Asim-filens schemareferens för händelsenormalisering (offentlig förhandsversion)
Normaliseringsschemat för filhändelser används för att beskriva filaktivitet som att skapa, ändra eller ta bort filer eller dokument. Sådana händelser rapporteras av operativsystem, fillagringssystem som Azure Files och dokumenthanteringssystem som Microsoft SharePoint.
Mer information om normalisering i Microsoft Sentinel finns i Normalisering och ASIM (Advanced Security Information Model).
Viktigt!
Normaliseringsschemat för filhändelser finns för närvarande i förhandsversion. Den här funktionen tillhandahålls utan ett serviceavtal och rekommenderas inte för produktionsarbetsbelastningar.
Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Tolkar
Distribuera och använda filaktivitetsparsers
Distribuera ASIM-filaktivitetsparsers från Microsoft Sentinel GitHub-lagringsplatsen. Om du vill köra frågor mot alla filaktivitetskällor använder du den enande parsern imFileEvent som tabellnamn i frågan.
Mer information om hur du använder ASIM-parsare finns i översikten över ASIM-parsare. Listan över filaktivitetsparsers i Microsoft Sentinel innehåller en out-of-the-box-lista med ASIM-parsare
Lägg till dina egna normaliserade parsers
När du implementerar anpassade parsers för filhändelseinformationsmodellen namnger du dina KQL-funktioner med hjälp av följande syntax: imFileEvent<vendor><Product.
Se artikeln Hantera ASIM-parsare för att lära dig hur du lägger till dina anpassade parsers i filaktivitetens enande parser.
Normaliserat innehåll
En fullständig lista över analysregler som använder normaliserade filaktivitetshändelser finns i Säkerhetsinnehåll för filaktivitet.
Schemaöversikt
Filhändelseinformationsmodellen är justerad efter OSSEM Process-entitetsschemat.
Schemat för filhändelse refererar till följande entiteter, som är centrala för filaktiviteter:
- Skådespelare. Användaren som initierade filaktiviteten
- ActingProcess. Processen som används av aktören för att initiera filaktiviteten
- TargetFile. Filen där åtgärden utfördes
- Källfil (SrcFile). Lagrar filinformation före åtgärden.
Relationen mellan dessa entiteter visas bäst på följande sätt: En aktör utför en filåtgärd med hjälp av en agerar process, som ändrar källfilen till målfilen.
Till exempel: JohnDoe (Aktör) använder Windows File Explorer (agerar process) för att byta new.doc namn på (källfil) till old.doc (målfil).
Schemainformation
Vanliga fält
Viktigt!
Fält som är gemensamma för alla scheman beskrivs i detalj i artikeln vanliga ASIM-fält .
Fält med specifika riktlinjer för filhändelseschemat
I följande lista nämns fält som har specifika riktlinjer för filaktivitetshändelser:
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| EventType | Obligatorisk | Enumerated | Beskriver den åtgärd som rapporterats av posten. Värden som stöds är: - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| EventSubType | Valfritt | Enumerated | Beskriver information om åtgärden som rapporteras i EventType. Värden som stöds per händelsetyp är: - FileCreated - Upload, Checkin- FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed - Download, Preview, , CheckoutExtended- FileDeleted - Recycled, , VersionsSite |
| EventSchema | Obligatorisk | String | Namnet på schemat som dokumenteras här är FileEvent. |
| EventSchemaVersion | Obligatorisk | String | Versionen av schemat. Den version av schemat som dokumenteras här är 0.2.1 |
| Dvc-fält | - | - | För Filaktivitetshändelser refererar enhetsfält till systemet där filaktiviteten inträffade. |
Viktigt!
Fältet EventSchema är för närvarande valfritt men blir obligatoriskt den 1 september 2022.
Alla vanliga fält
Fält som visas i tabellen är gemensamma för alla ASIM-scheman. Någon av de schemaspecifika riktlinjerna i det här dokumentet åsidosätter de allmänna riktlinjerna för fältet. Ett fält kan till exempel vara valfritt i allmänhet, men obligatoriskt för ett specifikt schema. Mer information om varje fält finns i artikeln vanliga ASIM-fält .
| Klass | Fält |
|---|---|
| Obligatorisk | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Rekommenderat | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valfritt | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Målfilfält
Följande fält representerar information om målfilen i en filåtgärd. Om åtgärden omfattar en enda fil FileCreate representeras den till exempel av målfilfälten.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| TargetFileCreationTime | Valfritt | Datum/tid | Tidpunkten då målfilen skapades. |
| TargetFileDirectory | Valfritt | String | Målfilens mapp eller plats. Det här fältet bör likna fältet TargetFilePath utan det sista elementet. Obs! En parser kan ange det här värdet om värdet som är tillgängligt i loggkällan och inte behöver extraheras från den fullständiga sökvägen. |
| TargetFileExtension | Valfritt | String | Målfiltillägget. Obs! En parser kan ange det här värdet om värdet som är tillgängligt i loggkällan och inte behöver extraheras från den fullständiga sökvägen. |
| TargetFileMimeType | Valfritt | Enumerated | Mime- eller Media-typen för målfilen. Tillåtna värden visas i IANA Media Types-lagringsplatsen . |
| TargetFileName | Rekommenderat | String | Namnet på målfilen, utan sökväg eller plats, men med ett tillägg om det är relevant. Det här fältet bör likna det sista elementet i fältet TargetFilePath . |
| Filnamn | Alias | Alias till fältet TargetFileName . | |
| TargetFilePath | Obligatorisk | String | Den fullständiga, normaliserade sökvägen för målfilen, inklusive mappen eller platsen, filnamnet och tillägget. Mer information finns i Sökvägsstruktur. Obs! Om posten inte innehåller mapp- eller platsinformation lagrar du endast filnamnet här. Exempel: C:\Windows\System32\notepad.exe |
| TargetFilePathType | Obligatorisk | Enumerated | Typ av TargetFilePath. Mer information finns i Sökvägsstruktur. |
| FilePath | Alias | Alias till fältet TargetFilePath . | |
| TargetFileMD5 | Valfritt | MD5 | MD5-hashen för målfilen. Exempel: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | Valfritt | SHA1 | SHA-1-hashen för målfilen. Exempel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | Valfritt | SHA256 | SHA-256-hashen för målfilen. Exempel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | Valfritt | SHA512 | SHA-512-hashen för källfilen. |
| Hash | Alias | Alias till den bästa tillgängliga målfilshashen. | |
| HashType | Rekommenderat | String | Den typ av hash som lagras i hash-aliasfältet, tillåtna värden är MD5, SHA, SHA256och SHA512 IMPHASH. Obligatoriskt om Hash fylls i. |
| TargetFileSize | Valfritt | Long | Storleken på målfilen i byte. |
Källfilfält
Följande fält representerar information om källfilen i en filåtgärd som har både en källa och ett mål, till exempel kopia. Om åtgärden omfattar en enda fil representeras den av målfilfälten.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| SrcFileCreationTime | Valfritt | Datum/tid | Tidpunkten då källfilen skapades. |
| SrcFileDirectory | Valfritt | String | Källfilens mapp eller plats. Det här fältet bör likna fältet SrcFilePath utan det sista elementet. Obs! En parser kan ange det här värdet om värdet är tillgängligt i loggkällan och inte behöver extraheras från den fullständiga sökvägen. |
| SrcFileExtension | Valfritt | String | Källfiltillägget. Obs! En parser kan ange det här värdet som värdet är tillgängligt i loggkällan och behöver inte extraheras från den fullständiga sökvägen. |
| SrcFileMimeType | Valfritt | Enumerated | Mime- eller Media-typen för källfilen. Värden som stöds visas i IANA Media Types-lagringsplatsen . |
| SrcFileName | Rekommenderat | String | Namnet på källfilen, utan sökväg eller plats, men med ett tillägg om det är relevant. Det här fältet bör likna det sista elementet i fältet SrcFilePath . |
