Referencia del esquema de normalización de eventos de archivo del Modelo de información de seguridad avanzada (ASIM): versión preliminar pública
El esquema de normalización de eventos de archivos se usa para describir la actividad de los archivos, como la creación, modificación o eliminación de archivos o documentos. Los sistemas operativos, los sistemas de almacenamiento de archivos como Azure Files y los sistemas de administración de documentos como Microsoft SharePoint notifican estos eventos.
Para más información sobre la normalización en Microsoft Sentinel, consulte Normalización y Modelo avanzado de información de seguridad (ASIM).
Importante
El esquema de normalización de eventos de archivos está actualmente en VERSIÓN PRELIMINAR PÚBLICA. Esta característica se ofrece sin contrato de nivel de servicio y no se recomienda para cargas de trabajo de producción.
En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Analizadores
Implementación y uso de analizadores de actividad de archivos
Implemente los analizadores de actividad de archivos ASIM desde el repositorio de Microsoft Sentinel en GitHub. Para consultar todos los orígenes de actividad de archivos, use el analizador unificador imFileEvent como nombre de tabla en la consulta.
Para más información sobre los analizadores de ASIM, consulte la introducción a los analizadores de ASIM. Para obtener la lista de analizadores de actividad de archivo que proporciona Microsoft Sentinel, consulte la lista de analizadores de ASIM
Adición de sus propios analizadores normalizados
Al implementar analizadores personalizados para el modelo de información de eventos de archivos, asigne un nombre a las funciones KQL con la sintaxis siguiente: imFileEvent<vendor><Product.
Consulte el artículo Administración de analizadores de ASIM para obtener información sobre cómo agregar los analizadores personalizados a los analizadores de unificación de la actividad de archivos.
Contenido normalizado
Para obtener una lista completa de las reglas de análisis que usan eventos normalizados de actividad de archivos, vea Contenido de seguridad de la actividad del archivo.
Información general del esquema
El modelo de información de eventos de archivos está alineado con el esquema de entidades de proceso de OSSEM.
El esquema de eventos de archivos hace referencia a las entidades siguientes, que son fundamentales para las actividades de archivos:
- Actor. Usuario que inició la actividad de archivos.
- ActingProcess. Proceso utilizado por el actor para iniciar la actividad de archivos.
- TargetFile. Archivo en el que se realizó la operación.
- Archivo de origen (SrcFile) . Almacena información del archivo antes de la operación.
La relación entre estas entidades se muestra mejor de la siguiente manera: un actor realiza una operación de archivos mediante un proceso de acción que modifica el archivo de origen para crear el archivo de destino.
Por ejemplo: JohnDoe (actor) utiliza Windows File Explorer (proceso de acción) para cambiar el nombre del archivo new.doc (archivo de origen) a old.doc (archivo de destino).
Detalles del esquema
Campos comunes
Importante
Los campos comunes a todos los esquemas se describen detalladamente en el artículo Campos comunes de ASIM.
Campos con directrices específicas para el esquema de eventos de archivo
La lista siguiente solo enumera los campos que tienen directrices específicas para los eventos de actividad de archivo.
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| EventType | Mandatory | Enumerated | Describe la operación notificada por el registro. Los valores admitidos incluyen , - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| EventSubType | Opcionales | Enumerated | Describe los detalles sobre la operación notificada en EventType. Los valores admitidos por tipo de evento incluyen: - FileCreated - Upload, Checkin- FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed - Download, Preview, Checkout, Extended- FileDeleted - Recycled, Versions, Site |
| EventSchema | Mandatory | String | El nombre del esquema que se documenta aquí es FileEvent. |
| EventSchemaVersion | Mandatory | String | Versión del esquema. La versión del esquema que se documenta aquí el la versión 0.2.1. |
| Campos dvc | - | - | Para los eventos de actividad de archivo, los campos de dispositivo hacen referencia al sistema en el que se produjo la actividad de archivo. |
Importante
El campo EventSchema es actualmente opcional, pero será obligatorio a partir del 1 de septiembre de 2022.
Todos los campos comunes
Los campos que aparecen en la siguiente tabla son comunes a todos los esquemas de ASIM. Cualquiera de las directrices específicas del esquema de este documento invalida las directrices generales del campo. Por ejemplo, un campo podría ser opcional en general, pero obligatorio para un esquema específico. Para obtener más información sobre cada campo, consulte el artículo Campos comunes de ASIM.
| Clase | Fields |
|---|---|
| Mandatory | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendado | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcionales | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campos de archivo de destino
Los campos siguientes representan información sobre el archivo de destino en una operación de archivo. Si la operación implica un único archivo, FileCreate por ejemplo, se representa mediante los campos de archivo de destino.
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| TargetFileCreationTime | Opcionales | Fecha y hora | Hora en la que se creó el archivo de origen. |
| TargetFileDirectory | Opcional | String | Carpeta o ubicación del archivo de destino. Este campo debe ser similar al campo TargetFilePath, sin el elemento final. Nota: Un analizador puede proporcionar este valor si el valor está disponible en el origen del registro y no es necesario extraerlo de la ruta de acceso completa. |
| TargetFileExtension | Opcional | String | Extensión del archivo de destino. Nota: Un analizador puede proporcionar este valor si el valor está disponible en el origen del registro y no es necesario extraerlo de la ruta de acceso completa. |
| TargetFileMimeType | Opcionales | Enumerated | Tipo Mime o tipo de elemento multimedia del archivo de destino. Los valores permitidos se enumeran en el repositorio de tipos de elementos multimedia de IANA. |
| TargetFileName | Recomendado | String | Nombre del archivo de destino, sin una ruta de acceso o una ubicación, pero con una extensión si procede. Este campo debe ser similar al elemento final del campo TargetFilePath. |
| FileName | Alias | Alias para el campo TargetFileName. | |
| TargetFilePath | Mandatory | String | Ruta de acceso completa y normalizada del archivo de destino, incluida la carpeta o ubicación, el nombre de archivo y la extensión. Para más información, consulte Estructura de la ruta de acceso. Nota: Si el registro no incluye información de carpeta o ubicación, almacene solo el nombre de archivo aquí. Ejemplo: C:\Windows\System32\notepad.exe |
| TargetFilePathType | Mandatory | Enumerated | Tipo del campo TargetFilePath. Para más información, consulte Estructura de la ruta de acceso. |
| FilePath | Alias | Alias del campo TargetFilePath. | |
| TargetFileMD5 | Opcionales | MD5 | Hash MD5 del archivo de destino. Ejemplo: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | Opcionales | SHA1 | Hash SHA-1 del archivo de destino. Ejemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | Opcionales | SHA256 | Hash SHA-256 del archivo de destino. Ejemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | Opcionales | SHA512 | Hash SHA-512 del archivo de origen. |
| Hash | Alias | Alias del mejor hash de archivo de destino disponible. | |
| HashType | Recomendado | String | El tipo de hash almacenado en el campo de alias HASH, los valores permitidos son MD5, SHA, SHA256SHA512 y IMPHASH. Obligatorio si se rellena Hash. |
| TargetFileSize | Opcional | long | Tamaño del archivo de destino en bytes. |
Campos de archivo de origen
Los campos siguientes representan información sobre el archivo de origen en una operación de archivo que tiene un origen y un destino, como la copia. Si la operación implica un único archivo, se representa mediante los campos de archivo de destino.
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| SrcFileCreationTime | Opcionales | Fecha y hora | Hora a la que se creó el archivo de origen. |
| SrcFileDirectory | Opcional | String | Carpeta o ubicación del archivo de origen. Este campo debe ser similar al campo SrcFilePath, sin el elemento final. Nota: Un analizador puede proporcionar este valor si el valor está disponible en el origen del registro y no es necesario extraerlo de la ruta de acceso completa. |
| SrcFileExtension | Opcional | String | Extensión del archivo de origen. Nota: Un analizador puede proporcionar este valor si el valor está disponible en el origen del registro y no es necesario extraerlo de la ruta de acceso completa. |
| SrcFileMimeType | Opcionales | Enumerated | Tipo Mime o tipo de elemento multimedia del archivo de origen. Los valores admitidos se enumeran en el repositorio de tipos de elementos multimedia de IANA. |
| SrcFileName | Recomendado | String | Nombre del archivo de origen, sin una ruta de acceso o una ubicación, pero con una extensión si procede. Este campo debe ser similar al último elemento del campo SrcFilePath. |
| SrcFilePath | Recomendado | String | Ruta de acceso completa y normalizada del archivo de origen, incluida la carpeta o ubicación, el nombre de archivo y la extensión. Para más información, consulte Estructura de la ruta de acceso. Ejemplo: /etc/init.d/networking |
| SrcFilePathType | Recomendado | Enumerated | Tipo del campo SrcFilePath. Para más información, consulte Estructura de la ruta de acceso. |
| SrcFileMD5 | Opcionales | MD5 | Hash MD5 del archivo de origen. Ejemplo: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | Opcionales | SHA1 | Hash SHA-1 del archivo de origen. Ejemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | Opcionales | SHA256 | Hash SHA-256 del archivo de origen. Ejemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | Opcionales | SHA512 | Hash SHA-512 del archivo de origen. |
| SrcFileSize | Opcional | long | Tamaño del archivo de origen en bytes. |
Campos de actor
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| ActorUserId | Recomendado | String | Representación única, alfanumérica y legible del actor. Para obtener el formato admitido para los distintos tipos de identificador, consulte Entidad Usuario. Ejemplo: S-1-12 |
| ActorScope | Opcionales | String | El ámbito, como el inquilino de Microsoft Entra, en el que se definen ActorUserId y ActorUsername. Para obtener más información y una lista de los valores permitidos, consulte UserScope en el artículo Introducción al esquema. |
| ActorScopeId | Opcionales | String | El identificador del ámbito, como el identificador de directorio de Microsoft Entra, en el que se definen ActorUserId y ActorUsername. Para más información y una lista de los valores permitidos, consulte UserScopeId en el artículo Introducción al esquema. |
| ActorUserIdType | Condicional | String | Tipo del identificador almacenado en el campo ActorUserId. Para obtener más información y una lista de valores permitidos, consulte UserIdType en el artículo Introducción al esquema. |
| ActorUsername | Mandatory | String | Nombre de usuario del actor, incluida la información de dominio cuando esté disponible. Para obtener el formato admitido para los distintos tipos de identificador, consulte Entidad Usuario. Use este formato simple solo si no hay disponible información de dominio. Almacene el tipo de nombre de usuario en el campo ActorUsernameType. Si hay disponibles otros formatos de nombre de usuario, almacénelos en los campos ActorUsername<UsernameType>.Ejemplo: AlbertE |
| User | Alias | Alias del campo ActorUsername. Ejemplo: CONTOSO\dadmin |
|
| ActorUsernameType | Condicional | Enumerated | Especifica el tipo de nombre de usuario almacenado en el campo ActorUsername. Para obtener más información y una lista de valores permitidos, consulte UsernameType en el artículo Introducción al esquema. Ejemplo: Windows |
| ActorSessionId | Opcional | String | Identificador único de la sesión de inicio de sesión de Actor. Ejemplo: 999Nota: El tipo se define como cadena para admitir distintos sistemas, pero en Windows este valor debe ser numérico. Si usa una máquina Windows y ha usado un tipo diferente, asegúrese de convertir los valores. Por ejemplo, si ha utilizado un valor hexadecimal, conviértalo en un valor decimal. |
| ActorUserType | Opcionales | UserType | Tipo de actor. Para obtener más información y una lista de valores permitidos, consulte UserType en el artículo Introducción al esquema. Nota: El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. Almacene el valor original en el campo ActorOriginalUserType. |
| ActorOriginalUserType | Opcional | String | El tipo de usuario de destino original, si lo proporciona el dispositivo de informes. |
Campos de procesos de actuación
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| ActingProcessCommandLine | Opcional | String | Línea de comandos utilizada para ejecutar el proceso de acción. Ejemplo: "choco.exe" -v |
| ActingProcessName | Opcional | string | Nombre del proceso de acción. Este nombre se deriva normalmente de la imagen o del archivo ejecutable que se usa para definir el código inicial y los datos asignados al espacio de direcciones virtuales del proceso. Ejemplo: C:\Windows\explorer.exe |
| Process | Alias | Alias de ActingProcessName | |
| ActingProcessId | Opcionales | String | Identificador de proceso (PID) del proceso de acción. Ejemplo: 48610176 Nota: El tipo se define como cadena para admitir distintos sistemas, pero en Windows y Linux este valor debe ser numérico. Si usa una máquina Windows o Linux y usa un tipo diferente, asegúrese de convertir los valores. Por ejemplo, si ha utilizado un valor hexadecimal, conviértalo en un valor decimal. |
| ActingProcessGuid | Opcional | string | Identificador único (GUID) generado del proceso de acción. Permite identificar el proceso entre sistemas. Ejemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Campos relacionados con el sistema de origen
Los campos siguientes representan información sobre el sistema que inicia la actividad del archivo, normalmente cuando se transfiere a través de la red.
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| SrcIpAddr | Recomendado | Dirección IP | Cuando un sistema remoto inicia la operación, representa la dirección IP de este sistema. Ejemplo: 185.175.35.214 |
| IpAddr | Alias | Alias de SrcIpAddr | |
| Src | Alias | Alias de SrcIpAddr | |
| SrcPortNumber | Opcional | Entero | Cuando un sistema remoto inicia la operación, el número de puerto desde el que se inició la conexión. Ejemplo: 2335 |
| SrcHostname | Recomendado | Nombre de host | Nombre de host del dispositivo de origen, excepto la información de dominio. Si no hay ningún nombre de dispositivo disponible, almacene la dirección IP correspondiente en este campo. Ejemplo: DESKTOP-1282V4D |
| SrcDomain | Recomendado | String | Dominio del dispositivo de origen. Ejemplo: Contoso |
| SrcDomainType | Condicional | DomainType | Tipo de SrcDomain. Para obtener más información y una lista de valores permitidos, consulte DomainType en el artículo Introducción al esquema. Obligatorio si se usa el campo SrcDomain. |
| SrcFQDN | Opcional | String | Nombre de host del dispositivo de origen, incluida la información de dominio cuando está disponible. Nota: Este campo admite tanto el formato de FQDN tradicional como el formato de dominio\nombre de host de Windows. El campo SrcDomainType refleja el formato usado. Ejemplo: Contoso\DESKTOP-1282V4D |
| SrcDescription | Opcionales | String | Texto descriptivo asociado al dispositivo. Por ejemplo: Primary Domain Controller. |
| SrcDvcId | Opcional | String | Identificador del dispositivo de origen. Si hay disponibles varios identificadores, use el más importante y almacene los demás en los campos SrcDvc<DvcIdType>.Ejemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcionales | String | Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. SrcDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcDvcScope | Opcionales | String | Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. SrcDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcDvcIdType | Condicional | DvcIdType | Tipo de SrcDvcId. Para obtener más información y una lista de valores permitidos, consulte DvcIdType en el artículo Introducción al esquema. Nota: Este campo es necesario si se usa el campo SrcDvcId. |
| SrcDeviceType | Opcionales | DeviceType | Tipo del dispositivo de origen. Para obtener más información y una lista de valores permitidos, consulte DeviceType en el artículo Introducción al esquema. |
| SrcSubscriptionId | Opcional | String | Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo de origen. SrcSubscriptionId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcGeoCountry | Opcionales | País | País asociado con la dirección IP de origen. Ejemplo: USA |
| SrcGeoRegion | Opcionales | Region | Región asociada con la dirección IP de origen. Ejemplo: Vermont |
| SrcGeoCity | Opcionales | City (Ciudad) | Ciudad asociada con la dirección IP de origen. Ejemplo: Burlington |
| SrcGeoLatitude | Opcionales | Latitud | Latitud de la coordenada geográfica asociada con la dirección IP de origen. Ejemplo: 44.475833 |
| SrcGeoLongitude | Opcionales | Longitud | Longitud de la coordenada geográfica asociada con la dirección IP de origen. Ejemplo: 73.211944 |
Campos relacionados con la red
Los siguientes campos representan información sobre la sesión de red cuando la actividad del archivo se transfiere a través de la red.
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| HttpUserAgent | Opcional | String | Cuando un sistema remoto inicia la operación mediante HTTP o HTTPS, representa el agente de usuario utilizado. Por ejemplo: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | Opcional | String | Cuando un sistema remoto inicia la operación, este valor es el protocolo de capa de aplicación que se usa en el modelo OSI. Aunque este no es un campo enumerado y se acepta cualquier valor, los valores preferibles son los siguientes: HTTP, HTTPS, SMB, FTP y SSH.Ejemplo: SMB |
Campos de la aplicación de destino
Los campos siguientes representan información sobre la aplicación de destino que realiza la actividad del archivo en nombre del usuario. Normalmente, una aplicación de destino está relacionada con la actividad del archivos a través de la red, por ejemplo, mediante aplicaciones Saas (software como servicio).
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| TargetAppName | Opcional | String | Nombre de la aplicación de destino. Ejemplo: Facebook |
| Application | Alias | Alias de TargetAppName | |
| TargetAppId | Opcional | String | Identificador de la aplicación de destino, como se indica en el dispositivo de informes. |
| TargetAppType | Opcional | AppType | Tipo de la aplicación de destino. Para obtener más información y una lista de valores permitidos, consulte AppType en el artículo Introducción al esquema. Este campo es obligatorio si se usan TargetAppName o TargetAppId. |
| TargetUrl | Opcional | String | Cuando la operación se inicia mediante HTTP o HTTPS, se usa la dirección URL. Ejemplo: https://onedrive.live.com/?authkey=... |
| Url | Alias | Alias de TargetUrl |
Campos de inspección
Los siguientes campos se usan para representar esa inspección realizada por un sistema de seguridad como un sistema antivirus. El subproceso identificado normalmente está asociado al archivo en el que se realizó la actividad en lugar de a la propia actividad.
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| RuleName | Opcionales | String | Nombre o identificador de la regla asociado a los resultados de la inspección. |
| RuleNumber | Opcional | Entero | Número de la regla asociado a los resultados de la inspección. |
| Regla | Condicional | String | El valor de kRuleName o el valor de RuleNumber. Si se usa el valor de RuleNumber, el tipo se debe convertir en cadena. |
| ThreatId | Opcional | String | Identificador de la amenaza o del malware identificados en la actividad del archivo. |
| ThreatName | Opcional | String | Nombre de la amenaza o del malware identificados en la actividad del archivo. Ejemplo: EICAR Test File |
| ThreatCategory | Opcional | String | Categoría de la amenaza o del malware identificados en la actividad del archivo. Ejemplo: Trojan |
| ThreatRiskLevel | Opcional | Entero | Nivel de riesgo asociado a la amenaza identificada. El nivel debe ser un número entre 0 y 100. Nota: El valor se puede proporcionar en el registro de origen mediante una escala diferente, que se debe normalizar a esta. El valor original debe almacenarse en el campo ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcionales | String | Nivel de riesgo indicado por el dispositivo de informes. |
| ThreatFilePath | Opcionales | String | Ruta de acceso del archivo para el que se identificó una amenaza. El campo ThreatField contiene el nombre del campo ThreatFilePath que representa. |
| ThreatField | Opcionales | Enumerated | Campo para el que se identificó una amenaza. El valor es SrcFilePath o DstFilePath. |
| ThreatConfidence | Opcional | Entero | Nivel de confianza de la amenaza identificada, normalizada en un valor comprendido entre 0 y 100. |
| ThreatOriginalConfidence | Opcionales | String | El nivel de confianza original de la amenaza identificada, tal como lo notifica el dispositivo que informa. |
| ThreatIsActive | Opcionales | Boolean | True si la amenaza identificada se considera una amenaza activa. |
| ThreatFirstReportedTime | Opcionales | datetime | La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| ThreatLastReportedTime | Opcionales | datetime | La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
Estructura de la ruta de acceso
La ruta de acceso se debe normalizar para que coincida con uno de los siguientes formatos. El formato al que se normaliza el valor se reflejará en el campo FilePathType correspondiente.
| Tipo | Ejemplo | Notas |
|---|---|---|
| Windows local | C:\Windows\System32\notepad.exe |
Puesto que los nombres de ruta de acceso en Windows no tienen en cuenta las mayúsculas y minúsculas, este tipo implica que el valor no tiene en cuenta las mayúsculas y minúsculas. |
| Recurso compartido de Windows | \\Documents\My Shapes\Favorites.vssx |
Puesto que los nombres de ruta de acceso en Windows no tienen en cuenta las mayúsculas y minúsculas, este tipo implica que el valor no tiene en cuenta las mayúsculas y minúsculas. |
| Unix | /etc/init.d/networking |
Puesto que los nombres de ruta de acceso de Unix distinguen mayúsculas de minúsculas, este tipo implica que el valor también lo haga. - Use este tipo para AWS S3. Concatene el cubo y los nombres de clave para crear la ruta de acceso. - Use este tipo para las claves de objeto de Azure Blob Storage. |
| URL | https://1drv.ms/p/s!Av04S_*********we |
Utilícelo cuando la ruta de acceso del archivo esté disponible como una dirección URL. Las direcciones URL no se limitan a http o https; cualquier valor, incluido un valor FTP, es válido. |
Actualizaciones del esquema
Estos son los cambios en la versión 0.1.1 del esquema:
- Se ha agregado el campo
EventSchema.
Hay cambios en la versión 0.2 del esquema:
- Se han agregado campos de inspección.
- Se han agregado los campos
ActorScope,TargetUserScope,HashType,TargetAppName,TargetAppId,TargetAppType,SrcGeoCountry,SrcGeoRegion,SrcGeoLongitude,SrcGeoLatitude,ActorSessionId,DvcScopeIdyDvcScope. - Se han agregado los alias
Url,IpAddr, "FileName" ySrc.
Hay cambios en la versión 0.2.1 del esquema:
- Se ha agregado
Applicationcomo alias aTargetAppName. - Se ha agregado el campo
ActorScopeId. - Se han agregado campos relacionados con el dispositivo de origen.
Pasos siguientes
Para más información, consulte:
- El seminario web de ASIM o las diapositivas
- Introducción al Modelo avanzado de información de seguridad (ASIM)
- Esquemas del Modelo avanzado de información de seguridad (ASIM)
- Analizadores del Modelo avanzado de información de seguridad (ASIM)
- Contenido del Modelo avanzado de información de seguridad (ASIM)