Referensi skema normalisasi Peristiwa Proses Model Informasi Keamanan Tingkat Lanjut (ASIM)

Skema normalisasi Kejadian Proses digunakan untuk menggambarkan aktivitas sistem operasi dalam menjalankan dan menghentikan suatu proses. Kejadian tersebut dilaporkan oleh sistem operasi dan sistem keamanan, seperti sistem EDR (Deteksi dan Respons Titik Akhir).

Sebuah proses, seperti yang didefinisikan oleh OSSEM, adalah objek penahanan dan manajemen yang mewakili instans program yang sedang berjalan. Sementara proses itu sendiri tidak berjalan, mereka mengelola rangkaian yang menjalankan dan mengeksekusi kode.

Untuk informasi selengkapnya tentang normalisasi di Microsoft Sentinel, lihat Normalisasi dan Model Informasi Keamanan Tingkat Lanjut (ASIM).

Parser

Untuk menggunakan pengurai sumber agnostik yang menyatukan semua pengurai yang terdaftar dan memastikan bahwa Anda menganalisis di semua sumber yang dikonfigurasi, gunakan nama tabel berikut dalam kueri Anda:

  • imProcessCreate untuk kueri yang memerlukan informasi pembuatan proses. Kueri ini adalah kasus yang paling umum.
  • imProcessTerminate untuk kueri yang memerlukan informasi penghentian proses.

Untuk daftar parser Peristiwa Proses yang disediakan Microsoft Azure Sentinel di luar kotak, lihat daftar parser ASIM.

Sebarkan parser Autentikasi dari repositori GitHub Microsoft Azure Sentinel.

Untuk informasi selengkapnya, lihat gambaran umum pengurai ASIM.

Tambahkan parser normalisasi Anda sendiri

Saat menerapkan pengurai peristiwa proses kustom, beri nama fungsi KQL Anda menggunakan sintaks berikut: imProcessCreate<vendor><Product> dan imProcessTerminate<vendor><Product>. Ganti im dengan ASim untuk versi tanpa parameter.

Tambahkan fungsi KQL Anda ke pengurai pemersatu seperti yang dijelaskan dalam Mengelola pengurai ASIM.

Memfilter parameter parser

Parser im dan vim* mendukung pemfilteran parameter. Meskipun bersifat opsional, parser ini dapat meningkatkan performa kueri Anda.

Parameter pemfilteran berikut ini tersedia:

Nama Tipe Description
starttime tanggalwaktu Filter hanya peristiwa proses yang terjadi pada atau setelah waktu ini. Parameter ini memfilter pada TimeGenerated bidang , yang merupakan penunjuk standar untuk waktu peristiwa, terlepas dari pemetaan khusus pengurai bidang EventStartTime dan EventEndTime.
endtime tanggalwaktu Filter hanya kueri peristiwa proses yang terjadi pada atau sebelum waktu ini. Parameter ini memfilter pada TimeGenerated bidang , yang merupakan penunjuk standar untuk waktu peristiwa, terlepas dari pemetaan khusus pengurai bidang EventStartTime dan EventEndTime.
commandline_has_any dynamic Filter hanya peristiwa proses di mana baris perintah yang dijalankan memiliki salah satu nilai yang tercantum. Panjang daftar dibatasi hingga 10.000 item.
commandline_has_all dynamic Filter hanya peristiwa proses yang baris perintahnya dijalankan memiliki semua nilai yang tercantum. Panjang daftar dibatasi hingga 10.000 item.
commandline_has_any_ip_prefix dynamic Filter hanya peristiwa proses di mana baris perintah yang dijalankan memiliki semua alamat IP atau prefiks alamat IP yang tercantum. Prefiks harus diakhiri dengan ., misalnya: 10.0.. Panjang daftar dibatasi hingga 10.000 item.
actingprocess_has_any dynamic Filter hanya peristiwa proses yang nama proses bertindaknya mencakup seluruh jalur proses dan memiliki salah satu nilai yang tercantum. Panjang daftar dibatasi hingga 10.000 item.
targetprocess_has_any dynamic Filter hanya peristiwa proses yang nama proses targetnya mencakup seluruh jalur proses dan memiliki salah satu nilai yang tercantum. Panjang daftar dibatasi hingga 10.000 item.
parentprocess_has_any dynamic Filter hanya peristiwa proses yang nama proses targetnya mencakup seluruh jalur proses dan memiliki salah satu nilai yang tercantum. Panjang daftar dibatasi hingga 10.000 item.
targetusername_has atau actorusername_has string Filter hanya peristiwa proses yang nama pengguna targetnya (untuk peristiwa pembuatan proses), atau nama pengguna aktor (untuk peristiwa penghentian proses) memiliki salah satu nilai yang tercantum. Panjang daftar dibatasi hingga 10.000 item.
dvcipaddr_has_any_prefix dynamic Filter hanya peristiwa proses yang alamat IP perangkatnya cocok dengan salah satu alamat IP atau prefiks alamat IP yang tercantum. Prefiks harus diakhiri dengan ., misalnya: 10.0.. Panjang daftar dibatasi hingga 10.000 item.
dvchostname_has_any dynamic Hanya filter peristiwa proses yang nama host perangkatnya, atau FQDN perangkatnya yang tersedia, memiliki salah satu nilai yang tercantum. Panjang daftar dibatasi hingga 10.000 item.
hashes_has_any dynamic Filter hanya memproses peristiwa yang hash proses targetnya cocok dengan salah satu nilai yang tercantum.
eventtype string Filter hanya peristiwa proses dari jenis yang ditentukan.

Misalnya, untuk memfilter hanya peristiwa autentikasi dari hari terakhir ke pengguna tertentu, gunakan:

imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())

Tip

Untuk meneruskan daftar harfiah ke parameter yang memerlukan nilai dinamis, secara eksplisit gunakan harfiah dinamis. Misalnya: dynamic(['192.168.','10.']).

Konten yang dinormalisasi

Untuk daftar lengkap aturan analitik yang menggunakan peristiwa proses yang dinormalisasi, lihat konten keamanan Peristiwa Proses.

Detail skema

Model informasi kejadian Proses diselaraskan ke skema entitas Proses OSSEM.

Bidang ASIM umum

Important

Bidang yang umum untuk semua skema dijelaskan secara rinci dalam artikel Bidang Umum ASIM.

Bidang umum dengan pedoman khusus

Daftar berikut menyebutkan bidang yang memiliki panduan khusus untuk peristiwa aktivitas proses:

Ladang Class Tipe Description
EventType Mandatory Disebutkan Menggambarkan operasi yang dilaporkan oleh rekaman.

Untuk rekaman Proses, nilai yang didukung meliputi:
- ProcessCreated
- ProcessTerminated
EventSchemaVersion Mandatory SchemaVersion (String) Versi dari skema ini. Versi skema yang didokumentasikan di sini adalah 0.1.4
EventSchema Mandatory string Nama skema yang didokumentasikan di sini adalah ProcessEvent.
Bidang Dvc Untuk peristiwa aktivitas proses, bidang perangkat mengacu pada sistem tempat proses dijalankan.

Important

Bidang EventSchema saat ini opsional tetapi akan menjadi Wajib pada 1 September 2022.

Semua bidang umum

Bidang yang muncul pada tabel di bawah ini adalah umum untuk semua skema ASIM. Setiap pedoman yang ditentukan di atas mengambil alih pedoman umum untuk bidang ini. Misalnya, sebuah bidang mungkin opsional secara umum, tetapi wajib untuk skema tertentu. Untuk detail lebih lanjut tentang setiap bidang, lihat artikel Bidang Umum ASIM.

Kelas Fields
Mandatory - Jumlah Peristiwa
- Waktu MulaiPeristiwa
- Waktu Akhir Peristiwa
- Jenis Peristiwa
- Hasil Peristiwa
- Produk Acara
- Vendor Peristiwa
- Skema Peristiwa
- EventSchemaVersion
- Dvc
Recommended - EventResultDetails
- Tingkat Keparahan Peristiwa
- Acara Uid
- DvcIpAddr
- Nama Host Dvc
- Domain Dvc
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Opsional - Pesan Peristiwa
- Subtipe Peristiwa
- PeristiwaAsliUid
- EventOriginalType
- PeristiwaAsliSubtipe
- EventOriginalResultDetails
- Tingkat Keparahan PeristiwaAsli
- EventProductVersion
- EventReportUrl
- Pemilik Acara
- Zona Dvc
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- Antarmuka Dvc
- Bidang Tambahan
- DvcDescription
- DvcScopeId
- Ruang lingkup Dvc

Bidang khusus Kejadian Proses

Bidang yang tercantum dalam tabel di bawah ini khusus untuk Kejadian Proses, tetapi mirip dengan bidang dalam skema lain dan mengikuti konvensi penamaan serupa.

Skema kejadian proses mengacu pada entitas berikut, yang merupakan pusat untuk memproses pembuatan dan aktivitas penghentian:

  • Pelaku - Pengguna yang memulai pembuatan atau penghentian proses.
  • ActingProcess - Proses yang digunakan oleh Pelaku untuk memulai proses pembuatan atau penghentian.
  • TargetProcess - Proses baru.
  • TargetUser - Pengguna yang informasi masuknya digunakan untuk membuat proses baru.
  • ParentProcess - Proses yang memulai Proses Pelaku.

Aliases

Ladang Class Tipe Description
User Alias Alias untuk TargetUsername.

Contoh: CONTOSO\dadmin
Proses Alias Alias untuk TargetProcessName

Contoh: C:\Windows\System32\rundll32.exe
Baris Perintah Alias Alias untuk TargetProcessCommandLine
Hash Alias Alias untuk hash terbaik yang tersedia untuk proses target.

Bidang pelaku

Ladang Class Tipe Description
ActorUserId Recommended string Representasi Pelaku yang dapat dibaca mesin, alfanumerik, unik. Untuk format yang didukung untuk jenis ID yang berbeda, lihat Entitas pengguna.

Contoh: S-1-12
ActorUserIdType Conditional Disebutkan Jenis ID yang disimpan pada bidang ActorUserId. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DvcIdType dalam artikel Gambaran Umum Skema.
ActorScope Opsional string Cakupan, seperti penyewa Microsoft Entra, di mana ActorUserId dan ActorUsername ditentukan. atau informasi selengkapnya dan daftar nilai yang diizinkan, lihat UserScope di artikel Gambaran Umum Skema.
ActorScopeId Opsional string ID cakupan, seperti ID Microsoft Entra Directory, di mana ActorUserId dan ActorUsername ditentukan. atau informasi selengkapnya dan daftar nilai yang diizinkan, lihat UserScopeId di artikel Gambaran Umum Skema.
Nama pengguna Aktor Mandatory Nama pengguna (String) Nama pengguna Aktor, termasuk informasi domain jika tersedia. Untuk format yang didukung untuk jenis ID yang berbeda, lihat Entitas pengguna. Gunakan formulir sederhana hanya jika informasi domain tidak tersedia.

Simpan jenis Nama Pengguna di bidang ActorUsernameType. Jika format nama pengguna lain tersedia, simpan di bidang ActorUsername<UsernameType>.

Contoh: AlbertE
ActorUsernameType Conditional Disebutkan Menentukan jenis nama pengguna yang disimpan di bidang ActorUsername. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat UsernameType dalam artikel Gambaran Umum Skema.

Contoh: Windows
ActorSessionId Opsional string ID unik dari sesi login Aktor.

Contoh: 999

Catatan: Jenis didefiniskan sebagai string untuk mendukung berbagai sistem, tetapi pada Windows nilai ini harus berupa angka.

Jika Anda menggunakan mesin Windows dan menggunakan jenis yang berbeda, pastikan untuk mengonversi nilai ini. Misalnya, jika Anda menggunakan nilai heksadesimal, ubah menjadi nilai desimal.
ActorUserType Opsional Jenis Pengguna Tipe Pelaku. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat UserType dalam artikel Gambaran Umum Skema.

Catatan: Nilai mungkin disediakan dalam rekaman sumber dengan menggunakan istilah yang berbeda, yang harus dinormalisasi ke nilai-nilai ini. Simpan nilai asli di bidang ActorOriginalUserType.
AktorAsliTipe Pengguna Opsional string Jenis pengguna tujuan asli, jika disediakan oleh perangkat pelapor.

Bidang proses bertindak

Ladang Class Tipe Description
ActingProcessCommandLine Opsional string Baris perintah yang digunakan untuk menjalankan proses bertindak tersebut.

Contoh: "choco.exe" -v
ActingProcessName Opsional string Nama dari proses akting. Nama ini umumnya berasal dari gambar atau file yang dapat dieksekusi yang digunakan untuk menentukan kode awal dan data yang dipetakan ke dalam ruang alamat virtual dari proses tersebut.

Contoh: C:\Windows\explorer.exe
Namafile ProsesBertindak Opsional string Bagian nama file dari ActingProcessName, tanpa informasi folder.

Contoh: explorer.exe
ActingProcessFileCompany Opsional string Perusahaan yang membuat file gambar proses akting.

Contoh: Microsoft
ActingProcessFileDescription Opsional string Deskripsi yang disematkan dalam informasi versi file gambar proses eksekusi.

Contoh: Notepad++ : a free (GPL) source code editor
ActingProcessFileProduct Opsional string Nama produk berdasarkan informasi versi dalam file gambar proses yang sedang berlangsung.

Contoh: Notepad++
ActingProcessFileVersion Opsional string Versi produk dari informasi versi file citra proses yang sedang berjalan.

Contoh: 7.9.5.0
ActingProcessFileInternalName Opsional string Nama file internal produk yang berasal dari informasi versi berkas citra proses yang sedang berjalan.
ActingProcessFileOriginalName Opsional string Nama file asli produk dari informasi versi file gambar proses yang aktif.

Contoh: Notepad++.exe
ActingProcessIsHidden Opsional Boolean Indikasi apakah proses yang sedang berjalan dalam mode tersembunyi.
ActingProcessInjectedAddress Opsional string Alamat memori di mana proses bertindak yang bertanggung jawab disimpan.
ActingProcessId Mandatory string ID proses (PID) dari proses yang sedang berjalan.

Contoh: 48610176

Catatan: Jenis didefinisikan sebagai string untuk mendukung berbagai sistem, tetapi pada Windows dan Linux nilai ini harus berupa angka.

Jika Anda menggunakan mesin Windows atau Linux dan menggunakan jenis yang berbeda, pastikan untuk mengonversi nilai ini. Misalnya, jika Anda menggunakan nilai heksadesimal, ubah menjadi nilai desimal.
ActingProcessGuid Opsional GUID (string) Pengidentifikasi unik yang dihasilkan (GUID) dari proses yang berjalan. Memungkinkan identifikasi proses di seluruh sistem.

Contoh: EF3BD0BD-2B74-60C5-AF5C-010000001E00
ActingProcessIntegrityLevel Opsional string Setiap proses memiliki tingkat integritas yang diwakili dalam tokennya. Tingkat integritas menentukan tingkat proses perlindungan atau akses.

Windows menentukan tingkat integritas berikut: rendah, sedang, tinggi, dan sistem. Pengguna standar menerima tingkat integritas sedang dan pengguna yang lebih tinggi menerima tingkat integritas tinggi.

Untuk informasi selengkapnya, lihat Kontrol Integritas Wajib - aplikasi Win32.
ActingProcessMD5 Opsional string Hash MD5 dari file citra proses yang sedang berjalan.

Contoh: 75a599802f1fa166cdadb360960b1dd0
ActingProcessSHA1 Opsional SHA1 Hash SHA-1 dari file citra proses yang aktif.

Contoh: d55c5a4df19b46db8c54c801c4665d3338acdab0
ActingProcessSHA256 Opsional SHA256 Hash SHA-256 dari citra berkas proses yang dijalankan.

Contoh:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
ActingProcessSHA512 Opsional SHA512 Hash SHA-512 dari berkas citra proses yang berjalan.
ActingProcessIMPHASH Opsional string Hash Impor dari semua DLL pustaka yang digunakan oleh proses yang sedang berjalan.
ActingProcessCreationTime Opsional DateTime Tanggal dan waktu ketika proses bertindak dimulai.
ActingProcessTokenElevation Opsional string Token yang menunjukkan ada atau tidak adanya elevasi hak istimewa Kontrol Akses Pengguna (UAC) yang diterapkan pada proses yang sedang berjalan.

Contoh: None
ActingProcessFileSize Opsional Long Ukuran file yang menjalankan proses bertindak.

Bidang proses induk

Ladang Class Tipe Description
ParentProcessName Opsional string Nama proses induk. Nama ini umumnya berasal dari gambar atau file yang dapat dieksekusi yang digunakan untuk menentukan kode awal dan data yang dipetakan ke dalam ruang alamat virtual dari proses tersebut.

Contoh: C:\Windows\explorer.exe
ParentProcessFileCompany Opsional string Nama perusahaan yang membuat file gambar proses induk.

Contoh: Microsoft
ParentProcessFileDescription Opsional string Deskripsi dari informasi versi dalam file gambar proses induk.

Contoh: Notepad++ : a free (GPL) source code editor
ParentProcessFileProduct Opsional string Nama produk dari informasi versi dalam file gambar proses induk.

Contoh: Notepad++
ParentProcessFileVersion Opsional string Versi produk dari informasi versi dalam file gambar proses induk.

Contoh: 7.9.5.0
ParentProcessIsHidden Opsional Boolean Indikasi apakah proses induk dalam mode tersembunyi.
ParentProcessInjectedAddress Opsional string Alamat memori tempat disimpannya proses induk yang bertanggung jawab.
ParentProcessId Recommended string ID proses (PID) dari proses induk.

Contoh: 48610176
ParentProcessGuid Opsional string Pengidentifikasi unik yang dihasilkan (GUID) dari proses induk. Memungkinkan identifikasi proses di seluruh sistem.

Contoh: EF3BD0BD-2B74-60C5-AF5C-010000001E00
ParentProcessIntegrityLevel Opsional string Setiap proses memiliki tingkat integritas yang diwakili dalam tokennya. Tingkat integritas menentukan tingkat proses perlindungan atau akses.

Windows menentukan tingkat integritas berikut: rendah, sedang, tinggi, dan sistem. Pengguna standar menerima tingkat integritas sedang dan pengguna yang lebih tinggi menerima tingkat integritas tinggi.

Untuk informasi selengkapnya, lihat Kontrol Integritas Wajib - aplikasi Win32.
ParentProcessMD5 Opsional MD5 Hash MD5 dari file gambar proses induk.

Contoh: 75a599802f1fa166cdadb360960b1dd0
ParentProcessSHA1 Opsional SHA1 Hash SHA-1 dari berkas citra proses induk.

Contoh: d55c5a4df19b46db8c54c801c4665d3338acdab0
ParentProcessSHA256 Opsional SHA256 Hash SHA-256 dari berkas citra proses induk.

Contoh:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
ParentProcessSHA512 Opsional SHA512 Hash SHA-512 dari berkas citra proses induk.
ParentProcessIMPHASH Opsional string Hash Impor dari semua DLL pustaka yang dipakai oleh proses utama.
ParentProcessTokenElevation Opsional string Token yang menunjukkan ada atau tidak adanya elevasi hak istimewa Kontrol Akses Pengguna (UAC) yang diterapkan pada proses induk.

Contoh: None
ParentProcessCreationTime Opsional DateTime Tanggal dan waktu ketika proses induk dimulai.

Bidang target pengguna

Ladang Class Tipe Description
TargetUsername Wajib untuk proses membuat kejadian. Nama pengguna (String) Nama pengguna target, termasuk informasi domain bila tersedia. Untuk format yang didukung untuk jenis ID yang berbeda, lihat Entitas pengguna. Gunakan formulir sederhana hanya jika informasi domain tidak tersedia.

Simpan jenis Nama Pengguna di bidang TargetUsernameType. Jika format nama pengguna lain tersedia, simpan di bidang TargetUsername<UsernameType>.

Contoh: AlbertE
TargetUsernameType Conditional Disebutkan Menentukan jenis nama pengguna yang disimpan di bidang TargetUsername. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat UsernameType dalam artikel Gambaran Umum Skema.

Contoh: Windows
TargetUserId Recommended string Representasi pengguna target dapat dibaca mesin, alfanumerik, dan unik. Untuk format yang didukung untuk jenis ID yang berbeda, lihat Entitas pengguna.

Contoh: S-1-12
TargetUserIdType Conditional UserIdType Jenis ID yang disimpan di bidang TargetUserId. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DvcIdType dalam artikel Gambaran Umum Skema.
TargetUserSessionId Opsional string ID unik dari sesi login pengguna target.

Contoh: 999

Catatan: Jenis didefiniskan sebagai string untuk mendukung berbagai sistem, tetapi pada Windows nilai ini harus berupa angka.

Jika Anda menggunakan mesin Windows atau Linux dan menggunakan jenis yang berbeda, pastikan untuk mengonversi nilai ini. Misalnya, jika Anda menggunakan nilai heksadesimal, ubah menjadi nilai desimal.
TargetUserSessionGuid Opsional string GUID unik dari sesi login pengguna target, seperti yang dilaporkan oleh perangkat pelapor.

Contoh: {12345678-1234-1234-1234-123456789012}
TargetUserType Opsional Jenis Pengguna Tipe Pelaku. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat UserType dalam artikel Gambaran Umum Skema.

Catatan: Nilai mungkin disediakan dalam rekaman sumber dengan menggunakan istilah yang berbeda, yang harus dinormalisasi ke nilai-nilai ini. Simpan nilai asli di bidang TargetOriginalUserType.
TargetOriginalUserType Opsional string Jenis pengguna tujuan asli, jika disediakan oleh perangkat pelapor.
TargetUserScope Opsional string Cakupan, seperti penyewa Microsoft Entra, di mana TargetUserId dan TargetUsername ditentukan. atau informasi selengkapnya dan daftar nilai yang diizinkan, lihat UserScope di artikel Gambaran Umum Skema.
TargetUserScopeId Opsional string ID cakupan, seperti ID Microsoft Entra Directory, di mana TargetUserId dan TargetUsername ditentukan. untuk informasi selengkapnya dan daftar nilai yang diizinkan, lihat UserScopeId di artikel Gambaran Umum Skema.

Bidang proses target

Ladang Class Tipe Description
TargetProcessName Mandatory string Nama proses yang dituju. Nama ini umumnya berasal dari gambar atau file yang dapat dieksekusi yang digunakan untuk menentukan kode awal dan data yang dipetakan ke dalam ruang alamat virtual dari proses tersebut.

Contoh: C:\Windows\explorer.exe
TargetProcessFilename Opsional string Bagian nama file dari TargetProcessName, tanpa informasi folder.

Contoh: explorer.exe
TargetProcessFileCompany Opsional string Nama perusahaan yang membuat file gambar proses target.

Contoh: Microsoft
TargetProcessFileDescription Opsional string Deskripsi dari informasi versi dalam file gambar proses target.

Contoh: Notepad++ : a free (GPL) source code editor
TargetProcessFileProduct Opsional string Nama produk dari informasi versi dalam file gambar proses target.

Contoh: Notepad++
TargetProcessFileSize Opsional Long Ukuran file yang menjalankan proses yang bertanggung jawab atas kejadian tersebut.
TargetProcessFileVersion Opsional string Versi produk dari informasi versi dalam file gambar proses target.

Contoh: 7.9.5.0
TargetProcessFileInternalName Opsional string Nama file internal produk dari informasi versi file gambar proses target.
TargetProcessFileOriginalName Opsional string Nama file asli produk dari informasi versi file gambar dari proses target.
TargetProcessIsHidden Opsional Boolean Penanda menunjukkan bahwa proses target sedang dalam mode tersembunyi.
TargetProcessInjectedAddress Opsional string Alamat memori di mana proses target yang dituju disimpan.
TargetProcessMD5 Opsional MD5 Hash MD5 dari file citra proses yang ditargetkan.

Contoh: 75a599802f1fa166cdadb360960b1dd0
TargetProcessSHA1 Opsional SHA1 Hash SHA-1 dari file citra proses sasaran.

Contoh: d55c5a4df19b46db8c54c801c4665d3338acdab0
TargetProcessSHA256 Opsional SHA256 Hash SHA-256 dari file gambar proses target.

Contoh:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
TargetProcessSHA512 Opsional SHA512 Hash SHA-512 dari file gambar proses target.
TargetProcessIMPHASH Opsional string Hash Impor dari semua pustaka DLL yang digunakan oleh target proses.
HashType Conditional Disebutkan Jenis hash yang disimpan di bidang alias HASH, nilai yang diizinkan adalah MD5, SHA, SHA256, SHA512 dan IMPHASH.
TargetProcessCommandLine Mandatory string Baris perintah yang digunakan untuk menjalankan proses yang ditargetkan.

Contoh: "choco.exe" -v
TargetProcessCurrentDirectory Opsional string Direktori tempat proses target saat ini dijalankan.

Contoh: c:\windows\system32
TargetProcessCreationTime Recommended DateTime Versi produk dari informasi versi file gambar proses yang ditargetkan.
TargetProcessId Mandatory string ID proses (PID) dari proses target.

Contoh: 48610176

Catatan: Jenis didefinisikan sebagai string untuk mendukung berbagai sistem, tetapi pada Windows dan Linux nilai ini harus berupa angka.

Jika Anda menggunakan mesin Windows atau Linux dan menggunakan jenis yang berbeda, pastikan untuk mengonversi nilai ini. Misalnya, jika Anda menggunakan nilai heksadesimal, ubah menjadi nilai desimal.
TargetProcessGuid Opsional GUID (String) Sebuah pengidentifikasi unik yang dihasilkan (GUID) dari proses target. Memungkinkan identifikasi proses di seluruh sistem.

Contoh: EF3BD0BD-2B74-60C5-AF5C-010000001E00
TargetProcessIntegrityLevel Opsional string Setiap proses memiliki tingkat integritas yang diwakili dalam tokennya. Tingkat integritas menentukan tingkat proses perlindungan atau akses.

Windows menentukan tingkat integritas berikut: rendah, sedang, tinggi, dan sistem. Pengguna standar menerima tingkat integritas sedang dan pengguna yang lebih tinggi menerima tingkat integritas tinggi.

Untuk informasi selengkapnya, lihat Kontrol Integritas Wajib - aplikasi Win32.
TargetProcessTokenElevation Opsional string Jenis token yang menunjukkan ada atau tidak adanya elevasi hak istimewa Kontrol Akses Pengguna (UAC) yang diterapkan pada proses yang dibuat atau dihentikan.

Contoh: None
TargetProcessStatusCode Opsional string Kode keluar dikembalikan oleh proses target ketika proses tersebut dihentikan. Bidang ini hanya valid untuk peristiwa penghentian proses. Untuk konsistensi, jenis bidang adalah string, meskipun nilai yang disediakan oleh sistem operasi bersifat numerik.

Bidang inspeksi

Bidang berikut digunakan untuk mewakili inspeksi yang dilakukan oleh sistem keamanan seperti sistem EDR.

Ladang Class Tipe Description
Nama Aturan Opsional string Nama atau ID aturan yang terkait dengan hasil inspeksi.
Nomor Aturan Opsional Integer Jumlah aturan yang terkait dengan hasil inspeksi.
Aturan Conditional string Baik nilai kRuleName atau nilai RuleNumber. Jika nilai RuleNumber digunakan, jenis harus dikonversi ke string.
Identifi Ancaman Opsional string ID ancaman atau malware yang diidentifikasi dalam aktivitas file.
Nama Ancaman Opsional string Nama ancaman atau malware yang diidentifikasi dalam aktivitas file.

Contoh: EICAR Test File
Kategori Ancaman Opsional string Kategori ancaman atau malware yang diidentifikasi dalam aktivitas file.

Contoh: Trojan
Tingkat Risiko Ancaman Opsional Tingkat Risiko (Bilangan Bulat) Tingkat risiko yang terkait dengan ancaman yang diidentifikasi. Levelnya harus berupa angka antara 0 hingga 100.

Catatan: Nilai ini dapat diberikan dalam catatan sumber menggunakan skala yang berbeda, yang harus dinormalisasi ke skala ini. Nilai asli harus disimpan di ThreatOriginalRiskLevel.
AncamanTingkat Risiko Asli Opsional string Tingkat risiko seperti yang dilaporkan oleh perangkat pelaporan.
Bidang Ancaman Opsional string Bidang yang ancamannya diidentifikasi.
Bidang Ancaman Opsional string Bidang yang ancamannya diidentifikasi.
ThreatConfidence Opsional Tingkat Keyakinan (Bilangan bulat) Tingkat keyakinan ancaman yang diidentifikasi, dinormalisasi ke nilai antara 0 dan 100.
ThreatOriginalConfidence Opsional string Tingkat keyakinan asli ancaman yang diidentifikasi, seperti yang dilaporkan oleh perangkat pelaporan.
AncamanIsAktif Opsional Boolean Benar jika ancaman yang diidentifikasi dianggap sebagai ancaman aktif.
ThreatFirstReportedTime Opsional tanggalwaktu Pertama kali alamat IP atau domain diidentifikasi sebagai ancaman.
ThreatLastReportedTime Opsional tanggalwaktu Terakhir kali alamat IP atau domain diidentifikasi sebagai ancaman.

Pembaruan skema

Ini adalah perubahan dalam versi 0.1.1 dari skema tersebut:

  • Menambahkan bidang EventSchema.

Berikut adalah perubahan dalam versi 0.1.2 dari skema tersebut

  • Menambahkan bidang ActorUserType, ActorOriginalUserType, TargetUserType, TargetOriginalUserType, dan HashType.

Berikut adalah perubahan dalam versi 0.1.3 dari skema

  • Mengubah bidang ParentProcessId dan TargetProcessCreationTime dari wajib menjadi direkomendasikan.

Ini adalah perubahan dalam skema versi 0.1.4

  • Menambahkan bidang ActorScope, DvcScopeId, dan DvcScope.