Referensi skema normalisasi Peristiwa Registri Model Informasi Keamanan Lanjutan (ASIM) (Pratinjau publik)
Skema Acara Registri digunakan untuk menjelaskan aktivitas Windows membuat, memodifikasi, atau menghapus entitas Registri Windows.
Peristiwa registri khusus untuk sistem Windows, tetapi dilaporkan oleh sistem yang berbeda yang memantau Windows, seperti sistem EDR (End Point Detection and Response), Sysmon, atau Windows itu sendiri.
Untuk informasi selengkapnya tentang normalisasi di Microsoft Sentinel, lihat Normalisasi dan Model Informasi Keamanan Tingkat Lanjut (ASIM).
Penting
Skema normalisasi Peristiwa Registri saat ini dalam PREVIEW. Fitur ini disediakan tanpa perjanjian tingkat layanan, dan tidak disarankan untuk beban kerja produksi.
Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Parser
Untuk menggunakan pengurai sumber yang menyatukan semua pengurai bawaan, dan memastikan bahwa analisis Anda berjalan di semua sumber yang dikonfigurasi, gunakan imRegistry sebagai nama tabel dalam kueri Anda.
Untuk daftar parser Peristiwa Proses yang disediakan Microsoft Azure Sentinel di luar kotak, lihat daftar parser ASIM
Terapkan pengurai pemersatu dan sumber spesifik dari repositori Microsoft Sentinel GitHub.
Untuk informasi selengkapnya, lihat pengurai ASIM dan Gunakan parser ASIM.
Tambahkan parser normalisasi Anda sendiri
Saat menerapkan pengurai khusus untuk model informasi Peristiwa Registri, beri nama fungsi KQL Anda menggunakan sintaks berikut: imRegistry<vendor><Product>
.
Tambahkan fungsi KQL Anda ke pengurai sumber-agnostik imRegistry
guna memastikan bahwa konten apa pun yang menggunakan model Kejadian Registri juga menggunakan pengurai baru.
Konten yang dinormalisasi
Microsoft Sentinel menyediakan kueri perburuan Persisting Via IFEO Registry Key. Kueri ini berfungsi pada data aktivitas registri apa pun yang dinormalisasi menggunakan Model Informasi Microsoft Sentinel.
Untuk informasi selengkapnya, lihat Berburu ancaman dengan Microsoft Sentinel.
Detail skema
Model informasi Peristiwa Registri diselaraskan dengan skema entitas Registri OSSEM.
Bidang ASIM umum
Penting
Bidang yang umum untuk semua skema dijelaskan secara rinci dalam artikel Bidang Umum ASIM.
Bidang umum dengan pedoman khusus
Daftar berikut menyebutkan bidang yang memiliki panduan khusus untuk peristiwa aktivitas proses:
Bidang | Kelas | Tipe | Deskripsi |
---|---|---|---|
EventType | Wajib | Disebutkan | Menggambarkan operasi yang dilaporkan oleh catatan. Untuk catatan Registri, nilai yang didukung meliputi: - RegistryKeyCreated - RegistryKeyDeleted - RegistryKeyRenamed - RegistryValueDeleted - RegistryValueSet |
EventSchemaVersion | Wajib | String | Versi skema. Versi skema yang didokumentasikan di sini adalah 0.1.2 |
EventSchema | Opsional | String | Nama skema yang didokumentasikan di sini adalah RegistryEvent . |
Bidang Dvc | Untuk peristiwa aktivitas registri, bidang perangkat mengacu pada sistem tempat aktivitas registri terjadi. |
Penting
Bidang EventSchema
saat ini opsional tetapi akan menjadi Wajib pada 1 September 2022.
Semua bidang umum
Bidang yang muncul pada tabel di bawah ini adalah umum untuk semua skema ASIM. Setiap pedoman yang ditentukan di atas mengambil alih pedoman umum untuk bidang ini. Misalnya, sebuah bidang mungkin opsional secara umum, tetapi wajib untuk skema tertentu. Untuk detail lebih lanjut tentang setiap bidang, lihat artikel Bidang Umum ASIM.
Kelas | Bidang |
---|---|
Wajib | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
Disarankan | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
Opsional | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Bidang khusus Acara Registri
Bidang yang tercantum dalam tabel di bawah ini khusus untuk peristiwa Registry, tetapi mirip dengan bidang dalam skema lain dan mengikuti konvensi penamaan yang serupa.
Untuk informasi selengkapnya, lihat Struktur Registri dalam dokumentasi Windows.
Bidang | Kelas | Tipe | Deskripsi |
---|---|---|---|
RegistryKey | Wajib | String | Kunci registri yang terkait dengan operasi, dinormalisasi ke konvensi penamaan kunci akar standar. Untuk informasi selengkapnya, lihat Kunci Akar. Kunci registri mirip dengan folder dalam sistem file. Misalnya: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
RegistryValue | Disarankan | String | Nilai registri yang terkait dengan operasi. Nilai registri mirip dengan file dalam sistem file. Misalnya: Path |
RegistryValueType | Disarankan | String | Jenis nilai registri, dinormalisasi ke bentuk standar. Untuk informasi selengkapnya, lihat Jenis Nilai. Misalnya: Reg_Expand_Sz |
RegistryValueData | Disarankan | String | Data yang tersimpan dalam nilai registri. Contoh: C:\Windows\system32;C:\Windows; |
RegistryPreviousKey | Disarankan | String | Untuk operasi yang memodifikasi registri, kunci registri asli, dinormalisasi ke penamaan kunci root standar. Untuk informasi selengkapnya, lihat Kunci Akar. Catatan: Jika operasi mengubah bidang lain, seperti nilai, tetapi kuncinya tetap sama, RegistryPreviousKey akan memiliki nilai yang sama dengan RegistryKey. Contoh: HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
RegistryPreviousValue | Disarankan | String | Untuk operasi yang memodifikasi registri, jenis nilai asli, dinormalisasi ke bentuk standar. Untuk informasi selengkapnya, lihat Jenis Nilai. Jika jenisnya tidak diubah, bidang ini memiliki nilai yang sama dengan bidang RegistryValueType. Contoh: Path |
RegistryPreviousValueType | Disarankan | String | Untuk operasi yang memodifikasi registri, jenis nilai asli. Jika jenisnya tidak diubah, bidang ini akan memiliki nilai yang sama dengan bidang RegistryValueType, dinormalisasi ke bentuk standar. Untuk informasi selengkapnya, lihat Jenis nilai. Contoh: Reg_Expand_Sz |
RegistryPreviousValueData | Disarankan | String | Data registri asli, untuk operasi yang memodifikasi registri. Contoh: C:\Windows\system32;C:\Windows; |
Pengguna | Alias | Alias untuk bidang ActorUsername. Contoh: CONTOSO\ dadmin |
|
Proses | Alias | Alias untuk bidang ActingProcessName. Contoh: C:\Windows\System32\rundll32.exe |
|
ActorUsername | Wajib | String | Nama pengguna dari pengguna yang memulai peristiwa tersebut. Contoh: CONTOSO\WIN-GG82ULGC9GO$ |
ActorUsernameType | Kondisional | Disebutkan | Menentukan jenis nama pengguna yang disimpan di bidang ActorUsername. Untuk informasi lebih lanjut, lihat Entitas pengguna. Contoh: Windows |
ActorUserId | Disarankan | String | ID unik dari Aktor. ID spesifik tergantung pada sistem yang menghasilkan peristiwa tersebut. Untuk informasi lebih lanjut, lihat Entitas pengguna. Contoh: S-1-5-18 |
ActorScope | Opsional | String | Cakupan, seperti penyewa Microsoft Entra, di mana ActorUserId dan ActorUsername ditentukan. atau informasi selengkapnya dan daftar nilai yang diizinkan, lihat UserScope di artikel Gambaran Umum Skema. |
ActorUserIdType | Disarankan | String | Jenis ID yang disimpan pada bidang ActorUserId. Untuk informasi lebih lanjut, lihat Entitas pengguna. Contoh: SID |
ActorSessionId | Kondisional | String | ID unik dari sesi login Aktor. Contoh: 999 Catatan: Jenis didefiniskan sebagai string untuk mendukung berbagai sistem, tetapi pada Windows nilai ini harus berupa angka. Jika Anda menggunakan mesin Windows dan sumber mengirimkan jenis yang berbeda, pastikan untuk mengonversi nilainya. Misalnya, jika sumber mengirimkan nilai heksadesimal, konversikan ke nilai desimal. |
ActingProcessName | Opsional | String | Nama file dari file gambar proses akting. Nama ini biasanya dianggap sebagai nama proses. Contoh: C:\Windows\explorer.exe |
ActingProcessId | Wajib | String | Id proses (PID) dari proses bertindak. Contoh: 48610176 Catatan: Jenis didefinisikan sebagai string untuk mendukung berbagai sistem, tetapi pada Windows dan Linux nilai ini harus berupa angka. Jika Anda menggunakan mesin Windows atau Linux dan menggunakan jenis yang berbeda, pastikan untuk mengonversi nilai ini. Misalnya, jika Anda menggunakan nilai heksadesimal, ubah menjadi nilai desimal. |
ActingProcessGuid | Opsional | String | Sebuah pengidentifikasi unik yang dihasilkan (GUID) dari proses bertindak. Contoh: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
ParentProcessName | Opsional | String | Nama file dari file gambar proses induk. Nilai ini biasanya dianggap sebagai nama proses. Contoh: C:\Windows\explorer.exe |
ParentProcessId | Wajib | String | ID proses (PID) dari proses induk. Contoh: 48610176 |
ParentProcessGuid | Opsional | String | Pengidentifikasi unik yang dihasilkan (GUID) dari proses induk. Contoh: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Kunci akar
Sumber yang berbeda mewakili awalan kunci registri menggunakan representasi yang berbeda. Untuk bidang RegistryKey dan RegistryPreviousKey, gunakan awalan yang dinormalisasi berikut:
Awalan kunci yang dinormalisasi | Representasi umum lainnya |
---|---|
HKEY_LOCAL_MACHINE | HKLM , \REGISTRY\MACHINE |
HKEY_USERS | HKU , \REGISTRY\USER |
Jenis nilai
Sumber yang berbeda mewakili jenis nilai registri menggunakan representasi yang berbeda. Untuk bidang RegistryValueType dan RegistryPreviousValueType, gunakan jenis yang dinormalisasi berikut:
Awalan kunci yang dinormalisasi | Representasi umum lainnya |
---|---|
Reg_None | None , %%1872 |
Reg_Sz | String , %%1873 |
Reg_Expand_Sz | ExpandString , %%1874 |
Reg_Binary | Binary , %%1875 |
Reg_DWord | Dword , %%1876 |
Reg_Multi_Sz | MultiString , %%1879 |
Reg_QWord | Qword , %%1883 |
Pembaruan skema
Ini adalah perubahan dalam versi 0.1.1 dari skema tersebut:
- Menambahkan bidang
EventSchema
.
Ini adalah perubahan dalam versi 0.1.2 dari skema:
- Menambahkan bidang
ActorScope
,DvcScopeId
, danDvcScope
..
Langkah berikutnya
Untuk informasi selengkapnya, lihat:
- Normalisasi di Microsoft Sentinel
- Referensi skema normalisasi autentikasi Microsoft Azure Sentinel (Pratinjau publik)
- Referensi skema normalisasi DNS Microsoft Azure Sentinel
- Referensi skema normalisasi peristiwa file Microsoft Azure Sentinel (Pratinjau publik)
- Referensi skema normalisasi jaringan Microsoft Sentinel