Referenz zum Schema für die Authentifizierungsnormalisierung des erweiterten Sicherheitsinformationsmodells (ADVANCED Security Information Model, ASIM) (öffentliche Vorschau)
Das Microsoft Sentinel-Authentifizierungsschema wird zum Beschreiben von Ereignissen im Zusammenhang mit der Authentifizierung und der An- und Abmeldung von Benutzern verwendet. Authentifizierungsereignisse werden von vielen meldenden Geräten meist im Rahmen des Ereignisdatenstroms zusammen mit anderen Ereignissen gesendet. Von Windows werden beispielsweise verschiedene Authentifizierungsereignisse zusammen mit anderen Ereignissen im Zusammenhang mit Betriebssystemaktivitäten gesendet.
Zu den Authentifizierungsereignissen gehören sowohl Ereignisse von Systemen, die sich auf die Authentifizierung konzentrieren, wie etwa VPN-Gateways oder Domänencontroller, als auch die direkte Authentifizierung bei einem Endsystem, wie etwa bei einem Computer oder einer Firewall.
Weitere Informationen zur Normalisierung in Microsoft Sentinel finden Sie unter Normalisierung und erweitertes Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM).
Wichtig
Das Authentifizierungsnormalisierungsschema befindet sich derzeit in der VORSCHAUPHASE. Dieses Feature wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen.
In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Parser
Stellen Sie die ASIM-Authentifizierungsparser aus dem Microsoft Sentinel-GitHub-Repository bereit. Weitere Informationen zu ASIM-Parsern finden Sie in den Artikeln der Übersicht über ASIM-Parser.
Vereinheitlichende Parsern
Um Parser zu verwenden, die alle bereits integrierten ASIM-Parser vereinheitlichen, und sicherzustellen, dass ihre Analyse über alle konfigurierten Quellen hinweg ausgeführt wird, verwenden Sie den Filterparser imAuthentication oder den parameterlosen Parser ASimAuthentication.
Quellenlspezifische Parser
Die Liste der Authentifizierungsparser, die Microsoft Sentinel zur Verfügung stellt, finden Sie in der Liste der ASIM-Parser:
Hinzufügen eigener normalisierter Parser
Wenn Sie benutzerdefinierte Parser für das Authentifizierungsinformationsmodell implementieren, benennen Sie Ihre KQL-Funktionen anhand der folgenden Syntax:
vimAuthentication<vendor><Product>zum Filtern von ParsernASimAuthentication<vendor><Product>für parameterlose Parser
Informationen zum Hinzufügen der benutzerdefinierten Parser zum vereinheitlichenden Parser finden Sie unter Verwalten von ASIM-Parsern.
Filtern von Parser-Parametern
Die Parser im und vim* unterstützen Filterparameter. Indem diese Parser optional sind, können sie die Leistung Ihrer Abfrage verbessern.
Die folgenden Filterparameter sind verfügbar:
| Name | Typ | Beschreibung |
|---|---|---|
| StartTime | datetime | Filtert nur Authentifizierungsereignisse, die zu oder nach dieser Zeit ausgeführt wurden. |
| EndTime | datetime | Filtert nur Authentifizierungsereignisse, deren Ausführung zu oder vor diesem Zeitpunkt beendet wurde. |
| targetusername_has | Zeichenfolge | Filtert nur Authentifizierungsereignisse, die einen der aufgeführten Benutzernamen aufweisen. |
Verwenden Sie beispielsweise Folgendes, um nur Authentifizierungsereignisse vom letzten Tag für einen bestimmten Benutzer zu filtern:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Tipp
Um eine Literalliste an Parameter zu übergeben, die einen dynamischen Wert erwarten, verwenden Sie explizit ein dynamisches Literal. Beispiel: dynamic(['192.168.','10.']).
Normalisierter Inhalt
Regeln für die Analyse einer normalisierten Authentifizierung sind speziell, da damit Angriffe von verschiedenen Quellen erkannt werden. Wenn sich beispielsweise ein Benutzer oder eine Benutzerin von verschiedenen Ländern/Regionen aus bei verschiedenen, nicht miteinander verbundenen Systemen anmeldet, wird diese Bedrohung jetzt von Microsoft Sentinel erkannt.
Eine vollständige Liste der Analyseregeln, die normalisierte Authentifizierungsereignisse verwenden, finden Sie unter Sicherheitsinhalt des Authentifizierungsschemas.
Schemaübersicht
Das Authentifizierungsinformationsmodell orientiert sich am OSSEM-Anmeldeentitätsschema.
Die in der folgenden Tabelle aufgeführten Felder sind spezifisch für Authentifizierungsereignisse. Sie ähneln jedoch Feldern in anderen Schemas und folgen ähnlichen Benennungskonventionen.
Authentifizierungsereignisse beziehen sich auf die folgenden Entitäten:
- TargetUser: Die Benutzerinformationen, die für die Authentifizierung beim System verwendet werden. TargetSystem ist das primäre Subjekt des Authentifizierungsereignisses, und der Alias „User“ ist ein Alias für einen identifizierten TargetUser.
- TargetApp: Die Anwendung, bei der die Authentifizierung erfolgt ist.
- Target: Das System, auf dem TargetApp* ausgeführt wird.
- Actor: Der Benutzer, der die Authentifizierung initiiert, sofern er sich von TargetUser unterscheidet.
- ActingApp: Die Anwendung, die vom Actor zum Durchführen der Authentifizierung verwendet wird.
- Src: Das System, das vom Actor zum Initiieren der Authentifizierung verwendet wird.
Die Beziehung zwischen diesen Entitäten lässt sich am besten wie folgt darstellen:
Ein Akteur (Actor), der eine agierende Anwendung (ActingApp) auf einem Quellgerät (Src) ausführt, authentifiziert einen Zielbenutzer (TargetUser) bei einer Zielanwendung (TargetApp) auf einem Zielgerät (TargetDvc).
Schemadetails
In den folgenden Tabellen ist mit Typ ein logischer Typ gemeint. Weitere Informationen finden Sie unter Logische Typen.
Allgemeine ASIM-Felder
Wichtig
Felder, die allen Schemas gemeinsam sind, werden im Artikel Allgemeine ASIM-Felder ausführlich beschrieben.
Allgemeine Felder mit bestimmten Richtlinien
In der folgenden Liste werden Felder erwähnt, die bestimmte Richtlinien für Authentifizierungsereignisse enthalten.
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| EventType | Obligatorisch. | Enumerated | Beschreibt den vom Datensatz gemeldeten Vorgang. Für Authentifizierungsdatensätze werden folgende Werte unterstützt: - Logon - Logoff- Elevate |
| EventResultDetails | Empfohlen | String | Die Details, die dem Ereignisergebnis zugeordnet sind. Dieses Feld wird in der Regel aufgefüllt, wenn das Ergebnis ein Fehler ist. Zulässige Werte sind: - No such user or password. Dieser Wert sollte auch dann verwendet werden, wenn mit dem ursprünglichen Ereignis ohne Verweis auf ein Kennwort gemeldet wird, dass kein solcher Benutzer vorhanden ist.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. Dieser Wert sollte verwendet werden, wenn mit dem ursprünglichen Ereignis beispielsweise Folgendes gemeldet wird: MFA erforderlich, Anmeldung außerhalb der Arbeitszeiten, Beschränkungen durch bedingten Zugriff oder zu viele Versuche.- Session expired- OtherDer Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die in diese Werte normalisiert werden sollten. Der ursprüngliche Wert muss im Feld EventOriginalResultDetails gespeichert werden. |
| EventSubType | Optional | String | Der Anmeldetyp. Zulässige Werte sind: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote wird verwendet, wenn der Typ der Remoteanmeldung unbekannt ist.- AssumeRole wird in der Regel verwendet, wenn der Ereignistyp Elevate ist. Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die in diese Werte normalisiert werden sollten. Der ursprüngliche Wert muss im Feld EventOriginalSubType gespeichert werden. |
| EventSchemaVersion | Obligatorisch. | String | Die Version des Schemas. Die hier dokumentierte Version des Schemas ist 0.1.3. |
| EventSchema | Obligatorisch. | String | Der Name des hier dokumentierten Schemas lautet Authentifizierung. |
| Dvc-Felder | - | - | Bei Authentifizierungsereignissen beziehen sich die Gerätefelder auf das System, das das Ereignis meldet. |
Alle allgemeinen Felder
Felder, die in der folgenden Tabelle angezeigt werden, sind für alle ASIM-Schemas gleich. Jede oben angegebene Richtlinie setzt die allgemeinen Richtlinien für das Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel Allgemeine ASIM-Felder.
| Klasse | Fields |
|---|---|
| Obligatorisch. | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Empfohlen | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optional | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Authentifizierungsspezifische Felder
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| LogonMethod | Optional | String | Die zum Durchführen der Authentifizierung verwendete Methode. Beispiele: Username & Password, PKI |
| LogonProtocol | Optional | String | Das zum Durchführen der Authentifizierung verwendete Protokoll. Beispiel: NTLM |
Akteurfelder
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| ActorUserId | Optional | String | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Akteurs. Weitere Informationen und alternative Felder für zusätzliche IDs finden Sie unter Die Benutzerentität. Beispiel: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Optional | String | Der Bereich, z. B. der Microsoft Entra-Mandant, in dem ActorUserId und ActorUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht. |
| ActorScopeId | Optional | String | Die Bereichs-ID, z. B. die Microsoft Entra Directory-ID, in der ActorUserId und ActorUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht. |
| ActorUserIdType | Bedingt | UserIdType | Der Typ der ID, die im Feld ActorUserId gespeichert ist. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserIdType im Artikel „Schemaübersicht“. |
| ActorUsername | Optional | Username | Der Benutzername des Akteurs ggf. mit Informationen zur Domäne. Weitere Informationen finden Sie unter Benutzerentität. Beispiel: AlbertE |
| ActorUsernameType | Bedingt | UsernameType | Gibt den Typ des Benutzernamens an, der im Feld ActorUsername gespeichert ist. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UsernameType im Artikel „Schemaübersicht“. Beispiel: Windows |
| ActorUserType | Optional | UserType | Der Typ des Akteurs. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserType im Artikel „Schemaübersicht“. Beispiel: Guest |
| ActorOriginalUserType | Optional | UserType | Der Benutzertyp, wie vom Gerät gemeldet. |
| ActorSessionId | Optional | String | Die eindeutige ID der Anmeldesitzung des Akteurs. Beispiel: 102pTUgC3p8RIqHvzxLCHnFlg |
Felder für „Agierende Anwendung“
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| ActingAppId | Optional | String | Die ID der Anwendung, die im Auftrag des Akteurs Autorisierungen durchführt. Dabei kann es sich um einen Prozess, einen Browser oder einen Dienst handeln. Beispiel: 0x12ae8 |
| ActingAppName | Optional | String | Der Name der Anwendung, die im Auftrag des Akteurs Autorisierungen durchführt. Dabei kann es sich um einen Prozess, einen Browser oder einen Dienst handeln. Beispiel: C:\Windows\System32\svchost.exe |
| ActingAppType | Optional | AppType | Der Typ der agierenden Anwendung. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter AppType im Artikel „Schemaübersicht“. |
| HttpUserAgent | Optional | String | Wenn die Authentifizierung über HTTP oder HTTPS erfolgt, entspricht der Wert dieses Felds dem HTTP-Header „user_agent“, der von der agierenden Anwendung beim Durchführen der Authentifizierung bereitgestellt wird. Beispiel: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Zielbenutzerfelder
| Feld | Klasse | type | Beschreibung |
|---|---|---|---|
| TargetUserId | Optional | UserId | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Zielbenutzers. Weitere Informationen und alternative Felder für zusätzliche IDs finden Sie unter Die Benutzerentität. Beispiel: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | Optional | String | Der Bereich, z. B. der Microsoft Entra-Mandant, in dem TargetUserId und TargetUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht. |
| TargetUserScopeId | Optional | String | Die Bereichs-ID, z. B. die Microsoft Entra-ID, in der TargetUserId und TargetUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht. |
| TargetUserIdType | Bedingt | UserIdType | Der Typ der Benutzer-ID, die im Feld TargetUserId gespeichert ist. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserIdType im Artikel „Schemaübersicht“. Beispiel: SID |
| TargetUsername | Optional | Username | Der Benutzername des Zielbenutzers ggf. mit Informationen zur Domäne. Weitere Informationen finden Sie unter Benutzerentität. Beispiel: MarieC |
| TargetUsernameType | Bedingt | UsernameType | Gibt den Typ des Benutzernamens an, der im Feld TargetUsername gespeichert ist. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UsernameType im Artikel „Schemaübersicht“. |
| TargetUserType | Optional | UserType | Der Typ des Zielbenutzers. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserType im Artikel „Schemaübersicht“. Beispiel: Member |
| TargetSessionId | Optional | String | Der Bezeichner für die Anmeldesitzung des Zielbenutzers auf dem Quellgerät. |
| TargetOriginalUserType | Optional | UserType | Der Benutzertyp, wie vom Gerät gemeldet. |
| Benutzer | Alias | Username | Alias für den TargetUsername oder die TargetUserId, wenn TargetUsername nicht definiert ist. Beispiel: CONTOSO\dadmin |
Felder für „Quellsystem“
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| Src | Empfohlen | String | Der eindeutige Bezeichner des Quellgeräts. Dieses Feld kann ein Alias für die Felder SrcDvcId, SrcHostname oder SrcIpAddr sein. Beispiel: 192.168.12.1 |
| SrcDvcId | Optional | String | Die ID des Quellgeräts. Wenn mehrere IDs verfügbar sind, verwenden Sie die wichtigste, und speichern Sie die anderen in den Feldern SrcDvc<DvcIdType>.Beispiel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Optional | String | Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| SrcDvcScope | Optional | String | Der Cloudplattformbereich, zu dem das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| SrcDvcIdType | Bedingt | DvcIdType | Der Typ von SrcDvcId. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType im Artikel „Schemaübersicht“. Hinweis: Dieses Feld ist erforderlich, wenn das Feld SrcDvcId verwendet wird. |
| SrcDeviceType | Optional | DeviceType | Der Typ des Quellgeräts. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DeviceType im Artikel „Schemaübersicht“. |
| SrcHostname | Empfohlen | Hostname | Der Hostname des Quellgeräts ohne Domäneninformationen. Wenn kein Gerätename verfügbar ist, speichern Sie die entsprechende IP-Adresse in diesem Feld. Beispiel: DESKTOP-1282V4D |
| SrcDomain | Empfohlen | String | Die Domäne des Quellgeräts. Beispiel: Contoso |
| SrcDomainType | Bedingt | DomainType | Der Typ von SrcDomain. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DomainType im Artikel „Schemaübersicht“. Erforderlich, wenn SrcDomain verwendet wird. |
| SrcFQDN | Optional | String | Der Hostname des Quellgeräts ggf. mit Informationen zur Domäne. Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format „Domäne\Hostname“. Das Feld SrcDomainType spiegelt das verwendete Format wider. Beispiel: Contoso\DESKTOP-1282V4D |
| SrcDescription | Optional | String | Ein mit dem Gerät verknüpfter beschreibender Text. Beispiel: Primary Domain Controller. |
| SrcIpAddr | Optional | IP-Adresse | Die IP-Adresse des Quellgeräts. Beispiel: 2.2.2.2 |
| SrcPortNumber | Optional | Integer | Der IP-Port, von dem die Verbindung stammt. Beispiel: 2335 |
| SrcDvcOs | Optional | String | Das Betriebssystem des Quellgeräts. Beispiel: Windows 10 |
| IpAddr | Alias | Alias für SrcIpAddr | |
| SrcIsp | Optional | String | Der Internetdienstanbieter (Internet Service Provider, ISP), der vom Quellgerät zum Herstellen einer Internetverbindung verwendet wird. Beispiel: corpconnect |
| SrcGeoCountry | Optional | Land | Beispiel: Canada Weitere Informationen finden Sie unter Logische Typen. |
| SrcGeoCity | Optional | City | Beispiel: Montreal Weitere Informationen finden Sie unter Logische Typen. |
| SrcGeoRegion | Optional | Region | Beispiel: Quebec Weitere Informationen finden Sie unter Logische Typen. |
| SrcGeoLongtitude | Optional | Längengrad | Beispiel: -73.614830 Weitere Informationen finden Sie unter Logische Typen. |
| SrcGeoLatitude | Optional | Breitengrad | Beispiel: 45.505918 Weitere Informationen finden Sie unter Logische Typen. |
| SrcRiskLevel | Optional | Integer | Die der Quelle zugeordnete Risikostufe. Der Wert sollte auf einen Bereich zwischen 0 und 100 angepasst werden, wobei 0 unbedenklich ist und 100 ein hohes Risiko darstellt.Beispiel: 90 |
| SrcOriginalRiskLevel | Optional | Integer | Das mit der Quelle verbundene Risikolevel, wie vom Gerät gemeldet. Beispiel: Suspicious |
Zielanwendungsfelder
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| TargetAppId | Optional | String | Die ID der Anwendung, für die die Autorisierung erforderlich ist und die häufig vom meldenden Gerät zugewiesen wird. Beispiel: 89162 |
| TargetAppName | Optional | String | Der Name der Anwendung, für die die Autorisierung erforderlich ist. Dabei kann es sich um einen Dienst, eine URL oder eine SaaS-Anwendung handeln. Beispiel: Saleforce |
| TargetAppType | Optional | AppType | Der Typ der Anwendung, die im Auftrag des Akteurs Autorisierungen durchführt. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter AppType im Artikel „Schemaübersicht“. |
| TargetUrl | Optional | URL | Die der Zielanwendung zugeordnete URL. Beispiel: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Alias | Alias für TargetAppName, TargetUrl oder TargetHostname, je nachdem, mit welchem Feld das Authentifizierungsziel am besten beschrieben wird. |
Felder für „Zielsystem“
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| Dst | Alias | String | Ein eindeutiger Bezeichner des Authentifizierungsziels. Dieses Feld kann einen Alias für die Felder TargetDvcld, TargetHostname, TargetIpAddr, TargetAppId oder TargetAppName enthalten. Beispiel: 192.168.12.1 |
| TargetHostname | Empfohlen | Hostname | Der Hostname des Zielgeräts ohne Domäneninformationen. Beispiel: DESKTOP-1282V4D |
| TargetDomain | Empfohlen | String | Die Domäne des Zielgeräts. Beispiel: Contoso |
| TargetDomainType | Bedingt | Enumerated | Der Typ von TargetDomain. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DomainType im Artikel „Schemaübersicht“. Erforderlich, wenn TargetDomain verwendet wird. |
| TargetFQDN | Optional | String | Der Hostname des Zielgeräts ggf. mit Informationen zur Domäne. Beispiel: Contoso\DESKTOP-1282V4D Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format „Domäne\Hostname“. TargetDomainType spiegelt das verwendete Format wider. |
| TargetDescription | Optional | String | Ein mit dem Gerät verknüpfter beschreibender Text. Beispiel: Primary Domain Controller. |
| TargetDvcId | Optional | String | Die ID des Zielgeräts Wenn mehrere IDs verfügbar sind, verwenden Sie die wichtigste, und speichern Sie die anderen in den Feldern TargetDvc<DvcIdType>. Beispiel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Optional | String | Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. TargetDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| TargerDvcScope | Optional | String | Der Cloudplattformbereich, zu dem das Gerät gehört. TargetDvcScope wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| TargetDvcIdType | Bedingt | Enumerated | Der Typ von TargetDvcId. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType im Artikel „Schemaübersicht“. Erforderlich, wenn TargetDeviceId verwendet wird. |
| TargetDeviceType | Optional | Enumerated | Der Typ des Zielgeräts. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DeviceType im Artikel „Schemaübersicht“. |
| TargetIpAddr | Optional | IP-Adresse | Die IP-Adresse des Zielgeräts. Beispiel: 2.2.2.2 |
| TargetDvcOs | Optional | String | Das Betriebssystem des Zielgeräts. Beispiel: Windows 10 |
| TargetPortNumber | Optional | Integer | Der Port des Zielgeräts. |
| TargetGeoCountry | Optional | Land | Das Land/die Region, das bzw. die der Ziel-IP-Adresse zugeordnet ist. Beispiel: USA |
| TargetGeoRegion | Optional | Region | Die der Ziel-IP-Adresse zugeordnete Region. Beispiel: Vermont |
| TargetGeoCity | Optional | City | Die Stadt, die der Ziel-IP-Adresse zugeordnet ist. Beispiel: Burlington |
| TargetGeoLatitude | Optional | Breitengrad | Der Breitengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist. Beispiel: 44.475833 |
| TargetGeoLongitude | Optional | Längengrad | Der Längengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist. Beispiel: 73.211944 |
| TargetRiskLevel | Optional | Integer | Die dem Ziel zugeordnete Risikostufe. Der Wert sollte auf einen Bereich zwischen 0 und 100 angepasst werden, wobei 0 unbedenklich ist und 100 ein hohes Risiko darstellt.Beispiel: 90 |
| TargetOriginalRiskLevel | Optional | Integer | Die dem Ziel zugeordnete Risikostufe, wie vom Gerät gemeldet. Beispiel: Suspicious |
Inspektionsfelder
Die folgenden Felder werden verwendet, um die Überprüfung darzustellen, die von einem Sicherheitssystem durchgeführt wird.
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| RuleName | Optional | String | Der Name oder die ID der Regel, die den Inspektionsergebnissen zugeordnet ist. |
| RuleNumber | Optional | Integer | Die Nummer der Regel, die den Inspektionsergebnissen zugeordnet ist. |
| Regel | Alias | String | Entweder der Wert von RuleName oder der Wert von RuleNumber. Bei Verwendung des Werts RuleNumber sollte der Typ in eine Zeichenfolge konvertiert werden. |
| ThreatId | Optional | String | Die ID der in der Überwachungsaktivität identifizierten Bedrohung oder Schadsoftware |
| ThreatName | Optional | String | Der Name der in der Überwachungsaktivität identifizierten Bedrohung oder Schadsoftware |
| ThreatCategory | Optional | String | Die Kategorie der in der Überwachungsdateiaktivität identifizierten Bedrohung oder Schadsoftware |
| ThreatRiskLevel | Optional | Integer | Die Risikostufe, die der identifizierten Bedrohung zugeordnet ist. Hierbei muss es sich um eine Zahl zwischen 0 und 100 handeln. Hinweis: Der Wert ist im Quelldatensatz möglicherweise in einer anderen Skala angegeben und muss auf diese Skala normalisiert werden. Der ursprüngliche Wert muss im Feld ThreatRiskLevelOriginal gespeichert werden. |
| ThreatOriginalRiskLevel | Optional | String | Die Risikostufe, wie vom meldenden Gerät gemeldet. |
| ThreatConfidence | Optional | Integer | Die Konfidenzstufe der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100 |
| ThreatOriginalConfidence | Optional | String | Die ursprüngliche Konfidenzstufe der identifizierten Bedrohung, wie vom meldenden Gerät gemeldet. |
| ThreatIsActive | Optional | Boolean | TRUE, wenn die identifizierte Bedrohung als aktive Bedrohung betrachtet wird. |
| ThreatFirstReportedTime | Optional | datetime | Das erste Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
| ThreatLastReportedTime | Optional | datetime | Das letzte Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
| ThreatIpAddr | Optional | IP-Adresse | Eine IP-Adresse, für die eine Bedrohung identifiziert wurde. Das Feld ThreatField enthält den Namen des Felds, das ThreatIpAddr darstellt. |
| ThreatField | Optional | Enumerated | Das Feld, für das eine Bedrohung identifiziert wurde. Der Wert lautet entweder SrcIpAddr oder TargetIpAddr. |
Schemaupdates
In der Version 0.1.1 des Schemas wurde Folgendes geändert:
- Benutzer- und Geräteentitätsfelder wurden aktualisiert, um sie an andere Schemas anzupassen.
- Umbenennung von
TargetDvcundSrcDvcinTargetundSrc, um sich an die aktuellen ASIM-Richtlinien anzupassen. Die umbenannten Felder werden bis zum 1. Juli 2022 als Aliase implementiert. Diese Felder umfassen:SrcDvcHostname,SrcDvcHostnameType,SrcDvcType,SrcDvcIpAddr,TargetDvcHostname,TargetDvcHostnameType,TargetDvcType,TargetDvcIpAddrundTargetDvc. - Die Aliase
SrcundDstwurden hinzugefügt. - Die Felder
SrcDvcIdType,SrcDeviceType,TargetDvcIdType,TargetDeviceTypeundEventSchemawurden hinzugefügt.
Dies sind die Änderungen in Version 0.1.2 des Schemas:
- Die Felder
ActorScope,TargetUserScope,SrcDvcScopeId,SrcDvcScope,TargetDvcScopeId,TargetDvcScope,DvcScopeIdundDvcScopewurden hinzugefügt.
Dies sind die Änderungen in Version 0.1.3 des Schemas:
- Die Felder
SrcPortNumber,ActorOriginalUserType,ActorScopeId,TargetOriginalUserType,TargetUserScopeId,SrcDescription,SrcRiskLevel,SrcOriginalRiskLevelundTargetDescriptionwurden hinzugefügt. - Inspektionsfelder wurden hinzugefügt.
- Geostandortfelder des Zielsystems wurden hinzugefügt.
Nächste Schritte
Weitere Informationen finden Sie unter
- Sehen Sie sich das ASIM-Webinar an, oder befassen Sie sich mit den Folien.
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Schemas für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Parser für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Inhalte für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)