Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O esquema de normalização de eventos de processo é usado para descrever a atividade do sistema operacional de execução e encerramento de um processo. Tais eventos são relatados por sistemas operacionais e sistemas de segurança, como sistemas EDR (End Point Detection and Response).
Um processo, conforme definido pelo OSSEM, é um objeto de contenção e gerenciamento que representa uma instância em execução de um programa. Embora os processos em si não sejam executados, eles gerenciam threads que executam e executam código.
Para obter mais informações sobre normalização no Microsoft Sentinel, consulte Normalização e o modelo avançado de informações de segurança (ASIM).
Analisadores
Para usar os analisadores unificadores que unificam todos os analisadores listados e garantir que você analise todas as fontes configuradas, use os seguintes nomes de tabela em suas consultas:
- imProcessCreate para consultas que exigem informações de criação de processos. Estas consultas são o caso mais comum.
- imProcessTerminate para consultas que exigem informações de encerramento do processo.
Para obter a lista dos analisadores de eventos de processo fornecidos pelo Microsoft Sentinel prontos para uso, consulte a lista de analisadores ASIM.
Implante os analisadores de autenticação a partir do repositório GitHub do Microsoft Sentinel.
Para obter mais informações, consulte Visão geral dos analisadores ASIM.
Adicione seus próprios analisadores normalizados
Ao implementar analisadores de eventos de processo personalizados, nomeie suas funções KQL usando a seguinte sintaxe: imProcessCreate<vendor><Product> e imProcessTerminate<vendor><Product>. Substitua im por ASim para a versão sem parâmetros.
Adicione sua função KQL aos analisadores unificadores, conforme descrito em Gerenciando analisadores ASIM.
Parâmetros do analisador de filtragem
Os im analisadores e vim* suportam parâmetros de filtragem. Embora esses analisadores sejam opcionais, eles podem melhorar o desempenho da consulta.
Os seguintes parâmetros de filtragem estão disponíveis:
| Nome | Tipo | Description |
|---|---|---|
| Hora de início | datetime | Filtre apenas eventos de processo ocorridos nesse período ou após esse período. |
| tempo de fim | datetime | Filtre apenas consultas de eventos de processo que ocorreram durante ou antes desse período. |
| commandline_has_any | dynamic | Filtre apenas eventos de processo para os quais a linha de comando executada tenha qualquer um dos valores listados. O tamanho da lista é limitado a 10.000 itens. |
| commandline_has_all | dynamic | Filtre apenas os eventos de processo para os quais a linha de comandos executada tem todos os valores listados. O tamanho da lista é limitado a 10.000 itens. |
| commandline_has_any_ip_prefix | dynamic | Filtre apenas eventos de processo para os quais a linha de comando executada tenha todos os endereços IP ou prefixos de endereço IP listados. Os prefixos devem terminar com um ., por exemplo: 10.0.. O tamanho da lista é limitado a 10.000 itens. |
| actingprocess_has_any | dynamic | Filtre apenas eventos de processo para os quais o nome do processo de atuação, que inclui todo o caminho do processo, tenha qualquer um dos valores listados. O tamanho da lista é limitado a 10.000 itens. |
| targetprocess_has_any | dynamic | Filtre apenas eventos de processo para os quais o nome do processo de destino, que inclui todo o caminho do processo, tenha qualquer um dos valores listados. O tamanho da lista é limitado a 10.000 itens. |
| parentprocess_has_any | dynamic | Filtre apenas eventos de processo para os quais o nome do processo de destino, que inclui todo o caminho do processo, tenha qualquer um dos valores listados. O tamanho da lista é limitado a 10.000 itens. |
| targetusername_has ou actorusername_has | cadeia (de caracteres) | Filtre apenas eventos de processo para os quais o nome de usuário de destino (para eventos de criação de processo) ou o nome de usuário do ator (para eventos de encerramento de processo) tenha qualquer um dos valores listados. O tamanho da lista é limitado a 10.000 itens. |
| dvcipaddr_has_any_prefix | dynamic | Filtre apenas eventos de processo para os quais o endereço IP do dispositivo corresponda a qualquer um dos endereços IP ou prefixos de endereço IP listados. Os prefixos devem terminar com um ., por exemplo: 10.0.. O tamanho da lista é limitado a 10.000 itens. |
| dvchostname_has_any | dynamic | Filtrar apenas eventos de processo para os quais o nome do host do dispositivo, ou FQDN do dispositivo, está disponível, tem qualquer um dos valores listados. O tamanho da lista é limitado a 10.000 itens. |
| tipo de evento | cadeia (de caracteres) | Filtre apenas eventos de processo do tipo especificado. |
Por exemplo, para filtrar apenas eventos de autenticação do último dia para um usuário específico, use:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Gorjeta
Para passar uma lista literal para parâmetros que esperam um valor dinâmico, use explicitamente um literal dinâmico. Por exemplo: dynamic(['192.168.','10.']).
Conteúdo normalizado
Para obter uma lista completa de regras de análise que usam eventos de processo normalizados, consulte Conteúdo de segurança de eventos de processo.
Detalhes do esquema
O modelo de informações do Evento do Processo está alinhado ao esquema de entidade do Processo OSSEM.
Campos ASIM comuns
Importante
Os campos comuns a todos os esquemas são descritos em detalhes no artigo Campos comuns do ASIM.
Domínios comuns com orientações específicas
A lista a seguir menciona campos que têm diretrizes específicas para eventos de atividade de processo:
| Campo | Classe | Tipo | Description |
|---|---|---|---|
| Tipo de Evento | Obrigatório | Enumerated | Descreve a operação relatada pelo registro. Para registros de processo, os valores suportados incluem: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Obrigatório | SchemaVersion (String) | A versão do esquema. A versão do esquema documentada aqui é 0.1.4 |
| EventSchema | Obrigatório | String | O nome do esquema documentado aqui é ProcessEvent. |
| Campos Dvc | Para eventos de atividade do processo, os campos do dispositivo referem-se ao sistema no qual o processo foi executado. |
Importante
O EventSchema campo é atualmente opcional, mas passará a ser obrigatório em 1º de setembro de 2022.
Todos os campos comuns
Os campos que aparecem na tabela abaixo são comuns a todos os esquemas ASIM. Qualquer diretriz especificada acima substitui as diretrizes gerais para o campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais detalhes sobre cada campo, consulte o artigo Campos comuns do ASIM.
| Classe | Campos |
|---|---|
| Obrigatório |
-
Contagem de Eventos - EventoInícioHora - EventEndTime - Tipo de Evento - EventResult - EventoProduto - EventVendor - EventSchema - EventSchemaVersion - DVC |
| Recomendado |
-
EventResultDetails - Severidade do Evento - EventUid - DvcIpAddr - DvcNome do host - DvcDomínio - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional |
-
EventMessage - SubTipo de Evento - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventoOriginalSeveridade - EventProductVersion - EventReportUrl - Proprietário do Evento - DvcZona - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campos Adicionais - DvcDescrição - DvcScopeId - DvcScope |
Processar campos específicos do evento
Os campos listados na tabela abaixo são específicos para eventos de processo, mas são semelhantes aos campos em outros esquemas e seguem convenções de nomenclatura semelhantes.
O esquema de eventos do processo faz referência às seguintes entidades, que são centrais para a atividade de criação e encerramento do processo:
- Ator - O usuário que iniciou a criação ou encerramento do processo.
- ActingProcess - O processo utilizado pelo Ator para iniciar a criação ou terminação do processo.
- TargetProcess - O novo processo.
- TargetUser - O usuário cujas credenciais são usadas para criar o novo processo.
- ParentProcess - O processo que iniciou o Processo do Ator.
Aliases
| Campo | Classe | Tipo | Description |
|---|---|---|---|
| Utilizador | Alias | Alias para o TargetUsername. Exemplo: CONTOSO\dadmin |
|
| Processo | Alias | Alias para o TargetProcessName Exemplo: C:\Windows\System32\rundll32.exe |
|
| Linha de comando | Alias | Alias para TargetProcessCommandLine | |
| Hash | Alias | Alias para o melhor hash disponível para o processo de destino. |
Campos de atores
| Campo | Classe | Tipo | Description |
|---|---|---|---|
| ActorUserId | Recomendado | String | Uma representação única, alfanumérica e legível por máquina do Ator. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade User. Exemplo: S-1-12 |
| ActorUserIdType | Condicional | Enumerated | O tipo de ID armazenado no campo ActorUserId . Para obter uma lista de valores permitidos e mais informações, consulte UserIdType no artigo Visão geral do esquema. |
| ActorScope | Opcional | String | O escopo, como o locatário do Microsoft Entra, no qual ActorUserId e ActorUsername são definidos. ou mais informações e lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema. |
| ActorScopeId | Opcional | String | A ID do escopo, como a ID do Diretório do Microsoft Entra, na qual ActorUserId e ActorUsername são definidos. ou mais informações e lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema. |
| ActorUsername | Obrigatório | Nome de utilizador (String) | O nome de usuário do ator, incluindo informações de domínio, quando disponíveis. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade User. Use o formulário simples somente se as informações do domínio não estiverem disponíveis. Armazene o tipo de nome de usuário no campo ActorUsernameType . Se outros formatos de nome de usuário estiverem disponíveis, armazene-os nos campos ActorUsername<UsernameType>.Exemplo: AlbertE |
| ActorUsernameType | Condicional | Enumerated | Especifica o tipo do nome de usuário armazenado no campo ActorUsername . Para obter uma lista de valores permitidos e mais informações, consulte UsernameType no artigo Visão geral do esquema. Exemplo: Windows |
| ActorSessionId | Opcional | String | O ID exclusivo da sessão de login do Ator. Exemplo: 999Nota: O tipo é definido como string para suportar sistemas variados, mas no Windows esse valor deve ser numérico. Se você estiver usando uma máquina Windows e usou um tipo diferente, certifique-se de converter os valores. Por exemplo, se você usou um valor hexadecimal, converta-o em um valor decimal. |
| ActorUserType | Opcional | UserType | O tipo de ator. Para obter uma lista de valores permitidos e mais informações, consulte UserType no artigo Visão geral do esquema. Nota: O valor pode ser fornecido no registro de origem usando termos diferentes, que devem ser normalizados para esses valores. Armazene o valor original no campo ActorOriginalUserType . |
| ActorOriginalUserType | Opcional | String | O tipo de usuário de destino original, se fornecido pelo dispositivo de relatório. |
Campos do processo de atuação
| Campo | Classe | Tipo | Description |
|---|---|---|---|
| ActingProcessCommandLine | Opcional | String | A linha de comando usada para executar o processo de atuação. Exemplo: "choco.exe" -v |
| ActingProcessName | Opcional | cadeia (de caracteres) | O nome do processo de atuação. Esse nome geralmente é derivado da imagem ou do arquivo executável usado para definir o código inicial e os dados mapeados no espaço de endereço virtual do processo. Exemplo: C:\Windows\explorer.exe |
| Nome do FicheiroProcesso de Atuação | Opcional | String | O nome do ficheiro faz parte do ActingProcessName, sem informação da pasta. Exemplo: explorer.exe |
| ActingProcessFileCompany | Opcional | String | A empresa que criou o arquivo de imagem do processo de atuação. Exemplo: Microsoft |
| ActingProcessFileDescription | Opcional | String | A descrição incorporada nas informações de versão do arquivo de imagem do processo de atuação. Exemplo: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Opcional | String | O nome do produto a partir das informações de versão no arquivo de imagem do processo de atuação. Exemplo: Notepad++ |
| ActingProcessFileVersion | Opcional | String | A versão do produto a partir das informações de versão do arquivo de imagem do processo de atuação. Exemplo: 7.9.5.0 |
| ActingProcessFileInternalName | Opcional | String | O nome do arquivo interno do produto a partir das informações de versão do arquivo de imagem do processo de atuação. |
| ActingProcessFileOriginalName | Opcional | String | O nome do arquivo original do produto a partir das informações de versão do arquivo de imagem do processo de atuação. Exemplo: Notepad++.exe |
| ActingProcessIsHidden | Opcional | booleano | Uma indicação de se o processo de atuação está no modo oculto. |
| ActingProcessInjectedAddress | Opcional | String | O endereço de memória no qual o processo de atuação responsável é armazenado. |
| ActingProcessId | Obrigatório | String | A ID do processo (PID) do processo de atuação. Exemplo: 48610176 Nota: O tipo é definido como string para suportar sistemas variados, mas no Windows e Linux esse valor deve ser numérico. Se você estiver usando uma máquina Windows ou Linux e usou um tipo diferente, certifique-se de converter os valores. Por exemplo, se você usou um valor hexadecimal, converta-o em um valor decimal. |
| AtuaçãoProcessoGuid | Opcional | GUID (corda) | Um identificador exclusivo (GUID) gerado do processo de atuação. Permite identificar o processo em todos os sistemas. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| AtuaçãoProcessoIntegridadeNível | Opcional | String | Cada processo tem um nível de integridade que é representado em seu token. Os níveis de integridade determinam o nível de proteção ou acesso ao processo. O Windows define os seguintes níveis de integridade: baixo, médio, alto e sistema. Os usuários padrão recebem um nível de integridade médio e os usuários elevados recebem um alto nível de integridade. Para obter mais informações, consulte Controle de integridade obrigatório - aplicativos Win32. |
| ActingProcessMD5 | Opcional | String | O hash MD5 do arquivo de imagem do processo de atuação. Exemplo: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Opcional | SHA1 | O hash SHA-1 do arquivo de imagem do processo de atuação. Exemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Opcional | SHA256 | O hash SHA-256 do arquivo de imagem do processo de atuação. Exemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Opcional | SHA512 | O hash SHA-512 do arquivo de imagem do processo de atuação. |
| ActingProcessIMPHASH | Opcional | String | O hash de importação de todas as DLLs de biblioteca que são usadas pelo processo de atuação. |
| AtuaçãoProcessoCriaçãoTempo | Opcional | DateTime | A data e a hora em que o processo de atuação foi iniciado. |
| ActingProcessTokenElevation | Opcional | String | Um token que indica a presença ou ausência da elevação de privilégios do Controle de Acesso do Usuário (UAC) aplicada ao processo de atuação. Exemplo: None |
| ActingProcessFileSize | Opcional | Longo | O tamanho do arquivo que executou o processo de atuação. |
Campos de processo pai
| Campo | Classe | Tipo | Description |
|---|---|---|---|
| ParentProcessName | Opcional | cadeia (de caracteres) | O nome do processo pai. Esse nome geralmente é derivado da imagem ou do arquivo executável usado para definir o código inicial e os dados mapeados no espaço de endereço virtual do processo. Exemplo: C:\Windows\explorer.exe |
| ParentProcessFileCompany | Opcional | String | O nome da empresa que criou o arquivo de imagem do processo pai. Exemplo: Microsoft |
| ParentProcessFileDescription | Opcional | String | A descrição das informações de versão no arquivo de imagem do processo pai. Exemplo: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Opcional | String | O nome do produto das informações de versão no arquivo de imagem do processo pai. Exemplo: Notepad++ |
| ParentProcessFileVersion | Opcional | String | A versão do produto a partir das informações de versão no arquivo de imagem do processo pai. Exemplo: 7.9.5.0 |
| ParentProcessIsHidden | Opcional | booleano | Uma indicação de se o processo pai está no modo oculto. |
| ParentProcessInjectedAddress | Opcional | String | O endereço de memória no qual o processo pai responsável é armazenado. |
| ParentProcessId | Recomendado | String | A ID do processo (PID) do processo pai. Exemplo: 48610176 |
| ParentProcessGuid | Opcional | String | Um identificador exclusivo gerado (GUID) do processo pai. Permite identificar o processo em todos os sistemas. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Opcional | String | Cada processo tem um nível de integridade que é representado em seu token. Os níveis de integridade determinam o nível de proteção ou acesso ao processo. O Windows define os seguintes níveis de integridade: baixo, médio, alto e sistema. Os usuários padrão recebem um nível de integridade médio e os usuários elevados recebem um alto nível de integridade. Para obter mais informações, consulte Controle de integridade obrigatório - aplicativos Win32. |
| ParentProcessMD5 | Opcional | MD5 | O hash MD5 do arquivo de imagem do processo pai. Exemplo: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Opcional | SHA1 | O hash SHA-1 do arquivo de imagem do processo pai. Exemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Opcional | SHA256 | O hash SHA-256 do arquivo de imagem do processo pai. Exemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Opcional | SHA512 | O hash SHA-512 do arquivo de imagem do processo pai. |
| ParentProcessIMPHASH | Opcional | String | O hash de importação de todas as DLLs de biblioteca que são usadas pelo processo pai. |
| ParentProcessTokenElevation | Opcional | String | Um token que indica a presença ou ausência da elevação de privilégios do UAC (Controle de Acesso do Usuário) aplicada ao processo pai. Exemplo: None |
| ParentProcessCreationTime | Opcional | DateTime | A data e a hora em que o processo pai foi iniciado. |
Campos de utilizador alvo
| Campo | Classe | Tipo | Description |
|---|---|---|---|
| Nome de UtilizadorTargetUtilizador | Obrigatório para eventos de criação de processos. | Nome de utilizador (String) | O nome de usuário de destino, incluindo informações de domínio, quando disponíveis. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade User. Use o formulário simples somente se as informações do domínio não estiverem disponíveis. Armazene o tipo de nome de usuário no campo TargetUsernameType . Se outros formatos de nome de usuário estiverem disponíveis, armazene-os nos campos TargetUsername<UsernameType>.Exemplo: AlbertE |
| TargetUsernameType | Condicional | Enumerated | Especifica o tipo do nome de usuário armazenado no campo TargetUsername . Para obter uma lista de valores permitidos e mais informações, consulte UsernameType no artigo Visão geral do esquema. Exemplo: Windows |
| TargetUserId | Recomendado | String | Uma representação única, alfanumérica e legível por máquina do utilizador alvo. Para obter o formato suportado para diferentes tipos de ID, consulte a entidade User. Exemplo: S-1-12 |
| TargetUserIdType | Condicional | UserIdType | O tipo do ID armazenado no campo TargetUserId . Para obter uma lista de valores permitidos e mais informações, consulte UserIdType no artigo Visão geral do esquema. |
| TargetUserSessionId | Opcional | String | O ID exclusivo da sessão de login do usuário alvo. Exemplo: 999 Nota: O tipo é definido como string para suportar sistemas variados, mas no Windows esse valor deve ser numérico. Se você estiver usando uma máquina Windows ou Linux e usou um tipo diferente, certifique-se de converter os valores. Por exemplo, se você usou um valor hexadecimal, converta-o em um valor decimal. |
| TargetUserSessionGuid | Opcional | String | O GUID único da sessão de login do utilizador alvo, conforme reportado pelo dispositivo de reporte. Exemplo: {12345678-1234-1234-1234-123456789012} |
| TargetUserType | Opcional | UserType | O tipo de ator. Para obter uma lista de valores permitidos e mais informações, consulte UserType no artigo Visão geral do esquema. Nota: O valor pode ser fornecido no registro de origem usando termos diferentes, que devem ser normalizados para esses valores. Armazene o valor original no campo TargetOriginalUserType . |
| TargetOriginalUserType | Opcional | String | O tipo de usuário de destino original, se fornecido pelo dispositivo de relatório. |
| TargetUserScope | Opcional | String | O escopo, como o locatário do Microsoft Entra, no qual TargetUserId e TargetUsername são definidos. ou mais informações e lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema. |
| TargetUserScopeId | Opcional | String | A ID do escopo, como a ID do Diretório do Microsoft Entra, na qual TargetUserId e TargetUsername são definidos. para obter mais informações e uma lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema. |
Campos de processo de destino
| Campo | Classe | Tipo | Description |
|---|---|---|---|
| TargetProcessName | Obrigatório | cadeia (de caracteres) | O nome do processo de destino. Esse nome geralmente é derivado da imagem ou do arquivo executável usado para definir o código inicial e os dados mapeados no espaço de endereço virtual do processo. Exemplo: C:\Windows\explorer.exe |
| NomeFicheiroProcessoDeObjecto | Opcional | String | O nome do ficheiro faz parte do TargetProcessName, sem informação da pasta. Exemplo: explorer.exe |
| TargetProcessFileCompany | Opcional | String | O nome da empresa que criou o arquivo de imagem do processo de destino. Exemplo: Microsoft |
| TargetProcessFileDescription | Opcional | String | A descrição das informações de versão no arquivo de imagem do processo de destino. Exemplo: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Opcional | String | O nome do produto a partir das informações de versão no arquivo de imagem do processo de destino. Exemplo: Notepad++ |
| TargetProcessFileSize | Opcional | Longo | Tamanho do arquivo que executou o processo responsável pelo evento. |
| TargetProcessFileVersion | Opcional | String | A versão do produto a partir das informações de versão no arquivo de imagem do processo de destino. Exemplo: 7.9.5.0 |
| TargetProcessFileInternalName | Opcional | String | O nome do arquivo interno do produto a partir das informações de versão do arquivo de imagem do processo de destino. |
| TargetProcessFileOriginalName | Opcional | String | O nome do arquivo original do produto a partir das informações de versão do arquivo de imagem do processo de destino. |
| TargetProcessIsHidden | Opcional | booleano | Uma indicação de se o processo de destino está no modo oculto. |
| TargetProcessInjectedAddress | Opcional | String | O endereço de memória no qual o processo de destino responsável é armazenado. |
| TargetProcessMD5 | Opcional | MD5 | O hash MD5 do arquivo de imagem do processo de destino. Exemplo: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Opcional | SHA1 | O hash SHA-1 do arquivo de imagem do processo de destino. Exemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Opcional | SHA256 | O hash SHA-256 do arquivo de imagem do processo de destino. Exemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Opcional | SHA512 | O hash SHA-512 do arquivo de imagem do processo de destino. |
| TargetProcessIMPHASH | Opcional | String | O hash de importação de todas as DLLs de biblioteca que são usadas pelo processo de destino. |
| HashType | Condicional | Enumerated | O tipo de hash armazenado no campo alias HASH, os valores permitidos são MD5, SHA, SHA256SHA512 e IMPHASH. |
| TargetProcessCommandLine | Obrigatório | String | A linha de comando usada para executar o processo de destino. Exemplo: "choco.exe" -v |
| TargetProcessCurrentDirectory | Opcional | String | O diretório atual no qual o processo de destino é executado. Exemplo: c:\windows\system32 |
| TargetProcessCreationTime | Recomendado | DateTime | A versão do produto a partir das informações de versão do arquivo de imagem do processo de destino. |
| TargetProcessId | Obrigatório | String | A ID do processo (PID) do processo de destino. Exemplo: 48610176Nota: O tipo é definido como string para suportar sistemas variados, mas no Windows e Linux esse valor deve ser numérico. Se você estiver usando uma máquina Windows ou Linux e usou um tipo diferente, certifique-se de converter os valores. Por exemplo, se você usou um valor hexadecimal, converta-o em um valor decimal. |
| TargetProcessGuid | Opcional | GUID (Corda) | Um identificador exclusivo (GUID) gerado do processo de destino. Permite identificar o processo em todos os sistemas. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Opcional | String | Cada processo tem um nível de integridade que é representado em seu token. Os níveis de integridade determinam o nível de proteção ou acesso ao processo. O Windows define os seguintes níveis de integridade: baixo, médio, alto e sistema. Os usuários padrão recebem um nível de integridade médio e os usuários elevados recebem um alto nível de integridade. Para obter mais informações, consulte Controle de integridade obrigatório - aplicativos Win32. |
| TargetProcessTokenElevation | Opcional | String | Tipo de token que indica a presença ou ausência da elevação de privilégios do Controle de Acesso do Usuário (UAC) aplicada ao processo que foi criado ou encerrado. Exemplo: None |
| TargetProcessStatusCode | Opcional | String | O código de saída retornado pelo processo de destino quando terminado. Este campo é válido apenas para eventos de encerramento do processo. Para consistência, o tipo de campo é string, mesmo que o valor fornecido pelo sistema operacional seja numérico. |
Campos de inspeção
Os campos seguintes são usados para representar a inspeção realizada por um sistema de segurança, como um sistema EDR.
| Campo | Classe | Tipo | Description |
|---|---|---|---|
| RuleName | Opcional | String | O nome ou ID da regra associado aos resultados da inspeção. |
| Número da regra | Opcional | Número inteiro | O número da regra associada aos resultados da inspeção. |
| Regra | Condicional | String | O valor de kRuleName ou o valor de RuleNumber. Se o valor de RuleNumber for usado, o tipo deve ser convertido em string. |
| ThreatId | Opcional | String | O ID da ameaça ou malware identificado na atividade do arquivo. |
| Nome da Ameaça | Opcional | String | O nome da ameaça ou malware identificado na atividade do arquivo. Exemplo: EICAR Test File |
| ThreatCategory | Opcional | String | A categoria da ameaça ou malware identificado na atividade do arquivo. Exemplo: Trojan |
| ThreatRiskLevel | Opcional | RiskLevel (Inteiro) | O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. Nota: O valor pode ser fornecido no registro de origem usando uma escala diferente, que deve ser normalizada para essa escala. O valor original deve ser armazenado em ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Opcional | String | O nível de risco comunicado pelo dispositivo de notificação. |
| Campo de Ameaças | Opcional | String | O campo para o qual foi identificada uma ameaça. |
| Campo de Ameaças | Opcional | String | O campo para o qual foi identificada uma ameaça. |
| ThreatConfidence | Opcional | Nível de Confiança (Inteiro) | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatOriginalConfidence | Opcional | String | O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
| ThreatIsActive | Opcional | booleano | True se a ameaça identificada for considerada uma ameaça ativa. |
| ThreatFirstReportedTime | Opcional | datetime | A primeira vez que o endereço IP ou domínio foram identificados como uma ameaça. |
| ThreatLastReportedTime | Opcional | datetime | A última vez que o endereço IP ou domínio foi identificado como uma ameaça. |
Atualizações de esquema
Estas são as alterações na versão 0.1.1 do esquema:
- Adicionado o campo
EventSchema.
Estas são as alterações na versão 0.1.2 do esquema
- Adicionados os campos
ActorUserType,ActorOriginalUserType,TargetUserType,TargetOriginalUserType, eHashType.
Estas são as alterações na versão 0.1.3 do esquema
- Alterou os campos
ParentProcessIde de obrigatório paraTargetProcessCreationTimerecomendado.
Estas são as alterações na versão 0.1.4 do esquema
- Adicionados os campos
ActorScope,DvcScopeIdeDvcScope.
Próximos passos
Para obter mais informações, consulte:
- Assista ao Webinar da ASIM ou revise os slides
- Visão geral do ASIM (Advanced Security Information Model, modelo avançado de informações de segurança)
- Esquemas ASIM (Advanced Security Information Model)
- Analisadores ASIM (Advanced Security Information Model)
- Conteúdo do modelo avançado de informações de segurança (ASIM)