Aracılığıyla paylaş

Gelişmiş Güvenlik Bilgileri Modeli (ASIM) Dosya Olayı normalleştirme şema başvurusu (Genel önizleme)

  • Makale

Dosya Olayı normalleştirme şeması, dosya veya belge oluşturma, değiştirme veya silme gibi dosya etkinliğini açıklamak için kullanılır. Bu tür olaylar işletim sistemleri, Azure Dosyalar gibi dosya depolama sistemleri ve Microsoft SharePoint gibi belge yönetim sistemleri tarafından bildirilir.

Microsoft Sentinel'de normalleştirme hakkında daha fazla bilgi için bkz . Normalleştirme ve Gelişmiş Güvenlik Bilgileri Modeli (ASIM).

Önemli

Dosya Olayı normalleştirme şeması şu anda ÖNİzLEME aşamasındadır. Bu özellik bir hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yükleri için önerilmez.

Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Çözümleyicileri

Dosya etkinliği ayrıştırıcılarını dağıtma ve kullanma

Microsoft Sentinel GitHub deposundan ASIM Dosya Etkinliği ayrıştırıcılarını dağıtın. Tüm Dosya Etkinliği kaynakları arasında sorgulama yapmak için, sorgunuzda tablo adı olarak birleştirici ayrıştırıcıyı imFileEvent kullanın.

ASIM ayrıştırıcılarını kullanma hakkında daha fazla bilgi için bkz . ASIM ayrıştırıcılarına genel bakış. Microsoft Sentinel, dosya etkinliği ayrıştırıcılarının listesi için asim ayrıştırıcıları listesine bakın

Kendi normalleştirilmiş ayrıştırıcılarınızı ekleme

Dosya Olayı bilgi modeli için özel ayrıştırıcılar uygularken aşağıdaki söz dizimini kullanarak KQL işlevlerinizi adlandırın: imFileEvent<vendor><Product.

Ayrıştırıcıyı birleştiren dosya etkinliğine özel ayrıştırıcılarınızı eklemeyi öğrenmek için ASIM ayrıştırıcılarını yönetme makalesine bakın.

Normalleştirilmiş içerik

Normalleştirilmiş Dosya Etkinliği olaylarını kullanan analiz kurallarının tam listesi için bkz . Dosya Etkinliği güvenlik içeriği.

Şemaya genel bakış

Dosya Olayı bilgi modeli, OSSEM İşlem varlık şemasına hizalanır.

Dosya Olayı şeması, dosya etkinliklerinin merkezi olan aşağıdaki varlıklara başvurur:

  • Aktör. Dosya etkinliğini başlatan kullanıcı
  • ActingProcess. Aktör tarafından dosya etkinliğini başlatmak için kullanılan işlem
  • TargetFile. İşlemin gerçekleştirildiği dosya
  • Kaynak Dosya (SrcFile). İşlemden önce dosya bilgilerini depolar.

Bu varlıklar arasındaki ilişki en iyi şekilde şu şekilde gösterilir: Aktör, Kaynak Dosyayı Hedef Dosya olarak değiştiren Bir Eylem İşlemi kullanarak bir dosya işlemi gerçekleştirir.

Örneğin: (Aktör) yeniden adlandırmak new.doc (Kaynak Dosya) (Hedef Dosya) için (İşlem gerçekleştirme) old.doc kullanır.Windows File ExplorerJohnDoe

Şema ayrıntıları

Ortak alanlar

Önemli

Tüm şemalarda ortak olan alanlar ASIM Ortak Alanları makalesinde ayrıntılı olarak açıklanmıştır.

Dosya Olayı şeması için belirli yönergelere sahip alanlar

Aşağıdaki listede, Dosya etkinliği olayları için belirli yönergelere sahip alanlardan bahsediliyor:

Alan Sınıf Tür Açıklama
EventType Zorunlu Enumerated Kayıt tarafından bildirilen işlemi açıklar.

Desteklenen değerler şunlardır:

- FileAccessed
- FileCreated
- FileModified
- FileDeleted
- FileRenamed
- FileCopied
- FileMoved
- FolderCreated
- FolderDeleted
- FolderMoved
- FolderModified
- FileCreatedOrModified
EventSubType İsteğe bağlı Enumerated EventType'da bildirilen işlemle ilgili ayrıntıları açıklar. Olay türü başına desteklenen değerler şunlardır:
- FileCreated - Upload, Checkin
- FileModified - Checkin
- FileCreatedOrModified - Checkin
- FileAccessed - Download, Preview, Checkout, Extended
- FileDeleted - Recycled, Versions, Site
EventSchema Zorunlu String Burada belgelenen şemanın adı FileEvent'tir.
EventSchemaVersion Zorunlu String Şema sürümü. Şemanın burada belgelenen sürümü 0.2.1
Dvc alanları - - Dosya etkinliği olayları için cihaz alanları, dosya etkinliğinin gerçekleştiği sisteme başvurur.

Önemli

Bu EventSchema alan şu anda isteğe bağlıdır ancak 1 Eylül 2022'de Zorunlu olacaktır.

Tüm ortak alanlar

Tabloda görünen alanlar tüm ASIM şemalarında ortaktır. Bu belgedeki şemaya özgü yönergelerden herhangi biri alanın genel yönergelerini geçersiz kılar. Örneğin, bir alan genel olarak isteğe bağlı olabilir, ancak belirli bir şema için zorunlu olabilir. Her alan hakkında daha fazla bilgi için ASIM Ortak Alanları makalesine bakın.

Sınıf Alanlar
Zorunlu - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Önerilir - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
İsteğe bağlı - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- EkAlanlar
- DvcDescription
- DvcScopeId
- DvcScope

Hedef dosya alanları

Aşağıdaki alanlar, bir dosya işlemindeki hedef dosya hakkındaki bilgileri temsil eder. İşlem tek bir dosya içeriyorsa, FileCreate örneğin hedef dosya alanlarıyla temsil edilir.

Alan Sınıf Type Açıklama
TargetFileCreationTime İsteğe bağlı Tarih/Zaman Hedef dosyanın oluşturulduğu saat.
TargetFileDirectory İsteğe bağlı String Hedef dosya klasörü veya konumu. Bu alan, son öğe olmadan TargetFilePath alanına benzer olmalıdır.

Not: Bir ayrıştırıcı, günlük kaynağında sağlanan değer varsa ve tam yoldan ayıklanması gerekmiyorsa bu değeri sağlayabilir.
TargetFileExtension İsteğe bağlı String Hedef dosya uzantısı.

Not: Bir ayrıştırıcı, günlük kaynağında sağlanan değer varsa ve tam yoldan ayıklanması gerekmiyorsa bu değeri sağlayabilir.
TargetFileMimeType İsteğe bağlı Enumerated Hedef dosyanın Mime veya Medya türü. İzin verilen değerler IANA Medya Türleri deposunda listelenir.
TargetFileName Önerilir String Hedef dosyanın adı; yol veya konum olmadan, ancak uygunsa bir uzantıyla. Bu alan, TargetFilePath alanındaki son öğeye benzer olmalıdır.
Dosyaadı Diğer ad TargetFileName alanının diğer adı.
TargetFilePath Zorunlu String Klasör veya konum, dosya adı ve uzantı dahil olmak üzere hedef dosyanın tam, normalleştirilmiş yolu. Daha fazla bilgi için bkz . Yol yapısı.

Not: Kayıt klasör veya konum bilgilerini içermiyorsa, dosya adını yalnızca burada depolayın.

Örnek: C:\Windows\System32\notepad.exe
TargetFilePathType Zorunlu Enumerated TargetFilePath türü. Daha fazla bilgi için bkz . Yol yapısı.
FilePath Diğer ad TargetFilePath alanının diğer adı.
TargetFileMD5 İsteğe bağlı MD5 Hedef dosyanın MD5 karması.

Örnek: 75a599802f1fa166cdadb360960b1dd0
TargetFileSHA1 İsteğe bağlı SHA1 Hedef dosyanın SHA-1 karması.

Örnek:
d55c5a4df19b46db8c54
c801c4665d3338acdab0
TargetFileSHA256 İsteğe bağlı SHA256 Hedef dosyanın SHA-256 karması.

Örnek:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
TargetFileSHA512 İsteğe bağlı SHA512 Kaynak dosyanın SHA-512 karması.
Karma Diğer ad Kullanılabilir en iyi Hedef Dosya karması için diğer ad.
HashType Önerilir String KARMA diğer ad alanında depolanan karma türü, izin verilen değerler , , SHA512SHASHA256ve IMPHASH'tir.MD5 Doldurulan zorunludur Hash .
TargetFileSize İsteğe bağlı Uzun Hedef dosyanın bayt cinsinden boyutu.

Kaynak dosya alanları

Aşağıdaki alanlar, hem kaynak hem de hedef içeren bir dosya işlemindeki kaynak dosya hakkındaki bilgileri temsil eder( örneğin, kopyalama). İşlem tek bir dosya içeriyorsa, hedef dosya alanlarıyla temsil edilir.

Alan Sınıf Type Açıklama
SrcFileCreationTime İsteğe bağlı Tarih/Zaman Kaynak dosyanın oluşturulduğu saat.
SrcFileDirectory İsteğe bağlı String Kaynak dosya klasörü veya konumu. Bu alan, son öğe olmadan SrcFilePath alanına benzer olmalıdır.

Not: Değer günlük kaynağında kullanılabiliyorsa ve tam yoldan ayıklanması gerekmiyorsa ayrıştırıcı bu değeri sağlayabilir.
SrcFileExtension İsteğe bağlı String Kaynak dosya uzantısı.

Not: Ayrıştırıcı bu değeri günlük kaynağında kullanılabilir olarak sağlayabilir ve tam yoldan ayıklanması gerekmez.
SrcFileMimeType İsteğe bağlı Enumerated Kaynak dosyanın Mime veya Medya türü. Desteklenen değerler IANA Medya Türleri deposunda listelenir.
SrcFileName Önerilir String Kaynak dosyanın adı; yol veya konum olmadan, ancak uygunsa bir uzantıyla. Bu alan, SrcFilePath alanındaki son öğeye benzer olmalıdır.
SrcFilePath Önerilir String Klasör veya konum, dosya adı ve uzantı dahil olmak üzere kaynak dosyanın tam, normalleştirilmiş yolu.

Daha fazla bilgi için bkz . Yol yapısı.

Örnek: /etc/init.d/networking
SrcFilePathType Önerilir Enumerated SrcFilePath türü. Daha fazla bilgi için bkz . Yol yapısı.
SrcFileMD5 İsteğe bağlı MD5 Kaynak dosyanın MD5 karması.

Örnek: 75a599802f1fa166cdadb360960b1dd0
SrcFileSHA1 İsteğe bağlı SHA1 Kaynak dosyanın SHA-1 karması.

Örnek:
d55c5a4df19b46db8c54
c801c4665d3338acdab0
SrcFileSHA256 İsteğe bağlı SHA256 Kaynak dosyanın SHA-256 karması.

Örnek:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
SrcFileSHA512 İsteğe bağlı SHA512 Kaynak dosyanın SHA-512 karması.
SrcFileSize İsteğe bağlı Uzun Kaynak dosyanın bayt cinsinden boyutu.

Aktör alanları

Alan Sınıf Type Açıklama
ActorUserId Önerilir String Aktör'ün makine tarafından okunabilir, alfasayısal, benzersiz bir gösterimi. Farklı kimlik türleri için desteklenen biçim için Kullanıcı varlığına bakın.

Örnek: S-1-12
ActorScope İsteğe bağlı String ActorUserId ve ActorUsername'in tanımlandığı Microsoft Entra kiracısı gibi kapsam. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScope bölümüne bakın.
ActorScopeId İsteğe bağlı String ActorUserId ve ActorUsername'in tanımlandığı Microsoft Entra Dizin Kimliği gibi kapsam kimliği. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScopeId bölümüne bakın.
ActorUserIdType Koşullu String ActorUserId alanında depolanan kimliğin türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UserIdType'a bakın.
ActorUsername Zorunlu String Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere Aktör kullanıcı adı. Farklı kimlik türleri için desteklenen biçim için Kullanıcı varlığına bakın. Basit formu yalnızca etki alanı bilgileri kullanılamıyorsa kullanın.

Kullanıcı adı türünü ActorUsernameType alanında depolayın. Başka kullanıcı adı biçimleri varsa, bunları alanlarında ActorUsername<UsernameType>depolayın.

Örnek: AlbertE
Kullanıcı Diğer ad ActorUsername alanının diğer adı.

Örnek: CONTOSO\dadmin
ActorUsernameType Koşullu Enumerated ActorUsername alanında depolanan kullanıcı adının türünü belirtir. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UsernameType'a bakın.

Örnek: Windows
ActorSessionId İsteğe bağlı String Aktör oturum açma oturumunun benzersiz kimliği.

Örnek: 999

Not: Tür, çeşitli sistemleri desteklemek için dize olarak tanımlanır, ancak Windows'ta bu değer sayısal olmalıdır.

Windows makinesi kullanıyorsanız ve farklı bir tür kullandıysanız, değerleri dönüştürdüğünüzden emin olun. Örneğin, onaltılık bir değer kullandıysanız, bunu ondalık değere dönüştürün.
ActorUserType İsteğe bağlı UserType Aktör türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UserType'a bakın.

Not: Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değer bu değerlere normalleştirilmelidir. Özgün değeri ActorOriginalUserType alanında depolayın.
ActorOriginalUserType İsteğe bağlı String Raporlama cihazı tarafından sağlanıyorsa özgün hedef kullanıcı türü.

İşlem alanlarının eyleme geçirmesi

Alan Sınıf Type Açıklama
ActingProcessCommandLine İsteğe bağlı String Eylem işlemini çalıştırmak için kullanılan komut satırı.

Örnek: "choco.exe" -v
ActingProcessName İsteğe bağlı Dize Eylem işleminin adı. Bu ad genellikle işlemin sanal adres alanına eşlenen ilk kodu ve verileri tanımlamak için kullanılan görüntü veya yürütülebilir dosyadan türetilir.

Örnek: C:\Windows\explorer.exe
İşlem Diğer ad ActingProcessName diğer adı
ActingProcessId İsteğe bağlı String Eylem işleminin işlem kimliği (PID).

Örnek: 48610176

Not: Tür, farklı sistemleri desteklemek için dize olarak tanımlanır, ancak Windows ve Linux'ta bu değer sayısal olmalıdır.

Windows veya Linux makinesi kullanıyorsanız ve farklı bir tür kullandıysanız, değerleri dönüştürdüğünüzden emin olun. Örneğin, onaltılık bir değer kullandıysanız, bunu ondalık değere dönüştürün.
ActingProcessGuid İsteğe bağlı Dize Eylem işleminin oluşturulan benzersiz tanımlayıcısı (GUID). Sürecin sistemler arasında tanımlanmasını sağlar.

Örnek: EF3BD0BD-2B74-60C5-AF5C-010000001E00

Aşağıdaki alanlar, genellikle ağ üzerinden taşındığında dosya etkinliğini başlatan sistem hakkındaki bilgileri temsil eder.

Alan Sınıf Type Açıklama
SrcIpAddr Önerilir IP Adresi İşlem uzak bir sistem tarafından başlatıldığında, bu sistemin IP adresi.

Örnek: 185.175.35.214
IpAddr Diğer ad SrcIpAddr diğer adı
Src Diğer ad SrcIpAddr diğer adı
SrcPortNumber İsteğe bağlı Tamsayı İşlem uzak bir sistem tarafından başlatıldığında, bağlantının başlatıldığı bağlantı noktası numarası.

Örnek: 2335
SrcHostname Önerilir Konak adı Etki alanı bilgileri hariç kaynak cihaz ana bilgisayar adı. Kullanılabilir cihaz adı yoksa ilgili IP adresini bu alanda depolayın.

Örnek: DESKTOP-1282V4D
SrcDomain Önerilir String Kaynak cihazın etki alanı.

Örnek: Contoso
SrcDomainType Koşullu DomainType SrcDomain türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DomainType'a bakın.

SrcDomain kullanılıyorsa gereklidir.
SrcFQDN İsteğe bağlı String Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak cihaz ana bilgisayar adı.

Not: Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. SrcDomainType alanı kullanılan biçimi yansıtır.

Örnek: Contoso\DESKTOP-1282V4D
SrcDescription İsteğe bağlı String Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Primary Domain Controller.
SrcDvcId İsteğe bağlı String Kaynak cihazın kimliği. Birden çok kimlik varsa, en önemli kimlikleri kullanın ve diğerlerini alanlarında depolayın SrcDvc<DvcIdType>.

Örnek: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId İsteğe bağlı String Cihazın ait olduğu bulut platformu kapsam kimliği. SrcDvcScopeId , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
SrcDvcScope İsteğe bağlı String Cihazın ait olduğu bulut platformu kapsamı. SrcDvcScope , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
SrcDvcIdType Koşullu DvcIdType SrcDvcId türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DvcIdType'a bakın.

Not: SrcDvcId kullanılıyorsa bu alan gereklidir.
SrcDeviceType İsteğe bağlı DeviceType Kaynak cihazın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki DeviceType'a bakın.
SrcSubscriptionId İsteğe bağlı String Kaynak cihazın ait olduğu bulut platformu abonelik kimliği. SrcSubscriptionId , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
SrcGeoCountry İsteğe bağlı Ülke Kaynak IP adresiyle ilişkili ülke/bölge.

Örnek: USA
SrcGeoRegion İsteğe bağlı Bölge Kaynak IP adresiyle ilişkilendirilmiş bölge.

Örnek: Vermont
SrcGeoCity İsteğe bağlı City Kaynak IP adresiyle ilişkili şehir.

Örnek: Burlington
SrcGeoLatitude İsteğe bağlı Enlem Kaynak IP adresiyle ilişkili coğrafi koordinatın enlemi.

Örnek: 44.475833
SrcGeoLongitude İsteğe bağlı Boylam Kaynak IP adresiyle ilişkili coğrafi koordinatın boylamı.

Örnek: 73.211944

Aşağıdaki alanlar, dosya etkinliğinin ağ üzerinden taşındığı ağ oturumu hakkındaki bilgileri temsil eder.

Alan Sınıf Type Açıklama
HttpUserAgent İsteğe bağlı String İşlem HTTP veya HTTPS kullanılarak uzak bir sistem tarafından başlatıldığında, kullanıcı aracısı kullanılır.

Örneğin:
Mozilla/5.0 (Windows NT 10.0; Win64; x64)
AppleWebKit/537.36 (KHTML, like Gecko)
Chrome/42.0.2311.135
Safari/537.36 Edge/12.246
NetworkApplicationProtocol İsteğe bağlı String İşlem uzak bir sistem tarafından başlatıldığında, bu değer OSI modelinde kullanılan uygulama katmanı protokolüdür.

Bu alan numaralandırılmamış ve herhangi bir değer kabul edilmiş olsa da, tercih edilen değerler şunlardır: HTTP, HTTPS, SMB,FTP ve SSH

Örnek: SMB

Hedef uygulama alanları

Aşağıdaki alanlar, kullanıcı adına dosya etkinliğini gerçekleştiren hedef uygulama hakkındaki bilgileri temsil eder. Hedef uygulama genellikle saas (hizmet olarak yazılım) uygulamaları gibi ağ üzerinden dosya etkinliğiyle ilgilidir.

Alan Sınıf Type Açıklama
TargetAppName İsteğe bağlı String Hedef uygulamanın adı.

Örnek: Facebook
Uygulama Diğer ad TargetAppName için diğer ad.
TargetAppId İsteğe bağlı String Raporlama cihazı tarafından bildirilen hedef uygulamanın kimliği.
TargetAppType İsteğe bağlı AppType Hedef uygulamanın türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki AppType'a bakın.

TargetAppName veya TargetAppId kullanılıyorsa bu alan zorunludur.
TargetUrl İsteğe bağlı String İşlem HTTP veya HTTPS kullanılarak başlatıldığında kullanılan URL.

Örnek: https://onedrive.live.com/?authkey=...
URL Diğer ad TargetUrl diğer adı

Denetim alanları

Aşağıdaki alanlar, virüsten koruma sistemi gibi bir güvenlik sistemi tarafından gerçekleştirilen incelemeyi temsil etmek için kullanılır. Tanımlanan iş parçacığı genellikle etkinliğin kendisi yerine etkinliğin gerçekleştirildiği dosyayla ilişkilendirilir.

Alan Sınıf Type Açıklama
RuleName İsteğe bağlı String Denetim sonuçlarıyla ilişkili kuralın adı veya kimliği.
KuralSayısı İsteğe bağlı Tamsayı denetim sonuçlarıyla ilişkili kuralın sayısı.
Kural Koşullu String kRuleName değeri veya RuleNumber değeri. RuleNumber değeri kullanılırsa, türü dizeye dönüştürülmelidir.
ThreatId İsteğe bağlı String Dosya etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılımın kimliği.
ThreatName İsteğe bağlı String Dosya etkinliğinde tanımlanan tehdidin veya kötü amaçlı yazılımın adı.

Örnek: EICAR Test File
ThreatCategory İsteğe bağlı String Dosya etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılım kategorisi.

Örnek: Trojan
ThreatRiskLevel İsteğe bağlı Tamsayı Tanımlanan tehditle ilişkili risk düzeyi. Düzey 0 ile 100 arasında bir sayı olmalıdır.

Not: Bu değer kaynak kayıtta farklı bir ölçek kullanılarak sağlanabilir ve bu ölçek normalleştirilmelidir. Özgün değer ThreatRiskLevelOriginal içinde depolanmalıdır.
ThreatOriginalRiskLevel İsteğe bağlı String Raporlama cihazı tarafından bildirilen risk düzeyi.
ThreatFilePath İsteğe bağlı String Bir tehdidin tanımlandığı dosya yolu. ThreatField alanı ThreatFilePath'in temsil ettiği alanın adını içerir.
ThreatField İsteğe bağlı Enumerated Bir tehdidin tanımlandığı alan. Değer veya SrcFilePathDstFilePathşeklindedir.
ThreatConfidence İsteğe bağlı Tamsayı Tanımlanan tehdidin güvenilirlik düzeyi, 0 ile 100 arasında bir değere normalleştirilir.
ThreatOriginalConfidence İsteğe bağlı String Raporlama cihazı tarafından bildirilen, tanımlanan tehdidin özgün güvenilirlik düzeyi.
ThreatIsActive İsteğe bağlı Boolean Tanımlanan tehdit etkin bir tehdit olarak kabul edilirse true.
ThreatFirstReportedTime İsteğe bağlı datetime IP adresi veya etki alanı ilk kez bir tehdit olarak tanımlandı.
ThreatLastReportedTime İsteğe bağlı datetime IP adresinin veya etki alanının en son tehdit olarak tanımlandığı zaman.

Yol yapısı

Yol, aşağıdaki biçimlerden biriyle eşleşecek şekilde normalleştirilmelidir. Değerin normalleştirildiği biçim ilgili FilePathType alanına yansıtılır.

Tür Örnek Notlar
Windows Yerel C:\Windows\System32\notepad.exe Windows yol adları büyük/küçük harfe duyarsız olduğundan, bu tür değerin büyük/küçük harfe duyarsız olduğunu gösterir.
Windows Share \\Documents\My Shapes\Favorites.vssx Windows yol adları büyük/küçük harfe duyarsız olduğundan, bu tür değerin büyük/küçük harfe duyarsız olduğunu gösterir.
Unix /etc/init.d/networking Unix yol adları büyük/küçük harfe duyarlı olduğundan, bu tür değerin büyük/küçük harfe duyarlı olduğunu gösterir.

- AWS S3 için bu türü kullanın. Yolu oluşturmak için demet ve anahtar adlarını birleştirir.

- Azure Blob depolama nesne anahtarları için bu türü kullanın.
URL https://1drv.ms/p/s!Av04S_*********we Dosya yolu URL olarak kullanılabilir olduğunda kullanın. URL'ler http veya https ile sınırlı değildir ve FTP değeri de dahil olmak üzere herhangi bir değer geçerlidir.

Şema güncelleştirmeleri

Şemanın 0.1.1 sürümündeki değişiklikler şunlardır:

  • alanını EventSchemaekledik.

Şemanın 0.2 sürümünde yapılan değişiklikler vardır:

  • Denetim alanları eklendi.
  • , , , HashType, , TargetAppName, TargetAppIdTargetAppType, , SrcGeoCountry, , SrcGeoRegionSrcGeoLongitude, SrcGeoLatitude, DvcScopeIdActorSessionIdve DvcScope.ActorScopeTargetUserScope
  • , , IpAddr'DosyaAdı' ve Srcdiğer adları Urleklendi.

Şemanın 0.2.1 sürümünde yapılan değişiklikler vardır:

  • öğesine TargetAppNamediğer ad olarak eklendiApplication.
  • Alanı eklendi ActorScopeId
  • Kaynak cihazla ilgili alanlar eklendi.

Sonraki adımlar

Daha fazla bilgi için bkz.