Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Normaliseringsskemaet for proceshændelser bruges til at beskrive operativsystemets aktivitet ved at køre og afslutte en proces. Sådanne hændelser rapporteres af operativsystemer og sikkerhedssystemer, f.eks. EDR-systemer (End Point Detection and Response).
En proces, som defineret af OSSEM, er et objekt til opbevaring og administration, der repræsenterer en kørende forekomst af et program. Selvom processer ikke selv kører, administrerer de tråde, der kører og udfører kode.
Du kan få flere oplysninger om normalisering i Microsoft Sentinel under Normalisering og ASIM (Advanced Security Information Model).
Parsere
Hvis du vil bruge de forenende fortolkere, der forener alle de viste fortolkninger og sikrer, at du analyserer på tværs af alle de konfigurerede kilder, skal du bruge følgende tabelnavne i dine forespørgsler:
- imProcessCreate til forespørgsler, der kræver oplysninger om procesoprettelse. Disse forespørgsler er de mest almindelige.
- imProcessTerminate for forespørgsler, der kræver oplysninger om procesafslutning.
Hvis du vil se listen over fortolkninger af proceshændelser, Microsoft Sentinel leverer klar til brug, skal du se listen over ASIM-fortolkninger.
Udrul godkendelsesparsere fra Microsoft Sentinel GitHub-lageret.
Du kan finde flere oplysninger under Oversigt over ASIM-fortolkninger.
Tilføj dine egne normaliserede fortolkere
Når du implementerer brugerdefinerede proceshændelsesparsere, skal du navngive dine KQL-funktioner ved hjælp af følgende syntaks: imProcessCreate<vendor><Product> og imProcessTerminate<vendor><Product>. Erstat im med ASim for versionen uden parameteren.
Føj din KQL-funktion til de forenende fortolkere som beskrevet i Administration af ASIM-fortolkninger.
Filtreringsparserparametre
Fortolkningsparametrene im og vim* understøtter filtreringsparametre. Selvom disse fortolkninger er valgfrie, kan de forbedre din forespørgselsydeevne.
Følgende filtreringsparametre er tilgængelige:
| Navn | Type | Beskrivelse |
|---|---|---|
| Starttidspunkt | Datetime | Filtrering af proceshændelser fandt kun sted på eller efter dette tidspunkt. Denne parameter filtrerer feltet TimeGenerated , som er standarddesignatoren for tidspunktet for hændelsen, uanset den parserspecifikke tilknytning af felterne EventStartTime og EventEndTime. |
| slutklokkeslæt | Datetime | Filtrer kun proceshændelsesforespørgsler, der opstod på eller før dette tidspunkt. Denne parameter filtrerer feltet TimeGenerated , som er standarddesignatoren for tidspunktet for hændelsen, uanset den parserspecifikke tilknytning af felterne EventStartTime og EventEndTime. |
| commandline_has_any | Dynamisk | Filtrer kun proceshændelser, hvor kommandolinjen har en af de angivne værdier. Længden af listen er begrænset til 10.000 elementer. |
| commandline_has_all | Dynamisk | Filtrer kun proceshændelser, hvor kommandolinjen har alle de angivne værdier. Længden af listen er begrænset til 10.000 elementer. |
| commandline_has_any_ip_prefix | Dynamisk | Filtrer kun proceshændelser, hvor kommandolinjen har alle de angivne IP-adresser eller IP-adressepræfikser. Præfikser skal slutte med en ., f.eks.: 10.0.. Længden af listen er begrænset til 10.000 elementer. |
| actingprocess_has_any | Dynamisk | Filtrer kun proceshændelser, hvor det virkende procesnavn, som omfatter hele processtien, har en af de angivne værdier. Længden af listen er begrænset til 10.000 elementer. |
| targetprocess_has_any | Dynamisk | Filtrer kun de proceshændelser, hvis destinationsprocesnavn, som omfatter hele processtien, har en af de angivne værdier. Længden af listen er begrænset til 10.000 elementer. |
| parentprocess_has_any | Dynamisk | Filtrer kun de proceshændelser, hvis destinationsprocesnavn, som omfatter hele processtien, har en af de angivne værdier. Længden af listen er begrænset til 10.000 elementer. |
| targetusername_has eller actorusername_has | Streng | Filtrer kun proceshændelser, hvor destinationsbrugernavnet (for hændelser for procesopretring) eller agentens brugernavn (for procestermineringshændelser) har nogen af de angivne værdier. Længden af listen er begrænset til 10.000 elementer. |
| dvcipaddr_has_any_prefix | Dynamisk | Filtrer kun proceshændelser, hvor enhedens IP-adresse stemmer overens med nogen af de angivne IP-adresser eller IP-adressepræfikser. Præfikser skal slutte med en ., f.eks.: 10.0.. Længden af listen er begrænset til 10.000 elementer. |
| dvchostname_has_any | Dynamisk | Filtrer kun proceshændelser, som enhedens værtsnavn eller enheds-FQDN er tilgængeligt for, har en af de angivne værdier. Længden af listen er begrænset til 10.000 elementer. |
| hændelsestype | Streng | Filtrer kun proceshændelser af den angivne type. |
Hvis du f.eks. kun vil filtrere godkendelseshændelser fra den sidste dag til en bestemt bruger, skal du bruge:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Tip
Hvis du vil overføre en konstantliste til parametre, der forventer en dynamisk værdi, skal du eksplicit bruge en dynamisk konstant. For eksempel: dynamic(['192.168.','10.']).
