Referencia del esquema de normalización de eventos del Registro del Modelo de información de seguridad avanzada (ASIM): versión preliminar pública
El esquema de eventos del Registro se usa para describir las actividades de creación, modificación o eliminación de entidades del Registro de Windows.
Los eventos del Registro son específicos de los sistemas Windows, pero se notifican mediante distintos sistemas que supervisan Windows, como sistemas EDR (detección y respuesta de punto de conexión), Sysmon o el propio Windows.
Para más información sobre la normalización en Microsoft Sentinel, consulte Normalización y Modelo avanzado de información de seguridad (ASIM).
Importante
El esquema de normalización de eventos del Registro está actualmente en versión preliminar. Esta característica se ofrece sin contrato de nivel de servicio y no se recomienda para cargas de trabajo de producción.
En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Analizadores
Para usar el analizador de unificación que unifica todos los analizadores integrados y asegurarse de que el análisis se ejecuta en todos los orígenes configurados, use imFileEvent como nombre de tabla en la consulta.
Para obtener la lista de analizadores del evento de proceso que proporciona Microsoft Sentinel, consulte la lista de analizadores de ASIM
Implemente los analizadores de unificación y específico del origen desde el repositorio de GitHub de Microsoft Sentinel.
Vea Analizadores de ASIM y Uso de los analizadores de ASIM para obtener más información.
Adición de sus propios analizadores normalizados
Al implementar analizadores personalizados para el modelo de información de eventos del Registro, asigne un nombre a las funciones KQL con la sintaxis siguiente: imRegistry<vendor><Product>.
Agregue las funciones KQL a los analizadores de unificación imRegistry para asegurarse de que cualquier contenido que use el modelo de eventos del Registro también use el analizador nuevo.
Contenido normalizado
Microsoft Sentinel proporciona la consulta de búsqueda Persisting Via IFEO Registry Key. Esta consulta funciona en cualquier dato de actividad del Registro normalizado mediante el Modelo avanzado de información de seguridad.
Para obtener más información, consulte Búsqueda de amenazas con Microsoft Sentinel.
Detalles del esquema
El modelo de información de eventos del Registro se alinea con el esquema de entidad del Registro de OSSEM.
Campos comunes de ASIM
Importante
Los campos comunes a todos los esquemas se describen detalladamente en el artículo Campos comunes de ASIM.
Campos comunes con directrices específicas
La lista siguiente solo enumera los campos que tienen directrices específicas para los eventos de DNS:
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| EventType | Mandatory | Enumerated | Describe la operación notificada por el registro. En el caso del historial del Registro, los valores admitidos incluyen: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Mandatory | String | Versión del esquema. La versión del esquema que se documenta aquí el la versión 0.1.2. |
| EventSchema | Opcional | String | El nombre del esquema que se documenta aquí es RegistryEvent. |
| Campos dvc | En el caso de los eventos de actividad del registro, los campos de dispositivo hacen referencia al sistema en el que se produjo la actividad del registro. |
Importante
El campo EventSchema es actualmente opcional, pero será obligatorio a partir del 1 de septiembre de 2022.
Todos los campos comunes
Los campos que aparecen en la tabla siguiente son comunes a todos los esquemas de ASIM. Cualquier directriz especificada anteriormente invalida las directrices generales para el campo. Por ejemplo, un campo podría ser opcional en general, pero obligatorio para un esquema específico. Para obtener más información sobre cada campo, consulte el siguiente artículo sobre los campos comunes de ASIM.
| Clase | Fields |
|---|---|
| Mandatory | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendado | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcionales | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campos específicos de eventos del Registro
Los campos enumerados en la tabla siguiente son específicos de eventos del Registro, pero son similares a los campos de otros esquemas y siguen convenciones de nomenclatura similares.
Para obtener más información, consulte Estructura del Registro en la documentación de Windows.
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| RegistryKey | Mandatory | String | Clave del Registro asociada a la operación, normalizada a las convenciones de nomenclatura de claves raíz estándar. Para más información, consulte Claves raíz. Las claves del Registro son similares a las carpetas de los sistemas de archivos. Por ejemplo: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Recomendado | String | Valor del Registro asociado a la operación. Los valores del Registro son similares a los archivos de los sistemas de archivos. Por ejemplo: Path |
| RegistryValueType | Recomendado | String | Tipo de valor del Registro, normalizado al formato estándar. Para obtener más información, vea Tipos de valor. Por ejemplo: Reg_Expand_Sz |
| RegistryValueData | Recomendado | String | Datos almacenados en el valor del Registro. Ejemplo: C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | Recomendado | String | Para las operaciones que modifican el Registro, clave del Registro original, normalizada a la nomenclatura de clave raíz estándar. Para más información, consulte Claves raíz. Nota: Si la operación cambió otros campos, como el valor, pero la clave sigue siendo la misma, RegistryPreviousKey tendrá el mismo valor que RegistryKey. Ejemplo: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | Recomendado | String | Para las operaciones que modifican el Registro, tipo de valor original, normalizado al formato estándar. Para obtener más información, vea Tipos de valor. Si no se cambió el tipo, este campo tiene el mismo valor que el campo RegistryValueType. Ejemplo: Path |
| RegistryPreviousValueType | Recomendado | String | Para las operaciones que modifican el Registro, tipo de valor original. Si no se ha cambiado el tipo, este campo tendrá el mismo valor que el campo RegistryValueType, normalizado al formato estándar. Para más información, vea Tipos de valor. Ejemplo: Reg_Expand_Sz |
| RegistryPreviousValueData | Recomendado | String | Datos originales del Registro, para las operaciones que modifican el Registro. Ejemplo: C:\Windows\system32;C:\Windows; |
| User | Alias | Alias del campo ActorUsername. Ejemplo: CONTOSO\ dadmin |
|
| Process | Alias | Alias del campo ActingProcessName. Ejemplo: C:\Windows\System32\rundll32.exe |
|
| ActorUsername | Mandatory | String | Nombre de usuario del usuario que inició el evento. Ejemplo: CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | Condicional | Enumerated | Especifica el tipo de nombre de usuario almacenado en el campo ActorUsername. Para obtener más información, consulte Entidad de usuario. Ejemplo: Windows |
| ActorUserId | Recomendado | String | Identificador único de Actor. El identificador específico depende del sistema que genere el evento. Para más información, consulte la Entidad Usuario. Ejemplo: S-1-5-18 |
| ActorScope | Opcionales | String | Ámbito, como el inquilino de Microsoft Entra, en el que se definen ActorUserId y ActorUsername. Para obtener más información y una lista de los valores permitidos, consulte UserScope en el artículo Introducción al esquema. |
| ActorUserIdType | Recomendado | String | Tipo del identificador almacenado en el campo ActorUserId. Para obtener más información, consulte Entidad de usuario. Ejemplo: SID |
| ActorSessionId | Condicional | String | Identificador único de la sesión de inicio de sesión de Actor. Ejemplo: 999Nota: El tipo se define como cadena para admitir distintos sistemas, pero en Windows este valor debe ser numérico. Si usa una máquina Windows y el origen envía un tipo diferente, asegúrese de convertir el valor. Por ejemplo, si el origen envía un valor hexadecimal, conviértalo en un valor decimal. |
| ActingProcessName | Opcional | String | Nombre de archivo del archivo de imagen de proceso de acción. Por lo general, este nombre se considera el nombre del proceso. Ejemplo: C:\Windows\explorer.exe |
| ActingProcessId | Mandatory | String | Identificador de proceso (PID) del proceso de acción. Ejemplo: 48610176 Nota: El tipo se define como cadena para admitir distintos sistemas, pero en Windows y Linux este valor debe ser numérico. Si usa una máquina Windows o Linux y usa un tipo diferente, asegúrese de convertir los valores. Por ejemplo, si ha utilizado un valor hexadecimal, conviértalo en un valor decimal. |
| ActingProcessGuid | Opcional | String | Identificador único (GUID) generado del proceso de acción. Ejemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Opcional | String | Nombre de archivo del archivo de imagen del proceso primario. Por lo general, este valor se considera el nombre del proceso. Ejemplo: C:\Windows\explorer.exe |
| ParentProcessId | Mandatory | String | Identificador de proceso (PID) del proceso primario. Ejemplo: 48610176 |
| ParentProcessGuid | Opcional | String | Identificador único (GUID) generado del proceso primario. Ejemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Claves raíz
Distintos orígenes representan prefijos de clave del Registro mediante representaciones diferentes. Para los campos RegistryKey y RegistryPreviousKey, use los siguientes prefijos normalizados:
| Prefijo de clave normalizado | Otras representaciones comunes |
|---|---|
| HKEY_LOCAL_MACHINE | HKLM, \REGISTRY\MACHINE |
| HKEY_USERS | HKU, \REGISTRY\USER |
Tipos de valor
Los distintos orígenes representan tipos de valor del Registro mediante representaciones diferentes. Para los campos RegistryValueType y RegistryPreviousValueType, use los siguientes tipos normalizados:
| Prefijo de clave normalizado | Otras representaciones comunes |
|---|---|
| Reg_None | None, %%1872 |
| Reg_Sz | String, %%1873 |
| Reg_Expand_Sz | ExpandString, %%1874 |
| Reg_Binary | Binary, %%1875 |
| Reg_DWord | Dword, %%1876 |
| Reg_Multi_Sz | MultiString, %%1879 |
| Reg_QWord | Qword, %%1883 |
Actualizaciones del esquema
Estos son los cambios en la versión 0.1.1 del esquema:
- Se ha agregado el campo
EventSchema.
Estos son los cambios en la versión 0.1.2 del esquema:
- Se han agregado los campos
ActorScope,DvcScopeIdyDvcScope.
Pasos siguientes
Para más información, consulte:
- Normalización en Microsoft Sentinel
- Referencia del esquema de normalización de la autenticación de Microsoft Sentinel (versión preliminar pública)
- Referencia del esquema de normalización de DNS de Microsoft Sentinel
- Referencia del esquema de normalización de eventos de archivo de Microsoft Sentinel (versión preliminar pública)
- Referencia del esquema de normalización de sesiones de red de Microsoft Sentinel