ファイル イベント正規化スキーマは、ファイルまたはドキュメントの作成、変更、削除などのファイル アクティビティを記述するために使用されます。 このようなイベントは、オペレーティング システム、Azure Filesなどのファイル ストレージ システム、Microsoft SharePoint などのドキュメント管理システムによって報告されます。
Microsoft Sentinelでの正規化の詳細については、「正規化と高度なセキュリティ情報モデル (ASIM)」を参照してください。
パーサー
ファイル アクティビティ パーサーのデプロイと使用
Microsoft Sentinel GitHub リポジトリから ASIM ファイル アクティビティ パーサーをデプロイします。 すべてのファイル アクティビティ ソースでクエリを実行するには、クエリのテーブル名として統合パーサー imFileEvent を使用します。
ASIM パーサーの使用の詳細については、 ASIM パーサーの概要に関するページを参照してください。 すぐに使用できるファイル アクティビティ パーサー Microsoft Sentinel一覧については、ASIM パーサーの一覧を参照してください。
独自の正規化されたパーサーを追加する
ファイル イベント情報モデルにカスタム パーサーを実装する場合は、次の構文を使用して KQL 関数に名前を付けます: imFileEvent<vendor><Product。
カスタム パーサーをファイル アクティビティ統合パーサーに追加する方法については、 ASIM パーサーの管理 に関する記事を参照してください。
パーサー パラメーターのフィルター処理
ファイル イベント パーサーでは、 フィルター パラメーターがサポートされています。 これらのパラメーターは省略可能ですが、クエリのパフォーマンスを向上させることができます。
次のフィルター パラメーターを使用できます。
| 名前 | 型 | 説明 |
|---|---|---|
| starttime | 日付型 | この時刻以降に発生したファイル イベントのみをフィルター処理します。 このパラメーターは、EventStartTime フィールドと EventEndTime フィールドのパーサー固有のマッピングに関係なく、イベントの時刻の標準指定子である TimeGenerated フィールドでフィルター処理します。 |
| endtime | 日付型 | この時刻以前に発生したファイル イベントのみをフィルター処理します。 このパラメーターは、EventStartTime フィールドと EventEndTime フィールドのパーサー固有のマッピングに関係なく、イベントの時刻の標準指定子である TimeGenerated フィールドでフィルター処理します。 |
| eventtype_in | 動的 |
FileCreated、FileModified、FileDeleted、FileRenamed、FileCopiedなど、イベントの種類がいずれかの値であるファイル イベントのみをフィルター処理します。 |
| srcipaddr_has_any_prefix | 動的 | ソース IP アドレス プレフィックスが一覧表示されている値のいずれかと一致するファイル イベントのみをフィルター処理します。 プレフィックスは、 .で終わる必要があります (例: 10.0.)。 |
| actorusername_has_any | 動的 | アクター ユーザー名に一覧表示されている値が含まれるファイル イベントのみをフィルター処理します。 |
| targetfilepath_has_any | 動的 | ターゲット ファイル パスに一覧表示されている値があるファイル イベントのみをフィルター処理します。 |
| srcfilepath_has_any | 動的 | ソース ファイル パスに一覧表示されている値があるファイル イベントのみをフィルター処理します。 |
| hashes_has_any | 動的 | ファイル ハッシュが一覧表示されている値のいずれかと一致するファイル イベントのみをフィルター処理します。 |
| dvchostname_has_any | 動的 | デバイス ホスト名に一覧表示されている値が含まれるファイル イベントのみをフィルター処理します。 |
たとえば、最後の日のファイル作成イベントと変更イベントのみをフィルター処理するには、次を使用します。
_Im_FileEvent (eventtype_in=dynamic(['FileCreated','FileModified']), starttime = ago(1d), endtime=now())
正規化されたコンテンツ
正規化されたファイル アクティビティ イベントを使用する分析ルールの完全な一覧については、「 ファイル アクティビティのセキュリティ コンテンツ」を参照してください。
スキーマの概要
ファイル イベント情報モデルは、 OSSEM Process エンティティ スキーマに合わせて調整されます。
ファイル イベント スキーマは、ファイル アクティビティの中心となる次のエンティティを参照します。
- アクター。 ファイル アクティビティを開始したユーザー
- ActingProcess。 アクターがファイル アクティビティを開始するために使用するプロセス
- TargetFile。 操作が実行されたファイル
- ソース ファイル (SrcFile)。 操作の前にファイル情報を格納します。
これらのエンティティ間の関係は、 次 のように示すのが最適です。アクターは 、処理プロセスを使用してファイル操作を実行し、 ソース ファイル を ターゲット ファイルに変更します。
たとえば、 JohnDoe (アクター) では、 Windows File Explorer (処理プロセス) を使用して、 new.doc (ソース ファイル) の名前を old.doc (ターゲット ファイル) に変更します。
スキーマの詳細
共通フィールド
重要
すべてのスキーマに共通のフィールドについては、 ASIM 共通フィールド に関する記事を参照してください。
ファイル イベント スキーマの特定のガイドラインを持つフィールド
次の一覧では、ファイル アクティビティ イベントに関する特定のガイドラインがあるフィールドについて説明します。
| Field | クラス | 型 | 説明 |
|---|---|---|---|
| Eventtype | 必須 | 列挙 | レコードによって報告される操作について説明します。 サポートされている値は、次のとおりです。 - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| EventSubType | 省略可能 | 列挙 |
EventType で報告される操作の詳細について説明します。 イベントの種類ごとにサポートされる値は次のとおりです。 - FileCreated
-
Upload, Checkin- FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed
-
Download, Preview, Checkout, Extended- FileDeleted
-
Recycled, Versions, Site |
| EventSchema | 必須 | 列挙 | ここに記載されているスキーマの名前は FileEvent です。 |
| EventSchemaVersion | 必須 | SchemaVersion (String) | スキーマのバージョン。 ここに記載されているスキーマのバージョンは次のとおりです。 0.2.2 |
| Dvc フィールド | - | - | ファイル アクティビティ イベントの場合、デバイス フィールドは、ファイル アクティビティが発生したシステムを参照します。 |
重要
EventSchema フィールドは現在省略可能ですが、2022 年 9 月 1 日に必須になります。
すべての共通フィールド
テーブルに表示されるフィールドは、すべての ASIM スキーマに共通です。 このドキュメントのスキーマ固有のガイドラインは、フィールドの一般的なガイドラインをオーバーライドします。 たとえば、フィールドは一般的には省略可能ですが、特定のスキーマでは必須です。 各フィールドの詳細については、 ASIM 共通フィールド に関する記事を参照してください。
| クラス | フィールド |
|---|---|
| 必須 |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| 推奨 |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| 省略可能 |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
ターゲット ファイル フィールド
次のフィールドは、ファイル操作のターゲット ファイルに関する情報を表します。 たとえば、操作に 1 つのファイル FileCreate 含まれる場合は、ターゲット ファイル フィールドで表されます。
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| TargetFileCreationTime | 省略可能 | 日付/時刻 | ターゲット ファイルが作成された時刻。 |
| TargetFileDirectory | 省略可能 | 文字列 | ターゲット ファイル フォルダーまたは場所。 このフィールドは、最終的な要素を含まない TargetFilePath フィールドに似ています。 注: パーサーは、ログ ソースで使用可能な値を指定でき、完全なパスから抽出する必要がない場合に、この値を指定できます。 |
| TargetFileExtension | 省略可能 | 文字列 | ターゲット ファイル拡張子。 注: パーサーは、ログ ソースで使用可能な値を指定でき、完全なパスから抽出する必要がない場合に、この値を指定できます。 |
| TargetFileMimeType | 省略可能 | 文字列 | ターゲット ファイルの Mime または Media の種類。 許可される値は、 IANA Media Types リポジトリに一覧表示されます。 |
| TargetFileName | 推奨 | 文字列 | パスまたは場所を含まないが、関連する場合は拡張子を持つターゲット ファイルの名前。 このフィールドは、 TargetFilePath フィールドの最後の要素と同様である必要があります。 |
| FileName | Alias | TargetFileName フィールドのエイリアス。 | |
| TargetFilePath | 必須 | 文字列 | フォルダーまたは場所、ファイル名、拡張子など、ターゲット ファイルの完全な正規化されたパス。 詳細については、「 Path 構造体」を参照してください。 注: レコードにフォルダーまたは場所の情報が含まれていない場合は、ここにだけファイル名を格納します。 例: C:\Windows\System32\notepad.exe |
| TargetFilePathType | 必須 | 列挙 | TargetFilePath の型。 詳細については、「 Path 構造体」を参照してください。 |
| FilePath | Alias | TargetFilePath フィールドのエイリアス。 | |
| TargetFileMD5 | 省略可能 | MD5 | ターゲット ファイルの MD5 ハッシュ。 例: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | 省略可能 | SHA1 | ターゲット ファイルの SHA-1 ハッシュ。 例: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | 省略可能 | SHA256 | ターゲット ファイルの SHA-256 ハッシュ。 例: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | 省略可能 | Sha512 | ソース ファイルの SHA-512 ハッシュ。 |
| ハッシュ | Alias | 使用可能な最適なターゲット ファイル ハッシュへのエイリアス。 | |
| HashType | 条件 付き | 列挙 | HASH エイリアス フィールドに格納されているハッシュの種類。許可される値は、 MD5、 SHA、 SHA256、 SHA512 、および IMPHASHです。
Hashが設定されている場合は必須です。 |
| TargetFileSize | 省略可能 | Long | ターゲット ファイルのサイズ (バイト単位)。 |
ソース ファイル フィールド
次のフィールドは、コピー元とコピー先の両方を持つファイル操作のソース ファイルに関する情報 (コピーなど) を表します。 操作に 1 つのファイルが含まれる場合は、ターゲット ファイル フィールドによって表されます。
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| SrcFileCreationTime | 省略可能 | 日付/時刻 | ソース ファイルが作成された時刻。 |
| SrcFileDirectory | 省略可能 | 文字列 | ソース ファイル フォルダーまたは場所。 このフィールドは、最後の要素を含まない SrcFilePath フィールドに似ている必要があります。 注: パーサーは、値がログ ソースで使用可能であり、完全なパスから抽出する必要がない場合に、この値を指定できます。 |
| SrcFileExtension | 省略可能 | 文字列 | ソース ファイル拡張子。 注: パーサーは、この値をログ ソースで使用でき、完全なパスから抽出する必要はありません。 |
| SrcFileMimeType | 省略可能 | 文字列 | ソース ファイルの Mime または Media の種類。 サポートされている値は、 IANA Media Types リポジトリに一覧表示されます。 |
| SrcFileName | 推奨 | 文字列 | パスまたは場所を指定せずに、関連する場合は拡張子を持つソース ファイルの名前。 このフィールドは、 SrcFilePath フィールドの最後の要素と同様である必要があります。 |
| SrcFilePath | 推奨 | 文字列 | フォルダーまたは場所、ファイル名、拡張子など、ソース ファイルの完全な正規化されたパス。 詳細については、「 Path 構造体」を参照してください。 例: /etc/init.d/networking |
| SrcFilePathType | 推奨 | 列挙 | SrcFilePath の型。 詳細については、「 Path 構造体」を参照してください。 |
| SrcFileMD5 | 省略可能 | MD5 | ソース ファイルの MD5 ハッシュ。 例: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | 省略可能 | SHA1 | ソース ファイルの SHA-1 ハッシュ。 例: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | 省略可能 | SHA256 | ソース ファイルの SHA-256 ハッシュ。 例: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | 省略可能 | Sha512 | ソース ファイルの SHA-512 ハッシュ。 |
| SrcFileSize | 省略可能 | Long | ソース ファイルのサイズ (バイト単位)。 |
アクター フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| ActorUserId | 推奨 | 文字列 | マシンが読み取り可能な英数字のアクターの一意の表現。 さまざまな ID の種類でサポートされる形式については、 User エンティティを参照してください。 例: S-1-12 |
| ActorScope | 省略可能 | 文字列 | ActorUserId と ActorUsername が定義されているMicrosoft Entra テナントなどのスコープ。 または、許可される値の詳細と一覧については、スキーマの概要に関する記事の UserScope を参照してください。 |
| ActorScopeId | 省略可能 | 文字列 | ActorUserId と ActorUsername が定義されているMicrosoft Entra ディレクトリ ID などのスコープ ID。 または、許可される値の詳細と一覧については、スキーマの概要に関する記事の UserScopeId を参照してください。 |
| ActorUserIdType | 条件 付き | 列挙 | ActorUserId フィールドに格納されている ID の型。 許可される値の一覧と詳細については、スキーマの概要に関する記事の UserIdType を参照してください。 |
| ActorUsername | 必須 | ユーザー名 (文字列) | アクターのユーザー名(使用可能な場合はドメイン情報を含む)。 さまざまな ID の種類でサポートされる形式については、 User エンティティを参照してください。 ドメイン情報が使用できない場合にのみ、単純なフォームを使用します。 [Username type]\(ユーザー名の種類\ ) を ActorUsernameType フィールドに格納します。 他のユーザー名形式を使用できる場合は、 ActorUsername<UsernameType>フィールドに保存します。例: AlbertE |
| ユーザー | Alias |
ActorUsername フィールドのエイリアス。 例: CONTOSO\dadmin |
|
| ActorUsernameType | 条件 付き | 列挙 |
ActorUsername フィールドに格納されているユーザー名の種類を指定します。 許可される値の一覧と詳細については、スキーマの概要に関する記事の UsernameType を参照してください。 例: Windows |
| ActorSessionId | 省略可能 | 文字列 | アクターのログイン セッションの一意の ID。 例: 999注: 型は、さまざまなシステムをサポートするために 文字列 として定義されていますが、Windows ではこの値は数値である必要があります。 Windows マシンを使用していて、別の型を使用している場合は、必ず値を変換してください。 たとえば、16 進値を使用した場合は、10 進値に変換します。 |
| ActorUserType | 省略可能 | UserType | Actor の種類。 許可される値の一覧と詳細については、スキーマの概要に関する記事の UserType を参照してください。 注: 値は、これらの値に正規化する必要がある異なる用語を使用してソース レコードに提供される場合があります。 元の値を ActorOriginalUserType フィールドに格納します。 |
| ActorOriginalUserType | 省略可能 | 文字列 | レポート デバイスによって指定された場合は、元の宛先ユーザーの種類。 |
[処理プロセス] フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| ActingProcessCommandLine | 省略可能 | 文字列 | 処理プロセスの実行に使用されるコマンド ライン。 例: "choco.exe" -v |
| ActingProcessName | 省略可能 | string | 処理プロセスの名前。 この名前は、通常、プロセスの仮想アドレス空間にマップされる初期コードとデータを定義するために使用されるイメージまたは実行可能ファイルから派生します。 例: C:\Windows\explorer.exe |
| プロセス | Alias | ActingProcessName へのエイリアス | |
| ActingProcessId | 省略可能 | 文字列 | 処理プロセスのプロセス ID (PID)。 例: 48610176 注: 型は、さまざまなシステムをサポートするために文字列として定義されていますが、Windows では、この値Linux数値にする必要があります。 Windows または Linux コンピューターを使用していて、別の種類を使用している場合は、必ず値を変換してください。 たとえば、16 進値を使用した場合は、10 進値に変換します。 |
| ActingProcessGuid | 省略可能 | GUID (文字列) | 処理プロセスの生成された一意識別子 (GUID)。 システム間でプロセスを識別できるようにします。 例: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
ソース システム関連フィールド
次のフィールドは、通常、ネットワーク経由で引き継がれたときに、ファイル アクティビティを開始するシステムに関する情報を表します。
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| SrcIpAddr | 推奨 | IP アドレス | 操作がリモート システムによって開始されると、このシステムの IP アドレス。 例: 185.175.35.214 |
| IpAddr | Alias | SrcIpAddr へのエイリアス | |
| Src | Alias | SrcIpAddr へのエイリアス | |
| SrcPortNumber | 省略可能 | 整数 | 操作がリモート システムによって開始されると、接続が開始されたポート番号。 例: 2335 |
| SrcHostname | 省略可能 | Hostname (String) | ドメイン情報を除くソース デバイスのホスト名。 使用可能なデバイス名がない場合は、このフィールドに関連する IP アドレスを格納します。 例: DESKTOP-1282V4D |
| SrcDomain | 省略可能 | ドメイン (文字列) | ソース デバイスのドメイン。 例: Contoso |
| SrcDomainType | 条件 付き | DomainType |
SrcDomain の型。 許可される値の一覧と詳細については、スキーマの概要に関する記事の DomainType を参照してください。 SrcDomain を使用する場合は必須です。 |
| SrcFQDN | 省略可能 | FQDN (文字列) | ソース デバイスのホスト名(使用可能な場合はドメイン情報を含む)。 注: このフィールドは、従来の FQDN 形式と Windows ドメイン\ホスト名形式の両方をサポートします。 SrcDomainType フィールドには、使用される形式が反映されます。 例: Contoso\DESKTOP-1282V4D |
| SrcDescription | 省略可能 | 文字列 | デバイスに関連付けられている説明テキスト。 例: Primary Domain Controller。 |
| SrcDvcId | 省略可能 | 文字列 | ソース デバイスの ID。 複数の ID が使用可能な場合は、最も重要な ID を使用し、他の ID を SrcDvc<DvcIdType>フィールドに格納します。例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 省略可能 | 文字列 | デバイスが属するクラウド プラットフォーム スコープ ID。 SrcDvcScopeId は、Azureのサブスクリプション ID と AWS のアカウント ID にマップされます。 |
| SrcDvcScope | 省略可能 | 文字列 | デバイスが属するクラウド プラットフォーム スコープ。 SrcDvcScope は、Azureのサブスクリプション ID と AWS のアカウント ID にマップされます。 |
| SrcDvcIdType | 条件 付き | DvcIdType |
SrcDvcId の型。 許可される値の一覧と詳細については、スキーマの概要に関する記事の DvcIdType を参照してください。 注: SrcDvcId を使用する場合は、このフィールドが必要です。 |
| SrcDeviceType | 省略可能 | DeviceType | ソース デバイスの種類。 許可される値の一覧と詳細については、スキーマの概要に関する記事の DeviceType を参照してください。 |
| SrcGeoCountry | 省略可能 | 国 | 送信元 IP アドレスに関連付けられている国/地域。 例: USA |
| SrcGeoRegion | 省略可能 | Region | ソース IP アドレスに関連付けられているリージョン。 例: Vermont |
| SrcGeoCity | 省略可能 | City | ソース IP アドレスに関連付けられている都市。 例: Burlington |
| SrcGeoLatitude | 省略可能 | Latitude | ソース IP アドレスに関連付けられている地理的座標の緯度。 例: 44.475833 |
| SrcGeoLongitude | 省略可能 | Longitude | ソース IP アドレスに関連付けられている地理的座標の経度。 例: 73.211944 |
動作するアプリケーション フィールド
次のフィールドは、ファイル アクティビティを実行するためにリモート システムとネットワーク経由で通信するローカル アプリケーションに関する情報を表します。
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| ActingAppName | 省略可能 | 文字列 | 動作しているアプリケーションの名前。 例: Facebook |
| ActingAppId | 省略可能 | 文字列 | レポート デバイスによって報告される、動作しているアプリケーションの ID。 |
| ActingAppType | 省略可能 | AppType | 宛先アプリケーションの種類。 許可される値の一覧と詳細については、スキーマの概要に関する記事の AppType を参照してください。 TargetAppName または TargetAppId が使用されている場合、このフィールドは必須です。 |
| HttpUserAgent | 省略可能 | 文字列 | 操作が HTTP または HTTPS を使用してリモート システムによって開始されると、ユーザー エージェントが使用されます。 例: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | 省略可能 | 文字列 | 操作がリモート・システムによって開始される場合、この値は OSI モデルで使用されるアプリケーション層プロトコルです。 このフィールドは列挙されず、任意の値が受け入れられますが、推奨される値には、 HTTP、 HTTPS、 SMB、FTP、およびが含まれます。 SSH例: SMB |
ターゲット アプリケーション フィールド
次のフィールドは、ユーザーに代わってファイル アクティビティを実行する宛先アプリケーションに関する情報を表します。 宛先アプリケーションは、通常、SaaS (サービスとしてのソフトウェア) アプリケーションを使用するなど、ネットワーク経由のファイル アクティビティに関連します。
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| TargetAppName | 省略可能 | 文字列 | 宛先アプリケーションの名前。 例: Facebook |
| アプリケーション | Alias | TargetAppName へのエイリアス。 | |
| TargetAppId | 省略可能 | 文字列 | レポート デバイスによって報告される宛先アプリケーションの ID。 |
| TargetAppType | 条件 付き | AppType | 宛先アプリケーションの種類。 許可される値の一覧と詳細については、スキーマの概要に関する記事の AppType を参照してください。 TargetAppName または TargetAppId が使用されている場合、このフィールドは必須です。 |
| TargetOriginalAppType | 省略可能 | 文字列 | レポート デバイスによって報告される宛先アプリケーションの種類。 |
| TargetUrl | 省略可能 | URL (文字列) | 操作が HTTP または HTTPS を使用して開始されると、URL が使用されます。 例: https://onedrive.live.com/?authkey=... |
| Url | Alias | TargetUrl へのエイリアス |
検査フィールド
以下のフィールドは、ウイルス対策システム等のセキュリティシステムによって行われる検査を表すために使用される。 通常、識別されたスレッドは、アクティビティ自体ではなく、アクティビティが実行されたファイルに関連付けられます。
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| RuleName | 省略可能 | 文字列 | 検査結果に関連付けられたルールの名前または ID。 |
| RuleNumber | 省略可能 | 整数 | 検査結果に関連付けられているルールの番号。 |
| Rule | 条件 付き | 文字列 | kRuleName の値または RuleNumber の値のいずれか。 RuleNumber の値を使用する場合は、型を文字列に変換する必要があります。 |
| ThreatId | 省略可能 | 文字列 | ファイル アクティビティで特定された脅威またはマルウェアの ID。 |
| ThreatName | 省略可能 | 文字列 | ファイル アクティビティで特定された脅威またはマルウェアの名前。 例: EICAR Test File |
| ThreatCategory | 省略可能 | 文字列 | ファイル アクティビティで特定された脅威またはマルウェアのカテゴリ。 例: Trojan |
| ThreatRiskLevel | 省略可能 | RiskLevel (整数) | 特定された脅威に関連付けられているリスク レベル。 レベルは 0 ~ 100 の数値 にする必要があります。 注: この値は、このスケールに正規化する必要がある別のスケールを使用してソース レコードに提供される場合があります。 元の値は ThreatOriginalRiskLevel に格納する必要があります。 |
| ThreatOriginalRiskLevel | 省略可能 | 文字列 | レポート デバイスによって報告されるリスク レベル。 |
| ThreatFilePath | 省略可能 | 文字列 | 脅威が特定されたファイル パス。 ThreatField フィールドには、ThreatFilePath が表すフィールドの名前が含まれています。 |
| ThreatField | 条件 付き | 列挙 | 脅威が特定されたフィールド。 値は SrcFilePath または DstFilePathです。 |
| ThreatConfidence | 省略可能 | ConfidenceLevel (整数) | 特定された脅威の信頼レベルを、0 から 100 の値に正規化します。 |
| ThreatOriginalConfidence | 省略可能 | 文字列 | レポート デバイスによって報告された、特定された脅威の元の信頼レベル。 |
| ThreatIsActive | 省略可能 | ブール型 | True を指定すると、特定された脅威がアクティブな脅威と見なされます。 |
| ThreatFirstReportedTime | 省略可能 | 日付型 | IP アドレスまたはドメインが脅威として初めて識別された場合。 |
| ThreatLastReportedTime | 省略可能 | 日付型 | IP アドレスまたはドメインが脅威として識別された最後の時刻。 |
Path 構造体
パスは、次のいずれかの形式に一致するように正規化する必要があります。 値が正規化された形式は、それぞれの FilePathType フィールドに反映されます。
| 型 | 例 | 備考 |
|---|---|---|
| Windows ローカル | C:\Windows\System32\notepad.exe |
Windows パス名では大文字と小文字が区別されないので、この型は値の大文字と小文字が区別されていないことを意味します。 |
| Windows 共有 | \\Documents\My Shapes\Favorites.vssx |
Windows パス名では大文字と小文字が区別されないので、この型は値の大文字と小文字が区別されていないことを意味します。 |
| Unix | /etc/init.d/networking |
Unix パス名では大文字と小文字が区別されるため、この型は値の大文字と小文字が区別されることを意味します。 - AWS S3 にはこの種類を使用します。 バケットとキー名を連結してパスを作成します。 - Blob Storage オブジェクト キーをAzureするには、この種類を使用します。 |
| URL | https://1drv.ms/p/s!Av04S_*********we |
ファイル パスを URL として使用できる場合に使用します。 URL は http または https に限定されず、FTP 値を含むすべての値が有効です。 |
スキーマの更新
スキーマのバージョン 0.1.1 の変更点を次に示します。
- フィールド
EventSchemaを追加しました。
スキーマのバージョン 0.2 の変更を次に示します。
- 検査フィールドを追加しました。
- フィールド
ActorScope、TargetUserScope、HashType、TargetAppName、TargetAppId、TargetAppType、SrcGeoCountry、SrcGeoRegion、SrcGeoLongitude、SrcGeoLatitude、ActorSessionId、DvcScopeId、DvcScopeを追加しました。 - エイリアス
Url、IpAddr、'FileName'、およびSrcを追加しました。
スキーマのバージョン 0.2.1 の変更点を次に示します。
-
TargetAppNameにエイリアスとしてApplicationを追加しました。 - フィールドを追加しました
ActorScopeId - ソース デバイスに関連するフィールドを追加しました。
スキーマのバージョン 0.2.2 の変更点を次に示します。
- フィールドを追加しました
TargetOriginalAppType - テーブル
ASimFileEventLogsで使用できないフィールドActingAppId、ActingAppName、ActingAppTypeを追加しました。
次の手順
詳細については、以下を参照してください。