Normaliseret indhold
Du kan se en komplet liste over analyseregler, der bruger normaliserede proceshændelser, under Behandl sikkerhedsindhold for hændelse.
Skemadetaljer
Modellen med oplysninger om proceshændelser er justeret i forhold til OSSEM-procesobjektskemaet.
Almindelige ASIM-felter
Vigtigt!
Felter, der er fælles for alle skemaer, er beskrevet detaljeret i artiklen Almindelige ASIM-felter .
Almindelige felter med specifikke retningslinjer
På følgende liste nævnes felter, der har specifikke retningslinjer for procesaktivitetshændelser:
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| EventType | Obligatorisk | Optalt | Beskriver den handling, der er rapporteret af posten. For procesposter omfatter understøttede værdier: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Obligatorisk | SchemaVersion (streng) | Versionen af skemaet. Den version af skemaet, der er dokumenteret her, er 0.1.4 |
| EventSchema | Obligatorisk | String | Navnet på skemaet, der er dokumenteret her, er ProcessEvent. |
| Dvc-felter | I forbindelse med hændelser for procesaktivitet henviser enhedsfelter til det system, som processen blev udført på. |
Vigtigt!
Feltet EventSchema er i øjeblikket valgfrit, men bliver obligatorisk den 1. september 2022.
Alle almindelige felter
Felter, der vises i nedenstående tabel, er fælles for alle ASIM-skemaer. Alle retningslinjer, der er angivet ovenfor, tilsidesætter de generelle retningslinjer for feltet. Et felt kan f.eks. være valgfrit generelt, men obligatorisk for et bestemt skema. Du kan finde flere oplysninger om hvert felt i artiklen Almindelige ASIM-felter .
| Klasse | Felter |
|---|---|
| Obligatorisk |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Anbefalede |
-
EventResultDetails - EventSeverity - Hændelses-UID - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valgfrit |
-
Hændelsesmeddelelse - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Hændelsesejer - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Behandl hændelsesspecifikke felter
De felter, der er angivet i nedenstående tabel, er specifikke for proceshændelser, men svarer til felter i andre skemaer og følger lignende navngivningskonventioner.
Skemaet for proceshændelser refererer til følgende enheder, som er centrale for procesoprettelses- og afslutningsaktivitet:
- Agent – Den bruger, der startede processens oprettelse eller afslutning.
- ActingProcess – Den proces, der bruges af agenten til at starte processens oprettelse eller afslutning.
- TargetProcess – Den nye proces.
- TargetUser – Den bruger, hvis legitimationsoplysninger bruges til at oprette den nye proces.
- ParentProcess – Den proces, der startede agentprocessen.
Aliaser
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Bruger | Alias | Alias til targetUsername. Eksempel: CONTOSO\dadmin |
|
| Proces | Alias | Alias til TargetProcessName Eksempel: C:\Windows\System32\rundll32.exe |
|
| Commandline | Alias | Alias til TargetProcessCommandLine | |
| Hash | Alias | Alias til den bedst tilgængelige hashværdi for destinationsprocessen. |
Agentfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| AgentUserId | Anbefalede | String | En computerlæsbar, alfanumerisk, entydig repræsentation af agenten. Du kan se det understøttede format for forskellige id-typer i objektet Bruger. Eksempel: S-1-12 |
| AgentUserIdType | Betinget | Optalt | Typen af det id, der er gemt i feltet AgentBruger-id . Du kan finde en liste over tilladte værdier og yderligere oplysninger i Artiklen UserIdType i Skemaoversigt. |
| AgentScope | Valgfrit | String | Det omfang, f.eks. Microsoft Entra lejer, hvor AgentBruger-id og AgentBrugernavn er defineret. eller flere oplysninger og en liste over tilladte værdier i UserScope i artiklen Skemaoversigt. |
| AgentScopeId | Valgfrit | String | Område-id'et, f.eks. Microsoft Entra mappe-id, hvor AgentBruger-id og AgentBrugernavn er defineret. eller flere oplysninger og en liste over tilladte værdier i UserScopeId i artiklen Skemaoversigt. |
| AgentBrugernavn | Obligatorisk | Brugernavn (streng) | Agentens brugernavn, herunder domæneoplysninger, når det er tilgængeligt. Du kan se det understøttede format for forskellige id-typer i objektet Bruger. Brug kun den enkle formular, hvis domæneoplysningerne ikke er tilgængelige. Gem brugernavnstypen i feltet AgentBrugernavnType . Hvis der er andre brugernavnsformater tilgængelige, skal du gemme dem i felterne ActorUsername<UsernameType>.Eksempel: AlbertE |
| AgentUsernameType | Betinget | Optalt | Angiver den type brugernavn, der er gemt i feltet AgentBrugernavn . Du kan finde en liste over tilladte værdier og yderligere oplysninger i UsernameType i artiklen Skemaoversigt. Eksempel: Windows |
| AgentSessionId | Valgfrit | String | Det entydige id for logonsessionen for agenten. Eksempel: 999Bemærk! Typen er defineret som streng for at understøtte forskellige systemer, men i Windows skal denne værdi være numerisk. Hvis du bruger en Windows-computer og har brugt en anden type, skal du sørge for at konvertere værdierne. Hvis du f.eks. har brugt en hexadecimal værdi, skal du konvertere den til en decimalværdi. |
| AgentUserType | Valgfrit | UserType | Typen af agent. Du kan finde en liste over tilladte værdier og yderligere oplysninger i artiklen UserType i skemaoversigten. Bemærk! Værdien kan angives i kildeposten ved hjælp af andre ord, som skal normaliseres til disse værdier. Gem den oprindelige værdi i feltet AgentOriginalUserType . |
| AgentOriginalUserType | Valgfrit | String | Den oprindelige destinationsbrugertype, hvis den er angivet af rapporteringsenheden. |
Handlingsprocesfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| ActingProcessCommandLine | Valgfrit | String | Den kommandolinje, der bruges til at køre handlingsprocessen. Eksempel: "choco.exe" -v |
| ActingProcessName | Valgfrit | Streng | Navnet på den handlingsproces. Dette navn er ofte afledt af det billede eller den eksekverbare fil, der bruges til at definere den oprindelige kode og de data, der er knyttet til processens virtuelle adresseområde. Eksempel: C:\Windows\explorer.exe |
| ActingProcessFilename | Valgfrit | String | Filnavnsdelen af ActingProcessNameuden mappeoplysninger. Eksempel: explorer.exe |
| ActingProcessFileCompany | Valgfrit | String | Det firma, der oprettede den agerer procesbilledfil. Eksempel: Microsoft |
| ActingProcessFileDescription | Valgfrit | String | Beskrivelsen integreret i versionsoplysningerne for den handlingsbehandlende procesafbildningsfil. Eksempel: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Valgfrit | String | Produktnavnet fra versionsoplysningerne i den handlingsbehandlende billedfil. Eksempel: Notepad++ |
| ActingProcessFileVersion | Valgfrit | String | Produktversionen fra versionsoplysningerne for den handlingsbehandlende procesafbildningsfil. Eksempel: 7.9.5.0 |
| ActingProcessFileInternalName | Valgfrit | String | Det interne produktfilnavn fra versionsoplysningerne for den fungerende procesafbildningsfil. |
| ActingProcessFileOriginalName | Valgfrit | String | Det oprindelige produktfilnavn fra versionsoplysningerne for den fungerende procesafbildningsfil. Eksempel: Notepad++.exe |
| ActingProcessIsHidden | Valgfrit | Boolesk | En indikation af, om den fungerende proces er i skjult tilstand. |
| ActingProcessInjectedAddress | Valgfrit | String | Den hukommelsesadresse, hvor den ansvarlige handlingsproces er gemt. |
| ActingProcessId | Obligatorisk | String | Proces-id'et (PID) for den fungerende proces. Eksempel: 48610176 Bemærk! Typen er defineret som streng for at understøtte forskellige systemer, men i Windows og Linux skal denne værdi være numerisk. Hvis du bruger en Windows- eller Linux computer og har brugt en anden type, skal du sørge for at konvertere værdierne. Hvis du f.eks. har brugt en hexadecimal værdi, skal du konvertere den til en decimalværdi. |
| ActingProcessGuid | Valgfrit | GUID (streng) | Et genereret entydigt id (GUID) for den fungerende proces. Gør det muligt at identificere processen på tværs af systemer. Eksempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Valgfrit | String | Hver proces har et integritetsniveau, der er repræsenteret i dens token. Integritetsniveauer bestemmer procesbeskyttelses- eller adgangsniveauet. Windows definerer følgende integritetsniveauer: lav, mellem, høj og system. Standard brugere modtager et medium integritetsniveau, og brugere med administratorrettigheder får et højt integritetsniveau. Du kan finde flere oplysninger under Obligatorisk integritetskontrol – Win32-apps. |
| ActingProcessMD5 | Valgfrit | String | MD5-hashen for den handlingsprocesafbildningsfil. Eksempel: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Valgfrit | SHA1 | SHA-1-hashen for den handlingsprocesafbildningsfil. Eksempel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Valgfrit | SHA256 | SHA-256-hashen for den aktive procesafbildningsfil. Eksempel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Valgfrit | SHA512 | SHA-512-hashen for den aktive procesafbildningsfil. |
| ActingProcessIMPHASH | Valgfrit | String | Importhash for alle biblioteks-DLL'er, der bruges af handlingsprocessen. |
| ActingProcessCreationTime | Valgfrit | Datetime | Den dato og det klokkeslæt, hvor handlingsprocessen startede. |
| ActingProcessTokenElevation | Valgfrit | String | Et token, der angiver tilstedeværelsen eller fraværet af bruger-Access Control(UAC)-rettigheds udvidede rettigheder, der er anvendt på handlingsprocessen. Eksempel: None |
| ActingProcessFileSize | Valgfrit | Lang | Størrelsen på den fil, der kørte handlingsprocessen. |
Overordnede procesfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| ParentProcessName | Valgfrit | Streng | Navnet på den overordnede proces. Dette navn er ofte afledt af det billede eller den eksekverbare fil, der bruges til at definere den oprindelige kode og de data, der er knyttet til processens virtuelle adresseområde. Eksempel: C:\Windows\explorer.exe |
| ParentProcessFileCompany | Valgfrit | String | Navnet på det firma, der oprettede den overordnede procesafbildningsfil. Eksempel: Microsoft |
| ParentProcessFileDescription | Valgfrit | String | Beskrivelsen fra versionsoplysningerne i den overordnede procesafbildningsfil. Eksempel: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Valgfrit | String | Produktnavnet fra versionsoplysningerne i den overordnede procesafbildningsfil. Eksempel: Notepad++ |
| ParentProcessFileVersion | Valgfrit | String | Produktversionen fra versionsoplysningerne i den overordnede procesafbildningsfil. Eksempel: 7.9.5.0 |
| ParentProcessIsHidden | Valgfrit | Boolesk | En angivelse af, om den overordnede proces er i skjult tilstand. |
| ParentProcessInjectedAddress | Valgfrit | String | Den hukommelsesadresse, hvor den ansvarlige overordnede proces er gemt. |
| ParentProcessId | Anbefalede | String | Proces-id'et (PID) for den overordnede proces. Eksempel: 48610176 |
| ParentProcessGuid | Valgfrit | String | Et genereret entydigt id (GUID) for den overordnede proces. Gør det muligt at identificere processen på tværs af systemer. Eksempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Valgfrit | String | Hver proces har et integritetsniveau, der er repræsenteret i dens token. Integritetsniveauer bestemmer procesbeskyttelses- eller adgangsniveauet. Windows definerer følgende integritetsniveauer: lav, mellem, høj og system. Standard brugere modtager et medium integritetsniveau, og brugere med administratorrettigheder får et højt integritetsniveau. Du kan finde flere oplysninger under Obligatorisk integritetskontrol – Win32-apps. |
| ParentProcessMD5 | Valgfrit | MD5 | MD5-hashen for den overordnede procesafbildningsfil. Eksempel: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Valgfrit | SHA1 | SHA-1-hashen for den overordnede procesafbildningsfil. Eksempel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Valgfrit | SHA256 | SHA-256-hashen for den overordnede procesafbildningsfil. Eksempel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Valgfrit | SHA512 | SHA-512-hashen for den overordnede procesafbildningsfil. |
| ParentProcessIMPHASH | Valgfrit | String | Importhash for alle biblioteks-DLL'er, der bruges af den overordnede proces. |
| ParentProcessTokenElevation | Valgfrit | String | Et token, der angiver tilstedeværelsen eller fraværet af bruger-Access Control(UAC)-rettigheds udvidede rettigheder, der er anvendt på den overordnede proces. Eksempel: None |
| ParentProcessCreationTime | Valgfrit | Datetime | Den dato og det klokkeslæt, hvor den overordnede proces blev startet. |
Destinationsbrugerfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Navn på destinationsbruger | Obligatorisk for procesopr.hændelser. | Brugernavn (streng) | Destinationsbrugernavnet, herunder domæneoplysninger, når de er tilgængelige. Du kan se det understøttede format for forskellige id-typer i objektet Bruger. Brug kun den enkle formular, hvis domæneoplysningerne ikke er tilgængelige. Gem brugernavnstypen i feltet TargetUsernameType . Hvis der er andre brugernavnsformater tilgængelige, skal du gemme dem i felterne TargetUsername<UsernameType>.Eksempel: AlbertE |
| TargetUsernameType | Betinget | Optalt | Angiver typen af det brugernavn, der er gemt i feltet TargetUsername . Du kan finde en liste over tilladte værdier og yderligere oplysninger i UsernameType i artiklen Skemaoversigt. Eksempel: Windows |
| TargetUserId | Anbefalede | String | En computerlæsbar, alfanumerisk, entydig repræsentation af destinationsbrugeren. Du kan se det understøttede format for forskellige id-typer i objektet Bruger. Eksempel: S-1-12 |
| TargetUserIdType | Betinget | UserIdType | Typen af det id, der er gemt i feltet TargetUserId . Du kan finde en liste over tilladte værdier og yderligere oplysninger i Artiklen UserIdType i Skemaoversigt. |
| TargetUserSessionId | Valgfrit | String | Det entydige id for destinationsbrugerens logonsession. Eksempel: 999 Bemærk! Typen er defineret som streng for at understøtte forskellige systemer, men i Windows skal denne værdi være numerisk. Hvis du bruger en Windows- eller Linux computer og har brugt en anden type, skal du sørge for at konvertere værdierne. Hvis du f.eks. har brugt en hexadecimal værdi, skal du konvertere den til en decimalværdi. |
| TargetUserSessionGuid | Valgfrit | String | Det entydige GUID for destinationsbrugerens logonsession, som rapporteret af rapporteringsenheden. Eksempel: {12345678-1234-1234-1234-123456789012} |
| TargetUserType | Valgfrit | UserType | Typen af agent. Du kan finde en liste over tilladte værdier og yderligere oplysninger i artiklen UserType i skemaoversigten. Bemærk! Værdien kan angives i kildeposten ved hjælp af andre ord, som skal normaliseres til disse værdier. Gem den oprindelige værdi i feltet TargetOriginalUserType . |
| TargetOriginalUserType | Valgfrit | String | Den oprindelige destinationsbrugertype, hvis den er angivet af rapporteringsenheden. |
| TargetUserScope | Valgfrit | String | Området, f.eks. Microsoft Entra lejer, hvor TargetUserId og TargetUsername er defineret. eller flere oplysninger og en liste over tilladte værdier i UserScope i artiklen Skemaoversigt. |
| TargetUserScopeId | Valgfrit | String | Område-id'et, f.eks. Microsoft Entra mappe-id, hvor TargetUserId og TargetUsername er defineret. Du kan få flere oplysninger og en liste over tilladte værdier i UserScopeId i artiklen Skemaoversigt. |
Destinationsprocesfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| TargetProcessName | Obligatorisk | Streng | Navnet på destinationsprocessen. Dette navn er ofte afledt af det billede eller den eksekverbare fil, der bruges til at definere den oprindelige kode og de data, der er knyttet til processens virtuelle adresseområde. Eksempel: C:\Windows\explorer.exe |
| TargetProcessFilename | Valgfrit | String | Filnavnsdelen af TargetProcessNameuden mappeoplysninger. Eksempel: explorer.exe |
| TargetProcessFileCompany | Valgfrit | String | Navnet på det firma, der oprettede billedfilen til destinationsprocessen. Eksempel: Microsoft |
| TargetProcessFileDescription | Valgfrit | String | Beskrivelsen fra versionsoplysningerne i billedfilen til destinationsprocessen. Eksempel: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Valgfrit | String | Produktnavnet fra versionsoplysningerne i destinationsprocesafbildningsfilen. Eksempel: Notepad++ |
| TargetProcessFileSize | Valgfrit | Lang | Størrelsen på den fil, der kørte den proces, der er ansvarlig for hændelsen. |
| TargetProcessFileVersion | Valgfrit | String | Produktversionen fra versionsoplysningerne i destinationsprocesafbildningsfilen. Eksempel: 7.9.5.0 |
| TargetProcessFileInternalName | Valgfrit | String | Det interne produktfilnavn fra versionsoplysningerne for billedfilen for destinationsprocessen. |
| TargetProcessFileOriginalName | Valgfrit | String | Det oprindelige produktfilnavn fra versionsoplysningerne i billedfilen for destinationsprocessen. |
| TargetProcessIsHidden | Valgfrit | Boolesk | En angivelse af, om destinationsprocessen er i skjult tilstand. |
| TargetProcessInjectedAddress | Valgfrit | String | Den hukommelsesadresse, hvor den ansvarlige destinationsproces er gemt. |
| TargetProcessMD5 | Valgfrit | MD5 | MD5-hashen for destinationsprocesafbildningsfilen. Eksempel: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Valgfrit | SHA1 | SHA-1-hashen for destinationsprocesafbildningsfilen. Eksempel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Valgfrit | SHA256 | SHA-256-hashen for destinationsprocesafbildningsfilen. Eksempel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Valgfrit | SHA512 | SHA-512-hashen for destinationsprocesafbildningsfilen. |
| TargetProcessIMPHASH | Valgfrit | String | Importhash for alle biblioteks-DLL'er, der bruges af destinationsprocessen. |
| HashType | Betinget | Optalt | Den type hash, der er gemt i feltet HASH-alias. De tilladte værdier er MD5, SHA, SHA256SHA512 og IMPHASH. |
| TargetProcessCommandLine | Obligatorisk | String | Den kommandolinje, der bruges til at køre destinationsprocessen. Eksempel: "choco.exe" -v |
| TargetProcessCurrentDirectory | Valgfrit | String | Den aktuelle mappe, hvor destinationsprocessen udføres. Eksempel: c:\windows\system32 |
| TargetProcessCreationTime | Anbefalede | Datetime | Produktversionen fra versionsoplysningerne for destinationsprocesafbildningsfilen. |
| TargetProcessId | Obligatorisk | String | Proces-id'et (PID) for destinationsprocessen. Eksempel: 48610176Bemærk! Typen er defineret som streng for at understøtte forskellige systemer, men i Windows og Linux skal denne værdi være numerisk. Hvis du bruger en Windows- eller Linux computer og har brugt en anden type, skal du sørge for at konvertere værdierne. Hvis du f.eks. har brugt en hexadecimal værdi, skal du konvertere den til en decimalværdi. |
| TargetProcessGuid | Valgfrit | GUID (streng) | Et genereret entydigt id (GUID) for destinationsprocessen. Gør det muligt at identificere processen på tværs af systemer. Eksempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Valgfrit | String | Hver proces har et integritetsniveau, der er repræsenteret i dens token. Integritetsniveauer bestemmer procesbeskyttelses- eller adgangsniveauet. Windows definerer følgende integritetsniveauer: lav, mellem, høj og system. Standard brugere modtager et medium integritetsniveau, og brugere med administratorrettigheder får et højt integritetsniveau. Du kan finde flere oplysninger under Obligatorisk integritetskontrol – Win32-apps. |
| TargetProcessTokenElevation | Valgfrit | String | Tokentype, der angiver tilstedeværelsen eller fraværet af udvidede rettigheder for Bruger Access Control (UAC), der er anvendt på den proces, der blev oprettet eller afsluttet. Eksempel: None |
| TargetProcessStatusCode | Valgfrit | String | Den afslutningskode, der returneres af destinationsprocessen, når den afsluttes. Dette felt er kun gyldigt for procesafslutningshændelser. Felttypen er streng, selvom den værdi, der leveres af operativsystemet, er numerisk. |
Kontrolfelter
Følgende felter bruges til at repræsentere den kontrol, der udføres af et sikkerhedssystem som et sådant EDR-system.
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| RuleName | Valgfrit | String | Navnet eller id'et for reglen ved at være knyttet til inspektionsresultaterne. |
| Regelnummer | Valgfrit | Heltal | Nummeret på den regel, der er knyttet til inspektionsresultaterne. |
| Regel | Betinget | String | Enten værdien af kRuleName eller værdien af RuleNumber. Hvis værdien af RuleNumber bruges, skal typen konverteres til en streng. |
| ThreatId | Valgfrit | String | Id'et for den trussel eller malware, der er identificeret i filaktiviteten. |
| ThreatName | Valgfrit | String | Navnet på den trussel eller malware, der er identificeret i filaktiviteten. Eksempel: EICAR Test File |
| ThreatCategory | Valgfrit | String | Kategorien af den trussel eller malware, der er identificeret i filaktiviteten. Eksempel: Trojan |
| ThreatRiskLevel | Valgfrit | RiskLevel (heltal) | Det risikoniveau, der er knyttet til den identificerede trussel. Niveauet skal være et tal mellem 0 og 100. Bemærk! Værdien kan angives i kildeposten ved hjælp af en anden skala, som skal normaliseres til denne skala. Den oprindelige værdi skal gemmes i ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Valgfrit | String | Risikoniveauet som rapporteret af rapporteringsenheden. |
| ThreatField | Valgfrit | String | Det felt, som en trussel blev identificeret for. |
| ThreatField | Valgfrit | String | Det felt, som en trussel blev identificeret for. |
| ThreatConfidence | Valgfrit | ConfidenceLevel (heltal) | Konfidensniveauet for den identificerede trussel normaliserede sig til en værdi mellem 0 og 100. |
| ThreatOriginalConfidence | Valgfrit | String | Det oprindelige tillidsniveau for den trussel, der blev identificeret, som rapporteret af rapporteringsenheden. |
| ThreatIsActive | Valgfrit | Boolesk | Sand, hvis den identificerede trussel betragtes som en aktiv trussel. |
| ThreatFirstReportedTime | Valgfrit | Datetime | Første gang IP-adressen eller domænet blev identificeret som en trussel. |
| ThreatLastReportedTime | Valgfrit | Datetime | Sidste gang IP-adressen eller domænet blev identificeret som en trussel. |
Skemaopdateringer
Dette er ændringerne i version 0.1.1 af skemaet:
- Feltet
EventSchemaer tilføjet.
Dette er ændringerne i version 0.1.2 af skemaet
- Tilføjede felterne
ActorUserType,ActorOriginalUserType,TargetUserType,TargetOriginalUserTypeogHashType.
Dette er ændringerne i version 0.1.3 af skemaet
- Ændrede felterne
ParentProcessIdogTargetProcessCreationTimefra obligatorisk til anbefalet.
Dette er ændringerne i version 0.1.4 af skemaet
- Tilføjede felterne
ActorScope,DvcScopeIdogDvcScope.
Næste trin
Du kan finde flere oplysninger under: