Partilhar via


A referência do esquema de normalização da autenticação ASIM (Advanced Security Information Model) (visualização pública)

O esquema de Autenticação do Microsoft Sentinel é usado para descrever eventos relacionados à autenticação do usuário, entrada e saída. Os eventos de autenticação são enviados por muitos dispositivos de relatório, geralmente como parte do fluxo de eventos junto com outros eventos. Por exemplo, o Windows envia vários eventos de autenticação juntamente com outros eventos de atividade do SO.

Os eventos de autenticação incluem eventos de sistemas que se concentram na autenticação, como gateways VPN ou controladores de domínio, e autenticação direta para um sistema final, como um computador ou firewall.

Para obter mais informações sobre normalização no Microsoft Sentinel, consulte Normalização e o modelo avançado de informações de segurança (ASIM).

Importante

O esquema de normalização de autenticação está atualmente em visualização. Esse recurso é fornecido sem um contrato de nível de serviço e não é recomendado para cargas de trabalho de produção.

Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Analisadores

Implante analisadores de autenticação ASIM a partir do repositório GitHub do Microsoft Sentinel. Para obter mais informações sobre analisadores ASIM, consulte os artigos Visão geral dos analisadores ASIM.

Analisadores unificadores

Para usar analisadores que unifiquem todos os analisadores ASIM prontos para uso e garantir que sua análise seja executada em todas as fontes configuradas, use o imAuthentication analisador de filtragem ou o ASimAuthentication analisador sem parâmetros.

Analisadores específicos da fonte

Para obter a lista de analisadores de autenticação fornecidos pelo Microsoft Sentinel, consulte a lista de analisadores ASIM:

Adicione seus próprios analisadores normalizados

Ao implementar analisadores personalizados para o modelo de informações de autenticação, nomeie suas funções KQL usando a seguinte sintaxe:

  • vimAuthentication<vendor><Product> para filtrar analisadores
  • ASimAuthentication<vendor><Product> para analisadores sem parâmetros

Para obter informações sobre como adicionar seus analisadores personalizados ao analisador unificador, consulte Gerenciando analisadores ASIM.

Parâmetros do analisador de filtragem

Os im analisadores e vim* suportam parâmetros de filtragem. Embora esses analisadores sejam opcionais, eles podem melhorar o desempenho da consulta.

Os seguintes parâmetros de filtragem estão disponíveis:

Nome Tipo Description
Hora de início datetime Filtre apenas eventos de autenticação executados durante ou após esse período.
tempo de fim datetime Filtre apenas os eventos de autenticação que terminaram a execução durante ou antes desse período.
targetusername_has string Filtre apenas eventos de autenticação que tenham qualquer um dos nomes de usuário listados.

Por exemplo, para filtrar apenas eventos de autenticação do último dia para um usuário específico, use:

imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())

Gorjeta

Para passar uma lista literal para parâmetros que esperam um valor dinâmico, use explicitamente um literal dinâmico. Por exemplo: dynamic(['192.168.','10.']).

Conteúdo normalizado

As regras analíticas de autenticação normalizada são exclusivas, pois detetam ataques entre fontes. Assim, por exemplo, se um utilizador tiver iniciado sessão em sistemas diferentes, não relacionados, de diferentes países/regiões, o Microsoft Sentinel irá agora detetar esta ameaça.

Para obter uma lista completa das regras de análise que usam eventos de Autenticação normalizados, consulte Conteúdo de segurança do esquema de autenticação.

Descrição geral do esquema

O modelo de informações de autenticação está alinhado com o esquema de entidade de logon OSSEM.

Os campos listados na tabela abaixo são específicos para eventos de autenticação, mas são semelhantes aos campos em outros esquemas e seguem convenções de nomenclatura semelhantes.

Os eventos de autenticação fazem referência às seguintes entidades:

  • TargetUser - As informações do usuário usadas para autenticar no sistema. O TargetSystem é o assunto principal do evento de autenticação e o alias User aliases um TargetUser identificado.
  • TargetApp - O aplicativo autenticado em.
  • Target - O sistema no qual o TargetApp* está sendo executado.
  • Ator - O utilizador que inicia a autenticação, se for diferente de TargetUser.
  • ActingApp - O aplicativo usado pelo Ator para realizar a autenticação.
  • Src - O sistema usado pelo Ator para iniciar a autenticação.

A relação entre estas entidades é melhor demonstrada da seguinte forma:

Um ator, executando um aplicativo atuante, ActingApp, em um sistema de origem, Src, tenta autenticar como um TargetUser para um aplicativo de destino, TargetApp, em um sistema de destino, TargetDvc.

Detalhes do esquema

Nas tabelas a seguir, Type refere-se a um tipo lógico. Para obter mais informações, consulte Tipos lógicos.

Campos ASIM comuns

Importante

Os campos comuns a todos os esquemas são descritos em detalhes no artigo Campos comuns do ASIM.

Domínios comuns com orientações específicas

A lista a seguir menciona campos que têm diretrizes específicas para eventos de autenticação:

Campo Classe Tipo Description
Tipo de Evento Obrigatório Enumerated Descreve a operação relatada pelo registro.

Para registros de autenticação, os valores suportados incluem:
- Logon
- Logoff
- Elevate
EventResultDetails Recomendado String Os detalhes associados ao resultado do evento. Este campo é normalmente preenchido quando o resultado é uma falha.

Os valores permitidos incluem:
- No such user or password. Esse valor deve ser usado também quando o evento original informa que não há tal usuário, sem referência a uma senha.
- No such user
- Incorrect password
- Incorrect key
- Account expired
- Password expired
- User locked
- User disabled
- Logon violates policy. Esse valor deve ser usado quando o evento original relata, por exemplo: MFA necessário, logon fora do horário de trabalho, restrições de acesso condicional ou tentativas muito frequentes.
- Session expired
- Other

O valor pode ser fornecido no registro de origem usando termos diferentes, que devem ser normalizados para esses valores. O valor original deve ser armazenado no campo EventOriginalResultDetails
SubTipo de Evento Opcional String O tipo de início de sessão. Os valores permitidos incluem:
- System
- Interactive
- RemoteInteractive
- Service
- RemoteService
- Remote - Use quando o tipo de login remoto é desconhecido.
- AssumeRole - Normalmente usado quando o tipo de evento é Elevate.

O valor pode ser fornecido no registro de origem usando termos diferentes, que devem ser normalizados para esses valores. O valor original deve ser armazenado no campo EventOriginalSubType.
EventSchemaVersion Obrigatório String A versão do esquema. A versão do esquema documentada aqui é 0.1.3
EventSchema Obrigatório String O nome do esquema documentado aqui é Autenticação.
Campos Dvc - - Para eventos de autenticação, os campos de dispositivo referem-se ao sistema que relata o evento.

Todos os campos comuns

Os campos que aparecem na tabela abaixo são comuns a todos os esquemas ASIM. Qualquer diretriz especificada acima substitui as diretrizes gerais para o campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais detalhes sobre cada campo, consulte o artigo Campos comuns do ASIM.

Classe Campos
Obrigatório - EventCount
- EventStartTime
- EventEndTime
- Tipo de Evento
- EventResult
- EventoProduto
- EventVendor
- EventSchema
- EventSchemaVersion
- DVC
Recomendado - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcNome do host
- DvcDomínio
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Opcional - EventMessage
- SubTipo de Evento
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- Proprietário do Evento
- DvcZona
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- Campos Adicionais
- DvcDescrição
- DvcScopeId
- DvcScope

Campos específicos de autenticação

Campo Classe Tipo Description
Método Logon Opcional String O método usado para executar a autenticação.

Exemplos: Username & Password, PKI
Protocolo de logon Opcional String O protocolo usado para executar a autenticação.

Exemplo: NTLM

Campos de atores

Campo Classe Tipo Description
ActorUserId Opcional String Uma representação única, alfanumérica e legível por máquina do Ator. Para obter mais informações e campos alternativos para IDs adicionais, consulte A entidade Usuário.

Exemplo: S-1-12-1-4141952679-1282074057-627758481-2916039507
ActorScope Opcional String O escopo, como o locatário do Microsoft Entra, no qual ActorUserId e ActorUsername são definidos. ou mais informações e lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema.
ActorScopeId Opcional String A ID do escopo, como a ID do Diretório do Microsoft Entra, na qual ActorUserId e ActorUsername são definidos. para obter mais informações e uma lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema.
ActorUserIdType Condicional UserIdType O tipo de ID armazenado no campo ActorUserId . Para obter mais informações e uma lista de valores permitidos, consulte UserIdType no artigo Visão geral do esquema.
ActorUsername Opcional Username O nome de usuário do ator, incluindo informações de domínio, quando disponíveis. Para obter mais informações, consulte A entidade Usuário.

Exemplo: AlbertE
ActorUsernameType Condicional UsernameType Especifica o tipo do nome de usuário armazenado no campo ActorUsername . Para obter mais informações e uma lista de valores permitidos, consulte UsernameType no artigo Visão geral do esquema.

Exemplo: Windows
ActorUserType Opcional UserType O tipo do ator. Para obter mais informações e uma lista de valores permitidos, consulte UserType no artigo Visão geral do esquema.

Por exemplo: Guest
ActorOriginalUserType Opcional UserType O tipo de usuário conforme relatado pelo dispositivo de relatório.
ActorSessionId Opcional String O ID exclusivo da sessão de entrada do Ator.

Exemplo: 102pTUgC3p8RIqHvzxLCHnFlg

Campos Aplicação em Atuação

Campo Classe Tipo Description
ActingAppId Opcional String A ID do aplicativo que autoriza em nome do ator, incluindo um processo, navegador ou serviço.

Por exemplo: 0x12ae8
ActingAppName Opcional String O nome do aplicativo que autoriza em nome do ator, incluindo um processo, navegador ou serviço.

Por exemplo: C:\Windows\System32\svchost.exe
ActingAppType Opcional Tipo de aplicativo O tipo de aplicação atuante. Para obter mais informações e uma lista de valores permitidos, consulte AppType no artigo Visão geral do esquema.
HttpUserAgent Opcional String Quando a autenticação é executada por HTTP ou HTTPS, o valor desse campo é o cabeçalho HTTP user_agent fornecido pelo aplicativo que atua ao executar a autenticação.

Por exemplo: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

Campos de utilizador alvo

Campo Classe Tipo Description
TargetUserId Opcional UserId Uma representação única, alfanumérica e legível por máquina do utilizador alvo. Para obter mais informações e campos alternativos para IDs adicionais, consulte A entidade Usuário.

Exemplo: 00urjk4znu3BcncfY0h7
TargetUserScope Opcional String O escopo, como o locatário do Microsoft Entra, no qual TargetUserId e TargetUsername são definidos. ou mais informações e lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema.
TargetUserScopeId Opcional String A ID do escopo, como a ID do Diretório do Microsoft Entra, na qual TargetUserId e TargetUsername são definidos. para obter mais informações e uma lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema.
TargetUserIdType Condicional UserIdType O tipo de ID de usuário armazenado no campo TargetUserId . Para obter mais informações e uma lista de valores permitidos, consulte UserIdType no artigo Visão geral do esquema.

Exemplo: SID
TargetUsername Opcional Username O nome de usuário de destino, incluindo informações de domínio, quando disponíveis. Para obter mais informações, consulte A entidade Usuário.

Exemplo: MarieC
TargetUsernameType Condicional UsernameType Especifica o tipo do nome de usuário armazenado no campo TargetUsername . Para obter mais informações e uma lista de valores permitidos, consulte UsernameType no artigo Visão geral do esquema.
TargetUserType Opcional UserType O tipo do usuário de destino. Para obter mais informações e uma lista de valores permitidos, consulte UserType no artigo Visão geral do esquema.

Por exemplo: Member
TargetSessionId Opcional String O identificador de sessão de entrada do TargetUser no dispositivo de origem.
TargetOriginalUserType Opcional UserType O tipo de usuário conforme relatado pelo dispositivo de relatório.
Utilizador Alias Username Alias para o TargetUsername ou para o TargetUserId se TargetUsername não estiver definido.

Exemplo: CONTOSO\dadmin

Campos do sistema de origem

Campo Classe Tipo Description
Src Recomendado String Um identificador exclusivo do dispositivo de origem.

Este campo pode usar o alias dos campos SrcDvcId, SrcHostname ou SrcIpAddr .

Exemplo: 192.168.12.1
SrcDvcId Opcional String A ID do dispositivo de origem. Se vários IDs estiverem disponíveis, use o mais importante e armazene os outros nos campos SrcDvc<DvcIdType>.

Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId Opcional String O ID de escopo da plataforma de nuvem ao qual o dispositivo pertence. O SrcDvcScopeId é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS.
SrcDvcScope Opcional String O escopo da plataforma de nuvem ao qual o dispositivo pertence. O SrcDvcScope é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS.
SrcDvcIdType Condicional DvcIdType O tipo de SrcDvcId. Para obter uma lista de valores permitidos e mais informações, consulte DvcIdType no artigo Visão geral do esquema.

Nota: Este campo é obrigatório se SrcDvcId for usado.
SrcDeviceType Opcional Tipo de dispositivo O tipo do dispositivo de origem. Para obter uma lista de valores permitidos e mais informações, consulte DeviceType no artigo Visão geral do esquema.
SrcHostname Recomendado Hostname (Nome do anfitrião) O nome de host do dispositivo de origem, excluindo informações de domínio. Se nenhum nome de dispositivo estiver disponível, armazene o endereço IP relevante neste campo.

Exemplo: DESKTOP-1282V4D
Domínio Src Recomendado String O domínio do dispositivo de origem.

Exemplo: Contoso
SrcDomainType Condicional Tipo de domínio O tipo de SrcDomain. Para obter uma lista de valores permitidos e mais informações, consulte DomainType no artigo Visão geral do esquema.

Necessário se SrcDomain for usado.
SrcFQDN Opcional String O nome de host do dispositivo de origem, incluindo informações de domínio, quando disponíveis.

Nota: Este campo suporta o formato FQDN tradicional e o formato domínio\nome de anfitrião do Windows. O campo SrcDomainType reflete o formato usado.

Exemplo: Contoso\DESKTOP-1282V4D
SrcDescrição Opcional String Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller.
SrcIpAddr Opcional Endereço IP O endereço IP do dispositivo de origem.

Exemplo: 2.2.2.2
SrcPortNumber Opcional Número inteiro A porta IP da qual a conexão se originou.

Exemplo: 2335
SrcDvcOs Opcional String O SO do dispositivo de origem.

Exemplo: Windows 10
IpAddr Alias Alias para SrcIpAddr
SrcIsp Opcional String O provedor de serviços de Internet (ISP) usado pelo dispositivo de origem para se conectar à Internet.

Exemplo: corpconnect
SrcGeoCountry Opcional País Exemplo: Canada

Para obter mais informações, consulte Tipos lógicos.
SrcGeoCity Opcional City Exemplo: Montreal

Para obter mais informações, consulte Tipos lógicos.
SrcGeoRegion Opcional País/Região Exemplo: Quebec

Para obter mais informações, consulte Tipos lógicos.
SrcGeoLongtitude Opcional Longitude Exemplo: -73.614830

Para obter mais informações, consulte Tipos lógicos.
SrcGeoLatitude Opcional Latitude Exemplo: 45.505918

Para obter mais informações, consulte Tipos lógicos.
SrcRiskLevel Opcional Número inteiro O nível de risco associado à fonte. O valor deve ser ajustado para uma faixa de 0 , com 0 para benigno 100e 100 para um alto risco.

Exemplo: 90
SrcOriginalRiskLevel Opcional Número inteiro O nível de risco associado à fonte, conforme relatado pelo dispositivo de relatório.

Exemplo: Suspicious

Campos do aplicativo de destino

Campo Classe Tipo Description
TargetAppId Opcional String O ID do aplicativo para o qual a autorização é necessária, geralmente atribuído pelo dispositivo de relatório.

Exemplo: 89162
TargetAppName Opcional String O nome do aplicativo para o qual a autorização é necessária, incluindo um serviço, uma URL ou um aplicativo SaaS.

Exemplo: Saleforce
TargetAppType Opcional Tipo de aplicativo O tipo de pedido que autoriza em nome do Ator. Para obter mais informações e uma lista de valores permitidos, consulte AppType no artigo Visão geral do esquema.
TargetUrl Opcional URL A URL associada ao aplicativo de destino.

Exemplo: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b
LogonTarget Alias Alias para TargetAppName, TargetUrl ou TargetHostname, o campo que melhor descrever o destino de autenticação.

Campos do sistema de destino

Campo Classe Tipo Description
Dst Alias String Um identificador exclusivo do destino de autenticação.

Este campo pode usar o alias dos campos TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId ou TargetAppName .

Exemplo: 192.168.12.1
TargetHostname Recomendado Hostname (Nome do anfitrião) O nome de host do dispositivo de destino, excluindo informações de domínio.

Exemplo: DESKTOP-1282V4D
Domínio-alvo Recomendado String O domínio do dispositivo de destino.

Exemplo: Contoso
TargetDomainType Condicional Enumerated O tipo de TargetDomain. Para obter uma lista de valores permitidos e mais informações, consulte DomainType no artigo Visão geral do esquema.

Necessário se TargetDomain for usado.
TargetFQDN Opcional String O nome de host do dispositivo de destino, incluindo informações de domínio, quando disponíveis.

Exemplo: Contoso\DESKTOP-1282V4D

Nota: Este campo suporta o formato FQDN tradicional e o formato domínio\nome de anfitrião do Windows. O TargetDomainType reflete o formato usado.
Descrição do alvo Opcional String Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller.
TargetDvcId Opcional String O ID do dispositivo de destino. Se vários IDs estiverem disponíveis, use o mais importante e armazene os outros nos campos TargetDvc<DvcIdType>.

Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
TargetDvcScopeId Opcional String O ID de escopo da plataforma de nuvem ao qual o dispositivo pertence. O TargetDvcScopeId é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS.
TargerDvcScope Opcional String O escopo da plataforma de nuvem ao qual o dispositivo pertence. O TargetDvcScope é mapeado para um ID de assinatura no Azure e para um ID de conta na AWS.
TargetDvcIdType Condicional Enumerated O tipo de TargetDvcId. Para obter uma lista de valores permitidos e mais informações, consulte DvcIdType no artigo Visão geral do esquema.

Necessário se TargetDeviceId for usado.
TargetDeviceType Opcional Enumerated O tipo do dispositivo alvo. Para obter uma lista de valores permitidos e mais informações, consulte DeviceType no artigo Visão geral do esquema.
TargetIpAddr Opcional Endereço IP O endereço IP do dispositivo de destino.

Exemplo: 2.2.2.2
TargetDvcOs Opcional String O sistema operacional do dispositivo de destino.

Exemplo: Windows 10
TargetPortNumber Opcional Número inteiro A porta do dispositivo de destino.
TargetGeoCountry Opcional País O país associado ao endereço IP de destino.

Exemplo: USA
TargetGeoRegion Opcional País/Região A região associada ao endereço IP de destino.

Exemplo: Vermont
TargetGeoCity Opcional City A cidade associada ao endereço IP de destino.

Exemplo: Burlington
TargetGeoLatitude Opcional Latitude A latitude da coordenada geográfica associada ao endereço IP de destino.

Exemplo: 44.475833
TargetGeoLongitude Opcional Longitude A longitude da coordenada geográfica associada ao endereço IP de destino.

Exemplo: 73.211944
TargetRiskLevel Opcional Número inteiro O nível de risco associado ao alvo. O valor deve ser ajustado para uma faixa de 0 , com 0 para benigno 100e 100 para um alto risco.

Exemplo: 90
TargetOriginalRiskLevel Opcional Número inteiro O nível de risco associado ao alvo, conforme relatado pelo dispositivo de relatório.

Exemplo: Suspicious

Campos de inspeção

Os campos a seguir são usados para representar a inspeção realizada por um sistema de segurança.

Campo Classe Tipo Description
RuleName Opcional String O nome ou ID da regra associado aos resultados da inspeção.
Número da regra Opcional Número inteiro O número da regra associada aos resultados da inspeção.
Regra Alias String O valor de RuleName ou o valor de RuleNumber. Se o valor de RuleNumber for usado, o tipo deve ser convertido em string.
ThreatId Opcional String O ID da ameaça ou malware identificado na atividade de auditoria.
Nome da Ameaça Opcional String O nome da ameaça ou malware identificado na atividade de auditoria.
ThreatCategory Opcional String A categoria da ameaça ou malware identificado na atividade do arquivo de auditoria.
ThreatRiskLevel Opcional Número inteiro O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100.

Nota: O valor pode ser fornecido no registro de origem usando uma escala diferente, que deve ser normalizada para essa escala. O valor original deve ser armazenado em ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel Opcional String O nível de risco comunicado pelo dispositivo de notificação.
ThreatConfidence Opcional Número inteiro O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100.
ThreatOriginalConfidence Opcional String O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório.
ThreatIsActive Opcional Boolean True se a ameaça identificada for considerada uma ameaça ativa.
ThreatFirstReportedTime Opcional datetime A primeira vez que o endereço IP ou domínio foram identificados como uma ameaça.
ThreatLastReportedTime Opcional datetime A última vez que o endereço IP ou domínio foi identificado como uma ameaça.
ThreatIpAddr Opcional Endereço IP Um endereço IP para o qual foi identificada uma ameaça. O campo ThreatField contém o nome do campo que ThreatIpAddr representa.
Campo de Ameaças Opcional Enumerated O campo para o qual foi identificada uma ameaça. O valor é ou SrcIpAddr TargetIpAddr.

Atualizações de esquema

Estas são as alterações na versão 0.1.1 do esquema:

  • Campos de entidade de usuário e dispositivo atualizados para alinhamento com outros esquemas.
  • Renomeado TargetDvc e SrcDvc para, e Src respectivamenteTarget, para alinhar com as diretrizes atuais do ASIM. Os campos renomeados serão implementados como aliases até 1º de julho de 2022. Esses campos incluem: SrcDvcHostname, SrcDvcHostnameType, SrcDvcType, SrcDvcIpAddr, TargetDvcHostname, TargetDvcHostnameType, TargetDvcType, TargetDvcIpAddre TargetDvc.
  • Adicionados os aliases Src e Dst.
  • Adicionados os campos SrcDvcIdType, SrcDeviceType, TargetDvcIdType, e TargetDeviceType, e EventSchema.

Estas são as alterações na versão 0.1.2 do esquema:

  • Adicionados os campos ActorScope, TargetUserScope, , SrcDvcScopeIdSrcDvcScope, TargetDvcScopeId, TargetDvcScope, DvcScopeId, e DvcScope.

Estas são as alterações na versão 0.1.3 do esquema:

  • Adicionados os campos SrcPortNumber, , , ActorScopeIdTargetOriginalUserType, , TargetUserScopeIdSrcDescription, SrcRiskLevel, SrcOriginalRiskLevele TargetDescription. ActorOriginalUserType
  • Campos de inspeção adicionados
  • Adicionado campo de geolocalização do sistema de destino.

Próximos passos

Para obter mais informações, consulte: