Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O esquema de Evento do Registro é usado para descrever a atividade do Windows de criar, modificar ou excluir entidades do Registro do Windows.
Os eventos do Registro são específicos para sistemas Windows, mas são relatados por diferentes sistemas que monitoram o Windows, como sistemas EDR (End Point Detection and Response), Sysmon ou o próprio Windows.
Para obter mais informações sobre normalização no Microsoft Sentinel, consulte Normalização e o modelo avançado de informações de segurança (ASIM).
Analisadores
Para usar o analisador unificador que unifica todos os analisadores internos e garantir que sua análise seja executada em todas as fontes configuradas, use imRegistry como o nome da tabela em sua consulta.
Para obter a lista dos analisadores de eventos de processo fornecidos pelo Microsoft Sentinel prontos para uso, consulte a lista de analisadores ASIM
Implante os analisadores unificadores e específicos da origem a partir do repositório GitHub do Microsoft Sentinel.
Para obter mais informações, consulte Analisadores ASIM e Usar analisadores ASIM.
Adicione seus próprios analisadores normalizados
Ao implementar analisadores personalizados para o modelo de informações de Evento do Registro, nomeie suas funções KQL usando a seguinte sintaxe: imRegistry<vendor><Product>.
Adicione suas funções KQL aos imRegistry analisadores unificadores para garantir que qualquer conteúdo usando o modelo de Evento do Registro também use seu novo analisador.
Conteúdo normalizado
O Microsoft Sentinel fornece a consulta de caça à chave de registro Persisting Via IFEO . Essa consulta funciona em qualquer dado de atividade do Registro normalizado usando o Modelo Avançado de Informações de Segurança.
Para obter mais informações, consulte Procurar ameaças com o Microsoft Sentinel.
Detalhes do esquema
O modelo de informações do Evento do Registro é alinhado com o esquema de entidade do Registro OSSEM.
Campos ASIM comuns
Importante
Os campos comuns a todos os esquemas são descritos em detalhes no artigo Campos comuns do ASIM.
Domínios comuns com orientações específicas
A lista a seguir menciona campos que têm diretrizes específicas para eventos de atividade de processo:
| Campo | Class | Tipo | Description |
|---|---|---|---|
| EventType | Mandatory | Enumerado | Descreve a operação relatada pelo registro. Para registros do Registro, os valores suportados incluem: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Mandatory | SchemaVersion (String) | A versão do esquema. A versão do esquema documentada aqui é 0.1.3 |
| EventSchema | Mandatory | String | O nome do esquema documentado aqui é RegistryEvent. |
| Campos Dvc | Para eventos de atividade do registro, os campos de dispositivo referem-se ao sistema no qual a atividade do registro ocorreu. |
Todos os campos comuns
Os campos que aparecem na tabela abaixo são comuns a todos os esquemas ASIM. Qualquer diretriz especificada acima substitui as diretrizes gerais para o campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais detalhes sobre cada campo, consulte o artigo Campos comuns do ASIM.
| Classe | Fields |
|---|---|
| Mandatory |
-
Contagem de Eventos - EventoInícioHora - EventEndTime - Tipo de Evento - EventResult - EventoProduto - EventVendor - EventSchema - EventSchemaVersion - DVC |
| Recomendado |
-
EventResultDetails - Severidade do Evento - EventUid - DvcIpAddr - DvcNome do host - DvcDomínio - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional |
-
EventMessage - SubTipo de Evento - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventoOriginalSeveridade - EventProductVersion - EventReportUrl - Proprietário do Evento - DvcZona - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campos Adicionais - DvcDescrição - DvcScopeId - DvcScope |
Campos específicos do Evento do Registo
Os campos listados na tabela abaixo são específicos para eventos do Registro, mas são semelhantes aos campos em outros esquemas e seguem convenções de nomenclatura semelhantes.
Para obter mais informações, consulte Estrutura do Registro na documentação do Windows.
| Campo | Class | Tipo | Description |
|---|---|---|---|
| RegistryKey | Mandatory | String | A chave do Registro associada à operação, normalizada para convenções de nomenclatura de chave raiz padrão. Para obter mais informações, consulte Chaves raiz. As chaves do Registro são semelhantes às pastas em sistemas de arquivos. Por exemplo: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Recomendado | String | O valor do Registro associado à operação. Os valores do Registro são semelhantes aos arquivos em sistemas de arquivos. Por exemplo: Path |
| RegistoValorTipo | Recomendado | String | O tipo de valor do Registro, normalizado para o formulário padrão. Para obter mais informações, consulte Tipos de valor. Por exemplo: Reg_Expand_Sz |
| RegistryValueData | Recomendado | String | Os dados armazenados no valor do Registro. Exemplo: C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | Recomendado | String | Para operações que modificam o Registro, a chave do Registro original, normalizada para nomenclatura de chave raiz padrão. Para obter mais informações, consulte Chaves raiz. Nota: Se a operação alterou outros campos, como o valor, mas a chave permanece a mesma, o RegistryPreviousKey terá o mesmo valor que RegistryKey. Exemplo: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistroAnteriorValor | Recomendado | String | Para operações que modificam o registro, o tipo de valor original, normalizado para o formulário padrão. Para obter mais informações, consulte Tipos de valor. Se o tipo não foi alterado, este campo tem o mesmo valor que o campo RegistryValueType . Exemplo: Path |
| RegistryPreviousValueType | Recomendado | String | Para operações que modificam o Registro, o tipo de valor original. Se o tipo não foi alterado, este campo terá o mesmo valor que o campo RegistryValueType , normalizado para o formulário padrão. Para obter mais informações, consulte Tipos de valor. Exemplo: Reg_Expand_Sz |
| RegistroPreviousValueData | Recomendado | String | Os dados originais do Registro, para operações que modificam o Registro. Exemplo: C:\Windows\system32;C:\Windows; |
| User | Alias | Alias para o campo ActorUsername . Exemplo: CONTOSO\ dadmin |
|
| Processo | Alias | Alias para o campo ActingProcessName . Exemplo: C:\Windows\System32\rundll32.exe |
|
| ActorUsername | Mandatory | Nome de utilizador (String) | O nome de usuário do usuário que iniciou o evento. Exemplo: CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | Conditional | Enumerado | Especifica o tipo do nome de usuário armazenado no campo ActorUsername . Para obter mais informações, consulte A entidade Usuário. Exemplo: Windows |
| ActorUserId | Recomendado | String | Um ID exclusivo do ator. O ID específico depende do sistema que gera o evento. Para obter mais informações, consulte A entidade Usuário. Exemplo: S-1-5-18 |
| ActorScope | Opcional | String | O escopo, como o locatário do Microsoft Entra, no qual ActorUserId e ActorUsername são definidos. ou mais informações e lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema. |
| ActorUserIdType | Conditional | Enumerado | O tipo de ID armazenado no campo ActorUserId . Para obter mais informações, consulte A entidade Usuário. Exemplo: SID |
| ActorSessionId | Opcional | String | O ID exclusivo da sessão de login do Ator. Exemplo: 999Nota: O tipo é definido como string para suportar sistemas variados, mas no Windows esse valor deve ser numérico. Se você estiver usando uma máquina Windows e a fonte enviar um tipo diferente, certifique-se de converter o valor. Por exemplo, se a origem enviar um valor hexadecimal, converta-o em um valor decimal. |
| NomeProcesso de Atuação | Opcional | String | O nome do arquivo de imagem do processo de atuação. Este nome é normalmente considerado como o nome do processo. Exemplo: C:\Windows\explorer.exe |
| ActingProcessId | Mandatory | String | A ID do processo (PID) do processo de atuação. Exemplo: 48610176 Nota: O tipo é definido como string para suportar sistemas variados, mas no Windows e Linux esse valor deve ser numérico. Se você estiver usando uma máquina Windows ou Linux e usou um tipo diferente, certifique-se de converter os valores. Por exemplo, se você usou um valor hexadecimal, converta-o em um valor decimal. |
| AtuaçãoProcessoGuid | Opcional | GUID (Corda) | Um identificador exclusivo (GUID) gerado do processo de atuação. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Opcional | String | O nome do arquivo de imagem do processo pai. Este valor é normalmente considerado como o nome do processo. Exemplo: C:\Windows\explorer.exe |
| ParentProcessId | Mandatory | String | A ID do processo (PID) do processo pai. Exemplo: 48610176 |
| ParentProcessGuid | Opcional | String | Um identificador exclusivo gerado (GUID) do processo pai. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Campos de inspeção
Os campos seguintes são usados para representar a inspeção realizada por um sistema de segurança, como um sistema EDR.
| Campo | Class | Tipo | Description |
|---|---|---|---|
| RuleName | Opcional | String | O nome ou ID da regra associado aos resultados da inspeção. |
| Número da regra | Opcional | Número inteiro | O número da regra associada aos resultados da inspeção. |
| Regra | Conditional | String | O valor de kRuleName ou o valor de RuleNumber. Se o valor de RuleNumber for usado, o tipo deve ser convertido em string. |
| ThreatId | Opcional | String | O ID da ameaça ou malware identificado na atividade do arquivo. |
| Nome da Ameaça | Opcional | String | O nome da ameaça ou malware identificado na atividade do arquivo. Exemplo: EICAR Test File |
| ThreatCategory | Opcional | String | A categoria da ameaça ou malware identificado na atividade do arquivo. Exemplo: Trojan |
| ThreatRiskLevel | Opcional | RiskLevel (Inteiro) | O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. Nota: O valor pode ser fornecido no registro de origem usando uma escala diferente, que deve ser normalizada para essa escala. O valor original deve ser armazenado em ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Opcional | String | O nível de risco comunicado pelo dispositivo de notificação. |
| Campo de Ameaças | Opcional | String | O campo para o qual foi identificada uma ameaça. |
| ThreatConfidence | Opcional | Nível de Confiança (Inteiro) | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatOriginalConfidence | Opcional | String | O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
| ThreatIsActive | Opcional | booleano | True se a ameaça identificada for considerada uma ameaça ativa. |
| ThreatFirstReportedTime | Opcional | datetime | A primeira vez que o endereço IP ou domínio foram identificados como uma ameaça. |
| ThreatLastReportedTime | Opcional | datetime | A última vez que o endereço IP ou domínio foi identificado como uma ameaça. |
Chaves raiz
Diferentes fontes representam prefixos de chave do Registro usando representações diferentes. Para os campos RegistryKey e RegistryPreviousKey , use os seguintes prefixos normalizados:
| Prefixo de chave normalizado | Outras representações comuns |
|---|---|
| HKEY_LOCAL_MACHINE |
HKLM, \REGISTRY\MACHINE |
| HKEY_USERS |
HKU, \REGISTRY\USER |
Tipos de valor
Diferentes fontes representam tipos de valor do Registro usando representações diferentes. Para os campos RegistryValueType e RegistryPreviousValueType , use os seguintes tipos normalizados:
| Prefixo de chave normalizado | Outras representações comuns |
|---|---|
| Reg_None |
None, %%1872 |
| Reg_Sz |
String, %%1873 |
| Reg_Expand_Sz |
ExpandString, %%1874 |
| Reg_Binary |
Binary, %%1875 |
| Reg_DWord |
Dword, %%1876 |
| Reg_Multi_Sz |
MultiString, %%1879 |
| Reg_QWord |
Qword, %%1883 |
Atualizações de esquema
Estas são as alterações na versão 0.1.1 do esquema:
- Adicionado o campo
EventSchema.
Estas são as alterações na versão 0.1.2 do esquema:
- Adicionados os campos
ActorScope,DvcScopeIdeDvcScope.
Estas são as alterações na versão 0.1.3 do esquema:
- Adicionaram campos de inspeção.
Próximos passos
Para obter mais informações, consulte:
- Normalização no Microsoft Sentinel
- Referência do esquema de normalização de autenticação do Microsoft Sentinel
- Referência do esquema de normalização do DNS do Microsoft Sentinel
- Referência do esquema de normalização de eventos do arquivo Microsoft Sentinel
- Referência do esquema de normalização de rede do Microsoft Sentinel