Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O esquema de Evento do Registro é usado para descrever a atividade do Windows de criar, modificar ou excluir entidades do Registro do Windows.
Os eventos do Registro são específicos para sistemas Windows, mas são relatados por sistemas diferentes que monitoram o Windows, como sistemas EDR (Detecção e Resposta de Ponto de Extremidade), Sysmon ou o próprio Windows.
Para saber mais sobre a normalização no Microsoft Sentinel, confira Normalização e o ASIM (Modelo de Informações de Segurança Avançado).
Analisadores
Para usar o analisador unificador que unifica todos os analisadores internos e garantir que sua análise seja executada em todas as fontes configuradas, use imRegistry como o nome da tabela em sua consulta.
Para obter a lista dos analisadores de Eventos de Processo que o Microsoft Sentinel fornece pronto para uso, consulte a lista de analisadores ASIM
Implante os analisadores unificadores e específicos da origem do repositório GitHub do Microsoft Sentinel.
Para obter mais informações, consulte analisadores ASIM e use analisadores ASIM.
Adicionar seus próprios analisadores normalizados
Ao implementar analisadores personalizados para o modelo de informações do Evento do Registro, nomeie suas funções KQL usando a seguinte sintaxe: imRegistry<vendor><Product>.
Adicione suas funções KQL aos imRegistry analisadores unificadores para garantir que qualquer conteúdo usando o modelo de Evento do Registro também use seu novo analisador.
Conteúdo normalizado
O Microsoft Sentinel fornece a consulta de busca de chaves do Registro IFEO por meio da persistência . Essa consulta funciona em todos os dados de atividade do Registro normalizados usando o Modelo avançado de informações de segurança.
Para obter mais informações, consulte Procurar ameaças com o Microsoft Sentinel.
Detalhes do esquema
O modelo de informações de evento do Registro está alinhado com o esquema de entidade do Registro OSSEM.
Campos comuns do ASIM
Importante
Os campos comuns a todos os esquemas estão descritos em detalhes no artigo Campos comuns do ASIM.
Campos comuns com diretrizes específicas
A lista a seguir menciona os campos que têm diretrizes específicas para eventos da atividade de processo:
| Campo | Class | Tipo | Description |
|---|---|---|---|
| EventType | Obrigatório | Enumerado | Descreve a operação relatada pelo registro. Para registros do Registro, os valores com suporte incluem: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Obrigatório | SchemaVersion (String) | A versão do esquema. A versão do esquema documentado aqui é a 0.1.3 |
| EventSchema | Obrigatório | String | O nome do esquema documentado aqui é RegistryEvent. |
| Campos Dvc | Para eventos de atividade do Registro, os campos do dispositivo referem-se ao sistema no qual a atividade do Registro ocorreu. |
Todos os campos comuns
Os campos que aparecem na tabela abaixo são comuns a todos os esquemas do ASIM. Qualquer diretriz especificada acima substitui as diretrizes gerais do campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para saber mais sobre cada campo, confira o artigo Campos comuns do ASIM.
| Classe | Fields |
|---|---|
| Obrigatório |
-
Contagem de eventos - EventoInícioHora - EventoFimTempo - Tipo de evento - Resultado do evento - Produto do evento - Fornecedor de eventos - Esquema de Eventos - EventSchemaVersion - Dvc |
| Recommended |
-
Detalhes do Resultado do Evento - Gravidade do evento - EventUid - DvcIpAddr - DvcNome do Host - DvcDomínio - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional |
-
Mensagem de Evento - Subtipo de Evento - EventoOriginalUid - EventOriginalType - Subtipo OriginalEvento - Detalhes do Resultado Originaldo Evento - EventoOriginalSeveridade - EventProductVersion - EventReportUrl - Dono do evento - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - Interface Dvc - Campos Adicionais - DvcDescription - DvcScopeId - DvcScope |
Campos específicos do Evento do Registro
Os campos listados na tabela abaixo são específicos para eventos do Registro, mas são semelhantes a campos em outros esquemas e seguem convenções de nomenclatura semelhantes.
Para obter mais informações, consulte Estrutura do Registro na documentação do Windows.
| Campo | Class | Tipo | Description |
|---|---|---|---|
| RegistryKey | Obrigatório | String | A chave do Registro associada à operação, normalizada para convenções de nomenclatura de chave raiz padrão. Para obter mais informações, consulte Chaves Raiz. As chaves do Registro são semelhantes às pastas em sistemas de arquivos. Por exemplo: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Recommended | String | O valor do Registro associado à operação. Os valores do Registro são semelhantes aos arquivos em sistemas de arquivos. Por exemplo: Path |
| RegistryValueType | Recommended | String | O tipo de valor do Registro, normalizado para o formulário padrão. Para obter mais informações, consulte Tipos de Valor. Por exemplo: Reg_Expand_Sz |
| RegistryValueData | Recommended | String | Os dados armazenados no valor do Registro. Exemplo: C:\Windows\system32;C:\Windows; |
| RegistroPreviousKey | Recommended | String | Para operações que modificam o registro, a chave original do Registro, normalizada para a nomenclatura de chave raiz padrão. Para obter mais informações, consulte Chaves Raiz. Observação: se a operação tiver alterado outros campos, como o valor, mas a chave permanecer a mesma, o RegistryPreviousKey terá o mesmo valor que RegistryKey. Exemplo: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | Recommended | String | Para operações que modificam o registro, o tipo de valor original, normalizado para o formulário padrão. Para obter mais informações, consulte Tipos de Valor. Se o tipo não tiver sido alterado, esse campo terá o mesmo valor que o campo RegistryValueType . Exemplo: Path |
| RegistryPreviousValueType | Recommended | String | Para operações que modificam o registro, o tipo de valor original. Se o tipo não tiver sido alterado, esse campo terá o mesmo valor que o campo RegistryValueType , normalizado para o formulário padrão. Para obter mais informações, consulte Tipos de valor. Exemplo: Reg_Expand_Sz |
| RegistryPreviousValueData | Recommended | String | Os dados originais do Registro, para operações que modificam o registro. Exemplo: C:\Windows\system32;C:\Windows; |
| User | Alias | Alias para o campo ActorUsername . Exemplo: CONTOSO\ dadmin |
|
| Processo | Alias | Alias para o campo ActingProcessName . Exemplo: C:\Windows\System32\rundll32.exe |
|
| Nome de usuário ActorUsername | Obrigatório | Nome de usuário (String) | O nome de usuário do usuário que iniciou o evento. Exemplo: CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | Condicional | Enumerado | Especifica o tipo de nome de usuário armazenado no campo ActorUsername. Para obter mais informações, consulte a entidade User. Exemplo: Windows |
| ActorUserId | Recommended | String | Uma ID exclusiva do Ator. A ID específica depende do sistema que gera o evento. Para obter mais informações, consulte a entidade User. Exemplo: S-1-5-18 |
| ActorScope | Opcional | String | O escopo, como o locatário do Microsoft Entra, no qual são definidos ActorUserId e ActorUsername. Para obter mais informações e uma lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema. |
| ActorUserIdType | Condicional | Enumerado | O tipo da ID armazenada no campo ActorUserId. Para obter mais informações, consulte a entidade User. Exemplo: SID |
| ActorSessionId | Opcional | String | A ID exclusiva da sessão de logon de Actor. Exemplo: 999Observação: o tipo é definido como uma cadeia de caracteres para ser compatível com sistemas variados, mas no Windows esse valor deve ser numérico. Se você estiver usando um computador Windows e a origem enviar um tipo diferente, certifique-se de converter o valor. Por exemplo, se a origem enviar um valor hexadecimal, converta-o em um valor decimal. |
| NomeDeProcessoDeAtuação | Opcional | String | O nome do arquivo de imagem do processo de atuação. Esse nome normalmente é considerado o nome do processo. Exemplo: C:\Windows\explorer.exe |
| ActingProcessId | Obrigatório | String | O PID (ID do processo) do processo de ação. Exemplo: 48610176 Observação: o tipo é definido como uma cadeia de caracteres para ser compatível com sistemas variados, mas no Windows e no Linux esse valor deve ser numérico. Se você estiver usando um computador Windows ou Linux e tiver usado um tipo diferente, converta os valores. Por exemplo, se você tiver usado um valor hexadecimal, converta-o em um valor decimal. |
| ActingProcessGuid | Opcional | GUID (Corda) | Um GUID (identificador exclusivo) gerado do processo de ação. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Opcional | String | O nome do arquivo de imagem do processo pai. Esse valor normalmente é considerado o nome do processo. Exemplo: C:\Windows\explorer.exe |
| ParentProcessId | Obrigatório | String | O PID (ID do processo) do processo pai. Exemplo: 48610176 |
| ParentProcessGuid | Opcional | String | Um GUID (identificador exclusivo) gerado do processo pai. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Campos de inspeção
Os campos a seguir são usados para representar a inspeção realizada por um sistema de segurança, como um sistema EDR.
| Campo | Class | Tipo | Description |
|---|---|---|---|
| RuleName | Opcional | String | O nome ou a ID da regra associada aos resultados da inspeção. |
| Número de Regra | Opcional | Integer | O número da regra associada aos resultados da inspeção. |
| Regra | Condicional | String | O valor de kRuleName ou o valor de RuleNumber. Se o valor de RuleNumber for usado, o tipo deverá ser convertido em cadeia de caracteres. |
| ThreatId | Opcional | String | A ID da ameaça ou do malware identificado na atividade de arquivo. |
| Nome da Ameaça | Opcional | String | O nome da ameaça ou do malware identificado na atividade de arquivo. Exemplo: EICAR Test File |
| Categoria de ameaça | Opcional | String | A categoria da ameaça ou do malware identificado na atividade de arquivo. Exemplo: Trojan |
| Nível de risco de ameaça | Opcional | RiskLevel (Inteiro) | O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. Observação: o valor pode ser fornecido no registro de origem usando uma escala diferente, que deve ser normalizado para essa escala. O valor original deve ser armazenado em ThreatOriginalRiskLevel. |
| AmeaçaOriginalRiscoLevel | Opcional | String | O nível de risco, conforme relatado pelo dispositivo de relatório. |
| Campo de Ameaça | Opcional | String | O campo para o qual uma ameaça foi identificada. |
| ThreatConfidence | Opcional | Nível de Confiança (Inteiro) | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatOriginalConfidence | Opcional | String | O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
| ThreatIsActive | Opcional | booleano | True, se a ameaça identificada é considerada uma ameaça ativa. |
| ThreatFirstReportedTime | Opcional | datetime | A primeira vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatLastReportedTime | Opcional | datetime | A última vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
Chaves raiz
Fontes diferentes representam prefixos de chave do Registro usando representações diferentes. Para os campos RegistryKey e RegistryPreviousKey , use os seguintes prefixos normalizados:
| Prefixo de chave normalizado | Outras representações comuns |
|---|---|
| HKEY_LOCAL_MACHINE |
HKLM, \REGISTRY\MACHINE |
| HKEY_USERS |
HKU, \REGISTRY\USER |
Tipos de valor
Fontes diferentes representam tipos de valor do Registro usando representações diferentes. Para os campos RegistryValueType e RegistryPreviousValueType , use os seguintes tipos normalizados:
| Prefixo de chave normalizado | Outras representações comuns |
|---|---|
| Reg_None |
None, %%1872 |
| Reg_Sz |
String, %%1873 |
| Reg_Expand_Sz |
ExpandString, %%1874 |
| Reg_Binary |
Binary, %%1875 |
| Reg_DWord |
Dword, %%1876 |
| Reg_Multi_Sz |
MultiString, %%1879 |
| Reg_QWord |
Qword, %%1883 |
Atualizações de esquema
Essas são as alterações na versão 0.1.1 do esquema:
- Adicionou o campo
EventSchema.
Estas são as alterações na versão 0.1.2 do esquema:
- Adicionados os campos
ActorScope,DvcScopeIdeDvcScope.
Essas são as alterações na versão 0.1.3 do esquema:
- Adicionaram campos de inspeção.
Próximas etapas
Para obter mais informações, consulte:
- Normalização no Microsoft Sentinel
- Referência de esquema de normalização de autenticação do Microsoft Sentinel
- Referência de esquema de normalização de DNS do Microsoft Sentinel
- Referência de esquema de normalização de eventos de arquivo do Microsoft Sentinel
- Referência de esquema de normalização de rede do Microsoft Sentinel