Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Lo schema di normalizzazione dell'evento di processo viene usato per descrivere l'attività del sistema operativo di esecuzione e terminazione di un processo. Tali eventi vengono segnalati dai sistemi operativi e dai sistemi di sicurezza, ad esempio i sistemi EDR (End Point Detection and Response).
Un processo, come definito da OSSEM, è un oggetto di contenimento e gestione che rappresenta un'istanza in esecuzione di un programma. Anche se i processi stessi non vengono eseguiti, gestiscono i thread che eseguono ed eseguono codice.
Per altre informazioni sulla normalizzazione in Microsoft Sentinel, vedere Normalization and the Advanced Security Information Model (ASIM).
Parser
Per usare i parser unificanti che unificano tutti i parser elencati e assicurarsi di analizzare tutte le origini configurate, usare i nomi di tabella seguenti nelle query:
- imProcessCreate per le query che richiedono informazioni sulla creazione di processi. Queste query sono il caso più comune.
- imProcessTerminate per le query che richiedono informazioni sulla terminazione del processo.
Per l'elenco dei parser di eventi di processo Microsoft Sentinel fornisce informazioni predefinite, fare riferimento all'elenco dei parser ASIM.
Distribuire i parser di autenticazione dal repository GitHub Microsoft Sentinel.
Per altre informazioni, vedere Panoramica dei parser ASIM.
Aggiungere i propri parser normalizzati
Quando si implementano parser di eventi di processo personalizzati, denominare le funzioni KQL usando la sintassi seguente: imProcessCreate<vendor><Product> e imProcessTerminate<vendor><Product>. Sostituire im con ASim per la versione senza parametri.
Aggiungere la funzione KQL ai parser unificanti, come descritto in Gestione dei parser ASIM.
Filtro dei parametri del parser
I im parser e vim* supportano i parametri di filtro. Anche se questi parser sono facoltativi, possono migliorare le prestazioni delle query.
Sono disponibili i parametri di filtro seguenti:
| Nome | Tipo | Descrizione |
|---|---|---|
| Starttime | datetime | Solo gli eventi del processo di filtro si sono verificati in corrispondenza o dopo questo periodo di tempo. Questo parametro filtra il TimeGenerated campo, ovvero l'indicatore standard per l'ora dell'evento, indipendentemente dal mapping specifico del parser dei campi EventStartTime e EventEndTime. |
| Endtime | datetime | Filtrare solo le query sugli eventi di elaborazione che si sono verificate in corrispondenza o prima di questo momento. Questo parametro filtra il TimeGenerated campo, ovvero l'indicatore standard per l'ora dell'evento, indipendentemente dal mapping specifico del parser dei campi EventStartTime e EventEndTime. |
| commandline_has_any | Dinamico | Filtrare solo gli eventi di processo per i quali la riga di comando eseguita ha uno dei valori elencati. La lunghezza dell'elenco è limitata a 10.000 elementi. |
| commandline_has_all | Dinamico | Filtra solo gli eventi di processo per i quali la riga di comando eseguita ha tutti i valori elencati. La lunghezza dell'elenco è limitata a 10.000 elementi. |
| commandline_has_any_ip_prefix | Dinamico | Filtra solo gli eventi di processo per i quali la riga di comando eseguita ha tutti gli indirizzi IP elencati o i prefissi degli indirizzi IP. I prefissi devono terminare con un ., ad esempio: 10.0.. La lunghezza dell'elenco è limitata a 10.000 elementi. |
| actingprocess_has_any | Dinamico | Filtra solo gli eventi di processo per i quali il nome del processo che agisce, che include l'intero percorso del processo, ha uno qualsiasi dei valori elencati. La lunghezza dell'elenco è limitata a 10.000 elementi. |
| targetprocess_has_any | Dinamico | Filtrare solo gli eventi di processo per i quali il nome del processo di destinazione, che include l'intero percorso del processo, ha uno dei valori elencati. La lunghezza dell'elenco è limitata a 10.000 elementi. |
| parentprocess_has_any | Dinamico | Filtrare solo gli eventi di processo per i quali il nome del processo di destinazione, che include l'intero percorso del processo, ha uno dei valori elencati. La lunghezza dell'elenco è limitata a 10.000 elementi. |
| targetusername_has o actorusername_has | stringa | Filtrare solo gli eventi di processo per i quali il nome utente di destinazione (per gli eventi di creazione del processo) o il nome utente dell'attore (per gli eventi di terminazione del processo) ha uno dei valori elencati. La lunghezza dell'elenco è limitata a 10.000 elementi. |
| dvcipaddr_has_any_prefix | Dinamico | Filtra solo gli eventi di elaborazione per i quali l'indirizzo IP del dispositivo corrisponde a uno degli indirizzi IP elencati o ai prefissi degli indirizzi IP. I prefissi devono terminare con un ., ad esempio: 10.0.. La lunghezza dell'elenco è limitata a 10.000 elementi. |
| dvchostname_has_any | Dinamico | Filtra solo gli eventi di processo per i quali è disponibile il nome host del dispositivo o il nome di dominio completo del dispositivo, ha uno dei valori elencati. La lunghezza dell'elenco è limitata a 10.000 elementi. |
| Eventtype | stringa | Filtrare solo gli eventi di processo del tipo specificato. |
Ad esempio, per filtrare solo gli eventi di autenticazione dall'ultimo giorno a un utente specifico, usare:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Consiglio
Per passare un elenco di valori letterali a parametri che prevedono un valore dinamico, usare in modo esplicito un valore letterale dinamico. Ad esempio: dynamic(['192.168.','10.']).
Contenuto normalizzato
Per un elenco completo delle regole di analisi che usano eventi di processo normalizzati, vedere Contenuto della sicurezza degli eventi di elaborazione.
Dettagli dello schema
Il modello informativo Evento processo è allineato allo schema dell'entità processo OSSEM.
Campi ASIM comuni
Importante
I campi comuni a tutti gli schemi sono descritti in dettaglio nell'articolo Campi comuni di ASIM .
Campi comuni con linee guida specifiche
Nell'elenco seguente vengono indicati i campi con linee guida specifiche per gli eventi di attività di processo:
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| EventType | Obbligatorio | Enumerato | Descrive l'operazione segnalata dal record. Per i record di processo, i valori supportati includono: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Obbligatorio | SchemaVersion (String) | Versione dello schema. La versione dello schema documentata qui è 0.1.4 |
| EventSchema | Obbligatorio | Stringa | Il nome dello schema documentato qui è ProcessEvent. |
| Campi Dvc | Per gli eventi di attività del processo, i campi del dispositivo fanno riferimento al sistema in cui è stato eseguito il processo. |
Importante
Il EventSchema campo è attualmente facoltativo, ma diventerà obbligatorio il 1° settembre 2022.
Tutti i campi comuni
I campi visualizzati nella tabella seguente sono comuni a tutti gli schemi ASIM. Qualsiasi linea guida specificata in precedenza sostituisce le linee guida generali per il campo. Ad esempio, un campo può essere facoltativo in generale, ma obbligatorio per uno schema specifico. Per altre informazioni su ogni campo, vedere l'articolo Campi comuni di ASIM .
| Classe | Campi |
|---|---|
| Obbligatorio |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Consigliata |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Facoltativo |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcO - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Elaborare campi specifici dell'evento
I campi elencati nella tabella seguente sono specifici degli eventi Process, ma sono simili ai campi di altri schemi e seguono convenzioni di denominazione simili.
Lo schema dell'evento di processo fa riferimento alle entità seguenti, che sono fondamentali per elaborare l'attività di creazione e terminazione:
- Attore : l'utente che ha avviato la creazione o la chiusura del processo.
- ActingProcess : processo usato dall'attore per avviare la creazione o la chiusura del processo.
- TargetProcess : nuovo processo.
- TargetUser : utente le cui credenziali vengono usate per creare il nuovo processo.
- ParentProcess : processo che ha avviato il processo dell'attore.
Alias
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Utente | Alias | Alias per TargetUsername. Esempio: CONTOSO\dadmin |
|
| Procedura | Alias | Alias per TargetProcessName Esempio: C:\Windows\System32\rundll32.exe |
|
| Commandline | Alias | Alias per TargetProcessCommandLine | |
| Hash | Alias | Alias per l'hash migliore disponibile per il processo di destinazione. |
Campi dell'attore
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| ActorUserId | Consigliata | Stringa | Rappresentazione univoca, alfanumerica e leggibile dal computer dell'attore. Per il formato supportato per diversi tipi di ID, fare riferimento all'entità Utente. Esempio: S-1-12 |
| ActorUserIdType | Condizionale | Enumerato | Tipo dell'ID archiviato nel campo ActorUserId . Per un elenco dei valori consentiti e altre informazioni, vedere UserIdTypenell'articolo Panoramica dello schema. |
| ActorScope | Facoltativo | Stringa | Ambito, ad esempio Microsoft Entra tenant, in cui sono definiti ActorUserId e ActorUsername. o altre informazioni e l'elenco dei valori consentiti, vedere UserScopenell'articolo Panoramica dello schema. |
| ActorScopeId | Facoltativo | Stringa | ID ambito, ad esempio Microsoft Entra ID directory, in cui sono definiti ActorUserId e ActorUsername. o altre informazioni e l'elenco dei valori consentiti, vedere UserScopeIdnell'articolo Panoramica dello schema. |
| ActorUsername | Obbligatorio | Nome utente (stringa) | Nome utente dell'attore, incluse le informazioni sul dominio quando disponibile. Per il formato supportato per diversi tipi di ID, fare riferimento all'entità Utente. Usare il modulo semplice solo se le informazioni sul dominio non sono disponibili. Archiviare il tipo username nel campo ActorUsernameType . Se sono disponibili altri formati di nome utente, archiviarli nei campi ActorUsername<UsernameType>.Esempio: AlbertE |
| ActorUsernameType | Condizionale | Enumerato | Specifica il tipo di nome utente archiviato nel campo ActorUsername . Per un elenco dei valori consentiti e altre informazioni, vedere UsernameTypenell'articolo Panoramica dello schema. Esempio: Windows |
| ActorSessionId | Facoltativo | Stringa | ID univoco della sessione di accesso dell'attore. Esempio: 999Nota: il tipo è definito come stringa per supportare sistemi diversi, ma in Windows questo valore deve essere numerico. Se si usa un computer Windows e si usa un tipo diverso, assicurarsi di convertire i valori. Ad esempio, se è stato usato un valore esadecimale, convertirlo in un valore decimale. |
| ActorUserType | Facoltativo | Usertype | Tipo di attore. Per un elenco dei valori consentiti e altre informazioni, vedere UserTypenell'articolo Panoramica dello schema. Nota: il valore può essere fornito nel record di origine usando termini diversi, che devono essere normalizzati in base a questi valori. Archiviare il valore originale nel campo ActorOriginalUserType . |
| ActorOriginalUserType | Facoltativo | Stringa | Tipo di utente di destinazione originale, se fornito dal dispositivo di report. |
Campi del processo di azione
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| ActingProcessCommandLine | Facoltativo | Stringa | Riga di comando utilizzata per eseguire il processo di esecuzione. Esempio: "choco.exe" -v |
| ActingProcessName | Facoltativo | stringa | Nome del processo di esecuzione. Questo nome è in genere derivato dall'immagine o dal file eseguibile usato per definire il codice iniziale e i dati mappati nello spazio indirizzi virtuale del processo. Esempio: C:\Windows\explorer.exe |
| ActingProcessFilename | Facoltativo | Stringa | Parte del nome file di , senza informazioni sulla ActingProcessNamecartella. Esempio: explorer.exe |
| ActingProcessFileCompany | Facoltativo | Stringa | Società che ha creato il file di immagine del processo di esecuzione. Esempio: Microsoft |
| ActingProcessFileDescription | Facoltativo | Stringa | Descrizione incorporata nelle informazioni sulla versione del file di immagine del processo che agisce. Esempio: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Facoltativo | Stringa | Nome del prodotto dalle informazioni sulla versione nel file di immagine del processo di esecuzione. Esempio: Notepad++ |
| ActingProcessFileVersion | Facoltativo | Stringa | Versione del prodotto dalle informazioni sulla versione del file di immagine del processo di esecuzione. Esempio: 7.9.5.0 |
| ActingProcessFileInternalName | Facoltativo | Stringa | Nome del file interno del prodotto dalle informazioni sulla versione del file di immagine del processo che agisce. |
| ActingProcessFileOriginalName | Facoltativo | Stringa | Nome del file originale del prodotto dalle informazioni sulla versione del file di immagine del processo che agisce. Esempio: Notepad++.exe |
| ActingProcessIsHidden | Facoltativo | Booleano | Indicazione del fatto che il processo di esecuzione è in modalità nascosta. |
| ActingProcessInjectedAddress | Facoltativo | Stringa | Indirizzo di memoria in cui viene archiviato il processo responsabile. |
| ActingProcessId | Obbligatorio | Stringa | ID processo (PID) del processo che agisce. Esempio: 48610176 Nota: il tipo è definito come stringa per supportare sistemi diversi, ma in Windows e Linux questo valore deve essere numerico. Se si usa un computer Windows o Linux e si usa un tipo diverso, assicurarsi di convertire i valori. Ad esempio, se è stato usato un valore esadecimale, convertirlo in un valore decimale. |
| ActingProcessGuid | Facoltativo | GUID (stringa) | Identificatore univoco generato (GUID) del processo di azione. Consente di identificare il processo tra i sistemi. Esempio: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Facoltativo | Stringa | Ogni processo ha un livello di integrità rappresentato nel relativo token. I livelli di integrità determinano il livello di protezione o di accesso del processo. Windows definisce i livelli di integrità seguenti: basso, medio, alto e sistema. Standard gli utenti ricevono un livello di integrità medio e gli utenti con privilegi elevati ricevono un livello di integrità elevato. Per altre informazioni, vedere Controllo di integrità obbligatorio - App Win32. |
| ActingProcessMD5 | Facoltativo | Stringa | Hash MD5 del file di immagine del processo che agisce. Esempio: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Facoltativo | SHA1 | Hash SHA-1 del file di immagine del processo che agisce. Esempio: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Facoltativo | SHA256 | Hash SHA-256 del file di immagine del processo che agisce. Esempio: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Facoltativo | SHA512 | Hash SHA-512 del file di immagine del processo che agisce. |
| ActingProcessIMPHASH | Facoltativo | Stringa | Hash di importazione di tutte le DLL della libreria usate dal processo di esecuzione. |
| ActingProcessCreationTime | Facoltativo | DateTime | Data e ora in cui è stato avviato il processo di esecuzione. |
| ActingProcessTokenElevation | Facoltativo | Stringa | Token che indica la presenza o l'assenza dell'elevazione dei privilegi di User Controllo di accesso (UAC) applicata al processo di esecuzione. Esempio: None |
| ActingProcessFileSize | Facoltativo | Lungo | Dimensioni del file che ha eseguito il processo di esecuzione. |
Campi del processo padre
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| ParentProcessName | Facoltativo | stringa | Nome del processo padre. Questo nome è in genere derivato dall'immagine o dal file eseguibile usato per definire il codice iniziale e i dati mappati nello spazio indirizzi virtuale del processo. Esempio: C:\Windows\explorer.exe |
| ParentProcessFileCompany | Facoltativo | Stringa | Nome della società che ha creato il file di immagine del processo padre. Esempio: Microsoft |
| ParentProcessFileDescription | Facoltativo | Stringa | Descrizione delle informazioni sulla versione nel file di immagine del processo padre. Esempio: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Facoltativo | Stringa | Nome del prodotto dalle informazioni sulla versione nel file di immagine del processo padre. Esempio: Notepad++ |
| ParentProcessFileVersion | Facoltativo | Stringa | Versione del prodotto dalle informazioni sulla versione nel file di immagine del processo padre. Esempio: 7.9.5.0 |
| ParentProcessIsHidden | Facoltativo | Booleano | Indica se il processo padre è in modalità nascosta. |
| ParentProcessInjectedAddress | Facoltativo | Stringa | Indirizzo di memoria in cui viene archiviato il processo padre responsabile. |
| ParentProcessId | Consigliata | Stringa | ID processo (PID) del processo padre. Esempio: 48610176 |
| ParentProcessGuid | Facoltativo | Stringa | Identificatore univoco generato (GUID) del processo padre. Consente di identificare il processo tra i sistemi. Esempio: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Facoltativo | Stringa | Ogni processo ha un livello di integrità rappresentato nel relativo token. I livelli di integrità determinano il livello di protezione o di accesso del processo. Windows definisce i livelli di integrità seguenti: basso, medio, alto e sistema. Standard gli utenti ricevono un livello di integrità medio e gli utenti con privilegi elevati ricevono un livello di integrità elevato. Per altre informazioni, vedere Controllo di integrità obbligatorio - App Win32. |
| ParentProcessMD5 | Facoltativo | MD5 | Hash MD5 del file di immagine del processo padre. Esempio: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Facoltativo | SHA1 | Hash SHA-1 del file di immagine del processo padre. Esempio: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Facoltativo | SHA256 | Hash SHA-256 del file di immagine del processo padre. Esempio: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Facoltativo | SHA512 | Hash SHA-512 del file di immagine del processo padre. |
| ParentProcessIMPHASH | Facoltativo | Stringa | Hash di importazione di tutte le DLL di libreria usate dal processo padre. |
| ParentProcessTokenElevation | Facoltativo | Stringa | Token che indica la presenza o l'assenza dell'elevazione dei privilegi di User Controllo di accesso (UAC) applicata al processo padre. Esempio: None |
| ParentProcessCreationTime | Facoltativo | DateTime | Data e ora di avvio del processo padre. |
Campi utente di destinazione
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| TargetUsername | Obbligatorio per gli eventi di creazione del processo. | Nome utente (stringa) | Nome utente di destinazione, incluse le informazioni sul dominio quando disponibile. Per il formato supportato per diversi tipi di ID, fare riferimento all'entità Utente. Usare il modulo semplice solo se le informazioni sul dominio non sono disponibili. Archiviare il tipo di nome utente nel campo TargetUsernameType . Se sono disponibili altri formati di nome utente, archiviarli nei campi TargetUsername<UsernameType>.Esempio: AlbertE |
| TargetUsernameType | Condizionale | Enumerato | Specifica il tipo di nome utente archiviato nel campo TargetUsername . Per un elenco dei valori consentiti e altre informazioni, vedere UsernameTypenell'articolo Panoramica dello schema. Esempio: Windows |
| TargetUserId | Consigliata | Stringa | Rappresentazione univoca, alfanumerica e leggibile dal computer dell'utente di destinazione. Per il formato supportato per diversi tipi di ID, fare riferimento all'entità Utente. Esempio: S-1-12 |
| TargetUserIdType | Condizionale | UserIdType | Tipo dell'ID archiviato nel campo TargetUserId . Per un elenco dei valori consentiti e altre informazioni, vedere UserIdTypenell'articolo Panoramica dello schema. |
| TargetUserSessionId | Facoltativo | Stringa | ID univoco della sessione di accesso dell'utente di destinazione. Esempio: 999 Nota: il tipo è definito come stringa per supportare sistemi diversi, ma in Windows questo valore deve essere numerico. Se si usa un computer Windows o Linux e si usa un tipo diverso, assicurarsi di convertire i valori. Ad esempio, se è stato usato un valore esadecimale, convertirlo in un valore decimale. |
| TargetUserSessionGuid | Facoltativo | Stringa | GUID univoco della sessione di accesso dell'utente di destinazione, come segnalato dal dispositivo di report. Esempio: {12345678-1234-1234-1234-123456789012} |
| TargetUserType | Facoltativo | Usertype | Tipo di attore. Per un elenco dei valori consentiti e altre informazioni, vedere UserTypenell'articolo Panoramica dello schema. Nota: il valore può essere fornito nel record di origine usando termini diversi, che devono essere normalizzati in base a questi valori. Archiviare il valore originale nel campo TargetOriginalUserType . |
| TargetOriginalUserType | Facoltativo | Stringa | Tipo di utente di destinazione originale, se fornito dal dispositivo di report. |
| TargetUserScope | Facoltativo | Stringa | Ambito, ad esempio Microsoft Entra tenant, in cui vengono definiti TargetUserId e TargetUsername. o altre informazioni e l'elenco dei valori consentiti, vedere UserScopenell'articolo Panoramica dello schema. |
| TargetUserScopeId | Facoltativo | Stringa | ID ambito, ad esempio Microsoft Entra ID directory, in cui vengono definiti TargetUserId e TargetUsername. Per altre informazioni e l'elenco dei valori consentiti, vedere UserScopeIdnell'articolo Panoramica dello schema. |
Campi del processo di destinazione
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| TargetProcessName | Obbligatorio | stringa | Nome del processo di destinazione. Questo nome è in genere derivato dall'immagine o dal file eseguibile usato per definire il codice iniziale e i dati mappati nello spazio indirizzi virtuale del processo. Esempio: C:\Windows\explorer.exe |
| TargetProcessFilename | Facoltativo | Stringa | Parte del nome file di , senza informazioni sulla TargetProcessNamecartella. Esempio: explorer.exe |
| TargetProcessFileCompany | Facoltativo | Stringa | Nome della società che ha creato il file di immagine del processo di destinazione. Esempio: Microsoft |
| TargetProcessFileDescription | Facoltativo | Stringa | Descrizione delle informazioni sulla versione nel file di immagine del processo di destinazione. Esempio: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Facoltativo | Stringa | Nome del prodotto dalle informazioni sulla versione nel file di immagine del processo di destinazione. Esempio: Notepad++ |
| TargetProcessFileSize | Facoltativo | Lungo | Dimensioni del file che ha eseguito il processo responsabile dell'evento. |
| TargetProcessFileVersion | Facoltativo | Stringa | Versione del prodotto dalle informazioni sulla versione nel file di immagine del processo di destinazione. Esempio: 7.9.5.0 |
| TargetProcessFileInternalName | Facoltativo | Stringa | Nome del file interno del prodotto dalle informazioni sulla versione del file di immagine del processo di destinazione. |
| TargetProcessFileOriginalName | Facoltativo | Stringa | Nome file originale del prodotto dalle informazioni sulla versione del file di immagine del processo di destinazione. |
| TargetProcessIsHidden | Facoltativo | Booleano | Indica se il processo di destinazione è in modalità nascosta. |
| TargetProcessInjectedAddress | Facoltativo | Stringa | Indirizzo di memoria in cui viene archiviato il processo di destinazione responsabile. |
| TargetProcessMD5 | Facoltativo | MD5 | Hash MD5 del file di immagine del processo di destinazione. Esempio: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Facoltativo | SHA1 | Hash SHA-1 del file di immagine del processo di destinazione. Esempio: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Facoltativo | SHA256 | Hash SHA-256 del file di immagine del processo di destinazione. Esempio: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Facoltativo | SHA512 | Hash SHA-512 del file di immagine del processo di destinazione. |
| TargetProcessIMPHASH | Facoltativo | Stringa | Hash di importazione di tutte le DLL di libreria usate dal processo di destinazione. |
| HashType | Condizionale | Enumerato | Il tipo di hash archiviato nel campo alias HASH, i valori consentiti sono MD5, SHA, SHA256SHA512 e IMPHASH. |
| TargetProcessCommandLine | Obbligatorio | Stringa | Riga di comando utilizzata per eseguire il processo di destinazione. Esempio: "choco.exe" -v |
| TargetProcessCurrentDirectory | Facoltativo | Stringa | Directory corrente in cui viene eseguito il processo di destinazione. Esempio: c:\windows\system32 |
| TargetProcessCreationTime | Consigliata | DateTime | Versione del prodotto dalle informazioni sulla versione del file di immagine del processo di destinazione. |
| TargetProcessId | Obbligatorio | Stringa | ID processo (PID) del processo di destinazione. Esempio: 48610176Nota: il tipo è definito come stringa per supportare sistemi diversi, ma in Windows e Linux questo valore deve essere numerico. Se si usa un computer Windows o Linux e si usa un tipo diverso, assicurarsi di convertire i valori. Ad esempio, se è stato usato un valore esadecimale, convertirlo in un valore decimale. |
| TargetProcessGuid | Facoltativo | GUID (String) | Identificatore univoco generato (GUID) del processo di destinazione. Consente di identificare il processo tra i sistemi. Esempio: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Facoltativo | Stringa | Ogni processo ha un livello di integrità rappresentato nel relativo token. I livelli di integrità determinano il livello di protezione o di accesso del processo. Windows definisce i livelli di integrità seguenti: basso, medio, alto e sistema. Standard gli utenti ricevono un livello di integrità medio e gli utenti con privilegi elevati ricevono un livello di integrità elevato. Per altre informazioni, vedere Controllo di integrità obbligatorio - App Win32. |
| TargetProcessTokenElevation | Facoltativo | Stringa | Tipo di token che indica la presenza o l'assenza di elevazione dei privilegi user Controllo di accesso (UAC) applicata al processo creato o terminato. Esempio: None |
| TargetProcessStatusCode | Facoltativo | Stringa | Codice di uscita restituito dal processo di destinazione quando viene terminato. Questo campo è valido solo per gli eventi di terminazione del processo. Per coerenza, il tipo di campo è stringa, anche se il valore fornito dal sistema operativo è numerico. |
Campi di ispezione
I campi seguenti vengono usati per rappresentare l'ispezione eseguita da un sistema di sicurezza come un sistema EDR.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Rulename | Facoltativo | Stringa | Nome o ID della regola associato ai risultati dell'ispezione. |
| RuleNumber | Facoltativo | Numero intero | Numero della regola associata ai risultati dell'ispezione. |
| Regola | Condizionale | Stringa | Valore di kRuleName o valore di RuleNumber. Se viene utilizzato il valore di RuleNumber , il tipo deve essere convertito in stringa. |
| ThreatId | Facoltativo | Stringa | ID della minaccia o del malware identificato nell'attività del file. |
| ThreatName | Facoltativo | Stringa | Nome della minaccia o del malware identificato nell'attività del file. Esempio: EICAR Test File |
| ThreatCategory | Facoltativo | Stringa | Categoria della minaccia o del malware identificato nell'attività del file. Esempio: Trojan |
| ThreatRiskLevel | Facoltativo | RiskLevel (Integer) | Livello di rischio associato alla minaccia identificata. Il livello deve essere un numero compreso tra 0 e 100. Nota: il valore può essere fornito nel record di origine usando una scala diversa, che deve essere normalizzata in base a questa scala. Il valore originale deve essere archiviato in ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Facoltativo | Stringa | Livello di rischio segnalato dal dispositivo di segnalazione. |
| ThreatField | Facoltativo | Stringa | Campo per il quale è stata identificata una minaccia. |
| ThreatField | Facoltativo | Stringa | Campo per il quale è stata identificata una minaccia. |
| ThreatConfidence | Facoltativo | ConfidenceLevel (Integer) | Livello di attendibilità della minaccia identificata, normalizzata in un valore compreso tra 0 e 100. |
| ThreatOriginalConfidence | Facoltativo | Stringa | Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di segnalazione. |
| ThreatIsActive | Facoltativo | Booleano | True se la minaccia identificata è considerata una minaccia attiva. |
| ThreatFirstReportedTime | Facoltativo | datetime | La prima volta che l'indirizzo IP o il dominio è stato identificato come una minaccia. |
| ThreatLastReportedTime | Facoltativo | datetime | L'ultima volta che l'indirizzo IP o il dominio è stato identificato come una minaccia. |
Aggiornamenti dello schema
Di seguito sono riportate le modifiche apportate alla versione 0.1.1 dello schema:
- Aggiunta del campo
EventSchema.
Queste sono le modifiche apportate alla versione 0.1.2 dello schema
- Sono stati aggiunti i campi
ActorUserType,ActorOriginalUserType,TargetUserType,TargetOriginalUserTypeeHashType.
Queste sono le modifiche apportate alla versione 0.1.3 dello schema
- Sono stati modificati i campi
ParentProcessIdeTargetProcessCreationTimeda obbligatori a consigliati.
Queste sono le modifiche apportate alla versione 0.1.4 dello schema
- Sono stati aggiunti i campi
ActorScope,DvcScopeIdeDvcScope.
Passaggi successivi
Per ulteriori informazioni, vedere: