プロセス イベント正規化スキーマは、プロセスの実行と終了のオペレーティング システム アクティビティを記述するために使用されます。 このようなイベントは、EDR (エンドポイント検出と応答) システムなどのオペレーティング システムとセキュリティ システムによって報告されます。
OSSEM によって定義されるプロセスは、プログラムの実行中のインスタンスを表す包含および管理オブジェクトです。 プロセス自体は実行されませんが、コードを実行して実行するスレッドを管理します。
Microsoft Sentinelでの正規化の詳細については、「正規化と高度なセキュリティ情報モデル (ASIM)」を参照してください。
パーサー
一覧表示されているすべてのパーサーを統合する統合パーサーを使用し、構成されているすべてのソース間で分析を確実に行うには、クエリで次のテーブル名を使用します。
- imProcessプロセス作成 情報を必要とするクエリ用に作成します。 これらのクエリが最も一般的なケースです。
- プロセス終了情報を必要とするクエリの imProcessTerminate。
Microsoft Sentinelが提供するプロセス イベント パーサーの一覧については、ASIM パーサーの一覧を参照してください。
Microsoft Sentinel GitHub リポジトリから認証パーサーをデプロイします。
詳細については、「 ASIM パーサーの概要」を参照してください。
独自の正規化されたパーサーを追加する
カスタム プロセス イベント パーサーを実装する場合は、 imProcessCreate<vendor><Product> と imProcessTerminate<vendor><Product>という構文を使用して KQL 関数に名前を付けます。
imをパラメーターのないバージョンのASimに置き換えます。
「ASIM パーサーの管理」の説明に従って、統合パーサーに KQL 関数を追加します。
パーサー パラメーターのフィルター処理
im および vim* パーサーでは、フィルター 処理パラメーターがサポートされています。 これらのパーサーは省略可能ですが、クエリのパフォーマンスを向上させることができます。
次のフィルター パラメーターを使用できます。
| 名前 | 型 | 説明 |
|---|---|---|
| starttime | 日付型 | この時刻以降に発生したプロセス イベントのみをフィルター処理します。 このパラメーターは、EventStartTime フィールドと EventEndTime フィールドのパーサー固有のマッピングに関係なく、イベントの時刻の標準指定子である TimeGenerated フィールドでフィルター処理します。 |
| endtime | 日付型 | この時点以前に発生したプロセス イベント クエリのみをフィルター処理します。 このパラメーターは、EventStartTime フィールドと EventEndTime フィールドのパーサー固有のマッピングに関係なく、イベントの時刻の標準指定子である TimeGenerated フィールドでフィルター処理します。 |
| commandline_has_any | 動的 | フィルター処理は、コマンド ラインが実行したプロセス イベントにのみ、一覧表示された値 があります 。 リストの長さは 10,000 項目に制限されています。 |
| commandline_has_all | 動的 | フィルター処理は、コマンド ラインが実行したプロセス イベント にのみ、一 覧表示されているすべての値を持ちます。 リストの長さは 10,000 項目に制限されています。 |
| commandline_has_any_ip_prefix | 動的 | フィルター処理は、コマンド ラインが実行したプロセス イベントにのみ、一覧表示 されているすべての IP アドレスまたは IP アドレス プレフィックスを持ちます。 プレフィックスは、 .で終わる必要があります (例: 10.0.)。 リストの長さは 10,000 項目に制限されています。 |
| actingprocess_has_any | 動的 | プロセス パス全体を含む処理プロセス名に一覧表示された値が含まれるプロセス イベントのみをフィルター処理します。 リストの長さは 10,000 項目に制限されています。 |
| targetprocess_has_any | 動的 | フィルター処理は、プロセス パス全体を含むターゲット プロセス名に一覧表示された値が含まれるプロセス イベントのみをフィルター処理します。 リストの長さは 10,000 項目に制限されています。 |
| parentprocess_has_any | 動的 | フィルター処理は、プロセス パス全体を含むターゲット プロセス名に一覧表示された値が含まれるプロセス イベントのみをフィルター処理します。 リストの長さは 10,000 項目に制限されています。 |
| targetusername_has または actorusername_has | string | 対象のユーザー名 (プロセス作成イベントの場合) またはアクター ユーザー名 (プロセス終了イベントの場合) に一覧表示されている値が含まれるプロセス イベントのみをフィルター処理します。 リストの長さは 10,000 項目に制限されています。 |
| dvcipaddr_has_any_prefix | 動的 | デバイス IP アドレスが一覧表示されている IP アドレスまたは IP アドレス プレフィックスのいずれかと一致するプロセス イベントのみをフィルター処理します。 プレフィックスは、 .で終わる必要があります (例: 10.0.)。 リストの長さは 10,000 項目に制限されています。 |
| dvchostname_has_any | 動的 | フィルター処理は、デバイス ホスト名またはデバイス FQDN が使用可能なプロセス イベントにのみ、一覧表示された値があります。 リストの長さは 10,000 項目に制限されています。 |
| Eventtype | string | 指定した型のプロセス イベントのみをフィルター処理します。 |
たとえば、最後の日から特定のユーザーへの認証イベントのみをフィルター処理するには、次を使用します。
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
ヒント
動的な値が必要なパラメーターにリテラル リストを渡すには、 動的リテラルを明示的に使用します。 例: dynamic(['192.168.','10.'])。
正規化されたコンテンツ
正規化されたプロセス イベントを使用する分析ルールの完全な一覧については、「 プロセス イベントのセキュリティ コンテンツ」を参照してください。
スキーマの詳細
プロセス イベント情報モデルは、 OSSEM Process エンティティ スキーマに合わせて調整されます。
一般的な ASIM フィールド
重要
すべてのスキーマに共通のフィールドについては、 ASIM 共通フィールド に関する記事を参照してください。
特定のガイドラインを含む一般的なフィールド
次の一覧では、プロセス アクティビティ イベントに関する特定のガイドラインがあるフィールドについて説明します。
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| EventType | 必須 | 列挙 | レコードによって報告される操作について説明します。 プロセス レコードの場合、サポートされる値は次のとおりです。 - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | 必須 | SchemaVersion (String) | スキーマのバージョン。 ここに記載されているスキーマのバージョンは次のとおりです。 0.1.4 |
| EventSchema | 必須 | 文字列 | ここに記載されているスキーマの名前は ProcessEvent。 |
| Dvc フィールド | プロセス アクティビティ イベントの場合、デバイス フィールドはプロセスが実行されたシステムを参照します。 |
重要
EventSchema フィールドは現在省略可能ですが、2022 年 9 月 1 日に必須になります。
すべての共通フィールド
次の表に示すフィールドは、すべての ASIM スキーマに共通です。 上記で指定したガイドラインは、フィールドの一般的なガイドラインをオーバーライドします。 たとえば、フィールドは一般的には省略可能ですが、特定のスキーマでは必須です。 各フィールドの詳細については、 ASIM 共通フィールド に関する記事を参照してください。
| クラス | フィールド |
|---|---|
| 必須 |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| 推奨 |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| 省略可能 |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
イベント固有のフィールドを処理する
次の表に示すフィールドは Process イベントに固有ですが、他のスキーマのフィールドと似ていますが、同様の名前付け規則に従います。
プロセス イベント スキーマは、作成と終了アクティビティを処理する中心となる次のエンティティを参照します。
- アクター - プロセスの作成または終了を開始したユーザー。
- ActingProcess - アクターがプロセスの作成または終了を開始するために使用するプロセス。
- TargetProcess - 新しいプロセス。
- TargetUser - 新しいプロセスの作成に使用される資格情報を持つユーザー。
- ParentProcess - アクター プロセスを開始したプロセス。
エイリアス
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| ユーザー | Alias |
TargetUsername のエイリアス。 例: CONTOSO\dadmin |
|
| プロセス | Alias |
TargetProcessName のエイリアス 例: C:\Windows\System32\rundll32.exe |
|
| CommandLine | Alias | TargetProcessCommandLine へのエイリアス | |
| ハッシュ | Alias | ターゲット プロセスに最適な使用可能なハッシュへのエイリアス。 |
アクター フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| ActorUserId | 推奨 | 文字列 | マシンが読み取り可能な英数字のアクターの一意の表現。 さまざまな ID の種類でサポートされる形式については、 User エンティティを参照してください。 例: S-1-12 |
| ActorUserIdType | 条件 付き | 列挙 | ActorUserId フィールドに格納されている ID の型。 許可される値の一覧と詳細については、スキーマの概要に関する記事の UserIdType を参照してください。 |
| ActorScope | 省略可能 | 文字列 | ActorUserId と ActorUsername が定義されているMicrosoft Entra テナントなどのスコープ。 または、許可される値の詳細と一覧については、スキーマの概要に関する記事の UserScope を参照してください。 |
| ActorScopeId | 省略可能 | 文字列 | ActorUserId と ActorUsername が定義されているMicrosoft Entra ディレクトリ ID などのスコープ ID。 または、許可される値の詳細と一覧については、スキーマの概要に関する記事の UserScopeId を参照してください。 |
| ActorUsername | 必須 | ユーザー名 (文字列) | アクターのユーザー名(使用可能な場合はドメイン情報を含む)。 さまざまな ID の種類でサポートされる形式については、 User エンティティを参照してください。 ドメイン情報が使用できない場合にのみ、単純なフォームを使用します。 [Username type]\(ユーザー名の種類\ ) を ActorUsernameType フィールドに格納します。 他のユーザー名形式を使用できる場合は、 ActorUsername<UsernameType>フィールドに保存します。例: AlbertE |
| ActorUsernameType | 条件 付き | 列挙 |
ActorUsername フィールドに格納されているユーザー名の種類を指定します。 許可される値の一覧と詳細については、スキーマの概要に関する記事の UsernameType を参照してください。 例: Windows |
| ActorSessionId | 省略可能 | 文字列 | アクターのログイン セッションの一意の ID。 例: 999注: 型は、さまざまなシステムをサポートするために 文字列 として定義されていますが、Windows ではこの値は数値である必要があります。 Windows マシンを使用していて、別の型を使用している場合は、必ず値を変換してください。 たとえば、16 進値を使用した場合は、10 進値に変換します。 |
| ActorUserType | 省略可能 | UserType | Actor の種類。 許可される値の一覧と詳細については、スキーマの概要に関する記事の UserType を参照してください。 注: 値は、これらの値に正規化する必要がある異なる用語を使用してソース レコードに提供される場合があります。 元の値を ActorOriginalUserType フィールドに格納します。 |
| ActorOriginalUserType | 省略可能 | 文字列 | レポート デバイスによって指定された場合は、元の宛先ユーザーの種類。 |
[処理プロセス] フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| ActingProcessCommandLine | 省略可能 | 文字列 | 処理プロセスの実行に使用されるコマンド ライン。 例: "choco.exe" -v |
| ActingProcessName | 省略可能 | string | 処理プロセスの名前。 この名前は、通常、プロセスの仮想アドレス空間にマップされる初期コードとデータを定義するために使用されるイメージまたは実行可能ファイルから派生します。 例: C:\Windows\explorer.exe |
| ActingProcessFilename | 省略可能 | 文字列 | フォルダー情報を含まない、 ActingProcessNameのファイル名の部分。 例: explorer.exe |
| ActingProcessFileCompany | 省略可能 | 文字列 | 代理プロセス イメージ ファイルを作成した会社。 例: Microsoft |
| ActingProcessFileDescription | 省略可能 | 文字列 | 処理プロセス イメージ ファイルのバージョン情報に埋め込まれた説明。 例: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | 省略可能 | 文字列 | 処理プロセス イメージ ファイル内のバージョン情報の製品名。 例: Notepad++ |
| ActingProcessFileVersion | 省略可能 | 文字列 | 処理プロセス イメージ ファイルのバージョン情報からの製品バージョン。 例: 7.9.5.0 |
| ActingProcessFileInternalName | 省略可能 | 文字列 | 処理プロセス イメージ ファイルのバージョン情報からの製品内部ファイル名。 |
| ActingProcessFileOriginalName | 省略可能 | 文字列 | 処理プロセス イメージ ファイルのバージョン情報からの製品オリジナル ファイル名。 例: Notepad++.exe |
| ActingProcessIsHidden | 省略可能 | ブール型 | 処理プロセスが非表示モードであるかどうかを示します。 |
| ActingProcessInjectedAddress | 省略可能 | 文字列 | 責任ある処理プロセスが格納されるメモリ アドレス。 |
| ActingProcessId | 必須 | 文字列 | 処理プロセスのプロセス ID (PID)。 例: 48610176 注: 型は、さまざまなシステムをサポートするために文字列として定義されていますが、Windows では、この値Linux数値にする必要があります。 Windows または Linux コンピューターを使用していて、別の種類を使用している場合は、必ず値を変換してください。 たとえば、16 進値を使用した場合は、10 進値に変換します。 |
| ActingProcessGuid | 省略可能 | GUID (文字列) | 処理プロセスの生成された一意識別子 (GUID)。 システム間でプロセスを識別できるようにします。 例: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | 省略可能 | 文字列 | すべてのプロセスには、そのトークンで表される整合性レベルがあります。 整合性レベルは、保護またはアクセスのプロセス レベルを決定します。 Windows では、 低、 中、 高、 およびシステムの整合性レベルが定義されています。 Standardユーザーは中程度の整合性レベルを受け取り、昇格されたユーザーは高い整合性レベルを受け取ります。 詳細については、「 必須の整合性制御 - Win32 アプリ」を参照してください。 |
| ActingProcessMD5 | 省略可能 | 文字列 | 処理プロセス イメージ ファイルの MD5 ハッシュ。 例: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | 省略可能 | SHA1 | 処理プロセス イメージ ファイルの SHA-1 ハッシュ。 例: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | 省略可能 | SHA256 | 処理プロセス イメージ ファイルの SHA-256 ハッシュ。 例: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | 省略可能 | Sha512 | 処理プロセス イメージ ファイルの SHA-512 ハッシュ。 |
| ActingProcessIMPHASH | 省略可能 | 文字列 | 処理プロセスで使用されるすべてのライブラリ DLL のインポート ハッシュ。 |
| ActingProcessCreationTime | 省略可能 | DateTime | 処理プロセスが開始された日時。 |
| ActingProcessTokenElevation | 省略可能 | 文字列 | 操作プロセスに適用されるユーザー Access Control (UAC) 特権昇格の有無を示すトークン。 例: None |
| ActingProcessFileSize | 省略可能 | Long | 処理プロセスを実行したファイルのサイズ。 |
親プロセス フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| ParentProcessName | 省略可能 | string | 親プロセスの名前。 この名前は、通常、プロセスの仮想アドレス空間にマップされる初期コードとデータを定義するために使用されるイメージまたは実行可能ファイルから派生します。 例: C:\Windows\explorer.exe |
| ParentProcessFileCompany | 省略可能 | 文字列 | 親プロセス イメージ ファイルを作成した会社の名前。 例: Microsoft |
| ParentProcessFileDescription | 省略可能 | 文字列 | 親プロセス イメージ ファイルのバージョン情報からの説明。 例: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | 省略可能 | 文字列 | 親プロセス イメージ ファイルのバージョン情報からの製品名。 例: Notepad++ |
| ParentProcessFileVersion | 省略可能 | 文字列 | 親プロセス イメージ ファイルのバージョン情報からの製品バージョン。 例: 7.9.5.0 |
| ParentProcessIsHidden | 省略可能 | ブール型 | 親プロセスが非表示モードであるかどうかを示します。 |
| ParentProcessInjectedAddress | 省略可能 | 文字列 | 責任ある親プロセスが格納されるメモリ アドレス。 |
| ParentProcessId | 推奨 | 文字列 | 親プロセスのプロセス ID (PID)。 例: 48610176 |
| ParentProcessGuid | 省略可能 | 文字列 | 親プロセスの生成された一意識別子 (GUID)。 システム間でプロセスを識別できるようにします。 例: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | 省略可能 | 文字列 | すべてのプロセスには、そのトークンで表される整合性レベルがあります。 整合性レベルは、保護またはアクセスのプロセス レベルを決定します。 Windows では、 低、 中、 高、 およびシステムの整合性レベルが定義されています。 Standardユーザーは中程度の整合性レベルを受け取り、昇格されたユーザーは高い整合性レベルを受け取ります。 詳細については、「 必須の整合性制御 - Win32 アプリ」を参照してください。 |
| ParentProcessMD5 | 省略可能 | MD5 | 親プロセス イメージ ファイルの MD5 ハッシュ。 例: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | 省略可能 | SHA1 | 親プロセス イメージ ファイルの SHA-1 ハッシュ。 例: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | 省略可能 | SHA256 | 親プロセス イメージ ファイルの SHA-256 ハッシュ。 例: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | 省略可能 | Sha512 | 親プロセス イメージ ファイルの SHA-512 ハッシュ。 |
| ParentProcessIMPHASH | 省略可能 | 文字列 | 親プロセスによって使用されるすべてのライブラリ DLL のインポート ハッシュ。 |
| ParentProcessTokenElevation | 省略可能 | 文字列 | 親プロセスに適用されるユーザー Access Control (UAC) 特権昇格の有無を示すトークン。 例: None |
| ParentProcessCreationTime | 省略可能 | DateTime | 親プロセスが開始された日時。 |
ターゲット ユーザー フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| TargetUsername | プロセス作成イベントには必須です。 | ユーザー名 (文字列) | ドメイン情報を含むターゲット ユーザー名 (使用可能な場合)。 さまざまな ID の種類でサポートされる形式については、 User エンティティを参照してください。 ドメイン情報が使用できない場合にのみ、単純なフォームを使用します。 [ユーザー名の種類] を [TargetUsernameType ] フィールドに格納します。 他のユーザー名形式を使用できる場合は、 TargetUsername<UsernameType>フィールドに保存します。例: AlbertE |
| TargetUsernameType | 条件 付き | 列挙 |
TargetUsername フィールドに格納されているユーザー名の種類を指定します。 許可される値の一覧と詳細については、スキーマの概要に関する記事の UsernameType を参照してください。 例: Windows |
| TargetUserId | 推奨 | 文字列 | ターゲット ユーザーのコンピューターで読み取り可能な英数字の一意の表現。 さまざまな ID の種類でサポートされる形式については、 User エンティティを参照してください。 例: S-1-12 |
| TargetUserIdType | 条件 付き | UserIdType | TargetUserId フィールドに格納されている ID の型。 許可される値の一覧と詳細については、スキーマの概要に関する記事の UserIdType を参照してください。 |
| TargetUserSessionId | 省略可能 | 文字列 | ターゲット ユーザーのログイン セッションの一意の ID。 例: 999 注: 型は、さまざまなシステムをサポートするために 文字列 として定義されていますが、Windows ではこの値は数値である必要があります。 Windows または Linux コンピューターを使用していて、別の種類を使用している場合は、必ず値を変換してください。 たとえば、16 進値を使用した場合は、10 進値に変換します。 |
| TargetUserSessionGuid | 省略可能 | 文字列 | レポート デバイスによって報告されるターゲット ユーザーのログイン セッションの一意の GUID。 例: {12345678-1234-1234-1234-123456789012} |
| TargetUserType | 省略可能 | UserType | Actor の種類。 許可される値の一覧と詳細については、スキーマの概要に関する記事の UserType を参照してください。 注: 値は、これらの値に正規化する必要がある異なる用語を使用してソース レコードに提供される場合があります。 [ TargetOriginalUserType ] フィールドに元の値を格納します。 |
| TargetOriginalUserType | 省略可能 | 文字列 | レポート デバイスによって指定された場合は、元の宛先ユーザーの種類。 |
| TargetUserScope | 省略可能 | 文字列 | TargetUserId と TargetUsername が定義されているMicrosoft Entraテナントなどのスコープ。 または、許可される値の詳細と一覧については、スキーマの概要に関する記事の UserScope を参照してください。 |
| TargetUserScopeId | 省略可能 | 文字列 | TargetUserId と TargetUsername が定義されているMicrosoft Entra ディレクトリ ID などのスコープ ID。 許可される値の詳細と一覧については、スキーマの概要に関する記事の「UserScopeId」を参照してください。 |
ターゲット プロセス フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| TargetProcessName | 必須 | string | ターゲット プロセスの名前。 この名前は、通常、プロセスの仮想アドレス空間にマップされる初期コードとデータを定義するために使用されるイメージまたは実行可能ファイルから派生します。 例: C:\Windows\explorer.exe |
| TargetProcessFilename | 省略可能 | 文字列 | フォルダー情報を含まない、 TargetProcessNameのファイル名の部分。 例: explorer.exe |
| TargetProcessFileCompany | 省略可能 | 文字列 | ターゲット プロセス イメージ ファイルを作成した会社の名前。 例: Microsoft |
| TargetProcessFileDescription | 省略可能 | 文字列 | ターゲット プロセス イメージ ファイルのバージョン情報からの説明。 例: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | 省略可能 | 文字列 | ターゲット プロセス イメージ ファイルのバージョン情報からの製品名。 例: Notepad++ |
| TargetProcessFileSize | 省略可能 | Long | イベントを担当するプロセスを実行したファイルのサイズ。 |
| TargetProcessFileVersion | 省略可能 | 文字列 | ターゲット プロセス イメージ ファイルのバージョン情報からの製品バージョン。 例: 7.9.5.0 |
| TargetProcessFileInternalName | 省略可能 | 文字列 | ターゲット プロセスのイメージ ファイルのバージョン情報からの製品内部ファイル名。 |
| TargetProcessFileOriginalName | 省略可能 | 文字列 | ターゲット プロセスのイメージ ファイルのバージョン情報からの製品元のファイル名。 |
| TargetProcessIsHidden | 省略可能 | ブール型 | ターゲット プロセスが非表示モードであるかどうかを示します。 |
| TargetProcessInjectedAddress | 省略可能 | 文字列 | 責任あるターゲット プロセスが格納されるメモリ アドレス。 |
| TargetProcessMD5 | 省略可能 | MD5 | ターゲット プロセス イメージ ファイルの MD5 ハッシュ。 例: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | 省略可能 | SHA1 | ターゲット プロセス イメージ ファイルの SHA-1 ハッシュ。 例: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | 省略可能 | SHA256 | ターゲット プロセス イメージ ファイルの SHA-256 ハッシュ。 例: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | 省略可能 | Sha512 | ターゲット プロセス イメージ ファイルの SHA-512 ハッシュ。 |
| TargetProcessIMPHASH | 省略可能 | 文字列 | ターゲット プロセスで使用されるすべてのライブラリ DLL のインポート ハッシュ。 |
| HashType | 条件 付き | 列挙 | HASH エイリアス フィールドに格納されているハッシュの種類。許可される値は、 MD5、 SHA、 SHA256、 SHA512 、および IMPHASHです。 |
| TargetProcessCommandLine | 必須 | 文字列 | ターゲット プロセスの実行に使用されるコマンド ライン。 例: "choco.exe" -v |
| TargetProcessCurrentDirectory | 省略可能 | 文字列 | ターゲット プロセスが実行される現在のディレクトリ。 例: c:\windows\system32 |
| TargetProcessCreationTime | 推奨 | DateTime | ターゲット プロセス イメージ ファイルのバージョン情報からの製品バージョン。 |
| TargetProcessId | 必須 | 文字列 | ターゲット プロセスのプロセス ID (PID)。 例: 48610176注: 型は、さまざまなシステムをサポートするために文字列として定義されていますが、Windows では、この値Linux数値にする必要があります。 Windows または Linux コンピューターを使用していて、別の種類を使用している場合は、必ず値を変換してください。 たとえば、16 進値を使用した場合は、10 進値に変換します。 |
| TargetProcessGuid | 省略可能 | GUID (文字列) | ターゲット プロセスの生成された一意識別子 (GUID)。 システム間でプロセスを識別できるようにします。 例: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | 省略可能 | 文字列 | すべてのプロセスには、そのトークンで表される整合性レベルがあります。 整合性レベルは、保護またはアクセスのプロセス レベルを決定します。 Windows では、 低、 中、 高、 およびシステムの整合性レベルが定義されています。 Standardユーザーは中程度の整合性レベルを受け取り、昇格されたユーザーは高い整合性レベルを受け取ります。 詳細については、「 必須の整合性制御 - Win32 アプリ」を参照してください。 |
| TargetProcessTokenElevation | 省略可能 | 文字列 | 作成または終了されたプロセスに適用されたユーザー Access Control (UAC) 特権昇格の有無を示すトークンの種類。 例: None |
| TargetProcessStatusCode | 省略可能 | 文字列 | 終了時にターゲット プロセスによって返される終了コード。 このフィールドは、プロセス終了イベントに対してのみ有効です。 一貫性を確保するために、オペレーティング システムによって提供される値が数値の場合でも、フィールド型は文字列です。 |
検査フィールド
次のフィールドは、EDR システムなどのセキュリティ システムによって実行される検査を表すために使用されます。
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| RuleName | 省略可能 | 文字列 | 検査結果に関連付けられたルールの名前または ID。 |
| RuleNumber | 省略可能 | 整数 | 検査結果に関連付けられているルールの番号。 |
| Rule | 条件 付き | 文字列 | kRuleName の値または RuleNumber の値のいずれか。 RuleNumber の値を使用する場合は、型を文字列に変換する必要があります。 |
| ThreatId | 省略可能 | 文字列 | ファイル アクティビティで特定された脅威またはマルウェアの ID。 |
| ThreatName | 省略可能 | 文字列 | ファイル アクティビティで特定された脅威またはマルウェアの名前。 例: EICAR Test File |
| ThreatCategory | 省略可能 | 文字列 | ファイル アクティビティで特定された脅威またはマルウェアのカテゴリ。 例: Trojan |
| ThreatRiskLevel | 省略可能 | RiskLevel (整数) | 特定された脅威に関連付けられているリスク レベル。 レベルは 0 ~ 100 の数値 にする必要があります。 注: この値は、このスケールに正規化する必要がある別のスケールを使用してソース レコードに提供される場合があります。 元の値は ThreatOriginalRiskLevel に格納する必要があります。 |
| ThreatOriginalRiskLevel | 省略可能 | 文字列 | レポート デバイスによって報告されるリスク レベル。 |
| ThreatField | 省略可能 | 文字列 | 脅威が特定されたフィールド。 |
| ThreatField | 省略可能 | 文字列 | 脅威が特定されたフィールド。 |
| ThreatConfidence | 省略可能 | ConfidenceLevel (整数) | 特定された脅威の信頼レベルを、0 から 100 の値に正規化します。 |
| ThreatOriginalConfidence | 省略可能 | 文字列 | レポート デバイスによって報告された、特定された脅威の元の信頼レベル。 |
| ThreatIsActive | 省略可能 | ブール型 | True を指定すると、特定された脅威がアクティブな脅威と見なされます。 |
| ThreatFirstReportedTime | 省略可能 | 日付型 | IP アドレスまたはドメインが脅威として初めて識別された場合。 |
| ThreatLastReportedTime | 省略可能 | 日付型 | IP アドレスまたはドメインが脅威として識別された最後の時刻。 |
スキーマの更新
スキーマのバージョン 0.1.1 の変更点を次に示します。
- フィールド
EventSchemaを追加しました。
スキーマのバージョン 0.1.2 の変更点は次のとおりです。
- フィールド
ActorUserType、ActorOriginalUserType、TargetUserType、TargetOriginalUserType、HashTypeを追加しました。
スキーマのバージョン 0.1.3 の変更点は次のとおりです。
- フィールドの
ParentProcessIdとTargetProcessCreationTimeを必須から推奨に変更しました。
これらは、スキーマのバージョン 0.1.4 の変更です
- フィールド
ActorScope、DvcScopeId、およびDvcScopeを追加しました。
次の手順
詳細については、以下を参照してください。