Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Normaliseringsschemat för processhändelsen används för att beskriva operativsystemaktiviteten för att köra och avsluta en process. Sådana händelser rapporteras av operativsystem och säkerhetssystem, till exempel EDR-system (slutpunktsidentifiering och svar).
En process som definieras av OSSEM är ett inneslutnings- och hanteringsobjekt som representerar en instans av ett program som körs. Processerna körs inte, men de hanterar trådar som kör och kör kod.
Mer information om normalisering i Microsoft Sentinel finns i Normalisering och ASIM (Advanced Security Information Model).
Tolkar
Använd följande tabellnamn i dina frågor om du vill använda enande parser som förenar alla listade parser och ser till att du analyserar över alla konfigurerade källor:
- imProcessSkapa för frågor som kräver information om processskapande. De här frågorna är det vanligaste fallet.
- imProcessTerminate för frågor som kräver information om processavslut.
Listan över processhändelseparsers Microsoft Sentinel innehåller färdiga anvisningar finns i asim-parsers-listan.
Distribuera autentiseringsparsers från Microsoft Sentinel GitHub-lagringsplats.
Mer information finns i översikten över ASIM-parsare.
Lägg till dina egna normaliserade parsers
När du implementerar anpassade processhändelseparsers namnger du KQL-funktionerna med hjälp av följande syntax: imProcessCreate<vendor><Product> och imProcessTerminate<vendor><Product>. Ersätt im med ASim för den parameterlösa versionen.
Lägg till KQL-funktionen i de enande parsarna enligt beskrivningen i Hantera ASIM-parsers.
Filtrera parserparametrar
Parsarna im och vim* stöder filtreringsparametrar. Även om dessa parsers är valfria kan de förbättra dina frågeprestanda.
Följande filtreringsparametrar är tillgängliga:
| Namn | Typ | Beskrivning |
|---|---|---|
| Starttime | Datetime | Filtrera endast processhändelser inträffade vid eller efter den här tiden. Den här parametern filtrerar fältet TimeGenerated , som är standarddesignatorn för tidpunkten för händelsen, oavsett parserspecifik mappning av fälten EventStartTime och EventEndTime. |
| Endtime | Datetime | Filtrera endast processhändelser som har inträffat vid eller före den här tiden. Den här parametern filtrerar fältet TimeGenerated , som är standarddesignatorn för tidpunkten för händelsen, oavsett parserspecifik mappning av fälten EventStartTime och EventEndTime. |
| commandline_has_any | Dynamisk | Filtrera endast processhändelser som kommandoraden kördes för har något av de angivna värdena. Listans längd är begränsad till 10 000 objekt. |
| commandline_has_all | Dynamisk | Filtrera endast processhändelser som kommandoraden kördes för har alla angivna värden. Listans längd är begränsad till 10 000 objekt. |
| commandline_has_any_ip_prefix | Dynamisk | Filtrera endast processhändelser som kommandoraden kördes för har alla angivna IP-adresser eller IP-adressprefix. Prefix ska sluta med , .till exempel: 10.0.. Listans längd är begränsad till 10 000 objekt. |
| actingprocess_has_any | Dynamisk | Filtrera endast processhändelser för vilka det tillförordnade processnamnet, som innehåller hela processsökvägen, har något av de angivna värdena. Listans längd är begränsad till 10 000 objekt. |
| targetprocess_has_any | Dynamisk | Filtrera endast processhändelser för vilka målprocessnamnet, som innehåller hela processsökvägen, har något av de angivna värdena. Listans längd är begränsad till 10 000 objekt. |
| parentprocess_has_any | Dynamisk | Filtrera endast processhändelser för vilka målprocessnamnet, som innehåller hela processsökvägen, har något av de angivna värdena. Listans längd är begränsad till 10 000 objekt. |
| targetusername_has eller actorusername_has | sträng | Filtrera endast processhändelser för vilka målanvändarnamnet (för processskapandehändelser) eller aktörens användarnamn (för processsluthändelser) har något av de angivna värdena. Listans längd är begränsad till 10 000 objekt. |
| dvcipaddr_has_any_prefix | Dynamisk | Filtrera endast processhändelser för vilka enhetens IP-adress matchar någon av de angivna IP-adresserna eller IP-adressprefixen. Prefix ska sluta med , .till exempel: 10.0.. Listans längd är begränsad till 10 000 objekt. |
| dvchostname_has_any | Dynamisk | Filtrera endast processhändelser som enhetens värdnamn eller enhets-FQDN är tillgängligt för har något av de angivna värdena. Listans längd är begränsad till 10 000 objekt. |
| Eventtype | sträng | Filtrera endast processhändelser av den angivna typen. |
Om du till exempel bara vill filtrera autentiseringshändelser från den senaste dagen till en viss användare använder du:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Tips
Om du vill skicka en literallista till parametrar som förväntar sig ett dynamiskt värde använder du uttryckligen en dynamisk literal. Till exempel: dynamic(['192.168.','10.']).
Normaliserat innehåll
En fullständig lista över analysregler som använder normaliserade processhändelser finns i ProcessHändelsesäkerhetsinnehåll.
Schemainformation
Processhändelseinformationsmodellen är justerad efter OSSEM-processens entitetsschema.
Vanliga ASIM-fält
Viktigt
Fält som är gemensamma för alla scheman beskrivs i detalj i artikeln vanliga ASIM-fält .
Vanliga fält med specifika riktlinjer
I följande lista nämns fält som har specifika riktlinjer för processaktivitetshändelser:
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| EventType | Obligatorisk | Uppräknade | Beskriver åtgärden som rapporterats av posten. För processposter är följande värden som stöds: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Obligatorisk | SchemaVersion (sträng) | Versionen av schemat. Den version av schemat som dokumenteras här är 0.1.4 |
| EventSchema | Obligatorisk | Sträng | Namnet på schemat som dokumenteras här är ProcessEvent. |
| Dvc-fält | För processaktivitetshändelser refererar enhetsfälten till det system där processen kördes. |
Viktigt
Fältet EventSchema är för närvarande valfritt men blir obligatoriskt den 1 september 2022.
Alla vanliga fält
Fält som visas i tabellen nedan är gemensamma för alla ASIM-scheman. Eventuella riktlinjer som anges ovan åsidosätter de allmänna riktlinjerna för fältet. Ett fält kan till exempel vara valfritt i allmänhet, men obligatoriskt för ett visst schema. Mer information om varje fält finns i artikeln vanliga ASIM-fält .
| Klass | Fält |
|---|---|
| Obligatorisk |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Rekommenderas |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valfritt |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Bearbeta händelsespecifika fält
Fälten som anges i tabellen nedan är specifika för Processhändelser, men liknar fält i andra scheman och följer liknande namngivningskonventioner.
Processhändelseschemat refererar till följande entiteter, som är centrala för processskapande och avslutningsaktivitet:
- Aktör – Den användare som initierade processens skapande eller avslutning.
- ActingProcess – den process som används av aktören för att initiera skapande eller avslutning av processen.
- TargetProcess – den nya processen.
- TargetUser – den användare vars autentiseringsuppgifter används för att skapa den nya processen.
- ParentProcess – den process som initierade aktörsprocessen.
Alias
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Användare | Alias | Alias för TargetUsername. Exempel: CONTOSO\dadmin |
|
| Process | Alias | Alias för TargetProcessName Exempel: C:\Windows\System32\rundll32.exe |
|
| Kommandorad | Alias | Alias för TargetProcessCommandLine | |
| Hash | Alias | Alias till den bästa tillgängliga hashen för målprocessen. |
Aktörsfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| ActorUserId | Rekommenderas | Sträng | En maskinläsbar, alfanumerisk, unik representation av aktören. Det format som stöds för olika ID-typer finns i entiteten Användare. Exempel: S-1-12 |
| ActorUserIdType | Villkorsstyrd | Uppräknade | Typen av ID som lagras i fältet ActorUserId . En lista över tillåtna värden och ytterligare information finns i UserIdType i artikeln Schemaöversikt. |
| ActorScope | Valfritt | Sträng | Omfånget, till exempel Microsoft Entra klientorganisation, där ActorUserId och ActorUsername definieras. eller mer information och lista över tillåtna värden finns i UserScope i artikeln Schemaöversikt. |
| ActorScopeId | Valfritt | Sträng | Omfångs-ID, till exempel Microsoft Entra katalog-ID, där ActorUserId och ActorUsername definieras. eller mer information och lista över tillåtna värden finns i UserScopeId i artikeln Schemaöversikt. |
| ActorUsername | Obligatorisk | Användarnamn (sträng) | Aktörens användarnamn, inklusive domäninformation när det är tillgängligt. Det format som stöds för olika ID-typer finns i entiteten Användare. Använd bara det enkla formuläret om domäninformation inte är tillgänglig. Lagra användarnamnstypen i fältet ActorUsernameType . Om andra användarnamnsformat är tillgängliga lagrar du dem i fälten ActorUsername<UsernameType>.Exempel: AlbertE |
| ActorUsernameType | Villkorsstyrd | Uppräknade | Anger typen av användarnamn som lagras i fältet ActorUsername . En lista över tillåtna värden och ytterligare information finns i UsernameType i artikeln Schemaöversikt. Exempel: Windows |
| ActorSessionId | Valfritt | Sträng | Det unika ID:t för inloggningssessionen för aktören. Exempel: 999Obs! Typen definieras som sträng för att stödja olika system, men i Windows måste det här värdet vara numeriskt. Om du använder en Windows-dator och använder en annan typ ska du konvertera värdena. Om du till exempel använde ett hexadecimalt värde konverterar du det till ett decimalvärde. |
| ActorUserType | Valfritt | UserType | Typ av skådespelare. En lista över tillåtna värden och ytterligare information finns i UserType i artikeln Schemaöversikt. Obs! Värdet kan anges i källposten med hjälp av olika termer, som bör normaliseras till dessa värden. Lagra det ursprungliga värdet i fältet ActorOriginalUserType . |
| ActorOriginalUserType | Valfritt | Sträng | Den ursprungliga målanvändartypen, om den tillhandahålls av rapporteringsenheten. |
Fält för agerar process
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| ActingProcessCommandLine | Valfritt | Sträng | Kommandoraden som används för att köra agerarprocessen. Exempel: "choco.exe" -v |
| ActingProcessName | Valfritt | sträng | Namnet på den agerar processen. Det här namnet härleds vanligtvis från avbildningen eller den körbara fil som används för att definiera den första koden och data som mappas till processens virtuella adressutrymme. Exempel: C:\Windows\explorer.exe |
| ActingProcessFilename | Valfritt | Sträng | Filnamnsdelen av ActingProcessName, utan mappinformation. Exempel: explorer.exe |
| ActingProcessFileCompany | Valfritt | Sträng | Företaget som skapade avbildningsfilen för den agerar processen. Exempel: Microsoft |
| ActingProcessFileDescription | Valfritt | Sträng | Beskrivningen inbäddad i versionsinformationen för den agerar processbildfilen. Exempel: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Valfritt | Sträng | Produktnamnet från versionsinformationen i avbildningsfilen för den agerar processen. Exempel: Notepad++ |
| ActingProcessFileVersion | Valfritt | Sträng | Produktversionen från versionsinformationen för den agerar processbildfilen. Exempel: 7.9.5.0 |
| ActingProcessFileInternalName | Valfritt | Sträng | Produktens interna filnamn från versionsinformationen för den agerar processbildfilen. |
| ActingProcessFileOriginalName | Valfritt | Sträng | Produktens ursprungliga filnamn från versionsinformationen för den agerar processbildfilen. Exempel: Notepad++.exe |
| ActingProcessIsHidden | Valfritt | Boolesk | En indikation på om agerarprocessen är i dolt läge. |
| ActingProcessInjectedAddress | Valfritt | Sträng | Minnesadressen där den ansvarsfulla agerar processen lagras. |
| ActingProcessId | Obligatorisk | Sträng | Process-ID (PID) för den agerar processen. Exempel: 48610176 Obs! Typen definieras som sträng för att stödja olika system, men i Windows och Linux måste det här värdet vara numeriskt. Om du använder en Windows- eller Linux dator och använder en annan typ ska du konvertera värdena. Om du till exempel använde ett hexadecimalt värde konverterar du det till ett decimalvärde. |
| ActingProcessGuid | Valfritt | GUID (sträng) | En genererad unik identifierare (GUID) för agerarprocessen. Gör det möjligt att identifiera processen mellan system. Exempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Valfritt | Sträng | Varje process har en integritetsnivå som representeras i dess token. Integritetsnivåer avgör processnivån för skydd eller åtkomst. Windows definierar följande integritetsnivåer: låg, medel, hög och system. Standardanvändare får en medelhög integritetsnivå och förhöjda användare får en hög integritetsnivå. Mer information finns i Obligatorisk integritetskontroll – Win32-appar. |
| ActingProcessMD5 | Valfritt | Sträng | MD5-hashen för den verkande processbildfilen. Exempel: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Valfritt | SHA1 | SHA-1-hashen för den verkande processbildfilen. Exempel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Valfritt | SHA256 | SHA-256-hashen för avbildningsfilen för agerarprocessen. Exempel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Valfritt | SHA512 | SHA-512-hashen för avbildningsfilen för agerarprocessen. |
| ActingProcessIMPHASH | Valfritt | Sträng | Import-hash för alla biblioteks-DLL:er som används av agerarprocessen. |
| ActingProcessCreationTime | Valfritt | Datetime | Datum och tid då agerarprocessen startades. |
| ActingProcessTokenElevation | Valfritt | Sträng | En token som anger förekomsten eller frånvaron av UAC-behörighetshöjning (User Access Control) som tillämpas på den agerar processen. Exempel: None |
| ActingProcessFileSize | Valfritt | Lång | Storleken på filen som körde agerarprocessen. |
Överordnade processfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| ParentProcessName | Valfritt | sträng | Namnet på den överordnade processen. Det här namnet härleds vanligtvis från avbildningen eller den körbara fil som används för att definiera den första koden och data som mappas till processens virtuella adressutrymme. Exempel: C:\Windows\explorer.exe |
| ParentProcessFileCompany | Valfritt | Sträng | Namnet på det företag som skapade den överordnade processbildfilen. Exempel: Microsoft |
| ParentProcessFileDescription | Valfritt | Sträng | Beskrivningen från versionsinformationen i den överordnade processbildfilen. Exempel: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Valfritt | Sträng | Produktnamnet från versionsinformationen i den överordnade processbildfilen. Exempel: Notepad++ |
| ParentProcessFileVersion | Valfritt | Sträng | Produktversionen från versionsinformationen i den överordnade processbildfilen. Exempel: 7.9.5.0 |
| ParentProcessIsHidden | Valfritt | Boolesk | En indikation på om den överordnade processen är i dolt läge. |
| ParentProcessInjectedAddress | Valfritt | Sträng | Minnesadressen där den ansvariga överordnade processen lagras. |
| ParentProcessId | Rekommenderas | Sträng | Process-ID (PID) för den överordnade processen. Exempel: 48610176 |
| ParentProcessGuid | Valfritt | Sträng | En genererad unik identifierare (GUID) för den överordnade processen. Gör det möjligt att identifiera processen mellan system. Exempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Valfritt | Sträng | Varje process har en integritetsnivå som representeras i dess token. Integritetsnivåer avgör processnivån för skydd eller åtkomst. Windows definierar följande integritetsnivåer: låg, medel, hög och system. Standardanvändare får en medelhög integritetsnivå och förhöjda användare får en hög integritetsnivå. Mer information finns i Obligatorisk integritetskontroll – Win32-appar. |
| ParentProcessMD5 | Valfritt | MD5 | MD5-hashen för den överordnade processbildfilen. Exempel: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Valfritt | SHA1 | SHA-1-hashen för den överordnade processbildfilen. Exempel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Valfritt | SHA256 | SHA-256-hashen för den överordnade processbildfilen. Exempel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Valfritt | SHA512 | SHA-512-hashen för den överordnade processbildfilen. |
| ParentProcessIMPHASH | Valfritt | Sträng | Import-hash för alla biblioteks-DLL:er som används av den överordnade processen. |
| ParentProcessTokenElevation | Valfritt | Sträng | En token som anger förekomsten eller frånvaron av UAC-behörighetshöjning (User Access Control) som tillämpas på den överordnade processen. Exempel: None |
| ParentProcessCreationTime | Valfritt | Datetime | Datum och tid då den överordnade processen startades. |
Målanvändarfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| TargetUsername | Obligatoriskt för processskapandehändelser. | Användarnamn (sträng) | Målanvändarnamnet, inklusive domäninformation när det är tillgängligt. Det format som stöds för olika ID-typer finns i entiteten Användare. Använd bara det enkla formuläret om domäninformation inte är tillgänglig. Lagra användarnamnstypen i fältet TargetUsernameType . Om andra användarnamnsformat är tillgängliga lagrar du dem i fälten TargetUsername<UsernameType>.Exempel: AlbertE |
| TargetUsernameType | Villkorsstyrd | Uppräknade | Anger typen av användarnamn som lagras i fältet TargetUsername . En lista över tillåtna värden och ytterligare information finns i UsernameType i artikeln Schemaöversikt. Exempel: Windows |
| TargetUserId | Rekommenderas | Sträng | En maskinläsbar, alfanumerisk och unik representation av målanvändaren. Det format som stöds för olika ID-typer finns i entiteten Användare. Exempel: S-1-12 |
| TargetUserIdType | Villkorsstyrd | UserIdType | Typen av ID som lagras i fältet TargetUserId . En lista över tillåtna värden och ytterligare information finns i UserIdType i artikeln Schemaöversikt. |
| TargetUserSessionId | Valfritt | Sträng | Det unika ID:t för målanvändarens inloggningssession. Exempel: 999 Obs! Typen definieras som sträng för att stödja olika system, men i Windows måste det här värdet vara numeriskt. Om du använder en Windows- eller Linux dator och använder en annan typ ska du konvertera värdena. Om du till exempel använde ett hexadecimalt värde konverterar du det till ett decimalvärde. |
| TargetUserSessionGuid | Valfritt | Sträng | Det unika GUID för målanvändarens inloggningssession som rapporteras av rapporteringsenheten. Exempel: {12345678-1234-1234-1234-123456789012} |
| TargetUserType | Valfritt | UserType | Typ av skådespelare. En lista över tillåtna värden och ytterligare information finns i UserType i artikeln Schemaöversikt. Obs! Värdet kan anges i källposten med hjälp av olika termer, som bör normaliseras till dessa värden. Lagra det ursprungliga värdet i fältet TargetOriginalUserType . |
| TargetOriginalUserType | Valfritt | Sträng | Den ursprungliga målanvändartypen, om den tillhandahålls av rapporteringsenheten. |
| TargetUserScope | Valfritt | Sträng | Omfånget, till exempel Microsoft Entra klientorganisation, där TargetUserId och TargetUsername definieras. eller mer information och lista över tillåtna värden finns i UserScope i artikeln Schemaöversikt. |
| TargetUserScopeId | Valfritt | Sträng | Omfångs-ID, till exempel Microsoft Entra katalog-ID, där TargetUserId och TargetUsername definieras. Mer information och lista över tillåtna värden finns i UserScopeId i artikeln Schemaöversikt. |
Målprocessfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| TargetProcessName | Obligatorisk | sträng | Namnet på målprocessen. Det här namnet härleds vanligtvis från avbildningen eller den körbara fil som används för att definiera den första koden och data som mappas till processens virtuella adressutrymme. Exempel: C:\Windows\explorer.exe |
| TargetProcessFilename | Valfritt | Sträng | Filnamnsdelen av TargetProcessName, utan mappinformation. Exempel: explorer.exe |
| TargetProcessFileCompany | Valfritt | Sträng | Namnet på det företag som skapade målprocessbildfilen. Exempel: Microsoft |
| TargetProcessFileDescription | Valfritt | Sträng | Beskrivningen från versionsinformationen i målprocessbildfilen. Exempel: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Valfritt | Sträng | Produktnamnet från versionsinformationen i målprocessbildfilen. Exempel: Notepad++ |
| TargetProcessFileSize | Valfritt | Lång | Storleken på filen som körde processen som var ansvarig för händelsen. |
| TargetProcessFileVersion | Valfritt | Sträng | Produktversionen från versionsinformationen i målprocessbildfilen. Exempel: 7.9.5.0 |
| TargetProcessFileInternalName | Valfritt | Sträng | Produktens interna filnamn från versionsinformationen för målprocessens bildfil. |
| TargetProcessFileOriginalName | Valfritt | Sträng | Produktens ursprungliga filnamn från versionsinformationen för målprocessens bildfil. |
| TargetProcessIsHidden | Valfritt | Boolesk | En indikation på om målprocessen är i dolt läge. |
| TargetProcessInjectedAddress | Valfritt | Sträng | Minnesadressen där den ansvarsfulla målprocessen lagras. |
| TargetProcessMD5 | Valfritt | MD5 | MD5-hashen för målprocessbildfilen. Exempel: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Valfritt | SHA1 | SHA-1-hashen för målprocessbildfilen. Exempel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Valfritt | SHA256 | SHA-256-hashen för målprocessbildfilen. Exempel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Valfritt | SHA512 | SHA-512-hashen för målprocessbildfilen. |
| TargetProcessIMPHASH | Valfritt | Sträng | Import-hash för alla biblioteks-DLL:er som används av målprocessen. |
| HashType | Villkorsstyrd | Uppräknade | Typen av hash som lagras i hash-aliasfältet, tillåtna värden är MD5, SHA, SHA256och IMPHASHSHA512 . |
| TargetProcessCommandLine | Obligatorisk | Sträng | Kommandoraden som används för att köra målprocessen. Exempel: "choco.exe" -v |
| TargetProcessCurrentDirectory | Valfritt | Sträng | Den aktuella katalogen där målprocessen körs. Exempel: c:\windows\system32 |
| TargetProcessCreationTime | Rekommenderas | Datetime | Produktversionen från versionsinformationen för målprocessbildfilen. |
| TargetProcessId | Obligatorisk | Sträng | Process-ID (PID) för målprocessen. Exempel: 48610176Obs! Typen definieras som sträng för att stödja olika system, men i Windows och Linux måste det här värdet vara numeriskt. Om du använder en Windows- eller Linux dator och använder en annan typ ska du konvertera värdena. Om du till exempel använde ett hexadecimalt värde konverterar du det till ett decimalvärde. |
| TargetProcessGuid | Valfritt | GUID (sträng) | En genererad unik identifierare (GUID) för målprocessen. Gör det möjligt att identifiera processen mellan system. Exempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Valfritt | Sträng | Varje process har en integritetsnivå som representeras i dess token. Integritetsnivåer avgör processnivån för skydd eller åtkomst. Windows definierar följande integritetsnivåer: låg, medel, hög och system. Standardanvändare får en medelhög integritetsnivå och förhöjda användare får en hög integritetsnivå. Mer information finns i Obligatorisk integritetskontroll – Win32-appar. |
| TargetProcessTokenElevation | Valfritt | Sträng | Tokentyp som anger förekomsten eller frånvaron av UAC-behörighetshöjning (User Access Control) som tillämpas på processen som skapades eller avslutades. Exempel: None |
| TargetProcessStatusCode | Valfritt | Sträng | Slutkoden som returnerades av målprocessen när den avslutades. Det här fältet är endast giltigt för processavslutshändelser. För konsekvens är fälttypen sträng, även om värdet som tillhandahålls av operativsystemet är numeriskt. |
Kontrollfält
Följande fält används för att representera inspektionen som utförs av ett säkerhetssystem, till exempel ett EDR-system.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| RuleName | Valfritt | Sträng | Namnet eller ID:t för regeln som associeras med inspektionsresultaten. |
| RuleNumber | Valfritt | Heltal | Numret på regeln som är associerad med inspektionsresultaten. |
| Regel | Villkorsstyrd | Sträng | Antingen värdet för kRuleName eller värdet för RuleNumber. Om värdet för RuleNumber används ska typen konverteras till sträng. |
| ThreatId | Valfritt | Sträng | ID:t för det hot eller den skadliga kod som identifieras i filaktiviteten. |
| ThreatName | Valfritt | Sträng | Namnet på det hot eller den skadliga kod som identifieras i filaktiviteten. Exempel: EICAR Test File |
| ThreatCategory | Valfritt | Sträng | Kategorin för det hot eller den skadliga kod som identifieras i filaktiviteten. Exempel: Trojan |
| ThreatRiskLevel | Valfritt | RiskLevel (heltal) | Den risknivå som är associerad med det identifierade hotet. Nivån ska vara ett tal mellan 0 och 100. Obs! Värdet kan anges i källposten med hjälp av en annan skala, som ska normaliseras till den här skalan. Det ursprungliga värdet ska lagras i ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Valfritt | Sträng | Risknivån som rapporteras av rapporteringsenheten. |
| ThreatField | Valfritt | Sträng | Det fält för vilket ett hot identifierades. |
| ThreatField | Valfritt | Sträng | Det fält för vilket ett hot identifierades. |
| ThreatConfidence | Valfritt | ConfidenceLevel (heltal) | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatOriginalConfidence | Valfritt | Sträng | Den ursprungliga konfidensnivån för det identifierade hotet, enligt rapporteringsenhetens rapporter. |
| ThreatIsActive | Valfritt | Boolesk | Sant om det identifierade hotet anses vara ett aktivt hot. |
| ThreatFirstReportedTime | Valfritt | Datetime | Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatLastReportedTime | Valfritt | Datetime | Senaste gången IP-adressen eller domänen identifierades som ett hot. |
Schemauppdateringar
Det här är ändringarna i version 0.1.1 av schemat:
- Fältet har lagts till
EventSchema.
Det här är ändringarna i version 0.1.2 av schemat
- Fälten ,
ActorOriginalUserType,TargetUserType,TargetOriginalUserTypeochHashTypehar lagtsActorUserTypetill.
Det här är ändringarna i version 0.1.3 av schemat
- Ändrade fälten
ParentProcessIdochTargetProcessCreationTimefrån obligatorisk till rekommenderad.
Det här är ändringarna i version 0.1.4 av schemat
- Fälten ,
DvcScopeIdochDvcScopehar lagtsActorScopetill.
Nästa steg
Mer information finns i: