Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Schemat för registerhändelse används för att beskriva Windows-aktiviteten för att skapa, ändra eller ta bort Windows-registerentiteter.
Registerhändelser är specifika för Windows-system, men rapporteras av olika system som övervakar Windows, till exempel EDR-system (End Point Detection and Response), Sysmon eller Själva Windows.
Mer information om normalisering i Microsoft Sentinel finns i Normalisering och ASIM (Advanced Security Information Model).
Tolkar
Om du vill använda den enande parsern som förenar alla inbyggda parsers och se till att din analys körs över alla konfigurerade källor använder du imRegistry som tabellnamn i frågan.
Listan över processhändelseparsers Microsoft Sentinel innehåller färdiga anvisningar finns i asim-parsers-listan
Distribuera de enande och källspecifika parsarna från Microsoft Sentinel GitHub-lagringsplatsen.
Mer information finns i ASIM-parsers och Använda ASIM-parsers.
Lägg till dina egna normaliserade parsers
När du implementerar anpassade parsers för registerhändelseinformationsmodellen namnger du dina KQL-funktioner med följande syntax: imRegistry<vendor><Product>.
Lägg till dina KQL-funktioner i de imRegistry enande parsarna för att säkerställa att allt innehåll som använder registerhändelsemodellen också använder din nya parser.
Filtrera parserparametrar
Registerhändelseparsers stöder filtreringsparametrar. Även om de här parametrarna är valfria kan de förbättra frågeprestandan.
Följande filtreringsparametrar är tillgängliga:
| Namn | Typ | Beskrivning |
|---|---|---|
| Starttime | Datetime | Filtrera endast registerhändelser som inträffat vid eller efter den här tiden. Den här parametern filtrerar fältet TimeGenerated , som är standarddesignatorn för tidpunkten för händelsen, oavsett parserspecifik mappning av fälten EventStartTime och EventEndTime. |
| Endtime | Datetime | Filtrera endast registerhändelser som inträffat vid eller före den här tiden. Den här parametern filtrerar fältet TimeGenerated , som är standarddesignatorn för tidpunkten för händelsen, oavsett parserspecifik mappning av fälten EventStartTime och EventEndTime. |
| eventtype_in | Dynamisk | Filtrera endast registerhändelser där händelsetypen är ett av de värden som anges, inklusive: RegistryKeyCreated, RegistryKeyDeleted, RegistryKeyRenamed, RegistryValueDeletedeller RegistryValueSet. |
| actorusername_has_any | Dynamisk | Filtrera endast registerhändelser där aktörens användarnamn har något av de angivna värdena. |
| registrykey_has_any | Dynamisk | Filtrera endast registerhändelser där registernyckeln har något av de angivna värdena. |
| registryvalue_has_any | Dynamisk | Filtrera endast registerhändelser där registervärdet har något av de angivna värdena. |
| registrydata_has_any | Dynamisk | Filtrera endast registerhändelser där registerdata har något av de angivna värdena. |
| dvchostname_has_any | Dynamisk | Filtrera endast registerhändelser där enhetens värdnamn har något av de angivna värdena. |
Om du till exempel bara vill filtrera händelser för att skapa registernycklar från den senaste dagen använder du:
_Im_RegistryEvent (eventtype_in=dynamic(['RegistryKeyCreated']), starttime = ago(1d), endtime=now())
Normaliserat innehåll
Microsoft Sentinel tillhandahåller frågan Persisting Via IFEO Registry Key hunting (Spara via IFEO-registernyckel). Den här frågan fungerar på registeraktivitetsdata som normaliseras med hjälp av Advanced Security Information Model.
Mer information finns i Söka efter hot med Microsoft Sentinel.
Schemainformation
Registerhändelseinformationsmodellen är anpassad efter ossem-registrets entitetsschema.
Vanliga ASIM-fält
Viktigt
Fält som är gemensamma för alla scheman beskrivs i detalj i artikeln vanliga ASIM-fält .
Vanliga fält med specifika riktlinjer
I följande lista nämns fält som har specifika riktlinjer för processaktivitetshändelser:
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| EventType | Obligatorisk | Uppräknade | Beskriver åtgärden som rapporterats av posten. För registerposter är följande värden som stöds: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Obligatorisk | SchemaVersion (sträng) | Versionen av schemat. Den version av schemat som dokumenteras här är 0.1.3 |
| EventSchema | Obligatorisk | Sträng | Namnet på schemat som dokumenteras här är RegistryEvent. |
| Dvc-fält | För registeraktivitetshändelser refererar enhetsfälten till det system där registeraktiviteten inträffade. |
Alla vanliga fält
Fält som visas i tabellen nedan är gemensamma för alla ASIM-scheman. Eventuella riktlinjer som anges ovan åsidosätter de allmänna riktlinjerna för fältet. Ett fält kan till exempel vara valfritt i allmänhet, men obligatoriskt för ett visst schema. Mer information om varje fält finns i artikeln vanliga ASIM-fält .
| Klass | Fält |
|---|---|
| Obligatorisk |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Rekommenderas |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valfritt |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Registerhändelsespecifika fält
Fälten som anges i tabellen nedan är specifika för registerhändelser, men liknar fält i andra scheman och följer liknande namngivningskonventioner.
Mer information finns i Registrets struktur i Windows-dokumentationen.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| RegistryKey | Obligatorisk | Sträng | Registernyckeln som är associerad med åtgärden, normaliserad till namngivningskonventioner för standardrotnycklar. Mer information finns i Rotnycklar. Registernycklar liknar mappar i filsystem. Till exempel: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Rekommenderas | Sträng | Registervärdet som är associerat med åtgärden. Registervärden liknar filer i filsystem. Till exempel: Path |
| RegistryValueType | Rekommenderas | Sträng | Typ av registervärde, normaliserat till standardformulär. Mer information finns i Värdetyper. Till exempel: Reg_Expand_Sz |
| RegistryValueData | Rekommenderas | Sträng | Data som lagras i registervärdet. Exempel: C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | Rekommenderas | Sträng | För åtgärder som ändrar registret normaliseras den ursprungliga registernyckeln till standardnamngivning av rotnycklar. Mer information finns i Rotnycklar. Obs! Om åtgärden ändrade andra fält, till exempel värdet, men nyckeln förblir densamma, har RegistryPreviousKey samma värde som RegistryKey. Exempel: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | Rekommenderas | Sträng | För åtgärder som ändrar registret normaliseras den ursprungliga värdetypen till standardformuläret. Mer information finns i Värdetyper. Om typen inte har ändrats har det här fältet samma värde som fältet RegistryValueType . Exempel: Path |
| RegistryPreviousValueType | Rekommenderas | Sträng | För åtgärder som ändrar registret, den ursprungliga värdetypen. Om typen inte har ändrats har det här fältet samma värde som fältet RegistryValueType , som normaliseras till standardformuläret. Mer information finns i Värdetyper. Exempel: Reg_Expand_Sz |
| RegistryPreviousValueData | Rekommenderas | Sträng | De ursprungliga registerdata för åtgärder som ändrar registret. Exempel: C:\Windows\system32;C:\Windows; |
| Användare | Alias | Alias för fältet ActorUsername . Exempel: CONTOSO\ dadmin |
|
| Process | Alias | Alias för fältet ActingProcessName . Exempel: C:\Windows\System32\rundll32.exe |
|
| ActorUsername | Obligatorisk | Användarnamn (sträng) | Användarnamnet för den användare som initierade händelsen. Exempel: CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | Villkorsstyrd | Uppräknade | Anger typen av användarnamn som lagras i fältet ActorUsername . Mer information finns i Användarentiteten. Exempel: Windows |
| ActorUserId | Rekommenderas | Sträng | Ett unikt ID för aktören. Det specifika ID:t beror på vilket system som genererar händelsen. Mer information finns i Användarentiteten. Exempel: S-1-5-18 |
| ActorScope | Valfritt | Sträng | Omfånget, till exempel Microsoft Entra klientorganisation, där ActorUserId och ActorUsername definieras. eller mer information och lista över tillåtna värden finns i UserScope i artikeln Schemaöversikt. |
| ActorUserIdType | Villkorsstyrd | Uppräknade | Typen av ID som lagras i fältet ActorUserId . Mer information finns i Användarentiteten. Exempel: SID |
| ActorSessionId | Valfritt | Sträng | Det unika ID:t för inloggningssessionen för aktören. Exempel: 999Obs! Typen definieras som sträng för att stödja olika system, men i Windows måste det här värdet vara numeriskt. Om du använder en Windows-dator och källan skickar en annan typ ska du konvertera värdet. Om källan till exempel skickar ett hexadecimalt värde konverterar du det till ett decimalvärde. |
| ActingProcessName | Valfritt | Sträng | Filnamnet på den tillförordnade processbildfilen. Det här namnet anses vanligtvis vara processnamnet. Exempel: C:\Windows\explorer.exe |
| ActingProcessId | Obligatorisk | Sträng | Process-ID (PID) för den agerar processen. Exempel: 48610176 Obs! Typen definieras som sträng för att stödja olika system, men i Windows och Linux måste det här värdet vara numeriskt. Om du använder en Windows- eller Linux dator och använder en annan typ ska du konvertera värdena. Om du till exempel använde ett hexadecimalt värde konverterar du det till ett decimalvärde. |
| ActingProcessGuid | Valfritt | GUID (sträng) | En genererad unik identifierare (GUID) för agerarprocessen. Exempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | Valfritt | Sträng | Filnamnet på den överordnade processbildfilen. Det här värdet anses vanligtvis vara processnamnet. Exempel: C:\Windows\explorer.exe |
| ParentProcessId | Obligatorisk | Sträng | Process-ID (PID) för den överordnade processen. Exempel: 48610176 |
| ParentProcessGuid | Valfritt | Sträng | En genererad unik identifierare (GUID) för den överordnade processen. Exempel: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Kontrollfält
Följande fält används för att representera inspektionen som utförs av ett säkerhetssystem, till exempel ett EDR-system.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| RuleName | Valfritt | Sträng | Namnet eller ID:t för regeln som associeras med inspektionsresultaten. |
| RuleNumber | Valfritt | Heltal | Numret på regeln som är associerad med inspektionsresultaten. |
| Regel | Villkorsstyrd | Sträng | Antingen värdet för kRuleName eller värdet för RuleNumber. Om värdet för RuleNumber används ska typen konverteras till sträng. |
| ThreatId | Valfritt | Sträng | ID:t för det hot eller den skadliga kod som identifieras i filaktiviteten. |
| ThreatName | Valfritt | Sträng | Namnet på det hot eller den skadliga kod som identifieras i filaktiviteten. Exempel: EICAR Test File |
| ThreatCategory | Valfritt | Sträng | Kategorin för det hot eller den skadliga kod som identifieras i filaktiviteten. Exempel: Trojan |
| ThreatRiskLevel | Valfritt | RiskLevel (heltal) | Den risknivå som är associerad med det identifierade hotet. Nivån ska vara ett tal mellan 0 och 100. Obs! Värdet kan anges i källposten med hjälp av en annan skala, som ska normaliseras till den här skalan. Det ursprungliga värdet ska lagras i ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Valfritt | Sträng | Risknivån som rapporteras av rapporteringsenheten. |
| ThreatField | Valfritt | Sträng | Det fält för vilket ett hot identifierades. |
| ThreatConfidence | Valfritt | ConfidenceLevel (heltal) | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatOriginalConfidence | Valfritt | Sträng | Den ursprungliga konfidensnivån för det identifierade hotet, enligt rapporteringsenhetens rapporter. |
| ThreatIsActive | Valfritt | Boolesk | Sant om det identifierade hotet anses vara ett aktivt hot. |
| ThreatFirstReportedTime | Valfritt | Datetime | Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatLastReportedTime | Valfritt | Datetime | Senaste gången IP-adressen eller domänen identifierades som ett hot. |
Rotnycklar
Olika källor representerar registernyckelprefix med olika representationer. För fälten RegistryKey och RegistryPreviousKey använder du följande normaliserade prefix:
| Normaliserat nyckelprefix | Andra vanliga representationer |
|---|---|
| HKEY_LOCAL_MACHINE |
HKLM, \REGISTRY\MACHINE |
| HKEY_USERS |
HKU, \REGISTRY\USER |
Värdetyper
Olika källor representerar registervärdetyper med olika representationer. Använd följande normaliserade typer för fälten RegistryValueType och RegistryPreviousValueType :
| Normaliserat nyckelprefix | Andra vanliga representationer |
|---|---|
| Reg_None |
None, %%1872 |
| Reg_sz |
String, %%1873 |
| Reg_expand_sz |
ExpandString, %%1874 |
| Reg_binary |
Binary, %%1875 |
| Reg_dword |
Dword, %%1876 |
| Reg_multi_sz |
MultiString, %%1879 |
| Reg_QWord |
Qword, %%1883 |
Schemauppdateringar
Det här är ändringarna i version 0.1.1 av schemat:
- Fältet har lagts till
EventSchema.
Det här är ändringarna i version 0.1.2 av schemat:
- Fälten ,
DvcScopeIdochDvcScopehar lagtsActorScopetill.
Det här är ändringarna i version 0.1.3 av schemat:
- Kontrollfält har lagts till.
Nästa steg
Mer information finns i: