הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
סכימת הנורמלית של אירוע התהליך משמשת לתיאור הפעילות של מערכת ההפעלה של הפעלה ותנאי סיום של תהליך. אירועים אלה מדווחים על-ידי מערכות הפעלה ומערכות אבטחה, כגון מערכות EDR (זיהוי נקודות קצה ותגובה).
תהליך, כפי שהוגדר על-ידי OSSEM, הוא אובייקט הכלה וניהול המייצג מופע פועל של תוכנית. בעוד שתהליכים עצמם אינם פועלים, הם מנהלים הליכי משנה שפועלים ומבצעים קוד.
לקבלת מידע נוסף אודות נרמול ב- Microsoft Sentinel, ראה נרמול ומודל מידע אבטחה מתקדם (ASIM).
מנתחי מבנה טקסט
כדי להשתמש במנתחים המקשרים אחדים שמקשרים בין כל המנתחים הרשומים ומבטיחים שתנתח בכל המקורות שתצורתם נקבעה, השתמש בשמות הטבלאות הבאים בשאילתות שלך:
- imProcessצור עבור שאילתות הדורשות מידע אודות יצירת תהליך. שאילתות אלה הן המקרה הנפוץ ביותר.
- imProcessTerminate עבור שאילתות הדורשות פרטי סיום תהליך.
לקבלת הרשימה של מנתחי אירוע Microsoft Sentinel מספקת את הטקסט שברצונך להוציא מהתיבה, עיין ברשימה מנתחי ASIM.
פרוס את מנתחי האימות Microsoft Sentinel GitHub.
לקבלת מידע נוסף, ראה מבט כולל על מנתחי ASIM.
הוספת מנתחים מנומולים משלך
בעת יישום מנתחי אירועים של תהליך מותאם אישית, תן שם לפונקציות KQL באמצעות התחביר הבא: imProcessCreate<vendor><Product> ו- imProcessTerminate<vendor><Product>. החלף im ב ASim עבור הגירסה ללא פרמטרים.
הוסף את הפונקציה KQL למנתחים המקשרים, כמתואר בניהול מנתחי ASIM.
סינון פרמטרים של מנתח
המנתחים imvim* ומנתחי הטקסט תומכים בפרמטרים של סינון. בעוד מנתחים אלה הם אופציונליים, הם יכולים לשפר את ביצועי השאילתה שלך.
הפרמטרים הבאים לסינון זמינים:
| Name | סוג | תיאור |
|---|---|---|
| זמן התחלה | Datetime | סנן רק אירועי תהליך שהתרחשו בשעה זו או לאחר מכן. פרמטר TimeGenerated זה מסנן בשדה, שהוא המציין הסטנדרטי עבור מועד האירוע, ללא קשר למיפוי הספציפי למנתח של השדות EventStartTime ו- EventEndTime. |
| שעת סיום | Datetime | סנן רק שאילתות של אירועי עיבוד שהתרחשו בשעה זו או לפניה. פרמטר TimeGenerated זה מסנן בשדה, שהוא המציין הסטנדרטי עבור מועד האירוע, ללא קשר למיפוי הספציפי למנתח של השדות EventStartTime ו- EventEndTime. |
| commandline_has_any | דינמי | סנן רק אירועי עיבוד שעבורם שורת הפקודה שבוצעה מכילה כל אחד מהערכים המפורטים. אורך הרשימה מוגבל ל- 10,000 פריטים. |
| commandline_has_all | דינמי | סנן רק אירועי עיבוד שעבורם שורת הפקודה שבוצעה מכילה את כל הערכים המפורטים. אורך הרשימה מוגבל ל- 10,000 פריטים. |
| commandline_has_any_ip_prefix | דינמי | סנן רק אירועי תהליך שעבורם שורת הפקודה שבוצעה כוללת את כל כתובות ה- IP או קידומות כתובות ה- IP המפורטות. קידומות צריכות להסתיים ב- ., לדוגמה: 10.0.. אורך הרשימה מוגבל ל- 10,000 פריטים. |
| actingprocess_has_any | דינמי | סנן רק אירועי תהליך שעבורם שם התהליך הפועל, הכולל את נתיב התהליך כולו, כוללים כל אחד מהערכים המפורטים. אורך הרשימה מוגבל ל- 10,000 פריטים. |
| targetprocess_has_any | דינמי | סנן רק אירועי תהליך שעבורם שם תהליך היעד, הכולל את נתיב התהליך כולו, כולל כל אחד מהערכים המפורטים. אורך הרשימה מוגבל ל- 10,000 פריטים. |
| parentprocess_has_any | דינמי | סנן רק אירועי תהליך שעבורם שם תהליך היעד, הכולל את נתיב התהליך כולו, כולל כל אחד מהערכים המפורטים. אורך הרשימה מוגבל ל- 10,000 פריטים. |
| targetusername_has או actorusername_has | מחרוזת | סנן רק אירועי תהליך שעבורם שם המשתמש המשמש כיעד (עבור אירועי יצירת תהליך) או שם משתמש של שחקן (עבור אירועי סיום תהליך) כוללת כל אחד מהערכים המפורטים. אורך הרשימה מוגבל ל- 10,000 פריטים. |
| dvcipaddr_has_any_prefix | דינמי | סנן רק אירועי תהליך שעבורם כתובת ה- IP של המכשיר תואמת לכל אחת מכתובות ה- IP או הקידומות של כתובות ה- IP המפורטות. קידומות צריכות להסתיים ב- ., לדוגמה: 10.0.. אורך הרשימה מוגבל ל- 10,000 פריטים. |
| dvchostname_has_any | דינמי | סנן רק אירועי עיבוד שעבורם זמין שם המחשב המארח של המכשיר או המכשיר FQDN, כל אחד מהערכים המפורטים. אורך הרשימה מוגבל ל- 10,000 פריטים. |
| סוג אירוע | מחרוזת | סנן רק אירועי עיבוד מסוג שצוין. |
לדוגמה, כדי לסנן אירועי אימות בלבד מהיום האחרון למשתמש ספציפי, השתמש בפעולות הבאות:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
עצה
כדי להעביר רשימה מילולית לפרמטרים המצפים לערך דינאמי, השתמש באופן מפורש בליטרלי דינאמי. לדוגמה: dynamic(['192.168.','10.']).
תוכן מנורמה
לקבלת רשימה מלאה של כללי ניתוח המשתמשים באירועי תהליך מנומול, ראה עיבוד תוכן אבטחה של אירוע.
פרטי סכימה
מודל המידע של אירוע התהליך מיושר אל סכימת הישות של תהליך OSSEM.
שדות ASIM נפוצים
חשוב
שדות המשותפים לכל הסכימות מתוארים בפירוט במאמר שדות משותפים של ASIM .
שדות משותפים עם קווים מנחים ספציפיים
הרשימה הבאה מציינת שדות הכוללים קווים מנחים ספציפיים לאירועי פעילות בתהליך:
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| סוג אירוע | חובה | ספירה | מתאר את הפעולה שדווחה על-ידי הרשומה. עבור רשומות תהליך, הערכים הנתמכים כוללים: - ProcessCreated - ProcessTerminated |
| לוח אירועים | חובה | SchemaVersion (מחרוזת) | גירסת הסכימה. גירסת הסכימה התהמסמכים כאן היא 0.1.4 |
| מסת אירוע | חובה | מחרוזת | שם הסכימה התהמסמכים כאן הוא ProcessEvent. |
| שדות Dvc | עבור אירועי פעילות בתהליך, שדות מכשירים מתייחסים למערכת שבה התהליך בוצע. |
חשוב
השדה EventSchema הוא אופציונלי כעת, אך יהפוך להכרחי ב- 1 בספטמבר 2022.
כל השדות המשותפים
שדות המופיעים בטבלה שלהלן משותפים לכל סכימות ה- ASIM. כל קו מנחה שצוין לעיל עוקף את הקווים המנחים הכלליים עבור השדה. לדוגמה, שדה עשוי להיות אופציונלי באופן כללי, אך הכרחי עבור סכימה ספציפית. לקבלת פרטים נוספים על כל שדה, עיין במאמר שדות משותפים של ASIM .
| מחלקה | שדות |
|---|---|
| חובה |
-
מספר אירועים - EventStartTime - EventEndTime - סוג אירוע - EventResult - EventProduct - אירועים ודור - מסת אירוע - לוח אירועים - Dvc (Dvc) |
| מומלץ |
-
EventResultDetails - תם האירוע - EventUid - DvcIpAddr - DvcHostname - DvcDomain - סוג DvcDomain - DvcFQDN - מזהה DvcId - סוג DvcId - DvcAction |
| אופציונלי |
-
הודעת אירוע - סוג אירוע - EventOriginalUid - סוג אירועאוריגינאלי - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - לוח אירועים - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - שדות נוספים - DvcDescription - DvcScopeId - DvcScope |
עבד שדות ספציפיים לאירוע
השדות המפורטים בטבלה שלהלן ספציפיים לאירועי תהליך, אך הם דומים לשדות בסכימות אחרות ופועלים לפי מוסכמות דומות למתן שמות.
סכימת אירוע התהליך מפנה לישויות הבאות, מרכזיות לעיבוד פעילות יצירה וסימור:
- מעורר - המשתמש שיזם את יצירת התהליך או את סיום התהליך.
- ActingProcess - התהליך המשמש את המעוין ליזום יצירה או סיום של תהליך.
- TargetProcess - התהליך החדש.
- TargetUser - המשתמש שה האישורים שלו משמשים ליצירת התהליך החדש.
- ParentProcess - התהליך שהתחל את תהליך המעוות.
כינויים
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| משתמש | כינוי | כינוי ל - TargetUsername. דוגמה CONTOSO\dadmin |
|
| תהליך | כינוי | כינוי ל - TargetProcessName דוגמה C:\Windows\System32\rundll32.exe |
|
| קו פקודה | כינוי | כינוי ל - TargetProcessCommandLine | |
| Hash | כינוי | כינוי ל- Hash הזמין הטוב ביותר עבור תהליך היעד. |
שדות 'מעורר'
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| ActorUserId | מומלץ | מחרוזת | ייצוג אלפאנומרי ייחודי קריא של מכונה של המעוין. עבור התבנית הנתמכת עבור סוגי מזהים שונים, עיין בישות המשתמש. דוגמה S-1-12 |
| ActorUserIdType | מותנה | ספירה | סוג המזהה המאוחסן בשדה ActorUserId . לקבלת רשימה של ערכים מותרים ומידע נוסף עיין ב - UserIdType במאמר סקירת סכימה. |
| סקופ מעורר | אופציונלי | מחרוזת | הטווח, כגון דייר Microsoft Entra, שבו הוגדרו ActorUserIdו- ActorUsername. או מידע נוסף ורשימה של ערכים מותרים, ראה UserScope במאמר מבט כולל על הסכימה. |
| ActorScopeId | אופציונלי | מחרוזת | מזהה הטווח, כגון מזהה Microsoft Entra, שבו הוגדרו ActorUserIdו- ActorUsername. או מידע נוסף ורשימה של ערכים מותרים, ראה UserScopeId במאמר מבט כולל על הסכימה. |
| שם משתמש של שחקן | חובה | שם משתמש (מחרוזת) | שם המשתמש של המעוות, כולל פרטי תחום כאשר הוא זמין. עבור התבנית הנתמכת עבור סוגי מזהים שונים, עיין בישות המשתמש. השתמש בטופס הפשוט רק אם פרטי תחום אינם זמינים. אחסן את סוג שם המשתמש בשדה ActorUsernameType . אם תבניות שם משתמש אחרות זמינות, אחסן אותן בשדות ActorUsername<UsernameType>.דוגמה AlbertE |
| ActorUsernameType | מותנה | ספירה | מציין את סוג שם המשתמש המאוחסן בשדה ActorUsername . לקבלת רשימה של ערכים מותרים ומידע נוסף, ראה UsernameType במאמר מבט כולל על סכימה. דוגמה Windows |
| ActorSessionId | אופציונלי | מחרוזת | המזהה הייחודי של הפעלת הכניסה של המעויר. דוגמה 999הערה: הסוג מוגדר כמחרוזת לתמיכה במערכות משתנות, אך ב- Windows ערך זה חייב להיות מספרי. אם אתה משתמש במחשב Windows והשתמשת בסוג אחר, הקפד להמיר את הערכים. לדוגמה, אם השתמשת בערך הקסדצימאלי, המר אותו לערך עשרוני. |
| ActorUserType | אופציונלי | סוג משתמש | סוג המעומעון. לקבלת רשימה של ערכים מותרים ומידע נוסף עיין ב- UserType במאמר סקירת סכימה. הערה: ייתכן שהערך יצוין ברשומת המקור באמצעות מונחים שונים, שיש לנוירמול לערכים אלה. אחסן את הערך המקורי בשדה ActorOriginalUserType . |
| ActorOriginalUserType | אופציונלי | מחרוזת | סוג המשתמש המשמש כיעד המקורי, אם סופק על-ידי התקן הדיווח. |
שדות תהליך פועל
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| ActingProcessCommandLine | אופציונלי | מחרוזת | שורת הפקודה המשמשת להפעלת התהליך הפועל. דוגמה "choco.exe" -v |
| ActingProcessName | אופציונלי | מחרוזת | שם התהליך בפועל. שם זה נגזר בדרך כלל מהתמונה או מקובץ ההפעלה המשמש להגדרת הקוד הראשוני והנתונים הממופים אל שטח הכתובות הווירטואלי של התהליך. דוגמה C:\Windows\explorer.exe |
| ActingProcessFilename | אופציונלי | מחרוזת | חלק שם הקובץ של , ActingProcessNameללא פרטי תיקיה. דוגמה explorer.exe |
| ActingProcessFileCompany | אופציונלי | מחרוזת | החברה שיצרה את קובץ התמונה של התהליך בפועל. דוגמה Microsoft |
| ActingProcessFileDescription | אופציונלי | מחרוזת | התיאור מוטבע במידע הגירסה של קובץ תמונת התהליך בפועל. דוגמה Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | אופציונלי | מחרוזת | שם המוצר ממידע הגירסה בקובץ התמונה של התהליך הפועל. דוגמה Notepad++ |
| ActingProcessFileVersion | אופציונלי | מחרוזת | גירסת המוצר ממידע הגירסה של קובץ תמונת התהליך הפועל. דוגמה 7.9.5.0 |
| ActingProcessFileInternalName | אופציונלי | מחרוזת | שם הקובץ הפנימי של המוצר ממידע הגירסה של קובץ תמונת התהליך בפועל. |
| ActingProcessFileOriginalName | אופציונלי | מחרוזת | שם הקובץ המקורי של המוצר ממידע הגירסה של קובץ תמונת התהליך בפועל. דוגמה Notepad++.exe |
| פועלProcessIsHidden | אופציונלי | בוליאני | אינדיקציה אם תהליך המשחק נמצא במצב מוסתר. |
| ActingProcessInjectedAddress | אופציונלי | מחרוזת | כתובת הזיכרון שבה מאוחסן התהליך האחראי בפועל. |
| ActingProcessId | חובה | מחרוזת | מזהה התהליך (PID) של התהליך הפועל. דוגמה 48610176 הערה: הסוג מוגדר כמחרוזת לתמיכה במערכות משתנות, אך ב- Windows Linux ערך זה חייב להיות מספרי. אם אתה משתמש במחשב Windows או Linux והשתמשו בסוג אחר, הקפד להמיר את הערכים. לדוגמה, אם השתמשת בערך הקסדצימאלי, המר אותו לערך עשרוני. |
| פועלProcessGuid | אופציונלי | GUID (מחרוזת) | מזהה ייחודי (GUID) שנוצר של התהליך הפועל. מאפשר זיהוי התהליך במערכות שונות. דוגמה EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | אופציונלי | מחרוזת | לכל תהליך יש רמת תקינות המיוצגת לאסימון שלו. רמות תקינות קובעות את רמת ההגנה או הגישה של התהליך. Windows מגדיר את רמות התקינות הבאות: נמוכה, בינונית, גבוהה ומערכת. Standard מקבלים רמת תקינות בינונית ומשתמשים עם הרשאות מלאות מקבלים רמת תקינות גבוהה. לקבלת מידע נוסף, ראה בקרת תקינות הכרחית - יישומי Win32. |
| ActingProcessMD5 | אופציונלי | מחרוזת | קוד ה- Hash של MD5 של קובץ תמונת התהליך הפועל. דוגמה 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | אופציונלי | שער 1 | קוד ה- Hash של SHA-1 של קובץ תמונת התהליך הפועל. דוגמה d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| מעבד בפועלSHA256 | אופציונלי | עדי תם | קוד ה- Hash של SHA-256 של קובץ תמונת התהליך בפועל. דוגמה: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| פועל- תהליךSHA512 | אופציונלי | עדי תם | קוד ה- Hash SHA-512 של קובץ תמונת התהליך הפועל. |
| ActingProcessIMPHASH | אופציונלי | מחרוזת | קוד ה- Hash של כל קבצי ה- DLL של הספריה המשמשים את התהליך הפועל. |
| ActingProcessCreationTime | אופציונלי | Datetime | התאריך והשעה שבהם החל תהליך המשחק. |
| ActingProcessTokenElevation | אופציונלי | מחרוזת | אסימון המציין את רמת הנוכחות או היעדרה של העלאת רמת הרשאה של בקרת גישת משתמש (UAC) שחלה על התהליך הפועל. דוגמה None |
| ActingProcessFileSize | אופציונלי | זמן | גודל הקובץ שהרץ את התהליך הפועל. |
שדות תהליך אב
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| ParentProcessName | אופציונלי | מחרוזת | שם תהליך האב. שם זה נגזר בדרך כלל מהתמונה או מקובץ ההפעלה המשמש להגדרת הקוד הראשוני והנתונים הממופים אל שטח הכתובות הווירטואלי של התהליך. דוגמה C:\Windows\explorer.exe |
| ParentProcessFileCompany | אופציונלי | מחרוזת | שם החברה שיצרה את קובץ התמונה של תהליך האב. דוגמה Microsoft |
| ParentProcessFileDescription | אופציונלי | מחרוזת | התיאור ממידע הגירסה בקובץ התמונה של תהליך האב. דוגמה Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | אופציונלי | מחרוזת | שם המוצר ממידע הגירסה בקובץ תמונת תהליך אב. דוגמה Notepad++ |
| ParentProcessFileVersion | אופציונלי | מחרוזת | גירסת המוצר ממידע הגירסה בקובץ תמונת תהליך אב. דוגמה 7.9.5.0 |
| ParentProcessIsHidden | אופציונלי | בוליאני | סימן לכך שתהליך האב נמצא במצב מוסתר. |
| ParentProcessInjectedAddress | אופציונלי | מחרוזת | כתובת הזיכרון שבה מאוחסן תהליך האב האחראי. |
| ParentProcessId | מומלץ | מחרוזת | מזהה התהליך (PID) של תהליך האב. דוגמה 48610176 |
| ParentProcessGuid | אופציונלי | מחרוזת | מזהה ייחודי (GUID) שנוצר של תהליך האב. מאפשר זיהוי התהליך במערכות שונות. דוגמה EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | אופציונלי | מחרוזת | לכל תהליך יש רמת תקינות המיוצגת לאסימון שלו. רמות תקינות קובעות את רמת ההגנה או הגישה של התהליך. Windows מגדיר את רמות התקינות הבאות: נמוכה, בינונית, גבוהה ומערכת. Standard מקבלים רמת תקינות בינונית ומשתמשים עם הרשאות מלאות מקבלים רמת תקינות גבוהה. לקבלת מידע נוסף, ראה בקרת תקינות הכרחית - יישומי Win32. |
| ParentProcessMD5 | אופציונלי | MD5 | קוד ה- Hash של MD5 של קובץ התמונה של תהליך האב. דוגמה 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | אופציונלי | שער 1 | קוד ה- Hash של SHA-1 של קובץ התמונה של תהליך האב. דוגמה d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | אופציונלי | עדי תם | קוד ה- Hash של SHA-256 של קובץ התמונה של תהליך האב. דוגמה: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | אופציונלי | עדי תם | קוד ה- Hash של SHA-512 של קובץ התמונה של תהליך האב. |
| ParentProcessIMPHASH | אופציונלי | מחרוזת | קוד ה- Hash של כל קבצי ה- DLL של הספריה המשמשים את תהליך האב. |
| ParentProcessTokenElevation | אופציונלי | מחרוזת | אסימון המציין את רמת הנוכחות או היעדרה של העלאת רמת הרשאה של בקרת גישת משתמש (UAC) שחלה על תהליך האב. דוגמה None |
| ParentProcessCreationTime | אופציונלי | Datetime | התאריך והשעה שבהם תהליך האב הופעל. |
שדות משתמש המשמשים כיעד
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| TargetUsername | הכרחי עבור אירועי יצירת תהליך. | שם משתמש (מחרוזת) | שם המשתמש המשמש כיעד, כולל פרטי תחום כאשר הוא זמין. עבור התבנית הנתמכת עבור סוגי מזהים שונים, עיין בישות המשתמש. השתמש בטופס הפשוט רק אם פרטי תחום אינם זמינים. אחסן את סוג שם המשתמש בשדה TargetUsernameType . אם תבניות שם משתמש אחרות זמינות, אחסן אותן בשדות TargetUsername<UsernameType>.דוגמה AlbertE |
| TargetUsernameType | מותנה | ספירה | מציין את סוג שם המשתמש המאוחסן בשדה TargetUsername . לקבלת רשימה של ערכים מותרים ומידע נוסף, ראה UsernameType במאמר מבט כולל על סכימה. דוגמה Windows |
| מזהה שימוש של יעד | מומלץ | מחרוזת | ייצוג אלפאנומרי, קריא למחשב, ייחודי של משתמש היעד. עבור התבנית הנתמכת עבור סוגי מזהים שונים, עיין בישות המשתמש. דוגמה S-1-12 |
| סוג TargetUserId | מותנה | סוג משתמש | סוג המזהה המאוחסן בשדה TargetUserId . לקבלת רשימה של ערכים מותרים ומידע נוסף עיין ב - UserIdType במאמר סקירת סכימה. |
| TargetUserSessionId | אופציונלי | מחרוזת | המזהה הייחודי של הפעלת הכניסה של משתמש היעד. דוגמה 999 הערה: הסוג מוגדר כמחרוזת לתמיכה במערכות משתנות, אך ב- Windows ערך זה חייב להיות מספרי. אם אתה משתמש במחשב Windows או Linux והשתמשו בסוג אחר, הקפד להמיר את הערכים. לדוגמה, אם השתמשת בערך הקסדצימאלי, המר אותו לערך עשרוני. |
| TargetUserSessionGuid | אופציונלי | מחרוזת | ה- GUID הייחודי של הפעלת הכניסה של משתמש היעד, כפי שדווח על-ידי התקן הדיווח. דוגמה {12345678-1234-1234-1234-123456789012} |
| סוג יעד | אופציונלי | סוג משתמש | סוג המעומעון. לקבלת רשימה של ערכים מותרים ומידע נוסף עיין ב- UserType במאמר סקירת סכימה. הערה: ייתכן שהערך יצוין ברשומת המקור באמצעות מונחים שונים, שיש לנוירמול לערכים אלה. אחסן את הערך המקורי בשדה TargetOriginalUserType . |
| TargetOriginalUserType | אופציונלי | מחרוזת | סוג המשתמש המשמש כיעד המקורי, אם סופק על-ידי התקן הדיווח. |
| TargetUserScope | אופציונלי | מחרוזת | הטווח, כגון דייר Microsoft Entra, שבו הוגדרו TargetUserIdו- TargetUsername. או מידע נוסף ורשימה של ערכים מותרים, ראה UserScope במאמר מבט כולל על הסכימה. |
| TargetUserScopeId | אופציונלי | מחרוזת | מזהה הטווח, כגון מזהה Microsoft Entra, שבו הוגדרו TargetUserIdו- TargetUsername. לקבלת מידע נוסף ורשימה של ערכים מותרים, ראה UserScopeId במאמר סקירת סכימה. |
שדות תהליך יעד
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| TargetProcessName | חובה | מחרוזת | שם תהליך היעד. שם זה נגזר בדרך כלל מהתמונה או מקובץ ההפעלה המשמש להגדרת הקוד הראשוני והנתונים הממופים אל שטח הכתובות הווירטואלי של התהליך. דוגמה C:\Windows\explorer.exe |
| TargetProcessFilename | אופציונלי | מחרוזת | חלק שם הקובץ של , TargetProcessNameללא פרטי תיקיה. דוגמה explorer.exe |
| TargetProcessFileCompany | אופציונלי | מחרוזת | שם החברה שיצרה את קובץ התמונה של תהליך היעד. דוגמה Microsoft |
| TargetProcessFileDescription | אופציונלי | מחרוזת | התיאור ממידע הגירסה בקובץ התמונה של תהליך היעד. דוגמה Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | אופציונלי | מחרוזת | שם המוצר ממידע הגירסה בקובץ תמונה של תהליך יעד. דוגמה Notepad++ |
| TargetProcessFileSize | אופציונלי | זמן | גודל הקובץ שהרץ את התהליך האחראי לאירוע. |
| TargetProcessFileVersion | אופציונלי | מחרוזת | גירסת המוצר ממידע הגירסה בקובץ התמונה של תהליך היעד. דוגמה 7.9.5.0 |
| TargetProcessFileInternalName | אופציונלי | מחרוזת | שם הקובץ הפנימי של המוצר ממידע הגירסה של קובץ התמונה של תהליך היעד. |
| TargetProcessFileOriginalName | אופציונלי | מחרוזת | שם הקובץ המקורי של המוצר ממידע הגירסה של קובץ התמונה של תהליך היעד. |
| TargetProcessIsHidden | אופציונלי | בוליאני | סימן לכך שתהליך היעד נמצא במצב מוסתר. |
| TargetProcessInjectedAddress | אופציונלי | מחרוזת | כתובת הזיכרון שבה מאוחסן תהליך היעד האחראי. |
| TargetProcessMD5 | אופציונלי | MD5 | קוד ה- Hash של MD5 של קובץ התמונה של תהליך היעד. דוגמה 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | אופציונלי | שער 1 | קוד ה- Hash של SHA-1 של קובץ התמונה של תהליך היעד. דוגמה d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | אופציונלי | עדי תם | קוד ה- Hash של SHA-256 של קובץ התמונה של תהליך היעד. דוגמה: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | אופציונלי | עדי תם | קוד ה- Hash של SHA-512 של קובץ התמונה של תהליך היעד. |
| TargetProcessIMPHASH | אופציונלי | מחרוזת | קוד ה- Hash של כל קבצי ה- DLL של הספריה המשמשים את תהליך היעד. |
| סוג Hash | מותנה | ספירה | סוג קוד ה- Hash המאוחסן בשדה כינוי HASH, הערכים המותרים הם MD5, SHA, ו SHA512SHA256- IMPHASH. |
| TargetProcessCommandLine | חובה | מחרוזת | שורת הפקודה המשמשת להפעלת תהליך היעד. דוגמה "choco.exe" -v |
| TargetProcessCurrentDirectory | אופציונלי | מחרוזת | הספריה הנוכחית שבה מתבצע תהליך היעד. דוגמה c:\windows\system32 |
| TargetProcessCreationTime | מומלץ | Datetime | גירסת המוצר ממידע הגירסה של קובץ התמונה של תהליך היעד. |
| TargetProcessId | חובה | מחרוזת | מזהה התהליך (PID) של תהליך היעד. דוגמה 48610176הערה: הסוג מוגדר כמחרוזת לתמיכה במערכות משתנות, אך ב- Windows Linux ערך זה חייב להיות מספרי. אם אתה משתמש במחשב Windows או Linux והשתמשו בסוג אחר, הקפד להמיר את הערכים. לדוגמה, אם השתמשת בערך הקסדצימאלי, המר אותו לערך עשרוני. |
| TargetProcessGuid | אופציונלי | GUID (מחרוזת) | מזהה ייחודי (GUID) שנוצר של תהליך היעד. מאפשר זיהוי התהליך במערכות שונות. דוגמה EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | אופציונלי | מחרוזת | לכל תהליך יש רמת תקינות המיוצגת לאסימון שלו. רמות תקינות קובעות את רמת ההגנה או הגישה של התהליך. Windows מגדיר את רמות התקינות הבאות: נמוכה, בינונית, גבוהה ומערכת. Standard מקבלים רמת תקינות בינונית ומשתמשים עם הרשאות מלאות מקבלים רמת תקינות גבוהה. לקבלת מידע נוסף, ראה בקרת תקינות הכרחית - יישומי Win32. |
| TargetProcessTokenElevation | אופציונלי | מחרוזת | סוג אסימון המציין את רמת הנוכחות או היעדרה של העלאת רמת הרשאה של בקרת גישת משתמש (UAC) שחלה על התהליך שנוצר או הופסק. דוגמה None |
| TargetProcessStatusCode | אופציונלי | מחרוזת | קוד היציאה שהוחזר על-ידי תהליך היעד כאשר הוא מסתיים. שדה זה חוקי רק עבור אירועי סיום תהליך. לעקביות, סוג השדה הוא מחרוזת, גם אם הערך שסופק על-ידי מערכת ההפעלה הוא מספרי. |
שדות בדיקה
השדות הבאים משמשים כדי לייצג בדיקה זו שבוצעה על-ידי מערכת אבטחה כגון מערכת EDR.
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| שם כלל | אופציונלי | מחרוזת | השם או המזהה של הכלל על-ידי משויך לתוצאות הבדיקה. |
| מספר כלל | אופציונלי | מספר שלם | מספר הכלל המשויך לתוצאות הבדיקה. |
| כלל | מותנה | מחרוזת | הערך של kRuleName או הערך של RuleNumber. אם נעשה שימוש בערך RuleNumber , יש להמיר את הסוג למחרוזת. |
| מזהה איום | אופציונלי | מחרוזת | המזהה של האיום או התוכנות הזדוניות המזוהות בפעילות הקובץ. |
| שם איום | אופציונלי | מחרוזת | שם האיום או התוכנות הזדוניות המזוהות בפעילות הקובץ. דוגמה EICAR Test File |
| קטגוריית איום | אופציונלי | מחרוזת | קטגוריית האיום או התוכנות הזדוניות המזוהות בפעילות הקובץ. דוגמה Trojan |
| ThreatRiskLevel | אופציונלי | RiskLevel (מספר שלם) | רמת הסיכון המשויכת לאיום המזוהה. הרמה צריכה להיות מספר בין 0 ל - 100. הערה: הערך עשוי להיות מסופק ברשומת המקור באמצעות קנה מידה אחר, שיש לנוירמול לקנה מידה זה. יש לאחסן את הערך המקורי ב - ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | אופציונלי | מחרוזת | רמת הסיכון כפי שדווח על-ידי התקן הדיווח. |
| ThreatField | אופציונלי | מחרוזת | השדה שעבורו זוהה איום. |
| ThreatField | אופציונלי | מחרוזת | השדה שעבורו זוהה איום. |
| ThreatConfidence | אופציונלי | ConfidenceLevel (מספר שלם) | רמת הביטחון של האיום שזוהה, מנורמה לערך בין 0 ל- 100. |
| ThreatOriginalConfidence | אופציונלי | מחרוזת | רמת הביטחון המקורית של האיום שזוהה, כפי שדווח על-ידי התקן הדיווח. |
| איומיםאקטיביים | אופציונלי | בוליאני | נכון אם האיום שזוהה נחשב לאיום פעיל. |
| ThreatFirstReportedTime | אופציונלי | Datetime | בפעם הראשונה שבה כתובת ה- IP או התחום זוהו כאיום. |
| ThreatLastReportedTime | אופציונלי | Datetime | הפעם האחרונה שבה כתובת ה- IP או התחום זוהו כאיום. |
עדכוני סכימה
אלה הם השינויים בגירסה 0.1.1 של הסכימה:
- נוסף השדה
EventSchema.
אלה הם השינויים בגירסה 0.1.2 של הסכימה
- הוספת את השדות
ActorUserType,ActorOriginalUserType,TargetUserType,TargetOriginalUserTypeו-HashType.
אלה הם השינויים בגירסה 0.1.3 של הסכימה
- שינה את השדות
ParentProcessIdומהכרחיTargetProcessCreationTimeלמומלץ.
אלה הם השינויים בגירסה 0.1.4 של הסכימה
- הוספת את השדות
ActorScope,DvcScopeIdו-DvcScope.
השלבים הבאים
לקבלת מידע נוסף, ראה: