Compartilhar via


Referência do esquema de normalização de autenticação do ASIM (Modelo de Informações de Segurança Avançado) (versão prévia pública)

O esquema de autenticação do Microsoft Sentinel é usado para descrever eventos relacionados à autenticação, à entrada e à saída do usuário. Os eventos de autenticação são enviados por vários dispositivos de relatório, geralmente como parte do fluxo de eventos, junto com outros eventos. Por exemplo, o Windows envia vários eventos de autenticação juntamente com outros eventos de atividade do sistema operacional.

Os eventos de autenticação incluem os dois eventos do sistemas que se concentram na autenticação, como gateways de VPN ou controladores de domínio, e autenticação direta para um sistema final, como um computador ou firewall.

Para saber mais sobre a normalização no Microsoft Sentinel, confira Normalização e o ASIM (Modelo de Informações de Segurança Avançado).

Importante

O esquema de normalização de autenticação está atualmente em VERSÃO PRÉVIA. Esse recurso é fornecido sem um contrato de nível de serviço e não é recomendado para cargas de trabalho de produção.

Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Analisadores

Implante os analisadores de autenticação do ASIM do repositório do GitHub do Microsoft Sentinel. Para obter mais informações sobre analisadores do ASIM, consulte os artigos Visão geral dos analisadores do ASIM.

Unificando analisadores

Para usar analisadores que unificam todos os analisadores do ASIM e garantir que sua análise seja executado em todas as fontes configuradas, use o imAuthenticationanalisador de filtragem ou o ASimAuthentication analisador sem parâmetros.

Analisadores específicos da origem

Para obter a lista de analisadores de autenticação que o Microsoft Sentinel fornece, consulte a Lista de analisadores do ASIM:

Adicionar seus próprios analisadores normalizados

Ao implementar analisadores personalizados para o modelo de informação de Autenticação, dê um nome às suas funções KQL usando a seguinte sintaxe:

  • vimAuthentication<vendor><Product> para filtrar analisadores
  • ASimAuthentication<vendor><Product> para analisadores sem parâmetros

Para obter informações sobre como adicionar os analisadores personalizados ao analisador unificador, consulte Como gerenciar analisadores do ASIM.

Filtragem de parâmetros de analisador

Os analisadores im e vim* dão suporte a im. Embora esses analisadores sejam opcionais, eles podem melhorar o desempenho da consulta.

Os seguintes parâmetros de filtragem estão disponíveis:

Nome Tipo Descrição
starttime DATETIME Filtre somente eventos de autenticação executados nesse horário ou depois dele.
endtime DATETIME Filtre somente eventos de autenticação que terminaram de ser executadas nesse horário ou antes dele.
targetusername_has string Filtre somente os eventos de autenticação que tenham qualquer um dos nomes de usuário listados.

Por exemplo, para filtrar apenas eventos de autenticação do último dia para um usuário específico, use:

imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())

Dica

Para passar uma lista literal para parâmetros que esperam um valor dinâmico, use explicitamente um literal dinâmico. Por exemplo: dynamic(['192.168.','10.']).

Conteúdo normalizado

As regras analíticas de autenticação normalizadas são exclusivas à medida que detectam ataques entre fontes. Por exemplo, se um usuário entrar em sistemas diferentes e não relacionados, de diferentes países ou regiões, o Microsoft Sentinel agora detectará essa ameaça.

Para obter uma lista completa de regras de análise que usam eventos de Autenticação normalizados, consulte Conteúdo de segurança do esquema de autenticação.

Visão geral do esquema

O modelo de informação de autenticação está alinhado com o esquema de entidade de logon OSSEM.

Os campos listados na tabela a seguir são específicos para eventos da Autenticação, mas são semelhantes aos campos em outros esquemas e seguem convenções de nomenclatura parecidas.

Os eventos de autenticação fazem referência às seguintes entidades:

  • TargetUser – informações do usuário usadas para autenticar no sistema. TargetSystem é a entidade principal do evento de autenticação e o alias Usuário gera aliases de um TargetUser identificado.
  • TargetApp – aplicativo autenticado.
  • Destino - O sistema no qual o TargetApp* está sendo executado.
  • Ator – usuário que inicia a autenticação, se for diferente de TargetUser.
  • ActingApp – aplicativo usado pelo Ator para executar a autenticação.
  • Src – sistema usado pelo Ator para iniciar a autenticação.

A relação entre essas entidades é demonstrada melhor da seguinte maneira:

Um Ator, executando um Aplicativo de ação, ActingApp, em um sistema de origem, Src, tenta se autenticar como um TargetUser em um aplicativo de destino, TargetApp, em um sistema de destino, TargetDvc.

Detalhes do esquema

Nas tabelas a seguir, Tipo refere-se a um tipo lógico. Para obter mais informações, confira Tipos lógicos.

Campos comuns do ASIM

Importante

Os campos comuns a todos os esquemas estão descritos em detalhes no artigo Campos comuns do ASIM.

Campos comuns com diretrizes específicas

A seguinte lista menciona os campos que têm diretrizes específicas para eventos de autenticação:

Campo Classe Tipo Descrição
EventType Obrigatório Enumerated Descreve a operação relatada pelo registro.

Para registros de autenticação, os valores com suporte incluem:
- Logon
- Logoff
- Elevate
EventResultDetails Recomendadas String Os detalhes associados ao resultado do evento. Normalmente, esse campo é preenchido quando o resultado é uma falha.

Entre os valores permitidos estão:
- No such user or password. Esse valor também deve ser usado quando o evento original relata que não existe esse usuário, sem referência a uma senha.
- No such user
- Incorrect password
- Incorrect key
- Account expired
- Password expired
- User locked
- User disabled
- Logon violates policy. Esse valor deve ser usado quando os relatórios dos eventos originais, por exemplo: MFA necessário, logon fora do horário de trabalho, restrições de acesso condicional ou tentativas muito frequentes.
- Session expired
- Other

O valor pode ser fornecido no registro de origem usando diferentes termos, que devem ser normalizados para esses valores. O valor original deve ser armazenado no campo EventOriginalResultDetails
EventSubType Opcional String O tipo de credenciais. Entre os valores permitidos estão:
- System
- Interactive
- RemoteInteractive
- Service
- RemoteService
- Remote – Use quando o tipo de entrada remota for desconhecido.
- AssumeRole – Normalmente usado quando o tipo de evento for Elevate.

O valor pode ser fornecido no registro de origem usando diferentes termos, que devem ser normalizados para esses valores. O valor original deve ser armazenado no campo EventOriginalSubType.
EventSchemaVersion Obrigatório String A versão do esquema. A versão do esquema documentado aqui é a 0.1.3
EventSchema Obrigatório String O nome do esquema documentado aqui é Autenticação.
Campos Dvc - - Nos eventos de autenticação, os campos do dispositivo referem-se ao sistema que relata o evento.

Todos os campos comuns

Os campos que aparecem na tabela abaixo são comuns a todos os esquemas do ASIM. Qualquer diretriz especificada acima substitui as diretrizes gerais do campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para saber mais sobre cada campo, confira o artigo Campos comuns do ASIM.

Classe Fields
Obrigatório - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Recomendadas - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Opcional - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

Campos específicos de autenticação

Campo Classe Tipo Descrição
LogonMethod Opcional Cadeia de caracteres O método usado para realizar a autenticação.

Exemplos: Username & Password, PKI
LogonProtocol Opcional Cadeia de caracteres O protocolo usado para realizar a autenticação.

Exemplo: NTLM

Campos de ator

Campo Classe Tipo Descrição
ActorUserId Opcional String Uma representação exclusiva, alfanumérica e legível pelo computador de um Ator. Para obter mais informações e campos alternativos para IDs adicionais, consulte Entidade do usuário.

Exemplo: S-1-12-1-4141952679-1282074057-627758481-2916039507
ActorScope Opcional String O escopo, como o locatário do Microsoft Entra, no qual são definidos ActorUserId e ActorUsername. Para obter mais informações e uma lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema.
ActorScopeId Opcional String A ID do escopo, como a ID de diretório do Microsoft Entra, na qual são definidos ActorUserId e ActorUsername. para obter mais informações e uma lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema.
ActorUserIdType Condicional UserIdType O tipo da ID armazenada no campo ActorUserId. Para obter mais informações e uma lista de valores permitidos, consulte UserIdType no artigo Visão geral do esquema.
ActorUsername Opcional Nome de Usuário O nome de usuário do ator, incluindo informações de domínio quando disponíveis. Para saber mais, confira A entidade de usuário.

Exemplo: AlbertE
ActorUsernameType Condicional UsernameType Especifica o tipo do nome de usuário armazenado no campo ActorUsername. Para obter mais informações e uma lista de valores permitidos, consulte UsernameType no artigo Visão geral do esquema.

Exemplo: Windows
ActorUserType Opcional UserType O tipo do ator. Para obter mais informações e uma lista de valores permitidos, consulte UserType no artigo Visão geral do esquema.

Por exemplo: Guest
ActorOriginalUserType Opcional UserType O tipo de usuário, conforme relatado pelo dispositivo de relatório.
ActorSessionId Opcional Cadeia de caracteres A ID exclusiva da sessão de entrada do Ator.

Exemplo: 102pTUgC3p8RIqHvzxLCHnFlg

Campos Aplicativo de ação

Campo Classe Tipo Description
ActingAppId Opcional String A ID do aplicativo que autoriza em nome do ator, incluindo um processo, navegador ou serviço.

Por exemplo: 0x12ae8
ActingAppName Opcional String O nome do aplicativo que autoriza em nome do ator, incluindo um processo, navegador ou serviço.

Por exemplo: C:\Windows\System32\svchost.exe
ActingAppType Opcional AppType O tipo de aplicativo de ação. Para obter mais informações e uma lista de valores permitidos, consulte AppType no artigo Visão geral do esquema.
HttpUserAgent Opcional Cadeia de caracteres Quando a autenticação é executada por HTTP ou HTTPS, o valor desse campo é o cabeçalho HTTP user_agent fornecido pelo aplicativo de ação ao executar a autenticação.

Por exemplo: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

Campos de usuário de destino

Campo Classe Tipo Descrição
TargetUserId Opcional UserId Uma representação exclusiva, alfanumérica e legível pelo computador do usuário de destino. Para obter mais informações e campos alternativos para IDs adicionais, consulte Entidade do usuário.

Exemplo: 00urjk4znu3BcncfY0h7
TargetUserScope Opcional String O escopo, como o locatário do Microsoft Entra, no qual TargetUserId e TargetUsername são definidos. Para obter mais informações e uma lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema.
TargetUserScopeId Opcional String A ID do escopo, como a ID do Diretório do Microsoft Entra, na qual TargetUserId e TargetUsername são definidos. para obter mais informações e uma lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema.
TargetUserIdType Condicional UserIdType O tipo da ID de usuário armazenada no campo TargetUserId. Para obter mais informações e uma lista de valores permitidos, consulte UserIdType no artigo Visão geral do esquema.

Exemplo: SID
TargetUsername Opcional Nome de Usuário O nome de usuário do usuário de destino, incluindo informações de domínio quando disponíveis. Para saber mais, confira A entidade de usuário.

Exemplo: MarieC
TargetUsernameType Condicional UsernameType Especifica o tipo do nome de usuário armazenado no campo TargetUsername. Para obter mais informações e uma lista de valores permitidos, consulte UsernameType no artigo Visão geral do esquema.
TargetUserType Opcional UserType O tipo do usuário de destino. Para obter mais informações e uma lista de valores permitidos, consulte UserType no artigo Visão geral do esquema.

Por exemplo: Member
TargetSessionId Opcional Cadeia de caracteres O identificador de sessão de entrada do TargetUser no dispositivo de origem.
TargetOriginalUserType Opcional UserType O tipo de usuário, conforme relatado pelo dispositivo de relatório.
Usuário Alias Nome de Usuário Alias para o TargetUsername ou targetUserId se TargetUsername não estiver definido.

Exemplo: CONTOSO\dadmin

Campos do sistema de origem

Campo Classe Tipo Descrição
Src Recomendadas String Um identificador exclusivo do dispositivo de origem.

Esse campo pode gerar alias dos campos SrcDvcId, SrcHostname ou SrcIpAddr.

Exemplo: 192.168.12.1
SrcDvcId Opcional String A ID do dispositivo de origem. Se várias IDs estiverem disponíveis, use a mais importante e armazene as outras nos campos SrcDvc<DvcIdType>.

Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId Opcional String A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do SrcDvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS.
SrcDvcScope Opcional String O escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do SrcDvcScope para uma ID da assinatura no Azure e para uma ID da conta no AWS.
SrcDvcIdType Condicional DvcIdType Tipo de SrcDvcId. Para obter uma lista de valores permitidos e informações adicionais, consulte DvcIdType no artigo Visão geral do esquema.

Observação: esse campo será obrigatório se SrcDvcId for usado.
SrcDeviceType Opcional DeviceType O tipo do dispositivo de origem. Para obter uma lista de valores permitidos e informações adicionais, consulte DeviceType no artigo Visão geral do esquema.
SrcNome do host Recomendadas Nome do host O nome do host do dispositivo de origem, incluindo informações de domínio. Se nenhum nome de dispositivo estiver disponível, armazene o endereço IP relevante nesse campo.

Exemplo: DESKTOP-1282V4D
SrcDomain Recomendadas String O domínio do dispositivo de origem.

Exemplo: Contoso
SrcDomainType Condicional DomainType O tipo de SrcDomain. Para obter uma lista de valores permitidos e informações adicionais, consulte DomainType no artigo Visão geral do esquema.

Necessário se SrcDomain for usado.
SrcFQDN Opcional Cadeia de caracteres O nome do host do dispositivo de origem, incluindo informações de domínio quando disponível.

Observação: esse campo dá suporte ao formato FQDN tradicional e ao formato domínio\nome do host do Windows. O campo SrcDomainType reflete o formato usado.

Exemplo: Contoso\DESKTOP-1282V4D
SrcDescription Opcional String Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller.
SrcIpAddr Opcional Endereço IP O endereço IP do dispositivo de origem.

Exemplo: 2.2.2.2
SrcPortNumber Opcional Inteiro A porta IP em que a conexão foi originada.

Exemplo: 2335
SrcDvcOs Opcional Cadeia de caracteres O sistema operacional do dispositivo de origem.

Exemplo: Windows 10
IpAddr Alias Alias para SrcIpAddr
SrcIsp Opcional Cadeia de caracteres O provedor de serviços de Internet (ISP) usado pelo dispositivo de origem para se conectar à Internet.

Exemplo: corpconnect
SrcGeoCountry Opcional País Exemplo: Canada

Para obter mais informações, confira Tipos lógicos.
SrcGeoCity Opcional City Exemplo: Montreal

Para obter mais informações, confira Tipos lógicos.
SrcGeoRegion Opcional Região Exemplo: Quebec

Para obter mais informações, confira Tipos lógicos.
SrcGeoLongtitude Opcional Longitude Exemplo: -73.614830

Para obter mais informações, confira Tipos lógicos.
SrcGeoLatitude Opcional Latitude Exemplo: 45.505918

Para obter mais informações, confira Tipos lógicos.
SrcRiskLevel Opcional Inteiro O nível de risco associado à origem. O valor deve ser ajustado para um intervalo de 0 para 100, com 0 para benigno e 100 para um risco alto.

Exemplo: 90
SrcOriginalRiskLevel Opcional Inteiro O nível de risco associado à ameaça identificada com a origem, conforme relatado pelo dispositivo de relatório.

Exemplo: Suspicious

Campos do aplicativo de destino

Campo Classe Tipo Descrição
TargetAppId Opcional Cadeia de caracteres A ID do aplicativo para o qual a autorização é necessária, geralmente atribuída pelo dispositivo de relatório.

Exemplo: 89162
TargetAppName Opcional Cadeia de caracteres O nome do aplicativo para o qual a autorização é necessária, incluindo um serviço, uma URL ou um aplicativo SaaS.

Exemplo: Saleforce
TargetAppType Opcional AppType O tipo de aplicativo que está autorizando em nome do ator. Para obter mais informações e uma lista de valores permitidos, consulte AppType no artigo Visão geral do esquema.
TargetUrl Opcional URL A URL associada ao aplicativo de destino.

Exemplo: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b
LogonTarget Alias Alias para TargetAppName, TargetUrl ou TargetHostname, qualquer que seja o campo que melhor descreve o destino de autenticação.

Campos do sistema de destino

Campo Classe Tipo Descrição
Dst Alias String Um identificador exclusivo do destino de autenticação.

Esse campo pode criar alias para os campos TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId ou TargetAppName .

Exemplo: 192.168.12.1
TargetHostname Recomendadas Nome do host O nome do host do dispositivo de destino, incluindo informações de domínio.

Exemplo: DESKTOP-1282V4D
TargetDomain Recomendadas String O domínio do dispositivo de destino.

Exemplo: Contoso
TargetDomainType Condicional Enumerated Tipo de TargetDomain. Para obter uma lista de valores permitidos e informações adicionais, consulte DomainType no artigo Visão geral do esquema.

Obrigatório se TargetDomain for usado.
TargetFQDN Opcional String O nome do host do dispositivo de destino, incluindo informações de domínio quando disponíveis.

Exemplo: Contoso\DESKTOP-1282V4D

Observação: esse campo dá suporte ao formato FQDN tradicional e ao formato domínio\nome do host do Windows. O TargetDomainType reflete o formato usado.
TargetDescription Opcional String Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller.
TargetDvcId Opcional String A ID do dispositivo de destino. Se várias IDs estiverem disponíveis, use a mais importante e armazene as outras nos campos TargetDvc<DvcIdType>.

Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
TargetDvcScopeId Opcional String A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do TargetDvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS.
TargetDvcScope Opcional String O escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do TargetDvcScope para uma ID da assinatura no Azure e para uma ID da conta na AWS.
TargetDvcIdType Condicional Enumerated Tipo de TargetDvcId. Para obter uma lista de valores permitidos e informações adicionais, consulte DvcIdType no artigo Visão geral do esquema.

Obrigatório se TargetDeviceId for usado.
TargetDeviceType Opcional Enumerated O tipo do dispositivo de destino. Para obter uma lista de valores permitidos e informações adicionais, consulte DeviceType no artigo Visão geral do esquema.
TargetIpAddr Opcional Endereço IP O endereço IP do dispositivo de destino.

Exemplo: 2.2.2.2
TargetDvcOs Opcional Cadeia de caracteres O sistema operacional do dispositivo de destino.

Exemplo: Windows 10
TargetPortNumber Opcional Inteiro A porta do dispositivo de destino.
TargetGeoCountry Opcional País O país/região associado ao endereço IP de destino.

Exemplo: USA
TargetGeoRegion Opcional Região A região associada ao endereço IP de destino.

Exemplo: Vermont
TargetGeoCity Opcional City A cidade associada ao endereço IP de destino.

Exemplo: Burlington
TargetGeoLatitude Opcional Latitude A latitude da coordenada geográfica associada ao endereço IP de destino.

Exemplo: 44.475833
TargetGeoLongitude Opcional Longitude A longitude da coordenada geográfica associada ao endereço IP de destino.

Exemplo: 73.211944
TargetRiskLevel Opcional Inteiro O nível do risco associado ao destino. O valor deve ser ajustado para um intervalo de 0 para 100, com 0 para benigno e 100 para um risco alto.

Exemplo: 90
TargetOriginalRiskLevel Opcional Inteiro O nível do risco associado ao destino, conforme relatado pelo dispositivo de relatório.

Exemplo: Suspicious

Campos de inspeção

Os campos a seguir são usados para representar essa inspeção executada por um sistema de segurança.

Campo Classe Tipo Descrição
RuleName Opcional String O nome ou a ID da regra associada aos resultados da inspeção.
RuleNumber Opcional Inteiro O número da regra associada aos resultados da inspeção.
Regra Alias String O valor de RuleName ou o valor de RuleNumber. Se o valor de RuleNumber for usado, o tipo deverá ser convertido em cadeia de caracteres.
ThreatId Opcional String A ID da ameaça ou do malware identificado na atividade de auditoria.
ThreatName Opcional String O nome da ameaça ou do malware identificado na atividade de auditoria.
ThreatCategory Opcional String A categoria da ameaça ou do malware identificado na atividade de auditoria.
ThreatRiskLevel Opcional Inteiro O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100.

Observação: o valor pode ser fornecido no registro de origem usando uma escala diferente, que deve ser normalizado para essa escala. O valor original deve ser armazenado em ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel Opcional Cadeia de caracteres O nível de risco, conforme relatado pelo dispositivo de relatório.
ThreatConfidence Opcional Inteiro O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100.
ThreatOriginalConfidence Opcional String O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório.
ThreatIsActive Opcional Boolean True, se a ameaça identificada é considerada uma ameaça ativa.
ThreatFirstReportedTime Opcional DATETIME A primeira vez em que o endereço IP ou domínio foi identificado como uma ameaça.
ThreatLastReportedTime Opcional DATETIME A última vez em que o endereço IP ou domínio foi identificado como uma ameaça.
ThreatIpAddr Opcional Endereço IP Um endereço IP para o qual uma ameaça foi identificada. O campo ThreatField contém o nome do campo que ThreatIpAddr representa.
ThreatField Opcional Enumerated O campo para o qual uma ameaça foi identificada. O valor é SrcIpAddr ou TargetIpAddr.

Atualizações de esquema

Essas são as alterações na versão 0.1.1 do esquema:

  • Campos de entidade do usuário e dispositivo atualizados para se alinhar a outros esquemas.
  • TargetDvc e SrcDvc renomeados para Target e Src, respectivamente, para se alinhar com as diretrizes atuais do ASIM. Os campos renomeados serão implementados como aliases até 1º de julho de 2022. Esses campos incluem: SrcDvcHostname, SrcDvcHostnameType, SrcDvcType, SrcDvcIpAddr, TargetDvcHostname, TargetDvcHostnameType, TargetDvcType, TargetDvcIpAddr e TargetDvc.
  • Aliases Src e Dst adicionados.
  • Adicionados os campos SrcDvcIdType, SrcDeviceType, TargetDvcIdType, TargetDeviceType e EventSchema.

Essas são as alterações na versão 0.1.2 do esquema:

  • Adicionados os campos ActorScope, TargetUserScope, SrcDvcScopeId, SrcDvcScope, TargetDvcScopeId, TargetDvcScope, DvcScopeId e DvcScope.

Essas são as alterações na versão 0.1.3 do esquema:

  • Adicionados aos campos SrcPortNumber, ActorOriginalUserType, ActorScopeId, TargetOriginalUserType, TargetUserScopeId, SrcDescription, SrcRiskLevel, SrcOriginalRiskLevel e TargetDescription.
  • Campos de inspeção adicionais
  • Campos de localização geográfica do sistema de destino adicionados.

Próximas etapas

Para obter mais informações, consulte: