The Advanced Security Information Model (ASIM) Registry Event normalization schema reference (Public Preview)
Het schema voor registerevenementen wordt gebruikt om de Windows-activiteit te beschrijven voor het maken, wijzigen of verwijderen van Windows-registerentiteiten.
Registergebeurtenissen zijn specifiek voor Windows-systemen, maar worden gerapporteerd door verschillende systemen die Windows bewaken, zoals EDR-systemen (End Point Detection and Response), Sysmon of Windows zelf.
Zie Normalization and the Advanced Security Information Model (ASIM) voor meer informatie over normalisatie in Microsoft Sentinel.
Belangrijk
Het schema voor normalisatie van register gebeurtenis bevindt zich momenteel in PREVIEW. Deze functie wordt geleverd zonder service level agreement en wordt niet aanbevolen voor productieworkloads.
De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Parsers
Als u de samenvoegingsparser wilt gebruiken waarmee alle ingebouwde parsers worden samengevoegd en ervoor wilt zorgen dat uw analyse wordt uitgevoerd in alle geconfigureerde bronnen, gebruikt u imRegistry als de tabelnaam in uw query.
Raadpleeg voor de lijst met procesgebeurtenisparsers Microsoft Sentinel out-of-the-box de lijst met ASIM-parsers
Implementeer de groeperings- en bronspecifieke parsers vanuit de GitHub-opslagplaats van Microsoft Sentinel.
Zie ASIM-parsers en ASIM-parsers gebruiken voor meer informatie.
Uw eigen genormaliseerde parsers toevoegen
Bij het implementeren van aangepaste parsers voor het register gebeurtenisinformatiemodel, noemt u uw KQL-functies met behulp van de volgende syntaxis: imRegistry<vendor><Product>
Voeg uw KQL-functies toe aan de imRegistry
samenvoegingsparsers om ervoor te zorgen dat inhoud die gebruikmaakt van het register-gebeurtenismodel ook gebruikmaakt van uw nieuwe parser.
Genormaliseerde inhoud
Microsoft Sentinel biedt de Persistenting Via IFEO Registry Key opsporingsquery. Deze query werkt op alle registeractiviteitsgegevens die zijn genormaliseerd met behulp van het Advanced Security Information Model.
Zie Zoeken naar bedreigingen met Microsoft Sentinel voor meer informatie.
Schemadetails
Het register gebeurtenisinformatiemodel is afgestemd op het OSSEM Registry-entiteitsschema.
Algemene ASIM-velden
Belangrijk
Velden die voor alle schema's gelden, worden uitgebreid beschreven in het artikel Algemene ASIM-velden .
Algemene velden met specifieke richtlijnen
In de volgende lijst worden velden vermeld met specifieke richtlijnen voor procesactiviteitsevenementen:
Veld | Klasse | Type | Omschrijving |
---|---|---|---|
EventType | Verplicht | Enumerated | Beschrijft de bewerking die door de record is gerapporteerd. Voor registerrecords zijn ondersteunde waarden onder andere: - RegistryKeyCreated - RegistryKeyDeleted - RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
EventSchemaVersion | Verplicht | String | De versie van het schema. De versie van het schema dat hier wordt beschreven, is 0.1.2 |
EventSchema | Optioneel | String | De naam van het schema dat hier wordt beschreven, is RegistryEvent . |
Dvc-velden | Voor registeractiviteitsgebeurtenissen verwijzen apparaatvelden naar het systeem waarop de registeractiviteit heeft plaatsgevonden. |
Belangrijk
Het EventSchema
veld is momenteel optioneel, maar wordt verplicht op 1 september 2022.
Alle algemene velden
Velden die in de onderstaande tabel worden weergegeven, zijn gebruikelijk voor alle ASIM-schema's. Elke hierboven opgegeven richtlijn overschrijft de algemene richtlijnen voor het veld. Een veld kan bijvoorbeeld optioneel zijn in het algemeen, maar verplicht voor een specifiek schema. Raadpleeg het artikel Algemene ASIM-velden voor meer informatie over elk veld.
Klasse | Velden |
---|---|
Verplicht | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
Aanbevolen | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
Optioneel | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Specifieke velden voor registerevenementen
De velden in de onderstaande tabel zijn specifiek voor register-gebeurtenissen, maar zijn vergelijkbaar met velden in andere schema's en volgen vergelijkbare naamconventies.
Zie De structuur van het register in de Windows-documentatie voor meer informatie.
Veld | Klasse | Type | Omschrijving |
---|---|---|---|
RegistryKey | Verplicht | String | De registersleutel die is gekoppeld aan de bewerking, genormaliseerd naar standaardnaamconventies voor hoofdsleutels. Zie Hoofdsleutels voor meer informatie. Registersleutels zijn vergelijkbaar met mappen in bestandssystemen. Bijvoorbeeld: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
RegistryValue | Aanbevolen | String | De registerwaarde die aan de bewerking is gekoppeld. Registerwaarden zijn vergelijkbaar met bestanden in bestandssystemen. Bijvoorbeeld: Path |
RegistryValueType | Aanbevolen | String | Het type registerwaarde, genormaliseerd naar standaardformulier. Zie Waardetypen voor meer informatie. Bijvoorbeeld: Reg_Expand_Sz |
RegistryValueData | Aanbevolen | String | De gegevens die zijn opgeslagen in de registerwaarde. Voorbeeld: C:\Windows\system32;C:\Windows; |
RegistryPreviousKey | Aanbevolen | String | Voor bewerkingen die het register wijzigen, wordt de oorspronkelijke registersleutel genormaliseerd naar standaardnaamgeving van hoofdsleutels. Zie Hoofdsleutels voor meer informatie. Opmerking: Als de bewerking andere velden heeft gewijzigd, zoals de waarde, maar de sleutel hetzelfde blijft, heeft de RegistryPreviousKey dezelfde waarde als RegistryKey. Voorbeeld: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
RegistryPreviousValue | Aanbevolen | String | Voor bewerkingen die het register wijzigen, wordt het oorspronkelijke waardetype genormaliseerd in het standaardformulier. Zie Waardetypen voor meer informatie. Als het type niet is gewijzigd, heeft dit veld dezelfde waarde als het veld RegistryValueType . Voorbeeld: Path |
RegistryPreviousValueType | Aanbevolen | String | Voor bewerkingen die het register wijzigen, is het oorspronkelijke waardetype. Als het type niet is gewijzigd, heeft dit veld dezelfde waarde als het veld RegistryValueType , genormaliseerd in het standaardformulier. Zie Waardetypen voor meer informatie. Voorbeeld: Reg_Expand_Sz |
RegistryPreviousValueData | Aanbevolen | String | De oorspronkelijke registergegevens voor bewerkingen die het register wijzigen. Voorbeeld: C:\Windows\system32;C:\Windows; |
Gebruiker | Alias | Alias naar het veld ActorUsername . Voorbeeld: CONTOSO\ dadmin |
|
Verwerken | Alias | Alias naar het veld ActingProcessName . Voorbeeld: C:\Windows\System32\rundll32.exe |
|
ActorUsername | Verplicht | String | De gebruikersnaam van de gebruiker die de gebeurtenis heeft gestart. Voorbeeld: CONTOSO\WIN-GG82ULGC9GO$ |
ActorUsernameType | Voorwaardelijk | Enumerated | Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld ActorUsername . Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: Windows |
ActorUserId | Aanbevolen | String | Een unieke id van de actor. De specifieke id is afhankelijk van het systeem dat de gebeurtenis genereert. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: S-1-5-18 |
ActorScope | Optioneel | String | Het bereik, zoals Microsoft Entra-tenant, waarin ActorUserId en ActorUsername worden gedefinieerd. of meer informatie en lijst met toegestane waarden, zie UserScope in het artikel Schemaoverzicht. |
ActorUserIdType | Aanbevolen | String | Het type id dat is opgeslagen in het veld ActorUserId . Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: SID |
ActorSessionId | Voorwaardelijk | String | De unieke id van de aanmeldingssessie van de actor. Voorbeeld: 999 Opmerking: Het type wordt gedefinieerd als tekenreeks ter ondersteuning van verschillende systemen, maar in Windows moet deze waarde numeriek zijn. Als u een Windows-computer gebruikt en de bron een ander type verzendt, moet u de waarde converteren. Als de bron bijvoorbeeld een hexadecimale waarde verzendt, converteert u deze naar een decimale waarde. |
ActingProcessName | Optioneel | String | De bestandsnaam van het afbeeldingsbestand van het acterende proces. Deze naam wordt doorgaans beschouwd als de procesnaam. Voorbeeld: C:\Windows\explorer.exe |
ActingProcessId | Verplicht | String | De proces-id (PID) van het acterende proces. Voorbeeld: 48610176 Opmerking: Het type wordt gedefinieerd als tekenreeks ter ondersteuning van verschillende systemen, maar in Windows en Linux moet deze waarde numeriek zijn. Als u een Windows- of Linux-computer gebruikt en een ander type gebruikt, moet u de waarden converteren. Als u bijvoorbeeld een hexadecimale waarde hebt gebruikt, converteert u deze naar een decimale waarde. |
ActingProcessGuid | Optioneel | String | Een gegenereerde unieke id (GUID) van het acterende proces. Voorbeeld: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
ParentProcessName | Optioneel | String | De bestandsnaam van het bovenliggende procesinstallatiekopieënbestand. Deze waarde wordt doorgaans beschouwd als de procesnaam. Voorbeeld: C:\Windows\explorer.exe |
ParentProcessId | Verplicht | String | De proces-id (PID) van het bovenliggende proces. Voorbeeld: 48610176 |
ParentProcessGuid | Optioneel | String | Een gegenereerde unieke id (GUID) van het bovenliggende proces. Voorbeeld: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Hoofdsleutels
Verschillende bronnen vertegenwoordigen registersleutelvoorvoegsels met behulp van verschillende representaties. Gebruik voor de velden RegistryKey en RegistryPreviousKey de volgende genormaliseerde voorvoegsels:
Genormaliseerd sleutelvoorvoegsel | Andere algemene representaties |
---|---|
HKEY_LOCAL_MACHINE | HKLM , \REGISTRY\MACHINE |
HKEY_USERS | HKU , \REGISTRY\USER |
Waardetypen
Verschillende bronnen vertegenwoordigen registerwaardetypen met behulp van verschillende weergaven. Gebruik voor de velden RegistryValueType en RegistryPreviousValueType de volgende genormaliseerde typen:
Genormaliseerd sleutelvoorvoegsel | Andere algemene representaties |
---|---|
Reg_None | None , %%1872 |
Reg_sz | String , %%1873 |
Reg_expand_sz | ExpandString , %%1874 |
Reg_binary | Binary , %%1875 |
Reg_dword | Dword , %%1876 |
Reg_multi_sz | MultiString , %%1879 |
Reg_QWord | Qword , %%1883 |
Schema-updates
Dit zijn de wijzigingen in versie 0.1.1 van het schema:
- Het veld
EventSchema
is toegevoegd.
Dit zijn de wijzigingen in versie 0.1.2 van het schema:
- De velden
ActorScope
,DvcScopeId
enDvcScope
..
Volgende stappen
Zie voor meer informatie:
- Normalisatie in Microsoft Sentinel
- Normalisatieschemaverwijzing voor Microsoft Sentinel-verificatie (openbare preview)
- Naslaginformatie over dns-normalisatieschema voor Microsoft Sentinel
- Normalisatieschemaverwijzing voor Microsoft Sentinel-bestandsevenementen (openbare preview)
- Naslaginformatie over microsoft Sentinel-netwerknormalisatieschema's