Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Registrierungsereignisschema wird verwendet, um die Windows-Aktivität zum Erstellen, Ändern oder Löschen von Windows-Registrierungsentitäten zu beschreiben.
Registrierungsereignisse sind spezifisch für Windows-Systeme, werden jedoch von verschiedenen Systemen gemeldet, die Windows überwachen, z. B. EDR-Systeme (End Point Detection and Response), Sysmon oder Windows selbst.
Weitere Informationen zur Normalisierung in Microsoft Sentinel finden Sie unter Normalization and the Advanced Security Information Model (ASIM).
Parser
Um den vereinheitlichenden Parser zu verwenden, der alle integrierten Parser vereinheitlicht, und um sicherzustellen, dass ihre Analyse in allen konfigurierten Quellen ausgeführt wird, verwenden Sie imRegistry als Tabellennamen in Ihrer Abfrage.
Die Liste der Prozessereignisparser, die Microsoft Sentinel sofort verfügbar sind, finden Sie in der Asim-Parserliste.
Stellen Sie die vereinheitlichenden und quellspezifischen Parser aus dem Microsoft Sentinel GitHub-Repository bereit.
Weitere Informationen finden Sie unter ASIM-Parser und Verwenden von ASIM-Parsern.
Hinzufügen eigener normalisierter Parser
Wenn Sie benutzerdefinierte Parser für das Registrierungsereignisinformationsmodell implementieren, benennen Sie Ihre KQL-Funktionen mit der folgenden Syntax: imRegistry<vendor><Product>.
Fügen Sie Ihre KQL-Funktionen den imRegistry vereinheitlichenden Parsern hinzu, um sicherzustellen, dass alle Inhalte, die das Registrierungsereignismodell verwenden, auch Ihren neuen Parser verwenden.
Filtern von Parserparametern
Die Registrierungsereignisparser unterstützen das Filtern von Parametern. Diese Parameter sind zwar optional, können aber die Abfrageleistung verbessern.
Die folgenden Filterparameter sind verfügbar:
| Name | Typ | Beschreibung |
|---|---|---|
| starttime | Datum/Uhrzeit | Filtern Sie nur Registrierungsereignisse, die zu oder nach diesem Zeitpunkt aufgetreten sind. Dieser Parameter filtert nach dem TimeGenerated Feld, das der Standardbezeichner für den Zeitpunkt des Ereignisses ist, unabhängig von der parserspezifischen Zuordnung der Felder EventStartTime und EventEndTime. |
| endtime | Datum/Uhrzeit | Filtern Sie nur Registrierungsereignisse, die zu oder vor diesem Zeitpunkt aufgetreten sind. Dieser Parameter filtert nach dem TimeGenerated Feld, das der Standardbezeichner für den Zeitpunkt des Ereignisses ist, unabhängig von der parserspezifischen Zuordnung der Felder EventStartTime und EventEndTime. |
| eventtype_in | Dynamische | Filtern Sie nur Registrierungsereignisse, bei denen der Ereignistyp einer der aufgeführten Werte ist, einschließlich: RegistryKeyCreated, RegistryKeyDeleted, RegistryKeyRenamed, RegistryValueDeletedoder RegistryValueSet. |
| actorusername_has_any | Dynamische | Filtern Sie nur Registrierungsereignisse, bei denen der Akteurbenutzername über einen der aufgeführten Werte verfügt. |
| registrykey_has_any | Dynamische | Filtern Sie nur Registrierungsereignisse, bei denen der Registrierungsschlüssel über einen der aufgelisteten Werte verfügt. |
| registryvalue_has_any | Dynamische | Filtern Sie nur Registrierungsereignisse, bei denen der Registrierungswert einen der aufgelisteten Werte aufweist. |
| registrydata_has_any | Dynamische | Filtern Sie nur Registrierungsereignisse, bei denen die Registrierungsdaten über einen der aufgelisteten Werte verfügen. |
| dvchostname_has_any | Dynamische | Filtern Sie nur Registrierungsereignisse, bei denen der Gerätehostname über einen der aufgeführten Werte verfügt. |
Um beispielsweise nur Ereignisse zur Erstellung von Registrierungsschlüsseln vom letzten Tag zu filtern, verwenden Sie Folgendes:
_Im_RegistryEvent (eventtype_in=dynamic(['RegistryKeyCreated']), starttime = ago(1d), endtime=now())
Normalisierter Inhalt
Microsoft Sentinel stellt die Suchabfrage Persisting Via IFEO Registry Key bereit. Diese Abfrage funktioniert für alle Registrierungsaktivitätsdaten, die mithilfe des erweiterten Sicherheitsinformationsmodells normalisiert wurden.
Weitere Informationen finden Sie unter Suchen nach Bedrohungen mit Microsoft Sentinel.
Schemadetails
Das Informationsmodell für Registrierungsereignisse ist am Entitätsschema der OSSEM-Registrierung ausgerichtet.
Allgemeine ASIM-Felder
Wichtig
Felder, die allen Schemas gemeinsam sind, werden im Artikel Allgemeine Felder für ASIM ausführlich beschrieben.
Allgemeine Felder mit bestimmten Richtlinien
In der folgenden Liste werden Felder mit spezifischen Richtlinien für Prozessaktivitätsereignisse aufgeführt:
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| EventType | Erforderlich | Aufgelistet | Beschreibt den vom Datensatz gemeldeten Vorgang. Für Registrierungsdatensätze werden folgende Werte unterstützt: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Erforderlich | SchemaVersion (Zeichenfolge) | Die Version des Schemas. Die hier dokumentierte Version des Schemas lautet 0.1.3 |
| EventSchema | Erforderlich | Zeichenfolge | Der Name des hier dokumentierten Schemas lautet RegistryEvent. |
| Dvc-Felder | Bei Registrierungsaktivitätsereignissen verweisen Gerätefelder auf das System, auf dem die Registrierungsaktivität aufgetreten ist. |
Alle gemeinsamen Felder
Felder, die in der folgenden Tabelle angezeigt werden, sind für alle ASIM-Schemas gemeinsam. Jede oben angegebene Richtlinie setzt die allgemeinen Richtlinien für das Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel ALLGEMEINE FELDER für ASIM .
| Class | Fields |
|---|---|
| Erforderlich |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Empfohlen |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optional |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Registrierungsereignisspezifische Felder
Die in der folgenden Tabelle aufgeführten Felder sind spezifisch für Registrierungsereignisse, ähneln jedoch Feldern in anderen Schemas und entsprechen ähnlichen Namenskonventionen.
Weitere Informationen finden Sie in der Dokumentation zur Struktur der Registrierung in Windows.
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Registrykey | Erforderlich | Zeichenfolge | Der dem Vorgang zugeordnete Registrierungsschlüssel, normalisiert auf Standardnamenskonventionen für Stammschlüssel. Weitere Informationen finden Sie unter Stammschlüssel. Registrierungsschlüssel ähneln Ordnern in Dateisystemen. Beispiel: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Empfohlen | Zeichenfolge | Der Registrierungswert, der dem Vorgang zugeordnet ist. Registrierungswerte ähneln Dateien in Dateisystemen. Beispiel: Path |
| RegistryValueType | Empfohlen | Zeichenfolge | Der Typ des Registrierungswerts, normalisiert auf das Standardformular. Weitere Informationen finden Sie unter Werttypen. Beispiel: Reg_Expand_Sz |
| RegistryValueData | Empfohlen | Zeichenfolge | Die im Registrierungswert gespeicherten Daten. Beispiel: C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | Empfohlen | Zeichenfolge | Bei Vorgängen, die die Registrierung ändern, wird der ursprüngliche Registrierungsschlüssel auf die Standardmäßige Stammschlüsselbenennung normalisiert. Weitere Informationen finden Sie unter Stammschlüssel. Hinweis: Wenn der Vorgang andere Felder geändert hat, z. B. den Wert, aber der Schlüssel unverändert bleibt, hat RegistryPreviousKey denselben Wert wie RegistryKey. Beispiel: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | Empfohlen | Zeichenfolge | Bei Vorgängen, die die Registrierung ändern, wird der ursprüngliche Werttyp auf das Standardformular normalisiert. Weitere Informationen finden Sie unter Werttypen. Wenn der Typ nicht geändert wurde, hat dieses Feld denselben Wert wie das RegistryValueType-Feld . Beispiel: Path |
| RegistryPreviousValueType | Empfohlen | Zeichenfolge | Bei Vorgängen, die die Registrierung ändern, der ursprüngliche Werttyp. Wenn der Typ nicht geändert wurde, hat dieses Feld den gleichen Wert wie das RegistryValueType-Feld , das auf das Standardformular normalisiert wurde. Weitere Informationen finden Sie unter Werttypen. Beispiel: Reg_Expand_Sz |
| RegistryPreviousValueData | Empfohlen | Zeichenfolge | Die ursprünglichen Registrierungsdaten für Vorgänge, die die Registrierung ändern. Beispiel: C:\Windows\system32;C:\Windows; |
| Benutzer | Alias | Alias für das Feld ActorUsername . Beispiel: CONTOSO\ dadmin |
|
| Prozess | Alias | Alias für das Feld ActingProcessName . Beispiel: C:\Windows\System32\rundll32.exe |
|
| ActorUsername | Erforderlich | Benutzername (Zeichenfolge) | Der Benutzername des Benutzers, der das Ereignis initiiert hat. Beispiel: CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | Bedingte | Aufgelistet | Gibt den Typ des Benutzernamens an, der im Feld ActorUsername gespeichert ist. Weitere Informationen finden Sie unter Die Entität User. Beispiel: Windows |
| ActorUserId | Empfohlen | Zeichenfolge | Eine eindeutige ID des Akteurs. Die spezifische ID hängt vom System ab, das das Ereignis generiert. Weitere Informationen finden Sie unter Die Entität User. Beispiel: S-1-5-18 |
| ActorScope | Optional | Zeichenfolge | Der Bereich, z. B. Microsoft Entra Mandant, in dem ActorUserId und ActorUsername definiert sind. oder weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht. |
| ActorUserIdType | Bedingte | Aufgelistet | Der Typ der ID, die im Feld ActorUserId gespeichert ist. Weitere Informationen finden Sie unter Die Entität User. Beispiel: SID |
| ActorSessionId | Optional | Zeichenfolge | Die eindeutige ID der Anmeldesitzung des Actors. Beispiel: 999Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows muss dieser Wert numerisch sein. Wenn Sie einen Windows-Computer verwenden und die Quelle einen anderen Typ sendet, stellen Sie sicher, dass Sie den Wert konvertieren. Wenn source beispielsweise einen Hexadezimalwert sendet, konvertieren Sie ihn in einen Dezimalwert. |
| ActingProcessName | Optional | Zeichenfolge | Der Dateiname der Bilddatei des handelnden Prozesses. Dieser Name wird in der Regel als Prozessname betrachtet. Beispiel: C:\Windows\explorer.exe |
| ActingProcessId | Erforderlich | Zeichenfolge | Die Prozess-ID (PID) des handelnden Prozesses. Beispiel: 48610176 Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows und Linux muss dieser Wert numerisch sein. Wenn Sie einen Windows- oder Linux Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie ihn in einen Dezimalwert. |
| ActingProcessGuid | Optional | GUID (Zeichenfolge) | Ein generierter eindeutiger Bezeichner (GUID) des handelnden Prozesses. Beispiel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Optional | Zeichenfolge | Der Dateiname der Imagedatei des übergeordneten Prozesses. Dieser Wert wird in der Regel als Prozessname betrachtet. Beispiel: C:\Windows\explorer.exe |
| ParentProcessId | Erforderlich | Zeichenfolge | Die Prozess-ID (PID) des übergeordneten Prozesses. Beispiel: 48610176 |
| ParentProcessGuid | Optional | Zeichenfolge | Ein generierter eindeutiger Bezeichner (GUID) des übergeordneten Prozesses. Beispiel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Inspektionsfelder
Die folgenden Felder werden verwendet, um die Überprüfung darzustellen, die von einem Sicherheitssystem wie einem EDR-System durchgeführt wird.
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Rulename | Optional | Zeichenfolge | Der Name oder die ID der Regel von, die den Inspektionsergebnissen zugeordnet ist. |
| RuleNumber | Optional | Integer | Die Nummer der Regel, die den Inspektionsergebnissen zugeordnet ist. |
| Rule | Bedingte | Zeichenfolge | Entweder der Wert von kRuleName oder der Wert von RuleNumber. Wenn der Wert von RuleNumber verwendet wird, sollte der Typ in eine Zeichenfolge konvertiert werden. |
| ThreatId | Optional | Zeichenfolge | Die ID der Bedrohung oder Schadsoftware, die in der Dateiaktivität identifiziert wurde. |
| ThreatName | Optional | Zeichenfolge | Der Name der Bedrohung oder Schadsoftware, die in der Dateiaktivität identifiziert wurde. Beispiel: EICAR Test File |
| Bedrohungskategorie | Optional | Zeichenfolge | Die Kategorie der Bedrohung oder Schadsoftware, die in der Dateiaktivität identifiziert wird. Beispiel: Trojan |
| ThreatRiskLevel | Optional | RiskLevel (Integer) | Die Risikostufe, die der identifizierten Bedrohung zugeordnet ist. Die Ebene sollte eine Zahl zwischen 0 und 100 sein. Hinweis: Der Wert kann im Quelldatensatz mithilfe einer anderen Skalierung bereitgestellt werden, die auf diese Skalierung normalisiert werden sollte. Der ursprüngliche Wert sollte in ThreatOriginalRiskLevel gespeichert werden. |
| ThreatOriginalRiskLevel | Optional | Zeichenfolge | Die vom Melden des Geräts gemeldete Risikostufe. |
| ThreatField | Optional | Zeichenfolge | Das Feld, für das eine Bedrohung identifiziert wurde. |
| ThreatConfidence | Optional | ConfidenceLevel (Integer) | Das Konfidenzniveau der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100. |
| ThreatOriginalConfidence | Optional | Zeichenfolge | Das ursprüngliche Konfidenzniveau der identifizierten Bedrohung, wie vom Melden des Geräts gemeldet. |
| ThreatIsActive | Optional | Boolean | True, wenn die identifizierte Bedrohung als aktive Bedrohung angesehen wird. |
| ThreatFirstReportedTime | Optional | Datum/Uhrzeit | Beim ersten Mal wurde die IP-Adresse oder Domäne als Bedrohung identifiziert. |
| ThreatLastReportedTime | Optional | Datum/Uhrzeit | Der Zeitpunkt, zu dem die IP-Adresse oder Domäne zuletzt als Bedrohung identifiziert wurde. |
Stammschlüssel
Verschiedene Quellen stellen Registrierungsschlüsselpräfixe mit unterschiedlichen Darstellungen dar. Verwenden Sie für die Felder RegistryKey und RegistryPreviousKey die folgenden normalisierten Präfixe:
| Normalisiertes Schlüsselpräfix | Andere gängige Darstellungen |
|---|---|
| HKEY_LOCAL_MACHINE |
HKLM, \REGISTRY\MACHINE |
| HKEY_USERS |
HKU, \REGISTRY\USER |
Werttypen
Verschiedene Quellen stellen Registrierungswerttypen mit unterschiedlichen Darstellungen dar. Verwenden Sie für die Felder RegistryValueType und RegistryPreviousValueType die folgenden normalisierten Typen:
| Normalisiertes Schlüsselpräfix | Andere gängige Darstellungen |
|---|---|
| Reg_None |
None, %%1872 |
| Reg_sz |
String, %%1873 |
| Reg_expand_sz |
ExpandString, %%1874 |
| Reg_Binary |
Binary, %%1875 |
| Reg_dword |
Dword, %%1876 |
| Reg_multi_sz |
MultiString, %%1879 |
| Reg_QWord |
Qword, %%1883 |
Schemaaktualisierungen
Dies sind die Änderungen in Version 0.1.1 des Schemas:
- Das Feld
EventSchemawurde hinzugefügt.
Dies sind die Änderungen in Version 0.1.2 des Schemas:
- Die Felder
ActorScope,DvcScopeIdundDvcScopewurden hinzugefügt.
Dies sind die Änderungen in Version 0.1.3 des Schemas:
- Inspektionsfelder hinzugefügt.
Nächste Schritte
Weitere Informationen finden Sie unter:
- Normalisierung in Microsoft Sentinel
- Microsoft Sentinel Authentifizierungsnormalisierungsschemareferenz
- referenz zum Microsoft Sentinel des DNS-Normalisierungsschemas
- Referenz zum Schema für Microsoft Sentinel Dateiereignisnormalisierung
- referenz zum Microsoft Sentinel des Schemas für die Netzwerknormalisierung