Gelişmiş Güvenlik Bilgileri Modeli (ASIM) Kimlik Doğrulaması normalleştirme şeması başvurusu

Microsoft Sentinel Kimlik Doğrulaması şeması, kullanıcı kimlik doğrulaması, oturum açma ve oturum kapatma ile ilgili olayları açıklamak için kullanılır. Kimlik doğrulama olayları, genellikle diğer olayların yanı sıra olay akışının bir parçası olarak birçok raporlama cihazı tarafından gönderilir. Örneğin, Windows diğer işletim sistemi etkinliği olaylarının yanı sıra birkaç kimlik doğrulama olayı gönderir.

Kimlik doğrulama olayları, VPN ağ geçitleri veya etki alanı denetleyicileri gibi kimlik doğrulamasına odaklanan sistemlerden gelen olayları ve bilgisayar veya güvenlik duvarı gibi bir son sisteme doğrudan kimlik doğrulamasını içerir.

Microsoft Sentinel normalleştirme hakkında daha fazla bilgi için bkz. Normalleştirme ve Gelişmiş Güvenlik Bilgi Modeli (ASIM).

Çözümleyicileri

Microsoft Sentinel GitHub deposundan ASIM kimlik doğrulama ayrıştırıcılarını dağıtın. ASIM ayrıştırıcıları hakkında daha fazla bilgi için ASIM ayrıştırıcılarına genel bakış makalelerine bakın.

Ayrıştırıcıları birleştirme

Tüm ASIM kullanıma alınmış ayrıştırıcıları birleştiren ayrıştırıcıları kullanmak ve çözümlemenizin yapılandırılan tüm kaynaklarda çalıştığından emin olmak için filtreleme ayrıştırıcısını imAuthentication veya parametresiz ayrıştırıcıyı ASimAuthentication kullanın.

Kaynağa özgü ayrıştırıcılar

Microsoft Sentinel kimlik doğrulaması ayrıştırıcıları listesi için ASIM ayrıştırıcıları listesine bakın:

Kendi normalleştirilmiş ayrıştırıcılarınızı ekleme

Kimlik doğrulama bilgileri modeli için özel ayrıştırıcılar uygularken aşağıdaki söz dizimini kullanarak KQL işlevlerinizi adlandırın:

  • vimAuthentication<vendor><Product> ayrıştırıcıları filtrelemek için
  • ASimAuthentication<vendor><Product> parametresiz ayrıştırıcılar için

Birleştirici ayrıştırıcıya özel ayrıştırıcılarınızı ekleme hakkında bilgi için ASIM ayrıştırıcılarını yönetme bölümüne bakın.

Ayrıştırıcı parametrelerini filtreleme

im ve vim* ayrıştırıcıları filtreleme parametrelerini destekler. Bu ayrıştırıcılar isteğe bağlı olsa da sorgu performansınızı artırabilir.

Aşağıdaki filtreleme parametreleri kullanılabilir:

Name Tür Açıklama
Starttime Datetime Yalnızca bu sürenin sonunda veya sonrasında çalıştırılan kimlik doğrulama olaylarını filtreleyin. Bu parametre, EventStartTime ve EventEndTime alanlarının ayrıştırıcıya özgü eşlemesine bakılmaksızın, olay zamanı için standart belirleyici olan alana filtrelenir TimeGenerated .
Endtime Datetime Yalnızca şu anda veya öncesinde çalıştırılması biten kimlik doğrulama olaylarını filtreleyin. Bu parametre, EventStartTime ve EventEndTime alanlarının ayrıştırıcıya özgü eşlemesine bakılmaksızın, olay zamanı için standart belirleyici olan alana filtrelenir TimeGenerated .
srcipaddr_has_any_prefix dynamic Yalnızca kaynak IP adresi ön ekinin listelenen değerlerden birinde yer aldığı kimlik doğrulama olaylarını filtreleyin. Ön ekler ile .bitmelidir, örneğin: 10.0..
srchostname_has_any dynamic Yalnızca kaynak ana bilgisayar adının listelenen değerlerden biri olduğu kimlik doğrulama olaylarını filtreleyin.
username_has_any dynamic Yalnızca kullanıcı adının listelenen değerlerden biri olduğu kimlik doğrulama olaylarını filtreleyin.
targetappname_has_any dynamic Yalnızca hedef uygulama adının listelenen değerlerden biri olduğu kimlik doğrulama olaylarını filtreleyin.
eventtype_in dynamic Yalnızca olay türünün listelenen değerlerden biri olduğu kimlik doğrulama olaylarını filtreleyin.
eventresult dize Yalnızca belirli bir EventResult değerine sahip kimlik doğrulama olaylarını filtreleyin.
eventresultdetails_in dynamic Yalnızca olay sonucu ayrıntılarının listelenen değerlerden biri olduğu kimlik doğrulama olaylarını filtreleyin.

Örneğin, yalnızca son gündeki kimlik doğrulama olaylarını belirli bir kullanıcıya filtrelemek için şunu kullanın:

imAuthentication (username_has_any = dynamic(['johndoe']), starttime = ago(1d), endtime=now())

İpucu

Dinamik değer bekleyen parametrelere değişmez değer listesi geçirmek için, dinamik değişmez değeri açıkça kullanın. Örneğin: dynamic(['192.168.','10.']).

Normalleştirilmiş içerik

Normalleştirilmiş kimlik doğrulama analizi kuralları, kaynaklar arasında saldırıları algıladıkça benzersizdir. Örneğin, bir kullanıcı farklı ülkelerden/bölgelerden farklı, ilgisiz sistemlerde oturum açtıysa Microsoft Sentinel artık bu tehdidi algılar.

Normalleştirilmiş Kimlik Doğrulaması olaylarını kullanan analiz kurallarının tam listesi için bkz. Kimlik doğrulama şeması güvenlik içeriği.

Şemaya genel bakış

Kimlik doğrulama bilgileri modeli , OSSEM oturum açma varlığı şemasıyla hizalanır.

Aşağıdaki tabloda listelenen alanlar Kimlik doğrulama olaylarına özgü olsa da diğer şemalardaki alanlara benzer ve benzer adlandırma kurallarına uyar.

Kimlik doğrulama olayları aşağıdaki varlıklara başvurur:

  • TargetUser - Sistemde kimlik doğrulaması yapmak için kullanılan kullanıcı bilgileri. TargetSystem, kimlik doğrulama olayının birincil konusudur ve Bir TargetUser'ın tanımlamış olduğu Kullanıcı diğer adlarıdır.
  • TargetApp - Kimliği doğrulanan uygulama.
  • Target - TargetApp* uygulamasının çalıştığı sistem.
  • Actor - TargetUser'dan farklıysa kimlik doğrulamasını başlatan kullanıcı.
  • ActingApp - Actor tarafından kimlik doğrulamasını gerçekleştirmek için kullanılan uygulama.
  • Src - Aktör tarafından kimlik doğrulamasını başlatmak için kullanılan sistem.

Bu varlıklar arasındaki ilişki en iyi şekilde aşağıdaki gibi gösterilir:

Src adlı bir kaynak sistem üzerinde rol alan bir Uygulama olan ActingApp'i çalıştıran bir Aktör, hedef bir uygulama olan TargetApp'tetargetDvc hedef sisteminde TargetUser olarak kimlik doğrulamayı dener.

Şema ayrıntıları

Aşağıdaki tablolarda , Tür bir mantıksal türe başvurur. Daha fazla bilgi için bkz. Mantıksal türler.

Ortak ASIM alanları

Önemli

Tüm şemalarda ortak olan alanlar ASIM Ortak Alanları makalesinde ayrıntılı olarak açıklanmıştır.

Belirli yönergelere sahip ortak alanlar

Aşağıdaki listede, kimlik doğrulama olayları için belirli yönergelere sahip alanlardan bahsedmektedir:

Alan Sınıfı Tür Açıklama
EventType Zorunlu Numaralandırılmış Kayıt tarafından bildirilen işlemi açıklar.

Kimlik doğrulama kayıtları için desteklenen değerler şunlardır:
- Logon
- Logoff
- Elevate
EventResultDetails Önerilen Numaralandırılmış Olay sonucuyla ilişkili ayrıntılar. Bu alan genellikle sonuç bir hata olduğunda doldurulur.

İzin verilen değerler şunlardır:
- No such user or password. Bu değer, özgün olay parolaya başvurmadan böyle bir kullanıcı olmadığını bildirdiğinde de kullanılmalıdır.
- No such user
- Incorrect password
- Incorrect key
- Account expired
- Password expired
- User locked
- User disabled
- Logon violates policy. Özgün olay raporladığında bu değer kullanılmalıdır, örneğin: MFA gerekli, çalışma saatleri dışında oturum açma, koşullu erişim kısıtlamaları veya çok sık denemeler.
- Session expired
- Other

Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değerlerle normalleştirilmelidir. Özgün değer EventOriginalResultDetails alanında depolanmalıdır
EventSubType İsteğe bağlı Numaralandırılmış Oturum açma türü. İzin verilen değerler şunlardır:
- System
- Interactive
- RemoteInteractive
- Service
- RemoteService
- Remote - Uzaktan oturum açma türü bilinmediğinde kullanın.
- AssumeRole - Genellikle olay türü olduğunda Elevatekullanılır.

Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değerlerle normalleştirilmelidir. Özgün değer EventOriginalSubType alanında depolanmalıdır.
EventSchemaVersion Zorunlu SchemaVersion (Dize) Şemanın sürümü. Şemanın burada belgelenen sürümü 0.1.4
EventSchema Zorunlu Numaralandırılmış Burada belgelenen şemanın adı Kimlik Doğrulaması'dır.
Dvc alanları - - Kimlik doğrulama olayları için cihaz alanları olayı bildiren sisteme başvurur.

Tüm ortak alanlar

Aşağıdaki tabloda görünen alanlar tüm ASIM şemalarında ortaktır. Yukarıda belirtilen tüm yönergeler alanın genel yönergelerini geçersiz kılar. Örneğin, bir alan genel olarak isteğe bağlı olabilir, ancak belirli bir şema için zorunlu olabilir. Her alan hakkında daha fazla ayrıntı için ASIM Ortak Alanları makalesine bakın.

Sınıfı Alanları
Zorunlu - EventCount
- EventStartTime
- EventEndTime
- Eventtype
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Önerilen - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
İsteğe bağlı - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcO'lar
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- EkAlanlar
- DvcDescription
- DvcScopeId
- DvcScope

Kimlik doğrulamasına özgü alanlar

Alan Sınıfı Tür Açıklama
LogonMethod İsteğe bağlı Dize Kimlik doğrulaması gerçekleştirmek için kullanılan yöntem. İzin verilen değerler şunlardır: Managed Identity, Service Principal, Username & Password, Multi factor authentication, Passwordless, , PKI, PAMve Other.

Örnekler: Managed Identity
LogonProtocol İsteğe bağlı Dize Kimlik doğrulaması gerçekleştirmek için kullanılan protokol.

Örnek: NTLM

Aktör alanları

Alan Sınıfı Tür Açıklama
ActorUserId İsteğe bağlı Dize Aktörün makine tarafından okunabilir, alfasayısal, benzersiz bir gösterimi. Daha fazla bilgi ve ek kimlikler için alternatif alanlar için bkz. Kullanıcı varlığı.

Örnek: S-1-12-1-4141952679-1282074057-627758481-2916039507
ActorScope İsteğe bağlı Dize ActorUserId ve ActorUsername'in tanımlandığı Microsoft Entra kiracısı gibi kapsam. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUserScope bölümüne bakın.
ActorScopeId İsteğe bağlı Dize ActorUserId ve ActorUsername'in tanımlandığı Microsoft Entra Dizin Kimliği gibi kapsam kimliği. daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUserScopeId bölümüne bakın.
ActorUserIdType Koşullu UserIdType ActorUserId alanında depolanan kimliğin türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiUserIdType bölümüne bakın.
ActorUsername İsteğe bağlı Kullanıcı adı (Dize) Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere Aktörün kullanıcı adı. Daha fazla bilgi için bkz. Kullanıcı varlığı.

Örnek: AlbertE
ActorUsernameType Koşullu UsernameType ActorUsername alanında depolanan kullanıcı adının türünü belirtir. Daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUsernameType bölümüne bakın.

Örnek: Windows
ActorUserType İsteğe bağlı Usertype Aktörün türü. Daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUserType bölümüne bakın.

Örneğin: Guest
ActorOriginalUserType İsteğe bağlı Dize Raporlama cihazı tarafından bildirilen kullanıcı türü.
ActorSessionId İsteğe bağlı Dize Aktörün oturum açma oturumunun benzersiz kimliği.

Örnek: 102pTUgC3p8RIqHvzxLCHnFlg

Eylem Uygulama alanları

Alan Sınıfı Tür Açıklama
ActingAppId İsteğe bağlı Dize İşlem, tarayıcı veya hizmet dahil olmak üzere aktör adına yetkilendirilen uygulamanın kimliği.

Örneğin: 0x12ae8
ActingAppName İsteğe bağlı Dize İşlem, tarayıcı veya hizmet dahil olmak üzere aktör adına yetkilendirilen uygulamanın adı.

Örneğin: C:\Windows\System32\svchost.exe
ActingAppType İsteğe bağlı AppType Oyunculuk uygulamasının türü. Daha fazla bilgi ve izin verilen değer listesi için Şemaya Genel Bakış makalesindekiAppType bölümüne bakın.
ActingOriginalAppType İsteğe bağlı Dize Raporlama cihazı tarafından bildirilen eylem uygulamasının türü.
HttpUserAgent İsteğe bağlı Dize Kimlik doğrulaması HTTP veya HTTPS üzerinden gerçekleştirildiğinde, bu alanın değeri, kimlik doğrulamasını gerçekleştirirken eylem yapan uygulama tarafından sağlanan user_agent HTTP üst bilgisidir.

Örneğin: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

Hedef kullanıcı alanları

Alan Sınıfı Tür Açıklama
TargetUserId İsteğe bağlı Dize Makine tarafından okunabilir, alfasayısal, hedef kullanıcının benzersiz gösterimi. Daha fazla bilgi ve ek kimlikler için alternatif alanlar için bkz. Kullanıcı varlığı.

Örnek: 00urjk4znu3BcncfY0h7
TargetUserScope İsteğe bağlı Dize TargetUserId ve TargetUsername'in tanımlandığı Microsoft Entra kiracısı gibi kapsam. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUserScope bölümüne bakın.
TargetUserScopeId İsteğe bağlı Dize TargetUserId ve TargetUsername'in tanımlandığı Microsoft Entra Dizin Kimliği gibi kapsam kimliği. daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUserScopeId bölümüne bakın.
TargetUserIdType Koşullu UserIdType TargetUserId alanında depolanan kullanıcı kimliğinin türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiUserIdType bölümüne bakın.

Örnek: SID
TargetUsername İsteğe bağlı Kullanıcı adı (Dize) Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef kullanıcı kullanıcı adı. Daha fazla bilgi için bkz. Kullanıcı varlığı.

Örnek: MarieC
TargetUsernameType Koşullu UsernameType TargetUsername alanında depolanan kullanıcı adının türünü belirtir. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiUsernameType bölümüne bakın.
TargetUserType İsteğe bağlı Usertype Hedef kullanıcının türü. Daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUserType bölümüne bakın.

Örneğin: Member
TargetSessionId İsteğe bağlı Dize Kaynak cihazdaki TargetUser oturum açma oturum tanımlayıcısı.
TargetOriginalUserType İsteğe bağlı Dize Raporlama cihazı tarafından bildirilen kullanıcı türü.
Kullanıcı Diğer ad Kullanıcı adı (Dize) TargetUsername tanımlanmamışsa TargetUsername veya TargetUserId diğer adı.

Örnek: CONTOSO\dadmin

Kaynak sistem alanları

Alan Sınıfı Tür Açıklama
Src Önerilen Dize Kaynak cihazın benzersiz tanımlayıcısı.

Bu alan SrcDvcId, SrcHostname veya SrcIpAddr alanlarını diğer adla adlandırabilir.

Örnek: 192.168.12.1
SrcDvcId İsteğe bağlı Dize Kaynak cihazın kimliği. Birden çok kimlik varsa, en önemli kimlikleri kullanın ve diğerlerini alanlarında depolayın SrcDvc<DvcIdType>.

Örnek: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId İsteğe bağlı Dize Cihazın ait olduğu bulut platformu kapsam kimliği. SrcDvcScopeId, Azure'teki bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
SrcDvcScope İsteğe bağlı Dize Cihazın ait olduğu bulut platformu kapsamı. SrcDvcScope, Azure'teki bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
SrcDvcIdType Koşullu DvcIdType SrcDvcId türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiDvcIdType'a bakın.

Not: SrcDvcId kullanılıyorsa bu alan gereklidir.
SrcDeviceType İsteğe bağlı Devicetype Kaynak cihazın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiDeviceType'a bakın.
SrcHostname İsteğe bağlı Ana bilgisayar adı Etki alanı bilgileri hariç, kaynak cihaz ana bilgisayar adı. Kullanılabilir cihaz adı yoksa, ilgili IP adresini bu alanda depolayın.

Örnek: DESKTOP-1282V4D
SrcDomain İsteğe bağlı Etki Alanı (Dize) Kaynak cihazın etki alanı.

Örnek: Contoso
SrcDomainType Koşullu Domaintype SrcDomain türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiDomainType'a bakın.

SrcDomain kullanılıyorsa gereklidir.
SrcFQDN İsteğe bağlı FQDN (Dize) Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak cihaz ana bilgisayar adı.

Not: Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. SrcDomainType alanı kullanılan biçimi yansıtır.

Örnek: Contoso\DESKTOP-1282V4D
SrcDescription İsteğe bağlı Dize Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Primary Domain Controller.
SrcIpAddr Önerilen IP Adresi Kaynak cihazın IP adresi.

Örnek: 2.2.2.2
SrcPortNumber İsteğe bağlı Tamsayı Bağlantının kaynaklandığı IP bağlantı noktası.

Örnek: 2335
SrcDvcO'lar İsteğe bağlı Dize Kaynak cihazın işletim sistemi.

Örnek: Windows 10
IpAddr Diğer ad SrcIpAddr diğer adı
SrcIsp İsteğe bağlı Dize Kaynak cihaz tarafından İnternet'e bağlanmak için kullanılan İnternet Servis Sağlayıcısı (ISS).

Örnek: corpconnect
SrcGeoCountry İsteğe bağlı Ülke Örnek: Canada

Daha fazla bilgi için bkz. Mantıksal türler.
SrcGeoCity İsteğe bağlı Şehir Örnek: Montreal

Daha fazla bilgi için bkz. Mantıksal türler.
SrcGeoRegion İsteğe bağlı Bölge Örnek: Quebec

Daha fazla bilgi için bkz. Mantıksal türler.
SrcGeoLongitude İsteğe bağlı Boylam Örnek: -73.614830

Daha fazla bilgi için bkz. Mantıksal türler.
SrcGeoLatitude İsteğe bağlı Enlem Örnek: 45.505918

Daha fazla bilgi için bkz. Mantıksal türler.
SrcRiskLevel İsteğe bağlı Tamsayı Kaynakla ilişkili risk düzeyi. Değer, iyi huylu ve 0 yüksek risk için ile bir 100 aralığına 0100ayarlanmalıdır.

Örnek: 90
SrcOriginalRiskLevel İsteğe bağlı Dize Raporlama cihazı tarafından bildirilen kaynakla ilişkili risk düzeyi.

Örnek: Suspicious

Hedef uygulama alanları

Alan Sınıfı Tür Açıklama
TargetAppId İsteğe bağlı Dize Yetkilendirmenin gerekli olduğu uygulamanın kimliği( genellikle raporlama cihazı tarafından atanır).

Örnek: 89162
TargetAppName İsteğe bağlı Dize Hizmet, URL veya SaaS uygulaması dahil olmak üzere yetkilendirmenin gerekli olduğu uygulamanın adı.

Örnek: Saleforce
Uygulama Diğer ad TargetAppName diğer adı.
TargetAppType Koşullu AppType Aktör adına yetkilendirilen uygulamanın türü. Daha fazla bilgi ve izin verilen değer listesi için Şemaya Genel Bakış makalesindekiAppType bölümüne bakın.
TargetOriginalAppType İsteğe bağlı Dize Raporlama cihazı tarafından bildirilen Aktör adına yetkilendirilen uygulamanın türü.
TargetUrl İsteğe bağlı URL Hedef uygulamayla ilişkilendirilmiş URL.

Örnek: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b
LogonTarget Diğer ad Kimlik doğrulama hedefini en iyi açıklayan alan olan TargetAppName, TargetUrl veya TargetHostname için diğer ad.

Hedef sistem alanları

Alan Sınıfı Tür Açıklama
Dst Diğer ad Dize Kimlik doğrulama hedefinin benzersiz tanımlayıcısı.

Bu alan TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId veya TargetAppName alanlarını adlandırabilir.

Örnek: 192.168.12.1
TargetHostname Önerilen Ana bilgisayar adı Etki alanı bilgileri hariç, hedef cihaz ana bilgisayar adı.

Örnek: DESKTOP-1282V4D
TargetDomain Önerilen Etki Alanı (Dize) Hedef cihazın etki alanı.

Örnek: Contoso
TargetDomainType Koşullu Numaralandırılmış TargetDomain türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiDomainType'a bakın.

TargetDomain kullanılıyorsa gereklidir.
TargetFQDN İsteğe bağlı FQDN (Dize) Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef cihaz ana bilgisayar adı.

Örnek: Contoso\DESKTOP-1282V4D

Not: Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. TargetDomainType, kullanılan biçimi yansıtır.
TargetDescription İsteğe bağlı Dize Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Primary Domain Controller.
TargetDvcId İsteğe bağlı Dize Hedef cihazın kimliği. Birden çok kimlik varsa, en önemli kimlikleri kullanın ve diğerlerini alanlarında depolayın TargetDvc<DvcIdType>.

Örnek: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
TargetDvcScopeId İsteğe bağlı Dize Cihazın ait olduğu bulut platformu kapsam kimliği. TargetDvcScopeId, Azure'teki bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
TargetDvcScope İsteğe bağlı Dize Cihazın ait olduğu bulut platformu kapsamı. TargetDvcScope, Azure'teki bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
TargetDvcIdType Koşullu Numaralandırılmış TargetDvcId türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiDvcIdType'a bakın.

TargetDeviceId kullanılıyorsa gereklidir.
TargetDeviceType İsteğe bağlı Numaralandırılmış Hedef cihazın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiDeviceType'a bakın.
TargetIpAddr İsteğe bağlı IP Adresi Hedef cihazın IP adresi.

Örnek: 2.2.2.2
TargetDvcOs İsteğe bağlı Dize Hedef cihazın işletim sistemi.

Örnek: Windows 10
TargetPortNumber İsteğe bağlı Tamsayı Hedef cihazın bağlantı noktası.
TargetGeoCountry İsteğe bağlı Ülke Hedef IP adresiyle ilişkili ülke/bölge.

Örnek: USA
TargetGeoRegion İsteğe bağlı Bölge Hedef IP adresiyle ilişkilendirilmiş bölge.

Örnek: Vermont
TargetGeoCity İsteğe bağlı Şehir Hedef IP adresiyle ilişkilendirilmiş şehir.

Örnek: Burlington
TargetGeoLatitude İsteğe bağlı Enlem Hedef IP adresiyle ilişkili coğrafi koordinatın enlemi.

Örnek: 44.475833
TargetGeoLongitude İsteğe bağlı Boylam Hedef IP adresiyle ilişkili coğrafi koordinatın boylamı.

Örnek: 73.211944
TargetRiskLevel İsteğe bağlı Tamsayı Hedefle ilişkili risk düzeyi. Değer, iyi huylu ve 0 yüksek risk için ile bir 100 aralığına 0100ayarlanmalıdır.

Örnek: 90
TargetOriginalRiskLevel İsteğe bağlı Dize Raporlama cihazı tarafından bildirilen hedefle ilişkili risk düzeyi.

Örnek: Suspicious

İnceleme alanları

Aşağıdaki alanlar, bir güvenlik sistemi tarafından gerçekleştirilen incelemeyi temsil etmek için kullanılır.

Alan Sınıfı Tür Açıklama
Rulename İsteğe bağlı Dize Denetim sonuçlarıyla ilişkili kuralın adı veya kimliği.
KuralSayısı İsteğe bağlı Tamsayı İnceleme sonuçlarıyla ilişkili kuralın sayısı.
Kural Diğer ad Dize RuleName değeri veya RuleNumber değeri. RuleNumber değeri kullanılırsa, tür dizeye dönüştürülmelidir.
ThreatId İsteğe bağlı Dize Denetim etkinliğinde tanımlanan tehdidin veya kötü amaçlı yazılımın kimliği.
ThreatName İsteğe bağlı Dize Denetim etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılımın adı.
ThreatCategory İsteğe bağlı Dize Denetim dosyası etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılım kategorisi.
ThreatRiskLevel İsteğe bağlı RiskLevel (Tamsayı) Tanımlanan tehditle ilişkili risk düzeyi. Düzey 0 ile 100 arasında bir sayı olmalıdır.

Not: Değer kaynak kayıtta farklı bir ölçek kullanılarak sağlanabilir ve bu ölçek normalleştirilmelidir. Özgün değer ThreatRiskLevelOriginal içinde depolanmalıdır.
ThreatOriginalRiskLevel İsteğe bağlı Dize Raporlama cihazı tarafından bildirilen risk düzeyi.
ThreatConfidence İsteğe bağlı ConfidenceLevel (Tamsayı) Tanımlanan tehdidin güvenilirlik düzeyi, 0 ile 100 arasında bir değere normalleştirilmiştir.
ThreatOriginalConfidence İsteğe bağlı Dize Raporlama cihazı tarafından bildirilen, tanımlanan tehdidin özgün güvenilirlik düzeyi.
ThreatIsActive İsteğe bağlı Boole Tanımlanan tehdit etkin bir tehdit olarak kabul edilirse true.
ThreatFirstReportedTime İsteğe bağlı Datetime IP adresi veya etki alanı ilk kez bir tehdit olarak tanımlandı.
ThreatLastReportedTime İsteğe bağlı Datetime IP adresinin veya etki alanının en son tehdit olarak tanımlandığı zaman.
ThreatIpAddr İsteğe bağlı IP Adresi Bir tehdidin tanımlandığı bir IP adresi. ThreatField alanı ThreatIpAddr tarafından temsil edilen alanın adını içerir.
ThreatField Koşullu Numaralandırılmış Bir tehdidin tanımlandığı alan. Değer veya SrcIpAddrTargetIpAddrşeklindedir.

Şema güncelleştirmeleri

Şemanın 0.1.1 sürümündeki değişiklikler şunlardır:

  • Kullanıcı ve cihaz varlık alanları diğer şemalarla uyumlu olacak şekilde güncelleştirildi.
  • TargetDvc SrcDvc Target Geçerli ASIM yönergeleriyle uyumlu hale getirmek için sırasıyla ve Src olarak yeniden adlandırıldı. Yeniden adlandırılan alanlar 1 Temmuz 2022'ye kadar diğer ad olarak uygulanacaktır. Bu alanlar şunlardır: SrcDvcHostname, SrcDvcHostnameType, SrcDvcType, SrcDvcIpAddr, TargetDvcHostname, , TargetDvcHostnameType, TargetDvcTypeTargetDvcIpAddr, ve TargetDvc.
  • ve Srcdiğer adları Dst eklendi.
  • , , SrcDvcIdType, SrcDeviceTypeve ve TargetDvcIdTypeTargetDeviceTypealanlarını EventSchemaekledik.

Şemanın 0.1.2 sürümündeki değişiklikler şunlardır:

  • , , , ActorScopeTargetUserScope, , SrcDvcScopeId, SrcDvcScope, TargetDvcScopeIdve TargetDvcScopeDvcScopeIdalanlarını DvcScopeekledik.

Şemanın 0.1.3 sürümündeki değişiklikler şunlardır:

  • , , , SrcPortNumberActorOriginalUserType, , ActorScopeId, TargetOriginalUserType, , TargetUserScopeIdSrcDescription, SrcRiskLevelve SrcOriginalRiskLevelalanlarını TargetDescriptionekledik.
  • Denetim alanları eklendi
  • Hedef sistem coğrafi konum alanları eklendi.

Şemanın 0.1.4 sürümündeki değişiklikler şunlardır:

  • ve ActingOriginalAppTypealanlarını TargetOriginalAppType ekledik.
  • diğer adı Applicationeklendi.