Schemareferens för autentiseringsnormalisering för Asim (Advanced Security Information Model) (Offentlig förhandsversion)
Microsoft Sentinel-autentiseringsschemat används för att beskriva händelser som rör användarautentisering, inloggning och utloggning. Autentiseringshändelser skickas av många rapporteringsenheter, vanligtvis som en del av händelseströmmen tillsammans med andra händelser. Windows skickar till exempel flera autentiseringshändelser tillsammans med andra os-aktivitetshändelser.
Autentiseringshändelser omfattar både händelser från system som fokuserar på autentisering, till exempel VPN-gatewayer eller domänkontrollanter, och direktautentisering till ett slutsystem, till exempel en dator eller brandvägg.
Mer information om normalisering i Microsoft Sentinel finns i Normalisering och ASIM (Advanced Security Information Model).
Viktigt!
Schemat för autentiseringsnormalisering finns för närvarande i FÖRHANDSVERSION. Den här funktionen tillhandahålls utan ett serviceavtal och rekommenderas inte för produktionsarbetsbelastningar.
Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Tolkar
Distribuera ASIM-autentiseringsparsers från Microsoft Sentinel GitHub-lagringsplatsen. Mer information om ASIM-parsare finns i artiklarna asim parsers overview..
Förena parsers
Om du vill använda parsers som förenar alla ASIM-parsare och ser till att analysen körs över alla konfigurerade källor använder du imAuthentication filtreringsparsern eller parsern ASimAuthentication utan parameter.
Källspecifika parsers
Listan över autentiseringsparsers som Microsoft Sentinel innehåller finns i ASIM-parsningslistan:
Lägg till dina egna normaliserade parsers
När du implementerar anpassade parsers för autentiseringsinformationsmodellen namnger du dina KQL-funktioner med följande syntax:
vimAuthentication<vendor><Product>för filtrering av parsersASimAuthentication<vendor><Product>för parameterlösa parsers
Information om hur du lägger till dina anpassade parsers i den enande parsern finns i Hantera ASIM-parsers.
Filtrera parserparametrar
Parsarna im och vim* stöder filtreringsparametrar. Även om dessa parsers är valfria kan de förbättra frågeprestandan.
Följande filtreringsparametrar är tillgängliga:
| Namn | Type | Beskrivning |
|---|---|---|
| starttime | datetime | Filtrera endast autentiseringshändelser som kördes vid eller efter den här tiden. |
| sluttid | datetime | Filtrera endast autentiseringshändelser som har körts vid eller före den här tiden. |
| targetusername_has | sträng | Filtrera endast autentiseringshändelser som har något av de angivna användarnamnen. |
Om du till exempel bara vill filtrera autentiseringshändelser från den senaste dagen till en viss användare använder du:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Dricks
Om du vill skicka en literallista till parametrar som förväntar sig ett dynamiskt värde använder du uttryckligen en dynamisk literal. Exempel: dynamic(['192.168.','10.']).
Normaliserat innehåll
Normaliserade analysregler för autentisering är unika eftersom de identifierar attacker mellan källor. Om en användare till exempel är inloggad i olika orelaterade system, från olika länder/regioner, identifierar Microsoft Sentinel nu det här hotet.
En fullständig lista över analysregler som använder normaliserade autentiseringshändelser finns i Säkerhetsinnehåll för autentiseringsschema.
Schemaöversikt
Autentiseringsinformationsmodellen är anpassad till OSSEM-inloggningsentitetsschemat.
Fälten som anges i tabellen nedan är specifika för autentiseringshändelser, men liknar fält i andra scheman och följer liknande namngivningskonventioner.
Autentiseringshändelser refererar till följande entiteter:
- TargetUser – användarinformationen som används för att autentisera till systemet. TargetSystem är det primära ämnet för autentiseringshändelsen och aliaset Användaralias som en TargetUser har identifierat.
- TargetApp – programmet som autentiserats till.
- Target – det system som TargetApp* körs på.
- Aktör – Den användare som initierar autentiseringen, om den skiljer sig från TargetUser.
- ActingApp – programmet som används av aktören för att utföra autentiseringen.
- Src – Systemet som används av aktören för att initiera autentiseringen.
Relationen mellan dessa entiteter visas bäst på följande sätt:
En aktör som kör ett tillförordnadt program, ActingApp, i ett källsystem, Src, försöker autentisera som en TargetUser till ett målprogram, TargetApp, på ett målsystem, TargetDvc.
Schemainformation
I följande tabeller refererar Type till en logisk typ. Mer information finns i Logiska typer.
Vanliga ASIM-fält
Viktigt!
Fält som är gemensamma för alla scheman beskrivs i detalj i artikeln vanliga ASIM-fält .
Vanliga fält med specifika riktlinjer
I följande lista nämns fält som har specifika riktlinjer för autentiseringshändelser:
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| EventType | Obligatorisk | Enumerated | Beskriver den åtgärd som rapporterats av posten. För autentiseringsposter finns följande värden som stöds: - Logon - Logoff- Elevate |
| EventResultDetails | Rekommenderat | String | Informationen som är associerad med händelseresultatet. Det här fältet fylls vanligtvis i när resultatet är ett fel. Tillåtna värden är: - No such user or password. Det här värdet bör också användas när den ursprungliga händelsen rapporterar att det inte finns någon sådan användare, utan hänvisning till ett lösenord.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. Det här värdet ska användas när den ursprungliga händelsen rapporterar, till exempel: MFA krävs, inloggning utanför arbetstid, begränsningar för villkorlig åtkomst eller för frekventa försök.- Session expired- OtherVärdet kan anges i källposten med olika termer, som bör normaliseras till dessa värden. Det ursprungliga värdet ska lagras i fältet EventOriginalResultDetails |
| EventSubType | Valfritt | String | Inloggningstypen. Tillåtna värden är: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote – Används när typen av fjärrinloggning är okänd.- AssumeRole – Används vanligtvis när händelsetypen är Elevate. Värdet kan anges i källposten med olika termer, som bör normaliseras till dessa värden. Det ursprungliga värdet ska lagras i fältet EventOriginalSubType. |
| EventSchemaVersion | Obligatorisk | String | Versionen av schemat. Den version av schemat som dokumenteras här är 0.1.3 |
| EventSchema | Obligatorisk | String | Namnet på schemat som dokumenteras här är Autentisering. |
| Dvc-fält | - | - | För autentiseringshändelser refererar enhetsfält till systemet som rapporterar händelsen. |
Alla vanliga fält
Fält som visas i tabellen nedan är gemensamma för alla ASIM-scheman. Alla riktlinjer som anges ovan åsidosätter de allmänna riktlinjerna för fältet. Ett fält kan till exempel vara valfritt i allmänhet, men obligatoriskt för ett specifikt schema. Mer information om varje fält finns i artikeln vanliga ASIM-fält .
| Klass | Fält |
|---|---|
| Obligatorisk | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Rekommenderat | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valfritt | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Autentiseringsspecifika fält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Inloggning | Valfritt | String | Den metod som används för att utföra autentisering. Exempel: Username & Password, PKI |
| LogonProtocol | Valfritt | String | Det protokoll som används för att utföra autentisering. Exempel: NTLM |
Aktörsfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| ActorUserId | Valfritt | String | En maskinläsbar, alfanumerisk, unik representation av aktören. Mer information och alternativa fält för ytterligare ID:n finns i Användarentiteten. Exempel: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Valfritt | String | Omfånget, till exempel Microsoft Entra-klientorganisationen, där ActorUserId och ActorUsername definieras. eller mer information och lista över tillåtna värden, se UserScope i artikeln Schemaöversikt. |
| ActorScopeId | Valfritt | String | Omfångs-ID:t, till exempel Microsoft Entra-katalog-ID, där ActorUserId och ActorUsername definieras. Mer information och lista över tillåtna värden finns i UserScopeId i artikeln Schemaöversikt. |
| ActorUserIdType | Villkorsstyrd | UserIdType | Typen av ID som lagras i fältet ActorUserId . Mer information och lista över tillåtna värden finns i UserIdType i artikeln Schemaöversikt. |
| ActorUsername | Valfritt | Username | Aktörens användarnamn, inklusive domäninformation när det är tillgängligt. Mer information finns i Användarentiteten. Exempel: AlbertE |
| ActorUsernameType | Villkorsstyrd | UsernameType | Anger typen av användarnamn som lagras i fältet ActorUsername . Mer information och en lista över tillåtna värden finns i UsernameType i artikeln Schemaöversikt. Exempel: Windows |
| ActorUserType | Valfritt | UserType | Typen av aktör. Mer information och en lista över tillåtna värden finns i UserType i artikeln Schemaöversikt. Till exempel: Guest |
| ActorOriginalUserType | Valfritt | UserType | Användartypen som rapporteras av rapporteringsenheten. |
| ActorSessionId | Valfritt | String | Det unika ID:t för inloggningssessionen för aktören. Exempel: 102pTUgC3p8RIqHvzxLCHnFlg |
Agerar programfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| ActingAppId | Valfritt | String | ID:t för programmet som auktoriserar för aktörens räkning, inklusive en process, webbläsare eller tjänst. Till exempel: 0x12ae8 |
| ActingAppName | Valfritt | String | Namnet på programmet som auktoriserar åt aktören, inklusive en process, webbläsare eller tjänst. Till exempel: C:\Windows\System32\svchost.exe |
| ActingAppType | Valfritt | AppType | Typ av verkande program. Mer information och tillåten lista över värden finns i AppType i artikeln Schemaöversikt. |
| HttpUserAgent | Valfritt | String | När autentiseringen utförs via HTTP eller HTTPS är det här fältets värde det user_agent HTTP-huvud som tillhandahålls av det tillförordnade programmet när autentiseringen utförs. Till exempel: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Målanvändarfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| TargetUserId | Valfritt | AnvändarID | En maskinläsbar, alfanumerisk, unik representation av målanvändaren. Mer information och alternativa fält för ytterligare ID:n finns i Användarentiteten. Exempel: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | Valfritt | String | Omfånget, till exempel Microsoft Entra-klientorganisationen, där TargetUserId och TargetUsername definieras. eller mer information och lista över tillåtna värden, se UserScope i artikeln Schemaöversikt. |
| TargetUserScopeId | Valfritt | String | Omfångs-ID:t, till exempel Microsoft Entra-katalog-ID, där TargetUserId och TargetUsername definieras. Mer information och lista över tillåtna värden finns i UserScopeId i artikeln Schemaöversikt. |
| TargetUserIdType | Villkorsstyrd | UserIdType | Typen av användar-ID som lagras i fältet TargetUserId . Mer information och lista över tillåtna värden finns i UserIdType i artikeln Schemaöversikt. Exempel: SID |
| TargetUsername | Valfritt | Username | Målanvändarens användarnamn, inklusive domäninformation när det är tillgängligt. Mer information finns i Användarentiteten. Exempel: MarieC |
| TargetUsernameType | Villkorsstyrd | UsernameType | Anger typen av användarnamn som lagras i fältet TargetUsername . Mer information och lista över tillåtna värden finns i UsernameType i artikeln Schemaöversikt. |
| TargetUserType | Valfritt | UserType | Typ av målanvändare. Mer information och en lista över tillåtna värden finns i UserType i artikeln Schemaöversikt. Till exempel: Member |
| TargetSessionId | Valfritt | String | Inloggningssessionsidentifieraren för TargetUser på källenheten. |
| TargetOriginalUserType | Valfritt | UserType | Användartypen som rapporteras av rapporteringsenheten. |
| Användare | Alias | Username | Alias till TargetUsername eller TargetUserId om TargetUsername inte har definierats. Exempel: CONTOSO\dadmin |
Källsystemfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Src | Rekommenderat | String | En unik identifierare för källenheten. Det här fältet kan vara alias för fälten SrcDvcId, SrcHostname eller SrcIpAddr. Exempel: 192.168.12.1 |
| SrcDvcId | Valfritt | String | Källenhetens ID. Om flera ID:er är tillgängliga använder du det viktigaste och lagrar de andra i fälten SrcDvc<DvcIdType>.Exempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Valfritt | String | Molnplattformens omfångs-ID som enheten tillhör. SrcDvcScopeId mappas till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| SrcDvcScope | Valfritt | String | Molnplattformsomfånget som enheten tillhör. SrcDvcScope mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| SrcDvcIdType | Villkorsstyrd | DvcIdType | Typen av SrcDvcId. En lista över tillåtna värden och ytterligare information finns i DvcIdType i artikeln Schemaöversikt. Obs! Det här fältet krävs om SrcDvcId används. |
| SrcDeviceType | Valfritt | DeviceType | Typ av källenhet. En lista över tillåtna värden och ytterligare information finns i DeviceType i artikeln Schemaöversikt. |
| SrcHostname | Rekommenderat | Värdnamn | Källenhetens värdnamn, exklusive domäninformation. Om inget enhetsnamn är tillgängligt lagrar du relevant IP-adress i det här fältet. Exempel: DESKTOP-1282V4D |
| SrcDomain | Rekommenderat | String | Källenhetens domän. Exempel: Contoso |
| SrcDomainType | Villkorsstyrd | DomainType | Typen av SrcDomain. En lista över tillåtna värden och ytterligare information finns i DomainType i artikeln Schemaöversikt. Krävs om SrcDomain används. |
| SrcFQDN | Valfritt | String | Värdnamnet för källenheten, inklusive domäninformation när det är tillgängligt. Obs! Det här fältet stöder både traditionellt FQDN-format och Windows-domän\värdnamnsformat. Fältet SrcDomainType återspeglar det format som används. Exempel: Contoso\DESKTOP-1282V4D |
| SrcDescription | Valfritt | String | En beskrivande text som är associerad med enheten. Exempel: Primary Domain Controller. |
| SrcIpAddr | Valfritt | IP-adress | Källenhetens IP-adress. Exempel: 2.2.2.2 |
| SrcPortNumber | Valfritt | Integer | DEN IP-port som anslutningen kommer från. Exempel: 2335 |
| SrcDvcOs | Valfritt | String | Källenhetens operativsystem. Exempel: Windows 10 |
| IpAddr | Alias | Alias till SrcIpAddr | |
| SrcIsp | Valfritt | String | Internetleverantören (ISP) som används av källenheten för att ansluta till Internet. Exempel: corpconnect |
| SrcGeoCountry | Valfritt | Land | Exempel: Canada Mer information finns i Logiska typer. |
| SrcGeoCity | Valfritt | City | Exempel: Montreal Mer information finns i Logiska typer. |
| SrcGeoRegion | Valfritt | Region | Exempel: Quebec Mer information finns i Logiska typer. |
| SrcGeoLongtitude | Valfritt | Longitud | Exempel: -73.614830 Mer information finns i Logiska typer. |
| SrcGeoLatitude | Valfritt | Latitud | Exempel: 45.505918 Mer information finns i Logiska typer. |
| SrcRiskLevel | Valfritt | Integer | Den risknivå som är associerad med källan. Värdet ska justeras till ett intervall på 0 till , med 0 för godartad och 100 för 100en hög risk.Exempel: 90 |
| SrcOriginalRiskLevel | Valfritt | Integer | Den risknivå som är associerad med källan, enligt rapporteringsenhetens rapporter. Exempel: Suspicious |
Målprogramfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| TargetAppId | Valfritt | String | ID:t för det program som auktoriseringen krävs till, som ofta tilldelas av rapporteringsenheten. Exempel: 89162 |
| TargetAppName | Valfritt | String | Namnet på det program som auktoriseringen krävs för, inklusive en tjänst, en URL eller ett SaaS-program. Exempel: Saleforce |
| TargetAppType | Valfritt | AppType | Typen av program som auktoriserar för aktörens räkning. Mer information och tillåten lista över värden finns i AppType i artikeln Schemaöversikt. |
| TargetUrl | Valfritt | webbadress | URL:en som är associerad med målprogrammet. Exempel: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Alias | Alias till antingen TargetAppName, TargetUrl eller TargetHostname, beroende på vilket fält som bäst beskriver autentiseringsmålet. |
Målsystemfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Dst | Alias | String | En unik identifierare för autentiseringsmålet. Det här fältet kan vara alias för fälten TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId eller TargetAppName . Exempel: 192.168.12.1 |
| TargetHostname | Rekommenderat | Värdnamn | Målenhetens värdnamn, exklusive domäninformation. Exempel: DESKTOP-1282V4D |
| TargetDomain | Rekommenderat | String | Målenhetens domän. Exempel: Contoso |
| TargetDomainType | Villkorsstyrd | Enumerated | Typ av TargetDomain. En lista över tillåtna värden och ytterligare information finns i DomainType i artikeln Schemaöversikt. Krävs om TargetDomain används. |
| TargetFQDN | Valfritt | String | Värdnamnet för målenheten, inklusive domäninformation när det är tillgängligt. Exempel: Contoso\DESKTOP-1282V4D Obs! Det här fältet stöder både traditionellt FQDN-format och Windows-domän\värdnamnsformat. TargetDomainType återspeglar det format som används. |
| TargetDescription | Valfritt | String | En beskrivande text som är associerad med enheten. Exempel: Primary Domain Controller. |
| TargetDvcId | Valfritt | String | Målenhetens ID. Om flera ID:er är tillgängliga använder du det viktigaste och lagrar de andra i fälten TargetDvc<DvcIdType>. Exempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Valfritt | String | Molnplattformens omfångs-ID som enheten tillhör. TargetDvcScopeId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| TargerDvcScope | Valfritt | String | Molnplattformsomfånget som enheten tillhör. TargetDvcScope mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| TargetDvcIdType | Villkorsstyrd | Enumerated | Typ av TargetDvcId. En lista över tillåtna värden och ytterligare information finns i DvcIdType i artikeln Schemaöversikt. Krävs om TargetDeviceId används. |
| TargetDeviceType | Valfritt | Enumerated | Typ av målenhet. En lista över tillåtna värden och ytterligare information finns i DeviceType i artikeln Schemaöversikt. |
| TargetIpAddr | Valfritt | IP-adress | MÅLenhetens IP-adress. Exempel: 2.2.2.2 |
| TargetDvcOs | Valfritt | String | Målenhetens operativsystem. Exempel: Windows 10 |
| TargetPortNumber | Valfritt | Integer | Målenhetens port. |
| TargetGeoCountry | Valfritt | Land | Det land som är associerat med mål-IP-adressen. Exempel: USA |
| TargetGeoRegion | Valfritt | Region | Den region som är associerad med mål-IP-adressen. Exempel: Vermont |
| TargetGeoCity | Valfritt | City | Den ort som är associerad med mål-IP-adressen. Exempel: Burlington |
| TargetGeoLatitude | Valfritt | Latitud | Latitud för den geografiska koordinat som är associerad med mål-IP-adressen. Exempel: 44.475833 |
| TargetGeoLongitude | Valfritt | Longitud | Longitud för den geografiska koordinat som är associerad med mål-IP-adressen. Exempel: 73.211944 |
| TargetRiskLevel | Valfritt | Integer | Den risknivå som är associerad med målet. Värdet ska justeras till ett intervall på 0 till , med 0 för godartad och 100 för 100en hög risk.Exempel: 90 |
| TargetOriginalRiskLevel | Valfritt | Integer | Den risknivå som är associerad med målet, enligt rapporteringsenhetens rapporter. Exempel: Suspicious |
Kontrollfält
Följande fält används för att representera inspektionen som utförs av ett säkerhetssystem.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| RuleName | Valfritt | String | Namnet eller ID:t för regeln som associeras med inspektionsresultatet. |
| RuleNumber | Valfritt | Integer | Antalet regler som är associerade med inspektionsresultatet. |
| Regel | Alias | String | Antingen värdet för RuleName eller värdet för RuleNumber. Om värdet för RuleNumber används ska typen konverteras till sträng. |
| ThreatId | Valfritt | String | ID:t för det hot eller den skadliga kod som identifieras i granskningsaktiviteten. |
| ThreatName | Valfritt | String | Namnet på det hot eller den skadliga kod som identifieras i granskningsaktiviteten. |
| ThreatCategory | Valfritt | String | Kategorin för hot eller skadlig kod som identifieras i granskningsfilens aktivitet. |
| ThreatRiskLevel | Valfritt | Integer | Den risknivå som är associerad med det identifierade hotet. Nivån ska vara ett tal mellan 0 och 100. Obs! Värdet kan anges i källposten med hjälp av en annan skala, som bör normaliseras till den här skalan. Det ursprungliga värdet ska lagras i ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Valfritt | String | Risknivån som rapporteras av rapporteringsenheten. |
| ThreatConfidence | Valfritt | Integer | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatOriginalConfidence | Valfritt | String | Den ursprungliga konfidensnivån för det identifierade hotet, enligt rapporteringsenhetens rapporter. |
| ThreatIsActive | Valfritt | Booleskt | Sant om det identifierade hotet anses vara ett aktivt hot. |
| ThreatFirstReportedTime | Valfritt | datetime | Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatLastReportedTime | Valfritt | datetime | Senast IP-adressen eller domänen identifierades som ett hot. |
| ThreatIpAddr | Valfritt | IP-adress | En IP-adress som ett hot identifierades för. Fältet ThreatField innehåller namnet på fältet ThreatIpAddr representerar. |
| ThreatField | Valfritt | Enumerated | Fältet som ett hot identifierades för. Värdet är antingen SrcIpAddr eller TargetIpAddr. |
Schemauppdateringar
Det här är ändringarna i version 0.1.1 av schemat:
- Användar- och enhetsentitetsfält har uppdaterats så att de överensstämmer med andra scheman.
- Byt
TargetDvcnamn ochSrcDvctillTargetrespektiveSrcför att överensstämma med aktuella ASIM-riktlinjer. De omdöpta fälten implementeras som alias fram till den 1 juli 2022. Dessa fält omfattar:SrcDvcHostname,SrcDvcHostnameType,SrcDvcType,SrcDvcIpAddr,TargetDvcHostname,TargetDvcHostnameType,TargetDvcType,TargetDvcIpAddrochTargetDvc. - Aliasen
SrcochDst. - Fälten ,
SrcDeviceType,TargetDvcIdTypeochTargetDeviceType, och har lagtsSrcDvcIdTypetill.EventSchema
Det här är ändringarna i version 0.1.2 av schemat:
- Fälten har lagts till
ActorScope,TargetUserScope,SrcDvcScopeIdSrcDvcScope,TargetDvcScopeId,TargetDvcScope,DvcScopeIdochDvcScope.
Det här är ändringarna i version 0.1.3 av schemat:
- Fälten
SrcPortNumber, ,ActorOriginalUserTypeActorScopeId,TargetOriginalUserType,TargetUserScopeId, ,SrcDescription,SrcRiskLevelochSrcOriginalRiskLevelTargetDescription. - Kontrollfält har lagts till
- Målsystemets geoplatsfält har lagts till.
Nästa steg
Mer information finns i: