Asim-registrets schemareferens för händelsenormalisering (offentlig förhandsversion)
Schemat för registerhändelse används för att beskriva Windows-aktiviteten för att skapa, ändra eller ta bort Windows Registry-entiteter.
Registerhändelser är specifika för Windows-system, men rapporteras av olika system som övervakar Windows, till exempel system för Identifiering och åtgärd på slutpunkt (slutpunktsidentifiering och svar), Sysmon eller Själva Windows.
Mer information om normalisering i Microsoft Sentinel finns i Normalisering och ASIM (Advanced Security Information Model).
Viktigt!
Schemat för normalisering av registerhändelser finns för närvarande i FÖRHANDSVERSION. Den här funktionen tillhandahålls utan ett serviceavtal och rekommenderas inte för produktionsarbetsbelastningar.
Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Tolkar
Om du vill använda den enande parsern som förenar alla inbyggda parsers och se till att analysen körs över alla konfigurerade källor använder du imRegistry som tabellnamn i frågan.
I listan över processhändelseparsers tillhandahåller Microsoft Sentinel en out-of-the-box-lista med ASIM-parsare
Distribuera de enande och källspecifika parsarna från Microsoft Sentinel GitHub-lagringsplatsen.
Mer information finns i ASIM-parsare och Använda ASIM-parsare.
Lägg till dina egna normaliserade parsers
När du implementerar anpassade parsers för registerhändelseinformationsmodellen namnger du dina KQL-funktioner med hjälp av följande syntax: imRegistry<vendor><Product>.
Lägg till KQL-funktionerna i de imRegistry enande parsarna för att säkerställa att allt innehåll som använder registerhändelsemodellen även använder den nya parsern.
Normaliserat innehåll
Microsoft Sentinel tillhandahåller frågan Persisting Via IFEO Registry Key hunting ( Spara via IFEO-registernyckel ). Den här frågan fungerar på alla registeraktivitetsdata som normaliseras med hjälp av Advanced Security Information Model.
Mer information finns i Hunt for threats with Microsoft Sentinel (Jaga efter hot med Microsoft Sentinel).
Schemainformation
Registerhändelseinformationsmodellen är anpassad till OSSEM Registry-entitetsschemat.
Vanliga ASIM-fält
Viktigt!
Fält som är gemensamma för alla scheman beskrivs i detalj i artikeln vanliga ASIM-fält .
Vanliga fält med specifika riktlinjer
I följande lista nämns fält som har specifika riktlinjer för processaktivitetshändelser:
| Fält | Klass | Typ | Description |
|---|---|---|---|
| Eventtype | Obligatorisk | Enumerated | Beskriver den åtgärd som rapporterats av posten. För registerposter finns följande värden som stöds: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Obligatorisk | String | Versionen av schemat. Den version av schemat som dokumenteras här är 0.1.2 |
| EventSchema | Valfri | String | Namnet på schemat som dokumenteras här är RegistryEvent. |
| Dvc-fält | För händelser med registeraktivitet refererar enhetsfälten till systemet där registeraktiviteten inträffade. |
Viktigt!
Fältet EventSchema är för närvarande valfritt men blir obligatoriskt den 1 september 2022.
Alla vanliga fält
Fält som visas i tabellen nedan är gemensamma för alla ASIM-scheman. Alla riktlinjer som anges ovan åsidosätter de allmänna riktlinjerna för fältet. Ett fält kan till exempel vara valfritt i allmänhet, men obligatoriskt för ett specifikt schema. Mer information om varje fält finns i artikeln vanliga ASIM-fält .
| Klass | Fält |
|---|---|
| Obligatorisk | - EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Rekommenderat | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valfri | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Specifika fält för registerhändelse
Fälten som anges i tabellen nedan är specifika för Registerhändelser, men liknar fält i andra scheman och följer liknande namngivningskonventioner.
Mer information finns i Registrets struktur i Windows-dokumentationen.
| Fält | Klass | Typ | Description |
|---|---|---|---|
| RegistryKey | Obligatorisk | String | Registernyckeln som är associerad med åtgärden, normaliserad till namngivningskonventioner för standardrotnycklar. Mer information finns i Rotnycklar. Registernycklar liknar mappar i filsystem. Exempelvis: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Rekommenderat | String | Registervärdet som är associerat med åtgärden. Registervärden liknar filer i filsystem. Exempelvis: Path |
| RegistryValueType | Rekommenderat | String | Typ av registervärde, normaliserat till standardformulär. Mer information finns i Värdetyper. Exempelvis: Reg_Expand_Sz |
| RegistryValueData | Rekommenderat | String | Data som lagras i registervärdet. Exempel: C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | Rekommenderat | String | För åtgärder som ändrar registret normaliseras den ursprungliga registernyckeln till standardnamngivning av rotnycklar. Mer information finns i Rotnycklar. Obs! Om åtgärden ändrade andra fält, till exempel värdet, men nyckeln förblir densamma, har RegistryPreviousKey samma värde som RegistryKey. Exempel: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | Rekommenderat | String | För åtgärder som ändrar registret normaliseras den ursprungliga värdetypen till standardformuläret. Mer information finns i Värdetyper. Om typen inte har ändrats har det här fältet samma värde som fältet RegistryValueType . Exempel: Path |
| RegistryPreviousValueType | Rekommenderat | String | För åtgärder som ändrar registret, den ursprungliga värdetypen. Om typen inte ändrades har det här fältet samma värde som fältet RegistryValueType , som normaliseras till standardformuläret. Mer information finns i Värdetyper. Exempel: Reg_Expand_Sz |
| RegistryPreviousValueData | Rekommenderat | String | De ursprungliga registerdata för åtgärder som ändrar registret. Exempel: C:\Windows\system32;C:\Windows; |
| Användare | Alias | Alias till fältet ActorUsername . Exempel: CONTOSO\ dadmin |
|
| Bearbeta | Alias | Alias till fältet ActingProcessName . Exempel: C:\Windows\System32\rundll32.exe |
|
| ActorUsername | Obligatorisk | String | Användarnamnet för den användare som initierade händelsen. Exempel: CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | Villkorsstyrd | Enumerated | Anger typen av användarnamn som lagras i fältet ActorUsername . Mer information finns i Användarentiteten. Exempel: Windows |
| ActorUserId | Rekommenderat | String | Ett unikt ID för aktören. Det specifika ID:t beror på vilket system som genererar händelsen. Mer information finns i Användarentiteten. Exempel: S-1-5-18 |
| ActorScope | Valfri | String | Omfånget, till exempel Microsoft Entra-klientorganisationen, där ActorUserId och ActorUsername definieras. eller mer information och lista över tillåtna värden, se UserScope i artikeln Schemaöversikt. |
| ActorUserIdType | Rekommenderat | String | Typen av ID som lagras i fältet ActorUserId . Mer information finns i Användarentiteten. Exempel: SID |
| ActorSessionId | Villkorsstyrd | String | Det unika ID:t för inloggningssessionen för aktören. Exempel: 999Obs! Typen definieras som sträng för att stödja olika system, men i Windows måste det här värdet vara numeriskt. Om du använder en Windows-dator och källan skickar en annan typ ska du konvertera värdet. Om källan till exempel skickar ett hexadecimalt värde konverterar du det till ett decimalvärde. |
| ActingProcessName | Valfri | String | Filnamnet på den verkande processbildfilen. Det här namnet anses vanligtvis vara processnamnet. Exempel: C:\Windows\explorer.exe |
| ActingProcessId | Obligatorisk | String | Process-ID (PID) för den verkande processen. Exempel: 48610176 Obs! Typen definieras som sträng för att stödja olika system, men i Windows och Linux måste det här värdet vara numeriskt. Om du använder en Windows- eller Linux-dator och använder en annan typ ska du konvertera värdena. Om du till exempel använde ett hexadecimalt värde konverterar du det till ett decimalvärde. |
| ActingProcessGuid | Valfri | String | En genererad unik identifierare (GUID) för den verkande processen. Exempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Valfri | String | Filnamnet för den överordnade processbildfilen. Det här värdet anses vanligtvis vara processnamnet. Exempel: C:\Windows\explorer.exe |
| ParentProcessId | Obligatorisk | String | Process-ID (PID) för den överordnade processen. Exempel: 48610176 |
| ParentProcessGuid | Valfri | String | En genererad unik identifierare (GUID) för den överordnade processen. Exempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Rotnycklar
Olika källor representerar registernyckelprefix med olika representationer. Använd följande normaliserade prefix för fälten RegistryKey och RegistryPreviousKey :
| Normaliserat nyckelprefix | Andra vanliga representationer |
|---|---|
| HKEY_LOCAL_MACHINE | HKLM, \REGISTRY\MACHINE |
| HKEY_USERS | HKU, \REGISTRY\USER |
Värdetyper
Olika källor representerar registervärdetyper med olika representationer. Använd följande normaliserade typer för fälten RegistryValueType och RegistryPreviousValueType :
| Normaliserat nyckelprefix | Andra vanliga representationer |
|---|---|
| Reg_None | None, %%1872 |
| Reg_sz | String, %%1873 |
| Reg_expand_sz | ExpandString, %%1874 |
| Reg_binary | Binary, %%1875 |
| Reg_dword | Dword, %%1876 |
| Reg_multi_sz | MultiString, %%1879 |
| Reg_QWord | Qword, %%1883 |
Schemauppdateringar
Det här är ändringarna i version 0.1.1 av schemat:
- Fältet har lagts till
EventSchema.
Det här är ändringarna i version 0.1.2 av schemat:
- Fälten ,
DvcScopeIdochDvcScope.. har lagtsActorScopetill.
Nästa steg
Mer information finns i:
- Normalisering i Microsoft Sentinel
- Schemareferens för Microsoft Sentinel-autentiseringsnormalisering (offentlig förhandsversion)
- Microsoft Sentinel DNS-normaliseringsschemareferens
- Schemareferens för Microsoft Sentinel-filhändelsenormalisering (offentlig förhandsversion)
- Schemareferens för Microsoft Sentinel-nätverksnormalisering