Advanced Security Information Model (ASIM) レジストリ イベント正規化スキーマのリファレンス (パブリック プレビュー)
レジストリ イベント スキーマは、Windows レジストリ エンティティの作成、変更、または削除の Windows アクティビティを記述するために使用されます。
レジストリ イベントは、Windows システムに固有のものですが、Windows を監視するさまざまなシステム (EDR (エンドポイント検出と応答) システム、Sysmon、Windows 自体など) によってレポートされます。
Microsoft Sentinel での正規化の詳細については、正規化と Advanced Security Information Model (ASIM) に関するページを参照してください。
重要
レジストリ イベント正規化スキーマは、現在プレビュー中です。 この機能は、サービス レベル アグリーメントなしで提供されており、運用環境のワークロード用には推奨されていません。
Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
パーサー
組み込みのすべてのパーサーを 1 つにまとめる統一パーサーを使用して、構成済みのソース全体にわたって分析が実行されるようにするには、クエリでテーブル名として imRegistry を使用します。
Microsoft Sentinel が提供するプロセス イベント パーサーの一覧については、ASIM パーサーの一覧を参照してください
Microsoft Sentinel の GitHub リポジトリから、統一パーサーとソース固有のパーサーをデプロイします。
詳細については、ASIM パーサーと ASIM パーサーの使用に関する記事を参照してください。
独自の正規化されたパーサーを追加する
レジストリ イベント情報モデルにカスタム パーサーを実装するときは、imRegistry<vendor><Product> の構文を使用して KQL 関数に名前を付けます。
KQL 関数を統一パーサー imRegistry に追加して、レジストリ イベント モデルが使用されるあらゆるコンテンツでも、新しいパーサーが使用されるようにします。
正規化されたコンテンツ
Microsoft Sentinel には、[IFEO レジストリ キーを使用した永続化] ハンティング クエリが用意されています。 このクエリは、Advanced Security Information Model を使用して正規化された任意のレジストリ アクティビティ データに対して機能します。
詳細については、「Microsoft Sentinel を使用して脅威を追求する」を参照してください。
スキーマの詳細
レジストリ イベント情報モデルは、OSSEM レジストリ エンティティ スキーマに対応しています。
一般的な ASIM フィールド
重要
すべてのスキーマに共通するフィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。
特定のガイドラインを持つ共通フィールド
次の一覧には、プロセス アクティビティ イベントに関する具体的なガイドラインが含まれたフィールドを示しています。
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| EventType | Mandatory | Enumerated | レコードによって報告される操作を記述します。 レジストリ レコードの場合、次の値がサポートされます。 - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Mandatory | String | スキーマのバージョン。 ここに記載されているスキーマのバージョンは 0.1.2 です |
| EventSchema | オプション | String | ここに記載されているスキーマの名前は RegistryEvent です。 |
| Dvc フィールド | レジストリ アクティビティ ベントの場合、デバイス ィールドは、レジストリ アクティビティが発生したシステムを参照します。 |
重要
EventSchema フィールドは現在任意ですが、2022 年 9 月 1 日に必須になります。
すべての共通フィールド
下の表に示すフィールドは、すべての ASIM スキーマに共通です。 上で指定されているガイドラインは、フィールドの一般的なガイドラインに優先します。 たとえば、フィールドは一般的には省略可能ですが、特定のスキーマでは必須です。 各フィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。
| クラス | Fields |
|---|---|
| Mandatory | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| 推奨 | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| オプション | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
レジストリ イベント固有のフィールド
以下の表に示すフィールドはレジストリ イベントに固有ですが、他のスキーマのフィールドに類似しており、同様の名前付け規則に従っています。
詳細については、Windows ドキュメントのレジストリの構造に関するページを参照してください。
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| RegistryKey | Mandatory | String | 操作に関連付けられたレジストリ キー。標準のルート キーの名前付け規則に正規化されます。 詳細については、「ルート キー」を参照してください。 レジストリ キーは、ファイル システムのフォルダーに似ています。 例: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | 推奨 | String | 操作に関連付けられたレジストリ値。 レジストリ値は、ファイル システムのファイルに似ています。 例: Path |
| RegistryValueType | 推奨 | String | レジストリ値の型。標準形式に正規化されます。 詳細については、「値の型」を参照してください。 例: Reg_Expand_Sz |
| RegistryValueData | 推奨 | String | レジストリ値に格納されるデータ。 例: C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | 推奨 | String | レジストリを変更する操作での元のレジストリ キー。標準のルート キーの名前付けに正規化されます。 詳細については、「ルート キー」を参照してください。 注: 操作で、値などの他のフィールドが変更された一方で、キーが同じままの場合、RegistryPreviousKey の値は RegistryKey と同じになります。 例: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | 推奨 | String | レジストリを変更する操作での元の値の型。標準形式に正規化されます。 詳細については、「値の型」を参照してください。 型が変更されていない場合、このフィールドの値は RegistryValueType フィールドと同じになります。 例: Path |
| RegistryPreviousValueType | 推奨 | String | レジストリを変更する操作での元の値の型。 型が変更されていない場合、このフィールドの値は RegistryValueType フィールドと同じになります。値は標準形式に正規化されます。 詳細については、値の型に関するページを参照してください。 例: Reg_Expand_Sz |
| RegistryPreviousValueData | 推奨 | String | レジストリを変更する操作での元のレジストリ データ。 例: C:\Windows\system32;C:\Windows; |
| User | エイリアス | ActorUsername フィールドの別名。 例: CONTOSO\ dadmin |
|
| Process | エイリアス | ActingProcessName フィールドの別名。 例: C:\Windows\System32\rundll32.exe |
|
| ActorUsername | Mandatory | String | イベントを開始したユーザーのユーザー名。 例: CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | 条件付き | Enumerated | ActorUsername フィールドに格納されているユーザー名の種類を指定します。 詳細については、「ユーザー エンティティ」を参照してください。 例: Windows |
| ActorUserId | 推奨 | String | Actor の一意の ID。 具体的な ID は、イベントが生成されるシステムによって異なります。 詳細については、「ユーザー エンティティ」を参照してください。 例: S-1-5-18 |
| ActorScope | オプション | String | ActorUserId と ActorUsername が定義されているスコープ (Microsoft Entra テナントなど)。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScope」を参照してください。 |
| ActorUserIdType | 推奨 | String | ActorUserId フィールドに格納されている ID の種類。 詳細については、「ユーザー エンティティ」を参照してください。 例: SID |
| ActorSessionId | 条件付き | String | Actor のログイン セッションの一意の ID。 例: 999注: さまざまなシステムに対応するために、型は "文字列" として定義されますが、Windows ではこの値は数値である必要があります。 Windows マシンを使用しており、かつソースが別の型を送信する場合は、必ず値を変換してください。 たとえば、ソースが 16 進数の値を送信する場合は、10 進数の値に変換します。 |
| ActingProcessName | 省略可能 | String | 実行プロセス イメージ ファイルのファイル名。 この名前は通常、プロセス名と見なされます。 例: C:\Windows\explorer.exe |
| ActingProcessId | Mandatory | String | 実行プロセスのプロセス ID (PID)。 例: 48610176 注: さまざまなシステムに対応するために、型は "文字列" として定義されますが、Windows と Linux ではこの値は数値である必要があります。 Windows または Linux のマシンを使用しており、かつ別の型を使用した場合は、必ず値を変換してください。 たとえば、16 進数の値を使用した場合は、10 進数の値に変換します。 |
| ActingProcessGuid | 省略可能 | String | 実行プロセスの生成された一意識別子 (GUID)。 例: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | 省略可能 | String | 親プロセス イメージ ファイルのファイル名。 この値は通常、プロセス名と見なされます。 例: C:\Windows\explorer.exe |
| ParentProcessId | Mandatory | String | 親プロセスのプロセス ID (PID)。 例: 48610176 |
| ParentProcessGuid | 省略可能 | String | 親プロセスの生成された一意識別子 (GUID)。 例: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
ルート キー
さまざまなソースで、さまざまな表現を使用してレジストリ キー プレフィックスが表されます。 RegistryKey および RegistryPreviousKey フィールドには、次の正規化されたプレフィックスを使用します。
| 正規化されたキー プレフィックス | その他の一般的な表現 |
|---|---|
| HKEY_LOCAL_MACHINE | HKLM、\REGISTRY\MACHINE |
| HKEY_USERS | HKU、 \REGISTRY\USER |
値型
さまざまなソースで、さまざまな表現を使用してレジストリ値の型が表されます。 RegistryValueType および RegistryPreviousValueType フィールドには、次の正規化された型を使用します。
| 正規化されたキー プレフィックス | その他の一般的な表現 |
|---|---|
| Reg_None | None、 %%1872 |
| Reg_Sz | String、 %%1873 |
| Reg_Expand_Sz | ExpandString、 %%1874 |
| Reg_Binary | Binary、 %%1875 |
| Reg_DWord | Dword、 %%1876 |
| Reg_Multi_Sz | MultiString、 %%1879 |
| Reg_QWord | Qword、%%1883 |
スキーマの更新
バージョン 0.1.1 のスキーマの変更点を次に示します。
- フィールド
EventSchemaが追加されました。
スキーマのバージョン 0.1.2 の変更は次のとおりです。
- フィールド
ActorScope、DvcScopeId、およびDvcScopeが追加されました。
次のステップ
詳細については、次を参照してください。