Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het normalisatieschema proces gebeurtenis wordt gebruikt om de activiteit van het besturingssysteem van het uitvoeren en beëindigen van een proces te beschrijven. Dergelijke gebeurtenissen worden gerapporteerd door besturingssystemen en beveiligingssystemen, zoals EDR-systemen (End Point Detection and Response).
Een proces, zoals gedefinieerd door OSSEM, is een insluitings- en beheerobject dat een actief exemplaar van een programma vertegenwoordigt. Hoewel processen zelf niet worden uitgevoerd, beheren ze threads die code uitvoeren en uitvoeren.
Zie Normalisatie en het Advanced Security Information Model (ASIM) voor meer informatie over normalisatie in Microsoft Sentinel.
Parsers
Als u de samenvoegingsparseer wilt gebruiken die alle vermelde parsers samenvoegen en ervoor wilt zorgen dat u alle geconfigureerde bronnen analyseert, gebruikt u de volgende tabelnamen in uw query's:
- imProcessMaak voor query's waarvoor procesgegevens zijn vereist. Deze query's zijn het meest voorkomende geval.
- imProcessTerminate voor query's waarvoor procesbeëindigingsgegevens zijn vereist.
Raadpleeg de lijst met procesgebeurtenisparsesers Microsoft Sentinel out-of-the-box bevat de lijst met ASIM-parsers voor de lijst met procesgebeurtenissen.
Implementeer de verificatieparser vanuit de Microsoft Sentinel GitHub-opslagplaats.
Zie Overzicht van ASIM-parsers voor meer informatie.
Uw eigen genormaliseerde parsers toevoegen
Wanneer u aangepaste procesgebeurtenisparseer implementeert, geeft u de KQL-functies een naam met de volgende syntaxis: imProcessCreate<vendor><Product> en imProcessTerminate<vendor><Product>. Vervang door imASim voor de parameterloze versie.
Voeg de KQL-functie toe aan de samenvoegingsparseer, zoals beschreven in ASIM-parsers beheren.
Parameters voor filteren van parser
De im parsers en vim* ondersteunen filterparameters. Hoewel deze parsers optioneel zijn, kunnen ze uw queryprestaties verbeteren.
De volgende filterparameters zijn beschikbaar:
| Naam | Type | Beschrijving |
|---|---|---|
| Starttime | Datetime | Filter alleen procesgebeurtenissen die zijn opgetreden op of na deze tijd. Deze parameter filtert op het TimeGenerated veld, dat de standaardindeling is voor de tijd van de gebeurtenis, ongeacht de parserspecifieke toewijzing van de velden EventStartTime en EventEndTime. |
| Eindtijd | Datetime | Filter alleen query's voor procesgebeurtenissen die zijn opgetreden op of vóór deze tijd. Deze parameter filtert op het TimeGenerated veld, dat de standaardindeling is voor de tijd van de gebeurtenis, ongeacht de parserspecifieke toewijzing van de velden EventStartTime en EventEndTime. |
| commandline_has_any | Dynamische | Filter alleen procesgebeurtenissen waarvoor de uitgevoerde opdrachtregel een van de vermelde waarden heeft. De lengte van de lijst is beperkt tot 10.000 items. |
| commandline_has_all | Dynamische | Filter alleen procesgebeurtenissen waarvoor de uitgevoerde opdrachtregel alle vermelde waarden heeft. De lengte van de lijst is beperkt tot 10.000 items. |
| commandline_has_any_ip_prefix | Dynamische | Filter alleen procesgebeurtenissen waarvoor de uitgevoerde opdrachtregel alle vermelde IP-adressen of IP-adresvoorvoegsels bevat. Voorvoegsels moeten eindigen op een ., bijvoorbeeld: 10.0.. De lengte van de lijst is beperkt tot 10.000 items. |
| actingprocess_has_any | Dynamische | Filter alleen procesgebeurtenissen waarvoor de naam van het actieve proces, die het hele procespad omvat, een van de vermelde waarden heeft. De lengte van de lijst is beperkt tot 10.000 items. |
| targetprocess_has_any | Dynamische | Filter alleen procesgebeurtenissen waarvoor de naam van het doelproces, die het hele procespad bevat, een van de vermelde waarden heeft. De lengte van de lijst is beperkt tot 10.000 items. |
| parentprocess_has_any | Dynamische | Filter alleen procesgebeurtenissen waarvoor de naam van het doelproces, die het hele procespad bevat, een van de vermelde waarden heeft. De lengte van de lijst is beperkt tot 10.000 items. |
| targetusername_has of actorusername_has | tekenreeks | Filter alleen procesgebeurtenissen waarvoor de doelgebruikersnaam (voor procesgebeurtenissen) of de gebruikersnaam van de actor (voor proceseindgebeurtenissen) een van de vermelde waarden heeft. De lengte van de lijst is beperkt tot 10.000 items. |
| dvcipaddr_has_any_prefix | Dynamische | Filter alleen procesgebeurtenissen waarvoor het IP-adres van het apparaat overeenkomt met een van de vermelde IP-adressen of IP-adresvoorvoegsels. Voorvoegsels moeten eindigen op een ., bijvoorbeeld: 10.0.. De lengte van de lijst is beperkt tot 10.000 items. |
| dvchostname_has_any | Dynamische | Filter alleen procesgebeurtenissen waarvoor de hostnaam van het apparaat of de FQDN van het apparaat beschikbaar is, een van de vermelde waarden heeft. De lengte van de lijst is beperkt tot 10.000 items. |
| eventtype | tekenreeks | Filter alleen proces gebeurtenissen van het opgegeven type. |
Als u bijvoorbeeld alleen verificatie-gebeurtenissen van de laatste dag wilt filteren op een specifieke gebruiker, gebruikt u:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Tip
Als u een letterlijke lijst wilt doorgeven aan parameters die een dynamische waarde verwachten, gebruikt u expliciet een dynamische letterlijke waarde. Bijvoorbeeld: dynamic(['192.168.','10.']).
Genormaliseerde inhoud
Zie Beveiligingsinhoud van procesgebeurtenissen verwerken voor een volledige lijst met analyseregels die gebruikmaken van genormaliseerde procesgebeurtenissen.
Schemadetails
Het informatiemodel proces gebeurtenis is uitgelijnd op het OSSEM Process entiteitsschema.
Algemene ASIM-velden
Belangrijk
Algemene velden voor alle schema's worden uitgebreid beschreven in het artikel Algemene velden van ASIM .
Algemene velden met specifieke richtlijnen
In de volgende lijst worden velden vermeld met specifieke richtlijnen voor procesactiviteitsevenementen:
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| EventType | Verplicht | Opgesomde | Beschrijft de bewerking die door de record wordt gerapporteerd. Voor procesrecords omvatten ondersteunde waarden: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Verplicht | SchemaVersion (tekenreeks) | De versie van het schema. De versie van het schema dat hier wordt beschreven, is 0.1.4 |
| EventSchema | Verplicht | Tekenreeks | De naam van het schema dat hier wordt beschreven, is ProcessEvent. |
| Dvc-velden | Voor procesactiviteitsgebeurtenissen verwijzen apparaatvelden naar het systeem waarop het proces is uitgevoerd. |
Belangrijk
Het EventSchema veld is momenteel optioneel, maar wordt verplicht op 1 september 2022.
Alle algemene velden
Velden die in de onderstaande tabel worden weergegeven, zijn gemeenschappelijk voor alle ASIM-schema's. Elke hierboven opgegeven richtlijn overschrijft de algemene richtlijnen voor het veld. Een veld kan bijvoorbeeld in het algemeen optioneel zijn, maar verplicht voor een specifiek schema. Raadpleeg het artikel Algemene velden van ASIM voor meer informatie over elk veld.
| Klasse | Velden |
|---|---|
| Verplicht |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Aanbevolen |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optioneel |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcO's - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Procesgebeurtenisspecifieke velden
De velden in de onderstaande tabel zijn specifiek voor Proces-gebeurtenissen, maar zijn vergelijkbaar met velden in andere schema's en volgen vergelijkbare naamconventies.
Het proces-gebeurtenisschema verwijst naar de volgende entiteiten, die centraal staan bij het maken en beëindigen van processen:
- Actor : de gebruiker die het maken of beëindigen van het proces heeft geïnitieerd.
- ActingProcess : het proces dat door de actor wordt gebruikt om het maken of beëindigen van het proces te initiëren.
- TargetProcess : het nieuwe proces.
- TargetUser : de gebruiker wiens referenties worden gebruikt om het nieuwe proces te maken.
- ParentProcess : het proces dat het Actor-proces heeft geïnitieerd.
Aliassen
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| Gebruiker | Alias | Alias van de TargetUsername. Voorbeeld: CONTOSO\dadmin |
|
| Proces | Alias | Alias naar de TargetProcessName Voorbeeld: C:\Windows\System32\rundll32.exe |
|
| Commandline | Alias | Alias naar TargetProcessCommandLine | |
| Hash | Alias | Alias voor de best beschikbare hash voor het doelproces. |
Actorvelden
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| ActorUserId | Aanbevolen | Tekenreeks | Een machineleesbare, alfanumerieke, unieke weergave van de Actor. Raadpleeg de entiteit Gebruiker voor de ondersteunde indeling voor verschillende id-typen. Voorbeeld: S-1-12 |
| ActorUserIdType | Voorwaardelijke | Opgesomde | Het type id dat is opgeslagen in het veld ActorUserId . Raadpleeg UserIdType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. |
| ActorScope | Optioneel | Tekenreeks | Het bereik, zoals Microsoft Entra tenant, waarin ActorUserId en ActorUsername zijn gedefinieerd. of zie UserScope in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| ActorScopeId | Optioneel | Tekenreeks | De bereik-id, zoals Microsoft Entra Directory-id, waarin ActorUserId en ActorUsername zijn gedefinieerd. of zie UserScopeId in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| ActorUsername | Verplicht | Gebruikersnaam (tekenreeks) | De actor-gebruikersnaam, inclusief domeingegevens, indien beschikbaar. Raadpleeg de entiteit Gebruiker voor de ondersteunde indeling voor verschillende id-typen. Gebruik het eenvoudige formulier alleen als domeingegevens niet beschikbaar zijn. Sla het type Gebruikersnaam op in het veld ActorUsernameType . Als er andere gebruikersnaamindelingen beschikbaar zijn, slaat u deze op in de velden ActorUsername<UsernameType>.Voorbeeld: AlbertE |
| ActorUsernameType | Voorwaardelijke | Opgesomde | Hiermee geeft u het type van de gebruikersnaam op dat is opgeslagen in het veld ActorUsername . Raadpleeg UsernameType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Voorbeeld: Windows |
| ActorSessionId | Optioneel | Tekenreeks | De unieke id van de aanmeldingssessie van de Actor. Voorbeeld: 999Opmerking: Het type is gedefinieerd als tekenreeks voor ondersteuning van verschillende systemen, maar in Windows moet deze waarde numeriek zijn. Als u een Windows-computer gebruikt en een ander type hebt gebruikt, moet u de waarden converteren. Als u bijvoorbeeld een hexadecimale waarde hebt gebruikt, converteert u deze naar een decimale waarde. |
| ActorUserType | Optioneel | UserType | Het type Actor. Raadpleeg UserType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Opmerking: De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd naar deze waarden. Sla de oorspronkelijke waarde op in het veld ActorOriginalUserType . |
| ActorOriginalUserType | Optioneel | Tekenreeks | Het oorspronkelijke doelgebruikerstype, indien opgegeven door het rapportageapparaat. |
Velden voor handelend proces
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| ActingProcessCommandLine | Optioneel | Tekenreeks | De opdrachtregel die wordt gebruikt om het acteerproces uit te voeren. Voorbeeld: "choco.exe" -v |
| ActingProcessName | Optioneel | tekenreeks | De naam van het acteerproces. Deze naam is meestal afgeleid van de installatiekopieën of het uitvoerbare bestand dat wordt gebruikt om de eerste code en gegevens te definiëren die zijn toegewezen aan de virtuele adresruimte van het proces. Voorbeeld: C:\Windows\explorer.exe |
| ActingProcessFilename | Optioneel | Tekenreeks | Het bestandsnaamgedeelte van de ActingProcessName, zonder mapgegevens. Voorbeeld: explorer.exe |
| ActingProcessFileCompany | Optioneel | Tekenreeks | Het bedrijf dat het afbeeldingsbestand voor het acterende proces heeft gemaakt. Voorbeeld: Microsoft |
| ActingProcessFileDescription | Optioneel | Tekenreeks | De beschrijving die is ingesloten in de versie-informatie van het afbeeldingsbestand van het actieve proces. Voorbeeld: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Optioneel | Tekenreeks | De productnaam uit de versie-informatie in het afbeeldingsbestand van het actieve proces. Voorbeeld: Notepad++ |
| ActingProcessFileVersion | Optioneel | Tekenreeks | De productversie van de versie-informatie van het afbeeldingsbestand van het actieve proces. Voorbeeld: 7.9.5.0 |
| ActingProcessFileInternalName | Optioneel | Tekenreeks | De interne bestandsnaam van het product uit de versiegegevens van het afbeeldingsbestand van het actieve proces. |
| ActingProcessFileOriginalName | Optioneel | Tekenreeks | De oorspronkelijke bestandsnaam van het product uit de versiegegevens van het afbeeldingsbestand van het actieve proces. Voorbeeld: Notepad++.exe |
| ActingProcessIsHidden | Optioneel | Booleaanse waarde | Een indicatie of het acteerproces zich in de verborgen modus bevindt. |
| ActingProcessInjectedAddress | Optioneel | Tekenreeks | Het geheugenadres waarin het verantwoordelijke handelende proces is opgeslagen. |
| ActingProcessId | Verplicht | Tekenreeks | De proces-id (PID) van het actieve proces. Voorbeeld: 48610176 Opmerking: Het type wordt gedefinieerd als tekenreeks voor ondersteuning van verschillende systemen, maar in Windows en Linux moet deze waarde numeriek zijn. Als u een Windows- of Linux-machine gebruikt en een ander type hebt gebruikt, moet u de waarden converteren. Als u bijvoorbeeld een hexadecimale waarde hebt gebruikt, converteert u deze naar een decimale waarde. |
| ActingProcessGuid | Optioneel | GUID (tekenreeks) | Een gegenereerde unieke id (GUID) van het acterende proces. Hiermee kunt u het proces tussen systemen identificeren. Voorbeeld: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Optioneel | Tekenreeks | Elk proces heeft een integriteitsniveau dat wordt weergegeven in het token. Integriteitsniveaus bepalen het procesniveau van beveiliging of toegang. Windows definieert de volgende integriteitsniveaus: laag, gemiddeld, hoog en systeem. Standaardgebruikers ontvangen een gemiddeld integriteitsniveau en gebruikers met verhoogde bevoegdheden ontvangen een hoog integriteitsniveau. Zie Verplichte integriteitscontrole - Win32-apps voor meer informatie. |
| ActingProcessMD5 | Optioneel | Tekenreeks | De MD5-hash van het actieve procesafbeeldingsbestand. Voorbeeld: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Optioneel | SHA1 | De SHA-1-hash van het afbeeldingsbestand van het actieve proces. Voorbeeld: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Optioneel | SHA256 | De SHA-256-hash van het actieve procesafbeeldingsbestand. Voorbeeld: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Optioneel | SHA512 | De SHA-512-hash van het actieve procesafbeeldingsbestand. |
| ActingProcessIMPHASH | Optioneel | Tekenreeks | De import-hash van alle bibliotheek-DLL's die door het acteerproces worden gebruikt. |
| ActingProcessCreationTime | Optioneel | Datetime | De datum en tijd waarop het acteerproces is gestart. |
| ActingProcessTokenElevation | Optioneel | Tekenreeks | Een token dat de aanwezigheid of afwezigheid aangeeft van uitbreiding van gebruikersrechten Access Control (UAC) die is toegepast op het actieve proces. Voorbeeld: None |
| ActingProcessFileSize | Optioneel | Lange | De grootte van het bestand waarop het acteerproces is uitgevoerd. |
Bovenliggende procesvelden
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| ParentProcessName | Optioneel | tekenreeks | De naam van het bovenliggende proces. Deze naam is meestal afgeleid van de installatiekopieën of het uitvoerbare bestand dat wordt gebruikt om de eerste code en gegevens te definiëren die zijn toegewezen aan de virtuele adresruimte van het proces. Voorbeeld: C:\Windows\explorer.exe |
| ParentProcessFileCompany | Optioneel | Tekenreeks | De naam van het bedrijf dat het bovenliggende procesinstallatiekopieënbestand heeft gemaakt. Voorbeeld: Microsoft |
| ParentProcessFileDescription | Optioneel | Tekenreeks | De beschrijving van de versie-informatie in het bovenliggende procesafbeeldingsbestand. Voorbeeld: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Optioneel | Tekenreeks | De productnaam uit de versiegegevens in het afbeeldingsbestand van het bovenliggende proces. Voorbeeld: Notepad++ |
| ParentProcessFileVersion | Optioneel | Tekenreeks | De productversie van de versie-informatie in het bovenliggende procesafbeeldingsbestand. Voorbeeld: 7.9.5.0 |
| ParentProcessIsHidden | Optioneel | Booleaanse waarde | Een indicatie of het bovenliggende proces zich in de verborgen modus bevindt. |
| ParentProcessInjectedAddress | Optioneel | Tekenreeks | Het geheugenadres waarin het verantwoordelijke bovenliggende proces is opgeslagen. |
| ParentProcessId | Aanbevolen | Tekenreeks | De proces-id (PID) van het bovenliggende proces. Voorbeeld: 48610176 |
| ParentProcessGuid | Optioneel | Tekenreeks | Een gegenereerde unieke id (GUID) van het bovenliggende proces. Hiermee kunt u het proces tussen systemen identificeren. Voorbeeld: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Optioneel | Tekenreeks | Elk proces heeft een integriteitsniveau dat wordt weergegeven in het token. Integriteitsniveaus bepalen het procesniveau van beveiliging of toegang. Windows definieert de volgende integriteitsniveaus: laag, gemiddeld, hoog en systeem. Standaardgebruikers ontvangen een gemiddeld integriteitsniveau en gebruikers met verhoogde bevoegdheden ontvangen een hoog integriteitsniveau. Zie Verplichte integriteitscontrole - Win32-apps voor meer informatie. |
| ParentProcessMD5 | Optioneel | MD5 | De MD5-hash van het bovenliggende procesafbeeldingsbestand. Voorbeeld: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Optioneel | SHA1 | De SHA-1-hash van het bovenliggende procesinstallatiekopieënbestand. Voorbeeld: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Optioneel | SHA256 | De SHA-256-hash van het bovenliggende procesafbeeldingsbestand. Voorbeeld: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Optioneel | SHA512 | De SHA-512-hash van het bovenliggende procesinstallatiekopieënbestand. |
| ParentProcessIMPHASH | Optioneel | Tekenreeks | De import-hash van alle bibliotheek-DLL's die worden gebruikt door het bovenliggende proces. |
| ParentProcessTokenElevation | Optioneel | Tekenreeks | Een token dat de aanwezigheid of afwezigheid aangeeft van gebruikersmachtiging Access Control (UAC) die is toegepast op het bovenliggende proces. Voorbeeld: None |
| ParentProcessCreationTime | Optioneel | Datetime | De datum en tijd waarop het bovenliggende proces is gestart. |
Doelgebruikersvelden
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| TargetUsername | Verplicht voor proces-create-gebeurtenissen. | Gebruikersnaam (tekenreeks) | De doelgebruikersnaam, inclusief domeingegevens indien beschikbaar. Raadpleeg de entiteit Gebruiker voor de ondersteunde indeling voor verschillende id-typen. Gebruik het eenvoudige formulier alleen als domeingegevens niet beschikbaar zijn. Sla het gebruikersnaamtype op in het veld TargetUsernameType . Als er andere gebruikersnaamindelingen beschikbaar zijn, slaat u deze op in de velden TargetUsername<UsernameType>.Voorbeeld: AlbertE |
| TargetUsernameType | Voorwaardelijke | Opgesomde | Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld TargetUsername . Raadpleeg UsernameType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Voorbeeld: Windows |
| TargetUserId | Aanbevolen | Tekenreeks | Een machineleesbare, alfanumerieke, unieke weergave van de doelgebruiker. Raadpleeg de entiteit Gebruiker voor de ondersteunde indeling voor verschillende id-typen. Voorbeeld: S-1-12 |
| TargetUserIdType | Voorwaardelijke | UserIdType | Het type id dat is opgeslagen in het veld TargetUserId . Raadpleeg UserIdType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. |
| TargetUserSessionId | Optioneel | Tekenreeks | De unieke id van de aanmeldingssessie van de doelgebruiker. Voorbeeld: 999 Opmerking: Het type is gedefinieerd als tekenreeks voor ondersteuning van verschillende systemen, maar in Windows moet deze waarde numeriek zijn. Als u een Windows- of Linux-machine gebruikt en een ander type hebt gebruikt, moet u de waarden converteren. Als u bijvoorbeeld een hexadecimale waarde hebt gebruikt, converteert u deze naar een decimale waarde. |
| TargetUserSessionGuid | Optioneel | Tekenreeks | De unieke GUID van de aanmeldingssessie van de doelgebruiker, zoals gerapporteerd door het rapportageapparaat. Voorbeeld: {12345678-1234-1234-1234-123456789012} |
| TargetUserType | Optioneel | UserType | Het type Actor. Raadpleeg UserType in het artikel Schemaoverzicht voor een lijst met toegestane waarden en meer informatie. Opmerking: De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd naar deze waarden. Sla de oorspronkelijke waarde op in het veld TargetOriginalUserType . |
| TargetOriginalUserType | Optioneel | Tekenreeks | Het oorspronkelijke doelgebruikerstype, indien opgegeven door het rapportageapparaat. |
| TargetUserScope | Optioneel | Tekenreeks | Het bereik, zoals Microsoft Entra tenant, waarin TargetUserId en TargetUsername zijn gedefinieerd. of zie UserScope in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| TargetUserScopeId | Optioneel | Tekenreeks | De bereik-id, zoals Microsoft Entra Directory-id, waarin TargetUserId en TargetUsername zijn gedefinieerd. Zie UserScopeId in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
Doelprocesvelden
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| TargetProcessName | Verplicht | tekenreeks | De naam van het doelproces. Deze naam is meestal afgeleid van de installatiekopieën of het uitvoerbare bestand dat wordt gebruikt om de eerste code en gegevens te definiëren die zijn toegewezen aan de virtuele adresruimte van het proces. Voorbeeld: C:\Windows\explorer.exe |
| TargetProcessFilename | Optioneel | Tekenreeks | Het bestandsnaamgedeelte van de TargetProcessName, zonder mapgegevens. Voorbeeld: explorer.exe |
| TargetProcessFileCompany | Optioneel | Tekenreeks | De naam van het bedrijf dat het afbeeldingsbestand voor het doelproces heeft gemaakt. Voorbeeld: Microsoft |
| TargetProcessFileDescription | Optioneel | Tekenreeks | De beschrijving van de versiegegevens in het afbeeldingsbestand van het doelproces. Voorbeeld: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Optioneel | Tekenreeks | De productnaam uit de versie-informatie in het afbeeldingsbestand van het doelproces. Voorbeeld: Notepad++ |
| TargetProcessFileSize | Optioneel | Lange | Grootte van het bestand dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis. |
| TargetProcessFileVersion | Optioneel | Tekenreeks | De productversie van de versiegegevens in het afbeeldingsbestand van het doelproces. Voorbeeld: 7.9.5.0 |
| TargetProcessFileInternalName | Optioneel | Tekenreeks | De interne bestandsnaam van het product uit de versie-informatie van het afbeeldingsbestand van het doelproces. |
| TargetProcessFileOriginalName | Optioneel | Tekenreeks | De oorspronkelijke bestandsnaam van het product uit de versiegegevens van het afbeeldingsbestand van het doelproces. |
| TargetProcessIsHidden | Optioneel | Booleaanse waarde | Een indicatie of het doelproces zich in de verborgen modus bevindt. |
| TargetProcessInjectedAddress | Optioneel | Tekenreeks | Het geheugenadres waarin het verantwoordelijke doelproces is opgeslagen. |
| TargetProcessMD5 | Optioneel | MD5 | De MD5-hash van het afbeeldingsbestand van het doelproces. Voorbeeld: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Optioneel | SHA1 | De SHA-1-hash van het afbeeldingsbestand van het doelproces. Voorbeeld: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Optioneel | SHA256 | De SHA-256-hash van het afbeeldingsbestand van het doelproces. Voorbeeld: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Optioneel | SHA512 | De SHA-512-hash van het afbeeldingsbestand van het doelproces. |
| TargetProcessIMPHASH | Optioneel | Tekenreeks | De import-hash van alle bibliotheek-DLL's die worden gebruikt door het doelproces. |
| HashType | Voorwaardelijke | Opgesomde | Het type hash dat is opgeslagen in het veld HASH-alias, toegestane waarden zijn MD5, SHA, SHA256SHA512 en IMPHASH. |
| TargetProcessCommandLine | Verplicht | Tekenreeks | De opdrachtregel die wordt gebruikt om het doelproces uit te voeren. Voorbeeld: "choco.exe" -v |
| TargetProcessCurrentDirectory | Optioneel | Tekenreeks | De huidige map waarin het doelproces wordt uitgevoerd. Voorbeeld: c:\windows\system32 |
| TargetProcessCreationTime | Aanbevolen | Datetime | De productversie van de versiegegevens van het afbeeldingsbestand van het doelproces. |
| TargetProcessId | Verplicht | Tekenreeks | De proces-id (PID) van het doelproces. Voorbeeld: 48610176Opmerking: Het type wordt gedefinieerd als tekenreeks voor ondersteuning van verschillende systemen, maar in Windows en Linux moet deze waarde numeriek zijn. Als u een Windows- of Linux-machine gebruikt en een ander type hebt gebruikt, moet u de waarden converteren. Als u bijvoorbeeld een hexadecimale waarde hebt gebruikt, converteert u deze naar een decimale waarde. |
| TargetProcessGuid | Optioneel | GUID (tekenreeks) | Een gegenereerde unieke id (GUID) van het doelproces. Hiermee kunt u het proces tussen systemen identificeren. Voorbeeld: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Optioneel | Tekenreeks | Elk proces heeft een integriteitsniveau dat wordt weergegeven in het token. Integriteitsniveaus bepalen het procesniveau van beveiliging of toegang. Windows definieert de volgende integriteitsniveaus: laag, gemiddeld, hoog en systeem. Standaardgebruikers ontvangen een gemiddeld integriteitsniveau en gebruikers met verhoogde bevoegdheden ontvangen een hoog integriteitsniveau. Zie Verplichte integriteitscontrole - Win32-apps voor meer informatie. |
| TargetProcessTokenElevation | Optioneel | Tekenreeks | Tokentype dat de aanwezigheid of afwezigheid aangeeft van uitbreiding van gebruikersrechten Access Control (UAC) die is toegepast op het proces dat is gemaakt of beëindigd. Voorbeeld: None |
| TargetProcessStatusCode | Optioneel | Tekenreeks | De afsluitcode die door het doelproces wordt geretourneerd wanneer deze is beëindigd. Dit veld is alleen geldig voor procesbeëindigingsevenementen. Voor consistentie is het veldtype tekenreeks, zelfs als de waarde die door het besturingssysteem wordt opgegeven numeriek is. |
Inspectievelden
De volgende velden worden gebruikt om die inspectie weer te geven die wordt uitgevoerd door een beveiligingssysteem zoals een EDR-systeem.
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| RuleName | Optioneel | Tekenreeks | De naam of id van de regel die is gekoppeld aan de inspectieresultaten. |
| RuleNumber | Optioneel | Geheel getal | Het nummer van de regel die is gekoppeld aan de inspectieresultaten. |
| Regel | Voorwaardelijke | Tekenreeks | De waarde van kRuleName of de waarde van RuleNumber. Als de waarde van RuleNumber wordt gebruikt, moet het type worden geconverteerd naar tekenreeks. |
| ThreatId | Optioneel | Tekenreeks | De id van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit. |
| ThreatName | Optioneel | Tekenreeks | De naam van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit. Voorbeeld: EICAR Test File |
| ThreatCategory | Optioneel | Tekenreeks | De categorie van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit. Voorbeeld: Trojan |
| ThreatRiskLevel | Optioneel | RiskLevel (geheel getal) | Het risiconiveau dat is gekoppeld aan de geïdentificeerde bedreiging. Het niveau moet een getal tussen 0 en 100 zijn. Opmerking: de waarde kan worden opgegeven in de bronrecord met behulp van een andere schaal, die moet worden genormaliseerd naar deze schaal. De oorspronkelijke waarde moet worden opgeslagen in ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Optioneel | Tekenreeks | Het risiconiveau zoals gerapporteerd door het rapportageapparaat. |
| ThreatField | Optioneel | Tekenreeks | Het veld waarvoor een bedreiging is geïdentificeerd. |
| ThreatField | Optioneel | Tekenreeks | Het veld waarvoor een bedreiging is geïdentificeerd. |
| ThreatConfidence | Optioneel | ConfidenceLevel (geheel getal) | Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd naar een waarde tussen 0 en een 100. |
| ThreatOriginalConfidence | Optioneel | Tekenreeks | Het oorspronkelijke betrouwbaarheidsniveau van de geïdentificeerde bedreiging, zoals gerapporteerd door het rapportageapparaat. |
| ThreatIsActive | Optioneel | Booleaanse waarde | Waar als de geïdentificeerde bedreiging wordt beschouwd als een actieve bedreiging. |
| ThreatFirstReportedTime | Optioneel | Datetime | De eerste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging. |
| ThreatLastReportedTime | Optioneel | Datetime | De laatste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging. |
Schema-updates
Dit zijn de wijzigingen in versie 0.1.1 van het schema:
- Het veld
EventSchemais toegevoegd.
Dit zijn de wijzigingen in versie 0.1.2 van het schema
- De velden
ActorUserType,ActorOriginalUserType,TargetUserType,TargetOriginalUserTypeenHashType.
Dit zijn de wijzigingen in versie 0.1.3 van het schema
- De velden
ParentProcessIdzijn gewijzigd vanTargetProcessCreationTimeverplicht in aanbevolen.
Dit zijn de wijzigingen in versie 0.1.4 van het schema
- De velden
ActorScope,DvcScopeIdenDvcScopezijn toegevoegd.
Volgende stappen
Zie voor meer informatie: