Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Schemat zdarzeń rejestru służy do opisywania działania systemu Windows tworzenia, modyfikowania lub usuwania jednostek rejestru systemu Windows.
Zdarzenia rejestru są specyficzne dla systemów Windows, ale są zgłaszane przez różne systemy monitorujące system Windows, takie jak systemy EDR (wykrywanie i reagowanie punktów końcowych), Sysmon lub Windows.
Aby uzyskać więcej informacji na temat normalizacji w usłudze Microsoft Sentinel, zobacz Normalizacja i Zaawansowany model informacji o zabezpieczeniach (ASIM).
Parsery
Aby użyć jednoczącego analizatora, który łączy wszystkie wbudowane analizatory i upewnij się, że analiza jest uruchamiana we wszystkich skonfigurowanych źródłach, użyj funkcji imRegistry jako nazwy tabeli w zapytaniu.
Aby uzyskać listę analizatorów zdarzeń przetwarzania, usługa Microsoft Sentinel udostępnia gotowe do użycia, zapoznaj się z listą analizatorów ASIM
Wdróż analizatory ujednolicające i specyficzne dla źródła z repozytorium GitHub usługi Microsoft Sentinel.
Aby uzyskać więcej informacji, zobacz Analizatory ASIM i Używanie analizatorów ASIM.
Dodawanie własnych znormalizowanych analizatorów
Podczas implementowania niestandardowych analizatorów dla modelu informacji o zdarzeniach rejestru nazwij funkcje KQL przy użyciu następującej składni: imRegistry<vendor><Product>.
Dodaj funkcje KQL do imRegistry ujednolicających analizatorów, aby upewnić się, że każda zawartość korzystająca z modelu zdarzeń rejestru używa również nowego analizatora.
Znormalizowana zawartość
Usługa Microsoft Sentinel udostępnia zapytanie utrwalania za pośrednictwem klucza rejestru IFEO . To zapytanie działa na wszystkich danych aktywności rejestru znormalizowanych przy użyciu zaawansowanego modelu informacji o zabezpieczeniach.
Aby uzyskać więcej informacji, zobacz Wyszukiwanie zagrożeń za pomocą usługi Microsoft Sentinel.
Szczegóły schematu
Model informacji o zdarzeniach rejestru jest zgodny ze schematem jednostki rejestru OSSEM.
Typowe pola karty ASIM
Ważne
Pola wspólne dla wszystkich schematów zostały szczegółowo opisane w artykule ASIM Common Fields (Wspólne pola karty ASIM).
Typowe pola z określonymi wytycznymi
Na poniższej liście wymieniono pola, które mają określone wytyczne dotyczące zdarzeń działań procesów:
| (No changes needed) | Class | Typ | Description |
|---|---|---|---|
| EventType | Mandatory | Wyliczony | Opisuje operację zgłoszoną przez rekord. W przypadku rekordów rejestru obsługiwane wartości to: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Mandatory | SchemaVersion (String) | Wersja schematu. Wersja schematu udokumentowana tutaj jest 0.1.3 |
| EventSchema | Mandatory | Sznurek | Nazwa schematu udokumentowanego tutaj to RegistryEvent. |
| Pola dvc | W przypadku zdarzeń działań rejestru pola urządzeń odnoszą się do systemu, w którym wystąpiło działanie rejestru. |
Wszystkie typowe pola
Pola wyświetlane w poniższej tabeli są wspólne dla wszystkich schematów ASIM. Wszelkie wytyczne określone powyżej zastępują ogólne wytyczne dotyczące pola. Na przykład pole może być ogólnie opcjonalne, ale obowiązkowe dla określonego schematu. Aby uzyskać więcej informacji na temat każdego pola, zapoznaj się z artykułem ASIM Common Fields (Wspólne pola karty ASIM).
Pola specyficzne dla zdarzeń rejestru
Pola wymienione w poniższej tabeli są specyficzne dla zdarzeń rejestru, ale są podobne do pól w innych schematach i są zgodne z podobnymi konwencjami nazewnictwa.
Aby uzyskać więcej informacji, zobacz Struktura rejestru w dokumentacji systemu Windows.
| (No changes needed) | Class | Typ | Description |
|---|---|---|---|
| Klucz rejestru | Mandatory | Sznurek | Klucz rejestru skojarzony z operacją znormalizowany do standardowych konwencji nazewnictwa kluczy głównych. Aby uzyskać więcej informacji, zobacz Klucze główne. Klucze rejestru są podobne do folderów w systemach plików. Przykład: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Zalecane | Sznurek | Wartość rejestru skojarzona z operacją. Wartości rejestru są podobne do plików w systemach plików. Przykład: Path |
| RegistryValueType | Zalecane | Sznurek | Typ wartości rejestru znormalizowany do formularza standardowego. Aby uzyskać więcej informacji, zobacz Typy wartości. Przykład: Reg_Expand_Sz |
| RegistryValueData | Zalecane | Sznurek | Dane przechowywane w wartości rejestru. Przykład: C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | Zalecane | Sznurek | W przypadku operacji modyfikujących rejestr oryginalny klucz rejestru znormalizowany do standardowego nazewnictwa kluczy głównych. Aby uzyskać więcej informacji, zobacz Klucze główne. Uwaga: Jeśli operacja zmieniła inne pola, takie jak wartość, ale klucz pozostanie taki sam, klucz RegistryPreviousKey będzie miał taką samą wartość jak RegistryKey. Przykład: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | Zalecane | Sznurek | W przypadku operacji modyfikujących rejestr oryginalny typ wartości znormalizowany do formularza standardowego. Aby uzyskać więcej informacji, zobacz Typy wartości. Jeśli typ nie został zmieniony, to pole ma taką samą wartość jak pole RegistryValueType . Przykład: Path |
| RegistryPreviousValueType | Zalecane | Sznurek | W przypadku operacji modyfikujących rejestr oryginalny typ wartości. Jeśli typ nie został zmieniony, to pole będzie miało taką samą wartość jak pole RegistryValueType , znormalizowane do formularza standardowego. Aby uzyskać więcej informacji, zobacz Typy wartości. Przykład: Reg_Expand_Sz |
| RegistryPreviousValueData | Zalecane | Sznurek | Oryginalne dane rejestru dla operacji modyfikujących rejestr. Przykład: C:\Windows\system32;C:\Windows; |
| User | Pseudonim | Alias w polu ActorUsername . Przykład: CONTOSO\ dadmin |
|
| Proces | Pseudonim | Alias w polu ActingProcessName . Przykład: C:\Windows\System32\rundll32.exe |
|
| AktorUsername | Mandatory | Nazwa użytkownika (String) | Nazwa użytkownika, który zainicjował zdarzenie. Przykład: CONTOSO\WIN-GG82ULGC9GO$ |
| AktorUsernameType | Warunkowy | Wyliczony | Określa typ nazwy użytkownika przechowywanej w polu ActorUsername . Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik. Przykład: Windows |
| AktorUserId | Zalecane | Sznurek | Unikatowy identyfikator aktora. Określony identyfikator zależy od systemu generującego zdarzenie. Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik. Przykład: S-1-5-18 |
| AktorZakres | Opcjonalnie | Sznurek | Zakres, taki jak dzierżawa firmy Microsoft Entra, w którym zdefiniowano element ActorUserId i ActorUsername . lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu. |
| AktorUserIdType | Warunkowy | Wyliczony | Typ identyfikatora przechowywanego w polu ActorUserId . Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik. Przykład: SID |
| ActorsSessionId | Opcjonalnie | Sznurek | Unikatowy identyfikator sesji logowania aktora. Przykład: 999Uwaga: typ jest definiowany jako ciąg do obsługi różnych systemów, ale w systemie Windows ta wartość musi być numeryczna. Jeśli używasz maszyny z systemem Windows, a źródło wysyła inny typ, pamiętaj, aby przekonwertować wartość. Jeśli na przykład źródło wysyła wartość szesnastkową, przekonwertuj ją na wartość dziesiętną. |
| ActingProcessName | Opcjonalnie | Sznurek | Nazwa pliku działającego pliku obrazu procesu. Ta nazwa jest zwykle uważana za nazwę procesu. Przykład: C:\Windows\explorer.exe |
| ActingProcessId | Mandatory | Sznurek | Identyfikator procesu (PID) działającego procesu. Przykład: 48610176 Uwaga: typ jest definiowany jako ciąg do obsługi różnych systemów, ale w systemach Windows i Linux ta wartość musi być numeryczna. Jeśli używasz maszyny z systemem Windows lub Linux i używasz innego typu, pamiętaj, aby przekonwertować wartości. Jeśli na przykład użyto wartości szesnastkowej, przekonwertuj ją na wartość dziesiętną. |
| ActingProcessGuid | Opcjonalnie | GUID (strunowy) | Wygenerowany unikatowy identyfikator (GUID) działającego procesu. Przykład: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Opcjonalnie | Sznurek | Nazwa pliku nadrzędnego pliku obrazu procesu. Ta wartość jest zwykle uważana za nazwę procesu. Przykład: C:\Windows\explorer.exe |
| ParentProcessId | Mandatory | Sznurek | Identyfikator procesu (PID) procesu nadrzędnego. Przykład: 48610176 |
| ParentProcessGuid | Opcjonalnie | Sznurek | Wygenerowany unikatowy identyfikator (GUID) procesu nadrzędnego. Przykład: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Pola inspekcji
Poniższe pola są używane do reprezentowania inspekcji przeprowadzonej przez system bezpieczeństwa, taki jak system EDR.
| (No changes needed) | Class | Typ | Description |
|---|---|---|---|
| RuleName | Opcjonalnie | Sznurek | Nazwa lub identyfikator reguły skojarzonej z wynikami inspekcji. |
| RuleNumber | Opcjonalnie | Integer | Liczba reguł skojarzonych z wynikami inspekcji. |
| Reguła | Warunkowy | Sznurek | Wartość kRuleName lub wartość RuleNumber. Jeśli jest używana wartość RuleNumber , typ powinien zostać przekonwertowany na ciąg. |
| Identyfikator zagrożenia | Opcjonalnie | Sznurek | Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku. |
| Nazwa_zagrożenia | Opcjonalnie | Sznurek | Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku. Przykład: EICAR Test File |
| Kategoria zagrożenia | Opcjonalnie | Sznurek | Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku. Przykład: Trojan |
| Poziom zagrożenia | Opcjonalnie | RiskLevel (Liczba całkowita) | Poziom ryzyka skojarzony z zidentyfikowanym zagrożeniem. Poziom powinien być liczbą z zakresu od 0 do 100. Uwaga: wartość może być podana w rekordzie źródłowym przy użyciu innej skali, która powinna być znormalizowana do tej skali. Wartość oryginalna powinna być zapisana w ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Opcjonalnie | Sznurek | Poziom ryzyka zgłoszony przez urządzenie raportowania. |
| Pole zagrożeń | Opcjonalnie | Sznurek | Pole, dla którego zidentyfikowano zagrożenie. |
| Pewność siebie | Opcjonalnie | Poziom Ufności (Liczba całkowita) | Zidentyfikowany poziom ufności zagrożenia znormalizowany do wartości z zakresu od 0 do 100. |
| ThreatOriginalConfidence (Pewność siebie) | Opcjonalnie | Sznurek | Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgodnie z raportem urządzenia raportowania. |
| ThreatIsActive (Zagrożenie) | Opcjonalnie | logiczny | Prawda, jeśli zidentyfikowane zagrożenie jest uznawane za aktywne zagrożenie. |
| ZagrożenieFirstReportedTime | Opcjonalnie | data/godzina | Po raz pierwszy adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
| ThreatLastReportedTime (Czas zagrożenia) | Opcjonalnie | data/godzina | Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
Klucze główne
Różne źródła reprezentują prefiksy kluczy rejestru przy użyciu różnych reprezentacji. W przypadku pól RegistryKey i RegistryPreviousKey użyj następujących znormalizowanych prefiksów:
| Znormalizowany prefiks klucza | Inne typowe reprezentacje |
|---|---|
| HKEY_LOCAL_MACHINE |
HKLM, \REGISTRY\MACHINE |
| HKEY_USERS |
HKU, \REGISTRY\USER |
Typy wartości
Różne źródła reprezentują typy wartości rejestru przy użyciu różnych reprezentacji. W przypadku pól RegistryValueType i RegistryPreviousValueType użyj następujących znormalizowanych typów:
| Znormalizowany prefiks klucza | Inne typowe reprezentacje |
|---|---|
| Reg_None |
None, %%1872 |
| Reg_Sz |
String, %%1873 |
| Reg_Expand_Sz |
ExpandString, %%1874 |
| Reg_Binary |
Binary, %%1875 |
| Reg_DWord |
Dword, %%1876 |
| Reg_Multi_Sz |
MultiString, %%1879 |
| Reg_QWord |
Qword, %%1883 |
Aktualizacje schematu
Są to zmiany w wersji 0.1.1 schematu:
- Dodano pole
EventSchema.
Są to zmiany w wersji 0.1.2 schematu:
- Dodano pola
ActorScope,DvcScopeIdiDvcScope.
Są to zmiany w wersji 0.1.3 schematu:
- Dodano pola inspekcyjne.
Dalsze kroki
Aby uzyskać więcej informacji, zobacz:
- Normalizacja w usłudze Microsoft Sentinel
- Dokumentacja schematu normalizacji uwierzytelniania usługi Microsoft Sentinel
- Dokumentacja schematu normalizacji DNS usługi Microsoft Sentinel
- Dokumentacja schematu normalizacji zdarzeń pliku usługi Microsoft Sentinel
- Dokumentacja schematu normalizacji sieci usługi Microsoft Sentinel