مرجع مخطط تسوية حدث التسجيل في نموذج معلومات الأمان المتقدم (ASIM) (الإصدار الأولي العام)
يتم استخدام مخطط حدث التسجيل لوصف نشاط Windows الخاص بإنشاء كيانات تسجيل Windows أو تعديلها أو حذفها.
أحداث التسجيل خاصة بأنظمة Windows، ولكن يتم الإبلاغ عنها بواسطة أنظمة مختلفة تراقب Windows، مثل أنظمة EDR (اكتشاف نقطة النهاية والاستجابة لها) أو Sysmon أو Windows نفسه.
لمزيد من المعلومات بشأن التسوية في Microsoft Sentinel، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM).
هام
مخطط تسوية حدث التسجيل في الإصدار الأولي حالياً. تُوفّر هذه الميزة دون الحاجة إلى اتفاقية مستوى الخدمة، ولا يوصى بها لأحمال العمل الخاصة بالإنتاج.
تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.
المُحللات
لاستخدام المحلل اللغوي الموحد الذي يوحد جميع المحللات المضمنة، والتأكد من أن تحليلك يعمل عبر جميع المصادر المكونة، استخدم imRegistry كاسم الجدول في استعلامك.
للحصول على قائمة محللي حدث العملية الذي يوفره Microsoft Sentinel الجاهز، ارجع إلى قائمة محللي ASIM
قم بتوزيع المحللون اللغويون الموحدون والمخصصون للمصدر من مستودع Microsoft Sentinel GitHub.
لمزيد من المعلومات، راجع موزعي ASIM واستخدام موزعي ASIM.
أضف المحلل اللغوي المعياري الخاص بك
عند تنفيذ المحلل اللغوي المخصص لنموذج معلومات حدث التسجيل، قم بتسمية وظائف KQL باستخدام الصيغة التالية: imRegistry<vendor><Product>.
أضف وظائف KQL إلى المحلل اللغوي الموحد imRegistry للتأكد من أن أي محتوى يستخدم نموذج حدث التسجيل يستخدم أيضاً المحلل اللغوي الجديد.
المحتوى الطبيعي
يوفر Microsoft Sentinel استعلام البحث عن استمرار عبر IFEO Registry Key. يعمل هذا الاستعلام على أي بيانات نشاط سجل تمت تسويتها باستخدام نموذج معلومات الأمان المتقدم.
لمزيد من المعلومات، راجع البحث عن المخاطر باستخدام Microsoft Sentinel.
تفاصيل المُخطط
تتم محاذاة نموذج معلومات حدث التسجيل مع مخطط كيان سجل OSSEM.
حقول ASIM المشتركة
هام
توصف الحقول المشتركة لكافة المخططات بالتفصيل في مقالة الحقول المشتركة لـ ASIM.
الحقول المشتركة مع وجود إرشادات محددة
تشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث نشاط العملية:
| الحقل | الدرجة | النوع | الوصف |
|---|---|---|---|
| EventType | إلزامي | Enumerated | يصف العملية التي أبلغ بها السجل. بالنسبة لسجلات السجل، تتضمن القيم المدعومة ما يلي: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | إلزامي | السلسلة | إصدار المُخطط. إصدار مخطط قاعدة البيانات الموثق هنا هو 0.1.2 |
| EventSchema | اختياري | السلسلة | اسم المخطط الموثّق هنا هو RegistryEvent. |
| حقول Dvc | بالنسبة لأحداث نشاط السجل، تشير حقول الجهاز إلى النظام الذي حدث فيه نشاط السجل. |
هام
يعد الحقل EventSchema اختيارياً حالياً ولكنه سيصبح إلزامياً في الأول من سبتمبر 2022.
جميع الحقول الشائعة
تُعد الحقول التي تظهر في الجدول أدناه مشتركة في جميع مخططات ASIM. أية مبادئ توجيهية محددة أعلاه تلغي الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريًا بشكل عام، لكنه إلزامي لمخطط معين. لمزيد من التفاصيل حول كل حقل، راجع المقالة الحقول المشتركة لـ ASIM.
| فئه | الحقول |
|---|---|
| إلزامي | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| مستحسن | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| اختياري | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - مالك الحدث - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
الحقول الخاصة بحدث التسجيل
الحقول المدرجة في الجدول أدناه خاصة بأحداث السجل، ولكنها تشبه الحقول الموجودة في المخططات الأخرى وتتبع اصطلاحات تسمية مماثلة.
لمزيد من المعلومات، راجع بنية التسجيل في وثائق Windows.
| الحقل | الدرجة | النوع | الوصف |
|---|---|---|---|
| RegistryKey | إلزامي | السلسلة | مفتاح التسجيل المرتبط بالعملية، تمت تسويته إلى اصطلاحات تسمية مفتاح الجذر القياسي. لمزيد من المعلومات، راجع Root Keys. تشبه مفاتيح التسجيل المجلدات الموجودة في أنظمة الملفات. على سبيل المثال: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | مستحسن | السلسلة | قيمة التسجيل المرتبطة بالعملية. تتشابه قيم التسجيل مع الملفات الموجودة في أنظمة الملفات. على سبيل المثال: Path |
| RegistryValueType | مستحسن | السلسلة | نوع قيمة التسجيل التي تمت تسويتها إلى النموذج القياسي. لمزيد من المعلومات، راجع أنواع القيم. على سبيل المثال: Reg_Expand_Sz |
| RegistryValueData | مستحسن | السلسلة | البيانات المخزنة في قيمة التسجيل. مثال: C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | مستحسن | السلسلة | بالنسبة للعمليات التي تقوم بتعديل السجل، مفتاح التسجيل الأصلي، تمت تسوية مع تسمية مفتاح الجذر القياسي. لمزيد من المعلومات، راجع Root Keys. ملاحظة: إذا غيرت العملية الحقول الأخرى، مثل القيمة، لكن المفتاح ظل كما هو، فسيكون لمفتاح RegistryPreviousKey نفس قيمة RegistryKey. مثال: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | مستحسن | السلسلة | بالنسبة للعمليات التي تقوم بتعديل السجل، نوع القيمة الأصلية، تمت تسويته إلى النموذج القياسي. لمزيد من المعلومات، راجع أنواع القيم. إذا لم يتم تغيير النوع، فإن هذا الحقل له نفس قيمة الحقل RegistryValueType. مثال: Path |
| RegistryPreviousValueType | مستحسن | السلسلة | بالنسبة للعمليات التي تقوم بتعديل السجل، نوع القيمة الأصلية. إذا لم يتم تغيير النوع، فسيكون لهذا الحقل نفس قيمة الحقل RegistryValueType، الذي تمت تسويته إلى النموذج القياسي. لمزيد من المعلومات، راجع أنواع القيم. مثال: Reg_Expand_Sz |
| RegistryPreviousValueData | مستحسن | السلسلة | بيانات التسجيل الأصلية للعمليات التي تقوم بتعديل السجل. مثال: C:\Windows\system32;C:\Windows; |
| المستخدم | الاسم المستعار | الاسم المستعار للحقل ActorUsername. مثال: CONTOSO\ dadmin |
|
| العملية | الاسم المستعار | الاسم المستعار للحقل ActingProcessName. مثال: C:\Windows\System32\rundll32.exe |
|
| ActorUsername | إلزامي | السلسلة | اسم المستخدم الخاص بالمستخدم الذي بدأ الحدث. مثال: CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | شرطي | Enumerated | يحدد نوع اسم المستخدم المخزن في الحقل ActorUsername. لمزيد من المعلومات، راجع كيان المستخدم. مثال: Windows |
| ActorUserId | مستحسن | السلسلة | معرّف فريد للممثل. يعتمد المعرف المحدد على النظام الذي ينشئ الحدث. لمزيد من المعلومات، راجع كيان المستخدم. مثال: S-1-5-18 |
| ActorScope | اختياري | السلسلة | النطاق، مثل مستأجر Microsoft Entra، حيث يتم تعريف ActorUserId و ActorUsername. أو مزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScope في مقالة نظرة عامة على المخطط. |
| ActorUserIdType | مستحسن | السلسلة | نوع المعرف المخزن في الحقل ActorUserId. لمزيد من المعلومات، راجع كيان المستخدم. مثال: SID |
| ActorSessionId | شرطي | السلسلة | المعرف الفريد لجلسة تسجيل دخول الممثل. مثال: 999ملاحظة: يتم تعريف النوع على أنه سلسلة لدعم الأنظمة المختلفة، ولكن في Windows يجب أن تكون هذه القيمة رقمية. إذا كنت تستخدم جهازاً يعمل بنظام Windows وكان المصدر يرسل نوعاً مختلفاً، فتأكد من تحويل القيمة. على سبيل المثال، إذا أرسل المصدر قيمة سداسية عشرية، فحولها إلى قيمة عشرية. |
| ActingProcessName | اختياري | السلسلة | اسم الملف ملف صورة عملية التمثيل. يعتبر هذا الاسم عادةً اسم العملية. مثال: C:\Windows\explorer.exe |
| ActingProcessId | إلزامي | السلسلة | معرّف العملية (PID) لعملية التمثيل. مثال: 48610176 ملاحظة: يتم تعريف النوع على أنه سلسلة لدعم الأنظمة المختلفة، ولكن في نظامي التشغيل Windows وLinux، يجب أن تكون هذه القيمة رقمية. إذا كنت تستخدم جهازاً يعمل بنظام Windows أو Linux وتستخدم نوعاً مختلفاً، فتأكد من تحويل القيم. على سبيل المثال، إذا استخدمت قيمة سداسية عشرية، فحولها إلى قيمة عشرية. |
| ActingProcessGuid | اختياري | السلسلة | معرف فريد تم إنشاؤه (GUID) لعملية التمثيل. مثال: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | اختياري | السلسلة | اسم الملف ملف صورة العملية الأصل. تعتبر هذه القيمة عادةً اسم العملية. مثال: C:\Windows\explorer.exe |
| ParentProcessId | إلزامي | السلسلة | معرّف العملية (PID) للعملية الأصل. مثال: 48610176 |
| ParentProcessGuid | اختياري | السلسلة | معرف فريد تم إنشاؤه (GUID) للعملية الأصل. مثال: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
مفاتيح الجذر
تمثل المصادر المختلفة بادئات مفتاح التسجيل باستخدام تمثيلات مختلفة. بالنسبة إلى حقلي RegistryKey وRegistryPreviousKey، استخدم البادئات العادية التالية:
| بادئة مفتاح تمت تسويتها | تمثيلات أخرى شائعة |
|---|---|
| HKEY_LOCAL_MACHINE | HKLM, \REGISTRY\MACHINE |
| HKEY_USERS | HKU, \REGISTRY\USER |
أنواع القيم
تمثل المصادر المختلفة أنواع قيم التسجيل باستخدام تمثيلات مختلفة. بالنسبة إلى حقلي RegistryValueType وRegistryPreviousValueType، استخدم الأنواع التي تمت تسويتها التالية:
| بادئة مفتاح تمت تسويتها | تمثيلات أخرى شائعة |
|---|---|
| Reg_None | None, %%1872 |
| Reg_Sz | String, %%1873 |
| Reg_Expand_Sz | ExpandString, %%1874 |
| Reg_Binary | Binary, %%1875 |
| Reg_DWord | Dword, %%1876 |
| Reg_Multi_Sz | MultiString, %%1879 |
| Reg_QWord | Qword, %%1883 |
تحديثات المخطط
هذه هي التغييرات في الإصدار 0.1.1 من المخطط:
- تمت إضافة الحقل
EventSchema.
هذه هي التغييرات في الإصدار 0.1.2 من المخطط:
- تمت إضافة الحقول
ActorScopeوDvcScopeIdو.DvcScope.
الخطوات التالية
لمزيد من المعلومات، راجع: