مرجع مخطط تسوية حدث سجل نموذج معلومات الأمان المتقدم (ASIM) (معاينة عامة)
ملاحظة
يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.
يتم استخدام مخطط حدث السجل لوصف النشاط Windows لإنشاء كيانات Windows Registry أو تعديلها أو حذفها.
أحداث السجل خاصة بأنظمة Windows، ولكن يتم الإبلاغ عنها بواسطة أنظمة مختلفة تراقب Windows، مثل أنظمة الكشف التلقائي والاستجابة على النقط النهائية (اكتشاف نقطة النهاية والاستجابة) أو Sysmon أو Windows نفسها.
لمزيد من المعلومات حول التطبيع في Microsoft Sentinel، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM).
هام
مخطط تسوية حدث التسجيل قيد المعاينة حاليا. يتم توفير هذه الميزة دون اتفاقية مستوى الخدمة، ولا يوصى بها لأحمال عمل الإنتاج.
تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.
موزعي
لاستخدام المحلل الموحد الذي يوحد جميع المحللات المضمنة، والتأكد من تشغيل التحليل عبر جميع المصادر المكونة، استخدم imRegistry كاسم الجدول في الاستعلام الخاص بك.
للحصول على قائمة محللات أحداث العملية يوفر Microsoft Sentinel خارج الصندوق الرجوع إلى قائمة محللات ASIM
انشر محللات التوحيد والمصدر الخاصة من مستودع GitHub Microsoft Sentinel.
لمزيد من المعلومات، راجع محللات ASIMواستخدام محللات ASIM.
إضافة محللاتك التي تمت تسويتها
عند تنفيذ محللات مخصصة لنموذج معلومات حدث السجل، قم بتسمية وظائف KQL باستخدام بناء الجملة التالي: imRegistry<vendor><Product>.
أضف وظائف KQL إلى imRegistry محللات التوحيد للتأكد من أن أي محتوى يستخدم نموذج حدث السجل يستخدم أيضا محللك الجديد.
المحتوى الذي تمت تسويته
يوفر Microsoft Sentinel استعلام تتبع مفتاح التسجيل المستمر عبر IFEO . يعمل هذا الاستعلام على أي بيانات نشاط تسجيل تمت تسويتها باستخدام نموذج معلومات الأمان المتقدمة.
لمزيد من المعلومات، راجع البحث عن التهديدات باستخدام Microsoft Sentinel.
تفاصيل المخطط
يتم محاذاة نموذج معلومات حدث السجل مع مخطط كيان سجل OSSEM.
حقول ASIM الشائعة
هام
يتم وصف الحقول الشائعة لكافة المخططات بالتفصيل في مقالة الحقول الشائعة ASIM .
الحقول المشتركة مع إرشادات محددة
تشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث نشاط العملية:
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| نوع الحدث | إلزامي | تعداد | يصف العملية التي أبلغ عنها السجل. بالنسبة لسجلات السجل، تتضمن القيم المدعومة ما يلي: - RegistryKeyCreated - RegistryKeyDeleted- RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
| EventSchemaVersion | إلزامي | سلسلة | إصدار المخطط. إصدار المخطط الموثق هنا هو 0.1 |
| EventSchema | اختياري | سلسلة | اسم المخطط الموثق هنا هو RegistryEvent. |
| حقول Dvc | بالنسبة لأحداث نشاط التسجيل، تشير حقول الجهاز إلى النظام الذي حدث عليه نشاط التسجيل. |
هام
EventSchema الحقل اختياري حاليا ولكنه سيصبح إلزاميا في 1 سبتمبر 2022.
كافة الحقول الشائعة
الحقول التي تظهر في الجدول أدناه شائعة في جميع مخططات ASIM. أي إرشادات محددة أعلاه تتجاوز الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريا بشكل عام، ولكنه إلزامي لمخطط معين. لمزيد من التفاصيل حول كل حقل، راجع مقالة الحقول المشتركة ASIM .
| الفصل | الحقول |
|---|---|
| إلزامي | - عدد الأحداث - EventStartTime - EventEndTime - نوع الحدث - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| المستحسنة | - EventResultDetails - قطع الأحداث - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - معرف Dvc - نوع DvcIdType - DvcAction |
| اختياري | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - حقول إضافية - DvcDescription |
حقول خاصة بحدث التسجيل
الحقول المدرجة في الجدول أدناه خاصة بأحداث السجل، ولكنها تشبه الحقول في المخططات الأخرى وتتبع اصطلاحات تسمية مماثلة.
لمزيد من المعلومات، راجع بنية السجل في وثائق Windows.
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| مفتاح التسجيل | إلزامي | سلسلة | مفتاح التسجيل المقترن بالعملية، تمت تسويته إلى اصطلاحات تسمية مفتاح الجذر القياسية. لمزيد من المعلومات، راجع مفاتيح الجذر. مفاتيح التسجيل مشابهة للمجلدات في أنظمة الملفات. على سبيل المثال: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| قيمة السجل | المستحسنة | سلسلة | قيمة التسجيل المقترنة بالعملية. تشبه قيم التسجيل الملفات الموجودة في أنظمة الملفات. على سبيل المثال: Path |
| نوع قيمة السجل | المستحسنة | سلسلة | نوع قيمة التسجيل، التي تمت تسويتها إلى نموذج قياسي. لمزيد من المعلومات، راجع أنواع القيم. على سبيل المثال: Reg_Expand_Sz |
| بيانات قيمة السجل | المستحسنة | سلسلة | البيانات المخزنة في قيمة السجل. مثال: C:\Windows\system32;C:\Windows; |
| RegistryPreviousKey | المستحسنة | سلسلة | بالنسبة للعمليات التي تعدل السجل، يتم تطبيع مفتاح التسجيل الأصلي إلى تسمية مفتاح الجذر القياسي. لمزيد من المعلومات، راجع مفاتيح الجذر. ملاحظة: إذا غيرت العملية حقولا أخرى، مثل القيمة، ولكن المفتاح يبقى كما هو، فسيكون ل RegistryPreviousKey نفس قيمة RegistryKey. مثال: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryPreviousValue | المستحسنة | سلسلة | بالنسبة للعمليات التي تعدل السجل، يتم تسوية نوع القيمة الأصلية إلى النموذج القياسي. لمزيد من المعلومات، راجع أنواع القيم. إذا لم يتم تغيير النوع، فإن هذا الحقل له نفس قيمة حقل RegistryValueType . مثال: Path |
| RegistryPreviousValueType | المستحسنة | سلسلة | بالنسبة للعمليات التي تعدل السجل، نوع القيمة الأصلية. إذا لم يتم تغيير النوع، فسيكون لهذا الحقل نفس قيمة الحقل RegistryValueType ، الذي تمت تسويته إلى النموذج القياسي. لمزيد من المعلومات، راجع أنواع القيم. مثال: Reg_Expand_Sz |
| RegistryPreviousValueData | المستحسنة | سلسلة | بيانات السجل الأصلية، للعمليات التي تعدل السجل. مثال: C:\Windows\system32;C:\Windows; |
| المستخدم | الاسم المستعار | الاسم المستعار لحقل ActorUsername . مثال: CONTOSO\ dadmin |
|
| عملية | الاسم المستعار | اسم مستعار لحقل ActingProcessName . مثال: C:\Windows\System32\rundll32.exe |
|
| الممثلUsername | إلزامي | سلسلة | اسم المستخدم للمستخدم الذي بدأ الحدث. مثال: CONTOSO\WIN-GG82ULGC9GO$ |
| نوع المستخدمUsername | إلزامي | تعداد | يحدد نوع اسم المستخدم المخزن في حقل ActorUsername . لمزيد من المعلومات، راجع كيان المستخدم. مثال: Windows |
| معرف المستخدم الممثل | المستحسنة | سلسلة | معرف فريد للممثل. يعتمد المعرف المحدد على النظام الذي ينشئ الحدث. لمزيد من المعلومات، راجع كيان المستخدم. مثال: S-1-5-18 |
| نوع المستخدم المستخدم | المستحسنة | سلسلة | نوع المعرف المخزن في الحقل ActorUserId . لمزيد من المعلومات، راجع كيان المستخدم. مثال: SID |
| معرف المستخدم | اختياري | سلسلة | المعرف الفريد لجلسة تسجيل الدخول للممثل. مثال: 999ملاحظة: يتم تعريف النوع كسلسلة لدعم أنظمة مختلفة، ولكن في Windows يجب أن تكون هذه القيمة رقمية. إذا كنت تستخدم جهازا Windows وأرسل المصدر نوعا مختلفا، فتأكد من تحويل القيمة. على سبيل المثال، إذا أرسل المصدر قيمة سداسية عشرية، فقم بتحويلها إلى قيمة عشرية. |
| ActingProcessName | اختياري | سلسلة | اسم ملف ملف صورة العملية بالنيابة. عادة ما يعتبر هذا الاسم اسم العملية. مثال: C:\Windows\explorer.exe |
| ActingProcessId | إلزامي | سلسلة | معرف العملية (PID) لعملية التمثيل. مثال: 48610176 ملاحظة: يتم تعريف النوع كسلسلة لدعم الأنظمة المختلفة، ولكن على Windows وLinux يجب أن تكون هذه القيمة رقمية. إذا كنت تستخدم جهاز Windows أو Linux واستخدمت نوعا مختلفا، فتأكد من تحويل القيم. على سبيل المثال، إذا استخدمت قيمة سداسية عشرية، فقم بتحويلها إلى قيمة عشرية. |
| ActingProcessGuid | اختياري | سلسلة | معرف فريد تم إنشاؤه (GUID) لعملية التمثيل. مثال: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessName | اختياري | سلسلة | اسم ملف ملف صورة العملية الأصل. عادة ما تعتبر هذه القيمة اسم العملية. مثال: C:\Windows\explorer.exe |
| ParentProcessId | إلزامي | سلسلة | معرف العملية (PID) للعملية الأصل. مثال: 48610176 |
| ParentProcessGuid | اختياري | سلسلة | معرف فريد تم إنشاؤه (GUID) للعملية الأصل. مثال: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
مفاتيح الجذر
تمثل المصادر المختلفة بادئات مفتاح التسجيل باستخدام تمثيلات مختلفة. بالنسبة لحقول RegistryKey و RegistryPreviousKey ، استخدم البادئات العادية التالية:
| بادئة المفتاح التي تمت تسويتها | تمثيلات شائعة أخرى |
|---|---|
| HKEY_LOCAL_MACHINE | HKLM, \REGISTRY\MACHINE |
| HKEY_USERS | HKU, \REGISTRY\USER |
أنواع القيم
تمثل المصادر المختلفة أنواع قيم التسجيل باستخدام تمثيلات مختلفة. بالنسبة لحقول RegistryValueType و RegistryPreviousValueType ، استخدم الأنواع التي تمت تسويتها التالية:
| بادئة المفتاح التي تمت تسويتها | تمثيلات شائعة أخرى |
|---|---|
| Reg_None | None, %%1872 |
| Reg_sz | String, %%1873 |
| Reg_Expand_Sz | ExpandString, %%1874 |
| Reg_Binary | Binary, %%1875 |
| Reg_dword | Dword, %%1876 |
| Reg_multi_sz | MultiString, %%1879 |
| Reg_QWord | Qword, %%1883 |
تحديثات المخطط
هذه هي التغييرات في الإصدار 0.1.1 من المخطط:
- تمت إضافة الحقل
EventSchema- اختياري حاليا، ولكنه سيصبح إلزاميا في 1 سبتمبر 2022.
الخطوات التالية
لمزيد من المعلومات، انظر: