Az Advanced Security Information Model (ASIM) beállításjegyzék-esemény normalizálási sémájának referenciája (nyilvános előzetes verzió)
A beállításjegyzék eseményséma a Windows beállításjegyzék-entitások létrehozására, módosítására vagy törlésére szolgáló Windows-tevékenység leírására szolgál.
A beállításjegyzék eseményei windowsos rendszerekre vonatkoznak, de a Windowst figyelő különböző rendszerek, például a Végponti észlelés és reagálás (végpontészlelés és válasz) rendszerek, a Sysmon vagy maga a Windows jelentik.
A Microsoft Sentinel normalizálásáról további információt a Normalizálás és az Advanced Security Information Model (ASIM) című cikkben talál.
Fontos
A beállításjegyzék esemény normalizálási sémája jelenleg ELŐZETES VERZIÓban érhető el. Ez a funkció szolgáltatásszint-szerződés nélkül érhető el, és éles számítási feladatokhoz nem ajánlott.
Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Elemzők
Ha az összes beépített elemzőt egyesítő egységesítő elemzőt szeretné használni, és biztosítani szeretné, hogy az elemzés az összes konfigurált forrásban fusson, használja az imRegistryt táblanévként a lekérdezésben.
A Folyamatesemény-elemzők listájához a Microsoft Sentinel az ASIM-elemzők listájára hivatkozik.
Telepítse az egyesítő és forrásspecifikus elemzőket a Microsoft Sentinel GitHub-adattárból.
További információ: ASIM-elemzők és ASIM-elemzők használata.
Saját normalizált elemzők hozzáadása
Amikor egyéni elemzőket implementál a beállításjegyzék eseményinformációs modelljéhez, nevezze el a KQL-függvényeket a következő szintaxissal: imRegistry<vendor><Product>.
Adja hozzá a KQL-függvényeket az imRegistry egyesítő elemzőkhöz, hogy a Beállításjegyzék-eseménymodellt használó tartalmak is használhassák az új elemzőt.
Normalizált tartalom
A Microsoft Sentinel biztosítja a perzisztálást az IFEO beállításkulcs-keresési lekérdezésen keresztül. Ez a lekérdezés az Advanced Security Information Model használatával normalizált beállításjegyzék-tevékenységadatokon működik.
További információ: Hunt for threats with Microsoft Sentinel.
Séma részletei
A beállításjegyzék eseményinformációs modellje az operációs rendszer Standard kiadás M beállításjegyzék-entitásséma szerint van összhangban.
Gyakori ASIM-mezők
Fontos
Az összes sémában közös mezők részletes leírását az ASIM Common Fields című cikk ismerteti.
Általános mezők konkrét irányelvekkel
Az alábbi lista azokat a mezőket sorolja fel, amelyek konkrét irányelvekkel rendelkeznek a folyamattevékenység-eseményekhez:
| Field | Osztály | Type | Description |
|---|---|---|---|
| EventType | Kötelező | Enumerated | A rekord által jelentett műveletet ismerteti. Beállításjegyzék-rekordok esetén a támogatott értékek a következők: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Kötelező | Sztring | A séma verziója. Az itt dokumentált séma verziója: 0.1.2 |
| EventSchema | Lehetséges | Sztring | Az itt dokumentált séma neve.RegistryEvent |
| Dvc-mezők | Beállításjegyzék-tevékenységesemények esetén az eszközmezők arra a rendszerre vonatkoznak, amelyen a beállításjegyzék-tevékenység történt. |
Fontos
A EventSchema mező jelenleg nem kötelező, de 2022. szeptember 1-jén kötelező lesz.
Minden gyakori mező
Az alábbi táblázatban megjelenő mezők az összes ASIM-sémában gyakoriak. A fent megadott útmutatás felülbírálja a mező általános irányelveit. Előfordulhat például, hogy egy mező általában nem kötelező, de egy adott sémához kötelező. Az egyes mezőkkel kapcsolatos további részletekért tekintse meg az ASIM Common Fields cikket.
| Osztály | Mezők |
|---|---|
| Kötelező | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Ajánlott | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Lehetséges | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - További mezők - DvcDescription - DvcScopeId - DvcScope |
Beállításjegyzék eseményspecifikus mezői
Az alábbi táblázatban felsorolt mezők a beállításjegyzék eseményeire vonatkoznak, de hasonlóak más sémák mezőihez, és hasonló elnevezési konvenciók szerint vannak követve.
További információ: A beállításjegyzék struktúrája a Windows dokumentációjában.
| Field | Osztály | Type | Description |
|---|---|---|---|
| Beállításkulcs | Kötelező | Sztring | A művelethez társított beállításkulcs normál gyökérkulcs-elnevezési konvenciókra normalizálva. További információ: Gyökérkulcsok. A beállításkulcsok hasonlóak a fájlrendszerek mappáihoz. Például: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Ajánlott | Sztring | A művelethez társított beállításjegyzék-érték. A beállításjegyzék értékei hasonlóak a fájlrendszerekben lévő fájlokhoz. Például: Path |
| RegistryValueType | Ajánlott | Sztring | A beállításjegyzék-érték típusa, normál formátumra normalizálva. További információ: Értéktípusok. Például: Reg_Expand_Sz |
| RegistryValueData | Ajánlott | Sztring | A beállításjegyzék-értékben tárolt adatok. Example: C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | Ajánlott | Sztring | A beállításjegyzéket módosító műveletek esetében az eredeti beállításkulcs normál gyökérkulcs-elnevezésre van normalizálva. További információ: Gyökérkulcsok. Megjegyzés: Ha a művelet más mezőket ( például az értéket) módosított, de a kulcs változatlan marad, a RegistryPreviousKey értéke megegyezik a RegistryKey értékével. Example: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | Ajánlott | Sztring | A beállításjegyzéket módosító műveletek esetében az eredeti értéktípus a szabványos űrlapra normalizálva. További információ: Értéktípusok. Ha a típus nem módosult, a mező értéke megegyezik a RegistryValueType mező értékével. Example: Path |
| RegistryPreviousValueType | Ajánlott | Sztring | A beállításjegyzéket módosító műveletek esetében az eredeti értéktípus. Ha a típust nem módosították, akkor a mező értéke megegyezik a RegistryValueType mező értékével, normalizálva a standard űrlapra. További információ: Értéktípusok. Example: Reg_Expand_Sz |
| RegistryPreviousValueData | Ajánlott | Sztring | A beállításjegyzéket módosító műveletek eredeti beállításjegyzék-adatai. Example: C:\Windows\system32;C:\Windows; |
| Felhasználó | Alias | Alias az ActorUsername mezőhöz. Example: CONTOSO\ dadmin |
|
| Folyamat | Alias | Alias a ActingProcessName mezőhöz. Example: C:\Windows\System32\rundll32.exe |
|
| ActorUsername | Kötelező | Sztring | Az eseményt kezdeményező felhasználó felhasználóneve. Example: CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | Feltételes | Enumerated | Az ActorUsername mezőben tárolt felhasználónév típusát adja meg. További információt a Felhasználó entitás című témakörben talál. Example: Windows |
| ActorUserId | Ajánlott | Sztring | Az Aktor egyedi azonosítója. Az adott azonosító az eseményt létrehozó rendszertől függ. További információt a Felhasználó entitás című témakörben talál. Example: S-1-5-18 |
| ActorScope | Lehetséges | Sztring | A hatókör, például a Microsoft Entra-bérlő, amelyben az ActorUserId és az ActorUsername definiálva van. vagy további információk és az engedélyezett értékek listája: UserScope a Séma áttekintése című cikkben. |
| ActorUserIdType | Ajánlott | Sztring | Az ActorUserId mezőben tárolt azonosító típusa. További információt a Felhasználó entitás című témakörben talál. Example: SID |
| ActorSessionId | Feltételes | Sztring | Az Aktor bejelentkezési munkamenetének egyedi azonosítója. Example: 999Megjegyzés: A típus sztringként van definiálva a különböző rendszerek támogatásához, de Windows rendszeren ennek az értéknek numerikusnak kell lennie. Ha Windows rendszerű gépet használ, és a forrás más típust küld, győződjön meg arról, hogy konvertálja az értéket. Ha például a forrás hexadecimális értéket küld, konvertálja decimális értékké. |
| ActingProcessName | Lehetséges | Sztring | Az eljáró folyamat képfájljának fájlneve. Ez a név általában a folyamat neve. Example: C:\Windows\explorer.exe |
| ActingProcessId | Kötelező | Sztring | Az eljáró folyamat folyamatazonosítója (PID). Example: 48610176 Megjegyzés: A típus sztringként van definiálva a különböző rendszerek támogatásához, de Windows és Linux rendszeren ennek az értéknek numerikusnak kell lennie. Ha Windows vagy Linux rendszerű gépet használ, és más típust használ, mindenképpen konvertálja az értékeket. Ha például hexadecimális értéket használt, konvertálja decimális értékké. |
| ActingProcessGuid | Lehetséges | Sztring | Az eljáró folyamat generált egyedi azonosítója (GUID). Example: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Lehetséges | Sztring | A szülőfolyamat képfájljának fájlneve. Ez az érték általában a folyamat neve. Example: C:\Windows\explorer.exe |
| ParentProcessId | Kötelező | Sztring | A szülőfolyamat folyamatazonosítója (PID). Example: 48610176 |
| ParentProcessGuid | Lehetséges | Sztring | A szülőfolyamat generált egyedi azonosítója (GUID). Example: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Gyökérkulcsok
A különböző források különböző reprezentációkkal jelölik a beállításkulcs előtagjait. A RegistryKey és a RegistryPreviousKey mezőkhöz használja a következő normalizált előtagokat:
| Normalizált kulcselőtag | Egyéb gyakori reprezentációk |
|---|---|
| HKEY_LOCAL_MACHINE | HKLM, \REGISTRY\MACHINE |
| HKEY_UStandard kiadás RS | HKU, \REGISTRY\USER |
Értéktípusok
A különböző források különböző reprezentációkkal jelölik a beállításjegyzék-értéktípusokat. A RegistryValueType és a RegistryPreviousValueType mezők esetében használja a következő normalizált típusokat:
| Normalizált kulcselőtag | Egyéb gyakori reprezentációk |
|---|---|
| Reg_None | None, %%1872 |
| Reg_sz | String, %%1873 |
| Reg_expand_sz | ExpandString, %%1874 |
| Reg_Binary | Binary, %%1875 |
| Reg_dword | Dword, %%1876 |
| Reg_multi_sz | MultiString, %%1879 |
| Reg_QWord | Qword, %%1883 |
Sémafrissítések
A séma 0.1.1-es verziójának változásai:
- Hozzáadta a mezőt
EventSchema.
A séma 0.1.2-es verziójának változásai:
- Hozzáadta a mezőket
ActorScopeésDvcScopeDvcScopeIda ..
Következő lépések
For more information, see:
- Normalizálás a Microsoft Sentinelben
- A Microsoft Sentinel hitelesítési normalizálási sémájának referenciája (nyilvános előzetes verzió)
- A Microsoft Sentinel DNS normalizálási sémájának referenciája
- Microsoft Sentinel-fájlesemény normalizálási sémájának referenciája (nyilvános előzetes verzió)
- A Microsoft Sentinel hálózat normalizálási sémájának referenciája