다음을 통해 공유


ASIM(고급 보안 정보 모델) 프로세스 이벤트 정규화 스키마 참조(공개 미리 보기)

프로세스 이벤트 정규화 스키마는 프로세스를 실행하고 종료하는 운영 체제 작업을 설명하는 데 사용됩니다. 이러한 이벤트는 EDR(엔드포인트 검색 및 응답) 시스템과 같은 운영 체제 및 보안 시스템에서 보고됩니다.

OSSEM에서 정의한 프로세스는 프로그램의 실행 중인 인스턴스를 나타내는 포함 및 관리 개체입니다. 프로세스 자체는 실행되지 않지만 코드를 실행하고 실행하는 스레드를 관리합니다.

Microsoft Sentinel의 정규화에 대한 자세한 내용은 정규화 및 ASIM(고급 보안 정보 모델)을 참조하세요.

Important

프로세스 이벤트 정규화 스키마는 현재 미리 보기로 제공됩니다. 이 기능은 서비스 수준 계약 없이 제공되며 프로덕션 워크로드에는 권장되지 않습니다.

Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

파서

나열된 모든 파서를 통합하는 통합 파서를 사용하고 구성된 모든 원본을 분석하려면 쿼리에 다음 테이블 이름을 사용합니다.

  • 프로세스 생성 정보가 필요한 쿼리의 경우 imProcessCreate. 이러한 쿼리는 가장 일반적인 경우입니다.
  • 프로세스 종료 정보가 필요한 쿼리의 경우 imProcessTerminate 입니다.

Microsoft Sentinel이 즉시 제공하는 프로세스 이벤트 파서 목록은 ASIM 파서 목록을 참조하세요.

Microsoft Sentinel GitHub 리포지토리에서 인증 파서를 배포합니다.

자세한 내용은 ASIM 파서 개요를 참조하세요.

사용자 고유의 정규화된 파서 추가

사용자 지정 프로세스 이벤트 파서를 구현할 때 imProcessCreate<vendor><Product>imProcessTerminate<vendor><Product> 구문을 사용하여 KQL 함수의 이름을 지정합니다. 매개 변수가 없는 버전의 경우 imASim로 바꿉니다.

ASIM 파서 관리에 설명된 대로 통합 파서에 KQL 함수를 추가합니다.

파서 매개 변수 필터링

imvim* 파서는 필터링 매개 변수를 지원합니다. 이러한 파서는 선택 사항이지만 쿼리 성능을 개선시킬 수 있습니다.

다음 필터링 매개 변수를 사용할 수 있습니다.

속성 형식 설명
starttime 날짜/시간 이 시간 이후에 발생한 프로세스 이벤트만 필터링합니다.
endtime 날짜/시간 이 시간 또는 그 이전에 발생한 프로세스 이벤트 쿼리만 필터링합니다.
commandline_has_any dynamic 실행된 명령줄에 나열된 값 중 하나가 있는 프로세스 이벤트만 필터링합니다. 목록의 길이는 10,000개 항목으로 제한됩니다.
commandline_has_all dynamic 실행된 명령줄에 나열된 값이 모두 있는 프로세스 이벤트만 필터링합니다. 목록의 길이는 10,000개 항목으로 제한됩니다.
commandline_has_any_ip_prefix dynamic 실행된 명령줄에 나열된 IP 주소 또는 IP 주소 접두사가 모두 있는 프로세스 이벤트만 필터링합니다. 접두사는 .로 끝나야 합니다(예: 10.0.). 목록의 길이는 10,000개 항목으로 제한됩니다.
actingprocess_has_any dynamic 전체 프로세스 경로를 포함하는 작업 프로세스 이름에 나열된 값 중 하나가 있는 프로세스 이벤트만 필터링합니다. 목록의 길이는 10,000개 항목으로 제한됩니다.
targetprocess_has_any dynamic 전체 프로세스 경로를 포함하는 대상 프로세스 이름에 나열된 값 중 하나가 있는 프로세스 이벤트만 필터링합니다. 목록의 길이는 10,000개 항목으로 제한됩니다.
parentprocess_has_any dynamic 전체 프로세스 경로를 포함하는 대상 프로세스 이름에 나열된 값 중 하나가 있는 프로세스 이벤트만 필터링합니다. 목록의 길이는 10,000개 항목으로 제한됩니다.
targetusername_has 또는 actorusername_has string 대상 사용자 이름(프로세스 만들기 이벤트의 경우) 또는 작업자 사용자 이름(프로세스 종료 이벤트의 경우)에 나열된 값 중 하나가 있는 프로세스 이벤트만 필터링합니다. 목록의 길이는 10,000개 항목으로 제한됩니다.
dvcipaddr_has_any_prefix dynamic 디바이스 IP 주소가 나열된 IP 주소 또는 IP 주소 접두사 중 하나와 일치하는 프로세스 이벤트만 필터링합니다. 접두사는 .로 끝나야 합니다(예: 10.0.). 목록의 길이는 10,000개 항목으로 제한됩니다.
dvchostname_has_any dynamic 디바이스 호스트 이름 또는 디바이스 FQDN에 나열된 값 중 하나가 있는 프로세스 이벤트만 필터링합니다. 목록의 길이는 10,000개 항목으로 제한됩니다.
eventtype string 지정된 형식의 프로세스 이벤트만 필터링합니다.

예를 들어 마지막 날부터 특정 사용자에 대한 인증 이벤트만 필터링하려면 다음을 사용합니다.

imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())

동적 값이 필요한 매개 변수에 리터럴 목록을 전달하려면 동적 리터럴을 명시적으로 사용합니다. 예: dynamic(['192.168.','10.'])

정규화된 콘텐츠

정규화된 프로세스 이벤트를 사용하는 분석 규칙의 전체 목록은 프로세스 이벤트 보안 콘텐츠를 참조하세요.

스키마 세부 정보

프로세스 이벤트 정보 모델은 OSSEM 프로세스 엔터티 스키마에 맞춰 조정됩니다.

일반적인 ASIM 필드

Important

모든 스키마에 공통적인 필드는 ASIM 공통 필드 문서에 자세히 설명되어 있습니다.

특정 지침이 있는 공통 필드

다음 목록에는 프로세스 작업 이벤트에 대한 특정 지침이 있는 필드가 나와 있습니다.

필드 클래스 Type 설명
EventType 필수 Enumerated 레코드에서 보고하는 작업을 설명합니다.

프로세스 레코드의 경우 지원되는 값은 다음과 같습니다.
- ProcessCreated
- ProcessTerminated
EventSchemaVersion 필수 문자열 스키마의 버전입니다. 여기에 설명된 스키마의 버전은 0.1.4입니다
EventSchema 선택 사항 문자열 여기에 설명된 스키마의 이름은 ProcessEvent입니다.
Dvc 필드 프로세스 작업 이벤트의 경우 디바이스 필드는 프로세스가 실행된 시스템을 참조하세요.

Important

EventSchema 필드는 현재 선택 사항이지만 2022년 9월 1일부터 필수 사항이 됩니다.

모든 공통 필드

아래 표에 나열된 필드는 모든 ASIM 스키마에 공통적으로 적용됩니다. 위에 지정된 모든 지침은 필드에 대한 일반 지침을 재정의합니다. 예를 들어 필드가 일반적으로 선택 사항이지만 특정 스키마에서는 필수 사항일 수 있습니다. 각 필드에 대한 자세한 내용은 ASIM 공통 필드 문서를 참조하세요.

클래스 필드
필수 - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
권장 - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
선택 사항 - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

프로세스 이벤트 관련 필드

아래 표에 나열된 필드는 프로세스 이벤트와 관련이 있지만 다른 스키마의 필드와 유사하며 유사한 명명 규칙을 따릅니다.

프로세스 이벤트 스키마는 프로세스 만들기 및 종료 작업의 핵심인 다음 엔터티를 참조합니다.

  • 작업자 - 프로세스 만들기 또는 종료를 시작한 사용자입니다.
  • ActingProcess - 작업자가 프로세스 만들기 또는 종료를 시작하는 데 사용하는 프로세스입니다.
  • TargetProcess - 새 프로세스입니다.
  • TargetUser - 자격 증명을 사용하여 새 프로세스를 만드는 사용자입니다.
  • ParentProcess - Actor 프로세스를 시작한 프로세스입니다.

별칭

필드 클래스 Type 설명
사용자 Alias TargetUsername에 대한 별칭입니다.

예: CONTOSO\dadmin
처리 Alias TargetProcessName에 대한 별칭

예: C:\Windows\System32\rundll32.exe
CommandLine Alias TargetProcessCommandLine의 별칭
해시 Alias 대상 프로세스에 대해 사용 가능한 최상의 해시에 대한 별칭입니다.

작업자 필드

필드 클래스 Type 설명
ActorUserId 권장 문자열 컴퓨터에서 읽을 수 있는 영숫자, 행위자의 고유한 표현입니다. 다양한 ID 형식에 지원되는 형식은 사용자 항목을 참조하세요.

예: S-1-12
ActorUserIdType 조건부 문자열 ActorUserId 필드에 저장된 ID의 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서UserIdType을 참조하세요.
ActorScope 선택 사항 문자열 ActorUserId 및 ActorUsername정의된 Microsoft Entra 테넌트와 같은 범위입니다. 또는 허용되는 값에 대한 자세한 내용과 목록은 스키마 개요 문서의 UserScope참조하세요.
ActorUsername 필수 문자열 사용 가능한 경우 도메인 정보를 포함한 작업자의 사용자 이름입니다. 다양한 ID 형식에 지원되는 형식은 사용자 항목을 참조하세요. 도메인 정보를 사용할 수 없는 경우에만 단순 양식을 사용합니다.

ActorUsernameType 필드에 사용자 이름 형식을 저장합니다. 다른 사용자 이름 형식을 사용할 수 있는 경우 ActorUsername<UsernameType> 필드에 저장합니다.

예: AlbertE
ActorUsernameType 조건부 Enumerated ActorUsername 필드에 저장된 사용자 이름의 형식을 지정합니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서UsernameType을 참조하세요.

예: Windows
ActorSessionId 선택 사항 문자열 작업자 로그인 세션의 고유 ID.

예: 999

참고: 유형은 다양한 시스템을 지원하기 위해 문자열로 정의되지만 Windows에서는 이 값이 숫자여야 합니다.

Windows 머신을 사용하고 다른 형식을 사용하는 경우에는 값을 변환해야 합니다. 예를 들어 16진수 값을 사용한 경우 10진수 값으로 변환합니다.
ActorUserType 선택 사항 UserType 행위자의 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서에서 UserType을 참조하세요.

참고: 다른 용어를 사용하여 원본 레코드에 값을 제공할 수 있으며 이러한 값으로 정규화되어야 합니다. ActorOriginalUserType 필드에 원래 값을 저장합니다.
ActorOriginalUserType 선택 사항 문자열 보고 디바이스에서 제공한 경우 원래 대상 사용자 유형입니다.

작업 수행 프로세스 필드

필드 클래스 Type 설명
ActingProcessCommandLine 선택 사항 문자열 동작 프로세스를 실행하는 데 사용되는 명령줄입니다.

예: "choco.exe" -v
ActingProcessName 선택 사항 string 작업 프로세스의 이름입니다. 이 이름은 일반적으로 프로세스의 가상 주소 공간에 매핑되는 초기 코드와 데이터를 정의하는 데 사용되는 이미지 또는 실행 파일에서 파생됩니다.

예: C:\Windows\explorer.exe
ActingProcessFileCompany 선택 사항 문자열 작업 프로세스 이미지 파일을 만든 회사입니다.

예: Microsoft
ActingProcessFileDescription 선택 사항 문자열 작동 중인 프로세스 이미지 파일의 버전 정보에 포함된 설명입니다.

예: Notepad++ : a free (GPL) source code editor
ActingProcessFileProduct 선택 사항 문자열 작업 프로세스 이미지 파일의 버전 정보에서 제품 이름입니다.

예: Notepad++
ActingProcessFileVersion 선택 사항 문자열 작업 프로세스 이미지 파일의 버전 정보에서 제품 버전입니다.

예: 7.9.5.0
ActingProcessFileInternalName 선택 사항 문자열 작업 프로세스 이미지 파일의 버전 정보에서 제품 내부 파일 이름입니다.
ActingProcessFileOriginalName 선택 사항 문자열 작업 프로세스 이미지 파일의 버전 정보에서 제품 원본 파일 이름입니다.

예: Notepad++.exe
ActingProcessIsHidden 선택 사항 Boolean 연기 프로세스가 숨겨진 모드에 있는지 여부를 나타내는 표시입니다.
ActingProcessInjectedAddress 선택 사항 문자열 책임 있는 작업 프로세스가 저장되는 메모리 주소입니다.
ActingProcessId 필수 문자열 작업 프로세스의 PID(프로세스 ID)입니다.

예: 48610176

참고: 형식은 다양한 시스템을 지원하기 위해 문자열정의되지만 Windows 및 Linux에서는 이 값이 숫자여야 합니다.

Windows 또는 Linux 머신을 사용하고 다른 형식을 사용하는 경우에는 값을 변환해야 합니다. 예를 들어 16진수 값을 사용한 경우 10진수 값으로 변환합니다.
ActingProcessGuid 선택 사항 string 작업 프로세스의 생성된 GUID(고유 식별자)입니다. 시스템 전체에서 프로세스를 식별할 수 있습니다.

예: EF3BD0BD-2B74-60C5-AF5C-010000001E00
ActingProcessIntegrityLevel 선택 사항 문자열 모든 프로세스에는 토큰에 표시되는 무결성 수준이 있습니다. 무결성 수준은 보호 또는 액세스의 프로세스 수준을 결정합니다.

Windows는 낮음, 중간, 시스템의 무결성 수준을 정의합니다. 표준 사용자는 중간 무결성 수준을 받고 상승된 사용자는 높은 무결성 수준을 받습니다.

자세한 내용은 필수 무결성 제어 - Win32 앱을 참조 하세요.
ActingProcessMD5 선택 사항 문자열 작업 프로세스 이미지 파일의 MD5 해시입니다.

예: 75a599802f1fa166cdadb360960b1dd0
ActingProcessSHA1 선택 사항 SHA1 작업 프로세스 이미지 파일의 SHA-1 해시입니다.

예: d55c5a4df19b46db8c54c801c4665d3338acdab0
ActingProcessSHA256 선택 사항 SHA256 작업 프로세스 이미지 파일의 SHA-256 해시입니다.

예:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
ActingProcessSHA512 선택 사항 SHA521 작업 프로세스 이미지 파일의 SHA-512 해시입니다.
ActingProcessIMPHASH 선택 사항 문자열 작업 프로세스에서 사용되는 모든 라이브러리 DLL의 가져오기 해시입니다.
ActingProcessCreationTime 선택 사항 DateTime 연기 프로세스가 시작된 날짜 및 시간입니다.
ActingProcessTokenElevation 선택 사항 문자열 작업 프로세스에 적용되는 UAC(사용자 액세스 제어) 권한 상승의 존재 여부 또는 부재를 나타내는 토큰입니다.

예: None
ActingProcessFileSize 선택 사항 Long 작업 프로세스를 실행한 파일의 크기입니다.

부모 프로세스 필드

필드 클래스 Type 설명
ParentProcessName 선택 사항 string 부모 프로세스의 이름입니다. 이 이름은 일반적으로 프로세스의 가상 주소 공간에 매핑되는 초기 코드와 데이터를 정의하는 데 사용되는 이미지 또는 실행 파일에서 파생됩니다.

예: C:\Windows\explorer.exe
ParentProcessFileCompany 선택 사항 문자열 부모 프로세스 이미지 파일을 만든 회사의 이름입니다.

예: Microsoft
ParentProcessFileDescription 선택 사항 문자열 부모 프로세스 이미지 파일에 있는 버전 정보의 설명입니다.

예: Notepad++ : a free (GPL) source code editor
ParentProcessFileProduct 선택 사항 문자열 부모 프로세스 이미지 파일에 있는 버전 정보의 제품 이름입니다.

예: Notepad++
ParentProcessFileVersion 선택 사항 문자열 부모 프로세스 이미지 파일의 버전 정보에서 제품 버전입니다.

예: 7.9.5.0
ParentProcessIsHidden 선택 사항 Boolean 부모 프로세스가 숨겨진 모드인지 여부를 나타내는 표시입니다.
ParentProcessInjectedAddress 선택 사항 문자열 책임 있는 부모 프로세스가 저장되는 메모리 주소입니다.
ParentProcessId 권장 문자열 부모 프로세스의 PID(프로세스 ID)입니다.

예: 48610176
ParentProcessGuid 선택 사항 문자열 부모 프로세스의 생성된 GUID(고유 식별자)입니다. 시스템 전체에서 프로세스를 식별할 수 있습니다.

예: EF3BD0BD-2B74-60C5-AF5C-010000001E00
ParentProcessIntegrityLevel 선택 사항 문자열 모든 프로세스에는 토큰에 표시되는 무결성 수준이 있습니다. 무결성 수준은 보호 또는 액세스의 프로세스 수준을 결정합니다.

Windows는 낮음, 중간, 시스템의 무결성 수준을 정의합니다. 표준 사용자는 중간 무결성 수준을 받고 상승된 사용자는 높은 무결성 수준을 받습니다.

자세한 내용은 필수 무결성 제어 - Win32 앱을 참조 하세요.
ParentProcessMD5 선택 사항 MD5 부모 프로세스 이미지 파일의 MD5 해시입니다.

예: 75a599802f1fa166cdadb360960b1dd0
ParentProcessSHA1 선택 사항 SHA1 부모 프로세스 이미지 파일의 SHA-1 해시입니다.

예: d55c5a4df19b46db8c54c801c4665d3338acdab0
ParentProcessSHA256 선택 사항 SHA256 부모 프로세스 이미지 파일의 SHA-256 해시입니다.

예:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
ParentProcessSHA512 선택 사항 SHA512 부모 프로세스 이미지 파일의 SHA-512 해시입니다.
ParentProcessIMPHASH 선택 사항 문자열 부모 프로세스에서 사용되는 모든 라이브러리 DLL의 가져오기 해시입니다.
ParentProcessTokenElevation 선택 사항 문자열 부모 프로세스에 적용되는 UAC(사용자 액세스 제어) 권한 상승의 존재 여부 또는 부재를 나타내는 토큰입니다.

예: None
ParentProcessCreationTime 선택 사항 DateTime 부모 프로세스가 시작된 날짜 및 시간입니다.

대상 사용자 필드

필드 클래스 Type 설명
TargetUsername 프로세스 만들기 이벤트에 필수입니다. 문자열 사용 가능한 경우 도메인 정보를 포함한 대상의 사용자 이름입니다. 다양한 ID 형식에 지원되는 형식은 사용자 항목을 참조하세요. 도메인 정보를 사용할 수 없는 경우에만 단순 양식을 사용합니다.

TargetUsernameType 필드에 사용자 이름 형식을 저장합니다. 다른 사용자 이름 형식을 사용할 수 있는 경우 TargetUsername<UsernameType> 필드에 저장합니다.

예: AlbertE
TargetUsernameType 조건부 Enumerated TargetUsername 필드에 저장된 사용자 이름의 형식을 지정합니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서UsernameType을 참조하세요.

예: Windows
TargetUserId 권장 문자열 컴퓨터에서 읽을 수 있는 영숫자의 대상 사용자에 대한 고유한 표현입니다. 다양한 ID 형식에 지원되는 형식은 사용자 항목을 참조하세요.

예: S-1-12
TargetUserIdType 조건부 문자열 TargetUserId 필드에 저장된 ID 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서UserIdType을 참조하세요.
TargetUserSessionId 선택 사항 문자열 대상 사용자의 로그인 세션의 고유 ID입니다.

예: 999

참고: 유형은 다양한 시스템을 지원하기 위해 문자열로 정의되지만 Windows에서는 이 값이 숫자여야 합니다.

Windows 또는 Linux 머신을 사용하고 다른 형식을 사용하는 경우에는 값을 변환해야 합니다. 예를 들어 16진수 값을 사용한 경우 10진수 값으로 변환합니다.
TargetUserType 선택 사항 UserType 행위자의 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서에서 UserType을 참조하세요.

참고: 다른 용어를 사용하여 원본 레코드에 값을 제공할 수 있으며 이러한 값으로 정규화되어야 합니다. TargetOriginalUserType 필드에 원래 값을 저장합니다.
TargetOriginalUserType 선택 사항 문자열 보고 디바이스에서 제공한 경우 원래 대상 사용자 유형입니다.

대상 프로세스 필드

필드 클래스 Type 설명
TargetProcessName 필수 string 대상 프로세스의 이름입니다. 이 이름은 일반적으로 프로세스의 가상 주소 공간에 매핑되는 초기 코드와 데이터를 정의하는 데 사용되는 이미지 또는 실행 파일에서 파생됩니다.

예: C:\Windows\explorer.exe
TargetProcessFileCompany 선택 사항 문자열 대상 프로세스 이미지 파일을 만든 회사의 이름입니다.

예: Microsoft
TargetProcessFileDescription 선택 사항 문자열 대상 프로세스 이미지 파일의 버전 정보에 대한 설명입니다.

예: Notepad++ : a free (GPL) source code editor
TargetProcessFileProduct 선택 사항 문자열 대상 프로세스 이미지 파일의 버전 정보에서 제품 이름입니다.

예: Notepad++
TargetProcessFileSize 선택 사항 문자열 이벤트를 담당하는 프로세스를 실행한 파일의 크기입니다.
TargetProcessFileVersion 선택 사항 문자열 대상 프로세스 이미지 파일의 버전 정보에서 제품 버전입니다.

예: 7.9.5.0
TargetProcessFileInternalName 선택 사항 문자열 대상 프로세스의 이미지 파일 버전 정보에서 제품 내부 파일 이름입니다.
TargetProcessFileOriginalName 선택 사항 문자열 대상 프로세스의 이미지 파일 버전 정보에서 제품 원본 파일 이름입니다.
TargetProcessIsHidden 선택 사항 Boolean 대상 프로세스가 숨겨진 모드인지 여부를 나타내는 표시입니다.
TargetProcessInjectedAddress 선택 사항 문자열 책임 있는 대상 프로세스가 저장되는 메모리 주소입니다.
TargetProcessMD5 선택 사항 MD5 대상 프로세스 이미지 파일의 MD5 해시입니다.

예: 75a599802f1fa166cdadb360960b1dd0
TargetProcessSHA1 선택 사항 SHA1 대상 프로세스 이미지 파일의 SHA-1 해시입니다.

예: d55c5a4df19b46db8c54c801c4665d3338acdab0
TargetProcessSHA256 선택 사항 SHA256 대상 프로세스 이미지 파일의 SHA-256 해시입니다.

예:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
TargetProcessSHA512 선택 사항 SHA512 대상 프로세스 이미지 파일의 SHA-512 해시입니다.
TargetProcessIMPHASH 선택 사항 문자열 대상 프로세스에서 사용되는 모든 라이브러리 DLL의 가져오기 해시입니다.
HashType 권장 문자열 HASH 별칭 필드에 저장된 해시 형식으로 허용되는 값은 MD5, SHA, SHA256, SHA512IMPHASH입니다.
TargetProcessCommandLine 필수 문자열 대상 프로세스를 실행하는 데 사용되는 명령줄입니다.

예: "choco.exe" -v
TargetProcessCurrentDirectory 선택 사항 문자열 대상 프로세스가 실행되는 현재 디렉터리입니다.

예: c:\windows\system32
TargetProcessCreationTime 권장 DateTime 대상 프로세스 이미지 파일에 있는 버전 정보의 제품 버전입니다.
TargetProcessId 필수 문자열 대상 프로세스의 PID(프로세스 ID)입니다.

예: 48610176

참고: 형식은 다양한 시스템을 지원하기 위해 문자열정의되지만 Windows 및 Linux에서는 이 값이 숫자여야 합니다.

Windows 또는 Linux 머신을 사용하고 다른 형식을 사용하는 경우에는 값을 변환해야 합니다. 예를 들어 16진수 값을 사용한 경우 10진수 값으로 변환합니다.
TargetProcessGuid 선택 사항 문자열 대상 프로세스의 생성된 GUID(고유 식별자)입니다. 시스템 전체에서 프로세스를 식별할 수 있습니다.

예: EF3BD0BD-2B74-60C5-AF5C-010000001E00
TargetProcessIntegrityLevel 선택 사항 문자열 모든 프로세스에는 토큰에 표시되는 무결성 수준이 있습니다. 무결성 수준은 보호 또는 액세스의 프로세스 수준을 결정합니다.

Windows는 낮음, 중간, 시스템의 무결성 수준을 정의합니다. 표준 사용자는 중간 무결성 수준을 받고 상승된 사용자는 높은 무결성 수준을 받습니다.

자세한 내용은 필수 무결성 제어 - Win32 앱을 참조 하세요.
TargetProcessTokenElevation 선택 사항 문자열 생성되거나 종료된 프로세스에 적용된 UAC(사용자 액세스 제어) 권한 상승의 유무를 나타내는 토큰 유형입니다.

예: None
TargetProcessStatusCode 선택 사항 문자열 종료될 때 대상 프로세스에서 반환하는 종료 코드입니다. 이 필드는 프로세스 종료 이벤트에만 유효합니다. 일관성을 위해 운영 체제에서 제공하는 값이 숫자인 경우에도 필드 형식은 문자열입니다.

스키마 업데이트

다음은 스키마 버전 0.1.1의 변경 내용입니다.

  • EventSchema 필드를 추가했습니다.

다음은 스키마 버전 0.1.2의 변경 내용입니다.

  • ActorUserType, ActorOriginalUserType, TargetUserType, TargetOriginalUserTypeHashType 필드를 추가했습니다.

다음은 스키마 버전 0.1.3의 변경 내용입니다.

  • ParentProcessIdTargetProcessCreationTime 필드를 필수에서 권장으로 변경했습니다.

스키마 버전 0.1.4의 변경 내용입니다.

  • ActorScope, DvcScopeIdDvcScope 필드를 추가했습니다.

다음 단계

자세한 내용은 다음을 참조하세요.