進階安全性資訊模型 （ASIM） 登錄事件正規化架構參考 （公開預覽）

登錄事件架構可用來描述建立、修改或刪除 Windows 登錄實體的 Windows 活動。

登錄事件專屬於 Windows 系統，但是由監視 Windows 的不同系統所報告，例如 EDR（端點偵測和回應）系統、Sysmon 或 Windows 本身。

如需 Microsoft Sentinel 中正規化的詳細資訊，請參閱 正規化和進階安全性資訊模型（ASIM）。

重要

登錄事件正規化架構目前為 PREVIEW。 此功能在沒有服務等級協定的情況下提供，不建議用於生產工作負載。

Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版，或尚未發行的版本) 的其他法律條款。

剖析器

若要使用統一剖析器來統一所有內建剖析器，並確保分析在所有設定的來源上執行，請使用 imRegistry 作為查詢中的資料表名稱。

如需處理事件剖析器清單，Microsoft Sentinel 提供現成的參考 ASIM 剖析器清單

從 Microsoft Sentinel GitHub 存放庫 部署統一和來源特定的剖析器 。

如需詳細資訊，請參閱 ASIM 剖析器和 使用 ASIM 剖析器 。

新增您自己的標準化剖析器

實作登錄事件資訊模型的自訂剖析器時，請使用下列語法為您的 KQL 函式命名： imRegistry<vendor><Product> 。

將 KQL 函式新增至 imRegistry 統一剖析器，以確保任何使用登錄事件模型的內容也會使用新的剖析器。

標準化內容

Microsoft Sentinel 提供透過 IFEO 登錄機碼 搜捕查詢保存 。 此查詢適用于使用進階安全性資訊模型正規化的任何登錄活動資料。

如需詳細資訊，請參閱使用 Microsoft Sentinel 搜捕威脅。

架構詳細資料

登錄事件資訊模型會與 OSSEM 登錄實體架構 一致。

一般 ASIM 欄位

重要

ASIM 通用欄位一文會詳細說明 所有架構的通用欄位 。

具有特定指導方針的常見欄位

下列清單提及具有進程活動事件特定指導方針的欄位：

欄位	類別	類型	描述
EventType	必要	枚舉	描述記錄所報告的作業。 針對登錄記錄，支援的值包括： - RegistryKeyCreated - RegistryKeyDeleted - RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet
EventSchemaVersion	必要	String	結構描述的版本。 這裡記載的架構版本如下 0.1.2
EventSchema	選擇性	String	這裡記載的架構名稱為 RegistryEvent 。
Dvc 欄位			針對登錄活動事件，裝置欄位會參考登錄活動發生所在的系統。

重要

欄位 EventSchema 目前為選擇性欄位，但將于 2022 年 9 月 1 日變成 [強制]。

所有通用欄位

下表中顯示的欄位適用于所有 ASIM 架構。 上述任何指定的指導方針會覆寫欄位的一般指導方針。 例如，欄位通常是選擇性的，但特定架構的必要專案。 如需每個欄位的進一步詳細資料，請參閱 ASIM 通用欄位 一文。

類別	欄位
必要	- EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc
建議需求	- EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction
選擇性	- EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope

登錄事件特定欄位

下表所列的欄位專屬於登錄事件，但與其他架構中的欄位類似，並遵循類似的命名慣例。

如需詳細資訊，請參閱 Windows 檔中的登錄 結構。

欄位	類別	類型	描述
RegistryKey	必要	String	與作業相關聯的登錄機碼，標準化為標準根金鑰命名慣例。 如需詳細資訊，請參閱 根金鑰 。 登錄機碼類似于檔案系統中的資料夾。 例如：HKEY_LOCAL_MACHINE\SOFTWARE\MTG
RegistryValue	建議需求	String	與作業相關聯的登錄值。 登錄值類似于檔案系統中的檔案。 例如：Path
RegistryValueType	建議需求	String	登錄值的類型，標準化為標準格式。 如需詳細資訊，請參閱 實值類型。 例如：Reg_Expand_Sz
RegistryValueData	建議需求	String	儲存在登錄值中的資料。 範例: C:\Windows\system32;C:\Windows;
RegistryPreviousKey	建議需求	String	針對修改登錄的作業，原始登錄機碼會標準化為標準根機碼命名。 如需詳細資訊，請參閱 根金鑰 。 注意 ：如果作業變更了其他欄位，例如 值，但機碼保持不變， RegistryPreviousKey 的值會與 RegistryKey 相同。 範例: HKEY_LOCAL_MACHINE\SOFTWARE\MTG
RegistryPreviousValue	建議需求	String	針對修改登錄的作業，原始實數值型別會正規化為標準格式。 如需詳細資訊，請參閱 實值類型。 如果類型未變更，此欄位的值會與 RegistryValueType 欄位相同。 範例: Path
RegistryPreviousValueType	建議需求	String	針對修改登錄的作業，原始實數值型別。 如果類型未變更，此欄位的值會與 RegistryValueType 欄位相同，並正規化為標準表單。 如需詳細資訊，請參閱 實值型別 。 範例: Reg_Expand_Sz
RegistryPreviousValueData	建議需求	String	修改登錄之作業的原始登錄資料。 範例: C:\Windows\system32;C:\Windows;
使用者	Alias		ActorUsername 欄位的 別名。 範例: CONTOSO\ dadmin
處理	Alias		ActingProcessName 欄位的 別名。 範例: C:\Windows\System32\rundll32.exe
ActorUsername	必要	String	起始事件之使用者的使用者名稱。 範例: CONTOSO\WIN-GG82ULGC9GO$
ActorUsernameType	條件	枚舉	指定儲存在 ActorUsername 欄位中的使用者名稱類型。 如需詳細資訊，請參閱 使用者實體 。 範例: Windows
ActorUserId	建議需求	String	動作專案的唯一識別碼。 特定識別碼取決於產生事件的系統。 如需詳細資訊，請參閱 使用者實體 。 範例: S-1-5-18
ActorScope	選擇性	String	定義 ActorUserId 和 ActorUsername 的 Microsoft Entra 租使用者 等範圍。 或詳細資訊和允許的值清單，請參閱 架構概觀一文 中的 UserScope 。
ActorUserIdType	建議需求	String	儲存在 ActorUserId 欄位中的識別碼類型。 如需詳細資訊，請參閱 使用者實體 。 範例: SID
ActorSessionId	條件	String	動作專案登入會話的唯一識別碼。 範例: 999 注意 ：類型定義為 支援不同系統的字串 ，但在 Windows 上，此值必須是數值。 如果您使用 Windows 電腦，而且來源會傳送不同的類型，請務必轉換值。 例如，如果 source 傳送十六進位值，請將它轉換成十進位值。
ActingProcessName	選擇性	String	代理程式影像檔案的檔案名。 此名稱通常被視為進程名稱。 範例: C:\Windows\explorer.exe
ActingProcessId	必要	String	代理程式的進程識別碼（PID）。 範例: 48610176 注意 ：類型定義為 支援不同系統的字串 ，但在 Windows 和 Linux 上，此值必須是數值。 如果您使用 Windows 或 Linux 電腦並使用不同的類型，請務必轉換值。 例如，如果您使用十六進位值，請將它轉換成十進位值。
ActingProcessGuid	選擇性	String	代理程式所產生的唯一識別碼 （GUID）。 範例: EF3BD0BD-2B74-60C5-AF5C-010000001E00
ParentProcessName	選擇性	String	父進程影像檔案的檔案名。 此值通常視為進程名稱。 範例: C:\Windows\explorer.exe
ParentProcessId	必要	String	父進程的進程識別碼 （PID）。 範例: 48610176
ParentProcessGuid	選擇性	String	父進程的產生唯一識別碼 （GUID）。 範例: EF3BD0BD-2B74-60C5-AF5C-010000001E00

根索引鍵

不同的來源代表使用不同標記法的登錄機碼前置詞。 針對 RegistryKey 和 RegistryPreviousKey 欄位，請使用下列正規化前置詞：

標準化索引鍵前置詞	其他常見的標記法
HKEY_LOCAL_MACHINE	HKLM, \REGISTRY\MACHINE
HKEY_USERS	HKU, \REGISTRY\USER

值類型

不同的來源代表使用不同標記法的登錄實值型別。 針對 [RegistryValueType] 和 [ RegistryPreviousValueType ] 欄位，請使用下列正規化類型：

標準化索引鍵前置詞	其他常見的標記法
Reg_None	None, %%1872
Reg_Sz	String, %%1873
Reg_Expand_Sz	ExpandString, %%1874
Reg_Binary	Binary, %%1875
Reg_DWord	Dword, %%1876
Reg_Multi_Sz	MultiString, %%1879
Reg_QWord	Qword, %%1883

架構更新

這些是架構 0.1.1 版的變更：

• 已新增欄位 EventSchema 。

這些是架構 0.1.2 版的變更：

• 已新增 、 ActorScope DvcScopeId 和 DvcScope 欄位。

下一步

如需詳細資訊，請參閱

• Microsoft Sentinel 中的正規化
• Microsoft Sentinel 驗證正規化架構參考 （公開預覽）
• Microsoft Sentinel DNS 正規化架構參考
• Microsoft Sentinel 檔案事件正規化架構參考 （公開預覽）
• Microsoft Sentinel 網路正規化架構參考