Referenz zum Schema für die Prozessereignisnormalisierung des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM) (öffentliche Vorschau)
Das Prozessereignis-Normalisierungsschema wird verwendet, um die Betriebssystemaktivität zum Ausführen und Beenden eines Prozesses zu beschreiben. Solche Ereignisse werden von Betriebssystemen und Sicherheitssystemen wie EDR (End Point Detection and Response) gemeldet.
Ein Prozess, wie von OSSEM definiert, ist ein Eigenständigkeits- und Verwaltungsobjekt, das eine aktuell ausgeführte Instanz eines Programms darstellt. Prozesse selbst werden zwar nicht ausgeführt, verwalten aber Threads, die Code ausführen.
Weitere Informationen zur Normalisierung in Microsoft Sentinel finden Sie unter Normalisierung und erweitertes Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM).
Wichtig
Das Prozessereignis-Normalisierungsschema befindet sich derzeit in der VORSCHAU. Dieses Feature wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen.
In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Parser
Um die vereinheitlichenden Parser zu verwenden, die alle aufgelisteten Parser vereinheitlichen und sicherstellen, dass Sie alle konfigurierten Quellen analysieren, verwenden Sie die folgenden Tabellennamen in Ihren Abfragen:
- imProcessCreate für Abfragen, die Informationen zur Prozesserstellung erfordern. Diese Abfragen sind am häufigsten.
- imProcessTerminate für Abfragen, die Informationen zur Prozessbeendigung erfordern.
Die Liste der Prozessereignisparser, die Microsoft Sentinel einsatzbereit zur Verfügung stellt, finden Sie in der ASIM-Parserliste
Stellen Sie die Authentifizierungsparser aus dem Microsoft Sentinel-GitHub-Repository bereit.
Weitere Informationen finden Sie im Artikel Die Parser des erweiterten SIEM-Informationsmodells (Advanced SIEM Information Model, ASIM) – öffentliche Vorschau.
Hinzufügen eigener normalisierter Parser
Wenn Sie benutzerdefinierte Prozessereignis-Parser implementieren, benennen Sie Ihre KQL-Funktionen mit der folgenden Syntax: imProcessCreate<vendor><Product> und imProcessTerminate<vendor><Product>. Ersetzen Sie im durch ASim für die Version ohne Parameter.
Fügen Sie Ihre KQL Funktion zu den vereinheitlichenden Parsern hinzu, wie unter Verwalten von ASIM-Parsern beschrieben.
Filtern von Parser-Parametern
Die Parser im und vim* unterstützen Filterparameter. Indem diese Parser optional sind, können sie die Leistung Ihrer Abfrage verbessern.
Die folgenden Filterparameter sind verfügbar:
| Name | Typ | Beschreibung |
|---|---|---|
| StartTime | datetime | Nur Prozessereignisse filtern, die zu oder nach diesem Zeitpunkt aufgetreten sind. |
| EndTime | datetime | Nur Prozessereignisabfragen filtern, die zu oder nach diesem Zeitpunkt aufgetreten sind. |
| commandline_has_any | dynamisch | Nur Prozessereignisse filtern, bei denen die ausgeführte Befehlszeile einen der aufgelisteten Werte aufweist. Die Länge der Liste ist auf 10.000 Elemente beschränkt. |
| commandline_has_all | dynamisch | Nur Prozessereignisse filtern, bei denen die ausgeführte Befehlszeile alle der aufgelisteten Werte aufweist. Die Länge der Liste ist auf 10.000 Elemente beschränkt. |
| commandline_has_any_ip_prefix | dynamisch | Nur Prozessereignisse filtern, bei denen die ausgeführte Befehlszeile alle aufgelisteten IP-Adressen oder IP-Adresspräfixe aufweist. Präfixe müssen mit einem Punkt (.) enden. Beispiel: 10.0. Die Länge der Liste ist auf 10.000 Elemente beschränkt. |
| actingprocess_has_any | dynamisch | Nur Prozessereignisse filtern, bei denen der Name des handelnden Prozesses, der den gesamten Prozesspfad enthält, einen der aufgeführten Werte aufweist. Die Länge der Liste ist auf 10.000 Elemente beschränkt. |
| targetprocess_has_any | dynamisch | Nur Prozessereignisse filtern, bei denen der Name des Zielprozesses, der den gesamten Prozesspfad enthält, einen der aufgeführten Werte aufweist. Die Länge der Liste ist auf 10.000 Elemente beschränkt. |
| parentprocess_has_any | dynamisch | Nur Prozessereignisse filtern, bei denen der Name des Zielprozesses, der den gesamten Prozesspfad enthält, einen der aufgeführten Werte aufweist. Die Länge der Liste ist auf 10.000 Elemente beschränkt. |
| targetusername_has oder actorusername_has | Zeichenfolge | Nur Prozessereignisse, bei denen der Zielbenutzername (bei Ereignissen zum Erstellen von Prozessen) oder der Akteurbenutzername (bei Ereignissen zum Beenden von Prozessen) einen der aufgeführten Werte aufweist. Die Länge der Liste ist auf 10.000 Elemente beschränkt. |
| dvcipaddr_has_any_prefix | dynamisch | Nur Prozessereignisse filtern, bei denen die IP-Adresse des Geräts mit einer der aufgeführten IP-Adressen oder IP-Adresspräfixe übereinstimmt. Präfixe müssen mit einem Punkt (.) enden. Beispiel: 10.0. Die Länge der Liste ist auf 10.000 Elemente beschränkt. |
| dvchostname_has_any | dynamisch | Filtern Sie nur Prozessereignisse, bei denen der Hostname des Geräts oder der FQDN des Geräts einen der aufgelisteten Werte aufweist. Die Länge der Liste ist auf 10.000 Elemente beschränkt. |
| EventType | Zeichenfolge | Nur DNS-Abfragen des angegebenen Typs filtern. |
Verwenden Sie beispielsweise Folgendes, um nur Authentifizierungsereignisse vom letzten Tag für einen bestimmten Benutzer zu filtern:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Tipp
Um eine Literalliste an Parameter zu übergeben, die einen dynamischen Wert erwarten, verwenden Sie explizit ein dynamisches Literal. Beispiel: dynamic(['192.168.','10.']).
Normalisierter Inhalt
Eine vollständige Liste der Analyseregeln, die normalisierte Prozessereignisse verwenden, finden Sie unter Sicherheitsinhalt von Prozessereignissen.
Schemadetails
Das Prozessereignis-Informationsmodell ist auf das OSSEM-Prozessentitätsschema ausgerichtet.
Allgemeine ASIM-Felder
Wichtig
Felder, die allen Schemas gemeinsam sind, werden im Artikel Allgemeine ASIM-Felder ausführlich beschrieben.
Allgemeine Felder mit bestimmten Richtlinien
In der folgenden Liste werden Felder erwähnt, die bestimmte Richtlinien für Prozessaktivitätsereignisse enthalten:
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| EventType | Obligatorisch. | Enumerated | Beschreibt den vom Datensatz gemeldeten Vorgang. Für Prozessdatensätze werden folgende Werte unterstützt: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Obligatorisch. | String | Die Version des Schemas. Die hier dokumentierte Version des Schemas ist 0.1.4. |
| EventSchema | Optional | String | Der Name des hier dokumentierten Schemas lautet ProcessEvent. |
| Dvc-Felder | Bei Prozessaktivitätsereignissen beziehen sich Gerätefelder auf das System, auf dem der Prozess ausgeführt wurde. |
Wichtig
Das Feld EventSchema ist derzeit optional, wird aber am 1. September 2022 obligatorisch.
Alle allgemeinen Felder
Felder, die in der folgenden Tabelle angezeigt werden, sind für alle ASIM-Schemas gleich. Jede oben angegebene Richtlinie setzt die allgemeinen Richtlinien für das Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel Allgemeine ASIM-Felder.
| Klasse | Fields |
|---|---|
| Obligatorisch. | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Empfohlen | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optional | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Prozessereignisspezifische Felder
Die in der folgenden Tabelle aufgeführten Felder sind spezifisch für Prozessereignisse. Sie ähneln jedoch Feldern in anderen Schemas und folgen ähnlichen Benennungskonventionen.
Das Prozessereignisschema verweist auf die folgenden Entitäten, die für die Verarbeitung der Erstellungs- und Beendigungsaktivität von zentraler Bedeutung sind:
- Actor – Der Benutzer, der die Prozesserstellung oder -beendigung initiiert hat.
- ActingProcess – Der vom Akteur verwendete Prozess, der die Prozesserstellung oder -beendigung initiiert hat.
- TargetProcess – Der neue Prozess.
- TargetUser – Der Benutzer, dessen Anmeldeinformationen zum Erstellen des neuen Prozesses verwendet werden.
- ParentProcess – Der Prozess, der den Actor-Prozess initiiert hat.
Aliase
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| Benutzer | Alias | Alias für TargetUsername. Beispiel: CONTOSO\dadmin |
|
| Process | Alias | Alias für TargetProcessName Beispiel: C:\Windows\System32\rundll32.exe |
|
| CommandLine | Alias | Alias für TargetProcessCommandLine | |
| Hash | Alias | Alias für den besten verfügbaren Hash für den Zielprozess. |
Akteurfelder
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| ActorUserId | Empfohlen | String | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Akteurs. Das unterstützte Format für verschiedene ID-Typen finden Sie unter Die Benutzerentität. Beispiel: S-1-12 |
| ActorUserIdType | Bedingt | String | Der Typ der ID, die im Feld ActorUserId gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserIdType im Artikel „Schemaübersicht“. |
| ActorScope | Optional | String | Der Bereich, z. B. der Microsoft Entra-Mandant, in dem ActorUserId und ActorUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht. |
| ActorUsername | Obligatorisch. | String | Der Benutzername des Akteurs ggf. mit Informationen zur Domäne. Das unterstützte Format für verschiedene ID-Typen finden Sie unter Die Benutzerentität. Verwenden Sie dieses einfache Format nur, wenn keine Domäneninformationen verfügbar sind. Speichern Sie den Benutzernamentyp im Feld ActorUsernameType. Wenn andere Benutzernamenformate verfügbar sind, speichern Sie sie in den Feldern ActorUsername<UsernameType>.Beispiel: AlbertE |
| ActorUsernameType | Bedingt | Enumerated | Gibt den Typ des Benutzernamens an, der im Feld ActorUsername gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UsernameType im Artikel „Schemaübersicht“. Beispiel: Windows |
| ActorSessionId | Optional | String | Die eindeutige ID der Anmeldesitzung des Akteurs. Beispiel: 999Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows muss dieser Wert numerisch sein. Wenn Sie einen Windows-Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie diesen in einen Dezimalwert. |
| ActorUserType | Optional | UserType | Der Typ des Akteurs. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserType im Artikel „Schemaübersicht“. Hinweis: Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld ActorOriginalUserType. |
| ActorOriginalUserType | Optional | String | Der ursprüngliche Zielbenutzertyp, sofern vom meldenden Gerät bereitgestellt. |
Felder des agierenden Prozesses
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| ActingProcessCommandLine | Optional | String | Die Befehlszeile zum Ausführen des Programms. Beispiel: "choco.exe" -v |
| ActingProcessName | Optional | Zeichenfolge | Der Name des agierenden Prozesses. Dieser Name wird häufig vom Image oder von der ausführbaren Datei abgeleitet, die zum Definieren des ursprünglichen Codes und der Daten verwendet wird, die dem virtuellen Adressraum des Prozesses zugeordnet sind. Beispiel: C:\Windows\explorer.exe |
| ActingProcessFileCompany | Optional | String | Das Unternehmen, das die Imagedatei des agierenden Prozesses erstellt hat. Beispiel: Microsoft |
| ActingProcessFileDescription | Optional | String | Die Beschreibung, die in die Versionsinformationen der Imagedatei des agierenden Prozesses eingebettet ist. Beispiel: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Optional | String | Der Produktname aus den Versionsinformationen in der Imagedatei des agierenden Prozesses. Beispiel: Notepad++ |
| ActingProcessFileVersion | Optional | String | Die Produktversion aus den Versionsinformationen der Imagedatei des agierenden Prozesses. Beispiel: 7.9.5.0 |
| ActingProcessFileInternalName | Optional | String | Der produktinterne Dateiname aus den Versionsinformationen in der Imagedatei des agierenden Prozesses. |
| ActingProcessFileOriginalName | Optional | String | Der ursprüngliche Produkdateiname aus den Versionsinformationen der Imagedatei des agierenden Prozesses. Beispiel: Notepad++.exe |
| ActingProcessIsHidden | Optional | Boolean | Ein Hinweis darauf, ob sich der agierende Prozess im ausgeblendeten Modus befindet. |
| ActingProcessInjectedAddress | Optional | String | Die Speicheradresse, an der der verantwortliche agierende Prozess gespeichert ist. |
| ActingProcessId | Obligatorisch. | String | Die Prozess-ID (PID) des handelnden Prozesses. Beispiel: 48610176 Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows und Linux muss dieser Wert numerisch sein. Wenn Sie einen Windows- oder Linux-Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie diesen in einen Dezimalwert. |
| ActingProcessGuid | Optional | Zeichenfolge | Ein generierter eindeutiger Bezeichner (GUID) des agierenden Prozesses. Ermöglicht die systemübergreifende Identifizierung des Prozesses. Beispiel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Optional | String | Jeder Prozess verfügt über eine Integritätsebene, die in seinem Token dargestellt wird. Integritätsebenen bestimmen die Prozessebene des Schutzes oder Zugriffs. Windows definiert die folgenden Integritätsebenen: Niedrig, Mittel, Hoch und System. Standardbenutzer erhalten eine mittlere Integritätsebene und erweiterte Benutzer eine hohe Integritätsebene. Weitere Informationen finden Sie unter OBligatorische Integritätskontrolle – Win32-Apps. |
| ActingProcessMD5 | Optional | String | Der MD5-Hash der Imagedatei des agierenden Prozesses. Beispiel: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Optional | SHA1 | Der SHA-1-Hash der Imagedatei des agierenden Prozesses. Beispiel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Optional | SHA256 | Der SHA-256--Hash der Imagedatei des agierenden Prozesses. Beispiel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Optional | SHA521 | Der SHA-512-Hash der Imagedatei des agierenden Prozesses. |
| ActingProcessIMPHASH | Optional | String | Der Importhash aller Bibliotheks-DLLs, die vom agierenden Prozess verwendet werden. |
| ActingProcessCreationTime | Optional | Datetime | Datum und Uhrzeit des Starts des agierenden Prozesses. |
| ActingProcessTokenElevation | Optional | String | Ein Token, das das Vorhandensein oder Fehlen von UAC-Rechteerweiterung (User Access Control) angibt, die auf den agierenden Prozess angewendet wird. Beispiel: None |
| ActingProcessFileSize | Optional | Long | Die Größe der Datei, die den agierenden Prozess ausgeführt hat. |
Übergeordnete Prozessfelder
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| ParentProcessName | Optional | Zeichenfolge | Der Name des übergeordneten Prozesses. Dieser Name wird häufig vom Image oder von der ausführbaren Datei abgeleitet, die zum Definieren des ursprünglichen Codes und der Daten verwendet wird, die dem virtuellen Adressraum des Prozesses zugeordnet sind. Beispiel: C:\Windows\explorer.exe |
| ParentProcessFileCompany | Optional | String | Der Name des Unternehmens, das die Imagedatei des übergeordneten Prozesses erstellt hat. Beispiel: Microsoft |
| ParentProcessFileDescription | Optional | String | Die Beschreibung aus den Versionsinformationen in der Imagedatei des übergeordneten Prozesses. Beispiel: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Optional | String | Der Produktname aus den Versionsinformationen in der Imagedatei des übergeordneten Prozesses. Beispiel: Notepad++ |
| ParentProcessFileVersion | Optional | String | Die Produktversion aus den Versionsinformationen in der Imagedatei des übergeordneten Prozesses. Beispiel: 7.9.5.0 |
| ParentProcessIsHidden | Optional | Boolean | Ein Hinweis darauf, ob sich der übergeordnete Prozess im ausgeblendeten Modus befindet. |
| ParentProcessInjectedAddress | Optional | String | Die Speicheradresse, an der der verantwortliche übergeordnete Prozess gespeichert ist. |
| ParentProcessId | Empfohlen | String | Die Prozess-ID (PID) des übergeordneten Prozesses. Beispiel: 48610176 |
| ParentProcessGuid | Optional | String | Ein generierter eindeutiger Bezeichner (GUID) des übergeordneten Prozesses. Ermöglicht die systemübergreifende Identifizierung des Prozesses. Beispiel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Optional | String | Jeder Prozess verfügt über eine Integritätsebene, die in seinem Token dargestellt wird. Integritätsebenen bestimmen die Prozessebene des Schutzes oder Zugriffs. Windows definiert die folgenden Integritätsebenen: Niedrig, Mittel, Hoch und System. Standardbenutzer erhalten eine mittlere Integritätsebene und erweiterte Benutzer eine hohe Integritätsebene. Weitere Informationen finden Sie unter OBligatorische Integritätskontrolle – Win32-Apps. |
| ParentProcessMD5 | Optional | MD5 | Der MD5-Hash der Imagedatei des übergeordneten Prozesses. Beispiel: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Optional | SHA1 | Der SHA-1-Hash der Imagedatei des übergeordneten Prozesses. Beispiel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Optional | SHA256 | Der SHA-256-Hash der Imagedatei des übergeordneten Prozesses. Beispiel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Optional | SHA512 | Der SHA-512-Hash der Imagedatei des übergeordneten Prozesses. |
| ParentProcessIMPHASH | Optional | String | Der Importhash aller Bibliotheks-DLLs, die vom übergeordneten Prozess verwendet werden. |
| ParentProcessTokenElevation | Optional | String | Ein Token, das das Vorhandensein oder Fehlen von UAC-Rechteerweiterung (User Access Control) angibt, die auf den übergeordneten Prozess angewendet wird. Beispiel: None |
| ParentProcessCreationTime | Optional | Datetime | Datum und Uhrzeit des Starts des übergeordneten Prozesses. |
Zielbenutzerfelder
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| TargetUsername | Obligatorisch für Prozesserstellungsereignisse. | String | Der Zielbenutzername ggf. mit Informationen zur Domäne. Das unterstützte Format für verschiedene ID-Typen finden Sie unter Die Benutzerentität. Verwenden Sie dieses einfache Format nur, wenn keine Domäneninformationen verfügbar sind. Speichern Sie den Benutzernamenstyp im Feld TargetUsernameType. Wenn andere Benutzernamenformate verfügbar sind, speichern Sie sie in den Feldern TargetUsername<UsernameType>.Beispiel: AlbertE |
| TargetUsernameType | Bedingt | Enumerated | Gibt den Typ des Benutzernamens an, der im Feld TargetUsername gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UsernameType im Artikel „Schemaübersicht“. Beispiel: Windows |
| TargetUserId | Empfohlen | String | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Zielbenutzers. Das unterstützte Format für verschiedene ID-Typen finden Sie unter Die Benutzerentität. Beispiel: S-1-12 |
| TargetUserIdType | Bedingt | String | Der Typ der ID, die im Feld TargetUserId gespeichert ist. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserIdType im Artikel „Schemaübersicht“. |
| TargetUserSessionId | Optional | String | Die eindeutige ID der Anmeldesitzung des Zielbenutzers. Beispiel: 999 Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows muss dieser Wert numerisch sein. Wenn Sie einen Windows- oder Linux-Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie diesen in einen Dezimalwert. |
| TargetUserType | Optional | UserType | Der Typ des Akteurs. Eine Liste der zulässigen Werte und weitere Informationen finden Sie unter UserType im Artikel „Schemaübersicht“. Hinweis: Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld TargetOriginalUserType. |
| TargetOriginalUserType | Optional | String | Der ursprüngliche Zielbenutzertyp, sofern vom meldenden Gerät bereitgestellt. |
Zielprozessfelder
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| TargetProcessName | Obligatorisch. | Zeichenfolge | Der Name des Zielprozesses. Dieser Name wird häufig vom Image oder von der ausführbaren Datei abgeleitet, die zum Definieren des ursprünglichen Codes und der Daten verwendet wird, die dem virtuellen Adressraum des Prozesses zugeordnet sind. Beispiel: C:\Windows\explorer.exe |
| TargetProcessFileCompany | Optional | String | Der Name des Unternehmens, das die Imagedatei des Zielprozesses erstellt hat. Beispiel: Microsoft |
| TargetProcessFileDescription | Optional | String | Die Beschreibung aus den Versionsinformationen in der Imagedatei des Zielprozesses. Beispiel: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Optional | String | Der Produktname aus den Versionsinformationen in der Imagedatei des Zielprozesses. Beispiel: Notepad++ |
| TargetProcessFileSize | Optional | String | Größe der Datei, die den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| TargetProcessFileVersion | Optional | String | Die Produktversion aus den Versionsinformationen in der Imagedatei des Zielprozesses. Beispiel: 7.9.5.0 |
| TargetProcessFileInternalName | Optional | String | Der produktinterne Dateiname aus den Versionsinformationen in der Imagedatei des Zielprozesses. |
| TargetProcessFileOriginalName | Optional | String | Der ursprüngliche Produkdateiname aus den Versionsinformationen der Imagedatei des Zielprozesses. |
| TargetProcessIsHidden | Optional | Boolean | Ein Hinweis darauf, ob sich der Zielprozess im ausgeblendeten Modus befindet. |
| TargetProcessInjectedAddress | Optional | String | Die Speicheradresse, an der der verantwortliche Zielprozess gespeichert ist. |
| TargetProcessMD5 | Optional | MD5 | Der MD5-Hash der Imagedatei des Zielprozesses. Beispiel: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Optional | SHA1 | Der SHA-1-Hash der Imagedatei des Zielprozesses. Beispiel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Optional | SHA256 | Der SHA-256-Hash der Imagedatei des Zielprozesses. Beispiel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Optional | SHA512 | Der SHA-512-Hash der Imagedatei des Zielprozesses. |
| TargetProcessIMPHASH | Optional | String | Der Importhash aller Bibliotheks-DLLs, die vom Zielprozess verwendet werden. |
| HashType | Empfohlen | String | Der Im HASH-Aliasfeld gespeicherte Hashtyp, zulässige Werte sind MD5, SHA, SHA256, SHA512und IMPHASH. |
| TargetProcessCommandLine | Obligatorisch. | String | Die Befehlszeile zum Ausführen des Zielprozesses. Beispiel: "choco.exe" -v |
| TargetProcessCurrentDirectory | Optional | String | Das aktuelle Verzeichnis, in dem der Zielprozess ausgeführt wird. Beispiel: c:\windows\system32 |
| TargetProcessCreationTime | Empfohlen | Datetime | Die Produktversion aus den Versionsinformationen der Imagedatei des Zielprozesses. |
| TargetProcessId | Obligatorisch. | String | Die Prozess-ID (PID) des Zielprozesses. Beispiel: 48610176Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows und Linux muss dieser Wert numerisch sein. Wenn Sie einen Windows- oder Linux-Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie diesen in einen Dezimalwert. |
| TargetProcessGuid | Optional | String | Ein generierter eindeutiger Bezeichner (GUID) des Zielprozesses. Ermöglicht die systemübergreifende Identifizierung des Prozesses. Beispiel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Optional | String | Jeder Prozess verfügt über eine Integritätsebene, die in seinem Token dargestellt wird. Integritätsebenen bestimmen die Prozessebene des Schutzes oder Zugriffs. Windows definiert die folgenden Integritätsebenen: Niedrig, Mittel, Hoch und System. Standardbenutzer erhalten eine mittlere Integritätsebene und erweiterte Benutzer eine hohe Integritätsebene. Weitere Informationen finden Sie unter OBligatorische Integritätskontrolle – Win32-Apps. |
| TargetProcessTokenElevation | Optional | String | Tokentyp, der das Vorhandensein oder Fehlen von UAC-Rechteerweiterungen (User Access Control) angibt, die auf den Prozess angewendet wurden, der erstellt oder beendet wurde. Beispiel: None |
| TargetProcessStatusCode | Optional | String | Der bei Beendigung vom Zielprozess zurückgegebene Exitcode. Dieses Feld ist nur für Ereignisse im Zusammenhang mit dem Prozessende gültig. Aus Gründen der Konsistenz ist der Feldtyp eine Zeichenfolge, auch wenn der vom Betriebssystem bereitgestellte Wert numerisch ist. |
Schemaupdates
In der Version 0.1.1 des Schemas wurde Folgendes geändert:
- Das Feld
EventSchemawurde hinzugefügt.
In der Version 0.1.2 des Schemas wurde Folgendes geändert:
- Die Felder
ActorUserType,ActorOriginalUserType,TargetUserType,TargetOriginalUserTypeundHashTypewurden hinzugefügt.
In der Version 0.1.3 des Schemas wurde Folgendes geändert:
- Die Felder
ParentProcessIdundTargetProcessCreationTimewurden von obligatorisch in empfohlen geändert.
In Version 0.1.4 des Schemas wurde Folgendes geändert:
- Die Felder
ActorScope,DvcScopeIdundDvcScopewurden hinzugefügt.
Nächste Schritte
Weitere Informationen finden Sie unter
- Sehen Sie sich das ASIM-Webinar an, oder befassen Sie sich mit den Folien.
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Schemas für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Parser für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Inhalte für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)