A referência do esquema de normalização de eventos de registro ASIM (Advanced Security Information Model) (visualização pública)
O esquema de Evento do Registro é usado para descrever a atividade do Windows de criar, modificar ou excluir entidades do Registro do Windows.
Os eventos do Registro são específicos para sistemas Windows, mas são relatados por diferentes sistemas que monitoram o Windows, como sistemas EDR (End Point Detection and Response), Sysmon ou o próprio Windows.
Para obter mais informações sobre normalização no Microsoft Sentinel, consulte Normalização e o modelo avançado de informações de segurança (ASIM).
Importante
O esquema de normalização do Evento do Registro está atualmente em visualização. Esse recurso é fornecido sem um contrato de nível de serviço e não é recomendado para cargas de trabalho de produção.
Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Analisadores
Para usar o analisador unificador que unifica todos os analisadores internos e garantir que sua análise seja executada em todas as fontes configuradas, use imRegistry como o nome da tabela em sua consulta.
Para obter a lista dos analisadores de eventos de processo fornecidos pelo Microsoft Sentinel prontos para uso, consulte a lista de analisadores ASIM
Implante os analisadores unificadores e específicos da origem a partir do repositório GitHub do Microsoft Sentinel.
Para obter mais informações, consulte Analisadores ASIM e Usar analisadores ASIM.
Adicione seus próprios analisadores normalizados
Ao implementar analisadores personalizados para o modelo de informações de Evento do Registro, nomeie suas funções KQL usando a seguinte sintaxe: imRegistry<vendor><Product>.
Adicione suas funções KQL aos imRegistry analisadores unificadores para garantir que qualquer conteúdo usando o modelo de Evento do Registro também use seu novo analisador.
Conteúdo normalizado
O Microsoft Sentinel fornece a consulta de caça à chave de registro Persisting Via IFEO. Essa consulta funciona em qualquer dado de atividade do Registro normalizado usando o Modelo Avançado de Informações de Segurança.
Para obter mais informações, consulte Procurar ameaças com o Microsoft Sentinel.
Detalhes do esquema
O modelo de informações do Evento do Registro é alinhado com o esquema de entidade do Registro OSSEM.
Campos ASIM comuns
Importante
Os campos comuns a todos os esquemas são descritos em detalhes no artigo Campos comuns do ASIM.
Domínios comuns com orientações específicas
A lista a seguir menciona campos que têm diretrizes específicas para eventos de atividade de processo:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Tipo de Evento | Obrigatório | Enumerated | Descreve a operação relatada pelo registro. Para registros do Registro, os valores suportados incluem: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Obrigatório | String | A versão do esquema. A versão do esquema documentada aqui é 0.1.2 |
| EventSchema | Opcional | String | O nome do esquema documentado aqui é RegistryEvent. |
| Campos Dvc | Para eventos de atividade do registro, os campos de dispositivo referem-se ao sistema no qual a atividade do registro ocorreu. |
Importante
O EventSchema campo é atualmente opcional, mas passará a ser obrigatório em 1º de setembro de 2022.
Todos os campos comuns
Os campos que aparecem na tabela abaixo são comuns a todos os esquemas ASIM. Qualquer diretriz especificada acima substitui as diretrizes gerais para o campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais detalhes sobre cada campo, consulte o artigo Campos comuns do ASIM.
| Classe | Campos |
|---|---|
| Obrigatório | - EventCount - EventStartTime - EventEndTime - Tipo de Evento - EventResult - EventoProduto - EventVendor - EventSchema - EventSchemaVersion - DVC |
| Recomendado | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcNome do host - DvcDomínio - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Proprietário do Evento - DvcZona - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campos Adicionais - DvcDescrição - DvcScopeId - DvcScope |
Campos específicos do Evento do Registo
Os campos listados na tabela abaixo são específicos para eventos do Registro, mas são semelhantes aos campos em outros esquemas e seguem convenções de nomenclatura semelhantes.
Para obter mais informações, consulte Estrutura do Registro na documentação do Windows.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| RegistryKey | Obrigatório | String | A chave do Registro associada à operação, normalizada para convenções de nomenclatura de chave raiz padrão. Para obter mais informações, consulte Chaves raiz. As chaves do Registro são semelhantes às pastas em sistemas de arquivos. Por exemplo: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Recomendado | String | O valor do Registro associado à operação. Os valores do Registro são semelhantes aos arquivos em sistemas de arquivos. Por exemplo: Path |
| RegistryValueType | Recomendado | String | O tipo de valor do Registro, normalizado para formulário padrão. Para obter mais informações, consulte Tipos de valor. Por exemplo: Reg_Expand_Sz |
| RegistryValueData | Recomendado | String | Os dados armazenados no valor do Registro. Exemplo: C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | Recomendado | String | Para operações que modificam o Registro, a chave do Registro original, normalizada para nomenclatura de chave raiz padrão. Para obter mais informações, consulte Chaves raiz. Nota: Se a operação alterou outros campos, como o valor, mas a chave permanece a mesma, o RegistryPreviousKey terá o mesmo valor que RegistryKey. Exemplo: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistroAnteriorValor | Recomendado | String | Para operações que modificam o registro, o tipo de valor original, normalizado para o formulário padrão. Para obter mais informações, consulte Tipos de valor. Se o tipo não foi alterado, este campo tem o mesmo valor que o campo RegistryValueType . Exemplo: Path |
| RegistryPreviousValueType | Recomendado | String | Para operações que modificam o Registro, o tipo de valor original. Se o tipo não foi alterado, este campo terá o mesmo valor que o campo RegistryValueType, normalizado para o formulário padrão. Para obter mais informações, consulte Tipos de valor. Exemplo: Reg_Expand_Sz |
| RegistroPreviousValueData | Recomendado | String | Os dados originais do Registro, para operações que modificam o Registro. Exemplo: C:\Windows\system32;C:\Windows; |
| Utilizador | Alias | Alias para o campo ActorUsername . Exemplo: CONTOSO\ dadmin |
|
| Processo | Alias | Alias para o campo ActingProcessName . Exemplo: C:\Windows\System32\rundll32.exe |
|
| ActorUsername | Obrigatório | String | O nome de usuário do usuário que iniciou o evento. Exemplo: CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | Condicional | Enumerated | Especifica o tipo do nome de usuário armazenado no campo ActorUsername . Para obter mais informações, consulte A entidade Usuário. Exemplo: Windows |
| ActorUserId | Recomendado | String | Um ID exclusivo do ator. O ID específico depende do sistema que gera o evento. Para obter mais informações, consulte A entidade Usuário. Exemplo: S-1-5-18 |
| ActorScope | Opcional | String | O escopo, como o locatário do Microsoft Entra, no qual ActorUserId e ActorUsername são definidos. ou mais informações e lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema. |
| ActorUserIdType | Recomendado | String | O tipo de ID armazenado no campo ActorUserId . Para obter mais informações, consulte A entidade Usuário. Exemplo: SID |
| ActorSessionId | Condicional | String | O ID exclusivo da sessão de login do Ator. Exemplo: 999Nota: O tipo é definido como string para suportar sistemas variados, mas no Windows esse valor deve ser numérico. Se você estiver usando uma máquina Windows e a fonte enviar um tipo diferente, certifique-se de converter o valor. Por exemplo, se a origem enviar um valor hexadecimal, converta-o em um valor decimal. |
| ActingProcessName | Opcional | String | O nome do arquivo de imagem do processo de atuação. Este nome é normalmente considerado como o nome do processo. Exemplo: C:\Windows\explorer.exe |
| ActingProcessId | Obrigatório | String | A ID do processo (PID) do processo de atuação. Exemplo: 48610176 Nota: O tipo é definido como string para suportar sistemas variados, mas no Windows e Linux esse valor deve ser numérico. Se você estiver usando uma máquina Windows ou Linux e usou um tipo diferente, certifique-se de converter os valores. Por exemplo, se você usou um valor hexadecimal, converta-o em um valor decimal. |
| AtuaçãoProcessoGuid | Opcional | String | Um identificador exclusivo (GUID) gerado do processo de atuação. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Opcional | String | O nome do arquivo de imagem do processo pai. Este valor é normalmente considerado como o nome do processo. Exemplo: C:\Windows\explorer.exe |
| ParentProcessId | Obrigatório | String | A ID do processo (PID) do processo pai. Exemplo: 48610176 |
| ParentProcessGuid | Opcional | String | Um identificador exclusivo gerado (GUID) do processo pai. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Chaves raiz
Diferentes fontes representam prefixos de chave do Registro usando representações diferentes. Para os campos RegistryKey e RegistryPreviousKey, use os seguintes prefixos normalizados:
| Prefixo de chave normalizado | Outras representações comuns |
|---|---|
| HKEY_LOCAL_MACHINE | HKLM, \REGISTRY\MACHINE |
| HKEY_USERS | HKU, \REGISTRY\USER |
Tipos de valor
Diferentes fontes representam tipos de valor do Registro usando representações diferentes. Para os campos RegistryValueType e RegistryPreviousValueType, use os seguintes tipos normalizados:
| Prefixo de chave normalizado | Outras representações comuns |
|---|---|
| Reg_None | None, %%1872 |
| Reg_Sz | String, %%1873 |
| Reg_Expand_Sz | ExpandString, %%1874 |
| Reg_Binary | Binary, %%1875 |
| Reg_DWord | Dword, %%1876 |
| Reg_Multi_Sz | MultiString, %%1879 |
| Reg_QWord | Qword, %%1883 |
Atualizações de esquema
Estas são as alterações na versão 0.1.1 do esquema:
- Adicionado o campo
EventSchema.
Estas são as alterações na versão 0.1.2 do esquema:
- Adicionados os campos
ActorScope,DvcScopeIdeDvcScope..
Próximos passos
Para obter mais informações, consulte:
- Normalização no Microsoft Sentinel
- Referência do esquema de normalização de autenticação do Microsoft Sentinel (visualização pública)
- Referência do esquema de normalização do DNS do Microsoft Sentinel
- Referência do esquema de normalização de eventos do arquivo Microsoft Sentinel (visualização pública)
- Referência do esquema de normalização de rede do Microsoft Sentinel