Referência do esquema de normalização de Evento de Processo do ASIM (Modelo de Informações de Segurança Avançado) (versão prévia pública)
O esquema de normalização de eventos de processo é usado para descrever a atividade do sistema operacional de executar e encerrar um processo. Esses eventos são relatados por sistemas operacionais e por sistemas de segurança, como os sistemas de EDR (detecção e resposta de ponto de extremidade).
Um processo, conforme definido pelo OSSEM, é um objeto de independência e gerenciamento que representa uma instância em execução de um programa. Embora os próprios processos não sejam executados, eles gerenciam threads que executam o código.
Para saber mais sobre a normalização no Microsoft Sentinel, confira Normalização e o ASIM (Modelo de Informações de Segurança Avançado).
Importante
O esquema de normalização de eventos do processo está atualmente em VERSÃO PRÉVIA. Esse recurso é fornecido sem um contrato de nível de serviço e não é recomendado para cargas de trabalho de produção.
Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Analisadores
Para usar os analisadores unificadores que unificam todos os analisadores listados e garantir que você analise em todas as origens configuradas, use os seguintes nomes de tabela em suas consultas:
- imProcessCreate para consultas que exigem informações de criação de processo. Essas consultas são o caso mais comum.
- imProcessTerminate, para consultas que exigem informações de encerramento de processo.
Para obter a lista de analisadores de eventos de processo que o Microsoft Sentinel fornece prontos para uso, consulte a lista de analisadores ASIM.
Implante os analisadores de autenticação do repositório GitHub do Microsoft Sentinel.
Para saber mais, confira Visão geral de analisadores ASIM.
Adicionar seus próprios analisadores normalizados
Ao implementar analisadores de eventos de processos personalizados, nomeie suas funções de KQL com a seguinte sintaxe:imProcessCreate<vendor><Product> e imProcessTerminate<vendor><Product>. Substitua im por ASim pela versão sem parâmetros.
Adicione sua função de KQL aos analisadores unificadores, conforme descrito no Gerenciamento de analisadores do ASIM.
Filtragem de parâmetros de analisador
Os analisadores im e vim* dão suporte a im. Embora esses analisadores sejam opcionais, eles podem melhorar o desempenho da consulta.
Os seguintes parâmetros de filtragem estão disponíveis:
| Nome | Tipo | Descrição |
|---|---|---|
| starttime | DATETIME | Filtre apenas os eventos de processo ocorridos nesse horário ou após esse horário. |
| endtime | DATETIME | Filtre apenas consultas de eventos de processo que ocorreram antes ou durante esse período. |
| commandline_has_any | dinâmico | Filtrar somente eventos de processo para os quais a linha de comando executada tem qualquer um dos valores listados. O comprimento da lista é limitado a dez mil itens. |
| commandline_has_all | dinâmico | Filtrar somente eventos de processo para os quais a linha de comando executada tem todos os valores listados. O comprimento da lista é limitado a dez mil itens. |
| commandline_has_any_ip_prefix | dinâmico | Filtrar somente eventos de processo para os quais a linha de comando executada tem todos endereços IP listados ou prefixos de endereço IP. Os prefixos devem terminar com um ., por exemplo: 10.0.. O comprimento da lista é limitado a dez mil itens. |
| actingprocess_has_any | dinâmico | Filtrar somente eventos de processo para os quais o nome do processo de ação, que inclui todo o caminho do processo, tem qualquer um dos valores listados. O comprimento da lista é limitado a dez mil itens. |
| targetprocess_has_any | dinâmico | Filtrar somente eventos de processo para os quais o nome do processo de destino, que inclui todo o caminho do processo, tem qualquer um dos valores listados. O comprimento da lista é limitado a dez mil itens. |
| parentprocess_has_any | dinâmico | Filtrar somente eventos de processo para os quais o nome do processo de destino, que inclui todo o caminho do processo, tem qualquer um dos valores listados. O comprimento da lista é limitado a dez mil itens. |
| targetusername_has ou actorusername_has | string | Filtrar somente eventos de processo para os quais o nome de usuário de destino (para eventos de criação de processo) ou o nome de usuário do ator (para eventos de término de processo) tem qualquer um dos valores listados. O comprimento da lista é limitado a dez mil itens. |
| dvcipaddr_has_any_prefix | dinâmico | Filtre apenas eventos de processo para os quais o endereço IP do dispositivo corresponda a qualquer um dos endereços IP ou prefixos de endereço IP listados. Os prefixos devem terminar com um ., por exemplo: 10.0.. O comprimento da lista é limitado a dez mil itens. |
| dvchostname_has_any | dinâmico | Filtre apenas eventos de processo para os quais o nome do host do dispositivo tenha algum dos valores listados ou o FQDN do dispositivo esteja disponível. O comprimento da lista é limitado a dez mil itens. |
| eventtype | string | Filtre apenas eventos de processo do tipo especificado. |
ou, por exemplo, para filtrar apenas eventos de autenticação do último dia para um usuário específico, use:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Dica
Para passar uma lista literal para parâmetros que esperam um valor dinâmico, use explicitamente um literal dinâmico. Por exemplo: dynamic(['192.168.','10.']).
Conteúdo normalizado
Para obter uma lista completa de regras de análise que usam eventos de processo normalizados, consulte o conteúdo de segurança do processo de evento.
Detalhes do esquema
O modelo de informação de evento de processo está alinhado ao esquema de entidade de processo OSSEM.
Campos comuns do ASIM
Importante
Os campos comuns a todos os esquemas estão descritos em detalhes no artigo Campos comuns do ASIM.
Campos comuns com diretrizes específicas
A lista a seguir menciona os campos que têm diretrizes específicas para eventos da atividade de processo:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| EventType | Obrigatório | Enumerated | Descreve a operação relatada pelo registro. Para registros de Processo, os valores compatíveis incluem: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Obrigatório | String | A versão do esquema. A versão do esquema documentado aqui é a 0.1.4 |
| EventSchema | Opcional | String | O nome do esquema documentado aqui é ProcessEvent. |
| Campos Dvc | Para eventos de atividade de processo, os campos do dispositivo referem-se ao sistema no qual o processo foi executado. |
Importante
No momento, o campo EventSchema é opcional, mas ele será obrigatório a partir de 1º de setembro de 2022.
Todos os campos comuns
Os campos que aparecem na tabela abaixo são comuns a todos os esquemas do ASIM. Qualquer diretriz especificada acima substitui as diretrizes gerais do campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para saber mais sobre cada campo, confira o artigo Campos comuns do ASIM.
| Classe | Fields |
|---|---|
| Obrigatório | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendadas | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campos específicos do Evento do Processo
Os campos listados na tabela a seguir são específicos para eventos do Processo, mas são semelhantes aos campos em outros esquemas e seguem convenções de nomenclatura parecidas.
O esquema de eventos de processo faz referência às seguintes entidades, que são essenciais para as atividade de criação e encerramento do processo:
- Ator - O usuário que iniciou a criação ou encerrou o processo.
- ProcessoAtivo - O processo usado pelo Ator para iniciar a criação ou encerrar o processo.
- ProcessoAlvo – O novo processo.
- UsuárioAlvo - O usuário cujas credenciais são usadas para criar o novo processo.
- ProcessoPai - O processo que iniciou o Processo Ator.
Aliases
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Usuário | Alias | Alias de TargetUsername. Exemplo: CONTOSO\dadmin |
|
| Processo | Alias | Alias de TargetProcessName Exemplo: C:\Windows\System32\rundll32.exe |
|
| CommandLine | Alias | Alias de TargetProcessCommandLine | |
| Hash | Alias | Alias para o melhor hash disponível para o processo alvo. |
Campos de ator
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ActorUserId | Recomendadas | String | Uma representação exclusiva, alfanumérica e legível pelo computador de um Ator. Para o formato com suporte para tipos de ID diferentes, consulte a entidade do Usuário. Exemplo: S-1-12 |
| ActorUserIdType | Condicional | String | O tipo da ID armazenada no campo ActorUserId. Para obter uma lista de valores permitidos e informações adicionais, consulte UserIdType no artigo Visão geral do esquema. |
| ActorScope | Opcional | String | O escopo, como o locatário do Microsoft Entra, no qual são definidos ActorUserId e ActorUsername. Para obter mais informações e uma lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema. |
| ActorUsername | Obrigatório | String | O nome de usuário do ator, incluindo informações de domínio, quando disponíveis. Para o formato com suporte para tipos de ID diferentes, consulte a entidade do Usuário. Use o formulário simples somente quando as informações de domínio não estiverem disponíveis. Armazene o tipo de nome de usuário no campo ActorUsernameType. Se outros formatos de nome de usuário estiverem disponíveis, armazene-os nos campos ActorUsername<UsernameType>.Exemplo: AlbertE |
| ActorUsernameType | Condicional | Enumerated | Especifica o tipo de nome de usuário armazenado no campo ActorUsername. Para obter uma lista de valores permitidos e informações adicionais, consulte UsernameType no artigo Visão geral do esquema. Exemplo: Windows |
| ActorSessionId | Opcional | Cadeia de caracteres | A ID exclusiva da sessão de logon de Actor. Exemplo: 999Observação: o tipo é definido como uma cadeia de caracteres para ser compatível com sistemas variados, mas no Windows esse valor deve ser numérico. Se você estiver usando um computador Windows e tiver usado um tipo diferente, converta os valores. Por exemplo, se você tiver usado um valor hexadecimal, converta-o em um valor decimal. |
| ActorUserType | Opcional | UserType | O tipo do Ator. Para obter uma lista de valores permitidos e informações adicionais, consulte UserType no artigo Visão geral do esquema. Observação: O valor pode ser fornecido no registro de origem usando diferentes termos, que devem ser normalizados para esses valores. Armazene o valor original no campo ActorOriginalUserType. |
| ActorOriginalUserType | Opcional | String | O tipo de usuário de destino original, se fornecido pelo dispositivo de relatório. |
Campos de processo de atuação
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ActingProcessCommandLine | Opcional | Cadeia de caracteres | A linha de comando usada para executar o processo de ação. Exemplo: "choco.exe" -v |
| ActingProcessName | Opcional | string | O nome do processo de ação. Esse nome é normalmente derivado do arquivo executável ou de imagem usado para definir o código inicial e os dados mapeados no espaço de endereço virtual do processo. Exemplo: C:\Windows\explorer.exe |
| ActingProcessFileCompany | Opcional | Cadeia de caracteres | A empresa que criou o arquivo de imagem do processo de ação. Exemplo: Microsoft |
| ActingProcessFileDescription | Opcional | Cadeia de caracteres | A descrição inserida nas informações de versão do arquivo de imagem do processo em ação. Exemplo: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Opcional | Cadeia de caracteres | O nome do produto das informações de versão no arquivo de imagem do processo em ação. Exemplo: Notepad++ |
| ActingProcessFileVersion | Opcional | Cadeia de caracteres | A versão do produto das informações de versão do arquivo de imagem do processo em ação. Exemplo: 7.9.5.0 |
| ActingProcessFileInternalName | Opcional | Cadeia de caracteres | O nome do arquivo interno do produto das informações de versão do arquivo de imagem do processo em ação. |
| ActingProcessFileOriginalName | Opcional | Cadeia de caracteres | O nome do arquivo original do produto das informações de versão do arquivo de imagem do processo em ação. Exemplo: Notepad++.exe |
| ActingProcessIsHidden | Opcional | Boolean | Indica se o processo de ação está no modo oculto. |
| ActingProcessInjectedAddress | Opcional | Cadeia de caracteres | O endereço de memória no qual o processo de ação responsável é armazenado. |
| ActingProcessId | Obrigatório | String | O PID (ID do processo) do processo de ação. Exemplo: 48610176 Observação: o tipo é definido como uma cadeia de caracteres para ser compatível com sistemas variados, mas no Windows e no Linux esse valor deve ser numérico. Se você estiver usando um computador Windows ou Linux e tiver usado um tipo diferente, converta os valores. Por exemplo, se você tiver usado um valor hexadecimal, converta-o em um valor decimal. |
| ActingProcessGuid | Opcional | string | Um GUID (identificador exclusivo) gerado do processo de ação. Permite identificar o processo entre sistemas. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Opcional | Cadeia de caracteres | Cada processo tem um nível de integridade representado em seu token. Os níveis de integridade determinam o nível de proteção ou acesso do processo. O Windows define os seguintes níveis de integridade: baixo, médio, alto e sistema. Os usuários padrão recebem um nível de integridade médio e os usuários elevados recebem um nível de integridade alto. Para saber mais, confira Controle de Integridade de Credenciais – Aplicativos Win32. |
| ActingProcessMD5 | Opcional | Cadeia de caracteres | O hash MD5 do arquivo de imagem do processo em ação. Exemplo: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Opcional | SHA1 | O hash SHA-1 do arquivo de imagem do processo em ação. Exemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Opcional | SHA256 | O hash SHA-256 do arquivo de imagem do processo em ação. Exemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Opcional | SHA521 | O hash SHA-512 do arquivo de imagem do processo em ação. |
| ActingProcessIMPHASH | Opcional | Cadeia de caracteres | O Hash de Importação de todas as DLLs de biblioteca que são usadas pelo processo de ação. |
| ActingProcessCreationTime | Opcional | Datetime | A data e a hora em que o processo de ação foi iniciado. |
| ActingProcessTokenElevation | Opcional | Cadeia de caracteres | Um token que indica a presença ou ausência da elevação de privilégio do UAC (Controle de Acesso do Usuário) aplicada ao processo em ação. Exemplo: None |
| ActingProcessFileSize | Opcional | long | O tamanho do arquivo que executou o processo de ação. |
Campos do processo pai
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ParentProcessName | Opcional | string | O nome do processo pai. Esse nome é normalmente derivado do arquivo executável ou de imagem usado para definir o código inicial e os dados mapeados no espaço de endereço virtual do processo. Exemplo: C:\Windows\explorer.exe |
| ParentProcessFileCompany | Opcional | Cadeia de caracteres | O nome da empresa que criou o arquivo de imagem do processo pai. Exemplo: Microsoft |
| ParentProcessFileDescription | Opcional | Cadeia de caracteres | A descrição das informações de versão no arquivo de imagem do processo pai. Exemplo: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Opcional | Cadeia de caracteres | O nome do produto das informações de versão no arquivo de imagem do processo de ação. Exemplo: Notepad++ |
| ParentProcessFileVersion | Opcional | Cadeia de caracteres | A versão do produto das informações de versão do arquivo de imagem do processo de ação. Exemplo: 7.9.5.0 |
| ParentProcessIsHidden | Opcional | Boolean | Indica se o processo pai está no modo oculto. |
| ParentProcessInjectedAddress | Opcional | Cadeia de caracteres | O endereço de memória no qual o processo pai responsável é armazenado. |
| ParentProcessId | Recomendadas | String | O PID (ID do processo) do processo pai. Exemplo: 48610176 |
| ParentProcessGuid | Opcional | Cadeia de caracteres | Um GUID (identificador exclusivo) gerado do processo pai. Permite identificar o processo entre sistemas. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Opcional | Cadeia de caracteres | Cada processo tem um nível de integridade representado em seu token. Os níveis de integridade determinam o nível de proteção ou acesso do processo. O Windows define os seguintes níveis de integridade: baixo, médio, alto e sistema. Os usuários padrão recebem um nível de integridade médio e os usuários elevados recebem um nível de integridade alto. Para saber mais, confira Controle de Integridade de Credenciais – Aplicativos Win32. |
| ParentProcessMD5 | Opcional | MD5 | O hash MD5 do arquivo de imagem do processo pai. Exemplo: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Opcional | SHA1 | O hash SHA-1 do arquivo de imagem do processo pai. Exemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Opcional | SHA256 | O hash SHA-256 do arquivo de imagem do processo pai. Exemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Opcional | SHA512 | O hash SHA-512 do arquivo de imagem do processo pai. |
| ParentProcessIMPHASH | Opcional | Cadeia de caracteres | O Hash de Importação de todas as DLLs de biblioteca que são usadas pelo processo pai. |
| ParentProcessTokenElevation | Opcional | Cadeia de caracteres | Um token que indica a presença ou ausência da elevação de privilégio do UAC (Controle de Acesso do Usuário) aplicada ao processo pai. Exemplo: None |
| ParentProcessCreationTime | Opcional | Datetime | A data e a hora em que o processo pai foi iniciado. |
Campos de usuário de destino
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| TargetUsername | Obrigatório para processar eventos de criação. | String | O nome de usuário de destino, incluindo informações de domínio, quando disponíveis. Para o formato com suporte para tipos de ID diferentes, consulte a entidade do Usuário. Use o formulário simples somente quando as informações de domínio não estiverem disponíveis. Armazene o tipo de nome de usuário no campo TargetUsernameType. Se outros formatos de nome de usuário estiverem disponíveis, armazene-os nos campos TargetUsername<UsernameType>.Exemplo: AlbertE |
| TargetUsernameType | Condicional | Enumerated | Especifica o tipo de nome de usuário armazenado no campo TargetUsername. Para obter uma lista de valores permitidos e informações adicionais, consulte UsernameType no artigo Visão geral do esquema. Exemplo: Windows |
| TargetUserId | Recomendadas | String | Uma representação exclusiva, alfanumérica e legível pelo computador do usuário de destino. Para o formato com suporte para tipos de ID diferentes, consulte a entidade do Usuário. Exemplo: S-1-12 |
| TargetUserIdType | Condicional | String | O tipo da ID armazenada no campo TargetUserId. Para obter uma lista de valores permitidos e informações adicionais, consulte UserIdType no artigo Visão geral do esquema. |
| TargetUserSessionId | Opcional | Cadeia de caracteres | A ID exclusiva da sessão de logon do usuário de destino. Exemplo: 999 Observação: o tipo é definido como uma cadeia de caracteres para ser compatível com sistemas variados, mas no Windows esse valor deve ser numérico. Se você estiver usando um computador Windows ou Linux e tiver usado um tipo diferente, converta os valores. Por exemplo, se você tiver usado um valor hexadecimal, converta-o em um valor decimal. |
| TargetUserType | Opcional | UserType | O tipo do Ator. Para obter uma lista de valores permitidos e informações adicionais, consulte UserType no artigo Visão geral do esquema. Observação: O valor pode ser fornecido no registro de origem usando diferentes termos, que devem ser normalizados para esses valores. Armazene o valor original no campo TargetOriginalUserType. |
| TargetOriginalUserType | Opcional | String | O tipo de usuário de destino original, se fornecido pelo dispositivo de relatório. |
Campos do processo de destino
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| TargetProcessName | Obrigatório | string | O nome do processo de destino. Esse nome é normalmente derivado do arquivo executável ou de imagem usado para definir o código inicial e os dados mapeados no espaço de endereço virtual do processo. Exemplo: C:\Windows\explorer.exe |
| TargetProcessFileCompany | Opcional | Cadeia de caracteres | O nome da empresa que criou o arquivo de imagem do processo de destino. Exemplo: Microsoft |
| TargetProcessFileDescription | Opcional | Cadeia de caracteres | A descrição das informações de versão no arquivo de imagem do processo de destino. Exemplo: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Opcional | Cadeia de caracteres | O nome do produto das informações de versão no arquivo de imagem do processo de destino. Exemplo: Notepad++ |
| TargetProcessFileSize | Opcional | Cadeia de caracteres | Tamanho do arquivo que executou o processo responsável pelo evento. |
| TargetProcessFileVersion | Opcional | Cadeia de caracteres | A versão do produto das informações de versão do arquivo de imagem do processo de destino. Exemplo: 7.9.5.0 |
| TargetProcessFileInternalName | Opcional | Cadeia de caracteres | O nome do arquivo interno do produto das informações de versão do arquivo de imagem do processo de destino. |
| TargetProcessFileOriginalName | Opcional | Cadeia de caracteres | O nome do arquivo original do produto das informações de versão do arquivo de imagem do processo de destino. |
| TargetProcessIsHidden | Opcional | Boolean | Indica se o processo de destino está no modo oculto. |
| TargetProcessInjectedAddress | Opcional | Cadeia de caracteres | O endereço de memória no qual o processo de destino responsável é armazenado. |
| TargetProcessMD5 | Opcional | MD5 | O hash MD5 do arquivo de imagem do processo de destino. Exemplo: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Opcional | SHA1 | O hash SHA-1 do arquivo de imagem do processo de destino. Exemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Opcional | SHA256 | O hash SHA-256 do arquivo de imagem do processo de destino. Exemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Opcional | SHA512 | O hash SHA-512 do arquivo de imagem do processo de destino. |
| TargetProcessIMPHASH | Opcional | Cadeia de caracteres | O Hash de Importação de todas as DLLs de biblioteca que são usadas pelo processo de destino. |
| HashType | Recomendadas | String | O tipo de hash armazenado no campo de alias HASH, os valores permitidos são MD5, SHA, SHA256, SHA512 e IMPHASH. |
| TargetProcessCommandLine | Obrigatório | String | A linha de comando usada para executar o processo de destino. Exemplo: "choco.exe" -v |
| TargetProcessCurrentDirectory | Opcional | Cadeia de caracteres | O diretório atual no qual o processo de destino é executado. Exemplo: c:\windows\system32 |
| TargetProcessCreationTime | Recomendadas | Datetime | A versão do produto das informações de versão do arquivo de imagem do processo de destino. |
| TargetProcessId | Obrigatório | String | O PID (ID do processo) do processo de destino. Exemplo: 48610176Observação: o tipo é definido como uma cadeia de caracteres para ser compatível com sistemas variados, mas no Windows e no Linux esse valor deve ser numérico. Se você estiver usando um computador Windows ou Linux e tiver usado um tipo diferente, converta os valores. Por exemplo, se você tiver usado um valor hexadecimal, converta-o em um valor decimal. |
| TargetProcessGuid | Opcional | Cadeia de caracteres | Um GUID (identificador exclusivo) gerado do processo de destino. Permite identificar o processo entre sistemas. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Opcional | Cadeia de caracteres | Cada processo tem um nível de integridade representado em seu token. Os níveis de integridade determinam o nível de proteção ou acesso do processo. O Windows define os seguintes níveis de integridade: baixo, médio, alto e sistema. Os usuários padrão recebem um nível de integridade médio e os usuários elevados recebem um nível de integridade alto. Para saber mais, confira Controle de Integridade de Credenciais – Aplicativos Win32. |
| TargetProcessTokenElevation | Opcional | Cadeia de caracteres | Tipo de token que indica a presença ou ausência da elevação de privilégio do UAC (Controle de Acesso do Usuário) aplicada ao processo que foi criado ou encerrado. Exemplo: None |
| TargetProcessStatusCode | Opcional | String | O código de saída retornado pelo processo de destino quando encerrado. Esse campo é válido apenas para eventos de encerramento de processo. Para consistência, o tipo de campo é uma cadeia de caracteres, mesmo que o valor fornecido pelo sistema operacional seja numérico. |
Atualizações de esquema
Essas são as alterações na versão 0.1.1 do esquema:
- Adicionou o campo
EventSchema.
Estas são as mudanças na versão 0.1.2 do esquema
- Adicionados os campos
ActorUserType,ActorOriginalUserType,TargetUserType,TargetOriginalUserTypeeHashType.
Estas são as mudanças na versão 0.1.3 do esquema
- Alterou os campos
ParentProcessIdeTargetProcessCreationTimede obrigatório para recomendado.
Estas são as mudanças na versão 0.1.4 do esquema
- Adicionados os campos
ActorScope,DvcScopeIdeDvcScope.
Próximas etapas
Para obter mais informações, consulte:
- Assista ao Webinar do ASIM ou examine os slides
- Visão geral do ASIM (Modelo de Informações de Segurança Avançado)
- Esquemas do ASIM (Modelo de Informações de Segurança Avançado)
- Analisadores do ASIM (Modelo de Informações de Segurança Avançado)
- Conteúdo do ASIM (Modelo de Informações de Segurança Avançado)