Freigeben über


Referenz zum Schema für die Authentifizierungsnormalisierung des erweiterten Sicherheitsinformationsmodells (ADVANCED Security Information Model, ASIM) (öffentliche Vorschau)

Das Microsoft Sentinel-Authentifizierungsschema wird zum Beschreiben von Ereignissen im Zusammenhang mit der Authentifizierung und der An- und Abmeldung von Benutzern verwendet. Authentifizierungsereignisse werden von vielen meldenden Geräten meist im Rahmen des Ereignisdatenstroms zusammen mit anderen Ereignissen gesendet. Von Windows werden beispielsweise verschiedene Authentifizierungsereignisse zusammen mit anderen Ereignissen im Zusammenhang mit Betriebssystemaktivitäten gesendet.

Zu den Authentifizierungsereignissen gehören sowohl Ereignisse von Systemen, die sich auf die Authentifizierung konzentrieren, wie etwa VPN-Gateways oder Domänencontroller, als auch die direkte Authentifizierung bei einem Endsystem, wie etwa bei einem Computer oder einer Firewall.

Weitere Informationen zur Normalisierung in Microsoft Sentinel finden Sie unter Normalisierung und erweitertes Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM).

Wichtig

Das Authentifizierungsnormalisierungsschema befindet sich derzeit in der VORSCHAUPHASE. Dieses Feature wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen.

In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Parser

Stellen Sie die ASIM-Authentifizierungsparser aus dem Microsoft Sentinel-GitHub-Repository bereit. Weitere Informationen zu ASIM-Parsern finden Sie in den Artikeln der Übersicht über ASIM-Parser.

Vereinheitlichende Parsern

Um Parser zu verwenden, die alle bereits integrierten ASIM-Parser vereinheitlichen, und sicherzustellen, dass ihre Analyse über alle konfigurierten Quellen hinweg ausgeführt wird, verwenden Sie den Filterparser imAuthentication oder den parameterlosen Parser ASimAuthentication.

Quellenlspezifische Parser

Die Liste der Authentifizierungsparser, die Microsoft Sentinel zur Verfügung stellt, finden Sie in der Liste der ASIM-Parser:

Hinzufügen eigener normalisierter Parser

Wenn Sie benutzerdefinierte Parser für das Authentifizierungsinformationsmodell implementieren, benennen Sie Ihre KQL-Funktionen anhand der folgenden Syntax:

  • vimAuthentication<vendor><Product> zum Filtern von Parsern
  • ASimAuthentication<vendor><Product> für parameterlose Parser

Informationen zum Hinzufügen der benutzerdefinierten Parser zum vereinheitlichenden Parser finden Sie unter Verwalten von ASIM-Parsern.

Filtern von Parser-Parametern

Die Parser im und vim* unterstützen Filterparameter. Indem diese Parser optional sind, können sie die Leistung Ihrer Abfrage verbessern.

Die folgenden Filterparameter sind verfügbar:

Name Typ Beschreibung
StartTime datetime Filtert nur Authentifizierungsereignisse, die zu oder nach dieser Zeit ausgeführt wurden.
EndTime datetime Filtert nur Authentifizierungsereignisse, deren Ausführung zu oder vor diesem Zeitpunkt beendet wurde.
targetusername_has Zeichenfolge Filtert nur Authentifizierungsereignisse, die einen der aufgeführten Benutzernamen aufweisen.

Verwenden Sie beispielsweise Folgendes, um nur Authentifizierungsereignisse vom letzten Tag für einen bestimmten Benutzer zu filtern:

imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())

Tipp

Um eine Literalliste an Parameter zu übergeben, die einen dynamischen Wert erwarten, verwenden Sie explizit ein dynamisches Literal. Beispiel: dynamic(['192.168.','10.']).

Normalisierter Inhalt

Regeln für die Analyse einer normalisierten Authentifizierung sind speziell, da damit Angriffe von verschiedenen Quellen erkannt werden. Wenn sich beispielsweise ein Benutzer oder eine Benutzerin von verschiedenen Ländern/Regionen aus bei verschiedenen, nicht miteinander verbundenen Systemen anmeldet, wird diese Bedrohung jetzt von Microsoft Sentinel erkannt.

Eine vollständige Liste der Analyseregeln, die normalisierte Authentifizierungsereignisse verwenden, finden Sie unter Sicherheitsinhalt des Authentifizierungsschemas.

Schemaübersicht

Das Authentifizierungsinformationsmodell orientiert sich am OSSEM-Anmeldeentitätsschema.

Die in der folgenden Tabelle aufgeführten Felder sind spezifisch für Authentifizierungsereignisse. Sie ähneln jedoch Feldern in anderen Schemas und folgen ähnlichen Benennungskonventionen.

Authentifizierungsereignisse beziehen sich auf die folgenden Entitäten:

  • TargetUser: Die Benutzerinformationen, die für die Authentifizierung beim System verwendet werden. TargetSystem ist das primäre Subjekt des Authentifizierungsereignisses, und der Alias „User“ ist ein Alias für einen identifizierten TargetUser.
  • TargetApp: Die Anwendung, bei der die Authentifizierung erfolgt ist.
  • Ziel – Das System, auf dem TargetApp* ausgeführt wird.
  • Actor: Der Benutzer, der die Authentifizierung initiiert, sofern er sich von TargetUser unterscheidet.
  • ActingApp: Die Anwendung, die vom Actor zum Durchführen der Authentifizierung verwendet wird.
  • Src: Das System, das vom Actor zum Initiieren der Authentifizierung verwendet wird.

Die Beziehung zwischen diesen Entitäten lässt sich am besten wie folgt darstellen:

Ein Akteur (Actor), der eine agierende Anwendung (ActingApp) auf einem Quellgerät (Src) ausführt, authentifiziert einen Zielbenutzer (TargetUser) bei einer Zielanwendung (TargetApp) auf einem Zielgerät (TargetDvc).

Schemadetails

In den folgenden Tabellen ist mit Typ ein logischer Typ gemeint. Weitere Informationen finden Sie unter Logische Typen.

Allgemeine ASIM-Felder

Wichtig

Felder, die allen Schemas gemeinsam sind, werden im Artikel Allgemeine ASIM-Felder ausführlich beschrieben.

Allgemeine Felder mit bestimmten Richtlinien

In der folgenden Liste werden Felder erwähnt, die bestimmte Richtlinien für Authentifizierungsereignisse enthalten.

Feld Klasse type BESCHREIBUNG
EventType Obligatorisch. Enumerated Beschreibt den vom Datensatz gemeldeten Vorgang.

Für Authentifizierungsdatensätze werden folgende Werte unterstützt:
- Logon
- Logoff
- Elevate
EventResultDetails Empfohlen String Die Details, die dem Ereignisergebnis zugeordnet sind. Dieses Feld wird in der Regel aufgefüllt, wenn das Ergebnis ein Fehler ist.

Zulässige Werte sind:
- No such user or password. Dieser Wert sollte auch dann verwendet werden, wenn mit dem ursprünglichen Ereignis ohne Verweis auf ein Kennwort gemeldet wird, dass kein solcher Benutzer vorhanden ist.
- No such user
- Incorrect password
- Incorrect key
- Account expired
- Password expired
- User locked
- User disabled
- Logon violates policy. Dieser Wert sollte verwendet werden, wenn mit dem ursprünglichen Ereignis beispielsweise Folgendes gemeldet wird: MFA erforderlich, Anmeldung außerhalb der Arbeitszeiten, Beschränkungen durch bedingten Zugriff oder zu viele Versuche.
- Session expired
- Other

Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die in diese Werte normalisiert werden sollten. Der ursprüngliche Wert muss im Feld EventOriginalResultDetails gespeichert werden.
EventSubType Optional String Der Anmeldetyp. Zulässige Werte sind:
- System
- Interactive
- RemoteInteractive
- Service
- RemoteService
- Remote wird verwendet, wenn der Typ der Remoteanmeldung unbekannt ist.
- AssumeRole wird in der Regel verwendet, wenn der Ereignistyp Elevate ist.

Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die in diese Werte normalisiert werden sollten. Der ursprüngliche Wert muss im Feld EventOriginalSubType gespeichert werden.
EventSchemaVersion Obligatorisch. String Die Version des Schemas. Die hier dokumentierte Version des Schemas ist 0.1.3.
EventSchema Obligatorisch. String Der Name des hier dokumentierten Schemas lautet Authentifizierung.
Dvc-Felder - - Bei Authentifizierungsereignissen beziehen sich die Gerätefelder auf das System, das das Ereignis meldet.

Alle allgemeinen Felder

Felder, die in der folgenden Tabelle angezeigt werden, sind für alle ASIM-Schemas gleich. Jede oben angegebene Richtlinie setzt die allgemeinen Richtlinien für das Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel Allgemeine ASIM-Felder.

Klasse Fields
Obligatorisch. - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Empfohlen - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Optional - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

Authentifizierungsspezifische Felder

Feld Klasse type BESCHREIBUNG
LogonMethod Optional String Die zum Durchführen der Authentifizierung verwendete Methode.

Beispiele: Username & Password, PKI
LogonProtocol Optional String Das zum Durchführen der Authentifizierung verwendete Protokoll.

Beispiel: NTLM

Akteurfelder

Feld Klasse type BESCHREIBUNG
ActorUserId Optional String Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Akteurs. Weitere Informationen und alternative Felder für zusätzliche IDs finden Sie unter Die Benutzerentität.

Beispiel: S-1-12-1-4141952679-1282074057-627758481-2916039507
ActorScope Optional String Der Bereich, z. B. der Microsoft Entra-Mandant, in dem ActorUserId und ActorUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht.
ActorScopeId Optional String Die Bereichs-ID, z. B. die Microsoft Entra Directory-ID, in der ActorUserId und ActorUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht.
ActorUserIdType Bedingt UserIdType Der Typ der ID, die im Feld ActorUserId gespeichert ist. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserIdType im Artikel „Schemaübersicht“.
ActorUsername Optional Username Der Benutzername des Akteurs ggf. mit Informationen zur Domäne. Weitere Informationen finden Sie unter Benutzerentität.

Beispiel: AlbertE
ActorUsernameType Bedingt UsernameType Gibt den Typ des Benutzernamens an, der im Feld ActorUsername gespeichert ist. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UsernameType im Artikel „Schemaübersicht“.

Beispiel: Windows
ActorUserType Optional UserType Der Typ des Akteurs. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserType im Artikel „Schemaübersicht“.

Beispiel: Guest
ActorOriginalUserType Optional UserType Der Benutzertyp, wie vom Gerät gemeldet.
ActorSessionId Optional String Die eindeutige ID der Anmeldesitzung des Akteurs.

Beispiel: 102pTUgC3p8RIqHvzxLCHnFlg

Felder für „Agierende Anwendung“

Feld Klasse type BESCHREIBUNG
ActingAppId Optional String Die ID der Anwendung, die im Auftrag des Akteurs Autorisierungen durchführt. Dabei kann es sich um einen Prozess, einen Browser oder einen Dienst handeln.

Beispiel: 0x12ae8
ActingAppName Optional String Der Name der Anwendung, die im Auftrag des Akteurs Autorisierungen durchführt. Dabei kann es sich um einen Prozess, einen Browser oder einen Dienst handeln.

Beispiel: C:\Windows\System32\svchost.exe
ActingAppType Optional AppType Der Typ der agierenden Anwendung. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter AppType im Artikel „Schemaübersicht“.
HttpUserAgent Optional String Wenn die Authentifizierung über HTTP oder HTTPS erfolgt, entspricht der Wert dieses Felds dem HTTP-Header „user_agent“, der von der agierenden Anwendung beim Durchführen der Authentifizierung bereitgestellt wird.

Beispiel: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

Zielbenutzerfelder

Feld Klasse type Beschreibung
TargetUserId Optional UserId Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Zielbenutzers. Weitere Informationen und alternative Felder für zusätzliche IDs finden Sie unter Die Benutzerentität.

Beispiel: 00urjk4znu3BcncfY0h7
TargetUserScope Optional String Der Bereich, z. B. der Microsoft Entra-Mandant, in dem TargetUserId und TargetUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht.
TargetUserScopeId Optional String Die Bereichs-ID, z. B. die Microsoft Entra-ID, in der TargetUserId und TargetUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht.
TargetUserIdType Bedingt UserIdType Der Typ der Benutzer-ID, die im Feld TargetUserId gespeichert ist. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserIdType im Artikel „Schemaübersicht“.

Beispiel: SID
TargetUsername Optional Username Der Benutzername des Zielbenutzers ggf. mit Informationen zur Domäne. Weitere Informationen finden Sie unter Benutzerentität.

Beispiel: MarieC
TargetUsernameType Bedingt UsernameType Gibt den Typ des Benutzernamens an, der im Feld TargetUsername gespeichert ist. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UsernameType im Artikel „Schemaübersicht“.
TargetUserType Optional UserType Der Typ des Zielbenutzers. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserType im Artikel „Schemaübersicht“.

Beispiel: Member
TargetSessionId Optional String Der Bezeichner für die Anmeldesitzung des Zielbenutzers auf dem Quellgerät.
TargetOriginalUserType Optional UserType Der Benutzertyp, wie vom Gerät gemeldet.
Benutzer Alias Username Alias für den TargetUsername oder die TargetUserId, wenn TargetUsername nicht definiert ist.

Beispiel: CONTOSO\dadmin

Felder für „Quellsystem“

Feld Klasse type BESCHREIBUNG
Src Empfohlen String Der eindeutige Bezeichner des Quellgeräts.

Dieses Feld kann ein Alias für die Felder SrcDvcId, SrcHostname oder SrcIpAddr sein.

Beispiel: 192.168.12.1
SrcDvcId Optional String Die ID des Quellgeräts. Wenn mehrere IDs verfügbar sind, verwenden Sie die wichtigste, und speichern Sie die anderen in den Feldern SrcDvc<DvcIdType>.

Beispiel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId Optional String Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
SrcDvcScope Optional String Der Cloudplattformbereich, zu dem das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
SrcDvcIdType Bedingt DvcIdType Der Typ von SrcDvcId. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType im Artikel „Schemaübersicht“.

Hinweis: Dieses Feld ist erforderlich, wenn das Feld SrcDvcId verwendet wird.
SrcDeviceType Optional DeviceType Der Typ des Quellgeräts. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DeviceType im Artikel „Schemaübersicht“.
SrcHostname Empfohlen Hostname Der Hostname des Quellgeräts ohne Domäneninformationen. Wenn kein Gerätename verfügbar ist, speichern Sie die entsprechende IP-Adresse in diesem Feld.

Beispiel: DESKTOP-1282V4D
SrcDomain Empfohlen String Die Domäne des Quellgeräts.

Beispiel: Contoso
SrcDomainType Bedingt DomainType Der Typ von SrcDomain. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DomainType im Artikel „Schemaübersicht“.

Erforderlich, wenn SrcDomain verwendet wird.
SrcFQDN Optional String Der Hostname des Quellgeräts ggf. mit Informationen zur Domäne.

Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format „Domäne\Hostname“. Das Feld SrcDomainType spiegelt das verwendete Format wider.

Beispiel: Contoso\DESKTOP-1282V4D
SrcDescription Optional String Ein mit dem Gerät verknüpfter beschreibender Text. Beispiel: Primary Domain Controller.
SrcIpAddr Optional IP-Adresse Die IP-Adresse des Quellgeräts.

Beispiel: 2.2.2.2
SrcPortNumber Optional Integer Der IP-Port, von dem die Verbindung stammt.

Beispiel: 2335
SrcDvcOs Optional String Das Betriebssystem des Quellgeräts.

Beispiel: Windows 10
IpAddr Alias Alias für SrcIpAddr
SrcIsp Optional String Der Internetdienstanbieter (Internet Service Provider, ISP), der vom Quellgerät zum Herstellen einer Internetverbindung verwendet wird.

Beispiel: corpconnect
SrcGeoCountry Optional Land Beispiel: Canada

Weitere Informationen finden Sie unter Logische Typen.
SrcGeoCity Optional City Beispiel: Montreal

Weitere Informationen finden Sie unter Logische Typen.
SrcGeoRegion Optional Region Beispiel: Quebec

Weitere Informationen finden Sie unter Logische Typen.
SrcGeoLongtitude Optional Längengrad Beispiel: -73.614830

Weitere Informationen finden Sie unter Logische Typen.
SrcGeoLatitude Optional Breitengrad Beispiel: 45.505918

Weitere Informationen finden Sie unter Logische Typen.
SrcRiskLevel Optional Integer Die der Quelle zugeordnete Risikostufe. Der Wert sollte auf einen Bereich zwischen 0 und 100 angepasst werden, wobei 0 unbedenklich ist und 100 ein hohes Risiko darstellt.

Beispiel: 90
SrcOriginalRiskLevel Optional Integer Das mit der Quelle verbundene Risikolevel, wie vom Gerät gemeldet.

Beispiel: Suspicious

Zielanwendungsfelder

Feld Klasse type BESCHREIBUNG
TargetAppId Optional String Die ID der Anwendung, für die die Autorisierung erforderlich ist und die häufig vom meldenden Gerät zugewiesen wird.

Beispiel: 89162
TargetAppName Optional String Der Name der Anwendung, für die die Autorisierung erforderlich ist. Dabei kann es sich um einen Dienst, eine URL oder eine SaaS-Anwendung handeln.

Beispiel: Saleforce
TargetAppType Optional AppType Der Typ der Anwendung, die im Auftrag des Akteurs Autorisierungen durchführt. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter AppType im Artikel „Schemaübersicht“.
TargetUrl Optional URL Die der Zielanwendung zugeordnete URL.

Beispiel: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b
LogonTarget Alias Alias für TargetAppName, TargetUrl oder TargetHostname, je nachdem, mit welchem Feld das Authentifizierungsziel am besten beschrieben wird.

Felder für „Zielsystem“

Feld Klasse type BESCHREIBUNG
Dst Alias String Ein eindeutiger Bezeichner des Authentifizierungsziels.

Dieses Feld kann einen Alias für die Felder TargetDvcld, TargetHostname, TargetIpAddr, TargetAppId oder TargetAppName enthalten.

Beispiel: 192.168.12.1
TargetHostname Empfohlen Hostname Der Hostname des Zielgeräts ohne Domäneninformationen.

Beispiel: DESKTOP-1282V4D
TargetDomain Empfohlen String Die Domäne des Zielgeräts.

Beispiel: Contoso
TargetDomainType Bedingt Enumerated Der Typ von TargetDomain. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DomainType im Artikel „Schemaübersicht“.

Erforderlich, wenn TargetDomain verwendet wird.
TargetFQDN Optional String Der Hostname des Zielgeräts ggf. mit Informationen zur Domäne.

Beispiel: Contoso\DESKTOP-1282V4D

Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format „Domäne\Hostname“. TargetDomainType spiegelt das verwendete Format wider.
TargetDescription Optional String Ein mit dem Gerät verknüpfter beschreibender Text. Beispiel: Primary Domain Controller.
TargetDvcId Optional String Die ID des Zielgeräts Wenn mehrere IDs verfügbar sind, verwenden Sie die wichtigste, und speichern Sie die anderen in den Feldern TargetDvc<DvcIdType>.

Beispiel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
TargetDvcScopeId Optional String Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. TargetDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
TargerDvcScope Optional String Der Cloudplattformbereich, zu dem das Gerät gehört. TargetDvcScope wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
TargetDvcIdType Bedingt Enumerated Der Typ von TargetDvcId. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType im Artikel „Schemaübersicht“.

Erforderlich, wenn TargetDeviceId verwendet wird.
TargetDeviceType Optional Enumerated Der Typ des Zielgeräts. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DeviceType im Artikel „Schemaübersicht“.
TargetIpAddr Optional IP-Adresse Die IP-Adresse des Zielgeräts.

Beispiel: 2.2.2.2
TargetDvcOs Optional String Das Betriebssystem des Zielgeräts.

Beispiel: Windows 10
TargetPortNumber Optional Integer Der Port des Zielgeräts.
TargetGeoCountry Optional Land Das Land/die Region, das bzw. die der Ziel-IP-Adresse zugeordnet ist.

Beispiel: USA
TargetGeoRegion Optional Region Die der Ziel-IP-Adresse zugeordnete Region.

Beispiel: Vermont
TargetGeoCity Optional City Die Stadt, die der Ziel-IP-Adresse zugeordnet ist.

Beispiel: Burlington
TargetGeoLatitude Optional Breitengrad Der Breitengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist.

Beispiel: 44.475833
TargetGeoLongitude Optional Längengrad Der Längengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist.

Beispiel: 73.211944
TargetRiskLevel Optional Integer Die dem Ziel zugeordnete Risikostufe. Der Wert sollte auf einen Bereich zwischen 0 und 100 angepasst werden, wobei 0 unbedenklich ist und 100 ein hohes Risiko darstellt.

Beispiel: 90
TargetOriginalRiskLevel Optional Integer Die dem Ziel zugeordnete Risikostufe, wie vom Gerät gemeldet.

Beispiel: Suspicious

Inspektionsfelder

Die folgenden Felder werden verwendet, um die Überprüfung darzustellen, die von einem Sicherheitssystem durchgeführt wird.

Feld Klasse type BESCHREIBUNG
RuleName Optional String Der Name oder die ID der Regel, die den Inspektionsergebnissen zugeordnet ist.
RuleNumber Optional Integer Die Nummer der Regel, die den Inspektionsergebnissen zugeordnet ist.
Regel Alias String Entweder der Wert von RuleName oder der Wert von RuleNumber. Bei Verwendung des Werts RuleNumber sollte der Typ in eine Zeichenfolge konvertiert werden.
ThreatId Optional String Die ID der in der Überwachungsaktivität identifizierten Bedrohung oder Schadsoftware
ThreatName Optional String Der Name der in der Überwachungsaktivität identifizierten Bedrohung oder Schadsoftware
ThreatCategory Optional String Die Kategorie der in der Überwachungsdateiaktivität identifizierten Bedrohung oder Schadsoftware
ThreatRiskLevel Optional Integer Die Risikostufe, die der identifizierten Bedrohung zugeordnet ist. Hierbei muss es sich um eine Zahl zwischen 0 und 100 handeln.

Hinweis: Der Wert ist im Quelldatensatz möglicherweise in einer anderen Skala angegeben und muss auf diese Skala normalisiert werden. Der ursprüngliche Wert muss im Feld ThreatRiskLevelOriginal gespeichert werden.
ThreatOriginalRiskLevel Optional String Die Risikostufe, wie vom meldenden Gerät gemeldet.
ThreatConfidence Optional Integer Die Konfidenzstufe der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100
ThreatOriginalConfidence Optional String Die ursprüngliche Konfidenzstufe der identifizierten Bedrohung, wie vom meldenden Gerät gemeldet.
ThreatIsActive Optional Boolean TRUE, wenn die identifizierte Bedrohung als aktive Bedrohung betrachtet wird.
ThreatFirstReportedTime Optional datetime Das erste Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde
ThreatLastReportedTime Optional datetime Das letzte Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde
ThreatIpAddr Optional IP-Adresse Eine IP-Adresse, für die eine Bedrohung identifiziert wurde. Das Feld ThreatField enthält den Namen des Felds, das ThreatIpAddr darstellt.
ThreatField Optional Enumerated Das Feld, für das eine Bedrohung identifiziert wurde. Der Wert lautet entweder SrcIpAddr oder TargetIpAddr.

Schemaupdates

In der Version 0.1.1 des Schemas wurde Folgendes geändert:

  • Benutzer- und Geräteentitätsfelder wurden aktualisiert, um sie an andere Schemas anzupassen.
  • Umbenennung von TargetDvc und SrcDvc in Target und Src, um sich an die aktuellen ASIM-Richtlinien anzupassen. Die umbenannten Felder werden bis zum 1. Juli 2022 als Aliase implementiert. Diese Felder umfassen: SrcDvcHostname, SrcDvcHostnameType, SrcDvcType, SrcDvcIpAddr, TargetDvcHostname, TargetDvcHostnameType, TargetDvcType, TargetDvcIpAddr und TargetDvc.
  • Die Aliase Src und Dst wurden hinzugefügt.
  • Die Felder SrcDvcIdType, SrcDeviceType, TargetDvcIdType, TargetDeviceType und EventSchema wurden hinzugefügt.

Dies sind die Änderungen in Version 0.1.2 des Schemas:

  • Die Felder ActorScope, TargetUserScope, SrcDvcScopeId, SrcDvcScope, TargetDvcScopeId, TargetDvcScope, DvcScopeId und DvcScope wurden hinzugefügt.

Dies sind die Änderungen in Version 0.1.3 des Schemas:

  • Die Felder SrcPortNumber, ActorOriginalUserType, ActorScopeId, TargetOriginalUserType, TargetUserScopeId, SrcDescription, SrcRiskLevel, SrcOriginalRiskLevel und TargetDescription wurden hinzugefügt.
  • Inspektionsfelder wurden hinzugefügt.
  • Geostandortfelder des Zielsystems wurden hinzugefügt.

Nächste Schritte

Weitere Informationen finden Sie unter