Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Prozessereignisnormalisierungsschema wird verwendet, um die Betriebssystemaktivität beim Ausführen und Beenden eines Prozesses zu beschreiben. Solche Ereignisse werden von Betriebssystemen und Sicherheitssystemen wie EDR-Systemen (End Point Detection and Response) gemeldet.
Ein Prozess, wie von OSSEM definiert, ist ein Einschluss- und Verwaltungsobjekt, das eine ausgeführte instance eines Programms darstellt. Prozesse selbst werden zwar nicht ausgeführt, aber sie verwalten Threads, die Code ausführen und ausführen.
Weitere Informationen zur Normalisierung in Microsoft Sentinel finden Sie unter Normalization and the Advanced Security Information Model (ASIM).
Parser
Um die vereinheitlichenden Parser zu verwenden, die alle aufgelisteten Parser vereinheitlichen und sicherstellen möchten, dass Sie alle konfigurierten Quellen analysieren, verwenden Sie die folgenden Tabellennamen in Ihren Abfragen:
- imProcessCreate für Abfragen, die Prozesserstellungsinformationen erfordern. Diese Abfragen sind der häufigste Fall.
- imProcessTerminate für Abfragen, die Prozessbeendigungsinformationen erfordern.
Die Liste der Prozessereignisparser, die Microsoft Sentinel sofort verfügbar sind, finden Sie in der Asim-Parserliste.
Stellen Sie die Authentifizierungsparser aus dem Microsoft Sentinel GitHub-Repository bereit.
Weitere Informationen finden Sie unter Übersicht über ASIM-Parser.
Hinzufügen eigener normalisierter Parser
Wenn Sie benutzerdefinierte Prozessereignisparser implementieren, benennen Sie Ihre KQL-Funktionen mit der folgenden Syntax: imProcessCreate<vendor><Product> und imProcessTerminate<vendor><Product>. Ersetzen Sie im durch ASim für die version ohne Parameter.
Fügen Sie Ihre KQL-Funktion den vereinheitlichenden Parsern hinzu, wie unter Verwalten von ASIM-Parsern beschrieben.
Filtern von Parserparametern
Die im Parser und vim* unterstützen filterungsparameter. Diese Parser sind zwar optional, können aber die Abfrageleistung verbessern.
Die folgenden Filterparameter sind verfügbar:
| Name | Typ | Beschreibung |
|---|---|---|
| starttime | Datum/Uhrzeit | Filtern Sie nur Prozessereignisse, die zu oder nach diesem Zeitpunkt aufgetreten sind. Dieser Parameter filtert nach dem TimeGenerated Feld, das der Standardbezeichner für den Zeitpunkt des Ereignisses ist, unabhängig von der parserspezifischen Zuordnung der Felder EventStartTime und EventEndTime. |
| endtime | Datum/Uhrzeit | Filtern Sie nur Ereignisabfragen, die zu oder vor diesem Zeitpunkt aufgetreten sind. Dieser Parameter filtert nach dem TimeGenerated Feld, das der Standardbezeichner für den Zeitpunkt des Ereignisses ist, unabhängig von der parserspezifischen Zuordnung der Felder EventStartTime und EventEndTime. |
| commandline_has_any | Dynamische | Filtert nur Prozessereignisse, für die die Befehlszeile ausgeführt wurde, enthält einen der aufgelisteten Werte. Die Länge der Liste ist auf 10.000 Elemente beschränkt. |
| commandline_has_all | Dynamische | Filtern Sie nur Prozessereignisse, für die die Befehlszeile ausgeführt wurde, über alle aufgelisteten Werte. Die Länge der Liste ist auf 10.000 Elemente beschränkt. |
| commandline_has_any_ip_prefix | Dynamische | Filtern Sie nur Prozessereignisse, für die die ausgeführte Befehlszeile über alle aufgeführten IP-Adressen oder IP-Adresspräfixe verfügt. Präfixe sollten mit einem .enden, z. B. . 10.0. Die Länge der Liste ist auf 10.000 Elemente beschränkt. |
| actingprocess_has_any | Dynamische | Filtern Sie nur Prozessereignisse, für die der name des handelnden Prozesses, der den gesamten Prozesspfad enthält, über einen der aufgelisteten Werte verfügt. Die Länge der Liste ist auf 10.000 Elemente beschränkt. |
| targetprocess_has_any | Dynamische | Filtern Sie nur Prozessereignisse, für die der Zielprozessname, der den gesamten Prozesspfad enthält, einen der aufgelisteten Werte aufweist. Die Länge der Liste ist auf 10.000 Elemente beschränkt. |
| parentprocess_has_any | Dynamische | Filtern Sie nur Prozessereignisse, für die der Zielprozessname, der den gesamten Prozesspfad enthält, einen der aufgelisteten Werte aufweist. Die Länge der Liste ist auf 10.000 Elemente beschränkt. |
| targetusername_has oder actorusername_has | string | Filtern Sie nur Prozessereignisse, für die der Zielbenutzername (für Ereignisse zur Prozesserstellung) oder der Akteurbenutzername (für Ereignisse zum Beenden des Prozesses) einen der aufgeführten Werte aufweist. Die Länge der Liste ist auf 10.000 Elemente beschränkt. |
| dvcipaddr_has_any_prefix | Dynamische | Filtern Sie nur Prozessereignisse, für die die Geräte-IP-Adresse mit einer der aufgeführten IP-Adressen oder IP-Adresspräfixe übereinstimmt. Präfixe sollten mit einem .enden, z. B. . 10.0. Die Länge der Liste ist auf 10.000 Elemente beschränkt. |
| dvchostname_has_any | Dynamische | Filter only process events for which the device hostname or device FQDN is available, has any of the listed values. Die Länge der Liste ist auf 10.000 Elemente beschränkt. |
| Eventtype | string | Filtern Sie nur Prozessereignisse des angegebenen Typs. |
Um beispielsweise nur Authentifizierungsereignisse vom letzten Tag für einen bestimmten Benutzer zu filtern, verwenden Sie Folgendes:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Tipp
Um eine Literalliste an Parameter zu übergeben, die einen dynamischen Wert erwarten, verwenden Sie explizit ein dynamisches Literal. Beispiel: dynamic(['192.168.','10.']).
Normalisierter Inhalt
Eine vollständige Liste der Analyseregeln, die normalisierte Prozessereignisse verwenden, finden Sie unter Prozessereignissicherheitsinhalte.
Schemadetails
Das Prozessereignisinformationsmodell ist am OSSEM-Prozess-Entitätsschema ausgerichtet.
Allgemeine ASIM-Felder
Wichtig
Felder, die allen Schemas gemeinsam sind, werden im Artikel Allgemeine Felder für ASIM ausführlich beschrieben.
Allgemeine Felder mit bestimmten Richtlinien
In der folgenden Liste werden Felder mit spezifischen Richtlinien für Prozessaktivitätsereignisse aufgeführt:
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| EventType | Erforderlich | Aufgelistet | Beschreibt den vom Datensatz gemeldeten Vorgang. Für Prozessdatensätze werden folgende Werte unterstützt: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Erforderlich | SchemaVersion (Zeichenfolge) | Die Version des Schemas. Die hier dokumentierte Version des Schemas lautet 0.1.4 |
| EventSchema | Erforderlich | Zeichenfolge | Der Name des hier dokumentierten Schemas lautet ProcessEvent. |
| Dvc-Felder | Bei Prozessaktivitätsereignissen verweisen Gerätefelder auf das System, auf dem der Prozess ausgeführt wurde. |
Wichtig
Das EventSchema Feld ist derzeit optional, wird aber am 1. September 2022 obligatorisch.
Alle gemeinsamen Felder
Felder, die in der folgenden Tabelle angezeigt werden, sind für alle ASIM-Schemas gemeinsam. Jede oben angegebene Richtlinie setzt die allgemeinen Richtlinien für das Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel ALLGEMEINE FELDER für ASIM .
| Class | Fields |
|---|---|
| Erforderlich |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Empfohlen |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optional |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Ereignisspezifische Felder verarbeiten
Die in der folgenden Tabelle aufgeführten Felder sind spezifisch für Prozessereignisse, ähneln jedoch Feldern in anderen Schemas und entsprechen ähnlichen Namenskonventionen.
Das Prozessereignisschema verweist auf die folgenden Entitäten, die für die Prozesserstellungs- und Beendigungsaktivität von zentraler Bedeutung sind:
- Actor : Der Benutzer, der die Prozesserstellung oder -beendigung initiiert hat.
- ActingProcess : Der Prozess, der vom Actor verwendet wird, um die Prozesserstellung oder -beendigung zu initiieren.
- TargetProcess : Der neue Prozess.
- TargetUser : Der Benutzer, dessen Anmeldeinformationen zum Erstellen des neuen Prozesses verwendet werden.
- ParentProcess : Der Prozess, der den Akteurprozess initiiert hat.
Aliases
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Benutzer | Alias | Alias für TargetUsername. Beispiel: CONTOSO\dadmin |
|
| Prozess | Alias | Alias für TargetProcessName Beispiel: C:\Windows\System32\rundll32.exe |
|
| CommandLine | Alias | Alias für TargetProcessCommandLine | |
| Hash | Alias | Alias für den besten verfügbaren Hash für den Zielprozess. |
Akteurfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| ActorUserId | Empfohlen | Zeichenfolge | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Akteurs. Das unterstützte Format für verschiedene ID-Typen finden Sie in der Entität Benutzer. Beispiel: S-1-12 |
| ActorUserIdType | Bedingte | Aufgelistet | Der Typ der ID, die im Feld ActorUserId gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserIdType im Artikel Schemaübersicht. |
| ActorScope | Optional | Zeichenfolge | Der Bereich, z. B. Microsoft Entra Mandant, in dem ActorUserId und ActorUsername definiert sind. oder weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht. |
| ActorScopeId | Optional | Zeichenfolge | Die Bereichs-ID, z. B. Microsoft Entra Verzeichnis-ID, in der ActorUserId und ActorUsername definiert sind. oder weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht. |
| ActorUsername | Erforderlich | Benutzername (Zeichenfolge) | Der Actor-Benutzername, einschließlich Domäneninformationen, falls verfügbar. Das unterstützte Format für verschiedene ID-Typen finden Sie in der Entität Benutzer. Verwenden Sie das einfache Formular nur, wenn keine Domäneninformationen verfügbar sind. Speichern Sie den Benutzernamentyp im Feld ActorUsernameType . Wenn andere Benutzernamenformate verfügbar sind, speichern Sie diese in den Feldern ActorUsername<UsernameType>.Beispiel: AlbertE |
| ActorUsernameType | Bedingte | Aufgelistet | Gibt den Typ des Benutzernamens an, der im Feld ActorUsername gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UsernameType im Artikel Schemaübersicht. Beispiel: Windows |
| ActorSessionId | Optional | Zeichenfolge | Die eindeutige ID der Anmeldesitzung des Actors. Beispiel: 999Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows muss dieser Wert numerisch sein. Wenn Sie einen Windows-Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie ihn in einen Dezimalwert. |
| ActorUserType | Optional | UserType | Der Typ des Akteurs. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserType im Artikel Schemaübersicht. Hinweis: Der Wert kann im Quelldatensatz mit unterschiedlichen Begriffen bereitgestellt werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld ActorOriginalUserType . |
| ActorOriginalUserType | Optional | Zeichenfolge | Der ursprüngliche Zielbenutzertyp, wenn er vom Meldengerät bereitgestellt wird. |
Handelnde Prozessfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| ActingProcessCommandLine | Optional | Zeichenfolge | Die Befehlszeile, die zum Ausführen des handelnden Prozesses verwendet wird. Beispiel: "choco.exe" -v |
| ActingProcessName | Optional | string | Der Name des handelnden Prozesses. Dieser Name wird häufig von dem Image oder der ausführbaren Datei abgeleitet, die verwendet wird, um den anfänglichen Code und die Daten zu definieren, die dem virtuellen Adressraum des Prozesses zugeordnet sind. Beispiel: C:\Windows\explorer.exe |
| ActingProcessFilename | Optional | Zeichenfolge | Der Dateinameteil von ActingProcessName, ohne Ordnerinformationen. Beispiel: explorer.exe |
| ActingProcessFileCompany | Optional | Zeichenfolge | Das Unternehmen, das die Imagedatei des handelnden Prozesses erstellt hat. Beispiel: Microsoft |
| ActingProcessFileDescription | Optional | Zeichenfolge | Die Beschreibung, die in die Versionsinformationen der Bilddatei des handelnden Prozesses eingebettet ist. Beispiel: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Optional | Zeichenfolge | Der Produktname aus den Versionsinformationen in der Imagedatei des handelnden Prozesses. Beispiel: Notepad++ |
| ActingProcessFileVersion | Optional | Zeichenfolge | Die Produktversion aus den Versionsinformationen der image-Datei des handelnden Prozesses. Beispiel: 7.9.5.0 |
| ActingProcessFileInternalName | Optional | Zeichenfolge | Der produktinterne Dateiname aus den Versionsinformationen der image-Datei des handelnden Prozesses. |
| ActingProcessFileOriginalName | Optional | Zeichenfolge | Der ursprüngliche Dateiname des Produkts aus den Versionsinformationen der image-Datei des handelnden Prozesses. Beispiel: Notepad++.exe |
| ActingProcessIsHidden | Optional | Boolean | Ein Hinweis darauf, ob sich der handelnde Prozess im ausgeblendeten Modus befindet. |
| ActingProcessInjectedAddress | Optional | Zeichenfolge | Die Speicheradresse, in der der verantwortliche handelnde Prozess gespeichert ist. |
| ActingProcessId | Erforderlich | Zeichenfolge | Die Prozess-ID (PID) des handelnden Prozesses. Beispiel: 48610176 Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows und Linux muss dieser Wert numerisch sein. Wenn Sie einen Windows- oder Linux Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie ihn in einen Dezimalwert. |
| ActingProcessGuid | Optional | GUID (Zeichenfolge) | Ein generierter eindeutiger Bezeichner (GUID) des handelnden Prozesses. Ermöglicht die systemübergreifende Identifizierung des Prozesses. Beispiel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Optional | Zeichenfolge | Jeder Prozess verfügt über eine Integritätsebene, die in seinem Token dargestellt wird. Integritätsebenen bestimmen die Prozessebene des Schutzes oder zugriffs. Windows definiert die folgenden Integritätsstufen: niedrig, mittel, hoch und system. Standard Benutzer eine mittlere Integritätsstufe und benutzer mit erhöhten Rechten eine hohe Integritätsstufe erhalten. Weitere Informationen finden Sie unter Obligatorische Integritätssteuerung – Win32-Apps. |
| ActingProcessMD5 | Optional | Zeichenfolge | Der MD5-Hash der bilddatei des handelnden Prozesses. Beispiel: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Optional | SHA1 | Der SHA-1-Hash der Bilddatei des handelnden Prozesses. Beispiel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Optional | SHA256 | Der SHA-256-Hash der bilddatei des handelnden Prozesses. Beispiel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Optional | SHA512 | Der SHA-512-Hash der bilddatei des handelnden Prozesses. |
| ActingProcessIMPHASH | Optional | Zeichenfolge | Der Importhash aller Bibliotheks-DLLs, die vom handelnden Prozess verwendet werden. |
| ActingProcessCreationTime | Optional | DateTime | Das Datum und die Uhrzeit des Beginns des handelnden Prozesses. |
| ActingProcessTokenElevation | Optional | Zeichenfolge | Ein Token, das angibt, dass benutzerde Access Control-Rechteerweiterungen (User Access Control, UAC) vorhanden oder nicht vorhanden sind, die auf den handelnden Prozess angewendet wurden. Beispiel: None |
| ActingProcessFileSize | Optional | Long | Die Größe der Datei, die den handelnden Prozess ausgeführt hat. |
Felder des übergeordneten Prozesses
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| ParentProcessName | Optional | string | Der Name des übergeordneten Prozesses. Dieser Name wird häufig von dem Image oder der ausführbaren Datei abgeleitet, die verwendet wird, um den anfänglichen Code und die Daten zu definieren, die dem virtuellen Adressraum des Prozesses zugeordnet sind. Beispiel: C:\Windows\explorer.exe |
| ParentProcessFileCompany | Optional | Zeichenfolge | Der Name des Unternehmens, das die Imagedatei des übergeordneten Prozesses erstellt hat. Beispiel: Microsoft |
| ParentProcessFileDescription | Optional | Zeichenfolge | Die Beschreibung aus den Versionsinformationen in der Imagedatei des übergeordneten Prozesses. Beispiel: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Optional | Zeichenfolge | Der Produktname aus den Versionsinformationen in der Imagedatei des übergeordneten Prozesses. Beispiel: Notepad++ |
| ParentProcessFileVersion | Optional | Zeichenfolge | Die Produktversion aus den Versionsinformationen in der Imagedatei des übergeordneten Prozesses. Beispiel: 7.9.5.0 |
| ParentProcessIsHidden | Optional | Boolean | Ein Hinweis darauf, ob sich der übergeordnete Prozess im ausgeblendeten Modus befindet. |
| ParentProcessInjectedAddress | Optional | Zeichenfolge | Die Speicheradresse, in der der verantwortliche übergeordnete Prozess gespeichert ist. |
| ParentProcessId | Empfohlen | Zeichenfolge | Die Prozess-ID (PID) des übergeordneten Prozesses. Beispiel: 48610176 |
| ParentProcessGuid | Optional | Zeichenfolge | Ein generierter eindeutiger Bezeichner (GUID) des übergeordneten Prozesses. Ermöglicht die systemübergreifende Identifizierung des Prozesses. Beispiel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Optional | Zeichenfolge | Jeder Prozess verfügt über eine Integritätsebene, die in seinem Token dargestellt wird. Integritätsebenen bestimmen die Prozessebene des Schutzes oder zugriffs. Windows definiert die folgenden Integritätsstufen: niedrig, mittel, hoch und system. Standard Benutzer eine mittlere Integritätsstufe und benutzer mit erhöhten Rechten eine hohe Integritätsstufe erhalten. Weitere Informationen finden Sie unter Obligatorische Integritätssteuerung – Win32-Apps. |
| ParentProcessMD5 | Optional | MD5 | Der MD5-Hash der Imagedatei des übergeordneten Prozesses. Beispiel: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Optional | SHA1 | Der SHA-1-Hash der Imagedatei des übergeordneten Prozesses. Beispiel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Optional | SHA256 | Der SHA-256-Hash der Bilddatei des übergeordneten Prozesses. Beispiel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Optional | SHA512 | Der SHA-512-Hash der Imagedatei des übergeordneten Prozesses. |
| ParentProcessIMPHASH | Optional | Zeichenfolge | Der Importhash aller Bibliotheks-DLLs, die vom übergeordneten Prozess verwendet werden. |
| ParentProcessTokenElevation | Optional | Zeichenfolge | Ein Token, das angibt, dass benutzer- Access Control-Rechteerweiterungen (User Access Control, UAC) vorhanden oder nicht vorhanden sind, die auf den übergeordneten Prozess angewendet werden. Beispiel: None |
| ParentProcessCreationTime | Optional | DateTime | Das Datum und die Uhrzeit, zu dem der übergeordnete Prozess gestartet wurde. |
Zielbenutzerfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| TargetUsername | Obligatorisch für Prozesserstellungsereignisse. | Benutzername (Zeichenfolge) | Der Zielbenutzername, einschließlich Domäneninformationen, falls verfügbar. Das unterstützte Format für verschiedene ID-Typen finden Sie in der Entität Benutzer. Verwenden Sie das einfache Formular nur, wenn keine Domäneninformationen verfügbar sind. Speichern Sie den Benutzernamentyp im Feld TargetUsernameType . Wenn andere Benutzernamenformate verfügbar sind, speichern Sie diese in den Feldern TargetUsername<UsernameType>.Beispiel: AlbertE |
| TargetUsernameType | Bedingte | Aufgelistet | Gibt den Typ des Benutzernamens an, der im Feld TargetUsername gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UsernameType im Artikel Schemaübersicht. Beispiel: Windows |
| TargetUserId | Empfohlen | Zeichenfolge | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Zielbenutzers. Das unterstützte Format für verschiedene ID-Typen finden Sie in der Entität Benutzer. Beispiel: S-1-12 |
| TargetUserIdType | Bedingte | UserIdType | Der Typ der ID, die im Feld TargetUserId gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserIdType im Artikel Schemaübersicht. |
| TargetUserSessionId | Optional | Zeichenfolge | Die eindeutige ID der Anmeldesitzung des Zielbenutzers. Beispiel: 999 Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows muss dieser Wert numerisch sein. Wenn Sie einen Windows- oder Linux Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie ihn in einen Dezimalwert. |
| TargetUserSessionGuid | Optional | Zeichenfolge | Die eindeutige GUID der Anmeldesitzung des Zielbenutzers, wie vom meldenden Gerät gemeldet. Beispiel: {12345678-1234-1234-1234-123456789012} |
| TargetUserType | Optional | UserType | Der Typ des Akteurs. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserType im Artikel Schemaübersicht. Hinweis: Der Wert kann im Quelldatensatz mit unterschiedlichen Begriffen bereitgestellt werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld TargetOriginalUserType . |
| TargetOriginalUserType | Optional | Zeichenfolge | Der ursprüngliche Zielbenutzertyp, wenn er vom Meldengerät bereitgestellt wird. |
| TargetUserScope | Optional | Zeichenfolge | Der Bereich, z. B. Microsoft Entra Mandant, in dem TargetUserId und TargetUsername definiert sind. oder weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht. |
| TargetUserScopeId | Optional | Zeichenfolge | Die Bereichs-ID, z. B. Microsoft Entra Verzeichnis-ID, in der TargetUserId und TargetUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht. |
Zielprozessfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| TargetProcessName | Erforderlich | string | Der Name des Zielprozesses. Dieser Name wird häufig von dem Image oder der ausführbaren Datei abgeleitet, die verwendet wird, um den anfänglichen Code und die Daten zu definieren, die dem virtuellen Adressraum des Prozesses zugeordnet sind. Beispiel: C:\Windows\explorer.exe |
| TargetProcessFilename | Optional | Zeichenfolge | Der Dateinameteil von TargetProcessName, ohne Ordnerinformationen. Beispiel: explorer.exe |
| TargetProcessFileCompany | Optional | Zeichenfolge | Der Name des Unternehmens, das die Imagedatei des Zielprozesses erstellt hat. Beispiel: Microsoft |
| TargetProcessFileDescription | Optional | Zeichenfolge | Die Beschreibung aus den Versionsinformationen in der Imagedatei des Zielprozesses. Beispiel: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Optional | Zeichenfolge | Der Produktname aus den Versionsinformationen in der Imagedatei des Zielprozesses. Beispiel: Notepad++ |
| TargetProcessFileSize | Optional | Long | Größe der Datei, die den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| TargetProcessFileVersion | Optional | Zeichenfolge | Die Produktversion aus den Versionsinformationen in der Imagedatei des Zielprozesses. Beispiel: 7.9.5.0 |
| TargetProcessFileInternalName | Optional | Zeichenfolge | Der interne Dateiname des Produkts aus den Versionsinformationen der Imagedatei des Zielprozesses. |
| TargetProcessFileOriginalName | Optional | Zeichenfolge | Der ursprüngliche Dateiname des Produkts aus den Versionsinformationen der Imagedatei des Zielprozesses. |
| TargetProcessIsHidden | Optional | Boolean | Ein Hinweis darauf, ob sich der Zielprozess im ausgeblendeten Modus befindet. |
| TargetProcessInjectedAddress | Optional | Zeichenfolge | Die Speicheradresse, in der der verantwortliche Zielprozess gespeichert ist. |
| TargetProcessMD5 | Optional | MD5 | Der MD5-Hash der Imagedatei des Zielprozesses. Beispiel: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Optional | SHA1 | Der SHA-1-Hash der Imagedatei des Zielprozesses. Beispiel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Optional | SHA256 | Der SHA-256-Hash der Imagedatei des Zielprozesses. Beispiel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Optional | SHA512 | Der SHA-512-Hash der Imagedatei des Zielprozesses. |
| TargetProcessIMPHASH | Optional | Zeichenfolge | Der Importhash aller Bibliotheks-DLLs, die vom Zielprozess verwendet werden. |
| HashType | Bedingte | Aufgelistet | Der Im Feld HASH-Alias gespeicherte Hashtyp, zulässige Werte sind MD5, SHA, SHA512SHA256und IMPHASH. |
| TargetProcessCommandLine | Erforderlich | Zeichenfolge | Die Befehlszeile, die zum Ausführen des Zielprozesses verwendet wird. Beispiel: "choco.exe" -v |
| TargetProcessCurrentDirectory | Optional | Zeichenfolge | Das aktuelle Verzeichnis, in dem der Zielprozess ausgeführt wird. Beispiel: c:\windows\system32 |
| TargetProcessCreationTime | Empfohlen | DateTime | Die Produktversion aus den Versionsinformationen der Imagedatei des Zielprozesses. |
| TargetProcessId | Erforderlich | Zeichenfolge | Die Prozess-ID (PID) des Zielprozesses. Beispiel: 48610176Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows und Linux muss dieser Wert numerisch sein. Wenn Sie einen Windows- oder Linux Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie ihn in einen Dezimalwert. |
| TargetProcessGuid | Optional | GUID (Zeichenfolge) | Ein generierter eindeutiger Bezeichner (GUID) des Zielprozesses. Ermöglicht die systemübergreifende Identifizierung des Prozesses. Beispiel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Optional | Zeichenfolge | Jeder Prozess verfügt über eine Integritätsebene, die in seinem Token dargestellt wird. Integritätsebenen bestimmen die Prozessebene des Schutzes oder zugriffs. Windows definiert die folgenden Integritätsstufen: niedrig, mittel, hoch und system. Standard Benutzer eine mittlere Integritätsstufe und benutzer mit erhöhten Rechten eine hohe Integritätsstufe erhalten. Weitere Informationen finden Sie unter Obligatorische Integritätssteuerung – Win32-Apps. |
| TargetProcessTokenElevation | Optional | Zeichenfolge | Tokentyp, der angibt, dass benutzer-Access Control-Rechteerweiterungen (User Access Control, UAC) auf den erstellten oder beendeten Prozess angewendet wurden. Beispiel: None |
| TargetProcessStatusCode | Optional | Zeichenfolge | Der Exitcode, der vom Zielprozess zurückgegeben wird, wenn er beendet wird. Dieses Feld gilt nur für Prozessbeendigungsereignisse. Aus Gründen der Konsistenz ist der Feldtyp Zeichenfolge, auch wenn der vom Betriebssystem bereitgestellte Wert numerisch ist. |
Inspektionsfelder
Die folgenden Felder werden verwendet, um die Überprüfung darzustellen, die von einem Sicherheitssystem wie einem EDR-System durchgeführt wird.
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Rulename | Optional | Zeichenfolge | Der Name oder die ID der Regel von, die den Inspektionsergebnissen zugeordnet ist. |
| RuleNumber | Optional | Integer | Die Nummer der Regel, die den Inspektionsergebnissen zugeordnet ist. |
| Rule | Bedingte | Zeichenfolge | Entweder der Wert von kRuleName oder der Wert von RuleNumber. Wenn der Wert von RuleNumber verwendet wird, sollte der Typ in eine Zeichenfolge konvertiert werden. |
| ThreatId | Optional | Zeichenfolge | Die ID der Bedrohung oder Schadsoftware, die in der Dateiaktivität identifiziert wurde. |
| ThreatName | Optional | Zeichenfolge | Der Name der Bedrohung oder Schadsoftware, die in der Dateiaktivität identifiziert wurde. Beispiel: EICAR Test File |
| Bedrohungskategorie | Optional | Zeichenfolge | Die Kategorie der Bedrohung oder Schadsoftware, die in der Dateiaktivität identifiziert wird. Beispiel: Trojan |
| ThreatRiskLevel | Optional | RiskLevel (Integer) | Die Risikostufe, die der identifizierten Bedrohung zugeordnet ist. Die Ebene sollte eine Zahl zwischen 0 und 100 sein. Hinweis: Der Wert kann im Quelldatensatz mithilfe einer anderen Skalierung bereitgestellt werden, die auf diese Skalierung normalisiert werden sollte. Der ursprüngliche Wert sollte in ThreatOriginalRiskLevel gespeichert werden. |
| ThreatOriginalRiskLevel | Optional | Zeichenfolge | Die vom Melden des Geräts gemeldete Risikostufe. |
| ThreatField | Optional | Zeichenfolge | Das Feld, für das eine Bedrohung identifiziert wurde. |
| ThreatField | Optional | Zeichenfolge | Das Feld, für das eine Bedrohung identifiziert wurde. |
| ThreatConfidence | Optional | ConfidenceLevel (Integer) | Das Konfidenzniveau der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100. |
| ThreatOriginalConfidence | Optional | Zeichenfolge | Das ursprüngliche Konfidenzniveau der identifizierten Bedrohung, wie vom Melden des Geräts gemeldet. |
| ThreatIsActive | Optional | Boolean | True, wenn die identifizierte Bedrohung als aktive Bedrohung angesehen wird. |
| ThreatFirstReportedTime | Optional | Datum/Uhrzeit | Beim ersten Mal wurde die IP-Adresse oder Domäne als Bedrohung identifiziert. |
| ThreatLastReportedTime | Optional | Datum/Uhrzeit | Der Zeitpunkt, zu dem die IP-Adresse oder Domäne zuletzt als Bedrohung identifiziert wurde. |
Schemaaktualisierungen
Dies sind die Änderungen in Version 0.1.1 des Schemas:
- Das Feld
EventSchemawurde hinzugefügt.
Dies sind die Änderungen in Version 0.1.2 des Schemas.
- Die Felder
ActorUserType, ,ActorOriginalUserTypeTargetUserType,TargetOriginalUserTypeundHashTypewurden hinzugefügt.
Dies sind die Änderungen in Version 0.1.3 des Schemas.
- Die Felder
ParentProcessIdund von obligatorisch inTargetProcessCreationTimeempfohlen geändert.
Dies sind die Änderungen in Version 0.1.4 des Schemas.
- Die Felder
ActorScope,DvcScopeIdundDvcScopewurden hinzugefügt.
Nächste Schritte
Weitere Informationen finden Sie unter:
- Sehen Sie sich das ASIM-Webinar an, oder überprüfen Sie die Folien
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Advanced Security Information Model (ASIM)-Schemas
- ASIM-Parser (Advanced Security Information Model)
- Inhalt des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM)