Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Prosessitapahtuman normalisointirakennetta käytetään kuvaamaan prosessin suorittamisen ja lopettamisen käyttöjärjestelmän toimintaa. Tällaiset tapahtumat raportoidaan käyttöjärjestelmissä ja suojausjärjestelmissä, kuten EDR (End Point Detection and Response) -järjestelmissä.
OSSEM:in määrittämä prosessi on eristys- ja hallintaobjekti, joka edustaa ohjelman käynnissä olevan esiintymän. Vaikka itse prosesseja ei suoriteta, ne hallitsevat säikeitä, jotka suorittavat ja suorittavat koodia.
Lisätietoja Microsoft Sentinel normalisoinnista on kohdassa Normalisointi ja ASIM (Advanced Security Information Model).
Jäsentimet
Jos haluat käyttää yhtenäistäviä jäsennystoimintoja, jotka yhdistävät kaikki luetteloidut jäsennykset ja varmistat, että analysoit kaikissa määritetyissä lähteissä, käytä kyselyissäsi seuraavia taulukoiden nimiä:
- imProcessCreate kyselyille, jotka edellyttävät prosessin luontitietoja. Nämä kyselyt ovat yleisimpiä.
- imProcessTerminate kyselyille, jotka edellyttävät prosessin päättymistietoja.
Prosessitapahtuman jäsennys -Microsoft Sentinel tarjoaa käyttövalmiin luettelon ASIM-jäsennysluettelosta.
Ota käyttöön todentamisen jäsentimet Microsoft Sentinel GitHub-säilöstä.
Lisätietoja on ASIM-jäsennysten yleiskatsauksessa.
Omien normalisoitujen jäsennysten lisääminen
Kun otat mukautettuja prosessitapahtumien jäsennystä käyttöön, nimeä KQL-funktiosi seuraavalla syntaksilla: imProcessCreate<vendor><Product> ja imProcessTerminate<vendor><Product>.
ASim Korvaa im parametrittomaan versioon .
Lisää KQL-funktio yhtenäistävissä jäsennyksissä kohdassa ASIM-jäsennysten hallinta kuvatulla tavalla.
Jäsennysparametrien suodattaminen
- im ja vim* -jäsentimet tukevat suodatusparametreja. Vaikka nämä jäsentimet ovat valinnaisia, ne voivat parantaa kyselyn suorituskykyä.
Seuraavat suodatusparametrit ovat käytettävissä:
| Nimi | Kirjoita | Kuvaus |
|---|---|---|
| aloitusaika | Datetime | Suodata vain prosessitapahtumat, jotka tapahtuivat tällä hetkellä tai sen jälkeen. Tämä parametri suodattaa TimeGenerated kentän, joka on tapahtuman ajan vakiomäärittäjä riippumatta EventStartTime- ja EventEndTime-kenttien jäsennyskohtaisesta yhdistämisestä. |
| päättymisaika | Datetime | Suodatin käsittelee vain tapahtumakyselyt, jotka tapahtuivat tähän aikaan tai sitä ennen. Tämä parametri suodattaa TimeGenerated kentän, joka on tapahtuman ajan vakiomäärittäjä riippumatta EventStartTime- ja EventEndTime-kenttien jäsennyskohtaisesta yhdistämisestä. |
| commandline_has_any | Dynaaminen | Suodata vain ne prosessitapahtumat, joissa komentorivillä on jokin luetelluista arvoista. Luettelon pituus on rajoitettu 10 000 kohteeseen. |
| commandline_has_all | Dynaaminen | Suodata vain prosessitapahtumat, joissa komentorivillä on kaikki luetellut arvot. Luettelon pituus on rajoitettu 10 000 kohteeseen. |
| commandline_has_any_ip_prefix | Dynaaminen | Suodata vain prosessitapahtumat, joissa komentorivillä on kaikki luetellut IP-osoitteet tai IP-osoitteen etuliitteet. Etuliitteiden lopussa .tulee olla esimerkiksi : 10.0.. Luettelon pituus on rajoitettu 10 000 kohteeseen. |
| actingprocess_has_any | Dynaaminen | Suodata vain ne prosessitapahtumat, joiden toimivan prosessin nimellä, joka sisältää koko prosessipolun, on jokin luetelluista arvoista. Luettelon pituus on rajoitettu 10 000 kohteeseen. |
| targetprocess_has_any | Dynaaminen | Suodata vain ne prosessitapahtumat, joiden kohdeprosessin nimellä, joka sisältää koko prosessipolun, on jokin luetelluista arvoista. Luettelon pituus on rajoitettu 10 000 kohteeseen. |
| parentprocess_has_any | Dynaaminen | Suodata vain ne prosessitapahtumat, joiden kohdeprosessin nimellä, joka sisältää koko prosessipolun, on jokin luetelluista arvoista. Luettelon pituus on rajoitettu 10 000 kohteeseen. |
| targetusername_has tai actorusername_has | Merkkijono | Suodata vain ne prosessitapahtumat, joiden kohdekäyttäjänimellä (prosessin luontitapahtumia varten) tai toimijan käyttäjänimellä (prosessin lopetustapahtumia varten) on jokin luetelluista arvoista. Luettelon pituus on rajoitettu 10 000 kohteeseen. |
| dvcipaddr_has_any_prefix | Dynaaminen | Suodata vain prosessitapahtumat, joiden laitteen IP-osoite vastaa jotakin luettelon IP-osoitteista tai IP-osoitteen etuliitteitä. Etuliitteiden lopussa .tulee olla esimerkiksi : 10.0.. Luettelon pituus on rajoitettu 10 000 kohteeseen. |
| dvchostname_has_any | Dynaaminen | Suodata vain prosessitapahtumat, joissa laitteen isäntänimi tai laitteen FQDN on käytettävissä, sisältää minkä tahansa luetelluista arvoista. Luettelon pituus on rajoitettu 10 000 kohteeseen. |
| eventtype | Merkkijono | Suodata vain määritetyn tyypin tapahtumat. |
Jos haluat suodattaa esimerkiksi vain viimeisen päivän todennustapahtumat tietylle käyttäjälle, käytä seuraavaa:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Vihje
Jos haluat välittää literaaliluettelon parametreihin, jotka odottavat dynaamista arvoa, käytä eksplisiittisesti dynaamista literaalia. Esimerkki: dynamic(['192.168.','10.']).
Normalisoitu sisältö
Täydellinen luettelo normalisoituja prosessitapahtumia käyttävistä analytiikkasäännöistä on kohdassa Tapahtuman suojauksen sisällön käsitteleminen.
Rakenteen tiedot
Prosessin tapahtuman tietomalli on tasattu OSSEM-prosessin entiteettirakenteeseen.
Yleiset ASIM-kentät
Tärkeää
Kaikille rakenteille yhteiset kentät on kuvattu yksityiskohtaisesti ASIM:n yleiset kentät - artikkelissa.
Yleiset kentät, joissa on tarkat ohjeet
Seuraavassa luettelossa mainitaan kentät, joissa on erityiset ohjeet prosessin toimintotapahtumia varten:
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Tapahtuman tyyppi | Pakollinen | Lueteltu | Kuvailee tietueen ilmoittaman toiminnon. Process-tietueiden tuettuja arvoja ovat seuraavat: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Pakollinen | SchemaVersion (merkkijono) | Rakenteen versio. Tässä dokumentoitu rakenteen versio on 0.1.4 |
| EventSchema | Pakollinen | Merkkijono | Tässä dokumentoitun rakenteen nimi on ProcessEvent. |
| Dvc-kentät | Prosessin toimintotapahtumissa laitekentät viittaavat järjestelmään, jossa prosessi suoritettiin. |
Tärkeää
Kenttä EventSchema on tällä hetkellä valinnainen, mutta siitä tulee pakollinen 1.9.2022.
Kaikki yleiset kentät
Alla olevassa taulukossa näkyvät kentät ovat yhteisiä kaikille ASIM-rakenteille. Kaikki edellä määritetyt ohjeet ohittavat kentän yleiset ohjeet. Kenttä voi olla esimerkiksi yleisesti valinnainen, mutta tietyn rakenteen pakollinen. Lisätietoja kustakin kentästä on ARTIKKELISSA ASIM:n yleiset kentät .
| Luokan | Kentät |
|---|---|
| Pakollinen |
-
Tapahtumien määrä - Tapahtuman alkamisaika - Tapahtuman aika - Tapahtuman tyyppi - Tapahtuman tulos - Tapahtuman tuote - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Suositellut |
-
EventResultDetails - Tapahtumankaltaisuus - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valinnainen |
-
Tapahtuman viesti - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Tapahtuman omistajan nimi - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Lisäkentät - DvcDescription - DvcScopeId - DvcScope |
Tapahtumakohtaisten kenttien käsitteleminen
Alla olevassa taulukossa luetellut kentät koskevat erityisesti prosessitapahtumia, mutta ne muistuttavat muiden rakenteiden kenttiä ja noudattavat samankaltaisia nimeämiskäytäntöjä.
Prosessitapahtumarakenne viittaa seuraaviin entiteetteihin, jotka ovat keskeisiä prosessin luomisessa ja lopettamisessa:
- Toimija – Käyttäjä, joka aloitti prosessin luomisen tai lopettamisen.
- ActingProcess – Prosessi, jota toimija käyttää prosessin luomisen tai lopettamisen aloittamiseen.
- TargetProcess – Uusi prosessi.
- TargetUser – Käyttäjä, jonka tunnistetietoja käytetään uuden prosessin luomiseen.
- ParentProcess – Prosessi, joka käynnisti toimijaprosessin.
Aliaksia
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Käyttäjä | Alias |
Alias TargetUsername-kohteeseen. Esimerkki CONTOSO\dadmin |
|
| Prosessi | Alias |
TargetProcessName-alias Esimerkki C:\Windows\System32\rundll32.exe |
|
| Komennossa | Alias | TargetProcessCommandLine-alias | |
| Hash | Alias | Alias parhaaseen käytettävissä olevaan hajautusarvoon kohdeprosessissa. |
Toimijakentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| ActorUserId | Suositellut | Merkkijono | Koneluettava, aakkosnumeerinen, toimijan ainutlaatuinen esitys. Lisätietoja tuetuista muodoista eri tunnustyypeille on Käyttäjä-entiteetissä. Esimerkki S-1-12 |
| ActorUserIdType | Ehdollinen | Lueteltu | ActorUserId-kenttään tallennetun tunnuksen tyyppi. Sallittujen arvojen ja lisätietojen luettelo löytyy Rakenteen yleiskatsaus -artikkelinkohdasta UserIdType. |
| Näyttelijänskooppi | Valinnainen | Merkkijono | Laajuus, kuten Microsoft Entra vuokraaja, jossa ActorUserId ja ActorUsername on määritetty. jos haluat lisätietoja ja luettelon sallitut arvot, tutustu UserScope-artikkeliinRakenteen yleiskatsaus -artikkelissa. |
| ActorScopeId | Valinnainen | Merkkijono | Vaikutusalueen tunnus, kuten Microsoft Entra-hakemistotunnus, jossa ActorUserId ja ActorUsername on määritetty. jos haluat lisätietoja ja luettelon sallitut arvot, tutustu UserScopeId-kohtaanrakennekatsauksen artikkelissa. |
| Toimijan nimi | Pakollinen | Käyttäjänimi (merkkijono) | Toimija-käyttäjänimi, mukaan lukien toimialueen tiedot, kun se on käytettävissä. Lisätietoja tuetuista muodoista eri tunnustyypeille on Käyttäjä-entiteetissä. Käytä yksinkertaista lomaketta vain, jos toimialueen tiedot eivät ole käytettävissä. Tallenna Käyttäjänimi-tyyppi ActorUsernameType-kenttään . Jos muita käyttäjänimimuotoja on käytettävissä, tallenna ne kenttiin ActorUsername<UsernameType>.Esimerkki AlbertE |
| ActorUsernameType | Ehdollinen | Lueteltu | Määrittää ActorUsername-kenttään tallennetun käyttäjänimen tyypin. Sallittujen arvojen ja lisätietojen luettelo löytyy Rakenteen yleiskatsaus -artikkelinkohdasta UsernameType. Esimerkki Windows |
| ActorSessionId | Valinnainen | Merkkijono | Toimijan kirjautumisistunnon yksilöivä tunnus. Esimerkki 999Huomautus: Tyyppi on määritetty merkkijonoksi , joka tukee vaihtelevia järjestelmiä, mutta Windowsissa tämän arvon on oltava numeerinen. Jos käytät Windows-konetta ja käytät eri tyyppiä, muista muuntaa arvot. Jos käytit esimerkiksi heksadesimaaliarvoa, muunna se desimaaliarvoksi. |
| ActorUserType | Valinnainen | Käyttäjätyyppi | Toimijan tyyppi. Sallittujen arvojen ja lisätietojen luettelo löytyy Rakenteen yleiskatsaus -artikkelinKohdasta UserType. Huomautus: Arvo voidaan antaa lähdetietueessa käyttämällä eri termejä, jotka tulee normalisoida näihin arvoihin. Tallenna alkuperäinen arvo ActorOriginalUserType-kenttään . |
| NäyttelijäOriginalUserType | Valinnainen | Merkkijono | Alkuperäinen kohdekäyttäjätyyppi, jos raporttilaite antaa sen. |
