Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Microsoft Sentinel Kimlik Doğrulaması şeması, kullanıcı kimlik doğrulaması, oturum açma ve oturum kapatma ile ilgili olayları açıklamak için kullanılır. Kimlik doğrulama olayları, genellikle diğer olayların yanı sıra olay akışının bir parçası olarak birçok raporlama cihazı tarafından gönderilir. Örneğin, Windows diğer işletim sistemi etkinliği olaylarının yanı sıra birkaç kimlik doğrulama olayı gönderir.
Kimlik doğrulama olayları, VPN ağ geçitleri veya etki alanı denetleyicileri gibi kimlik doğrulamasına odaklanan sistemlerden gelen olayları ve bilgisayar veya güvenlik duvarı gibi bir son sisteme doğrudan kimlik doğrulamasını içerir.
Microsoft Sentinel normalleştirme hakkında daha fazla bilgi için bkz. Normalleştirme ve Gelişmiş Güvenlik Bilgi Modeli (ASIM).
Çözümleyicileri
Microsoft Sentinel GitHub deposundan ASIM kimlik doğrulama ayrıştırıcılarını dağıtın. ASIM ayrıştırıcıları hakkında daha fazla bilgi için ASIM ayrıştırıcılarına genel bakış makalelerine bakın.
Ayrıştırıcıları birleştirme
Tüm ASIM kullanıma alınmış ayrıştırıcıları birleştiren ayrıştırıcıları kullanmak ve çözümlemenizin yapılandırılan tüm kaynaklarda çalıştığından emin olmak için filtreleme ayrıştırıcısını imAuthentication veya parametresiz ayrıştırıcıyı ASimAuthentication kullanın.
Kaynağa özgü ayrıştırıcılar
Microsoft Sentinel kimlik doğrulaması ayrıştırıcıları listesi için ASIM ayrıştırıcıları listesine bakın:
Kendi normalleştirilmiş ayrıştırıcılarınızı ekleme
Kimlik doğrulama bilgileri modeli için özel ayrıştırıcılar uygularken aşağıdaki söz dizimini kullanarak KQL işlevlerinizi adlandırın:
-
vimAuthentication<vendor><Product>ayrıştırıcıları filtrelemek için -
ASimAuthentication<vendor><Product>parametresiz ayrıştırıcılar için
Birleştirici ayrıştırıcıya özel ayrıştırıcılarınızı ekleme hakkında bilgi için ASIM ayrıştırıcılarını yönetme bölümüne bakın.
Ayrıştırıcı parametrelerini filtreleme
im ve vim* ayrıştırıcıları filtreleme parametrelerini destekler. Bu ayrıştırıcılar isteğe bağlı olsa da sorgu performansınızı artırabilir.
Aşağıdaki filtreleme parametreleri kullanılabilir:
| Name | Tür | Açıklama |
|---|---|---|
| Starttime | Datetime | Yalnızca bu sürenin sonunda veya sonrasında çalıştırılan kimlik doğrulama olaylarını filtreleyin. Bu parametre, EventStartTime ve EventEndTime alanlarının ayrıştırıcıya özgü eşlemesine bakılmaksızın, olay zamanı için standart belirleyici olan alana filtrelenir TimeGenerated . |
| Endtime | Datetime | Yalnızca şu anda veya öncesinde çalıştırılması biten kimlik doğrulama olaylarını filtreleyin. Bu parametre, EventStartTime ve EventEndTime alanlarının ayrıştırıcıya özgü eşlemesine bakılmaksızın, olay zamanı için standart belirleyici olan alana filtrelenir TimeGenerated . |
| srcipaddr_has_any_prefix | dynamic | Yalnızca kaynak IP adresi ön ekinin listelenen değerlerden birinde yer aldığı kimlik doğrulama olaylarını filtreleyin. Ön ekler ile .bitmelidir, örneğin: 10.0.. |
| srchostname_has_any | dynamic | Yalnızca kaynak ana bilgisayar adının listelenen değerlerden biri olduğu kimlik doğrulama olaylarını filtreleyin. |
| username_has_any | dynamic | Yalnızca kullanıcı adının listelenen değerlerden biri olduğu kimlik doğrulama olaylarını filtreleyin. |
| targetappname_has_any | dynamic | Yalnızca hedef uygulama adının listelenen değerlerden biri olduğu kimlik doğrulama olaylarını filtreleyin. |
| eventtype_in | dynamic | Yalnızca olay türünün listelenen değerlerden biri olduğu kimlik doğrulama olaylarını filtreleyin. |
| eventresult | dize | Yalnızca belirli bir EventResult değerine sahip kimlik doğrulama olaylarını filtreleyin. |
| eventresultdetails_in | dynamic | Yalnızca olay sonucu ayrıntılarının listelenen değerlerden biri olduğu kimlik doğrulama olaylarını filtreleyin. |
Örneğin, yalnızca son gündeki kimlik doğrulama olaylarını belirli bir kullanıcıya filtrelemek için şunu kullanın:
imAuthentication (username_has_any = dynamic(['johndoe']), starttime = ago(1d), endtime=now())
İpucu
Dinamik değer bekleyen parametrelere değişmez değer listesi geçirmek için, dinamik değişmez değeri açıkça kullanın. Örneğin: dynamic(['192.168.','10.']).
Normalleştirilmiş içerik
Normalleştirilmiş kimlik doğrulama analizi kuralları, kaynaklar arasında saldırıları algıladıkça benzersizdir. Örneğin, bir kullanıcı farklı ülkelerden/bölgelerden farklı, ilgisiz sistemlerde oturum açtıysa Microsoft Sentinel artık bu tehdidi algılar.
Normalleştirilmiş Kimlik Doğrulaması olaylarını kullanan analiz kurallarının tam listesi için bkz. Kimlik doğrulama şeması güvenlik içeriği.
Şemaya genel bakış
Kimlik doğrulama bilgileri modeli , OSSEM oturum açma varlığı şemasıyla hizalanır.
Aşağıdaki tabloda listelenen alanlar Kimlik doğrulama olaylarına özgü olsa da diğer şemalardaki alanlara benzer ve benzer adlandırma kurallarına uyar.
Kimlik doğrulama olayları aşağıdaki varlıklara başvurur:
- TargetUser - Sistemde kimlik doğrulaması yapmak için kullanılan kullanıcı bilgileri. TargetSystem, kimlik doğrulama olayının birincil konusudur ve Bir TargetUser'ın tanımlamış olduğu Kullanıcı diğer adlarıdır.
- TargetApp - Kimliği doğrulanan uygulama.
- Target - TargetApp* uygulamasının çalıştığı sistem.
- Actor - TargetUser'dan farklıysa kimlik doğrulamasını başlatan kullanıcı.
- ActingApp - Actor tarafından kimlik doğrulamasını gerçekleştirmek için kullanılan uygulama.
- Src - Aktör tarafından kimlik doğrulamasını başlatmak için kullanılan sistem.
Bu varlıklar arasındaki ilişki en iyi şekilde aşağıdaki gibi gösterilir:
Src adlı bir kaynak sistem üzerinde rol alan bir Uygulama olan ActingApp'i çalıştıran bir Aktör, hedef bir uygulama olan TargetApp'tetargetDvc hedef sisteminde TargetUser olarak kimlik doğrulamayı dener.
Şema ayrıntıları
Aşağıdaki tablolarda , Tür bir mantıksal türe başvurur. Daha fazla bilgi için bkz. Mantıksal türler.
Ortak ASIM alanları
Önemli
Tüm şemalarda ortak olan alanlar ASIM Ortak Alanları makalesinde ayrıntılı olarak açıklanmıştır.
Belirli yönergelere sahip ortak alanlar
Aşağıdaki listede, kimlik doğrulama olayları için belirli yönergelere sahip alanlardan bahsedmektedir:
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| EventType | Zorunlu | Numaralandırılmış | Kayıt tarafından bildirilen işlemi açıklar. Kimlik doğrulama kayıtları için desteklenen değerler şunlardır: - Logon - Logoff- Elevate |
| EventResultDetails | Önerilen | Numaralandırılmış | Olay sonucuyla ilişkili ayrıntılar. Bu alan genellikle sonuç bir hata olduğunda doldurulur. İzin verilen değerler şunlardır: - No such user or password. Bu değer, özgün olay parolaya başvurmadan böyle bir kullanıcı olmadığını bildirdiğinde de kullanılmalıdır.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. Özgün olay raporladığında bu değer kullanılmalıdır, örneğin: MFA gerekli, çalışma saatleri dışında oturum açma, koşullu erişim kısıtlamaları veya çok sık denemeler.- Session expired- OtherDeğer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değerlerle normalleştirilmelidir. Özgün değer EventOriginalResultDetails alanında depolanmalıdır |
| EventSubType | İsteğe bağlı | Numaralandırılmış | Oturum açma türü. İzin verilen değerler şunlardır: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote - Uzaktan oturum açma türü bilinmediğinde kullanın.- AssumeRole - Genellikle olay türü olduğunda Elevatekullanılır. Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değerlerle normalleştirilmelidir. Özgün değer EventOriginalSubType alanında depolanmalıdır. |
| EventSchemaVersion | Zorunlu | SchemaVersion (Dize) | Şemanın sürümü. Şemanın burada belgelenen sürümü 0.1.4 |
| EventSchema | Zorunlu | Numaralandırılmış | Burada belgelenen şemanın adı Kimlik Doğrulaması'dır. |
| Dvc alanları | - | - | Kimlik doğrulama olayları için cihaz alanları olayı bildiren sisteme başvurur. |
Tüm ortak alanlar
Aşağıdaki tabloda görünen alanlar tüm ASIM şemalarında ortaktır. Yukarıda belirtilen tüm yönergeler alanın genel yönergelerini geçersiz kılar. Örneğin, bir alan genel olarak isteğe bağlı olabilir, ancak belirli bir şema için zorunlu olabilir. Her alan hakkında daha fazla ayrıntı için ASIM Ortak Alanları makalesine bakın.
| Sınıfı | Alanları |
|---|---|
| Zorunlu |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Önerilen |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| İsteğe bağlı |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcO'lar - DvcOsVersion - DvcOriginalAction - DvcInterface - EkAlanlar - DvcDescription - DvcScopeId - DvcScope |
Kimlik doğrulamasına özgü alanlar
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| LogonMethod | İsteğe bağlı | Dize | Kimlik doğrulaması gerçekleştirmek için kullanılan yöntem. İzin verilen değerler şunlardır: Managed Identity, Service Principal, Username & Password, Multi factor authentication, Passwordless, , PKI, PAMve Other. Örnekler: Managed Identity |
| LogonProtocol | İsteğe bağlı | Dize | Kimlik doğrulaması gerçekleştirmek için kullanılan protokol. Örnek: NTLM |
Aktör alanları
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| ActorUserId | İsteğe bağlı | Dize | Aktörün makine tarafından okunabilir, alfasayısal, benzersiz bir gösterimi. Daha fazla bilgi ve ek kimlikler için alternatif alanlar için bkz. Kullanıcı varlığı. Örnek: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | İsteğe bağlı | Dize | ActorUserId ve ActorUsername'in tanımlandığı Microsoft Entra kiracısı gibi kapsam. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUserScope bölümüne bakın. |
| ActorScopeId | İsteğe bağlı | Dize | ActorUserId ve ActorUsername'in tanımlandığı Microsoft Entra Dizin Kimliği gibi kapsam kimliği. daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUserScopeId bölümüne bakın. |
| ActorUserIdType | Koşullu | UserIdType | ActorUserId alanında depolanan kimliğin türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiUserIdType bölümüne bakın. |
| ActorUsername | İsteğe bağlı | Kullanıcı adı (Dize) | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere Aktörün kullanıcı adı. Daha fazla bilgi için bkz. Kullanıcı varlığı. Örnek: AlbertE |
| ActorUsernameType | Koşullu | UsernameType |
ActorUsername alanında depolanan kullanıcı adının türünü belirtir. Daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUsernameType bölümüne bakın. Örnek: Windows |
| ActorUserType | İsteğe bağlı | Usertype | Aktörün türü. Daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUserType bölümüne bakın. Örneğin: Guest |
| ActorOriginalUserType | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen kullanıcı türü. |
| ActorSessionId | İsteğe bağlı | Dize | Aktörün oturum açma oturumunun benzersiz kimliği. Örnek: 102pTUgC3p8RIqHvzxLCHnFlg |
Eylem Uygulama alanları
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| ActingAppId | İsteğe bağlı | Dize | İşlem, tarayıcı veya hizmet dahil olmak üzere aktör adına yetkilendirilen uygulamanın kimliği. Örneğin: 0x12ae8 |
| ActingAppName | İsteğe bağlı | Dize | İşlem, tarayıcı veya hizmet dahil olmak üzere aktör adına yetkilendirilen uygulamanın adı. Örneğin: C:\Windows\System32\svchost.exe |
| ActingAppType | İsteğe bağlı | AppType | Oyunculuk uygulamasının türü. Daha fazla bilgi ve izin verilen değer listesi için Şemaya Genel Bakış makalesindekiAppType bölümüne bakın. |
| ActingOriginalAppType | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen eylem uygulamasının türü. |
| HttpUserAgent | İsteğe bağlı | Dize | Kimlik doğrulaması HTTP veya HTTPS üzerinden gerçekleştirildiğinde, bu alanın değeri, kimlik doğrulamasını gerçekleştirirken eylem yapan uygulama tarafından sağlanan user_agent HTTP üst bilgisidir. Örneğin: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Hedef kullanıcı alanları
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| TargetUserId | İsteğe bağlı | Dize | Makine tarafından okunabilir, alfasayısal, hedef kullanıcının benzersiz gösterimi. Daha fazla bilgi ve ek kimlikler için alternatif alanlar için bkz. Kullanıcı varlığı. Örnek: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | İsteğe bağlı | Dize | TargetUserId ve TargetUsername'in tanımlandığı Microsoft Entra kiracısı gibi kapsam. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUserScope bölümüne bakın. |
| TargetUserScopeId | İsteğe bağlı | Dize | TargetUserId ve TargetUsername'in tanımlandığı Microsoft Entra Dizin Kimliği gibi kapsam kimliği. daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUserScopeId bölümüne bakın. |
| TargetUserIdType | Koşullu | UserIdType |
TargetUserId alanında depolanan kullanıcı kimliğinin türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiUserIdType bölümüne bakın. Örnek: SID |
| TargetUsername | İsteğe bağlı | Kullanıcı adı (Dize) | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef kullanıcı kullanıcı adı. Daha fazla bilgi için bkz. Kullanıcı varlığı. Örnek: MarieC |
| TargetUsernameType | Koşullu | UsernameType | TargetUsername alanında depolanan kullanıcı adının türünü belirtir. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiUsernameType bölümüne bakın. |
| TargetUserType | İsteğe bağlı | Usertype | Hedef kullanıcının türü. Daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUserType bölümüne bakın. Örneğin: Member |
| TargetSessionId | İsteğe bağlı | Dize | Kaynak cihazdaki TargetUser oturum açma oturum tanımlayıcısı. |
| TargetOriginalUserType | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen kullanıcı türü. |
| Kullanıcı | Diğer ad | Kullanıcı adı (Dize) |
TargetUsername tanımlanmamışsa TargetUsername veya TargetUserId diğer adı. Örnek: CONTOSO\dadmin |
Kaynak sistem alanları
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| Src | Önerilen | Dize | Kaynak cihazın benzersiz tanımlayıcısı. Bu alan SrcDvcId, SrcHostname veya SrcIpAddr alanlarını diğer adla adlandırabilir. Örnek: 192.168.12.1 |
| SrcDvcId | İsteğe bağlı | Dize | Kaynak cihazın kimliği. Birden çok kimlik varsa, en önemli kimlikleri kullanın ve diğerlerini alanlarında depolayın SrcDvc<DvcIdType>.Örnek: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | İsteğe bağlı | Dize | Cihazın ait olduğu bulut platformu kapsam kimliği. SrcDvcScopeId, Azure'teki bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| SrcDvcScope | İsteğe bağlı | Dize | Cihazın ait olduğu bulut platformu kapsamı. SrcDvcScope, Azure'teki bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| SrcDvcIdType | Koşullu | DvcIdType |
SrcDvcId türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiDvcIdType'a bakın. Not: SrcDvcId kullanılıyorsa bu alan gereklidir. |
| SrcDeviceType | İsteğe bağlı | Devicetype | Kaynak cihazın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiDeviceType'a bakın. |
| SrcHostname | İsteğe bağlı | Ana bilgisayar adı | Etki alanı bilgileri hariç, kaynak cihaz ana bilgisayar adı. Kullanılabilir cihaz adı yoksa, ilgili IP adresini bu alanda depolayın. Örnek: DESKTOP-1282V4D |
| SrcDomain | İsteğe bağlı | Etki Alanı (Dize) | Kaynak cihazın etki alanı. Örnek: Contoso |
| SrcDomainType | Koşullu | Domaintype |
SrcDomain türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiDomainType'a bakın. SrcDomain kullanılıyorsa gereklidir. |
| SrcFQDN | İsteğe bağlı | FQDN (Dize) | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak cihaz ana bilgisayar adı. Not: Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. SrcDomainType alanı kullanılan biçimi yansıtır. Örnek: Contoso\DESKTOP-1282V4D |
| SrcDescription | İsteğe bağlı | Dize | Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Primary Domain Controller. |
| SrcIpAddr | Önerilen | IP Adresi | Kaynak cihazın IP adresi. Örnek: 2.2.2.2 |
| SrcPortNumber | İsteğe bağlı | Tamsayı | Bağlantının kaynaklandığı IP bağlantı noktası. Örnek: 2335 |
| SrcDvcO'lar | İsteğe bağlı | Dize | Kaynak cihazın işletim sistemi. Örnek: Windows 10 |
| IpAddr | Diğer ad | SrcIpAddr diğer adı | |
| SrcIsp | İsteğe bağlı | Dize | Kaynak cihaz tarafından İnternet'e bağlanmak için kullanılan İnternet Servis Sağlayıcısı (ISS). Örnek: corpconnect |
| SrcGeoCountry | İsteğe bağlı | Ülke | Örnek: Canada Daha fazla bilgi için bkz. Mantıksal türler. |
| SrcGeoCity | İsteğe bağlı | Şehir | Örnek: Montreal Daha fazla bilgi için bkz. Mantıksal türler. |
| SrcGeoRegion | İsteğe bağlı | Bölge | Örnek: Quebec Daha fazla bilgi için bkz. Mantıksal türler. |
| SrcGeoLongitude | İsteğe bağlı | Boylam | Örnek: -73.614830 Daha fazla bilgi için bkz. Mantıksal türler. |
| SrcGeoLatitude | İsteğe bağlı | Enlem | Örnek: 45.505918 Daha fazla bilgi için bkz. Mantıksal türler. |
| SrcRiskLevel | İsteğe bağlı | Tamsayı | Kaynakla ilişkili risk düzeyi. Değer, iyi huylu ve 0 yüksek risk için ile bir 100 aralığına 0100ayarlanmalıdır.Örnek: 90 |
| SrcOriginalRiskLevel | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen kaynakla ilişkili risk düzeyi. Örnek: Suspicious |
Hedef uygulama alanları
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| TargetAppId | İsteğe bağlı | Dize | Yetkilendirmenin gerekli olduğu uygulamanın kimliği( genellikle raporlama cihazı tarafından atanır). Örnek: 89162 |
| TargetAppName | İsteğe bağlı | Dize | Hizmet, URL veya SaaS uygulaması dahil olmak üzere yetkilendirmenin gerekli olduğu uygulamanın adı. Örnek: Saleforce |
| Uygulama | Diğer ad | TargetAppName diğer adı. | |
| TargetAppType | Koşullu | AppType | Aktör adına yetkilendirilen uygulamanın türü. Daha fazla bilgi ve izin verilen değer listesi için Şemaya Genel Bakış makalesindekiAppType bölümüne bakın. |
| TargetOriginalAppType | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen Aktör adına yetkilendirilen uygulamanın türü. |
| TargetUrl | İsteğe bağlı | URL | Hedef uygulamayla ilişkilendirilmiş URL. Örnek: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Diğer ad | Kimlik doğrulama hedefini en iyi açıklayan alan olan TargetAppName, TargetUrl veya TargetHostname için diğer ad. |
Hedef sistem alanları
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| Dst | Diğer ad | Dize | Kimlik doğrulama hedefinin benzersiz tanımlayıcısı. Bu alan TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId veya TargetAppName alanlarını adlandırabilir. Örnek: 192.168.12.1 |
| TargetHostname | Önerilen | Ana bilgisayar adı | Etki alanı bilgileri hariç, hedef cihaz ana bilgisayar adı. Örnek: DESKTOP-1282V4D |
| TargetDomain | Önerilen | Etki Alanı (Dize) | Hedef cihazın etki alanı. Örnek: Contoso |
| TargetDomainType | Koşullu | Numaralandırılmış |
TargetDomain türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiDomainType'a bakın. TargetDomain kullanılıyorsa gereklidir. |
| TargetFQDN | İsteğe bağlı | FQDN (Dize) | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef cihaz ana bilgisayar adı. Örnek: Contoso\DESKTOP-1282V4D Not: Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. TargetDomainType, kullanılan biçimi yansıtır. |
| TargetDescription | İsteğe bağlı | Dize | Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Primary Domain Controller. |
| TargetDvcId | İsteğe bağlı | Dize | Hedef cihazın kimliği. Birden çok kimlik varsa, en önemli kimlikleri kullanın ve diğerlerini alanlarında depolayın TargetDvc<DvcIdType>. Örnek: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | İsteğe bağlı | Dize | Cihazın ait olduğu bulut platformu kapsam kimliği. TargetDvcScopeId, Azure'teki bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| TargetDvcScope | İsteğe bağlı | Dize | Cihazın ait olduğu bulut platformu kapsamı. TargetDvcScope, Azure'teki bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| TargetDvcIdType | Koşullu | Numaralandırılmış |
TargetDvcId türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiDvcIdType'a bakın. TargetDeviceId kullanılıyorsa gereklidir. |
| TargetDeviceType | İsteğe bağlı | Numaralandırılmış | Hedef cihazın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiDeviceType'a bakın. |
| TargetIpAddr | İsteğe bağlı | IP Adresi | Hedef cihazın IP adresi. Örnek: 2.2.2.2 |
| TargetDvcOs | İsteğe bağlı | Dize | Hedef cihazın işletim sistemi. Örnek: Windows 10 |
| TargetPortNumber | İsteğe bağlı | Tamsayı | Hedef cihazın bağlantı noktası. |
| TargetGeoCountry | İsteğe bağlı | Ülke | Hedef IP adresiyle ilişkili ülke/bölge. Örnek: USA |
| TargetGeoRegion | İsteğe bağlı | Bölge | Hedef IP adresiyle ilişkilendirilmiş bölge. Örnek: Vermont |
| TargetGeoCity | İsteğe bağlı | Şehir | Hedef IP adresiyle ilişkilendirilmiş şehir. Örnek: Burlington |
| TargetGeoLatitude | İsteğe bağlı | Enlem | Hedef IP adresiyle ilişkili coğrafi koordinatın enlemi. Örnek: 44.475833 |
| TargetGeoLongitude | İsteğe bağlı | Boylam | Hedef IP adresiyle ilişkili coğrafi koordinatın boylamı. Örnek: 73.211944 |
| TargetRiskLevel | İsteğe bağlı | Tamsayı | Hedefle ilişkili risk düzeyi. Değer, iyi huylu ve 0 yüksek risk için ile bir 100 aralığına 0100ayarlanmalıdır.Örnek: 90 |
| TargetOriginalRiskLevel | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen hedefle ilişkili risk düzeyi. Örnek: Suspicious |
İnceleme alanları
Aşağıdaki alanlar, bir güvenlik sistemi tarafından gerçekleştirilen incelemeyi temsil etmek için kullanılır.
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| Rulename | İsteğe bağlı | Dize | Denetim sonuçlarıyla ilişkili kuralın adı veya kimliği. |
| KuralSayısı | İsteğe bağlı | Tamsayı | İnceleme sonuçlarıyla ilişkili kuralın sayısı. |
| Kural | Diğer ad | Dize | RuleName değeri veya RuleNumber değeri. RuleNumber değeri kullanılırsa, tür dizeye dönüştürülmelidir. |
| ThreatId | İsteğe bağlı | Dize | Denetim etkinliğinde tanımlanan tehdidin veya kötü amaçlı yazılımın kimliği. |
| ThreatName | İsteğe bağlı | Dize | Denetim etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılımın adı. |
| ThreatCategory | İsteğe bağlı | Dize | Denetim dosyası etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılım kategorisi. |
| ThreatRiskLevel | İsteğe bağlı | RiskLevel (Tamsayı) | Tanımlanan tehditle ilişkili risk düzeyi. Düzey 0 ile 100 arasında bir sayı olmalıdır. Not: Değer kaynak kayıtta farklı bir ölçek kullanılarak sağlanabilir ve bu ölçek normalleştirilmelidir. Özgün değer ThreatRiskLevelOriginal içinde depolanmalıdır. |
| ThreatOriginalRiskLevel | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen risk düzeyi. |
| ThreatConfidence | İsteğe bağlı | ConfidenceLevel (Tamsayı) | Tanımlanan tehdidin güvenilirlik düzeyi, 0 ile 100 arasında bir değere normalleştirilmiştir. |
| ThreatOriginalConfidence | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen, tanımlanan tehdidin özgün güvenilirlik düzeyi. |
| ThreatIsActive | İsteğe bağlı | Boole | Tanımlanan tehdit etkin bir tehdit olarak kabul edilirse true. |
| ThreatFirstReportedTime | İsteğe bağlı | Datetime | IP adresi veya etki alanı ilk kez bir tehdit olarak tanımlandı. |
| ThreatLastReportedTime | İsteğe bağlı | Datetime | IP adresinin veya etki alanının en son tehdit olarak tanımlandığı zaman. |
| ThreatIpAddr | İsteğe bağlı | IP Adresi | Bir tehdidin tanımlandığı bir IP adresi. ThreatField alanı ThreatIpAddr tarafından temsil edilen alanın adını içerir. |
| ThreatField | Koşullu | Numaralandırılmış | Bir tehdidin tanımlandığı alan. Değer veya SrcIpAddrTargetIpAddrşeklindedir. |
Şema güncelleştirmeleri
Şemanın 0.1.1 sürümündeki değişiklikler şunlardır:
- Kullanıcı ve cihaz varlık alanları diğer şemalarla uyumlu olacak şekilde güncelleştirildi.
-
TargetDvcSrcDvcTargetGeçerli ASIM yönergeleriyle uyumlu hale getirmek için sırasıyla veSrcolarak yeniden adlandırıldı. Yeniden adlandırılan alanlar 1 Temmuz 2022'ye kadar diğer ad olarak uygulanacaktır. Bu alanlar şunlardır:SrcDvcHostname,SrcDvcHostnameType,SrcDvcType,SrcDvcIpAddr,TargetDvcHostname, ,TargetDvcHostnameType,TargetDvcTypeTargetDvcIpAddr, veTargetDvc. - ve
Srcdiğer adlarıDsteklendi. - , ,
SrcDvcIdType,SrcDeviceTypeve veTargetDvcIdTypeTargetDeviceTypealanlarınıEventSchemaekledik.
Şemanın 0.1.2 sürümündeki değişiklikler şunlardır:
- , , ,
ActorScopeTargetUserScope, ,SrcDvcScopeId,SrcDvcScope,TargetDvcScopeIdveTargetDvcScopeDvcScopeIdalanlarınıDvcScopeekledik.
Şemanın 0.1.3 sürümündeki değişiklikler şunlardır:
- , , ,
SrcPortNumberActorOriginalUserType, ,ActorScopeId,TargetOriginalUserType, ,TargetUserScopeIdSrcDescription,SrcRiskLevelveSrcOriginalRiskLevelalanlarınıTargetDescriptionekledik. - Denetim alanları eklendi
- Hedef sistem coğrafi konum alanları eklendi.
Şemanın 0.1.4 sürümündeki değişiklikler şunlardır:
- ve
ActingOriginalAppTypealanlarınıTargetOriginalAppTypeekledik. - diğer adı
Applicationeklendi.
İlgili içerik
- Gelişmiş Güvenlik Bilgileri Modeline (ASIM) genel bakış
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) içeriği
- Azure Sentinel Web Semineri: Azure Sentinel'da Bilgiler Model-Understanding Normalleştirme