Condividi tramite


Riferimento allo schema di normalizzazione degli eventi del Registro di sistema Advanced Security Information Model (ASIM) (anteprima pubblica)

Lo schema di eventi del Registro di sistema viene usato per descrivere l'attività di Windows di creazione, modifica o eliminazione di entità del Registro di sistema di Windows.

Gli eventi del Registro di sistema sono specifici dei sistemi Windows, ma vengono segnalati da sistemi diversi che monitorano Windows, ad esempio sistemi EDR (End Point Detection and Response), Sysmon o Windows stesso.

Per altre informazioni sulla normalizzazione in Microsoft Sentinel, vedere Normalizzazione e Advanced Security Information Model (ASIM).

Importante

Lo schema di normalizzazione dell'evento del Registro di sistema è attualmente in ANTEPRIMA. Questa funzionalità viene fornita senza un contratto di servizio e non è consigliata per i carichi di lavoro di produzione.

Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Parser

Per usare il parser unificante che unifica tutti i parser predefiniti e assicurarsi che l'analisi venga eseguita in tutte le origini configurate, usare imRegistry come nome di tabella nella query.

Per l'elenco dei parser di eventi di elaborazione forniti da Microsoft Sentinel, vedere l'elenco dei parser ASIM

Distribuire i parser unificanti e specifici dell'origine dal repository GitHub di Microsoft Sentinel.

Per altre informazioni, vedere Parser ASIM e Usare parser ASIM.

Aggiungere parser normalizzati personalizzati

Quando si implementano parser personalizzati per il modello di informazioni sugli eventi del Registro di sistema, denominare le funzioni KQL usando la sintassi seguente: imRegistry<vendor><Product>.

Aggiungere le funzioni KQL ai imRegistry parser unificanti per assicurarsi che qualsiasi contenuto che usi il modello di evento del Registro di sistema usi anche il nuovo parser.

Contenuto normalizzato

Microsoft Sentinel fornisce la query di ricerca della chiave del Registro di sistema IFEO persistente. Questa query funziona su tutti i dati delle attività del Registro di sistema normalizzati usando advanced security information model.

Per altre informazioni, vedere Cercare le minacce con Microsoft Sentinel.

Dettagli dello schema

Il modello di informazioni sugli eventi del Registro di sistema è allineato allo schema dell'entità Registro di sistema operativo edizione Standard M.

Campi comuni di ASIM

Importante

I campi comuni a tutti gli schemi sono descritti in dettaglio nell'articolo Campi comuni ASIM.

Campi comuni con linee guida specifiche

L'elenco seguente elenca i campi con linee guida specifiche per gli eventi di attività di processo:

Campo Classe Type Descrizione
EventType Obbligatorio Enumerated Descrive l'operazione segnalata dal record.

Per i record del Registro di sistema, i valori supportati includono:
- RegistryKeyCreated
- RegistryKeyDeleted
- RegistryKeyRenamed
- RegistryValueDeleted
- RegistryValueSet
EventSchemaVersion Obbligatorio Stringa La versione dello schema. La versione dello schema documentata qui è 0.1.2
EventSchema Facoltativo Stringa Il nome dello schema documentato qui è RegistryEvent.
Campi Dvc Per gli eventi di attività del Registro di sistema, i campi del dispositivo fanno riferimento al sistema in cui si è verificata l'attività del Registro di sistema.

Importante

Il EventSchema campo è attualmente facoltativo, ma diventerà obbligatorio il 1° settembre 2022.

Tutti i campi comuni

I campi visualizzati nella tabella seguente sono comuni a tutti gli schemi ASIM. Tutte le linee guida specificate in precedenza sostituiscono le linee guida generali per il campo. Ad esempio, un campo potrebbe essere facoltativo in generale, ma obbligatorio per uno schema specifico. Per altri dettagli su ogni campo, vedere l'articolo Campi comuni di ASIM.

Classe Campi
Obbligatorio - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Consigliato - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Facoltativo - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- Campi aggiuntivi
- DvcDescription
- DvcScopeId
- DvcScope

Campi specifici dell'evento del Registro di sistema

I campi elencati nella tabella seguente sono specifici degli eventi del Registro di sistema, ma sono simili ai campi in altri schemi e seguono convenzioni di denominazione simili.

Per altre informazioni, vedere Struttura del Registro di sistema nella documentazione di Windows.

Campo Classe Type Descrizione
Registrykey Obbligatorio Stringa Chiave del Registro di sistema associata all'operazione, normalizzata in convenzioni di denominazione della chiave radice standard. Per altre informazioni, vedere Chiavi radice.

Le chiavi del Registro di sistema sono simili alle cartelle nei file system.

Ad esempio: HKEY_LOCAL_MACHINE\SOFTWARE\MTG
RegistryValue Consigliato Stringa Valore del Registro di sistema associato all'operazione. I valori del Registro di sistema sono simili ai file nei file system.

Ad esempio: Path
RegistryValueType Consigliato Stringa Tipo di valore del Registro di sistema normalizzato in formato standard. Per altre informazioni, vedere Tipi di valore.

Ad esempio: Reg_Expand_Sz
RegistryValueData Consigliato Stringa Dati archiviati nel valore del Registro di sistema.

Esempio: C:\Windows\system32;C:\Windows;
RegistryPreviousKey Consigliato Stringa Per le operazioni che modificano il Registro di sistema, la chiave originale del Registro di sistema normalizzata con la denominazione della chiave radice standard. Per altre informazioni, vedere Chiavi radice.

Nota: se l'operazione ha modificato altri campi, ad esempio il valore, ma la chiave rimane invariata, RegistryPreviousKey avrà lo stesso valore di RegistryKey.

Esempio: HKEY_LOCAL_MACHINE\SOFTWARE\MTG
RegistryPreviousValue Consigliato Stringa Per le operazioni che modificano il Registro di sistema, il tipo di valore originale normalizzato nel formato standard. Per altre informazioni, vedere Tipi di valore.

Se il tipo non è stato modificato, questo campo ha lo stesso valore del campo RegistryValueType .

Esempio: Path
RegistryPreviousValueType Consigliato Stringa Per le operazioni che modificano il Registro di sistema, il tipo di valore originale.

Se il tipo non è stato modificato, questo campo avrà lo stesso valore del campo RegistryValueType , normalizzato nel modulo standard. Per altre informazioni, vedere Tipi di valore.

Esempio: Reg_Expand_Sz
RegistryPreviousValueData Consigliato Stringa Dati del Registro di sistema originali, per operazioni che modificano il Registro di sistema.

Esempio: C:\Windows\system32;C:\Windows;
Utente Alias Alias del campo ActorUsername .

Esempio: CONTOSO\ dadmin
Processo Alias Alias del campo ActingProcessName .

Esempio: C:\Windows\System32\rundll32.exe
ActorUsername Obbligatorio Stringa Nome utente dell'utente che ha avviato l'evento.

Esempio: CONTOSO\WIN-GG82ULGC9GO$
ActorUsernameType Condizionale Enumerated Specifica il tipo di nome utente archiviato nel campo ActorUsername . Per altre informazioni, vedere L'entità User.

Esempio: Windows
ActorUserId Consigliato Stringa ID univoco dell'attore. L'ID specifico dipende dal sistema che genera l'evento. Per altre informazioni, vedere L'entità User.

Esempio: S-1-5-18
ActorScope Facoltativo Stringa Ambito, ad esempio il tenant di Microsoft Entra, in cui vengono definiti ActorUserId e ActorUsername . o più informazioni ed elenco dei valori consentiti, vedere UserScope nell'articolo Panoramica dello schema.
ActorUserIdType Consigliato Stringa Tipo dell'ID archiviato nel campo ActorUserId . Per altre informazioni, vedere L'entità User.

Esempio: SID
ActorSessionId Condizionale Stringa ID univoco della sessione di accesso dell'attore.

Esempio: 999

Nota: il tipo è definito come stringa per supportare sistemi diversi, ma in Windows questo valore deve essere numerico. Se si usa un computer Windows e l'origine invia un tipo diverso, assicurarsi di convertire il valore. Ad esempio, se l'origine invia un valore esadecimale, convertirlo in un valore decimale.
ActingProcessName Facoltativo Stringa Nome file del file di immagine del processo di azione. Questo nome viene in genere considerato il nome del processo.

Esempio: C:\Windows\explorer.exe
ActingProcessId Obbligatorio Stringa ID processo (PID) del processo di azione.

Esempio: 48610176

Nota: il tipo è definito come stringa per supportare sistemi diversi, ma in Windows e Linux questo valore deve essere numerico.

Se si usa un computer Windows o Linux e si usa un tipo diverso, assicurarsi di convertire i valori. Ad esempio, se è stato usato un valore esadecimale, convertirlo in un valore decimale.
ActingProcessGuid Facoltativo Stringa Identificatore univoco generato (GUID) del processo di azione.

Esempio: EF3BD0BD-2B74-60C5-AF5C-010000001E00
ParentProcessName Facoltativo Stringa Nome file del file di immagine del processo padre. Questo valore viene in genere considerato il nome del processo.

Esempio: C:\Windows\explorer.exe
ParentProcessId Obbligatorio Stringa ID processo (PID) del processo padre.

Esempio: 48610176
ParentProcessGuid Facoltativo Stringa Identificatore univoco generato (GUID) del processo padre.

Esempio: EF3BD0BD-2B74-60C5-AF5C-010000001E00

Chiavi radice

Origini diverse rappresentano prefissi di chiave del Registro di sistema usando rappresentazioni diverse. Per i campi RegistryKey e RegistryPreviousKey , usare i prefissi normalizzati seguenti:

Prefisso di chiave normalizzato Altre rappresentazioni comuni
HKEY_LOCAL_MACHINE HKLM, \REGISTRY\MACHINE
HKEY_Uedizione Standard RS HKU, \REGISTRY\USER

Tipi di valori

Origini diverse rappresentano tipi di valori del Registro di sistema usando rappresentazioni diverse. Per i campi RegistryValueType e RegistryPreviousValueType , utilizzare i tipi normalizzati seguenti:

Prefisso di chiave normalizzato Altre rappresentazioni comuni
Reg_None None, %%1872
Reg_sz String, %%1873
Reg_expand_sz ExpandString, %%1874
Reg_binary Binary, %%1875
Reg_dword Dword, %%1876
Reg_multi_sz MultiString, %%1879
Reg_QWord Qword, %%1883

Aggiornamenti dello schema

Queste sono le modifiche apportate alla versione 0.1.1 dello schema:

  • Aggiunto il campo EventSchema.

Queste sono le modifiche apportate alla versione 0.1.2 dello schema:

  • Sono stati aggiunti i campi ActorScope, DvcScopeIde DvcScope..

Passaggi successivi

Per altre informazioni, vedere: