Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O esquema de normalização do Evento de Processo é utilizado para descrever a atividade do sistema operativo de executar e terminar um processo. Estes eventos são comunicados por sistemas operativos e sistemas de segurança, como sistemas EDR (End Point Detection and Response).
Um processo, conforme definido pelo OSSEM, é um objeto de contenção e gestão que representa uma instância em execução de um programa. Embora os próprios processos não sejam executados, gerem threads que executam e executam código.
Para obter mais informações sobre a normalização no Microsoft Sentinel, veja Normalização e Modelo avançado de informações de segurança (ASIM).
Analisadores
Para utilizar os analisadores unificadores que unificam todos os analisadores listados e garantir que analisa todas as origens configuradas, utilize os seguintes nomes de tabela nas suas consultas:
- imProcessCriar para consultas que requerem informações de criação de processos. Estas consultas são o caso mais comum.
- imProcessTerminate para consultas que requerem informações de terminação do processo.
Para obter a lista dos analisadores de Eventos de Processo Microsoft Sentinel fornece uma lista de analisadores asim.
Implemente os analisadores de Autenticação a partir do repositório Microsoft Sentinel GitHub.
Para obter mais informações, veja Descrição geral dos analisadores do ASIM.
Adicionar os seus próprios analisadores normalizados
Ao implementar analisadores de eventos de processo personalizado, atribua um nome às funções KQL com a seguinte sintaxe: imProcessCreate<vendor><Product> e imProcessTerminate<vendor><Product>.
ASim Substitua por im pela versão sem parâmetros.
Adicione a função KQL aos parsers unificadores, conforme descrito em Gerir analisadores asim.
Filtrar parâmetros do analisador
Os im analisadores e vim*suportam parâmetros de filtragem. Embora estes analisadores sejam opcionais, podem melhorar o desempenho da consulta.
Estão disponíveis os seguintes parâmetros de filtragem:
| Name | Tipo | Descrição |
|---|---|---|
| hora de início | datetime | Filtrar apenas eventos de processos ocorridos em ou depois desta hora. Este parâmetro filtra no TimeGenerated campo, que é o designador padrão para a hora do evento, independentemente do mapeamento específico do analisador dos campos EventStartTime e EventEndTime. |
| endtime | datetime | Filtrar apenas consultas de eventos de processo que ocorreram em ou antes desta hora. Este parâmetro filtra no TimeGenerated campo, que é o designador padrão para a hora do evento, independentemente do mapeamento específico do analisador dos campos EventStartTime e EventEndTime. |
| commandline_has_any | dinâmico | Filtre apenas eventos de processo para os quais a linha de comandos executada tem qualquer um dos valores listados. O comprimento da lista está limitado a 10 000 itens. |
| commandline_has_all | dinâmico | Filtre apenas eventos de processo para os quais a linha de comandos executada tem todos os valores listados. O comprimento da lista está limitado a 10 000 itens. |
| commandline_has_any_ip_prefix | dinâmico | Filtre apenas eventos de processo para os quais a linha de comandos foi executada tem todos os endereços IP ou prefixos de endereço IP listados. Os prefixos devem terminar com um ., por exemplo: 10.0.. O comprimento da lista está limitado a 10 000 itens. |
| actingprocess_has_any | dinâmico | Filtre apenas eventos de processo para os quais o nome do processo de ação, que inclui todo o caminho do processo, tem qualquer um dos valores listados. O comprimento da lista está limitado a 10 000 itens. |
| targetprocess_has_any | dinâmico | Filtre apenas eventos de processo para os quais o nome do processo de destino, que inclui todo o caminho do processo, tem qualquer um dos valores listados. O comprimento da lista está limitado a 10 000 itens. |
| parentprocess_has_any | dinâmico | Filtre apenas eventos de processo para os quais o nome do processo de destino, que inclui todo o caminho do processo, tem qualquer um dos valores listados. O comprimento da lista está limitado a 10 000 itens. |
| targetusername_has ou actorusername_has | cadeia | Filtre apenas eventos de processo para os quais o nome de utilizador de destino (para eventos de criação de processos) ou o nome de utilizador do ator (para eventos de fim do processo) tem qualquer um dos valores listados. O comprimento da lista está limitado a 10 000 itens. |
| dvcipaddr_has_any_prefix | dinâmico | Filtre apenas eventos de processo para os quais o endereço IP do dispositivo corresponde a qualquer um dos endereços IP ou prefixos de endereço IP listados. Os prefixos devem terminar com um ., por exemplo: 10.0.. O comprimento da lista está limitado a 10 000 itens. |
| dvchostname_has_any | dinâmico | Filtre apenas eventos de processo para os quais o nome do anfitrião do dispositivo, ou FQDN do dispositivo está disponível, tem qualquer um dos valores listados. O comprimento da lista está limitado a 10 000 itens. |
| eventtype | cadeia | Filtrar apenas eventos de processo do tipo especificado. |
Por exemplo, para filtrar apenas eventos de autenticação do último dia para um utilizador específico, utilize:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Sugestão
Para transmitir uma lista literal para parâmetros que esperam um valor dinâmico, utilize explicitamente um literal dinâmico. Por exemplo: dynamic(['192.168.','10.']).
Conteúdo normalizado
Para obter uma lista completa das regras de análise que utilizam eventos de processo normalizados, veja Conteúdo de segurança do Evento de Processo.
Detalhes do esquema
O modelo de informações do Evento de Processo está alinhado com o esquema da entidade Processo OSSEM.
Campos ASIM comuns
Importante
Os campos comuns a todos os esquemas são descritos em detalhe no artigo Campos Comuns do ASIM .
Campos comuns com diretrizes específicas
A lista seguinte menciona campos que têm diretrizes específicas para eventos de atividade do processo:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| EventType | Obrigatório | Enumerado | Descreve a operação comunicada pelo registo. Para registos de Processo, os valores suportados incluem: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Obrigatório | SchemaVersion (Cadeia) | A versão do esquema. A versão do esquema documentado aqui é 0.1.4 |
| EventSchema | Obrigatório | Cadeia | O nome do esquema documentado aqui é ProcessEvent. |
| Campos dvc | Para eventos de atividade do processo, os campos do dispositivo referem-se ao sistema no qual o processo foi executado. |
Importante
O EventSchema campo é atualmente opcional, mas passará a ser Obrigatório a 1 de setembro de 2022.
Todos os campos comuns
Os campos que aparecem na tabela abaixo são comuns a todos os esquemas ASIM. Qualquer orientação especificada acima substitui as diretrizes gerais do campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais detalhes sobre cada campo, veja o artigo Campos Comuns do ASIM .
| Classe | Campos |
|---|---|
| Obrigatório |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendado |
-
EventResultDetails - EventoSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campos Adicionais - DvcDescription - DvcScopeId - DvcScope |
Campos específicos do Evento de Processo
Os campos listados na tabela abaixo são específicos de Processar eventos, mas são semelhantes a campos noutros esquemas e seguem convenções de nomenclatura semelhantes.
O esquema de eventos do processo faz referência às seguintes entidades, que são centrais para a atividade de criação e terminação de processos:
- Actor – o utilizador que iniciou a criação ou terminação do processo.
- ActingProcess - O processo utilizado pelo Ator para iniciar a criação ou terminação do processo.
- TargetProcess - O novo processo.
- TargetUser – o utilizador cujas credenciais são utilizadas para criar o novo processo.
- ParentProcess – o processo que iniciou o Processo de Ator.
Aliases
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Utilizador | Alias | Alias para TargetUsername. Exemplo: CONTOSO\dadmin |
|
| Processo | Alias | Alias para TargetProcessName Exemplo: C:\Windows\System32\rundll32.exe |
|
| Linha de Comandos | Alias | Alias para TargetProcessCommandLine | |
| Hash | Alias | Alias para o melhor hash disponível para o processo de destino. |
Campos de ator
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ActorUserId | Recomendado | Cadeia | Uma representação exclusiva, alfanumérica e legível por computador do Ator. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade Utilizador. Exemplo: S-1-12 |
| ActorUserIdType | Condicional | Enumerado | O tipo do ID armazenado no campo ActorUserId . Para obter uma lista de valores permitidos e mais informações, veja UserIdType no artigo Descrição Geral do Esquema. |
| ActorScope | Opcional | Cadeia | O âmbito, como Microsoft Entra inquilino, no qual ActorUserId e ActorUsername estão definidos. ou mais informações e lista de valores permitidos, veja UserScope no artigo Descrição Geral do Esquema. |
| ActorScopeId | Opcional | Cadeia | O ID de âmbito, como Microsoft Entra ID do Diretório, no qual ActorUserId e ActorUsername estão definidos. ou mais informações e lista de valores permitidos, veja UserScopeId no artigo Descrição Geral do Esquema. |
| ActorUsername | Obrigatório | Nome de utilizador (Cadeia) | O Nome de utilizador do Ator, incluindo informações de domínio quando disponível. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade Utilizador. Utilize o formulário simples apenas se as informações de domínio não estiverem disponíveis. Armazene o tipo nome de utilizador no campo ActorUsernameType . Se estiverem disponíveis outros formatos de nome de utilizador, armazene-os nos campos ActorUsername<UsernameType>.Exemplo: AlbertE |
| ActorUsernameType | Condicional | Enumerado | Especifica o tipo do nome de utilizador armazenado no campo ActorUsername . Para obter uma lista de valores permitidos e mais informações, veja UsernameType no artigo Descrição Geral do Esquema. Exemplo: Windows |
| ActorSessionId | Opcional | Cadeia | O ID exclusivo da sessão de início de sessão do Ator. Exemplo: 999Nota: o tipo é definido como cadeia para suportar vários sistemas, mas no Windows este valor tem de ser numérico. Se estiver a utilizar um computador Windows e tiver utilizado um tipo diferente, certifique-se de que converte os valores. Por exemplo, se utilizou um valor hexadecimal, converta-o num valor decimal. |
| ActorUserType | Opcional | UserType | O tipo de Ator. Para obter uma lista de valores permitidos e mais informações, veja UserType no artigo Descrição Geral do Esquema. Nota: o valor pode ser fornecido no registo de origem com termos diferentes, que devem ser normalizados para estes valores. Armazene o valor original no campo ActorOriginalUserType . |
| ActorOriginalUserType | Opcional | Cadeia | O tipo de utilizador de destino original, se for fornecido pelo dispositivo de relatório. |
Campos do processo de ação
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ActingProcessCommandLine | Opcional | Cadeia | A linha de comandos utilizada para executar o processo de ação. Exemplo: "choco.exe" -v |
| ActingProcessName | Opcional | cadeia | O nome do processo de representação. Este nome é normalmente derivado da imagem ou ficheiro executável que é utilizado para definir o código inicial e os dados mapeados para o espaço de endereços virtual do processo. Exemplo: C:\Windows\explorer.exe |
| ActingProcessFilename | Opcional | Cadeia | A parte do nome de ficheiro do ActingProcessName, sem informações da pasta. Exemplo: explorer.exe |
| ActingProcessFileCompany | Opcional | Cadeia | A empresa que criou o ficheiro de imagem do processo de atuação. Exemplo: Microsoft |
| ActingProcessFileDescription | Opcional | Cadeia | A descrição incorporada nas informações de versão do ficheiro de imagem do processo de atuação. Exemplo: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Opcional | Cadeia | O nome do produto das informações da versão no ficheiro de imagem do processo de atuação. Exemplo: Notepad++ |
| ActingProcessFileVersion | Opcional | Cadeia | A versão do produto a partir das informações de versão do ficheiro de imagem do processo de atuação. Exemplo: 7.9.5.0 |
| ActingProcessFileInternalName | Opcional | Cadeia | O nome de ficheiro interno do produto a partir das informações de versão do ficheiro de imagem do processo de atuação. |
| ActingProcessFileOriginalName | Opcional | Cadeia | O nome de ficheiro original do produto a partir das informações de versão do ficheiro de imagem do processo de atuação. Exemplo: Notepad++.exe |
| ActingProcessIsHidden | Opcional | Booleano | Uma indicação de se o processo de representação está no modo oculto. |
| ActingProcessInjectedAddress | Opcional | Cadeia | O endereço de memória no qual o processo de atuação responsável é armazenado. |
| ActingProcessId | Obrigatório | Cadeia | O ID do processo (PID) do processo de ação. Exemplo: 48610176 Nota: o tipo é definido como cadeia para suportar sistemas variados, mas no Windows e Linux este valor tem de ser numérico. Se estiver a utilizar um computador Windows ou Linux e tiver utilizado um tipo diferente, certifique-se de que converte os valores. Por exemplo, se utilizou um valor hexadecimal, converta-o num valor decimal. |
| ActingProcessGuid | Opcional | GUID (cadeia) | Um identificador exclusivo gerado (GUID) do processo de ação. Permite identificar o processo entre sistemas. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Opcional | Cadeia | Cada processo tem um nível de integridade representado no respetivo token. Os níveis de integridade determinam o nível de processo de proteção ou acesso. O Windows define os seguintes níveis de integridade: baixo, médio, alto e sistema. Os utilizadores padrão recebem um nível de integridade média e os utilizadores elevados recebem um nível de integridade elevado. Para obter mais informações, veja Controlo de Integridade Obrigatório – Aplicações Win32. |
| ActingProcessMD5 | Opcional | Cadeia | O hash MD5 do ficheiro de imagem do processo de atuação. Exemplo: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Opcional | SHA1 | O hash SHA-1 do ficheiro de imagem do processo de representação. Exemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Opcional | SHA256 | O hash SHA-256 do ficheiro de imagem do processo de representação. Exemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Opcional | SHA512 | O hash SHA-512 do ficheiro de imagem do processo de atuação. |
| ActingProcessIMPHASH | Opcional | Cadeia | O Hash de Importação de todas as DLLs da biblioteca que são utilizadas pelo processo de representação. |
| ActingProcessCreationTime | Opcional | DateTime | A data e hora em que o processo de representação foi iniciado. |
| ActingProcessTokenElevation | Opcional | Cadeia | Um token que indica a presença ou ausência da elevação de privilégios do Controlo de Acesso de Utilizador (UAC) aplicada ao processo de ação. Exemplo: None |
| ActingProcessFileSize | Opcional | Longo | O tamanho do ficheiro que executou o processo de representação. |
Campos do processo principal
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ParentProcessName | Opcional | cadeia | O nome do processo principal. Este nome é normalmente derivado da imagem ou ficheiro executável que é utilizado para definir o código inicial e os dados mapeados para o espaço de endereços virtual do processo. Exemplo: C:\Windows\explorer.exe |
| ParentProcessFileCompany | Opcional | Cadeia | O nome da empresa que criou o ficheiro de imagem do processo principal. Exemplo: Microsoft |
| ParentProcessFileDescription | Opcional | Cadeia | A descrição das informações da versão no ficheiro de imagem do processo principal. Exemplo: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Opcional | Cadeia | O nome do produto das informações da versão no ficheiro de imagem do processo principal. Exemplo: Notepad++ |
| ParentProcessFileVersion | Opcional | Cadeia | A versão do produto das informações da versão no ficheiro de imagem do processo principal. Exemplo: 7.9.5.0 |
| ParentProcessIsHidden | Opcional | Booleano | Uma indicação de se o processo principal está no modo oculto. |
| ParentProcessInjectedAddress | Opcional | Cadeia | O endereço de memória no qual o processo principal responsável é armazenado. |
| ParentProcessId | Recomendado | Cadeia | O ID do processo (PID) do processo principal. Exemplo: 48610176 |
| ParentProcessGuid | Opcional | Cadeia | Um identificador exclusivo gerado (GUID) do processo principal. Permite identificar o processo entre sistemas. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Opcional | Cadeia | Cada processo tem um nível de integridade representado no respetivo token. Os níveis de integridade determinam o nível de processo de proteção ou acesso. O Windows define os seguintes níveis de integridade: baixo, médio, alto e sistema. Os utilizadores padrão recebem um nível de integridade média e os utilizadores elevados recebem um nível de integridade elevado. Para obter mais informações, veja Controlo de Integridade Obrigatório – Aplicações Win32. |
| ParentProcessMD5 | Opcional | MD5 | O hash MD5 do ficheiro de imagem do processo principal. Exemplo: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Opcional | SHA1 | O hash SHA-1 do ficheiro de imagem do processo principal. Exemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Opcional | SHA256 | O hash SHA-256 do ficheiro de imagem do processo principal. Exemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Opcional | SHA512 | O hash SHA-512 do ficheiro de imagem do processo principal. |
| ParentProcessIMPHASH | Opcional | Cadeia | O Hash de Importação de todas as DLLs da biblioteca que são utilizadas pelo processo principal. |
| ParentProcessTokenElevation | Opcional | Cadeia | Um token que indica a presença ou ausência de elevação de privilégios de Controlo de Acesso de Utilizador (UAC) aplicada ao processo principal. Exemplo: None |
| ParentProcessCreationTime | Opcional | DateTime | A data e hora em que o processo principal foi iniciado. |
Campos de utilizador de destino
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| TargetUsername | Obrigatório para a criação de eventos de processo. | Nome de utilizador (Cadeia) | O nome de utilizador de destino, incluindo as informações de domínio quando disponíveis. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade Utilizador. Utilize o formulário simples apenas se as informações de domínio não estiverem disponíveis. Armazene o tipo nome de utilizador no campo TargetUsernameType . Se estiverem disponíveis outros formatos de nome de utilizador, armazene-os nos campos TargetUsername<UsernameType>.Exemplo: AlbertE |
| TargetUsernameType | Condicional | Enumerado | Especifica o tipo do nome de utilizador armazenado no campo TargetUsername . Para obter uma lista de valores permitidos e mais informações, veja UsernameType no artigo Descrição Geral do Esquema. Exemplo: Windows |
| TargetUserId | Recomendado | Cadeia | Uma representação exclusiva, alfanumérica e legível por computador do utilizador de destino. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade Utilizador. Exemplo: S-1-12 |
| TargetUserIdType | Condicional | UserIdType | O tipo do ID armazenado no campo TargetUserId . Para obter uma lista de valores permitidos e mais informações, veja UserIdType no artigo Descrição Geral do Esquema. |
| TargetUserSessionId | Opcional | Cadeia | O ID exclusivo da sessão de início de sessão do utilizador de destino. Exemplo: 999 Nota: o tipo é definido como cadeia para suportar vários sistemas, mas no Windows este valor tem de ser numérico. Se estiver a utilizar um computador Windows ou Linux e tiver utilizado um tipo diferente, certifique-se de que converte os valores. Por exemplo, se utilizou um valor hexadecimal, converta-o num valor decimal. |
| TargetUserSessionGuid | Opcional | Cadeia | O GUID exclusivo da sessão de início de sessão do utilizador de destino, conforme comunicado pelo dispositivo de relatório. Exemplo: {12345678-1234-1234-1234-123456789012} |
| TargetUserType | Opcional | UserType | O tipo de Ator. Para obter uma lista de valores permitidos e mais informações, veja UserType no artigo Descrição Geral do Esquema. Nota: o valor pode ser fornecido no registo de origem com termos diferentes, que devem ser normalizados para estes valores. Armazene o valor original no campo TargetOriginalUserType . |
| TargetOriginalUserType | Opcional | Cadeia | O tipo de utilizador de destino original, se for fornecido pelo dispositivo de relatório. |
| TargetUserScope | Opcional | Cadeia | O âmbito, como Microsoft Entra inquilino, no qual TargetUserId e TargetUsername estão definidos. ou mais informações e lista de valores permitidos, veja UserScope no artigo Descrição Geral do Esquema. |
| TargetUserScopeId | Opcional | Cadeia | O ID de âmbito, como Microsoft Entra ID do Diretório, no qual TargetUserId e TargetUsername são definidos. para obter mais informações e lista de valores permitidos, veja UserScopeId no artigo Descrição Geral do Esquema. |
Campos do processo de destino
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| TargetProcessName | Obrigatório | cadeia | O nome do processo de destino. Este nome é normalmente derivado da imagem ou ficheiro executável que é utilizado para definir o código inicial e os dados mapeados para o espaço de endereços virtual do processo. Exemplo: C:\Windows\explorer.exe |
| TargetProcessFilename | Opcional | Cadeia | A parte do nome de ficheiro do TargetProcessName, sem informações da pasta. Exemplo: explorer.exe |
| TargetProcessFileCompany | Opcional | Cadeia | O nome da empresa que criou o ficheiro de imagem do processo de destino. Exemplo: Microsoft |
| TargetProcessFileDescription | Opcional | Cadeia | A descrição das informações da versão no ficheiro de imagem do processo de destino. Exemplo: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Opcional | Cadeia | O nome do produto das informações da versão no ficheiro de imagem do processo de destino. Exemplo: Notepad++ |
| TargetProcessFileSize | Opcional | Longo | Tamanho do ficheiro que executou o processo responsável pelo evento. |
| TargetProcessFileVersion | Opcional | Cadeia | A versão do produto das informações da versão no ficheiro de imagem do processo de destino. Exemplo: 7.9.5.0 |
| TargetProcessFileInternalName | Opcional | Cadeia | O nome de ficheiro interno do produto a partir das informações da versão do ficheiro de imagem do processo de destino. |
| TargetProcessFileOriginalName | Opcional | Cadeia | O nome de ficheiro original do produto a partir das informações da versão do ficheiro de imagem do processo de destino. |
| TargetProcessIsHidden | Opcional | Booleano | Uma indicação de se o processo de destino está no modo oculto. |
| TargetProcessInjectedAddress | Opcional | Cadeia | O endereço de memória no qual o processo de destino responsável é armazenado. |
| TargetProcessMD5 | Opcional | MD5 | O hash MD5 do ficheiro de imagem do processo de destino. Exemplo: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Opcional | SHA1 | O hash SHA-1 do ficheiro de imagem do processo de destino. Exemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Opcional | SHA256 | O hash SHA-256 do ficheiro de imagem do processo de destino. Exemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Opcional | SHA512 | O hash SHA-512 do ficheiro de imagem do processo de destino. |
| TargetProcessIMPHASH | Opcional | Cadeia | O Hash de Importação de todas as DLLs da biblioteca que são utilizadas pelo processo de destino. |
| HashType | Condicional | Enumerado | O tipo de hash armazenado no campo alias HASH, os valores permitidos são MD5, SHA, SHA256SHA512 e IMPHASH. |
| TargetProcessCommandLine | Obrigatório | Cadeia | A linha de comandos utilizada para executar o processo de destino. Exemplo: "choco.exe" -v |
| TargetProcessCurrentDirectory | Opcional | Cadeia | O diretório atual no qual o processo de destino é executado. Exemplo: c:\windows\system32 |
| TargetProcessCreationTime | Recomendado | DateTime | A versão do produto a partir das informações da versão do ficheiro de imagem do processo de destino. |
| TargetProcessId | Obrigatório | Cadeia | O ID do processo (PID) do processo de destino. Exemplo: 48610176Nota: o tipo é definido como cadeia para suportar sistemas variados, mas no Windows e Linux este valor tem de ser numérico. Se estiver a utilizar um computador Windows ou Linux e tiver utilizado um tipo diferente, certifique-se de que converte os valores. Por exemplo, se utilizou um valor hexadecimal, converta-o num valor decimal. |
| TargetProcessGuid | Opcional | GUID (Cadeia) | Um identificador exclusivo gerado (GUID) do processo de destino. Permite identificar o processo entre sistemas. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Opcional | Cadeia | Cada processo tem um nível de integridade representado no respetivo token. Os níveis de integridade determinam o nível de processo de proteção ou acesso. O Windows define os seguintes níveis de integridade: baixo, médio, alto e sistema. Os utilizadores padrão recebem um nível de integridade média e os utilizadores elevados recebem um nível de integridade elevado. Para obter mais informações, veja Controlo de Integridade Obrigatório – Aplicações Win32. |
| TargetProcessTokenElevation | Opcional | Cadeia | Tipo de token que indica a presença ou ausência de elevação de privilégios Controlo de Acesso de Utilizador (UAC) aplicada ao processo que foi criado ou terminado. Exemplo: None |
| TargetProcessStatusCode | Opcional | Cadeia | O código de saída devolvido pelo processo de destino quando terminado. Este campo é válido apenas para eventos de terminação de processos. Para consistência, o tipo de campo é cadeia, mesmo que o valor fornecido pelo sistema operativo seja numérico. |
Campos de inspeção
Os seguintes campos são utilizados para representar essa inspeção realizada por um sistema de segurança como um sistema EDR.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| RuleName | Opcional | Cadeia | O nome ou ID da regra associado aos resultados da inspeção. |
| RuleNumber | Opcional | Número inteiro | O número da regra associada aos resultados da inspeção. |
| Regra | Condicional | Cadeia | O valor de kRuleName ou o valor de RuleNumber. Se o valor de RuleNumber for utilizado, o tipo deve ser convertido em cadeia. |
| ThreatId | Opcional | Cadeia | O ID da ameaça ou software maligno identificado na atividade do ficheiro. |
| ThreatName | Opcional | Cadeia | O nome da ameaça ou software maligno identificado na atividade do ficheiro. Exemplo: EICAR Test File |
| ThreatCategory | Opcional | Cadeia | A categoria da ameaça ou software maligno identificado na atividade do ficheiro. Exemplo: Trojan |
| ThreatRiskLevel | Opcional | RiskLevel (Número Inteiro) | O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. Nota: o valor pode ser fornecido no registo de origem com uma escala diferente, que deve ser normalizada para esta escala. O valor original deve ser armazenado em ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Opcional | Cadeia | O nível de risco, conforme comunicado pelo dispositivo de relatório. |
| ThreatField | Opcional | Cadeia | O campo para o qual foi identificada uma ameaça. |
| ThreatField | Opcional | Cadeia | O campo para o qual foi identificada uma ameaça. |
| ThreatConfidence | Opcional | ConfidenceLevel (Número Inteiro) | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatOriginalConfidence | Opcional | Cadeia | O nível de confiança original da ameaça identificado, conforme comunicado pelo dispositivo de relatório. |
| ThreatIsActive | Opcional | Booleano | Verdadeiro se a ameaça identificada for considerada uma ameaça ativa. |
| ThreatFirstReportedTime | Opcional | datetime | A primeira vez que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatLastReportedTime | Opcional | datetime | A última vez que o endereço IP ou domínio foi identificado como uma ameaça. |
Atualizações de esquema
Estas são as alterações na versão 0.1.1 do esquema:
- Adicionado o campo
EventSchema.
Estas são as alterações na versão 0.1.2 do esquema
- Foram adicionados os campos
ActorUserType,ActorOriginalUserType,TargetUserType,TargetOriginalUserTypeeHashType.
Estas são as alterações na versão 0.1.3 do esquema
- Alterou os campos
ParentProcessIdeTargetProcessCreationTimede obrigatório para recomendado.
Estas são as alterações na versão 0.1.4 do esquema
- Foram adicionados os campos
ActorScope,DvcScopeIdeDvcScope.
Passos seguintes
Para mais informações, consulte:
- Ver o Webinar do ASIM ou rever os diapositivos
- Descrição geral do Modelo de Informação de Segurança Avançada (ASIM)
- Esquemas do Modelo de Informação de Segurança Avançada (ASIM)
- Analisadores do Modelo de Informação de Segurança Avançada (ASIM)
- Conteúdo do Modelo de Informação de Segurança Avançada (ASIM)