Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O esquema de normalização de eventos de Auditoria do Microsoft Sentinel representa eventos associados à trilha de auditoria dos sistemas de informações. A trilha de auditoria registra atividades de configuração do sistema e alterações de política. Essas alterações geralmente são executadas por administradores do sistema, mas também podem ser executadas pelos usuários ao definir as configurações de seus próprios aplicativos.
Cada sistema registra eventos de auditoria junto aos principais logs de atividades. Por exemplo, um Firewall registrará eventos sobre os processos de sessões de rede, bem como eventos de auditoria sobre alterações de configuração aplicadas ao próprio Firewall.
Para saber mais sobre a normalização no Microsoft Sentinel, confira Normalização e o ASIM (Modelo de Informações de Segurança Avançado).
Visão geral do esquema
Os campos principais de um evento de auditoria são:
- O objeto, que por exemplo, pode ser um recurso gerenciado ou uma regra de política em que o evento se concentra, representado pelo campo Object. O campo ObjectType especifica o tipo do objeto.
- O contexto de aplicativo do objeto, representado pelo campo TargetAppName, que recebe alias de Application.
- A operação executada no objeto, representada pelos campos EventType e Operation. Embora Operation seja o valor relatado pela origem, EventType é uma versão normalizada, que é mais consistente entre as fontes.
- Os valores antigos e novos para o objeto, se aplicáveis, representados por OldValue e NewValue, respectivamente.
Os eventos de auditoria também fazem referência às seguintes entidades envolvidas na operação de configuração:
- Ator – o usuário que está executando a operação de configuração.
- TargetApp – o aplicativo ou sistema para o qual se aplica a operação de configuração.
- Destino - O sistema no qual o TargetApp* está sendo executado.
- ActingApp – o aplicativo usado pelo Ator para executar a operação de configuração.
- Src – o sistema usado pelo Ator para iniciar a operação de configuração, se diferente de Target.
O descritor Dvc é usado para o dispositivo de relatório, que é o sistema local para sessões relatadas por um ponto de extremidade e o dispositivo de segurança ou intermediário em outros casos.
Analisadores
Implantar e usar analisadores de eventos de auditoria
Implante os analisadores de eventos de auditoria ASIM no repositório GitHub do Microsoft Sentinel. Para consultar todas as origens de eventos de auditoria, use o analisador unificador imAuditEvent como o nome da tabela na consulta.
Para obter mais informações sobre como usar os analisadores do ASIM, consulte a Visão geral dos analisadores do ASIM. Para obter a lista dos analisadores de eventos de auditoria que o Microsoft Sentinel fornece prontos para uso, consulte a Lista dos analisadores do ASIM
Adicionar seus próprios analisadores normalizados
Ao implementar analisadores personalizados para o modelo de informação do Evento do Arquivo, dê um nome às suas funções KQL usando a seguinte sintaxe: imAuditEvent<vendor><Product>. Consulte o artigo Gerenciando analisadores do ASIM para saber como adicionar os analisadores personalizados ao analisador unificador de eventos de auditoria.
Filtragem de parâmetros de analisador
Os analisadores de evento de auditoria dão suporte a parâmetros de filtragem. Embora esses analisadores sejam opcionais, eles podem melhorar o desempenho da consulta.
Os seguintes parâmetros de filtragem estão disponíveis:
| Nome | Tipo | Descrição |
|---|---|---|
| starttime | datetime | Filtre somente os eventos executados nesse horário ou depois dele. Esse parâmetro usa o campo TimeGenerated como o designador de hora do evento. |
| endtime | datetime | Filtre somente os eventos que terminaram a execução nesse horário ou antes dele. Esse parâmetro usa o campo TimeGenerated como o designador de hora do evento. |
| srcipaddr_has_any_prefix | dinâmico | Filtre somente eventos desse endereço IP de origem, conforme representado no campo SrcIpAddr. |
| eventtype_in | cadeia | Filtrar somente os eventos nos quais o tipo de evento, conforme representado no campo EventType, é qualquer um dos termos fornecidos. |
| eventresult | cadeia | Filtrar somente os eventos nos quais o resultado do evento, conforme representado no campo EventResult, é igual ao valor do parâmetro. |
| actorusername_has_any | dynamic/string | Filtre somente os eventos nos quais ActorUsername inclui qualquer um dos termos fornecidos. |
| operation_has_any | dynamic/string | Filtre somente os eventos nos quais o campo Operação inclui qualquer um dos termos fornecidos. |
| object_has_any | dynamic/string | Filtre somente os eventos nos quais o campo Objeto inclui qualquer um dos termos fornecidos. |
| newvalue_has_any | dynamic/string | Filtre somente os eventos nos quais o campo NewValue inclui qualquer um dos termos fornecidos. |
Alguns parâmetros podem aceitar uma lista de valores do tipo dynamic ou um só valor de cadeia de caracteres. Para passar uma lista literal para parâmetros que esperam um valor dinâmico, use explicitamente um literal dinâmico. Por exemplo: dynamic(['192.168.','10.'])
Por exemplo, para filtrar apenas eventos de auditoria com os termos install ou update em seu campo Operação , do último dia, use:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
Detalhes do esquema
Campos comuns do ASIM
Importante
Os campos comuns a todos os esquemas estão descritos em detalhes no artigo Campos comuns do ASIM.
Campos comuns com diretrizes específicas
A lista a seguir menciona os campos que têm diretrizes específicas para eventos de eventos de auditoria:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Tipo de evento | Obrigatório | Enumerated | Descreve a operação auditada pelo evento usando um valor normalizado. Use EventSubType para fornecer mais detalhes que o valor normalizado não transmite e Operação. para armazenar a operação conforme relatado pelo dispositivo de relatório. Para registros de evento de auditoria, os valores permitidos são: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Initialize- Start- Stop- Other Os eventos de auditoria representam uma grande variedade de operações e o valor Other permite operações de mapeamento que não têm nenhum EventType correspondente. No entanto, o uso de Other limita a usabilidade do evento e deve ser evitado, se possível. |
| Subtipo de Evento | Opcional | Cadeia de caracteres | Fornece detalhes adicionais que o valor normalizado em EventType não transmite. |
| EventSchema | Obrigatório | Enumerated | O nome do esquema documentado aqui é AuditEvent. |
| EventSchemaVersion | Obrigatório | SchemaVersion (String) | A versão do esquema. A versão do esquema documentado aqui é 0.1.2. |
Todos os campos comuns
Os campos que aparecem na tabela abaixo são comuns a todos os esquemas de ASIM. Qualquer uma das diretrizes especificadas neste documento substitui as diretrizes gerais para o campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para saber mais sobre cada campo, confira o artigo Campos comuns de ASIM.
| Classe | Fields |
|---|---|
| Obrigatório |
-
Contagem de eventos - EventoInícioHora - EventoFimTempo - Tipo de evento - Resultado do evento - Produto do evento - Fornecedor de eventos - Esquema de Eventos - EventSchemaVersion - Dvc |
| Recomendadas |
-
Detalhes do Resultado do Evento - Gravidade do evento - EventUid - DvcIpAddr - DvcNome do Host - DvcDomínio - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional |
-
Mensagem de Evento - Subtipo de Evento - EventoOriginalUid - EventOriginalType - Subtipo OriginalEvento - Detalhes do Resultado Originaldo Evento - EventoOriginalSeveridade - EventProductVersion - EventReportUrl - Dono do evento - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - Interface Dvc - Campos Adicionais - DvcDescription - DvcScopeId - DvcScope |
Campos de auditoria
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Operação | Obrigatório | Cadeia de caracteres | A operação auditada conforme relatado pelo dispositivo de relatório. |
| Objeto | Obrigatório | Cadeia de caracteres | O nome do objeto no qual é executada a operação identificada por EventType. |
| ObjectId | Opcional | Cadeia de caracteres | O ID do objeto no qual a operação identificada pelo EventType é realizada. |
| ObjectType | Condicional | Enumerated | O tipo de Object. Valores permitidos são: - Cloud Resource- Configuration Atom- Policy Rule- Event Log- Scheduled Task- Service- Directory Service Object- Other |
| OriginalObjectType | Opcional | Cadeia de caracteres | O tipo de Objeto conforme reportado pelo sistema de relatórios |
| Valor antigo | Opcional | Cadeia de caracteres | O valor antigo de Object antes da operação, se aplicável. |
| NewValue | Recomendadas | Cadeia de caracteres | O novo valor de Object após a operação ser executada, se aplicável. |
| Valor | Alias | Alias para NewValue | |
| ValueType | Condicional | Enumerated | O tipo dos valores antigos e novos. Os valores permitidos são – Outros |
Campos de ator
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ActorUserId | Opcional | Cadeia de caracteres | Uma representação exclusiva, alfanumérica e legível pelo computador de um Ator. Para obter mais informações e campos alternativos para outras IDs, consulte Entidade do usuário. Exemplo: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Opcional | Cadeia de caracteres | O escopo, como o nome de domínio do Microsoft Entra, no qual são definidos ActorUserId e ActorUsername. Para obter mais informações e uma lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema. |
| ActorScopeId | Opcional | Cadeia de caracteres | A ID do escopo, como a ID de diretório do Microsoft Entra, na qual são definidos ActorUserId e ActorUsername. para obter mais informações e uma lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema. |
| ActorUserIdType | Condicional | Enumerated | O tipo da ID armazenada no campo ActorUserId. Para obter mais informações e uma lista de valores permitidos, consulte UserIdType no artigo Visão geral do esquema. |
| Nome de usuário ActorUsername | Recomendadas | Nome de usuário (String) | O nome de usuário do ator, incluindo informações de domínio quando disponíveis. Para saber mais, confira A entidade de usuário. Exemplo: AlbertE |
| Usuário | Alias | Alias para ActorUsername | |
| ActorUsernameType | Condicional | UsernameType | Especifica o tipo do nome de usuário armazenado no campo ActorUsername. Para obter mais informações e uma lista de valores permitidos, consulte UsernameType no artigo Visão geral do esquema. Exemplo: Windows |
| ActorUserType | Opcional | UserType | O tipo do ator. Para obter mais informações e uma lista de valores permitidos, consulte UserType no artigo Visão geral do esquema. Por exemplo: Guest |
| ActorOriginalUserType | Opcional | Cadeia de caracteres | O tipo de usuário, conforme relatado pelo dispositivo de relatório. |
| ActorSessionId | Opcional | Cadeia de caracteres | A ID exclusiva da sessão de entrada do Ator. Exemplo: 102pTUgC3p8RIqHvzxLCHnFlg |
Campos do aplicativo de destino
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| TargetAppId | Opcional | Cadeia de caracteres | A ID do aplicativo para o qual se aplica o evento, incluindo um processo, navegador ou serviço. Exemplo: 89162 |
| TargetAppName | Opcional | Cadeia de caracteres | O nome do aplicativo para o qual se aplica o evento, incluindo um serviço, uma URL ou um aplicativo SaaS. Exemplo: Exchange 365 |
| Aplicação | Alias | Alias para TargetAppName | |
| TargetAppType | Condicional | AppType | O tipo de aplicativo que está autorizando em nome do ator. Para obter mais informações e uma lista de valores permitidos, consulte AppType no artigo Visão geral do esquema. |
| TargetOriginalAppType | Opcional | Cadeia de caracteres | O tipo de aplicação ao qual o evento se aplica, conforme reportado pelo dispositivo de relatório. |
| TargetUrl | Opcional | URL | A URL associada ao aplicativo de destino. Exemplo: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
Campos do sistema de destino
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Dst | Alias | Cadeia de caracteres | Um identificador exclusivo do destino de autenticação. Esse campo pode criar alias para os campos TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId ou TargetAppName . Exemplo: 192.168.12.1 |
| NomeHospedeiroTarget. | Recomendadas | Nome do host | O nome do host do dispositivo de destino, incluindo informações de domínio. Exemplo: DESKTOP-1282V4D |
| DomínioDeDestino | Opcional | Domínio (String) | O domínio do dispositivo de destino. Exemplo: Contoso |
| TargetDomainType | Condicional | Enumerated | Tipo de TargetDomain. Para obter uma lista de valores permitidos e informações adicionais, consulte DomainType no artigo Visão Geral do Esquema. Obrigatório se TargetDomain for usado. |
| TargetFQDN | Opcional | FQDN (Corda) | O nome do host do dispositivo de destino, incluindo informações de domínio quando disponíveis. Exemplo: Contoso\DESKTOP-1282V4D Observação: esse campo dá suporte ao formato FQDN tradicional e ao formato domínio\nome do host do Windows. O TargetDomainType reflete o formato usado. |
| Descrição do Alvo | Opcional | Cadeia de caracteres | Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller. |
| TargetDvcId | Opcional | Cadeia de caracteres | A ID do dispositivo de destino. Se várias IDs estiverem disponíveis, use a mais importante e armazene as outras nos campos TargetDvc<DvcIdType>. Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Opcional | Cadeia de caracteres | A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do TargetDvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
| TargetDvcScope | Opcional | Cadeia de caracteres | O escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do TargetDvcScope para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
| TargetDvcIdType | Condicional | Enumerated | Tipo de TargetDvcId. Para obter uma lista de valores permitidos e informações adicionais, consulte DvcIdType no artigo Visão geral do esquema. Obrigatório se TargetDeviceId for usado. |
| TargetDeviceType | Opcional | Enumerated | O tipo do dispositivo de destino. Para obter uma lista de valores permitidos e informações adicionais, consulte DeviceType no artigo Visão geral do esquema. |
| TargetIpAddr | Recomendadas | Endereço IP | O endereço IP do dispositivo de destino. Exemplo: 2.2.2.2 |
| TargetDvcOs | Opcional | Cadeia de caracteres | O sistema operacional do dispositivo de destino. Exemplo: Windows 10 |
| TargetPortNumber | Opcional | Inteiro | A porta do dispositivo de destino. |
| TargetGeoCountry | Opcional | País | O país/região associado ao endereço IP de destino. Exemplo: USA |
| TargetGeoRegion | Opcional | Region | A região dentro de um país/região associada ao endereço IP de destino. Exemplo: Vermont |
| TargetGeoCity | Opcional | City | A cidade associada ao endereço IP Target. Exemplo: Burlington |
| TargetGeoLatitude | Opcional | Latitude | A latitude da coordenada geográfica associada ao endereço IP alvo. Exemplo: 44.475833 |
| TargetGeoLongitude | Opcional | Longitude | A longitude da coordenada geográfica associada ao endereço IP alvo. Exemplo: 73.211944 |
| TargetRiskLevel | Opcional | Inteiro | O nível do risco associado ao destino. O valor deve ser ajustado para um intervalo de 0 para 100, com 0 para benigno e 100 para um risco alto.Exemplo: 90 |
| TargetOriginalRiskLevel | Opcional | Cadeia de caracteres | O nível do risco associado ao destino, conforme relatado pelo dispositivo de relatório. Exemplo: Suspicious |
Campos Aplicativo de ação
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ActingAppId | Opcional | Cadeia de caracteres | A ID do aplicativo que iniciou a atividade relatada, incluindo um processo, navegador ou serviço. Por exemplo: 0x12ae8 |
| ActingAppName | Opcional | Cadeia de caracteres | O nome do aplicativo que iniciou a atividade relatada, incluindo um serviço, uma URL ou um aplicativo SaaS. Por exemplo: C:\Windows\System32\svchost.exe |
| ActingAppType | Opcional | AppType | O tipo de aplicativo de ação. Para obter mais informações e uma lista de valores permitidos, consulte AppType no artigo Visão geral do esquema. |
| AtuaçãoOriginalTipo de Papel | Opcional | Cadeia de caracteres | O tipo da aplicação que iniciou a atividade conforme reportado pelo dispositivo de relatório. |
| HttpUserAgent | Opcional | Cadeia de caracteres | Quando a autenticação é executada por HTTP ou HTTPS, o valor desse campo é o cabeçalho HTTP user_agent fornecido pelo aplicativo de ação ao executar a autenticação. Por exemplo: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Campos do sistema de origem
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Src | Alias | Cadeia de caracteres | Um identificador exclusivo do dispositivo de origem. Esse campo pode gerar alias dos campos SrcDvcId, SrcHostname ou SrcIpAddr. Exemplo: 192.168.12.1 |
| SrcIpAddr | Recomendadas | endereço IP | O endereço IP em que a conexão ou sessão foi originada. Exemplo: 77.138.103.108 |
| IpAddr | Alias | Alias para SrcIpAddr ou TargetIpAddr, se SrcIpAddr não for fornecido. | |
| SrcPortNumber | Opcional | Inteiro | A porta IP em que a conexão foi originada. Pode não ser relevante para uma sessão que abrange várias conexões. Exemplo: 2335 |
| SrcNome do host | Opcional | Nome do host | O nome do host do dispositivo de origem, incluindo informações de domínio. Se nenhum nome de dispositivo estiver disponível, armazene o endereço IP relevante nesse campo. Exemplo: DESKTOP-1282V4D |
| SrcDomain | Opcional | Domínio (String) | O domínio do dispositivo de origem. Exemplo: Contoso |
| SrcDomainType | Condicional | DomainType | O tipo de SrcDomain. Para obter uma lista de valores permitidos e informações adicionais, consulte DomainType no artigo Visão Geral do Esquema. Necessário se SrcDomain for usado. |
| SrcFQDN | Opcional | FQDN (Corda) | O nome do host do dispositivo de origem, incluindo informações de domínio quando disponível. Observação: esse campo dá suporte ao formato FQDN tradicional e ao formato domínio\nome do host do Windows. O campo SrcDomainType reflete o formato usado. Exemplo: Contoso\DESKTOP-1282V4D |
| SrcDescription | Opcional | Cadeia de caracteres | Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller. |
| SrcDvcId | Opcional | Cadeia de caracteres | A ID do dispositivo de origem. Se várias IDs estiverem disponíveis, use a mais importante e armazene as outras nos campos SrcDvc<DvcIdType>.Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcional | Cadeia de caracteres | A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do SrcDvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
| SrcDvcScope | Opcional | Cadeia de caracteres | O escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do SrcDvcScope para uma ID da assinatura no Azure e para uma ID da conta no AWS. |
| SrcDvcIdType | Condicional | DvcIdType | Tipo de SrcDvcId. Para obter uma lista de valores permitidos e informações adicionais, consulte DvcIdType no artigo Visão geral do esquema. Observação: esse campo será obrigatório se SrcDvcId for usado. |
| SrcDeviceType | Opcional | DeviceType | O tipo do dispositivo de origem. Para obter uma lista de valores permitidos e informações adicionais, consulte DeviceType no artigo Visão geral do esquema. |
| SrcGeoCountry | Opcional | País | O país/região associado ao endereço IP de origem. Exemplo: USA |
| SrcGeoRegion | Opcional | Region | A região dentro de um país/região associada ao endereço IP de origem. Exemplo: Vermont |
| SrcGeoCity | Opcional | City | A cidade associada ao endereço IP de origem. Exemplo: Burlington |
| SrcGeoLatitude | Opcional | Latitude | A latitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 44.475833 |
| SrcGeoLongitude | Opcional | Longitude | A longitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 73.211944 |
| SrcRiskLevel | Opcional | Inteiro | O nível de risco associado à origem. O valor deve ser ajustado para um intervalo de 0 para 100, com 0 para benigno e 100 para um risco alto.Exemplo: 90 |
| SrcOriginalRiskLevel | Opcional | Cadeia de caracteres | O nível de risco associado à ameaça identificada com a origem, conforme relatado pelo dispositivo de relatório. Exemplo: Suspicious |
Campos de inspeção
Os campos a seguir são usados para representar essa inspeção executada por um sistema de segurança.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| RuleName | Opcional | Cadeia de caracteres | O nome ou a ID da regra associada aos resultados da inspeção. |
| Número de Regra | Opcional | Inteiro | O número da regra associada aos resultados da inspeção. |
| Regra | Alias | Cadeia de caracteres | O valor de RuleName ou o valor de RuleNumber. Se o valor de RuleNumber for usado, o tipo deverá ser convertido em cadeia de caracteres. |
| ThreatId | Opcional | Cadeia de caracteres | A ID da ameaça ou do malware identificado na atividade de auditoria. |
| ThreatName | Opcional | Cadeia de caracteres | O nome da ameaça ou do malware identificado na atividade de auditoria. |
| ThreatCategory | Opcional | Cadeia de caracteres | A categoria da ameaça ou do malware identificado na atividade de auditoria. |
| ThreatRiskLevel | Opcional | RiskLevel (Inteiro) | O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. Observação: o valor pode ser fornecido no registro de origem usando uma escala diferente, que deve ser normalizado para essa escala. O valor original deve ser armazenado em ThreatRiskLevelOriginal. |
| AmeaçaOriginalRiscoLevel | Opcional | Cadeia de caracteres | O nível de risco, conforme relatado pelo dispositivo de relatório. |
| ThreatConfidence | Opcional | Nível de Confiança (Inteiro) | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatOriginalConfidence | Opcional | Cadeia de caracteres | O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
| ThreatIsActive | Opcional | booleano | True, se a ameaça identificada é considerada uma ameaça ativa. |
| ThreatFirstReportedTime | Opcional | datetime | A primeira vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatLastReportedTime | Opcional | datetime | A última vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatIpAddr | Opcional | Endereço IP | Um endereço IP para o qual uma ameaça foi identificada. O campo ThreatField contém o nome do campo que ThreatIpAddr representa. |
| Campo de Ameaça | Condicional | Enumerated | O campo para o qual uma ameaça foi identificada. O valor é SrcIpAddr ou TargetIpAddr. |
Atualizações de esquema
As mudanças na versão 0.1.1 do esquema são:
- Adicionei o campo
ObjectIdeOriginalObjectType.
As alterações na versão 0.1.2 do esquema são:
- Adicionou o campo
ActingOriginalAppType,OriginalObjectType,SrcOriginalRiskLevel,SrcRiskLevel,TargetGeoCity,TargetGeoCountry,TargetGeoLatitude,TargetGeoLongitude,TargetGeoRegion,TargetOriginalAppType,,TargetOriginalRiskLeveleTargetRiskLevel
Próximas etapas
Para obter mais informações, consulte:
- Assista ao Webinar do ASIM ou examine os slides
- Visão geral do ASIM (Modelo de Informações de Segurança Avançado)
- Esquemas do ASIM (Modelo de Informações de Segurança Avançado)
- Analisadores do ASIM (Modelo de Informações de Segurança Avançado)
- Conteúdo do ASIM (Modelo de Informações de Segurança Avançado)