Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Kayıt Defteri Olay şeması, Windows Kayıt Defteri varlıklarını oluşturma, değiştirme veya silme işleminin Windows etkinliğini açıklamak için kullanılır.
Kayıt defteri olayları Windows sistemlerine özgüdür, ancak EDR (Bitiş Noktası Algılama ve Yanıt) sistemleri, Sysmon veya Windows gibi Windows'un kendisini izleyen farklı sistemler tarafından bildirilir.
Microsoft Sentinel normalleştirme hakkında daha fazla bilgi için bkz. Normalleştirme ve Gelişmiş Güvenlik Bilgi Modeli (ASIM).
Çözümleyicileri
Tüm yerleşik ayrıştırıcıları birleştiren birleştirici ayrıştırıcıyı kullanmak ve çözümlemenizin yapılandırılan tüm kaynaklarda çalıştığından emin olmak için sorgunuzda tablo adı olarak imRegistry kullanın.
İşlem Olayı ayrıştırıcıları listesi için Microsoft Sentinel kullanıma hazır sağlar ASIM ayrıştırıcıları listesine bakın
Microsoft Sentinel GitHub deposundanbirleştirmeye ve kaynağa özgü ayrıştırıcıları dağıtın.
Daha fazla bilgi için bkz. ASIM ayrıştırıcıları ve ASIM ayrıştırıcılarını kullanma.
Kendi normalleştirilmiş ayrıştırıcılarınızı ekleme
Kayıt Defteri Olayı bilgi modeli için özel ayrıştırıcılar uygularken aşağıdaki söz dizimini kullanarak KQL işlevlerinizi adlandırın: imRegistry<vendor><Product>.
Kayıt Defteri Olay modelini kullanan tüm içeriklerin imRegistry de yeni ayrıştırıcınızı kullandığından emin olmak için KQL işlevlerinizi birleştirici ayrıştırıcılara ekleyin.
Ayrıştırıcı parametrelerini filtreleme
Kayıt Defteri Olayı ayrıştırıcıları filtreleme parametrelerini destekler. Bu parametreler isteğe bağlı olsa da sorgu performansınızı artırabilir.
Aşağıdaki filtreleme parametreleri kullanılabilir:
| Name | Tür | Açıklama |
|---|---|---|
| Starttime | Datetime | Yalnızca şu anda veya sonrasında gerçekleşen kayıt defteri olaylarını filtreleyin. Bu parametre, EventStartTime ve EventEndTime alanlarının ayrıştırıcıya özgü eşlemesine bakılmaksızın, olay zamanı için standart belirleyici olan alana filtrelenir TimeGenerated . |
| Endtime | Datetime | Yalnızca şu anda veya öncesinde gerçekleşen kayıt defteri olaylarını filtreleyin. Bu parametre, EventStartTime ve EventEndTime alanlarının ayrıştırıcıya özgü eşlemesine bakılmaksızın, olay zamanı için standart belirleyici olan alana filtrelenir TimeGenerated . |
| eventtype_in | Dinamik | Yalnızca olay türünün listelenen değerlerden biri olduğu kayıt defteri olaylarını filtreleyin: RegistryKeyCreated, RegistryKeyDeleted, RegistryKeyRenamed, RegistryValueDeletedveya RegistryValueSet. |
| actorusername_has_any | Dinamik | Yalnızca aktör kullanıcı adının listelenen değerlerden herhangi birine sahip olduğu kayıt defteri olaylarını filtreleyin. |
| registrykey_has_any | Dinamik | Yalnızca kayıt defteri anahtarının listelenen değerlerden herhangi birine sahip olduğu kayıt defteri olaylarını filtreleyin. |
| registryvalue_has_any | Dinamik | Yalnızca kayıt defteri değerinin listelenen değerlerden herhangi birine sahip olduğu kayıt defteri olaylarını filtreleyin. |
| registrydata_has_any | Dinamik | Yalnızca kayıt defteri verilerinin listelenen değerlerden herhangi birine sahip olduğu kayıt defteri olaylarını filtreleyin. |
| dvchostname_has_any | Dinamik | Yalnızca cihaz ana bilgisayar adının listelenen değerlerden herhangi birine sahip olduğu kayıt defteri olaylarını filtreleyin. |
Örneğin, yalnızca son güne ait kayıt defteri anahtarı oluşturma olaylarını filtrelemek için şunu kullanın:
_Im_RegistryEvent (eventtype_in=dynamic(['RegistryKeyCreated']), starttime = ago(1d), endtime=now())
Normalleştirilmiş içerik
Microsoft Sentinel, IFEO Kayıt Defteri Anahtarı avcılığı aracılığıyla kalıcılık sorgusunu sağlar. Bu sorgu, Gelişmiş Güvenlik Bilgileri Modeli kullanılarak normalleştirilen tüm kayıt defteri etkinliği verilerinde çalışır.
Daha fazla bilgi için bkz. Microsoft Sentinel ile tehditleri avlama.
Şema ayrıntıları
Kayıt Defteri Olay bilgileri modeli , OSSEM Kayıt Defteri varlık şemasıyla hizalanır.
Ortak ASIM alanları
Önemli
Tüm şemalarda ortak olan alanlar ASIM Ortak Alanları makalesinde ayrıntılı olarak açıklanmıştır.
Belirli yönergelere sahip ortak alanlar
Aşağıdaki listede, işlem etkinliği olayları için belirli yönergelere sahip alanlardan bahsedmektedir:
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| EventType | Zorunlu | Numaralandırılmış | Kayıt tarafından bildirilen işlemi açıklar. Kayıt defteri kayıtları için desteklenen değerler şunlardır: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Zorunlu | SchemaVersion (Dize) | Şemanın sürümü. Şemanın burada belgelenen sürümü 0.1.3 |
| EventSchema | Zorunlu | Dize | Burada belgelenen şemanın adıdır RegistryEvent. |
| Dvc alanları | Kayıt defteri etkinliği olayları için cihaz alanları, kayıt defteri etkinliğinin gerçekleştiği sisteme başvurur. |
Tüm ortak alanlar
Aşağıdaki tabloda görünen alanlar tüm ASIM şemalarında ortaktır. Yukarıda belirtilen tüm yönergeler alanın genel yönergelerini geçersiz kılar. Örneğin, bir alan genel olarak isteğe bağlı olabilir, ancak belirli bir şema için zorunlu olabilir. Her alan hakkında daha fazla ayrıntı için ASIM Ortak Alanları makalesine bakın.
| Sınıfı | Alanları |
|---|---|
| Zorunlu |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Önerilen |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| İsteğe bağlı |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcO'lar - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Kayıt Defteri Olayına özgü alanlar
Aşağıdaki tabloda listelenen alanlar Kayıt Defteri olaylarına özgü olsa da diğer şemalardaki alanlara benzer ve benzer adlandırma kurallarına uyar.
Daha fazla bilgi için Windows'da Kayıt Defterinin Yapısı belgelerine bakın.
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| RegistryKey | Zorunlu | Dize | İşlemle ilişkili kayıt defteri anahtarı, standart kök anahtar adlandırma kurallarına göre normalleştirilmiştir. Daha fazla bilgi için bkz. Kök Anahtarlar. Kayıt defteri anahtarları, dosya sistemlerindeki klasörlere benzer. Örneğin: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Önerilen | Dize | İşlemle ilişkili kayıt defteri değeri. Kayıt defteri değerleri dosya sistemlerindeki dosyalara benzer. Örneğin: Path |
| RegistryValueType | Önerilen | Dize | Standart forma normalleştirilmiş kayıt defteri değerinin türü. Daha fazla bilgi için bkz. Değer Türleri. Örneğin: Reg_Expand_Sz |
| RegistryValueData | Önerilen | Dize | Kayıt defteri değerinde depolanan veriler. Örnek: C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | Önerilen | Dize | Kayıt defterini değiştiren işlemler için, özgün kayıt defteri anahtarı standart kök anahtar adlandırmaya normalleştirilmiştir. Daha fazla bilgi için bkz. Kök Anahtarlar. Not: İşlem değer gibi diğer alanları değiştirdiyse ancak anahtar aynı kalırsa , RegistryPreviousKeydeğeri RegistryKey ile aynı değere sahip olur. Örnek: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | Önerilen | Dize | Kayıt defterini değiştiren işlemler için, standart forma normalleştirilmiş özgün değer türü. Daha fazla bilgi için bkz. Değer Türleri. Tür değiştirilmediyse, bu alan RegistryValueType alanıyla aynı değere sahiptir. Örnek: Path |
| RegistryPreviousValueType | Önerilen | Dize | Kayıt defterini değiştiren işlemler için özgün değer türü. Tür değiştirilmediyse, bu alan standart forma normalleştirilmiş RegistryValueType alanıyla aynı değere sahip olur. Daha fazla bilgi için bkz . Değer türleri. Örnek: Reg_Expand_Sz |
| RegistryPreviousValueData | Önerilen | Dize | Kayıt defterini değiştiren işlemler için özgün kayıt defteri verileri. Örnek: C:\Windows\system32;C:\Windows; |
| Kullanıcı | Diğer ad |
ActorUsername alanının diğer adı. Örnek: CONTOSO\ dadmin |
|
| Işlem | Diğer ad |
ActingProcessName alanının diğer adı. Örnek: C:\Windows\System32\rundll32.exe |
|
| ActorUsername | Zorunlu | Kullanıcı adı (Dize) | Olayı başlatan kullanıcının kullanıcı adı. Örnek: CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | Koşullu | Numaralandırılmış |
ActorUsername alanında depolanan kullanıcı adının türünü belirtir. Daha fazla bilgi için bkz. Kullanıcı varlığı. Örnek: Windows |
| ActorUserId | Önerilen | Dize | Aktörün benzersiz kimliği. Belirli bir kimlik, olayı oluşturan sisteme bağlıdır. Daha fazla bilgi için bkz. Kullanıcı varlığı. Örnek: S-1-5-18 |
| ActorScope | İsteğe bağlı | Dize | ActorUserId ve ActorUsername'in tanımlandığı Microsoft Entra kiracısı gibi kapsam. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindekiUserScope bölümüne bakın. |
| ActorUserIdType | Koşullu | Numaralandırılmış |
ActorUserId alanında depolanan kimliğin türü. Daha fazla bilgi için bkz. Kullanıcı varlığı. Örnek: SID |
| ActorSessionId | İsteğe bağlı | Dize | Aktörün oturum açma oturumunun benzersiz kimliği. Örnek: 999Not: Tür, farklı sistemleri desteklemek için dize olarak tanımlanır, ancak Windows'ta bu değer sayısal olmalıdır. Windows makinesi kullanıyorsanız ve kaynak farklı bir tür gönderiyorsa, değeri dönüştürdüğünüzden emin olun. Örneğin, kaynak onaltılık bir değer gönderirse, bunu ondalık değere dönüştürün. |
| ActingProcessName | İsteğe bağlı | Dize | İşlem görüntüsü dosyasının dosya adı. Bu ad genellikle işlem adı olarak kabul edilir. Örnek: C:\Windows\explorer.exe |
| ActingProcessId | Zorunlu | Dize | İşlem işleminin işlem kimliği (PID). Örnek: 48610176 Not: Tür, farklı sistemleri desteklemek için dize olarak tanımlanır, ancak Windows'ta ve Linux bu değerin sayısal olması gerekir. Windows veya Linux makinesi kullanıyorsanız ve farklı bir tür kullandıysanız, değerleri dönüştürdüğünüzden emin olun. Örneğin, onaltılık bir değer kullandıysanız, bunu ondalık değere dönüştürün. |
| ActingProcessGuid | İsteğe bağlı | GUID (Dize) | Eylem işleminin oluşturulan benzersiz tanımlayıcısı (GUID). Örnek: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | İsteğe bağlı | Dize | Üst işlem görüntü dosyasının dosya adı. Bu değer genellikle işlem adı olarak kabul edilir. Örnek: C:\Windows\explorer.exe |
| ParentProcessId | Zorunlu | Dize | Üst işlemin işlem kimliği (PID). Örnek: 48610176 |
| ParentProcessGuid | İsteğe bağlı | Dize | Üst işlemin oluşturulan benzersiz tanımlayıcısı (GUID). Örnek: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
İnceleme alanları
Aşağıdaki alanlar, EDR sistemi gibi bir güvenlik sistemi tarafından gerçekleştirilen incelemeyi temsil etmek için kullanılır.
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| Rulename | İsteğe bağlı | Dize | Denetim sonuçlarıyla ilişkili kuralın adı veya kimliği. |
| RuleNumber | İsteğe bağlı | Tamsayı | İnceleme sonuçlarıyla ilişkili kuralın sayısı. |
| Kural | Koşullu | Dize | kRuleName değeri veya RuleNumber değeri. RuleNumber değeri kullanılırsa, tür dizeye dönüştürülmelidir. |
| ThreatId | İsteğe bağlı | Dize | Dosya etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılımın kimliği. |
| ThreatName | İsteğe bağlı | Dize | Dosya etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılımın adı. Örnek: EICAR Test File |
| ThreatCategory | İsteğe bağlı | Dize | Dosya etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılım kategorisi. Örnek: Trojan |
| ThreatRiskLevel | İsteğe bağlı | RiskLevel (Tamsayı) | Tanımlanan tehditle ilişkili risk düzeyi. Düzey 0 ile 100 arasında bir sayı olmalıdır. Not: Değer kaynak kayıtta farklı bir ölçek kullanılarak sağlanabilir ve bu ölçek normalleştirilmelidir. Özgün değer ThreatOriginalRiskLevel içinde depolanmalıdır. |
| ThreatOriginalRiskLevel | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen risk düzeyi. |
| ThreatField | İsteğe bağlı | Dize | Bir tehdidin tanımlandığı alan. |
| ThreatConfidence | İsteğe bağlı | ConfidenceLevel (Tamsayı) | Tanımlanan tehdidin güvenilirlik düzeyi, 0 ile 100 arasında bir değere normalleştirilmiştir. |
| ThreatOriginalConfidence | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen, tanımlanan tehdidin özgün güvenilirlik düzeyi. |
| ThreatIsActive | İsteğe bağlı | Boole | Tanımlanan tehdit etkin bir tehdit olarak kabul edilirse true. |
| ThreatFirstReportedTime | İsteğe bağlı | Datetime | IP adresi veya etki alanı ilk kez bir tehdit olarak tanımlandı. |
| ThreatLastReportedTime | İsteğe bağlı | Datetime | IP adresinin veya etki alanının en son tehdit olarak tanımlandığı zaman. |
Kök anahtarlar
Farklı kaynaklar, farklı gösterimler kullanarak kayıt defteri anahtarı ön eklerini temsil eder. RegistryKey ve RegistryPreviousKey alanları için aşağıdaki normalleştirilmiş ön ekleri kullanın:
| Normalleştirilmiş anahtar ön eki | Diğer ortak gösterimler |
|---|---|
| HKEY_LOCAL_MACHINE |
HKLM, \REGISTRY\MACHINE |
| HKEY_USERS |
HKU, \REGISTRY\USER |
Değer türleri
Farklı kaynaklar farklı gösterimler kullanarak kayıt defteri değer türlerini temsil eder. RegistryValueType ve RegistryPreviousValueType alanları için aşağıdaki normalleştirilmiş türleri kullanın:
| Normalleştirilmiş anahtar ön eki | Diğer ortak gösterimler |
|---|---|
| Reg_None |
None, %%1872 |
| Reg_sz |
String, %%1873 |
| Reg_expand_sz |
ExpandString, %%1874 |
| Reg_bınary |
Binary, %%1875 |
| Reg_dword |
Dword, %%1876 |
| Reg_multı_sz |
MultiString, %%1879 |
| Reg_QWord |
Qword, %%1883 |
Şema güncelleştirmeleri
Şemanın 0.1.1 sürümündeki değişiklikler şunlardır:
- alanı
EventSchemaeklendi.
Şemanın 0.1.2 sürümündeki değişiklikler şunlardır:
- , ve
DvcScopeIdDvcScopealanlarınıActorScopeekledik.
Şemanın 0.1.3 sürümündeki değişiklikler şunlardır:
- İnceleme alanları eklendi.
Sonraki adımlar
Daha fazla bilgi için bkz.: