Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Schemat normalizacji zdarzeń procesu służy do opisywania działania systemu operacyjnego uruchamiania i kończania procesu. Takie zdarzenia są zgłaszane przez systemy operacyjne i systemy zabezpieczeń, takie jak systemy EDR (wykrywanie punktów końcowych i reagowanie).
Proces zdefiniowany przez program OSSEM jest obiektem hermetyzowania i zarządzania, który reprezentuje uruchomione wystąpienie programu. Chociaż same procesy nie są uruchamiane, zarządzają wątkami, które uruchamiają i wykonują kod.
Aby uzyskać więcej informacji na temat normalizacji w Microsoft Sentinel, zobacz Normalizacja i Zaawansowany model informacji o zabezpieczeniach (ASIM).
Parsery
Aby użyć analizatorów ujednolicających, które ujednolicają wszystkie wymienione analizatory, i upewnij się, że analizujesz wszystkie skonfigurowane źródła, użyj następujących nazw tabel w zapytaniach:
- imProcessUtwórz dla zapytań, które wymagają informacji o tworzeniu procesu. Te zapytania są najczęstszym przypadkiem.
- imProcessTerminate dla zapytań, które wymagają informacji o zakończeniu procesu.
Aby uzyskać listę analizatorów zdarzeń procesu, Microsoft Sentinel udostępnia out-of-the-box, zapoznaj się z listą analizatorów ASIM.
Wdróż analizatory uwierzytelniania z repozytorium gitHub Microsoft Sentinel.
Aby uzyskać więcej informacji, zobacz Omówienie analizatorów ASIM.
Dodawanie własnych znormalizowanych analizatorów
Podczas implementowania analizatorów zdarzeń procesu niestandardowego nazwij funkcje KQL przy użyciu następującej składni: imProcessCreate<vendor><Product> i imProcessTerminate<vendor><Product>. Zastąp im ciąg ASim na dla wersji bez parametru.
Dodaj funkcję KQL do analizatorów ujednolicenia zgodnie z opisem w temacie Managing ASIM parsers (Zarządzanie analizatorami ASIM).
Filtrowanie parametrów analizatora
Analizatory im i vim* obsługują parametry filtrowania. Chociaż te analizatory są opcjonalne, mogą zwiększyć wydajność zapytań.
Dostępne są następujące parametry filtrowania:
| Name (Nazwa) | Wpisać | Opis |
|---|---|---|
| Starttime | Datetime | Filtruj tylko zdarzenia procesu wystąpiły o tej godzinie lub później. Ten parametr filtruje TimeGenerated pole, które jest standardowym projektantem czasu zdarzenia, niezależnie od mapowania specyficznego dla analizatora pól EventStartTime i EventEndTime. |
| Endtime | Datetime | Filtruj tylko zapytania dotyczące zdarzeń przetwarzania, które wystąpiły o tej godzinie lub przed tą godziną. Ten parametr filtruje TimeGenerated pole, które jest standardowym projektantem czasu zdarzenia, niezależnie od mapowania specyficznego dla analizatora pól EventStartTime i EventEndTime. |
| commandline_has_any | Dynamiczne | Filtruj tylko zdarzenia przetwarzania, dla których wykonany wiersz polecenia ma dowolną z wymienionych wartości. Długość listy jest ograniczona do 10 000 elementów. |
| commandline_has_all | Dynamiczne | Filtruj tylko zdarzenia przetwarzania, dla których wykonany wiersz polecenia ma wszystkie wymienione wartości. Długość listy jest ograniczona do 10 000 elementów. |
| commandline_has_any_ip_prefix | Dynamiczne | Filtruj tylko zdarzenia przetwarzania, dla których wykonywany wiersz polecenia zawiera wszystkie wymienione adresy IP lub prefiksy adresów IP. Prefiksy powinny kończyć się wartością ., na przykład: 10.0.. Długość listy jest ograniczona do 10 000 elementów. |
