Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le schéma de normalisation d’événement de fichier est utilisé pour décrire l’activité des fichiers, comme la création, la modification ou la suppression de fichiers ou de documents. Ces événements sont signalés par les systèmes d’exploitation, les systèmes de stockage de fichiers tels que Azure Files et les systèmes de gestion de documents tels que Microsoft SharePoint.
Pour plus d’informations sur la normalisation dans Microsoft Sentinel, consultez Normalisation et le modèle ASIM (Advanced Security Information Model).
Analyseurs
Déploiement et utilisation d’analyseurs d’activité de fichiers
Déployez les analyseurs D’activité de fichier ASIM à partir du dépôt GitHub Microsoft Sentinel. Pour interroger toutes les sources d’activité de fichier, utilisez l’analyseur imFileEvent d’unification comme nom de table dans votre requête.
Pour plus d’informations sur l’utilisation des analyseurs ASIM, consultez la vue d’ensemble des analyseurs ASIM. Pour obtenir la liste des analyseurs d’activité de fichiers Microsoft Sentinel fournit prête à l’emploi, reportez-vous à la liste des analyseurs ASIM.
Ajouter vos propres analyseurs normalisés
Lors de l’implémentation d’analyseurs personnalisés pour le modèle d’informations d’événement de fichier, nommez vos fonctions KQL à l’aide de la syntaxe suivante : imFileEvent<vendor><Product.
Reportez-vous à l’article Gestion des analyseurs ASIM pour savoir comment ajouter vos analyseurs personnalisés à l’activité de fichier qui unifie l’analyseur.
Filtrage des paramètres de l’analyseur
Les analyseurs d’événements de fichier prennent en charge les paramètres de filtrage. Bien que ces paramètres soient facultatifs, ils peuvent améliorer les performances de vos requêtes.
Les paramètres de filtrage suivants sont disponibles :
| Nom | Type | Description |
|---|---|---|
| Starttime | DateHeure | Filtrez uniquement les événements de fichier qui se sont produits à ou après cette heure. Ce paramètre filtre sur le TimeGenerated champ, qui est l’indicateur standard pour l’heure de l’événement, quel que soit le mappage spécifique à l’analyseur des champs EventStartTime et EventEndTime. |
| heure de fin | DateHeure | Filtrez uniquement les événements de fichier qui se sont produits à cette heure ou avant. Ce paramètre filtre sur le TimeGenerated champ, qui est l’indicateur standard pour l’heure de l’événement, quel que soit le mappage spécifique à l’analyseur des champs EventStartTime et EventEndTime. |
| eventtype_in | Dynamique | Filtrez uniquement les événements de fichier dont le type d’événement est l’une des valeurs répertoriées, telles que FileCreated, FileModified, FileDeleted, FileRenamedou FileCopied. |
| srcipaddr_has_any_prefix | Dynamique | Filtrez uniquement les événements de fichier pour lesquels le préfixe d’adresse IP source correspond à l’une des valeurs répertoriées. Les préfixes doivent se terminer par un ., par exemple : 10.0.. |
| actorusername_has_any | Dynamique | Filtrez uniquement les événements de fichier pour lesquels le nom d’utilisateur de l’acteur a l’une des valeurs répertoriées. |
| targetfilepath_has_any | Dynamique | Filtrez uniquement les événements de fichier pour lesquels le chemin du fichier cible contient l’une des valeurs répertoriées. |
| srcfilepath_has_any | Dynamique | Filtrez uniquement les événements de fichier pour lesquels le chemin du fichier source contient l’une des valeurs répertoriées. |
| hashes_has_any | Dynamique | Filtrez uniquement les événements de fichier où le hachage de fichier correspond à l’une des valeurs répertoriées. |
| dvchostname_has_any | Dynamique | Filtrez uniquement les événements de fichier pour lesquels le nom d’hôte de l’appareil a l’une des valeurs répertoriées. |
Par exemple, pour filtrer uniquement les événements de création et de modification de fichiers du dernier jour, utilisez :
_Im_FileEvent (eventtype_in=dynamic(['FileCreated','FileModified']), starttime = ago(1d), endtime=now())
Contenu normalisé
Pour obtenir la liste complète des règles d’analyse qui utilisent des événements d’activité de fichier normalisés, consultez Contenu de sécurité de l’activité de fichiers.
Vue d’ensemble du schéma
Le modèle d’informations sur les événements de fichier est aligné sur le schéma d’entité processus OSSEM.
Le schéma d’événement de fichier fait référence aux entités suivantes, qui sont au cœur des activités de fichier :
- Acteur. L’utilisateur qui a lancé l’activité de fichier
- ActingProcess. Processus utilisé par l’acteur pour lancer l’activité de fichier
- TargetFile. Fichier sur lequel l’opération a été effectuée
- Fichier source (SrcFile). Stocke les informations de fichier avant l’opération.
La relation entre ces entités est illustrée comme suit : Un acteur effectue une opération de fichier à l’aide d’un processus agissant, qui modifie le fichier source en fichier cible.
Par exemple : JohnDoe (Acteur) utilise Windows File Explorer (Processus d’action) pour renommer new.doc (Fichier source) en old.doc (Fichier cible).
Détails du schéma
Champs communs
Importante
Les champs communs à tous les schémas sont décrits en détail dans l’article Champs communs ASIM .
Champs avec des instructions spécifiques pour le schéma d’événement de fichier
La liste suivante mentionne les champs qui ont des instructions spécifiques pour les événements d’activité de fichier :
| Field | Class | Type | Description |
|---|---|---|---|
| Eventtype | Obligatoire | Énumérés | Décrit l’opération signalée par l’enregistrement. Les valeurs prises en charge incluent : - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| EventSubType | Facultatif | Énumérés | Décrit les détails de l’opération signalée dans EventType. Les valeurs prises en charge par type d’événement sont les suivantes : - FileCreated
-
Upload, Checkin- FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed
-
Download, Preview, Checkout, Extended- FileDeleted
-
Recycled, Versions, Site |
| EventSchema | Obligatoire | Énumérés | Le nom du schéma documenté ici est FileEvent. |
| EventSchemaVersion | Obligatoire | SchemaVersion (String) | Version du schéma. La version du schéma documentée ici est 0.2.2 |
| Champs Dvc | - | - | Pour les événements d’activité de fichier, les champs d’appareil font référence au système sur lequel l’activité de fichier s’est produite. |
Importante
Le EventSchema champ est actuellement facultatif, mais deviendra obligatoire le 1er septembre 2022.
Tous les champs courants
Les champs qui apparaissent dans la table sont communs à tous les schémas ASIM. L’une des instructions spécifiques au schéma de ce document remplace les instructions générales pour le champ. Par exemple, un champ peut être facultatif en général, mais obligatoire pour un schéma spécifique. Pour plus d’informations sur chaque champ, consultez l’article Champs communs ASIM .
| Class | Fields |
|---|---|
| Obligatoire |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Cvn |
| Recommandé |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Facultatif |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Champs de fichier cible
Les champs suivants représentent des informations sur le fichier cible dans une opération de fichier. Si l’opération implique un seul fichier, FileCreate par exemple, il est représenté par les champs de fichier cible.
| Field | Classe | Type | Description |
|---|---|---|---|
| TargetFileCreationTime | Facultatif | Date/Heure | Heure à laquelle le fichier cible a été créé. |
| TargetFileDirectory | Facultatif | String | Dossier ou emplacement du fichier cible. Ce champ doit être similaire au champ TargetFilePath , sans l’élément final. Remarque : un analyseur peut fournir cette valeur si la valeur disponible dans la source du journal n’a pas besoin d’être extraite du chemin d’accès complet. |
| TargetFileExtension | Facultatif | String | Extension de fichier cible. Remarque : un analyseur peut fournir cette valeur si la valeur disponible dans la source du journal n’a pas besoin d’être extraite du chemin d’accès complet. |
| TargetFileMimeType | Facultatif | String | Type Mime ou Média du fichier cible. Les valeurs autorisées sont répertoriées dans le référentiel IANA Media Types . |
| TargetFileName | Recommandé | String | Nom du fichier cible, sans chemin d’accès ni emplacement, mais avec une extension le cas échéant. Ce champ doit être similaire à l’élément final dans le champ TargetFilePath . |
| FileName | Alias | Alias du champ TargetFileName . | |
| TargetFilePath | Obligatoire | String | Chemin d’accès complet normalisé du fichier cible, y compris le dossier ou l’emplacement, le nom de fichier et l’extension. Pour plus d’informations, consultez Structure de chemin d’accès. Remarque : Si l’enregistrement n’inclut pas d’informations sur le dossier ou l’emplacement, stockez le nom de fichier uniquement ici. Exemple : C:\Windows\System32\notepad.exe |
| TargetFilePathType | Obligatoire | Énumérés | Type de TargetFilePath. Pour plus d’informations, consultez Structure de chemin d’accès. |
| FilePath | Alias | Alias du champ TargetFilePath . | |
| TargetFileMD5 | Facultatif | MD5 | Hachage MD5 du fichier cible. Exemple : 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | Facultatif | SHA1 | Hachage SHA-1 du fichier cible. Exemple : d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | Facultatif | SHA256 | Hachage SHA-256 du fichier cible. Exemple : e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | Facultatif | SHA512 | Hachage SHA-512 du fichier source. |
| Hachage | Alias | Alias du meilleur hachage de fichier cible disponible. | |
| HashType | Conditionnelle | Énumérés | Type de hachage stocké dans le champ d’alias HASH, les valeurs autorisées sont MD5, SHASHA256, SHA512 et IMPHASH. Obligatoire si Hash est rempli. |
| TargetFileSize | Facultatif | Entier long | Taille du fichier cible en octets. |
Champs du fichier source
Les champs suivants représentent des informations sur le fichier source dans une opération de fichier qui a à la fois une source et une destination, telle que la copie. Si l’opération implique un seul fichier, il est représenté par les champs du fichier cible.
| Field | Classe | Type | Description |
|---|---|---|---|
| SrcFileCreationTime | Facultatif | Date/Heure | Heure à laquelle le fichier source a été créé. |
| SrcFileDirectory | Facultatif | String | Dossier ou emplacement du fichier source. Ce champ doit être similaire au champ SrcFilePath , sans l’élément final. Remarque : un analyseur peut fournir cette valeur si la valeur est disponible dans la source du journal et n’a pas besoin d’être extraite du chemin d’accès complet. |
| SrcFileExtension | Facultatif | String | Extension de fichier source. Remarque : un analyseur peut fournir cette valeur dont la valeur est disponible dans la source du journal et n’a pas besoin d’être extraite du chemin d’accès complet. |
| SrcFileMimeType | Facultatif | String | Type Mime ou Media du fichier source. Les valeurs prises en charge sont répertoriées dans le référentiel IANA Media Types . |
| SrcFileName | Recommandé | String | Nom du fichier source, sans chemin d’accès ni emplacement, mais avec une extension le cas échéant. Ce champ doit être similaire au dernier élément du champ SrcFilePath . |
| SrcFilePath | Recommandé | String | Chemin d’accès complet normalisé du fichier source, y compris le dossier ou l’emplacement, le nom de fichier et l’extension. Pour plus d’informations, consultez Structure de chemin d’accès. Exemple : /etc/init.d/networking |
| SrcFilePathType | Recommandé | Énumérés | Type de SrcFilePath. Pour plus d’informations, consultez Structure de chemin d’accès. |
| SrcFileMD5 | Facultatif | MD5 | Hachage MD5 du fichier source. Exemple : 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | Facultatif | SHA1 | Hachage SHA-1 du fichier source. Exemple : d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | Facultatif | SHA256 | Hachage SHA-256 du fichier source. Exemple : e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | Facultatif | SHA512 | Hachage SHA-512 du fichier source. |
| SrcFileSize | Facultatif | Entier long | Taille du fichier source en octets. |
Champs d’acteur
| Field | Classe | Type | Description |
|---|---|---|---|
| ActorUserId | Recommandé | String | Représentation unique, alphanumérique et lisible par ordinateur de l’acteur. Pour connaître le format pris en charge pour les différents types d’ID, reportez-vous à l’entité Utilisateur. Exemple : S-1-12 |
| ActorScope | Facultatif | String | Étendue, telle que Microsoft Entra locataire, dans laquelle ActorUserId et ActorUsername sont définis. ou plus d’informations et la liste des valeurs autorisées, consultez UserScope dans l’article Vue d’ensemble du schéma. |
| ActorScopeId | Facultatif | String | ID d’étendue, tel que Microsoft Entra ID d’annuaire, dans lequel ActorUserId et ActorUsername sont définis. ou plus d’informations et la liste des valeurs autorisées, consultez UserScopeId dans l’article Vue d’ensemble du schéma. |
| ActorUserIdType | Conditionnelle | Énumérés | Type de l’ID stocké dans le champ ActorUserId . Pour obtenir la liste des valeurs autorisées et plus d’informations, reportez-vous à UserIdType dans l’article Vue d’ensemble du schéma. |
| ActorUsername | Obligatoire | Nom d’utilisateur (chaîne) | Nom d’utilisateur de l’acteur, y compris les informations de domaine lorsqu’elles sont disponibles. Pour connaître le format pris en charge pour les différents types d’ID, reportez-vous à l’entité Utilisateur. Utilisez le formulaire simple uniquement si les informations de domaine ne sont pas disponibles. Stockez le type de nom d’utilisateur dans le champ ActorUsernameType . Si d’autres formats de nom d’utilisateur sont disponibles, stockez-les dans les champs ActorUsername<UsernameType>.Exemple : AlbertE |
| Utilisateur | Alias | Alias du champ ActorUsername . Exemple : CONTOSO\dadmin |
|
| ActorUsernameType | Conditionnelle | Énumérés | Spécifie le type du nom d’utilisateur stocké dans le champ ActorUsername . Pour obtenir la liste des valeurs autorisées et plus d’informations, reportez-vous à UsernameType dans l’article Vue d’ensemble du schéma. Exemple : Windows |
| ActorSessionId | Facultatif | String | ID unique de la session de connexion de l’acteur. Exemple : 999Remarque : Le type est défini en tant que chaîne pour prendre en charge différents systèmes, mais sur Windows, cette valeur doit être numérique. Si vous utilisez une machine Windows et que vous avez utilisé un type différent, veillez à convertir les valeurs. Par exemple, si vous avez utilisé une valeur hexadécimale, convertissez-la en valeur décimale. |
| ActorUserType | Facultatif | UserType | Type d’acteur. Pour obtenir la liste des valeurs autorisées et plus d’informations, reportez-vous à UserType dans l’article Vue d’ensemble du schéma. Remarque : La valeur peut être fournie dans l’enregistrement source à l’aide de termes différents, qui doivent être normalisés avec ces valeurs. Stockez la valeur d’origine dans le champ ActorOriginalUserType . |
| ActorOriginalUserType | Facultatif | String | Type d’utilisateur de destination d’origine, s’il est fourni par l’appareil de création de rapports. |
Champs de processus d’action
| Field | Classe | Type | Description |
|---|---|---|---|
| ActingProcessCommandLine | Facultatif | String | Ligne de commande utilisée pour exécuter le processus d’action. Exemple : "choco.exe" -v |
| ActingProcessName | Facultatif | string | Nom du processus d’action. Ce nom est généralement dérivé du fichier image ou exécutable utilisé pour définir le code initial et les données mappées dans l’espace d’adressage virtuel du processus. Exemple : C:\Windows\explorer.exe |
| Processus | Alias | Alias de ActingProcessName | |
| ActingProcessId | Facultatif | String | ID de processus (PID) du processus d’action. Exemple : 48610176 Remarque : Le type est défini en tant que chaîne pour prendre en charge différents systèmes, mais sur Windows et Linux cette valeur doit être numérique. Si vous utilisez un ordinateur Windows ou Linux et que vous avez utilisé un autre type, veillez à convertir les valeurs. Par exemple, si vous avez utilisé une valeur hexadécimale, convertissez-la en valeur décimale. |
| ActingProcessGuid | Facultatif | GUID (chaîne) | Identificateur unique (GUID) généré du processus d’action. Permet d’identifier le processus entre les systèmes. Exemple : EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Champs liés au système source
Les champs suivants représentent des informations sur le système qui lance l’activité de fichier, généralement en cas de transfert sur le réseau.
| Field | Classe | Type | Description |
|---|---|---|---|
| SrcIpAddr | Recommandé | Adresse IP | Lorsque l’opération est lancée par un système distant, l’adresse IP de ce système. Exemple : 185.175.35.214 |
| IpAddr | Alias | Alias de SrcIpAddr | |
| Src | Alias | Alias de SrcIpAddr | |
| SrcPortNumber | Facultatif | Entier | Lorsque l’opération est lancée par un système distant, numéro de port à partir duquel la connexion a été lancée. Exemple : 2335 |
| SrcHostname | Facultatif | Hostname (String) | Nom d’hôte de l’appareil source, à l’exception des informations de domaine. Si aucun nom d’appareil n’est disponible, stockez l’adresse IP appropriée dans ce champ. Exemple : DESKTOP-1282V4D |
| SrcDomain | Facultatif | Domaine (Chaîne) | Domaine de l’appareil source. Exemple : Contoso |
| SrcDomainType | Conditionnelle | DomainType | Type de SrcDomain. Pour obtenir la liste des valeurs autorisées et plus d’informations, reportez-vous à DomainType dans l’article Vue d’ensemble du schéma. Obligatoire si SrcDomain est utilisé. |
| SrcFQDN | Facultatif | Nom de domaine complet (chaîne) | Nom d’hôte de l’appareil source, y compris les informations de domaine lorsqu’elles sont disponibles. Remarque : ce champ prend en charge à la fois le format FQDN traditionnel et le format domaine\nom d’hôte Windows. Le champ SrcDomainType reflète le format utilisé. Exemple : Contoso\DESKTOP-1282V4D |
| SrcDescription | Facultatif | String | Texte descriptif associé à l’appareil. Par exemple : Primary Domain Controller. |
| SrcDvcId | Facultatif | String | ID de l’appareil source. Si plusieurs ID sont disponibles, utilisez le plus important et stockez les autres dans les champs SrcDvc<DvcIdType>.Exemple : ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Facultatif | String | ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil. SrcDvcScopeId mappé à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcDvcScope | Facultatif | String | Étendue de la plateforme cloud à laquelle appartient l’appareil. SrcDvcScope mappé à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcDvcIdType | Conditionnelle | DvcIdType | Type de SrcDvcId. Pour obtenir la liste des valeurs autorisées et plus d’informations, reportez-vous à DvcIdType dans l’article Vue d’ensemble du schéma. Remarque : Ce champ est obligatoire si SrcDvcId est utilisé. |
| SrcDeviceType | Facultatif | DeviceType | Type de l’appareil source. Pour obtenir la liste des valeurs autorisées et plus d’informations, reportez-vous à DeviceType dans l’article Vue d’ensemble du schéma. |
| SrcGeoCountry | Facultatif | Pays | Pays/région associé à l’adresse IP source. Exemple : USA |
| SrcGeoRegion | Facultatif | Région | Région associée à l’adresse IP source. Exemple : Vermont |
| SrcGeoCity | Facultatif | Ville | Ville associée à l’adresse IP source. Exemple : Burlington |
| SrcGeoLatitude | Facultatif | Latitude | Latitude de la coordonnée géographique associée à l’adresse IP source. Exemple : 44.475833 |
| SrcGeoLongitude | Facultatif | Longitude | Longitude de la coordonnée géographique associée à l’adresse IP source. Exemple : 73.211944 |
Champs d’application en cours d’action
Les champs suivants représentent des informations sur une application locale qui a communiqué sur un réseau avec un système distant pour effectuer l’activité de fichier.
| Field | Classe | Type | Description |
|---|---|---|---|
| ActingAppName | Facultatif | String | Nom de l’application agissante. Exemple : Facebook |
| ActingAppId | Facultatif | String | ID de l’application agissante, tel que signalé par l’appareil de création de rapports. |
| ActingAppType | Facultatif | AppType | Type de l’application de destination. Pour obtenir la liste des valeurs autorisées et plus d’informations, reportez-vous à AppType dans l’article Vue d’ensemble du schéma. Ce champ est obligatoire si TargetAppName ou TargetAppId sont utilisés. |
| HttpUserAgent | Facultatif | String | Lorsque l’opération est lancée par un système distant utilisant HTTP ou HTTPS, l’agent utilisateur a utilisé. Par exemple : Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | Facultatif | String | Lorsque l’opération est lancée par un système distant, cette valeur est le protocole de couche application utilisé dans le modèle OSI. Bien que ce champ ne soit pas énuméré et qu’une valeur soit acceptée, les valeurs préférables sont les suivantes : HTTP, HTTPSSMB,FTP etSSHExemple : SMB |
Champs d’application cibles
Les champs suivants représentent des informations sur l’application de destination qui effectue l’activité de fichier pour le compte de l’utilisateur. Une application de destination est généralement liée à l’activité des fichiers sur le réseau, par exemple à l’aide d’applications SaaS (Software as a service).
| Field | Classe | Type | Description |
|---|---|---|---|
| TargetAppName | Facultatif | String | Nom de l’application de destination. Exemple : Facebook |
| Application | Alias | Alias de TargetAppName. | |
| TargetAppId | Facultatif | String | ID de l’application de destination, tel que signalé par l’appareil de création de rapports. |
| TargetAppType | Conditionnelle | AppType | Type de l’application de destination. Pour obtenir la liste des valeurs autorisées et plus d’informations, reportez-vous à AppType dans l’article Vue d’ensemble du schéma. Ce champ est obligatoire si TargetAppName ou TargetAppId sont utilisés. |
| TargetOriginalAppType | Facultatif | String | Type de l’application de destination tel que signalé par l’appareil de création de rapports. |
| TargetUrl | Facultatif | URL (String) | Lorsque l’opération est lancée à l’aide de HTTP ou HTTPS, l’URL utilisée. Exemple : https://onedrive.live.com/?authkey=... |
| Url | Alias | Alias de TargetUrl |
Champs d’inspection
Les champs suivants sont utilisés pour représenter l’inspection effectuée par un système de sécurité tel qu’un système antivirus. Le thread identifié est généralement associé au fichier sur lequel l’activité a été effectuée plutôt qu’à l’activité elle-même.
| Field | Classe | Type | Description |
|---|---|---|---|
| RuleName | Facultatif | String | Nom ou ID de la règle associé aux résultats de l’inspection. |
| RuleNumber | Facultatif | Entier | Numéro de la règle associée aux résultats de l’inspection. |
| Règle | Conditionnelle | String | La valeur de kRuleName ou la valeur de RuleNumber. Si la valeur de RuleNumber est utilisée, le type doit être converti en chaîne. |
| ThreatId | Facultatif | String | ID de la menace ou du programme malveillant identifié dans l’activité de fichier. |
| ThreatName | Facultatif | String | Nom de la menace ou du programme malveillant identifié dans l’activité de fichier. Exemple : EICAR Test File |
| ThreatCategory | Facultatif | String | Catégorie de la menace ou du programme malveillant identifié dans l’activité de fichier. Exemple : Trojan |
| ThreatRiskLevel | Facultatif | RiskLevel (Integer) | Niveau de risque associé à la menace identifiée. Le niveau doit être un nombre compris entre 0 et 100. Remarque : La valeur peut être fournie dans l’enregistrement source à l’aide d’une échelle différente, qui doit être normalisée à cette échelle. La valeur d’origine doit être stockée dans ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Facultatif | String | Niveau de risque indiqué par l’appareil de création de rapports. |
| ThreatFilePath | Facultatif | String | Chemin d’accès de fichier pour lequel une menace a été identifiée. Le champ ThreatField contient le nom du champ ThreatFilePath . |
| ThreatField | Conditionnelle | Énumérés | Champ pour lequel une menace a été identifiée. La valeur est ou SrcFilePathDstFilePath. |
| ThreatConfidence | Facultatif | ConfidenceLevel (Integer) | Niveau de confiance de la menace identifiée, normalisé à une valeur comprise entre 0 et 100. |
| ThreatOriginalConfidence | Facultatif | String | Niveau de confiance d’origine de la menace identifiée, tel que signalé par l’appareil de création de rapports. |
| ThreatIsActive | Facultatif | Booléen | True si la menace identifiée est considérée comme une menace active. |
| ThreatFirstReportedTime | Facultatif | DateHeure | La première fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatLastReportedTime | Facultatif | DateHeure | Dernière fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
Structure du chemin d’accès
Le chemin d’accès doit être normalisé pour correspondre à l’un des formats suivants. Le format auquel la valeur est normalisée est reflété dans le champ FilePathType correspondant.
| Type | Exemple | Notes |
|---|---|---|
| Windows Local | C:\Windows\System32\notepad.exe |
Étant donné que les noms de chemin d’accès Windows ne respectent pas la casse, ce type implique que la valeur ne respecte pas la casse. |
| Partage Windows | \\Documents\My Shapes\Favorites.vssx |
Étant donné que les noms de chemin d’accès Windows ne respectent pas la casse, ce type implique que la valeur ne respecte pas la casse. |
| Unix | /etc/init.d/networking |
Étant donné que les noms de chemin d’accès Unix respectent la casse, ce type implique que la valeur respecte la casse. - Utilisez ce type pour AWS S3. Concaténer le compartiment et les noms de clé pour créer le chemin d’accès. - Utilisez ce type pour Azure clés d’objet de stockage Blob. |
| URL | https://1drv.ms/p/s!Av04S_*********we |
À utiliser lorsque le chemin d’accès au fichier est disponible en tant qu’URL. Les URL ne sont pas limitées à http ou https, et toute valeur, y compris une valeur FTP, est valide. |
Mises à jour de schéma
Voici les modifications apportées à la version 0.1.1 du schéma :
- Ajout du champ
EventSchema.
Voici les modifications apportées à la version 0.2 du schéma :
- Ajout de champs d’inspection.
- Ajout des champs
ActorScope,TargetUserScope,HashType,TargetAppName,TargetAppId,TargetAppType,SrcGeoCountrySrcGeoRegion,SrcGeoLongitude,DvcScopeIdSrcGeoLatitudeActorSessionIdetDvcScope.. - Ajout des
Urlalias ,IpAddr, « FileName » etSrc.
Voici les modifications apportées à la version 0.2.1 du schéma :
- Ajouté
Applicationen tant qu’alias àTargetAppName. - Ajout du champ
ActorScopeId - Ajout de champs associés à l’appareil source.
Voici les modifications apportées à la version 0.2.2 du schéma :
- Ajout du champ
TargetOriginalAppType - Ajout des champs
ActingAppId,ActingAppNameetActingAppTypequi ne sont pas disponibles dans la tableASimFileEventLogs.
Prochaines étapes
Pour plus d’informations, reportez-vous aux rubriques suivantes :