Справочник по схеме нормализации событий реестра в расширенной информационной модели безопасности (ASIM) (общедоступная предварительная версия)
Схема событий реестра используется для описания действий Windows по созданию, изменению или удалению сущностей реестра Windows.
События реестра относятся только к системам Windows, но выводятся в разных системах, отслеживающих Windows, таких как EDR (обнаружение конечных точек и ответ), Sysmon или Windows.
Дополнительные сведения о нормализации в Microsoft Sentinel см. в статье Нормализация и расширенная информационная модель безопасности (ASIM).
Важно!
Схема нормализации событий реестра в настоящее время находится на ПРЕДВАРИТЕЛЬНОМ ПРОСМОТРЕ. Эта функция предоставляется без соглашения об уровне обслуживания, и ее не рекомендуется использовать в среде для производственных рабочих нагрузок.
Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Средства синтаксического анализа
Чтобы задействовать комплексное средство синтаксического анализа, объединяющее в себе все встроенные средства синтаксического анализа, и обеспечить анализ во всех настроенных источниках, укажите в запросе imRegistry в качестве имени таблицы.
Список стандартных средств синтаксического анализа событий процесса Microsoft Sentinel см. в списке средств синтаксического анализа ASIM.
Средства синтаксического анализа, как комплексные, так и зависимые от источника, можно развернуть из репозитория GitHub Microsoft Sentinel.
Дополнительные сведения см. в статьях Средства синтаксического анализа ASIM и Использование средств синтаксического анализа ASIM.
Добавление собственных нормализованных средств синтаксического анализа
При реализации пользовательских средств синтаксического анализа для информационной модели событий реестра называйте свои функции KQL согласно следующему синтаксису: imRegistry<vendor><Product>.
Добавьте свои функции KQL в комплексные средства синтаксического анализа imRegistry, чтобы в любом содержимом, в котором используется модель событий реестра, также применялось ваше новое средство синтаксического анализа.
Нормализованное содержимое
Microsoft Sentinel предоставляет запрос охоты Сохранение с помощью раздела реестра IFEO. Этот запрос работает с любыми данными об активности реестра, нормализованными с помощью расширенной информационной модели безопасности.
Дополнительные сведения см. в разделе Охота на угрозы с помощью Microsoft Sentinel.
Сведения о схеме
Информационная модель событий реестра соответствует схеме сущности реестра OSSEM.
Общие поля ASIM
Важно!
Поля, общие для всех схем, подробно описаны в статье Общие поля ASIM.
Общие поля с конкретными рекомендациями
В следующем списке упоминаются поля, имеющие определенные рекомендации по обработке событий действий.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| EventType | Обязательно | Enumerated | Описывает операцию, о которой сообщает эта запись. Для записей реестра поддерживаются следующие значения: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Обязательно | Строка | Номер версии схемы. Здесь приведена версия схемы 0.1.2 |
| EventSchema | Необязательно | Строка | Имя описанной здесь схемы — RegistryEvent. |
| Поля Dvc | Для событий действий с реестром поля устройств ссылаются на систему, в которой произошло действие с реестром. |
Важно!
Поле EventSchema в настоящее время необязательно, но станет обязательным с 1 сентября 2022 г.
Все общие поля
Поля, представленные в таблице ниже, являются общими для всех схем ASIM. Все указанные выше рекомендации переопределяют общие рекомендации для поля. Например, поле может быть необязательным в целом, но обязательным для конкретной схемы. Дополнительные сведения о каждом поле см. в статье Общие поля ASIM.
| Class | Поля |
|---|---|
| Обязательно | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Рекомендуемая конфигурация | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Необязательно | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Поля для событий реестра
В этой таблице перечислены поля, применяемые только для событий реестров, но имеющие сходство с полями других схем и использующие сходные соглашения об именовании.
Дополнительные сведения см. в документе Структура реестра в документации по Windows.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| RegistryKey | Обязательно | Строка | Раздел реестра, связанный с операцией, нормализованной до стандартных соглашений об именовании корневых ключей. Дополнительные сведения см. в статье Корневые ключи. Разделы реестра похожи на папки в файловых системах. Пример: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Рекомендуемая конфигурация | Строка | Значение реестра, связанное с операцией. Значения реестра похожи на файлы в файловых системах. Пример: Path |
| RegistryValueType | Рекомендуемая конфигурация | Строка | Тип значения реестра, нормализованного до стандартной формы. Дополнительные сведения см. в статье Типы значений. Пример: Reg_Expand_Sz |
| RegistryValueData | Рекомендуемая конфигурация | Строка | Данные, хранящиеся в значении реестра. Пример: C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | Рекомендуемая конфигурация | Строка | Для операций, вносящих изменения в реестр, исходный раздел реестра, нормализованный до стандартного имени корневого ключа. Дополнительные сведения см. в статье Корневые ключи. Примечание. Если операция внесла изменения в другие поля, например поле значения, но ключ остался прежним, значение RegistryPreviousKey будет совпадать со значением RegistryKey. Пример: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | Рекомендуемая конфигурация | Строка | Для операций, изменяющих реестр, исходный тип значения, нормализованный до стандартной формы. Дополнительные сведения см. в статье Типы значений. Если тип не изменился, значение в этом поле будет совпадать со значением в поле RegistryValueType. Пример: Path |
| RegistryPreviousValueType | Рекомендуемая конфигурация | Строка | Для операций, изменяющих реестр, это исходный тип значения. Если тип не изменился, значение в этом поле будет совпадать со значением в поле RegistryValueType, нормализованным в стандартную форму. Дополнительные сведения см. в разделе Типы значений. Пример: Reg_Expand_Sz |
| RegistryPreviousValueData | Рекомендуемая конфигурация | Строка | Исходный тип значения для операций, изменяющих реестр. Пример: C:\Windows\system32;C:\Windows; |
| Пользователь | Псевдоним | Псевдоним для поля ActorUsername. Пример: CONTOSO\ dadmin |
|
| Обработать | Псевдоним | Псевдоним для поля ActingProcessName. Пример: C:\Windows\System32\rundll32.exe |
|
| ActorUsername | Обязательно | Строка | Имя пользователя, инициировавшего событие. Пример: CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | Условный | Enumerated | Определяет тип имени пользователя, которое хранится в поле ActorUsername. Подробнее см. в статье Сущность пользователя. Пример: Windows |
| ActorUserId | Рекомендуемая конфигурация | Строка | Уникальный идентификатор субъекта Actor. Конкретный идентификатор зависит от системы, генерирующей событие. Подробнее см. в статье Сущность пользователя. Пример: S-1-5-18 |
| ActorScope | Необязательно | Строка | Область, например клиент Microsoft Entra, в котором определены ActorUserId и ActorUsername. или дополнительные сведения и список разрешенных значений см. в разделе UserScope в статье "Обзор схемы". |
| ActorUserIdType | Рекомендуемая конфигурация | Строка | Тип идентификатора, который хранится в поле ActorUserId. Подробнее см. в статье Сущность пользователя. Пример: SID |
| ActorSessionId | Условный | Строка | Уникальный идентификатор сеанса входа субъекта. Пример: 999Примечание. Тип определяется как строка для поддержки различных систем, но в Windows это значение должно быть числовым. Если вы используете компьютеры с Windows и источник отправляет другой тип, обязательно преобразуйте это значение. Например, если источник отправляет шестнадцатеричное значение, преобразуйте его в десятичное. |
| ActingProcessName | Необязательно | Строка | Имя файла образа действующего процесса. Это имя обычно считается именем процесса. Пример: C:\Windows\explorer.exe |
| ActingProcessId | Обязательно | Строка | Идентификатор (PID) действующего процесса. Пример: 48610176 Примечание. Тип определяется как строка для поддержки различных систем, но в Windows и Linux это значение должно быть числовым. Если вы используете компьютер с Windows или Linux и применяете другой тип, обязательно преобразуйте эти значения. Например, если вы использовали шестнадцатеричное значение, преобразуйте его в десятичное. |
| ActingProcessGuid | Необязательно | Строка | Созданный уникальный идентификатор (GUID) действующего процесса. Пример: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Необязательно | Строка | Имя файла образа родительского процесса. Это значение обычно считается именем процесса. Пример: C:\Windows\explorer.exe |
| ParentProcessId | Обязательно | Строка | Идентификатор (PID) родительского процесса. Пример: 48610176 |
| ParentProcessGuid | Необязательно | Строка | Созданный уникальный идентификатор (GUID) действующего процесса. Пример: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Корневые ключи
Разные источники представляют собой префиксы ключей реестра, использующие различные представления. Для полей RegistryKey и RegistryPreviousKey используйте следующие нормализованные префиксы:
| Нормализованный префикс ключа | Другие распространенные представления |
|---|---|
| HKEY_LOCAL_MACHINE | HKLM, \REGISTRY\MACHINE |
| HKEY_USERS | HKU, \REGISTRY\USER |
Типы значений
Разные источники представляют собой типы значений реестра, использующие различные представления. Для полей RegistryValueType и RegistryPreviousValueType используйте следующие нормализованные типы:
| Нормализованный префикс ключа | Другие распространенные представления |
|---|---|
| Reg_None | None, %%1872 |
| Reg_Sz | String, %%1873 |
| Reg_Expand_Sz | ExpandString, %%1874 |
| Reg_Binary | Binary, %%1875 |
| Reg_DWord | Dword, %%1876 |
| Reg_Multi_Sz | MultiString, %%1879 |
| Reg_QWord | Qword, %%1883 |
Обновления схемы
Ниже приведены изменения в версии 0.1.1 схемы:
- Добавлено поле
EventSchema.
Это изменения в схеме версии 0.1.2:
- Добавлены поля
ActorScopeиDvcScopeIdDvcScope..
Дальнейшие действия
Дополнительные сведения см. в разделе:
- Нормализация в Microsoft Sentinel
- Справочник по схеме нормализации проверки подлинности Microsoft Sentinel (общедоступная предварительная версия)
- Справочник по схеме нормализации DNS Microsoft Sentinel
- Справочник по схеме нормализации событий файлов Microsoft Sentinel (общедоступная предварительная версия)
- Справочник по схеме нормализации сети Microsoft Sentinel