Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Normaliseringsskemaet filhændelse bruges til at beskrive filaktivitet, f.eks. oprettelse, ændring eller sletning af filer eller dokumenter. Sådanne hændelser rapporteres af operativsystemer, fillagringssystemer, f.eks. Azure Files, og systemer til dokumenthåndtering, f.eks. Microsoft SharePoint.
Du kan få flere oplysninger om normalisering i Microsoft Sentinel under Normalisering og ASIM (Advanced Security Information Model).
Parsere
Udrulning og brug af filaktivitetsparsere
Udrul ASIM-filaktivitetsparsere fra Microsoft Sentinel GitHub-lageret. Hvis du vil forespørge på tværs af alle filaktivitetskilder, skal du bruge den forenende parser imFileEvent som tabelnavnet i din forespørgsel.
Du kan finde flere oplysninger om brug af ASIM-fortolkere i oversigten over ASIM-fortolkninger. Hvis du vil se en liste over de filaktivitetsparsere, Microsoft Sentinel leverer klar til brug, skal du se listen over ASIM-fortolkninger
Tilføj dine egne normaliserede fortolkere
Når du implementerer brugerdefinerede fortolkninger af oplysningsmodellen for filhændelser, skal du navngive dine KQL-funktioner ved hjælp af følgende syntaks: imFileEvent<vendor><Product.
Se artiklen Administration af ASIM-fortolkere for at få mere at vide om, hvordan du føjer dine brugerdefinerede fortolkere til filaktiviteten, der forener parser.
Filtreringsparserparametre
Filhændelsesparserne understøtter filtreringsparametre. Selvom disse parametre er valgfrie, kan de forbedre ydeevnen af din forespørgsel.
Følgende filtreringsparametre er tilgængelige:
| Navn | Type | Beskrivelse |
|---|---|---|
| Starttidspunkt | Datetime | Filtrer kun filhændelser, der opstod på eller efter dette tidspunkt. Denne parameter filtrerer feltet TimeGenerated , som er standarddesignatoren for tidspunktet for hændelsen, uanset den parserspecifikke tilknytning af felterne EventStartTime og EventEndTime. |
| slutklokkeslæt | Datetime | Filtrer kun filhændelser, der fandt sted på eller før dette tidspunkt. Denne parameter filtrerer feltet TimeGenerated , som er standarddesignatoren for tidspunktet for hændelsen, uanset den parserspecifikke tilknytning af felterne EventStartTime og EventEndTime. |
| eventtype_in | Dynamisk | Filtrer kun filhændelser, hvor hændelsestypen er en af de angivne værdier, f.eks FileCreated. , FileModified, FileDeleted, FileRenamedeller FileCopied. |
| srcipaddr_has_any_prefix | Dynamisk | Filtrer kun filhændelser, hvor præfikset for kilde-IP-adressen svarer til en af de angivne værdier. Præfikser skal slutte med en ., f.eks.: 10.0.. |
| actorusername_has_any | Dynamisk | Filtrer kun filhændelser, hvor agentens brugernavn har nogen af de angivne værdier. |
| targetfilepath_has_any | Dynamisk | Filtrer kun filhændelser, hvor stien til destinationsfilen har nogen af de angivne værdier. |
| srcfilepath_has_any | Dynamisk | Filtrer kun filhændelser, hvor kildefilstien har nogen af de angivne værdier. |
| hashes_has_any | Dynamisk | Filtrer kun filhændelser, hvor filhash stemmer overens med nogen af de angivne værdier. |
| dvchostname_has_any | Dynamisk | Filtrer kun filhændelser, hvor enhedens værtsnavn har nogen af de angivne værdier. |
Hvis du f.eks. kun vil filtrere hændelser for filoprettelse og -ændringer fra den sidste dag, skal du bruge:
_Im_FileEvent (eventtype_in=dynamic(['FileCreated','FileModified']), starttime = ago(1d), endtime=now())
Normaliseret indhold
Du kan se en komplet liste over analyseregler, der bruger normaliserede filaktivitetshændelser, under Sikkerhedsindhold for filaktivitet.
Skemaoversigt
Filhændelsesoplysningsmodellen er justeret i forhold til OSSEM-procesobjektskemaet.
Filhændelsesskemaet refererer til følgende enheder, som er centrale for filaktiviteter:
- Agent. Den bruger, der startede filaktiviteten
- ActingProcess. Den proces, der bruges af agenten til at starte filaktiviteten
- TargetFile. Den fil, som handlingen blev udført på
- Kildefil (SrcFile). Gemmer filoplysninger før handlingen.
Relationen mellem disse objekter vises bedst på følgende måde: En agent udfører en filhandling ved hjælp af en handlingsproces, som ændrer kildefilen til destinationsfilen.
Eksempel: JohnDoe (Agent) bruger Windows File Explorer (fungerende proces) til at omdøbe new.doc (kildefil) til old.doc (destinationsfil).
Skemadetaljer
Fælles felter
Vigtigt!
Felter, der er fælles for alle skemaer, er beskrevet detaljeret i artiklen Almindelige ASIM-felter .
Felter med specifikke retningslinjer for filhændelsesskemaet
På følgende liste nævnes felter, der har specifikke retningslinjer for filaktivitetshændelser:
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| EventType | Obligatorisk | Optalt | Beskriver den handling, der er rapporteret af posten. Understøttede værdier omfatter: - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| EventSubType | Valgfrit | Optalt | Beskriver detaljer om den handling, der er rapporteret i EventType. Understøttede værdier pr. hændelsestype omfatter: - FileCreated
-
Upload, Checkin- FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed
-
Download, Preview, Checkout, Extended- FileDeleted
-
Recycled, Versions, Site |
| EventSchema | Obligatorisk | Optalt | Navnet på skemaet, der er dokumenteret her, er FileEvent. |
| EventSchemaVersion | Obligatorisk | SchemaVersion (streng) | Versionen af skemaet. Den version af skemaet, der er dokumenteret her, er 0.2.2 |
| Dvc-felter | - | - | I forbindelse med filaktivitetshændelser henviser enhedsfelter til det system, hvor filaktiviteten fandt sted. |
Vigtigt!
Feltet EventSchema er i øjeblikket valgfrit, men bliver obligatorisk den 1. september 2022.
Alle almindelige felter
Felter, der vises i tabellen, er fælles for alle ASIM-skemaer. Alle skemaspecifikke retningslinjer i dette dokument tilsidesætter de generelle retningslinjer for feltet. Et felt kan f.eks. være valgfrit generelt, men obligatorisk for et bestemt skema. Du kan få flere oplysninger om hvert felt i artiklen Almindelige ASIM-felter .
| Klasse | Felter |
|---|---|
| Obligatorisk |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Anbefalede |
-
EventResultDetails - EventSeverity - Hændelses-UID - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valgfrit |
-
Hændelsesmeddelelse - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Hændelsesejer - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Destinationsfilfelter
Følgende felter repræsenterer oplysninger om destinationsfilen i en filhandling. Hvis handlingen omfatter en enkelt fil, FileCreate repræsenteres den f.eks. af destinationsfilfelterne.
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| TargetFileCreationTime | Valgfrit | Dato/klokkeslæt | Det tidspunkt, hvor destinationsfilen blev oprettet. |
| TargetFileDirectory | Valgfrit | String | Destinationsfilmappen eller -placeringen. Dette felt skal ligne feltet TargetFilePath uden det endelige element. Bemærk! En parser kan angive denne værdi, hvis den værdi, der er tilgængelig i logkilden, og ikke behøver at blive udtrukket fra hele stien. |
| TargetFileExtension | Valgfrit | String | Destinationsfiludvidelsen. Bemærk! En parser kan angive denne værdi, hvis den værdi, der er tilgængelig i logkilden, og ikke behøver at blive udtrukket fra hele stien. |
| TargetFileMimeType | Valgfrit | String | Mime- eller Media-typen for destinationsfilen. Tilladte værdier er angivet i lageret med IANA-medietyper . |
| TargetFileName | Anbefalede | String | Navnet på destinationsfilen uden en sti eller en placering, men med et filtypenavn, hvis det er relevant. Dette felt skal ligne det sidste element i feltet TargetFilePath . |
| Filnavn | Alias | Alias til feltet TargetFileName . | |
| TargetFilePath | Obligatorisk | String | Den fulde, normaliserede sti til destinationsfilen, herunder mappen eller placeringen, filnavnet og filtypenavnet. Du kan få flere oplysninger under Stistruktur. Bemærk! Hvis posten ikke indeholder oplysninger om mappe eller placering, skal du kun gemme filnavnet her. Eksempel: C:\Windows\System32\notepad.exe |
| TargetFilePathType | Obligatorisk | Optalt | Typen af TargetFilePath. Du kan få flere oplysninger under Stistruktur. |
| FilePath | Alias | Alias til feltet TargetFilePath . | |
| TargetFileMD5 | Valgfrit | MD5 | MD5-hashen for destinationsfilen. Eksempel: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | Valgfrit | SHA1 | SHA-1-hashen for destinationsfilen. Eksempel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | Valgfrit | SHA256 | SHA-256-hashen for destinationsfilen. Eksempel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | Valgfrit | SHA512 | SHA-512-hashen for kildefilen. |
| Hash | Alias | Alias til hash for den bedst tilgængelige destinationsfil. | |
| HashType | Betinget | Optalt | Den type hash, der er gemt i feltet HASH-alias. De tilladte værdier er MD5, SHA, SHA256SHA512 og IMPHASH. Obligatorisk, hvis Hash udfyldes. |
| TargetFileSize | Valgfrit | Lang | Størrelsen på destinationsfilen i byte. |
Kildefilfelter
Følgende felter repræsenterer oplysninger om kildefilen i en filhandling, der både har en kilde og en destination, f.eks. kopi. Hvis handlingen omfatter en enkelt fil, repræsenteres den af destinationsfilfelterne.
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| SrcFileCreationTime | Valgfrit | Dato/klokkeslæt | Det tidspunkt, hvor kildefilen blev oprettet. |
| SrcFileDirectory | Valgfrit | String | Kildefilmappen eller -placeringen. Dette felt skal ligne feltet SrcFilePath uden det endelige element. Bemærk! En parser kan angive denne værdi, hvis værdien er tilgængelig i logkilden og ikke behøver at blive udtrukket fra hele stien. |
| SrcFileExtension | Valgfrit | String | Kildefiludvidelsen. Bemærk! En parser kan angive denne værdi, fordi værdien er tilgængelig i logkilden, og den behøver ikke at blive udtrukket fra hele stien. |
| SrcFileMimeType | Valgfrit | String | Mime- eller Medietypen for kildefilen. Understøttede værdier er angivet i IANA-medietypelageret . |
| SrcFileName | Anbefalede | String | Navnet på kildefilen uden en sti eller en placering, men med et filtypenavn, hvis det er relevant. Dette felt skal ligne det sidste element i feltet SrcFilePath . |
| SrcFilePath | Anbefalede | String | Den fulde, normaliserede sti til kildefilen, herunder mappen eller placeringen, filnavnet og filtypenavnet. Du kan få flere oplysninger under Stistruktur. Eksempel: /etc/init.d/networking |
| SrcFilePathType | Anbefalede | Optalt | Typen af SrcFilePath. Du kan få flere oplysninger under Stistruktur. |
| SrcFileMD5 | Valgfrit | MD5 | MD5-hashen for kildefilen. Eksempel: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | Valgfrit | SHA1 | SHA-1-hashen for kildefilen. Eksempel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | Valgfrit | SHA256 | SHA-256-hashen for kildefilen. Eksempel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | Valgfrit | SHA512 | SHA-512-hashen for kildefilen. |
| SrcFileSize | Valgfrit | Lang | Størrelsen på kildefilen i byte. |
Agentfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| AgentUserId | Anbefalede | String | En computerlæsbar, alfanumerisk, entydig repræsentation af agenten. Du kan se det understøttede format for forskellige id-typer i objektet Bruger. Eksempel: S-1-12 |
| AgentScope | Valgfrit | String | Det omfang, f.eks. Microsoft Entra lejer, hvor AgentBruger-id og AgentBrugernavn er defineret. eller flere oplysninger og en liste over tilladte værdier i UserScope i artiklen Skemaoversigt. |
| AgentScopeId | Valgfrit | String | Område-id'et, f.eks. Microsoft Entra mappe-id, hvor AgentBruger-id og AgentBrugernavn er defineret. eller flere oplysninger og en liste over tilladte værdier i UserScopeId i artiklen Skemaoversigt. |
| AgentUserIdType | Betinget | Optalt | Typen af det id, der er gemt i feltet AgentBruger-id . Du kan finde en liste over tilladte værdier og yderligere oplysninger i Artiklen UserIdType i Skemaoversigt. |
| AgentBrugernavn | Obligatorisk | Brugernavn (streng) | Agentens brugernavn, herunder domæneoplysninger, når det er tilgængeligt. Du kan se det understøttede format for forskellige id-typer i objektet Bruger. Brug kun den enkle formular, hvis domæneoplysningerne ikke er tilgængelige. Gem brugernavnstypen i feltet AgentBrugernavnType . Hvis der er andre brugernavnsformater tilgængelige, skal du gemme dem i felterne ActorUsername<UsernameType>.Eksempel: AlbertE |
| Bruger | Alias | Alias til feltet AgentBrugernavn . Eksempel: CONTOSO\dadmin |
|
| AgentUsernameType | Betinget | Optalt | Angiver den type brugernavn, der er gemt i feltet AgentBrugernavn . Du kan finde en liste over tilladte værdier og yderligere oplysninger i artiklen UsernameType i skemaoversigten. Eksempel: Windows |
| AgentSessionId | Valgfrit | String | Det entydige id for logonsessionen for agenten. Eksempel: 999Bemærk! Typen er defineret som streng for at understøtte forskellige systemer, men i Windows skal denne værdi være numerisk. Hvis du bruger en Windows-computer og har brugt en anden type, skal du sørge for at konvertere værdierne. Hvis du f.eks. har brugt en hexadecimal værdi, skal du konvertere den til en decimalværdi. |
| AgentUserType | Valgfrit | UserType | Typen af agent. Du kan finde en liste over tilladte værdier og yderligere oplysninger i artiklen UserType i skemaoversigten. Bemærk! Værdien kan angives i kildeposten ved hjælp af andre ord, som skal normaliseres til disse værdier. Gem den oprindelige værdi i feltet AgentOriginalUserType . |
| AgentOriginalUserType | Valgfrit | String | Den oprindelige destinationsbrugertype, hvis den er angivet af rapporteringsenheden. |
Handlingsprocesfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| ActingProcessCommandLine | Valgfrit | String | Den kommandolinje, der bruges til at køre handlingsprocessen. Eksempel: "choco.exe" -v |
| ActingProcessName | Valgfrit | Streng | Navnet på den handlingsproces. Dette navn er ofte afledt af det billede eller den eksekverbare fil, der bruges til at definere den oprindelige kode og de data, der er knyttet til processens virtuelle adresseområde. Eksempel: C:\Windows\explorer.exe |
| Proces | Alias | Alias til ActingProcessName | |
| ActingProcessId | Valgfrit | String | Proces-id'et (PID) for den fungerende proces. Eksempel: 48610176 Bemærk! Typen er defineret som streng for at understøtte forskellige systemer, men i Windows og Linux skal denne værdi være numerisk. Hvis du bruger en Windows- eller Linux computer og har brugt en anden type, skal du sørge for at konvertere værdierne. Hvis du f.eks. har brugt en hexadecimal værdi, skal du konvertere den til en decimalværdi. |
| ActingProcessGuid | Valgfrit | GUID (streng) | Et genereret entydigt id (GUID) for den fungerende proces. Gør det muligt at identificere processen på tværs af systemer. Eksempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Kildesystemrelaterede felter
Følgende felter repræsenterer oplysninger om det system, der starter filaktiviteten, typisk når det overføres via netværket.
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| SrcIpAddr | Anbefalede | IP-adresse | Når handlingen startes af et fjernsystem, er dette systems IP-adresse. Eksempel: 185.175.35.214 |
| IpAddr | Alias | Alias til SrcIpAddr | |
| Src | Alias | Alias til SrcIpAddr | |
| SrcPortNumber | Valgfrit | Heltal | Når handlingen startes af et fjernsystem, er det portnummer, som forbindelsen blev startet fra. Eksempel: 2335 |
| SrcHostname | Valgfrit | Værtsnavn (streng) | Kildeenhedens værtsnavn, undtagen domæneoplysninger. Hvis der ikke er noget tilgængeligt enhedsnavn, skal du gemme den relevante IP-adresse i dette felt. Eksempel: DESKTOP-1282V4D |
| SrcDomain | Valgfrit | Domæne (streng) | Kildeenhedens domæne. Eksempel: Contoso |
| SrcDomainType | Betinget | Domænetype | Typen af SrcDomain. Du kan finde en liste over tilladte værdier og yderligere oplysninger i artiklen Domænetype i skemaoversigten. Obligatorisk, hvis SrcDomain bruges. |
| SrcFQDN | Valgfrit | FQDN (streng) | Kildeenhedens værtsnavn, herunder domæneoplysninger, når de er tilgængelige. Bemærk! Dette felt understøtter både traditionelt FQDN-format og Windows-domæne\værtsnavnformat. Feltet SrcDomainType afspejler det anvendte format. Eksempel: Contoso\DESKTOP-1282V4D |
| SrcDescription | Valgfrit | String | En beskrivende tekst, der er knyttet til enheden. For eksempel: Primary Domain Controller. |
| SrcDvcId | Valgfrit | String | Id'et for kildeenheden. Hvis der er flere id'er tilgængelige, skal du bruge det vigtigste og gemme de andre i felterne SrcDvc<DvcIdType>.Eksempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Valgfrit | String | Det område-id for cloudplatformen, som enheden tilhører. SrcDvcScopeId knyttes til et abonnements-id på Azure og til et konto-id på AWS. |
| SrcDvcScope | Valgfrit | String | Det cloudplatformsområde, som enheden tilhører. SrcDvcScope knyttes til et abonnements-id på Azure og til et konto-id på AWS. |
| SrcDvcIdType | Betinget | DvcIdType | Typen af SrcDvcId. Du kan finde en liste over tilladte værdier og yderligere oplysninger i DvcIdType i artiklen Skemaoversigt. Bemærk! Dette felt er obligatorisk, hvis der bruges SrcDvcId . |
| SrcDeviceType | Valgfrit | DeviceType | Kildeenhedens type. Du kan finde en liste over tilladte værdier og yderligere oplysninger i DeviceType i artiklen Skemaoversigt. |
| SrcGeoCountry | Valgfrit | Land | Det land/område, der er knyttet til kildens IP-adresse. Eksempel: USA |
| SrcGeoRegion | Valgfrit | Region | Det område, der er knyttet til kildens IP-adresse. Eksempel: Vermont |
| SrcGeoCity | Valgfrit | Byen | Den by, der er knyttet til kildens IP-adresse. Eksempel: Burlington |
| SrcGeoLatitude | Valgfrit | Breddegrad | Breddegraden for den geografiske koordinat, der er knyttet til kildens IP-adresse. Eksempel: 44.475833 |
| SrcGeoLongitude | Valgfrit | Længdegrad | Længdegraden for den geografiske koordinat, der er knyttet til kildens IP-adresse. Eksempel: 73.211944 |
Programfelter, der optræder
Følgende felter repræsenterer oplysninger om et lokalt program, der kommunikeres via et netværk med et fjernsystem for at udføre filaktiviteten.
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| ActingAppName | Valgfrit | String | Navnet på den virksomhed, der indgiver ansøgningen. Eksempel: Facebook |
| ActingAppId | Valgfrit | String | Id'et for det fungerende program, som rapporteret af rapporteringsenheden. |
| ActingAppType | Valgfrit | AppType | Destinationsprogrammets type. Du kan finde en liste over tilladte værdier og yderligere oplysninger i artiklen AppType i skemaoversigten. Dette felt er obligatorisk, hvis TargetAppName eller TargetAppId bruges. |
| HttpUserAgent | Valgfrit | String | Når handlingen startes af et fjernsystem ved hjælp af HTTP eller HTTPS, bruges brugeragenten. Det kan f.eks. være: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | Valgfrit | String | Når handlingen startes af et fjernsystem, er denne værdi den programlagsprotokol, der bruges i OSI-modellen. Selvom dette felt ikke er optæltet, og en værdi accepteres, er følgende foretrukne værdier: HTTP, HTTPS, SMB,FTP og SSHEksempel: SMB |
Felter i destinationsprogram
Følgende felter repræsenterer oplysninger om destinationsprogrammet, der udfører filaktiviteten på vegne af brugeren. Et destinationsprogram er normalt relateret til netværksfilaktivitet, f.eks. brug af SaaS-programmer (Software som en tjeneste).
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| TargetAppName | Valgfrit | String | Navnet på destinationsprogrammet. Eksempel: Facebook |
| Program | Alias | Alias til TargetAppName. | |
| TargetAppId | Valgfrit | String | Id'et for destinationsprogrammet, som rapporteret af rapporteringsenheden. |
| TargetAppType | Betinget | AppType | Destinationsprogrammets type. Du kan finde en liste over tilladte værdier og yderligere oplysninger i artiklen AppType i skemaoversigten. Dette felt er obligatorisk, hvis TargetAppName eller TargetAppId bruges. |
| TargetOriginalAppType | Valgfrit | String | Destinationsprogrammets type som rapporteret af rapporteringsenheden. |
| Destinationsurl | Valgfrit | URL-adresse (streng) | Når handlingen startes ved hjælp af HTTP eller HTTPS, bruges URL-adressen. Eksempel: https://onedrive.live.com/?authkey=... |
| Url | Alias | Alias til destinationsurl |
Kontrolfelter
Følgende felter bruges til at repræsentere den kontrol, der udføres af et sikkerhedssystem som et antivirussystem. Den identificerede tråd er normalt knyttet til den fil, som aktiviteten blev udført på, i stedet for selve aktiviteten.
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| RuleName | Valgfrit | String | Navnet eller id'et for reglen ved at være knyttet til inspektionsresultaterne. |
| Regelnummer | Valgfrit | Heltal | Nummeret på den regel, der er knyttet til inspektionsresultaterne. |
| Regel | Betinget | String | Enten værdien af kRuleName eller værdien af RuleNumber. Hvis værdien af RuleNumber bruges, skal typen konverteres til en streng. |
| ThreatId | Valgfrit | String | Id'et for den trussel eller malware, der er identificeret i filaktiviteten. |
| ThreatName | Valgfrit | String | Navnet på den trussel eller malware, der er identificeret i filaktiviteten. Eksempel: EICAR Test File |
| ThreatCategory | Valgfrit | String | Kategorien af den trussel eller malware, der er identificeret i filaktiviteten. Eksempel: Trojan |
| ThreatRiskLevel | Valgfrit | RiskLevel (heltal) | Det risikoniveau, der er knyttet til den identificerede trussel. Niveauet skal være et tal mellem 0 og 100. Bemærk! Værdien kan angives i kildeposten ved hjælp af en anden skala, som skal normaliseres til denne skala. Den oprindelige værdi skal gemmes i ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Valgfrit | String | Risikoniveauet som rapporteret af rapporteringsenheden. |
| ThreatFilePath | Valgfrit | String | En filsti, som der blev identificeret en trussel for. Feltet ThreatField indeholder navnet på det felt , som ThreatFilePath repræsenterer. |
| ThreatField | Betinget | Optalt | Det felt, som en trussel blev identificeret for. Værdien er enten SrcFilePath eller DstFilePath. |
| ThreatConfidence | Valgfrit | ConfidenceLevel (heltal) | Konfidensniveauet for den identificerede trussel normaliserede sig til en værdi mellem 0 og 100. |
| ThreatOriginalConfidence | Valgfrit | String | Det oprindelige tillidsniveau for den trussel, der blev identificeret, som rapporteret af rapporteringsenheden. |
| ThreatIsActive | Valgfrit | Boolesk | Sand, hvis den identificerede trussel betragtes som en aktiv trussel. |
| ThreatFirstReportedTime | Valgfrit | Datetime | Første gang IP-adressen eller domænet blev identificeret som en trussel. |
| ThreatLastReportedTime | Valgfrit | Datetime | Sidste gang IP-adressen eller domænet blev identificeret som en trussel. |
Stistruktur
Stien skal normaliseres, så den svarer til et af følgende formater. Det format, som værdien er normaliseret til, afspejles i det respektive FilePathType-felt .
| Type | Eksempel | Bemærkninger |
|---|---|---|
| Lokal Windows | C:\Windows\System32\notepad.exe |
Da der ikke skelnes mellem store og små bogstaver i Windows-stinavne, antyder denne type, at der ikke skelnes mellem store og små bogstaver i værdien. |
| Windows Share | \\Documents\My Shapes\Favorites.vssx |
Da der ikke skelnes mellem store og små bogstaver i Windows-stinavne, antyder denne type, at der ikke skelnes mellem store og små bogstaver i værdien. |
| Unix | /etc/init.d/networking |
Da der skelnes mellem store og små bogstaver i Unix-stinavne, betyder denne type, at der skelnes mellem store og små bogstaver i værdien. - Brug denne type til AWS S3. Sammenkæd bucket- og nøglenavnene for at oprette stien. – Brug denne type til Azure Blob Storage-objektnøgler. |
| URL | https://1drv.ms/p/s!Av04S_*********we |
Bruges, når filstien er tilgængelig som en URL-adresse. URL-adresser er ikke begrænset til http eller https, og alle værdier, herunder en FTP-værdi, er gyldige. |
Skemaopdateringer
Dette er ændringerne i version 0.1.1 af skemaet:
- Feltet
EventSchemaer tilføjet.
Dette er ændringerne i version 0.2 af skemaet:
- Tilføjede kontrolfelter.
- Felterne , , , , , ,
TargetAppTypeSrcGeoCountry,SrcGeoRegion, ,SrcGeoLongitude,SrcGeoLatitude,ActorSessionId, ,DvcScopeIdogDvcScope..TargetAppIdTargetAppNameHashTypeTargetUserScopeActorScope - Aliasserne
Url,IpAddr, "Filnavn" ogSrc.
Dette er ændringerne i version 0.2.1 af skemaet:
- Tilføjet
Applicationsom et alias tilTargetAppName. - Feltet er tilføjet
ActorScopeId - Tilføjede kildeenhedsrelaterede felter.
Dette er ændringerne i version 0.2.2 af skemaet:
- Feltet er tilføjet
TargetOriginalAppType - Tilføjede felterne
ActingAppId,ActingAppNameogActingAppTypesom ikke er tilgængelige i tabellenASimFileEventLogs.
Næste trin
Du kan finde flere oplysninger under: