Gelişmiş Güvenlik Bilgileri Modeli (ASIM) Dosya Olayı normalleştirme şema başvurusu (Genel önizleme)

Dosya Olayı normalleştirme şeması, dosya veya belge oluşturma, değiştirme veya silme gibi dosya etkinliğini açıklamak için kullanılır. Bu tür olaylar işletim sistemleri, Azure Dosyalar gibi dosya depolama sistemleri ve Microsoft SharePoint gibi belge yönetim sistemleri tarafından bildirilir.

Microsoft Sentinel'de normalleştirme hakkında daha fazla bilgi için bkz . Normalleştirme ve Gelişmiş Güvenlik Bilgileri Modeli (ASIM).

Önemli

Dosya Olayı normalleştirme şeması şu anda ÖNİzLEME aşamasındadır. Bu özellik bir hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yükleri için önerilmez.

Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Çözümleyicileri

Dosya etkinliği ayrıştırıcılarını dağıtma ve kullanma

Microsoft Sentinel GitHub deposundan ASIM Dosya Etkinliği ayrıştırıcılarını dağıtın. Tüm Dosya Etkinliği kaynakları arasında sorgulama yapmak için, sorgunuzda tablo adı olarak birleştirici ayrıştırıcıyı imFileEvent kullanın.

ASIM ayrıştırıcılarını kullanma hakkında daha fazla bilgi için bkz . ASIM ayrıştırıcılarına genel bakış. Microsoft Sentinel, dosya etkinliği ayrıştırıcılarının listesi için asim ayrıştırıcıları listesine bakın

Kendi normalleştirilmiş ayrıştırıcılarınızı ekleme

Dosya Olayı bilgi modeli için özel ayrıştırıcılar uygularken aşağıdaki söz dizimini kullanarak KQL işlevlerinizi adlandırın: imFileEvent<vendor><Product.

Ayrıştırıcıyı birleştiren dosya etkinliğine özel ayrıştırıcılarınızı eklemeyi öğrenmek için ASIM ayrıştırıcılarını yönetme makalesine bakın.

Normalleştirilmiş içerik

Normalleştirilmiş Dosya Etkinliği olaylarını kullanan analiz kurallarının tam listesi için bkz . Dosya Etkinliği güvenlik içeriği.

Şemaya genel bakış

Dosya Olayı bilgi modeli, OSSEM İşlem varlık şemasına hizalanır.

Dosya Olayı şeması, dosya etkinliklerinin merkezi olan aşağıdaki varlıklara başvurur:

• Aktör. Dosya etkinliğini başlatan kullanıcı
• ActingProcess. Aktör tarafından dosya etkinliğini başlatmak için kullanılan işlem
• TargetFile. İşlemin gerçekleştirildiği dosya
• Kaynak Dosya (SrcFile). İşlemden önce dosya bilgilerini depolar.

Bu varlıklar arasındaki ilişki en iyi şekilde şu şekilde gösterilir: Aktör, Kaynak Dosyayı Hedef Dosya olarak değiştiren Bir Eylem İşlemi kullanarak bir dosya işlemi gerçekleştirir.

Örneğin: (Aktör) yeniden adlandırmak new.doc (Kaynak Dosya) (Hedef Dosya) için (İşlem gerçekleştirme) old.doc kullanır.Windows File ExplorerJohnDoe

Şema ayrıntıları

Ortak alanlar

Önemli

Tüm şemalarda ortak olan alanlar ASIM Ortak Alanları makalesinde ayrıntılı olarak açıklanmıştır.

Dosya Olayı şeması için belirli yönergelere sahip alanlar

Aşağıdaki listede, Dosya etkinliği olayları için belirli yönergelere sahip alanlardan bahsediliyor:

Alan	Sınıf	Tür	Açıklama
EventType	Zorunlu	Enumerated	Kayıt tarafından bildirilen işlemi açıklar. Desteklenen değerler şunlardır: - FileAccessed - FileCreated - FileModified - FileDeleted - FileRenamed - FileCopied - FileMoved - FolderCreated - FolderDeleted - FolderMoved - FolderModified - FileCreatedOrModified
EventSubType	İsteğe bağlı	Enumerated	EventType'da bildirilen işlemle ilgili ayrıntıları açıklar. Olay türü başına desteklenen değerler şunlardır: - FileCreated - Upload, Checkin - FileModified - Checkin - FileCreatedOrModified - Checkin - FileAccessed - Download, Preview, Checkout, Extended - FileDeleted - Recycled, Versions, Site
EventSchema	Zorunlu	String	Burada belgelenen şemanın adı FileEvent'tir.
EventSchemaVersion	Zorunlu	String	Şema sürümü. Şemanın burada belgelenen sürümü 0.2.1
Dvc alanları	-	-	Dosya etkinliği olayları için cihaz alanları, dosya etkinliğinin gerçekleştiği sisteme başvurur.

Önemli

Bu EventSchema alan şu anda isteğe bağlıdır ancak 1 Eylül 2022'de Zorunlu olacaktır.

Tüm ortak alanlar

Tabloda görünen alanlar tüm ASIM şemalarında ortaktır. Bu belgedeki şemaya özgü yönergelerden herhangi biri alanın genel yönergelerini geçersiz kılar. Örneğin, bir alan genel olarak isteğe bağlı olabilir, ancak belirli bir şema için zorunlu olabilir. Her alan hakkında daha fazla bilgi için ASIM Ortak Alanları makalesine bakın.

Sınıf	Alanlar
Zorunlu	- EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc
Önerilir	- EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction
İsteğe bağlı	- EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - EkAlanlar - DvcDescription - DvcScopeId - DvcScope

Hedef dosya alanları

Aşağıdaki alanlar, bir dosya işlemindeki hedef dosya hakkındaki bilgileri temsil eder. İşlem tek bir dosya içeriyorsa, FileCreate örneğin hedef dosya alanlarıyla temsil edilir.

Alan	Sınıf	Type	Açıklama
TargetFileCreationTime	İsteğe bağlı	Tarih/Zaman	Hedef dosyanın oluşturulduğu saat.
TargetFileDirectory	İsteğe bağlı	String	Hedef dosya klasörü veya konumu. Bu alan, son öğe olmadan TargetFilePath alanına benzer olmalıdır. Not: Bir ayrıştırıcı, günlük kaynağında sağlanan değer varsa ve tam yoldan ayıklanması gerekmiyorsa bu değeri sağlayabilir.
TargetFileExtension	İsteğe bağlı	String	Hedef dosya uzantısı. Not: Bir ayrıştırıcı, günlük kaynağında sağlanan değer varsa ve tam yoldan ayıklanması gerekmiyorsa bu değeri sağlayabilir.
TargetFileMimeType	İsteğe bağlı	Enumerated	Hedef dosyanın Mime veya Medya türü. İzin verilen değerler IANA Medya Türleri deposunda listelenir.
TargetFileName	Önerilir	String	Hedef dosyanın adı; yol veya konum olmadan, ancak uygunsa bir uzantıyla. Bu alan, TargetFilePath alanındaki son öğeye benzer olmalıdır.
Dosyaadı	Diğer ad		TargetFileName alanının diğer adı.
TargetFilePath	Zorunlu	String	Klasör veya konum, dosya adı ve uzantı dahil olmak üzere hedef dosyanın tam, normalleştirilmiş yolu. Daha fazla bilgi için bkz . Yol yapısı. Not: Kayıt klasör veya konum bilgilerini içermiyorsa, dosya adını yalnızca burada depolayın. Örnek: C:\Windows\System32\notepad.exe
TargetFilePathType	Zorunlu	Enumerated	TargetFilePath türü. Daha fazla bilgi için bkz . Yol yapısı.
FilePath	Diğer ad		TargetFilePath alanının diğer adı.
TargetFileMD5	İsteğe bağlı	MD5	Hedef dosyanın MD5 karması. Örnek: 75a599802f1fa166cdadb360960b1dd0
TargetFileSHA1	İsteğe bağlı	SHA1	Hedef dosyanın SHA-1 karması. Örnek: d55c5a4df19b46db8c54 c801c4665d3338acdab0
TargetFileSHA256	İsteğe bağlı	SHA256	Hedef dosyanın SHA-256 karması. Örnek: e81bb824c4a09a811af17deae22f22dd 2e1ec8cbb00b22629d2899f7c68da274
TargetFileSHA512	İsteğe bağlı	SHA512	Kaynak dosyanın SHA-512 karması.
Karma	Diğer ad		Kullanılabilir en iyi Hedef Dosya karması için diğer ad.
HashType	Önerilir	String	KARMA diğer ad alanında depolanan karma türü, izin verilen değerler , , SHA512 SHASHA256ve IMPHASH'tir.MD5 Doldurulan zorunludur Hash .
TargetFileSize	İsteğe bağlı	Uzun	Hedef dosyanın bayt cinsinden boyutu.

Kaynak dosya alanları

Aşağıdaki alanlar, hem kaynak hem de hedef içeren bir dosya işlemindeki kaynak dosya hakkındaki bilgileri temsil eder( örneğin, kopyalama). İşlem tek bir dosya içeriyorsa, hedef dosya alanlarıyla temsil edilir.

Alan	Sınıf	Type	Açıklama
SrcFileCreationTime	İsteğe bağlı	Tarih/Zaman	Kaynak dosyanın oluşturulduğu saat.
SrcFileDirectory	İsteğe bağlı	String	Kaynak dosya klasörü veya konumu. Bu alan, son öğe olmadan SrcFilePath alanına benzer olmalıdır. Not: Değer günlük kaynağında kullanılabiliyorsa ve tam yoldan ayıklanması gerekmiyorsa ayrıştırıcı bu değeri sağlayabilir.
SrcFileExtension	İsteğe bağlı	String	Kaynak dosya uzantısı. Not: Ayrıştırıcı bu değeri günlük kaynağında kullanılabilir olarak sağlayabilir ve tam yoldan ayıklanması gerekmez.
SrcFileMimeType	İsteğe bağlı	Enumerated	Kaynak dosyanın Mime veya Medya türü. Desteklenen değerler IANA Medya Türleri deposunda listelenir.
SrcFileName	Önerilir	String	Kaynak dosyanın adı; yol veya konum olmadan, ancak uygunsa bir uzantıyla. Bu alan, SrcFilePath alanındaki son öğeye benzer olmalıdır.
SrcFilePath	Önerilir	String	Klasör veya konum, dosya adı ve uzantı dahil olmak üzere kaynak dosyanın tam, normalleştirilmiş yolu. Daha fazla bilgi için bkz . Yol yapısı. Örnek: /etc/init.d/networking
SrcFilePathType	Önerilir	Enumerated	SrcFilePath türü. Daha fazla bilgi için bkz . Yol yapısı.
SrcFileMD5	İsteğe bağlı	MD5	Kaynak dosyanın MD5 karması. Örnek: 75a599802f1fa166cdadb360960b1dd0
SrcFileSHA1	İsteğe bağlı	SHA1	Kaynak dosyanın SHA-1 karması. Örnek: d55c5a4df19b46db8c54 c801c4665d3338acdab0
SrcFileSHA256	İsteğe bağlı	SHA256	Kaynak dosyanın SHA-256 karması. Örnek: e81bb824c4a09a811af17deae22f22dd 2e1ec8cbb00b22629d2899f7c68da274
SrcFileSHA512	İsteğe bağlı	SHA512	Kaynak dosyanın SHA-512 karması.
SrcFileSize	İsteğe bağlı	Uzun	Kaynak dosyanın bayt cinsinden boyutu.

Aktör alanları

Alan	Sınıf	Type	Açıklama
ActorUserId	Önerilir	String	Aktör'ün makine tarafından okunabilir, alfasayısal, benzersiz bir gösterimi. Farklı kimlik türleri için desteklenen biçim için Kullanıcı varlığına bakın. Örnek: S-1-12
ActorScope	İsteğe bağlı	String	ActorUserId ve ActorUsername'in tanımlandığı Microsoft Entra kiracısı gibi kapsam. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScope bölümüne bakın.
ActorScopeId	İsteğe bağlı	String	ActorUserId ve ActorUsername'in tanımlandığı Microsoft Entra Dizin Kimliği gibi kapsam kimliği. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScopeId bölümüne bakın.
ActorUserIdType	Koşullu	String	ActorUserId alanında depolanan kimliğin türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UserIdType'a bakın.
ActorUsername	Zorunlu	String	Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere Aktör kullanıcı adı. Farklı kimlik türleri için desteklenen biçim için Kullanıcı varlığına bakın. Basit formu yalnızca etki alanı bilgileri kullanılamıyorsa kullanın. Kullanıcı adı türünü ActorUsernameType alanında depolayın. Başka kullanıcı adı biçimleri varsa, bunları alanlarında ActorUsername<UsernameType>depolayın. Örnek: AlbertE
Kullanıcı	Diğer ad		ActorUsername alanının diğer adı. Örnek: CONTOSO\dadmin
ActorUsernameType	Koşullu	Enumerated	ActorUsername alanında depolanan kullanıcı adının türünü belirtir. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UsernameType'a bakın. Örnek: Windows
ActorSessionId	İsteğe bağlı	String	Aktör oturum açma oturumunun benzersiz kimliği. Örnek: 999 Not: Tür, çeşitli sistemleri desteklemek için dize olarak tanımlanır, ancak Windows'ta bu değer sayısal olmalıdır. Windows makinesi kullanıyorsanız ve farklı bir tür kullandıysanız, değerleri dönüştürdüğünüzden emin olun. Örneğin, onaltılık bir değer kullandıysanız, bunu ondalık değere dönüştürün.
ActorUserType	İsteğe bağlı	UserType	Aktör türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UserType'a bakın. Not: Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değer bu değerlere normalleştirilmelidir. Özgün değeri ActorOriginalUserType alanında depolayın.
ActorOriginalUserType	İsteğe bağlı	String	Raporlama cihazı tarafından sağlanıyorsa özgün hedef kullanıcı türü.

İşlem alanlarının eyleme geçirmesi

Alan	Sınıf	Type	Açıklama
ActingProcessCommandLine	İsteğe bağlı	String	Eylem işlemini çalıştırmak için kullanılan komut satırı. Örnek: "choco.exe" -v
ActingProcessName	İsteğe bağlı	Dize	Eylem işleminin adı. Bu ad genellikle işlemin sanal adres alanına eşlenen ilk kodu ve verileri tanımlamak için kullanılan görüntü veya yürütülebilir dosyadan türetilir. Örnek: C:\Windows\explorer.exe
İşlem	Diğer ad		ActingProcessName diğer adı
ActingProcessId	İsteğe bağlı	String	Eylem işleminin işlem kimliği (PID). Örnek: 48610176 Not: Tür, farklı sistemleri desteklemek için dize olarak tanımlanır, ancak Windows ve Linux'ta bu değer sayısal olmalıdır. Windows veya Linux makinesi kullanıyorsanız ve farklı bir tür kullandıysanız, değerleri dönüştürdüğünüzden emin olun. Örneğin, onaltılık bir değer kullandıysanız, bunu ondalık değere dönüştürün.
ActingProcessGuid	İsteğe bağlı	Dize	Eylem işleminin oluşturulan benzersiz tanımlayıcısı (GUID). Sürecin sistemler arasında tanımlanmasını sağlar. Örnek: EF3BD0BD-2B74-60C5-AF5C-010000001E00

Kaynak sistemle ilgili alanlar

Aşağıdaki alanlar, genellikle ağ üzerinden taşındığında dosya etkinliğini başlatan sistem hakkındaki bilgileri temsil eder.

Alan	Sınıf	Type	Açıklama
SrcIpAddr	Önerilir	IP Adresi	İşlem uzak bir sistem tarafından başlatıldığında, bu sistemin IP adresi. Örnek: 185.175.35.214
IpAddr	Diğer ad		SrcIpAddr diğer adı
Src	Diğer ad		SrcIpAddr diğer adı
SrcPortNumber	İsteğe bağlı	Tamsayı	İşlem uzak bir sistem tarafından başlatıldığında, bağlantının başlatıldığı bağlantı noktası numarası. Örnek: 2335
SrcHostname	Önerilir	Konak adı	Etki alanı bilgileri hariç kaynak cihaz ana bilgisayar adı. Kullanılabilir cihaz adı yoksa ilgili IP adresini bu alanda depolayın. Örnek: DESKTOP-1282V4D
SrcDomain	Önerilir	String	Kaynak cihazın etki alanı. Örnek: Contoso
SrcDomainType	Koşullu	DomainType	SrcDomain türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DomainType'a bakın. SrcDomain kullanılıyorsa gereklidir.
SrcFQDN	İsteğe bağlı	String	Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak cihaz ana bilgisayar adı. Not: Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. SrcDomainType alanı kullanılan biçimi yansıtır. Örnek: Contoso\DESKTOP-1282V4D
SrcDescription	İsteğe bağlı	String	Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Primary Domain Controller.
SrcDvcId	İsteğe bağlı	String	Kaynak cihazın kimliği. Birden çok kimlik varsa, en önemli kimlikleri kullanın ve diğerlerini alanlarında depolayın SrcDvc<DvcIdType>. Örnek: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId	İsteğe bağlı	String	Cihazın ait olduğu bulut platformu kapsam kimliği. SrcDvcScopeId , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
SrcDvcScope	İsteğe bağlı	String	Cihazın ait olduğu bulut platformu kapsamı. SrcDvcScope , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
SrcDvcIdType	Koşullu	DvcIdType	SrcDvcId türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DvcIdType'a bakın. Not: SrcDvcId kullanılıyorsa bu alan gereklidir.
SrcDeviceType	İsteğe bağlı	DeviceType	Kaynak cihazın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DeviceType'a bakın.
SrcSubscriptionId	İsteğe bağlı	String	Kaynak cihazın ait olduğu bulut platformu abonelik kimliği. SrcSubscriptionId , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
SrcGeoCountry	İsteğe bağlı	Ülke	Kaynak IP adresiyle ilişkili ülke. Örnek: USA
SrcGeoRegion	İsteğe bağlı	Bölge	Kaynak IP adresiyle ilişkilendirilmiş bölge. Örnek: Vermont
SrcGeoCity	İsteğe bağlı	City	Kaynak IP adresiyle ilişkili şehir. Örnek: Burlington
SrcGeoLatitude	İsteğe bağlı	Enlem	Kaynak IP adresiyle ilişkili coğrafi koordinatın enlemi. Örnek: 44.475833
SrcGeoLongitude	İsteğe bağlı	Boylam	Kaynak IP adresiyle ilişkili coğrafi koordinatın boylamı. Örnek: 73.211944

Ağ ile ilgili alanlar

Aşağıdaki alanlar, dosya etkinliğinin ağ üzerinden taşındığı ağ oturumu hakkındaki bilgileri temsil eder.

Alan	Sınıf	Type	Açıklama
HttpUserAgent	İsteğe bağlı	String	İşlem HTTP veya HTTPS kullanılarak uzak bir sistem tarafından başlatıldığında, kullanıcı aracısı kullanılır. Örneğin: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.246
NetworkApplicationProtocol	İsteğe bağlı	String	İşlem uzak bir sistem tarafından başlatıldığında, bu değer OSI modelinde kullanılan uygulama katmanı protokolüdür. Bu alan numaralandırılmamış ve herhangi bir değer kabul edilmiş olsa da, tercih edilen değerler şunlardır: HTTP, HTTPS, SMB,FTP ve SSH Örnek: SMB

Hedef uygulama alanları

Aşağıdaki alanlar, kullanıcı adına dosya etkinliğini gerçekleştiren hedef uygulama hakkındaki bilgileri temsil eder. Hedef uygulama genellikle saas (hizmet olarak yazılım) uygulamaları gibi ağ üzerinden dosya etkinliğiyle ilgilidir.

Alan	Sınıf	Type	Açıklama
TargetAppName	İsteğe bağlı	String	Hedef uygulamanın adı. Örnek: Facebook
Uygulama	Diğer ad		TargetAppName için diğer ad.
TargetAppId	İsteğe bağlı	String	Raporlama cihazı tarafından bildirilen hedef uygulamanın kimliği.
TargetAppType	İsteğe bağlı	AppType	Hedef uygulamanın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki AppType'a bakın. TargetAppName veya TargetAppId kullanılıyorsa bu alan zorunludur.
TargetUrl	İsteğe bağlı	String	İşlem HTTP veya HTTPS kullanılarak başlatıldığında kullanılan URL. Örnek: https://onedrive.live.com/?authkey=...
URL	Diğer ad		TargetUrl diğer adı

Denetim alanları

Aşağıdaki alanlar, virüsten koruma sistemi gibi bir güvenlik sistemi tarafından gerçekleştirilen incelemeyi temsil etmek için kullanılır. Tanımlanan iş parçacığı genellikle etkinliğin kendisi yerine etkinliğin gerçekleştirildiği dosyayla ilişkilendirilir.

Alan	Sınıf	Type	Açıklama
RuleName	İsteğe bağlı	String	Denetim sonuçlarıyla ilişkili kuralın adı veya kimliği.
KuralSayısı	İsteğe bağlı	Tamsayı	denetim sonuçlarıyla ilişkili kuralın sayısı.
Kural	Koşullu	String	kRuleName değeri veya RuleNumber değeri. RuleNumber değeri kullanılırsa, türü dizeye dönüştürülmelidir.
ThreatId	İsteğe bağlı	String	Dosya etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılımın kimliği.
ThreatName	İsteğe bağlı	String	Dosya etkinliğinde tanımlanan tehdidin veya kötü amaçlı yazılımın adı. Örnek: EICAR Test File
ThreatCategory	İsteğe bağlı	String	Dosya etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılım kategorisi. Örnek: Trojan
ThreatRiskLevel	İsteğe bağlı	Tamsayı	Tanımlanan tehditle ilişkili risk düzeyi. Düzey 0 ile 100 arasında bir sayı olmalıdır. Not: Bu değer kaynak kayıtta farklı bir ölçek kullanılarak sağlanabilir ve bu ölçek normalleştirilmelidir. Özgün değer ThreatRiskLevelOriginal içinde depolanmalıdır.
ThreatOriginalRiskLevel	İsteğe bağlı	String	Raporlama cihazı tarafından bildirilen risk düzeyi.
ThreatFilePath	İsteğe bağlı	String	Bir tehdidin tanımlandığı dosya yolu. ThreatField alanı ThreatFilePath'in temsil ettiği alanın adını içerir.
ThreatField	İsteğe bağlı	Enumerated	Bir tehdidin tanımlandığı alan. Değer veya SrcFilePath DstFilePathşeklindedir.
ThreatConfidence	İsteğe bağlı	Tamsayı	Tanımlanan tehdidin güvenilirlik düzeyi, 0 ile 100 arasında bir değere normalleştirilir.
ThreatOriginalConfidence	İsteğe bağlı	String	Raporlama cihazı tarafından bildirilen, tanımlanan tehdidin özgün güvenilirlik düzeyi.
ThreatIsActive	İsteğe bağlı	Boolean	Tanımlanan tehdit etkin bir tehdit olarak kabul edilirse true.
ThreatFirstReportedTime	İsteğe bağlı	datetime	IP adresi veya etki alanı ilk kez bir tehdit olarak tanımlandı.
ThreatLastReportedTime	İsteğe bağlı	datetime	IP adresinin veya etki alanının en son tehdit olarak tanımlandığı zaman.

Yol yapısı

Yol, aşağıdaki biçimlerden biriyle eşleşecek şekilde normalleştirilmelidir. Değerin normalleştirildiği biçim ilgili FilePathType alanına yansıtılır.

Tür	Örnek	Notlar
Windows Yerel	C:\Windows\System32\notepad.exe	Windows yol adları büyük/küçük harfe duyarsız olduğundan, bu tür değerin büyük/küçük harfe duyarsız olduğunu gösterir.
Windows Share	\\Documents\My Shapes\Favorites.vssx	Windows yol adları büyük/küçük harfe duyarsız olduğundan, bu tür değerin büyük/küçük harfe duyarsız olduğunu gösterir.
Unix	/etc/init.d/networking	Unix yol adları büyük/küçük harfe duyarlı olduğundan, bu tür değerin büyük/küçük harfe duyarlı olduğunu gösterir. - AWS S3 için bu türü kullanın. Yolu oluşturmak için demet ve anahtar adlarını birleştirir. - Azure Blob depolama nesne anahtarları için bu türü kullanın.
URL	https://1drv.ms/p/s!Av04S_*********we	Dosya yolu URL olarak kullanılabilir olduğunda kullanın. URL'ler http veya https ile sınırlı değildir ve FTP değeri de dahil olmak üzere herhangi bir değer geçerlidir.

Şema güncelleştirmeleri

Şemanın 0.1.1 sürümündeki değişiklikler şunlardır:

• alanını EventSchemaekledik.

Şemanın 0.2 sürümünde yapılan değişiklikler vardır:

• Denetim alanları eklendi.
• , , , HashType, , TargetAppName, TargetAppIdTargetAppType, , SrcGeoCountry, , SrcGeoRegionSrcGeoLongitude, SrcGeoLatitude, DvcScopeIdActorSessionIdve DvcScope.ActorScopeTargetUserScope
• , , IpAddr'DosyaAdı' ve Srcdiğer adları Urleklendi.

Şemanın 0.2.1 sürümünde yapılan değişiklikler vardır:

• öğesine TargetAppNamediğer ad olarak eklendiApplication.
• Alanı eklendi ActorScopeId
• Kaynak cihazla ilgili alanlar eklendi.

Sonraki adımlar

Daha fazla bilgi için bkz.

• ASIM Web seminerini izleyin veya slaytları gözden geçirin
• Gelişmiş Güvenlik Bilgileri Modeline (ASIM) genel bakış
• Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
• Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları
• Gelişmiş Güvenlik Bilgileri Modeli (ASIM) içeriği