Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Rekisteritapahtumarakennetta käytetään kuvaamaan Windowsin toimintaa Windowsin rekisterientiteettien luomisessa, muokkaamisessa tai poistamisessa.
Rekisteritapahtumat koskevat Windows-järjestelmiä, mutta ne raportoidaan windowsia valvovat eri järjestelmät, kuten EDR (End Point Detection and Response) -järjestelmät, Sysmon tai Windows itse Windows.
Lisätietoja Microsoft Sentinel normalisoinnista on kohdassa Normalisointi ja ASIM (Advanced Security Information Model).
Jäsentimet
Jos haluat käyttää yhtenäistävää jäsennintä, joka yhdistää kaikki sisäänrakennetut jäsennykset, ja varmista, että analyysi suoritetaan kaikissa määritetyissä lähteissä, käytä imRegistryä kyselyn taulukon nimenä.
Valmiiden prosessitapahtumien jäsennysluettelon Microsoft Sentinel on ASIM-jäsennysluettelossa
Ota käyttöön yhdistävät ja lähdekohtaiset jäsennyksetMicrosoft Sentinel GitHub-säilöstä.
Lisätietoja on ohjeaiheessa ASIM-jäsentimet ja ASIM-jäsentimien käyttäminen.
Omien normalisoitujen jäsennysten lisääminen
Kun toteutat mukautettuja jäsennystoimintoja rekisteritapahtuman tietomallille, anna KQL-funktioille nimeksi seuraava syntaksi: imRegistry<vendor><Product>.
Lisää KQL-funktiosi imRegistry yhtenäistämis jäsentäjiin varmistaaksesi, että rekisteritapahtumamallia käyttävä sisältö käyttää myös uutta jäsennintä.
Jäsennysparametrien suodattaminen
Rekisteritapahtuman jäsentimet tukevat suodatusparametreja. Vaikka nämä parametrit ovat valinnaisia, ne voivat parantaa kyselyn suorituskykyä.
Seuraavat suodatusparametrit ovat käytettävissä:
| Nimi | Kirjoita | Kuvaus |
|---|---|---|
| aloitusaika | Datetime | Suodata vain rekisteritapahtumat, jotka tapahtuivat tällä hetkellä tai sen jälkeen. Tämä parametri suodattaa TimeGenerated kentän, joka on tapahtuman ajan vakiomäärittäjä riippumatta EventStartTime- ja EventEndTime-kenttien jäsennyskohtaisesta yhdistämisestä. |
| päättymisaika | Datetime | Suodata vain rekisteritapahtumat, jotka tapahtuivat tähän aikaan tai sitä ennen. Tämä parametri suodattaa TimeGenerated kentän, joka on tapahtuman ajan vakiomäärittäjä riippumatta EventStartTime- ja EventEndTime-kenttien jäsennyskohtaisesta yhdistämisestä. |
| eventtype_in | Dynaaminen | Suodata vain rekisteritapahtumat, joissa tapahtumatyyppi on jokin luettelon arvoista, mukaan lukien: RegistryKeyCreated, , RegistryKeyDeletedRegistryKeyRenamed, RegistryValueDeletedtai RegistryValueSet. |
| actorusername_has_any | Dynaaminen | Suodata vain rekisteritapahtumat, joissa toimijan käyttäjänimellä on jokin luetelluista arvoista. |
| registrykey_has_any | Dynaaminen | Suodata vain rekisteritapahtumat, joissa rekisteriavaimella on jokin luetelluista arvoista. |
| registryvalue_has_any | Dynaaminen | Suodata vain rekisteritapahtumat, joissa rekisteriarvolla on jokin luetelluista arvoista. |
| registrydata_has_any | Dynaaminen | Suodata vain rekisteritapahtumat, joissa rekisteritiedoissa on jokin luetelluista arvoista. |
| dvchostname_has_any | Dynaaminen | Suodata vain rekisteritapahtumat, joissa laitteen isäntänimellä on jokin luetelluista arvoista. |
Jos esimerkiksi haluat suodattaa vain viimeisen päivän rekisteriavaimen luontitapahtumat, käytä seuraavaa:
_Im_RegistryEvent (eventtype_in=dynamic(['RegistryKeyCreated']), starttime = ago(1d), endtime=now())
Normalisoitu sisältö
Microsoft Sentinel tarjoaa pysyvän IFEO-rekisteriavaimen metsästyskyselyn. Tämä kysely toimii rekisteritoimintojen tiedoissa, jotka on normalisoitu käyttämällä kehittyneiden suojaustietojen mallia.
Lisätietoja on artikkelissa Uhkien etsiminen Microsoft Sentinel.
Rakenteen tiedot
Rekisteritapahtuman tietomalli on tasattu OSSEM-rekisterientiteettirakenteen kanssa.
Yleiset ASIM-kentät
Tärkeää
Kaikille rakenteille yhteiset kentät on kuvattu yksityiskohtaisesti ASIM:n yleiset kentät - artikkelissa.
Yleiset kentät, joissa on tarkat ohjeet
Seuraavassa luettelossa mainitaan kentät, joissa on erityiset ohjeet prosessin toimintotapahtumia varten:
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Tapahtuman tyyppi | Pakollinen | Lueteltu | Kuvailee tietueen ilmoittaman toiminnon. Rekisteritietueiden tuettuja arvoja ovat seuraavat: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Pakollinen | SchemaVersion (merkkijono) | Rakenteen versio. Tässä dokumentoitu rakenteen versio on 0.1.3 |
| EventSchema | Pakollinen | Merkkijono | Tässä dokumentoitun rakenteen nimi on RegistryEvent. |
| Dvc-kentät | Rekisterin toimintotapahtumissa laitekentät viittaavat järjestelmään, jossa rekisteritoiminto ilmeni. |
Kaikki yleiset kentät
Alla olevassa taulukossa näkyvät kentät ovat yhteisiä kaikille ASIM-rakenteille. Kaikki edellä määritetyt ohjeet ohittavat kentän yleiset ohjeet. Kenttä voi olla esimerkiksi yleisesti valinnainen, mutta tietyn rakenteen pakollinen. Lisätietoja kustakin kentästä on ARTIKKELISSA ASIM:n yleiset kentät .
| Luokan | Kentät |
|---|---|
| Pakollinen |
-
Tapahtumien määrä - Tapahtuman alkamisaika - Tapahtuman aika - Tapahtuman tyyppi - Tapahtuman tulos - Tapahtuman tuote - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Suositellut |
-
EventResultDetails - Tapahtumankaltaisuus - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valinnainen |
-
Tapahtuman viesti - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Tapahtuman omistajan nimi - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Lisäkentät - DvcDescription - DvcScopeId - DvcScope |
Rekisteritapahtumakohtaiset kentät
Alla olevassa taulukossa luetellut kentät koskevat rekisteritapahtumia, mutta ne muistuttavat muiden rakenteiden kenttiä ja noudattavat samankaltaisia nimeämiskäytäntöjä.
Lisätietoja on Rekisterin rakenne Windows-ohjeissa.
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Rekisteriavain | Pakollinen | Merkkijono | Toimintoon liittyvä rekisteriavain normalisoitu perusavaimen vakionimen nimeämiskäytäntöihin. Lisätietoja on kohdassa Pääavaimet. Rekisteriavaimet muistuttavat tiedostojärjestelmien kansioita. Esimerkiksi: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Suositellut | Merkkijono | Toimintoon liittyvä rekisteriarvo. Rekisteriarvot muistuttavat tiedostojärjestelmien tiedostoja. Esimerkiksi: Path |
| RegistryValueType | Suositellut | Merkkijono | Rekisteriarvon tyyppi normalisoituna vakiolomakkeeseen. Lisätietoja on kohdassa Arvotyypit. Esimerkiksi: Reg_Expand_Sz |
| RegistryValueData | Suositellut | Merkkijono | Rekisteriarvoon tallennetut tiedot. Esimerkki C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | Suositellut | Merkkijono | Rekisteriä muokkaaville toiminnoille alkuperäinen rekisteriavain normalisoidaan vakiopääavaimen nimeämiseksi. Lisätietoja on kohdassa Pääavaimet. Huomautus: Jos toiminto muutti muita kenttiä, kuten arvoa, mutta avain pysyy samana, RegistryPreviousKey-arvo on sama kuin RegistryKey-arvolla. Esimerkki HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | Suositellut | Merkkijono | Rekisteriä muokkaaville toiminnoille alkuperäinen arvotyyppi normalisoidaan vakiolomakkeeseen. Lisätietoja on kohdassa Arvotyypit. Jos tyyppiä ei muutettu, tällä kentällä on sama arvo kuin RegistryValueType-kentällä . Esimerkki Path |
| RegistryPreviousValueType | Suositellut | Merkkijono | Rekisteriä muokkaaville toiminnoille alkuperäinen arvotyyppi. Jos tyyppiä ei muutettu, tällä kentällä on sama arvo kuin RegistryValueType-kentällä , joka normalisoidaan vakiolomakkeeseen. Lisätietoja on kohdassa Arvotyypit. Esimerkki Reg_Expand_Sz |
| RegistryPreviousValueData | Suositellut | Merkkijono | Rekisteriä muokkaaville toiminnoille alkuperäiset rekisteritiedot. Esimerkki C:\Windows\system32;C:\Windows; |
| Käyttäjä | Alias |
Alias ActorUsername-kenttään. Esimerkki CONTOSO\ dadmin |
|
| Prosessi | Alias |
Alias ActingProcessName-kenttään. Esimerkki C:\Windows\System32\rundll32.exe |
|
| Toimijan nimi | Pakollinen | Käyttäjänimi (merkkijono) | Tapahtuman aloittaneen käyttäjän käyttäjänimi. Esimerkki CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | Ehdollinen | Lueteltu | Määrittää ActorUsername-kenttään tallennetun käyttäjänimen tyypin. Lisätietoja on kohdassa Käyttäjä-entiteetti. Esimerkki Windows |
| ActorUserId | Suositellut | Merkkijono | Toimijan yksilöivä tunnus. Tietty tunnus määräytyy tapahtuman muodostavan järjestelmän mukaan. Lisätietoja on kohdassa Käyttäjä-entiteetti. Esimerkki S-1-5-18 |
| Näyttelijänskooppi | Valinnainen | Merkkijono | Laajuus, kuten Microsoft Entra vuokraaja, jossa ActorUserId ja ActorUsername on määritetty. jos haluat lisätietoja ja luettelon sallitut arvot, tutustu UserScope-artikkeliinRakenteen yleiskatsaus -artikkelissa. |
| ActorUserIdType | Ehdollinen | Lueteltu |
ActorUserId-kenttään tallennetun tunnuksen tyyppi. Lisätietoja on kohdassa Käyttäjä-entiteetti. Esimerkki SID |
| ActorSessionId | Valinnainen | Merkkijono | Toimijan kirjautumisistunnon yksilöivä tunnus. Esimerkki 999Huomautus: Tyyppi on määritetty merkkijonoksi , joka tukee vaihtelevia järjestelmiä, mutta Windowsissa tämän arvon on oltava numeerinen. Jos käytät Windows-konetta ja lähde lähettää eri tyypin, muista muuntaa arvo. Jos lähde esimerkiksi lähettää heksadesimaaliarvon, muunna se desimaaliarvoksi. |
| ActingProcessName | Valinnainen | Merkkijono | Toimivan prosessin kuvatiedoston tiedostonimi. Tätä nimeä pidetään yleensä prosessin nimenä. Esimerkki C:\Windows\explorer.exe |
| ActingProcessId | Pakollinen | Merkkijono | Prosessitunnus (PID) toimimisprosessille. Esimerkki 48610176 Huomautus: Tyyppi on määritetty merkkijonoksi, joka tukee vaihtelevia järjestelmiä, mutta Windowsissa ja Linux tämän arvon on oltava numeerinen. Jos käytät Windows- tai Linux konetta ja käytät eri tyyppiä, muista muuntaa arvot. Jos käytit esimerkiksi heksadesimaaliarvoa, muunna se desimaaliarvoksi. |
| ActingProcessGuid | Valinnainen | GUID (merkkijono) | Luodun yksilöivän tunnisteen (GUID) toimimisprosessille. Esimerkki EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Valinnainen | Merkkijono | Pääprosessin kuvatiedoston tiedostonimi. Tätä arvoa pidetään yleensä prosessin nimenä. Esimerkki C:\Windows\explorer.exe |
| ParentProcessId | Pakollinen | Merkkijono | Pääprosessin prosessitunnus (PID). Esimerkki 48610176 |
| ParentProcessGuid | Valinnainen | Merkkijono | Luotu yksilöivä tunnus (GUID) pääprosessille. Esimerkki EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Tarkastuskentät
Seuraavia kenttiä käytetään edustamaan kyseistä turvallisuusjärjestelmän suorittamaa tarkastusta, kuten EDR-järjestelmää.
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Säännön nimi | Valinnainen | Merkkijono | Tarkastuksen tuloksiin liittyvän säännön nimi tai tunnus. |
| Säännön numero | Valinnainen | Kokonaisluku | Tarkastustuloksiin liittyvän säännön numero. |
| Sääntö | Ehdollinen | Merkkijono | Joko kRuleName-arvo tai RuleNumber-arvo. Jos rulenumber-arvoa käytetään, tyyppi tulee muuntaa merkkijonoksi. |
| ThreatId | Valinnainen | Merkkijono | Tiedostotoiminnassa tunnistetun uhan tai haittaohjelman tunnus. |
| ThreatName | Valinnainen | Merkkijono | Tiedoston toiminnassa tunnistetun uhan tai haittaohjelman nimi. Esimerkki EICAR Test File |
| Uhkien luokka | Valinnainen | Merkkijono | Tiedostotoiminnassa tunnistetun uhan tai haittaohjelman luokka. Esimerkki Trojan |
| ThreatRiskLevel | Valinnainen | RiskLevel (kokonaisluku) | Tunnistettuun uhkaan liittyvä riskitaso. Tason on oltava luku väliltä 0 - 100. Huomautus: Arvo voidaan antaa lähdetietueessa käyttämällä eri asteikkoa, joka tulee normalisoida tähän mittakaavaan. Alkuperäinen arvo on tallennettava kohteeseen ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Valinnainen | Merkkijono | Raportointilaitteen ilmoittama riskitaso. |
| Uhkakenttä | Valinnainen | Merkkijono | Kenttä, josta uhka tunnistettiin. |
| ThreatConfidence | Valinnainen | ConfidenceLevel (kokonaisluku) | Tunnistetun uhan luottamustaso normalisoituna arvoon 0 - 100. |
| ThreatOriginalConfidence | Valinnainen | Merkkijono | Raportoijalaitteen ilmoittama tunnistaman uhan alkuperäinen luotettavuustaso. |
| ThreatIsActive | Valinnainen | Totuusarvo | Tosi, jos tunnistettua uhkaa pidetään aktiivisena uhkana. |
| ThreatFirstReportedTime | Valinnainen | Datetime | Ensimmäinen kerta, kun IP-osoite tai toimialue tunnistettiin uhaksi. |
| ThreatLastReportedTime | Valinnainen | Datetime | Edellisen kerran IP-osoite tai toimialue tunnistettiin uhaksi. |
Pääavaimet
Eri lähteet edustavat rekisteriavaimen etuliitteitä käyttämällä eri esityksiä. Käytä RegistryKey - ja RegistryPreviousKey-kentissä seuraavia normalisoituja etuliitteitä:
| Normalisoidun avaimen etuliite | Muut yhteiset esitykset |
|---|---|
| HKEY_LOCAL_MACHINE |
HKLM, \REGISTRY\MACHINE |
| HKEY_USERS |
HKU, \REGISTRY\USER |
Arvotyypit
Eri lähteet edustavat rekisteriarvotyyppejä käyttämällä eri esityksiä. Käytä RegistryValueType- ja RegistryPreviousValueType-kentissä seuraavia normalisoituja tyyppejä:
| Normalisoidun avaimen etuliite | Muut yhteiset esitykset |
|---|---|
| Reg_None |
None, %%1872 |
| Reg_sz |
String, %%1873 |
| Reg_expand_sz |
ExpandString, %%1874 |
| Reg_Binary |
Binary, %%1875 |
| Reg_dword |
Dword, %%1876 |
| Reg_multi_sz |
MultiString, %%1879 |
| Reg_QWord |
Qword, %%1883 |
Rakennepäivitykset
Nämä ovat rakenteen version 0.1.1 muutokset:
- Lisätty kenttä
EventSchema.
Nämä ovat rakenteen version 0.1.2 muutokset:
- Kentät
ActorScopeon lisätty ,DvcScopeIdjaDvcScope.
Nämä ovat rakenteen version 0.1.3 muutokset:
- Lisätty tarkastuskentät.
Seuraavat vaiheet
Lisätietoja on seuraavissa artikkeleissa: