Die AsIM-Warnungsschemareferenz (Advanced Security Information Model)
Das Microsoft Sentinel Alert Schema wurde entwickelt, um sicherheitsbezogene Warnungen aus verschiedenen Produkten in ein standardisiertes Format im Microsoft Advanced Security Information Model (ASIM) zu normalisieren. Dieses Schema konzentriert sich ausschließlich auf Sicherheitsereignisse, um eine konsistente und effiziente Analyse in verschiedenen Datenquellen sicherzustellen.
Das Warnungsschema stellt verschiedene Arten von Sicherheitswarnungen dar, z. B. Bedrohungen, verdächtige Aktivitäten, Anomalien des Benutzerverhaltens und Complianceverletzungen. Diese Warnungen werden von verschiedenen Sicherheitsprodukten und -systemen gemeldet, einschließlich, aber nicht beschränkt auf EDRs, Antivirensoftware, Angriffserkennungssysteme, Tools zur Verhinderung von Datenverlust usw.
Weitere Informationen zur Normalisierung in Microsoft Sentinel finden Sie unter Normalisierung und erweitertes Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM).
Wichtig
Das Schema der Warnungsnormalisierung befindet sich derzeit in der Vorschau. Dieses Feature wird ohne Vereinbarung zum Servicelevel bereitgestellt. Sie sollte nicht für Produktionsworkloads verwendet werden.
In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Parser
Weitere Informationen zu ASIM-Parsern finden Sie in der Übersicht über ASIM-Parser.
Vereinheitlichen von Parsern
Um Parser zu verwenden, die alle ASIM-out-of-the-box-Parser vereinheitlichen und sicherstellen möchten, dass Ihre Analyse in allen konfigurierten Quellen ausgeführt wird, verwenden Sie den _Im_AlertEvent Filterparser oder den _ASim_AlertEvent Parameterlosen Parser. Sie können auch vom Arbeitsbereich bereitgestellte imAlertEvent- und ASimAlertEvent-Parser verwenden, indem Sie sie aus dem Microsoft Sentinel GitHub-Repository bereitstellen.
Weitere Informationen finden Sie unter Integrierte ASIM-Parser und im Arbeitsbereich bereitgestellte Parser.
Sofort einsatzbereite, quellspezifische Parser
Die Liste der Warnungsparser, die Microsoft Sentinel bereitstellt, enthält sofort einsatzbereite Informationen finden Sie in der ASIM-Parserliste.
Eigene normalisierte Parser hinzufügen
Benennen Sie beim Entwickeln von benutzerdefinierten Parsern für das Warnungsinformationsmodell ihre KQL-Funktionen mithilfe der folgenden Syntax:
-
vimAlertEvent<vendor><Product>für parametrisierte Parser -
ASimAlertEvent<vendor><Product>für reguläre Parser
Im Artikel Verwalten von ASIM-Parsern erfahren Sie, wie Sie Ihre benutzerdefinierten Parser zu den Vereinheitlichenden Parsern der Warnung hinzufügen.
Filtern von Parserparametern
Die Warnungsparser unterstützen verschiedene Filterparameter , um die Abfrageleistung zu verbessern. Diese Parameter sind optional, können aber die Abfrageleistung verbessern. Die folgenden Filterparameter sind verfügbar:
| Name | Typ | Beschreibung |
|---|---|---|
| StartTime | datetime | Filtert nur Warnungen, die zu oder nach diesem Zeitpunkt gestartet wurden. |
| EndTime | datetime | Filtert nur Warnungen, die zu oder vor diesem Zeitpunkt gestartet wurden. |
| ipaddr_has_any_prefix | dynamisch | Filtert nur Warnungen, für die sich das Feld "DvcIpAddr" in einem der aufgelisteten Werte befindet. |
| hostname_has_any | dynamisch | Filtert nur Warnungen, für die sich das Feld "DvcHostname" in einem der aufgelisteten Werte befindet. |
| username_has_any | dynamisch | Filtert nur Warnungen, für die sich das Feld "Benutzername" in einem der aufgelisteten Werte befindet. |
| attacktactics_has_any | dynamisch | Filtert nur Warnungen, für die sich das Feld "AttackTactics" in einem der aufgelisteten Werte befindet. |
| attacktechniques_has_any | dynamisch | Filtert nur Warnungen, für die sich das Feld "AttackTechniques" in einem der aufgelisteten Werte befindet. |
| threatcategory_has_any | dynamisch | Filter only alerts for which the 'ThreatCategory' field is in one of the listed values. |
| alertverdict_has_any | dynamisch | Filtert nur Warnungen, für die sich das Feld "AlertVerdict" in einem der aufgelisteten Werte befindet. |
| eventseverity_has_any | dynamisch | Filtert nur Warnungen, für die sich das Feld "EventSeverity" in einem der aufgelisteten Werte befindet. |
Schema-Übersicht
Das Warnungsschema dient mehreren Arten von Sicherheitsereignissen, die dieselben Felder gemeinsam nutzen. Diese Ereignisse werden durch das EventType-Feld identifiziert:
- Bedrohungsinformationen: Warnungen im Zusammenhang mit verschiedenen Arten bösartiger Aktivitäten wie Schadsoftware, Phishing, Ransomware und anderen Cyberbedrohungen.
- Verdächtige Aktivitäten: Warnungen für Aktivitäten, die nicht unbedingt bestätigte Bedrohungen sind, aber verdächtig sind und eine weitere Untersuchung erfordern, z. B. mehrere fehlgeschlagene Anmeldeversuche oder Zugriff auf eingeschränkte Dateien.
- Anomalien des Benutzerverhaltens: Warnungen, die ungewöhnliches oder unerwartetes Benutzerverhalten angeben, das ein Sicherheitsproblem vorschlagen kann, z. B. ungewöhnliche Anmeldezeiten oder ungewöhnliche Datenzugriffsmuster.
- Complianceverletzungen: Warnungen im Zusammenhang mit Der Nichteinhaltung gesetzlicher oder interner Richtlinien. Beispielsweise eine VM, die mit offenen öffentlichen Ports verfügbar gemacht wird, die anfällig für Angriffe sind (Cloud Security Alert).
Wichtig
Um die Relevanz und Effektivität des Warnungsschemas beizubehalten, sollten nur sicherheitsbezogene Warnungen zugeordnet werden.
Das Warnungsschema bezieht sich auf die folgenden Entitäten, um Details zur Warnung zu erfassen:
-
Dvc-Felder werden verwendet, um Details zum Host oder ip zu erfassen, der der Warnung zugeordnet ist.
-
Benutzerfelder werden verwendet, um Details zum Benutzer zu erfassen, der der Warnung zugeordnet ist.
- Ebenso werden Die Felder "Prozess", "Datei", "URL", "Registrierung" und "E-Mail" verwendet, um nur wichtige Details über den Prozess, die Datei, die URL, die Registrierung bzw. die E-Mail-Nachricht zu erfassen.
Wichtig
- Verwenden Sie beim Erstellen eines produktspezifischen Parsers das ASIM-Warnungsschema, wenn die Warnung Informationen zu einem Sicherheitsvorfall oder potenziellen Bedrohung enthält, und die primären Details können direkt den verfügbaren Benachrichtigungsschemafeldern zugeordnet werden. Das Warnungsschema eignet sich ideal zum Erfassen von Zusammenfassungsinformationen ohne umfangreiche entitätsspezifische Felder.
- Wenn Sie jedoch feststellen, dass Sie wesentliche Felder in "AdditionalFields" aufgrund eines Mangels an direkten Feld-Übereinstimmungen platzieren, sollten Sie ein spezielleres Schema in Betracht ziehen. Wenn eine Warnung beispielsweise netzwerkbezogene Details enthält, z. B. mehrere IP-Adressen, z. B. SrcIpAdr, DstIpAddr, PortNumber usw., können Sie sich für das NetworkSession-Schema über das Warnungsschema entscheiden. Spezialisierte Schemas bieten auch dedizierte Felder zum Erfassen von bedrohungsbezogenen Informationen, zur Verbesserung der Datenqualität und zur Erleichterung einer effizienten Analyse.
Schemadetails
Allgemeine ASIM-Felder
In der folgenden Liste werden Felder mit spezifischen Richtlinien für Warnungsereignisse erwähnt:
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| EventType | Obligatorisch. | Enumerated | Der Typ des Ereignisses Diese Werte werden unterstützt: - Alert |
| EventSubType | Empfohlen | Enumerated | Gibt den Untertyp oder die Kategorie des Warnungsereignisses an, wodurch detailliertere Details in der umfassenderen Ereignisklassifizierung bereitgestellt werden. Dieses Feld hilft dabei, die Art des erkannten Problems zu unterscheiden, die Priorisierungs- und Reaktionsstrategien für Vorfälle zu verbessern. Unterstützte Werte sind: - Threat (Stellt eine bestätigte oder höchstwahrscheinlich böswillige Aktivität dar, die das System oder Netzwerk kompromittieren könnte)- Suspicious Activity (Kennzeichnet Verhalten oder Ereignisse, die ungewöhnlich oder verdächtig erscheinen, jedoch noch nicht als böswillig bestätigt)- Anomaly (Identifiziert Abweichungen von normalen Mustern, die auf ein potenzielles Sicherheitsrisiko oder ein operatives Problem hinweisen könnten)- Compliance Violation (hebt Aktivitäten hervor, die gegen behördliche, richtlinien- oder Compliancestandards verstoßen) |
| EventUid | Obligatorisch. | Zeichenfolge | Eine maschinenlesbare alphanumerische Zeichenfolge, die eine Warnung innerhalb eines Systems eindeutig identifiziert. Beispiel: A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
| EventMessage | Optional | Zeichenfolge | Detaillierte Informationen zur Warnung, einschließlich Kontext, Ursache und potenzieller Auswirkungen. Beispiel: Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
| IpAddr | Alias | Alias- oder Anzeigename für DvcIpAddr Feld. |
|
| Hostname | Alias | Alias- oder Anzeigename für DvcHostname Feld. |
|
| EventSchema | Obligatorisch. | Zeichenfolge | Das schema, das für das Ereignis verwendet wird. Das hier dokumentierte Schema ist AlertEvent. |
| EventSchemaVersion | Obligatorisch. | Zeichenfolge | Die Version des Schemas. Die Version des hier dokumentierten Schemas lautet 0.1. |
Alle allgemeinen Felder
Felder, die in der folgenden Tabelle angezeigt werden, sind für alle ASIM-Schemas gleich. Jede oben angegebene Richtlinie setzt die allgemeinen Richtlinien für das Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel Allgemeine ASIM-Felder.
| Klasse | Felder |
|---|---|
| Obligatorisch. |
-
EventCount - EventStartTime - EventEndTime - EventType - EventUid - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
| Empfohlen |
-
EventSubType - EventSeverity - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType |
| Optional |
-
EventMessage - EventOriginalType - EventOriginalSubType - EventOriginalSeverity - EventProductVersion - EventOriginalUid - EventReportUrl - EventResult - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcAction - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Inspektionsfelder
Die folgende Tabelle enthält Felder, die wichtige Einblicke in die Regeln und Bedrohungen im Zusammenhang mit Warnungen bieten. Zusammen helfen sie dabei, den Kontext der Warnung zu bereichern, wodurch Sicherheitsanalysten leichter erkennen können, ihren Ursprung und ihre Bedeutung zu verstehen.
| Feld | Klasse | type | Beschreibung |
|---|---|---|---|
| AlertId | Alias | Zeichenfolge | Alias- oder Anzeigename für EventUid Feld. |
| AlertName | Empfohlen | Zeichenfolge | Titel oder Name der Warnung. Beispiel: Possible use of the Rubeus kerberoasting tool |
| AlertDescription | Alias | Zeichenfolge | Alias- oder Anzeigename für EventMessage Feld. |
| AlertVerdict | Optional | Enumerated | Die endgültige Bestimmung oder das Ergebnis der Warnung, die angibt, ob die Warnung als Bedrohung bestätigt, als verdächtig eingestuft oder als falsch positives Ergebnis aufgelöst wurde. Diese Werte werden unterstützt: - True Positive (Bestätigt als legitime Bedrohung)- False Positive (Falsch als Bedrohung identifiziert)- Benign Positive (wenn das Ereignis als harmlos eingestuft wird)- Unknown (Unsicherer oder unbestimmter Status) |
| AlertStatus | Optional | Enumerated | Gibt den aktuellen Status oder den Status der Warnung an. Diese Werte werden unterstützt: - Active- Closed |
| AlertOriginalStatus | Optional | Zeichenfolge | Der Status der Warnung, wie vom Ursprungssystem gemeldet. |
| DetectionMethod | Optional | Enumerated | Enthält detaillierte Informationen zu der spezifischen Erkennungsmethode, Technologie oder Datenquelle, die zur Generierung der Warnung beigetragen hat. Dieses Feld bietet einen besseren Einblick darüber, wie die Warnung erkannt oder ausgelöst wurde, um das Verständnis des Erkennungskontexts und der Zuverlässigkeit zu unterstützen. Unterstützte Werte sind: - EDR: Endpunkterkennungs- und Reaktionssysteme, die Endpunktaktivitäten überwachen und analysieren, um Bedrohungen zu identifizieren.- Behavioral Analytics: Techniken, die ungewöhnliche Muster im Benutzer-, Geräte- oder Systemverhalten erkennen.- Reputation: Bedrohungserkennung basierend auf dem Ruf von IP-Adressen, Domänen oder Dateien.- Threat Intelligence: Externe oder interne Intelligenzfeeds liefern Daten zu bekannten Bedrohungen oder Gegnertaktiken.- Intrusion Detection: Systeme, die den Netzwerkdatenverkehr oder Aktivitäten auf Anzeichen von Angriffen oder Angriffen überwachen.- Automated Investigation: Automatisierte Systeme, die Warnungen analysieren und untersuchen, wodurch die manuelle Arbeitsauslastung reduziert wird.- Antivirus: Herkömmliche Antivirenmodule, die Schadsoftware basierend auf Signaturen und Heuristiken erkennen.- Data Loss Prevention: Lösungen, die sich auf die Verhinderung nicht autorisierter Datenübertragungen oder Lecks konzentrierten.- User Defined Blocked List: Benutzerdefinierte Listen, die von Benutzern definiert wurden, um bestimmte IPs, Domänen oder Dateien zu blockieren.- Cloud Security Posture Management: Tools zur Bewertung und Verwaltung von Sicherheitsrisiken in Cloudumgebungen.- Cloud Application Security: Lösungen, die Cloudanwendungen und -daten sichern.- Scheduled Alerts: Warnungen, die basierend auf vordefinierten Zeitplänen oder Schwellenwerten generiert wurden.- Other: Jede andere Erkennungsmethode, die nicht von den oben genannten Kategorien abgedeckt wird. |
| Regel | Alias | Zeichenfolge | Entweder der Wert von RuleName oder der Wert von RuleNumber. Bei Verwendung des Werts RuleNumber sollte der Typ in eine Zeichenfolge konvertiert werden. |
| RuleNumber | Optional | int | Die Nummer der Regel, die der Warnung zugeordnet ist. Beispiel: 123456 |
| RuleName | Optional | Zeichenfolge | Der Name oder die ID der Regel, die der Warnung zugeordnet ist. Beispiel: Server PSEXEC Execution via Remote Access |
| RuleDescription | Optional | Zeichenfolge | Beschreibung der Regel, die der Warnung zugeordnet ist. Beispiel: This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
| ThreatId | Optional | Zeichenfolge | Die ID der in der Warnung identifizierten Bedrohung oder Schadsoftware. Beispiel: 1234567891011121314 |
| ThreatName | Optional | Zeichenfolge | Der Name der in der Warnung identifizierten Bedrohung oder Schadsoftware. Beispiel: Init.exe |
| ThreatFirstReportedTime | Optional | datetime | Datum und Uhrzeit, zu dem die Bedrohung zum ersten Mal gemeldet wurde. Beispiel: 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Optional | datetime | Datum und Uhrzeit, zu dem die Bedrohung zuletzt gemeldet wurde. Beispiel: 2024-09-19T10:12:10.0000000Z |
| ThreatCategory | Empfohlen | Enumerated | Die Kategorie der in der Warnung identifizierten Bedrohung oder Schadsoftware. Unterstützte Werte sind: Malware, , Ransomware, Trojan, WormSpywareAdwareVirus, , Security Policy ViolationSpoofingRootkitCryptominorPhishingSpamMaliciousUrlUnknown |
| ThreatOriginalCategory | Optional | Zeichenfolge | Die Kategorie der Bedrohung, wie vom ursprünglichen System gemeldet. |
| ThreatIsActive | Optional | bool | Gibt an, ob die Bedrohung derzeit aktiv ist. Unterstützte Werte sind: True, False |
| ThreatRiskLevel | Optional | int | Die mit der Bedrohung verbundene Risikostufe. Hierbei muss es sich um eine Zahl zwischen 0 und 100 handeln. Hinweis: Der Wert ist im Quelldatensatz möglicherweise in einer anderen Skala angegeben und muss auf diese Skala normalisiert werden. Der ursprüngliche Wert muss im Feld ThreatRiskLevelOriginal gespeichert werden. |
| ThreatOriginalRiskLevel | Optional | Zeichenfolge | Die Vom Ursprungssystem gemeldete Risikostufe. |
| ThreatConfidence | Optional | int | Die Konfidenzstufe der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100 |
| ThreatOriginalConfidence | Optional | Zeichenfolge | Das Konfidenzniveau, wie vom ursprünglichen System gemeldet. |
| IndicatorType | Empfohlen | Enumerated | Der Typ oder die Kategorie des Indikators Diese Werte werden unterstützt: - Ip- User- Process- Registry- Url- Host- Cloud Resource- Application- File- Email- Mailbox- Logon Session |
| IndicatorAssociation | Optional | Enumerated | Gibt an, ob der Indikator mit der Bedrohung verknüpft oder direkt betroffen ist. Diese Werte werden unterstützt: - Associated- Targeted |
| AttackTactics | Empfohlen | Zeichenfolge | Die Mit der Warnung verbundenen Angriffstaktiken (Name, ID oder beides). Bevorzugtes Format: zum Beispiel: Persistence, Privilege Escalation |
| AttackTechniques | Empfohlen | Zeichenfolge | Die Mit der Warnung verbundenen Angriffstechniken (Name, ID oder beides). Bevorzugtes Format: zum Beispiel: Local Groups (T1069.001), Domain Groups (T1069.002) |
| AttackRemediationSteps | Empfohlen | Zeichenfolge | Empfohlene Aktionen oder Schritte, um den identifizierten Angriff oder die identifizierte Bedrohung zu mindern oder zu beheben. Beispiel: 1. Make sure the machine is completely updated and all your software has the latest patch.2. Contact your incident response team. |
User Fields
Dieser Abschnitt definiert Felder im Zusammenhang mit der Identifizierung und Klassifizierung von Benutzern, die einer Warnung zugeordnet sind, und bietet Klarheit über den betroffenen Benutzer und das Format ihrer Identität. Wenn die Warnung zusätzliche, mehrere benutzerbezogene Felder enthält, die die hier zugeordneten Elemente überschreiten, können Sie überlegen, ob ein spezielles Schema, z. B. das Authentifizierungsereignisschema, möglicherweise besser geeignet ist, um die Daten vollständig darzustellen.
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| UserId | Optional | Zeichenfolge | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Benutzers, der der Warnung zugeordnet ist. Beispiel: A1bC2dE3fH4iJ5kL6mN7o |
| UserIdType | Bedingt | Enumerated | Der Typ der Benutzer-ID, z GUID. B. , , SIDoder Email.Diese Werte werden unterstützt: - GUID- SID- Email- Username- Phone- Other |
| Benutzername | Empfohlen | Zeichenfolge | Name des Benutzers, der der Warnung zugeordnet ist, einschließlich Domäneninformationen, wenn verfügbar. z. B. Contoso\JSmith oder john.smith@contoso.com |
| Benutzer | Alias | Zeichenfolge | Alias- oder Anzeigename für Username Feld. |
| UsernameType | Bedingt | UsernameType | Gibt den Typ des Benutzernamens an, der Username im Feld gespeichert ist. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UsernameType im Artikel „Schemaübersicht“.Beispiel: Windows |
| UserType | Optional | UserType | Der Typ des Akteurs. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserType im Artikel „Schemaübersicht“. Beispiel: Guest |
| OriginalUserType | Optional | Zeichenfolge | Der Benutzertyp, wie vom Gerät gemeldet. |
| UserSessionId | Optional | Zeichenfolge | Die eindeutige ID der Sitzung des Benutzers, die der Warnung zugeordnet ist. Beispiel: a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
| UserScopeId | Optional | Zeichenfolge | Die Bereichs-ID, z. B. die Microsoft Entra Directory-ID, in der UserId und Benutzername definiert sind. Beispiel: a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
| UserScope | Optional | Zeichenfolge | Der Bereich, z. B. microsoft Entra-Mandant, in dem UserId und Benutzername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht. Beispiel: Contoso Directory |
Prozessfelder
In diesem Abschnitt können Sie Details zu einer Prozessentität erfassen, die mit den angegebenen Feldern an einer Warnung beteiligt ist. Wenn die Warnung zusätzliche, detaillierte prozessbezogene Felder enthält, die die hier zugeordneten Elemente überschreiten, können Sie überlegen, ob ein spezielles Schema, z. B. das Prozessereignisschema, besser geeignet ist, um die Daten vollständig darzustellen.
| Feld | Klasse | type | Beschreibung |
|---|---|---|---|
| ProcessId | Optional | Zeichenfolge | Die Prozess-ID (PID), die der Warnung zugeordnet ist. Beispiel: 12345678 |
| ProcessCommandLine | Optional | Zeichenfolge | Befehlszeile, die zum Starten des Prozesses verwendet wird. Beispiel: "choco.exe" -v |
| ProcessName: | Optional | Zeichenfolge | Name des Prozesses. Beispiel: C:\Windows\explorer.exe |
| ProcessFileCompany | Optional | Zeichenfolge | Unternehmen, das die Prozessbilddatei erstellt hat. Beispiel: Microsoft |
Dateifelder
In diesem Abschnitt können Sie Details zu einer Dateientität erfassen, die an einer Warnung beteiligt ist. Wenn die Warnung zusätzliche, detaillierte dateibezogene Felder enthält, die die hier zugeordneten Felder überschreiten, können Sie überlegen, ob ein spezielles Schema, z. B. das Dateiereignisschema, möglicherweise besser geeignet ist, um die Daten vollständig darzustellen.
| Feld | Klasse | type | Beschreibung |
|---|---|---|---|
| FileName | Optional | Zeichenfolge | Name der Datei, die der Warnung zugeordnet ist, ohne Pfad oder Speicherort. Beispiel: Notepad.exe |
| FilePath | Optional | Zeichenfolge | er vollständig, normalisierter Pfad der Zieldatei, einschließlich des Ordners oder Speicherorts, des Dateinamens und der Erweiterung. Beispiel: C:\Windows\System32\notepad.exe |
| FileSHA1 | Optional | Zeichenfolge | SHA1-Hash der Datei. Beispiel: j5kl6mn7op8qr9st0uv1 |
| FileSHA256 | Optional | Zeichenfolge | SHA256-Hash der Datei. Beispiel: a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
| FileMD5 | Optional | Zeichenfolge | MD5-Hash der Datei. Beispiel: j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
| FileSize | Optional | long | Die Länge der Datei in Bytes. Beispiel: 123456 |
URL-Feld
Wenn Ihre Warnung Informationen zur URL-Entität enthält, können die folgenden Felder URL-bezogene Daten erfassen.
| Feld | Klasse | type | Beschreibung |
|---|---|---|---|
| Url | Optional | Zeichenfolge | Die in der Warnung erfasste URL-Zeichenfolge. Beispiel: https://contoso.com/fo/?k=v&q=u#f |
Registrierungsfelder
Wenn Ihre Warnung Details zur Registrierungsentität enthält, verwenden Sie die folgenden Felder, um bestimmte registrierungsbezogene Informationen zu erfassen.
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| RegistryKey | Optional | Zeichenfolge | Der Registrierungsschlüssel, der der Warnung zugeordnet ist, normalisiert auf Standardbenennungskonventionen für Stammschlüssel. Beispiel: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Optional | Zeichenfolge | Registrierungswert. Beispiel: ImagePath |
| RegistryValueData | Optional | Zeichenfolge | Daten des Registrierungswerts. Beispiel: C:\Windows\system32;C:\Windows; |
| RegistryValueType | Optional | Enumerated | Typ des Registrierungswerts. Beispiel: Reg_Expand_Sz |
E-Mail-Felder
Wenn Ihre Warnung Informationen zur E-Mail-Entität enthält, verwenden Sie die folgenden Felder, um bestimmte E-Mail-bezogene Details zu erfassen.
| Feld | Klasse | type | Beschreibung |
|---|---|---|---|
| EmailMessageId | Optional | Zeichenfolge | Eindeutiger Bezeichner für die E-Mail-Nachricht, die der Warnung zugeordnet ist. Beispiel: Request for Invoice Access |
| EmailSubject | Optional | Zeichenfolge | Betreff der E-Mail. Beispiel: j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
Schemaaktualisierungen
Im Folgenden sind die Änderungen in verschiedenen Versionen des Schemas aufgeführt:
- Version 0.1: Erste Version.