Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Dateiereignis-Normalisierungsschema wird dazu verwendet, Dateiaktivitäten wie das Erstellen, Ändern oder Löschen von Dateien oder Dokumenten zu beschreiben. Solche Ereignisse werden von Betriebssystemen, Dateispeichersystemen wie Azure Files und Dokumentenverwaltungssystemen wie Microsoft SharePoint gemeldet.
Weitere Informationen zur Normalisierung in Microsoft Sentinel finden Sie unter Normalisierung und erweitertes Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM).
Parser
Bereitstellen und Verwenden von Dateiaktivitätsparsern
Stellen Sie die ASIM-Dateiaktivitätsparser aus dem Microsoft Sentinel-GitHub-Repository bereit. Verwenden Sie zum Abfragen aller Dateiaktivitätsquellen den vereinheitlichenden Parser imFileEvent als Tabellennamen in Ihrer Abfrage.
Weitere Informationen zur Verwendung von ASIM-Parsern finden Sie in der Übersicht über ASIM-Parser. Die Liste der Dateiaktivitätsparser, die Microsoft Sentinel einsatzbereit zur Verfügung stellt, finden Sie in der ASIM-Parserliste
Hinzufügen eigener normalisierter Parser
Wenn Sie benutzerdefinierte Parser für das Dateiereignis-Informationsmodell implementieren, benennen Sie Ihre KQL-Funktionen mit der folgenden Syntax: imFileEvent<vendor><Product.
Im Artikel Verwalten von ASIM-Parsern erfahren Sie, wie Sie Ihre benutzerdefinierten Parser dem vereinheitlichenden Parser für Dateiaktivitäten hinzufügen.
Normalisierter Inhalt
Eine vollständige Liste der Analyseregeln, die normalisierte Dateiaktivitätsereignisse verwenden, finden Sie unter Sicherheitsinhalt der Dateiaktivität.
Schemaübersicht
Das Dateiereignis-Informationsmodell ist auf das OSSEM-Prozessentitätsschema ausgerichtet.
Das Dateiereignisschema verweist auf die folgenden Entitäten, die für Dateiaktivitäten von zentraler Bedeutung sind:
- Actor. Der Benutzer, der die Dateiaktivität initiiert hat
- ActingProcess. Der Prozess, der vom Actor zum Initiieren der Dateiaktivität verwendet wird
- TargetFile. Die Datei, für die der Vorgang ausgeführt wurde
- Quelldatei (SrcFile) . Speichert Dateiinformationen vor dem Vorgang
Die Beziehung zwischen diesen Entitäten wird am besten wie folgt demonstriert: Ein Actor führt einen Dateivorgang mithilfe eines handelnden Prozesses aus, der die Quelldatei in die Zieldatei ändert.
Beispiel: JohnDoe (Actor) verwendet Windows File Explorer (handelnder Prozess), um new.doc (Quelldatei) in old.doc (Zieldatei) umzubenennen.
Schemadetails
Allgemeine Felder
Wichtig
Felder, die allen Schemas gemeinsam sind, werden im Artikel Allgemeine ASIM-Felder ausführlich beschrieben.
Felder mit bestimmten Richtlinien für das File Event-Schema
In der folgenden Liste werden Felder erwähnt, die bestimmte Richtlinien für Dateiaktivitätsereignisse enthalten:
| Feld | Klasse | Typ | Beschreibung |
|---|---|---|---|
| EventType (Ereignistyp) | Obligatorisch. | Enumerated | Beschreibt den vom Datensatz gemeldeten Vorgang. Unterstützte Werte: . - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| EventSubType | Optional | Enumerated | Details zum in EventType gemeldeten Vorgang. Zu den unterstützten Werten pro Ereignistyp gehören: - FileCreated
-
Upload, Checkin- FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed
-
Download, , PreviewCheckoutExtended- FileDeleted
-
Recycled, VersionsSite |
| EventSchema | Obligatorisch. | Enumerated | Der Name des hier dokumentierten Schemas lautet FileEvent. |
| EventSchemaVersion | Obligatorisch. | SchemaVersion (String) | Die Version des Schemas. Die hier dokumentierte Version des Schemas ist 0.2.2. |
| Dvc-Felder | - | - | Für Dateiaktivitätsereignisse verweisen Gerätefelder auf das System, auf dem die Dateiaktivität aufgetreten ist. |
Wichtig
Das Feld EventSchema ist derzeit optional, wird aber am 1. September 2022 obligatorisch.
Alle allgemeinen Felder
Felder, die in der Tabelle angezeigt werden, sind für alle ASIM-Schemas gleich. Alle schemaspezifischen Richtlinien in diesem Dokument setzen die allgemeinen Richtlinien für das Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel zu allgemeinen ASIM-Feldern.
| Klasse | Fields |
|---|---|
| Obligatorisch. |
-
Ereignisanzahl - EventStartZeit - EventEndTime - EventType (Ereignistyp) - EventResult - EventProdukt - EventVendor (Englisch) - EventSchema (Ereignis) - EventSchemaVersion - Dvc |
| Empfohlen |
-
EventResultDetails - EreignisSchweregrad - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optional |
-
EventMessage (Ereignisnachricht) - EventSubtype - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion (EreignisProduktversion) - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcSchnittstelle - ZusätzlicheFelder - DvcDescription - DvcScopeId - Dvc-Bereich |
Zieldateifelder
Die folgenden Felder stellen Informationen zur Zieldatei in einem Dateivorgang dar. Wenn der Vorgang eine einzelne Datei umfasst, beispielsweise FileCreate, wird er durch die Zieldateifelder dargestellt.
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| TargetFileCreationTime | Optional | Date/Time | Der Zeitpunkt, zu dem die Zieldatei erstellt wurde. |
| TargetFileDirectory | Optional | String | Der Zieldateiordner oder -speicherort. Dieses Feld sollte dem Feld TargetFilePath unter Ausschluss des letzten Elements gleichen. Hinweis: Ein Parser kann diesen Wert bereitstellen, wenn der Wert in der Protokollquelle verfügbar ist und nicht aus dem vollständigen Pfad extrahiert werden muss. |
| TargetFileExtension | Optional | String | Die Zieldateierweiterung Hinweis: Ein Parser kann diesen Wert bereitstellen, wenn der Wert in der Protokollquelle verfügbar ist und nicht aus dem vollständigen Pfad extrahiert werden muss. |
| TargetFileMimeType | Optional | String | Der MIME- oder Medientyp der Zieldatei. Die zulässigen Werte sind im IANA-Medientypen-Repository aufgeführt. |
| TargetFileName | Empfohlen | String | Der Name der Zieldatei, ohne Pfad oder Speicherort, aber ggf. mit einer Erweiterung. Dieses Feld sollte dem letzten Element im Feld TargetFilePath gleichen. |
| FileName | Alias | Alias für das Feld TargetFileName. | |
| TargetFilePath | Obligatorisch. | String | Der vollständige normalisierte Pfad der Zieldatei, einschließlich des Ordners oder Speicherorts, des Dateinamens und der Erweiterung. Weitere Informationen finden Sie unter Pfadstruktur. Hinweis: Wenn der Datensatz keine Ordner- oder Speicherortinformationen enthält, speichern Sie den Dateinamen nur hier. Beispiel: C:\Windows\System32\notepad.exe |
| TargetFilePathType | Obligatorisch. | Enumerated | Der Typ von TargetFilePath. Weitere Informationen finden Sie unter Pfadstruktur. |
| FilePath | Alias | Alias für das Feld TargetFilePath. | |
| TargetFileMD5 | Optional | MD5 | Der MD5-Hash der Zieldatei. Beispiel: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | Optional | SHA1 | Der SHA-1-Hash der Zieldatei. Beispiel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | Optional | SHA256 | Der SHA-256-Hash der Zieldatei. Beispiel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | Optional | SHA512 | Der SHA-512-Hash der Quelldatei. |
| Hash | Alias | Alias für den besten verfügbaren Zieldateihash. | |
| HashType | Bedingt | Enumerated | Der Im HASH-Aliasfeld gespeicherte Hashtyp, zulässige Werte sind MD5, SHA, SHA256, SHA512und IMPHASH. Obligatorisch, wenn Hash aufgefüllt ist. |
| TargetFileSize | Optional | Long | Die Größe der Zieldatei in Byte. |
Quelldateifelder
Die folgenden Felder stellen Informationen zur Quelldatei in einem Dateivorgang dar, der sowohl eine Quelle als auch ein Ziel aufweist, z. B. Kopieren. Wenn der Vorgang eine einzelne Datei umfasst, wird er durch die Zieldateifelder dargestellt.
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| SrcFileCreationTime | Optional | Date/Time | Der Zeitpunkt, zu dem die Quelldatei erstellt wurde. |
| SrcFileDirectory | Optional | String | Der Quelldateiordner oder -speicherort. Dieses Feld sollte dem Feld SrcFilePath unter Ausschluss des letzten Elements gleichen. Hinweis: Ein Parser kann diesen Wert bereitstellen, wenn der Wert in der Protokollquelle verfügbar ist und nicht aus dem vollständigen Pfad extrahiert werden muss. |
| SrcFileExtension | Optional | String | Die Quelldateierweiterung. Hinweis: Ein Parser kann diesen Wert bereitstellen, wenn der Wert in der Protokollquelle verfügbar ist und nicht aus dem vollständigen Pfad extrahiert werden muss. |
| SrcFileMimeType | Optional | String | Der MIME- oder Medientyp der Quelldatei. Die unterstützten Werte sind im IANA-Medientypen-Repository aufgeführt. |
| SrcFileName | Empfohlen | String | Der Name der Quelldatei, ohne Pfad oder Speicherort, aber ggf. mit einer Erweiterung. Dieses Feld sollte dem letzten Element im Feld SrcFilePath gleichen. |
| SrcFilePath | Empfohlen | String | Der vollständige normalisierte Pfad der Quelldatei, einschließlich des Ordners oder Speicherorts, des Dateinamens und der Erweiterung. Weitere Informationen finden Sie unter Pfadstruktur. Beispiel: /etc/init.d/networking |
| SrcFilePathType | Empfohlen | Enumerated | Der SrcFilePath-Typ. Weitere Informationen finden Sie unter Pfadstruktur. |
| SrcFileMD5 | Optional | MD5 | Der MD5-Hash der Quelldatei. Beispiel: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | Optional | SHA1 | Der SHA-1-Hash der Quelldatei. Beispiel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | Optional | SHA256 | Der SHA-256-Hash der Quelldatei. Beispiel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | Optional | SHA512 | Der SHA-512-Hash der Quelldatei. |
| SrcFileSize | Optional | Long | Die Größe der Quelldatei in Byte. |
Akteurfelder
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| ActorUserId | Empfohlen | String | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Akteurs. Das unterstützte Format für verschiedene ID-Typen finden Sie unter Die Benutzerentität. Beispiel: S-1-12 |
| ActorScope | Optional | String | Der Bereich, z. B. der Microsoft Entra-Mandant, in dem ActorUserId und ActorUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht. |
| ActorScopeId | Optional | String | Die Bereichs-ID, z. B. die Microsoft Entra Directory-ID, in der ActorUserId und ActorUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht. |
| ActorUserIdType | Bedingt | Enumerated | Der Typ der ID, die im Feld ActorUserId gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserIdType im Artikel „Schemaübersicht“. |
| ActorUsername | Obligatorisch. | Benutzername (String) | Der Benutzername des Akteurs ggf. mit Informationen zur Domäne. Das unterstützte Format für verschiedene ID-Typen finden Sie unter Die Benutzerentität. Verwenden Sie dieses einfache Format nur, wenn keine Domäneninformationen verfügbar sind. Speichern Sie den Benutzernamentyp im Feld ActorUsernameType. Wenn andere Benutzernamenformate verfügbar sind, speichern Sie sie in den Feldern ActorUsername<UsernameType>.Beispiel: AlbertE |
| Benutzer | Alias | Alias für das Feld ActorUsername. Beispiel: CONTOSO\dadmin |
|
| ActorUsernameType | Bedingt | Enumerated | Gibt den Typ des Benutzernamens an, der im Feld ActorUsername gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UsernameType im Artikel „Schemaübersicht“. Beispiel: Windows |
| ActorSessionId | Optional | String | Die eindeutige ID der Anmeldesitzung des Akteurs. Beispiel: 999Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows muss dieser Wert numerisch sein. Wenn Sie einen Windows-Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie diesen in einen Dezimalwert. |
| ActorUserType | Optional | UserType | Der Typ des Akteurs. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserType im Artikel „Schemaübersicht“. Hinweis: Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld ActorOriginalUserType. |
| ActorOriginalUserType | Optional | String | Der ursprüngliche Zielbenutzertyp, sofern vom meldenden Gerät bereitgestellt. |
Felder des agierenden Prozesses
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| ActingProcessCommandLine | Optional | String | Die Befehlszeile zum Ausführen des Programms. Beispiel: "choco.exe" -v |
| ActingProcessName | Optional | Zeichenfolge | Der Name des agierenden Prozesses. Dieser Name wird häufig vom Image oder von der ausführbaren Datei abgeleitet, die zum Definieren des ursprünglichen Codes und der Daten verwendet wird, die dem virtuellen Adressraum des Prozesses zugeordnet sind. Beispiel: C:\Windows\explorer.exe |
| Process | Alias | Alias für ActingProcessName | |
| ActingProcessId | Optional | String | Die Prozess-ID (PID) des handelnden Prozesses. Beispiel: 48610176 Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows und Linux muss dieser Wert numerisch sein. Wenn Sie einen Windows- oder Linux-Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie diesen in einen Dezimalwert. |
| ActingProcessGuid | Optional | GUID (Saite) | Ein generierter eindeutiger Bezeichner (GUID) des agierenden Prozesses. Ermöglicht die systemübergreifende Identifizierung des Prozesses. Beispiel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Felder im Zusammenhang mit dem Quellsystem
Die folgenden Felder stellen Informationen zu dem System dar, das die Dateiaktivität einleitet, in der Regel bei Übertragung über das Netzwerk.
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| SrcIpAddr | Empfohlen | IP-Adresse | Die IP-Adresse dieses Systems, wenn der Vorgang von einem Remotesystem initiiert wird. Beispiel: 185.175.35.214 |
| IpAddr | Alias | Alias für SrcIpAddr | |
| Src | Alias | Alias für SrcIpAddr | |
| SrcPortNumber | Optional | Integer | Wenn der Vorgang ausgehend von einem Remotesystem initiiert wird, die Portnummer, von der aus die Verbindung initiiert wurde. Beispiel: 2335 |
| SrcHostname | Optional | Hostname (String) | Der Hostname des Quellgeräts ohne Domäneninformationen. Wenn kein Gerätename verfügbar ist, speichern Sie die entsprechende IP-Adresse in diesem Feld. Beispiel: DESKTOP-1282V4D |
| SrcDomain | Optional | Domain (String) | Die Domäne des Quellgeräts. Beispiel: Contoso |
| SrcDomainType | Bedingt | DomainType | Der Typ von SrcDomain. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DomainType im Artikel „Schemaübersicht“. Erforderlich, wenn SrcDomain verwendet wird. |
| SrcFQDN | Optional | FQDN (Saite) | Der Hostname des Quellgeräts ggf. mit Informationen zur Domäne. Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format „Domäne\Hostname“. Das Feld SrcDomainType spiegelt das verwendete Format wider. Beispiel: Contoso\DESKTOP-1282V4D |
| SrcBeschreibung | Optional | String | Ein mit dem Gerät verknüpfter beschreibender Text. Beispiel: Primary Domain Controller. |
| SrcDvcId | Optional | String | Die ID des Quellgeräts. Wenn mehrere IDs verfügbar sind, verwenden Sie die wichtigste, und speichern Sie die anderen in den Feldern SrcDvc<DvcIdType>.Beispiel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Optional | String | Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| SrcDvc-Bereich | Optional | String | Der Cloudplattformbereich, zu dem das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| SrcDvcIdType | Bedingt | DvcIdType | Der Typ von SrcDvcId. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DvcIdType im Artikel „Schemaübersicht“. Hinweis: Dieses Feld ist erforderlich, wenn das Feld SrcDvcId verwendet wird. |
| SrcDeviceType | Optional | DeviceType | Der Typ des Quellgeräts. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter DeviceType im Artikel „Schemaübersicht“. |
| SrcGeoCountry | Optional | Land / Region | Das Land/die Region, das der Quell-IP-Adresse zugeordnet ist. Beispiel: USA |
| SrcGeoRegion | Optional | Region | Die der Quell-IP-Adresse zugeordnete Region. Beispiel: Vermont |
| SrcGeoCity | Optional | City | Die Stadt, die der Quell-IP-Adresse zugeordnet ist. Beispiel: Burlington |
| SrcGeoLatitude | Optional | Breitengrad | Der Breitengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. Beispiel: 44.475833 |
| SrcGeoLongitude | Optional | Längengrad | Der Längengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. Beispiel: 73.211944 |
Wirkende Anwendungsfelder
Die folgenden Felder stellen Informationen über eine lokale Anwendung dar, die über ein Netzwerk mit einem entfernten System kommuniziert hat, um die Dateiaktivität auszuführen.
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| ActingAppName | Optional | String | Der Name der Schauspielanwendung. Beispiel: Facebook |
| ActingAppId | Optional | String | Die ID der handelnden Anwendung, wie sie vom Berichtsgerät gemeldet wird. |
| ActingAppType | Optional | AppType | Der Typ der Zielanwendung. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter AppType im Artikel „Schemaübersicht“. Dieses Feld ist obligatorisch, wenn TargetAppName oder TargetAppId verwendet wird. |
| HttpUserAgent | Optional | String | Der verwendete Benutzer-Agent, wenn der Vorgang von einem Remotesystem über HTTP oder HTTPS initiiert wird. Zum Beispiel: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | Optional | String | Wenn der Vorgang von einem Remotesystem initiiert wird, ist dieser Wert das Anwendungsschichtprotokoll, das im OSI-Modell verwendet wird. Obwohl dies kein aufzählbares Feld ist und jeder Wert akzeptiert wird, sind folgende Werte zu bevorzugen: HTTP, HTTPS, SMB, FTP und SSH.Beispiel: SMB |
Zielanwendungsfelder
Die folgenden Felder stellen Informationen zu der Zielanwendung dar, die die Dateiaktivität im Auftrag des Benutzers ausführt. Eine Zielanwendung bezieht sich in der Regel auf Die Netzwerkdateiaktivität, z. B. mithilfe von SaaS-Anwendungen (Software as a Service).
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| TargetAppName | Optional | String | Der Name der Zielanwendung. Beispiel: Facebook |
| Anwendung | Alias | Alias für TargetAppName. | |
| TargetAppId | Optional | String | Die ID der Zielanwendung, wie vom meldenden Gerät angegeben. |
| TargetAppType | Bedingt | AppType | Der Typ der Zielanwendung. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter AppType im Artikel „Schemaübersicht“. Dieses Feld ist obligatorisch, wenn TargetAppName oder TargetAppId verwendet wird. |
| TargetOriginalAppType | Optional | String | Der Typ der Zielanwendung, wie sie vom Berichtsgerät gemeldet wird. |
| TargetUrl | Optional | URL (String) | Wenn der Vorgang über HTTP oder HTTPS initiiert wird, wird die URL verwendet. Beispiel: https://onedrive.live.com/?authkey=... |
| Url | Alias | Alias für TargetUrl |
Inspektionsfelder
Die folgenden Felder werden verwendet, um die Überprüfung darzustellen, die von einem Sicherheitssystem, z. B. einem Antivirensystem, durchgeführt wird. Der identifizierte Thread ist normalerweise der Datei, für die die Aktivität ausgeführt wurde, und nicht der Aktivität selbst zugeordnet.
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| RuleName | Optional | String | Der Name oder die ID der Regel, die den Inspektionsergebnissen zugeordnet ist. |
| RuleNumber | Optional | Integer | Die Nummer der Regel, die den Inspektionsergebnissen zugeordnet ist. |
| Regel | Bedingt | String | Entweder der Wert von kRuleName oder der Wert von RuleNumber. Bei Verwendung des Werts RuleNumber sollte der Typ in eine Zeichenfolge konvertiert werden. |
| ThreatId | Optional | String | Die ID der in der Dateiaktivität identifizierten Bedrohung oder Schadsoftware. |
| ThreatName | Optional | String | Der Name der in der Dateiaktivität identifizierten Bedrohung oder Schadsoftware. Beispiel: EICAR Test File |
| ThreatCategory | Optional | String | Die Kategorie der in der Dateiaktivität identifizierten Bedrohung oder Schadsoftware. Beispiel: Trojan |
| ThreatRiskLevel | Optional | RiskLevel (Integer) | Die Risikostufe, die der identifizierten Bedrohung zugeordnet ist. Hierbei muss es sich um eine Zahl zwischen 0 und 100 handeln. Hinweis: Der Wert ist im Quelldatensatz möglicherweise in einer anderen Skala angegeben und muss auf diese Skala normalisiert werden. Der ursprüngliche Wert sollte in ThreatOriginalRiskLevel gespeichert werden. |
| BedrohungOriginalRisikoStufe | Optional | String | Die Risikostufe, wie vom meldenden Gerät gemeldet. |
| ThreatFilePath | Optional | String | Ein Dateipfad, für den eine Bedrohung identifiziert wurde. Das Feld ThreatField enthält den Namen des Felds, das von ThreatFilePath dargestellt wird. |
| Bedrohungsfeld | Bedingt | Enumerated | Das Feld, für das eine Bedrohung identifiziert wurde. Der Wert lautet entweder SrcFilePath oder DstFilePath. |
| ThreatConfidence | Optional | ConfidenceLevel (Integer) | Die Konfidenzstufe der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100 |
| ThreatOriginalConfidence | Optional | String | Die ursprüngliche Konfidenzstufe der identifizierten Bedrohung, wie vom meldenden Gerät gemeldet. |
| ThreatIsActive | Optional | Boolean | TRUE, wenn die identifizierte Bedrohung als aktive Bedrohung betrachtet wird. |
| ThreatFirstReportedTime | Optional | datetime | Das erste Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
| ThreatLastReportedTime | Optional | datetime | Das letzte Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
Pfadstruktur
Der Pfad muss so normalisiert werden, dass er einem der folgenden Formate entspricht. Das Format, in das der Wert normalisiert wird, wird im entsprechenden Feld FilePathType widergespiegelt.
| type | Beispiel | Notizen |
|---|---|---|
| Windows Lokal | C:\Windows\System32\notepad.exe |
Da bei Windows-Pfadnamen die Groß-/Kleinschreibung nicht beachtet wird, impliziert dieser Typ, dass bei dem Wert die Groß-/Kleinschreibung nicht beachtet wird. |
| Windows-Freigabe | \\Documents\My Shapes\Favorites.vssx |
Da bei Windows-Pfadnamen die Groß-/Kleinschreibung nicht beachtet wird, impliziert dieser Typ, dass bei dem Wert die Groß-/Kleinschreibung nicht beachtet wird. |
| Unix | /etc/init.d/networking |
Da bei Unix-Pfadnamen die Groß-/Kleinschreibung relevant ist, impliziert dieser Typ, dass bei dem Wert die Groß-/Kleinschreibung zu beachten ist. – Verwenden Sie diesen Typ für AWS S3. Verketten Sie den Bucket und die Schlüsselnamen, um den Pfad zu erstellen. – Verwenden Sie diesen Typ für Azure Blob Storage-Objektschlüssel. |
| URL | https://1drv.ms/p/s!Av04S_*********we |
Verwenden Sie diesen Typ, wenn der Dateipfad als URL verfügbar ist. URLs sind nicht auf HTTP oder HTTPS als Schema beschränkt. Jeder gültige Wert, einschließlich eines FTP-Werts, ist gültig. |
Schemaupdates
In der Version 0.1.1 des Schemas wurde Folgendes geändert:
- Das Feld
EventSchemawurde hinzugefügt.
Dies sind die Änderungen in Version 0.2 des Schemas:
- Inspektionsfelder wurden hinzugefügt.
- Die Felder
ActorScope,TargetUserScope,HashType,TargetAppName,TargetAppId,TargetAppType,SrcGeoCountry,SrcGeoRegion,SrcGeoLongitude,SrcGeoLatitude,ActorSessionId,DvcScopeIdundDvcScopewurden hinzugefügt. - Die Aliase
Url,IpAddr, „FileName“ undSrcwurden hinzugefügt.
Dies sind die Änderungen in Version 0.2.1 des Schemas:
-
Applicationwurde als Alias zuTargetAppNamehinzugefügt. - Das Feld
ActorScopeIdwurde hinzugefügt. - Felder mit Bezug zum Quellgerät wurden hinzugefügt.
Dies sind die Änderungen in Version 0.2.2 des Schemas:
- Das Feld
TargetOriginalAppTypewurde hinzugefügt. - Hinzugefügte die Felder
ActingAppId,ActingAppNameundActingAppTypedie in der TabelleASimFileEventLogsnicht verfügbar sind.
Nächste Schritte
Weitere Informationen finden Sie unter
- Sehen Sie sich das ASIM-Webinar an, oder befassen Sie sich mit den Folien.
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Schemas für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Parser für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Inhalte für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)