Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het schema voor normalisatie van bestandsevenementen wordt gebruikt om bestandsactiviteit te beschrijven, zoals het maken, wijzigen of verwijderen van bestanden of documenten. Dergelijke gebeurtenissen worden gerapporteerd door besturingssystemen, bestandsopslagsystemen zoals Azure Files en documentbeheersystemen zoals Microsoft SharePoint.
Zie Normalisatie en het Advanced Security Information Model (ASIM) voor meer informatie over normalisatie in Microsoft Sentinel.
Parsers
Parsers voor bestandsactiviteit implementeren en gebruiken
Implementeer de ASIM File Activity-parsers vanuit de Microsoft Sentinel GitHub-opslagplaats. Als u een query wilt uitvoeren op alle bestandsactiviteitsbronnen, gebruikt u de parseerfunctie imFileEvent voor samenvoeging als de tabelnaam in uw query.
Zie het overzicht van ASIM-parsers voor meer informatie over het gebruik van ASIM-parsers. Raadpleeg de lijst met ASIM-parsers voor de lijst met bestandsactiviteitparsesers die Microsoft Sentinel out-of-the-box biedt
Uw eigen genormaliseerde parsers toevoegen
Bij het implementeren van aangepaste parsers voor het bestandsgebeurtenisinformatiemodel geeft u de KQL-functies een naam met behulp van de volgende syntaxis: imFileEvent<vendor><Product.
Raadpleeg het artikel ASIM-parsers beheren voor meer informatie over het toevoegen van uw aangepaste parsers aan de parser voor het samenvoegen van bestandsactiviteit.
Parameters voor filteren van parser
De bestands gebeurtenis parsers ondersteunen filterparameters. Hoewel deze parameters optioneel zijn, kunnen ze uw queryprestaties verbeteren.
De volgende filterparameters zijn beschikbaar:
| Naam | Type | Beschrijving |
|---|---|---|
| Starttime | Datetime | Filter alleen bestandsgebeurtenissen die zich op of na deze tijd hebben voorgedaan. Deze parameter filtert op het TimeGenerated veld, dat de standaardindeling is voor de tijd van de gebeurtenis, ongeacht de parserspecifieke toewijzing van de velden EventStartTime en EventEndTime. |
| Eindtijd | Datetime | Filter alleen bestandsgebeurtenissen die zich op of vóór deze tijd hebben voorgedaan. Deze parameter filtert op het TimeGenerated veld, dat de standaardindeling is voor de tijd van de gebeurtenis, ongeacht de parserspecifieke toewijzing van de velden EventStartTime en EventEndTime. |
| eventtype_in | Dynamische | Filter alleen bestandsevenementen waarbij het gebeurtenistype een van de vermelde waarden is, zoals FileCreated, FileModified, FileDeleted, FileRenamed, of FileCopied. |
| srcipaddr_has_any_prefix | Dynamische | Filter alleen bestandsgebeurtenissen waarbij het bron-IP-adresvoorvoegsel overeenkomt met een van de vermelde waarden. Voorvoegsels moeten eindigen op een ., bijvoorbeeld: 10.0.. |
| actorusername_has_any | Dynamische | Filter alleen bestandsgebeurtenissen waarbij de gebruikersnaam van de actor een van de vermelde waarden heeft. |
| targetfilepath_has_any | Dynamische | Filter alleen bestandsgebeurtenissen waarbij het doelbestandspad een van de vermelde waarden heeft. |
| srcfilepath_has_any | Dynamische | Filter alleen bestandsgebeurtenissen waarbij het bronbestandspad een van de vermelde waarden heeft. |
| hashes_has_any | Dynamische | Filter alleen bestandsevenementen waarbij de bestands-hash overeenkomt met een van de vermelde waarden. |
| dvchostname_has_any | Dynamische | Filter alleen bestandsgebeurtenissen waarbij de hostnaam van het apparaat een van de vermelde waarden heeft. |
Als u bijvoorbeeld alleen gebeurtenissen voor het maken en wijzigen van bestanden van de vorige dag wilt filteren, gebruikt u:
_Im_FileEvent (eventtype_in=dynamic(['FileCreated','FileModified']), starttime = ago(1d), endtime=now())
Genormaliseerde inhoud
Zie Bestandsactiviteit beveiligingsinhoud voor een volledige lijst met analyseregels die gebruikmaken van genormaliseerde bestandsactiviteitsgebeurtenissen.
Schemaoverzicht
Het gegevensmodel voor bestands gebeurtenis is uitgelijnd met het entiteitsschema OSSEM Process.
Het bestands gebeurtenisschema verwijst naar de volgende entiteiten, die centraal staan in bestandsactiviteiten:
- Acteur. De gebruiker die de bestandsactiviteit heeft geïnitieerd
- ActingProcess. Het proces dat door de actor wordt gebruikt om de bestandsactiviteit te initiëren
- TargetFile. Het bestand waarop de bewerking is uitgevoerd
- Bronbestand (SrcFile). Slaat bestandsinformatie op voorafgaand aan de bewerking.
De relatie tussen deze entiteiten kan het beste als volgt worden gedemonstreerd: Een actor voert een bestandsbewerking uit met behulp van een acteerproces, waardoor het bronbestand wordt gewijzigd in doelbestand.
Bijvoorbeeld: JohnDoe (Actor) gebruikt Windows File Explorer (Acterend proces) om de naam van (bronbestand) te wijzigen new.doc in old.doc (doelbestand).
Schemadetails
Algemene velden
Belangrijk
Algemene velden voor alle schema's worden uitgebreid beschreven in het artikel Algemene velden van ASIM .
Velden met specifieke richtlijnen voor het bestands gebeurtenisschema
In de volgende lijst worden velden vermeld met specifieke richtlijnen voor bestandsactiviteitsevenementen:
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| EventType | Verplicht | Opgesomde | Beschrijft de bewerking die door de record wordt gerapporteerd. Ondersteunde waarden zijn onder andere: - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| EventSubType | Optioneel | Opgesomde | Beschrijft details over de bewerking die is gerapporteerd in EventType. Ondersteunde waarden per gebeurtenistype zijn onder andere: - FileCreated
-
Upload, Checkin- FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed
-
Download, Preview, Checkout, Extended- FileDeleted
-
Recycled, Versions, Site |
| EventSchema | Verplicht | Opgesomde | De naam van het schema dat hier wordt beschreven , is FileEvent. |
| EventSchemaVersion | Verplicht | SchemaVersion (tekenreeks) | De versie van het schema. De versie van het schema dat hier wordt beschreven, is 0.2.2 |
| Dvc-velden | - | - | Voor Bestandsactiviteitsgebeurtenissen verwijzen apparaatvelden naar het systeem waarop de bestandsactiviteit heeft plaatsgevonden. |
Belangrijk
Het EventSchema veld is momenteel optioneel, maar wordt verplicht op 1 september 2022.
Alle algemene velden
Velden die in de tabel worden weergegeven, zijn gemeenschappelijk voor alle ASIM-schema's. Een van de schemaspecifieke richtlijnen in dit document overschrijft de algemene richtlijnen voor het veld. Een veld kan bijvoorbeeld in het algemeen optioneel zijn, maar verplicht voor een specifiek schema. Zie het artikel Algemene velden van ASIM voor meer informatie over elk veld.
| Klasse | Velden |
|---|---|
| Verplicht |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Aanbevolen |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optioneel |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcO's - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Doelbestandsvelden
De volgende velden vertegenwoordigen informatie over het doelbestand in een bestandsbewerking. Als de bewerking bijvoorbeeld één bestand omvat, FileCreate wordt het weergegeven door de doelbestandsvelden.
