Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Схема нормализации событий файлов используется для описания действий с файлами, таких как создание, изменение или удаление файлов и документов. Такие данные о событиях поступают из операционной системы, из систем хранения файлов (например, службы Файлы Azure), а также из систем управления документами, например Microsoft SharePoint.
Дополнительные сведения о нормализации в Microsoft Sentinel см. в статье Нормализация и расширенная информационная модель безопасности (ASIM).
Средства синтаксического анализа
Развертывание и использование средств синтаксического анализа действий файлов
Разверните средства синтаксического анализа файлов ASIM из репозитория GitHub Microsoft Sentinel. Чтобы выполнить запрос ко всем источникам действия файлов, используйте унифицированный синтаксический imFileEvent анализатор в качестве имени таблицы в запросе.
Дополнительные сведения об использовании средств синтаксического анализа ASIM см. в обзоре средств синтаксического анализа ASIM. Список стандартных средств синтаксического анализа действий файлов Microsoft Sentinel см. в списке средств синтаксического анализа ASIM.
Добавление собственных нормализованных средств синтаксического анализа
При реализации пользовательских средств синтаксического анализа для информационной модели событий файлов называйте свои функции KQL согласно следующему синтаксису: imFileEvent<vendor><Product.
См. статью "Управление средствами синтаксического анализа ASIM", чтобы узнать, как добавить пользовательские средства синтаксического анализа в действие файла, объединяющее средство синтаксического анализа.
Параметры фильтрации средств синтаксического анализа
Средства синтаксического анализа событий файлов поддерживают фильтрацию параметров. Хотя эти параметры являются необязательными, они могут повысить производительность запросов.
Доступны следующие параметры фильтрации:
| Имя | Тип | Описание |
|---|---|---|
| starttime | datetime | Фильтруйте только события файлов, которые произошли в это время или после этого. Этот параметр фильтрует TimeGenerated поле, являющееся стандартным конструктором во время события, независимо от сопоставления конкретных анализаторов полей EventStartTime и EventEndTime. |
| endtime | datetime | Фильтруйте только события файлов, которые произошли или до этого времени. Этот параметр фильтрует TimeGenerated поле, являющееся стандартным конструктором во время события, независимо от сопоставления конкретных анализаторов полей EventStartTime и EventEndTime. |
| eventtype_in | dynamic | Фильтруйте только события файлов, в которых тип события является одним из перечисленных значений, например FileCreated, , FileModified, FileDeletedFileRenamedили FileCopied. |
| srcipaddr_has_any_prefix | dynamic | Фильтруйте только события файлов, в которых префикс исходного IP-адреса соответствует любому из перечисленных значений. Префиксы должны заканчиваться на ., например: 10.0.. |
| actorusername_has_any | dynamic | Фильтруйте только события файлов, в которых имя пользователя субъекта имеет любое из перечисленных значений. |
| targetfilepath_has_any | dynamic | Фильтруйте только события файлов, в которых путь к целевому файлу имеет любое из перечисленных значений. |
| srcfilepath_has_any | dynamic | Фильтруйте только события файлов, в которых путь к исходному файлу имеет любое из перечисленных значений. |
| hashes_has_any | dynamic | Фильтруйте только события файлов, в которых хэш файла соответствует любому из перечисленных значений. |
| dvchostname_has_any | dynamic | Фильтруйте только события файлов, в которых имя узла устройства имеет любое из перечисленных значений. |
Например, чтобы отфильтровать только события создания и изменения файлов с последнего дня, используйте:
_Im_FileEvent (eventtype_in=dynamic(['FileCreated','FileModified']), starttime = ago(1d), endtime=now())
Нормализованное содержимое
Полный список правил аналитики, использующих нормализованные события активности файлов, см. в разделе "Содержимое безопасности файлов".
Общее представление схемы
Информационная модель событий файлов соответствует схеме сущностей процесса OSSEM.
Схема событий файлов ссылается на следующие сущности, которые являются ключевыми с точки зрения действий с файлами:
- Actor. Субъект — пользователь, который инициировал действие с файлом.
- ActingProcess. Процесс, используемый субъектом для инициирования действия с файлом.
- TargetFile. Файл, с которым выполняется операция.
- Исходный файл (SrcFile). Хранит сведения о файле перед операцией.
Эти сущности имеют следующие отношения и зависимости: Actor выполняет операцию с файлом с использованием процесса Acting Process, который меняет исходный файл и превращает его в целевой.
Пример: JohnDoe (Actor) использует Windows File Explorer (Acting process) для переименования new.doc (Source File) в old.doc (Target File).
Сведения о схеме
Общие поля
Внимание
Поля, общие для всех схем, подробно описаны в статье Общие поля ASIM.
Поля с определенными рекомендациями по схеме событий файлов
В следующем списке упоминаются поля, имеющие определенные рекомендации по обработке событий действий с файлами:
| Поле | Class | Тип | Description |
|---|---|---|---|
| Тип события | Обязательно | Enumerated | Описывает операцию, о которой сообщает эта запись. Поддерживаются следующие значения: - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| EventSubType | Необязательно | Enumerated | Описывает сведения об операции, сообщаемой в EventType. Поддерживаемые значения для каждого типа события включают: - FileCreated
-
Upload, Checkin- FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed
-
Download, , PreviewCheckoutExtended- FileDeleted
-
Recycled, , VersionsSite |
| EventSchema | Обязательно | Enumerated | В настоящем документе представлена версия с именем FileEvent. |
| EventSchemaVersion | Обязательно | SchemaVersion (String) | Номер версии схемы. Здесь приведена версия схемы 0.2.2 |
| Поля Dvc | - | - | Для событий действий с файлом поля устройств ссылаются на систему, в которой произошло действие с файлом. |
Внимание
Поле EventSchema в настоящее время необязательно, но станет обязательным с 1 сентября 2022 г.
Все общие поля
Поля, отображаемые в таблице, являются общими для всех схем ASIM. Любые рекомендации по схеме, описанные в этом документе, переопределяют общие рекомендации для поля. Например, поле может быть необязательным в целом, но обязательным для конкретной схемы. Дополнительные сведения о каждом поле см . в статье об общих полях ASIM.
Целевые поля файлов
Следующие поля представляют сведения о целевом файле в операции с файлом. Если операция включает один файл, FileCreate например, он представлен целевыми полями файлов.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| TargetFileCreationTime | Необязательно | Дата и время | Время, когда был создан целевой файл. |
| TargetFileDirectory | Необязательно | Строка | Папка или расположение целевого файла. Это значение должно быть идентично значению TargetFilePath без завершающего элемента. Примечание. Средство синтаксического анализа может предоставить это значение, если оно доступно в источнике журнала и его не нужно извлекать из полного пути. |
| TargetFileExtension | Необязательно | Строка | Расширение целевого файла. Примечание. Средство синтаксического анализа может предоставить это значение, если оно доступно в источнике журнала и его не нужно извлекать из полного пути. |
| TargetFileMimeType | Необязательно | Строка | MIME или мультимедийный тип целевого файла. Допустимые значения указаны в репозитории IANA Media Types. |
| TargetFileName | Рекомендуемая конфигурация | Строка | Имя целевого файла без пути или папки, но с расширением, если оно необходимо. Это значение должно быть идентично последнему элементу в поле TargetFilePath. |
| FileName | Псевдоним | Псевдоним в поле TargetFileName . | |
| TargetFilePath | Обязательно | Строка | Полный нормализованный путь к целевому файлу, включая папку или расположение, имя файла и расширение. Дополнительные сведения см. в разделе Структура пути. Примечание. Если запись не содержит сведений о папке или расположении, сохраните здесь только имя файла. Пример: C:\Windows\System32\notepad.exe |
| TargetFilePathType | Обязательно | Enumerated | Тип TargetFilePath. Дополнительные сведения см. в разделе Структура пути. |
| FilePath | Псевдоним | Псевдоним для поля TargetFilePath. | |
| TargetFileMD5 | Необязательно | MD5 | Хэш MD5 целевого файла. Пример: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | Необязательно | SHA1 | Хэш SHA-1 целевого файла. Пример: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | Необязательно | SHA256 | Хэш SHA-256 целевого файла. Пример: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | Необязательно | SHA512 | Хэш SHA-512 исходного файла. |
| Hash | Псевдоним | Псевдоним для лучшего доступного хэша целевого файла. | |
| HashType | Условный | Enumerated | Тип хэша, хранящегося в поле псевдонима HASH. Допустимые значения: MD5, SHA, SHA256, SHA512 и IMPHASH. Обязательно, если Hash заполнено. |
| TargetFileSize | Необязательно | Long | Размер целевого файла в байтах. |
Поля исходного файла
Следующие поля представляют сведения о исходном файле в операции с файлом, которая содержит источник и место назначения, например копию. Если операция включает один файл, он представлен полями целевого файла.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| SrcFileCreationTime | Необязательно | Дата и время | Время, когда был создан исходный файл. |
| SrcFileDirectory | Необязательно | Строка | Папка или расположение исходного файла. Это значение должно быть идентично значению SrcFilePath без завершающего элемента. Примечание. Средство синтаксического анализа может предоставить это значение, если оно доступно в источнике журнала и его не нужно извлекать из полного пути. |
| SrcFileExtension | Необязательно | Строка | Расширение исходного файла. Примечание. Средство синтаксического анализа может предоставить это значение, если оно доступно в источнике журнала и его не нужно извлекать из полного пути. |
| SrcFileMimeType | Необязательно | Строка | MIME или мультимедийный тип исходного файла. Поддерживаемые значения указаны в репозитории IANA Media Types. |
| SrcFileName | Рекомендуемая конфигурация | Строка | Имя исходного файла без пути или папки, но с расширением, если оно необходимо. Это поле должно быть идентично последнему элементу в поле SrcFilePath. |
| SrcFilePath | Рекомендуемая конфигурация | Строка | Полный нормализованный путь к исходному файлу, включая папку или расположение, имя файла и расширение. Дополнительные сведения см. в разделе Структура пути. Пример: /etc/init.d/networking |
| SrcFilePathType | Рекомендуемая конфигурация | Enumerated | Тип SrcFilePath. Дополнительные сведения см. в разделе Структура пути. |
| SrcFileMD5 | Необязательно | MD5 | Хэш MD5 исходного файла. Пример: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | Необязательно | SHA1 | Хэш SHA-1 исходного файла. Пример: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | Необязательно | SHA256 | Хэш SHA-256 исходного файла. Пример: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | Необязательно | SHA512 | Хэш SHA-512 исходного файла. |
| SrcFileSize | Необязательно | Long | Размер исходного файла в байтах. |
Поля Actor
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| ActorUserId | Рекомендуемая конфигурация | Строка | Считываемое компьютером буквенно-цифровое значение, уникальным образом представляющее Actor. Поддерживаемые форматы для различных типов идентификаторов см. в разделе Сущность пользователя. Пример: S-1-12 |
| ActorScope | Необязательно | Строка | Область, например клиент Microsoft Entra, в которой определены ActorUserId и ActorUsername . или дополнительные сведения и список разрешенных значений см. в разделе UserScope в статье "Обзор схемы". |
| ActorScopeId | Необязательно | Строка | Идентификатор области, например идентификатор каталога Microsoft Entra, в котором определены ActorUserId и ActorUsername . или дополнительные сведения и список разрешенных значений см. в разделе UserScopeId в статье "Обзор схемы". |
| ActorUserIdType | Условный | Enumerated | Тип идентификатора, который хранится в поле ActorUserId. Список допустимых значений и дополнительные сведения см. в разделе UserIdType статьи Схемы расширенной информационной модели безопасности (ASIM). |
| Имя пользователя актёра | Обязательно | Имя пользователя (строка) | Имя пользователя субъекта, включая сведения о домене, если они доступны. Поддерживаемые форматы для различных типов идентификаторов см. в разделе Сущность пользователя. Используйте простую форму, только если сведения о домене недоступны. Храните тип имени пользователя в поле ActorUsernameType. Если доступны другие форматы имени пользователя, сохраните их в полях ActorUsername<UsernameType>.Пример: AlbertE |
| Пользователь | Псевдоним | Псевдоним для поля ActorUsername. Пример: CONTOSO\dadmin |
|
| ActorUsernameType | Условный | Enumerated | Определяет тип имени пользователя, которое хранится в поле ActorUsername. Список допустимых значений и дополнительные сведения см. в разделе UsernameType статьи Схемы расширенной информационной модели безопасности (ASIM). Пример: Windows |
| ActorSessionId | Необязательно | Строка | Уникальный идентификатор сеанса входа субъекта. Пример: 999Примечание. Тип определяется как строка для поддержки различных систем, но в Windows это значение должно быть числовым. Если вы используете компьютеры с Windows и используете другой тип, обязательно преобразуйте эти значения. Например, если вы использовали шестнадцатеричное значение, преобразуйте его в десятичное. |
| ActorUserType | Необязательно | UserType | Тип субъекта Actor. Список допустимых значений и дополнительные сведения см. в разделе UserType статьи Схемы расширенной информационной модели безопасности (ASIM). Примечание. Значение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы до этих значений. Храните исходное значение в поле ActorOriginalUserType. |
| ActorOriginalUserType | Необязательно | Строка | Исходный тип пользователя назначения, если он указан передающим устройством. |
Поля действующего процесса
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| ActingProcessCommandLine | Необязательно | Строка | Командная строка, используемая для запуска действующего процесса. Пример: "choco.exe" -v |
| ActingProcessName | Необязательно | строка | Имя действующего процесса. Это имя, как правило, является производным от файла образа или исполняемого файла, который используется для определения исходного кода и данных, сопоставленных с виртуальным адресным пространством процесса. Пример: C:\Windows\explorer.exe |
| Обработать | Псевдоним | Псевдоним для ActingProcessName | |
| ActingProcessId | Необязательно | Строка | Идентификатор (PID) действующего процесса. Пример: 48610176 Примечание. Тип определяется как строка для поддержки различных систем, но в Windows и Linux это значение должно быть числовым. Если вы используете компьютер с Windows или Linux и применяете другой тип, обязательно преобразуйте эти значения. Например, если вы использовали шестнадцатеричное значение, преобразуйте его в десятичное. |
| ActingProcessGuid | Необязательно | GUID (струна) | Созданный уникальный идентификатор (GUID) действующего процесса. Позволяет идентифицировать процесс в системах. Пример: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Связанные с исходной системой поля
Следующие поля представляют сведения о системе, инициирующей действие файла, обычно при переносе по сети.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| SrcIpAddr | Рекомендуемая конфигурация | IP-адрес | Если операция инициируется удаленной системой, это IP-адрес данной системы. Пример: 185.175.35.214 |
| IpAddr | Псевдоним | Псевдоним для SrcIpAddr | |
| Src | Псевдоним | Псевдоним для SrcIpAddr | |
| SrcPortNumber | Необязательно | Целое | Когда операция инициируется удаленной системой, номер порта, из которого был инициирован подключение. Пример: 2335 |
| SrcHostname (Имя хоста) | Необязательно | Имя хозяина (строка) | Имя узла исходного устройства, включая сведения о домене. Если имя устройства недоступно, сохраните в этом поле соответствующий IP-адрес. Пример: DESKTOP-1282V4D |
| SrcDomain | Необязательно | Домен (строка) | Домен исходного устройства. Пример: Contoso |
| SrcDomainType (Тип домена) | Условный | DomainType | Тип SrcDomain. Список допустимых значений и дополнительные сведения см. в разделе DomainType статьи Схемы расширенной информационной модели безопасности (ASIM). Является обязательным при использовании SrcDomain. |
| SrcFQDN | Необязательно | Полное доменное имя (строка) | Имя узла исходного устройства, включая сведения о домене, если они доступны. Примечание. Это поле поддерживает как традиционные форматы FQDN, так и формат домен\имя_узла Windows. Поле SrcDomainType отражает используемый формат. Пример: Contoso\DESKTOP-1282V4D |
| SrcОписание | Необязательно | Строка | Текст описания, связанный с устройством. Например: Primary Domain Controller. |
| SrcDvcId (SrcDvcId) | Необязательно | Строка | Идентификатор исходного устройства. Если доступно несколько идентификаторов, используйте наиболее важный из них, другие храните в полях SrcDvc<DvcIdType>.Пример: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId (Идентификатор SrcDvcScopeId) | Необязательно | Строка | Идентификатор области облачной платформы, к которому принадлежит устройство. SrcDvcScopeId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| SrcDvcScope (SrcDvcScope) | Необязательно | Строка | Область облачной платформы, к которой принадлежит устройство. SrcDvcScope сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| SrcDvcIdType | Условный | DvcIdType | Тип SrcDvcId. Список допустимых значений и дополнительные сведения см. в разделе DvcIdType статьи Схемы расширенной информационной модели безопасности (ASIM). Примечание. Это поле является обязательным, если используется SrcDvcId. |
| SrcDeviceType | Необязательно | DeviceType | Тип исходного устройства. Список допустимых значений и дополнительные сведения см. в разделе DeviceType статьи Схемы расширенной информационной модели безопасности (ASIM). |
| SrcGeoCountry | Необязательно | Страна/регион | Страна или регион, связанный с исходным IP-адресом. Пример: USA |
| SrcGeoRegion | Необязательно | Область/регион | Регион, связанный с исходным IP-адресом. Пример: Vermont |
| SrcGeoCity | Необязательно | Город | Город, связанный с исходным IP-адресом. Пример: Burlington |
| SrcGeoLatitude | Необязательно | Широта | Географическая широта, связанная с исходным IP-адресом. Пример: 44.475833 |
| SrcGeoLongitude | Необязательно | Долгота | Географическая долгота, связанная с исходным IP-адресом. Пример: 73.211944 |
Области применения актёров
Следующие поля представляют информацию о локальном приложении, которое общалось по сети с удалённой системой для выполнения файловой активности.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| ActingAppName | Необязательно | Строка | Название актёрской заявки. Пример: Facebook |
| ActingAppId | Необязательно | Строка | ID действующего приложения, как указывается устройством отчётности. |
| ActingAppType | Необязательно | AppType | Тип приложения назначения. Список допустимых значений и дополнительные сведения см. в разделе AppType статьи Схемы расширенной информационной модели безопасности (ASIM). Это поле является обязательным, если используется TargetAppName или TargetAppId . |
| HttpUserAgent | Необязательно | Строка | Когда операция инициируется удаленной системой по протоколу HTTP или HTTPS, используется агент пользователя. Например: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | Необязательно | Строка | Если операция инициируется удаленной системой, это значение представляет собой протокол уровня приложения, используемый в модели OSI. Хотя это поле не является перечислимым и принимается любое значение, предпочтительные значения такие: HTTP, HTTPS, SMB, FTP и SSH.Пример: SMB |
Поля целевого приложения
Следующие поля представляют сведения о целевом приложении, выполняющего действие файла от имени пользователя. Конечное приложение обычно связано с действиями файлов по сети, например с помощью приложений SaaS (Программное обеспечение как услуга).
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| TargetAppName | Необязательно | Строка | Введите имя приложения назначения. Пример: Facebook |
| Приложение | Псевдоним | Псевдоним targetAppName. | |
| TargetAppId | Необязательно | Строка | Идентификатор приложения назначения, который сообщается устройством отчетов. |
| TargetAppType | Условный | AppType | Тип приложения назначения. Список допустимых значений и дополнительные сведения см. в разделе AppType статьи Схемы расширенной информационной модели безопасности (ASIM). Это поле является обязательным, если используется TargetAppName или TargetAppId . |
| TargetOriginalAppType | Необязательно | Строка | Тип целевого приложения, который сообщает устройство отчётности. |
| TargetUrl | Необязательно | URL (строка) | Когда операция инициируется по протоколу HTTP или HTTPS, используется URL. Пример: https://onedrive.live.com/?authkey=... |
| URL-адрес | Псевдоним | Псевдоним для TargetUrl |
Поля проверки
Следующие поля используются для представления проверки, выполняемой системой безопасности, такой антивирусной системой. Определяемый поток обычно связан с файлом, на котором было выполнено действие, а не с самим действием.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| RuleName | Необязательно | Строка | Имя или идентификатор правила, связанные с результатами проверки. |
| RuleNumber | Необязательно | Целое | Число правил, связанных с результатами проверки. |
| Правило | Условный | Строка | Значение kRuleName или значение RuleNumber. Если используется значение RuleNumber , тип следует преобразовать в строку. |
| ThreatId | Необязательно | Строка | Идентификатор угрозы или вредоносных программ, определенных в действии файла. |
| ThreatName | Необязательно | Строка | Имя угрозы или вредоносных программ, определенных в действии файла. Пример: EICAR Test File |
| ThreatCategory | Необязательно | Строка | Категория угроз или вредоносных программ, определенных в действии файла. Пример: Trojan |
| ThreatRiskLevel | Необязательно | RiskLevel (целое число) | Уровень риска, связанный с идентифицированной угрозой. Уровень должен быть числом от 0 до 100. Примечание. Значение может быть указано в исходной записи с использованием другой шкалы, которая должна быть нормализована по этой шкале. Исходное значение должно храниться в ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel (ИсходныйУровень Риска) | Необязательно | Строка | Уровень риска, сообщаемый устройством отчетов. |
| ThreatFilePath | Необязательно | Строка | Путь к файлу, для которого обнаружена угроза. Поле ThreatField содержит имя поля ThreatFilePath. |
| ThreatField (Поле угроз) | Условный | Enumerated | Поле, для которого была обнаружена угроза. Имеет значение SrcFilePath или DstFilePath. |
| ThreatConfidence | Необязательно | Confidence Level (целое число) | Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100. |
| ThreatOriginalConfidence | Необязательно | Строка | Исходный уровень достоверности для обнаруженной угрозы, полученный от устройства, сообщившего о ней. |
| ThreatIsActive | Необязательно | Логический | Значение true, если обнаруженная угроза считается активной. |
| ThreatFirstReportedTime | Необязательно | datetime | Время первого обнаружения угрозы для этого IP-адреса или домена. |
| ThreatLastReportedTime | Необязательно | datetime | Время последнего обнаружения угрозы для этого IP-адреса или домена. |
Структура пути
Путь должен нормализоваться в один из указанных ниже форматов. Формат, к которому будет приведено значение, будет отражен в соответствующем поле FilePathType.
| Тип | Пример | Примечания. |
|---|---|---|
| Локальный ресурс Windows | C:\Windows\System32\notepad.exe |
Так как в именах путей Windows регистр не учитывается, этот тип подразумевает, что значение нечувствительно к регистру. |
| Общий ресурс Windows | \\Documents\My Shapes\Favorites.vssx |
Так как в именах путей Windows регистр не учитывается, этот тип подразумевает, что значение нечувствительно к регистру. |
| Unix | /etc/init.d/networking |
Так как в именах путей UNIX учитывается регистр, этот тип подразумевает, что значение чувствительно к регистру. — Используйте этот тип для AWS S3. Для создания пути объедините имена контейнера и ключа. — Используйте этот тип для ключей объектов хранилища BLOB-объектов Azure. |
| URL-адрес | https://1drv.ms/p/s!Av04S_*********we |
Используется, если путь к файлу доступен в качестве URL-адреса. В качестве URL-адреса не обязательно использовать только адреса HTTP или HTTPS. Возможно любое допустимое значение, включая FTP. |
Обновления схемы
Ниже приведены изменения в версии 0.1.1 схемы:
- Добавлено поле
EventSchema.
Вот изменения в версии 0.2 схемы:
- Добавлены поля проверки.
- Добавлены поля
ActorScope,TargetUserScope,HashTypeTargetAppNameTargetAppIdTargetAppTypeSrcGeoCountrySrcGeoRegionSrcGeoLongitudeSrcGeoLatitudeActorSessionIdDvcScopeIdиDvcScope.. - Добавлены псевдонимы
Url,IpAddr"FileName" иSrc.
Вот изменения в версии 0.2.1 схемы:
-
ApplicationДобавлен в качестве псевдонимаTargetAppName. - Добавлено поле
ActorScopeId - Добавлены связанные поля исходного устройства.
Вот изменения в версии 0.2.2 схемы:
- Добавлено поле
TargetOriginalAppType - Добавлены поля
ActingAppId,ActingAppNameкоторыеActingAppTypeнедоступны в таблицеASimFileEventLogs.
Дальнейшие действия
Дополнительные сведения см. в разделе:
- Посмотрите веб-семинар ASIM или слайды.
- Обзор расширенной информационной модели безопасности (ASIM)
- Схемы расширенной информационной модели безопасности (ASIM)
- Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
- Содержимое расширенной информационной модели безопасности (ASIM)