Schemareferenz zur Microsoft Sentinel-Benutzerverwaltungsnormalisierung

Das Normalisierungsschema der Microsoft Sentinel-Benutzerverwaltung wird verwendet, um Aktivitäten zur Benutzerverwaltung zu beschreiben, z. B. das Erstellen eines Benutzers oder einer Gruppe, das Ändern des Benutzerattributs oder das Hinzufügen eines Benutzers zu einer Gruppe. Solche Ereignisse werden z. B. von Betriebssystemen, Verzeichnisdiensten, Identitätsverwaltungssystemen und anderen Systemen gemeldet, die über die lokale Benutzerverwaltungsaktivität berichten.

Weitere Informationen zur Normalisierung in Microsoft Sentinel finden Sie unter Normalisierung und erweitertes Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM).

Schemaübersicht

Das ASIM-Benutzerverwaltungsschema beschreibt Benutzerverwaltungsaktivitäten. Die Aktivitäten umfassen in der Regel die folgenden Entitäten:

Akteur: Der Benutzer, der die Verwaltungstätigkeit ausführt.
Agierender Prozess: Der Prozess, der vom Akteur zum Ausführen der Verwaltungsaktivität verwendet wird.
Quelle: Wenn die Aktivität über das Netzwerk ausgeführt wird, das Quellgerät, von dem die Aktivität initiiert wurde.
Zielbenutzer: Der Benutzer, dessen Konto verwaltet wird.
Gruppe: Zu dieser wird der Zielbenutzer hinzugefügt, aus ihr entfernt oder in ihr geändert.

Einige Aktivitäten, wie UserCreated, GroupCreated, UserModified und GroupModified*, legen Benutzereigenschaften fest oder aktualisieren sie. Die festgelegte oder aktualisierte Eigenschaft wird in den folgenden Feldern dokumentiert:

EventSubType: Der Name des Werts, der festgelegt oder aktualisiert wurde. UpdatedPropertyName ist ein Alias für EventSubType, wenn sich EventSubType auf einen der relevanten Ereignistypen bezieht.
PreviousPropertyValue: Der vorherige Wert der Eigenschaft.
NewPropertyValue: Der aktualisierte Wert der Eigenschaft.

Schemadetails

Allgemeine ASIM-Felder

Wichtig

Felder, die allen Schemas gemeinsam sind, werden im Artikel Allgemeine ASIM-Felder ausführlich beschrieben.

Allgemeine Felder mit bestimmten Richtlinien

In der folgenden Liste werden Felder erwähnt, die bestimmte Richtlinien für Prozessaktivitätsereignisse enthalten:

Feld	Klasse	type	BESCHREIBUNG
EventType	Obligatorisch.	Enumerated	Beschreibt den vom Datensatz gemeldeten Vorgang. Für die Benutzerverwaltungsaktivität werden die folgenden Werte unterstützt: - `UserCreated` - `UserDeleted` - `UserModified` - `UserLocked` - `UserUnlocked` - `UserDisabled` - `UserEnabled` - `PasswordChanged` - `PasswordReset` - `GroupCreated` - `GroupDeleted` - `GroupModified` - `UserAddedToGroup` - `UserRemovedFromGroup` - `GroupEnumerated` - `UserRead` - `GroupRead`
EventSubtype	Optional	Enumerated	Folgende Untertypen werden unterstützt: - `UserRead`: Kennwort, Hash - `UserCreated`, `GroupCreated`, `UserModified`, . `GroupModified` Weitere Informationen finden Sie unter UpdatedPropertyName.
EventResult	Obligatorisch.	Enumerated	Obwohl ein Fehler möglich ist, melden die meisten Systeme nur erfolgreiche Benutzerverwaltungsereignisse. Der erwartete Wert für erfolgreiche Ereignisse ist `Success`.
EventResultDetails	Empfohlen	Enumerated	Die gültigen Werte sind `NotAuthorized` und `Other`.
EventSeverity	Obligatorisch.	Enumerated	Zwar sind alle gültigen Schweregradwerte zulässig, aber der Schweregrad von Benutzerverwaltungsereignissen ist in der Regel `Informational`.
EventSchema	Obligatorisch.	Enumerated	Der Name des hier dokumentierten Schemas lautet `UserManagement`.
EventSchemaVersion	Obligatorisch.	SchemaVersion (String)	Die Version des Schemas. Die Version des hier dokumentierten Schemas lautet `0.1.2`.
Dvc-Felder			Bei Ereignissen der Benutzerverwaltung beziehen sich die Gerätefelder auf das System, das das Ereignis meldet. Dies ist normalerweise das System, auf dem der Benutzer verwaltet wird.

Alle allgemeinen Felder

Felder, die in der folgenden Tabelle angezeigt werden, sind für alle ASIM-Schemas gleich. Jede oben angegebene Richtlinie setzt die allgemeinen Richtlinien für das Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel Allgemeine ASIM-Felder.

Klasse	Fields
Obligatorisch.	- Ereignisanzahl - EventStartZeit - EventEndTime - EventType (Ereignistyp) - EventResult - EventProdukt - EventVendor (Englisch) - EventSchema (Ereignis) - EventSchemaVersion - Dvc
Empfohlen	- EventResultDetails - EreignisSchweregrad - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction
Optional	- EventMessage (Ereignisnachricht) - EventSubtype - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion (EreignisProduktversion) - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcSchnittstelle - ZusätzlicheFelder - DvcDescription - DvcScopeId - Dvc-Bereich

Aktualisierte Eigenschaftenfelder

Feld	Klasse	type	BESCHREIBUNG
UpdatedPropertyName	Alias		Alias für EventSubType, wenn der Ereignistyp `UserCreated`, `GroupCreated`, `UserModified` oder `GroupModified` ist. Diese Werte werden unterstützt: - `MultipleProperties`: Wird verwendet, wenn die Aktivität mehrere Eigenschaften aktualisiert. - `Previous<PropertyName>`, wobei `<PropertyName>` einer der unterstützten Werte für `UpdatedPropertyName` ist. - `New<PropertyName>`, wobei `<PropertyName>` einer der unterstützten Werte für `UpdatedPropertyName` ist.
VorherigePropertyValue	Optional	String	Der vorherige Wert, der in der angegebenen Eigenschaft gespeichert wurde.
NewPropertyValue	Optional	String	Der neue Wert, der in der angegebenen Eigenschaft gespeichert ist.

Zielbenutzerfelder

Feld	Klasse	type	BESCHREIBUNG
TargetUserId	Optional	String	Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Zielbenutzers. Unterstützte Formate und Typen: - SID (Windows): `S-1-5-21-1377283216-344919071-3415362939-500` - UID (Linux): `4578` - AADID (Microsoft Entra ID): `9267d02c-5f76-40a9-a9eb-b686f3ca47aa` - OktaId: `00urjk4znu3BcncfY0h7` - AWSId: `72643944673` Speichern Sie den ID-Typ im Feld TargetUserIdType. Wenn andere IDs verfügbar sind, sollten Sie die Feldnamen in TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId bzw. TargetUserAwsId normalisieren. Weitere Informationen finden Sie unter Benutzerentität. Beispiel: `S-1-12`
TargetUserIdType	Bedingt	Enumerated	Der Typ der ID, die im Feld TargetUserId gespeichert ist. Unterstützte Werte: `SID`, `UID`, `AADID`, `OktaId` und `AWSId`.
TargetUsername	Optional	Benutzername (String)	Der Zielbenutzername ggf. mit Informationen zur Domäne. Verwenden Sie eines der folgenden Formate in der folgenden Reihenfolge nach Priorität: - UPN/E-Mail: `johndow@contoso.com` - Windows:`Contoso\johndow` - DN:`CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM` - Einfach: `johndow`. Verwenden Sie dieses einfache Format nur, wenn keine Domäneninformationen verfügbar sind. Speichern Sie den Benutzernamenstyp im Feld TargetUsernameType. Wenn andere IDs verfügbar sind, empfiehlt es sich, die Feldnamen in TargetUserUpn, TargetUserWindows und TargetUserDn zu normalisieren. Weitere Informationen finden Sie unter Benutzerentität. Beispiel: `AlbertE`
ZielBenutzernamenTyp	Bedingt	Enumerated	Gibt den Typ des Benutzernamens an, der im Feld TargetUsername gespeichert ist. Unterstützte Werte: `UPN`, `Windows`, `DN` und `Simple`. Weitere Informationen finden Sie unter Benutzerentität. Beispiel: `Windows`
TargetUserType	Optional	Enumerated	Der Typ des Zielbenutzers. Unterstützte Werte sind: - `Regular` - `Machine` - `Admin` - `System` - `Application` - `Service Principal` - `Other` Hinweis: Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld TargetOriginalUserType.
TargetOriginalUserType	Optional	String	Der ursprüngliche Zielbenutzertyp, sofern von der Quelle bereitgestellt.
TargetUserScope	Optional	String	Der Bereich, z. B. der Microsoft Entra-Mandant, in dem TargetUserId und TargetUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht.
TargetUserScopeId	Optional	String	Die Bereichs-ID, z. B. die Microsoft Entra-ID, in der TargetUserId und TargetUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht.
TargetUserSessionId	Optional	String	Die eindeutige ID der Anmeldesitzung des Zielbenutzers. Beispiel: `999` Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows muss dieser Wert numerisch sein. Wenn Sie einen Windows- oder Linux-Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie diesen in einen Dezimalwert.

Akteurfelder

Feld	Klasse	type	BESCHREIBUNG
ActorUserId	Optional	String	Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Akteurs. Unterstützte Formate und Typen: - SID (Windows): `S-1-5-21-1377283216-344919071-3415362939-500` - UID (Linux): `4578` - AADID (Microsoft Entra ID): `9267d02c-5f76-40a9-a9eb-b686f3ca47aa` - OktaId: `00urjk4znu3BcncfY0h7` - AWSId: `72643944673` Speichern Sie den ID-Typ im Feld ActorUserIdType. Wenn andere IDs verfügbar sind, sollten Sie die Feldnamen in ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId und ActorAwsId normalisieren. Weitere Informationen finden Sie unter Benutzerentität. Beispiel: S-1-12
ActorUserIdType	Bedingt	Enumerated	Der Typ der ID, die im Feld ActorUserId gespeichert ist. Unterstützte Werte: `SID`, `UID`, `AADID`, `OktaId` und `AWSId`.
ActorUsername	Obligatorisch.	Benutzername (String)	Der Benutzername des Akteurs ggf. mit Informationen zur Domäne. Verwenden Sie eines der folgenden Formate in der folgenden Reihenfolge nach Priorität: - UPN/E-Mail: `johndow@contoso.com` - Windows:`Contoso\johndow` - DN:`CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM` - Einfach: `johndow`. Verwenden Sie dieses einfache Format nur, wenn keine Domäneninformationen verfügbar sind. Speichern Sie den Benutzernamentyp im Feld ActorUsernameType. Wenn andere IDs verfügbar sind, empfiehlt es sich, die Feldnamen in ActorUserUpn, ActorUserWindows und ActorUserDn zu normalisieren. Weitere Informationen finden Sie unter Benutzerentität. Beispiel: `AlbertE`
Benutzer	Alias		Alias zu ActorUsername.
ActorUsernameType	Bedingt	Enumerated	Gibt den Typ des Benutzernamens an, der im Feld ActorUsername gespeichert ist. Unterstützte Werte: `UPN`, `Windows`, `DN` und `Simple`. Weitere Informationen finden Sie unter Benutzerentität. Beispiel: `Windows`
ActorUserType	Optional	Enumerated	Der Typ des Akteurs. Zulässige Werte sind: - `Regular` - `Machine` - `Admin` - `System` - `Application` - `Service Principal` - `Other` Hinweis: Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld ActorOriginalUserType.
ActorOriginalUserType	Optional	String	Der ursprüngliche Zielbenutzertyp, sofern vom meldenden Gerät bereitgestellt.
ActorOriginalUserType			Der ursprüngliche Akteurbenutzertyp, sofern von der Quelle bereitgestellt.
ActorSessionId	Optional	String	Die eindeutige ID der Anmeldesitzung des Akteurs. Beispiel: `999` Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows muss dieser Wert numerisch sein. Wenn Sie einen Windows-Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie diesen in einen Dezimalwert.
ActorScope	Optional	String	Der Bereich, z. B. der Microsoft Entra-Mandant, in dem ActorUserId und ActorUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht.
ActorScopeId	Optional	String	Die Bereichs-ID, z. B. die Microsoft Entra Directory-ID, in der ActorUserId und ActorUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht.

Gruppieren von Feldern

Feld	Klasse	type	BESCHREIBUNG
GroupId	Optional	String	Eine maschinenlesbare, alphanumerische, eindeutige Darstellung der Gruppe für Aktivitäten, die eine Gruppe betreffen. Unterstützte Formate und Typen: - SID (Windows): `S-1-5-21-1377283216-344919071-3415362939-500` - UID (Linux): `4578` Speichern Sie den ID-Typ im Feld GroupIdType. Wenn andere IDs verfügbar sind, empfiehlt es sich, die Feldnamen in GroupSid oder GroupUid zu normalisieren. Weitere Informationen finden Sie unter Benutzerentität. Beispiel: `S-1-12`
GroupIdType	Optional	Enumerated	Der Typ der ID, die im Feld GroupId gespeichert ist. Unterstützte Werte: `SID` und `UID`.
GroupName	Optional	String	Der Gruppenname, einschließlich der Domäneninformationen, sofern verfügbar, für Aktivitäten, die eine Gruppe betreffen. Verwenden Sie eines der folgenden Formate in der folgenden Reihenfolge nach Priorität: - UPN/E-Mail: `grp@contoso.com` - Windows:`Contoso\grp` - DN:`CN=grp,OU=Sales,DC=Fabrikam,DC=COM` - Einfach: `grp`. Verwenden Sie dieses einfache Format nur, wenn keine Domäneninformationen verfügbar sind. Speichern Sie den Gruppennamenstyp im Feld GroupNameType. Wenn andere IDs verfügbar sind, wird empfohlen, die Feldnamen in "GroupUpn", "GroupNameWindows" und "GroupDn" zu normalisieren. Beispiel: `Contoso\Finance`
GroupNameType	Optional	Enumerated	Gibt den Typ des Gruppennamens an, der im Feld GroupName gespeichert ist. Unterstützte Werte: `UPN`, `Windows`, `DN` und `Simple`. Beispiel: `Windows`
GroupType	Optional	Enumerated	Der Typ der Gruppe für Aktivitäten, die eine Gruppe betreffen. Unterstützte Werte sind: - `Local Distribution` - `Local Security Enabled` - `Global Distribution` - `Global Security Enabled` - `Universal Distribution` - `Universal Security Enabled` - `Other` Hinweis: Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld GroupOriginalType.
GroupOriginalType	Optional	String	Der ursprüngliche Gruppentyp, sofern von der Quelle bereitgestellt.

Quellfelder

Feld	Klasse	type	BESCHREIBUNG
Src	Empfohlen	String	Der eindeutige Bezeichner des Quellgeräts. Dieses Feld kann ein Alias für das Feld SrcDvcId, SrcHostname oder SrcIpAddr sein. Beispiel: `192.168.12.1`
SrcIpAddr	Empfohlen	IP-Adresse	Die IP-Adresse des Quellgeräts. Dieser Wert ist obligatorisch, wenn SrcHostname angegeben wird. Beispiel: `77.138.103.108`
IpAddr	Alias		Alias für SrcIpAddr.
SrcPortNumber	Optional	Integer	Der IP-Port, von dem die Verbindung stammt. Ist möglicherweise für Sitzungen, die mehrere Verbindungen umfassen, nicht relevant. Beispiel: `2335`
SrcMacAddr	Optional	MAC-Adresse (String)	Die MAC-Adresse der Netzwerkschnittstelle, von der aus die Verbindung oder Sitzung hergestellt wurde. Beispiel: `06:10:9f:eb:8f:14`
SrcBeschreibung	Optional	String	Ein mit dem Gerät verknüpfter beschreibender Text. Beispiel: `Primary Domain Controller`.
SrcHostname	Empfohlen	String	Der Hostname des Quellgeräts ohne Domäneninformationen. Beispiel: `DESKTOP-1282V4D`
SrcDomain	Empfohlen	Domain (String)	Die Domäne des Quellgeräts. Beispiel: `Contoso`
SrcDomainType	Empfohlen	Enumerated	Der Typ von SrcDomain, sofern bekannt. Mögliche Werte sind: - `Windows` (beispielsweise `contoso`) - `FQDN` (beispielsweise `microsoft.com`) Erforderlich, wenn SrcDomain verwendet wird.
SrcFQDN	Optional	FQDN (Saite)	Der Hostname des Quellgeräts ggf. mit Informationen zur Domäne. Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format „Domäne\Hostname“. Das Feld SrcDomainType spiegelt das verwendete Format wider. Beispiel: `Contoso\DESKTOP-1282V4D`
SrcDvcId	Optional	String	Die ID des Quellgeräts, wie im Datensatz angegeben. Beispiel: `ac7e9755-8eae-4ffc-8a02-50ed7a2216c3`
SrcDvcScopeId	Optional	String	Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
SrcDvc-Bereich	Optional	String	Der Cloudplattformbereich, zu dem das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
SrcDvcIdType	Bedingt	Enumerated	Der Typ von SrcDvcId, sofern bekannt. Mögliche Werte sind: - `AzureResourceId` - `MDEid` Wenn mehrere IDs verfügbar sind, verwenden Sie die erste aus der obigen Liste, und speichern Sie die anderen im Feld SrcDvcAzureResourceId bzw. SrcDvcMDEid. Hinweis: Dieses Feld ist erforderlich, wenn das Feld SrcDvcId verwendet wird.
SrcDeviceType	Optional	Enumerated	Der Typ des Quellgeräts. Mögliche Werte sind: - `Computer` - `Mobile Device` - `IOT Device` - `Other`
SrcGeoCountry	Optional	Land / Region	Das Land/die Region, das der Quell-IP-Adresse zugeordnet ist. Beispiel: `USA`
SrcGeoRegion	Optional	Region	Die der Quell-IP-Adresse zugeordnete Region. Beispiel: `Vermont`
SrcGeoCity	Optional	City	Die Stadt, die der Quell-IP-Adresse zugeordnet ist. Beispiel: `Burlington`
SrcGeoLatitude	Optional	Breitengrad	Der Breitengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. Beispiel: `44.475833`
SrcGeoLongitude	Optional	Längengrad	Der Längengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. Beispiel: `73.211944`
SrcRiskLevel	Optional	Integer	Die der Quelle zugeordnete Risikostufe. Der Wert sollte auf einen Bereich zwischen `0` und `100` angepasst werden, wobei `0` unbedenklich ist und `100` ein hohes Risiko darstellt. Beispiel: `90`
SrcOriginalRiskLevel	Optional	String	Das mit der Quelle verbundene Risikolevel, wie vom Gerät gemeldet. Beispiel: `Suspicious`

Agierende Anwendung

Feld	Klasse	type	BESCHREIBUNG
ActingAppId	Optional	String	Die ID der Anwendung, die der Akteur zur Durchführung der Aktivität verwendet, einschließlich eines Prozesses, Browsers oder Dienstes. Beispiel: `0x12ae8`
ActingAppName	Optional	String	Der Name der Anwendung, die der Akteur zur Durchführung der Aktivität verwendet, einschließlich eines Prozesses, Browsers oder Dienstes. Beispiel: `C:\Windows\System32\svchost.exe`
ActingAppType	Optional	Enumerated	Der Typ der agierenden Anwendung. Unterstützte Werte: . - `Process` - `Browser` - `Resource` - `Other`
ActingOriginalAppType	Optional	String	Der Typ der Anwendung, die die Aktivität ausgelöst hat, wie sie vom Berichtsgerät gemeldet wurde.
HttpUserAgent	Optional	String	Wenn die Authentifizierung über HTTP oder HTTPS erfolgt, entspricht der Wert dieses Felds dem HTTP-Header „user_agent“, der von der agierenden Anwendung beim Durchführen der Authentifizierung bereitgestellt wird. Beispiel: `Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1`

Inspektionsfelder

Die folgenden Felder werden verwendet, um die Inspektion darzustellen, die von einem Sicherheitssystem wie einem EDR-System durchgeführt wird.

Feld	Klasse	type	BESCHREIBUNG
RuleName	Optional	String	Der Name oder die ID der Regel, die den Inspektionsergebnissen zugeordnet ist.
RuleNumber	Optional	Integer	Die Nummer der Regel, die den Inspektionsergebnissen zugeordnet ist.
Regel	Bedingt	String	Entweder der Wert von kRuleName oder der Wert von RuleNumber. Bei Verwendung des Werts RuleNumber sollte der Typ in eine Zeichenfolge konvertiert werden.
ThreatId	Optional	String	Die ID der in der Dateiaktivität identifizierten Bedrohung oder Schadsoftware.
ThreatName	Optional	String	Der Name der in der Dateiaktivität identifizierten Bedrohung oder Schadsoftware. Beispiel: `EICAR Test File`
ThreatCategory	Optional	String	Die Kategorie der in der Dateiaktivität identifizierten Bedrohung oder Schadsoftware. Beispiel: `Trojan`
ThreatRiskLevel	Optional	RiskLevel (Integer)	Die Risikostufe, die der identifizierten Bedrohung zugeordnet ist. Hierbei muss es sich um eine Zahl zwischen 0 und 100 handeln. Hinweis: Der Wert ist im Quelldatensatz möglicherweise in einer anderen Skala angegeben und muss auf diese Skala normalisiert werden. Der ursprüngliche Wert sollte in ThreatOriginalRiskLevel gespeichert werden.
BedrohungOriginalRisikoStufe	Optional	String	Die Risikostufe, wie vom meldenden Gerät gemeldet.
Bedrohungsfeld	Optional	String	Das Feld, für das eine Bedrohung identifiziert wurde.
ThreatConfidence	Optional	ConfidenceLevel (Integer)	Die Konfidenzstufe der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100
ThreatOriginalConfidence	Optional	String	Die ursprüngliche Konfidenzstufe der identifizierten Bedrohung, wie vom meldenden Gerät gemeldet.
ThreatIsActive	Optional	Boolean	TRUE, wenn die identifizierte Bedrohung als aktive Bedrohung betrachtet wird.
ThreatFirstReportedTime	Optional	Datum/Uhrzeit	Das erste Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde
ThreatLastReportedTime	Optional	Datum/Uhrzeit	Das letzte Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde

Zusätzliche Felder und Aliase

Feld	Klasse	type	BESCHREIBUNG
Hostname	Alias		Alias für DvcHostname.

Schemaupdates

In der Version 0.1.2 des Schemas wurde Folgendes geändert:

Inspektionsfelder wurden hinzugefügt.
Die Quellfelder SrcDescription, SrcMacAddr, SrcOriginalRiskLevel, SrcPortNumber, , SrcRiskLevelwurden hinzugefügt
Hinzugefügte die Zielfelder TargetUserScope, TargetUserScopeId, TargetUserSessionId
Hinzugefügte die Akteurfelder ActorOriginalUserType, ActorScope, ActorScopeId
Das Feld für die Schauspiel-Anwendung wurde hinzugefügt ActingOriginalAppType

Nächste Schritte

Weitere Informationen finden Sie unter

Feedback

War diese Seite hilfreich?

Last updated on 2025-12-11