프로세스 이벤트 정규화 스키마는 프로세스를 실행하고 종료하는 운영 체제 활동을 설명하는 데 사용됩니다. 이러한 이벤트는 EDR(엔드포인트 검색 및 응답) 시스템과 같은 운영 체제 및 보안 시스템에서 보고됩니다.
OSSEM에서 정의한 프로세스는 프로그램의 실행 중인 instance 나타내는 포함 및 관리 개체입니다. 프로세스 자체는 실행되지 않지만 코드를 실행하고 실행하는 스레드를 관리합니다.
Microsoft Sentinel 정규화에 대한 자세한 내용은 정규화 및 ASIM(고급 보안 정보 모델)을 참조하세요.
파서
나열된 모든 파서를 통합하고 구성된 모든 원본에서 분석하도록 하는 통합 파서를 사용하려면 쿼리에서 다음 테이블 이름을 사용합니다.
- imProcess 프로세스 생성 정보가 필요한 쿼리를 생성합니다. 이러한 쿼리는 가장 일반적인 경우입니다.
- 프로세스 종료 정보가 필요한 쿼리의 경우 imProcessTerminate입니다.
기본 제공 Microsoft Sentinel 프로세스 이벤트 파서 목록은 ASIM 파서 목록을 참조하세요.
Microsoft Sentinel GitHub 리포지토리에서 인증 파서를 배포합니다.
자세한 내용은 ASIM 파서 개요를 참조하세요.
정규화된 자체 파서 추가
사용자 지정 프로세스 이벤트 파서를 구현할 때 및 imProcessTerminate<vendor><Product>구문을 imProcessCreate<vendor><Product> 사용하여 KQL 함수의 이름을 지정합니다.
ASim 매개 변수가 없는 버전에 대해 을 로 바꿉다im.
ASIM 파서 관리에 설명된 대로 통합 파서에 KQL 함수를 추가합니다.
파서 매개 변수 필터링
및 파서는 필터링 매개 변수를 지원합니다.vim*im 이러한 파서는 선택 사항이지만 쿼리 성능을 향상시킬 수 있습니다.
다음 필터링 매개 변수를 사용할 수 있습니다.
| 이름 | 유형 | 설명 |
|---|---|---|
| Starttime | datetime | 이 시간 또는 그 이후에 발생한 프로세스 이벤트만 필터링합니다. 이 매개 변수는 TimeGenerated EventStartTime 및 EventEndTime 필드의 파서별 매핑에 관계없이 이벤트 시간의 표준 지정자인 필드를 필터링합니다. |
| Endtime | datetime | 이 시간 또는 그 이전에 발생한 프로세스 이벤트 쿼리만 필터링합니다. 이 매개 변수는 TimeGenerated EventStartTime 및 EventEndTime 필드의 파서별 매핑에 관계없이 이벤트 시간의 표준 지정자인 필드를 필터링합니다. |
| commandline_has_any | 동적 | 실행된 명령줄에 나열된 값이 있는 프로세스 이벤트만 필터링합니다. 목록의 길이는 10,000개 항목으로 제한됩니다. |
| commandline_has_all | 동적 | 실행된 명령줄에 나열된 모든 값이 있는 프로세스 이벤트만 필터링합니다. 목록의 길이는 10,000개 항목으로 제한됩니다. |
| commandline_has_any_ip_prefix | 동적 | 실행된 명령줄에 나열된 모든 IP 주소 또는 IP 주소 접두사를 포함하는 프로세스 이벤트만 필터링합니다. 접두사는 로 .끝나야 합니다(예: 10.0.). 목록의 길이는 10,000개 항목으로 제한됩니다. |
| actingprocess_has_any | 동적 | 전체 프로세스 경로를 포함하는 작업 프로세스 이름에 나열된 값이 있는 프로세스 이벤트만 필터링합니다. 목록의 길이는 10,000개 항목으로 제한됩니다. |
| targetprocess_has_any | 동적 | 전체 프로세스 경로를 포함하는 대상 프로세스 이름에 나열된 값이 있는 프로세스 이벤트만 필터링합니다. 목록의 길이는 10,000개 항목으로 제한됩니다. |
| parentprocess_has_any | 동적 | 전체 프로세스 경로를 포함하는 대상 프로세스 이름에 나열된 값이 있는 프로세스 이벤트만 필터링합니다. 목록의 길이는 10,000개 항목으로 제한됩니다. |
| targetusername_has 또는 actorusername_has | 문자열 | 대상 사용자 이름(프로세스 만들기 이벤트의 경우) 또는 행위자 사용자 이름(프로세스 종료 이벤트의 경우)에 나열된 값이 있는 프로세스 이벤트만 필터링합니다. 목록의 길이는 10,000개 항목으로 제한됩니다. |
| dvcipaddr_has_any_prefix | 동적 | 디바이스 IP 주소가 나열된 IP 주소 또는 IP 주소 접두사와 일치하는 프로세스 이벤트만 필터링합니다. 접두사는 로 .끝나야 합니다(예: 10.0.). 목록의 길이는 10,000개 항목으로 제한됩니다. |
| dvchostname_has_any | 동적 | 디바이스 호스트 이름 또는 디바이스 FQDN을 사용할 수 있는 프로세스 이벤트만 필터링에 나열된 값이 있습니다. 목록의 길이는 10,000개 항목으로 제한됩니다. |
| eventtype | 문자열 | 지정된 형식의 프로세스 이벤트만 필터링합니다. |
예를 들어 마지막 날의 인증 이벤트만 특정 사용자로 필터링하려면 다음을 사용합니다.
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
팁
동적 값이 필요한 매개 변수에 리터럴 목록을 전달하려면 동적 리터럴을 명시적으로 사용합니다. 예: dynamic(['192.168.','10.'])
정규화된 콘텐츠
정규화된 프로세스 이벤트를 사용하는 분석 규칙의 전체 목록은 프로세스 이벤트 보안 콘텐츠를 참조하세요.
스키마 세부 정보
프로세스 이벤트 정보 모델은 OSSEM 프로세스 엔터티 스키마에 맞춰집니다.
일반 ASIM 필드
중요
모든 스키마에 공통된 필드는 ASIM 공통 필드 문서에서 자세히 설명합니다.
특정 지침이 있는 공통 필드
다음 목록에서는 프로세스 활동 이벤트에 대한 특정 지침이 있는 필드를 설명합니다.
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| EventType | 필수 | 열거 | 레코드에서 보고한 작업에 대해 설명합니다. 프로세스 레코드의 경우 지원되는 값은 다음과 같습니다. - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | 필수 | SchemaVersion(문자열) | 스키마의 버전입니다. 여기에 설명된 스키마의 버전은 다음과 같습니다. 0.1.4 |
| EventSchema | 필수 | String | 여기에 설명된 스키마의 이름은 입니다 ProcessEvent. |
| Dvc 필드 | 프로세스 활동 이벤트의 경우 디바이스 필드는 프로세스가 실행된 시스템을 참조합니다. |
중요
EventSchema 필드는 현재 선택 사항이지만 2022년 9월 1일에 필수가 됩니다.
모든 공통 필드
아래 표에 표시되는 필드는 모든 ASIM 스키마에 공통적으로 적용됩니다. 위에 지정된 모든 지침은 필드에 대한 일반 지침을 재정의합니다. 예를 들어 필드는 일반적으로 선택 사항이지만 특정 스키마에는 필수일 수 있습니다. 각 필드에 대한 자세한 내용은 ASIM 공통 필드 문서를 참조하세요.
| 클래스 | 필드 |
|---|---|
| 필수 |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| 권장 |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| 옵션 |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
이벤트별 필드 처리
아래 표에 나열된 필드는 프로세스 이벤트와 관련이 있지만 다른 스키마의 필드와 유사하며 유사한 명명 규칙을 따릅니다.
프로세스 이벤트 스키마는 프로세스 만들기 및 종료 작업의 중심인 다음 엔터티를 참조합니다.
- 행위자 - 프로세스 만들기 또는 종료를 시작한 사용자입니다.
- ActingProcess - 행위자가 프로세스 생성 또는 종료를 시작하는 데 사용하는 프로세스입니다.
- TargetProcess - 새 프로세스입니다.
- TargetUser - 자격 증명을 사용하여 새 프로세스를 만드는 사용자입니다.
- ParentProcess - 행위자 프로세스를 시작한 프로세스입니다.
별칭
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| 사용자 | 별칭 |
TargetUsername에 대한 별칭입니다. 예: CONTOSO\dadmin |
|
| 프로세스 | 별칭 |
TargetProcessName에 대한 별칭 예: C:\Windows\System32\rundll32.exe |
|
| 명령줄 | 별칭 | TargetProcessCommandLine에 대한 별칭 | |
| 해시 | 별칭 | 대상 프로세스에 사용할 수 있는 최상의 해시에 대한 별칭입니다. |
행위자 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| ActorUserId | 권장 | String | 컴퓨터에서 읽을 수 있는 영숫자이며 행위자의 고유한 표현입니다. 다양한 ID 형식에 대해 지원되는 형식은 사용자 엔터티를 참조하세요. 예: S-1-12 |
| ActorUserIdType | 조건부 | 열거 | ActorUserId 필드에 저장된 ID의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의UserIdType을 참조하세요. |
| 행위자 범위 | 옵션 | String | actorUserId 및 ActorUsername이 정의된 Microsoft Entra 테넌트와 같은 scope. 또는 허용되는 값의 자세한 내용과 목록은 스키마 개요 문서의UserScope를 참조하세요. |
| ActorScopeId | 옵션 | String | ActorUserId 및 ActorUsername이 정의된 Microsoft Entra 디렉터리 ID와 같은 scope ID입니다. 또는 자세한 내용과 허용되는 값 목록은 스키마 개요 문서의UserScopeId를 참조하세요. |
| ActorUsername | 필수 | 사용자 이름(문자열) | 사용 가능한 경우 도메인 정보를 포함하는 행위자 사용자 이름입니다. 다양한 ID 형식에 대해 지원되는 형식은 사용자 엔터티를 참조하세요. 도메인 정보를 사용할 수 없는 경우에만 간단한 양식을 사용합니다. Username 형식을 ActorUsernameType 필드에 저장합니다. 다른 사용자 이름 형식을 사용할 수 있는 경우 필드에 ActorUsername<UsernameType>저장합니다.예: AlbertE |
| ActorUsernameType | 조건부 | 열거 |
ActorUsername 필드에 저장된 사용자 이름의 형식을 지정합니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의UsernameType을 참조하세요. 예: Windows |
| ActorSessionId | 옵션 | String | 행위자의 로그인 세션의 고유 ID입니다. 예: 999참고: 형식은 다양한 시스템을 지원하기 위해 문자열 로 정의되지만 Windows에서는 이 값이 숫자여야 합니다. Windows 컴퓨터를 사용하고 다른 형식을 사용하는 경우 값을 변환해야 합니다. 예를 들어 16진수 값을 사용한 경우 10진수 값으로 변환합니다. |
| ActorUserType | 옵션 | UserType | 행위자의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의UserType을 참조하세요. 참고: 값은 이러한 값으로 정규화되어야 하는 다른 용어를 사용하여 원본 레코드에 제공될 수 있습니다. 원래 값을 ActorOriginalUserType 필드에 저장합니다. |
| ActorOriginalUserType | 옵션 | String | 보고 디바이스에서 제공하는 경우 원래 대상 사용자 유형입니다. |
작업 프로세스 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| ActingProcessCommandLine | 옵션 | String | 작업 프로세스를 실행하는 데 사용되는 명령줄입니다. 예: "choco.exe" -v |
| ActingProcessName | 옵션 | 문자열 | 연기 프로세스의 이름입니다. 이 이름은 일반적으로 프로세스의 가상 주소 공간에 매핑되는 초기 코드 및 데이터를 정의하는 데 사용되는 이미지 또는 실행 파일에서 파생됩니다. 예: C:\Windows\explorer.exe |
| ActingProcessFilename | 옵션 | String | 폴더 정보가 없는 의 ActingProcessName파일 이름 부분입니다. 예: explorer.exe |
| ActingProcessFileCompany | 옵션 | String | 작업 프로세스 이미지 파일을 만든 회사입니다. 예: Microsoft |
| ActingProcessFileDescription | 옵션 | String | 작업 프로세스 이미지 파일의 버전 정보에 포함된 설명입니다. 예: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | 옵션 | String | 작업 프로세스 이미지 파일의 버전 정보의 제품 이름입니다. 예: Notepad++ |
| ActingProcessFileVersion | 옵션 | String | 작업 프로세스 이미지 파일의 버전 정보에서 제품 버전입니다. 예: 7.9.5.0 |
| ActingProcessFileInternalName | 옵션 | String | 작업 프로세스 이미지 파일의 버전 정보에서 제품 내부 파일 이름입니다. |
| ActingProcessFileOriginalName | 옵션 | String | 작업 프로세스 이미지 파일의 버전 정보에서 제품 원본 파일 이름입니다. 예: Notepad++.exe |
| ActingProcessIsHidden | 옵션 | 부울 | 연기 프로세스가 숨겨진 모드인지 여부를 나타냅니다. |
| ActingProcessInjectedAddress | 옵션 | String | 책임 있는 작업 프로세스가 저장되는 메모리 주소입니다. |
| ActingProcessId | 필수 | String | 작업 프로세스의 PID(프로세스 ID)입니다. 예: 48610176 참고: 형식은 다양한 시스템을 지원하기 위해 문자열로 정의되지만 Windows 및 Linux 이 값은 숫자여야 합니다. Windows 또는 Linux 컴퓨터를 사용하고 다른 형식을 사용하는 경우 값을 변환해야 합니다. 예를 들어 16진수 값을 사용한 경우 10진수 값으로 변환합니다. |
| ActingProcessGuid | 옵션 | GUID(문자열) | 작업 프로세스의 생성된 고유 식별자(GUID)입니다. 시스템 전체에서 프로세스를 식별할 수 있습니다. 예: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | 옵션 | String | 모든 프로세스에는 토큰에 표시되는 무결성 수준이 있습니다. 무결성 수준은 보호 또는 액세스의 프로세스 수준을 결정합니다. Windows는 낮음, 중간, 높음 및 시스템의 무결성 수준을 정의합니다. Standard 사용자는 중간 무결성 수준을 받고 상승된 사용자는 높은 무결성 수준을 받습니다. 자세한 내용은 필수 무결성 제어 - Win32 앱을 참조하세요. |
| ActingProcessMD5 | 옵션 | String | 작업 프로세스 이미지 파일의 MD5 해시입니다. 예: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | 옵션 | SHA1 | 작업 프로세스 이미지 파일의 SHA-1 해시입니다. 예: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | 옵션 | SHA256 | 작업 프로세스 이미지 파일의 SHA-256 해시입니다. 예: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | 옵션 | Sha512 | 작업 프로세스 이미지 파일의 SHA-512 해시입니다. |
| ActingProcessIMPHASH | 옵션 | String | 작업 프로세스에서 사용되는 모든 라이브러리 DLL의 가져오기 해시입니다. |
| ActingProcessCreationTime | 옵션 | 날짜/시간 | 연기 프로세스가 시작된 날짜와 시간입니다. |
| ActingProcessTokenElevation | 옵션 | String | 작업 프로세스에 적용된 UAC(사용자 Access Control) 권한 상승의 존재 여부 또는 부재를 나타내는 토큰입니다. 예: None |
| ActingProcessFileSize | 옵션 | 긴 | 작업 프로세스를 실행한 파일의 크기입니다. |
부모 프로세스 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| ParentProcessName | 옵션 | 문자열 | 부모 프로세스의 이름입니다. 이 이름은 일반적으로 프로세스의 가상 주소 공간에 매핑되는 초기 코드 및 데이터를 정의하는 데 사용되는 이미지 또는 실행 파일에서 파생됩니다. 예: C:\Windows\explorer.exe |
| ParentProcessFileCompany | 옵션 | String | 부모 프로세스 이미지 파일을 만든 회사의 이름입니다. 예: Microsoft |
| ParentProcessFileDescription | 옵션 | String | 부모 프로세스 이미지 파일의 버전 정보에 대한 설명입니다. 예: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | 옵션 | String | 부모 프로세스 이미지 파일의 버전 정보의 제품 이름입니다. 예: Notepad++ |
| ParentProcessFileVersion | 옵션 | String | 부모 프로세스 이미지 파일의 버전 정보의 제품 버전입니다. 예: 7.9.5.0 |
| ParentProcessIsHidden | 옵션 | 부울 | 부모 프로세스가 숨겨진 모드인지 여부를 나타내는 표시입니다. |
| ParentProcessInjectedAddress | 옵션 | String | 책임 있는 부모 프로세스가 저장되는 메모리 주소입니다. |
| ParentProcessId | 권장 | String | 부모 프로세스의 PID(프로세스 ID)입니다. 예: 48610176 |
| ParentProcessGuid | 옵션 | String | 부모 프로세스의 생성된 GUID(고유 식별자)입니다. 시스템 전체에서 프로세스를 식별할 수 있습니다. 예: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | 옵션 | String | 모든 프로세스에는 토큰에 표시되는 무결성 수준이 있습니다. 무결성 수준은 보호 또는 액세스의 프로세스 수준을 결정합니다. Windows는 낮음, 중간, 높음 및 시스템의 무결성 수준을 정의합니다. Standard 사용자는 중간 무결성 수준을 받고 상승된 사용자는 높은 무결성 수준을 받습니다. 자세한 내용은 필수 무결성 제어 - Win32 앱을 참조하세요. |
| ParentProcessMD5 | 옵션 | MD5 | 부모 프로세스 이미지 파일의 MD5 해시입니다. 예: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | 옵션 | SHA1 | 부모 프로세스 이미지 파일의 SHA-1 해시입니다. 예: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | 옵션 | SHA256 | 부모 프로세스 이미지 파일의 SHA-256 해시입니다. 예: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | 옵션 | Sha512 | 부모 프로세스 이미지 파일의 SHA-512 해시입니다. |
| ParentProcessIMPHASH | 옵션 | String | 부모 프로세스에서 사용하는 모든 라이브러리 DLL의 가져오기 해시입니다. |
| ParentProcessTokenElevation | 옵션 | String | 부모 프로세스에 적용된 UAC(사용자 Access Control) 권한 상승의 존재 여부 또는 부재를 나타내는 토큰입니다. 예: None |
| ParentProcessCreationTime | 옵션 | 날짜/시간 | 부모 프로세스가 시작된 날짜 및 시간입니다. |
대상 사용자 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| TargetUsername | 프로세스 만들기 이벤트에 필수입니다. | 사용자 이름(문자열) | 사용 가능한 경우 도메인 정보를 포함한 대상 사용자 이름입니다. 다양한 ID 형식에 대해 지원되는 형식은 사용자 엔터티를 참조하세요. 도메인 정보를 사용할 수 없는 경우에만 간단한 양식을 사용합니다. Username 형식을 TargetUsernameType 필드에 저장합니다. 다른 사용자 이름 형식을 사용할 수 있는 경우 필드에 TargetUsername<UsernameType>저장합니다.예: AlbertE |
| TargetUsernameType | 조건부 | 열거 |
TargetUsername 필드에 저장된 사용자 이름의 형식을 지정합니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의UsernameType을 참조하세요. 예: Windows |
| TargetUserId | 권장 | String | 컴퓨터에서 읽을 수 있는 영숫자이며 대상 사용자의 고유한 표현입니다. 다양한 ID 형식에 대해 지원되는 형식은 사용자 엔터티를 참조하세요. 예: S-1-12 |
| TargetUserIdType | 조건부 | UserIdType | TargetUserId 필드에 저장된 ID의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의UserIdType을 참조하세요. |
| TargetUserSessionId | 옵션 | String | 대상 사용자의 로그인 세션의 고유 ID입니다. 예: 999 참고: 형식은 다양한 시스템을 지원하기 위해 문자열 로 정의되지만 Windows에서는 이 값이 숫자여야 합니다. Windows 또는 Linux 컴퓨터를 사용하고 다른 형식을 사용하는 경우 값을 변환해야 합니다. 예를 들어 16진수 값을 사용한 경우 10진수 값으로 변환합니다. |
| TargetUserSessionGuid | 옵션 | String | 보고 디바이스에서 보고한 대상 사용자의 로그인 세션의 고유 GUID입니다. 예: {12345678-1234-1234-1234-123456789012} |
| TargetUserType | 옵션 | UserType | 행위자의 형식입니다. 허용되는 값 목록 및 자세한 내용은 스키마 개요 문서의UserType을 참조하세요. 참고: 값은 이러한 값으로 정규화되어야 하는 다른 용어를 사용하여 원본 레코드에 제공될 수 있습니다. TargetOriginalUserType 필드에 원래 값을 저장합니다. |
| TargetOriginalUserType | 옵션 | String | 보고 디바이스에서 제공하는 경우 원래 대상 사용자 유형입니다. |
| TargetUserScope | 옵션 | String | TargetUserId 및 TargetUsername이 정의된 Microsoft Entra 테넌트와 같은 scope. 또는 허용되는 값의 자세한 내용과 목록은 스키마 개요 문서의UserScope를 참조하세요. |
| TargetUserScopeId | 옵션 | String | TargetUserId 및 TargetUsername이 정의된 Microsoft Entra 디렉터리 ID와 같은 scope ID입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서의UserScopeId를 참조하세요. |
대상 프로세스 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| TargetProcessName | 필수 | 문자열 | 대상 프로세스의 이름입니다. 이 이름은 일반적으로 프로세스의 가상 주소 공간에 매핑되는 초기 코드 및 데이터를 정의하는 데 사용되는 이미지 또는 실행 파일에서 파생됩니다. 예: C:\Windows\explorer.exe |
| TargetProcessFilename | 옵션 | String | 폴더 정보가 없는 의 TargetProcessName파일 이름 부분입니다. 예: explorer.exe |
| TargetProcessFileCompany | 옵션 | String | 대상 프로세스 이미지 파일을 만든 회사의 이름입니다. 예: Microsoft |
| TargetProcessFileDescription | 옵션 | String | 대상 프로세스 이미지 파일의 버전 정보에 대한 설명입니다. 예: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | 옵션 | String | 대상 프로세스 이미지 파일의 버전 정보의 제품 이름입니다. 예: Notepad++ |
| TargetProcessFileSize | 옵션 | 긴 | 이벤트를 담당하는 프로세스를 실행한 파일의 크기입니다. |
| TargetProcessFileVersion | 옵션 | String | 대상 프로세스 이미지 파일의 버전 정보의 제품 버전입니다. 예: 7.9.5.0 |
| TargetProcessFileInternalName | 옵션 | String | 대상 프로세스의 이미지 파일 버전 정보에서 제품 내부 파일 이름입니다. |
| TargetProcessFileOriginalName | 옵션 | String | 대상 프로세스의 이미지 파일 버전 정보에서 제품 원본 파일 이름입니다. |
| TargetProcessIsHidden | 옵션 | 부울 | 대상 프로세스가 숨겨진 모드인지 여부를 나타내는 표시입니다. |
| TargetProcessInjectedAddress | 옵션 | String | 책임 있는 대상 프로세스가 저장되는 메모리 주소입니다. |
| TargetProcessMD5 | 옵션 | MD5 | 대상 프로세스 이미지 파일의 MD5 해시입니다. 예: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | 옵션 | SHA1 | 대상 프로세스 이미지 파일의 SHA-1 해시입니다. 예: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | 옵션 | SHA256 | 대상 프로세스 이미지 파일의 SHA-256 해시입니다. 예: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | 옵션 | Sha512 | 대상 프로세스 이미지 파일의 SHA-512 해시입니다. |
| TargetProcessIMPHASH | 옵션 | String | 대상 프로세스에서 사용되는 모든 라이브러리 DLL의 가져오기 해시입니다. |
| HashType | 조건부 | 열거 | HASH 별칭 필드에 저장된 해시의 형식이며 허용되는 값은 , , SHA512SHASHA256및 IMPHASH입니다.MD5 |
| TargetProcessCommandLine | 필수 | String | 대상 프로세스를 실행하는 데 사용되는 명령줄입니다. 예: "choco.exe" -v |
| TargetProcessCurrentDirectory | 옵션 | String | 대상 프로세스가 실행되는 현재 디렉터리입니다. 예: c:\windows\system32 |
| TargetProcessCreationTime | 권장 | 날짜/시간 | 대상 프로세스 이미지 파일의 버전 정보의 제품 버전입니다. |
| TargetProcessId | 필수 | String | 대상 프로세스의 PID(프로세스 ID)입니다. 예: 48610176참고: 형식은 다양한 시스템을 지원하기 위해 문자열로 정의되지만 Windows 및 Linux 이 값은 숫자여야 합니다. Windows 또는 Linux 컴퓨터를 사용하고 다른 형식을 사용하는 경우 값을 변환해야 합니다. 예를 들어 16진수 값을 사용한 경우 10진수 값으로 변환합니다. |
| TargetProcessGuid | 옵션 | GUID(문자열) | 대상 프로세스의 생성된 GUID(고유 식별자)입니다. 시스템 전체에서 프로세스를 식별할 수 있습니다. 예: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | 옵션 | String | 모든 프로세스에는 토큰에 표시되는 무결성 수준이 있습니다. 무결성 수준은 보호 또는 액세스의 프로세스 수준을 결정합니다. Windows는 낮음, 중간, 높음 및 시스템의 무결성 수준을 정의합니다. Standard 사용자는 중간 무결성 수준을 받고 상승된 사용자는 높은 무결성 수준을 받습니다. 자세한 내용은 필수 무결성 제어 - Win32 앱을 참조하세요. |
| TargetProcessTokenElevation | 옵션 | String | 생성되거나 종료된 프로세스에 적용된 UAC(사용자 Access Control) 권한 상승의 존재 여부 또는 부재를 나타내는 토큰 형식입니다. 예: None |
| TargetProcessStatusCode | 옵션 | String | 종료될 때 대상 프로세스에서 반환하는 종료 코드입니다. 이 필드는 프로세스 종료 이벤트에만 유효합니다. 일관성을 위해 운영 체제에서 제공하는 값이 숫자인 경우에도 필드 형식은 문자열입니다. |
검사 필드
다음 필드는 EDR 시스템과 같은 보안 시스템에서 수행하는 검사를 나타내는 데 사용됩니다.
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| RuleName | 옵션 | String | 검사 결과와 연결된 규칙의 이름 또는 ID입니다. |
| RuleNumber | 옵션 | 정수 | 검사 결과와 연결된 규칙의 수입니다. |
| 규칙 | 조건부 | String | kRuleName 값 또는 RuleNumber 값입니다. RuleNumber 값을 사용하는 경우 형식을 문자열로 변환해야 합니다. |
| ThreatId | 옵션 | String | 파일 활동에서 식별된 위협 또는 맬웨어의 ID입니다. |
| ThreatName | 옵션 | String | 파일 활동에서 식별된 위협 또는 맬웨어의 이름입니다. 예: EICAR Test File |
| ThreatCategory | 옵션 | String | 파일 활동에서 식별된 위협 또는 맬웨어의 범주입니다. 예: Trojan |
| ThreatRiskLevel | 옵션 | RiskLevel(정수) | 식별된 위협과 관련된 위험 수준입니다. 수준은 0에서 100 사이의 숫자여야 합니다. 참고: 이 배율로 정규화해야 하는 다른 배율을 사용하여 원본 레코드에 값을 제공할 수 있습니다. 원래 값은 ThreatOriginalRiskLevel에 저장되어야 합니다. |
| ThreatOriginalRiskLevel | 옵션 | String | 보고 디바이스에서 보고한 위험 수준입니다. |
| ThreatField | 옵션 | String | 위협이 식별된 필드입니다. |
| ThreatField | 옵션 | String | 위협이 식별된 필드입니다. |
| ThreatConfidence | 옵션 | ConfidenceLevel(정수) | 식별된 위협의 신뢰 수준이며 0에서 100 사이의 값으로 정규화됩니다. |
| ThreatOriginalConfidence | 옵션 | String | 보고 디바이스에서 보고한 대로 식별된 위협의 원래 신뢰 수준입니다. |
| ThreatIsActive | 옵션 | 부울 | True이면 식별된 위협이 활성 위협으로 간주됩니다. |
| ThreatFirstReportedTime | 옵션 | datetime | IP 주소 또는 도메인이 처음으로 위협으로 식별된 경우 |
| ThreatLastReportedTime | 옵션 | datetime | IP 주소 또는 도메인이 마지막으로 위협으로 식별된 시간입니다. |
스키마 업데이트
스키마 버전 0.1.1의 변경 내용은 다음과 같습니다.
- 필드를
EventSchema추가했습니다.
스키마 버전 0.1.2의 변경 내용입니다.
- , ,
ActorOriginalUserType,TargetOriginalUserTypeTargetUserType및HashType필드ActorUserType가 추가되었습니다.
스키마 버전 0.1.3의 변경 내용입니다.
- 및 필드를
ParentProcessIdTargetProcessCreationTime필수에서 권장으로 변경했습니다.
스키마 버전 0.1.4의 변경 내용입니다.
- ,
DvcScopeId및DvcScope필드ActorScope가 추가되었습니다.
다음 단계
자세한 내용은 다음을 참조하세요.