Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Skemaet over registreringsdatabasehændelser bruges til at beskrive Windows-aktiviteten for oprettelse, ændring eller sletning af Windows-registreringsdatabaseobjekter.
Hændelser i registreringsdatabasen er specifikke for Windows-systemer, men rapporteres af forskellige systemer, der overvåger Windows, f.eks. EDR-systemer (End Point Detection and Response), selve Sysmon eller Windows.
Du kan få flere oplysninger om normalisering i Microsoft Sentinel under Normalisering og ASIM (Advanced Security Information Model).
Parsere
Hvis du vil bruge den forenende parser, der samler alle de indbyggede fortolkninger, og sikre, at din analyse kører på tværs af alle de konfigurerede kilder, skal du bruge imRegistry som tabelnavnet i din forespørgsel.
Du kan se listen over fortolkninger af proceshændelser, Microsoft Sentinel leverer klar til brug, på listen over ASIM-fortolkninger
Udrul de samlende og kildespecifikke fortolkere fra gitHub-lageret Microsoft Sentinel.
Du kan finde flere oplysninger under ASIM-fortolkninger og Brug ASIM-fortolkere.
Tilføj dine egne normaliserede fortolkere
Når du implementerer brugerdefinerede fortolkninger for oplysningsmodellen for registreringsdatabasehændelser, skal du navngive dine KQL-funktioner ved hjælp af følgende syntaks: imRegistry<vendor><Product>.
Føj dine KQL-funktioner til de imRegistry samlende fortolkere for at sikre, at alt indhold, der bruger registreringsdatabasehændelsesmodellen, også bruger din nye fortolker.
Filtreringsparserparametre
Fortolkningerne af registreringsdatabasehændelsen understøtter filtreringsparametre. Selvom disse parametre er valgfrie, kan de forbedre ydeevnen af din forespørgsel.
Følgende filtreringsparametre er tilgængelige:
| Navn | Type | Beskrivelse |
|---|---|---|
| Starttidspunkt | Datetime | Filtrer kun hændelser i registreringsdatabasen, der opstod på eller efter dette tidspunkt. Denne parameter filtrerer feltet TimeGenerated , som er standarddesignatoren for tidspunktet for hændelsen, uanset den parserspecifikke tilknytning af felterne EventStartTime og EventEndTime. |
| slutklokkeslæt | Datetime | Filtrer kun hændelser i registreringsdatabasen, der opstod på eller før dette tidspunkt. Denne parameter filtrerer feltet TimeGenerated , som er standarddesignatoren for tidspunktet for hændelsen, uanset den parserspecifikke tilknytning af felterne EventStartTime og EventEndTime. |
| eventtype_in | Dynamisk | Filtrer kun hændelser i registreringsdatabasen, hvor hændelsestypen er en af de angivne værdier, herunder: RegistryKeyCreated, RegistryKeyDeleted, RegistryKeyRenamed, RegistryValueDeletedeller RegistryValueSet. |
| actorusername_has_any | Dynamisk | Filtrer kun hændelser i registreringsdatabasen, hvor agentens brugernavn har nogen af de angivne værdier. |
| registrykey_has_any | Dynamisk | Filtrer kun hændelser i registreringsdatabasen, hvor registreringsdatabasenøglen har nogen af de angivne værdier. |
| registryvalue_has_any | Dynamisk | Filtrer kun hændelser i registreringsdatabasen, hvor registreringsdatabaseværdien har nogen af de angivne værdier. |
| registrydata_has_any | Dynamisk | Filtrer kun hændelser i registreringsdatabasen, hvor registreringsdatabasedataene har nogen af de angivne værdier. |
| dvchostname_has_any | Dynamisk | Filtrer kun hændelser i registreringsdatabasen, hvor enhedens værtsnavn har nogen af de angivne værdier. |
Hvis du f.eks. kun vil filtrere hændelser for oprettelse af registreringsdatabasenøgler fra den sidste dag, skal du bruge:
_Im_RegistryEvent (eventtype_in=dynamic(['RegistryKeyCreated']), starttime = ago(1d), endtime=now())
Normaliseret indhold
Microsoft Sentinel leverer jagtforespørgslen Persisting Via IFEO Registry Key. Denne forespørgsel fungerer på alle aktivitetsdata i registreringsdatabasen, der er normaliseret ved hjælp af den avancerede sikkerhedsoplysningsmodel.
Du kan finde flere oplysninger under Jagt efter trusler med Microsoft Sentinel.
Skemadetaljer
Registreringsdatabasehændelsesoplysningsmodellen er justeret i forhold til OSSEM-enhedsskemaet i registreringsdatabasen.
Almindelige ASIM-felter
Vigtigt!
Felter, der er fælles for alle skemaer, er beskrevet detaljeret i artiklen Almindelige ASIM-felter .
Almindelige felter med specifikke retningslinjer
På følgende liste nævnes felter, der har specifikke retningslinjer for procesaktivitetshændelser:
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| EventType | Obligatorisk | Optalt | Beskriver den handling, der er rapporteret af posten. For registreringsdatabaseposter omfatter understøttede værdier: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Obligatorisk | SchemaVersion (streng) | Versionen af skemaet. Den version af skemaet, der er dokumenteret her, er 0.1.3 |
| EventSchema | Obligatorisk | String | Navnet på skemaet, der er dokumenteret her, er RegistryEvent. |
| Dvc-felter | I forbindelse med aktivitetshændelser i registreringsdatabasen henvises enhedsfelter til det system, hvor registreringsdatabaseaktiviteten fandt sted. |
Alle almindelige felter
Felter, der vises i nedenstående tabel, er fælles for alle ASIM-skemaer. Alle retningslinjer, der er angivet ovenfor, tilsidesætter de generelle retningslinjer for feltet. Et felt kan f.eks. være valgfrit generelt, men obligatorisk for et bestemt skema. Du kan finde flere oplysninger om hvert felt i artiklen Almindelige ASIM-felter .
| Klasse | Felter |
|---|---|
| Obligatorisk |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Anbefalede |
-
EventResultDetails - EventSeverity - Hændelses-UID - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valgfrit |
-
Hændelsesmeddelelse - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Hændelsesejer - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Hændelsesspecifikke felter i registreringsdatabasen
De felter, der er angivet i nedenstående tabel, er specifikke for hændelser i registreringsdatabasen, men svarer til felter i andre skemaer og følger lignende navngivningskonventioner.
Du kan få flere oplysninger under Strukturen af registreringsdatabasen i Windows-dokumentationen.
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Registreringsdatabasenøgle | Obligatorisk | String | Den registreringsdatabasenøgle, der er knyttet til handlingen, normaliseres til navngivningskonventioner for standardnøgler. Du kan få flere oplysninger under Rodnøgler. Registreringsdatabasenøgler svarer til mapper i filsystemer. For eksempel: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Anbefalede | String | Den registreringsdatabaseværdi, der er knyttet til handlingen. Registreringsdatabaseværdier svarer til filer i filsystemer. For eksempel: Path |
| RegistryValueType | Anbefalede | String | Typen af registreringsdatabaseværdi, normaliseret til standardformular. Du kan få flere oplysninger under Værdityper. For eksempel: Reg_Expand_Sz |
| RegistryValueData | Anbefalede | String | De data, der er gemt i registreringsdatabaseværdien. Eksempel: C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | Anbefalede | String | For handlinger, der ændrer registreringsdatabasen, er den oprindelige registreringsdatabasenøgle normaliseret til navngivning af standardrodnøglen. Du kan få flere oplysninger under Rodnøgler. Bemærk! Hvis handlingen ændrede andre felter, f.eks. værdien, men nøglen forbliver den samme, har RegistryPreviousKey den samme værdi som RegistryKey. Eksempel: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | Anbefalede | String | For handlinger, der ændrer registreringsdatabasen, er den oprindelige værditype normaliseret til standardformularen. Du kan få flere oplysninger under Værdityper. Hvis typen ikke blev ændret, har dette felt den samme værdi som feltet RegistryValueType . Eksempel: Path |
| RegistryPreviousValueType | Anbefalede | String | Den oprindelige værditype for handlinger, der ændrer registreringsdatabasen. Hvis typen ikke blev ændret, har dette felt den samme værdi som feltet RegistryValueType , normaliseret til standardformularen. Du kan få flere oplysninger under Værdityper. Eksempel: Reg_Expand_Sz |
| RegistryPreviousValueData | Anbefalede | String | De oprindelige registreringsdatabasedata til handlinger, der ændrer registreringsdatabasen. Eksempel: C:\Windows\system32;C:\Windows; |
| Bruger | Alias | Alias til feltet AgentBrugernavn . Eksempel: CONTOSO\ dadmin |
|
| Proces | Alias | Alias til feltet ActingProcessName . Eksempel: C:\Windows\System32\rundll32.exe |
|
| AgentBrugernavn | Obligatorisk | Brugernavn (streng) | Brugernavnet på den bruger, der startede hændelsen. Eksempel: CONTOSO\WIN-GG82ULGC9GO$ |
| AgentUsernameType | Betinget | Optalt | Angiver den type brugernavn, der er gemt i feltet AgentBrugernavn . Du kan få flere oplysninger under Brugerens objekt. Eksempel: Windows |
| AgentUserId | Anbefalede | String | Et entydigt id for agenten. Det specifikke id afhænger af det system, der genererer hændelsen. Du kan få flere oplysninger under Brugerens objekt. Eksempel: S-1-5-18 |
| AgentScope | Valgfrit | String | Det omfang, f.eks. Microsoft Entra lejer, hvor AgentBruger-id og AgentBrugernavn er defineret. eller flere oplysninger og en liste over tilladte værdier i UserScope i artiklen Skemaoversigt. |
| AgentUserIdType | Betinget | Optalt | Typen af det id, der er gemt i feltet AgentBruger-id . Du kan få flere oplysninger under Brugerens objekt. Eksempel: SID |
| AgentSessionId | Valgfrit | String | Det entydige id for logonsessionen for agenten. Eksempel: 999Bemærk! Typen er defineret som streng for at understøtte forskellige systemer, men i Windows skal denne værdi være numerisk. Hvis du bruger en Windows-computer, og kilden sender en anden type, skal du sørge for at konvertere værdien. Hvis kilden f.eks. sender en hexadecimal værdi, skal den konverteres til en decimalværdi. |
| ActingProcessName | Valgfrit | String | Filnavnet på den handlingsprocesafbildningsfil, der fungerer. Dette navn anses typisk for at være procesnavnet. Eksempel: C:\Windows\explorer.exe |
| ActingProcessId | Obligatorisk | String | Proces-id'et (PID) for den fungerende proces. Eksempel: 48610176 Bemærk! Typen er defineret som streng for at understøtte forskellige systemer, men i Windows og Linux skal denne værdi være numerisk. Hvis du bruger en Windows- eller Linux computer og har brugt en anden type, skal du sørge for at konvertere værdierne. Hvis du f.eks. har brugt en hexadecimal værdi, skal du konvertere den til en decimalværdi. |
| ActingProcessGuid | Valgfrit | GUID (streng) | Et genereret entydigt id (GUID) for den fungerende proces. Eksempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Valgfrit | String | Filnavnet på den overordnede procesafbildningsfil. Denne værdi anses typisk for at være procesnavnet. Eksempel: C:\Windows\explorer.exe |
| ParentProcessId | Obligatorisk | String | Proces-id'et (PID) for den overordnede proces. Eksempel: 48610176 |
| ParentProcessGuid | Valgfrit | String | Et genereret entydigt id (GUID) for den overordnede proces. Eksempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Kontrolfelter
Følgende felter bruges til at repræsentere den kontrol, der udføres af et sikkerhedssystem som et sådant EDR-system.
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| RuleName | Valgfrit | String | Navnet eller id'et for reglen ved at være knyttet til inspektionsresultaterne. |
| Regelnummer | Valgfrit | Heltal | Nummeret på den regel, der er knyttet til inspektionsresultaterne. |
| Regel | Betinget | String | Enten værdien af kRuleName eller værdien af RuleNumber. Hvis værdien af RuleNumber bruges, skal typen konverteres til en streng. |
| ThreatId | Valgfrit | String | Id'et for den trussel eller malware, der er identificeret i filaktiviteten. |
| ThreatName | Valgfrit | String | Navnet på den trussel eller malware, der er identificeret i filaktiviteten. Eksempel: EICAR Test File |
| ThreatCategory | Valgfrit | String | Kategorien af den trussel eller malware, der er identificeret i filaktiviteten. Eksempel: Trojan |
| ThreatRiskLevel | Valgfrit | RiskLevel (heltal) | Det risikoniveau, der er knyttet til den identificerede trussel. Niveauet skal være et tal mellem 0 og 100. Bemærk! Værdien kan angives i kildeposten ved hjælp af en anden skala, som skal normaliseres til denne skala. Den oprindelige værdi skal gemmes i ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Valgfrit | String | Risikoniveauet som rapporteret af rapporteringsenheden. |
| ThreatField | Valgfrit | String | Det felt, som en trussel blev identificeret for. |
| ThreatConfidence | Valgfrit | ConfidenceLevel (heltal) | Konfidensniveauet for den identificerede trussel normaliserede sig til en værdi mellem 0 og 100. |
| ThreatOriginalConfidence | Valgfrit | String | Det oprindelige tillidsniveau for den trussel, der blev identificeret, som rapporteret af rapporteringsenheden. |
| ThreatIsActive | Valgfrit | Boolesk | Sand, hvis den identificerede trussel betragtes som en aktiv trussel. |
| ThreatFirstReportedTime | Valgfrit | Datetime | Første gang IP-adressen eller domænet blev identificeret som en trussel. |
| ThreatLastReportedTime | Valgfrit | Datetime | Sidste gang IP-adressen eller domænet blev identificeret som en trussel. |
Rodnøgler
Forskellige kilder repræsenterer præfikser for registreringsdatabasenøgler ved hjælp af forskellige repræsentationer. Til felterne RegistryKey og RegistryPreviousKey skal du bruge følgende normaliserede præfikser:
| Normaliseret nøglepræfiks | Andre almindelige repræsentationer |
|---|---|
| HKEY_LOCAL_MACHINE |
HKLM, \REGISTRY\MACHINE |
| HKEY_USERS |
HKU, \REGISTRY\USER |
Værdityper
Forskellige kilder repræsenterer registreringsdatabaseværdityper ved hjælp af forskellige repræsentationer. Brug følgende normaliserede typer til felterne RegistryValueType og RegistryPreviousValueType :
| Normaliseret nøglepræfiks | Andre almindelige repræsentationer |
|---|---|
| Reg_None |
None, %%1872 |
| Reg_sz |
String, %%1873 |
| Reg_expand_sz |
ExpandString, %%1874 |
| Reg_Binary |
Binary, %%1875 |
| Reg_dword |
Dword, %%1876 |
| Reg_multi_sz |
MultiString, %%1879 |
| Reg_QWord |
Qword, %%1883 |
Skemaopdateringer
Dette er ændringerne i version 0.1.1 af skemaet:
- Feltet
EventSchemaer tilføjet.
Dette er ændringerne i version 0.1.2 af skemaet:
- Tilføjede felterne
ActorScope,DvcScopeIdogDvcScope.
Dette er ændringerne i version 0.1.3 af skemaet:
- Tilføjede kontrolfelter.
Næste trin
Du kan finde flere oplysninger under: