Freigeben über


Referenz zum Schema für die Dateiereignisnormalisierung des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM) (öffentliche Vorschau)

Das Dateiereignis-Normalisierungsschema wird dazu verwendet, Dateiaktivitäten wie das Erstellen, Ändern oder Löschen von Dateien oder Dokumenten zu beschreiben. Solche Ereignisse werden von Betriebssystemen, Dateispeichersystemen wie Azure Files und Dokumentenverwaltungssystemen wie Microsoft SharePoint gemeldet.

Weitere Informationen zur Normalisierung in Microsoft Sentinel finden Sie unter Normalisierung und erweitertes Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM).

Wichtig

Das Dateiereignis-Normalisierungsschema ist derzeit als Vorschau verfügbar. Dieses Feature wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen.

In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Parser

Bereitstellen und Verwenden von Dateiaktivitätsparsern

Stellen Sie die ASIM-Dateiaktivitätsparser aus dem Microsoft Sentinel-GitHub-Repository bereit. Verwenden Sie zum Abfragen aller Dateiaktivitätsquellen den vereinheitlichenden Parser imFileEvent als Tabellennamen in Ihrer Abfrage.

Weitere Informationen zur Verwendung von ASIM-Parsern finden Sie in der Übersicht über ASIM-Parser. Die Liste der Dateiaktivitätsparser, die Microsoft Sentinel einsatzbereit zur Verfügung stellt, finden Sie in der ASIM-Parserliste

Hinzufügen eigener normalisierter Parser

Wenn Sie benutzerdefinierte Parser für das Dateiereignis-Informationsmodell implementieren, benennen Sie Ihre KQL-Funktionen mit der folgenden Syntax: imFileEvent<vendor><Product.

Im Artikel Verwalten von ASIM-Parsern erfahren Sie, wie Sie Ihre benutzerdefinierten Parser dem vereinheitlichenden Parser für Dateiaktivitäten hinzufügen.

Normalisierter Inhalt

Eine vollständige Liste der Analyseregeln, die normalisierte Dateiaktivitätsereignisse verwenden, finden Sie unter Sicherheitsinhalt der Dateiaktivität.

Schemaübersicht

Das Dateiereignis-Informationsmodell ist auf das OSSEM-Prozessentitätsschema ausgerichtet.

Das Dateiereignisschema verweist auf die folgenden Entitäten, die für Dateiaktivitäten von zentraler Bedeutung sind:

  • Actor. Der Benutzer, der die Dateiaktivität initiiert hat
  • ActingProcess. Der Prozess, der vom Actor zum Initiieren der Dateiaktivität verwendet wird
  • TargetFile. Die Datei, für die der Vorgang ausgeführt wurde
  • Quelldatei (SrcFile) . Speichert Dateiinformationen vor dem Vorgang

Die Beziehung zwischen diesen Entitäten wird am besten wie folgt demonstriert: Ein Actor führt einen Dateivorgang mithilfe eines handelnden Prozesses aus, der die Quelldatei in die Zieldatei ändert.

Beispiel: JohnDoe (Actor) verwendet Windows File Explorer (handelnder Prozess), um new.doc (Quelldatei) in old.doc (Zieldatei) umzubenennen.

Schemadetails

Allgemeine Felder

Wichtig

Felder, die allen Schemas gemeinsam sind, werden im Artikel Allgemeine ASIM-Felder ausführlich beschrieben.

Felder mit bestimmten Richtlinien für das File Event-Schema

In der folgenden Liste werden Felder erwähnt, die bestimmte Richtlinien für Dateiaktivitätsereignisse enthalten:

Feld Klasse Typ Beschreibung
EventType Obligatorisch. Enumerated Beschreibt den vom Datensatz gemeldeten Vorgang.

Unterstützte Werte: .

- FileAccessed
- FileCreated
- FileModified
- FileDeleted
- FileRenamed
- FileCopied
- FileMoved
- FolderCreated
- FolderDeleted
- FolderMoved
- FolderModified
- FileCreatedOrModified
EventSubType Optional Enumerated Details zum in EventType gemeldeten Vorgang. Zu den unterstützten Werten pro Ereignistyp gehören:
- FileCreated - Upload, Checkin
- FileModified - Checkin
- FileCreatedOrModified - Checkin
- FileAccessed - Download, , PreviewCheckoutExtended
- FileDeleted - Recycled, VersionsSite
EventSchema Obligatorisch. String Der Name des hier dokumentierten Schemas lautet FileEvent.
EventSchemaVersion Obligatorisch. String Die Version des Schemas. Die hier dokumentierte Version des Schemas ist 0.2.1.
Dvc-Felder - - Für Dateiaktivitätsereignisse verweisen Gerätefelder auf das System, auf dem die Dateiaktivität aufgetreten ist.

Wichtig

Das Feld EventSchema ist derzeit optional, wird aber am 1. September 2022 obligatorisch.

Alle allgemeinen Felder

Felder, die in der Tabelle angezeigt werden, sind für alle ASIM-Schemas gleich. Alle schemaspezifischen Richtlinien in diesem Dokument setzen die allgemeinen Richtlinien für das Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel zu allgemeinen ASIM-Feldern.

Klasse Fields
Obligatorisch. - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Empfohlen - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Optional - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

Zieldateifelder

Die folgenden Felder stellen Informationen zur Zieldatei in einem Dateivorgang dar. Wenn der Vorgang eine einzelne Datei umfasst, beispielsweise FileCreate, wird er durch die Zieldateifelder dargestellt.

Feld Klasse type BESCHREIBUNG
TargetFileCreationTime Optional Date/Time Der Zeitpunkt, zu dem die Zieldatei erstellt wurde.
TargetFileDirectory Optional String Der Zieldateiordner oder -speicherort. Dieses Feld sollte dem Feld TargetFilePath unter Ausschluss des letzten Elements gleichen.

Hinweis: Ein Parser kann diesen Wert bereitstellen, wenn der Wert in der Protokollquelle verfügbar ist und nicht aus dem vollständigen Pfad extrahiert werden muss.
TargetFileExtension Optional String Die Zieldateierweiterung

Hinweis: Ein Parser kann diesen Wert bereitstellen, wenn der Wert in der Protokollquelle verfügbar ist und nicht aus dem vollständigen Pfad extrahiert werden muss.
TargetFileMimeType Optional Enumerated Der MIME- oder Medientyp der Zieldatei. Die zulässigen Werte sind im IANA-Medientypen-Repository aufgeführt.
TargetFileName Empfohlen String Der Name der Zieldatei, ohne Pfad oder Speicherort, aber ggf. mit einer Erweiterung. Dieses Feld sollte dem letzten Element im Feld TargetFilePath gleichen.
FileName Alias Alias für das Feld TargetFileName.
TargetFilePath Obligatorisch. String Der vollständige normalisierte Pfad der Zieldatei, einschließlich des Ordners oder Speicherorts, des Dateinamens und der Erweiterung. Weitere Informationen finden Sie unter Pfadstruktur.

Hinweis: Wenn der Datensatz keine Ordner- oder Speicherortinformationen enthält, speichern Sie den Dateinamen nur hier.

Beispiel: C:\Windows\System32\notepad.exe
TargetFilePathType Obligatorisch. Enumerated Der Typ von TargetFilePath. Weitere Informationen finden Sie unter Pfadstruktur.
FilePath Alias Alias für das Feld TargetFilePath.
TargetFileMD5 Optional MD5 Der MD5-Hash der Zieldatei.

Beispiel: 75a599802f1fa166cdadb360960b1dd0
TargetFileSHA1 Optional SHA1 Der SHA-1-Hash der Zieldatei.

Beispiel:
d55c5a4df19b46db8c54
c801c4665d3338acdab0
TargetFileSHA256 Optional SHA256 Der SHA-256-Hash der Zieldatei.

Beispiel:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
TargetFileSHA512 Optional SHA512 Der SHA-512-Hash der Quelldatei.
Hash Alias Alias für den besten verfügbaren Zieldateihash.
HashType Empfohlen String Der Im HASH-Aliasfeld gespeicherte Hashtyp, zulässige Werte sind MD5, SHA, SHA256, SHA512und IMPHASH. Obligatorisch, wenn Hash aufgefüllt ist.
TargetFileSize Optional Long Die Größe der Zieldatei in Byte.

Quelldateifelder

Die folgenden Felder stellen Informationen zur Quelldatei in einem Dateivorgang dar, der sowohl eine Quelle als auch ein Ziel aufweist, z. B. Kopieren. Wenn der Vorgang eine einzelne Datei umfasst, wird er durch die Zieldateifelder dargestellt.

Feld Klasse type BESCHREIBUNG
SrcFileCreationTime Optional Date/Time Der Zeitpunkt, zu dem die Quelldatei erstellt wurde.
SrcFileDirectory Optional String Der Quelldateiordner oder -speicherort. Dieses Feld sollte dem Feld SrcFilePath unter Ausschluss des letzten Elements gleichen.

Hinweis: Ein Parser kann diesen Wert bereitstellen, wenn der Wert in der Protokollquelle verfügbar ist und nicht aus dem vollständigen Pfad extrahiert werden muss.
SrcFileExtension Optional String Die Quelldateierweiterung.

Hinweis: Ein Parser kann diesen Wert bereitstellen, wenn der Wert in der Protokollquelle verfügbar ist und nicht aus dem vollständigen Pfad extrahiert werden muss.
SrcFileMimeType Optional Enumerated Der MIME- oder Medientyp der Quelldatei. Die unterstützten Werte sind im IANA-Medientypen-Repository aufgeführt.
SrcFileName Empfohlen String Der Name der Quelldatei, ohne Pfad oder Speicherort, aber ggf. mit einer Erweiterung. Dieses Feld sollte dem letzten Element im Feld SrcFilePath gleichen.
SrcFilePath Empfohlen String Der vollständige normalisierte Pfad der Quelldatei, einschließlich des Ordners oder Speicherorts, des Dateinamens und der Erweiterung.

Weitere Informationen finden Sie unter Pfadstruktur.

Beispiel: /etc/init.d/networking
SrcFilePathType Empfohlen Enumerated Der SrcFilePath-Typ. Weitere Informationen finden Sie unter Pfadstruktur.
SrcFileMD5 Optional MD5 Der MD5-Hash der Quelldatei.

Ein Beispiel: 75a599802f1fa166cdadb360960b1dd0
SrcFileSHA1 Optional SHA1 Der SHA-1-Hash der Quelldatei.

Beispiel:
d55c5a4df19b46db8c54
c801c4665d3338acdab0
SrcFileSHA256 Optional SHA256 Der SHA-256-Hash der Quelldatei.

Beispiel:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
SrcFileSHA512 Optional SHA512 Der SHA-512-Hash der Quelldatei.
SrcFileSize Optional Long Die Größe der Quelldatei in Byte.

Akteurfelder

Feld Klasse type BESCHREIBUNG
ActorUserId Empfohlen String Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Akteurs. Das unterstützte Format für verschiedene ID-Typen finden Sie unter Die Benutzerentität.

Beispiel: S-1-12
ActorScope Optional String Der Bereich, z. B. der Microsoft Entra-Mandant, in dem ActorUserId und ActorUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht.
ActorScopeId Optional String Die Bereichs-ID, z. B. die Microsoft Entra Directory-ID, in der ActorUserId und ActorUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht.
ActorUserIdType Bedingt String Der Typ der ID, die im Feld ActorUserId gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserIdType im Artikel „Schemaübersicht“.
ActorUsername Obligatorisch. String Der Benutzername des Akteurs ggf. mit Informationen zur Domäne. Das unterstützte Format für verschiedene ID-Typen finden Sie unter Die Benutzerentität. Verwenden Sie dieses einfache Format nur, wenn keine Domäneninformationen verfügbar sind.

Speichern Sie den Benutzernamentyp im Feld ActorUsernameType. Wenn andere Benutzernamenformate verfügbar sind, speichern Sie sie in den Feldern ActorUsername<UsernameType>.

Beispiel: AlbertE
Benutzer Alias Alias für das Feld ActorUsername.

Beispiel: CONTOSO\dadmin
ActorUsernameType Bedingt Enumerated Gibt den Typ des Benutzernamens an, der im Feld ActorUsername gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UsernameType im Artikel „Schemaübersicht“.

Beispiel: Windows
ActorSessionId Optional String Die eindeutige ID der Anmeldesitzung des Akteurs.

Beispiel: 999

Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows muss dieser Wert numerisch sein.

Wenn Sie einen Windows-Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie diesen in einen Dezimalwert.
ActorUserType Optional UserType Der Typ des Akteurs. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserType im Artikel „Schemaübersicht“.

Hinweis: Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld ActorOriginalUserType.
ActorOriginalUserType Optional String Der ursprüngliche Zielbenutzertyp, sofern vom meldenden Gerät bereitgestellt.

Felder des agierenden Prozesses

Feld Klasse type BESCHREIBUNG
ActingProcessCommandLine Optional String Die Befehlszeile zum Ausführen des Programms.

Beispiel: "choco.exe" -v
ActingProcessName Optional Zeichenfolge Der Name des agierenden Prozesses. Dieser Name wird häufig vom Image oder von der ausführbaren Datei abgeleitet, die zum Definieren des ursprünglichen Codes und der Daten verwendet wird, die dem virtuellen Adressraum des Prozesses zugeordnet sind.

Beispiel: C:\Windows\explorer.exe
Process Alias Alias für ActingProcessName
ActingProcessId Optional String Die Prozess-ID (PID) des handelnden Prozesses.

Beispiel: 48610176

Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows und Linux muss dieser Wert numerisch sein.

Wenn Sie einen Windows- oder Linux-Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie diesen in einen Dezimalwert.
ActingProcessGuid Optional Zeichenfolge Ein generierter eindeutiger Bezeichner (GUID) des agierenden Prozesses. Ermöglicht die systemübergreifende Identifizierung des Prozesses.

Beispiel: EF3BD0BD-2B74-60C5-AF5C-010000001E00

Die folgenden Felder stellen Informationen zu dem System dar, das die Dateiaktivität einleitet, in der Regel bei Übertragung über das Netzwerk.

Feld Klasse type BESCHREIBUNG
SrcIpAddr Empfohlen IP-Adresse Die IP-Adresse dieses Systems, wenn der Vorgang von einem Remotesystem initiiert wird.

Beispiel: 185.175.35.214
IpAddr Alias Alias für SrcIpAddr
Src Alias Alias für SrcIpAddr
SrcPortNumber Optional Integer Wenn der Vorgang ausgehend von einem Remotesystem initiiert wird, die Portnummer, von der aus die Verbindung initiiert wurde.

Beispiel: 2335
SrcHostname Empfohlen Hostname Der Hostname des Quellgeräts ohne Domäneninformationen. Wenn kein Gerätename verfügbar ist, speichern Sie die entsprechende IP-Adresse in diesem Feld.

Beispiel: DESKTOP-1282V4D
SrcDomain Empfohlen String Die Domäne des Quellgeräts.

Beispiel: Contoso
SrcDomainType Bedingt DomainType Der Typ von SrcDomain. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DomainType im Artikel „Schemaübersicht“.

Erforderlich, wenn SrcDomain verwendet wird.
SrcFQDN Optional String Der Hostname des Quellgeräts ggf. mit Informationen zur Domäne.

Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format „Domäne\Hostname“. Das Feld SrcDomainType spiegelt das verwendete Format wider.

Beispiel: Contoso\DESKTOP-1282V4D
SrcDescription Optional String Ein mit dem Gerät verknüpfter beschreibender Text. Beispiel: Primary Domain Controller.
SrcDvcId Optional String Die ID des Quellgeräts. Wenn mehrere IDs verfügbar sind, verwenden Sie die wichtigste, und speichern Sie die anderen in den Feldern SrcDvc<DvcIdType>.

Beispiel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId Optional String Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
SrcDvcScope Optional String Der Cloudplattformbereich, zu dem das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
SrcDvcIdType Bedingt DvcIdType Der Typ von SrcDvcId. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType im Artikel „Schemaübersicht“.

Hinweis: Dieses Feld ist erforderlich, wenn das Feld SrcDvcId verwendet wird.
SrcDeviceType Optional DeviceType Der Typ des Quellgeräts. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DeviceType im Artikel „Schemaübersicht“.
SrcSubscriptionId Optional String Die Abonnement-ID der Cloudplattform, zu der das Quellgerät gehört. SrcSubscriptionId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
SrcGeoCountry Optional Land / Region Das Land/die Region, das der Quell-IP-Adresse zugeordnet ist.

Beispiel: USA
SrcGeoRegion Optional Region Die der Quell-IP-Adresse zugeordnete Region.

Beispiel: Vermont
SrcGeoCity Optional City Die Stadt, die der Quell-IP-Adresse zugeordnet ist.

Beispiel: Burlington
SrcGeoLatitude Optional Breitengrad Der Breitengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist.

Beispiel: 44.475833
SrcGeoLongitude Optional Längengrad Der Längengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist.

Beispiel: 73.211944

Die folgenden Felder stellen Informationen zur Netzwerksitzung bei Übertragung der Aktivität über das Netzwerk dar.

Feld Klasse type BESCHREIBUNG
HttpUserAgent Optional String Der verwendete Benutzer-Agent, wenn der Vorgang von einem Remotesystem über HTTP oder HTTPS initiiert wird.

Zum Beispiel:
Mozilla/5.0 (Windows NT 10.0; Win64; x64)
AppleWebKit/537.36 (KHTML, like Gecko)
Chrome/42.0.2311.135
Safari/537.36 Edge/12.246
NetworkApplicationProtocol Optional String Wenn der Vorgang von einem Remotesystem initiiert wird, ist dieser Wert das Anwendungsschichtprotokoll, das im OSI-Modell verwendet wird.

Obwohl dies kein aufzählbares Feld ist und jeder Wert akzeptiert wird, sind folgende Werte zu bevorzugen: HTTP, HTTPS, SMB, FTP und SSH.

Beispiel: SMB

Zielanwendungsfelder

Die folgenden Felder stellen Informationen zu der Zielanwendung dar, die die Dateiaktivität im Auftrag des Benutzers ausführt. Eine Zielanwendung bezieht sich normalerweise auf über das Netzwerk ausgeführte Dateiaktivitäten, z. B. die Verwendung von SaaS-Anwendungen (Software-as-a-Service).

Feld Klasse type BESCHREIBUNG
TargetAppName Optional String Der Name der Zielanwendung.

Beispiel: Facebook
Application Alias Alias für TargetAppName.
TargetAppId Optional String Die ID der Zielanwendung, wie vom meldenden Gerät angegeben.
TargetAppType Optional AppType Der Typ der Zielanwendung. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter AppType im Artikel „Schemaübersicht“.

Dieses Feld ist obligatorisch, wenn TargetAppName oder TargetAppId verwendet wird.
TargetUrl Optional String Wenn der Vorgang über HTTP oder HTTPS initiiert wird, wird die URL verwendet.

Beispiel: https://onedrive.live.com/?authkey=...
Url Alias Alias für TargetUrl

Inspektionsfelder

Die folgenden Felder werden verwendet, um die Überprüfung darzustellen, die von einem Sicherheitssystem, z. B. einem Antivirensystem, durchgeführt wird. Der identifizierte Thread ist normalerweise der Datei, für die die Aktivität ausgeführt wurde, und nicht der Aktivität selbst zugeordnet.

Feld Klasse type BESCHREIBUNG
RuleName Optional String Der Name oder die ID der Regel, die den Inspektionsergebnissen zugeordnet ist.
RuleNumber Optional Integer Die Nummer der Regel, die den Inspektionsergebnissen zugeordnet ist.
Regel Bedingt String Entweder der Wert von kRuleName oder der Wert von RuleNumber. Bei Verwendung des Werts RuleNumber sollte der Typ in eine Zeichenfolge konvertiert werden.
ThreatId Optional String Die ID der in der Dateiaktivität identifizierten Bedrohung oder Schadsoftware.
ThreatName Optional String Der Name der in der Dateiaktivität identifizierten Bedrohung oder Schadsoftware.

Beispiel: EICAR Test File
ThreatCategory Optional String Die Kategorie der in der Dateiaktivität identifizierten Bedrohung oder Schadsoftware.

Beispiel: Trojan
ThreatRiskLevel Optional Integer Die Risikostufe, die der identifizierten Bedrohung zugeordnet ist. Hierbei muss es sich um eine Zahl zwischen 0 und 100 handeln.

Hinweis: Der Wert ist im Quelldatensatz möglicherweise in einer anderen Skala angegeben und muss auf diese Skala normalisiert werden. Der ursprüngliche Wert muss im Feld ThreatRiskLevelOriginal gespeichert werden.
ThreatOriginalRiskLevel Optional String Die Risikostufe, wie vom meldenden Gerät gemeldet.
ThreatFilePath Optional String Ein Dateipfad, für den eine Bedrohung identifiziert wurde. Das Feld ThreatField enthält den Namen des Felds, das von ThreatFilePath dargestellt wird.
ThreatField Optional Enumerated Das Feld, für das eine Bedrohung identifiziert wurde. Der Wert lautet entweder SrcFilePath oder DstFilePath.
ThreatConfidence Optional Integer Die Konfidenzstufe der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100
ThreatOriginalConfidence Optional String Die ursprüngliche Konfidenzstufe der identifizierten Bedrohung, wie vom meldenden Gerät gemeldet.
ThreatIsActive Optional Boolean TRUE, wenn die identifizierte Bedrohung als aktive Bedrohung betrachtet wird.
ThreatFirstReportedTime Optional datetime Das erste Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde
ThreatLastReportedTime Optional datetime Das letzte Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde

Pfadstruktur

Der Pfad muss so normalisiert werden, dass er einem der folgenden Formate entspricht. Das Format, in das der Wert normalisiert wird, wird im entsprechenden Feld FilePathType widergespiegelt.

type Beispiel Notizen
Windows Lokal C:\Windows\System32\notepad.exe Da bei Windows-Pfadnamen die Groß-/Kleinschreibung nicht beachtet wird, impliziert dieser Typ, dass bei dem Wert die Groß-/Kleinschreibung nicht beachtet wird.
Windows-Freigabe \\Documents\My Shapes\Favorites.vssx Da bei Windows-Pfadnamen die Groß-/Kleinschreibung nicht beachtet wird, impliziert dieser Typ, dass bei dem Wert die Groß-/Kleinschreibung nicht beachtet wird.
Unix /etc/init.d/networking Da bei Unix-Pfadnamen die Groß-/Kleinschreibung relevant ist, impliziert dieser Typ, dass bei dem Wert die Groß-/Kleinschreibung zu beachten ist.

– Verwenden Sie diesen Typ für AWS S3. Verketten Sie den Bucket und die Schlüsselnamen, um den Pfad zu erstellen.

– Verwenden Sie diesen Typ für Azure Blob Storage-Objektschlüssel.
URL https://1drv.ms/p/s!Av04S_*********we Verwenden Sie diesen Typ, wenn der Dateipfad als URL verfügbar ist. URLs sind nicht auf HTTP oder HTTPS als Schema beschränkt. Jeder gültige Wert, einschließlich eines FTP-Werts, ist gültig.

Schemaupdates

In der Version 0.1.1 des Schemas wurde Folgendes geändert:

  • Das Feld EventSchema wurde hinzugefügt.

In der Version 0.2 des Schemas wurde Folgendes geändert:

  • Inspektionsfelder wurden hinzugefügt.
  • Die Felder ActorScope, TargetUserScope, HashType, TargetAppName, TargetAppId, TargetAppType, SrcGeoCountry, SrcGeoRegion, SrcGeoLongitude, SrcGeoLatitude, ActorSessionId, DvcScopeId und DvcScope wurden hinzugefügt.
  • Die Aliase Url, IpAddr, „FileName“ und Src wurden hinzugefügt.

In der Version 0.2.1 des Schemas wurde Folgendes geändert:

  • Application wurde als Alias zu TargetAppName hinzugefügt.
  • Das Feld ActorScopeId wurde hinzugefügt.
  • Felder mit Bezug zum Quellgerät wurden hinzugefügt.

Nächste Schritte

Weitere Informationen finden Sie unter