登錄事件架構可用來描述建立、修改或刪除 Windows 登錄實體的 Windows 活動。
登錄事件是 Windows 系統特有的,但會由監視 Windows 的不同系統報告,例如 EDR (端點偵測和回應) 系統、Sysmon 或 Windows 本身。
如需Microsoft Sentinel 中正規化的詳細資訊,請參閱正規化和進階安全性資訊模型 (ASIM)。
剖析器
若要使用統一所有內建剖析器的統一剖析器,並確保您的分析在所有已設定的來源上執行,請使用 imRegistry 作為查詢中的表格名稱。
如需 Microsoft Sentinel 提供的現成可用進程事件剖析器清單,請參閱 ASIM 剖析器清單
從 Microsoft Sentinel GitHub 存放庫部署統一和來源特定的剖析器。
如需詳細資訊,請參閱 ASIM 剖析器 和 使用 ASIM 剖析器。
新增您自己的標準化剖析器
實作登錄事件資訊模型的自訂剖析器時,請使用下列語法命名 KQL 函式: imRegistry<vendor><Product>。
將 KQL 函式新增至 imRegistry 統一剖析器,以確保使用登錄事件模型的任何內容也會使用新的剖析器。
標準化內容
Microsoft Sentinel 提供 透過 IFEO 登錄機碼保存 搜捕查詢。 此查詢適用於使用進階安全性資訊模型正規化的任何登錄活動資料。
如需詳細資訊,請參閱 使用 Microsoft Sentinel 搜尋威脅。
架構詳細數據
登錄事件資訊模型與 OSSEM 登錄實體結構描述一致。
一般 ASIM 欄位
這很重要
ASIM 通用欄位一文會詳細說明 所有架構的通用欄位 。
具有特定指導方針的常見欄位
下列清單提及具有進程活動事件特定指導方針的欄位:
| 領域 | Class | 類型 | Description |
|---|---|---|---|
| EventType | 強制的 | 列舉 | 描述記錄所報告的作業。 對於登錄記錄,支援的值包括: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | 強制的 | SchemaVersion(字串) | 結構描述的版本。 這裡記載的架構版本如下 0.1.3 |
| EventSchema | 強制的 | 繩子 | 這裡記載的架構名稱為 RegistryEvent。 |
| Dvc 欄位 | 對於登錄活動事件,裝置欄位是指發生登錄活動的系統。 |
所有通用欄位
下表中顯示的欄位適用於所有 ASIM 架構。 上述任何指定的指導方針會覆寫欄位的一般指導方針。 例如,欄位通常是選擇性的,但特定架構的必要專案。 如需每個欄位的進一步詳細數據,請參閱 ASIM 通用欄位 一文。
| Class | Fields |
|---|---|
| 強制的 |
-
事件計數 - 事件開始時間 - 事件結束時間 - 事件類型 - 事件結果 - 活動產品 - 活動供應商 - 事件架構 - 事件架構版本 - 視頻 |
| Recommended |
-
事件結果詳細資料 - 事件嚴重性 - 事件Uid - DvcIpAddr - Dvc主機名稱 - Dvc網域 - Dvc網域類型 - DvcFQDN - DVCID - DvcId類型 - Dvc動作 |
| 可選 |
-
事件訊息 - 事件子類型 - 事件原創 - 事件原始類型 - EventOriginal子類型 - EventOriginalResult詳細資料 - EventOriginal嚴重性 - 事件產品版本 - 事件報告網址 - 事件擁有者 - Dvc區域 - DvcMacAddr - DvcOS - DvcOs版本 - DvcOriginal動作 - Dvc介面 - 附加欄位 - Dvc說明 - DvcScopeID - Dvc範圍 |
登錄事件特定欄位
下表中列出的欄位是登錄事件特有的,但與其他結構描述中的欄位類似,並遵循類似的命名慣例。
如需詳細資訊,請參閱 Windows 檔中的 登錄結構 。
| 領域 | Class | 類型 | Description |
|---|---|---|---|
| 登錄機碼 | 強制的 | 繩子 | 與作業相關聯的登錄機碼,正規化為標準根機碼命名慣例。 如需詳細資訊,請參閱 根金鑰。 登錄機碼類似於檔案系統中的資料夾。 例如: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| 登錄值 | Recommended | 繩子 | 與作業相關聯的登錄值。 登錄值類似於檔案系統中的檔案。 例如: Path |
| 註冊表值類型 | Recommended | 繩子 | 登錄值的類型,標準化為標準格式。 如需詳細資訊,請參閱 值類型。 例如: Reg_Expand_Sz |
| 登錄值資料 | Recommended | 繩子 | 儲存在登錄值中的資料。 範例: C:\Windows\system32;C:\Windows; |
| 註冊表上一頁索引鍵 | Recommended | 繩子 | 對於修改登錄的作業,原始登錄機碼會正規化為標準根機碼命名。 如需詳細資訊,請參閱 根金鑰。 附註: 如果作業變更了其他欄位,例如值,但索引鍵保持不變,則 RegistryPreviousKey 將具有與 RegistryKey 相同的值。 範例: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| 註冊表上一個值 | Recommended | 繩子 | 對於修改登錄的作業,原始值類型會正規化為標準形式。 如需詳細資訊,請參閱 值類型。 如果類型未變更,則此欄位的值與 RegistryValueType 欄位相同。 範例: Path |
| 登錄上一個值類型 | Recommended | 繩子 | 對於修改登錄的作業,原始值類型。 如果類型未變更,此欄位將具有與 RegistryValueType 欄位相同的值,並正規化為標準格式。 如需詳細資訊,請參閱 值類型。 範例: Reg_Expand_Sz |
| 註冊表上一值資料 | Recommended | 繩子 | 原始登錄資料,用於修改登錄的作業。 範例: C:\Windows\system32;C:\Windows; |
| User | Alias |
ActorUsername 欄位的別名。 範例: CONTOSO\ dadmin |
|
| 過程 | Alias |
ActingProcessName 欄位的別名。 範例: C:\Windows\System32\rundll32.exe |
|
| 演員用戶名 | 強制的 | 用戶名(字串) | 起始事件之使用者的使用者名稱。 範例: CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | Conditional | 列舉 | 指定儲存在 ActorUsername 欄位中的使用者名稱類型。 如需詳細資訊,請參閱 使用者 實體。 範例: Windows |
| 演員使用者ID | Recommended | 繩子 | 動作者的唯一 ID。 具體ID取決於產生事件的系統。 如需詳細資訊,請參閱 使用者 實體。 範例: S-1-5-18 |
| ActorScope | 可選 | 繩子 | 範圍,例如Microsoft Entra 租使用者,其中 已定義ActorUserId 和 ActorUsername 。 或詳細資訊和允許的值清單,請參閱架構概觀一文中的UserScope。 |
| ActorUserIdType | Conditional | 列舉 | 儲存在 ActorUserId 字段中的識別碼類型。 如需詳細資訊,請參閱 使用者 實體。 範例: SID |
| ActorSessionId | 可選 | 繩子 | 動作專案登入會話的唯一標識符。 範例: 999注意:類型定義為 支援不同系統的字串 ,但在 Windows 上,此值必須是數值。 如果您使用的是 Windows 電腦,且來源傳送不同的類型,請務必轉換值。 例如,如果來源傳送十六進位值,請將其轉換為十進位值。 |
| ActingProcessName (動作程序名稱) | 可選 | 繩子 | 正在執行的處理程序映像檔的檔名。 此名稱通常被視為處理程序名稱。 範例: C:\Windows\explorer.exe |
| ActingProcessId | 強制的 | 繩子 | 代理程式的進程識別碼(PID)。 範例: 48610176 注意:類型定義為 支援不同系統的字串 ,但在 Windows 和 Linux 上,此值必須是數值。 如果您使用 Windows 或 Linux 計算機並使用不同的類型,請務必轉換值。 例如,如果您使用十六進位值,請將它轉換成十進位值。 |
| ActingProcessGuid | 可選 | GUID(字串) | 代理程式所產生的唯一標識碼 (GUID)。 範例: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | 可選 | 繩子 | 父流程映像檔的檔名。 此值通常被視為處理程序名稱。 範例: C:\Windows\explorer.exe |
| ParentProcessId | 強制的 | 繩子 | 父進程的進程識別碼 (PID)。 範例: 48610176 |
| ParentProcessGuid | 可選 | 繩子 | 父進程的產生唯一標識碼 (GUID)。 範例: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
檢查欄位
以下欄位用來表示由安全系統(如EDR系統)執行的檢查。
| 領域 | Class | 類型 | Description |
|---|---|---|---|
| 規則名稱 | 可選 | 繩子 | 與檢查結果相關聯的規則名稱或標識碼。 |
| 規則編號 | 可選 | 整數 | 與檢查結果相關聯的規則數目。 |
| 規則 | Conditional | 繩子 | kRuleName 的值或 RuleNumber 的值。 如果使用 RuleNumber 的值,則類型應該轉換成字串。 |
| ThreatId | 可選 | 繩子 | 檔案活動中所識別的威脅或惡意代碼標識碼。 |
| ThreatName | 可選 | 繩子 | 檔案活動中所識別的威脅或惡意代碼名稱。 範例: EICAR Test File |
| ThreatCategory | 可選 | 繩子 | 檔案活動中所識別的威脅或惡意代碼類別。 範例: Trojan |
| ThreatRiskLevel | 可選 | 風險等級(整數) | 與所識別威脅相關聯的風險層級。 層級應該是介於 0 到 100 之間的數位。 注意:來源記錄中可能會使用不同的小數字數來提供此值,而這個小數字數應該正規化為這個小數字數。 原始值應該儲存在 ThreatOriginalRiskLevel。 |
| 威脅原始風險等級 | 可選 | 繩子 | 報告裝置所報告的風險層級。 |
| 威脅欄位 | 可選 | 繩子 | 被識別出威脅的領域。 |
| ThreatConfidence | 可選 | 信心水準(整數) | 識別的威脅信賴等級,標準化為介於 0 到 100 之間的值。 |
| ThreatOriginalConfidence | 可選 | 繩子 | 已識別威脅的原始信賴等級,如報告裝置中所回報。 |
| ThreatIsActive | 可選 | 布林值 | 如果識別的威脅被視為作用中威脅,則為 True。 |
| ThreatFirstReportedTime | 可選 | 日期時間 | 第一次將IP位址或網域識別為威脅。 |
| ThreatLastReportedTime | 可選 | 日期時間 | IP位址或網域上次被識別為威脅的時間。 |
根金鑰
不同的來源會使用不同的表示法來代表登錄機碼前置詞。 針對 RegistryKey 和 RegistryPreviousKey 欄位,請使用下列正規化前置詞:
| 正規化鍵前置詞 | 其他常見表示法 |
|---|---|
| HKEY_LOCAL_MACHINE |
HKLM、\REGISTRY\MACHINE |
| HKEY_USERS |
HKU、\REGISTRY\USER |
值類型
不同的來源會使用不同的表示法來代表登錄值類型。 針對 RegistryValueType 和 RegistryPreviousValueType 欄位,請使用下列正規化類型:
| 正規化鍵前置詞 | 其他常見表示法 |
|---|---|
| Reg_None |
None、%%1872 |
| Reg_Sz |
String、%%1873 |
| Reg_Expand_Sz |
ExpandString、%%1874 |
| Reg_Binary |
Binary、%%1875 |
| Reg_DWord |
Dword、%%1876 |
| Reg_Multi_Sz |
MultiString、%%1879 |
| Reg_QWord |
Qword、%%1883 |
架構更新
這些是架構 0.1.1 版的變更:
- 新增欄位
EventSchema。
以下是結構描述0.1.2版中的變更:
- 已新增、 和
ActorScope欄位DvcScopeIdDvcScope。
這些是架構 0.1.3 版的變更:
- 新增了檢查欄位。
後續步驟
如需詳細資訊,請參閱: