ActionType
在Microsoft Defender for Endpoint (MDE) 中,DeviceProcessEvents 表记录了与设备上进程相关的各种事件。这些事件涵盖了进程在设备上的不同操作或动作类型。以下是一些主要的动作类型及其说明:
进程创建(ProcessCreated): 记录进程开始执行的事件。
例:查询在特定时间内启动的进程。
DeviceProcessEvents
| where ActionType == 'ProcessCreated'
| project DeviceName, FileName, InitiatingProcessCommandLine, Timestamp
进程终止(ProcessTerminated): 记录进程结束执行的事件。
例:查找最近被终止的进程。
DeviceProcessEvents
| where ActionType == 'ProcessTerminated'
| project DeviceName, FileName, InitiatingProcessCommandLine, Timestamp
进程注入(ProcessInjected): 记录一个进程注入代码到另一个进程的事件,通常与恶意行为相关。
例:检测进程注入活动。
DeviceProcessEvents
| where ActionType == 'ProcessInjected'
| project DeviceName, FileName, InitiatingProcessCommandLine, Timestamp
进程篡改(ProcessTampering): 记录对进程的非正常修改,可能指示恶意行为。
例:查询发生进程篡改的事件。
DeviceProcessEvents
| where ActionType == 'ProcessTampering'
| project DeviceName, FileName, InitiatingProcessCommandLine, Timestamp
进程访问(ProcessAccessed): 记录一个进程访问另一个进程的事件,可能用于调试或恶意活动。
例:跟踪进程间的访问行为。
DeviceProcessEvents
| where ActionType == 'ProcessAccessed'
| project DeviceName, FileName, InitiatingProcessCommandLine, Timestamp
这些事件类型为安全分析师提供了宝贵的信息,用于监控和分析设备上进程的活动,以便检测潜在的恶意行为或不正常的进程操作。通过 KQL 查询,可以更细致地分析这些进程事件,以便及时发现并响应可能的安全威胁。
在 Microsoft Defender for Endpoint (MDE) 中,DeviceProcessEvents表不仅提供了关于进程事件的基本信息,还包含了与这些事件相关联的多种维度的信息。这些关联信息有助于深入理解进程事件的背景和上下文。以下是一些主要的关联维度及其说明:
- 设备信息:
- 包括事件发生的设备名称、设备ID、操作系统信息等。
- 例:设备名称(DeviceName)、设备ID(DeviceId)。
- 进程详细信息:
- 包括进程名称、进程路径、进程ID等。
- 例:进程名称(FileName)、进程路径(FolderPath)、进程ID(ProcessId)。
- 时间戳:
- 记录事件发生的具体时间。
- 例:事件时间戳(Timestamp)。
- 用户账户信息:
- 包括执行或启动进程的用户账户信息。
- 例:用户账户名称(InitiatingProcessAccountName)、用户域(InitiatingProcessAccountDomain)。
- 父进程信息:
- 包括启动当前进程的父进程的详细信息。
- 例:父进程名称(InitiatingProcessFileName)、父进程命令行(InitiatingProcessCommandLine)。
- 网络信息:
- 如果进程事件涉及网络活动,可能包括与此相关的网络信息。
- 例:远程IP地址(RemoteIP)、远程URL(RemoteUrl)。
- 安全相关标识:
- 如与进程事件相关的安全警告或风险标识。
- 例:威胁名称(ThreatName)、安全警报ID(AlertId)。
- 进程哈希值:
- 提供进程文件的哈希值,用于唯一标识。
- 例:SHA1、SHA256、MD5 哈希值。
通过分析这些维度的关联信息,安全团队可以从多个角度全面理解进程事件,帮助他们更好地识别、调查和响应安全威胁。KQL 查询允许对这些数据进行深入分析,以便更有效地进行威胁狩猎和安全事件响应。