Schemareferens för processnormalisering av händelsenormalisering (offentlig förhandsversion) för ASIM (Advanced Security Information Model)
Normaliseringsschemat för processhändelser används för att beskriva operativsystemaktiviteten för att köra och avsluta en process. Sådana händelser rapporteras av operativsystem och säkerhetssystem, till exempel EDR-system (slutpunktsidentifiering och svar).
En process, som definieras av OSSEM, är ett inneslutnings- och hanteringsobjekt som representerar en instans av ett program som körs. Själva processerna körs inte, men de hanterar trådar som kör och kör kod.
Mer information om normalisering i Microsoft Sentinel finns i Normalisering och ASIM (Advanced Security Information Model).
Viktigt!
Normaliseringsschemat för processhändelsen är för närvarande i förhandsversion. Den här funktionen tillhandahålls utan ett serviceavtal och rekommenderas inte för produktionsarbetsbelastningar.
Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Tolkar
Använd följande tabellnamn i dina frågor om du vill använda enande parser som förenar alla listade parsers och ser till att du analyserar över alla konfigurerade källor:
- imProcessSkapa för frågor som kräver information om att skapa processer. Dessa frågor är det vanligaste fallet.
- imProcessTerminate för frågor som kräver information om processens avslutning.
I listan över processhändelseparsers tillhandahåller Microsoft Sentinel en out-of-the-box-lista med ASIM-parsare.
Distribuera autentiseringsparsers från Microsoft Sentinel GitHub-lagringsplatsen.
Mer information finns i ÖVERSIKT över ASIM-parsare.
Lägg till dina egna normaliserade parsers
När du implementerar anpassade processhändelseparsers namnger du KQL-funktionerna med hjälp av följande syntax: imProcessCreate<vendor><Product> och imProcessTerminate<vendor><Product>. Ersätt im med ASim för den parameterlösa versionen.
Lägg till KQL-funktionen i de enande parsarna enligt beskrivningen i Hantera ASIM-parsers.
Filtrera parserparametrar
Parsarna im och vim* stöder filtreringsparametrar. Även om dessa parsers är valfria kan de förbättra frågeprestandan.
Följande filtreringsparametrar är tillgängliga:
| Namn | Type | Beskrivning |
|---|---|---|
| starttime | datetime | Filtrera endast processhändelser inträffade vid eller efter den här tiden. |
| sluttid | datetime | Filtrera endast processhändelser som inträffat vid eller före den här tiden. |
| commandline_has_any | dynamisk | Filtrera endast processhändelser som kommandoraden kördes för har något av de angivna värdena. Listans längd är begränsad till 10 000 objekt. |
| commandline_has_all | dynamisk | Filtrera endast processhändelser som kommandoraden kördes för har alla angivna värden.. Listans längd är begränsad till 10 000 objekt. |
| commandline_has_any_ip_prefix | dynamisk | Filtrera endast processhändelser som kommandoraden kördes för har alla angivna IP-adresser eller IP-adressprefix. Prefix bör sluta med , .till exempel: 10.0.. Listans längd är begränsad till 10 000 objekt. |
| actingprocess_has_any | dynamisk | Filtrera endast processhändelser för vilka det verkande processnamnet, som innehåller hela processsökvägen, har något av de angivna värdena. Listans längd är begränsad till 10 000 objekt. |
| targetprocess_has_any | dynamisk | Filtrera endast processhändelser för vilka målprocessnamnet, som innehåller hela processsökvägen, har något av de angivna värdena. Listans längd är begränsad till 10 000 objekt. |
| parentprocess_has_any | dynamisk | Filtrera endast processhändelser för vilka målprocessnamnet, som innehåller hela processsökvägen, har något av de angivna värdena. Listans längd är begränsad till 10 000 objekt. |
| targetusername_has eller actorusername_has | sträng | Filtrera endast processhändelser för vilka målanvändarnamnet (för processskapandehändelser) eller aktörens användarnamn (för processsluthändelser) har något av de angivna värdena. Listans längd är begränsad till 10 000 objekt. |
| dvcipaddr_has_any_prefix | dynamisk | Filtrera endast processhändelser för vilka enhetens IP-adress matchar någon av de angivna IP-adresserna eller IP-adressprefixen. Prefix bör sluta med , .till exempel: 10.0.. Listans längd är begränsad till 10 000 objekt. |
| dvchostname_has_any | dynamisk | Filtrera endast processhändelser som enhetens värdnamn eller enhets-FQDN är tillgängligt för har något av de angivna värdena. Listans längd är begränsad till 10 000 objekt. |
| eventtype | sträng | Filtrera endast processhändelser av den angivna typen. |
eller om du bara vill filtrera autentiseringshändelser från den senaste dagen till en viss användare använder du:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Dricks
Om du vill skicka en literallista till parametrar som förväntar sig ett dynamiskt värde använder du uttryckligen en dynamisk literal. Exempel: dynamic(['192.168.','10.']).
Normaliserat innehåll
En fullständig lista över analysregler som använder normaliserade processhändelser finns i Bearbeta händelsesäkerhetsinnehåll.
Schemainformation
Processhändelseinformationsmodellen är justerad till OSSEM Process-entitetsschemat.
Vanliga ASIM-fält
Viktigt!
Fält som är gemensamma för alla scheman beskrivs i detalj i artikeln vanliga ASIM-fält .
Vanliga fält med specifika riktlinjer
I följande lista nämns fält som har specifika riktlinjer för processaktivitetshändelser:
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| EventType | Obligatorisk | Enumerated | Beskriver den åtgärd som rapporterats av posten. För processposter finns följande värden som stöds: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | Obligatorisk | String | Versionen av schemat. Den version av schemat som dokumenteras här är 0.1.4 |
| EventSchema | Valfritt | String | Namnet på schemat som dokumenteras här är ProcessEvent. |
| Dvc-fält | För processaktivitetshändelser refererar enhetsfält till systemet där processen kördes. |
Viktigt!
Fältet EventSchema är för närvarande valfritt men blir obligatoriskt den 1 september 2022.
Alla vanliga fält
Fält som visas i tabellen nedan är gemensamma för alla ASIM-scheman. Alla riktlinjer som anges ovan åsidosätter de allmänna riktlinjerna för fältet. Ett fält kan till exempel vara valfritt i allmänhet, men obligatoriskt för ett specifikt schema. Mer information om varje fält finns i artikeln vanliga ASIM-fält .
| Klass | Fält |
|---|---|
| Obligatorisk | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Rekommenderat | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valfritt | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Bearbeta händelsespecifika fält
Fälten i tabellen nedan är specifika för Processhändelser, men liknar fält i andra scheman och följer liknande namngivningskonventioner.
Processhändelseschemat refererar till följande entiteter, som är centrala för processskapande och avslutningsaktivitet:
- Aktör – Den användare som initierade processens skapande eller avslutning.
- ActingProcess – den process som används av aktören för att initiera skapandet eller avslutningen av processen.
- TargetProcess – den nya processen.
- TargetUser – den användare vars autentiseringsuppgifter används för att skapa den nya processen.
- ParentProcess – den process som initierade aktörsprocessen.
Alias
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Användare | Alias | Alias till TargetUsername. Exempel: CONTOSO\dadmin |
|
| Bearbeta | Alias | Alias till TargetProcessName Exempel: C:\Windows\System32\rundll32.exe |
|
| Kommandorad | Alias | Alias till TargetProcessCommandLine | |
| Hash | Alias | Alias till den bästa tillgängliga hashen för målprocessen. |
Aktörsfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| ActorUserId | Rekommenderat | String | En maskinläsbar, alfanumerisk, unik representation av aktören. Det format som stöds för olika ID-typer finns i användarentiteten. Exempel: S-1-12 |
| ActorUserIdType | Villkorsstyrd | String | Typen av ID som lagras i fältet ActorUserId . En lista över tillåtna värden och ytterligare information finns i UserIdType i artikeln Schemaöversikt. |
| ActorScope | Valfritt | String | Omfånget, till exempel Microsoft Entra-klientorganisationen, där ActorUserId och ActorUsername definieras. eller mer information och lista över tillåtna värden, se UserScope i artikeln Schemaöversikt. |
| ActorUsername | Obligatorisk | String | Aktörens användarnamn, inklusive domäninformation när det är tillgängligt. Det format som stöds för olika ID-typer finns i användarentiteten. Använd bara det enkla formuläret om domäninformation inte är tillgänglig. Lagra användarnamnstypen i fältet ActorUsernameType . Om andra användarnamnsformat är tillgängliga lagrar du dem i fälten ActorUsername<UsernameType>.Exempel: AlbertE |
| ActorUsernameType | Villkorsstyrd | Enumerated | Anger typen av användarnamn som lagras i fältet ActorUsername . En lista över tillåtna värden och ytterligare information finns i UsernameType i artikeln Schemaöversikt. Exempel: Windows |
| ActorSessionId | Valfritt | String | Det unika ID:t för inloggningssessionen för aktören. Exempel: 999Obs! Typen definieras som sträng för att stödja olika system, men i Windows måste det här värdet vara numeriskt. Om du använder en Windows-dator och använder en annan typ ska du konvertera värdena. Om du till exempel använde ett hexadecimalt värde konverterar du det till ett decimalvärde. |
| ActorUserType | Valfritt | UserType | Typ av aktör. En lista över tillåtna värden och ytterligare information finns i UserType i artikeln Schemaöversikt. Obs! Värdet kan anges i källposten med hjälp av olika termer, som bör normaliseras till dessa värden. Lagra det ursprungliga värdet i fältet ActorOriginalUserType . |
| ActorOriginalUserType | Valfritt | String | Den ursprungliga målanvändartypen, om den tillhandahålls av rapporteringsenheten. |
Agerar processfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| ActingProcessCommandLine | Valfritt | String | Kommandoraden som används för att köra agerarprocessen. Exempel: "choco.exe" -v |
| ActingProcessName | Valfritt | sträng | Namnet på den verkande processen. Det här namnet härleds vanligtvis från den bild eller körbara fil som används för att definiera den inledande koden och data som mappas till processens virtuella adressutrymme. Exempel: C:\Windows\explorer.exe |
| ActingProcessFileCompany | Valfritt | String | Företaget som skapade avbildningsfilen för agerarprocessen. Exempel: Microsoft |
| ActingProcessFileDescription | Valfritt | String | Beskrivningen som är inbäddad i versionsinformationen för den verkande processbildfilen. Exempel: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | Valfritt | String | Produktnamnet från versionsinformationen i den verkande processbildfilen. Exempel: Notepad++ |
| ActingProcessFileVersion | Valfritt | String | Produktversionen från versionsinformationen för den verkande processbildfilen. Exempel: 7.9.5.0 |
| ActingProcessFileInternalName | Valfritt | String | Produktens interna filnamn från versionsinformationen för den verkande processbildfilen. |
| ActingProcessFileOriginalName | Valfritt | String | Produktens ursprungliga filnamn från versionsinformationen för den verkande processbildfilen. Exempel: Notepad++.exe |
| ActingProcessIsHidden | Valfritt | Booleskt | En indikation på om agerarprocessen är i dolt läge. |
| ActingProcessInjectedAddress | Valfritt | String | Minnesadressen där den ansvarsfulla agerar processen lagras. |
| ActingProcessId | Obligatorisk | String | Process-ID (PID) för den verkande processen. Exempel: 48610176 Obs! Typen definieras som sträng för att stödja olika system, men i Windows och Linux måste det här värdet vara numeriskt. Om du använder en Windows- eller Linux-dator och använder en annan typ ska du konvertera värdena. Om du till exempel använde ett hexadecimalt värde konverterar du det till ett decimalvärde. |
| ActingProcessGuid | Valfritt | sträng | En genererad unik identifierare (GUID) för den verkande processen. Gör det möjligt att identifiera processen mellan system. Exempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | Valfritt | String | Varje process har en integritetsnivå som representeras i dess token. Integritetsnivåer avgör processnivån för skydd eller åtkomst. Windows definierar följande integritetsnivåer: låg, medel, hög och system. Standardanvändare får en medelhög integritetsnivå och förhöjda användare får en hög integritetsnivå. Mer information finns i Obligatorisk integritetskontroll – Win32-appar. |
| ActingProcessMD5 | Valfritt | String | MD5-hashen för den verkande processbildfilen. Exempel: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | Valfritt | SHA1 | SHA-1-hashen för den verkande processbildfilen. Exempel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | Valfritt | SHA256 | SHA-256-hashen för den verkande processbildfilen. Exempel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | Valfritt | SHA521 | SHA-512-hashen för den verkande processbildfilen. |
| ActingProcessIMPHASH | Valfritt | String | Importhash för alla biblioteks-DLL:er som används av den verkande processen. |
| ActingProcessCreationTime | Valfritt | Datum/tid | Datum och tid då agerarprocessen startades. |
| ActingProcessTokenElevation | Valfritt | String | En token som anger förekomsten eller frånvaron av behörighetshöjning för användaråtkomstkontroll (UAC) som tillämpas på den verkande processen. Exempel: None |
| ActingProcessFileSize | Valfritt | Long | Storleken på filen som körde agerarprocessen. |
Överordnade processfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| ParentProcessName | Valfritt | sträng | Namnet på den överordnade processen. Det här namnet härleds vanligtvis från den bild eller körbara fil som används för att definiera den inledande koden och data som mappas till processens virtuella adressutrymme. Exempel: C:\Windows\explorer.exe |
| ParentProcessFileCompany | Valfritt | String | Namnet på det företag som skapade den överordnade processbildfilen. Exempel: Microsoft |
| ParentProcessFileDescription | Valfritt | String | Beskrivningen från versionsinformationen i den överordnade processbildfilen. Exempel: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | Valfritt | String | Produktnamnet från versionsinformationen i den överordnade processbildfilen. Exempel: Notepad++ |
| ParentProcessFileVersion | Valfritt | String | Produktversionen från versionsinformationen i den överordnade processbildfilen. Exempel: 7.9.5.0 |
| ParentProcessIsHidden | Valfritt | Booleskt | En indikation på om den överordnade processen är i dolt läge. |
| ParentProcessInjectedAddress | Valfritt | String | Minnesadressen där den ansvariga överordnade processen lagras. |
| ParentProcessId | Rekommenderat | String | Process-ID (PID) för den överordnade processen. Exempel: 48610176 |
| ParentProcessGuid | Valfritt | String | En genererad unik identifierare (GUID) för den överordnade processen. Gör det möjligt att identifiera processen mellan system. Exempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | Valfritt | String | Varje process har en integritetsnivå som representeras i dess token. Integritetsnivåer avgör processnivån för skydd eller åtkomst. Windows definierar följande integritetsnivåer: låg, medel, hög och system. Standardanvändare får en medelhög integritetsnivå och förhöjda användare får en hög integritetsnivå. Mer information finns i Obligatorisk integritetskontroll – Win32-appar. |
| ParentProcessMD5 | Valfritt | MD5 | MD5-hashen för den överordnade processbildfilen. Exempel: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | Valfritt | SHA1 | SHA-1-hashen för den överordnade processbildfilen. Exempel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | Valfritt | SHA256 | SHA-256-hashen för den överordnade processbildfilen. Exempel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | Valfritt | SHA512 | SHA-512-hashen för den överordnade processbildfilen. |
| ParentProcessIMPHASH | Valfritt | String | Importhash för alla biblioteks-DLL:er som används av den överordnade processen. |
| ParentProcessTokenElevation | Valfritt | String | En token som anger förekomsten eller frånvaron av behörighetshöjning för användaråtkomstkontroll (UAC) som tillämpas på den överordnade processen. Exempel: None |
| ParentProcessCreationTime | Valfritt | Datum/tid | Datum och tid då den överordnade processen startades. |
Målanvändarfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| TargetUsername | Obligatoriskt för processskapandehändelser. | String | Målanvändarnamnet, inklusive domäninformation när det är tillgängligt. Det format som stöds för olika ID-typer finns i användarentiteten. Använd bara det enkla formuläret om domäninformation inte är tillgänglig. Lagra användarnamnstypen i fältet TargetUsernameType . Om andra användarnamnsformat är tillgängliga lagrar du dem i fälten TargetUsername<UsernameType>.Exempel: AlbertE |
| TargetUsernameType | Villkorsstyrd | Enumerated | Anger typen av användarnamn som lagras i fältet TargetUsername . En lista över tillåtna värden och ytterligare information finns i UsernameType i artikeln Schemaöversikt. Exempel: Windows |
| TargetUserId | Rekommenderat | String | En maskinläsbar, alfanumerisk, unik representation av målanvändaren. Det format som stöds för olika ID-typer finns i användarentiteten. Exempel: S-1-12 |
| TargetUserIdType | Villkorsstyrd | String | Typen av ID som lagras i fältet TargetUserId . En lista över tillåtna värden och ytterligare information finns i UserIdType i artikeln Schemaöversikt. |
| TargetUserSessionId | Valfritt | String | Det unika ID:t för målanvändarens inloggningssession. Exempel: 999 Obs! Typen definieras som sträng för att stödja olika system, men i Windows måste det här värdet vara numeriskt. Om du använder en Windows- eller Linux-dator och använder en annan typ ska du konvertera värdena. Om du till exempel använde ett hexadecimalt värde konverterar du det till ett decimalvärde. |
| TargetUserType | Valfritt | UserType | Typ av aktör. En lista över tillåtna värden och ytterligare information finns i UserType i artikeln Schemaöversikt. Obs! Värdet kan anges i källposten med hjälp av olika termer, som bör normaliseras till dessa värden. Lagra det ursprungliga värdet i fältet TargetOriginalUserType . |
| TargetOriginalUserType | Valfritt | String | Den ursprungliga målanvändartypen, om den tillhandahålls av rapporteringsenheten. |
Målprocessfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| TargetProcessName | Obligatorisk | sträng | Namnet på målprocessen. Det här namnet härleds vanligtvis från den bild eller körbara fil som används för att definiera den inledande koden och data som mappas till processens virtuella adressutrymme. Exempel: C:\Windows\explorer.exe |
| TargetProcessFileCompany | Valfritt | String | Namnet på det företag som skapade målprocessbildfilen. Exempel: Microsoft |
| TargetProcessFileDescription | Valfritt | String | Beskrivningen från versionsinformationen i målprocessbildfilen. Exempel: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | Valfritt | String | Produktnamnet från versionsinformationen i målprocessbildfilen. Exempel: Notepad++ |
| TargetProcessFileSize | Valfritt | String | Storleken på filen som körde processen som ansvarar för händelsen. |
| TargetProcessFileVersion | Valfritt | String | Produktversionen från versionsinformationen i målprocessbildfilen. Exempel: 7.9.5.0 |
| TargetProcessFileInternalName | Valfritt | String | Produktens interna filnamn från versionsinformationen för målprocessens bildfil. |
| TargetProcessFileOriginalName | Valfritt | String | Produktens ursprungliga filnamn från versionsinformationen för målprocessens bildfil. |
| TargetProcessIsHidden | Valfritt | Booleskt | En indikation på om målprocessen är i dolt läge. |
| TargetProcessInjectedAddress | Valfritt | String | Minnesadressen där den ansvarsfulla målprocessen lagras. |
| TargetProcessMD5 | Valfritt | MD5 | MD5-hashen för målprocessbildfilen. Exempel: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | Valfritt | SHA1 | SHA-1-hashen för målprocessbildfilen. Exempel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | Valfritt | SHA256 | SHA-256-hashen för målprocessbildfilen. Exempel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | Valfritt | SHA512 | SHA-512-hashen för målprocessbildfilen. |
| TargetProcessIMPHASH | Valfritt | String | Importhash för alla biblioteks-DLL:er som används av målprocessen. |
| HashType | Rekommenderat | String | Den typ av hash som lagras i hash-aliasfältet, tillåtna värden är MD5, SHA, SHA256och SHA512 IMPHASH. |
| TargetProcessCommandLine | Obligatorisk | String | Kommandoraden som används för att köra målprocessen. Exempel: "choco.exe" -v |
| TargetProcessCurrentDirectory | Valfritt | String | Den aktuella katalogen där målprocessen körs. Exempel: c:\windows\system32 |
| TargetProcessCreationTime | Rekommenderat | Datum/tid | Produktversionen från versionsinformationen för målprocessbildfilen. |
| TargetProcessId | Obligatorisk | String | Process-ID (PID) för målprocessen. Exempel: 48610176Obs! Typen definieras som sträng för att stödja olika system, men i Windows och Linux måste det här värdet vara numeriskt. Om du använder en Windows- eller Linux-dator och använder en annan typ ska du konvertera värdena. Om du till exempel använde ett hexadecimalt värde konverterar du det till ett decimalvärde. |
| TargetProcessGuid | Valfritt | String | En genererad unik identifierare (GUID) för målprocessen. Gör det möjligt att identifiera processen mellan system. Exempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | Valfritt | String | Varje process har en integritetsnivå som representeras i dess token. Integritetsnivåer avgör processnivån för skydd eller åtkomst. Windows definierar följande integritetsnivåer: låg, medel, hög och system. Standardanvändare får en medelhög integritetsnivå och förhöjda användare får en hög integritetsnivå. Mer information finns i Obligatorisk integritetskontroll – Win32-appar. |
| TargetProcessTokenElevation | Valfritt | String | Tokentyp som anger förekomsten eller frånvaron av behörighetshöjning för användaråtkomstkontroll (UAC) som tillämpas på processen som skapades eller avslutades. Exempel: None |
| TargetProcessStatusCode | Valfritt | String | Slutkoden som returnerades av målprocessen när den avslutades. Det här fältet är endast giltigt för processavslutshändelser. För konsekvens är fälttypen sträng, även om värdet som tillhandahålls av operativsystemet är numeriskt. |
Schemauppdateringar
Det här är ändringarna i version 0.1.1 av schemat:
- Fältet har lagts till
EventSchema.
Det här är ändringarna i version 0.1.2 av schemat
- Fälten
ActorUserType,ActorOriginalUserType,TargetUserType,TargetOriginalUserTypeochHashType.
Det här är ändringarna i version 0.1.3 av schemat
- Ändrade fälten
ParentProcessIdochTargetProcessCreationTimefrån obligatoriskt till rekommenderat.
Det här är ändringarna i version 0.1.4 av schemat
- Fälten
ActorScope,DvcScopeIdochDvcScope.
Nästa steg
Mer information finns i: