Riferimento allo schema di normalizzazione dell'evento ASIM (Advanced Security Information Model) (Anteprima pubblica)
Lo schema di normalizzazione dell'evento file viene usato per descrivere l'attività di file, ad esempio la creazione, la modifica o l'eliminazione di file o documenti. Tali eventi vengono segnalati da sistemi operativi, file storage system come File di Azure e sistemi di gestione dei documenti come Microsoft SharePoint.
Per altre informazioni sulla normalizzazione in Microsoft Sentinel, vedere Normalizzazione e Advanced Security Information Model (ASIM).
Importante
Lo schema di normalizzazione dell'evento file è attualmente in ANTEPRIMA. Questa funzionalità viene fornita senza un contratto di servizio e non è consigliata per i carichi di lavoro di produzione.
Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Parser
Distribuzione e uso di parser di attività di file
Distribuire i parser dell'attività file ASIM dal repository GitHub di Microsoft Sentinel. Per eseguire query in tutte le origini attività file, usare il parser imFileEvent unificante come nome di tabella nella query.
Per altre informazioni sull'uso dei parser ASIM, vedere panoramica dei parser ASIM. Per l'elenco dei parser di attività dei file, Microsoft Sentinel fornisce informazioni predefinite, vedere l'elenco dei parser ASIM
Aggiungere parser normalizzati personalizzati
Quando si implementano parser personalizzati per il modello di informazioni sugli eventi file, denominare le funzioni KQL usando la sintassi seguente: imFileEvent<vendor><Product.
Fare riferimento all'articolo Gestione dei parser ASIM per informazioni su come aggiungere parser personalizzati all'attività di file che unifica il parser.
Contenuto normalizzato
Per un elenco completo delle regole di analisi che usano eventi normalizzati dell'attività file, vedere Contenuto di sicurezza delle attività file.
Panoramica dello schema
Il modello di informazioni evento file è allineato allo schema dell'entità processo OSSEM.
Lo schema dell'evento file fa riferimento alle entità seguenti, che sono fondamentali per le attività di file:
- Attore. Utente che ha avviato l'attività del file
- ActingProcess. Processo utilizzato dall'attore per avviare l'attività del file
- TargetFile. File in cui è stata eseguita l'operazione
- File di origine (SrcFile). Archivia le informazioni sui file prima dell'operazione.
La relazione tra queste entità è illustrata in modo ottimale come segue: un attore esegue un'operazione di file usando un processo di recitazione, che modifica il file di origine in file di destinazione.
Ad esempio: JohnDoe (Actor) usa Windows File Explorer (processo di recitazione) per rinominare new.doc (file di origine) in old.doc (file di destinazione).
Dettagli dello schema
Campi comuni
Importante
I campi comuni a tutti gli schemi sono descritti in dettaglio nell'articolo Campi comuni ASIM.
Campi con linee guida specifiche per lo schema di eventi file
L'elenco seguente elenca i campi con linee guida specifiche per gli eventi attività file:
| Campo | Classe | Type | Descrizione |
|---|---|---|---|
| EventType | Obbligatorio | Enumerated | Descrive l'operazione segnalata dal record. I valori supportati includono: - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| EventSubType | Facoltativo | Enumerated | Descrive i dettagli sull'operazione segnalata in EventType. I valori supportati per tipo di evento includono: - FileCreated - Upload, Checkin- FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed - Download, Preview, CheckoutExtended- FileDeleted - Recycled, Versions, Site |
| EventSchema | Obbligatorio | String | Il nome dello schema documentato qui è FileEvent. |
| EventSchemaVersion | Obbligatorio | String | La versione dello schema. La versione dello schema documentata qui è 0.2.1 |
| Campi Dvc | - | - | Per Eventi attività file, i campi del dispositivo fanno riferimento al sistema in cui si è verificata l'attività del file. |
Importante
Il EventSchema campo è attualmente facoltativo, ma diventerà obbligatorio il 1° settembre 2022.
Tutti i campi comuni
I campi visualizzati nella tabella sono comuni a tutti gli schemi ASIM. Una delle linee guida specifiche dello schema in questo documento sostituisce le linee guida generali per il campo. Ad esempio, un campo potrebbe essere facoltativo in generale, ma obbligatorio per uno schema specifico. Per altre informazioni su ogni campo, vedere l'articolo Campi comuni ASIM.
| Classe | Campi |
|---|---|
| Obbligatorio | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Consigliato | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Facoltativo | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campi aggiuntivi - DvcDescription - DvcScopeId - DvcScope |
Campi del file di destinazione
I campi seguenti rappresentano informazioni sul file di destinazione in un'operazione file. Se l'operazione prevede un singolo file, FileCreate ad esempio, è rappresentato dai campi del file di destinazione.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| TargetFileCreationTime | Facoltativo | Data/ora | Ora di creazione del file di destinazione. |
| TargetFileDirectory | Facoltativo | String | Cartella o percorso del file di destinazione. Questo campo deve essere simile al campo TargetFilePath , senza l'elemento finale. Nota: un parser può fornire questo valore se il valore disponibile nell'origine del log e non deve essere estratto dal percorso completo. |
| TargetFileExtension | Facoltativo | String | Estensione del file di destinazione. Nota: un parser può fornire questo valore se il valore disponibile nell'origine del log e non deve essere estratto dal percorso completo. |
| TargetFileMimeType | Facoltativo | Enumerated | Tipo Mime o Media del file di destinazione. I valori consentiti sono elencati nel repository dei tipi di supporti IANA. |
| TargetFileName | Consigliato | String | Nome del file di destinazione, senza un percorso o un percorso, ma con un'estensione, se pertinente. Questo campo deve essere simile all'elemento finale nel campo TargetFilePath . |
| FileName | Alias | Alias del campo TargetFileName . | |
| TargetFilePath | Obbligatorio | String | Percorso completo normalizzato del file di destinazione, inclusi la cartella o il percorso, il nome del file e l'estensione. Per altre informazioni, vedere Struttura del percorso. Nota: se il record non include informazioni sulla cartella o sulla posizione, archiviare il nome file solo qui. Esempio: C:\Windows\System32\notepad.exe |
| TargetFilePathType | Obbligatorio | Enumerated | Tipo di TargetFilePath. Per altre informazioni, vedere Struttura del percorso. |
| FilePath | Alias | Alias per il campo TargetFilePath . | |
| TargetFileMD5 | Facoltativo | MD5 | Hash MD5 del file di destinazione. Esempio: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | Facoltativo | SHA1 | Hash SHA-1 del file di destinazione. Esempio: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | Facoltativo | SHA256 | Hash SHA-256 del file di destinazione. Esempio: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | Facoltativo | SHA512 | Hash SHA-512 del file di origine. |
| Hash | Alias | Alias per l'hash del file di destinazione migliore disponibile. | |
| HashType | Consigliato | String | Il tipo di hash archiviato nel campo alias HASH, i valori consentiti sono MD5, SHA, SHA256SHA512 e IMPHASH. Obbligatorio se Hash viene popolato. |
| TargetFileSize | Facoltativo | Lungo | Dimensioni del file di destinazione in byte. |
Campi del file di origine
I campi seguenti rappresentano informazioni sul file di origine in un'operazione di file con un'origine e una destinazione, ad esempio copia. Se l'operazione include un singolo file, è rappresentato dai campi del file di destinazione.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| SrcFileCreationTime | Facoltativo | Data/ora | Ora di creazione del file di origine. |
| SrcFileDirectory | Facoltativo | String | Cartella o percorso del file di origine. Questo campo deve essere simile al campo SrcFilePath , senza l'elemento finale. Nota: un parser può fornire questo valore se il valore è disponibile nell'origine del log e non deve essere estratto dal percorso completo. |
| SrcFileExtension | Facoltativo | String | Estensione del file di origine. Nota: un parser può fornire questo valore che il valore è disponibile nell'origine del log e non deve essere estratto dal percorso completo. |
| SrcFileMimeType | Facoltativo | Enumerated | Tipo Mime o Media del file di origine. I valori supportati sono elencati nel repository dei tipi di supporti IANA. |
| SrcFileName | Consigliato | String | Nome del file di origine, senza un percorso o un percorso, ma con un'estensione, se pertinente. Questo campo deve essere simile all'ultimo elemento nel campo SrcFilePath . |
| SrcFilePath | Consigliato | String | Percorso completo normalizzato del file di origine, inclusi la cartella o il percorso, il nome del file e l'estensione. Per altre informazioni, vedere Struttura del percorso. Esempio: /etc/init.d/networking |
| SrcFilePathType | Consigliato | Enumerated | Tipo di SrcFilePath. Per altre informazioni, vedere Struttura del percorso. |
| SrcFileMD5 | Facoltativo | MD5 | Hash MD5 del file di origine. Esempio: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | Facoltativo | SHA1 | Hash SHA-1 del file di origine. Esempio: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | Facoltativo | SHA256 | Hash SHA-256 del file di origine. Esempio: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | Facoltativo | SHA512 | Hash SHA-512 del file di origine. |
| SrcFileSize | Facoltativo | Lungo | Dimensioni del file di origine in byte. |
Campi attore
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| ActorUserId | Consigliato | String | Rappresentazione univoca, alfanumerica e leggibile del computer dell'attore. Per il formato supportato per tipi ID diversi, vedere l'entità User. Esempio: S-1-12 |
| ActorScope | Facoltativo | String | Ambito, ad esempio il tenant di Microsoft Entra, in cui vengono definiti ActorUserId e ActorUsername . o più informazioni ed elenco dei valori consentiti, vedere UserScope nell'articolo Panoramica dello schema. |
| ActorScopeId | Facoltativo | String | ID ambito, ad esempio l'ID directory di Microsoft Entra, in cui vengono definiti ActorUserId e ActorUsername . o più informazioni e un elenco dei valori consentiti, vedere UserScopeId nell'articolo Panoramica dello schema. |
| ActorUserIdType | Condizionale | String | Tipo dell'ID archiviato nel campo ActorUserId . Per un elenco di valori consentiti e altre informazioni, vedere UserIdType nell'articolo Panoramica dello schema. |
| ActorUsername | Obbligatorio | String | Nome utente attore, incluse le informazioni sul dominio, se disponibili. Per il formato supportato per tipi ID diversi, vedere l'entità User. Usare il modulo semplice solo se le informazioni sul dominio non sono disponibili. Archiviare il tipo Nome utente nel campo ActorUsernameType . Se sono disponibili altri formati di nome utente, archiviarli nei campi ActorUsername<UsernameType>.Esempio: AlbertE |
| Utente | Alias | Alias del campo ActorUsername . Esempio: CONTOSO\dadmin |
|
| ActorUsernameType | Condizionale | Enumerated | Specifica il tipo di nome utente archiviato nel campo ActorUsername . Per un elenco di valori consentiti e altre informazioni, vedere UsernameType nell'articolo Panoramica dello schema. Esempio: Windows |
| ActorSessionId | Facoltativo | String | ID univoco della sessione di accesso dell'attore. Esempio: 999Nota: il tipo è definito come stringa per supportare sistemi diversi, ma in Windows questo valore deve essere numerico. Se si usa un computer Windows e si usa un tipo diverso, assicurarsi di convertire i valori. Ad esempio, se è stato usato un valore esadecimale, convertirlo in un valore decimale. |
| ActorUserType | Facoltativo | UserType | Tipo di Actor. Per un elenco di valori consentiti e altre informazioni, vedere UserType nell'articolo Panoramica dello schema. Nota: è possibile specificare il valore nel record di origine usando termini diversi, che devono essere normalizzati in questi valori. Archiviare il valore originale nel campo ActorOriginalUserType . |
| ActorOriginalUserType | Facoltativo | String | Tipo di utente di destinazione originale, se fornito dal dispositivo di report. |
Campi del processo di recitazione
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| ActingProcessCommandLine | Facoltativo | String | Riga di comando usata per eseguire il processo di azione. Esempio: "choco.exe" -v |
| ActingProcessName | Facoltativo | string | Nome del processo di azione. Questo nome è in genere derivato dal file di immagine o eseguibile usato per definire il codice iniziale e i dati mappati nello spazio indirizzi virtuale del processo. Esempio: C:\Windows\explorer.exe |
| Processo | Alias | Alias in ActingProcessName | |
| ActingProcessId | Facoltativo | String | ID processo (PID) del processo di azione. Esempio: 48610176 Nota: il tipo è definito come stringa per supportare sistemi diversi, ma in Windows e Linux questo valore deve essere numerico. Se si usa un computer Windows o Linux e si usa un tipo diverso, assicurarsi di convertire i valori. Ad esempio, se è stato usato un valore esadecimale, convertirlo in un valore decimale. |
| ActingProcessGuid | Facoltativo | string | Identificatore univoco generato (GUID) del processo di azione. Consente di identificare il processo in tutti i sistemi. Esempio: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Campi correlati al sistema di origine
I campi seguenti rappresentano informazioni sul sistema che avvia l'attività del file, in genere quando vengono trasportate in rete.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| SrcIpAddr | Consigliato | Indirizzo IP | Quando l'operazione viene avviata da un sistema remoto, l'indirizzo IP di questo sistema. Esempio: 185.175.35.214 |
| IpAddr | Alias | Alias per SrcIpAddr | |
| Src | Alias | Alias per SrcIpAddr | |
| SrcPortNumber | Facoltativo | Intero | Quando l'operazione viene avviata da un sistema remoto, il numero di porta da cui è stata avviata la connessione. Esempio: 2335 |
| SrcHostname | Consigliato | Hostname (Nome host) | Nome host del dispositivo di origine, escluse le informazioni sul dominio. Se non è disponibile alcun nome di dispositivo, archiviare l'indirizzo IP pertinente in questo campo. Esempio: DESKTOP-1282V4D |
| SrcDomain | Consigliato | String | Dominio del dispositivo di origine. Esempio: Contoso |
| SrcDomainType | Condizionale | DomainType | Tipo di SrcDomain. Per un elenco di valori consentiti e altre informazioni, vedere DomainType nell'articolo Panoramica dello schema. Obbligatorio se viene usato SrcDomain . |
| SrcFQDN | Facoltativo | String | Nome host del dispositivo di origine, incluse le informazioni sul dominio, se disponibili. Nota: questo campo supporta sia il formato FQDN tradizionale che il formato domain\hostname di Windows. Il campo SrcDomainType riflette il formato utilizzato. Esempio: Contoso\DESKTOP-1282V4D |
| SrcDescription | Facoltativo | String | Testo descrittivo associato al dispositivo. Ad esempio: Primary Domain Controller. |
| SrcDvcId | Facoltativo | String | ID del dispositivo di origine. Se sono disponibili più ID, usare quello più importante e archiviare gli altri nei campi SrcDvc<DvcIdType>.Esempio: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Facoltativo | String | ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. SrcDvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| SrcDvcScope | Facoltativo | String | L'ambito della piattaforma cloud a cui appartiene il dispositivo. SrcDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| SrcDvcIdType | Condizionale | DvcIdType | Tipo di SrcDvcId. Per un elenco di valori consentiti e altre informazioni, vedere DvcIdType nell'articolo Panoramica dello schema. Nota: questo campo è obbligatorio se viene usato SrcDvcId . |
| SrcDeviceType | Facoltativo | DeviceType | Tipo del dispositivo di origine. Per un elenco di valori consentiti e altre informazioni, vedere DeviceType nell'articolo Panoramica dello schema. |
| SrcSubscriptionId | Facoltativo | String | ID sottoscrizione della piattaforma cloud a cui appartiene il dispositivo di origine. SrcSubscriptionId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| SrcGeoCountry | Facoltativo | Country | Paese associato all'indirizzo IP di origine. Esempio: USA |
| SrcGeoRegion | Facoltativo | Paese | Area associata all'indirizzo IP di origine. Esempio: Vermont |
| SrcGeoCity | Facoltativo | Città | Città associata all'indirizzo IP di origine. Esempio: Burlington |
| SrcGeoLatitude | Facoltativo | Latitudine | Latitudine della coordinata geografica associata all'indirizzo IP di origine. Esempio: 44.475833 |
| SrcGeoLongitude | Facoltativo | Longitude | Longitudine della coordinata geografica associata all'indirizzo IP di origine. Esempio: 73.211944 |
Campi correlati alla rete
I campi seguenti rappresentano informazioni sulla sessione di rete quando l'attività del file è stata portata in rete.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| HttpUserAgent | Facoltativo | String | Quando l'operazione viene avviata da un sistema remoto tramite HTTP o HTTPS, l'agente utente usato. Ad esempio: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | Facoltativo | String | Quando l'operazione viene avviata da un sistema remoto, questo valore è il protocollo del livello applicazione usato nel modello OSI. Anche se questo campo non è enumerato e qualsiasi valore viene accettato, i valori preferibili includono: HTTP, HTTPSSMB, ,FTP eSSHEsempio: SMB |
Campi dell'applicazione di destinazione
I campi seguenti rappresentano informazioni sull'applicazione di destinazione che esegue l'attività del file per conto dell'utente. Un'applicazione di destinazione è in genere correlata all'attività dei file di rete, ad esempio l'uso di applicazioni Saas (Software as a Service).
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| TargetAppName | Facoltativo | String | Nome dell'applicazione di destinazione. Esempio: Facebook |
| Applicazione | Alias | Alias per TargetAppName. | |
| TargetAppId | Facoltativo | String | ID dell'applicazione di destinazione, come segnalato dal dispositivo di report. |
| TargetAppType | Facoltativo | AppType | Tipo dell'applicazione di destinazione. Per un elenco di valori consentiti e altre informazioni, vedere AppType nell'articolo Panoramica dello schema. Questo campo è obbligatorio se vengono usati TargetAppName o TargetAppId . |
| TargetUrl | Facoltativo | String | Quando l'operazione viene avviata tramite HTTP o HTTPS, l'URL usato. Esempio: https://onedrive.live.com/?authkey=... |
| Url | Alias | Alias per TargetUrl |
Campi di ispezione
I campi seguenti vengono utilizzati per rappresentare l'ispezione eseguita da un sistema di sicurezza di questo tipo di sistema antivirus. Il thread identificato è in genere associato al file in cui è stata eseguita l'attività anziché all'attività stessa.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| RuleName | Facoltativo | String | Nome o ID della regola associata ai risultati dell'ispezione. |
| RuleNumber | Facoltativo | Intero | Numero della regola associata ai risultati dell'ispezione. |
| Regola | Condizionale | String | Valore di kRuleName o valore di RuleNumber. Se viene usato il valore di RuleNumber , il tipo deve essere convertito in stringa. |
| ThreatId | Facoltativo | String | ID della minaccia o del malware identificato nell'attività del file. |
| ThreatName | Facoltativo | String | Nome della minaccia o del malware identificato nell'attività del file. Esempio: EICAR Test File |
| ThreatCategory | Facoltativo | String | Categoria della minaccia o del malware identificato nell'attività del file. Esempio: Trojan |
| ThreatRiskLevel | Facoltativo | Intero | Livello di rischio associato alla minaccia identificata. Il livello deve essere un numero compreso tra 0 e 100. Nota: il valore potrebbe essere fornito nel record di origine usando una scala diversa, che deve essere normalizzata per questa scala. Il valore originale deve essere archiviato in ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Facoltativo | String | Livello di rischio segnalato dal dispositivo di report. |
| ThreatFilePath | Facoltativo | String | Percorso del file per il quale è stata identificata una minaccia. Il campo ThreatField contiene il nome del campo ThreatFilePath rappresenta. |
| ThreatField | Facoltativo | Enumerated | Campo per il quale è stata identificata una minaccia. Il valore può essere SrcFilePath o DstFilePath. |
| ThreatConfidence | Facoltativo | Intero | Livello di attendibilità della minaccia identificata, normalizzato in un valore compreso tra 0 e 100. |
| ThreatOriginalConfidence | Facoltativo | String | Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di report. |
| ThreatIsActive | Facoltativo | Booleano | True se la minaccia identificata è considerata una minaccia attiva. |
| ThreatFirstReportedTime | Facoltativo | datetime | La prima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
| ThreatLastReportedTime | Facoltativo | datetime | L'ultima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
Struttura del percorso
Il percorso deve essere normalizzato in modo che corrisponda a uno dei formati seguenti. Il formato in cui il valore viene normalizzato verrà riflessa nel rispettivo campo FilePathType .
| Type | Esempio | Note |
|---|---|---|
| Windows Local | C:\Windows\System32\notepad.exe |
Poiché i nomi dei percorsi di Windows non fanno distinzione tra maiuscole e minuscole, questo tipo implica che il valore non fa distinzione tra maiuscole e minuscole. |
| Condivisione di Windows | \\Documents\My Shapes\Favorites.vssx |
Poiché i nomi dei percorsi di Windows non fanno distinzione tra maiuscole e minuscole, questo tipo implica che il valore non fa distinzione tra maiuscole e minuscole. |
| Unix | /etc/init.d/networking |
Poiché i nomi dei percorsi Unix fanno distinzione tra maiuscole e minuscole, questo tipo implica che il valore fa distinzione tra maiuscole e minuscole. - Usare questo tipo per AWS S3. Concatenare il bucket e i nomi delle chiavi per creare il percorso. - Usare questo tipo per le chiavi dell'oggetto di archiviazione BLOB di Azure. |
| URL | https://1drv.ms/p/s!Av04S_*********we |
Usare quando il percorso del file è disponibile come URL. Gli URL non sono limitati a http o https e qualsiasi valore, incluso un valore FTP, è valido. |
Aggiornamenti dello schema
Queste sono le modifiche apportate alla versione 0.1.1 dello schema:
- Aggiunto il campo
EventSchema.
Sono state apportate modifiche alla versione 0.2 dello schema:
- Sono stati aggiunti campi di ispezione.
- Sono stati aggiunti i campi
ActorScope,TargetUserScopeHashType,TargetAppName,TargetAppId,TargetAppType,SrcGeoCountry,SrcGeoRegion,SrcGeoLatitudeActorSessionIdSrcGeoLongitudeDvcScopeId, e .DvcScope - Sono stati aggiunti gli alias
Url,IpAddr, 'FileName' eSrc.
Esistono le modifiche apportate alla versione 0.2.1 dello schema:
- Aggiunta
Applicationcome alias aTargetAppName. - Aggiunta del campo
ActorScopeId - Aggiunta dei campi correlati al dispositivo di origine.
Passaggi successivi
Per altre informazioni, vedi: