A referência do esquema de normalização do Evento de Arquivo do ASIM (Modelo de Informações de Segurança Avançado) (Versão pública)
O esquema de evento do registro é usado para descrever a atividade do Windows de criação, modificação ou exclusão de entidades do registro do Windows.
Os eventos de registro são específicos para sistemas Windows, mas são relatados por sistemas diferentes que monitoram Windows, como os sistemas EDR (detecção de ponto de extremidade e resposta), Sysmon ou Windows em si.
Para saber mais sobre a normalização no Microsoft Sentinel, confira Normalização e o ASIM (Modelo de Informações de Segurança Avançado).
Importante
O esquema de normalização de eventos do registro está atualmente em VERSÃO PRÉVIA. Esse recurso é fornecido sem um contrato de nível de serviço e não é recomendado para cargas de trabalho de produção.
Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Analisadores
Para usar o analisador unificador que unifica todos os analisadores internos e garantir que sua análise seja executada em todas as fontes configuradas, use imRegistry como o nome da tabela em sua consulta.
Para obter a lista dos analisadores de Eventos de Processo que o Microsoft Sentinel fornece prontos para uso, consulte a Lista dos analisadores do ASIM
Implante os analisadores unificadores e específicos de origem do repositório do GitHub do Microsoft Sentinel.
Para obter mais informações, confira Analisadores do ASIM e Usar analisadores do ASIM.
Adicionar seus próprios analisadores normalizados
Ao implementar analisadores personalizados para o modelo de informação do Evento do Registro, dê um nome às suas funções KQL usando a seguinte sintaxe: imRegistry<vendor><Product>
.
Adicione suas funções KQL aos analisadores unificadores imRegistry
para garantir que qualquer conteúdo usando o modelo do Evento do Registro também use o novo analisador.
Conteúdo normalizado
O Microsoft Azure Sentinel oferece a consulta de busca por Chave do Registro persistente via IFEO. Essa consulta funciona nos dados da atividade de registro normalizado usando o Modelo de Informações de Segurança Avançado.
Para saber mais, confira Buscar ameaças com o Microsoft Azure Sentinel.
Detalhes do esquema
O modelo de informação de Evento do Registro é alinhado com o esquema de entidade do registro OSSEM.
Campos comuns do ASIM
Importante
Os campos comuns a todos os esquemas estão descritos em detalhes no artigo Campos comuns do ASIM.
Campos comuns com diretrizes específicas
A lista a seguir menciona os campos que têm diretrizes específicas para eventos da atividade de processo:
Campo | Classe | Tipo | Descrição |
---|---|---|---|
EventType | Obrigatório | Enumerated | Descreve a operação relatada pelo registro. Para registros de Registro, os valores compatíveis incluem: - RegistryKeyCreated - RegistryKeyDeleted - RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
EventSchemaVersion | Obrigatório | String | A versão do esquema. A versão do esquema documentado aqui é a 0.1.2 |
EventSchema | Opcional | String | O nome do esquema documentado aqui é RegistryEvent . |
Campos Dvc | Para eventos de atividade do registro, os campos de dispositivo referem-se ao sistema no qual a atividade do registro ocorreu. |
Importante
No momento, o campo EventSchema
é opcional, mas ele será obrigatório a partir de 1º de setembro de 2022.
Todos os campos comuns
Os campos que aparecem na tabela abaixo são comuns a todos os esquemas do ASIM. Qualquer diretriz especificada acima substitui as diretrizes gerais do campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para saber mais sobre cada campo, confira o artigo Campos comuns do ASIM.
Classe | Fields |
---|---|
Obrigatório | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
Recomendadas | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
Opcional | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campos específicos do Evento do Registro
Os campos listados na tabela a seguir são específicos para eventos do Registro, mas são semelhantes aos campos em outros esquemas e seguem convenções de nomenclatura semelhantes.
Para obter mais informações, confira Estrutura do Registro na documentação do Windows.
Campo | Classe | Tipo | Descrição |
---|---|---|---|
RegistryKey | Obrigatório | String | A chave do Registro associada à operação, normalizada para convenções de nomenclatura de chave raiz padrão. Para obter mais informações, confira Chaves raiz. As chaves do Registro são semelhantes às pastas em sistemas de arquivos. Por exemplo: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
RegistryValue | Recomendadas | String | O valor de registro associado à operação. As chaves de registro são semelhantes às pastas em sistemas de arquivos. Por exemplo: Path |
RegistryValueType | Recomendadas | String | O tipo de valor de registro, normalizado para o formulário padrão. Para obter mais informações, consulte Value Types (Tipos de Valor). Por exemplo: Reg_Expand_Sz |
RegistryValueData | Recomendadas | String | Os dados armazenados no valor de registro. Exemplo: C:\Windows\system32;C:\Windows; |
RegistryPreviousKey | Recomendadas | String | Para operações que mudam o registro, a chave do Registro original, normalizada para a nomenclatura de chave raiz padrão. Para obter mais informações, confira Chaves raiz. Observação: se a operação tiver mudado outros campos, como o valor, mas a chave permanecer a mesma, RegistryPreviousKey terá o mesmo valor que RegistryKey. Exemplo: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
RegistryPreviousValue | Recomendadas | String | Para operações que mudam o registro, o tipo de valor original, normalizado para o formulário padrão. Para obter mais informações, consulte Value Types (Tipos de Valor). Se o tipo não tiver sido alterado, esse campo terá o mesmo valor que o campo RegistryValueType. Exemplo: Path |
RegistryPreviousValueType | Recomendadas | String | Para operações que mudam o registro, o tipo de valor original. Se o tipo não tiver sido alterado, esse campo terá o mesmo valor que o campo RegistryValueType, normalizado para o formulário padrão. Para obter mais informações, confira Tipos de valor. Exemplo: Reg_Expand_Sz |
RegistryPreviousValueData | Recomendadas | String | Os dados de registro originais, para operações que mudam o registro. Exemplo: C:\Windows\system32;C:\Windows; |
Usuário | Alias | Alias para o campo ActorUsername. Exemplo: CONTOSO\ dadmin |
|
Processo | Alias | Alias para o campo ActingProcessName. Exemplo: C:\Windows\System32\rundll32.exe |
|
ActorUsername | Obrigatório | String | O nome do usuário que iniciou o evento. Exemplo: CONTOSO\WIN-GG82ULGC9GO$ |
ActorUsernameType | Condicional | Enumerated | Especifica o tipo de nome de usuário armazenado no campo ActorUsername. Para saber mais, confira A entidade de usuário. Exemplo: Windows |
ActorUserId | Recomendadas | String | A ID exclusiva de Actor. A ID específica depende do sistema que gera o evento. Para saber mais, confira A entidade de usuário. Exemplo: S-1-5-18 |
ActorScope | Opcional | String | O escopo, como o locatário do Microsoft Entra, no qual são definidos ActorUserId e ActorUsername. Para obter mais informações e uma lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema. |
ActorUserIdType | Recomendadas | String | O tipo da ID armazenada no campo ActorUserId. Para saber mais, confira A entidade de usuário. Exemplo: SID |
ActorSessionId | Condicional | String | A ID exclusiva da sessão de logon de Actor. Exemplo: 999 Observação: o tipo é definido como uma cadeia de caracteres para oferecer compatibilidade com vários sistemas, mas no Windows esse valor deve ser numérico. Se você estiver usando um computador Windows e a origem enviar um tipo diferente, converta o valor. Por exemplo, se a origem enviar um valor hexadecimal, converta-o em um valor decimal. |
ActingProcessName | Opcional | Cadeia de caracteres | O nome de arquivo do arquivo de imagem do processo de ação. Normalmente, esse nome é considerado como o nome do processo. Exemplo: C:\Windows\explorer.exe |
ActingProcessId | Obrigatório | String | O PID (ID do processo) do processo de ação. Exemplo: 48610176 Observação: o tipo é definido como uma cadeia de caracteres para ser compatível com sistemas variados, mas no Windows e no Linux esse valor deve ser numérico. Se você estiver usando um computador Windows ou Linux e tiver usado um tipo diferente, converta os valores. Por exemplo, se você tiver usado um valor hexadecimal, converta-o em um valor decimal. |
ActingProcessGuid | Opcional | Cadeia de caracteres | Um GUID (identificador exclusivo) gerado do processo de ação. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
ParentProcessName | Opcional | Cadeia de caracteres | O nome de arquivo do arquivo de imagem do processo pai. Normalmente, esse valor é considerado como o nome do processo. Exemplo: C:\Windows\explorer.exe |
ParentProcessId | Obrigatório | String | O PID (ID do processo) do processo pai. Exemplo: 48610176 |
ParentProcessGuid | Opcional | Cadeia de caracteres | Um GUID (identificador exclusivo) gerado do processo pai. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Chaves raiz
Origens diferentes representam prefixos de chave do Registro usando diferentes representações. Para os campos RegistryKey e RegistryPreviousKey, use os seguintes prefixos normalizados:
Prefixo de chave normalizado | Outras representações comuns |
---|---|
HKEY_LOCAL_MACHINE | HKLM , \REGISTRY\MACHINE |
HKEY_USERS | HKU , \REGISTRY\USER |
Tipos de valor
Fontes diferentes representam tipos de valor de registro usando diferentes representações. Para os campos RegistryValueType e RegistryPreviousValueType, use os seguintes tipos normalizados:
Prefixo de chave normalizado | Outras representações comuns |
---|---|
Reg_None | None , %%1872 |
Reg_Sz | String , %%1873 |
Reg_Expand_Sz | ExpandString , %%1874 |
Reg_Binary | Binary , %%1875 |
Reg_DWord | Dword , %%1876 |
Reg_Multi_Sz | MultiString , %%1879 |
Reg_QWord | Qword , %%1883 |
Atualizações de esquema
Essas são as alterações na versão 0.1.1 do esquema:
- Adicionou o campo
EventSchema
.
Essas são as alterações na versão 0.1.2 do esquema:
- Adicionados os campos
ActorScope
,DvcScopeId
eDvcScope
.
Próximas etapas
Para obter mais informações, consulte:
- Normalização no Microsoft Azure Sentinel
- Referência de esquema de normalização de autenticação do Microsoft Sentinel (versão prévia pública)
- Referência do esquema de normalização de DNS do Microsoft Sentinel
- Referência do esquema de normalização de evento de arquivo do Microsoft Azure Sentinel (versão prévia pública)
- Referência do esquema de normalização de rede do Microsoft Azure Sentinel