Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het schema voor normalisatie van procesevenementen wordt gebruikt om de activiteit van het besturingssysteem van het uitvoeren en beëindigen van een proces te beschrijven. Dergelijke gebeurtenissen worden gerapporteerd door besturingssystemen en beveiligingssystemen, zoals EDR-systemen (End Point Detection and Response).
Een proces, zoals gedefinieerd door OSSEM, is een insluitings- en beheerobject dat een actief exemplaar van een programma vertegenwoordigt. Hoewel processen zelf niet worden uitgevoerd, beheren ze threads die code uitvoeren en uitvoeren.
Zie Normalization and the Advanced Security Information Model (ASIM) voor meer informatie over normalisatie in Microsoft Sentinel.
Parsers
Gebruik de volgende tabelnamen in uw query's om de samenvoeging van alle vermelde parsers te gebruiken en ervoor te zorgen dat u alle geconfigureerde bronnen analyseert:
- imProcessCreate voor query's waarvoor procesgegevens nodig zijn. Deze query's zijn het meest voorkomende geval.
- imProcessTerminate voor query's waarvoor procesbeëindigingsgegevens zijn vereist.
Raadpleeg voor de lijst met procesgebeurtenisparsers Microsoft Sentinel out-of-the-box de lijst met ASIM-parsers.
Implementeer de verificatieparsers vanuit de GitHub-opslagplaats van Microsoft Sentinel.
Zie het overzicht van ASIM-parsers voor meer informatie.
Uw eigen genormaliseerde parsers toevoegen
Geef bij het implementeren van aangepaste proces gebeurtenisparsers uw KQL-functies een naam met behulp van de volgende syntaxis: imProcessCreate<vendor><Product> en imProcessTerminate<vendor><Product>. Vervang im door ASim voor de parameterloze versie.
Voeg de KQL-functie toe aan de samenvoegingsparsers, zoals beschreven in ASIM-parsers beheren.
Parserparameters filteren
De im parsers vim* ondersteunen filterparameters. Hoewel deze parsers optioneel zijn, kunnen ze uw queryprestaties verbeteren.
De volgende filterparameters zijn beschikbaar:
| Name | Type | Description |
|---|---|---|
| begintijd | datetime | Filter alleen procesgebeurtenissen op of na deze tijd. |
| eindtijd | datetime | Filter alleen query's voor procesgebeurtenissen die op of vóór deze tijd zijn opgetreden. |
| commandline_has_any | dynamisch | Filter alleen procesgebeurtenissen waarvoor de opdrachtregel wordt uitgevoerd, heeft een van de vermelde waarden. De lengte van de lijst is beperkt tot 10.000 items. |
| commandline_has_all | dynamisch | Filter alleen procesgebeurtenissen waarvoor de uitgevoerde opdrachtregel alle vermelde waarden bevat. De lengte van de lijst is beperkt tot 10.000 items. |
| commandline_has_any_ip_prefix | dynamisch | Filter alleen procesgebeurtenissen waarvoor de opdrachtregel wordt uitgevoerd, heeft alle vermelde IP-adressen of IP-adresvoorvoegsels. Voorvoegsels moeten eindigen op een ., bijvoorbeeld: 10.0.. De lengte van de lijst is beperkt tot 10.000 items. |
| actingprocess_has_any | dynamisch | Filter alleen procesgebeurtenissen waarvoor de acterende procesnaam, die het volledige procespad bevat, een van de vermelde waarden bevat. De lengte van de lijst is beperkt tot 10.000 items. |
| targetprocess_has_any | dynamisch | Filter alleen procesgebeurtenissen waarvoor de naam van het doelproces, dat het volledige procespad bevat, een van de vermelde waarden bevat. De lengte van de lijst is beperkt tot 10.000 items. |
| parentprocess_has_any | dynamisch | Filter alleen procesgebeurtenissen waarvoor de naam van het doelproces, dat het volledige procespad bevat, een van de vermelde waarden bevat. De lengte van de lijst is beperkt tot 10.000 items. |
| targetusername_has of actorusername_has | tekenreeks | Filter alleen procesgebeurtenissen waarvoor de doelgebruikersnaam (voor procesgebeurtenissen maken) of actorgebruikersnaam (voor proceseindgebeurtenissen) een van de vermelde waarden heeft. De lengte van de lijst is beperkt tot 10.000 items. |
| dvcipaddr_has_any_prefix | dynamisch | Filter alleen procesgebeurtenissen waarvoor het IP-adres van het apparaat overeenkomt met een van de vermelde IP-adressen of IP-adresvoorvoegsels. Voorvoegsels moeten eindigen op een ., bijvoorbeeld: 10.0.. De lengte van de lijst is beperkt tot 10.000 items. |
| dvchostname_has_any | dynamisch | Filter alleen procesgebeurtenissen waarvoor de hostnaam van het apparaat of de FQDN van het apparaat beschikbaar is, heeft een van de vermelde waarden. De lengte van de lijst is beperkt tot 10.000 items. |
| eventtype | tekenreeks | Filter alleen proces gebeurtenissen van het opgegeven type. |
Als u bijvoorbeeld alleen verificatie-gebeurtenissen van de laatste dag naar een specifieke gebruiker wilt filteren, gebruikt u:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Tip
Als u een letterlijke lijst wilt doorgeven aan parameters die een dynamische waarde verwachten, gebruikt u expliciet een dynamische letterlijke waarde. Voorbeeld: dynamic(['192.168.','10.']).
Genormaliseerde inhoud
Zie De inhoud van procesgebeurtenisbeveiliging voor een volledige lijst met analyseregels die gebruikmaken van genormaliseerde procesgebeurtenissen.
Schemadetails
Het gebeurtenisinformatiemodel proces wordt uitgelijnd op het OSSEM Process-entiteitsschema.
Algemene ASIM-velden
Belangrijk
Velden die voor alle schema's gelden, worden uitgebreid beschreven in het artikel Algemene ASIM-velden .
Algemene velden met specifieke richtlijnen
In de volgende lijst worden velden vermeld met specifieke richtlijnen voor procesactiviteitsevenementen:
| Veld | Klas | Type | Description |
|---|---|---|---|
| EventType | Verplicht | Enumerated | Beschrijft de bewerking die door de record is gerapporteerd. Voor procesrecords zijn ondersteunde waarden onder andere: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Verplicht | SchemaVersion (string) | De versie van het schema. De versie van het schema dat hier wordt beschreven, is 0.1.4 |
| EventSchema | Verplicht | String | De naam van het schema dat hier wordt beschreven, is ProcessEvent. |
| Dvc-velden | Voor procesactiviteitsgebeurtenissen verwijzen apparaatvelden naar het systeem waarop het proces is uitgevoerd. |
Belangrijk
Het EventSchema veld is momenteel optioneel, maar wordt verplicht op 1 september 2022.
Alle algemene velden
Velden die in de onderstaande tabel worden weergegeven, zijn gebruikelijk voor alle ASIM-schema's. Elke hierboven opgegeven richtlijn overschrijft de algemene richtlijnen voor het veld. Een veld kan bijvoorbeeld optioneel zijn in het algemeen, maar verplicht voor een specifiek schema. Raadpleeg het artikel Algemene ASIM-velden voor meer informatie over elk veld.
| Klas | Velden |
|---|---|
| Verplicht |
-
Aantal gebeurtenissen - Starttijd van het evenement - EventEndTime - Soort gebeurtenis - Resultaat van evenement - Evenement Product - Verkoper van evenementen - EventSchema - EventSchemaVersion - DVC |
| Aanbevolen |
-
EvenementResultaatDetails - GebeurtenisErnst - Uiteindelijke gebeurtenis - DvcIpAddr - DvcHostnaam - DvcDomein - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optioneel |
-
Evenement Bericht - GebeurtenisSubType - EvenementOriginalUid - GebeurtenisOrigineelType - EventOriginalSubType - EventOrigineelResultaatDetails - GebeurtenisOrigineelErnst - EventProductVersie - GebeurtenisRapportUrl - Eigenaar van het evenement - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - Dvc-koppeling - Aanvullende velden - DvcBeschrijving - DvcScopeId - DvcScope |
Gebeurtenisspecifieke velden verwerken
De velden in de onderstaande tabel zijn specifiek voor Proces-gebeurtenissen, maar zijn vergelijkbaar met velden in andere schema's en volgen vergelijkbare naamconventies.
Het proces gebeurtenisschema verwijst naar de volgende entiteiten, die centraal staan bij het proces voor het maken en beëindigen van activiteiten:
- Actor : de gebruiker die het proces heeft gemaakt of beëindigd.
- ActingProcess : het proces dat door de actor wordt gebruikt om het proces te maken of te beëindigen.
- TargetProcess : het nieuwe proces.
- TargetUser : de gebruiker waarvan de referenties worden gebruikt om het nieuwe proces te maken.
- ParentProcess : het proces dat het actorproces heeft gestart.
Aliassen
| Veld | Klas | Type | Description |
|---|---|---|---|
| Gebruiker | Alias | Alias naar de TargetUsername. Voorbeeld: CONTOSO\dadmin |
|
| Verwerken | Alias | Alias naar de TargetProcessName Voorbeeld: C:\Windows\System32\rundll32.exe |
|
| CommandLine | Alias | Alias naar TargetProcessCommandLine | |
| Hash | Alias | Alias naar de best beschikbare hash voor het doelproces. |
Actorvelden
| Veld | Klas | Type | Description |
|---|---|---|---|
| ActorUserId | Aanbevolen | String | Een machineleesbare, alfanumerieke, unieke weergave van de actor. Raadpleeg de entiteit Gebruiker voor de ondersteunde indeling voor verschillende id-typen. Voorbeeld: S-1-12 |
| ActorUserIdType | Voorwaardelijk | Enumerated | Het type id dat is opgeslagen in het veld ActorUserId . Voor een lijst met toegestane waarden en meer informatie raadpleegt u UserIdType in het artikel Schemaoverzicht. |
| ActorScope | Optioneel | String | Het bereik, zoals Microsoft Entra-tenant, waarin ActorUserId en ActorUsername worden gedefinieerd. of meer informatie en lijst met toegestane waarden, zie UserScope in het artikel Schemaoverzicht. |
| ActorScopeId | Optioneel | String | De bereik-id, zoals Microsoft Entra Directory-id, waarin ActorUserId en ActorUsername worden gedefinieerd. zie UserScopeId in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| ActorGebruikersnaam | Verplicht | Gebruikersnaam (String) | De gebruikersnaam van de actor, inclusief domeingegevens, indien beschikbaar. Raadpleeg de entiteit Gebruiker voor de ondersteunde indeling voor verschillende id-typen. Gebruik het eenvoudige formulier alleen als domeingegevens niet beschikbaar zijn. Sla het gebruikersnaamtype op in het veld ActorUsernameType . Als er andere indelingen voor gebruikersnamen beschikbaar zijn, slaat u deze op in de velden ActorUsername<UsernameType>.Voorbeeld: AlbertE |
| ActorUsernameType | Voorwaardelijk | Enumerated | Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld ActorUsername . Voor een lijst met toegestane waarden en meer informatie raadpleegt u UsernameType in het artikel Schemaoverzicht. Voorbeeld: Windows |
| ActorSessionId | Optioneel | String | De unieke id van de aanmeldingssessie van de actor. Voorbeeld: 999Opmerking: Het type wordt gedefinieerd als tekenreeks ter ondersteuning van verschillende systemen, maar in Windows moet deze waarde numeriek zijn. Als u een Windows-computer gebruikt en een ander type gebruikt, moet u de waarden converteren. Als u bijvoorbeeld een hexadecimale waarde hebt gebruikt, converteert u deze naar een decimale waarde. |
| ActorUserType | Optioneel | UserType | Het type Actor. Voor een lijst met toegestane waarden en meer informatie raadpleegt u UserType in het artikel Schemaoverzicht. Opmerking: De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd voor deze waarden. Sla de oorspronkelijke waarde op in het veld ActorOriginalUserType . |
| ActorOriginalUserType | Optioneel | String | Het oorspronkelijke type doelgebruiker, indien opgegeven door het rapportageapparaat. |
Actieve procesvelden
| Veld | Klas | Type | Description |
|---|---|---|---|
| ActingProcessCommandLine | Optioneel | String | De opdrachtregel die wordt gebruikt om het acterende proces uit te voeren. Voorbeeld: "choco.exe" -v |
| ActingProcessName | Optioneel | tekenreeks | De naam van het acterende proces. Deze naam wordt meestal afgeleid van de installatiekopieën of het uitvoerbare bestand dat wordt gebruikt om de initiële code en gegevens te definiëren die zijn toegewezen aan de virtuele adresruimte van het proces. Voorbeeld: C:\Windows\explorer.exe |
| ActingProcessBestandsnaam | Optioneel | String | Het bestandsnaamgedeelte van de ActingProcessName, zonder mapinformatie. Voorbeeld: explorer.exe |
| ActingProcessFileCompany | Optioneel | String | Het bedrijf dat het afbeeldingsbestand voor het acterende proces heeft gemaakt. Voorbeeld: Microsoft |
| ActingProcessFileDescription | Optioneel | String | De beschrijving die is ingesloten in de versiegegevens van het afbeeldingsbestand van het acterende proces. Voorbeeld: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Optioneel | String | De productnaam van de versiegegevens in het bestand met de actieve procesinstallatiekopieën. Voorbeeld: Notepad++ |
| ActingProcessFileVersion | Optioneel | String | De productversie van de versiegegevens van het bestand met de actieve procesinstallatiekopieën. Voorbeeld: 7.9.5.0 |
| ActingProcessFileInternalName | Optioneel | String | De interne productbestandsnaam van de versiegegevens van het acterende procesinstallatiekopieënbestand. |
| ActingProcessFileOriginalName | Optioneel | String | De oorspronkelijke bestandsnaam van het product uit de versiegegevens van het acterende procesinstallatiekopieënbestand. Voorbeeld: Notepad++.exe |
| ActingProcessIsHidden | Optioneel | Booleaanse waarde | Een indicatie van of het acterende proces zich in de verborgen modus bevindt. |
| ActingProcessInjectedAddress | Optioneel | String | Het geheugenadres waarin het verantwoordelijke handelende proces wordt opgeslagen. |
| ActingProcessId | Verplicht | String | De proces-id (PID) van het acterende proces. Voorbeeld: 48610176 Opmerking: Het type wordt gedefinieerd als tekenreeks ter ondersteuning van verschillende systemen, maar in Windows en Linux moet deze waarde numeriek zijn. Als u een Windows- of Linux-computer gebruikt en een ander type gebruikt, moet u de waarden converteren. Als u bijvoorbeeld een hexadecimale waarde hebt gebruikt, converteert u deze naar een decimale waarde. |
| ActingProcessGuid | Optioneel | GUID (snaar) | Een gegenereerde unieke id (GUID) van het acterende proces. Hiermee kunt u het proces in verschillende systemen identificeren. Voorbeeld: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Optioneel | String | Elk proces heeft een integriteitsniveau dat wordt weergegeven in het token. Integriteitsniveaus bepalen het procesniveau van beveiliging of toegang. Windows definieert de volgende integriteitsniveaus: laag, gemiddeld, hoog en systeem. Standaardgebruikers ontvangen een gemiddeld integriteitsniveau en gebruikers met verhoogde bevoegdheden ontvangen een hoog integriteitsniveau. Zie Verplicht integriteitsbeheer - Win32-apps voor meer informatie. |
| ActingProcessMD5 | Optioneel | String | De MD5-hash van het afbeeldingsbestand voor het acterende proces. Voorbeeld: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Optioneel | SHA1 | De SHA-1-hash van het acterende procesinstallatiekopieënbestand. Voorbeeld: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Optioneel | SHA256 | De SHA-256-hash van het acterende procesafbeeldingsbestand. Voorbeeld: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Optioneel | SHA512 | De SHA-512-hash van het acterende procesafbeeldingsbestand. |
| ActingProcessIMPHASH | Optioneel | String | De import-hash van alle bibliotheek-DLL's die worden gebruikt door het acterende proces. |
| ActingProcessCreationTime | Optioneel | Datum en tijd | De datum en tijd waarop het acterende proces is gestart. |
| ActingProcessTokenElevation | Optioneel | String | Een token dat de aanwezigheid of afwezigheid van UAC-bevoegdheden (User Access Control) aangeeft die is toegepast op het acterende proces. Voorbeeld: None |
| ActingProcessFileSize | Optioneel | Lang | De grootte van het bestand dat het bewerkingsproces heeft uitgevoerd. |
Bovenliggende procesvelden
| Veld | Klas | Type | Description |
|---|---|---|---|
| ParentProcessName | Optioneel | tekenreeks | De naam van het bovenliggende proces. Deze naam wordt meestal afgeleid van de installatiekopieën of het uitvoerbare bestand dat wordt gebruikt om de initiële code en gegevens te definiëren die zijn toegewezen aan de virtuele adresruimte van het proces. Voorbeeld: C:\Windows\explorer.exe |
| ParentProcessFileCompany | Optioneel | String | De naam van het bedrijf dat het bovenliggende procesinstallatiekopieënbestand heeft gemaakt. Voorbeeld: Microsoft |
| ParentProcessFileDescription | Optioneel | String | De beschrijving van de versiegegevens in het bovenliggende procesinstallatiekopieënbestand. Voorbeeld: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Optioneel | String | De productnaam van de versiegegevens in het bovenliggende procesinstallatiekopieënbestand. Voorbeeld: Notepad++ |
| ParentProcessFileVersion | Optioneel | String | De productversie van de versiegegevens in het bovenliggende procesinstallatiekopieënbestand. Voorbeeld: 7.9.5.0 |
| ParentProcessIsHidden | Optioneel | Booleaanse waarde | Een indicatie van of het bovenliggende proces zich in de verborgen modus bevindt. |
| ParentProcessInjectedAddress | Optioneel | String | Het geheugenadres waarin het verantwoordelijke bovenliggende proces wordt opgeslagen. |
| ParentProcessId | Aanbevolen | String | De proces-id (PID) van het bovenliggende proces. Voorbeeld: 48610176 |
| ParentProcessGuid | Optioneel | String | Een gegenereerde unieke id (GUID) van het bovenliggende proces. Hiermee kunt u het proces in verschillende systemen identificeren. Voorbeeld: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Optioneel | String | Elk proces heeft een integriteitsniveau dat wordt weergegeven in het token. Integriteitsniveaus bepalen het procesniveau van beveiliging of toegang. Windows definieert de volgende integriteitsniveaus: laag, gemiddeld, hoog en systeem. Standaardgebruikers ontvangen een gemiddeld integriteitsniveau en gebruikers met verhoogde bevoegdheden ontvangen een hoog integriteitsniveau. Zie Verplicht integriteitsbeheer - Win32-apps voor meer informatie. |
| ParentProcessMD5 | Optioneel | MD5 | De MD5-hash van het bovenliggende procesinstallatiekopieënbestand. Voorbeeld: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Optioneel | SHA1 | De SHA-1-hash van het bovenliggende procesinstallatiekopieënbestand. Voorbeeld: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Optioneel | SHA256 | De SHA-256-hash van het bovenliggende procesinstallatiekopieënbestand. Voorbeeld: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Optioneel | SHA512 | De SHA-512-hash van het bovenliggende procesinstallatiekopieënbestand. |
| ParentProcessIMPHASH | Optioneel | String | De import-hash van alle bibliotheek-DLL's die worden gebruikt door het bovenliggende proces. |
| ParentProcessTokenElevation | Optioneel | String | Een token dat de aanwezigheid of afwezigheid van UAC-bevoegdheden (User Access Control) aangeeft die is toegepast op het bovenliggende proces. Voorbeeld: None |
| ParentProcessCreationTime | Optioneel | Datum en tijd | De datum en tijd waarop het bovenliggende proces is gestart. |
Doelgebruikersvelden
| Veld | Klas | Type | Description |
|---|---|---|---|
| TargetGebruikersnaam | Verplicht voor proces maken van gebeurtenissen. | Gebruikersnaam (String) | De doelgebruikersnaam, inclusief domeingegevens, indien beschikbaar. Raadpleeg de entiteit Gebruiker voor de ondersteunde indeling voor verschillende id-typen. Gebruik het eenvoudige formulier alleen als domeingegevens niet beschikbaar zijn. Sla het gebruikersnaamtype op in het veld TargetUsernameType . Als er andere indelingen voor gebruikersnamen beschikbaar zijn, slaat u deze op in de velden TargetUsername<UsernameType>.Voorbeeld: AlbertE |
| DoelGebruikersnaamType | Voorwaardelijk | Enumerated | Hiermee geeft u het type van de gebruikersnaam op die is opgeslagen in het veld TargetUsername . Voor een lijst met toegestane waarden en meer informatie raadpleegt u UsernameType in het artikel Schemaoverzicht. Voorbeeld: Windows |
| TargetUserId | Aanbevolen | String | Een machineleesbare, alfanumerieke, unieke weergave van de doelgebruiker. Raadpleeg de entiteit Gebruiker voor de ondersteunde indeling voor verschillende id-typen. Voorbeeld: S-1-12 |
| TargetUserIdType | Voorwaardelijk | UserIdType | Het type id dat is opgeslagen in het veld TargetUserId . Voor een lijst met toegestane waarden en meer informatie raadpleegt u UserIdType in het artikel Schemaoverzicht. |
| TargetUserSessionId | Optioneel | String | De unieke id van de aanmeldingssessie van de doelgebruiker. Voorbeeld: 999 Opmerking: Het type wordt gedefinieerd als tekenreeks ter ondersteuning van verschillende systemen, maar in Windows moet deze waarde numeriek zijn. Als u een Windows- of Linux-computer gebruikt en een ander type gebruikt, moet u de waarden converteren. Als u bijvoorbeeld een hexadecimale waarde hebt gebruikt, converteert u deze naar een decimale waarde. |
| TargetUserSessionGuid | Optioneel | String | De unieke GUID van de inlogsessie van de doelgebruiker, zoals gerapporteerd door het rapporteringsapparaat. Voorbeeld: {12345678-1234-1234-1234-123456789012} |
| TargetUserType | Optioneel | UserType | Het type Actor. Voor een lijst met toegestane waarden en meer informatie raadpleegt u UserType in het artikel Schemaoverzicht. Opmerking: De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd voor deze waarden. Sla de oorspronkelijke waarde op in het veld TargetOriginalUserType . |
| TargetOriginalUserType | Optioneel | String | Het oorspronkelijke type doelgebruiker, indien opgegeven door het rapportageapparaat. |
| TargetUserScope | Optioneel | String | Het bereik, zoals Microsoft Entra-tenant, waarin TargetUserId en TargetUsername worden gedefinieerd. of meer informatie en lijst met toegestane waarden, zie UserScope in het artikel Schemaoverzicht. |
| TargetUserScopeId | Optioneel | String | De bereik-id, zoals Microsoft Entra Directory-id, waarin TargetUserId en TargetUsername worden gedefinieerd. Zie UserScopeId in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
Doelprocesvelden
| Veld | Klas | Type | Description |
|---|---|---|---|
| TargetProcessName | Verplicht | tekenreeks | De naam van het doelproces. Deze naam wordt meestal afgeleid van de installatiekopieën of het uitvoerbare bestand dat wordt gebruikt om de initiële code en gegevens te definiëren die zijn toegewezen aan de virtuele adresruimte van het proces. Voorbeeld: C:\Windows\explorer.exe |
| TargetProcessFilename | Optioneel | String | Het bestandsnaamgedeelte van de TargetProcessName, zonder mapinformatie. Voorbeeld: explorer.exe |
| TargetProcessFileCompany | Optioneel | String | De naam van het bedrijf dat het afbeeldingsbestand voor het doelproces heeft gemaakt. Voorbeeld: Microsoft |
| TargetProcessFileDescription | Optioneel | String | De beschrijving van de versiegegevens in het afbeeldingsbestand van het doelproces. Voorbeeld: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Optioneel | String | De productnaam van de versiegegevens in het afbeeldingsbestand van het doelproces. Voorbeeld: Notepad++ |
| TargetProcessFileSize | Optioneel | Lang | Grootte van het bestand dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis. |
| TargetProcessFileVersion | Optioneel | String | De productversie van de versiegegevens in het installatiekopieënbestand van het doelproces. Voorbeeld: 7.9.5.0 |
| TargetProcessFileInternalName | Optioneel | String | De interne bestandsnaam van het product uit de versiegegevens van het afbeeldingsbestand van het doelproces. |
| TargetProcessFileOriginalName | Optioneel | String | De oorspronkelijke bestandsnaam van het product uit de versiegegevens van het afbeeldingsbestand van het doelproces. |
| TargetProcessIsHidden | Optioneel | Booleaanse waarde | Een indicatie van of het doelproces zich in de verborgen modus bevindt. |
| TargetProcessInjectedAddress | Optioneel | String | Het geheugenadres waarin het verantwoordelijke doelproces wordt opgeslagen. |
| TargetProcessMD5 | Optioneel | MD5 | De MD5-hash van het afbeeldingsbestand van het doelproces. Voorbeeld: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Optioneel | SHA1 | De SHA-1-hash van het afbeeldingsbestand van het doelproces. Voorbeeld: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Optioneel | SHA256 | De SHA-256-hash van het afbeeldingsbestand van het doelproces. Voorbeeld: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Optioneel | SHA512 | De SHA-512-hash van het afbeeldingsbestand van het doelproces. |
| TargetProcessIMPHASH | Optioneel | String | De import-hash van alle bibliotheek-DLL's die worden gebruikt door het doelproces. |
| HashType | Voorwaardelijk | Enumerated | Het type hash dat is opgeslagen in het hash-aliasveld, toegestane waarden zijn MD5, en SHASHA256SHA512IMPHASH . |
| TargetProcessCommandLine | Verplicht | String | De opdrachtregel die wordt gebruikt om het doelproces uit te voeren. Voorbeeld: "choco.exe" -v |
| TargetProcessCurrentDirectory | Optioneel | String | De huidige map waarin het doelproces wordt uitgevoerd. Voorbeeld: c:\windows\system32 |
| TargetProcessCreationTime | Aanbevolen | Datum en tijd | De productversie van de versiegegevens van het installatiekopieënbestand van het doelproces. |
| TargetProcessId | Verplicht | String | De proces-id (PID) van het doelproces. Voorbeeld: 48610176Opmerking: Het type wordt gedefinieerd als tekenreeks ter ondersteuning van verschillende systemen, maar in Windows en Linux moet deze waarde numeriek zijn. Als u een Windows- of Linux-computer gebruikt en een ander type gebruikt, moet u de waarden converteren. Als u bijvoorbeeld een hexadecimale waarde hebt gebruikt, converteert u deze naar een decimale waarde. |
| TargetProcessGuid | Optioneel | GUID (Snaar) | Een gegenereerde unieke id (GUID) van het doelproces. Hiermee kunt u het proces in verschillende systemen identificeren. Voorbeeld: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Optioneel | String | Elk proces heeft een integriteitsniveau dat wordt weergegeven in het token. Integriteitsniveaus bepalen het procesniveau van beveiliging of toegang. Windows definieert de volgende integriteitsniveaus: laag, gemiddeld, hoog en systeem. Standaardgebruikers ontvangen een gemiddeld integriteitsniveau en gebruikers met verhoogde bevoegdheden ontvangen een hoog integriteitsniveau. Zie Verplicht integriteitsbeheer - Win32-apps voor meer informatie. |
| TargetProcessTokenElevation | Optioneel | String | Tokentype dat de aanwezigheid of afwezigheid van UAC-bevoegdheden (User Access Control) aangeeft die is toegepast op het proces dat is gemaakt of beëindigd. Voorbeeld: None |
| TargetProcessStatusCode | Optioneel | String | De afsluitcode die door het doelproces wordt geretourneerd wanneer deze is beëindigd. Dit veld is alleen geldig voor procesbeëindigingsevenementen. Voor consistentie is het veldtype tekenreeks, zelfs als de waarde van het besturingssysteem numeriek is. |
Inspectievelden
De volgende velden worden gebruikt om die inspectie weer te geven die wordt uitgevoerd door een beveiligingssysteem zoals een EDR-systeem.
| Veld | Klas | Type | Description |
|---|---|---|---|
| RuleName | Optioneel | String | De naam of id van de regel door gekoppeld aan de inspectieresultaten. |
| RuleNumber | Optioneel | Integer | Het nummer van de regel die is gekoppeld aan de inspectieresultaten. |
| Regel | Voorwaardelijk | String | De waarde van kRuleName of de waarde van RuleNumber. Als de waarde van RuleNumber wordt gebruikt, moet het type worden geconverteerd naar tekenreeks. |
| ThreatId | Optioneel | String | De id van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit. |
| Naam bedreiging | Optioneel | String | De naam van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit. Voorbeeld: EICAR Test File |
| Bedreigingscategorie | Optioneel | String | De categorie van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit. Voorbeeld: Trojan |
| BedreigingRisiconiveau | Optioneel | RiskLevel (Integer) | Het risiconiveau dat is gekoppeld aan de geïdentificeerde bedreiging. Het niveau moet een getal tussen 0 en 100 zijn. Opmerking: De waarde kan worden opgegeven in de bronrecord met behulp van een andere schaal, die moet worden genormaliseerd voor deze schaal. De originele waarde moet worden opgeslagen in ThreatOriginalRiskLevel. |
| BedreigingOriginalRiskLevel | Optioneel | String | Het risiconiveau zoals gerapporteerd door het rapportageapparaat. |
| Dreiging veld | Optioneel | String | Het veld waarvoor een bedreiging is geïdentificeerd. |
| Dreiging veld | Optioneel | String | Het veld waarvoor een bedreiging is geïdentificeerd. |
| BedreigingVertrouwen | Optioneel | Betrouwbaarheidsniveau (geheel getal) | Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd tot een waarde tussen 0 en 100. |
| BedreigingOrigineelVertrouwen | Optioneel | String | Het oorspronkelijke betrouwbaarheidsniveau van de geïdentificeerde bedreiging, zoals gerapporteerd door het rapportageapparaat. |
| ThreatIsActive | Optioneel | Booleaanse waarde | Waar als de geïdentificeerde bedreiging wordt beschouwd als een actieve bedreiging. |
| ThreatFirstReportedTime | Optioneel | datetime | De eerste keer dat het IP-adres of domein als een bedreiging is geïdentificeerd. |
| ThreatLastReportedTime | Optioneel | datetime | De laatste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging. |
Schema-updates
Dit zijn de wijzigingen in versie 0.1.1 van het schema:
- Het veld
EventSchemais toegevoegd.
Dit zijn de wijzigingen in versie 0.1.2 van het schema
- De velden
ActorUserType, , ,ActorOriginalUserTypeenTargetUserTypeTargetOriginalUserTypeHashType.
Dit zijn de wijzigingen in versie 0.1.3 van het schema
- De velden
ParentProcessIdenTargetProcessCreationTimevan verplicht gewijzigd in aanbevolen.
Dit zijn de wijzigingen in versie 0.1.4 van het schema
- De velden
ActorScope,DvcScopeIdenDvcScope.
Volgende stappen
Zie voor meer informatie: