Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El esquema de normalización de eventos de archivo se usa para describir la actividad de archivo, como crear, modificar o eliminar archivos o documentos. Estos eventos los notifican sistemas operativos, sistemas de almacenamiento de archivos como Azure Files y sistemas de administración de documentos como Microsoft SharePoint.
Para obtener más información sobre la normalización en Microsoft Sentinel, vea Normalización y el modelo de información de seguridad avanzada (ASIM).
Analizadores
Implementación y uso de analizadores de actividad de archivos
Implemente los analizadores de actividad de archivo de ASIM desde el repositorio de GitHub de Microsoft Sentinel. Para realizar consultas en todos los orígenes de actividad de archivo, use el analizador imFileEvent de unificación como nombre de tabla en la consulta.
Para obtener más información sobre el uso de analizadores de ASIM, consulte la introducción a los analizadores de ASIM. Para obtener la lista de analizadores de actividad de archivos Microsoft Sentinel proporciona información general, consulte la lista de analizadores de ASIM.
Agregar sus propios analizadores normalizados
Al implementar analizadores personalizados para el modelo de información de eventos de archivo, asigne un nombre a las funciones de KQL mediante la sintaxis siguiente: imFileEvent<vendor><Product.
Consulte el artículo Administración de analizadores de ASIM para obtener información sobre cómo agregar los analizadores personalizados al analizador de unificación de actividad de archivos.
Filtrado de parámetros del analizador
Los analizadores de eventos de archivo admiten parámetros de filtrado. Aunque estos parámetros son opcionales, pueden mejorar el rendimiento de las consultas.
Están disponibles los siguientes parámetros de filtrado:
| Nombre | Tipo | Description |
|---|---|---|
| starttime | datetime | Filtre solo los eventos de archivo que se produjeron en o después de este momento. Este parámetro filtra en el TimeGenerated campo, que es el designador estándar para la hora del evento, independientemente de la asignación específica del analizador de los campos EventStartTime y EventEndTime. |
| endtime | datetime | Filtre solo los eventos de archivo que se produjeron en o antes de este momento. Este parámetro filtra en el TimeGenerated campo, que es el designador estándar para la hora del evento, independientemente de la asignación específica del analizador de los campos EventStartTime y EventEndTime. |
| eventtype_in | dinámico | Filtre solo los eventos de archivo en los que el tipo de evento sea uno de los valores enumerados, como FileCreated, FileModified, FileDeleted, FileRenamedo FileCopied. |
| srcipaddr_has_any_prefix | dinámico | Filtre solo los eventos de archivo en los que el prefijo de dirección IP de origen coincida con cualquiera de los valores enumerados. Los prefijos deben terminar con , .por ejemplo: 10.0.. |
| actorusername_has_any | dinámico | Filtre solo los eventos de archivo en los que el nombre de usuario del actor tenga cualquiera de los valores enumerados. |
| targetfilepath_has_any | dinámico | Filtre solo los eventos de archivo en los que la ruta de acceso del archivo de destino tenga cualquiera de los valores enumerados. |
| srcfilepath_has_any | dinámico | Filtre solo los eventos de archivo en los que la ruta de acceso del archivo de origen tenga cualquiera de los valores enumerados. |
| hashes_has_any | dinámico | Filtre solo los eventos de archivo en los que el hash de archivo coincida con cualquiera de los valores enumerados. |
| dvchostname_has_any | dinámico | Filtre solo los eventos de archivo en los que el nombre de host del dispositivo tenga cualquiera de los valores enumerados. |
Por ejemplo, para filtrar solo los eventos de creación y modificación de archivos del último día, use:
_Im_FileEvent (eventtype_in=dynamic(['FileCreated','FileModified']), starttime = ago(1d), endtime=now())
Contenido normalizado
Para obtener una lista completa de las reglas de análisis que usan eventos normalizados de actividad de archivo, consulte Contenido de seguridad de la actividad de archivo.
Introducción al esquema
El modelo de información de eventos de archivo está alineado con el esquema de entidad de proceso de OSSEM.
El esquema de eventos de archivo hace referencia a las siguientes entidades, que son centrales para las actividades de archivo:
- Actor. El usuario que inició la actividad de archivo
- ActingProcess. Proceso usado por el actor para iniciar la actividad de archivo
- TargetFile. Archivo en el que se realizó la operación
- Archivo de origen (SrcFile). Almacena la información de archivo antes de la operación.
La relación entre estas entidades se muestra mejor de la siguiente manera: un actor realiza una operación de archivo mediante un proceso de acción, que modifica el archivo de origen al archivo de destino.
Por ejemplo: JohnDoe (Actor) usa Windows File Explorer (proceso de actuación) para cambiar el nombre new.doc (Archivo de origen) a old.doc (Archivo de destino).
Detalles del esquema
Campos comunes
Importante
Los campos comunes a todos los esquemas se describen en detalle en el artículo Campos comunes de ASIM .
Campos con directrices específicas para el esquema de eventos de archivo
En la lista siguiente se mencionan los campos que tienen directrices específicas para los eventos de actividad de archivo:
| Field | Class | Tipo | Descripción |
|---|---|---|---|
| EventType | Obligatorio | Enumerado | Describe la operación notificada por el registro. Los valores admitidos son: - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| EventSubType | Opcional | Enumerado | Describe detalles sobre la operación notificada en EventType. Entre los valores admitidos por tipo de evento se incluyen: - FileCreated
-
Upload, Checkin- FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed
-
Download, Preview, Checkout, Extended- FileDeleted
-
Recycled, Versions, Site |
| EventSchema | Obligatorio | Enumerado | El nombre del esquema documentado aquí es FileEvent. |
| EventSchemaVersion | Obligatorio | SchemaVersion (String) | Versión del esquema. La versión del esquema documentada aquí es 0.2.2 |
| Campos Dvc | - | - | Para los eventos de actividad de archivo, los campos de dispositivo hacen referencia al sistema en el que se produjo la actividad de archivo. |
Importante
El EventSchema campo es actualmente opcional, pero se convertirá en Obligatorio el 1 de septiembre de 2022.
Todos los campos comunes
Los campos que aparecen en la tabla son comunes a todos los esquemas de ASIM. Cualquiera de las directrices específicas del esquema de este documento invalida las directrices generales para el campo. Por ejemplo, un campo puede ser opcional en general, pero obligatorio para un esquema específico. Para obtener más información sobre cada campo, consulte el artículo Campos comunes de ASIM .
| Class | Fields |
|---|---|
| Obligatorio |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendado |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campos de archivo de destino
Los campos siguientes representan información sobre el archivo de destino en una operación de archivo. Si la operación implica un único archivo, FileCreate por ejemplo, se representa mediante los campos de archivo de destino.
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| TargetFileCreationTime | Opcional | Fecha y hora | Hora a la que se creó el archivo de destino. |
| TargetFileDirectory | Opcional | Cadena | Carpeta o ubicación del archivo de destino. Este campo debe ser similar al campo TargetFilePath , sin el elemento final. Nota: Un analizador puede proporcionar este valor si el valor está disponible en el origen del registro y no es necesario extraerlo de la ruta de acceso completa. |
| TargetFileExtension | Opcional | Cadena | Extensión de archivo de destino. Nota: Un analizador puede proporcionar este valor si el valor está disponible en el origen del registro y no es necesario extraerlo de la ruta de acceso completa. |
| TargetFileMimeType | Opcional | Cadena | Tipo Mime o Media del archivo de destino. Los valores permitidos se enumeran en el repositorio Tipos de medios de IANA . |
| TargetFileName | Recomendado | Cadena | Nombre del archivo de destino, sin una ruta de acceso o una ubicación, pero con una extensión si procede. Este campo debe ser similar al elemento final del campo TargetFilePath . |
| FileName | Alias | Alias del campo TargetFileName . | |
| TargetFilePath | Obligatorio | Cadena | Ruta de acceso completa y normalizada del archivo de destino, incluida la carpeta o ubicación, el nombre de archivo y la extensión. Para obtener más información, vea Estructura de ruta de acceso. Nota: Si el registro no incluye información de carpeta o ubicación, almacene el nombre de archivo solo aquí. Ejemplo: C:\Windows\System32\notepad.exe |
| TargetFilePathType | Obligatorio | Enumerado | Tipo de TargetFilePath. Para obtener más información, vea Estructura de ruta de acceso. |
| FilePath | Alias | Alias del campo TargetFilePath . | |
| TargetFileMD5 | Opcional | MD5 | Hash MD5 del archivo de destino. Ejemplo: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | Opcional | SHA1 | Hash SHA-1 del archivo de destino. Ejemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | Opcional | SHA256 | Hash SHA-256 del archivo de destino. Ejemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | Opcional | SHA512 | Hash SHA-512 del archivo de origen. |
| Hash | Alias | Alias para el mejor hash de archivo de destino disponible. | |
| HashType | Condicional | Enumerado | El tipo de hash almacenado en el campo alias HASH, los valores permitidos son MD5, SHA, SHA256SHA512 y IMPHASH. Obligatorio si Hash está rellenado. |
| TargetFileSize | Opcional | Long | Tamaño del archivo de destino en bytes. |
Campos de archivo de origen
Los campos siguientes representan información sobre el archivo de origen en una operación de archivo que tiene un origen y un destino, como la copia. Si la operación implica un único archivo, se representa mediante los campos de archivo de destino.
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| SrcFileCreationTime | Opcional | Fecha y hora | Hora a la que se creó el archivo de origen. |
| SrcFileDirectory | Opcional | Cadena | Carpeta o ubicación del archivo de origen. Este campo debe ser similar al campo SrcFilePath , sin el elemento final. Nota: Un analizador puede proporcionar este valor si el valor está disponible en el origen del registro y no es necesario extraerlo de la ruta de acceso completa. |
| SrcFileExtension | Opcional | Cadena | Extensión de archivo de origen. Nota: Un analizador puede proporcionar este valor, el valor está disponible en el origen del registro y no es necesario extraerlo de la ruta de acceso completa. |
| SrcFileMimeType | Opcional | Cadena | Tipo Mime o Media del archivo de origen. Los valores admitidos se enumeran en el repositorio Tipos de medios de IANA . |
| SrcFileName | Recomendado | Cadena | Nombre del archivo de origen, sin una ruta de acceso o una ubicación, pero con una extensión si procede. Este campo debe ser similar al último elemento del campo SrcFilePath . |
| SrcFilePath | Recomendado | Cadena | Ruta de acceso completa y normalizada del archivo de origen, incluida la carpeta o ubicación, el nombre de archivo y la extensión. Para obtener más información, vea Estructura de ruta de acceso. Ejemplo: /etc/init.d/networking |
| SrcFilePathType | Recomendado | Enumerado | Tipo de SrcFilePath. Para obtener más información, vea Estructura de ruta de acceso. |
| SrcFileMD5 | Opcional | MD5 | Hash MD5 del archivo de origen. Ejemplo: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | Opcional | SHA1 | Hash SHA-1 del archivo de origen. Ejemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | Opcional | SHA256 | Hash SHA-256 del archivo de origen. Ejemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | Opcional | SHA512 | Hash SHA-512 del archivo de origen. |
| SrcFileSize | Opcional | Long | Tamaño del archivo de origen en bytes. |
Campos de actor
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| ActorUserId | Recomendado | Cadena | Representación única, alfanumérica y legible de la máquina del actor. Para obtener el formato admitido para diferentes tipos de identificador, consulte la entidad User. Ejemplo: S-1-12 |
| ActorScope | Opcional | Cadena | Ámbito, como Microsoft Entra inquilino, en el que se definen ActorUserId y ActorUsername. o más información y lista de valores permitidos, vea UserScope en el artículo Información general del esquema. |
| ActorScopeId | Opcional | Cadena | Identificador de ámbito, como Microsoft Entra id. de directorio, en el que se definen ActorUserId y ActorUsername. o más información y lista de valores permitidos, vea UserScopeId en el artículo Información general del esquema. |
| ActorUserIdType | Condicional | Enumerado | Tipo del identificador almacenado en el campo ActorUserId . Para obtener una lista de valores permitidos e información adicional, consulte UserIdType en el artículo Información general del esquema. |
| ActorUsername | Obligatorio | Nombre de usuario (cadena) | Nombre de usuario del actor, incluida la información de dominio cuando esté disponible. Para obtener el formato admitido para diferentes tipos de identificador, consulte la entidad User. Use el formulario simple solo si la información de dominio no está disponible. Almacene el tipo de nombre de usuario en el campo ActorUsernameType . Si hay otros formatos de nombre de usuario disponibles, guárdelos en los campos ActorUsername<UsernameType>.Ejemplo: AlbertE |
| Usuario | Alias | Alias del campo ActorUsername . Ejemplo: CONTOSO\dadmin |
|
| ActorUsernameType | Condicional | Enumerado | Especifica el tipo del nombre de usuario almacenado en el campo ActorUsername . Para obtener una lista de valores permitidos e información adicional, consulte UsernameType en el artículo Información general del esquema. Ejemplo: Windows |
| ActorSessionId | Opcional | Cadena | Identificador único de la sesión de inicio de sesión del actor. Ejemplo: 999Nota: El tipo se define como cadena para admitir sistemas variables, pero en Windows este valor debe ser numérico. Si usa una máquina Windows y usa otro tipo, asegúrese de convertir los valores. Por ejemplo, si usó un valor hexadecimal, conviértalo en un valor decimal. |
| ActorUserType | Opcional | UserType | Tipo de actor. Para obtener una lista de valores permitidos e información adicional, consulte UserType en el artículo Información general del esquema. Nota: El valor se puede proporcionar en el registro de origen mediante diferentes términos, que deben normalizarse a estos valores. Almacene el valor original en el campo ActorOriginalUserType . |
| ActorOriginalUserType | Opcional | Cadena | Tipo de usuario de destino original, si lo proporciona el dispositivo de informes. |
Campos de proceso de actuación
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| ActingProcessCommandLine | Opcional | Cadena | Línea de comandos usada para ejecutar el proceso de actuación. Ejemplo: "choco.exe" -v |
| ActingProcessName | Opcional | string | Nombre del proceso de actuación. Este nombre suele derivarse de la imagen o archivo ejecutable que se usa para definir el código inicial y los datos asignados al espacio de direcciones virtuales del proceso. Ejemplo: C:\Windows\explorer.exe |
| Proceso | Alias | Alias para ActingProcessName | |
| ActingProcessId | Opcional | Cadena | Identificador de proceso (PID) del proceso de actuación. Ejemplo: 48610176 Nota: El tipo se define como cadena para admitir sistemas variables, pero en Windows y Linux este valor debe ser numérico. Si usa una máquina Windows o Linux y usa otro tipo, asegúrese de convertir los valores. Por ejemplo, si usó un valor hexadecimal, conviértalo en un valor decimal. |
| ActingProcessGuid | Opcional | GUID (cadena) | Identificador único (GUID) generado del proceso de acción. Permite identificar el proceso entre sistemas. Ejemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Campos relacionados con el sistema de origen
Los campos siguientes representan información sobre el sistema que inicia la actividad de archivo, normalmente cuando se lleva a cabo a través de la red.
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| SrcIpAddr | Recomendado | Dirección IP | Cuando un sistema remoto inicia la operación, la dirección IP de este sistema. Ejemplo: 185.175.35.214 |
| IpAddr | Alias | Alias para SrcIpAddr | |
| Src | Alias | Alias para SrcIpAddr | |
| SrcPortNumber | Opcional | Entero | Cuando un sistema remoto inicia la operación, el número de puerto desde el que se inició la conexión. Ejemplo: 2335 |
| SrcHostname | Opcional | Nombre de host (cadena) | Nombre de host del dispositivo de origen, excepto la información de dominio. Si no hay ningún nombre de dispositivo disponible, almacene la dirección IP correspondiente en este campo. Ejemplo: DESKTOP-1282V4D |
| SrcDomain | Opcional | Dominio (cadena) | Dominio del dispositivo de origen. Ejemplo: Contoso |
| SrcDomainType | Condicional | DomainType | Tipo de SrcDomain. Para obtener una lista de valores permitidos e información adicional, consulte DomainType en el artículo Información general del esquema. Obligatorio si se usa SrcDomain . |
| SrcFQDN | Opcional | FQDN (cadena) | Nombre de host del dispositivo de origen, incluida la información de dominio cuando está disponible. Nota: Este campo admite el formato FQDN tradicional y el formato domain\hostname de Windows. El campo SrcDomainType refleja el formato usado. Ejemplo: Contoso\DESKTOP-1282V4D |
| SrcDescription | Opcional | Cadena | Texto descriptivo asociado al dispositivo. Por ejemplo: Primary Domain Controller. |
| SrcDvcId | Opcional | Cadena | Identificador del dispositivo de origen. Si hay varios identificadores disponibles, use el más importante y almacene los demás en los campos SrcDvc<DvcIdType>.Ejemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcional | Cadena | Identificador del ámbito de la plataforma en la nube al que pertenece el dispositivo. SrcDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcDvcScope | Opcional | Cadena | Ámbito de la plataforma en la nube al que pertenece el dispositivo. SrcDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcDvcIdType | Condicional | DvcIdType | Tipo de SrcDvcId. Para obtener una lista de los valores permitidos y más información, consulte DvcIdType en el artículo Información general del esquema. Nota: Este campo es necesario si se usa SrcDvcId . |
| SrcDeviceType | Opcional | DeviceType | Tipo del dispositivo de origen. Para obtener una lista de valores permitidos e información adicional, consulte DeviceType en el artículo Información general del esquema. |
| SrcGeoCountry | Opcional | País | País o región asociado a la dirección IP de origen. Ejemplo: USA |
| SrcGeoRegion | Opcional | Región | Región asociada a la dirección IP de origen. Ejemplo: Vermont |
| SrcGeoCity | Opcional | Ciudad | Ciudad asociada a la dirección IP de origen. Ejemplo: Burlington |
| SrcGeoLatitude | Opcional | Latitude | Latitud de la coordenada geográfica asociada a la dirección IP de origen. Ejemplo: 44.475833 |
| SrcGeoLongitude | Opcional | Longitude | Longitud de la coordenada geográfica asociada a la dirección IP de origen. Ejemplo: 73.211944 |
Campos de aplicación que actúan
Los campos siguientes representan información sobre una aplicación local que se comunica a través de una red con un sistema remoto para realizar la actividad de archivo.
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| ActingAppName | Opcional | Cadena | Nombre de la aplicación que actúa. Ejemplo: Facebook |
| ActingAppId | Opcional | Cadena | Identificador de la aplicación que actúa, tal y como informa el dispositivo de informes. |
| ActingAppType | Opcional | AppType | Tipo de la aplicación de destino. Para obtener una lista de valores permitidos e información adicional, consulte AppType en el artículo Información general del esquema. Este campo es obligatorio si se usan TargetAppName o TargetAppId . |
| HttpUserAgent | Opcional | Cadena | Cuando un sistema remoto inicia la operación mediante HTTP o HTTPS, se usa el agente de usuario. Por ejemplo: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | Opcional | Cadena | Cuando un sistema remoto inicia la operación, este valor es el protocolo de capa de aplicación usado en el modelo OSI. Aunque este campo no está enumerado y se acepta cualquier valor, los valores preferibles incluyen: HTTP, HTTPS, SMB,FTP y SSHEjemplo: SMB |
Campos de aplicación de destino
Los campos siguientes representan información sobre la aplicación de destino que realiza la actividad de archivo en nombre del usuario. Una aplicación de destino suele estar relacionada con la actividad de archivos a través de la red, por ejemplo, con aplicaciones SaaS (software como servicio).
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| TargetAppName | Opcional | Cadena | Nombre de la aplicación de destino. Ejemplo: Facebook |
| Aplicación | Alias | Alias a TargetAppName. | |
| TargetAppId | Opcional | Cadena | Identificador de la aplicación de destino, tal y como informa el dispositivo de informes. |
| TargetAppType | Condicional | AppType | Tipo de la aplicación de destino. Para obtener una lista de valores permitidos e información adicional, consulte AppType en el artículo Información general del esquema. Este campo es obligatorio si se usan TargetAppName o TargetAppId . |
| TargetOriginalAppType | Opcional | Cadena | Tipo de la aplicación de destino según lo notificado por el dispositivo de informes. |
| TargetUrl | Opcional | URL (String) | Cuando se inicia la operación mediante HTTP o HTTPS, se usa la dirección URL. Ejemplo: https://onedrive.live.com/?authkey=... |
| Url | Alias | Alias a TargetUrl |
Campos de inspección
Los campos siguientes se usan para representar esa inspección realizada por un sistema de seguridad como un sistema antivirus. El subproceso identificado suele asociarse al archivo en el que se realizó la actividad en lugar de a la propia actividad.
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| RuleName | Opcional | Cadena | Nombre o identificador de la regla asociado a los resultados de la inspección. |
| RuleNumber | Opcional | Entero | Número de la regla asociada a los resultados de la inspección. |
| Rule | Condicional | Cadena | El valor de kRuleName o el valor de RuleNumber. Si se usa el valor de RuleNumber , el tipo debe convertirse en cadena. |
| ThreatId | Opcional | Cadena | Identificador de la amenaza o malware identificado en la actividad de archivo. |
| ThreatName | Opcional | Cadena | Nombre de la amenaza o malware identificado en la actividad de archivo. Ejemplo: EICAR Test File |
| ThreatCategory | Opcional | Cadena | Categoría de la amenaza o malware identificada en la actividad de archivo. Ejemplo: Trojan |
| ThreatRiskLevel | Opcional | RiskLevel (integer) | Nivel de riesgo asociado a la amenaza identificada. El nivel debe ser un número entre 0 y 100. Nota: Es posible que el valor se proporcione en el registro de origen mediante una escala diferente, que debe normalizarse a esta escala. El valor original debe almacenarse en ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Opcional | Cadena | El nivel de riesgo notificado por el dispositivo de informes. |
| ThreatFilePath | Opcional | Cadena | Ruta de acceso de archivo para la que se identificó una amenaza. El campo ThreatField contiene el nombre del campo ThreatFilePath que representa. |
| ThreatField | Condicional | Enumerado | Campo para el que se identificó una amenaza. El valor es o SrcFilePathDstFilePath. |
| ThreatConfidence | Opcional | ConfidenceLevel (integer) | El nivel de confianza de la amenaza identificada, normalizada a un valor entre 0 y 100. |
| ThreatOriginalConfidence | Opcional | Cadena | El nivel de confianza original de la amenaza identificada, según lo notificado por el dispositivo de informes. |
| ThreatIsActive | Opcional | Booleano | True si la amenaza identificada se considera una amenaza activa. |
| ThreatFirstReportedTime | Opcional | datetime | La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| ThreatLastReportedTime | Opcional | datetime | La última vez que la dirección IP o el dominio se identificaron como una amenaza. |
Estructura de ruta de acceso
La ruta de acceso debe normalizarse para que coincida con uno de los siguientes formatos. El formato al que se normaliza el valor se reflejará en el campo FilePathType correspondiente.
| Tipo | Ejemplo | Notas |
|---|---|---|
| Windows Local | C:\Windows\System32\notepad.exe |
Dado que los nombres de ruta de acceso de Windows no distinguen mayúsculas de minúsculas, este tipo implica que el valor no distingue mayúsculas de minúsculas. |
| Recurso compartido de Windows | \\Documents\My Shapes\Favorites.vssx |
Dado que los nombres de ruta de acceso de Windows no distinguen mayúsculas de minúsculas, este tipo implica que el valor no distingue mayúsculas de minúsculas. |
| Unix | /etc/init.d/networking |
Dado que los nombres de ruta de acceso de Unix distinguen mayúsculas de minúsculas, este tipo implica que el valor distingue mayúsculas de minúsculas. - Use este tipo para AWS S3. Concatene los nombres de cubo y clave para crear la ruta de acceso. - Use este tipo para Azure claves de objeto de Blob Storage. |
| URL | https://1drv.ms/p/s!Av04S_*********we |
Use cuando la ruta de acceso del archivo esté disponible como dirección URL. Las direcciones URL no se limitan a http o https, y cualquier valor, incluido un valor FTP, es válido. |
Actualizaciones de esquema
Estos son los cambios en la versión 0.1.1 del esquema:
- Se agregó el campo
EventSchema.
Estos son los cambios en la versión 0.2 del esquema:
- Se han agregado campos de inspección.
- Se agregaron los campos
ActorScope,TargetUserScope,HashType,TargetAppName,TargetAppId,SrcGeoCountryTargetAppType, ,SrcGeoRegion,SrcGeoLongitude,SrcGeoLatitude,ActorSessionId,DvcScopeIdyDvcScope.. - Se agregaron los alias
Url,IpAddr, "FileName" ySrc.
Estos son los cambios en la versión 0.2.1 del esquema:
- Se agregó
Applicationcomo alias aTargetAppName. - Se agregó el campo
ActorScopeId - Se han agregado campos relacionados con el dispositivo de origen.
Estos son los cambios en la versión 0.2.2 del esquema:
- Se agregó el campo
TargetOriginalAppType - Se agregaron los campos
ActingAppIdyActingAppNameActingAppTypeque no están disponibles en la tablaASimFileEventLogs.
Siguientes pasos
Para más información, vea:
- Vea el seminario web de ASIM o revise las diapositivas.
- Introducción al modelo de información de seguridad avanzada (ASIM)
- Esquemas del modelo de información de seguridad avanzada (ASIM)
- Analizadores del modelo de información de seguridad avanzada (ASIM)
- Contenido del modelo de información de seguridad avanzada (ASIM)