Gelişmiş Güvenlik Bilgileri Modeli (ASIM) Denetim Olayları normalleştirme şema başvurusu (Genel önizleme)
Microsoft Sentinel Denetim olayları normalleştirme şeması, bilgi sistemlerinin denetim kaydıyla ilişkili olayları temsil eder. Denetim izi, sistem yapılandırma etkinliklerini ve ilke değişikliklerini günlüğe kaydeder. Bu tür değişiklikler genellikle sistem yöneticileri tarafından gerçekleştirilir, ancak kendi uygulamalarının ayarları yapılandırılırken kullanıcılar tarafından da gerçekleştirilebilir.
Her sistem, denetim olaylarını temel etkinlik günlüklerinin yanı sıra günlüğe kaydeder. Örneğin, güvenlik duvarı ağ oturumları ile ilgili olayları işlemler olarak günlüğe kaydeder ve Güvenlik Duvarı'nın kendisine uygulanan yapılandırma değişiklikleriyle ilgili olayları denetler.
Microsoft Sentinel'de normalleştirme hakkında daha fazla bilgi için bkz . Normalleştirme ve Gelişmiş Güvenlik Bilgileri Modeli (ASIM).
Önemli
Denetim Olayı normalleştirme şeması şu anda önizleme aşamasındadır. Bu özellik, hizmet düzeyi sözleşmesi olmadan sağlanır. Üretim iş yükleri için önerilmez.
Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.
Şemaya genel bakış
Denetim olayının ana alanları şunlardır:
- Nesne( örneğin, olayın odaklandığı yönetilen bir kaynak veya ilke kuralı olabilir) Object alanıyla temsil edilir. ObjectType alanı nesnenin türünü belirtir.
- Nesnenin uygulama bağlamı, Application tarafından diğer adı verilen TargetAppName alanıyla temsil edilir.
- EventType ve Operation alanlarıyla temsil edilen nesne üzerinde gerçekleştirilen işlem. İşlem, kaynağın bildirdiği değer olsa da EventType, kaynaklar arasında daha tutarlı olan normalleştirilmiş bir sürümdür.
- Nesnenin eski ve yeni değerleri (varsa) sırasıyla OldValue ve NewValue ile temsil edilir.
Denetim olayları, yapılandırma işlemine dahil olan aşağıdaki varlıklara da başvurur:
- Actor - Yapılandırma işlemini gerçekleştiren kullanıcı.
- TargetApp - Yapılandırma işleminin uygulandığı uygulama veya sistem.
- Target - TaregtApp* uygulamasının çalıştığı sistem.
- ActingApp - Aktör tarafından yapılandırma işlemini gerçekleştirmek için kullanılan uygulama.
- Src - Target değerinden farklıysa, Aktör tarafından yapılandırma işlemini başlatmak için kullanılan sistem.
Tanımlayıcı Dvc
, bir uç nokta tarafından bildirilen oturumlar için yerel sistem olan raporlama cihazı ve diğer durumlarda aracı veya güvenlik cihazı için kullanılır.
Çözümleyicileri
Denetim olayları ayrıştırıcılarını dağıtma ve kullanma
Microsoft Sentinel GitHub deposundan ASIM denetim olayları ayrıştırıcılarını dağıtın. Tüm denetim olayı kaynaklarını sorgulamak için, sorgunuzda tablo adı olarak birleştirici ayrıştırıcıyı imAuditEvent
kullanın.
ASIM ayrıştırıcılarını kullanma hakkında daha fazla bilgi için bkz . ASIM ayrıştırıcılarına genel bakış. Denetim olayı ayrıştırıcılarının listesi için Microsoft Sentinel kullanıma hazır sağlar ASIM ayrıştırıcıları listesine bakın
Kendi normalleştirilmiş ayrıştırıcılarınızı ekleme
Dosya Olayı bilgi modeli için özel ayrıştırıcılar uygularken aşağıdaki söz dizimini kullanarak KQL işlevlerinizi adlandırın: imAuditEvent<vendor><Product>
. Özel ayrıştırıcılarınızı denetim olayı birleştirici ayrıştırıcısına eklemeyi öğrenmek için ASIM ayrıştırıcılarını yönetme makalesine bakın.
Ayrıştırıcı parametrelerini filtreleme
Denetim olayları ayrıştırıcıları parametreleri filtrelemeyi destekler. Bu parametreler isteğe bağlı olsa da sorgu performansınızı artırabilir.
Aşağıdaki filtreleme parametreleri kullanılabilir:
Adı | Tür | Açıklama |
---|---|---|
starttime | datetime | Yalnızca bu sürenin sonunda veya sonrasında çalıştırılan olayları filtreleyin. Bu parametre, TimeGenerated olayı zaman belirleyicisi olarak alanını kullanır. |
bitiş saati | datetime | Yalnızca şu anda veya öncesinde çalışması tamamlanan olay sorgularını filtreleyin. Bu parametre, TimeGenerated olayı zaman belirleyicisi olarak alanını kullanır. |
srcipaddr_has_any_prefix | dynamic | SrcIpAddr alanında gösterildiği gibi yalnızca bu kaynak IP adresinden gelen olayları filtreleyin. |
eventtype_in | Dize | Yalnızca EventType alanında gösterildiği gibi olay türünün sağlanan terimlerden herhangi biri olduğu olayları filtreleyin. |
eventresult | Dize | Yalnızca EventResult alanında gösterildiği gibi olay sonucunun parametre değerine eşit olduğu olayları filtreleyin. |
actorusername_has_any | dinamik/dize | Yalnızca ActorUsername öğesinin sağlanan terimlerden herhangi birini içerdiği olayları filtreleyin. |
operation_has_any | dinamik/dize | Yalnızca İşlem alanının sağlanan terimlerden herhangi birini içerdiği olayları filtreleyin. |
object_has_any | dinamik/dize | Yalnızca Object alanında sağlanan terimlerden herhangi birini içeren olayları filtreleyin. |
newvalue_has_any | dinamik/dize | Yalnızca NewValue alanının sağlanan terimlerden herhangi birini içerdiği olayları filtreleyin. |
Bazı parametreler hem tür dynamic
değerleri listesini hem de tek bir dize değerini kabul edebilir. Sabit bir listeyi dinamik değer bekleyen parametrelere geçirmek için, dinamik değişmez değeri açıkça kullanın. Örneğin: dynamic(['192.168.','10.'])
Örneğin, son günden itibaren yalnızca denetim olaylarını terimlerle install
veya update
İşlem alanlarında filtrelemek için şunu kullanın:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
Şema ayrıntıları
Ortak ASIM alanları
Önemli
Tüm şemalarda ortak olan alanlar ASIM Ortak Alanları makalesinde ayrıntılı olarak açıklanmıştır.
Belirli yönergelere sahip ortak alanlar
Aşağıdaki listede Denetim Olayları için belirli yönergelere sahip alanlardan bahsediliyor:
Alan | Sınıf | Type | Açıklama |
---|---|---|---|
EventType | Zorunlu | Enumerated | Olay tarafından normalleştirilmiş bir değer kullanılarak denetlenen işlemi açıklar. Normalleştirilmiş değerin iletmediği diğer ayrıntıları ve İşlem'i sağlamak için EventSubType'ı kullanın. raporlama cihazı tarafından bildirilen işlemi depolamak için. Denetim Olayı kayıtları için izin verilen değerler şunlardır: - Set - Read - Create - Delete - Execute - Install - Clear - Enable - Disable - Other Denetim olayları çok çeşitli işlemleri temsil eden bir değerdir Other ve değeri karşılık gelen EventType olmayan eşleme işlemlerini etkinleştirir. Ancak, kullanımı Other olayın kullanılabilirliğini sınırlar ve mümkünse kaçınılmalıdır. |
EventSubType | İsteğe bağlı | String | EventType'ta normalleştirilmiş değerin iletmediği diğer ayrıntıları sağlar. |
EventSchema | Zorunlu | String | Burada belgelenen şemanın adıdır AuditEvent . |
EventSchemaVersion | Zorunlu | String | Şema sürümü. Şemanın burada belgelenen sürümüdür 0.1 . |
Tüm ortak alanlar
Tabloda görünen alanlar tüm ASIM şemalarında ortaktır. Bu belgede belirtilen yönergelerden herhangi biri alanın genel yönergelerini geçersiz kılar. Örneğin, bir alan genel olarak isteğe bağlı olabilir, ancak belirli bir şema için zorunlu olabilir. Her alan hakkında daha fazla bilgi için ASIM Ortak Alanları makalesine bakın.
Sınıf | Alanlar |
---|---|
Zorunlu | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
Önerilir | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
İsteğe bağlı | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - EkAlanlar - DvcDescription - DvcScopeId - DvcScope |
Denetim alanları
Alan | Sınıf | Type | Açıklama |
---|---|---|---|
İşlem | Zorunlu | String | İşlem, raporlama cihazı tarafından bildirilen şekilde denetlendi. |
Nesne | Zorunlu | String | EventType tarafından tanımlanan işlemin gerçekleştirildiği nesnenin adı. |
ObjectType | Zorunlu | Enumerated | Nesne türü. İzin verilen değerler şunlardır: - Cloud Resource - Configuration Atom - Policy Rule -Başka |
OldValue | İsteğe bağlı | String | İşlemden önceki Object değerinin (varsa) eski değeri. |
YeniDeğer | İsteğe bağlı | String | İşlem gerçekleştirildikten sonra object değerinin (varsa) yeni değeri. |
Value | Diğer ad | NewValue diğer adı | |
ValueType | Koşullu | Enumerated | Eski ve yeni değerlerin türü. İzin verilen değerler şunlardır: -Başka |
Aktör alanları
Alan | Sınıf | Type | Açıklama |
---|---|---|---|
ActorUserId | İsteğe bağlı | String | Aktör'ün makine tarafından okunabilir, alfasayısal, benzersiz bir gösterimi. Daha fazla bilgi ve diğer kimlikler için alternatif alanlar için bkz . Kullanıcı varlığı. Örnek: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
ActorScope | İsteğe bağlı | String | ActorUserId ve ActorUsername'in tanımlandığı Microsoft Entra Etki Alanı Adı gibi kapsam. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScope bölümüne bakın. |
ActorScopeId | İsteğe bağlı | String | ActorUserId ve ActorUsername'in tanımlandığı Microsoft Entra Dizin Kimliği gibi kapsam kimliği. daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScopeId bölümüne bakın. |
ActorUserIdType | Koşullu | UserIdType | ActorUserId alanında depolanan kimliğin türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UserIdType bölümüne bakın. |
ActorUsername | Önerilir | Username | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere Aktörün kullanıcı adı. Daha fazla bilgi için bkz . Kullanıcı varlığı. Örnek: AlbertE |
Kullanıcı | Diğer ad | ActorUsername diğer adı | |
ActorUsernameType | Koşullu | UsernameType | ActorUsername alanında depolanan kullanıcı adının türünü belirtir. Daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UsernameType bölümüne bakın. Örnek: Windows |
ActorUserType | İsteğe bağlı | UserType | Aktör türü. Daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserType bölümüne bakın. Örneğin: Guest |
ActorOriginalUserType | İsteğe bağlı | UserType | Raporlama cihazı tarafından bildirilen kullanıcı türü. |
ActorSessionId | İsteğe bağlı | String | Aktör'ün oturum açma oturumunun benzersiz kimliği. Örnek: 102pTUgC3p8RIqHvzxLCHnFlg |
Hedef uygulama alanları
Alan | Sınıf | Type | Açıklama |
---|---|---|---|
TargetAppId | İsteğe bağlı | String | İşlem, tarayıcı veya hizmet de dahil olmak üzere olayın geçerli olduğu uygulamanın kimliği. Örnek: 89162 |
TargetAppName | İsteğe bağlı | String | Hizmet, URL veya SaaS uygulaması dahil olmak üzere olayın geçerli olduğu uygulamanın adı. Örnek: Exchange 365 |
Uygulama | Diğer ad | TargetAppName diğer adı | |
TargetAppType | İsteğe bağlı | AppType | Aktör adına yetkilendirilen uygulamanın türü. Daha fazla bilgi ve izin verilen değer listesi için Şemaya Genel Bakış makalesindeki AppType'a bakın. |
TargetUrl | İsteğe bağlı | URL | Hedef uygulamayla ilişkili URL. Örnek: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
Hedef sistem alanları
Alan | Sınıf | Type | Açıklama |
---|---|---|---|
Dst | Diğer ad | String | Kimlik doğrulama hedefinin benzersiz tanımlayıcısı. Bu alan TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId veya TargetAppName alanlarına diğer ad verebilir. Örnek: 192.168.12.1 |
TargetHostname | Önerilir | Konak adı | Etki alanı bilgileri hariç hedef cihaz ana bilgisayar adı. Örnek: DESKTOP-1282V4D |
TargetDomain | Önerilir | String | Hedef cihazın etki alanı. Örnek: Contoso |
TargetDomainType | Koşullu | Enumerated | TargetDomain türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DomainType'a bakın. TargetDomain kullanılıyorsa gereklidir. |
TargetFQDN | İsteğe bağlı | String | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef cihaz ana bilgisayar adı. Örnek: Contoso\DESKTOP-1282V4D Not: Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. TargetDomainType, kullanılan biçimi yansıtır. |
TargetDescription | İsteğe bağlı | String | Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Primary Domain Controller . |
TargetDvcId | İsteğe bağlı | String | Hedef cihazın kimliği. Birden çok kimlik varsa, en önemli kimlikleri kullanın ve diğerlerini alanlarında depolayın TargetDvc<DvcIdType> . Örnek: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
TargetDvcScopeId | İsteğe bağlı | String | Cihazın ait olduğu bulut platformu kapsam kimliği. TargetDvcScopeId , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
TargetDvcScope | İsteğe bağlı | String | Cihazın ait olduğu bulut platformu kapsamı. TargetDvcScope , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
TargetDvcIdType | Koşullu | Enumerated | TargetDvcId türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DvcIdType'a bakın. TargetDeviceId kullanılıyorsa gereklidir. |
TargetDeviceType | İsteğe bağlı | Enumerated | Hedef cihazın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DeviceType'a bakın. |
TargetIpAddr | İsteğe bağlı | IP Adresi | Hedef cihazın IP adresi. Örnek: 2.2.2.2 |
TargetDvcOs | İsteğe bağlı | String | Hedef cihazın işletim sistemi. Örnek: Windows 10 |
TargetPortNumber | İsteğe bağlı | Tamsayı | Hedef cihazın bağlantı noktası. |
Uygulama Alanlarını Harekete Geçirme
Alan | Sınıf | Type | Açıklama |
---|---|---|---|
ActingAppId | İsteğe bağlı | String | İşlem, tarayıcı veya hizmet de dahil olmak üzere bildirilen etkinliği başlatan uygulamanın kimliği. Örneğin: 0x12ae8 |
ActiveAppName | İsteğe bağlı | String | Hizmet, URL veya SaaS uygulaması dahil olmak üzere bildirilen etkinliği başlatan uygulamanın adı. Örneğin: C:\Windows\System32\svchost.exe |
ActingAppType | İsteğe bağlı | AppType | Eylem uygulama türü. Daha fazla bilgi ve izin verilen değer listesi için Şemaya Genel Bakış makalesindeki AppType'a bakın. |
HttpUserAgent | İsteğe bağlı | String | Kimlik doğrulaması HTTP veya HTTPS üzerinden gerçekleştirildiğinde, bu alanın değeri, kimlik doğrulamasını gerçekleştirirken eylem yapan uygulama tarafından sağlanan user_agent HTTP üst bilgisidir. Örneğin: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Kaynak sistem alanları
Alan | Sınıf | Type | Açıklama |
---|---|---|---|
Src | Diğer ad | String | Kaynak cihazın benzersiz tanımlayıcısı. Bu alan SrcDvcId, SrcHostname veya SrcIpAddr alanlarının diğer adını alabilir. Örnek: 192.168.12.1 |
SrcIpAddr | Önerilir | IP Adresi | Bağlantının veya oturumun kaynaklandığı IP adresi. Örnek: 77.138.103.108 |
IpAddr | Diğer ad | SrcIpAddr için veya SrcIpAddr sağlanmadıysa TargetIpAddr için diğer ad. | |
SrcPortNumber | İsteğe bağlı | Tamsayı | Bağlantının kaynaklandığı IP bağlantı noktası. Birden çok bağlantıdan oluşan bir oturumla ilgili olmayabilir. Örnek: 2335 |
SrcHostname | Önerilir | Konak adı | Etki alanı bilgileri hariç kaynak cihaz ana bilgisayar adı. Kullanılabilir cihaz adı yoksa ilgili IP adresini bu alanda depolayın. Örnek: DESKTOP-1282V4D |
SrcDomain | Önerilir | String | Kaynak cihazın etki alanı. Örnek: Contoso |
SrcDomainType | Koşullu | DomainType | SrcDomain türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DomainType'a bakın. SrcDomain kullanılıyorsa gereklidir. |
SrcFQDN | İsteğe bağlı | String | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak cihaz ana bilgisayar adı. Not: Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. SrcDomainType alanı kullanılan biçimi yansıtır. Örnek: Contoso\DESKTOP-1282V4D |
SrcDescription | İsteğe bağlı | String | Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Primary Domain Controller . |
SrcDvcId | İsteğe bağlı | String | Kaynak cihazın kimliği. Birden çok kimlik varsa, en önemli kimlikleri kullanın ve diğerlerini alanlarında depolayın SrcDvc<DvcIdType> .Örnek: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
SrcDvcScopeId | İsteğe bağlı | String | Cihazın ait olduğu bulut platformu kapsam kimliği. SrcDvcScopeId , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
SrcDvcScope | İsteğe bağlı | String | Cihazın ait olduğu bulut platformu kapsamı. SrcDvcScope , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
SrcDvcIdType | Koşullu | DvcIdType | SrcDvcId türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DvcIdType'a bakın. Not: SrcDvcId kullanılıyorsa bu alan gereklidir. |
SrcDeviceType | İsteğe bağlı | DeviceType | Kaynak cihazın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DeviceType'a bakın. |
SrcSubscriptionId | İsteğe bağlı | String | Kaynak cihazın ait olduğu bulut platformu abonelik kimliği. SrcSubscriptionId , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
SrcGeoCountry | İsteğe bağlı | Ülke | Kaynak IP adresiyle ilişkili ülke. Örnek: USA |
SrcGeoRegion | İsteğe bağlı | Bölge | Kaynak IP adresiyle ilişkilendirilmiş bir ülkenin içindeki bölge. Örnek: Vermont |
SrcGeoCity | İsteğe bağlı | City | Kaynak IP adresiyle ilişkili şehir. Örnek: Burlington |
SrcGeoLatitude | İsteğe bağlı | Enlem | Kaynak IP adresiyle ilişkili coğrafi koordinatın enlemi. Örnek: 44.475833 |
SrcGeoLongitude | İsteğe bağlı | Boylam | Kaynak IP adresiyle ilişkili coğrafi koordinatın boylamı. Örnek: 73.211944 |
Denetim alanları
Aşağıdaki alanlar, bir güvenlik sistemi tarafından gerçekleştirilen incelemeyi temsil etmek için kullanılır.
Alan | Sınıf | Type | Açıklama |
---|---|---|---|
RuleName | İsteğe bağlı | String | Denetim sonuçlarıyla ilişkili kuralın adı veya kimliği. |
KuralSayısı | İsteğe bağlı | Tamsayı | denetim sonuçlarıyla ilişkili kuralın sayısı. |
Kural | Diğer ad | String | RuleName değeri veya RuleNumber değeri. RuleNumber değeri kullanılırsa, türü dizeye dönüştürülmelidir. |
ThreatId | İsteğe bağlı | String | Denetim etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılımın kimliği. |
ThreatName | İsteğe bağlı | String | Denetim etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılımın adı. |
ThreatCategory | İsteğe bağlı | String | Denetim dosyası etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılım kategorisi. |
ThreatRiskLevel | İsteğe bağlı | Tamsayı | Tanımlanan tehditle ilişkili risk düzeyi. Düzey 0 ile 100 arasında bir sayı olmalıdır. Not: Bu değer kaynak kayıtta farklı bir ölçek kullanılarak sağlanabilir ve bu ölçek normalleştirilmelidir. Özgün değer ThreatRiskLevelOriginal içinde depolanmalıdır. |
ThreatOriginalRiskLevel | İsteğe bağlı | String | Raporlama cihazı tarafından bildirilen risk düzeyi. |
ThreatConfidence | İsteğe bağlı | Tamsayı | Tanımlanan tehdidin güvenilirlik düzeyi, 0 ile 100 arasında bir değere normalleştirilir. |
ThreatOriginalConfidence | İsteğe bağlı | String | Raporlama cihazı tarafından bildirilen, tanımlanan tehdidin özgün güvenilirlik düzeyi. |
ThreatIsActive | İsteğe bağlı | Boolean | Tanımlanan tehdit etkin bir tehdit olarak kabul edilirse true. |
ThreatFirstReportedTime | İsteğe bağlı | datetime | IP adresi veya etki alanı ilk kez bir tehdit olarak tanımlandı. |
ThreatLastReportedTime | İsteğe bağlı | datetime | IP adresinin veya etki alanının en son tehdit olarak tanımlandığı zaman. |
ThreatIpAddr | İsteğe bağlı | IP Adresi | Bir tehdidin tanımlandığı IP adresi. ThreatField alanı ThreatIpAddr'ın temsil ettiği alanın adını içerir. |
ThreatField | İsteğe bağlı | Enumerated | Bir tehdidin tanımlandığı alan. Değer veya SrcIpAddr TargetIpAddr şeklindedir. |
Sonraki adımlar
Daha fazla bilgi için bkz.
- ASIM Web seminerini izleyin veya slaytları gözden geçirin
- Gelişmiş Güvenlik Bilgileri Modeline (ASIM) genel bakış
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) içeriği