プロセス イベント正規化スキーマは、プロセスを実行および終了するオペレーティング システムのアクティビティを記述するために使用されます。 このようなイベントは、オペレーティング システムと、EDR (エンドポイント検出と応答) システムなどのセキュリティ システムによって報告されます。
OSSEM で定義されているプロセスは、プログラムの実行中のインスタンスを表す包含および管理オブジェクトです。 プロセス自体は実行されませんが、コードを実行するスレッドを管理します。
Microsoft Sentinel での正規化の詳細については、「正規化と Advanced Security Information Model (ASIM)」を参照してください。
パーサー
一覧表示されたすべてのパーサーを統一し、構成済みのソース全体で必ず分析する、統一パーサーを使用するには、クエリで次のテーブル名を使用します。
- プロセス作成情報を必要とするクエリでは imProcessCreate。 これらのクエリが最も一般的なケースです。
- プロセス終了情報を必要とするクエリでは imProcessTerminate。
Microsoft Sentinel が提供するプロセス イベント パーサーの一覧については、ASIM パーサーの一覧を参照してください。
認証パーサーを Microsoft Sentinel GitHub リポジトリ からデプロイします。
詳細については、「ASIM パーサーの概要」を参照してください。
独自の正規化されたパーサーを追加する
カスタムのプロセス イベント パーサーの実装時には、構文 imProcessCreate<vendor><Product> および imProcessTerminate<vendor><Product> を使用して KQL 関数に名前を付けます。 パラメーターなしのバージョンの場合は、im を ASim に置き換えてください。
カスタムの KQL 関数は、統一パーサーとして追加します。説明については、「ASIM パーサーを管理する」を参照してください。
パーサー パラメーターのフィルター処理
im および vim* パーサーでは、imがサポートされています。 これらのパーサーは省略可能ですが、クエリのパフォーマンスを向上させることができます。
次のフィルター処理パラメーターを使用できます。
| 名前 | タイプ | 説明 |
|---|---|---|
| starttime | datetime | この時点以降に発生したプロセス イベントのみをフィルター処理します。 |
| endtime | datetime | フィルターは、この時点以前に発生したプロセス イベント クエリのみです。 |
| commandline_has_any | 動的 | 実行されたコマンド行が一覧表示された値のいずれかを持つイベントのみを処理します。 リストの長さは 10,000 項目に制限されます。 |
| commandline_has_all | 動的 | フィルターは、コマンドラインが実行される すべての リスト値を持つイベントのみを処理します。 リストの長さは 10,000 項目に制限されます。 |
| commandline_has_any_ip_prefix | 動的 | コマンド行が実行したプロセス イベントに、一覧表示された IP アドレスまたは IP アドレス接頭部のすべてがあるプロセス イベントのみをフィルター処理します。 プレフィックスの末尾は . にする必要があります (例: 10.0.)。 リストの長さは 10,000 項目に制限されます。 |
| actingprocess_has_any | 動的 | 実行中のプロセス名 (プロセスパス全体を含む) に一覧表示された値のいずれかがあるプロセスイベントのみをフィルター処理します。 リストの長さは 10,000 項目に制限されます。 |
| targetprocess_has_any | 動的 | フィルター処理は、ターゲット プロセス名 (プロセス パス全体を含む) に一覧表示されている値のいずれかを含むプロセス イベントのみをフィルター処理します。 リストの長さは 10,000 項目に制限されます。 |
| parentprocess_has_any | 動的 | フィルター処理は、ターゲット プロセス名 (プロセス パス全体を含む) に一覧表示されている値のいずれかを含むプロセス イベントのみをフィルター処理します。 リストの長さは 10,000 項目に制限されます。 |
| targetusername_has または actorusername_has | 文字列 | ターゲット ユーザー名 (プロセス作成イベントの場合) またはアクター ユーザー名 (プロセス終了イベントの場合) に一覧表示された値のいずれかがあるプロセス イベントのみをフィルター処理します。 リストの長さは 10,000 項目に制限されます。 |
| dvcipaddr_has_any_prefix | 動的 | デバイスの IP アドレスが、一覧表示された IP アドレスまたは IP アドレスプレフィックスのいずれかと一致するプロセスイベントのみをフィルター処理します。 プレフィックスの末尾は . にする必要があります (例: 10.0.)。 リストの長さは 10,000 項目に制限されます。 |
| dvchostname_has_any | 動的 | デバイスのホスト名、または利用可能なデバイスの FQDN に一覧表示された値のいずれかを持つプロセス イベントのみをフィルター処理します。 リストの長さは 10,000 項目に制限されます。 |
| eventtype | 文字列 | 指定した種類のプロセス イベントのみをフィルター処理します。 |
たとえば、過去 1 日の認証イベントのみを特定のユーザーにフィルター処理するには、以下を使用します。
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
ヒント
動的な値を期待するパラメーターにリテラル リストを渡すには、動的リテラルを明示的に使用します。 例: dynamic(['192.168.','10.'])。
正規化されたコンテンツ
正規化されたプロセス イベントを使用する分析ルールの完全な一覧については、「Process Event セキュリティー・コンテンツ」を参照してください。
スキーマの詳細
プロセス イベント情報モデルは、OSSEM プロセス エンティティ スキーマに対応しています。
一般的な ASIM フィールド
重要
すべてのスキーマに共通するフィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。
特定のガイドラインを持つ共通フィールド
次の一覧には、プロセス アクティビティ イベントに関する具体的なガイドラインが含まれたフィールドを示しています。
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| EventType | Mandatory | Enumerated | レコードによって報告される操作を記述します。 プロセス レコードの場合、次のような値がサポートされます。 - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Mandatory | SchemaVersion(文字列) | スキーマのバージョン。 ここに記載されているスキーマのバージョンは 0.1.4 です |
| EventSchema | Mandatory | String | ここに記載されているスキーマの名前は ProcessEvent です。 |
| Dvc フィールド | プロセス アクティビティ イベントの場合、デバイス フィールドは、プロセスが実行されたシステムを参照します。 |
重要
EventSchema フィールドは現在任意ですが、2022 年 9 月 1 日に必須になります。
すべての共通フィールド
下の表に示すフィールドは、すべての ASIM スキーマに共通です。 上で指定されているガイドラインは、フィールドの一般的なガイドラインに優先します。 たとえば、フィールドは一般的には省略可能ですが、特定のスキーマでは必須です。 各フィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。
| クラス | Fields |
|---|---|
| Mandatory |
-
イベントカウント - イベント開始時間 - イベント終了時間 - イベントタイプ - イベント結果 - イベント製品 - イベントベンダー - イベントスキーマ - EventSchemaVersion (イベントスキーマバージョン) - DVCの |
| 推奨 |
-
EventResult詳細 - イベント重大度 - イベントUid - DvcIpAddr - Dvcホスト名 - Dvcドメイン - Dvcドメインタイプ - DvcFQDNの - DvcId - DvcIdType - Dvcアクション |
| オプション |
-
イベントメッセージ - イベントサブタイプ - イベントオリジナルUid - イベントオリジナルタイプ - EventOriginalサブタイプ - EventOriginalResult詳細 - EventOriginalSeverity (イベントオリジナル重大度) - イベント製品バージョン - イベントレポートURL - イベントオーナー - DvcZone の - DvcMacAddr の - DVCOS - DVCOSバージョン - Dvcオリジナルアクション - Dvcインターフェイス - 追加フィールド - DVCの説明 - DvcScopeId (英語) - Dvcスコープ |
プロセス イベント固有のフィールド
下の表に示すフィールドはプロセス イベントに固有ですが、他のスキーマのフィールドに類似しており、同様の名前付け規則に従います。
プロセス イベント スキーマでは、プロセスの作成と終了のアクティビティの中心である次のエンティティを参照します。
- Actor - プロセスの作成または終了を開始したユーザー。
- ActingProcess - Actor がプロセスの作成または終了を開始するために Actor によって使用されるプロセス。
- TargetProcess - 新しいプロセス。
- TargetUser - 資格情報を使用して新しいプロセスを作成するユーザー。
- ParentProcess - Actor プロセスを開始したプロセス。
エイリアス
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| User | エイリアス |
TargetUsername の別名。 例: CONTOSO\dadmin |
|
| Process | エイリアス |
TargetProcessName の別名 例: C:\Windows\System32\rundll32.exe |
|
| CommandLine | エイリアス | TargetProcessCommandLine の別名 | |
| ハッシュ | エイリアス | ターゲット プロセスで使用可能な最適なハッシュのエイリアス。 |
アクターのフィールド
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| ActorUserID | 推奨 | String | コンピューターが判読できる、英数字で、アクターを一意に表現したもの。 さまざまな ID の種類に対してサポートされている形式については、User エンティティに関する記事を参照してください。 例: S-1-12 |
| ActorUserIdType | 条件付き | Enumerated | ActorUserId フィールドに格納されている ID の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「UserIdType」を参照してください。 |
| ActorScope | オプション | String | ActorUserId と ActorUsername が定義されているスコープ (Microsoft Entra テナントなど)。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScope」を参照してください。 |
| ActorScopeId | オプション | String | ActorUserId と ActorUsername が定義されているスコープ ID (Microsoft Entra ディレクトリ ID など)。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScopeId」を参照してください。 |
| ActorUsername | Mandatory | ユーザー名(文字列) | アクターのユーザー名 (使用可能な場合はドメイン情報を含む)。 さまざまな ID の種類に対してサポートされている形式については、User エンティティに関する記事を参照してください。 シンプル形式は、ドメイン情報が利用できない場合にのみ使用します。 ユーザー名の種類は、ActorUsernameType フィールドに格納します。 他のユーザー名形式が使用可能な場合、それらをフィールド ActorUsername<UsernameType> に格納します。例: AlbertE |
| ActorUsernameType | 条件付き | Enumerated |
ActorUsername フィールドに格納されているユーザー名の種類を指定します。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「UsernameType」を参照してください。 例: Windows |
| ActorSessionId | オプション | String | Actor のログイン セッションの一意の ID。 例: 999注: さまざまなシステムに対応するために、型は "文字列" として定義されますが、Windows ではこの値は数値である必要があります。 Windows マシンを使用しており、かつ別の型を使用した場合は、必ず値を変換してください。 たとえば、16 進数の値を使用した場合は、10 進数の値に変換します。 |
| ActorUserType | オプション | UserType | アクターの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「UserType」を参照してください。 注: 値は、異なる用語を使用してソース レコードに提供されている場合があり、これらの値に正規化する必要があります。 元の値は、ActorOriginalUserType フィールドに格納します。 |
| ActorOriginalUserType | オプション | String | レポート デバイスによって提供されている場合、元のターゲット ユーザーの種類。 |
プロセス フィールドの実行
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| ActingProcessCommandLine | オプション | String | 実行プロセスを実行するために使用するコマンド ライン。 例: "choco.exe" -v |
| ActingProcessName | オプション | 文字列 | 実行プロセスの名前。 この名前は通常、プロセスの仮想アドレス空間にマップされる初期コードとデータを定義するために使用される、イメージまたは実行可能ファイルから派生します。 例: C:\Windows\explorer.exe |
| ActingProcessFilename | オプション | String | ファイル名は ActingProcessNameの一部で、フォルダ情報は含まれていません。 例: explorer.exe |
| ActingProcessFileCompany | オプション | String | 実行プロセス イメージ ファイルを作成した会社。 例: Microsoft |
| ActingProcessFileDescription | オプション | String | 実行プロセス イメージ ファイルのバージョン情報に埋め込まれた説明。 例: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | オプション | String | 実行プロセス イメージ ファイルのバージョン情報からの製品名。 例: Notepad++ |
| ActingProcessFileVersion | オプション | String | 実行プロセス イメージ ファイルのバージョン情報からの製品バージョン。 例: 7.9.5.0 |
| ActingProcessFileInternalName | オプション | String | 実行プロセス イメージ ファイルのバージョン情報からの製品内部ファイル名。 |
| ActingProcessFileOriginalName | オプション | String | 実行プロセス イメージ ファイルのバージョン情報からの製品の元のファイル名。 例: Notepad++.exe |
| ActingProcessIsHidden | オプション | ブール値 | 実行プロセスが非表示モードかどうかを示します。 |
| ActingProcessInjectedAddress | オプション | String | 責任ある実行プロセスが格納されているメモリ アドレス。 |
| ActingProcessId | Mandatory | String | 実行プロセスのプロセス ID (PID)。 例: 48610176 注: さまざまなシステムに対応するために、型は "文字列" として定義されますが、Windows と Linux ではこの値は数値である必要があります。 Windows または Linux のマシンを使用しており、かつ別の型を使用した場合は、必ず値を変換してください。 たとえば、16 進数の値を使用した場合は、10 進数の値に変換します。 |
| ActingProcessGuid | オプション | GUID(文字列) | 実行プロセスの生成された一意識別子 (GUID)。 システム間でプロセスを識別できます。 例: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | オプション | String | すべてのプロセスには、トークンで表される整合性レベルがあります。 整合性レベルは、保護またはアクセスのプロセス レベルを決定します。 Windows では、整合性レベルとして low、medium、high、system を定義します。 標準ユーザーには medium の整合性レベルが指定され、管理者特権ユーザーには high の整合性が指定されます。 詳細については、必須の整合性コントロール - Win32 アプリに関するページを参照してください。 |
| ActingProcessMD5 | オプション | String | 実行プロセス イメージ ファイルの MD5 ハッシュ。 例: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | オプション | SHA1 | 実行プロセス イメージ ファイルの SHA-1 ハッシュ。 例: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | オプション | SHA256 | 実行プロセス イメージ ファイルの SHA-256 ハッシュ。 例: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | オプション | SHA512 | 実行プロセス イメージ ファイルの SHA-512 ハッシュ。 |
| ActingProcessIMPHASH | オプション | String | 実行プロセスで使用されるすべてのライブラリ DLL のインポート ハッシュ。 |
| ActingProcessCreationTime | オプション | DateTime | 実行プロセスが開始された日時。 |
| ActingProcessTokenElevation | オプション | String | 実行プロセスに適用されたユーザー アクセス制御 (UAC) 特権の昇格の有無を示すトークン。 例: None |
| ActingProcessFileSize | オプション | Long | 処理プロセスを実行したファイルのサイズ。 |
親プロセス フィールド
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| ParentProcessName | オプション | 文字列 | 親プロセスの名前。 この名前は通常、プロセスの仮想アドレス空間にマップされる初期コードとデータを定義するために使用される、イメージまたは実行可能ファイルから派生します。 例: C:\Windows\explorer.exe |
| ParentProcessFileCompany | オプション | String | 親プロセス イメージ ファイルを作成した会社の名前。 例: Microsoft |
| ParentProcessFileDescription | オプション | String | 親プロセス イメージ ファイルのバージョン情報からの説明。 例: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | オプション | String | 親プロセス イメージ ファイルのバージョン情報からの製品名。 例: Notepad++ |
| ParentProcessFileVersion | オプション | String | 親プロセス イメージ ファイルのバージョン情報からの製品バージョン。 例: 7.9.5.0 |
| ParentProcessIsHidden | オプション | ブール値 | 親プロセスが非表示モードかどうかを示します。 |
| ParentProcessInjectedAddress | オプション | String | 責任ある親プロセスが格納されているメモリ アドレス。 |
| ParentProcessId | 推奨 | String | 親プロセスのプロセス ID (PID)。 例: 48610176 |
| ParentProcessGuid | オプション | String | 親プロセスの生成された一意識別子 (GUID)。 システム間でプロセスを識別できます。 例: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | オプション | String | すべてのプロセスには、トークンで表される整合性レベルがあります。 整合性レベルは、保護またはアクセスのプロセス レベルを決定します。 Windows では、整合性レベルとして low、medium、high、system を定義します。 標準ユーザーには medium の整合性レベルが指定され、管理者特権ユーザーには high の整合性が指定されます。 詳細については、必須の整合性コントロール - Win32 アプリに関するページを参照してください。 |
| ParentProcessMD5 | オプション | MD5 | 親プロセス イメージ ファイルの MD5 ハッシュ。 例: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | オプション | SHA1 | 親プロセス イメージ ファイルの SHA-1 ハッシュ。 例: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | オプション | SHA256 | 親プロセス イメージ ファイルの SHA-256 ハッシュ。 例: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | オプション | SHA512 | 親プロセス イメージ ファイルの SHA-512 ハッシュ。 |
| ParentProcessIMPHASH | オプション | String | 親プロセスで使用されるすべてのライブラリ DLL のインポート ハッシュ。 |
| ParentProcessTokenElevation | オプション | String | 親プロセスに適用されたユーザー アクセス制御 (UAC) 特権の昇格の有無を示すトークン。 例: None |
| ParentProcessCreationTime | オプション | DateTime | 親プロセスが開始された日時。 |
ターゲット ユーザーのフィールド
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| ターゲットユーザー名 | プロセス作成イベントの場合は必須です。 | ユーザー名(文字列) | ターゲット ユーザーのユーザー名 (使用可能な場合はドメイン情報を含む)。 さまざまな ID の種類に対してサポートされている形式については、User エンティティに関する記事を参照してください。 シンプル形式は、ドメイン情報が利用できない場合にのみ使用します。 ユーザー名の種類は、TargetUsernameType フィールドに格納します。 他のユーザー名形式が使用可能な場合、それらをフィールド TargetUsername<UsernameType> に格納します。例: AlbertE |
| TargetUsernameType | 条件付き | Enumerated |
TargetUsername フィールドに格納されているユーザー名の種類を指定します。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「UsernameType」を参照してください。 例: Windows |
| ターゲットユーザーID | 推奨 | String | コンピューターが判読できる、英数字で、ターゲット ユーザーを一意に表現したもの。 さまざまな ID の種類に対してサポートされている形式については、User エンティティに関する記事を参照してください。 例: S-1-12 |
| TargetUserIdType | 条件付き | UserIdType | TargetUserId フィールドに格納されている ID の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「UserIdType」を参照してください。 |
| TargetUserSessionId | オプション | String | ターゲット ユーザーのログイン セッションの一意の ID。 例: 999 注: さまざまなシステムに対応するために、型は "文字列" として定義されますが、Windows ではこの値は数値である必要があります。 Windows または Linux のマシンを使用しており、かつ別の型を使用した場合は、必ず値を変換してください。 たとえば、16 進数の値を使用した場合は、10 進数の値に変換します。 |
| TargetUserSessionGuid | オプション | String | レポートデバイスが報告するターゲットユーザーのログインセッションのユニークなGUID。 例: {12345678-1234-1234-1234-123456789012} |
| TargetUserType | オプション | UserType | アクターの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「UserType」を参照してください。 注: 値は、異なる用語を使用してソース レコードに提供されている場合があり、これらの値に正規化する必要があります。 元の値は、TargetOriginalUserType フィールドに格納します。 |
| ターゲットオリジナルユーザータイプ | オプション | String | レポート デバイスによって提供されている場合、元のターゲット ユーザーの種類。 |
| TargetUserScope | オプション | String | TargetUserId と TargetUsername が定義されているスコープ (Microsoft Entra テナントなど)。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScope」を参照してください。 |
| TargetUserScopeId | オプション | String | TargetUserId と TargetUsername が定義されているスコープ ID (Microsoft Entra ディレクトリ ID など)。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScopeId」を参照してください。 |
ターゲット プロセス フィールド
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| TargetProcessName | Mandatory | 文字列 | ターゲット プロセスの名前。 この名前は通常、プロセスの仮想アドレス空間にマップされる初期コードとデータを定義するために使用される、イメージまたは実行可能ファイルから派生します。 例: C:\Windows\explorer.exe |
| TargetProcessFilename | オプション | String | ファイル名は TargetProcessNameの一部で、フォルダ情報は含まれていません。 例: explorer.exe |
| TargetProcessFileCompany | オプション | String | ターゲット プロセス イメージ ファイルを作成した会社の名前。 例: Microsoft |
| TargetProcessFileDescription | オプション | String | ターゲット プロセス イメージ ファイルのバージョン情報の説明。 例: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | オプション | String | ターゲット プロセス イメージ ファイルのバージョン情報の製品名。 例: Notepad++ |
| TargetProcessFileSize | オプション | Long | イベントを処理するプロセスを実行したファイルのサイズ。 |
| TargetProcessFileVersion | オプション | String | ターゲット プロセス イメージ ファイルのバージョン情報の製品バージョン。 例: 7.9.5.0 |
| TargetProcessFileInternalName | オプション | String | ターゲット プロセスのイメージ ファイルのバージョン情報の製品内部ファイル名。 |
| TargetProcessFileOriginalName | オプション | String | ターゲット プロセスのイメージ ファイルのバージョン情報からの製品の元のファイル名。 |
| TargetProcessIsHidden | オプション | ブール値 | ターゲット プロセスが非表示モードかどうかを示します。 |
| TargetProcessInjectedAddress | オプション | String | 責任あるターゲット プロセスが格納されているメモリ アドレス。 |
| TargetProcessMD5 | オプション | MD5 | ターゲット プロセス イメージ ファイルの MD5 ハッシュ。 例: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | オプション | SHA1 | ターゲット プロセス イメージ ファイルの SHA-1 ハッシュ。 例: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | オプション | SHA256 | ターゲット プロセス イメージ ファイルの SHA-256 ハッシュ。 例: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | オプション | SHA512 | ターゲット プロセス イメージ ファイルの SHA-512 ハッシュ。 |
| TargetProcessIMPHASH | オプション | String | ターゲット プロセスで使用されるすべてのライブラリ DLL のインポート ハッシュ。 |
| HashType | 条件付き | Enumerated | HASH エイリアスフィールドに格納されるハッシュの種類、許可される値はMD5、 SHA、 SHA256、 SHA512、 IMPHASHです。 |
| TargetProcessCommandLine | Mandatory | String | ターゲット プロセスを実行するために使用するコマンド ライン。 例: "choco.exe" -v |
| TargetProcessCurrentDirectory | オプション | String | ターゲット プロセスが実行される現在のディレクトリ。 例: c:\windows\system32 |
| TargetProcessCreationTime | 推奨 | DateTime | ターゲット プロセス イメージ ファイルのバージョン情報からの製品バージョン。 |
| TargetProcessId | Mandatory | String | ターゲット プロセスのプロセス ID (PID)。 例: 48610176注: さまざまなシステムに対応するために、型は "文字列" として定義されますが、Windows と Linux ではこの値は数値である必要があります。 Windows または Linux のマシンを使用しており、かつ別の型を使用した場合は、必ず値を変換してください。 たとえば、16 進数の値を使用した場合は、10 進数の値に変換します。 |
| TargetProcessGuid | オプション | GUID(文字列) | ターゲット プロセスの生成された一意識別子 (GUID)。 システム間でプロセスを識別できます。 例: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | オプション | String | すべてのプロセスには、トークンで表される整合性レベルがあります。 整合性レベルは、保護またはアクセスのプロセス レベルを決定します。 Windows では、整合性レベルとして low、medium、high、system を定義します。 標準ユーザーには medium の整合性レベルが指定され、管理者特権ユーザーには high の整合性が指定されます。 詳細については、必須の整合性コントロール - Win32 アプリに関するページを参照してください。 |
| TargetProcessTokenElevation | オプション | String | 作成または終了されたプロセスに適用されたユーザー アクセス制御 (UAC) 特権の昇格の有無を示すトークンの種類。 例: None |
| TargetProcessStatusCode | オプション | String | 終了時にターゲット プロセスによって返される終了コード。 このフィールドは、プロセス終了イベントに対してのみ有効です。 一貫性を保つため、オペレーティング システムによって提供される値が数値の場合でも、フィールドの型は文字列です。 |
検査のフィールド
以下のフィールドは、EDRシステムなどのセキュリティシステムによる検査を表現するために使われます。
| フィールド | クラス | タイプ | 説明 |
|---|---|---|---|
| ルールネーム | オプション | String | 検査結果に関連付けられたルールの名前または ID。 |
| ルールナンバー | オプション | 整数 | 検査結果に関連付けられたルールの番号。 |
| 規則 | 条件付き | String | kRuleName の値または RuleNumber の値のいずれか。 RuleNumber の値を使用する場合は、型を文字列に変換する必要があります。 |
| ThreatId | オプション | String | ファイル アクティビティで識別された脅威またはマルウェアの ID。 |
| ThreatName | オプション | String | ファイル アクティビティで識別された脅威またはマルウェアの名前。 例: EICAR Test File |
| ThreatCategory | オプション | String | ファイル アクティビティで識別された脅威またはマルウェアのカテゴリ。 例: Trojan |
| ThreatRiskLevel | オプション | リスクレベル(整数) | 識別された脅威に関連付けられているリスク レベル。 レベルは、0 から 100 の間の数値である必要があります。 注: 値は、異なるスケールを使用してソース レコードに提供される場合があり、このスケールに正規化する必要があります。 元の値は ThreatOriginalRiskLevelに保存されるべきです。 |
| 脅威元のリスクレベル | オプション | String | レポート デバイスによって報告されたリスク レベル。 |
| 脅威フィールド | オプション | String | 脅威が特定されたフィールド。 |
| 脅威フィールド | オプション | String | 脅威が特定されたフィールド。 |
| ThreatConfidence | オプション | 信頼度(整数) | 識別された脅威の信頼レベル。0 から 100 の間の値に正規化されます。 |
| ThreatOriginalConfidence | オプション | String | レポート デバイスによって報告される、特定された脅威の元の信頼レベル。 |
| ThreatIsActive | オプション | ブール値 | 特定された脅威がアクティブな脅威と見なされる場合は True。 |
| ThreatFirstReportedTime | オプション | datetime | IP アドレスまたはドメインが脅威として初めて識別された場合。 |
| ThreatLastReportedTime | オプション | datetime | 最後に IP アドレスまたはドメインが脅威として識別された時刻。 |
スキーマの更新
バージョン 0.1.1 のスキーマの変更点を次に示します。
- フィールド
EventSchemaが追加されました。
これらは、スキーマのバージョン 0.1.2 での変更点です
- フィールド
ActorUserType、ActorOriginalUserType、TargetUserType、TargetOriginalUserType、HashTypeが追加されました。
これらは、スキーマのバージョン 0.1.3 での変更点です
- フィールド
ParentProcessIdおよびTargetProcessCreationTimeを必須から推奨に変更しました。
これらは、スキーマのバージョン 0.1.4 での変更点です
- フィールド
ActorScope、DvcScopeId、DvcScopeが追加されました。
次のステップ
詳細については、次を参照してください。