Referensi skema normalisasi Peristiwa File Model Informasi Keamanan Tingkat Lanjut (ASIM) (Pratinjau publik)
Skema normalisasi Peristiwa File digunakan untuk menggambarkan aktivitas file seperti membuat, memodifikasi, atau menghapus file atau dokumen. Peristiwa tersebut dilaporkan oleh sistem operasi, sistem penyimpanan file seperti Azure Files, dan sistem manajemen dokumen seperti Microsoft SharePoint.
Untuk informasi selengkapnya tentang normalisasi di Microsoft Sentinel, lihat Normalisasi dan Model Informasi Keamanan Tingkat Lanjut (ASIM).
Penting
Skema normalisasi Peristiwa File saat ini sedang dalam PRATINJAU. Fitur ini disediakan tanpa perjanjian tingkat layanan, dan tidak disarankan untuk beban kerja produksi.
Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Parser
Menyebarkan dan menggunakan pengurai aktivitas file
Sebarkan pengurai Aktivitas File ASIM dari repositori GitHub Microsoft Sentinel. Untuk mengkueri semua sumber Aktivitas File, gunakan pengurai pemersatu imFileEvent sebagai nama tabel dalam kueri Anda.
Untuk informasi selengkapnya tentang menggunakan pengurai ASIM, lihat gambaran umum pengurai ASIM. Untuk daftar parser aktivitas file yang disediakan Microsoft Azure Sentinel di luar kotak, lihat daftar parser ASIM
Tambahkan parser normalisasi Anda sendiri
Saat menerapkan parser kustom untuk model informasi Peristiwa File, beri nama fungsi KQL Anda menggunakan sintaks berikut: imFileEvent<vendor><Product.
Lihat artikel Mengelola pengurai ASIM untuk mempelajari cara menambahkan pengurai kustom Anda ke pengurai pemersatu aktivitas file.
Konten yang dinormalisasi
Untuk daftar lengkap aturan analitik yang menggunakan peristiwa Aktivitas File yang dinormalisasi, lihat Konten keamanan Aktivitas File.
Gambaran umum Skema
Model informasi Peristiwa File diselaraskan ke skema entitas Proses OSSEM.
Skema Peristiwa File mereferensikan entitas berikut, yang merupakan pusat aktivitas file:
- Pelaku. Pengguna yang memulai aktivitas file
- ActingProcess. Proses yang digunakan oleh Pelaku untuk menginisiasi aktivitas file
- TargetFile. File tempat operasi dilakukan
- File Sumber (SrcFile). Menyimpan informasi file sebelum operasi.
Hubungan antar entitas ini digambarkan dengan sangat baik sebagai berikut: Seorang Pelaku melakukan operasi file menggunakan Proses Bertindak, yang mengubah File Sumber ke File Target.
Sebagai contoh: (JohnDoePelaku) menggunakan (Windows File ExplorerProses Bertindak) untuk mengganti nama (new.docFile Sumber) menjadi (old.docFile Target) .
Detail skema
Bidang umum
Penting
Bidang yang umum untuk semua skema dijelaskan secara rinci dalam artikel Bidang Umum ASIM.
Bidang dengan panduan khusus untuk skema Peristiwa File
Daftar berikut menyebutkan bidang yang memiliki pedoman khusus untuk peristiwa aktivitas File:
| Bidang | Kelas | Jenis | Deskripsi |
|---|---|---|---|
| EventType | Wajib | Disebutkan | Menggambarkan operasi yang dilaporkan oleh catatan. Nilai yang didukung mencakup: - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| EventSubType | Opsional | Disebutkan | Menjelaskan detail tentang operasi yang dilaporkan di EventType. Nilai yang didukung per jenis peristiwa meliputi: - FileCreated
-
Upload, Checkin- FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed
-
Download, , PreviewCheckout,Extended- FileDeleted
-
Recycled, , VersionsSite |
| EventSchema | Wajib | String | Nama skema yang didokumentasikan di sini adalah FileEvent. |
| EventSchemaVersion | Wajib | String | Versi skema. Versi skema yang didokumentasikan di sini adalah 0.2.1 |
| Bidang Dvc | - | - | Untuk peristiwa aktivitas File, bidang perangkat merujuk ke sistem tempat aktivitas file terjadi. |
Penting
Bidang EventSchema saat ini opsional tetapi akan menjadi Wajib pada 1 September 2022.
Semua bidang umum
Bidang yang muncul dalam tabel umum untuk semua skema ASIM. Salah satu pedoman khusus skema dalam dokumen ini mengambil alih pedoman umum untuk bidang tersebut. Misalnya, sebuah bidang mungkin opsional secara umum, tetapi wajib untuk skema tertentu. Untuk informasi selengkapnya tentang setiap bidang, lihat artikel Bidang Umum ASIM.
| Kelas | Bidang |
|---|---|
| Wajib |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Direkomendasikan |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opsional |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Bidang file target
Bidang berikut ini mewakili informasi tentang file target dalam operasi file. Jika operasi melibatkan satu file, FileCreate misalnya, itu diwakili oleh bidang file target.
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| TargetFileCreationTime | Opsional | Tanggal/Waktu | Waktu saat file target tersebut dibuat. |
| TargetFileDirectory | Opsional | String | Folder atau lokasi file target. Bidang ini seharusnya sama dengan bidang TargetFilePath, tanpa unsur akhir. Catatan: parser dapat memberikan nilai ini jika nilai tersedia di sumber log, dan tidak perlu diekstraksi dari jalur penuh. |
| TargetFileExtension | Opsional | String | Ekstensi file target. Catatan: parser dapat memberikan nilai ini jika nilai tersedia di sumber log, dan tidak perlu diekstraksi dari jalur penuh. |
| TargetFileMimeType | Opsional | Disebutkan | Tipe Mime atau Media dari file target. Nilai yang diizinkan dicantumkan dalam repositori Tipe IANA Media. |
| TargetFileName | Direkomendasikan | String | Nama file target, tanpa jalur atau lokasi, tetapi dengan ekstensi jika relevan. Bidang ini seharusnya sama dengan bidang TargetFilePath. |
| FileName | Alias | Alias ke bidang TargetFileName . | |
| TargetFilePath | Wajib | String | Jalur yang lengkap dan dinormalisasi dari file target, termasuk folder atau lokasi, nama file, dan ekstensi. Untuk informasi lebih lanjut, lihat Struktur Jalur. Catatan: Jika rekaman tidak menyertakan informasi folder atau lokasi, simpan nama filenya saja di sini. Contoh: C:\Windows\System32\notepad.exe |
| TargetFilePathType | Wajib | Disebutkan | Tipe TargetFilePath. Untuk informasi lebih lanjut, lihat Struktur Jalur. |
| FilePath | Alias | Alias untuk bidang TargetFilePath. | |
| TargetFileMD5 | Opsional | MD5 | Hash MD5 dari file target. Contoh: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | Opsional | SHA1 | Hash SHA-1 dari file target. Contoh: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | Opsional | SHA256 | Hash SHA-256 dari file target. Contoh: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | Opsional | SHA512 | Hash SHA-512 dari file sumber. |
| Hash | Alias | Alias ke hash File Target terbaik yang tersedia. | |
| HashType | Direkomendasikan | String | Jenis hash yang disimpan di bidang alias HASH, nilai yang diizinkan adalah MD5, SHA, SHA256, SHA512 dan IMPHASH. Wajib jika Hash diisi. |
| TargetFileSize | Opsional | Panjang | Ukuran file target dalam byte. |
Bidang file sumber
Bidang berikut ini mewakili informasi tentang file sumber dalam operasi file yang memiliki sumber dan tujuan, seperti salin. Jika operasi melibatkan satu file, itu diwakili oleh bidang file target.
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| SrcFileCreationTime | Opsional | Tanggal/Waktu | Waktu saat instans tersebut dibuat. |
| SrcFileDirectory | Opsional | String | Folder atau lokasi file sumber. Bidang ini seharusnya sama dengan bidang SrcFilePath, tanpa unsur akhir. Catatan: Parser dapat memberikan nilai ini jika nilai tersedia di sumber log, dan tidak perlu diekstraksi dari jalur penuh. |
| SrcFileExtension | Opsional | String | Ekstensi file sumber. Catatan: Parser dapat memberikan nilai ini jika nilai tersedia di sumber log, dan tidak perlu diekstraksi dari jalur penuh. |
| SrcFileMimeType | Opsional | Disebutkan | Jenis Mime atau Media dari file sumber. Nilai yang didukung dicantumkan dalam repositori Tipe IANA Media. |
| SrcFileName | Direkomendasikan | String | Nama file sumber, tanpa jalur atau lokasi, tetapi dengan ekstensi jika relevan. Bidang ini seharusnya sama dengan bidang SrcFilePath. |
| SrcFilePath | Direkomendasikan | String | Jalur yang lengkap dan dinormalisasi dari file sumber, termasuk folder atau lokasi, nama file, dan ekstensi. Untuk informasi lebih lanjut, lihat Struktur Jalur. Contoh: /etc/init.d/networking |
| SrcFilePathType | Direkomendasikan | Disebutkan | Tipe SrcFilePath. Untuk informasi lebih lanjut, lihat Struktur Jalur. |
| SrcFileMD5 | Opsional | MD5 | Hash MD5 dari file sumber. Contoh: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | Opsional | SHA1 | Hash SHA-1 dari file sumber. Contoh: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | Opsional | SHA256 | Hash SHA-256 dari file sumber. Contoh: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | Opsional | SHA512 | Hash SHA-512 dari file sumber. |
| SrcFileSize | Opsional | Panjang | Ukuran file sumber dalam byte. |
Bidang pelaku
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| ActorUserId | Direkomendasikan | String | Representasi Pelaku yang dapat dibaca mesin, alfanumerik, unik. Untuk format yang didukung untuk jenis ID yang berbeda, lihat Entitas pengguna. Contoh: S-1-12 |
| ActorScope | Opsional | String | Cakupan, seperti penyewa Microsoft Entra, di mana ActorUserId dan ActorUsername ditentukan. atau informasi selengkapnya dan daftar nilai yang diizinkan, lihat UserScope di artikel Gambaran Umum Skema. |
| ActorScopeId | Opsional | String | ID cakupan, seperti ID Microsoft Entra Directory, di mana ActorUserId dan ActorUsername ditentukan. atau informasi selengkapnya dan daftar nilai yang diizinkan, lihat UserScopeId di artikel Gambaran Umum Skema. |
| ActorUserIdType | Kondisional | String | Jenis ID yang disimpan pada bidang ActorUserId. Untuk mengetahui daftar nilai yang diizinkan dan informasi lebih lanjut, lihat UserIdType di artikel Gambaran Umum Skema. |
| ActorUsername | Wajib | String | Nama pengguna Pelaku, termasuk informasi domain saat tersedia. Untuk format yang didukung untuk jenis ID yang berbeda, lihat Entitas pengguna. Gunakan formulir sederhana hanya jika informasi domain tidak tersedia. Simpan jenis Nama Pengguna di bidang ActorUsernameType. Jika format nama pengguna lain tersedia, simpan di bidang ActorUsername<UsernameType>.Contoh: AlbertE |
| Pengguna | Alias | Alias untuk bidang ActorUsername. Contoh: CONTOSO\dadmin |
|
| ActorUsernameType | Kondisional | Disebutkan | Menentukan jenis nama pengguna yang disimpan di bidang ActorUsername. Untuk mengetahui daftar nilai yang diizinkan dan informasi lebih lanjut, lihat UsernameType di artikel Gambaran Umum Skema. Contoh: Windows |
| ActorSessionId | Opsional | String | ID unik dari sesi login Aktor. Contoh: 999Catatan: Jenis didefiniskan sebagai string untuk mendukung berbagai sistem, tetapi pada Windows nilai ini harus berupa angka. Jika Anda menggunakan mesin Windows dan menggunakan jenis yang berbeda, pastikan untuk mengonversi nilai ini. Misalnya, jika Anda menggunakan nilai heksadesimal, ubah menjadi nilai desimal. |
| ActorUserType | Opsional | UserType | Tipe Pelaku. Untuk mengetahui daftar nilai yang diizinkan dan informasi lebih lanjut, lihat UserType di artikel Gambaran Umum Skema. Catatan: Nilai mungkin disediakan dalam rekaman sumber dengan menggunakan istilah yang berbeda, yang harus dinormalisasi ke nilai-nilai ini. Simpan nilai asli di bidang ActorOriginalUserType. |
| ActorOriginalUserType | Opsional | String | Jenis pengguna tujuan asli, jika disediakan oleh perangkat pelapor. |
Bidang proses bertindak
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| ActingProcessCommandLine | Opsional | String | Baris perintah yang digunakan untuk menjalankan proses bertindak tersebut. Contoh: "choco.exe" -v |
| ActingProcessName | Opsional | string | Nama dari proses bertindak. Nama ini umumnya berasal dari gambar atau file yang dapat dieksekusi yang digunakan untuk menentukan kode awal dan data yang dipetakan ke dalam ruang alamat virtual dari proses tersebut. Contoh: C:\Windows\explorer.exe |
| Proses | Alias | Alias untuk ActingProcessName | |
| ActingProcessId | Opsional | String | Id proses (PID) dari proses bertindak. Contoh: 48610176 Catatan: Jenis didefinisikan sebagai string untuk mendukung berbagai sistem, tetapi pada Windows dan Linux nilai ini harus berupa angka. Jika Anda menggunakan mesin Windows atau Linux dan menggunakan jenis yang berbeda, pastikan untuk mengonversi nilai ini. Misalnya, jika Anda menggunakan nilai heksadesimal, ubah menjadi nilai desimal. |
| ActingProcessGuid | Opsional | string | Sebuah pengidentifikasi unik yang dihasilkan (GUID) dari proses bertindak. Memungkinkan identifikasi proses di seluruh sistem. Contoh: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Bidang terkait sistem sumber
Bidang berikut mewakili informasi tentang sistem yang memulai aktivitas file, biasanya ketika dibawa melalui jaringan.
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| SrcIpAddr | Direkomendasikan | Alamat IP | Ketika operasi dimulai oleh sistem jarak jauh, digunakan alamat IP dari sistem ini. Contoh: 185.175.35.214 |
| IpAddr | Alias | Alias ke SrcIpAddr | |
| Src | Alias | Alias ke SrcIpAddr | |
| SrcPortNumber | Opsional | Bilangan bulat | Ketika operasi dimulai oleh sistem jarak jauh, nomor port tempat koneksi dimulai. Contoh: 2335 |
| SrcHostname | Direkomendasikan | Nama host | Nama host perangkat sumber, tidak termasuk informasi domain. Jika tidak ada nama perangkat yang tersedia, simpan alamat IP yang relevan di bidang ini. Contoh: DESKTOP-1282V4D |
| SrcDomain | Direkomendasikan | String | Domain perangkat sumber. Contoh: Contoso |
| SrcDomainType | Kondisional | DomainType | Jenis SrcDomain. Untuk mengetahui daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DomainType di artikel Gambaran Umum Skema. Diperlukan jika SrcDomain digunakan. |
| SrcFQDN | Opsional | String | Nama host perangkat sumber, termasuk informasi domain saat tersedia. Catatan: Bidang ini mendukung format FQDN tradisional dan format domain\hostname Windows. Bidang SrcDomainType mencerminkan format yang digunakan. Contoh: Contoso\DESKTOP-1282V4D |
| SrcDescription | Opsional | String | Teks deskriptif yang terkait dengan perangkat. Misalnya: Primary Domain Controller. |
| SrcDvcId | Opsional | String | ID perangkat sumber. Jika terdapat beberapa ID tersedia, gunakan yang paling penting, dan simpan yang lain di bidang SrcDvc<DvcIdType>.Contoh: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opsional | String | ID cakupan platform cloud milik perangkat. Peta SrcDvcScopeId ke ID langganan di Azure dan ke ID akun di AWS. |
| SrcDvcScope | Opsional | String | Cakupan platform cloud milik perangkat. SrcDvcScope memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
| SrcDvcIdType | Kondisional | DvcIdType | Jenis SrcDvcId. Untuk mengetahui daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DvcIdType di artikel Gambaran Umum Skema. Catatan: Bidang ini diperlukan jika SrcDvcId digunakan. |
| SrcDeviceType | Opsional | DeviceType | Jenis perangkat sumber Untuk mengetahui daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DeviceType di artikel Gambaran Umum Skema. |
| SrcSubscriptionId | Opsional | String | ID langganan platform cloud milik perangkat sumber. DvcSubscriptionId memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
| SrcGeoCountry | Opsional | Negara | Negara/wilayah yang terkait dengan alamat IP sumber. Contoh: USA |
| SrcGeoRegion | Opsional | Wilayah | Wilayah yang terkait dengan alamat IP sumber. Contoh: Vermont |
| SrcGeoCity | Opsional | Kota | Kota yang terkait dengan alamat IP sumber. Contoh: Burlington |
| SrcGeoLatitude | Opsional | Garis Lintang | Garis lintang koordinat geografis yang terkait dengan alamat IP sumber. Contoh: 44.475833 |
| SrcGeoLongitude | Opsional | Garis bujur | Garis bujur koordinat geografis yang terkait dengan alamat IP sumber. Contoh: 73.211944 |
Bidang terkait jaringan
Bidang berikut mewakili informasi tentang sesi jaringan ketika aktivitas file dibawa melalui jaringan.
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| HttpUserAgent | Opsional | String | Ketika operasi diinisiasi oleh sistem jarak jauh menggunakan HTTP atau HTTPS, maka digunakan agen pengguna. Contohnya: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | Opsional | String | Ketika operasi dimulai oleh sistem jarak jauh, nilai ini adalah protokol lapisan aplikasi yang digunakan dalam model OSI. Meskipun bidang ini tidak disebutkan, dan nilai apa pun akan diterima, lebih baik nilai-nilai itu menyertakan: HTTP, HTTPS, SMB, FTP, dan SSHContoh: SMB |
Bidang aplikasi target
Bidang berikut mewakili informasi tentang aplikasi tujuan yang melakukan aktivitas file atas nama pengguna. Aplikasi tujuan biasanya terkait dengan aktivitas file over-the-network, misalnya menggunakan aplikasi SaaS (Software as a service).
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| TargetAppName | Opsional | String | Nama aplikasi tujuan. Contoh: Facebook |
| Aplikasi | Alias | Alias ke TargetAppName. | |
| TargetAppId | Opsional | String | ID aplikasi tujuan, seperti yang dilaporkan oleh perangkat pelapor. |
| TargetAppType | Opsional | AppType | Tipe aplikasi tujuan. Untuk mengetahui daftar nilai yang diizinkan dan informasi lebih lanjut, lihat AppType di artikel Gambaran Umum Skema. Bidang ini wajib jika TargetAppName atau TargetAppId digunakan. |
| TargetUrl | Opsional | String | Ketika operasi dimulai menggunakan HTTP atau HTTPS, maka digunakan URL. Contoh: https://onedrive.live.com/?authkey=... |
| Url | Alias | Alias ke TargetUrl |
Bidang inspeksi
Bidang berikut digunakan untuk mewakili bahwa inspeksi yang dilakukan oleh sistem keamanan seperti sistem anti-virus. Utas yang diidentifikasi biasanya dikaitkan dengan file tempat aktivitas dilakukan daripada aktivitas itu sendiri.
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| RuleName | Opsional | String | Nama atau ID aturan dengan dikaitkan dengan hasil inspeksi. |
| RuleNumber | Opsional | Bilangan bulat | Jumlah aturan yang terkait dengan hasil inspeksi. |
| Aturan | Kondisional | String | Baik nilai kRuleName atau nilai RuleNumber. Jika nilai RuleNumber digunakan, jenis harus dikonversi ke string. |
| ThreatId | Opsional | String | ID ancaman atau malware yang diidentifikasi dalam aktivitas file. |
| ThreatName | Opsional | String | Nama ancaman atau malware yang diidentifikasi dalam aktivitas file. Contoh: EICAR Test File |
| ThreatCategory | Opsional | String | Kategori ancaman atau malware yang diidentifikasi dalam aktivitas file. Contoh: Trojan |
| ThreatRiskLevel | Opsional | Bilangan bulat | Tingkat risiko yang terkait dengan ancaman yang diidentifikasi. Levelnya harus berupa angka antara 0 hingga 100. Catatan: Nilai ini dapat diberikan dalam catatan sumber menggunakan skala yang berbeda, yang harus dinormalisasi ke skala ini. Nilai asli harus disimpan di ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opsional | String | Tingkat risiko seperti yang dilaporkan oleh perangkat pelaporan. |
| ThreatFilePath | Opsional | String | Jalur file yang ancamannya diidentifikasi. Bidang ThreatField berisi nama bidang yang diwakili ThreatFilePath . |
| ThreatField | Opsional | Disebutkan | Bidang yang ancamannya diidentifikasi. Nilainya adalah SrcFilePath atau DstFilePath. |
| ThreatConfidence | Opsional | Bilangan bulat | Tingkat keyakinan ancaman yang diidentifikasi, dinormalisasi ke nilai antara 0 dan 100. |
| ThreatOriginalConfidence | Opsional | String | Tingkat keyakinan asli ancaman yang diidentifikasi, seperti yang dilaporkan oleh perangkat pelaporan. |
| ThreatIsActive | Opsional | Boolean | Benar jika ancaman yang diidentifikasi dianggap sebagai ancaman aktif. |
| ThreatFirstReportedTime | Opsional | datetime | Pertama kali alamat IP atau domain diidentifikasi sebagai ancaman. |
| ThreatLastReportedTime | Opsional | datetime | Terakhir kali alamat IP atau domain diidentifikasi sebagai ancaman. |
Struktur jalur
Jalur harus dinormalisasi agar sesuai dengan salah satu format berikut. Format normalisasi nilai akan tercermin pada bidang FilePathType terkait.
| Jenis | Contoh | Catatan |
|---|---|---|
| Windows Local | C:\Windows\System32\notepad.exe |
Karena nama jalur Windows tidak peka huruf besar/kecil, maka tipe ini mencerminkan bahwa nilai itu tidak peka huruf besar/kecil. |
| Windows Share | \\Documents\My Shapes\Favorites.vssx |
Karena nama jalur Windows tidak peka huruf besar/kecil, maka tipe ini mencerminkan bahwa nilai itu tidak peka huruf besar/kecil. |
| Unix | /etc/init.d/networking |
Karena nama jalur Unix peka huruf besar/kecil, sensitif terhadap kasus, jenis ini menyiratkan bahwa nilainya peka huruf besar/kecil. - Gunakan tipe ini untuk AWS S3. Rangkai nama-nama bucket dan kunci untuk membuat jalur. -Gunakan tipe ini untuk kunci objek penyimpanan Azure Blob. |
| URL | https://1drv.ms/p/s!Av04S_*********we |
Gunakan saat jalur file tersedia sebagai URL. URL tidak terbatas pada http atau https, dan nilai apa pun, termasuk nilai FTP, semuanya valid. |
Pembaruan skema
Ini adalah perubahan dalam versi 0.1.1 dari skema tersebut:
- Menambahkan bidang
EventSchema.
Ada perubahan dalam skema versi 0.2:
- Menambahkan bidang inspeksi.
- Menambahkan bidang
ActorScope, ,TargetUserScope,HashTypeTargetAppName, ,TargetAppId,TargetAppType,SrcGeoRegionSrcGeoCountry, ,SrcGeoLongitude,SrcGeoLatitude,ActorSessionId,DvcScopeId, , danDvcScope.. - Menambahkan alias
Url,IpAddr, 'FileName', danSrc.
Ada perubahan dalam skema versi 0.2.1:
- Ditambahkan
Applicationsebagai alias keTargetAppName. - Menambahkan bidang
ActorScopeId - Menambahkan bidang terkait perangkat sumber.
Langkah berikutnya
Untuk informasi selengkapnya, lihat: