Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Schéma událostí registru se používá k popisu aktivity systému Windows při vytváření, úpravách nebo odstraňování entit registru systému Windows.
Události registru jsou specifické pro systémy Windows, ale jsou hlášeny různými systémy, které monitorují Windows, jako jsou systémy EDR (detekce koncových bodů a odezva), Sysmon nebo samotný Systém Windows.
Další informace o normalizaci v Microsoft Sentinelu naleznete v tématu Normalizace a Advanced Security Information Model (ASIM).
Analyzátory
Pokud chcete použít sjednocený analyzátor, který sjednocuje všechny předdefinované analyzátory, a ujistěte se, že se analýza spouští ve všech nakonfigurovaných zdrojích, použijte imRegistry jako název tabulky v dotazu.
Seznam analyzátorů událostí procesu, které Microsoft Sentinel nabízí, najdete v seznamu analyzátorů ASIM.
Nasaďte sjednocení a analyzátory specifické pro zdroj z úložiště GitHub pro Microsoft Sentinel.
Další informace najdete v tématu Analyzátory ASIM a použití analyzátorů ASIM.
Přidání vlastních normalizovaných analyzátorů
Při implementaci vlastních analyzátorů pro informační model událostí registru pojmenujte funkce KQL pomocí následující syntaxe: imRegistry<vendor><Product>
Přidejte funkce KQL do imRegistry unifikujících analyzátorů, abyste zajistili, že jakýkoli obsah využívající model událostí registru bude používat i váš nový analyzátor.
Filtrování parametrů analyzátoru
Analyzátory událostí registru podporují parametry filtrování. I když jsou tyto parametry volitelné, můžou zlepšit výkon dotazů.
K dispozici jsou následující parametry filtrování:
| Název | Typ | Description |
|---|---|---|
| čas zahájení | datetime | Vyfiltrujte pouze události registru, ke kterým došlo v tuto chvíli nebo později. Tento parametr filtruje pole TimeGenerated , což je standardní designátor pro čas události, bez ohledu na mapování specifického analyzátoru polí EventStartTime a EventEndTime. |
| endtime | datetime | Vyfiltrujte pouze události registru, ke kterým došlo v tuto chvíli nebo dříve. Tento parametr filtruje pole TimeGenerated , což je standardní designátor pro čas události, bez ohledu na mapování specifického analyzátoru polí EventStartTime a EventEndTime. |
| eventtype_in | dynamic | Filtrovat pouze události registru, ve kterých je typ události jednou z uvedených hodnot, včetně: RegistryKeyCreated, RegistryKeyDeleted, RegistryKeyRenamed, RegistryValueDeleted, nebo RegistryValueSet. |
| actorusername_has_any | dynamic | Vyfiltrujte pouze události registru, u kterých uživatelské jméno objektu actor obsahuje některou z uvedených hodnot. |
| registrykey_has_any | dynamic | Vyfiltrujte pouze události registru, ve kterých má klíč registru některou z uvedených hodnot. |
| registryvalue_has_any | dynamic | Vyfiltrujte pouze události registru, ve kterých má hodnota registru některou z uvedených hodnot. |
| registrydata_has_any | dynamic | Vyfiltrujte pouze události registru, ve kterých data registru mají některou z uvedených hodnot. |
| dvchostname_has_any | dynamic | Vyfiltrujte pouze události registru, ve kterých má název hostitele zařízení některou z uvedených hodnot. |
Pokud například chcete filtrovat pouze události vytvoření klíče registru z posledního dne, použijte:
_Im_RegistryEvent (eventtype_in=dynamic(['RegistryKeyCreated']), starttime = ago(1d), endtime=now())
Normalizovaný obsah
Microsoft Sentinel poskytuje dotaz proaktivního vyhledávání klíčů registru IFEO. Tento dotaz funguje na všech datech aktivit registru normalizovaných pomocí modelu Advanced Security Information Model.
Další informace najdete v tématu Proaktivní vyhledávání hrozeb v Microsoft Sentinelu.
Podrobnosti schématu
Model informací o událostech registru je v souladu se schématem entity registru OSSEM.
Běžná pole ASIM
Důležité
Pole společná pro všechna schémata jsou podrobně popsaná v článku o společných polích ASIM.
Běžná pole s konkrétními pokyny
Následující seznam uvádí pole, která mají specifické pokyny pro události aktivity procesů:
| Obor | Class | Typ | Description |
|---|---|---|---|
| typ události | Povinné | Vyjmenováno | Popisuje operaci hlášenou záznamem. U záznamů registru zahrnují podporované hodnoty: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Povinné | SchemaVersion (řetězec) | Verze schématu. Verze zde popsaného schématu je 0.1.3 |
| EventSchema | Povinné | String | Název schématu popsaného zde je RegistryEvent. |
| Pole Dvc | V případě událostí aktivit registru pole zařízení odkazují na systém, na kterém došlo k aktivitě registru. |
Všechna společná pole
Pole, která se zobrazují v následující tabulce, jsou společná pro všechna schémata ASIM. Všechny výše uvedené pokyny přepíší obecné pokyny pro dané pole. Pole může být například volitelné obecně, ale povinné pro konkrétní schéma. Další podrobnosti o jednotlivých polích najdete v článku o společných polích ASIM.
| třída | Fields |
|---|---|
| Povinné |
-
EventCount - Čas začátku události - EventEndTime - Typ události - Výsledek události - EventProduct - EventVendor - EventSchema - EventSchemaVersion - DVC |
| Doporučeno |
-
VýsledekUdálostPodrobnosti - Závažnost události - Id události - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Volitelný |
-
UdálostZpráva - EventSubType - UdálostOriginalUid - UdálostOriginální typ - UdálostOriginální Subtyp - UdálostPůvodníVýsledekDetaily - UdálostOriginalSeverity - EventProductVersion - EventReportUrl - Vlastník události - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Další pole - Popis dvcDescription - DvcScopeId - DvcScope |
Pole specifická pro událost registru
Pole uvedená v následující tabulce jsou specifická pro události registru, ale jsou podobná polím v jiných schématech a dodržují podobné zásady vytváření názvů.
Další informace naleznete v tématu Struktura registru v dokumentaci systému Windows.
| Obor | Class | Typ | Description |
|---|---|---|---|
| Klíč registru | Povinné | String | Klíč registru přidružený k operaci, normalizovaný na standardní zásady vytváření názvů kořenových klíčů. Další informace najdete v tématu Kořenové klíče. Klíče registru jsou podobné složkám v systémech souborů. Příklad: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Doporučeno | String | Hodnota registru přidružená k operaci. Hodnoty registru jsou podobné souborům v systémech souborů. Příklad: Path |
| RegistryValueType | Doporučeno | String | Typ hodnoty registru normalizovaný na standardní formulář. Další informace naleznete v tématu Typy hodnot. Příklad: Reg_Expand_Sz |
| RegistryValueData | Doporučeno | String | Data uložená v hodnotě registru. Příklad: C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | Doporučeno | String | U operací, které upravují registr, se původní klíč registru normalizuje na standardní pojmenování kořenového klíče. Další informace najdete v tématu Kořenové klíče. Poznámka: Pokud operace změnila jiná pole, jako je například hodnota, ale klíč zůstane stejný, klíč RegistryPreviousKey bude mít stejnou hodnotu jako RegistryKey. Příklad: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | Doporučeno | String | U operací, které upravují registr, je původní typ hodnoty normalizován do standardního formuláře. Další informace naleznete v tématu Typy hodnot. Pokud se typ nezměnil, má toto pole stejnou hodnotu jako pole RegistryValueType . Příklad: Path |
| RegistryPreviousValueType | Doporučeno | String | Pro operace, které upravují registr, původní typ hodnoty. Pokud typ nebyl změněn, bude mít toto pole stejnou hodnotu jako pole RegistryValueType normalizované do standardního formuláře. Další informace naleznete v tématu Typy hodnot. Příklad: Reg_Expand_Sz |
| RegistryPreviousValueData | Doporučeno | String | Původní data registru pro operace, které upravují registr. Příklad: C:\Windows\system32;C:\Windows; |
| User | Alias | Alias pole ActorUsername . Příklad: CONTOSO\ dadmin |
|
| Proces | Alias | Alias pro pole ActingProcessName . Příklad: C:\Windows\System32\rundll32.exe |
|
| ActorUsername | Povinné | Uživatelské jméno (String) | Uživatelské jméno uživatele, který událost zahájil. Příklad: CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | Podmíněný | Vyjmenováno | Určuje typ uživatelského jména uloženého v poli ActorUsername . Další informace naleznete v tématu Entita Uživatel. Příklad: Windows |
| ActorUserId | Doporučeno | String | Jedinečné ID objektu Actor. Konkrétní ID závisí na systému, který událost generuje. Další informace naleznete v tématu Entita Uživatel. Příklad: S-1-5-18 |
| ActorScope | Volitelný | String | Obor, například tenant Microsoft Entra, ve kterém jsou definovány ActorUserId a ActorUsername . nebo další informace a seznam povolených hodnot, viz UserScope v článku Přehled schématu. |
| ActorUserIdType | Podmíněný | Vyjmenováno | Typ ID uloženého v poli ActorUserId . Další informace naleznete v tématu Entita Uživatel. Příklad: SID |
| ActorSessionId | Volitelný | String | Jedinečné ID relace přihlášení objektu Actor. Příklad: 999Poznámka: Typ je definován jako řetězec pro podporu různých systémů, ale v systému Windows musí být tato hodnota číselná. Pokud používáte počítač s Windows a zdroj odesílá jiný typ, nezapomeňte hodnotu převést. Pokud například zdroj odešle šestnáctkovou hodnotu, převeďte ji na desetinnou hodnotu. |
| ActingProcessName | Volitelný | String | Název souboru bitové kopie procesu hereckého procesu. Tento název se obvykle považuje za název procesu. Příklad: C:\Windows\explorer.exe |
| ActingProcessId | Povinné | String | ID procesu (PID) procesu. Příklad: 48610176 Poznámka: Typ je definován jako řetězec pro podporu různých systémů, ale v systému Windows a Linux musí být tato hodnota číselná. Pokud používáte počítač s Windows nebo Linuxem a používáte jiný typ, nezapomeňte hodnoty převést. Pokud jste například použili šestnáctkovou hodnotu, převeďte ji na desetinnou hodnotu. |
| ActingProcessGuid | Volitelný | GUID (struna) | Vygenerovaný jedinečný identifikátor (GUID) hereckého procesu. Příklad: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Volitelný | String | Název souboru image nadřazeného procesu. Tato hodnota se obvykle považuje za název procesu. Příklad: C:\Windows\explorer.exe |
| ParentProcessId | Povinné | String | ID procesu (PID) nadřazeného procesu. Příklad: 48610176 |
| ParentProcessGuid | Volitelný | String | Vygenerovaný jedinečný identifikátor (GUID) nadřazeného procesu. Příklad: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Kontrolní pole
Následující pole se používají k reprezentaci inspekce provedené bezpečnostním systémem, jako je systém EDR.
| Obor | Class | Typ | Description |
|---|---|---|---|
| PravidloNázev | Volitelný | String | Název nebo ID pravidla přidružené k výsledkům kontroly. |
| Pravidlo | Volitelný | Integer | Počet pravidel přidružených k výsledkům kontroly. |
| Pravidlo | Podmíněný | String | Buď hodnota kRuleName , nebo hodnota RuleNumber. Pokud se použije hodnota RuleNumber , typ by měl být převeden na řetězec. |
| ThreatId | Volitelný | String | ID hrozby nebo malwaru zjištěného v aktivitě souboru. |
| ThreatName | Volitelný | String | Název hrozby nebo malwaru zjištěného v aktivitě souboru. Příklad: EICAR Test File |
| ThreatCategory | Volitelný | String | Kategorie hrozby nebo malwaru zjištěného v aktivitě souboru. Příklad: Trojan |
| ThreatRiskLevel | Volitelný | RizikLevel (celočíselné) | Úroveň rizika spojená s identifikovanou hrozbou. Úroveň by měla být číslo od 0 do 100. Poznámka: Hodnota může být ve zdrojovém záznamu poskytována pomocí jiného měřítka, které by se mělo normalizovat na toto měřítko. Původní hodnota by měla být uložena v ThreatOriginalRiskLevel. |
| HrozbaPůvodníÚroveň rizika | Volitelný | String | Úroveň rizika hlášená hlásícím zařízením. |
| ThreatField | Volitelný | String | Pole, pro které byla zjištěna hrozba. |
| ThreatConfidence | Volitelný | ConfidenceLevel (celé číslo) | Úroveň spolehlivosti zjištěné hrozby normalizovaná na hodnotu mezi 0 a 100. |
| ThreatOriginalConfidence | Volitelný | String | Původní úroveň spolehlivosti zjištěné hrozby, jak je hlášeno zařízením pro hlášení. |
| ThreatIsActive | Volitelný | logický | Hodnota True, pokud je identifikovaná hrozba považována za aktivní hrozbu. |
| ThreatFirstReportedTime | Volitelný | datetime | Poprvé, kdy byly IP adresa nebo doména identifikovány jako hrozba. |
| ThreatLastReportedTime | Volitelný | datetime | Naposledy, kdy byla IP adresa nebo doména identifikována jako hrozba. |
Kořenové klíče
Různé zdroje představují předpony klíče registru pomocí různých reprezentací. Pro pole RegistryKey a RegistryPreviousKey použijte následující normalizované předpony:
| Normalizovaná předpona klíče | Další běžné reprezentace |
|---|---|
| HKEY_LOCAL_MACHINE |
HKLM, \REGISTRY\MACHINE |
| HKEY_USERS |
HKU, \REGISTRY\USER |
Typy hodnot
Různé zdroje představují typy hodnot registru pomocí různých reprezentací. Pro pole RegistryValueType a RegistryPreviousValueType použijte následující normalizované typy:
| Normalizovaná předpona klíče | Další běžné reprezentace |
|---|---|
| Reg_None |
None, %%1872 |
| Reg_Sz |
String, %%1873 |
| Reg_Expand_Sz |
ExpandString, %%1874 |
| Reg_Binary |
Binary, %%1875 |
| Reg_DWord |
Dword, %%1876 |
| Reg_Multi_Sz |
MultiString, %%1879 |
| Reg_QWord |
Qword, %%1883 |
Aktualizace schématu
Jedná se o změny ve verzi 0.1.1 schématu:
- Bylo přidáno pole
EventSchema.
Jedná se o změny ve verzi 0.1.2 schématu:
- Byla přidána pole
ActorScope,DvcScopeIdaDvcScope.
Jedná se o změny ve verzi 0.1.3 schématu:
- Přidány kontrolní pole.
Další kroky
Další informace najdete tady:
- Normalizace v Microsoft Sentinelu
- Referenční informace ke schématu normalizace ověřování služby Microsoft Sentinel
- Referenční informace ke schématu normalizace DNS služby Microsoft Sentinel
- Referenční informace ke schématu normalizace událostí souboru Služby Microsoft Sentinel
- Referenční informace ke schématu normalizace sítě Služby Microsoft Sentinel