Toimivan prosessin kentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| ActingProcessCommandLine | Valinnainen | Merkkijono | Toimimisprosessin suorittamiseen käytettävä komentorivi. Esimerkki "choco.exe" -v |
| ActingProcessName | Valinnainen | Merkkijono | Toimimisprosessin nimi. Tämä nimi johdetaan yleensä kuvatiedostosta tai suoritettavasta tiedostosta, jota käytetään määrittämään alkuperäinen koodi ja tiedot, jotka on yhdistetty prosessin virtuaaliseen osoitetilaan. Esimerkki C:\Windows\explorer.exe |
| ActingProcessFilename | Valinnainen | Merkkijono | -kohteen tiedostonimiosa ActingProcessName, jossa ei ole kansiotietoja. Esimerkki explorer.exe |
| ActingProcessFileCompany | Valinnainen | Merkkijono | Toimivan prosessin kuvatiedoston luonut yritys. Esimerkki Microsoft |
| ActingProcessFileDescription | Valinnainen | Merkkijono | Kuvaus upotettuna toimivan prosessin kuvatiedoston versiotietoihin. Esimerkki Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Valinnainen | Merkkijono | Tuotteen nimi toimivan prosessin kuvatiedoston versiotiedoista. Esimerkki Notepad++ |
| ActingProcessFileVersion | Valinnainen | Merkkijono | Tuoteversio toimivan prosessin kuvatiedoston versiotiedoista. Esimerkki 7.9.5.0 |
| ActingProcessFileInternalName | Valinnainen | Merkkijono | Tuotteen sisäinen tiedostonimi toimivan prosessin kuvatiedoston versiotiedoista. |
| ActingProcessFileOriginalName | Valinnainen | Merkkijono | Tuotteen alkuperäinen tiedostonimi toimivan prosessin kuvatiedoston versiotiedoista. Esimerkki Notepad++.exe |
| ActingProcessIsHidden | Valinnainen | Totuusarvo | Tieto siitä, onko toimimisprosessi piilotetussa tilassa. |
| ActingProcessInjectedAddress | Valinnainen | Merkkijono | Muistiosoite, johon vastuullinen toimintaprosessi tallennetaan. |
| ActingProcessId | Pakollinen | Merkkijono | Prosessitunnus (PID) toimimisprosessille. Esimerkki 48610176 Huomautus: Tyyppi on määritetty merkkijonoksi, joka tukee vaihtelevia järjestelmiä, mutta Windowsissa ja Linux tämän arvon on oltava numeerinen. Jos käytät Windows- tai Linux konetta ja käytät eri tyyppiä, muista muuntaa arvot. Jos käytit esimerkiksi heksadesimaaliarvoa, muunna se desimaaliarvoksi. |
| ActingProcessGuid | Valinnainen | GUID (merkkijono) | Luodun yksilöivän tunnisteen (GUID) toimimisprosessille. Mahdollistaa prosessin tunnistamisen eri järjestelmissä. Esimerkki EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Valinnainen | Merkkijono | Jokaisella prosessilla on eheystaso, joka esitetään sen tunnuksissa. Eheystasot määrittävät prosessin suojaus- tai käyttöoikeustason. Windows määrittää seuraavat eheystasot: matala, keskitasoinen, suuri ja järjestelmä. Standard käyttäjät saavat keskitasoisen eheystason, ja laajennetut käyttäjät saavat korkean eheystason. Lisätietoja on kohdassa Pakollinen eheyden valvonta – Win32-sovellukset. |
| ActingProcessMD5 | Valinnainen | Merkkijono | Toimivan prosessin kuvatiedoston MD5-hajautusarvo. Esimerkki 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Valinnainen | SHA1 | Toimivan prosessin kuvatiedoston SHA-1-hajautusarvo. Esimerkki d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Valinnainen | SHA256 | Toimivan prosessin kuvatiedoston SHA-256-hajautusarvo. Esimerkki: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Valinnainen | SHA512 | Toimivan prosessin kuvatiedoston SHA-512-hajautusarvo. |
| ActingProcessIMPHASH | Valinnainen | Merkkijono | Kaikkien toimivan prosessin käyttämien kirjaston DLL-kirjastojen hajautusarvon tuonti. |
| ActingProcessCreationTime | Valinnainen | Datetime | Päivämäärä ja kellonaika, jolloin toimimisprosessi aloitettiin. |
| ActingProcessTokenElevation | Valinnainen | Merkkijono | Tunnus, joka ilmaisee toimimisprosessissa käytetyn User Käyttöoikeuksien hallinta (UAC) -oikeuden korotuksen olemassaolon tai puuttumisen. Esimerkki None |
| ActingProcessFileSize | Valinnainen | Pitkä | Toimimisprosessin suorittaneen tiedoston koko. |
Pääprosessikentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| ParentProcessName | Valinnainen | Merkkijono | Pääprosessin nimi. Tämä nimi johdetaan yleensä kuvatiedostosta tai suoritettavasta tiedostosta, jota käytetään määrittämään alkuperäinen koodi ja tiedot, jotka on yhdistetty prosessin virtuaaliseen osoitetilaan. Esimerkki C:\Windows\explorer.exe |
| ParentProcessFileCompany | Valinnainen | Merkkijono | Pääprosessin kuvatiedoston luoneen yrityksen nimi. Esimerkki Microsoft |
| ParentProcessFileDescription | Valinnainen | Merkkijono | Pääprosessin kuvatiedoston versiotietojen kuvaus. Esimerkki Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Valinnainen | Merkkijono | Tuotteen nimi pääprosessin kuvatiedoston versiotiedoista. Esimerkki Notepad++ |
| ParentProcessFileVersion | Valinnainen | Merkkijono | Tuoteversio pääprosessin kuvatiedoston versiotiedoista. Esimerkki 7.9.5.0 |
| ParentProcessIsHidden | Valinnainen | Totuusarvo | Tieto siitä, onko pääprosessi piilotetussa tilassa. |
| ParentProcessInjectedAddress | Valinnainen | Merkkijono | Muistiosoite, johon vastuullinen pääprosessi tallennetaan. |
| ParentProcessId | Suositellut | Merkkijono | Pääprosessin prosessitunnus (PID). Esimerkki 48610176 |
| ParentProcessGuid | Valinnainen | Merkkijono | Luotu yksilöivä tunnus (GUID) pääprosessille. Mahdollistaa prosessin tunnistamisen eri järjestelmissä. Esimerkki EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Valinnainen | Merkkijono | Jokaisella prosessilla on eheystaso, joka esitetään sen tunnuksissa. Eheystasot määrittävät prosessin suojaus- tai käyttöoikeustason. Windows määrittää seuraavat eheystasot: matala, keskitasoinen, suuri ja järjestelmä. Standard käyttäjät saavat keskitasoisen eheystason, ja laajennetut käyttäjät saavat korkean eheystason. Lisätietoja on kohdassa Pakollinen eheyden valvonta – Win32-sovellukset. |
| ParentProcessMD5 | Valinnainen | MD5 | Pääprosessin kuvatiedoston MD5-hajautusarvo. Esimerkki 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Valinnainen | SHA1 | Pääprosessin kuvatiedoston SHA-1-hajautusarvo. Esimerkki d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Valinnainen | SHA256 | Pääprosessin kuvatiedoston SHA-256-hajautusarvo. Esimerkki: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Valinnainen | SHA512 | Pääprosessin kuvatiedoston SHA-512-hajautusarvo. |
| ParentProcessIMPHASH | Valinnainen | Merkkijono | Kaikkien pääprosessin käyttämien kirjaston DLL-kirjastojen hajautusarvon tuonti. |
| ParentProcessTokenElevation | Valinnainen | Merkkijono | Tunnus, joka ilmaisee pääprosessissa käytetyn User Käyttöoikeuksien hallinta (UAC) -oikeuden korotuksen olemassaolon tai puuttumisen. Esimerkki None |
| ParentProcessCreationTime | Valinnainen | Datetime | Päivämäärä ja kellonaika, jolloin pääprosessi käynnistettiin. |
Kohdekäyttäjän kentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| TargetUsername | Pakollinen prosessin luontitapahtumille. | Käyttäjänimi (merkkijono) | Kohdekäyttäjänimi, mukaan lukien toimialuetiedot, kun ne ovat käytettävissä. Lisätietoja tuetuista muodoista eri tunnustyypeille on Käyttäjä-entiteetissä. Käytä yksinkertaista lomaketta vain, jos toimialueen tiedot eivät ole käytettävissä. Tallenna Käyttäjänimi-tyyppi TargetUsernameType-kenttään . Jos muita käyttäjänimimuotoja on käytettävissä, tallenna ne kenttiin TargetUsername<UsernameType>.Esimerkki AlbertE |
| TargetUsernameType | Ehdollinen | Lueteltu | Määrittää TargetUsername-kenttään tallennetun käyttäjänimen tyypin. Sallittujen arvojen ja lisätietojen luettelo löytyy Rakenteen yleiskatsaus -artikkelinkohdasta UsernameType. Esimerkki Windows |
| TargetUserId | Suositellut | Merkkijono | Koneluettava, aakkosnumeerinen, kohdekäyttäjän yksilöllinen esitys. Lisätietoja tuetuista muodoista eri tunnustyypeille on Käyttäjä-entiteetissä. Esimerkki S-1-12 |
| TargetUserIdType | Ehdollinen | UserIdType | TargetUserId-kenttään tallennetun tunnuksen tyyppi. Sallittujen arvojen ja lisätietojen luettelo löytyy Rakenteen yleiskatsaus -artikkelinkohdasta UserIdType. |
| TargetUserSessionId | Valinnainen | Merkkijono | Kohdekäyttäjän kirjautumisistunnon yksilöivä tunnus. Esimerkki 999 Huomautus: Tyyppi on määritetty merkkijonoksi , joka tukee vaihtelevia järjestelmiä, mutta Windowsissa tämän arvon on oltava numeerinen. Jos käytät Windows- tai Linux konetta ja käytät eri tyyppiä, muista muuntaa arvot. Jos käytit esimerkiksi heksadesimaaliarvoa, muunna se desimaaliarvoksi. |
| TargetUserSessionGuid | Valinnainen | Merkkijono | Kohdekäyttäjän kirjautumisistunnon yksilöllinen GUID-tunnus raportointilaitteen ilmoittamana. Esimerkki {12345678-1234-1234-1234-123456789012} |
| TargetUserType | Valinnainen | Käyttäjätyyppi | Toimijan tyyppi. Sallittujen arvojen ja lisätietojen luettelo löytyy Rakenteen yleiskatsaus -artikkelinKohdasta UserType. Huomautus: Arvo voidaan antaa lähdetietueessa käyttämällä eri termejä, jotka tulee normalisoida näihin arvoihin. Tallenna alkuperäinen arvo TargetOriginalUserType-kenttään . |
| TargetOriginalUserType | Valinnainen | Merkkijono | Alkuperäinen kohdekäyttäjätyyppi, jos raporttilaite antaa sen. |
| TargetUserScope | Valinnainen | Merkkijono | Laajuus, kuten Microsoft Entra vuokraaja, jossa TargetUserId ja TargetUsername on määritetty. jos haluat lisätietoja ja luettelon sallitut arvot, tutustu UserScope-artikkeliinRakenteen yleiskatsaus -artikkelissa. |
| TargetUserScopeId | Valinnainen | Merkkijono | Vaikutusalueen tunnus, kuten Microsoft Entra hakemistotunnus, jossa TargetUserId ja TargetUsername on määritetty. Lisätietoja ja luettelo sallitut arvot on userscopeid-tunnuksen kohdassa Rakenteen yleiskatsaus -artikkelissa. |
Kohdeprosessin kentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| TargetProcessName | Pakollinen | Merkkijono | Kohdeprosessin nimi. Tämä nimi johdetaan yleensä kuvatiedostosta tai suoritettavasta tiedostosta, jota käytetään määrittämään alkuperäinen koodi ja tiedot, jotka on yhdistetty prosessin virtuaaliseen osoitetilaan. Esimerkki C:\Windows\explorer.exe |
| TargetProcessFilename | Valinnainen | Merkkijono | -kohteen tiedostonimiosa TargetProcessName, jossa ei ole kansiotietoja. Esimerkki explorer.exe |
| TargetProcessFileCompany | Valinnainen | Merkkijono | Kohdeprosessin kuvatiedoston luoneen yrityksen nimi. Esimerkki Microsoft |
| TargetProcessFileDescription | Valinnainen | Merkkijono | Kohdeprosessin kuvatiedoston versiotietojen kuvaus. Esimerkki Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Valinnainen | Merkkijono | Tuotteen nimi kohdeprosessin kuvatiedoston versiotiedoista. Esimerkki Notepad++ |
| TargetProcessFileSize | Valinnainen | Pitkä | Tapahtumasta vastuussa olevan prosessin suorittaneen tiedoston koko. |
| TargetProcessFileVersion | Valinnainen | Merkkijono | Tuoteversio kohdeprosessin kuvatiedoston versiotiedoista. Esimerkki 7.9.5.0 |
| TargetProcessFileInternalName | Valinnainen | Merkkijono | Tuotteen sisäinen tiedostonimi kohdeprosessin kuvatiedoston versiotiedoista. |
| TargetProcessFileOriginalName | Valinnainen | Merkkijono | Tuotteen alkuperäinen tiedostonimi kohdeprosessin kuvatiedoston versiotiedoista. |
| TargetProcessIsHidden | Valinnainen | Totuusarvo | Tieto siitä, onko kohdeprosessi piilotetussa tilassa. |
| TargetProcessInjectedAddress | Valinnainen | Merkkijono | Muistiosoite, johon vastuullinen kohdeprosessi tallennetaan. |
| TargetProcessMD5 | Valinnainen | MD5 | Kohdeprosessin kuvatiedoston MD5-hajautusarvo. Esimerkki 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Valinnainen | SHA1 | Kohdeprosessin kuvatiedoston SHA-1-hajautusarvo. Esimerkki d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Valinnainen | SHA256 | Kohdeprosessin kuvatiedoston SHA-256-hajautusarvo. Esimerkki: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Valinnainen | SHA512 | Kohdeprosessin kuvatiedoston SHA-512-hajautusarvo. |
| TargetProcessIMPHASH | Valinnainen | Merkkijono | Kaikkien kohdeprosessin käyttämien kirjaston DLL-kirjastojen hajautusarvon tuonti. |
| HashType | Ehdollinen | Lueteltu | HASH-alias-kenttään tallennetun hajautusarvon tyyppi, sallitut arvot ovat MD5, SHA, SHA256SHA512 ja IMPHASH. |
| TargetProcessCommandLine | Pakollinen | Merkkijono | Kohdeprosessin suorittamiseen käytettävä komentorivi. Esimerkki "choco.exe" -v |
| TargetProcessCurrentDirectory | Valinnainen | Merkkijono | Nykyinen hakemisto, jossa kohdeprosessi suoritetaan. Esimerkki c:\windows\system32 |
| TargetProcessCreationTime | Suositellut | Datetime | Kohdeprosessin kuvatiedoston versiotietojen tuoteversio. |
| TargetProcessId | Pakollinen | Merkkijono | Kohdeprosessin prosessin tunnus (PID). Esimerkki 48610176Huomautus: Tyyppi on määritetty merkkijonoksi, joka tukee vaihtelevia järjestelmiä, mutta Windowsissa ja Linux tämän arvon on oltava numeerinen. Jos käytät Windows- tai Linux konetta ja käytät eri tyyppiä, muista muuntaa arvot. Jos käytit esimerkiksi heksadesimaaliarvoa, muunna se desimaaliarvoksi. |
| TargetProcessGuid | Valinnainen | GUID (merkkijono) | Luotu yksilöllinen tunnus (GUID) kohdeprosessille. Mahdollistaa prosessin tunnistamisen eri järjestelmissä. Esimerkki EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Valinnainen | Merkkijono | Jokaisella prosessilla on eheystaso, joka esitetään sen tunnuksissa. Eheystasot määrittävät prosessin suojaus- tai käyttöoikeustason. Windows määrittää seuraavat eheystasot: matala, keskitasoinen, suuri ja järjestelmä. Standard käyttäjät saavat keskitasoisen eheystason, ja laajennetut käyttäjät saavat korkean eheystason. Lisätietoja on kohdassa Pakollinen eheyden valvonta – Win32-sovellukset. |
| TargetProcessTokenElevation | Valinnainen | Merkkijono | Tunnustyyppi, joka ilmaisee luodussa tai päättyneessä prosessissa käytetyn User Käyttöoikeuksien hallinta (UAC) -oikeuden korotuksen olemassaolon tai puuttumisen. Esimerkki None |
| TargetProcessStatusCode | Valinnainen | Merkkijono | Kohdeprosessin lopettaessa palauttama lopetuskoodi. Tämä kenttä on kelvollinen vain prosessin päättämistapahtumissa. Yhdenmukaisuuden vuoksi kenttätyyppi on merkkijono, vaikka käyttöjärjestelmän antama arvo olisi numeerinen. |
Tarkastuskentät
Seuraavia kenttiä käytetään edustamaan kyseistä turvallisuusjärjestelmän suorittamaa tarkastusta, kuten EDR-järjestelmää.
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Säännön nimi | Valinnainen | Merkkijono | Tarkastuksen tuloksiin liittyvän säännön nimi tai tunnus. |
| Säännön numero | Valinnainen | Kokonaisluku | Tarkastustuloksiin liittyvän säännön numero. |
| Sääntö | Ehdollinen | Merkkijono | Joko kRuleName-arvo tai RuleNumber-arvo. Jos rulenumber-arvoa käytetään, tyyppi tulee muuntaa merkkijonoksi. |
| ThreatId | Valinnainen | Merkkijono | Tiedostotoiminnassa tunnistetun uhan tai haittaohjelman tunnus. |
| ThreatName | Valinnainen | Merkkijono | Tiedoston toiminnassa tunnistetun uhan tai haittaohjelman nimi. Esimerkki EICAR Test File |
| Uhkien luokka | Valinnainen | Merkkijono | Tiedostotoiminnassa tunnistetun uhan tai haittaohjelman luokka. Esimerkki Trojan |
| ThreatRiskLevel | Valinnainen | RiskLevel (kokonaisluku) | Tunnistettuun uhkaan liittyvä riskitaso. Tason on oltava luku väliltä 0 - 100. Huomautus: Arvo voidaan antaa lähdetietueessa käyttämällä eri asteikkoa, joka tulee normalisoida tähän mittakaavaan. Alkuperäinen arvo on tallennettava kohteeseen ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Valinnainen | Merkkijono | Raportointilaitteen ilmoittama riskitaso. |
| Uhkakenttä | Valinnainen | Merkkijono | Kenttä, josta uhka tunnistettiin. |
| Uhkakenttä | Valinnainen | Merkkijono | Kenttä, josta uhka tunnistettiin. |
| ThreatConfidence | Valinnainen | ConfidenceLevel (kokonaisluku) | Tunnistetun uhan luottamustaso normalisoituna arvoon 0 - 100. |
| ThreatOriginalConfidence | Valinnainen | Merkkijono | Raportoijalaitteen ilmoittama tunnistaman uhan alkuperäinen luotettavuustaso. |
| ThreatIsActive | Valinnainen | Totuusarvo | Tosi, jos tunnistettua uhkaa pidetään aktiivisena uhkana. |
| ThreatFirstReportedTime | Valinnainen | Datetime | Ensimmäinen kerta, kun IP-osoite tai toimialue tunnistettiin uhaksi. |
| ThreatLastReportedTime | Valinnainen | Datetime | Edellisen kerran IP-osoite tai toimialue tunnistettiin uhaksi. |
Rakennepäivitykset
Nämä ovat rakenteen version 0.1.1 muutokset:
- Lisätty kenttä
EventSchema.
Nämä ovat rakenteen version 0.1.2 muutokset
- Kentät
ActorUserType, ,ActorOriginalUserTypeTargetUserType,TargetOriginalUserTypejaHashTypeon lisätty.
Nämä ovat rakenteen version 0.1.3 muutokset
- Kenttiä
ParentProcessIdmuutettiin pakollisestaTargetProcessCreationTimesuositelluksi.
Nämä ovat rakenteen version 0.1.4 muutokset
- Kentät
ActorScopeon lisätty ,DvcScopeIdjaDvcScope.
Seuraavat vaiheet
Lisätietoja on seuraavissa artikkeleissa: