Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Skjemaet for normalisering av prosesshendelsen brukes til å beskrive operativsystemets aktivitet når du kjører og avslutter en prosess. Slike hendelser rapporteres av operativsystemer og sikkerhetssystemer, for eksempel EDR-systemer (End Point Detection and Response).
En prosess, som definert av OSSEM, er et innesendelses- og administrasjonsobjekt som representerer en kjørende forekomst av et program. Selv om selve prosessene ikke kjører, administrerer de tråder som kjører og kjører kode.
Hvis du vil ha mer informasjon om normalisering i Microsoft Sentinel, kan du se Normalisering og ASIM (Advanced Security Information Model).
Parsere
Hvis du vil bruke de samlende analysene som forener alle oppførte analyser og sikrer at du analyserer på tvers av alle de konfigurerte kildene, kan du bruke følgende tabellnavn i spørringene:
- imProcessCreate for spørringer som krever prosessopprettingsinformasjon. Disse spørringene er det vanligste tilfellet.
- imProcessTerminate for spørringer som krever prosessavslutningsinformasjon.
Se ASIM-analyselisten for listen over prosesshendelsesanalyser Microsoft Sentinel viser til ASIM-analyselisten.
Distribuer godkjenningsanalysene fra Microsoft Sentinel GitHub-repositoriet.
Hvis du vil ha mer informasjon, kan du se ASIM-analyseoversikt.
Legg til dine egne normaliserte analyser
Når du implementerer egendefinerte prosesshendelsesanalyser, kan du gi navn til KQL-funksjonene ved hjelp av følgende syntaks: imProcessCreate<vendor><Product> og imProcessTerminate<vendor><Product>. Erstatt im med ASim for den parameterfrie versjonen.
Legg til KQL-funksjonen i de samlende parserne som beskrevet i administrasjon av ASIM-parsere.
Parametere for filtreringsanalyse
vim* Parserne im støtter filtreringsparametere. Selv om disse parserne er valgfrie, kan de forbedre spørringsytelsen.
Følgende filtreringsparametere er tilgjengelige:
| Navn | Type: | Beskrivelse |
|---|---|---|
| starttidspunkt | Datetime | Det oppstod bare filterprosesshendelser på eller etter dette tidspunktet. Denne parameteren TimeGenerated filtrerer på feltet, som er standardutformingen for tidspunktet for hendelsen, uavhengig av den parserspesifikke tilordningen av EventStartTime- og EventEndTime-feltene. |
| Endtime | Datetime | Filtrer bare prosesshendelsesspørringer som oppstod på eller før dette tidspunktet. Denne parameteren TimeGenerated filtrerer på feltet, som er standardutformingen for tidspunktet for hendelsen, uavhengig av den parserspesifikke tilordningen av EventStartTime- og EventEndTime-feltene. |
| commandline_has_any | Dynamisk | Filtrer bare prosesshendelser der kommandolinjen som ble utført, har noen av de oppførte verdiene. Lengden på listen er begrenset til 10 000 elementer. |
| commandline_has_all | Dynamisk | Filtrer bare prosesshendelser der kommandolinjen som ble utført, har alle de oppførte verdiene. Lengden på listen er begrenset til 10 000 elementer. |
| commandline_has_any_ip_prefix | Dynamisk | Filtrer bare prosesshendelser der kommandolinjen som ble utført, har alle de oppførte IP-adressene eller IP-adresseprefiksene. Prefikser bør slutte med et ., for eksempel: 10.0.. Lengden på listen er begrenset til 10 000 elementer. |
| actingprocess_has_any | Dynamisk | Filtrer bare prosesshendelser der navnet på fungerende prosess, som inkluderer hele prosessbanen, har noen av de oppførte verdiene. Lengden på listen er begrenset til 10 000 elementer. |
| targetprocess_has_any | Dynamisk | Filtrer bare prosesshendelser som målprosessnavnet, som inkluderer hele prosessbanen, har noen av de oppførte verdiene. Lengden på listen er begrenset til 10 000 elementer. |
| parentprocess_has_any | Dynamisk | Filtrer bare prosesshendelser som målprosessnavnet, som inkluderer hele prosessbanen, har noen av de oppførte verdiene. Lengden på listen er begrenset til 10 000 elementer. |
| targetusername_has eller actorusername_has | Streng | Filtrer bare prosesshendelser der målbrukernavnet (for prosessopprettingshendelser) eller aktørbrukernavn (for prosess avslutningshendelser) har noen av de oppførte verdiene. Lengden på listen er begrenset til 10 000 elementer. |
| dvcipaddr_has_any_prefix | Dynamisk | Filtrer bare prosesshendelser der enhetens IP-adresse samsvarer med noen av de oppførte IP-adressene eller IP-adresseprefiksene. Prefikser bør slutte med et ., for eksempel: 10.0.. Lengden på listen er begrenset til 10 000 elementer. |
| dvchostname_has_any | Dynamisk | Filtrer bare prosesshendelser der enhetens vertsnavn, eller enhetens FQDN er tilgjengelig, har noen av de oppførte verdiene. Lengden på listen er begrenset til 10 000 elementer. |
| Eventtype | Streng | Filtrer bare prosesshendelser av den angitte typen. |
Hvis du for eksempel bare vil filtrere godkjenningshendelser fra den siste dagen til en bestemt bruker, bruker du:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Tips
Hvis du vil sende en litteral liste til parametere som forventer en dynamisk verdi, bruker du eksplisitt en dynamisk litteral. Eksempel: dynamic(['192.168.','10.']).
Normalisert innhold
Hvis du vil ha en fullstendig liste over analyseregler som bruker normaliserte prosesshendelser, kan du se Sikkerhetsinnhold for Prosesshendelse.
Skjemadetaljer
Informasjonsmodellen for prosesshendelsen er justert etter OSSEM-prosessenhetsskjemaet.
Vanlige ASIM-felt
Viktig
Felt som er felles for alle skjemaer, beskrives i detalj i artikkelen ASIM Common Fields .
Vanlige felt med spesifikke retningslinjer
Listen nedenfor nevner felt som har spesifikke retningslinjer for prosessaktivitetshendelser:
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| Eventtype | Obligatorisk | Nummerert | Beskriver operasjonen som er rapportert av posten. For prosessposter inkluderer støttede verdier: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Obligatorisk | SchemaVersion (streng) | Versjonen av skjemaet. Versjonen av skjemaet som er dokumentert her, er 0.1.4 |
| EventSchema | Obligatorisk | Streng | Navnet på skjemaet som er dokumentert her, er ProcessEvent. |
| Dvc-felt | For prosessaktivitetshendelser refererer enhetsfelt til systemet der prosessen ble utført. |
Viktig
Feltet EventSchema er valgfritt, men blir obligatorisk 1. september 2022.
Alle fellesfelt
Felt som vises i tabellen nedenfor, er felles for alle ASIM-skjemaer. Alle retningslinjer som er angitt ovenfor, overstyrer de generelle retningslinjene for feltet. Et felt kan for eksempel være valgfritt generelt, men obligatorisk for et bestemt skjema. Hvis du vil ha mer informasjon om hvert felt, kan du se artikkelen ASIM Common Fields .
| Klasse | Felt |
|---|---|
| Obligatorisk |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Anbefalt |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valgfri |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOer - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Behandle hendelsesspesifikke felt
Feltene som er oppført i tabellen nedenfor, er spesifikke for Prosesshendelser, men ligner på felt i andre skjemaer og følger lignende navnekonvensjoner.
Prosesshendelsesskjemaet refererer til følgende enheter, som er sentrale for å behandle opprettings- og avslutningsaktivitet:
- Aktør – Brukeren som startet prosessen med å opprette eller avslutte.
- ActingProcess – prosessen som brukes av aktøren til å starte prosessen opprettelse eller avslutning.
- TargetProcess – den nye prosessen.
- TargetUser – brukeren som har legitimasjonen som brukes til å opprette den nye prosessen.
- ParentProcess – prosessen som startet aktørprosessen.
Aliaser
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| Bruker | Alias | Alias til TargetUsername. Eksempel: CONTOSO\dadmin |
|
| Prosessen | Alias | Alias til TargetProcessName Eksempel: C:\Windows\System32\rundll32.exe |
|
| Commandline | Alias | Alias til TargetProcessCommandLine | |
| Hash | Alias | Alias til den beste tilgjengelige hash-koden for målprosessen. |
Aktørfelt
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| ActorUserId | Anbefalt | Streng | En maskinlesbar, alfanumerisk, unik representasjon av aktøren. Hvis du vil ha et format som støttes for ulike ID-typer, kan du se brukerenheten. Eksempel: S-1-12 |
| ActorUserIdType | Betinget | Nummerert | Typen ID som er lagret i ActorUserId-feltet . Hvis du vil ha en liste over tillatte verdier og ytterligere informasjon, kan du se UserIdType i artikkelen Oversikt over skjema. |
| ActorScope | Valgfri | Streng | Omfanget, for eksempel Microsoft Entra tenant, der ActorUserId og ActorUsername er definert. eller mer informasjon og liste over tillatte verdier, kan du se UserScope i artikkelen Oversikt over skjema. |
| ActorScopeId | Valgfri | Streng | Omfangs-ID-en, for eksempel Microsoft Entra Directory ID, der ActorUserId og ActorUsername er definert. eller mer informasjon og liste over tillatte verdier, kan du se UserScopeId i artikkelen Oversikt over skjema. |
| ActorUsername | Obligatorisk | Brukernavn (streng) | Aktør-brukernavnet, inkludert domeneinformasjon når tilgjengelig. Hvis du vil ha et format som støttes for ulike ID-typer, kan du se brukerenheten. Bruk bare det enkle skjemaet hvis domeneinformasjon ikke er tilgjengelig. Lagre brukernavntypen i ActorUsernameType-feltet . Hvis andre brukernavnformater er tilgjengelige, lagrer du dem i feltene ActorUsername<UsernameType>.Eksempel: AlbertE |
| ActorUsernameType | Betinget | Nummerert | Angir typen brukernavn som er lagret i ActorUsername-feltet . Hvis du vil ha en liste over tillatte verdier og mer informasjon, kan du se UsernameType i artikkelen Oversikt over skjema. Eksempel: Windows |
| ActorSessionId | Valgfri | Streng | Den unike ID-en for påloggingsøkten for aktøren. Eksempel: 999Obs! Typen er definert som streng for å støtte forskjellige systemer, men i Windows må denne verdien være numerisk. Hvis du bruker en Windows-maskin og brukte en annen type, må du konvertere verdiene. Hvis du for eksempel brukte en heksadesimal verdi, konverterer du den til en desimalverdi. |
| ActorUserType | Valgfri | UserType | Typen aktør. Hvis du vil ha en liste over tillatte verdier og mer informasjon, kan du se UserType i artikkelen Oversikt over skjema. Obs! Verdien kan angis i kildeposten ved hjelp av forskjellige termer, som skal normaliseres til disse verdiene. Lagre den opprinnelige verdien i ActorOriginalUserType-feltet . |
| ActorOriginalUserType | Valgfri | Streng | Den opprinnelige målbrukertypen, hvis den leveres av rapporteringsenheten. |
Fungerende prosessfelt
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| ActingProcessCommandLine | Valgfri | Streng | Kommandolinjen som brukes til å kjøre fungerende prosess. Eksempel: "choco.exe" -v |
| ActingProcessName | Valgfri | Streng | Navnet på fungerende prosess. Dette navnet er vanligvis avledet fra bildet eller den kjørbare filen som brukes til å definere den opprinnelige koden og dataene som er tilordnet prosessens virtuelle adresseområde. Eksempel: C:\Windows\explorer.exe |
| ActingProcessFilename | Valgfri | Streng | Filnavndelen av ActingProcessName, uten mappeinformasjon. Eksempel: explorer.exe |
| ActingProcessFileCompany | Valgfri | Streng | Firmaet som opprettet bildefilen for fungerende prosess. Eksempel: Microsoft |
| ActingProcessFileDescription | Valgfri | Streng | Beskrivelsen som er innebygd i versjonsinformasjonen for bildefilen for fungerende prosess. Eksempel: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Valgfri | Streng | Produktnavnet fra versjonsinformasjonen i bildefilen for fungerende prosess. Eksempel: Notepad++ |
| ActingProcessFileVersion | Valgfri | Streng | Produktversjonen fra versjonsinformasjonen for bildefilen for fungerende prosess. Eksempel: 7.9.5.0 |
| ActingProcessFileInternalName | Valgfri | Streng | Det interne produktfilnavnet fra versjonsinformasjonen for bildefilen for fungerende prosess. |
| ActingProcessFileOriginalName | Valgfri | Streng | Det opprinnelige produktfilnavnet fra versjonsinformasjonen for bildefilen for fungerende prosess. Eksempel: Notepad++.exe |
| ActingProcessIsHidden | Valgfri | Boolsk | En indikasjon på om fungerende prosess er i skjult modus. |
| ActingProcessInjectedAddress | Valgfri | Streng | Minneadressen der den ansvarlige fungerende prosessen er lagret. |
| ActingProcessId | Obligatorisk | Streng | Prosess-ID-en (PID) for den fungerende prosessen. Eksempel: 48610176 Obs! Typen er definert som streng for å støtte forskjellige systemer, men i Windows og Linux må denne verdien være numerisk. Hvis du bruker en Windows- eller Linux-maskin og brukte en annen type, må du konvertere verdiene. Hvis du for eksempel brukte en heksadesimal verdi, konverterer du den til en desimalverdi. |
| ActingProcessGuid | Valgfri | GUID (streng) | En generert unik identifikator (GUID) for den fungerende prosessen. Aktiverer identifisering av prosessen på tvers av systemer. Eksempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Valgfri | Streng | Hver prosess har et integritetsnivå som representeres i tokenet. Integritetsnivåer bestemmer prosessnivået for beskyttelse eller tilgang. Windows definerer følgende integritetsnivåer: lav, middels, høy og system. Standard brukere får et middels integritetsnivå og utvidede brukere får et høyt integritetsnivå. Hvis du vil ha mer informasjon, kan du se Obligatorisk integritetskontroll – Win32-apper. |
| ActingProcessMD5 | Valgfri | Streng | MD5-hash-koden for bildefilen for fungerende prosess. Eksempel: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Valgfri | SHA1 | SHA-1-hash-koden for den fungerende prosessbildefilen. Eksempel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Valgfri | SHA256 | SHA-256-hash-koden for den fungerende prosessbildefilen. Eksempel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Valgfri | SHA512 | SHA-512-hash-koden for den fungerende prosessbildefilen. |
| ActingProcessIMPHASH | Valgfri | Streng | Importer hash-koden for alle bibliotek-DLL-filene som brukes av den fungerende prosessen. |
| ActingProcessCreationTime | Valgfri | Datetime | Datoen og klokkeslettet da fungerende prosess ble startet. |
| ActingProcessTokenElevation | Valgfri | Streng | Et token som angir tilstedeværelsen eller fraværet av rettigheter for bruker Access Control (UAC) som gjelder for fungerende prosess. Eksempel: None |
| ActingProcessFileSize | Valgfri | Lang | Størrelsen på filen som kjørte fungerende prosess. |
Overordnede prosessfelt
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| ParentProcessName | Valgfri | Streng | Navnet på den overordnede prosessen. Dette navnet er vanligvis avledet fra bildet eller den kjørbare filen som brukes til å definere den opprinnelige koden og dataene som er tilordnet prosessens virtuelle adresseområde. Eksempel: C:\Windows\explorer.exe |
| ParentProcessFileCompany | Valgfri | Streng | Navnet på firmaet som opprettet den overordnede prosessbildefilen. Eksempel: Microsoft |
| ParentProcessFileDescription | Valgfri | Streng | Beskrivelsen fra versjonsinformasjonen i den overordnede prosessbildefilen. Eksempel: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Valgfri | Streng | Produktnavnet fra versjonsinformasjonen i den overordnede prosessbildefilen. Eksempel: Notepad++ |
| ParentProcessFileVersion | Valgfri | Streng | Produktversjonen fra versjonsinformasjonen i den overordnede prosessbildefilen. Eksempel: 7.9.5.0 |
| ParentProcessIsHidden | Valgfri | Boolsk | En indikasjon på om den overordnede prosessen er i skjult modus. |
| ParentProcessInjectedAddress | Valgfri | Streng | Minneadressen der den ansvarlige overordnede prosessen er lagret. |
| ParentProcessId | Anbefalt | Streng | Prosess-ID -en (PID) for den overordnede prosessen. Eksempel: 48610176 |
| ParentProcessGuid | Valgfri | Streng | En generert unik identifikator (GUID) for den overordnede prosessen. Aktiverer identifisering av prosessen på tvers av systemer. Eksempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Valgfri | Streng | Hver prosess har et integritetsnivå som representeres i tokenet. Integritetsnivåer bestemmer prosessnivået for beskyttelse eller tilgang. Windows definerer følgende integritetsnivåer: lav, middels, høy og system. Standard brukere får et middels integritetsnivå og utvidede brukere får et høyt integritetsnivå. Hvis du vil ha mer informasjon, kan du se Obligatorisk integritetskontroll – Win32-apper. |
| ParentProcessMD5 | Valgfri | MD5 | MD5-hash-koden for den overordnede prosessbildefilen. Eksempel: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Valgfri | SHA1 | SHA-1-hash-koden for den overordnede prosessbildefilen. Eksempel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Valgfri | SHA256 | SHA-256-hash-koden for den overordnede prosessbildefilen. Eksempel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Valgfri | SHA512 | SHA-512-hash-koden for den overordnede prosessbildefilen. |
| ParentProcessIMPHASH | Valgfri | Streng | Importer hash-koden for alle bibliotek-DLL-filene som brukes av den overordnede prosessen. |
| ParentProcessTokenElevation | Valgfri | Streng | Et token som angir tilstedeværelsen eller fraværet av bruker Access Control (UAC) rettighetsutvidelse brukt på den overordnede prosessen. Eksempel: None |
| ParentProcessCreationTime | Valgfri | Datetime | Datoen og klokkeslettet da den overordnede prosessen ble startet. |
Målbrukerfelt
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| TargetUsername | Obligatorisk for oppretting av hendelser for prosess. | Brukernavn (streng) | Målbrukernavnet, inkludert domeneinformasjon når tilgjengelig. Hvis du vil ha et format som støttes for ulike ID-typer, kan du se brukerenheten. Bruk bare det enkle skjemaet hvis domeneinformasjon ikke er tilgjengelig. Lagre brukernavntypen i TargetUsernameType-feltet . Hvis andre brukernavnformater er tilgjengelige, lagrer du dem i feltene TargetUsername<UsernameType>.Eksempel: AlbertE |
| TargetUsernameType | Betinget | Nummerert | Angir typen brukernavn som er lagret i TargetUsername-feltet . Hvis du vil ha en liste over tillatte verdier og mer informasjon, kan du se UsernameType i artikkelen Oversikt over skjema. Eksempel: Windows |
| TargetUserId | Anbefalt | Streng | En maskinlesbar, alfanumerisk, unik representasjon av målbrukeren. Hvis du vil ha et format som støttes for ulike ID-typer, kan du se brukerenheten. Eksempel: S-1-12 |
| TargetUserIdType | Betinget | UserIdType | Typen ID som er lagret i TargetUserId-feltet . Hvis du vil ha en liste over tillatte verdier og ytterligere informasjon, kan du se UserIdType i artikkelen Oversikt over skjema. |
| TargetUserSessionId | Valgfri | Streng | Den unike IDen for målbrukerens påloggingsøkt. Eksempel: 999 Obs! Typen er definert som streng for å støtte forskjellige systemer, men i Windows må denne verdien være numerisk. Hvis du bruker en Windows- eller Linux-maskin og brukte en annen type, må du konvertere verdiene. Hvis du for eksempel brukte en heksadesimal verdi, konverterer du den til en desimalverdi. |
| TargetUserSessionGuid | Valgfri | Streng | Den unike GUID-en for målbrukerens påloggingsøkt, som rapportert av rapporteringsenheten. Eksempel: {12345678-1234-1234-1234-123456789012} |
| TargetUserType | Valgfri | UserType | Typen aktør. Hvis du vil ha en liste over tillatte verdier og mer informasjon, kan du se UserType i artikkelen Oversikt over skjema. Obs! Verdien kan angis i kildeposten ved hjelp av forskjellige termer, som skal normaliseres til disse verdiene. Lagre den opprinnelige verdien i TargetOriginalUserType-feltet . |
| TargetOriginalUserType | Valgfri | Streng | Den opprinnelige målbrukertypen, hvis den leveres av rapporteringsenheten. |
| TargetUserScope | Valgfri | Streng | Omfanget, for eksempel Microsoft Entra tenant, der TargetUserId og TargetUsername er definert. eller mer informasjon og liste over tillatte verdier, kan du se UserScope i artikkelen Oversikt over skjema. |
| TargetUserScopeId | Valgfri | Streng | Omfangs-ID-en, for eksempel Microsoft Entra katalog-ID, der TargetUserId og TargetUsername er definert. Hvis du vil ha mer informasjon og en liste over tillatte verdier, kan du se UserScopeId i artikkelen Oversikt over skjema. |
Målprosessfelt
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| TargetProcessName | Obligatorisk | Streng | Navnet på målprosessen. Dette navnet er vanligvis avledet fra bildet eller den kjørbare filen som brukes til å definere den opprinnelige koden og dataene som er tilordnet prosessens virtuelle adresseområde. Eksempel: C:\Windows\explorer.exe |
| TargetProcessFilename | Valgfri | Streng | Filnavndelen av TargetProcessName, uten mappeinformasjon. Eksempel: explorer.exe |
| TargetProcessFileCompany | Valgfri | Streng | Navnet på firmaet som opprettet bildefilen for målprosessen. Eksempel: Microsoft |
| TargetProcessFileDescription | Valgfri | Streng | Beskrivelsen fra versjonsinformasjonen i bildefilen for målprosessen. Eksempel: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Valgfri | Streng | Produktnavnet fra versjonsinformasjonen i bildefilen for målprosessen. Eksempel: Notepad++ |
| TargetProcessFileSize | Valgfri | Lang | Størrelsen på filen som kjørte prosessen som var ansvarlig for hendelsen. |
| TargetProcessFileVersion | Valgfri | Streng | Produktversjonen fra versjonsinformasjonen i bildefilen for målprosessen. Eksempel: 7.9.5.0 |
| TargetProcessFileInternalName | Valgfri | Streng | Det interne produktfilnavnet fra versjonsinformasjonen for bildefilen for målprosessen. |
| TargetProcessFileOriginalName | Valgfri | Streng | Det opprinnelige produktfilnavnet fra versjonsinformasjonen for bildefilen for målprosessen. |
| TargetProcessIsHidden | Valgfri | Boolsk | En indikasjon på om målprosessen er i skjult modus. |
| TargetProcessInjectedAddress | Valgfri | Streng | Minneadressen der den ansvarlige målprosessen er lagret. |
| TargetProcessMD5 | Valgfri | MD5 | MD5-hash-koden for bildefilen for målprosessen. Eksempel: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Valgfri | SHA1 | SHA-1-hash-koden for bildefilen for målprosessen. Eksempel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Valgfri | SHA256 | SHA-256-hash-koden for målprosessbildefilen. Eksempel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Valgfri | SHA512 | SHA-512-hash-koden for målprosessbildefilen. |
| TargetProcessIMPHASH | Valgfri | Streng | Importer hash-koden for alle bibliotek-DLL-filene som brukes av målprosessen. |
| HashType | Betinget | Nummerert | Typen hash som er lagret i hash-aliasfeltet, tillatte verdier, er MD5, SHA, SHA512SHA256og IMPHASH. |
| TargetProcessCommandLine | Obligatorisk | Streng | Kommandolinjen som brukes til å kjøre målprosessen. Eksempel: "choco.exe" -v |
| TargetProcessCurrentDirectory | Valgfri | Streng | Gjeldende katalog som målprosessen kjøres i. Eksempel: c:\windows\system32 |
| TargetProcessCreationTime | Anbefalt | Datetime | Produktversjonen fra versjonsinformasjonen for bildefilen for målprosessen. |
| TargetProcessId | Obligatorisk | Streng | Prosess-ID-en (PID) for målprosessen. Eksempel: 48610176Obs! Typen er definert som streng for å støtte forskjellige systemer, men i Windows og Linux må denne verdien være numerisk. Hvis du bruker en Windows- eller Linux-maskin og brukte en annen type, må du konvertere verdiene. Hvis du for eksempel brukte en heksadesimal verdi, konverterer du den til en desimalverdi. |
| TargetProcessGuid | Valgfri | GUID (streng) | En generert unik identifikator (GUID) for målprosessen. Aktiverer identifisering av prosessen på tvers av systemer. Eksempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Valgfri | Streng | Hver prosess har et integritetsnivå som representeres i tokenet. Integritetsnivåer bestemmer prosessnivået for beskyttelse eller tilgang. Windows definerer følgende integritetsnivåer: lav, middels, høy og system. Standard brukere får et middels integritetsnivå og utvidede brukere får et høyt integritetsnivå. Hvis du vil ha mer informasjon, kan du se Obligatorisk integritetskontroll – Win32-apper. |
| TargetProcessTokenElevation | Valgfri | Streng | Tokentype som angir tilstedeværelsen eller fraværet av rettigheter for bruker Access Control (UAC) som brukes på prosessen som ble opprettet eller avsluttet. Eksempel: None |
| TargetProcessStatusCode | Valgfri | Streng | Avslutningskoden som returneres av målprosessen når den avsluttes. Dette feltet er bare gyldig for prosessavslutningshendelser. For konsekvens er felttypen streng, selv om verdien som angis av operativsystemet, er numerisk. |
Inspeksjonsfelt
Følgende felt brukes til å representere denne inspeksjonen utført av et sikkerhetssystem som et slikt EDR-system.
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| Regelnavn | Valgfri | Streng | Navnet eller ID-en for regelen ved å knytte til inspeksjonsresultatene. |
| Regelnummer | Valgfri | Heltall | Nummeret på regelen som er knyttet til inspeksjonsresultatene. |
| Regelen | Betinget | Streng | Verdien av kRuleName eller verdien til RuleNumber. Hvis verdien for RuleNumber brukes, bør typen konverteres til streng. |
| ThreatId | Valgfri | Streng | ID-en til trusselen eller skadelig programvare som er identifisert i filaktiviteten. |
| ThreatName | Valgfri | Streng | Navnet på trusselen eller skadelig programvare som er identifisert i filaktiviteten. Eksempel: EICAR Test File |
| Trusselkategori | Valgfri | Streng | Kategorien for trusselen eller skadelig programvare som er identifisert i filaktiviteten. Eksempel: Trojan |
| ThreatRiskLevel | Valgfri | RiskLevel (heltall) | Risikonivået som er knyttet til den identifiserte trusselen. Nivået må være et tall mellom 0 og 100. Obs! Verdien kan angis i kildeposten ved hjelp av en annen skala, som skal normaliseres til denne skalaen. Den opprinnelige verdien bør lagres i ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Valgfri | Streng | Risikonivået som rapporteres av rapporteringsenheten. |
| ThreatField | Valgfri | Streng | Feltet som en trussel ble identifisert for. |
| ThreatField | Valgfri | Streng | Feltet som en trussel ble identifisert for. |
| ThreatConfidence | Valgfri | Konfidensnivå (heltall) | Konfidensnivået til trusselen som er identifisert, normalisert til en verdi mellom 0 og 100. |
| ThreatOriginalConfidence | Valgfri | Streng | Det opprinnelige konfidensnivået for trusselen identifisert, som rapportert av rapporteringsenheten. |
| ThreatIsActive | Valgfri | Boolsk | Sann hvis trusselen som identifiseres, anses som en aktiv trussel. |
| ThreatFirstReportedTime | Valgfri | Datetime | Første gang IP-adressen eller domenet ble identifisert som en trussel. |
| ThreatLastReportedTime | Valgfri | Datetime | Siste gang IP-adressen eller domenet ble identifisert som en trussel. |
Skjemaoppdateringer
Dette er endringene i versjon 0.1.1 av skjemaet:
- La til feltet
EventSchema.
Dette er endringene i versjon 0.1.2 av skjemaet
- La til feltene
ActorUserType,ActorOriginalUserType,TargetUserTypeTargetOriginalUserType, ogHashType.
Dette er endringene i versjon 0.1.3 av skjemaet
- Endret feltene
ParentProcessIdogTargetProcessCreationTimefra obligatorisk til anbefalt.
Dette er endringene i versjon 0.1.4 av skjemaet
- La til feltene
ActorScope,DvcScopeIdogDvcScope.
Neste trinn
Hvis du vil ha mer informasjon, kan du se: