Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El esquema de eventos del Registro se usa para describir la actividad de Windows de crear, modificar o eliminar entidades del Registro de Windows.
Los eventos del Registro son específicos de los sistemas Windows, pero los notifican distintos sistemas que supervisan Windows, como los sistemas EDR (detección y respuesta de punto final), Sysmon o Windows.
Para obtener más información sobre la normalización en Microsoft Sentinel, vea Normalización y el modelo de información de seguridad avanzada (ASIM).
Analizadores
Para usar el analizador de unificación que unifica todos los analizadores integrados y asegurarse de que el análisis se ejecuta en todos los orígenes configurados, use imRegistry como nombre de tabla en la consulta.
Para obtener la lista de los analizadores de eventos de proceso Microsoft Sentinel proporciona información general, consulte la lista de analizadores de ASIM.
Implemente los analizadores unificadores y específicos del origen desde el repositorio de GitHub Microsoft Sentinel.
Para obtener más información, vea Analizadores de ASIM y Uso de analizadores de ASIM.
Agregar sus propios analizadores normalizados
Al implementar analizadores personalizados para el modelo de información de eventos del Registro, asigne un nombre a las funciones de KQL mediante la sintaxis siguiente: imRegistry<vendor><Product>.
Agregue las funciones de KQL a los imRegistry analizadores de unificación para asegurarse de que cualquier contenido que use el modelo de eventos del Registro también use el nuevo analizador.
Filtrado de parámetros del analizador
Los analizadores de eventos del Registro admiten parámetros de filtrado. Aunque estos parámetros son opcionales, pueden mejorar el rendimiento de las consultas.
Están disponibles los siguientes parámetros de filtrado:
| Nombre | Tipo | Description |
|---|---|---|
| starttime | datetime | Filtre solo los eventos del Registro que se produjeron en o después de este momento. Este parámetro filtra en el TimeGenerated campo, que es el designador estándar para la hora del evento, independientemente de la asignación específica del analizador de los campos EventStartTime y EventEndTime. |
| endtime | datetime | Filtre solo los eventos del Registro que se produjeron en o antes de este momento. Este parámetro filtra en el TimeGenerated campo, que es el designador estándar para la hora del evento, independientemente de la asignación específica del analizador de los campos EventStartTime y EventEndTime. |
| eventtype_in | dinámico | Filtre solo los eventos del Registro donde el tipo de evento es uno de los valores enumerados, incluidos: RegistryKeyCreated, RegistryKeyDeleted, RegistryKeyRenamed, RegistryValueDeletedo RegistryValueSet. |
| actorusername_has_any | dinámico | Filtre solo los eventos del Registro en los que el nombre de usuario del actor tenga cualquiera de los valores enumerados. |
| registrykey_has_any | dinámico | Filtre solo los eventos del Registro en los que la clave del Registro tenga cualquiera de los valores enumerados. |
| registryvalue_has_any | dinámico | Filtre solo los eventos del Registro en los que el valor del Registro tenga cualquiera de los valores enumerados. |
| registrydata_has_any | dinámico | Filtre solo los eventos del Registro donde los datos del Registro tengan cualquiera de los valores enumerados. |
| dvchostname_has_any | dinámico | Filtre solo los eventos del Registro en los que el nombre de host del dispositivo tenga cualquiera de los valores enumerados. |
Por ejemplo, para filtrar solo los eventos de creación de claves del Registro desde el último día, use:
_Im_RegistryEvent (eventtype_in=dynamic(['RegistryKeyCreated']), starttime = ago(1d), endtime=now())
Contenido normalizado
Microsoft Sentinel proporciona la consulta Persisting Via IFEO Registry Key hunting (Conservar a través de la búsqueda de claves del Registro IFEO). Esta consulta funciona en cualquier dato de actividad del Registro normalizado mediante el modelo de información de seguridad avanzada.
Para obtener más información, consulte Búsqueda de amenazas con Microsoft Sentinel.
Detalles del esquema
El modelo de información de eventos del Registro está alineado con el esquema de entidad del Registro OSSEM.
Campos comunes de ASIM
Importante
Los campos comunes a todos los esquemas se describen en detalle en el artículo Campos comunes de ASIM .
Campos comunes con directrices específicas
En la lista siguiente se mencionan los campos que tienen directrices específicas para los eventos de actividad de proceso:
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| EventType | Obligatorio | Enumerado | Describe la operación notificada por el registro. En el caso de los registros del Registro, los valores admitidos incluyen: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Obligatorio | SchemaVersion (String) | Versión del esquema. La versión del esquema documentada aquí es 0.1.3 |
| EventSchema | Obligatorio | Cadena | El nombre del esquema documentado aquí es RegistryEvent. |
| Campos Dvc | En el caso de los eventos de actividad del Registro, los campos de dispositivo hacen referencia al sistema en el que se produjo la actividad del Registro. |
Todos los campos comunes
Los campos que aparecen en la tabla siguiente son comunes a todos los esquemas de ASIM. Cualquier directriz especificada anteriormente invalida las directrices generales para el campo. Por ejemplo, un campo puede ser opcional en general, pero obligatorio para un esquema específico. Para obtener más información sobre cada campo, consulte el artículo Campos comunes de ASIM .
| Class | Fields |
|---|---|
| Obligatorio |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendado |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campos específicos del evento del Registro
Los campos enumerados en la tabla siguiente son específicos de los eventos del Registro, pero son similares a los campos de otros esquemas y siguen convenciones de nomenclatura similares.
Para obtener más información, vea Estructura del Registro en la documentación de Windows.
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| RegistryKey | Obligatorio | Cadena | Clave del Registro asociada a la operación, normalizada a convenciones de nomenclatura de clave raíz estándar. Para obtener más información, consulte Claves raíz. Las claves del Registro son similares a las carpetas de los sistemas de archivos. Por ejemplo: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Recomendado | Cadena | Valor del Registro asociado a la operación. Los valores del Registro son similares a los archivos de los sistemas de archivos. Por ejemplo: Path |
| RegistryValueType | Recomendado | Cadena | Tipo de valor del Registro, normalizado al formulario estándar. Para obtener más información, vea Tipos de valor. Por ejemplo: Reg_Expand_Sz |
| RegistryValueData | Recomendado | Cadena | Datos almacenados en el valor del Registro. Ejemplo: C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | Recomendado | Cadena | Para las operaciones que modifican el Registro, la clave del Registro original, normalizada a la nomenclatura de clave raíz estándar. Para obtener más información, consulte Claves raíz. Nota: Si la operación cambió otros campos, como el valor, pero la clave sigue siendo la misma, RegistryPreviousKey tendrá el mismo valor que RegistryKey. Ejemplo: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | Recomendado | Cadena | Para las operaciones que modifican el Registro, el tipo de valor original, normalizado al formulario estándar. Para obtener más información, vea Tipos de valor. Si no se cambió el tipo, este campo tiene el mismo valor que el campo RegistryValueType . Ejemplo: Path |
| RegistryPreviousValueType | Recomendado | Cadena | Para las operaciones que modifican el Registro, el tipo de valor original. Si no se cambió el tipo, este campo tendrá el mismo valor que el campo RegistryValueType , normalizado al formulario estándar. Para obtener más información, vea Tipos de valor. Ejemplo: Reg_Expand_Sz |
| RegistryPreviousValueData | Recomendado | Cadena | Los datos originales del Registro, para las operaciones que modifican el registro. Ejemplo: C:\Windows\system32;C:\Windows; |
| Usuario | Alias | Alias del campo ActorUsername . Ejemplo: CONTOSO\ dadmin |
|
| Proceso | Alias | Alias del campo ActingProcessName . Ejemplo: C:\Windows\System32\rundll32.exe |
|
| ActorUsername | Obligatorio | Nombre de usuario (cadena) | Nombre de usuario del usuario que inició el evento. Ejemplo: CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | Condicional | Enumerado | Especifica el tipo del nombre de usuario almacenado en el campo ActorUsername . Para obtener más información, vea La entidad User. Ejemplo: Windows |
| ActorUserId | Recomendado | Cadena | Identificador único del actor. El identificador específico depende del sistema que genera el evento. Para obtener más información, vea La entidad User. Ejemplo: S-1-5-18 |
| ActorScope | Opcional | Cadena | Ámbito, como Microsoft Entra inquilino, en el que se definen ActorUserId y ActorUsername. o más información y lista de valores permitidos, vea UserScope en el artículo Información general del esquema. |
| ActorUserIdType | Condicional | Enumerado | Tipo del identificador almacenado en el campo ActorUserId . Para obtener más información, vea La entidad User. Ejemplo: SID |
| ActorSessionId | Opcional | Cadena | Identificador único de la sesión de inicio de sesión del actor. Ejemplo: 999Nota: El tipo se define como cadena para admitir sistemas variables, pero en Windows este valor debe ser numérico. Si usa una máquina Windows y el origen envía un tipo diferente, asegúrese de convertir el valor. Por ejemplo, si source envía un valor hexadecimal, conviértalo en un valor decimal. |
| ActingProcessName | Opcional | Cadena | Nombre de archivo del archivo de imagen del proceso de acción. Normalmente, este nombre se considera el nombre del proceso. Ejemplo: C:\Windows\explorer.exe |
| ActingProcessId | Obligatorio | Cadena | Identificador de proceso (PID) del proceso de actuación. Ejemplo: 48610176 Nota: El tipo se define como cadena para admitir sistemas variables, pero en Windows y Linux este valor debe ser numérico. Si usa una máquina Windows o Linux y usa otro tipo, asegúrese de convertir los valores. Por ejemplo, si usó un valor hexadecimal, conviértalo en un valor decimal. |
| ActingProcessGuid | Opcional | GUID (string) | Identificador único (GUID) generado del proceso de acción. Ejemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Opcional | Cadena | Nombre de archivo del archivo de imagen de proceso primario. Normalmente, este valor se considera el nombre del proceso. Ejemplo: C:\Windows\explorer.exe |
| ParentProcessId | Obligatorio | Cadena | Identificador de proceso (PID) del proceso primario. Ejemplo: 48610176 |
| ParentProcessGuid | Opcional | Cadena | Identificador único (GUID) generado del proceso primario. Ejemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Campos de inspección
Los campos siguientes se usan para representar esa inspección realizada por un sistema de seguridad como un sistema EDR.
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| RuleName | Opcional | Cadena | Nombre o identificador de la regla asociado a los resultados de la inspección. |
| RuleNumber | Opcional | Entero | Número de la regla asociada a los resultados de la inspección. |
| Rule | Condicional | Cadena | El valor de kRuleName o el valor de RuleNumber. Si se usa el valor de RuleNumber , el tipo debe convertirse en cadena. |
| ThreatId | Opcional | Cadena | Identificador de la amenaza o malware identificado en la actividad de archivo. |
| ThreatName | Opcional | Cadena | Nombre de la amenaza o malware identificado en la actividad de archivo. Ejemplo: EICAR Test File |
| ThreatCategory | Opcional | Cadena | Categoría de la amenaza o malware identificada en la actividad de archivo. Ejemplo: Trojan |
| ThreatRiskLevel | Opcional | RiskLevel (integer) | Nivel de riesgo asociado a la amenaza identificada. El nivel debe ser un número entre 0 y 100. Nota: Es posible que el valor se proporcione en el registro de origen mediante una escala diferente, que debe normalizarse a esta escala. El valor original debe almacenarse en ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Opcional | Cadena | El nivel de riesgo notificado por el dispositivo de informes. |
| ThreatField | Opcional | Cadena | Campo para el que se identificó una amenaza. |
| ThreatConfidence | Opcional | ConfidenceLevel (integer) | El nivel de confianza de la amenaza identificada, normalizada a un valor entre 0 y 100. |
| ThreatOriginalConfidence | Opcional | Cadena | El nivel de confianza original de la amenaza identificada, según lo notificado por el dispositivo de informes. |
| ThreatIsActive | Opcional | Booleano | True si la amenaza identificada se considera una amenaza activa. |
| ThreatFirstReportedTime | Opcional | datetime | La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| ThreatLastReportedTime | Opcional | datetime | La última vez que la dirección IP o el dominio se identificaron como una amenaza. |
Claves raíz
Los orígenes diferentes representan prefijos de clave del Registro mediante representaciones diferentes. Para los campos RegistryKey y RegistryPreviousKey , use los siguientes prefijos normalizados:
| Prefijo de clave normalizado | Otras representaciones comunes |
|---|---|
| HKEY_LOCAL_MACHINE |
HKLM, \REGISTRY\MACHINE |
| HKEY_USERS |
HKU, \REGISTRY\USER |
Tipos de valores
Los orígenes diferentes representan tipos de valor del Registro mediante representaciones diferentes. Para los campos RegistryValueType y RegistryPreviousValueType , use los siguientes tipos normalizados:
| Prefijo de clave normalizado | Otras representaciones comunes |
|---|---|
| Reg_None |
None, %%1872 |
| Reg_Sz |
String, %%1873 |
| Reg_Expand_Sz |
ExpandString, %%1874 |
| Reg_Binary |
Binary, %%1875 |
| Reg_DWord |
Dword, %%1876 |
| Reg_Multi_Sz |
MultiString, %%1879 |
| Reg_QWord |
Qword, %%1883 |
Actualizaciones de esquema
Estos son los cambios en la versión 0.1.1 del esquema:
- Se agregó el campo
EventSchema.
Estos son los cambios en la versión 0.1.2 del esquema:
- Se agregaron los campos
ActorScope,DvcScopeIdyDvcScope.
Estos son los cambios en la versión 0.1.3 del esquema:
- Se han agregado campos de inspección.
Siguientes pasos
Para más información, vea:
- Normalización en Microsoft Sentinel
- referencia del esquema de normalización de autenticación de Microsoft Sentinel
- Microsoft Sentinel referencia del esquema de normalización de DNS
- Microsoft Sentinel referencia del esquema de normalización de eventos de archivo
- referencia del esquema de normalización de red de Microsoft Sentinel