| actingprocess_has_any | Dynamiczne | Filtruj tylko zdarzenia procesu, dla których nazwa działającego procesu, która zawiera całą ścieżkę procesu, ma dowolną z wymienionych wartości. Długość listy jest ograniczona do 10 000 elementów. |
| targetprocess_has_any | Dynamiczne | Filtruj tylko zdarzenia procesu, dla których nazwa procesu docelowego, obejmująca całą ścieżkę procesu, ma dowolną z wymienionych wartości. Długość listy jest ograniczona do 10 000 elementów. |
| parentprocess_has_any | Dynamiczne | Filtruj tylko zdarzenia procesu, dla których nazwa procesu docelowego, obejmująca całą ścieżkę procesu, ma dowolną z wymienionych wartości. Długość listy jest ograniczona do 10 000 elementów. |
| targetusername_has lub actorusername_has | ciąg | Filtruj tylko zdarzenia przetwarzania, dla których docelowa nazwa użytkownika (dla zdarzeń tworzenia procesów) lub nazwa użytkownika aktora (dla zdarzeń zakończenia procesu) ma dowolną z wymienionych wartości. Długość listy jest ograniczona do 10 000 elementów. |
| dvcipaddr_has_any_prefix | Dynamiczne | Filtruj tylko zdarzenia przetwarzania, dla których adres IP urządzenia jest zgodny z dowolnym z wymienionych adresów IP lub prefiksów adresów IP. Prefiksy powinny kończyć się wartością ., na przykład: 10.0.. Długość listy jest ograniczona do 10 000 elementów. |
| dvchostname_has_any | Dynamiczne | Filtruj tylko zdarzenia przetwarzania, dla których nazwa hosta urządzenia lub nazwa FQDN urządzenia jest dostępna, mają dowolną z wymienionych wartości. Długość listy jest ograniczona do 10 000 elementów. |
| Eventtype | ciąg | Filtruj tylko zdarzenia procesu określonego typu. |
Aby na przykład filtrować tylko zdarzenia uwierzytelniania z ostatniego dnia do określonego użytkownika, użyj:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Porada
Aby przekazać listę literałów do parametrów, które oczekują wartości dynamicznej, jawnie użyj literału dynamicznego. Przykład: dynamic(['192.168.','10.']).
Znormalizowana zawartość
Aby uzyskać pełną listę reguł analizy korzystających ze znormalizowanych zdarzeń procesu, zobacz Zawartość zabezpieczeń zdarzenia przetwarzania.
Szczegóły schematu
Model informacji o zdarzeniu procesu jest zgodny ze schematem jednostki procesu OSSEM.
Typowe pola usługi ASIM
Ważna
Pola wspólne dla wszystkich schematów zostały szczegółowo opisane w artykule ASIM Common Fields (Pola wspólne usługi ASIM ).
Typowe pola z określonymi wytycznymi
Na poniższej liście wymieniono pola, które mają określone wytyczne dotyczące zdarzeń działania procesu:
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| EventType | Obowiązkowe | Wyliczane | Opisuje operację zgłoszoną przez rekord. W przypadku rekordów procesu obsługiwane wartości obejmują: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Obowiązkowe | SchemaVersion (ciąg) | Wersja schematu. Wersja schematu udokumentowana w tym miejscu jest 0.1.4 |
| EventSchema | Obowiązkowe | Ciąg | Nazwa schematu udokumentowanego w tym miejscu to ProcessEvent. |
| Pola dvc | W przypadku zdarzeń działania procesu pola urządzenia odwołują się do systemu, w którym został wykonany proces. |
Ważna
Pole EventSchema jest obecnie opcjonalne, ale 1 września 2022 r. stanie się obowiązkowe.
Wszystkie typowe pola
Pola wyświetlane w poniższej tabeli są wspólne dla wszystkich schematów ASIM. Wszelkie wytyczne określone powyżej zastępują ogólne wytyczne dotyczące pola. Na przykład pole może być opcjonalne ogólnie, ale obowiązkowe dla określonego schematu. Aby uzyskać więcej informacji na temat każdego pola, zapoznaj się z artykułem ASIM Common Fields (Typowe pola usługi ASIM ).
| Klasa | Pola |
|---|---|
| Obowiązkowe |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Zalecane |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcjonalny |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Pola dodatkowe - DvcDescription - DvcScopeId - DvcScope |
Pola specyficzne dla przetwarzania zdarzeń
Pola wymienione w poniższej tabeli są specyficzne dla zdarzeń procesu, ale są podobne do pól w innych schematach i są zgodne z podobnymi konwencjami nazewnictwa.
Schemat zdarzeń procesu odwołuje się do następujących jednostek, które są centralnym elementem działania tworzenia i kończania procesu:
- Aktor — użytkownik, który zainicjował tworzenie lub kończenie procesu.
- ActingProcess — proces używany przez aktora do zainicjowania tworzenia lub kończania procesu.
- TargetProcess — nowy proces.
- TargetUser — użytkownik, którego poświadczenia są używane do utworzenia nowego procesu.
- ParentProcess — proces, który zainicjował proces aktora.
Aliasy
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| Użytkownik | Alias | Alias do nazwy TargetUsername. Przykład: CONTOSO\dadmin |
|
| Proces | Alias | Alias elementu TargetProcessName Przykład: C:\Windows\System32\rundll32.exe |
|
| Commandline | Alias | Alias to TargetProcessCommandLine | |
| Mieszania | Alias | Alias do najlepszego dostępnego skrótu dla procesu docelowego. |
Pola aktora
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| ActorUserId | Zalecane | Ciąg | Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja aktora. Aby uzyskać obsługiwany format dla różnych typów identyfikatorów, zapoznaj się z jednostką Użytkownik. Przykład: S-1-12 |
| ActorUserIdType | Warunkowe | Wyliczane | Typ identyfikatora przechowywanego w polu ActorUserId . Aby uzyskać listę dozwolonych wartości i więcej informacji, zobacz UserIdType w artykule Omówienie schematu. |
| ActorScope | Opcjonalny | Ciąg | Zakres, taki jak dzierżawa Microsoft Entra, w którym zdefiniowano elementy ActorUserId i ActorUsername. lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu. |
| ActorScopeId | Opcjonalny | Ciąg | Identyfikator zakresu, taki jak identyfikator katalogu Microsoft Entra, w którym zdefiniowano elementy ActorUserId i ActorUsername. lub więcej informacji i listy dozwolonych wartości, zobacz UserScopeId w artykule Omówienie schematu. |
| ActorUsername | Obowiązkowe | Nazwa użytkownika (ciąg) | Nazwa użytkownika aktora, w tym informacje o domenie, jeśli są dostępne. Aby uzyskać obsługiwany format dla różnych typów identyfikatorów, zapoznaj się z jednostką Użytkownik. Użyj prostego formularza tylko wtedy, gdy informacje o domenie nie są dostępne. Zapisz typ nazwy użytkownika w polu ActorUsernameType . Jeśli są dostępne inne formaty nazwy użytkownika, zapisz je w polach ActorUsername<UsernameType>.Przykład: AlbertE |
| ActorUsernameType | Warunkowe | Wyliczane | Określa typ nazwy użytkownika przechowywanej w polu ActorUsername . Aby uzyskać listę dozwolonych wartości i więcej informacji, zobacz UsernameType w artykule Omówienie schematu. Przykład: Windows |
| ActorSessionId | Opcjonalny | Ciąg | Unikatowy identyfikator sesji logowania aktora. Przykład: 999Uwaga: typ jest definiowany jako ciąg do obsługi różnych systemów, ale w systemie Windows ta wartość musi być liczbowa. Jeśli używasz maszyny z systemem Windows i używasz innego typu, przekonwertuj wartości. Jeśli na przykład użyto wartości szesnastkowej, przekonwertuj ją na wartość dziesiętną. |
| ActorUserType | Opcjonalny | Usertype | Typ aktora. Aby uzyskać listę dozwolonych wartości i więcej informacji, zobacz UserType w artykule Omówienie schematu. Uwaga: wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Zapisz oryginalną wartość w polu ActorOriginalUserType . |
| ActorOriginalUserType | Opcjonalny | Ciąg | Oryginalny typ użytkownika docelowego, jeśli jest dostarczany przez urządzenie raportowania. |
Działające pola procesu
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| ActingProcessCommandLine | Opcjonalny | Ciąg | Wiersz polecenia używany do uruchamiania działającego procesu. Przykład: "choco.exe" -v |
| ActingProcessName | Opcjonalny | ciąg | Nazwa działającego procesu. Ta nazwa jest często pochodną obrazu lub pliku wykonywalnego używanego do definiowania początkowego kodu i danych zamapowanych na wirtualną przestrzeń adresową procesu. Przykład: C:\Windows\explorer.exe |
| ActingProcessFilename | Opcjonalny | Ciąg | Część nazwy ActingProcessNamepliku , bez informacji o folderze. Przykład: explorer.exe |
| ActingProcessFileCompany | Opcjonalny | Ciąg | Firma, która utworzyła działający plik obrazu procesu. Przykład: Microsoft |
| ActingProcessFileDescription | Opcjonalny | Ciąg | Opis osadzony w informacjach o wersji działającego pliku obrazu procesu. Przykład: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Opcjonalny | Ciąg | Nazwa produktu z informacji o wersji w działającym pliku obrazu procesu. Przykład: Notepad++ |
| ActingProcessFileVersion | Opcjonalny | Ciąg | Wersja produktu z informacji o wersji działającego pliku obrazu procesu. Przykład: 7.9.5.0 |
| ActingProcessFileInternalName | Opcjonalny | Ciąg | Wewnętrzna nazwa pliku produktu z informacji o wersji działającego pliku obrazu procesu. |
| ActingProcessFileOriginalName | Opcjonalny | Ciąg | Oryginalna nazwa pliku produktu z informacji o wersji działającego pliku obrazu procesu. Przykład: Notepad++.exe |
| ActingProcessIsHidden | Opcjonalny | Wartość logiczna | Wskazanie, czy działający proces jest w trybie ukrytym. |
| ActingProcessInjectedAddress | Opcjonalny | Ciąg | Adres pamięci, w którym jest przechowywany proces odpowiedzialnego działania. |
| ActingProcessId | Obowiązkowe | Ciąg | Identyfikator procesu (PID) działającego procesu. Przykład: 48610176 Uwaga: typ jest zdefiniowany jako ciąg do obsługi różnych systemów, ale w systemie Windows i Linux ta wartość musi być liczbowa. Jeśli używasz maszyny z systemem Windows lub Linux i używasz innego typu, przekonwertuj wartości. Jeśli na przykład użyto wartości szesnastkowej, przekonwertuj ją na wartość dziesiętną. |
| ActingProcessGuid | Opcjonalny | IDENTYFIKATOR GUID (ciąg) | Wygenerowany unikatowy identyfikator (GUID) działającego procesu. Umożliwia identyfikowanie procesu w różnych systemach. Przykład: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Opcjonalny | Ciąg | Każdy proces ma poziom integralności reprezentowany w tokenie. Poziomy integralności określają poziom procesu ochrony lub dostępu. System Windows definiuje następujące poziomy integralności: niski, średni, wysoki i system. Użytkownicy standardowi otrzymują średni poziom integralności, a użytkownicy z podwyższonym poziomem integralności otrzymują wysoki poziom integralności. Aby uzyskać więcej informacji, zobacz Obowiązkowa kontrola integralności — aplikacje Win32. |
| ActingProcessMD5 | Opcjonalny | Ciąg | Skrót MD5 działającego pliku obrazu procesu. Przykład: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Opcjonalny | SHA1 | Skrót SHA-1 działającego pliku obrazu procesu. Przykład: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Opcjonalny | SHA256 | Skrót SHA-256 działającego pliku obrazu procesu. Przykład: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Opcjonalny | SHA512 | Skrót SHA-512 działającego pliku obrazu procesu. |
| ActingProcessIMPHASH | Opcjonalny | Ciąg | Skrót importu wszystkich bibliotek DLL, które są używane przez działający proces. |
| ActingProcessCreationTime | Opcjonalny | Datetime | Data i godzina rozpoczęcia działającego procesu. |
| ActingProcessTokenElevation | Opcjonalny | Ciąg | Token wskazujący obecność lub brak podniesienia uprawnień użytkownika Access Control (UAC) stosowanego do działającego procesu. Przykład: None |
| ActingProcessFileSize | Opcjonalny | Długi | Rozmiar pliku, który uruchomił działający proces. |
Nadrzędne pola procesu
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| ParentProcessName | Opcjonalny | ciąg | Nazwa procesu nadrzędnego. Ta nazwa jest często pochodną obrazu lub pliku wykonywalnego używanego do definiowania początkowego kodu i danych zamapowanych na wirtualną przestrzeń adresową procesu. Przykład: C:\Windows\explorer.exe |
| ParentProcessFileCompany | Opcjonalny | Ciąg | Nazwa firmy, która utworzyła nadrzędny plik obrazu procesu. Przykład: Microsoft |
| ParentProcessFileDescription | Opcjonalny | Ciąg | Opis z informacji o wersji w nadrzędnym pliku obrazu procesu. Przykład: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Opcjonalny | Ciąg | Nazwa produktu z informacji o wersji w nadrzędnym pliku obrazu procesu. Przykład: Notepad++ |
| ParentProcessFileVersion | Opcjonalny | Ciąg | Wersja produktu z informacji o wersji w nadrzędnym pliku obrazu procesu. Przykład: 7.9.5.0 |
| ParentProcessIsHidden | Opcjonalny | Wartość logiczna | Wskazanie, czy proces nadrzędny jest w trybie ukrytym. |
| ParentProcessInjectedAddress | Opcjonalny | Ciąg | Adres pamięci, w którym jest przechowywany odpowiedzialny proces nadrzędny. |
| ParentProcessId | Zalecane | Ciąg | Identyfikator procesu (PID) procesu nadrzędnego. Przykład: 48610176 |
| ParentProcessGuid | Opcjonalny | Ciąg | Wygenerowany unikatowy identyfikator (GUID) procesu nadrzędnego. Umożliwia identyfikowanie procesu w różnych systemach. Przykład: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Opcjonalny | Ciąg | Każdy proces ma poziom integralności reprezentowany w tokenie. Poziomy integralności określają poziom procesu ochrony lub dostępu. System Windows definiuje następujące poziomy integralności: niski, średni, wysoki i system. Użytkownicy standardowi otrzymują średni poziom integralności, a użytkownicy z podwyższonym poziomem integralności otrzymują wysoki poziom integralności. Aby uzyskać więcej informacji, zobacz Obowiązkowa kontrola integralności — aplikacje Win32. |
| ParentProcessMD5 | Opcjonalny | MD5 | Skrót MD5 nadrzędnego pliku obrazu procesu. Przykład: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Opcjonalny | SHA1 | Skrót SHA-1 nadrzędnego pliku obrazu procesu. Przykład: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Opcjonalny | SHA256 | Skrót SHA-256 nadrzędnego pliku obrazu procesu. Przykład: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Opcjonalny | SHA512 | Skrót SHA-512 nadrzędnego pliku obrazu procesu. |
| ParentProcessIMPHASH | Opcjonalny | Ciąg | Skrót importu wszystkich bibliotek DLL używanych przez proces nadrzędny. |
| ParentProcessTokenElevation | Opcjonalny | Ciąg | Token wskazujący obecność lub brak podniesienia uprawnień użytkownika Access Control (UAC) zastosowaną do procesu nadrzędnego. Przykład: None |
| ParentProcessCreationTime | Opcjonalny | Datetime | Data i godzina rozpoczęcia procesu nadrzędnego. |
Pola użytkownika docelowego
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| TargetUsername | Obowiązkowe dla zdarzeń tworzenia procesów. | Nazwa użytkownika (ciąg) | Docelowa nazwa użytkownika, w tym informacje o domenie, jeśli są dostępne. Aby uzyskać obsługiwany format dla różnych typów identyfikatorów, zapoznaj się z jednostką Użytkownik. Użyj prostego formularza tylko wtedy, gdy informacje o domenie nie są dostępne. Zapisz typ nazwy użytkownika w polu TargetUsernameType . Jeśli są dostępne inne formaty nazwy użytkownika, zapisz je w polach TargetUsername<UsernameType>.Przykład: AlbertE |
| TargetUsernameType | Warunkowe | Wyliczane | Określa typ nazwy użytkownika przechowywanej w polu TargetUsername . Aby uzyskać listę dozwolonych wartości i więcej informacji, zobacz UsernameType w artykule Omówienie schematu. Przykład: Windows |
| TargetUserId | Zalecane | Ciąg | Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja użytkownika docelowego. Aby uzyskać obsługiwany format dla różnych typów identyfikatorów, zapoznaj się z jednostką Użytkownik. Przykład: S-1-12 |
| TargetUserIdType | Warunkowe | UserIdType | Typ identyfikatora przechowywanego w polu TargetUserId . Aby uzyskać listę dozwolonych wartości i więcej informacji, zobacz UserIdType w artykule Omówienie schematu. |
| TargetUserSessionId | Opcjonalny | Ciąg | Unikatowy identyfikator sesji logowania użytkownika docelowego. Przykład: 999 Uwaga: typ jest definiowany jako ciąg do obsługi różnych systemów, ale w systemie Windows ta wartość musi być liczbowa. Jeśli używasz maszyny z systemem Windows lub Linux i używasz innego typu, przekonwertuj wartości. Jeśli na przykład użyto wartości szesnastkowej, przekonwertuj ją na wartość dziesiętną. |
| TargetUserSessionGuid | Opcjonalny | Ciąg | Unikatowy identyfikator GUID sesji logowania użytkownika docelowego zgłoszony przez urządzenie raportowania. Przykład: {12345678-1234-1234-1234-123456789012} |
| TargetUserType | Opcjonalny | Usertype | Typ aktora. Aby uzyskać listę dozwolonych wartości i więcej informacji, zobacz UserType w artykule Omówienie schematu. Uwaga: wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Zapisz oryginalną wartość w polu TargetOriginalUserType . |
| TargetOriginalUserType | Opcjonalny | Ciąg | Oryginalny typ użytkownika docelowego, jeśli jest dostarczany przez urządzenie raportowania. |
| TargetUserScope | Opcjonalny | Ciąg | Zakres, taki jak dzierżawa Microsoft Entra, w którym zdefiniowano elementy TargetUserId i TargetUsername. lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu. |
| TargetUserScopeId | Opcjonalny | Ciąg | Identyfikator zakresu, taki jak identyfikator katalogu Microsoft Entra, w którym zdefiniowano elementy TargetUserId i TargetUsername. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserScopeId w artykule Omówienie schematu. |
Pola procesu docelowego
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| TargetProcessName | Obowiązkowe | ciąg | Nazwa procesu docelowego. Ta nazwa jest często pochodną obrazu lub pliku wykonywalnego używanego do definiowania początkowego kodu i danych zamapowanych na wirtualną przestrzeń adresową procesu. Przykład: C:\Windows\explorer.exe |
| TargetProcessFilename | Opcjonalny | Ciąg | Część nazwy TargetProcessNamepliku , bez informacji o folderze. Przykład: explorer.exe |
| TargetProcessFileCompany | Opcjonalny | Ciąg | Nazwa firmy, która utworzyła plik obrazu procesu docelowego. Przykład: Microsoft |
| TargetProcessFileDescription | Opcjonalny | Ciąg | Opis z informacji o wersji w pliku obrazu procesu docelowego. Przykład: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Opcjonalny | Ciąg | Nazwa produktu z informacji o wersji w docelowym pliku obrazu procesu. Przykład: Notepad++ |
| TargetProcessFileSize | Opcjonalny | Długi | Rozmiar pliku, który uruchomił proces odpowiedzialny za zdarzenie. |
| TargetProcessFileVersion | Opcjonalny | Ciąg | Wersja produktu z informacji o wersji w pliku obrazu procesu docelowego. Przykład: 7.9.5.0 |
| TargetProcessFileInternalName | Opcjonalny | Ciąg | Nazwa pliku wewnętrznego produktu z informacji o wersji pliku obrazu procesu docelowego. |
| TargetProcessFileOriginalName | Opcjonalny | Ciąg | Oryginalna nazwa pliku produktu z informacji o wersji pliku obrazu procesu docelowego. |
| TargetProcessIsHidden | Opcjonalny | Wartość logiczna | Wskazanie, czy proces docelowy jest w trybie ukrytym. |
| TargetProcessInjectedAddress | Opcjonalny | Ciąg | Adres pamięci, w którym jest przechowywany odpowiedzialny proces docelowy. |
| TargetProcessMD5 | Opcjonalny | MD5 | Skrót MD5 pliku obrazu procesu docelowego. Przykład: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Opcjonalny | SHA1 | Skrót SHA-1 pliku obrazu procesu docelowego. Przykład: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Opcjonalny | SHA256 | Skrót SHA-256 pliku obrazu procesu docelowego. Przykład: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Opcjonalny | SHA512 | Skrót SHA-512 pliku obrazu procesu docelowego. |
| TargetProcessIMPHASH | Opcjonalny | Ciąg | Importuj skrót wszystkich bibliotek bibliotek DLL używanych przez proces docelowy. |
| Typ skrótu | Warunkowe | Wyliczane | Typ skrótu przechowywany w polu aliasu SKRÓTU, dozwolone wartości to MD5, SHA, SHA256i SHA512IMPHASH. |
| TargetProcessCommandLine | Obowiązkowe | Ciąg | Wiersz polecenia używany do uruchamiania procesu docelowego. Przykład: "choco.exe" -v |
| TargetProcessCurrentDirectory | Opcjonalny | Ciąg | Bieżący katalog, w którym jest wykonywany proces docelowy. Przykład: c:\windows\system32 |
| TargetProcessCreationTime | Zalecane | Datetime | Wersja produktu z informacji o wersji pliku obrazu procesu docelowego. |
| TargetProcessId | Obowiązkowe | Ciąg | Identyfikator procesu (PID) procesu docelowego. Przykład: 48610176Uwaga: typ jest zdefiniowany jako ciąg do obsługi różnych systemów, ale w systemie Windows i Linux ta wartość musi być liczbowa. Jeśli używasz maszyny z systemem Windows lub Linux i używasz innego typu, przekonwertuj wartości. Jeśli na przykład użyto wartości szesnastkowej, przekonwertuj ją na wartość dziesiętną. |
| TargetProcessGuid | Opcjonalny | IDENTYFIKATOR GUID (ciąg) | Wygenerowany unikatowy identyfikator (GUID) procesu docelowego. Umożliwia identyfikowanie procesu w różnych systemach. Przykład: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Opcjonalny | Ciąg | Każdy proces ma poziom integralności reprezentowany w tokenie. Poziomy integralności określają poziom procesu ochrony lub dostępu. System Windows definiuje następujące poziomy integralności: niski, średni, wysoki i system. Użytkownicy standardowi otrzymują średni poziom integralności, a użytkownicy z podwyższonym poziomem integralności otrzymują wysoki poziom integralności. Aby uzyskać więcej informacji, zobacz Obowiązkowa kontrola integralności — aplikacje Win32. |
| TargetProcessTokenElevation | Opcjonalny | Ciąg | Typ tokenu wskazujący obecność lub brak podniesienia uprawnień użytkownika Access Control (UAC) zastosowaną do procesu, który został utworzony lub zakończony. Przykład: None |
| TargetProcessStatusCode | Opcjonalny | Ciąg | Kod zakończenia zwrócony przez proces docelowy po zakończeniu. To pole jest prawidłowe tylko dla zdarzeń zakończenia procesu. W przypadku spójności typ pola to ciąg, nawet jeśli wartość podana przez system operacyjny jest liczbowa. |
Pola inspekcji
Poniższe pola są używane do reprezentowania tej inspekcji przeprowadzanej przez system zabezpieczeń, taki jak system EDR.
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| Rulename | Opcjonalny | Ciąg | Nazwa lub identyfikator reguły skojarzony z wynikami inspekcji. |
| Numer reguły | Opcjonalny | Liczba całkowita | Liczba reguł skojarzonych z wynikami inspekcji. |
| Reguły | Warunkowe | Ciąg | Wartość kRuleName lub wartość ruleNumber. Jeśli jest używana wartość RuleNumber , typ powinien zostać przekonwertowany na ciąg. |
| ThreatId | Opcjonalny | Ciąg | Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku. |
| ThreatName | Opcjonalny | Ciąg | Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku. Przykład: EICAR Test File |
| ThreatCategory | Opcjonalny | Ciąg | Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku. Przykład: Trojan |
| ThreatRiskLevel | Opcjonalny | RiskLevel (liczba całkowita) | Poziom ryzyka skojarzony z zidentyfikowanym zagrożeniem. Poziom powinien być liczbą z zakresu od 0 do 100. Uwaga: wartość może zostać podana w rekordzie źródłowym przy użyciu innej skali, która powinna zostać znormalizowana do tej skali. Oryginalna wartość powinna być przechowywana w aplikacji ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Opcjonalny | Ciąg | Poziom ryzyka zgłoszony przez urządzenie raportowania. |
| Pole zagrożenia | Opcjonalny | Ciąg | Pole, dla którego zidentyfikowano zagrożenie. |
| Pole zagrożenia | Opcjonalny | Ciąg | Pole, dla którego zidentyfikowano zagrożenie. |
| ThreatConfidence | Opcjonalny | ConfidenceLevel (liczba całkowita) | Poziom ufności zidentyfikowanego zagrożenia znormalizowany do wartości od 0 do 100. |
| ThreatOriginalConfidence | Opcjonalny | Ciąg | Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgłoszony przez urządzenie raportowania. |
| ThreatIsActive | Opcjonalny | Wartość logiczna | Prawda, jeśli zidentyfikowane zagrożenie jest uważane za aktywne zagrożenie. |
| ThreatFirstReportedTime | Opcjonalny | Datetime | Przy pierwszym zidentyfikowaniu adresu IP lub domeny jako zagrożenia. |
| ThreatLastReportedTime | Opcjonalny | Datetime | Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
Aktualizacje schematu
Są to zmiany w wersji 0.1.1 schematu:
- Dodano pole
EventSchema.
Są to zmiany w wersji 0.1.2 schematu
- Dodano pola
ActorUserType,ActorOriginalUserType,TargetUserType,TargetOriginalUserType, iHashType.
Są to zmiany w wersji 0.1.3 schematu
- Zmieniono pola
ParentProcessIdiTargetProcessCreationTimez obowiązkowych na zalecane.
Są to zmiany w wersji 0.1.4 schematu
- Dodano pola
ActorScope,DvcScopeId, iDvcScope.
Następne kroki
Więcej informacji można znaleźć w następujących artykułach:
- Obejrzyj seminarium internetowe usługi ASIM lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Zawartość zaawansowanego modelu informacji o zabezpieczeniach (ASIM)