Microsoft Sentinel 인증 스키마는 사용자 인증, 로그인 및 로그아웃과 관련된 이벤트를 설명하는 데 사용됩니다. 인증 이벤트는 일반적으로 다른 이벤트와 함께 이벤트 스트림의 일부로 많은 보고 디바이스에서 전송됩니다. 예를 들어 Windows는 다른 OS 활동 이벤트와 함께 여러 인증 이벤트를 보냅니다.
인증 이벤트에는 VPN 게이트웨이 또는 도메인 컨트롤러와 같은 인증에 중점을 둔 시스템의 이벤트와 컴퓨터 또는 방화벽과 같은 최종 시스템에 대한 직접 인증이 모두 포함됩니다.
Microsoft Sentinel 정규화에 대한 자세한 내용은 정규화 및 ASIM(고급 보안 정보 모델)을 참조하세요.
파서
Microsoft Sentinel GitHub 리포지토리에서 ASIM 인증 파서를 배포합니다. ASIM 파서에 대한 자세한 내용은 ASIM 파서 개요 문서를 참조하세요.
파서 통합
모든 ASIM 기본 파서를 통합하는 파서를 사용하고 구성된 모든 원본에서 분석이 실행되도록 하려면 필터링 파서 또는 ASimAuthentication 매개 변수가 없는 파서를 사용합니다imAuthentication.
원본별 파서
Microsoft Sentinel 제공하는 인증 파서 목록은 ASIM 파서 목록을 참조하세요.
정규화된 자체 파서 추가
인증 정보 모델에 대한 사용자 지정 파서를 구현하는 경우 다음 구문을 사용하여 KQL 함수의 이름을 지정합니다.
-
vimAuthentication<vendor><Product>파서 필터링 -
ASimAuthentication<vendor><Product>매개 변수가 없는 파서의 경우
통합 파서에 사용자 지정 파서를 추가하는 방법에 대한 자세한 내용은 ASIM 파서 관리를 참조하세요.
파서 매개 변수 필터링
및 파서는 필터링 매개 변수를 지원합니다.vim*im 이러한 파서는 선택 사항이지만 쿼리 성능을 향상시킬 수 있습니다.
다음 필터링 매개 변수를 사용할 수 있습니다.
| 이름 | 유형 | 설명 |
|---|---|---|
| Starttime | datetime | 이 시간 이후에 실행된 인증 이벤트만 필터링합니다. 이 매개 변수는 TimeGenerated EventStartTime 및 EventEndTime 필드의 파서별 매핑에 관계없이 이벤트 시간의 표준 지정자인 필드를 필터링합니다. |
| Endtime | datetime | 이 시간 또는 그 이전에 실행이 완료된 인증 이벤트만 필터링합니다. 이 매개 변수는 TimeGenerated EventStartTime 및 EventEndTime 필드의 파서별 매핑에 관계없이 이벤트 시간의 표준 지정자인 필드를 필터링합니다. |
| targetusername_has | 문자열 | 나열된 사용자 이름이 있는 인증 이벤트만 필터링합니다. |
예를 들어 마지막 날의 인증 이벤트만 특정 사용자로 필터링하려면 다음을 사용합니다.
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
팁
동적 값이 필요한 매개 변수에 리터럴 목록을 전달하려면 동적 리터럴을 명시적으로 사용합니다. 예: dynamic(['192.168.','10.'])
정규화된 콘텐츠
정규화된 인증 분석 규칙은 원본에서 공격을 감지할 때 고유합니다. 예를 들어 사용자가 다른 국가/지역에서 서로 다른 관련 없는 시스템에 로그인한 경우 Microsoft Sentinel 이제 이 위협을 검색합니다.
정규화된 인증 이벤트를 사용하는 분석 규칙의 전체 목록은 인증 스키마 보안 콘텐츠를 참조하세요.
스키마 개요
인증 정보 모델은 OSSEM 로그온 엔터티 스키마와 정렬됩니다.
아래 표에 나열된 필드는 인증 이벤트와 관련이 있지만 다른 스키마의 필드와 유사하며 유사한 명명 규칙을 따릅니다.
인증 이벤트는 다음 엔터티를 참조합니다.
- TargetUser - 시스템에 인증하는 데 사용되는 사용자 정보입니다. TargetSystem은 인증 이벤트의 기본 주체이며, 별칭 사용자는 TargetUser를 식별하여 별칭을 지정합니다.
- TargetApp - 인증된 애플리케이션입니다.
- 대상 - TargetApp*이 실행 중인 시스템입니다.
- 행위자 - TargetUser와 다른 경우 인증을 시작하는 사용자입니다.
- ActingApp - 행위 자가 인증을 수행하는 데 사용하는 애플리케이션입니다.
- Src - 행위 자가 인증을 시작하는 데 사용하는 시스템입니다.
이러한 엔터티 간의 관계는 다음과 같이 가장 잘 보여 줍니다.
작업 애플리케이션인 ActingApp을 실행하는 행위자는 원본 시스템인 Src에서 대상 시스템 TargetDvc에서 대상 애플리케이션 TargetApp에 대한 TargetUser로 인증을 시도합니다.
스키마 세부 정보
다음 표에서 Type 은 논리 형식을 참조합니다. 자세한 내용은 논리 형식을 참조하세요.
일반 ASIM 필드
중요
모든 스키마에 공통된 필드는 ASIM 공통 필드 문서에서 자세히 설명합니다.
특정 지침이 있는 공통 필드
다음 목록에서는 인증 이벤트에 대한 특정 지침이 있는 필드를 설명합니다.
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| EventType | 필수 | 열거 | 레코드에서 보고한 작업에 대해 설명합니다. 인증 레코드의 경우 지원되는 값은 다음과 같습니다. - Logon - Logoff- Elevate |
| EventResultDetails | 권장 | 열거 | 이벤트 결과와 관련된 세부 정보입니다. 이 필드는 일반적으로 결과가 실패할 때 채워집니다. 허용되는 값은 다음과 같습니다. - No such user or password. 이 값은 원래 이벤트에서 암호에 대한 참조 없이 이러한 사용자가 없다고 보고하는 경우에도 사용해야 합니다.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. 이 값은 원래 이벤트 보고서(예: MFA 필요, 근무 시간 외 로그온, 조건부 액세스 제한 또는 너무 자주 시도)를 보고할 때 사용해야 합니다.- Session expired- Other값은 이러한 값으로 정규화되어야 하는 다른 용어를 사용하여 원본 레코드에 제공될 수 있습니다. 원래 값은 EventOriginalResultDetails 필드에 저장되어야 합니다. |
| EventSubType | 옵션 | 열거 | 로그인 유형입니다. 허용되는 값은 다음과 같습니다. - System- Interactive- RemoteInteractive- Service- RemoteService- Remote - 원격 로그인 유형을 알 수 없는 경우에 사용합니다.- AssumeRole - 일반적으로 이벤트 유형 Elevate이 일 때 사용됩니다. 값은 이러한 값으로 정규화되어야 하는 다른 용어를 사용하여 원본 레코드에 제공될 수 있습니다. 원래 값은 EventOriginalSubType 필드에 저장되어야 합니다. |
| EventSchemaVersion | 필수 | SchemaVersion(문자열) | 스키마의 버전입니다. 여기에 설명된 스키마의 버전은 다음과 같습니다. 0.1.4 |
| EventSchema | 필수 | 열거 | 여기에 설명된 스키마의 이름은 인증입니다. |
| Dvc 필드 | - | - | 인증 이벤트의 경우 디바이스 필드는 이벤트를 보고하는 시스템을 참조합니다. |
모든 공통 필드
아래 표에 표시되는 필드는 모든 ASIM 스키마에 공통적으로 적용됩니다. 위에 지정된 모든 지침은 필드에 대한 일반 지침을 재정의합니다. 예를 들어 필드는 일반적으로 선택 사항이지만 특정 스키마에는 필수일 수 있습니다. 각 필드에 대한 자세한 내용은 ASIM 공통 필드 문서를 참조하세요.
| 클래스 | 필드 |
|---|---|
| 필수 |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| 권장 |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| 옵션 |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
인증 관련 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| LogonMethod | 옵션 | String | 인증을 수행하는 데 사용되는 메서드입니다. 허용되는 값은 Managed Identity, , Service Principal, Username & Password, Multi factor authenticationPasswordless, PKI, PAM및 입니다Other. 예제: Managed Identity |
| LogonProtocol | 옵션 | String | 인증을 수행하는 데 사용되는 프로토콜입니다. 예: NTLM |
행위자 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| ActorUserId | 옵션 | String | 컴퓨터에서 읽을 수 있는 영숫자이며 행위자의 고유한 표현입니다. 자세한 내용 및 추가 ID에 대한 대체 필드에 대한 자세한 내용은 사용자 엔터티를 참조하세요. 예: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| 행위자 범위 | 옵션 | String | actorUserId 및 ActorUsername이 정의된 Microsoft Entra 테넌트와 같은 scope. 또는 허용되는 값의 자세한 내용과 목록은 스키마 개요 문서의UserScope를 참조하세요. |
| ActorScopeId | 옵션 | String | ActorUserId 및 ActorUsername이 정의된 Microsoft Entra 디렉터리 ID와 같은 scope ID입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서의UserScopeId를 참조하세요. |
| ActorUserIdType | 조건부 | UserIdType | ActorUserId 필드에 저장된 ID의 형식입니다. 허용되는 값에 대한 자세한 내용과 목록은 스키마 개요 문서의UserIdType을 참조하세요. |
| ActorUsername | 옵션 | 사용자 이름(문자열) | 사용 가능한 경우 도메인 정보를 포함하여 행위자의 사용자 이름입니다. 자세한 내용은 사용자 엔터티를 참조하세요. 예: AlbertE |
| ActorUsernameType | 조건부 | UsernameType |
ActorUsername 필드에 저장된 사용자 이름의 형식을 지정합니다. 자세한 내용과 허용되는 값 목록은 스키마 개요 문서의UsernameType을 참조하세요. 예: Windows |
| ActorUserType | 옵션 | UserType | 행위자의 형식입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서의UserType을 참조하세요. 예: Guest |
| ActorOriginalUserType | 옵션 | String | 보고 디바이스에서 보고한 사용자 유형입니다. |
| ActorSessionId | 옵션 | String | 행위자의 로그인 세션의 고유 ID입니다. 예: 102pTUgC3p8RIqHvzxLCHnFlg |
애플리케이션 필드 작동
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| ActingAppId | 옵션 | String | 프로세스, 브라우저 또는 서비스를 포함하여 행위자를 대신하여 권한을 부여하는 애플리케이션의 ID입니다. 예: 0x12ae8 |
| ActingAppName | 옵션 | String | 프로세스, 브라우저 또는 서비스를 포함하여 행위자를 대신하여 권한을 부여하는 애플리케이션의 이름입니다. 예: C:\Windows\System32\svchost.exe |
| ActingAppType | 옵션 | AppType | 작업 애플리케이션의 형식입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서의AppType을 참조하세요. |
| ActingOriginalAppType | 옵션 | String | 보고 디바이스에서 보고한 동작 애플리케이션의 형식입니다. |
| HttpUserAgent | 옵션 | String | HTTP 또는 HTTPS를 통해 인증을 수행하는 경우 이 필드의 값은 인증을 수행할 때 동작 애플리케이션에서 제공하는 user_agent HTTP 헤더입니다. 예: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
대상 사용자 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| TargetUserId | 옵션 | String | 컴퓨터에서 읽을 수 있는 영숫자이며 대상 사용자의 고유한 표현입니다. 자세한 내용 및 추가 ID에 대한 대체 필드에 대한 자세한 내용은 사용자 엔터티를 참조하세요. 예: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | 옵션 | String | TargetUserId 및 TargetUsername이 정의된 Microsoft Entra 테넌트와 같은 scope. 또는 허용되는 값의 자세한 내용과 목록은 스키마 개요 문서의UserScope를 참조하세요. |
| TargetUserScopeId | 옵션 | String | TargetUserId 및 TargetUsername이 정의된 Microsoft Entra 디렉터리 ID와 같은 scope ID입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서의UserScopeId를 참조하세요. |
| TargetUserIdType | 조건부 | UserIdType |
TargetUserId 필드에 저장된 사용자 ID의 형식입니다. 허용되는 값에 대한 자세한 내용과 목록은 스키마 개요 문서의UserIdType을 참조하세요. 예: SID |
| TargetUsername | 옵션 | 사용자 이름(문자열) | 사용 가능한 경우 도메인 정보를 포함하여 대상 사용자 이름입니다. 자세한 내용은 사용자 엔터티를 참조하세요. 예: MarieC |
| TargetUsernameType | 조건부 | UsernameType | TargetUsername 필드에 저장된 사용자 이름의 형식을 지정합니다. 허용되는 값에 대한 자세한 내용과 목록은 스키마 개요 문서의UsernameType을 참조하세요. |
| TargetUserType | 옵션 | UserType | 대상 사용자의 형식입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서의UserType을 참조하세요. 예: Member |
| TargetSessionId | 옵션 | String | 원본 디바이스에서 TargetUser의 로그인 세션 식별자입니다. |
| TargetOriginalUserType | 옵션 | String | 보고 디바이스에서 보고한 사용자 유형입니다. |
| 사용자 | 별칭 | 사용자 이름(문자열) |
TargetUsername이 정의되지 않은 경우 TargetUsername 또는 TargetUserId에 대한 별칭입니다. 예: CONTOSO\dadmin |
원본 시스템 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| Src | 권장 | String | 원본 디바이스의 고유 식별자입니다. 이 필드는 SrcDvcId, SrcHostname 또는 SrcIpAddr 필드의 별칭을 지정할 수 있습니다. 예: 192.168.12.1 |
| SrcDvcId | 옵션 | String | 원본 디바이스의 ID입니다. 여러 ID를 사용할 수 있는 경우 가장 중요한 ID를 사용하고 다른 ID를 필드에 SrcDvc<DvcIdType>저장합니다.예: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 옵션 | String | 디바이스가 속한 클라우드 플랫폼 scope ID입니다. SrcDvcScopeId는 Azure 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| SrcDvcScope | 옵션 | String | 디바이스가 속한 클라우드 플랫폼 scope. SrcDvcScope는 Azure 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| SrcDvcIdType | 조건부 | DvcIdType |
SrcDvcId의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의DvcIdType을 참조하세요. 참고: SrcDvcId 를 사용하는 경우 이 필드가 필요합니다. |
| SrcDeviceType | 옵션 | DeviceType | 원본 디바이스의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의DeviceType을 참조하세요. |
| SrcHostname | 옵션 | Hostname(호스트 이름) | 도메인 정보를 제외한 원본 디바이스 호스트 이름입니다. 사용할 수 있는 디바이스 이름이 없는 경우 이 필드에 관련 IP 주소를 저장합니다. 예: DESKTOP-1282V4D |
| SrcDomain | 옵션 | 도메인(문자열) | 원본 디바이스의 도메인입니다. 예: Contoso |
| SrcDomainType | 조건부 | DomainType |
SrcDomain의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의DomainType을 참조하세요. SrcDomain을 사용하는 경우 필요합니다. |
| SrcFQDN | 옵션 | FQDN(문자열) | 사용 가능한 경우 도메인 정보를 포함하는 원본 디바이스 호스트 이름입니다. 참고: 이 필드는 기존 FQDN 형식과 Windows 도메인\호스트 이름 형식을 모두 지원합니다. SrcDomainType 필드는 사용된 형식을 반영합니다. 예: Contoso\DESKTOP-1282V4D |
| SrcDescription | 옵션 | String | 디바이스와 연결된 설명 텍스트입니다. 예: Primary Domain Controller |
| SrcIpAddr | 권장 | IP 주소 | 원본 디바이스의 IP 주소입니다. 예: 2.2.2.2 |
| SrcPortNumber | 옵션 | 정수 | 연결이 시작된 IP 포트입니다. 예: 2335 |
| SrcDvcOs | 옵션 | String | 원본 디바이스의 OS입니다. 예: Windows 10 |
| IpAddr | 별칭 | SrcIpAddr에 대한 별칭 | |
| SrcIsp | 옵션 | String | 원본 디바이스에서 인터넷에 연결하는 데 사용하는 ISP(인터넷 서비스 공급자)입니다. 예: corpconnect |
| SrcGeoCountry | 옵션 | 국가 | 예: Canada 자세한 내용은 논리 형식을 참조하세요. |
| SrcGeoCity | 선택 | 구/군/시 | 예: Montreal 자세한 내용은 논리 형식을 참조하세요. |
| SrcGeoRegion | 옵션 | 지역 | 예: Quebec 자세한 내용은 논리 형식을 참조하세요. |
| SrcGeoLongitude | 옵션 | 경도 | 예: -73.614830 자세한 내용은 논리 형식을 참조하세요. |
| SrcGeoLatitude | 옵션 | 위도 | 예: 45.505918 자세한 내용은 논리 형식을 참조하세요. |
| SrcRiskLevel | 옵션 | 정수 | 원본과 연결된 위험 수준입니다. 값은 의 범위 0100로 조정되어야 하며 0 , 무해하고 100 위험이 높은 경우 로 조정해야 합니다.예: 90 |
| SrcOriginalRiskLevel | 옵션 | String | 보고 디바이스에서 보고한 원본과 관련된 위험 수준입니다. 예: Suspicious |
대상 애플리케이션 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| TargetAppId | 옵션 | String | 권한 부여가 필요한 애플리케이션의 ID로, 보고 디바이스에서 할당하는 경우가 많습니다. 예: 89162 |
| TargetAppName | 옵션 | String | 서비스, URL 또는 SaaS 애플리케이션을 포함하여 권한 부여가 필요한 애플리케이션의 이름입니다. 예: Saleforce |
| 응용 프로그램 | 별칭 | TargetAppName에 대한 별칭입니다. | |
| TargetAppType | 조건부 | AppType | 행위자를 대신하여 권한을 부여하는 애플리케이션의 형식입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서의AppType을 참조하세요. |
| TargetOriginalAppType | 옵션 | String | 보고 디바이스에서 보고한 행위자를 대신하여 권한을 부여하는 애플리케이션의 유형입니다. |
| TargetUrl | 옵션 | URL | 대상 애플리케이션과 연결된 URL입니다. 예: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | 별칭 | TargetAppName, TargetUrl 또는 TargetHostname에 대한 별칭으로, 인증 대상을 가장 잘 설명하는 필드입니다. |
대상 시스템 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| Dst | 별칭 | String | 인증 대상의 고유 식별자입니다. 이 필드는 TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId 또는 TargetAppName 필드의 별칭을 지정할 수 있습니다. 예: 192.168.12.1 |
| TargetHostname | 권장 | Hostname(호스트 이름) | 도메인 정보를 제외한 대상 디바이스 호스트 이름입니다. 예: DESKTOP-1282V4D |
| TargetDomain | 권장 | 도메인(문자열) | 대상 디바이스의 도메인입니다. 예: Contoso |
| TargetDomainType | 조건부 | 열거 |
TargetDomain의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의DomainType을 참조하세요. TargetDomain을 사용하는 경우 필요합니다. |
| TargetFQDN | 옵션 | FQDN(문자열) | 사용 가능한 경우 도메인 정보를 포함하여 대상 디바이스 호스트 이름입니다. 예: Contoso\DESKTOP-1282V4D 참고: 이 필드는 기존 FQDN 형식과 Windows 도메인\호스트 이름 형식을 모두 지원합니다. TargetDomainType은 사용된 형식을 반영합니다. |
| TargetDescription | 옵션 | String | 디바이스와 연결된 설명 텍스트입니다. 예: Primary Domain Controller |
| TargetDvcId | 옵션 | String | 대상 디바이스의 ID입니다. 여러 ID를 사용할 수 있는 경우 가장 중요한 ID를 사용하고 다른 ID를 필드에 TargetDvc<DvcIdType>저장합니다. 예: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | 옵션 | String | 디바이스가 속한 클라우드 플랫폼 scope ID입니다. TargetDvcScopeId는 Azure 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| TargetDvcScope | 옵션 | String | 디바이스가 속한 클라우드 플랫폼 scope. TargetDvcScope는 Azure 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| TargetDvcIdType | 조건부 | 열거 |
TargetDvcId의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의DvcIdType을 참조하세요. TargetDeviceId를 사용하는 경우 필요합니다. |
| TargetDeviceType | 옵션 | 열거 | 대상 디바이스의 유형입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의DeviceType을 참조하세요. |
| TargetIpAddr | 옵션 | IP 주소 | 대상 디바이스의 IP 주소입니다. 예: 2.2.2.2 |
| TargetDvcOs | 옵션 | String | 대상 디바이스의 OS입니다. 예: Windows 10 |
| TargetPortNumber | 옵션 | 정수 | 대상 디바이스의 포트입니다. |
| TargetGeoCountry | 옵션 | 국가 | 대상 IP 주소와 연결된 국가/지역입니다. 예: USA |
| TargetGeoRegion | 옵션 | 지역 | 대상 IP 주소와 연결된 지역입니다. 예: Vermont |
| TargetGeoCity | 선택 | 구/군/시 | 대상 IP 주소와 연결된 도시입니다. 예: Burlington |
| TargetGeoLatitude | 옵션 | 위도 | 대상 IP 주소와 연결된 지리적 좌표의 위도입니다. 예: 44.475833 |
| TargetGeoLongitude | 옵션 | 경도 | 대상 IP 주소와 연결된 지리적 좌표의 경도입니다. 예: 73.211944 |
| TargetRiskLevel | 옵션 | 정수 | 대상과 연결된 위험 수준입니다. 값은 의 범위 0100로 조정되어야 하며 0 , 무해하고 100 위험이 높은 경우 로 조정해야 합니다.예: 90 |
| TargetOriginalRiskLevel | 옵션 | String | 보고 디바이스에서 보고한 대상과 관련된 위험 수준입니다. 예: Suspicious |
검사 필드
다음 필드는 보안 시스템에서 수행하는 검사를 나타내는 데 사용됩니다.
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| RuleName | 옵션 | String | 검사 결과와 연결된 규칙의 이름 또는 ID입니다. |
| RuleNumber | 옵션 | 정수 | 검사 결과와 연결된 규칙의 수입니다. |
| 규칙 | 별칭 | String | RuleName 값 또는 RuleNumber 값입니다. RuleNumber 값을 사용하는 경우 형식을 문자열로 변환해야 합니다. |
| ThreatId | 옵션 | String | 감사 활동에서 식별된 위협 또는 맬웨어의 ID입니다. |
| ThreatName | 옵션 | String | 감사 활동에서 식별된 위협 또는 맬웨어의 이름입니다. |
| ThreatCategory | 옵션 | String | 감사 파일 활동에서 식별된 위협 또는 맬웨어의 범주입니다. |
| ThreatRiskLevel | 옵션 | RiskLevel(정수) | 식별된 위협과 관련된 위험 수준입니다. 수준은 0에서 100 사이의 숫자여야 합니다. 참고: 이 배율로 정규화해야 하는 다른 배율을 사용하여 원본 레코드에 값을 제공할 수 있습니다. 원래 값은 ThreatRiskLevelOriginal에 저장되어야 합니다. |
| ThreatOriginalRiskLevel | 옵션 | String | 보고 디바이스에서 보고한 위험 수준입니다. |
| ThreatConfidence | 옵션 | ConfidenceLevel(정수) | 식별된 위협의 신뢰 수준이며 0에서 100 사이의 값으로 정규화됩니다. |
| ThreatOriginalConfidence | 옵션 | String | 보고 디바이스에서 보고한 대로 식별된 위협의 원래 신뢰 수준입니다. |
| ThreatIsActive | 옵션 | 부울 | True이면 식별된 위협이 활성 위협으로 간주됩니다. |
| ThreatFirstReportedTime | 옵션 | datetime | IP 주소 또는 도메인이 처음으로 위협으로 식별된 경우 |
| ThreatLastReportedTime | 옵션 | datetime | IP 주소 또는 도메인이 마지막으로 위협으로 식별된 시간입니다. |
| ThreatIpAddr | 옵션 | IP 주소 | 위협이 식별된 IP 주소입니다. ThreatField 필드에는 ThreatIpAddr가 나타내는 필드의 이름이 포함됩니다. |
| ThreatField | 조건부 | 열거 | 위협이 식별된 필드입니다. 값은 또는 TargetIpAddr입니다SrcIpAddr. |
스키마 업데이트
스키마 버전 0.1.1의 변경 내용은 다음과 같습니다.
- 다른 스키마에 맞게 사용자 및 디바이스 엔터티 필드가 업데이트되었습니다.
- 현재 ASIM 지침에
Target맞게 및 의 이름을 각각 및Src로 변경TargetDvcSrcDvc했습니다. 이름이 바뀐 필드는 2022년 7월 1일까지 별칭으로 구현됩니다. 이러한 필드에는 , ,SrcDvcHostnameType,SrcDvcType,SrcDvcIpAddr,TargetDvcHostnameTargetDvcHostnameType, ,TargetDvcTypeTargetDvcIpAddr및 가 포함됩니다TargetDvcSrcDvcHostname. - 별칭 및
Dst를 추가했습니다Src. - ,
SrcDvcIdType,TargetDvcIdTypeSrcDeviceType및TargetDeviceType필드가 추가되었습니다EventSchema.
다음은 스키마 버전 0.1.2의 변경 내용입니다.
- , ,
TargetUserScope,SrcDvcScopeId,SrcDvcScope,TargetDvcScopeId,TargetDvcScope및DvcScope필드ActorScope가DvcScopeId추가되었습니다.
스키마 버전 0.1.3의 변경 내용은 다음과 같습니다.
- , ,
ActorOriginalUserType,ActorScopeId,TargetOriginalUserType,TargetUserScopeId,SrcDescription,SrcRiskLevel및TargetDescription필드SrcPortNumber가SrcOriginalRiskLevel추가되었습니다. - 검사 필드가 추가됨
- 대상 시스템 지리적 위치 필드가 추가되었습니다.
스키마 버전 0.1.4의 변경 내용은 다음과 같습니다.
- 및 필드
ActingOriginalAppTypeTargetOriginalAppType가 추가되었습니다. - 별칭 을 추가했습니다
Application.
다음 단계
자세한 내용은 다음을 참조하세요.