مرجع مخطط تسوية حدث عملية نموذج معلومات الأمان المتقدم (ASIM) (الإصدار الأوَّلي العام)
يتم استخدام مخطط تسوية حدث العملية لوصف نشاط نظام التشغيل الخاص بتشغيل العملية وإنهائها. يتم الإبلاغ عن مثل هذه الأحداث بواسطة أنظمة التشغيل وأنظمة الأمان، مثل أنظمة EDR (اكتشاف نقطة النهاية والاستجابة).
العملية، كما حددها OSSEM، هي عنصر احتواء وإدارة يمثل مثيلاً قيد التشغيل من البرنامج. في حين أن العمليات نفسها لا تعمل، فإنها تدير الخيوط التي تعمل وتنفذ التعليمة البرمجية.
لمزيد من المعلومات بشأن التسوية في Microsoft Sentinel، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM).
هام
مخطط تسوية حدث العملية في الإصدار الأوَّلي حالياً. تُوفّر هذه الميزة دون الحاجة إلى اتفاقية مستوى الخدمة، ولا يوصى بها لأحمال العمل الخاصة بالإنتاج.
تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.
المُحللات
لاستخدام المحلل اللغوي الموحد الذي يوحد كل المحلل اللغوي المدرج ويضمن أنك تقوم بالتحليل عبر جميع المصادر المكونة، استخدم أسماء الجدول التالية في استعلاماتك:
- imProcessCreate للاستعلامات التي تتطلب معلومات إنشاء العملية. هذه الاستعلامات هي الحالة الأكثر شيوعاً.
- imProcessTerminate للاستعلامات التي تتطلب معلومات إنهاء العملية.
للحصول على قائمة محللي حدث العملية الذي يوفره Microsoft Sentinel الجاهز للرجوع إلى قائمة محللي ASIM.
قم بتوزيع محللي المصادقة من مستودع Microsoft Sentinel GitHub.
لمزيد من المعلومات، راجع نظرة عامة على محللي ASIM.
أضف المحلل اللغوي المعياري الخاص بك
عند تنفيذ محللات أحداث العملية المخصصة، قم بتسمية وظائف KQL باستخدام البنية التالية: imProcessCreate<vendor><Product> وimProcessTerminate<vendor><Product>. استبدل im بـ ASim للإصدار الذي لا يحتوي على معلمات.
أضف دالة KQL إلى المحلل اللغوي الموحد كما هو موضح في إدارة موزعي ASIM.
تصفية معلمات المُحلل
تدعم مُحللات im وvim*معلمات التصفية. في حين أن هذه المُحللات اختيارية، فإنها يمكن أن تحسن أداء الاستعلام الخاص بك.
تتوفّر معلمات التصفية التالية:
| Name | كتابة | الوصف |
|---|---|---|
| starttime | datetime | تصفية أحداث العملية فقط التي حدثت في هذا الوقت أو بعده. |
| endtime | datetime | تصفية عمليات استعلامات الأحداث التي حدثت في هذا الوقت أو قبله فقط. |
| commandline_has_any | ديناميكي | قم بتصفية الأحداث التي يتم تنفيذ سطر الأوامر لها فقط والتي تحتوي على أي من القيم المدرجة. طول القائمة محدد بـ 10000 عنصر. |
| commandline_has_all | ديناميكي | تصفية الأحداث العملية التي تم تنفيذ سطر الأوامر لها فقط تحتوي على جميع القيم المدرجة. طول القائمة محدد بـ 10000 عنصر. |
| commandline_has_any_ip_prefix | ديناميكي | تقوم عملية التصفية فقط بمعالجة الأحداث التي تم تنفيذ سطر الأوامر لها والتي تحتوي على جميع عناوين IP المدرجة أو بادئات عناوين IP. يجب أن تنتهي البادئات بـ .، على سبيل المثال: 10.0.. طول القائمة محدد بـ 10000 عنصر. |
| actingprocess_has_any | ديناميكي | تصفية الأحداث العملية فقط التي يكون لاسم العملية المؤثرة، والذي يتضمن مسار العملية بالكامل، أياً من القيم المدرجة. طول القائمة محدد بـ 10000 عنصر. |
| targetprocess_has_any | ديناميكي | تصفية الأحداث العملية فقط التي يكون لاسم العملية الهدف، والذي يتضمن مسار العملية بالكامل، أياً من القيم المدرجة. طول القائمة محدد بـ 10000 عنصر. |
| parentprocess_has_any | ديناميكي | تصفية الأحداث العملية فقط التي يكون لاسم العملية الهدف، والذي يتضمن مسار العملية بالكامل، أياً من القيم المدرجة. طول القائمة محدد بـ 10000 عنصر. |
| targetusername_has أو actusername_has | سلسلة | يقوم التصفية بمعالجة الأحداث التي يكون لاسم المستخدم الهدف (لأحداث إنشاء العملية) أو اسم مستخدم الممثل (لأحداث إنهاء العملية) أياً من القيم المدرجة. طول القائمة محدد بـ 10000 عنصر. |
| dvcipaddr_has_any_prefix | ديناميكي | قم بتصفية أحداث المعالجة فقط التي يتطابق فيها عنوان IP للجهاز مع أي من عناوين IP المدرجة أو بادئات عناوين IP المدرجة. يجب أن تنتهي البادئات بـ .، على سبيل المثال: 10.0.. طول القائمة محدد بـ 10000 عنصر. |
| dvchostname_has_any | ديناميكي | تصفية أحداث المعالجة فقط التي يتوفر لاسم مضيف الجهاز، أو اسم مجال مؤهل بالكامل للجهاز، أي من القيم المدرجة. طول القائمة محدد بـ 10000 عنصر. |
| eventtype | سلسلة | تصفية الأحداث العملية فقط من النوع المحدد. |
أو على سبيل المثال، لتصفية أحداث المصادقة فقط من اليوم الأخير إلى مستخدم معين، استخدم:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
تلميح
لتمرير قائمة حرفية إلى المعلمات التي تتوقع قيمة ديناميكية، استخدم قيمة حرفية ديناميكية بشكل صريح. على سبيل المثال: dynamic(['192.168.','10.']).
المحتوى الطبيعي
للحصول على قائمة كاملة بقواعد التحليلات التي تستخدم أحداث العملية المعتادة، راجع محتوى أمان حدث العملية.
تفاصيل المُخطط
يتم محاذاة نموذج معلومات حدث العملية مع مخطط كيان عملية OSSEM.
حقول ASIM المشتركة
هام
توصف الحقول المشتركة لكافة المخططات بالتفصيل في مقالة الحقول المشتركة لـ ASIM.
الحقول المشتركة مع وجود إرشادات محددة
تشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث نشاط العملية:
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| EventType | إلزامي | Enumerated | يصف العملية التي أبلغ بها السجل. بالنسبة لسجلات المعالجة، تتضمن القيم المدعومة ما يلي: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | إلزامي | السلسلة | إصدار المُخطط. إصدار مخطط قاعدة البيانات الموثق هنا هو 0.1.4 |
| EventSchema | اختياري | السلسلة | اسم المخطط الموثّق هنا هو ProcessEvent. |
| حقول Dvc | بالنسبة لأحداث نشاط العملية، تشير حقول الجهاز إلى النظام الذي تم تنفيذ العملية عليه. |
هام
يعد الحقل EventSchema اختيارياً حالياً ولكنه سيصبح إلزامياً في الأول من سبتمبر 2022.
جميع الحقول الشائعة
تُعد الحقول التي تظهر في الجدول أدناه مشتركة في جميع مخططات ASIM. أية مبادئ توجيهية محددة أعلاه تلغي الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريًا بشكل عام، لكنه إلزامي لمخطط معين. لمزيد من التفاصيل حول كل حقل، راجع المقالة الحقول المشتركة لـ ASIM.
| فصل | الحقول |
|---|---|
| إلزامي |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| مستحسن |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| اختياري |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - مالك الحدث - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
الحقول الخاصة بحدث العملية
الحقول المدرجة في الجدول أدناه خاصة بأحداث العملية، ولكنها تشبه الحقول الموجودة في المخططات الأخرى وتتبع اصطلاحات تسمية مماثلة.
يشير مخطط حدث العملية إلى الكيانات التالية، والتي تعتبر مركزية لعملية إنشاء وإنهاء النشاط:
- الفاعل - المستخدم الذي بدأ إنشاء العملية أو إنهاؤها.
- ActingProcess - العملية التي يستخدمها الممثل لبدء إنشاء العملية أو إنهائها.
- TargetProcess - العملية الجديدة.
- TargetUser - المستخدم الذي تُستخدم بيانات اعتماده لإنشاء العملية الجديدة.
- ParentProcess - العملية التي بدأت عملية الممثل.
الأسماء المستعارة
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| User | الاسم المستعار | الاسم المستعار لـ TargetUsername. مثال: CONTOSO\dadmin |
|
| العملية | الاسم المستعار | الاسم المستعار لـ TargetProcessName مثال: C:\Windows\System32\rundll32.exe |
|
| CommandLine | الاسم المستعار | الاسم المستعار لـ TargetProcessCommandLine | |
| Hash | الاسم المستعار | الاسم المستعار لأفضل تجزئة متوفرة للعملية المستهدفة. |
حقول المستخدم
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| ActorUserId | مستحسن | السلسلة | تمثيل فريد أبجدي رقمي قابل للقراءة آليًا للمستخدم. للحصول على التنسيق المدعوم لأنواع المعرفات المختلفة، ارجع إلى كيان المستخدم. مثال: S-1-12 |
| ActorUserIdType | شرطي | السلسلة | نوع المعرف المخزن في الحقل ActorUserId. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، راجع UserIdType في Schema Overview article. |
| ActorScope | اختياري | السلسلة | النطاق، مثل مستأجر Microsoft Entra، حيث يتم تعريف ActorUserId و ActorUsername. أو مزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScope في مقالة نظرة عامة على المخطط. |
| ActorUsername | إلزامي | السلسلة | اسم مستخدم الممثل، بما في ذلك معلومات المجال عند توفرها. للحصول على التنسيق المدعوم لأنواع المعرفات المختلفة، ارجع إلى كيان المستخدم. استخدم النموذج البسيط فقط في حالة عدم توفر معلومات المجال. خزّن نوع اسم المستخدم في الحقل ActorUsernameType. في حالة توفر تنسيقات أخرى لاسم المستخدم، قم بتخزينها في الحقول ActorUsername<UsernameType>.مثال: AlbertE |
| ActorUsernameType | شرطي | Enumerated | يحدد نوع اسم المستخدم المخزن في الحقل ActorUsername. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، راجع UsernameType في Schema Overview article. مثال: Windows |
| ActorSessionId | اختياري | السلسلة | المعرف الفريد لجلسة تسجيل دخول الممثل. مثال: 999ملاحظة: يتم تعريف النوع على أنه سلسلة لدعم الأنظمة المختلفة، ولكن في Windows يجب أن تكون هذه القيمة رقمية. إذا كنت تستخدم جهازًا يعمل بنظام التشغيل Windows أو Linux واستخدمت نوعًا مختلفًا، فتأكد من تحويل القيم. على سبيل المثال، إذا استخدمت قيمة سداسية عشرية، فحولها إلى قيمة عشرية. |
| ActorUserType | اختياري | UserType | نوع الفاعل. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، راجع UserType في Schema Overview article. ملاحظة: قد يتم توفير القيمة في سجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها مع هذه القيم. تخزين القيمة الأصلية في حقل ActorOriginalUserType. |
| ActorOriginalUserType | اختياري | السلسلة | نوع المستخدم الوجهة الأصلي، إذا تم توفيره بواسطة جهاز الإبلاغ. |
مجالات عملية التمثيل
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| ActingProcessCommandLine | اختياري | السلسلة | يستخدم سطر الأوامر لتشغيل عملية التمثيل. مثال: "choco.exe" -v |
| ActingProcessName | اختياري | سلسلة | اسم عملية التمثيل. يُشتق هذا الاسم بشكل شائع من الصورة أو الملف القابل للتنفيذ الذي يُستخدم لتحديد التعليمة البرمجية الأولي والبيانات التي تم تعيينها في مساحة العنوان الظاهرية للعملية. مثال: C:\Windows\explorer.exe |
| ActingProcessFileCompany | اختياري | السلسلة | الشركة التي أنشأت ملف صورة عملية التمثيل. مثال: Microsoft |
| ActingProcessFileDescription | اختياري | السلسلة | الوصف المضمن في معلومات الإصدار لملف صورة عملية التمثيل. مثال: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | اختياري | السلسلة | اسم المنتج من معلومات الإصدار في ملف صورة عملية التمثيل. مثال: Notepad++ |
| ActingProcessFileVersion | اختياري | السلسلة | إصدار المنتج من معلومات إصدار ملف صورة عملية التمثيل. مثال: 7.9.5.0 |
| ActingProcessFileInternalName | اختياري | السلسلة | اسم الملف الداخلي للمنتج من معلومات إصدار ملف صورة عملية التمثيل. |
| ActingProcessFileOriginalName | اختياري | السلسلة | اسم الملف الأصلي للمنتج من معلومات إصدار ملف صورة عملية التمثيل. مثال: Notepad++.exe |
| ActingProcessIsHidden | اختياري | Boolean | إشارة إلى ما إذا كانت عملية التمثيل في الوضع الخفي. |
| ActingProcessInjectedAddress | اختياري | السلسلة | عنوان الذاكرة الذي يتم تخزين عملية التمثيل المسؤولة فيه. |
| ActingProcessId | إلزامي | السلسلة | معرّف العملية (PID) لعملية التمثيل. مثال: 48610176 ملاحظة: يتم تعريف النوع على أنه سلسلة لدعم الأنظمة المختلفة، ولكن في نظامي التشغيل Windows وLinux، يجب أن تكون هذه القيمة رقمية. إذا كنت تستخدم جهازاً يعمل بنظام Windows أو Linux وتستخدم نوعاً مختلفاً، فتأكد من تحويل القيم. على سبيل المثال، إذا استخدمت قيمة سداسية عشرية، فحولها إلى قيمة عشرية. |
| ActingProcessGuid | اختياري | سلسلة | معرف فريد تم إنشاؤه (GUID) لعملية التمثيل. تمكن من تحديد العملية عبر الأنظمة. مثال: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | اختياري | السلسلة | كل عملية لها مستوى تكامل يتم تمثيله في رمزها المميز. تحدد مستويات النزاهة مستوى عملية الحماية أو الوصول. يحدد Windows مستويات التكامل التالية: منخفضو متوسط و مرتفعو نظام. يتلقى المستخدمون القياسيون مستوى تكامل متوسط ويحصل المستخدمون المتميزون على مستوى تكامل مرتفع. لمزيد من المعلومات، راجع التحكم الإلزامي في التكامل - تطبيقات Win32. |
| ActingProcessMD5 | اختياري | السلسلة | تجزئة MD5 لملف صورة عملية التمثيل. مثال: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | اختياري | SHA1 | تجزئة SHA-1 لملف صورة عملية التمثيل. مثال: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | اختياري | SHA256 | تجزئة SHA-256 لملف صورة عملية التمثيل. مثال: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | اختياري | SHA521 | تجزئة SHA-512 لملف صورة عملية التمثيل. |
| ActingProcessIMPHASH | اختياري | السلسلة | تجزئة الاستيراد لجميع مكتبات DLL المستخدمة بواسطة عملية التمثيل. |
| ActingProcessCreationTime | اختياري | DateTime | تاريخ ووقت بدء عملية التمثيل. |
| ActingProcessTokenElevation | اختياري | السلسلة | رمز يشير إلى وجود أو عدم وجود رفع امتياز التحكم في وصول المستخدم (UAC) المطبق على عملية التمثيل. مثال: None |
| ActingProcessFileSize | اختياري | طويل | حجم الملف الذي شغّل عملية التمثيل. |
حقول العملية الأصل
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| ParentProcessName | اختياري | سلسلة | اسم العملية الأصل. يُشتق هذا الاسم بشكل شائع من الصورة أو الملف القابل للتنفيذ الذي يُستخدم لتحديد التعليمة البرمجية الأولي والبيانات التي تم تعيينها في مساحة العنوان الظاهرية للعملية. مثال: C:\Windows\explorer.exe |
| ParentProcessFileCompany | اختياري | السلسلة | اسم الشركة التي أنشأت ملف صورة العملية الأصل. مثال: Microsoft |
| ParentProcessFileDescription | اختياري | السلسلة | الوصف من معلومات الإصدار في ملف صورة العملية الأصل. مثال: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | اختياري | السلسلة | اسم المنتج من معلومات الإصدار في ملف صورة العملية الأصل. مثال: Notepad++ |
| ParentProcessFileVersion | اختياري | السلسلة | إصدار المنتج من معلومات الإصدار في ملف صورة العملية الأصل. مثال: 7.9.5.0 |
| ParentProcessIsHidden | اختياري | Boolean | إشارة إلى ما إذا كانت العملية الرئيسية في الوضع الخفي. |
| ParentProcessInjectedAddress | اختياري | السلسلة | عنوان الذاكرة الذي يتم تخزين عملية الأصلين المسؤولة فيه. |
| ParentProcessId | مستحسن | السلسلة | معرّف العملية (PID) للعملية الأصل. مثال: 48610176 |
| ParentProcessGuid | اختياري | السلسلة | معرف فريد تم إنشاؤه (GUID) للعملية الأصل. تمكن من تحديد العملية عبر الأنظمة. مثال: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | اختياري | السلسلة | كل عملية لها مستوى تكامل يتم تمثيله في رمزها المميز. تحدد مستويات النزاهة مستوى عملية الحماية أو الوصول. يحدد Windows مستويات التكامل التالية: منخفضو متوسط و مرتفعو نظام. يتلقى المستخدمون القياسيون مستوى تكامل متوسط ويحصل المستخدمون المتميزون على مستوى تكامل مرتفع. لمزيد من المعلومات، راجع التحكم الإلزامي في التكامل - تطبيقات Win32. |
| ParentProcessMD5 | اختياري | MD5 | تجزئة MD5 لملف صورة العملية الأصل. مثال: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | اختياري | SHA1 | تجزئة SHA-1 لملف صورة العملية الأصل. مثال: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | اختياري | SHA256 | تجزئة SHA-256 لملف صورة العملية الأصل. مثال: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | اختياري | SHA512 | تجزئة SHA-512 لملف صورة العملية الأصل. |
| ParentProcessIMPHASH | اختياري | السلسلة | تجزئة الاستيراد لجميع مكتبات DLL المستخدمة من قِبَل العملية الأصل. |
| ParentProcessTokenElevation | اختياري | السلسلة | رمز يشير إلى وجود أو عدم وجود رفع امتياز التحكم في وصول المستخدم (UAC) المطبق على العملية الرئيسية. مثال: None |
| ParentProcessCreationTime | اختياري | DateTime | تاريخ ووقت بدء العملية الأصلية. |
حقول المستخدم المُستهدف
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| TargetUsername | إلزامي لعملية إنشاء الأحداث. | السلسلة | اسم المستخدم المُستهدف، بما يشمل معلومات المجال عند توفرها. للحصول على التنسيق المدعوم لأنواع المعرفات المختلفة، ارجع إلى كيان المستخدم. استخدم النموذج البسيط فقط في حالة عدم توفر معلومات المجال. قم بتخزين نوع اسم المستخدم في الحقل TargetUsernameType. في حالة توفر تنسيقات أخرى لاسم المستخدم، قم بتخزينها في الحقول TargetUsername<UsernameType>.مثال: AlbertE |
| TargetUsernameType | شرطي | Enumerated | يحدد نوع اسم المستخدم المخزن في حقل TargetUsername. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، راجع UsernameType في Schema Overview article. مثال: Windows |
| TargetUserId | مستحسن | السلسلة | تمثيل فريد أبجدي رقمي يمكن قراءته آلياً للمستخدم المستهدف. للحصول على التنسيق المدعوم لأنواع المعرفات المختلفة، ارجع إلى كيان المستخدم. مثال: S-1-12 |
| TargetUserIdType | شرطي | السلسلة | نوع المعرّف المُخزَّن في الحقل TargetUserId. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، راجع UserIdType في Schema Overview article. |
| TargetUserSessionId | اختياري | السلسلة | المعرف الفريد لجلسة تسجيل دخول المستخدم المستهدف. مثال: 999 ملاحظة: يتم تعريف النوع على أنه سلسلة لدعم الأنظمة المختلفة، ولكن في Windows يجب أن تكون هذه القيمة رقمية. إذا كنت تستخدم جهازاً يعمل بنظام Windows أو Linux وتستخدم نوعاً مختلفاً، فتأكد من تحويل القيم. على سبيل المثال، إذا استخدمت قيمة سداسية عشرية، فحولها إلى قيمة عشرية. |
| TargetUserType | اختياري | UserType | نوع الفاعل. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، راجع UserType في Schema Overview article. ملاحظة: قد يتم توفير القيمة في سجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها مع هذه القيم. تخزين القيمة الأصلية في حقل TargetOriginalUserType. |
| TargetOriginalUserType | اختياري | السلسلة | نوع المستخدم الوجهة الأصلي، إذا تم توفيره بواسطة جهاز الإبلاغ. |
الهدف من مجالات العملية
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| TargetProcessName | إلزامي | سلسلة | اسم العملية المستهدفة. يُشتق هذا الاسم بشكل شائع من الصورة أو الملف القابل للتنفيذ الذي يُستخدم لتحديد التعليمة البرمجية الأولي والبيانات التي تم تعيينها في مساحة العنوان الظاهرية للعملية. مثال: C:\Windows\explorer.exe |
| TargetProcessFileCompany | اختياري | السلسلة | اسم الشركة التي أنشأت ملف صورة العملية المستهدفة. مثال: Microsoft |
| TargetProcessFileDescription | اختياري | السلسلة | الوصف من معلومات الإصدار في ملف صورة العملية الهدف. مثال: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | اختياري | السلسلة | اسم المنتج من معلومات الإصدار في ملف صورة العملية الهدف. مثال: Notepad++ |
| TargetProcessFileSize | اختياري | السلسلة | حجم الملف الذي قام بتشغيل العملية المسؤولة عن الحدث. |
| TargetProcessFileVersion | اختياري | السلسلة | إصدار المنتج من معلومات الإصدار في ملف صورة العملية الهدف. مثال: 7.9.5.0 |
| TargetProcessFileInternalName | اختياري | السلسلة | اسم الملف الداخلي للمنتج من معلومات إصدار ملف الصورة للعملية الهدف. |
| TargetProcessFileOriginalName | اختياري | السلسلة | اسم الملف الأصلي للمنتج من معلومات إصدار ملف الصورة للعملية الهدف. |
| TargetProcessIsHidden | اختياري | Boolean | إشارة إلى ما إذا كانت العملية المستهدفة في الوضع الخفي. |
| TargetProcessInjectedAddress | اختياري | السلسلة | عنوان الذاكرة الذي يتم تخزين العملية المستهدفة المسؤولة فيه. |
| TargetProcessMD5 | اختياري | MD5 | تجزئة MD5 لملف صورة العملية الهدف. مثال: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | اختياري | SHA1 | تجزئة SHA-1 لملف صورة العملية الهدف. مثال: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | اختياري | SHA256 | تجزئة SHA-256 لملف صورة العملية الهدف. مثال: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | اختياري | SHA512 | تجزئة SHA-512 لملف صورة العملية الهدف. |
| TargetProcessIMPHASH | اختياري | السلسلة | تجزئة الاستيراد لجميع مكتبات DLL المستخدمة من قِبَل العملية الهدف. |
| HashType | مستحسن | السلسلة | نوع التجزئة المخزنة في حقل HASH البديل، والقيم المسموح بها هي MD5 وSHASHA256SHA512IMPHASH. |
| TargetProcessCommandLine | إلزامي | السلسلة | سطر الأوامر المستخدم لتشغيل العملية المستهدفة. مثال: "choco.exe" -v |
| دليل TargetProcessCurrentDirectory | اختياري | السلسلة | الدليل الحالي الذي يتم فيه تنفيذ العملية الهدف. مثال: c:\windows\system32 |
| TargetProcessCreationTime | مستحسن | DateTime | إصدار المنتج من معلومات الإصدار لملف صورة العملية الهدف. |
| TargetProcessId | إلزامي | السلسلة | معرّف العملية (PID) للعملية المستهدفة. مثال: 48610176ملاحظة: يتم تعريف النوع على أنه سلسلة لدعم الأنظمة المختلفة، ولكن في نظامي التشغيل Windows وLinux، يجب أن تكون هذه القيمة رقمية. إذا كنت تستخدم جهازاً يعمل بنظام Windows أو Linux وتستخدم نوعاً مختلفاً، فتأكد من تحويل القيم. على سبيل المثال، إذا استخدمت قيمة سداسية عشرية، فحولها إلى قيمة عشرية. |
| TargetProcessGuid | اختياري | السلسلة | معرف فريد تم إنشاؤه (GUID) للعملية المستهدفة. تمكن من تحديد العملية عبر الأنظمة. مثال: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | اختياري | السلسلة | كل عملية لها مستوى تكامل يتم تمثيله في رمزها المميز. تحدد مستويات النزاهة مستوى عملية الحماية أو الوصول. يحدد Windows مستويات التكامل التالية: منخفضو متوسط و مرتفعو نظام. يتلقى المستخدمون القياسيون مستوى تكامل متوسط ويحصل المستخدمون المتميزون على مستوى تكامل مرتفع. لمزيد من المعلومات، راجع التحكم الإلزامي في التكامل - تطبيقات Win32. |
| TargetProcessTokenElevation | اختياري | السلسلة | يشير نوع الرمز المميز إلى وجود أو عدم وجود رفع امتياز التحكم في وصول المستخدم (UAC) المطبق على العملية التي تم إنشاؤها أو إنهاؤها. مثال: None |
| TargetProcessStatusCode | اختياري | السلسلة | التعليمة البرمجية للخروج التي تم إرجاعها بواسطة العملية الهدف عند إنهائها. هذا الحقل صالح فقط لأحداث إنهاء العملية. للتناسق، يكون نوع الحقل سلسلة، حتى إذا كانت القيمة التي يوفرها نظام التشغيل رقمية. |
تحديثات المخطط
هذه هي التغييرات في الإصدار 0.1.1 من المخطط:
- تمت إضافة الحقل
EventSchema.
هذه هي التغييرات في الإصدار 0.1.2 من المخطط
- تمت إضافة الحقول
ActorUserTypeوActorOriginalUserTypeTargetUserTypeTargetOriginalUserTypeHashType.
هذه هي التغييرات في الإصدار 0.1.3 من المخطط
- تم تغيير الحقول
ParentProcessIdوTargetProcessCreationTimeمن إلزامي إلى موصى به.
هذه هي التغييرات في الإصدار 0.1.4 من المخطط
- تمت إضافة الحقول
ActorScopeوDvcScopeIdوDvcScope.
الخطوات التالية
لمزيد من المعلومات، راجع: