إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يتم استخدام مخطط حدث التسجيل لوصف نشاط Windows لإنشاء كيانات سجل Windows أو تعديلها أو حذفها.
أحداث التسجيل خاصة بأنظمة Windows، ولكن يتم الإبلاغ عنها بواسطة أنظمة مختلفة تراقب Windows، مثل أنظمة EDR (اكتشاف نقطة النهاية والاستجابة) أو Sysmon أو Windows نفسه.
لمزيد من المعلومات بشأن التسوية في Microsoft Sentinel، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM).
المُحللات
لاستخدام المحلل الموحد الذي يوحد جميع المحللات المضمنة، وتأكد من تشغيل التحليل عبر جميع المصادر المكونة، استخدم imRegistry كاسم جدول في الاستعلام.
للحصول على قائمة محللات أحداث العملية يوفر Microsoft Sentinel إشارة خارج الصندوق إلى قائمة محللات ASIM
نشر المحللات الموحدة والمخصصة للمصدر من مستودع Microsoft Sentinel GitHub.
لمزيد من المعلومات، راجع محللات ASIMواستخدام محللات ASIM.
أضف المحلل اللغوي المعياري الخاص بك
عند تنفيذ محللات مخصصة لنموذج معلومات حدث التسجيل، قم بتسمية وظائف KQL باستخدام بناء الجملة التالي: imRegistry<vendor><Product>.
أضف وظائف KQL إلى imRegistry المحللات الموحدة للتأكد من أن أي محتوى يستخدم نموذج حدث التسجيل يستخدم أيضا محللك الجديد.
المحتوى الطبيعي
يوفر Microsoft Sentinel استعلام تتبع مفتاح التسجيل المستمر عبر IFEO . يعمل هذا الاستعلام على أي بيانات نشاط تسجيل تمت تسويتها باستخدام نموذج معلومات الأمان المتقدمة.
لمزيد من المعلومات، راجع البحث عن التهديدات باستخدام Microsoft Sentinel.
تفاصيل المُخطط
يتم محاذاة نموذج معلومات حدث التسجيل مع مخطط كيان تسجيل OSSEM.
حقول ASIM المشتركة
مهم
توصف الحقول المشتركة لكافة المخططات بالتفصيل في مقالة الحقول المشتركة لـ ASIM.
الحقول المشتركة مع وجود إرشادات محددة
تشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث نشاط العملية:
| Field | Class | Type | الوصف |
|---|---|---|---|
| نوع الحدث | Mandatory | Enumerated | يصف العملية التي أبلغ بها السجل. بالنسبة لسجلات السجل، تتضمن القيم المدعومة ما يلي: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Mandatory | إصدار المخطط (السلسلة النصية) | إصدار المُخطط. إصدار مخطط قاعدة البيانات الموثق هنا هو 0.1.3 |
| EventSchema | Mandatory | String | اسم المخطط الموثّق هنا هو RegistryEvent. |
| حقول Dvc | بالنسبة لأحداث نشاط التسجيل، تشير حقول الجهاز إلى النظام الذي حدث عليه نشاط التسجيل. |
جميع الحقول الشائعة
تُعد الحقول التي تظهر في الجدول أدناه مشتركة في جميع مخططات ASIM. أية مبادئ توجيهية محددة أعلاه تلغي الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريًا بشكل عام، لكنه إلزامي لمخطط معين. لمزيد من التفاصيل حول كل حقل، راجع المقالة الحقول المشتركة لـ ASIM.
| فصل | الحقول |
|---|---|
| Mandatory |
-
عدد الأحداث - الحدثStartTime - الحدثنهاية الوقت - نوع الحدث - نتيجة الحدث - منتج الحدث - الحدث البائع - مخطط الحدث - EventSchemaVersion - دي في سي |
| مستحسن |
-
EventResultتفاصيل - حدث كلي - EventUid - DvcIpAddr - Dvcاسم المضيف - DvcDomain - DvcDomainType - DvcFQDN - معرف Dvc - نوع DvcId - دي في سي أكشن |
| Optional |
-
رسالة الحدث - نوع فرعي الحدث - EventOriginalUid - نوع الحدث الأصلي - الحدث النوع الفرعي الأصلي - الحدثOriginalResultالتفاصيل - الحدثالأصلالخطورة - الحدثProductVersion - الحدثتقريرUrl - مالك الحدث - دي في سي زون - دي في سي ماك أدر - دي في سي - دي في سي أو إس فريجن - دي في سي الأصلي - واجهة DvcInterface - حقول إضافية - وصف DvcDescription - معرف DvcScopeId - دي في سي سكوب |
حقول خاصة بحدث التسجيل
الحقول المدرجة في الجدول أدناه خاصة بأحداث التسجيل، ولكنها تشبه الحقول في المخططات الأخرى وتتبع اصطلاحات تسمية مماثلة.
لمزيد من المعلومات، راجع بنية السجل في وثائق Windows.
| Field | Class | Type | الوصف |
|---|---|---|---|
| مفتاح التسجيل | Mandatory | String | مفتاح التسجيل المقترن بالعملية، تمت تسويته إلى اصطلاحات تسمية مفتاح الجذر القياسية. لمزيد من المعلومات، راجع مفاتيح الجذر. مفاتيح التسجيل مشابهة للمجلدات في أنظمة الملفات. على سبيل المثال: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| قيمة السجل | مستحسن | String | قيمة التسجيل المقترنة بالعملية. قيم التسجيل مشابهة للملفات الموجودة في أنظمة الملفات. على سبيل المثال: Path |
| نوع قيمة السجل | مستحسن | String | نوع قيمة التسجيل، التي تمت تسويتها إلى نموذج قياسي. لمزيد من المعلومات، راجع أنواع القيم. على سبيل المثال: Reg_Expand_Sz |
| بيانات قيمة السجل | مستحسن | String | البيانات المخزنة في قيمة السجل. مثال: C:\Windows\system32;C:\Windows; |
| السجل السابق_مفتاح | مستحسن | String | بالنسبة للعمليات التي تعدل السجل، يتم تطبيع مفتاح التسجيل الأصلي إلى تسمية مفتاح الجذر القياسي. لمزيد من المعلومات، راجع مفاتيح الجذر. ملاحظة: إذا غيرت العملية حقولا أخرى، مثل القيمة، ولكن المفتاح يبقى كما هو، فسيكون ل RegistryPreviousKey نفس قيمة RegistryKey. مثال: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| القيمة السابقة | مستحسن | String | بالنسبة للعمليات التي تعدل السجل، يتم تسوية نوع القيمة الأصلية إلى النموذج القياسي. لمزيد من المعلومات، راجع أنواع القيم. إذا لم يتم تغيير النوع، فإن هذا الحقل له نفس قيمة الحقل RegistryValueType . مثال: Path |
| RegistryPreviousValueType | مستحسن | String | بالنسبة للعمليات التي تعدل السجل، نوع القيمة الأصلية. إذا لم يتم تغيير النوع، فسيكون لهذا الحقل نفس قيمة الحقل RegistryValueType ، الذي تمت تسويته إلى النموذج القياسي. لمزيد من المعلومات، راجع أنواع القيم. مثال: Reg_Expand_Sz |
| RegistryPreviousValueData | مستحسن | String | بيانات السجل الأصلية، للعمليات التي تعدل السجل. مثال: C:\Windows\system32;C:\Windows; |
| User | اسم مستعار | الاسم المستعار لحقل ActorUsername . مثال: CONTOSO\ dadmin |
|
| معالجة | اسم مستعار | اسم مستعار لحقل ActingProcessName . مثال: C:\Windows\System32\rundll32.exe |
|
| الممثلUsername | Mandatory | اسم المستخدم (نص) | اسم المستخدم للمستخدم الذي بدأ الحدث. مثال: CONTOSO\WIN-GG82ULGC9GO$ |
| نوع المستخدمUsername | Conditional | Enumerated | يحدد نوع اسم المستخدم المخزن في الحقل ActorUsername. لمزيد من المعلومات، راجع كيان المستخدم. مثال: Windows |
| معرف المستخدم الممثل | مستحسن | String | معرف فريد للممثل. يعتمد المعرف المحدد على النظام الذي ينشئ الحدث. لمزيد من المعلومات، راجع كيان المستخدم. مثال: S-1-5-18 |
| ActorScope | Optional | String | النطاق، مثل مستأجر Microsoft Entra، حيث يتم تعريف ActorUserId و ActorUsername. أو مزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScope في مقالة نظرة عامة على المخطط. |
| ActorUserIdType | Conditional | Enumerated | نوع المعرف المخزن في الحقل ActorUserId. لمزيد من المعلومات، راجع كيان المستخدم. مثال: SID |
| ActorSessionId | Optional | String | المعرف الفريد لجلسة تسجيل دخول الممثل. مثال: 999ملاحظة: يتم تعريف النوع على أنه سلسلة لدعم الأنظمة المختلفة، ولكن في Windows يجب أن تكون هذه القيمة رقمية. إذا كنت تستخدم جهاز Windows وأرسل المصدر نوعا مختلفا، فتأكد من تحويل القيمة. على سبيل المثال، إذا أرسل المصدر قيمة سداسية عشرية، فقم بتحويلها إلى قيمة عشرية. |
| الاسم المؤقت | Optional | String | اسم ملف ملف صورة العملية بالنيابة. عادة ما يعتبر هذا الاسم هو اسم العملية. مثال: C:\Windows\explorer.exe |
| ActingProcessId | Mandatory | String | معرّف العملية (PID) لعملية التمثيل. مثال: 48610176 ملاحظة: يتم تعريف النوع على أنه سلسلة لدعم الأنظمة المختلفة، ولكن في نظامي التشغيل Windows وLinux، يجب أن تكون هذه القيمة رقمية. إذا كنت تستخدم جهازاً يعمل بنظام Windows أو Linux وتستخدم نوعاً مختلفاً، فتأكد من تحويل القيم. على سبيل المثال، إذا استخدمت قيمة سداسية عشرية، فحولها إلى قيمة عشرية. |
| ActingProcessGuid | Optional | GUID (الوتر) | معرف فريد تم إنشاؤه (GUID) لعملية التمثيل. مثال: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Optional | String | اسم ملف ملف صورة العملية الأصل. عادة ما تعتبر هذه القيمة اسم العملية. مثال: C:\Windows\explorer.exe |
| ParentProcessId | Mandatory | String | معرّف العملية (PID) للعملية الأصل. مثال: 48610176 |
| ParentProcessGuid | Optional | String | معرف فريد تم إنشاؤه (GUID) للعملية الأصل. مثال: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
حقول الفحص
تستخدم الحقول التالية لتمثيل ذلك الفحص الذي يجري بواسطة نظام أمني مثل نظام EDR.
| Field | Class | Type | الوصف |
|---|---|---|---|
| اسم القاعدة | Optional | String | اسم القاعدة أو معرفها المرتبط بنتائج الفحص. |
| رقم القاعدة | Optional | العدد الصحيح | عدد القاعدة المقترنة بنتائج الفحص. |
| حكم | Conditional | String | إما قيمة kRuleName أو قيمة RuleNumber. إذا تم استخدام قيمة RuleNumber ، يجب تحويل النوع إلى سلسلة. |
| معرف التهديد | Optional | String | معرف التهديد أو البرامج الضارة المحددة في نشاط الملف. |
| اسم التهديد | Optional | String | اسم التهديد أو البرامج الضارة المحددة في نشاط الملف. مثال: EICAR Test File |
| فئة التهديد | Optional | String | فئة التهديد أو البرامج الضارة المحددة في نشاط الملف. مثال: Trojan |
| مستوى التهديد | Optional | مستوى المخاطر (عدد صحيح) | مستوى المخاطر المرتبط بالتهديد المحدد. يلزم أن يكون المستوى رقمًا بين 0 و100. ملاحظة: قد تتوفر القيمة في سجل المصدر باستخدام أحجام مختلفة، والتي يجب أن تكون مطابقة لهذا الحجم. يجب تخزين القيمة الأصلية في مستوى ThreatOriginalRiskLevel. |
| التهديد الأصليمستوى المخاطر | Optional | String | مستوى المخاطر كما تم الإبلاغ عنه من جهاز إعداد التقارير. |
| حقل التهديد | Optional | String | الحقل الذي تم تحديد تهديد له. |
| التهديد | Optional | مستوى الثقة (عدد صحيح) | مستوى ثقة التهديد المحدد، الذي تمت تسويته إلى قيمة بين 0 و100. |
| التهديد الأصلي | Optional | String | مستوى الثقة الأصلي للتهديد المحدد، كما تم الإبلاغ عنه من قبل جهاز الإبلاغ. |
| التهديد هو نشط | Optional | منطقي | صحيح إذا كان التهديد المحدد يعتبر تهديدا نشطا. |
| ThreatFirstReportTime | Optional | datetime | في المرة الأولى التي تم فيها تحديد عنوان IP أو المجال كتهديد. |
| ThreatLastReportTime | Optional | datetime | في المرة الأخيرة التي تم فيها تحديد عنوان IP أو المجال كتهديد. |
مفاتيح الجذر
تمثل المصادر المختلفة بادئات مفتاح التسجيل باستخدام تمثيلات مختلفة. بالنسبة لحقول RegistryKey و RegistryPreviousKey ، استخدم البادئات التي تمت تسويتها التالية:
| بادئة المفتاح التي تمت تسويتها | تمثيلات شائعة أخرى |
|---|---|
| HKEY_LOCAL_MACHINE |
HKLM، \REGISTRY\MACHINE |
| HKEY_USERS |
HKU، \REGISTRY\USER |
أنواع القيم
تمثل المصادر المختلفة أنواع قيم التسجيل باستخدام تمثيلات مختلفة. بالنسبة لحقول RegistryValueType و RegistryPreviousValueType ، استخدم الأنواع التي تمت تسويتها التالية:
| بادئة المفتاح التي تمت تسويتها | تمثيلات شائعة أخرى |
|---|---|
| Reg_None |
None، %%1872 |
| Reg_Sz |
String، %%1873 |
| Reg_Expand_Sz |
ExpandString، %%1874 |
| Reg_Binary |
Binary، %%1875 |
| Reg_DWord |
Dword، %%1876 |
| Reg_Multi_Sz |
MultiString، %%1879 |
| Reg_QWord |
Qword، %%1883 |
تحديثات المخطط
هذه هي التغييرات في الإصدار 0.1.1 من المخطط:
- تمت إضافة الحقل
EventSchema.
هذه هي التغييرات في الإصدار 0.1.2 من المخطط:
- تمت إضافة الحقول
ActorScopeوDvcScopeIdوDvcScope.
هذه هي التغييرات في الإصدار 0.1.3 من المخطط:
- تمت إضافة حقول تفتيش.
الخطوات التالية
لمزيد من المعلومات، راجع: