Referenz zum Schema für die Registrierungsereignisnormalisierung des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM) (öffentliche Vorschau)
Das Registrierungsereignisschema wird verwendet, um die Windows-Aktivität zum Erstellen, Ändern oder Löschen von Windows-Registrierungsentitäten zu beschreiben.
Registrierungsereignisse sind spezifisch für Windows-Systeme, werden aber von verschiedenen Systemen gemeldet, die Windows überwachen, z. B. EDR-Systeme (Endpunkterkennung und -antwort), Sysmon oder Windows selbst.
Weitere Informationen zur Normalisierung in Microsoft Sentinel finden Sie unter Normalisierung und erweitertes Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM).
Wichtig
Das Schema für die Normalisierung von Registrierungsereignissen befindet sich derzeit in der VORSCHAU. Dieses Feature wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen.
In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Parser
Verwenden Sie imRegistry als Tabellennamen in der Abfrage, um den vereinheitlichenden Parser zu verwenden, der alle integrierten Parser vereinheitlicht, und um sicherzustellen, dass Ihre Analyse für alle konfigurierten Quellen ausgeführt wird.
Die Liste der Prozessereignisparser, die Microsoft Sentinel einsatzbereit zur Verfügung stellt, finden Sie in der ASIM-Parserliste
Stellen Sie die vereinheitlichenden und quellenspezifischen Parser aus dem Microsoft Sentinel-GitHub-Repository bereit.
Weitere Informationen finden Sie unter ASIM-Parser und Verwendung von ASIM-Parsern.
Hinzufügen eigener normalisierter Parser
Wenn Sie benutzerdefinierte Parser für das Registrierungsereignis-Informationsmodell implementieren, benennen Sie Ihre KQL-Funktionen mit der folgenden Syntax: imRegistry<vendor><Product>.
Fügen Sie Ihre KQL-Funktion den vereinheitlichenden imRegistry-Parsern hinzu, um sicherzustellen, dass alle Inhalte, die das Registrierungsereignismodell verwenden, auch Ihren neuen Parser verwenden.
Normalisierter Inhalt
Microsoft Sentinel stellt die Huntingabfrage Persisting Via IFEO Registry Key (Beibehalten über IFEO-Registrierungsschlüssel) bereit. Diese Abfrage funktioniert mit allen Registrierungsaktivitätsdaten, die mit dem erweiterten Sicherheitsinformationsmodell normalisiert wurden.
Weitere Informationen finden Sie unter Suchen nach Bedrohungen mit Microsoft Sentinel.
Schemadetails
Das Registrierungsereignis-Informationsmodell ist am OSSEM-Registrierungsentitätsschema ausgerichtet.
Allgemeine ASIM-Felder
Wichtig
Felder, die allen Schemas gemeinsam sind, werden im Artikel Allgemeine ASIM-Felder ausführlich beschrieben.
Allgemeine Felder mit bestimmten Richtlinien
In der folgenden Liste werden Felder erwähnt, die bestimmte Richtlinien für Prozessaktivitätsereignisse enthalten:
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| EventType | Obligatorisch. | Enumerated | Beschreibt den vom Datensatz gemeldeten Vorgang. Für Registrierungsdatensätze werden folgende Werte unterstützt: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Obligatorisch. | String | Die Version des Schemas. Die hier dokumentierte Version des Schemas ist 0.1.2. |
| EventSchema | Optional | String | Der Name des hier dokumentierten Schemas lautet RegistryEvent. |
| Dvc-Felder | Für Registrierungsaktivitätsereignisse verweisen Gerätefelder auf das System, auf dem die Registrierungsaktivität aufgetreten ist. |
Wichtig
Das Feld EventSchema ist derzeit optional, wird aber am 1. September 2022 obligatorisch.
Alle allgemeinen Felder
Felder, die in der folgenden Tabelle angezeigt werden, sind für alle ASIM-Schemas gleich. Jede oben angegebene Richtlinie setzt die allgemeinen Richtlinien für das Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel Allgemeine ASIM-Felder.
| Klasse | Fields |
|---|---|
| Obligatorisch. | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Empfohlen | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optional | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Registrierungsereignisspezifische Felder
Die in der folgenden Tabelle aufgeführten Felder sind spezifisch für Registrierungsereignisse. Sie ähneln jedoch Feldern in anderen Schemas und folgen ähnlichen Benennungskonventionen.
Weitere Informationen finden Sie unter Struktur der Registrierung in der Windows-Dokumentation.
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| RegistryKey | Obligatorisch. | String | Der Registrierungsschlüssel, der dem Vorgang zugeordnet und auf Standardnamenskonventionen für Stammschlüssel normalisiert ist. Weitere Informationen finden Sie unter Stammschlüssel. Registrierungsschlüssel ähneln Ordnern in Dateisystemen. Beispiel: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Empfohlen | String | Der dem Vorgang zugeordnete Registrierungswert. Registrierungswerte ähneln Dateien in Dateisystemen. Beispiel: Path |
| RegistryValueType | Empfohlen | String | Der Typ des Registrierungswerts, normalisiert in Standardform. Weitere Informationen finden Sie unter Werttypen. Beispiel: Reg_Expand_Sz |
| RegistryValueData | Empfohlen | String | Die im Registrierungswert gespeicherten Daten. Beispiel: C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | Empfohlen | String | Bei Vorgängen, die die Registrierung ändern, der ursprüngliche Registrierungsschlüssel, normalisiert in die Standardbenennung für Stammschlüssel. Weitere Informationen finden Sie unter Stammschlüssel. Hinweis: Wenn der Vorgang andere Felder geändert hat, z. B. den Wert, der Schlüssel aber gleich bleibt, hat RegistryPreviousKey den gleichen Wert wie RegistryKey. Beispiel: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | Empfohlen | String | Bei Vorgängen, die die Registrierung ändern, der ursprüngliche Werttyp, normalisiert in die Standardform. Weitere Informationen finden Sie unter Werttypen. Wenn der Typ nicht geändert wurde, weist dieses Feld den gleichen Wert wie das Feld RegistryValueType auf. Beispiel: Path |
| RegistryPreviousValueType | Empfohlen | String | Bei Vorgängen, die die Registrierung ändern, der ursprüngliche Werttyp. Wenn der Typ nicht geändert wurde, weist dieses Feld den gleichen Wert wie das Feld RegistryValueType auf, normalisiert in die Standardform. Weitere Informationen finden Sie unter Werttypen. Beispiel: Reg_Expand_Sz |
| RegistryPreviousValueData | Empfohlen | String | Bei Vorgängen, die die Registrierung ändern, die ursprünglichen Registrierungsdaten. Beispiel: C:\Windows\system32;C:\Windows; |
| Benutzer | Alias | Alias für das Feld ActorUsername. Beispiel: CONTOSO\ dadmin |
|
| Process | Alias | Alias für das Feld ActingProcessName. Beispiel: C:\Windows\System32\rundll32.exe |
|
| ActorUsername | Obligatorisch. | String | Der Benutzername des Benutzers, der das Ereignis initiiert hat. Beispiel: CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | Bedingt | Enumerated | Gibt den Typ des Benutzernamens an, der im Feld ActorUsername gespeichert ist. Weitere Informationen finden Sie unter Benutzerentität. Beispiel: Windows |
| ActorUserId | Empfohlen | String | Eine eindeutige ID des Akteurs. Die jeweilige ID hängt vom System ab, das das Ereignis generiert. Weitere Informationen finden Sie unter Benutzerentität. Beispiel: S-1-5-18 |
| ActorScope | Optional | String | Der Bereich, z. B. der Microsoft Entra-Mandant, in dem ActorUserId und ActorUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht. |
| ActorUserIdType | Empfohlen | String | Der Typ der ID, die im Feld ActorUserId gespeichert ist. Weitere Informationen finden Sie unter Benutzerentität. Beispiel: SID |
| ActorSessionId | Bedingt | String | Die eindeutige ID der Anmeldesitzung des Akteurs. Beispiel: 999Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows muss dieser Wert numerisch sein. Wenn Sie einen Windows-Computer verwenden und die Quelle einen anderen Typ sendet, stellen Sie sicher, dass Sie den Wert konvertieren. Wenn die Quelle beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie diesen in einen Dezimalwert. |
| ActingProcessName | Optional | String | Der Dateiname der Imagedatei des agierenden Prozesses. Dieser Name wird in der Regel als Prozessname betrachtet. Beispiel: C:\Windows\explorer.exe |
| ActingProcessId | Obligatorisch. | String | Die Prozess-ID (PID) des handelnden Prozesses. Beispiel: 48610176 Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows und Linux muss dieser Wert numerisch sein. Wenn Sie einen Windows- oder Linux-Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie diesen in einen Dezimalwert. |
| ActingProcessGuid | Optional | String | Ein generierter eindeutiger Bezeichner (GUID) des agierenden Prozesses. Beispiel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Optional | String | Der Dateiname der Imagedatei des übergeordneten Prozesses. Dieser Wert wird in der Regel als Prozessname betrachtet. Beispiel: C:\Windows\explorer.exe |
| ParentProcessId | Obligatorisch. | String | Die Prozess-ID (PID) des übergeordneten Prozesses. Beispiel: 48610176 |
| ParentProcessGuid | Optional | String | Ein generierter eindeutiger Bezeichner (GUID) des übergeordneten Prozesses. Beispiel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Stammschlüssel
Verschiedene Quellen stellen Registrierungsschlüsselpräfixe mit unterschiedlichen Darstellungen dar. Verwenden Sie für die Felder RegistryKey und RegistryPreviousKey die folgenden normalisierten Präfixe:
| Normalisiertes Schlüsselpräfix | Andere gängige Darstellungen |
|---|---|
| HKEY_LOCAL_MACHINE | HKLM, \REGISTRY\MACHINE |
| HKEY_USERS | HKU, \REGISTRY\USER |
Werttypen
Verschiedene Quellen stellen Registrierungswerttypen mit unterschiedlichen Darstellungen dar. Verwenden Sie für die Felder RegistryValueType und RegistryPreviousValueType die folgenden normalisierten Typen:
| Normalisiertes Schlüsselpräfix | Andere gängige Darstellungen |
|---|---|
| Reg_None | None, %%1872 |
| Reg_Sz | String, %%1873 |
| Reg_Expand_Sz | ExpandString, %%1874 |
| Reg_Binary | Binary, %%1875 |
| Reg_DWord | Dword, %%1876 |
| Reg_Multi_Sz | MultiString, %%1879 |
| Reg_QWord | Qword, %%1883 |
Schemaupdates
In der Version 0.1.1 des Schemas wurde Folgendes geändert:
- Das Feld
EventSchemawurde hinzugefügt.
Dies sind die Änderungen in Version 0.1.2 des Schemas:
- Die Felder
ActorScope,DvcScopeIdundDvcScopewurden hinzugefügt.
Nächste Schritte
Weitere Informationen finden Sie unter
- Normalisierung in Microsoft Sentinel
- Microsoft Sentinel: Referenz zum Schema zur Normalisierung der Authentifizierung (Public Preview)
- Microsoft Sentinel: Referenz zum DNS-Normalisierungsschema
- Microsoft Sentinel: Referenz zum Schema zur Normalisierung von Dateiereignissen (Public Preview)
- Referenz zum Microsoft Sentinel-Netzwerk-Normalisierungsschema