Compartilhar via


Referência do esquema de normalização do Evento de Arquivo do ASIM (Modelo de Informações de Segurança Avançado) (versão prévia)

O esquema de normalização do evento de arquivo é usado para descrever a atividade do arquivo, como criar, mudar ou excluir arquivos ou documentos. Esses eventos são relatados por sistemas operacionais, sistemas de armazenamento de arquivos, como Arquivos do Azure e sistemas de gerenciamento de documentos, como o Microsoft SharePoint.

Para saber mais sobre a normalização no Microsoft Sentinel, confira Normalização e o ASIM (Modelo de Informações de Segurança Avançado).

Importante

O esquema de normalização de arquivos do processo está atualmente em VERSÃO PRÉVIA. Esse recurso é fornecido sem um contrato de nível de serviço e não é recomendado para cargas de trabalho de produção.

Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Analisadores

Implantando e usando analisadores de atividade de arquivo

Implante os analisadores de Atividade de Arquivo ASIM do repositório GitHub do Microsoft Sentinel. Para consultar todas as fontes de Atividade de Arquivo, use o analisador imFileEvent unificador como o nome da tabela em sua consulta.

Para obter mais informações sobre como usar os analisadores do ASIM, consulte a Visão geral dos analisadores do ASIM. Para obter a lista dos analisadores de atividade de arquivo que o Microsoft Sentinel fornece prontos para uso, consulte a Lista dos analisadores do ASIM

Adicionar seus próprios analisadores normalizados

Ao implementar analisadores personalizados para o modelo de informação do Evento do Arquivo, dê um nome às suas funções KQL usando a seguinte sintaxe: imFileEvent<vendor><Product.

Consulte o artigo Gerenciando analisadores do ASIM para saber como adicionar seus analisadores personalizados ao analisador unificador de atividade de arquivo.

Conteúdo normalizado

Para obter uma lista completa de regras de análise que usam eventos de Atividade de Arquivo normalizados, confira o Conteúdo de segurança de Atividade de Arquivo.

Visão geral do esquema

O modelo de informação de evento de arquivo que está alinhado ao esquema de entidade de processo OSSEM.

O esquema de evento do Arquivo faz referência às seguintes entidades, que são fundamentais para atividades de arquivo:

  • Actor. O usuário que iniciou a atividade do arquivo
  • ActingProcess. O processo usado pelo Ator para iniciar a atividade do arquivo
  • TargetFile. O arquivo no qual a operação foi realizada
  • Source File (SrcFile) . Armazena informações do arquivo antes da operação.

A relação entre essas entidades é melhor demonstrada da seguinte maneira: um Ator executa uma operação de arquivo usando um Processo de ação, que muda o Arquivo de origem para o Arquivo de destino.

Por exemplo: JohnDoe (Ator) usa Windows File Explorer (Processo de ação) para renomear new.doc (Arquivo de origem) para old.doc (Arquivo de destino).

Detalhes do esquema

Campos comuns

Importante

Os campos comuns a todos os esquemas estão descritos em detalhes no artigo Campos comuns do ASIM.

Campos com diretrizes específicas para o esquema de Evento de Arquivo

A lista a seguir menciona os campos que têm diretrizes específicas para eventos da atividade de arquivo:

Campo Classe Tipo Descrição
EventType Obrigatório Enumerated Descreve a operação relatada pelo registro.

Os valores compatíveis incluem:

- FileAccessed
- FileCreated
- FileModified
- FileDeleted
- FileRenamed
- FileCopied
- FileMoved
- FolderCreated
- FolderDeleted
- FolderMoved
- FolderModified
- FileCreatedOrModified
EventSubType Opcional Enumerated Descreve detalhes sobre a operação relatada em EventType. Os valores com suporte por tipo de evento incluem:
- FileCreated - Upload, Checkin
- FileModified - Checkin
- FileCreatedOrModified - Checkin
- FileAccessed - Download, Preview, Checkout, Extended
- FileDeleted - Recycled, Versions, Site
EventSchema Obrigatório String O nome do esquema documentado aqui é FileEvent.
EventSchemaVersion Obrigatório String A versão do esquema. A versão do esquema documentado aqui é a 0.2.1
Campos Dvc - - Para eventos de atividade de Arquivo, os campos de dispositivo referem-se ao sistema no qual a atividade de atividade ocorreu.

Importante

No momento, o campo EventSchema é opcional, mas ele será obrigatório a partir de 1º de setembro de 2022.

Todos campos comuns

Os campos que aparecem na tabela abaixo são comuns a todos os esquemas de ASIM. Qualquer uma das diretrizes específicas do esquema neste documento substitui as diretrizes gerais para o campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para saber mais sobre cada campo, confira o artigo Campos comuns de ASIM.

Classe Fields
Obrigatório - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Recomendadas - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Opcional - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

Campos de arquivo de destino

Os campos a seguir representam informações sobre o arquivo de destino em uma operação de arquivo. Se a operação envolver um único arquivo, FileCreate por exemplo, ela será representada pelos campos de arquivo de destino.

Campo Classe Tipo Descrição
TargetFileCreationTime Opcional Data/Hora A hora em que o arquivo de destino foi criado.
TargetFileDirectory Opcional Cadeia de caracteres A pasta ou o local do arquivo de destino. Esse campo deve ser semelhante ao campo TargetFilePath, sem o elemento final.

Observação: um analisador poderá fornecer esse valor se o valor disponível na origem do log não precisar ser extraído do caminho completo.
TargetFileExtension Opcional Cadeia de caracteres A extensão do arquivo de destino.

Observação: um analisador poderá fornecer esse valor se o valor disponível na origem do log não precisar ser extraído do caminho completo.
TargetFileMimeType Opcional Enumerated O Mime ou Media, tipo de arquivo de destino. Os valores permitidos são listados no repositório Tipos de Mídia IANA.
TargetFileName Recomendadas Cadeia de caracteres O nome do arquivo de destino, sem um caminho ou um local, mas com uma extensão, se relevante. Esse campo deve ser semelhante ao elemento final no campo TargetFilePath.
FileName Alias Alias para o campo TargetFileName.
TargetFilePath Obrigatório String O caminho completo normalizado do arquivo de destino, incluindo a pasta ou o local, o nome do arquivo e a extensão. Para saber mais, confira Estrutura do caminho.

Observação: se o registro não incluir informações de pasta ou local, armazene o nome de arquivo apenas aqui.

Exemplo: C:\Windows\System32\notepad.exe
TargetFilePathType Obrigatório Enumerated O tipo de TargetFilePath. Para saber mais, confira Estrutura do caminho.
FilePath Alias Alias para o campo TargetFilePath.
TargetFileMD5 Opcional MD5 O hash MD5 do arquivo de destino.

Exemplo: 75a599802f1fa166cdadb360960b1dd0
TargetFileSHA1 Opcional SHA1 O hash SHA-1 do arquivo de destino.

Exemplo:
d55c5a4df19b46db8c54
c801c4665d3338acdab0
TargetFileSHA256 Opcional SHA256 O hash SHA-256 do arquivo de destino.

Exemplo:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
TargetFileSHA512 Opcional SHA512 O hash SHA-512 do arquivo de origem.
Hash Alias Alias para o melhor hash de arquivo de destino disponível.
HashType Recomendadas String O tipo de hash armazenado no campo de alias HASH, os valores permitidos são MD5, SHA, SHA256, SHA512 e IMPHASH. Obrigatório se Hash for preenchido.
TargetFileSize Opcional long O tamanho do arquivo de destino em bytes.

Campos de arquivo de origem

Os campos a seguir representam informações sobre o arquivo de origem em uma operação de arquivo que tem uma origem e um destino, como cópia. Se a operação envolver um único arquivo, ela será representada pelos campos de arquivo de destino.

Campo Classe Tipo Descrição
SrcFileCreationTime Opcional Data/Hora A hora em que o arquivo de origem foi criado.
SrcFileDirectory Opcional Cadeia de caracteres A pasta ou o local do arquivo de origem. Esse campo deve ser semelhante ao campo SrcFilePath, sem o elemento final.

Observação: um analisador poderá fornecer esse valor se o valor disponível na origem do log não precisar ser extraído do caminho completo.
SrcFileExtension Opcional Cadeia de caracteres A extensão do arquivo de origem.

Observação: um analisador poderá fornecer esse valor se o valor disponível na origem do log não precisar ser extraído do caminho completo.
SrcFileMimeType Opcional Enumerated O tipo Mime ou Media do arquivo de origem. Os valores compatíveis são listados no repositório Tipos de Mídia IANA.
SrcFileName Recomendadas Cadeia de caracteres O nome do arquivo de origem, sem um caminho ou um local, mas com uma extensão, se relevante. Esse campo deve ser semelhante ao último elemento no campo SrcFilePath.
SrcFilePath Recomendadas String O caminho completo normalizado do arquivo de origem, incluindo a pasta ou o local, o nome do arquivo e a extensão.

Para saber mais, confira Estrutura do caminho.

Exemplo: /etc/init.d/networking
SrcFilePathType Recomendadas Enumerated O tipo de SrcFilePath. Para saber mais, confira Estrutura do caminho.
SrcFileMD5 Opcional MD5 O hash MD5 do arquivo de origem.

Exemplo: 75a599802f1fa166cdadb360960b1dd0
SrcFileSHA1 Opcional SHA1 O hash SHA-1 do arquivo de origem.

Exemplo:
d55c5a4df19b46db8c54
c801c4665d3338acdab0
SrcFileSHA256 Opcional SHA256 O hash SHA-256 do arquivo de origem.

Exemplo:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
SrcFileSHA512 Opcional SHA512 O hash SHA-512 do arquivo de origem.
SrcFileSize Opcional long O tamanho do arquivo em bytes.

Campos de ator

Campo Classe Tipo Descrição
ActorUserId Recomendadas String Uma representação exclusiva, alfanumérica e legível pelo computador de um Ator. Para o formato com suporte para tipos de ID diferentes, consulte a entidade do Usuário.

Exemplo: S-1-12
ActorScope Opcional String O escopo, como o locatário do Microsoft Entra, no qual são definidos ActorUserId e ActorUsername. Para obter mais informações e uma lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema.
ActorScopeId Opcional String A ID do escopo, como a ID de diretório do Microsoft Entra, na qual são definidos ActorUserId e ActorUsername. Para obter mais informações e uma lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema.
ActorUserIdType Condicional String O tipo da ID armazenada no campo ActorUserId. Para obter uma lista de valores permitidos e informações adicionais, consulte UserIdType no artigo Visão geral do esquema.
ActorUsername Obrigatório String O nome de usuário do ator, incluindo informações de domínio, quando disponíveis. Para o formato com suporte para tipos de ID diferentes, consulte a entidade do Usuário. Use o formulário simples somente quando as informações de domínio não estiverem disponíveis.

Armazene o tipo de nome de usuário no campo ActorUsernameType. Se outros formatos de nome de usuário estiverem disponíveis, armazene-os nos campos ActorUsername<UsernameType>.

Exemplo: AlbertE
Usuário Alias Alias para o campo ActorUsername.

Exemplo: CONTOSO\dadmin
ActorUsernameType Condicional Enumerated Especifica o tipo de nome de usuário armazenado no campo ActorUsername. Para obter uma lista de valores permitidos e informações adicionais, consulte UsernameType no artigo Visão geral do esquema.

Exemplo: Windows
ActorSessionId Opcional Cadeia de caracteres A ID exclusiva da sessão de logon de Actor.

Exemplo: 999

Observação: o tipo é definido como uma cadeia de caracteres para ser compatível com sistemas variados, mas no Windows esse valor deve ser numérico.

Se você estiver usando um computador Windows e tiver usado um tipo diferente, converta os valores. Por exemplo, se você tiver usado um valor hexadecimal, converta-o em um valor decimal.
ActorUserType Opcional UserType O tipo do Ator. Para obter uma lista de valores permitidos e informações adicionais, consulte UserType no artigo Visão geral do esquema.

Observação: O valor pode ser fornecido no registro de origem usando diferentes termos, que devem ser normalizados para esses valores. Armazene o valor original no campo ActorOriginalUserType.
ActorOriginalUserType Opcional String O tipo de usuário de destino original, se fornecido pelo dispositivo de relatório.

Campos de processo de atuação

Campo Classe Tipo Descrição
ActingProcessCommandLine Opcional Cadeia de caracteres A linha de comando usada para executar o processo de ação.

Exemplo: "choco.exe" -v
ActingProcessName Opcional string O nome do processo de ação. Esse nome é normalmente derivado do arquivo executável ou de imagem usado para definir o código inicial e os dados mapeados no espaço de endereço virtual do processo.

Exemplo: C:\Windows\explorer.exe
Processo Alias Alias de ActingProcessName
ActingProcessId Opcional String O PID (ID do processo) do processo de ação.

Exemplo: 48610176

Observação: o tipo é definido como uma cadeia de caracteres para ser compatível com sistemas variados, mas no Windows e no Linux esse valor deve ser numérico.

Se você estiver usando um computador Windows ou Linux e tiver usado um tipo diferente, converta os valores. Por exemplo, se você tiver usado um valor hexadecimal, converta-o em um valor decimal.
ActingProcessGuid Opcional string Um GUID (identificador exclusivo) gerado do processo de ação. Permite identificar o processo entre sistemas.

Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00

Os campos a seguir representam informações sobre o sistema que inicia a atividade de arquivo, normalmente quando transportado pela rede.

Campo Classe Tipo Descrição
SrcIpAddr Recomendadas Endereço IP Quando a operação é iniciada por um sistema remoto, o endereço IP desse sistema.

Exemplo: 185.175.35.214
IpAddr Alias Alias para SrcIpAddr
Src Alias Alias para SrcIpAddr
SrcPortNumber Opcional Inteiro Quando a operação é iniciada por um sistema remoto, o número da porta na qual a conexão foi iniciada.

Exemplo: 2335
SrcNome do host Recomendadas Nome do host O nome do host do dispositivo de origem, incluindo informações de domínio. Se nenhum nome de dispositivo estiver disponível, armazene o endereço IP relevante nesse campo.

Exemplo: DESKTOP-1282V4D
SrcDomain Recomendadas String O domínio do dispositivo de origem.

Exemplo: Contoso
SrcDomainType Condicional DomainType O tipo de SrcDomain. Para obter uma lista de valores permitidos e informações adicionais, consulte DomainType no artigo Visão Geral do Esquema.

Necessário se SrcDomain for usado.
SrcFQDN Opcional Cadeia de caracteres O nome do host do dispositivo de origem, incluindo informações de domínio quando disponível.

Observação: esse campo dá suporte ao formato FQDN tradicional e ao formato domínio\nome do host do Windows. O campo SrcDomainType reflete o formato usado.

Exemplo: Contoso\DESKTOP-1282V4D
SrcDescription Opcional String Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller.
SrcDvcId Opcional String A ID do dispositivo de origem. Se várias IDs estiverem disponíveis, use a mais importante e armazene as outras nos campos SrcDvc<DvcIdType>.

Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId Opcional String A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do SrcDvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS.
SrcDvcScope Opcional String O escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do SrcDvcScope para uma ID da assinatura no Azure e para uma ID da conta no AWS.
SrcDvcIdType Condicional DvcIdType Tipo de SrcDvcId. Para obter uma lista de valores permitidos e informações adicionais, consulte DvcIdType no artigo Visão geral do esquema.

Observação: esse campo será obrigatório se SrcDvcId for usado.
SrcDeviceType Opcional DeviceType O tipo do dispositivo de origem. Para obter uma lista de valores permitidos e informações adicionais, consulte DeviceType no artigo Visão geral do esquema.
SrcSubscriptionId Opcional String A ID da assinatura da plataforma de nuvem à qual o dispositivo de origem pertence. Mapa do SrcSubscriptionId para uma ID da assinatura no Azure e para uma ID da conta no AWS.
SrcGeoCountry Opcional País/região O país/região associado ao endereço IP de origem.

Exemplo: USA
SrcGeoRegion Opcional Região A região associada ao endereço IP de origem.

Exemplo: Vermont
SrcGeoCity Opcional City A cidade associada ao endereço IP de origem.

Exemplo: Burlington
SrcGeoLatitude Opcional Latitude A latitude da coordenada geográfica associada ao endereço IP de origem.

Exemplo: 44.475833
SrcGeoLongitude Opcional Longitude A longitude da coordenada geográfica associada ao endereço IP de origem.

Exemplo: 73.211944

Os campos a seguir representam informações sobre a sessão de rede quando a atividade do arquivo foi transportada pela rede.

Campo Classe Tipo Descrição
HttpUserAgent Opcional Cadeia de caracteres Quando a operação é iniciada por um sistema remoto usando HTTP ou HTTPS, o agente de usuário usado.

Por exemplo:
Mozilla/5.0 (Windows NT 10.0; Win64; x64)
AppleWebKit/537.36 (KHTML, like Gecko)
Chrome/42.0.2311.135
Safari/537.36 Edge/12.246
NetworkApplicationProtocol Opcional Cadeia de caracteres Quando a operação é iniciada por um sistema remoto, esse valor é o protocolo de camada de aplicativo usado no modelo OSI.

Embora esse campo não seja enumerado e qualquer valor seja aceito, os valores preferíveis incluem: HTTP, HTTPS, SMB, FTP e SSH

Exemplo: SMB

Campos do aplicativo de destino

Os campos a seguir representam informações sobre o aplicativo de destino que executa a atividade de arquivo em nome do usuário. Um aplicativo de destino geralmente está relacionado à atividade de arquivo na rede, por exemplo, usando aplicativos Saas (Software como serviço).

Campo Classe Tipo Descrição
TargetAppName Opcional Cadeia de caracteres O nome do aplicativo de destino.

Exemplo: Facebook
Application Alias Alias para TargetAppName.
TargetAppId Opcional Cadeia de caracteres A ID do aplicativo de destino, conforme relatado pelo dispositivo de relatório.
TargetAppType Opcional AppType O tipo do aplicativo de destino. Para obter uma lista de valores permitidos e informações adicionais, consulte AppType no artigo Visão geral do esquema.

Esse campo será obrigatório se TargetAppName ou TargetAppId forem usados.
TargetUrl Opcional Cadeia de caracteres Quando a operação é iniciada usando HTTP ou HTTPS, a URL usada.

Exemplo: https://onedrive.live.com/?authkey=...
URL Alias Alias para TargetUrl

Campos de inspeção

Os campos a seguir são usados para representar essa inspeção executada por um sistema de segurança como um sistema antivírus. O thread identificado geralmente está associado ao arquivo no qual a atividade foi executada em vez da atividade em si.

Campo Classe Tipo Descrição
RuleName Opcional String O nome ou a ID da regra associada aos resultados da inspeção.
RuleNumber Opcional Inteiro O número da regra associada aos resultados da inspeção.
Regra Condicional String O valor de kRuleName ou o valor de RuleNumber. Se o valor de RuleNumber for usado, o tipo deverá ser convertido em cadeia de caracteres.
ThreatId Opcional String A ID da ameaça ou do malware identificado na atividade de arquivo.
ThreatName Opcional String O nome da ameaça ou do malware identificado na atividade de arquivo.

Exemplo: EICAR Test File
ThreatCategory Opcional String A categoria da ameaça ou do malware identificado na atividade de arquivo.

Exemplo: Trojan
ThreatRiskLevel Opcional Inteiro O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100.

Observação: o valor pode ser fornecido no registro de origem usando uma escala diferente, que deve ser normalizado para essa escala. O valor original deve ser armazenado em ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel Opcional Cadeia de caracteres O nível de risco, conforme relatado pelo dispositivo de relatório.
ThreatFilePath Opcional String Um caminho de arquivo para o qual uma ameaça foi identificada. O campo ThreatField contém o nome do campo que ThreatFilePath representa.
ThreatField Opcional Enumerated O campo para o qual uma ameaça foi identificada. O valor é SrcFilePath ou DstFilePath.
ThreatConfidence Opcional Inteiro O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100.
ThreatOriginalConfidence Opcional String O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório.
ThreatIsActive Opcional Boolean True, se a ameaça identificada é considerada uma ameaça ativa.
ThreatFirstReportedTime Opcional DATETIME A primeira vez em que o endereço IP ou domínio foi identificado como uma ameaça.
ThreatLastReportedTime Opcional DATETIME A última vez em que o endereço IP ou domínio foi identificado como uma ameaça.

Estrutura do caminho

O caminho deve ser normalizado para corresponder a um dos formatos a seguir. O formato em que o valor é normalizado será refletido no respectivo campo FilePathType.

Type Exemplo Observações
Windows Local C:\Windows\System32\notepad.exe Como nomes de caminho do Windows não diferenciam maiúsculas de minúsculas, esse tipo implica que o valor não diferencia maiúsculas de minúsculas.
Compartilhamento do Windows \\Documents\My Shapes\Favorites.vssx Como nomes de caminho do Windows não diferenciam maiúsculas de minúsculas, esse tipo implica que o valor não diferencia maiúsculas de minúsculas.
Unix /etc/init.d/networking Como os nomes de caminho Unix diferenciam maiúsculas e minúsculas, esse tipo implica que o valor diferencia maiúsculas e minúsculas.

– Use esse tipo para AWS S3. Concatene os nomes de bucket e chave para criar o caminho.

– Use esse tipo para chaves de objeto do Armazenamento de Blobs do Azure.
URL https://1drv.ms/p/s!Av04S_*********we Use quando o caminho do arquivo estiver disponível como uma URL. As URLs não estão limitadas a http ou https, e qualquer valor válido, incluindo um valor de FTP, é válido.

Atualizações de esquema

Essas são as alterações na versão 0.1.1 do esquema:

  • Adicionou o campo EventSchema.

Há mudanças na versão 0.2 do esquema:

  • Adicionados os campos de inspeção.
  • Adicionados os campos ActorScope, TargetUserScope, HashType, TargetAppName, TargetAppId, TargetAppType, SrcGeoCountry, SrcGeoRegion, SrcGeoLongitude, SrcGeoLatitude, ActorSessionId, DvcScopeId e DvcScope..
  • Adicionados os aliases Url, IpAddr, 'FileName' e Src.

Há mudanças na versão 0.2.1 do esquema:

  • Adicionado Application como alias para TargetAppName.
  • Adicionou o campo ActorScopeId
  • Adicionados campos relacionados ao dispositivo de origem.

Próximas etapas

Para obter mais informações, consulte: