Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Dosya Olayı normalleştirme şeması, dosya veya belge oluşturma, değiştirme veya silme gibi dosya etkinliğini açıklamak için kullanılır. Bu tür olaylar işletim sistemleri, Azure Dosyalar gibi dosya depolama sistemleri ve Microsoft SharePoint gibi belge yönetim sistemleri tarafından bildirilir.
Microsoft Sentinel normalleştirme hakkında daha fazla bilgi için bkz. Normalleştirme ve Gelişmiş Güvenlik Bilgi Modeli (ASIM).
Çözümleyicileri
Dosya etkinliği ayrıştırıcılarını dağıtma ve kullanma
Microsoft Sentinel GitHub deposundan ASIM Dosya Etkinliği ayrıştırıcılarını dağıtın. Tüm Dosya Etkinliği kaynakları arasında sorgulama yapmak için, sorgunuzda tablo adı olarak birleştirici ayrıştırıcıyı imFileEvent kullanın.
ASIM ayrıştırıcılarını kullanma hakkında daha fazla bilgi için bkz. ASIM ayrıştırıcılarına genel bakış. dosya etkinliği ayrıştırıcılarının listesi için Microsoft Sentinel kullanıma hazır sağlar ASIM ayrıştırıcıları listesine bakın
Kendi normalleştirilmiş ayrıştırıcılarınızı ekleme
Dosya Olayı bilgi modeli için özel ayrıştırıcılar uygularken aşağıdaki söz dizimini kullanarak KQL işlevlerinizi adlandırın: imFileEvent<vendor><Product.
Ayrıştırıcıyı birleştiren dosya etkinliğine özel ayrıştırıcılarınızı eklemeyi öğrenmek için ASIM ayrıştırıcılarını yönetme makalesine bakın.
Ayrıştırıcı parametrelerini filtreleme
Dosya Olayı ayrıştırıcıları filtreleme parametrelerini destekler. Bu parametreler isteğe bağlı olsa da sorgu performansınızı artırabilir.
Aşağıdaki filtreleme parametreleri kullanılabilir:
| Name | Tür | Açıklama |
|---|---|---|
| Starttime | Datetime | Yalnızca bu sürenin sonunda veya sonrasında gerçekleşen dosya olaylarını filtreleyin. Bu parametre, EventStartTime ve EventEndTime alanlarının ayrıştırıcıya özgü eşlemesine bakılmaksızın, olay zamanı için standart belirleyici olan alana filtrelenir TimeGenerated . |
| Endtime | Datetime | Yalnızca bu zamanda veya öncesinde gerçekleşen dosya olaylarını filtreleyin. Bu parametre, EventStartTime ve EventEndTime alanlarının ayrıştırıcıya özgü eşlemesine bakılmaksızın, olay zamanı için standart belirleyici olan alana filtrelenir TimeGenerated . |
| eventtype_in | Dinamik | Yalnızca olay türünün , FileModified, , FileDeletedFileRenamedveya FileCopiedgibi FileCreatedlistelenen değerlerden biri olduğu dosya olaylarını filtreleyin. |
| srcipaddr_has_any_prefix | Dinamik | Yalnızca kaynak IP adresi ön ekinin listelenen değerlerden herhangi biri ile eşleştiği dosya olaylarını filtreleyin. Ön ekler ile .bitmelidir, örneğin: 10.0.. |
| actorusername_has_any | Dinamik | Yalnızca aktör kullanıcı adının listelenen değerlerden birine sahip olduğu dosya olaylarını filtreleyin. |
| targetfilepath_has_any | Dinamik | Yalnızca hedef dosya yolunun listelenen değerlerden herhangi birine sahip olduğu dosya olaylarını filtreleyin. |
| srcfilepath_has_any | Dinamik | Yalnızca kaynak dosya yolunda listelenen değerlerden herhangi birinin bulunduğu dosya olaylarını filtreleyin. |
| hashes_has_any | Dinamik | Yalnızca dosya karması listelenen değerlerden herhangi biri ile eşleştiği dosya olaylarını filtreleyin. |
| dvchostname_has_any | Dinamik | Yalnızca cihaz ana bilgisayar adının listelenen değerlerden birine sahip olduğu dosya olaylarını filtreleyin. |
Örneğin, yalnızca son güne ait dosya oluşturma ve değiştirme olaylarını filtrelemek için şunu kullanın:
_Im_FileEvent (eventtype_in=dynamic(['FileCreated','FileModified']), starttime = ago(1d), endtime=now())
Normalleştirilmiş içerik
Normalleştirilmiş Dosya Etkinliği olaylarını kullanan analiz kurallarının tam listesi için bkz. Dosya Etkinliği güvenlik içeriği.
Şemaya genel bakış
Dosya Olayı bilgi modeli , OSSEM İşlemi varlık şemasına hizalanır.
Dosya Olayı şeması, dosya etkinliklerinin merkezi olan aşağıdaki varlıklara başvurur:
- Aktör. Dosya etkinliğini başlatan kullanıcı
- ActingProcess. Actor tarafından dosya etkinliğini başlatmak için kullanılan işlem
- TargetFile. İşlemin gerçekleştirildiği dosya
- Kaynak Dosya (SrcFile). İşlemden önce dosya bilgilerini depolar.
Bu varlıklar arasındaki ilişki en iyi şekilde şu şekilde gösterilir: Aktör, Kaynak DosyayıHedef Dosya olarak değiştiren Bir İşlem kullanarak bir dosya işlemi gerçekleştirir.
Örneğin: JohnDoe (Aktör), (Kaynak Dosya) öğesini (Hedef Dosya) olarak yeniden adlandırmak new.doc için old.doc (İşlem işlemi) kullanır Windows File Explorer .
Şema ayrıntıları
Ortak alanlar
Önemli
Tüm şemalarda ortak olan alanlar ASIM Ortak Alanları makalesinde ayrıntılı olarak açıklanmıştır.
Dosya Olayı şeması için belirli yönergelere sahip alanlar
Aşağıdaki listede, Dosya etkinliği olayları için belirli yönergelere sahip alanlardan bahsedmektedir:
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| Eventtype | Zorunlu | Numaralandırılmış | Kayıt tarafından bildirilen işlemi açıklar. Desteklenen değerler şunlardır: - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| EventSubType | İsteğe bağlı | Numaralandırılmış |
EventType'ta bildirilen işlemle ilgili ayrıntıları açıklar. Olay türü başına desteklenen değerler şunlardır: - FileCreated
-
Upload, Checkin- FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed
-
Download, Preview, Checkout, Extended- FileDeleted
-
Recycled, Versions, Site |
| EventSchema | Zorunlu | Numaralandırılmış | Burada belgelenen şemanın adı FileEvent'tir. |
| EventSchemaVersion | Zorunlu | SchemaVersion (Dize) | Şemanın sürümü. Şemanın burada belgelenen sürümü 0.2.2 |
| Dvc alanları | - | - | Dosya etkinliği olayları için cihaz alanları, dosya etkinliğinin gerçekleştiği sisteme başvurur. |
Önemli
Alan EventSchema şu anda isteğe bağlıdır ancak 1 Eylül 2022'de Zorunlu olacaktır.
Tüm ortak alanlar
Tabloda görünen alanlar tüm ASIM şemalarında ortaktır. Bu belgedeki şemaya özgü yönergelerden herhangi biri alanın genel yönergelerini geçersiz kılar. Örneğin, bir alan genel olarak isteğe bağlı olabilir, ancak belirli bir şema için zorunlu olabilir. Her alan hakkında daha fazla bilgi için ASIM Ortak Alanları makalesine bakın.
| Sınıfı | Alanları |
|---|---|
| Zorunlu |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Önerilen |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| İsteğe bağlı |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcO'lar - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Hedef dosya alanları
Aşağıdaki alanlar, bir dosya işlemindeki hedef dosya hakkındaki bilgileri temsil ediyor. İşlem tek bir dosya içeriyorsa, FileCreate örneğin, hedef dosya alanlarıyla temsil edilir.
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| TargetFileCreationTime | İsteğe bağlı | Tarih/Saat | Hedef dosyanın oluşturulduğu saat. |
| TargetFileDirectory | İsteğe bağlı | Dize | Hedef dosya klasörü veya konumu. Bu alan, son öğe olmadan TargetFilePath alanına benzer olmalıdır. Not: Bir ayrıştırıcı, günlük kaynağında bulunan değer varsa ve tam yoldan ayıklanması gerekmiyorsa bu değeri sağlayabilir. |
| TargetFileExtension | İsteğe bağlı | Dize | Hedef dosya uzantısı. Not: Bir ayrıştırıcı, günlük kaynağında bulunan değer varsa ve tam yoldan ayıklanması gerekmiyorsa bu değeri sağlayabilir. |
| TargetFileMimeType | İsteğe bağlı | Dize | Hedef dosyanın Mime veya Medya türü. İzin verilen değerler IANA Medya Türleri deposunda listelenir. |
| TargetFileName | Önerilen | Dize | Hedef dosyanın adı, yol veya konum olmadan, ancak uygunsa bir uzantıyla. Bu alan , TargetFilePath alanındaki son öğeye benzer olmalıdır. |
| Dosyaadı | Diğer ad | TargetFileName alanının diğer adı. | |
| TargetFilePath | Zorunlu | Dize | Hedef dosyanın, klasör veya konum, dosya adı ve uzantı da dahil olmak üzere tam, normalleştirilmiş yolu. Daha fazla bilgi için bkz. Yol yapısı. Not: Kayıt klasör veya konum bilgilerini içermiyorsa, dosya adını yalnızca burada depolayın. Örnek: C:\Windows\System32\notepad.exe |
| TargetFilePathType | Zorunlu | Numaralandırılmış | TargetFilePath türü. Daha fazla bilgi için bkz. Yol yapısı. |
| Filepath | Diğer ad | TargetFilePath alanının diğer adı. | |
| TargetFileMD5 | İsteğe bağlı | MD5 | Hedef dosyanın MD5 karması. Örnek: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | İsteğe bağlı | SHA1 | Hedef dosyanın SHA-1 karması. Örneğin: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | İsteğe bağlı | SHA256 | Hedef dosyanın SHA-256 karması. Örneğin: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | İsteğe bağlı | SHA512 | Kaynak dosyanın SHA-512 karması. |
| Karma | Diğer ad | Kullanılabilir en iyi Hedef Dosya karması için diğer ad. | |
| HashType | Koşullu | Numaralandırılmış | KARMA diğer ad alanında depolanan karma türü, izin verilen değerler , , SHA512SHASHA256ve IMPHASH'tir.MD5 Doldurulan Hash zorunludur. |
| TargetFileSize | İsteğe bağlı | Uzun | Hedef dosyanın bayt cinsinden boyutu. |
Kaynak dosya alanları
Aşağıdaki alanlar, hem kaynak hem de hedef içeren bir dosya işlemindeki kaynak dosya hakkındaki bilgileri (kopyalama gibi) temsil ediyor. İşlem tek bir dosya içeriyorsa, hedef dosya alanlarıyla temsil edilir.
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| SrcFileCreationTime | İsteğe bağlı | Tarih/Saat | Kaynak dosyanın oluşturulduğu saat. |
| SrcFileDirectory | İsteğe bağlı | Dize | Kaynak dosya klasörü veya konumu. Bu alan, son öğe olmadan SrcFilePath alanına benzer olmalıdır. Not: Bir ayrıştırıcı, değer günlük kaynağında kullanılabiliyorsa ve tam yoldan ayıklanması gerekmiyorsa bu değeri sağlayabilir. |
| SrcFileExtension | İsteğe bağlı | Dize | Kaynak dosya uzantısı. Not: Ayrıştırıcı bu değeri sağlayabilir, değer günlük kaynağında kullanılabilir ve tam yoldan ayıklanması gerekmez. |
| SrcFileMimeType | İsteğe bağlı | Dize | Kaynak dosyanın Mime veya Medya türü. Desteklenen değerler IANA Medya Türleri deposunda listelenir. |
| SrcFileName | Önerilen | Dize | Kaynak dosyanın adı, yol veya konum olmadan, ancak uygunsa bir uzantıyla. Bu alan , SrcFilePath alanındaki son öğeye benzer olmalıdır. |
| SrcFilePath | Önerilen | Dize | Klasör veya konum, dosya adı ve uzantı da dahil olmak üzere kaynak dosyanın tam, normalleştirilmiş yolu. Daha fazla bilgi için bkz. Yol yapısı. Örnek: /etc/init.d/networking |
| SrcFilePathType | Önerilen | Numaralandırılmış | SrcFilePath türü. Daha fazla bilgi için bkz. Yol yapısı. |
| SrcFileMD5 | İsteğe bağlı | MD5 | Kaynak dosyanın MD5 karması. Örnek: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | İsteğe bağlı | SHA1 | Kaynak dosyanın SHA-1 karması. Örneğin: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | İsteğe bağlı | SHA256 | Kaynak dosyanın SHA-256 karması. Örneğin: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | İsteğe bağlı | SHA512 | Kaynak dosyanın SHA-512 karması. |
| SrcFileSize | İsteğe bağlı | Uzun | Kaynak dosyanın bayt cinsinden boyutu. |
Aktör alanları
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| ActorUserId | Önerilen | Dize | Aktörün makine tarafından okunabilir, alfasayısal, benzersiz bir gösterimi. Farklı kimlik türleri için desteklenen biçim için Kullanıcı varlığına bakın. Örnek: S-1-12 |
| ActorScope | İsteğe bağlı | Dize | ActorUserId ve ActorUsername'in tanımlandığı Microsoft Entra kiracısı gibi kapsam. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUserScope bölümüne bakın. |
| ActorScopeId | İsteğe bağlı | Dize | ActorUserId ve ActorUsername'in tanımlandığı Microsoft Entra Dizin Kimliği gibi kapsam kimliği. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUserScopeId bölümüne bakın. |
| ActorUserIdType | Koşullu | Numaralandırılmış | ActorUserId alanında depolanan kimliğin türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiUserIdType'a bakın. |
| ActorUsername | Zorunlu | Kullanıcı adı (Dize) | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere Aktör kullanıcı adı. Farklı kimlik türleri için desteklenen biçim için Kullanıcı varlığına bakın. Basit formu yalnızca etki alanı bilgileri kullanılamıyorsa kullanın. Kullanıcı adı türünü ActorUsernameType alanında depolayın. Başka kullanıcı adı biçimleri varsa, bunları alanlarında ActorUsername<UsernameType>depolayın.Örnek: AlbertE |
| Kullanıcı | Diğer ad |
ActorUsername alanının diğer adı. Örnek: CONTOSO\dadmin |
|
| ActorUsernameType | Koşullu | Numaralandırılmış |
ActorUsername alanında depolanan kullanıcı adının türünü belirtir. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiUsernameType bölümüne bakın. Örnek: Windows |
| ActorSessionId | İsteğe bağlı | Dize | Aktörün oturum açma oturumunun benzersiz kimliği. Örnek: 999Not: Tür, farklı sistemleri desteklemek için dize olarak tanımlanır, ancak Windows'ta bu değer sayısal olmalıdır. Windows makinesi kullanıyorsanız ve farklı bir tür kullandıysanız, değerleri dönüştürdüğünüzden emin olun. Örneğin, onaltılık bir değer kullandıysanız, bunu ondalık değere dönüştürün. |
| ActorUserType | İsteğe bağlı | Usertype | Aktör türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiUserType'a bakın. Not: Değer kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değerlerle normalleştirilmelidir. Özgün değeri ActorOriginalUserType alanında depolayın. |
| ActorOriginalUserType | İsteğe bağlı | Dize | Raporlama cihazı tarafından sağlanıyorsa özgün hedef kullanıcı türü. |
İşlem alanlarının eyleme işlenmesi
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| ActingProcessCommandLine | İsteğe bağlı | Dize | İşlem işlemini çalıştırmak için kullanılan komut satırı. Örnek: "choco.exe" -v |
| ActingProcessName | İsteğe bağlı | dize | Eylem sürecinin adı. Bu ad genellikle işlemin sanal adres alanıyla eşlenen ilk kodu ve verileri tanımlamak için kullanılan görüntüden veya yürütülebilir dosyadan türetilir. Örnek: C:\Windows\explorer.exe |
| Işlem | Diğer ad | ActingProcessName diğer adı | |
| ActingProcessId | İsteğe bağlı | Dize | İşlem işleminin işlem kimliği (PID). Örnek: 48610176 Not: Tür, farklı sistemleri desteklemek için dize olarak tanımlanır, ancak Windows'ta ve Linux bu değerin sayısal olması gerekir. Windows veya Linux makinesi kullanıyorsanız ve farklı bir tür kullandıysanız, değerleri dönüştürdüğünüzden emin olun. Örneğin, onaltılık bir değer kullandıysanız, bunu ondalık değere dönüştürün. |
| ActingProcessGuid | İsteğe bağlı | GUID (dize) | Eylem işleminin oluşturulan benzersiz tanımlayıcısı (GUID). Sürecin sistemler arasında tanımlanmasını sağlar. Örnek: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Kaynak sistemle ilgili alanlar
Aşağıdaki alanlar, genellikle ağ üzerinden taşındığında dosya etkinliğini başlatan sistem hakkındaki bilgileri temsil eder.
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| SrcIpAddr | Önerilen | IP Adresi | İşlem bir uzak sistem tarafından başlatıldığında, bu sistemin IP adresi. Örnek: 185.175.35.214 |
| IpAddr | Diğer ad | SrcIpAddr diğer adı | |
| Src | Diğer ad | SrcIpAddr diğer adı | |
| SrcPortNumber | İsteğe bağlı | Tamsayı | İşlem bir uzak sistem tarafından başlatıldığında, bağlantının başlatıldığı bağlantı noktası numarası. Örnek: 2335 |
| SrcHostname | İsteğe bağlı | Ana Bilgisayar Adı (Dize) | Etki alanı bilgileri hariç, kaynak cihaz ana bilgisayar adı. Kullanılabilir cihaz adı yoksa, ilgili IP adresini bu alanda depolayın. Örnek: DESKTOP-1282V4D |
| SrcDomain | İsteğe bağlı | Etki Alanı (Dize) | Kaynak cihazın etki alanı. Örnek: Contoso |
| SrcDomainType | Koşullu | Domaintype |
SrcDomain türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiDomainType'a bakın. SrcDomain kullanılıyorsa gereklidir. |
| SrcFQDN | İsteğe bağlı | FQDN (Dize) | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak cihaz ana bilgisayar adı. Not: Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. SrcDomainType alanı kullanılan biçimi yansıtır. Örnek: Contoso\DESKTOP-1282V4D |
| SrcDescription | İsteğe bağlı | Dize | Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Primary Domain Controller. |
| SrcDvcId | İsteğe bağlı | Dize | Kaynak cihazın kimliği. Birden çok kimlik varsa, en önemli kimlikleri kullanın ve diğerlerini alanlarında depolayın SrcDvc<DvcIdType>.Örnek: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | İsteğe bağlı | Dize | Cihazın ait olduğu bulut platformu kapsam kimliği. SrcDvcScopeId, Azure'teki bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| SrcDvcScope | İsteğe bağlı | Dize | Cihazın ait olduğu bulut platformu kapsamı. SrcDvcScope, Azure'teki bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| SrcDvcIdType | Koşullu | DvcIdType |
SrcDvcId türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiDvcIdType'a bakın. Not: SrcDvcId kullanılıyorsa bu alan gereklidir. |
| SrcDeviceType | İsteğe bağlı | Devicetype | Kaynak cihazın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiDeviceType'a bakın. |
| SrcGeoCountry | İsteğe bağlı | Ülke | Kaynak IP adresiyle ilişkili ülke/bölge. Örnek: USA |
| SrcGeoRegion | İsteğe bağlı | Bölge | Kaynak IP adresiyle ilişkilendirilmiş bölge. Örnek: Vermont |
| SrcGeoCity | İsteğe bağlı | Şehir | Kaynak IP adresiyle ilişkilendirilmiş şehir. Örnek: Burlington |
| SrcGeoLatitude | İsteğe bağlı | Enlem | Kaynak IP adresiyle ilişkili coğrafi koordinatın enlemi. Örnek: 44.475833 |
| SrcGeoLongitude | İsteğe bağlı | Boylam | Kaynak IP adresiyle ilişkili coğrafi koordinatın boylamı. Örnek: 73.211944 |
Eylem uygulama alanları
Aşağıdaki alanlar, dosya etkinliğini gerçekleştirmek için uzak bir sistemle ağ üzerinden iletişim kuran yerel bir uygulama hakkındaki bilgileri temsil eder.
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| ActingAppName | İsteğe bağlı | Dize | Eylem uygulamanın adı. Örnek: Facebook |
| ActingAppId | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen eylem uygulamasının kimliği. |
| ActingAppType | İsteğe bağlı | AppType | Hedef uygulamanın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiAppType'a bakın. TargetAppName veya TargetAppId kullanılıyorsa bu alan zorunludur. |
| HttpUserAgent | İsteğe bağlı | Dize | İşlem HTTP veya HTTPS kullanılarak uzak bir sistem tarafından başlatıldığında, kullanıcı aracısı kullanılır. Örneğin: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | İsteğe bağlı | Dize | İşlem uzak bir sistem tarafından başlatıldığında, bu değer OSI modelinde kullanılan uygulama katmanı protokolüdür. Bu alan numaralandırılmamış ve herhangi bir değer kabul edilmiş olsa da tercih edilen değerler şunlardır: HTTP, HTTPS, SMB,FTP ve SSHÖrnek: SMB |
Hedef uygulama alanları
Aşağıdaki alanlar, kullanıcı adına dosya etkinliğini gerçekleştiren hedef uygulama hakkındaki bilgileri temsil eder. Hedef uygulama genellikle ağ üzerinden dosya etkinliğiyle ilgilidir. Örneğin SaaS (Hizmet olarak yazılım) uygulamaları kullanılır.
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| TargetAppName | İsteğe bağlı | Dize | Hedef uygulamanın adı. Örnek: Facebook |
| Uygulama | Diğer ad | TargetAppName diğer adı. | |
| TargetAppId | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen hedef uygulamanın kimliği. |
| TargetAppType | Koşullu | AppType | Hedef uygulamanın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindekiAppType'a bakın. TargetAppName veya TargetAppId kullanılıyorsa bu alan zorunludur. |
| TargetOriginalAppType | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen hedef uygulamanın türü. |
| TargetUrl | İsteğe bağlı | URL (Dize) | İşlem HTTP veya HTTPS kullanılarak başlatıldığında kullanılan URL. Örnek: https://onedrive.live.com/?authkey=... |
| Url | Diğer ad | TargetUrl diğer adı |
İnceleme alanları
Aşağıdaki alanlar, virüsten koruma sistemi gibi bir güvenlik sistemi tarafından gerçekleştirilen incelemeyi temsil etmek için kullanılır. Tanımlanan iş parçacığı genellikle etkinliğin kendisi yerine etkinliğin gerçekleştirildiği dosyayla ilişkilendirilir.
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| Rulename | İsteğe bağlı | Dize | Denetim sonuçlarıyla ilişkili kuralın adı veya kimliği. |
| RuleNumber | İsteğe bağlı | Tamsayı | İnceleme sonuçlarıyla ilişkili kuralın sayısı. |
| Kural | Koşullu | Dize | kRuleName değeri veya RuleNumber değeri. RuleNumber değeri kullanılırsa, tür dizeye dönüştürülmelidir. |
| ThreatId | İsteğe bağlı | Dize | Dosya etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılımın kimliği. |
| ThreatName | İsteğe bağlı | Dize | Dosya etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılımın adı. Örnek: EICAR Test File |
| ThreatCategory | İsteğe bağlı | Dize | Dosya etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılım kategorisi. Örnek: Trojan |
| ThreatRiskLevel | İsteğe bağlı | RiskLevel (Tamsayı) | Tanımlanan tehditle ilişkili risk düzeyi. Düzey 0 ile 100 arasında bir sayı olmalıdır. Not: Değer kaynak kayıtta farklı bir ölçek kullanılarak sağlanabilir ve bu ölçek normalleştirilmelidir. Özgün değer ThreatOriginalRiskLevel içinde depolanmalıdır. |
| ThreatOriginalRiskLevel | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen risk düzeyi. |
| ThreatFilePath | İsteğe bağlı | Dize | Bir tehdidin tanımlandığı dosya yolu. ThreatField alanı,ThreatFilePath'in temsil olduğu alanın adını içerir. |
| ThreatField | Koşullu | Numaralandırılmış | Bir tehdidin tanımlandığı alan. Değer veya SrcFilePathDstFilePathşeklindedir. |
| ThreatConfidence | İsteğe bağlı | ConfidenceLevel (Tamsayı) | Tanımlanan tehdidin güvenilirlik düzeyi, 0 ile 100 arasında bir değere normalleştirilmiştir. |
| ThreatOriginalConfidence | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen, tanımlanan tehdidin özgün güvenilirlik düzeyi. |
| ThreatIsActive | İsteğe bağlı | Boole | Tanımlanan tehdit etkin bir tehdit olarak kabul edilirse true. |
| ThreatFirstReportedTime | İsteğe bağlı | Datetime | IP adresi veya etki alanı ilk kez bir tehdit olarak tanımlandı. |
| ThreatLastReportedTime | İsteğe bağlı | Datetime | IP adresinin veya etki alanının en son tehdit olarak tanımlandığı zaman. |
Yol yapısı
Yol, aşağıdaki biçimlerden biriyle eşleşecek şekilde normalleştirilmelidir. Değerin normalleştirildiği biçim ilgili FilePathType alanına yansıtılır.
| Tür | Örnek | Notlar |
|---|---|---|
| Windows Yerel | C:\Windows\System32\notepad.exe |
Windows yol adları büyük/küçük harfe duyarlı olmadığından, bu tür değerin büyük/küçük harfe duyarlı olmadığını gösterir. |
| Windows Share | \\Documents\My Shapes\Favorites.vssx |
Windows yol adları büyük/küçük harfe duyarlı olmadığından, bu tür değerin büyük/küçük harfe duyarlı olmadığını gösterir. |
| Unıx | /etc/init.d/networking |
Unix yol adları büyük/küçük harfe duyarlı olduğundan, bu tür değerin büyük/küçük harfe duyarlı olduğunu gösterir. - AWS S3 için bu türü kullanın. Yolu oluşturmak için demet ve anahtar adlarını birleştirin. - Azure Blob depolama nesne anahtarları için bu türü kullanın. |
| URL | https://1drv.ms/p/s!Av04S_*********we |
Dosya yolu URL olarak kullanılabilir olduğunda kullanın. URL'ler http veya https ile sınırlı değildir ve FTP değeri de dahil olmak üzere tüm değerler geçerlidir. |
Şema güncelleştirmeleri
Şemanın 0.1.1 sürümündeki değişiklikler şunlardır:
- alanı
EventSchemaeklendi.
Şemanın 0.2 sürümündeki değişiklikler şunlardır:
- İnceleme alanları eklendi.
- , , ,
HashType, , ,TargetAppName,TargetAppId,TargetAppType, ,SrcGeoCountry, ,SrcGeoRegion,SrcGeoLongitude,SrcGeoLatitude,ActorSessionIdveDvcScopeDvcScopeId.ActorScope.TargetUserScope - , , '
IpAddrDosyaAdı' veSrcdiğer adlarıUrleklendi.
Şemanın 0.2.1 sürümündeki değişiklikler şunlardır:
- öğesine diğer ad
TargetAppNameolarak eklendiApplication. - alanı eklendi
ActorScopeId - Kaynak cihazla ilgili alanlar eklendi.
Şemanın 0.2.2 sürümündeki değişiklikler şunlardır:
- alanı eklendi
TargetOriginalAppType - tablosunda
ASimFileEventLogsbulunmayan ve alanlarınıActingAppNameActingAppIdActingAppTypeekledik.
Sonraki adımlar
Daha fazla bilgi için bkz.: