Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Dateiereignisnormalisierungsschema wird verwendet, um Dateiaktivitäten wie das Erstellen, Ändern oder Löschen von Dateien oder Dokumenten zu beschreiben. Solche Ereignisse werden von Betriebssystemen, Dateispeichersystemen wie Azure Files und Dokumentenverwaltungssystemen wie Microsoft SharePoint gemeldet.
Weitere Informationen zur Normalisierung in Microsoft Sentinel finden Sie unter Normalization and the Advanced Security Information Model (ASIM).
Parser
Bereitstellen und Verwenden von Dateiaktivitätsparsern
Stellen Sie die ASIM-Dateiaktivitätsparser aus dem Microsoft Sentinel GitHub-Repository bereit. Verwenden Sie zum Abfragen aller Dateiaktivitätsquellen den vereinheitlichenden Parser imFileEvent als Tabellennamen in Ihrer Abfrage.
Weitere Informationen zur Verwendung von ASIM-Parsern finden Sie in der Übersicht über ASIM-Parser. Die Liste der Dateiaktivitätsparser, die Microsoft Sentinel sofort verfügbar sind, finden Sie in der ASIM-Parserliste.
Hinzufügen eigener normalisierter Parser
Wenn Sie benutzerdefinierte Parser für das Dateiereignisinformationsmodell implementieren, benennen Sie Ihre KQL-Funktionen mit der folgenden Syntax: imFileEvent<vendor><Product.
Lesen Sie den Artikel Verwalten von ASIM-Parsern , um zu erfahren, wie Sie Ihre benutzerdefinierten Parser zum vereinheitlichenden Parser der Dateiaktivität hinzufügen.
Filtern von Parserparametern
Die Dateiereignisparser unterstützen das Filtern von Parametern. Diese Parameter sind zwar optional, können aber die Abfrageleistung verbessern.
Die folgenden Filterparameter sind verfügbar:
| Name | Typ | Beschreibung |
|---|---|---|
| starttime | Datum/Uhrzeit | Filtern Sie nur Dateiereignisse, die zu oder nach diesem Zeitpunkt aufgetreten sind. Dieser Parameter filtert nach dem TimeGenerated Feld, das der Standardbezeichner für den Zeitpunkt des Ereignisses ist, unabhängig von der parserspezifischen Zuordnung der Felder EventStartTime und EventEndTime. |
| endtime | Datum/Uhrzeit | Filtern Sie nur Dateiereignisse, die zu oder vor diesem Zeitpunkt aufgetreten sind. Dieser Parameter filtert nach dem TimeGenerated Feld, das der Standardbezeichner für den Zeitpunkt des Ereignisses ist, unabhängig von der parserspezifischen Zuordnung der Felder EventStartTime und EventEndTime. |
| eventtype_in | Dynamische | Filtern Sie nur Dateiereignisse, bei denen der Ereignistyp einer der aufgeführten Werte ist, z FileCreated. B. , FileModified, FileDeleted, FileRenamedoder FileCopied. |
| srcipaddr_has_any_prefix | Dynamische | Filtern Sie nur Dateiereignisse, bei denen das Quell-IP-Adresspräfix mit einem der aufgeführten Werte übereinstimmt. Präfixe sollten mit einem .enden, z. B. . 10.0. |
| actorusername_has_any | Dynamische | Filtern Sie nur Dateiereignisse, bei denen der Akteurbenutzername über einen der aufgelisteten Werte verfügt. |
| targetfilepath_has_any | Dynamische | Filtern Sie nur Dateiereignisse, bei denen der Zieldateipfad einen der aufgeführten Werte enthält. |
| srcfilepath_has_any | Dynamische | Filtern Sie nur Dateiereignisse, bei denen der Quelldateipfad einen der aufgelisteten Werte enthält. |
| hashes_has_any | Dynamische | Filtern Sie nur Dateiereignisse, bei denen der Dateihash mit einem der aufgelisteten Werte übereinstimmt. |
| dvchostname_has_any | Dynamische | Filtern Sie nur Dateiereignisse, bei denen der Gerätehostname über einen der aufgeführten Werte verfügt. |
Um beispielsweise nur Dateierstellungs- und Änderungsereignisse vom letzten Tag zu filtern, verwenden Sie Folgendes:
_Im_FileEvent (eventtype_in=dynamic(['FileCreated','FileModified']), starttime = ago(1d), endtime=now())
Normalisierter Inhalt
Eine vollständige Liste der Analyseregeln, die normalisierte Dateiaktivitätsereignisse verwenden, finden Sie unter Dateiaktivitätssicherheitsinhalte.
Schemaübersicht
Das Dateiereignisinformationsmodell ist am OSSEM-Prozess-Entitätsschema ausgerichtet.
Das Dateiereignisschema verweist auf die folgenden Entitäten, die für Dateiaktivitäten von zentraler Bedeutung sind:
- Akteur. Der Benutzer, der die Dateiaktivität initiiert hat
- ActingProcess. Der Prozess, der vom Actor zum Initiieren der Dateiaktivität verwendet wird
- TargetFile. Die Datei, für die der Vorgang ausgeführt wurde
- Quelldatei (SrcFile). Speichert Dateiinformationen vor dem Vorgang.
Die Beziehung zwischen diesen Entitäten wird am besten wie folgt veranschaulicht: Ein Actor führt einen Dateivorgang mithilfe eines acting Process aus, der die Quelldatei in Zieldatei ändert.
Beispiel: JohnDoe (Actor) verwendet Windows File Explorer (Handelnder Prozess), um (Quelldatei) in (Zieldatei) umzubenennen new.docold.doc .
Schemadetails
Allgemeine Felder
Wichtig
Felder, die allen Schemas gemeinsam sind, werden im Artikel Allgemeine Felder für ASIM ausführlich beschrieben.
Felder mit spezifischen Richtlinien für das Dateiereignisschema
In der folgenden Liste sind Felder aufgeführt, die bestimmte Richtlinien für Dateiaktivitätsereignisse aufweisen:
| Field | Class | Type | Beschreibung |
|---|---|---|---|
| Eventtype | Erforderlich | Aufgelistet | Beschreibt den vom Datensatz gemeldeten Vorgang. Unterstützte Werte: - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| EventSubType | Optional | Aufgelistet | Beschreibt Details zum in EventType gemeldeten Vorgang. Zu den unterstützten Werten pro Ereignistyp gehören: - FileCreated
-
Upload, Checkin- FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed
-
Download, Preview, Checkout, Extended- FileDeleted
-
Recycled, Versions, Site |
| EventSchema | Erforderlich | Aufgelistet | Der Name des hier dokumentierten Schemas lautet FileEvent. |
| EventSchemaVersion | Erforderlich | SchemaVersion (Zeichenfolge) | Die Version des Schemas. Die hier dokumentierte Version des Schemas lautet 0.2.2 |
| Dvc-Felder | - | - | Bei Dateiaktivitätsereignissen beziehen sich Gerätefelder auf das System, auf dem die Dateiaktivität aufgetreten ist. |
Wichtig
Das EventSchema Feld ist derzeit optional, wird aber am 1. September 2022 obligatorisch.
Alle gemeinsamen Felder
Felder, die in der Tabelle angezeigt werden, sind für alle ASIM-Schemas gemeinsam. Alle schemaspezifischen Richtlinien in diesem Dokument setzen die allgemeinen Richtlinien für das Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel Zu den allgemeinen ASIM-Feldern .
| Class | Fields |
|---|---|
| Erforderlich |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Empfohlen |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optional |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Zieldateifelder
Die folgenden Felder stellen Informationen zur Zieldatei in einem Dateivorgang dar. Wenn der Vorgang z. B. eine einzelne Datei FileCreate umfasst, wird sie durch die Zieldateifelder dargestellt.
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| TargetFileCreationTime | Optional | Datum/Uhrzeit | Der Zeitpunkt, zu dem die Zieldatei erstellt wurde. |
| TargetFileDirectory | Optional | Zeichenfolge | Der Zieldateiordner oder -speicherort. Dieses Feld sollte dem TargetFilePath-Feld ohne das letzte Element ähneln. Hinweis: Ein Parser kann diesen Wert bereitstellen, wenn der in der Protokollquelle verfügbare Wert nicht aus dem vollständigen Pfad extrahiert werden muss. |
| TargetFileExtension | Optional | Zeichenfolge | Die Zieldateierweiterung. Hinweis: Ein Parser kann diesen Wert bereitstellen, wenn der in der Protokollquelle verfügbare Wert nicht aus dem vollständigen Pfad extrahiert werden muss. |
| TargetFileMimeType | Optional | Zeichenfolge | Der MIME- oder Medientyp der Zieldatei. Zulässige Werte sind im Repository IANA-Medientypen aufgeführt. |
| TargetFileName | Empfohlen | Zeichenfolge | Der Name der Zieldatei, ohne Pfad oder Speicherort, aber ggf. mit einer Erweiterung. Dieses Feld sollte dem letzten Element im Feld TargetFilePath ähneln. |
| FileName | Alias | Alias für das Feld TargetFileName . | |
| TargetFilePath | Erforderlich | Zeichenfolge | Der vollständige, normalisierte Pfad der Zieldatei, einschließlich des Ordners oder Speicherorts, des Dateinamens und der Erweiterung. Weitere Informationen finden Sie unter Pfadstruktur. Hinweis: Wenn der Datensatz keine Ordner- oder Speicherortinformationen enthält, speichern Sie den Dateinamen nur hier. Beispiel: C:\Windows\System32\notepad.exe |
| TargetFilePathType | Erforderlich | Aufgelistet | Der Typ von TargetFilePath. Weitere Informationen finden Sie unter Pfadstruktur. |
| FilePath | Alias | Alias für das Feld TargetFilePath . | |
| TargetFileMD5 | Optional | MD5 | Der MD5-Hash der Zieldatei. Beispiel: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | Optional | SHA1 | Der SHA-1-Hash der Zieldatei. Beispiel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | Optional | SHA256 | Der SHA-256-Hash der Zieldatei. Beispiel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | Optional | SHA512 | Der SHA-512-Hash der Quelldatei. |
| Hash | Alias | Alias für den besten verfügbaren Zieldateihash. | |
| HashType | Bedingte | Aufgelistet | Der Im Feld HASH-Alias gespeicherte Hashtyp, zulässige Werte sind MD5, SHA, SHA512SHA256und IMPHASH. Obligatorisch, wenn Hash aufgefüllt wird. |
| TargetFileSize | Optional | Long | Die Größe der Zieldatei in Bytes. |
Quelldateifelder
Die folgenden Felder stellen Informationen zur Quelldatei in einem Dateivorgang dar, der sowohl über eine Quelle als auch über ein Ziel verfügt, z. B. kopieren. Wenn der Vorgang eine einzelne Datei umfasst, wird sie durch die Zieldateifelder dargestellt.
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| SrcFileCreationTime | Optional | Datum/Uhrzeit | Der Zeitpunkt, zu dem die Quelldatei erstellt wurde. |
| SrcFileDirectory | Optional | Zeichenfolge | Der Quelldateiordner oder -speicherort. Dieses Feld sollte dem SrcFilePath-Feld ohne das letzte Element ähneln. Hinweis: Ein Parser kann diesen Wert bereitstellen, wenn der Wert in der Protokollquelle verfügbar ist und nicht aus dem vollständigen Pfad extrahiert werden muss. |
| SrcFileExtension | Optional | Zeichenfolge | Die Quelldateierweiterung. Hinweis: Ein Parser kann diesen Wert bereitstellen, der in der Protokollquelle verfügbar ist und nicht aus dem vollständigen Pfad extrahiert werden muss. |
| SrcFileMimeType | Optional | Zeichenfolge | Der Mime- oder Medientyp der Quelldatei. Unterstützte Werte sind im IANA-Medientypen-Repository aufgeführt. |
| SrcFileName | Empfohlen | Zeichenfolge | Der Name der Quelldatei, ohne Pfad oder Speicherort, aber ggf. mit einer Erweiterung. Dieses Feld sollte dem letzten Element im Feld SrcFilePath ähneln. |
| SrcFilePath | Empfohlen | Zeichenfolge | Der vollständige, normalisierte Pfad der Quelldatei, einschließlich des Ordners oder Speicherorts, des Dateinamens und der Erweiterung. Weitere Informationen finden Sie unter Pfadstruktur. Beispiel: /etc/init.d/networking |
| SrcFilePathType | Empfohlen | Aufgelistet | Der Typ von SrcFilePath. Weitere Informationen finden Sie unter Pfadstruktur. |
