Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El esquema de normalización de eventos de proceso se usa para describir la actividad del sistema operativo de ejecutar y finalizar un proceso. Estos eventos los notifican sistemas operativos y sistemas de seguridad, como sistemas EDR (detección y respuesta de punto final).
Un proceso, tal como lo define OSSEM, es un objeto de contención y administración que representa una instancia en ejecución de un programa. Aunque los propios procesos no se ejecutan, administran subprocesos que ejecutan y ejecutan código.
Para obtener más información sobre la normalización en Microsoft Sentinel, vea Normalización y el modelo de información de seguridad avanzada (ASIM).
Analizadores
Para usar los analizadores de unificación que unifican todos los analizadores enumerados y garantizan que se analizan en todos los orígenes configurados, use los siguientes nombres de tabla en las consultas:
- imProcessCreate para las consultas que requieren información de creación de procesos. Estas consultas son el caso más común.
- imProcessTerminate para las consultas que requieren información de terminación del proceso.
Para obtener la lista de los analizadores de eventos de proceso Microsoft Sentinel proporciona información general, consulte la lista de analizadores de ASIM.
Implemente los analizadores de autenticación desde el repositorio de GitHub de Microsoft Sentinel.
Para obtener más información, consulte Introducción a los analizadores de ASIM.
Agregar sus propios analizadores normalizados
Al implementar analizadores de eventos de proceso personalizados, asigne un nombre a las funciones de KQL mediante la sintaxis siguiente: imProcessCreate<vendor><Product> y imProcessTerminate<vendor><Product>. Reemplace por imASim para la versión sin parámetros.
Agregue la función KQL a los analizadores de unificación como se describe en Administración de analizadores de ASIM.
Filtrado de parámetros del analizador
Los im analizadores y vim* admiten parámetros de filtrado. Aunque estos analizadores son opcionales, pueden mejorar el rendimiento de las consultas.
Están disponibles los siguientes parámetros de filtrado:
| Nombre | Tipo | Description |
|---|---|---|
| starttime | datetime | Los eventos de proceso de filtro solo se produjeron en o después de este momento. Este parámetro filtra en el TimeGenerated campo, que es el designador estándar para la hora del evento, independientemente de la asignación específica del analizador de los campos EventStartTime y EventEndTime. |
| endtime | datetime | Filtre solo las consultas de eventos de proceso que se produjeron en o antes de este momento. Este parámetro filtra en el TimeGenerated campo, que es el designador estándar para la hora del evento, independientemente de la asignación específica del analizador de los campos EventStartTime y EventEndTime. |
| commandline_has_any | dinámico | Filtre solo los eventos de proceso para los que la línea de comandos ejecutada tenga cualquiera de los valores enumerados. La longitud de la lista está limitada a 10 000 elementos. |
| commandline_has_all | dinámico | Filtre solo los eventos de proceso para los que la línea de comandos ejecutada tiene todos los valores enumerados. La longitud de la lista está limitada a 10 000 elementos. |
| commandline_has_any_ip_prefix | dinámico | Filtre solo los eventos de proceso para los que la línea de comandos ejecutada tenga todas las direcciones IP o prefijos de dirección IP enumerados. Los prefijos deben terminar con , .por ejemplo: 10.0.. La longitud de la lista está limitada a 10 000 elementos. |
| actingprocess_has_any | dinámico | Filtre solo los eventos de proceso para los que el nombre del proceso de acción, que incluye toda la ruta de acceso del proceso, tiene cualquiera de los valores enumerados. La longitud de la lista está limitada a 10 000 elementos. |
| targetprocess_has_any | dinámico | Filtre solo los eventos de proceso para los que el nombre del proceso de destino, que incluye toda la ruta de acceso del proceso, tiene cualquiera de los valores enumerados. La longitud de la lista está limitada a 10 000 elementos. |
| parentprocess_has_any | dinámico | Filtre solo los eventos de proceso para los que el nombre del proceso de destino, que incluye toda la ruta de acceso del proceso, tiene cualquiera de los valores enumerados. La longitud de la lista está limitada a 10 000 elementos. |
| targetusername_has o actorusername_has | string | Filtre solo los eventos de proceso para los que el nombre de usuario de destino (para los eventos de creación de procesos) o el nombre de usuario del actor (para los eventos de finalización del proceso) tienen cualquiera de los valores enumerados. La longitud de la lista está limitada a 10 000 elementos. |
| dvcipaddr_has_any_prefix | dinámico | Filtre solo los eventos de proceso para los que la dirección IP del dispositivo coincida con cualquiera de las direcciones IP o prefijos de dirección IP enumerados. Los prefijos deben terminar con , .por ejemplo: 10.0.. La longitud de la lista está limitada a 10 000 elementos. |
| dvchostname_has_any | dinámico | Filtrar solo los eventos de proceso para los que el nombre de host del dispositivo o el FQDN del dispositivo están disponibles, tiene cualquiera de los valores enumerados. La longitud de la lista está limitada a 10 000 elementos. |
| eventtype | string | Filtrar solo los eventos de proceso del tipo especificado. |
Por ejemplo, para filtrar solo los eventos de autenticación del último día a un usuario específico, use:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Sugerencia
Para pasar una lista literal a parámetros que esperan un valor dinámico, use explícitamente un literal dinámico. Por ejemplo: dynamic(['192.168.','10.']).
Contenido normalizado
Para obtener una lista completa de las reglas de análisis que usan eventos de proceso normalizados, consulte Contenido de seguridad de eventos de proceso.
Detalles del esquema
El modelo de información de eventos de proceso se alinea con el esquema de entidad de proceso de OSSEM.
Campos comunes de ASIM
Importante
Los campos comunes a todos los esquemas se describen en detalle en el artículo Campos comunes de ASIM .
Campos comunes con directrices específicas
En la lista siguiente se mencionan los campos que tienen directrices específicas para los eventos de actividad de proceso:
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| EventType | Obligatorio | Enumerado | Describe la operación notificada por el registro. En el caso de los registros de proceso, los valores admitidos incluyen: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Obligatorio | SchemaVersion (String) | Versión del esquema. La versión del esquema documentada aquí es 0.1.4 |
| EventSchema | Obligatorio | Cadena | El nombre del esquema documentado aquí es ProcessEvent. |
| Campos Dvc | Para los eventos de actividad de proceso, los campos de dispositivo hacen referencia al sistema en el que se ejecutó el proceso. |
Importante
El EventSchema campo es actualmente opcional, pero se convertirá en Obligatorio el 1 de septiembre de 2022.
Todos los campos comunes
Los campos que aparecen en la tabla siguiente son comunes a todos los esquemas de ASIM. Cualquier directriz especificada anteriormente invalida las directrices generales para el campo. Por ejemplo, un campo puede ser opcional en general, pero obligatorio para un esquema específico. Para obtener más información sobre cada campo, consulte el artículo Campos comunes de ASIM .
| Class | Fields |
|---|---|
| Obligatorio |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendado |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Procesar campos específicos del evento
Los campos enumerados en la tabla siguiente son específicos de los eventos Process, pero son similares a los campos de otros esquemas y siguen convenciones de nomenclatura similares.
El esquema de eventos de proceso hace referencia a las siguientes entidades, que son centrales para procesar la actividad de creación y terminación:
- Actor : el usuario que inició la creación o terminación del proceso.
- ActingProcess : el proceso usado por el actor para iniciar la creación o finalización del proceso.
- TargetProcess : el nuevo proceso.
- TargetUser : el usuario cuyas credenciales se usan para crear el nuevo proceso.
- ParentProcess : el proceso que inició el proceso de actor.
Alias
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| Usuario | Alias | Alias de TargetUsername. Ejemplo: CONTOSO\dadmin |
|
| Proceso | Alias | Alias para TargetProcessName Ejemplo: C:\Windows\System32\rundll32.exe |
|
| CommandLine | Alias | Alias para TargetProcessCommandLine | |
| Hash | Alias | Alias al mejor hash disponible para el proceso de destino. |
Campos de actor
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| ActorUserId | Recomendado | Cadena | Representación única, alfanumérica y legible de la máquina del actor. Para obtener el formato admitido para diferentes tipos de identificador, consulte la entidad User. Ejemplo: S-1-12 |
| ActorUserIdType | Condicional | Enumerado | Tipo del identificador almacenado en el campo ActorUserId . Para obtener una lista de valores permitidos e información adicional, consulte UserIdType en el artículo Información general del esquema. |
| ActorScope | Opcional | Cadena | Ámbito, como Microsoft Entra inquilino, en el que se definen ActorUserId y ActorUsername. o más información y lista de valores permitidos, vea UserScope en el artículo Información general del esquema. |
| ActorScopeId | Opcional | Cadena | Identificador de ámbito, como Microsoft Entra id. de directorio, en el que se definen ActorUserId y ActorUsername. o más información y lista de valores permitidos, vea UserScopeId en el artículo Información general del esquema. |
| ActorUsername | Obligatorio | Nombre de usuario (cadena) | Nombre de usuario del actor, incluida la información de dominio cuando esté disponible. Para obtener el formato admitido para diferentes tipos de identificador, consulte la entidad User. Use el formulario simple solo si la información de dominio no está disponible. Almacene el tipo de nombre de usuario en el campo ActorUsernameType . Si hay otros formatos de nombre de usuario disponibles, guárdelos en los campos ActorUsername<UsernameType>.Ejemplo: AlbertE |
| ActorUsernameType | Condicional | Enumerado | Especifica el tipo del nombre de usuario almacenado en el campo ActorUsername . Para obtener una lista de los valores permitidos y más información, consulte UsernameType en el artículo Información general del esquema. Ejemplo: Windows |
| ActorSessionId | Opcional | Cadena | Identificador único de la sesión de inicio de sesión del actor. Ejemplo: 999Nota: El tipo se define como cadena para admitir sistemas variables, pero en Windows este valor debe ser numérico. Si usa una máquina Windows y usa otro tipo, asegúrese de convertir los valores. Por ejemplo, si usó un valor hexadecimal, conviértalo en un valor decimal. |
| ActorUserType | Opcional | UserType | Tipo de actor. Para obtener una lista de valores permitidos e información adicional, consulte UserType en el artículo Información general del esquema. Nota: El valor se puede proporcionar en el registro de origen mediante diferentes términos, que deben normalizarse a estos valores. Almacene el valor original en el campo ActorOriginalUserType . |
| ActorOriginalUserType | Opcional | Cadena | Tipo de usuario de destino original, si lo proporciona el dispositivo de informes. |
Campos de proceso de actuación
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| ActingProcessCommandLine | Opcional | Cadena | Línea de comandos usada para ejecutar el proceso de actuación. Ejemplo: "choco.exe" -v |
| ActingProcessName | Opcional | string | Nombre del proceso de actuación. Este nombre suele derivarse de la imagen o archivo ejecutable que se usa para definir el código inicial y los datos asignados al espacio de direcciones virtuales del proceso. Ejemplo: C:\Windows\explorer.exe |
| ActingProcessFilename | Opcional | Cadena | La parte de nombre de archivo de ActingProcessName, sin información de carpeta. Ejemplo: explorer.exe |
| ActingProcessFileCompany | Opcional | Cadena | La empresa que creó el archivo de imagen del proceso de actuación. Ejemplo: Microsoft |
| ActingProcessFileDescription | Opcional | Cadena | Descripción incrustada en la información de versión del archivo de imagen del proceso de acción. Ejemplo: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Opcional | Cadena | Nombre del producto de la información de versión del archivo de imagen del proceso de acción. Ejemplo: Notepad++ |
| ActingProcessFileVersion | Opcional | Cadena | La versión del producto de la información de versión del archivo de imagen del proceso de acción. Ejemplo: 7.9.5.0 |
| ActingProcessFileInternalName | Opcional | Cadena | Nombre de archivo interno del producto de la información de versión del archivo de imagen del proceso de acción. |
| ActingProcessFileOriginalName | Opcional | Cadena | Nombre de archivo original del producto de la información de versión del archivo de imagen del proceso de acción. Ejemplo: Notepad++.exe |
| ActingProcessIsHidden | Opcional | Booleano | Indicación de si el proceso de actuación está en modo oculto. |
| ActingProcessInjectedAddress | Opcional | Cadena | Dirección de memoria en la que se almacena el proceso de actuación responsable. |
| ActingProcessId | Obligatorio | Cadena | Identificador de proceso (PID) del proceso de actuación. Ejemplo: 48610176 Nota: El tipo se define como cadena para admitir sistemas variables, pero en Windows y Linux este valor debe ser numérico. Si usa una máquina Windows o Linux y usa otro tipo, asegúrese de convertir los valores. Por ejemplo, si usó un valor hexadecimal, conviértalo en un valor decimal. |
| ActingProcessGuid | Opcional | GUID (cadena) | Identificador único (GUID) generado del proceso de acción. Permite identificar el proceso entre sistemas. Ejemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Opcional | Cadena | Cada proceso tiene un nivel de integridad que se representa en su token. Los niveles de integridad determinan el nivel de proceso de protección o acceso. Windows define los siguientes niveles de integridad: bajo, medio, alto y sistema. Standard los usuarios reciben un nivel de integridad medio y los usuarios con privilegios elevados reciben un nivel de integridad alto. Para obtener más información, consulte Control de integridad obligatorio: aplicaciones Win32. |
| ActingProcessMD5 | Opcional | Cadena | Hash MD5 del archivo de imagen del proceso de acción. Ejemplo: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Opcional | SHA1 | Hash SHA-1 del archivo de imagen del proceso de acción. Ejemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Opcional | SHA256 | Hash SHA-256 del archivo de imagen del proceso de acción. Ejemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Opcional | SHA512 | Hash SHA-512 del archivo de imagen del proceso de acción. |
| ActingProcessIMPHASH | Opcional | Cadena | Hash de importación de todos los archivos DLL de biblioteca que usa el proceso de acción. |
| ActingProcessCreationTime | Opcional | DateTime | Fecha y hora en que se inició el proceso de actuación. |
| ActingProcessTokenElevation | Opcional | Cadena | Token que indica la presencia o ausencia de elevación de privilegios de Access Control de usuario (UAC) aplicada al proceso de actuación. Ejemplo: None |
| ActingProcessFileSize | Opcional | Long | Tamaño del archivo que ejecutó el proceso de actuación. |
Campos de proceso primario
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| ParentProcessName | Opcional | string | Nombre del proceso primario. Este nombre suele derivarse de la imagen o archivo ejecutable que se usa para definir el código inicial y los datos asignados al espacio de direcciones virtuales del proceso. Ejemplo: C:\Windows\explorer.exe |
| ParentProcessFileCompany | Opcional | Cadena | Nombre de la empresa que creó el archivo de imagen del proceso primario. Ejemplo: Microsoft |
| ParentProcessFileDescription | Opcional | Cadena | Descripción de la información de versión del archivo de imagen de proceso primario. Ejemplo: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Opcional | Cadena | Nombre del producto de la información de versión del archivo de imagen de proceso primario. Ejemplo: Notepad++ |
| ParentProcessFileVersion | Opcional | Cadena | La versión del producto de la información de versión del archivo de imagen del proceso primario. Ejemplo: 7.9.5.0 |
| ParentProcessIsHidden | Opcional | Booleano | Indicación de si el proceso primario está en modo oculto. |
| ParentProcessInjectedAddress | Opcional | Cadena | Dirección de memoria en la que se almacena el proceso primario responsable. |
| ParentProcessId | Recomendado | Cadena | Identificador de proceso (PID) del proceso primario. Ejemplo: 48610176 |
| ParentProcessGuid | Opcional | Cadena | Identificador único (GUID) generado del proceso primario. Permite identificar el proceso entre sistemas. Ejemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Opcional | Cadena | Cada proceso tiene un nivel de integridad que se representa en su token. Los niveles de integridad determinan el nivel de proceso de protección o acceso. Windows define los siguientes niveles de integridad: bajo, medio, alto y sistema. Standard los usuarios reciben un nivel de integridad medio y los usuarios con privilegios elevados reciben un nivel de integridad alto. Para obtener más información, consulte Control de integridad obligatorio: aplicaciones Win32. |
| ParentProcessMD5 | Opcional | MD5 | Hash MD5 del archivo de imagen de proceso primario. Ejemplo: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Opcional | SHA1 | Hash SHA-1 del archivo de imagen de proceso primario. Ejemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Opcional | SHA256 | Hash SHA-256 del archivo de imagen de proceso primario. Ejemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Opcional | SHA512 | Hash SHA-512 del archivo de imagen de proceso primario. |
| ParentProcessIMPHASH | Opcional | Cadena | Hash de importación de todos los archivos DLL de biblioteca que usa el proceso primario. |
| ParentProcessTokenElevation | Opcional | Cadena | Token que indica la presencia o ausencia de elevación de privilegios de Access Control de usuario (UAC) aplicada al proceso primario. Ejemplo: None |
| ParentProcessCreationTime | Opcional | DateTime | Fecha y hora en que se inició el proceso primario. |
Campos de usuario de destino
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| TargetUsername | Obligatorio para los eventos de creación de procesos. | Nombre de usuario (cadena) | El nombre de usuario de destino, incluida la información de dominio cuando está disponible. Para obtener el formato admitido para diferentes tipos de identificador, consulte la entidad User. Use el formulario simple solo si la información de dominio no está disponible. Almacene el tipo de nombre de usuario en el campo TargetUsernameType . Si hay otros formatos de nombre de usuario disponibles, guárdelos en los campos TargetUsername<UsernameType>.Ejemplo: AlbertE |
| TargetUsernameType | Condicional | Enumerado | Especifica el tipo del nombre de usuario almacenado en el campo TargetUsername . Para obtener una lista de los valores permitidos y más información, consulte UsernameType en el artículo Información general del esquema. Ejemplo: Windows |
| TargetUserId | Recomendado | Cadena | Representación única, alfanumérica y legible de la máquina del usuario de destino. Para obtener el formato admitido para diferentes tipos de identificador, consulte la entidad User. Ejemplo: S-1-12 |
| TargetUserIdType | Condicional | UserIdType | Tipo del identificador almacenado en el campo TargetUserId . Para obtener una lista de valores permitidos e información adicional, consulte UserIdType en el artículo Información general del esquema. |
| TargetUserSessionId | Opcional | Cadena | Identificador único de la sesión de inicio de sesión del usuario de destino. Ejemplo: 999 Nota: El tipo se define como cadena para admitir sistemas variables, pero en Windows este valor debe ser numérico. Si usa una máquina Windows o Linux y usa otro tipo, asegúrese de convertir los valores. Por ejemplo, si usó un valor hexadecimal, conviértalo en un valor decimal. |
| TargetUserSessionGuid | Opcional | Cadena | GUID único de la sesión de inicio de sesión del usuario de destino, tal y como informa el dispositivo de informes. Ejemplo: {12345678-1234-1234-1234-123456789012} |
| TargetUserType | Opcional | UserType | Tipo de actor. Para obtener una lista de valores permitidos e información adicional, consulte UserType en el artículo Información general del esquema. Nota: El valor se puede proporcionar en el registro de origen mediante diferentes términos, que deben normalizarse a estos valores. Almacene el valor original en el campo TargetOriginalUserType . |
| TargetOriginalUserType | Opcional | Cadena | Tipo de usuario de destino original, si lo proporciona el dispositivo de informes. |
| TargetUserScope | Opcional | Cadena | Ámbito, como Microsoft Entra inquilino, en el que se definen TargetUserId y TargetUsername. o más información y lista de valores permitidos, vea UserScope en el artículo Información general del esquema. |
| TargetUserScopeId | Opcional | Cadena | Identificador de ámbito, como Microsoft Entra id. de directorio, en el que se definen TargetUserId y TargetUsername. Para obtener más información y una lista de los valores permitidos, vea UserScopeId en el artículo Información general del esquema. |
Campos de proceso de destino
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| TargetProcessName | Obligatorio | string | Nombre del proceso de destino. Este nombre suele derivarse de la imagen o archivo ejecutable que se usa para definir el código inicial y los datos asignados al espacio de direcciones virtuales del proceso. Ejemplo: C:\Windows\explorer.exe |
| TargetProcessFilename | Opcional | Cadena | La parte de nombre de archivo de TargetProcessName, sin información de carpeta. Ejemplo: explorer.exe |
| TargetProcessFileCompany | Opcional | Cadena | Nombre de la empresa que creó el archivo de imagen de proceso de destino. Ejemplo: Microsoft |
| TargetProcessFileDescription | Opcional | Cadena | Descripción de la información de versión del archivo de imagen de proceso de destino. Ejemplo: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Opcional | Cadena | Nombre del producto de la información de versión del archivo de imagen de proceso de destino. Ejemplo: Notepad++ |
| TargetProcessFileSize | Opcional | Long | Tamaño del archivo que ejecutó el proceso responsable del evento. |
| TargetProcessFileVersion | Opcional | Cadena | La versión del producto de la información de versión del archivo de imagen del proceso de destino. Ejemplo: 7.9.5.0 |
| TargetProcessFileInternalName | Opcional | Cadena | Nombre de archivo interno del producto de la información de versión del archivo de imagen del proceso de destino. |
| TargetProcessFileOriginalName | Opcional | Cadena | Nombre de archivo original del producto de la información de versión del archivo de imagen del proceso de destino. |
| TargetProcessIsHidden | Opcional | Booleano | Indicación de si el proceso de destino está en modo oculto. |
| TargetProcessInjectedAddress | Opcional | Cadena | Dirección de memoria en la que se almacena el proceso de destino responsable. |
| TargetProcessMD5 | Opcional | MD5 | Hash MD5 del archivo de imagen de proceso de destino. Ejemplo: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Opcional | SHA1 | Hash SHA-1 del archivo de imagen de proceso de destino. Ejemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Opcional | SHA256 | Hash SHA-256 del archivo de imagen de proceso de destino. Ejemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Opcional | SHA512 | Hash SHA-512 del archivo de imagen de proceso de destino. |
| TargetProcessIMPHASH | Opcional | Cadena | Hash de importación de todos los archivos DLL de biblioteca que usa el proceso de destino. |
| HashType | Condicional | Enumerado | El tipo de hash almacenado en el campo alias HASH, los valores permitidos son MD5, SHA, SHA256SHA512 y IMPHASH. |
| TargetProcessCommandLine | Obligatorio | Cadena | Línea de comandos usada para ejecutar el proceso de destino. Ejemplo: "choco.exe" -v |
| TargetProcessCurrentDirectory | Opcional | Cadena | Directorio actual en el que se ejecuta el proceso de destino. Ejemplo: c:\windows\system32 |
| TargetProcessCreationTime | Recomendado | DateTime | La versión del producto de la información de versión del archivo de imagen de proceso de destino. |
| TargetProcessId | Obligatorio | Cadena | Identificador de proceso (PID) del proceso de destino. Ejemplo: 48610176Nota: El tipo se define como cadena para admitir sistemas variables, pero en Windows y Linux este valor debe ser numérico. Si usa una máquina Windows o Linux y usa otro tipo, asegúrese de convertir los valores. Por ejemplo, si usó un valor hexadecimal, conviértalo en un valor decimal. |
| TargetProcessGuid | Opcional | GUID (string) | Identificador único (GUID) generado del proceso de destino. Permite identificar el proceso entre sistemas. Ejemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Opcional | Cadena | Cada proceso tiene un nivel de integridad que se representa en su token. Los niveles de integridad determinan el nivel de proceso de protección o acceso. Windows define los siguientes niveles de integridad: bajo, medio, alto y sistema. Standard los usuarios reciben un nivel de integridad medio y los usuarios con privilegios elevados reciben un nivel de integridad alto. Para obtener más información, consulte Control de integridad obligatorio: aplicaciones Win32. |
| TargetProcessTokenElevation | Opcional | Cadena | Tipo de token que indica la presencia o ausencia de elevación de privilegios de Access Control de usuario (UAC) aplicada al proceso que se creó o finalizó. Ejemplo: None |
| TargetProcessStatusCode | Opcional | Cadena | El código de salida devuelto por el proceso de destino cuando finaliza. Este campo solo es válido para eventos de terminación de procesos. Por coherencia, el tipo de campo es cadena, incluso si el valor proporcionado por el sistema operativo es numérico. |
Campos de inspección
Los campos siguientes se usan para representar esa inspección realizada por un sistema de seguridad como un sistema EDR.
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| RuleName | Opcional | Cadena | Nombre o identificador de la regla asociado a los resultados de la inspección. |
| RuleNumber | Opcional | Entero | Número de la regla asociada a los resultados de la inspección. |
| Rule | Condicional | Cadena | El valor de kRuleName o el valor de RuleNumber. Si se usa el valor de RuleNumber , el tipo debe convertirse en cadena. |
| ThreatId | Opcional | Cadena | Identificador de la amenaza o malware identificado en la actividad de archivo. |
| ThreatName | Opcional | Cadena | Nombre de la amenaza o malware identificado en la actividad de archivo. Ejemplo: EICAR Test File |
| ThreatCategory | Opcional | Cadena | Categoría de la amenaza o malware identificada en la actividad de archivo. Ejemplo: Trojan |
| ThreatRiskLevel | Opcional | RiskLevel (integer) | Nivel de riesgo asociado a la amenaza identificada. El nivel debe ser un número entre 0 y 100. Nota: Es posible que el valor se proporcione en el registro de origen mediante una escala diferente, que debe normalizarse a esta escala. El valor original debe almacenarse en ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Opcional | Cadena | El nivel de riesgo notificado por el dispositivo de informes. |
| ThreatField | Opcional | Cadena | Campo para el que se identificó una amenaza. |
| ThreatField | Opcional | Cadena | Campo para el que se identificó una amenaza. |
| ThreatConfidence | Opcional | ConfidenceLevel (integer) | El nivel de confianza de la amenaza identificada, normalizada a un valor entre 0 y 100. |
| ThreatOriginalConfidence | Opcional | Cadena | El nivel de confianza original de la amenaza identificada, según lo notificado por el dispositivo de informes. |
| ThreatIsActive | Opcional | Booleano | True si la amenaza identificada se considera una amenaza activa. |
| ThreatFirstReportedTime | Opcional | datetime | La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| ThreatLastReportedTime | Opcional | datetime | La última vez que la dirección IP o el dominio se identificaron como una amenaza. |
Actualizaciones de esquema
Estos son los cambios en la versión 0.1.1 del esquema:
- Se agregó el campo
EventSchema.
Estos son los cambios en la versión 0.1.2 del esquema.
- Se agregaron los campos
ActorUserType,ActorOriginalUserType,TargetUserType,TargetOriginalUserTypeyHashType.
Estos son los cambios en la versión 0.1.3 del esquema
- Se han cambiado los campos
ParentProcessIdyTargetProcessCreationTimede obligatorio a recomendado.
Estos son los cambios en la versión 0.1.4 del esquema
- Se agregaron los campos
ActorScope,DvcScopeIdyDvcScope.
Siguientes pasos
Para más información, vea:
- Vea el seminario web de ASIM o revise las diapositivas.
- Introducción al modelo de información de seguridad avanzada (ASIM)
- Esquemas del modelo de información de seguridad avanzada (ASIM)
- Analizadores del modelo de información de seguridad avanzada (ASIM)
- Contenido del modelo de información de seguridad avanzada (ASIM)