Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Схема нормализации событий процесса используется для описания действий операционной системы при выполнении и прекращении процесса. Такие события сообщаются операционными системами и системами безопасности, такими как системы обнаружения конечных точек и реагирования на них.
Процесс, определенный в OSSEM, — это объект хранения и управления, представляющий запущенный экземпляр программы. Хотя сами процессы не выполняются, они управляют потоками, которые выполняют и выполняют код.
Дополнительные сведения о нормализации в Microsoft Sentinel см. в разделе Нормализация и расширенная информационная модель безопасности (ASIM).
Парсеров
Чтобы использовать объединяющие средства синтаксического анализа, которые объединяют все перечисленные средства синтаксического анализа и обеспечивают анализ во всех настроенных источниках, используйте в запросах следующие имена таблиц:
- imProcessСоздать для запросов, требующих сведений о создании процесса. Эти запросы являются наиболее распространенным случаем.
- imProcessTerminate для запросов, требующих сведений о завершении процесса.
Список средств синтаксического анализа событий обработки Microsoft Sentinel предоставляется в списке средств синтаксического анализа ASIM.
Разверните средства синтаксического анализа проверки подлинности из репозитория Microsoft Sentinel GitHub.
Дополнительные сведения см. в статье Общие сведения о средствах синтаксического анализа ASIM.
Добавление собственных нормализованных анализаторов
При реализации пользовательских средств синтаксического анализа событий процесса присвойте функции KQL имя, используя следующий синтаксис: imProcessCreate<vendor><Product> и imProcessTerminate<vendor><Product>.
ASim Замените im на для версии без параметров.
Добавьте функцию KQL в объединяющие средства синтаксического анализа, как описано в разделе Управление средствами синтаксического анализа ASIM.
Фильтрация параметров средства синтаксического анализа
Средства im синтаксического анализа и vim* поддерживают параметры фильтрации. Хотя эти средства синтаксического анализа являются необязательными, они могут повысить производительность запросов.
Доступны следующие параметры фильтрации:
| Имя | Тип | Описание |
|---|---|---|
| Starttime | datetime | Фильтрация только событий процесса, произошедших в это время или позже. Этот параметр фильтрует TimeGenerated поле, которое является стандартным конструктором для времени события, независимо от сопоставления полей EventStartTime и EventEndTime специфичного для средства синтаксического анализа. |
| время окончания | datetime | Фильтровать только запросы событий обработки, выполненные в это время или раньше. Этот параметр фильтрует TimeGenerated поле, которое является стандартным конструктором для времени события, независимо от сопоставления полей EventStartTime и EventEndTime специфичного для средства синтаксического анализа. |
| commandline_has_any | Динамический | Фильтрация только событий процесса, для которых выполненная командная строка содержит любое из перечисленных значений. Длина списка ограничена 10 000 элементов. |
| commandline_has_all | Динамический | Фильтрация только событий процесса, для которых выполнена командная строка, содержит все перечисленные значения. Длина списка ограничена 10 000 элементов. |
| commandline_has_any_ip_prefix | Динамический | Фильтрация только событий процесса, для которых выполненная командная строка содержит все перечисленные IP-адреса или префиксы IP-адресов. Префиксы должны заканчиваться .на , например: 10.0.. Длина списка ограничена 10 000 элементов. |
| actingprocess_has_any | Динамический | Фильтрация только событий процесса, для которых имя действующего процесса, включающее весь путь процесса, имеет любое из перечисленных значений. Длина списка ограничена 10 000 элементов. |
| targetprocess_has_any | Динамический | Фильтрация только событий процесса, для которых имя целевого процесса, включающее весь путь процесса, имеет любое из перечисленных значений. Длина списка ограничена 10 000 элементов. |
| parentprocess_has_any | Динамический | Фильтрация только событий процесса, для которых имя целевого процесса, включающее весь путь процесса, имеет любое из перечисленных значений. Длина списка ограничена 10 000 элементов. |
| targetusername_has или actorusername_has | string | Фильтрация только событий процесса, для которых целевое имя пользователя (для событий создания процесса) или имя пользователя субъекта (для событий завершения процесса) имеет любое из перечисленных значений. Длина списка ограничена 10 000 элементов. |
| dvcipaddr_has_any_prefix | Динамический | Фильтрация только событий процесса, для которых IP-адрес устройства соответствует любому из перечисленных IP-адресов или префиксов IP-адресов. Префиксы должны заканчиваться .на , например: 10.0.. Длина списка ограничена 10 000 элементов. |
| dvchostname_has_any | Динамический | Фильтровать только события процесса, для которых доступно имя узла устройства или полное доменное имя устройства, имеет любое из перечисленных значений. Длина списка ограничена 10 000 элементов. |
| Eventtype | string | Фильтровать только события процесса указанного типа. |
Например, чтобы отфильтровать только события проверки подлинности за последний день для определенного пользователя, используйте:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Совет
Чтобы передать литерал списка параметрам, которые ожидают динамическое значение, явно используйте динамический литерал. Пример: dynamic(['192.168.','10.']).
Нормализованное содержимое
Полный список правил аналитики, использующих нормализованные события процесса, см. в разделе Содержимое безопасности событий процесса.
Сведения о схеме
Информационная модель события процесса выравнивается по схеме сущности процесса OSSEM.
Общие поля ASIM
Важно!
Поля, общие для всех схем, подробно описаны в статье Общие поля ASIM .
Общие поля с определенными рекомендациями
В следующем списке перечислены поля с определенными рекомендациями по событиям действия процесса.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| EventType | Обязательный | Перечисленных | Описывает операцию, сообщаемую записью. Для записей процесса поддерживаются следующие значения: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Обязательный | SchemaVersion (String) | Версия схемы. Версия схемы, описанная здесь: 0.1.4 |
| EventSchema | Обязательный | String | Имя схемы, описанной здесь, — ProcessEvent. |
| Поля Dvc | Для событий действия процесса поля устройства относятся к системе, в которой был выполнен процесс. |
Важно!
Поле EventSchema в настоящее время является необязательным, но станет обязательным 1 сентября 2022 г.
Все общие поля
Поля, отображаемые в таблице ниже, являются общими для всех схем ASIM. Любое указанное выше руководство переопределяет общие рекомендации для поля. Например, поле может быть необязательным в целом, но обязательным для конкретной схемы. Дополнительные сведения о каждом поле см. в статье Общие поля ASIM .
| Class | Fields |
|---|---|
| Обязательный |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Рекомендуемый |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Необязательный |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Дополнительные поля - DvcDescription - DvcScopeId - DvcScope |
Обработка полей для событий
Поля, перечисленные в приведенной ниже таблице, относятся к событиям обработки, но похожи на поля в других схемах и соответствуют аналогичным соглашениям об именовании.
Схема события процесса ссылается на следующие сущности, которые являются ключевыми для действий создания и завершения процесса:
- Субъект — пользователь, который инициировал создание или завершение процесса.
- ActingProcess — процесс, используемый субъектом для инициации создания или завершения процесса.
- TargetProcess — новый процесс.
- TargetUser — пользователь, учетные данные которого используются для создания нового процесса.
- ParentProcess — процесс, который инициировал процесс субъекта.
Псевдонимы
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Пользователь | Alias | Псевдоним targetUsername. Пример: CONTOSO\dadmin |
|
| Процесс | Alias | Псевдоним для targetProcessName Пример: C:\Windows\System32\rundll32.exe |
|
| CommandLine | Alias | Псевдоним для TargetProcessCommandLine | |
| Хэш | Alias | Псевдоним наилучшего доступного хэша для целевого процесса. |
Поля субъекта
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| ActorUserId | Рекомендуемый | String | Машиночитаемое, буквенно-цифровое, уникальное представление субъекта. Поддерживаемый формат для различных типов идентификаторов см. в сущности User. Пример: S-1-12 |
| ActorUserIdType | Условного | Перечисленных | Тип идентификатора, хранящегося в поле ActorUserId . Список допустимых значений и дополнительные сведения см. в разделе UserIdType статьи Общие сведения о схеме. |
| ActorScope | Необязательный | String | Область, например клиент Microsoft Entra, в котором определены ActorUserId и ActorUsername. дополнительные сведения и список допустимых значений см. в статье UserScope в статье Общие сведения о схеме. |
| ActorScopeId | Необязательный | String | Идентификатор область, например Microsoft Entra идентификатор каталога, в котором определены ActorUserId и ActorUsername. дополнительные сведения и список допустимых значений см. в статье UserScopeId в статье Общие сведения о схеме. |
| ActorUsername | Обязательный | Имя пользователя (строка) | Имя пользователя субъекта, включая сведения о домене, если они доступны. Поддерживаемый формат для различных типов идентификаторов см. в сущности User. Используйте простую форму, только если сведения о домене недоступны. Сохраните тип имени пользователя в поле ActorUsernameType . Если доступны другие форматы имени пользователя, сохраните их в полях ActorUsername<UsernameType>.Пример: AlbertE |
| ActorUsernameType | Условного | Перечисленных | Указывает тип имени пользователя, хранящегося в поле ActorUsername . Список разрешенных значений и дополнительные сведения см. в разделе UsernameType статьи Общие сведения о схеме. Пример: Windows |
| ActorSessionId | Необязательный | String | Уникальный идентификатор сеанса входа субъекта. Пример: 999Примечание. Тип определяется как строка для поддержки различных систем, но в Windows это значение должно быть числовым. Если вы используете компьютер с Windows и используете другой тип, обязательно преобразуйте значения. Например, если вы использовали шестнадцатеричное значение, преобразуйте его в десятичное значение. |
| ActorUserType | Необязательный | UserType | Тип Субъекта. Список допустимых значений и дополнительные сведения см. в разделе UserType статьи Общие сведения о схеме. Примечание. Значение может быть указано в исходной записи с помощью разных терминов, которые должны быть нормализованы для этих значений. Сохраните исходное значение в поле ActorOriginalUserType . |
| ActorOriginalUserType | Необязательный | String | Исходный тип целевого пользователя, если он указан устройством отчетности. |
Действующие поля процесса
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| ActingProcessCommandLine | Необязательный | String | Командная строка, используемая для запуска действующего процесса. Пример: "choco.exe" -v |
| ActingProcessName | Необязательный | string | Имя действующего процесса. Это имя обычно является производным от образа или исполняемого файла, который используется для определения исходного кода и данных, сопоставленных с виртуальным адресным пространством процесса. Пример: C:\Windows\explorer.exe |
| ActingProcessFilename | Необязательный | String | Часть имени файла без сведений ActingProcessNameо папке. Пример: explorer.exe |
| ActingProcessFileCompany | Необязательный | String | Компания, создающая файл образа действующего процесса. Пример: Microsoft |
| ActingProcessFileDescription | Необязательный | String | Описание, внедренное в сведения о версии файла образа действующего процесса. Пример: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Необязательный | String | Имя продукта из сведений о версии в файле образа действующего процесса. Пример: Notepad++ |
| ActingProcessFileVersion | Необязательный | String | Версия продукта из сведений о версии файла образа действующего процесса. Пример: 7.9.5.0 |
| ActingProcessFileInternalName | Необязательный | String | Имя внутреннего файла продукта из сведений о версии файла образа действующего процесса. |
| ActingProcessFileOriginalName | Необязательный | String | Исходное имя файла продукта из сведений о версии файла образа действующего процесса. Пример: Notepad++.exe |
| ActingProcessIsHidden | Необязательный | Логический | Указывает, находится ли действующий процесс в скрытом режиме. |
| ActingProcessInjectedAddress | Необязательный | String | Адрес памяти, в котором хранится ответственный действующий процесс. |
| ActingProcessId | Обязательный | String | Идентификатор процесса (PID) действующего процесса. Пример: 48610176 Примечание. Тип определяется как строка для поддержки различных систем, но в Windows и Linux это значение должно быть числовым. Если вы используете компьютер с Windows или Linux и используете другой тип, обязательно преобразуйте значения. Например, если вы использовали шестнадцатеричное значение, преобразуйте его в десятичное значение. |
| ActingProcessGuid | Необязательный | GUID (строка) | Созданный уникальный идентификатор (GUID) действующего процесса. Позволяет определить процесс в разных системах. Пример: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Необязательный | String | Каждый процесс имеет уровень целостности, представленный в маркере. Уровни целостности определяют уровень защиты или доступа к процессу. Windows определяет следующие уровни целостности: низкий, средний, высокий и системный. Standard пользователи получают средний уровень целостности, а пользователи с повышенными правами — высокий уровень целостности. Дополнительные сведения см. в разделе Обязательный контроль целостности — приложения Win32. |
| ActingProcessMD5 | Необязательный | String | Хэш MD5 файла образа действующего процесса. Пример: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Необязательный | SHA1 | Хэш SHA-1 файла образа действующего процесса. Пример: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Необязательный | SHA256 | Хэш SHA-256 файла образа действующего процесса. Пример: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Необязательный | SHA512 | Хэш SHA-512 файла образа действующего процесса. |
| ActingProcessIMPHASH | Необязательный | String | Хэш импорта всех библиотек DLL библиотеки, используемых действующим процессом. |
| ActingProcessCreationTime | Необязательный | DateTime | Дата и время запуска действующего процесса. |
| ActingProcessTokenElevation | Необязательный | String | Маркер, указывающий на наличие или отсутствие повышения привилегий user контроль доступа (UAC), примененного к действующему процессу. Пример: None |
| ActingProcessFileSize | Необязательный | Long | Размер файла, в который был запущен действующий процесс. |
Поля родительского процесса
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| ParentProcessName | Необязательный | string | Имя родительского процесса. Это имя обычно является производным от образа или исполняемого файла, который используется для определения исходного кода и данных, сопоставленных с виртуальным адресным пространством процесса. Пример: C:\Windows\explorer.exe |
| ParentProcessFileCompany | Необязательный | String | Имя компании, создающей файл образа родительского процесса. Пример: Microsoft |
| ParentProcessFileDescription | Необязательный | String | Описание из сведений о версии в файле образа родительского процесса. Пример: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Необязательный | String | Имя продукта из сведений о версии в файле образа родительского процесса. Пример: Notepad++ |
| ParentProcessFileVersion | Необязательный | String | Версия продукта из сведений о версии в файле образа родительского процесса. Пример: 7.9.5.0 |
| ParentProcessIsHidden | Необязательный | Логический | Указывает, находится ли родительский процесс в скрытом режиме. |
| ParentProcessInjectedAddress | Необязательный | String | Адрес памяти, в котором хранится ответственный родительский процесс. |
| ParentProcessId | Рекомендуемый | String | Идентификатор процесса (PID) родительского процесса. Пример: 48610176 |
| ParentProcessGuid | Необязательный | String | Созданный уникальный идентификатор (GUID) родительского процесса. Позволяет определить процесс в разных системах. Пример: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Необязательный | String | Каждый процесс имеет уровень целостности, представленный в маркере. Уровни целостности определяют уровень защиты или доступа к процессу. Windows определяет следующие уровни целостности: низкий, средний, высокий и системный. Standard пользователи получают средний уровень целостности, а пользователи с повышенными правами — высокий уровень целостности. Дополнительные сведения см. в разделе Обязательный контроль целостности — приложения Win32. |
| ParentProcessMD5 | Необязательный | MD5 | Хэш MD5 файла образа родительского процесса. Пример: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Необязательный | SHA1 | Хэш SHA-1 файла образа родительского процесса. Пример: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Необязательный | SHA256 | Хэш SHA-256 файла образа родительского процесса. Пример: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Необязательный | SHA512 | Хэш SHA-512 файла образа родительского процесса. |
| ParentProcessIMPHASH | Необязательный | String | Импорт хэша всех библиотек DLL библиотеки, используемых родительским процессом. |
| ParentProcessTokenElevation | Необязательный | String | Маркер, указывающий на наличие или отсутствие повышения привилегий user контроль доступа (UAC), примененного к родительскому процессу. Пример: None |
| ParentProcessCreationTime | Необязательный | DateTime | Дата и время запуска родительского процесса. |
Поля целевого пользователя
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| TargetUsername | Обязательный для событий создания процесса. | Имя пользователя (строка) | Целевое имя пользователя, включая сведения о домене, если они доступны. Поддерживаемый формат для различных типов идентификаторов см. в сущности User. Используйте простую форму, только если сведения о домене недоступны. Сохраните тип имени пользователя в поле TargetUsernameType . Если доступны другие форматы имени пользователя, сохраните их в полях TargetUsername<UsernameType>.Пример: AlbertE |
| TargetUsernameType | Условного | Перечисленных | Указывает тип имени пользователя, хранящегося в поле TargetUsername . Список разрешенных значений и дополнительные сведения см. в разделе UsernameType статьи Общие сведения о схеме. Пример: Windows |
| TargetUserId | Рекомендуемый | String | Машиночитаемое, буквенно-цифровое, уникальное представление целевого пользователя. Поддерживаемый формат для различных типов идентификаторов см. в сущности User. Пример: S-1-12 |
| TargetUserIdType | Условного | UserIdType | Тип идентификатора, хранящегося в поле TargetUserId . Список допустимых значений и дополнительные сведения см. в разделе UserIdType статьи Общие сведения о схеме. |
| TargetUserSessionId | Необязательный | String | Уникальный идентификатор сеанса входа целевого пользователя. Пример: 999 Примечание. Тип определяется как строка для поддержки различных систем, но в Windows это значение должно быть числовым. Если вы используете компьютер с Windows или Linux и используете другой тип, обязательно преобразуйте значения. Например, если вы использовали шестнадцатеричное значение, преобразуйте его в десятичное значение. |
| TargetUserSessionGuid | Необязательный | String | Уникальный ИДЕНТИФИКАТОР сеанса входа целевого пользователя, сообщаемый устройством отчетов. Пример: {12345678-1234-1234-1234-123456789012} |
| TargetUserType | Необязательный | UserType | Тип Субъекта. Список допустимых значений и дополнительные сведения см. в разделе UserType статьи Общие сведения о схеме. Примечание. Значение может быть указано в исходной записи с помощью разных терминов, которые должны быть нормализованы для этих значений. Сохраните исходное значение в поле TargetOriginalUserType . |
| TargetOriginalUserType | Необязательный | String | Исходный тип целевого пользователя, если он указан устройством отчетности. |
| TargetUserScope | Необязательный | String | Область, например клиент Microsoft Entra, в котором определены TargetUserId и TargetUsername. дополнительные сведения и список допустимых значений см. в статье UserScope в статье Общие сведения о схеме. |
| TargetUserScopeId | Необязательный | String | Идентификатор область, например идентификатор каталога Microsoft Entra, в котором определены TargetUserId и TargetUsername. Дополнительные сведения и список допустимых значений см. в разделе UserScopeIdстатьи Общие сведения о схеме. |
Поля целевого процесса
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| TargetProcessName | Обязательный | string | Имя целевого процесса. Это имя обычно является производным от образа или исполняемого файла, который используется для определения исходного кода и данных, сопоставленных с виртуальным адресным пространством процесса. Пример: C:\Windows\explorer.exe |
| TargetProcessFilename | Необязательный | String | Часть имени файла без сведений TargetProcessNameо папке. Пример: explorer.exe |
| TargetProcessFileCompany | Необязательный | String | Имя компании, создающей файл образа целевого процесса. Пример: Microsoft |
| TargetProcessFileDescription | Необязательный | String | Описание из сведений о версии в файле образа целевого процесса. Пример: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Необязательный | String | Имя продукта из сведений о версии в файле образа целевого процесса. Пример: Notepad++ |
| TargetProcessFileSize | Необязательный | Long | Размер файла, в который был запущен процесс, отвечающий за событие. |
| TargetProcessFileVersion | Необязательный | String | Версия продукта из сведений о версии в файле образа целевого процесса. Пример: 7.9.5.0 |
| TargetProcessFileInternalName | Необязательный | String | Внутреннее имя файла продукта из сведений о версии файла образа целевого процесса. |
| TargetProcessFileOriginalName | Необязательный | String | Исходное имя файла продукта из сведений о версии файла образа целевого процесса. |
| TargetProcessIsHidden | Необязательный | Логический | Указывает, находится ли целевой процесс в скрытом режиме. |
| TargetProcessInjectedAddress | Необязательный | String | Адрес памяти, в котором хранится ответственный целевой процесс. |
| TargetProcessMD5 | Необязательный | MD5 | Хэш MD5 файла образа целевого процесса. Пример: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Необязательный | SHA1 | Хэш SHA-1 файла образа целевого процесса. Пример: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Необязательный | SHA256 | Хэш SHA-256 файла образа целевого процесса. Пример: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Необязательный | SHA512 | Хэш SHA-512 файла образа целевого процесса. |
| TargetProcessIMPHASH | Необязательный | String | Импорт хэша всех библиотек DLL библиотеки, используемых целевым процессом. |
| HashType | Условного | Перечисленных | Тип хэша, хранящегося в поле псевдонима HASH, допустимые значения: MD5, SHA, SHA512SHA256и IMPHASH. |
| TargetProcessCommandLine | Обязательный | String | Командная строка, используемая для запуска целевого процесса. Пример: "choco.exe" -v |
| TargetProcessCurrentDirectory | Необязательный | String | Текущий каталог, в котором выполняется целевой процесс. Пример: c:\windows\system32 |
| TargetProcessCreationTime | Рекомендуемый | DateTime | Версия продукта из сведений о версии файла образа целевого процесса. |
| TargetProcessId | Обязательный | String | Идентификатор процесса (PID) целевого процесса. Пример: 48610176Примечание. Тип определяется как строка для поддержки различных систем, но в Windows и Linux это значение должно быть числовым. Если вы используете компьютер с Windows или Linux и используете другой тип, обязательно преобразуйте значения. Например, если вы использовали шестнадцатеричное значение, преобразуйте его в десятичное значение. |
| TargetProcessGuid | Необязательный | GUID (строка) | Созданный уникальный идентификатор (GUID) целевого процесса. Позволяет определить процесс в разных системах. Пример: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Необязательный | String | Каждый процесс имеет уровень целостности, представленный в маркере. Уровни целостности определяют уровень защиты или доступа к процессу. Windows определяет следующие уровни целостности: низкий, средний, высокий и системный. Standard пользователи получают средний уровень целостности, а пользователи с повышенными правами — высокий уровень целостности. Дополнительные сведения см. в разделе Обязательный контроль целостности — приложения Win32. |
| TargetProcessTokenElevation | Необязательный | String | Тип маркера, указывающий на наличие или отсутствие повышения привилегий user контроль доступа (UAC), примененного к созданному или завершенному процессу. Пример: None |
| TargetProcessStatusCode | Необязательный | String | Код выхода, возвращаемый целевым процессом при завершении. Это поле допустимо только для событий завершения процесса. Для согласованности тип поля является строковым, даже если значение, предоставленное операционной системой, является числовым. |
Поля проверки
Следующие поля используются для представления проверки, выполняемой системой безопасности, такой как система EDR.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| RuleName | Необязательный | String | Имя или идентификатор правила, связанного с результатами проверки. |
| RuleNumber | Необязательный | Integer | Номер правила, связанного с результатами проверки. |
| Rule | Условного | String | Значение kRuleName или значение RuleNumber. Если используется значение RuleNumber , тип следует преобразовать в строку. |
| ThreatId | Необязательный | String | Идентификатор угрозы или вредоносных программ, определенных в действии файла. |
| ThreatName | Необязательный | String | Имя угрозы или вредоносной программы, обнаруженной в действии файла. Пример: EICAR Test File |
| ThreatCategory | Необязательный | String | Категория угрозы или вредоносного ПО, обнаруженная в действии файла. Пример: Trojan |
| ThreatRiskLevel | Необязательный | RiskLevel (целое число) | Уровень риска, связанный с обнаруженной угрозой. Уровень должен быть числом от 0 до 100. Примечание. Значение может быть предоставлено в исходной записи с помощью другой шкалы, которая должна быть нормализована по этому масштабу. Исходное значение должно храниться в ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Необязательный | String | Уровень риска, сообщаемый устройством отчетности. |
| ThreatField | Необязательный | String | Поле, для которого была обнаружена угроза. |
| ThreatField | Необязательный | String | Поле, для которого была обнаружена угроза. |
| ThreatConfidence | Необязательный | ConfidenceLevel (Целое число) | Уровень достоверности обнаруженной угрозы, нормализованный до значения от 0 до 100. |
| ThreatOriginalConfidence | Необязательный | String | Исходный уровень достоверности обнаруженной угрозы, о чем сообщает устройство отчетности. |
| ThreatIsActive | Необязательный | Логический | Значение true, если обнаруженная угроза считается активной угрозой. |
| ThreatFirstReportedTime | Необязательный | datetime | При первом обнаружении IP-адреса или домена как угрозы. |
| ThreatLastReportedTime | Необязательный | datetime | В последний раз IP-адрес или домен были определены как угроза. |
Обновления схемы
Ниже приведены изменения в схеме версии 0.1.1:
- Добавлено поле
EventSchema.
Это изменения в схеме версии 0.1.2
- Добавлены поля
ActorUserType,ActorOriginalUserType,TargetUserType,TargetOriginalUserTypeиHashType.
Это изменения в схеме версии 0.1.3
- Изменены поля
ParentProcessIdиTargetProcessCreationTimeс обязательных на рекомендуемые.
Это изменения в версии 0.1.4 схемы
- Добавлены поля
ActorScope,DvcScopeIdиDvcScope.
Дальнейшие действия
Дополнительные сведения см. в указанных ниже статьях.
- Просмотрите вебинар ASIM или просмотрите слайды
- Обзор расширенной информационной модели безопасности (ASIM)
- Схемы расширенной информационной модели безопасности (ASIM)
- Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
- Содержимое расширенной информационной модели безопасности (ASIM)