Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
İşlem Olayı normalleştirme şeması, bir işlemi çalıştırmanın ve sonlandırmanın işletim sistemi etkinliğini açıklamak için kullanılır. Bu tür olaylar, EDR (Uç Nokta Algılama ve Yanıt) sistemleri gibi işletim sistemleri ve güvenlik sistemleri tarafından bildirilir.
OSSEM tarafından tanımlanan bir işlem, bir programın çalışan örneğini temsil eden bir kapsama ve yönetim nesnesidir. İşlemler çalışmasa da, kodu çalıştıran ve yürüten iş parçacıklarını yönetir.
Microsoft Sentinel'de normalleştirme hakkında daha fazla bilgi için bkz . Normalleştirme ve Gelişmiş Güvenlik Bilgileri Modeli (ASIM).
Çözümleyicileri
Listelenen tüm ayrıştırıcıları birleştiren birleştirici ayrıştırıcıları kullanmak ve yapılandırılan tüm kaynaklar arasında çözümlediğinizden emin olmak için, sorgularınızda aşağıdaki tablo adlarını kullanın:
- imProcessİşlem oluşturma bilgileri gerektiren sorgular için oluşturun . Bu sorgular en yaygın durumlardır.
- İşlem sonlandırma bilgileri gerektiren sorgular için imProcessTerminate .
İşlem Olayı ayrıştırıcılarının listesi için Microsoft Sentinel kullanıma hazır sağlar. ASIM ayrıştırıcıları listesine bakın.
Microsoft Sentinel GitHub deposundan Kimlik Doğrulaması ayrıştırıcılarını dağıtın.
Daha fazla bilgi için bkz . ASIM ayrıştırıcılarına genel bakış.
Kendi normalleştirilmiş ayrıştırıcılarınızı ekleme
Özel işlem olayı ayrıştırıcıları uygularken, aşağıdaki söz dizimini kullanarak KQL işlevlerinizi adlandırın: imProcessCreate<vendor><Product> ve imProcessTerminate<vendor><Product>. parametresiz sürüm için şununla im değiştirinASim.
KQL işlevinizi ASIM ayrıştırıcılarını yönetme bölümünde açıklandığı gibi birleştirici ayrıştırıcılara ekleyin.
Ayrıştırıcı parametrelerini filtreleme
im ve ayrıştırıcıları filtreleme parametrelerini desteklervim*. Bu ayrıştırıcılar isteğe bağlı olsa da sorgu performansınızı artırabilir.
Aşağıdaki filtreleme parametreleri kullanılabilir:
| Adı | Tür | Açıklama |
|---|---|---|
| starttime | datetime | Yalnızca şu anda veya sonrasında gerçekleşen işlem olaylarını filtreleyin. Bu parametre, EventStartTime ve EventEndTime alanlarının TimeGenerated ayrıştırıcıya özgü eşlemesine bakılmaksızın olay zamanı için standart belirleyici olan alanı filtreler. |
| bitiş saati | datetime | Yalnızca bu saatten önce veya öncesinde gerçekleşen olay sorgularını filtreleyin. Bu parametre, EventStartTime ve EventEndTime alanlarının TimeGenerated ayrıştırıcıya özgü eşlemesine bakılmaksızın olay zamanı için standart belirleyici olan alanı filtreler. |
| commandline_has_any | dynamic | Yalnızca komut satırının listelenmiş değerlerden herhangi birine sahip olduğu işlem olaylarını filtreleyin. Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
| commandline_has_all | dynamic | Filtre yalnızca komut satırının listelenen tüm değerlere sahip olduğu işlemleri gerçekleştirir. Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
| commandline_has_any_ip_prefix | dynamic | Yalnızca komut satırının çalıştırıldığı ve listelenen tüm IP adreslerinin veya IP adresi ön eklerinin bulunduğu işlem olaylarını filtreleyin. Ön ekler ile .bitmelidir, örneğin: 10.0.. Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
| actingprocess_has_any | dynamic | Yalnızca işlem yolunun tamamını içeren işlem adının listelenen değerlerden herhangi birine sahip olduğu işlem olaylarını filtreleyin. Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
| targetprocess_has_any | dynamic | Yalnızca işlem yolunun tamamını içeren hedef işlem adının listelenen değerlerden herhangi birine sahip olduğu işlem olaylarını filtreleyin. Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
| parentprocess_has_any | dynamic | Yalnızca işlem yolunun tamamını içeren hedef işlem adının listelenen değerlerden herhangi birine sahip olduğu işlem olaylarını filtreleyin. Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
| targetusername_has veya actorusername_has | Dize | Yalnızca hedef kullanıcı adının (işlem oluşturma olayları için) veya aktör kullanıcı adının (işlem sonlandırma olayları için) listelenen değerlerden herhangi birine sahip olduğu işlem olaylarını filtreleyin. Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
| dvcipaddr_has_any_prefix | dynamic | Yalnızca cihaz IP adresinin listelenen IP adreslerinden veya IP adresi ön eklerinden herhangi biri ile eşleştiği işlem olaylarını filtreleyin. Ön ekler ile .bitmelidir, örneğin: 10.0.. Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
| dvchostname_has_any | dynamic | Yalnızca cihaz ana bilgisayar adının veya cihaz FQDN'sinin kullanılabilir olduğu işlem olaylarını filtreleyin ve listelenen değerlerden herhangi birini kullanın. Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
| eventtype | Dize | Yalnızca belirtilen türdeki işlem olaylarını filtreleyin. |
Örneğin, yalnızca son güne ait kimlik doğrulama olaylarını belirli bir kullanıcıya filtrelemek için şunu kullanın:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
İpucu
Sabit bir listeyi dinamik değer bekleyen parametrelere geçirmek için, dinamik değişmez değeri açıkça kullanın. Örneğin: dynamic(['192.168.','10.']).
Normalleştirilmiş içerik
Normalleştirilmiş işlem olaylarını kullanan analiz kurallarının tam listesi için bkz . İşlem Olayı güvenlik içeriği.
Şema ayrıntıları
İşlem Olayı bilgi modeli, OSSEM İşlem varlık şemasına hizalanır.
Ortak ASIM alanları
Önemli
Tüm şemalarda ortak olan alanlar ASIM Ortak Alanları makalesinde ayrıntılı olarak açıklanmıştır.
Belirli yönergelere sahip ortak alanlar
Aşağıdaki listede, işlem etkinliği olayları için belirli yönergelere sahip alanlardan bahsediliyor:
| Alan | Sınıf | Tür | Açıklama |
|---|---|---|---|
| EventType | Zorunlu | Enumerated | Kayıt tarafından bildirilen işlemi açıklar. İşlem kayıtları için desteklenen değerler şunlardır: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Zorunlu | SchemaVersion (Dizeli) | Şema sürümü. Şemanın burada belgelenen sürümü 0.1.4 |
| EventSchema | Zorunlu | String | Burada belgelenen şemanın adıdır ProcessEvent. |
| Dvc alanları | İşlem etkinliği olayları için cihaz alanları, işlemin yürütülmekte olduğu sisteme başvurur. |
Önemli
Bu EventSchema alan şu anda isteğe bağlıdır ancak 1 Eylül 2022'de Zorunlu olacaktır.
Tüm ortak alanlar
Aşağıdaki tabloda görünen alanlar tüm ASIM şemalarında ortaktır. Yukarıda belirtilen tüm yönergeler, alanın genel yönergelerini geçersiz kılar. Örneğin, bir alan genel olarak isteğe bağlı olabilir, ancak belirli bir şema için zorunlu olabilir. Her alan hakkında daha fazla ayrıntı için ASIM Ortak Alanları makalesine bakın.
| Sınıf | Alanlar |
|---|---|
| Zorunlu |
-
Olay Sayısı - Olay Başlangıç Zamanı - EventEndTime (Olay Bitiş Zamanı) - Olay Türü - Olay Sonucu - EventProduct (Etkinlik Ürünü) - Etkinlik Satıcısı - Olay Şeması - EventSchemaVersion - Dvc |
| Önerilir |
-
OlaySonuçDetaylar - Olay Şiddeti - EventUid - DvcIpAddr - DvcAna Bilgisayar Adı - DvcEtki Alanı - DvcEtki Alanı Türü - DvcFQDN - DvcId - DvcIdType - DvcAction |
| İsteğe bağlı |
-
Etkinlik Mesajı - EventSubType (Olay Alt Türü) - EventOriginalUid - EventOriginalType - EventOriginalSubType - OlayOrijinalSonuçDetaylar - OlayOrijinalŞiddet - EventProductVersion (EtkinlikÜrün Sürümü) - EventReportUrl - Etkinlik Sahibi - DvcZone (DvcBölgesi) - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - Dvc Arayüzü - EkAlanlar - DvcDescription - DvcScopeId - DvcScope |
Olaya özgü alanları işleme
Aşağıdaki tabloda listelenen alanlar İşlem olayları'na özeldir, ancak diğer şemalardaki alanlara benzer ve benzer adlandırma kurallarına uyar.
İşlem olayı şeması, oluşturma ve sonlandırma etkinliğini işlemek için merkezi olan aşağıdaki varlıklara başvurur:
- Aktör - İşlem oluşturma veya sonlandırma işlemini başlatan kullanıcı.
- ActingProcess - Aktör tarafından işlem oluşturma veya sonlandırma işlemini başlatmak için kullanılan işlem.
- TargetProcess - Yeni işlem.
- TargetUser - Kimlik bilgileri yeni işlemi oluşturmak için kullanılan kullanıcı.
- ParentProcess - Aktör İşlemi'ni başlatan işlem.
Diğer adlar
| Alan | Sınıf | Tür | Açıklama |
|---|---|---|---|
| Kullanıcı | Diğer ad | TargetUsername diğer adı. Örnek: CONTOSO\dadmin |
|
| İşlem | Diğer ad | TargetProcessName diğer adı Örnek: C:\Windows\System32\rundll32.exe |
|
| Komut Satırı | Diğer ad | TargetProcessCommandLine diğer adı | |
| Karma | Diğer ad | Hedef işlem için en iyi kullanılabilir karmanın diğer adı. |
Aktör alanları
| Alan | Sınıf | Tür | Açıklama |
|---|---|---|---|
| ActorUserId | Önerilir | String | Aktör'ün makine tarafından okunabilir, alfasayısal, benzersiz bir gösterimi. Farklı kimlik türleri için desteklenen biçim için Kullanıcı varlığına bakın. Örnek: S-1-12 |
| ActorUserIdType | Koşullu | Enumerated | ActorUserId alanında depolanan kimliğin türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UserIdType'a bakın. |
| ActorScope | İsteğe bağlı | String | ActorUserId ve ActorUsername'in tanımlandığı Microsoft Entra kiracısı gibi kapsam. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScope bölümüne bakın. |
| ActorScopeId | İsteğe bağlı | String | ActorUserId ve ActorUsername'in tanımlandığı Microsoft Entra Dizin Kimliği gibi kapsam kimliği. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScopeId bölümüne bakın. |
| ActorUsername | Zorunlu | Kullanıcı adı (Dizgi) | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere Aktör kullanıcı adı. Farklı kimlik türleri için desteklenen biçim için Kullanıcı varlığına bakın. Basit formu yalnızca etki alanı bilgileri kullanılamıyorsa kullanın. Kullanıcı adı türünü ActorUsernameType alanında depolayın. Başka kullanıcı adı biçimleri varsa, bunları alanlarında ActorUsername<UsernameType>depolayın.Örnek: AlbertE |
| ActorUsernameType | Koşullu | Enumerated | ActorUsername alanında depolanan kullanıcı adının türünü belirtir. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UsernameType'a bakın. Örnek: Windows |
| ActorSessionId | İsteğe bağlı | String | Aktör oturum açma oturumunun benzersiz kimliği. Örnek: 999Not: Tür, çeşitli sistemleri desteklemek için dize olarak tanımlanır, ancak Windows'ta bu değer sayısal olmalıdır. Windows makinesi kullanıyorsanız ve farklı bir tür kullandıysanız, değerleri dönüştürdüğünüzden emin olun. Örneğin, onaltılık bir değer kullandıysanız, bunu ondalık değere dönüştürün. |
| ActorUserType | İsteğe bağlı | UserType | Aktör türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UserType'a bakın. Not: Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değer bu değerlere normalleştirilmelidir. Özgün değeri ActorOriginalUserType alanında depolayın. |
| ActorOriginalUserType | İsteğe bağlı | String | Raporlama cihazı tarafından sağlanıyorsa özgün hedef kullanıcı türü. |
İşlem alanlarının eyleme geçirmesi
| Alan | Sınıf | Tür | Açıklama |
|---|---|---|---|
| ActingProcessCommandLine | İsteğe bağlı | String | Eylem işlemini çalıştırmak için kullanılan komut satırı. Örnek: "choco.exe" -v |
| ActingProcessName | İsteğe bağlı | Dize | Eylem işleminin adı. Bu ad genellikle işlemin sanal adres alanına eşlenen ilk kodu ve verileri tanımlamak için kullanılan görüntü veya yürütülebilir dosyadan türetilir. Örnek: C:\Windows\explorer.exe |
| ActingProcessFilename | İsteğe bağlı | String | Dosya adının ActingProcessNamekısmı, klasör bilgisi olmadan. Örnek: explorer.exe |
| ActingProcessFileCompany | İsteğe bağlı | String | Eylem süreci görüntü dosyasını oluşturan şirket. Örnek: Microsoft |
| ActingProcessFileDescription | İsteğe bağlı | String | Eylem işlemi görüntü dosyasının sürüm bilgilerine eklenmiş açıklama. Örnek: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | İsteğe bağlı | String | İşlem görüntüsü dosyasındaki sürüm bilgilerinden ürün adı. Örnek: Notepad++ |
| ActingProcessFileVersion | İsteğe bağlı | String | İşlem görüntüsü dosyasının sürüm bilgilerinden ürün sürümü. Örnek: 7.9.5.0 |
| ActingProcessFileInternalName | İsteğe bağlı | String | İşlem görüntüsü dosyasının sürüm bilgilerinden ürün iç dosya adı. |
| ActingProcessFileOriginalName | İsteğe bağlı | String | İşlem görüntüsü dosyasının sürüm bilgilerinden ürün özgün dosya adı. Örnek: Notepad++.exe |
| ActingProcessIsHidden | İsteğe bağlı | Boolean | İşlem işleminin gizli modda olup olmadığını gösteren bir gösterge. |
| ActingProcessInjectedAddress | İsteğe bağlı | String | Sorumlu eylem işleminin depolandığı bellek adresi. |
| ActingProcessId | Zorunlu | String | Eylem işleminin işlem kimliği (PID). Örnek: 48610176 Not: Tür, farklı sistemleri desteklemek için dize olarak tanımlanır, ancak Windows ve Linux'ta bu değer sayısal olmalıdır. Windows veya Linux makinesi kullanıyorsanız ve farklı bir tür kullandıysanız, değerleri dönüştürdüğünüzden emin olun. Örneğin, onaltılık bir değer kullandıysanız, bunu ondalık değere dönüştürün. |
| ActingProcessGuid | İsteğe bağlı | GUID (dizeli) | Eylem işleminin oluşturulan benzersiz tanımlayıcısı (GUID). Sürecin sistemler arasında tanımlanmasını sağlar. Örnek: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | İsteğe bağlı | String | Her işlemin belirtecinde temsil edilen bir bütünlük düzeyi vardır. Bütünlük düzeyleri, koruma veya erişim işleminin düzeyini belirler. Windows aşağıdaki bütünlük düzeylerini tanımlar: düşük, orta, yüksek ve sistem. Standart kullanıcılar orta düzeyde bütünlük düzeyi, yükseltilmiş kullanıcılar ise yüksek bütünlük düzeyi alır. Daha fazla bilgi için bkz . Zorunlu Bütünlük Denetimi - Win32 uygulamaları. |
| ActingProcessMD5 | İsteğe bağlı | String | İşlem görüntüsü dosyasının MD5 karması. Örnek: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | İsteğe bağlı | SHA1 | İşlem görüntüsü dosyasının SHA-1 karması. Örnek: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | İsteğe bağlı | SHA256 | İşlem görüntüsü dosyasının SHA-256 karması. Örnek: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | İsteğe bağlı | SHA512 | İşlem görüntüsü dosyasının SHA-512 karması. |
| ActingProcessIMPHASH | İsteğe bağlı | String | İşlem tarafından kullanılan tüm kitaplık DLL'lerinin İçeri Aktarma Karması. |
| ActingProcessCreationTime | İsteğe bağlı | DateTime | Eylem sürecinin başlatıldığı tarih ve saat. |
| ActingProcessTokenElevation | İsteğe bağlı | String | Eylem işlemine uygulanan Kullanıcı Erişim Denetimi (UAC) ayrıcalık yükseltmesinin varlığını veya yokluğunu gösteren belirteç. Örnek: None |
| ActingProcessFileSize | İsteğe bağlı | Uzun | İşlem işlemini çalıştıran dosyanın boyutu. |
Üst işlem alanları
| Alan | Sınıf | Tür | Açıklama |
|---|---|---|---|
| ParentProcessName | İsteğe bağlı | Dize | Üst işlemin adı. Bu ad genellikle işlemin sanal adres alanına eşlenen ilk kodu ve verileri tanımlamak için kullanılan görüntü veya yürütülebilir dosyadan türetilir. Örnek: C:\Windows\explorer.exe |
| ParentProcessFileCompany | İsteğe bağlı | String | Üst işlem görüntü dosyasını oluşturan şirketin adı. Örnek: Microsoft |
| ParentProcessFileDescription | İsteğe bağlı | String | Üst işlem görüntü dosyasındaki sürüm bilgilerinden açıklama. Örnek: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | İsteğe bağlı | String | Üst işlem görüntü dosyasındaki sürüm bilgilerinden ürün adı. Örnek: Notepad++ |
| ParentProcessFileVersion | İsteğe bağlı | String | Üst işlem görüntü dosyasındaki sürüm bilgilerinden ürün sürümü. Örnek: 7.9.5.0 |
| ParentProcessIsHidden | İsteğe bağlı | Boolean | Üst işlemin gizli modda olup olmadığını gösteren bir gösterge. |
| ParentProcessInjectedAddress | İsteğe bağlı | String | Sorumlu üst işlemin depolandığı bellek adresi. |
| ParentProcessId | Önerilir | String | Üst işlemin işlem kimliği (PID). Örnek: 48610176 |
| ParentProcessGuid | İsteğe bağlı | String | Üst işlemin oluşturulan benzersiz tanımlayıcısı (GUID). Sürecin sistemler arasında tanımlanmasını sağlar. Örnek: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | İsteğe bağlı | String | Her işlemin belirtecinde temsil edilen bir bütünlük düzeyi vardır. Bütünlük düzeyleri, koruma veya erişim işleminin düzeyini belirler. Windows aşağıdaki bütünlük düzeylerini tanımlar: düşük, orta, yüksek ve sistem. Standart kullanıcılar orta düzeyde bütünlük düzeyi, yükseltilmiş kullanıcılar ise yüksek bütünlük düzeyi alır. Daha fazla bilgi için bkz . Zorunlu Bütünlük Denetimi - Win32 uygulamaları. |
| ParentProcessMD5 | İsteğe bağlı | MD5 | Üst işlem görüntü dosyasının MD5 karması. Örnek: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | İsteğe bağlı | SHA1 | Üst işlem görüntü dosyasının SHA-1 karması. Örnek: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | İsteğe bağlı | SHA256 | Üst işlem görüntü dosyasının SHA-256 karması. Örnek: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | İsteğe bağlı | SHA512 | Üst işlem görüntü dosyasının SHA-512 karması. |
| ParentProcessIMPHASH | İsteğe bağlı | String | Üst işlem tarafından kullanılan tüm kitaplık DLL'lerinin İçeri Aktarma Karması. |
| ParentProcessTokenElevation | İsteğe bağlı | String | Üst işleme uygulanan Kullanıcı Erişim Denetimi (UAC) ayrıcalık yükseltmesinin varlığını veya yokluğunu gösteren bir belirteç. Örnek: None |
| ParentProcessCreationTime | İsteğe bağlı | DateTime | Üst işlemin başlatıldığı tarih ve saat. |
Hedef kullanıcı alanları
| Alan | Sınıf | Tür | Açıklama |
|---|---|---|---|
| HedefKullanıcı Adı | İşlem oluşturma olayları için zorunlu. | Kullanıcı adı (Dizgi) | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef kullanıcı adı. Farklı kimlik türleri için desteklenen biçim için Kullanıcı varlığına bakın. Basit formu yalnızca etki alanı bilgileri kullanılamıyorsa kullanın. Kullanıcı adı türünü TargetUsernameType alanında depolayın. Başka kullanıcı adı biçimleri varsa, bunları alanlarında TargetUsername<UsernameType>depolayın.Örnek: AlbertE |
| TargetUsernameType | Koşullu | Enumerated | TargetUsername alanında depolanan kullanıcı adının türünü belirtir. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UsernameType'a bakın. Örnek: Windows |
| TargetUserId | Önerilir | String | Makine tarafından okunabilir, alfasayısal, hedef kullanıcının benzersiz gösterimi. Farklı kimlik türleri için desteklenen biçim için Kullanıcı varlığına bakın. Örnek: S-1-12 |
| TargetUserIdType | Koşullu | UserIdType | TargetUserId alanında depolanan kimliğin türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UserIdType'a bakın. |
| TargetUserSessionId | İsteğe bağlı | String | Hedef kullanıcının oturum açma oturumunun benzersiz kimliği. Örnek: 999 Not: Tür, çeşitli sistemleri desteklemek için dize olarak tanımlanır, ancak Windows'ta bu değer sayısal olmalıdır. Windows veya Linux makinesi kullanıyorsanız ve farklı bir tür kullandıysanız, değerleri dönüştürdüğünüzden emin olun. Örneğin, onaltılık bir değer kullandıysanız, bunu ondalık değere dönüştürün. |
| TargetUserSessionGuid | İsteğe bağlı | String | Hedef kullanıcının giriş oturumunun benzersiz GUID'si, raporlama cihazı tarafından bildirilen şekilde. Örnek: {12345678-1234-1234-1234-123456789012} |
| TargetUserType | İsteğe bağlı | UserType | Aktör türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UserType'a bakın. Not: Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değer bu değerlere normalleştirilmelidir. Özgün değeri TargetOriginalUserType alanında depolayın. |
| TargetOriginalUserType | İsteğe bağlı | String | Raporlama cihazı tarafından sağlanıyorsa özgün hedef kullanıcı türü. |
| TargetUserScope | İsteğe bağlı | String | TargetUserId ve TargetUsername'in tanımlandığı Microsoft Entra kiracısı gibi kapsam. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScope bölümüne bakın. |
| TargetUserScopeId | İsteğe bağlı | String | TargetUserId ve TargetUsername'in tanımlandığı Microsoft Entra Dizin Kimliği gibi kapsam kimliği. daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScopeId bölümüne bakın. |
Hedef işlem alanları
| Alan | Sınıf | Tür | Açıklama |
|---|---|---|---|
| TargetProcessName | Zorunlu | Dize | Hedef işlemin adı. Bu ad genellikle işlemin sanal adres alanına eşlenen ilk kodu ve verileri tanımlamak için kullanılan görüntü veya yürütülebilir dosyadan türetilir. Örnek: C:\Windows\explorer.exe |
| TargetProcessFilename | İsteğe bağlı | String | Dosya adının TargetProcessNamekısmı, klasör bilgisi olmadan. Örnek: explorer.exe |
| TargetProcessFileCompany | İsteğe bağlı | String | Hedef işlem görüntü dosyasını oluşturan şirketin adı. Örnek: Microsoft |
| TargetProcessFileDescription | İsteğe bağlı | String | Hedef işlem görüntü dosyasındaki sürüm bilgilerinden açıklama. Örnek: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | İsteğe bağlı | String | Hedef işlem görüntü dosyasındaki sürüm bilgilerinden ürün adı. Örnek: Notepad++ |
| TargetProcessFileSize | İsteğe bağlı | Uzun | Olaydan sorumlu işlemi çalıştıran dosyanın boyutu. |
| TargetProcessFileVersion | İsteğe bağlı | String | Hedef işlem görüntü dosyasındaki sürüm bilgilerinden ürün sürümü. Örnek: 7.9.5.0 |
| TargetProcessFileInternalName | İsteğe bağlı | String | Hedef işlemin görüntü dosyasının sürüm bilgilerinden ürün iç dosya adı. |
| TargetProcessFileOriginalName | İsteğe bağlı | String | Hedef işlemin görüntü dosyasının sürüm bilgilerinden ürün özgün dosya adı. |
| TargetProcessIsHidden | İsteğe bağlı | Boolean | Hedef işlemin gizli modda olup olmadığını gösteren bir gösterge. |
| TargetProcessInjectedAddress | İsteğe bağlı | String | Sorumlu hedef işlemin depolandığı bellek adresi. |
| TargetProcessMD5 | İsteğe bağlı | MD5 | Hedef işlem görüntü dosyasının MD5 karması. Örnek: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | İsteğe bağlı | SHA1 | Hedef işlem görüntü dosyasının SHA-1 karması. Örnek: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | İsteğe bağlı | SHA256 | Hedef işlem görüntü dosyasının SHA-256 karması. Örnek: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | İsteğe bağlı | SHA512 | Hedef işlem görüntü dosyasının SHA-512 karması. |
| TargetProcessIMPHASH | İsteğe bağlı | String | Hedef işlem tarafından kullanılan tüm kitaplık DLL'lerinin İçeri Aktarma Karması. |
| HashType | Koşullu | Enumerated | KARMA diğer ad alanında depolanan karma türü, izin verilen değerler , , MD5SHASHA256ve SHA512'tir.IMPHASH |
| TargetProcessCommandLine | Zorunlu | String | Hedef işlemi çalıştırmak için kullanılan komut satırı. Örnek: "choco.exe" -v |
| TargetProcessCurrentDirectory | İsteğe bağlı | String | Hedef işlemin yürütüldiği geçerli dizin. Örnek: c:\windows\system32 |
| TargetProcessCreationTime | Önerilir | DateTime | Hedef işlem görüntü dosyasının sürüm bilgilerinden ürün sürümü. |
| TargetProcessId | Zorunlu | String | Hedef işlemin işlem kimliği (PID). Örnek: 48610176Not: Tür, farklı sistemleri desteklemek için dize olarak tanımlanır, ancak Windows ve Linux'ta bu değer sayısal olmalıdır. Windows veya Linux makinesi kullanıyorsanız ve farklı bir tür kullandıysanız, değerleri dönüştürdüğünüzden emin olun. Örneğin, onaltılık bir değer kullandıysanız, bunu ondalık değere dönüştürün. |
| TargetProcessGuid | İsteğe bağlı | GUID (Diz) | Hedef işlemin oluşturulan benzersiz tanımlayıcısı (GUID). Sürecin sistemler arasında tanımlanmasını sağlar. Örnek: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | İsteğe bağlı | String | Her işlemin belirtecinde temsil edilen bir bütünlük düzeyi vardır. Bütünlük düzeyleri, koruma veya erişim işleminin düzeyini belirler. Windows aşağıdaki bütünlük düzeylerini tanımlar: düşük, orta, yüksek ve sistem. Standart kullanıcılar orta düzeyde bütünlük düzeyi, yükseltilmiş kullanıcılar ise yüksek bütünlük düzeyi alır. Daha fazla bilgi için bkz . Zorunlu Bütünlük Denetimi - Win32 uygulamaları. |
| TargetProcessTokenElevation | İsteğe bağlı | String | Oluşturulan veya sonlandırılan işleme uygulanan Kullanıcı Erişim Denetimi (UAC) ayrıcalık yükseltmesinin varlığını veya yokluğunu gösteren belirteç türü. Örnek: None |
| TargetProcessStatusCode | İsteğe bağlı | String | Sonlandırıldığında hedef işlem tarafından döndürülen çıkış kodu. Bu alan yalnızca işlem sonlandırma olayları için geçerlidir. Tutarlılık için, işletim sistemi tarafından sağlanan değer sayısal olsa bile alan türü dizedir. |
Denetim alanları
Aşağıdaki alanlar, bir güvenlik sistemi olan bir EDR sistemi tarafından yapılan denetimi temsil etmek için kullanılır.
| Alan | Sınıf | Tür | Açıklama |
|---|---|---|---|
| Rulename | İsteğe bağlı | String | Denetim sonuçlarıyla ilişkili kuralın adı veya kimliği. |
| KuralSayısı | İsteğe bağlı | Integer | denetim sonuçlarıyla ilişkili kuralın sayısı. |
| Kural | Koşullu | String | kRuleName değeri veya RuleNumber değeri. RuleNumber değeri kullanılırsa, türü dizeye dönüştürülmelidir. |
| Tehdit Kimliği | İsteğe bağlı | String | Dosya etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılımın kimliği. |
| Tehdit Adı | İsteğe bağlı | String | Dosya etkinliğinde tanımlanan tehdidin veya kötü amaçlı yazılımın adı. Örnek: EICAR Test File |
| Tehdit Kategorisi | İsteğe bağlı | String | Dosya etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılım kategorisi. Örnek: Trojan |
| ThreatRiskLevel (Tehdit Risk Düzeyi) | İsteğe bağlı | RiskLevel (Tam Sayı) | Tanımlanan tehditle ilişkili risk düzeyi. Düzey 0 ile 100 arasında bir sayı olmalıdır. Not: Bu değer kaynak kayıtta farklı bir ölçek kullanılarak sağlanabilir ve bu ölçek normalleştirilmelidir. Orijinal değer ThreatOriginalRiskLevel'de saklanmalıdır. |
| TehditOrijinalRiskSeviye | İsteğe bağlı | String | Raporlama cihazı tarafından bildirilen risk düzeyi. |
| Tehdit Alanı | İsteğe bağlı | String | Bir tehdidin tanımlandığı alan. |
| Tehdit Alanı | İsteğe bağlı | String | Bir tehdidin tanımlandığı alan. |
| Tehdit Güveni | İsteğe bağlı | Güven Seviyesi (Tam Sayı) | Tanımlanan tehdidin güvenilirlik düzeyi, 0 ile 100 arasında bir değere normalleştirilir. |
| ThreatOriginalConfidence | İsteğe bağlı | String | Raporlama cihazı tarafından bildirilen, tanımlanan tehdidin özgün güvenilirlik düzeyi. |
| ThreatIsActive (Tehdit Aktif) | İsteğe bağlı | Boolean | Tanımlanan tehdit etkin bir tehdit olarak kabul edilirse true. |
| ThreatFirstReportedTime (İlk Olarak Bildirildi) | İsteğe bağlı | datetime | IP adresi veya etki alanı ilk kez bir tehdit olarak tanımlandı. |
| ThreatLastReportedTime | İsteğe bağlı | datetime | IP adresinin veya etki alanının en son ne zaman tehdit olarak tanımlandığı. |
Şema güncelleştirmeleri
Şemanın 0.1.1 sürümündeki değişiklikler şunlardır:
- alanını
EventSchemaekledik.
Bunlar şemanın 0.1.2 sürümündeki değişikliklerdir
- , ,
ActorUserType,ActorOriginalUserTypeTargetUserTypeveTargetOriginalUserTypealanlarınıHashTypeekledik.
Bunlar şemanın 0.1.3 sürümündeki değişikliklerdir
- Alanları
ParentProcessIdveTargetProcessCreationTimezorunlu olan alanları önerilen olarak değiştirdi.
Bunlar şemanın 0.1.4 sürümündeki değişikliklerdir
- ,
ActorScopeveDvcScopeIdalanlarınıDvcScopeekledik.
Sonraki adımlar
Daha fazla bilgi için bkz.
- ASIM Web seminerini izleyin veya slaytları gözden geçirin
- Gelişmiş Güvenlik Bilgileri Modeline (ASIM) genel bakış
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) içeriği