Microsoft Windows Sysmon-Daten erfassen

Dieses Dokument:

  • beschreibt die Bereitstellungsarchitektur und die Installationsschritte sowie jede erforderliche Konfiguration, die Logs erzeugt, die vom Chronicle-Parser für Microsoft Windows-Symon-Ereignisse unterstützt werden. Eine Übersicht über die Datenaufnahme von Chronicle finden Sie unter Datenaufnahme in Chronicle.
  • enthält Informationen dazu, wie der Parser Felder im ursprünglichen Log Felden in Chronicle Unified Data Model zuweist.

Die Informationen in diesem Dokument gelten für den Parser mit dem Aufnahmelabel WINDOWS_SYSMON. Das Aufnahmelabel gibt an, welcher Parser die Logdaten im strukturierten UDM-Format normalisiert.

Hinweis

Das folgende Diagramm zeigt die empfohlenen Kernkomponenten in einer Bereitstellungsarchitektur zum Erfassen und Senden von Microsoft Windows-Sysmon-Daten an Chronicle. Vergleichen Sie diese Informationen mit Ihrer Umgebung, um sicherzustellen, dass diese Komponenten installiert sind. Jede Kundenbereitstellung unterscheidet sich von dieser Darstellung und kann komplexer sein. Folgendes ist erforderlich:

  • Systeme in der Bereitstellungsarchitektur werden mit der UTC-Zeitzone konfiguriert.
  • Sysmon wird auf Servern, Endpunkten und Domaincontrollern installiert.
  • Der Microsoft Windows-Server des Collectors empfängt Logs von Servern, Endpunkten und Domaincontrollern.
  • Microsoft Windows-Systeme in der Deployment-Architektur verwenden:

    • Von der Quelle initiierte Abos, um Ereignisse auf mehreren Geräten zu erfassen.
    • WinRM-Dienst für die Remote-Systemverwaltung
  • NXLog ist auf dem Collector-Fenster-Server installiert, um Logs an die Chronle-Weiterleitung weiterzuleiten.

  • Die Chronicle-Weiterleitung ist auf einem zentralen Microsoft Windows-Server oder einem Linux-Server installiert.

    Bereitstellungsarchitektur

Unterstützte Geräte und Versionen überprüfen

Der Chronicle-Parser unterstützt Logs, die von den folgenden Microsoft Windows-Serverversionen generiert wurden. Microsoft Windows Server wird mit den folgenden Versionen veröffentlicht: Foundation, Essentials, Standard und Datacenter. Das Ereignisschema der von jeder Version generierten Logs unterscheidet sich nicht.

  • Microsoft Windows Server 2019
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2012

Chronicle-Parser unterstützt Logs, die generiert wurden von:

  • Microsoft Windows 7 und höher
  • Sysmon-Version 13.24.

Chronicle-Parser unterstützt Logs, die von der NXLog-Community oder Enterprise Edition erfasst wurden.

Unterstützte Logtypen ansehen

Der Chronicle-Parser unterstützt die folgenden von Microsoft Windows Syysmon generierten Logtypen. Weitere Informationen zu diesen Logtypen finden Sie in der Dokumentation zu Microsoft Windows Sysmon. Sie unterstützt Logs, die mit englischsprachigem Text generiert wurden, und nicht Logs, die in nicht englischsprachigen Sprachen generiert wurden.

Logtyp Beschreibung
Sysmon-Protokolle Der Sysmon-Kanal enthält 27 Ereignis-IDs. (Ereignis-ID: 1 bis 26 und 255)
Eine Beschreibung dieses Logtyps finden Sie in der Dokumentation zu Microsoft Windows-Sysmon-Ereignissen

Microsoft Windows-Server, -Endpunkte und Domaincontroller konfigurieren

  1. Server und Endpunkte sowie Domaincontroller installieren und konfigurieren Weitere Informationen finden Sie in der Dokumentation zu Microsoft Windows Sysmon-Konfiguration.
  2. Richten Sie einen Microsoft Windows-Server des Collectors ein, um die erfassten Logs von mehreren Systemen zu parsen.
  3. Zentralen Microsoft Windows- oder Linux-Server einrichten
  4. Konfigurieren Sie alle Systeme mit der koordinierten Weltzeit UTC.
  5. Geräte so konfigurieren, dass Protokolle an den Microsoft Windows-Server des Collectors weitergeleitet werden.

NXLog- und Chronicle-Forwarder konfigurieren

  1. Installieren Sie NXLog auf dem Microsoft Windows-Server des Collectors. Folgen Sie der NXLog-Dokumentation, einschließlich der Informationen zum Konfigurieren von NXLog zum Erfassen von Logs aus Sysmon.
  2. Erstellen Sie eine Konfigurationsdatei für NXLog. Verwenden Sie das Eingabemodul im_msvistalog. Hier ist ein Beispiel für eine NXLog-Konfiguration. Ersetzen Sie die Werte <hostname> und <port> durch Informationen zum Zielserver von Microsoft Windows oder Linux. Weitere Informationen finden Sie in der NXLog-Dokumentation zum om_tcp-Modul.

    define ROOT     C:\Program Files (x86)\nxlog
    define SYSMON_OUTPUT_DESTINATION_ADDRESS <hostname>
    define SYSMON_OUTPUT_DESTINATION_PORT <port>
    define CERTDIR  %ROOT%\cert
    define CONFDIR  %ROOT%\conf
    define LOGDIR   %ROOT%\data
    define LOGFILE  %LOGDIR%\nxlog.log
    LogFile %LOGFILE%
    
    Moduledir %ROOT%\modules
    CacheDir  %ROOT%\data
    Pidfile   %ROOT%\data\nxlog.pid
    SpoolDir  %ROOT%\data
    
    <Extension _json>
        Module      xm_json
    </Extension>
    
    <Input windows_sysmon_eventlog>
        Module  im_msvistalog
        <QueryXML>
            <QueryList>
                <Query Id="0">
                    <Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
                </Query>
            </QueryList>
        </QueryXML>
        ReadFromLast  False
        SavePos  False
    </Input>
    
    <Output out_chronicle_sysmon>
        Module      om_tcp
        Host        %SYSMON_OUTPUT_DESTINATION_ADDRESS%
        Port        %SYSMON_OUTPUT_DESTINATION_PORT%
        Exec        $EventTime = integer($EventTime) / 1000;
        Exec        $EventReceivedTime = integer($EventReceivedTime) / 1000;
        Exec        to_json();
    </Output>
    
    <Route r2>
        Path    windows_sysmon_eventlog => out_chronicle_sysmon
    </Route>
    
  3. Installieren Sie den Chronicle-Forwarder auf dem zentralen Microsoft Windows- oder Linux-Server. Weitere Informationen zum Installieren und Konfigurieren des Forwarders finden Sie unter Installation und Konfiguration des Forwarders unter Linux oder Installieren und konfigurieren des Forwarders unter Microsoft Windows.

  4. Chronicle-Weiterleitung so konfigurieren, dass Logs an Chronicle gesendet werden. Hier ist ein Beispiel für eine Forwarder-Konfiguration.

      - syslog:
          common:
            enabled: true
            data_type: WINDOWS_SYSMON
            Data_hint:
            batch_n_seconds: 10
            batch_n_bytes: 1048576
          tcp_address: 0.0.0.0:10518
          connection_timeout_sec: 60
    
  5. Starten Sie den NXLog-Dienst.

Feldzuordnung – Felder für Geräteereignisse und UDM-Feldern

In diesem Abschnitt wird beschrieben, wie der Parser die ursprünglichen Geräteprotokollfelder den Feldern der Unified Data Model (UDM) zuweist. Die Feldzuordnung kann je nach Ereignis-ID variieren.

Allgemeine Felder

NXLog-Feld UDM-Feld
Utc metadata.event_timestamp
Kategorie security_result.summary und metadata.product_event_type
Kontoname hauptkonto.nutzer.nutzer-ID
Domain hauptdomain.administrative_domain
Aufnahmenummer metadata.product_log_id [Metadaten-ID]
Hostname Hauptkonto.hostname
User-ID Hauptkonto.user.windows_sid
Schweregrad security_result.Schweregrad
Ereignis-ID security_result.rule_name auf "EventID: %{EventID}"

metadata.product_event_type auf "%{Category} [%{EventID}]&quot gesetzt

Ereignis-ID: 1

NXLog-Feld UDM-Feld
metadata.event_type auf &PROCESS_LAUNCH" festgelegt
Regelname security_result.rule_name
Utc metadata.event_timestamp
Anleitung target.process.product_specific_process_id auf "SYSMON festgelegt:<ProcessGuid>"
Prozess-ID target.process.pid (Ziel-ID)
Bild target.process.file.full_path
Beschreibung Metadaten.Beschreibung
Befehlszeile target.process.command_line
Nutzer In Principal.administrative_domain gespeicherte Domain

Nutzername in Principal.user.userid gespeichert
hashes Basierend auf dem Hash-Algorithmus.
  • MD5 in „target.process.file.md5“ gespeichert
  • SHA256 gespeichert in target.process.file.sha256
  • SHA1 gespeichert in target.process.file.sha1
Anleitung für Eltern Principal.process.product_specific_process_id auf &SYtMON:<ParentProcessGuid>" festgelegt
Übergeordneter Prozess-ID Principal.process.pid
Übergeordnetes Bild Principal.process.file.full_path
Übergeordnete Befehlszeile Principal.process.command_line

Termin-ID: 2

NXLog-Feld UDM-Feld
metadata.event_type auf &FILE_MODIFICATION&gesetzt
Regelname security_result.rule_name
Utc metadata.event_timestamp
Anleitung Principal.process.product_specific_process_id auf &SYtMON:<ProcessGuid>" festgelegt
Prozess-ID Principal.process.pid
Bild Principal.process.file.full_path
Name der Zieldatei target.file.full_path
Erstellungszeit target.resource.attribute.labels.key auf "CreationUtcTime" und auf in target.resource.attribute.labels.value gespeicherter Wert festgelegt
Vorherige ErstellungUtcTime target.resource.attribute.labels.key auf "PreviousCreationUtcTime&quot und auf in target.resource.attribute.labels.value gespeicherter Wert festgelegt

Ereignis-ID: 3

NXLog-Feld UDM-Feld
metadata.event_type auf &NETWORK_CONNECTION"

security_result.action auf "ALLOW"

network.direction&quot auf „&BOTT;OUTBOUND“ gesetzt
Regelname security_result.rule_name
Utc metadata.event_timestamp
Anleitung Principal.process.product_specific_process_id auf &SYtMON:<ProcessGuid>" festgelegt
Prozess-ID Principal.process.pid
Bild Principal.process.file.full_path
Nutzer In Principal.administrative_domain gespeicherte Domain

Unter Principal.user.userid" gespeicherter Nutzername
Protokoll network.ip_protocol
Quell-IdP Hauptkonto.ip
Quellport Hauptkonto.port
Ziel-IP Ziel-IP
Zielhostname target.hostname
Zielport Ziel.Port

Ereignis-ID: 4

NXLog-Feld UDM-Feld
metadata.event_type auf "setting_MODIFICATION"

target.resource.resource_type auf "Setting"

resource.resource_subtype auf "State" festgelegt
Utc metadata.event_timestamp
Status target.resource.name
Version metadata.product_version [Metadaten-Version]

Ereignis-ID: 5

NXLog-Feld UDM-Feld
metadata.event_type auf &PROCESS_TERMINATION" festgelegt
Regelname security_result.rule_name
Utc metadata.event_timestamp
Anleitung Principal.process.product_specific_process_id auf SYSMON festgelegt:<ProcessGuid>
Prozess-ID target.process.pid (Ziel-ID)
Bild target.process.file.full_path

Ereignis-ID: 6

NXLog-Feld UDM-Feld
metadata.event_type auf &PROCESS_MODULE_LOAD gesetzt
Regelname security_result.rule_name
Utc metadata.event_timestamp
ImageLoaded (Bild geladen) Principal.process.file.full_path
hashes Das Feld wird vom Hash-Algorithmus bestimmt.
  • MD5 in „target.process.file.md5“ gespeichert
  • SHA256 gespeichert in target.process.file.sha256
  • SHA1 gespeichert in target.process.file.sha1
Unterzeichnet target.resource.attribute.labels.key auf "Signed" und Wert auf target.resource.attribute.labels.value festgelegt
Unterschrift target.resource.attribute.labels.key auf &signiert und Wert in target.resource.attribute.labels.value gespeichert
Signaturstatus target.resource.attribute.labels.key auf "SignatureStatus&quot festgelegt und der Wert in target.resource.attribute.labels.value gespeichert

Ereignis-ID: 7

NXLog-Feld UDM-Feld
metadata.event_type auf &PROCESS_MODULE_LOAD gesetzt
Regelname security_result.rule_name
Utc metadata.event_timestamp
Anleitung Principal.process.product_specific_process_id auf SYSMON festgelegt:<ProcessGuid>
Prozess-ID Principal.process.pid
Bild Principal.process.file.full_path
ImageLoaded (Bild geladen) target.process.file.full_path
Beschreibung Metadaten.Beschreibung
hashes Das Feld wird vom Hash-Algorithmus bestimmt.
  • MD5 in „target.process.file.md5“ gespeichert
  • SHA256 gespeichert in target.process.file.sha256
  • SHA1 gespeichert in target.process.file.sha1
Unterzeichnet target.resource.attribute.labels.key auf "Signed&quot festgelegt und Wert in target.resource.attribute.labels.value gespeichert
Unterschrift target.resource.attribute.labels.key auf "Signature"
festgelegt Signaturwert in target.resource.attribute.labels.value
Signaturstatus target.resource.attribute.labels.key auf "SignatureStatus&quot festgelegt und der Wert in target.resource.attribute.labels.value gespeichert

Ereignis-ID: 8

NXLog-Feld UDM-Feld
metadata.event_type auf &PROCESS_MODULE_LOAD gesetzt
Regelname security_result.rule_name
Utc metadata.event_timestamp
Anleitung für Quellcode Principal.process.product_specific_process_id auf &SYtMON:<SourceProcessGuid>" festgelegt
Quellprozess-ID Principal.process.pid
Quellbild Principal.process.file.full_path
Anleitung für Zielprozesse target.process.product_specific_process_id auf "SYSMON festgelegt:<TargetProcessGuid>"
Zielprozess-ID target.process.pid (Ziel-ID)
Zielbild target.process.file.full_path

Ereignis-ID: 9

NXLog-Feld UDM-Feld
metadata.event_type auf &FILE_READ" festgelegt

Wenn das Feld „Geräteprotokoll“, das zum Validieren des Ereignistyps „FILE_READ UDM“ erforderlich ist, nicht verfügbar ist, „metadata.event_type“ ist auf „"GENERIC_EVENT&quot“ festgelegt.

Regelname security_result.rule_name
Utc metadata.event_timestamp
Anleitung Principal.process.product_specific_process_id auf SYSMON festgelegt:<ProcessGuid>
Prozess-ID Principal.process.pid
Bild Principal.process.file.full_path
Gerät target.file.full_path

Ereignis-ID: 10

NXLog-Feld UDM-Feld
metadata.event_type auf &PROCESS_OPEN"

target.resource.resource_subtype auf "GrantedAccess&quot festgelegt
Regelname security_result.rule_name
Utc metadata.event_timestamp
Quellprozess-GUID Principal.process.product_specific_process_id auf &SYtMON:<SourceProcessGuid>" festgelegt
Quellprozess-ID Principal.process.pid
Quellbild Principal.process.file.full_path
Zielprozess-ID target.process.product_specific_process_id auf "SYSMON festgelegt:<TargetProcessGuid>"
Zielprozess-ID target.process.pid (Ziel-ID)
Zielbild target.process.file.full_path
Gewährte Zugriff target.resource.name

Termin-ID: 11

NXLog-Feld UDM-Feld
metadata.event_type auf &FILE_CREATION"

target.resource.resource_subtype auf „CreationUtcTime&quot“ festgelegt
Regelname security_result.rule_name
Utc metadata.event_timestamp
Anleitung Principal.process.product_specific_process_id auf &SYtMON:<ProcessGuid>" festgelegt
Prozess-ID Principal.process.pid
Bild Principal.process.file.full_path
Name der Zieldatei target.file.full_path
Erstellungszeit target.resource.name

Termin-ID: 12

NXLog-Feld UDM-Feld
Wenn das Feld "Message" den Wert "&Key|CreateValue&Create"
Regelname security_result.rule_name
Utc metadata.event_timestamp
Anleitung Principal.process.product_specific_process_id auf &SYtMON:<ProcessGuid>" festgelegt
Prozess-ID Principal.process.pid
Bild Principal.process.file.full_path
Zielobjekt target.Registry.Registry_Schlüssel

Termin-ID: 13

NXLog-Feld UDM-Feld
metadata.event_type auf &REGISTRY_MODIFICATION festgelegt
Regelname security_result.rule_name
Utc metadata.event_timestamp
Anleitung Principal.process.product_specific_process_id auf &SYtMON:<ProcessGuid>" festgelegt
Prozess-ID Principal.process.pid
Bild Principal.process.file.full_path
Zielobjekt target.Registry.Registry_Schlüssel
Details target.Registry.Registry_Wert_Daten

Termin-ID: 14

NXLog-Feld UDM-Feld
metadata.event_type auf &REGISTRY_MODIFICATION festgelegt
Regelname security_result.rule_name
Utc metadata.event_timestamp
Anleitung Principal.process.product_specific_process_id auf &SYtMON:<ProcessGuid>" festgelegt
Prozess-ID Principal.process.pid
Bild Principal.process.file.full_path
Zielobjekt src.Registry.Registry_Schlüssel
Neuer Name target.Registry.Registry_Schlüssel

Termin-ID: 15

NXLog-Feld UDM-Feld
metadata.event_type auf FILE_CREATION festgelegt
Regelname security_result.rule_name
Utc metadata.event_timestamp
Anleitung Principal.process.product_specific_process_id auf &SYtMON:<ProcessGuid>" festgelegt
Prozess-ID Principal.process.pid
Bild Principal.process.file.full_path
Name der Zieldatei target.file.full_path
Erstellungszeit target.resource.attribute.labels.key auf "CreationUtcTime" und auf in target.resource.attribute.labels.value gespeicherter Wert festgelegt
Hash Das Feld wird vom Hash-Algorithmus bestimmt.
  • Bei MD5 wird der Wert in target.process.file.md5 gespeichert.
  • Wenn SHA256 auf den Wert festgelegt ist, wird sie in target.process.file.sha256 gespeichert.
  • Bei SHA1 wird der Wert in target.process.file.sha1 gespeichert.

Termin-ID: 16

NXLog-Feld UDM-Feld
metadata.event_type auf &set_MODIFICATION&quot festgelegt
Utc metadata.event_timestamp
Prozess-ID target.process.pid (Ziel-ID)
Konfiguration Der Wert wird in target.process.command_line gespeichert, wenn dieser Feldwert eine Befehlszeile oder einen Prozess enthält.

Der Wert wird in target.process.file.full_path gespeichert, wenn der Wert dieses Felds den Pfad der Konfigurationsdatei enthält.
KonfigurationsdateiHash Das Feld wird vom Hash-Algorithmus bestimmt.
  • Bei MD5 wird der Wert in target.process.file.md5 gespeichert.
  • Wenn SHA256 auf den Wert festgelegt ist, wird sie in target.process.file.sha256 gespeichert.
  • Bei SHA1 wird der Wert in target.process.file.sha1 gespeichert.

Termin-ID: 17

NXLog-Feld UDM-Feld
metadata.event_type wurde auf &PROCESS_UNCATEGORIZED"

target.resource.resource_type auf „PIPE&quot“ gesetzt
Regelname security_result.rule_name
Utc metadata.event_timestamp
Anleitung target.process.product_specific_process_id auf "SYSMON festgelegt:<ProcessGuid>"
Prozess-ID target.process.pid (Ziel-ID)
Rohrname target.resource.name
Bild target.process.file.full_path

Termin-ID: 18

NXLog-Feld UDM-Feld
metadata.event_type wurde auf &PROCESS_UNCATEGORIZED"

target.resource.resource_type auf „PIPE&quot“ gesetzt
Regelname security_result.rule_name
Utc metadata.event_timestamp
Anleitung target.process.product_specific_process_id auf "SYSMON festgelegt:<ProcessGuid>"
Prozess-ID target.process.pid (Ziel-ID)
Rohrname target.resource.name
Bild target.process.file.full_path

Termin-ID: 19

NXLog-Feld UDM-Feld
metadata.event_type auf USER_RESOURCE_ACCESS festgelegt
Regelname security_result.rule_name
Utc metadata.event_timestamp
Vorgang
Nutzer Die Domain wird in Principal.administrative_domain gespeichert.

Der Nutzername wird in Principal.user.userid gespeichert.
Ereignis-Namespace target.file.full_path
Name Zielanwendung
Abfrage target.resource.name

Termin-ID: 20

NXLog-Feld UDM-Feld
metadata.event_type auf "USER_RESOURCE_ACCESS" festgelegt
Regelname security_result.rule_name
Utc metadata.event_timestamp
Vorgang target.resource.attribute.labels.key auf &Operationt festgelegt und der Wert wird in target.resource.attribute.labels.value gespeichert
Nutzer Die Domain wird in Principal.administrative_domain gespeichert.

Der Nutzername wird in Principal.user.userid gespeichert.
Name target.resource.attribute.labels.key auf "Name"
Name in „target.resource.attribute.labels.value“ festgelegt
Typ target.resource.attribute.labels.key auf "Type" festgelegt und der Wert wird in target.resource.attribute.labels.value gespeichert
Ziel target.resource.name

Termin-ID: 21

NXLog-Feld UDM-Feld
metadata.event_type auf "USER_RESOURCE_ACCESS" festgelegt
Regelname security_result.rule_name
Utc metadata.event_timestamp
Vorgang target.resource.attribute.labels.key auf &Operationt festgelegt und der Wert wird in target.resource.attribute.labels.value gespeichert
Nutzer Die Domain wird in Principal.administrative_domain gespeichert.

Der Nutzername wird in Principal.user.userid gespeichert.
Nutzer (privat) target.resource.attribute.labels.key auf „Verbraucher“ festgelegt und der Wert wird in „target.resource.attribute.labels.value“ gespeichert
Filter target.resource.name

Termin-ID: 22

NXLog-Feld UDM-Feld
metadata.event_type auf &NETWORK_DNS&

network.application_protocol auf "DNS festgelegt
Regelname security_result.rule_name
Utc metadata.event_timestamp
Anleitung Principal.process.product_specific_process_id auf &SYtMON:<ProcessGuid>" festgelegt
Prozess-ID Principal.process.pid
Name der Suchanfrage network.dns.questions
Abfragestatus Unter „security_result.summary“ gespeichert als "Abfragestatus: "
Abfrageergebnisse Der Typ wird in network.dns.answers.type gespeichert. Werte werden durch ein Semikolon (;) getrennt.
Daten werden in network.dns.answers.data gespeichert.
Werte, die nicht vom Typ sind, werden Netzwerk.dns.answers.data zugeordnet.
Bild Principal.process.file.full_path

Termin-ID: 23

NXLog-Feld UDM-Feld
metadata.event_type auf &FILE_DELETION gesetzt
Regelname security_result.rule_name
Utc metadata.event_timestamp
Anleitung Principal.process.product_specific_process_id auf &SYtMON:<ProcessGuid>" festgelegt
Prozess-ID Principal.process.pid
Nutzer In Principal.administrative_domain gespeicherte Domain

Nutzername in Principal.user.userid gespeichert
Bild Principal.process.file.full_path
Name der Zieldatei target.file.full_path
hashes Das Feld wird vom Hash-Algorithmus bestimmt.
  • MD5 auf target.process.file.md5 festgelegt
  • SHA256 wurde auf target.process.file.sha256 festgelegt
  • SHA1 auf target.process.file.sha1 festgelegt
Ausführbare Das Feld target.resource.attribute.labels.key ist auf "IsExecutable" festgelegt und der Wert wird in target.resource.attribute.labels.value gespeichert.
Archiviert target.resource.attribute.labels.key auf „&Archiviert“ festgelegt und der Wert wird in „target.resource.attribute.labels.value“ gespeichert

Ereignis-ID: 24

NXLog-Feld UDM-Feld
metadata.event_type auf &RESOURCE_READ" festgelegt
Regelname security_result.rule_name
Utc metadata.event_timestamp
Anleitung target.process.product_specific_process_id auf "SYSMON festgelegt:<ProcessGuid>"
Prozess-ID Principal.process.pid
Bild target.process.file.full_path

target.resource.name
Kundeninformationen ip gespeichert in target.ip
Hostname in target.hostname
in Principal.user.userid gespeichert
hashes Das Feld wird vom Hash-Algorithmus bestimmt.
  • Wenn MD5, ein in „target.process.file.md5“ gespeicherter Wert
  • Wenn SHA256, Wert in target.process.file.sha256 gespeichert
  • Wenn SHA1, Wert in target.process.file.sha1 gespeichert
Archiviert target.resource.attribute.labels.key auf „Archiviert“ und „Wert“ in „target.resource.attribute.labels.value“ gespeichert

Termin-ID: 25

NXLog-Feld UDM-Feld
metadata.event_type auf &PROCESS_LAUNCH" festgelegt
Regelname security_result.rule_name
Utc metadata.event_timestamp
Anleitung target.process.product_specific_process_id gespeichert als "SYSMON:<ProcessGuid>"
Prozess-ID Principal.process.pid
Bild target.process.file.full_path

Termin-ID: 26

NXLog-Feld UDM-Feld
metadata.event_type auf FILE_DELETION festgelegt
Regelname security_result.rule_name
Utc metadata.event_timestamp
Anleitung Principal.process.product_specific_process_id auf SYSMON:%{ProcessGuid} festgelegt
Prozess-ID Principal.process.pid
Nutzer Domain auf Principal.administrative_domain gesetzt

Nutzername auf Principal.user.userid festgelegt
Bild Principal.process.file.full_path
Name der Zieldatei target.file.full_path
hashes Basierend auf dem Hash-Algorithmus.
MD5 auf target.process.file.md5 festgelegt
SHA256 auf target.process.file.sha256 festgelegt
SHA1 auf target.process.file.sha1 festgelegt
Ausführbare Wert für target.resource.attribute.labels.key auf "IsExecutable" in target.resource.attribute.labels.value festgelegt

Ereignis-ID: 255

NXLog-Feld UDM-Feld
metadata.event_type wurde auf SERVICE_UNSPECIFIED festgelegt

metadata.product_event_type wurde auf „Fehler“ – [255]&

target.application auf "Microsoft Sysmon&quot festgelegt
Utc metadata.event_timestamp
ID Sicherheit_Ergebnis.Zusammenfassung
Beschreibung Sicherheitsergebnis.description