forked from aw350m33d/sigma
-
Notifications
You must be signed in to change notification settings - Fork 0
Поля: процессы
Konstantin Grishchenko edited this page Jul 12, 2020
·
4 revisions
APLHA - используется для обсуждения. Пока не для использования в production.
Для получения информации о текущих схемах обратитесь к странице "Таксономия" .
| Поле | Тип | Описание |
|---|---|---|
| process_action | string | Действие с процессом хостового средства защиты (например, разрешить - 'allow', блокировать - 'block') |
| process_authentihash | string | Authentihash исполняемого файла процесса (например, 'cfc5937b4db3a1d5718fe144b621d50b0a337854ab3f5e2df152b62627f6fd4a') |
| process_cmd | string | Полная строка запуска процесса (например, 'ssh -l user 10.0.0.16') |
| process_cpu_load | float | Нагрузка на CPU, которую оказывает процесс (в процентах) (например, '98.5') |
| process_cwd | string | Рабочая директория процесса (например, 'C:\temp') |
| process_image | string | Исполняемый файл процесса (например, 'C:\Windows\System32\calc.exe') |
| process_image_company | string | Информация о правообладателе из метаданных исполняемого файла процесса (например, 'Microsoft Corporation') |
| process_image_description | string | Описание из метаданных исполняемого файла процесса (например, 'Microsoft Management Console') |
| process_image_file_version | string | Информация о версии из метаданных исполняемого файла процесса (например, '6.1.7600.16385 (win7_rtm.090713-1255)') |
| process_image_product | string | Информация о продукте из метаданных исполняемого файла процесса (например, 'Microsoft® Windows® Operating System') |
| process_imphash | string | Imphash исполняемого файла процесса (например, 'ceefb55f764020cc5c5f8f23349ab163') |
| process_integrity | string | Уровень целосности процесса (system, high, medium, low, untrusted) |
| process_is_hidden | boolean | Флаг, сигнализирующий о том, является ли процесс скрытым (например, false) |
| process_is_rare | boolean | Флаг, сигнализирующий о том, является ли процесс редким (детектирование аномалий) (например, false) |
| process_logon_guid | string | Logon GUID процесса (например, '{c1b49677-9fde-5d1b-0000-002064d30200}') |
| process_md5 | string | MD5-хеш исполняемого файла процесса (например, 'ad7b9c14083b52bc532fba5948342b98') |
| process_mem_used | int | Количество использованной процессом памяти (размер рабочего набора в байтах, например, 120450000) |
| process_name | string | Имя процесса (например, 'ssh') |
| process_os | string | Операционная система (полная информация об ОС) |
| process_parent_cmd | string | Полная строка запуска родительского процесса (например, 'sshd') |
| process_parent_cwd | string | Рабочая директория родительского проесса (например, 'C:\Windows\System32') |
| process_parent_image | string | Исполняемый файл родительского процесса (например, 'C:\Windows\System32\svchost.exe') |
| process_parent_md5 | string | MD5-хеш исполняемого файла родительского процесса (например, 'ad7b9c14083b52bc532fba5948342b98') |
| process_parent_name | string | Имя родительского процесса (например, 'svchost.exe') |
| process_parent_path | string | Директория, в которой находится исполняемый файл родительского процесса (например, 'C:\Windows') |
| process_parent_sha1 | string | SHA1-хеш исполняемого файла родительского процесса (например, 'ee8cbf12d87c4d388f09b4f69bed2e91682920b5') |
| process_parent_sha256 | string | SHA256-хеш исполняемого файла родительского процесса (например, '17f746d82695fa9b35493b41859d39d786d32b23a9d2e00f4011dec7a02402ae') |
| process_path | string | Директория, в которой находится исполняемый файл процесса (например, '\tsclient\temp') |
| process_pgid | string | Идентификатор группы процессов, к которой принадлежит процесс |
| process_pid | long | PID процесса (например, 1337) |
| process_ppid | long | PID родительского процесса (например, 42) |
| process_priority | int |
Nice level для *nix-систем и приоритет процесса для Windows ('Realtime' = -20, 'High' = -15, 'Above normal' = -5, 'Normal' = 0, 'Below normal' = 10, 'Low' = 19) (например, -10) |
| process_sha1 | string | SHA1-хеш исполняемого файла процесса (например, 'ee8cbf12d87c4d388f09b4f69bed2e91682920b5') |
| process_sha256 | string | SHA256-хеш исполняемого файла процесса (например, '17f746d82695fa9b35493b41859d39d786d32b23a9d2e00f4011dec7a02402ae') |
| process_start | datetime | Время запуска процеса (например, '2016-05-23T08:05:34.853Z') |
| process_temin_sess_id | string | Идентификатор терминальной сессии процесса (например, 1) |
| process_threadid | long | Идентификатор потока (например, 4242) |
| process_title | string | Заголовок процесса. Обычно заголовок процесса совпадает с именем процесса. Однако может и отличаться: например, браузер может менять заголовок в зависимости от открытой веб-страницы. |
| process_uid | string | Идентификатор пользователя, создавшего процесс (например, '1', 'S-1-5-21-549688327-91903405-2500298261-1000') |
| process_uptime | long | Количество секунд, прошедшее с момента запуска процесса (например, 127381) |
| process_user | string | Учётная запись, от имени которой создан процесс (например, 'Administrator', 'DOM\u123') |