Referência do esquema de normalização de autenticação do ASIM (Modelo de Informações de Segurança Avançado) (versão prévia pública)
O esquema de autenticação do Microsoft Sentinel é usado para descrever eventos relacionados à autenticação, à entrada e à saída do usuário. Os eventos de autenticação são enviados por vários dispositivos de relatório, geralmente como parte do fluxo de eventos, junto com outros eventos. Por exemplo, o Windows envia vários eventos de autenticação juntamente com outros eventos de atividade do sistema operacional.
Os eventos de autenticação incluem os dois eventos do sistemas que se concentram na autenticação, como gateways de VPN ou controladores de domínio, e autenticação direta para um sistema final, como um computador ou firewall.
Para saber mais sobre a normalização no Microsoft Sentinel, confira Normalização e o ASIM (Modelo de Informações de Segurança Avançado).
Importante
O esquema de normalização de autenticação está atualmente em VERSÃO PRÉVIA. Esse recurso é fornecido sem um contrato de nível de serviço e não é recomendado para cargas de trabalho de produção.
Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Analisadores
Implante os analisadores de autenticação do ASIM do repositório do GitHub do Microsoft Sentinel. Para obter mais informações sobre analisadores do ASIM, consulte os artigos Visão geral dos analisadores do ASIM.
Unificando analisadores
Para usar analisadores que unificam todos os analisadores do ASIM e garantir que sua análise seja executado em todas as fontes configuradas, use o imAuthenticationanalisador de filtragem ou o ASimAuthentication analisador sem parâmetros.
Analisadores específicos da origem
Para obter a lista de analisadores de autenticação que o Microsoft Sentinel fornece, consulte a Lista de analisadores do ASIM:
Adicionar seus próprios analisadores normalizados
Ao implementar analisadores personalizados para o modelo de informação de Autenticação, dê um nome às suas funções KQL usando a seguinte sintaxe:
vimAuthentication<vendor><Product>para filtrar analisadoresASimAuthentication<vendor><Product>para analisadores sem parâmetros
Para obter informações sobre como adicionar os analisadores personalizados ao analisador unificador, consulte Como gerenciar analisadores do ASIM.
Filtragem de parâmetros de analisador
Os analisadores im e vim* dão suporte a im. Embora esses analisadores sejam opcionais, eles podem melhorar o desempenho da consulta.
Os seguintes parâmetros de filtragem estão disponíveis:
| Nome | Tipo | Descrição |
|---|---|---|
| starttime | DATETIME | Filtre somente eventos de autenticação executados nesse horário ou depois dele. |
| endtime | DATETIME | Filtre somente eventos de autenticação que terminaram de ser executadas nesse horário ou antes dele. |
| targetusername_has | string | Filtre somente os eventos de autenticação que tenham qualquer um dos nomes de usuário listados. |
Por exemplo, para filtrar apenas eventos de autenticação do último dia para um usuário específico, use:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Dica
Para passar uma lista literal para parâmetros que esperam um valor dinâmico, use explicitamente um literal dinâmico. Por exemplo: dynamic(['192.168.','10.']).
Conteúdo normalizado
As regras analíticas de autenticação normalizadas são exclusivas à medida que detectam ataques entre fontes. Por exemplo, se um usuário entrar em sistemas diferentes e não relacionados, de diferentes países ou regiões, o Microsoft Sentinel agora detectará essa ameaça.
Para obter uma lista completa de regras de análise que usam eventos de Autenticação normalizados, consulte Conteúdo de segurança do esquema de autenticação.
Visão geral do esquema
O modelo de informação de autenticação está alinhado com o esquema de entidade de logon OSSEM.
Os campos listados na tabela a seguir são específicos para eventos da Autenticação, mas são semelhantes aos campos em outros esquemas e seguem convenções de nomenclatura parecidas.
Os eventos de autenticação fazem referência às seguintes entidades:
- TargetUser – informações do usuário usadas para autenticar no sistema. TargetSystem é a entidade principal do evento de autenticação e o alias Usuário gera aliases de um TargetUser identificado.
- TargetApp – aplicativo autenticado.
- Destino - O sistema no qual o TargetApp* está sendo executado.
- Ator – usuário que inicia a autenticação, se for diferente de TargetUser.
- ActingApp – aplicativo usado pelo Ator para executar a autenticação.
- Src – sistema usado pelo Ator para iniciar a autenticação.
A relação entre essas entidades é demonstrada melhor da seguinte maneira:
Um Ator, executando um Aplicativo de ação, ActingApp, em um sistema de origem, Src, tenta se autenticar como um TargetUser em um aplicativo de destino, TargetApp, em um sistema de destino, TargetDvc.
Detalhes do esquema
Nas tabelas a seguir, Tipo refere-se a um tipo lógico. Para obter mais informações, confira Tipos lógicos.
Campos comuns do ASIM
Importante
Os campos comuns a todos os esquemas estão descritos em detalhes no artigo Campos comuns do ASIM.
Campos comuns com diretrizes específicas
A seguinte lista menciona os campos que têm diretrizes específicas para eventos de autenticação:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| EventType | Obrigatório | Enumerated | Descreve a operação relatada pelo registro. Para registros de autenticação, os valores com suporte incluem: - Logon - Logoff- Elevate |
| EventResultDetails | Recomendadas | String | Os detalhes associados ao resultado do evento. Normalmente, esse campo é preenchido quando o resultado é uma falha. Entre os valores permitidos estão: - No such user or password. Esse valor também deve ser usado quando o evento original relata que não existe esse usuário, sem referência a uma senha.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. Esse valor deve ser usado quando os relatórios dos eventos originais, por exemplo: MFA necessário, logon fora do horário de trabalho, restrições de acesso condicional ou tentativas muito frequentes.- Session expired- OtherO valor pode ser fornecido no registro de origem usando diferentes termos, que devem ser normalizados para esses valores. O valor original deve ser armazenado no campo EventOriginalResultDetails |
| EventSubType | Opcional | String | O tipo de credenciais. Entre os valores permitidos estão: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote – Use quando o tipo de entrada remota for desconhecido.- AssumeRole – Normalmente usado quando o tipo de evento for Elevate. O valor pode ser fornecido no registro de origem usando diferentes termos, que devem ser normalizados para esses valores. O valor original deve ser armazenado no campo EventOriginalSubType. |
| EventSchemaVersion | Obrigatório | String | A versão do esquema. A versão do esquema documentado aqui é a 0.1.3 |
| EventSchema | Obrigatório | String | O nome do esquema documentado aqui é Autenticação. |
| Campos Dvc | - | - | Nos eventos de autenticação, os campos do dispositivo referem-se ao sistema que relata o evento. |
Todos os campos comuns
Os campos que aparecem na tabela abaixo são comuns a todos os esquemas do ASIM. Qualquer diretriz especificada acima substitui as diretrizes gerais do campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para saber mais sobre cada campo, confira o artigo Campos comuns do ASIM.
| Classe | Fields |
|---|---|
| Obrigatório | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendadas | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campos específicos de autenticação
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| LogonMethod | Opcional | Cadeia de caracteres | O método usado para realizar a autenticação. Exemplos: Username & Password, PKI |
| LogonProtocol | Opcional | Cadeia de caracteres | O protocolo usado para realizar a autenticação. Exemplo: NTLM |
Campos de ator
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ActorUserId | Opcional | String | Uma representação exclusiva, alfanumérica e legível pelo computador de um Ator. Para obter mais informações e campos alternativos para IDs adicionais, consulte Entidade do usuário. Exemplo: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Opcional | String | O escopo, como o locatário do Microsoft Entra, no qual são definidos ActorUserId e ActorUsername. Para obter mais informações e uma lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema. |
| ActorScopeId | Opcional | String | A ID do escopo, como a ID de diretório do Microsoft Entra, na qual são definidos ActorUserId e ActorUsername. para obter mais informações e uma lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema. |
| ActorUserIdType | Condicional | UserIdType | O tipo da ID armazenada no campo ActorUserId. Para obter mais informações e uma lista de valores permitidos, consulte UserIdType no artigo Visão geral do esquema. |
| ActorUsername | Opcional | Nome de Usuário | O nome de usuário do ator, incluindo informações de domínio quando disponíveis. Para saber mais, confira A entidade de usuário. Exemplo: AlbertE |
| ActorUsernameType | Condicional | UsernameType | Especifica o tipo do nome de usuário armazenado no campo ActorUsername. Para obter mais informações e uma lista de valores permitidos, consulte UsernameType no artigo Visão geral do esquema. Exemplo: Windows |
| ActorUserType | Opcional | UserType | O tipo do ator. Para obter mais informações e uma lista de valores permitidos, consulte UserType no artigo Visão geral do esquema. Por exemplo: Guest |
| ActorOriginalUserType | Opcional | UserType | O tipo de usuário, conforme relatado pelo dispositivo de relatório. |
| ActorSessionId | Opcional | Cadeia de caracteres | A ID exclusiva da sessão de entrada do Ator. Exemplo: 102pTUgC3p8RIqHvzxLCHnFlg |
Campos Aplicativo de ação
| Campo | Classe | Tipo | Description |
|---|---|---|---|
| ActingAppId | Opcional | String | A ID do aplicativo que autoriza em nome do ator, incluindo um processo, navegador ou serviço. Por exemplo: 0x12ae8 |
| ActingAppName | Opcional | String | O nome do aplicativo que autoriza em nome do ator, incluindo um processo, navegador ou serviço. Por exemplo: C:\Windows\System32\svchost.exe |
| ActingAppType | Opcional | AppType | O tipo de aplicativo de ação. Para obter mais informações e uma lista de valores permitidos, consulte AppType no artigo Visão geral do esquema. |
| HttpUserAgent | Opcional | Cadeia de caracteres | Quando a autenticação é executada por HTTP ou HTTPS, o valor desse campo é o cabeçalho HTTP user_agent fornecido pelo aplicativo de ação ao executar a autenticação. Por exemplo: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Campos de usuário de destino
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| TargetUserId | Opcional | UserId | Uma representação exclusiva, alfanumérica e legível pelo computador do usuário de destino. Para obter mais informações e campos alternativos para IDs adicionais, consulte Entidade do usuário. Exemplo: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | Opcional | String | O escopo, como o locatário do Microsoft Entra, no qual TargetUserId e TargetUsername são definidos. Para obter mais informações e uma lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema. |
| TargetUserScopeId | Opcional | String | A ID do escopo, como a ID do Diretório do Microsoft Entra, na qual TargetUserId e TargetUsername são definidos. para obter mais informações e uma lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema. |
| TargetUserIdType | Condicional | UserIdType | O tipo da ID de usuário armazenada no campo TargetUserId. Para obter mais informações e uma lista de valores permitidos, consulte UserIdType no artigo Visão geral do esquema. Exemplo: SID |
| TargetUsername | Opcional | Nome de Usuário | O nome de usuário do usuário de destino, incluindo informações de domínio quando disponíveis. Para saber mais, confira A entidade de usuário. Exemplo: MarieC |
| TargetUsernameType | Condicional | UsernameType | Especifica o tipo do nome de usuário armazenado no campo TargetUsername. Para obter mais informações e uma lista de valores permitidos, consulte UsernameType no artigo Visão geral do esquema. |
| TargetUserType | Opcional | UserType | O tipo do usuário de destino. Para obter mais informações e uma lista de valores permitidos, consulte UserType no artigo Visão geral do esquema. Por exemplo: Member |
| TargetSessionId | Opcional | Cadeia de caracteres | O identificador de sessão de entrada do TargetUser no dispositivo de origem. |
| TargetOriginalUserType | Opcional | UserType | O tipo de usuário, conforme relatado pelo dispositivo de relatório. |
| Usuário | Alias | Nome de Usuário | Alias para o TargetUsername ou targetUserId se TargetUsername não estiver definido. Exemplo: CONTOSO\dadmin |
Campos do sistema de origem
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Src | Recomendadas | String | Um identificador exclusivo do dispositivo de origem. Esse campo pode gerar alias dos campos SrcDvcId, SrcHostname ou SrcIpAddr. Exemplo: 192.168.12.1 |
| SrcDvcId | Opcional | String | A ID do dispositivo de origem. Se várias IDs estiverem disponíveis, use a mais importante e armazene as outras nos campos SrcDvc<DvcIdType>.Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcional | String | A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do SrcDvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
| SrcDvcScope | Opcional | String | O escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do SrcDvcScope para uma ID da assinatura no Azure e para uma ID da conta no AWS. |
| SrcDvcIdType | Condicional | DvcIdType | Tipo de SrcDvcId. Para obter uma lista de valores permitidos e informações adicionais, consulte DvcIdType no artigo Visão geral do esquema. Observação: esse campo será obrigatório se SrcDvcId for usado. |
| SrcDeviceType | Opcional | DeviceType | O tipo do dispositivo de origem. Para obter uma lista de valores permitidos e informações adicionais, consulte DeviceType no artigo Visão geral do esquema. |
| SrcNome do host | Recomendadas | Nome do host | O nome do host do dispositivo de origem, incluindo informações de domínio. Se nenhum nome de dispositivo estiver disponível, armazene o endereço IP relevante nesse campo. Exemplo: DESKTOP-1282V4D |
| SrcDomain | Recomendadas | String | O domínio do dispositivo de origem. Exemplo: Contoso |
| SrcDomainType | Condicional | DomainType | O tipo de SrcDomain. Para obter uma lista de valores permitidos e informações adicionais, consulte DomainType no artigo Visão geral do esquema. Necessário se SrcDomain for usado. |
| SrcFQDN | Opcional | Cadeia de caracteres | O nome do host do dispositivo de origem, incluindo informações de domínio quando disponível. Observação: esse campo dá suporte ao formato FQDN tradicional e ao formato domínio\nome do host do Windows. O campo SrcDomainType reflete o formato usado. Exemplo: Contoso\DESKTOP-1282V4D |
| SrcDescription | Opcional | String | Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller. |
| SrcIpAddr | Opcional | Endereço IP | O endereço IP do dispositivo de origem. Exemplo: 2.2.2.2 |
| SrcPortNumber | Opcional | Inteiro | A porta IP em que a conexão foi originada. Exemplo: 2335 |
| SrcDvcOs | Opcional | Cadeia de caracteres | O sistema operacional do dispositivo de origem. Exemplo: Windows 10 |
| IpAddr | Alias | Alias para SrcIpAddr | |
| SrcIsp | Opcional | Cadeia de caracteres | O provedor de serviços de Internet (ISP) usado pelo dispositivo de origem para se conectar à Internet. Exemplo: corpconnect |
| SrcGeoCountry | Opcional | País | Exemplo: Canada Para obter mais informações, confira Tipos lógicos. |
| SrcGeoCity | Opcional | City | Exemplo: Montreal Para obter mais informações, confira Tipos lógicos. |
| SrcGeoRegion | Opcional | Região | Exemplo: Quebec Para obter mais informações, confira Tipos lógicos. |
| SrcGeoLongtitude | Opcional | Longitude | Exemplo: -73.614830 Para obter mais informações, confira Tipos lógicos. |
| SrcGeoLatitude | Opcional | Latitude | Exemplo: 45.505918 Para obter mais informações, confira Tipos lógicos. |
| SrcRiskLevel | Opcional | Inteiro | O nível de risco associado à origem. O valor deve ser ajustado para um intervalo de 0 para 100, com 0 para benigno e 100 para um risco alto.Exemplo: 90 |
| SrcOriginalRiskLevel | Opcional | Inteiro | O nível de risco associado à ameaça identificada com a origem, conforme relatado pelo dispositivo de relatório. Exemplo: Suspicious |
Campos do aplicativo de destino
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| TargetAppId | Opcional | Cadeia de caracteres | A ID do aplicativo para o qual a autorização é necessária, geralmente atribuída pelo dispositivo de relatório. Exemplo: 89162 |
| TargetAppName | Opcional | Cadeia de caracteres | O nome do aplicativo para o qual a autorização é necessária, incluindo um serviço, uma URL ou um aplicativo SaaS. Exemplo: Saleforce |
| TargetAppType | Opcional | AppType | O tipo de aplicativo que está autorizando em nome do ator. Para obter mais informações e uma lista de valores permitidos, consulte AppType no artigo Visão geral do esquema. |
| TargetUrl | Opcional | URL | A URL associada ao aplicativo de destino. Exemplo: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Alias | Alias para TargetAppName, TargetUrl ou TargetHostname, qualquer que seja o campo que melhor descreve o destino de autenticação. |
Campos do sistema de destino
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Dst | Alias | String | Um identificador exclusivo do destino de autenticação. Esse campo pode gerar alias dos campos TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId ou TargetAppName. Exemplo: 192.168.12.1 |
| TargetHostname | Recomendadas | Nome do host | O nome do host do dispositivo de destino, incluindo informações de domínio. Exemplo: DESKTOP-1282V4D |
| TargetDomain | Recomendadas | String | O domínio do dispositivo de destino. Exemplo: Contoso |
| TargetDomainType | Condicional | Enumerated | Tipo de TargetDomain. Para obter uma lista de valores permitidos e informações adicionais, consulte DomainType no artigo Visão geral do esquema. Obrigatório se TargetDomain for usado. |
| TargetFQDN | Opcional | String | O nome do host do dispositivo de destino, incluindo informações de domínio quando disponíveis. Exemplo: Contoso\DESKTOP-1282V4D Observação: esse campo dá suporte ao formato FQDN tradicional e ao formato domínio\nome do host do Windows. O TargetDomainType reflete o formato usado. |
| TargetDescription | Opcional | String | Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller. |
| TargetDvcId | Opcional | String | A ID do dispositivo de destino. Se várias IDs estiverem disponíveis, use a mais importante e armazene as outras nos campos TargetDvc<DvcIdType>. Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Opcional | String | A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do TargetDvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
| TargerDvcScope | Opcional | String | O escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do TargetDvcScope para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
| TargetDvcIdType | Condicional | Enumerated | Tipo de TargetDvcId. Para obter uma lista de valores permitidos e informações adicionais, consulte DvcIdType no artigo Visão geral do esquema. Obrigatório se TargetDeviceId for usado. |
| TargetDeviceType | Opcional | Enumerated | O tipo do dispositivo de destino. Para obter uma lista de valores permitidos e informações adicionais, consulte DeviceType no artigo Visão geral do esquema. |
| TargetIpAddr | Opcional | Endereço IP | O endereço IP do dispositivo de destino. Exemplo: 2.2.2.2 |
| TargetDvcOs | Opcional | Cadeia de caracteres | O sistema operacional do dispositivo de destino. Exemplo: Windows 10 |
| TargetPortNumber | Opcional | Inteiro | A porta do dispositivo de destino. |
| TargetGeoCountry | Opcional | País | O país associado ao endereço IP de destino. Exemplo: USA |
| TargetGeoRegion | Opcional | Região | A região associada ao endereço IP de destino. Exemplo: Vermont |
| TargetGeoCity | Opcional | City | A cidade associada ao endereço IP de destino. Exemplo: Burlington |
| TargetGeoLatitude | Opcional | Latitude | A latitude da coordenada geográfica associada ao endereço IP de destino. Exemplo: 44.475833 |
| TargetGeoLongitude | Opcional | Longitude | A longitude da coordenada geográfica associada ao endereço IP de destino. Exemplo: 73.211944 |
| TargetRiskLevel | Opcional | Inteiro | O nível do risco associado ao destino. O valor deve ser ajustado para um intervalo de 0 para 100, com 0 para benigno e 100 para um risco alto.Exemplo: 90 |
| TargetOriginalRiskLevel | Opcional | Inteiro | O nível do risco associado ao destino, conforme relatado pelo dispositivo de relatório. Exemplo: Suspicious |
Campos de inspeção
Os campos a seguir são usados para representar essa inspeção executada por um sistema de segurança.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| RuleName | Opcional | String | O nome ou a ID da regra associada aos resultados da inspeção. |
| RuleNumber | Opcional | Inteiro | O número da regra associada aos resultados da inspeção. |
| Regra | Alias | String | O valor de RuleName ou o valor de RuleNumber. Se o valor de RuleNumber for usado, o tipo deverá ser convertido em cadeia de caracteres. |
| ThreatId | Opcional | String | A ID da ameaça ou do malware identificado na atividade de auditoria. |
| ThreatName | Opcional | String | O nome da ameaça ou do malware identificado na atividade de auditoria. |
| ThreatCategory | Opcional | String | A categoria da ameaça ou do malware identificado na atividade de auditoria. |
| ThreatRiskLevel | Opcional | Inteiro | O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. Observação: o valor pode ser fornecido no registro de origem usando uma escala diferente, que deve ser normalizado para essa escala. O valor original deve ser armazenado em ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcional | Cadeia de caracteres | O nível de risco, conforme relatado pelo dispositivo de relatório. |
| ThreatConfidence | Opcional | Inteiro | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatOriginalConfidence | Opcional | String | O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
| ThreatIsActive | Opcional | Boolean | True, se a ameaça identificada é considerada uma ameaça ativa. |
| ThreatFirstReportedTime | Opcional | DATETIME | A primeira vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatLastReportedTime | Opcional | DATETIME | A última vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatIpAddr | Opcional | Endereço IP | Um endereço IP para o qual uma ameaça foi identificada. O campo ThreatField contém o nome do campo que ThreatIpAddr representa. |
| ThreatField | Opcional | Enumerated | O campo para o qual uma ameaça foi identificada. O valor é SrcIpAddr ou TargetIpAddr. |
Atualizações de esquema
Essas são as alterações na versão 0.1.1 do esquema:
- Campos de entidade do usuário e dispositivo atualizados para se alinhar a outros esquemas.
TargetDvceSrcDvcrenomeados paraTargeteSrc, respectivamente, para se alinhar com as diretrizes atuais do ASIM. Os campos renomeados serão implementados como aliases até 1º de julho de 2022. Esses campos incluem:SrcDvcHostname,SrcDvcHostnameType,SrcDvcType,SrcDvcIpAddr,TargetDvcHostname,TargetDvcHostnameType,TargetDvcType,TargetDvcIpAddreTargetDvc.- Aliases
SrceDstadicionados. - Adicionados os campos
SrcDvcIdType,SrcDeviceType,TargetDvcIdType,TargetDeviceTypeeEventSchema.
Essas são as alterações na versão 0.1.2 do esquema:
- Adicionados os campos
ActorScope,TargetUserScope,SrcDvcScopeId,SrcDvcScope,TargetDvcScopeId,TargetDvcScope,DvcScopeIdeDvcScope.
Essas são as alterações na versão 0.1.3 do esquema:
- Adicionados aos campos
SrcPortNumber,ActorOriginalUserType,ActorScopeId,TargetOriginalUserType,TargetUserScopeId,SrcDescription,SrcRiskLevel,SrcOriginalRiskLeveleTargetDescription. - Campos de inspeção adicionais
- Campos de localização geográfica do sistema de destino adicionados.
Próximas etapas
Para obter mais informações, consulte:
- Assista ao Webinar do ASIM ou examine os slides
- Visão geral do ASIM (Modelo de Informações de Segurança Avançado)
- Esquemas do ASIM (Modelo de Informações de Segurança Avançado)
- Analisadores do ASIM (Modelo de Informações de Segurança Avançado)
- Conteúdo do ASIM (Modelo de Informações de Segurança Avançado)