Riferimento allo schema di normalizzazione degli eventi del Registro di sistema Advanced Security Information Model (ASIM) (anteprima pubblica)
Lo schema di eventi del Registro di sistema viene usato per descrivere l'attività di Windows di creazione, modifica o eliminazione di entità del Registro di sistema di Windows.
Gli eventi del Registro di sistema sono specifici dei sistemi Windows, ma vengono segnalati da sistemi diversi che monitorano Windows, ad esempio sistemi EDR (End Point Detection and Response), Sysmon o Windows stesso.
Per altre informazioni sulla normalizzazione in Microsoft Sentinel, vedere Normalizzazione e Advanced Security Information Model (ASIM).
Importante
Lo schema di normalizzazione dell'evento del Registro di sistema è attualmente in ANTEPRIMA. Questa funzionalità viene fornita senza un contratto di servizio e non è consigliata per i carichi di lavoro di produzione.
Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Parser
Per usare il parser unificante che unifica tutti i parser predefiniti e assicurarsi che l'analisi venga eseguita in tutte le origini configurate, usare imRegistry come nome di tabella nella query.
Per l'elenco dei parser di eventi di elaborazione forniti da Microsoft Sentinel, vedere l'elenco dei parser ASIM
Distribuire i parser unificanti e specifici dell'origine dal repository GitHub di Microsoft Sentinel.
Per altre informazioni, vedere Parser ASIM e Usare parser ASIM.
Aggiungere parser normalizzati personalizzati
Quando si implementano parser personalizzati per il modello di informazioni sugli eventi del Registro di sistema, denominare le funzioni KQL usando la sintassi seguente: imRegistry<vendor><Product>.
Aggiungere le funzioni KQL ai imRegistry parser unificanti per assicurarsi che qualsiasi contenuto che usi il modello di evento del Registro di sistema usi anche il nuovo parser.
Contenuto normalizzato
Microsoft Sentinel fornisce la query di ricerca della chiave del Registro di sistema IFEO persistente. Questa query funziona su tutti i dati delle attività del Registro di sistema normalizzati usando advanced security information model.
Per altre informazioni, vedere Cercare le minacce con Microsoft Sentinel.
Dettagli dello schema
Il modello di informazioni sugli eventi del Registro di sistema è allineato allo schema dell'entità Registro di sistema operativo edizione Standard M.
Campi comuni di ASIM
Importante
I campi comuni a tutti gli schemi sono descritti in dettaglio nell'articolo Campi comuni ASIM.
Campi comuni con linee guida specifiche
L'elenco seguente elenca i campi con linee guida specifiche per gli eventi di attività di processo:
| Campo | Classe | Type | Descrizione |
|---|---|---|---|
| EventType | Obbligatorio | Enumerated | Descrive l'operazione segnalata dal record. Per i record del Registro di sistema, i valori supportati includono: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Obbligatorio | Stringa | La versione dello schema. La versione dello schema documentata qui è 0.1.2 |
| EventSchema | Facoltativo | Stringa | Il nome dello schema documentato qui è RegistryEvent. |
| Campi Dvc | Per gli eventi di attività del Registro di sistema, i campi del dispositivo fanno riferimento al sistema in cui si è verificata l'attività del Registro di sistema. |
Importante
Il EventSchema campo è attualmente facoltativo, ma diventerà obbligatorio il 1° settembre 2022.
Tutti i campi comuni
I campi visualizzati nella tabella seguente sono comuni a tutti gli schemi ASIM. Tutte le linee guida specificate in precedenza sostituiscono le linee guida generali per il campo. Ad esempio, un campo potrebbe essere facoltativo in generale, ma obbligatorio per uno schema specifico. Per altri dettagli su ogni campo, vedere l'articolo Campi comuni di ASIM.
| Classe | Campi |
|---|---|
| Obbligatorio | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Consigliato | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Facoltativo | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campi aggiuntivi - DvcDescription - DvcScopeId - DvcScope |
Campi specifici dell'evento del Registro di sistema
I campi elencati nella tabella seguente sono specifici degli eventi del Registro di sistema, ma sono simili ai campi in altri schemi e seguono convenzioni di denominazione simili.
Per altre informazioni, vedere Struttura del Registro di sistema nella documentazione di Windows.
| Campo | Classe | Type | Descrizione |
|---|---|---|---|
| Registrykey | Obbligatorio | Stringa | Chiave del Registro di sistema associata all'operazione, normalizzata in convenzioni di denominazione della chiave radice standard. Per altre informazioni, vedere Chiavi radice. Le chiavi del Registro di sistema sono simili alle cartelle nei file system. Ad esempio: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Consigliato | Stringa | Valore del Registro di sistema associato all'operazione. I valori del Registro di sistema sono simili ai file nei file system. Ad esempio: Path |
| RegistryValueType | Consigliato | Stringa | Tipo di valore del Registro di sistema normalizzato in formato standard. Per altre informazioni, vedere Tipi di valore. Ad esempio: Reg_Expand_Sz |
| RegistryValueData | Consigliato | Stringa | Dati archiviati nel valore del Registro di sistema. Esempio: C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | Consigliato | Stringa | Per le operazioni che modificano il Registro di sistema, la chiave originale del Registro di sistema normalizzata con la denominazione della chiave radice standard. Per altre informazioni, vedere Chiavi radice. Nota: se l'operazione ha modificato altri campi, ad esempio il valore, ma la chiave rimane invariata, RegistryPreviousKey avrà lo stesso valore di RegistryKey. Esempio: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | Consigliato | Stringa | Per le operazioni che modificano il Registro di sistema, il tipo di valore originale normalizzato nel formato standard. Per altre informazioni, vedere Tipi di valore. Se il tipo non è stato modificato, questo campo ha lo stesso valore del campo RegistryValueType . Esempio: Path |
| RegistryPreviousValueType | Consigliato | Stringa | Per le operazioni che modificano il Registro di sistema, il tipo di valore originale. Se il tipo non è stato modificato, questo campo avrà lo stesso valore del campo RegistryValueType , normalizzato nel modulo standard. Per altre informazioni, vedere Tipi di valore. Esempio: Reg_Expand_Sz |
| RegistryPreviousValueData | Consigliato | Stringa | Dati del Registro di sistema originali, per operazioni che modificano il Registro di sistema. Esempio: C:\Windows\system32;C:\Windows; |
| Utente | Alias | Alias del campo ActorUsername . Esempio: CONTOSO\ dadmin |
|
| Processo | Alias | Alias del campo ActingProcessName . Esempio: C:\Windows\System32\rundll32.exe |
|
| ActorUsername | Obbligatorio | Stringa | Nome utente dell'utente che ha avviato l'evento. Esempio: CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | Condizionale | Enumerated | Specifica il tipo di nome utente archiviato nel campo ActorUsername . Per altre informazioni, vedere L'entità User. Esempio: Windows |
| ActorUserId | Consigliato | Stringa | ID univoco dell'attore. L'ID specifico dipende dal sistema che genera l'evento. Per altre informazioni, vedere L'entità User. Esempio: S-1-5-18 |
| ActorScope | Facoltativo | Stringa | Ambito, ad esempio il tenant di Microsoft Entra, in cui vengono definiti ActorUserId e ActorUsername . o più informazioni ed elenco dei valori consentiti, vedere UserScope nell'articolo Panoramica dello schema. |
| ActorUserIdType | Consigliato | Stringa | Tipo dell'ID archiviato nel campo ActorUserId . Per altre informazioni, vedere L'entità User. Esempio: SID |
| ActorSessionId | Condizionale | Stringa | ID univoco della sessione di accesso dell'attore. Esempio: 999Nota: il tipo è definito come stringa per supportare sistemi diversi, ma in Windows questo valore deve essere numerico. Se si usa un computer Windows e l'origine invia un tipo diverso, assicurarsi di convertire il valore. Ad esempio, se l'origine invia un valore esadecimale, convertirlo in un valore decimale. |
| ActingProcessName | Facoltativo | Stringa | Nome file del file di immagine del processo di azione. Questo nome viene in genere considerato il nome del processo. Esempio: C:\Windows\explorer.exe |
| ActingProcessId | Obbligatorio | Stringa | ID processo (PID) del processo di azione. Esempio: 48610176 Nota: il tipo è definito come stringa per supportare sistemi diversi, ma in Windows e Linux questo valore deve essere numerico. Se si usa un computer Windows o Linux e si usa un tipo diverso, assicurarsi di convertire i valori. Ad esempio, se è stato usato un valore esadecimale, convertirlo in un valore decimale. |
| ActingProcessGuid | Facoltativo | Stringa | Identificatore univoco generato (GUID) del processo di azione. Esempio: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Facoltativo | Stringa | Nome file del file di immagine del processo padre. Questo valore viene in genere considerato il nome del processo. Esempio: C:\Windows\explorer.exe |
| ParentProcessId | Obbligatorio | Stringa | ID processo (PID) del processo padre. Esempio: 48610176 |
| ParentProcessGuid | Facoltativo | Stringa | Identificatore univoco generato (GUID) del processo padre. Esempio: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Chiavi radice
Origini diverse rappresentano prefissi di chiave del Registro di sistema usando rappresentazioni diverse. Per i campi RegistryKey e RegistryPreviousKey , usare i prefissi normalizzati seguenti:
| Prefisso di chiave normalizzato | Altre rappresentazioni comuni |
|---|---|
| HKEY_LOCAL_MACHINE | HKLM, \REGISTRY\MACHINE |
| HKEY_Uedizione Standard RS | HKU, \REGISTRY\USER |
Tipi di valori
Origini diverse rappresentano tipi di valori del Registro di sistema usando rappresentazioni diverse. Per i campi RegistryValueType e RegistryPreviousValueType , utilizzare i tipi normalizzati seguenti:
| Prefisso di chiave normalizzato | Altre rappresentazioni comuni |
|---|---|
| Reg_None | None, %%1872 |
| Reg_sz | String, %%1873 |
| Reg_expand_sz | ExpandString, %%1874 |
| Reg_binary | Binary, %%1875 |
| Reg_dword | Dword, %%1876 |
| Reg_multi_sz | MultiString, %%1879 |
| Reg_QWord | Qword, %%1883 |
Aggiornamenti dello schema
Queste sono le modifiche apportate alla versione 0.1.1 dello schema:
- Aggiunto il campo
EventSchema.
Queste sono le modifiche apportate alla versione 0.1.2 dello schema:
- Sono stati aggiunti i campi
ActorScope,DvcScopeIdeDvcScope..
Passaggi successivi
Per altre informazioni, vedere:
- Normalizzazione in Microsoft Sentinel
- Informazioni di riferimento sullo schema di normalizzazione dell'autenticazione di Microsoft Sentinel (anteprima pubblica)
- Informazioni di riferimento sullo schema di normalizzazione DNS di Microsoft Sentinel
- Riferimento allo schema di normalizzazione degli eventi di file di Microsoft Sentinel (anteprima pubblica)
- Informazioni di riferimento sullo schema di normalizzazione della rete di Microsoft Sentinel