Udostępnij za pośrednictwem


Dokumentacja schematu normalizacji zdarzeń zdarzeń zdarzeń zabezpieczeń zaawansowanych zabezpieczeń (publiczna wersja zapoznawcza)

Schemat normalizacji zdarzenia pliku służy do opisywania działania pliku, takiego jak tworzenie, modyfikowanie lub usuwanie plików lub dokumentów. Takie zdarzenia są zgłaszane przez systemy operacyjne, systemy magazynowania plików, takie jak Azure Files i systemy zarządzania dokumentami, takie jak Microsoft SharePoint.

Aby uzyskać więcej informacji na temat normalizacji w usłudze Microsoft Sentinel, zobacz Normalizacja i Zaawansowany model informacji o zabezpieczeniach (ASIM).

Ważne

Schemat normalizacji zdarzeń plików jest obecnie w wersji zapoznawczej. Ta funkcja jest udostępniana bez umowy dotyczącej poziomu usług i nie jest zalecana w przypadku obciążeń produkcyjnych.

Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Parsery

Wdrażanie i używanie analizatorów działań plików

Wdróż analizatory działań plików ASIM z repozytorium GitHub usługi Microsoft Sentinel. Aby wykonywać zapytania we wszystkich źródłach działań plików, użyj analizatora ujednolicania imFileEvent jako nazwy tabeli w zapytaniu.

Aby uzyskać więcej informacji na temat korzystania z analizatorów ASIM, zobacz omówienie analizatorów ASIM. Aby uzyskać listę analizatorów działań plików, usługa Microsoft Sentinel udostępnia gotowe do użycia, zapoznaj się z listą analizatorów ASIM

Dodawanie własnych znormalizowanych analizatorów

Podczas implementowania niestandardowych analizatorów dla modelu informacji o zdarzeniach plików nazwij funkcje KQL przy użyciu następującej składni: imFileEvent<vendor><Product.

Zapoznaj się z artykułem Managing ASIM parsers (Zarządzanie analizatorami ASIM), aby dowiedzieć się, jak dodać analizatory niestandardowe do działania pliku jednoczącego analizatora.

Znormalizowana zawartość

Aby uzyskać pełną listę reguł analizy korzystających ze znormalizowanych zdarzeń działania plików, zobacz Zawartość zabezpieczeń działania pliku.

Przegląd schematu

Model informacji o zdarzeniu pliku jest wyrównany do schematu jednostki procesów OSSEM.

Schemat zdarzenia pliku odwołuje się do następujących jednostek, które są centralne dla działań dotyczących plików:

  • Aktor. Użytkownik, który zainicjował działanie pliku
  • ActingProcess. Proces używany przez aktora do inicjowania działania pliku
  • TargetFile. Plik, na którym wykonano operację
  • Plik źródłowy (SrcFile). Przechowuje informacje o pliku przed operacją.

Relacja między tymi jednostkami jest najlepiej pokazana w następujący sposób: Aktor wykonuje operację pliku przy użyciu działającego procesu, który modyfikuje plik źródłowy do pliku docelowego.

Na przykład: JohnDoe (Aktor) używa Windows File Explorer (proces działający) do zmiany nazwy new.doc (plik źródłowy) na old.doc (plik docelowy).

Szczegóły schematu

Typowe pola

Ważne

Pola wspólne dla wszystkich schematów zostały szczegółowo opisane w artykule ASIM Common Fields (Wspólne pola karty ASIM).

Pola z określonymi wytycznymi dotyczącymi schematu zdarzenia pliku

Na poniższej liście wymieniono pola, które mają określone wytyczne dotyczące zdarzeń działania pliku:

Pole Klasa Type Opis
EventType Obowiązkowy Enumerated Opisuje operację zgłoszoną przez rekord.

Obsługiwane wartości to:

- FileAccessed
- FileCreated
- FileModified
- FileDeleted
- FileRenamed
- FileCopied
- FileMoved
- FolderCreated
- FolderDeleted
- FolderMoved
- FolderModified
- FileCreatedOrModified
EventSubType Opcjonalnie Enumerated Opisuje szczegółowe informacje o operacji zgłoszonej w eventtype. Obsługiwane wartości dla typu zdarzenia to:
- FileCreated - Upload, Checkin
- FileModified - Checkin
- FileCreatedOrModified - Checkin
- FileAccessed - Download, , Preview, , CheckoutExtended
- FileDeleted - Recycled, , VersionsSite
EventSchema Obowiązkowy String Nazwa schematu udokumentowanego tutaj to FileEvent.
EventSchemaVersion Obowiązkowy String Wersja schematu. Wersja schematu udokumentowana tutaj jest 0.2.1
Pola dvc - - W przypadku zdarzeń działania plików pola urządzenia odwołują się do systemu, w którym wystąpiło działanie pliku.

Ważne

Pole EventSchema jest obecnie opcjonalne, ale stanie się obowiązkowe 1 września 2022 r.

Wszystkie typowe pola

Pola wyświetlane w tabeli są wspólne dla wszystkich schematów ASIM. Dowolne wskazówki dotyczące schematu w tym dokumencie zastępują ogólne wytyczne dotyczące tego pola. Na przykład pole może być ogólnie opcjonalne, ale obowiązkowe dla określonego schematu. Aby uzyskać więcej informacji na temat każdego pola, zobacz artykuł ASIM Common Fields (Wspólne pola karty ASIM).

Klasa Pola
Obowiązkowy - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Zalecane - EventResultDetails
- EventSeverity
- Identyfikator zdarzenia
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Opcjonalnie - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- Właściciel zdarzenia
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- Dodatkowe pola
- DvcDescription
- DvcScopeId
- DvcScope

Pola pliku docelowego

Poniższe pola reprezentują informacje o pliku docelowym w operacji pliku. Jeśli operacja obejmuje na przykład pojedynczy plik FileCreate , jest reprezentowana przez pola pliku docelowego.

Pole Klasa Type Opis
TargetFileCreationTime Opcjonalnie Data/godzina Godzina utworzenia pliku docelowego.
TargetFileDirectory Opcjonalnie String Docelowy folder pliku lub lokalizacja. To pole powinno być podobne do pola TargetFilePath bez ostatniego elementu.

Uwaga: analizator może podać tę wartość, jeśli wartość dostępna w źródle dziennika i nie musi być wyodrębniona z pełnej ścieżki.
Rozszerzenie TargetFileExtension Opcjonalnie String Rozszerzenie pliku docelowego.

Uwaga: analizator może podać tę wartość, jeśli wartość dostępna w źródle dziennika i nie musi być wyodrębniona z pełnej ścieżki.
TargetFileMimeType Opcjonalnie Enumerated Mime, lub Media, typ pliku docelowego. Dozwolone wartości są wyświetlane w repozytorium Typów multimediów IANA.
TargetFileName Zalecane String Nazwa pliku docelowego, bez ścieżki lub lokalizacji, ale z rozszerzeniem, jeśli ma to zastosowanie. To pole powinno być podobne do ostatniego elementu w polu TargetFilePath .
Pod nazwą Alias Alias w polu TargetFileName .
TargetFilePath Obowiązkowy String Pełna, znormalizowana ścieżka pliku docelowego, w tym folder lub lokalizacja, nazwa pliku i rozszerzenie. Aby uzyskać więcej informacji, zobacz Struktura ścieżki.

Uwaga: jeśli rekord nie zawiera informacji o folderze ani lokalizacji, zapisz nazwę pliku tylko tutaj.

Przykład: C:\Windows\System32\notepad.exe
TargetFilePathType Obowiązkowy Enumerated Typ elementu TargetFilePath. Aby uzyskać więcej informacji, zobacz Struktura ścieżki.
FilePath Alias Alias w polu TargetFilePath .
TargetFileMD5 Opcjonalnie MD5 Skrót MD5 pliku docelowego.

Przykład: 75a599802f1fa166cdadb360960b1dd0
TargetFileSHA1 Opcjonalnie SHA1 Skrót SHA-1 pliku docelowego.

Przykład:
d55c5a4df19b46db8c54
c801c4665d3338acdab0
TargetFileSHA256 Opcjonalnie SHA256 Skrót SHA-256 pliku docelowego.

Przykład:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
TargetFileSHA512 Opcjonalnie SHA512 Skrót SHA-512 pliku źródłowego.
Skrót Alias Alias do najlepszego dostępnego skrótu pliku docelowego.
HashType Zalecane String Typ skrótu przechowywanego w polu aliasu skrótu skrótu, dozwolone wartości to MD5, SHA, SHA512 SHA256i IMPHASH. Obowiązkowe, jeśli Hash jest wypełniane.
TargetFileSize Opcjonalnie Długi Rozmiar pliku docelowego w bajtach.

Pola pliku źródłowego

Poniższe pola reprezentują informacje o pliku źródłowym w operacji pliku, która ma zarówno źródło, jak i miejsce docelowe, takie jak kopiowanie. Jeśli operacja obejmuje pojedynczy plik, jest reprezentowana przez pola pliku docelowego.

Pole Klasa Type Opis
SrcFileCreationTime Opcjonalnie Data/godzina Godzina utworzenia pliku źródłowego.
SrcFileDirectory Opcjonalnie String Folder lub lokalizacja pliku źródłowego. To pole powinno być podobne do pola SrcFilePath bez ostatniego elementu.

Uwaga: analizator może podać tę wartość, jeśli wartość jest dostępna w źródle dziennika i nie musi być wyodrębniona z pełnej ścieżki.
SrcFileExtension Opcjonalnie String Rozszerzenie pliku źródłowego.

Uwaga: analizator może podać tę wartość, którą wartość jest dostępna w źródle dziennika i nie musi być wyodrębniona z pełnej ścieżki.
SrcFileMimeType Opcjonalnie Enumerated Typ mime lub nośnika pliku źródłowego. Obsługiwane wartości są wymienione w repozytorium Typów multimediów IANA.
SrcFileName Zalecane String Nazwa pliku źródłowego, bez ścieżki lub lokalizacji, ale z rozszerzeniem, jeśli ma to zastosowanie. To pole powinno być podobne do ostatniego elementu w polu SrcFilePath .
SrcFilePath Zalecane String Pełna, znormalizowana ścieżka pliku źródłowego, w tym folder lub lokalizacja, nazwa pliku i rozszerzenie.

Aby uzyskać więcej informacji, zobacz Struktura ścieżki.

Przykład: /etc/init.d/networking
SrcFilePathType Zalecane Enumerated Typ SrcFilePath. Aby uzyskać więcej informacji, zobacz Struktura ścieżki.
SrcFileMD5 Opcjonalnie MD5 Skrót MD5 pliku źródłowego.

Przykład: 75a599802f1fa166cdadb360960b1dd0
SrcFileSHA1 Opcjonalnie SHA1 Skrót SHA-1 pliku źródłowego.

Przykład:
d55c5a4df19b46db8c54
c801c4665d3338acdab0
SrcFileSHA256 Opcjonalnie SHA256 Skrót SHA-256 pliku źródłowego.

Przykład:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
SrcFileSHA512 Opcjonalnie SHA512 Skrót SHA-512 pliku źródłowego.
SrcFileSize Opcjonalnie Długi Rozmiar pliku źródłowego w bajtach.

Pola aktora

Pole Klasa Type Opis
AktorUserId Zalecane String Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja aktora. Aby uzyskać obsługiwany format dla różnych typów identyfikatorów, zapoznaj się z jednostką Użytkownik.

Przykład: S-1-12
AktorZakres Opcjonalnie String Zakres, taki jak dzierżawa firmy Microsoft Entra, w którym zdefiniowano element ActorUserId i ActorUsername . lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu.
AktorScopeId Opcjonalnie String Identyfikator zakresu, taki jak Identyfikator katalogu Entra firmy Microsoft, w którym zdefiniowano element ActorUserId i ActorUsername . lub więcej informacji i listy dozwolonych wartości, zobacz UserScopeId w artykule Przegląd schematu.
AktorUserIdType Warunkowe String Typ identyfikatora przechowywanego w polu ActorUserId . Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz UserIdType w artykule Przegląd schematu.
AktorUsername Obowiązkowy String Nazwa użytkownika aktora, w tym informacje o domenie, gdy są dostępne. Aby uzyskać obsługiwany format dla różnych typów identyfikatorów, zapoznaj się z jednostką Użytkownik. Użyj prostego formularza tylko wtedy, gdy informacje o domenie nie są dostępne.

Zapisz typ nazwy użytkownika w polu ActorUsernameType . Jeśli są dostępne inne formaty nazw użytkowników, zapisz je w polach ActorUsername<UsernameType>.

Przykład: AlbertE
Użytkownik Alias Alias w polu ActorUsername .

Przykład: CONTOSO\dadmin
AktorUsernameType Warunkowe Enumerated Określa typ nazwy użytkownika przechowywanej w polu ActorUsername . Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz UsernameType w artykule Przegląd schematu.

Przykład: Windows
ActorsSessionId Opcjonalnie String Unikatowy identyfikator sesji logowania aktora.

Przykład: 999

Uwaga: typ jest definiowany jako ciąg do obsługi różnych systemów, ale w systemie Windows ta wartość musi być numeryczna.

Jeśli używasz maszyny z systemem Windows i używasz innego typu, pamiętaj, aby przekonwertować wartości. Jeśli na przykład użyto wartości szesnastkowej, przekonwertuj ją na wartość dziesiętną.
AktorUserType Opcjonalnie UserType Typ aktora. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz UserType w artykule Przegląd schematu.

Uwaga: Wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Zapisz oryginalną wartość w polu ActorOriginalUserType .
ActorOriginalUserType Opcjonalnie String Oryginalny typ użytkownika docelowego, jeśli jest udostępniany przez urządzenie raportowania.

Pola procesów działających

Pole Klasa Type Opis
ActingProcessCommandLine Opcjonalnie String Wiersz polecenia używany do uruchamiania działającego procesu.

Przykład: "choco.exe" -v
ActingProcessName Opcjonalnie string Nazwa działającego procesu. Ta nazwa jest często pochodzi z obrazu lub pliku wykonywalnego używanego do definiowania początkowego kodu i danych zamapowanych na wirtualną przestrzeń adresową procesu.

Przykład: C:\Windows\explorer.exe
Proces Alias Alias na ActingProcessName
ActingProcessId Opcjonalnie String Identyfikator procesu (PID) działającego procesu.

Przykład: 48610176

Uwaga: typ jest definiowany jako ciąg do obsługi różnych systemów, ale w systemach Windows i Linux ta wartość musi być numeryczna.

Jeśli używasz maszyny z systemem Windows lub Linux i używasz innego typu, pamiętaj, aby przekonwertować wartości. Jeśli na przykład użyto wartości szesnastkowej, przekonwertuj ją na wartość dziesiętną.
ActingProcessGuid Opcjonalnie string Wygenerowany unikatowy identyfikator (GUID) działającego procesu. Umożliwia identyfikację procesu w różnych systemach.

Przykład: EF3BD0BD-2B74-60C5-AF5C-010000001E00

Poniższe pola reprezentują informacje o systemie inicjującym działanie pliku, zazwyczaj w przypadku przewożonego przez sieć.

Pole Klasa Type Opis
SrcIpAddr Zalecane Adres IP Gdy operacja jest inicjowana przez system zdalny, adres IP tego systemu.

Przykład: 185.175.35.214
IpAddr Alias Alias do SrcIpAddr
Src Alias Alias do SrcIpAddr
SrcPortNumber Opcjonalnie Integer Po zainicjowaniu operacji przez system zdalny numer portu, z którego zainicjowano połączenie.

Przykład: 2335
SrcHostname Zalecane Hostname (Nazwa hosta) Nazwa hosta urządzenia źródłowego z wyłączeniem informacji o domenie. Jeśli żadna nazwa urządzenia nie jest dostępna, zapisz odpowiedni adres IP w tym polu.

Przykład: DESKTOP-1282V4D
SrcDomain Zalecane String Domena urządzenia źródłowego.

Przykład: Contoso
SrcDomainType Warunkowe Typ domeny Typ SrcDomain. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DomainType w artykule Omówienie schematu.

Wymagane, jeśli jest używany SrcDomain .
SrcFQDN Opcjonalnie String Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, gdy są dostępne.

Uwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa_hosta systemu Windows. Pole SrcDomainType odzwierciedla używany format.

Przykład: Contoso\DESKTOP-1282V4D
SrcDescription Opcjonalnie String Tekst opisowy skojarzony z urządzeniem. Na przykład: Primary Domain Controller.
SrcDvcId Opcjonalnie String Identyfikator urządzenia źródłowego. Jeśli dostępnych jest wiele identyfikatorów, użyj najważniejszego identyfikatora i zapisz pozostałe w polach SrcDvc<DvcIdType>.

Przykład: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId Opcjonalnie String Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. SrcDvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS.
SrcDvcScope Opcjonalnie String Zakres platformy w chmurze, do którego należy urządzenie. SrcDvcScope mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS.
SrcDvcIdType Warunkowe DvcIdType Typ SrcDvcId. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz DvcIdType w artykule Omówienie schematu.

Uwaga: to pole jest wymagane, jeśli jest używany identyfikator SrcDvcId .
SrcDeviceType Opcjonalnie Typ urządzenia Typ urządzenia źródłowego. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zapoznaj się z artykułem DeviceType (Typ urządzenia) w artykule Przegląd schematu.
SrcSubscriptionId Opcjonalnie String Identyfikator subskrypcji platformy w chmurze, do którego należy urządzenie źródłowe. SrcSubscriptionId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS.
SrcGeoCountry Opcjonalnie Kraj Kraj/region skojarzony ze źródłowym adresem IP.

Przykład: USA
SrcGeoRegion Opcjonalnie Region (Region) Region skojarzony ze źródłowym adresem IP.

Przykład: Vermont
SrcGeoCity Opcjonalnie City Miasto skojarzone ze źródłowym adresem IP.

Przykład: Burlington
SrcGeoLatitude Opcjonalnie Szerokość Szerokość geograficzna współrzędnych geograficznych skojarzonych z źródłowym adresem IP.

Przykład: 44.475833
SrcGeoLongitude Opcjonalnie Długość Długość geograficzna współrzędnej geograficznej skojarzonej z źródłowym adresem IP.

Przykład: 73.211944

Poniższe pola reprezentują informacje o sesji sieciowej, gdy działanie pliku zostało przeniesione przez sieć.

Pole Klasa Type Opis
HttpUserAgent Opcjonalnie String Gdy operacja jest inicjowana przez system zdalny przy użyciu protokołu HTTP lub HTTPS, używany jest agent użytkownika.

Na przykład:
Mozilla/5.0 (Windows NT 10.0; Win64; x64)
AppleWebKit/537.36 (KHTML, like Gecko)
Chrome/42.0.2311.135
Safari/537.36 Edge/12.246
NetworkApplicationProtocol Opcjonalnie String Gdy operacja jest inicjowana przez system zdalny, ta wartość jest protokołem warstwy aplikacji używanym w modelu OSI.

Chociaż to pole nie jest wyliczane, a każda wartość jest akceptowana, preferowane wartości obejmują: HTTP, , HTTPSSMB,FTP iSSH

Przykład: SMB

Pola aplikacji docelowej

Poniższe pola reprezentują informacje o aplikacji docelowej wykonującej działanie pliku w imieniu użytkownika. Aplikacja docelowa jest zwykle związana z działaniem plików sieciowych, na przykład przy użyciu aplikacji Saas (oprogramowanie jako usługa).

Pole Klasa Type Opis
TargetAppName Opcjonalnie String Nazwa aplikacji docelowej.

Przykład: Facebook
Aplikacja Alias Alias elementu TargetAppName.
TargetAppId Opcjonalnie String Identyfikator aplikacji docelowej zgłoszonej przez urządzenie raportowania.
TargetAppType Opcjonalnie Typ aplikacji Typ aplikacji docelowej. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zapoznaj się z artykułem AppType w artykule Przegląd schematu.

To pole jest obowiązkowe, jeśli są używane wartości TargetAppName lub TargetAppId .
TargetUrl Opcjonalnie String Gdy operacja jest inicjowana przy użyciu protokołu HTTP lub HTTPS, używany jest adres URL.

Przykład: https://onedrive.live.com/?authkey=...
Adres URL Alias Alias do targetUrl

Pola inspekcji

Poniższe pola są używane do reprezentowania tej inspekcji przeprowadzonej przez system zabezpieczeń, taki jak system antywirusowy. Zidentyfikowany wątek jest zwykle skojarzony z plikiem, na którym wykonano działanie, a nie z samym działaniem.

Pole Klasa Type Opis
RuleName Opcjonalnie String Nazwa lub identyfikator reguły skojarzonej z wynikami inspekcji.
RuleNumber Opcjonalnie Integer Liczba reguł skojarzonych z wynikami inspekcji.
Reguła Warunkowe String Wartość kRuleName lub wartość RuleNumber. Jeśli jest używana wartość RuleNumber , typ powinien zostać przekonwertowany na ciąg.
ThreatId Opcjonalnie String Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku.
ThreatName Opcjonalnie String Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku.

Przykład: EICAR Test File
ThreatCategory Opcjonalnie String Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku.

Przykład: Trojan
ThreatRiskLevel Opcjonalnie Integer Poziom ryzyka skojarzony z zidentyfikowanym zagrożeniem. Poziom powinien być liczbą z zakresu od 0 do 100.

Uwaga: wartość może być podana w rekordzie źródłowym przy użyciu innej skali, która powinna być znormalizowana do tej skali. Oryginalna wartość powinna być przechowywana w usłudze ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel Opcjonalnie String Poziom ryzyka zgłoszony przez urządzenie raportowania.
ThreatFilePath Opcjonalnie String Ścieżka pliku, dla której zidentyfikowano zagrożenie. Pole ThreatField zawiera nazwę pola ThreatFilePath .
ThreatField Opcjonalnie Enumerated Pole, dla którego zidentyfikowano zagrożenie. Wartość to SrcFilePath lub DstFilePath.
ThreatConfidence Opcjonalnie Integer Zidentyfikowany poziom ufności zagrożenia znormalizowany do wartości z zakresu od 0 do 100.
ThreatOriginalConfidence Opcjonalnie String Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgodnie z raportem urządzenia raportowania.
ThreatIsActive Opcjonalnie Wartość logiczna Prawda, jeśli zidentyfikowane zagrożenie jest uznawane za aktywne zagrożenie.
ThreatFirstReportedTime Opcjonalnie datetime Po raz pierwszy adres IP lub domena zostały zidentyfikowane jako zagrożenie.
ThreatLastReportedTime Opcjonalnie datetime Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie.

Struktura ścieżki

Ścieżka powinna być znormalizowana tak, aby odpowiadała jednemu z następujących formatów. Format znormalizowanej wartości zostanie odzwierciedlony w odpowiednim polu FilePathType .

Typ Przykład Uwagi
System Windows — lokalny C:\Windows\System32\notepad.exe Ponieważ nazwy ścieżek systemu Windows są niewrażliwe na wielkość liter, ten typ oznacza, że wartość jest niewrażliwa na wielkość liter.
Udział systemu Windows \\Documents\My Shapes\Favorites.vssx Ponieważ nazwy ścieżek systemu Windows są niewrażliwe na wielkość liter, ten typ oznacza, że wartość jest niewrażliwa na wielkość liter.
Unix /etc/init.d/networking Ponieważ w nazwach ścieżek systemu Unix jest rozróżniana wielkość liter, ten typ oznacza, że wartość jest uwzględniana w wielkości liter.

— Użyj tego typu dla platformy AWS S3. Połącz zasobnik i nazwy kluczy, aby utworzyć ścieżkę.

— Użyj tego typu dla kluczy obiektów usługi Azure Blob Storage.
Adres URL https://1drv.ms/p/s!Av04S_*********we Użyj, gdy ścieżka pliku jest dostępna jako adres URL. Adresy URL nie są ograniczone do protokołu HTTP lub https, a każda wartość, w tym wartość FTP, jest prawidłowa.

Aktualizacje schematu

Są to zmiany w wersji 0.1.1 schematu:

  • Dodano pole EventSchema.

Istnieją zmiany w wersji 0.2 schematu:

  • Dodano pola inspekcji.
  • Dodano pola ActorScope, HashTypeTargetAppTypeTargetAppIdSrcGeoCountrySrcGeoRegionTargetAppNameTargetUserScopeSrcGeoLatitudeActorSessionIdSrcGeoLongitudeDvcScopeIdi .DvcScope
  • Dodano aliasy Url, , IpAddr"FileName" i Src.

Istnieją zmiany w wersji 0.2.1 schematu:

  • Dodano Application jako alias do elementu TargetAppName.
  • Dodano pole ActorScopeId
  • Dodano pola powiązane z urządzeniem źródłowym.

Następne kroki

Aby uzyskać więcej informacji, zobacz: