Az Advanced Security Information Model (ASIM) folyamatesemény-normalizálási sémareferenciája (nyilvános előzetes verzió)
A folyamatesemény normalizálási sémája egy folyamat futtatásának és befejezésének operációs rendszerbeli tevékenységének leírására szolgál. Ezeket az eseményeket operációs rendszerek és biztonsági rendszerek, például Végponti észlelés és reagálás (végpontészlelés és válasz) rendszerek jelentik.
Az operációs rendszer Standard kiadás M által meghatározott folyamat egy olyan elszigetelési és felügyeleti objektum, amely egy program futó példányát jelöli. Bár maguk a folyamatok nem futnak, kezelik a kódot futtató és végrehajtó szálakat.
A Microsoft Sentinel normalizálásáról további információt a Normalizálás és az Advanced Security Information Model (ASIM) című cikkben talál.
Fontos
A folyamatesemény normalizálási sémája jelenleg előzetes verzióban érhető el. Ez a funkció szolgáltatásszint-szerződés nélkül érhető el, és éles számítási feladatokhoz nem ajánlott.
Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Elemzők
Az összes felsorolt elemzőt egyesítő és az összes konfigurált forrásban elemzést biztosító egyesítő elemzők használatához használja a következő táblaneveket a lekérdezésekben:
- imProcessCreate folyamatlétrehozáshoz szükséges lekérdezésekhez. Ezek a lekérdezések a leggyakoribb esetek.
- imProcessTerminate olyan lekérdezésekhez, amelyek folyamatvégzítési adatokat igényelnek.
A Folyamatesemény-elemzők listájához a Microsoft Sentinel az ASIM-elemzők listájára hivatkozik.
Telepítse a Hitelesítési elemzőket a Microsoft Sentinel GitHub-adattárból.
További információ: ASIM-elemzők áttekintése.
Saját normalizált elemzők hozzáadása
Egyéni folyamatesemény-elemzők implementálásakor nevezze el a KQL-függvényeket a következő szintaxissal: imProcessCreate<vendor><Product> és imProcessTerminate<vendor><Product>. ASim Cserélje le im a paraméter nélküli verzióra.
Adja hozzá a KQL-függvényt az egyesítő elemzőkhöz az ASIM-elemzők kezelésében leírtak szerint.
Szűrőelemző paraméterek
Az im elemzők vim* támogatják a szűrési paramétereket. Bár ezek az elemzők nem kötelezőek, javíthatják a lekérdezés teljesítményét.
A következő szűrési paraméterek érhetők el:
| Name | Type | Description |
|---|---|---|
| indítási idő | dátum/idő | Csak a folyamatesemények szűrése ezen időpontban vagy után történt. |
| endtime | dátum/idő | Csak az adott időpontban vagy azt megelőzően történt események lekérdezéseinek szűrése. |
| commandline_has_any | dinamikus | Csak olyan folyamatesemények szűrése, amelyekhez a parancssor a felsorolt értékek bármelyikével rendelkezik. A lista hossza legfeljebb 10 000 elem lehet. |
| commandline_has_all | dinamikus | Csak olyan folyamatesemények szűrése, amelyekhez a parancssor az összes felsorolt értéket tartalmazza. A lista hossza legfeljebb 10 000 elem lehet. |
| commandline_has_any_ip_prefix | dinamikus | Csak olyan folyamatesemények szűrése, amelyek esetében a parancssor az összes felsorolt IP-címmel vagy IP-címelőtaggal rendelkezik. Az előtagoknak például a .következővel kell végződnie: 10.0.. A lista hossza legfeljebb 10 000 elem lehet. |
| actingprocess_has_any | dinamikus | Csak olyan folyamatesemények szűrése, amelyeknél az eljáró folyamat neve, amely a teljes folyamatútvonalat tartalmazza, a felsorolt értékek bármelyikével rendelkezik. A lista hossza legfeljebb 10 000 elem lehet. |
| targetprocess_has_any | dinamikus | Csak olyan folyamatesemények szűrése, amelyek esetében a célfolyamat neve , amely a teljes folyamatútvonalat tartalmazza, a felsorolt értékek bármelyikével rendelkezik. A lista hossza legfeljebb 10 000 elem lehet. |
| parentprocess_has_any | dinamikus | Csak olyan folyamatesemények szűrése, amelyek esetében a célfolyamat neve , amely a teljes folyamatútvonalat tartalmazza, a felsorolt értékek bármelyikével rendelkezik. A lista hossza legfeljebb 10 000 elem lehet. |
| targetusername_has vagy actorusername_has | sztring | Csak olyan folyamatesemények szűrése, amelyek esetében a cél felhasználónév (folyamat-létrehozási események esetén) vagy a szereplő felhasználóneve (a folyamat leállítása esetén) a felsorolt értékek bármelyikével rendelkezik. A lista hossza legfeljebb 10 000 elem lehet. |
| dvcipaddr_has_any_prefix | dinamikus | Csak olyan folyamatesemények szűrése, amelyek esetében az eszköz IP-címe megegyezik a felsorolt IP-címek vagy IP-címelőtagok bármelyikével. Az előtagoknak például a .következővel kell végződnie: 10.0.. A lista hossza legfeljebb 10 000 elem lehet. |
| dvchostname_has_any | dinamikus | Csak olyan folyamatesemények szűrése, amelyek esetében az eszköz állomásneve vagy az eszköz teljes tartományneve elérhető, a felsorolt értékek bármelyikével rendelkezik. A lista hossza legfeljebb 10 000 elem lehet. |
| eventtype | sztring | Csak a megadott típusú folyamatesemények szűrése. |
vagy például, ha csak az elmúlt nap hitelesítési eseményeit szeretné szűrni egy adott felhasználóra, használja a következőt:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Tipp.
Ha egy konstanslistát dinamikus értéket váró paramétereknek szeretne átadni, használjon explicit módon egy dinamikus literált. For example: dynamic(['192.168.','10.']).
Normalizált tartalom
A normalizált folyamateseményeket használó elemzési szabályok teljes listáját lásd: Folyamatesemény biztonsági tartalma.
Séma részletei
A folyamatesemény-információs modell az operációs rendszer Standard kiadás M folyamatentitási sémához van igazítva.
Gyakori ASIM-mezők
Fontos
Az összes sémában közös mezők részletes leírását az ASIM Common Fields című cikk ismerteti.
Általános mezők konkrét irányelvekkel
Az alábbi lista azokat a mezőket sorolja fel, amelyek konkrét irányelvekkel rendelkeznek a folyamattevékenység-eseményekhez:
| Field | Osztály | Type | Description |
|---|---|---|---|
| EventType | Kötelező | Enumerated | A rekord által jelentett műveletet ismerteti. A folyamatrekordok esetében a támogatott értékek a következők: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Kötelező | Sztring | A séma verziója. Az itt dokumentált séma verziója: 0.1.4 |
| EventSchema | Lehetséges | Sztring | Az itt dokumentált séma neve.ProcessEvent |
| Dvc-mezők | A folyamattevékenység-események esetében az eszközmezők arra a rendszerre vonatkoznak, amelyen a folyamatot végrehajtották. |
Fontos
A EventSchema mező jelenleg nem kötelező, de 2022. szeptember 1-jén kötelező lesz.
Minden gyakori mező
Az alábbi táblázatban megjelenő mezők az összes ASIM-sémában gyakoriak. A fent megadott útmutatás felülbírálja a mező általános irányelveit. Előfordulhat például, hogy egy mező általában nem kötelező, de egy adott sémához kötelező. Az egyes mezőkkel kapcsolatos további részletekért tekintse meg az ASIM Common Fields cikket.
| Osztály | Mezők |
|---|---|
| Kötelező | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Ajánlott | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Lehetséges | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - További mezők - DvcDescription - DvcScopeId - DvcScope |
Eseményspecifikus mezők feldolgozása
Az alábbi táblázatban felsorolt mezők a Folyamat eseményekre vonatkoznak, de hasonlóak más sémák mezőihez, és hasonló elnevezési konvenciókra vonatkoznak.
A folyamatesemény sémája a következő entitásokra hivatkozik, amelyek központi szerepet jelentenek a folyamatlétrehozási és -megszüntetési tevékenységekben:
- Színész – A folyamat létrehozását vagy leállítását kezdeményező felhasználó.
- ActingProcess – Az Aktor által a folyamat létrehozásának vagy leállításának kezdeményezésére használt folyamat.
- TargetProcess – Az új folyamat.
- TargetUser – Az a felhasználó, akinek a hitelesítő adatait használja az új folyamat létrehozásához.
- ParentProcess – Az Aktorfolyamatot kezdeményező folyamat.
Aliases
| Field | Osztály | Type | Description |
|---|---|---|---|
| Felhasználó | Alias | Alias a TargetUsername névhez. Example: CONTOSO\dadmin |
|
| Folyamat | Alias | Alias a TargetProcessName-hez Example: C:\Windows\System32\rundll32.exe |
|
| Commandline | Alias | Alias a TargetProcessCommandLine-hoz | |
| Hash | Alias | Alias a célfolyamathoz legjobban elérhető kivonathoz. |
Aktormezők
| Field | Osztály | Type | Description |
|---|---|---|---|
| ActorUserId | Ajánlott | Sztring | Az Aktor géppel olvasható, alfanumerikus, egyedi ábrázolása. A különböző azonosítótípusok támogatott formátumához tekintse meg a Felhasználó entitást. Example: S-1-12 |
| ActorUserIdType | Feltételes | Sztring | Az ActorUserId mezőben tárolt azonosító típusa. Az engedélyezett értékek listájáról és további információkról a Séma áttekintése című cikkben található UserIdType című cikkben olvashat. |
| ActorScope | Lehetséges | Sztring | A hatókör, például a Microsoft Entra-bérlő, amelyben az ActorUserId és az ActorUsername definiálva van. vagy további információk és az engedélyezett értékek listája: UserScope a Séma áttekintése című cikkben. |
| ActorUsername | Kötelező | Sztring | Az Aktor felhasználóneve, beleértve a tartományinformációkat, ha elérhető. A különböző azonosítótípusok támogatott formátumához tekintse meg a Felhasználó entitást. Csak akkor használja az egyszerű űrlapot, ha a tartományinformációk nem érhetők el. Tárolja a Felhasználónév típust az ActorUsernameType mezőben. Ha más felhasználónévformátumok is elérhetők, tárolja őket a mezőkben ActorUsername<UsernameType>.Example: AlbertE |
| ActorUsernameType | Feltételes | Enumerated | Az ActorUsername mezőben tárolt felhasználónév típusát adja meg. Az engedélyezett értékek listájáért és további információkért tekintse meg a Felhasználónévtípust a Séma áttekintése című cikkben. Example: Windows |
| ActorSessionId | Lehetséges | Sztring | Az Aktor bejelentkezési munkamenetének egyedi azonosítója. Example: 999Megjegyzés: A típus sztringkéntvan definiálva a különböző rendszerek támogatásához, de Windows rendszeren ennek az értéknek numerikusnak kell lennie. Ha Windows rendszerű gépet használ, és más típust használ, mindenképpen konvertálja az értékeket. Ha például hexadecimális értéket használt, konvertálja decimális értékké. |
| ActorUserType | Lehetséges | UserType | Az Aktor típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a UserType-et a Séma áttekintése című cikkben. Megjegyzés: Az érték a forrásrekordban különböző kifejezések használatával adható meg, amelyeket ezekre az értékekre kell normalizálni. Az eredeti érték tárolása az ActorOriginalUserType mezőben. |
| AktorOriginalUserType | Lehetséges | Sztring | Ha a jelentéskészítő eszköz megadja, az eredeti célfelhasználó típusa. |
Eljáró folyamatmezők
| Field | Osztály | Type | Description |
|---|---|---|---|
| ActingProcessCommandLine | Lehetséges | Sztring | Az eljáró folyamat futtatásához használt parancssor. Example: "choco.exe" -v |
| ActingProcessName | Lehetséges | sztring | Az eljáró folyamat neve. Ez a név általában abból a rendszerképből vagy végrehajtható fájlból származik, amely a folyamat virtuális címterébe leképezett kezdeti kód és adatok meghatározására szolgál. Example: C:\Windows\explorer.exe |
| ActingProcessFileCompany | Lehetséges | Sztring | Az eljáró folyamat képfájlját létrehozó vállalat. Example: Microsoft |
| ActingProcessFileDescription | Lehetséges | Sztring | Az eljáró folyamat képfájljának verzióinformációiba ágyazott leírás. Example: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Lehetséges | Sztring | Az eljáró folyamat képfájljának verzióinformációiból származó terméknév. Example: Notepad++ |
| ActingProcessFileVersion | Lehetséges | Sztring | A termék verziója az eljáró folyamat képfájljának verzióinformációiból. Example: 7.9.5.0 |
| ActingProcessFileInternalName | Lehetséges | Sztring | A termék belső fájlneve az eljáró folyamat képfájljának verzióinformációiból. |
| ActingProcessFileOriginalName | Lehetséges | Sztring | A termék eredeti fájlneve az eljáró folyamat képfájljának verzióinformációiból. Example: Notepad++.exe |
| ActingProcessIsHidden | Lehetséges | Boolean | Annak jelzése, hogy a művelet rejtett módban van-e. |
| ActingProcessInjectedAddress | Lehetséges | Sztring | Az a memóriacím, amelyben a felelős eljáró folyamat tárolódik. |
| ActingProcessId | Kötelező | Sztring | Az eljáró folyamat folyamatazonosítója (PID). Example: 48610176 Megjegyzés: A típus sztringkéntvan definiálva a különböző rendszerek támogatásához, de Windows és Linux rendszeren ennek az értéknek numerikusnak kell lennie. Ha Windows vagy Linux rendszerű gépet használ, és más típust használ, mindenképpen konvertálja az értékeket. Ha például hexadecimális értéket használt, konvertálja decimális értékké. |
| ActingProcessGuid | Lehetséges | sztring | Az eljáró folyamat generált egyedi azonosítója (GUID). Lehetővé teszi a folyamatok különböző rendszerek közötti azonosítását. Example: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Lehetséges | Sztring | Minden folyamat rendelkezik egy integritási szinttel, amely a jogkivonatában jelenik meg. Az integritási szintek határozzák meg a védelem vagy hozzáférés folyamatszintjét. A Windows a következő integritási szinteket határozza meg: alacsony, közepes, magas és rendszer. A standard felhasználók közepes integritási szintet kapnak, az emelt szintű felhasználók pedig magas integritási szintet kapnak. További információ: Kötelező integritás-vezérlés – Win32-alkalmazások. |
| ActingProcessMD5 | Lehetséges | Sztring | Az eljáró folyamat képfájljának MD5 kivonata. Example: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Lehetséges | SHA1 | Az eljáró folyamat képfájljának SHA-1 kivonata. Example: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Lehetséges | SHA256 | Az eljáró folyamat képfájljának SHA-256 kivonata. Example: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Lehetséges | SHA521 | A eljáró folyamat képfájljának SHA-512 kivonata. |
| ActingProcessIMPHASH | Lehetséges | Sztring | Az eljáró folyamat által használt összes kódtár-DLL importálási kivonata. |
| ActingProcessCreationTime | Lehetséges | Dátum/idő | Az a dátum és idő, amikor a színjátszási folyamat elindult. |
| ActingProcessTokenElevation | Lehetséges | Sztring | A felhasználói hozzáférés-vezérlés (UAC) jogosultságszint-emelt szintű jogosultságának meglétét vagy hiányát jelző jogkivonat, amely az eljáró folyamatra vonatkozik. Example: None |
| ActingProcessFileSize | Lehetséges | Long | Az eljáró folyamatot futtató fájl mérete. |
Szülőfolyamat mezői
| Field | Osztály | Type | Description |
|---|---|---|---|
| ParentProcessName | Lehetséges | sztring | A szülőfolyamat neve. Ez a név általában abból a rendszerképből vagy végrehajtható fájlból származik, amely a folyamat virtuális címterébe leképezett kezdeti kód és adatok meghatározására szolgál. Example: C:\Windows\explorer.exe |
| ParentProcessFileCompany | Lehetséges | Sztring | A szülőfolyamat képfájlját létrehozó vállalat neve. Example: Microsoft |
| ParentProcessFileDescription | Lehetséges | Sztring | A szülőfolyamat képfájljának verzióinformációinak leírása. Example: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Lehetséges | Sztring | A termék neve a szülőfolyamat képfájljának verzióinformációiból. Example: Notepad++ |
| ParentProcessFileVersion | Lehetséges | Sztring | A termék verziója a szülőfolyamat képfájljának verzióinformációiból. Example: 7.9.5.0 |
| ParentProcessIsHidden | Lehetséges | Boolean | Annak jelzése, hogy a szülőfolyamat rejtett módban van-e. |
| ParentProcessInjectedAddress | Lehetséges | Sztring | Az a memóriacím, amelyben a felelős szülőfolyamatot tárolja. |
| ParentProcessId | Ajánlott | Sztring | A szülőfolyamat folyamatazonosítója (PID). Example: 48610176 |
| ParentProcessGuid | Lehetséges | Sztring | A szülőfolyamat generált egyedi azonosítója (GUID). Lehetővé teszi a folyamatok különböző rendszerek közötti azonosítását. Example: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Lehetséges | Sztring | Minden folyamat rendelkezik egy integritási szinttel, amely a jogkivonatában jelenik meg. Az integritási szintek határozzák meg a védelem vagy hozzáférés folyamatszintjét. A Windows a következő integritási szinteket határozza meg: alacsony, közepes, magas és rendszer. A standard felhasználók közepes integritási szintet kapnak, az emelt szintű felhasználók pedig magas integritási szintet kapnak. További információ: Kötelező integritás-vezérlés – Win32-alkalmazások. |
| ParentProcessMD5 | Lehetséges | MD5 | A szülőfolyamat képfájljának MD5 kivonata. Example: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Lehetséges | SHA1 | A szülőfolyamat képfájljának SHA-1 kivonata. Example: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Lehetséges | SHA256 | A szülőfolyamat képfájljának SHA-256 kivonata. Example: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Lehetséges | SHA512 | A szülőfolyamat képfájljának SHA-512 kivonata. |
| ParentProcessIMPHASH | Lehetséges | Sztring | A szülőfolyamat által használt összes kódtár-DLL importálási kivonata. |
| ParentProcessTokenElevation | Lehetséges | Sztring | A fölérendelt folyamatra alkalmazott felhasználói hozzáférés-vezérlési (UAC) jogosultságszint-emelést jelző jogkivonat. Example: None |
| ParentProcessCreationTime | Lehetséges | Dátum/idő | A szülőfolyamat indításának dátuma és időpontja. |
Célfelhasználói mezők
| Field | Osztály | Type | Description |
|---|---|---|---|
| TargetUsername | Folyamat-létrehozási események esetén kötelező. | Sztring | A célnév, beleértve a tartományinformációkat is, ha elérhetőek. A különböző azonosítótípusok támogatott formátumához tekintse meg a Felhasználó entitást. Csak akkor használja az egyszerű űrlapot, ha a tartományinformációk nem érhetők el. Tárolja a Felhasználónév típusát a TargetUsernameType mezőben. Ha más felhasználónévformátumok is elérhetők, tárolja őket a mezőkben TargetUsername<UsernameType>.Example: AlbertE |
| TargetUsernameType | Feltételes | Enumerated | A TargetUsername mezőben tárolt felhasználónév típusát adja meg. Az engedélyezett értékek listájáért és további információkért tekintse meg a Felhasználónévtípust a Séma áttekintése című cikkben. Example: Windows |
| TargetUserId | Ajánlott | Sztring | A célfelhasználó géppel olvasható, alfanumerikus, egyedi ábrázolása. A különböző azonosítótípusok támogatott formátumához tekintse meg a Felhasználó entitást. Example: S-1-12 |
| TargetUserIdType | Feltételes | Sztring | A TargetUserId mezőben tárolt azonosító típusa. Az engedélyezett értékek listájáról és további információkról a Séma áttekintése című cikkben található UserIdType című cikkben olvashat. |
| TargetUserSessionId | Lehetséges | Sztring | A célfelhasználó bejelentkezési munkamenetének egyedi azonosítója. Example: 999 Megjegyzés: A típus sztringkéntvan definiálva a különböző rendszerek támogatásához, de Windows rendszeren ennek az értéknek numerikusnak kell lennie. Ha Windows vagy Linux rendszerű gépet használ, és más típust használ, mindenképpen konvertálja az értékeket. Ha például hexadecimális értéket használt, konvertálja decimális értékké. |
| TargetUserType | Lehetséges | UserType | Az Aktor típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a UserType-et a Séma áttekintése című cikkben. Megjegyzés: Az érték a forrásrekordban különböző kifejezések használatával adható meg, amelyeket ezekre az értékekre kell normalizálni. Tárolja az eredeti értéket a TargetOriginalUserType mezőben. |
| TargetOriginalUserType | Lehetséges | Sztring | Ha a jelentéskészítő eszköz megadja, az eredeti célfelhasználó típusa. |
Célfolyamatmezők
| Field | Osztály | Type | Description |
|---|---|---|---|
| TargetProcessName | Kötelező | sztring | A célfolyamat neve. Ez a név általában abból a rendszerképből vagy végrehajtható fájlból származik, amely a folyamat virtuális címterébe leképezett kezdeti kód és adatok meghatározására szolgál. Example: C:\Windows\explorer.exe |
| TargetProcessFileCompany | Lehetséges | Sztring | A célfolyamat lemezképfájlját létrehozó vállalat neve. Example: Microsoft |
| TargetProcessFileDescription | Lehetséges | Sztring | A célfolyamat lemezképfájljának verzióinformációinak leírása. Example: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Lehetséges | Sztring | A termék neve a célfolyamat lemezképfájljának verzióinformációiból. Example: Notepad++ |
| TargetProcessFileSize | Lehetséges | Sztring | Az eseményért felelős folyamatot futtató fájl mérete. |
| TargetProcessFileVersion | Lehetséges | Sztring | A termék verziója a célfolyamat lemezképfájljának verzióinformációiból. Example: 7.9.5.0 |
| TargetProcessFileInternalName | Lehetséges | Sztring | A termék belső fájlneve a célfolyamat képfájljának verzióinformációiból. |
| TargetProcessFileOriginalName | Lehetséges | Sztring | A termék eredeti fájlneve a célfolyamat képfájljának verzióinformációiból. |
| TargetProcessIsHidden | Lehetséges | Boolean | Annak jelzése, hogy a célfolyamat rejtett módban van-e. |
| TargetProcessInjectedAddress | Lehetséges | Sztring | Az a memóriacím, amelyben a felelős célfolyamat tárolódik. |
| TargetProcessMD5 | Lehetséges | MD5 | A célfolyamat képfájljának MD5 kivonata. Example: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Lehetséges | SHA1 | A célfolyamat képfájljának SHA-1 kivonata. Example: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Lehetséges | SHA256 | A célfolyamat képfájljának SHA-256 kivonata. Example: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Lehetséges | SHA512 | A célfolyamat képfájljának SHA-512 kivonata. |
| TargetProcessIMPHASH | Lehetséges | Sztring | A célfolyamat által használt összes kódtár-DLL importálási kivonata. |
| HashType | Ajánlott | Sztring | A HASH alias mezőjében tárolt kivonat típusa, az engedélyezett értékek a következőkMD5: , SHASHA256SHA512 és IMPHASH. |
| TargetProcessCommandLine | Kötelező | Sztring | A célfolyamat futtatásához használt parancssor. Example: "choco.exe" -v |
| TargetProcessCurrentDirectory | Lehetséges | Sztring | Az aktuális könyvtár, amelyben a célfolyamat végrehajtásra kerül. Example: c:\windows\system32 |
| TargetProcessCreationTime | Ajánlott | Dátum/idő | A termék verziója a célfolyamat lemezképfájljának verzióinformációiból. |
| TargetProcessId | Kötelező | Sztring | A célfolyamat folyamatazonosítója (PID). Example: 48610176Megjegyzés: A típus sztringkéntvan definiálva a különböző rendszerek támogatásához, de Windows és Linux rendszeren ennek az értéknek numerikusnak kell lennie. Ha Windows vagy Linux rendszerű gépet használ, és más típust használ, mindenképpen konvertálja az értékeket. Ha például hexadecimális értéket használt, konvertálja decimális értékké. |
| TargetProcessGuid | Lehetséges | Sztring | A célfolyamat generált egyedi azonosítója (GUID). Lehetővé teszi a folyamatok különböző rendszerek közötti azonosítását. Example: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Lehetséges | Sztring | Minden folyamat rendelkezik egy integritási szinttel, amely a jogkivonatában jelenik meg. Az integritási szintek határozzák meg a védelem vagy hozzáférés folyamatszintjét. A Windows a következő integritási szinteket határozza meg: alacsony, közepes, magas és rendszer. A standard felhasználók közepes integritási szintet kapnak, az emelt szintű felhasználók pedig magas integritási szintet kapnak. További információ: Kötelező integritás-vezérlés – Win32-alkalmazások. |
| TargetProcessTokenElevation | Lehetséges | Sztring | Jogkivonat típusa, amely a létrehozott vagy leállított folyamatra alkalmazott felhasználói hozzáférés-vezérlési (UAC-) jogosultságszint-emeltség meglétét vagy hiányát jelzi. Example: None |
| TargetProcessStatusCode | Lehetséges | Sztring | A célfolyamat által visszaadott kilépési kód leállításakor. Ez a mező csak folyamatvégzítési eseményekre érvényes. Konzisztencia esetén a mezőtípus sztring, még akkor is, ha az operációs rendszer által megadott érték numerikus. |
Sémafrissítések
A séma 0.1.1-es verziójának változásai:
- Hozzáadta a mezőt
EventSchema.
Ezek a séma 0.1.2-es verziójának változásai
- Hozzáadta a mezőket
ActorUserType,ActorOriginalUserType,TargetUserTypeésHashTypeTargetOriginalUserType.
A séma 0.1.3-ás verziójának változásai
- Módosította a mezőket
ParentProcessId, ésTargetProcessCreationTimea kötelezőről az ajánlottra váltott.
Ezek a séma 0.1.4-es verziójának változásai
- Hozzáadta a mezőket
ActorScope,DvcScopeIdésDvcScope.
Következő lépések
For more information, see: