Informations de référence sur le schéma de normalisation des événements de fichier ASIM (Advanced Security Information Model) (préversion publique)
Le schéma de normalisation des événements de fichier est utilisé pour décrire les activités de fichier, telles que la création, la modification ou la suppression de fichiers ou de documents. Ces événements sont signalés par les systèmes d’exploitation, les systèmes de stockage de fichiers tels qu’Azure Files et les systèmes de gestion de documents tels que Microsoft SharePoint.
Pour plus d’informations sur la normalisation dans Microsoft Sentinel, consultez Normalisation et Advanced SIEM Information Model (ASIM).
Important
Le schéma de normalisation des événements de fichier est en préversion. Cette fonctionnalité est fournie sans contrat de niveau de service et n’est pas recommandée pour des charges de travail de production.
Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
Analyseurs
Déploiement et utilisation d’analyseurs de l’activité de fichier
Déployez les analyseurs de l’activité de fichier ASIM à partir du référentiel GitHub de Microsoft Sentinel. Pour lancer des requêtes parmi toutes les sources d’activité de fichier, utilisez l’analyseur d’unification imFileEvent comme nom de table dans votre requête.
Pour plus d’informations sur les analyseurs ASIM, consultez Vue d’ensemble des analyseurs ASIM. Pour obtenir la liste des analyseurs d’activités de fichier, Microsoft Sentinel fournit une référence prête à l’emploi à la liste des analyseurs ASIM.
Ajouter vos propres analyseurs normalisés
Quand vous implémentez des analyseurs personnalisés pour le modèle d’informations sur les événements de fichier, nommez vos fonctions KQL avec la syntaxe suivante : imFileEvent<vendor><Product.
Reportez-vous à l’article Gestion des analyseurs ASIM pour découvrir comment ajouter vos analyseurs personnalisés aux analyseurs d’unification de l’activité de fichier.
Contenu normalisé
Pour obtenir la liste complète des règles d’analyse qui utilisent des événements de l’activité de fichier, consultez Contenu de sécurité de l’activité de fichier.
Vue d’ensemble du schéma
Le modèle d’informations sur les événements de fichier est aligné sur le schéma d’entité de processus OSSEM.
Le schéma d’événement de fichier référence les entités suivantes, qui sont au centre des activités de fichier :
- Actor. Utilisateur ayant lancé l’activité de fichier
- ActingProcess. Processus utilisé par l’intervenant (Actor) pour lancer l’activité de fichier
- TargetFile. Fichier sur lequel l’opération a été effectuée
- Fichier source (SrcFile) . Stocke les informations de fichier avant l’opération.
La relation entre ces entités est mieux illustrée comme suit : un intervenant effectue une opération de fichier avec un processus agissant, qui modifie le fichier source en fichier cible.
Par exemple : JohnDoe (intervenant) utilise Windows File Explorer (processus agissant) pour renommer new.doc (fichier source) en old.doc (fichier cible).
Détails du schéma
Champs communs
Important
Les champs communs à tous les schémas sont décrits en détail dans l’article Champs communs ASIM.
Champs avec des instructions spécifiques concernant le schéma d’événement de fichier
La liste suivante mentionne les champs qui ont des instructions spécifiques pour les événements d’activité de fichier :
| Champ | Classe | Type | Description |
|---|---|---|---|
| EventType | Obligatoire | Énuméré | Décrit l’opération signalée par l’enregistrement. Les valeurs - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| EventSubType | Facultatif | Énuméré | Fournit des détails sur l’opération signalée dans EventType. Les valeurs prises en charge par type d’événement sont les suivantes : - FileCreated - Upload, Checkin- FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed - Download, , PreviewCheckout, ,Extended- FileDeleted - Recycled, , VersionsSite |
| EventSchema | Obligatoire | String | Le nom du schéma documenté ici est FileEvent. |
| EventSchemaVersion | Obligatoire | Chaîne | Version du schéma. La version du schéma documenté ici est 0.2.1 |
| Champs Dvc | - | - | Pour les événements d’activité de fichier, les champs d’appareil font référence au système sur lequel l’activité de fichier s’est produite. |
Important
Le champ EventSchema est actuellement facultatif, mais deviendra obligatoire le 1er septembre 2022.
Tous les champs communs
Les champs qui apparaissent dans le tableau sont communs à tous les schémas ASIM. Toutes les instructions spécifiques au schéma remplacent les instructions générales mentionnées pour le champ. Par exemple, un champ peut être facultatif en général, mais obligatoire pour un schéma spécifique. Pour plus d’informations sur chaque champ, consultez l’article Champs communs ASIM.
| Classe | Fields |
|---|---|
| Obligatoire | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recommandé | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Facultatif | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Champs du fichier cible
Les champs suivants représentent des informations sur le fichier cible dans une opération de fichier. Si l’opération implique un seul fichier, FileCreate par exemple, il est représenté par les champs du fichier cible.
| Champ | Classe | Type | Description |
|---|---|---|---|
| TargetFileCreationTime | Facultatif | Date/Heure | Heure à laquelle le fichier cible a été créé. |
| TargetFileDirectory | Facultatif | Chaîne | Dossier ou emplacement du fichier cible. Ce champ doit être similaire au champ TargetFilePath, sans l’élément final. Remarque : Un analyseur peut fournir cette valeur si la valeur est disponible dans la source du journal et n’a pas besoin d’être extraite du chemin complet. |
| TargetFileExtension | Facultatif | Chaîne | Extension du fichier cible. Remarque : Un analyseur peut fournir cette valeur si la valeur est disponible dans la source du journal et n’a pas besoin d’être extraite du chemin complet. |
| TargetFileMimeType | Facultatif | Énuméré | Type MIME ou Media du fichier cible. Les valeurs autorisées sont listées dans le dépôt Types Media IANA. |
| TargetFileName | Recommandé | Chaîne | Nom du fichier cible, sans chemin ou emplacement, mais avec une extension, le cas échéant. Ce champ doit être similaire à l’élément final du champ TargetFilePath. |
| FileName | Alias | Alias du champ TargetFileName. | |
| TargetFilePath | Obligatoire | Chaîne | Chemin complet et normalisé du fichier cible, notamment le dossier ou l’emplacement, le nom de fichier et l’extension. Pour plus d’informations, consultez Structure du chemin. Remarque : Si l’enregistrement n’inclut pas d’informations sur le dossier ou l’emplacement, stockez le nom de fichier uniquement ici. Exemple : C:\Windows\System32\notepad.exe |
| TargetFilePathType | Obligatoire | Énuméré | Type de TargetFilePath. Pour plus d’informations, consultez Structure du chemin. |
| FilePath | Alias | Alias du champ TargetFilePath. | |
| TargetFileMD5 | Facultatif | MD5 | Hachage MD5 du fichier cible. Exemple : 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | Facultatif | SHA1 | Hachage SHA-1 du fichier cible. Exemple : d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | Facultatif | SHA256 | Hachage SHA-256 du fichier cible. Exemple : e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | Facultatif | SHA512 | Hachage SHA-512 du fichier source. |
| Hash | Alias | Alias du meilleur hachage disponible du fichier cible. | |
| HashType | Recommandé | Chaîne | Le type de hachage stocké dans le champ d’alias HASH, les valeurs autorisées sont MD5, SHA, SHA256, SHA512 et IMPHASH. Obligatoire si Hash est renseigné. |
| TargetFileSize | Facultatif | Long | Taille du fichier cible en octets. |
Champs du fichier source
Les champs suivants représentent des informations sur le fichier source dans une opération de fichier qui a à la fois une source et une destination, telle que la copie. Si l’opération implique un seul fichier, il est représenté par les champs du fichier cible.
| Champ | Classe | Type | Description |
|---|---|---|---|
| SrcFileCreationTime | Facultatif | Date/Heure | Heure à laquelle le fichier source a été créé. |
| SrcFileDirectory | Facultatif | Chaîne | Dossier ou emplacement du fichier source. Ce champ doit être similaire au champ SrcFilePath, sans l’élément final. Remarque : Un analyseur peut fournir cette valeur si la valeur est disponible dans la source du journal et n’a pas besoin d’être extraite du chemin complet. |
| SrcFileExtension | Facultatif | Chaîne | Extension du fichier source. Remarque : Un analyseur peut fournir cette valeur si la valeur est disponible dans la source du journal et n’a pas besoin d’être extraite du chemin complet. |
| SrcFileMimeType | Facultatif | Énuméré | Type MIME ou Media du fichier source. Les valeurs prises en charge sont listées dans le dépôt Types Media IANA. |
| SrcFileName | Recommandé | Chaîne | Nom du fichier source, sans chemin ou emplacement, mais avec une extension, le cas échéant. Ce champ doit être similaire au dernier élément du champ SrcFilePath. |
| SrcFilePath | Recommandé | Chaîne | Chemin complet et normalisé du fichier source, notamment le dossier ou l’emplacement, le nom de fichier et l’extension. Pour plus d’informations, consultez Structure du chemin. Exemple : /etc/init.d/networking |
| SrcFilePathType | Recommandé | Énuméré | Type de SrcFilePath. Pour plus d’informations, consultez Structure du chemin. |
| SrcFileMD5 | Facultatif | MD5 | Hachage MD5 du fichier source. Exemple : 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | Facultatif | SHA1 | Hachage SHA-1 du fichier source. Exemple : d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | Facultatif | SHA256 | Hachage SHA-256 du fichier source. Exemple : e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | Facultatif | SHA512 | Hachage SHA-512 du fichier source. |
| SrcFileSize | Facultatif | Long | Taille du fichier source en octets. |
Champs d’intervenant
| Champ | Classe | Type | Description |
|---|---|---|---|
| ActorUserId | Recommandé | String | Représentation unique, alphanumérique et lisible par l’ordinateur de l’intervenant. Pour le format pris en charge pour les différents types d’ID, reportez-vous à l’entité User. Exemple : S-1-12 |
| ActorScope | Facultatif | String | L’étendue, par exemple, tel que le locataire Microsoft Entra, dans lequel ActorUserId et ActorUsername sont définis. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserScope dans l’article Vue d’ensemble du schéma. |
| ActorScopeId | Facultatif | String | L’ID d’étendue, telle que l’ID de répertoire Microsoft Entra, dans laquelle ActorUserId et ActorUsername sont définis. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserScopeId dans l’article Vue d’ensemble du schéma. |
| ActorUserIdType | Logique conditionnelle | Chaîne | Type de l’ID stocké dans le champ ActorUserId. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à UserIdType dans l’article Vue d’ensemble du schéma. |
| ActorUsername | Obligatoire | Chaîne | Nom d’utilisateur de l’intervenant, en incluant les informations de domaine le cas échéant. Pour le format pris en charge pour les différents types d’ID, reportez-vous à l’entité User. Utilisez la forme simple uniquement si les informations de domaine ne sont pas disponibles. Stockez le type du nom d’utilisateur dans le champ ActorUsernameType. Si d’autres formats de nom d’utilisateur sont disponibles, stockez-les dans les champs ActorUsername<UsernameType>.Exemple : AlbertE |
| Utilisateur | Alias | Alias du champ ActorUsername. Exemple : CONTOSO\dadmin |
|
| ActorUsernameType | Logique conditionnelle | Énuméré | Spécifie le type du nom d’utilisateur stocké dans le champ ActorUsername. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à UsernameType dans l’article Vue d’ensemble du schéma. Exemple : Windows |
| ActorSessionId | Facultatif | Chaîne | ID unique de la session de connexion de l’Intervenant. Exemple : 999Remarque : le type est défini en tant que chaîne pour la prise en charge de différents systèmes. Cependant, sur Windows, cette valeur doit être numérique. Si vous utilisez un ordinateur Windows et avez utilisé un type différent, assurez-vous de convertir les valeurs. Par exemple, si vous avez utilisé une valeur hexadécimale, convertissez-la en valeur décimale. |
| ActorUserType | Facultatif | UserType | Type d’intervenant. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à UserType dans l’article Vue d’ensemble du schéma. Remarque : la valeur peut être fournie dans l’enregistrement source avec des termes différents, qui doivent être normalisés avec ces valeurs. Stockez la valeur d’origine dans le champ ActorOriginalUserType. |
| ActorOriginalUserType | Facultatif | String | Type d’utilisateur de destination d’origine, s’il est fourni par le dispositif de reporting. |
Champs de processus d’action
| Champ | Classe | Type | Description |
|---|---|---|---|
| ActingProcessCommandLine | Facultatif | Chaîne | Ligne de commande utilisée pour exécuter le processus agissant. Exemple : "choco.exe" -v |
| ActingProcessName | Facultatif | string | Nom du processus agissant. Ce nom est généralement dérivé de l’image ou du fichier exécutable utilisé pour définir le code et les données initiaux mappés dans l’espace d’adressage virtuel du processus. Exemple : C:\Windows\explorer.exe |
| Processus | Alias | Alias de ActingProcessName | |
| ActingProcessId | Facultatif | Chaîne | ID de processus (PID) du processus agissant. Exemple : 48610176 Remarque : Le type est défini en tant que chaîne pour la prise en charge de différents systèmes. Cependant, sur Windows et Linux cette valeur doit être numérique. Si vous utilisez un ordinateur Windows ou Linux et avez utilisé un type différent, assurez-vous de convertir les valeurs. Par exemple, si vous avez utilisé une valeur hexadécimale, convertissez-la en valeur décimale. |
| ActingProcessGuid | Facultatif | string | Identificateur unique (GUID) généré du processus agissant. Permet d’identifier le processus entre les systèmes. Exemple : EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Champs associés au système source
Les champs suivants représentent des informations sur le système qui lance l’activité de fichier, généralement en cas de transfert sur le réseau.
| Champ | Classe | Type | Description |
|---|---|---|---|
| SrcIpAddr | Recommandé | Adresse IP | Quand l’opération est lancée par un système distant, il s’agit de l’adresse IP de ce système. Exemple : 185.175.35.214 |
| IpAddr | Alias | Alias de SrcIpAddr | |
| Src | Alias | Alias de SrcIpAddr | |
| SrcPortNumber | Facultatif | Integer | Lorsque l’opération est lancée par un système distant, numéro du port à partir duquel la connexion a été établie. Exemple : 2335 |
| SrcHostname | Recommandé | Nom d’hôte | Nom d’hôte de l’appareil source, à l’exception des informations de domaine. Si aucun nom de périphérique n’est disponible, stockez l’adresse IP pertinente dans ce champ. Exemple : DESKTOP-1282V4D |
| SrcDomain | Recommandé | Chaîne | Domaine de l’appareil source. Exemple : Contoso |
| SrcDomainType | Logique conditionnelle | DomainType | Type de SrcDomain. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à DomainType dans l’article Vue d’ensemble du schéma. Obligatoire si SrcDomain est utilisé. |
| SrcFQDN | Facultatif | String | Nom d’hôte de l’appareil source, y compris les informations de domaine, le cas échéant. Remarque : ce champ prend en charge à la fois le format FQDN traditionnel et le format Windows domain\hostname. Le champ SrcDomainType reflète le format utilisé. Exemple : Contoso\DESKTOP-1282V4D |
| SrcDescription | Facultatif | String | Obtient le texte descriptif associé à l’appareil. Par exemple : Primary Domain Controller. |
| SrcDvcId | Facultatif | String | ID de l’appareil source. Si plusieurs ID sont disponibles, utilisez le plus important et stockez les autres dans les champs SrcDvc<DvcIdType>.Exemple : ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Facultatif | String | ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil source. SrcDvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcDvcScope | Facultatif | String | Étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcSubscription correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcDvcIdType | Logique conditionnelle | DvcIdType | Type de SrcDvcId. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à DvcIdType dans l’article Vue d’ensemble du schéma. Remarque: ce champ est obligatoire si le champ SrcDvcld est utilisé. |
| SrcDeviceType | Facultatif | DeviceType | Type de l’appareil source. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à DeviceType dans l’article Vue d’ensemble du schéma. |
| SrcSubscriptionId | Facultatif | String | ID d’abonnement à la plateforme cloud auquel appartient l’appareil source. DstSubscriptionId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcGeoCountry | Facultatif | Pays ou région | Pays associé à l’adresse IP source. Exemple : USA |
| SrcGeoRegion | Facultatif | Région | Région associée à l’adresse IP source. Exemple : Vermont |
| SrcGeoCity | Facultatif | City | Ville associée à l’adresse IP source. Exemple : Burlington |
| SrcGeoLatitude | Facultatif | Latitude | Latitude de la coordonnée géographique associée à l’adresse IP source. Exemple : 44.475833 |
| SrcGeoLongitude | Facultatif | Longitude | Longitude de la coordonnée géographique associée à l’adresse IP source. Exemple : 73.211944 |
Champs liés au réseau
Les champs suivants représentent des informations sur la session réseau quand l’activité de fichier a été exécutée sur le réseau.
| Champ | Classe | Type | Description |
|---|---|---|---|
| HttpUserAgent | Facultatif | Chaîne | Quand l’opération est lancée par un système distant avec le protocole HTTP ou HTTPS, l’agent utilisateur est utilisé. Par exemple : Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | Facultatif | Chaîne | Quand l’opération est lancée par un système distant, cette valeur est le protocole de la couche application utilisé dans le modèle OSI. Même si ce champ n’est pas énuméré et que toute valeur est acceptée, les valeurs préférables sont les suivantes : HTTP, HTTPS, SMB,FTP et SSHExemple : SMB |
Champs de l'application cible
Les champs suivants représentent des informations sur l’application de destination effectuant l’activité de fichier pour le compte de l’utilisateur. Une application de destination est généralement liée à l’activité de fichier sur le réseau, par exemple à l’aide d’applications Saas (Software as a Service).
| Champ | Classe | Type | Description |
|---|---|---|---|
| TargetAppName | Facultatif | String | Nom de l’application de destination. Exemple : Facebook |
| Application | Alias | Alias de TargetAppName. | |
| TargetAppId | Facultatif | String | L'identifiant de l'application de destination, tel que signalé par le dispositif de reporting. |
| TargetAppType | Facultatif | AppType | Type de l’application de destination. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à AppType dans l’article Vue d’ensemble du schéma. Ce champ est obligatoire si TargetAppName ou TargetAppId sont utilisés. |
| TargetUrl | Facultatif | Chaîne | Quand l’opération est lancée avec HTTP ou HTTPS, l’URL utilisée. Exemple : https://onedrive.live.com/?authkey=... |
| Url | Alias | Alias de TargetUrl |
Champs d’inspection
Les champs suivants sont utilisés pour représenter cette inspection effectuée par un système de sécurité tel qu’un système antivirus. Le thread identifié est généralement associé au fichier sur lequel l’activité a été effectuée plutôt qu’à l’activité elle-même.
| Champ | Classe | Type | Description |
|---|---|---|---|
| RuleName | Facultatif | String | Nom ou ID de la règle associée aux résultats de l’inspection. |
| RuleNumber | Facultatif | Integer | Numéro de la règle associée aux résultats de l’inspection. |
| Règle | Logique conditionnelle | String | Valeur de kRuleName ou valeur de RuleNumber. Si la valeur de RuleNumber est utilisée, le type doit être converti en chaîne. |
| ThreatId | Facultatif | String | ID de la menace ou du programme malveillant identifié dans l’activité de fichier. |
| ThreatName | Facultatif | String | Le nom de la menace ou du programme malveillant identifié dans l’activité de fichier. Exemple : EICAR Test File |
| ThreatCategory | Facultatif | String | Catégorie de la menace ou du programme malveillant identifié dans l’activité de fichier. Exemple : Trojan |
| ThreatRiskLevel | Facultatif | Integer | Niveau de risque associé à la menace identifiée. Le niveau doit être un nombre compris entre 0 et 100. Remarque : la valeur peut être fournie dans l’enregistrement source en utilisant une échelle différente, qui doit être normalisée à cette échelle. La valeur d’origine doit être stockée dans le champ ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Facultatif | String | Niveau de risque signalé par le périphérique de reporting. |
| ThreatFilePath | Facultatif | String | Chemin d’accès au fichier pour lequel une menace a été identifiée. Le champ ThreatField contient le nom du champ que ThreatIpAddr représente. |
| ThreatField | Facultatif | Énuméré | Champ pour lequel une menace a été identifiée. La valeur est soit SrcFilePath, soit DstFilePath. |
| ThreatConfidence | Facultatif | Integer | Niveau de confiance de la menace identifiée, normalisé à une valeur comprise entre 0 et 100. |
| ThreatOriginalConfidence | Facultatif | String | Niveau de confiance d’origine de la menace identifiée, comme indiqué par l’appareil de création de rapports. |
| ThreatIsActive | Facultatif | Booléen | True si la menace identifiée est considérée comme une menace active. |
| ThreatFirstReportedTime | Facultatif | DATETIME | Indique la première fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatLastReportedTime | Facultatif | DATETIME | La dernière fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
Structure du chemin
Le chemin doit être normalisée afin de correspondre à un des formats suivants. Le format dans lequel la valeur est normalisée est reflété dans le champ FilePathType respectif.
| Type | Exemple | Notes |
|---|---|---|
| Rattaché à Windows | C:\Windows\System32\notepad.exe |
Étant donné que les noms de chemin Windows ne respectent pas la casse, ce type implique que la valeur ne respecte pas la casse. |
| Partage Windows | \\Documents\My Shapes\Favorites.vssx |
Étant donné que les noms de chemin Windows ne respectent pas la casse, ce type implique que la valeur ne respecte pas la casse. |
| Unix | /etc/init.d/networking |
Étant donné que les noms de chemin UNIX respectent la casse, ce type implique que la valeur respecte la casse. - Utilisez ce type pour AWS S3. Concaténez les noms de compartiment et de clé pour créer le chemin. - Utilisez ce type pour les clés d’objet de stockage d’objets blob Azure. |
| URL | https://1drv.ms/p/s!Av04S_*********we |
Utilisez ce type quand le chemin du fichier est disponible en tant qu’URL. Les URL ne sont pas limitées à http ou https, et toute valeur, y compris une valeur FTP, est valide. |
Mises à jour du schéma
Voici les modifications apportées à la version 0.1.1 du schéma :
- Ajout du champ
EventSchema.
Voici les modifications apportées à la version 0.2 du schéma :
- Champs d’inspection.
- Ajout des champs
ActorScope,TargetUserScope,HashType,TargetAppName,TargetAppId,TargetAppType,SrcGeoCountry,SrcGeoRegion,SrcGeoLongitude,SrcGeoLatitude,ActorSessionId,DvcScopeIdetDvcScope. - Alias
Url,IpAddr, « FileName » etSrcajoutés.
Voici les changements apportés à la version 0.2.1 du schéma :
- Ajout de
Applicationen tant qu’alias deTargetAppName. - Ajout du champ
ActorScopeId - Ajout de champs liés à l’appareil source.
Étapes suivantes
Pour plus d'informations, consultez les pages suivantes :