Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Skema normalisasi Kejadian Proses digunakan untuk menggambarkan aktivitas sistem operasi dalam menjalankan dan menghentikan suatu proses. Kejadian tersebut dilaporkan oleh sistem operasi dan sistem keamanan, seperti sistem EDR (Deteksi dan Respons Titik Akhir).
Sebuah proses, seperti yang didefinisikan oleh OSSEM, adalah objek penahanan dan manajemen yang mewakili instans program yang sedang berjalan. Sementara proses itu sendiri tidak berjalan, mereka mengelola rangkaian yang menjalankan dan mengeksekusi kode.
Untuk informasi selengkapnya tentang normalisasi di Microsoft Sentinel, lihat Normalisasi dan Model Informasi Keamanan Tingkat Lanjut (ASIM).
Parser
Untuk menggunakan pengurai sumber agnostik yang menyatukan semua pengurai yang terdaftar dan memastikan bahwa Anda menganalisis di semua sumber yang dikonfigurasi, gunakan nama tabel berikut dalam kueri Anda:
- imProcessCreate untuk kueri yang memerlukan informasi pembuatan proses. Kueri ini adalah kasus yang paling umum.
- imProcessTerminate untuk kueri yang memerlukan informasi penghentian proses.
Untuk daftar parser Peristiwa Proses yang disediakan Microsoft Azure Sentinel di luar kotak, lihat daftar parser ASIM.
Sebarkan parser Autentikasi dari repositori GitHub Microsoft Azure Sentinel.
Untuk informasi selengkapnya, lihat gambaran umum pengurai ASIM.
Tambahkan parser normalisasi Anda sendiri
Saat menerapkan pengurai peristiwa proses kustom, beri nama fungsi KQL Anda menggunakan sintaks berikut: imProcessCreate<vendor><Product> dan imProcessTerminate<vendor><Product>. Ganti im dengan ASim untuk versi tanpa parameter.
Tambahkan fungsi KQL Anda ke pengurai pemersatu seperti yang dijelaskan dalam Mengelola pengurai ASIM.
Memfilter parameter parser
Parser im dan vim* mendukung pemfilteran parameter. Meskipun bersifat opsional, parser ini dapat meningkatkan performa kueri Anda.
Parameter pemfilteran berikut ini tersedia:
| Nama | Tipe | Description |
|---|---|---|
| starttime | tanggalwaktu | Filter hanya peristiwa proses yang terjadi pada atau setelah waktu ini. Parameter ini memfilter pada TimeGenerated bidang , yang merupakan penunjuk standar untuk waktu peristiwa, terlepas dari pemetaan khusus pengurai bidang EventStartTime dan EventEndTime. |
| endtime | tanggalwaktu | Filter hanya kueri peristiwa proses yang terjadi pada atau sebelum waktu ini. Parameter ini memfilter pada TimeGenerated bidang , yang merupakan penunjuk standar untuk waktu peristiwa, terlepas dari pemetaan khusus pengurai bidang EventStartTime dan EventEndTime. |
| commandline_has_any | dynamic | Filter hanya peristiwa proses di mana baris perintah yang dijalankan memiliki salah satu nilai yang tercantum. Panjang daftar dibatasi hingga 10.000 item. |
| commandline_has_all | dynamic | Filter hanya peristiwa proses yang baris perintahnya dijalankan memiliki semua nilai yang tercantum. Panjang daftar dibatasi hingga 10.000 item. |
| commandline_has_any_ip_prefix | dynamic | Filter hanya peristiwa proses di mana baris perintah yang dijalankan memiliki semua alamat IP atau prefiks alamat IP yang tercantum. Prefiks harus diakhiri dengan ., misalnya: 10.0.. Panjang daftar dibatasi hingga 10.000 item. |
| actingprocess_has_any | dynamic | Filter hanya peristiwa proses yang nama proses bertindaknya mencakup seluruh jalur proses dan memiliki salah satu nilai yang tercantum. Panjang daftar dibatasi hingga 10.000 item. |
| targetprocess_has_any | dynamic | Filter hanya peristiwa proses yang nama proses targetnya mencakup seluruh jalur proses dan memiliki salah satu nilai yang tercantum. Panjang daftar dibatasi hingga 10.000 item. |
| parentprocess_has_any | dynamic | Filter hanya peristiwa proses yang nama proses targetnya mencakup seluruh jalur proses dan memiliki salah satu nilai yang tercantum. Panjang daftar dibatasi hingga 10.000 item. |
| targetusername_has atau actorusername_has | string | Filter hanya peristiwa proses yang nama pengguna targetnya (untuk peristiwa pembuatan proses), atau nama pengguna aktor (untuk peristiwa penghentian proses) memiliki salah satu nilai yang tercantum. Panjang daftar dibatasi hingga 10.000 item. |
| dvcipaddr_has_any_prefix | dynamic | Filter hanya peristiwa proses yang alamat IP perangkatnya cocok dengan salah satu alamat IP atau prefiks alamat IP yang tercantum. Prefiks harus diakhiri dengan ., misalnya: 10.0.. Panjang daftar dibatasi hingga 10.000 item. |
| dvchostname_has_any | dynamic | Hanya filter peristiwa proses yang nama host perangkatnya, atau FQDN perangkatnya yang tersedia, memiliki salah satu nilai yang tercantum. Panjang daftar dibatasi hingga 10.000 item. |
| hashes_has_any | dynamic | Filter hanya memproses peristiwa yang hash proses targetnya cocok dengan salah satu nilai yang tercantum. |
| eventtype | string | Filter hanya peristiwa proses dari jenis yang ditentukan. |
Misalnya, untuk memfilter hanya peristiwa autentikasi dari hari terakhir ke pengguna tertentu, gunakan:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Tip
Untuk meneruskan daftar harfiah ke parameter yang memerlukan nilai dinamis, secara eksplisit gunakan harfiah dinamis. Misalnya: dynamic(['192.168.','10.']).
Konten yang dinormalisasi
Untuk daftar lengkap aturan analitik yang menggunakan peristiwa proses yang dinormalisasi, lihat konten keamanan Peristiwa Proses.
Detail skema
Model informasi kejadian Proses diselaraskan ke skema entitas Proses OSSEM.
Bidang ASIM umum
Important
Bidang yang umum untuk semua skema dijelaskan secara rinci dalam artikel Bidang Umum ASIM.
Bidang umum dengan pedoman khusus
Daftar berikut menyebutkan bidang yang memiliki panduan khusus untuk peristiwa aktivitas proses:
| Ladang | Class | Tipe | Description |
|---|---|---|---|
| EventType | Mandatory | Disebutkan | Menggambarkan operasi yang dilaporkan oleh rekaman. Untuk rekaman Proses, nilai yang didukung meliputi: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Mandatory | SchemaVersion (String) | Versi dari skema ini. Versi skema yang didokumentasikan di sini adalah 0.1.4 |
| EventSchema | Mandatory | string | Nama skema yang didokumentasikan di sini adalah ProcessEvent. |
| Bidang Dvc | Untuk peristiwa aktivitas proses, bidang perangkat mengacu pada sistem tempat proses dijalankan. |
Important
Bidang EventSchema saat ini opsional tetapi akan menjadi Wajib pada 1 September 2022.
Semua bidang umum
Bidang yang muncul pada tabel di bawah ini adalah umum untuk semua skema ASIM. Setiap pedoman yang ditentukan di atas mengambil alih pedoman umum untuk bidang ini. Misalnya, sebuah bidang mungkin opsional secara umum, tetapi wajib untuk skema tertentu. Untuk detail lebih lanjut tentang setiap bidang, lihat artikel Bidang Umum ASIM.
| Kelas | Fields |
|---|---|
| Mandatory |
-
Jumlah Peristiwa - Waktu MulaiPeristiwa - Waktu Akhir Peristiwa - Jenis Peristiwa - Hasil Peristiwa - Produk Acara - Vendor Peristiwa - Skema Peristiwa - EventSchemaVersion - Dvc |
| Recommended |
-
EventResultDetails - Tingkat Keparahan Peristiwa - Acara Uid - DvcIpAddr - Nama Host Dvc - Domain Dvc - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opsional |
-
Pesan Peristiwa - Subtipe Peristiwa - PeristiwaAsliUid - EventOriginalType - PeristiwaAsliSubtipe - EventOriginalResultDetails - Tingkat Keparahan PeristiwaAsli - EventProductVersion - EventReportUrl - Pemilik Acara - Zona Dvc - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - Antarmuka Dvc - Bidang Tambahan - DvcDescription - DvcScopeId - Ruang lingkup Dvc |
Bidang khusus Kejadian Proses
Bidang yang tercantum dalam tabel di bawah ini khusus untuk Kejadian Proses, tetapi mirip dengan bidang dalam skema lain dan mengikuti konvensi penamaan serupa.
Skema kejadian proses mengacu pada entitas berikut, yang merupakan pusat untuk memproses pembuatan dan aktivitas penghentian:
- Pelaku - Pengguna yang memulai pembuatan atau penghentian proses.
- ActingProcess - Proses yang digunakan oleh Pelaku untuk memulai proses pembuatan atau penghentian.
- TargetProcess - Proses baru.
- TargetUser - Pengguna yang informasi masuknya digunakan untuk membuat proses baru.
- ParentProcess - Proses yang memulai Proses Pelaku.
Aliases
| Ladang | Class | Tipe | Description |
|---|---|---|---|
| User | Alias | Alias untuk TargetUsername. Contoh: CONTOSO\dadmin |
|
| Proses | Alias | Alias untuk TargetProcessName Contoh: C:\Windows\System32\rundll32.exe |
|
| Baris Perintah | Alias | Alias untuk TargetProcessCommandLine | |
| Hash | Alias | Alias untuk hash terbaik yang tersedia untuk proses target. |
Bidang pelaku
| Ladang | Class | Tipe | Description |
|---|---|---|---|
| ActorUserId | Recommended | string | Representasi Pelaku yang dapat dibaca mesin, alfanumerik, unik. Untuk format yang didukung untuk jenis ID yang berbeda, lihat Entitas pengguna. Contoh: S-1-12 |
| ActorUserIdType | Conditional | Disebutkan | Jenis ID yang disimpan pada bidang ActorUserId. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DvcIdType dalam artikel Gambaran Umum Skema. |
| ActorScope | Opsional | string | Cakupan, seperti penyewa Microsoft Entra, di mana ActorUserId dan ActorUsername ditentukan. atau informasi selengkapnya dan daftar nilai yang diizinkan, lihat UserScope di artikel Gambaran Umum Skema. |
| ActorScopeId | Opsional | string | ID cakupan, seperti ID Microsoft Entra Directory, di mana ActorUserId dan ActorUsername ditentukan. atau informasi selengkapnya dan daftar nilai yang diizinkan, lihat UserScopeId di artikel Gambaran Umum Skema. |
| Nama pengguna Aktor | Mandatory | Nama pengguna (String) | Nama pengguna Aktor, termasuk informasi domain jika tersedia. Untuk format yang didukung untuk jenis ID yang berbeda, lihat Entitas pengguna. Gunakan formulir sederhana hanya jika informasi domain tidak tersedia. Simpan jenis Nama Pengguna di bidang ActorUsernameType. Jika format nama pengguna lain tersedia, simpan di bidang ActorUsername<UsernameType>.Contoh: AlbertE |
| ActorUsernameType | Conditional | Disebutkan | Menentukan jenis nama pengguna yang disimpan di bidang ActorUsername. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat UsernameType dalam artikel Gambaran Umum Skema. Contoh: Windows |
| ActorSessionId | Opsional | string | ID unik dari sesi login Aktor. Contoh: 999Catatan: Jenis didefiniskan sebagai string untuk mendukung berbagai sistem, tetapi pada Windows nilai ini harus berupa angka. Jika Anda menggunakan mesin Windows dan menggunakan jenis yang berbeda, pastikan untuk mengonversi nilai ini. Misalnya, jika Anda menggunakan nilai heksadesimal, ubah menjadi nilai desimal. |
| ActorUserType | Opsional | Jenis Pengguna | Tipe Pelaku. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat UserType dalam artikel Gambaran Umum Skema. Catatan: Nilai mungkin disediakan dalam rekaman sumber dengan menggunakan istilah yang berbeda, yang harus dinormalisasi ke nilai-nilai ini. Simpan nilai asli di bidang ActorOriginalUserType. |
| AktorAsliTipe Pengguna | Opsional | string | Jenis pengguna tujuan asli, jika disediakan oleh perangkat pelapor. |
Bidang proses bertindak
| Ladang | Class | Tipe | Description |
|---|---|---|---|
| ActingProcessCommandLine | Opsional | string | Baris perintah yang digunakan untuk menjalankan proses bertindak tersebut. Contoh: "choco.exe" -v |
| ActingProcessName | Opsional | string | Nama dari proses akting. Nama ini umumnya berasal dari gambar atau file yang dapat dieksekusi yang digunakan untuk menentukan kode awal dan data yang dipetakan ke dalam ruang alamat virtual dari proses tersebut. Contoh: C:\Windows\explorer.exe |
| Namafile ProsesBertindak | Opsional | string | Bagian nama file dari ActingProcessName, tanpa informasi folder. Contoh: explorer.exe |
| ActingProcessFileCompany | Opsional | string | Perusahaan yang membuat file gambar proses akting. Contoh: Microsoft |
| ActingProcessFileDescription | Opsional | string | Deskripsi yang disematkan dalam informasi versi file gambar proses eksekusi. Contoh: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Opsional | string | Nama produk berdasarkan informasi versi dalam file gambar proses yang sedang berlangsung. Contoh: Notepad++ |
| ActingProcessFileVersion | Opsional | string | Versi produk dari informasi versi file citra proses yang sedang berjalan. Contoh: 7.9.5.0 |
| ActingProcessFileInternalName | Opsional | string | Nama file internal produk yang berasal dari informasi versi berkas citra proses yang sedang berjalan. |
| ActingProcessFileOriginalName | Opsional | string | Nama file asli produk dari informasi versi file gambar proses yang aktif. Contoh: Notepad++.exe |
| ActingProcessIsHidden | Opsional | Boolean | Indikasi apakah proses yang sedang berjalan dalam mode tersembunyi. |
| ActingProcessInjectedAddress | Opsional | string | Alamat memori di mana proses bertindak yang bertanggung jawab disimpan. |
| ActingProcessId | Mandatory | string | ID proses (PID) dari proses yang sedang berjalan. Contoh: 48610176 Catatan: Jenis didefinisikan sebagai string untuk mendukung berbagai sistem, tetapi pada Windows dan Linux nilai ini harus berupa angka. Jika Anda menggunakan mesin Windows atau Linux dan menggunakan jenis yang berbeda, pastikan untuk mengonversi nilai ini. Misalnya, jika Anda menggunakan nilai heksadesimal, ubah menjadi nilai desimal. |
| ActingProcessGuid | Opsional | GUID (string) | Pengidentifikasi unik yang dihasilkan (GUID) dari proses yang berjalan. Memungkinkan identifikasi proses di seluruh sistem. Contoh: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Opsional | string | Setiap proses memiliki tingkat integritas yang diwakili dalam tokennya. Tingkat integritas menentukan tingkat proses perlindungan atau akses. Windows menentukan tingkat integritas berikut: rendah, sedang, tinggi, dan sistem. Pengguna standar menerima tingkat integritas sedang dan pengguna yang lebih tinggi menerima tingkat integritas tinggi. Untuk informasi selengkapnya, lihat Kontrol Integritas Wajib - aplikasi Win32. |
| ActingProcessMD5 | Opsional | string | Hash MD5 dari file citra proses yang sedang berjalan. Contoh: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Opsional | SHA1 | Hash SHA-1 dari file citra proses yang aktif. Contoh: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Opsional | SHA256 | Hash SHA-256 dari citra berkas proses yang dijalankan. Contoh: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Opsional | SHA512 | Hash SHA-512 dari berkas citra proses yang berjalan. |
| ActingProcessIMPHASH | Opsional | string | Hash Impor dari semua DLL pustaka yang digunakan oleh proses yang sedang berjalan. |
| ActingProcessCreationTime | Opsional | DateTime | Tanggal dan waktu ketika proses bertindak dimulai. |
| ActingProcessTokenElevation | Opsional | string | Token yang menunjukkan ada atau tidak adanya elevasi hak istimewa Kontrol Akses Pengguna (UAC) yang diterapkan pada proses yang sedang berjalan. Contoh: None |
| ActingProcessFileSize | Opsional | Long | Ukuran file yang menjalankan proses bertindak. |
Bidang proses induk
| Ladang | Class | Tipe | Description |
|---|---|---|---|
| ParentProcessName | Opsional | string | Nama proses induk. Nama ini umumnya berasal dari gambar atau file yang dapat dieksekusi yang digunakan untuk menentukan kode awal dan data yang dipetakan ke dalam ruang alamat virtual dari proses tersebut. Contoh: C:\Windows\explorer.exe |
| ParentProcessFileCompany | Opsional | string | Nama perusahaan yang membuat file gambar proses induk. Contoh: Microsoft |
| ParentProcessFileDescription | Opsional | string | Deskripsi dari informasi versi dalam file gambar proses induk. Contoh: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Opsional | string | Nama produk dari informasi versi dalam file gambar proses induk. Contoh: Notepad++ |
| ParentProcessFileVersion | Opsional | string | Versi produk dari informasi versi dalam file gambar proses induk. Contoh: 7.9.5.0 |
| ParentProcessIsHidden | Opsional | Boolean | Indikasi apakah proses induk dalam mode tersembunyi. |
| ParentProcessInjectedAddress | Opsional | string | Alamat memori tempat disimpannya proses induk yang bertanggung jawab. |
| ParentProcessId | Recommended | string | ID proses (PID) dari proses induk. Contoh: 48610176 |
| ParentProcessGuid | Opsional | string | Pengidentifikasi unik yang dihasilkan (GUID) dari proses induk. Memungkinkan identifikasi proses di seluruh sistem. Contoh: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Opsional | string | Setiap proses memiliki tingkat integritas yang diwakili dalam tokennya. Tingkat integritas menentukan tingkat proses perlindungan atau akses. Windows menentukan tingkat integritas berikut: rendah, sedang, tinggi, dan sistem. Pengguna standar menerima tingkat integritas sedang dan pengguna yang lebih tinggi menerima tingkat integritas tinggi. Untuk informasi selengkapnya, lihat Kontrol Integritas Wajib - aplikasi Win32. |
| ParentProcessMD5 | Opsional | MD5 | Hash MD5 dari file gambar proses induk. Contoh: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Opsional | SHA1 | Hash SHA-1 dari berkas citra proses induk. Contoh: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Opsional | SHA256 | Hash SHA-256 dari berkas citra proses induk. Contoh: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Opsional | SHA512 | Hash SHA-512 dari berkas citra proses induk. |
| ParentProcessIMPHASH | Opsional | string | Hash Impor dari semua DLL pustaka yang dipakai oleh proses utama. |
| ParentProcessTokenElevation | Opsional | string | Token yang menunjukkan ada atau tidak adanya elevasi hak istimewa Kontrol Akses Pengguna (UAC) yang diterapkan pada proses induk. Contoh: None |
| ParentProcessCreationTime | Opsional | DateTime | Tanggal dan waktu ketika proses induk dimulai. |
Bidang target pengguna
| Ladang | Class | Tipe | Description |
|---|---|---|---|
| TargetUsername | Wajib untuk proses membuat kejadian. | Nama pengguna (String) | Nama pengguna target, termasuk informasi domain bila tersedia. Untuk format yang didukung untuk jenis ID yang berbeda, lihat Entitas pengguna. Gunakan formulir sederhana hanya jika informasi domain tidak tersedia. Simpan jenis Nama Pengguna di bidang TargetUsernameType. Jika format nama pengguna lain tersedia, simpan di bidang TargetUsername<UsernameType>.Contoh: AlbertE |
| TargetUsernameType | Conditional | Disebutkan | Menentukan jenis nama pengguna yang disimpan di bidang TargetUsername. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat UsernameType dalam artikel Gambaran Umum Skema. Contoh: Windows |
| TargetUserId | Recommended | string | Representasi pengguna target dapat dibaca mesin, alfanumerik, dan unik. Untuk format yang didukung untuk jenis ID yang berbeda, lihat Entitas pengguna. Contoh: S-1-12 |
| TargetUserIdType | Conditional | UserIdType | Jenis ID yang disimpan di bidang TargetUserId. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DvcIdType dalam artikel Gambaran Umum Skema. |
| TargetUserSessionId | Opsional | string | ID unik dari sesi login pengguna target. Contoh: 999 Catatan: Jenis didefiniskan sebagai string untuk mendukung berbagai sistem, tetapi pada Windows nilai ini harus berupa angka. Jika Anda menggunakan mesin Windows atau Linux dan menggunakan jenis yang berbeda, pastikan untuk mengonversi nilai ini. Misalnya, jika Anda menggunakan nilai heksadesimal, ubah menjadi nilai desimal. |
| TargetUserSessionGuid | Opsional | string | GUID unik dari sesi login pengguna target, seperti yang dilaporkan oleh perangkat pelapor. Contoh: {12345678-1234-1234-1234-123456789012} |
| TargetUserType | Opsional | Jenis Pengguna | Tipe Pelaku. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat UserType dalam artikel Gambaran Umum Skema. Catatan: Nilai mungkin disediakan dalam rekaman sumber dengan menggunakan istilah yang berbeda, yang harus dinormalisasi ke nilai-nilai ini. Simpan nilai asli di bidang TargetOriginalUserType. |
| TargetOriginalUserType | Opsional | string | Jenis pengguna tujuan asli, jika disediakan oleh perangkat pelapor. |
| TargetUserScope | Opsional | string | Cakupan, seperti penyewa Microsoft Entra, di mana TargetUserId dan TargetUsername ditentukan. atau informasi selengkapnya dan daftar nilai yang diizinkan, lihat UserScope di artikel Gambaran Umum Skema. |
| TargetUserScopeId | Opsional | string | ID cakupan, seperti ID Microsoft Entra Directory, di mana TargetUserId dan TargetUsername ditentukan. untuk informasi selengkapnya dan daftar nilai yang diizinkan, lihat UserScopeId di artikel Gambaran Umum Skema. |
Bidang proses target
| Ladang | Class | Tipe | Description |
|---|---|---|---|
| TargetProcessName | Mandatory | string | Nama proses yang dituju. Nama ini umumnya berasal dari gambar atau file yang dapat dieksekusi yang digunakan untuk menentukan kode awal dan data yang dipetakan ke dalam ruang alamat virtual dari proses tersebut. Contoh: C:\Windows\explorer.exe |
| TargetProcessFilename | Opsional | string | Bagian nama file dari TargetProcessName, tanpa informasi folder. Contoh: explorer.exe |
| TargetProcessFileCompany | Opsional | string | Nama perusahaan yang membuat file gambar proses target. Contoh: Microsoft |
| TargetProcessFileDescription | Opsional | string | Deskripsi dari informasi versi dalam file gambar proses target. Contoh: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Opsional | string | Nama produk dari informasi versi dalam file gambar proses target. Contoh: Notepad++ |
| TargetProcessFileSize | Opsional | Long | Ukuran file yang menjalankan proses yang bertanggung jawab atas kejadian tersebut. |
| TargetProcessFileVersion | Opsional | string | Versi produk dari informasi versi dalam file gambar proses target. Contoh: 7.9.5.0 |
| TargetProcessFileInternalName | Opsional | string | Nama file internal produk dari informasi versi file gambar proses target. |
| TargetProcessFileOriginalName | Opsional | string | Nama file asli produk dari informasi versi file gambar dari proses target. |
| TargetProcessIsHidden | Opsional | Boolean | Penanda menunjukkan bahwa proses target sedang dalam mode tersembunyi. |
| TargetProcessInjectedAddress | Opsional | string | Alamat memori di mana proses target yang dituju disimpan. |
| TargetProcessMD5 | Opsional | MD5 | Hash MD5 dari file citra proses yang ditargetkan. Contoh: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Opsional | SHA1 | Hash SHA-1 dari file citra proses sasaran. Contoh: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Opsional | SHA256 | Hash SHA-256 dari file gambar proses target. Contoh: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Opsional | SHA512 | Hash SHA-512 dari file gambar proses target. |
| TargetProcessIMPHASH | Opsional | string | Hash Impor dari semua pustaka DLL yang digunakan oleh target proses. |
| HashType | Conditional | Disebutkan | Jenis hash yang disimpan di bidang alias HASH, nilai yang diizinkan adalah MD5, SHA, SHA256, SHA512 dan IMPHASH. |
| TargetProcessCommandLine | Mandatory | string | Baris perintah yang digunakan untuk menjalankan proses yang ditargetkan. Contoh: "choco.exe" -v |
| TargetProcessCurrentDirectory | Opsional | string | Direktori tempat proses target saat ini dijalankan. Contoh: c:\windows\system32 |
| TargetProcessCreationTime | Recommended | DateTime | Versi produk dari informasi versi file gambar proses yang ditargetkan. |
| TargetProcessId | Mandatory | string | ID proses (PID) dari proses target. Contoh: 48610176Catatan: Jenis didefinisikan sebagai string untuk mendukung berbagai sistem, tetapi pada Windows dan Linux nilai ini harus berupa angka. Jika Anda menggunakan mesin Windows atau Linux dan menggunakan jenis yang berbeda, pastikan untuk mengonversi nilai ini. Misalnya, jika Anda menggunakan nilai heksadesimal, ubah menjadi nilai desimal. |
| TargetProcessGuid | Opsional | GUID (String) | Sebuah pengidentifikasi unik yang dihasilkan (GUID) dari proses target. Memungkinkan identifikasi proses di seluruh sistem. Contoh: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Opsional | string | Setiap proses memiliki tingkat integritas yang diwakili dalam tokennya. Tingkat integritas menentukan tingkat proses perlindungan atau akses. Windows menentukan tingkat integritas berikut: rendah, sedang, tinggi, dan sistem. Pengguna standar menerima tingkat integritas sedang dan pengguna yang lebih tinggi menerima tingkat integritas tinggi. Untuk informasi selengkapnya, lihat Kontrol Integritas Wajib - aplikasi Win32. |
| TargetProcessTokenElevation | Opsional | string | Jenis token yang menunjukkan ada atau tidak adanya elevasi hak istimewa Kontrol Akses Pengguna (UAC) yang diterapkan pada proses yang dibuat atau dihentikan. Contoh: None |
| TargetProcessStatusCode | Opsional | string | Kode keluar dikembalikan oleh proses target ketika proses tersebut dihentikan. Bidang ini hanya valid untuk peristiwa penghentian proses. Untuk konsistensi, jenis bidang adalah string, meskipun nilai yang disediakan oleh sistem operasi bersifat numerik. |
Bidang inspeksi
Bidang berikut digunakan untuk mewakili inspeksi yang dilakukan oleh sistem keamanan seperti sistem EDR.
| Ladang | Class | Tipe | Description |
|---|---|---|---|
| Nama Aturan | Opsional | string | Nama atau ID aturan yang terkait dengan hasil inspeksi. |
| Nomor Aturan | Opsional | Integer | Jumlah aturan yang terkait dengan hasil inspeksi. |
| Aturan | Conditional | string | Baik nilai kRuleName atau nilai RuleNumber. Jika nilai RuleNumber digunakan, jenis harus dikonversi ke string. |
| Identifi Ancaman | Opsional | string | ID ancaman atau malware yang diidentifikasi dalam aktivitas file. |
| Nama Ancaman | Opsional | string | Nama ancaman atau malware yang diidentifikasi dalam aktivitas file. Contoh: EICAR Test File |
| Kategori Ancaman | Opsional | string | Kategori ancaman atau malware yang diidentifikasi dalam aktivitas file. Contoh: Trojan |
| Tingkat Risiko Ancaman | Opsional | Tingkat Risiko (Bilangan Bulat) | Tingkat risiko yang terkait dengan ancaman yang diidentifikasi. Levelnya harus berupa angka antara 0 hingga 100. Catatan: Nilai ini dapat diberikan dalam catatan sumber menggunakan skala yang berbeda, yang harus dinormalisasi ke skala ini. Nilai asli harus disimpan di ThreatOriginalRiskLevel. |
| AncamanTingkat Risiko Asli | Opsional | string | Tingkat risiko seperti yang dilaporkan oleh perangkat pelaporan. |
| Bidang Ancaman | Opsional | string | Bidang yang ancamannya diidentifikasi. |
| Bidang Ancaman | Opsional | string | Bidang yang ancamannya diidentifikasi. |
| ThreatConfidence | Opsional | Tingkat Keyakinan (Bilangan bulat) | Tingkat keyakinan ancaman yang diidentifikasi, dinormalisasi ke nilai antara 0 dan 100. |
| ThreatOriginalConfidence | Opsional | string | Tingkat keyakinan asli ancaman yang diidentifikasi, seperti yang dilaporkan oleh perangkat pelaporan. |
| AncamanIsAktif | Opsional | Boolean | Benar jika ancaman yang diidentifikasi dianggap sebagai ancaman aktif. |
| ThreatFirstReportedTime | Opsional | tanggalwaktu | Pertama kali alamat IP atau domain diidentifikasi sebagai ancaman. |
| ThreatLastReportedTime | Opsional | tanggalwaktu | Terakhir kali alamat IP atau domain diidentifikasi sebagai ancaman. |
Pembaruan skema
Ini adalah perubahan dalam versi 0.1.1 dari skema tersebut:
- Menambahkan bidang
EventSchema.
Berikut adalah perubahan dalam versi 0.1.2 dari skema tersebut
- Menambahkan bidang
ActorUserType,ActorOriginalUserType,TargetUserType,TargetOriginalUserType, danHashType.
Berikut adalah perubahan dalam versi 0.1.3 dari skema
- Mengubah bidang
ParentProcessIddanTargetProcessCreationTimedari wajib menjadi direkomendasikan.
Ini adalah perubahan dalam skema versi 0.1.4
- Menambahkan bidang
ActorScope,DvcScopeId, danDvcScope.
Konten terkait
- Gambaran umum Model Informasi Keamanan Tingkat Lanjut (ASIM)
- Skema Model Informasi Keamanan Tingkat Lanjut (ASIM)
- Parser Model Informasi Keamanan Tingkat Lanjut (ASIM)
- Konten Model Informasi Keamanan Tingkat Lanjut (ASIM)
- Azure Sentinel Webinar: Normalisasi Model-Understanding Informasi di Azure Sentinel