Informations de référence sur le schéma de normalisation des événements de processus ASIM (Advanced Security Information Model) (préversion publique)
Le schéma de normalisation des événements de processus est utilisé pour décrire l’activité du système d’exploitation consistant à exécuter et à arrêter un processus. Ces événements sont signalés par les systèmes d’exploitation et les systèmes de sécurité, tels que les systèmes de détection de points de terminaison et de réponse.
Un processus, tel que défini par OSSEM, est un objet de gestion et d’autonomie qui représente une instance en cours d’exécution d’un programme. Alors que les processus eux-mêmes ne s’exécutent pas, ils gèrent les threads qui exécutent du code.
Pour plus d’informations sur la normalisation dans Microsoft Sentinel, consultez Normalisation et Advanced SIEM Information Model (ASIM).
Important
Le schéma de normalisation des événements de processus est actuellement disponible en préversion. Cette fonctionnalité est fournie sans contrat de niveau de service et n’est pas recommandée pour des charges de travail de production.
Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
Analyseurs
Pour utiliser les analyseurs d’unification qui unifient tous les analyseurs listés et garantir l’analyse de toutes les sources configurées, utilisez les noms de tables suivants dans vos requêtes :
- imProcessCreate pour les requêtes qui requièrent des informations de création de processus. Ces requêtes sont le cas le plus courant.
- imProcessTerminate, pour les requêtes qui requièrent des informations d’arrêt de processus.
Pour obtenir la liste des analyseurs d’événements Processus, Microsoft Sentinel fournit une référence prête à l’emploi à la liste des analyseurs ASIM.
Déployez les analyseurs d’authentification à partir du référentiel GitHub de Microsoft Sentinel.
Pour plus d’informations, consultez Vue d’ensemble des analyseurs ASIM.
Ajouter vos propres analyseurs normalisés
Lors de l’implémentation d’analyseurs d’événements de processus personnalisés, nommez vos fonctions KQL avec la syntaxe suivante : imProcessCreate<vendor><Product> et imProcessTerminate<vendor><Product>. Remplacez im par ASim pour la version sans paramètre.
Ajoutez votre fonction KQL aux analyseurs d’unification, comme décrit dans Gestion des analyseurs ASIM.
Paramètres de filtrage des analyseurs
Les analyseurs im et vim* prennent en charge les paramètres de filtrage. Bien que ces analyseurs soient facultatifs, ils peuvent améliorer les performances de vos requêtes.
Les paramètres de filtrage suivants sont disponibles :
| Nom | Type | Description |
|---|---|---|
| starttime | DATETIME | Filtrez uniquement les événements de processus qui se sont produit à cette heure ou après. |
| endtime | DATETIME | Filtrez uniquement les requêtes d’événements de processus qui se sont produites à cette heure ou avant. |
| commandline_has_any | dynamique | Filtrez uniquement les événements de processus pour lesquels la ligne de commande exécutée a l’une des valeurs répertoriées. La longueur de la liste est limitée à 10 000 éléments. |
| commandline_has_all | dynamique | Filtrez uniquement les événements de processus pour lesquels la ligne de commande exécutée a toutes les valeurs répertoriées. La longueur de la liste est limitée à 10 000 éléments. |
| commandline_has_any_ip_prefix | dynamique | Filtrez uniquement les événements de processus pour lesquels la ligne de commande exécutée a toutes les adresses IP répertoriées ou les préfixes d’adresses IP. Les préfixes doivent se terminer par . (par exemple : 10.0.). La longueur de la liste est limitée à 10 000 éléments. |
| actingprocess_has_any | dynamique | Filtrez uniquement les événements de processus pour lesquels le nom de processus agissant, qui inclut l’intégralité du chemin d’accès du processus, a l’une des valeurs répertoriées. La longueur de la liste est limitée à 10 000 éléments. |
| targetprocess_has_any | dynamique | Filtrez uniquement les événements de processus pour lesquels le nom de processus cible, qui inclut l’intégralité du chemin d’accès du processus, a l’une des valeurs répertoriées. La longueur de la liste est limitée à 10 000 éléments. |
| parentprocess_has_any | dynamique | Filtrez uniquement les événements de processus pour lesquels le nom de processus cible, qui inclut l’intégralité du chemin d’accès du processus, a l’une des valeurs répertoriées. La longueur de la liste est limitée à 10 000 éléments. |
| targetusername_has ou actorusername_has | string | Filtrez uniquement les événements de processus pour lesquels le nom d’utilisateur cible (pour les événements de création de processus) ou le nom d’utilisateur intervenant (pour les événements de fin de processus) possède l’une des valeurs répertoriées. La longueur de la liste est limitée à 10 000 éléments. |
| dvcipaddr_has_any_prefix | dynamique | Filtrez uniquement les événements de processus pour lesquels l’adresse IP de l’appareil correspond à l’une des adresses IP ou l’un des préfixes d’adresses IP répertoriés. Les préfixes doivent se terminer par . (par exemple : 10.0.). La longueur de la liste est limitée à 10 000 éléments. |
| dvchostname_has_any | dynamique | Filtrez uniquement les événements de processus pour lesquels le nom d’hôte d’appareil, ou le FQDN d’appareil si disponible, a l’une des valeurs répertoriées. La longueur de la liste est limitée à 10 000 éléments. |
| eventtype | string | Filtrez uniquement les événements de processus du type spécifié. |
Par exemple, pour filtrer uniquement les événements d’authentification du dernier jour sur un utilisateur spécifique, utilisez :
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Conseil
Pour transmettre une liste de littéraux aux paramètres qui attendent une valeur dynamique, utilisez explicitement un littéral dynamique. Par exemple : dynamic(['192.168.','10.']).
Contenu normalisé
Pour obtenir la liste complète des règles analytiques qui utilisent des événements de processus normalisés, consultez Contenu de sécurité des événements de processus.
Détails du schéma
Le modèle d’informations sur les événements de processus est aligné sur le schéma d’entité de processus OSSEM.
Champs ASIM communs
Important
Les champs communs à tous les schémas sont décrits en détail dans l’article Champs communs ASIM.
Champs communs avec des instructions spécifiques
La liste suivante mentionne les champs qui ont des instructions spécifiques pour les événements d’activité :
| Champ | Classe | Type | Description |
|---|---|---|---|
| EventType | Obligatoire | Énuméré | Décrit l’opération signalée par l’enregistrement. Pour les enregistrements de processus, les valeurs prises en charge sont les suivantes : - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Obligatoire | Chaîne | Version du schéma. La version du schéma documenté ici est 0.1.4 |
| EventSchema | Facultatif | Chaîne | La version du schéma documenté ici est ProcessEvent. |
| Champs Dvc | Pour les événements d’activité de processus, les champs d’appareil font référence au système sur lequel le processus a été exécuté. |
Important
Le champ EventSchema est actuellement facultatif, mais deviendra obligatoire le 1er septembre 2022.
Tous les champs communs
Les champs qui apparaissent dans le tableau ci-dessous sont communs à tous les schémas ASIM. Toute instruction spécifiée ci-dessus remplace les instructions générales pour le champ. Par exemple, un champ peut être facultatif en général, mais obligatoire pour un schéma spécifique. Pour plus d’informations sur chaque champ, reportez-vous à l’article Champs communs ASIM.
| Classe | Fields |
|---|---|
| Obligatoire | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recommandé | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Facultatif | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Champs propres à l’événement de processus
Les champs listés dans le tableau ci-dessous sont propres aux événements de processus, mais sont similaires aux champs d’autres schémas et suivent des conventions d’affectation de noms similaires.
Le schéma d’événement de processus fait référence aux entités suivantes, qui sont le centre de l’activité de création et d’arrêt de processus :
- Actor - Utilisateur à l’origine de la création ou de l’arrêt du processus.
- ActingProcess - Processus utilisé par l’intervenant pour initier la création ou l’arrêt du processus.
- TargetProcess - Nouveau processus.
- TargetUser - Utilisateur dont les informations d’identification sont utilisées pour créer le nouveau processus.
- ParentProcess - Processus qui a initié le processus d’intervenant.
Alias
| Champ | Classe | Type | Description |
|---|---|---|---|
| Utilisateur | Alias | Alias du TargetUsername. Exemple : CONTOSO\dadmin |
|
| Processus | Alias | Alias du TargetProcessName Exemple : C:\Windows\System32\rundll32.exe |
|
| CommandLine | Alias | Alias du TargetProcessCommandLine | |
| Hash | Alias | Alias vers le meilleur hachage disponible pour le processus cible. |
Champs d’intervenant
| Champ | Classe | Type | Description |
|---|---|---|---|
| ActorUserId | Recommandé | String | Représentation unique, alphanumérique et lisible par l’ordinateur de l’intervenant. Pour le format pris en charge pour les différents types d’ID, reportez-vous à l’entité User. Exemple : S-1-12 |
| ActorUserIdType | Logique conditionnelle | Chaîne | Type de l’ID stocké dans le champ ActorUserId. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à UserIdType dans l’article Vue d’ensemble du schéma. |
| ActorScope | Facultatif | String | L’étendue, telle que le locataire Microsoft Entra, dans laquelle ActorUserId et ActorUsername sont définis. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserScope dans l’article Vue d’ensemble du schéma. |
| ActorUsername | Obligatoire | Chaîne | Nom d’utilisateur de l’intervenant, en incluant les informations de domaine le cas échéant. Pour le format pris en charge pour les différents types d’ID, reportez-vous à l’entité User. Utilisez la forme simple uniquement si les informations de domaine ne sont pas disponibles. Stockez le type du nom d’utilisateur dans le champ ActorUsernameType. Si d’autres formats de nom d’utilisateur sont disponibles, stockez-les dans les champs ActorUsername<UsernameType>.Exemple : AlbertE |
| ActorUsernameType | Logique conditionnelle | Énuméré | Spécifie le type du nom d’utilisateur stocké dans le champ ActorUsername. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à UsernameType dans l’article Vue d’ensemble du schéma. Exemple : Windows |
| ActorSessionId | Facultatif | Chaîne | ID unique de la session de connexion de l’Intervenant. Exemple : 999Remarque : le type est défini en tant que chaîne pour la prise en charge de différents systèmes. Cependant, sur Windows, cette valeur doit être numérique. Si vous utilisez un ordinateur Windows et avez utilisé un type différent, assurez-vous de convertir les valeurs. Par exemple, si vous avez utilisé une valeur hexadécimale, convertissez-la en valeur décimale. |
| ActorUserType | Facultatif | UserType | Type d’intervenant. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à UserType dans l’article Vue d’ensemble du schéma. Remarque : la valeur peut être fournie dans l’enregistrement source avec des termes différents, qui doivent être normalisés avec ces valeurs. Stockez la valeur d’origine dans le champ ActorOriginalUserType. |
| ActorOriginalUserType | Facultatif | String | Type d’utilisateur de destination d’origine, s’il est fourni par le dispositif de reporting. |
Champs de processus d’action
| Champ | Classe | Type | Description |
|---|---|---|---|
| ActingProcessCommandLine | Facultatif | Chaîne | Ligne de commande utilisée pour exécuter le processus agissant. Exemple : "choco.exe" -v |
| ActingProcessName | Facultatif | string | Nom du processus agissant. Ce nom est généralement dérivé de l’image ou du fichier exécutable utilisé pour définir le code et les données initiaux mappés dans l’espace d’adressage virtuel du processus. Exemple : C:\Windows\explorer.exe |
| ActingProcessFileCompany | Facultatif | Chaîne | Société qui a créé le fichier d’image de processus agissant. Exemple : Microsoft |
| ActingProcessFileDescription | Facultatif | Chaîne | Description incorporée dans les informations de version du fichier image du processus agissant. Exemple : Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Facultatif | Chaîne | Nom de produit issu des informations de version dans le fichier image du processus agissant. Exemple : Notepad++ |
| ActingProcessFileVersion | Facultatif | Chaîne | Version de produit issue des informations de version dans le fichier image du processus agissant. Exemple : 7.9.5.0 |
| ActingProcessFileInternalName | Facultatif | Chaîne | Nom de fichier interne de produit issu des informations de version dans le fichier image du processus agissant. |
| ActingProcessFileOriginalName | Facultatif | Chaîne | Nom de fichier d’origine de produit issu des informations de version dans le fichier image du processus agissant. Exemple : Notepad++.exe |
| ActingProcessIsHidden | Facultatif | Booléen | Indique si le processus agissant est en mode masqué. |
| ActingProcessInjectedAddress | Facultatif | Chaîne | Adresse mémoire dans laquelle le processus agissant responsable est stocké. |
| ActingProcessId | Obligatoire | Chaîne | ID de processus (PID) du processus agissant. Exemple : 48610176 Remarque : Le type est défini en tant que chaîne pour la prise en charge de différents systèmes. Cependant, sur Windows et Linux cette valeur doit être numérique. Si vous utilisez un ordinateur Windows ou Linux et avez utilisé un type différent, assurez-vous de convertir les valeurs. Par exemple, si vous avez utilisé une valeur hexadécimale, convertissez-la en valeur décimale. |
| ActingProcessGuid | Facultatif | string | Identificateur unique (GUID) généré du processus agissant. Permet d’identifier le processus entre les systèmes. Exemple : EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Facultatif | Chaîne | Chaque processus a un niveau d’intégrité représenté dans son jeton. Les niveaux d’intégrité déterminent le niveau de protection ou l’accès au processus. Windows définit les niveaux d’intégrité suivants : low, medium, high et system. Les utilisateurs Standard reçoivent un niveau d’intégrité moyen (medium) et les utilisateurs avec élévation de privilège reçoivent un niveau d’intégrité élevé (high). Pour plus d’informations, consultez Contrôle d’intégrité obligatoire - Applications Win32. |
| ActingProcessMD5 | Facultatif | Chaîne | Hachage MD5 du fichier image du processus agissant. Exemple : 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Facultatif | SHA1 | Hachage SHA-1 du fichier image du processus agissant. Exemple : d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Facultatif | SHA256 | Hachage SHA-256 du fichier image du processus agissant. Exemple : e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Facultatif | SHA521 | Hachage SHA-512 du fichier image du processus agissant. |
| ActingProcessIMPHASH | Facultatif | Chaîne | Le hachage d’importation de toutes les dll de bibliothèque utilisées par le processus agissant. |
| ActingProcessCreationTime | Facultatif | DateTime | Date et heure du début du processus agissant. |
| ActingProcessTokenElevation | Facultatif | Chaîne | Jeton indiquant la présence ou l’absence de l’élévation des privilèges de l’utilisateur Access Control (UAC) appliquée au processus agissant. Exemple : None |
| ActingProcessFileSize | Facultatif | Long | Taille du fichier qui a exécuté le processus agissant. |
Champs de processus parent
| Champ | Classe | Type | Description |
|---|---|---|---|
| ParentProcessName | Facultatif | string | Nom du processus parent. Ce nom est généralement dérivé de l’image ou du fichier exécutable utilisé pour définir le code et les données initiaux mappés dans l’espace d’adressage virtuel du processus. Exemple : C:\Windows\explorer.exe |
| ParentProcessFileCompany | Facultatif | Chaîne | Nom de la société qui a créé le fichier d’image de processus parent. Exemple : Microsoft |
| ParentProcessFileDescription | Facultatif | Chaîne | Description des informations de version dans le fichier image du processus parent. Exemple : Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Facultatif | Chaîne | Nom de produit issu des informations de version dans le fichier image du processus parent. Exemple : Notepad++ |
| ParentProcessFileVersion | Facultatif | Chaîne | Version de produit issue des informations de version dans le fichier image du processus parent. Exemple : 7.9.5.0 |
| ParentProcessIsHidden | Facultatif | Booléen | Indique si le processus parent est en mode masqué. |
| ParentProcessInjectedAddress | Facultatif | Chaîne | Adresse mémoire dans laquelle le processus parent responsable est stocké. |
| ParentProcessId | Recommandé | Chaîne | ID de processus (PID) du processus parent. Exemple : 48610176 |
| ParentProcessGuid | Facultatif | Chaîne | Identificateur unique (GUID) généré du processus parent. Permet d’identifier le processus entre les systèmes. Exemple : EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Facultatif | Chaîne | Chaque processus a un niveau d’intégrité représenté dans son jeton. Les niveaux d’intégrité déterminent le niveau de protection ou l’accès au processus. Windows définit les niveaux d’intégrité suivants : low, medium, high et system. Les utilisateurs Standard reçoivent un niveau d’intégrité moyen (medium) et les utilisateurs avec élévation de privilège reçoivent un niveau d’intégrité élevé (high). Pour plus d’informations, consultez Contrôle d’intégrité obligatoire - Applications Win32. |
| ParentProcessMD5 | Facultatif | MD5 | Hachage MD5 du fichier image du processus parent. Exemple : 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Facultatif | SHA1 | Hachage SHA-1 du fichier image du processus parent. Exemple : d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Facultatif | SHA256 | Hachage SHA-256 du fichier image du processus parent. Exemple : e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Facultatif | SHA512 | Hachage SHA-512 du fichier image du processus parent. |
| ParentProcessIMPHASH | Facultatif | Chaîne | Le hachage d’importation de toutes les dll de bibliothèque utilisées par le processus parent. |
| ParentProcessTokenElevation | Facultatif | Chaîne | Jeton indiquant la présence ou l’absence de l’élévation des privilèges de l’utilisateur Access Control (UAC) appliquée au processus parent. Exemple : None |
| ParentProcessCreationTime | Facultatif | DateTime | Date et heure du début du processus parent. |
Champs utilisateur cibles
| Champ | Classe | Type | Description |
|---|---|---|---|
| TargetUsername | Obligatoire pour les événements de création de processus. | String | Nom d’utilisateur cible, en incluant les informations de domaine le cas échéant. Pour le format pris en charge pour les différents types d’ID, reportez-vous à l’entité User. Utilisez la forme simple uniquement si les informations de domaine ne sont pas disponibles. Stockez le type du nom d’utilisateur dans le champ TargetUsernameType. Si d’autres formats de nom d’utilisateur sont disponibles, stockez-les dans les champs TargetUsername<UsernameType>.Exemple : AlbertE |
| TargetUsernameType | Logique conditionnelle | Énuméré | Spécifie le type du nom d’utilisateur stocké dans le champ TargetUsername. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à UsernameType dans l’article Vue d’ensemble du schéma. Exemple : Windows |
| TargetUserId | Recommandé | String | Représentation unique, alphanumérique et lisible par l’ordinateur de l’utilisateur cible. Pour le format pris en charge pour les différents types d’ID, reportez-vous à l’entité User. Exemple : S-1-12 |
| TargetUserIdType | Logique conditionnelle | Chaîne | Type de l’ID stocké dans le champ TargetUserId. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à UserIdType dans l’article Vue d’ensemble du schéma. |
| TargetUserSessionId | Facultatif | Chaîne | ID unique de la session de connexion de l’utilisateur cible. Exemple : 999 Remarque : le type est défini en tant que chaîne pour la prise en charge de différents systèmes. Cependant, sur Windows, cette valeur doit être numérique. Si vous utilisez un ordinateur Windows ou Linux et avez utilisé un type différent, assurez-vous de convertir les valeurs. Par exemple, si vous avez utilisé une valeur hexadécimale, convertissez-la en valeur décimale. |
| TargetUserType | Facultatif | UserType | Type d’intervenant. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à UserType dans l’article Vue d’ensemble du schéma. Remarque : la valeur peut être fournie dans l’enregistrement source avec des termes différents, qui doivent être normalisés avec ces valeurs. Stockez la valeur d’origine dans le champ TargetOriginalUserType. |
| TargetOriginalUserType | Facultatif | String | Type d’utilisateur de destination d’origine, s’il est fourni par le dispositif de reporting. |
Champs de processus cible
| Champ | Classe | Type | Description |
|---|---|---|---|
| TargetProcessName | Obligatoire | string | Nom du processus cible. Ce nom est généralement dérivé de l’image ou du fichier exécutable utilisé pour définir le code et les données initiaux mappés dans l’espace d’adressage virtuel du processus. Exemple : C:\Windows\explorer.exe |
| TargetProcessFileCompany | Facultatif | Chaîne | Nom de la société qui a créé le fichier d’image de processus cible. Exemple : Microsoft |
| TargetProcessFileDescription | Facultatif | Chaîne | Description des informations de version dans le fichier image du processus cible. Exemple : Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Facultatif | Chaîne | Nom de produit issu des informations de version dans le fichier image du processus cible. Exemple : Notepad++ |
| TargetProcessFileSize | Facultatif | Chaîne | Taille du fichier qui a exécuté le processus responsable de l’événement. |
| TargetProcessFileVersion | Facultatif | Chaîne | Version de produit issue des informations de version dans le fichier image du processus cible. Exemple : 7.9.5.0 |
| TargetProcessFileInternalName | Facultatif | Chaîne | Nom de fichier interne de produit issu des informations de version dans le fichier image du processus cible. |
| TargetProcessFileOriginalName | Facultatif | Chaîne | Nom de fichier d’origine de produit issu des informations de version dans le fichier image du processus cible. |
| TargetProcessIsHidden | Facultatif | Booléen | Indique si le processus cible est en mode masqué. |
| TargetProcessInjectedAddress | Facultatif | Chaîne | Adresse mémoire dans laquelle le processus cible responsable est stocké. |
| TargetProcessMD5 | Facultatif | MD5 | Hachage MD5 du fichier image du processus cible. Exemple : 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Facultatif | SHA1 | Hachage SHA-1 du fichier image du processus cible. Exemple : d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Facultatif | SHA256 | Hachage SHA-256 du fichier image du processus cible. Exemple : e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Facultatif | SHA512 | Hachage SHA-512 du fichier image du processus cible. |
| TargetProcessIMPHASH | Facultatif | Chaîne | Le hachage d’importation de toutes les dll de bibliothèque utilisées par le processus cible. |
| HashType | Recommandé | Chaîne | Le type de hachage stocké dans le champ d’alias HASH, les valeurs autorisées sont MD5, SHA, SHA256, SHA512 et IMPHASH. |
| TargetProcessCommandLine | Obligatoire | Chaîne | Ligne de commande utilisée pour exécuter le processus cible. Exemple : "choco.exe" -v |
| TargetProcessCurrentDirectory | Facultatif | Chaîne | Répertoire actif dans lequel le processus cible est exécuté. Exemple : c:\windows\system32 |
| TargetProcessCreationTime | Recommandé | DateTime | Version de produit issue des informations de version dans le fichier image du processus cible. |
| TargetProcessId | Obligatoire | Chaîne | ID de processus (PID) du processus cible. Exemple : 48610176Remarque : Le type est défini en tant que chaîne pour la prise en charge de différents systèmes. Cependant, sur Windows et Linux cette valeur doit être numérique. Si vous utilisez un ordinateur Windows ou Linux et avez utilisé un type différent, assurez-vous de convertir les valeurs. Par exemple, si vous avez utilisé une valeur hexadécimale, convertissez-la en valeur décimale. |
| TargetProcessGuid | Facultatif | Chaîne | Identificateur unique (GUID) généré du processus cible. Permet d’identifier le processus entre les systèmes. Exemple : EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Facultatif | Chaîne | Chaque processus a un niveau d’intégrité représenté dans son jeton. Les niveaux d’intégrité déterminent le niveau de protection ou l’accès au processus. Windows définit les niveaux d’intégrité suivants : low, medium, high et system. Les utilisateurs Standard reçoivent un niveau d’intégrité moyen (medium) et les utilisateurs avec élévation de privilège reçoivent un niveau d’intégrité élevé (high). Pour plus d’informations, consultez Contrôle d’intégrité obligatoire - Applications Win32. |
| TargetProcessTokenElevation | Facultatif | Chaîne | Type de jeton indiquant la présence ou l’absence de l’élévation des privilèges de l’utilisateur Access Control (UAC) appliquée au processus qui a été créé ou arrêté. Exemple : None |
| TargetProcessStatusCode | Facultatif | String | Code de sortie retourné par le processus cible en cas d’arrêt. Ce champ est valide uniquement pour les événements d’arrêt de processus. Pour garantir la cohérence, le type de champ est une chaîne, même si la valeur fournie par le système d’exploitation est numérique. |
Mises à jour du schéma
Voici les modifications apportées à la version 0.1.1 du schéma :
- Ajout du champ
EventSchema.
Voici les modifications apportées à la version 0.1.2 du schéma :
- Ajout des champs
ActorUserType,ActorOriginalUserType,TargetUserType,TargetOriginalUserTypeetHashType.
Voici les modifications apportées à la version 0.1.3 du schéma
- Modifiez les champs
ParentProcessIdetTargetProcessCreationTimed’obligatoires en recommandés.
Voici les modifications apportées à la version 0.1.4 du schéma
- Ajout des champs
ActorScope,DvcScopeIdetDvcScope.
Étapes suivantes
Pour plus d'informations, consultez les pages suivantes :