nazwy użytkownika przechowywanej w polu TargetUsername . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UsernameType w artykule Omówienie schematu.
TargetUserType Opcjonalnie UserType Typ użytkownika docelowego. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserType w artykule Omówienie schematu.

Na przykład: Member.
TargetSessionId Opcjonalnie String Identyfikator sesji logowania użytkownika TargetUser na urządzeniu źródłowym.
TargetOriginalUserType Opcjonalnie UserType Typ użytkownika zgłoszony przez urządzenie raportowania.
Użytkownik Alias Username Alias do TargetUsername lub targetUserId , jeśli targetUsername nie jest zdefiniowany.

Przykład: CONTOSO\dadmin

Pola systemu źródłowego

Pole Klasa Type Opis
Src Zalecane String Unikatowy identyfikator urządzenia źródłowego.

To pole może aliasuć pola SrcDvcId, SrcHostname lub SrcIpAddr .

Przykład: 192.168.12.1
SrcDvcId Opcjonalnie String Identyfikator urządzenia źródłowego. Jeśli dostępnych jest wiele identyfikatorów, użyj najważniejszego identyfikatora i zapisz pozostałe w polach SrcDvc<DvcIdType>.

Przykład: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId Opcjonalnie String Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. SrcDvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS.
SrcDvcScope Opcjonalnie String Zakres platformy w chmurze, do którego należy urządzenie. SrcDvcScope mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS.
SrcDvcIdType Warunkowe DvcIdType Typ SrcDvcId. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DvcIdType w artykule Przegląd schematu.

Uwaga: to pole jest wymagane, jeśli jest używany identyfikator SrcDvcId .
SrcDeviceType Opcjonalnie Typ urządzenia Typ urządzenia źródłowego. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DeviceType w artykule Przegląd schematu.
SrcHostname Zalecane Hostname (Nazwa hosta) Nazwa hosta urządzenia źródłowego z wyłączeniem informacji o domenie. Jeśli żadna nazwa urządzenia nie jest dostępna, zapisz odpowiedni adres IP w tym polu.

Przykład: DESKTOP-1282V4D
SrcDomain Zalecane String Domena urządzenia źródłowego.

Przykład: Contoso
SrcDomainType Warunkowe Typ domeny Typ SrcDomain. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DomainType w artykule Przegląd schematu.

Wymagane, jeśli jest używany SrcDomain .
SrcFQDN Opcjonalnie String Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, gdy są dostępne.

Uwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa_hosta systemu Windows. Pole SrcDomainType odzwierciedla używany format.

Przykład: Contoso\DESKTOP-1282V4D
SrcDescription Opcjonalnie String Tekst opisowy skojarzony z urządzeniem. Na przykład: Primary Domain Controller.
SrcIpAddr Opcjonalnie Adres IP Adres IP urządzenia źródłowego.

Przykład: 2.2.2.2
SrcPortNumber Opcjonalnie Integer Port IP, z którego pochodzi połączenie.

Przykład: 2335
SrcDvcOs Opcjonalnie String System operacyjny urządzenia źródłowego.

Przykład: Windows 10
IpAddr Alias Alias do SrcIpAddr
SrcIsp Opcjonalnie String Dostawca usług internetowych (ISP) używany przez urządzenie źródłowe do łączenia się z Internetem.

Przykład: corpconnect
SrcGeoCountry Opcjonalnie Kraj Przykład: Canada

Aby uzyskać więcej informacji, zobacz Typy logiczne.
SrcGeoCity Opcjonalnie City Przykład: Montreal

Aby uzyskać więcej informacji, zobacz Typy logiczne.
SrcGeoRegion Opcjonalnie Region (Region) Przykład: Quebec

Aby uzyskać więcej informacji, zobacz Typy logiczne.
SrcGeoLongitude Opcjonalnie Długość Przykład: -73.614830

Aby uzyskać więcej informacji, zobacz Typy logiczne.
SrcGeoLatitude Opcjonalnie Szerokość Przykład: 45.505918

Aby uzyskać więcej informacji, zobacz Typy logiczne.
SrcRiskLevel Opcjonalnie Integer Poziom ryzyka skojarzony ze źródłem. Wartość powinna być dostosowana do zakresu 0 wartości z 100wartością , z wartością 0 dla łagodnego i 100 wysokiego ryzyka.

Przykład: 90
SrcOriginalRiskLevel Opcjonalnie Integer Poziom ryzyka skojarzony ze źródłem, zgodnie z raportem urządzenia raportowania.

Przykład: Suspicious

Pola aplikacji docelowej

Pole Klasa Type Opis
TargetAppId Opcjonalnie String Identyfikator aplikacji, do której jest wymagana autoryzacja, często przypisywana przez urządzenie raportowania.

Przykład: 89162
TargetAppName Opcjonalnie String Nazwa aplikacji, do której jest wymagana autoryzacja, w tym usługa, adres URL lub aplikacja SaaS.

Przykład: Saleforce
TargetAppType Opcjonalnie Typ aplikacji Typ aplikacji autoryzującej w imieniu aktora. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz Artykuł AppType w artykule Przegląd schematu.
TargetUrl Opcjonalnie URL Adres URL skojarzony z aplikacją docelową.

Przykład: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b
LognTarget Alias Alias do targetAppName, TargetUrl lub TargetHostname, w zależności od tego, które pole najlepiej opisuje cel uwierzytelniania.

Pola systemu docelowego

Pole Klasa Type Opis
Czasu letniego Alias String Unikatowy identyfikator obiektu docelowego uwierzytelniania.

To pole może aliasuć pola TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId lub TargetAppName .

Przykład: 192.168.12.1
TargetHostname Zalecane Hostname (Nazwa hosta) Nazwa hosta urządzenia docelowego z wyłączeniem informacji o domenie.

Przykład: DESKTOP-1282V4D
TargetDomain Zalecane String Domena urządzenia docelowego.

Przykład: Contoso
TargetDomainType Warunkowe Enumerated Typ elementu TargetDomain. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DomainType w artykule Przegląd schematu.

Wymagane, jeśli jest używana domena docelowa .
Nazwa docelowaFQDN Opcjonalnie String Nazwa hosta urządzenia docelowego, w tym informacje o domenie, gdy są dostępne.

Przykład: Contoso\DESKTOP-1282V4D

Uwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa_hosta systemu Windows. Typ TargetDomainType odzwierciedla używany format.
TargetDescription Opcjonalnie String Tekst opisowy skojarzony z urządzeniem. Na przykład: Primary Domain Controller.
TargetDvcId Opcjonalnie String Identyfikator urządzenia docelowego. Jeśli dostępnych jest wiele identyfikatorów, użyj najważniejszego identyfikatora i zapisz pozostałe w polach TargetDvc<DvcIdType>.

Przykład: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
TargetDvcScopeId Opcjonalnie String Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. TargetDvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS.
TargetDvcScope Opcjonalnie String Zakres platformy w chmurze, do którego należy urządzenie. TargetDvcScope mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS.
TargetDvcIdType Warunkowe Enumerated Typ TargetDvcId. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DvcIdType w artykule Przegląd schematu.

Wymagane, jeśli jest używany identyfikator TargetDeviceId .
TargetDeviceType Opcjonalnie Enumerated Typ urządzenia docelowego. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DeviceType w artykule Przegląd schematu.
TargetIpAddr Opcjonalnie Adres IP Adres IP urządzenia docelowego.

Przykład: 2.2.2.2
TargetDvcOs Opcjonalnie String System operacyjny urządzenia docelowego.

Przykład: Windows 10
TargetPortNumber Opcjonalnie Integer Port urządzenia docelowego.
TargetGeoCountry Opcjonalnie Kraj Kraj/region skojarzony z docelowym adresem IP.

Przykład: USA
TargetGeoRegion Opcjonalnie Region (Region) Region skojarzony z docelowym adresem IP.

Przykład: Vermont
TargetGeoCity Opcjonalnie City Miasto skojarzone z docelowym adresem IP.

Przykład: Burlington
TargetGeoLatitude Opcjonalnie Szerokość Szerokość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP.

Przykład: 44.475833
TargetGeoLongitude Opcjonalnie Długość Długość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP.

Przykład: 73.211944
TargetRiskLevel Opcjonalnie Integer Poziom ryzyka skojarzony z celem. Wartość powinna być dostosowana do zakresu 0 wartości z 100wartością , z wartością 0 dla łagodnego i 100 wysokiego ryzyka.

Przykład: 90
TargetOriginalRiskLevel Opcjonalnie Integer Poziom ryzyka skojarzony z obiektem docelowym, zgodnie z raportem urządzenia raportowania.

Przykład: Suspicious

Pola inspekcji

Poniższe pola są używane do reprezentowania tej inspekcji przeprowadzonej przez system zabezpieczeń.

Pole Klasa Type Opis
RuleName Opcjonalnie String Nazwa lub identyfikator reguły skojarzonej z wynikami inspekcji.
RuleNumber Opcjonalnie Integer Liczba reguł skojarzonych z wynikami inspekcji.
Reguła Alias String Wartość RuleName lub wartość RuleNumber. Jeśli jest używana wartość RuleNumber , typ powinien zostać przekonwertowany na ciąg.
ThreatId Opcjonalnie String Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu inspekcji.
ThreatName Opcjonalnie String Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu inspekcji.
ThreatCategory Opcjonalnie String Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku inspekcji.
ThreatRiskLevel Opcjonalnie Integer Poziom ryzyka skojarzony z zidentyfikowanym zagrożeniem. Poziom powinien być liczbą z zakresu od 0 do 100.

Uwaga: wartość może być podana w rekordzie źródłowym przy użyciu innej skali, która powinna być znormalizowana do tej skali. Oryginalna wartość powinna być przechowywana w usłudze ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel Opcjonalnie String Poziom ryzyka zgłoszony przez urządzenie raportowania.
ThreatConfidence Opcjonalnie Integer Zidentyfikowany poziom ufności zagrożenia znormalizowany do wartości z zakresu od 0 do 100.
ThreatOriginalConfidence Opcjonalnie String Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgodnie z raportem urządzenia raportowania.
ThreatIsActive Opcjonalnie Wartość logiczna Prawda, jeśli zidentyfikowane zagrożenie jest uznawane za aktywne zagrożenie.
ThreatFirstReportedTime Opcjonalnie datetime Po raz pierwszy adres IP lub domena zostały zidentyfikowane jako zagrożenie.
ThreatLastReportedTime Opcjonalnie datetime Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie.
ThreatIpAddr Opcjonalnie Adres IP Adres IP, dla którego zidentyfikowano zagrożenie. Pole ThreatField zawiera nazwę pola ThreatIpAddr reprezentuje.
ThreatField Opcjonalnie Enumerated Pole, dla którego zidentyfikowano zagrożenie. Wartość to SrcIpAddr lub TargetIpAddr.

Aktualizacje schematu

Są to zmiany w wersji 0.1.1 schematu:

  • Zaktualizowano pola jednostek użytkownika i urządzenia w celu dostosowania ich do innych schematów.
  • Zmieniono TargetDvc nazwy i odpowiednio na Target i SrcDvc Src, aby dostosować je do bieżących wytycznych dotyczących karty ASIM. Zmienione nazwy pól zostaną zaimplementowane jako aliasy do 1 lipca 2022 r. Te pola obejmują: SrcDvcHostname, SrcDvcHostnameTypeTargetDvcHostnameTypeSrcDvcTypeTargetDvcHostnameTargetDvcTypeSrcDvcIpAddr, TargetDvcIpAddr, i .TargetDvc
  • Dodano aliasy Src i Dst.
  • Dodano pola SrcDvcIdType, SrcDeviceTypeTargetDvcIdTypei TargetDeviceType.EventSchema

Są to zmiany w wersji 0.1.2 schematu:

  • Dodano pola ActorScope, , , SrcDvcScopeIdTargetDvcScopeIdSrcDvcScopeTargetDvcScopeTargetUserScope, DvcScopeIdi .DvcScope

Są to zmiany w wersji 0.1.3 schematu:

  • Dodano pola SrcPortNumber, , , ActorScopeIdSrcDescriptionActorOriginalUserTypeTargetUserScopeIdSrcRiskLevelTargetOriginalUserType, , SrcOriginalRiskLeveli .TargetDescription
  • Dodano pola inspekcji
  • Dodano pola lokalizacji geograficznej systemu docelowego.

Następne kroki

Aby uzyskać więcej informacji, zobacz: