Gelişmiş Güvenlik Bilgileri Modeli (ASIM) İşlem Olayı normalleştirme şema başvurusu (Genel önizleme)
İşlem Olayı normalleştirme şeması, bir işlemi çalıştırmanın ve sonlandırmanın işletim sistemi etkinliğini açıklamak için kullanılır. Bu tür olaylar, EDR (Uç Nokta Algılama ve Yanıt) sistemleri gibi işletim sistemleri ve güvenlik sistemleri tarafından bildirilir.
OSSEM tarafından tanımlanan bir işlem, bir programın çalışan örneğini temsil eden bir kapsama ve yönetim nesnesidir. İşlemler çalışmasa da, kodu çalıştıran ve yürüten iş parçacıklarını yönetir.
Microsoft Sentinel'de normalleştirme hakkında daha fazla bilgi için bkz . Normalleştirme ve Gelişmiş Güvenlik Bilgileri Modeli (ASIM).
Önemli
İşlem Olayı normalleştirme şeması şu anda ÖNİzLEME aşamasındadır. Bu özellik bir hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yükleri için önerilmez.
Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.
Çözümleyicileri
Listelenen tüm ayrıştırıcıları birleştiren birleştirici ayrıştırıcıları kullanmak ve yapılandırılan tüm kaynaklar arasında çözümlediğinizden emin olmak için, sorgularınızda aşağıdaki tablo adlarını kullanın:
- imProcessİşlem oluşturma bilgileri gerektiren sorgular için oluşturun . Bu sorgular en yaygın durumlardır.
- İşlem sonlandırma bilgileri gerektiren sorgular için imProcessTerminate .
İşlem Olayı ayrıştırıcılarının listesi için Microsoft Sentinel kullanıma hazır sağlar. ASIM ayrıştırıcıları listesine bakın.
Microsoft Sentinel GitHub deposundan Kimlik Doğrulaması ayrıştırıcılarını dağıtın.
Daha fazla bilgi için bkz . ASIM ayrıştırıcılarına genel bakış.
Kendi normalleştirilmiş ayrıştırıcılarınızı ekleme
Özel işlem olayı ayrıştırıcıları uygularken, aşağıdaki söz dizimini kullanarak KQL işlevlerinizi adlandırın: imProcessCreate<vendor><Product> ve imProcessTerminate<vendor><Product>. parametresiz sürüm için şununla ASim değiştirinim.
KQL işlevinizi ASIM ayrıştırıcılarını yönetme bölümünde açıklandığı gibi birleştirici ayrıştırıcılara ekleyin.
Ayrıştırıcı parametrelerini filtreleme
im ve ayrıştırıcıları filtreleme parametrelerini destekler.vim* Bu ayrıştırıcılar isteğe bağlı olsa da sorgu performansınızı artırabilir.
Aşağıdaki filtreleme parametreleri kullanılabilir:
| Ad | Tür | Tanım |
|---|---|---|
| Starttime | datetime | Yalnızca şu anda veya sonrasında gerçekleşen işlem olaylarını filtreleyin. |
| Endtime | datetime | Yalnızca bu saatten önce veya öncesinde gerçekleşen olay sorgularını filtreleyin. |
| commandline_has_any | dynamic | Yalnızca komut satırının listelenmiş değerlerden herhangi birine sahip olduğu işlem olaylarını filtreleyin. Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
| commandline_has_all | dynamic | Yalnızca komut satırının çalıştırıldığı ve listelenen tüm değerlerin bulunduğu işlem olaylarını filtreleyin.. Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
| commandline_has_any_ip_prefix | dynamic | Yalnızca komut satırının çalıştırıldığı ve listelenen tüm IP adreslerinin veya IP adresi ön eklerinin bulunduğu işlem olaylarını filtreleyin. Ön ekler ile .bitmelidir, örneğin: 10.0.. Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
| actingprocess_has_any | dynamic | Yalnızca işlem yolunun tamamını içeren işlem adının listelenen değerlerden herhangi birine sahip olduğu işlem olaylarını filtreleyin. Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
| targetprocess_has_any | dynamic | Yalnızca işlem yolunun tamamını içeren hedef işlem adının listelenen değerlerden herhangi birine sahip olduğu işlem olaylarını filtreleyin. Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
| parentprocess_has_any | dynamic | Yalnızca işlem yolunun tamamını içeren hedef işlem adının listelenen değerlerden herhangi birine sahip olduğu işlem olaylarını filtreleyin. Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
| targetusername_has veya actorusername_has | Dize | Yalnızca hedef kullanıcı adının (işlem oluşturma olayları için) veya aktör kullanıcı adının (işlem sonlandırma olayları için) listelenen değerlerden herhangi birine sahip olduğu işlem olaylarını filtreleyin. Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
| dvcipaddr_has_any_prefix | dynamic | Yalnızca cihaz IP adresinin listelenen IP adreslerinden veya IP adresi ön eklerinden herhangi biri ile eşleştiği işlem olaylarını filtreleyin. Ön ekler ile .bitmelidir, örneğin: 10.0.. Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
| dvchostname_has_any | dynamic | Yalnızca cihaz ana bilgisayar adının veya cihaz FQDN'sinin kullanılabilir olduğu işlem olaylarını filtreleyin ve listelenen değerlerden herhangi birini kullanın. Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
| Eventtype | Dize | Yalnızca belirtilen türdeki işlem olaylarını filtreleyin. |
veya örneğin, yalnızca son güne ait kimlik doğrulama olaylarını belirli bir kullanıcıya filtrelemek için şunu kullanın:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Bahşiş
Sabit bir listeyi dinamik değer bekleyen parametrelere geçirmek için, dinamik değişmez değeri açıkça kullanın. Örneğin: dynamic(['192.168.','10.']).
Normalleştirilmiş içerik
Normalleştirilmiş işlem olaylarını kullanan analiz kurallarının tam listesi için bkz . İşlem Olayı güvenlik içeriği.
Şema ayrıntıları
İşlem Olayı bilgi modeli, OSSEM İşlem varlık şemasına hizalanır.
Ortak ASIM alanları
Önemli
Tüm şemalarda ortak olan alanlar ASIM Ortak Alanları makalesinde ayrıntılı olarak açıklanmıştır.
Belirli yönergelere sahip ortak alanlar
Aşağıdaki listede, işlem etkinliği olayları için belirli yönergelere sahip alanlardan bahsediliyor:
| Alan | Sınıf | Türü | Tanım |
|---|---|---|---|
| Eventtype | Zorunlu | Enumerated | Kayıt tarafından bildirilen işlemi açıklar. İşlem kayıtları için desteklenen değerler şunlardır: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Zorunlu | String | Şema sürümü. Şemanın burada belgelenen sürümü 0.1.4 |
| EventSchema | İsteğe bağlı | String | Burada belgelenen şemanın adıdır ProcessEvent. |
| Dvc alanları | İşlem etkinliği olayları için cihaz alanları, işlemin yürütülmekte olduğu sisteme başvurur. |
Önemli
Bu EventSchema alan şu anda isteğe bağlıdır ancak 1 Eylül 2022'de Zorunlu olacaktır.
Tüm ortak alanlar
Aşağıdaki tabloda görünen alanlar tüm ASIM şemalarında ortaktır. Yukarıda belirtilen tüm yönergeler, alanın genel yönergelerini geçersiz kılar. Örneğin, bir alan genel olarak isteğe bağlı olabilir, ancak belirli bir şema için zorunlu olabilir. Her alan hakkında daha fazla ayrıntı için ASIM Ortak Alanları makalesine bakın.
| Sınıfı | Alanlar |
|---|---|
| Zorunlu | - EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Önerilir | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| İsteğe bağlı | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - EkAlanlar - DvcDescription - DvcScopeId - DvcScope |
Olaya özgü alanları işleme
Aşağıdaki tabloda listelenen alanlar İşlem olayları'na özeldir, ancak diğer şemalardaki alanlara benzer ve benzer adlandırma kurallarına uyar.
İşlem olayı şeması, oluşturma ve sonlandırma etkinliğini işlemek için merkezi olan aşağıdaki varlıklara başvurur:
- Aktör - İşlem oluşturma veya sonlandırma işlemini başlatan kullanıcı.
- ActingProcess - Aktör tarafından işlem oluşturma veya sonlandırma işlemini başlatmak için kullanılan işlem.
- TargetProcess - Yeni işlem.
- TargetUser - Kimlik bilgileri yeni işlemi oluşturmak için kullanılan kullanıcı.
- ParentProcess - Aktör İşlemi'ni başlatan işlem.
Diğer adlar
| Alan | Sınıf | Türü | Tanım |
|---|---|---|---|
| Kullanıcı | Diğer ad | TargetUsername diğer adı. Örnek: CONTOSO\dadmin |
|
| Işlem | Diğer ad | TargetProcessName diğer adı Örnek: C:\Windows\System32\rundll32.exe |
|
| Commandline | Diğer ad | TargetProcessCommandLine diğer adı | |
| Karma | Diğer ad | Hedef işlem için en iyi kullanılabilir karmanın diğer adı. |
Aktör alanları
| Alan | Sınıf | Türü | Tanım |
|---|---|---|---|
| ActorUserId | Önerilir | String | Aktör'ün makine tarafından okunabilir, alfasayısal, benzersiz bir gösterimi. Farklı kimlik türleri için desteklenen biçim için Kullanıcı varlığına bakın. Örnek: S-1-12 |
| ActorUserIdType | Koşullu | String | ActorUserId alanında depolanan kimliğin türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UserIdType'a bakın. |
| ActorScope | İsteğe bağlı | String | ActorUserId ve ActorUsername'in tanımlandığı Microsoft Entra kiracısı gibi kapsam. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScope bölümüne bakın. |
| ActorUsername | Zorunlu | String | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere Aktör kullanıcı adı. Farklı kimlik türleri için desteklenen biçim için Kullanıcı varlığına bakın. Basit formu yalnızca etki alanı bilgileri kullanılamıyorsa kullanın. Kullanıcı adı türünü ActorUsernameType alanında depolayın. Başka kullanıcı adı biçimleri varsa, bunları alanlarında ActorUsername<UsernameType>depolayın.Örnek: AlbertE |
| ActorUsernameType | Koşullu | Enumerated | ActorUsername alanında depolanan kullanıcı adının türünü belirtir. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UsernameType'a bakın. Örnek: Windows |
| ActorSessionId | İsteğe bağlı | String | Aktör oturum açma oturumunun benzersiz kimliği. Örnek: 999Not: Tür, çeşitli sistemleri desteklemek için dize olarak tanımlanır, ancak Windows'ta bu değer sayısal olmalıdır. Windows makinesi kullanıyorsanız ve farklı bir tür kullandıysanız, değerleri dönüştürdüğünüzden emin olun. Örneğin, onaltılık bir değer kullandıysanız, bunu ondalık değere dönüştürün. |
| ActorUserType | İsteğe bağlı | UserType | Aktör türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UserType'a bakın. Not: Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değer bu değerlere normalleştirilmelidir. Özgün değeri ActorOriginalUserType alanında depolayın. |
| ActorOriginalUserType | İsteğe bağlı | String | Raporlama cihazı tarafından sağlanıyorsa özgün hedef kullanıcı türü. |
İşlem alanlarının eyleme geçirmesi
| Alan | Sınıf | Türü | Tanım |
|---|---|---|---|
| ActingProcessCommandLine | İsteğe bağlı | String | Eylem işlemini çalıştırmak için kullanılan komut satırı. Örnek: "choco.exe" -v |
| ActingProcessName | İsteğe bağlı | Dize | Eylem işleminin adı. Bu ad genellikle işlemin sanal adres alanına eşlenen ilk kodu ve verileri tanımlamak için kullanılan görüntü veya yürütülebilir dosyadan türetilir. Örnek: C:\Windows\explorer.exe |
| ActingProcessFileCompany | İsteğe bağlı | String | Eylem süreci görüntü dosyasını oluşturan şirket. Örnek: Microsoft |
| ActingProcessFileDescription | İsteğe bağlı | String | Eylem işlemi görüntü dosyasının sürüm bilgilerine eklenmiş açıklama. Örnek: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | İsteğe bağlı | String | İşlem görüntüsü dosyasındaki sürüm bilgilerinden ürün adı. Örnek: Notepad++ |
| ActingProcessFileVersion | İsteğe bağlı | String | İşlem görüntüsü dosyasının sürüm bilgilerinden ürün sürümü. Örnek: 7.9.5.0 |
| ActingProcessFileInternalName | İsteğe bağlı | String | İşlem görüntüsü dosyasının sürüm bilgilerinden ürün iç dosya adı. |
| ActingProcessFileOriginalName | İsteğe bağlı | String | İşlem görüntüsü dosyasının sürüm bilgilerinden ürün özgün dosya adı. Örnek: Notepad++.exe |
| ActingProcessIsHidden | İsteğe bağlı | Boolean | İşlem işleminin gizli modda olup olmadığını gösteren bir gösterge. |
| ActingProcessInjectedAddress | İsteğe bağlı | String | Sorumlu eylem işleminin depolandığı bellek adresi. |
| ActingProcessId | Zorunlu | String | Eylem işleminin işlem kimliği (PID). Örnek: 48610176 Not: Tür, farklı sistemleri desteklemek için dize olarak tanımlanır, ancak Windows ve Linux'ta bu değer sayısal olmalıdır. Windows veya Linux makinesi kullanıyorsanız ve farklı bir tür kullandıysanız, değerleri dönüştürdüğünüzden emin olun. Örneğin, onaltılık bir değer kullandıysanız, bunu ondalık değere dönüştürün. |
| ActingProcessGuid | İsteğe bağlı | Dize | Eylem işleminin oluşturulan benzersiz tanımlayıcısı (GUID). Sürecin sistemler arasında tanımlanmasını sağlar. Örnek: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | İsteğe bağlı | String | Her işlemin belirtecinde temsil edilen bir bütünlük düzeyi vardır. Bütünlük düzeyleri, koruma veya erişim işleminin düzeyini belirler. Windows aşağıdaki bütünlük düzeylerini tanımlar: düşük, orta, yüksek ve sistem. Standart kullanıcılar orta düzeyde bütünlük düzeyi, yükseltilmiş kullanıcılar ise yüksek bütünlük düzeyi alır. Daha fazla bilgi için bkz . Zorunlu Bütünlük Denetimi - Win32 uygulamaları. |
| ActingProcessMD5 | İsteğe bağlı | String | İşlem görüntüsü dosyasının MD5 karması. Örnek: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | İsteğe bağlı | SHA1 | İşlem görüntüsü dosyasının SHA-1 karması. Örnek: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | İsteğe bağlı | SHA256 | İşlem görüntüsü dosyasının SHA-256 karması. Örnek: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | İsteğe bağlı | SHA521 | İşlem görüntüsü dosyasının SHA-512 karması. |
| ActingProcessIMPHASH | İsteğe bağlı | String | İşlem tarafından kullanılan tüm kitaplık DLL'lerinin İçeri Aktarma Karması. |
| ActingProcessCreationTime | İsteğe bağlı | Tarih-Saat | Eylem sürecinin başlatıldığı tarih ve saat. |
| ActingProcessTokenElevation | İsteğe bağlı | String | Eylem işlemine uygulanan Kullanıcı Erişim Denetimi (UAC) ayrıcalık yükseltmesinin varlığını veya yokluğunu gösteren belirteç. Örnek: None |
| ActingProcessFileSize | İsteğe bağlı | Uzun | İşlem işlemini çalıştıran dosyanın boyutu. |
Üst işlem alanları
| Alan | Sınıf | Türü | Tanım |
|---|---|---|---|
| ParentProcessName | İsteğe bağlı | Dize | Üst işlemin adı. Bu ad genellikle işlemin sanal adres alanına eşlenen ilk kodu ve verileri tanımlamak için kullanılan görüntü veya yürütülebilir dosyadan türetilir. Örnek: C:\Windows\explorer.exe |
| ParentProcessFileCompany | İsteğe bağlı | String | Üst işlem görüntü dosyasını oluşturan şirketin adı. Örnek: Microsoft |
| ParentProcessFileDescription | İsteğe bağlı | String | Üst işlem görüntü dosyasındaki sürüm bilgilerinden açıklama. Örnek: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | İsteğe bağlı | String | Üst işlem görüntü dosyasındaki sürüm bilgilerinden ürün adı. Örnek: Notepad++ |
| ParentProcessFileVersion | İsteğe bağlı | String | Üst işlem görüntü dosyasındaki sürüm bilgilerinden ürün sürümü. Örnek: 7.9.5.0 |
| ParentProcessIsHidden | İsteğe bağlı | Boolean | Üst işlemin gizli modda olup olmadığını gösteren bir gösterge. |
| ParentProcessInjectedAddress | İsteğe bağlı | String | Sorumlu üst işlemin depolandığı bellek adresi. |
| ParentProcessId | Önerilir | String | Üst işlemin işlem kimliği (PID). Örnek: 48610176 |
| ParentProcessGuid | İsteğe bağlı | String | Üst işlemin oluşturulan benzersiz tanımlayıcısı (GUID). Sürecin sistemler arasında tanımlanmasını sağlar. Örnek: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | İsteğe bağlı | String | Her işlemin belirtecinde temsil edilen bir bütünlük düzeyi vardır. Bütünlük düzeyleri, koruma veya erişim işleminin düzeyini belirler. Windows aşağıdaki bütünlük düzeylerini tanımlar: düşük, orta, yüksek ve sistem. Standart kullanıcılar orta düzeyde bütünlük düzeyi, yükseltilmiş kullanıcılar ise yüksek bütünlük düzeyi alır. Daha fazla bilgi için bkz . Zorunlu Bütünlük Denetimi - Win32 uygulamaları. |
| ParentProcessMD5 | İsteğe bağlı | MD5 | Üst işlem görüntü dosyasının MD5 karması. Örnek: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | İsteğe bağlı | SHA1 | Üst işlem görüntü dosyasının SHA-1 karması. Örnek: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | İsteğe bağlı | SHA256 | Üst işlem görüntü dosyasının SHA-256 karması. Örnek: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | İsteğe bağlı | SHA512 | Üst işlem görüntü dosyasının SHA-512 karması. |
| ParentProcessIMPHASH | İsteğe bağlı | String | Üst işlem tarafından kullanılan tüm kitaplık DLL'lerinin İçeri Aktarma Karması. |
| ParentProcessTokenElevation | İsteğe bağlı | String | Üst işleme uygulanan Kullanıcı Erişim Denetimi (UAC) ayrıcalık yükseltmesinin varlığını veya yokluğunu gösteren bir belirteç. Örnek: None |
| ParentProcessCreationTime | İsteğe bağlı | Tarih-Saat | Üst işlemin başlatıldığı tarih ve saat. |
Hedef kullanıcı alanları
| Alan | Sınıf | Türü | Tanım |
|---|---|---|---|
| TargetUsername | İşlem oluşturma olayları için zorunlu. | String | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef kullanıcı adı. Farklı kimlik türleri için desteklenen biçim için Kullanıcı varlığına bakın. Basit formu yalnızca etki alanı bilgileri kullanılamıyorsa kullanın. Kullanıcı adı türünü TargetUsernameType alanında depolayın. Başka kullanıcı adı biçimleri varsa, bunları alanlarında TargetUsername<UsernameType>depolayın.Örnek: AlbertE |
| TargetUsernameType | Koşullu | Enumerated | TargetUsername alanında depolanan kullanıcı adının türünü belirtir. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UsernameType'a bakın. Örnek: Windows |
| TargetUserId | Önerilir | String | Makine tarafından okunabilir, alfasayısal, hedef kullanıcının benzersiz gösterimi. Farklı kimlik türleri için desteklenen biçim için Kullanıcı varlığına bakın. Örnek: S-1-12 |
| TargetUserIdType | Koşullu | String | TargetUserId alanında depolanan kimliğin türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UserIdType'a bakın. |
| TargetUserSessionId | İsteğe bağlı | String | Hedef kullanıcının oturum açma oturumunun benzersiz kimliği. Örnek: 999 Not: Tür, çeşitli sistemleri desteklemek için dize olarak tanımlanır, ancak Windows'ta bu değer sayısal olmalıdır. Windows veya Linux makinesi kullanıyorsanız ve farklı bir tür kullandıysanız, değerleri dönüştürdüğünüzden emin olun. Örneğin, onaltılık bir değer kullandıysanız, bunu ondalık değere dönüştürün. |
| TargetUserType | İsteğe bağlı | UserType | Aktör türü. İzin verilen değerlerin listesi ve daha fazla bilgi için Şemaya Genel Bakış makalesindeki UserType'a bakın. Not: Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değer bu değerlere normalleştirilmelidir. Özgün değeri TargetOriginalUserType alanında depolayın. |
| TargetOriginalUserType | İsteğe bağlı | String | Raporlama cihazı tarafından sağlanıyorsa özgün hedef kullanıcı türü. |
Hedef işlem alanları
| Alan | Sınıf | Türü | Tanım |
|---|---|---|---|
| TargetProcessName | Zorunlu | Dize | Hedef işlemin adı. Bu ad genellikle işlemin sanal adres alanına eşlenen ilk kodu ve verileri tanımlamak için kullanılan görüntü veya yürütülebilir dosyadan türetilir. Örnek: C:\Windows\explorer.exe |
| TargetProcessFileCompany | İsteğe bağlı | String | Hedef işlem görüntü dosyasını oluşturan şirketin adı. Örnek: Microsoft |
| TargetProcessFileDescription | İsteğe bağlı | String | Hedef işlem görüntü dosyasındaki sürüm bilgilerinden açıklama. Örnek: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | İsteğe bağlı | String | Hedef işlem görüntü dosyasındaki sürüm bilgilerinden ürün adı. Örnek: Notepad++ |
| TargetProcessFileSize | İsteğe bağlı | String | Olaydan sorumlu işlemi çalıştıran dosyanın boyutu. |
| TargetProcessFileVersion | İsteğe bağlı | String | Hedef işlem görüntü dosyasındaki sürüm bilgilerinden ürün sürümü. Örnek: 7.9.5.0 |
| TargetProcessFileInternalName | İsteğe bağlı | String | Hedef işlemin görüntü dosyasının sürüm bilgilerinden ürün iç dosya adı. |
| TargetProcessFileOriginalName | İsteğe bağlı | String | Hedef işlemin görüntü dosyasının sürüm bilgilerinden ürün özgün dosya adı. |
| TargetProcessIsHidden | İsteğe bağlı | Boolean | Hedef işlemin gizli modda olup olmadığını gösteren bir gösterge. |
| TargetProcessInjectedAddress | İsteğe bağlı | String | Sorumlu hedef işlemin depolandığı bellek adresi. |
| TargetProcessMD5 | İsteğe bağlı | MD5 | Hedef işlem görüntü dosyasının MD5 karması. Örnek: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | İsteğe bağlı | SHA1 | Hedef işlem görüntü dosyasının SHA-1 karması. Örnek: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | İsteğe bağlı | SHA256 | Hedef işlem görüntü dosyasının SHA-256 karması. Örnek: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | İsteğe bağlı | SHA512 | Hedef işlem görüntü dosyasının SHA-512 karması. |
| TargetProcessIMPHASH | İsteğe bağlı | String | Hedef işlem tarafından kullanılan tüm kitaplık DLL'lerinin İçeri Aktarma Karması. |
| HashType | Önerilir | String | KARMA diğer ad alanında depolanan karma türü, izin verilen değerler , , SHA512SHASHA256ve IMPHASH'tir.MD5 |
| TargetProcessCommandLine | Zorunlu | String | Hedef işlemi çalıştırmak için kullanılan komut satırı. Örnek: "choco.exe" -v |
| TargetProcessCurrentDirectory | İsteğe bağlı | String | Hedef işlemin yürütüldiği geçerli dizin. Örnek: c:\windows\system32 |
| TargetProcessCreationTime | Önerilir | Tarih-Saat | Hedef işlem görüntü dosyasının sürüm bilgilerinden ürün sürümü. |
| TargetProcessId | Zorunlu | String | Hedef işlemin işlem kimliği (PID). Örnek: 48610176Not: Tür, farklı sistemleri desteklemek için dize olarak tanımlanır, ancak Windows ve Linux'ta bu değer sayısal olmalıdır. Windows veya Linux makinesi kullanıyorsanız ve farklı bir tür kullandıysanız, değerleri dönüştürdüğünüzden emin olun. Örneğin, onaltılık bir değer kullandıysanız, bunu ondalık değere dönüştürün. |
| TargetProcessGuid | İsteğe bağlı | String | Hedef işlemin oluşturulan benzersiz tanımlayıcısı (GUID). Sürecin sistemler arasında tanımlanmasını sağlar. Örnek: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | İsteğe bağlı | String | Her işlemin belirtecinde temsil edilen bir bütünlük düzeyi vardır. Bütünlük düzeyleri, koruma veya erişim işleminin düzeyini belirler. Windows aşağıdaki bütünlük düzeylerini tanımlar: düşük, orta, yüksek ve sistem. Standart kullanıcılar orta düzeyde bütünlük düzeyi, yükseltilmiş kullanıcılar ise yüksek bütünlük düzeyi alır. Daha fazla bilgi için bkz . Zorunlu Bütünlük Denetimi - Win32 uygulamaları. |
| TargetProcessTokenElevation | İsteğe bağlı | String | Oluşturulan veya sonlandırılan işleme uygulanan Kullanıcı Erişim Denetimi (UAC) ayrıcalık yükseltmesinin varlığını veya yokluğunu gösteren belirteç türü. Örnek: None |
| TargetProcessStatusCode | İsteğe bağlı | String | Sonlandırıldığında hedef işlem tarafından döndürülen çıkış kodu. Bu alan yalnızca işlem sonlandırma olayları için geçerlidir. Tutarlılık için, işletim sistemi tarafından sağlanan değer sayısal olsa bile alan türü dizedir. |
Şema güncelleştirmeleri
Şemanın 0.1.1 sürümündeki değişiklikler şunlardır:
- alanını
EventSchemaekledik.
Bunlar şemanın 0.1.2 sürümündeki değişikliklerdir
- , ,
ActorOriginalUserType,TargetUserTypeTargetOriginalUserTypeveHashTypealanlarınıActorUserTypeekledik.
Bunlar şemanın 0.1.3 sürümündeki değişikliklerdir
- Alanları
ParentProcessIdveTargetProcessCreationTimezorunlu olan alanları önerilen olarak değiştirdi.
Bunlar şemanın 0.1.4 sürümündeki değişikliklerdir
- ,
DvcScopeIdveDvcScopealanlarınıActorScopeekledik.
Sonraki adımlar
Daha fazla bilgi için bkz.
- ASIM Web seminerini izleyin veya slaytları gözden geçirin
- Gelişmiş Güvenlik Bilgileri Modeline (ASIM) genel bakış
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) içeriği