Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Normaliseringsschemat för filhändelser används för att beskriva filaktivitet som att skapa, ändra eller ta bort filer eller dokument. Sådana händelser rapporteras av operativsystem, fillagringssystem som Azure Files och dokumenthanteringssystem som Microsoft SharePoint.
Mer information om normalisering i Microsoft Sentinel finns i Normalisering och ASIM (Advanced Security Information Model).
Tolkar
Distribuera och använda filaktivitetsparsers
Distribuera ASIM-filaktivitetsparsers från Microsoft Sentinel GitHub-lagringsplats. Om du vill köra frågor mot alla filaktivitetskällor använder du den enande parsern imFileEvent som tabellnamn i frågan.
Mer information om hur du använder ASIM-parsers finns i översikten över ASIM-parsers. Listan över filaktivitetsparsers Microsoft Sentinel innehåller färdiga anvisningar finns i ASIM-parsningslistan
Lägg till dina egna normaliserade parsers
När du implementerar anpassade parsers för filhändelseinformationsmodellen namnger du dina KQL-funktioner med hjälp av följande syntax: imFileEvent<vendor><Product.
Läs artikeln Hantera ASIM-parsers för att lära dig hur du lägger till dina anpassade parsers i filaktivitetens enande parser.
Filtrera parserparametrar
Filhändelseparsers stöder filtreringsparametrar. Även om de här parametrarna är valfria kan de förbättra frågeprestandan.
Följande filtreringsparametrar är tillgängliga:
| Namn | Typ | Beskrivning |
|---|---|---|
| Starttime | Datetime | Filtrera endast filhändelser som inträffat vid eller efter den här tiden. Den här parametern filtrerar fältet TimeGenerated , som är standarddesignatorn för tidpunkten för händelsen, oavsett parserspecifik mappning av fälten EventStartTime och EventEndTime. |
| Endtime | Datetime | Filtrera endast filhändelser som inträffat vid eller före den här tiden. Den här parametern filtrerar fältet TimeGenerated , som är standarddesignatorn för tidpunkten för händelsen, oavsett parserspecifik mappning av fälten EventStartTime och EventEndTime. |
| eventtype_in | Dynamisk | Filtrera endast filhändelser där händelsetypen är ett av de värden som anges, till exempel FileCreated, FileModified, FileDeleted, FileRenamedeller FileCopied. |
| srcipaddr_has_any_prefix | Dynamisk | Filtrera endast filhändelser där käll-IP-adressprefixet matchar något av de angivna värdena. Prefix ska sluta med , .till exempel: 10.0.. |
| actorusername_has_any | Dynamisk | Filtrera endast filhändelser där aktörens användarnamn har något av de angivna värdena. |
| targetfilepath_has_any | Dynamisk | Filtrera endast filhändelser där målfilsökvägen har något av de angivna värdena. |
| srcfilepath_has_any | Dynamisk | Filtrera endast filhändelser där källfilsökvägen har något av de angivna värdena. |
| hashes_has_any | Dynamisk | Filtrera endast filhändelser där filhashen matchar något av de angivna värdena. |
| dvchostname_has_any | Dynamisk | Filtrera endast filhändelser där enhetens värdnamn har något av de angivna värdena. |
Om du till exempel bara vill filtrera händelser för att skapa och ändra filer från den senaste dagen använder du:
_Im_FileEvent (eventtype_in=dynamic(['FileCreated','FileModified']), starttime = ago(1d), endtime=now())
Normaliserat innehåll
En fullständig lista över analysregler som använder normaliserade filaktivitetshändelser finns i Säkerhetsinnehåll för filaktivitet.
Schemaöversikt
Filhändelseinformationsmodellen är justerad efter OSSEM-processens entitetsschema.
Schemat för filhändelse refererar till följande entiteter, som är centrala för filaktiviteter:
- Skådespelare. Användaren som initierade filaktiviteten
- ActingProcess. Processen som används av aktören för att initiera filaktiviteten
- TargetFile. Filen där åtgärden utfördes
- Källfil (SrcFile). Lagrar filinformation före åtgärden.
Relationen mellan dessa entiteter visas bäst på följande sätt: En aktör utför en filåtgärd med hjälp av en agerar process, som ändrar källfilen till målfilen.
Till exempel: JohnDoe (Aktör) använder Windows File Explorer (agerar process) för att byta new.doc namn (källfil) till old.doc (målfil).
Schemainformation
Vanliga fält
Viktigt
Fält som är gemensamma för alla scheman beskrivs i detalj i artikeln vanliga ASIM-fält .
Fält med specifika riktlinjer för filhändelseschemat
I följande lista nämns fält som har specifika riktlinjer för filaktivitetshändelser:
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Eventtype | Obligatorisk | Uppräknade | Beskriver åtgärden som rapporterats av posten. Värden som stöds är: - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| EventSubType | Valfritt | Uppräknade | Beskriver information om åtgärden som rapporteras i EventType. Värden som stöds per händelsetyp är: - FileCreated
-
Upload, Checkin- FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed
-
Download, Preview, Checkout, Extended- FileDeleted
-
Recycled, Versions, Site |
| EventSchema | Obligatorisk | Uppräknade | Namnet på schemat som dokumenteras här är FileEvent. |
| EventSchemaVersion | Obligatorisk | SchemaVersion (sträng) | Versionen av schemat. Den version av schemat som dokumenteras här är 0.2.2 |
| Dvc-fält | - | - | För filaktivitetshändelser refererar enhetsfälten till det system där filaktiviteten inträffade. |
Viktigt
Fältet EventSchema är för närvarande valfritt men blir obligatoriskt den 1 september 2022.
Alla vanliga fält
Fält som visas i tabellen är gemensamma för alla ASIM-scheman. Alla schemaspecifika riktlinjer i det här dokumentet åsidosätter de allmänna riktlinjerna för fältet. Ett fält kan till exempel vara valfritt i allmänhet, men obligatoriskt för ett visst schema. Mer information om varje fält finns i artikeln vanliga ASIM-fält .
| Klass | Fält |
|---|---|
| Obligatorisk |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Rekommenderas |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valfritt |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Målfilfält
Följande fält representerar information om målfilen i en filåtgärd. Om åtgärden omfattar en enda fil FileCreate representeras den till exempel av målfilfälten.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| TargetFileCreationTime | Valfritt | Datum/tid | Tidpunkten då målfilen skapades. |
| TargetFileDirectory | Valfritt | Sträng | Målfilens mapp eller plats. Det här fältet bör likna fältet TargetFilePath utan det slutliga elementet. Obs! En parser kan ange det här värdet om värdet som är tillgängligt i loggkällan och inte behöver extraheras från den fullständiga sökvägen. |
| TargetFileExtension | Valfritt | Sträng | Målfiltillägget. Obs! En parser kan ange det här värdet om värdet som är tillgängligt i loggkällan och inte behöver extraheras från den fullständiga sökvägen. |
| TargetFileMimeType | Valfritt | Sträng | Mime- eller Media-typen för målfilen. Tillåtna värden visas i IANA Media Types-lagringsplatsen. |
| TargetFileName | Rekommenderas | Sträng | Namnet på målfilen, utan sökväg eller plats, men med ett tillägg om det är relevant. Det här fältet bör likna det sista elementet i fältet TargetFilePath . |
| Filnamn | Alias | Alias för fältet TargetFileName . | |
| TargetFilePath | Obligatorisk | Sträng | Den fullständiga, normaliserade sökvägen till målfilen, inklusive mappen eller platsen, filnamnet och tillägget. Mer information finns i Sökvägsstruktur. Obs! Om posten inte innehåller mapp- eller platsinformation lagrar du endast filnamnet här. Exempel: C:\Windows\System32\notepad.exe |
| TargetFilePathType | Obligatorisk | Uppräknade | Typ av TargetFilePath. Mer information finns i Sökvägsstruktur. |
| Filepath | Alias | Alias för fältet TargetFilePath . | |
| TargetFileMD5 | Valfritt | MD5 | MD5-hashen för målfilen. Exempel: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | Valfritt | SHA1 | SHA-1-hashen för målfilen. Exempel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | Valfritt | SHA256 | SHA-256-hashen för målfilen. Exempel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | Valfritt | SHA512 | SHA-512-hashen för källfilen. |
| Hash | Alias | Alias till den bästa tillgängliga målfilhashen. | |
| HashType | Villkorsstyrd | Uppräknade | Typen av hash som lagras i hash-aliasfältet, tillåtna värden är MD5, SHA, SHA256och IMPHASHSHA512 . Obligatoriskt om Hash fylls i. |
| TargetFileSize | Valfritt | Lång | Storleken på målfilen i byte. |
Källfilfält
Följande fält representerar information om källfilen i en filåtgärd som har både en källa och ett mål, till exempel kopia. Om åtgärden omfattar en enda fil representeras den av målfilfälten.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| SrcFileCreationTime | Valfritt | Datum/tid | Tidpunkten då källfilen skapades. |
| SrcFileDirectory | Valfritt | Sträng | Källfilens mapp eller plats. Det här fältet bör likna fältet SrcFilePath utan det sista elementet. Obs! En parser kan ange det här värdet om värdet är tillgängligt i loggkällan och inte behöver extraheras från den fullständiga sökvägen. |
| SrcFileExtension | Valfritt | Sträng | Källfilstillägget. Obs! En parser kan ange det här värdet som värdet är tillgängligt i loggkällan och behöver inte extraheras från den fullständiga sökvägen. |
| SrcFileMimeType | Valfritt | Sträng | Mime- eller Media-typen för källfilen. Värden som stöds visas i IANA Media Types-lagringsplatsen. |
| SrcFileName | Rekommenderas | Sträng | Namnet på källfilen, utan sökväg eller plats, men med ett tillägg om det är relevant. Det här fältet bör likna det sista elementet i fältet SrcFilePath . |
| SrcFilePath | Rekommenderas | Sträng | Den fullständiga, normaliserade sökvägen till källfilen, inklusive mappen eller platsen, filnamnet och tillägget. Mer information finns i Sökvägsstruktur. Exempel: /etc/init.d/networking |
| SrcFilePathType | Rekommenderas | Uppräknade | Typ av SrcFilePath. Mer information finns i Sökvägsstruktur. |
| SrcFileMD5 | Valfritt | MD5 | MD5-hashen för källfilen. Exempel: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | Valfritt | SHA1 | SHA-1-hashen för källfilen. Exempel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | Valfritt | SHA256 | SHA-256-hashen för källfilen. Exempel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | Valfritt | SHA512 | SHA-512-hashen för källfilen. |
| SrcFileSize | Valfritt | Lång | Storleken på källfilen i byte. |
Aktörsfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| ActorUserId | Rekommenderas | Sträng | En maskinläsbar, alfanumerisk, unik representation av aktören. Det format som stöds för olika ID-typer finns i entiteten Användare. Exempel: S-1-12 |
| ActorScope | Valfritt | Sträng | Omfånget, till exempel Microsoft Entra klientorganisation, där ActorUserId och ActorUsername definieras. eller mer information och lista över tillåtna värden finns i UserScope i artikeln Schemaöversikt. |
| ActorScopeId | Valfritt | Sträng | Omfångs-ID, till exempel Microsoft Entra katalog-ID, där ActorUserId och ActorUsername definieras. eller mer information och lista över tillåtna värden finns i UserScopeId i artikeln Schemaöversikt. |
| ActorUserIdType | Villkorsstyrd | Uppräknade | Typen av ID som lagras i fältet ActorUserId . En lista över tillåtna värden och ytterligare information finns i UserIdType i artikeln Schemaöversikt. |
| ActorUsername | Obligatorisk | Användarnamn (sträng) | Aktörens användarnamn, inklusive domäninformation när det är tillgängligt. Det format som stöds för olika ID-typer finns i entiteten Användare. Använd bara det enkla formuläret om domäninformation inte är tillgänglig. Lagra användarnamnstypen i fältet ActorUsernameType . Om andra användarnamnsformat är tillgängliga lagrar du dem i fälten ActorUsername<UsernameType>.Exempel: AlbertE |
| Användare | Alias | Alias för fältet ActorUsername . Exempel: CONTOSO\dadmin |
|
| ActorUsernameType | Villkorsstyrd | Uppräknade | Anger typen av användarnamn som lagras i fältet ActorUsername . En lista över tillåtna värden och ytterligare information finns i UsernameType i artikeln Schemaöversikt. Exempel: Windows |
| ActorSessionId | Valfritt | Sträng | Det unika ID:t för inloggningssessionen för aktören. Exempel: 999Obs! Typen definieras som sträng för att stödja olika system, men i Windows måste det här värdet vara numeriskt. Om du använder en Windows-dator och använder en annan typ ska du konvertera värdena. Om du till exempel använde ett hexadecimalt värde konverterar du det till ett decimalvärde. |
| ActorUserType | Valfritt | UserType | Typ av skådespelare. En lista över tillåtna värden och ytterligare information finns i UserType i artikeln Schemaöversikt. Obs! Värdet kan anges i källposten med hjälp av olika termer, som bör normaliseras till dessa värden. Lagra det ursprungliga värdet i fältet ActorOriginalUserType . |
| ActorOriginalUserType | Valfritt | Sträng | Den ursprungliga målanvändartypen, om den tillhandahålls av rapporteringsenheten. |
Fält för agerar process
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| ActingProcessCommandLine | Valfritt | Sträng | Kommandoraden som används för att köra agerarprocessen. Exempel: "choco.exe" -v |
| ActingProcessName | Valfritt | sträng | Namnet på den agerar processen. Det här namnet härleds vanligtvis från avbildningen eller den körbara fil som används för att definiera den första koden och data som mappas till processens virtuella adressutrymme. Exempel: C:\Windows\explorer.exe |
| Process | Alias | Alias för ActingProcessName | |
| ActingProcessId | Valfritt | Sträng | Process-ID (PID) för den agerar processen. Exempel: 48610176 Obs! Typen definieras som sträng för att stödja olika system, men i Windows och Linux måste det här värdet vara numeriskt. Om du använder en Windows- eller Linux dator och använder en annan typ ska du konvertera värdena. Om du till exempel använde ett hexadecimalt värde konverterar du det till ett decimalvärde. |
| ActingProcessGuid | Valfritt | GUID (sträng) | En genererad unik identifierare (GUID) för agerarprocessen. Gör det möjligt att identifiera processen mellan system. Exempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Källsystemrelaterade fält
Följande fält representerar information om systemet som initierar filaktiviteten, vanligtvis när den överförs till nätverket.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| SrcIpAddr | Rekommenderas | IP-adress | När åtgärden initieras av ett fjärrsystem, ip-adressen för det här systemet. Exempel: 185.175.35.214 |
| IpAddr | Alias | Alias till SrcIpAddr | |
| Src | Alias | Alias till SrcIpAddr | |
| SrcPortNumber | Valfritt | Heltal | När åtgärden initieras av ett fjärrsystem, portnumret som anslutningen initierades från. Exempel: 2335 |
| SrcHostname | Valfritt | Värdnamn (sträng) | Källenhetens värdnamn, exklusive domäninformation. Om inget enhetsnamn är tillgängligt lagrar du relevant IP-adress i det här fältet. Exempel: DESKTOP-1282V4D |
| SrcDomain | Valfritt | Domän (sträng) | Källenhetens domän. Exempel: Contoso |
| SrcDomainType | Villkorsstyrd | DomainType | Typ av SrcDomain. En lista över tillåtna värden och ytterligare information finns i DomainType i artikeln Schemaöversikt. Krävs om SrcDomain används. |
| SrcFQDN | Valfritt | FQDN (sträng) | Källenhetens värdnamn, inklusive domäninformation när det är tillgängligt. Obs! Det här fältet stöder både traditionellt FQDN-format och Windows-domän\värddatornamnformat. Fältet SrcDomainType återspeglar det format som används. Exempel: Contoso\DESKTOP-1282V4D |
| SrcDescription | Valfritt | Sträng | En beskrivande text som är associerad med enheten. Till exempel: Primary Domain Controller. |
| SrcDvcId | Valfritt | Sträng | Källenhetens ID. Om flera ID:t är tillgängliga använder du det viktigaste och lagrar de andra i fälten SrcDvc<DvcIdType>.Exempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Valfritt | Sträng | Molnplattformens omfångs-ID som enheten tillhör. SrcDvcScopeId mappas till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
| SrcDvcScope | Valfritt | Sträng | Molnplattformsomfånget som enheten tillhör. SrcDvcScope mappar till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
| SrcDvcIdType | Villkorsstyrd | DvcIdType | Typ av SrcDvcId. En lista över tillåtna värden och ytterligare information finns i DvcIdType i artikeln Schemaöversikt. Obs! Det här fältet krävs om SrcDvcId används. |
| SrcDeviceType | Valfritt | DeviceType | Typ av källenhet. En lista över tillåtna värden och ytterligare information finns i DeviceType i artikeln Schemaöversikt. |
| SrcGeoCountry | Valfritt | Land | Det land/den region som är associerad med källans IP-adress. Exempel: USA |
| SrcGeoRegion | Valfritt | Region | Den region som är associerad med källans IP-adress. Exempel: Vermont |
| SrcGeoCity | Valfritt | Ort | Den ort som är associerad med källans IP-adress. Exempel: Burlington |
| SrcGeoLatitude | Valfritt | Latitude | Latitud för den geografiska koordinat som är associerad med källans IP-adress. Exempel: 44.475833 |
| SrcGeoLongitude | Valfritt | Longitud | Longitud för den geografiska koordinat som är associerad med källans IP-adress. Exempel: 73.211944 |
Agerar programfält
Följande fält representerar information om ett lokalt program som kommunicerade via ett nätverk med ett fjärrsystem för att utföra filaktiviteten.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| ActingAppName | Valfritt | Sträng | Namnet på det tillförordnade programmet. Exempel: Facebook |
| ActingAppId | Valfritt | Sträng | ID:t för det tillförordnade programmet enligt rapporteringsenheten. |
| ActingAppType | Valfritt | AppType | Typ av målprogram. En lista över tillåtna värden och ytterligare information finns i AppType i artikeln Schemaöversikt. Det här fältet är obligatoriskt om TargetAppName eller TargetAppId används. |
| HttpUserAgent | Valfritt | Sträng | När åtgärden initieras av ett fjärrsystem med HTTP eller HTTPS används användaragenten. Till exempel: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | Valfritt | Sträng | När åtgärden initieras av ett fjärrsystem är det här värdet det protokoll på programnivå som används i OSI-modellen. Även om det här fältet inte räknas upp och ett värde accepteras, är följande värden att föredra: HTTP, HTTPS, SMB,FTPoch SSHExempel: SMB |
Målprogramfält
Följande fält representerar information om målprogrammet som utför filaktiviteten för användarens räkning. Ett målprogram är vanligtvis relaterat till filaktivitet över nätverket, till exempel användning av SaaS-program (Programvara som en tjänst).
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| TargetAppName | Valfritt | Sträng | Namnet på målprogrammet. Exempel: Facebook |
| Program | Alias | Alias för TargetAppName. | |
| TargetAppId | Valfritt | Sträng | ID:t för målprogrammet enligt rapporteringsenheten. |
| TargetAppType | Villkorsstyrd | AppType | Typ av målprogram. En lista över tillåtna värden och ytterligare information finns i AppType i artikeln Schemaöversikt. Det här fältet är obligatoriskt om TargetAppName eller TargetAppId används. |
| TargetOriginalAppType | Valfritt | Sträng | Typ av målprogram som rapporteras av rapporteringsenheten. |
| TargetUrl | Valfritt | URL (sträng) | När åtgärden initieras med HTTP eller HTTPS används URL:en. Exempel: https://onedrive.live.com/?authkey=... |
| Url | Alias | Alias till TargetUrl |
Kontrollfält
Följande fält används för att representera inspektionen som utförs av ett säkerhetssystem, till exempel ett antivirussystem. Tråden som identifieras är vanligtvis associerad med filen där aktiviteten utfördes i stället för själva aktiviteten.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| RuleName | Valfritt | Sträng | Namnet eller ID:t för regeln som associeras med inspektionsresultaten. |
| RuleNumber | Valfritt | Heltal | Numret på regeln som är associerad med inspektionsresultaten. |
| Regel | Villkorsstyrd | Sträng | Antingen värdet för kRuleName eller värdet för RuleNumber. Om värdet för RuleNumber används ska typen konverteras till sträng. |
| ThreatId | Valfritt | Sträng | ID:t för det hot eller den skadliga kod som identifieras i filaktiviteten. |
| ThreatName | Valfritt | Sträng | Namnet på det hot eller den skadliga kod som identifieras i filaktiviteten. Exempel: EICAR Test File |
| ThreatCategory | Valfritt | Sträng | Kategorin för det hot eller den skadliga kod som identifieras i filaktiviteten. Exempel: Trojan |
| ThreatRiskLevel | Valfritt | RiskLevel (heltal) | Den risknivå som är associerad med det identifierade hotet. Nivån ska vara ett tal mellan 0 och 100. Obs! Värdet kan anges i källposten med hjälp av en annan skala, som ska normaliseras till den här skalan. Det ursprungliga värdet ska lagras i ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Valfritt | Sträng | Risknivån som rapporteras av rapporteringsenheten. |
| ThreatFilePath | Valfritt | Sträng | En filsökväg för vilken ett hot identifierades. Fältet ThreatField innehåller namnet på fältet ThreatFilePath representerar. |
| ThreatField | Villkorsstyrd | Uppräknade | Det fält för vilket ett hot identifierades. Värdet är antingen SrcFilePath eller DstFilePath. |
| ThreatConfidence | Valfritt | ConfidenceLevel (heltal) | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatOriginalConfidence | Valfritt | Sträng | Den ursprungliga konfidensnivån för det identifierade hotet, enligt rapporteringsenhetens rapporter. |
| ThreatIsActive | Valfritt | Boolesk | Sant om det identifierade hotet anses vara ett aktivt hot. |
| ThreatFirstReportedTime | Valfritt | Datetime | Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatLastReportedTime | Valfritt | Datetime | Senaste gången IP-adressen eller domänen identifierades som ett hot. |
Sökvägsstruktur
Sökvägen bör normaliseras så att den matchar något av följande format. Formatet som värdet normaliseras till återspeglas i respektive FilePathType-fält .
| Typ | Exempel | Kommentar |
|---|---|---|
| Windows Local | C:\Windows\System32\notepad.exe |
Eftersom Namn på Windows-sökväg är skiftlägesokänsliga innebär den här typen att värdet är skiftlägesokänsligt. |
| Windows-resurs | \\Documents\My Shapes\Favorites.vssx |
Eftersom Namn på Windows-sökväg är skiftlägesokänsliga innebär den här typen att värdet är skiftlägesokänsligt. |
| Unix | /etc/init.d/networking |
Eftersom Unix-sökvägsnamn är skiftlägeskänsliga innebär den här typen att värdet är skiftlägeskänsligt. – Använd den här typen för AWS S3. Sammanfoga bucketen och nyckelnamnen för att skapa sökvägen. – Använd den här typen för Azure Blob Storage-objektnycklar. |
| URL | https://1drv.ms/p/s!Av04S_*********we |
Använd när filsökvägen är tillgänglig som en URL. URL:er är inte begränsade till http eller https, och alla värden, inklusive ett FTP-värde, är giltiga. |
Schemauppdateringar
Det här är ändringarna i version 0.1.1 av schemat:
- Fältet har lagts till
EventSchema.
Det här är ändringarna i version 0.2 av schemat:
- Kontrollfält har lagts till.
- Fälten , , , , , , ,
SrcGeoCountry,SrcGeoRegion,SrcGeoLongitude,SrcGeoLatitude,ActorSessionId,DvcScopeId, ochDvcScope.. har lagtsActorScopetill.TargetAppTypeTargetAppIdTargetAppNameHashTypeTargetUserScope - Aliasen har lagts till
Url,IpAddr, "FileName" ochSrc.
Det här är ändringarna i version 0.2.1 av schemat:
- Har lagts till
Applicationsom ett alias iTargetAppName. - Fältet har lagts till
ActorScopeId - Källenhetsrelaterade fält har lagts till.
Det här är ändringarna i version 0.2.2 av schemat:
- Fältet har lagts till
TargetOriginalAppType - Fälten har
ActingAppNamelagts tillActingAppIdochActingAppTypesom inte är tillgängliga i tabellenASimFileEventLogs.
Nästa steg
Mer information finns i: