Referensi skema normalisasi Sesi Web Advanced Security Information Model (ASIM) (Pratinjau umum)
Skema normalisasi Kejadian Proses digunakan untuk menggambarkan aktivitas sistem operasi dalam menjalankan dan menghentikan suatu proses. Kejadian tersebut dilaporkan oleh sistem operasi dan sistem keamanan, seperti sistem EDR (Deteksi dan Respons Titik Akhir).
Sebuah proses, seperti yang didefinisikan oleh OSSEM, adalah objek penahanan dan manajemen yang mewakili instans program yang sedang berjalan. Sementara proses itu sendiri tidak berjalan, mereka mengelola rangkaian yang menjalankan dan mengeksekusi kode.
Untuk informasi selengkapnya tentang normalisasi di Microsoft Sentinel, lihat Normalisasi dan Model Informasi Keamanan Tingkat Lanjut (ASIM).
Penting
Skema normalisasi Kejadian Proses saat ini dalam PRATINJAU. Fitur ini disediakan tanpa perjanjian tingkat layanan, dan tidak disarankan untuk beban kerja produksi.
Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Parser
Untuk menggunakan pengurai sumber agnostik yang menyatukan semua pengurai yang terdaftar dan memastikan bahwa Anda menganalisis di semua sumber yang dikonfigurasi, gunakan nama tabel berikut dalam kueri Anda:
- imProcessCreate untuk kueri yang memerlukan informasi pembuatan proses. Kueri ini adalah kasus yang paling umum.
- imProcessTerminate untuk kueri yang memerlukan informasi penghentian proses.
Untuk daftar parser Peristiwa Proses yang disediakan Microsoft Azure Sentinel di luar kotak, lihat daftar parser ASIM.
Sebarkan parser Autentikasi dari repositori GitHub Microsoft Azure Sentinel.
Untuk informasi selengkapnya, lihat gambaran umum pengurai ASIM.
Tambahkan parser normalisasi Anda sendiri
Saat menerapkan pengurai peristiwa proses kustom, beri nama fungsi KQL Anda menggunakan sintaks berikut: imProcessCreate<vendor><Product> dan imProcessTerminate<vendor><Product>. Ganti im dengan ASim untuk versi tanpa parameter.
Tambahkan fungsi KQL Anda ke pengurai pemersatu seperti yang dijelaskan dalam Mengelola pengurai ASIM.
Memfilter parameter parser
Parser im dan vim* mendukung pemfilteran parameter. Meskipun bersifat opsional, parser ini dapat meningkatkan performa kueri Anda.
Parameter pemfilteran berikut ini tersedia:
| Nama | Tipe | Deskripsi |
|---|---|---|
| starttime | datetime | Filter hanya peristiwa proses yang terjadi pada atau setelah waktu ini. |
| endtime | datetime | Filter hanya kueri peristiwa proses yang terjadi pada atau sebelum waktu ini. |
| commandline_has_any | dinamis | Filter hanya peristiwa proses di mana baris perintah yang dijalankan memiliki salah satu nilai yang tercantum. Panjang daftar dibatasi hingga 10.000 item. |
| commandline_has_all | dinamis | Filter hanya peristiwa proses di mana baris perintah yang dijalankan memiliki semua nilai yang tercantum. Panjang daftar dibatasi hingga 10.000 item. |
| commandline_has_any_ip_prefix | dinamis | Filter hanya peristiwa proses di mana baris perintah yang dijalankan memiliki semua alamat IP atau prefiks alamat IP yang tercantum. Prefiks harus diakhiri dengan ., misalnya: 10.0.. Panjang daftar dibatasi hingga 10.000 item. |
| actingprocess_has_any | dinamis | Filter hanya peristiwa proses yang nama proses bertindaknya mencakup seluruh jalur proses dan memiliki salah satu nilai yang tercantum. Panjang daftar dibatasi hingga 10.000 item. |
| targetprocess_has_any | dinamis | Filter hanya peristiwa proses yang nama proses targetnya mencakup seluruh jalur proses dan memiliki salah satu nilai yang tercantum. Panjang daftar dibatasi hingga 10.000 item. |
| parentprocess_has_any | dinamis | Filter hanya peristiwa proses yang nama proses targetnya mencakup seluruh jalur proses dan memiliki salah satu nilai yang tercantum. Panjang daftar dibatasi hingga 10.000 item. |
| targetusername_has atau actorusername_has | string | Filter hanya peristiwa proses yang nama pengguna targetnya (untuk peristiwa pembuatan proses), atau nama pengguna aktor (untuk peristiwa penghentian proses) memiliki salah satu nilai yang tercantum. Panjang daftar dibatasi hingga 10.000 item. |
| dvcipaddr_has_any_prefix | dinamis | Filter hanya peristiwa proses yang alamat IP perangkatnya cocok dengan salah satu alamat IP atau prefiks alamat IP yang tercantum. Prefiks harus diakhiri dengan ., misalnya: 10.0.. Panjang daftar dibatasi hingga 10.000 item. |
| dvchostname_has_any | dinamis | Hanya filter peristiwa proses yang nama host perangkatnya, atau FQDN perangkatnya yang tersedia, memiliki salah satu nilai yang tercantum. Panjang daftar dibatasi hingga 10.000 item. |
| eventtype | string | Filter hanya peristiwa proses dari jenis yang ditentukan. |
Misalnya, untuk menyaring hanya peristiwa autentikasi dari hari terakhir ke pengguna tertentu, gunakan:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Tip
Untuk meneruskan daftar harfiah ke parameter yang memerlukan nilai dinamis, secara eksplisit gunakan harfiah dinamis. Misalnya: dynamic(['192.168.','10.']).
Konten yang dinormalisasi
Untuk daftar lengkap aturan analitik yang menggunakan peristiwa proses yang dinormalisasi, lihat konten keamanan Peristiwa Proses.
Detail skema
Model informasi kejadian Proses diselaraskan ke skema entitas Proses OSSEM.
Bidang ASIM umum
Penting
Bidang yang umum untuk semua skema dijelaskan secara rinci dalam artikel Bidang Umum ASIM.
Bidang umum dengan pedoman khusus
Daftar berikut menyebutkan bidang yang memiliki panduan khusus untuk peristiwa aktivitas proses:
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| EventType | Wajib | Disebutkan | Menggambarkan operasi yang dilaporkan oleh catatan. Untuk rekaman Proses, nilai yang didukung meliputi: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Wajib | String | Versi skema. Versi skema yang didokumentasikan di sini adalah 0.1.4 |
| EventSchema | Opsional | String | Nama skema yang didokumentasikan di sini adalah ProcessEvent. |
| Bidang Dvc | Untuk peristiwa aktivitas proses, bidang perangkat mengacu pada sistem tempat proses dijalankan. |
Penting
Bidang EventSchema saat ini opsional tetapi akan menjadi Wajib pada 1 September 2022.
Semua bidang umum
Bidang yang muncul pada tabel di bawah ini adalah umum untuk semua skema ASIM. Setiap pedoman yang ditentukan di atas mengambil alih pedoman umum untuk bidang ini. Misalnya, sebuah bidang mungkin opsional secara umum, tetapi wajib untuk skema tertentu. Untuk detail lebih lanjut tentang setiap bidang, lihat artikel Bidang Umum ASIM.
| Kelas | Bidang |
|---|---|
| Wajib |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Direkomendasikan |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opsional |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Bidang khusus Kejadian Proses
Bidang yang tercantum dalam tabel di bawah ini khusus untuk Kejadian Proses, tetapi mirip dengan bidang dalam skema lain dan mengikuti konvensi penamaan serupa.
Skema kejadian proses mengacu pada entitas berikut, yang merupakan pusat untuk memproses pembuatan dan aktivitas penghentian:
- Pelaku - Pengguna yang memulai pembuatan atau penghentian proses.
- ActingProcess - Proses yang digunakan oleh Pelaku untuk memulai proses pembuatan atau penghentian.
- TargetProcess - Proses baru.
- TargetUser - Pengguna yang informasi masuknya digunakan untuk membuat proses baru.
- ParentProcess - Proses yang memulai Proses Pelaku.
Alias
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| Pengguna | Alias | Alias untuk TargetUsername. Contoh: CONTOSO\dadmin |
|
| Proses | Alias | Alias untuk TargetProcessName Contoh: C:\Windows\System32\rundll32.exe |
|
| Baris Perintah | Alias | Alias untuk TargetProcessCommandLine | |
| Hash | Alias | Alias untuk hash terbaik yang tersedia untuk proses target. |
Bidang pelaku
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| ActorUserId | Direkomendasikan | String | Representasi Pelaku yang dapat dibaca mesin, alfanumerik, unik. Untuk format yang didukung untuk jenis ID yang berbeda, lihat Entitas pengguna. Contoh: S-1-12 |
| ActorUserIdType | Kondisional | String | Jenis ID yang disimpan pada bidang ActorUserId. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DvcIdType dalam artikel Gambaran Umum Skema. |
| ActorScope | Opsional | String | Cakupan, seperti penyewa Microsoft Entra, di mana ActorUserId dan ActorUsername ditentukan. atau informasi selengkapnya dan daftar nilai yang diizinkan, lihat UserScope di artikel Gambaran Umum Skema. |
| ActorUsername | Wajib | String | Nama pengguna Pelaku, termasuk informasi domain saat tersedia. Untuk format yang didukung untuk jenis ID yang berbeda, lihat Entitas pengguna. Gunakan formulir sederhana hanya jika informasi domain tidak tersedia. Simpan jenis Nama Pengguna di bidang ActorUsernameType. Jika format nama pengguna lain tersedia, simpan di bidang ActorUsername<UsernameType>.Contoh: AlbertE |
| ActorUsernameType | Kondisional | Disebutkan | Menentukan jenis nama pengguna yang disimpan di bidang ActorUsername. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat UsernameType dalam artikel Gambaran Umum Skema. Contoh: Windows |
| ActorSessionId | Opsional | String | ID unik dari sesi login Aktor. Contoh: 999Catatan: Jenis didefiniskan sebagai string untuk mendukung berbagai sistem, tetapi pada Windows nilai ini harus berupa angka. Jika Anda menggunakan mesin Windows dan menggunakan jenis yang berbeda, pastikan untuk mengonversi nilai ini. Misalnya, jika Anda menggunakan nilai heksadesimal, ubah menjadi nilai desimal. |
| ActorUserType | Opsional | UserType | Tipe Pelaku. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat UserType dalam artikel Gambaran Umum Skema. Catatan: Nilai mungkin disediakan dalam rekaman sumber dengan menggunakan istilah yang berbeda, yang harus dinormalisasi ke nilai-nilai ini. Simpan nilai asli di bidang ActorOriginalUserType. |
| ActorOriginalUserType | Opsional | String | Jenis pengguna tujuan asli, jika disediakan oleh perangkat pelapor. |
Bidang proses bertindak
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| ActingProcessCommandLine | Opsional | String | Baris perintah yang digunakan untuk menjalankan proses bertindak tersebut. Contoh: "choco.exe" -v |
| ActingProcessName | Opsional | string | Nama dari proses bertindak. Nama ini umumnya berasal dari gambar atau file yang dapat dieksekusi yang digunakan untuk menentukan kode awal dan data yang dipetakan ke dalam ruang alamat virtual dari proses tersebut. Contoh: C:\Windows\explorer.exe |
| ActingProcessFileCompany | Opsional | String | Perusahaan yang membuat file gambar proses bertindak. Contoh: Microsoft |
| ActingProcessFileDescription | Opsional | String | Deskripsi yang disematkan dalam informasi versi file gambar proses bertindak. Contoh: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Opsional | String | Nama produk dari informasi versi dalam file gambar proses bertindak. Contoh: Notepad++ |
| ActingProcessFileVersion | Opsional | String | Versi produk dari informasi versi file gambar proses bertindak. Contoh: 7.9.5.0 |
| ActingProcessFileInternalName | Opsional | String | Nama file internal produk dari informasi versi file gambar proses bertindak. |
| ActingProcessFileOriginalName | Opsional | String | Nama file asli produk dari informasi versi file gambar proses bertindak. Contoh: Notepad++.exe |
| ActingProcessIsHidden | Opsional | Boolean | Indikasi apakah proses bertindak dalam mode tersembunyi. |
| ActingProcessInjectedAddress | Opsional | String | Alamat memori di mana proses bertindak yang bertanggung jawab disimpan. |
| ActingProcessId | Wajib | String | Id proses (PID) dari proses bertindak. Contoh: 48610176 Catatan: Jenis didefinisikan sebagai string untuk mendukung berbagai sistem, tetapi pada Windows dan Linux nilai ini harus berupa angka. Jika Anda menggunakan mesin Windows atau Linux dan menggunakan jenis yang berbeda, pastikan untuk mengonversi nilai ini. Misalnya, jika Anda menggunakan nilai heksadesimal, ubah menjadi nilai desimal. |
| ActingProcessGuid | Opsional | string | Sebuah pengidentifikasi unik yang dihasilkan (GUID) dari proses bertindak. Memungkinkan identifikasi proses di seluruh sistem. Contoh: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Opsional | String | Setiap proses memiliki tingkat integritas yang diwakili dalam tokennya. Tingkat integritas menentukan tingkat proses perlindungan atau akses. Windows menentukan tingkat integritas berikut: rendah, sedang, tinggi, dan sistem. Pengguna standar menerima tingkat integritas sedang dan pengguna yang lebih tinggi menerima tingkat integritas tinggi. Untuk informasi selengkapnya, lihat Kontrol Integritas Wajib - aplikasi Win32. |
| ActingProcessMD5 | Opsional | String | Hash MD5 dari file gambar proses bertindak. Contoh: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Opsional | SHA1 | Hash SHA-1 dari file gambar proses bertindak. Contoh: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Opsional | SHA256 | Hash SHA-256 dari file gambar proses bertindak. Contoh: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Opsional | SHA521 | Hash SHA-512 dari file gambar proses bertindak. |
| ActingProcessIMPHASH | Opsional | String | Hash Impor dari semua DLL pustaka yang digunakan oleh proses bertindak. |
| ActingProcessCreationTime | Opsional | DateTime | Tanggal dan waktu ketika proses bertindak dimulai. |
| ActingProcessTokenElevation | Opsional | String | Token yang menunjukkan ada atau tidak adanya elevasi hak istimewa Kontrol Akses Pengguna (UAC) yang diterapkan pada proses bertindak. Contoh: None |
| ActingProcessFileSize | Opsional | Panjang | Ukuran file yang menjalankan proses bertindak. |
Bidang proses induk
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| ParentProcessName | Opsional | string | Nama proses induk. Nama ini umumnya berasal dari gambar atau file yang dapat dieksekusi yang digunakan untuk menentukan kode awal dan data yang dipetakan ke dalam ruang alamat virtual dari proses tersebut. Contoh: C:\Windows\explorer.exe |
| ParentProcessFileCompany | Opsional | String | Nama perusahaan yang membuat file gambar proses induk. Contoh: Microsoft |
| ParentProcessFileDescription | Opsional | String | Deskripsi dari informasi versi dalam file gambar proses induk. Contoh: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Opsional | String | Nama produk dari informasi versi dalam file gambar proses induk. Contoh: Notepad++ |
| ParentProcessFileVersion | Opsional | String | Versi produk dari informasi versi dalam file gambar proses induk. Contoh: 7.9.5.0 |
| ParentProcessIsHidden | Opsional | Boolean | Indikasi apakah proses induk dalam mode tersembunyi. |
| ParentProcessInjectedAddress | Opsional | String | Alamat memori tempat proses induk yang bertanggung jawab disimpan. |
| ParentProcessId | Direkomendasikan | String | ID proses (PID) dari proses induk. Contoh: 48610176 |
| ParentProcessGuid | Opsional | String | Pengidentifikasi unik yang dihasilkan (GUID) dari proses induk. Memungkinkan identifikasi proses di seluruh sistem. Contoh: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Opsional | String | Setiap proses memiliki tingkat integritas yang diwakili dalam tokennya. Tingkat integritas menentukan tingkat proses perlindungan atau akses. Windows menentukan tingkat integritas berikut: rendah, sedang, tinggi, dan sistem. Pengguna standar menerima tingkat integritas sedang dan pengguna yang lebih tinggi menerima tingkat integritas tinggi. Untuk informasi selengkapnya, lihat Kontrol Integritas Wajib - aplikasi Win32. |
| ParentProcessMD5 | Opsional | MD5 | Hash MD5 dari file gambar proses induk. Contoh: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Opsional | SHA1 | Hash SHA-1 dari file gambar proses induk. Contoh: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Opsional | SHA256 | Hash SHA-256 dari file gambar proses induk. Contoh: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Opsional | SHA512 | Hash SHA-512 dari file gambar proses induk. |
| ParentProcessIMPHASH | Opsional | String | Hash Impor dari semua DLL pustaka yang digunakan oleh proses induk. |
| ParentProcessTokenElevation | Opsional | String | Token yang menunjukkan ada atau tidak adanya elevasi hak istimewa Kontrol Akses Pengguna (UAC) yang diterapkan pada proses induk. Contoh: None |
| ParentProcessCreationTime | Opsional | DateTime | Tanggal dan waktu ketika proses induk dimulai. |
Bidang target pengguna
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| TargetUsername | Wajib untuk proses membuat kejadian. | String | Nama pengguna target, termasuk informasi domain bila tersedia. Untuk format yang didukung untuk jenis ID yang berbeda, lihat Entitas pengguna. Gunakan formulir sederhana hanya jika informasi domain tidak tersedia. Simpan jenis Nama Pengguna di bidang TargetUsernameType. Jika format nama pengguna lain tersedia, simpan di bidang TargetUsername<UsernameType>.Contoh: AlbertE |
| TargetUsernameType | Kondisional | Disebutkan | Menentukan jenis nama pengguna yang disimpan di bidang TargetUsername. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat UsernameType dalam artikel Gambaran Umum Skema. Contoh: Windows |
| TargetUserId | Direkomendasikan | String | Representasi pengguna target dapat dibaca mesin, alfanumerik, dan unik. Untuk format yang didukung untuk jenis ID yang berbeda, lihat Entitas pengguna. Contoh: S-1-12 |
| TargetUserIdType | Kondisional | String | Jenis ID yang disimpan di bidang TargetUserId. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat DvcIdType dalam artikel Gambaran Umum Skema. |
| TargetUserSessionId | Opsional | String | ID unik dari sesi login pengguna target. Contoh: 999 Catatan: Jenis didefiniskan sebagai string untuk mendukung berbagai sistem, tetapi pada Windows nilai ini harus berupa angka. Jika Anda menggunakan mesin Windows atau Linux dan menggunakan jenis yang berbeda, pastikan untuk mengonversi nilai ini. Misalnya, jika Anda menggunakan nilai heksadesimal, ubah menjadi nilai desimal. |
| TargetUserType | Opsional | UserType | Tipe Pelaku. Untuk daftar nilai yang diizinkan dan informasi lebih lanjut, lihat UserType dalam artikel Gambaran Umum Skema. Catatan: Nilai mungkin disediakan dalam rekaman sumber dengan menggunakan istilah yang berbeda, yang harus dinormalisasi ke nilai-nilai ini. Simpan nilai asli di bidang TargetOriginalUserType. |
| TargetOriginalUserType | Opsional | String | Jenis pengguna tujuan asli, jika disediakan oleh perangkat pelapor. |
Bidang proses target
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| TargetProcessName | Wajib | string | Nama proses target. Nama ini umumnya berasal dari gambar atau file yang dapat dieksekusi yang digunakan untuk menentukan kode awal dan data yang dipetakan ke dalam ruang alamat virtual dari proses tersebut. Contoh: C:\Windows\explorer.exe |
| TargetProcessFileCompany | Opsional | String | Nama perusahaan yang membuat file gambar proses target. Contoh: Microsoft |
| TargetProcessFileDescription | Opsional | String | Deskripsi dari informasi versi dalam file gambar proses target. Contoh: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Opsional | String | Nama produk dari informasi versi dalam file gambar proses target. Contoh: Notepad++ |
| TargetProcessFileSize | Opsional | String | Ukuran file yang menjalankan proses yang bertanggung jawab atas kejadian tersebut. |
| TargetProcessFileVersion | Opsional | String | Versi produk dari informasi versi dalam file gambar proses target. Contoh: 7.9.5.0 |
| TargetProcessFileInternalName | Opsional | String | Nama file internal produk dari informasi versi file gambar proses target. |
| TargetProcessFileOriginalName | Opsional | String | Nama file asli produk dari informasi versi file gambar dari proses target. |
| TargetProcessIsHidden | Opsional | Boolean | Indikasi apakah proses target dalam mode tersembunyi. |
| TargetProcessInjectedAddress | Opsional | String | Alamat memori tempat proses target yang bertanggung jawab disimpan. |
| TargetProcessMD5 | Opsional | MD5 | Hash MD5 dari file gambar proses target. Contoh: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Opsional | SHA1 | Hash SHA-1 dari file gambar proses target. Contoh: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Opsional | SHA256 | Hash SHA-256 dari file gambar proses target. Contoh: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Opsional | SHA512 | Hash SHA-512 dari file gambar proses target. |
| TargetProcessIMPHASH | Opsional | String | Hash Impor dari semua DLL pustaka yang digunakan oleh proses target. |
| HashType | Direkomendasikan | String | Jenis hash yang disimpan di bidang alias HASH, nilai yang diizinkan adalah MD5, SHA, SHA256, SHA512 dan IMPHASH. |
| TargetProcessCommandLine | Wajib | String | Baris perintah yang digunakan untuk menjalankan proses target tersebut. Contoh: "choco.exe" -v |
| TargetProcessCurrentDirectory | Opsional | String | Direktori saat ini di mana proses target dijalankan. Contoh: c:\windows\system32 |
| TargetProcessCreationTime | Direkomendasikan | DateTime | Versi produk dari informasi versi file gambar proses target. |
| TargetProcessId | Wajib | String | ID proses (PID) dari proses target. Contoh: 48610176Catatan: Jenis didefinisikan sebagai string untuk mendukung berbagai sistem, tetapi pada Windows dan Linux nilai ini harus berupa angka. Jika Anda menggunakan mesin Windows atau Linux dan menggunakan jenis yang berbeda, pastikan untuk mengonversi nilai ini. Misalnya, jika Anda menggunakan nilai heksadesimal, ubah menjadi nilai desimal. |
| TargetProcessGuid | Opsional | String | Sebuah pengidentifikasi unik yang dihasilkan (GUID) dari proses target. Memungkinkan identifikasi proses di seluruh sistem. Contoh: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Opsional | String | Setiap proses memiliki tingkat integritas yang diwakili dalam tokennya. Tingkat integritas menentukan tingkat proses perlindungan atau akses. Windows menentukan tingkat integritas berikut: rendah, sedang, tinggi, dan sistem. Pengguna standar menerima tingkat integritas sedang dan pengguna yang lebih tinggi menerima tingkat integritas tinggi. Untuk informasi selengkapnya, lihat Kontrol Integritas Wajib - aplikasi Win32. |
| TargetProcessTokenElevation | Opsional | String | Jenis token yang menunjukkan ada atau tidak adanya elevasi hak istimewa Kontrol Akses Pengguna (UAC) yang diterapkan pada proses yang dibuat atau dihentikan. Contoh: None |
| TargetProcessStatusCode | Opsional | String | Kode keluar dikembalikan oleh proses target saat dihentikan. Bidang ini hanya valid untuk peristiwa penghentian proses. Untuk konsistensi, jenis bidang adalah string, meskipun nilai yang disediakan oleh sistem operasi bersifat numerik. |
Pembaruan skema
Ini adalah perubahan dalam versi 0.1.1 dari skema tersebut:
- Menambahkan bidang
EventSchema.
Berikut adalah perubahan dalam versi 0.1.2 dari skema tersebut
- Menambahkan bidang
ActorUserType,ActorOriginalUserType,TargetUserType,TargetOriginalUserType, danHashType.
Berikut adalah perubahan dalam versi 0.1.3 dari skema
- Mengubah bidang
ParentProcessIddanTargetProcessCreationTimedari wajib menjadi direkomendasikan.
Ini adalah perubahan dalam skema versi 0.1.4
- Menambahkan bidang
ActorScope,DvcScopeId, danDvcScope.
Langkah berikutnya
Untuk informasi selengkapnya, lihat: