Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het schema voor registerevenementen wordt gebruikt om de Windows-activiteit te beschrijven voor het maken, wijzigen of verwijderen van Windows-registerentiteiten.
Registergebeurtenissen zijn specifiek voor Windows-systemen, maar worden gerapporteerd door verschillende systemen die Windows bewaken, zoals EDR-systemen (End Point Detection and Response), Sysmon of Windows zelf.
Zie Normalization and the Advanced Security Information Model (ASIM) voor meer informatie over normalisatie in Microsoft Sentinel.
Parsers
Als u de samenvoegingsparser wilt gebruiken waarmee alle ingebouwde parsers worden samengevoegd en ervoor wilt zorgen dat uw analyse wordt uitgevoerd in alle geconfigureerde bronnen, gebruikt u imRegistry als de tabelnaam in uw query.
Raadpleeg voor de lijst met procesgebeurtenisparsers Microsoft Sentinel out-of-the-box de lijst met ASIM-parsers
Implementeer de groeperings- en bronspecifieke parsers vanuit de GitHub-opslagplaats van Microsoft Sentinel.
Zie ASIM-parsers en ASIM-parsers gebruiken voor meer informatie.
Uw eigen genormaliseerde parsers toevoegen
Bij het implementeren van aangepaste parsers voor het register gebeurtenisinformatiemodel, noemt u uw KQL-functies met behulp van de volgende syntaxis: imRegistry<vendor><Product>
Voeg uw KQL-functies toe aan de imRegistry samenvoegingsparsers om ervoor te zorgen dat inhoud die gebruikmaakt van het register-gebeurtenismodel ook gebruikmaakt van uw nieuwe parser.
Genormaliseerde inhoud
Microsoft Sentinel biedt de Persistenting Via IFEO Registry Key opsporingsquery. Deze query werkt op alle registeractiviteitsgegevens die zijn genormaliseerd met behulp van het Advanced Security Information Model.
Zie Zoeken naar bedreigingen met Microsoft Sentinel voor meer informatie.
Schemadetails
Het register gebeurtenisinformatiemodel is afgestemd op het OSSEM Registry-entiteitsschema.
Algemene ASIM-velden
Belangrijk
Velden die voor alle schema's gelden, worden uitgebreid beschreven in het artikel Algemene ASIM-velden .
Algemene velden met specifieke richtlijnen
In de volgende lijst worden velden vermeld met specifieke richtlijnen voor procesactiviteitsevenementen:
| Veld | Class | Typologie | Description |
|---|---|---|---|
| EventType- | Mandatory | Opgelijst | Beschrijft de bewerking die door de record is gerapporteerd. Voor registerrecords zijn ondersteunde waarden onder andere: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Mandatory | SchemaVersion (string) | De versie van het schema. De versie van het schema dat hier wordt beschreven, is 0.1.3 |
| EventSchema | Mandatory | Snaar / Touwtje | De naam van het schema dat hier wordt beschreven, is RegistryEvent. |
| Dvc-velden | Voor registeractiviteitsgebeurtenissen verwijzen apparaatvelden naar het systeem waarop de registeractiviteit heeft plaatsgevonden. |
Alle algemene velden
Velden die in de onderstaande tabel worden weergegeven, zijn gebruikelijk voor alle ASIM-schema's. Elke hierboven opgegeven richtlijn overschrijft de algemene richtlijnen voor het veld. Een veld kan bijvoorbeeld optioneel zijn in het algemeen, maar verplicht voor een specifiek schema. Raadpleeg het artikel Algemene ASIM-velden voor meer informatie over elk veld.
| klasse | Velden |
|---|---|
| Mandatory |
-
Aantal gebeurtenissen - Starttijd van het evenement - EventEndTime - Soort gebeurtenis - Resultaat van evenement - Evenement Product - Verkoper van evenementen - EventSchema - EventSchemaVersion - DVC |
| Aanbevolen |
-
EvenementResultaatDetails - GebeurtenisErnst - Uiteindelijke gebeurtenis - DvcIpAddr - DvcHostnaam - DvcDomein - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optioneel |
-
Evenement Bericht - GebeurtenisSubType - EvenementOriginalUid - GebeurtenisOrigineelType - EventOriginalSubType - EventOrigineelResultaatDetails - GebeurtenisOrigineelErnst - EventProductVersie - GebeurtenisRapportUrl - Eigenaar van het evenement - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - Dvc-koppeling - Aanvullende velden - DvcBeschrijving - DvcScopeId - DvcScope |
Specifieke velden voor registerevenementen
De velden in de onderstaande tabel zijn specifiek voor register-gebeurtenissen, maar zijn vergelijkbaar met velden in andere schema's en volgen vergelijkbare naamconventies.
Zie De structuur van het register in de Windows-documentatie voor meer informatie.
| Veld | Class | Typologie | Description |
|---|---|---|---|
| RegistryKey | Mandatory | Snaar / Touwtje | De registersleutel die is gekoppeld aan de bewerking, genormaliseerd naar standaardnaamconventies voor hoofdsleutels. Zie Hoofdsleutels voor meer informatie. Registersleutels zijn vergelijkbaar met mappen in bestandssystemen. Bijvoorbeeld: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Aanbevolen | Snaar / Touwtje | De registerwaarde die aan de bewerking is gekoppeld. Registerwaarden zijn vergelijkbaar met bestanden in bestandssystemen. Bijvoorbeeld: Path |
| RegistryValueType | Aanbevolen | Snaar / Touwtje | Het type registerwaarde, genormaliseerd naar standaardformulier. Zie Waardetypen voor meer informatie. Bijvoorbeeld: Reg_Expand_Sz |
| RegistryValueData | Aanbevolen | Snaar / Touwtje | De gegevens die zijn opgeslagen in de registerwaarde. Voorbeeld: C:\Windows\system32;C:\Windows; |
| RegistryVorigeSleutel | Aanbevolen | Snaar / Touwtje | Voor bewerkingen die het register wijzigen, wordt de oorspronkelijke registersleutel genormaliseerd naar standaardnaamgeving van hoofdsleutels. Zie Hoofdsleutels voor meer informatie. Opmerking: Als de bewerking andere velden heeft gewijzigd, zoals de waarde, maar de sleutel hetzelfde blijft, heeft de RegistryPreviousKey dezelfde waarde als RegistryKey. Voorbeeld: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegisterVorigeWaarde | Aanbevolen | Snaar / Touwtje | Voor bewerkingen die het register wijzigen, wordt het oorspronkelijke waardetype genormaliseerd in het standaardformulier. Zie Waardetypen voor meer informatie. Als het type niet is gewijzigd, heeft dit veld dezelfde waarde als het veld RegistryValueType . Voorbeeld: Path |
| RegistryPreviousValueType | Aanbevolen | Snaar / Touwtje | Voor bewerkingen die het register wijzigen, is het oorspronkelijke waardetype. Als het type niet is gewijzigd, heeft dit veld dezelfde waarde als het veld RegistryValueType , genormaliseerd in het standaardformulier. Zie Waardetypen voor meer informatie. Voorbeeld: Reg_Expand_Sz |
| RegistryPreviousValueData | Aanbevolen | Snaar / Touwtje | De oorspronkelijke registergegevens voor bewerkingen die het register wijzigen. Voorbeeld: C:\Windows\system32;C:\Windows; |
| User | Alias | Alias naar het veld ActorUsername . Voorbeeld: CONTOSO\ dadmin |
|
| Verwerken | Alias | Alias naar het veld ActingProcessName . Voorbeeld: C:\Windows\System32\rundll32.exe |
|
| ActorGebruikersnaam | Mandatory | Gebruikersnaam (String) | De gebruikersnaam van de gebruiker die de gebeurtenis heeft gestart. Voorbeeld: CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | Conditional | Opgelijst | Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld ActorUsername . Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: Windows |
| ActorUserId | Aanbevolen | Snaar / Touwtje | Een unieke id van de actor. De specifieke id is afhankelijk van het systeem dat de gebeurtenis genereert. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: S-1-5-18 |
| ActorScope | Optioneel | Snaar / Touwtje | Het bereik, zoals Microsoft Entra-tenant, waarin ActorUserId en ActorUsername worden gedefinieerd. of meer informatie en lijst met toegestane waarden, zie UserScope in het artikel Schemaoverzicht. |
| ActorUserIdType | Conditional | Opgelijst | Het type id dat is opgeslagen in het veld ActorUserId . Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: SID |
| ActorSessionId | Optioneel | Snaar / Touwtje | De unieke id van de aanmeldingssessie van de actor. Voorbeeld: 999Opmerking: Het type wordt gedefinieerd als tekenreeks ter ondersteuning van verschillende systemen, maar in Windows moet deze waarde numeriek zijn. Als u een Windows-computer gebruikt en de bron een ander type verzendt, moet u de waarde converteren. Als de bron bijvoorbeeld een hexadecimale waarde verzendt, converteert u deze naar een decimale waarde. |
| ActingProcessName | Optioneel | Snaar / Touwtje | De bestandsnaam van het afbeeldingsbestand van het acterende proces. Deze naam wordt doorgaans beschouwd als de procesnaam. Voorbeeld: C:\Windows\explorer.exe |
| ActingProcessId | Mandatory | Snaar / Touwtje | De proces-id (PID) van het acterende proces. Voorbeeld: 48610176 Opmerking: Het type wordt gedefinieerd als tekenreeks ter ondersteuning van verschillende systemen, maar in Windows en Linux moet deze waarde numeriek zijn. Als u een Windows- of Linux-computer gebruikt en een ander type gebruikt, moet u de waarden converteren. Als u bijvoorbeeld een hexadecimale waarde hebt gebruikt, converteert u deze naar een decimale waarde. |
| ActingProcessGuid | Optioneel | GUID (Snaar) | Een gegenereerde unieke id (GUID) van het acterende proces. Voorbeeld: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Optioneel | Snaar / Touwtje | De bestandsnaam van het bovenliggende procesinstallatiekopieënbestand. Deze waarde wordt doorgaans beschouwd als de procesnaam. Voorbeeld: C:\Windows\explorer.exe |
| ParentProcessId | Mandatory | Snaar / Touwtje | De proces-id (PID) van het bovenliggende proces. Voorbeeld: 48610176 |
| ParentProcessGuid | Optioneel | Snaar / Touwtje | Een gegenereerde unieke id (GUID) van het bovenliggende proces. Voorbeeld: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Inspectievelden
De volgende velden worden gebruikt om die inspectie weer te geven die wordt uitgevoerd door een beveiligingssysteem zoals een EDR-systeem.
| Veld | Class | Typologie | Description |
|---|---|---|---|
| RuleName | Optioneel | Snaar / Touwtje | De naam of id van de regel door gekoppeld aan de inspectieresultaten. |
| RuleNumber | Optioneel | Integer | Het nummer van de regel die is gekoppeld aan de inspectieresultaten. |
| Regel | Conditional | Snaar / Touwtje | De waarde van kRuleName of de waarde van RuleNumber. Als de waarde van RuleNumber wordt gebruikt, moet het type worden geconverteerd naar tekenreeks. |
| ThreatId | Optioneel | Snaar / Touwtje | De id van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit. |
| ThreatName | Optioneel | Snaar / Touwtje | De naam van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit. Voorbeeld: EICAR Test File |
| ThreatCategory | Optioneel | Snaar / Touwtje | De categorie van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit. Voorbeeld: Trojan |
| ThreatRiskLevel | Optioneel | RiskLevel (Integer) | Het risiconiveau dat is gekoppeld aan de geïdentificeerde bedreiging. Het niveau moet een getal tussen 0 en 100 zijn. Opmerking: De waarde kan worden opgegeven in de bronrecord met behulp van een andere schaal, die moet worden genormaliseerd voor deze schaal. De originele waarde moet worden opgeslagen in ThreatOriginalRiskLevel. |
| BedreigingOriginalRiskLevel | Optioneel | Snaar / Touwtje | Het risiconiveau zoals gerapporteerd door het rapportageapparaat. |
| Dreiging veld | Optioneel | Snaar / Touwtje | Het veld waarvoor een bedreiging is geïdentificeerd. |
| ThreatConfidence | Optioneel | Betrouwbaarheidsniveau (geheel getal) | Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd tot een waarde tussen 0 en 100. |
| ThreatOriginalConfidence | Optioneel | Snaar / Touwtje | Het oorspronkelijke betrouwbaarheidsniveau van de geïdentificeerde bedreiging, zoals gerapporteerd door het rapportageapparaat. |
| ThreatIsActive | Optioneel | Booleaan | Waar als de geïdentificeerde bedreiging wordt beschouwd als een actieve bedreiging. |
| ThreatFirstReportedTime | Optioneel | datetime | De eerste keer dat het IP-adres of domein als een bedreiging is geïdentificeerd. |
| ThreatLastReportedTime | Optioneel | datetime | De laatste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging. |
Hoofdsleutels
Verschillende bronnen vertegenwoordigen registersleutelvoorvoegsels met behulp van verschillende representaties. Gebruik voor de velden RegistryKey en RegistryPreviousKey de volgende genormaliseerde voorvoegsels:
| Genormaliseerd sleutelvoorvoegsel | Andere algemene representaties |
|---|---|
| HKEY_LOCAL_MACHINE |
HKLM, \REGISTRY\MACHINE |
| HKEY_USERS |
HKU, \REGISTRY\USER |
Waardetypen
Verschillende bronnen vertegenwoordigen registerwaardetypen met behulp van verschillende weergaven. Gebruik voor de velden RegistryValueType en RegistryPreviousValueType de volgende genormaliseerde typen:
| Genormaliseerd sleutelvoorvoegsel | Andere algemene representaties |
|---|---|
| Reg_None |
None, %%1872 |
| Reg_Sz |
String, %%1873 |
| Reg_Expand_Sz |
ExpandString, %%1874 |
| Reg_Binary |
Binary, %%1875 |
| Reg_DWord |
Dword, %%1876 |
| Reg_Multi_Sz |
MultiString, %%1879 |
| Reg_QWord |
Qword, %%1883 |
Schema-updates
Dit zijn de wijzigingen in versie 0.1.1 van het schema:
- Het veld
EventSchemais toegevoegd.
Dit zijn de wijzigingen in versie 0.1.2 van het schema:
- De velden
ActorScope,DvcScopeIdenDvcScope.
Dit zijn de wijzigingen in versie 0.1.3 van het schema:
- Inspectievelden toegevoegd.
Volgende stappen
Voor meer informatie, zie:
- Normalisatie in Microsoft Sentinel
- Naslaginformatie over normalisatieschema voor Microsoft Sentinel-verificatie
- Naslaginformatie over dns-normalisatieschema voor Microsoft Sentinel
- Naslaginformatie over het normalisatieschema voor bestandsevenementen in Microsoft Sentinel
- Naslaginformatie over microsoft Sentinel-netwerknormalisatieschema's