進階安全性資訊模型 (ASIM) 檔案事件正規化架構參考 (公開預覽)
檔案事件正規化架構可用來描述檔案活動,例如建立、修改或刪除檔案或檔。 這類事件是由作業系統、檔案儲存系統,例如Azure 檔案儲存體,以及 Microsoft SharePoint 等檔管理系統所報告。
如需 Microsoft Sentinel 中正規化的詳細資訊,請參閱 正規化和進階安全性資訊模型(ASIM)。
重要
檔案事件正規化架構目前為 PREVIEW。 此功能在沒有服務等級協定的情況下提供,不建議用於生產工作負載。
Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
剖析器
部署和使用檔案活動剖析器
從 Microsoft Sentinel GitHub 存放庫 部署 ASIM 檔案活動剖析器。 若要查詢所有檔案活動來源,請使用統一剖析器 imFileEvent 作為查詢中的資料表名稱。
如需使用 ASIM 剖析器的詳細資訊,請參閱 ASIM 剖析器概觀 。 如需檔案活動剖析器清單,Microsoft Sentinel 提供現成的參考 ASIM 剖析器清單
新增您自己的標準化剖析器
實作檔案事件資訊模型的自訂剖析器時,請使用下列語法為您的 KQL 函式命名: imFileEvent<vendor><Product 。
請參閱管理 ASIM 剖析器 一文 ,瞭解如何將自訂剖析器新增至檔案活動統一剖析器。
標準化內容
如需使用正規化檔案活動事件之分析規則的完整清單,請參閱 檔案活動安全性內容 。
架構概觀
檔案事件資訊模型會對齊 OSSEM Process 實體架構 。
檔案事件架構會參考下列實體,這些實體是檔案活動的核心:
- 動作專案 。 起始檔案活動的使用者
- ActingProcess 。 動作專案用來起始檔案活動的程式
- TargetFile 。 執行作業的檔案
- 原始程式檔 (SrcFile) 。 在作業之前儲存檔案資訊。
這些實體之間的關聯性最好示範如下:動作專案 會使用 代理程式 執行檔案作業,其會將 來源檔案 修改為 目標檔案 。
例如: JohnDoe (動作專案 )使用 Windows File Explorer ( 代理程式 ) 將 [來源檔案 ] 重新命名 new.doc 為 old.doc ( 目標檔案 )。
架構詳細資料
一般欄位
重要
ASIM 通用欄位一文會詳細說明 所有架構的通用欄位 。
具有檔案事件架構特定指導方針的欄位
下列清單提及具有檔案活動事件特定指導方針的欄位:
| 欄位 | 類別 | 型別 | 說明 |
|---|---|---|---|
| EventType | 必要 | 枚舉 | 描述記錄所報告的作業。 支援的值包括: - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| EventSubType | 選擇性 | 枚舉 | 描述 EventType 中 報告之作業的詳細資料。 每個事件種類支援的值包括: - FileCreated - Upload, Checkin- FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed - Download, Preview, Checkout, Extended- FileDeleted - Recycled, Versions, Site |
| EventSchema | 必要 | String | 這裡記載的架構名稱是 FileEvent 。 |
| EventSchemaVersion | 必要 | String | 結構描述的版本。 這裡記載的架構版本如下 0.2.1 |
| Dvc 欄位 | - | - | 針對 [檔案活動事件],裝置欄位會參考發生檔案活動的系統。 |
重要
欄位 EventSchema 目前為選擇性欄位,但將于 2022 年 9 月 1 日變成 [強制]。
所有通用欄位
出現在資料表中的欄位適用于所有 ASIM 架構。 本檔中的任何架構特定指導方針會覆寫欄位的一般指導方針。 例如,欄位通常是選擇性的,但特定架構的必要專案。 如需每個欄位的詳細資訊,請參閱 ASIM 通用欄位 一文。
目標檔案欄位
下欄欄位代表檔案作業中目標檔案的相關資訊。 例如,如果作業涉及單一檔案, FileCreate 則會以目標檔案欄位表示。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| TargetFileCreationTime | 選擇性 | 日期/時間 | 建立目標檔案的時間。 |
| TargetFileDirectory | 選擇性 | String | 目標檔案資料夾或位置。 此欄位應該與 TargetFilePath 欄位類似,不含最終專案。 注意 :如果記錄來源中可用的值,而且不需要從完整路徑擷取,剖析器可以提供此值。 |
| TargetFileExtension | 選擇性 | String | 目標副檔名。 注意 :如果記錄來源中可用的值,而且不需要從完整路徑擷取,剖析器可以提供此值。 |
| TargetFileMimeType | 選擇性 | 枚舉 | 目標檔案的 Mime 或 Media 類型。 允許的值會列在 IANA 媒體類型 存放庫中。 |
| TargetFileName | 建議需求 | String | 目標檔案的名稱,不含路徑或位置,但若有相關副檔名,則為 。 此欄位應該類似于 TargetFilePath 欄位中的最後一個專案 。 |
| FileName | Alias | TargetFileName 欄位的 別名。 | |
| TargetFilePath | 必要 | String | 目標檔案的完整正規化路徑,包括資料夾或位置、檔案名和副檔名。 如需詳細資訊,請參閱 路徑結構 。 注意 :如果記錄不包含資料夾或位置資訊,請在這裡儲存檔案名。 範例: C:\Windows\System32\notepad.exe |
| TargetFilePathType | 必要 | 枚舉 | TargetFilePath 的類型 。 如需詳細資訊,請參閱 路徑結構 。 |
| FilePath | Alias | TargetFilePath 欄位的 別名。 | |
| TargetFileMD5 | 選擇性 | MD5 | 目標檔案的 MD5 雜湊。 範例: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | 選擇性 | SHA1 | 目標檔案的 SHA-1 雜湊。 範例: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | 選擇性 | SHA256 | 目標檔案的 SHA-256 雜湊。 範例: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | 選擇性 | SHA512 | 來源檔案的 SHA-512 雜湊。 |
| 雜湊 | Alias | 最佳可用目標檔案雜湊的別名。 | |
| HashType | 建議需求 | String | 儲存在 HASH 別名欄位中的雜湊類型,允許的值為 MD5 、 SHA 、 SHA256SHA512 和 IMPHASH 。 如果 Hash 已填入,則為必要。 |
| TargetFileSize | 選擇性 | Long | 以位元組為單位的目標檔案大小。 |
原始程式檔欄位
下欄欄位代表具有來源和目的地之檔案作業中來源檔案的相關資訊,例如複製。 如果作業涉及單一檔案,則會以目標檔案欄位表示。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| SrcFileCreationTime | 選擇性 | 日期/時間 | 建立來源檔案的時間。 |
| SrcFileDirectory | 選擇性 | String | 源檔案資料夾或位置。 此欄位應該與 SrcFilePath 欄位類似,不含最終專案。 注意 :剖析器可以在記錄來源中提供此值,而且不需要從完整路徑擷取此值。 |
| SrcFileExtension | 選擇性 | String | 原始程式檔副檔名。 注意 :剖析器可以提供此值,此值可在記錄來源中使用,而且不需要從完整路徑擷取。 |
| SrcFileMimeType | 選擇性 | 枚舉 | 原始程式檔的 Mime 或 Media 類型。 支援的值會列在 IANA 媒體類型 存放庫中。 |
| SrcFileName | 建議需求 | String | 原始程式檔的名稱,不含路徑或位置,但若有相關副檔名,則為 。 此欄位應該類似于 SrcFilePath 欄位中的最後一個專案 。 |
| SrcFilePath | 建議需求 | String | 原始程式檔的完整正規化路徑,包括資料夾或位置、檔案名和副檔名。 如需詳細資訊,請參閱 路徑結構 。 範例: /etc/init.d/networking |
| SrcFilePathType | 建議需求 | 枚舉 | SrcFilePath 的類型 。 如需詳細資訊,請參閱 路徑結構 。 |
| SrcFileMD5 | 選擇性 | MD5 | 來源檔案的 MD5 雜湊。 範例: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | 選擇性 | SHA1 | 來源檔案的 SHA-1 雜湊。 範例: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | 選擇性 | SHA256 | 來源檔案的 SHA-256 雜湊。 範例: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | 選擇性 | SHA512 | 來源檔案的 SHA-512 雜湊。 |
| SrcFileSize | 選擇性 | Long | 以位元組為單位的來源檔案大小。 |
動作專案欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| ActorUserId | 建議需求 | String | 機器可讀取、英數位元、動作專案的唯一標記法。 如需不同識別碼類型支援的格式,請參閱 User 實體 。 範例: S-1-12 |
| ActorScope | 選擇性 | String | 定義 ActorUserId 和 ActorUsername 的 Microsoft Entra 租使用者 等範圍。 或詳細資訊和允許的值清單,請參閱 架構概觀一文 中的 UserScope 。 |
| ActorScopeId | 選擇性 | String | 定義 ActorUserId 和 ActorUsername 的範圍識別碼, 例如 Microsoft Entra Directory 識別碼。 或詳細資訊和允許的值清單,請參閱 架構概觀一文 中的 UserScopeId 。 |
| ActorUserIdType | 條件 | String | 儲存在 ActorUserId 欄位中的識別碼類型。 如需允許值和進一步資訊的清單,請參閱 架構概觀一文 中的 UserIdType 。 |
| ActorUsername | 必要 | String | 動作專案使用者名稱,包括可用時的網域資訊。 如需不同識別碼類型支援的格式,請參閱 User 實體 。 只有在網域資訊無法使用時,才使用簡單表單。 將 Username 類型儲存在 ActorUsernameType 欄位中。 如果有其他使用者名稱格式可供使用,請將它們儲存在 欄位中 ActorUsername<UsernameType> 。範例: AlbertE |
| 使用者 | Alias | ActorUsername 欄位的 別名。 範例: CONTOSO\dadmin |
|
| ActorUsernameType | 條件 | 枚舉 | 指定儲存在 ActorUsername 欄位中的使用者名稱類型。 如需允許的值清單和進一步資訊,請參閱 架構概觀一文 中的 UsernameType 。 範例: Windows |
| ActorSessionId | 選擇性 | String | 動作專案登入會話的唯一識別碼。 範例: 999注意 :類型定義為 支援不同系統的字串 ,但在 Windows 上,此值必須是數值。 如果您使用 Windows 電腦並使用不同的類型,請務必轉換值。 例如,如果您使用十六進位值,請將它轉換成十進位值。 |
| ActorUserType | 選擇性 | UserType | 動作專案的類型。 如需允許的值清單和進一步資訊,請參閱 架構概觀一文 中的 UserType 。 注意 :來源記錄中可能會使用不同的詞彙來提供此值,這應該會正規化為這些值。 將原始值儲存在 ActorOriginalUserType 欄位中。 |
| ActorOriginalUserType | 選擇性 | String | 如果報告裝置提供,則為原始目的地使用者類型。 |
代理程式欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| ActingProcessCommandLine | 選擇性 | String | 用來執行代理程式的命令列。 範例: "choco.exe" -v |
| ActingProcessName | 選擇性 | string | 代理程式的名稱。 此名稱通常衍生自映射或可執行檔,用來定義對應至進程虛擬位址空間的初始程式碼和資料。 範例: C:\Windows\explorer.exe |
| 處理 | Alias | ActingProcessName 的 別名 | |
| ActingProcessId | 選擇性 | String | 代理程式的進程識別碼(PID)。 範例: 48610176 注意 :類型定義為 支援不同系統的字串 ,但在 Windows 和 Linux 上,此值必須是數值。 如果您使用 Windows 或 Linux 電腦並使用不同的類型,請務必轉換值。 例如,如果您使用十六進位值,請將它轉換成十進位值。 |
| ActingProcessGuid | 選擇性 | string | 代理程式所產生的唯一識別碼 (GUID)。 啟用跨系統識別程式。 範例: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
來源系統相關欄位
下欄欄位代表系統起始檔案活動的相關資訊,通常是在透過網路傳送時。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| SrcIpAddr | 建議需求 | IP 位址 | 當作業由遠端系統起始時,此系統的 IP 位址。 範例: 185.175.35.214 |
| IpAddr | Alias | SrcIpAddr 的 別名 | |
| Src | Alias | SrcIpAddr 的 別名 | |
| SrcPortNumber | 選擇性 | 整數 | 當作業由遠端系統起始時,從中起始連線的埠號碼。 範例: 2335 |
| SrcHostname | 建議需求 | 主機名稱 | 來源裝置主機名稱,不包括網域資訊。 如果沒有可用的裝置名稱,請將相關的 IP 位址儲存在此欄位中。 範例: DESKTOP-1282V4D |
| SrcDomain | 建議需求 | String | 來源裝置的網域。 範例: Contoso |
| SrcDomainType | 條件 | DomainType | SrcDomain 的類型 。 如需允許的值清單和進一步資訊,請參閱 架構概觀一文 中的 DomainType 。 如果使用 SrcDomain ,則為必要項。 |
| SrcFQDN | 選擇性 | String | 來源裝置主機名稱,包括可用時的網域資訊。 注意 :此欄位同時支援傳統的 FQDN 格式和 Windows 網域\主機名稱格式。 SrcDomainType 欄位會反映所使用的格式。 範例: Contoso\DESKTOP-1282V4D |
| SrcDescription | 選擇性 | String | 與裝置相關聯的描述性文字。 例如: Primary Domain Controller 。 |
| SrcDvcId | 選擇性 | String | 來源裝置的識別碼。 如果有多個識別符可用,請使用最重要的識別碼,並將其他識別碼儲存在 欄位中 SrcDvc<DvcIdType> 。範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 選擇性 | String | 裝置所屬的雲端平臺範圍識別碼。 SrcDvcScopeId 會對應至 Azure 上的訂用帳戶識別碼,以及對應至 AWS 上的帳戶識別碼。 |
| SrcDvcScope | 選擇性 | String | 裝置所屬的雲端平臺範圍。 SrcDvcScope 對應至 Azure 上的訂用帳戶識別碼,以及 AWS 上的帳戶識別碼。 |
| SrcDvcIdType | 條件 | DvcIdType | SrcDvcId 的類型 。 如需允許的值清單和進一步資訊,請參閱 架構概觀一文 中的 DvcIdType 。 注意 :如果使用 SrcDvcId ,則需要此欄位。 |
| SrcDeviceType | 選擇性 | DeviceType | 來源裝置的類型。 如需允許的值清單和進一步資訊,請參閱 架構概觀一文 中的 DeviceType 。 |
| SrcSubscriptionId | 選擇性 | String | 來源裝置所屬的雲端平臺訂用帳戶識別碼。 SrcSubscriptionId 會對應至 Azure 上的訂用帳戶識別碼,以及對應至 AWS 上的帳戶識別碼。 |
| SrcGeoCountry | 選擇性 | 國家/地區 | 與來源 IP 位址相關聯的國家/地區。 範例: USA |
| SrcGeoRegion | 選擇性 | 區域 | 與來源 IP 位址相關聯的區域。 範例: Vermont |
| SrcGeoCity | 選擇性 | 城市 | 與來源 IP 位址相關聯的城市。 範例: Burlington |
| SrcGeoLatitude | 選擇性 | 緯度 | 與來源 IP 位址相關聯的地理座標緯度。 範例: 44.475833 |
| SrcGeoLongitude | 選擇性 | 經度 | 與來源 IP 位址相關聯的地理座標經度。 範例: 73.211944 |
網路相關欄位
下欄欄位代表透過網路傳送檔案活動時,網路會話的相關資訊。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| HttpUserAgent | 選擇性 | String | 當遠端系統使用 HTTP 或 HTTPS 起始作業時,會使用使用者代理程式。 例如: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | 選擇性 | String | 當作業由遠端系統起始時,此值就是 OSI 模型中所使用的應用層通訊協定。 雖然未列舉此欄位,且接受任何值,但建議的值包括: HTTP 、、 HTTPSSMBFTP 、、 和 SSH範例: SMB |
目標應用程式欄位
下欄欄位代表代表使用者執行檔案活動之目的地應用程式的相關資訊。 目的地應用程式通常與透過網路檔案活動相關,例如使用 Saas(軟體即服務)應用程式。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| TargetAppName | 選擇性 | String | 目的地應用程式的名稱。 範例: Facebook |
| 應用程式 | Alias | TargetAppName 的 別名。 | |
| TargetAppId | 選擇性 | String | 目的地應用程式的識別碼,如報告裝置所報告。 |
| TargetAppType | 選擇性 | AppType | 目的地應用程式的型別。 如需允許的值清單和進一步資訊,請參閱 架構概觀一文 中的 AppType 。 如果使用 TargetAppName 或 TargetAppId ,則此欄位是必要的。 |
| TargetUrl | 選擇性 | String | 使用 HTTP 或 HTTPS 起始作業時,所使用的 URL。 範例: https://onedrive.live.com/?authkey=... |
| Url | Alias | TargetUrl 的 別名 |
檢查欄位
下欄欄位用來代表安全性系統所執行這類防毒軟體系統的檢查。 識別的執行緒通常與執行活動所在的檔案相關聯,而不是活動本身。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| RuleName | 選擇性 | String | 與檢查結果相關聯的規則名稱或識別碼。 |
| RuleNumber | 選擇性 | 整數 | 與檢查結果相關聯的規則數目。 |
| 規則 | 條件 | String | kRuleName 的值 或 RuleNumber 的值 。 如果使用 RuleNumber 的值 ,則類型應該轉換成字串。 |
| ThreatId | 選擇性 | String | 檔案活動中所識別的威脅或惡意程式碼識別碼。 |
| ThreatName | 選擇性 | String | 檔案活動中所識別的威脅或惡意程式碼名稱。 範例: EICAR Test File |
| ThreatCategory | 選擇性 | String | 檔案活動中所識別的威脅或惡意程式碼類別。 範例: Trojan |
| ThreatRiskLevel | 選擇性 | 整數 | 與所識別威脅相關聯的風險層級。 層級應該是介於 0 到 100 之間的 數位。 注意 :來源記錄中可能會使用不同的小數位數來提供此值,而這個小數位數應該正規化為這個小數位數。 原始值應該儲存在 ThreatRiskLevelOriginal 中。 |
| ThreatOriginalRiskLevel | 選擇性 | String | 報告裝置所報告的風險層級。 |
| ThreatFilePath | 選擇性 | String | 識別威脅的檔案路徑。 Field ThreatField 包含 ThreatFilePath 所代表欄位 的名稱。 |
| ThreatField | 選擇性 | 枚舉 | 識別威脅的欄位。 值為 SrcFilePath 或 DstFilePath 。 |
| ThreatConfidence | 選擇性 | 整數 | 識別的威脅信賴等級,標準化為介於 0 到 100 之間的值。 |
| ThreatOriginalConfidence | 選擇性 | String | 所識別威脅的原始信賴等級,如報告裝置所報告。 |
| ThreatIsActive | 選擇性 | 布林值 | 如果識別的威脅被視為作用中威脅,則為 True。 |
| ThreatFirstReportedTime | 選擇性 | Datetime | 第一次將 IP 位址或網域識別為威脅。 |
| ThreatLastReportedTime | 選擇性 | Datetime | 上次將 IP 位址或網域識別為威脅的時間。 |
路徑結構
路徑應該正規化,以符合下列其中一種格式。 值正規化的格式將會反映在個別 的 FilePathType 欄位中。
| 類型 | 範例 | 備註 |
|---|---|---|
| Windows 本機 | C:\Windows\System32\notepad.exe |
由於 Windows 路徑名稱不區分大小寫,因此此類型表示值不區分大小寫。 |
| Windows 共用 | \\Documents\My Shapes\Favorites.vssx |
由於 Windows 路徑名稱不區分大小寫,因此此類型表示值不區分大小寫。 |
| Unix | /etc/init.d/networking |
由於 Unix 路徑名稱區分大小寫,因此此類型表示值區分大小寫。 - 針對 AWS S3 使用此類型。 串連貯體和索引鍵名稱,以建立路徑。 - 針對 Azure Blob 儲存體物件金鑰使用此類型。 |
| URL | https://1drv.ms/p/s!Av04S_*********we |
當檔案路徑可用為 URL 時,請使用 。 URL 不限於 HTTP 或 HTTPs ,而且任何包含 FTP 值的值都是有效的。 |
架構更新
這些是架構 0.1.1 版的變更:
- 已新增欄位
EventSchema。
架構 0.2 版中有變更:
- 已新增 檢查欄位 。
- 已新增
ActorScope欄位 、TargetUserScope、、HashType、、TargetAppTypeSrcGeoRegionSrcGeoCountryTargetAppIdSrcGeoLatitudeTargetAppNameSrcGeoLongitude、ActorSessionId、、DvcScopeId和DvcScope.。 - 已新增別名
Url、、IpAddr'FileName'和Src。
架構 0.2.1 版中有變更:
- 新增
Application為 的TargetAppName別名。 - 已新增欄位
ActorScopeId - 已新增來源裝置相關欄位。
下一步
如需詳細資訊,請參閱