Informations de référence sur le schéma de normalisation d’événement du Registre ASIM (Advanced Security Information Model) (préversion publique)
Le schéma d’événement du registre est utilisé pour décrire l’activité Windows de la création, de la modification ou de la suppression d’entités du Registre Windows.
Les événements de registre sont spécifiques aux systèmes Windows, mais ils sont signalés par différents systèmes qui surveillent Windows, tels que les systèmes de PEPT (détection et réponse des points de terminaison), Sysmon ou Windows lui-même.
Pour plus d’informations sur la normalisation dans Microsoft Sentinel, consultez Normalisation et Advanced SIEM Information Model (ASIM).
Important
Le schéma de normalisation des événements du Registre est actuellement en version préliminaire. Cette fonctionnalité est fournie sans contrat de niveau de service et n’est pas recommandée pour des charges de travail de production.
Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
Analyseurs
Pour utiliser l’analyseur d’unification qui unifie tous les analyseurs intégrés et vérifier que votre analyse s’exécute sur toutes les sources configurées, utilisez imRegistry comme nom de table dans votre requête.
Pour obtenir la liste des analyseurs d’événements Processus, Microsoft Sentinel fournit une référence prête à l’emploi à la liste des analyseurs ASIM
Déployez les analyseurs d’unification et spécifiques de la source à partir du dépôt GitHub de Microsoft Sentinel.
Pour plus d’informations, consultez Analyseurs ASIM et Utiliser des analyseurs ASIM.
Ajouter vos propres analyseurs normalisés
Lorsque vous implémentez des analyseurs personnalisés pour le modèle d’informations sur les événements du Registre, nommez vos fonctions KQL à l’aide de la syntaxe suivante : imRegistry<vendor><Product>.
Ajoutez vos fonctions KQL aux analyseurs d’unification imRegistry pour que tout le contenu qui utilise le modèle d’événement de Registre utilise également votre nouvel analyseur.
Contenu normalisé
Microsoft Sentinel fournit la requête de chasse Clé de registre persistante Via IFEO. Cette requête fonctionne sur toutes les données d’activité du Registre normalisées à l’aide de l’Advanced SIEM Information Model (ASIM).
Pour plus d’informations, consultez Repérer les menaces avec Microsoft Sentinel.
Détails du schéma
Le modèle d’informations sur les événements du Registre est aligné avec le schéma d’entité du Registre OSSEM.
Champs ASIM communs
Important
Les champs communs à tous les schémas sont décrits en détail dans l’article Champs communs ASIM.
Champs communs avec des instructions spécifiques
La liste suivante mentionne les champs qui ont des instructions spécifiques pour les événements d’activité :
| Champ | Classe | Type | Description |
|---|---|---|---|
| EventType | Obligatoire | Énuméré | Décrit l’opération signalée par l’enregistrement. Pour les enregistrements de Registre, les valeurs prises en charge sont les suivantes : - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Obligatoire | Chaîne | Version du schéma. La version du schéma documenté ici est 0.1.2 |
| EventSchema | Facultatif | Chaîne | La version du schéma documenté ici est RegistryEvent. |
| Champs Dvc | Pour les événements d’activité du Registre, les champs d’appareil font référence au système sur lequel l’activité du Registre s’est produite. |
Important
Le champ EventSchema est actuellement facultatif, mais deviendra obligatoire le 1er septembre 2022.
Tous les champs communs
Les champs qui apparaissent dans le tableau ci-dessous sont communs à tous les schémas ASIM. Toute instruction spécifiée ci-dessus remplace les instructions générales pour le champ. Par exemple, un champ peut être facultatif en général, mais obligatoire pour un schéma spécifique. Pour plus d’informations sur chaque champ, reportez-vous à l’article Champs communs ASIM.
| Classe | Fields |
|---|---|
| Obligatoire | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recommandé | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Facultatif | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Champs spécifiques à l’événement du Registre
Les champs répertoriés dans le tableau ci-dessous sont spécifiques aux événements de Registre, mais sont similaires aux champs d’autres schémas et suivent des conventions d’affectation de noms similaires.
Pour plus d’informations, consultez Structure du Registre dans la documentation Windows.
| Champ | Classe | Type | Description |
|---|---|---|---|
| RegistryKey | Obligatoire | Chaîne | La clé de registre associée à l’opération, normalisée aux conventions de nommage de clé racine standard. Pour plus d’informations, consultez Clés racines. Les clés de Registre sont similaires aux dossiers dans les systèmes de fichiers. Par exemple : HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Recommandé | Chaîne | Valeur de registre associée à l’opération. Les valeurs de Registre sont similaires aux fichiers dans les systèmes de fichiers. Par exemple : Path |
| RegistryValueType | Recommandé | Chaîne | Type de valeur de Registre normalisé au format standard. Pour plus d’informations, consultez Types valeur. Par exemple : Reg_Expand_Sz |
| RegistryValueData | Recommandé | Chaîne | Données stockées dans la valeur de registre. Exemple : C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | Recommandé | Chaîne | Pour les opérations qui modifient le registre, la clé de registre d’origine, normalisée au nom de clé racine standard. Pour plus d’informations, consultez Clés racines. Remarque : si l’opération a modifié d’autres champs, comme la valeur, mais que la clé reste la même, la RegistryPreviousKey aura la même valeur que la RegistryKey. Exemple : HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | Recommandé | Chaîne | Pour les opérations qui modifient le registre, le type de valeur d’origine, normalisé au format standard. Pour plus d’informations, consultez Types valeur. Si le type n’a pas été modifié, ce champ a la même valeur que le champ RegistryValueType. Exemple : Path |
| RegistryPreviousValueType | Recommandé | Chaîne | Pour les opérations qui modifient le registre, le type de valeur d’origine. Si le type n’a pas été modifié, ce champ a la même valeur que le champ RegistryValueType, normalisé au format standard. Pour plus d’informations, consultez Types valeur. Exemple : Reg_Expand_Sz |
| RegistryPreviousValueData | Recommandé | Chaîne | Pour les opérations qui modifient le registre, les données de registre d’origine. Exemple : C:\Windows\system32;C:\Windows; |
| Utilisateur | Alias | Alias du champ ActorUsername. Exemple : CONTOSO\ dadmin |
|
| Processus | Alias | Alias du champ ActingProcessName. Exemple : C:\Windows\System32\rundll32.exe |
|
| ActorUsername | Obligatoire | Chaîne | Nom d’utilisateur de l’utilisateur qui a lancé l’événement. Exemple : CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | Logique conditionnelle | Énuméré | Spécifie le type du nom d’utilisateur stocké dans le champ ActorUsername. Pour plus d’informations, consultez L’entité utilisateur. Exemple : Windows |
| ActorUserId | Recommandé | Chaîne | ID unique de l’Intervenant. L’ID spécifique dépend du système qui génère l’événement. Pour plus d’informations, consultez L’entité utilisateur. Exemple : S-1-5-18 |
| ActorScope | Facultatif | String | L’étendue, par exemple, tel que le locataire Microsoft Entra, dans lequel ActorUserId et ActorUsername sont définis. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserScope dans l’article Vue d’ensemble du schéma. |
| ActorUserIdType | Recommandé | Chaîne | Type de l’ID stocké dans le champ ActorUserId. Pour plus d’informations, consultez L’entité utilisateur. Exemple : SID |
| ActorSessionId | Logique conditionnelle | Chaîne | ID unique de la session de connexion de l’Intervenant. Exemple : 999Remarque : le type est défini en tant que chaîne pour la prise en charge de différents systèmes. Cependant, sur Windows cette valeur doit être numérique. Si vous utilisez un ordinateur Windows et que la source envoie un type différent, assurez-vous de convertir la valeur. Par exemple, si la source envoie une valeur hexadécimale, convertissez-la en valeur décimale. |
| ActingProcessName | Facultatif | Chaîne | Nom de fichier du fichier image du processus en cours. Ce nom est généralement considéré comme le nom du processus. Exemple : C:\Windows\explorer.exe |
| ActingProcessId | Obligatoire | Chaîne | ID de processus (PID) du processus agissant. Exemple : 48610176 Remarque : Le type est défini en tant que chaîne pour la prise en charge de différents systèmes. Cependant, sur Windows et Linux cette valeur doit être numérique. Si vous utilisez un ordinateur Windows ou Linux et avez utilisé un type différent, assurez-vous de convertir les valeurs. Par exemple, si vous avez utilisé une valeur hexadécimale, convertissez-la en valeur décimale. |
| ActingProcessGuid | Facultatif | Chaîne | Identificateur unique (GUID) généré du processus en cours d’action. Exemple : EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Facultatif | Chaîne | Nom de fichier du fichier image du processus parent. Cette valeur est généralement considérée comme le nom du processus. Exemple : C:\Windows\explorer.exe |
| ParentProcessId | Obligatoire | Chaîne | ID de processus (PID) du processus parent. Exemple : 48610176 |
| ParentProcessGuid | Facultatif | Chaîne | Identificateur unique (GUID) généré du processus parent. Exemple : EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Clés racines
Différentes sources représentent des préfixes de clé de registre utilisant différentes représentations. Pour les champs RegistryKey et RegistryPreviousKey, utilisez les préfixes normalisés suivants :
| Préfixe de clé normalisée | Autres représentations communes |
|---|---|
| HKEY_LOCAL_MACHINE | HKLM, \REGISTRY\MACHINE |
| HKEY_USERS | HKU, \REGISTRY\USER |
Types de valeur
Différentes sources représentent des types de valeur de registre utilisant différentes représentations. Pour les champs RegistryValueType et RegistryPreviousValueType, utilisez les préfixes normalisés suivants :
| Préfixe de clé normalisée | Autres représentations communes |
|---|---|
| Reg_None | None, %%1872 |
| Reg_Sz | String, %%1873 |
| Reg_Expand_Sz | ExpandString, %%1874 |
| Reg_Binary | Binary, %%1875 |
| Reg_DWord | Dword, %%1876 |
| Reg_Multi_Sz | MultiString, %%1879 |
| Reg_QWord | Qword, %%1883 |
Mises à jour du schéma
Voici les modifications apportées à la version 0.1.1 du schéma :
- Ajout du champ
EventSchema.
Voici les modifications apportées à la version 0.1.2 du schéma :
- Ajout des champs
ActorScope,DvcScopeIdetDvcScope.
Étapes suivantes
Pour plus d'informations, consultez les pages suivantes :
- Normalisation dans Microsoft Sentinel
- Informations de référence sur le schéma de normalisation de l’authentification Microsoft Sentinel (préversion publique)
- Informations de référence de schéma de normalisation du DNS Microsoft Sentinel
- Informations de référence de schéma de normalisation d’événement du fichier Microsoft Sentinel (préversion publique)
- Informations de référence sur le schéma de normalisation du réseau Microsoft Sentinel