Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Registrierungsereignisschema wird verwendet, um die Windows-Aktivität des Erstellens, Änderns oder Löschens von Windows-Registrierungsentitäten zu beschreiben.
Registrierungsereignisse sind spezifisch für Windows-Systeme, werden jedoch von verschiedenen Systemen gemeldet, die Windows überwachen, z. B. EDR-Systeme (End Point Detection and Response), Sysmon oder Windows selbst.
Weitere Informationen zur Normalisierung in Microsoft Sentinel finden Sie unter Normalisierung und erweitertes Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM).
Parser
Um den vereinheitlichenden Parser zu verwenden, der alle integrierten Parser vereint, und stellen Sie sicher, dass Ihre Analyse in allen konfigurierten Quellen ausgeführt wird, verwenden Sie imRegistry als Tabellennamen in Ihrer Abfrage.
Für die Liste der Prozessereignisparser stellt Microsoft Sentinel sofort einsatzbereite Informationen zur Liste der ASIM-Parser bereit.
Stellen Sie die vereinheitlichenden und quellspezifischen Parser aus dem GitHub-Repository von Microsoft Sentinel bereit.
Weitere Informationen finden Sie unter ASIM-Parser und Verwenden von ASIM-Parsern.
Hinzufügen eigener normalisierter Parser
Benennen Sie beim Implementieren von benutzerdefinierten Parsern für das Registrierungsereignisinformationsmodell ihre KQL-Funktionen mithilfe der folgenden Syntax: imRegistry<vendor><Product>
Fügen Sie die KQL-Funktionen den imRegistry vereinheitlichenden Parsern hinzu, um sicherzustellen, dass alle Inhalte, die das Registrierungsereignismodell verwenden, auch Ihren neuen Parser verwenden.
Normalisierter Inhalt
Microsoft Sentinel stellt die Suchabfrage " Persisting Via IFEO Registry Key " bereit. Diese Abfrage funktioniert für alle Registrierungsaktivitätsdaten, die mit dem Advanced Security Information Model normalisiert werden.
Weitere Informationen finden Sie unter Hunt for threats with Microsoft Sentinel.
Schemadetails
Das Registrierungsereignisinformationsmodell wird mit dem OSSEM-Registrierungsentitätsschema ausgerichtet.
Allgemeine ASIM-Felder
Von Bedeutung
Felder, die allen Schemas gemeinsam sind, werden im Artikel Allgemeine ASIM-Felder ausführlich beschrieben.
Allgemeine Felder mit bestimmten Richtlinien
In der folgenden Liste werden Felder erwähnt, die bestimmte Richtlinien für Prozessaktivitätsereignisse enthalten:
| Feld | Class | Typ | Description |
|---|---|---|---|
| EventType | Obligatorisch. | Aufgezählt | Beschreibt den vom Datensatz gemeldeten Vorgang. Für Registrierungsdatensätze umfassen unterstützte Werte: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Obligatorisch. | SchemaVersion (String) | Die Version des Schemas. Die hier dokumentierte Version des Schemas ist 0.1.3. |
| EventSchema | Obligatorisch. | String | Der Name des hier dokumentierten Schemas lautet RegistryEvent. |
| Dvc-Felder | Bei Registrierungsaktivitätsereignissen verweisen Gerätefelder auf das System, auf dem die Registrierungsaktivität aufgetreten ist. |
Alle allgemeinen Felder
Felder, die in der folgenden Tabelle angezeigt werden, sind für alle ASIM-Schemas gleich. Jede oben angegebene Richtlinie setzt die allgemeinen Richtlinien für das Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel Allgemeine ASIM-Felder.
| Klasse | Fields |
|---|---|
| Obligatorisch. |
-
Ereignisanzahl - EventStartZeit - EventEndTime - EventType (Ereignistyp) - EventResult - EventProdukt - EventVendor (Englisch) - EventSchema (Ereignis) - EventSchemaVersion - Dvc |
| Recommended |
-
EventResultDetails - EreignisSchweregrad - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Wahlfrei |
-
EventMessage (Ereignisnachricht) - EventSubtype - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion (EreignisProduktversion) - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcSchnittstelle - ZusätzlicheFelder - DvcDescription - DvcScopeId - Dvc-Bereich |
Spezifische Felder für Registrierungsereignisse
Die in der folgenden Tabelle aufgeführten Felder sind spezifisch für Registrierungsereignisse, ähneln aber Feldern in anderen Schemas und folgen ähnlichen Benennungskonventionen.
Weitere Informationen finden Sie in der Struktur der Registrierung in der Windows-Dokumentation.
| Feld | Class | Typ | Description |
|---|---|---|---|
| RegistryKey | Obligatorisch. | String | Der registrierungsschlüssel, der dem Vorgang zugeordnet ist, normalisiert auf Standardbenennungskonventionen für Stammschlüssel. Weitere Informationen finden Sie unter "Stammschlüssel". Registrierungsschlüssel ähneln Ordnern in Dateisystemen. Beispiel: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Recommended | String | Der Registrierungswert, der dem Vorgang zugeordnet ist. Registrierungswerte ähneln Dateien in Dateisystemen. Beispiel: Path |
| RegistryValueType | Recommended | String | Der Typ des Registrierungswerts, normalisiert in Standardformular. Weitere Informationen finden Sie unter "Werttypen". Beispiel: Reg_Expand_Sz |
| RegistryValueData | Recommended | String | Die im Registrierungswert gespeicherten Daten. Beispiel: C:\Windows\system32;C:\Windows; |
| RegistryVorheriger Schlüssel | Recommended | String | Bei Vorgängen, die die Registrierung ändern, wird der ursprüngliche Registrierungsschlüssel normalisiert und auf die Standardstammschlüsselbenennung normalisiert. Weitere Informationen finden Sie unter "Stammschlüssel". Hinweis: Wenn der Vorgang andere Felder wie den Wert geändert hat, aber der Schlüssel unverändert bleibt, hat der RegistryPreviousKey denselben Wert wie RegistryKey. Beispiel: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegisterVorherWertWert | Recommended | String | Bei Vorgängen, die die Registrierung ändern, wird der ursprüngliche Werttyp auf das Standardformular normalisiert. Weitere Informationen finden Sie unter "Werttypen". Wenn der Typ nicht geändert wurde, hat dieses Feld denselben Wert wie das RegistryValueType-Feld . Beispiel: Path |
| RegistryPreviousValueType | Recommended | String | Bei Vorgängen, die die Registrierung ändern, wird der ursprüngliche Werttyp verwendet. Wenn der Typ nicht geändert wurde, weist dieses Feld denselben Wert wie das RegistryValueType-Feld auf, normalisiert auf das Standardformular. Weitere Informationen finden Sie unter Werttypen. Beispiel: Reg_Expand_Sz |
| RegistryPreviousValueData | Recommended | String | Die ursprünglichen Registrierungsdaten für Vorgänge, die die Registrierung ändern. Beispiel: C:\Windows\system32;C:\Windows; |
| Benutzer | Alias | Alias für das ActorUsername-Feld . Beispiel: CONTOSO\ dadmin |
|
| Prozess | Alias | Alias für das ActingProcessName-Feld . Beispiel: C:\Windows\System32\rundll32.exe |
|
| ActorUsername | Obligatorisch. | Benutzername (String) | Der Benutzername des Benutzers, der das Ereignis initiiert hat. Beispiel: CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | Bedingt | Aufgezählt | Gibt den Typ des Benutzernamens an, der im Feld ActorUsername gespeichert ist. Weitere Informationen finden Sie unter "Benutzerentität". Beispiel: Windows |
| ActorUserId | Recommended | String | Eine eindeutige ID des Actor. Die spezifische ID hängt vom System ab, das das Ereignis generiert. Weitere Informationen finden Sie unter "Benutzerentität". Beispiel: S-1-5-18 |
| ActorScope | Wahlfrei | String | Der Bereich, z. B. der Microsoft Entra-Mandant, in dem ActorUserId und ActorUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht. |
| ActorUserIdType | Bedingt | Aufgezählt | Der Typ der ID, die im Feld ActorUserId gespeichert ist. Weitere Informationen finden Sie unter "Benutzerentität". Beispiel: SID |
| ActorSessionId | Wahlfrei | String | Die eindeutige ID der Anmeldesitzung des Akteurs. Beispiel: 999Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows muss dieser Wert numerisch sein. Wenn Sie einen Windows-Computer verwenden und die Quelle einen anderen Typ sendet, müssen Sie den Wert konvertieren. Wenn die Quelle beispielsweise einen Hexadezimalwert sendet, konvertieren Sie ihn in einen Dezimalwert. |
| ActingProcessName | Wahlfrei | String | Der Dateiname der handelnden Prozessbilddatei. Dieser Name wird in der Regel als Prozessname betrachtet. Beispiel: C:\Windows\explorer.exe |
| ActingProcessId | Obligatorisch. | String | Die Prozess-ID (PID) des handelnden Prozesses. Beispiel: 48610176 Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows und Linux muss dieser Wert numerisch sein. Wenn Sie einen Windows- oder Linux-Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie diesen in einen Dezimalwert. |
| ActingProcessGuid | Wahlfrei | GUID (Saite) | Ein generierter eindeutiger Bezeichner (GUID) des agierenden Prozesses. Beispiel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Wahlfrei | String | Der Dateiname der übergeordneten Prozessbilddatei. Dieser Wert wird in der Regel als Prozessname betrachtet. Beispiel: C:\Windows\explorer.exe |
| ParentProcessId | Obligatorisch. | String | Die Prozess-ID (PID) des übergeordneten Prozesses. Beispiel: 48610176 |
| ParentProcessGuid | Wahlfrei | String | Ein generierter eindeutiger Bezeichner (GUID) des übergeordneten Prozesses. Beispiel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Inspektionsfelder
Die folgenden Felder werden verwendet, um die Inspektion darzustellen, die von einem Sicherheitssystem wie einem EDR-System durchgeführt wird.
| Feld | Class | Typ | Description |
|---|---|---|---|
| RuleName | Wahlfrei | String | Der Name oder die ID der Regel, die den Inspektionsergebnissen zugeordnet ist. |
| RuleNumber | Wahlfrei | Integer | Die Nummer der Regel, die den Inspektionsergebnissen zugeordnet ist. |
| Regel | Bedingt | String | Entweder der Wert von kRuleName oder der Wert von RuleNumber. Bei Verwendung des Werts RuleNumber sollte der Typ in eine Zeichenfolge konvertiert werden. |
| ThreatId | Wahlfrei | String | Die ID der in der Dateiaktivität identifizierten Bedrohung oder Schadsoftware. |
| ThreatName | Wahlfrei | String | Der Name der in der Dateiaktivität identifizierten Bedrohung oder Schadsoftware. Beispiel: EICAR Test File |
| ThreatCategory | Wahlfrei | String | Die Kategorie der in der Dateiaktivität identifizierten Bedrohung oder Schadsoftware. Beispiel: Trojan |
| ThreatRiskLevel | Wahlfrei | RiskLevel (Integer) | Die Risikostufe, die der identifizierten Bedrohung zugeordnet ist. Hierbei muss es sich um eine Zahl zwischen 0 und 100 handeln. Hinweis: Der Wert ist im Quelldatensatz möglicherweise in einer anderen Skala angegeben und muss auf diese Skala normalisiert werden. Der ursprüngliche Wert sollte in ThreatOriginalRiskLevel gespeichert werden. |
| BedrohungOriginalRisikoStufe | Wahlfrei | String | Die Risikostufe, wie vom meldenden Gerät gemeldet. |
| Bedrohungsfeld | Wahlfrei | String | Das Feld, für das eine Bedrohung identifiziert wurde. |
| ThreatConfidence | Wahlfrei | ConfidenceLevel (Integer) | Die Konfidenzstufe der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100 |
| ThreatOriginalConfidence | Wahlfrei | String | Die ursprüngliche Konfidenzstufe der identifizierten Bedrohung, wie vom meldenden Gerät gemeldet. |
| ThreatIsActive | Wahlfrei | Boolean | TRUE, wenn die identifizierte Bedrohung als aktive Bedrohung betrachtet wird. |
| ThreatFirstReportedTime | Wahlfrei | Datum/Uhrzeit | Das erste Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
| ThreatLastReportedTime | Wahlfrei | Datum/Uhrzeit | Das letzte Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
Stammschlüssel
Unterschiedliche Quellen stellen Registrierungsschlüsselpräfixe mit unterschiedlichen Darstellungen dar. Verwenden Sie für die Felder "RegistryKey" und "RegistryPreviousKey " die folgenden normalisierten Präfixe:
| Normalisiertes Schlüsselpräfix | Andere allgemeine Darstellungen |
|---|---|
| HKEY_LOCAL_MACHINE |
HKLM, \REGISTRY\MACHINE |
| HKEY_USERS |
HKU, \REGISTRY\USER |
Werttypen
Unterschiedliche Quellen stellen Registrierungswerttypen mit unterschiedlichen Darstellungen dar. Verwenden Sie für die Felder "RegistryValueType " und "RegistryPreviousValueType " die folgenden normalisierten Typen:
| Normalisiertes Schlüsselpräfix | Andere allgemeine Darstellungen |
|---|---|
| Reg_None |
None, %%1872 |
| Reg_Sz |
String, %%1873 |
| Reg_Expand_Sz |
ExpandString, %%1874 |
| Reg_Binary |
Binary, %%1875 |
| Reg_DWord |
Dword, %%1876 |
| Reg_Multi_Sz |
MultiString, %%1879 |
| Reg_QWord |
Qword, %%1883 |
Schemaupdates
In der Version 0.1.1 des Schemas wurde Folgendes geändert:
- Das Feld
EventSchemawurde hinzugefügt.
Dies sind die Änderungen in Version 0.1.2 des Schemas:
- Die Felder
ActorScope,DvcScopeIdundDvcScopewurden hinzugefügt.
Dies sind die Änderungen in Version 0.1.3 des Schemas:
- Inspektionsfelder wurden hinzugefügt.
Nächste Schritte
Weitere Informationen finden Sie unter:
- Normalisierung in Microsoft Sentinel
- Schemareferenz zur Microsoft Sentinel-Authentifizierungsnormalisierung
- Referenz zum Microsoft Sentinel-DNS-Normalisierungsschema
- Schemareferenz zur Normalisierung von Microsoft Sentinel-Dateiereignissen
- Referenz zum Microsoft Sentinel-Netzwerknormalisierungsschema