Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Схема нормализации событий процесса используется для описания действий операционной системы при запуске и завершении процесса. Такие события регистрируются операционными системами, а также системами безопасности, такими как системы EDR (обнаружение и конечных точек и реагирование).
Процесс, определяемый с помощью ОССЕМ, является объектом автономности и управления и представляет собой выполняющийся экземпляр программы. Хотя сами процессы не выполняются, они управляют потоками, выполняющими код.
Дополнительные сведения о нормализации в Microsoft Sentinel см. в статье Нормализация и расширенная информационная модель безопасности (ASIM).
Средства синтаксического анализа
Чтобы использовать унифицированные средства синтаксического анализа, которые объединяют все перечисленные средства и гарантируют проведение вами анализа по всем настроенным источникам, укажите в запросе следующие имена таблиц.
- imProcessCreate для запросов, требующих сведений о создании процесса. Эти запросы — наиболее распространенные случаи.
- imProcessTerminate для запросов, требующих сведений о завершении процесса.
Список стандартных средств синтаксического анализа событий процесса Microsoft Sentinel см. в списке средств синтаксического анализа ASIM.
Средства синтаксического анализа проверки подлинности развертываются из раздела о Microsoft Sentinel репозитория GitHub.
Дополнительные сведения см. на странице Средства синтаксического анализа расширенной информационной модели безопасности (ASIM) (общедоступная предварительная версия).
Добавление собственных нормализованных средств синтаксического анализа
При реализации пользовательских средств синтаксического анализа событий процесса при указании имен функций KQL придерживайтесь следующего синтаксиса: imProcessCreate<vendor><Product> и imProcessTerminate<vendor><Product>. Для версии без параметров замените im на ASim.
Добавьте функцию KQL в объединяющие средства синтаксического анализа, как описано в разделе Управление средствами синтаксического анализа ASIM.
Параметры фильтрации средств синтаксического анализа
Средства синтаксического анализа im и vim* поддерживают параметры фильтрации. Хотя эти средства синтаксического анализа являются необязательными, они могут повысить производительность запросов.
Доступны следующие параметры фильтрации:
| Имя. | Тип | Описание |
|---|---|---|
| starttime | datetime | Фильтровать только события процесса, которые возникли в указанное время или позже. Этот параметр фильтрует TimeGenerated поле, являющееся стандартным конструктором во время события, независимо от сопоставления конкретных анализаторов полей EventStartTime и EventEndTime. |
| endtime | datetime | Фильтровать только запросы событий процесса, которые возникли в указанное время или раньше. Этот параметр фильтрует TimeGenerated поле, являющееся стандартным конструктором во время события, независимо от сопоставления конкретных анализаторов полей EventStartTime и EventEndTime. |
| commandline_has_any | по строкам | Фильтровать только события процесса, для которых выполняемая команда содержит любое из указанных значений. Длина списка ограничена 10 000 элементов. |
| commandline_has_all | по строкам | Фильтруйте только события, для которых выполняемая командная строка содержит все указанные значения. Длина списка ограничена 10 000 элементов. |
| commandline_has_any_ip_prefix | по строкам | Фильтровать только события процесса, для которых выполняемая команда содержит все указанные IP-адреса или префиксы IP-адресов. Префиксы должны заканчиваться на ., например: 10.0.. Длина списка ограничена 10 000 элементов. |
| actingprocess_has_any | по строкам | Фильтровать только события процесса, для которых имя действующего процесса, включающее весь путь к нему, содержит любое из указанных значений. Длина списка ограничена 10 000 элементов. |
| targetprocess_has_any | по строкам | Фильтровать только события процесса, для которых имя целевого процесса, включающее весь путь к нему, содержит любое из указанных значений. Длина списка ограничена 10 000 элементов. |
| parentprocess_has_any | по строкам | Фильтровать только события процесса, для которых имя целевого процесса, включающее весь путь к нему, содержит любое из указанных значений. Длина списка ограничена 10 000 элементов. |
| targetusername_has или actorusername_has | строка | Фильтровать только события процесса, для которых целевое имя пользователя (для событий создания процесса) или имя пользователя субъекта (для событий завершения процесса) содержит любое из указанных значений. Длина списка ограничена 10 000 элементов. |
| dvcipaddr_has_any_prefix | по строкам | Фильтровать только события процесса, для которых IP-адрес устройства содержит любой из указанных IP-адресов или префиксов IP-адресов. Префиксы должны заканчиваться на ., например: 10.0.. Длина списка ограничена 10 000 элементов. |
| dvchostname_has_any | по строкам | Фильтровать только события процесса, для которых имя узла устройства или полное доменное имя устройства (если есть) содержит любое из указанных значений. Длина списка ограничена 10 000 элементов. |
| eventtype | строка | Фильтровать только события процесса указанного типа. |
Например, чтобы отфильтровать только события проверки подлинности за последний день для определенного пользователя, укажите:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Совет
Чтобы передать список литералов в параметры, которые предполагают динамическое значение, явно используйте динамический литерал. Например: dynamic(['192.168.','10.']).
Нормализованное содержимое
Полный список правил аналитики, использующих нормализованные события процесса, см. в разделе Содержимое безопасности для событий процесса.
Сведения о схеме
Информационная модель событий процесса соответствует схеме сущностей процесса OSSEM.
Общие поля ASIM
Внимание
Поля, общие для всех схем, подробно описаны в статье Общие поля ASIM.
Общие поля с конкретными рекомендациями
В следующем списке упоминаются поля, имеющие определенные рекомендации по обработке событий действий.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| EventType | Обязательно | Enumerated | Описывает операцию, о которой сообщает эта запись. Для записей процесса поддерживаются следующие значения: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Обязательно | SchemaVersion (String) | Номер версии схемы. Здесь приведена версия схемы 0.1.4 |
| EventSchema | Обязательно | Строка | Имя описанной здесь схемы — ProcessEvent. |
| Поля Dvc | Для событий действий процесса предусмотрены поля устройств, которые обозначают систему, в которой выполнялся процесс. |
Внимание
Поле EventSchema в настоящее время необязательно, но станет обязательным с 1 сентября 2022 г.
Все общие поля
Поля, представленные в таблице ниже, являются общими для всех схем ASIM. Все указанные выше рекомендации переопределяют общие рекомендации для поля. Например, поле может быть необязательным в целом, но обязательным для конкретной схемы. Дополнительные сведения о каждом поле см. в статье Общие поля ASIM.
Обработка полей, связанных с событием
В этой таблице перечислены события, использующиеся только для событий процесса, но имеющие сходство с полями других схем и использующие сходные соглашения об именовании.
Схема события процесса ссылается на следующие сущности, которые являются центральными для действия создания и прекращения процессов.
- Actor (субъект) — пользователь, который инициировал создание или завершение процесса.
- ActingProcess — процесс, используемый субъектом для инициации создания или завершения процесса.
- TargetProcess — новый процесс.
- TargetUser — пользователь, учетные данные которого используются для создания нового процесса.
- ParentProcess — процесс, который инициировал процесс субъекта.
Aliases
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Пользователь | Псевдоним | Псевдоним для TargetUsername. Пример: CONTOSO\dadmin |
|
| Обработать | Псевдоним | Псевдоним для TargetProcessName Пример: C:\Windows\System32\rundll32.exe |
|
| CommandLine | Псевдоним | Псевдоним для TargetProcessCommandLine | |
| Hash | Псевдоним | Псевдоним наилучшего доступного хэша для целевого процесса. |
Поля Actor
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| ActorUserId | Рекомендуемая конфигурация | Строка | Считываемое компьютером буквенно-цифровое значение, уникальным образом представляющее Actor. Поддерживаемые форматы для различных типов идентификаторов см. в разделе Сущность пользователя. Пример: S-1-12 |
| ActorUserIdType | Условный | Enumerated | Тип идентификатора, который хранится в поле ActorUserId. Список допустимых значений и дополнительные сведения см. в разделе UserIdType в Статье обзора схемы. |
| ActorScope | Необязательно | Строка | Область, например клиент Microsoft Entra, в которой определены ActorUserId и ActorUsername . или дополнительные сведения и список разрешенных значений см. в разделе UserScope в статье "Обзор схемы". |
| ActorScopeId | Необязательно | Строка | Идентификатор области, например идентификатор каталога Microsoft Entra, в котором определены ActorUserId и ActorUsername . или дополнительные сведения и список разрешенных значений см. в разделе UserScopeId в статье "Обзор схемы". |
| Имя пользователя актёра | Обязательно | Имя пользователя (строка) | Имя пользователя субъекта, включая сведения о домене, если они доступны. Поддерживаемые форматы для различных типов идентификаторов см. в разделе Сущность пользователя. Используйте простую форму, только если сведения о домене недоступны. Храните тип имени пользователя в поле ActorUsernameType. Если доступны другие форматы имени пользователя, сохраните их в полях ActorUsername<UsernameType>.Пример: AlbertE |
| ActorUsernameType | Условный | Enumerated | Определяет тип имени пользователя, которое хранится в поле ActorUsername. Список допустимых значений и дополнительные сведения см. в разделе UsernameType в Статье обзора схемы. Пример: Windows |
| ActorSessionId | Необязательно | Строка | Уникальный идентификатор сеанса входа субъекта. Пример: 999Примечание. Тип определяется как строка для поддержки различных систем, но в Windows это значение должно быть числовым. Если вы используете компьютеры с Windows и используете другой тип, обязательно преобразуйте эти значения. Например, если вы использовали шестнадцатеричное значение, преобразуйте его в десятичное. |
| ActorUserType | Необязательно | UserType | Тип субъекта Actor. Список допустимых значений и дополнительные сведения см. в разделе UserType в Статье обзора схемы. Примечание. Значение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы до этих значений. Храните исходное значение в поле ActorOriginalUserType. |
| ActorOriginalUserType | Необязательно | Строка | Исходный тип пользователя назначения, если он указан передающим устройством. |
Поля действующего процесса
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| ActingProcessCommandLine | Необязательно | Строка | Командная строка, используемая для запуска действующего процесса. Пример: "choco.exe" -v |
| ActingProcessName | Необязательно | строка | Имя действующего процесса. Это имя, как правило, является производным от файла образа или исполняемого файла, который используется для определения исходного кода и данных, сопоставленных с виртуальным адресным пространством процесса. Пример: C:\Windows\explorer.exe |
| ActingProcessFilename | Необязательно | Строка | Часть имени файла без ActingProcessNameинформации о папке. Пример: explorer.exe |
| ActingProcessFileCompany | Необязательно | Строка | Компания, создавшая файл образа действующего процесса. Пример: Microsoft |
| ActingProcessFileDescription | Необязательно | Строка | Описание, внедренное в сведения о версии файла образа действующего процесса. Пример: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Необязательно | Строка | Имя продукта, полученное из сведений о версии в файле образа действующего процесса. Пример: Notepad++ |
| ActingProcessFileVersion | Необязательно | Строка | Версия продукта, полученная из сведений о версии файла образа действующего процесса. Пример: 7.9.5.0 |
| ActingProcessFileInternalName | Необязательно | Строка | Внутреннее имя файла продукта, полученное из сведений о версии файла образа действующего процесса. |
| ActingProcessFileOriginalName | Необязательно | Строка | Исходное имя файла продукта, полученное из сведений о версии файла образа действующего процесса. Пример: Notepad++.exe |
| ActingProcessIsHidden | Необязательно | Логический | Указывает, скрыт ли действующий процесс. |
| ActingProcessInjectedAddress | Необязательно | Строка | Адрес памяти, в котором хранится ответственный действующий процесс. |
| ActingProcessId | Обязательно | Строка | Идентификатор (PID) действующего процесса. Пример: 48610176 Примечание. Тип определяется как строка для поддержки различных систем, но в Windows и Linux это значение должно быть числовым. Если вы используете компьютер с Windows или Linux и применяете другой тип, обязательно преобразуйте эти значения. Например, если вы использовали шестнадцатеричное значение, преобразуйте его в десятичное. |
| ActingProcessGuid | Необязательно | GUID (струна) | Созданный уникальный идентификатор (GUID) действующего процесса. Позволяет идентифицировать процесс в системах. Пример: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Необязательно | Строка | Каждый процесс имеет уровень целостности, представленный в его токене. Уровни целостности определяют уровень процесса защиты или доступа. В Windows определяются следующие уровни целостности: низкий, средний, высокий и системный. Обычные пользователи получают средний уровень целостности, а привилегированные пользователи — высокий уровень целостности. Дополнительные сведения см. в разделе Обязательный контроль целостности — приложения Win32. |
| ActingProcessMD5 | Необязательно | Строка | Хэш MD5 файла образа действующего процесса. Пример: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Необязательно | SHA1 | Хэш SHA-1 файла образа действующего процесса. Пример: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Необязательно | SHA256 | Хэш SHA-256 файла образа действующего процесса. Пример: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Необязательно | SHA512 | Хэш SHA-512 файла образа действующего процесса. |
| ActingProcessIMPHASH | Необязательно | Строка | Хэш импорта всех библиотек DLL, используемых действующим процессом. |
| ActingProcessCreationTime | Необязательно | Дата/время | Дата и время запуска действующего процесса. |
| ActingProcessTokenElevation | Необязательно | Строка | Токен, указывающий на наличие или отсутствие повышения привилегий контроля доступа пользователей (UAC), применяемого к действующему процессу. Пример: None |
