Sdílet prostřednictvím

Referenční informace k schématu normalizace událostí registru Advanced Security Information Model (ASIM) (Public Preview)

  • Článek

Schéma událostí registru se používá k popisu aktivity systému Windows při vytváření, úpravách nebo odstraňování entit registru systému Windows.

Události registru jsou specifické pro systémy Windows, ale jsou hlášeny různými systémy, které monitorují Windows, jako jsou systémy EDR (detekce koncových bodů a odezva), Sysmon nebo samotný Systém Windows.

Další informace o normalizaci v Microsoft Sentinelu naleznete v tématu Normalizace a Advanced Security Information Model (ASIM).

Důležité

Schéma normalizace událostí registru je aktuálně ve verzi PREVIEW. Tato funkce je poskytována bez smlouvy o úrovni služeb a nedoporučuje se pro produkční úlohy.

Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Analyzátory

Pokud chcete použít sjednocený analyzátor, který sjednocuje všechny předdefinované analyzátory, a ujistěte se, že se analýza spouští ve všech nakonfigurovaných zdrojích, použijte imRegistry jako název tabulky v dotazu.

Seznam analyzátorů událostí procesu, které Microsoft Sentinel nabízí, najdete v seznamu analyzátorů ASIM.

Nasaďte sjednocení a analyzátory specifické pro zdroj z úložiště GitHub pro Microsoft Sentinel.

Další informace najdete v tématu Analyzátory ASIM a použití analyzátorů ASIM.

Přidání vlastních normalizovaných analyzátorů

Při implementaci vlastních analyzátorů pro informační model událostí registru pojmenujte funkce KQL pomocí následující syntaxe: imRegistry<vendor><Product>

Přidejte funkce KQL do imRegistry unifikujících analyzátorů, abyste zajistili, že jakýkoli obsah využívající model událostí registru bude používat i váš nový analyzátor.

Normalizovaný obsah

Microsoft Sentinel poskytuje dotaz proaktivního vyhledávání klíčů registru IFEO. Tento dotaz funguje na všech datech aktivit registru normalizovaných pomocí modelu Advanced Security Information Model.

Další informace najdete v tématu Proaktivní vyhledávání hrozeb v Microsoft Sentinelu.

Podrobnosti schématu

Model informací o událostech registru je v souladu se schématem entity registru OSSEM.

Běžná pole ASIM

Důležité

Pole společná pro všechna schémata jsou podrobně popsaná v článku o společných polích ASIM.

Běžná pole s konkrétními pokyny

Následující seznam uvádí pole, která mají specifické pokyny pro události aktivity procesů:

Pole Třída Typ Popis
Eventtype Povinný Enumerated Popisuje operaci hlášenou záznamem.

U záznamů registru zahrnují podporované hodnoty:
- RegistryKeyCreated
- RegistryKeyDeleted
- RegistryKeyRenamed
- RegistryValueDeleted
- RegistryValueSet
EventSchemaVersion Povinný Řetězec Verze schématu. Verze zde popsaného schématu je 0.1.2
EventSchema Volitelné Řetězec Název schématu popsaného zde je RegistryEvent.
Pole Dvc V případě událostí aktivit registru pole zařízení odkazují na systém, na kterém došlo k aktivitě registru.

Důležité

Pole EventSchema je aktuálně volitelné, ale stane se povinným dnem 1. září 2022.

Všechna společná pole

Pole, která se zobrazují v následující tabulce, jsou společná pro všechna schémata ASIM. Všechny výše uvedené pokyny přepíší obecné pokyny pro dané pole. Pole může být například volitelné obecně, ale povinné pro konkrétní schéma. Další podrobnosti o jednotlivých polích najdete v článku o společných polích ASIM.

Třída Pole
Povinný - EventCount
- EventStartTime
- EventEndTime
- Eventtype
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Doporučené - EventResultDetails
- EventSeverity
- Id události
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Volitelné - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- UdálostOriginalSeverity
- EventProductVersion
- EventReportUrl
- Vlastník události
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- Další pole
- Popis dvcDescription
- DvcScopeId
- DvcScope

Pole specifická pro událost registru

Pole uvedená v následující tabulce jsou specifická pro události registru, ale jsou podobná polím v jiných schématech a dodržují podobné zásady vytváření názvů.

Další informace naleznete v tématu Struktura registru v dokumentaci systému Windows.

Pole Třída Typ Popis
Registrykey Povinný Řetězec Klíč registru přidružený k operaci, normalizovaný na standardní zásady vytváření názvů kořenových klíčů. Další informace najdete v tématu Kořenové klíče.

Klíče registru jsou podobné složkám v systémech souborů.

Například: HKEY_LOCAL_MACHINE\SOFTWARE\MTG
RegistryValue Doporučené Řetězec Hodnota registru přidružená k operaci. Hodnoty registru jsou podobné souborům v systémech souborů.

Například: Path
RegistryValueType Doporučené Řetězec Typ hodnoty registru normalizovaný na standardní formulář. Další informace naleznete v tématu Typy hodnot.

Například: Reg_Expand_Sz
RegistryValueData Doporučené Řetězec Data uložená v hodnotě registru.

Příklad: C:\Windows\system32;C:\Windows;
RegistryPreviousKey Doporučené Řetězec U operací, které upravují registr, se původní klíč registru normalizuje na standardní pojmenování kořenového klíče. Další informace najdete v tématu Kořenové klíče.

Poznámka: Pokud operace změnila jiná pole, jako je například hodnota, ale klíč zůstane stejný, klíč RegistryPreviousKey bude mít stejnou hodnotu jako RegistryKey.

Příklad: HKEY_LOCAL_MACHINE\SOFTWARE\MTG
RegistryPreviousValue Doporučené Řetězec U operací, které upravují registr, je původní typ hodnoty normalizován do standardního formuláře. Další informace naleznete v tématu Typy hodnot.

Pokud se typ nezměnil, má toto pole stejnou hodnotu jako pole RegistryValueType .

Příklad: Path
RegistryPreviousValueType Doporučené Řetězec Pro operace, které upravují registr, původní typ hodnoty.

Pokud typ nebyl změněn, bude mít toto pole stejnou hodnotu jako pole RegistryValueType normalizované do standardního formuláře. Další informace naleznete v tématu Typy hodnot.

Příklad: Reg_Expand_Sz
RegistryPreviousValueData Doporučené Řetězec Původní data registru pro operace, které upravují registr.

Příklad: C:\Windows\system32;C:\Windows;
Uživatel Alias Alias pole ActorUsername .

Příklad: CONTOSO\ dadmin
Proces Alias Alias pro pole ActingProcessName .

Příklad: C:\Windows\System32\rundll32.exe
ActorUsername Povinný Řetězec Uživatelské jméno uživatele, který událost zahájil.

Příklad: CONTOSO\WIN-GG82ULGC9GO$
ActorUsernameType Podmíněné Enumerated Určuje typ uživatelského jména uloženého v poli ActorUsername . Další informace naleznete v tématu Entita Uživatel.

Příklad: Windows
ActorUserId Doporučené Řetězec Jedinečné ID objektu Actor. Konkrétní ID závisí na systému, který událost generuje. Další informace naleznete v tématu Entita Uživatel.

Příklad: S-1-5-18
ActorScope Volitelné Řetězec Obor, například tenant Microsoft Entra, ve kterém jsou definovány ActorUserId a ActorUsername . nebo další informace a seznam povolených hodnot, viz UserScope v článku Přehled schématu.
ActorUserIdType Doporučené Řetězec Typ ID uloženého v poli ActorUserId . Další informace naleznete v tématu Entita Uživatel.

Příklad: SID
ActorSessionId Podmíněné Řetězec Jedinečné ID relace přihlášení objektu Actor.

Příklad: 999

Poznámka: Typ je definován jako řetězec pro podporu různých systémů, ale v systému Windows musí být tato hodnota číselná. Pokud používáte počítač s Windows a zdroj odesílá jiný typ, nezapomeňte hodnotu převést. Pokud například zdroj odešle šestnáctkovou hodnotu, převeďte ji na desetinnou hodnotu.
ActingProcessName Volitelné Řetězec Název souboru bitové kopie procesu hereckého procesu. Tento název se obvykle považuje za název procesu.

Příklad: C:\Windows\explorer.exe
ActingProcessId Povinný Řetězec ID procesu (PID) procesu.

Příklad: 48610176

Poznámka: Typ je definován jako řetězec pro podporu různých systémů, ale v systému Windows a Linux musí být tato hodnota číselná.

Pokud používáte počítač s Windows nebo Linuxem a používáte jiný typ, nezapomeňte hodnoty převést. Pokud jste například použili šestnáctkovou hodnotu, převeďte ji na desetinnou hodnotu.
ActingProcessGuid Volitelné Řetězec Vygenerovaný jedinečný identifikátor (GUID) hereckého procesu.

Příklad: EF3BD0BD-2B74-60C5-AF5C-010000001E00
ParentProcessName Volitelné Řetězec Název souboru image nadřazeného procesu. Tato hodnota se obvykle považuje za název procesu.

Příklad: C:\Windows\explorer.exe
ParentProcessId Povinný Řetězec ID procesu (PID) nadřazeného procesu.

Příklad: 48610176
ParentProcessGuid Volitelné Řetězec Vygenerovaný jedinečný identifikátor (GUID) nadřazeného procesu.

Příklad: EF3BD0BD-2B74-60C5-AF5C-010000001E00

Kořenové klíče

Různé zdroje představují předpony klíče registru pomocí různých reprezentací. Pro pole RegistryKey a RegistryPreviousKey použijte následující normalizované předpony:

Normalizovaná předpona klíče Další běžné reprezentace
HKEY_LOCAL_MACHINE HKLM, \REGISTRY\MACHINE
HKEY_USERS HKU, \REGISTRY\USER

Typy hodnot

Různé zdroje představují typy hodnot registru pomocí různých reprezentací. Pro pole RegistryValueType a RegistryPreviousValueType použijte následující normalizované typy:

Normalizovaná předpona klíče Další běžné reprezentace
Reg_None None, %%1872
Reg_sz String, %%1873
Reg_expand_sz ExpandString, %%1874
Reg_binary Binary, %%1875
Reg_dword Dword, %%1876
Reg_multi_sz MultiString, %%1879
Reg_QWord Qword, %%1883

Aktualizace schématu

Jedná se o změny ve verzi 0.1.1 schématu:

  • Bylo přidáno pole EventSchema.

Jedná se o změny ve verzi 0.1.2 schématu:

  • Byla přidána pole ActorScope, DvcScopeIda DvcScope..

Další kroky

Další informace naleznete zde: