Referencia del esquema de normalización de eventos de proceso del Modelo de información de seguridad avanzada (ASIM): versión preliminar pública
El esquema de normalización de eventos de proceso se usa para describir la actividad de ejecución y finalización de un proceso que lleva a cabo el sistema operativo. Los sistemas operativos y los sistemas de seguridad, como EDR (detección y respuesta de punto de conexión), notifican tales eventos.
Un proceso, tal como lo define OSSEM, es un objeto de contención y administración que representa una instancia en ejecución de un programa. Aunque los propios procesos no se ejecutan, administran subprocesos que ejecutan código.
Para más información sobre la normalización en Microsoft Sentinel, consulte Normalización y Modelo avanzado de información de seguridad (ASIM).
Importante
El esquema de normalización de eventos de proceso está actualmente en versión preliminar. Esta característica se ofrece sin contrato de nivel de servicio y no se recomienda para cargas de trabajo de producción.
En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Analizadores
Para usar los analizadores de unificación que unifiquen todos los analizadores enumerados y asegurarse de realizar análisis en todos los orígenes configurados, use los nombres de tabla siguientes en las consultas:
- imProcessCreate, para consultas que requieren información de creación de procesos. Estas consultas constituyen el caso más común.
- imProcessTerminate, para consultas que requieren información de terminación de procesos.
Para obtener la lista de analizadores del evento de proceso que proporciona Microsoft Sentinel, consulte la lista de analizadores de ASIM.
Implemente los analizadores de autenticación desde el repositorio de Microsoft Sentinel en GitHub.
Para más información, consulte la información general sobre los analizadores de ASIM.
Adición de sus propios analizadores normalizados
Al implementar analizadores para eventos de procesos personalizados, asigne un nombre a las funciones de KQL con la sintaxis siguiente: imProcessCreate<vendor><Product> y imProcessTerminate<vendor><Product>. Reemplace im por ASim para la versión sin parámetros.
Agregue la función KQL a los analizadores de unificación, tal y como se describe en Administración de analizadores de ASIM.
Filtrado de parámetros del analizador
Los analizadores im y vim* admiten parámetros de filtrado. Aunque estos analizadores son opcionales, pueden mejorar el rendimiento de las consultas.
Están disponibles los siguientes parámetros de filtrado:
| Nombre | Escribir | Descripción |
|---|---|---|
| starttime | datetime | Filtre solo los eventos de proceso que ocurrieron a esta hora o después. |
| endtime | datetime | Filtre solo las consultas de los eventos de proceso que ocurrieron a esta hora o antes. |
| commandline_has_any | dinámico | Filtre solo los eventos de proceso para los que la línea de comandos que se ejecutó tiene cualquiera de los valores enumerados. La longitud de la lista se limita a 10 000 elementos. |
| commandline_has_all | dinámico | Filtre solo los eventos de proceso para los que la línea de comandos que se ejecutó tiene todoslos valores enumerados. La longitud de la lista se limita a 10 000 elementos. |
| commandline_has_any_ip_prefix | dinámico | Filtre solo los eventos de proceso para los que la línea de comandos que se ejecutó tiene todas las direcciones IP o prefijos de dirección IP enumerados. Los prefijos deben terminar por ., por ejemplo: 10.0.. La longitud de la lista se limita a 10 000 elementos. |
| actingprocess_has_any | dinámico | Filtre solo los eventos de proceso para los que el nombre del proceso que actúa, que incluye toda la ruta de acceso del proceso, tiene cualquiera de los valores enumerados. La longitud de la lista se limita a 10 000 elementos. |
| targetprocess_has_any | dinámico | Filtre solo los eventos de proceso para los que el nombre del proceso de destino, que incluye toda la ruta de acceso del proceso, tiene cualquiera de los valores enumerados. La longitud de la lista se limita a 10 000 elementos. |
| parentprocess_has_any | dinámico | Filtre solo los eventos de proceso para los que el nombre del proceso de destino, que incluye toda la ruta de acceso del proceso, tiene cualquiera de los valores enumerados. La longitud de la lista se limita a 10 000 elementos. |
| targetusername_has or actorusername_has | string | Filtre solo los eventos de proceso para los que el nombre de usuario de destino (para eventos de creación de procesos) o el nombre de usuario del actor (para eventos de finalización del proceso) tenga cualquiera de los valores enumerados. La longitud de la lista se limita a 10 000 elementos. |
| dvcipaddr_has_any_prefix | dinámico | Filtre solo los eventos de proceso para los que la dirección IP del dispositivo coincide con cualquiera de las direcciones IP o prefijos de dirección IP enumerados. Los prefijos deben terminar por ., por ejemplo: 10.0.. La longitud de la lista se limita a 10 000 elementos. |
| dvchostname_has_any | dinámico | Filtre solo los eventos de proceso para los que el nombre de host del dispositivo (o el FQDN disponible) tiene cualquiera de los valores enumerados. La longitud de la lista se limita a 10 000 elementos. |
| eventtype | string | Filtre solo los eventos de proceso del tipo especificado. |
Por ejemplo, para filtrar solo los eventos de autenticación del último día para un usuario específico, use:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Sugerencia
Para pasar una lista literal a parámetros que esperan un valor dinámico, use explícitamente un literal dinámico. Por ejemplo: dynamic(['192.168.','10.']).
Contenido normalizado
Para obtener una lista completa de las reglas de análisis que usan eventos de proceso normalizados, vea Contenido de seguridad del evento de proceso.
Detalles del esquema
El modelo de información de eventos de proceso está alineado con el esquema de entidades de proceso de OSSEM.
Campos comunes de ASIM
Importante
Los campos comunes a todos los esquemas se describen detalladamente en el artículo Campos comunes de ASIM.
Campos comunes con directrices específicas
La lista siguiente solo enumera los campos que tienen directrices específicas para los eventos de DNS:
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| EventType | Mandatory | Enumerated | Describe la operación notificada por el registro. Para los registros de proceso, los valores admitidos son: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Mandatory | String | Versión del esquema. La versión del esquema que se documenta aquí el la versión 0.1.4. |
| EventSchema | Opcional | String | El nombre del esquema que se documenta aquí es ProcessEvent. |
| Campos dvc | En los eventos de actividad de proceso, los campos de dispositivo hacen referencia al sistema en el que se ejecutó el proceso. |
Importante
El campo EventSchema es actualmente opcional, pero será obligatorio a partir del 1 de septiembre de 2022.
Todos los campos comunes
Los campos que aparecen en la tabla siguiente son comunes a todos los esquemas de ASIM. Cualquier directriz especificada anteriormente invalida las directrices generales para el campo. Por ejemplo, un campo podría ser opcional en general, pero obligatorio para un esquema específico. Para obtener más información sobre cada campo, consulte el siguiente artículo sobre los campos comunes de ASIM.
| Clase | Fields |
|---|---|
| Mandatory | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendado | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcionales | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campos específicos de eventos de proceso
Los campos enumerados en la tabla siguiente son específicos de los eventos de proceso, pero son similares a los campos de otros esquemas y siguen convenciones de nomenclatura similares.
El esquema de eventos de proceso hace referencia a las entidades siguientes, que son fundamentales para procesar la actividad de creación y terminación:
- Actor: usuario que inició la creación o terminación del proceso.
- ActingProcess: proceso que usó el actor para iniciar la creación o terminación del proceso.
- TargetProcess: el nuevo proceso.
- TargetUser: usuario cuyas credenciales se usan para crear el nuevo proceso.
- ParentProcess: el proceso que inició el proceso de actor.
Alias
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| User | Alias | Alias para TargetUsername. Ejemplo: CONTOSO\dadmin |
|
| Process | Alias | Alias para TargetProcessName Ejemplo: C:\Windows\System32\rundll32.exe |
|
| CommandLine | Alias | Alias para TargetProcessCommandLine | |
| Hash | Alias | Alias del mejor hash disponible para el proceso de destino. |
Campos de actor
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| ActorUserId | Recomendado | String | Representación única, alfanumérica y legible del actor. Para obtener el formato admitido para los distintos tipos de identificador, consulte Entidad Usuario. Ejemplo: S-1-12 |
| ActorUserIdType | Condicional | String | Tipo del identificador almacenado en el campo ActorUserId. Para obtener más información y una lista de valores permitidos, consulte UserIdType en el artículo Introducción al esquema. |
| ActorScope | Opcionales | String | El ámbito, como el inquilino de Microsoft Entra, en el que se definen ActorUserId y ActorUsername. Para obtener más información y una lista de los valores permitidos, consulte UserScope en el artículo Introducción al esquema. |
| ActorUsername | Mandatory | String | Nombre de usuario del actor, incluida la información de dominio cuando esté disponible. Para obtener el formato admitido para los distintos tipos de identificador, consulte Entidad Usuario. Use este formato simple solo si no hay disponible información de dominio. Almacene el tipo de nombre de usuario en el campo ActorUsernameType. Si hay disponibles otros formatos de nombre de usuario, almacénelos en los campos ActorUsername<UsernameType>.Ejemplo: AlbertE |
| ActorUsernameType | Condicional | Enumerated | Especifica el tipo de nombre de usuario almacenado en el campo ActorUsername. Para obtener más información y una lista de valores permitidos, consulte UsernameType en el artículo Introducción al esquema. Ejemplo: Windows |
| ActorSessionId | Opcional | String | Identificador único de la sesión de inicio de sesión de Actor. Ejemplo: 999Nota: El tipo se define como cadena para admitir distintos sistemas, pero en Windows este valor debe ser numérico. Si usa una máquina Windows y ha usado un tipo diferente, asegúrese de convertir los valores. Por ejemplo, si ha utilizado un valor hexadecimal, conviértalo en un valor decimal. |
| ActorUserType | Opcionales | UserType | Tipo de actor. Para obtener más información y una lista de valores permitidos, consulte UserType en el artículo Introducción al esquema. Nota: El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. Almacene el valor original en el campo ActorOriginalUserType. |
| ActorOriginalUserType | Opcional | String | El tipo de usuario de destino original, si lo proporciona el dispositivo de informes. |
Campos de procesos de actuación
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| ActingProcessCommandLine | Opcional | String | Línea de comandos utilizada para ejecutar el proceso de acción. Ejemplo: "choco.exe" -v |
| ActingProcessName | Opcional | string | Nombre del proceso de acción. Este nombre se deriva normalmente de la imagen o del archivo ejecutable que se usa para definir el código inicial y los datos asignados al espacio de direcciones virtuales del proceso. Ejemplo: C:\Windows\explorer.exe |
| ActingProcessFileCompany | Opcional | String | La empresa que creó el archivo de imagen del proceso de acción. Ejemplo: Microsoft |
| ActingProcessFileDescription | Opcional | String | Descripción insertada en la información de la versión del archivo de imagen del proceso de acción. Ejemplo: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Opcional | String | Nombre del producto de la información de la versión del archivo de imagen del proceso de acción. Ejemplo: Notepad++ |
| ActingProcessFileVersion | Opcional | String | Versión del producto de la información de la versión del archivo de imagen del proceso de acción. Ejemplo: 7.9.5.0 |
| ActingProcessFileInternalName | Opcional | String | Nombre de archivo interno del producto de la información de la versión del archivo de imagen del proceso de acción. |
| ActingProcessFileOriginalName | Opcional | String | Nombre de archivo original del producto de la información de la versión del archivo de imagen del proceso de acción. Ejemplo: Notepad++.exe |
| ActingProcessIsHidden | Opcional | Boolean | Indicación de si el proceso de acción está en modo oculto. |
| ActingProcessInjectedAddress | Opcional | String | Dirección de memoria en la que se almacena el proceso de acción responsable. |
| ActingProcessId | Mandatory | String | Identificador de proceso (PID) del proceso de acción. Ejemplo: 48610176 Nota: El tipo se define como cadena para admitir distintos sistemas, pero en Windows y Linux este valor debe ser numérico. Si usa una máquina Windows o Linux y usa un tipo diferente, asegúrese de convertir los valores. Por ejemplo, si ha utilizado un valor hexadecimal, conviértalo en un valor decimal. |
| ActingProcessGuid | Opcional | string | Identificador único (GUID) generado del proceso de acción. Permite identificar el proceso entre sistemas. Ejemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Opcional | String | Cada proceso tiene un nivel de integridad que se representa en su token. Los niveles de integridad determinan el nivel de protección o acceso del proceso. Windows define los siguientes niveles de integridad: bajo, medio, alto y sistema. Los usuarios estándar reciben un nivel de integridad medio y los usuarios con privilegios elevados reciben un nivel de integridad alto. Para más información, consulte Control de integridad obligatorio: aplicaciones Win32. |
| ActingProcessMD5 | Opcional | String | Hash MD5 del archivo de imagen del proceso de acción. Ejemplo: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Opcional | SHA1 | Hash SHA-1 del archivo de imagen del proceso de acción. Ejemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Opcionales | SHA256 | Hash SHA-256 del archivo de imagen del proceso de acción. Ejemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Opcionales | SHA521 | Hash SHA-512 del archivo de imagen del proceso de acción. |
| ActingProcessIMPHASH | Opcional | String | Hash de importación de todos los archivos DLL de biblioteca utilizados por el proceso de acción. |
| ActingProcessCreationTime | Opcional | DateTime | La fecha y hora en que se inició el proceso de acción. |
| ActingProcessTokenElevation | Opcional | String | Token que indica la presencia o ausencia de elevación de privilegios de Control de acceso de usuario (UAC) aplicada al proceso de acción. Ejemplo: None |
| ActingProcessFileSize | Opcional | long | Tamaño del archivo que ejecutó el proceso de acción. |
Campos de procesos principales
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| ParentProcessName | Opcional | string | Nombre del proceso principal. Este nombre se deriva normalmente de la imagen o del archivo ejecutable que se usa para definir el código inicial y los datos asignados al espacio de direcciones virtuales del proceso. Ejemplo: C:\Windows\explorer.exe |
| ParentProcessFileCompany | Opcional | String | Nombre de la empresa que creó el archivo de imagen del proceso principal. Ejemplo: Microsoft |
| ParentProcessFileDescription | Opcional | String | Descripción de la información de la versión del archivo de imagen del proceso principal. Ejemplo: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Opcional | String | Nombre del producto de la información de la versión del archivo de imagen del proceso principal. Ejemplo: Notepad++ |
| ParentProcessFileVersion | Opcional | String | Versión del producto de la información de la versión del archivo de imagen del proceso principal. Ejemplo: 7.9.5.0 |
| ParentProcessIsHidden | Opcionales | Boolean | Indicación de si el proceso principal está en modo oculto. |
| ParentProcessInjectedAddress | Opcional | String | Dirección de memoria en la que se almacena el proceso principal responsable. |
| ParentProcessId | Recomendado | String | Identificador de proceso (PID) del proceso primario. Ejemplo: 48610176 |
| ParentProcessGuid | Opcional | String | Identificador único (GUID) generado del proceso principal. Permite identificar el proceso entre sistemas. Ejemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Opcional | String | Cada proceso tiene un nivel de integridad que se representa en su token. Los niveles de integridad determinan el nivel de protección o acceso del proceso. Windows define los siguientes niveles de integridad: bajo, medio, alto y sistema. Los usuarios estándar reciben un nivel de integridad medio y los usuarios con privilegios elevados reciben un nivel de integridad alto. Para más información, consulte Control de integridad obligatorio: aplicaciones Win32. |
| ParentProcessMD5 | Opcionales | MD5 | Hash MD5 del archivo de imagen del proceso principal. Ejemplo: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Opcional | SHA1 | Hash SHA-1 del archivo de imagen del proceso principal. Ejemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Opcional | SHA256 | Hash SHA-256 del archivo de imagen del proceso principal. Ejemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Opcionales | SHA512 | Hash SHA-512 del archivo de imagen del proceso principal. |
| ParentProcessIMPHASH | Opcional | String | Hash de importación de todos los archivos DLL de biblioteca utilizados por el proceso principal. |
| ParentProcessTokenElevation | Opcional | String | Token que indica la presencia o ausencia de elevación de privilegios de Control de acceso de usuario (UAC) aplicada al proceso principal. Ejemplo: None |
| ParentProcessCreationTime | Opcional | DateTime | La fecha y hora en que se inició el proceso principal. |
Campos de usuario de destino
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| TargetUsername | Obligatorio para los eventos de creación de procesos. | String | Nombre de usuario de destino, incluida la información de dominio cuando esté disponible. Para obtener el formato admitido para los distintos tipos de identificador, consulte Entidad Usuario. Use este formato simple solo si no hay disponible información de dominio. Almacene el tipo de nombre de usuario en el campo TargetUsernameType. Si hay disponibles otros formatos de nombre de usuario, almacénelos en los campos TargetUsername<UsernameType>.Ejemplo: AlbertE |
| TargetUsernameType | Condicional | Enumerated | Especifica el tipo de nombre de usuario almacenado en el campo TargetUsername. Para obtener más información y una lista de valores permitidos, consulte UsernameType en el artículo Introducción al esquema. Ejemplo: Windows |
| TargetUserId | Recomendado | String | Representación única, alfanumérica y legible del usuario de destino. Para obtener el formato admitido para los distintos tipos de identificador, consulte Entidad Usuario. Ejemplo: S-1-12 |
| TargetUserIdType | Condicional | String | Tipo de identificador almacenado en el campo TargetUserId. Para obtener más información y una lista de valores permitidos, consulte UserIdType en el artículo Introducción al esquema. |
| TargetUserSessionId | Opcional | String | Identificador único de la sesión de inicio de sesión del usuario de destino. Ejemplo: 999 Nota: El tipo se define como cadena para admitir distintos sistemas, pero en Windows este valor debe ser numérico. Si usa una máquina Windows o Linux y ha usado un tipo diferente, asegúrese de convertir los valores. Por ejemplo, si ha utilizado un valor hexadecimal, conviértalo en un valor decimal. |
| TargetUserType | Opcional | UserType | Tipo de actor. Para obtener más información y una lista de valores permitidos, consulte UserType en el artículo Introducción al esquema. Nota: El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. Almacene el valor original en el campo TargetOriginalUserType. |
| TargetOriginalUserType | Opcionales | String | El tipo de usuario de destino original, si lo proporciona el dispositivo de informes. |
Campos de procesos de destino
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| TargetProcessName | Mandatory | string | Nombre del proceso de destino. Este nombre se deriva normalmente de la imagen o del archivo ejecutable que se usa para definir el código inicial y los datos asignados al espacio de direcciones virtuales del proceso. Ejemplo: C:\Windows\explorer.exe |
| TargetProcessFileCompany | Opcional | String | Nombre de la empresa que creó el archivo de imagen del proceso de destino. Ejemplo: Microsoft |
| TargetProcessFileDescription | Opcional | String | Descripción de la información de la versión del archivo de imagen del proceso de destino. Ejemplo: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Opcional | String | Nombre del producto de la información de la versión del archivo de imagen del proceso de destino. Ejemplo: Notepad++ |
| TargetProcessFileSize | Opcional | String | Tamaño del archivo que ejecutó el proceso responsable del evento. |
| TargetProcessFileVersion | Opcional | String | Versión del producto de la información de la versión del archivo de imagen del proceso de destino. Ejemplo: 7.9.5.0 |
| TargetProcessFileInternalName | Opcional | String | Nombre de archivo interno del producto de la información de la versión del archivo de imagen del proceso de destino. |
| TargetProcessFileOriginalName | Opcional | String | Nombre de archivo original del producto de la información de la versión del archivo de imagen del proceso de destino. |
| TargetProcessIsHidden | Opcional | Boolean | Indicación de si el proceso de destino está en modo oculto. |
| TargetProcessInjectedAddress | Opcional | String | Dirección de memoria en la que se almacena el proceso de destino responsable. |
| TargetProcessMD5 | Opcionales | MD5 | Hash MD5 del archivo de imagen del proceso de destino. Ejemplo: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Opcional | SHA1 | Hash SHA-1 del archivo de imagen del proceso de destino. Ejemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Opcionales | SHA256 | Hash SHA-256 del archivo de imagen del proceso de destino. Ejemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Opcionales | SHA512 | Hash SHA-512 del archivo de imagen del proceso de destino. |
| TargetProcessIMPHASH | Opcional | String | Hash de importación de todos los archivos DLL de biblioteca utilizados por el proceso de destino. |
| HashType | Recomendado | String | El tipo de hash almacenado en el campo de alias HASH, los valores permitidos son MD5, SHA, SHA256SHA512 y IMPHASH. |
| TargetProcessCommandLine | Mandatory | String | Línea de comandos utilizada para ejecutar el proceso de destino. Ejemplo: "choco.exe" -v |
| TargetProcessCurrentDirectory | Opcionales | String | Directorio actual en el que se ejecuta el proceso de destino. Ejemplo: c:\windows\system32 |
| TargetProcessCreationTime | Recomendado | DateTime | Versión del producto de la información de la versión del archivo de imagen del proceso de destino. |
| TargetProcessId | Mandatory | String | Identificador de proceso (PID) del proceso de destino. Ejemplo: 48610176Nota: El tipo se define como cadena para admitir distintos sistemas, pero en Windows y Linux este valor debe ser numérico. Si usa una máquina Windows o Linux y usa un tipo diferente, asegúrese de convertir los valores. Por ejemplo, si ha utilizado un valor hexadecimal, conviértalo en un valor decimal. |
| TargetProcessGuid | Opcional | String | Identificador único (GUID) generado del proceso de destino. Permite identificar el proceso entre sistemas. Ejemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Opcional | String | Cada proceso tiene un nivel de integridad que se representa en su token. Los niveles de integridad determinan el nivel de protección o acceso del proceso. Windows define los siguientes niveles de integridad: bajo, medio, alto y sistema. Los usuarios estándar reciben un nivel de integridad medio y los usuarios con privilegios elevados reciben un nivel de integridad alto. Para más información, consulte Control de integridad obligatorio: aplicaciones Win32. |
| TargetProcessTokenElevation | Opcional | String | Tipo de token que indica la presencia o ausencia de elevación de privilegios de Control de acceso de usuario (UAC) aplicada al proceso que se creó o terminó. Ejemplo: None |
| TargetProcessStatusCode | Opcional | String | El código de salida devuelto por el proceso de destino cuando finaliza. Este campo solo es válido para los eventos de terminación del proceso. Para la coherencia, el tipo de campo es una cadena, incluso si el valor proporcionado por el sistema operativo es numérico. |
Actualizaciones del esquema
Estos son los cambios en la versión 0.1.1 del esquema:
- Se ha agregado el campo
EventSchema.
Estos son los cambios en la versión 0.1.2 del esquema
- Se han agregado los campos
ActorUserType,ActorOriginalUserType,TargetUserType,TargetOriginalUserTypeyHashType.
Estos son los cambios en la versión 0.1.3 del esquema
- Se cambiaron los campos
ParentProcessIdyTargetProcessCreationTimede obligatorio a recomendado.
Estos son los cambios en la versión 0.1.4 del esquema
- Se han agregado los campos
ActorScope,DvcScopeIdyDvcScope.
Pasos siguientes
Para más información, consulte:
- El seminario web de ASIM o las diapositivas
- Introducción al Modelo avanzado de información de seguridad (ASIM)
- Esquemas del Modelo avanzado de información de seguridad (ASIM)
- Analizadores del Modelo avanzado de información de seguridad (ASIM)
- Contenido del Modelo avanzado de información de seguridad (ASIM)