進階安全性資訊模型 (ASIM) 檔案事件正規化架構參考 (公開預覽)
檔案事件正規化架構可用來描述檔案活動,例如建立、修改或刪除檔案或檔。 這類事件是由操作系統、檔案儲存系統,例如 Azure 檔案儲存體,以及 Microsoft SharePoint 等檔管理系統所報告。
如需Microsoft Sentinel 中正規化的詳細資訊,請參閱正規化和進階安全性資訊模型 (ASIM)。
重要
檔案事件正規化架構目前為 PREVIEW。 此功能在沒有服務等級協議的情況下提供,不建議用於生產工作負載。
Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
剖析器
部署和使用檔案活動剖析器
從 Microsoft Sentinel GitHub 存放庫部署 ASIM 檔案活動剖析器。 若要查詢所有檔案活動來源,請使用統一剖析器 imFileEvent 作為查詢中的數據表名稱。
如需使用 ASIM 剖析器的詳細資訊,請參閱 ASIM 剖析器概觀。 如需Microsoft Sentinel 提供現 成參考 ASIM 剖析器清單的檔案活動剖析器清單
新增您自己的標準化剖析器
實作檔案事件資訊模型的自定義剖析器時,請使用下列語法為您的 KQL 函式命名: imFileEvent<vendor><Product。
請參閱管理 ASIM 剖析器一文,瞭解如何將自定義剖析器新增至檔案活動統一剖析器。
標準化內容
如需使用正規化檔案活動事件之分析規則的完整清單,請參閱 檔案活動安全性內容。
結構描述概觀
檔案事件資訊模型會對齊 OSSEM Process 實體架構。
檔案事件架構會參考下列實體,這些實體是檔案活動的核心:
- 動作專案。 起始檔案活動的使用者
- ActingProcess。 動作專案用來起始檔案活動的程式
- TargetFile。 執行作業的檔案
- 原始程式檔 (SrcFile) 。 在作業之前儲存檔案資訊。
這些實體之間的關聯性最好示範如下:動作專案會使用代理程式執行檔案作業,其會將來源檔案修改為目標檔案。
例如: JohnDoe (動作專案)使用 Windows File Explorer (代理程式) 將 [來源檔案] 重新命名new.doc為 old.doc (目標檔案)。
架構詳細數據
一般欄位
重要
ASIM 通用欄位一文會詳細說明 所有架構的通用欄位 。
具有檔案事件架構特定指導方針的欄位
下列清單提及具有檔案活動事件特定指導方針的欄位:
| 欄位 | 類別 | 型別 | 說明 |
|---|---|---|---|
| EventType | 必要 | 枚舉 | 描述記錄所報告的作業。 支援的值包括: - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| EventSubType | 選擇性 | 枚舉 | 描述 EventType 中報告之作業的詳細數據。 每個事件類型支援的值包括: - FileCreated - Upload, Checkin - FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed - Download、 、 Preview、 CheckoutExtended- FileDeleted - Recycled、 、 VersionsSite |
| EventSchema | 必要 | String | 這裡記載的架構名稱是 FileEvent。 |
| EventSchemaVersion | 必要 | String | 結構描述的版本。 這裡記載的架構版本如下 0.2.1 |
| Dvc 欄位 | - | - | 針對 [檔案活動事件],裝置字段會參考發生檔案活動的系統。 |
重要
欄位 EventSchema 目前為選擇性欄位,但將於 2022 年 9 月 1 日變成 [強制]。
所有通用欄位
出現在數據表中的欄位適用於所有 ASIM 架構。 本檔中的任何架構特定指導方針會覆寫欄位的一般指導方針。 例如,欄位通常是選擇性的,但特定架構的必要專案。 如需每個欄位的詳細資訊,請參閱 ASIM 通用欄位 一文。
目標檔案欄位
下列欄位代表檔案作業中目標檔案的相關信息。 例如,如果作業涉及單一檔案, FileCreate 則會以目標檔案欄位表示。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| TargetFileCreationTime | 選擇性 | 日期/時間 | 建立目標檔案的時間。 |
| TargetFileDirectory | 選擇性 | String | 目標檔案資料夾或位置。 此字段應該與 TargetFilePath 欄位類似,不含最終專案。 注意:如果記錄來源中可用的值,而且不需要從完整路徑擷取,剖析器可以提供此值。 |
| TargetFileExtension | 選擇性 | String | 目標擴展名。 注意:如果記錄來源中可用的值,而且不需要從完整路徑擷取,剖析器可以提供此值。 |
| TargetFileMimeType | 選擇性 | 枚舉 | 目標檔案的Mime或 Media 類型。 允許的值會列在 IANA 媒體類型 存放庫中。 |
| TargetFileName | 建議需求 | String | 目標檔案的名稱,不含路徑或位置,但若有相關擴展名,則為 。 此字段應該類似於 TargetFilePath 欄位中的最後一個專案。 |
| FileName | Alias | TargetFileName 欄位的別名。 | |
| TargetFilePath | 必要 | String | 目標檔案的完整正規化路徑,包括資料夾或位置、檔名和擴展名。 如需詳細資訊,請參閱 路徑結構。 注意:如果記錄不包含資料夾或位置資訊,請在這裡儲存檔名。 範例: C:\Windows\System32\notepad.exe |
| TargetFilePathType | 必要 | 枚舉 | TargetFilePath 的類型。 如需詳細資訊,請參閱 路徑結構。 |
| FilePath | Alias | TargetFilePath 字段的別名。 | |
| TargetFileMD5 | 選擇性 | MD5 | 目標檔案的 MD5 哈希。 範例: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | 選擇性 | SHA1 | 目標檔案的SHA-1哈希。 範例: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | 選擇性 | SHA256 | 目標檔案的SHA-256哈希。 範例: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | 選擇性 | SHA512 | 來源檔案的SHA-512哈希。 |
| 雜湊 | Alias | 最佳可用目標檔案哈希的別名。 | |
| HashType | 建議需求 | String | 儲存在 HASH 別名字段中的哈希類型,允許的值為 MD5、SHA、 SHA256SHA512 和 IMPHASH。 如果 Hash 已填入,則為必要。 |
| TargetFileSize | 選擇性 | Long | 以位元組為單位的目標檔案大小。 |
原始程式檔欄位
下列欄位代表具有來源和目的地之檔案作業中來源檔案的相關信息,例如複製。 如果作業涉及單一檔案,則會以目標檔案欄位表示。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| SrcFileCreationTime | 選擇性 | 日期/時間 | 建立來源檔案的時間。 |
| SrcFileDirectory | 選擇性 | String | 源檔案資料夾或位置。 此欄位應該與 SrcFilePath 欄位類似,不含最終專案。 注意:剖析器可以在記錄來源中提供此值,而且不需要從完整路徑擷取此值。 |
| SrcFileExtension | 選擇性 | String | 原始程式檔擴展名。 注意:剖析器可以提供此值,此值可在記錄來源中使用,而且不需要從完整路徑擷取。 |
| SrcFileMimeType | 選擇性 | 枚舉 | 原始程序檔的Mime或 Media 類型。 支援的值會列在 IANA 媒體類型 存放庫中。 |
| SrcFileName | 建議需求 | String | 原始程式檔的名稱,不含路徑或位置,但若有相關擴展名,則為 。 此欄位應該類似於 SrcFilePath 欄位中的最後一個專案。 |
| SrcFilePath | 建議需求 | String | 原始程式檔的完整正規化路徑,包括資料夾或位置、檔名和擴展名。 如需詳細資訊,請參閱 路徑結構。 範例: /etc/init.d/networking |
| SrcFilePathType | 建議需求 | 枚舉 | SrcFilePath 的類型。 如需詳細資訊,請參閱 路徑結構。 |
| SrcFileMD5 | 選擇性 | MD5 | 來源檔案的 MD5 哈希。 範例: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | 選擇性 | SHA1 | 來源檔案的SHA-1哈希。 範例: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | 選擇性 | SHA256 | 來源檔案的SHA-256哈希。 範例: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | 選擇性 | SHA512 | 來源檔案的SHA-512哈希。 |
| SrcFileSize | 選擇性 | Long | 以位元組為單位的來源檔案大小。 |
動作專案欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| ActorUserId | 建議需求 | String | 機器可讀取、英數位元、動作專案的唯一表示法。 如需不同標識碼類型支援的格式,請參閱 User實體。 範例: S-1-12 |
| ActorScope | 選擇性 | String | 範圍,例如Microsoft Entra 租使用者,其中 已定義ActorUserId 和 ActorUsername 。 或詳細資訊和允許的值清單,請參閱架構概觀一文中的UserScope。 |
| ActorScopeId | 選擇性 | String | 定義 ActorUserId 和 ActorUsername 的範圍標識碼,例如 Microsoft Entra Directory ID。 或詳細資訊和允許的值清單,請參閱架構概觀一文中的UserScopeId。 |
| ActorUserIdType | 條件 | String | 儲存在 ActorUserId 字段中的識別碼類型。 如需允許值和進一步資訊的清單,請參閱架構概觀一文中的UserIdType。 |
| ActorUsername | 必要 | String | 動作項目用戶名稱,包括可用時的網域資訊。 如需不同標識碼類型支援的格式,請參閱 User實體。 只有在網域信息無法使用時,才使用簡單表單。 將 Username 類型儲存在 ActorUsernameType 字段中。 如果有其他使用者名稱格式可供使用,請將它們儲存在欄位中 ActorUsername<UsernameType>。範例: AlbertE |
| 使用者 | Alias | ActorUsername 欄位的別名。 範例: CONTOSO\dadmin |
|
| ActorUsernameType | 條件 | 枚舉 | 指定儲存在 ActorUsername 欄位中的使用者名稱類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的UsernameType。 範例: Windows |
| ActorSessionId | 選擇性 | String | 動作專案登入會話的唯一標識符。 範例: 999注意:類型定義為 支援不同系統的字串 ,但在 Windows 上,此值必須是數值。 如果您使用 Windows 計算機並使用不同的類型,請務必轉換值。 例如,如果您使用十六進位值,請將它轉換成十進位值。 |
| ActorUserType | 選擇性 | UserType | 動作項目的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的UserType。 注意:來源記錄中可能會使用不同的詞彙來提供此值,這應該會正規化為這些值。 將原始值儲存在 ActorOriginalUserType 欄位中。 |
| ActorOriginalUserType | 選擇性 | String | 如果報告裝置提供,則為原始目的地用戶類型。 |
代理程式欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| ActingProcessCommandLine | 選擇性 | String | 用來執行代理程式的命令行。 範例: "choco.exe" -v |
| ActingProcessName | 選擇性 | 字串 | 代理程式的名稱。 此名稱通常衍生自映像或可執行檔,用來定義對應至進程虛擬位址空間的初始程式代碼和數據。 範例: C:\Windows\explorer.exe |
| 處理 | Alias | ActingProcessName 的 別名 | |
| ActingProcessId | 選擇性 | String | 代理程式的進程識別碼(PID)。 範例: 48610176 注意:類型定義為 支援不同系統的字串 ,但在 Windows 和 Linux 上,此值必須是數值。 如果您使用 Windows 或 Linux 計算機並使用不同的類型,請務必轉換值。 例如,如果您使用十六進位值,請將它轉換成十進位值。 |
| ActingProcessGuid | 選擇性 | 字串 | 代理程式所產生的唯一標識碼 (GUID)。 啟用跨系統識別程式。 範例: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
來源系統相關欄位
下列欄位代表系統起始檔案活動的相關信息,通常是在透過網路傳送時。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| SrcIpAddr | 建議需求 | IP 位址 | 當作業由遠端系統起始時,此系統的IP位址。 範例: 185.175.35.214 |
| IpAddr | Alias | SrcIpAddr 的 別名 | |
| Src | Alias | SrcIpAddr 的 別名 | |
| SrcPortNumber | 選擇性 | 整數 | 當作業由遠端系統起始時,從中起始連線的埠號碼。 範例: 2335 |
| SrcHostname | 建議需求 | 主機名稱 | 來源裝置主機名,不包括網域資訊。 如果沒有可用的裝置名稱,請將相關的IP位址儲存在此欄位中。 範例: DESKTOP-1282V4D |
| SrcDomain | 建議需求 | String | 來源裝置的網域。 範例: Contoso |
| SrcDomainType | 條件 | DomainType | SrcDomain 的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的 DomainType。 如果使用 SrcDomain ,則為必要項。 |
| SrcFQDN | 選擇性 | String | 來源裝置主機名,包括可用時的網域資訊。 注意:此欄位同時支持傳統的 FQDN 格式和 Windows 網域\主機名格式。 SrcDomainType 字段會反映所使用的格式。 範例: Contoso\DESKTOP-1282V4D |
| SrcDescription | 選擇性 | String | 與裝置相關聯的描述性文字。 例如: Primary Domain Controller 。 |
| SrcDvcId | 選擇性 | String | 來源裝置的標識碼。 如果有多個識別碼可用,請使用最重要的標識符,並將其他標識符儲存在字段中 SrcDvc<DvcIdType>。範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 選擇性 | String | 裝置所屬的雲端平臺範圍標識碼。 SrcDvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及對應至 AWS 上的帳戶標識碼。 |
| SrcDvcScope | 選擇性 | String | 裝置所屬的雲端平台範圍。 SrcDvcScope 對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
| SrcDvcIdType | 條件 | DvcIdType | SrcDvcId 的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的 DvcIdType。 注意:如果使用 SrcDvcId ,則需要此欄位。 |
| SrcDeviceType | 選擇性 | DeviceType | 來源裝置的類型。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的DeviceType。 |
| SrcSubscriptionId | 選擇性 | String | 來源裝置所屬的雲端平臺訂用帳戶標識碼。 SrcSubscriptionId 會對應至 Azure 上的訂用帳戶標識碼,以及對應至 AWS 上的帳戶標識碼。 |
| SrcGeoCountry | 選擇性 | Country | 與來源IP位址相關聯的國家/地區。 範例: USA |
| SrcGeoRegion | 選擇性 | 區域 | 與來源IP位址相關聯的區域。 範例: Vermont |
| SrcGeoCity | 選擇性 | 縣/市 | 與來源IP位址相關聯的城市。 範例: Burlington |
| SrcGeoLatitude | 選擇性 | 緯度 | 與來源IP位址相關聯的地理座標緯度。 範例: 44.475833 |
| SrcGeoLongitude | 選擇性 | 經度 | 與來源IP位址相關聯的地理座標經度。 範例: 73.211944 |
網路相關欄位
下列欄位代表透過網路傳送檔案活動時,網路會話的相關信息。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| HttpUserAgent | 選擇性 | String | 當遠端系統使用 HTTP 或 HTTPS 起始作業時,會使用使用者代理程式。 例如: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | 選擇性 | String | 當作業由遠端系統起始時,此值就是 OSI 模型中所使用的應用層通訊協定。 雖然未列舉此欄位,且接受任何值,但建議的值包括: HTTP、、HTTPSSMBFTP、、 和SSH範例: SMB |
目標應用程式欄位
下列欄位代表代表使用者執行檔案活動之目的地應用程式的相關信息。 目的地應用程式通常與透過網路檔案活動相關,例如使用Saas(軟體即服務)應用程式。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| TargetAppName | 選擇性 | String | 目的地應用程式的名稱。 範例: Facebook |
| 應用程式 | Alias | TargetAppName 的別名。 | |
| TargetAppId | 選擇性 | String | 目的地應用程式的標識碼,如報告裝置所報告。 |
| TargetAppType | 選擇性 | AppType | 目的地應用程式的型別。 如需允許的值清單和進一步資訊,請參閱架構概觀一文中的AppType。 如果使用 TargetAppName 或 TargetAppId ,則此字段是必要的。 |
| TargetUrl | 選擇性 | String | 使用 HTTP 或 HTTPS 起始作業時,所使用的 URL。 範例: https://onedrive.live.com/?authkey=... |
| Url | Alias | TargetUrl 的 別名 |
檢查欄位
下列欄位用來代表安全性系統所執行這類防病毒軟體系統的檢查。 識別的線程通常與執行活動所在的檔案相關聯,而不是活動本身。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| RuleName | 選擇性 | String | 與檢查結果相關聯的規則名稱或標識碼。 |
| RuleNumber | 選擇性 | 整數 | 與檢查結果相關聯的規則數目。 |
| 規則 | 條件 | String | kRuleName 的值或 RuleNumber 的值。 如果使用 RuleNumber 的值,則類型應該轉換成字串。 |
| ThreatId | 選擇性 | String | 檔案活動中所識別的威脅或惡意代碼標識碼。 |
| ThreatName | 選擇性 | String | 檔案活動中所識別的威脅或惡意代碼名稱。 範例: EICAR Test File |
| ThreatCategory | 選擇性 | String | 檔案活動中所識別的威脅或惡意代碼類別。 範例: Trojan |
| ThreatRiskLevel | 選擇性 | 整數 | 與所識別威脅相關聯的風險層級。 層級應該是介於 0 到 100 之間的數位。 注意:來源記錄中可能會使用不同的小數字數來提供此值,而這個小數字數應該正規化為這個小數字數。 原始值應該儲存在 ThreatRiskLevelOriginal 中。 |
| ThreatOriginalRiskLevel | 選擇性 | String | 報告裝置所報告的風險層級。 |
| ThreatFilePath | 選擇性 | String | 識別威脅的檔案路徑。 Field ThreatField 包含 ThreatFilePath 所代表字段的名稱。 |
| ThreatField | 選擇性 | 枚舉 | 識別威脅的欄位。 值為 SrcFilePath 或 DstFilePath。 |
| ThreatConfidence | 選擇性 | 整數 | 識別的威脅信賴等級,標準化為介於 0 到 100 之間的值。 |
| ThreatOriginalConfidence | 選擇性 | String | 所識別威脅的原始信賴等級,如報告裝置所報告。 |
| ThreatIsActive | 選擇性 | 布林值 | 如果識別的威脅被視為作用中威脅,則為 True。 |
| ThreatFirstReportedTime | 選擇性 | Datetime | 第一次將IP位址或網域識別為威脅。 |
| ThreatLastReportedTime | 選擇性 | Datetime | 上次將IP位址或網域識別為威脅的時間。 |
路徑結構
路徑應該正規化,以符合下列其中一種格式。 值正規化的格式將會反映在個別 的 FilePathType 欄位中。
| 類型 | 範例 | 備註 |
|---|---|---|
| Windows 本機 | C:\Windows\System32\notepad.exe |
由於 Windows 路徑名稱不區分大小寫,因此此類型表示值不區分大小寫。 |
| Windows 共用 | \\Documents\My Shapes\Favorites.vssx |
由於 Windows 路徑名稱不區分大小寫,因此此類型表示值不區分大小寫。 |
| Unix | /etc/init.d/networking |
由於 Unix 路徑名稱區分大小寫,因此此類型表示值區分大小寫。 - 針對 AWS S3 使用此類型。 串連貯體和索引鍵名稱,以建立路徑。 - 針對 Azure Blob 記憶體物件金鑰使用此類型。 |
| URL | https://1drv.ms/p/s!Av04S_*********we |
當檔案路徑可用為 URL 時,請使用 。 URL 不限於 HTTP 或 HTTPs,而且任何包含 FTP 值的值都是有效的。 |
架構更新
這些是架構 0.1.1 版的變更:
- 新增欄位
EventSchema。
架構 0.2 版中有變更:
- 已新增 檢查欄位。
- 已新增
ActorScope欄位 、TargetUserScope、、、HashType、、ActorSessionIdTargetAppIdSrcGeoCountrySrcGeoRegionTargetAppTypeTargetAppNameSrcGeoLongitudeSrcGeoLatitude、、DvcScopeId和DvcScope.。 - 新增別名
Url、、IpAddrFileName 與Src。
架構 0.2.1 版中有變更:
- 新增
Application為 的TargetAppName別名。 - 已新增欄位
ActorScopeId - 已新增來源裝置相關欄位。
下一步
如需詳細資訊,請參閱