파일 이벤트 정규화 스키마는 파일 또는 문서 만들기, 수정 또는 삭제와 같은 파일 작업을 설명하는 데 사용됩니다. 이러한 이벤트는 운영 체제, 파일 스토리지 시스템(예: Azure Files) 및 Microsoft SharePoint와 같은 문서 관리 시스템에서 보고됩니다.
Microsoft Sentinel 정규화에 대한 자세한 내용은 정규화 및 ASIM(고급 보안 정보 모델)을 참조하세요.
파서
파일 활동 파서 배포 및 사용
Microsoft Sentinel GitHub 리포지토리에서 ASIM 파일 작업 파서를 배포합니다. 모든 파일 활동 원본에서 쿼리하려면 통합 파서 imFileEvent 를 쿼리의 테이블 이름으로 사용합니다.
ASIM 파서 사용에 대한 자세한 내용은 ASIM 파서 개요를 참조하세요. 기본 제공 Microsoft Sentinel 파일 활동 파서 목록은 ASIM 파서 목록을 참조하세요.
정규화된 자체 파서 추가
파일 이벤트 정보 모델에 대한 사용자 지정 파서를 구현하는 경우 구문을 imFileEvent<vendor><Product사용하여 KQL 함수의 이름을 로 지정합니다.
사용자 지정 파서를 파일 작업 통합 파서에 추가하는 방법을 알아보려면 ASIM 파서 관리 문서를 참조하세요.
파서 매개 변수 필터링
파일 이벤트 파서는 필터링 매개 변수를 지원합니다. 이러한 매개 변수는 선택 사항이지만 쿼리 성능을 향상시킬 수 있습니다.
다음 필터링 매개 변수를 사용할 수 있습니다.
| 이름 | 유형 | 설명 |
|---|---|---|
| Starttime | datetime | 이 시간 이후에 발생한 파일 이벤트만 필터링합니다. 이 매개 변수는 TimeGenerated EventStartTime 및 EventEndTime 필드의 파서별 매핑에 관계없이 이벤트 시간의 표준 지정자인 필드를 필터링합니다. |
| Endtime | datetime | 이 시간 또는 그 이전에 발생한 파일 이벤트만 필터링합니다. 이 매개 변수는 TimeGenerated EventStartTime 및 EventEndTime 필드의 파서별 매핑에 관계없이 이벤트 시간의 표준 지정자인 필드를 필터링합니다. |
| eventtype_in | 동적 | 이벤트 형식이 나열된 값(예: FileCreated, , FileModified, FileDeletedFileRenamed또는 FileCopied)인 파일 이벤트만 필터링합니다. |
| srcipaddr_has_any_prefix | 동적 | 원본 IP 주소 접두사에서 나열된 값과 일치하는 파일 이벤트만 필터링합니다. 접두사는 로 .끝나야 합니다(예: 10.0.). |
| actorusername_has_any | 동적 | 행위자 사용자 이름에 나열된 값이 있는 파일 이벤트만 필터링합니다. |
| targetfilepath_has_any | 동적 | 대상 파일 경로에 나열된 값이 있는 파일 이벤트만 필터링합니다. |
| srcfilepath_has_any | 동적 | 원본 파일 경로에 나열된 값이 있는 파일 이벤트만 필터링합니다. |
| hashes_has_any | 동적 | 파일 해시가 나열된 값과 일치하는 파일 이벤트만 필터링합니다. |
| dvchostname_has_any | 동적 | 디바이스 호스트 이름에 나열된 값이 있는 파일 이벤트만 필터링합니다. |
예를 들어 마지막 날의 파일 만들기 및 수정 이벤트만 필터링하려면 다음을 사용합니다.
_Im_FileEvent (eventtype_in=dynamic(['FileCreated','FileModified']), starttime = ago(1d), endtime=now())
정규화된 콘텐츠
정규화된 파일 활동 이벤트를 사용하는 분석 규칙의 전체 목록은 파일 활동 보안 콘텐츠를 참조하세요.
스키마 개요
파일 이벤트 정보 모델은 OSSEM 프로세스 엔터티 스키마에 맞춰집니다.
파일 이벤트 스키마는 파일 작업의 중심인 다음 엔터티를 참조합니다.
- 행위자. 파일 작업을 시작한 사용자
- ActingProcess. 행위자가 파일 작업을 시작하는 데 사용하는 프로세스
- TargetFile. 작업이 수행된 파일
- 원본 파일(SrcFile). 작업 전에 파일 정보를 저장합니다.
이러한 엔터티 간의 관계는 다음과 같이 가장 잘 보여 줍니다. 행위 자가 작업 프로세스를 사용하여 파일 작업을 수행하여 원본 파일을대상 파일로 수정합니다.
예: JohnDoe (행위자)는 (작업 프로세스)를 사용하여 Windows File Explorer (원본 파일)의 이름을 (대상 파일)로 old.doc 바꿉니다 new.doc .
스키마 세부 정보
공통 필드
중요
모든 스키마에 공통된 필드는 ASIM 공통 필드 문서에서 자세히 설명합니다.
파일 이벤트 스키마에 대한 특정 지침이 있는 필드
다음 목록에서는 파일 활동 이벤트에 대한 특정 지침이 있는 필드를 설명합니다.
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| EventType | 필수 | 열거 | 레코드에서 보고한 작업에 대해 설명합니다. 지원되는 값은 다음과 같습니다. - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| EventSubType | 옵션 | 열거 |
EventType에서 보고된 작업에 대한 세부 정보를 설명합니다. 이벤트 유형당 지원되는 값은 다음과 같습니다. - FileCreated
-
Upload, Checkin- FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed
-
Download, Preview, Checkout, Extended- FileDeleted
-
Recycled, Versions, Site |
| EventSchema | 필수 | 열거 | 여기에 설명된 스키마의 이름은 FileEvent입니다. |
| EventSchemaVersion | 필수 | SchemaVersion(문자열) | 스키마의 버전입니다. 여기에 설명된 스키마의 버전은 다음과 같습니다. 0.2.2 |
| Dvc 필드 | - | - | 파일 활동 이벤트의 경우 디바이스 필드는 파일 활동이 발생한 시스템을 참조합니다. |
중요
EventSchema 필드는 현재 선택 사항이지만 2022년 9월 1일에 필수가 됩니다.
모든 공통 필드
테이블에 표시되는 필드는 모든 ASIM 스키마에 공통적으로 적용됩니다. 이 문서의 스키마 관련 지침은 필드에 대한 일반 지침을 재정의합니다. 예를 들어 필드는 일반적으로 선택 사항이지만 특정 스키마에는 필수일 수 있습니다. 각 필드에 대한 자세한 내용은 ASIM 공통 필드 문서를 참조하세요.
| 클래스 | 필드 |
|---|---|
| 필수 |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| 권장 |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| 옵션 |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
대상 파일 필드
다음 필드는 파일 작업의 대상 파일에 대한 정보를 나타냅니다. 예를 들어 작업에 단일 파일이 FileCreate 포함된 경우 대상 파일 필드로 표시됩니다.
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| TargetFileCreationTime | 옵션 | 날짜/시간 | 대상 파일을 만든 시간입니다. |
| TargetFileDirectory | 옵션 | String | 대상 파일 폴더 또는 위치입니다. 이 필드는 최종 요소가 없는 TargetFilePath 필드와 유사해야 합니다. 참고: 로그 원본에서 사용할 수 있는 값이 전체 경로에서 추출될 필요가 없는 경우 파서는 이 값을 제공할 수 있습니다. |
| TargetFileExtension | 옵션 | String | 대상 파일 확장명입니다. 참고: 로그 원본에서 사용할 수 있는 값이 전체 경로에서 추출될 필요가 없는 경우 파서는 이 값을 제공할 수 있습니다. |
| TargetFileMimeType | 옵션 | String | 대상 파일의 Mime 또는 Media 형식입니다. 허용되는 값은 IANA 미디어 형식 리포지토리에 나열됩니다. |
| TargetFileName | 권장 | String | 경로 또는 위치가 없지만 확장명(관련된 경우)이 있는 대상 파일의 이름입니다. 이 필드는 TargetFilePath 필드의 최종 요소와 유사해야 합니다. |
| 파일 | 별칭 | TargetFileName 필드의 별칭입니다. | |
| TargetFilePath | 필수 | String | 폴더 또는 위치, 파일 이름 및 확장명을 포함하여 대상 파일의 정규화된 전체 경로입니다. 자세한 내용은 경로 구조를 참조하세요. 참고: 레코드에 폴더 또는 위치 정보가 포함되지 않은 경우 여기에만 파일 이름을 저장합니다. 예: C:\Windows\System32\notepad.exe |
| TargetFilePathType | 필수 | 열거 | TargetFilePath의 형식입니다. 자세한 내용은 경로 구조를 참조하세요. |
| Filepath | 별칭 | TargetFilePath 필드의 별칭입니다. | |
| TargetFileMD5 | 옵션 | MD5 | 대상 파일의 MD5 해시입니다. 예: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | 옵션 | SHA1 | 대상 파일의 SHA-1 해시입니다. 예: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | 옵션 | SHA256 | 대상 파일의 SHA-256 해시입니다. 예: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | 옵션 | Sha512 | 원본 파일의 SHA-512 해시입니다. |
| 해시 | 별칭 | 사용 가능한 최상의 대상 파일 해시에 대한 별칭입니다. | |
| HashType | 조건부 | 열거 | HASH 별칭 필드에 저장된 해시의 형식이며 허용되는 값은 , , SHA512SHASHA256및 IMPHASH입니다.MD5 가 채워진 경우 Hash 필수입니다. |
| TargetFileSize | 옵션 | 긴 | 대상 파일의 크기(바이트)입니다. |
원본 파일 필드
다음 필드는 원본과 대상이 모두 있는 파일 작업의 원본 파일(예: 복사)에 대한 정보를 나타냅니다. 작업에 단일 파일이 포함된 경우 대상 파일 필드로 표시됩니다.
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| SrcFileCreationTime | 옵션 | 날짜/시간 | 원본 파일을 만든 시간입니다. |
| SrcFileDirectory | 옵션 | String | 원본 파일 폴더 또는 위치입니다. 이 필드는 최종 요소가 없는 SrcFilePath 필드와 유사해야 합니다. 참고: 값을 로그 원본에서 사용할 수 있고 전체 경로에서 추출할 필요가 없는 경우 파서는 이 값을 제공할 수 있습니다. |
| SrcFileExtension | 옵션 | String | 원본 파일 확장명입니다. 참고: 파서는 이 값을 로그 원본에서 사용할 수 있으며 전체 경로에서 추출할 필요가 없습니다. |
| SrcFileMimeType | 옵션 | String | 소스 파일의 Mime 또는 미디어 형식입니다. 지원되는 값은 IANA 미디어 형식 리포지토리에 나열됩니다. |
| SrcFileName | 권장 | String | 경로 또는 위치가 없는 원본 파일의 이름이지만, 관련된 경우 확장명을 사용합니다. 이 필드는 SrcFilePath 필드의 마지막 요소와 유사해야 합니다. |
| SrcFilePath | 권장 | String | 폴더 또는 위치, 파일 이름 및 확장명을 포함하여 원본 파일의 정규화된 전체 경로입니다. 자세한 내용은 경로 구조를 참조하세요. 예: /etc/init.d/networking |
| SrcFilePathType | 권장 | 열거 | SrcFilePath의 형식입니다. 자세한 내용은 경로 구조를 참조하세요. |
| SrcFileMD5 | 옵션 | MD5 | 원본 파일의 MD5 해시입니다. 예: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | 옵션 | SHA1 | 원본 파일의 SHA-1 해시입니다. 예: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | 옵션 | SHA256 | 원본 파일의 SHA-256 해시입니다. 예: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | 옵션 | Sha512 | 원본 파일의 SHA-512 해시입니다. |
| SrcFileSize | 옵션 | 긴 | 소스 파일의 크기(바이트)입니다. |
행위자 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| ActorUserId | 권장 | String | 컴퓨터에서 읽을 수 있는 영숫자이며 행위자의 고유한 표현입니다. 다양한 ID 형식에 대해 지원되는 형식은 사용자 엔터티를 참조하세요. 예: S-1-12 |
| 행위자 범위 | 옵션 | String | actorUserId 및 ActorUsername이 정의된 Microsoft Entra 테넌트와 같은 scope. 또는 허용되는 값의 자세한 내용과 목록은 스키마 개요 문서의UserScope를 참조하세요. |
| ActorScopeId | 옵션 | String | ActorUserId 및 ActorUsername이 정의된 Microsoft Entra 디렉터리 ID와 같은 scope ID입니다. 또는 자세한 내용과 허용되는 값 목록은 스키마 개요 문서의UserScopeId를 참조하세요. |
| ActorUserIdType | 조건부 | 열거 | ActorUserId 필드에 저장된 ID의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의UserIdType을 참조하세요. |
| ActorUsername | 필수 | 사용자 이름(문자열) | 사용 가능한 경우 도메인 정보를 포함하는 행위자 사용자 이름입니다. 다양한 ID 형식에 대해 지원되는 형식은 사용자 엔터티를 참조하세요. 도메인 정보를 사용할 수 없는 경우에만 간단한 양식을 사용합니다. Username 형식을 ActorUsernameType 필드에 저장합니다. 다른 사용자 이름 형식을 사용할 수 있는 경우 필드에 ActorUsername<UsernameType>저장합니다.예: AlbertE |
| 사용자 | 별칭 |
ActorUsername 필드의 별칭입니다. 예: CONTOSO\dadmin |
|
| ActorUsernameType | 조건부 | 열거 |
ActorUsername 필드에 저장된 사용자 이름의 형식을 지정합니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의UsernameType을 참조하세요. 예: Windows |
| ActorSessionId | 옵션 | String | 행위자의 로그인 세션의 고유 ID입니다. 예: 999참고: 형식은 다양한 시스템을 지원하기 위해 문자열 로 정의되지만 Windows에서는 이 값이 숫자여야 합니다. Windows 컴퓨터를 사용하고 다른 형식을 사용하는 경우 값을 변환해야 합니다. 예를 들어 16진수 값을 사용한 경우 10진수 값으로 변환합니다. |
| ActorUserType | 옵션 | UserType | 행위자의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의UserType을 참조하세요. 참고: 값은 이러한 값으로 정규화되어야 하는 다른 용어를 사용하여 원본 레코드에 제공될 수 있습니다. 원래 값을 ActorOriginalUserType 필드에 저장합니다. |
| ActorOriginalUserType | 옵션 | String | 보고 디바이스에서 제공하는 경우 원래 대상 사용자 유형입니다. |
작업 프로세스 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| ActingProcessCommandLine | 옵션 | String | 작업 프로세스를 실행하는 데 사용되는 명령줄입니다. 예: "choco.exe" -v |
| ActingProcessName | 옵션 | 문자열 | 연기 프로세스의 이름입니다. 이 이름은 일반적으로 프로세스의 가상 주소 공간에 매핑되는 초기 코드 및 데이터를 정의하는 데 사용되는 이미지 또는 실행 파일에서 파생됩니다. 예: C:\Windows\explorer.exe |
| 프로세스 | 별칭 | ActingProcessName에 대한 별칭 | |
| ActingProcessId | 옵션 | String | 작업 프로세스의 PID(프로세스 ID)입니다. 예: 48610176 참고: 형식은 다양한 시스템을 지원하기 위해 문자열로 정의되지만 Windows 및 Linux 이 값은 숫자여야 합니다. Windows 또는 Linux 컴퓨터를 사용하고 다른 형식을 사용하는 경우 값을 변환해야 합니다. 예를 들어 16진수 값을 사용한 경우 10진수 값으로 변환합니다. |
| ActingProcessGuid | 옵션 | GUID(문자열) | 작업 프로세스의 생성된 고유 식별자(GUID)입니다. 시스템 전체에서 프로세스를 식별할 수 있습니다. 예: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
원본 시스템 관련 필드
다음 필드는 일반적으로 네트워크를 통해 전송되는 경우 파일 작업을 시작하는 시스템에 대한 정보를 나타냅니다.
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| SrcIpAddr | 권장 | IP 주소 | 원격 시스템에서 작업을 시작하면 이 시스템의 IP 주소입니다. 예: 185.175.35.214 |
| IpAddr | 별칭 | SrcIpAddr에 대한 별칭 | |
| Src | 별칭 | SrcIpAddr에 대한 별칭 | |
| SrcPortNumber | 옵션 | 정수 | 원격 시스템에서 작업을 시작하면 연결이 시작된 포트 번호입니다. 예: 2335 |
| SrcHostname | 옵션 | 호스트 이름(문자열) | 도메인 정보를 제외한 원본 디바이스 호스트 이름입니다. 사용할 수 있는 디바이스 이름이 없는 경우 이 필드에 관련 IP 주소를 저장합니다. 예: DESKTOP-1282V4D |
| SrcDomain | 옵션 | 도메인(문자열) | 원본 디바이스의 도메인입니다. 예: Contoso |
| SrcDomainType | 조건부 | DomainType |
SrcDomain의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의DomainType을 참조하세요. SrcDomain을 사용하는 경우 필요합니다. |
| SrcFQDN | 옵션 | FQDN(문자열) | 사용 가능한 경우 도메인 정보를 포함하는 원본 디바이스 호스트 이름입니다. 참고: 이 필드는 기존 FQDN 형식과 Windows 도메인\호스트 이름 형식을 모두 지원합니다. SrcDomainType 필드는 사용된 형식을 반영합니다. 예: Contoso\DESKTOP-1282V4D |
| SrcDescription | 옵션 | String | 디바이스와 연결된 설명 텍스트입니다. 예: Primary Domain Controller |
| SrcDvcId | 옵션 | String | 원본 디바이스의 ID입니다. 여러 ID를 사용할 수 있는 경우 가장 중요한 ID를 사용하고 다른 ID를 필드에 SrcDvc<DvcIdType>저장합니다.예: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 옵션 | String | 디바이스가 속한 클라우드 플랫폼 scope ID입니다. SrcDvcScopeId는 Azure 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| SrcDvcScope | 옵션 | String | 디바이스가 속한 클라우드 플랫폼 scope. SrcDvcScope는 Azure 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| SrcDvcIdType | 조건부 | DvcIdType |
SrcDvcId의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의DvcIdType을 참조하세요. 참고: SrcDvcId 를 사용하는 경우 이 필드가 필요합니다. |
| SrcDeviceType | 옵션 | DeviceType | 원본 디바이스의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의DeviceType을 참조하세요. |
| SrcGeoCountry | 옵션 | 국가 | 원본 IP 주소와 연결된 국가/지역입니다. 예: USA |
| SrcGeoRegion | 옵션 | 지역 | 원본 IP 주소와 연결된 지역입니다. 예: Vermont |
| SrcGeoCity | 선택 | 구/군/시 | 원본 IP 주소와 연결된 도시입니다. 예: Burlington |
| SrcGeoLatitude | 옵션 | 위도 | 원본 IP 주소와 연결된 지리적 좌표의 위도입니다. 예: 44.475833 |
| SrcGeoLongitude | 옵션 | 경도 | 원본 IP 주소와 연결된 지리적 좌표의 경도입니다. 예: 73.211944 |
애플리케이션 필드 작업
다음 필드는 원격 시스템과 네트워크를 통해 통신하여 파일 작업을 수행하는 로컬 애플리케이션에 대한 정보를 나타냅니다.
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| ActingAppName | 옵션 | String | 작업 애플리케이션의 이름입니다. 예: Facebook |
| ActingAppId | 옵션 | String | 보고 디바이스에서 보고한 동작 애플리케이션의 ID입니다. |
| ActingAppType | 옵션 | AppType | 대상 애플리케이션의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의AppType을 참조하세요. TargetAppName 또는 TargetAppId를 사용하는 경우 이 필드는 필수입니다. |
| HttpUserAgent | 옵션 | String | HTTP 또는 HTTPS를 사용하여 원격 시스템에서 작업을 시작하면 사용자 에이전트가 사용됩니다. 예시: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | 옵션 | String | 원격 시스템에서 작업을 시작하면 이 값은 OSI 모델에 사용되는 애플리케이션 계층 프로토콜입니다. 이 필드는 열거되지 않고 모든 값이 허용되지만, 바람직한 값은 , , HTTPSSMB,FTP 및 입니다HTTP.SSH예: SMB |
대상 애플리케이션 필드
다음 필드는 사용자를 대신하여 파일 작업을 수행하는 대상 애플리케이션에 대한 정보를 나타냅니다. 대상 애플리케이션은 일반적으로 네트워크 이상의 파일 작업(예: SaaS(Software as a Service) 애플리케이션 사용)과 관련이 있습니다.
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| TargetAppName | 옵션 | String | 대상 애플리케이션의 이름입니다. 예: Facebook |
| 응용 프로그램 | 별칭 | TargetAppName에 대한 별칭입니다. | |
| TargetAppId | 옵션 | String | 보고 디바이스에서 보고한 대상 애플리케이션의 ID입니다. |
| TargetAppType | 조건부 | AppType | 대상 애플리케이션의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의AppType을 참조하세요. TargetAppName 또는 TargetAppId를 사용하는 경우 이 필드는 필수입니다. |
| TargetOriginalAppType | 옵션 | String | 보고 디바이스에서 보고한 대상 애플리케이션의 형식입니다. |
| TargetUrl | 옵션 | URL(문자열) | HTTP 또는 HTTPS를 사용하여 작업을 시작하면 URL이 사용됩니다. 예: https://onedrive.live.com/?authkey=... |
| Url | 별칭 | TargetUrl에 대한 별칭 |
검사 필드
다음 필드는 바이러스 백신 시스템과 같은 보안 시스템에서 수행하는 검사를 나타내는 데 사용됩니다. 식별된 스레드는 일반적으로 활동 자체가 아닌 작업이 수행된 파일과 연결됩니다.
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| RuleName | 옵션 | String | 검사 결과와 연결된 규칙의 이름 또는 ID입니다. |
| RuleNumber | 옵션 | 정수 | 검사 결과와 연결된 규칙의 수입니다. |
| 규칙 | 조건부 | String | kRuleName 값 또는 RuleNumber 값입니다. RuleNumber 값을 사용하는 경우 형식을 문자열로 변환해야 합니다. |
| ThreatId | 옵션 | String | 파일 활동에서 식별된 위협 또는 맬웨어의 ID입니다. |
| ThreatName | 옵션 | String | 파일 활동에서 식별된 위협 또는 맬웨어의 이름입니다. 예: EICAR Test File |
| ThreatCategory | 옵션 | String | 파일 활동에서 식별된 위협 또는 맬웨어의 범주입니다. 예: Trojan |
| ThreatRiskLevel | 옵션 | RiskLevel(정수) | 식별된 위협과 관련된 위험 수준입니다. 수준은 0에서 100 사이의 숫자여야 합니다. 참고: 이 배율로 정규화해야 하는 다른 배율을 사용하여 원본 레코드에 값을 제공할 수 있습니다. 원래 값은 ThreatOriginalRiskLevel에 저장되어야 합니다. |
| ThreatOriginalRiskLevel | 옵션 | String | 보고 디바이스에서 보고한 위험 수준입니다. |
| ThreatFilePath | 옵션 | String | 위협이 식별된 파일 경로입니다. ThreatField 필드에는 ThreatFilePath가 나타내는 필드의 이름이 포함됩니다. |
| ThreatField | 조건부 | 열거 | 위협이 식별된 필드입니다. 값은 또는 DstFilePath입니다SrcFilePath. |
| ThreatConfidence | 옵션 | ConfidenceLevel(정수) | 식별된 위협의 신뢰 수준이며 0에서 100 사이의 값으로 정규화됩니다. |
| ThreatOriginalConfidence | 옵션 | String | 보고 디바이스에서 보고한 대로 식별된 위협의 원래 신뢰 수준입니다. |
| ThreatIsActive | 옵션 | 부울 | True이면 식별된 위협이 활성 위협으로 간주됩니다. |
| ThreatFirstReportedTime | 옵션 | datetime | IP 주소 또는 도메인이 처음으로 위협으로 식별된 경우 |
| ThreatLastReportedTime | 옵션 | datetime | IP 주소 또는 도메인이 마지막으로 위협으로 식별된 시간입니다. |
경로 구조체
다음 형식 중 하나와 일치하도록 경로를 정규화해야 합니다. 값이 정규화된 형식은 해당 FilePathType 필드에 반영됩니다.
| 유형 | 예시 | 참고 사항 |
|---|---|---|
| Windows 로컬 | C:\Windows\System32\notepad.exe |
Windows 경로 이름은 대/소문자를 구분하지 않으므로 이 형식은 값이 대/소문자를 구분하지 않는다는 것을 의미합니다. |
| Windows 공유 | \\Documents\My Shapes\Favorites.vssx |
Windows 경로 이름은 대/소문자를 구분하지 않으므로 이 형식은 값이 대/소문자를 구분하지 않는다는 것을 의미합니다. |
| Unix | /etc/init.d/networking |
Unix 경로 이름은 대/소문자를 구분하므로 이 형식은 값이 대/소문자를 구분한다는 것을 의미합니다. - AWS S3에 이 형식을 사용합니다. 버킷 및 키 이름을 연결하여 경로를 만듭니다. - Blob Storage 개체 키를 Azure 이 형식을 사용합니다. |
| URL | https://1drv.ms/p/s!Av04S_*********we |
파일 경로를 URL로 사용할 수 있는 경우에 사용합니다. URL은 http 또는 https로 제한되지 않으며 FTP 값을 포함한 모든 값이 유효합니다. |
스키마 업데이트
스키마 버전 0.1.1의 변경 내용은 다음과 같습니다.
- 필드를
EventSchema추가했습니다.
스키마 버전 0.2의 변경 내용은 다음과 같습니다.
- 검사 필드가 추가되었습니다.
- , ,
TargetUserScope,HashType,TargetAppName,TargetAppId,TargetAppType, ,SrcGeoCountrySrcGeoRegion,SrcGeoLongitude,SrcGeoLatitude,ActorSessionIdDvcScopeId, 및DvcScope필드ActorScope가 추가되었습니다. - 별칭
Url, ,IpAddr'FileName' 및 를Src추가했습니다.
다음은 스키마 버전 0.2.1의 변경 내용입니다.
- 에 별칭으로 추가
Application되었습니다TargetAppName. - 필드가 추가됨
ActorScopeId - 원본 디바이스 관련 필드가 추가되었습니다.
스키마 버전 0.2.2의 변경 내용은 다음과 같습니다.
- 필드가 추가됨
TargetOriginalAppType - 테이블
ASimFileEventLogs에서 사용할 수 없는 및ActingAppTypeActingAppName필드를ActingAppId추가했습니다.
다음 단계
자세한 내용은 다음을 참조하세요.