הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
סכימת הנורמלית של אירוע הקובץ משמשת לתיאור פעילות הקובץ, כגון יצירה, שינוי או מחיקה של קבצים או מסמכים. אירועים אלה מדווחים על-ידי מערכות הפעלה, מערכות אחסון קבצים כגון Azure Files ומערכות ניהול מסמכים כגון Microsoft SharePoint.
לקבלת מידע נוסף אודות נרמול ב- Microsoft Sentinel, ראה נרמול ומודל מידע אבטחה מתקדם (ASIM).
מנתחי מבנה טקסט
פריסה של מנתחי פעילות קבצים והשימוש בהם
פרוס את מנתחי פעילות הקבצים של ASIM Microsoft Sentinel GitHub. כדי לבצע שאילתה בכל מקורות פעילות הקבצים, השתמש במנתח האיחוד imFileEvent כשם הטבלה בשאילתה.
לקבלת מידע נוסף אודות שימוש במנתחי ASIM, עיין בסקירה של מנתחי ASIM. לקבלת הרשימה של מנתחי פעילות Microsoft Sentinel מספקת את רשימת מנתחי ASIM מחוץ לתיבה
הוספת מנתחים מנומולים משלך
בעת יישום מנתחים מותאמים אישית עבור מודל המידע של אירוע קובץ, תן שם לפונקציות KQL באמצעות התחביר הבא: imFileEvent<vendor><Product.
עיין במאמר ניהול מנתחי ASIM כדי ללמוד כיצד להוסיף את המנתחים המותאמים אישית שלך למנתח אחד של פעילות הקובץ.
סינון פרמטרים של מנתח
מנתחי אירוע הקובץ תומכים בפרמטרים של סינון. בעוד שפרמטרים אלה הם אופציונליים, הם יכולים לשפר את ביצועי השאילתה שלך.
הפרמטרים הבאים לסינון זמינים:
| Name | סוג | תיאור |
|---|---|---|
| זמן התחלה | Datetime | סנן רק אירועי קובץ שהתרחשו בשעה זו או לאחר מכן. פרמטר TimeGenerated זה מסנן בשדה, שהוא המציין הסטנדרטי עבור מועד האירוע, ללא קשר למיפוי הספציפי למנתח של השדות EventStartTime ו- EventEndTime. |
| שעת סיום | Datetime | סנן רק אירועי קובץ שהתרחשו בשעה זו או לפניה. פרמטר TimeGenerated זה מסנן בשדה, שהוא המציין הסטנדרטי עבור מועד האירוע, ללא קשר למיפוי הספציפי למנתח של השדות EventStartTime ו- EventEndTime. |
| eventtype_in | דינמי | סנן רק אירועי קובץ שבהם סוג האירוע הוא אחד מהערכים המפורטים, FileCreatedכגון , FileModified, FileDeleted, FileRenamedאו FileCopied. |
| srcipaddr_has_any_prefix | דינמי | סנן רק אירועי קובץ שבהם קידומת כתובת ה- IP המהווה מקור תואמת לכל אחד מהערכים המפורטים. קידומות צריכות להסתיים ב- ., לדוגמה: 10.0.. |
| actorusername_has_any | דינמי | סנן רק אירועי קובץ שבהם שם המשתמש של המעוות מכיל אחד מהערכים המפורטים. |
| targetfilepath_has_any | דינמי | סנן רק אירועי קובץ שבהם נתיב קובץ היעד כולל כל אחד מהערכים המפורטים. |
| srcfilepath_has_any | דינמי | סנן רק אירועי קובץ שבהם נתיב קובץ המקור כולל כל אחד מהערכים המפורטים. |
| hashes_has_any | דינמי | סנן רק אירועי קובץ שבהם קוד ה- Hash של הקובץ תואם לכל אחד מהערכים המפורטים. |
| dvchostname_has_any | דינמי | סנן רק אירועי קובץ שבהם שם המחשב המארח של המכשיר כולל את כל הערכים המפורטים. |
לדוגמה, כדי לסנן רק אירועי יצירה ושינוי של קבצים מיום האחרון, השתמש ב:
_Im_FileEvent (eventtype_in=dynamic(['FileCreated','FileModified']), starttime = ago(1d), endtime=now())
תוכן מנורמה
לקבלת רשימה מלאה של כללי ניתוח המשתמשים באירועי פעילות קבצים מנומולים, ראה תוכן אבטחה של פעילות קבצים.
מבט כולל על סכימה
מודל המידע של אירוע הקובץ מיושר אל סכימת הישות של תהליך OSSEM.
סכימת אירוע הקובץ מפנה לישויות הבאות, מרכזיות בפעילויות קבצים:
- שחקן . המשתמש שהפעיל את פעילות הקובץ
- פועלProcess. התהליך המשמש את המעוות ליזום את פעילות הקובץ
- TargetFile. הקובץ שבו בוצעה הפעולה
- קובץ מקור (SrcFile). מאחסן פרטי קובץ לפני הפעולה.
קשר הגומלין בין ישויות אלה מודגם בצורה הטובה ביותר באופן הבא: מעורר מבצע פעולת קובץ באמצעות תהליך פועל, אשר משנה את קובץ המקור לקובץ יעד.
לדוגמה: JohnDoe (מעורר) משתמש (Windows File Explorerתהליך פועל) כדי לשנות את new.doc שמו (קובץ מקור) ל- old.doc (קובץ יעד).
פרטי סכימה
שדות משותפים
חשוב
שדות המשותפים לכל הסכימות מתוארים בפירוט במאמר שדות משותפים של ASIM .
שדות עם קווים מנחים ספציפיים עבור סכימת אירוע הקובץ
הרשימה הבאה מציינת שדות הכוללים קווים מנחים ספציפיים עבור אירועי פעילות קבצים:
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| סוג אירוע | חובה | ספירה | מתאר את הפעולה שדווחה על-ידי הרשומה. הערכים הנתמכים כוללים: - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| סוג אירוע | אופציונלי | ספירה | מתאר פרטים אודות הפעולה שדווחה ב - EventType. הערכים הנתמכים לכל סוג אירוע כוללים: - FileCreated
-
Upload, Checkin- FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed
-
Download, Preview, Checkout, Extended- FileDeleted
-
Recycled, Versions, Site |
| מסת אירוע | חובה | ספירה | שם הסכימה התהמסמכים כאן הוא FileEvent. |
| לוח אירועים | חובה | SchemaVersion (מחרוזת) | גירסת הסכימה. גירסת הסכימה התהמסמכים כאן היא 0.2.2 |
| שדות Dvc | - | - | עבור אירועי פעילות קבצים, שדות מכשיר מתייחסים למערכת שבה התרחשה פעילות הקובץ. |
חשוב
השדה EventSchema הוא אופציונלי כעת, אך יהפוך להכרחי ב- 1 בספטמבר 2022.
כל השדות המשותפים
שדות המופיעים בטבלה משותפים לכל סכימות ASIM. כל אחת מהקווים המנחים הספציפיים של הסכימה במסמך זה עוקפת את הקווים המנחים הכלליים עבור השדה. לדוגמה, שדה עשוי להיות אופציונלי באופן כללי, אך הכרחי עבור סכימה ספציפית. לקבלת מידע נוסף על כל שדה, עיין במאמר שדות משותפים של ASIM .
| מחלקה | שדות |
|---|---|
| חובה |
-
מספר אירועים - EventStartTime - EventEndTime - סוג אירוע - EventResult - EventProduct - אירועים ודור - מסת אירוע - לוח אירועים - Dvc (Dvc) |
| מומלץ |
-
EventResultDetails - תם האירוע - EventUid - DvcIpAddr - DvcHostname - DvcDomain - סוג DvcDomain - DvcFQDN - מזהה DvcId - סוג DvcId - DvcAction |
| אופציונלי |
-
הודעת אירוע - סוג אירוע - EventOriginalUid - סוג אירועאוריגינאלי - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - לוח אירועים - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - שדות נוספים - DvcDescription - DvcScopeId - DvcScope |
שדות קובץ יעד
השדות הבאים מייצגים מידע אודות קובץ היעד בפעולה של קובץ. אם הפעולה כרוכה בקובץ יחיד, FileCreate לדוגמה, היא מיוצגת על-ידי שדות קובץ היעד.
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| TargetFileCreationTime | אופציונלי | תאריך/שעה | השעה שבה נוצר קובץ היעד. |
| TargetFileDirectory | אופציונלי | מחרוזת | התיקיה או המיקום של קובץ היעד. שדה זה אמור להיות דומה לשדה TargetFilePath , ללא הרכיב הסופי. הערה: מנתח יכול לספק ערך זה אם הערך הזמין במקור יומן הרישום ולא צריך לחלץ אותו מהנתיב המלא. |
| TargetFileExtension | אופציונלי | מחרוזת | סיומת קובץ היעד. הערה: מנתח יכול לספק ערך זה אם הערך הזמין במקור יומן הרישום ולא צריך לחלץ אותו מהנתיב המלא. |
| TargetFileMimeType | אופציונלי | מחרוזת | ה- Mime, או המדיה, הקלד את קובץ היעד. ערכים מותרים מפורטים במאגר סוגי מדיה של IANA. |
| שם קובץ יעד | מומלץ | מחרוזת | שם קובץ היעד, ללא נתיב או מיקום, אך עם סיומת אם רלוונטית. שדה זה אמור להיות דומה לרכיב הסופי בשדה TargetFilePath . |
| Filename | כינוי | Alias to the TargetFileName field. | |
| TargetFilePath | חובה | מחרוזת | הנתיב המלא והמנורמה של קובץ היעד, כולל התיקיה או המיקום, שם הקובץ והסיומת. לקבלת מידע נוסף, ראה מבנה הנתיב. הערה: אם הרשומה אינה כוללת פרטי תיקיה או מיקום, אחסן את שם הקובץ רק כאן. דוגמה C:\Windows\System32\notepad.exe |
| TargetFilePathType | חובה | ספירה | הסוג של TargetFilePath. לקבלת מידע נוסף, ראה מבנה הנתיב. |
| קובץPath | כינוי | כינוי לשדה TargetFilePath . | |
| TargetFileMD5 | אופציונלי | MD5 | קוד ה- Hash של MD5 של קובץ היעד. דוגמה 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | אופציונלי | שער 1 | קוד ה- Hash של SHA-1 של קובץ היעד. דוגמה: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | אופציונלי | עדי תם | קוד ה- Hash של SHA-256 של קובץ היעד. דוגמה: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | אופציונלי | עדי תם | קוד ה- Hash של SHA-512 של קובץ המקור. |
| Hash | כינוי | כינוי ל- Hash הטוב ביותר הזמין עבור קובץ היעד. | |
| סוג Hash | מותנה | ספירה | סוג קוד ה- Hash המאוחסן בשדה כינוי HASH, הערכים המותרים הם MD5, SHA, ו SHA512SHA256- IMPHASH. הכרחי אם Hash מאוכלס. |
| TargetFileSize | אופציונלי | זמן | גודל קובץ היעד בבתים. |
שדות קובץ מקור
השדות הבאים מייצגים מידע אודות קובץ המקור בפעולה של קובץ הכוללת הן מקור והן יעד, כגון עותק. אם הפעולה כרוכה בקובץ יחיד, היא מיוצגת על-ידי שדות קובץ היעד.
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| SrcFileCreationTime | אופציונלי | תאריך/שעה | השעה שבה נוצר קובץ המקור. |
| SrcFileDirectory | אופציונלי | מחרוזת | התיקיה או המיקום של קובץ המקור. שדה זה אמור להיות דומה לשדה SrcFilePath , ללא הרכיב הסופי. הערה: מנתח יכול לספק ערך זה אם הערך זמין במקור יומן הרישום, ולא צריך לחלץ אותו מהנתיב המלא. |
| SrcFileExtension | אופציונלי | מחרוזת | סיומת קובץ המקור. הערה: מנתח יכול לספק ערך זה, הערך זמין במקור יומן הרישום, ולא צריך לחלץ אותו מהנתיב המלא. |
| SrcFileMimeType | אופציונלי | מחרוזת | סוג ה- Mime או המדיה של קובץ המקור. ערכים נתמכים מפורטים במאגר IANA Media Types . |
| SrcFileName | מומלץ | מחרוזת | שם קובץ המקור, ללא נתיב או מיקום, אך עם סיומת, אם רלוונטית. שדה זה אמור להיות דומה לרכיב האחרון בשדה SrcFilePath . |
| SrcFilePath | מומלץ | מחרוזת | הנתיב המלא והמנורמה של קובץ המקור, כולל התיקיה או המיקום, שם הקובץ והסיומת. לקבלת מידע נוסף, ראה מבנה הנתיב. דוגמה /etc/init.d/networking |
| SrcFilePathType | מומלץ | ספירה | הסוג של SrcFilePath. לקבלת מידע נוסף, ראה מבנה הנתיב. |
| SrcFileMD5 | אופציונלי | MD5 | קוד ה- Hash של MD5 של קובץ המקור. דוגמה 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | אופציונלי | שער 1 | קוד ה- Hash של SHA-1 של קובץ המקור. דוגמה: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | אופציונלי | עדי תם | קוד ה- Hash של SHA-256 של קובץ המקור. דוגמה: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | אופציונלי | עדי תם | קוד ה- Hash של SHA-512 של קובץ המקור. |
| SrcFileSize | אופציונלי | זמן | גודל קובץ המקור בבתים. |
שדות 'מעורר'
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| ActorUserId | מומלץ | מחרוזת | ייצוג אלפאנומרי ייחודי קריא של מכונה של המעוין. עבור התבנית הנתמכת עבור סוגי מזהים שונים, עיין בישות המשתמש. דוגמה S-1-12 |
| סקופ מעורר | אופציונלי | מחרוזת | הטווח, כגון דייר Microsoft Entra, שבו הוגדרו ActorUserIdו- ActorUsername. או מידע נוסף ורשימה של ערכים מותרים, ראה UserScope במאמר מבט כולל על הסכימה. |
| ActorScopeId | אופציונלי | מחרוזת | מזהה הטווח, כגון מזהה Microsoft Entra, שבו הוגדרו ActorUserIdו- ActorUsername. או מידע נוסף ורשימה של ערכים מותרים, ראה UserScopeId במאמר מבט כולל על הסכימה. |
| ActorUserIdType | מותנה | ספירה | סוג המזהה המאוחסן בשדה ActorUserId . לקבלת רשימה של ערכים מותרים ומידע נוסף, עיין במאמר UserIdType במאמר סקירת סכימה. |
| שם משתמש של שחקן | חובה | שם משתמש (מחרוזת) | שם המשתמש של המעוות, כולל פרטי תחום כאשר הוא זמין. עבור התבנית הנתמכת עבור סוגי מזהים שונים, עיין בישות המשתמש. השתמש בטופס הפשוט רק אם פרטי תחום אינם זמינים. אחסן את סוג שם המשתמש בשדה ActorUsernameType . אם תבניות שם משתמש אחרות זמינות, אחסן אותן בשדות ActorUsername<UsernameType>.דוגמה AlbertE |
| משתמש | כינוי | כינוי לשדה ActorUsername . דוגמה CONTOSO\dadmin |
|
| ActorUsernameType | מותנה | ספירה | מציין את סוג שם המשתמש המאוחסן בשדה ActorUsername . לקבלת רשימה של ערכים מותרים ומידע נוסף, עיין במאמר UsernameType במאמר מבט כולל על סכימה. דוגמה Windows |
| ActorSessionId | אופציונלי | מחרוזת | המזהה הייחודי של הפעלת הכניסה של המעויר. דוגמה 999הערה: הסוג מוגדר כמחרוזת לתמיכה במערכות משתנות, אך ב- Windows ערך זה חייב להיות מספרי. אם אתה משתמש במחשב Windows והשתמשת בסוג אחר, הקפד להמיר את הערכים. לדוגמה, אם השתמשת בערך הקסדצימאלי, המר אותו לערך עשרוני. |
| ActorUserType | אופציונלי | סוג משתמש | סוג המעומעון. לקבלת רשימה של ערכים מותרים ומידע נוסף, עיין במאמר UserType במאמר סקירת סכימה. הערה: ייתכן שהערך יצוין ברשומת המקור באמצעות מונחים שונים, שיש לנוירמול לערכים אלה. אחסן את הערך המקורי בשדה ActorOriginalUserType . |
| ActorOriginalUserType | אופציונלי | מחרוזת | סוג המשתמש המשמש כיעד המקורי, אם סופק על-ידי התקן הדיווח. |
שדות תהליך פועל
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| ActingProcessCommandLine | אופציונלי | מחרוזת | שורת הפקודה המשמשת להפעלת התהליך הפועל. דוגמה "choco.exe" -v |
| ActingProcessName | אופציונלי | מחרוזת | שם התהליך בפועל. שם זה נגזר בדרך כלל מהתמונה או מקובץ ההפעלה המשמש להגדרת הקוד הראשוני והנתונים הממופים אל שטח הכתובות הווירטואלי של התהליך. דוגמה C:\Windows\explorer.exe |
| תהליך | כינוי | כינוי ל- ActingProcessName | |
| ActingProcessId | אופציונלי | מחרוזת | מזהה התהליך (PID) של התהליך הפועל. דוגמה 48610176 הערה: הסוג מוגדר כמחרוזת לתמיכה במערכות משתנות, אך ב- Windows Linux ערך זה חייב להיות מספרי. אם אתה משתמש במחשב Windows או Linux והשתמשו בסוג אחר, הקפד להמיר את הערכים. לדוגמה, אם השתמשת בערך הקסדצימאלי, המר אותו לערך עשרוני. |
| פועלProcessGuid | אופציונלי | GUID (מחרוזת) | מזהה ייחודי (GUID) שנוצר של התהליך הפועל. מאפשר זיהוי התהליך במערכות שונות. דוגמה EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
שדות הקשורים למערכת המקור
השדות הבאים מייצגים מידע אודות המערכת שפעילה את פעילות הקובץ, בדרך כלל בעת ביצועה ברשת.
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| SrcIpAddr | מומלץ | כתובת IP | כאשר הפעולה מופעלת על-ידי מערכת מרוחקת, כתובת ה- IP של מערכת זו. דוגמה 185.175.35.214 |
| IpAddr | כינוי | כינוי ל - SrcIpAddr | |
| Src | כינוי | כינוי ל - SrcIpAddr | |
| SrcPortNumber | אופציונלי | מספר שלם | כאשר הפעולה מופעלת על-ידי מערכת מרוחקת, מספר היציאה שממנה הופעל החיבור. דוגמה 2335 |
| שם SrcHost | אופציונלי | שם מחשב מארח (מחרוזת) | שם המחשב המארח של התקן המקור, לא כולל פרטי תחום. אם אין שם מכשיר זמין, אחסן את כתובת ה- IP הרלוונטית בשדה זה. דוגמה DESKTOP-1282V4D |
| SrcDomain | אופציונלי | תחום (מחרוזת) | התחום של התקן המקור. דוגמה Contoso |
| SrcDomainType | מותנה | סוג תחום | סוג SrcDomain. לקבלת רשימה של ערכים מותרים ומידע נוסף, עיין במאמר DomainType במאמר סקירת סכימה. נדרש אם SrcDomain נמצא בשימוש. |
| SrcFQDN | אופציונלי | FQDN (מחרוזת) | שם המחשב המארח של התקן המקור, כולל פרטי תחום כאשר הוא זמין. הערה: שדה זה תומך הן בתבנית FQDN מסורתית והן בתבנית Windows domain\hostname. השדה SrcDomainType משקף את התבנית שבה נעשה שימוש. דוגמה Contoso\DESKTOP-1282V4D |
| SrcDescription | אופציונלי | מחרוזת | טקסט תיאורי המשויך למכשיר. לדוגמה: Primary Domain Controller. |
| SrcDvcId | אופציונלי | מחרוזת | המזהה של התקן המקור. אם קיימים מספר זהים זמינים, השתמש במקש החשוב ביותר ולאחסן את הפריטים האחרים בשדות SrcDvc<DvcIdType>.דוגמה ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | אופציונלי | מחרוזת | מזהה הטווח של פלטפורמת הענן שהמכשיר שייך אליו. SrcDvcScopeId ממופה למזהה מנוי ב- Azure ומזהה חשבון ב- AWS. |
| SrcDvcScope | אופציונלי | מחרוזת | היקף פלטפורמת הענן שהמכשיר שייך אליו. SrcDvcScope ממופה למזהה מנוי ב- Azure ומזהה חשבון ב- AWS. |
| SrcDvcIdType | מותנה | סוג DvcId | הסוג של SrcDvcId. לקבלת רשימה של ערכים מותרים ומידע נוסף, עיין במאמר DvcIdType במאמר סקירת סכימה. הערה: שדה זה נדרש אם SrcDvcId נמצא בשימוש. |
| SrcDeviceType | אופציונלי | סוג התקן | סוג התקן המקור. לקבלת רשימה של ערכים מותרים ומידע נוסף, עיין במאמר DeviceType במאמר סקירת סכימה. |
| SrcGeoCountry | אופציונלי | המדינה | המדינה/אזור המשויכים לכתובת ה- IP של המקור. דוגמה USA |
| SrcGeoRegion | אופציונלי | אזור | האזור המשויך לכתובת ה- IP של המקור. דוגמה Vermont |
| SrcGeoCity | אופציונלי | עיר | העיר המשויכת לכתובת ה- IP של המקור. דוגמה Burlington |
| הכרת תודה | אופציונלי | Latitude | קו הרוחב של הקואורדינטות הגיאוגרפיות המשויכות לכתובת ה- IP של המקור. דוגמה 44.475833 |
| SrcGeoLongitude | אופציונלי | קו אורך | קו האורך של הקואורדינטה הגיאוגרפית המשויכת לכתובת ה- IP של המקור. דוגמה 73.211944 |
שדות יישום פועל
השדות הבאים מייצגים מידע אודות יישום מקומי שנוהגים ברשת באמצעות מערכת מרוחקת כדי לבצע את פעילות הקובץ.
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| שם בפועל | אופציונלי | מחרוזת | שם האפליקציה הפועלת. דוגמה Facebook |
| מזהה יישום בפועל | אופציונלי | מחרוזת | המזהה של האפליקציה הפועלת, כפי שדווח על-ידי התקן הדיווח. |
| סוג יישום בפועל | אופציונלי | סוג יישום | סוג יישום היעד. לקבלת רשימה של ערכים מותרים ומידע נוסף, עיין במאמר AppType במאמר סקירת סכימה. שדה זה הכרחי אם נעשה שימוש ב- TargetAppNameאו ב- TargetAppId . |
| HttpUserAgent | אופציונלי | מחרוזת | כאשר הפעולה מופעלת על-ידי מערכת מרוחקת באמצעות HTTP או HTTPS, סוכן המשתמש שבו נעשה שימוש. לדוגמה: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | אופציונלי | מחרוזת | כאשר הפעולה מופעלת על-ידי מערכת מרוחקת, ערך זה הוא פרוטוקול שכבת היישום המשמש במודל OSI. למרות ששדות אלה אינם ספורים, וכל ערך מתקבל, עדיף שהערכים כוללים: HTTP, HTTPS, SMB,FTP, SSHדוגמה SMB |
שדות יישום יעד
השדות הבאים מייצגים מידע אודות יישום היעד שמבצע את פעילות הקובץ בשמו של המשתמש. יישום יעד קשור בדרך כלל לפעילות קבצים ברשת, לדוגמה באמצעות יישומי SaaS (תוכנה כשירות).
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| TargetAppName | אופציונלי | מחרוזת | שם יישום היעד. דוגמה Facebook |
| יישום | כינוי | כינוי ל - TargetAppName. | |
| מזהה יעד | אופציונלי | מחרוזת | המזהה של יישום היעד, כפי שדווח על-ידי התקן הדיווח. |
| סוג יעד | מותנה | סוג יישום | סוג יישום היעד. לקבלת רשימה של ערכים מותרים ומידע נוסף, עיין במאמר AppType במאמר סקירת סכימה. שדה זה הכרחי אם נעשה שימוש ב- TargetAppNameאו ב- TargetAppId . |
| TargetOriginalAppType | אופציונלי | מחרוזת | סוג יישום היעד כפי שדווח על-ידי התקן הדיווח. |
| יעדUrl | אופציונלי | כתובת URL (מחרוזת) | כאשר הפעולה מופעלת באמצעות HTTP או HTTPS, נעשה שימוש בכתובת ה- URL. דוגמה https://onedrive.live.com/?authkey=... |
| כתובת url | כינוי | Alias to TargetUrl |
שדות בדיקה
השדות הבאים משמשים כדי לייצג בדיקה זו שבוצעה על-ידי מערכת אבטחה כגון מערכת אנטי-וירוס. הליך המשנה המזוהה משויך בדרך כלל לקובץ שבו בוצעה הפעילות במקום הפעילות עצמה.
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| שם כלל | אופציונלי | מחרוזת | השם או המזהה של הכלל על-ידי משויך לתוצאות הבדיקה. |
| מספר כלל | אופציונלי | מספר שלם | מספר הכלל המשויך לתוצאות הבדיקה. |
| כלל | מותנה | מחרוזת | הערך של kRuleName או הערך של RuleNumber. אם נעשה שימוש בערך RuleNumber , יש להמיר את הסוג למחרוזת. |
| מזהה איום | אופציונלי | מחרוזת | המזהה של האיום או התוכנות הזדוניות המזוהות בפעילות הקובץ. |
| שם איום | אופציונלי | מחרוזת | שם האיום או התוכנות הזדוניות המזוהות בפעילות הקובץ. דוגמה EICAR Test File |
| קטגוריית איום | אופציונלי | מחרוזת | קטגוריית האיום או התוכנות הזדוניות המזוהות בפעילות הקובץ. דוגמה Trojan |
| ThreatRiskLevel | אופציונלי | RiskLevel (מספר שלם) | רמת הסיכון המשויכת לאיום המזוהה. הרמה צריכה להיות מספר בין 0 ל - 100. הערה: הערך עשוי להיות מסופק ברשומת המקור באמצעות קנה מידה אחר, שיש לנוירמול לקנה מידה זה. יש לאחסן את הערך המקורי ב - ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | אופציונלי | מחרוזת | רמת הסיכון כפי שדווח על-ידי התקן הדיווח. |
| ThreatFilePath | אופציונלי | מחרוזת | נתיב קובץ שעבורו זוהה איום. השדה ThreatField מכיל את שם השדה ThreatFilePath מייצג. |
| ThreatField | מותנה | ספירה | השדה שעבורו זוהה איום. הערך הוא או SrcFilePathDstFilePath. |
| ThreatConfidence | אופציונלי | ConfidenceLevel (מספר שלם) | רמת הביטחון של האיום שזוהה, מנורמה לערך בין 0 ל- 100. |
| ThreatOriginalConfidence | אופציונלי | מחרוזת | רמת הביטחון המקורית של האיום שזוהה, כפי שדווח על-ידי התקן הדיווח. |
| איומיםאקטיביים | אופציונלי | בוליאני | נכון אם האיום שזוהה נחשב לאיום פעיל. |
| ThreatFirstReportedTime | אופציונלי | Datetime | בפעם הראשונה שבה כתובת ה- IP או התחום זוהו כאיום. |
| ThreatLastReportedTime | אופציונלי | Datetime | הפעם האחרונה שבה כתובת ה- IP או התחום זוהו כאיום. |
מבנה נתיב
יש לנוירמול את הנתיב כך שיתאים לאחת מהתבניות הבאות. התבנית שהערך מנורמה עבורה ישתקפו בשדה FilePathType המתאים .
| סוג | דוגמה | הערות |
|---|---|---|
| Windows Local | C:\Windows\System32\notepad.exe |
מאחר ושמות נתיבים של Windows אינם תלויי רישיות, סוג זה מציין שהערך אינו תלוי רישיות. |
| שיתוף Windows | \\Documents\My Shapes\Favorites.vssx |
מאחר ושמות נתיבים של Windows אינם תלויי רישיות, סוג זה מציין שהערך אינו תלוי רישיות. |
| Unix | /etc/init.d/networking |
מאחר ושמות נתיבי Unix הם תלויי רישיות, סוג זה מציין שהערך הוא תלוי רישיות. - השתמש בסוג זה עבור AWS S3. שרשר את מיכל ושמות המקשים כדי ליצור את הנתיב. - השתמש בסוג זה עבור Azure אובייקטים של Blob. |
| כתובת url | https://1drv.ms/p/s!Av04S_*********we |
השתמש כאשר נתיב הקובץ זמין ככתובת URL. כתובות URL אינן מוגבלות ל- http או ל- https, וכל ערך, כולל ערך FTP, חוקי. |
עדכוני סכימה
אלה הם השינויים בגירסה 0.1.1 של הסכימה:
- נוסף השדה
EventSchema.
אלה הם השינויים בגירסה 0.2 של הסכימה:
- שדות בדיקה נוספו.
- הוספת את השדות
ActorScope,TargetUserScope,HashType,TargetAppName,TargetAppId,TargetAppType,SrcGeoRegionSrcGeoCountry,SrcGeoLongitude,SrcGeoLatitude,ActorSessionId,DvcScopeIdו-DvcScope.. - נוספו הכינויים
Url,IpAddr, 'FileName' ו-Src.
אלה הם השינויים בגירסה 0.2.1 של הסכימה:
- נוסף
Applicationככינוי ל-TargetAppName. - הוספת השדה
ActorScopeId - נוספו שדות קשורים של התקן מקור.
אלה הם השינויים בגירסה 0.2.2 של הסכימה:
- הוספת השדה
TargetOriginalAppType - הוספת את השדות
ActingAppIdActingAppNameActingAppType, שאינם זמינים בטבלה.ASimFileEventLogs
השלבים הבאים
לקבלת מידע נוסף, ראה: