Compartir vía


Referencia del esquema de normalización de eventos de proceso del Modelo de información de seguridad avanzada (ASIM): versión preliminar pública

El esquema de normalización de eventos de proceso se usa para describir la actividad de ejecución y finalización de un proceso que lleva a cabo el sistema operativo. Los sistemas operativos y los sistemas de seguridad, como EDR (detección y respuesta de punto de conexión), notifican tales eventos.

Un proceso, tal como lo define OSSEM, es un objeto de contención y administración que representa una instancia en ejecución de un programa. Aunque los propios procesos no se ejecutan, administran subprocesos que ejecutan código.

Para más información sobre la normalización en Microsoft Sentinel, consulte Normalización y Modelo avanzado de información de seguridad (ASIM).

Importante

El esquema de normalización de eventos de proceso está actualmente en versión preliminar. Esta característica se ofrece sin contrato de nivel de servicio y no se recomienda para cargas de trabajo de producción.

En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Analizadores

Para usar los analizadores de unificación que unifiquen todos los analizadores enumerados y asegurarse de realizar análisis en todos los orígenes configurados, use los nombres de tabla siguientes en las consultas:

  • imProcessCreate, para consultas que requieren información de creación de procesos. Estas consultas constituyen el caso más común.
  • imProcessTerminate, para consultas que requieren información de terminación de procesos.

Para obtener la lista de analizadores del evento de proceso que proporciona Microsoft Sentinel, consulte la lista de analizadores de ASIM.

Implemente los analizadores de autenticación desde el repositorio de Microsoft Sentinel en GitHub.

Para más información, consulte la información general sobre los analizadores de ASIM.

Adición de sus propios analizadores normalizados

Al implementar analizadores para eventos de procesos personalizados, asigne un nombre a las funciones de KQL con la sintaxis siguiente: imProcessCreate<vendor><Product> y imProcessTerminate<vendor><Product>. Reemplace im por ASim para la versión sin parámetros.

Agregue la función KQL a los analizadores de unificación, tal y como se describe en Administración de analizadores de ASIM.

Filtrado de parámetros del analizador

Los analizadores im y vim* admiten parámetros de filtrado. Aunque estos analizadores son opcionales, pueden mejorar el rendimiento de las consultas.

Están disponibles los siguientes parámetros de filtrado:

Nombre Escribir Descripción
starttime datetime Filtre solo los eventos de proceso que ocurrieron a esta hora o después.
endtime datetime Filtre solo las consultas de los eventos de proceso que ocurrieron a esta hora o antes.
commandline_has_any dinámico Filtre solo los eventos de proceso para los que la línea de comandos que se ejecutó tiene cualquiera de los valores enumerados. La longitud de la lista se limita a 10 000 elementos.
commandline_has_all dinámico Filtre solo los eventos de proceso para los que la línea de comandos que se ejecutó tiene todoslos valores enumerados. La longitud de la lista se limita a 10 000 elementos.
commandline_has_any_ip_prefix dinámico Filtre solo los eventos de proceso para los que la línea de comandos que se ejecutó tiene todas las direcciones IP o prefijos de dirección IP enumerados. Los prefijos deben terminar por ., por ejemplo: 10.0.. La longitud de la lista se limita a 10 000 elementos.
actingprocess_has_any dinámico Filtre solo los eventos de proceso para los que el nombre del proceso que actúa, que incluye toda la ruta de acceso del proceso, tiene cualquiera de los valores enumerados. La longitud de la lista se limita a 10 000 elementos.
targetprocess_has_any dinámico Filtre solo los eventos de proceso para los que el nombre del proceso de destino, que incluye toda la ruta de acceso del proceso, tiene cualquiera de los valores enumerados. La longitud de la lista se limita a 10 000 elementos.
parentprocess_has_any dinámico Filtre solo los eventos de proceso para los que el nombre del proceso de destino, que incluye toda la ruta de acceso del proceso, tiene cualquiera de los valores enumerados. La longitud de la lista se limita a 10 000 elementos.
targetusername_has or actorusername_has string Filtre solo los eventos de proceso para los que el nombre de usuario de destino (para eventos de creación de procesos) o el nombre de usuario del actor (para eventos de finalización del proceso) tenga cualquiera de los valores enumerados. La longitud de la lista se limita a 10 000 elementos.
dvcipaddr_has_any_prefix dinámico Filtre solo los eventos de proceso para los que la dirección IP del dispositivo coincide con cualquiera de las direcciones IP o prefijos de dirección IP enumerados. Los prefijos deben terminar por ., por ejemplo: 10.0.. La longitud de la lista se limita a 10 000 elementos.
dvchostname_has_any dinámico Filtre solo los eventos de proceso para los que el nombre de host del dispositivo (o el FQDN disponible) tiene cualquiera de los valores enumerados. La longitud de la lista se limita a 10 000 elementos.
eventtype string Filtre solo los eventos de proceso del tipo especificado.

Por ejemplo, para filtrar solo los eventos de autenticación del último día para un usuario específico, use:

imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())

Sugerencia

Para pasar una lista literal a parámetros que esperan un valor dinámico, use explícitamente un literal dinámico. Por ejemplo: dynamic(['192.168.','10.']).

Contenido normalizado

Para obtener una lista completa de las reglas de análisis que usan eventos de proceso normalizados, vea Contenido de seguridad del evento de proceso.

Detalles del esquema

El modelo de información de eventos de proceso está alineado con el esquema de entidades de proceso de OSSEM.

Campos comunes de ASIM

Importante

Los campos comunes a todos los esquemas se describen detalladamente en el artículo Campos comunes de ASIM.

Campos comunes con directrices específicas

La lista siguiente solo enumera los campos que tienen directrices específicas para los eventos de DNS:

Campo Clase Tipo Descripción
EventType Mandatory Enumerated Describe la operación notificada por el registro.

Para los registros de proceso, los valores admitidos son:
- ProcessCreated
- ProcessTerminated
EventSchemaVersion Mandatory String Versión del esquema. La versión del esquema que se documenta aquí el la versión 0.1.4.
EventSchema Opcional String El nombre del esquema que se documenta aquí es ProcessEvent.
Campos dvc En los eventos de actividad de proceso, los campos de dispositivo hacen referencia al sistema en el que se ejecutó el proceso.

Importante

El campo EventSchema es actualmente opcional, pero será obligatorio a partir del 1 de septiembre de 2022.

Todos los campos comunes

Los campos que aparecen en la tabla siguiente son comunes a todos los esquemas de ASIM. Cualquier directriz especificada anteriormente invalida las directrices generales para el campo. Por ejemplo, un campo podría ser opcional en general, pero obligatorio para un esquema específico. Para obtener más información sobre cada campo, consulte el siguiente artículo sobre los campos comunes de ASIM.

Clase Fields
Mandatory - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Recomendado - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Opcionales - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

Campos específicos de eventos de proceso

Los campos enumerados en la tabla siguiente son específicos de los eventos de proceso, pero son similares a los campos de otros esquemas y siguen convenciones de nomenclatura similares.

El esquema de eventos de proceso hace referencia a las entidades siguientes, que son fundamentales para procesar la actividad de creación y terminación:

  • Actor: usuario que inició la creación o terminación del proceso.
  • ActingProcess: proceso que usó el actor para iniciar la creación o terminación del proceso.
  • TargetProcess: el nuevo proceso.
  • TargetUser: usuario cuyas credenciales se usan para crear el nuevo proceso.
  • ParentProcess: el proceso que inició el proceso de actor.

Alias

Campo Clase Tipo Descripción
User Alias Alias para TargetUsername.

Ejemplo: CONTOSO\dadmin
Process Alias Alias para TargetProcessName

Ejemplo: C:\Windows\System32\rundll32.exe
CommandLine Alias Alias para TargetProcessCommandLine
Hash Alias Alias del mejor hash disponible para el proceso de destino.

Campos de actor

Campo Clase Tipo Descripción
ActorUserId Recomendado String Representación única, alfanumérica y legible del actor. Para obtener el formato admitido para los distintos tipos de identificador, consulte Entidad Usuario.

Ejemplo: S-1-12
ActorUserIdType Condicional String Tipo del identificador almacenado en el campo ActorUserId. Para obtener más información y una lista de valores permitidos, consulte UserIdType en el artículo Introducción al esquema.
ActorScope Opcionales String El ámbito, como el inquilino de Microsoft Entra, en el que se definen ActorUserId y ActorUsername. Para obtener más información y una lista de los valores permitidos, consulte UserScope en el artículo Introducción al esquema.
ActorUsername Mandatory String Nombre de usuario del actor, incluida la información de dominio cuando esté disponible. Para obtener el formato admitido para los distintos tipos de identificador, consulte Entidad Usuario. Use este formato simple solo si no hay disponible información de dominio.

Almacene el tipo de nombre de usuario en el campo ActorUsernameType. Si hay disponibles otros formatos de nombre de usuario, almacénelos en los campos ActorUsername<UsernameType>.

Ejemplo: AlbertE
ActorUsernameType Condicional Enumerated Especifica el tipo de nombre de usuario almacenado en el campo ActorUsername. Para obtener más información y una lista de valores permitidos, consulte UsernameType en el artículo Introducción al esquema.

Ejemplo: Windows
ActorSessionId Opcional String Identificador único de la sesión de inicio de sesión de Actor.

Ejemplo: 999

Nota: El tipo se define como cadena para admitir distintos sistemas, pero en Windows este valor debe ser numérico.

Si usa una máquina Windows y ha usado un tipo diferente, asegúrese de convertir los valores. Por ejemplo, si ha utilizado un valor hexadecimal, conviértalo en un valor decimal.
ActorUserType Opcionales UserType Tipo de actor. Para obtener más información y una lista de valores permitidos, consulte UserType en el artículo Introducción al esquema.

Nota: El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. Almacene el valor original en el campo ActorOriginalUserType.
ActorOriginalUserType Opcional String El tipo de usuario de destino original, si lo proporciona el dispositivo de informes.

Campos de procesos de actuación

Campo Clase Tipo Descripción
ActingProcessCommandLine Opcional String Línea de comandos utilizada para ejecutar el proceso de acción.

Ejemplo: "choco.exe" -v
ActingProcessName Opcional string Nombre del proceso de acción. Este nombre se deriva normalmente de la imagen o del archivo ejecutable que se usa para definir el código inicial y los datos asignados al espacio de direcciones virtuales del proceso.

Ejemplo: C:\Windows\explorer.exe
ActingProcessFileCompany Opcional String La empresa que creó el archivo de imagen del proceso de acción.

Ejemplo: Microsoft
ActingProcessFileDescription Opcional String Descripción insertada en la información de la versión del archivo de imagen del proceso de acción.

Ejemplo: Notepad++ : a free (GPL) source code editor
ActingProcessFileProduct Opcional String Nombre del producto de la información de la versión del archivo de imagen del proceso de acción.

Ejemplo: Notepad++
ActingProcessFileVersion Opcional String Versión del producto de la información de la versión del archivo de imagen del proceso de acción.

Ejemplo: 7.9.5.0
ActingProcessFileInternalName Opcional String Nombre de archivo interno del producto de la información de la versión del archivo de imagen del proceso de acción.
ActingProcessFileOriginalName Opcional String Nombre de archivo original del producto de la información de la versión del archivo de imagen del proceso de acción.

Ejemplo: Notepad++.exe
ActingProcessIsHidden Opcional Boolean Indicación de si el proceso de acción está en modo oculto.
ActingProcessInjectedAddress Opcional String Dirección de memoria en la que se almacena el proceso de acción responsable.
ActingProcessId Mandatory String Identificador de proceso (PID) del proceso de acción.

Ejemplo: 48610176

Nota: El tipo se define como cadena para admitir distintos sistemas, pero en Windows y Linux este valor debe ser numérico.

Si usa una máquina Windows o Linux y usa un tipo diferente, asegúrese de convertir los valores. Por ejemplo, si ha utilizado un valor hexadecimal, conviértalo en un valor decimal.
ActingProcessGuid Opcional string Identificador único (GUID) generado del proceso de acción. Permite identificar el proceso entre sistemas.

Ejemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00
ActingProcessIntegrityLevel Opcional String Cada proceso tiene un nivel de integridad que se representa en su token. Los niveles de integridad determinan el nivel de protección o acceso del proceso.

Windows define los siguientes niveles de integridad: bajo, medio, alto y sistema. Los usuarios estándar reciben un nivel de integridad medio y los usuarios con privilegios elevados reciben un nivel de integridad alto.

Para más información, consulte Control de integridad obligatorio: aplicaciones Win32.
ActingProcessMD5 Opcional String Hash MD5 del archivo de imagen del proceso de acción.

Ejemplo: 75a599802f1fa166cdadb360960b1dd0
ActingProcessSHA1 Opcional SHA1 Hash SHA-1 del archivo de imagen del proceso de acción.

Ejemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0
ActingProcessSHA256 Opcionales SHA256 Hash SHA-256 del archivo de imagen del proceso de acción.

Ejemplo:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
ActingProcessSHA512 Opcionales SHA521 Hash SHA-512 del archivo de imagen del proceso de acción.
ActingProcessIMPHASH Opcional String Hash de importación de todos los archivos DLL de biblioteca utilizados por el proceso de acción.
ActingProcessCreationTime Opcional DateTime La fecha y hora en que se inició el proceso de acción.
ActingProcessTokenElevation Opcional String Token que indica la presencia o ausencia de elevación de privilegios de Control de acceso de usuario (UAC) aplicada al proceso de acción.

Ejemplo: None
ActingProcessFileSize Opcional long Tamaño del archivo que ejecutó el proceso de acción.

Campos de procesos principales

Campo Clase Tipo Descripción
ParentProcessName Opcional string Nombre del proceso principal. Este nombre se deriva normalmente de la imagen o del archivo ejecutable que se usa para definir el código inicial y los datos asignados al espacio de direcciones virtuales del proceso.

Ejemplo: C:\Windows\explorer.exe
ParentProcessFileCompany Opcional String Nombre de la empresa que creó el archivo de imagen del proceso principal.

Ejemplo: Microsoft
ParentProcessFileDescription Opcional String Descripción de la información de la versión del archivo de imagen del proceso principal.

Ejemplo: Notepad++ : a free (GPL) source code editor
ParentProcessFileProduct Opcional String Nombre del producto de la información de la versión del archivo de imagen del proceso principal.

Ejemplo: Notepad++
ParentProcessFileVersion Opcional String Versión del producto de la información de la versión del archivo de imagen del proceso principal.

Ejemplo: 7.9.5.0
ParentProcessIsHidden Opcionales Boolean Indicación de si el proceso principal está en modo oculto.
ParentProcessInjectedAddress Opcional String Dirección de memoria en la que se almacena el proceso principal responsable.
ParentProcessId Recomendado String Identificador de proceso (PID) del proceso primario.

Ejemplo: 48610176
ParentProcessGuid Opcional String Identificador único (GUID) generado del proceso principal. Permite identificar el proceso entre sistemas.

Ejemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00
ParentProcessIntegrityLevel Opcional String Cada proceso tiene un nivel de integridad que se representa en su token. Los niveles de integridad determinan el nivel de protección o acceso del proceso.

Windows define los siguientes niveles de integridad: bajo, medio, alto y sistema. Los usuarios estándar reciben un nivel de integridad medio y los usuarios con privilegios elevados reciben un nivel de integridad alto.

Para más información, consulte Control de integridad obligatorio: aplicaciones Win32.
ParentProcessMD5 Opcionales MD5 Hash MD5 del archivo de imagen del proceso principal.

Ejemplo: 75a599802f1fa166cdadb360960b1dd0
ParentProcessSHA1 Opcional SHA1 Hash SHA-1 del archivo de imagen del proceso principal.

Ejemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0
ParentProcessSHA256 Opcional SHA256 Hash SHA-256 del archivo de imagen del proceso principal.

Ejemplo:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
ParentProcessSHA512 Opcionales SHA512 Hash SHA-512 del archivo de imagen del proceso principal.
ParentProcessIMPHASH Opcional String Hash de importación de todos los archivos DLL de biblioteca utilizados por el proceso principal.
ParentProcessTokenElevation Opcional String Token que indica la presencia o ausencia de elevación de privilegios de Control de acceso de usuario (UAC) aplicada al proceso principal.

Ejemplo: None
ParentProcessCreationTime Opcional DateTime La fecha y hora en que se inició el proceso principal.

Campos de usuario de destino

Campo Clase Tipo Descripción
TargetUsername Obligatorio para los eventos de creación de procesos. String Nombre de usuario de destino, incluida la información de dominio cuando esté disponible. Para obtener el formato admitido para los distintos tipos de identificador, consulte Entidad Usuario. Use este formato simple solo si no hay disponible información de dominio.

Almacene el tipo de nombre de usuario en el campo TargetUsernameType. Si hay disponibles otros formatos de nombre de usuario, almacénelos en los campos TargetUsername<UsernameType>.

Ejemplo: AlbertE
TargetUsernameType Condicional Enumerated Especifica el tipo de nombre de usuario almacenado en el campo TargetUsername. Para obtener más información y una lista de valores permitidos, consulte UsernameType en el artículo Introducción al esquema.

Ejemplo: Windows
TargetUserId Recomendado String Representación única, alfanumérica y legible del usuario de destino. Para obtener el formato admitido para los distintos tipos de identificador, consulte Entidad Usuario.

Ejemplo: S-1-12
TargetUserIdType Condicional String Tipo de identificador almacenado en el campo TargetUserId. Para obtener más información y una lista de valores permitidos, consulte UserIdType en el artículo Introducción al esquema.
TargetUserSessionId Opcional String Identificador único de la sesión de inicio de sesión del usuario de destino.

Ejemplo: 999

Nota: El tipo se define como cadena para admitir distintos sistemas, pero en Windows este valor debe ser numérico.

Si usa una máquina Windows o Linux y ha usado un tipo diferente, asegúrese de convertir los valores. Por ejemplo, si ha utilizado un valor hexadecimal, conviértalo en un valor decimal.
TargetUserType Opcional UserType Tipo de actor. Para obtener más información y una lista de valores permitidos, consulte UserType en el artículo Introducción al esquema.

Nota: El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. Almacene el valor original en el campo TargetOriginalUserType.
TargetOriginalUserType Opcionales String El tipo de usuario de destino original, si lo proporciona el dispositivo de informes.

Campos de procesos de destino

Campo Clase Tipo Descripción
TargetProcessName Mandatory string Nombre del proceso de destino. Este nombre se deriva normalmente de la imagen o del archivo ejecutable que se usa para definir el código inicial y los datos asignados al espacio de direcciones virtuales del proceso.

Ejemplo: C:\Windows\explorer.exe
TargetProcessFileCompany Opcional String Nombre de la empresa que creó el archivo de imagen del proceso de destino.

Ejemplo: Microsoft
TargetProcessFileDescription Opcional String Descripción de la información de la versión del archivo de imagen del proceso de destino.

Ejemplo: Notepad++ : a free (GPL) source code editor
TargetProcessFileProduct Opcional String Nombre del producto de la información de la versión del archivo de imagen del proceso de destino.

Ejemplo: Notepad++
TargetProcessFileSize Opcional String Tamaño del archivo que ejecutó el proceso responsable del evento.
TargetProcessFileVersion Opcional String Versión del producto de la información de la versión del archivo de imagen del proceso de destino.

Ejemplo: 7.9.5.0
TargetProcessFileInternalName Opcional String Nombre de archivo interno del producto de la información de la versión del archivo de imagen del proceso de destino.
TargetProcessFileOriginalName Opcional String Nombre de archivo original del producto de la información de la versión del archivo de imagen del proceso de destino.
TargetProcessIsHidden Opcional Boolean Indicación de si el proceso de destino está en modo oculto.
TargetProcessInjectedAddress Opcional String Dirección de memoria en la que se almacena el proceso de destino responsable.
TargetProcessMD5 Opcionales MD5 Hash MD5 del archivo de imagen del proceso de destino.

Ejemplo: 75a599802f1fa166cdadb360960b1dd0
TargetProcessSHA1 Opcional SHA1 Hash SHA-1 del archivo de imagen del proceso de destino.

Ejemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0
TargetProcessSHA256 Opcionales SHA256 Hash SHA-256 del archivo de imagen del proceso de destino.

Ejemplo:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
TargetProcessSHA512 Opcionales SHA512 Hash SHA-512 del archivo de imagen del proceso de destino.
TargetProcessIMPHASH Opcional String Hash de importación de todos los archivos DLL de biblioteca utilizados por el proceso de destino.
HashType Recomendado String El tipo de hash almacenado en el campo de alias HASH, los valores permitidos son MD5, SHA, SHA256SHA512 y IMPHASH.
TargetProcessCommandLine Mandatory String Línea de comandos utilizada para ejecutar el proceso de destino.

Ejemplo: "choco.exe" -v
TargetProcessCurrentDirectory Opcionales String Directorio actual en el que se ejecuta el proceso de destino.

Ejemplo: c:\windows\system32
TargetProcessCreationTime Recomendado DateTime Versión del producto de la información de la versión del archivo de imagen del proceso de destino.
TargetProcessId Mandatory String Identificador de proceso (PID) del proceso de destino.

Ejemplo: 48610176

Nota: El tipo se define como cadena para admitir distintos sistemas, pero en Windows y Linux este valor debe ser numérico.

Si usa una máquina Windows o Linux y usa un tipo diferente, asegúrese de convertir los valores. Por ejemplo, si ha utilizado un valor hexadecimal, conviértalo en un valor decimal.
TargetProcessGuid Opcional String Identificador único (GUID) generado del proceso de destino. Permite identificar el proceso entre sistemas.

Ejemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00
TargetProcessIntegrityLevel Opcional String Cada proceso tiene un nivel de integridad que se representa en su token. Los niveles de integridad determinan el nivel de protección o acceso del proceso.

Windows define los siguientes niveles de integridad: bajo, medio, alto y sistema. Los usuarios estándar reciben un nivel de integridad medio y los usuarios con privilegios elevados reciben un nivel de integridad alto.

Para más información, consulte Control de integridad obligatorio: aplicaciones Win32.
TargetProcessTokenElevation Opcional String Tipo de token que indica la presencia o ausencia de elevación de privilegios de Control de acceso de usuario (UAC) aplicada al proceso que se creó o terminó.

Ejemplo: None
TargetProcessStatusCode Opcional String El código de salida devuelto por el proceso de destino cuando finaliza. Este campo solo es válido para los eventos de terminación del proceso. Para la coherencia, el tipo de campo es una cadena, incluso si el valor proporcionado por el sistema operativo es numérico.

Actualizaciones del esquema

Estos son los cambios en la versión 0.1.1 del esquema:

  • Se ha agregado el campo EventSchema.

Estos son los cambios en la versión 0.1.2 del esquema

  • Se han agregado los campos ActorUserType, ActorOriginalUserType, TargetUserType, TargetOriginalUserType y HashType.

Estos son los cambios en la versión 0.1.3 del esquema

  • Se cambiaron los campos ParentProcessId y TargetProcessCreationTime de obligatorio a recomendado.

Estos son los cambios en la versión 0.1.4 del esquema

  • Se han agregado los campos ActorScope, DvcScopeId y DvcScope.

Pasos siguientes

Para más información, consulte: