Referência do esquema de normalização do Evento de Arquivo do ASIM (Modelo de Informações de Segurança Avançado) (versão prévia)
O esquema de normalização do evento de arquivo é usado para descrever a atividade do arquivo, como criar, mudar ou excluir arquivos ou documentos. Esses eventos são relatados por sistemas operacionais, sistemas de armazenamento de arquivos, como Arquivos do Azure e sistemas de gerenciamento de documentos, como o Microsoft SharePoint.
Para saber mais sobre a normalização no Microsoft Sentinel, confira Normalização e o ASIM (Modelo de Informações de Segurança Avançado).
Importante
O esquema de normalização de arquivos do processo está atualmente em VERSÃO PRÉVIA. Esse recurso é fornecido sem um contrato de nível de serviço e não é recomendado para cargas de trabalho de produção.
Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Analisadores
Implantando e usando analisadores de atividade de arquivo
Implante os analisadores de Atividade de Arquivo ASIM do repositório GitHub do Microsoft Sentinel. Para consultar todas as fontes de Atividade de Arquivo, use o analisador imFileEvent unificador como o nome da tabela em sua consulta.
Para obter mais informações sobre como usar os analisadores do ASIM, consulte a Visão geral dos analisadores do ASIM. Para obter a lista dos analisadores de atividade de arquivo que o Microsoft Sentinel fornece prontos para uso, consulte a Lista dos analisadores do ASIM
Adicionar seus próprios analisadores normalizados
Ao implementar analisadores personalizados para o modelo de informação do Evento do Arquivo, dê um nome às suas funções KQL usando a seguinte sintaxe: imFileEvent<vendor><Product.
Consulte o artigo Gerenciando analisadores do ASIM para saber como adicionar seus analisadores personalizados ao analisador unificador de atividade de arquivo.
Conteúdo normalizado
Para obter uma lista completa de regras de análise que usam eventos de Atividade de Arquivo normalizados, confira o Conteúdo de segurança de Atividade de Arquivo.
Visão geral do esquema
O modelo de informação de evento de arquivo que está alinhado ao esquema de entidade de processo OSSEM.
O esquema de evento do Arquivo faz referência às seguintes entidades, que são fundamentais para atividades de arquivo:
- Actor. O usuário que iniciou a atividade do arquivo
- ActingProcess. O processo usado pelo Ator para iniciar a atividade do arquivo
- TargetFile. O arquivo no qual a operação foi realizada
- Source File (SrcFile) . Armazena informações do arquivo antes da operação.
A relação entre essas entidades é melhor demonstrada da seguinte maneira: um Ator executa uma operação de arquivo usando um Processo de ação, que muda o Arquivo de origem para o Arquivo de destino.
Por exemplo: JohnDoe (Ator) usa Windows File Explorer (Processo de ação) para renomear new.doc (Arquivo de origem) para old.doc (Arquivo de destino).
Detalhes do esquema
Campos comuns
Importante
Os campos comuns a todos os esquemas estão descritos em detalhes no artigo Campos comuns do ASIM.
Campos com diretrizes específicas para o esquema de Evento de Arquivo
A lista a seguir menciona os campos que têm diretrizes específicas para eventos da atividade de arquivo:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| EventType | Obrigatório | Enumerated | Descreve a operação relatada pelo registro. Os valores compatíveis incluem: - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| EventSubType | Opcional | Enumerated | Descreve detalhes sobre a operação relatada em EventType. Os valores com suporte por tipo de evento incluem: - FileCreated - Upload, Checkin- FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed - Download, Preview, Checkout, Extended- FileDeleted - Recycled, Versions, Site |
| EventSchema | Obrigatório | String | O nome do esquema documentado aqui é FileEvent. |
| EventSchemaVersion | Obrigatório | String | A versão do esquema. A versão do esquema documentado aqui é a 0.2.1 |
| Campos Dvc | - | - | Para eventos de atividade de Arquivo, os campos de dispositivo referem-se ao sistema no qual a atividade de atividade ocorreu. |
Importante
No momento, o campo EventSchema é opcional, mas ele será obrigatório a partir de 1º de setembro de 2022.
Todos campos comuns
Os campos que aparecem na tabela abaixo são comuns a todos os esquemas de ASIM. Qualquer uma das diretrizes específicas do esquema neste documento substitui as diretrizes gerais para o campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para saber mais sobre cada campo, confira o artigo Campos comuns de ASIM.
| Classe | Fields |
|---|---|
| Obrigatório | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendadas | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campos de arquivo de destino
Os campos a seguir representam informações sobre o arquivo de destino em uma operação de arquivo. Se a operação envolver um único arquivo, FileCreate por exemplo, ela será representada pelos campos de arquivo de destino.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| TargetFileCreationTime | Opcional | Data/Hora | A hora em que o arquivo de destino foi criado. |
| TargetFileDirectory | Opcional | Cadeia de caracteres | A pasta ou o local do arquivo de destino. Esse campo deve ser semelhante ao campo TargetFilePath, sem o elemento final. Observação: um analisador poderá fornecer esse valor se o valor disponível na origem do log não precisar ser extraído do caminho completo. |
| TargetFileExtension | Opcional | Cadeia de caracteres | A extensão do arquivo de destino. Observação: um analisador poderá fornecer esse valor se o valor disponível na origem do log não precisar ser extraído do caminho completo. |
| TargetFileMimeType | Opcional | Enumerated | O Mime ou Media, tipo de arquivo de destino. Os valores permitidos são listados no repositório Tipos de Mídia IANA. |
| TargetFileName | Recomendadas | Cadeia de caracteres | O nome do arquivo de destino, sem um caminho ou um local, mas com uma extensão, se relevante. Esse campo deve ser semelhante ao elemento final no campo TargetFilePath. |
| FileName | Alias | Alias para o campo TargetFileName. | |
| TargetFilePath | Obrigatório | String | O caminho completo normalizado do arquivo de destino, incluindo a pasta ou o local, o nome do arquivo e a extensão. Para saber mais, confira Estrutura do caminho. Observação: se o registro não incluir informações de pasta ou local, armazene o nome de arquivo apenas aqui. Exemplo: C:\Windows\System32\notepad.exe |
| TargetFilePathType | Obrigatório | Enumerated | O tipo de TargetFilePath. Para saber mais, confira Estrutura do caminho. |
| FilePath | Alias | Alias para o campo TargetFilePath. | |
| TargetFileMD5 | Opcional | MD5 | O hash MD5 do arquivo de destino. Exemplo: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | Opcional | SHA1 | O hash SHA-1 do arquivo de destino. Exemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | Opcional | SHA256 | O hash SHA-256 do arquivo de destino. Exemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | Opcional | SHA512 | O hash SHA-512 do arquivo de origem. |
| Hash | Alias | Alias para o melhor hash de arquivo de destino disponível. | |
| HashType | Recomendadas | String | O tipo de hash armazenado no campo de alias HASH, os valores permitidos são MD5, SHA, SHA256, SHA512 e IMPHASH. Obrigatório se Hash for preenchido. |
| TargetFileSize | Opcional | long | O tamanho do arquivo de destino em bytes. |
Campos de arquivo de origem
Os campos a seguir representam informações sobre o arquivo de origem em uma operação de arquivo que tem uma origem e um destino, como cópia. Se a operação envolver um único arquivo, ela será representada pelos campos de arquivo de destino.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| SrcFileCreationTime | Opcional | Data/Hora | A hora em que o arquivo de origem foi criado. |
| SrcFileDirectory | Opcional | Cadeia de caracteres | A pasta ou o local do arquivo de origem. Esse campo deve ser semelhante ao campo SrcFilePath, sem o elemento final. Observação: um analisador poderá fornecer esse valor se o valor disponível na origem do log não precisar ser extraído do caminho completo. |
| SrcFileExtension | Opcional | Cadeia de caracteres | A extensão do arquivo de origem. Observação: um analisador poderá fornecer esse valor se o valor disponível na origem do log não precisar ser extraído do caminho completo. |
| SrcFileMimeType | Opcional | Enumerated | O tipo Mime ou Media do arquivo de origem. Os valores compatíveis são listados no repositório Tipos de Mídia IANA. |
| SrcFileName | Recomendadas | Cadeia de caracteres | O nome do arquivo de origem, sem um caminho ou um local, mas com uma extensão, se relevante. Esse campo deve ser semelhante ao último elemento no campo SrcFilePath. |
| SrcFilePath | Recomendadas | String | O caminho completo normalizado do arquivo de origem, incluindo a pasta ou o local, o nome do arquivo e a extensão. Para saber mais, confira Estrutura do caminho. Exemplo: /etc/init.d/networking |
| SrcFilePathType | Recomendadas | Enumerated | O tipo de SrcFilePath. Para saber mais, confira Estrutura do caminho. |
| SrcFileMD5 | Opcional | MD5 | O hash MD5 do arquivo de origem. Exemplo: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | Opcional | SHA1 | O hash SHA-1 do arquivo de origem. Exemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | Opcional | SHA256 | O hash SHA-256 do arquivo de origem. Exemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | Opcional | SHA512 | O hash SHA-512 do arquivo de origem. |
| SrcFileSize | Opcional | long | O tamanho do arquivo em bytes. |
Campos de ator
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ActorUserId | Recomendadas | String | Uma representação exclusiva, alfanumérica e legível pelo computador de um Ator. Para o formato com suporte para tipos de ID diferentes, consulte a entidade do Usuário. Exemplo: S-1-12 |
| ActorScope | Opcional | String | O escopo, como o locatário do Microsoft Entra, no qual são definidos ActorUserId e ActorUsername. Para obter mais informações e uma lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema. |
| ActorScopeId | Opcional | String | A ID do escopo, como a ID de diretório do Microsoft Entra, na qual são definidos ActorUserId e ActorUsername. Para obter mais informações e uma lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema. |
| ActorUserIdType | Condicional | String | O tipo da ID armazenada no campo ActorUserId. Para obter uma lista de valores permitidos e informações adicionais, consulte UserIdType no artigo Visão geral do esquema. |
| ActorUsername | Obrigatório | String | O nome de usuário do ator, incluindo informações de domínio, quando disponíveis. Para o formato com suporte para tipos de ID diferentes, consulte a entidade do Usuário. Use o formulário simples somente quando as informações de domínio não estiverem disponíveis. Armazene o tipo de nome de usuário no campo ActorUsernameType. Se outros formatos de nome de usuário estiverem disponíveis, armazene-os nos campos ActorUsername<UsernameType>.Exemplo: AlbertE |
| Usuário | Alias | Alias para o campo ActorUsername. Exemplo: CONTOSO\dadmin |
|
| ActorUsernameType | Condicional | Enumerated | Especifica o tipo de nome de usuário armazenado no campo ActorUsername. Para obter uma lista de valores permitidos e informações adicionais, consulte UsernameType no artigo Visão geral do esquema. Exemplo: Windows |
| ActorSessionId | Opcional | Cadeia de caracteres | A ID exclusiva da sessão de logon de Actor. Exemplo: 999Observação: o tipo é definido como uma cadeia de caracteres para ser compatível com sistemas variados, mas no Windows esse valor deve ser numérico. Se você estiver usando um computador Windows e tiver usado um tipo diferente, converta os valores. Por exemplo, se você tiver usado um valor hexadecimal, converta-o em um valor decimal. |
| ActorUserType | Opcional | UserType | O tipo do Ator. Para obter uma lista de valores permitidos e informações adicionais, consulte UserType no artigo Visão geral do esquema. Observação: O valor pode ser fornecido no registro de origem usando diferentes termos, que devem ser normalizados para esses valores. Armazene o valor original no campo ActorOriginalUserType. |
| ActorOriginalUserType | Opcional | String | O tipo de usuário de destino original, se fornecido pelo dispositivo de relatório. |
Campos de processo de atuação
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ActingProcessCommandLine | Opcional | Cadeia de caracteres | A linha de comando usada para executar o processo de ação. Exemplo: "choco.exe" -v |
| ActingProcessName | Opcional | string | O nome do processo de ação. Esse nome é normalmente derivado do arquivo executável ou de imagem usado para definir o código inicial e os dados mapeados no espaço de endereço virtual do processo. Exemplo: C:\Windows\explorer.exe |
| Processo | Alias | Alias de ActingProcessName | |
| ActingProcessId | Opcional | String | O PID (ID do processo) do processo de ação. Exemplo: 48610176 Observação: o tipo é definido como uma cadeia de caracteres para ser compatível com sistemas variados, mas no Windows e no Linux esse valor deve ser numérico. Se você estiver usando um computador Windows ou Linux e tiver usado um tipo diferente, converta os valores. Por exemplo, se você tiver usado um valor hexadecimal, converta-o em um valor decimal. |
| ActingProcessGuid | Opcional | string | Um GUID (identificador exclusivo) gerado do processo de ação. Permite identificar o processo entre sistemas. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Campos relacionados ao sistema de origem
Os campos a seguir representam informações sobre o sistema que inicia a atividade de arquivo, normalmente quando transportado pela rede.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| SrcIpAddr | Recomendadas | Endereço IP | Quando a operação é iniciada por um sistema remoto, o endereço IP desse sistema. Exemplo: 185.175.35.214 |
| IpAddr | Alias | Alias para SrcIpAddr | |
| Src | Alias | Alias para SrcIpAddr | |
| SrcPortNumber | Opcional | Inteiro | Quando a operação é iniciada por um sistema remoto, o número da porta na qual a conexão foi iniciada. Exemplo: 2335 |
| SrcHostname | Recomendadas | Nome do host | O nome do host do dispositivo de origem, incluindo informações de domínio. Se nenhum nome de dispositivo estiver disponível, armazene o endereço IP relevante nesse campo. Exemplo: DESKTOP-1282V4D |
| SrcDomain | Recomendadas | String | O domínio do dispositivo de origem. Exemplo: Contoso |
| SrcDomainType | Condicional | DomainType | O tipo de SrcDomain. Para obter uma lista de valores permitidos e informações adicionais, consulte DomainType no artigo Visão Geral do Esquema. Necessário se SrcDomain for usado. |
| SrcFQDN | Opcional | Cadeia de caracteres | O nome do host do dispositivo de origem, incluindo informações de domínio quando disponível. Observação: esse campo dá suporte ao formato FQDN tradicional e ao formato domínio\nome do host do Windows. O campo SrcDomainType reflete o formato usado. Exemplo: Contoso\DESKTOP-1282V4D |
| SrcDescription | Opcional | String | Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller. |
| SrcDvcId | Opcional | String | A ID do dispositivo de origem. Se várias IDs estiverem disponíveis, use a mais importante e armazene as outras nos campos SrcDvc<DvcIdType>.Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcional | String | A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do SrcDvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
| SrcDvcScope | Opcional | String | O escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do SrcDvcScope para uma ID da assinatura no Azure e para uma ID da conta no AWS. |
| SrcDvcIdType | Condicional | DvcIdType | Tipo de SrcDvcId. Para obter uma lista de valores permitidos e informações adicionais, consulte DvcIdType no artigo Visão geral do esquema. Observação: esse campo será obrigatório se SrcDvcId for usado. |
| SrcDeviceType | Opcional | DeviceType | O tipo do dispositivo de origem. Para obter uma lista de valores permitidos e informações adicionais, consulte DeviceType no artigo Visão geral do esquema. |
| SrcSubscriptionId | Opcional | String | A ID da assinatura da plataforma de nuvem à qual o dispositivo de origem pertence. Mapa do SrcSubscriptionId para uma ID da assinatura no Azure e para uma ID da conta no AWS. |
| SrcGeoCountry | Opcional | País | O país associado ao endereço IP de origem. Exemplo: USA |
| SrcGeoRegion | Opcional | Região | A região associada ao endereço IP de origem. Exemplo: Vermont |
| SrcGeoCity | Opcional | City | A cidade associada ao endereço IP de origem. Exemplo: Burlington |
| SrcGeoLatitude | Opcional | Latitude | A latitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 44.475833 |
| SrcGeoLongitude | Opcional | Longitude | A longitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 73.211944 |
Problemas relacionados à rede
Os campos a seguir representam informações sobre a sessão de rede quando a atividade do arquivo foi transportada pela rede.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| HttpUserAgent | Opcional | Cadeia de caracteres | Quando a operação é iniciada por um sistema remoto usando HTTP ou HTTPS, o agente de usuário usado. Por exemplo: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | Opcional | Cadeia de caracteres | Quando a operação é iniciada por um sistema remoto, esse valor é o protocolo de camada de aplicativo usado no modelo OSI. Embora esse campo não seja enumerado e qualquer valor seja aceito, os valores preferíveis incluem: HTTP, HTTPS, SMB, FTP e SSHExemplo: SMB |
Campos do aplicativo de destino
Os campos a seguir representam informações sobre o aplicativo de destino que executa a atividade de arquivo em nome do usuário. Um aplicativo de destino geralmente está relacionado à atividade de arquivo na rede, por exemplo, usando aplicativos Saas (Software como serviço).
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| TargetAppName | Opcional | Cadeia de caracteres | O nome do aplicativo de destino. Exemplo: Facebook |
| Application | Alias | Alias para TargetAppName. | |
| TargetAppId | Opcional | Cadeia de caracteres | A ID do aplicativo de destino, conforme relatado pelo dispositivo de relatório. |
| TargetAppType | Opcional | AppType | O tipo do aplicativo de destino. Para obter uma lista de valores permitidos e informações adicionais, consulte AppType no artigo Visão geral do esquema. Esse campo será obrigatório se TargetAppName ou TargetAppId forem usados. |
| TargetUrl | Opcional | Cadeia de caracteres | Quando a operação é iniciada usando HTTP ou HTTPS, a URL usada. Exemplo: https://onedrive.live.com/?authkey=... |
| URL | Alias | Alias para TargetUrl |
Campos de inspeção
Os campos a seguir são usados para representar essa inspeção executada por um sistema de segurança como um sistema antivírus. O thread identificado geralmente está associado ao arquivo no qual a atividade foi executada em vez da atividade em si.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| RuleName | Opcional | String | O nome ou a ID da regra associada aos resultados da inspeção. |
| RuleNumber | Opcional | Inteiro | O número da regra associada aos resultados da inspeção. |
| Regra | Condicional | String | O valor de kRuleName ou o valor de RuleNumber. Se o valor de RuleNumber for usado, o tipo deverá ser convertido em cadeia de caracteres. |
| ThreatId | Opcional | String | A ID da ameaça ou do malware identificado na atividade de arquivo. |
| ThreatName | Opcional | String | O nome da ameaça ou do malware identificado na atividade de arquivo. Exemplo: EICAR Test File |
| ThreatCategory | Opcional | String | A categoria da ameaça ou do malware identificado na atividade de arquivo. Exemplo: Trojan |
| ThreatRiskLevel | Opcional | Inteiro | O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. Observação: o valor pode ser fornecido no registro de origem usando uma escala diferente, que deve ser normalizado para essa escala. O valor original deve ser armazenado em ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcional | Cadeia de caracteres | O nível de risco, conforme relatado pelo dispositivo de relatório. |
| ThreatFilePath | Opcional | String | Um caminho de arquivo para o qual uma ameaça foi identificada. O campo ThreatField contém o nome do campo que ThreatFilePath representa. |
| ThreatField | Opcional | Enumerated | O campo para o qual uma ameaça foi identificada. O valor é SrcFilePath ou DstFilePath. |
| ThreatConfidence | Opcional | Inteiro | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatOriginalConfidence | Opcional | String | O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
| ThreatIsActive | Opcional | Boolean | True, se a ameaça identificada é considerada uma ameaça ativa. |
| ThreatFirstReportedTime | Opcional | DATETIME | A primeira vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatLastReportedTime | Opcional | DATETIME | A última vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
Estrutura do caminho
O caminho deve ser normalizado para corresponder a um dos formatos a seguir. O formato em que o valor é normalizado será refletido no respectivo campo FilePathType.
| Type | Exemplo | Observações |
|---|---|---|
| Windows Local | C:\Windows\System32\notepad.exe |
Como nomes de caminho do Windows não diferenciam maiúsculas de minúsculas, esse tipo implica que o valor não diferencia maiúsculas de minúsculas. |
| Compartilhamento do Windows | \\Documents\My Shapes\Favorites.vssx |
Como nomes de caminho do Windows não diferenciam maiúsculas de minúsculas, esse tipo implica que o valor não diferencia maiúsculas de minúsculas. |
| Unix | /etc/init.d/networking |
Como os nomes de caminho Unix diferenciam maiúsculas e minúsculas, esse tipo implica que o valor diferencia maiúsculas e minúsculas. – Use esse tipo para AWS S3. Concatene os nomes de bucket e chave para criar o caminho. – Use esse tipo para chaves de objeto do Armazenamento de Blobs do Azure. |
| URL | https://1drv.ms/p/s!Av04S_*********we |
Use quando o caminho do arquivo estiver disponível como uma URL. As URLs não estão limitadas a http ou https, e qualquer valor válido, incluindo um valor de FTP, é válido. |
Atualizações de esquema
Essas são as alterações na versão 0.1.1 do esquema:
- Adicionou o campo
EventSchema.
Há mudanças na versão 0.2 do esquema:
- Adicionados os campos de inspeção.
- Adicionados os campos
ActorScope,TargetUserScope,HashType,TargetAppName,TargetAppId,TargetAppType,SrcGeoCountry,SrcGeoRegion,SrcGeoLongitude,SrcGeoLatitude,ActorSessionId,DvcScopeIdeDvcScope.. - Adicionados os aliases
Url,IpAddr, 'FileName' eSrc.
Há mudanças na versão 0.2.1 do esquema:
- Adicionado
Applicationcomo alias paraTargetAppName. - Adicionou o campo
ActorScopeId - Adicionados campos relacionados ao dispositivo de origem.
Próximas etapas
Para obter mais informações, consulte:
- Assista ao Webinar do ASIM ou examine os slides
- Visão geral do ASIM (Modelo de Informações de Segurança Avançado)
- Esquemas do ASIM (Modelo de Informações de Segurança Avançado)
- Analisadores do ASIM (Modelo de Informações de Segurança Avançado)
- Conteúdo do ASIM (Modelo de Informações de Segurança Avançado)