| ActingProcessFileSize | Необязательно | Long | Размер файла, запустившего действующий процесс. |
Поля родительского процесса
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| ParentProcessName | Необязательно | строка | Имя родительского окна. Это имя, как правило, является производным от файла образа или исполняемого файла, который используется для определения исходного кода и данных, сопоставленных с виртуальным адресным пространством процесса. Пример: C:\Windows\explorer.exe |
| ParentProcessFileCompany | Необязательно | Строка | Имя компании, создавшей файл образа родительского процесса. Пример: Microsoft |
| ParentProcessFileDescription | Необязательно | Строка | Описание, полученное из сведений о версии в файле образа родительского процесса. Пример: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Необязательно | Строка | Имя продукта, полученное из сведений о версии в файле образа действующего процесса. Пример: Notepad++ |
| ParentProcessFileVersion | Необязательно | Строка | Версия продукта, полученная из сведений о версии в файле образа действующего процесса. Пример: 7.9.5.0 |
| ParentProcessIsHidden | Необязательно | Логический | Указывает, скрыт ли родительский процесс. |
| ParentProcessInjectedAddress | Необязательно | Строка | Адрес памяти, в котором хранится ответственный родительский процесс. |
| ParentProcessId | Рекомендуемая конфигурация | Строка | Идентификатор (PID) родительского процесса. Пример: 48610176 |
| ParentProcessGuid | Необязательно | Строка | Созданный уникальный идентификатор (GUID) действующего процесса. Позволяет идентифицировать процесс в системах. Пример: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Необязательно | Строка | Каждый процесс имеет уровень целостности, представленный в его токене. Уровни целостности определяют уровень процесса защиты или доступа. В Windows определяются следующие уровни целостности: низкий, средний, высокий и системный. Обычные пользователи получают средний уровень целостности, а привилегированные пользователи — высокий уровень целостности. Дополнительные сведения см. в разделе Обязательный контроль целостности — приложения Win32. |
| ParentProcessMD5 | Необязательно | MD5 | Хэш MD5 файла образа родительского процесса. Пример: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Необязательно | SHA1 | Хэш SHA-1 файла образа родительского процесса. Пример: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Необязательно | SHA256 | Хэш SHA-256 файла образа родительского процесса. Пример: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Необязательно | SHA512 | Хэш SHA-512 файла образа родительского процесса. |
| ParentProcessIMPHASH | Необязательно | Строка | Хэш импорта всех библиотек DLL, используемых родительским процессом. |
| ParentProcessTokenElevation | Необязательно | Строка | Токен, указывающий на наличие или отсутствие повышения привилегий контроля доступа пользователей (UAC), применяемого к родительскому процессу. Пример: None |
| ParentProcessCreationTime | Необязательно | Дата/время | Дата и время запуска родительского процесса. |
Поля целевого пользователя
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Имя пользователя TargetUsername | Обязательно для событий создания процесса. | Имя пользователя (строка) | Имя целевого пользователя, включая сведения о домене, если они доступны. Поддерживаемые форматы для различных типов идентификаторов см. в разделе Сущность пользователя. Используйте простую форму, только если сведения о домене недоступны. Храните тип имени пользователя в поле TargetUsernameType. Если доступны другие форматы имени пользователя, сохраните их в полях TargetUsername<UsernameType>.Пример: AlbertE |
| TargetUsernameType | Условный | Enumerated | Указывает тип имени пользователя, хранимого в поле TargetUsername. Список допустимых значений и дополнительные сведения см. в разделе UsernameType в Статье обзора схемы. Пример: Windows |
| TargetUserId | Рекомендуемая конфигурация | Строка | Считываемое компьютером буквенно-цифровое значение, уникальным образом представляющее целевого пользователя. Поддерживаемые форматы для различных типов идентификаторов см. в разделе Сущность пользователя. Пример: S-1-12 |
| TargetUserIdType | Условный | UserIdType | Тип идентификатора, хранимый в поле TargetUserId. Список допустимых значений и дополнительные сведения см. в разделе UserIdType в Статье обзора схемы. |
| TargetUserSessionId | Необязательно | Строка | Уникальный идентификатор сеанса входа целевого пользователя. Пример: 999 Примечание. Тип определяется как строка для поддержки различных систем, но в Windows это значение должно быть числовым. Если вы используете компьютер с Windows или Linux и применяете другой тип, обязательно преобразуйте эти значения. Например, если вы использовали шестнадцатеричное значение, преобразуйте его в десятичное. |
| TargetUserSessionGuid | Необязательно | Строка | Уникальный GUID сессии входа целевой пользователи, сообщаемый устройством отчётов. Пример: {12345678-1234-1234-1234-123456789012} |
| TargetUserType | Необязательно | UserType | Тип субъекта Actor. Список допустимых значений и дополнительные сведения см. в разделе UserType в Статье обзора схемы. Примечание. Значение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы до этих значений. Храните исходное значение в поле TargetOriginalUserType. |
| TargetOriginalUserType | Необязательно | Строка | Исходный тип пользователя назначения, если он указан передающим устройством. |
| TargetUserScope | Необязательно | Строка | Область, например клиент Microsoft Entra, в которой определены TargetUserId и TargetUsername . или дополнительные сведения и список разрешенных значений см. в разделе UserScope в статье "Обзор схемы". |
| TargetUserScopeId | Необязательно | Строка | Идентификатор области, например идентификатор каталога Microsoft Entra, в котором определены TargetUserId и TargetUsername . Дополнительные сведения и список разрешенных значений см. в разделе UserScopeId в статье "Обзор схемы". |
Поля целевого процесса
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| TargetProcessName | Обязательно | строка | Имя целевого процесса. Это имя, как правило, является производным от файла образа или исполняемого файла, который используется для определения исходного кода и данных, сопоставленных с виртуальным адресным пространством процесса. Пример: C:\Windows\explorer.exe |
| TargetProcessFilename | Необязательно | Строка | Часть имени файла без TargetProcessNameинформации о папке. Пример: explorer.exe |
| TargetProcessFileCompany | Необязательно | Строка | Имя компании, создавшей файл образа целевого процесса. Пример: Microsoft |
| TargetProcessFileDescription | Необязательно | Строка | Описание, полученное из сведений о версии в файле образа целевого процесса. Пример: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Необязательно | Строка | Имя продукта, полученное из сведений о версии в файле образа целевого процесса. Пример: Notepad++ |
| TargetProcessFileSize | Необязательно | Long | Размер файла, запустившего процесс, ответственный за событие. |
| TargetProcessFileVersion | Необязательно | Строка | Версия продукта, полученная из сведений о версии в файле образа целевого процесса. Пример: 7.9.5.0 |
| TargetProcessFileInternalName | Необязательно | Строка | Внутреннее имя файла продукта, полученное из сведений о версии файла образа целевого процесса. |
| TargetProcessFileOriginalName | Необязательно | Строка | Исходное имя файла продукта, полученное из сведений о версии файла образа целевого процесса. |
| TargetProcessIsHidden | Необязательно | Логический | Указывает, скрыт ли целевой процесс. |
| TargetProcessInjectedAddress | Необязательно | Строка | Адрес памяти, в котором хранится ответственный целевой процесс. |
| TargetProcessMD5 | Необязательно | MD5 | Хэш MD5 файла образа целевого процесса. Пример: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Необязательно | SHA1 | Хэш SHA-1 файла образа целевого процесса. Пример: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Необязательно | SHA256 | Хэш SHA-256 файла образа целевого процесса. Пример: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Необязательно | SHA512 | Хэш SHA-512 файла образа целевого процесса. |
| TargetProcessIMPHASH | Необязательно | Строка | Хэш импорта всех библиотек DLL, используемых целевым процессом. |
| HashType | Условный | Enumerated | Тип хэша, хранящегося в поле псевдонима HASH. Допустимые значения: MD5, SHA, SHA256, SHA512 и IMPHASH. |
| TargetProcessCommandLine | Обязательно | Строка | Командная строка, используемая для запуска целевого процесса. Пример: "choco.exe" -v |
| TargetProcessCurrentDirectory | Необязательно | Строка | Текущий каталог, в котором выполняется целевой процесс. Пример: c:\windows\system32 |
| TargetProcessCreationTime | Рекомендуемая конфигурация | Дата/время | Версия продукта, полученная из сведений о версии файла образа целевого процесса. |
| TargetProcessId | Обязательно | Строка | Идентификатор (PID) целевого процесса. Пример: 48610176Примечание. Тип определяется как строка для поддержки различных систем, но в Windows и Linux это значение должно быть числовым. Если вы используете компьютер с Windows или Linux и применяете другой тип, обязательно преобразуйте эти значения. Например, если вы использовали шестнадцатеричное значение, преобразуйте его в десятичное. |
| TargetProcessGuid | Необязательно | GUID (строка) | Созданный уникальный идентификатор (GUID) целевого процесса. Позволяет идентифицировать процесс в системах. Пример: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Необязательно | Строка | Каждый процесс имеет уровень целостности, представленный в его токене. Уровни целостности определяют уровень процесса защиты или доступа. В Windows определяются следующие уровни целостности: низкий, средний, высокий и системный. Обычные пользователи получают средний уровень целостности, а привилегированные пользователи — высокий уровень целостности. Дополнительные сведения см. в разделе Обязательный контроль целостности — приложения Win32. |
| TargetProcessTokenElevation | Необязательно | Строка | Тип токена, указывающий на наличие или отсутствие повышения привилегий контроля доступа пользователей (UAC), применяемого к созданному или завершенному процессу. Пример: None |
| TargetProcessStatusCode | Необязательно | Строка | Код выхода, полученный при завершении целевого процесса. Это поле допустимо только для событий завершения процесса. Для согласованности это поле имеет строковый тип, даже если операционная система возвращает числовое значение. |
Поля проверки
Следующие поля используются для обозначения инспекции, проведённой системой безопасности, такой как EDR-система.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| RuleName | Необязательно | Строка | Имя или идентификатор правила, связанные с результатами проверки. |
| RuleNumber | Необязательно | Целое число | Число правил, связанных с результатами проверки. |
| Правило | Условный | Строка | Значение kRuleName или значение RuleNumber. Если используется значение RuleNumber , тип следует преобразовать в строку. |
| ThreatId (Идентификатор угрозы) | Необязательно | Строка | Идентификатор угрозы или вредоносных программ, определенных в действии файла. |
| ИмяУгрозы | Необязательно | Строка | Имя угрозы или вредоносных программ, определенных в действии файла. Пример: EICAR Test File |
| Категория угроз | Необязательно | Строка | Категория угроз или вредоносных программ, определенных в действии файла. Пример: Trojan |
| ThreatRiskLevel (Уровень угрозы) | Необязательно | RiskLevel (целое число) | Уровень риска, связанный с идентифицированной угрозой. Уровень должен быть числом от 0 до 100. Примечание. Значение может быть указано в исходной записи с использованием другой шкалы, которая должна быть нормализована по этой шкале. Исходное значение должно храниться в ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel (ИсходныйУровень Риска) | Необязательно | Строка | Уровень риска, передаваемый устройством отчетности. |
| ThreatField (Поле угроз) | Необязательно | Строка | Поле, для которого была обнаружена угроза. |
| ThreatField (Поле угроз) | Необязательно | Строка | Поле, для которого была обнаружена угроза. |
| УгрозаУверенность | Необязательно | Confidence Level (целое число) | Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100. |
| УгрозаОригинальнаяУверенность | Необязательно | Строка | Исходный уровень доверия для обнаруженной угрозы, указанный устройством, сообщившим о ней. |
| УгрозаАктивна | Необязательно | Логический | Значение true, если обнаруженная угроза считается активной. |
| ThreatFirstReportedTime (УгрозаFirstReportedTime) | Необязательно | datetime | Время первого обнаружения угрозы для этого IP-адреса или домена. |
| ThreatLastReportedTime | Необязательно | datetime | Время последнего обнаружения угрозы для этого IP-адреса или домена. |
Обновления схемы
Ниже приведены изменения в версии 0.1.1 схемы:
- Добавлено поле
EventSchema.
Ниже приведены изменения в версии 0.1.2 схемы:
- Добавлены поля
ActorUserType,ActorOriginalUserType,TargetUserType,TargetOriginalUserTypeиHashType.
Ниже приведены изменения в версии 0.1.3 схемы
- Поля
ParentProcessIdиTargetProcessCreationTimeизменены с обязательных на рекомендуемые.
Это изменения в схеме версии 0.1.4
- Добавлены поля
ActorScope,DvcScopeIdиDvcScope.
Дальнейшие действия
Дополнительные сведения см. в разделе:
- Посмотрите веб-семинар ASIM или слайды.
- Обзор расширенной информационной модели безопасности (ASIM)
- Схемы расширенной информационной модели безопасности (ASIM)
- Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
- Содержимое расширенной информационной модели безопасности (ASIM)