Naslaginformatie over het ASIM-waarschuwingsschema (Advanced Security Information Model)
Het Microsoft Sentinel-waarschuwingsschema is ontworpen om beveiligingswaarschuwingen van verschillende producten te normaliseren in een gestandaardiseerde indeling in Microsoft Advanced Security Information Model (ASIM). Dit schema is exclusief gericht op beveiligingsevenementen en zorgt voor consistente en efficiënte analyse in verschillende gegevensbronnen.
Het waarschuwingsschema vertegenwoordigt verschillende typen beveiligingswaarschuwingen, zoals bedreigingen, verdachte activiteiten, afwijkingen van gebruikersgedrag en schendingen van naleving. Deze waarschuwingen worden gerapporteerd door verschillende beveiligingsproducten en -systemen, waaronder maar niet beperkt tot EDR's, antivirussoftware, inbraakdetectiesystemen, hulpprogramma's voor preventie van gegevensverlies, enzovoort.
Zie Normalization and the Advanced Security Information Model (ASIM) voor meer informatie over normalisatie in Microsoft Sentinel.
Belangrijk
Het schema voor normalisatie van waarschuwingen is momenteel beschikbaar als preview-versie. Deze functie wordt geleverd zonder service level agreement. Dit wordt niet aanbevolen voor productieworkloads.
De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Parsers
Zie het overzicht van ASIM-parsers voor meer informatie over ASIM-parsers.
Parsers opheffen
Als u parsers wilt gebruiken die alle out-of-the-box parsers van ASIM samenvoegen en ervoor zorgen dat uw analyse wordt uitgevoerd op alle geconfigureerde bronnen, gebruikt u de _Im_AlertEvent filterparser of de _ASim_AlertEvent parameterloze parser. U kunt ook werkruimte-geïmplementeerde imAlertEvent parsers ASimAlertEvent gebruiken door ze te implementeren vanuit de GitHub-opslagplaats van Microsoft Sentinel.
Zie ingebouwde ASIM-parsers en door de werkruimte geïmplementeerde parsers voor meer informatie.
Out-of-the-box, bronspecifieke parsers
Raadpleeg de ASIM-parserslijst voor de lijst met waarschuwingsparsers die Microsoft Sentinel out-of-the-box biedt.
Uw eigen genormaliseerde parsers toevoegen
Wanneer u aangepaste parsers voor het waarschuwingsinformatiemodel ontwikkelt, noemt u de KQL-functies met behulp van de volgende syntaxis:
-
vimAlertEvent<vendor><Product>voor geparameteriseerde parsers -
ASimAlertEvent<vendor><Product>voor reguliere parsers
Raadpleeg het artikel ASIM-parsers beheren voor meer informatie over het toevoegen van uw aangepaste parsers aan de waarschuwing die parsers samenvoegt.
Parserparameters filteren
De waarschuwingsparsers ondersteunen verschillende filterparameters om de queryprestaties te verbeteren. Deze parameters zijn optioneel, maar kunnen de queryprestaties verbeteren. De volgende filterparameters zijn beschikbaar:
| Name | Type | Description |
|---|---|---|
| begintijd | datetime | Filter alleen waarschuwingen die op of na deze tijd zijn gestart. |
| eindtijd | datetime | Filter alleen waarschuwingen die op of vóór deze tijd zijn gestart. |
| ipaddr_has_any_prefix | dynamisch | Filter alleen waarschuwingen waarvoor het veld DvcIpAddr zich in een van de vermelde waarden bevindt. |
| hostname_has_any | dynamisch | Filter alleen waarschuwingen waarvoor het veld DvcHostname zich in een van de vermelde waarden bevindt. |
| username_has_any | dynamisch | Filter alleen waarschuwingen waarvoor het veld Gebruikersnaam zich in een van de vermelde waarden bevindt. |
| attacktactics_has_any | dynamisch | Filter alleen waarschuwingen waarvoor het veld AttackTactics zich in een van de vermelde waarden bevindt. |
| attacktechniques_has_any | dynamisch | Filter alleen waarschuwingen waarvoor het veld AttackTechniques zich in een van de vermelde waarden bevindt. |
| threatcategory_has_any | dynamisch | Filter alleen waarschuwingen waarvoor het veld ThreatCategory zich in een van de vermelde waarden bevindt. |
| alertverdict_has_any | dynamisch | Filter alleen waarschuwingen waarvoor het veld AlertVerdict zich in een van de vermelde waarden bevindt. |
| eventseverity_has_any | dynamisch | Filter alleen waarschuwingen waarvoor het veld EventSeverity zich in een van de vermelde waarden bevindt. |
Schemaoverzicht
Het waarschuwingsschema fungeert voor verschillende typen beveiligingsevenementen, die dezelfde velden delen. Deze gebeurtenissen worden geïdentificeerd door het veld EventType:
- Bedreigingsinformatie: waarschuwingen met betrekking tot verschillende soorten schadelijke activiteiten, zoals malware, phishing, ransomware en andere cyberbedreigingen.
- Verdachte activiteiten: waarschuwingen voor activiteiten die niet noodzakelijkerwijs zijn bevestigd, maar verdacht zijn en verdere onderzoeken rechtvaardigen, zoals meerdere mislukte aanmeldingspogingen of toegang tot beperkte bestanden.
- Afwijkingen in gebruikersgedrag: waarschuwingen die ongebruikelijk of onverwacht gebruikersgedrag aangeven dat een beveiligingsprobleem kan voorstellen, zoals abnormale aanmeldingstijden of ongebruikelijke patronen voor gegevenstoegang.
- Nalevingsschendingen: waarschuwingen met betrekking tot niet-naleving van regelgeving of intern beleid. Een virtuele machine die wordt weergegeven met open openbare poorten die kwetsbaar zijn voor aanvallen (Cloud Security Alert).
Belangrijk
Om de relevantie en effectiviteit van het waarschuwingsschema te behouden, moeten alleen beveiligingswaarschuwingen worden toegewezen.
Waarschuwingsschema verwijst naar de volgende entiteiten om details over de waarschuwing vast te leggen:
-
Dvc-velden worden gebruikt om details vast te leggen over de host of het IP-adres dat is gekoppeld aan de waarschuwing
-
Gebruikersvelden worden gebruikt om details vast te leggen over de gebruiker die is gekoppeld aan de waarschuwing.
- Op dezelfde manier worden de velden Bestand, URL, Register en E-mail gebruikt om alleen belangrijke details vast te leggen over het proces, bestand, URL, register en e-mailadres dat aan de waarschuwing is gekoppeld.
Belangrijk
- Wanneer u een productspecifieke parser bouwt, gebruikt u het ASIM-waarschuwingsschema wanneer de waarschuwing informatie bevat over een beveiligingsincident of mogelijke bedreiging. De primaire details kunnen rechtstreeks worden toegewezen aan beschikbare waarschuwingsschemavelden. Het waarschuwingsschema is ideaal voor het vastleggen van samenvattingsgegevens zonder uitgebreide entiteitsspecifieke velden.
- Als u echter merkt dat u essentiële velden in 'AdditionalFields' plaatst vanwege een gebrek aan directe veldovereenkomsten, kunt u een meer gespecialiseerd schema overwegen. Als een waarschuwing bijvoorbeeld netwerkgerelateerde gegevens bevat, zoals meerdere IP-adressen, zoals SrcIpAdr, DstIpAddr, PortNumber, enzovoort, kunt u het networkSession-schema kiezen via het waarschuwingsschema. Gespecialiseerde schema's bieden ook speciale velden voor het vastleggen van informatie over bedreigingen, het verbeteren van de gegevenskwaliteit en het faciliteren van efficiënte analyse.
Schemadetails
Algemene ASIM-velden
In de volgende lijst worden velden vermeld met specifieke richtlijnen voor waarschuwingsevenementen:
| Veld | Klas | Type | Description |
|---|---|---|---|
| EventType | Verplicht | Enumerated | Type van de gebeurtenis. Ondersteunde waarden zijn: - Alert |
| EventSubType | Aanbevolen | Enumerated | Hiermee geeft u het subtype of de categorie van de waarschuwingsevenement op, zodat u gedetailleerdere details verleent binnen de bredere gebeurtenisclassificatie. Dit veld helpt bij het onderscheiden van de aard van het gedetecteerde probleem, waardoor prioriteits- en reactiestrategieën voor incidenten worden verbeterd. Ondersteunde waarden zijn onder andere: - Threat (Vertegenwoordigt een bevestigde of zeer waarschijnlijke schadelijke activiteit die inbreuk kan maken op het systeem of netwerk)- Suspicious Activity (Vlaggedrag of gebeurtenissen die ongebruikelijk of verdacht lijken, maar nog niet als schadelijk zijn bevestigd)- Anomaly (Identificeert afwijkingen van normale patronen die kunnen duiden op een mogelijk beveiligingsrisico of operationeel probleem)- Compliance Violation (Markeert activiteiten die inbreuk maken op regelgeving, beleid of nalevingsstandaarden) |
| EventUid | Verplicht | tekenreeks | Een machineleesbare, alfanumerieke tekenreeks waarmee een waarschuwing in een systeem uniek wordt geïdentificeerd. bijvoorbeeld A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
| EventMessage | Optioneel | tekenreeks | Gedetailleerde informatie over de waarschuwing, met inbegrip van de context, oorzaak en mogelijke impact. bijvoorbeeld Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
| IpAddr | Alias | Alias of beschrijvende naam voor DvcIpAddr veld. |
|
| Hostnaam | Alias | Alias of beschrijvende naam voor DvcHostname veld. |
|
| EventSchema | Verplicht | tekenreeks | Het schema dat wordt gebruikt voor de gebeurtenis. Het schema dat hier wordt beschreven, is AlertEvent. |
| EventSchemaVersion | Verplicht | tekenreeks | De versie van het schema. De versie van het schema dat hier wordt beschreven, is 0.1. |
Alle algemene velden
Velden die in de onderstaande tabel worden weergegeven, zijn gebruikelijk voor alle ASIM-schema's. Elke hierboven opgegeven richtlijn overschrijft de algemene richtlijnen voor het veld. Een veld kan bijvoorbeeld optioneel zijn in het algemeen, maar verplicht voor een specifiek schema. Raadpleeg het artikel algemene ASIM-velden voor meer informatie over elk veld.
| Klas | Velden |
|---|---|
| Verplicht |
-
EventCount - EventStartTime - EventEndTime - EventType - EventUid - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
| Aanbevolen |
-
EventSubType - EventSeverity - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType |
| Optioneel |
-
EventMessage - EventOriginalType - EventOriginalSubType - EventOriginalSeverity - EventProductVersion - EventOriginalUid - EventReportUrl - EventResult - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcAction - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Inspectievelden
De volgende tabel bevat velden die essentiële inzichten bieden in de regels en bedreigingen die zijn gekoppeld aan waarschuwingen. Samen helpen ze de context van de waarschuwing te verrijken, waardoor beveiligingsanalisten de oorsprong en significantie gemakkelijker kunnen begrijpen.
| Veld | Klas | Type | Description |
|---|---|---|---|
| AlertId | Alias | tekenreeks | Alias of beschrijvende naam voor EventUid veld. |
| AlertName | Aanbevolen | tekenreeks | Titel of naam van de waarschuwing. bijvoorbeeld Possible use of the Rubeus kerberoasting tool |
| AlertDescription | Alias | tekenreeks | Alias of beschrijvende naam voor EventMessage veld. |
| AlertVerdict | Optioneel | Enumerated | De definitieve bepaling of het resultaat van de waarschuwing, waarmee wordt aangegeven of de waarschuwing is bevestigd als een bedreiging, verdacht wordt geacht of opgelost als fout-positief. Ondersteunde waarden zijn: - True Positive (Bevestigd als een legitieme bedreiging)- False Positive (Onjuist geïdentificeerd als een bedreiging)- Benign Positive (wanneer wordt vastgesteld dat een gebeurtenis ongevaarlijk is)- Unknown (Onzekere of onbepaalde status) |
| AlertStatus | Optioneel | Enumerated | Geeft de huidige status of voortgang van de waarschuwing aan. Ondersteunde waarden zijn: - Active- Closed |
| AlertOriginalStatus | Optioneel | tekenreeks | De status van de waarschuwing zoals gerapporteerd door het oorspronkelijke systeem. |
| DetectionMethod | Optioneel | Enumerated | Biedt gedetailleerde informatie over de specifieke detectiemethode, technologie of gegevensbron die heeft bijgedragen aan het genereren van de waarschuwing. Dit veld biedt meer inzicht in hoe de waarschuwing is gedetecteerd of geactiveerd, zodat de detectiecontext en betrouwbaarheid beter worden begrepen. Ondersteunde waarden zijn onder andere: - EDR: Eindpuntdetectie- en responssystemen die eindpuntactiviteiten bewaken en analyseren om bedreigingen te identificeren.- Behavioral Analytics: Technieken waarmee abnormale patronen in gebruikers-, apparaat- of systeemgedrag worden gedetecteerd.- Reputation: Detectie van bedreigingen op basis van de reputatie van IP-adressen, domeinen of bestanden.- Threat Intelligence: Externe of interne intelligentiefeeds die gegevens leveren over bekende bedreigingen of aanvallertactieken.- Intrusion Detection: Systemen die netwerkverkeer of activiteiten bewaken voor tekenen van inbraak of aanvallen.- Automated Investigation: Geautomatiseerde systemen die waarschuwingen analyseren en onderzoeken, waardoor handmatige werkbelasting wordt verminderd.- Antivirus: Traditionele antivirusprogramma's die malware detecteren op basis van handtekeningen en heuristiek.- Data Loss Prevention: Oplossingen gericht op het voorkomen van onbevoegde gegevensoverdracht of -lekken.- User Defined Blocked List: Aangepaste lijsten die zijn gedefinieerd door gebruikers om specifieke IP-adressen, domeinen of bestanden te blokkeren.- Cloud Security Posture Management: Hulpprogramma's waarmee beveiligingsrisico's in cloudomgevingen worden beoordeeld en beheerd.- Cloud Application Security: Oplossingen die cloudtoepassingen en -gegevens beveiligen.- Scheduled Alerts: Waarschuwingen gegenereerd op basis van vooraf gedefinieerde planningen of drempelwaarden.- Other: Elke andere detectiemethode die niet wordt gedekt door de bovenstaande categorieën. |
| Regel | Alias | tekenreeks | De waarde van RuleName of de waarde van RuleNumber. Als de waarde van RuleNumber wordt gebruikt, moet het type worden geconverteerd naar tekenreeks. |
| RuleNumber | Optioneel | int | Het nummer van de regel die aan de waarschuwing is gekoppeld. bijvoorbeeld 123456 |
| RuleName | Optioneel | tekenreeks | De naam of id van de regel die aan de waarschuwing is gekoppeld. bijvoorbeeld Server PSEXEC Execution via Remote Access |
| RuleDescription | Optioneel | tekenreeks | Beschrijving van de regel die aan de waarschuwing is gekoppeld. bijvoorbeeld This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
| ThreatId | Optioneel | tekenreeks | De id van de bedreiging of malware die in de waarschuwing is geïdentificeerd. bijvoorbeeld 1234567891011121314 |
| ThreatName | Optioneel | tekenreeks | De naam van de bedreiging of malware die in de waarschuwing is geïdentificeerd. bijvoorbeeld Init.exe |
| ThreatFirstReportedTime | Optioneel | datetime | Datum en tijd waarop de bedreiging voor het eerst werd gerapporteerd. bijvoorbeeld 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Optioneel | datetime | Datum en tijd waarop de bedreiging voor het laatst is gerapporteerd. bijvoorbeeld 2024-09-19T10:12:10.0000000Z |
| ThreatCategory | Aanbevolen | Enumerated | De categorie van de bedreiging of malware die in de waarschuwing is geïdentificeerd. Ondersteunde waarden zijn: Malware, Ransomware, Trojan, , WormVirusAdwareSpywareRootkitCryptominorPhishingSpamMaliciousUrlSpoofingSecurity Policy ViolationUnknown |
| ThreatOriginalCategory | Optioneel | tekenreeks | De categorie van de bedreiging zoals gerapporteerd door het oorspronkelijke systeem. |
| ThreatIsActive | Optioneel | bool | Geeft aan of de bedreiging momenteel actief is. Ondersteunde waarden zijn: True, False |
| ThreatRiskLevel | Optioneel | int | Het risiconiveau dat aan de bedreiging is gekoppeld. Het niveau moet een getal tussen 0 en 100 zijn. Opmerking: De waarde kan worden opgegeven in de bronrecord met behulp van een andere schaal, die moet worden genormaliseerd voor deze schaal. De oorspronkelijke waarde moet worden opgeslagen in ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Optioneel | tekenreeks | Het risiconiveau zoals gerapporteerd door het oorspronkelijke systeem. |
| ThreatConfidence | Optioneel | int | Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd tot een waarde tussen 0 en 100. |
| ThreatOriginalConfidence | Optioneel | tekenreeks | Het betrouwbaarheidsniveau zoals gerapporteerd door het oorspronkelijke systeem. |
| IndicatorType | Aanbevolen | Enumerated | Het type of de categorie van de indicator Ondersteunde waarden zijn: - Ip- User- Process- Registry- Url- Host- Cloud Resource- Application- File- Email- Mailbox- Logon Session |
| IndicatorAssociation | Optioneel | Enumerated | Hiermee geeft u op of de indicator is gekoppeld aan of rechtstreeks wordt beïnvloed door de bedreiging. Ondersteunde waarden zijn: - Associated- Targeted |
| AttackTactics | Aanbevolen | tekenreeks | De aanvaltactieken (naam, id of beide) die aan de waarschuwing zijn gekoppeld. Voorkeursindeling: bijvoorbeeld: Persistence, Privilege Escalation |
| AttackTechniques | Aanbevolen | tekenreeks | De aanvalstechnieken (naam, id of beide) die aan de waarschuwing zijn gekoppeld. Voorkeursindeling: bijvoorbeeld: Local Groups (T1069.001), Domain Groups (T1069.002) |
| AttackRemediationSteps | Aanbevolen | tekenreeks | Aanbevolen acties of stappen om de geïdentificeerde aanval of bedreiging te beperken of te herstellen. Bijvoorbeeld: 1. Make sure the machine is completely updated and all your software has the latest patch.2. Contact your incident response team. |
Gebruikersvelden
In deze sectie worden velden gedefinieerd die betrekking hebben op de identificatie en classificatie van gebruikers die zijn gekoppeld aan een waarschuwing, wat duidelijkheid biedt over de betrokken gebruiker en de indeling van hun identiteit. Als de waarschuwing aanvullende, meerdere gebruikersgerelateerde velden bevat die groter zijn dan wat hier is toegewezen, kunt u overwegen of een speciaal schema, zoals het schema voor verificatiegebeurtenissen, geschikter is om de gegevens volledig weer te geven.
| Veld | Klas | Type | Beschrijving |
|---|---|---|---|
| Gebruikers-id | Optioneel | tekenreeks | Een machineleesbare, alfanumerieke, unieke weergave van de gebruiker die aan de waarschuwing is gekoppeld. bijvoorbeeld A1bC2dE3fH4iJ5kL6mN7o |
| UserIdType | Voorwaardelijk | Enumerated | Het type gebruikers-id, zoals GUID, SIDof Email.Ondersteunde waarden zijn: - GUID- SID- Email- Username- Phone- Other |
| Gebruikersnaam | Aanbevolen | tekenreeks | De naam van de gebruiker die is gekoppeld aan de waarschuwing, inclusief domeingegevens indien beschikbaar. bijvoorbeeld Contoso\JSmith of john.smith@contoso.com |
| Gebruiker | Alias | tekenreeks | Alias of beschrijvende naam voor Username veld. |
| UsernameType | Voorwaardelijk | UsernameType | Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het Username veld. Zie UsernameType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden.bijvoorbeeld Windows |
| UserType | Optioneel | UserType | Het type actor. Zie UserType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. bijvoorbeeld Guest |
| OriginalUserType | Optioneel | tekenreeks | Het gebruikerstype zoals gerapporteerd door het rapportageapparaat. |
| UserSessionId | Optioneel | tekenreeks | De unieke id van de sessie van de gebruiker die is gekoppeld aan de waarschuwing. bijvoorbeeld a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
| UserScopeId | Optioneel | tekenreeks | De bereik-id, zoals Microsoft Entra Directory-id, waarin UserId en Username worden gedefinieerd. bijvoorbeeld a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
| UserScope | Optioneel | tekenreeks | Het bereik, zoals Microsoft Entra-tenant, waarin UserId en Username worden gedefinieerd. of meer informatie en lijst met toegestane waarden, zie UserScope in het artikel Schemaoverzicht. bijvoorbeeld Contoso Directory |
Procesvelden
In deze sectie kunt u details vastleggen die betrekking hebben op een procesentiteit die betrokken is bij een waarschuwing met behulp van de opgegeven velden. Als de waarschuwing aanvullende, gedetailleerde procesgerelateerde velden bevat die groter zijn dan wat hier is toegewezen, kunt u overwegen of een speciaal schema, zoals het procesgebeurtenisschema, geschikter is om de gegevens volledig weer te geven.
| Veld | Klas | Type | Description |
|---|---|---|---|
| ProcessId | Optioneel | tekenreeks | De proces-id (PID) die aan de waarschuwing is gekoppeld. bijvoorbeeld 12345678 |
| ProcessCommandLine | Optioneel | tekenreeks | De opdrachtregel die wordt gebruikt om het proces te starten. bijvoorbeeld "choco.exe" -v |
| ProcessName | Optioneel | tekenreeks | Naam van het proces. bijvoorbeeld C:\Windows\explorer.exe |
| ProcessFileCompany | Optioneel | tekenreeks | Bedrijf dat het procesinstallatiekopieënbestand heeft gemaakt. bijvoorbeeld Microsoft |
Bestandsvelden
In deze sectie kunt u details vastleggen die betrekking hebben op een bestandsentiteit die betrokken is bij een waarschuwing. Als de waarschuwing aanvullende, gedetailleerde bestandsgerelateerde velden bevat die groter zijn dan wat hier is toegewezen, kunt u overwegen of een speciaal schema, zoals het schema voor bestandsgebeurtenissen, geschikter is om de gegevens volledig weer te geven.
| Veld | Klas | Type | Description |
|---|---|---|---|
| Bestandsnaam | Optioneel | tekenreeks | Naam van het bestand dat aan de waarschuwing is gekoppeld, zonder pad of locatie. bijvoorbeeld Notepad.exe |
| FilePath | Optioneel | tekenreeks | hij volledig, genormaliseerd pad van het doelbestand, inclusief de map of locatie, de bestandsnaam en de extensie. bijvoorbeeld C:\Windows\System32\notepad.exe |
| FileSHA1 | Optioneel | tekenreeks | SHA1-hash van het bestand. bijvoorbeeld j5kl6mn7op8qr9st0uv1 |
| FileSHA256 | Optioneel | tekenreeks | SHA256-hash van het bestand. bijvoorbeeld a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
| FileMD5 | Optioneel | tekenreeks | MD5-hash van het bestand. bijvoorbeeld j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
| FileSize | Optioneel | long | Grootte van het bestand in bytes. bijvoorbeeld 123456 |
URL-veld
Als uw waarschuwing informatie bevat over de URL-entiteit, kunnen de volgende velden URL-gerelateerde gegevens vastleggen.
| Veld | Klas | Type | Description |
|---|---|---|---|
| URL | Optioneel | tekenreeks | De URL-tekenreeks die in de waarschuwing is vastgelegd. bijvoorbeeld https://contoso.com/fo/?k=v&q=u#f |
Registervelden
Als uw waarschuwing details bevat over de registerentiteit, gebruikt u de volgende velden om specifieke registergerelateerde informatie vast te leggen.
| Veld | Klas | Type | Description |
|---|---|---|---|
| RegistryKey | Optioneel | tekenreeks | De registersleutel die is gekoppeld aan de waarschuwing, genormaliseerd naar standaardnaamconventies voor hoofdsleutels. bijvoorbeeld HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Optioneel | tekenreeks | Registerwaarde. bijvoorbeeld ImagePath |
| RegistryValueData | Optioneel | tekenreeks | Gegevens van de registerwaarde. bijvoorbeeld C:\Windows\system32;C:\Windows; |
| RegistryValueType | Optioneel | Enumerated | Type van de registerwaarde. bijvoorbeeld Reg_Expand_Sz |
E-mailvelden
Als uw waarschuwing informatie over de e-mailentiteit bevat, gebruikt u de volgende velden om specifieke details met betrekking tot e-mail vast te leggen.
| Veld | Klas | Type | Description |
|---|---|---|---|
| EmailMessageId | Optioneel | tekenreeks | Unieke id voor het e-mailbericht, gekoppeld aan de waarschuwing. bijvoorbeeld Request for Invoice Access |
| EmailSubject | Optioneel | tekenreeks | Onderwerp van het e-mailbericht. bijvoorbeeld j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
Schema-Updates
Hier volgen de wijzigingen in verschillende versies van het schema:
- Versie 0.1: Eerste release.