Teilen über


Referenz zum Schema für die Prozessereignisnormalisierung des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM) (öffentliche Vorschau)

Das Prozessereignis-Normalisierungsschema wird verwendet, um die Betriebssystemaktivität zum Ausführen und Beenden eines Prozesses zu beschreiben. Solche Ereignisse werden von Betriebssystemen und Sicherheitssystemen wie EDR (End Point Detection and Response) gemeldet.

Ein Prozess, wie von OSSEM definiert, ist ein Eigenständigkeits- und Verwaltungsobjekt, das eine aktuell ausgeführte Instanz eines Programms darstellt. Prozesse selbst werden zwar nicht ausgeführt, verwalten aber Threads, die Code ausführen.

Weitere Informationen zur Normalisierung in Microsoft Sentinel finden Sie unter Normalisierung und erweitertes Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM).

Wichtig

Das Prozessereignis-Normalisierungsschema befindet sich derzeit in der VORSCHAU. Dieses Feature wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen.

In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Parser

Um die vereinheitlichenden Parser zu verwenden, die alle aufgelisteten Parser vereinheitlichen und sicherstellen, dass Sie alle konfigurierten Quellen analysieren, verwenden Sie die folgenden Tabellennamen in Ihren Abfragen:

  • imProcessCreate für Abfragen, die Informationen zur Prozesserstellung erfordern. Diese Abfragen sind am häufigsten.
  • imProcessTerminate für Abfragen, die Informationen zur Prozessbeendigung erfordern.

Die Liste der Prozessereignisparser, die Microsoft Sentinel einsatzbereit zur Verfügung stellt, finden Sie in der ASIM-Parserliste

Stellen Sie die Authentifizierungsparser aus dem Microsoft Sentinel-GitHub-Repository bereit.

Weitere Informationen finden Sie im Artikel Die Parser des erweiterten SIEM-Informationsmodells (Advanced SIEM Information Model, ASIM) – öffentliche Vorschau.

Hinzufügen eigener normalisierter Parser

Wenn Sie benutzerdefinierte Prozessereignis-Parser implementieren, benennen Sie Ihre KQL-Funktionen mit der folgenden Syntax: imProcessCreate<vendor><Product> und imProcessTerminate<vendor><Product>. Ersetzen Sie im durch ASim für die Version ohne Parameter.

Fügen Sie Ihre KQL Funktion zu den vereinheitlichenden Parsern hinzu, wie unter Verwalten von ASIM-Parsern beschrieben.

Filtern von Parser-Parametern

Die Parser im und vim* unterstützen Filterparameter. Indem diese Parser optional sind, können sie die Leistung Ihrer Abfrage verbessern.

Die folgenden Filterparameter sind verfügbar:

Name Typ Beschreibung
StartTime datetime Nur Prozessereignisse filtern, die zu oder nach diesem Zeitpunkt aufgetreten sind.
EndTime datetime Nur Prozessereignisabfragen filtern, die zu oder nach diesem Zeitpunkt aufgetreten sind.
commandline_has_any dynamisch Nur Prozessereignisse filtern, bei denen die ausgeführte Befehlszeile einen der aufgelisteten Werte aufweist. Die Länge der Liste ist auf 10.000 Elemente beschränkt.
commandline_has_all dynamisch Nur Prozessereignisse filtern, bei denen die ausgeführte Befehlszeile alle der aufgelisteten Werte aufweist. Die Länge der Liste ist auf 10.000 Elemente beschränkt.
commandline_has_any_ip_prefix dynamisch Nur Prozessereignisse filtern, bei denen die ausgeführte Befehlszeile alle aufgelisteten IP-Adressen oder IP-Adresspräfixe aufweist. Präfixe müssen mit einem Punkt (.) enden. Beispiel: 10.0. Die Länge der Liste ist auf 10.000 Elemente beschränkt.
actingprocess_has_any dynamisch Nur Prozessereignisse filtern, bei denen der Name des handelnden Prozesses, der den gesamten Prozesspfad enthält, einen der aufgeführten Werte aufweist. Die Länge der Liste ist auf 10.000 Elemente beschränkt.
targetprocess_has_any dynamisch Nur Prozessereignisse filtern, bei denen der Name des Zielprozesses, der den gesamten Prozesspfad enthält, einen der aufgeführten Werte aufweist. Die Länge der Liste ist auf 10.000 Elemente beschränkt.
parentprocess_has_any dynamisch Nur Prozessereignisse filtern, bei denen der Name des Zielprozesses, der den gesamten Prozesspfad enthält, einen der aufgeführten Werte aufweist. Die Länge der Liste ist auf 10.000 Elemente beschränkt.
targetusername_has oder actorusername_has Zeichenfolge Nur Prozessereignisse, bei denen der Zielbenutzername (bei Ereignissen zum Erstellen von Prozessen) oder der Akteurbenutzername (bei Ereignissen zum Beenden von Prozessen) einen der aufgeführten Werte aufweist. Die Länge der Liste ist auf 10.000 Elemente beschränkt.
dvcipaddr_has_any_prefix dynamisch Nur Prozessereignisse filtern, bei denen die IP-Adresse des Geräts mit einer der aufgeführten IP-Adressen oder IP-Adresspräfixe übereinstimmt. Präfixe müssen mit einem Punkt (.) enden. Beispiel: 10.0. Die Länge der Liste ist auf 10.000 Elemente beschränkt.
dvchostname_has_any dynamisch Filtern Sie nur Prozessereignisse, bei denen der Hostname des Geräts oder der FQDN des Geräts einen der aufgelisteten Werte aufweist. Die Länge der Liste ist auf 10.000 Elemente beschränkt.
EventType Zeichenfolge Nur DNS-Abfragen des angegebenen Typs filtern.

Verwenden Sie beispielsweise Folgendes, um nur Authentifizierungsereignisse vom letzten Tag für einen bestimmten Benutzer zu filtern:

imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())

Tipp

Um eine Literalliste an Parameter zu übergeben, die einen dynamischen Wert erwarten, verwenden Sie explizit ein dynamisches Literal. Beispiel: dynamic(['192.168.','10.']).

Normalisierter Inhalt

Eine vollständige Liste der Analyseregeln, die normalisierte Prozessereignisse verwenden, finden Sie unter Sicherheitsinhalt von Prozessereignissen.

Schemadetails

Das Prozessereignis-Informationsmodell ist auf das OSSEM-Prozessentitätsschema ausgerichtet.

Allgemeine ASIM-Felder

Wichtig

Felder, die allen Schemas gemeinsam sind, werden im Artikel Allgemeine ASIM-Felder ausführlich beschrieben.

Allgemeine Felder mit bestimmten Richtlinien

In der folgenden Liste werden Felder erwähnt, die bestimmte Richtlinien für Prozessaktivitätsereignisse enthalten:

Feld Klasse type BESCHREIBUNG
EventType Obligatorisch. Enumerated Beschreibt den vom Datensatz gemeldeten Vorgang.

Für Prozessdatensätze werden folgende Werte unterstützt:
- ProcessCreated
- ProcessTerminated
EventSchemaVersion Obligatorisch. String Die Version des Schemas. Die hier dokumentierte Version des Schemas ist 0.1.4.
EventSchema Optional String Der Name des hier dokumentierten Schemas lautet ProcessEvent.
Dvc-Felder Bei Prozessaktivitätsereignissen beziehen sich Gerätefelder auf das System, auf dem der Prozess ausgeführt wurde.

Wichtig

Das Feld EventSchema ist derzeit optional, wird aber am 1. September 2022 obligatorisch.

Alle allgemeinen Felder

Felder, die in der folgenden Tabelle angezeigt werden, sind für alle ASIM-Schemas gleich. Jede oben angegebene Richtlinie setzt die allgemeinen Richtlinien für das Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel Allgemeine ASIM-Felder.

Klasse Fields
Obligatorisch. - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Empfohlen - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Optional - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

Prozessereignisspezifische Felder

Die in der folgenden Tabelle aufgeführten Felder sind spezifisch für Prozessereignisse. Sie ähneln jedoch Feldern in anderen Schemas und folgen ähnlichen Benennungskonventionen.

Das Prozessereignisschema verweist auf die folgenden Entitäten, die für die Verarbeitung der Erstellungs- und Beendigungsaktivität von zentraler Bedeutung sind:

  • Actor – Der Benutzer, der die Prozesserstellung oder -beendigung initiiert hat.
  • ActingProcess – Der vom Akteur verwendete Prozess, der die Prozesserstellung oder -beendigung initiiert hat.
  • TargetProcess – Der neue Prozess.
  • TargetUser – Der Benutzer, dessen Anmeldeinformationen zum Erstellen des neuen Prozesses verwendet werden.
  • ParentProcess – Der Prozess, der den Actor-Prozess initiiert hat.

Aliase

Feld Klasse type BESCHREIBUNG
Benutzer Alias Alias für TargetUsername.

Beispiel: CONTOSO\dadmin
Process Alias Alias für TargetProcessName

Beispiel: C:\Windows\System32\rundll32.exe
CommandLine Alias Alias für TargetProcessCommandLine
Hash Alias Alias für den besten verfügbaren Hash für den Zielprozess.

Akteurfelder

Feld Klasse type BESCHREIBUNG
ActorUserId Empfohlen String Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Akteurs. Das unterstützte Format für verschiedene ID-Typen finden Sie unter Die Benutzerentität.

Beispiel: S-1-12
ActorUserIdType Bedingt String Der Typ der ID, die im Feld ActorUserId gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserIdType im Artikel „Schemaübersicht“.
ActorScope Optional String Der Bereich, z. B. der Microsoft Entra-Mandant, in dem ActorUserId und ActorUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht.
ActorUsername Obligatorisch. String Der Benutzername des Akteurs ggf. mit Informationen zur Domäne. Das unterstützte Format für verschiedene ID-Typen finden Sie unter Die Benutzerentität. Verwenden Sie dieses einfache Format nur, wenn keine Domäneninformationen verfügbar sind.

Speichern Sie den Benutzernamentyp im Feld ActorUsernameType. Wenn andere Benutzernamenformate verfügbar sind, speichern Sie sie in den Feldern ActorUsername<UsernameType>.

Beispiel: AlbertE
ActorUsernameType Bedingt Enumerated Gibt den Typ des Benutzernamens an, der im Feld ActorUsername gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UsernameType im Artikel „Schemaübersicht“.

Beispiel: Windows
ActorSessionId Optional String Die eindeutige ID der Anmeldesitzung des Akteurs.

Beispiel: 999

Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows muss dieser Wert numerisch sein.

Wenn Sie einen Windows-Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie diesen in einen Dezimalwert.
ActorUserType Optional UserType Der Typ des Akteurs. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserType im Artikel „Schemaübersicht“.

Hinweis: Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld ActorOriginalUserType.
ActorOriginalUserType Optional String Der ursprüngliche Zielbenutzertyp, sofern vom meldenden Gerät bereitgestellt.

Felder des agierenden Prozesses

Feld Klasse type BESCHREIBUNG
ActingProcessCommandLine Optional String Die Befehlszeile zum Ausführen des Programms.

Beispiel: "choco.exe" -v
ActingProcessName Optional Zeichenfolge Der Name des agierenden Prozesses. Dieser Name wird häufig vom Image oder von der ausführbaren Datei abgeleitet, die zum Definieren des ursprünglichen Codes und der Daten verwendet wird, die dem virtuellen Adressraum des Prozesses zugeordnet sind.

Beispiel: C:\Windows\explorer.exe
ActingProcessFileCompany Optional String Das Unternehmen, das die Imagedatei des agierenden Prozesses erstellt hat.

Beispiel: Microsoft
ActingProcessFileDescription Optional String Die Beschreibung, die in die Versionsinformationen der Imagedatei des agierenden Prozesses eingebettet ist.

Beispiel: Notepad++ : a free (GPL) source code editor
ActingProcessFileProduct Optional String Der Produktname aus den Versionsinformationen in der Imagedatei des agierenden Prozesses.

Beispiel: Notepad++
ActingProcessFileVersion Optional String Die Produktversion aus den Versionsinformationen der Imagedatei des agierenden Prozesses.

Beispiel: 7.9.5.0
ActingProcessFileInternalName Optional String Der produktinterne Dateiname aus den Versionsinformationen in der Imagedatei des agierenden Prozesses.
ActingProcessFileOriginalName Optional String Der ursprüngliche Produkdateiname aus den Versionsinformationen der Imagedatei des agierenden Prozesses.

Beispiel: Notepad++.exe
ActingProcessIsHidden Optional Boolean Ein Hinweis darauf, ob sich der agierende Prozess im ausgeblendeten Modus befindet.
ActingProcessInjectedAddress Optional String Die Speicheradresse, an der der verantwortliche agierende Prozess gespeichert ist.
ActingProcessId Obligatorisch. String Die Prozess-ID (PID) des handelnden Prozesses.

Beispiel: 48610176

Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows und Linux muss dieser Wert numerisch sein.

Wenn Sie einen Windows- oder Linux-Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie diesen in einen Dezimalwert.
ActingProcessGuid Optional Zeichenfolge Ein generierter eindeutiger Bezeichner (GUID) des agierenden Prozesses. Ermöglicht die systemübergreifende Identifizierung des Prozesses.

Beispiel: EF3BD0BD-2B74-60C5-AF5C-010000001E00
ActingProcessIntegrityLevel Optional String Jeder Prozess verfügt über eine Integritätsebene, die in seinem Token dargestellt wird. Integritätsebenen bestimmen die Prozessebene des Schutzes oder Zugriffs.

Windows definiert die folgenden Integritätsebenen: Niedrig, Mittel, Hoch und System. Standardbenutzer erhalten eine mittlere Integritätsebene und erweiterte Benutzer eine hohe Integritätsebene.

Weitere Informationen finden Sie unter OBligatorische Integritätskontrolle – Win32-Apps.
ActingProcessMD5 Optional String Der MD5-Hash der Imagedatei des agierenden Prozesses.

Beispiel: 75a599802f1fa166cdadb360960b1dd0
ActingProcessSHA1 Optional SHA1 Der SHA-1-Hash der Imagedatei des agierenden Prozesses.

Beispiel: d55c5a4df19b46db8c54c801c4665d3338acdab0
ActingProcessSHA256 Optional SHA256 Der SHA-256--Hash der Imagedatei des agierenden Prozesses.

Beispiel:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
ActingProcessSHA512 Optional SHA521 Der SHA-512-Hash der Imagedatei des agierenden Prozesses.
ActingProcessIMPHASH Optional String Der Importhash aller Bibliotheks-DLLs, die vom agierenden Prozess verwendet werden.
ActingProcessCreationTime Optional Datetime Datum und Uhrzeit des Starts des agierenden Prozesses.
ActingProcessTokenElevation Optional String Ein Token, das das Vorhandensein oder Fehlen von UAC-Rechteerweiterung (User Access Control) angibt, die auf den agierenden Prozess angewendet wird.

Beispiel: None
ActingProcessFileSize Optional Long Die Größe der Datei, die den agierenden Prozess ausgeführt hat.

Übergeordnete Prozessfelder

Feld Klasse type BESCHREIBUNG
ParentProcessName Optional Zeichenfolge Der Name des übergeordneten Prozesses. Dieser Name wird häufig vom Image oder von der ausführbaren Datei abgeleitet, die zum Definieren des ursprünglichen Codes und der Daten verwendet wird, die dem virtuellen Adressraum des Prozesses zugeordnet sind.

Beispiel: C:\Windows\explorer.exe
ParentProcessFileCompany Optional String Der Name des Unternehmens, das die Imagedatei des übergeordneten Prozesses erstellt hat.

Beispiel: Microsoft
ParentProcessFileDescription Optional String Die Beschreibung aus den Versionsinformationen in der Imagedatei des übergeordneten Prozesses.

Beispiel: Notepad++ : a free (GPL) source code editor
ParentProcessFileProduct Optional String Der Produktname aus den Versionsinformationen in der Imagedatei des übergeordneten Prozesses.

Beispiel: Notepad++
ParentProcessFileVersion Optional String Die Produktversion aus den Versionsinformationen in der Imagedatei des übergeordneten Prozesses.

Beispiel: 7.9.5.0
ParentProcessIsHidden Optional Boolean Ein Hinweis darauf, ob sich der übergeordnete Prozess im ausgeblendeten Modus befindet.
ParentProcessInjectedAddress Optional String Die Speicheradresse, an der der verantwortliche übergeordnete Prozess gespeichert ist.
ParentProcessId Empfohlen String Die Prozess-ID (PID) des übergeordneten Prozesses.

Beispiel: 48610176
ParentProcessGuid Optional String Ein generierter eindeutiger Bezeichner (GUID) des übergeordneten Prozesses. Ermöglicht die systemübergreifende Identifizierung des Prozesses.

Beispiel: EF3BD0BD-2B74-60C5-AF5C-010000001E00
ParentProcessIntegrityLevel Optional String Jeder Prozess verfügt über eine Integritätsebene, die in seinem Token dargestellt wird. Integritätsebenen bestimmen die Prozessebene des Schutzes oder Zugriffs.

Windows definiert die folgenden Integritätsebenen: Niedrig, Mittel, Hoch und System. Standardbenutzer erhalten eine mittlere Integritätsebene und erweiterte Benutzer eine hohe Integritätsebene.

Weitere Informationen finden Sie unter OBligatorische Integritätskontrolle – Win32-Apps.
ParentProcessMD5 Optional MD5 Der MD5-Hash der Imagedatei des übergeordneten Prozesses.

Beispiel: 75a599802f1fa166cdadb360960b1dd0
ParentProcessSHA1 Optional SHA1 Der SHA-1-Hash der Imagedatei des übergeordneten Prozesses.

Beispiel: d55c5a4df19b46db8c54c801c4665d3338acdab0
ParentProcessSHA256 Optional SHA256 Der SHA-256-Hash der Imagedatei des übergeordneten Prozesses.

Beispiel:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
ParentProcessSHA512 Optional SHA512 Der SHA-512-Hash der Imagedatei des übergeordneten Prozesses.
ParentProcessIMPHASH Optional String Der Importhash aller Bibliotheks-DLLs, die vom übergeordneten Prozess verwendet werden.
ParentProcessTokenElevation Optional String Ein Token, das das Vorhandensein oder Fehlen von UAC-Rechteerweiterung (User Access Control) angibt, die auf den übergeordneten Prozess angewendet wird.

Beispiel: None
ParentProcessCreationTime Optional Datetime Datum und Uhrzeit des Starts des übergeordneten Prozesses.

Zielbenutzerfelder

Feld Klasse type BESCHREIBUNG
TargetUsername Obligatorisch für Prozesserstellungsereignisse. String Der Zielbenutzername ggf. mit Informationen zur Domäne. Das unterstützte Format für verschiedene ID-Typen finden Sie unter Die Benutzerentität. Verwenden Sie dieses einfache Format nur, wenn keine Domäneninformationen verfügbar sind.

Speichern Sie den Benutzernamenstyp im Feld TargetUsernameType. Wenn andere Benutzernamenformate verfügbar sind, speichern Sie sie in den Feldern TargetUsername<UsernameType>.

Beispiel: AlbertE
TargetUsernameType Bedingt Enumerated Gibt den Typ des Benutzernamens an, der im Feld TargetUsername gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UsernameType im Artikel „Schemaübersicht“.

Beispiel: Windows
TargetUserId Empfohlen String Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Zielbenutzers. Das unterstützte Format für verschiedene ID-Typen finden Sie unter Die Benutzerentität.

Beispiel: S-1-12
TargetUserIdType Bedingt String Der Typ der ID, die im Feld TargetUserId gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserIdType im Artikel „Schemaübersicht“.
TargetUserSessionId Optional String Die eindeutige ID der Anmeldesitzung des Zielbenutzers.

Beispiel: 999

Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows muss dieser Wert numerisch sein.

Wenn Sie einen Windows- oder Linux-Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie diesen in einen Dezimalwert.
TargetUserType Optional UserType Der Typ des Akteurs. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserType im Artikel „Schemaübersicht“.

Hinweis: Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld TargetOriginalUserType.
TargetOriginalUserType Optional String Der ursprüngliche Zielbenutzertyp, sofern vom meldenden Gerät bereitgestellt.

Zielprozessfelder

Feld Klasse type BESCHREIBUNG
TargetProcessName Obligatorisch. Zeichenfolge Der Name des Zielprozesses. Dieser Name wird häufig vom Image oder von der ausführbaren Datei abgeleitet, die zum Definieren des ursprünglichen Codes und der Daten verwendet wird, die dem virtuellen Adressraum des Prozesses zugeordnet sind.

Beispiel: C:\Windows\explorer.exe
TargetProcessFileCompany Optional String Der Name des Unternehmens, das die Imagedatei des Zielprozesses erstellt hat.

Beispiel: Microsoft
TargetProcessFileDescription Optional String Die Beschreibung aus den Versionsinformationen in der Imagedatei des Zielprozesses.

Beispiel: Notepad++ : a free (GPL) source code editor
TargetProcessFileProduct Optional String Der Produktname aus den Versionsinformationen in der Imagedatei des Zielprozesses.

Beispiel: Notepad++
TargetProcessFileSize Optional String Größe der Datei, die den für das Ereignis verantwortlichen Prozess ausgeführt hat.
TargetProcessFileVersion Optional String Die Produktversion aus den Versionsinformationen in der Imagedatei des Zielprozesses.

Beispiel: 7.9.5.0
TargetProcessFileInternalName Optional String Der produktinterne Dateiname aus den Versionsinformationen in der Imagedatei des Zielprozesses.
TargetProcessFileOriginalName Optional String Der ursprüngliche Produkdateiname aus den Versionsinformationen der Imagedatei des Zielprozesses.
TargetProcessIsHidden Optional Boolean Ein Hinweis darauf, ob sich der Zielprozess im ausgeblendeten Modus befindet.
TargetProcessInjectedAddress Optional String Die Speicheradresse, an der der verantwortliche Zielprozess gespeichert ist.
TargetProcessMD5 Optional MD5 Der MD5-Hash der Imagedatei des Zielprozesses.

Beispiel: 75a599802f1fa166cdadb360960b1dd0
TargetProcessSHA1 Optional SHA1 Der SHA-1-Hash der Imagedatei des Zielprozesses.

Beispiel: d55c5a4df19b46db8c54c801c4665d3338acdab0
TargetProcessSHA256 Optional SHA256 Der SHA-256-Hash der Imagedatei des Zielprozesses.

Beispiel:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
TargetProcessSHA512 Optional SHA512 Der SHA-512-Hash der Imagedatei des Zielprozesses.
TargetProcessIMPHASH Optional String Der Importhash aller Bibliotheks-DLLs, die vom Zielprozess verwendet werden.
HashType Empfohlen String Der Im HASH-Aliasfeld gespeicherte Hashtyp, zulässige Werte sind MD5, SHA, SHA256, SHA512und IMPHASH.
TargetProcessCommandLine Obligatorisch. String Die Befehlszeile zum Ausführen des Zielprozesses.

Beispiel: "choco.exe" -v
TargetProcessCurrentDirectory Optional String Das aktuelle Verzeichnis, in dem der Zielprozess ausgeführt wird.

Beispiel: c:\windows\system32
TargetProcessCreationTime Empfohlen Datetime Die Produktversion aus den Versionsinformationen der Imagedatei des Zielprozesses.
TargetProcessId Obligatorisch. String Die Prozess-ID (PID) des Zielprozesses.

Beispiel: 48610176

Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows und Linux muss dieser Wert numerisch sein.

Wenn Sie einen Windows- oder Linux-Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie diesen in einen Dezimalwert.
TargetProcessGuid Optional String Ein generierter eindeutiger Bezeichner (GUID) des Zielprozesses. Ermöglicht die systemübergreifende Identifizierung des Prozesses.

Beispiel: EF3BD0BD-2B74-60C5-AF5C-010000001E00
TargetProcessIntegrityLevel Optional String Jeder Prozess verfügt über eine Integritätsebene, die in seinem Token dargestellt wird. Integritätsebenen bestimmen die Prozessebene des Schutzes oder Zugriffs.

Windows definiert die folgenden Integritätsebenen: Niedrig, Mittel, Hoch und System. Standardbenutzer erhalten eine mittlere Integritätsebene und erweiterte Benutzer eine hohe Integritätsebene.

Weitere Informationen finden Sie unter OBligatorische Integritätskontrolle – Win32-Apps.
TargetProcessTokenElevation Optional String Tokentyp, der das Vorhandensein oder Fehlen von UAC-Rechteerweiterungen (User Access Control) angibt, die auf den Prozess angewendet wurden, der erstellt oder beendet wurde.

Beispiel: None
TargetProcessStatusCode Optional String Der bei Beendigung vom Zielprozess zurückgegebene Exitcode. Dieses Feld ist nur für Ereignisse im Zusammenhang mit dem Prozessende gültig. Aus Gründen der Konsistenz ist der Feldtyp eine Zeichenfolge, auch wenn der vom Betriebssystem bereitgestellte Wert numerisch ist.

Schemaupdates

In der Version 0.1.1 des Schemas wurde Folgendes geändert:

  • Das Feld EventSchema wurde hinzugefügt.

In der Version 0.1.2 des Schemas wurde Folgendes geändert:

  • Die Felder ActorUserType, ActorOriginalUserType, TargetUserType, TargetOriginalUserType und HashType wurden hinzugefügt.

In der Version 0.1.3 des Schemas wurde Folgendes geändert:

  • Die Felder ParentProcessId und TargetProcessCreationTime wurden von obligatorisch in empfohlen geändert.

In Version 0.1.4 des Schemas wurde Folgendes geändert:

  • Die Felder ActorScope, DvcScopeId und DvcScope wurden hinzugefügt.

Nächste Schritte

Weitere Informationen finden Sie unter