Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Lo schema di normalizzazione degli eventi file viene usato per descrivere l'attività di file, ad esempio la creazione, la modifica o l'eliminazione di file o documenti. Tali eventi vengono segnalati da sistemi operativi, sistemi di archiviazione file come File di Azure e sistemi di gestione dei documenti, ad esempio Microsoft SharePoint.
Per altre informazioni sulla normalizzazione in Microsoft Sentinel, vedere Normalization and the Advanced Security Information Model (ASIM).
Parser
Distribuzione e uso di parser di attività file
Distribuire i parser attività file ASIM dal repository GitHub Microsoft Sentinel. Per eseguire query in tutte le origini attività file, usare il parser imFileEvent unificante come nome di tabella nella query.
Per altre informazioni sull'uso dei parser ASIM, vedere panoramica dei parser ASIM. Per l'elenco dei parser di attività dei file Microsoft Sentinel fornisce informazioni predefinite, vedere l'elenco dei parser ASIM
Aggiungere i propri parser normalizzati
Quando si implementano parser personalizzati per il modello di informazioni sugli eventi file, denominare le funzioni KQL usando la sintassi seguente: imFileEvent<vendor><Product.
Per informazioni su come aggiungere i parser personalizzati al parser unificante dell'attività file, vedere l'articolo Gestione dei parser ASIM .
Filtro dei parametri del parser
I parser eventi file supportano i parametri di filtro. Anche se questi parametri sono facoltativi, possono migliorare le prestazioni delle query.
Sono disponibili i parametri di filtro seguenti:
| Nome | Tipo | Descrizione |
|---|---|---|
| Starttime | datetime | Filtrare solo gli eventi di file che si sono verificati in corrispondenza o dopo questo periodo di tempo. Questo parametro filtra il TimeGenerated campo, ovvero l'indicatore standard per l'ora dell'evento, indipendentemente dal mapping specifico del parser dei campi EventStartTime e EventEndTime. |
| Endtime | datetime | Filtrare solo gli eventi di file che si sono verificati in corrispondenza o prima di questo momento. Questo parametro filtra il TimeGenerated campo, ovvero l'indicatore standard per l'ora dell'evento, indipendentemente dal mapping specifico del parser dei campi EventStartTime e EventEndTime. |
| eventtype_in | Dinamico | Filtrare solo gli eventi file in cui il tipo di evento è uno dei valori elencati, ad FileCreatedesempio , FileModified, FileDeleted, FileRenamedo FileCopied. |
| srcipaddr_has_any_prefix | Dinamico | Filtrare solo gli eventi di file in cui il prefisso dell'indirizzo IP di origine corrisponde a uno qualsiasi dei valori elencati. I prefissi devono terminare con un ., ad esempio: 10.0.. |
| actorusername_has_any | Dinamico | Filtrare solo gli eventi di file in cui il nome utente dell'attore ha uno dei valori elencati. |
| targetfilepath_has_any | Dinamico | Filtrare solo gli eventi di file in cui il percorso del file di destinazione ha uno dei valori elencati. |
| srcfilepath_has_any | Dinamico | Filtrare solo gli eventi di file in cui il percorso del file di origine ha uno dei valori elencati. |
| hashes_has_any | Dinamico | Filtrare solo gli eventi di file in cui l'hash del file corrisponde a uno qualsiasi dei valori elencati. |
| dvchostname_has_any | Dinamico | Filtrare solo gli eventi di file in cui il nome host del dispositivo ha uno dei valori elencati. |
Ad esempio, per filtrare solo gli eventi di creazione e modifica dei file dell'ultimo giorno, usare:
_Im_FileEvent (eventtype_in=dynamic(['FileCreated','FileModified']), starttime = ago(1d), endtime=now())
Contenuto normalizzato
Per un elenco completo delle regole di analisi che usano eventi normalizzati dell'attività file, vedere Contenuto di sicurezza dell'attività file.
Panoramica sullo schema
Il modello informativo Evento file è allineato allo schema dell'entità del processo OSSEM.
Lo schema evento file fa riferimento alle entità seguenti, che sono fondamentali per le attività dei file:
- Attore. L'utente che ha avviato l'attività del file
- ActingProcess. Processo usato dall'attore per avviare l'attività del file
- TargetFile. File in cui è stata eseguita l'operazione
- File di origine (SrcFile). Archivia le informazioni sui file prima dell'operazione.
La relazione tra queste entità è illustrata nel modo migliore: un attore esegue un'operazione di file usando un processo di azione, che modifica il file di origine in file di destinazione.
Ad esempio: JohnDoe (Attore) usa Windows File Explorer (processo di recitazione) per rinominare new.doc (file di origine) in old.doc (file di destinazione).
Dettagli dello schema
Campi comuni
Importante
I campi comuni a tutti gli schemi sono descritti in dettaglio nell'articolo Campi comuni di ASIM .
Campi con linee guida specifiche per lo schema di evento file
Nell'elenco seguente vengono indicati i campi con linee guida specifiche per gli eventi di attività file:
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Eventtype | Obbligatorio | Enumerato | Descrive l'operazione segnalata dal record. I valori supportati includono: - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| EventSubType | Facoltativo | Enumerato | Descrive i dettagli sull'operazione segnalata in EventType. I valori supportati per tipo di evento includono: - FileCreated
-
Upload, Checkin- FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed
-
Download, Preview, Checkout, Extended- FileDeleted
-
Recycled, Versions, Site |
| EventSchema | Obbligatorio | Enumerato | Il nome dello schema documentato qui è FileEvent. |
| EventSchemaVersion | Obbligatorio | SchemaVersion (String) | Versione dello schema. La versione dello schema documentata qui è 0.2.2 |
| Campi Dvc | - | - | Per Eventi attività file, i campi del dispositivo fanno riferimento al sistema in cui si è verificata l'attività file. |
Importante
Il EventSchema campo è attualmente facoltativo, ma diventerà obbligatorio il 1° settembre 2022.
Tutti i campi comuni
I campi visualizzati nella tabella sono comuni a tutti gli schemi ASIM. Una delle linee guida specifiche dello schema in questo documento sostituisce le linee guida generali per il campo. Ad esempio, un campo può essere facoltativo in generale, ma obbligatorio per uno schema specifico. Per altre informazioni su ogni campo, vedere l'articolo Campi comuni di ASIM .
| Classe | Campi |
|---|---|
| Obbligatorio |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Consigliata |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Facoltativo |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcO - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campi file di destinazione
I campi seguenti rappresentano informazioni sul file di destinazione in un'operazione di file. Se l'operazione coinvolge un singolo file, FileCreate ad esempio, è rappresentata dai campi del file di destinazione.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| TargetFileCreationTime | Facoltativo | Data/ora | Ora in cui è stato creato il file di destinazione. |
| TargetFileDirectory | Facoltativo | Stringa | Cartella o percorso del file di destinazione. Questo campo deve essere simile al campo TargetFilePath , senza l'elemento finale. Nota: un parser può fornire questo valore se il valore disponibile nell'origine log e non deve essere estratto dal percorso completo. |
| TargetFileExtension | Facoltativo | Stringa | Estensione del file di destinazione. Nota: un parser può fornire questo valore se il valore disponibile nell'origine log e non deve essere estratto dal percorso completo. |
| TargetFileMimeType | Facoltativo | Stringa | Tipo Mime o Media del file di destinazione. I valori consentiti sono elencati nel repository IANA Media Types.Allowed values are listed in the IANA Media Types repository. |
| TargetFileName | Consigliata | Stringa | Nome del file di destinazione, senza percorso o percorso, ma con un'estensione, se pertinente. Questo campo deve essere simile all'elemento finale nel campo TargetFilePath . |
| FileName | Alias | Alias per il campo TargetFileName . | |
| TargetFilePath | Obbligatorio | Stringa | Percorso completo normalizzato del file di destinazione, inclusi la cartella o il percorso, il nome del file e l'estensione. Per altre informazioni, vedere Struttura del percorso. Nota: se il record non include informazioni sulla cartella o sulla posizione, archiviare il nome file solo qui. Esempio: C:\Windows\System32\notepad.exe |
| TargetFilePathType | Obbligatorio | Enumerato | Tipo di TargetFilePath. Per altre informazioni, vedere Struttura del percorso. |
| Filepath | Alias | Alias per il campo TargetFilePath . | |
| TargetFileMD5 | Facoltativo | MD5 | Hash MD5 del file di destinazione. Esempio: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | Facoltativo | SHA1 | Hash SHA-1 del file di destinazione. Esempio: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | Facoltativo | SHA256 | Hash SHA-256 del file di destinazione. Esempio: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | Facoltativo | SHA512 | Hash SHA-512 del file di origine. |
| Hash | Alias | Alias per il miglior hash del file di destinazione disponibile. | |
| HashType | Condizionale | Enumerato | Il tipo di hash archiviato nel campo alias HASH, i valori consentiti sono MD5, SHA, SHA256SHA512 e IMPHASH. Obbligatorio se Hash viene popolato. |
| TargetFileSize | Facoltativo | Lungo | Dimensioni del file di destinazione in byte. |
Campi del file di origine
I campi seguenti rappresentano informazioni sul file di origine in un'operazione di file con un'origine e una destinazione, ad esempio copia. Se l'operazione riguarda un singolo file, è rappresentata dai campi del file di destinazione.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| SrcFileCreationTime | Facoltativo | Data/ora | Ora in cui è stato creato il file di origine. |
| SrcFileDirectory | Facoltativo | Stringa | Cartella o percorso del file di origine. Questo campo deve essere simile al campo SrcFilePath , senza l'elemento finale. Nota: un parser può fornire questo valore se il valore è disponibile nell'origine log e non deve essere estratto dal percorso completo. |
| SrcFileExtension | Facoltativo | Stringa | Estensione del file di origine. Nota: un parser può fornire questo valore, il valore è disponibile nell'origine log e non deve essere estratto dal percorso completo. |
| SrcFileMimeType | Facoltativo | Stringa | Tipo Mime o Media del file di origine. I valori supportati sono elencati nel repository IANA Media Types . |
| SrcFileName | Consigliata | Stringa | Nome del file di origine, senza un percorso o un percorso, ma con un'estensione, se pertinente. Questo campo deve essere simile all'ultimo elemento nel campo SrcFilePath . |
| SrcFilePath | Consigliata | Stringa | Percorso normalizzato completo del file di origine, inclusi la cartella o il percorso, il nome del file e l'estensione. Per altre informazioni, vedere Struttura del percorso. Esempio: /etc/init.d/networking |
| SrcFilePathType | Consigliata | Enumerato | Tipo di SrcFilePath. Per altre informazioni, vedere Struttura del percorso. |
| SrcFileMD5 | Facoltativo | MD5 | Hash MD5 del file di origine. Esempio: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | Facoltativo | SHA1 | Hash SHA-1 del file di origine. Esempio: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | Facoltativo | SHA256 | Hash SHA-256 del file di origine. Esempio: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | Facoltativo | SHA512 | Hash SHA-512 del file di origine. |
| SrcFileSize | Facoltativo | Lungo | Dimensioni del file di origine in byte. |
Campi dell'attore
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| ActorUserId | Consigliata | Stringa | Rappresentazione univoca, alfanumerica e leggibile dal computer dell'attore. Per il formato supportato per diversi tipi di ID, fare riferimento all'entità Utente. Esempio: S-1-12 |
| ActorScope | Facoltativo | Stringa | Ambito, ad esempio Microsoft Entra tenant, in cui sono definiti ActorUserId e ActorUsername. o altre informazioni e l'elenco dei valori consentiti, vedere UserScopenell'articolo Panoramica dello schema. |
| ActorScopeId | Facoltativo | Stringa | ID ambito, ad esempio Microsoft Entra ID directory, in cui sono definiti ActorUserId e ActorUsername. o altre informazioni e l'elenco dei valori consentiti, vedere UserScopeIdnell'articolo Panoramica dello schema. |
| ActorUserIdType | Condizionale | Enumerato | Tipo dell'ID archiviato nel campo ActorUserId . Per un elenco dei valori consentiti e altre informazioni, vedere UserIdTypenell'articolo Panoramica dello schema. |
| ActorUsername | Obbligatorio | Nome utente (stringa) | Nome utente dell'attore, incluse le informazioni sul dominio quando disponibile. Per il formato supportato per diversi tipi di ID, fare riferimento all'entità Utente. Usare il modulo semplice solo se le informazioni sul dominio non sono disponibili. Archiviare il tipo username nel campo ActorUsernameType . Se sono disponibili altri formati di nome utente, archiviarli nei campi ActorUsername<UsernameType>.Esempio: AlbertE |
| Utente | Alias | Alias per il campo ActorUsername . Esempio: CONTOSO\dadmin |
|
| ActorUsernameType | Condizionale | Enumerato | Specifica il tipo di nome utente archiviato nel campo ActorUsername . Per un elenco dei valori consentiti e altre informazioni, vedere UsernameTypenell'articolo Panoramica dello schema. Esempio: Windows |
| ActorSessionId | Facoltativo | Stringa | ID univoco della sessione di accesso dell'attore. Esempio: 999Nota: il tipo è definito come stringa per supportare sistemi diversi, ma in Windows questo valore deve essere numerico. Se si usa un computer Windows e si usa un tipo diverso, assicurarsi di convertire i valori. Ad esempio, se è stato usato un valore esadecimale, convertirlo in un valore decimale. |
| ActorUserType | Facoltativo | Usertype | Tipo di attore. Per un elenco dei valori consentiti e altre informazioni, vedere UserTypenell'articolo Panoramica dello schema. Nota: il valore può essere fornito nel record di origine usando termini diversi, che devono essere normalizzati in base a questi valori. Archiviare il valore originale nel campo ActorOriginalUserType . |
| ActorOriginalUserType | Facoltativo | Stringa | Tipo di utente di destinazione originale, se fornito dal dispositivo di report. |
Campi del processo di azione
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| ActingProcessCommandLine | Facoltativo | Stringa | Riga di comando utilizzata per eseguire il processo di esecuzione. Esempio: "choco.exe" -v |
| ActingProcessName | Facoltativo | stringa | Nome del processo di esecuzione. Questo nome è in genere derivato dall'immagine o dal file eseguibile usato per definire il codice iniziale e i dati mappati nello spazio indirizzi virtuale del processo. Esempio: C:\Windows\explorer.exe |
| Procedura | Alias | Alias per ActingProcessName | |
| ActingProcessId | Facoltativo | Stringa | ID processo (PID) del processo che agisce. Esempio: 48610176 Nota: il tipo è definito come stringa per supportare sistemi diversi, ma in Windows e Linux questo valore deve essere numerico. Se si usa un computer Windows o Linux e si usa un tipo diverso, assicurarsi di convertire i valori. Ad esempio, se è stato usato un valore esadecimale, convertirlo in un valore decimale. |
| ActingProcessGuid | Facoltativo | GUID (stringa) | Identificatore univoco generato (GUID) del processo di azione. Consente di identificare il processo tra i sistemi. Esempio: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Campi correlati al sistema di origine
I campi seguenti rappresentano informazioni sul sistema che avvia l'attività dei file, in genere quando viene trasferita in rete.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| SrcIpAddr | Consigliata | Indirizzo IP | Quando l'operazione viene avviata da un sistema remoto, l'indirizzo IP di questo sistema. Esempio: 185.175.35.214 |
| IpAddr | Alias | Alias per SrcIpAddr | |
| Src | Alias | Alias per SrcIpAddr | |
| SrcPortNumber | Facoltativo | Numero intero | Quando l'operazione viene avviata da un sistema remoto, il numero di porta da cui è stata avviata la connessione. Esempio: 2335 |
| SrcHostname | Facoltativo | Nome host (stringa) | Nome host del dispositivo di origine, escluse le informazioni sul dominio. Se non è disponibile alcun nome del dispositivo, archiviare l'indirizzo IP pertinente in questo campo. Esempio: DESKTOP-1282V4D |
| SrcDomain | Facoltativo | Dominio (stringa) | Dominio del dispositivo di origine. Esempio: Contoso |
| SrcDomainType | Condizionale | Domaintype | Tipo di SrcDomain. Per un elenco dei valori consentiti e altre informazioni, vedere DomainTypenell'articolo Panoramica dello schema. Obbligatorio se si usa SrcDomain . |
| SrcFQDN | Facoltativo | FQDN (String) | Nome host del dispositivo di origine, incluse le informazioni sul dominio quando disponibile. Nota: questo campo supporta sia il formato FQDN tradizionale che il formato dominio\nome host di Windows. Il campo SrcDomainType riflette il formato utilizzato. Esempio: Contoso\DESKTOP-1282V4D |
| SrcDescription | Facoltativo | Stringa | Testo descrittivo associato al dispositivo. Ad esempio: Primary Domain Controller. |
| SrcDvcId | Facoltativo | Stringa | ID del dispositivo di origine. Se sono disponibili più ID, usare quello più importante e archiviarne gli altri nei campi SrcDvc<DvcIdType>.Esempio: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Facoltativo | Stringa | ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. SrcDvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| SrcDvcScope | Facoltativo | Stringa | Ambito della piattaforma cloud a cui appartiene il dispositivo. SrcDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| SrcDvcIdType | Condizionale | DvcIdType | Tipo di SrcDvcId. Per un elenco dei valori consentiti e altre informazioni, vedere DvcIdTypenell'articolo Panoramica dello schema. Nota: questo campo è obbligatorio se si usa SrcDvcId . |
| SrcDeviceType | Facoltativo | Devicetype | Tipo del dispositivo di origine. Per un elenco dei valori consentiti e altre informazioni, vedere DeviceTypenell'articolo Panoramica dello schema. |
| SrcGeoCountry | Facoltativo | Paese | Paese/area geografica associato all'indirizzo IP di origine. Esempio: USA |
| SrcGeoRegion | Facoltativo | Area geografica | Area associata all'indirizzo IP di origine. Esempio: Vermont |
| SrcGeoCity | Facoltativo | Città | Città associata all'indirizzo IP di origine. Esempio: Burlington |
| SrcGeoLatitude | Facoltativo | Latitudine | La latitudine della coordinata geografica associata all'indirizzo IP di origine. Esempio: 44.475833 |
| SrcGeoLongitude | Facoltativo | Longitudine | Longitudine della coordinata geografica associata all'indirizzo IP di origine. Esempio: 73.211944 |
Campi dell'applicazione in azione
I campi seguenti rappresentano informazioni su un'applicazione locale che ha comunicato tramite una rete con un sistema remoto per eseguire l'attività dei file.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| ActingAppName | Facoltativo | Stringa | Nome dell'applicazione che agisce. Esempio: Facebook |
| ActingAppId | Facoltativo | Stringa | ID dell'applicazione che agisce, come segnalato dal dispositivo di segnalazione. |
| ActingAppType | Facoltativo | AppType | Tipo dell'applicazione di destinazione. Per un elenco dei valori consentiti e altre informazioni, vedere AppTypenell'articolo Panoramica dello schema. Questo campo è obbligatorio se si usa TargetAppName o TargetAppId . |
| HttpUserAgent | Facoltativo | Stringa | Quando l'operazione viene avviata da un sistema remoto tramite HTTP o HTTPS, viene usato l'agente utente. Ad esempio: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | Facoltativo | Stringa | Quando l'operazione viene avviata da un sistema remoto, questo valore è il protocollo a livello di applicazione usato nel modello OSI. Anche se questo campo non è enumerato e qualsiasi valore è accettato, i valori preferibili includono: HTTP, HTTPS, SMB, ,FTP e SSHEsempio: SMB |
Campi dell'applicazione di destinazione
I campi seguenti rappresentano informazioni sull'applicazione di destinazione che esegue l'attività file per conto dell'utente. Un'applicazione di destinazione è in genere correlata all'attività sui file di rete, ad esempio l'uso di applicazioni SaaS (Software as a service).
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| TargetAppName | Facoltativo | Stringa | Nome dell'applicazione di destinazione. Esempio: Facebook |
| Applicazione | Alias | Alias per TargetAppName. | |
| TargetAppId | Facoltativo | Stringa | ID dell'applicazione di destinazione, come segnalato dal dispositivo di report. |
| TargetAppType | Condizionale | AppType | Tipo dell'applicazione di destinazione. Per un elenco dei valori consentiti e altre informazioni, vedere AppTypenell'articolo Panoramica dello schema. Questo campo è obbligatorio se si usa TargetAppName o TargetAppId . |
| TargetOriginalAppType | Facoltativo | Stringa | Tipo dell'applicazione di destinazione come segnalato dal dispositivo di report. |
| TargetUrl | Facoltativo | URL (stringa) | Quando l'operazione viene avviata tramite HTTP o HTTPS, viene usato l'URL. Esempio: https://onedrive.live.com/?authkey=... |
| Url | Alias | Alias per TargetUrl |
Campi di ispezione
I campi seguenti vengono utilizzati per rappresentare l'ispezione eseguita da un sistema di sicurezza come un sistema antivirus. Il thread identificato è in genere associato al file in cui è stata eseguita l'attività anziché all'attività stessa.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Rulename | Facoltativo | Stringa | Nome o ID della regola associato ai risultati dell'ispezione. |
| RuleNumber | Facoltativo | Numero intero | Numero della regola associata ai risultati dell'ispezione. |
| Regola | Condizionale | Stringa | Valore di kRuleName o valore di RuleNumber. Se viene utilizzato il valore di RuleNumber , il tipo deve essere convertito in stringa. |
| ThreatId | Facoltativo | Stringa | ID della minaccia o del malware identificato nell'attività del file. |
| ThreatName | Facoltativo | Stringa | Nome della minaccia o del malware identificato nell'attività del file. Esempio: EICAR Test File |
| ThreatCategory | Facoltativo | Stringa | Categoria della minaccia o del malware identificato nell'attività del file. Esempio: Trojan |
| ThreatRiskLevel | Facoltativo | RiskLevel (Integer) | Livello di rischio associato alla minaccia identificata. Il livello deve essere un numero compreso tra 0 e 100. Nota: il valore può essere fornito nel record di origine usando una scala diversa, che deve essere normalizzata in base a questa scala. Il valore originale deve essere archiviato in ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Facoltativo | Stringa | Livello di rischio segnalato dal dispositivo di segnalazione. |
| ThreatFilePath | Facoltativo | Stringa | Percorso di file per il quale è stata identificata una minaccia. Il campo ThreatField contiene il nome del campo rappresentato da ThreatFilePath . |
| ThreatField | Condizionale | Enumerato | Campo per il quale è stata identificata una minaccia. Il valore è SrcFilePath o DstFilePath. |
| ThreatConfidence | Facoltativo | ConfidenceLevel (Integer) | Livello di attendibilità della minaccia identificata, normalizzata in un valore compreso tra 0 e 100. |
| ThreatOriginalConfidence | Facoltativo | Stringa | Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di segnalazione. |
| ThreatIsActive | Facoltativo | Booleano | True se la minaccia identificata è considerata una minaccia attiva. |
| ThreatFirstReportedTime | Facoltativo | datetime | La prima volta che l'indirizzo IP o il dominio è stato identificato come una minaccia. |
| ThreatLastReportedTime | Facoltativo | datetime | L'ultima volta che l'indirizzo IP o il dominio è stato identificato come una minaccia. |
Struttura del percorso
Il percorso deve essere normalizzato in modo che corrisponda a uno dei formati seguenti. Il formato in cui viene normalizzato il valore verrà riflesso nel rispettivo campo FilePathType .
| Tipo | Esempio | Note |
|---|---|---|
| Windows Local | C:\Windows\System32\notepad.exe |
Poiché i nomi dei percorsi di Windows non fanno distinzione tra maiuscole e minuscole, questo tipo implica che il valore non fa distinzione tra maiuscole e minuscole. |
| Condivisione di Windows | \\Documents\My Shapes\Favorites.vssx |
Poiché i nomi dei percorsi di Windows non fanno distinzione tra maiuscole e minuscole, questo tipo implica che il valore non fa distinzione tra maiuscole e minuscole. |
| Unix | /etc/init.d/networking |
Poiché i nomi di percorso Unix fanno distinzione tra maiuscole e minuscole, questo tipo implica che il valore fa distinzione tra maiuscole e minuscole. - Usare questo tipo per AWS S3. Concatenare il bucket e i nomi delle chiavi per creare il percorso. - Usare questo tipo per Azure chiavi dell'oggetto di archiviazione BLOB. |
| URL | https://1drv.ms/p/s!Av04S_*********we |
Usare quando il percorso del file è disponibile come URL. Gli URL non sono limitati a http o https e qualsiasi valore, incluso un valore FTP, è valido. |
Aggiornamenti dello schema
Di seguito sono riportate le modifiche apportate alla versione 0.1.1 dello schema:
- Aggiunta del campo
EventSchema.
Di seguito sono riportate le modifiche apportate alla versione 0.2 dello schema:
- Sono stati aggiunti campi di ispezione.
- Aggiunta dei campi
ActorScope, ,HashTypeTargetUserScope,TargetAppName,TargetAppId,TargetAppType,SrcGeoCountry,SrcGeoRegion, ,SrcGeoLongitude,SrcGeoLatitude,ActorSessionId, ,DvcScopeIdeDvcScope. - Sono stati aggiunti gli
Urlalias ,IpAddr, 'FileName' eSrc.
Di seguito sono riportate le modifiche apportate alla versione 0.2.1 dello schema:
- Aggiunta
Applicationcome alias aTargetAppName. - Aggiunta del campo
ActorScopeId - Aggiunta di campi correlati al dispositivo di origine.
Di seguito sono riportate le modifiche apportate alla versione 0.2.2 dello schema:
- Aggiunta del campo
TargetOriginalAppType - Sono stati aggiunti i campi
ActingAppIdActingAppNameeActingAppTypeche non sono disponibili nella tabellaASimFileEventLogs.
Passaggi successivi
Per ulteriori informazioni, vedere: