Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Registerhendelsesskjemaet brukes til å beskrive Windows-aktiviteten for å opprette, endre eller slette Windows-registerenheter.
Registerhendelser er spesifikke for Windows-systemer, men rapporteres av ulike systemer som overvåker Windows, for eksempel EDR-systemer (End Point Detection and Response), Sysmon eller Windows.
Hvis du vil ha mer informasjon om normalisering i Microsoft Sentinel, kan du se Normalisering og ASIM (Advanced Security Information Model).
Parsere
Hvis du vil bruke den samlende analysen som forener alle de innebygde parserne, og sikre at analysen kjører på tvers av alle de konfigurerte kildene, kan du bruke imRegistry som tabellnavn i spørringen.
Se ASIM-analyselisten for listen over prosesshendelsesanalyser Microsoft Sentinel
Distribuer de samlende og kildespesifikke parserne fra Microsoft Sentinel GitHub-repositoriet.
Hvis du vil ha mer informasjon, kan du se ASIM-analyser og bruke ASIM-analyser.
Legg til dine egne normaliserte analyser
Når du implementerer egendefinerte analyser for informasjonsmodellen registerhendelser, kan du gi navn til KQL-funksjonene ved hjelp av følgende syntaks: imRegistry<vendor><Product>.
Legg til KQL-funksjonene i de imRegistry samlende parserne for å sikre at alt innhold som bruker Registerhendelse-modellen, også bruker den nye parseren.
Parametere for filtreringsanalyse
Registerhendelsesanalyser støtter filtreringsparametere. Selv om disse parameterne er valgfrie, kan de forbedre spørringsytelsen.
Følgende filtreringsparametere er tilgjengelige:
| Navn | Type: | Beskrivelse |
|---|---|---|
| starttidspunkt | Datetime | Filtrer bare registerhendelser som oppstod på eller etter dette tidspunktet. Denne parameteren TimeGenerated filtrerer på feltet, som er standardutformingen for tidspunktet for hendelsen, uavhengig av den parserspesifikke tilordningen av EventStartTime- og EventEndTime-feltene. |
| Endtime | Datetime | Filtrer bare registerhendelser som oppstod på eller før dette tidspunktet. Denne parameteren TimeGenerated filtrerer på feltet, som er standardutformingen for tidspunktet for hendelsen, uavhengig av den parserspesifikke tilordningen av EventStartTime- og EventEndTime-feltene. |
| eventtype_in | Dynamisk | Filtrer bare registerhendelser der hendelsestypen er én av verdiene som er oppført, inkludert: RegistryKeyCreated, RegistryKeyDeleted, RegistryKeyRenamed, RegistryValueDeleted, eller RegistryValueSet. |
| actorusername_has_any | Dynamisk | Filtrer bare registerhendelser der aktørbrukernavnet har noen av de oppførte verdiene. |
| registrykey_has_any | Dynamisk | Filtrer bare registerhendelser der registernøkkelen har noen av de oppførte verdiene. |
| registryvalue_has_any | Dynamisk | Filtrer bare registerhendelser der registerverdien har noen av de oppførte verdiene. |
| registrydata_has_any | Dynamisk | Filtrer bare registerhendelser der registerdataene har noen av de oppførte verdiene. |
| dvchostname_has_any | Dynamisk | Filtrer bare registerhendelser der enhetens vertsnavn har noen av de oppførte verdiene. |
Hvis du for eksempel bare vil filtrere hendelser for oppretting av registernøkkel fra den siste dagen, bruker du:
_Im_RegistryEvent (eventtype_in=dynamic(['RegistryKeyCreated']), starttime = ago(1d), endtime=now())
Normalisert innhold
Microsoft Sentinel inneholder jaktspørringen Persisting Via IFEO Registry Key. Denne spørringen fungerer på alle registeraktivitetsdata som er normalisert ved hjelp av Advanced Security Information Model.
Hvis du vil ha mer informasjon, kan du se Hunt for trusler med Microsoft Sentinel.
Skjemadetaljer
Informasjonsmodellen for registerhendelse er på linje med OSSEM-registerenhetsskjemaet.
Vanlige ASIM-felt
Viktig
Felt som er felles for alle skjemaer, beskrives i detalj i artikkelen ASIM Common Fields .
Vanlige felt med spesifikke retningslinjer
Listen nedenfor nevner felt som har spesifikke retningslinjer for prosessaktivitetshendelser:
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| Eventtype | Obligatorisk | Nummerert | Beskriver operasjonen som er rapportert av posten. For registeroppføringer omfatter støttede verdier: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Obligatorisk | SchemaVersion (streng) | Versjonen av skjemaet. Versjonen av skjemaet som er dokumentert her, er 0.1.3 |
| EventSchema | Obligatorisk | Streng | Navnet på skjemaet som er dokumentert her, er RegistryEvent. |
| Dvc-felt | For registeraktivitetshendelser refererer enhetsfelt til systemet der registeraktiviteten oppstod. |
Alle fellesfelt
Felt som vises i tabellen nedenfor, er felles for alle ASIM-skjemaer. Alle retningslinjer som er angitt ovenfor, overstyrer de generelle retningslinjene for feltet. Et felt kan for eksempel være valgfritt generelt, men obligatorisk for et bestemt skjema. Hvis du vil ha mer informasjon om hvert felt, kan du se artikkelen ASIM Common Fields .
| Klasse | Felt |
|---|---|
| Obligatorisk |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Anbefalt |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valgfri |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOer - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Bestemte felt for registerhendelse
Feltene som er oppført i tabellen nedenfor, er spesifikke for registerhendelser, men ligner på felt i andre skjemaer og følger lignende navnekonvensjoner.
Hvis du vil ha mer informasjon, kan du se struktur på registeret i Windows-dokumentasjonen.
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| RegistryKey | Obligatorisk | Streng | Registernøkkelen som er knyttet til operasjonen, normalisert til standard navnekonvensjoner for rotnøkkel. Hvis du vil ha mer informasjon, kan du se Rottaster. Registernøkler ligner mapper i filsystemer. For eksempel: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Anbefalt | Streng | Registerverdien som er knyttet til operasjonen. Registerverdier ligner på filer i filsystemer. For eksempel: Path |
| RegistryValueType | Anbefalt | Streng | Typen registerverdi, normalisert til standardskjema. Hvis du vil ha mer informasjon, kan du se Verdityper. For eksempel: Reg_Expand_Sz |
| RegistryValueData | Anbefalt | Streng | Dataene som er lagret i registerverdien. Eksempel: C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | Anbefalt | Streng | For operasjoner som endrer registeret, normaliseres den opprinnelige registernøkkelen til standard rotnøkkelnavn. Hvis du vil ha mer informasjon, kan du se Rottaster. Obs! Hvis operasjonen endret andre felt, for eksempel verdien, men nøkkelen forblir den samme, har RegistryPreviousKey samme verdi som RegistryKey. Eksempel: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | Anbefalt | Streng | For operasjoner som endrer registeret, den opprinnelige verditypen, normalisert til standardskjemaet. Hvis du vil ha mer informasjon, kan du se Verdityper. Hvis typen ikke ble endret, har dette feltet samme verdi som RegistryValueType-feltet . Eksempel: Path |
| RegistryPreviousValueType | Anbefalt | Streng | For operasjoner som endrer registeret, den opprinnelige verditypen. Hvis typen ikke ble endret, har dette feltet samme verdi som RegistryValueType-feltet , normalisert til standardskjemaet. Hvis du vil ha mer informasjon, kan du se Verdityper. Eksempel: Reg_Expand_Sz |
| RegistryPreviousValueData | Anbefalt | Streng | De opprinnelige registerdataene for operasjoner som endrer registeret. Eksempel: C:\Windows\system32;C:\Windows; |
| Bruker | Alias | Alias til ActorUsername-feltet . Eksempel: CONTOSO\ dadmin |
|
| Prosessen | Alias | Alias til ActingProcessName-feltet . Eksempel: C:\Windows\System32\rundll32.exe |
|
| ActorUsername | Obligatorisk | Brukernavn (streng) | Brukernavnet til brukeren som startet hendelsen. Eksempel: CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | Betinget | Nummerert | Angir typen brukernavn som er lagret i ActorUsername-feltet . Hvis du vil ha mer informasjon, kan du se Bruker-enheten. Eksempel: Windows |
| ActorUserId | Anbefalt | Streng | En unik ID for skuespilleren. Den spesifikke ID-en avhenger av systemet som genererer hendelsen. Hvis du vil ha mer informasjon, kan du se Bruker-enheten. Eksempel: S-1-5-18 |
| ActorScope | Valgfri | Streng | Omfanget, for eksempel Microsoft Entra tenant, der ActorUserId og ActorUsername er definert. eller mer informasjon og liste over tillatte verdier, kan du se UserScope i artikkelen Oversikt over skjema. |
| ActorUserIdType | Betinget | Nummerert | Typen ID som er lagret i ActorUserId-feltet . Hvis du vil ha mer informasjon, kan du se Bruker-enheten. Eksempel: SID |
| ActorSessionId | Valgfri | Streng | Den unike ID-en for påloggingsøkten for aktøren. Eksempel: 999Obs! Typen er definert som streng for å støtte forskjellige systemer, men i Windows må denne verdien være numerisk. Hvis du bruker en Windows-maskin og kilden sender en annen type, må du sørge for å konvertere verdien. Hvis kilde for eksempel sender en heksadesimal verdi, konverterer du den til en desimalverdi. |
| ActingProcessName | Valgfri | Streng | Filnavnet til bildefilen for fungerende prosess. Dette navnet anses vanligvis som prosessnavnet. Eksempel: C:\Windows\explorer.exe |
| ActingProcessId | Obligatorisk | Streng | Prosess-ID-en (PID) for den fungerende prosessen. Eksempel: 48610176 Obs! Typen er definert som streng for å støtte forskjellige systemer, men i Windows og Linux må denne verdien være numerisk. Hvis du bruker en Windows- eller Linux-maskin og brukte en annen type, må du konvertere verdiene. Hvis du for eksempel brukte en heksadesimal verdi, konverterer du den til en desimalverdi. |
| ActingProcessGuid | Valgfri | GUID (streng) | En generert unik identifikator (GUID) for den fungerende prosessen. Eksempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Valgfri | Streng | Filnavnet til den overordnede prosessbildefilen. Denne verdien anses vanligvis som prosessnavnet. Eksempel: C:\Windows\explorer.exe |
| ParentProcessId | Obligatorisk | Streng | Prosess-ID -en (PID) for den overordnede prosessen. Eksempel: 48610176 |
| ParentProcessGuid | Valgfri | Streng | En generert unik identifikator (GUID) for den overordnede prosessen. Eksempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Inspeksjonsfelt
Følgende felt brukes til å representere denne inspeksjonen utført av et sikkerhetssystem som et slikt EDR-system.
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| Regelnavn | Valgfri | Streng | Navnet eller ID-en for regelen ved å knytte til inspeksjonsresultatene. |
| Regelnummer | Valgfri | Heltall | Nummeret på regelen som er knyttet til inspeksjonsresultatene. |
| Regelen | Betinget | Streng | Verdien av kRuleName eller verdien til RuleNumber. Hvis verdien for RuleNumber brukes, bør typen konverteres til streng. |
| ThreatId | Valgfri | Streng | ID-en til trusselen eller skadelig programvare som er identifisert i filaktiviteten. |
| ThreatName | Valgfri | Streng | Navnet på trusselen eller skadelig programvare som er identifisert i filaktiviteten. Eksempel: EICAR Test File |
| Trusselkategori | Valgfri | Streng | Kategorien for trusselen eller skadelig programvare som er identifisert i filaktiviteten. Eksempel: Trojan |
| ThreatRiskLevel | Valgfri | RiskLevel (heltall) | Risikonivået som er knyttet til den identifiserte trusselen. Nivået må være et tall mellom 0 og 100. Obs! Verdien kan angis i kildeposten ved hjelp av en annen skala, som skal normaliseres til denne skalaen. Den opprinnelige verdien bør lagres i ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Valgfri | Streng | Risikonivået som rapporteres av rapporteringsenheten. |
| ThreatField | Valgfri | Streng | Feltet som en trussel ble identifisert for. |
| ThreatConfidence | Valgfri | Konfidensnivå (heltall) | Konfidensnivået til trusselen som er identifisert, normalisert til en verdi mellom 0 og 100. |
| ThreatOriginalConfidence | Valgfri | Streng | Det opprinnelige konfidensnivået for trusselen identifisert, som rapportert av rapporteringsenheten. |
| ThreatIsActive | Valgfri | Boolsk | Sann hvis trusselen som identifiseres, anses som en aktiv trussel. |
| ThreatFirstReportedTime | Valgfri | Datetime | Første gang IP-adressen eller domenet ble identifisert som en trussel. |
| ThreatLastReportedTime | Valgfri | Datetime | Siste gang IP-adressen eller domenet ble identifisert som en trussel. |
Rottaster
Ulike kilder representerer prefikser for registernøkkel ved hjelp av ulike representasjoner. Bruk følgende normaliserte prefikser for RegistryKey - og RegistryPreviousKey-feltene :
| Normalisert nøkkelprefiks | Andre vanlige representasjoner |
|---|---|
| HKEY_LOCAL_MACHINE |
HKLM, \REGISTRY\MACHINE |
| HKEY_USERS |
HKU, \REGISTRY\USER |
Verdityper
Ulike kilder representerer registerverdityper ved hjelp av ulike representasjoner. Bruk følgende normaliserte typer for feltene RegistryValueType og RegistryPreviousValueType :
| Normalisert nøkkelprefiks | Andre vanlige representasjoner |
|---|---|
| Reg_None |
None, %%1872 |
| Reg_sz |
String, %%1873 |
| Reg_expand_sz |
ExpandString, %%1874 |
| Reg_Binary |
Binary, %%1875 |
| Reg_dword |
Dword, %%1876 |
| Reg_multi_sz |
MultiString, %%1879 |
| Reg_QWord |
Qword, %%1883 |
Skjemaoppdateringer
Dette er endringene i versjon 0.1.1 av skjemaet:
- La til feltet
EventSchema.
Dette er endringene i versjon 0.1.2 av skjemaet:
- La til feltene
ActorScope,DvcScopeIdogDvcScope.
Dette er endringene i versjon 0.1.3 av skjemaet:
- Lagt til inspeksjonsfelt.
Neste trinn
Hvis du vil ha mer informasjon, kan du se: