Partilhar via


A referência do esquema de normalização de eventos de arquivo ASIM (Advanced Security Information Model) (visualização pública)

O esquema de normalização de eventos de arquivo é usado para descrever a atividade do arquivo, como criar, modificar ou excluir arquivos ou documentos. Esses eventos são relatados por sistemas operacionais, sistemas de armazenamento de arquivos, como Arquivos do Azure, e sistemas de gerenciamento de documentos, como o Microsoft SharePoint.

Para obter mais informações sobre normalização no Microsoft Sentinel, consulte Normalização e o modelo avançado de informações de segurança (ASIM).

Importante

O esquema de normalização de eventos de arquivo está atualmente em visualização. Esse recurso é fornecido sem um contrato de nível de serviço e não é recomendado para cargas de trabalho de produção.

Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Analisadores

Implantando e usando analisadores de atividade de arquivo

Implante os analisadores de atividade de arquivo ASIM a partir do repositório GitHub do Microsoft Sentinel. Para consultar todas as fontes de atividade de arquivo, use o analisador imFileEvent unificador como o nome da tabela em sua consulta.

Para obter mais informações sobre como usar analisadores ASIM, consulte a visão geral dos analisadores ASIM. Para obter a lista dos analisadores de atividade de arquivo fornecidos pelo Microsoft Sentinel prontos para uso, consulte a lista de analisadores ASIM

Adicione seus próprios analisadores normalizados

Ao implementar analisadores personalizados para o modelo de informações de evento de arquivo, nomeie suas funções KQL usando a seguinte sintaxe: imFileEvent<vendor><Product.

Consulte o artigo Gerenciando analisadores ASIM para saber como adicionar seus analisadores personalizados à atividade de arquivo que unifica o analisador.

Conteúdo normalizado

Para obter uma lista completa das regras de análise que usam eventos normalizados de Atividade de Arquivo, consulte Conteúdo de segurança de Atividade de Arquivo.

Descrição geral do esquema

O modelo de informações de evento de arquivo é alinhado ao esquema de entidade do Processo OSSEM.

O esquema File Event faz referência às seguintes entidades, que são centrais para as atividades de arquivo:

  • Ator. O usuário que iniciou a atividade do arquivo
  • ActingProcess. O processo usado pelo Ator para iniciar a atividade do arquivo
  • TargetFile. O arquivo no qual a operação foi executada
  • Arquivo de origem (SrcFile). Armazena informações de arquivo antes da operação.

A relação entre essas entidades é melhor demonstrada da seguinte forma: Um ator executa uma operação de arquivo usando um processo de atuação, que modifica o arquivo de origem para o arquivo de destino.

Por exemplo: JohnDoe (Ator) usa Windows File Explorer (Processo de atuação) para renomear new.doc (Arquivo de origem) para old.doc (Arquivo de destino).

Detalhes do esquema

Campos comuns

Importante

Os campos comuns a todos os esquemas são descritos em detalhes no artigo Campos comuns do ASIM.

Campos com diretrizes específicas para o esquema de Evento de Arquivo

A lista a seguir menciona campos que têm diretrizes específicas para eventos de atividade de arquivo:

Campo Classe Tipo Descrição
Tipo de Evento Obrigatório Enumerated Descreve a operação relatada pelo registro.

Os valores suportados incluem:

- FileAccessed
- FileCreated
- FileModified
- FileDeleted
- FileRenamed
- FileCopied
- FileMoved
- FolderCreated
- FolderDeleted
- FolderMoved
- FolderModified
- FileCreatedOrModified
SubTipo de Evento Opcional Enumerated Descreve detalhes sobre a operação relatada em EventType. Os valores suportados por tipo de evento incluem:
- FileCreated - Upload, Checkin
- FileModified - Checkin
- FileCreatedOrModified - Checkin
- FileAccessed - Download, Preview, Checkout, Extended
- FileDeleted - Recycled, Versions, Site
EventSchema Obrigatório String O nome do esquema documentado aqui é FileEvent.
EventSchemaVersion Obrigatório String A versão do esquema. A versão do esquema documentada aqui é 0.2.1
Campos Dvc - - Para eventos de atividade de arquivo, os campos de dispositivo referem-se ao sistema no qual a atividade de arquivo ocorreu.

Importante

O EventSchema campo é atualmente opcional, mas passará a ser obrigatório em 1º de setembro de 2022.

Todos os campos comuns

Os campos que aparecem na tabela são comuns a todos os esquemas ASIM. Qualquer uma das diretrizes específicas do esquema neste documento substitui as diretrizes gerais para o campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais informações sobre cada campo, consulte o artigo Campos comuns do ASIM.

Classe Campos
Obrigatório - EventCount
- EventStartTime
- EventEndTime
- Tipo de Evento
- EventResult
- EventoProduto
- EventVendor
- EventSchema
- EventSchemaVersion
- DVC
Recomendado - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcNome do host
- DvcDomínio
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Opcional - EventMessage
- SubTipo de Evento
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- Proprietário do Evento
- DvcZona
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- Campos Adicionais
- DvcDescrição
- DvcScopeId
- DvcScope

Campos de arquivo de destino

Os campos a seguir representam informações sobre o arquivo de destino em uma operação de arquivo. Se a operação envolver um único arquivo, FileCreate por exemplo, ela será representada pelos campos de arquivo de destino.

Campo Classe Tipo Description
TargetFileCreationTime Opcional Data/Hora A hora em que o arquivo de destino foi criado.
Diretório TargetFileDirectory Opcional String A pasta ou local do arquivo de destino. Este campo deve ser semelhante ao campo TargetFilePath , sem o elemento final.

Nota: Um analisador pode fornecer esse valor se o valor estiver disponível na fonte de log e não precisar ser extraído do caminho completo.
TargetFileExtension Opcional String A extensão do arquivo de destino.

Nota: Um analisador pode fornecer esse valor se o valor estiver disponível na fonte de log e não precisar ser extraído do caminho completo.
TargetFileMimeType Opcional Enumerated O tipo Mime, ou Media, do arquivo de destino. Os valores permitidos estão listados no repositório IANA Media Types .
TargetFileName Recomendado String O nome do arquivo de destino, sem um caminho ou um local, mas com uma extensão, se relevante. Este campo deve ser semelhante ao elemento final no campo TargetFilePath .
Nome do arquivo Alias Alias para o campo TargetFileName .
TargetFilePath Obrigatório String O caminho completo e normalizado do arquivo de destino, incluindo a pasta ou o local, o nome do arquivo e a extensão. Para obter mais informações, consulte Estrutura do caminho.

Nota: Se o registro não incluir informações de pasta ou local, armazene o nome do arquivo somente aqui.

Exemplo: C:\Windows\System32\notepad.exe
TargetFilePathType Obrigatório Enumerated O tipo de TargetFilePath. Para obter mais informações, consulte Estrutura do caminho.
FilePath Alias Alias para o campo TargetFilePath .
TargetFileMD5 Opcional MD5 O hash MD5 do arquivo de destino.

Exemplo: 75a599802f1fa166cdadb360960b1dd0
TargetFileSHA1 Opcional SHA1 O hash SHA-1 do arquivo de destino.

Exemplo:
d55c5a4df19b46db8c54
c801c4665d3338acdab0
TargetFileSHA256 Opcional SHA256 O hash SHA-256 do arquivo de destino.

Exemplo:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
TargetFileSHA512 Opcional SHA512 O hash SHA-512 do arquivo de origem.
Hash Alias Alias para o melhor hash de arquivo de destino disponível.
HashType Recomendado String O tipo de hash armazenado no campo alias HASH, os valores permitidos são MD5, SHA, SHA256SHA512 e IMPHASH. Obrigatório se Hash estiver preenchido.
TargetFileSize Opcional Longo O tamanho do arquivo de destino em bytes.

Campos do ficheiro de origem

Os campos a seguir representam informações sobre o arquivo de origem em uma operação de arquivo que tem uma origem e um destino, como cópia. Se a operação envolver um único arquivo, ela será representada pelos campos de arquivo de destino.

Campo Classe Tipo Description
SrcFileCreationTime Opcional Data/Hora A hora em que o arquivo de origem foi criado.
SrcFileDirectory Opcional String A pasta ou local do arquivo de origem. Este campo deve ser semelhante ao campo SrcFilePath , sem o elemento final.

Nota: Um analisador pode fornecer esse valor se o valor estiver disponível na fonte de log e não precisar ser extraído do caminho completo.
SrcFileExtension Opcional String A extensão do arquivo de origem.

Nota: Um analisador pode fornecer esse valor o valor está disponível na fonte de log e não precisa ser extraído do caminho completo.
SrcFileMimeType Opcional Enumerated O tipo Mime ou Media do arquivo de origem. Os valores suportados estão listados no repositório IANA Media Types .
SrcFileName Recomendado String O nome do arquivo de origem, sem um caminho ou um local, mas com uma extensão, se relevante. Este campo deve ser semelhante ao último elemento no campo SrcFilePath .
SrcFilePath Recomendado String O caminho completo e normalizado do arquivo de origem, incluindo a pasta ou local, o nome do arquivo e a extensão.

Para obter mais informações, consulte Estrutura do caminho.

Exemplo: /etc/init.d/networking
SrcFilePathType Recomendado Enumerated O tipo de SrcFilePath. Para obter mais informações, consulte Estrutura do caminho.
SrcFileMD5 Opcional MD5 O hash MD5 do arquivo de origem.

Exemplo: 75a599802f1fa166cdadb360960b1dd0
SrcFileSHA1 Opcional SHA1 O hash SHA-1 do arquivo de origem.

Exemplo:
d55c5a4df19b46db8c54
c801c4665d3338acdab0
SrcFileSHA256 Opcional SHA256 O hash SHA-256 do arquivo de origem.

Exemplo:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
SrcFileSHA512 Opcional SHA512 O hash SHA-512 do arquivo de origem.
SrcFileSize Opcional Longo O tamanho do arquivo de origem em bytes.

Campos de atores

Campo Classe Tipo Description
ActorUserId Recomendado String Uma representação única, alfanumérica e legível por máquina do Ator. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade User.

Exemplo: S-1-12
ActorScope Opcional String O escopo, como o locatário do Microsoft Entra, no qual ActorUserId e ActorUsername são definidos. ou mais informações e lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema.
ActorScopeId Opcional String A ID do escopo, como a ID do Diretório do Microsoft Entra, na qual ActorUserId e ActorUsername são definidos. ou mais informações e lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema.
ActorUserIdType Condicional String O tipo de ID armazenado no campo ActorUserId . Para obter uma lista de valores permitidos e mais informações, consulte UserIdType no artigo Visão geral do esquema.
ActorUsername Obrigatório String O nome de usuário do ator, incluindo informações de domínio, quando disponíveis. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade User. Use o formulário simples somente se as informações do domínio não estiverem disponíveis.

Armazene o tipo de nome de usuário no campo ActorUsernameType . Se outros formatos de nome de usuário estiverem disponíveis, armazene-os nos campos ActorUsername<UsernameType>.

Exemplo: AlbertE
Utilizador Alias Alias para o campo ActorUsername .

Exemplo: CONTOSO\dadmin
ActorUsernameType Condicional Enumerated Especifica o tipo do nome de usuário armazenado no campo ActorUsername . Para obter uma lista de valores permitidos e mais informações, consulte UsernameType no artigo Visão geral do esquema.

Exemplo: Windows
ActorSessionId Opcional String O ID exclusivo da sessão de login do Ator.

Exemplo: 999

Nota: O tipo é definido como string para suportar sistemas variados, mas no Windows esse valor deve ser numérico.

Se você estiver usando uma máquina Windows e usou um tipo diferente, certifique-se de converter os valores. Por exemplo, se você usou um valor hexadecimal, converta-o em um valor decimal.
ActorUserType Opcional UserType O tipo de ator. Para obter uma lista de valores permitidos e mais informações, consulte UserType no artigo Visão geral do esquema.

Nota: O valor pode ser fornecido no registro de origem usando termos diferentes, que devem ser normalizados para esses valores. Armazene o valor original no campo ActorOriginalUserType .
ActorOriginalUserType Opcional String O tipo de usuário de destino original, se fornecido pelo dispositivo de relatório.

Campos do processo de atuação

Campo Classe Tipo Description
ActingProcessCommandLine Opcional String A linha de comando usada para executar o processo de atuação.

Exemplo: "choco.exe" -v
ActingProcessName Opcional string O nome do processo de atuação. Esse nome geralmente é derivado da imagem ou do arquivo executável usado para definir o código inicial e os dados mapeados no espaço de endereço virtual do processo.

Exemplo: C:\Windows\explorer.exe
Processo Alias Alias para ActingProcessName
ActingProcessId Opcional String A ID do processo (PID) do processo de atuação.

Exemplo: 48610176

Nota: O tipo é definido como string para suportar sistemas variados, mas no Windows e Linux esse valor deve ser numérico.

Se você estiver usando uma máquina Windows ou Linux e usou um tipo diferente, certifique-se de converter os valores. Por exemplo, se você usou um valor hexadecimal, converta-o em um valor decimal.
AtuaçãoProcessoGuid Opcional string Um identificador exclusivo (GUID) gerado do processo de atuação. Permite identificar o processo em todos os sistemas.

Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00

Os campos a seguir representam informações sobre o sistema que inicia a atividade do arquivo, normalmente quando transportado pela rede.

Campo Classe Tipo Description
SrcIpAddr Recomendado Endereço IP Quando a operação é iniciada por um sistema remoto, o endereço IP deste sistema.

Exemplo: 185.175.35.214
IpAddr Alias Alias para SrcIpAddr
Src Alias Alias para SrcIpAddr
SrcPortNumber Opcional Número inteiro Quando a operação é iniciada por um sistema remoto, o número da porta a partir da qual a conexão foi iniciada.

Exemplo: 2335
SrcHostname Recomendado Hostname (Nome do anfitrião) O nome de host do dispositivo de origem, excluindo informações de domínio. Se nenhum nome de dispositivo estiver disponível, armazene o endereço IP relevante neste campo.

Exemplo: DESKTOP-1282V4D
Domínio Src Recomendado String O domínio do dispositivo de origem.

Exemplo: Contoso
SrcDomainType Condicional Tipo de domínio O tipo de SrcDomain. Para obter uma lista de valores permitidos e mais informações, consulte DomainType no artigo Visão geral do esquema.

Necessário se SrcDomain for usado.
SrcFQDN Opcional String O nome de host do dispositivo de origem, incluindo informações de domínio, quando disponíveis.

Nota: Este campo suporta o formato FQDN tradicional e o formato domínio\nome de anfitrião do Windows. O campo SrcDomainType reflete o formato usado.

Exemplo: Contoso\DESKTOP-1282V4D
SrcDescrição Opcional String Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller.
SrcDvcId Opcional String A ID do dispositivo de origem. Se vários IDs estiverem disponíveis, use o mais importante e armazene os outros nos campos SrcDvc<DvcIdType>.

Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId Opcional String O ID de escopo da plataforma de nuvem ao qual o dispositivo pertence. O SrcDvcScopeId é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS.
SrcDvcScope Opcional String O escopo da plataforma de nuvem ao qual o dispositivo pertence. O SrcDvcScope é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS.
SrcDvcIdType Condicional DvcIdType O tipo de SrcDvcId. Para obter uma lista de valores permitidos e mais informações, consulte DvcIdType no artigo Visão geral do esquema.

Nota: Este campo é obrigatório se SrcDvcId for usado.
SrcDeviceType Opcional Tipo de dispositivo O tipo do dispositivo de origem. Para obter uma lista de valores permitidos e mais informações, consulte DeviceType no artigo Visão geral do esquema.
SrcSubscriptionId Opcional String O ID de assinatura da plataforma de nuvem ao qual o dispositivo de origem pertence. O SrcSubscriptionId é mapeado para um ID de assinatura no Azure e para um ID de conta na AWS.
SrcGeoCountry Opcional País O país associado ao endereço IP de origem.

Exemplo: USA
SrcGeoRegion Opcional País/Região A região associada ao endereço IP de origem.

Exemplo: Vermont
SrcGeoCity Opcional City A cidade associada ao endereço IP de origem.

Exemplo: Burlington
SrcGeoLatitude Opcional Latitude A latitude da coordenada geográfica associada ao endereço IP de origem.

Exemplo: 44.475833
SrcGeoLongitude Opcional Longitude A longitude da coordenada geográfica associada ao endereço IP de origem.

Exemplo: 73.211944

Os campos a seguir representam informações sobre a sessão de rede quando a atividade do arquivo foi realizada pela rede.

Campo Classe Tipo Description
HttpUserAgent Opcional String Quando a operação é iniciada por um sistema remoto usando HTTP ou HTTPS, o agente do usuário usado.

Por exemplo:
Mozilla/5.0 (Windows NT 10.0; Win64; x64)
AppleWebKit/537.36 (KHTML, like Gecko)
Chrome/42.0.2311.135
Safari/537.36 Edge/12.246
NetworkApplicationProtocol Opcional String Quando a operação é iniciada por um sistema remoto, esse valor é o protocolo da camada de aplicativo usado no modelo OSI.

Embora este campo não esteja enumerado e qualquer valor seja aceite, os valores preferíveis incluem: HTTP, HTTPS, SMB,FTP, e SSH

Exemplo: SMB

Campos do aplicativo de destino

Os campos a seguir representam informações sobre o aplicativo de destino que executa a atividade de arquivo em nome do usuário. Um aplicativo de destino geralmente está relacionado à atividade de arquivos pela rede, por exemplo, usando aplicativos Saas (Software as a Service).

Campo Classe Tipo Description
TargetAppName Opcional String O nome do aplicativo de destino.

Exemplo: Facebook
Aplicação Alias Alias para TargetAppName.
TargetAppId Opcional String A ID do aplicativo de destino, conforme relatado pelo dispositivo de relatório.
TargetAppType Opcional Tipo de aplicativo O tipo do aplicativo de destino. Para obter uma lista de valores permitidos e mais informações, consulte AppType no artigo Visão geral do esquema.

Este campo é obrigatório se TargetAppName ou TargetAppId forem usados.
TargetUrl Opcional String Quando a operação é iniciada usando HTTP ou HTTPS, a URL usada.

Exemplo: https://onedrive.live.com/?authkey=...
Url Alias Alias para TargetUrl

Campos de inspeção

Os campos a seguir são usados para representar a inspeção realizada por um sistema de segurança, como um sistema antivírus. O thread identificado geralmente está associado ao arquivo no qual a atividade foi executada, em vez da atividade em si.

Campo Classe Tipo Description
RuleName Opcional String O nome ou ID da regra associado aos resultados da inspeção.
Número da regra Opcional Número inteiro O número da regra associada aos resultados da inspeção.
Regra Condicional String O valor de kRuleName ou o valor de RuleNumber. Se o valor de RuleNumber for usado, o tipo deve ser convertido em string.
ThreatId Opcional String O ID da ameaça ou malware identificado na atividade do arquivo.
Nome da Ameaça Opcional String O nome da ameaça ou malware identificado na atividade do arquivo.

Exemplo: EICAR Test File
ThreatCategory Opcional String A categoria da ameaça ou malware identificado na atividade do arquivo.

Exemplo: Trojan
ThreatRiskLevel Opcional Número inteiro O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100.

Nota: O valor pode ser fornecido no registro de origem usando uma escala diferente, que deve ser normalizada para essa escala. O valor original deve ser armazenado em ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel Opcional String O nível de risco comunicado pelo dispositivo de notificação.
ThreatFilePath Opcional String Um caminho de arquivo para o qual uma ameaça foi identificada. O campo ThreatField contém o nome do campo que ThreatFilePath representa.
Campo de Ameaças Opcional Enumerated O campo para o qual foi identificada uma ameaça. O valor é ou SrcFilePath DstFilePath.
ThreatConfidence Opcional Número inteiro O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100.
ThreatOriginalConfidence Opcional String O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório.
ThreatIsActive Opcional Boolean True se a ameaça identificada for considerada uma ameaça ativa.
ThreatFirstReportedTime Opcional datetime A primeira vez que o endereço IP ou domínio foram identificados como uma ameaça.
ThreatLastReportedTime Opcional datetime A última vez que o endereço IP ou domínio foi identificado como uma ameaça.

Estrutura do caminho

O caminho deve ser normalizado para corresponder a um dos seguintes formatos. O formato para o qual o valor é normalizado será refletido no respetivo campo FilePathType .

Tipo Exemplo Notas
Windows Local C:\Windows\System32\notepad.exe Como os nomes de caminho do Windows não diferenciam maiúsculas de minúsculas, esse tipo implica que o valor não diferencia maiúsculas de minúsculas.
Compartilhamento do Windows \\Documents\My Shapes\Favorites.vssx Como os nomes de caminho do Windows não diferenciam maiúsculas de minúsculas, esse tipo implica que o valor não diferencia maiúsculas de minúsculas.
Unix /etc/init.d/networking Como os nomes de caminhos Unix diferenciam maiúsculas de minúsculas, esse tipo implica que o valor diferencia maiúsculas de minúsculas.

- Use esse tipo para o AWS S3. Concatene o bucket e os nomes das chaves para criar o caminho.

- Use esse tipo para chaves de objeto de armazenamento de Blob do Azure.
URL https://1drv.ms/p/s!Av04S_*********we Use quando o caminho do arquivo estiver disponível como uma URL. Os URLs não estão limitados a http ou https, e qualquer valor, incluindo um valor de FTP, é válido.

Atualizações de esquema

Estas são as alterações na versão 0.1.1 do esquema:

  • Adicionado o campo EventSchema.

Existem as alterações na versão 0.2 do esquema:

  • Campos de inspeção adicionados.
  • Adicionados os campos ActorScope, TargetUserScope, HashType, TargetAppName, TargetAppId, TargetAppType, SrcGeoCountry, SrcGeoRegion, SrcGeoLongitude, , SrcGeoLatitude, , DvcScopeIdActorSessionIde DvcScope..
  • Adicionados os aliases Url, IpAddr, 'FileName' e Src.

Existem as alterações na versão 0.2.1 do esquema:

  • Adicionado Application como um alias ao TargetAppName.
  • Adicionado o campo ActorScopeId
  • Adicionado campos relacionados ao dispositivo de origem.

Próximos passos

Para obter mais informações, consulte: