Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Schemat normalizacji zdarzenia procesu służy do opisywania działania systemu operacyjnego uruchamiania i końcowania procesu. Takie zdarzenia są zgłaszane przez systemy operacyjne i systemy zabezpieczeń, takie jak systemy wykrywania punktów końcowych i reagowania.
Proces zdefiniowany przez OSSEM jest obiektem zawierającym i zarządzającym, który reprezentuje uruchomione wystąpienie programu. Chociaż same procesy nie są uruchamiane, zarządzają wątkami, które uruchamiają i wykonują kod.
Aby uzyskać więcej informacji na temat normalizacji w usłudze Microsoft Sentinel, zobacz Normalizacja i Zaawansowany model informacji o zabezpieczeniach (ASIM).
Parsery
Aby użyć ujednolicających analizatorów, które ujednolicają wszystkie analizatory wymienione na liście i upewnij się, że analizujesz wszystkie skonfigurowane źródła, użyj następujących nazw tabel w zapytaniach:
- imProcessUtwórz zapytania, które wymagają informacji o tworzeniu procesu. Te zapytania są najczęstszym przypadkiem.
- imProcessTerminate dla zapytań, które wymagają informacji o zakończeniu procesu.
Aby uzyskać listę analizatorów zdarzeń przetwarzania, usługa Microsoft Sentinel udostępnia gotowe do użycia, zapoznaj się z listą analizatorów ASIM.
Wdróż analizatory uwierzytelniania z repozytorium GitHub usługi Microsoft Sentinel.
Aby uzyskać więcej informacji, zobacz Omówienie analizatorów ASIM.
Dodawanie własnych znormalizowanych analizatorów
Podczas implementowania analizatorów zdarzeń procesu niestandardowego nazwij funkcje KQL przy użyciu następującej składni: imProcessCreate<vendor><Product> i imProcessTerminate<vendor><Product>. Zastąp ciągiem imASim dla wersji bez parametrów.
Dodaj funkcję KQL do ujednolicających analizatorów zgodnie z opisem w temacie Zarządzanie analizatorami ASIM.
Parametry analizatora filtrowania
Analizatory im i vim* obsługują parametry filtrowania. Chociaż te analizatory są opcjonalne, mogą zwiększyć wydajność zapytań.
Dostępne są następujące parametry filtrowania:
| Nazwisko | Typ | Opis |
|---|---|---|
| godzina rozpoczęcia | data/godzina | Filtruj tylko zdarzenia procesów, które wystąpiły w czasie lub po tym czasie. |
| godzina zakończenia | data/godzina | Filtruj tylko zapytania dotyczące przetwarzania zdarzeń, które wystąpiły w danym momencie lub wcześniej. |
| commandline_has_any | dynamiczna | Filtruj tylko zdarzenia przetwarzania, dla których wykonany wiersz polecenia zawiera dowolne z wymienionych wartości. Długość listy jest ograniczona do 10 000 elementów. |
| commandline_has_all | dynamiczna | Filtruj tylko zdarzenia procesowe, dla których wiersz poleceń wykonuje wszystkie wymienione wartości. Długość listy jest ograniczona do 10 000 elementów. |
| commandline_has_any_ip_prefix | dynamiczna | Filtruj tylko zdarzenia przetwarzania, dla których wykonany wiersz polecenia zawiera wszystkie wymienione adresy IP lub prefiksy adresów IP. Prefiksy powinny kończyć się elementem ., na przykład : 10.0.. Długość listy jest ograniczona do 10 000 elementów. |
| actingprocess_has_any | dynamiczna | Filtruj tylko zdarzenia procesu, dla których nazwa działającego procesu, która zawiera całą ścieżkę procesu, ma dowolne z wymienionych wartości. Długość listy jest ograniczona do 10 000 elementów. |
| targetprocess_has_any | dynamiczna | Filtruj tylko zdarzenia procesu, dla których nazwa procesu docelowego, która zawiera całą ścieżkę procesu, ma dowolne z wymienionych wartości. Długość listy jest ograniczona do 10 000 elementów. |
| parentprocess_has_any | dynamiczna | Filtruj tylko zdarzenia procesu, dla których nazwa procesu docelowego, która zawiera całą ścieżkę procesu, ma dowolne z wymienionych wartości. Długość listy jest ograniczona do 10 000 elementów. |
| targetusername_has lub actorusername_has | ciąg | Filtruj tylko zdarzenia procesu, dla których docelowa nazwa użytkownika (dla procesu tworzenia zdarzeń) lub nazwa użytkownika aktora (w przypadku zdarzeń zakończenia procesu) ma dowolną z wymienionych wartości. Długość listy jest ograniczona do 10 000 elementów. |
| dvcipaddr_has_any_prefix | dynamiczna | Filtruj tylko zdarzenia przetwarzania, dla których adres IP urządzenia jest zgodny z dowolnym z wymienionych adresów IP lub prefiksów adresów IP. Prefiksy powinny kończyć się elementem ., na przykład : 10.0.. Długość listy jest ograniczona do 10 000 elementów. |
| dvchostname_has_any | dynamiczna | Filtruj tylko zdarzenia procesu, dla których nazwa hosta urządzenia lub nazwa FQDN urządzenia jest dostępna, ma dowolną z wymienionych wartości. Długość listy jest ograniczona do 10 000 elementów. |
| typ zdarzenia | ciąg | Filtruj tylko zdarzenia procesu określonego typu. |
Aby na przykład filtrować tylko zdarzenia uwierzytelniania od ostatniego dnia do określonego użytkownika, użyj:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Napiwek
Aby przekazać listę literałów do parametrów, które oczekują wartości dynamicznej, jawnie użyj literału dynamicznego. Na przykład: dynamic(['192.168.','10.']).
Znormalizowana zawartość
Aby uzyskać pełną listę reguł analizy korzystających z znormalizowanych zdarzeń procesu, zobacz Przetwarzanie zawartości zabezpieczeń zdarzeń.
Szczegóły schematu
Model informacji o zdarzeniach procesu jest wyrównany do schematu jednostki procesów OSSEM.
Typowe pola karty ASIM
Ważne
Pola wspólne dla wszystkich schematów zostały szczegółowo opisane w artykule ASIM Common Fields (Wspólne pola karty ASIM).
Typowe pola z określonymi wytycznymi
Na poniższej liście wymieniono pola, które mają określone wytyczne dotyczące zdarzeń działań procesów:
| Pole | Klasa | Typ | Opis |
|---|---|---|---|
| EventType | Obowiązkowy | Enumerated | Opisuje operację zgłoszoną przez rekord. W przypadku rekordów procesów obsługiwane wartości obejmują: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Obowiązkowy | SchemaVersion (String) | Wersja schematu. Wersja schematu udokumentowana tutaj jest 0.1.4 |
| EventSchema | Obowiązkowy | String | Nazwa schematu udokumentowanego tutaj to ProcessEvent. |
| Pola dvc | W przypadku zdarzeń działania procesów pola urządzeń odnoszą się do systemu, w którym został wykonany proces. |
Ważne
Pole EventSchema jest obecnie opcjonalne, ale stanie się obowiązkowe 1 września 2022 r.
Wszystkie typowe pola
Pola wyświetlane w poniższej tabeli są wspólne dla wszystkich schematów ASIM. Wszelkie wytyczne określone powyżej zastępują ogólne wytyczne dotyczące pola. Na przykład pole może być ogólnie opcjonalne, ale obowiązkowe dla określonego schematu. Aby uzyskać więcej informacji na temat każdego pola, zapoznaj się z artykułem ASIM Common Fields (Wspólne pola karty ASIM).
Przetwarzanie pól specyficznych dla zdarzeń
Pola wymienione w poniższej tabeli są specyficzne dla zdarzeń procesów, ale są podobne do pól w innych schematach i są zgodne z podobnymi konwencjami nazewnictwa.
Schemat zdarzeń procesu odwołuje się do następujących jednostek, które są centralnym elementem procesu tworzenia i kończenia działania:
- Aktor — użytkownik, który zainicjował tworzenie lub kończenie procesu.
- ActingProcess — proces używany przez aktora do inicjowania tworzenia lub kończenia procesu.
- TargetProcess — nowy proces.
- TargetUser — użytkownik, którego poświadczenia są używane do tworzenia nowego procesu.
- ParentProcess — proces, który zainicjował proces aktora.
Aliasy
| Pole | Klasa | Typ | Opis |
|---|---|---|---|
| Użytkownik | Alias | Alias elementu TargetUsername. Przykład: CONTOSO\dadmin |
|
| Proces | Alias | Alias elementu TargetProcessName Przykład: C:\Windows\System32\rundll32.exe |
|
| Wiersz polecenia | Alias | Alias elementu TargetProcessCommandLine | |
| Skrót | Alias | Alias do najlepszego dostępnego skrótu dla procesu docelowego. |
Pola aktora
| Pole | Klasa | Typ | Opis |
|---|---|---|---|
| AktorUserId | Zalecane | String | Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja aktora. Aby uzyskać obsługiwany format dla różnych typów identyfikatorów, zapoznaj się z jednostką Użytkownik. Przykład: S-1-12 |
| AktorUserIdType | Warunkowe | Enumerated | Typ identyfikatora przechowywanego w polu ActorUserId . Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz UserIdType w artykule Przegląd schematu. |
| AktorZakres | Opcjonalnie | String | Zakres, taki jak dzierżawa firmy Microsoft Entra, w którym zdefiniowano element ActorUserId i ActorUsername . lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu. |
| AktorScopeId | Opcjonalnie | String | Identyfikator zakresu, taki jak Identyfikator katalogu Entra firmy Microsoft, w którym zdefiniowano element ActorUserId i ActorUsername . lub więcej informacji i listy dozwolonych wartości, zobacz UserScopeId w artykule Przegląd schematu. |
| AktorUsername | Obowiązkowy | Nazwa użytkownika (String) | Nazwa użytkownika aktora, w tym informacje o domenie, gdy są dostępne. Aby uzyskać obsługiwany format dla różnych typów identyfikatorów, zapoznaj się z jednostką Użytkownik. Użyj prostego formularza tylko wtedy, gdy informacje o domenie nie są dostępne. Zapisz typ nazwy użytkownika w polu ActorUsernameType . Jeśli są dostępne inne formaty nazw użytkowników, zapisz je w polach ActorUsername<UsernameType>.Przykład: AlbertE |
| AktorUsernameType | Warunkowe | Enumerated | Określa typ nazwy użytkownika przechowywanej w polu ActorUsername . Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz UsernameType w artykule Przegląd schematu. Przykład: Windows |
| ActorsSessionId | Opcjonalnie | String | Unikatowy identyfikator sesji logowania aktora. Przykład: 999Uwaga: typ jest definiowany jako ciąg do obsługi różnych systemów, ale w systemie Windows ta wartość musi być numeryczna. Jeśli używasz maszyny z systemem Windows i używasz innego typu, pamiętaj, aby przekonwertować wartości. Jeśli na przykład użyto wartości szesnastkowej, przekonwertuj ją na wartość dziesiętną. |
| AktorUserType | Opcjonalnie | UserType | Typ aktora. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz UserType w artykule Przegląd schematu. Uwaga: Wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Zapisz oryginalną wartość w polu ActorOriginalUserType . |
| AktorOryginalnyTyp użytkownika | Opcjonalnie | String | Oryginalny typ użytkownika docelowego, jeśli jest udostępniany przez urządzenie raportowania. |
Pola procesów działających
| Pole | Klasa | Typ | Opis |
|---|---|---|---|
| ActingProcessCommandLine | Opcjonalnie | String | Wiersz polecenia używany do uruchamiania działającego procesu. Przykład: "choco.exe" -v |
| ActingProcessName | Opcjonalnie | ciąg | Nazwa działającego procesu. Ta nazwa jest często pochodzi z obrazu lub pliku wykonywalnego używanego do definiowania początkowego kodu i danych zamapowanych na wirtualną przestrzeń adresową procesu. Przykład: C:\Windows\explorer.exe |
| ActingProcessFilename | Opcjonalnie | String | Nazwa pliku jest częścią ActingProcessName, bez informacji o folderze. Przykład: explorer.exe |
| ActingProcessFileCompany | Opcjonalnie | String | Firma, która utworzyła działający plik obrazu procesu. Przykład: Microsoft |
| ActingProcessFileDescription | Opcjonalnie | String | Opis osadzony w informacjach o wersji pliku obrazu procesu działania. Przykład: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Opcjonalnie | String | Nazwa produktu z informacji o wersji w pliku obrazu procesu działającego. Przykład: Notepad++ |
| ActingProcessFileVersion | Opcjonalnie | String | Wersja produktu z informacji o wersji działającego pliku obrazu procesu. Przykład: 7.9.5.0 |
| ActingProcessFileInternalName | Opcjonalnie | String | Wewnętrzna nazwa pliku produktu z informacji o wersji działającego pliku obrazu procesu. |
| ActingProcessFileOriginalName | Opcjonalnie | String | Oryginalna nazwa pliku produktu z informacji o wersji działającego pliku obrazu procesu. Przykład: Notepad++.exe |
| ActingProcessIsHidden | Opcjonalnie | logiczny | Wskazanie, czy proces działający jest w trybie ukrytym. |
| ActingProcessInjectedAddress | Opcjonalnie | String | Adres pamięci, w którym jest przechowywany odpowiedzialny proces działający. |
| ActingProcessId | Obowiązkowy | String | Identyfikator procesu (PID) działającego procesu. Przykład: 48610176 Uwaga: typ jest definiowany jako ciąg do obsługi różnych systemów, ale w systemach Windows i Linux ta wartość musi być numeryczna. Jeśli używasz maszyny z systemem Windows lub Linux i używasz innego typu, pamiętaj, aby przekonwertować wartości. Jeśli na przykład użyto wartości szesnastkowej, przekonwertuj ją na wartość dziesiętną. |
| ActingProcessGuid | Opcjonalnie | GUID (struna) | Wygenerowany unikatowy identyfikator (GUID) działającego procesu. Umożliwia identyfikację procesu w różnych systemach. Przykład: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Opcjonalnie | String | Każdy proces ma poziom integralności reprezentowany w tokenie. Poziomy integralności określają poziom ochrony lub dostępu procesu. System Windows definiuje następujące poziomy integralności: niski, średni, wysoki i system. Użytkownicy standardowi otrzymują średni poziom integralności i otrzymują wysoki poziom integralności. Aby uzyskać więcej informacji, zobacz Obowiązkowe sterowanie integralnością — aplikacje Win32. |
| ActingProcessMD5 | Opcjonalnie | String | Skrót MD5 pliku obrazu procesu działającego. Przykład: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Opcjonalnie | SHA1 | Skrót SHA-1 pliku obrazu procesu działającego. Przykład: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Opcjonalnie | SHA256 | Skrót SHA-256 pliku obrazu procesu działającego. Przykład: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Opcjonalnie | SHA512 | Skrót SHA-512 pliku obrazu procesu działającego. |
| ActingProcessIMPHASH | Opcjonalnie | String | Skrót importu wszystkich bibliotek DLL używanych przez proces działania. |
| ActingProcessCreationTime | Opcjonalnie | DateTime | Data i godzina rozpoczęcia działającego procesu. |
| ActingProcessTokenElevation | Opcjonalnie | String | Token wskazujący obecność lub brak podniesienia uprawnień kontroli dostępu użytkownika (UAC) stosowane do działającego procesu. Przykład: None |
| ActingProcessFileSize | Opcjonalnie | Długi | Rozmiar pliku, w ramach którego uruchomiono proces działania. |
Pola procesu nadrzędnego
| Pole | Klasa | Typ | Opis |
|---|---|---|---|
| ParentProcessName | Opcjonalnie | ciąg | Nazwa procesu nadrzędnego. Ta nazwa jest często pochodzi z obrazu lub pliku wykonywalnego używanego do definiowania początkowego kodu i danych zamapowanych na wirtualną przestrzeń adresową procesu. Przykład: C:\Windows\explorer.exe |
| ParentProcessFileCompany | Opcjonalnie | String | Nazwa firmy, która utworzyła plik obrazu procesu nadrzędnego. Przykład: Microsoft |
| ParentProcessFileDescription | Opcjonalnie | String | Opis informacji o wersji w pliku obrazu procesu nadrzędnego. Przykład: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Opcjonalnie | String | Nazwa produktu z informacji o wersji w pliku obrazu procesu nadrzędnego. Przykład: Notepad++ |
| ParentProcessFileVersion | Opcjonalnie | String | Wersja produktu z informacji o wersji w pliku obrazu procesu nadrzędnego. Przykład: 7.9.5.0 |
| ParentProcessIsHidden | Opcjonalnie | logiczny | Wskazanie, czy proces nadrzędny jest w trybie ukrytym. |
| ParentProcessInjectedAddress | Opcjonalnie | String | Adres pamięci, w którym jest przechowywany odpowiedzialny proces nadrzędny. |
| ParentProcessId | Zalecane | String | Identyfikator procesu (PID) procesu nadrzędnego. Przykład: 48610176 |
| ParentProcessGuid | Opcjonalnie | String | Wygenerowany unikatowy identyfikator (GUID) procesu nadrzędnego. Umożliwia identyfikację procesu w różnych systemach. Przykład: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Opcjonalnie | String | Każdy proces ma poziom integralności reprezentowany w tokenie. Poziomy integralności określają poziom ochrony lub dostępu procesu. System Windows definiuje następujące poziomy integralności: niski, średni, wysoki i system. Użytkownicy standardowi otrzymują średni poziom integralności i otrzymują wysoki poziom integralności. Aby uzyskać więcej informacji, zobacz Obowiązkowe sterowanie integralnością — aplikacje Win32. |
| ParentProcessMD5 | Opcjonalnie | MD5 | Skrót MD5 pliku obrazu procesu nadrzędnego. Przykład: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Opcjonalnie | SHA1 | Skrót SHA-1 pliku obrazu procesu nadrzędnego. Przykład: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Opcjonalnie | SHA256 | Skrót SHA-256 pliku obrazu procesu nadrzędnego. Przykład: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Opcjonalnie | SHA512 | Skrót SHA-512 pliku obrazu procesu nadrzędnego. |
| ParentProcessIMPHASH | Opcjonalnie | String | Skrót importu wszystkich bibliotek DLL używanych przez proces nadrzędny. |
| ParentProcessTokenElevation | Opcjonalnie | String | Token wskazujący obecność lub brak podniesienia uprawnień kontroli dostępu użytkownika (UAC) zastosowany do procesu nadrzędnego. Przykład: None |
| ParentProcessCreationTime | Opcjonalnie | DateTime | Data i godzina rozpoczęcia procesu nadrzędnego. |
Pola użytkownika docelowego
| Pole | Klasa | Typ | Opis |
|---|---|---|---|
| TargetUsername | Obowiązkowe w przypadku zdarzeń tworzenia procesów. | Nazwa użytkownika (String) | Docelowa nazwa użytkownika, w tym informacje o domenie, gdy są dostępne. Aby uzyskać obsługiwany format dla różnych typów identyfikatorów, zapoznaj się z jednostką Użytkownik. Użyj prostego formularza tylko wtedy, gdy informacje o domenie nie są dostępne. Zapisz typ nazwy użytkownika w polu TargetUsernameType . Jeśli są dostępne inne formaty nazw użytkowników, zapisz je w polach TargetUsername<UsernameType>.Przykład: AlbertE |
| TargetUsernameType | Warunkowe | Enumerated | Określa typ nazwy użytkownika przechowywanej w polu TargetUsername . Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz UsernameType w artykule Przegląd schematu. Przykład: Windows |
| TargetUserId | Zalecane | String | Czytelna dla maszyny alfanumeryczna reprezentacja użytkownika docelowego. Aby uzyskać obsługiwany format dla różnych typów identyfikatorów, zapoznaj się z jednostką Użytkownik. Przykład: S-1-12 |
| TargetUserIdType | Warunkowe | UserIdType | Typ identyfikatora przechowywanego w polu TargetUserId . Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz UserIdType w artykule Przegląd schematu. |
| TargetUserSessionId | Opcjonalnie | String | Unikatowy identyfikator sesji logowania użytkownika docelowego. Przykład: 999 Uwaga: typ jest definiowany jako ciąg do obsługi różnych systemów, ale w systemie Windows ta wartość musi być numeryczna. Jeśli używasz maszyny z systemem Windows lub Linux i używasz innego typu, pamiętaj, aby przekonwertować wartości. Jeśli na przykład użyto wartości szesnastkowej, przekonwertuj ją na wartość dziesiętną. |
| TargetUserSessionGuid | Opcjonalnie | String | Unikalny GUID sesji logowania docelowego użytkownika, raportowany przez urządzenie raportujące. Przykład: {12345678-1234-1234-1234-123456789012} |
| TargetUserType | Opcjonalnie | UserType | Typ aktora. Aby uzyskać listę dozwolonych wartości i dalsze informacje, zobacz UserType w artykule Przegląd schematu. Uwaga: Wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Zapisz oryginalną wartość w polu TargetOriginalUserType . |
| TargetOriginalUserType | Opcjonalnie | String | Oryginalny typ użytkownika docelowego, jeśli jest udostępniany przez urządzenie raportowania. |
| TargetUserScope | Opcjonalnie | String | Zakres, taki jak dzierżawa firmy Microsoft Entra, w którym zdefiniowano identyfikator TargetUserId i TargetUsername . lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu. |
| TargetUserScopeId | Opcjonalnie | String | Identyfikator zakresu, taki jak Identyfikator katalogu Entra firmy Microsoft, w którym zdefiniowano identyfikator TargetUserId i TargetUsername . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserScopeId w artykule Omówienie schematu. |
Pola procesu docelowego
| Pole | Klasa | Typ | Opis |
|---|---|---|---|
| TargetProcessName | Obowiązkowy | ciąg | Nazwa procesu docelowego. Ta nazwa jest często pochodzi z obrazu lub pliku wykonywalnego używanego do definiowania początkowego kodu i danych zamapowanych na wirtualną przestrzeń adresową procesu. Przykład: C:\Windows\explorer.exe |
| TargetProcessFilename | Opcjonalnie | String | Nazwa pliku jest częścią TargetProcessName, bez informacji o folderze. Przykład: explorer.exe |
| TargetProcessFileCompany | Opcjonalnie | String | Nazwa firmy, która utworzyła docelowy plik obrazu procesu. Przykład: Microsoft |
| TargetProcessFileDescription | Opcjonalnie | String | Opis z informacji o wersji w pliku obrazu procesu docelowego. Przykład: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Opcjonalnie | String | Nazwa produktu z informacji o wersji w pliku obrazu procesu docelowego. Przykład: Notepad++ |
| TargetProcessFileSize | Opcjonalnie | Długi | Rozmiar pliku, który uruchomił proces odpowiedzialny za zdarzenie. |
| TargetProcessFileVersion | Opcjonalnie | String | Wersja produktu z informacji o wersji w pliku obrazu procesu docelowego. Przykład: 7.9.5.0 |
| TargetProcessFileInternalName | Opcjonalnie | String | Wewnętrzna nazwa pliku produktu z informacji o wersji pliku obrazu procesu docelowego. |
| TargetProcessFileOriginalName | Opcjonalnie | String | Oryginalna nazwa pliku produktu z informacji o wersji pliku obrazu procesu docelowego. |
| TargetProcessIsHidden | Opcjonalnie | logiczny | Wskazanie, czy proces docelowy jest w trybie ukrytym. |
| TargetProcessInjectedAddress | Opcjonalnie | String | Adres pamięci, w którym jest przechowywany odpowiedzialny proces docelowy. |
| TargetProcessMD5 | Opcjonalnie | MD5 | Skrót MD5 pliku obrazu procesu docelowego. Przykład: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Opcjonalnie | SHA1 | Skrót SHA-1 pliku obrazu procesu docelowego. Przykład: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Opcjonalnie | SHA256 | Skrót SHA-256 pliku obrazu procesu docelowego. Przykład: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Opcjonalnie | SHA512 | Skrót SHA-512 pliku obrazu procesu docelowego. |
| TargetProcessIMPHASH | Opcjonalnie | String | Skrót importu wszystkich bibliotek DLL używanych przez proces docelowy. |
| HashType | Warunkowe | Enumerated | Typ skrótu przechowywanego w polu aliasu skrótu skrótu, dozwolone wartości to MD5, SHA, SHA256SHA512i IMPHASH. |
| CelowyProcesWiersz Poleceń | Obowiązkowy | String | Wiersz polecenia używany do uruchamiania procesu docelowego. Przykład: "choco.exe" -v |
| TargetProcessCurrentDirectory | Opcjonalnie | String | Bieżący katalog, w którym jest wykonywany proces docelowy. Przykład: c:\windows\system32 |
| TargetProcessCreationTime | Zalecane | DateTime | Wersja produktu z informacji o wersji pliku obrazu procesu docelowego. |
| TargetProcessId | Obowiązkowy | String | Identyfikator procesu (PID) procesu docelowego. Przykład: 48610176Uwaga: typ jest definiowany jako ciąg do obsługi różnych systemów, ale w systemach Windows i Linux ta wartość musi być numeryczna. Jeśli używasz maszyny z systemem Windows lub Linux i używasz innego typu, pamiętaj, aby przekonwertować wartości. Jeśli na przykład użyto wartości szesnastkowej, przekonwertuj ją na wartość dziesiętną. |
| TargetProcessGuid | Opcjonalnie | GUID (strunowy) | Wygenerowany unikatowy identyfikator (GUID) procesu docelowego. Umożliwia identyfikację procesu w różnych systemach. Przykład: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Opcjonalnie | String | Każdy proces ma poziom integralności reprezentowany w tokenie. Poziomy integralności określają poziom ochrony lub dostępu procesu. System Windows definiuje następujące poziomy integralności: niski, średni, wysoki i system. Użytkownicy standardowi otrzymują średni poziom integralności i otrzymują wysoki poziom integralności. Aby uzyskać więcej informacji, zobacz Obowiązkowe sterowanie integralnością — aplikacje Win32. |
| TargetProcessTokenElevation | Opcjonalnie | String | Typ tokenu wskazujący obecność lub brak podniesienia uprawnień kontroli dostępu użytkownika (UAC) zastosowany do procesu, który został utworzony lub zakończony. Przykład: None |
| TargetProcessStatusCode | Opcjonalnie | String | Kod zakończenia zwrócony przez proces docelowy po zakończeniu. To pole jest prawidłowe tylko dla zdarzeń zakończenia procesu. W przypadku spójności typ pola jest ciągiem, nawet jeśli wartość podana przez system operacyjny jest liczbowa. |
Pola inspekcji
Poniższe pola są używane do reprezentowania inspekcji przeprowadzonej przez system bezpieczeństwa, taki jak system EDR.
| Pole | Klasa | Typ | Opis |
|---|---|---|---|
| RuleName | Opcjonalnie | String | Nazwa lub identyfikator reguły skojarzonej z wynikami inspekcji. |
| RuleNumber | Opcjonalnie | Integer | Liczba reguł skojarzonych z wynikami inspekcji. |
| Reguła | Warunkowe | String | Wartość kRuleName lub wartość RuleNumber. Jeśli jest używana wartość RuleNumber , typ powinien zostać przekonwertowany na ciąg. |
| Identyfikator zagrożenia | Opcjonalnie | String | Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku. |
| Nazwa_zagrożenia | Opcjonalnie | String | Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku. Przykład: EICAR Test File |
| Kategoria zagrożenia | Opcjonalnie | String | Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku. Przykład: Trojan |
| Poziom zagrożenia | Opcjonalnie | RiskLevel (Liczba całkowita) | Poziom ryzyka skojarzony z zidentyfikowanym zagrożeniem. Poziom powinien być liczbą z zakresu od 0 do 100. Uwaga: wartość może być podana w rekordzie źródłowym przy użyciu innej skali, która powinna być znormalizowana do tej skali. Wartość oryginalna powinna być zapisana w ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Opcjonalnie | String | Poziom ryzyka zgłoszony przez urządzenie raportowania. |
| Pole zagrożeń | Opcjonalnie | String | Pole, dla którego zidentyfikowano zagrożenie. |
| Pole zagrożeń | Opcjonalnie | String | Pole, dla którego zidentyfikowano zagrożenie. |
| Pewność siebie | Opcjonalnie | Poziom Ufności (Liczba całkowita) | Zidentyfikowany poziom ufności zagrożenia znormalizowany do wartości z zakresu od 0 do 100. |
| ThreatOriginalConfidence (Pewność siebie) | Opcjonalnie | String | Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgodnie z raportem urządzenia raportowania. |
| ThreatIsActive (Zagrożenie) | Opcjonalnie | logiczny | Prawda, jeśli zidentyfikowane zagrożenie jest uznawane za aktywne zagrożenie. |
| ZagrożenieFirstReportedTime | Opcjonalnie | data/godzina | Po raz pierwszy adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
| ThreatLastReportedTime (Czas zagrożenia) | Opcjonalnie | data/godzina | Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
Aktualizacje schematu
Są to zmiany w wersji 0.1.1 schematu:
- Dodano pole
EventSchema.
Są to zmiany w wersji 0.1.2 schematu
- Dodano pola
ActorUserType, ,ActorOriginalUserType,TargetUserTypeTargetOriginalUserType, iHashType.
Są to zmiany w wersji 0.1.3 schematu
- Zmieniono pola
ParentProcessIdiTargetProcessCreationTimez obowiązkowego na zalecane.
Są to zmiany w wersji 0.1.4 schematu
- Dodano pola
ActorScope,DvcScopeIdiDvcScope.
Następne kroki
Aby uzyskać więcej informacji, zobacz:
- Obejrzyj seminarium internetowe ASIM lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Zawartość usługi Advanced Security Information Model (ASIM)