Partager via


Informations de référence sur le schéma de normalisation des événements de processus ASIM (Advanced Security Information Model) (préversion publique)

Le schéma de normalisation des événements de processus est utilisé pour décrire l’activité du système d’exploitation consistant à exécuter et à arrêter un processus. Ces événements sont signalés par les systèmes d’exploitation et les systèmes de sécurité, tels que les systèmes de détection de points de terminaison et de réponse.

Un processus, tel que défini par OSSEM, est un objet de gestion et d’autonomie qui représente une instance en cours d’exécution d’un programme. Alors que les processus eux-mêmes ne s’exécutent pas, ils gèrent les threads qui exécutent du code.

Pour plus d’informations sur la normalisation dans Microsoft Sentinel, consultez Normalisation et Advanced SIEM Information Model (ASIM).

Important

Le schéma de normalisation des événements de processus est actuellement disponible en préversion. Cette fonctionnalité est fournie sans contrat de niveau de service et n’est pas recommandée pour des charges de travail de production.

Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.

Analyseurs

Pour utiliser les analyseurs d’unification qui unifient tous les analyseurs listés et garantir l’analyse de toutes les sources configurées, utilisez les noms de tables suivants dans vos requêtes :

  • imProcessCreate pour les requêtes qui requièrent des informations de création de processus. Ces requêtes sont le cas le plus courant.
  • imProcessTerminate, pour les requêtes qui requièrent des informations d’arrêt de processus.

Pour obtenir la liste des analyseurs d’événements Processus, Microsoft Sentinel fournit une référence prête à l’emploi à la liste des analyseurs ASIM.

Déployez les analyseurs d’authentification à partir du référentiel GitHub de Microsoft Sentinel.

Pour plus d’informations, consultez Vue d’ensemble des analyseurs ASIM.

Ajouter vos propres analyseurs normalisés

Lors de l’implémentation d’analyseurs d’événements de processus personnalisés, nommez vos fonctions KQL avec la syntaxe suivante : imProcessCreate<vendor><Product> et imProcessTerminate<vendor><Product>. Remplacez im par ASim pour la version sans paramètre.

Ajoutez votre fonction KQL aux analyseurs d’unification, comme décrit dans Gestion des analyseurs ASIM.

Paramètres de filtrage des analyseurs

Les analyseurs im et vim* prennent en charge les paramètres de filtrage. Bien que ces analyseurs soient facultatifs, ils peuvent améliorer les performances de vos requêtes.

Les paramètres de filtrage suivants sont disponibles :

Nom Type Description
starttime DATETIME Filtrez uniquement les événements de processus qui se sont produit à cette heure ou après.
endtime DATETIME Filtrez uniquement les requêtes d’événements de processus qui se sont produites à cette heure ou avant.
commandline_has_any dynamique Filtrez uniquement les événements de processus pour lesquels la ligne de commande exécutée a l’une des valeurs répertoriées. La longueur de la liste est limitée à 10 000 éléments.
commandline_has_all dynamique Filtrez uniquement les événements de processus pour lesquels la ligne de commande exécutée a toutes les valeurs répertoriées. La longueur de la liste est limitée à 10 000 éléments.
commandline_has_any_ip_prefix dynamique Filtrez uniquement les événements de processus pour lesquels la ligne de commande exécutée a toutes les adresses IP répertoriées ou les préfixes d’adresses IP. Les préfixes doivent se terminer par . (par exemple : 10.0.). La longueur de la liste est limitée à 10 000 éléments.
actingprocess_has_any dynamique Filtrez uniquement les événements de processus pour lesquels le nom de processus agissant, qui inclut l’intégralité du chemin d’accès du processus, a l’une des valeurs répertoriées. La longueur de la liste est limitée à 10 000 éléments.
targetprocess_has_any dynamique Filtrez uniquement les événements de processus pour lesquels le nom de processus cible, qui inclut l’intégralité du chemin d’accès du processus, a l’une des valeurs répertoriées. La longueur de la liste est limitée à 10 000 éléments.
parentprocess_has_any dynamique Filtrez uniquement les événements de processus pour lesquels le nom de processus cible, qui inclut l’intégralité du chemin d’accès du processus, a l’une des valeurs répertoriées. La longueur de la liste est limitée à 10 000 éléments.
targetusername_has ou actorusername_has string Filtrez uniquement les événements de processus pour lesquels le nom d’utilisateur cible (pour les événements de création de processus) ou le nom d’utilisateur intervenant (pour les événements de fin de processus) possède l’une des valeurs répertoriées. La longueur de la liste est limitée à 10 000 éléments.
dvcipaddr_has_any_prefix dynamique Filtrez uniquement les événements de processus pour lesquels l’adresse IP de l’appareil correspond à l’une des adresses IP ou l’un des préfixes d’adresses IP répertoriés. Les préfixes doivent se terminer par . (par exemple : 10.0.). La longueur de la liste est limitée à 10 000 éléments.
dvchostname_has_any dynamique Filtrez uniquement les événements de processus pour lesquels le nom d’hôte d’appareil, ou le FQDN d’appareil si disponible, a l’une des valeurs répertoriées. La longueur de la liste est limitée à 10 000 éléments.
eventtype string Filtrez uniquement les événements de processus du type spécifié.

Par exemple, pour filtrer uniquement les événements d’authentification du dernier jour sur un utilisateur spécifique, utilisez :

imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())

Conseil

Pour transmettre une liste de littéraux aux paramètres qui attendent une valeur dynamique, utilisez explicitement un littéral dynamique. Par exemple : dynamic(['192.168.','10.']).

Contenu normalisé

Pour obtenir la liste complète des règles analytiques qui utilisent des événements de processus normalisés, consultez Contenu de sécurité des événements de processus.

Détails du schéma

Le modèle d’informations sur les événements de processus est aligné sur le schéma d’entité de processus OSSEM.

Champs ASIM communs

Important

Les champs communs à tous les schémas sont décrits en détail dans l’article Champs communs ASIM.

Champs communs avec des instructions spécifiques

La liste suivante mentionne les champs qui ont des instructions spécifiques pour les événements d’activité :

Champ Classe Type Description
EventType Obligatoire Énuméré Décrit l’opération signalée par l’enregistrement.

Pour les enregistrements de processus, les valeurs prises en charge sont les suivantes :
- ProcessCreated
- ProcessTerminated
EventSchemaVersion Obligatoire Chaîne Version du schéma. La version du schéma documenté ici est 0.1.4
EventSchema Facultatif Chaîne La version du schéma documenté ici est ProcessEvent.
Champs Dvc Pour les événements d’activité de processus, les champs d’appareil font référence au système sur lequel le processus a été exécuté.

Important

Le champ EventSchema est actuellement facultatif, mais deviendra obligatoire le 1er septembre 2022.

Tous les champs communs

Les champs qui apparaissent dans le tableau ci-dessous sont communs à tous les schémas ASIM. Toute instruction spécifiée ci-dessus remplace les instructions générales pour le champ. Par exemple, un champ peut être facultatif en général, mais obligatoire pour un schéma spécifique. Pour plus d’informations sur chaque champ, reportez-vous à l’article Champs communs ASIM.

Classe Fields
Obligatoire - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Recommandé - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Facultatif - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

Champs propres à l’événement de processus

Les champs listés dans le tableau ci-dessous sont propres aux événements de processus, mais sont similaires aux champs d’autres schémas et suivent des conventions d’affectation de noms similaires.

Le schéma d’événement de processus fait référence aux entités suivantes, qui sont le centre de l’activité de création et d’arrêt de processus :

  • Actor - Utilisateur à l’origine de la création ou de l’arrêt du processus.
  • ActingProcess - Processus utilisé par l’intervenant pour initier la création ou l’arrêt du processus.
  • TargetProcess - Nouveau processus.
  • TargetUser - Utilisateur dont les informations d’identification sont utilisées pour créer le nouveau processus.
  • ParentProcess - Processus qui a initié le processus d’intervenant.

Alias

Champ Classe Type Description
Utilisateur Alias Alias du TargetUsername.

Exemple : CONTOSO\dadmin
Processus Alias Alias du TargetProcessName

Exemple : C:\Windows\System32\rundll32.exe
CommandLine Alias Alias du TargetProcessCommandLine
Hash Alias Alias vers le meilleur hachage disponible pour le processus cible.

Champs d’intervenant

Champ Classe Type Description
ActorUserId Recommandé String Représentation unique, alphanumérique et lisible par l’ordinateur de l’intervenant. Pour le format pris en charge pour les différents types d’ID, reportez-vous à l’entité User.

Exemple : S-1-12
ActorUserIdType Logique conditionnelle Chaîne Type de l’ID stocké dans le champ ActorUserId. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à UserIdType dans l’article Vue d’ensemble du schéma.
ActorScope Facultatif String L’étendue, par exemple, tel que le locataire Microsoft Entra, dans lequel ActorUserId et ActorUsername sont définis. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserScope dans l’article Vue d’ensemble du schéma.
ActorUsername Obligatoire Chaîne Nom d’utilisateur de l’intervenant, en incluant les informations de domaine le cas échéant. Pour le format pris en charge pour les différents types d’ID, reportez-vous à l’entité User. Utilisez la forme simple uniquement si les informations de domaine ne sont pas disponibles.

Stockez le type du nom d’utilisateur dans le champ ActorUsernameType. Si d’autres formats de nom d’utilisateur sont disponibles, stockez-les dans les champs ActorUsername<UsernameType>.

Exemple : AlbertE
ActorUsernameType Logique conditionnelle Énuméré Spécifie le type du nom d’utilisateur stocké dans le champ ActorUsername. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à UsernameType dans l’article Vue d’ensemble du schéma.

Exemple : Windows
ActorSessionId Facultatif Chaîne ID unique de la session de connexion de l’Intervenant.

Exemple : 999

Remarque : le type est défini en tant que chaîne pour la prise en charge de différents systèmes. Cependant, sur Windows, cette valeur doit être numérique.

Si vous utilisez un ordinateur Windows et avez utilisé un type différent, assurez-vous de convertir les valeurs. Par exemple, si vous avez utilisé une valeur hexadécimale, convertissez-la en valeur décimale.
ActorUserType Facultatif UserType Type d’intervenant. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à UserType dans l’article Vue d’ensemble du schéma.

Remarque : la valeur peut être fournie dans l’enregistrement source avec des termes différents, qui doivent être normalisés avec ces valeurs. Stockez la valeur d’origine dans le champ ActorOriginalUserType.
ActorOriginalUserType Facultatif String Type d’utilisateur de destination d’origine, s’il est fourni par le dispositif de reporting.

Champs de processus d’action

Champ Classe Type Description
ActingProcessCommandLine Facultatif Chaîne Ligne de commande utilisée pour exécuter le processus agissant.

Exemple : "choco.exe" -v
ActingProcessName Facultatif string Nom du processus agissant. Ce nom est généralement dérivé de l’image ou du fichier exécutable utilisé pour définir le code et les données initiaux mappés dans l’espace d’adressage virtuel du processus.

Exemple : C:\Windows\explorer.exe
ActingProcessFileCompany Facultatif Chaîne Société qui a créé le fichier d’image de processus agissant.

Exemple : Microsoft
ActingProcessFileDescription Facultatif Chaîne Description incorporée dans les informations de version du fichier image du processus agissant.

Exemple : Notepad++ : a free (GPL) source code editor
ActingProcessFileProduct Facultatif Chaîne Nom de produit issu des informations de version dans le fichier image du processus agissant.

Exemple : Notepad++
ActingProcessFileVersion Facultatif Chaîne Version de produit issue des informations de version dans le fichier image du processus agissant.

Exemple : 7.9.5.0
ActingProcessFileInternalName Facultatif Chaîne Nom de fichier interne de produit issu des informations de version dans le fichier image du processus agissant.
ActingProcessFileOriginalName Facultatif Chaîne Nom de fichier d’origine de produit issu des informations de version dans le fichier image du processus agissant.

Exemple : Notepad++.exe
ActingProcessIsHidden Facultatif Booléen Indique si le processus agissant est en mode masqué.
ActingProcessInjectedAddress Facultatif Chaîne Adresse mémoire dans laquelle le processus agissant responsable est stocké.
ActingProcessId Obligatoire Chaîne ID de processus (PID) du processus agissant.

Exemple : 48610176

Remarque : Le type est défini en tant que chaîne pour la prise en charge de différents systèmes. Cependant, sur Windows et Linux cette valeur doit être numérique.

Si vous utilisez un ordinateur Windows ou Linux et avez utilisé un type différent, assurez-vous de convertir les valeurs. Par exemple, si vous avez utilisé une valeur hexadécimale, convertissez-la en valeur décimale.
ActingProcessGuid Facultatif string Identificateur unique (GUID) généré du processus agissant. Permet d’identifier le processus entre les systèmes.

Exemple : EF3BD0BD-2B74-60C5-AF5C-010000001E00
ActingProcessIntegrityLevel Facultatif Chaîne Chaque processus a un niveau d’intégrité représenté dans son jeton. Les niveaux d’intégrité déterminent le niveau de protection ou l’accès au processus.

Windows définit les niveaux d’intégrité suivants : low, medium, high et system. Les utilisateurs Standard reçoivent un niveau d’intégrité moyen (medium) et les utilisateurs avec élévation de privilège reçoivent un niveau d’intégrité élevé (high).

Pour plus d’informations, consultez Contrôle d’intégrité obligatoire - Applications Win32.
ActingProcessMD5 Facultatif Chaîne Hachage MD5 du fichier image du processus agissant.

Exemple : 75a599802f1fa166cdadb360960b1dd0
ActingProcessSHA1 Facultatif SHA1 Hachage SHA-1 du fichier image du processus agissant.

Exemple : d55c5a4df19b46db8c54c801c4665d3338acdab0
ActingProcessSHA256 Facultatif SHA256 Hachage SHA-256 du fichier image du processus agissant.

Exemple :
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
ActingProcessSHA512 Facultatif SHA521 Hachage SHA-512 du fichier image du processus agissant.
ActingProcessIMPHASH Facultatif Chaîne Le hachage d’importation de toutes les dll de bibliothèque utilisées par le processus agissant.
ActingProcessCreationTime Facultatif DateTime Date et heure du début du processus agissant.
ActingProcessTokenElevation Facultatif Chaîne Jeton indiquant la présence ou l’absence de l’élévation des privilèges de l’utilisateur Access Control (UAC) appliquée au processus agissant.

Exemple : None
ActingProcessFileSize Facultatif Long Taille du fichier qui a exécuté le processus agissant.

Champs de processus parent

Champ Classe Type Description
ParentProcessName Facultatif string Nom du processus parent. Ce nom est généralement dérivé de l’image ou du fichier exécutable utilisé pour définir le code et les données initiaux mappés dans l’espace d’adressage virtuel du processus.

Exemple : C:\Windows\explorer.exe
ParentProcessFileCompany Facultatif Chaîne Nom de la société qui a créé le fichier d’image de processus parent.

Exemple : Microsoft
ParentProcessFileDescription Facultatif Chaîne Description des informations de version dans le fichier image du processus parent.

Exemple : Notepad++ : a free (GPL) source code editor
ParentProcessFileProduct Facultatif Chaîne Nom de produit issu des informations de version dans le fichier image du processus parent.

Exemple : Notepad++
ParentProcessFileVersion Facultatif Chaîne Version de produit issue des informations de version dans le fichier image du processus parent.

Exemple : 7.9.5.0
ParentProcessIsHidden Facultatif Booléen Indique si le processus parent est en mode masqué.
ParentProcessInjectedAddress Facultatif Chaîne Adresse mémoire dans laquelle le processus parent responsable est stocké.
ParentProcessId Recommandé Chaîne ID de processus (PID) du processus parent.

Exemple : 48610176
ParentProcessGuid Facultatif Chaîne Identificateur unique (GUID) généré du processus parent. Permet d’identifier le processus entre les systèmes.

Exemple : EF3BD0BD-2B74-60C5-AF5C-010000001E00
ParentProcessIntegrityLevel Facultatif Chaîne Chaque processus a un niveau d’intégrité représenté dans son jeton. Les niveaux d’intégrité déterminent le niveau de protection ou l’accès au processus.

Windows définit les niveaux d’intégrité suivants : low, medium, high et system. Les utilisateurs Standard reçoivent un niveau d’intégrité moyen (medium) et les utilisateurs avec élévation de privilège reçoivent un niveau d’intégrité élevé (high).

Pour plus d’informations, consultez Contrôle d’intégrité obligatoire - Applications Win32.
ParentProcessMD5 Facultatif MD5 Hachage MD5 du fichier image du processus parent.

Exemple : 75a599802f1fa166cdadb360960b1dd0
ParentProcessSHA1 Facultatif SHA1 Hachage SHA-1 du fichier image du processus parent.

Exemple : d55c5a4df19b46db8c54c801c4665d3338acdab0
ParentProcessSHA256 Facultatif SHA256 Hachage SHA-256 du fichier image du processus parent.

Exemple :
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
ParentProcessSHA512 Facultatif SHA512 Hachage SHA-512 du fichier image du processus parent.
ParentProcessIMPHASH Facultatif Chaîne Le hachage d’importation de toutes les dll de bibliothèque utilisées par le processus parent.
ParentProcessTokenElevation Facultatif Chaîne Jeton indiquant la présence ou l’absence de l’élévation des privilèges de l’utilisateur Access Control (UAC) appliquée au processus parent.

Exemple : None
ParentProcessCreationTime Facultatif DateTime Date et heure du début du processus parent.

Champs utilisateur cibles

Champ Classe Type Description
TargetUsername Obligatoire pour les événements de création de processus. String Nom d’utilisateur cible, en incluant les informations de domaine le cas échéant. Pour le format pris en charge pour les différents types d’ID, reportez-vous à l’entité User. Utilisez la forme simple uniquement si les informations de domaine ne sont pas disponibles.

Stockez le type du nom d’utilisateur dans le champ TargetUsernameType. Si d’autres formats de nom d’utilisateur sont disponibles, stockez-les dans les champs TargetUsername<UsernameType>.

Exemple : AlbertE
TargetUsernameType Logique conditionnelle Énuméré Spécifie le type du nom d’utilisateur stocké dans le champ TargetUsername. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à UsernameType dans l’article Vue d’ensemble du schéma.

Exemple : Windows
TargetUserId Recommandé String Représentation unique, alphanumérique et lisible par l’ordinateur de l’utilisateur cible. Pour le format pris en charge pour les différents types d’ID, reportez-vous à l’entité User.

Exemple : S-1-12
TargetUserIdType Logique conditionnelle Chaîne Type de l’ID stocké dans le champ TargetUserId. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à UserIdType dans l’article Vue d’ensemble du schéma.
TargetUserSessionId Facultatif Chaîne ID unique de la session de connexion de l’utilisateur cible.

Exemple : 999

Remarque : le type est défini en tant que chaîne pour la prise en charge de différents systèmes. Cependant, sur Windows, cette valeur doit être numérique.

Si vous utilisez un ordinateur Windows ou Linux et avez utilisé un type différent, assurez-vous de convertir les valeurs. Par exemple, si vous avez utilisé une valeur hexadécimale, convertissez-la en valeur décimale.
TargetUserType Facultatif UserType Type d’intervenant. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à UserType dans l’article Vue d’ensemble du schéma.

Remarque : la valeur peut être fournie dans l’enregistrement source avec des termes différents, qui doivent être normalisés avec ces valeurs. Stockez la valeur d’origine dans le champ TargetOriginalUserType.
TargetOriginalUserType Facultatif String Type d’utilisateur de destination d’origine, s’il est fourni par le dispositif de reporting.

Champs de processus cible

Champ Classe Type Description
TargetProcessName Obligatoire string Nom du processus cible. Ce nom est généralement dérivé de l’image ou du fichier exécutable utilisé pour définir le code et les données initiaux mappés dans l’espace d’adressage virtuel du processus.

Exemple : C:\Windows\explorer.exe
TargetProcessFileCompany Facultatif Chaîne Nom de la société qui a créé le fichier d’image de processus cible.

Exemple : Microsoft
TargetProcessFileDescription Facultatif Chaîne Description des informations de version dans le fichier image du processus cible.

Exemple : Notepad++ : a free (GPL) source code editor
TargetProcessFileProduct Facultatif Chaîne Nom de produit issu des informations de version dans le fichier image du processus cible.

Exemple : Notepad++
TargetProcessFileSize Facultatif Chaîne Taille du fichier qui a exécuté le processus responsable de l’événement.
TargetProcessFileVersion Facultatif Chaîne Version de produit issue des informations de version dans le fichier image du processus cible.

Exemple : 7.9.5.0
TargetProcessFileInternalName Facultatif Chaîne Nom de fichier interne de produit issu des informations de version dans le fichier image du processus cible.
TargetProcessFileOriginalName Facultatif Chaîne Nom de fichier d’origine de produit issu des informations de version dans le fichier image du processus cible.
TargetProcessIsHidden Facultatif Booléen Indique si le processus cible est en mode masqué.
TargetProcessInjectedAddress Facultatif Chaîne Adresse mémoire dans laquelle le processus cible responsable est stocké.
TargetProcessMD5 Facultatif MD5 Hachage MD5 du fichier image du processus cible.

Exemple : 75a599802f1fa166cdadb360960b1dd0
TargetProcessSHA1 Facultatif SHA1 Hachage SHA-1 du fichier image du processus cible.

Exemple : d55c5a4df19b46db8c54c801c4665d3338acdab0
TargetProcessSHA256 Facultatif SHA256 Hachage SHA-256 du fichier image du processus cible.

Exemple :
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
TargetProcessSHA512 Facultatif SHA512 Hachage SHA-512 du fichier image du processus cible.
TargetProcessIMPHASH Facultatif Chaîne Le hachage d’importation de toutes les dll de bibliothèque utilisées par le processus cible.
HashType Recommandé Chaîne Le type de hachage stocké dans le champ d’alias HASH, les valeurs autorisées sont MD5, SHA, SHA256, SHA512 et IMPHASH.
TargetProcessCommandLine Obligatoire Chaîne Ligne de commande utilisée pour exécuter le processus cible.

Exemple : "choco.exe" -v
TargetProcessCurrentDirectory Facultatif Chaîne Répertoire actif dans lequel le processus cible est exécuté.

Exemple : c:\windows\system32
TargetProcessCreationTime Recommandé DateTime Version de produit issue des informations de version dans le fichier image du processus cible.
TargetProcessId Obligatoire Chaîne ID de processus (PID) du processus cible.

Exemple : 48610176

Remarque : Le type est défini en tant que chaîne pour la prise en charge de différents systèmes. Cependant, sur Windows et Linux cette valeur doit être numérique.

Si vous utilisez un ordinateur Windows ou Linux et avez utilisé un type différent, assurez-vous de convertir les valeurs. Par exemple, si vous avez utilisé une valeur hexadécimale, convertissez-la en valeur décimale.
TargetProcessGuid Facultatif Chaîne Identificateur unique (GUID) généré du processus cible. Permet d’identifier le processus entre les systèmes.

Exemple : EF3BD0BD-2B74-60C5-AF5C-010000001E00
TargetProcessIntegrityLevel Facultatif Chaîne Chaque processus a un niveau d’intégrité représenté dans son jeton. Les niveaux d’intégrité déterminent le niveau de protection ou l’accès au processus.

Windows définit les niveaux d’intégrité suivants : low, medium, high et system. Les utilisateurs Standard reçoivent un niveau d’intégrité moyen (medium) et les utilisateurs avec élévation de privilège reçoivent un niveau d’intégrité élevé (high).

Pour plus d’informations, consultez Contrôle d’intégrité obligatoire - Applications Win32.
TargetProcessTokenElevation Facultatif Chaîne Type de jeton indiquant la présence ou l’absence de l’élévation des privilèges de l’utilisateur Access Control (UAC) appliquée au processus qui a été créé ou arrêté.

Exemple : None
TargetProcessStatusCode Facultatif String Code de sortie retourné par le processus cible en cas d’arrêt. Ce champ est valide uniquement pour les événements d’arrêt de processus. Pour garantir la cohérence, le type de champ est une chaîne, même si la valeur fournie par le système d’exploitation est numérique.

Mises à jour du schéma

Voici les modifications apportées à la version 0.1.1 du schéma :

  • Ajout du champ EventSchema.

Voici les modifications apportées à la version 0.1.2 du schéma :

  • Ajout des champs ActorUserType, ActorOriginalUserType, TargetUserType, TargetOriginalUserType et HashType.

Voici les modifications apportées à la version 0.1.3 du schéma

  • Modifiez les champs ParentProcessId et TargetProcessCreationTime d’obligatoires en recommandés.

Voici les modifications apportées à la version 0.1.4 du schéma

  • Ajout des champs ActorScope, DvcScopeId et DvcScope.

Étapes suivantes

Pour plus d'informations, consultez les pages suivantes :