Riferimento allo schema di normalizzazione degli eventi del processo advanced security information model (ASIM) (anteprima pubblica)
Lo schema di normalizzazione dell'evento di processo viene usato per descrivere l'attività del sistema operativo di esecuzione e terminazione di un processo. Tali eventi vengono segnalati dai sistemi operativi e dai sistemi di sicurezza, ad esempio sistemi EDR (End Point Detection and Response).
Un processo, come definito da OSSEM, è un oggetto di contenimento e gestione che rappresenta un'istanza in esecuzione di un programma. Anche se i processi stessi non vengono eseguiti, gestiscono i thread che eseguono ed eseguono codice.
Per altre informazioni sulla normalizzazione in Microsoft Sentinel, vedere Normalizzazione e Advanced Security Information Model (ASIM).
Importante
Lo schema di normalizzazione dell'evento di processo è attualmente disponibile in ANTEPRIMA. Questa funzionalità viene fornita senza un contratto di servizio e non è consigliata per i carichi di lavoro di produzione.
Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Parser
Per usare i parser unificanti che unificano tutti i parser elencati e assicurarsi di analizzare tutte le origini configurate, usare i nomi di tabella seguenti nelle query:
- imProcessCreate per le query che richiedono informazioni sulla creazione del processo. Queste query sono il caso più comune.
- imProcessTerminate per le query che richiedono informazioni sulla terminazione del processo.
Per l'elenco dei parser di eventi di elaborazione forniti da Microsoft Sentinel, vedere l'elenco dei parser ASIM.
Distribuire i parser di autenticazione dal repository GitHub di Microsoft Sentinel.
Per altre informazioni, vedere Panoramica dei parser ASIM.
Aggiungere parser normalizzati personalizzati
Quando si implementano parser di eventi di processo personalizzati, denominare le funzioni KQL usando la sintassi seguente: imProcessCreate<vendor><Product> e imProcessTerminate<vendor><Product>. Sostituire im con ASim per la versione senza parametro.
Aggiungere la funzione KQL ai parser unificanti come descritto in Gestione dei parser ASIM.
Filtro dei parametri del parser
I im parser e vim* supportano i parametri di filtro. Anche se questi parser sono facoltativi, possono migliorare le prestazioni delle query.
Sono disponibili i parametri di filtro seguenti:
| Nome | Tipo | Descrizione |
|---|---|---|
| starttime | datetime | Filtrare solo gli eventi di processo che si sono verificati in o dopo questa volta. |
| endtime | datetime | Filtrare solo le query sugli eventi di elaborazione che si sono verificati in o prima di questa volta. |
| commandline_has_any | dynamic | Filtrare solo gli eventi di processo per i quali la riga di comando eseguita ha uno dei valori elencati. La lunghezza dell'elenco è limitata a 10.000 elementi. |
| commandline_has_all | dynamic | Filtrare solo gli eventi di processo per i quali la riga di comando eseguita ha tutti i valori elencati. La lunghezza dell'elenco è limitata a 10.000 elementi. |
| commandline_has_any_ip_prefix | dynamic | Filtrare solo gli eventi di processo per i quali la riga di comando eseguita ha tutti gli indirizzi IP elencati o i prefissi degli indirizzi IP. I prefissi devono terminare con un .oggetto , ad esempio : 10.0.. La lunghezza dell'elenco è limitata a 10.000 elementi. |
| actingprocess_has_any | dynamic | Filtrare solo gli eventi di processo per i quali il nome del processo che agisce, che include l'intero percorso del processo, ha uno dei valori elencati. La lunghezza dell'elenco è limitata a 10.000 elementi. |
| targetprocess_has_any | dynamic | Filtrare solo gli eventi di processo per i quali il nome del processo di destinazione, che include l'intero percorso del processo, ha uno dei valori elencati. La lunghezza dell'elenco è limitata a 10.000 elementi. |
| parentprocess_has_any | dynamic | Filtrare solo gli eventi di processo per i quali il nome del processo di destinazione, che include l'intero percorso del processo, ha uno dei valori elencati. La lunghezza dell'elenco è limitata a 10.000 elementi. |
| targetusername_has o actorusername_has | string | Filtrare solo gli eventi di processo per i quali il nome utente di destinazione (per gli eventi di creazione processo) o il nome utente dell'attore (per gli eventi di terminazione del processo) ha uno dei valori elencati. La lunghezza dell'elenco è limitata a 10.000 elementi. |
| dvcipaddr_has_any_prefix | dynamic | Filtrare solo gli eventi di processo per i quali l'indirizzo IP del dispositivo corrisponde a uno qualsiasi dei prefissi di indirizzi IP o indirizzi IP elencati. I prefissi devono terminare con un .oggetto , ad esempio : 10.0.. La lunghezza dell'elenco è limitata a 10.000 elementi. |
| dvchostname_has_any | dynamic | Filtrare solo gli eventi di elaborazione per i quali il nome host del dispositivo o il nome di dominio completo del dispositivo è disponibile, ha uno dei valori elencati. La lunghezza dell'elenco è limitata a 10.000 elementi. |
| eventtype | string | Filtra solo gli eventi di processo del tipo specificato. |
ad esempio, per filtrare solo gli eventi di autenticazione dall'ultimo giorno a un utente specifico, usare:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Suggerimento
Per passare un elenco di valori letterali ai parametri che prevedono un valore dinamico, usare in modo esplicito un valore letterale dinamico. Ad esempio: dynamic(['192.168.','10.']).
Contenuto normalizzato
Per un elenco completo delle regole di analisi che usano eventi di processo normalizzati, vedere Elaborare il contenuto di sicurezza degli eventi.
Dettagli dello schema
Il modello di informazioni sull'evento di elaborazione è allineato allo schema dell'entità processo OSSEM.
Campi comuni di ASIM
Importante
I campi comuni a tutti gli schemi sono descritti in dettaglio nell'articolo Campi comuni ASIM.
Campi comuni con linee guida specifiche
L'elenco seguente elenca i campi con linee guida specifiche per gli eventi di attività di processo:
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| EventType | Obbligatorio | Enumerated | Descrive l'operazione segnalata dal record. Per i record process, i valori supportati includono: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Obbligatorio | String | La versione dello schema. La versione dello schema documentata qui è 0.1.4 |
| EventSchema | Facoltativo | String | Il nome dello schema documentato qui è ProcessEvent. |
| Campi Dvc | Per gli eventi di attività del processo, i campi del dispositivo fanno riferimento al sistema in cui è stato eseguito il processo. |
Importante
Il EventSchema campo è attualmente facoltativo, ma diventerà obbligatorio il 1° settembre 2022.
Tutti i campi comuni
I campi visualizzati nella tabella seguente sono comuni a tutti gli schemi ASIM. Tutte le linee guida specificate in precedenza sostituiscono le linee guida generali per il campo. Ad esempio, un campo potrebbe essere facoltativo in generale, ma obbligatorio per uno schema specifico. Per altri dettagli su ogni campo, vedere l'articolo Campi comuni di ASIM.
| Classe | Campi |
|---|---|
| Obbligatorio | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Consigliato | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Facoltativo | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campi aggiuntivi - DvcDescription - DvcScopeId - DvcScope |
Elaborare campi specifici dell'evento
I campi elencati nella tabella seguente sono specifici degli eventi di elaborazione, ma sono simili ai campi in altri schemi e seguono convenzioni di denominazione simili.
Lo schema di eventi del processo fa riferimento alle entità seguenti, che sono fondamentali per elaborare l'attività di creazione e terminazione:
- Actor : utente che ha avviato la creazione o la terminazione del processo.
- ActingProcess : processo usato dall'attore per avviare la creazione o la terminazione del processo.
- TargetProcess : nuovo processo.
- TargetUser : utente le cui credenziali vengono usate per creare il nuovo processo.
- ParentProcess : processo che ha avviato il processo actor.
Alias
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Utente | Alias | Alias per TargetUsername. Esempio: CONTOSO\dadmin |
|
| Processo | Alias | Alias per TargetProcessName Esempio: C:\Windows\System32\rundll32.exe |
|
| CommandLine | Alias | Alias per TargetProcessCommandLine | |
| Hash | Alias | Alias per il miglior hash disponibile per il processo di destinazione. |
Campi attore
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| ActorUserId | Consigliato | String | Rappresentazione univoca, alfanumerica e leggibile del computer dell'attore. Per il formato supportato per tipi ID diversi, vedere l'entità User. Esempio: S-1-12 |
| ActorUserIdType | Condizionale | String | Tipo dell'ID archiviato nel campo ActorUserId . Per un elenco di valori consentiti e altre informazioni, vedere UserIdType nell'articolo Panoramica dello schema. |
| ActorScope | Facoltativo | String | Ambito, ad esempio il tenant di Microsoft Entra, in cui vengono definiti ActorUserId e ActorUsername . o più informazioni ed elenco dei valori consentiti, vedere UserScope nell'articolo Panoramica dello schema. |
| ActorUsername | Obbligatorio | String | Nome utente attore, incluse le informazioni sul dominio, se disponibili. Per il formato supportato per tipi ID diversi, vedere l'entità User. Usare il modulo semplice solo se le informazioni sul dominio non sono disponibili. Archiviare il tipo Nome utente nel campo ActorUsernameType . Se sono disponibili altri formati di nome utente, archiviarli nei campi ActorUsername<UsernameType>.Esempio: AlbertE |
| ActorUsernameType | Condizionale | Enumerated | Specifica il tipo di nome utente archiviato nel campo ActorUsername . Per un elenco dei valori consentiti e altre informazioni, vedere UsernameType nell'articolo Panoramica dello schema. Esempio: Windows |
| ActorSessionId | Facoltativo | String | ID univoco della sessione di accesso dell'attore. Esempio: 999Nota: il tipo è definito come stringa per supportare sistemi diversi, ma in Windows questo valore deve essere numerico. Se si usa un computer Windows e si usa un tipo diverso, assicurarsi di convertire i valori. Ad esempio, se è stato usato un valore esadecimale, convertirlo in un valore decimale. |
| ActorUserType | Facoltativo | UserType | Tipo di Actor. Per un elenco di valori consentiti e altre informazioni, vedere UserType nell'articolo Panoramica dello schema. Nota: è possibile specificare il valore nel record di origine usando termini diversi, che devono essere normalizzati in questi valori. Archiviare il valore originale nel campo ActorOriginalUserType . |
| ActorOriginalUserType | Facoltativo | String | Il tipo di utente di destinazione originale, se fornito dal dispositivo di report. |
Campi del processo di recitazione
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| ActingProcessCommandLine | Facoltativo | String | Riga di comando usata per eseguire il processo di azione. Esempio: "choco.exe" -v |
| ActingProcessName | Facoltativo | string | Nome del processo di azione. Questo nome è in genere derivato dal file di immagine o eseguibile usato per definire il codice iniziale e i dati mappati nello spazio indirizzi virtuale del processo. Esempio: C:\Windows\explorer.exe |
| ActingProcessFileCompany | Facoltativo | String | Società che ha creato il file di immagine del processo di azione. Esempio: Microsoft |
| ActingProcessFileDescription | Facoltativo | String | Descrizione incorporata nelle informazioni sulla versione del file di immagine del processo di azione. Esempio: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Facoltativo | String | Nome del prodotto dalle informazioni sulla versione nel file di immagine del processo di azione. Esempio: Notepad++ |
| ActingProcessFileVersion | Facoltativo | String | Versione del prodotto dalle informazioni sulla versione del file di immagine del processo di azione. Esempio: 7.9.5.0 |
| ActingProcessFileInternalName | Facoltativo | String | Nome del file interno del prodotto dalle informazioni sulla versione del file di immagine del processo di azione. |
| ActingProcessFileOriginalName | Facoltativo | String | Nome del file originale del prodotto dalle informazioni sulla versione del file di immagine del processo di azione. Esempio: Notepad++.exe |
| ActingProcessIsHidden | Facoltativo | Booleano | Indica se il processo di azione è in modalità nascosta. |
| ActingProcessInjectedAddress | Facoltativo | String | Indirizzo di memoria in cui è archiviato il processo di azione responsabile. |
| ActingProcessId | Obbligatorio | String | ID processo (PID) del processo di azione. Esempio: 48610176 Nota: il tipo è definito come stringa per supportare sistemi diversi, ma in Windows e Linux questo valore deve essere numerico. Se si usa un computer Windows o Linux e si usa un tipo diverso, assicurarsi di convertire i valori. Ad esempio, se è stato usato un valore esadecimale, convertirlo in un valore decimale. |
| ActingProcessGuid | Facoltativo | string | Identificatore univoco generato (GUID) del processo di azione. Consente di identificare il processo in tutti i sistemi. Esempio: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Facoltativo | String | Ogni processo ha un livello di integrità rappresentato nel token. I livelli di integrità determinano il livello di protezione o accesso del processo. Windows definisce i livelli di integrità seguenti: basso, medio, alto e sistema. Gli utenti standard ricevono un livello di integrità medio e gli utenti con privilegi elevati ricevono un livello di integrità elevato . Per altre informazioni, vedere Controllo di integrità obbligatorio - App Win32. |
| ActingProcessMD5 | Facoltativo | String | Hash MD5 del file di immagine del processo di azione. Esempio: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Facoltativo | SHA1 | Hash SHA-1 del file di immagine del processo che agisce. Esempio: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Facoltativo | SHA256 | Hash SHA-256 del file di immagine del processo di azione. Esempio: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Facoltativo | SHA521 | Hash SHA-512 del file di immagine del processo che agisce. |
| ActingProcessIMPHASH | Facoltativo | String | Hash di importazione di tutte le DLL della libreria usate dal processo di azione. |
| ActingProcessCreationTime | Facoltativo | Data/Ora | Data e ora di inizio del processo di recitazione. |
| ActingProcessTokenElevation | Facoltativo | String | Token che indica la presenza o l'assenza dell'elevazione dei privilegi user Controllo di accesso (UAC) applicata al processo di azione. Esempio: None |
| ActingProcessFileSize | Facoltativo | Lungo | Dimensioni del file che ha eseguito il processo di azione. |
Campi del processo padre
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| ParentProcessName | Facoltativo | string | Nome del processo padre. Questo nome è in genere derivato dal file di immagine o eseguibile usato per definire il codice iniziale e i dati mappati nello spazio indirizzi virtuale del processo. Esempio: C:\Windows\explorer.exe |
| ParentProcessFileCompany | Facoltativo | String | Nome della società che ha creato il file di immagine del processo padre. Esempio: Microsoft |
| ParentProcessFileDescription | Facoltativo | String | Descrizione delle informazioni sulla versione nel file di immagine del processo padre. Esempio: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Facoltativo | String | Nome del prodotto dalle informazioni sulla versione nel file di immagine del processo padre. Esempio: Notepad++ |
| ParentProcessFileVersion | Facoltativo | String | Versione del prodotto dalle informazioni sulla versione nel file di immagine del processo padre. Esempio: 7.9.5.0 |
| ParentProcessIsHidden | Facoltativo | Booleano | Indicazione se il processo padre è in modalità nascosta. |
| ParentProcessInjectedAddress | Facoltativo | String | Indirizzo di memoria in cui è archiviato il processo padre responsabile. |
| ParentProcessId | Consigliato | String | ID processo (PID) del processo padre. Esempio: 48610176 |
| ParentProcessGuid | Facoltativo | String | Identificatore univoco generato (GUID) del processo padre. Consente di identificare il processo in tutti i sistemi. Esempio: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Facoltativo | String | Ogni processo ha un livello di integrità rappresentato nel token. I livelli di integrità determinano il livello di protezione o accesso del processo. Windows definisce i livelli di integrità seguenti: basso, medio, alto e sistema. Gli utenti standard ricevono un livello di integrità medio e gli utenti con privilegi elevati ricevono un livello di integrità elevato . Per altre informazioni, vedere Controllo di integrità obbligatorio - App Win32. |
| ParentProcessMD5 | Facoltativo | MD5 | Hash MD5 del file di immagine del processo padre. Esempio: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Facoltativo | SHA1 | Hash SHA-1 del file di immagine del processo padre. Esempio: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Facoltativo | SHA256 | Hash SHA-256 del file di immagine del processo padre. Esempio: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Facoltativo | SHA512 | Hash SHA-512 del file di immagine del processo padre. |
| ParentProcessIMPHASH | Facoltativo | String | Importazione hash di tutte le DLL della libreria usate dal processo padre. |
| ParentProcessTokenElevation | Facoltativo | String | Token che indica la presenza o l'assenza dell'elevazione dei privilegi user Controllo di accesso (UAC) applicata al processo padre. Esempio: None |
| ParentProcessCreationTime | Facoltativo | Data/Ora | Data e ora di avvio del processo padre. |
Campi utente di destinazione
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| TargetUsername | Obbligatorio per la creazione di eventi di processo. | String | Nome utente di destinazione, incluse le informazioni sul dominio, se disponibili. Per il formato supportato per tipi ID diversi, vedere l'entità User. Usare il modulo semplice solo se le informazioni sul dominio non sono disponibili. Archiviare il tipo Nome utente nel campo TargetUsernameType . Se sono disponibili altri formati di nome utente, archiviarli nei campi TargetUsername<UsernameType>.Esempio: AlbertE |
| TargetUsernameType | Condizionale | Enumerated | Specifica il tipo di nome utente archiviato nel campo TargetUsername . Per un elenco dei valori consentiti e altre informazioni, vedere UsernameType nell'articolo Panoramica dello schema. Esempio: Windows |
| TargetUserId | Consigliato | String | Rappresentazione univoca dell'utente di destinazione leggibile, alfanumerica e leggibile dal computer. Per il formato supportato per tipi ID diversi, vedere l'entità User. Esempio: S-1-12 |
| TargetUserIdType | Condizionale | String | Tipo dell'ID archiviato nel campo TargetUserId . Per un elenco di valori consentiti e altre informazioni, vedere UserIdType nell'articolo Panoramica dello schema. |
| TargetUserSessionId | Facoltativo | String | ID univoco della sessione di accesso dell'utente di destinazione. Esempio: 999 Nota: il tipo è definito come stringa per supportare sistemi diversi, ma in Windows questo valore deve essere numerico. Se si usa un computer Windows o Linux e si usa un tipo diverso, assicurarsi di convertire i valori. Ad esempio, se è stato usato un valore esadecimale, convertirlo in un valore decimale. |
| TargetUserType | Facoltativo | UserType | Tipo di Actor. Per un elenco di valori consentiti e altre informazioni, vedere UserType nell'articolo Panoramica dello schema. Nota: è possibile specificare il valore nel record di origine usando termini diversi, che devono essere normalizzati in questi valori. Archiviare il valore originale nel campo TargetOriginalUserType . |
| TargetOriginalUserType | Facoltativo | String | Il tipo di utente di destinazione originale, se fornito dal dispositivo di report. |
Campi del processo di destinazione
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| TargetProcessName | Obbligatorio | string | Nome del processo di destinazione. Questo nome è in genere derivato dal file di immagine o eseguibile usato per definire il codice iniziale e i dati mappati nello spazio indirizzi virtuale del processo. Esempio: C:\Windows\explorer.exe |
| TargetProcessFileCompany | Facoltativo | String | Nome della società che ha creato il file di immagine del processo di destinazione. Esempio: Microsoft |
| TargetProcessFileDescription | Facoltativo | String | Descrizione delle informazioni sulla versione nel file di immagine del processo di destinazione. Esempio: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Facoltativo | String | Nome del prodotto dalle informazioni sulla versione nel file di immagine del processo di destinazione. Esempio: Notepad++ |
| TargetProcessFileSize | Facoltativo | String | Dimensioni del file che ha eseguito il processo responsabile dell'evento. |
| TargetProcessFileVersion | Facoltativo | String | Versione del prodotto dalle informazioni sulla versione nel file di immagine del processo di destinazione. Esempio: 7.9.5.0 |
| TargetProcessFileInternalName | Facoltativo | String | Nome file interno del prodotto dalle informazioni sulla versione del file di immagine del processo di destinazione. |
| TargetProcessFileOriginalName | Facoltativo | String | Nome del file originale del prodotto dalle informazioni sulla versione del file di immagine del processo di destinazione. |
| TargetProcessIsHidden | Facoltativo | Booleano | Indicazione se il processo di destinazione è in modalità nascosta. |
| TargetProcessInjectedAddress | Facoltativo | String | Indirizzo di memoria in cui è archiviato il processo di destinazione responsabile. |
| TargetProcessMD5 | Facoltativo | MD5 | Hash MD5 del file di immagine del processo di destinazione. Esempio: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Facoltativo | SHA1 | Hash SHA-1 del file di immagine del processo di destinazione. Esempio: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Facoltativo | SHA256 | Hash SHA-256 del file di immagine del processo di destinazione. Esempio: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Facoltativo | SHA512 | Hash SHA-512 del file di immagine del processo di destinazione. |
| TargetProcessIMPHASH | Facoltativo | String | Importazione hash di tutte le DLL della libreria usate dal processo di destinazione. |
| HashType | Consigliato | String | Il tipo di hash archiviato nel campo alias HASH, i valori consentiti sono MD5, SHA, SHA256SHA512 e IMPHASH. |
| TargetProcessCommandLine | Obbligatorio | String | Riga di comando usata per eseguire il processo di destinazione. Esempio: "choco.exe" -v |
| TargetProcessCurrentDirectory | Facoltativo | String | Directory corrente in cui viene eseguito il processo di destinazione. Esempio: c:\windows\system32 |
| TargetProcessCreationTime | Consigliato | Data/Ora | Versione del prodotto dalle informazioni sulla versione del file di immagine del processo di destinazione. |
| TargetProcessId | Obbligatorio | String | ID processo (PID) del processo di destinazione. Esempio: 48610176Nota: il tipo è definito come stringa per supportare sistemi diversi, ma in Windows e Linux questo valore deve essere numerico. Se si usa un computer Windows o Linux e si usa un tipo diverso, assicurarsi di convertire i valori. Ad esempio, se è stato usato un valore esadecimale, convertirlo in un valore decimale. |
| TargetProcessGuid | Facoltativo | String | Identificatore univoco generato (GUID) del processo di destinazione. Consente di identificare il processo in tutti i sistemi. Esempio: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Facoltativo | String | Ogni processo ha un livello di integrità rappresentato nel token. I livelli di integrità determinano il livello di protezione o accesso del processo. Windows definisce i livelli di integrità seguenti: basso, medio, alto e sistema. Gli utenti standard ricevono un livello di integrità medio e gli utenti con privilegi elevati ricevono un livello di integrità elevato . Per altre informazioni, vedere Controllo di integrità obbligatorio - App Win32. |
| TargetProcessTokenElevation | Facoltativo | String | Tipo di token che indica la presenza o l'assenza dell'elevazione dei privilegi user Controllo di accesso (UAC) applicata al processo creato o terminato. Esempio: None |
| TargetProcessStatusCode | Facoltativo | String | Codice di uscita restituito dal processo di destinazione al termine. Questo campo è valido solo per gli eventi di terminazione del processo. Per coerenza, il tipo di campo è stringa, anche se il valore fornito dal sistema operativo è numerico. |
Aggiornamenti dello schema
Queste sono le modifiche apportate alla versione 0.1.1 dello schema:
- Aggiunto il campo
EventSchema.
Queste sono le modifiche apportate alla versione 0.1.2 dello schema
- Sono stati aggiunti i campi
ActorUserType,ActorOriginalUserTypeTargetUserType,TargetOriginalUserType, eHashType.
Queste sono le modifiche apportate alla versione 0.1.3 dello schema
- Sono stati modificati i campi
ParentProcessIdeTargetProcessCreationTimeda obbligatorio a consigliato.
Queste sono le modifiche apportate alla versione 0.1.4 dello schema
- Sono stati aggiunti i campi
ActorScope,DvcScopeIdeDvcScope.
Passaggi successivi
Per altre informazioni, vedi: