Referenční informace o normalizaci událostí procesu Advanced Security Information Model (ASIM) (Public Preview)
Schéma normalizace událostí procesu slouží k popisu aktivity operačního systému při spuštění a ukončení procesu. Tyto události jsou hlášeny operačními systémy a systémy zabezpečení, jako jsou systémy detekce koncových bodů a reakce EDR.
Proces definovaný OSSEM je objekt pro zahrnutí a správu, který představuje spuštěnou instanci programu. I když se procesy nespouštějí, spravují vlákna, která spouští a spouští kód.
Další informace o normalizaci v Microsoft Sentinelu naleznete v tématu Normalizace a Advanced Security Information Model (ASIM).
Důležité
Schéma normalizace událostí procesu je aktuálně ve verzi PREVIEW. Tato funkce je poskytována bez smlouvy o úrovni služeb a nedoporučuje se pro produkční úlohy.
Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Analyzátory
Pokud chcete použít sjednocení analyzátorů, které sjednocují všechny uvedené analyzátory a zajišťují analýzu napříč všemi nakonfigurovaným zdroji, použijte ve svých dotazech následující názvy tabulek:
- imProcessCreate pro dotazy, které vyžadují informace o vytvoření procesu. Nejčastějším případem jsou tyto dotazy.
- imProcessTerminate pro dotazy, které vyžadují informace o ukončení procesu.
Seznam analyzátorů událostí procesu, které Microsoft Sentinel nabízí, najdete v seznamu analyzátorů ASIM.
Nasaďte analyzátory ověřování z úložiště GitHub služby Microsoft Sentinel.
Další informace najdete v tématu Přehled analyzátorů ASIM.
Přidání vlastních normalizovaných analyzátorů
Při implementaci analyzátorů událostí vlastního procesu pojmenujte funkce KQL pomocí následující syntaxe: imProcessCreate<vendor><Product> a imProcessTerminate<vendor><Product>. Nahraďte im za ASim verzi bez parametrů.
Přidejte funkci KQL do unifikujících analyzátorů, jak je popsáno v tématu Správa analyzátorů ASIM.
Filtrování parametrů analyzátoru
vim* Analyzátory im podporují parametry filtrování. I když jsou tyto analyzátory volitelné, můžou zlepšit výkon dotazů.
K dispozici jsou následující parametry filtrování:
| Name | Typ | Popis |
|---|---|---|
| Starttime | datetime | Filtrování pouze událostí procesu došlo v této době nebo po tomto okamžiku. |
| Endtime | datetime | Filtrovat pouze dotazy na zpracování událostí, ke kterým došlo v tuto chvíli nebo dříve. |
| commandline_has_any | dynamic | Filtrovat pouze události zpracování, pro které se spustil příkazový řádek, má některou z uvedených hodnot. Délka seznamu je omezená na 10 000 položek. |
| commandline_has_all | dynamic | Filtrovat pouze události zpracování, pro které se spustil příkazový řádek, mají všechny uvedené hodnoty.. Délka seznamu je omezená na 10 000 položek. |
| commandline_has_any_ip_prefix | dynamic | Vyfiltrujte pouze události zpracování, pro které má spuštěný příkazový řádek všechny uvedené IP adresy nebo předpony IP adres. Předpony by měly končit například : .10.0.. Délka seznamu je omezená na 10 000 položek. |
| actingprocess_has_any | dynamic | Vyfiltrujte pouze události procesu, pro které má název fungujícího procesu, který zahrnuje celou cestu procesu, některou z uvedených hodnot. Délka seznamu je omezená na 10 000 položek. |
| targetprocess_has_any | dynamic | Filtrovat pouze události procesu, pro které název cílového procesu, který zahrnuje celou cestu procesu, má některou z uvedených hodnot. Délka seznamu je omezená na 10 000 položek. |
| parentprocess_has_any | dynamic | Filtrovat pouze události procesu, pro které název cílového procesu, který zahrnuje celou cestu procesu, má některou z uvedených hodnot. Délka seznamu je omezená na 10 000 položek. |
| targetusername_has nebo actorusername_has | řetězec | Filtrování pouze událostí procesu, pro které má cílové uživatelské jméno (pro vytváření událostí procesu) nebo uživatelské jméno objektu actor (pro události ukončení procesu) některou z uvedených hodnot. Délka seznamu je omezená na 10 000 položek. |
| dvcipaddr_has_any_prefix | dynamic | Vyfiltrujte pouze události zpracování, pro které IP adresa zařízení odpovídá některé z uvedených IP adres nebo předpon IP adres. Předpony by měly končit například : .10.0.. Délka seznamu je omezená na 10 000 položek. |
| dvchostname_has_any | dynamic | Filtrováním pouze událostí zpracování, pro které je k dispozici název hostitele zařízení nebo plně kvalifikovaný název domény zařízení, mají některé z uvedených hodnot. Délka seznamu je omezená na 10 000 položek. |
| Eventtype | řetězec | Filtrovat pouze události zpracování zadaného typu. |
pokud chcete filtrovat pouze události ověřování z posledního dne na konkrétního uživatele, použijte:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Tip
Pokud chcete předat literálový seznam parametrům, které očekávají dynamickou hodnotu, explicitně použijte dynamický literál. Příklad: dynamic(['192.168.','10.']).
Normalizovaný obsah
Úplný seznam analytických pravidel, která používají normalizované události procesu, najdete v tématu Obsah zabezpečení událostí procesu.
Podrobnosti schématu
Informační model událostí procesu je zarovnaný se schématem entity procesu OSSEM.
Běžná pole ASIM
Důležité
Pole společná pro všechna schémata jsou podrobně popsaná v článku o společných polích ASIM.
Běžná pole s konkrétními pokyny
Následující seznam uvádí pole, která mají specifické pokyny pro události aktivity procesů:
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Eventtype | Povinný | Enumerated | Popisuje operaci hlášenou záznamem. Mezi podporované hodnoty pro záznamy procesu patří: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Povinný | Řetězec | Verze schématu. Verze zde popsaného schématu je 0.1.4 |
| EventSchema | Volitelné | Řetězec | Název schématu popsaného zde je ProcessEvent. |
| Pole Dvc | V případě událostí aktivity procesu se pole zařízení týkají systému, na kterém byl proces proveden. |
Důležité
Pole EventSchema je aktuálně volitelné, ale stane se povinným dnem 1. září 2022.
Všechna společná pole
Pole, která se zobrazují v následující tabulce, jsou společná pro všechna schémata ASIM. Všechny výše uvedené pokyny přepíší obecné pokyny pro dané pole. Pole může být například volitelné obecně, ale povinné pro konkrétní schéma. Další podrobnosti o jednotlivých polích najdete v článku o společných polích ASIM.
| Třída | Pole |
|---|---|
| Povinný | - EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Doporučené | - EventResultDetails - EventSeverity - Id události - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Volitelné | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - UdálostOriginalSeverity - EventProductVersion - EventReportUrl - Vlastník události - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Další pole - Popis dvcDescription - DvcScopeId - DvcScope |
Pole specifická pro zpracování událostí
Pole uvedená v následující tabulce jsou specifická pro události procesu, ale jsou podobná polím v jiných schématech a dodržují podobné zásady vytváření názvů.
Schéma událostí procesu odkazuje na následující entity, které jsou centrální pro aktivitu vytváření a ukončení procesu:
- Objekt actor – uživatel, který inicioval vytvoření nebo ukončení procesu.
- ActingProcess – proces používaný objektem Actor k zahájení vytváření nebo ukončení procesu.
- TargetProcess – nový proces.
- TargetUser – uživatel, jehož přihlašovací údaje se používají k vytvoření nového procesu.
- ParentProcess – proces, který inicioval proces objektu actor.
Aliasy
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Uživatel | Alias | Alias pro targetUsername. Příklad: CONTOSO\dadmin |
|
| Proces | Alias | Alias pro TargetProcessName Příklad: C:\Windows\System32\rundll32.exe |
|
| Commandline | Alias | Alias pro TargetProcessCommandLine | |
| Hash | Alias | Alias pro nejlepší dostupnou hodnotu hash pro cílový proces |
Pole objektu actor
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| ActorUserId | Doporučené | Řetězec | Strojově čitelná alfanumerická, jedinečná reprezentace objektu Actor. Informace o podporovaném formátu pro různé typy ID najdete v entitě Uživatel. Příklad: S-1-12 |
| ActorUserIdType | Podmíněné | Řetězec | Typ ID uloženého v poli ActorUserId . Seznam povolených hodnot a další informace najdete v části UserIdType v článku Přehled schématu. |
| ActorScope | Volitelné | Řetězec | Obor, například tenant Microsoft Entra, ve kterém jsou definovány ActorUserId a ActorUsername . nebo další informace a seznam povolených hodnot, viz UserScope v článku Přehled schématu. |
| ActorUsername | Povinný | Řetězec | Uživatelské jméno objektu Actor, včetně informací o doméně, pokud jsou k dispozici. Informace o podporovaném formátu pro různé typy ID najdete v entitě Uživatel. Jednoduchý formulář použijte jenom v případě, že informace o doméně nejsou k dispozici. Uložte typ uživatelského jména do pole ActorUsernameType . Pokud jsou k dispozici jiné formáty uživatelského jména, uložte je do polí ActorUsername<UsernameType>.Příklad: AlbertE |
| ActorUsernameType | Podmíněné | Enumerated | Určuje typ uživatelského jména uloženého v poli ActorUsername . Seznam povolených hodnot a další informace najdete v části UsernameType v článku Přehled schématu. Příklad: Windows |
| ActorSessionId | Volitelné | Řetězec | Jedinečné ID relace přihlášení objektu Actor. Příklad: 999Poznámka: Typ je definován jako řetězec pro podporu různých systémů, ale v systému Windows musí být tato hodnota číselná. Pokud používáte počítač s Windows a používáte jiný typ, nezapomeňte hodnoty převést. Pokud jste například použili šestnáctkovou hodnotu, převeďte ji na desetinnou hodnotu. |
| ActorUserType | Volitelné | UserType | Typ objektu Actor. Seznam povolených hodnot a další informace najdete v části UserType v článku Přehled schématu. Poznámka: Hodnota může být ve zdrojovém záznamu poskytována pomocí různých termínů, které by se měly normalizovat na tyto hodnoty. Uložte původní hodnotu do pole ActorOriginalUserType . |
| ActorOriginalUserType | Volitelné | Řetězec | Původní typ cílového uživatele, pokud ho poskytuje zařízení pro vytváření sestav. |
Pole procesu jednání
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| ActingProcessCommandLine | Volitelné | Řetězec | Příkazový řádek použitý ke spuštění procesu činu. Příklad: "choco.exe" -v |
| ActingProcessName | Volitelné | řetězec | Název procesu jednání. Tento název se běžně odvozuje z image nebo spustitelného souboru, který slouží k definování počátečního kódu a dat namapovaných do virtuálního adresního prostoru procesu. Příklad: C:\Windows\explorer.exe |
| ActingProcessFileCompany | Volitelné | Řetězec | Společnost, která vytvořila soubor obrázku pro proces činu. Příklad: Microsoft |
| ActingProcessFileDescription | Volitelné | Řetězec | Popis vložený do informací o verzi souboru bitové kopie procesu hereckého procesu. Příklad: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Volitelné | Řetězec | Název produktu z informací o verzi v souboru bitové kopie procesu hereckého procesu. Příklad: Notepad++ |
| ActingProcessFileVersion | Volitelné | Řetězec | Verzeproduktuho systému z informací o verzi souboru bitové kopie procesu. Příklad: 7.9.5.0 |
| ActingProcessFileInternalName | Volitelné | Řetězec | Název interního souboru produktu z informací o verzi souboru bitové kopie hereckého procesu. |
| ActingProcessFileOriginalName | Volitelné | Řetězec | Původní název souboru produktu z informací o verzi souboru bitové kopie hereckého procesu. Příklad: Notepad++.exe |
| ActingProcessIsHidden | Volitelné | Logické | Označení, zda je proces činu ve skrytém režimu. |
| ActingProcessInjectedAddress | Volitelné | Řetězec | Adresa paměti, ve které je uložen zodpovědný proces činu. |
| ActingProcessId | Povinný | Řetězec | ID procesu (PID) procesu. Příklad: 48610176 Poznámka: Typ je definován jako řetězec pro podporu různých systémů, ale v systému Windows a Linux musí být tato hodnota číselná. Pokud používáte počítač s Windows nebo Linuxem a používáte jiný typ, nezapomeňte hodnoty převést. Pokud jste například použili šestnáctkovou hodnotu, převeďte ji na desetinnou hodnotu. |
| ActingProcessGuid | Volitelné | řetězec | Vygenerovaný jedinečný identifikátor (GUID) hereckého procesu. Umožňuje identifikovat proces napříč systémy. Příklad: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Volitelné | Řetězec | Každý proces má úroveň integrity, která je reprezentována v tokenu. Úrovně integrity určují úroveň ochrany nebo přístupu procesu. Systém Windows definuje následující úrovně integrity: nízké, střední, vysoké a systémové. Standardní uživatelé obdrží střední úroveň integrity a zvýšená úroveň integrity obdrží vysokou úroveň integrity. Další informace najdete v tématu Povinné řízení integrity – aplikace Win32. |
| ActingProcessMD5 | Volitelné | Řetězec | Hodnota hash MD5 souboru obrázku pro herecký proces. Příklad: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Volitelné | SHA1 | Hodnota hash SHA-1 souboru bitové kopie procesu hereckého procesu. Příklad: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Volitelné | SHA256 | Hodnota hash SHA-256 souboru obrázku hereckého procesu. Příklad: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Volitelné | SHA521 | Hodnota hash SHA-512 souboru obrázku hereckého procesu. |
| ActingProcessIMPHASH | Volitelné | Řetězec | Hodnota hash importu všech knihoven DLL, které jsou používány procesem jednání. |
| ActingProcessCreationTime | Volitelné | DateTime | Datum a čas zahájení procesu. |
| ActingProcessTokenElevation | Volitelné | Řetězec | Token označující přítomnost nebo absenci zvýšení oprávnění řízení přístupu uživatele (UAC) použitého pro tento proces. Příklad: None |
| ActingProcessFileSize | Volitelné | Dlouhé celé číslo | Velikost souboru, který spustil proces herectví |
Pole nadřazeného procesu
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| ParentProcessName | Volitelné | řetězec | Název nadřazeného procesu. Tento název se běžně odvozuje z image nebo spustitelného souboru, který slouží k definování počátečního kódu a dat namapovaných do virtuálního adresního prostoru procesu. Příklad: C:\Windows\explorer.exe |
| ParentProcessFileCompany | Volitelné | Řetězec | Název společnosti, která vytvořila soubor image nadřazeného procesu. Příklad: Microsoft |
| ParentProcessFileDescription | Volitelné | Řetězec | Popis informací o verzi v souboru image nadřazeného procesu. Příklad: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Volitelné | Řetězec | Název produktu z informací o verzi v souboru image nadřazeného procesu. Příklad: Notepad++ |
| ParentProcessFileVersion | Volitelné | Řetězec | Verze produktu z informací o verzi v souboru image nadřazeného procesu. Příklad: 7.9.5.0 |
| ParentProcessIsHidden | Volitelné | Logické | Označení, jestli je nadřazený proces v skrytém režimu. |
| ParentProcessInjectedAddress | Volitelné | Řetězec | Adresa paměti, ve které je uložený zodpovědný nadřazený proces. |
| ParentProcessId | Doporučené | Řetězec | ID procesu (PID) nadřazeného procesu. Příklad: 48610176 |
| ParentProcessGuid | Volitelné | Řetězec | Vygenerovaný jedinečný identifikátor (GUID) nadřazeného procesu. Umožňuje identifikovat proces napříč systémy. Příklad: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Volitelné | Řetězec | Každý proces má úroveň integrity, která je reprezentována v tokenu. Úrovně integrity určují úroveň ochrany nebo přístupu procesu. Systém Windows definuje následující úrovně integrity: nízké, střední, vysoké a systémové. Standardní uživatelé obdrží střední úroveň integrity a zvýšená úroveň integrity obdrží vysokou úroveň integrity. Další informace najdete v tématu Povinné řízení integrity – aplikace Win32. |
| ParentProcessMD5 | Volitelné | MD5 | Hodnota hash MD5 souboru image nadřazeného procesu. Příklad: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Volitelné | SHA1 | Hodnota hash SHA-1 souboru image nadřazeného procesu. Příklad: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Volitelné | SHA256 | Hodnota hash SHA-256 nadřazeného souboru image procesu. Příklad: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Volitelné | SHA512 | Hodnota hash SHA-512 nadřazeného souboru image procesu. |
| ParentProcessIMPHASH | Volitelné | Řetězec | Import hash všech knihoven DLL knihovny, které jsou používány nadřazeným procesem. |
| ParentProcessTokenElevation | Volitelné | Řetězec | Token označující přítomnost nebo absenci zvýšení oprávnění řízení přístupu uživatele (UAC) použitého u nadřazeného procesu. Příklad: None |
| ParentProcessCreationTime | Volitelné | DateTime | Datum a čas spuštění nadřazeného procesu. |
Cílová uživatelská pole
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| TargetUsername | Povinné pro vytváření událostí procesu. | Řetězec | Cílové uživatelské jméno, včetně informací o doméně, pokud jsou k dispozici. Informace o podporovaném formátu pro různé typy ID najdete v entitě Uživatel. Jednoduchý formulář použijte jenom v případě, že informace o doméně nejsou k dispozici. Do pole TargetUsernameType uložte typ uživatelského jména. Pokud jsou k dispozici jiné formáty uživatelského jména, uložte je do polí TargetUsername<UsernameType>.Příklad: AlbertE |
| TargetUsernameType | Podmíněné | Enumerated | Určuje typ uživatelského jména uloženého v poli TargetUsername . Seznam povolených hodnot a další informace najdete v části UsernameType v článku Přehled schématu. Příklad: Windows |
| TargetUserId | Doporučené | Řetězec | Strojově čitelná alfanumerická, jedinečná reprezentace cílového uživatele. Informace o podporovaném formátu pro různé typy ID najdete v entitě Uživatel. Příklad: S-1-12 |
| TargetUserIdType | Podmíněné | Řetězec | Typ ID uloženého v poli TargetUserId . Seznam povolených hodnot a další informace najdete v části UserIdType v článku Přehled schématu. |
| TargetUserSessionId | Volitelné | Řetězec | Jedinečné ID přihlašovací relace cílového uživatele. Příklad: 999 Poznámka: Typ je definován jako řetězec pro podporu různých systémů, ale v systému Windows musí být tato hodnota číselná. Pokud používáte počítač s Windows nebo Linuxem a používáte jiný typ, nezapomeňte hodnoty převést. Pokud jste například použili šestnáctkovou hodnotu, převeďte ji na desetinnou hodnotu. |
| TargetUserType | Volitelné | UserType | Typ objektu Actor. Seznam povolených hodnot a další informace najdete v části UserType v článku Přehled schématu. Poznámka: Hodnota může být ve zdrojovém záznamu poskytována pomocí různých termínů, které by se měly normalizovat na tyto hodnoty. Uložte původní hodnotu do pole TargetOriginalUserType . |
| TargetOriginalUserType | Volitelné | Řetězec | Původní typ cílového uživatele, pokud ho poskytuje zařízení pro vytváření sestav. |
Pole cílového procesu
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| TargetProcessName | Povinný | řetězec | Název cílového procesu. Tento název se běžně odvozuje z image nebo spustitelného souboru, který slouží k definování počátečního kódu a dat namapovaných do virtuálního adresního prostoru procesu. Příklad: C:\Windows\explorer.exe |
| TargetProcessFileCompany | Volitelné | Řetězec | Název společnosti, která vytvořila soubor image cílového procesu. Příklad: Microsoft |
| TargetProcessFileDescription | Volitelné | Řetězec | Popis informací o verzi v souboru image cílového procesu. Příklad: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Volitelné | Řetězec | Název produktu z informací o verzi v souboru image cílového procesu. Příklad: Notepad++ |
| TargetProcessFileSize | Volitelné | Řetězec | Velikost souboru, který spustil proces zodpovědný za událost. |
| TargetProcessFileVersion | Volitelné | Řetězec | Verze produktu z informací o verzi v souboru image cílového procesu. Příklad: 7.9.5.0 |
| TargetProcessFileInternalName | Volitelné | Řetězec | Název interního souboru produktu z informací o verzi souboru obrázku cílového procesu. |
| TargetProcessFileOriginalName | Volitelné | Řetězec | Původní název souboru produktu z informací o verzi souboru obrázku cílového procesu. |
| TargetProcessIsHidden | Volitelné | Logické | Označení, jestli je cílový proces ve skrytém režimu. |
| TargetProcessInjectedAddress | Volitelné | Řetězec | Adresa paměti, ve které je uložený zodpovědný cílový proces. |
| TargetProcessMD5 | Volitelné | MD5 | Hodnota hash MD5 souboru obrázku cílového procesu. Příklad: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Volitelné | SHA1 | Hodnota hash SHA-1 souboru obrázku cílového procesu. Příklad: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Volitelné | SHA256 | Hodnota hash SHA-256 souboru image cílového procesu. Příklad: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Volitelné | SHA512 | Hodnota hash SHA-512 souboru obrázku cílového procesu. |
| TargetProcessIMPHASH | Volitelné | Řetězec | Hodnota hash importu všech knihoven DLL používaných cílovým procesem. |
| HashType | Doporučené | Řetězec | Typ hodnoty hash uložený v poli aliasu HASH, povolené hodnoty jsou MD5, SHA, SHA256SHA512 a IMPHASH. |
| TargetProcessCommandLine | Povinný | Řetězec | Příkazový řádek použitý ke spuštění cílového procesu. Příklad: "choco.exe" -v |
| TargetProcessCurrentDirectory | Volitelné | Řetězec | Aktuální adresář, ve kterém je cílový proces proveden. Příklad: c:\windows\system32 |
| TargetProcessCreationTime | Doporučené | DateTime | Verze produktu z informací o verzi souboru image cílového procesu. |
| TargetProcessId | Povinný | Řetězec | ID procesu (PID) cílového procesu. Příklad: 48610176Poznámka: Typ je definován jako řetězec pro podporu různých systémů, ale v systému Windows a Linux musí být tato hodnota číselná. Pokud používáte počítač s Windows nebo Linuxem a používáte jiný typ, nezapomeňte hodnoty převést. Pokud jste například použili šestnáctkovou hodnotu, převeďte ji na desetinnou hodnotu. |
| TargetProcessGuid | Volitelné | Řetězec | Vygenerovaný jedinečný identifikátor (GUID) cílového procesu. Umožňuje identifikovat proces napříč systémy. Příklad: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Volitelné | Řetězec | Každý proces má úroveň integrity, která je reprezentována v tokenu. Úrovně integrity určují úroveň ochrany nebo přístupu procesu. Systém Windows definuje následující úrovně integrity: nízké, střední, vysoké a systémové. Standardní uživatelé obdrží střední úroveň integrity a zvýšená úroveň integrity obdrží vysokou úroveň integrity. Další informace najdete v tématu Povinné řízení integrity – aplikace Win32. |
| TargetProcessTokenElevation | Volitelné | Řetězec | Typ tokenu označující přítomnost nebo absenci zvýšení oprávnění řízení přístupu uživatele (UAC) použitého u procesu, který byl vytvořen nebo ukončen. Příklad: None |
| TargetProcessStatusCode | Volitelné | Řetězec | Ukončovací kód vrácený cílovým procesem při ukončení. Toto pole je platné pouze pro události ukončení procesu. Pro konzistenci je typ pole řetězec, i když je hodnota poskytovaná operačním systémem číselná. |
Aktualizace schématu
Jedná se o změny ve verzi 0.1.1 schématu:
- Bylo přidáno pole
EventSchema.
Jedná se o změny ve verzi 0.1.2 schématu.
- Přidání polí
ActorUserType, ,ActorOriginalUserTypeTargetUserType,TargetOriginalUserTypeaHashType.
Jedná se o změny ve verzi 0.1.3 schématu.
- Změnili jsme pole
ParentProcessIdaTargetProcessCreationTimez povinného na doporučenou.
Jedná se o změny ve verzi 0.1.4 schématu.
- Byla přidána pole
ActorScope,DvcScopeIdaDvcScope.
Další kroky
Další informace naleznete zde: