Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le schéma de normalisation d’événement de processus est utilisé pour décrire l’activité du système d’exploitation de l’exécution et de l’arrêt d’un processus. Ces événements sont signalés par les systèmes d’exploitation et les systèmes de sécurité, tels que les systèmes EDR (End Point Detection and Response).
Un processus, tel que défini par OSSEM, est un objet contenant-contenu et de gestion qui représente un instance en cours d’exécution d’un programme. Bien que les processus eux-mêmes ne s’exécutent pas, ils gèrent les threads qui exécutent et exécutent du code.
Pour plus d’informations sur la normalisation dans Microsoft Sentinel, consultez Normalisation et le modèle ASIM (Advanced Security Information Model).
Analyseurs
Pour utiliser les analyseurs d’unification qui unifient tous les analyseurs répertoriés et veillez à analyser toutes les sources configurées, utilisez les noms de table suivants dans vos requêtes :
- imProcessCreate pour les requêtes qui nécessitent des informations de création de processus. Ces requêtes sont le cas le plus courant.
- imProcessTerminate pour les requêtes qui nécessitent des informations d’arrêt de processus.
Pour obtenir la liste des analyseurs d’événements de processus Microsoft Sentinel fournit prête à l’emploi, reportez-vous à la liste des analyseurs ASIM.
Déployez les analyseurs d’authentification à partir du dépôt GitHub Microsoft Sentinel.
Pour plus d’informations, consultez Vue d’ensemble des analyseurs ASIM.
Ajouter vos propres analyseurs normalisés
Lors de l’implémentation d’analyseurs d’événements de processus personnalisés, nommez vos fonctions KQL à l’aide de la syntaxe suivante : imProcessCreate<vendor><Product> et imProcessTerminate<vendor><Product>. Remplacez par imASim pour la version sans paramètre.
Ajoutez votre fonction KQL aux analyseurs d’unification, comme décrit dans Gestion des analyseurs ASIM.
Filtrage des paramètres de l’analyseur
Les im analyseurs et vim* prennent en charge les paramètres de filtrage. Bien que ces analyseurs soient facultatifs, ils peuvent améliorer les performances de vos requêtes.
Les paramètres de filtrage suivants sont disponibles :
| Nom | Type | Description |
|---|---|---|
| Starttime | DateHeure | Filtrer uniquement les événements de processus se sont produits à cette heure ou après. Ce paramètre filtre sur le TimeGenerated champ, qui est l’indicateur standard pour l’heure de l’événement, quel que soit le mappage spécifique à l’analyseur des champs EventStartTime et EventEndTime. |
| heure de fin | DateHeure | Filtrez uniquement les requêtes d’événements de traitement qui se sont produites à cette heure ou avant. Ce paramètre filtre sur le TimeGenerated champ, qui est l’indicateur standard pour l’heure de l’événement, quel que soit le mappage spécifique à l’analyseur des champs EventStartTime et EventEndTime. |
| commandline_has_any | Dynamique | Filtrez uniquement les événements de processus pour lesquels la ligne de commande exécutée a l’une des valeurs répertoriées. La longueur de la liste est limitée à 10 000 éléments. |
| commandline_has_all | Dynamique | Filtrez uniquement les événements de processus pour lesquels la ligne de commande exécutée contient toutes les valeurs répertoriées. La longueur de la liste est limitée à 10 000 éléments. |
| commandline_has_any_ip_prefix | Dynamique | Filtrez uniquement les événements de processus pour lesquels la ligne de commande exécutée a toutes les adresses IP ou préfixes d’adresse IP répertoriés. Les préfixes doivent se terminer par un ., par exemple : 10.0.. La longueur de la liste est limitée à 10 000 éléments. |
| actingprocess_has_any | Dynamique | Filtrez uniquement les événements de processus pour lesquels le nom du processus actif, qui inclut le chemin d’accès complet du processus, a l’une des valeurs répertoriées. La longueur de la liste est limitée à 10 000 éléments. |
| targetprocess_has_any | Dynamique | Filtrez uniquement les événements de processus pour lesquels le nom du processus cible, qui inclut le chemin d’accès complet du processus, a l’une des valeurs répertoriées. La longueur de la liste est limitée à 10 000 éléments. |
| parentprocess_has_any | Dynamique | Filtrez uniquement les événements de processus pour lesquels le nom du processus cible, qui inclut le chemin d’accès complet du processus, a l’une des valeurs répertoriées. La longueur de la liste est limitée à 10 000 éléments. |
| targetusername_has ou actorusername_has | string | Filtrez uniquement les événements de processus pour lesquels le nom d’utilisateur cible (pour les événements de création de processus) ou le nom d’utilisateur de l’acteur (pour les événements de fin de processus) a l’une des valeurs répertoriées. La longueur de la liste est limitée à 10 000 éléments. |
| dvcipaddr_has_any_prefix | Dynamique | Filtrez uniquement les événements de processus pour lesquels l’adresse IP de l’appareil correspond à l’une des adresses IP ou préfixes d’adresse IP répertoriés. Les préfixes doivent se terminer par un ., par exemple : 10.0.. La longueur de la liste est limitée à 10 000 éléments. |
| dvchostname_has_any | Dynamique | Filtrer uniquement les événements de processus pour lesquels le nom d’hôte de l’appareil, ou le nom de domaine complet de l’appareil, est disponible, a l’une des valeurs répertoriées. La longueur de la liste est limitée à 10 000 éléments. |
| Eventtype | string | Filtrer uniquement les événements de processus du type spécifié. |
Par exemple, pour filtrer uniquement les événements d’authentification du dernier jour à un utilisateur spécifique, utilisez :
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Conseil
Pour passer une liste littérale à des paramètres qui attendent une valeur dynamique, utilisez explicitement un littéral dynamique. Par exemple : dynamic(['192.168.','10.']).
Contenu normalisé
Pour obtenir la liste complète des règles d’analyse qui utilisent des événements de processus normalisés, consultez Contenu de sécurité des événements de processus.
Détails du schéma
Le modèle d’informations sur l’événement de processus est aligné sur le schéma d’entité processus OSSEM.
Champs ASIM courants
Importante
Les champs communs à tous les schémas sont décrits en détail dans l’article Champs communs ASIM .
Champs communs avec des instructions spécifiques
La liste suivante mentionne les champs qui ont des instructions spécifiques pour les événements d’activité de processus :
| Field | Classe | Type | Description |
|---|---|---|---|
| EventType | Obligatoire | Énumérés | Décrit l’opération signalée par l’enregistrement. Pour les enregistrements de processus, les valeurs prises en charge sont les suivantes : - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Obligatoire | SchemaVersion (String) | Version du schéma. La version du schéma documentée ici est 0.1.4 |
| EventSchema | Obligatoire | String | Le nom du schéma documenté ici est ProcessEvent. |
| Champs Dvc | Pour les événements d’activité de processus, les champs d’appareil font référence au système sur lequel le processus a été exécuté. |
Importante
Le EventSchema champ est actuellement facultatif, mais deviendra obligatoire le 1er septembre 2022.
Tous les champs courants
Les champs qui apparaissent dans le tableau ci-dessous sont communs à tous les schémas ASIM. Toutes les recommandations spécifiées ci-dessus remplacent les instructions générales pour le champ. Par exemple, un champ peut être facultatif en général, mais obligatoire pour un schéma spécifique. Pour plus d’informations sur chaque champ, reportez-vous à l’article Champs communs ASIM .
| Class | Fields |
|---|---|
| Obligatoire |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Cvn |
| Recommandé |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Facultatif |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Traiter les champs spécifiques à l’événement
Les champs répertoriés dans le tableau ci-dessous sont spécifiques aux événements De traitement, mais sont similaires aux champs d’autres schémas et suivent des conventions d’affectation de noms similaires.
Le schéma d’événement de processus fait référence aux entités suivantes, qui sont au cœur de l’activité de création et d’arrêt du processus :
- Acteur : l’utilisateur qui a lancé la création ou l’arrêt du processus.
- ActingProcess : processus utilisé par l’acteur pour lancer la création ou l’arrêt du processus.
- TargetProcess : nouveau processus.
- TargetUser : utilisateur dont les informations d’identification sont utilisées pour créer le nouveau processus.
- ParentProcess : processus qui a lancé le processus d’acteur.
Alias
| Field | Classe | Type | Description |
|---|---|---|---|
| Utilisateur | Alias | Alias de TargetUsername. Exemple : CONTOSO\dadmin |
|
| Processus | Alias | Alias du TargetProcessName Exemple : C:\Windows\System32\rundll32.exe |
|
| CommandLine | Alias | Alias de TargetProcessCommandLine | |
| Hachage | Alias | Alias du meilleur hachage disponible pour le processus cible. |
Champs d’acteur
| Field | Classe | Type | Description |
|---|---|---|---|
| ActorUserId | Recommandé | String | Représentation unique, alphanumérique et lisible par ordinateur de l’acteur. Pour connaître le format pris en charge pour les différents types d’ID, reportez-vous à l’entité Utilisateur. Exemple : S-1-12 |
| ActorUserIdType | Conditionnelle | Énumérés | Type de l’ID stocké dans le champ ActorUserId . Pour obtenir la liste des valeurs autorisées et plus d’informations, consultez UserIdType dans l’article Vue d’ensemble du schéma. |
| ActorScope | Facultatif | String | Étendue, telle que Microsoft Entra locataire, dans laquelle ActorUserId et ActorUsername sont définis. ou plus d’informations et la liste des valeurs autorisées, consultez UserScope dans l’article Vue d’ensemble du schéma. |
| ActorScopeId | Facultatif | String | ID d’étendue, tel que Microsoft Entra ID d’annuaire, dans lequel ActorUserId et ActorUsername sont définis. ou plus d’informations et la liste des valeurs autorisées, consultez UserScopeId dans l’article Vue d’ensemble du schéma. |
| ActorUsername | Obligatoire | Nom d’utilisateur (chaîne) | Nom d’utilisateur de l’acteur, y compris les informations de domaine lorsqu’elles sont disponibles. Pour connaître le format pris en charge pour les différents types d’ID, reportez-vous à l’entité Utilisateur. Utilisez le formulaire simple uniquement si les informations de domaine ne sont pas disponibles. Stockez le type de nom d’utilisateur dans le champ ActorUsernameType . Si d’autres formats de nom d’utilisateur sont disponibles, stockez-les dans les champs ActorUsername<UsernameType>.Exemple : AlbertE |
| ActorUsernameType | Conditionnelle | Énumérés | Spécifie le type du nom d’utilisateur stocké dans le champ ActorUsername . Pour obtenir la liste des valeurs autorisées et plus d’informations, consultez UsernameType dans l’article Vue d’ensemble du schéma. Exemple : Windows |
| ActorSessionId | Facultatif | String | ID unique de la session de connexion de l’acteur. Exemple : 999Remarque : Le type est défini en tant que chaîne pour prendre en charge différents systèmes, mais sur Windows, cette valeur doit être numérique. Si vous utilisez une machine Windows et que vous avez utilisé un type différent, veillez à convertir les valeurs. Par exemple, si vous avez utilisé une valeur hexadécimale, convertissez-la en valeur décimale. |
| ActorUserType | Facultatif | UserType | Type d’acteur. Pour obtenir la liste des valeurs autorisées et plus d’informations, consultez UserType dans l’article Vue d’ensemble du schéma. Remarque : La valeur peut être fournie dans l’enregistrement source à l’aide de termes différents, qui doivent être normalisés avec ces valeurs. Stockez la valeur d’origine dans le champ ActorOriginalUserType . |
| ActorOriginalUserType | Facultatif | String | Type d’utilisateur de destination d’origine, s’il est fourni par l’appareil de création de rapports. |
Champs de processus d’action
| Field | Classe | Type | Description |
|---|---|---|---|
| ActingProcessCommandLine | Facultatif | String | Ligne de commande utilisée pour exécuter le processus d’action. Exemple : "choco.exe" -v |
| ActingProcessName | Facultatif | string | Nom du processus d’action. Ce nom est généralement dérivé du fichier image ou exécutable utilisé pour définir le code initial et les données mappées dans l’espace d’adressage virtuel du processus. Exemple : C:\Windows\explorer.exe |
| ActingProcessFilename | Facultatif | String | Partie de nom de fichier de , ActingProcessNamesans informations de dossier. Exemple : explorer.exe |
| ActingProcessFileCompany | Facultatif | String | Société qui a créé le fichier image de processus agissant. Exemple : Microsoft |
| ActingProcessFileDescription | Facultatif | String | Description incorporée dans les informations de version du fichier image de processus agissant. Exemple : Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Facultatif | String | Nom du produit à partir des informations de version dans le fichier image du processus d’action. Exemple : Notepad++ |
| ActingProcessFileVersion | Facultatif | String | Version du produit à partir des informations de version du fichier image de processus agissant. Exemple : 7.9.5.0 |
| ActingProcessFileInternalName | Facultatif | String | Nom de fichier interne du produit à partir des informations de version du fichier image de processus en cours d’action. |
| ActingProcessFileOriginalName | Facultatif | String | Nom de fichier d’origine du produit à partir des informations de version du fichier image de processus actif. Exemple : Notepad++.exe |
| ActingProcessIsHidden | Facultatif | Booléen | Indique si le processus d’action est en mode masqué. |
| ActingProcessInjectedAddress | Facultatif | String | Adresse mémoire dans laquelle le processus actif responsable est stocké. |
| ActingProcessId | Obligatoire | String | ID de processus (PID) du processus d’action. Exemple : 48610176 Remarque : Le type est défini en tant que chaîne pour prendre en charge différents systèmes, mais sur Windows et Linux cette valeur doit être numérique. Si vous utilisez un ordinateur Windows ou Linux et que vous avez utilisé un autre type, veillez à convertir les valeurs. Par exemple, si vous avez utilisé une valeur hexadécimale, convertissez-la en valeur décimale. |
| ActingProcessGuid | Facultatif | GUID (chaîne) | Identificateur unique (GUID) généré du processus d’action. Permet d’identifier le processus entre les systèmes. Exemple : EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Facultatif | String | Chaque processus a un niveau d’intégrité qui est représenté dans son jeton. Les niveaux d’intégrité déterminent le niveau de protection ou d’accès du processus. Windows définit les niveaux d’intégrité suivants : faible, moyen, élevé et système. Standard les utilisateurs reçoivent un niveau d’intégrité moyen et les utilisateurs élevés reçoivent un niveau d’intégrité élevé. Pour plus d’informations, consultez Contrôle d’intégrité obligatoire - Applications Win32. |
| ActingProcessMD5 | Facultatif | String | Hachage MD5 du fichier image de processus d’action. Exemple : 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Facultatif | SHA1 | Hachage SHA-1 du fichier image de processus d’action. Exemple : d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Facultatif | SHA256 | Hachage SHA-256 du fichier image de processus d’action. Exemple : e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Facultatif | SHA512 | Hachage SHA-512 du fichier image de processus agissant. |
| ActingProcessIMPHASH | Facultatif | String | Hachage d’importation de toutes les DLL de bibliothèque utilisées par le processus d’action. |
| ActingProcessCreationTime | Facultatif | DateTime | Date et heure de démarrage du processus d’action. |
| ActingProcessTokenElevation | Facultatif | String | Jeton indiquant la présence ou l’absence d’élévation de privilèges utilisateur Access Control (UAC) appliquée au processus d’action. Exemple : None |
| ActingProcessFileSize | Facultatif | Entier long | Taille du fichier qui a exécuté le processus d’action. |
Champs de processus parent
| Field | Classe | Type | Description |
|---|---|---|---|
| ParentProcessName | Facultatif | string | Nom du processus parent. Ce nom est généralement dérivé du fichier image ou exécutable utilisé pour définir le code initial et les données mappées dans l’espace d’adressage virtuel du processus. Exemple : C:\Windows\explorer.exe |
| ParentProcessFileCompany | Facultatif | String | Nom de la société qui a créé le fichier image de processus parent. Exemple : Microsoft |
| ParentProcessFileDescription | Facultatif | String | Description des informations de version dans le fichier image de processus parent. Exemple : Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Facultatif | String | Nom du produit à partir des informations de version dans le fichier image de processus parent. Exemple : Notepad++ |
| ParentProcessFileVersion | Facultatif | String | Version du produit à partir des informations de version dans le fichier image de processus parent. Exemple : 7.9.5.0 |
| ParentProcessIsHidden | Facultatif | Booléen | Indique si le processus parent est en mode masqué. |
| ParentProcessInjectedAddress | Facultatif | String | Adresse mémoire dans laquelle le processus parent responsable est stocké. |
| ParentProcessId | Recommandé | String | ID de processus (PID) du processus parent. Exemple : 48610176 |
| ParentProcessGuid | Facultatif | String | Identificateur unique (GUID) généré du processus parent. Permet d’identifier le processus entre les systèmes. Exemple : EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Facultatif | String | Chaque processus a un niveau d’intégrité qui est représenté dans son jeton. Les niveaux d’intégrité déterminent le niveau de protection ou d’accès du processus. Windows définit les niveaux d’intégrité suivants : faible, moyen, élevé et système. Standard les utilisateurs reçoivent un niveau d’intégrité moyen et les utilisateurs élevés reçoivent un niveau d’intégrité élevé. Pour plus d’informations, consultez Contrôle d’intégrité obligatoire - Applications Win32. |
| ParentProcessMD5 | Facultatif | MD5 | Hachage MD5 du fichier image de processus parent. Exemple : 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Facultatif | SHA1 | Hachage SHA-1 du fichier image de processus parent. Exemple : d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Facultatif | SHA256 | Hachage SHA-256 du fichier image de processus parent. Exemple : e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Facultatif | SHA512 | Hachage SHA-512 du fichier image de processus parent. |
| ParentProcessIMPHASH | Facultatif | String | Hachage d’importation de toutes les DLL de bibliothèque utilisées par le processus parent. |
| ParentProcessTokenElevation | Facultatif | String | Jeton indiquant la présence ou l’absence d’élévation de privilèges utilisateur Access Control (UAC) appliquée au processus parent. Exemple : None |
| ParentProcessCreationTime | Facultatif | DateTime | Date et heure de démarrage du processus parent. |
Champs utilisateur cible
| Field | Classe | Type | Description |
|---|---|---|---|
| TargetUsername | Obligatoire pour les événements de création de processus. | Nom d’utilisateur (chaîne) | Nom d’utilisateur cible, y compris les informations de domaine lorsqu’elles sont disponibles. Pour connaître le format pris en charge pour les différents types d’ID, reportez-vous à l’entité Utilisateur. Utilisez le formulaire simple uniquement si les informations de domaine ne sont pas disponibles. Stockez le type de nom d’utilisateur dans le champ TargetUsernameType . Si d’autres formats de nom d’utilisateur sont disponibles, stockez-les dans les champs TargetUsername<UsernameType>.Exemple : AlbertE |
| TargetUsernameType | Conditionnelle | Énumérés | Spécifie le type du nom d’utilisateur stocké dans le champ TargetUsername . Pour obtenir la liste des valeurs autorisées et plus d’informations, consultez UsernameType dans l’article Vue d’ensemble du schéma. Exemple : Windows |
| TargetUserId | Recommandé | String | Représentation unique, alphanumérique et lisible par l’ordinateur de l’utilisateur cible. Pour connaître le format pris en charge pour les différents types d’ID, reportez-vous à l’entité Utilisateur. Exemple : S-1-12 |
| TargetUserIdType | Conditionnelle | UserIdType | Type de l’ID stocké dans le champ TargetUserId . Pour obtenir la liste des valeurs autorisées et plus d’informations, consultez UserIdType dans l’article Vue d’ensemble du schéma. |
| TargetUserSessionId | Facultatif | String | ID unique de la session de connexion de l’utilisateur cible. Exemple : 999 Remarque : Le type est défini en tant que chaîne pour prendre en charge différents systèmes, mais sur Windows, cette valeur doit être numérique. Si vous utilisez un ordinateur Windows ou Linux et que vous avez utilisé un autre type, veillez à convertir les valeurs. Par exemple, si vous avez utilisé une valeur hexadécimale, convertissez-la en valeur décimale. |
| TargetUserSessionGuid | Facultatif | String | GUID unique de la session de connexion de l’utilisateur cible, tel que signalé par l’appareil de création de rapports. Exemple : {12345678-1234-1234-1234-123456789012} |
| TargetUserType | Facultatif | UserType | Type d’acteur. Pour obtenir la liste des valeurs autorisées et plus d’informations, consultez UserType dans l’article Vue d’ensemble du schéma. Remarque : La valeur peut être fournie dans l’enregistrement source à l’aide de termes différents, qui doivent être normalisés avec ces valeurs. Stockez la valeur d’origine dans le champ TargetOriginalUserType . |
| TargetOriginalUserType | Facultatif | String | Type d’utilisateur de destination d’origine, s’il est fourni par l’appareil de création de rapports. |
| TargetUserScope | Facultatif | String | Étendue, telle que Microsoft Entra locataire, dans laquelle TargetUserId et TargetUsername sont définis. ou plus d’informations et la liste des valeurs autorisées, consultez UserScope dans l’article Vue d’ensemble du schéma. |
| TargetUserScopeId | Facultatif | String | ID d’étendue, tel que Microsoft Entra ID d’annuaire, dans lequel TargetUserId et TargetUsername sont définis. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserScopeId dans l’article Vue d’ensemble du schéma. |
Champs de processus cibles
| Field | Classe | Type | Description |
|---|---|---|---|
| TargetProcessName | Obligatoire | string | Nom du processus cible. Ce nom est généralement dérivé du fichier image ou exécutable utilisé pour définir le code initial et les données mappées dans l’espace d’adressage virtuel du processus. Exemple : C:\Windows\explorer.exe |
| TargetProcessFilename | Facultatif | String | Partie de nom de fichier de , TargetProcessNamesans informations de dossier. Exemple : explorer.exe |
| TargetProcessFileCompany | Facultatif | String | Nom de la société qui a créé le fichier image de processus cible. Exemple : Microsoft |
| TargetProcessFileDescription | Facultatif | String | Description des informations de version dans le fichier image de processus cible. Exemple : Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Facultatif | String | Nom du produit à partir des informations de version dans le fichier image du processus cible. Exemple : Notepad++ |
| TargetProcessFileSize | Facultatif | Entier long | Taille du fichier qui a exécuté le processus responsable de l’événement. |
| TargetProcessFileVersion | Facultatif | String | Version du produit à partir des informations de version dans le fichier image de processus cible. Exemple : 7.9.5.0 |
| TargetProcessFileInternalName | Facultatif | String | Nom de fichier interne du produit à partir des informations de version du fichier image du processus cible. |
| TargetProcessFileOriginalName | Facultatif | String | Nom du fichier d’origine du produit à partir des informations de version du fichier image du processus cible. |
| TargetProcessIsHidden | Facultatif | Booléen | Indique si le processus cible est en mode masqué. |
| TargetProcessInjectedAddress | Facultatif | String | Adresse mémoire dans laquelle le processus cible responsable est stocké. |
| TargetProcessMD5 | Facultatif | MD5 | Hachage MD5 du fichier image de processus cible. Exemple : 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Facultatif | SHA1 | Hachage SHA-1 du fichier image de processus cible. Exemple : d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Facultatif | SHA256 | Hachage SHA-256 du fichier image de processus cible. Exemple : e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Facultatif | SHA512 | Hachage SHA-512 du fichier image de processus cible. |
| TargetProcessIMPHASH | Facultatif | String | Hachage d’importation de toutes les DLL de bibliothèque utilisées par le processus cible. |
| HashType | Conditionnelle | Énumérés | Type de hachage stocké dans le champ d’alias HASH, les valeurs autorisées sont MD5, SHASHA256, SHA512 et IMPHASH. |
| TargetProcessCommandLine | Obligatoire | String | Ligne de commande utilisée pour exécuter le processus cible. Exemple : "choco.exe" -v |
| TargetProcessCurrentDirectory | Facultatif | String | Répertoire actif dans lequel le processus cible est exécuté. Exemple : c:\windows\system32 |
| TargetProcessCreationTime | Recommandé | DateTime | Version du produit à partir des informations de version du fichier image de processus cible. |
| TargetProcessId | Obligatoire | String | ID de processus (PID) du processus cible. Exemple : 48610176Remarque : Le type est défini en tant que chaîne pour prendre en charge différents systèmes, mais sur Windows et Linux cette valeur doit être numérique. Si vous utilisez un ordinateur Windows ou Linux et que vous avez utilisé un autre type, veillez à convertir les valeurs. Par exemple, si vous avez utilisé une valeur hexadécimale, convertissez-la en valeur décimale. |
| TargetProcessGuid | Facultatif | GUID (Chaîne) | Identificateur unique (GUID) généré du processus cible. Permet d’identifier le processus entre les systèmes. Exemple : EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Facultatif | String | Chaque processus a un niveau d’intégrité qui est représenté dans son jeton. Les niveaux d’intégrité déterminent le niveau de protection ou d’accès du processus. Windows définit les niveaux d’intégrité suivants : faible, moyen, élevé et système. Standard les utilisateurs reçoivent un niveau d’intégrité moyen et les utilisateurs élevés reçoivent un niveau d’intégrité élevé. Pour plus d’informations, consultez Contrôle d’intégrité obligatoire - Applications Win32. |
| TargetProcessTokenElevation | Facultatif | String | Type de jeton indiquant la présence ou l’absence de l’élévation de privilèges Access Control utilisateur (UAC) appliquée au processus qui a été créé ou arrêté. Exemple : None |
| TargetProcessStatusCode | Facultatif | String | Code de sortie retourné par le processus cible à l’arrêt. Ce champ est valide uniquement pour les événements d’arrêt de processus. Pour la cohérence, le type de champ est chaîne, même si la valeur fournie par le système d’exploitation est numérique. |
Champs d’inspection
Les champs suivants sont utilisés pour représenter l’inspection effectuée par un système de sécurité tel qu’un système EDR.
| Field | Classe | Type | Description |
|---|---|---|---|
| RuleName | Facultatif | String | Nom ou ID de la règle associé aux résultats de l’inspection. |
| RuleNumber | Facultatif | Entier | Numéro de la règle associée aux résultats de l’inspection. |
| Règle | Conditionnelle | String | La valeur de kRuleName ou la valeur de RuleNumber. Si la valeur de RuleNumber est utilisée, le type doit être converti en chaîne. |
| ThreatId | Facultatif | String | ID de la menace ou du programme malveillant identifié dans l’activité de fichier. |
| ThreatName | Facultatif | String | Nom de la menace ou du programme malveillant identifié dans l’activité de fichier. Exemple : EICAR Test File |
| ThreatCategory | Facultatif | String | Catégorie de la menace ou du programme malveillant identifié dans l’activité de fichier. Exemple : Trojan |
| ThreatRiskLevel | Facultatif | RiskLevel (Integer) | Niveau de risque associé à la menace identifiée. Le niveau doit être un nombre compris entre 0 et 100. Remarque : La valeur peut être fournie dans l’enregistrement source à l’aide d’une échelle différente, qui doit être normalisée à cette échelle. La valeur d’origine doit être stockée dans ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Facultatif | String | Niveau de risque indiqué par l’appareil de création de rapports. |
| ThreatField | Facultatif | String | Champ pour lequel une menace a été identifiée. |
| ThreatField | Facultatif | String | Champ pour lequel une menace a été identifiée. |
| ThreatConfidence | Facultatif | ConfidenceLevel (Integer) | Niveau de confiance de la menace identifiée, normalisé à une valeur comprise entre 0 et 100. |
| ThreatOriginalConfidence | Facultatif | String | Niveau de confiance d’origine de la menace identifiée, tel que signalé par l’appareil de création de rapports. |
| ThreatIsActive | Facultatif | Booléen | True si la menace identifiée est considérée comme une menace active. |
| ThreatFirstReportedTime | Facultatif | DateHeure | La première fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatLastReportedTime | Facultatif | DateHeure | Dernière fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
Mises à jour de schéma
Voici les modifications apportées à la version 0.1.1 du schéma :
- Ajout du champ
EventSchema.
Il s’agit des modifications apportées à la version 0.1.2 du schéma
- Ajout des champs
ActorUserType,ActorOriginalUserType,TargetUserType,TargetOriginalUserTypeetHashType.
Il s’agit des modifications apportées à la version 0.1.3 du schéma
- Modification des champs
ParentProcessIdetTargetProcessCreationTimede obligatoire à recommandé.
Il s’agit des modifications apportées à la version 0.1.4 du schéma
- Ajout des champs
ActorScope,DvcScopeIdetDvcScope.
Prochaines étapes
Pour plus d’informations, reportez-vous aux rubriques suivantes :