Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O esquema de normalização do Evento de Processo é utilizado para descrever a atividade do sistema operativo de executar e terminar um processo. Estes eventos são comunicados por sistemas operativos e sistemas de segurança, como sistemas EDR (End Point Detection and Response).
Um processo, conforme definido pelo OSSEM, é um objeto de contenção e gestão que representa uma instância em execução de um programa. Embora os próprios processos não sejam executados, gerem threads que executam e executam código.
Para obter mais informações sobre a normalização no Microsoft Sentinel, veja Normalização e Modelo avançado de informações de segurança (ASIM).
Analisadores
Para utilizar os analisadores unificadores que unificam todos os analisadores listados e garantir que analisa todas as origens configuradas, utilize os seguintes nomes de tabela nas suas consultas:
- imProcessCriar para consultas que requerem informações de criação de processos. Estas consultas são o caso mais comum.
- imProcessTerminate para consultas que requerem informações de terminação do processo.
Para obter a lista dos analisadores de Eventos de Processo Microsoft Sentinel fornece uma lista de analisadores asim.
Implemente os analisadores de Autenticação a partir do repositório Microsoft Sentinel GitHub.
Para obter mais informações, veja Descrição geral dos analisadores do ASIM.
Adicionar os seus próprios analisadores normalizados
Ao implementar analisadores de eventos de processo personalizado, atribua um nome às funções KQL com a seguinte sintaxe: imProcessCreate<vendor><Product> e imProcessTerminate<vendor><Product>.
ASim Substitua por im pela versão sem parâmetros.
Adicione a função KQL aos parsers unificadores, conforme descrito em Gerir analisadores asim.
Filtrar parâmetros do analisador
Os im analisadores e vim*suportam parâmetros de filtragem. Embora estes analisadores sejam opcionais, podem melhorar o desempenho da consulta.
Estão disponíveis os seguintes parâmetros de filtragem:
| Nome | Tipo | Descrição |
|---|---|---|
| hora de início | datetime | Filtrar apenas eventos de processos ocorridos em ou depois desta hora. Este parâmetro filtra no TimeGenerated campo, que é o designador padrão para a hora do evento, independentemente do mapeamento específico do analisador dos campos EventStartTime e EventEndTime. |
| endtime | datetime | Filtrar apenas consultas de eventos de processo que ocorreram em ou antes desta hora. Este parâmetro filtra no TimeGenerated campo, que é o designador padrão para a hora do evento, independentemente do mapeamento específico do analisador dos campos EventStartTime e EventEndTime. |
| commandline_has_any | dinâmico | Filtre apenas eventos de processo para os quais a linha de comandos executada tem qualquer um dos valores listados. O comprimento da lista está limitado a 10 000 itens. |
| commandline_has_all | dinâmico | Filtre apenas eventos de processo para os quais a linha de comandos executada tem todos os valores listados. O comprimento da lista está limitado a 10 000 itens. |
| commandline_has_any_ip_prefix | dinâmico | Filtre apenas eventos de processo para os quais a linha de comandos foi executada tem todos os endereços IP ou prefixos de endereço IP listados. Os prefixos devem terminar com um ., por exemplo: 10.0.. O comprimento da lista está limitado a 10 000 itens. |
| actingprocess_has_any | dinâmico | Filtre apenas eventos de processo para os quais o nome do processo de ação, que inclui todo o caminho do processo, tem qualquer um dos valores listados. O comprimento da lista está limitado a 10 000 itens. |
| targetprocess_has_any | dinâmico | Filtre apenas eventos de processo para os quais o nome do processo de destino, que inclui todo o caminho do processo, tem qualquer um dos valores listados. O comprimento da lista está limitado a 10 000 itens. |
| parentprocess_has_any | dinâmico | Filtre apenas eventos de processo para os quais o nome do processo de destino, que inclui todo o caminho do processo, tem qualquer um dos valores listados. O comprimento da lista está limitado a 10 000 itens. |
| targetusername_has ou actorusername_has | string | Filtre apenas eventos de processo para os quais o nome de utilizador de destino (para eventos de criação de processos) ou o nome de utilizador do ator (para eventos de fim do processo) tem qualquer um dos valores listados. O comprimento da lista está limitado a 10 000 itens. |
| dvcipaddr_has_any_prefix | dinâmico | Filtre apenas eventos de processo para os quais o endereço IP do dispositivo corresponde a qualquer um dos endereços IP ou prefixos de endereço IP listados. Os prefixos devem terminar com um ., por exemplo: 10.0.. O comprimento da lista está limitado a 10 000 itens. |
| dvchostname_has_any | dinâmico | Filtre apenas eventos de processo para os quais o nome do anfitrião do dispositivo, ou FQDN do dispositivo está disponível, tem qualquer um dos valores listados. O comprimento da lista está limitado a 10 000 itens. |
| eventtype | string | Filtrar apenas eventos de processo do tipo especificado. |
Por exemplo, para filtrar apenas eventos de autenticação do último dia para um utilizador específico, utilize:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Dica
Para transmitir uma lista literal para parâmetros que esperam um valor dinâmico, utilize explicitamente um literal dinâmico. Por exemplo: dynamic(['192.168.','10.']).
Conteúdo normalizado
Para obter uma lista completa das regras de análise que utilizam eventos de processo normalizados, veja Conteúdo de segurança do Evento de Processo.
Detalhes do esquema
O modelo de informações do Evento de Processo está alinhado com o esquema da entidade Processo OSSEM.
Campos ASIM comuns
Importante
Os campos comuns a todos os esquemas são descritos em detalhe no artigo Campos Comuns do ASIM .
Campos comuns com diretrizes específicas
A lista seguinte menciona campos que têm diretrizes específicas para eventos de atividade do processo:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| EventType | Obrigatório | Enumerado | Descreve a operação comunicada pelo registo. Para registos de Processo, os valores suportados incluem: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Obrigatório | SchemaVersion (Cadeia) | A versão do esquema. A versão do esquema documentado aqui é 0.1.4 |
| EventSchema | Obrigatório | Cadeia de caracteres | O nome do esquema documentado aqui é ProcessEvent. |
| Campos dvc | Para eventos de atividade do processo, os campos do dispositivo referem-se ao sistema no qual o processo foi executado. |
Importante
O EventSchema campo é atualmente opcional, mas passará a ser Obrigatório a 1 de setembro de 2022.
Todos os campos comuns
Os campos que aparecem na tabela abaixo são comuns a todos os esquemas ASIM. Qualquer orientação especificada acima substitui as diretrizes gerais do campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais detalhes sobre cada campo, veja o artigo Campos Comuns do ASIM .
| Classe | Fields |
|---|---|
| Obrigatório |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendado |
-
EventResultDetails - EventoSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campos Adicionais - DvcDescription - DvcScopeId - DvcScope |
Campos específicos do Evento de Processo
Os campos listados na tabela abaixo são específicos de Processar eventos, mas são semelhantes a campos noutros esquemas e seguem convenções de nomenclatura semelhantes.
O esquema de eventos do processo faz referência às seguintes entidades, que são centrais para a atividade de criação e terminação de processos:
- Actor – o utilizador que iniciou a criação ou terminação do processo.
- ActingProcess - O processo utilizado pelo Ator para iniciar a criação ou terminação do processo.
- TargetProcess - O novo processo.
- TargetUser – o utilizador cujas credenciais são utilizadas para criar o novo processo.
- ParentProcess – o processo que iniciou o Processo de Ator.
Aliases
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Usuário | Alias | Alias para TargetUsername. Exemplo: CONTOSO\dadmin |
|
| Processo | Alias | Alias para TargetProcessName Exemplo: C:\Windows\System32\rundll32.exe |
|
| CommandLine | Alias | Alias para TargetProcessCommandLine | |
| Hash | Alias | Alias para o melhor hash disponível para o processo de destino. |
Campos de ator
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ActorUserId | Recomendado | Cadeia de caracteres | Uma representação exclusiva, alfanumérica e legível por computador do Ator. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade Utilizador. Exemplo: S-1-12 |
| ActorUserIdType | Condicional | Enumerado | O tipo do ID armazenado no campo ActorUserId . Para obter uma lista de valores permitidos e mais informações, veja UserIdType no artigo Descrição Geral do Esquema. |
| ActorScope | Opcional | Cadeia de caracteres | O âmbito, como Microsoft Entra inquilino, no qual ActorUserId e ActorUsername estão definidos. ou mais informações e lista de valores permitidos, veja UserScope no artigo Descrição Geral do Esquema. |
| ActorScopeId | Opcional | Cadeia de caracteres | O ID de âmbito, como Microsoft Entra ID do Diretório, no qual ActorUserId e ActorUsername estão definidos. ou mais informações e lista de valores permitidos, veja UserScopeId no artigo Descrição Geral do Esquema. |
| ActorUsername | Obrigatório | Nome de utilizador (Cadeia) | O Nome de utilizador do Ator, incluindo informações de domínio quando disponível. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade Utilizador. Utilize o formulário simples apenas se as informações de domínio não estiverem disponíveis. Armazene o tipo nome de utilizador no campo ActorUsernameType . Se estiverem disponíveis outros formatos de nome de utilizador, armazene-os nos campos ActorUsername<UsernameType>.Exemplo: AlbertE |
| ActorUsernameType | Condicional | Enumerado | Especifica o tipo do nome de utilizador armazenado no campo ActorUsername . Para obter uma lista de valores permitidos e mais informações, veja UsernameType no artigo Descrição Geral do Esquema. Exemplo: Windows |
| ActorSessionId | Opcional | Cadeia de caracteres | O ID exclusivo da sessão de início de sessão do Ator. Exemplo: 999Nota: o tipo é definido como cadeia para suportar vários sistemas, mas no Windows este valor tem de ser numérico. Se estiver a utilizar um computador Windows e tiver utilizado um tipo diferente, certifique-se de que converte os valores. Por exemplo, se utilizou um valor hexadecimal, converta-o num valor decimal. |
| ActorUserType | Opcional | UserType | O tipo de Ator. Para obter uma lista de valores permitidos e mais informações, veja UserType no artigo Descrição Geral do Esquema. Nota: o valor pode ser fornecido no registo de origem com termos diferentes, que devem ser normalizados para estes valores. Armazene o valor original no campo ActorOriginalUserType . |
| ActorOriginalUserType | Opcional | Cadeia de caracteres | O tipo de utilizador de destino original, se for fornecido pelo dispositivo de relatório. |
Campos do processo de ação
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ActingProcessCommandLine | Opcional | Cadeia de caracteres | A linha de comandos utilizada para executar o processo de ação. Exemplo: "choco.exe" -v |
| ActingProcessName | Opcional | string | O nome do processo de representação. Este nome é normalmente derivado da imagem ou ficheiro executável que é utilizado para definir o código inicial e os dados mapeados para o espaço de endereços virtual do processo. Exemplo: C:\Windows\explorer.exe |
| ActingProcessFilename | Opcional | Cadeia de caracteres | A parte do nome de ficheiro do ActingProcessName, sem informações da pasta. Exemplo: explorer.exe |
| ActingProcessFileCompany | Opcional | Cadeia de caracteres | A empresa que criou o ficheiro de imagem do processo de atuação. Exemplo: Microsoft |
| ActingProcessFileDescription | Opcional | Cadeia de caracteres | A descrição incorporada nas informações de versão do ficheiro de imagem do processo de atuação. Exemplo: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Opcional | Cadeia de caracteres | O nome do produto das informações da versão no ficheiro de imagem do processo de atuação. Exemplo: Notepad++ |
| ActingProcessFileVersion | Opcional | Cadeia de caracteres | A versão do produto a partir das informações de versão do ficheiro de imagem do processo de atuação. Exemplo: 7.9.5.0 |
| ActingProcessFileInternalName | Opcional | Cadeia de caracteres | O nome de ficheiro interno do produto a partir das informações de versão do ficheiro de imagem do processo de atuação. |
| ActingProcessFileOriginalName | Opcional | Cadeia de caracteres | O nome de ficheiro original do produto a partir das informações de versão do ficheiro de imagem do processo de atuação. Exemplo: Notepad++.exe |
| ActingProcessIsHidden | Opcional | Booliano | Uma indicação de se o processo de representação está no modo oculto. |
| ActingProcessInjectedAddress | Opcional | Cadeia de caracteres | O endereço de memória no qual o processo de atuação responsável é armazenado. |
| ActingProcessId | Obrigatório | Cadeia de caracteres | O ID do processo (PID) do processo de ação. Exemplo: 48610176 Nota: o tipo é definido como cadeia para suportar sistemas variados, mas no Windows e Linux este valor tem de ser numérico. Se estiver a utilizar um computador Windows ou Linux e tiver utilizado um tipo diferente, certifique-se de que converte os valores. Por exemplo, se utilizou um valor hexadecimal, converta-o num valor decimal. |
| ActingProcessGuid | Opcional | GUID (cadeia) | Um identificador exclusivo gerado (GUID) do processo de ação. Permite identificar o processo entre sistemas. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Opcional | Cadeia de caracteres | Cada processo tem um nível de integridade representado no respetivo token. Os níveis de integridade determinam o nível de processo de proteção ou acesso. O Windows define os seguintes níveis de integridade: baixo, médio, alto e sistema. Standard utilizadores recebem um nível de integridade médio e os utilizadores elevados recebem um nível de integridade elevado. Para obter mais informações, veja Controlo de Integridade Obrigatório – Aplicações Win32. |
| ActingProcessMD5 | Opcional | Cadeia de caracteres | O hash MD5 do ficheiro de imagem do processo de atuação. Exemplo: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Opcional | SHA1 | O hash SHA-1 do ficheiro de imagem do processo de representação. Exemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Opcional | SHA256 | O hash SHA-256 do ficheiro de imagem do processo de representação. Exemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Opcional | SHA512 | O hash SHA-512 do ficheiro de imagem do processo de atuação. |
| ActingProcessIMPHASH | Opcional | Cadeia de caracteres | O Hash de Importação de todas as DLLs da biblioteca que são utilizadas pelo processo de representação. |
| ActingProcessCreationTime | Opcional | DateTime | A data e hora em que o processo de representação foi iniciado. |
| ActingProcessTokenElevation | Opcional | Cadeia de caracteres | Um token que indica a presença ou ausência de elevação de privilégios do Controle de Acesso de Utilizador (UAC) aplicada ao processo de ação. Exemplo: None |
| ActingProcessFileSize | Opcional | Long | O tamanho do ficheiro que executou o processo de representação. |
Campos do processo principal
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ParentProcessName | Opcional | string | O nome do processo principal. Este nome é normalmente derivado da imagem ou ficheiro executável que é utilizado para definir o código inicial e os dados mapeados para o espaço de endereços virtual do processo. Exemplo: C:\Windows\explorer.exe |
| ParentProcessFileCompany | Opcional | Cadeia de caracteres | O nome da empresa que criou o ficheiro de imagem do processo principal. Exemplo: Microsoft |
| ParentProcessFileDescription | Opcional | Cadeia de caracteres | A descrição das informações da versão no ficheiro de imagem do processo principal. Exemplo: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Opcional | Cadeia de caracteres | O nome do produto das informações da versão no ficheiro de imagem do processo principal. Exemplo: Notepad++ |
| ParentProcessFileVersion | Opcional | Cadeia de caracteres | A versão do produto das informações da versão no ficheiro de imagem do processo principal. Exemplo: 7.9.5.0 |
| ParentProcessIsHidden | Opcional | Booliano | Uma indicação de se o processo principal está no modo oculto. |
| ParentProcessInjectedAddress | Opcional | Cadeia de caracteres | O endereço de memória no qual o processo principal responsável é armazenado. |
| ParentProcessId | Recomendado | Cadeia de caracteres | O ID do processo (PID) do processo principal. Exemplo: 48610176 |
| ParentProcessGuid | Opcional | Cadeia de caracteres | Um identificador exclusivo gerado (GUID) do processo principal. Permite identificar o processo entre sistemas. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Opcional | Cadeia de caracteres | Cada processo tem um nível de integridade representado no respetivo token. Os níveis de integridade determinam o nível de processo de proteção ou acesso. O Windows define os seguintes níveis de integridade: baixo, médio, alto e sistema. Standard utilizadores recebem um nível de integridade médio e os utilizadores elevados recebem um nível de integridade elevado. Para obter mais informações, veja Controlo de Integridade Obrigatório – Aplicações Win32. |
| ParentProcessMD5 | Opcional | MD5 | O hash MD5 do ficheiro de imagem do processo principal. Exemplo: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Opcional | SHA1 | O hash SHA-1 do ficheiro de imagem do processo principal. Exemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Opcional | SHA256 | O hash SHA-256 do ficheiro de imagem do processo principal. Exemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Opcional | SHA512 | O hash SHA-512 do ficheiro de imagem do processo principal. |
| ParentProcessIMPHASH | Opcional | Cadeia de caracteres | O Hash de Importação de todas as DLLs da biblioteca que são utilizadas pelo processo principal. |
| ParentProcessTokenElevation | Opcional | Cadeia de caracteres | Um token que indica a presença ou ausência de elevação de privilégios do Controle de Acesso de Utilizador (UAC) aplicada ao processo principal. Exemplo: None |
| ParentProcessCreationTime | Opcional | DateTime | A data e hora em que o processo principal foi iniciado. |
Campos de utilizador de destino
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| TargetUsername | Obrigatório para a criação de eventos de processo. | Nome de utilizador (Cadeia) | O nome de utilizador de destino, incluindo as informações de domínio quando disponíveis. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade Utilizador. Utilize o formulário simples apenas se as informações de domínio não estiverem disponíveis. Armazene o tipo nome de utilizador no campo TargetUsernameType . Se estiverem disponíveis outros formatos de nome de utilizador, armazene-os nos campos TargetUsername<UsernameType>.Exemplo: AlbertE |
| TargetUsernameType | Condicional | Enumerado | Especifica o tipo do nome de utilizador armazenado no campo TargetUsername . Para obter uma lista de valores permitidos e mais informações, veja UsernameType no artigo Descrição Geral do Esquema. Exemplo: Windows |
| TargetUserId | Recomendado | Cadeia de caracteres | Uma representação exclusiva, alfanumérica e legível por computador do utilizador de destino. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade Utilizador. Exemplo: S-1-12 |
| TargetUserIdType | Condicional | UserIdType | O tipo do ID armazenado no campo TargetUserId . Para obter uma lista de valores permitidos e mais informações, veja UserIdType no artigo Descrição Geral do Esquema. |
| TargetUserSessionId | Opcional | Cadeia de caracteres | O ID exclusivo da sessão de início de sessão do utilizador de destino. Exemplo: 999 Nota: o tipo é definido como cadeia para suportar vários sistemas, mas no Windows este valor tem de ser numérico. Se estiver a utilizar um computador Windows ou Linux e tiver utilizado um tipo diferente, certifique-se de que converte os valores. Por exemplo, se utilizou um valor hexadecimal, converta-o num valor decimal. |
| TargetUserSessionGuid | Opcional | Cadeia de caracteres | O GUID exclusivo da sessão de início de sessão do utilizador de destino, conforme comunicado pelo dispositivo de relatório. Exemplo: {12345678-1234-1234-1234-123456789012} |
| TargetUserType | Opcional | UserType | O tipo de Ator. Para obter uma lista de valores permitidos e mais informações, veja UserType no artigo Descrição Geral do Esquema. Nota: o valor pode ser fornecido no registo de origem com termos diferentes, que devem ser normalizados para estes valores. Armazene o valor original no campo TargetOriginalUserType . |
| TargetOriginalUserType | Opcional | Cadeia de caracteres | O tipo de utilizador de destino original, se for fornecido pelo dispositivo de relatório. |
| TargetUserScope | Opcional | Cadeia de caracteres | O âmbito, como Microsoft Entra inquilino, no qual TargetUserId e TargetUsername estão definidos. ou mais informações e lista de valores permitidos, veja UserScope no artigo Descrição Geral do Esquema. |
| TargetUserScopeId | Opcional | Cadeia de caracteres | O ID de âmbito, como Microsoft Entra ID do Diretório, no qual TargetUserId e TargetUsername são definidos. para obter mais informações e lista de valores permitidos, veja UserScopeId no artigo Descrição Geral do Esquema. |
Campos do processo de destino
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| TargetProcessName | Obrigatório | string | O nome do processo de destino. Este nome é normalmente derivado da imagem ou ficheiro executável que é utilizado para definir o código inicial e os dados mapeados para o espaço de endereços virtual do processo. Exemplo: C:\Windows\explorer.exe |
| TargetProcessFilename | Opcional | Cadeia de caracteres | A parte do nome de ficheiro do TargetProcessName, sem informações da pasta. Exemplo: explorer.exe |
| TargetProcessFileCompany | Opcional | Cadeia de caracteres | O nome da empresa que criou o ficheiro de imagem do processo de destino. Exemplo: Microsoft |
| TargetProcessFileDescription | Opcional | Cadeia de caracteres | A descrição das informações da versão no ficheiro de imagem do processo de destino. Exemplo: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Opcional | Cadeia de caracteres | O nome do produto das informações da versão no ficheiro de imagem do processo de destino. Exemplo: Notepad++ |
| TargetProcessFileSize | Opcional | Long | Tamanho do ficheiro que executou o processo responsável pelo evento. |
| TargetProcessFileVersion | Opcional | Cadeia de caracteres | A versão do produto das informações da versão no ficheiro de imagem do processo de destino. Exemplo: 7.9.5.0 |
| TargetProcessFileInternalName | Opcional | Cadeia de caracteres | O nome de ficheiro interno do produto a partir das informações da versão do ficheiro de imagem do processo de destino. |
| TargetProcessFileOriginalName | Opcional | Cadeia de caracteres | O nome de ficheiro original do produto a partir das informações da versão do ficheiro de imagem do processo de destino. |
| TargetProcessIsHidden | Opcional | Booliano | Uma indicação de se o processo de destino está no modo oculto. |
| TargetProcessInjectedAddress | Opcional | Cadeia de caracteres | O endereço de memória no qual o processo de destino responsável é armazenado. |
| TargetProcessMD5 | Opcional | MD5 | O hash MD5 do ficheiro de imagem do processo de destino. Exemplo: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Opcional | SHA1 | O hash SHA-1 do ficheiro de imagem do processo de destino. Exemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Opcional | SHA256 | O hash SHA-256 do ficheiro de imagem do processo de destino. Exemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Opcional | SHA512 | O hash SHA-512 do ficheiro de imagem do processo de destino. |
| TargetProcessIMPHASH | Opcional | Cadeia de caracteres | O Hash de Importação de todas as DLLs da biblioteca que são utilizadas pelo processo de destino. |
| HashType | Condicional | Enumerado | O tipo de hash armazenado no campo alias HASH, os valores permitidos são MD5, SHA, SHA256SHA512 e IMPHASH. |
| TargetProcessCommandLine | Obrigatório | Cadeia de caracteres | A linha de comandos utilizada para executar o processo de destino. Exemplo: "choco.exe" -v |
| TargetProcessCurrentDirectory | Opcional | Cadeia de caracteres | O diretório atual no qual o processo de destino é executado. Exemplo: c:\windows\system32 |
| TargetProcessCreationTime | Recomendado | DateTime | A versão do produto a partir das informações da versão do ficheiro de imagem do processo de destino. |
| TargetProcessId | Obrigatório | Cadeia de caracteres | O ID do processo (PID) do processo de destino. Exemplo: 48610176Nota: o tipo é definido como cadeia para suportar sistemas variados, mas no Windows e Linux este valor tem de ser numérico. Se estiver a utilizar um computador Windows ou Linux e tiver utilizado um tipo diferente, certifique-se de que converte os valores. Por exemplo, se utilizou um valor hexadecimal, converta-o num valor decimal. |
| TargetProcessGuid | Opcional | GUID (Cadeia) | Um identificador exclusivo gerado (GUID) do processo de destino. Permite identificar o processo entre sistemas. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Opcional | Cadeia de caracteres | Cada processo tem um nível de integridade representado no respetivo token. Os níveis de integridade determinam o nível de processo de proteção ou acesso. O Windows define os seguintes níveis de integridade: baixo, médio, alto e sistema. Standard utilizadores recebem um nível de integridade médio e os utilizadores elevados recebem um nível de integridade elevado. Para obter mais informações, veja Controlo de Integridade Obrigatório – Aplicações Win32. |
| TargetProcessTokenElevation | Opcional | Cadeia de caracteres | Tipo de token que indica a presença ou ausência de elevação de privilégios de Controle de Acesso de Utilizador (UAC) aplicada ao processo que foi criado ou terminado. Exemplo: None |
| TargetProcessStatusCode | Opcional | Cadeia de caracteres | O código de saída devolvido pelo processo de destino quando terminado. Este campo é válido apenas para eventos de terminação de processos. Para consistência, o tipo de campo é cadeia, mesmo que o valor fornecido pelo sistema operativo seja numérico. |
Campos de inspeção
Os seguintes campos são utilizados para representar essa inspeção realizada por um sistema de segurança como um sistema EDR.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| RuleName | Opcional | Cadeia de caracteres | O nome ou ID da regra associado aos resultados da inspeção. |
| RuleNumber | Opcional | Número inteiro | O número da regra associada aos resultados da inspeção. |
| Rule | Condicional | Cadeia de caracteres | O valor de kRuleName ou o valor de RuleNumber. Se o valor de RuleNumber for utilizado, o tipo deve ser convertido em cadeia. |
| ThreatId | Opcional | Cadeia de caracteres | O ID da ameaça ou software maligno identificado na atividade do ficheiro. |
| ThreatName | Opcional | Cadeia de caracteres | O nome da ameaça ou software maligno identificado na atividade do ficheiro. Exemplo: EICAR Test File |
| ThreatCategory | Opcional | Cadeia de caracteres | A categoria da ameaça ou software maligno identificado na atividade do ficheiro. Exemplo: Trojan |
| ThreatRiskLevel | Opcional | RiskLevel (Número Inteiro) | O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. Nota: o valor pode ser fornecido no registo de origem com uma escala diferente, que deve ser normalizada para esta escala. O valor original deve ser armazenado em ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Opcional | Cadeia de caracteres | O nível de risco, conforme comunicado pelo dispositivo de relatório. |
| ThreatField | Opcional | Cadeia de caracteres | O campo para o qual foi identificada uma ameaça. |
| ThreatField | Opcional | Cadeia de caracteres | O campo para o qual foi identificada uma ameaça. |
| ThreatConfidence | Opcional | ConfidenceLevel (Número Inteiro) | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatOriginalConfidence | Opcional | Cadeia de caracteres | O nível de confiança original da ameaça identificado, conforme comunicado pelo dispositivo de relatório. |
| ThreatIsActive | Opcional | Booliano | Verdadeiro se a ameaça identificada for considerada uma ameaça ativa. |
| ThreatFirstReportedTime | Opcional | datetime | A primeira vez que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatLastReportedTime | Opcional | datetime | A última vez que o endereço IP ou domínio foi identificado como uma ameaça. |
Atualizações de esquema
Estas são as alterações na versão 0.1.1 do esquema:
- Adicionado o campo
EventSchema.
Estas são as alterações na versão 0.1.2 do esquema
- Foram adicionados os campos
ActorUserType,ActorOriginalUserType,TargetUserType,TargetOriginalUserTypeeHashType.
Estas são as alterações na versão 0.1.3 do esquema
- Alterou os campos
ParentProcessIdeTargetProcessCreationTimede obrigatório para recomendado.
Estas são as alterações na versão 0.1.4 do esquema
- Foram adicionados os campos
ActorScope,DvcScopeIdeDvcScope.
Próximas etapas
Para saber mais, confira:
- Ver o Webinar do ASIM ou rever os diapositivos
- Descrição geral do Modelo de Informação de Segurança Avançada (ASIM)
- Esquemas do Modelo de Informação de Segurança Avançada (ASIM)
- Analisadores do Modelo de Informação de Segurança Avançada (ASIM)
- Conteúdo do Modelo de Informação de Segurança Avançada (ASIM)