A referência do esquema de normalização de eventos de arquivo ASIM (Advanced Security Information Model) (visualização pública)
O esquema de normalização de eventos de arquivo é usado para descrever a atividade do arquivo, como criar, modificar ou excluir arquivos ou documentos. Esses eventos são relatados por sistemas operacionais, sistemas de armazenamento de arquivos, como Arquivos do Azure, e sistemas de gerenciamento de documentos, como o Microsoft SharePoint.
Para obter mais informações sobre normalização no Microsoft Sentinel, consulte Normalização e o modelo avançado de informações de segurança (ASIM).
Importante
O esquema de normalização de eventos de arquivo está atualmente em visualização. Esse recurso é fornecido sem um contrato de nível de serviço e não é recomendado para cargas de trabalho de produção.
Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Implante os analisadores de atividade de arquivo ASIM a partir do repositório GitHub do Microsoft Sentinel. Para consultar todas as fontes de atividade de arquivo, use o analisador imFileEvent
unificador como o nome da tabela em sua consulta.
Para obter mais informações sobre como usar analisadores ASIM, consulte a visão geral dos analisadores ASIM. Para obter a lista dos analisadores de atividade de arquivo fornecidos pelo Microsoft Sentinel prontos para uso, consulte a lista de analisadores ASIM
Ao implementar analisadores personalizados para o modelo de informações de evento de arquivo, nomeie suas funções KQL usando a seguinte sintaxe: imFileEvent<vendor><Product
.
Consulte o artigo Gerenciando analisadores ASIM para saber como adicionar seus analisadores personalizados à atividade de arquivo que unifica o analisador.
Para obter uma lista completa das regras de análise que usam eventos normalizados de Atividade de Arquivo, consulte Conteúdo de segurança de Atividade de Arquivo.
O modelo de informações de evento de arquivo é alinhado ao esquema de entidade do Processo OSSEM.
O esquema File Event faz referência às seguintes entidades, que são centrais para as atividades de arquivo:
- Ator. O usuário que iniciou a atividade do arquivo
- ActingProcess. O processo usado pelo Ator para iniciar a atividade do arquivo
- TargetFile. O arquivo no qual a operação foi executada
- Arquivo de origem (SrcFile). Armazena informações de arquivo antes da operação.
A relação entre essas entidades é melhor demonstrada da seguinte forma: Um ator executa uma operação de arquivo usando um processo de atuação, que modifica o arquivo de origem para o arquivo de destino.
Por exemplo: JohnDoe
(Ator) usa Windows File Explorer
(Processo de atuação) para renomear new.doc
(Arquivo de origem) para old.doc
(Arquivo de destino).
Importante
Os campos comuns a todos os esquemas são descritos em detalhes no artigo Campos comuns do ASIM.
A lista a seguir menciona campos que têm diretrizes específicas para eventos de atividade de arquivo:
Campo | Classe | Tipo | Descrição |
---|---|---|---|
Tipo de Evento | Obrigatório | Enumerated | Descreve a operação relatada pelo registro. Os valores suportados incluem: - FileAccessed - FileCreated - FileModified - FileDeleted - FileRenamed - FileCopied - FileMoved - FolderCreated - FolderDeleted - FolderMoved - FolderModified - FileCreatedOrModified |
SubTipo de Evento | Opcional | Enumerated | Descreve detalhes sobre a operação relatada em EventType. Os valores suportados por tipo de evento incluem: - FileCreated
-
Upload , Checkin - FileModified - Checkin - FileCreatedOrModified - Checkin - FileAccessed
-
Download , Preview , Checkout , Extended - FileDeleted
-
Recycled , Versions , Site |
EventSchema | Obrigatório | String | O nome do esquema documentado aqui é FileEvent. |
EventSchemaVersion | Obrigatório | String | A versão do esquema. A versão do esquema documentada aqui é 0.2.1 |
Campos Dvc | - | - | Para eventos de atividade de arquivo, os campos de dispositivo referem-se ao sistema no qual a atividade de arquivo ocorreu. |
Importante
O EventSchema
campo é atualmente opcional, mas passará a ser obrigatório em 1º de setembro de 2022.
Os campos que aparecem na tabela são comuns a todos os esquemas ASIM. Qualquer uma das diretrizes específicas do esquema neste documento substitui as diretrizes gerais para o campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais informações sobre cada campo, consulte o artigo Campos comuns do ASIM.
Classe | Campos |
---|---|
Obrigatório |
-
EventCount - EventStartTime - EventEndTime - Tipo de Evento - EventResult - EventoProduto - EventVendor - EventSchema - EventSchemaVersion - DVC |
Recomendado |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcNome do host - DvcDomínio - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
Opcional |
-
EventMessage - SubTipo de Evento - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Proprietário do Evento - DvcZona - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campos Adicionais - DvcDescrição - DvcScopeId - DvcScope |
Os campos a seguir representam informações sobre o arquivo de destino em uma operação de arquivo. Se a operação envolver um único arquivo, FileCreate
por exemplo, ela será representada pelos campos de arquivo de destino.
Campo | Classe | Tipo | Description |
---|---|---|---|
TargetFileCreationTime | Opcional | Data/Hora | A hora em que o arquivo de destino foi criado. |
Diretório TargetFileDirectory | Opcional | String | A pasta ou local do arquivo de destino. Este campo deve ser semelhante ao campo TargetFilePath , sem o elemento final. Nota: Um analisador pode fornecer esse valor se o valor estiver disponível na fonte de log e não precisar ser extraído do caminho completo. |
TargetFileExtension | Opcional | String | A extensão do arquivo de destino. Nota: Um analisador pode fornecer esse valor se o valor estiver disponível na fonte de log e não precisar ser extraído do caminho completo. |
TargetFileMimeType | Opcional | Enumerated | O tipo Mime, ou Media, do arquivo de destino. Os valores permitidos estão listados no repositório IANA Media Types . |
TargetFileName | Recomendado | String | O nome do arquivo de destino, sem um caminho ou um local, mas com uma extensão, se relevante. Este campo deve ser semelhante ao elemento final no campo TargetFilePath . |
Nome do arquivo | Alias | Alias para o campo TargetFileName . | |
TargetFilePath | Obrigatório | String | O caminho completo e normalizado do arquivo de destino, incluindo a pasta ou o local, o nome do arquivo e a extensão. Para obter mais informações, consulte Estrutura do caminho. Nota: Se o registro não incluir informações de pasta ou local, armazene o nome do arquivo somente aqui. Exemplo: C:\Windows\System32\notepad.exe |
TargetFilePathType | Obrigatório | Enumerated | O tipo de TargetFilePath. Para obter mais informações, consulte Estrutura do caminho. |
FilePath | Alias | Alias para o campo TargetFilePath . | |
TargetFileMD5 | Opcional | MD5 | O hash MD5 do arquivo de destino. Exemplo: 75a599802f1fa166cdadb360960b1dd0 |
TargetFileSHA1 | Opcional | SHA1 | O hash SHA-1 do arquivo de destino. Exemplo: d55c5a4df19b46db8c54 c801c4665d3338acdab0 |
TargetFileSHA256 | Opcional | SHA256 | O hash SHA-256 do arquivo de destino. Exemplo: e81bb824c4a09a811af17deae22f22dd 2e1ec8cbb00b22629d2899f7c68da274 |
TargetFileSHA512 | Opcional | SHA512 | O hash SHA-512 do arquivo de origem. |
Hash | Alias | Alias para o melhor hash de arquivo de destino disponível. | |
HashType | Recomendado | String | O tipo de hash armazenado no campo alias HASH, os valores permitidos são MD5 , SHA , SHA256 SHA512 e IMPHASH . Obrigatório se Hash estiver preenchido. |
TargetFileSize | Opcional | Longo | O tamanho do arquivo de destino em bytes. |
Os campos a seguir representam informações sobre o arquivo de origem em uma operação de arquivo que tem uma origem e um destino, como cópia. Se a operação envolver um único arquivo, ela será representada pelos campos de arquivo de destino.
Campo | Classe | Tipo | Description |
---|---|---|---|
SrcFileCreationTime | Opcional | Data/Hora | A hora em que o arquivo de origem foi criado. |
SrcFileDirectory | Opcional | String | A pasta ou local do arquivo de origem. Este campo deve ser semelhante ao campo SrcFilePath , sem o elemento final. Nota: Um analisador pode fornecer esse valor se o valor estiver disponível na fonte de log e não precisar ser extraído do caminho completo. |
SrcFileExtension | Opcional | String | A extensão do arquivo de origem. Nota: Um analisador pode fornecer esse valor o valor está disponível na fonte de log e não precisa ser extraído do caminho completo. |
SrcFileMimeType | Opcional | Enumerated | O tipo Mime ou Media do arquivo de origem. Os valores suportados estão listados no repositório IANA Media Types . |
SrcFileName | Recomendado | String | O nome do arquivo de origem, sem um caminho ou um local, mas com uma extensão, se relevante. Este campo deve ser semelhante ao último elemento no campo SrcFilePath . |
SrcFilePath | Recomendado | String | O caminho completo e normalizado do arquivo de origem, incluindo a pasta ou local, o nome do arquivo e a extensão. Para obter mais informações, consulte Estrutura do caminho. Exemplo: /etc/init.d/networking |
SrcFilePathType | Recomendado | Enumerated | O tipo de SrcFilePath. Para obter mais informações, consulte Estrutura do caminho. |
SrcFileMD5 | Opcional | MD5 | O hash MD5 do arquivo de origem. Exemplo: 75a599802f1fa166cdadb360960b1dd0 |
SrcFileSHA1 | Opcional | SHA1 | O hash SHA-1 do arquivo de origem. Exemplo: d55c5a4df19b46db8c54 c801c4665d3338acdab0 |
SrcFileSHA256 | Opcional | SHA256 | O hash SHA-256 do arquivo de origem. Exemplo: e81bb824c4a09a811af17deae22f22dd 2e1ec8cbb00b22629d2899f7c68da274 |
SrcFileSHA512 | Opcional | SHA512 | O hash SHA-512 do arquivo de origem. |
SrcFileSize | Opcional | Longo | O tamanho do arquivo de origem em bytes. |
Campo | Classe | Tipo | Description |
---|---|---|---|
ActorUserId | Recomendado | String | Uma representação única, alfanumérica e legível por máquina do Ator. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade User. Exemplo: S-1-12 |
ActorScope | Opcional | String | O escopo, como o locatário do Microsoft Entra, no qual ActorUserId e ActorUsername são definidos. ou mais informações e lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema. |
ActorScopeId | Opcional | String | A ID do escopo, como a ID do Diretório do Microsoft Entra, na qual ActorUserId e ActorUsername são definidos. ou mais informações e lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema. |
ActorUserIdType | Condicional | String | O tipo de ID armazenado no campo ActorUserId . Para obter uma lista de valores permitidos e mais informações, consulte UserIdType no artigo Visão geral do esquema. |
ActorUsername | Obrigatório | String | O nome de usuário do ator, incluindo informações de domínio, quando disponíveis. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade User. Use o formulário simples somente se as informações do domínio não estiverem disponíveis. Armazene o tipo de nome de usuário no campo ActorUsernameType . Se outros formatos de nome de usuário estiverem disponíveis, armazene-os nos campos ActorUsername<UsernameType> .Exemplo: AlbertE |
Utilizador | Alias | Alias para o campo ActorUsername . Exemplo: CONTOSO\dadmin |
|
ActorUsernameType | Condicional | Enumerated | Especifica o tipo do nome de usuário armazenado no campo ActorUsername . Para obter uma lista de valores permitidos e mais informações, consulte UsernameType no artigo Visão geral do esquema. Exemplo: Windows |
ActorSessionId | Opcional | String | O ID exclusivo da sessão de login do Ator. Exemplo: 999 Nota: O tipo é definido como string para suportar sistemas variados, mas no Windows esse valor deve ser numérico. Se você estiver usando uma máquina Windows e usou um tipo diferente, certifique-se de converter os valores. Por exemplo, se você usou um valor hexadecimal, converta-o em um valor decimal. |
ActorUserType | Opcional | UserType | O tipo de ator. Para obter uma lista de valores permitidos e mais informações, consulte UserType no artigo Visão geral do esquema. Nota: O valor pode ser fornecido no registro de origem usando termos diferentes, que devem ser normalizados para esses valores. Armazene o valor original no campo ActorOriginalUserType . |
ActorOriginalUserType | Opcional | String | O tipo de usuário de destino original, se fornecido pelo dispositivo de relatório. |
Campo | Classe | Tipo | Description |
---|---|---|---|
ActingProcessCommandLine | Opcional | String | A linha de comando usada para executar o processo de atuação. Exemplo: "choco.exe" -v |
ActingProcessName | Opcional | string | O nome do processo de atuação. Esse nome geralmente é derivado da imagem ou do arquivo executável usado para definir o código inicial e os dados mapeados no espaço de endereço virtual do processo. Exemplo: C:\Windows\explorer.exe |
Processo | Alias | Alias para ActingProcessName | |
ActingProcessId | Opcional | String | A ID do processo (PID) do processo de atuação. Exemplo: 48610176 Nota: O tipo é definido como string para suportar sistemas variados, mas no Windows e Linux esse valor deve ser numérico. Se você estiver usando uma máquina Windows ou Linux e usou um tipo diferente, certifique-se de converter os valores. Por exemplo, se você usou um valor hexadecimal, converta-o em um valor decimal. |
AtuaçãoProcessoGuid | Opcional | string | Um identificador exclusivo (GUID) gerado do processo de atuação. Permite identificar o processo em todos os sistemas. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Os campos a seguir representam informações sobre o sistema que inicia a atividade do arquivo, normalmente quando transportado pela rede.
Campo | Classe | Tipo | Description |
---|---|---|---|
SrcIpAddr | Recomendado | Endereço IP | Quando a operação é iniciada por um sistema remoto, o endereço IP deste sistema. Exemplo: 185.175.35.214 |
IpAddr | Alias | Alias para SrcIpAddr | |
Src | Alias | Alias para SrcIpAddr | |
SrcPortNumber | Opcional | Número inteiro | Quando a operação é iniciada por um sistema remoto, o número da porta a partir da qual a conexão foi iniciada. Exemplo: 2335 |
SrcHostname | Recomendado | Hostname (Nome do anfitrião) | O nome de host do dispositivo de origem, excluindo informações de domínio. Se nenhum nome de dispositivo estiver disponível, armazene o endereço IP relevante neste campo. Exemplo: DESKTOP-1282V4D |
Domínio Src | Recomendado | String | O domínio do dispositivo de origem. Exemplo: Contoso |
SrcDomainType | Condicional | Tipo de domínio | O tipo de SrcDomain. Para obter uma lista de valores permitidos e mais informações, consulte DomainType no artigo Visão geral do esquema. Necessário se SrcDomain for usado. |
SrcFQDN | Opcional | String | O nome de host do dispositivo de origem, incluindo informações de domínio, quando disponíveis. Nota: Este campo suporta o formato FQDN tradicional e o formato domínio\nome de anfitrião do Windows. O campo SrcDomainType reflete o formato usado. Exemplo: Contoso\DESKTOP-1282V4D |
SrcDescrição | Opcional | String | Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller . |
SrcDvcId | Opcional | String | A ID do dispositivo de origem. Se vários IDs estiverem disponíveis, use o mais importante e armazene os outros nos campos SrcDvc<DvcIdType> .Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
SrcDvcScopeId | Opcional | String | O ID de escopo da plataforma de nuvem ao qual o dispositivo pertence. O SrcDvcScopeId é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
SrcDvcScope | Opcional | String | O escopo da plataforma de nuvem ao qual o dispositivo pertence. O SrcDvcScope é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
SrcDvcIdType | Condicional | DvcIdType | O tipo de SrcDvcId. Para obter uma lista de valores permitidos e mais informações, consulte DvcIdType no artigo Visão geral do esquema. Nota: Este campo é obrigatório se SrcDvcId for usado. |
SrcDeviceType | Opcional | Tipo de dispositivo | O tipo do dispositivo de origem. Para obter uma lista de valores permitidos e mais informações, consulte DeviceType no artigo Visão geral do esquema. |
SrcSubscriptionId | Opcional | String | O ID de assinatura da plataforma de nuvem ao qual o dispositivo de origem pertence. O SrcSubscriptionId é mapeado para um ID de assinatura no Azure e para um ID de conta na AWS. |
SrcGeoCountry | Opcional | País | O país/região associado ao endereço IP de origem. Exemplo: USA |
SrcGeoRegion | Opcional | País/Região | A região associada ao endereço IP de origem. Exemplo: Vermont |
SrcGeoCity | Opcional | City | A cidade associada ao endereço IP de origem. Exemplo: Burlington |
SrcGeoLatitude | Opcional | Latitude | A latitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 44.475833 |
SrcGeoLongitude | Opcional | Longitude | A longitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 73.211944 |
Os campos a seguir representam informações sobre a sessão de rede quando a atividade do arquivo foi realizada pela rede.
Campo | Classe | Tipo | Description |
---|---|---|---|
HttpUserAgent | Opcional | String | Quando a operação é iniciada por um sistema remoto usando HTTP ou HTTPS, o agente do usuário usado. Por exemplo: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.246 |
NetworkApplicationProtocol | Opcional | String | Quando a operação é iniciada por um sistema remoto, esse valor é o protocolo da camada de aplicativo usado no modelo OSI. Embora este campo não esteja enumerado e qualquer valor seja aceite, os valores preferíveis incluem: HTTP , HTTPS , SMB ,FTP , e SSH Exemplo: SMB |
Os campos a seguir representam informações sobre o aplicativo de destino que executa a atividade de arquivo em nome do usuário. Um aplicativo de destino geralmente está relacionado à atividade de arquivos pela rede, por exemplo, usando aplicativos SaaS (Software as a Service).
Campo | Classe | Tipo | Description |
---|---|---|---|
TargetAppName | Opcional | String | O nome do aplicativo de destino. Exemplo: Facebook |
Aplicação | Alias | Alias para TargetAppName. | |
TargetAppId | Opcional | String | A ID do aplicativo de destino, conforme relatado pelo dispositivo de relatório. |
TargetAppType | Opcional | Tipo de aplicativo | O tipo do aplicativo de destino. Para obter uma lista de valores permitidos e mais informações, consulte AppType no artigo Visão geral do esquema. Este campo é obrigatório se TargetAppName ou TargetAppId forem usados. |
TargetUrl | Opcional | String | Quando a operação é iniciada usando HTTP ou HTTPS, a URL usada. Exemplo: https://onedrive.live.com/?authkey=... |
Url | Alias | Alias para TargetUrl |
Os campos a seguir são usados para representar a inspeção realizada por um sistema de segurança, como um sistema antivírus. O thread identificado geralmente está associado ao arquivo no qual a atividade foi executada, em vez da atividade em si.
Campo | Classe | Tipo | Description |
---|---|---|---|
RuleName | Opcional | String | O nome ou ID da regra associado aos resultados da inspeção. |
Número da regra | Opcional | Número inteiro | O número da regra associada aos resultados da inspeção. |
Regra | Condicional | String | O valor de kRuleName ou o valor de RuleNumber. Se o valor de RuleNumber for usado, o tipo deve ser convertido em string. |
ThreatId | Opcional | String | O ID da ameaça ou malware identificado na atividade do arquivo. |
Nome da Ameaça | Opcional | String | O nome da ameaça ou malware identificado na atividade do arquivo. Exemplo: EICAR Test File |
ThreatCategory | Opcional | String | A categoria da ameaça ou malware identificado na atividade do arquivo. Exemplo: Trojan |
ThreatRiskLevel | Opcional | Número inteiro | O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. Nota: O valor pode ser fornecido no registro de origem usando uma escala diferente, que deve ser normalizada para essa escala. O valor original deve ser armazenado em ThreatRiskLevelOriginal. |
ThreatOriginalRiskLevel | Opcional | String | O nível de risco comunicado pelo dispositivo de notificação. |
ThreatFilePath | Opcional | String | Um caminho de arquivo para o qual uma ameaça foi identificada. O campo ThreatField contém o nome do campo que ThreatFilePath representa. |
Campo de Ameaças | Opcional | Enumerated | O campo para o qual foi identificada uma ameaça. O valor é ou SrcFilePath DstFilePath . |
ThreatConfidence | Opcional | Número inteiro | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
ThreatOriginalConfidence | Opcional | String | O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
ThreatIsActive | Opcional | Boolean | True se a ameaça identificada for considerada uma ameaça ativa. |
ThreatFirstReportedTime | Opcional | datetime | A primeira vez que o endereço IP ou domínio foram identificados como uma ameaça. |
ThreatLastReportedTime | Opcional | datetime | A última vez que o endereço IP ou domínio foi identificado como uma ameaça. |
O caminho deve ser normalizado para corresponder a um dos seguintes formatos. O formato para o qual o valor é normalizado será refletido no respetivo campo FilePathType .
Tipo | Exemplo | Notas |
---|---|---|
Windows Local | C:\Windows\System32\notepad.exe |
Como os nomes de caminho do Windows não diferenciam maiúsculas de minúsculas, esse tipo implica que o valor não diferencia maiúsculas de minúsculas. |
Compartilhamento do Windows | \\Documents\My Shapes\Favorites.vssx |
Como os nomes de caminho do Windows não diferenciam maiúsculas de minúsculas, esse tipo implica que o valor não diferencia maiúsculas de minúsculas. |
Unix | /etc/init.d/networking |
Como os nomes de caminhos Unix diferenciam maiúsculas de minúsculas, esse tipo implica que o valor diferencia maiúsculas de minúsculas. - Use esse tipo para o AWS S3. Concatene o bucket e os nomes das chaves para criar o caminho. - Use esse tipo para chaves de objeto de armazenamento de Blob do Azure. |
URL | https://1drv.ms/p/s!Av04S_*********we |
Use quando o caminho do arquivo estiver disponível como uma URL. Os URLs não estão limitados a http ou https, e qualquer valor, incluindo um valor de FTP, é válido. |
Estas são as alterações na versão 0.1.1 do esquema:
- Adicionado o campo
EventSchema
.
Existem as alterações na versão 0.2 do esquema:
- Campos de inspeção adicionados.
- Adicionados os campos
ActorScope
,TargetUserScope
,HashType
,TargetAppName
,TargetAppId
,TargetAppType
,SrcGeoCountry
,SrcGeoRegion
,SrcGeoLongitude
, ,SrcGeoLatitude
, ,DvcScopeId
ActorSessionId
eDvcScope
.. - Adicionados os aliases
Url
,IpAddr
, 'FileName' eSrc
.
Existem as alterações na versão 0.2.1 do esquema:
- Adicionado
Application
como um alias aoTargetAppName
. - Adicionado o campo
ActorScopeId
- Adicionado campos relacionados ao dispositivo de origem.
Para obter mais informações, consulte:
- Assista ao Webinar da ASIM ou revise os slides
- Visão geral do ASIM (Advanced Security Information Model, modelo avançado de informações de segurança)
- Esquemas ASIM (Advanced Security Information Model)
- Analisadores ASIM (Advanced Security Information Model)
- Conteúdo do modelo avançado de informações de segurança (ASIM)