Gelişmiş Güvenlik Bilgileri Modeli (ASIM) Uyarı Şeması Başvurusu
Microsoft Sentinel Uyarı Şeması, çeşitli ürünlerden gelen güvenlikle ilgili uyarıları Microsoft Gelişmiş Güvenlik Bilgileri Modeli (ASIM) içinde standartlaştırılmış bir biçimde normalleştirmek için tasarlanmıştır. Bu şema yalnızca güvenlik olaylarına odaklanarak farklı veri kaynakları arasında tutarlı ve verimli analiz sağlar.
Uyarı Şeması tehditler, şüpheli etkinlikler, kullanıcı davranışı anomalileri ve uyumluluk ihlalleri gibi çeşitli güvenlik uyarılarını temsil eder. Bu uyarılar, EDR'ler, virüsten koruma yazılımı, izinsiz giriş algılama sistemleri, veri kaybı önleme araçları vb. dahil ancak bunlarla sınırlı olmamak üzere farklı güvenlik ürünleri ve sistemleri tarafından bildirilir.
Microsoft Sentinel'de normalleştirme hakkında daha fazla bilgi için bkz . Normalleştirme ve Gelişmiş Güvenlik Bilgileri Modeli (ASIM).
Önemli
Uyarı normalleştirme şeması şu anda önizleme aşamasındadır. Bu özellik, hizmet düzeyi sözleşmesi olmadan sağlanır. Üretim iş yükleri için önerilmez.
Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.
Çözümleyicileri
ASIM ayrıştırıcıları hakkında daha fazla bilgi için bkz . ASIM ayrıştırıcılarına genel bakış.
Ayrıştırıcıları Birleştirme
Tüm ASIM kullanıma alınmış ayrıştırıcıları birleştiren ayrıştırıcıları kullanmak ve çözümlemenizin yapılandırılan tüm kaynaklarda çalıştığından emin olmak için filtreleme ayrıştırıcısını _Im_AlertEvent veya parametresiz ayrıştırıcıyı _ASim_AlertEvent kullanın. Çalışma alanı tarafından dağıtılan imAlertEvent ve ASimAlertEvent ayrıştırıcıları Microsoft Sentinel GitHub deposundan dağıtarak da kullanabilirsiniz.
Daha fazla bilgi için bkz . yerleşik ASIM ayrıştırıcıları ve çalışma alanı tarafından dağıtılan ayrıştırıcılar.
Kullanıma açık, Kaynağa Özgü Ayrıştırıcılar
Microsoft Sentinel tarafından kullanıma hazır olarak sunulan Uyarı ayrıştırıcılarının listesi için ASIM ayrıştırıcıları listesine bakın.
Kendi Normalleştirilmiş Ayrıştırıcılarınızı Ekleme
Uyarı bilgileri modeli için özel ayrıştırıcılar geliştirirken aşağıdaki söz dizimini kullanarak KQL işlevlerinizi adlandırın:
-
vimAlertEvent<vendor><Product>parametreli ayrıştırıcılar için -
ASimAlertEvent<vendor><Product>normal ayrıştırıcılar için
Ayrıştırıcıları birleştiren uyarıya özel ayrıştırıcılarınızı eklemeyi öğrenmek için ASIM ayrıştırıcılarını yönetme makalesine bakın.
Ayrıştırıcı Parametrelerini Filtreleme
Uyarı ayrıştırıcıları, sorgu performansını geliştirmek için çeşitli filtreleme parametrelerini destekler. Bu parametreler isteğe bağlıdır ancak sorgu performansınızı artırabilir. Aşağıdaki filtreleme parametreleri kullanılabilir:
| Adı | Tür | Açıklama |
|---|---|---|
| starttime | datetime | Yalnızca şu anda veya sonrasında başlayan uyarıları filtreleyin. |
| bitiş saati | datetime | Yalnızca bu saatte veya öncesinde başlayan uyarıları filtreleyin. |
| ipaddr_has_any_prefix | dynamic | Yalnızca 'DvcIpAddr' alanının listelenen değerlerden birinde yer aldığı uyarıları filtreleyin. |
| hostname_has_any | dynamic | Yalnızca 'DvcHostname' alanının listelenen değerlerden birinde bulunduğu uyarıları filtreleyin. |
| username_has_any | dynamic | Yalnızca 'Kullanıcı Adı' alanının listelenen değerlerden birinde yer aldığı uyarıları filtreleyin. |
| attacktactics_has_any | dynamic | Yalnızca 'AttackTactics' alanının listelenen değerlerden birinde bulunduğu uyarıları filtreleyin. |
| attacktechniques_has_any | dynamic | Yalnızca 'AttackTechniques' alanının listelenen değerlerden birinde yer aldığı uyarıları filtreleyin. |
| threatcategory_has_any | dynamic | Yalnızca 'ThreatCategory' alanının listelenen değerlerden birinde yer aldığı uyarıları filtreleyin. |
| alertverdict_has_any | dynamic | Yalnızca 'AlertVerdict' alanının listelenen değerlerden birinde bulunduğu uyarıları filtreleyin. |
| eventseverity_has_any | dynamic | Yalnızca 'EventSeverity' alanının listelenen değerlerden birinde yer aldığı uyarıları filtreleyin. |
Şemaya Genel Bakış
Uyarı Şeması, aynı alanları paylaşan çeşitli güvenlik olayı türlerine hizmet eder. Bu olaylar EventType alanı tarafından tanımlanır:
- Tehdit Bilgileri: Kötü amaçlı yazılım, kimlik avı, fidye yazılımı ve diğer siber tehditler gibi çeşitli kötü amaçlı etkinliklerle ilgili uyarılar.
- Şüpheli Etkinlikler: Kesin olarak doğrulanmamış ancak şüpheli olan ve birden çok başarısız oturum açma girişimi veya kısıtlanmış dosyalara erişim gibi daha fazla araştırma gerektiren etkinliklere yönelik uyarılar.
- Kullanıcı Davranışı Anomalileri: Olağan dışı oturum açma süreleri veya olağan dışı veri erişim desenleri gibi bir güvenlik sorunu önerebilecek olağan dışı veya beklenmeyen kullanıcı davranışını gösteren uyarılar.
- Uyumluluk İhlalleri: Mevzuat veya iç ilkelerle uyumsuzlukla ilgili uyarılar. Örneğin, açık genel bağlantı noktalarıyla kullanıma sunulan bir VM saldırılara karşı savunmasızdır (Bulut Güvenlik Uyarısı).
Önemli
Uyarı Şemasının ilgi ve etkinliğini korumak için yalnızca güvenlikle ilgili uyarılar eşlenmelidir.
Uyarı şeması, uyarıyla ilgili ayrıntıları yakalamak için aşağıdaki varlıklara başvurur:
-
Dvc alanları, uyarıyla ilişkilendirilmiş ana bilgisayar veya Ip hakkındaki ayrıntıları yakalamak için kullanılır
-
Kullanıcı alanları, uyarıyla ilişkilendirilmiş kullanıcı hakkındaki ayrıntıları yakalamak için kullanılır.
- Benzer şekilde İşlem, Dosya, Url, Kayıt Defteri ve E-posta alanları da yalnızca uyarıyla ilişkili işlem, dosya, Url, kayıt defteri ve e-postayla ilgili önemli ayrıntıları yakalamak için kullanılır.
Önemli
- Ürüne özgü ayrıştırıcı oluştururken, uyarı bir güvenlik olayı veya olası tehdit hakkında bilgi içerdiğinde ASIM Uyarı şemasını kullanın ve birincil ayrıntılar doğrudan kullanılabilir Uyarı şeması alanlarına eşlenebilir. Uyarı şeması, varlığa özgü kapsamlı alanlar olmadan özet bilgileri yakalamak için idealdir.
- Bununla birlikte, doğrudan alan eşleşmelerinin olmaması nedeniyle temel alanları 'AdditionalFields' içine yerleştirdiğinizde fark ederseniz, daha özelleştirilmiş bir şemayı göz önünde bulundurun. Örneğin, bir uyarı SrcIpAdr, DstIpAddr, PortNumber gibi birden çok IP adresi gibi ağ ile ilgili ayrıntıları içeriyorsa, Uyarı şeması üzerinden NetworkSession şemasını tercih edebilirsiniz. Özelleştirilmiş şemalar ayrıca tehditle ilgili bilgileri yakalamak, veri kalitesini geliştirmek ve verimli analizi kolaylaştırmak için ayrılmış alanlar sağlar.
Şema Ayrıntıları
Ortak ASIM Alanları
Aşağıdaki listede Uyarı olayları için belirli yönergelere sahip alanlardan bahsediliyor:
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| EventType | Zorunlu | Enumerated | Olayın türü. Desteklenen değerler şunlardır: - Alert |
| EventSubType | Önerilir | Enumerated | Daha geniş olay sınıflandırması içinde daha ayrıntılı ayrıntı sağlayan uyarı olayının alt türünü veya kategorisini belirtir. Bu alan, algılanan sorunun niteliğini ayırt ederek olay öncelik belirleme ve yanıt stratejilerini iyileştirmeye yardımcı olur. Desteklenen değerler şunlardır: - Threat (Sistemi veya ağı tehlikeye atabilecek doğrulanmış veya yüksek olasılıkla kötü amaçlı bir etkinliği temsil eder)- Suspicious Activity (Olağan dışı veya şüpheli görünen ancak henüz kötü amaçlı olarak onaylanmamış davranış veya olaylara bayraklar uygular)- Anomaly (Olası bir güvenlik riski veya işlem sorununa işaret edebilecek normal desenlerden sapmaları tanımlar)- Compliance Violation (Mevzuat, ilke veya uyumluluk standartlarını ihlal eden etkinlikleri vurgular) |
| EventUid | Zorunlu | Dize | Sistem içindeki bir uyarıyı benzersiz olarak tanımlayan, makine tarafından okunabilir, alfasayısal bir dize. ör. A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
| EventMessage | İsteğe bağlı | Dize | Bağlamı, nedeni ve olası etkisi dahil olmak üzere uyarı hakkında ayrıntılı bilgiler. ör. Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
| IpAddr | Diğer ad | Alan için DvcIpAddr diğer ad veya kolay ad. |
|
| Ana Bilgisayar Adı | Diğer ad | Alan için DvcHostname diğer ad veya kolay ad. |
|
| EventSchema | Zorunlu | Dize | Olay için kullanılan şema. Burada belgelenen şemadır AlertEvent. |
| EventSchemaVersion | Zorunlu | Dize | Şema sürümü. Şemanın burada belgelenen sürümüdür 0.1. |
Tüm Ortak Alanlar
Aşağıdaki tabloda görünen alanlar tüm ASIM şemalarında ortaktır. Yukarıda belirtilen tüm yönergeler, alanın genel yönergelerini geçersiz kılar. Örneğin, bir alan genel olarak isteğe bağlı olabilir, ancak belirli bir şema için zorunlu olabilir. Her alan hakkında daha fazla bilgi için ASIM Ortak Alanları makalesine bakın.
| Sınıf | Alanlar |
|---|---|
| Zorunlu |
-
EventCount - EventStartTime - EventEndTime - EventType - EventUid - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
| Önerilir |
-
EventSubType - EventSeverity - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType |
| İsteğe bağlı |
-
EventMessage - EventOriginalType - EventOriginalSubType - EventOriginalSeverity - EventProductVersion - EventOriginalUid - EventReportUrl - EventResult - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcAction - DvcOriginalAction - DvcInterface - EkAlanlar - DvcDescription - DvcScopeId - DvcScope |
Denetim Alanları
Aşağıdaki tabloda, uyarılarla ilişkili kurallar ve tehditler hakkında kritik içgörüler sağlayan alanlar yer alır. Birlikte, uyarının bağlamını zenginleştirmeye yardımcı olur ve güvenlik analistlerinin kaynağını ve önemini anlamasını kolaylaştırır.
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| AlertId | Diğer ad | Dize | Alan için EventUid diğer ad veya kolay ad. |
| AlertName | Önerilir | Dize | Uyarının başlığı veya adı. ör. Possible use of the Rubeus kerberoasting tool |
| AlertDescription | Diğer ad | Dize | Alan için EventMessage diğer ad veya kolay ad. |
| UyarıVerdict | İsteğe bağlı | Enumerated | Uyarının tehdit olarak onaylandığını, şüpheli kabul edildiğini veya hatalı pozitif olarak çözümlendiğini gösteren son belirleme veya sonuç. Desteklenen değerler şunlardır: - True Positive (Meşru bir tehdit olarak onaylandı)- False Positive (Yanlış bir tehdit olarak tanımlanır)- Benign Positive (olayın zararsız olduğu belirlendiğinde)- Unknown (Belirsiz veya belirsiz durum) |
| AlertStatus | İsteğe bağlı | Enumerated | Uyarının geçerli durumunu veya ilerleme durumunu gösterir. Desteklenen değerler şunlardır: - Active- Closed |
| AlertOriginalStatus | İsteğe bağlı | Dize | Kaynak sistem tarafından bildirilen uyarının durumu. |
| AlgılamaMethod | İsteğe bağlı | Enumerated | Uyarının oluşturulmasına katkıda bulunan belirli algılama yöntemi, teknoloji veya veri kaynağı hakkında ayrıntılı bilgi sağlar. Bu alan, uyarının nasıl algılandığı veya tetiklendiği hakkında daha fazla içgörü sağlayarak algılama bağlamı ve güvenilirliğinin anlaşılmasına yardımcı olur. Desteklenen değerler şunlardır: - EDR: Tehditleri tanımlamak için uç nokta etkinliklerini izleyen ve analiz eden Uç Nokta Algılama ve Yanıt sistemleri.- Behavioral Analytics: Kullanıcı, cihaz veya sistem davranışındaki anormal desenleri algılayan teknikler.- Reputation: IP adreslerinin, etki alanlarının veya dosyaların saygınlığına bağlı olarak tehdit algılama.- Threat Intelligence: Bilinen tehditler veya saldırgan taktikler hakkında veri sağlayan dış veya iç zeka akışları.- Intrusion Detection: Ağ trafiğini veya yetkisiz erişim veya saldırı işaretlerine yönelik etkinlikleri izleyen sistemler.- Automated Investigation: Uyarıları analiz eden ve araştıran otomatik sistemler, el ile iş yükünü azaltır.- Antivirus: İmzalara ve buluşsal yöntemlere göre kötü amaçlı yazılımları algılayan geleneksel virüsten koruma motorları.- Data Loss Prevention: Yetkisiz veri aktarımlarını veya sızıntılarını önlemeye odaklanan çözümler.- User Defined Blocked List: Belirli IP'leri, etki alanlarını veya dosyaları engellemek için kullanıcılar tarafından tanımlanan özel listeler.- Cloud Security Posture Management: Bulut ortamlarındaki güvenlik risklerini değerlendiren ve yöneten araçlar.- Cloud Application Security: Bulut uygulamalarının ve verilerinin güvenliğini sağlayan çözümler.- Scheduled Alerts: Önceden tanımlanmış zamanlamalara veya eşiklere göre oluşturulan uyarılar.- Other: Yukarıdaki kategorilerin kapsamına alınmayan diğer tüm algılama yöntemleri. |
| Kural | Diğer ad | Dize | RuleName değeri veya RuleNumber değeri. RuleNumber değeri kullanılırsa, türü dizeye dönüştürülmelidir. |
| KuralSayısı | İsteğe bağlı | int | Uyarıyla ilişkili kuralın sayısı. ör. 123456 |
| RuleName | İsteğe bağlı | Dize | Uyarıyla ilişkili kuralın adı veya kimliği. ör. Server PSEXEC Execution via Remote Access |
| RuleDescription | İsteğe bağlı | Dize | Uyarıyla ilişkili kuralın açıklaması. ör. This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
| ThreatId | İsteğe bağlı | Dize | Uyarıda tanımlanan tehdit veya kötü amaçlı yazılımın kimliği. ör. 1234567891011121314 |
| ThreatName | İsteğe bağlı | Dize | Uyarıda tanımlanan tehdit veya kötü amaçlı yazılımın adı. ör. Init.exe |
| ThreatFirstReportedTime | İsteğe bağlı | datetime | Tehdidin ilk bildirildiği tarih ve saat. ör. 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | İsteğe bağlı | datetime | Tehdidin en son bildirildiği tarih ve saat. ör. 2024-09-19T10:12:10.0000000Z |
| ThreatCategory | Önerilir | Enumerated | Uyarıda tanımlanan tehdit veya kötü amaçlı yazılım kategorisi. Desteklenen değerler şunlardır: Malware, Ransomware, Trojan, , Virus, Worm, , Adware, Spyware, , SpamMaliciousUrlRootkitSecurity Policy ViolationCryptominorPhishingSpoofing,Unknown |
| ThreatOriginalCategory | İsteğe bağlı | Dize | Kaynak sistem tarafından bildirilen tehdit kategorisi. |
| ThreatIsActive | İsteğe bağlı | ikili | Tehdidin şu anda etkin olup olmadığını gösterir. Desteklenen değerler şunlardır: True, False |
| ThreatRiskLevel | İsteğe bağlı | int | Tehditle ilişkili risk düzeyi. Düzey 0 ile 100 arasında bir sayı olmalıdır. Not: Bu değer kaynak kayıtta farklı bir ölçek kullanılarak sağlanabilir ve bu ölçek normalleştirilmelidir. Özgün değer ThreatRiskLevelOriginal içinde depolanmalıdır. |
| ThreatOriginalRiskLevel | İsteğe bağlı | Dize | Kaynak sistem tarafından bildirilen risk düzeyi. |
| ThreatConfidence | İsteğe bağlı | int | Tanımlanan tehdidin güvenilirlik düzeyi, 0 ile 100 arasında bir değere normalleştirilir. |
| ThreatOriginalConfidence | İsteğe bağlı | Dize | Kaynak sistem tarafından bildirilen güvenilirlik düzeyi. |
| IndicatorType | Önerilir | Enumerated | Göstergenin türü veya kategorisi Desteklenen değerler şunlardır: - Ip- User- Process- Registry- Url- Host- Cloud Resource- Application- File- Email- Mailbox- Logon Session |
| IndicatorAssociation | İsteğe bağlı | Enumerated | Göstergenin tehditle bağlantılı olup olmadığını veya doğrudan etkilenip etkilenmediğini belirtir. Desteklenen değerler şunlardır: - Associated- Targeted |
| AttackTactics | Önerilir | Dize | Uyarıyla ilişkili saldırı taktikleri (ad, kimlik veya her ikisi). Tercih edilen biçim: Örneğin: Persistence, Privilege Escalation |
| AttackTechniques | Önerilir | Dize | Uyarıyla ilişkili saldırı teknikleri (ad, kimlik veya her ikisi). Tercih edilen biçim: Örneğin: Local Groups (T1069.001), Domain Groups (T1069.002) |
| AttackRemediationSteps | Önerilir | Dize | Tanımlanan saldırıyı veya tehdidi hafifletmek veya düzeltmek için önerilen eylemler veya adımlar. örn. 1. Make sure the machine is completely updated and all your software has the latest patch.2. Contact your incident response team. |
Kullanıcı Alanları
Bu bölümde, bir uyarıyla ilişkili kullanıcıların tanımlanması ve sınıflandırılmasıyla ilgili alanlar tanımlanarak etkilenen kullanıcı ve kimliklerinin biçimi hakkında netlik sağlanır. Uyarı, burada eşlenenleri aşan ek, kullanıcıyla ilgili birden çok alan içeriyorsa, Kimlik Doğrulama Olayı şeması gibi özel bir şemanın verileri tam olarak temsil etmek için daha uygun olup olmadığını düşünebilirsiniz.
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| UserId | İsteğe bağlı | Dize | Uyarıyla ilişkilendirilmiş kullanıcının makine tarafından okunabilir, alfasayısal, benzersiz bir gösterimi. ör. A1bC2dE3fH4iJ5kL6mN7o |
| UserIdType | Koşullu | Enumerated | Kullanıcı kimliğinin türü, örneğin GUID, , SIDveya Email.Desteklenen değerler şunlardır: - GUID- SID- Email- Username- Phone- Other |
| Kullanıcı adı | Önerilir | Dize | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere uyarıyla ilişkili kullanıcının adı. örneğin Contoso\JSmith veya john.smith@contoso.com |
| Kullanıcı | Diğer ad | Dize | Alan için Username diğer ad veya kolay ad. |
| UsernameType | Koşullu | UsernameType | Alanda depolanan Username kullanıcı adının türünü belirtir. Daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UsernameType bölümüne bakın.ör. Windows |
| UserType | İsteğe bağlı | UserType | Aktör türü. Daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserType bölümüne bakın. ör. Guest |
| OriginalUserType | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen kullanıcı türü. |
| UserSessionId | İsteğe bağlı | Dize | Uyarıyla ilişkili kullanıcının oturumunun benzersiz kimliği. ör. a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
| UserScopeId | İsteğe bağlı | Dize | UserId ve Kullanıcı Adı'nın tanımlandığı Microsoft Entra Dizin Kimliği gibi kapsam kimliği. ör. a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
| UserScope | İsteğe bağlı | Dize | UserId ve Kullanıcı Adı'nın tanımlandığı Microsoft Entra kiracısı gibi kapsam. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScope bölümüne bakın. ör. Contoso Directory |
İşlem Alanları
Bu bölüm, belirtilen alanları kullanarak bir uyarıda yer alan bir işlem varlığıyla ilgili ayrıntıları yakalamanıza olanak tanır. Uyarı, burada eşlenenleri aşan ek, ayrıntılı işlemle ilgili alanlar içeriyorsa, İşlem Olayı şeması gibi özel bir şemanın verileri tam olarak temsil etmek için daha uygun olup olmadığını düşünebilirsiniz.
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| ProcessId | İsteğe bağlı | Dize | Uyarıyla ilişkili işlem kimliği (PID). ör. 12345678 |
| ProcessCommandLine | İsteğe bağlı | Dize | İşlemi başlatmak için kullanılan komut satırı. ör. "choco.exe" -v |
| İşlemAdı | İsteğe bağlı | Dize | İşlemin adı. ör. C:\Windows\explorer.exe |
| ProcessFileCompany | İsteğe bağlı | Dize | İşlem görüntüsü dosyasını oluşturan şirket. ör. Microsoft |
Dosya Alanları
Bu bölüm, uyarıda yer alan bir dosya varlığıyla ilgili ayrıntıları yakalamanızı sağlar. Uyarı, burada eşlenenleri aşan ek, ayrıntılı dosyayla ilgili alanlar içeriyorsa, Dosya Olayı şeması gibi özel bir şemanın verileri tam olarak temsil etmek için daha uygun olup olmadığını düşünebilirsiniz.
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| Dosyaadı | İsteğe bağlı | Dize | Yol veya konum olmadan uyarıyla ilişkilendirilmiş dosyanın adı. ör. Notepad.exe |
| FilePath | İsteğe bağlı | Dize | klasör veya konum, dosya adı ve uzantı dahil olmak üzere hedef dosyanın tam ve normalleştirilmiş yolunu içerir. ör. C:\Windows\System32\notepad.exe |
| FileSHA1 | İsteğe bağlı | Dize | Dosyanın SHA1 karması. ör. j5kl6mn7op8qr9st0uv1 |
| FileSHA256 | İsteğe bağlı | Dize | Dosyanın SHA256 karması. ör. a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
| FileMD5 | İsteğe bağlı | Dize | Dosyanın MD5 karması. ör. j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
| Dosya Boyutu | İsteğe bağlı | uzun | Dosyanın bayt cinsinden boyutu. ör. 123456 |
Url Alanı
Uyarınız Url varlığı hakkında bilgi içeriyorsa, aşağıdaki alanlar URL ile ilgili verileri yakalayabilir.
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| URL | İsteğe bağlı | Dize | Uyarıda yakalanan URL dizesi. ör. https://contoso.com/fo/?k=v&q=u#f |
Kayıt Defteri Alanları
Uyarınız kayıt defteri varlığıyla ilgili ayrıntıları içeriyorsa, kayıt defteriyle ilgili belirli bilgileri yakalamak için aşağıdaki alanları kullanın.
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| RegistryKey | İsteğe bağlı | Dize | Uyarıyla ilişkili kayıt defteri anahtarı, standart kök anahtar adlandırma kurallarına göre normalleştirilmiştir. ör. HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | İsteğe bağlı | Dize | Kayıt defteri değeri. ör. ImagePath |
| RegistryValueData | İsteğe bağlı | Dize | Kayıt defteri değerinin verileri. ör. C:\Windows\system32;C:\Windows; |
| RegistryValueType | İsteğe bağlı | Enumerated | Kayıt defteri değerinin türü. ör. Reg_Expand_Sz |
E-posta Alanları
Uyarınız e-posta varlığı hakkında bilgi içeriyorsa, e-postayla ilgili belirli ayrıntıları yakalamak için aşağıdaki alanları kullanın.
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| EmailMessageId | İsteğe bağlı | Dize | Uyarıyla ilişkili e-posta iletisi için benzersiz tanımlayıcı. ör. Request for Invoice Access |
| EmailSubject | İsteğe bağlı | Dize | E-postanın konusu. ör. j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
Şema Güncelleştirmeleri
Şemanın çeşitli sürümlerindeki değişiklikler şunlardır:
- Sürüm 0.1: İlk sürüm.