Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het schema Register-gebeurtenis wordt gebruikt om de Windows-activiteit te beschrijven van het maken, wijzigen of verwijderen van Windows-registerentiteiten.
Registergebeurtenissen zijn specifiek voor Windows-systemen, maar worden gerapporteerd door verschillende systemen die Windows bewaken, zoals EDR-systemen (End Point Detection and Response), Sysmon of Windows zelf.
Zie Normalisatie en het Advanced Security Information Model (ASIM) voor meer informatie over normalisatie in Microsoft Sentinel.
Parsers
Als u de samenvoegingsparser wilt gebruiken waarmee alle ingebouwde parsers worden samengevoegd en ervoor wilt zorgen dat uw analyse wordt uitgevoerd in alle geconfigureerde bronnen, gebruikt u imRegistry als tabelnaam in uw query.
Voor de lijst met procesgebeurtenisparsesers Microsoft Sentinel out-of-the-box biedt, raadpleegt u de lijst met ASIM-parsers
Implementeer de samenvoegende en bronspecifieke parsers vanuit de Microsoft Sentinel GitHub-opslagplaats.
Zie ASIM-parsers en ASIM-parsers gebruiken voor meer informatie.
Uw eigen genormaliseerde parsers toevoegen
Wanneer u aangepaste parsers implementeert voor het registergebeurtenisinformatiemodel, geeft u de KQL-functies een naam met behulp van de volgende syntaxis: imRegistry<vendor><Product>.
Voeg uw KQL-functies toe aan de imRegistry samenvoegingsparseer om ervoor te zorgen dat inhoud met het registergebeurtenismodel ook uw nieuwe parser gebruikt.
Parameters voor filteren van parser
De register gebeurtenis parsers ondersteunen filterparameters. Hoewel deze parameters optioneel zijn, kunnen ze uw queryprestaties verbeteren.
De volgende filterparameters zijn beschikbaar:
| Naam | Type | Beschrijving |
|---|---|---|
| Starttime | Datetime | Filter alleen registergebeurtenissen die zijn opgetreden op of na deze tijd. Deze parameter filtert op het TimeGenerated veld, dat de standaardindeling is voor de tijd van de gebeurtenis, ongeacht de parserspecifieke toewijzing van de velden EventStartTime en EventEndTime. |
| Eindtijd | Datetime | Filter alleen registergebeurtenissen die zich op of vóór deze tijd hebben voorgedaan. Deze parameter filtert op het TimeGenerated veld, dat de standaardindeling is voor de tijd van de gebeurtenis, ongeacht de parserspecifieke toewijzing van de velden EventStartTime en EventEndTime. |
| eventtype_in | Dynamische | Filter alleen registerevenementen waarbij het gebeurtenistype een van de vermelde waarden is, waaronder: RegistryKeyCreated, RegistryKeyDeleted, RegistryKeyRenamed, RegistryValueDeleted, of RegistryValueSet. |
| actorusername_has_any | Dynamische | Filter alleen registergebeurtenissen waarbij de gebruikersnaam van de actor een van de vermelde waarden heeft. |
| registrykey_has_any | Dynamische | Filter alleen registergebeurtenissen waarbij de registersleutel een van de vermelde waarden heeft. |
| registryvalue_has_any | Dynamische | Filter alleen registergebeurtenissen waarbij de registerwaarde een van de vermelde waarden heeft. |
| registrydata_has_any | Dynamische | Filter alleen registergebeurtenissen waarbij de registergegevens een van de vermelde waarden hebben. |
| dvchostname_has_any | Dynamische | Filter alleen registergebeurtenissen waarbij de hostnaam van het apparaat een van de vermelde waarden heeft. |
Als u bijvoorbeeld alleen gebeurtenissen van het maken van registersleutels van de laatste dag wilt filteren, gebruikt u:
_Im_RegistryEvent (eventtype_in=dynamic(['RegistryKeyCreated']), starttime = ago(1d), endtime=now())
Genormaliseerde inhoud
Microsoft Sentinel biedt de opsporingsquery Persistenting Via IFEO-registersleutel. Deze query werkt op alle registeractiviteitsgegevens die zijn genormaliseerd met behulp van het Advanced Security Information Model.
Zie Bedreigingen opsporen met Microsoft Sentinel voor meer informatie.
Schemadetails
Het informatiemodel voor register gebeurtenis is afgestemd op het entiteitsschema van het OSSEM-register.
Algemene ASIM-velden
Belangrijk
Algemene velden voor alle schema's worden uitgebreid beschreven in het artikel Algemene velden van ASIM .
Algemene velden met specifieke richtlijnen
In de volgende lijst worden velden vermeld met specifieke richtlijnen voor procesactiviteitsevenementen:
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| EventType | Verplicht | Opgesomde | Beschrijft de bewerking die door de record wordt gerapporteerd. Voor registerrecords zijn ondersteunde waarden onder andere: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Verplicht | SchemaVersion (tekenreeks) | De versie van het schema. De versie van het schema dat hier wordt beschreven, is 0.1.3 |
| EventSchema | Verplicht | Tekenreeks | De naam van het schema dat hier wordt beschreven, is RegistryEvent. |
| Dvc-velden | Voor registeractiviteitsgebeurtenissen verwijzen apparaatvelden naar het systeem waarop de registeractiviteit heeft plaatsgevonden. |
Alle algemene velden
Velden die in de onderstaande tabel worden weergegeven, zijn gemeenschappelijk voor alle ASIM-schema's. Elke hierboven opgegeven richtlijn overschrijft de algemene richtlijnen voor het veld. Een veld kan bijvoorbeeld in het algemeen optioneel zijn, maar verplicht voor een specifiek schema. Raadpleeg het artikel Algemene velden van ASIM voor meer informatie over elk veld.
| Klasse | Velden |
|---|---|
| Verplicht |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Aanbevolen |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optioneel |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcO's - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Register gebeurtenisspecifieke velden
De velden in de onderstaande tabel zijn specifiek voor Register-gebeurtenissen, maar zijn vergelijkbaar met velden in andere schema's en volgen vergelijkbare naamconventies.
Zie Structuur van het register in Windows-documentatie voor meer informatie.
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| RegistryKey | Verplicht | Tekenreeks | De registersleutel die is gekoppeld aan de bewerking, genormaliseerd naar standaard naamgevingsconventies voor basissleutels. Zie Basissleutels voor meer informatie. Registersleutels zijn vergelijkbaar met mappen in bestandssystemen. Bijvoorbeeld: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Aanbevolen | Tekenreeks | De registerwaarde die is gekoppeld aan de bewerking. Registerwaarden zijn vergelijkbaar met bestanden in bestandssystemen. Bijvoorbeeld: Path |
| RegistryValueType | Aanbevolen | Tekenreeks | Het type registerwaarde, genormaliseerd naar standaardvorm. Zie Waardetypen voor meer informatie. Bijvoorbeeld: Reg_Expand_Sz |
| RegistryValueData | Aanbevolen | Tekenreeks | De gegevens die zijn opgeslagen in de registerwaarde. Voorbeeld: C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | Aanbevolen | Tekenreeks | Voor bewerkingen die het register wijzigen, is de oorspronkelijke registersleutel genormaliseerd naar de standaardnaamgeving van de basissleutel. Zie Basissleutels voor meer informatie. Opmerking: als de bewerking andere velden heeft gewijzigd, zoals de waarde, maar de sleutel hetzelfde blijft, heeft de RegistryPreviousKey dezelfde waarde als RegistryKey. Voorbeeld: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | Aanbevolen | Tekenreeks | Voor bewerkingen die het register wijzigen, wordt het oorspronkelijke waardetype genormaliseerd naar het standaardformulier. Zie Waardetypen voor meer informatie. Als het type niet is gewijzigd, heeft dit veld dezelfde waarde als het veld RegistryValueType . Voorbeeld: Path |
| RegistryPreviousValueType | Aanbevolen | Tekenreeks | Voor bewerkingen die het register wijzigen, is het oorspronkelijke waardetype. Als het type niet is gewijzigd, heeft dit veld dezelfde waarde als het veld RegistryValueType , genormaliseerd naar het standaardformulier. Zie Waardetypen voor meer informatie. Voorbeeld: Reg_Expand_Sz |
| RegistryPreviousValueData | Aanbevolen | Tekenreeks | De oorspronkelijke registergegevens voor bewerkingen die het register wijzigen. Voorbeeld: C:\Windows\system32;C:\Windows; |
| Gebruiker | Alias | Alias naar het veld ActorUsername . Voorbeeld: CONTOSO\ dadmin |
|
| Proces | Alias | Alias naar het veld ActingProcessName . Voorbeeld: C:\Windows\System32\rundll32.exe |
|
| ActorUsername | Verplicht | Gebruikersnaam (tekenreeks) | De gebruikersnaam van de gebruiker die de gebeurtenis heeft geïnitieerd. Voorbeeld: CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | Voorwaardelijke | Opgesomde | Hiermee geeft u het type van de gebruikersnaam op dat is opgeslagen in het veld ActorUsername . Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: Windows |
| ActorUserId | Aanbevolen | Tekenreeks | Een unieke id van de actor. De specifieke id is afhankelijk van het systeem dat de gebeurtenis genereert. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: S-1-5-18 |
| ActorScope | Optioneel | Tekenreeks | Het bereik, zoals Microsoft Entra tenant, waarin ActorUserId en ActorUsername zijn gedefinieerd. of zie UserScope in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| ActorUserIdType | Voorwaardelijke | Opgesomde | Het type id dat is opgeslagen in het veld ActorUserId . Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: SID |
| ActorSessionId | Optioneel | Tekenreeks | De unieke id van de aanmeldingssessie van de Actor. Voorbeeld: 999Opmerking: Het type is gedefinieerd als tekenreeks voor ondersteuning van verschillende systemen, maar in Windows moet deze waarde numeriek zijn. Als u een Windows-computer gebruikt en de bron een ander type verzendt, moet u de waarde converteren. Als de bron bijvoorbeeld een hexadecimale waarde verzendt, converteert u deze naar een decimale waarde. |
| ActingProcessName | Optioneel | Tekenreeks | De bestandsnaam van het afbeeldingsbestand van het actieve proces. Deze naam wordt doorgaans beschouwd als de procesnaam. Voorbeeld: C:\Windows\explorer.exe |
| ActingProcessId | Verplicht | Tekenreeks | De proces-id (PID) van het actieve proces. Voorbeeld: 48610176 Opmerking: Het type wordt gedefinieerd als tekenreeks voor ondersteuning van verschillende systemen, maar in Windows en Linux moet deze waarde numeriek zijn. Als u een Windows- of Linux-machine gebruikt en een ander type hebt gebruikt, moet u de waarden converteren. Als u bijvoorbeeld een hexadecimale waarde hebt gebruikt, converteert u deze naar een decimale waarde. |
| ActingProcessGuid | Optioneel | GUID (tekenreeks) | Een gegenereerde unieke id (GUID) van het acterende proces. Voorbeeld: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Optioneel | Tekenreeks | De bestandsnaam van het bovenliggende procesafbeeldingsbestand. Deze waarde wordt doorgaans beschouwd als de procesnaam. Voorbeeld: C:\Windows\explorer.exe |
| ParentProcessId | Verplicht | Tekenreeks | De proces-id (PID) van het bovenliggende proces. Voorbeeld: 48610176 |
| ParentProcessGuid | Optioneel | Tekenreeks | Een gegenereerde unieke id (GUID) van het bovenliggende proces. Voorbeeld: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Inspectievelden
De volgende velden worden gebruikt om die inspectie weer te geven die wordt uitgevoerd door een beveiligingssysteem zoals een EDR-systeem.
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| RuleName | Optioneel | Tekenreeks | De naam of id van de regel die is gekoppeld aan de inspectieresultaten. |
| RuleNumber | Optioneel | Geheel getal | Het nummer van de regel die is gekoppeld aan de inspectieresultaten. |
| Regel | Voorwaardelijke | Tekenreeks | De waarde van kRuleName of de waarde van RuleNumber. Als de waarde van RuleNumber wordt gebruikt, moet het type worden geconverteerd naar tekenreeks. |
| ThreatId | Optioneel | Tekenreeks | De id van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit. |
| ThreatName | Optioneel | Tekenreeks | De naam van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit. Voorbeeld: EICAR Test File |
| ThreatCategory | Optioneel | Tekenreeks | De categorie van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit. Voorbeeld: Trojan |
| ThreatRiskLevel | Optioneel | RiskLevel (geheel getal) | Het risiconiveau dat is gekoppeld aan de geïdentificeerde bedreiging. Het niveau moet een getal tussen 0 en 100 zijn. Opmerking: de waarde kan worden opgegeven in de bronrecord met behulp van een andere schaal, die moet worden genormaliseerd naar deze schaal. De oorspronkelijke waarde moet worden opgeslagen in ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Optioneel | Tekenreeks | Het risiconiveau zoals gerapporteerd door het rapportageapparaat. |
| ThreatField | Optioneel | Tekenreeks | Het veld waarvoor een bedreiging is geïdentificeerd. |
| ThreatConfidence | Optioneel | ConfidenceLevel (geheel getal) | Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd naar een waarde tussen 0 en een 100. |
| ThreatOriginalConfidence | Optioneel | Tekenreeks | Het oorspronkelijke betrouwbaarheidsniveau van de geïdentificeerde bedreiging, zoals gerapporteerd door het rapportageapparaat. |
| ThreatIsActive | Optioneel | Booleaanse waarde | Waar als de geïdentificeerde bedreiging wordt beschouwd als een actieve bedreiging. |
| ThreatFirstReportedTime | Optioneel | Datetime | De eerste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging. |
| ThreatLastReportedTime | Optioneel | Datetime | De laatste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging. |
Hoofdsleutels
Verschillende bronnen vertegenwoordigen registersleutelvoorvoegsels met verschillende representaties. Gebruik voor de velden RegistryKey en RegistryPreviousKey de volgende genormaliseerde voorvoegsels:
| Genormaliseerd sleutelvoorvoegsel | Andere algemene representaties |
|---|---|
| HKEY_LOCAL_MACHINE |
HKLM, \REGISTRY\MACHINE |
| HKEY_USERS |
HKU, \REGISTRY\USER |
Waardetypen
Verschillende bronnen vertegenwoordigen typen registerwaarden met behulp van verschillende representaties. Gebruik voor de velden RegistryValueType en RegistryPreviousValueType de volgende genormaliseerde typen:
| Genormaliseerd sleutelvoorvoegsel | Andere algemene representaties |
|---|---|
| Reg_None |
None, %%1872 |
| Reg_sz |
String, %%1873 |
| Reg_expand_sz |
ExpandString, %%1874 |
| Reg_binary |
Binary, %%1875 |
| Reg_dword |
Dword, %%1876 |
| Reg_multi_sz |
MultiString, %%1879 |
| Reg_QWord |
Qword, %%1883 |
Schema-updates
Dit zijn de wijzigingen in versie 0.1.1 van het schema:
- Het veld
EventSchemais toegevoegd.
Dit zijn de wijzigingen in versie 0.1.2 van het schema:
- De velden
ActorScope,DvcScopeIdenDvcScopezijn toegevoegd.
Dit zijn de wijzigingen in versie 0.1.3 van het schema:
- Inspectievelden toegevoegd.
Volgende stappen
Zie voor meer informatie:
- Normalisatie in Microsoft Sentinel
- naslaginformatie over Microsoft Sentinel verificatienormalisatieschema
- naslaginformatie over dns-normalisatieschema's Microsoft Sentinel
- Naslaginformatie over het normalisatieschema voor Microsoft Sentinel-bestand
- Microsoft Sentinel naslaginformatie over netwerknormalisatieschema's