| SrcFileMD5 | Optional | MD5 | Der MD5-Hash der Quelldatei. Beispiel: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | Optional | SHA1 | Der SHA-1-Hash der Quelldatei. Beispiel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | Optional | SHA256 | Der SHA-256-Hash der Quelldatei. Beispiel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | Optional | SHA512 | Der SHA-512-Hash der Quelldatei. |
| SrcFileSize | Optional | Long | Die Größe der Quelldatei in Bytes. |
Akteurfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| ActorUserId | Empfohlen | Zeichenfolge | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Akteurs. Das unterstützte Format für verschiedene ID-Typen finden Sie in der Entität Benutzer. Beispiel: S-1-12 |
| ActorScope | Optional | Zeichenfolge | Der Bereich, z. B. Microsoft Entra Mandant, in dem ActorUserId und ActorUsername definiert sind. oder weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht. |
| ActorScopeId | Optional | Zeichenfolge | Die Bereichs-ID, z. B. Microsoft Entra Verzeichnis-ID, in der ActorUserId und ActorUsername definiert sind. oder weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht. |
| ActorUserIdType | Bedingte | Aufgelistet | Der Typ der ID, die im Feld ActorUserId gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserIdType im Artikel Schemaübersicht. |
| ActorUsername | Erforderlich | Benutzername (Zeichenfolge) | Der Actor-Benutzername, einschließlich Domäneninformationen, falls verfügbar. Das unterstützte Format für verschiedene ID-Typen finden Sie in der Entität Benutzer. Verwenden Sie das einfache Formular nur, wenn keine Domäneninformationen verfügbar sind. Speichern Sie den Benutzernamentyp im Feld ActorUsernameType . Wenn andere Benutzernamenformate verfügbar sind, speichern Sie diese in den Feldern ActorUsername<UsernameType>.Beispiel: AlbertE |
| Benutzer | Alias | Alias für das Feld ActorUsername . Beispiel: CONTOSO\dadmin |
|
| ActorUsernameType | Bedingte | Aufgelistet | Gibt den Typ des Benutzernamens an, der im Feld ActorUsername gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UsernameType im Artikel Schemaübersicht. Beispiel: Windows |
| ActorSessionId | Optional | Zeichenfolge | Die eindeutige ID der Anmeldesitzung des Actors. Beispiel: 999Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows muss dieser Wert numerisch sein. Wenn Sie einen Windows-Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie ihn in einen Dezimalwert. |
| ActorUserType | Optional | UserType | Der Typ des Akteurs. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserType im Artikel Schemaübersicht. Hinweis: Der Wert kann im Quelldatensatz mit unterschiedlichen Begriffen bereitgestellt werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld ActorOriginalUserType . |
| ActorOriginalUserType | Optional | Zeichenfolge | Der ursprüngliche Zielbenutzertyp, wenn er vom Meldengerät bereitgestellt wird. |
Handelnde Prozessfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| ActingProcessCommandLine | Optional | Zeichenfolge | Die Befehlszeile, die zum Ausführen des handelnden Prozesses verwendet wird. Beispiel: "choco.exe" -v |
| ActingProcessName | Optional | string | Der Name des handelnden Prozesses. Dieser Name wird häufig von dem Image oder der ausführbaren Datei abgeleitet, die verwendet wird, um den anfänglichen Code und die Daten zu definieren, die dem virtuellen Adressraum des Prozesses zugeordnet sind. Beispiel: C:\Windows\explorer.exe |
| Prozess | Alias | Alias für ActingProcessName | |
| ActingProcessId | Optional | Zeichenfolge | Die Prozess-ID (PID) des handelnden Prozesses. Beispiel: 48610176 Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows und Linux muss dieser Wert numerisch sein. Wenn Sie einen Windows- oder Linux Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie ihn in einen Dezimalwert. |
| ActingProcessGuid | Optional | GUID (Zeichenfolge) | Ein generierter eindeutiger Bezeichner (GUID) des handelnden Prozesses. Ermöglicht die systemübergreifende Identifizierung des Prozesses. Beispiel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Quellsystembezogene Felder
Die folgenden Felder stellen Informationen zum System dar, das die Dateiaktivität initiiert, in der Regel beim Übertragen über das Netzwerk.
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| SrcIpAddr | Empfohlen | IP-Adresse | Wenn der Vorgang von einem Remotesystem initiiert wird, die IP-Adresse dieses Systems. Beispiel: 185.175.35.214 |
| IpAddr | Alias | Alias für SrcIpAddr | |
| Src | Alias | Alias für SrcIpAddr | |
| SrcPortNumber | Optional | Integer | Wenn der Vorgang von einem Remotesystem initiiert wird, die Portnummer, von der aus die Verbindung initiiert wurde. Beispiel: 2335 |
| SrcHostname | Optional | Hostname (Zeichenfolge) | Der Hostname des Quellgeräts ohne Domäneninformationen. Wenn kein Gerätename verfügbar ist, speichern Sie die relevante IP-Adresse in diesem Feld. Beispiel: DESKTOP-1282V4D |
| SrcDomain | Optional | Domäne (Zeichenfolge) | Die Domäne des Quellgeräts. Beispiel: Contoso |
| SrcDomainType | Bedingte | DomainType | Der Typ von SrcDomain. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DomainType im Artikel Schemaübersicht. Erforderlich, wenn SrcDomain verwendet wird. |
| SrcFQDN | Optional | FQDN (Zeichenfolge) | Der Hostname des Quellgeräts, einschließlich Domäneninformationen, sofern verfügbar. Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format Domäne\Hostname. Das Feld SrcDomainType gibt das verwendete Format an. Beispiel: Contoso\DESKTOP-1282V4D |
| SrcDescription | Optional | Zeichenfolge | Ein beschreibender Text, der dem Gerät zugeordnet ist. Beispiel: Primary Domain Controller. |
| SrcDvcId | Optional | Zeichenfolge | Die ID des Quellgeräts. Wenn mehrere IDs verfügbar sind, verwenden Sie die wichtigste, und speichern Sie die anderen in den Feldern SrcDvc<DvcIdType>.Beispiel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Optional | Zeichenfolge | Die Bereichs-ID der Cloudplattform, zu der das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID auf Azure und einer Konto-ID in AWS zugeordnet. |
| SrcDvcScope | Optional | Zeichenfolge | Der Cloudplattformbereich, zu dem das Gerät gehört. SrcDvcScope wird einer Abonnement-ID auf Azure und einer Konto-ID in AWS zugeordnet. |
| SrcDvcIdType | Bedingte | DvcIdType | Der Typ von SrcDvcId. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType im Artikel Schemaübersicht. Hinweis: Dieses Feld ist erforderlich, wenn SrcDvcId verwendet wird. |
| SrcDeviceType | Optional | DeviceType | Der Typ des Quellgeräts. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DeviceType im Artikel Schemaübersicht. |
| SrcGeoCountry | Optional | Land | Das Land/die Region, das der Quell-IP-Adresse zugeordnet ist. Beispiel: USA |
| SrcGeoRegion | Optional | Region | Die Region, die der Quell-IP-Adresse zugeordnet ist. Beispiel: Vermont |
| SrcGeoCity | Optional | Stadt/Ort | Der Ort, der der Quell-IP-Adresse zugeordnet ist. Beispiel: Burlington |
| SrcGeoLatitude | Optional | Breitengrad | Der Breitengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. Beispiel: 44.475833 |
| SrcGeoLongitude | Optional | Längengrad | Der Längengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. Beispiel: 73.211944 |
Tätige Anwendungsfelder
Die folgenden Felder stellen Informationen zu einer lokalen Anwendung dar, die über ein Netzwerk mit einem Remotesystem kommuniziert hat, um die Dateiaktivität auszuführen.
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| ActingAppName | Optional | Zeichenfolge | Der Name der handelnden Anwendung. Beispiel: Facebook |
| ActingAppId | Optional | Zeichenfolge | Die ID der handelnden Anwendung, die vom meldenden Gerät gemeldet wird. |
| ActingAppType | Optional | AppType | Der Typ der Zielanwendung. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter AppType im Artikel Schemaübersicht. Dieses Feld ist obligatorisch, wenn TargetAppName oder TargetAppId verwendet werden. |
| HttpUserAgent | Optional | Zeichenfolge | Wenn der Vorgang von einem Remotesystem mithilfe von HTTP oder HTTPS initiiert wird, wird der Benutzer-Agent verwendet. Zum Beispiel: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | Optional | Zeichenfolge | Wenn der Vorgang von einem Remotesystem initiiert wird, ist dieser Wert das Im OSI-Modell verwendete Anwendungsschichtprotokoll. Obwohl dieses Feld nicht aufgezählt wird und jeder Wert akzeptiert wird, sind die folgenden Werte bevorzugt: HTTP, HTTPS, SMB,FTP und SSHBeispiel: SMB |
Zielanwendungsfelder
Die folgenden Felder stellen Informationen zur Zielanwendung dar, die die Dateiaktivität im Namen des Benutzers ausführt. Eine Zielanwendung bezieht sich in der Regel auf eine netzwerkübergreifende Dateiaktivität, z. B. die Verwendung von SaaS-Anwendungen (Software-as-a-Service).
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| TargetAppName | Optional | Zeichenfolge | Der Name der Zielanwendung. Beispiel: Facebook |
| Anwendung | Alias | Alias für TargetAppName. | |
| TargetAppId | Optional | Zeichenfolge | Die ID der Zielanwendung, die vom Melden des Geräts gemeldet wird. |
| TargetAppType | Bedingte | AppType | Der Typ der Zielanwendung. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter AppType im Artikel Schemaübersicht. Dieses Feld ist obligatorisch, wenn TargetAppName oder TargetAppId verwendet werden. |
| TargetOriginalAppType | Optional | Zeichenfolge | Der Typ der Zielanwendung, der vom Melden des Geräts gemeldet wird. |
| TargetUrl | Optional | URL (Zeichenfolge) | Wenn der Vorgang über HTTP oder HTTPS initiiert wird, wird die verwendete URL verwendet. Beispiel: https://onedrive.live.com/?authkey=... |
| Url | Alias | Alias für TargetUrl |
Inspektionsfelder
Die folgenden Felder werden verwendet, um die Überprüfung darzustellen, die von einem Sicherheitssystem wie einem Antivirensystem durchgeführt wird. Der identifizierte Thread ist in der Regel der Datei zugeordnet, für die die Aktivität ausgeführt wurde, und nicht der Aktivität selbst.
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Rulename | Optional | Zeichenfolge | Der Name oder die ID der Regel von, die den Inspektionsergebnissen zugeordnet ist. |
| RuleNumber | Optional | Integer | Die Nummer der Regel, die den Inspektionsergebnissen zugeordnet ist. |
| Rule | Bedingte | Zeichenfolge | Entweder der Wert von kRuleName oder der Wert von RuleNumber. Wenn der Wert von RuleNumber verwendet wird, sollte der Typ in eine Zeichenfolge konvertiert werden. |
| ThreatId | Optional | Zeichenfolge | Die ID der Bedrohung oder Schadsoftware, die in der Dateiaktivität identifiziert wurde. |
| ThreatName | Optional | Zeichenfolge | Der Name der Bedrohung oder Schadsoftware, die in der Dateiaktivität identifiziert wurde. Beispiel: EICAR Test File |
| Bedrohungskategorie | Optional | Zeichenfolge | Die Kategorie der Bedrohung oder Schadsoftware, die in der Dateiaktivität identifiziert wird. Beispiel: Trojan |
| ThreatRiskLevel | Optional | RiskLevel (Integer) | Die Risikostufe, die der identifizierten Bedrohung zugeordnet ist. Die Ebene sollte eine Zahl zwischen 0 und 100 sein. Hinweis: Der Wert kann im Quelldatensatz mithilfe einer anderen Skalierung bereitgestellt werden, die auf diese Skalierung normalisiert werden sollte. Der ursprüngliche Wert sollte in ThreatOriginalRiskLevel gespeichert werden. |
| ThreatOriginalRiskLevel | Optional | Zeichenfolge | Die vom Melden des Geräts gemeldete Risikostufe. |
| ThreatFilePath | Optional | Zeichenfolge | Ein Dateipfad, für den eine Bedrohung identifiziert wurde. Das Feld ThreatField enthält den Namen des Felds ThreatFilePath . |
| ThreatField | Bedingte | Aufgelistet | Das Feld, für das eine Bedrohung identifiziert wurde. Der Wert ist entweder SrcFilePath oder DstFilePath. |
| ThreatConfidence | Optional | ConfidenceLevel (Integer) | Das Konfidenzniveau der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100. |
| ThreatOriginalConfidence | Optional | Zeichenfolge | Das ursprüngliche Konfidenzniveau der identifizierten Bedrohung, wie vom Melden des Geräts gemeldet. |
| ThreatIsActive | Optional | Boolean | True, wenn die identifizierte Bedrohung als aktive Bedrohung angesehen wird. |
| ThreatFirstReportedTime | Optional | Datum/Uhrzeit | Beim ersten Mal wurde die IP-Adresse oder Domäne als Bedrohung identifiziert. |
| ThreatLastReportedTime | Optional | Datum/Uhrzeit | Der Zeitpunkt, zu dem die IP-Adresse oder Domäne zuletzt als Bedrohung identifiziert wurde. |
Pfadstruktur
Der Pfad sollte so normalisiert werden, dass er mit einem der folgenden Formate übereinstimmt. Das Format, in das der Wert normalisiert wird, wird im entsprechenden FilePathType-Feld angezeigt.
| Typ | Beispiel | Hinweise |
|---|---|---|
| Windows Lokal | C:\Windows\System32\notepad.exe |
Da bei Windows-Pfadnamen die Groß-/Kleinschreibung nicht beachtet wird, impliziert dieser Typ, dass bei dem Wert die Groß-/Kleinschreibung nicht beachtet wird. |
| Windows-Freigabe | \\Documents\My Shapes\Favorites.vssx |
Da bei Windows-Pfadnamen die Groß-/Kleinschreibung nicht beachtet wird, impliziert dieser Typ, dass bei dem Wert die Groß-/Kleinschreibung nicht beachtet wird. |
| Unix | /etc/init.d/networking |
Da bei Unix-Pfadnamen die Groß-/Kleinschreibung beachtet wird, impliziert dieser Typ, dass bei dem Wert die Groß-/Kleinschreibung beachtet wird. – Verwenden Sie diesen Typ für AWS S3. Verketten Sie die Bucket- und Schlüsselnamen, um den Pfad zu erstellen. – Verwenden Sie diesen Typ für Azure Blob Storage-Objektschlüssel. |
| URL | https://1drv.ms/p/s!Av04S_*********we |
Verwenden Sie, wenn der Dateipfad als URL verfügbar ist. URLs sind nicht auf HTTP oder HTTPS beschränkt, und jeder Wert, einschließlich ftp-Wert, ist gültig. |
Schemaaktualisierungen
Dies sind die Änderungen in Version 0.1.1 des Schemas:
- Das Feld
EventSchemawurde hinzugefügt.
Dies sind die Änderungen in Version 0.2 des Schemas:
- Inspektionsfelder hinzugefügt.
- Die Felder
ActorScope,TargetUserScope, ,HashType,TargetAppName,TargetAppId,TargetAppType,SrcGeoCountry,SrcGeoRegion,SrcGeoLongitude,SrcGeoLatitudeActorSessionIdDvcScopeIdundDvcScopewurden hinzugefügt. - Die Aliase
Url, ,IpAddr"FileName" undSrcwurden hinzugefügt.
Dies sind die Änderungen in Version 0.2.1 des Schemas:
- Wurde als Alias zu
TargetAppNamehinzugefügtApplication. - Feld hinzugefügt
ActorScopeId - Felder im Zusammenhang mit Quellgeräten wurden hinzugefügt.
Dies sind die Änderungen in Version 0.2.2 des Schemas:
- Feld hinzugefügt
TargetOriginalAppType - Die Felder
ActingAppIdund wurdenActingAppNamehinzugefügt, dieActingAppTypein der TabelleASimFileEventLogsnicht verfügbar sind.
Nächste Schritte
Weitere Informationen finden Sie unter:
- Sehen Sie sich das ASIM-Webinar an, oder überprüfen Sie die Folien
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Advanced Security Information Model (ASIM)-Schemas
- ASIM-Parser (Advanced Security Information Model)
- Inhalt des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM)