Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O esquema evento de registo é utilizado para descrever a atividade do Windows de criar, modificar ou eliminar entidades do Registo do Windows.
Os eventos de registo são específicos dos sistemas Windows, mas são reportados por sistemas diferentes que monitorizam o Windows, como sistemas EDR (Deteção e Resposta de Ponto Final), Sysmon ou o próprio Windows.
Para obter mais informações sobre a normalização no Microsoft Sentinel, veja Normalização e Modelo avançado de informações de segurança (ASIM).
Analisadores
Para utilizar o analisador unificador que unifica todos os analisadores incorporados e garantir que a sua análise é executada em todas as origens configuradas, utilize imRegistry como o nome da tabela na consulta.
Para obter a lista dos analisadores de Eventos de Processo Microsoft Sentinel fornece uma lista completa, consulte a lista de analisadores asim
Implemente os analisadores unificadores e específicos da origem do Microsoft Sentinel repositório do GitHub.
Para obter mais informações, veja Analisadores ASIM e Utilizar analisadores ASIM.
Adicionar os seus próprios analisadores normalizados
Ao implementar analisadores personalizados para o modelo de informações do Evento de Registo, atribua um nome às funções KQL com a seguinte sintaxe: imRegistry<vendor><Product>.
Adicione as suas funções KQL aos imRegistry analisadores unificadores para garantir que qualquer conteúdo que utilize o modelo de Evento de Registo também utiliza o seu novo analisador.
Filtrar parâmetros do analisador
Os analisadores de Eventos de Registo suportam parâmetros de filtragem. Embora estes parâmetros sejam opcionais, podem melhorar o desempenho da consulta.
Estão disponíveis os seguintes parâmetros de filtragem:
| Name | Tipo | Descrição |
|---|---|---|
| hora de início | datetime | Filtre apenas os eventos de registo que ocorreram em ou depois deste momento. Este parâmetro filtra no TimeGenerated campo, que é o designador padrão para a hora do evento, independentemente do mapeamento específico do analisador dos campos EventStartTime e EventEndTime. |
| endtime | datetime | Filtre apenas os eventos de registo que ocorreram em ou antes deste momento. Este parâmetro filtra no TimeGenerated campo, que é o designador padrão para a hora do evento, independentemente do mapeamento específico do analisador dos campos EventStartTime e EventEndTime. |
| eventtype_in | dinâmico | Filtre apenas eventos de registo em que o tipo de evento seja um dos valores listados, incluindo: RegistryKeyCreated, RegistryKeyDeleted, RegistryKeyRenamed, RegistryValueDeletedou RegistryValueSet. |
| actorusername_has_any | dinâmico | Filtre apenas eventos de registo em que o nome de utilizador do ator tenha qualquer um dos valores listados. |
| registrykey_has_any | dinâmico | Filtre apenas eventos de registo em que a chave do registo tenha qualquer um dos valores listados. |
| registryvalue_has_any | dinâmico | Filtre apenas eventos de registo em que o valor do registo tenha qualquer um dos valores listados. |
| registrydata_has_any | dinâmico | Filtre apenas eventos de registo em que os dados do registo têm qualquer um dos valores listados. |
| dvchostname_has_any | dinâmico | Filtre apenas eventos de registo em que o nome do anfitrião do dispositivo tenha qualquer um dos valores listados. |
Por exemplo, para filtrar apenas eventos de criação de chaves de registo do último dia, utilize:
_Im_RegistryEvent (eventtype_in=dynamic(['RegistryKeyCreated']), starttime = ago(1d), endtime=now())
Conteúdo normalizado
Microsoft Sentinel fornece a consulta de investigação Persisting Via IFEO Registry Key. Esta consulta funciona em quaisquer dados de atividade de registo normalizados com o Modelo de Informações de Segurança Avançada.
Para obter mais informações, veja Investigar ameaças com Microsoft Sentinel.
Detalhes do esquema
O modelo de informações do Evento de Registo está alinhado com o esquema de entidade do Registo OSSEM.
Campos ASIM comuns
Importante
Os campos comuns a todos os esquemas são descritos em detalhe no artigo Campos Comuns do ASIM .
Campos comuns com diretrizes específicas
A lista seguinte menciona campos que têm diretrizes específicas para eventos de atividade do processo:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| EventType | Obrigatório | Enumerado | Descreve a operação comunicada pelo registo. Para registos, os valores suportados incluem: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Obrigatório | SchemaVersion (Cadeia) | A versão do esquema. A versão do esquema documentado aqui é 0.1.3 |
| EventSchema | Obrigatório | Cadeia | O nome do esquema documentado aqui é RegistryEvent. |
| Campos dvc | Para eventos de atividade do registo, os campos do dispositivo referem-se ao sistema no qual ocorreu a atividade do registo. |
Todos os campos comuns
Os campos que aparecem na tabela abaixo são comuns a todos os esquemas ASIM. Qualquer orientação especificada acima substitui as diretrizes gerais do campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais detalhes sobre cada campo, veja o artigo Campos Comuns do ASIM .
| Classe | Campos |
|---|---|
| Obrigatório |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendado |
-
EventResultDetails - EventoSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campos Adicionais - DvcDescription - DvcScopeId - DvcScope |
Campos específicos do Evento de Registo
Os campos listados na tabela abaixo são específicos dos eventos do Registo, mas são semelhantes aos campos noutros esquemas e seguem convenções de nomenclatura semelhantes.
Para obter mais informações, veja a documentação Estrutura do Registo no Windows.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| RegistryKey | Obrigatório | Cadeia | A chave de registo associada à operação, normalizada para convenções de nomenclatura de chave de raiz padrão. Para obter mais informações, veja Chaves De Raiz. As chaves de registo são semelhantes às pastas nos sistemas de ficheiros. Por exemplo: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Recomendado | Cadeia | O valor do registo associado à operação. Os valores do registo são semelhantes aos ficheiros nos sistemas de ficheiros. Por exemplo: Path |
| RegistryValueType | Recomendado | Cadeia | O tipo de valor de registo, normalizado para o formulário padrão. Para obter mais informações, veja Tipos de Valor. Por exemplo: Reg_Expand_Sz |
| RegistryValueData | Recomendado | Cadeia | Os dados armazenados no valor do registo. Exemplo: C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | Recomendado | Cadeia | Para operações que modificam o registo, a chave de registo original, normalizada com a nomenclatura de chave de raiz padrão. Para obter mais informações, veja Chaves De Raiz. Nota: se a operação tiver alterado outros campos, como o valor, mas a chave permanecer igual, o RegistryPreviousKey terá o mesmo valor que RegistryKey. Exemplo: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | Recomendado | Cadeia | Para operações que modificam o registo, o tipo de valor original, normalizado para o formulário padrão. Para obter mais informações, veja Tipos de Valor. Se o tipo não tiver sido alterado, este campo tem o mesmo valor que o campo RegistryValueType . Exemplo: Path |
| RegistryPreviousValueType | Recomendado | Cadeia | Para operações que modificam o registo, o tipo de valor original. Se o tipo não tiver sido alterado, este campo terá o mesmo valor que o campo RegistryValueType , normalizado para o formulário padrão. Para obter mais informações, veja Tipos de valores. Exemplo: Reg_Expand_Sz |
| RegistryPreviousValueData | Recomendado | Cadeia | Os dados de registo originais, para operações que modificam o registo. Exemplo: C:\Windows\system32;C:\Windows; |
| Utilizador | Alias | Alias para o campo ActorUsername . Exemplo: CONTOSO\ dadmin |
|
| Processo | Alias | Alias para o campo ActingProcessName . Exemplo: C:\Windows\System32\rundll32.exe |
|
| ActorUsername | Obrigatório | Nome de utilizador (Cadeia) | O nome de utilizador do utilizador que iniciou o evento. Exemplo: CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | Condicional | Enumerado | Especifica o tipo do nome de utilizador armazenado no campo ActorUsername . Para obter mais informações, veja A entidade Utilizador. Exemplo: Windows |
| ActorUserId | Recomendado | Cadeia | Um ID exclusivo do Ator. O ID específico depende do sistema que está a gerar o evento. Para obter mais informações, veja A entidade Utilizador. Exemplo: S-1-5-18 |
| ActorScope | Opcional | Cadeia | O âmbito, como Microsoft Entra inquilino, no qual ActorUserId e ActorUsername estão definidos. ou mais informações e lista de valores permitidos, veja UserScope no artigo Descrição Geral do Esquema. |
| ActorUserIdType | Condicional | Enumerado | O tipo do ID armazenado no campo ActorUserId . Para obter mais informações, veja A entidade Utilizador. Exemplo: SID |
| ActorSessionId | Opcional | Cadeia | O ID exclusivo da sessão de início de sessão do Ator. Exemplo: 999Nota: o tipo é definido como cadeia para suportar vários sistemas, mas no Windows este valor tem de ser numérico. Se estiver a utilizar um computador Windows e a origem enviar um tipo diferente, certifique-se de que converte o valor. Por exemplo, se a origem enviar um valor hexadecimal, converta-o num valor decimal. |
| ActingProcessName | Opcional | Cadeia | O nome de ficheiro do ficheiro de imagem do processo de representação. Normalmente, este nome é considerado o nome do processo. Exemplo: C:\Windows\explorer.exe |
| ActingProcessId | Obrigatório | Cadeia | O ID do processo (PID) do processo de ação. Exemplo: 48610176 Nota: o tipo é definido como cadeia para suportar sistemas variados, mas no Windows e Linux este valor tem de ser numérico. Se estiver a utilizar um computador Windows ou Linux e tiver utilizado um tipo diferente, certifique-se de que converte os valores. Por exemplo, se utilizou um valor hexadecimal, converta-o num valor decimal. |
| ActingProcessGuid | Opcional | GUID (Cadeia) | Um identificador exclusivo gerado (GUID) do processo de ação. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Opcional | Cadeia | O nome de ficheiro do ficheiro de imagem do processo principal. Normalmente, este valor é considerado o nome do processo. Exemplo: C:\Windows\explorer.exe |
| ParentProcessId | Obrigatório | Cadeia | O ID do processo (PID) do processo principal. Exemplo: 48610176 |
| ParentProcessGuid | Opcional | Cadeia | Um identificador exclusivo gerado (GUID) do processo principal. Exemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Campos de inspeção
Os seguintes campos são utilizados para representar essa inspeção realizada por um sistema de segurança como um sistema EDR.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| RuleName | Opcional | Cadeia | O nome ou ID da regra associado aos resultados da inspeção. |
| RuleNumber | Opcional | Número inteiro | O número da regra associada aos resultados da inspeção. |
| Regra | Condicional | Cadeia | O valor de kRuleName ou o valor de RuleNumber. Se o valor de RuleNumber for utilizado, o tipo deve ser convertido em cadeia. |
| ThreatId | Opcional | Cadeia | O ID da ameaça ou software maligno identificado na atividade do ficheiro. |
| ThreatName | Opcional | Cadeia | O nome da ameaça ou software maligno identificado na atividade do ficheiro. Exemplo: EICAR Test File |
| ThreatCategory | Opcional | Cadeia | A categoria da ameaça ou software maligno identificado na atividade do ficheiro. Exemplo: Trojan |
| ThreatRiskLevel | Opcional | RiskLevel (Número Inteiro) | O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. Nota: o valor pode ser fornecido no registo de origem com uma escala diferente, que deve ser normalizada para esta escala. O valor original deve ser armazenado em ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Opcional | Cadeia | O nível de risco, conforme comunicado pelo dispositivo de relatório. |
| ThreatField | Opcional | Cadeia | O campo para o qual foi identificada uma ameaça. |
| ThreatConfidence | Opcional | ConfidenceLevel (Número Inteiro) | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatOriginalConfidence | Opcional | Cadeia | O nível de confiança original da ameaça identificado, conforme comunicado pelo dispositivo de relatório. |
| ThreatIsActive | Opcional | Booleano | Verdadeiro se a ameaça identificada for considerada uma ameaça ativa. |
| ThreatFirstReportedTime | Opcional | datetime | A primeira vez que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatLastReportedTime | Opcional | datetime | A última vez que o endereço IP ou domínio foi identificado como uma ameaça. |
Chaves de raiz
Diferentes origens representam prefixos de chave de registo com representações diferentes. Para os campos RegistryKey e RegistryPreviousKey , utilize os seguintes prefixos normalizados:
| Prefixo de chave normalizado | Outras representações comuns |
|---|---|
| HKEY_LOCAL_MACHINE |
HKLM, \REGISTRY\MACHINE |
| HKEY_USERS |
HKU, \REGISTRY\USER |
Tipos de valor
Diferentes origens representam tipos de valor de registo com representações diferentes. Para os campos RegistryValueType e RegistryPreviousValueType , utilize os seguintes tipos normalizados:
| Prefixo de chave normalizado | Outras representações comuns |
|---|---|
| Reg_None |
None, %%1872 |
| Reg_Sz |
String, %%1873 |
| Reg_Expand_Sz |
ExpandString, %%1874 |
| Reg_Binary |
Binary, %%1875 |
| Reg_DWord |
Dword, %%1876 |
| Reg_Multi_Sz |
MultiString, %%1879 |
| Reg_QWord |
Qword, %%1883 |
Atualizações de esquema
Estas são as alterações na versão 0.1.1 do esquema:
- Adicionado o campo
EventSchema.
Estas são as alterações na versão 0.1.2 do esquema:
- Foram adicionados os campos
ActorScope,DvcScopeIdeDvcScope.
Estas são as alterações na versão 0.1.3 do esquema:
- Campos de inspeção adicionados.
Passos seguintes
Para mais informações, consulte:
- Normalização no Microsoft Sentinel
- Microsoft Sentinel referência do esquema de normalização de autenticação
- Microsoft Sentinel referência do esquema de normalização DNS
- Microsoft Sentinel referência do esquema de normalização de eventos de ficheiros
- Microsoft Sentinel referência do esquema de normalização de rede