A referência do esquema de normalização de eventos de arquivo ASIM (Advanced Security Information Model) (visualização pública)
O esquema de normalização de eventos de arquivo é usado para descrever a atividade do arquivo, como criar, modificar ou excluir arquivos ou documentos. Esses eventos são relatados por sistemas operacionais, sistemas de armazenamento de arquivos, como Arquivos do Azure, e sistemas de gerenciamento de documentos, como o Microsoft SharePoint.
Para obter mais informações sobre normalização no Microsoft Sentinel, consulte Normalização e o modelo avançado de informações de segurança (ASIM).
Importante
O esquema de normalização de eventos de arquivo está atualmente em visualização. Esse recurso é fornecido sem um contrato de nível de serviço e não é recomendado para cargas de trabalho de produção.
Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Analisadores
Implantando e usando analisadores de atividade de arquivo
Implante os analisadores de atividade de arquivo ASIM a partir do repositório GitHub do Microsoft Sentinel. Para consultar todas as fontes de atividade de arquivo, use o analisador imFileEvent unificador como o nome da tabela em sua consulta.
Para obter mais informações sobre como usar analisadores ASIM, consulte a visão geral dos analisadores ASIM. Para obter a lista dos analisadores de atividade de arquivo fornecidos pelo Microsoft Sentinel prontos para uso, consulte a lista de analisadores ASIM
Adicione seus próprios analisadores normalizados
Ao implementar analisadores personalizados para o modelo de informações de evento de arquivo, nomeie suas funções KQL usando a seguinte sintaxe: imFileEvent<vendor><Product.
Consulte o artigo Gerenciando analisadores ASIM para saber como adicionar seus analisadores personalizados à atividade de arquivo que unifica o analisador.
Conteúdo normalizado
Para obter uma lista completa das regras de análise que usam eventos normalizados de Atividade de Arquivo, consulte Conteúdo de segurança de Atividade de Arquivo.
Descrição geral do esquema
O modelo de informações de evento de arquivo é alinhado ao esquema de entidade do Processo OSSEM.
O esquema File Event faz referência às seguintes entidades, que são centrais para as atividades de arquivo:
- Ator. O usuário que iniciou a atividade do arquivo
- ActingProcess. O processo usado pelo Ator para iniciar a atividade do arquivo
- TargetFile. O arquivo no qual a operação foi executada
- Arquivo de origem (SrcFile). Armazena informações de arquivo antes da operação.
A relação entre essas entidades é melhor demonstrada da seguinte forma: Um ator executa uma operação de arquivo usando um processo de atuação, que modifica o arquivo de origem para o arquivo de destino.
Por exemplo: JohnDoe (Ator) usa Windows File Explorer (Processo de atuação) para renomear new.doc (Arquivo de origem) para old.doc (Arquivo de destino).
Detalhes do esquema
Campos comuns
Importante
Os campos comuns a todos os esquemas são descritos em detalhes no artigo Campos comuns do ASIM.
Campos com diretrizes específicas para o esquema de Evento de Arquivo
A lista a seguir menciona campos que têm diretrizes específicas para eventos de atividade de arquivo:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Tipo de Evento | Obrigatório | Enumerated | Descreve a operação relatada pelo registro. Os valores suportados incluem: - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| SubTipo de Evento | Opcional | Enumerated | Descreve detalhes sobre a operação relatada em EventType. Os valores suportados por tipo de evento incluem: - FileCreated - Upload, Checkin- FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed - Download, Preview, Checkout, Extended- FileDeleted - Recycled, Versions, Site |
| EventSchema | Obrigatório | String | O nome do esquema documentado aqui é FileEvent. |
| EventSchemaVersion | Obrigatório | String | A versão do esquema. A versão do esquema documentada aqui é 0.2.1 |
| Campos Dvc | - | - | Para eventos de atividade de arquivo, os campos de dispositivo referem-se ao sistema no qual a atividade de arquivo ocorreu. |
Importante
O EventSchema campo é atualmente opcional, mas passará a ser obrigatório em 1º de setembro de 2022.
Todos os campos comuns
Os campos que aparecem na tabela são comuns a todos os esquemas ASIM. Qualquer uma das diretrizes específicas do esquema neste documento substitui as diretrizes gerais para o campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais informações sobre cada campo, consulte o artigo Campos comuns do ASIM.
| Classe | Campos |
|---|---|
| Obrigatório | - EventCount - EventStartTime - EventEndTime - Tipo de Evento - EventResult - EventoProduto - EventVendor - EventSchema - EventSchemaVersion - DVC |
| Recomendado | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcNome do host - DvcDomínio - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional | - EventMessage - SubTipo de Evento - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Proprietário do Evento - DvcZona - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campos Adicionais - DvcDescrição - DvcScopeId - DvcScope |
Campos de arquivo de destino
Os campos a seguir representam informações sobre o arquivo de destino em uma operação de arquivo. Se a operação envolver um único arquivo, FileCreate por exemplo, ela será representada pelos campos de arquivo de destino.
| Campo | Classe | Tipo | Description |
|---|---|---|---|
| TargetFileCreationTime | Opcional | Data/Hora | A hora em que o arquivo de destino foi criado. |
| Diretório TargetFileDirectory | Opcional | String | A pasta ou local do arquivo de destino. Este campo deve ser semelhante ao campo TargetFilePath , sem o elemento final. Nota: Um analisador pode fornecer esse valor se o valor estiver disponível na fonte de log e não precisar ser extraído do caminho completo. |
| TargetFileExtension | Opcional | String | A extensão do arquivo de destino. Nota: Um analisador pode fornecer esse valor se o valor estiver disponível na fonte de log e não precisar ser extraído do caminho completo. |
| TargetFileMimeType | Opcional | Enumerated | O tipo Mime, ou Media, do arquivo de destino. Os valores permitidos estão listados no repositório IANA Media Types . |
| TargetFileName | Recomendado | String | O nome do arquivo de destino, sem um caminho ou um local, mas com uma extensão, se relevante. Este campo deve ser semelhante ao elemento final no campo TargetFilePath . |
| Nome do arquivo | Alias | Alias para o campo TargetFileName . | |
| TargetFilePath | Obrigatório | String | O caminho completo e normalizado do arquivo de destino, incluindo a pasta ou o local, o nome do arquivo e a extensão. Para obter mais informações, consulte Estrutura do caminho. Nota: Se o registro não incluir informações de pasta ou local, armazene o nome do arquivo somente aqui. Exemplo: C:\Windows\System32\notepad.exe |
| TargetFilePathType | Obrigatório | Enumerated | O tipo de TargetFilePath. Para obter mais informações, consulte Estrutura do caminho. |
| FilePath | Alias | Alias para o campo TargetFilePath . | |
| TargetFileMD5 | Opcional | MD5 | O hash MD5 do arquivo de destino. Exemplo: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | Opcional | SHA1 | O hash SHA-1 do arquivo de destino. Exemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | Opcional | SHA256 | O hash SHA-256 do arquivo de destino. Exemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | Opcional | SHA512 | O hash SHA-512 do arquivo de origem. |
| Hash | Alias | Alias para o melhor hash de arquivo de destino disponível. | |
| HashType | Recomendado | String | O tipo de hash armazenado no campo alias HASH, os valores permitidos são MD5, SHA, SHA256SHA512 e IMPHASH. Obrigatório se Hash estiver preenchido. |
| TargetFileSize | Opcional | Longo | O tamanho do arquivo de destino em bytes. |
Campos do ficheiro de origem
Os campos a seguir representam informações sobre o arquivo de origem em uma operação de arquivo que tem uma origem e um destino, como cópia. Se a operação envolver um único arquivo, ela será representada pelos campos de arquivo de destino.
| Campo | Classe | Tipo | Description |
|---|---|---|---|
| SrcFileCreationTime | Opcional | Data/Hora | A hora em que o arquivo de origem foi criado. |
| SrcFileDirectory | Opcional | String | A pasta ou local do arquivo de origem. Este campo deve ser semelhante ao campo SrcFilePath , sem o elemento final. Nota: Um analisador pode fornecer esse valor se o valor estiver disponível na fonte de log e não precisar ser extraído do caminho completo. |
| SrcFileExtension | Opcional | String | A extensão do arquivo de origem. Nota: Um analisador pode fornecer esse valor o valor está disponível na fonte de log e não precisa ser extraído do caminho completo. |
| SrcFileMimeType | Opcional | Enumerated | O tipo Mime ou Media do arquivo de origem. Os valores suportados estão listados no repositório IANA Media Types . |
| SrcFileName | Recomendado | String | O nome do arquivo de origem, sem um caminho ou um local, mas com uma extensão, se relevante. Este campo deve ser semelhante ao último elemento no campo SrcFilePath . |
| SrcFilePath | Recomendado | String | O caminho completo e normalizado do arquivo de origem, incluindo a pasta ou local, o nome do arquivo e a extensão. Para obter mais informações, consulte Estrutura do caminho. Exemplo: /etc/init.d/networking |
| SrcFilePathType | Recomendado | Enumerated | O tipo de SrcFilePath. Para obter mais informações, consulte Estrutura do caminho. |
| SrcFileMD5 | Opcional | MD5 | O hash MD5 do arquivo de origem. Exemplo: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | Opcional | SHA1 | O hash SHA-1 do arquivo de origem. Exemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | Opcional | SHA256 | O hash SHA-256 do arquivo de origem. Exemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | Opcional | SHA512 | O hash SHA-512 do arquivo de origem. |
| SrcFileSize | Opcional | Longo | O tamanho do arquivo de origem em bytes. |
Campos de atores
| Campo | Classe | Tipo | Description |
|---|---|---|---|
| ActorUserId | Recomendado | String | Uma representação única, alfanumérica e legível por máquina do Ator. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade User. Exemplo: S-1-12 |
| ActorScope | Opcional | String | O escopo, como o locatário do Microsoft Entra, no qual ActorUserId e ActorUsername são definidos. ou mais informações e lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema. |
| ActorScopeId | Opcional | String | A ID do escopo, como a ID do Diretório do Microsoft Entra, na qual ActorUserId e ActorUsername são definidos. ou mais informações e lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema. |
| ActorUserIdType | Condicional | String | O tipo de ID armazenado no campo ActorUserId . Para obter uma lista de valores permitidos e mais informações, consulte UserIdType no artigo Visão geral do esquema. |
| ActorUsername | Obrigatório | String | O nome de usuário do ator, incluindo informações de domínio, quando disponíveis. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade User. Use o formulário simples somente se as informações do domínio não estiverem disponíveis. Armazene o tipo de nome de usuário no campo ActorUsernameType . Se outros formatos de nome de usuário estiverem disponíveis, armazene-os nos campos ActorUsername<UsernameType>.Exemplo: AlbertE |
| Utilizador | Alias | Alias para o campo ActorUsername . Exemplo: CONTOSO\dadmin |
|
| ActorUsernameType | Condicional | Enumerated | Especifica o tipo do nome de usuário armazenado no campo ActorUsername . Para obter uma lista de valores permitidos e mais informações, consulte UsernameType no artigo Visão geral do esquema. Exemplo: Windows |
| ActorSessionId | Opcional | String | O ID exclusivo da sessão de login do Ator. Exemplo: 999Nota: O tipo é definido como string para suportar sistemas variados, mas no Windows esse valor deve ser numérico. Se você estiver usando uma máquina Windows e usou um tipo diferente, certifique-se de converter os valores. Por exemplo, se você usou um valor hexadecimal, converta-o em um valor decimal. |
| ActorUserType | Opcional | UserType | O tipo de ator. Para obter uma lista de valores permitidos e mais informações, consulte UserType no artigo Visão geral do esquema. Nota: O valor pode ser fornecido no registro de origem usando termos diferentes, que devem ser normalizados para esses valores. Armazene o valor original no campo ActorOriginalUserType . |
| ActorOriginalUserType | Opcional | String | O tipo de usuário de destino original, se fornecido pelo dispositivo de relatório. |
Campos do processo de atuação
| Campo | Classe | Tipo | Description |
|---|---|---|---|
| ActingProcessCommandLine | Opcional | String | A linha de comando usada para executar o processo de atuação. Exemplo: "choco.exe" -v |
| ActingProcessName | Opcional | string | O nome do processo de atuação. Esse nome geralmente é derivado da imagem ou do arquivo executável usado para definir o código inicial e os dados mapeados no espaço de endereço virtual do processo. Exemplo: C:\Windows\explorer.exe |
| Processo | Alias | Alias para ActingProcessName | |
| ActingProcessId | Opcional | String | A ID do processo (PID) do processo de atuação. Exemplo: 48610176 Nota: O tipo é definido como string para suportar sistemas variados, mas no Windows e Linux esse valor deve ser numérico. Se você estiver usando uma máquina Windows ou Linux e usou um tipo diferente, certifique-se de converter os valores. Por exemplo, se você usou um valor hexadecimal, converta-o em um valor decimal. |
| AtuaçãoProcessoGuid | Opcional | string | Um identificador exclusivo (GUID) gerado do processo de atuação. Permite identificar o processo em todos os sistemas. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Campos relacionados ao sistema de origem
Os campos a seguir representam informações sobre o sistema que inicia a atividade do arquivo, normalmente quando transportado pela rede.
| Campo | Classe | Tipo | Description |
|---|---|---|---|
| SrcIpAddr | Recomendado | Endereço IP | Quando a operação é iniciada por um sistema remoto, o endereço IP deste sistema. Exemplo: 185.175.35.214 |
| IpAddr | Alias | Alias para SrcIpAddr | |
| Src | Alias | Alias para SrcIpAddr | |
| SrcPortNumber | Opcional | Número inteiro | Quando a operação é iniciada por um sistema remoto, o número da porta a partir da qual a conexão foi iniciada. Exemplo: 2335 |
| SrcHostname | Recomendado | Hostname (Nome do anfitrião) | O nome de host do dispositivo de origem, excluindo informações de domínio. Se nenhum nome de dispositivo estiver disponível, armazene o endereço IP relevante neste campo. Exemplo: DESKTOP-1282V4D |
| Domínio Src | Recomendado | String | O domínio do dispositivo de origem. Exemplo: Contoso |
| SrcDomainType | Condicional | Tipo de domínio | O tipo de SrcDomain. Para obter uma lista de valores permitidos e mais informações, consulte DomainType no artigo Visão geral do esquema. Necessário se SrcDomain for usado. |
| SrcFQDN | Opcional | String | O nome de host do dispositivo de origem, incluindo informações de domínio, quando disponíveis. Nota: Este campo suporta o formato FQDN tradicional e o formato domínio\nome de anfitrião do Windows. O campo SrcDomainType reflete o formato usado. Exemplo: Contoso\DESKTOP-1282V4D |
| SrcDescrição | Opcional | String | Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller. |
| SrcDvcId | Opcional | String | A ID do dispositivo de origem. Se vários IDs estiverem disponíveis, use o mais importante e armazene os outros nos campos SrcDvc<DvcIdType>.Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcional | String | O ID de escopo da plataforma de nuvem ao qual o dispositivo pertence. O SrcDvcScopeId é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
| SrcDvcScope | Opcional | String | O escopo da plataforma de nuvem ao qual o dispositivo pertence. O SrcDvcScope é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
| SrcDvcIdType | Condicional | DvcIdType | O tipo de SrcDvcId. Para obter uma lista de valores permitidos e mais informações, consulte DvcIdType no artigo Visão geral do esquema. Nota: Este campo é obrigatório se SrcDvcId for usado. |
| SrcDeviceType | Opcional | Tipo de dispositivo | O tipo do dispositivo de origem. Para obter uma lista de valores permitidos e mais informações, consulte DeviceType no artigo Visão geral do esquema. |
| SrcSubscriptionId | Opcional | String | O ID de assinatura da plataforma de nuvem ao qual o dispositivo de origem pertence. O SrcSubscriptionId é mapeado para um ID de assinatura no Azure e para um ID de conta na AWS. |
| SrcGeoCountry | Opcional | País | O país/região associado ao endereço IP de origem. Exemplo: USA |
| SrcGeoRegion | Opcional | País/Região | A região associada ao endereço IP de origem. Exemplo: Vermont |
| SrcGeoCity | Opcional | City | A cidade associada ao endereço IP de origem. Exemplo: Burlington |
| SrcGeoLatitude | Opcional | Latitude | A latitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 44.475833 |
| SrcGeoLongitude | Opcional | Longitude | A longitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 73.211944 |
Domínios relacionados com a rede
Os campos a seguir representam informações sobre a sessão de rede quando a atividade do arquivo foi realizada pela rede.
| Campo | Classe | Tipo | Description |
|---|---|---|---|
| HttpUserAgent | Opcional | String | Quando a operação é iniciada por um sistema remoto usando HTTP ou HTTPS, o agente do usuário usado. Por exemplo: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | Opcional | String | Quando a operação é iniciada por um sistema remoto, esse valor é o protocolo da camada de aplicativo usado no modelo OSI. Embora este campo não esteja enumerado e qualquer valor seja aceite, os valores preferíveis incluem: HTTP, HTTPS, SMB,FTP, e SSHExemplo: SMB |
Campos do aplicativo de destino
Os campos a seguir representam informações sobre o aplicativo de destino que executa a atividade de arquivo em nome do usuário. Um aplicativo de destino geralmente está relacionado à atividade de arquivos pela rede, por exemplo, usando aplicativos Saas (Software as a Service).
| Campo | Classe | Tipo | Description |
|---|---|---|---|
| TargetAppName | Opcional | String | O nome do aplicativo de destino. Exemplo: Facebook |
| Aplicação | Alias | Alias para TargetAppName. | |
| TargetAppId | Opcional | String | A ID do aplicativo de destino, conforme relatado pelo dispositivo de relatório. |
| TargetAppType | Opcional | Tipo de aplicativo | O tipo do aplicativo de destino. Para obter uma lista de valores permitidos e mais informações, consulte AppType no artigo Visão geral do esquema. Este campo é obrigatório se TargetAppName ou TargetAppId forem usados. |
| TargetUrl | Opcional | String | Quando a operação é iniciada usando HTTP ou HTTPS, a URL usada. Exemplo: https://onedrive.live.com/?authkey=... |
| Url | Alias | Alias para TargetUrl |
Campos de inspeção
Os campos a seguir são usados para representar a inspeção realizada por um sistema de segurança, como um sistema antivírus. O thread identificado geralmente está associado ao arquivo no qual a atividade foi executada, em vez da atividade em si.
| Campo | Classe | Tipo | Description |
|---|---|---|---|
| RuleName | Opcional | String | O nome ou ID da regra associado aos resultados da inspeção. |
| Número da regra | Opcional | Número inteiro | O número da regra associada aos resultados da inspeção. |
| Regra | Condicional | String | O valor de kRuleName ou o valor de RuleNumber. Se o valor de RuleNumber for usado, o tipo deve ser convertido em string. |
| ThreatId | Opcional | String | O ID da ameaça ou malware identificado na atividade do arquivo. |
| Nome da Ameaça | Opcional | String | O nome da ameaça ou malware identificado na atividade do arquivo. Exemplo: EICAR Test File |
| ThreatCategory | Opcional | String | A categoria da ameaça ou malware identificado na atividade do arquivo. Exemplo: Trojan |
| ThreatRiskLevel | Opcional | Número inteiro | O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. Nota: O valor pode ser fornecido no registro de origem usando uma escala diferente, que deve ser normalizada para essa escala. O valor original deve ser armazenado em ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcional | String | O nível de risco comunicado pelo dispositivo de notificação. |
| ThreatFilePath | Opcional | String | Um caminho de arquivo para o qual uma ameaça foi identificada. O campo ThreatField contém o nome do campo que ThreatFilePath representa. |
| Campo de Ameaças | Opcional | Enumerated | O campo para o qual foi identificada uma ameaça. O valor é ou SrcFilePath DstFilePath. |
| ThreatConfidence | Opcional | Número inteiro | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatOriginalConfidence | Opcional | String | O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
| ThreatIsActive | Opcional | Boolean | True se a ameaça identificada for considerada uma ameaça ativa. |
| ThreatFirstReportedTime | Opcional | datetime | A primeira vez que o endereço IP ou domínio foram identificados como uma ameaça. |
| ThreatLastReportedTime | Opcional | datetime | A última vez que o endereço IP ou domínio foi identificado como uma ameaça. |
Estrutura do caminho
O caminho deve ser normalizado para corresponder a um dos seguintes formatos. O formato para o qual o valor é normalizado será refletido no respetivo campo FilePathType .
| Tipo | Exemplo | Notas |
|---|---|---|
| Windows Local | C:\Windows\System32\notepad.exe |
Como os nomes de caminho do Windows não diferenciam maiúsculas de minúsculas, esse tipo implica que o valor não diferencia maiúsculas de minúsculas. |
| Compartilhamento do Windows | \\Documents\My Shapes\Favorites.vssx |
Como os nomes de caminho do Windows não diferenciam maiúsculas de minúsculas, esse tipo implica que o valor não diferencia maiúsculas de minúsculas. |
| Unix | /etc/init.d/networking |
Como os nomes de caminhos Unix diferenciam maiúsculas de minúsculas, esse tipo implica que o valor diferencia maiúsculas de minúsculas. - Use esse tipo para o AWS S3. Concatene o bucket e os nomes das chaves para criar o caminho. - Use esse tipo para chaves de objeto de armazenamento de Blob do Azure. |
| URL | https://1drv.ms/p/s!Av04S_*********we |
Use quando o caminho do arquivo estiver disponível como uma URL. Os URLs não estão limitados a http ou https, e qualquer valor, incluindo um valor de FTP, é válido. |
Atualizações de esquema
Estas são as alterações na versão 0.1.1 do esquema:
- Adicionado o campo
EventSchema.
Existem as alterações na versão 0.2 do esquema:
- Campos de inspeção adicionados.
- Adicionados os campos
ActorScope,TargetUserScope,HashType,TargetAppName,TargetAppId,TargetAppType,SrcGeoCountry,SrcGeoRegion,SrcGeoLongitude, ,SrcGeoLatitude, ,DvcScopeIdActorSessionIdeDvcScope.. - Adicionados os aliases
Url,IpAddr, 'FileName' eSrc.
Existem as alterações na versão 0.2.1 do esquema:
- Adicionado
Applicationcomo um alias aoTargetAppName. - Adicionado o campo
ActorScopeId - Adicionado campos relacionados ao dispositivo de origem.
Próximos passos
Para obter mais informações, consulte:
- Assista ao Webinar da ASIM ou revise os slides
- Visão geral do ASIM (Advanced Security Information Model, modelo avançado de informações de segurança)
- Esquemas ASIM (Advanced Security Information Model)
- Analisadores ASIM (Advanced Security Information Model)
- Conteúdo do modelo avançado de informações de segurança (ASIM)