次の方法で共有


Advanced Security Information Model (ASIM) レジストリ イベント正規化スキーマのリファレンス (パブリック プレビュー)

レジストリ イベント スキーマは、Windows レジストリ エンティティの作成、変更、または削除の Windows アクティビティを記述するために使用されます。

レジストリ イベントは、Windows システムに固有のものですが、Windows を監視するさまざまなシステム (EDR (エンドポイント検出と応答) システム、Sysmon、Windows 自体など) によってレポートされます。

Microsoft Sentinel での正規化の詳細については、正規化と Advanced Security Information Model (ASIM) に関するページを参照してください。

重要

レジストリ イベント正規化スキーマは、現在プレビュー中です。 この機能は、サービス レベル アグリーメントなしで提供されており、運用環境のワークロード用には推奨されていません。

Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

パーサー

組み込みのすべてのパーサーを 1 つにまとめる統一パーサーを使用して、構成済みのソース全体にわたって分析が実行されるようにするには、クエリでテーブル名として imRegistry を使用します。

Microsoft Sentinel が提供するプロセス イベント パーサーの一覧については、ASIM パーサーの一覧を参照してください

Microsoft Sentinel の GitHub リポジトリから、統一パーサーとソース固有のパーサーをデプロイします。

詳細については、ASIM パーサーASIM パーサーの使用に関する記事を参照してください。

独自の正規化されたパーサーを追加する

レジストリ イベント情報モデルにカスタム パーサーを実装するときは、imRegistry<vendor><Product> の構文を使用して KQL 関数に名前を付けます。

KQL 関数を統一パーサー imRegistry に追加して、レジストリ イベント モデルが使用されるあらゆるコンテンツでも、新しいパーサーが使用されるようにします。

正規化されたコンテンツ

Microsoft Sentinel には、[IFEO レジストリ キーを使用した永続化] ハンティング クエリが用意されています。 このクエリは、Advanced Security Information Model を使用して正規化された任意のレジストリ アクティビティ データに対して機能します。

詳細については、「Microsoft Sentinel を使用して脅威を追求する」を参照してください。

スキーマの詳細

レジストリ イベント情報モデルは、OSSEM レジストリ エンティティ スキーマに対応しています。

一般的な ASIM フィールド

重要

すべてのスキーマに共通するフィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。

特定のガイドラインを持つ共通フィールド

次の一覧には、プロセス アクティビティ イベントに関する具体的なガイドラインが含まれたフィールドを示しています。

フィールド クラス Type 説明
EventType Mandatory Enumerated レコードによって報告される操作を記述します。

レジストリ レコードの場合、次の値がサポートされます。
- RegistryKeyCreated
- RegistryKeyDeleted
- RegistryKeyRenamed
- RegistryValueDeleted
- RegistryValueSet
EventSchemaVersion Mandatory String スキーマのバージョン。 ここに記載されているスキーマのバージョンは 0.1.2 です
EventSchema オプション String ここに記載されているスキーマの名前は RegistryEvent です。
Dvc フィールド レジストリ アクティビティ ベントの場合、デバイス ィールドは、レジストリ アクティビティが発生したシステムを参照します。

重要

EventSchema フィールドは現在任意ですが、2022 年 9 月 1 日に必須になります。

すべての共通フィールド

下の表に示すフィールドは、すべての ASIM スキーマに共通です。 上で指定されているガイドラインは、フィールドの一般的なガイドラインに優先します。 たとえば、フィールドは一般的には省略可能ですが、特定のスキーマでは必須です。 各フィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。

クラス Fields
Mandatory - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
推奨 - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
オプション - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

レジストリ イベント固有のフィールド

以下の表に示すフィールドはレジストリ イベントに固有ですが、他のスキーマのフィールドに類似しており、同様の名前付け規則に従っています。

詳細については、Windows ドキュメントのレジストリの構造に関するページを参照してください。

フィールド クラス Type 説明
RegistryKey Mandatory String 操作に関連付けられたレジストリ キー。標準のルート キーの名前付け規則に正規化されます。 詳細については、「ルート キー」を参照してください。

レジストリ キーは、ファイル システムのフォルダーに似ています。

例: HKEY_LOCAL_MACHINE\SOFTWARE\MTG
RegistryValue 推奨 String 操作に関連付けられたレジストリ値。 レジストリ値は、ファイル システムのファイルに似ています。

例: Path
RegistryValueType 推奨 String レジストリ値の型。標準形式に正規化されます。 詳細については、「値の型」を参照してください。

例: Reg_Expand_Sz
RegistryValueData 推奨 String レジストリ値に格納されるデータ。

例: C:\Windows\system32;C:\Windows;
RegistryPreviousKey 推奨 String レジストリを変更する操作での元のレジストリ キー。標準のルート キーの名前付けに正規化されます。 詳細については、「ルート キー」を参照してください。

: 操作で、値などの他のフィールドが変更された一方で、キーが同じままの場合、RegistryPreviousKey の値は RegistryKey と同じになります。

例: HKEY_LOCAL_MACHINE\SOFTWARE\MTG
RegistryPreviousValue 推奨 String レジストリを変更する操作での元の値の型。標準形式に正規化されます。 詳細については、「値の型」を参照してください。

型が変更されていない場合、このフィールドの値は RegistryValueType フィールドと同じになります。

例: Path
RegistryPreviousValueType 推奨 String レジストリを変更する操作での元の値の型。

型が変更されていない場合、このフィールドの値は RegistryValueType フィールドと同じになります。値は標準形式に正規化されます。 詳細については、値の型に関するページを参照してください。

例: Reg_Expand_Sz
RegistryPreviousValueData 推奨 String レジストリを変更する操作での元のレジストリ データ。

例: C:\Windows\system32;C:\Windows;
User エイリアス ActorUsername フィールドの別名。

例: CONTOSO\ dadmin
Process エイリアス ActingProcessName フィールドの別名。

例: C:\Windows\System32\rundll32.exe
ActorUsername Mandatory String イベントを開始したユーザーのユーザー名。

例: CONTOSO\WIN-GG82ULGC9GO$
ActorUsernameType 条件付き Enumerated ActorUsername フィールドに格納されているユーザー名の種類を指定します。 詳細については、「ユーザー エンティティ」を参照してください。

例: Windows
ActorUserId 推奨 String Actor の一意の ID。 具体的な ID は、イベントが生成されるシステムによって異なります。 詳細については、「ユーザー エンティティ」を参照してください。

例: S-1-5-18
ActorScope オプション String ActorUserIdActorUsername が定義されているスコープ (Microsoft Entra テナントなど)。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScope」を参照してください。
ActorUserIdType 推奨 String ActorUserId フィールドに格納されている ID の種類。 詳細については、「ユーザー エンティティ」を参照してください。

例: SID
ActorSessionId 条件付き String Actor のログイン セッションの一意の ID。

例: 999

: さまざまなシステムに対応するために、型は "文字列" として定義されますが、Windows ではこの値は数値である必要があります。 Windows マシンを使用しており、かつソースが別の型を送信する場合は、必ず値を変換してください。 たとえば、ソースが 16 進数の値を送信する場合は、10 進数の値に変換します。
ActingProcessName 省略可能 String 実行プロセス イメージ ファイルのファイル名。 この名前は通常、プロセス名と見なされます。

例: C:\Windows\explorer.exe
ActingProcessId Mandatory String 実行プロセスのプロセス ID (PID)。

例: 48610176

: さまざまなシステムに対応するために、型は "文字列" として定義されますが、Windows と Linux ではこの値は数値である必要があります。

Windows または Linux のマシンを使用しており、かつ別の型を使用した場合は、必ず値を変換してください。 たとえば、16 進数の値を使用した場合は、10 進数の値に変換します。
ActingProcessGuid 省略可能 String 実行プロセスの生成された一意識別子 (GUID)。

例: EF3BD0BD-2B74-60C5-AF5C-010000001E00
ParentProcessName 省略可能 String 親プロセス イメージ ファイルのファイル名。 この値は通常、プロセス名と見なされます。

例: C:\Windows\explorer.exe
ParentProcessId Mandatory String 親プロセスのプロセス ID (PID)。

例: 48610176
ParentProcessGuid 省略可能 String 親プロセスの生成された一意識別子 (GUID)。

例: EF3BD0BD-2B74-60C5-AF5C-010000001E00

ルート キー

さまざまなソースで、さまざまな表現を使用してレジストリ キー プレフィックスが表されます。 RegistryKey および RegistryPreviousKey フィールドには、次の正規化されたプレフィックスを使用します。

正規化されたキー プレフィックス その他の一般的な表現
HKEY_LOCAL_MACHINE HKLM\REGISTRY\MACHINE
HKEY_USERS HKU\REGISTRY\USER

値型

さまざまなソースで、さまざまな表現を使用してレジストリ値の型が表されます。 RegistryValueType および RegistryPreviousValueType フィールドには、次の正規化された型を使用します。

正規化されたキー プレフィックス その他の一般的な表現
Reg_None None%%1872
Reg_Sz String%%1873
Reg_Expand_Sz ExpandString%%1874
Reg_Binary Binary%%1875
Reg_DWord Dword%%1876
Reg_Multi_Sz MultiString%%1879
Reg_QWord Qword%%1883

スキーマの更新

バージョン 0.1.1 のスキーマの変更点を次に示します。

  • フィールド EventSchema が追加されました。

スキーマのバージョン 0.1.2 の変更は次のとおりです。

  • フィールド ActorScopeDvcScopeId、および DvcScope が追加されました。

次のステップ

詳細については、次を参照してください。