Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Schéma normalizace událostí procesu slouží k popisu aktivity operačního systému při spuštění a ukončení procesu. Tyto události jsou hlášeny operačními systémy a systémy zabezpečení, jako jsou systémy detekce koncových bodů a reakce EDR.
Proces definovaný OSSEM je objekt pro zahrnutí a správu, který představuje spuštěnou instanci programu. I když se procesy nespouštějí, spravují vlákna, která spouští a spouští kód.
Další informace o normalizaci v Microsoft Sentinelu naleznete v tématu Normalizace a Advanced Security Information Model (ASIM).
Analyzátory
Pokud chcete použít sjednocení analyzátorů, které sjednocují všechny uvedené analyzátory a zajišťují analýzu napříč všemi nakonfigurovaným zdroji, použijte ve svých dotazech následující názvy tabulek:
- imProcessCreate pro dotazy, které vyžadují informace o vytvoření procesu. Nejčastějším případem jsou tyto dotazy.
- imProcessTerminate pro dotazy, které vyžadují informace o ukončení procesu.
Seznam analyzátorů událostí procesu, které Microsoft Sentinel nabízí, najdete v seznamu analyzátorů ASIM.
Nasaďte analyzátory ověřování z úložiště GitHub služby Microsoft Sentinel.
Další informace najdete v tématu Přehled analyzátorů ASIM.
Přidání vlastních normalizovaných analyzátorů
Při implementaci analyzátorů událostí vlastního procesu pojmenujte funkce KQL pomocí následující syntaxe: imProcessCreate<vendor><Product> a imProcessTerminate<vendor><Product>. Nahraďte im za ASim verzi bez parametrů.
Přidejte funkci KQL do unifikujících analyzátorů, jak je popsáno v tématu Správa analyzátorů ASIM.
Filtrování parametrů analyzátoru
im Analyzátory vim* podporují parametry filtrování. I když jsou tyto analyzátory volitelné, můžou zlepšit výkon dotazů.
K dispozici jsou následující parametry filtrování:
| Name | Typ | Popis |
|---|---|---|
| čas zahájení | datetime | Filtrování pouze událostí procesu došlo v této době nebo po tomto okamžiku. Tento parametr filtruje pole TimeGenerated , což je standardní designátor pro čas události, bez ohledu na mapování specifického analyzátoru polí EventStartTime a EventEndTime. |
| endtime | datetime | Filtrovat pouze dotazy na zpracování událostí, ke kterým došlo v tuto chvíli nebo dříve. Tento parametr filtruje pole TimeGenerated , což je standardní designátor pro čas události, bez ohledu na mapování specifického analyzátoru polí EventStartTime a EventEndTime. |
| commandline_has_any | dynamic | Filtrovat pouze události zpracování, pro které se spustil příkazový řádek, má některou z uvedených hodnot. Délka seznamu je omezená na 10 000 položek. |
| commandline_has_all | dynamic | Filtrujte pouze události procesů, u kterých příkazový řádek obsahuje všechny uvedené hodnoty. Délka seznamu je omezená na 10 000 položek. |
| commandline_has_any_ip_prefix | dynamic | Vyfiltrujte pouze události zpracování, pro které má spuštěný příkazový řádek všechny uvedené IP adresy nebo předpony IP adres. Předpony by měly končit například : .10.0.. Délka seznamu je omezená na 10 000 položek. |
| actingprocess_has_any | dynamic | Vyfiltrujte pouze události procesu, pro které má název fungujícího procesu, který zahrnuje celou cestu procesu, některou z uvedených hodnot. Délka seznamu je omezená na 10 000 položek. |
| targetprocess_has_any | dynamic | Filtrovat pouze události procesu, pro které název cílového procesu, který zahrnuje celou cestu procesu, má některou z uvedených hodnot. Délka seznamu je omezená na 10 000 položek. |
| parentprocess_has_any | dynamic | Filtrovat pouze události procesu, pro které název cílového procesu, který zahrnuje celou cestu procesu, má některou z uvedených hodnot. Délka seznamu je omezená na 10 000 položek. |
| targetusername_has nebo actorusername_has | řetězec | Filtrování pouze událostí procesu, pro které má cílové uživatelské jméno (pro vytváření událostí procesu) nebo uživatelské jméno objektu actor (pro události ukončení procesu) některou z uvedených hodnot. Délka seznamu je omezená na 10 000 položek. |
| dvcipaddr_has_any_prefix | dynamic | Vyfiltrujte pouze události zpracování, pro které IP adresa zařízení odpovídá některé z uvedených IP adres nebo předpon IP adres. Předpony by měly končit například : .10.0.. Délka seznamu je omezená na 10 000 položek. |
| dvchostname_has_any | dynamic | Filtrováním pouze událostí zpracování, pro které je k dispozici název hostitele zařízení nebo plně kvalifikovaný název domény zařízení, mají některé z uvedených hodnot. Délka seznamu je omezená na 10 000 položek. |
| eventtype | řetězec | Filtrovat pouze události zpracování zadaného typu. |
Pokud chcete například filtrovat pouze události ověřování z posledního dne na konkrétního uživatele, použijte:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Tip
Pokud chcete předat literálový seznam parametrům, které očekávají dynamickou hodnotu, explicitně použijte dynamický literál. Například: dynamic(['192.168.','10.']).
Normalizovaný obsah
Úplný seznam analytických pravidel, která používají normalizované události procesu, najdete v tématu Obsah zabezpečení událostí procesu.
Podrobnosti schématu
Informační model událostí procesu je zarovnaný se schématem entity procesu OSSEM.
Běžná pole ASIM
Důležité
Pole společná pro všechna schémata jsou podrobně popsaná v článku o společných polích ASIM.
Běžná pole s konkrétními pokyny
Následující seznam uvádí pole, která mají specifické pokyny pro události aktivity procesů:
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Typ události | Povinné | Enumerated | Popisuje operaci hlášenou záznamem. Mezi podporované hodnoty pro záznamy procesu patří: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Povinné | SchemaVersion (řetězec) | Verze schématu. Verze zde popsaného schématu je 0.1.4 |
| EventSchema | Povinné | String | Název schématu popsaného zde je ProcessEvent. |
| Pole Dvc | V případě událostí aktivity procesu se pole zařízení týkají systému, na kterém byl proces proveden. |
Důležité
Pole EventSchema je aktuálně volitelné, ale stane se povinným dnem 1. září 2022.
Všechna společná pole
Pole, která se zobrazují v následující tabulce, jsou společná pro všechna schémata ASIM. Všechny výše uvedené pokyny přepíší obecné pokyny pro dané pole. Pole může být například volitelné obecně, ale povinné pro konkrétní schéma. Další podrobnosti o jednotlivých polích najdete v článku o společných polích ASIM.
| Třída | Pole |
|---|---|
| Povinné |
-
EventCount - Čas začátku události - EventEndTime - Typ události - Výsledek události - EventProduct - EventVendor - EventSchema - EventSchemaVersion - DVC |
| Doporučené |
-
VýsledekUdálostPodrobnosti - Závažnost události - Id události - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Volitelné |
-
UdálostZpráva - EventSubType - UdálostOriginalUid - UdálostOriginální typ - UdálostOriginální Subtyp - UdálostPůvodníVýsledekDetaily - UdálostOriginalSeverity - EventProductVersion - EventReportUrl - Vlastník události - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Další pole - Popis dvcDescription - DvcScopeId - DvcScope |
Pole specifická pro zpracování událostí
Pole uvedená v následující tabulce jsou specifická pro události procesu, ale jsou podobná polím v jiných schématech a dodržují podobné zásady vytváření názvů.
Schéma událostí procesu odkazuje na následující entity, které jsou centrální pro aktivitu vytváření a ukončení procesu:
- Objekt actor – uživatel, který inicioval vytvoření nebo ukončení procesu.
- ActingProcess – proces používaný objektem Actor k zahájení vytváření nebo ukončení procesu.
- TargetProcess – nový proces.
- TargetUser – uživatel, jehož přihlašovací údaje se používají k vytvoření nového procesu.
- ParentProcess – proces, který inicioval proces objektu actor.
Aliasy
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Uživatel | Alias | Alias pro targetUsername. Příklad: CONTOSO\dadmin |
|
| Proces | Alias | Alias pro TargetProcessName Příklad: C:\Windows\System32\rundll32.exe |
|
| Příkazový řádek | Alias | Alias pro TargetProcessCommandLine | |
| Hash | Alias | Alias pro nejlepší dostupnou hodnotu hash pro cílový proces |
Pole objektu actor
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| ActorUserId | Doporučené | String | Strojově čitelná alfanumerická, jedinečná reprezentace objektu Actor. Informace o podporovaném formátu pro různé typy ID najdete v entitě Uživatel. Příklad: S-1-12 |
| ActorUserIdType | Podmíněné | Enumerated | Typ ID uloženého v poli ActorUserId . Seznam povolených hodnot a další informace najdete v části UserIdType v článku Přehled schématu. |
| ActorScope | Volitelné | String | Obor, například tenant Microsoft Entra, ve kterém jsou definovány ActorUserId a ActorUsername . nebo další informace a seznam povolených hodnot, viz UserScope v článku Přehled schématu. |
| ActorScopeId | Volitelné | String | ID oboru, například ID adresáře Microsoft Entra, ve kterém jsou definovány ActorUserId a ActorUsername . nebo další informace a seznam povolených hodnot, viz UserScopeId v článku Přehled schématu. |
| ActorUsername | Povinné | Uživatelské jméno (String) | Uživatelské jméno objektu Actor, včetně informací o doméně, pokud jsou k dispozici. Informace o podporovaném formátu pro různé typy ID najdete v entitě Uživatel. Jednoduchý formulář použijte jenom v případě, že informace o doméně nejsou k dispozici. Uložte typ uživatelského jména do pole ActorUsernameType . Pokud jsou k dispozici jiné formáty uživatelského jména, uložte je do polí ActorUsername<UsernameType>.Příklad: AlbertE |
| AktérUživatelské jméno | Podmíněné | Enumerated | Určuje typ uživatelského jména uloženého v poli ActorUsername . Seznam povolených hodnot a další informace najdete v části UsernameType v článku Přehled schématu. Příklad: Windows |
| ActorSessionId | Volitelné | String | Jedinečné ID relace přihlášení objektu Actor. Příklad: 999Poznámka: Typ je definován jako řetězec pro podporu různých systémů, ale v systému Windows musí být tato hodnota číselná. Pokud používáte počítač s Windows a používáte jiný typ, nezapomeňte hodnoty převést. Pokud jste například použili šestnáctkovou hodnotu, převeďte ji na desetinnou hodnotu. |
| ActorUserType | Volitelné | UserType | Typ objektu Actor. Seznam povolených hodnot a další informace najdete v části UserType v článku Přehled schématu. Poznámka: Hodnota může být ve zdrojovém záznamu poskytována pomocí různých termínů, které by se měly normalizovat na tyto hodnoty. Uložte původní hodnotu do pole ActorOriginalUserType . |
| ActorOriginalUserType | Volitelné | String | Původní typ cílového uživatele, pokud ho poskytuje zařízení pro vytváření sestav. |
Pole procesu jednání
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| ActingProcessCommandLine | Volitelné | String | Příkazový řádek použitý ke spuštění procesu činu. Příklad: "choco.exe" -v |
| ActingProcessName | Volitelné | řetězec | Název procesu jednání. Tento název se běžně odvozuje z image nebo spustitelného souboru, který slouží k definování počátečního kódu a dat namapovaných do virtuálního adresního prostoru procesu. Příklad: C:\Windows\explorer.exe |
| ActingProcessFilename | Volitelné | String | Název souboru je část , ActingProcessNamebez informací o složce. Příklad: explorer.exe |
| ActingProcessFileCompany | Volitelné | String | Společnost, která vytvořila soubor obrázku pro proces činu. Příklad: Microsoft |
| ActingProcessFileDescription | Volitelné | String | Popis vložený do informací o verzi souboru bitové kopie procesu hereckého procesu. Příklad: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Volitelné | String | Název produktu z informací o verzi v souboru bitové kopie procesu hereckého procesu. Příklad: Notepad++ |
| ActingProcessFileVersion | Volitelné | String | Verzeproduktuho systému z informací o verzi souboru bitové kopie procesu. Příklad: 7.9.5.0 |
| ActingProcessFileInternalName | Volitelné | String | Název interního souboru produktu z informací o verzi souboru bitové kopie hereckého procesu. |
| ActingProcessFileOriginalName | Volitelné | String | Původní název souboru produktu z informací o verzi souboru bitové kopie hereckého procesu. Příklad: Notepad++.exe |
| ActingProcessIsHidden | Volitelné | logický | Označení, zda je proces činu ve skrytém režimu. |
| ActingProcessInjectedAddress | Volitelné | String | Adresa paměti, ve které je uložen zodpovědný proces činu. |
| ActingProcessId | Povinné | String | ID procesu (PID) procesu. Příklad: 48610176 Poznámka: Typ je definován jako řetězec pro podporu různých systémů, ale v systému Windows a Linux musí být tato hodnota číselná. Pokud používáte počítač s Windows nebo Linuxem a používáte jiný typ, nezapomeňte hodnoty převést. Pokud jste například použili šestnáctkovou hodnotu, převeďte ji na desetinnou hodnotu. |
| ActingProcessGuid | Volitelné | GUID (struna) | Vygenerovaný jedinečný identifikátor (GUID) hereckého procesu. Umožňuje identifikovat proces napříč systémy. Příklad: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Volitelné | String | Každý proces má úroveň integrity, která je reprezentována v tokenu. Úrovně integrity určují úroveň ochrany nebo přístupu procesu. Systém Windows definuje následující úrovně integrity: nízké, střední, vysoké a systémové. Standardní uživatelé obdrží střední úroveň integrity a zvýšená úroveň integrity obdrží vysokou úroveň integrity. Další informace najdete v tématu Povinné řízení integrity – aplikace Win32. |
| ActingProcessMD5 | Volitelné | String | Hodnota hash MD5 souboru obrázku pro herecký proces. Příklad: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Volitelné | SHA1 | Hodnota hash SHA-1 souboru bitové kopie procesu hereckého procesu. Příklad: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Volitelné | SHA256 | Hodnota hash SHA-256 souboru obrázku hereckého procesu. Příklad: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Volitelné | SHA512 | Hodnota hash SHA-512 souboru obrázku hereckého procesu. |
| ActingProcessIMPHASH | Volitelné | String | Hodnota hash importu všech knihoven DLL, které jsou používány procesem jednání. |
| ActingProcessCreationTime | Volitelné | DateTime | Datum a čas zahájení procesu. |
| ActingProcessTokenElevation | Volitelné | String | Token označující přítomnost nebo absenci zvýšení oprávnění řízení přístupu uživatele (UAC) použitého pro tento proces. Příklad: None |
| ActingProcessFileSize | Volitelné | Dlouhé celé číslo | Velikost souboru, který spustil proces herectví |
Pole nadřazeného procesu
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| ParentProcessName | Volitelné | řetězec | Název nadřazeného procesu. Tento název se běžně odvozuje z image nebo spustitelného souboru, který slouží k definování počátečního kódu a dat namapovaných do virtuálního adresního prostoru procesu. Příklad: C:\Windows\explorer.exe |
| ParentProcessFileCompany | Volitelné | String | Název společnosti, která vytvořila soubor image nadřazeného procesu. Příklad: Microsoft |
| ParentProcessFileDescription | Volitelné | String | Popis informací o verzi v souboru image nadřazeného procesu. Příklad: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Volitelné | String | Název produktu z informací o verzi v souboru image nadřazeného procesu. Příklad: Notepad++ |
| ParentProcessFileVersion | Volitelné | String | Verze produktu z informací o verzi v souboru image nadřazeného procesu. Příklad: 7.9.5.0 |
| ParentProcessIsHidden | Volitelné | logický | Označení, jestli je nadřazený proces v skrytém režimu. |
| ParentProcessInjectedAddress | Volitelné | String | Adresa paměti, ve které je uložený zodpovědný nadřazený proces. |
| ParentProcessId | Doporučené | String | ID procesu (PID) nadřazeného procesu. Příklad: 48610176 |
| ParentProcessGuid | Volitelné | String | Vygenerovaný jedinečný identifikátor (GUID) nadřazeného procesu. Umožňuje identifikovat proces napříč systémy. Příklad: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Volitelné | String | Každý proces má úroveň integrity, která je reprezentována v tokenu. Úrovně integrity určují úroveň ochrany nebo přístupu procesu. Systém Windows definuje následující úrovně integrity: nízké, střední, vysoké a systémové. Standardní uživatelé obdrží střední úroveň integrity a zvýšená úroveň integrity obdrží vysokou úroveň integrity. Další informace najdete v tématu Povinné řízení integrity – aplikace Win32. |
| ParentProcessMD5 | Volitelné | MD5 | Hodnota hash MD5 souboru image nadřazeného procesu. Příklad: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Volitelné | SHA1 | Hodnota hash SHA-1 souboru image nadřazeného procesu. Příklad: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Volitelné | SHA256 | Hodnota hash SHA-256 nadřazeného souboru image procesu. Příklad: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Volitelné | SHA512 | Hodnota hash SHA-512 nadřazeného souboru image procesu. |
| ParentProcessIMPHASH | Volitelné | String | Import hash všech knihoven DLL knihovny, které jsou používány nadřazeným procesem. |
| ParentProcessTokenElevation | Volitelné | String | Token označující přítomnost nebo absenci zvýšení oprávnění řízení přístupu uživatele (UAC) použitého u nadřazeného procesu. Příklad: None |
| ParentProcessCreationTime | Volitelné | DateTime | Datum a čas spuštění nadřazeného procesu. |
Cílová uživatelská pole
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| TargetUsername | Povinné pro vytváření událostí procesu. | Uživatelské jméno (String) | Cílové uživatelské jméno, včetně informací o doméně, pokud jsou k dispozici. Informace o podporovaném formátu pro různé typy ID najdete v entitě Uživatel. Jednoduchý formulář použijte jenom v případě, že informace o doméně nejsou k dispozici. Do pole TargetUsernameType uložte typ uživatelského jména. Pokud jsou k dispozici jiné formáty uživatelského jména, uložte je do polí TargetUsername<UsernameType>.Příklad: AlbertE |
| TargetUsernameType | Podmíněné | Enumerated | Určuje typ uživatelského jména uloženého v poli TargetUsername . Seznam povolených hodnot a další informace najdete v části UsernameType v článku Přehled schématu. Příklad: Windows |
| TargetUserId | Doporučené | String | Strojově čitelná alfanumerická, jedinečná reprezentace cílového uživatele. Informace o podporovaném formátu pro různé typy ID najdete v entitě Uživatel. Příklad: S-1-12 |
| TargetUserIdType | Podmíněné | UserIdType | Typ ID uloženého v poli TargetUserId . Seznam povolených hodnot a další informace najdete v části UserIdType v článku Přehled schématu. |
| TargetUserSessionId | Volitelné | String | Jedinečné ID přihlašovací relace cílového uživatele. Příklad: 999 Poznámka: Typ je definován jako řetězec pro podporu různých systémů, ale v systému Windows musí být tato hodnota číselná. Pokud používáte počítač s Windows nebo Linuxem a používáte jiný typ, nezapomeňte hodnoty převést. Pokud jste například použili šestnáctkovou hodnotu, převeďte ji na desetinnou hodnotu. |
| TargetUserSessionGuid | Volitelné | String | Unikátní GUID přihlašovací relace cílového uživatele, jak ji hlásí hlásící zařízení. Příklad: {12345678-1234-1234-1234-123456789012} |
| TargetUserType | Volitelné | UserType | Typ objektu Actor. Seznam povolených hodnot a další informace najdete v části UserType v článku Přehled schématu. Poznámka: Hodnota může být ve zdrojovém záznamu poskytována pomocí různých termínů, které by se měly normalizovat na tyto hodnoty. Uložte původní hodnotu do pole TargetOriginalUserType . |
| CílPůvodníUživatelský typ | Volitelné | String | Původní typ cílového uživatele, pokud ho poskytuje zařízení pro vytváření sestav. |
| TargetUserScope | Volitelné | String | Obor, například tenant Microsoft Entra, ve kterém jsou definovány TargetUserId a TargetUsername . nebo další informace a seznam povolených hodnot, viz UserScope v článku Přehled schématu. |
| TargetUserScopeId | Volitelné | String | ID oboru, například ID adresáře Microsoft Entra, ve kterém jsou definovány TargetUserId a TargetUsername . Další informace a seznam povolených hodnot naleznete v tématu UserScopeId v článku Přehled schématu. |
Pole cílového procesu
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| TargetProcessName | Povinné | řetězec | Název cílového procesu. Tento název se běžně odvozuje z image nebo spustitelného souboru, který slouží k definování počátečního kódu a dat namapovaných do virtuálního adresního prostoru procesu. Příklad: C:\Windows\explorer.exe |
| TargetProcessFilename | Volitelné | String | Název souboru je část , TargetProcessNamebez informací o složce. Příklad: explorer.exe |
| TargetProcessFileCompany | Volitelné | String | Název společnosti, která vytvořila soubor image cílového procesu. Příklad: Microsoft |
| TargetProcessFileDescription | Volitelné | String | Popis informací o verzi v souboru image cílového procesu. Příklad: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Volitelné | String | Název produktu z informací o verzi v souboru image cílového procesu. Příklad: Notepad++ |
| TargetProcessFileSize | Volitelné | Dlouhé celé číslo | Velikost souboru, který spustil proces zodpovědný za událost. |
| TargetProcessFileVersion | Volitelné | String | Verze produktu z informací o verzi v souboru image cílového procesu. Příklad: 7.9.5.0 |
| TargetProcessFileInternalName | Volitelné | String | Název interního souboru produktu z informací o verzi souboru obrázku cílového procesu. |
| TargetProcessFileOriginalName | Volitelné | String | Původní název souboru produktu z informací o verzi souboru obrázku cílového procesu. |
| TargetProcessIsHidden | Volitelné | logický | Označení, jestli je cílový proces ve skrytém režimu. |
| TargetProcessInjectedAddress | Volitelné | String | Adresa paměti, ve které je uložený zodpovědný cílový proces. |
| TargetProcessMD5 | Volitelné | MD5 | Hodnota hash MD5 souboru obrázku cílového procesu. Příklad: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Volitelné | SHA1 | Hodnota hash SHA-1 souboru obrázku cílového procesu. Příklad: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Volitelné | SHA256 | Hodnota hash SHA-256 souboru image cílového procesu. Příklad: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Volitelné | SHA512 | Hodnota hash SHA-512 souboru obrázku cílového procesu. |
| TargetProcessIMPHASH | Volitelné | String | Hodnota hash importu všech knihoven DLL používaných cílovým procesem. |
| HashType | Podmíněné | Enumerated | Typ hodnoty hash uložený v poli aliasu HASH, povolené hodnoty jsou MD5, SHA, SHA256SHA512 a IMPHASH. |
| Příkazový řádek TargetProcessProcess | Povinné | String | Příkazový řádek použitý ke spuštění cílového procesu. Příklad: "choco.exe" -v |
| TargetProcessCurrentDirectory | Volitelné | String | Aktuální adresář, ve kterém je cílový proces proveden. Příklad: c:\windows\system32 |
| TargetProcessCreationTime | Doporučené | DateTime | Verze produktu z informací o verzi souboru image cílového procesu. |
| TargetProcessId | Povinné | String | ID procesu (PID) cílového procesu. Příklad: 48610176Poznámka: Typ je definován jako řetězec pro podporu různých systémů, ale v systému Windows a Linux musí být tato hodnota číselná. Pokud používáte počítač s Windows nebo Linuxem a používáte jiný typ, nezapomeňte hodnoty převést. Pokud jste například použili šestnáctkovou hodnotu, převeďte ji na desetinnou hodnotu. |
| TargetProcessGuid | Volitelné | GUID (struna) | Vygenerovaný jedinečný identifikátor (GUID) cílového procesu. Umožňuje identifikovat proces napříč systémy. Příklad: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Volitelné | String | Každý proces má úroveň integrity, která je reprezentována v tokenu. Úrovně integrity určují úroveň ochrany nebo přístupu procesu. Systém Windows definuje následující úrovně integrity: nízké, střední, vysoké a systémové. Standardní uživatelé obdrží střední úroveň integrity a zvýšená úroveň integrity obdrží vysokou úroveň integrity. Další informace najdete v tématu Povinné řízení integrity – aplikace Win32. |
| TargetProcessTokenElevation | Volitelné | String | Typ tokenu označující přítomnost nebo absenci zvýšení oprávnění řízení přístupu uživatele (UAC) použitého u procesu, který byl vytvořen nebo ukončen. Příklad: None |
| TargetProcessStatusCode | Volitelné | String | Ukončovací kód vrácený cílovým procesem při ukončení. Toto pole je platné pouze pro události ukončení procesu. Pro konzistenci je typ pole řetězec, i když je hodnota poskytovaná operačním systémem číselná. |
Kontrolní pole
Následující pole se používají k reprezentaci inspekce provedené bezpečnostním systémem, jako je systém EDR.
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| PravidloNázev | Volitelné | String | Název nebo ID pravidla přidružené k výsledkům kontroly. |
| Pravidlo | Volitelné | Integer | Počet pravidel přidružených k výsledkům kontroly. |
| Pravidlo | Podmíněné | String | Buď hodnota kRuleName , nebo hodnota RuleNumber. Pokud se použije hodnota RuleNumber , typ by měl být převeden na řetězec. |
| ThreatId | Volitelné | String | ID hrozby nebo malwaru zjištěného v aktivitě souboru. |
| ThreatName | Volitelné | String | Název hrozby nebo malwaru zjištěného v aktivitě souboru. Příklad: EICAR Test File |
| ThreatCategory | Volitelné | String | Kategorie hrozby nebo malwaru zjištěného v aktivitě souboru. Příklad: Trojan |
| ThreatRiskLevel | Volitelné | RizikLevel (celočíselné) | Úroveň rizika spojená s identifikovanou hrozbou. Úroveň by měla být číslo od 0 do 100. Poznámka: Hodnota může být ve zdrojovém záznamu poskytována pomocí jiného měřítka, které by se mělo normalizovat na toto měřítko. Původní hodnota by měla být uložena v ThreatOriginalRiskLevel. |
| HrozbaPůvodníÚroveň rizika | Volitelné | String | Úroveň rizika hlášená hlásícím zařízením. |
| ThreatField | Volitelné | String | Pole, pro které byla zjištěna hrozba. |
| ThreatField | Volitelné | String | Pole, pro které byla zjištěna hrozba. |
| ThreatConfidence | Volitelné | ConfidenceLevel (celé číslo) | Úroveň spolehlivosti zjištěné hrozby normalizovaná na hodnotu mezi 0 a 100. |
| ThreatOriginalConfidence | Volitelné | String | Původní úroveň spolehlivosti zjištěné hrozby, jak je hlášeno zařízením pro hlášení. |
| ThreatIsActive | Volitelné | logický | Hodnota True, pokud je identifikovaná hrozba považována za aktivní hrozbu. |
| ThreatFirstReportedTime | Volitelné | datetime | Poprvé, kdy byly IP adresa nebo doména identifikovány jako hrozba. |
| ThreatLastReportedTime | Volitelné | datetime | Naposledy, kdy byla IP adresa nebo doména identifikována jako hrozba. |
Aktualizace schématu
Jedná se o změny ve verzi 0.1.1 schématu:
- Bylo přidáno pole
EventSchema.
Jedná se o změny ve verzi 0.1.2 schématu.
- Přidání polí
ActorUserType, ,ActorOriginalUserTypeTargetUserType,TargetOriginalUserTypeaHashType.
Jedná se o změny ve verzi 0.1.3 schématu.
- Změnili jsme pole
ParentProcessIdaTargetProcessCreationTimez povinného na doporučenou.
Jedná se o změny ve verzi 0.1.4 schématu.
- Byla přidána pole
ActorScope,DvcScopeIdaDvcScope.
Další kroky
Další informace naleznete v tématu: