Gelişmiş Güvenlik Bilgileri Modeli (ASIM) Kayıt Defteri Olayı normalleştirme şema başvurusu (Genel önizleme)
Kayıt Defteri Olay şeması, Windows Kayıt Defteri varlıklarını oluşturma, değiştirme veya silme işleminin Windows etkinliğini açıklamak için kullanılır.
Kayıt defteri olayları Windows sistemlerine özeldir, ancak EDR (Bitiş Noktası Algılama ve Yanıt) sistemleri, Sysmon veya Windows gibi Windows'un kendisini izleyen farklı sistemler tarafından bildirilir.
Microsoft Sentinel'de normalleştirme hakkında daha fazla bilgi için bkz . Normalleştirme ve Gelişmiş Güvenlik Bilgileri Modeli (ASIM).
Önemli
Kayıt Defteri Olayı normalleştirme şeması şu anda ÖNİzLEME aşamasındadır. Bu özellik bir hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yükleri için önerilmez.
Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.
Çözümleyicileri
Tüm yerleşik ayrıştırıcıları birleştiren birleştirici ayrıştırıcıyı kullanmak ve çözümlemenizin yapılandırılan tüm kaynaklarda çalıştığından emin olmak için sorgunuzda tablo adı olarak imRegistry'yi kullanın.
İşlem Olayı ayrıştırıcıları listesi için Microsoft Sentinel kullanıma hazır sağlar ASIM ayrıştırıcıları listesine bakın
Microsoft Sentinel GitHub deposundan birleştirmeye ve kaynağa özgü ayrıştırıcıları dağıtın.
Daha fazla bilgi için bkz . ASIM ayrıştırıcıları ve ASIM ayrıştırıcılarını kullanma.
Kendi normalleştirilmiş ayrıştırıcılarınızı ekleme
Kayıt Defteri Olay bilgileri modeli için özel ayrıştırıcılar uygularken aşağıdaki söz dizimini kullanarak KQL işlevlerinizi adlandırın: imRegistry<vendor><Product>.
Kayıt Defteri Olay modelini kullanan tüm içeriklerin imRegistry de yeni ayrıştırıcınızı kullandığından emin olmak için KQL işlevlerinizi birleştirici ayrıştırıcılara ekleyin.
Normalleştirilmiş içerik
Microsoft Sentinel, IFEO Kayıt Defteri Anahtarı avcılığı yoluyla kalıcılık sorgusunu sağlar. Bu sorgu, Gelişmiş Güvenlik Bilgileri Modeli kullanılarak normalleştirilmiş tüm kayıt defteri etkinlik verilerinde çalışır.
Daha fazla bilgi için bkz . Microsoft Sentinel ile tehditleri avlama.
Şema ayrıntıları
Kayıt Defteri Olay bilgileri modeli, OSSEM Kayıt Defteri varlık şemasıyla hizalanır.
Ortak ASIM alanları
Önemli
Tüm şemalarda ortak olan alanlar ASIM Ortak Alanları makalesinde ayrıntılı olarak açıklanmıştır.
Belirli yönergelere sahip ortak alanlar
Aşağıdaki listede, işlem etkinliği olayları için belirli yönergelere sahip alanlardan bahsediliyor:
| Alan | Sınıf | Türü | Tanım |
|---|---|---|---|
| Eventtype | Zorunlu | Enumerated | Kayıt tarafından bildirilen işlemi açıklar. Kayıt defteri kayıtları için desteklenen değerler şunlardır: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | Zorunlu | String | Şema sürümü. Şemanın burada belgelenen sürümü 0.1.2 |
| EventSchema | İsteğe bağlı | String | Burada belgelenen şemanın adıdır RegistryEvent. |
| Dvc alanları | Kayıt defteri etkinliği olayları için cihaz alanları, kayıt defteri etkinliğinin gerçekleştiği sisteme başvurur. |
Önemli
Bu EventSchema alan şu anda isteğe bağlıdır ancak 1 Eylül 2022'de Zorunlu olacaktır.
Tüm ortak alanlar
Aşağıdaki tabloda görünen alanlar tüm ASIM şemalarında ortaktır. Yukarıda belirtilen tüm yönergeler, alanın genel yönergelerini geçersiz kılar. Örneğin, bir alan genel olarak isteğe bağlı olabilir, ancak belirli bir şema için zorunlu olabilir. Her alan hakkında daha fazla ayrıntı için ASIM Ortak Alanları makalesine bakın.
| Sınıfı | Alanlar |
|---|---|
| Zorunlu | - EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Önerilir | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| İsteğe bağlı | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - EkAlanlar - DvcDescription - DvcScopeId - DvcScope |
Kayıt Defteri Olayına özgü alanlar
Aşağıdaki tabloda listelenen alanlar Kayıt Defteri olaylarına özeldir, ancak diğer şemalardaki alanlara benzer ve benzer adlandırma kurallarına uyar.
Daha fazla bilgi için Windows'da Kayıt Defterinin Yapısı belgelerine bakın.
| Alan | Sınıf | Türü | Tanım |
|---|---|---|---|
| RegistryKey | Zorunlu | String | İşlemle ilişkili kayıt defteri anahtarı, standart kök anahtar adlandırma kurallarına göre normalleştirilir. Daha fazla bilgi için bkz . Kök Anahtarlar. Kayıt defteri anahtarları, dosya sistemlerindeki klasörlere benzer. Örnek: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Önerilir | String | İşlemle ilişkili kayıt defteri değeri. Kayıt defteri değerleri, dosya sistemlerindeki dosyalara benzer. Örnek: Path |
| RegistryValueType | Önerilir | String | Standart forma normalleştirilmiş kayıt defteri değeri türü. Daha fazla bilgi için bkz . Değer Türleri. Örnek: Reg_Expand_Sz |
| RegistryValueData | Önerilir | String | Kayıt defteri değerinde depolanan veriler. Örnek: C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | Önerilir | String | Kayıt defterini değiştiren işlemler için, özgün kayıt defteri anahtarı standart kök anahtar adlandırma olarak normalleştirilmiştir. Daha fazla bilgi için bkz . Kök Anahtarlar. Not: İşlem değer gibi diğer alanları değiştirdiyse ancak anahtar aynı kalırsa, RegistryPreviousKey değeri RegistryKey ile aynı değere sahip olur. Örnek: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | Önerilir | String | Kayıt defterini değiştiren işlemler için, standart forma normalleştirilmiş özgün değer türü. Daha fazla bilgi için bkz . Değer Türleri. Tür değiştirilmediyse, bu alan RegistryValueType alanıyla aynı değere sahiptir. Örnek: Path |
| RegistryPreviousValueType | Önerilir | String | Kayıt defterini değiştiren işlemler için özgün değer türü. Tür değiştirilmediyse, bu alan standart forma normalleştirilmiş RegistryValueType alanıyla aynı değere sahip olur. Daha fazla bilgi için bkz . Değer türleri. Örnek: Reg_Expand_Sz |
| RegistryPreviousValueData | Önerilir | String | Kayıt defterini değiştiren işlemler için özgün kayıt defteri verileri. Örnek: C:\Windows\system32;C:\Windows; |
| Kullanıcı | Diğer ad | ActorUsername alanının diğer adı. Örnek: CONTOSO\ dadmin |
|
| Işlem | Diğer ad | ActingProcessName alanının diğer adı. Örnek: C:\Windows\System32\rundll32.exe |
|
| ActorUsername | Zorunlu | String | Olayı başlatan kullanıcının kullanıcı adı. Örnek: CONTOSO\WIN-GG82ULGC9GO$ |
| ActorUsernameType | Koşullu | Enumerated | ActorUsername alanında depolanan kullanıcı adının türünü belirtir. Daha fazla bilgi için bkz . Kullanıcı varlığı. Örnek: Windows |
| ActorUserId | Önerilir | String | Aktörün benzersiz kimliği. Belirli kimlik, olayı oluşturan sisteme bağlıdır. Daha fazla bilgi için bkz . Kullanıcı varlığı. Örnek: S-1-5-18 |
| ActorScope | İsteğe bağlı | String | ActorUserId ve ActorUsername'in tanımlandığı Microsoft Entra kiracısı gibi kapsam. veya daha fazla bilgi ve izin verilen değerlerin listesi için Şemaya Genel Bakış makalesindeki UserScope bölümüne bakın. |
| ActorUserIdType | Önerilir | String | ActorUserId alanında depolanan kimliğin türü. Daha fazla bilgi için bkz . Kullanıcı varlığı. Örnek: SID |
| ActorSessionId | Koşullu | String | Aktör oturum açma oturumunun benzersiz kimliği. Örnek: 999Not: Tür, çeşitli sistemleri desteklemek için dize olarak tanımlanır, ancak Windows'ta bu değer sayısal olmalıdır. Windows makinesi kullanıyorsanız ve kaynak farklı bir tür gönderiyorsa, değeri dönüştürdüğünüzden emin olun. Örneğin, kaynak onaltılık bir değer gönderiyorsa, bunu ondalık değere dönüştürün. |
| ActingProcessName | İsteğe bağlı | String | İşlem görüntüsü dosyasının dosya adı. Bu ad genellikle işlem adı olarak kabul edilir. Örnek: C:\Windows\explorer.exe |
| ActingProcessId | Zorunlu | String | Eylem işleminin işlem kimliği (PID). Örnek: 48610176 Not: Tür, farklı sistemleri desteklemek için dize olarak tanımlanır, ancak Windows ve Linux'ta bu değer sayısal olmalıdır. Windows veya Linux makinesi kullanıyorsanız ve farklı bir tür kullandıysanız, değerleri dönüştürdüğünüzden emin olun. Örneğin, onaltılık bir değer kullandıysanız, bunu ondalık değere dönüştürün. |
| ActingProcessGuid | İsteğe bağlı | String | Eylem işleminin oluşturulan benzersiz tanımlayıcısı (GUID). Örnek: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | İsteğe bağlı | String | Üst işlem görüntü dosyasının dosya adı. Bu değer genellikle işlem adı olarak kabul edilir. Örnek: C:\Windows\explorer.exe |
| ParentProcessId | Zorunlu | String | Üst işlemin işlem kimliği (PID). Örnek: 48610176 |
| ParentProcessGuid | İsteğe bağlı | String | Üst işlemin oluşturulan benzersiz tanımlayıcısı (GUID). Örnek: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Kök anahtarlar
Farklı kaynaklar farklı gösterimler kullanarak kayıt defteri anahtarı ön eklerini temsil eder. RegistryKey ve RegistryPreviousKey alanları için aşağıdaki normalleştirilmiş ön ekleri kullanın:
| Normalleştirilmiş anahtar ön eki | Diğer ortak gösterimler |
|---|---|
| HKEY_LOCAL_MACHINE | HKLM, \REGISTRY\MACHINE |
| HKEY_USERS | HKU, \REGISTRY\USER |
Değer türleri
Farklı kaynaklar farklı gösterimler kullanarak kayıt defteri değer türlerini temsil eder. RegistryValueType ve RegistryPreviousValueType alanları için aşağıdaki normalleştirilmiş türleri kullanın:
| Normalleştirilmiş anahtar ön eki | Diğer ortak gösterimler |
|---|---|
| Reg_None | None, %%1872 |
| Reg_sz | String, %%1873 |
| Reg_expand_sz | ExpandString, %%1874 |
| Reg_bınary | Binary, %%1875 |
| Reg_dword | Dword, %%1876 |
| Reg_multı_sz | MultiString, %%1879 |
| Reg_QWord | Qword, %%1883 |
Şema güncelleştirmeleri
Şemanın 0.1.1 sürümündeki değişiklikler şunlardır:
- alanını
EventSchemaekledik.
Şemanın 0.1.2 sürümündeki değişiklikler şunlardır:
- ,
DvcScopeIdveDvcScopealanlarınıActorScopeekledik.
Sonraki adımlar
Daha fazla bilgi için bkz.
- Microsoft Sentinel'de normalleştirme
- Microsoft Sentinel kimlik doğrulaması normalleştirme şeması başvurusu (Genel önizleme)
- Microsoft Sentinel DNS normalleştirme şeması başvurusu
- Microsoft Sentinel dosya olayı normalleştirme şeması başvurusu (Genel önizleme)
- Microsoft Sentinel ağ normalleştirme şeması başvurusu