Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Schéma normalizace událostí procesu se používá k popisu aktivity operačního systému spuštění a ukončení procesu. Tyto události hlásí operační systémy a systémy zabezpečení, jako jsou systémy EDR (End Point Detection and Response).
Proces, jak je definován nástrojem OSSEM, je objekt pro zahrnutí a správu, který představuje spuštěnou instanci programu. I když se procesy samy nespouštějí, spravují vlákna, která spouštějí a spouštějí kód.
Další informace o normalizaci v Microsoft Sentinel najdete v tématech Normalizace a Rozšířený model informací o zabezpečení (ASIM).
Analyzátory
Pokud chcete použít sjednocující analyzátory, které sjednotí všechny uvedené analyzátory a zajistí, že analyzujete všechny nakonfigurované zdroje, použijte v dotazech následující názvy tabulek:
- imProcessVytvořit pro dotazy, které vyžadují informace o vytvoření procesu. Tyto dotazy jsou nejběžnějším případem.
- imProcessTerminate pro dotazy, které vyžadují informace o ukončení procesu.
Seznam analyzátorů událostí procesu najdete v seznamu analyzátorů událostí procesu, Microsoft Sentinel jsou k mání, viz seznam analyzátorů ASIM.
Nasaďte analyzátory ověřování z úložiště Microsoft Sentinel GitHub.
Další informace najdete v tématu Přehled analyzátorů ASIM.
Přidání vlastních normalizovaných analyzátorů
Při implementaci vlastních analyzátorů událostí procesu pojmenujte funkce KQL pomocí následující syntaxe: imProcessCreate<vendor><Product> a imProcessTerminate<vendor><Product>. Nahraďte im za ASim pro verzi bez parametrů.
Přidejte funkci KQL do sjednocujících analyzátorů, jak je popsáno v tématu Správa analyzátorů ASIM.
Filtrování parametrů analyzátoru
Analyzátory im a vim* podporují parametry filtrování. I když jsou tyto analyzátory volitelné, můžou zvýšit výkon dotazů.
K dispozici jsou následující parametry filtrování:
| Name (Název) | Typ | Popis |
|---|---|---|
| Starttime | Datetime | Filtrování pouze událostí procesu, ke kterým došlo v tuto dobu nebo později. Tento parametr filtruje TimeGenerated pole, které je standardním designem pro čas události, bez ohledu na mapování polí EventStartTime a EventEndTime specifické pro analyzátor. |
| Endtime | Datetime | Filtrujte pouze dotazy na události zpracování, ke kterým došlo v nebo před touto dobou. Tento parametr filtruje TimeGenerated pole, které je standardním designem pro čas události, bez ohledu na mapování polí EventStartTime a EventEndTime specifické pro analyzátor. |
| commandline_has_any | Dynamické | Filtrovat pouze události procesu, pro které má spuštěný příkazový řádek některou z uvedených hodnot. Délka seznamu je omezená na 10 000 položek. |
| commandline_has_all | Dynamické | Filtrovat pouze události procesu, pro které má spuštěný příkazový řádek všechny uvedené hodnoty. Délka seznamu je omezená na 10 000 položek. |
| commandline_has_any_ip_prefix | Dynamické | Filtrovat pouze události procesu, pro které má spuštěný příkazový řádek všechny uvedené IP adresy nebo předpony IP adres. Předpony by měly končit .na , například: 10.0.. Délka seznamu je omezená na 10 000 položek. |
| actingprocess_has_any | Dynamické | Filtrovat pouze události procesu, pro které má název fungujícího procesu, který zahrnuje celou cestu k procesu, některou z uvedených hodnot. Délka seznamu je omezená na 10 000 položek. |
| targetprocess_has_any | Dynamické | Filtrovat pouze události procesu, pro které má název cílového procesu, který zahrnuje celou cestu procesu, některou z uvedených hodnot. Délka seznamu je omezená na 10 000 položek. |
| parentprocess_has_any | Dynamické | Filtrovat pouze události procesu, pro které má název cílového procesu, který zahrnuje celou cestu procesu, některou z uvedených hodnot. Délka seznamu je omezená na 10 000 položek. |
| targetusername_has nebo actorusername_has | řetězec | Filtrovat pouze události procesu, pro které má cílové uživatelské jméno (pro události vytvoření procesu) nebo uživatelské jméno objektu actor (pro události ukončení procesu) některou z uvedených hodnot. Délka seznamu je omezená na 10 000 položek. |
| dvcipaddr_has_any_prefix | Dynamické | Filtrovat pouze události zpracování, pro které IP adresa zařízení odpovídá kterékoli z uvedených IP adres nebo předpon IP adres. Předpony by měly končit .na , například: 10.0.. Délka seznamu je omezená na 10 000 položek. |
| dvchostname_has_any | Dynamické | Filtrovat pouze události procesu, pro které je k dispozici název hostitele zařízení nebo plně kvalifikovaný název domény zařízení, mají některou z uvedených hodnot. Délka seznamu je omezená na 10 000 položek. |
| Eventtype | řetězec | Filtrovat pouze události zpracování zadaného typu. |
Pokud například chcete filtrovat pouze události ověřování z posledního dne pro konkrétního uživatele, použijte:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Tip
Chcete-li předat seznam literálů parametrům, které očekávají dynamickou hodnotu, explicitně použijte dynamický literál. Příklad: dynamic(['192.168.','10.']).
Normalizovaný obsah
Úplný seznam analytických pravidel, která používají normalizované události procesu, najdete v tématu Obsah zabezpečení událostí zpracování.
Podrobnosti schématu
Informační model událostí procesu je zarovnaný se schématem entity procesu OSSEM.
Běžná pole ASIM
Důležité
Pole společná pro všechna schémata jsou podrobně popsána v článku o společných polích ASIM .
Společná pole se specifickými pokyny
V následujícím seznamu jsou uvedena pole, která obsahují konkrétní pokyny pro události aktivit procesů:
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| Eventtype | Povinné | Výčtové | Popisuje operaci hlášenou záznamem. Podporované hodnoty pro záznamy procesu zahrnují: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Povinné | SchemaVersion (řetězec) | Verze schématu. Verze zde popsaného schématu je 0.1.4 |
| EventSchema | Povinné | String | Název zde popsaného schématu je ProcessEvent. |
| Pole Dvc | V případě událostí aktivity procesu pole zařízení odkazují na systém, ve kterém byl proces proveden. |
Důležité
Pole EventSchema je v současné době volitelné, ale od 1. září 2022 se stane povinným.
Všechna společná pole
Pole, která se zobrazují v následující tabulce, jsou společná pro všechna schémata ASIM. Všechny výše uvedené pokyny přepisují obecné pokyny pro dané pole. Pole může být například volitelné obecně, ale povinné pro konkrétní schéma. Další podrobnosti o jednotlivých polích najdete v článku o společných polích ASIM .
| Třída | Pole |
|---|---|
| Povinné |
-
Počet událostí - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Doporučené |
-
EventResultDetails - EventSeverity - Id události - DvcIpAddr - Název hostitele Dvc - Doména dvc - DvcDomainType - DvcFQDN - DvcId - DvcIdType - Akce DvcAction |
| Nepovinný |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Vlastník událostí - DvcZone - DvcMacAddr - DvcO - DvcOsVersion - DvcOriginalAction - DvcInterface - Další pole - Popis dvcDescription - DvcScopeId - DvcScope |
Pole specifická pro událost procesu
Pole uvedená v následující tabulce jsou specifická pro události zpracování, ale podobají se polím v jiných schématech a řídí se podobnými konvencemi vytváření názvů.
Schéma událostí procesu odkazuje na následující entity, které jsou ústřední pro vytváření a ukončování procesů:
- Actor – uživatel, který inicioval vytvoření nebo ukončení procesu.
- ActingProcess – proces používaný objektem Actor k zahájení vytvoření nebo ukončení procesu.
- TargetProcess – nový proces.
- TargetUser – uživatel, jehož přihlašovací údaje se použijí k vytvoření nového procesu.
- ParentProcess – proces, který inicioval proces objektu actor.
Aliasy
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| Uživatel | Alias | Alias pro TargetUsername. Například: CONTOSO\dadmin |
|
| Proces | Alias | Alias pro TargetProcessName Například: C:\Windows\System32\rundll32.exe |
|
| Commandline | Alias | Alias na TargetProcessCommandLine | |
| Hash | Alias | Alias pro nejlepší dostupnou hodnotu hash pro cílový proces. |
Pole objektu Actor
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| ActorUserId | Doporučené | String | Strojově čitelná alfanumerická a jedinečná reprezentace objektu Actor. Informace o podporovaném formátu pro různé typy ID najdete v entitě Uživatel. Například: S-1-12 |
| ActorUserIdType | Podmíněné | Výčtové | Typ ID uloženého v poli ActorUserId . Seznam povolených hodnot a další informace najdete v tématu UserIdType v článku Přehled schématu. |
| ActorScope | Nepovinný | String | Obor, například Microsoft Entra tenant, ve kterém jsou definovány ActorUserId a ActorUsername. další informace a seznam povolených hodnot najdete v tématu UserScope v článku Přehled schématu. |
| ActorScopeId | Nepovinný | String | ID oboru, například Microsoft Entra ID adresáře, ve kterém jsou definovány ActorUserId a ActorUsername. další informace a seznam povolených hodnot najdete v tématu UserScopeId v článku Přehled schématu. |
| ActorUsername | Povinné | Uživatelské jméno (řetězec) | Uživatelské jméno objektu Actor, včetně informací o doméně, pokud jsou k dispozici. Informace o podporovaném formátu pro různé typy ID najdete v entitě Uživatel. Jednoduchý formulář použijte jenom v případě, že informace o doméně nejsou k dispozici. Typ uživatelského jména uložte do pole ActorUsernameType . Pokud jsou k dispozici jiné formáty uživatelského jména, uložte je do polí ActorUsername<UsernameType>.Například: AlbertE |
| ActorUsernameType | Podmíněné | Výčtové | Určuje typ uživatelského jména uloženého v poli ActorUsername . Seznam povolených hodnot a další informace najdete v tématu UsernameType v článku Přehled schématu. Například: Windows |
| ActorSessionId | Nepovinný | String | Jedinečné ID relace přihlášení objektu Actor. Například: 999Poznámka: Typ je definován jako řetězec pro podporu různých systémů, ale ve Windows musí být tato hodnota číselná. Pokud používáte počítač s Windows a používáte jiný typ, nezapomeňte hodnoty převést. Pokud jste například použili šestnáctkovou hodnotu, převeďte ji na desetinnou hodnotu. |
| ActorUserType | Nepovinný | Typ uživatele | Typ objektu Actor. Seznam povolených hodnot a další informace najdete v tématu UserType v článku Přehled schématu. Poznámka: Hodnota může být ve zdrojovém záznamu zadaná pomocí různých termínů, které by měly být normalizovány na tyto hodnoty. Uložte původní hodnotu do pole ActorOriginalUserType . |
| ActorOriginalUserType | Nepovinný | String | Původní typ cílového uživatele, pokud je poskytován zařízením pro vytváření sestav. |
Pole procesu jednání
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| ActingProcessCommandLine | Nepovinný | String | Příkazový řádek použitý ke spuštění hereckého procesu. Například: "choco.exe" -v |
| ActingProcessName | Nepovinný | řetězec | Název hereckého procesu. Tento název se obvykle odvozuje z obrázku nebo spustitelného souboru, který se používá k definování počátečního kódu a dat namapovaných na virtuální adresní prostor procesu. Například: C:\Windows\explorer.exe |
| ActingProcessFilename | Nepovinný | String | Část názvu souboru , bez ActingProcessNameinformací o složce. Například: explorer.exe |
| ActingProcessFileCompany | Nepovinný | String | Společnost, která vytvořila soubor image hereckého procesu. Například: Microsoft |
| ActingProcessFileDescription | Nepovinný | String | Popis vložený do informací o verzi souboru image hereckého procesu. Například: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Nepovinný | String | Název produktu z informací o verzi v souboru image hereckého procesu. Například: Notepad++ |
| ActingProcessFileVersion | Nepovinný | String | Verze produktu z informací o verzi souboru image hereckého procesu. Například: 7.9.5.0 |
| ActingProcessFileInternalName | Nepovinný | String | Název interního souboru produktu z informací o verzi souboru image fungujícího procesu. |
| ActingProcessFileOriginalName | Nepovinný | String | Název původního souboru produktu z informací o verzi souboru image hereckého procesu. Například: Notepad++.exe |
| ActingProcessIsHidden | Nepovinný | Boolean | Údaj o tom, zda je herecký proces ve skrytém režimu. |
| ActingProcessInjectedAddress | Nepovinný | String | Adresa paměti, ve které je uložený zodpovědný proces jednání. |
| ActingProcessId | Povinné | String | ID procesu (PID) fungujícího procesu. Například: 48610176 Poznámka: Typ je definován jako řetězec pro podporu různých systémů, ale ve Windows a Linux musí být tato hodnota číselná. Pokud používáte počítač s Windows nebo Linux a používáte jiný typ, nezapomeňte hodnoty převést. Pokud jste například použili šestnáctkovou hodnotu, převeďte ji na desetinnou hodnotu. |
| ActingProcessGuid | Nepovinný | GUID (řetězec) | Vygenerovaný jedinečný identifikátor (GUID) působícího procesu. Umožňuje identifikovat proces napříč systémy. Například: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Nepovinný | String | Každý proces má úroveň integrity, která je reprezentována v jeho tokenu. Úrovně integrity určují úroveň ochrany nebo přístupu procesu. Systém Windows definuje následující úrovně integrity: nízká, střední, vysoká a systémová. Standardní uživatelé získají střední úroveň integrity a uživatelé se zvýšenými oprávněními obdrží vysokou úroveň integrity. Další informace najdete v tématu Povinné řízení integrity – aplikace Win32. |
| ActingProcessMD5 | Nepovinný | String | Hodnota hash MD5 souboru obrázku hereckého procesu. Například: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Nepovinný | SHA1 | Hodnota hash SHA-1 souboru image hereckého procesu. Například: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Nepovinný | SHA256 | Sha-256 hash souboru image hereckého procesu. Příklad: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Nepovinný | SHA512 | Sha-512 hash souboru obrázku hereckého procesu. |
| ActingProcessIMPHASH | Nepovinný | String | Hodnota hash importu všech knihoven DLL knihovny, které používá herecký proces. |
| ActingProcessCreationTime | Nepovinný | Datetime | Datum a čas zahájení procesu jednání. |
| ActingProcessTokenElevation | Nepovinný | String | Token označující přítomnost nebo nepřítomnost zvýšení oprávnění user Access Control (UAC) použitého na proces jednání. Například: None |
| ActingProcessFileSize | Nepovinný | Dlouhé | Velikost souboru, který spustil herecký proces. |
Pole nadřazeného procesu
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| ParentProcessName | Nepovinný | řetězec | Název nadřazeného procesu. Tento název se obvykle odvozuje z obrázku nebo spustitelného souboru, který se používá k definování počátečního kódu a dat namapovaných na virtuální adresní prostor procesu. Například: C:\Windows\explorer.exe |
| ParentProcessFileCompany | Nepovinný | String | Název společnosti, která vytvořila soubor image nadřazeného procesu. Například: Microsoft |
| ParentProcessFileDescription | Nepovinný | String | Popis z informací o verzi v souboru bitové kopie nadřazeného procesu. Například: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Nepovinný | String | Název produktu z informací o verzi v nadřazené imagi procesu. Například: Notepad++ |
| ParentProcessFileVersion | Nepovinný | String | Verze produktu z informací o verzi v souboru bitové kopie nadřazeného procesu. Například: 7.9.5.0 |
| ParentProcessIsHidden | Nepovinný | Boolean | Údaj o tom, jestli je nadřazený proces ve skrytém režimu. |
| ParentProcessInjectedAddress | Nepovinný | String | Adresa paměti, ve které je uložený zodpovědný nadřazený proces. |
| ParentProcessId | Doporučené | String | ID procesu (PID) nadřazeného procesu. Například: 48610176 |
| ParentProcessGuid | Nepovinný | String | Vygenerovaný jedinečný identifikátor (GUID) nadřazeného procesu. Umožňuje identifikovat proces napříč systémy. Například: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Nepovinný | String | Každý proces má úroveň integrity, která je reprezentována v jeho tokenu. Úrovně integrity určují úroveň ochrany nebo přístupu procesu. Systém Windows definuje následující úrovně integrity: nízká, střední, vysoká a systémová. Standardní uživatelé získají střední úroveň integrity a uživatelé se zvýšenými oprávněními obdrží vysokou úroveň integrity. Další informace najdete v tématu Povinné řízení integrity – aplikace Win32. |
| ParentProcessMD5 | Nepovinný | MD5 | Hodnota hash MD5 nadřazeného souboru bitové kopie procesu Například: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Nepovinný | SHA1 | Hodnota hash SHA-1 nadřazeného souboru image procesu Například: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Nepovinný | SHA256 | Hodnota hash SHA-256 souboru image nadřazeného procesu. Příklad: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Nepovinný | SHA512 | Hodnota hash SHA-512 nadřazeného souboru image procesu |
| ParentProcessIMPHASH | Nepovinný | String | Hodnota hash importu všech knihoven DLL knihovny, které jsou používány nadřazeným procesem. |
| ParentProcessTokenElevation | Nepovinný | String | Token označující přítomnost nebo absenci zvýšení oprávnění user Access Control (UAC) použitého u nadřazeného procesu. Například: None |
| ParentProcessCreationTime | Nepovinný | Datetime | Datum a čas, kdy byl nadřazený proces zahájen. |
Pole cílového uživatele
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| TargetUsername | Povinné pro události vytváření procesů. | Uživatelské jméno (řetězec) | Cílové uživatelské jméno, včetně informací o doméně, pokud jsou k dispozici. Informace o podporovaném formátu pro různé typy ID najdete v entitě Uživatel. Jednoduchý formulář použijte jenom v případě, že informace o doméně nejsou k dispozici. Typ uživatelského jména uložte do pole TargetUsernameType . Pokud jsou k dispozici jiné formáty uživatelského jména, uložte je do polí TargetUsername<UsernameType>.Například: AlbertE |
| TargetUsernameType | Podmíněné | Výčtové | Určuje typ uživatelského jména uloženého v poli TargetUsername . Seznam povolených hodnot a další informace najdete v tématu UsernameType v článku Přehled schématu. Například: Windows |
| Id cílového uživatele | Doporučené | String | Strojově čitelná alfanumerická jedinečná reprezentace cílového uživatele. Informace o podporovaném formátu pro různé typy ID najdete v entitě Uživatel. Například: S-1-12 |
| TargetUserIdType | Podmíněné | UserIdType | Typ ID uloženého v poli TargetUserId Seznam povolených hodnot a další informace najdete v tématu UserIdType v článku Přehled schématu. |
| TargetUserSessionId | Nepovinný | String | Jedinečné ID relace přihlášení cílového uživatele. Například: 999 Poznámka: Typ je definován jako řetězec pro podporu různých systémů, ale ve Windows musí být tato hodnota číselná. Pokud používáte počítač s Windows nebo Linux a používáte jiný typ, nezapomeňte hodnoty převést. Pokud jste například použili šestnáctkovou hodnotu, převeďte ji na desetinnou hodnotu. |
| TargetUserSessionGuid | Nepovinný | String | Jedinečný identifikátor GUID relace přihlášení cílového uživatele, jak hlásí zařízení pro vytváření sestav. Například: {12345678-1234-1234-1234-123456789012} |
| TargetUserType | Nepovinný | Typ uživatele | Typ objektu Actor. Seznam povolených hodnot a další informace najdete v tématu UserType v článku Přehled schématu. Poznámka: Hodnota může být ve zdrojovém záznamu zadaná pomocí různých termínů, které by měly být normalizovány na tyto hodnoty. Uložte původní hodnotu do pole TargetOriginalUserType . |
| TargetOriginalUserType | Nepovinný | String | Původní typ cílového uživatele, pokud je poskytován zařízením pro vytváření sestav. |
| TargetUserScope | Nepovinný | String | Obor, například Microsoft Entra tenant, ve kterém jsou definovány TargetUserId a TargetUsername. další informace a seznam povolených hodnot najdete v tématu UserScope v článku Přehled schématu. |
| TargetUserScopeId | Nepovinný | String | ID oboru, například Microsoft Entra ID adresáře, ve kterém jsou definovány TargetUserId a TargetUsername. Další informace a seznam povolených hodnot najdete v tématu UserScopeId v článku Přehled schématu. |
Pole cílového procesu
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| TargetProcessName | Povinné | řetězec | Název cílového procesu. Tento název se obvykle odvozuje z obrázku nebo spustitelného souboru, který se používá k definování počátečního kódu a dat namapovaných na virtuální adresní prostor procesu. Například: C:\Windows\explorer.exe |
| TargetProcessFilename | Nepovinný | String | Část názvu souboru , bez TargetProcessNameinformací o složce. Například: explorer.exe |
| TargetProcessFileCompany | Nepovinný | String | Název společnosti, která vytvořila soubor image cílového procesu. Například: Microsoft |
| TargetProcessFileDescription | Nepovinný | String | Popis z informací o verzi v souboru obrázku cílového procesu. Například: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Nepovinný | String | Název produktu z informací o verzi v souboru image cílového procesu. Například: Notepad++ |
| TargetProcessFileSize | Nepovinný | Dlouhé | Velikost souboru, který spustil proces zodpovědný za událost. |
| TargetProcessFileVersion | Nepovinný | String | Verze produktu z informací o verzi v souboru obrázku cílového procesu. Například: 7.9.5.0 |
| TargetProcessFileInternalName | Nepovinný | String | Název interního souboru produktu z informací o verzi souboru obrázku cílového procesu. |
| TargetProcessFileOriginalName | Nepovinný | String | Původní název souboru produktu z informací o verzi souboru obrázku cílového procesu. |
| TargetProcessIsHidden | Nepovinný | Boolean | Údaj o tom, jestli je cílový proces ve skrytém režimu. |
| TargetProcessInjectedAddress | Nepovinný | String | Adresa paměti, ve které je uložený zodpovědný cílový proces. |
| TargetProcessMD5 | Nepovinný | MD5 | Hodnota hash MD5 cílového souboru obrázku procesu. Například: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Nepovinný | SHA1 | Hodnota hash SHA-1 cílového souboru obrázku procesu Například: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Nepovinný | SHA256 | Hodnota hash SHA-256 souboru obrázku cílového procesu. Příklad: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Nepovinný | SHA512 | Hodnota hash SHA-512 souboru obrázku cílového procesu |
| TargetProcessIMPHASH | Nepovinný | String | Hodnota hash importu všech knihoven DLL, které jsou používány cílovým procesem. |
| HashType | Podmíněné | Výčtové | Typ hodnoty hash uložený v poli alias hash, povolené hodnoty jsou MD5, SHA, SHA256SHA512 a IMPHASH. |
| TargetProcessCommandLine | Povinné | String | Příkazový řádek použitý ke spuštění cílového procesu. Například: "choco.exe" -v |
| TargetProcessCurrentDirectory | Nepovinný | String | Aktuální adresář, ve kterém je spuštěn cílový proces. Například: c:\windows\system32 |
| TargetProcessCreationTime | Doporučené | Datetime | Verze produktu z informací o verzi cílového souboru bitové kopie procesu. |
| TargetProcessId | Povinné | String | ID procesu (PID) cílového procesu. Například: 48610176Poznámka: Typ je definován jako řetězec pro podporu různých systémů, ale ve Windows a Linux musí být tato hodnota číselná. Pokud používáte počítač s Windows nebo Linux a používáte jiný typ, nezapomeňte hodnoty převést. Pokud jste například použili šestnáctkovou hodnotu, převeďte ji na desetinnou hodnotu. |
| TargetProcessGuid | Nepovinný | GUID (řetězec) | Vygenerovaný jedinečný identifikátor (GUID) cílového procesu. Umožňuje identifikovat proces napříč systémy. Například: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Nepovinný | String | Každý proces má úroveň integrity, která je reprezentována v jeho tokenu. Úrovně integrity určují úroveň ochrany nebo přístupu procesu. Systém Windows definuje následující úrovně integrity: nízká, střední, vysoká a systémová. Standardní uživatelé získají střední úroveň integrity a uživatelé se zvýšenými oprávněními obdrží vysokou úroveň integrity. Další informace najdete v tématu Povinné řízení integrity – aplikace Win32. |
| TargetProcessTokenElevation | Nepovinný | String | Typ tokenu označující přítomnost nebo absenci zvýšení oprávnění user Access Control (UAC) použitého u vytvořeného nebo ukončeného procesu Například: None |
| TargetProcessStatusCode | Nepovinný | String | Ukončovací kód vrácený cílovým procesem po ukončení. Toto pole je platné pouze pro události ukončení procesu. Z důvodu konzistence je typ pole řetězec, i když je hodnota zadaná operačním systémem číselná. |
Pole kontroly
Následující pole se používají k reprezentaci kontroly provedené bezpečnostním systémem, jako je systém EDR.
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| Název pravidla | Nepovinný | String | Název nebo ID pravidla přidruženého k výsledkům kontroly. |
| Číslo pravidla | Nepovinný | Celé číslo | Číslo pravidla přidruženého k výsledkům kontroly. |
| Pravidlo | Podmíněné | String | Buď hodnotu kRuleName , nebo hodnotu RuleNumber. Pokud je použita hodnota RuleNumber , typ by měl být převeden na řetězec. |
| ThreatId | Nepovinný | String | ID hrozby nebo malwaru identifikovaného v aktivitě souboru |
| ThreatName | Nepovinný | String | Název hrozby nebo malwaru identifikovaného v aktivitě souboru. Například: EICAR Test File |
| ThreatCategory | Nepovinný | String | Kategorie hrozby nebo malwaru identifikované v aktivitě souboru. Například: Trojan |
| ThreatRiskLevel | Nepovinný | RiskLevel (integer) | Úroveň rizika související s identifikovanou hrozbou. Úroveň by měla být číslo mezi 0 a 100. Poznámka: Hodnota může být ve zdrojovém záznamu poskytována pomocí jiného měřítka, které by mělo být normalizováno na toto měřítko. Původní hodnota by měla být uložena v ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Nepovinný | String | Úroveň rizika hlášená zařízením pro hlášení. |
| ThreatField | Nepovinný | String | Pole, pro které byla zjištěna hrozba. |
| ThreatField | Nepovinný | String | Pole, pro které byla zjištěna hrozba. |
| ThreatConfidence | Nepovinný | ConfidenceLevel (integer) | Úroveň spolehlivosti identifikované hrozby normalizovaná na hodnotu mezi 0 a 100. |
| ThreatOriginalConfidence | Nepovinný | String | Původní úroveň spolehlivosti zjištěné hrozby hlášená zařízením pro hlášení. |
| ThreatIsActive | Nepovinný | Boolean | Hodnota True, pokud je identifikovaná hrozba považována za aktivní hrozbu. |
| ThreatFirstReportedTime | Nepovinný | Datetime | První identifikace IP adresy nebo domény jako hrozby. |
| ThreatLastReportedTime | Nepovinný | Datetime | Čas, kdy byla IP adresa nebo doména naposledy identifikovány jako hrozba. |
Aktualizace schématu
Toto jsou změny ve verzi 0.1.1 schématu:
- Bylo přidáno pole
EventSchema.
Jedná se o změny ve verzi 0.1.2 schématu.
- Přidání polí
ActorUserType,ActorOriginalUserType,TargetUserType,TargetOriginalUserTypeaHashType.
Toto jsou změny schématu ve verzi 0.1.3.
- Změnila se pole
ParentProcessIdaTargetProcessCreationTimez povinných na doporučenou.
Jedná se o změny ve verzi 0.1.4 schématu.
- Přidání polí
ActorScope,DvcScopeIdaDvcScope.
Další kroky
Další informace najdete tady: