Справочник по схеме нормализации событий файлов в расширенной информационной модели безопасности (ASIM) (общедоступная предварительная версия)
Схема нормализации событий файлов используется для описания действий с файлами, таких как создание, изменение или удаление файлов и документов. Такие данные о событиях поступают из операционной системы, из систем хранения файлов (например, службы Файлы Azure), а также из систем управления документами, например Microsoft SharePoint.
Дополнительные сведения о нормализации в Microsoft Sentinel см. в статье Нормализация и расширенная информационная модель безопасности (ASIM).
Внимание
В настоящее время схема нормализации событий файлов предоставляется в предварительной версии. Эта функция предоставляется без соглашения об уровне обслуживания, и ее не рекомендуется использовать в среде для производственных рабочих нагрузок.
Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Средства синтаксического анализа
Развертывание и использование средств синтаксического анализа действий файлов
Разверните средства синтаксического анализа файлов ASIM из репозитория GitHub Microsoft Sentinel. Чтобы выполнить запрос ко всем источникам действия файлов, используйте унифицированный синтаксический imFileEvent анализатор в качестве имени таблицы в запросе.
Дополнительные сведения об использовании средств синтаксического анализа ASIM см. в обзоре средств синтаксического анализа ASIM. Список стандартных средств синтаксического анализа действий файлов Microsoft Sentinel см. в списке средств синтаксического анализа ASIM.
Добавление собственных нормализованных средств синтаксического анализа
При реализации пользовательских средств синтаксического анализа для информационной модели событий файлов называйте свои функции KQL согласно следующему синтаксису: imFileEvent<vendor><Product.
См. статью "Управление средствами синтаксического анализа ASIM", чтобы узнать, как добавить пользовательские средства синтаксического анализа в действие файла, объединяющее средство синтаксического анализа.
Нормализованное содержимое
Полный список правил аналитики, использующих нормализованные события активности файлов, см. в разделе "Содержимое безопасности файлов".
Общее представление схемы
Информационная модель событий файлов соответствует схеме сущностей процесса OSSEM.
Схема событий файлов ссылается на следующие сущности, которые являются ключевыми с точки зрения действий с файлами:
- Actor. Субъект — пользователь, который инициировал действие с файлом.
- ActingProcess. Процесс, используемый субъектом для инициирования действия с файлом.
- TargetFile. Файл, с которым выполняется операция.
- Исходный файл (SrcFile). Хранит сведения о файле перед операцией.
Эти сущности имеют следующие отношения и зависимости: Actor выполняет операцию с файлом с использованием процесса Acting Process, который меняет исходный файл и превращает его в целевой.
Пример: JohnDoe (Actor) использует Windows File Explorer (Acting process) для переименования new.doc (Source File) в old.doc (Target File).
Сведения о схеме
Общие поля
Внимание
Поля, общие для всех схем, подробно описаны в статье Общие поля ASIM.
Поля с определенными рекомендациями по схеме событий файлов
В следующем списке упоминаются поля, имеющие определенные рекомендации по обработке событий действий с файлами:
| Поле | Class | Тип | Description |
|---|---|---|---|
| EventType | Обязательно | Enumerated | Описывает операцию, о которой сообщает эта запись. Поддерживаются следующие значения: - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| EventSubType | Необязательно | Enumerated | Описывает сведения об операции, сообщаемой в EventType. Поддерживаемые значения для каждого типа события включают: - FileCreated - Upload, Checkin- FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed - Download, , PreviewCheckoutExtended- FileDeleted - Recycled, , VersionsSite |
| EventSchema | Обязательно | Строка | В настоящем документе представлена версия с именем FileEvent. |
| EventSchemaVersion | Обязательно | Строка | Номер версии схемы. Здесь приведена версия схемы 0.2.1 |
| Поля Dvc | - | - | Для событий действий с файлом поля устройств ссылаются на систему, в которой произошло действие с файлом. |
Внимание
Поле EventSchema в настоящее время необязательно, но станет обязательным с 1 сентября 2022 г.
Все общие поля
Поля, отображаемые в таблице, являются общими для всех схем ASIM. Любые рекомендации по схеме, описанные в этом документе, переопределяют общие рекомендации для поля. Например, поле может быть необязательным в целом, но обязательным для конкретной схемы. Дополнительные сведения о каждом поле см . в статье об общих полях ASIM.
| Class | Поля |
|---|---|
| Обязательно | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Рекомендуемая конфигурация | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Необязательно | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Целевые поля файлов
Следующие поля представляют сведения о целевом файле в операции с файлом. Если операция включает один файл, FileCreate например, он представлен целевыми полями файлов.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| TargetFileCreationTime | Необязательно | Дата и время | Время, когда был создан целевой файл. |
| TargetFileDirectory | Необязательно | Строка | Папка или расположение целевого файла. Это значение должно быть идентично значению TargetFilePath без завершающего элемента. Примечание. Средство синтаксического анализа может предоставить это значение, если оно доступно в источнике журнала и его не нужно извлекать из полного пути. |
| TargetFileExtension | Необязательно | Строка | Расширение целевого файла. Примечание. Средство синтаксического анализа может предоставить это значение, если оно доступно в источнике журнала и его не нужно извлекать из полного пути. |
| TargetFileMimeType | Необязательно | Enumerated | MIME или мультимедийный тип целевого файла. Допустимые значения указаны в репозитории IANA Media Types. |
| TargetFileName | Рекомендуемая конфигурация | Строка | Имя целевого файла без пути или папки, но с расширением, если оно необходимо. Это значение должно быть идентично последнему элементу в поле TargetFilePath. |
| FileName | Псевдоним | Псевдоним в поле TargetFileName . | |
| TargetFilePath | Обязательно | Строка | Полный нормализованный путь к целевому файлу, включая папку или расположение, имя файла и расширение. Дополнительные сведения см. в разделе Структура пути. Примечание. Если запись не содержит сведений о папке или расположении, сохраните здесь только имя файла. Пример: C:\Windows\System32\notepad.exe |
| TargetFilePathType | Обязательно | Enumerated | Тип TargetFilePath. Дополнительные сведения см. в разделе Структура пути. |
| FilePath | Псевдоним | Псевдоним для поля TargetFilePath. | |
| TargetFileMD5 | Необязательно | MD5 | Хэш MD5 целевого файла. Пример: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | Необязательно | SHA1 | Хэш SHA-1 целевого файла. Пример: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | Необязательно | SHA256 | Хэш SHA-256 целевого файла. Пример: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | Необязательно | SHA512 | Хэш SHA-512 исходного файла. |
| Hash | Псевдоним | Псевдоним для лучшего доступного хэша целевого файла. | |
| HashType | Рекомендуемая конфигурация | Строка | Тип хэша, хранящегося в поле псевдонима HASH. Допустимые значения: MD5, SHA, SHA256, SHA512 и IMPHASH. Обязательно, если Hash заполнено. |
| TargetFileSize | Необязательно | Long | Размер целевого файла в байтах. |
Поля исходного файла
Следующие поля представляют сведения о исходном файле в операции с файлом, которая содержит источник и место назначения, например копию. Если операция включает один файл, он представлен полями целевого файла.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| SrcFileCreationTime | Необязательно | Дата и время | Время, когда был создан исходный файл. |
| SrcFileDirectory | Необязательно | Строка | Папка или расположение исходного файла. Это значение должно быть идентично значению SrcFilePath без завершающего элемента. Примечание. Средство синтаксического анализа может предоставить это значение, если оно доступно в источнике журнала и его не нужно извлекать из полного пути. |
| SrcFileExtension | Необязательно | Строка | Расширение исходного файла. Примечание. Средство синтаксического анализа может предоставить это значение, если оно доступно в источнике журнала и его не нужно извлекать из полного пути. |
| SrcFileMimeType | Необязательно | Enumerated | MIME или мультимедийный тип исходного файла. Поддерживаемые значения указаны в репозитории IANA Media Types. |
| SrcFileName | Рекомендуемая конфигурация | Строка | Имя исходного файла без пути или папки, но с расширением, если оно необходимо. Это поле должно быть идентично последнему элементу в поле SrcFilePath. |
| SrcFilePath | Рекомендуемая конфигурация | Строка | Полный нормализованный путь к исходному файлу, включая папку или расположение, имя файла и расширение. Дополнительные сведения см. в разделе Структура пути. Пример: /etc/init.d/networking |
| SrcFilePathType | Рекомендуемая конфигурация | Enumerated | Тип SrcFilePath. Дополнительные сведения см. в разделе Структура пути. |
| SrcFileMD5 | Необязательно | MD5 | Хэш MD5 исходного файла. Пример: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | Необязательно | SHA1 | Хэш SHA-1 исходного файла. Пример: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | Необязательно | SHA256 | Хэш SHA-256 исходного файла. Пример: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | Необязательно | SHA512 | Хэш SHA-512 исходного файла. |
| SrcFileSize | Необязательно | Long | Размер исходного файла в байтах. |
Поля Actor
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| ActorUserId | Рекомендуемая конфигурация | Строка | Считываемое компьютером буквенно-цифровое значение, уникальным образом представляющее Actor. Поддерживаемые форматы для различных типов идентификаторов см. в разделе Сущность пользователя. Пример: S-1-12 |
| ActorScope | Необязательно | Строка | Область, например клиент Microsoft Entra, в которой определены ActorUserId и ActorUsername . или дополнительные сведения и список разрешенных значений см. в разделе UserScope в статье "Обзор схемы". |
| ActorScopeId | Необязательно | Строка | Идентификатор области, например идентификатор каталога Microsoft Entra, в котором определены ActorUserId и ActorUsername . или дополнительные сведения и список разрешенных значений см. в разделе UserScopeId в статье "Обзор схемы". |
| ActorUserIdType | Условный | Строка | Тип идентификатора, который хранится в поле ActorUserId. Список допустимых значений и дополнительные сведения см. в разделе UserIdType статьи Схемы расширенной информационной модели безопасности (ASIM). |
| ActorUsername | Обязательно | Строка | Имя пользователя субъекта, включая сведения о домене, если они доступны. Поддерживаемые форматы для различных типов идентификаторов см. в разделе Сущность пользователя. Используйте простую форму, только если сведения о домене недоступны. Храните тип имени пользователя в поле ActorUsernameType. Если доступны другие форматы имени пользователя, сохраните их в полях ActorUsername<UsernameType>.Пример: AlbertE |
| Пользователь | Псевдоним | Псевдоним для поля ActorUsername. Пример: CONTOSO\dadmin |
|
| ActorUsernameType | Условный | Enumerated | Определяет тип имени пользователя, которое хранится в поле ActorUsername. Список допустимых значений и дополнительные сведения см. в разделе UsernameType статьи Схемы расширенной информационной модели безопасности (ASIM). Пример: Windows |
| ActorSessionId | Необязательно | Строка | Уникальный идентификатор сеанса входа субъекта. Пример: 999Примечание. Тип определяется как строка для поддержки различных систем, но в Windows это значение должно быть числовым. Если вы используете компьютеры с Windows и используете другой тип, обязательно преобразуйте эти значения. Например, если вы использовали шестнадцатеричное значение, преобразуйте его в десятичное. |
| ActorUserType | Необязательно | UserType | Тип субъекта Actor. Список допустимых значений и дополнительные сведения см. в разделе UserType статьи Схемы расширенной информационной модели безопасности (ASIM). Примечание. Значение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы до этих значений. Храните исходное значение в поле ActorOriginalUserType. |
| ActorOriginalUserType | Необязательно | Строка | Исходный тип пользователя назначения, если он указан передающим устройством. |
Поля действующего процесса
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| ActingProcessCommandLine | Необязательно | Строка | Командная строка, используемая для запуска действующего процесса. Пример: "choco.exe" -v |
| ActingProcessName | Необязательно | строка | Имя действующего процесса. Это имя, как правило, является производным от файла образа или исполняемого файла, который используется для определения исходного кода и данных, сопоставленных с виртуальным адресным пространством процесса. Пример: C:\Windows\explorer.exe |
| Обработать | Псевдоним | Псевдоним для ActingProcessName | |
| ActingProcessId | Необязательно | Строка | Идентификатор (PID) действующего процесса. Пример: 48610176 Примечание. Тип определяется как строка для поддержки различных систем, но в Windows и Linux это значение должно быть числовым. Если вы используете компьютер с Windows или Linux и применяете другой тип, обязательно преобразуйте эти значения. Например, если вы использовали шестнадцатеричное значение, преобразуйте его в десятичное. |
| ActingProcessGuid | Необязательно | строка | Созданный уникальный идентификатор (GUID) действующего процесса. Позволяет идентифицировать процесс в системах. Пример: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Связанные с исходной системой поля
Следующие поля представляют сведения о системе, инициирующей действие файла, обычно при переносе по сети.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| SrcIpAddr | Рекомендуемая конфигурация | IP-адрес | Если операция инициируется удаленной системой, это IP-адрес данной системы. Пример: 185.175.35.214 |
| IpAddr | Псевдоним | Псевдоним для SrcIpAddr | |
| Src | Псевдоним | Псевдоним для SrcIpAddr | |
| SrcPortNumber | Необязательно | Целое | Когда операция инициируется удаленной системой, номер порта, из которого был инициирован подключение. Пример: 2335 |
| SrcHostname | Рекомендуемая конфигурация | Hostname (Имя узла) | Имя узла исходного устройства, включая сведения о домене. Если имя устройства недоступно, сохраните в этом поле соответствующий IP-адрес. Пример: DESKTOP-1282V4D |
| SrcDomain | Рекомендуемая конфигурация | Строка | Домен исходного устройства. Пример: Contoso |
| SrcDomainType | Условный | DomainType | Тип SrcDomain. Список допустимых значений и дополнительные сведения см. в разделе DomainType статьи Схемы расширенной информационной модели безопасности (ASIM). Является обязательным при использовании SrcDomain. |
| SrcFQDN | Необязательно | Строка | Имя узла исходного устройства, включая сведения о домене, если они доступны. Примечание. Это поле поддерживает как традиционные форматы FQDN, так и формат домен\имя_узла Windows. Поле SrcDomainType отражает используемый формат. Пример: Contoso\DESKTOP-1282V4D |
| SrcDescription | Необязательно | Строка | Текст описания, связанный с устройством. Например: Primary Domain Controller. |
| SrcDvcId | Необязательно | Строка | Идентификатор исходного устройства. Если доступно несколько идентификаторов, используйте наиболее важный из них, другие храните в полях SrcDvc<DvcIdType>.Пример: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Необязательно | Строка | Идентификатор области облачной платформы, к которому принадлежит устройство. SrcDvcScopeId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| SrcDvcScope | Необязательно | Строка | Область облачной платформы, к которой принадлежит устройство. SrcDvcScope сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| SrcDvcIdType | Условный | DvcIdType | Тип SrcDvcId. Список допустимых значений и дополнительные сведения см. в разделе DvcIdType статьи Схемы расширенной информационной модели безопасности (ASIM). Примечание. Это поле является обязательным, если используется SrcDvcId. |
| SrcDeviceType | Необязательно | DeviceType | Тип исходного устройства. Список допустимых значений и дополнительные сведения см. в разделе DeviceType статьи Схемы расширенной информационной модели безопасности (ASIM). |
| SrcSubscriptionId | Необязательно | Строка | Идентификатор подписки на облачную платформу, к которой принадлежит исходное устройство. SrcSubscriptionId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| SrcGeoCountry | Необязательно | Страна/регион | Страна или регион, связанный с исходным IP-адресом. Пример: USA |
| SrcGeoRegion | Необязательно | Область/регион | Регион, связанный с исходным IP-адресом. Пример: Vermont |
| SrcGeoCity | Необязательно | Город | Город, связанный с исходным IP-адресом. Пример: Burlington |
| SrcGeoLatitude | Необязательно | Широта | Географическая широта, связанная с исходным IP-адресом. Пример: 44.475833 |
| SrcGeoLongitude | Необязательно | Долгота | Географическая долгота, связанная с исходным IP-адресом. Пример: 73.211944 |
Поля, связанные с сетью
Следующие поля представляют сведения о сетевом сеансе при переносе действия файла по сети.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| HttpUserAgent | Необязательно | Строка | Когда операция инициируется удаленной системой по протоколу HTTP или HTTPS, используется агент пользователя. Например: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | Необязательно | Строка | Если операция инициируется удаленной системой, это значение представляет собой протокол уровня приложения, используемый в модели OSI. Хотя это поле не является перечислимым и принимается любое значение, предпочтительные значения такие: HTTP, HTTPS, SMB, FTP и SSH.Пример: SMB |
Поля целевого приложения
Следующие поля представляют сведения о целевом приложении, выполняющего действие файла от имени пользователя. Конечное приложение обычно связано с действиями файлов по сети, например с помощью приложений Saas (Software as a service).
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| TargetAppName | Необязательно | Строка | Введите имя приложения назначения. Пример: Facebook |
| Приложение | Псевдоним | Псевдоним targetAppName. | |
| TargetAppId | Необязательно | Строка | Идентификатор приложения назначения, который сообщается устройством отчетов. |
| TargetAppType | Необязательно | AppType | Тип приложения назначения. Список допустимых значений и дополнительные сведения см. в разделе AppType статьи Схемы расширенной информационной модели безопасности (ASIM). Это поле является обязательным, если используется TargetAppName или TargetAppId . |
| TargetUrl | Необязательно | Строка | Когда операция инициируется по протоколу HTTP или HTTPS, используется URL. Пример: https://onedrive.live.com/?authkey=... |
| URL-адрес | Псевдоним | Псевдоним для TargetUrl |
Поля проверки
Следующие поля используются для представления проверки, выполняемой системой безопасности, такой антивирусной системой. Определяемый поток обычно связан с файлом, на котором было выполнено действие, а не с самим действием.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| RuleName | Необязательно | Строка | Имя или идентификатор правила, связанные с результатами проверки. |
| RuleNumber | Необязательно | Целое | Число правил, связанных с результатами проверки. |
| Правило | Условный | Строка | Значение kRuleName или значение RuleNumber. Если используется значение RuleNumber , тип следует преобразовать в строку. |
| ThreatId | Необязательно | Строка | Идентификатор угрозы или вредоносных программ, определенных в действии файла. |
| ThreatName | Необязательно | Строка | Имя угрозы или вредоносных программ, определенных в действии файла. Пример: EICAR Test File |
| ThreatCategory | Необязательно | Строка | Категория угроз или вредоносных программ, определенных в действии файла. Пример: Trojan |
| ThreatRiskLevel | Необязательно | Целое | Уровень риска, связанный с идентифицированной угрозой. Уровень должен быть числом от 0 до 100. Примечание. Значение может быть указано в исходной записи с использованием другой шкалы, которая должна быть нормализована по этой шкале. Исходное значение следует хранить в поле ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Необязательно | Строка | Уровень риска, сообщаемый устройством отчетов. |
| ThreatFilePath | Необязательно | Строка | Путь к файлу, для которого обнаружена угроза. Поле ThreatField содержит имя поля ThreatFilePath. |
| ThreatField | Необязательно | Enumerated | Поле, для которого была обнаружена угроза. Имеет значение SrcFilePath или DstFilePath. |
| ThreatConfidence | Необязательно | Целое | Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100. |
| ThreatOriginalConfidence | Необязательно | Строка | Исходный уровень достоверности для обнаруженной угрозы, полученный от устройства, сообщившего о ней. |
| ThreatIsActive | Необязательно | Логический | Значение true, если обнаруженная угроза считается активной. |
| ThreatFirstReportedTime | Необязательно | datetime | Время первого обнаружения угрозы для этого IP-адреса или домена. |
| ThreatLastReportedTime | Необязательно | datetime | Время последнего обнаружения угрозы для этого IP-адреса или домена. |
Структура пути
Путь должен нормализоваться в один из указанных ниже форматов. Формат, к которому будет приведено значение, будет отражен в соответствующем поле FilePathType.
| Тип | Пример | Примечания. |
|---|---|---|
| Локальный ресурс Windows | C:\Windows\System32\notepad.exe |
Так как в именах путей Windows регистр не учитывается, этот тип подразумевает, что значение нечувствительно к регистру. |
| Общий ресурс Windows | \\Documents\My Shapes\Favorites.vssx |
Так как в именах путей Windows регистр не учитывается, этот тип подразумевает, что значение нечувствительно к регистру. |
| Unix | /etc/init.d/networking |
Так как в именах путей UNIX учитывается регистр, этот тип подразумевает, что значение чувствительно к регистру. — Используйте этот тип для AWS S3. Для создания пути объедините имена контейнера и ключа. — Используйте этот тип для ключей объектов хранилища BLOB-объектов Azure. |
| URL-адрес | https://1drv.ms/p/s!Av04S_*********we |
Используется, если путь к файлу доступен в качестве URL-адреса. В качестве URL-адреса не обязательно использовать только адреса HTTP или HTTPS. Возможно любое допустимое значение, включая FTP. |
Обновления схемы
Ниже приведены изменения в версии 0.1.1 схемы:
- Добавлено поле
EventSchema.
Существуют изменения в схеме версии 0.2:
- Добавлены поля проверки.
- Добавлены поля
ActorScope,TargetUserScope,TargetAppNameTargetAppTypeSrcGeoCountrySrcGeoRegionTargetAppIdHashTypeSrcGeoLatitudeActorSessionIdSrcGeoLongitudeDvcScopeIdиDvcScope.. - Добавлены псевдонимы
Url,IpAddr"FileName" иSrc.
Существуют изменения в схеме версии 0.2.1:
ApplicationДобавлен в качестве псевдонимаTargetAppName.- Добавлено поле
ActorScopeId - Добавлены связанные поля исходного устройства.
Дальнейшие действия
Дополнительные сведения см. в разделе:
- Посмотрите веб-семинар ASIM или слайды.
- Обзор расширенной информационной модели безопасности (ASIM)
- Схемы расширенной информационной модели безопасности (ASIM)
- Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
- Содержимое расширенной информационной модели безопасности (ASIM)