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| TargetFileCreationTime | Optioneel | Datum/tijd | Het tijdstip waarop het doelbestand is gemaakt. |
| TargetFileDirectory | Optioneel | Tekenreeks | De doelbestandsmap of -locatie. Dit veld moet vergelijkbaar zijn met het veld TargetFilePath , zonder het laatste element. Opmerking: een parser kan deze waarde opgeven als de waarde die beschikbaar is in de logboekbron en niet uit het volledige pad hoeft te worden geëxtraheerd. |
| TargetFileExtension | Optioneel | Tekenreeks | De doelbestandsextensie. Opmerking: een parser kan deze waarde opgeven als de waarde die beschikbaar is in de logboekbron en niet uit het volledige pad hoeft te worden geëxtraheerd. |
| TargetFileMimeType | Optioneel | Tekenreeks | Het mime- of mediatype van het doelbestand. Toegestane waarden worden weergegeven in de opslagplaats IANA-mediatypen . |
| TargetFileName | Aanbevolen | Tekenreeks | De naam van het doelbestand, zonder pad of locatie, maar met een extensie indien relevant. Dit veld moet vergelijkbaar zijn met het laatste element in het veld TargetFilePath . |
| Bestandsnaam | Alias | Alias naar het veld TargetFileName . | |
| TargetFilePath | Verplicht | Tekenreeks | Het volledige, genormaliseerde pad van het doelbestand, inclusief de map of locatie, de bestandsnaam en de extensie. Zie Padstructuur voor meer informatie. Opmerking: als de record geen map- of locatiegegevens bevat, slaat u de bestandsnaam alleen hier op. Voorbeeld: C:\Windows\System32\notepad.exe |
| TargetFilePathType | Verplicht | Opgesomde | Het type TargetFilePath. Zie Padstructuur voor meer informatie. |
| Filepath | Alias | Alias naar het veld TargetFilePath . | |
| TargetFileMD5 | Optioneel | MD5 | De MD5-hash van het doelbestand. Voorbeeld: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | Optioneel | SHA1 | De SHA-1-hash van het doelbestand. Voorbeeld: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | Optioneel | SHA256 | De SHA-256-hash van het doelbestand. Voorbeeld: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | Optioneel | SHA512 | De SHA-512-hash van het bronbestand. |
| Hash | Alias | Alias naar de best beschikbare doelbestands-hash. | |
| HashType | Voorwaardelijke | Opgesomde | Het type hash dat is opgeslagen in het veld HASH-alias, toegestane waarden zijn MD5, SHA, SHA256SHA512 en IMPHASH. Verplicht als Hash is ingevuld. |
| TargetFileSize | Optioneel | Lange | De grootte van het doelbestand in bytes. |
Bronbestandsvelden
De volgende velden vertegenwoordigen informatie over het bronbestand in een bestandsbewerking die zowel een bron als een doel heeft, zoals kopiëren. Als de bewerking één bestand omvat, wordt dit vertegenwoordigd door de doelbestandsvelden.
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| SrcFileCreationTime | Optioneel | Datum/tijd | Het tijdstip waarop het bronbestand is gemaakt. |
| SrcFileDirectory | Optioneel | Tekenreeks | De bronbestandsmap of -locatie. Dit veld moet vergelijkbaar zijn met het veld SrcFilePath , zonder het laatste element. Opmerking: een parser kan deze waarde opgeven als de waarde beschikbaar is in de logboekbron en niet uit het volledige pad hoeft te worden geëxtraheerd. |
| SrcFileExtension | Optioneel | Tekenreeks | De bestandsextensie van de bron. Opmerking: een parser kan deze waarde opgeven. De waarde is beschikbaar in de logboekbron en hoeft niet uit het volledige pad te worden geëxtraheerd. |
| SrcFileMimeType | Optioneel | Tekenreeks | Het mime- of mediatype van het bronbestand. Ondersteunde waarden worden weergegeven in de opslagplaats IANA-mediatypen . |
| SrcFileName | Aanbevolen | Tekenreeks | De naam van het bronbestand, zonder pad of locatie, maar met een extensie, indien relevant. Dit veld moet vergelijkbaar zijn met het laatste element in het veld SrcFilePath . |
| SrcFilePath | Aanbevolen | Tekenreeks | Het volledige, genormaliseerde pad van het bronbestand, inclusief de map of locatie, de bestandsnaam en de extensie. Zie Padstructuur voor meer informatie. Voorbeeld: /etc/init.d/networking |
| SrcFilePathType | Aanbevolen | Opgesomde | Het type SrcFilePath. Zie Padstructuur voor meer informatie. |
| SrcFileMD5 | Optioneel | MD5 | De MD5-hash van het bronbestand. Voorbeeld: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | Optioneel | SHA1 | De SHA-1-hash van het bronbestand. Voorbeeld: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | Optioneel | SHA256 | De SHA-256-hash van het bronbestand. Voorbeeld: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | Optioneel | SHA512 | De SHA-512-hash van het bronbestand. |
| SrcFilesize | Optioneel | Lange | De grootte van het bronbestand in bytes. |
Actorvelden
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| ActorUserId | Aanbevolen | Tekenreeks | Een machineleesbare, alfanumerieke, unieke weergave van de Actor. Raadpleeg de entiteit Gebruiker voor de ondersteunde indeling voor verschillende id-typen. Voorbeeld: S-1-12 |
| ActorScope | Optioneel | Tekenreeks | Het bereik, zoals Microsoft Entra tenant, waarin ActorUserId en ActorUsername zijn gedefinieerd. of zie UserScope in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| ActorScopeId | Optioneel | Tekenreeks | De bereik-id, zoals Microsoft Entra Directory-id, waarin ActorUserId en ActorUsername zijn gedefinieerd. of zie UserScopeId in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| ActorUserIdType | Voorwaardelijke | Opgesomde | Het type id dat is opgeslagen in het veld ActorUserId . Raadpleeg UserIdType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. |
| ActorUsername | Verplicht | Gebruikersnaam (tekenreeks) | De actor-gebruikersnaam, inclusief domeingegevens, indien beschikbaar. Raadpleeg de entiteit Gebruiker voor de ondersteunde indeling voor verschillende id-typen. Gebruik het eenvoudige formulier alleen als domeingegevens niet beschikbaar zijn. Sla het type Gebruikersnaam op in het veld ActorUsernameType . Als er andere gebruikersnaamindelingen beschikbaar zijn, slaat u deze op in de velden ActorUsername<UsernameType>.Voorbeeld: AlbertE |
| Gebruiker | Alias | Alias naar het veld ActorUsername . Voorbeeld: CONTOSO\dadmin |
|
| ActorUsernameType | Voorwaardelijke | Opgesomde | Hiermee geeft u het type van de gebruikersnaam op dat is opgeslagen in het veld ActorUsername . Raadpleeg UsernameType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Voorbeeld: Windows |
| ActorSessionId | Optioneel | Tekenreeks | De unieke id van de aanmeldingssessie van de Actor. Voorbeeld: 999Opmerking: Het type is gedefinieerd als tekenreeks voor ondersteuning van verschillende systemen, maar in Windows moet deze waarde numeriek zijn. Als u een Windows-computer gebruikt en een ander type hebt gebruikt, moet u de waarden converteren. Als u bijvoorbeeld een hexadecimale waarde hebt gebruikt, converteert u deze naar een decimale waarde. |
| ActorUserType | Optioneel | UserType | Het type Actor. Raadpleeg UserType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Opmerking: De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd naar deze waarden. Sla de oorspronkelijke waarde op in het veld ActorOriginalUserType . |
| ActorOriginalUserType | Optioneel | Tekenreeks | Het oorspronkelijke doelgebruikerstype, indien opgegeven door het rapportageapparaat. |
Velden voor handelend proces
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| ActingProcessCommandLine | Optioneel | Tekenreeks | De opdrachtregel die wordt gebruikt om het acteerproces uit te voeren. Voorbeeld: "choco.exe" -v |
| ActingProcessName | Optioneel | tekenreeks | De naam van het acteerproces. Deze naam is meestal afgeleid van de installatiekopieën of het uitvoerbare bestand dat wordt gebruikt om de eerste code en gegevens te definiëren die zijn toegewezen aan de virtuele adresruimte van het proces. Voorbeeld: C:\Windows\explorer.exe |
| Proces | Alias | Alias naar ActingProcessName | |
| ActingProcessId | Optioneel | Tekenreeks | De proces-id (PID) van het actieve proces. Voorbeeld: 48610176 Opmerking: Het type wordt gedefinieerd als tekenreeks voor ondersteuning van verschillende systemen, maar in Windows en Linux moet deze waarde numeriek zijn. Als u een Windows- of Linux-machine gebruikt en een ander type hebt gebruikt, moet u de waarden converteren. Als u bijvoorbeeld een hexadecimale waarde hebt gebruikt, converteert u deze naar een decimale waarde. |
| ActingProcessGuid | Optioneel | GUID (tekenreeks) | Een gegenereerde unieke id (GUID) van het acterende proces. Hiermee kunt u het proces tussen systemen identificeren. Voorbeeld: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Aan het bronsysteem gerelateerde velden
De volgende velden vertegenwoordigen informatie over het systeem dat de bestandsactiviteit start, meestal wanneer deze via het netwerk wordt overgedragen.
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| SrcIpAddr | Aanbevolen | IP-adres | Wanneer de bewerking wordt gestart door een extern systeem, het IP-adres van dit systeem. Voorbeeld: 185.175.35.214 |
| Ipaddr | Alias | Alias naar SrcIpAddr | |
| Src | Alias | Alias naar SrcIpAddr | |
| SrcPortNumber | Optioneel | Geheel getal | Wanneer de bewerking wordt gestart door een extern systeem, het poortnummer van waaruit de verbinding is gestart. Voorbeeld: 2335 |
| SrcHostname | Optioneel | Hostnaam (tekenreeks) | De hostnaam van het bronapparaat, met uitzondering van domeingegevens. Als er geen apparaatnaam beschikbaar is, slaat u het relevante IP-adres in dit veld op. Voorbeeld: DESKTOP-1282V4D |
| SrcDomain | Optioneel | Domein (tekenreeks) | Het domein van het bronapparaat. Voorbeeld: Contoso |
| SrcDomainType | Voorwaardelijke | DomainType | Het type SrcDomain. Raadpleeg DomainType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Vereist als SrcDomain wordt gebruikt. |
| SrcFQDN | Optioneel | FQDN (tekenreeks) | De hostnaam van het bronapparaat, inclusief domeingegevens indien beschikbaar. Opmerking: dit veld ondersteunt zowel de traditionele FQDN-indeling als de Windows-indeling domein\hostnaam. In het veld SrcDomainType wordt de gebruikte indeling weergegeven. Voorbeeld: Contoso\DESKTOP-1282V4D |
| SrcDescription | Optioneel | Tekenreeks | Een beschrijvende tekst die is gekoppeld aan het apparaat. Bijvoorbeeld: Primary Domain Controller. |
| SrcDvcId | Optioneel | Tekenreeks | De id van het bronapparaat. Als er meerdere id's beschikbaar zijn, gebruikt u de belangrijkste id en slaat u de andere id's op in de velden SrcDvc<DvcIdType>.Voorbeeld: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Optioneel | Tekenreeks | De bereik-id van het cloudplatform waartoe het apparaat behoort. SrcDvcScopeId wordt toegewezen aan een abonnements-id op Azure en aan een account-id op AWS. |
| SrcDvcScope | Optioneel | Tekenreeks | Het cloudplatformbereik waartoe het apparaat behoort. SrcDvcScope wordt toegewezen aan een abonnements-id op Azure en aan een account-id op AWS. |
| SrcDvcIdType | Voorwaardelijke | DvcIdType | Het type SrcDvcId. Raadpleeg DvcIdType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Opmerking: dit veld is vereist als SrcDvcId wordt gebruikt. |
| SrcDeviceType | Optioneel | DeviceType | Het type van het bronapparaat. Raadpleeg DeviceType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. |
| SrcGeoCountry | Optioneel | Land | Het land/de regio die is gekoppeld aan het bron-IP-adres. Voorbeeld: USA |
| SrcGeoRegion | Optioneel | Regio | De regio die is gekoppeld aan het bron-IP-adres. Voorbeeld: Vermont |
| SrcGeoCity | Optioneel | Plaats | De plaats die is gekoppeld aan het bron-IP-adres. Voorbeeld: Burlington |
| SrcGeoLatitude | Optioneel | Latitude | De breedtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. Voorbeeld: 44.475833 |
| SrcGeoLongitude | Optioneel | Lengtegraad | De lengtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. Voorbeeld: 73.211944 |
Actieve toepassingsvelden
De volgende velden vertegenwoordigen informatie over een lokale toepassing die via een netwerk met een extern systeem communiceerde om de bestandsactiviteit uit te voeren.
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| ActingAppName | Optioneel | Tekenreeks | De naam van de actieve toepassing. Voorbeeld: Facebook |
| ActingAppId | Optioneel | Tekenreeks | De id van de actieve toepassing, zoals gerapporteerd door het rapportageapparaat. |
| ActingAppType | Optioneel | AppType | Het type van de doeltoepassing. Raadpleeg AppType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Dit veld is verplicht als TargetAppName of TargetAppId wordt gebruikt. |
| HttpUserAgent | Optioneel | Tekenreeks | Wanneer de bewerking wordt gestart door een extern systeem met behulp van HTTP of HTTPS, wordt de gebruikersagent gebruikt. Bijvoorbeeld: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | Optioneel | Tekenreeks | Wanneer de bewerking wordt gestart door een extern systeem, is deze waarde het toepassingslaagprotocol dat wordt gebruikt in het OSI-model. Hoewel dit veld niet is geïnventariseerd en elke waarde wordt geaccepteerd, zijn de voorkeurswaarden: HTTP, HTTPS, SMB,FTP en SSHVoorbeeld: SMB |
Doeltoepassingsvelden
De volgende velden vertegenwoordigen informatie over de doeltoepassing die de bestandsactiviteit namens de gebruiker uitvoert. Een doeltoepassing is meestal gerelateerd aan bestandsactiviteit via het netwerk, bijvoorbeeld het gebruik van SaaS-toepassingen (Software as a service).
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| TargetAppName | Optioneel | Tekenreeks | De naam van de doeltoepassing. Voorbeeld: Facebook |
| Toepassing | Alias | Alias naar TargetAppName. | |
| TargetAppId | Optioneel | Tekenreeks | De id van de doeltoepassing, zoals gerapporteerd door het rapportageapparaat. |
| TargetAppType | Voorwaardelijke | AppType | Het type van de doeltoepassing. Raadpleeg AppType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Dit veld is verplicht als TargetAppName of TargetAppId wordt gebruikt. |
| TargetOriginalAppType | Optioneel | Tekenreeks | Het type van de doeltoepassing zoals gerapporteerd door het rapportageapparaat. |
| TargetUrl | Optioneel | URL (tekenreeks) | Wanneer de bewerking wordt gestart met behulp van HTTP of HTTPS, wordt de URL gebruikt. Voorbeeld: https://onedrive.live.com/?authkey=... |
| Url | Alias | Alias naar TargetUrl |
Inspectievelden
De volgende velden worden gebruikt om die inspectie weer te geven die wordt uitgevoerd door een beveiligingssysteem zoals een antivirussysteem. De geïdentificeerde thread is meestal gekoppeld aan het bestand waarop de activiteit is uitgevoerd in plaats van de activiteit zelf.
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| RuleName | Optioneel | Tekenreeks | De naam of id van de regel die is gekoppeld aan de inspectieresultaten. |
| RuleNumber | Optioneel | Geheel getal | Het nummer van de regel die is gekoppeld aan de inspectieresultaten. |
| Regel | Voorwaardelijke | Tekenreeks | De waarde van kRuleName of de waarde van RuleNumber. Als de waarde van RuleNumber wordt gebruikt, moet het type worden geconverteerd naar tekenreeks. |
| ThreatId | Optioneel | Tekenreeks | De id van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit. |
| ThreatName | Optioneel | Tekenreeks | De naam van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit. Voorbeeld: EICAR Test File |
| ThreatCategory | Optioneel | Tekenreeks | De categorie van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit. Voorbeeld: Trojan |
| ThreatRiskLevel | Optioneel | RiskLevel (geheel getal) | Het risiconiveau dat is gekoppeld aan de geïdentificeerde bedreiging. Het niveau moet een getal tussen 0 en 100 zijn. Opmerking: de waarde kan worden opgegeven in de bronrecord met behulp van een andere schaal, die moet worden genormaliseerd naar deze schaal. De oorspronkelijke waarde moet worden opgeslagen in ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Optioneel | Tekenreeks | Het risiconiveau zoals gerapporteerd door het rapportageapparaat. |
| ThreatFilePath | Optioneel | Tekenreeks | Een bestandspad waarvoor een bedreiging is geïdentificeerd. Het veld ThreatField bevat de naam van het veld dat ThreatFilePath vertegenwoordigt. |
| ThreatField | Voorwaardelijke | Opgesomde | Het veld waarvoor een bedreiging is geïdentificeerd. De waarde is of SrcFilePathDstFilePath. |
| ThreatConfidence | Optioneel | ConfidenceLevel (geheel getal) | Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd naar een waarde tussen 0 en een 100. |
| ThreatOriginalConfidence | Optioneel | Tekenreeks | Het oorspronkelijke betrouwbaarheidsniveau van de geïdentificeerde bedreiging, zoals gerapporteerd door het rapportageapparaat. |
| ThreatIsActive | Optioneel | Booleaanse waarde | Waar als de geïdentificeerde bedreiging wordt beschouwd als een actieve bedreiging. |
| ThreatFirstReportedTime | Optioneel | Datetime | De eerste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging. |
| ThreatLastReportedTime | Optioneel | Datetime | De laatste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging. |
Padstructuur
Het pad moet worden genormaliseerd zodat deze overeenkomt met een van de volgende indelingen. De indeling waarop de waarde is genormaliseerd, wordt weergegeven in het betreffende FilePathType-veld .
| Type | Voorbeeld | Opmerkingen |
|---|---|---|
| Windows Local | C:\Windows\System32\notepad.exe |
Omdat Windows-padnamen niet hoofdlettergevoelig zijn, betekent dit type dat de waarde niet hoofdlettergevoelig is. |
| Windows Share | \\Documents\My Shapes\Favorites.vssx |
Omdat Windows-padnamen niet hoofdlettergevoelig zijn, betekent dit type dat de waarde niet hoofdlettergevoelig is. |
| Unix | /etc/init.d/networking |
Omdat Unix-padnamen hoofdlettergevoelig zijn, betekent dit type dat de waarde hoofdlettergevoelig is. - Gebruik dit type voor AWS S3. Voeg de bucket- en sleutelnamen samen om het pad te maken. - Gebruik dit type voor Azure Blob Storage-objectsleutels. |
| URL | https://1drv.ms/p/s!Av04S_*********we |
Gebruik wanneer het bestandspad beschikbaar is als URL. URL's zijn niet beperkt tot http of https en elke waarde, inclusief een FTP-waarde, is geldig. |
Schema-updates
Dit zijn de wijzigingen in versie 0.1.1 van het schema:
- Het veld
EventSchemais toegevoegd.
Dit zijn de wijzigingen in versie 0.2 van het schema:
- Inspectievelden toegevoegd.
- De velden
ActorScope,TargetUserScope, ,HashType,TargetAppName,TargetAppIdTargetAppType,SrcGeoCountry,SrcGeoRegion, ,SrcGeoLongitude,SrcGeoLatitude, ,ActorSessionId,DvcScopeId, enDvcScope.. - De aliassen
Url,IpAddr'FileName' enSrczijn toegevoegd.
Dit zijn de wijzigingen in versie 0.2.1 van het schema:
- Toegevoegd
Applicationals alias aanTargetAppName. - Het veld toegevoegd
ActorScopeId - Aan het bronapparaat gerelateerde velden toegevoegd.
Dit zijn de wijzigingen in versie 0.2.2 van het schema:
- Het veld toegevoegd
TargetOriginalAppType - De velden
ActingAppIdzijn toegevoegd enActingAppTypeActingAppNamedie niet beschikbaar zijn in de tabelASimFileEventLogs.
Volgende stappen
Zie voor meer informatie: