Microsoft Sentinel 사용자 관리 정규화 스키마는 사용자 또는 그룹 만들기, 사용자 특성 변경 또는 그룹에 사용자 추가와 같은 사용자 관리 활동을 설명하는 데 사용됩니다. 이러한 이벤트는 예를 들어 운영 체제, 디렉터리 서비스, ID 관리 시스템 및 로컬 사용자 관리 활동에 대한 기타 시스템 보고를 통해 보고됩니다.
Microsoft Sentinel 정규화에 대한 자세한 내용은 정규화 및 ASIM(고급 보안 정보 모델)을 참조하세요.
스키마 개요
ASIM 사용자 관리 스키마는 사용자 관리 활동을 설명합니다. 작업에는 일반적으로 다음 엔터티가 포함됩니다.
- 행위 자 - 관리 작업을 수행하는 사용자입니다.
- 작업 프로세스 - 행위자가 관리 작업을 수행하는 데 사용하는 프로세스입니다.
- Src - 네트워크를 통해 활동을 수행할 때 활동이 시작된 원본 디바이스입니다.
- 대상 사용자 - 계정의 사용자가 관리됩니다.
- 대상 사용자를 추가하거나 제거하거나 수정할 대상 사용자를 그룹화합니다.
UserCreated, GroupCreated, UserModified 및 GroupModified*와 같은 일부 활동은 사용자 속성을 설정하거나 업데이트합니다. 속성 집합 또는 업데이트는 다음 필드에 설명되어 있습니다.
- EventSubType - 설정되거나 업데이트된 값의 이름입니다. UpdatedPropertyName 은 EventSubType 이 관련 이벤트 형식 중 하나를 참조할 때 EventSubType 의 별칭입니다.
- PreviousPropertyValue - 속성의 이전 값입니다.
- NewPropertyValue - 속성의 업데이트된 값입니다.
파서
ASIM 파서에 대한 자세한 내용은 ASIM 파서 개요를 참조하세요.
파서 매개 변수 필터링
사용자 관리 파서는 필터링 매개 변수를 지원합니다. 이러한 매개 변수는 선택 사항이지만 쿼리 성능을 향상시킬 수 있습니다.
다음 필터링 매개 변수를 사용할 수 있습니다.
| 이름 | 유형 | 설명 |
|---|---|---|
| Starttime | datetime | 이 시간 이후에 발생한 사용자 관리 이벤트만 필터링합니다. 이 매개 변수는 TimeGenerated EventStartTime 및 EventEndTime 필드의 파서별 매핑에 관계없이 이벤트 시간의 표준 지정자인 필드를 필터링합니다. |
| Endtime | datetime | 이 시간 또는 그 이전에 발생한 사용자 관리 이벤트만 필터링합니다. 이 매개 변수는 TimeGenerated EventStartTime 및 EventEndTime 필드의 파서별 매핑에 관계없이 이벤트 시간의 표준 지정자인 필드를 필터링합니다. |
| srcipaddr_has_any_prefix | 동적 | 원본 IP 주소 접두사에서 나열된 값과 일치하는 사용자 관리 이벤트만 필터링합니다. 접두사는 로 .끝나야 합니다(예: 10.0.). |
| targetusername_has_any | 동적 | 대상 사용자 이름에 나열된 값이 있는 사용자 관리 이벤트만 필터링합니다. |
| actorusername_has_any | 동적 | 행위자 사용자 이름에 나열된 값이 있는 사용자 관리 이벤트만 필터링합니다. |
| eventtype_in | 동적 | 이벤트 형식이 나열된 값(예: UserCreated, , UserDeleted, UserModifiedPasswordChanged또는 GroupCreated)중 하나인 사용자 관리 이벤트만 필터링합니다. |
예를 들어 마지막 날의 사용자 만들기 이벤트만 필터링하려면 다음을 사용합니다.
_Im_UserManagement (eventtype_in=dynamic(['UserCreated']), starttime = ago(1d), endtime=now())
스키마 세부 정보
일반 ASIM 필드
중요
모든 스키마에 공통된 필드는 ASIM 공통 필드 문서에서 자세히 설명합니다.
특정 지침이 있는 공통 필드
다음 목록에서는 프로세스 활동 이벤트에 대한 특정 지침이 있는 필드를 설명합니다.
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| EventType | 필수 | 열거 | 레코드에서 보고한 작업에 대해 설명합니다. 사용자 관리 작업의 경우 지원되는 값은 다음과 같습니다. - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| EventSubType | 옵션 | 열거 | 지원되는 하위 형식은 다음과 같습니다. - UserRead: 암호, 해시- UserCreated, GroupCreated, UserModified, GroupModified. 자세한 내용은 UpdatedPropertyName을 참조하세요. |
| EventResult | 필수 | 열거 | 오류가 발생할 수 있지만 대부분의 시스템은 성공적인 사용자 관리 이벤트만 보고합니다. 성공적인 이벤트에 대한 예상 값은 입니다 Success. |
| EventResultDetails | 권장 | 열거 | 유효한 값은 및 Other입니다NotAuthorized. |
| EventSeverity | 필수 | 열거 | 유효한 심각도 값은 허용되지만 사용자 관리 이벤트의 심각도는 일반적으로 Informational입니다. |
| EventSchema | 필수 | 열거 | 여기에 설명된 스키마의 이름은 입니다 UserManagement. |
| EventSchemaVersion | 필수 | SchemaVersion(문자열) | 스키마의 버전입니다. 여기에 설명된 스키마의 버전은 입니다 0.1.2. |
| Dvc 필드 | 사용자 관리 이벤트의 경우 디바이스 필드는 이벤트를 보고하는 시스템을 참조합니다. 일반적으로 사용자가 관리되는 시스템입니다. |
모든 공통 필드
아래 표에 표시되는 필드는 모든 ASIM 스키마에 공통적으로 적용됩니다. 위에 지정된 모든 지침은 필드에 대한 일반 지침을 재정의합니다. 예를 들어 필드는 일반적으로 선택 사항이지만 특정 스키마에는 필수일 수 있습니다. 각 필드에 대한 자세한 내용은 ASIM 공통 필드 문서를 참조하세요.
| 클래스 | 필드 |
|---|---|
| 필수 |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| 권장 |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| 옵션 |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
업데이트된 속성 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| UpdatedPropertyName | 별칭 | 이벤트 유형이 , , GroupCreatedUserModified또는 GroupModified인 경우 EventSubType에 대한 별칭입니다UserCreated.지원되는 값은 다음과 같습니다. - MultipleProperties: 활동이 여러 속성을 업데이트할 때 사용됩니다.- Previous<PropertyName>은 에서 <PropertyName> 지원되는 값 UpdatedPropertyName중 하나입니다. - New<PropertyName>은 에서 <PropertyName> 지원되는 값 UpdatedPropertyName중 하나입니다. |
|
| PreviousPropertyValue | 옵션 | String | 지정된 속성에 저장된 이전 값입니다. |
| NewPropertyValue | 옵션 | String | 지정된 속성에 저장된 새 값입니다. |
대상 사용자 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| TargetUserId | 옵션 | String | 컴퓨터에서 읽을 수 있는 영숫자이며 대상 사용자의 고유한 표현입니다. 지원되는 형식 및 형식은 다음과 같습니다. - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID(Linux): 4578- AADID(Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673ID 형식을 TargetUserIdType 필드에 저장합니다. 다른 ID를 사용할 수 있는 경우 각각 TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId 및 TargetUserAwsId로 필드 이름을 정규화하는 것이 좋습니다. 자세한 내용은 사용자 엔터티를 참조하세요. 예: S-1-12 |
| TargetUserIdType | 조건부 | 열거 |
TargetUserId 필드에 저장된 ID의 형식입니다. 지원되는 값은 , , , 및 입니다 SIDAWSId. OktaIdAADIDUID |
| TargetUsername | 옵션 | 사용자 이름(문자열) | 사용 가능한 경우 도메인 정보를 포함한 대상 사용자 이름입니다. 다음 형식 중 하나를 사용하고 다음 우선 순위 순서로 사용합니다. - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- 단순: johndow. 도메인 정보를 사용할 수 없는 경우에만 단순 양식을 사용합니다.Username 형식을 TargetUsernameType 필드에 저장합니다. 다른 ID를 사용할 수 있는 경우 필드 이름을 TargetUserUpn, TargetUserWindows 및 TargetUserDn으로 정규화하는 것이 좋습니다. 자세한 내용은 사용자 엔터티를 참조하세요. 예: AlbertE |
| TargetUsernameType | 조건부 | 열거 |
TargetUsername 필드에 저장된 사용자 이름의 형식을 지정합니다. 지원되는 값은 UPN, Windows, DN및 입니다 Simple. 자세한 내용은 사용자 엔터티를 참조하세요.예: Windows |
| TargetUserType | 옵션 | 열거 | 대상 사용자의 유형입니다. 지원되는 값은 다음과 같습니다. - Regular- Machine- Admin- System- Application- Service Principal- Other참고: 값은 이러한 값으로 정규화되어야 하는 다른 용어를 사용하여 원본 레코드에 제공될 수 있습니다. TargetOriginalUserType 필드에 원래 값을 저장합니다. |
| TargetOriginalUserType | 옵션 | String | 원본에서 제공하는 경우 원래 대상 사용자 유형입니다. |
| TargetUserScope | 옵션 | String | TargetUserId 및 TargetUsername이 정의된 Microsoft Entra 테넌트와 같은 scope. 또는 허용되는 값의 자세한 내용과 목록은 스키마 개요 문서의UserScope를 참조하세요. |
| TargetUserScopeId | 옵션 | String | TargetUserId 및 TargetUsername이 정의된 Microsoft Entra 디렉터리 ID와 같은 scope ID입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서의UserScopeId를 참조하세요. |
| TargetUserSessionId | 옵션 | String | 대상 사용자의 로그인 세션의 고유 ID입니다. 예: 999 참고: 형식은 다양한 시스템을 지원하기 위해 문자열 로 정의되지만 Windows에서는 이 값이 숫자여야 합니다. Windows 또는 Linux 컴퓨터를 사용하고 다른 형식을 사용하는 경우 값을 변환해야 합니다. 예를 들어 16진수 값을 사용한 경우 10진수 값으로 변환합니다. |
행위자 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| ActorUserId | 옵션 | String | 컴퓨터에서 읽을 수 있는 영숫자이며 행위자의 고유한 표현입니다. 지원되는 형식 및 형식은 다음과 같습니다. - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID(Linux): 4578- AADID(Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673ID 형식을 ActorUserIdType 필드에 저장합니다. 다른 ID를 사용할 수 있는 경우 각각 ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId 및 ActorAwsId로 필드 이름을 정규화하는 것이 좋습니다. 자세한 내용은 사용자 엔터티를 참조하세요. 예: S-1-12 |
| ActorUserIdType | 조건부 | 열거 |
ActorUserId 필드에 저장된 ID의 형식입니다. 지원되는 값은 SID, UID, AADID, OktaId및 입니다 AWSId. |
| ActorUsername | 필수 | 사용자 이름(문자열) | 사용 가능한 경우 도메인 정보를 포함하는 행위자 사용자 이름입니다. 다음 형식 중 하나를 사용하고 다음 우선 순위 순서로 사용합니다. - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- 단순: johndow. 도메인 정보를 사용할 수 없는 경우에만 단순 양식을 사용합니다.Username 형식을 ActorUsernameType 필드에 저장합니다. 다른 ID를 사용할 수 있는 경우 필드 이름을 ActorUserUpn, ActorUserWindows 및 ActorUserDn으로 정규화하는 것이 좋습니다. 자세한 내용은 사용자 엔터티를 참조하세요. 예: AlbertE |
| 사용자 | 별칭 | ActorUsername에 대한 별칭입니다. | |
| ActorUsernameType | 조건부 | 열거 |
ActorUsername 필드에 저장된 사용자 이름의 형식을 지정합니다. 지원되는 값은 , , 및 입니다UPNSimple. DNWindows 자세한 내용은 사용자 엔터티를 참조하세요.예: Windows |
| ActorUserType | 옵션 | 열거 | 행위자의 형식입니다. 사용 가능한 값은 다음과 같습니다. - Regular- Machine- Admin- System- Application- Service Principal- Other참고: 값은 이러한 값으로 정규화되어야 하는 다른 용어를 사용하여 원본 레코드에 제공될 수 있습니다. 원래 값을 ActorOriginalUserType 필드에 저장합니다. |
| ActorOriginalUserType | 옵션 | String | 보고 디바이스에서 제공하는 경우 원래 대상 사용자 유형입니다. |
| ActorOriginalUserType | 원본에서 제공하는 경우 원래 행위자 사용자 유형입니다. | ||
| ActorSessionId | 옵션 | String | 행위자의 로그인 세션의 고유 ID입니다. 예: 999참고: 형식은 다양한 시스템을 지원하기 위해 문자열 로 정의되지만 Windows에서는 이 값이 숫자여야 합니다. Windows 컴퓨터를 사용하고 다른 형식을 사용하는 경우 값을 변환해야 합니다. 예를 들어 16진수 값을 사용한 경우 10진수 값으로 변환합니다. |
| 행위자 범위 | 옵션 | String | actorUserId 및 ActorUsername이 정의된 Microsoft Entra 테넌트와 같은 scope. 또는 허용되는 값의 자세한 내용과 목록은 스키마 개요 문서의UserScope를 참조하세요. |
| ActorScopeId | 옵션 | String | ActorUserId 및 ActorUsername이 정의된 Microsoft Entra 디렉터리 ID와 같은 scope ID입니다. 또는 자세한 내용과 허용되는 값 목록은 스키마 개요 문서의UserScopeId를 참조하세요. |
그룹 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| Groupid | 옵션 | String | 그룹과 관련된 활동에 대해 컴퓨터에서 읽을 수 있는 영숫자 고유의 그룹 표현입니다. 지원되는 형식 및 형식은 다음과 같습니다. - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID(Linux): 4578Id 형식을 GroupIdType 필드에 저장합니다. 다른 ID를 사용할 수 있는 경우 필드 이름을 각각 GroupSid 또는 GroupUid로 정규화하는 것이 좋습니다. 자세한 내용은 사용자 엔터티를 참조하세요. 예: S-1-12 |
| GroupIdType | 옵션 | 열거 |
GroupId 필드에 저장된 ID의 형식입니다. 지원되는 값은 , 및 UID입니다SID. |
| Groupname | 옵션 | String | 그룹 관련 활동에 사용할 수 있는 경우 도메인 정보를 포함한 그룹 이름입니다. 다음 형식 중 하나를 사용하고 다음 우선 순위 순서로 사용합니다. - Upn/Email: grp@contoso.com- Windows: Contoso\grp- DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM- 단순: grp. 도메인 정보를 사용할 수 없는 경우에만 단순 양식을 사용합니다.GroupNameType 필드에 그룹 이름 형식을 저장합니다. 다른 ID를 사용할 수 있는 경우 필드 이름을 GroupUpn, GroupNameWindows 및 GroupDn으로 정규화하는 것이 좋습니다. 예: Contoso\Finance |
| GroupNameType | 옵션 | 열거 |
GroupName 필드에 저장된 그룹 이름의 형식을 지정합니다. 지원되는 값은 UPN, Windows, DN및 입니다 Simple.예: Windows |
| GroupType | 옵션 | 열거 | 그룹과 관련된 활동에 대한 그룹의 형식입니다. 지원되는 값은 다음과 같습니다. - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- Other참고: 값은 이러한 값으로 정규화되어야 하는 다른 용어를 사용하여 원본 레코드에 제공될 수 있습니다. GroupOriginalType 필드에 원래 값을 저장합니다. |
| GroupOriginalType | 옵션 | String | 원본에서 제공하는 경우 원래 그룹 형식입니다. |
원본 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| Src | 권장 | String | 원본 디바이스의 고유 식별자입니다. 이 필드는 SrcDvcId, SrcHostname 또는 SrcIpAddr 필드의 별칭을 지정할 수 있습니다. 예: 192.168.12.1 |
| SrcIpAddr | 권장 | IP 주소 | 원본 디바이스의 IP 주소입니다.
SrcHostname이 지정된 경우 이 값은 필수입니다. 예: 77.138.103.108 |
| IpAddr | 별칭 | SrcIpAddr에 대한 별칭입니다. | |
| SrcPortNumber | 옵션 | 정수 | 연결이 시작된 IP 포트입니다. 여러 연결로 구성된 세션과 관련이 없을 수 있습니다. 예: 2335 |
| SrcMacAddr | 옵션 | MAC 주소(문자열) | 연결 또는 세션이 시작된 네트워크 인터페이스의 MAC 주소입니다. 예: 06:10:9f:eb:8f:14 |
| SrcDescription | 옵션 | String | 디바이스와 연결된 설명 텍스트입니다. 예: Primary Domain Controller |
| SrcHostname | 권장 | String | 도메인 정보를 제외한 원본 디바이스 호스트 이름입니다. 예: DESKTOP-1282V4D |
| SrcDomain | 권장 | 도메인(문자열) | 원본 디바이스의 도메인입니다. 예: Contoso |
| SrcDomainType | 권장 | 열거 |
알려진 경우 SrcDomain의 형식입니다. 가능한 값은 다음과 같습니다. - Windows (예: contoso)- FQDN (예: microsoft.com)SrcDomain을 사용하는 경우 필요합니다. |
| SrcFQDN | 옵션 | FQDN(문자열) | 사용 가능한 경우 도메인 정보를 포함하는 원본 디바이스 호스트 이름입니다. 참고: 이 필드는 기존 FQDN 형식과 Windows 도메인\호스트 이름 형식을 모두 지원합니다. SrcDomainType 필드는 사용된 형식을 반영합니다. 예: Contoso\DESKTOP-1282V4D |
| SrcDvcId | 옵션 | String | 레코드에 보고된 원본 디바이스의 ID입니다. 예: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 옵션 | String | 디바이스가 속한 클라우드 플랫폼 scope ID입니다. SrcDvcScopeId는 Azure 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| SrcDvcScope | 옵션 | String | 디바이스가 속한 클라우드 플랫폼 scope. SrcDvcScope는 Azure 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| SrcDvcIdType | 조건부 | 열거 |
알려진 경우 SrcDvcId의 형식입니다. 가능한 값은 다음과 같습니다. - AzureResourceId- MDEid여러 ID를 사용할 수 있는 경우 이전 목록의 첫 번째 ID를 사용하고 다른 ID를 각각 SrcDvcAzureResourceId 및 SrcDvcMDEid에 저장합니다. 참고: SrcDvcId 를 사용하는 경우 이 필드가 필요합니다. |
| SrcDeviceType | 옵션 | 열거 | 원본 디바이스의 형식입니다. 가능한 값은 다음과 같습니다. - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | 옵션 | 국가 | 원본 IP 주소와 연결된 국가/지역입니다. 예: USA |
| SrcGeoRegion | 옵션 | 지역 | 원본 IP 주소와 연결된 지역입니다. 예: Vermont |
| SrcGeoCity | 선택 | 구/군/시 | 원본 IP 주소와 연결된 도시입니다. 예: Burlington |
| SrcGeoLatitude | 옵션 | 위도 | 원본 IP 주소와 연결된 지리적 좌표의 위도입니다. 예: 44.475833 |
| SrcGeoLongitude | 옵션 | 경도 | 원본 IP 주소와 연결된 지리적 좌표의 경도입니다. 예: 73.211944 |
| SrcRiskLevel | 옵션 | 정수 | 원본과 연결된 위험 수준입니다. 값은 의 범위 0100로 조정되어야 하며 0 , 무해하고 100 위험이 높은 경우 로 조정해야 합니다.예: 90 |
| SrcOriginalRiskLevel | 옵션 | String | 보고 디바이스에서 보고한 원본과 관련된 위험 수준입니다. 예: Suspicious |
애플리케이션 작동
검사 필드
다음 필드는 EDR 시스템과 같은 보안 시스템에서 수행하는 검사를 나타내는 데 사용됩니다.
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| RuleName | 옵션 | String | 검사 결과와 연결된 규칙의 이름 또는 ID입니다. |
| RuleNumber | 옵션 | 정수 | 검사 결과와 연결된 규칙의 수입니다. |
| 규칙 | 조건부 | String | kRuleName 값 또는 RuleNumber 값입니다. RuleNumber 값을 사용하는 경우 형식을 문자열로 변환해야 합니다. |
| ThreatId | 옵션 | String | 파일 활동에서 식별된 위협 또는 맬웨어의 ID입니다. |
| ThreatName | 옵션 | String | 파일 활동에서 식별된 위협 또는 맬웨어의 이름입니다. 예: EICAR Test File |
| ThreatCategory | 옵션 | String | 파일 활동에서 식별된 위협 또는 맬웨어의 범주입니다. 예: Trojan |
| ThreatRiskLevel | 옵션 | RiskLevel(정수) | 식별된 위협과 관련된 위험 수준입니다. 수준은 0에서 100 사이의 숫자여야 합니다. 참고: 이 배율로 정규화해야 하는 다른 배율을 사용하여 원본 레코드에 값을 제공할 수 있습니다. 원래 값은 ThreatOriginalRiskLevel에 저장되어야 합니다. |
| ThreatOriginalRiskLevel | 옵션 | String | 보고 디바이스에서 보고한 위험 수준입니다. |
| ThreatField | 옵션 | String | 위협이 식별된 필드입니다. |
| ThreatConfidence | 옵션 | ConfidenceLevel(정수) | 식별된 위협의 신뢰 수준이며 0에서 100 사이의 값으로 정규화됩니다. |
| ThreatOriginalConfidence | 옵션 | String | 보고 디바이스에서 보고한 대로 식별된 위협의 원래 신뢰 수준입니다. |
| ThreatIsActive | 옵션 | 부울 | True이면 식별된 위협이 활성 위협으로 간주됩니다. |
| ThreatFirstReportedTime | 옵션 | datetime | IP 주소 또는 도메인이 처음으로 위협으로 식별된 경우 |
| ThreatLastReportedTime | 옵션 | datetime | IP 주소 또는 도메인이 마지막으로 위협으로 식별된 시간입니다. |
추가 필드 및 별칭
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| 호스트 | 별칭 | DvcHostname에 대한 별칭입니다. |
스키마 업데이트
스키마 버전 0.1.2의 변경 내용은 다음과 같습니다.
- 검사 필드가 추가되었습니다.
- 원본 필드
SrcDescription, ,SrcMacAddr,SrcOriginalRiskLevel,SrcPortNumber, 를SrcRiskLevel추가했습니다. - 대상 필드
TargetUserScope, , 를TargetUserScopeId추가했습니다.TargetUserSessionId - 행위자 필드
ActorOriginalUserType, , 가ActorScope추가되었습니다.ActorScopeId - 작업 애플리케이션 필드가 추가됨
ActingOriginalAppType
다음 단계
자세한 내용은 다음을 참조하세요.