Aracılığıyla paylaş

Gelişmiş Güvenlik Bilgileri Modeli (ASIM) Kayıt Defteri Olayı normalleştirme şema başvurusu (Genel önizleme)

  • Makale

Kayıt Defteri Olay şeması, Windows Kayıt Defteri varlıklarını oluşturma, değiştirme veya silme işleminin Windows etkinliğini açıklamak için kullanılır.

Kayıt defteri olayları Windows sistemlerine özeldir, ancak EDR (Bitiş Noktası Algılama ve Yanıt) sistemleri, Sysmon veya Windows gibi Windows'un kendisini izleyen farklı sistemler tarafından bildirilir.

Microsoft Sentinel'de normalleştirme hakkında daha fazla bilgi için bkz . Normalleştirme ve Gelişmiş Güvenlik Bilgileri Modeli (ASIM).

Önemli

Kayıt Defteri Olayı normalleştirme şeması şu anda ÖNİzLEME aşamasındadır. Bu özellik bir hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yükleri için önerilmez.

Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Çözümleyicileri

Tüm yerleşik ayrıştırıcıları birleştiren birleştirici ayrıştırıcıyı kullanmak ve çözümlemenizin yapılandırılan tüm kaynaklarda çalıştığından emin olmak için sorgunuzda tablo adı olarak imRegistry'yi kullanın.

İşlem Olayı ayrıştırıcıları listesi için Microsoft Sentinel kullanıma hazır sağlar ASIM ayrıştırıcıları listesine bakın

Microsoft Sentinel GitHub deposundan birleştirmeye ve kaynağa özgü ayrıştırıcıları dağıtın.

Daha fazla bilgi için bkz . ASIM ayrıştırıcıları ve ASIM ayrıştırıcılarını kullanma.

Kendi normalleştirilmiş ayrıştırıcılarınızı ekleme

Kayıt Defteri Olay bilgileri modeli için özel ayrıştırıcılar uygularken aşağıdaki söz dizimini kullanarak KQL işlevlerinizi adlandırın: imRegistry<vendor><Product>.

Kayıt Defteri Olay modelini kullanan tüm içeriklerin imRegistry de yeni ayrıştırıcınızı kullandığından emin olmak için KQL işlevlerinizi birleştirici ayrıştırıcılara ekleyin.

Normalleştirilmiş içerik

Microsoft Sentinel, IFEO Kayıt Defteri Anahtarı avcılığı yoluyla kalıcılık sorgusunu sağlar. Bu sorgu, Gelişmiş Güvenlik Bilgileri Modeli kullanılarak normalleştirilmiş tüm kayıt defteri etkinlik verilerinde çalışır.

Daha fazla bilgi için bkz . Microsoft Sentinel ile tehditleri avlama.

Şema ayrıntıları

Kayıt Defteri Olay bilgileri modeli, OSSEM Kayıt Defteri varlık şemasıyla hizalanır.

Ortak ASIM alanları

Önemli

Tüm şemalarda ortak olan alanlar ASIM Ortak Alanları makalesinde ayrıntılı olarak açıklanmıştır.

Belirli yönergelere sahip ortak alanlar

Aşağıdaki listede, işlem etkinliği olayları için belirli yönergelere sahip alanlardan bahsediliyor:

Alan Sınıf Türü Tanım
Eventtype Zorunlu Enumerated Kayıt tarafından bildirilen işlemi açıklar.

Kayıt defteri kayıtları için desteklenen değerler şunlardır:
- RegistryKeyCreated
- RegistryKeyDeleted
- RegistryKeyRenamed
- RegistryValueDeleted
- RegistryValueSet
EventSchemaVersion Zorunlu String Şema sürümü. Şemanın burada belgelenen sürümü 0.1.2
EventSchema İsteğe bağlı String Burada belgelenen şemanın adıdır RegistryEvent.
Dvc alanları Kayıt defteri etkinliği olayları için cihaz alanları, kayıt defteri etkinliğinin gerçekleştiği sisteme başvurur.

Önemli

Bu EventSchema alan şu anda isteğe bağlıdır ancak 1 Eylül 2022'de Zorunlu olacaktır.

Tüm ortak alanlar

Aşağıdaki tabloda görünen alanlar tüm ASIM şemalarında ortaktır. Yukarıda belirtilen tüm yönergeler, alanın genel yönergelerini geçersiz kılar. Örneğin, bir alan genel olarak isteğe bağlı olabilir, ancak belirli bir şema için zorunlu olabilir. Her alan hakkında daha fazla ayrıntı için ASIM Ortak Alanları makalesine bakın.

Sınıfı Alanlar
Zorunlu - EventCount
- EventStartTime
- EventEndTime
- Eventtype
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Önerilir - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
İsteğe bağlı - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- EkAlanlar
- DvcDescription
- DvcScopeId
- DvcScope

Kayıt Defteri Olayına özgü alanlar

Aşağıdaki tabloda listelenen alanlar Kayıt Defteri olaylarına özeldir, ancak diğer şemalardaki alanlara benzer ve benzer adlandırma kurallarına uyar.

Daha fazla bilgi için Windows'da Kayıt Defterinin Yapısı belgelerine bakın.

Alan Sınıf Türü Tanım
RegistryKey Zorunlu String İşlemle ilişkili kayıt defteri anahtarı, standart kök anahtar adlandırma kurallarına göre normalleştirilir. Daha fazla bilgi için bkz . Kök Anahtarlar.

Kayıt defteri anahtarları, dosya sistemlerindeki klasörlere benzer.

Örnek: HKEY_LOCAL_MACHINE\SOFTWARE\MTG
RegistryValue Önerilir String İşlemle ilişkili kayıt defteri değeri. Kayıt defteri değerleri, dosya sistemlerindeki dosyalara benzer.

Örnek: Path
RegistryValueType Önerilir String Standart forma normalleştirilmiş kayıt defteri değeri türü. Daha fazla bilgi için bkz . Değer Türleri.

Örnek: Reg_Expand_Sz
RegistryValueData Önerilir String Kayıt defteri değerinde depolanan veriler.

Örnek: C:\Windows\system32;C:\Windows;
RegistryPreviousKey Önerilir String Kayıt defterini değiştiren işlemler için, özgün kayıt defteri anahtarı standart kök anahtar adlandırma olarak normalleştirilmiştir. Daha fazla bilgi için bkz . Kök Anahtarlar.

Not: İşlem değer gibi diğer alanları değiştirdiyse ancak anahtar aynı kalırsa, RegistryPreviousKey değeri RegistryKey ile aynı değere sahip olur.

Örnek: HKEY_LOCAL_MACHINE\SOFTWARE\MTG
RegistryPreviousValue Önerilir String Kayıt defterini değiştiren işlemler için, standart forma normalleştirilmiş özgün değer türü. Daha fazla bilgi için bkz . Değer Türleri.

Tür değiştirilmediyse, bu alan RegistryValueType alanıyla aynı değere sahiptir.

Örnek: Path
RegistryPreviousValueType Önerilir String Kayıt defterini değiştiren işlemler için özgün değer türü.

Tür değiştirilmediyse, bu alan standart forma normalleştirilmiş RegistryValueType alanıyla aynı değere sahip olur. Daha fazla bilgi için bkz . Değer türleri.

Örnek: Reg_Expand_Sz
RegistryPreviousValueData Önerilir String Kayıt defterini değiştiren işlemler için özgün kayıt defteri verileri.

Örnek: C:\Windows\system32;C:\Windows;
Kullanıcı Diğer ad ActorUsername alanının diğer adı.

Örnek: CONTOSO\ dadmin
Işlem Diğer ad ActingProcessName alanının diğer adı.

Örnek: C:\Windows\System32\rundll32.exe
ActorUsername Zorunlu String Olayı başlatan kullanıcının kullanıcı adı.

Örnek: CONTOSO\WIN-GG82ULGC9GO$
ActorUsernameType Koşullu Enumerated ActorUsername alanında depolanan kullanıcı adının türünü belirtir. Daha fazla bilgi için bkz . Kullanıcı varlığı.

Örnek: Windows
ActorUserId Önerilir String Aktörün benzersiz kimliği. Belirli kimlik, olayı oluşturan sisteme bağlıdır. Daha fazla bilgi için bkz . Kullanıcı varlığı.

Örnek: S-1-5-18
ActorScope İsteğe bağlı String ActorUserId ve ActorUsername'in tanımlandığı Microsoft Entra kiracısı gibi kapsam. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScope bölümüne bakın.
ActorUserIdType Önerilir String ActorUserId alanında depolanan kimliğin türü. Daha fazla bilgi için bkz . Kullanıcı varlığı.

Örnek: SID
ActorSessionId Koşullu String Aktör oturum açma oturumunun benzersiz kimliği.

Örnek: 999

Not: Tür, çeşitli sistemleri desteklemek için dize olarak tanımlanır, ancak Windows'ta bu değer sayısal olmalıdır. Windows makinesi kullanıyorsanız ve kaynak farklı bir tür gönderiyorsa, değeri dönüştürdüğünüzden emin olun. Örneğin, kaynak onaltılık bir değer gönderiyorsa, bunu ondalık değere dönüştürün.
ActingProcessName İsteğe bağlı String İşlem görüntüsü dosyasının dosya adı. Bu ad genellikle işlem adı olarak kabul edilir.

Örnek: C:\Windows\explorer.exe
ActingProcessId Zorunlu String Eylem işleminin işlem kimliği (PID).

Örnek: 48610176

Not: Tür, farklı sistemleri desteklemek için dize olarak tanımlanır, ancak Windows ve Linux'ta bu değer sayısal olmalıdır.

Windows veya Linux makinesi kullanıyorsanız ve farklı bir tür kullandıysanız, değerleri dönüştürdüğünüzden emin olun. Örneğin, onaltılık bir değer kullandıysanız, bunu ondalık değere dönüştürün.
ActingProcessGuid İsteğe bağlı String Eylem işleminin oluşturulan benzersiz tanımlayıcısı (GUID).

Örnek: EF3BD0BD-2B74-60C5-AF5C-010000001E00
ParentProcessName İsteğe bağlı String Üst işlem görüntü dosyasının dosya adı. Bu değer genellikle işlem adı olarak kabul edilir.

Örnek: C:\Windows\explorer.exe
ParentProcessId Zorunlu String Üst işlemin işlem kimliği (PID).

Örnek: 48610176
ParentProcessGuid İsteğe bağlı String Üst işlemin oluşturulan benzersiz tanımlayıcısı (GUID).

Örnek: EF3BD0BD-2B74-60C5-AF5C-010000001E00

Kök anahtarlar

Farklı kaynaklar farklı gösterimler kullanarak kayıt defteri anahtarı ön eklerini temsil eder. RegistryKey ve RegistryPreviousKey alanları için aşağıdaki normalleştirilmiş ön ekleri kullanın:

Normalleştirilmiş anahtar ön eki Diğer ortak gösterimler
HKEY_LOCAL_MACHINE HKLM, \REGISTRY\MACHINE
HKEY_USERS HKU, \REGISTRY\USER

Değer türleri

Farklı kaynaklar farklı gösterimler kullanarak kayıt defteri değer türlerini temsil eder. RegistryValueType ve RegistryPreviousValueType alanları için aşağıdaki normalleştirilmiş türleri kullanın:

Normalleştirilmiş anahtar ön eki Diğer ortak gösterimler
Reg_None None, %%1872
Reg_sz String, %%1873
Reg_expand_sz ExpandString, %%1874
Reg_bınary Binary, %%1875
Reg_dword Dword, %%1876
Reg_multı_sz MultiString, %%1879
Reg_QWord Qword, %%1883

Şema güncelleştirmeleri

Şemanın 0.1.1 sürümündeki değişiklikler şunlardır:

  • alanını EventSchemaekledik.

Şemanın 0.1.2 sürümündeki değişiklikler şunlardır:

  • , DvcScopeIdve DvcScopealanlarını ActorScopeekledik.

Sonraki adımlar

Daha fazla bilgi için bkz.