다음을 통해 공유

ASIM(고급 보안 정보 모델) 레지스트리 이벤트 정규화 스키마 참조(공개 미리 보기)

  • 아티클

레지스트리 이벤트 스키마는 Windows 레지스트리 엔터티를 생성, 수정 또는 삭제하는 Windows 활동을 설명하는 데 사용됩니다.

레지스트리 이벤트는 Windows 시스템과 관련이 있지만 EDR(엔드포인트 검색 및 응답) 시스템, Sysmon 또는 Windows 자체와 같이 Windows를 모니터링하는 다양한 시스템에서 보고됩니다.

Microsoft Sentinel의 정규화에 대한 자세한 내용은 정규화 및 ASIM(고급 보안 정보 모델)을 참조하세요.

Important

레지스트리 이벤트 정규화 스키마는 현재 미리 보기로 제공됩니다. 이 기능은 서비스 수준 계약 없이 제공되며 프로덕션 워크로드에는 권장되지 않습니다.

Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

파서

모든 기본 제공 파서를 통합하는 통합 파서를 사용하고 구성된 모든 원본에서 분석이 실행되도록 하려면 쿼리에서 imRegistry를 테이블 이름으로 사용합니다.

Microsoft Sentinel이 기본 제공하는 프로세스 이벤트 파서 목록은 ASIM 파서 목록을 참조하세요.

Microsoft Sentinel GitHub 리포지토리에서 통합 및 원본 관련 파서를 배포합니다.

자세한 내용은 ASIM 파서ASIM 파서 사용을 참조하세요.

사용자 고유의 정규화된 파서 추가

레지스트리 이벤트 정보 모델에 대한 사용자 지정 파서 구현 시, imRegistry<vendor><Product> 구문을 사용하여 KQL 함수의 이름을 지정합니다.

레지스트리 이벤트 모델을 사용하는 모든 콘텐츠가 새 파서를 사용하도록 KQL 함수를 imRegistry 통합 파서에 추가합니다.

정규화된 콘텐츠

Microsoft Sentinel은 IFEO를 통한 영구 레지스트리 키 헌팅 쿼리를 제공합니다. 이 쿼리는 고급 보안 정보 모델을 사용하여 정규화된 모든 레지스트리 작업 데이터에서 작동합니다.

자세한 내용은 Microsoft Sentinel로 위협 찾기를 참조하세요.

스키마 세부 정보

레지스트리 이벤트 정보 모델은 OSSEM 레지스트리 엔터티 스키마정렬됩니다.

일반적인 ASIM 필드

Important

모든 스키마에 공통적인 필드는 ASIM 공통 필드 문서에 자세히 설명되어 있습니다.

특정 지침이 있는 공통 필드

다음 목록에는 프로세스 작업 이벤트에 대한 특정 지침이 있는 필드가 나와 있습니다.

필드 클래스 Type 설명
EventType 필수 열거 레코드에서 보고하는 작업을 설명합니다.

레지스트리 레코드의 경우 지원되는 값은 다음과 같습니다.
- RegistryKeyCreated
- RegistryKeyDeleted
- RegistryKeyRenamed
- RegistryValueDeleted
- RegistryValueSet
EventSchemaVersion 필수 문자열 스키마의 버전입니다. 여기에 설명된 스키마의 버전은 0.1.2입니다
EventSchema 선택 사항 문자열 여기에 설명된 스키마의 이름은 RegistryEvent입니다.
Dvc 필드 레지스트리 활동 이벤트의 경우 디바이스 필드는 레지스트리 활동이 발생한 시스템을 참조합니다.

Important

EventSchema 필드는 현재 선택 사항이지만 2022년 9월 1일부터 필수 사항이 됩니다.

모든 공통 필드

아래 표에 나열된 필드는 모든 ASIM 스키마에 공통적으로 적용됩니다. 위에 지정된 모든 지침은 필드에 대한 일반 지침을 재정의합니다. 예를 들어 필드가 일반적으로 선택 사항이지만 특정 스키마에서는 필수 사항일 수 있습니다. 각 필드에 대한 자세한 내용은 ASIM 공통 필드 문서를 참조하세요.

클래스 필드
필수 - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
권장 - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
선택 사항 - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

레지스트리 이벤트 관련 필드

아래 표에 나열된 필드는 레지스트리 이벤트와 관련이 있지만 다른 스키마의 필드와 유사하며 유사한 명명 규칙을 따릅니다.

자세한 내용은 Windows의 레지스트리 구조 설명서를 참조하세요.

필드 클래스 Type 설명
RegistryKey 필수 문자열 작업과 연결된 레지스트리 키로, 표준 루트 키 명명 규칙으로 정규화됩니다. 자세한 내용은 루트 키를 참조하세요.

레지스트리 키는 파일 시스템의 폴더와 유사합니다.

예: HKEY_LOCAL_MACHINE\SOFTWARE\MTG
RegistryValue 권장 문자열 작업과 연결된 레지스트리 값입니다. 레지스트리 값은 파일 시스템의 파일과 유사합니다.

예: Path
RegistryValueType 권장 문자열 표준 형식으로 정규화된 레지스트리 값의 형식입니다. 자세한 내용은 값 형식을 참조하세요.

예: Reg_Expand_Sz
RegistryValueData 권장 문자열 레지스트리 값에 저장된 데이터입니다.

예: C:\Windows\system32;C:\Windows;
RegistryPreviousKey 권장 문자열 레지스트리를 수정하는 작업의 경우 원래 레지스트리 키는 표준 루트 키 명명으로 정규화됩니다. 자세한 내용은 루트 키를 참조하세요.

참고: 작업에서 값과 같은 다른 필드가 변경되었지만 키가 다시 기본 경우 RegistryPreviousKey는 RegistryKey동일한 값을 갖습니다.

예: HKEY_LOCAL_MACHINE\SOFTWARE\MTG
RegistryPreviousValue 권장 문자열 레지스트리를 수정하는 작업의 경우 원래 값 형식이 표준 형식으로 정규화됩니다. 자세한 내용은 값 형식을 참조하세요.

형식이 변경되지 않은 경우, 이 필드의 값은 RegistryValueType 필드의 값과 같습니다.

예: Path
RegistryPreviousValueType 권장 문자열 레지스트리를 수정하는 작업의 경우 원래 값 형식입니다.

형식이 변경되지 않은 경우 이 필드는 표준 형식으로 정규화된 RegistryValueType 필드와 동일한 값을 갖습니다. 자세한 내용은 값 형식을 참조하세요.

예: Reg_Expand_Sz
RegistryPreviousValueData 권장 문자열 레지스트리를 수정하는 작업에 대한 원래 레지스트리 데이터.

예: C:\Windows\system32;C:\Windows;
사용자 Alias ActorUsername 필드의 별칭입니다.

예: CONTOSO\ dadmin
처리 Alias ActingProcessName 필드의 별칭입니다.

예: C:\Windows\System32\rundll32.exe
ActorUsername 필수 문자열 이벤트를 시작한 사용자의 사용자 이름입니다.

예: CONTOSO\WIN-GG82ULGC9GO$
ActorUsernameType 조건부 열거 ActorUsername 필드에 저장된 사용자 이름의 형식을 지정합니다. 자세한 내용은 사용자 엔터티를 참조하세요.

예: Windows
ActorUserId 권장 문자열 행위자의 고유 ID입니다. 특정 ID는 이벤트를 생성하는 시스템에 따라 달라집니다. 자세한 내용은 사용자 엔터티를 참조하세요.

예: S-1-5-18
ActorScope 선택 사항 문자열 ActorUserId 및 ActorUsername정의된 Microsoft Entra 테넌트와 같은 범위입니다. 또는 허용되는 값에 대한 자세한 내용과 목록은 스키마 개요 문서의 UserScope참조하세요.
ActorUserIdType 권장 문자열 ActorUserId 필드에 저장된 ID의 형식입니다. 자세한 내용은 사용자 엔터티를 참조하세요.

예: SID
ActorSessionId 조건부 문자열 작업자 로그인 세션의 고유 ID.

예: 999

참고: 유형은 다양한 시스템을 지원하기 위해 문자열로 정의되지만 Windows에서는 이 값이 숫자여야 합니다. Windows 컴퓨터를 사용하고 원본이 다른 형식을 보내는 경우 값을 변환해야 합니다. 예를 들어, 원본이 16진수 값을 보내는 경우, 10진수 값으로 변환합니다.
ActingProcessName 선택 사항 문자열 작업 프로세스 이미지 파일의 파일 이름. 이 이름은 일반적으로 프로세스 이름으로 간주됩니다.

예: C:\Windows\explorer.exe
ActingProcessId 필수 문자열 작업 프로세스의 PID(프로세스 ID)입니다.

예: 48610176

참고: 형식은 다양한 시스템을 지원하기 위해 문자열정의되지만 Windows 및 Linux에서는 이 값이 숫자여야 합니다.

Windows 또는 Linux 머신을 사용하고 다른 형식을 사용하는 경우에는 값을 변환해야 합니다. 예를 들어 16진수 값을 사용한 경우 10진수 값으로 변환합니다.
ActingProcessGuid 선택 사항 문자열 작업 프로세스의 생성된 GUID(고유 식별자)입니다.

예: EF3BD0BD-2B74-60C5-AF5C-010000001E00
ParentProcessName 선택 사항 문자열 부모 프로세스 이미지 파일의 파일 이름. 이 값은 일반적으로 프로세스 이름으로 간주됩니다.

예: C:\Windows\explorer.exe
ParentProcessId 필수 문자열 부모 프로세스의 PID(프로세스 ID)입니다.

예: 48610176
ParentProcessGuid 선택 사항 문자열 부모 프로세스의 생성된 GUID(고유 식별자)입니다.

예: EF3BD0BD-2B74-60C5-AF5C-010000001E00

루트 키

다른 원본은 다른 표현을 사용하는 레지스트리 키 접두사를 나타냅니다. RegistryKeyRegistryPreviousKey 필드의 경우 다음 정규화된 접두사를 사용합니다.

정규화된 키 접두사 기타 일반적인 표현
HKEY_LOCAL_MACHINE HKLM, \REGISTRY\MACHINE
HKEY_USERS HKU, \REGISTRY\USER

값 형식

다른 원본은 다른 표현을 사용하여 레지스트리 값 형식을 나타냅니다. RegistryValueTypeRegistryPreviousValueType 필드의 경우 다음 정규화된 형식을 사용합니다.

정규화된 키 접두사 기타 일반적인 표현
Reg_None None, %%1872
Reg_sz String, %%1873
Reg_Expand_Sz ExpandString, %%1874
Reg_Binary Binary, %%1875
Reg_dword Dword, %%1876
Reg_multi_sz MultiString, %%1879
Reg_QWord Qword, %%1883

스키마 업데이트

다음은 스키마 버전 0.1.1의 변경 내용입니다.

  • EventSchema 필드를 추가했습니다.

다음은 스키마 버전 0.1.2의 변경 내용입니다.

  • 필드 ActorScopeDvcScopeIdDvcScope.를 추가했습니다.

다음 단계

자세한 내용은 다음을 참조하세요.