Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El esquema de eventos del Registro se usa para describir la actividad de Windows de crear, modificar o eliminar entidades del Registro de Windows.
Los eventos del Registro son específicos de los sistemas Windows, pero se notifican mediante sistemas diferentes que supervisan Windows, como sistemas EDR (detección de punto de conexión y respuesta), Sysmon o Windows.
Para más información sobre la normalización en Microsoft Sentinel, consulte Normalización y Modelo avanzado de información de seguridad (ASIM).
Analizadores
Para usar el analizador unificador que unifica todos los analizadores integrados y asegúrese de que el análisis se ejecuta en todos los orígenes configurados, use imRegistry como nombre de tabla en la consulta.
Para obtener la lista de analizadores de eventos de proceso, Microsoft Sentinel proporciona referencia rápida a la lista de analizadores de ASIM.
Implemente los analizadores unificadores y específicos del origen desde el repositorio de GitHub de Microsoft Sentinel.
Para obtener más información, consulte Analizadores de ASIM y Uso de analizadores de ASIM.
Adición de sus propios analizadores normalizados
Al implementar analizadores personalizados para el modelo de información de eventos del Registro, asigne un nombre a las funciones de KQL mediante la sintaxis siguiente: imRegistry<vendor><Product>.
Agregue las funciones de KQL a los imRegistry analizadores unificantes para asegurarse de que cualquier contenido que use el modelo de eventos del Registro también use el nuevo analizador.
Contenido normalizado
Microsoft Sentinel proporciona la consulta de búsqueda de claves del Registro IFEO persistente a través de . Esta consulta funciona en los datos de actividad del Registro normalizados mediante el modelo de información de seguridad avanzada.
Para más información, consulte Búsqueda de amenazas con Microsoft Sentinel.
Detalles del esquema
El modelo de información de eventos del Registro se alinea con el esquema de entidad del Registro de OSSEM.
Campos comunes de ASIM
Importante
Los campos comunes a todos los esquemas se describen detalladamente en el artículo Campos comunes de ASIM.
Campos comunes con directrices específicas
La lista siguiente solo enumera los campos que tienen directrices específicas para los eventos de DNS:
| Campo | Class | Tipo | Description |
|---|---|---|---|
| EventType | Mandatory | Enumerado | Describe la operación notificada por el registro. En el caso de los registros del Registro, los valores admitidos incluyen: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Mandatory | SchemaVersion (cadena) | Versión del esquema. La versión del esquema que se documenta aquí el la versión 0.1.3. |
| EventSchema | Mandatory | String | El nombre del esquema que se documenta aquí es RegistryEvent. |
| Campos dvc | Para los eventos de actividad del Registro, los campos de dispositivo hacen referencia al sistema en el que se produjo la actividad del Registro. |
Todos los campos comunes
Los campos que aparecen en la tabla siguiente son comunes a todos los esquemas de ASIM. Cualquier directriz especificada anteriormente invalida las directrices generales para el campo. Por ejemplo, un campo podría ser opcional en general, pero obligatorio para un esquema específico. Para obtener más información sobre cada campo, consulte el siguiente artículo sobre los campos comunes de ASIM.
| Clase | Campos |
|---|---|
| Mandatory |
-
Recuento de eventos - EventoInicio - EventoEndTime - Tipo de evento - EventoResultado - EventProduct - ProveedorDeevento - EventSchema - EventSchemaVersion - Dvc |
| Recommended |
-
DetallesResultadoEvento - Severidad del evento - EventUid - DvcIpAddr - DvcNombre de host - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional |
-
Mensaje de evento - Subtipo de evento - EventoOriginalUid - EventoOriginalType - Subtipo OriginalEvento - EventoOriginalDetallesResultados - EventoOriginalSeveridad - EventProductVersion - EventReportUrl - Propietario del evento - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campos adicionales - Descripción de Dvc - DvcScopeId - DvcScope |
Campos específicos del evento del Registro
Los campos enumerados en la tabla siguiente son específicos de los eventos del Registro, pero son similares a los campos de otros esquemas y siguen convenciones de nomenclatura similares.
Para obtener más información, vea Estructura del Registro en la documentación de Windows.
| Campo | Class | Tipo | Description |
|---|---|---|---|
| RegistryKey | Mandatory | String | Clave del Registro asociada a la operación, normalizada a convenciones de nomenclatura de clave raíz estándar. Para obtener más información, consulte Claves raíz. Las claves del Registro son similares a las carpetas de los sistemas de archivos. Por ejemplo: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Recommended | String | Valor del Registro asociado a la operación. Los valores del Registro son similares a los archivos de los sistemas de archivos. Por ejemplo: Path |
| RegistroValorTipo | Recommended | String | Tipo de valor del Registro, normalizado al formulario estándar. Para obtener más información, vea Tipos de valor. Por ejemplo: Reg_Expand_Sz |
| RegistryValueData | Recommended | String | Los datos almacenados en el valor del Registro. Ejemplo: C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | Recommended | String | En el caso de las operaciones que modifican el Registro, la clave del Registro original, normalizada a la nomenclatura de clave raíz estándar. Para obtener más información, consulte Claves raíz. Nota: Si la operación cambió otros campos, como el valor, pero la clave sigue siendo la misma, RegistryPreviousKey tendrá el mismo valor que RegistryKey. Ejemplo: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | Recommended | String | Para las operaciones que modifican el Registro, el tipo de valor original, normalizado en el formulario estándar. Para obtener más información, vea Tipos de valor. Si no se cambió el tipo, este campo tiene el mismo valor que el campo RegistryValueType . Ejemplo: Path |
| RegistryPreviousValueType | Recommended | String | Para las operaciones que modifican el Registro, el tipo de valor original. Si no se cambió el tipo, este campo tendrá el mismo valor que el campo RegistryValueType , normalizado en el formulario estándar. Para obtener más información, vea Tipos de valor. Ejemplo: Reg_Expand_Sz |
| RegistryPreviousValueData | Recommended | String | Los datos del Registro originales, para las operaciones que modifican el registro. Ejemplo: C:\Windows\system32;C:\Windows; |
| Usuario | Alias | Alias del campo ActorUsername . Ejemplo: CONTOSO\ dadmin |
|
| Proceso | Alias | Alias para el campo ActingProcessName . Ejemplo: C:\Windows\System32\rundll32.exe |
|
| ActorUsername | Mandatory | Nombre de usuario (cadena) | Nombre de usuario del usuario que inició el evento. Ejemplo: CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | Condicional | Enumerado | Especifica el tipo de nombre de usuario almacenado en el campo ActorUsername. Para obtener más información, consulte La entidad User. Ejemplo: Windows |
| ActorUserId | Recommended | String | Identificador único del actor. El identificador específico depende del sistema que genera el evento. Para obtener más información, consulte La entidad User. Ejemplo: S-1-5-18 |
| ActorScope | Opcional | String | El ámbito, como el inquilino de Microsoft Entra, en el que se definen ActorUserId y ActorUsername. Para obtener más información y una lista de los valores permitidos, consulte UserScope en el artículo Introducción al esquema. |
| ActorUserIdType | Condicional | Enumerado | Tipo del identificador almacenado en el campo ActorUserId. Para obtener más información, consulte La entidad User. Ejemplo: SID |
| ActorSessionId | Opcional | String | Identificador único de la sesión de inicio de sesión de Actor. Ejemplo: 999Nota: El tipo se define como cadena para admitir distintos sistemas, pero en Windows este valor debe ser numérico. Si usa una máquina Windows y el origen envía un tipo diferente, asegúrese de convertir el valor. Por ejemplo, si source envía un valor hexadecimal, conviértelo en un valor decimal. |
| Nombre del Proceso de Actuación | Opcional | String | Nombre de archivo del archivo de imagen de proceso que actúa. Este nombre suele considerarse el nombre del proceso. Ejemplo: C:\Windows\explorer.exe |
| ActingProcessId | Mandatory | String | Identificador de proceso (PID) del proceso de acción. Ejemplo: 48610176 Nota: El tipo se define como cadena para admitir distintos sistemas, pero en Windows y Linux este valor debe ser numérico. Si usa una máquina Windows o Linux y usa un tipo diferente, asegúrese de convertir los valores. Por ejemplo, si ha utilizado un valor hexadecimal, conviértalo en un valor decimal. |
| ActingProcessGuid | Opcional | GUID (cuerda) | Identificador único (GUID) generado del proceso de acción. Ejemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Opcional | String | Nombre de archivo del archivo de imagen de proceso primario. Este valor se considera normalmente el nombre del proceso. Ejemplo: C:\Windows\explorer.exe |
| ParentProcessId | Mandatory | String | Identificador de proceso (PID) del proceso primario. Ejemplo: 48610176 |
| ParentProcessGuid | Opcional | String | Identificador único (GUID) generado del proceso principal. Ejemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Campos de inspección
Los siguientes campos se utilizan para representar la inspección realizada por un sistema de seguridad como un sistema EDR.
| Campo | Class | Tipo | Description |
|---|---|---|---|
| RuleName | Opcional | String | Nombre o identificador de la regla asociado a los resultados de la inspección. |
| Número de regla | Opcional | Integer | Número de la regla asociado a los resultados de la inspección. |
| Regla | Condicional | String | El valor de kRuleName o el valor de RuleNumber. Si se usa el valor de RuleNumber, el tipo se debe convertir en cadena. |
| ThreatId | Opcional | String | Identificador de la amenaza o del malware identificados en la actividad del archivo. |
| ThreatName | Opcional | String | Nombre de la amenaza o del malware identificados en la actividad del archivo. Ejemplo: EICAR Test File |
| ThreatCategory | Opcional | String | Categoría de la amenaza o del malware identificados en la actividad del archivo. Ejemplo: Trojan |
| ThreatRiskLevel | Opcional | Nivel de riesgo (entero) | Nivel de riesgo asociado a la amenaza identificada. El nivel debe ser un número entre 0 y 100. Nota: El valor se puede proporcionar en el registro de origen mediante una escala diferente, que se debe normalizar a esta. El valor original debe almacenarse en ThreatOriginalRiskLevel. |
| AmenazaOriginalNivel de Riesgo | Opcional | String | El nivel de riesgo según lo informado por el dispositivo de reporte. |
| ThreatField (Campo de amenazas) | Opcional | String | Campo para el que se identificó una amenaza. |
| ThreatConfidence | Opcional | Nivel de confianza (entero) | Nivel de confianza de la amenaza identificada, normalizada en un valor comprendido entre 0 y 100. |
| ThreatOriginalConfidence | Opcional | String | El nivel de confianza original de la amenaza identificada, tal como lo notifica el dispositivo que informa. |
| ThreatIsActive | Opcional | Boolean | True si la amenaza identificada se considera una amenaza activa. |
| ThreatFirstReportedTime | Opcional | datetime | La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| ThreatLastReportedTime | Opcional | datetime | La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
Claves raíz
Los distintos orígenes representan prefijos de clave del Registro mediante representaciones diferentes. Para los campos RegistryKey y RegistryPreviousKey , use los siguientes prefijos normalizados:
| Prefijo de clave normalizado | Otras representaciones comunes |
|---|---|
| HKEY_LOCAL_MACHINE |
HKLM, \REGISTRY\MACHINE |
| HKEY_USERS |
HKU, \REGISTRY\USER |
Tipos de valor
Los distintos orígenes representan tipos de valor del Registro mediante representaciones diferentes. Para los campos RegistryValueType y RegistryPreviousValueType , use los siguientes tipos normalizados:
| Prefijo de clave normalizado | Otras representaciones comunes |
|---|---|
| Reg_None |
None, %%1872 |
| Reg_Sz |
String, %%1873 |
| Reg_Expand_Sz |
ExpandString, %%1874 |
| Reg_Binary |
Binary, %%1875 |
| Reg_DWord |
Dword, %%1876 |
| Reg_Multi_Sz |
MultiString, %%1879 |
| Reg_QWord |
Qword, %%1883 |
Actualizaciones del esquema
Estos son los cambios en la versión 0.1.1 del esquema:
- Se ha agregado el campo
EventSchema.
Estos son los cambios de la versión 0.1.2 del esquema:
- Se han agregado los campos
ActorScope,DvcScopeIdyDvcScope.
Estos son los cambios en la versión 0.1.3 del esquema:
- Añadí campos de inspección.
Pasos siguientes
Para obtener más información, consulte:
- Normalización en Microsoft Sentinel
- Referencia del esquema de normalización de autenticación de Microsoft Sentinel
- Referencia del esquema de normalización de DNS de Microsoft Sentinel
- Referencia del esquema de normalización de eventos de archivos de Microsoft Sentinel
- Referencia del esquema de normalización de red de Microsoft Sentinel