Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Le schéma d’événement du Registre est utilisé pour décrire l’activité Windows de création, de modification ou de suppression d’entités de Registre Windows.
Les événements de Registre sont spécifiques aux systèmes Windows, mais sont signalés par différents systèmes qui surveillent Windows, tels que les systèmes EDR (Détection et réponse des points de terminaison), Sysmon ou Windows lui-même.
Pour plus d’informations sur la normalisation dans Microsoft Sentinel, consultez Normalisation et Advanced SIEM Information Model (ASIM).
Analyseurs
Pour utiliser l’analyseur unifiant qui unifie tous les analyseurs intégrés et assurez-vous que votre analyse s’exécute sur toutes les sources configurées, utilisez imRegistry comme nom de table dans votre requête.
Pour obtenir la liste des analyseurs d’événements processus, Microsoft Sentinel fournit une référence prête à l’emploi à la liste des analyseurs ASIM
Déployez les analyseurs spécifiques à la source et unifiants à partir du dépôt GitHub Microsoft Sentinel.
Pour plus d’informations, consultez les analyseurs ASIM et Utiliser des analyseurs ASIM.
Ajouter vos propres analyseurs normalisés
Lors de l’implémentation d’analyseurs personnalisés pour le modèle d’informations d’événement du Registre, nommez vos fonctions KQL à l’aide de la syntaxe suivante : imRegistry<vendor><Product>
Ajoutez vos fonctions KQL aux imRegistry analyseurs unifiants pour vous assurer que tout contenu utilisant le modèle d’événement de Registre utilise également votre nouvel analyseur.
Contenu normalisé
Microsoft Sentinel fournit la requête de repérage de clé de Registre IFEO via Persisting Via IFEO . Cette requête fonctionne sur toutes les données d’activité du Registre normalisées à l’aide du modèle d’informations de sécurité avancées.
Pour plus d’informations, consultez La recherche des menaces avec Microsoft Sentinel.
Détails du schéma
Le modèle d’informations sur les événements du Registre est aligné sur le schéma d’entité de Registre OSSEM.
Champs ASIM communs
Important
Les champs communs à tous les schémas sont décrits en détail dans l’article Champs communs ASIM.
Champs communs avec des instructions spécifiques
La liste suivante mentionne les champs qui ont des instructions spécifiques pour les événements d’activité :
| Terrain | classe | Type | Descriptif |
|---|---|---|---|
| EventType | Obligatoire | Énuméré | Décrit l’opération signalée par l’enregistrement. Pour les enregistrements du Registre, les valeurs prises en charge sont les suivantes : - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Obligatoire | SchemaVersion (chaîne) | Version du schéma. La version du schéma documenté ici est 0.1.3 |
| EventSchema | Obligatoire | Chaîne | La version du schéma documenté ici est RegistryEvent. |
| Champs Dvc | Pour les événements d’activité du Registre, les champs d’appareil font référence au système sur lequel l’activité du Registre s’est produite. |
Tous les champs communs
Les champs qui apparaissent dans le tableau ci-dessous sont communs à tous les schémas ASIM. Toute instruction spécifiée ci-dessus remplace les instructions générales pour le champ. Par exemple, un champ peut être facultatif en général, mais obligatoire pour un schéma spécifique. Pour plus d’informations sur chaque champ, reportez-vous à l’article Champs communs ASIM.
| Classe | Fields |
|---|---|
| Obligatoire |
-
EventCount - EventStartTime - ÉvénementEndTemps - EventType - EventResult - EventProduct - ÉvénementVendor - EventSchema - EventSchemaVersion - Cvn |
| Recommended |
-
EventResultDétails - Sévérité des événements - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optional |
-
EventMessage - ÉvénementSous-Type - ÉvénementOriginalUid - EventOriginalType - ÉvénementOriginalSous-Type - ÉvénementOriginalRésultatDétails - ÉvénementOriginalSévérité - EventProductVersion - ÉvénementReportUrl - Propriétaire d’événements - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - ChampsAdditionnels - DvcDescription - DvcScopeId - DvcScope |
Champs spécifiques à l’événement de Registre
Les champs répertoriés dans le tableau ci-dessous sont spécifiques aux événements de Registre, mais sont similaires aux champs d’autres schémas et suivent des conventions d’affectation de noms similaires.
Pour plus d’informations, consultez Structure du Registre dans la documentation Windows.
| Terrain | classe | Type | Descriptif |
|---|---|---|---|
| RegistryKey | Obligatoire | Chaîne | Clé de Registre associée à l’opération, normalisée aux conventions d’affectation de noms de clé racine standard. Pour plus d’informations, consultez Clés racines. Les clés de Registre sont similaires aux dossiers des systèmes de fichiers. Par exemple : HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Recommended | Chaîne | Valeur de Registre associée à l’opération. Les valeurs de Registre sont similaires aux fichiers dans les systèmes de fichiers. Par exemple : Path |
| RegistryValueType | Recommended | Chaîne | Type de valeur de Registre, normalisé en formulaire standard. Pour plus d’informations, consultez Types valeur. Par exemple : Reg_Expand_Sz |
| RegistryValueData | Recommended | Chaîne | Données stockées dans la valeur de Registre. Exemple : C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | Recommended | Chaîne | Pour les opérations qui modifient le Registre, la clé de Registre d’origine, normalisée en nommage de clé racine standard. Pour plus d’informations, consultez Clés racines. Remarque : Si l’opération a modifié d’autres champs, tels que la valeur, mais que la clé reste la même, RegistryPreviousKey aura la même valeur que RegistryKey. Exemple : HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | Recommended | Chaîne | Pour les opérations qui modifient le Registre, le type de valeur d’origine, normalisé au formulaire standard. Pour plus d’informations, consultez Types valeur. Si le type n’a pas été modifié, ce champ a la même valeur que le champ RegistryValueType . Exemple : Path |
| RegistryPreviousValueType | Recommended | Chaîne | Pour les opérations qui modifient le Registre, le type de valeur d’origine. Si le type n’a pas été modifié, ce champ aura la même valeur que le champ RegistryValueType , normalisé au formulaire standard. Pour plus d’informations, consultez Types valeur. Exemple : Reg_Expand_Sz |
| RegistryPreviousValueData | Recommended | Chaîne | Données de Registre d’origine, pour les opérations qui modifient le Registre. Exemple : C:\Windows\system32;C:\Windows; |
| Utilisateur | Alias | Alias du champ ActorUsername . Exemple : CONTOSO\ dadmin |
|
| Processus | Alias | Alias du champ ActingProcessName . Exemple : C:\Windows\System32\rundll32.exe |
|
| Nom d’utilisateur Acteur | Obligatoire | Nom d’utilisateur (chaîne) | Nom d’utilisateur de l’utilisateur qui a lancé l’événement. Exemple : CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | Conditionnelle | Énuméré | Spécifie le type du nom d’utilisateur stocké dans le champ ActorUsername. Pour plus d’informations, consultez l’entité Utilisateur. Exemple : Windows |
| ActorUserId | Recommended | Chaîne | ID unique de l’acteur. L’ID spécifique dépend du système qui génère l’événement. Pour plus d’informations, consultez l’entité Utilisateur. Exemple : S-1-5-18 |
| ActorScope | Optional | Chaîne | L’étendue, par exemple, tel que le locataire Microsoft Entra, dans lequel ActorUserId et ActorUsername sont définis. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserScope dans l’article Vue d’ensemble du schéma. |
| ActorUserIdType | Conditionnelle | Énuméré | Type de l’ID stocké dans le champ ActorUserId. Pour plus d’informations, consultez l’entité Utilisateur. Exemple : SID |
| ActorSessionId | Optional | Chaîne | ID unique de la session de connexion de l’Intervenant. Exemple : 999Remarque : le type est défini en tant que chaîne pour la prise en charge de différents systèmes. Cependant, sur Windows, cette valeur doit être numérique. Si vous utilisez une machine Windows et que la source envoie un autre type, veillez à convertir la valeur. Par exemple, si la source envoie une valeur hexadécimale, convertissez-la en valeur décimale. |
| Nom du processus d’acteur | Optional | Chaîne | Nom de fichier du fichier image de processus en cours d’action. Ce nom est généralement considéré comme le nom du processus. Exemple : C:\Windows\explorer.exe |
| ActingProcessId | Obligatoire | Chaîne | ID de processus (PID) du processus agissant. Exemple : 48610176 Remarque : Le type est défini en tant que chaîne pour la prise en charge de différents systèmes. Cependant, sur Windows et Linux cette valeur doit être numérique. Si vous utilisez un ordinateur Windows ou Linux et avez utilisé un type différent, assurez-vous de convertir les valeurs. Par exemple, si vous avez utilisé une valeur hexadécimale, convertissez-la en valeur décimale. |
| ActingProcessGuid | Optional | GUID (Corde) | Identificateur unique (GUID) généré du processus agissant. Exemple : EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Optional | Chaîne | Nom de fichier du fichier image du processus parent. Cette valeur est généralement considérée comme le nom du processus. Exemple : C:\Windows\explorer.exe |
| ParentProcessId | Obligatoire | Chaîne | ID de processus (PID) du processus parent. Exemple : 48610176 |
| ParentProcessGuid | Optional | Chaîne | Identificateur unique (GUID) généré du processus parent. Exemple : EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Champs d’inspection
Les champs suivants sont utilisés pour représenter l’inspection effectuée par un système de sécurité tel qu’un système EDR.
| Terrain | classe | Type | Descriptif |
|---|---|---|---|
| Nom de la règle | Optional | Chaîne | Nom ou ID de la règle associée aux résultats de l’inspection. |
| Nombre de règles | Optional | Nombre entier | Numéro de la règle associée aux résultats de l’inspection. |
| Règle | Conditionnelle | Chaîne | Valeur de kRuleName ou valeur de RuleNumber. Si la valeur de RuleNumber est utilisée, le type doit être converti en chaîne. |
| ThreatId | Optional | Chaîne | ID de la menace ou du programme malveillant identifié dans l’activité de fichier. |
| ThreatName | Optional | Chaîne | Le nom de la menace ou du programme malveillant identifié dans l’activité de fichier. Exemple : EICAR Test File |
| ThreatCategory | Optional | Chaîne | Catégorie de la menace ou du programme malveillant identifié dans l’activité de fichier. Exemple : Trojan |
| ThreatRiskLevel | Optional | RiskLevel (entier) | Niveau de risque associé à la menace identifiée. Le niveau doit être un nombre compris entre 0 et 100. Remarque : la valeur peut être fournie dans l’enregistrement source en utilisant une échelle différente, qui doit être normalisée à cette échelle. La valeur originale doit être stockée dans ThreatOriginalRiskLevel. |
| MenaceOriginalRisqueLevel | Optional | Chaîne | Niveau de risque signalé par le périphérique de reporting. |
| ChampDeMenace | Optional | Chaîne | Champ pour lequel une menace a été identifiée. |
| ThreatConfidence | Optional | Niveau de confiance (entier) | Niveau de confiance de la menace identifiée, normalisé à une valeur comprise entre 0 et 100. |
| ThreatOriginalConfidence | Optional | Chaîne | Niveau de confiance initial de la menace identifiée, tel que rapporté par le dispositif de rapport. |
| ThreatIsActive | Optional | Booléen | True si la menace identifiée est considérée comme une menace active. |
| ThreatFirstReportedTime | Optional | datetime | Indique la première fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatLastReportedTime | Optional | datetime | La dernière fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
Clés racines
Différentes sources représentent des préfixes de clé de Registre à l’aide de différentes représentations. Pour les champs RegistryKey et RegistryPreviousKey , utilisez les préfixes normalisés suivants :
| Préfixe de clé normalisée | Autres représentations courantes |
|---|---|
| HKEY_LOCAL_MACHINE |
HKLM, \REGISTRY\MACHINE |
| HKEY_USERS |
HKU, \REGISTRY\USER |
Types de valeur
Différentes sources représentent des types de valeurs de Registre à l’aide de représentations différentes. Pour les champs RegistryValueType et RegistryPreviousValueType , utilisez les types normalisés suivants :
| Préfixe de clé normalisée | Autres représentations courantes |
|---|---|
| Reg_None |
None, %%1872 |
| Reg_Sz |
String, %%1873 |
| Reg_Expand_Sz |
ExpandString, %%1874 |
| Reg_Binary |
Binary, %%1875 |
| Reg_DWord |
Dword, %%1876 |
| Reg_Multi_Sz |
MultiString, %%1879 |
| Reg_QWord |
Qword, %%1883 |
Mises à jour du schéma
Voici les modifications apportées à la version 0.1.1 du schéma :
- Ajout du champ
EventSchema.
Voici les modifications apportées à la version 0.1.2 du schéma :
- Ajout des champs
ActorScope,DvcScopeIdetDvcScope.
Voici les modifications apportées à la version 0.1.3 du schéma :
- Ajout de champs d’inspection.
Étapes suivantes
Pour plus d’informations, consultez :
- Normalisation dans Microsoft Sentinel
- Informations de référence sur le schéma de normalisation de l’authentification Microsoft Sentinel
- Informations de référence sur le schéma de normalisation DNS Microsoft Sentinel
- Informations de référence sur le schéma de normalisation des événements de fichier Microsoft Sentinel
- Informations de référence sur le schéma de normalisation du réseau Microsoft Sentinel