Microsoft Sentinel 감사 이벤트 정규화 스키마는 정보 시스템의 감사 내역과 관련된 이벤트를 나타냅니다. 감사 내역은 시스템 구성 활동 및 정책 변경 내용을 기록합니다. 이러한 변경 내용은 시스템 관리자가 수행하는 경우가 많지만 사용자가 자체 애플리케이션의 설정을 구성할 때 수행할 수도 있습니다.
모든 시스템은 핵심 활동 로그와 함께 감사 이벤트를 기록합니다. 예를 들어 방화벽은 프로세스인 네트워크 세션에 대한 이벤트를 기록하고 방화벽 자체에 적용된 구성 변경에 대한 이벤트를 감사합니다.
Microsoft Sentinel 정규화에 대한 자세한 내용은 정규화 및 ASIM(고급 보안 정보 모델)을 참조하세요.
스키마 개요
감사 이벤트의 주요 필드는 다음과 같습니다.
- 이벤트가 포커스를 지정하는 관리되는 리소스 또는 정책 규칙과 같은 개체는 개체 필드로 표시됩니다. ObjectType 필드가 개체의 형식을 지정합니다.
- Application에서 별칭을 지정하는 TargetAppName 필드로 표시되는 개체의 애플리케이션 컨텍스트입니다.
- EventType 및 Operation 필드로 표시되는 개체에 대해 수행되는 작업입니다. Operation은 원본이 보고한 값이지만 EventType은 원본 간에 더 일관된 정규화된 버전입니다.
- 해당하는 경우 개체의 이전 값과 새 값은 각각 OldValue 및 NewValue 로 표시됩니다.
감사 이벤트는 구성 작업에 관련된 다음 엔터티도 참조합니다.
- 행위자 - 구성 작업을 수행하는 사용자입니다.
- TargetApp - 구성 작업이 적용되는 애플리케이션 또는 시스템입니다.
- 대상 - TargetApp*이 실행 중인 시스템입니다.
- ActingApp - 행위 자가 구성 작업을 수행하는 데 사용하는 애플리케이션입니다.
- Src - 행위자가 대상과 다른 경우 구성 작업을 시작하는 데 사용하는 시스템입니다.
설명자는 Dvc 엔드포인트에서 보고하는 세션의 로컬 시스템인 보고 디바이스와 다른 경우의 중간 또는 보안 디바이스에 사용됩니다.
파서
감사 이벤트 파서 배포 및 사용
Microsoft Sentinel GitHub 리포지토리에서 ASIM 감사 이벤트 파서를 배포합니다. 모든 감사 이벤트 원본에서 쿼리하려면 통합 파서 imAuditEvent 를 쿼리의 테이블 이름으로 사용합니다.
ASIM 파서 사용에 대한 자세한 내용은 ASIM 파서 개요를 참조하세요. 기본 제공 Microsoft Sentinel 감사 이벤트 파서 목록은 ASIM 파서 목록을 참조하세요.
정규화된 자체 파서 추가
파일 이벤트 정보 모델에 대한 사용자 지정 파서를 구현하는 경우 구문을 imAuditEvent<vendor><Product>사용하여 KQL 함수의 이름을 로 지정합니다. 사용자 지정 파서를 감사 이벤트 통합 파서에 추가하는 방법을 알아보려면 ASIM 파서 관리 문서를 참조하세요.
파서 매개 변수 필터링
감사 이벤트 파서는 필터링 매개 변수를 지원합니다. 이러한 매개 변수는 선택 사항이지만 쿼리 성능을 향상시킬 수 있습니다.
다음 필터링 매개 변수를 사용할 수 있습니다.
| 이름 | 유형 | 설명 |
|---|---|---|
| Starttime | datetime | 이 시간 이후에 실행된 이벤트만 필터링합니다. 이 매개 변수는 TimeGenerated 필드를 이벤트의 시간 지정자로 사용합니다. |
| Endtime | datetime | 이 시간 또는 그 이전에 실행이 완료된 이벤트 쿼리만 필터링합니다. 이 매개 변수는 TimeGenerated 필드를 이벤트의 시간 지정자로 사용합니다. |
| srcipaddr_has_any_prefix | 동적 | SrcIpAddr 필드에 표시된 대로 이 원본 IP 주소의 이벤트만 필터링합니다. |
| eventtype_in | 문자열 | EventType 필드에 표시된 이벤트 형식이 제공된 용어 중 하나로 표시되는 이벤트만 필터링합니다. |
| eventresult | 문자열 | EventResult 필드에 표시된 이벤트 결과가 매개 변수 값과 같은 이벤트만 필터링합니다. |
| actorusername_has_any | 동적/문자열 | ActorUsername에 제공된 용어가 포함된 이벤트만 필터링합니다. |
| operation_has_any | 동적/문자열 | 작업 필드에 제공된 용어가 포함된 이벤트만 필터링합니다. |
| object_has_any | 동적/문자열 | 개체 필드에 제공된 용어가 포함된 이벤트만 필터링합니다. |
| newvalue_has_any | 동적/문자열 | NewValue 필드에 제공된 용어가 포함된 이벤트만 필터링합니다. |
일부 매개 변수는 형식 dynamic 의 값 목록 또는 단일 문자열 값을 모두 허용할 수 있습니다. 동적 값이 필요한 매개 변수에 리터럴 목록을 전달하려면 동적 리터럴을 명시적으로 사용합니다. 예: dynamic(['192.168.','10.'])
예를 들어 마지막 날부터 사용 약관 install 또는 update작업 필드에 있는 감사 이벤트만 필터링하려면 다음을 사용합니다.
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
스키마 세부 정보
일반 ASIM 필드
중요
모든 스키마에 공통된 필드는 ASIM 공통 필드 문서에서 자세히 설명합니다.
특정 지침이 있는 공통 필드
다음 목록에서는 감사 이벤트에 대한 특정 지침이 있는 필드를 설명합니다.
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| EventType | 필수 | 열거 | 정규화된 값을 사용하여 이벤트에서 감사하는 작업에 대해 설명합니다.
EventSubType을 사용하여 정규화된 값이 전달하지 않는 추가 세부 정보 및 작업을 제공합니다. 보고 디바이스에서 보고한 대로 작업을 저장합니다. Audit 이벤트 레코드의 경우 허용되는 값은 다음과 같습니다. - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Initialize- Start- Stop- Other 감사 이벤트는 다양한 작업을 나타내며 값은 Other 해당 EventType가 없는 매핑 작업을 사용하도록 설정합니다. 그러나 의 Other 사용은 이벤트의 유용성을 제한하며 가능하면 피해야 합니다. |
| EventSubType | 옵션 | String | EventType의 정규화된 값이 전달하지 않는 추가 세부 정보를 제공합니다. |
| EventSchema | 필수 | 열거 | 여기에 설명된 스키마의 이름은 입니다 AuditEvent. |
| EventSchemaVersion | 필수 | SchemaVersion(문자열) | 스키마의 버전입니다. 여기에 설명된 스키마의 버전은 입니다 0.1.2. |
모든 공통 필드
테이블에 표시되는 필드는 모든 ASIM 스키마에 공통적으로 적용됩니다. 이 문서에 지정된 지침은 필드에 대한 일반 지침을 재정의합니다. 예를 들어 필드는 일반적으로 선택 사항이지만 특정 스키마에는 필수일 수 있습니다. 각 필드에 대한 자세한 내용은 ASIM 공통 필드 문서를 참조하세요.
| 클래스 | 필드 |
|---|---|
| 필수 |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| 권장 |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| 옵션 |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
감사 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| 작업 | 필수 | String | 보고 디바이스에서 보고한 대로 감사된 작업입니다. |
| 개체 | 필수 | String | EventType으로 식별된 작업이 수행되는 개체의 이름입니다. |
| Objectid | 옵션 | String | EventType으로 식별된 작업이 수행되는 개체의 ID입니다. |
| ObjectType | 조건부 | 열거 | 개체의 형식 입니다. 사용 가능한 값은 다음과 같습니다. - Cloud Resource- Configuration Atom- Policy Rule- Event Log- Scheduled Task- Service- Directory Service Object- Other |
| OriginalObjectType | 옵션 | String | 보고 시스템에서 보고한 개체의 형식입니다. |
| Oldvalue | 옵션 | String | 작업 이전의 Object 값(해당하는 경우)입니다. |
| NewValue | 권장 | String | 작업이 수행된 후 개체 의 새 값(해당하는 경우)입니다. |
| 값 | 별칭 | NewValue에 대한 별칭 | |
| Valuetype | 조건부 | 열거 | 이전 값과 새 값의 형식입니다. 허용되는 값은 다음과 같습니다. -다른 |
행위자 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| ActorUserId | 옵션 | String | 컴퓨터에서 읽을 수 있는 영숫자이며 행위자의 고유한 표현입니다. 자세한 내용 및 다른 ID에 대한 대체 필드는 사용자 엔터티를 참조하세요. 예: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| 행위자 범위 | 옵션 | String | actorUserId 및 ActorUsername이 정의된 Microsoft Entra 도메인 이름과 같은 scope. 또는 허용되는 값의 자세한 내용과 목록은 스키마 개요 문서의UserScope를 참조하세요. |
| ActorScopeId | 옵션 | String | ActorUserId 및 ActorUsername이 정의된 Microsoft Entra 디렉터리 ID와 같은 scope ID입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서의UserScopeId를 참조하세요. |
| ActorUserIdType | 조건부 | 열거 | ActorUserId 필드에 저장된 ID의 형식입니다. 허용되는 값에 대한 자세한 내용과 목록은 스키마 개요 문서의UserIdType을 참조하세요. |
| ActorUsername | 권장 | 사용자 이름(문자열) | 사용 가능한 경우 도메인 정보를 포함하여 행위자의 사용자 이름입니다. 자세한 내용은 사용자 엔터티를 참조하세요. 예: AlbertE |
| 사용자 | 별칭 | ActorUsername에 대한 별칭 | |
| ActorUsernameType | 조건부 | UsernameType |
ActorUsername 필드에 저장된 사용자 이름의 형식을 지정합니다. 자세한 내용과 허용되는 값 목록은 스키마 개요 문서의UsernameType을 참조하세요. 예: Windows |
| ActorUserType | 옵션 | UserType | 행위자의 형식입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서의UserType을 참조하세요. 예: Guest |
| ActorOriginalUserType | 옵션 | String | 보고 디바이스에서 보고한 사용자 유형입니다. |
| ActorSessionId | 옵션 | String | 행위자의 로그인 세션의 고유 ID입니다. 예: 102pTUgC3p8RIqHvzxLCHnFlg |
대상 애플리케이션 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| TargetAppId | 옵션 | String | 프로세스, 브라우저 또는 서비스를 포함하여 이벤트가 적용되는 애플리케이션의 ID입니다. 예: 89162 |
| TargetAppName | 옵션 | String | 서비스, URL 또는 SaaS 애플리케이션을 포함하여 이벤트가 적용되는 애플리케이션의 이름입니다. 예: Exchange 365 |
| 응용 프로그램 | 별칭 | TargetAppName에 대한 별칭 | |
| TargetAppType | 조건부 | AppType | 행위자를 대신하여 권한을 부여하는 애플리케이션의 형식입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서의AppType을 참조하세요. |
| TargetOriginalAppType | 옵션 | String | 보고 디바이스에서 보고한 대로 이벤트가 적용되는 애플리케이션의 유형입니다. |
| TargetUrl | 옵션 | URL | 대상 애플리케이션과 연결된 URL입니다. 예: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
대상 시스템 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| Dst | 별칭 | String | 인증 대상의 고유 식별자입니다. 이 필드는 TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId 또는 TargetAppName 필드의 별칭을 지정할 수 있습니다. 예: 192.168.12.1 |
| TargetHostname | 권장 | Hostname(호스트 이름) | 도메인 정보를 제외한 대상 디바이스 호스트 이름입니다. 예: DESKTOP-1282V4D |
| TargetDomain | 옵션 | Domain(String) | 대상 디바이스의 도메인입니다. 예: Contoso |
| TargetDomainType | 조건부 | 열거 |
TargetDomain의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의DomainType을 참조하세요. TargetDomain을 사용하는 경우 필요합니다. |
| TargetFQDN | 옵션 | FQDN(문자열) | 사용 가능한 경우 도메인 정보를 포함하여 대상 디바이스 호스트 이름입니다. 예: Contoso\DESKTOP-1282V4D 참고: 이 필드는 기존 FQDN 형식과 Windows 도메인\호스트 이름 형식을 모두 지원합니다. TargetDomainType은 사용된 형식을 반영합니다. |
| TargetDescription | 옵션 | String | 디바이스와 연결된 설명 텍스트입니다. 예: Primary Domain Controller |
| TargetDvcId | 옵션 | String | 대상 디바이스의 ID입니다. 여러 ID를 사용할 수 있는 경우 가장 중요한 ID를 사용하고 다른 ID를 필드에 TargetDvc<DvcIdType>저장합니다. 예: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | 옵션 | String | 디바이스가 속한 클라우드 플랫폼 scope ID입니다. TargetDvcScopeId는 Azure 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| TargetDvcScope | 옵션 | String | 디바이스가 속한 클라우드 플랫폼 scope. TargetDvcScope는 Azure 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| TargetDvcIdType | 조건부 | 열거 |
TargetDvcId의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의DvcIdType을 참조하세요. TargetDeviceId를 사용하는 경우 필요합니다. |
| TargetDeviceType | 옵션 | 열거 | 대상 디바이스의 유형입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의DeviceType을 참조하세요. |
| TargetIpAddr | 권장 | IP 주소 | 대상 디바이스의 IP 주소입니다. 예: 2.2.2.2 |
| TargetDvcOs | 옵션 | String | 대상 디바이스의 OS입니다. 예: Windows 10 |
| TargetPortNumber | 옵션 | 정수 | 대상 디바이스의 포트입니다. |
| TargetGeoCountry | 옵션 | 국가 | 대상 IP 주소와 연결된 국가/지역입니다. 예: USA |
| TargetGeoRegion | 옵션 | 지역 | 대상 IP 주소와 연결된 국가/지역 내의 지역입니다. 예: Vermont |
| TargetGeoCity | 선택 | 구/군/시 | 대상 IP 주소와 연결된 도시입니다. 예: Burlington |
| TargetGeoLatitude | 옵션 | 위도 | 대상 IP 주소와 연결된 지리적 좌표의 위도입니다. 예: 44.475833 |
| TargetGeoLongitude | 옵션 | 경도 | 대상 IP 주소와 연결된 지리적 좌표의 경도입니다. 예: 73.211944 |
| TargetRiskLevel | 옵션 | 정수 | 대상과 연결된 위험 수준입니다. 값은 의 범위 0100로 조정되어야 하며 0 , 무해하고 100 위험이 높은 경우 로 조정해야 합니다.예: 90 |
| TargetOriginalRiskLevel | 옵션 | String | 보고 디바이스에서 보고한 대상과 관련된 위험 수준입니다. 예: Suspicious |
애플리케이션 필드 작동
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| ActingAppId | 옵션 | String | 프로세스, 브라우저 또는 서비스를 포함하여 보고된 활동을 시작한 애플리케이션의 ID입니다. 예: 0x12ae8 |
| ActingAppName | 옵션 | String | 서비스, URL 또는 SaaS 애플리케이션을 포함하여 보고된 활동을 시작한 애플리케이션의 이름입니다. 예: C:\Windows\System32\svchost.exe |
| ActingAppType | 옵션 | AppType | 작업 애플리케이션의 형식입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서의AppType을 참조하세요. |
| ActingOriginalAppType | 옵션 | String | 보고 디바이스에서 보고한 대로 활동을 시작한 애플리케이션의 형식입니다. |
| HttpUserAgent | 옵션 | String | HTTP 또는 HTTPS를 통해 인증을 수행하는 경우 이 필드의 값은 인증을 수행할 때 동작 애플리케이션에서 제공하는 user_agent HTTP 헤더입니다. 예: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
원본 시스템 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| Src | 별칭 | String | 원본 디바이스의 고유 식별자입니다. 이 필드는 SrcDvcId, SrcHostname 또는 SrcIpAddr 필드의 별칭을 지정할 수 있습니다. 예: 192.168.12.1 |
| SrcIpAddr | 권장 | IP 주소 | 연결 또는 세션이 시작된 IP 주소입니다. 예: 77.138.103.108 |
| IpAddr | 별칭 | SrcIpAddr에 대한 별칭 또는 SrcIpAddr가 제공되지 않은 경우 TargetIpAddr에 대한 별칭입니다. | |
| SrcPortNumber | 옵션 | 정수 | 연결이 시작된 IP 포트입니다. 여러 연결로 구성된 세션과 관련이 없을 수 있습니다. 예: 2335 |
| SrcHostname | 옵션 | Hostname(호스트 이름) | 도메인 정보를 제외한 원본 디바이스 호스트 이름입니다. 사용할 수 있는 디바이스 이름이 없는 경우 이 필드에 관련 IP 주소를 저장합니다. 예: DESKTOP-1282V4D |
| SrcDomain | 옵션 | 도메인(문자열) | 원본 디바이스의 도메인입니다. 예: Contoso |
| SrcDomainType | 조건부 | DomainType |
SrcDomain의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의DomainType을 참조하세요. SrcDomain을 사용하는 경우 필요합니다. |
| SrcFQDN | 옵션 | FQDN(문자열) | 사용 가능한 경우 도메인 정보를 포함하는 원본 디바이스 호스트 이름입니다. 참고: 이 필드는 기존 FQDN 형식과 Windows 도메인\호스트 이름 형식을 모두 지원합니다. SrcDomainType 필드는 사용된 형식을 반영합니다. 예: Contoso\DESKTOP-1282V4D |
| SrcDescription | 옵션 | String | 디바이스와 연결된 설명 텍스트입니다. 예: Primary Domain Controller |
| SrcDvcId | 옵션 | String | 원본 디바이스의 ID입니다. 여러 ID를 사용할 수 있는 경우 가장 중요한 ID를 사용하고 다른 ID를 필드에 SrcDvc<DvcIdType>저장합니다.예: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 옵션 | String | 디바이스가 속한 클라우드 플랫폼 scope ID입니다. SrcDvcScopeId는 Azure 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| SrcDvcScope | 옵션 | String | 디바이스가 속한 클라우드 플랫폼 scope. SrcDvcScope는 Azure 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| SrcDvcIdType | 조건부 | DvcIdType |
SrcDvcId의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의DvcIdType을 참조하세요. 참고: SrcDvcId 를 사용하는 경우 이 필드가 필요합니다. |
| SrcDeviceType | 옵션 | DeviceType | 원본 디바이스의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의DeviceType을 참조하세요. |
| SrcGeoCountry | 옵션 | 국가 | 원본 IP 주소와 연결된 국가/지역입니다. 예: USA |
| SrcGeoRegion | 옵션 | 지역 | 원본 IP 주소와 연결된 국가/지역 내의 지역입니다. 예: Vermont |
| SrcGeoCity | 선택 | 구/군/시 | 원본 IP 주소와 연결된 도시입니다. 예: Burlington |
| SrcGeoLatitude | 옵션 | 위도 | 원본 IP 주소와 연결된 지리적 좌표의 위도입니다. 예: 44.475833 |
| SrcGeoLongitude | 옵션 | 경도 | 원본 IP 주소와 연결된 지리적 좌표의 경도입니다. 예: 73.211944 |
| SrcRiskLevel | 옵션 | 정수 | 원본과 연결된 위험 수준입니다. 값은 의 범위 0100로 조정되어야 하며 0 , 무해하고 100 위험이 높은 경우 로 조정해야 합니다.예: 90 |
| SrcOriginalRiskLevel | 옵션 | String | 보고 디바이스에서 보고한 원본과 관련된 위험 수준입니다. 예: Suspicious |
검사 필드
다음 필드는 보안 시스템에서 수행하는 검사를 나타내는 데 사용됩니다.
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| RuleName | 옵션 | String | 검사 결과와 연결된 규칙의 이름 또는 ID입니다. |
| RuleNumber | 옵션 | 정수 | 검사 결과와 연결된 규칙의 수입니다. |
| 규칙 | 별칭 | String | RuleName 값 또는 RuleNumber 값입니다. RuleNumber 값을 사용하는 경우 형식을 문자열로 변환해야 합니다. |
| ThreatId | 옵션 | String | 감사 활동에서 식별된 위협 또는 맬웨어의 ID입니다. |
| ThreatName | 옵션 | String | 감사 활동에서 식별된 위협 또는 맬웨어의 이름입니다. |
| ThreatCategory | 옵션 | String | 감사 파일 활동에서 식별된 위협 또는 맬웨어의 범주입니다. |
| ThreatRiskLevel | 옵션 | RiskLevel(정수) | 식별된 위협과 관련된 위험 수준입니다. 수준은 0에서 100 사이의 숫자여야 합니다. 참고: 이 배율로 정규화해야 하는 다른 배율을 사용하여 원본 레코드에 값을 제공할 수 있습니다. 원래 값은 ThreatRiskLevelOriginal에 저장되어야 합니다. |
| ThreatOriginalRiskLevel | 옵션 | String | 보고 디바이스에서 보고한 위험 수준입니다. |
| ThreatConfidence | 옵션 | ConfidenceLevel(정수) | 식별된 위협의 신뢰 수준이며 0에서 100 사이의 값으로 정규화됩니다. |
| ThreatOriginalConfidence | 옵션 | String | 보고 디바이스에서 보고한 대로 식별된 위협의 원래 신뢰 수준입니다. |
| ThreatIsActive | 옵션 | 부울 | True이면 식별된 위협이 활성 위협으로 간주됩니다. |
| ThreatFirstReportedTime | 옵션 | datetime | IP 주소 또는 도메인이 처음으로 위협으로 식별된 경우 |
| ThreatLastReportedTime | 옵션 | datetime | IP 주소 또는 도메인이 마지막으로 위협으로 식별된 시간입니다. |
| ThreatIpAddr | 옵션 | IP 주소 | 위협이 식별된 IP 주소입니다. ThreatField 필드에는 ThreatIpAddr가 나타내는 필드의 이름이 포함됩니다. |
| ThreatField | 조건부 | 열거 | 위협이 식별된 필드입니다. 값은 또는 TargetIpAddr입니다SrcIpAddr. |
스키마 업데이트
스키마 버전 0.1.1의 변경 내용은 다음과 같습니다.
- 필드
ObjectId및OriginalObjectType가 추가되었습니다.
스키마 버전 0.1.2의 변경 내용은 다음과 같습니다.
- , , ,
OriginalObjectType,SrcOriginalRiskLevel,SrcRiskLevelTargetGeoCity,TargetGeoCountry,TargetGeoRegionTargetOriginalRiskLevelTargetGeoLatitudeTargetOriginalAppTypeTargetGeoLongitude및 필드ActingOriginalAppType가 추가되었습니다.TargetRiskLevel
다음 단계
자세한 내용은 다음을 참조하세요.