Dokumentacja schematu normalizacji zdarzeń zdarzeń zdarzeń zabezpieczeń zaawansowanych zabezpieczeń (publiczna wersja zapoznawcza)
Schemat normalizacji zdarzenia pliku służy do opisywania działania pliku, takiego jak tworzenie, modyfikowanie lub usuwanie plików lub dokumentów. Takie zdarzenia są zgłaszane przez systemy operacyjne, systemy magazynowania plików, takie jak Azure Files i systemy zarządzania dokumentami, takie jak Microsoft SharePoint.
Aby uzyskać więcej informacji na temat normalizacji w usłudze Microsoft Sentinel, zobacz Normalizacja i Zaawansowany model informacji o zabezpieczeniach (ASIM).
Ważne
Schemat normalizacji zdarzeń plików jest obecnie w wersji zapoznawczej. Ta funkcja jest udostępniana bez umowy dotyczącej poziomu usług i nie jest zalecana w przypadku obciążeń produkcyjnych.
Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Parsery
Wdrażanie i używanie analizatorów działań plików
Wdróż analizatory działań plików ASIM z repozytorium GitHub usługi Microsoft Sentinel. Aby wykonywać zapytania we wszystkich źródłach działań plików, użyj analizatora ujednolicania imFileEvent jako nazwy tabeli w zapytaniu.
Aby uzyskać więcej informacji na temat korzystania z analizatorów ASIM, zobacz omówienie analizatorów ASIM. Aby uzyskać listę analizatorów działań plików, usługa Microsoft Sentinel udostępnia gotowe do użycia, zapoznaj się z listą analizatorów ASIM
Dodawanie własnych znormalizowanych analizatorów
Podczas implementowania niestandardowych analizatorów dla modelu informacji o zdarzeniach plików nazwij funkcje KQL przy użyciu następującej składni: imFileEvent<vendor><Product.
Zapoznaj się z artykułem Managing ASIM parsers (Zarządzanie analizatorami ASIM), aby dowiedzieć się, jak dodać analizatory niestandardowe do działania pliku jednoczącego analizatora.
Znormalizowana zawartość
Aby uzyskać pełną listę reguł analizy korzystających ze znormalizowanych zdarzeń działania plików, zobacz Zawartość zabezpieczeń działania pliku.
Przegląd schematu
Model informacji o zdarzeniu pliku jest wyrównany do schematu jednostki procesów OSSEM.
Schemat zdarzenia pliku odwołuje się do następujących jednostek, które są centralne dla działań dotyczących plików:
- Aktor. Użytkownik, który zainicjował działanie pliku
- ActingProcess. Proces używany przez aktora do inicjowania działania pliku
- TargetFile. Plik, na którym wykonano operację
- Plik źródłowy (SrcFile). Przechowuje informacje o pliku przed operacją.
Relacja między tymi jednostkami jest najlepiej pokazana w następujący sposób: Aktor wykonuje operację pliku przy użyciu działającego procesu, który modyfikuje plik źródłowy do pliku docelowego.
Na przykład: JohnDoe (Aktor) używa Windows File Explorer (proces działający) do zmiany nazwy new.doc (plik źródłowy) na old.doc (plik docelowy).
Szczegóły schematu
Typowe pola
Ważne
Pola wspólne dla wszystkich schematów zostały szczegółowo opisane w artykule ASIM Common Fields (Wspólne pola karty ASIM).
Pola z określonymi wytycznymi dotyczącymi schematu zdarzenia pliku
Na poniższej liście wymieniono pola, które mają określone wytyczne dotyczące zdarzeń działania pliku:
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Eventtype | Obowiązkowy | Enumerated | Opisuje operację zgłoszoną przez rekord. Obsługiwane wartości to: - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| EventSubType | Opcjonalnie | Enumerated | Opisuje szczegółowe informacje o operacji zgłoszonej w eventtype. Obsługiwane wartości dla typu zdarzenia to: - FileCreated - Upload, Checkin- FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed - Download, Preview, Checkout, Extended- FileDeleted - Recycled, Versions, Site |
| EventSchema | Obowiązkowy | Ciąg | Nazwa schematu udokumentowanego tutaj to FileEvent. |
| EventSchemaVersion | Obowiązkowy | Ciąg | Wersja schematu. Wersja schematu udokumentowana tutaj jest 0.2.1 |
| Pola dvc | - | - | W przypadku zdarzeń działania plików pola urządzenia odwołują się do systemu, w którym wystąpiło działanie pliku. |
Ważne
Pole EventSchema jest obecnie opcjonalne, ale stanie się obowiązkowe 1 września 2022 r.
Wszystkie typowe pola
Pola wyświetlane w tabeli są wspólne dla wszystkich schematów ASIM. Dowolne wskazówki dotyczące schematu w tym dokumencie zastępują ogólne wytyczne dotyczące tego pola. Na przykład pole może być ogólnie opcjonalne, ale obowiązkowe dla określonego schematu. Aby uzyskać więcej informacji na temat każdego pola, zobacz artykuł ASIM Common Fields (Wspólne pola karty ASIM).
| Klasa | Pola |
|---|---|
| Obowiązkowy | - EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Zalecane | - EventResultDetails - EventSeverity - Identyfikator zdarzenia - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcjonalnie | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Właściciel zdarzenia - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Dodatkowe pola - DvcDescription - DvcScopeId - DvcScope |
Pola pliku docelowego
Poniższe pola reprezentują informacje o pliku docelowym w operacji pliku. Jeśli operacja obejmuje na przykład pojedynczy plik FileCreate , jest reprezentowana przez pola pliku docelowego.
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| TargetFileCreationTime | Opcjonalnie | Data/godzina | Godzina utworzenia pliku docelowego. |
| TargetFileDirectory | Opcjonalnie | Ciąg | Docelowy folder pliku lub lokalizacja. To pole powinno być podobne do pola TargetFilePath bez ostatniego elementu. Uwaga: analizator może podać tę wartość, jeśli wartość dostępna w źródle dziennika i nie musi być wyodrębniona z pełnej ścieżki. |
| Rozszerzenie TargetFileExtension | Opcjonalnie | Ciąg | Rozszerzenie pliku docelowego. Uwaga: analizator może podać tę wartość, jeśli wartość dostępna w źródle dziennika i nie musi być wyodrębniona z pełnej ścieżki. |
| TargetFileMimeType | Opcjonalnie | Enumerated | Mime, lub Media, typ pliku docelowego. Dozwolone wartości są wyświetlane w repozytorium Typów multimediów IANA. |
| Targetfilename | Zalecane | Ciąg | Nazwa pliku docelowego, bez ścieżki lub lokalizacji, ale z rozszerzeniem, jeśli ma to zastosowanie. To pole powinno być podobne do ostatniego elementu w polu TargetFilePath . |
| Pod nazwą | Alias | Alias w polu TargetFileName . | |
| TargetFilePath | Obowiązkowy | Ciąg | Pełna, znormalizowana ścieżka pliku docelowego, w tym folder lub lokalizacja, nazwa pliku i rozszerzenie. Aby uzyskać więcej informacji, zobacz Struktura ścieżki. Uwaga: jeśli rekord nie zawiera informacji o folderze ani lokalizacji, zapisz nazwę pliku tylko tutaj. Przykład: C:\Windows\System32\notepad.exe |
| TargetFilePathType | Obowiązkowy | Enumerated | Typ elementu TargetFilePath. Aby uzyskać więcej informacji, zobacz Struktura ścieżki. |
| Filepath | Alias | Alias w polu TargetFilePath . | |
| TargetFileMD5 | Opcjonalnie | MD5 | Skrót MD5 pliku docelowego. Przykład: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | Opcjonalnie | SHA1 | Skrót SHA-1 pliku docelowego. Przykład: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | Opcjonalnie | SHA256 | Skrót SHA-256 pliku docelowego. Przykład: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | Opcjonalnie | SHA512 | Skrót SHA-512 pliku źródłowego. |
| Skrót | Alias | Alias do najlepszego dostępnego skrótu pliku docelowego. | |
| HashType | Zalecane | Ciąg | Typ skrótu przechowywanego w polu aliasu skrótu skrótu, dozwolone wartości to MD5, SHA, SHA512SHA256i IMPHASH. Obowiązkowe, jeśli Hash jest wypełniane. |
| TargetFileSize | Opcjonalnie | Długi | Rozmiar pliku docelowego w bajtach. |
Pola pliku źródłowego
Poniższe pola reprezentują informacje o pliku źródłowym w operacji pliku, która ma zarówno źródło, jak i miejsce docelowe, takie jak kopiowanie. Jeśli operacja obejmuje pojedynczy plik, jest reprezentowana przez pola pliku docelowego.
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| SrcFileCreationTime | Opcjonalnie | Data/godzina | Godzina utworzenia pliku źródłowego. |
| SrcFileDirectory | Opcjonalnie | Ciąg | Folder lub lokalizacja pliku źródłowego. To pole powinno być podobne do pola SrcFilePath bez ostatniego elementu. Uwaga: analizator może podać tę wartość, jeśli wartość jest dostępna w źródle dziennika i nie musi być wyodrębniona z pełnej ścieżki. |
| SrcFileExtension | Opcjonalnie | Ciąg | Rozszerzenie pliku źródłowego. Uwaga: analizator może podać tę wartość, którą wartość jest dostępna w źródle dziennika i nie musi być wyodrębniona z pełnej ścieżki. |
| SrcFileMimeType | Opcjonalnie | Enumerated | Typ mime lub nośnika pliku źródłowego. Obsługiwane wartości są wymienione w repozytorium Typów multimediów IANA. |
| SrcFileName | Zalecane | Ciąg | Nazwa pliku źródłowego, bez ścieżki lub lokalizacji, ale z rozszerzeniem, jeśli ma to zastosowanie. To pole powinno być podobne do ostatniego elementu w polu SrcFilePath . |
| SrcFilePath | Zalecane | Ciąg | Pełna, znormalizowana ścieżka pliku źródłowego, w tym folder lub lokalizacja, nazwa pliku i rozszerzenie. Aby uzyskać więcej informacji, zobacz Struktura ścieżki. Przykład: /etc/init.d/networking |
| SrcFilePathType | Zalecane | Enumerated | Typ SrcFilePath. Aby uzyskać więcej informacji, zobacz Struktura ścieżki. |
| SrcFileMD5 | Opcjonalnie | MD5 | Skrót MD5 pliku źródłowego. Przykład: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | Opcjonalnie | SHA1 | Skrót SHA-1 pliku źródłowego. Przykład: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | Opcjonalnie | SHA256 | Skrót SHA-256 pliku źródłowego. Przykład: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | Opcjonalnie | SHA512 | Skrót SHA-512 pliku źródłowego. |
| SrcFileSize | Opcjonalnie | Długi | Rozmiar pliku źródłowego w bajtach. |
Pola aktora
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| AktorUserId | Zalecane | Ciąg | Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja aktora. Aby uzyskać obsługiwany format dla różnych typów identyfikatorów, zapoznaj się z jednostką Użytkownik. Przykład: S-1-12 |
| AktorZakres | Opcjonalnie | Ciąg | Zakres, taki jak dzierżawa firmy Microsoft Entra, w którym zdefiniowano element ActorUserId i ActorUsername . lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu. |
| AktorScopeId | Opcjonalnie | Ciąg | Identyfikator zakresu, taki jak Identyfikator katalogu Entra firmy Microsoft, w którym zdefiniowano element ActorUserId i ActorUsername . lub więcej informacji i listy dozwolonych wartości, zobacz UserScopeId w artykule Przegląd schematu. |
| AktorUserIdType | Warunkowe | Ciąg | Typ identyfikatora przechowywanego w polu ActorUserId . Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz UserIdType w artykule Przegląd schematu. |
| AktorUsername | Obowiązkowy | Ciąg | Nazwa użytkownika aktora, w tym informacje o domenie, gdy są dostępne. Aby uzyskać obsługiwany format dla różnych typów identyfikatorów, zapoznaj się z jednostką Użytkownik. Użyj prostego formularza tylko wtedy, gdy informacje o domenie nie są dostępne. Zapisz typ nazwy użytkownika w polu ActorUsernameType . Jeśli są dostępne inne formaty nazw użytkowników, zapisz je w polach ActorUsername<UsernameType>.Przykład: AlbertE |
| Użytkownik | Alias | Alias w polu ActorUsername . Przykład: CONTOSO\dadmin |
|
| AktorUsernameType | Warunkowe | Enumerated | Określa typ nazwy użytkownika przechowywanej w polu ActorUsername . Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz UsernameType w artykule Przegląd schematu. Przykład: Windows |
| ActorsSessionId | Opcjonalnie | Ciąg | Unikatowy identyfikator sesji logowania aktora. Przykład: 999Uwaga: typ jest definiowany jako ciąg do obsługi różnych systemów, ale w systemie Windows ta wartość musi być numeryczna. Jeśli używasz maszyny z systemem Windows i używasz innego typu, pamiętaj, aby przekonwertować wartości. Jeśli na przykład użyto wartości szesnastkowej, przekonwertuj ją na wartość dziesiętną. |
| AktorUserType | Opcjonalnie | UserType | Typ aktora. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz UserType w artykule Przegląd schematu. Uwaga: Wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Zapisz oryginalną wartość w polu ActorOriginalUserType . |
| ActorOriginalUserType | Opcjonalnie | Ciąg | Oryginalny typ użytkownika docelowego, jeśli jest udostępniany przez urządzenie raportowania. |
Pola procesów działających
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| ActingProcessCommandLine | Opcjonalnie | Ciąg | Wiersz polecenia używany do uruchamiania działającego procesu. Przykład: "choco.exe" -v |
| ActingProcessName | Opcjonalnie | string | Nazwa działającego procesu. Ta nazwa jest często pochodzi z obrazu lub pliku wykonywalnego używanego do definiowania początkowego kodu i danych zamapowanych na wirtualną przestrzeń adresową procesu. Przykład: C:\Windows\explorer.exe |
| Proces | Alias | Alias na ActingProcessName | |
| ActingProcessId | Opcjonalnie | Ciąg | Identyfikator procesu (PID) działającego procesu. Przykład: 48610176 Uwaga: typ jest definiowany jako ciąg do obsługi różnych systemów, ale w systemach Windows i Linux ta wartość musi być numeryczna. Jeśli używasz maszyny z systemem Windows lub Linux i używasz innego typu, pamiętaj, aby przekonwertować wartości. Jeśli na przykład użyto wartości szesnastkowej, przekonwertuj ją na wartość dziesiętną. |
| ActingProcessGuid | Opcjonalnie | string | Wygenerowany unikatowy identyfikator (GUID) działającego procesu. Umożliwia identyfikację procesu w różnych systemach. Przykład: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Pola powiązane z systemem źródłowym
Poniższe pola reprezentują informacje o systemie inicjującym działanie pliku, zazwyczaj w przypadku przewożonego przez sieć.
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| SrcIpAddr | Zalecane | Adres IP | Gdy operacja jest inicjowana przez system zdalny, adres IP tego systemu. Przykład: 185.175.35.214 |
| IpAddr | Alias | Alias do SrcIpAddr | |
| Src | Alias | Alias do SrcIpAddr | |
| SrcPortNumber | Opcjonalnie | Wartość całkowita | Po zainicjowaniu operacji przez system zdalny numer portu, z którego zainicjowano połączenie. Przykład: 2335 |
| SrcHostname | Zalecane | Hostname (Nazwa hosta) | Nazwa hosta urządzenia źródłowego z wyłączeniem informacji o domenie. Jeśli żadna nazwa urządzenia nie jest dostępna, zapisz odpowiedni adres IP w tym polu. Przykład: DESKTOP-1282V4D |
| SrcDomain | Zalecane | Ciąg | Domena urządzenia źródłowego. Przykład: Contoso |
| SrcDomainType | Warunkowe | Domaintype | Typ SrcDomain. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DomainType w artykule Omówienie schematu. Wymagane, jeśli jest używany SrcDomain . |
| SrcFQDN | Opcjonalnie | Ciąg | Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, gdy są dostępne. Uwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa_hosta systemu Windows. Pole SrcDomainType odzwierciedla używany format. Przykład: Contoso\DESKTOP-1282V4D |
| SrcDescription | Opcjonalnie | Ciąg | Tekst opisowy skojarzony z urządzeniem. Na przykład: Primary Domain Controller. |
| SrcDvcId | Opcjonalnie | Ciąg | Identyfikator urządzenia źródłowego. Jeśli dostępnych jest wiele identyfikatorów, użyj najważniejszego identyfikatora i zapisz pozostałe w polach SrcDvc<DvcIdType>.Przykład: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcjonalnie | Ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. SrcDvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| SrcDvcScope | Opcjonalnie | Ciąg | Zakres platformy w chmurze, do którego należy urządzenie. SrcDvcScope mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| SrcDvcIdType | Warunkowe | DvcIdType | Typ SrcDvcId. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DvcIdType w artykule Omówienie schematu. Uwaga: to pole jest wymagane, jeśli jest używany identyfikator SrcDvcId . |
| SrcDeviceType | Opcjonalnie | Devicetype | Typ urządzenia źródłowego. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zapoznaj się z artykułem DeviceType (Typ urządzenia) w artykule Przegląd schematu. |
| SrcSubscriptionId | Opcjonalnie | Ciąg | Identyfikator subskrypcji platformy w chmurze, do którego należy urządzenie źródłowe. SrcSubscriptionId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| SrcGeoCountry | Opcjonalnie | Kraj | Kraj skojarzony ze źródłowym adresem IP. Przykład: USA |
| SrcGeoRegion | Opcjonalnie | Region | Region skojarzony ze źródłowym adresem IP. Przykład: Vermont |
| SrcGeoCity | Opcjonalnie | City (Miasto) | Miasto skojarzone ze źródłowym adresem IP. Przykład: Burlington |
| SrcGeoLatitude | Opcjonalnie | Szerokość geograficzna | Szerokość geograficzna współrzędnych geograficznych skojarzonych z źródłowym adresem IP. Przykład: 44.475833 |
| SrcGeoLongitude | Opcjonalnie | Długość | Długość geograficzna współrzędnej geograficznej skojarzonej z źródłowym adresem IP. Przykład: 73.211944 |
Pola powiązane z siecią
Poniższe pola reprezentują informacje o sesji sieciowej, gdy działanie pliku zostało przeniesione przez sieć.
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| HttpUserAgent | Opcjonalnie | Ciąg | Gdy operacja jest inicjowana przez system zdalny przy użyciu protokołu HTTP lub HTTPS, używany jest agent użytkownika. Przykład: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | Opcjonalnie | Ciąg | Gdy operacja jest inicjowana przez system zdalny, ta wartość jest protokołem warstwy aplikacji używanym w modelu OSI. Chociaż to pole nie jest wyliczane, a każda wartość jest akceptowana, preferowane wartości obejmują: HTTP, , HTTPSSMB,FTP iSSHPrzykład: SMB |
Pola aplikacji docelowej
Poniższe pola reprezentują informacje o aplikacji docelowej wykonującej działanie pliku w imieniu użytkownika. Aplikacja docelowa jest zwykle związana z działaniem plików sieciowych, na przykład przy użyciu aplikacji Saas (oprogramowanie jako usługa).
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| TargetAppName | Opcjonalnie | Ciąg | Nazwa aplikacji docelowej. Przykład: Facebook |
| Aplikacja | Alias | Alias elementu TargetAppName. | |
| TargetAppId | Opcjonalnie | Ciąg | Identyfikator aplikacji docelowej zgłoszonej przez urządzenie raportowania. |
| TargetAppType | Opcjonalnie | Typ aplikacji | Typ aplikacji docelowej. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zapoznaj się z artykułem AppType w artykule Przegląd schematu. To pole jest obowiązkowe, jeśli są używane wartości TargetAppName lub TargetAppId . |
| TargetUrl | Opcjonalnie | Ciąg | Gdy operacja jest inicjowana przy użyciu protokołu HTTP lub HTTPS, używany jest adres URL. Przykład: https://onedrive.live.com/?authkey=... |
| Adres url | Alias | Alias do targetUrl |
Pola inspekcji
Poniższe pola są używane do reprezentowania tej inspekcji przeprowadzonej przez system zabezpieczeń, taki jak system antywirusowy. Zidentyfikowany wątek jest zwykle skojarzony z plikiem, na którym wykonano działanie, a nie z samym działaniem.
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Rulename | Opcjonalnie | Ciąg | Nazwa lub identyfikator reguły skojarzonej z wynikami inspekcji. |
| RuleNumber | Opcjonalnie | Wartość całkowita | Liczba reguł skojarzonych z wynikami inspekcji. |
| Reguły | Warunkowe | Ciąg | Wartość kRuleName lub wartość RuleNumber. Jeśli jest używana wartość RuleNumber , typ powinien zostać przekonwertowany na ciąg. |
| ThreatId | Opcjonalnie | Ciąg | Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku. |
| ThreatName | Opcjonalnie | Ciąg | Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku. Przykład: EICAR Test File |
| ThreatCategory | Opcjonalnie | Ciąg | Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku. Przykład: Trojan |
| ThreatRiskLevel | Opcjonalnie | Wartość całkowita | Poziom ryzyka skojarzony z zidentyfikowanym zagrożeniem. Poziom powinien być liczbą z zakresu od 0 do 100. Uwaga: wartość może być podana w rekordzie źródłowym przy użyciu innej skali, która powinna być znormalizowana do tej skali. Oryginalna wartość powinna być przechowywana w usłudze ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcjonalnie | Ciąg | Poziom ryzyka zgłoszony przez urządzenie raportowania. |
| ThreatFilePath | Opcjonalnie | Ciąg | Ścieżka pliku, dla której zidentyfikowano zagrożenie. Pole ThreatField zawiera nazwę pola ThreatFilePath . |
| ThreatField | Opcjonalnie | Enumerated | Pole, dla którego zidentyfikowano zagrożenie. Wartość to SrcFilePath lub DstFilePath. |
| ThreatConfidence | Opcjonalnie | Wartość całkowita | Zidentyfikowany poziom ufności zagrożenia znormalizowany do wartości z zakresu od 0 do 100. |
| ThreatOriginalConfidence | Opcjonalnie | Ciąg | Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgodnie z raportem urządzenia raportowania. |
| ThreatIsActive | Opcjonalnie | Wartość logiczna | Prawda, jeśli zidentyfikowane zagrożenie jest uznawane za aktywne zagrożenie. |
| ThreatFirstReportedTime | Opcjonalnie | Data i godzina | Po raz pierwszy adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
| ThreatLastReportedTime | Opcjonalnie | Data i godzina | Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
Struktura ścieżki
Ścieżka powinna być znormalizowana tak, aby odpowiadała jednemu z następujących formatów. Format znormalizowanej wartości zostanie odzwierciedlony w odpowiednim polu FilePathType .
| Type | Przykład | Uwagi |
|---|---|---|
| System Windows — lokalny | C:\Windows\System32\notepad.exe |
Ponieważ nazwy ścieżek systemu Windows są niewrażliwe na wielkość liter, ten typ oznacza, że wartość jest niewrażliwa na wielkość liter. |
| Udział systemu Windows | \\Documents\My Shapes\Favorites.vssx |
Ponieważ nazwy ścieżek systemu Windows są niewrażliwe na wielkość liter, ten typ oznacza, że wartość jest niewrażliwa na wielkość liter. |
| Unix | /etc/init.d/networking |
Ponieważ w nazwach ścieżek systemu Unix jest rozróżniana wielkość liter, ten typ oznacza, że wartość jest uwzględniana w wielkości liter. — Użyj tego typu dla platformy AWS S3. Połącz zasobnik i nazwy kluczy, aby utworzyć ścieżkę. — Użyj tego typu dla kluczy obiektów usługi Azure Blob Storage. |
| Adres URL | https://1drv.ms/p/s!Av04S_*********we |
Użyj, gdy ścieżka pliku jest dostępna jako adres URL. Adresy URL nie są ograniczone do protokołu HTTP lub https, a każda wartość, w tym wartość FTP, jest prawidłowa. |
Aktualizacje schematu
Są to zmiany w wersji 0.1.1 schematu:
- Dodano pole
EventSchema.
Istnieją zmiany w wersji 0.2 schematu:
- Dodano pola inspekcji.
- Dodano pola
ActorScope,HashTypeTargetAppTypeTargetAppIdSrcGeoCountrySrcGeoRegionTargetAppNameTargetUserScopeSrcGeoLatitudeActorSessionIdSrcGeoLongitudeDvcScopeIdi .DvcScope - Dodano aliasy
Url, ,IpAddr"FileName" iSrc.
Istnieją zmiany w wersji 0.2.1 schematu:
- Dodano
Applicationjako alias do elementuTargetAppName. - Dodano pole
ActorScopeId - Dodano pola powiązane z urządzeniem źródłowym.
Następne kroki
Aby uzyskać więcej informacji, zobacz:
- Obejrzyj seminarium internetowe ASIM lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Zawartość usługi Advanced Security Information Model (ASIM)