| SrcFilePath | Rekommenderat | String | Den fullständiga, normaliserade sökvägen för källfilen, inklusive mappen eller platsen, filnamnet och tillägget. Mer information finns i Sökvägsstruktur. Exempel: /etc/init.d/networking |
| SrcFilePathType | Rekommenderat | Enumerated | Typen av SrcFilePath. Mer information finns i Sökvägsstruktur. |
| SrcFileMD5 | Valfritt | MD5 | MD5-hashen för källfilen. Exempel: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | Valfritt | SHA1 | SHA-1-hashen för källfilen. Exempel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | Valfritt | SHA256 | SHA-256-hashen för källfilen. Exempel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | Valfritt | SHA512 | SHA-512-hashen för källfilen. |
| SrcFileSize | Valfritt | Long | Storleken på källfilen i byte. |
Aktörsfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| ActorUserId | Rekommenderat | String | En maskinläsbar, alfanumerisk, unik representation av aktören. Det format som stöds för olika ID-typer finns i användarentiteten. Exempel: S-1-12 |
| ActorScope | Valfritt | String | Omfånget, till exempel Microsoft Entra-klientorganisationen, där ActorUserId och ActorUsername definieras. eller mer information och lista över tillåtna värden, se UserScope i artikeln Schemaöversikt. |
| ActorScopeId | Valfritt | String | Omfångs-ID:t, till exempel Microsoft Entra-katalog-ID, där ActorUserId och ActorUsername definieras. eller mer information och lista över tillåtna värden, se UserScopeId i artikeln Schemaöversikt. |
| ActorUserIdType | Villkorsstyrd | String | Typen av ID som lagras i fältet ActorUserId . En lista över tillåtna värden och ytterligare information finns i UserIdType i artikeln Schemaöversikt. |
| ActorUsername | Obligatorisk | String | Aktörens användarnamn, inklusive domäninformation när det är tillgängligt. Det format som stöds för olika ID-typer finns i användarentiteten. Använd bara det enkla formuläret om domäninformation inte är tillgänglig. Lagra användarnamnstypen i fältet ActorUsernameType . Om andra användarnamnsformat är tillgängliga lagrar du dem i fälten ActorUsername<UsernameType>.Exempel: AlbertE |
| Användare | Alias | Alias till fältet ActorUsername . Exempel: CONTOSO\dadmin |
|
| ActorUsernameType | Villkorsstyrd | Enumerated | Anger typen av användarnamn som lagras i fältet ActorUsername . En lista över tillåtna värden och ytterligare information finns i UsernameType i artikeln Schemaöversikt. Exempel: Windows |
| ActorSessionId | Valfritt | String | Det unika ID:t för inloggningssessionen för aktören. Exempel: 999Obs! Typen definieras som sträng för att stödja olika system, men i Windows måste det här värdet vara numeriskt. Om du använder en Windows-dator och använder en annan typ ska du konvertera värdena. Om du till exempel använde ett hexadecimalt värde konverterar du det till ett decimalvärde. |
| ActorUserType | Valfritt | UserType | Typ av aktör. En lista över tillåtna värden och ytterligare information finns i UserType i artikeln Schemaöversikt. Obs! Värdet kan anges i källposten med hjälp av olika termer, som bör normaliseras till dessa värden. Lagra det ursprungliga värdet i fältet ActorOriginalUserType . |
| ActorOriginalUserType | Valfritt | String | Den ursprungliga målanvändartypen, om den tillhandahålls av rapporteringsenheten. |
Agerar processfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| ActingProcessCommandLine | Valfritt | String | Kommandoraden som används för att köra agerarprocessen. Exempel: "choco.exe" -v |
| ActingProcessName | Valfritt | sträng | Namnet på den verkande processen. Det här namnet härleds vanligtvis från den bild eller körbara fil som används för att definiera den inledande koden och data som mappas till processens virtuella adressutrymme. Exempel: C:\Windows\explorer.exe |
| Bearbeta | Alias | Alias till ActingProcessName | |
| ActingProcessId | Valfritt | String | Process-ID (PID) för den verkande processen. Exempel: 48610176 Obs! Typen definieras som sträng för att stödja olika system, men i Windows och Linux måste det här värdet vara numeriskt. Om du använder en Windows- eller Linux-dator och använder en annan typ ska du konvertera värdena. Om du till exempel använde ett hexadecimalt värde konverterar du det till ett decimalvärde. |
| ActingProcessGuid | Valfritt | sträng | En genererad unik identifierare (GUID) för den verkande processen. Gör det möjligt att identifiera processen mellan system. Exempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Källsystemrelaterade fält
Följande fält representerar information om systemet som initierar filaktiviteten, vanligtvis när den överförs via nätverket.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| SrcIpAddr | Rekommenderat | IP-adress | När åtgärden initieras av ett fjärrsystem, ip-adressen för det här systemet. Exempel: 185.175.35.214 |
| IpAddr | Alias | Alias till SrcIpAddr | |
| Src | Alias | Alias till SrcIpAddr | |
| SrcPortNumber | Valfritt | Integer | När åtgärden initieras av ett fjärrsystem, portnumret som anslutningen initierades från. Exempel: 2335 |
| SrcHostname | Rekommenderat | Värdnamn | Källenhetens värdnamn, exklusive domäninformation. Om inget enhetsnamn är tillgängligt lagrar du relevant IP-adress i det här fältet. Exempel: DESKTOP-1282V4D |
| SrcDomain | Rekommenderat | String | Källenhetens domän. Exempel: Contoso |
| SrcDomainType | Villkorsstyrd | DomainType | Typen av SrcDomain. En lista över tillåtna värden och ytterligare information finns i DomainType i artikeln Schemaöversikt. Krävs om SrcDomain används. |
| SrcFQDN | Valfritt | String | Värdnamnet för källenheten, inklusive domäninformation när det är tillgängligt. Obs! Det här fältet stöder både traditionellt FQDN-format och Windows-domän\värdnamnsformat. Fältet SrcDomainType återspeglar det format som används. Exempel: Contoso\DESKTOP-1282V4D |
| SrcDescription | Valfritt | String | En beskrivande text som är associerad med enheten. Exempel: Primary Domain Controller. |
| SrcDvcId | Valfritt | String | Källenhetens ID. Om flera ID:er är tillgängliga använder du det viktigaste och lagrar de andra i fälten SrcDvc<DvcIdType>.Exempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Valfritt | String | Molnplattformens omfångs-ID som enheten tillhör. SrcDvcScopeId mappas till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| SrcDvcScope | Valfritt | String | Molnplattformsomfånget som enheten tillhör. SrcDvcScope mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| SrcDvcIdType | Villkorsstyrd | DvcIdType | Typen av SrcDvcId. En lista över tillåtna värden och ytterligare information finns i DvcIdType i artikeln Schemaöversikt. Obs! Det här fältet krävs om SrcDvcId används. |
| SrcDeviceType | Valfritt | DeviceType | Typ av källenhet. En lista över tillåtna värden och ytterligare information finns i DeviceType i artikeln Schemaöversikt. |
| SrcSubscriptionId | Valfritt | String | Prenumerations-ID:t för molnplattformen som källenheten tillhör. SrcSubscriptionId mappa till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| SrcGeoCountry | Valfritt | Land | Det land som är associerat med källans IP-adress. Exempel: USA |
| SrcGeoRegion | Valfritt | Region | Den region som är associerad med källans IP-adress. Exempel: Vermont |
| SrcGeoCity | Valfritt | City | Den ort som är associerad med källans IP-adress. Exempel: Burlington |
| SrcGeoLatitude | Valfritt | Latitud | Latitud för den geografiska koordinat som är associerad med källans IP-adress. Exempel: 44.475833 |
| SrcGeoLongitude | Valfritt | Longitud | Longitud för den geografiska koordinat som är associerad med källans IP-adress. Exempel: 73.211944 |
Nätverksrelaterade fält
Följande fält representerar information om nätverkssessionen när filaktiviteten överfördes över nätverket.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| HttpUserAgent | Valfritt | String | När åtgärden initieras av ett fjärrsystem med HTTP eller HTTPS används användaragenten. Till exempel: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | Valfritt | String | När åtgärden initieras av ett fjärrsystem är det här värdet det protokoll på programnivå som används i OSI-modellen. Även om det här fältet inte räknas upp och något värde accepteras, är HTTPföljande värden: , HTTPS, SMB,FTPoch SSHExempel: SMB |
Målprogramfält
Följande fält representerar information om målprogrammet som utför filaktiviteten åt användaren. Ett målprogram är vanligtvis relaterat till filaktivitet över nätverket, till exempel att använda Saas-program (Programvara som en tjänst).
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| TargetAppName | Valfritt | String | Namnet på målprogrammet. Exempel: Facebook |
| Program | Alias | Alias till TargetAppName. | |
| TargetAppId | Valfritt | String | ID:t för målprogrammet enligt rapporteringsenhetens rapporter. |
| TargetAppType | Valfritt | AppType | Typ av målprogram. En lista över tillåtna värden och ytterligare information finns i AppType i artikeln Schemaöversikt. Det här fältet är obligatoriskt om TargetAppName eller TargetAppId används. |
| TargetUrl | Valfritt | String | När åtgärden initieras med HTTP eller HTTPS används URL:en. Exempel: https://onedrive.live.com/?authkey=... |
| Url | Alias | Alias till TargetUrl |
Kontrollfält
Följande fält används för att representera inspektionen som utförs av ett säkerhetssystem, till exempel ett antivirussystem. Tråden som identifieras är vanligtvis associerad med filen där aktiviteten utfördes i stället för själva aktiviteten.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| RuleName | Valfritt | String | Namnet eller ID:t för regeln som associeras med inspektionsresultatet. |
| RuleNumber | Valfritt | Integer | Antalet regler som är associerade med inspektionsresultatet. |
| Regel | Villkorsstyrd | String | Antingen värdet för kRuleName eller värdet för RuleNumber. Om värdet för RuleNumber används ska typen konverteras till sträng. |
| ThreatId | Valfritt | String | ID:t för hotet eller skadlig kod som identifieras i filaktiviteten. |
| ThreatName | Valfritt | String | Namnet på det hot eller den skadliga kod som identifieras i filaktiviteten. Exempel: EICAR Test File |
| ThreatCategory | Valfritt | String | Kategorin för det hot eller skadlig kod som identifieras i filaktiviteten. Exempel: Trojan |
| ThreatRiskLevel | Valfritt | Integer | Den risknivå som är associerad med det identifierade hotet. Nivån ska vara ett tal mellan 0 och 100. Obs! Värdet kan anges i källposten med hjälp av en annan skala, som bör normaliseras till den här skalan. Det ursprungliga värdet ska lagras i ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Valfritt | String | Risknivån som rapporteras av rapporteringsenheten. |
| ThreatFilePath | Valfritt | String | En filsökväg som ett hot identifierades för. Fältet ThreatField innehåller namnet på fältet ThreatFilePath representerar. |
| ThreatField | Valfritt | Enumerated | Fältet som ett hot identifierades för. Värdet är antingen SrcFilePath eller DstFilePath. |
| ThreatConfidence | Valfritt | Integer | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatOriginalConfidence | Valfritt | String | Den ursprungliga konfidensnivån för det identifierade hotet, enligt rapporteringsenhetens rapporter. |
| ThreatIsActive | Valfritt | Booleskt | Sant om det identifierade hotet anses vara ett aktivt hot. |
| ThreatFirstReportedTime | Valfritt | datetime | Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatLastReportedTime | Valfritt | datetime | Senast IP-adressen eller domänen identifierades som ett hot. |
Sökvägsstruktur
Sökvägen bör normaliseras så att den matchar något av följande format. Formatet som värdet normaliseras till återspeglas i respektive FilePathType-fält .
| Typ | Exempel | Kommentar |
|---|---|---|
| Lokal Windows | C:\Windows\System32\notepad.exe |
Eftersom Windows-sökvägsnamn är skiftlägesokänsliga innebär den här typen att värdet är skiftlägesokänsligt. |
| Windows-resurs | \\Documents\My Shapes\Favorites.vssx |
Eftersom Windows-sökvägsnamn är skiftlägesokänsliga innebär den här typen att värdet är skiftlägesokänsligt. |
| Unix | /etc/init.d/networking |
Eftersom Unix-sökvägsnamn är skiftlägeskänsliga innebär den här typen att värdet är skiftlägeskänsligt. – Använd den här typen för AWS S3. Sammanfoga bucket- och nyckelnamnen för att skapa sökvägen. – Använd den här typen för Azure Blob Storage-objektnycklar. |
| URL | https://1drv.ms/p/s!Av04S_*********we |
Använd när filsökvägen är tillgänglig som en URL. URL:er är inte begränsade till http eller https, och alla värden, inklusive ett FTP-värde, är giltiga. |
Schemauppdateringar
Det här är ändringarna i version 0.1.1 av schemat:
- Fältet har lagts till
EventSchema.
Det finns ändringar i version 0.2 av schemat:
- Kontrollfält har lagts till.
- Fälten , ,
TargetUserScope, , , , ,SrcGeoCountrySrcGeoRegion, ,SrcGeoLongitude,SrcGeoLatitude,ActorSessionId,DvcScopeIdochDvcScope.. har lagtsActorScopetill.TargetAppTypeTargetAppIdTargetAppNameHashType - Aliasen har lagts
Urltill ,IpAddr, "FileName" ochSrc.
Det finns ändringar i version 0.2.1 av schemat:
- Har lagts
Applicationtill som ett alias tillTargetAppName. - Fältet har lagts till
ActorScopeId - Källenhetsrelaterade fält har lagts till.
Nästa steg
Mer information finns i: