Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Схема событий реестра используется для описания действий Windows по созданию, изменению или удалению сущностей реестра Windows.
События реестра относятся к системам Windows, но сообщаются различными системами, которые отслеживают системы Windows, такие как системы EDR (обнаружение конечных точек и реагирование), системная система или сама Windows.
Дополнительные сведения о нормализации в Microsoft Sentinel см. в статье Нормализация и расширенная информационная модель безопасности (ASIM).
Средства синтаксического анализа
Чтобы использовать унифицированный средство синтаксического анализа, унифицирующее все встроенные средства синтаксического анализа, и убедитесь, что анализ выполняется во всех настроенных источниках, используйте imRegistry в качестве имени таблицы в запросе.
Список средств синтаксического анализа событий процесса Microsoft Sentinel содержит список средств синтаксического анализа ASIM.
Разверните средства синтаксического анализа, относящиеся к источнику, из репозитория Microsoft Sentinel GitHub.
Дополнительные сведения см. в разделе синтаксического анализа ASIM и использование синтаксического анализа ASIM.
Добавление собственных нормализованных средств синтаксического анализа
При реализации пользовательских средств синтаксического анализа для модели сведений о событиях реестра присвойте функции KQL следующим образом: imRegistry<vendor><Product>
Добавьте функции KQL в imRegistry объединяющие средства синтаксического анализа, чтобы убедиться, что любое содержимое, использующее модель событий реестра, также использует новый средство синтаксического анализа.
Параметры фильтрации средств синтаксического анализа
Средства синтаксического анализа событий реестра поддерживают фильтрацию параметров. Хотя эти параметры являются необязательными, они могут повысить производительность запросов.
Доступны следующие параметры фильтрации:
| Имя | Тип | Description |
|---|---|---|
| starttime | datetime | Отфильтруйте только события реестра, которые произошли в это время или после этого. Этот параметр фильтрует TimeGenerated поле, являющееся стандартным конструктором во время события, независимо от сопоставления конкретных анализаторов полей EventStartTime и EventEndTime. |
| endtime | datetime | Фильтруйте только события реестра, которые произошли или до этого времени. Этот параметр фильтрует TimeGenerated поле, являющееся стандартным конструктором во время события, независимо от сопоставления конкретных анализаторов полей EventStartTime и EventEndTime. |
| eventtype_in | dynamic | Фильтруйте только события реестра, в которых тип события является одним из перечисленных значений, включая: RegistryKeyCreated, , RegistryKeyDeletedRegistryKeyRenamed, RegistryValueDeletedили RegistryValueSet. |
| actorusername_has_any | dynamic | Фильтруйте только события реестра, в которых имя пользователя субъекта имеет любое из перечисленных значений. |
| registrykey_has_any | dynamic | Фильтруйте только события реестра, в которых раздел реестра имеет любое из перечисленных значений. |
| registryvalue_has_any | dynamic | Фильтруйте только события реестра, в которых значение реестра имеет любое из перечисленных значений. |
| registrydata_has_any | dynamic | Фильтруйте только события реестра, в которых данные реестра имеют любое из перечисленных значений. |
| dvchostname_has_any | dynamic | Фильтруйте только события реестра, в которых имя узла устройства имеет любое из перечисленных значений. |
Например, чтобы отфильтровать только события создания раздела реестра с последнего дня, используйте следующую команду:
_Im_RegistryEvent (eventtype_in=dynamic(['RegistryKeyCreated']), starttime = ago(1d), endtime=now())
Нормализованное содержимое
Microsoft Sentinel предоставляет запрос на поиск по разделу реестра IFEO . Этот запрос работает с любыми данными действий реестра, нормализованным с помощью расширенной информационной модели безопасности.
Дополнительные сведения см. в разделе "Поиск угроз" с помощью Microsoft Sentinel.
Сведения о схеме
Модель сведений о событиях реестра соответствует схеме сущности реестра OSSEM.
Общие поля ASIM
Это важно
Поля, общие для всех схем, подробно описаны в статье Общие поля ASIM.
Общие поля с конкретными рекомендациями
В следующем списке упоминаются поля, имеющие определенные рекомендации по обработке событий действий.
| Поле | Class | Тип | Description |
|---|---|---|---|
| EventType | Mandatory | Перечислено | Описывает операцию, о которой сообщает эта запись. Для записей реестра поддерживаются следующие значения: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Mandatory | SchemaVersion (String) | Номер версии схемы. Здесь приведена версия схемы 0.1.3 |
| EventSchema | Mandatory | String | Имя описанной здесь схемы — RegistryEvent. |
| Поля Dvc | Для событий действий реестра поля устройства см. в системе, в которой произошло действие реестра. |
Все общие поля
Поля, представленные в таблице ниже, являются общими для всех схем ASIM. Все указанные выше рекомендации переопределяют общие рекомендации для поля. Например, поле может быть необязательным в целом, но обязательным для конкретной схемы. Дополнительные сведения о каждом поле см. в статье Общие поля ASIM.
Поля событий реестра
Поля, перечисленные в таблице ниже, относятся к событиям реестра, но похожи на поля в других схемах и соответствуют аналогичным соглашениям об именовании.
Дополнительные сведения см. в разделе "Структура реестра" в документации по Windows.
| Поле | Class | Тип | Description |
|---|---|---|---|
| Registrykey | Mandatory | String | Раздел реестра, связанный с операцией, нормализован до стандартных соглашений об именовании корневых ключей. Дополнительные сведения см. в разделе "Корневые ключи". Разделы реестра похожи на папки в файловой системе. Например: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Recommended | String | Значение реестра, связанное с операцией. Значения реестра похожи на файлы в файловой системе. Например: Path |
| RegistryValueType | Recommended | String | Тип значения реестра, нормализованный до стандартной формы. Дополнительные сведения см. в разделе "Типы значений". Например: Reg_Expand_Sz |
| RegistryValueData | Recommended | String | Данные, хранящиеся в значении реестра. Пример: C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | Recommended | String | Для операций, изменяющих реестр, исходный раздел реестра нормализован до стандартного именования корневых ключей. Дополнительные сведения см. в разделе "Корневые ключи". Примечание. Если операция изменила другие поля, например значение, но ключ остается таким же, реестрPreviousKey будет иметь то же значение , что и RegistryKey. Пример: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | Recommended | String | Для операций, изменяющих реестр, исходный тип значения нормализован до стандартной формы. Дополнительные сведения см. в разделе "Типы значений". Если тип не был изменен, это поле имеет то же значение, что и поле RegistryValueType . Пример: Path |
| RegistryPreviousValueType | Recommended | String | Для операций, изменяющих реестр, исходный тип значения. Если тип не был изменен, это поле будет иметь то же значение, что и поле RegistryValueType , нормализованное для стандартной формы. Дополнительные сведения см. в разделе "Типы значений". Пример: Reg_Expand_Sz |
| RegistryPreviousValueData | Recommended | String | Исходные данные реестра для операций, которые изменяют реестр. Пример: C:\Windows\system32;C:\Windows; |
| User | Псевдоним | Псевдоним в поле "СубъектUsername ". Пример: CONTOSO\ dadmin |
|
| Процесс | Псевдоним | Псевдоним в поле ActingProcessName . Пример: C:\Windows\System32\rundll32.exe |
|
| Имя пользователя актёра | Mandatory | Имя пользователя (строка) | Имя пользователя, инициирующего событие. Пример: CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | Conditional | Перечислено | Определяет тип имени пользователя, которое хранится в поле ActorUsername. Дополнительные сведения см . в разделе "Сущность пользователя". Пример: Windows |
| ActorUserId | Recommended | String | Уникальный идентификатор субъекта. Конкретный идентификатор зависит от системы, создающей событие. Дополнительные сведения см . в разделе "Сущность пользователя". Пример: S-1-5-18 |
| ActorScope | Необязательно | String | Область, например клиент Microsoft Entra, в которой определены ActorUserId и ActorUsername . или дополнительные сведения и список разрешенных значений см. в разделе UserScope в статье "Обзор схемы". |
| ActorUserIdType | Conditional | Перечислено | Тип идентификатора, который хранится в поле ActorUserId. Дополнительные сведения см . в разделе "Сущность пользователя". Пример: SID |
| ActorSessionId | Необязательно | String | Уникальный идентификатор сеанса входа субъекта. Пример: 999Примечание. Тип определяется как строка для поддержки различных систем, но в Windows это значение должно быть числовым. Если вы используете компьютер Windows и источник отправляет другой тип, обязательно преобразуйте значение. Например, если источник отправляет шестнадцатеричное значение, преобразуйте его в десятичное значение. |
| ActingProcessName | Необязательно | String | Имя файла образа действующего процесса. Обычно это имя считается именем процесса. Пример: C:\Windows\explorer.exe |
| ActingProcessId | Mandatory | String | Идентификатор (PID) действующего процесса. Пример: 48610176 Примечание. Тип определяется как строка для поддержки различных систем, но в Windows и Linux это значение должно быть числовым. Если вы используете компьютер с Windows или Linux и применяете другой тип, обязательно преобразуйте эти значения. Например, если вы использовали шестнадцатеричное значение, преобразуйте его в десятичное. |
| ActingProcessGuid | Необязательно | GUID (строка) | Созданный уникальный идентификатор (GUID) действующего процесса. Пример: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Необязательно | String | Имя файла родительского образа процесса. Обычно это значение считается именем процесса. Пример: C:\Windows\explorer.exe |
| ParentProcessId | Mandatory | String | Идентификатор (PID) родительского процесса. Пример: 48610176 |
| ParentProcessGuid | Необязательно | String | Созданный уникальный идентификатор (GUID) действующего процесса. Пример: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Поля проверки
Следующие поля используются для обозначения инспекции, проведённой системой безопасности, такой как EDR-система.
| Поле | Class | Тип | Description |
|---|---|---|---|
| RuleName | Необязательно | String | Имя или идентификатор правила, связанные с результатами проверки. |
| RuleNumber | Необязательно | Целое число | Число правил, связанных с результатами проверки. |
| Правило | Conditional | String | Значение kRuleName или значение RuleNumber. Если используется значение RuleNumber , тип следует преобразовать в строку. |
| ThreatId | Необязательно | String | Идентификатор угрозы или вредоносных программ, определенных в действии файла. |
| ThreatName | Необязательно | String | Имя угрозы или вредоносных программ, определенных в действии файла. Пример: EICAR Test File |
| ThreatCategory | Необязательно | String | Категория угроз или вредоносных программ, определенных в действии файла. Пример: Trojan |
| ThreatRiskLevel | Необязательно | RiskLevel (целое число) | Уровень риска, связанный с идентифицированной угрозой. Уровень должен быть числом от 0 до 100. Примечание. Значение может быть указано в исходной записи с использованием другой шкалы, которая должна быть нормализована по этой шкале. Исходное значение должно храниться в ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel (ИсходныйУровень Риска) | Необязательно | String | Уровень риска, передаваемый устройством отчетности. |
| ThreatField (Поле угроз) | Необязательно | String | Поле, для которого была обнаружена угроза. |
| ThreatConfidence | Необязательно | Confidence Level (целое число) | Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100. |
| ThreatOriginalConfidence | Необязательно | String | Исходный уровень доверия для обнаруженной угрозы, указанный устройством, сообщившим о ней. |
| ThreatIsActive | Необязательно | Boolean | Значение true, если обнаруженная угроза считается активной. |
| ThreatFirstReportedTime | Необязательно | datetime | Время первого обнаружения угрозы для этого IP-адреса или домена. |
| ThreatLastReportedTime | Необязательно | datetime | Время последнего обнаружения угрозы для этого IP-адреса или домена. |
Корневые ключи
Различные источники представляют префиксы раздела реестра с использованием различных представлений. Для полей RegistryKey и RegistryPreviousKey используйте следующие нормализованные префиксы:
| Нормализованный префикс ключа | Другие распространенные представления |
|---|---|
| HKEY_LOCAL_MACHINE |
HKLM, \REGISTRY\MACHINE |
| HKEY_USERS |
HKU, \REGISTRY\USER |
Типы значений
Различные источники представляют типы значений реестра с использованием различных представлений. Для полей RegistryValueType и RegistryPreviousValueType используйте следующие нормализованные типы:
| Нормализованный префикс ключа | Другие распространенные представления |
|---|---|
| Reg_None |
None, %%1872 |
| Reg_Sz |
String, %%1873 |
| Reg_Expand_Sz |
ExpandString, %%1874 |
| Reg_Binary |
Binary, %%1875 |
| Reg_DWord |
Dword, %%1876 |
| Reg_Multi_Sz |
MultiString, %%1879 |
| Reg_QWord |
Qword, %%1883 |
Обновления схемы
Ниже приведены изменения в версии 0.1.1 схемы:
- Добавлено поле
EventSchema.
Это изменения в схеме версии 0.1.2:
- Добавлены поля
ActorScope,DvcScopeIdиDvcScope.
Это изменения в схеме версии 0.1.3:
- Добавлены поля для инспекции.
Дальнейшие шаги
Дополнительные сведения можно найти здесь