De ASIM-schemaverwijzing voor bestandsevenementen (Advanced Security Information Model) (openbare preview)
Het schema voor het normaliseren van bestandsevenementen wordt gebruikt om bestandsactiviteit te beschrijven, zoals het maken, wijzigen of verwijderen van bestanden of documenten. Dergelijke gebeurtenissen worden gerapporteerd door besturingssystemen, bestandsopslagsystemen zoals Azure Files en documentbeheersystemen zoals Microsoft SharePoint.
Zie Normalization and the Advanced Security Information Model (ASIM) voor meer informatie over normalisatie in Microsoft Sentinel.
Belangrijk
Het schema voor normalisatie van bestandsevenementen bevindt zich momenteel in PREVIEW. Deze functie wordt geleverd zonder service level agreement en wordt niet aanbevolen voor productieworkloads.
De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Parsers
Parsers voor bestandsactiviteit implementeren en gebruiken
Implementeer de ASIM-bestandsactiviteitparsers vanuit de GitHub-opslagplaats van Microsoft Sentinel. Als u query's wilt uitvoeren op alle bronnen voor bestandsactiviteit, gebruikt u de parser imFileEvent als de tabelnaam in uw query.
Zie het overzicht van ASIM-parsers voor meer informatie over het gebruik van ASIM-parsers. Raadpleeg voor de lijst met bestandsactiviteitparsers Microsoft Sentinel out-of-the-box naar de lijst met ASIM-parsers
Uw eigen genormaliseerde parsers toevoegen
Geef uw KQL-functies een naam bij het implementeren van aangepaste parsers voor het bestandsgegevensmodel met behulp van de volgende syntaxis: imFileEvent<vendor><Product
Raadpleeg het artikel ASIM-parsers beheren voor meer informatie over het toevoegen van uw aangepaste parsers aan de bestandsactiviteit die parser samenvoegt.
Genormaliseerde inhoud
Zie de beveiligingsinhoud voor bestandsactiviteit voor een volledige lijst met analyseregels die gebruikmaken van genormaliseerde gebeurtenissen voor bestandsactiviteit.
Schemaoverzicht
Het informatiemodel voor bestandsevenementen wordt uitgelijnd op het OSSEM Process-entiteitsschema.
Het schema voor bestandsevenementen verwijst naar de volgende entiteiten, die centraal staan bij bestandsactiviteiten:
- Acteur. De gebruiker die de bestandsactiviteit heeft gestart
- ActingProcess. Het proces dat door de actor wordt gebruikt om de bestandsactiviteit te initiëren
- TargetFile. Het bestand waarop de bewerking is uitgevoerd
- Bronbestand (SrcFile). Slaat bestandsgegevens op voordat de bewerking wordt uitgevoerd.
De relatie tussen deze entiteiten wordt het beste als volgt gedemonstreerd: Een actor voert een bestandsbewerking uit met behulp van een acterend proces, waarmee het bronbestand wordt gewijzigd in het doelbestand.
Bijvoorbeeld: (Actor) gebruikt Windows File Explorer (acterend proces) om de naam van (bronbestand) te wijzigen new.doc in old.doc (doelbestand).JohnDoe
Schemadetails
Gemeenschappelijke velden
Belangrijk
Velden die voor alle schema's gelden, worden uitgebreid beschreven in het artikel Algemene ASIM-velden .
Velden met specifieke richtlijnen voor het schema voor bestandsevenementen
In de volgende lijst worden velden vermeld met specifieke richtlijnen voor bestandsactiviteitsevenementen:
| Veld | Klas | Type | Beschrijving |
|---|---|---|---|
| EventType | Verplicht | Enumerated | Beschrijft de bewerking die door de record is gerapporteerd. Ondersteunde waarden zijn onder andere: - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| EventSubType | Optioneel | Enumerated | Beschrijft details over de bewerking die is gerapporteerd in EventType. Ondersteunde waarden per gebeurtenistype zijn: - FileCreated - Upload, Checkin- FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed - Download, , , PreviewCheckoutExtended- FileDeleted - Recycled, , VersionsSite |
| EventSchema | Verplicht | String | De naam van het schema dat hier wordt beschreven, is FileEvent. |
| EventSchemaVersion | Verplicht | String | De versie van het schema. De versie van het schema dat hier wordt beschreven, is 0.2.1 |
| Dvc-velden | - | - | Voor bestandsactiviteitsgebeurtenissen verwijzen apparaatvelden naar het systeem waarop de bestandsactiviteit heeft plaatsgevonden. |
Belangrijk
Het EventSchema veld is momenteel optioneel, maar wordt verplicht op 1 september 2022.
Alle algemene velden
Velden die in de tabel worden weergegeven, zijn gebruikelijk voor alle ASIM-schema's. Alle schemaspecifieke richtlijnen in dit document overschrijven de algemene richtlijnen voor het veld. Een veld kan bijvoorbeeld optioneel zijn in het algemeen, maar verplicht voor een specifiek schema. Zie het artikel algemene ASIM-velden voor meer informatie over elk veld.
| Klas | Velden |
|---|---|
| Verplicht | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Aanbevolen | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optioneel | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Doelbestandsvelden
De volgende velden vertegenwoordigen informatie over het doelbestand in een bestandsbewerking. Als de bewerking bijvoorbeeld één bestand omvat, FileCreate wordt deze vertegenwoordigd door de velden van het doelbestand.
| Veld | Klas | Type | Description |
|---|---|---|---|
| TargetFileCreationTime | Optioneel | Datum/tijd | Het tijdstip waarop het doelbestand is gemaakt. |
| TargetFileDirectory | Optioneel | String | De map of locatie van het doelbestand. Dit veld moet vergelijkbaar zijn met het veld TargetFilePath , zonder het laatste element. Opmerking: Een parser kan deze waarde opgeven als de waarde die beschikbaar is in de logboekbron en niet hoeft te worden geëxtraheerd uit het volledige pad. |
| TargetFileExtension | Optioneel | String | De doelbestandsextensie. Opmerking: Een parser kan deze waarde opgeven als de waarde die beschikbaar is in de logboekbron en niet hoeft te worden geëxtraheerd uit het volledige pad. |
| TargetFileMimeType | Optioneel | Enumerated | Het mime- of mediatype van het doelbestand. Toegestane waarden worden vermeld in de opslagplaats IANA-mediatypen . |
| TargetFileName | Aanbevolen | String | De naam van het doelbestand, zonder pad of locatie, maar met een extensie indien relevant. Dit veld moet vergelijkbaar zijn met het laatste element in het veld TargetFilePath . |
| Bestandsnaam | Alias | Alias naar het veld TargetFileName . | |
| TargetFilePath | Verplicht | String | Het volledige, genormaliseerde pad van het doelbestand, inclusief de map of locatie, de bestandsnaam en de extensie. Zie Padstructuur voor meer informatie. Opmerking: Als de record geen map- of locatiegegevens bevat, slaat u de bestandsnaam alleen hier op. Voorbeeld: C:\Windows\System32\notepad.exe |
| TargetFilePathType | Verplicht | Enumerated | Het type TargetFilePath. Zie Padstructuur voor meer informatie. |
| FilePath | Alias | Alias naar het veld TargetFilePath . | |
| TargetFileMD5 | Optioneel | MD5 | De MD5-hash van het doelbestand. Voorbeeld: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | Optioneel | SHA1 | De SHA-1-hash van het doelbestand. Voorbeeld: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | Optioneel | SHA256 | De SHA-256-hash van het doelbestand. Voorbeeld: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | Optioneel | SHA512 | De SHA-512-hash van het bronbestand. |
| Hash | Alias | Alias naar de best beschikbare hash van het doelbestand. | |
| HashType | Aanbevolen | String | Het type hash dat is opgeslagen in het hash-aliasveld, toegestane waarden zijn MD5, en IMPHASHSHASHA256SHA512 . Verplicht als Hash deze is ingevuld. |
| TargetFileSize | Optioneel | Lang | De grootte van het doelbestand in bytes. |
Bronbestandsvelden
De volgende velden vertegenwoordigen informatie over het bronbestand in een bestandsbewerking die zowel een bron als een bestemming heeft, zoals kopiëren. Als de bewerking één bestand omvat, wordt deze vertegenwoordigd door de velden van het doelbestand.
| Veld | Klas | Type | Description |
|---|---|---|---|
| SrcFileCreationTime | Optioneel | Datum/tijd | Het tijdstip waarop het bronbestand is gemaakt. |
| SrcFileDirectory | Optioneel | String | De bronbestandsmap of -locatie. Dit veld moet vergelijkbaar zijn met het veld SrcFilePath , zonder het laatste element. Opmerking: een parser kan deze waarde opgeven als de waarde beschikbaar is in de logboekbron en niet hoeft te worden geëxtraheerd uit het volledige pad. |
| SrcFileExtension | Optioneel | String | De bronbestandsextensie. Opmerking: een parser kan deze waarde opgeven die beschikbaar is in de logboekbron en hoeft niet te worden geëxtraheerd uit het volledige pad. |
| SrcFileMimeType | Optioneel | Enumerated | Het mime- of mediatype van het bronbestand. Ondersteunde waarden worden vermeld in de opslagplaats IANA-mediatypen . |
| SrcFileName | Aanbevolen | String | De naam van het bronbestand, zonder pad of locatie, maar met een extensie indien relevant. Dit veld moet vergelijkbaar zijn met het laatste element in het veld SrcFilePath . |
| SrcFilePath | Aanbevolen | String | Het volledige, genormaliseerde pad van het bronbestand, inclusief de map of locatie, de bestandsnaam en de extensie. Zie Padstructuur voor meer informatie. Voorbeeld: /etc/init.d/networking |
| SrcFilePathType | Aanbevolen | Enumerated | Het type SrcFilePath. Zie Padstructuur voor meer informatie. |
| SrcFileMD5 | Optioneel | MD5 | De MD5-hash van het bronbestand. Voorbeeld: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | Optioneel | SHA1 | De SHA-1-hash van het bronbestand. Voorbeeld: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | Optioneel | SHA256 | De SHA-256-hash van het bronbestand. Voorbeeld: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | Optioneel | SHA512 | De SHA-512-hash van het bronbestand. |
| SrcFileSize | Optioneel | Lang | De grootte van het bronbestand in bytes. |
Actorvelden
| Veld | Klas | Type | Description |
|---|---|---|---|
| ActorUserId | Aanbevolen | String | Een machineleesbare, alfanumerieke, unieke weergave van de actor. Raadpleeg de entiteit Gebruiker voor de ondersteunde indeling voor verschillende id-typen. Voorbeeld: S-1-12 |
| ActorScope | Optioneel | String | Het bereik, zoals Microsoft Entra-tenant, waarin ActorUserId en ActorUsername worden gedefinieerd. of meer informatie en lijst met toegestane waarden, zie UserScope in het artikel Schemaoverzicht. |
| ActorScopeId | Optioneel | String | De bereik-id, zoals Microsoft Entra Directory-id, waarin ActorUserId en ActorUsername worden gedefinieerd. zie UserScopeId in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| ActorUserIdType | Voorwaardelijk | String | Het type id dat is opgeslagen in het veld ActorUserId . Raadpleeg userIdType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. |
| ActorUsername | Verplicht | String | De gebruikersnaam van de actor, inclusief domeingegevens, indien beschikbaar. Raadpleeg de entiteit Gebruiker voor de ondersteunde indeling voor verschillende id-typen. Gebruik het eenvoudige formulier alleen als domeingegevens niet beschikbaar zijn. Sla het gebruikersnaamtype op in het veld ActorUsernameType . Als er andere indelingen voor gebruikersnamen beschikbaar zijn, slaat u deze op in de velden ActorUsername<UsernameType>.Voorbeeld: AlbertE |
| Gebruiker | Alias | Alias naar het veld ActorUsername . Voorbeeld: CONTOSO\dadmin |
|
| ActorUsernameType | Voorwaardelijk | Enumerated | Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld ActorUsername . Raadpleeg UsernameType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Voorbeeld: Windows |
| ActorSessionId | Optioneel | String | De unieke id van de aanmeldingssessie van de actor. Voorbeeld: 999Opmerking: Het type wordt gedefinieerd als tekenreeks ter ondersteuning van verschillende systemen, maar in Windows moet deze waarde numeriek zijn. Als u een Windows-computer gebruikt en een ander type gebruikt, moet u de waarden converteren. Als u bijvoorbeeld een hexadecimale waarde hebt gebruikt, converteert u deze naar een decimale waarde. |
| ActorUserType | Optioneel | UserType | Het type Actor. Raadpleeg userType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Opmerking: De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd voor deze waarden. Sla de oorspronkelijke waarde op in het veld ActorOriginalUserType . |
| ActorOriginalUserType | Optioneel | String | Het oorspronkelijke type doelgebruiker, indien opgegeven door het rapportageapparaat. |
Actieve procesvelden
| Veld | Klas | Type | Description |
|---|---|---|---|
| ActingProcessCommandLine | Optioneel | String | De opdrachtregel die wordt gebruikt om het acterende proces uit te voeren. Voorbeeld: "choco.exe" -v |
| ActingProcessName | Optioneel | tekenreeks | De naam van het acterende proces. Deze naam wordt meestal afgeleid van de installatiekopieën of het uitvoerbare bestand dat wordt gebruikt om de initiële code en gegevens te definiëren die zijn toegewezen aan de virtuele adresruimte van het proces. Voorbeeld: C:\Windows\explorer.exe |
| Verwerken | Alias | Alias naar ActingProcessName | |
| ActingProcessId | Optioneel | String | De proces-id (PID) van het acterende proces. Voorbeeld: 48610176 Opmerking: Het type wordt gedefinieerd als tekenreeks ter ondersteuning van verschillende systemen, maar in Windows en Linux moet deze waarde numeriek zijn. Als u een Windows- of Linux-computer gebruikt en een ander type gebruikt, moet u de waarden converteren. Als u bijvoorbeeld een hexadecimale waarde hebt gebruikt, converteert u deze naar een decimale waarde. |
| ActingProcessGuid | Optioneel | tekenreeks | Een gegenereerde unieke id (GUID) van het acterende proces. Hiermee kunt u het proces in verschillende systemen identificeren. Voorbeeld: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Bronsysteemgerelateerde velden
De volgende velden vertegenwoordigen informatie over het systeem dat de bestandsactiviteit start, meestal wanneer het netwerk wordt overgedragen.
| Veld | Klas | Type | Description |
|---|---|---|---|
| SrcIpAddr | Aanbevolen | IP-adres | Wanneer de bewerking wordt gestart door een extern systeem, is het IP-adres van dit systeem. Voorbeeld: 185.175.35.214 |
| IpAddr | Alias | Alias naar SrcIpAddr | |
| Src | Alias | Alias naar SrcIpAddr | |
| SrcPortNumber | Optioneel | Geheel getal | Wanneer de bewerking wordt gestart door een extern systeem, wordt het poortnummer van waaruit de verbinding is gestart. Voorbeeld: 2335 |
| SrcHostname | Aanbevolen | Hostnaam | De hostnaam van het bronapparaat, met uitzondering van domeingegevens. Als er geen apparaatnaam beschikbaar is, slaat u het relevante IP-adres op in dit veld. Voorbeeld: DESKTOP-1282V4D |
| SrcDomain | Aanbevolen | String | Het domein van het bronapparaat. Voorbeeld: Contoso |
| SrcDomainType | Voorwaardelijk | DomainType | Het type SrcDomain. Raadpleeg DomainType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Vereist als SrcDomain wordt gebruikt. |
| SrcFQDN | Optioneel | String | De hostnaam van het bronapparaat, inclusief domeingegevens, indien beschikbaar. Opmerking: dit veld ondersteunt zowel de traditionele FQDN-indeling als de Indeling windows-domein\hostnaam. Het veld SrcDomainType weerspiegelt de gebruikte indeling. Voorbeeld: Contoso\DESKTOP-1282V4D |
| SrcDescription | Optioneel | String | Een beschrijvende tekst die aan het apparaat is gekoppeld. Voorbeeld: Primary Domain Controller. |
| SrcDvcId | Optioneel | String | De id van het bronapparaat. Als er meerdere id's beschikbaar zijn, gebruikt u de belangrijkste id en slaat u de andere op in de velden SrcDvc<DvcIdType>.Voorbeeld: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Optioneel | String | De bereik-id van het cloudplatform waartoe het apparaat behoort. SrcDvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
| SrcDvcScope | Optioneel | String | Het cloudplatformbereik waartoe het apparaat behoort. SrcDvcScope wordt toegewezen aan een abonnements-id in Azure en aan een account-id in AWS. |
| SrcDvcIdType | Voorwaardelijk | DvcIdType | Het type SrcDvcId. Voor een lijst met toegestane waarden en meer informatie raadpleegt u DvcIdType in het artikel Schemaoverzicht. Opmerking: dit veld is vereist als SrcDvcId wordt gebruikt. |
| SrcDeviceType | Optioneel | DeviceType | Het type bronapparaat. Raadpleeg DeviceType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. |
| SrcSubscriptionId | Optioneel | String | De abonnements-id van het cloudplatform waartoe het bronapparaat behoort. SrcSubscriptionId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
| SrcGeoCountry | Optioneel | Land/regio | Het land/de regio die is gekoppeld aan het bron-IP-adres. Voorbeeld: USA |
| SrcGeoRegion | Optioneel | Regio | De regio die is gekoppeld aan het bron-IP-adres. Voorbeeld: Vermont |
| SrcGeoCity | Optioneel | City | De plaats die is gekoppeld aan het bron-IP-adres. Voorbeeld: Burlington |
| SrcGeoL dankbaarheid | Optioneel | Breedtegraad | De breedtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. Voorbeeld: 44.475833 |
| SrcGeoLongitude | Optioneel | Lengtegraad | De lengtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. Voorbeeld: 73.211944 |
Netwerkgerelateerde velden
De volgende velden vertegenwoordigen informatie over de netwerksessie wanneer de bestandsactiviteit via het netwerk is overgedragen.
| Veld | Klas | Type | Description |
|---|---|---|---|
| HttpUserAgent | Optioneel | String | Wanneer de bewerking wordt gestart door een extern systeem met HTTP of HTTPS, wordt de gebruikersagent gebruikt. Voorbeeld: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | Optioneel | String | Wanneer de bewerking wordt gestart door een extern systeem, is deze waarde het toepassingslaagprotocol dat wordt gebruikt in het OSI-model. Hoewel dit veld niet is geïnventariseerd en een waarde wordt geaccepteerd, zijn de voorkeurswaarden: HTTP, HTTPS, SMB, enFTPSSHVoorbeeld: SMB |
Doeltoepassingsvelden
De volgende velden vertegenwoordigen informatie over de doeltoepassing die de bestandsactiviteit uitvoert namens de gebruiker. Een doeltoepassing is meestal gerelateerd aan bestandsactiviteit via het netwerk, bijvoorbeeld het gebruik van Saas-toepassingen (Software as a Service).
| Veld | Klas | Type | Description |
|---|---|---|---|
| TargetAppName | Optioneel | String | De naam van de doeltoepassing. Voorbeeld: Facebook |
| Toepassing | Alias | Alias naar TargetAppName. | |
| TargetAppId | Optioneel | String | De id van de doeltoepassing, zoals gerapporteerd door het rapportageapparaat. |
| TargetAppType | Optioneel | AppType | Het type van de doeltoepassing. Raadpleeg AppType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Dit veld is verplicht als TargetAppName of TargetAppId worden gebruikt. |
| TargetUrl | Optioneel | String | Wanneer de bewerking wordt gestart met HTTP of HTTPS, wordt de URL gebruikt. Voorbeeld: https://onedrive.live.com/?authkey=... |
| URL | Alias | Alias naar TargetUrl |
Inspectievelden
De volgende velden worden gebruikt om aan te geven dat inspectie uitgevoerd door een beveiligingssysteem zoals een antivirussysteem. De geïdentificeerde thread is meestal gekoppeld aan het bestand waarop de activiteit is uitgevoerd in plaats van de activiteit zelf.
| Veld | Klas | Type | Description |
|---|---|---|---|
| RuleName | Optioneel | String | De naam of id van de regel door gekoppeld aan de inspectieresultaten. |
| RuleNumber | Optioneel | Geheel getal | Het nummer van de regel die is gekoppeld aan de inspectieresultaten. |
| Regel | Voorwaardelijk | String | De waarde van kRuleName of de waarde van RuleNumber. Als de waarde van RuleNumber wordt gebruikt, moet het type worden geconverteerd naar tekenreeks. |
| ThreatId | Optioneel | String | De id van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit. |
| ThreatName | Optioneel | String | De naam van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit. Voorbeeld: EICAR Test File |
| ThreatCategory | Optioneel | String | De categorie van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit. Voorbeeld: Trojan |
| ThreatRiskLevel | Optioneel | Geheel getal | Het risiconiveau dat is gekoppeld aan de geïdentificeerde bedreiging. Het niveau moet een getal tussen 0 en 100 zijn. Opmerking: De waarde kan worden opgegeven in de bronrecord met behulp van een andere schaal, die moet worden genormaliseerd voor deze schaal. De oorspronkelijke waarde moet worden opgeslagen in ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Optioneel | String | Het risiconiveau zoals gerapporteerd door het rapportageapparaat. |
| ThreatFilePath | Optioneel | String | Een bestandspad waarvoor een bedreiging is geïdentificeerd. Het veld ThreatField bevat de naam van het veld ThreatFilePath . |
| ThreatField | Optioneel | Enumerated | Het veld waarvoor een bedreiging is geïdentificeerd. De waarde is ofwel SrcFilePath DstFilePath. |
| ThreatConfidence | Optioneel | Geheel getal | Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd tot een waarde tussen 0 en 100. |
| ThreatOriginalConfidence | Optioneel | String | Het oorspronkelijke betrouwbaarheidsniveau van de geïdentificeerde bedreiging, zoals gerapporteerd door het rapportageapparaat. |
| ThreatIsActive | Optioneel | Booleaanse waarde | Waar als de geïdentificeerde bedreiging wordt beschouwd als een actieve bedreiging. |
| ThreatFirstReportedTime | Optioneel | datetime | De eerste keer dat het IP-adres of domein als een bedreiging is geïdentificeerd. |
| ThreatLastReportedTime | Optioneel | datetime | De laatste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging. |
Padstructuur
Het pad moet worden genormaliseerd zodat het overeenkomt met een van de volgende indelingen. De indeling waarin de waarde is genormaliseerd, wordt weergegeven in het respectieve FilePathType-veld .
| Type | Opmerking | Opmerkingen |
|---|---|---|
| Windows Local | C:\Windows\System32\notepad.exe |
Omdat Windows-padnamen niet hoofdlettergevoelig zijn, betekent dit type dat de waarde niet hoofdlettergevoelig is. |
| Windows Share | \\Documents\My Shapes\Favorites.vssx |
Omdat Windows-padnamen niet hoofdlettergevoelig zijn, betekent dit type dat de waarde niet hoofdlettergevoelig is. |
| Unix | /etc/init.d/networking |
Omdat unix-padnamen hoofdlettergevoelig zijn, impliceert dit type dat de waarde hoofdlettergevoelig is. - Gebruik dit type voor AWS S3. Voeg de bucket- en sleutelnamen samen om het pad te maken. - Gebruik dit type voor Azure Blob Storage-objectsleutels. |
| URL | https://1drv.ms/p/s!Av04S_*********we |
Gebruik dit bestand als het bestandspad beschikbaar is als URL. URL's zijn niet beperkt tot http of https en elke waarde, inclusief een FTP-waarde, is geldig. |
Schema-updates
Dit zijn de wijzigingen in versie 0.1.1 van het schema:
- Het veld
EventSchemais toegevoegd.
Er zijn de wijzigingen in versie 0.2 van het schema:
- Er zijn inspectievelden toegevoegd.
- De velden
ActorScope,TargetUserScope, ,HashTypeTargetAppName, ,TargetAppId, ,TargetAppType,SrcGeoRegionSrcGeoCountry,SrcGeoLongitude,SrcGeoLatitude, ,ActorSessionIdenDvcScopeIdDvcScope.. - De aliassen
Url,IpAddr'FileName' enSrc.
Er zijn de wijzigingen in versie 0.2.1 van het schema:
- Toegevoegd
Applicationals alias aanTargetAppName. - Het veld toegevoegd
ActorScopeId - Aan bronapparaat gerelateerde velden toegevoegd.
Volgende stappen
Zie voor meer informatie: