Dokumentacja schematu normalizacji zdarzeń rejestru usługi Advanced Security Information Model (ASIM) (publiczna wersja zapoznawcza)
Schemat zdarzeń rejestru służy do opisywania działania systemu Windows tworzenia, modyfikowania lub usuwania jednostek rejestru systemu Windows.
Zdarzenia rejestru są specyficzne dla systemów Windows, ale są zgłaszane przez różne systemy monitorujące system Windows, takie jak systemy EDR (wykrywanie i reagowanie punktów końcowych), Sysmon lub Windows.
Aby uzyskać więcej informacji na temat normalizacji w usłudze Microsoft Sentinel, zobacz Normalizacja i Zaawansowany model informacji o zabezpieczeniach (ASIM).
Ważne
Schemat normalizacji zdarzeń rejestru jest obecnie w wersji zapoznawczej. Ta funkcja jest udostępniana bez umowy dotyczącej poziomu usług i nie jest zalecana w przypadku obciążeń produkcyjnych.
Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Parsery
Aby użyć jednoczącego analizatora, który łączy wszystkie wbudowane analizatory i upewnij się, że analiza jest uruchamiana we wszystkich skonfigurowanych źródłach, użyj funkcji imRegistry jako nazwy tabeli w zapytaniu.
Aby uzyskać listę analizatorów zdarzeń przetwarzania, usługa Microsoft Sentinel udostępnia gotowe do użycia, zapoznaj się z listą analizatorów ASIM
Wdróż analizatory ujednolicające i specyficzne dla źródła z repozytorium GitHub usługi Microsoft Sentinel.
Aby uzyskać więcej informacji, zobacz Analizatory ASIM i Używanie analizatorów ASIM.
Dodawanie własnych znormalizowanych analizatorów
Podczas implementowania niestandardowych analizatorów dla modelu informacji o zdarzeniach rejestru nazwij funkcje KQL przy użyciu następującej składni: imRegistry<vendor><Product>.
Dodaj funkcje KQL do imRegistry ujednolicających analizatorów, aby upewnić się, że każda zawartość korzystająca z modelu zdarzeń rejestru używa również nowego analizatora.
Znormalizowana zawartość
Usługa Microsoft Sentinel udostępnia zapytanie utrwalania za pośrednictwem klucza rejestru IFEO. To zapytanie działa na wszystkich danych aktywności rejestru znormalizowanych przy użyciu zaawansowanego modelu informacji o zabezpieczeniach.
Aby uzyskać więcej informacji, zobacz Wyszukiwanie zagrożeń za pomocą usługi Microsoft Sentinel.
Szczegóły schematu
Model informacji o zdarzeniach rejestru jest zgodny ze schematem jednostki rejestru OSSEM.
Typowe pola karty ASIM
Ważne
Pola wspólne dla wszystkich schematów zostały szczegółowo opisane w artykule ASIM Common Fields (Wspólne pola karty ASIM).
Typowe pola z określonymi wytycznymi
Na poniższej liście wymieniono pola, które mają określone wytyczne dotyczące zdarzeń działań procesów:
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Eventtype | Obowiązkowy | Enumerated | Opisuje operację zgłoszoną przez rekord. W przypadku rekordów rejestru obsługiwane wartości to: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Obowiązkowy | Ciąg | Wersja schematu. Wersja schematu udokumentowana tutaj jest 0.1.2 |
| EventSchema | Opcjonalnie | Ciąg | Nazwa schematu udokumentowanego tutaj to RegistryEvent. |
| Pola dvc | W przypadku zdarzeń działań rejestru pola urządzeń odnoszą się do systemu, w którym wystąpiło działanie rejestru. |
Ważne
Pole EventSchema jest obecnie opcjonalne, ale stanie się obowiązkowe 1 września 2022 r.
Wszystkie typowe pola
Pola wyświetlane w poniższej tabeli są wspólne dla wszystkich schematów ASIM. Wszelkie wytyczne określone powyżej zastępują ogólne wytyczne dotyczące pola. Na przykład pole może być ogólnie opcjonalne, ale obowiązkowe dla określonego schematu. Aby uzyskać więcej informacji na temat każdego pola, zapoznaj się z artykułem ASIM Common Fields (Wspólne pola karty ASIM).
| Klasa | Pola |
|---|---|
| Obowiązkowy | - EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Zalecane | - EventResultDetails - EventSeverity - Identyfikator zdarzenia - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcjonalnie | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Właściciel zdarzenia - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Dodatkowe pola - DvcDescription - DvcScopeId - DvcScope |
Pola specyficzne dla zdarzeń rejestru
Pola wymienione w poniższej tabeli są specyficzne dla zdarzeń rejestru, ale są podobne do pól w innych schematach i są zgodne z podobnymi konwencjami nazewnictwa.
Aby uzyskać więcej informacji, zobacz Struktura rejestru w dokumentacji systemu Windows.
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Registrykey | Obowiązkowy | Ciąg | Klucz rejestru skojarzony z operacją znormalizowany do standardowych konwencji nazewnictwa kluczy głównych. Aby uzyskać więcej informacji, zobacz Klucze główne. Klucze rejestru są podobne do folderów w systemach plików. Na przykład: HKEY_LOCAL_MACHINE\SOFTWARE\MTG. |
| RegistryValue | Zalecane | Ciąg | Wartość rejestru skojarzona z operacją. Wartości rejestru są podobne do plików w systemach plików. Na przykład: Path. |
| RegistryValueType | Zalecane | Ciąg | Typ wartości rejestru znormalizowany do formularza standardowego. Aby uzyskać więcej informacji, zobacz Typy wartości. Na przykład: Reg_Expand_Sz. |
| RegistryValueData | Zalecane | Ciąg | Dane przechowywane w wartości rejestru. Przykład: C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | Zalecane | Ciąg | W przypadku operacji modyfikujących rejestr oryginalny klucz rejestru znormalizowany do standardowego nazewnictwa kluczy głównych. Aby uzyskać więcej informacji, zobacz Klucze główne. Uwaga: Jeśli operacja zmieniła inne pola, takie jak wartość, ale klucz pozostanie taki sam, klucz RegistryPreviousKey będzie miał taką samą wartość jak RegistryKey. Przykład: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | Zalecane | Ciąg | W przypadku operacji modyfikujących rejestr oryginalny typ wartości znormalizowany do formularza standardowego. Aby uzyskać więcej informacji, zobacz Typy wartości. Jeśli typ nie został zmieniony, to pole ma taką samą wartość jak pole RegistryValueType . Przykład: Path |
| RegistryPreviousValueType | Zalecane | Ciąg | W przypadku operacji modyfikujących rejestr oryginalny typ wartości. Jeśli typ nie został zmieniony, to pole będzie miało taką samą wartość jak pole RegistryValueType , znormalizowane do formularza standardowego. Aby uzyskać więcej informacji, zobacz Typy wartości. Przykład: Reg_Expand_Sz |
| RegistryPreviousValueData | Zalecane | Ciąg | Oryginalne dane rejestru dla operacji modyfikujących rejestr. Przykład: C:\Windows\system32;C:\Windows; |
| Użytkownik | Alias | Alias w polu ActorUsername . Przykład: CONTOSO\ dadmin |
|
| Proces | Alias | Alias w polu ActingProcessName . Przykład: C:\Windows\System32\rundll32.exe |
|
| AktorUsername | Obowiązkowy | Ciąg | Nazwa użytkownika, który zainicjował zdarzenie. Przykład: CONTOSO\WIN-GG82ULGC9GO$ |
| AktorUsernameType | Warunkowe | Enumerated | Określa typ nazwy użytkownika przechowywanej w polu ActorUsername . Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik. Przykład: Windows |
| AktorUserId | Zalecane | Ciąg | Unikatowy identyfikator aktora. Określony identyfikator zależy od systemu generującego zdarzenie. Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik. Przykład: S-1-5-18 |
| AktorZakres | Opcjonalnie | Ciąg | Zakres, taki jak dzierżawa firmy Microsoft Entra, w którym zdefiniowano element ActorUserId i ActorUsername . lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu. |
| AktorUserIdType | Zalecane | Ciąg | Typ identyfikatora przechowywanego w polu ActorUserId . Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik. Przykład: SID |
| ActorsSessionId | Warunkowe | Ciąg | Unikatowy identyfikator sesji logowania aktora. Przykład: 999Uwaga: typ jest definiowany jako ciąg do obsługi różnych systemów, ale w systemie Windows ta wartość musi być numeryczna. Jeśli używasz maszyny z systemem Windows, a źródło wysyła inny typ, pamiętaj, aby przekonwertować wartość. Jeśli na przykład źródło wysyła wartość szesnastkową, przekonwertuj ją na wartość dziesiętną. |
| ActingProcessName | Opcjonalnie | Ciąg | Nazwa pliku działającego pliku obrazu procesu. Ta nazwa jest zwykle uważana za nazwę procesu. Przykład: C:\Windows\explorer.exe |
| ActingProcessId | Obowiązkowy | Ciąg | Identyfikator procesu (PID) działającego procesu. Przykład: 48610176 Uwaga: typ jest definiowany jako ciąg do obsługi różnych systemów, ale w systemach Windows i Linux ta wartość musi być numeryczna. Jeśli używasz maszyny z systemem Windows lub Linux i używasz innego typu, pamiętaj, aby przekonwertować wartości. Jeśli na przykład użyto wartości szesnastkowej, przekonwertuj ją na wartość dziesiętną. |
| ActingProcessGuid | Opcjonalnie | Ciąg | Wygenerowany unikatowy identyfikator (GUID) działającego procesu. Przykład: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Opcjonalnie | Ciąg | Nazwa pliku nadrzędnego pliku obrazu procesu. Ta wartość jest zwykle uważana za nazwę procesu. Przykład: C:\Windows\explorer.exe |
| ParentProcessId | Obowiązkowy | Ciąg | Identyfikator procesu (PID) procesu nadrzędnego. Przykład: 48610176 |
| ParentProcessGuid | Opcjonalnie | Ciąg | Wygenerowany unikatowy identyfikator (GUID) procesu nadrzędnego. Przykład: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Klucze główne
Różne źródła reprezentują prefiksy kluczy rejestru przy użyciu różnych reprezentacji. W przypadku pól RegistryKey i RegistryPreviousKey użyj następujących znormalizowanych prefiksów:
| Znormalizowany prefiks klucza | Inne typowe reprezentacje |
|---|---|
| HKEY_LOCAL_MACHINE | HKLM, \REGISTRY\MACHINE |
| HKEY_USERS | HKU, \REGISTRY\USER |
Typy wartości
Różne źródła reprezentują typy wartości rejestru przy użyciu różnych reprezentacji. W przypadku pól RegistryValueType i RegistryPreviousValueType użyj następujących znormalizowanych typów:
| Znormalizowany prefiks klucza | Inne typowe reprezentacje |
|---|---|
| Reg_None | None, %%1872 |
| Reg_sz | String, %%1873 |
| Reg_expand_sz | ExpandString, %%1874 |
| Reg_binary | Binary, %%1875 |
| Reg_dword | Dword, %%1876 |
| Reg_multi_sz | MultiString, %%1879 |
| Reg_QWord | Qword, %%1883 |
Aktualizacje schematu
Są to zmiany w wersji 0.1.1 schematu:
- Dodano pole
EventSchema.
Są to zmiany w wersji 0.1.2 schematu:
- Dodano pola
ActorScope,DvcScopeIdiDvcScope.
Następne kroki
Aby uzyskać więcej informacji, zobacz:
- Normalizacja w usłudze Microsoft Sentinel
- Dokumentacja schematu normalizacji uwierzytelniania usługi Microsoft Sentinel (publiczna wersja zapoznawcza)
- Dokumentacja schematu normalizacji DNS usługi Microsoft Sentinel
- Dokumentacja schematu normalizacji zdarzeń pliku usługi Microsoft Sentinel (publiczna wersja zapoznawcza)
- Dokumentacja schematu normalizacji sieci usługi Microsoft Sentinel