Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Lo schema eventi del Registro di sistema viene usato per descrivere l'attività di Windows relativa alla creazione, alla modifica o all'eliminazione di entità del Registro di sistema di Windows.
Gli eventi del Registro di sistema sono specifici dei sistemi Windows, ma vengono segnalati da diversi sistemi che monitorano Windows, ad esempio sistemi EDR (Rilevamento e risposta end point), Sysmon o Windows stesso.
Per altre informazioni sulla normalizzazione in Microsoft Sentinel, vedere Normalization and the Advanced Security Information Model (ASIM).
Parser
Per usare il parser unificante che unifica tutti i parser predefiniti e assicurarsi che l'analisi venga eseguita in tutte le origini configurate, usare imRegistry come nome di tabella nella query.
Per l'elenco dei parser degli eventi di elaborazione Microsoft Sentinel fornisce informazioni predefinite, vedere l'elenco dei parser ASIM
Distribuire i parser unificanti e specifici dell'origine dal repository GitHub Microsoft Sentinel.
Per altre informazioni, vedere ASIM parsers (parser ASIM ) e Use ASIM parsers (Usare parser ASIM).
Aggiungere i propri parser normalizzati
Quando si implementano parser personalizzati per il modello di informazioni sugli eventi del Registro di sistema, denominare le funzioni KQL usando la sintassi seguente: imRegistry<vendor><Product>.
Aggiungere le funzioni KQL ai imRegistry parser unificanti per assicurarsi che qualsiasi contenuto che usa il modello di evento del Registro di sistema usi anche il nuovo parser.
Filtro dei parametri del parser
I parser eventi del Registro di sistema supportano i parametri di filtro. Anche se questi parametri sono facoltativi, possono migliorare le prestazioni delle query.
Sono disponibili i parametri di filtro seguenti:
| Nome | Tipo | Descrizione |
|---|---|---|
| Starttime | datetime | Filtrare solo gli eventi del Registro di sistema che si sono verificati in corrispondenza o dopo questo momento. Questo parametro filtra il TimeGenerated campo, ovvero l'indicatore standard per l'ora dell'evento, indipendentemente dal mapping specifico del parser dei campi EventStartTime e EventEndTime. |
| Endtime | datetime | Filtrare solo gli eventi del Registro di sistema che si sono verificati in corrispondenza o prima di questo momento. Questo parametro filtra il TimeGenerated campo, ovvero l'indicatore standard per l'ora dell'evento, indipendentemente dal mapping specifico del parser dei campi EventStartTime e EventEndTime. |
| eventtype_in | Dinamico | Filtrare solo gli eventi del Registro di sistema in cui il tipo di evento è uno dei valori elencati, tra cui: RegistryKeyCreated, RegistryKeyDeleted, RegistryKeyRenamed, RegistryValueDeletedo RegistryValueSet. |
| actorusername_has_any | Dinamico | Filtrare solo gli eventi del Registro di sistema in cui il nome utente dell'attore ha uno dei valori elencati. |
| registrykey_has_any | Dinamico | Filtrare solo gli eventi del Registro di sistema in cui la chiave del Registro di sistema include uno dei valori elencati. |
| registryvalue_has_any | Dinamico | Filtrare solo gli eventi del Registro di sistema in cui il valore del Registro di sistema ha uno dei valori elencati. |
| registrydata_has_any | Dinamico | Filtrare solo gli eventi del Registro di sistema in cui i dati del Registro di sistema hanno uno dei valori elencati. |
| dvchostname_has_any | Dinamico | Filtrare solo gli eventi del Registro di sistema in cui il nome host del dispositivo ha uno dei valori elencati. |
Ad esempio, per filtrare solo gli eventi di creazione di chiavi del Registro di sistema dall'ultimo giorno, usare:
_Im_RegistryEvent (eventtype_in=dynamic(['RegistryKeyCreated']), starttime = ago(1d), endtime=now())
Contenuto normalizzato
Microsoft Sentinel fornisce la query di ricerca della chiave del Registro di sistema IFEO Persistenting Via IFEO. Questa query funziona su tutti i dati delle attività del Registro di sistema normalizzati usando il modello Advanced Security Information Model.
Per altre informazioni, vedere Cercare le minacce con Microsoft Sentinel.
Dettagli dello schema
Il modello di informazioni sugli eventi del Registro di sistema è allineato allo schema dell'entità del Registro di sistema OSSEM.
Campi ASIM comuni
Importante
I campi comuni a tutti gli schemi sono descritti in dettaglio nell'articolo Campi comuni di ASIM .
Campi comuni con linee guida specifiche
Nell'elenco seguente vengono indicati i campi con linee guida specifiche per gli eventi di attività di processo:
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| EventType | Obbligatorio | Enumerato | Descrive l'operazione segnalata dal record. Per i record del Registro di sistema, i valori supportati includono: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Obbligatorio | SchemaVersion (String) | Versione dello schema. La versione dello schema documentata qui è 0.1.3 |
| EventSchema | Obbligatorio | Stringa | Il nome dello schema documentato qui è RegistryEvent. |
| Campi Dvc | Per gli eventi di attività del Registro di sistema, i campi del dispositivo fanno riferimento al sistema in cui si è verificata l'attività del Registro di sistema. |
Tutti i campi comuni
I campi visualizzati nella tabella seguente sono comuni a tutti gli schemi ASIM. Qualsiasi linea guida specificata in precedenza sostituisce le linee guida generali per il campo. Ad esempio, un campo può essere facoltativo in generale, ma obbligatorio per uno schema specifico. Per altre informazioni su ogni campo, vedere l'articolo Campi comuni di ASIM .
| Classe | Campi |
|---|---|
| Obbligatorio |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Consigliata |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Facoltativo |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcO - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campi specifici dell'evento del Registro di sistema
I campi elencati nella tabella seguente sono specifici degli eventi del Registro di sistema, ma sono simili ai campi di altri schemi e seguono convenzioni di denominazione simili.
Per altre informazioni, vedere La struttura del Registro di sistema nella documentazione di Windows.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Registrykey | Obbligatorio | Stringa | Chiave del Registro di sistema associata all'operazione normalizzata in base alle convenzioni di denominazione delle chiavi radice standard. Per altre informazioni, vedere Chiavi radice. Le chiavi del Registro di sistema sono simili alle cartelle nei file system. Ad esempio: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Consigliata | Stringa | Valore del Registro di sistema associato all'operazione. I valori del Registro di sistema sono simili ai file nei file system. Ad esempio: Path |
| RegistryValueType | Consigliata | Stringa | Tipo di valore del Registro di sistema normalizzato in formato standard. Per altre informazioni, vedere Tipi di valore. Ad esempio: Reg_Expand_Sz |
| RegistryValueData | Consigliata | Stringa | Dati archiviati nel valore del Registro di sistema. Esempio: C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | Consigliata | Stringa | Per le operazioni che modificano il Registro di sistema, la chiave del Registro di sistema originale, normalizzata in base alla denominazione della chiave radice standard. Per altre informazioni, vedere Chiavi radice. Nota: se l'operazione ha modificato altri campi, ad esempio il valore, ma la chiave rimane la stessa, RegistryPreviousKey avrà lo stesso valore di RegistryKey. Esempio: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | Consigliata | Stringa | Per le operazioni che modificano il Registro di sistema, il tipo di valore originale, normalizzato nel modulo standard. Per altre informazioni, vedere Tipi di valore. Se il tipo non è stato modificato, questo campo ha lo stesso valore del campo RegistryValueType . Esempio: Path |
| RegistryPreviousValueType | Consigliata | Stringa | Per le operazioni che modificano il Registro di sistema, il tipo di valore originale. Se il tipo non è stato modificato, questo campo avrà lo stesso valore del campo RegistryValueType , normalizzato nel modulo standard. Per altre informazioni, vedere Tipi di valore. Esempio: Reg_Expand_Sz |
| RegistryPreviousValueData | Consigliata | Stringa | Dati del Registro di sistema originali per le operazioni che modificano il Registro di sistema. Esempio: C:\Windows\system32;C:\Windows; |
| Utente | Alias | Alias per il campo ActorUsername . Esempio: CONTOSO\ dadmin |
|
| Procedura | Alias | Alias per il campo ActingProcessName . Esempio: C:\Windows\System32\rundll32.exe |
|
| ActorUsername | Obbligatorio | Nome utente (stringa) | Nome utente dell'utente che ha avviato l'evento. Esempio: CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | Condizionale | Enumerato | Specifica il tipo di nome utente archiviato nel campo ActorUsername . Per altre informazioni, vedere L'entità Utente. Esempio: Windows |
| ActorUserId | Consigliata | Stringa | ID univoco dell'attore. L'ID specifico dipende dal sistema che genera l'evento. Per altre informazioni, vedere L'entità Utente. Esempio: S-1-5-18 |
| ActorScope | Facoltativo | Stringa | Ambito, ad esempio Microsoft Entra tenant, in cui sono definiti ActorUserId e ActorUsername. o altre informazioni e l'elenco dei valori consentiti, vedere UserScopenell'articolo Panoramica dello schema. |
| ActorUserIdType | Condizionale | Enumerato | Tipo dell'ID archiviato nel campo ActorUserId . Per altre informazioni, vedere L'entità Utente. Esempio: SID |
| ActorSessionId | Facoltativo | Stringa | ID univoco della sessione di accesso dell'attore. Esempio: 999Nota: il tipo è definito come stringa per supportare sistemi diversi, ma in Windows questo valore deve essere numerico. Se si usa un computer Windows e l'origine invia un tipo diverso, assicurarsi di convertire il valore. Ad esempio, se l'origine invia un valore esadecimale, convertirlo in un valore decimale. |
| ActingProcessName | Facoltativo | Stringa | Nome file del file di immagine del processo che agisce. Questo nome viene in genere considerato come nome del processo. Esempio: C:\Windows\explorer.exe |
| ActingProcessId | Obbligatorio | Stringa | ID processo (PID) del processo che agisce. Esempio: 48610176 Nota: il tipo è definito come stringa per supportare sistemi diversi, ma in Windows e Linux questo valore deve essere numerico. Se si usa un computer Windows o Linux e si usa un tipo diverso, assicurarsi di convertire i valori. Ad esempio, se è stato usato un valore esadecimale, convertirlo in un valore decimale. |
| ActingProcessGuid | Facoltativo | GUID (String) | Identificatore univoco generato (GUID) del processo di azione. Esempio: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Facoltativo | Stringa | Nome file del file di immagine del processo padre. Questo valore viene in genere considerato come nome del processo. Esempio: C:\Windows\explorer.exe |
| ParentProcessId | Obbligatorio | Stringa | ID processo (PID) del processo padre. Esempio: 48610176 |
| ParentProcessGuid | Facoltativo | Stringa | Identificatore univoco generato (GUID) del processo padre. Esempio: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Campi di ispezione
I campi seguenti vengono usati per rappresentare l'ispezione eseguita da un sistema di sicurezza come un sistema EDR.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Rulename | Facoltativo | Stringa | Nome o ID della regola associato ai risultati dell'ispezione. |
| RuleNumber | Facoltativo | Numero intero | Numero della regola associata ai risultati dell'ispezione. |
| Regola | Condizionale | Stringa | Valore di kRuleName o valore di RuleNumber. Se viene utilizzato il valore di RuleNumber , il tipo deve essere convertito in stringa. |
| ThreatId | Facoltativo | Stringa | ID della minaccia o del malware identificato nell'attività del file. |
| ThreatName | Facoltativo | Stringa | Nome della minaccia o del malware identificato nell'attività del file. Esempio: EICAR Test File |
| ThreatCategory | Facoltativo | Stringa | Categoria della minaccia o del malware identificato nell'attività del file. Esempio: Trojan |
| ThreatRiskLevel | Facoltativo | RiskLevel (Integer) | Livello di rischio associato alla minaccia identificata. Il livello deve essere un numero compreso tra 0 e 100. Nota: il valore può essere fornito nel record di origine usando una scala diversa, che deve essere normalizzata in base a questa scala. Il valore originale deve essere archiviato in ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Facoltativo | Stringa | Livello di rischio segnalato dal dispositivo di segnalazione. |
| ThreatField | Facoltativo | Stringa | Campo per il quale è stata identificata una minaccia. |
| ThreatConfidence | Facoltativo | ConfidenceLevel (Integer) | Livello di attendibilità della minaccia identificata, normalizzata in un valore compreso tra 0 e 100. |
| ThreatOriginalConfidence | Facoltativo | Stringa | Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di segnalazione. |
| ThreatIsActive | Facoltativo | Booleano | True se la minaccia identificata è considerata una minaccia attiva. |
| ThreatFirstReportedTime | Facoltativo | datetime | La prima volta che l'indirizzo IP o il dominio è stato identificato come una minaccia. |
| ThreatLastReportedTime | Facoltativo | datetime | L'ultima volta che l'indirizzo IP o il dominio è stato identificato come una minaccia. |
Chiavi radice
Origini diverse rappresentano prefissi di chiave del Registro di sistema usando rappresentazioni diverse. Per i campi RegistryKey e RegistryPreviousKey , usare i prefissi normalizzati seguenti:
| Prefisso della chiave normalizzata | Altre rappresentazioni comuni |
|---|---|
| HKEY_LOCAL_MACHINE |
HKLM, \REGISTRY\MACHINE |
| HKEY_USERS |
HKU, \REGISTRY\USER |
Tipi di valore
Origini diverse rappresentano tipi di valore del Registro di sistema usando rappresentazioni diverse. Per i campi RegistryValueType e RegistryPreviousValueType , usare i tipi normalizzati seguenti:
| Prefisso della chiave normalizzata | Altre rappresentazioni comuni |
|---|---|
| Reg_None |
None, %%1872 |
| Reg_sz |
String, %%1873 |
| Reg_expand_sz |
ExpandString, %%1874 |
| Reg_binary |
Binary, %%1875 |
| Reg_dword |
Dword, %%1876 |
| Reg_multi_sz |
MultiString, %%1879 |
| Reg_QWord |
Qword, %%1883 |
Aggiornamenti dello schema
Di seguito sono riportate le modifiche apportate alla versione 0.1.1 dello schema:
- Aggiunta del campo
EventSchema.
Di seguito sono riportate le modifiche apportate alla versione 0.1.2 dello schema:
- Sono stati aggiunti i campi
ActorScope,DvcScopeIdeDvcScope.
Di seguito sono riportate le modifiche apportate alla versione 0.1.3 dello schema:
- Sono stati aggiunti campi di ispezione.
Passaggi successivi
Per ulteriori informazioni, vedere:
- Normalizzazione in Microsoft Sentinel
- Microsoft Sentinel informazioni di riferimento sullo schema di normalizzazione dell'autenticazione
- Microsoft Sentinel informazioni di riferimento sullo schema di normalizzazione DNS
- Microsoft Sentinel informazioni di riferimento sullo schema di normalizzazione degli eventi del file
- Microsoft Sentinel informazioni di riferimento sullo schema di normalizzazione della rete