Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O esquema de normalização de Eventos de Ficheiros é utilizado para descrever a atividade de ficheiros, como criar, modificar ou eliminar ficheiros ou documentos. Estes eventos são comunicados por sistemas operativos, sistemas de armazenamento de ficheiros, como Ficheiros do Azure e sistemas de gestão de documentos, como o Microsoft SharePoint.
Para obter mais informações sobre a normalização no Microsoft Sentinel, veja Normalização e Modelo avançado de informações de segurança (ASIM).
Analisadores
Implementar e utilizar analisadores de atividade de ficheiros
Implemente os analisadores da Atividade de Ficheiros do ASIM a partir do repositório Microsoft Sentinel GitHub. Para consultar todas as origens de Atividade de Ficheiros, utilize o analisador imFileEvent unificador como o nome da tabela na consulta.
Para obter mais informações sobre a utilização de analisadores ASIM, veja Descrição geral dos analisadores asIM. Para obter a lista dos analisadores de atividade de ficheiros Microsoft Sentinel fornece uma lista completa, consulte a lista de analisadores ASIM
Adicionar os seus próprios analisadores normalizados
Ao implementar analisadores personalizados para o modelo de informações do Evento de Ficheiro, atribua um nome às funções KQL com a seguinte sintaxe: imFileEvent<vendor><Product.
Veja o artigo Managing ASIM parsers (Gerir analisadores ASIM ) para saber como adicionar os seus analisadores personalizados ao analisador unificador da atividade de ficheiros.
Filtrar parâmetros do analisador
Os analisadores de Eventos de Ficheiro suportam parâmetros de filtragem. Embora estes parâmetros sejam opcionais, podem melhorar o desempenho da consulta.
Estão disponíveis os seguintes parâmetros de filtragem:
| Name | Tipo | Descrição |
|---|---|---|
| hora de início | datetime | Filtre apenas eventos de ficheiros que ocorreram em ou depois desta hora. Este parâmetro filtra no TimeGenerated campo, que é o designador padrão para a hora do evento, independentemente do mapeamento específico do analisador dos campos EventStartTime e EventEndTime. |
| endtime | datetime | Filtre apenas eventos de ficheiros que ocorreram em ou antes deste momento. Este parâmetro filtra no TimeGenerated campo, que é o designador padrão para a hora do evento, independentemente do mapeamento específico do analisador dos campos EventStartTime e EventEndTime. |
| eventtype_in | dinâmico | Filtre apenas eventos de ficheiro em que o tipo de evento seja um dos valores listados, como FileCreated, FileModified, FileDeleted, FileRenamedou FileCopied. |
| srcipaddr_has_any_prefix | dinâmico | Filtre apenas eventos de ficheiro em que o prefixo do endereço IP de origem corresponda a qualquer um dos valores listados. Os prefixos devem terminar com um ., por exemplo: 10.0.. |
| actorusername_has_any | dinâmico | Filtre apenas eventos de ficheiro em que o nome de utilizador do ator tenha qualquer um dos valores listados. |
| targetfilepath_has_any | dinâmico | Filtre apenas eventos de ficheiro em que o caminho do ficheiro de destino tenha qualquer um dos valores listados. |
| srcfilepath_has_any | dinâmico | Filtre apenas eventos de ficheiro em que o caminho do ficheiro de origem tenha qualquer um dos valores listados. |
| hashes_has_any | dinâmico | Filtre apenas eventos de ficheiro em que o hash de ficheiro corresponda a qualquer um dos valores listados. |
| dvchostname_has_any | dinâmico | Filtre apenas eventos de ficheiro em que o nome do anfitrião do dispositivo tenha qualquer um dos valores listados. |
Por exemplo, para filtrar apenas eventos de criação e modificação de ficheiros do último dia, utilize:
_Im_FileEvent (eventtype_in=dynamic(['FileCreated','FileModified']), starttime = ago(1d), endtime=now())
Conteúdo normalizado
Para obter uma lista completa das regras de análise que utilizam eventos normalizados da Atividade de Ficheiros, veja Conteúdo de segurança da Atividade de Ficheiros.
Descrição geral do esquema
O modelo de informações do Evento de Ficheiro está alinhado com o esquema da entidade Processo OSSEM.
O esquema evento de ficheiro referencia as seguintes entidades, que são centrais para atividades de ficheiros:
- Um actor. O utilizador que iniciou a atividade do ficheiro
- ActingProcess. O processo utilizado pelo Ator para iniciar a atividade do ficheiro
- TargetFile. O ficheiro no qual a operação foi executada
- Ficheiro de Origem (SrcFile). Armazena as informações de ficheiro antes da operação.
A relação entre estas entidades é melhor demonstrada da seguinte forma: um Ator efetua uma operação de ficheiro com um Processo de Representação, que modifica o Ficheiro de Origem para Ficheiro de Destino.
Por exemplo: JohnDoe (Ator) utiliza Windows File Explorer (Processo de representação) para mudar o nome new.doc (Ficheiro de Origem) para old.doc (Ficheiro de Destino).
Detalhes do esquema
Campos comuns
Importante
Os campos comuns a todos os esquemas são descritos em detalhe no artigo Campos Comuns do ASIM .
Campos com diretrizes específicas para o esquema de Evento de Ficheiro
A lista seguinte menciona campos que têm diretrizes específicas para eventos de atividade de Ficheiros:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| EventType | Obrigatório | Enumerado | Descreve a operação comunicada pelo registo. Os valores suportados incluem: - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| EventSubType | Opcional | Enumerado | Descreve detalhes sobre a operação reportada no EventType. Os valores suportados por tipo de evento incluem: - FileCreated
-
Upload, Checkin- FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed
-
Download, Preview, Checkout, Extended- FileDeleted
-
Recycled, Versions, Site |
| EventSchema | Obrigatório | Enumerado | O nome do esquema aqui documentado é FileEvent. |
| EventSchemaVersion | Obrigatório | SchemaVersion (Cadeia) | A versão do esquema. A versão do esquema documentado aqui é 0.2.2 |
| Campos dvc | - | - | Para eventos de atividade ficheiro, os campos do dispositivo referem-se ao sistema no qual ocorreu a atividade do ficheiro. |
Importante
O EventSchema campo é atualmente opcional, mas passará a ser Obrigatório a 1 de setembro de 2022.
Todos os campos comuns
Os campos que aparecem na tabela são comuns a todos os esquemas ASIM. Qualquer uma das diretrizes específicas do esquema neste documento substitui as diretrizes gerais do campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais informações sobre cada campo, consulte o artigo Campos Comuns do ASIM .
| Classe | Campos |
|---|---|
| Obrigatório |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendado |
-
EventResultDetails - EventoSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campos Adicionais - DvcDescription - DvcScopeId - DvcScope |
Campos de ficheiro de destino
Os campos seguintes representam informações sobre o ficheiro de destino numa operação de ficheiro. Se a operação envolver um único ficheiro, FileCreate por exemplo, é representada pelos campos de ficheiro de destino.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| TargetFileCreationTime | Opcional | Data/Hora | A hora em que o ficheiro de destino foi criado. |
| TargetFileDirectory | Opcional | Cadeia | A localização ou pasta de ficheiros de destino. Este campo deve ser semelhante ao campo TargetFilePath , sem o elemento final. Nota: um analisador pode fornecer este valor se o valor disponível na origem de registo e não precisar de ser extraído do caminho completo. |
| TargetFileExtension | Opcional | Cadeia | A extensão do ficheiro de destino. Nota: um analisador pode fornecer este valor se o valor disponível na origem de registo e não precisar de ser extraído do caminho completo. |
| TargetFileMimeType | Opcional | Cadeia | O tipo mime, ou Multimédia, do ficheiro de destino. Os valores permitidos estão listados no repositório Tipos de Multimédia IANA . |
| TargetFileName | Recomendado | Cadeia | O nome do ficheiro de destino, sem um caminho ou uma localização, mas com uma extensão, se relevante. Este campo deve ser semelhante ao elemento final no campo TargetFilePath . |
| NomedoFicheiro | Alias | Alias para o campo TargetFileName . | |
| TargetFilePath | Obrigatório | Cadeia | O caminho completo e normalizado do ficheiro de destino, incluindo a pasta ou localização, o nome do ficheiro e a extensão. Para obter mais informações, veja Estrutura do caminho. Nota: se o registo não incluir informações de localização ou pasta, armazene o nome de ficheiro apenas aqui. Exemplo: C:\Windows\System32\notepad.exe |
| TargetFilePathType | Obrigatório | Enumerado | O tipo de TargetFilePath. Para obter mais informações, veja Estrutura do caminho. |
| FilePath | Alias | Alias para o campo TargetFilePath . | |
| TargetFileMD5 | Opcional | MD5 | O hash MD5 do ficheiro de destino. Exemplo: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | Opcional | SHA1 | O hash SHA-1 do ficheiro de destino. Exemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | Opcional | SHA256 | O hash SHA-256 do ficheiro de destino. Exemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | Opcional | SHA512 | O hash SHA-512 do ficheiro de origem. |
| Hash | Alias | Alias para o melhor hash de Ficheiro de Destino disponível. | |
| HashType | Condicional | Enumerado | O tipo de hash armazenado no campo alias HASH, os valores permitidos são MD5, SHA, SHA256SHA512 e IMPHASH. Obrigatório se Hash estiver preenchido. |
| TargetFileSize | Opcional | Longo | O tamanho do ficheiro de destino em bytes. |
Campos de ficheiro de origem
Os campos seguintes representam informações sobre o ficheiro de origem numa operação de ficheiro que tem uma origem e um destino, como copiar. Se a operação envolver um único ficheiro, é representada pelos campos de ficheiro de destino.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| SrcFileCreationTime | Opcional | Data/Hora | A hora em que o ficheiro de origem foi criado. |
| SrcFileDirectory | Opcional | Cadeia | A localização ou pasta do ficheiro de origem. Este campo deve ser semelhante ao campo SrcFilePath , sem o elemento final. Nota: um analisador pode fornecer este valor se o valor estiver disponível na origem de registo e não precisar de ser extraído do caminho completo. |
| SrcFileExtension | Opcional | Cadeia | A extensão do ficheiro de origem. Nota: um analisador pode fornecer este valor, o valor está disponível na origem de registo e não precisa de ser extraído do caminho completo. |
| SrcFileMimeType | Opcional | Cadeia | O tipo Mime ou Multimédia do ficheiro de origem. Os valores suportados estão listados no repositório Tipos de Multimédia da IANA . |
| SrcFileName | Recomendado | Cadeia | O nome do ficheiro de origem, sem um caminho ou uma localização, mas com uma extensão, se relevante. Este campo deve ser semelhante ao último elemento no campo SrcFilePath . |
| SrcFilePath | Recomendado | Cadeia | O caminho completo e normalizado do ficheiro de origem, incluindo a pasta ou localização, o nome do ficheiro e a extensão. Para obter mais informações, veja Estrutura do caminho. Exemplo: /etc/init.d/networking |
| SrcFilePathType | Recomendado | Enumerado | O tipo de SrcFilePath. Para obter mais informações, veja Estrutura do caminho. |
| SrcFileMD5 | Opcional | MD5 | O hash MD5 do ficheiro de origem. Exemplo: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | Opcional | SHA1 | O hash SHA-1 do ficheiro de origem. Exemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | Opcional | SHA256 | O hash SHA-256 do ficheiro de origem. Exemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | Opcional | SHA512 | O hash SHA-512 do ficheiro de origem. |
| SrcFileSize | Opcional | Longo | O tamanho do ficheiro de origem em bytes. |
Campos de ator
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ActorUserId | Recomendado | Cadeia | Uma representação exclusiva, alfanumérica e legível por computador do Ator. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade Utilizador. Exemplo: S-1-12 |
| ActorScope | Opcional | Cadeia | O âmbito, como Microsoft Entra inquilino, no qual ActorUserId e ActorUsername estão definidos. ou mais informações e lista de valores permitidos, veja UserScope no artigo Descrição Geral do Esquema. |
| ActorScopeId | Opcional | Cadeia | O ID de âmbito, como Microsoft Entra ID do Diretório, no qual ActorUserId e ActorUsername estão definidos. ou mais informações e lista de valores permitidos, veja UserScopeId no artigo Descrição Geral do Esquema. |
| ActorUserIdType | Condicional | Enumerado | O tipo do ID armazenado no campo ActorUserId . Para obter uma lista de valores permitidos e mais informações, veja UserIdType no artigo Descrição Geral do Esquema. |
| ActorUsername | Obrigatório | Nome de utilizador (Cadeia) | O Nome de utilizador do Ator, incluindo informações de domínio quando disponível. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade Utilizador. Utilize o formulário simples apenas se as informações de domínio não estiverem disponíveis. Armazene o tipo nome de utilizador no campo ActorUsernameType . Se estiverem disponíveis outros formatos de nome de utilizador, armazene-os nos campos ActorUsername<UsernameType>.Exemplo: AlbertE |
| Utilizador | Alias | Alias para o campo ActorUsername . Exemplo: CONTOSO\dadmin |
|
| ActorUsernameType | Condicional | Enumerado | Especifica o tipo do nome de utilizador armazenado no campo ActorUsername . Para obter uma lista de valores permitidos e mais informações, veja UsernameType no artigo Descrição Geral do Esquema. Exemplo: Windows |
| ActorSessionId | Opcional | Cadeia | O ID exclusivo da sessão de início de sessão do Ator. Exemplo: 999Nota: o tipo é definido como cadeia para suportar vários sistemas, mas no Windows este valor tem de ser numérico. Se estiver a utilizar um computador Windows e tiver utilizado um tipo diferente, certifique-se de que converte os valores. Por exemplo, se utilizou um valor hexadecimal, converta-o num valor decimal. |
| ActorUserType | Opcional | UserType | O tipo de Ator. Para obter uma lista de valores permitidos e mais informações, veja UserType no artigo Descrição Geral do Esquema. Nota: o valor pode ser fornecido no registo de origem com termos diferentes, que devem ser normalizados para estes valores. Armazene o valor original no campo ActorOriginalUserType . |
| ActorOriginalUserType | Opcional | Cadeia | O tipo de utilizador de destino original, se for fornecido pelo dispositivo de relatório. |
Campos do processo de ação
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ActingProcessCommandLine | Opcional | Cadeia | A linha de comandos utilizada para executar o processo de ação. Exemplo: "choco.exe" -v |
| ActingProcessName | Opcional | cadeia | O nome do processo de representação. Este nome é normalmente derivado da imagem ou ficheiro executável que é utilizado para definir o código inicial e os dados mapeados para o espaço de endereços virtual do processo. Exemplo: C:\Windows\explorer.exe |
| Processo | Alias | Alias to ActingProcessName | |
| ActingProcessId | Opcional | Cadeia | O ID do processo (PID) do processo de ação. Exemplo: 48610176 Nota: o tipo é definido como cadeia para suportar sistemas variados, mas no Windows e Linux este valor tem de ser numérico. Se estiver a utilizar um computador Windows ou Linux e tiver utilizado um tipo diferente, certifique-se de que converte os valores. Por exemplo, se utilizou um valor hexadecimal, converta-o num valor decimal. |
| ActingProcessGuid | Opcional | GUID (cadeia) | Um identificador exclusivo gerado (GUID) do processo de ação. Permite identificar o processo entre sistemas. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Campos relacionados com o sistema de origem
Os campos seguintes representam informações sobre o sistema que inicia a atividade do ficheiro, normalmente quando transportado através da rede.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| SrcIpAddr | Recomendado | Endereço IP | Quando a operação é iniciada por um sistema remoto, o endereço IP deste sistema. Exemplo: 185.175.35.214 |
| IpAddr | Alias | Alias to SrcIpAddr (Alias to SrcIpAddr) | |
| Src | Alias | Alias to SrcIpAddr (Alias to SrcIpAddr) | |
| SrcPortNumber | Opcional | Número inteiro | Quando a operação é iniciada por um sistema remoto, o número de porta a partir do qual a ligação foi iniciada. Exemplo: 2335 |
| SrcHostname | Opcional | Nome do anfitrião (Cadeia) | O nome do anfitrião do dispositivo de origem, excluindo as informações de domínio. Se não estiver disponível nenhum nome de dispositivo, armazene o endereço IP relevante neste campo. Exemplo: DESKTOP-1282V4D |
| SrcDomain | Opcional | Domínio (Cadeia) | O domínio do dispositivo de origem. Exemplo: Contoso |
| SrcDomainType | Condicional | DomainType | O tipo de SrcDomain. Para obter uma lista de valores permitidos e mais informações, veja DomainType no artigo Descrição Geral do Esquema. Necessário se o SrcDomain for utilizado. |
| SrcFQDN | Opcional | FQDN (Cadeia) | O nome do anfitrião do dispositivo de origem, incluindo informações de domínio quando disponível. Nota: este campo suporta o formato FQDN tradicional e o formato de domínio/nome do anfitrião do Windows. O campo SrcDomainType reflete o formato utilizado. Exemplo: Contoso\DESKTOP-1282V4D |
| SrcDescription | Opcional | Cadeia | Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller. |
| SrcDvcId | Opcional | Cadeia | O ID do dispositivo de origem. Se estiverem disponíveis vários IDs, utilize o mais importante e armazene os outros nos campos SrcDvc<DvcIdType>.Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcional | Cadeia | O ID de âmbito da plataforma na cloud ao qual o dispositivo pertence. O mapa SrcDvcScopeId é mapeado para um ID de subscrição no Azure e para um ID de conta no AWS. |
| SrcDvcScope | Opcional | Cadeia | O âmbito da plataforma na cloud ao qual o dispositivo pertence. O SrcDvcScope mapeia para um ID de subscrição no Azure e para um ID de conta no AWS. |
| SrcDvcIdType | Condicional | DvcIdType | O tipo de SrcDvcId. Para obter uma lista de valores permitidos e mais informações, veja DvcIdType no artigo Descrição Geral do Esquema. Nota: este campo é necessário se o SrcDvcId for utilizado. |
| SrcDeviceType | Opcional | DeviceType | O tipo do dispositivo de origem. Para obter uma lista de valores permitidos e mais informações, veja DeviceType no artigo Descrição Geral do Esquema. |
| SrcGeoCountry | Opcional | País/Região | O país/região associado ao endereço IP de origem. Exemplo: USA |
| SrcGeoRegion | Opcional | Região | A região associada ao endereço IP de origem. Exemplo: Vermont |
| SrcGeoCity | Opcional | Localidade | A cidade associada ao endereço IP de origem. Exemplo: Burlington |
| SrcGeoLatitude | Opcional | Latitude | A latitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 44.475833 |
| SrcGeoLongitude | Opcional | Longitude | A longitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 73.211944 |
Campos da aplicação em ação
Os campos seguintes representam informações sobre uma aplicação local que comunicou através de uma rede com um sistema remoto para realizar a atividade do ficheiro.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ActingAppName | Opcional | Cadeia | O nome da aplicação em ação. Exemplo: Facebook |
| ActingAppId | Opcional | Cadeia | O ID da aplicação em ação, conforme comunicado pelo dispositivo de relatório. |
| ActingAppType | Opcional | AppType | O tipo da aplicação de destino. Para obter uma lista de valores permitidos e mais informações, veja AppType no artigo Descrição Geral do Esquema. Este campo é obrigatório se targetAppName ou TargetAppId forem utilizados. |
| HttpUserAgent | Opcional | Cadeia | Quando a operação é iniciada por um sistema remoto com HTTP ou HTTPS, o agente de utilizador é utilizado. Por exemplo: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | Opcional | Cadeia | Quando a operação é iniciada por um sistema remoto, este valor é o protocolo de camada de aplicação utilizado no modelo OSI. Embora este campo não seja enumerado e qualquer valor seja aceite, os valores preferíveis incluem: HTTP, HTTPS, SMB,FTP e SSHExemplo: SMB |
Campos da aplicação de destino
Os campos seguintes representam informações sobre a aplicação de destino que executa a atividade de ficheiro em nome do utilizador. Normalmente, uma aplicação de destino está relacionada com a atividade de ficheiros através da rede, por exemplo, através de aplicações SaaS (Software como serviço).
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| TargetAppName | Opcional | Cadeia | O nome da aplicação de destino. Exemplo: Facebook |
| Aplicação | Alias | Alias para TargetAppName. | |
| TargetAppId | Opcional | Cadeia | O ID da aplicação de destino, conforme comunicado pelo dispositivo de relatório. |
| TargetAppType | Condicional | AppType | O tipo da aplicação de destino. Para obter uma lista de valores permitidos e mais informações, veja AppType no artigo Descrição Geral do Esquema. Este campo é obrigatório se targetAppName ou TargetAppId forem utilizados. |
| TargetOriginalAppType | Opcional | Cadeia | O tipo da aplicação de destino, conforme comunicado pelo dispositivo de relatório. |
| TargetUrl | Opcional | URL (Cadeia) | Quando a operação é iniciada com HTTP ou HTTPS, o URL utilizado. Exemplo: https://onedrive.live.com/?authkey=... |
| URL | Alias | Alias para TargetUrl |
Campos de inspeção
Os seguintes campos são utilizados para representar essa inspeção realizada por um sistema de segurança como um sistema antivírus. Normalmente, o thread identificado está associado ao ficheiro no qual a atividade foi efetuada em vez da própria atividade.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| RuleName | Opcional | Cadeia | O nome ou ID da regra associado aos resultados da inspeção. |
| RuleNumber | Opcional | Número inteiro | O número da regra associada aos resultados da inspeção. |
| Regra | Condicional | Cadeia | O valor de kRuleName ou o valor de RuleNumber. Se o valor de RuleNumber for utilizado, o tipo deve ser convertido em cadeia. |
| ThreatId | Opcional | Cadeia | O ID da ameaça ou software maligno identificado na atividade do ficheiro. |
| ThreatName | Opcional | Cadeia | O nome da ameaça ou software maligno identificado na atividade do ficheiro. Exemplo: EICAR Test File |
| ThreatCategory | Opcional | Cadeia | A categoria da ameaça ou software maligno identificado na atividade do ficheiro. Exemplo: Trojan |
| ThreatRiskLevel | Opcional | RiskLevel (Número Inteiro) | O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. Nota: o valor pode ser fornecido no registo de origem com uma escala diferente, que deve ser normalizada para esta escala. O valor original deve ser armazenado em ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Opcional | Cadeia | O nível de risco, conforme comunicado pelo dispositivo de relatório. |
| ThreatFilePath | Opcional | Cadeia | Um caminho de ficheiro para o qual foi identificada uma ameaça. O campo ThreatField contém o nome do campo que ThreatFilePath representa. |
| ThreatField | Condicional | Enumerado | O campo para o qual foi identificada uma ameaça. O valor é ou SrcFilePathDstFilePath. |
| ThreatConfidence | Opcional | ConfidenceLevel (Número Inteiro) | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatOriginalConfidence | Opcional | Cadeia | O nível de confiança original da ameaça identificado, conforme comunicado pelo dispositivo de relatório. |
| ThreatIsActive | Opcional | Booleano | Verdadeiro se a ameaça identificada for considerada uma ameaça ativa. |
| ThreatFirstReportedTime | Opcional | datetime | A primeira vez que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatLastReportedTime | Opcional | datetime | A última vez que o endereço IP ou domínio foi identificado como uma ameaça. |
Estrutura do caminho
O caminho deve ser normalizado para corresponder a um dos seguintes formatos. O formato para o qual o valor é normalizado será refletido no respetivo campo FilePathType .
| Tipo | Exemplos: | Notas |
|---|---|---|
| Windows Local | C:\Windows\System32\notepad.exe |
Uma vez que os nomes dos caminhos do Windows não são sensíveis a maiúsculas e minúsculas, este tipo implica que o valor não é sensível a maiúsculas e minúsculas. |
| Partilha do Windows | \\Documents\My Shapes\Favorites.vssx |
Uma vez que os nomes dos caminhos do Windows não são sensíveis a maiúsculas e minúsculas, este tipo implica que o valor não é sensível a maiúsculas e minúsculas. |
| Unix | /etc/init.d/networking |
Uma vez que os nomes de caminho Unix são sensíveis a maiúsculas e minúsculas, este tipo implica que o valor é sensível às maiúsculas e minúsculas. - Utilize este tipo para o AWS S3. Concatene o registo e os nomes das chaves para criar o caminho. - Utilize este tipo para Azure chaves de objetos de armazenamento de Blobs. |
| URL | https://1drv.ms/p/s!Av04S_*********we |
Utilize quando o caminho do ficheiro estiver disponível como UM URL. Os URLs não estão limitados a http ou https e qualquer valor, incluindo um valor FTP, é válido. |
Atualizações de esquema
Estas são as alterações na versão 0.1.1 do esquema:
- Adicionado o campo
EventSchema.
Estas são as alterações na versão 0.2 do esquema:
- Campos de inspeção adicionados.
- Foram adicionados os campos
ActorScope,TargetUserScope,HashType,TargetAppName,TargetAppId,SrcGeoCountryTargetAppType, ,SrcGeoRegionSrcGeoLongitude,SrcGeoLatitude,ActorSessionId, ,DvcScopeIdeDvcScope.. - Foram adicionados os aliases
Url,IpAddr, "FileName" eSrc.
Estas são as alterações na versão 0.2.1 do esquema:
- Adicionado
Applicationcomo um alias aTargetAppName. - Adicionado o campo
ActorScopeId - Foram adicionados campos relacionados com o dispositivo de origem.
Estas são as alterações na versão 0.2.2 do esquema:
- Adicionado o campo
TargetOriginalAppType - Foram adicionados os campos
ActingAppIdeActingAppNameActingAppTypeque não estão disponíveis na tabelaASimFileEventLogs.
Passos seguintes
Para mais informações, consulte:
- Ver o Webinar do ASIM ou rever os diapositivos
- Descrição geral do Modelo de Informação de Segurança Avançada (ASIM)
- Esquemas do Modelo de Informação de Segurança Avançada (ASIM)
- Analisadores do Modelo de Informação de Segurança Avançada (ASIM)
- Conteúdo do Modelo de Informação de Segurança Avançada (ASIM)