Bagikan melalui

Referensi skema normalisasi Peristiwa Registri Model Informasi Keamanan Lanjutan (ASIM) (Pratinjau publik)

  • Artikel

Skema Acara Registri digunakan untuk menjelaskan aktivitas Windows membuat, memodifikasi, atau menghapus entitas Registri Windows.

Peristiwa registri khusus untuk sistem Windows, tetapi dilaporkan oleh sistem yang berbeda yang memantau Windows, seperti sistem EDR (End Point Detection and Response), Sysmon, atau Windows itu sendiri.

Untuk informasi selengkapnya tentang normalisasi di Microsoft Sentinel, lihat Normalisasi dan Model Informasi Keamanan Tingkat Lanjut (ASIM).

Penting

Skema normalisasi Peristiwa Registri saat ini dalam PREVIEW. Fitur ini disediakan tanpa perjanjian tingkat layanan, dan tidak disarankan untuk beban kerja produksi.

Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Parser

Untuk menggunakan pengurai sumber yang menyatukan semua pengurai bawaan, dan memastikan bahwa analisis Anda berjalan di semua sumber yang dikonfigurasi, gunakan imRegistry sebagai nama tabel dalam kueri Anda.

Untuk daftar parser Peristiwa Proses yang disediakan Microsoft Azure Sentinel di luar kotak, lihat daftar parser ASIM

Terapkan pengurai pemersatu dan sumber spesifik dari repositori Microsoft Sentinel GitHub.

Untuk informasi selengkapnya, lihat pengurai ASIM dan Gunakan parser ASIM.

Tambahkan parser normalisasi Anda sendiri

Saat menerapkan pengurai khusus untuk model informasi Peristiwa Registri, beri nama fungsi KQL Anda menggunakan sintaks berikut: imRegistry<vendor><Product>.

Tambahkan fungsi KQL Anda ke pengurai sumber-agnostik imRegistry guna memastikan bahwa konten apa pun yang menggunakan model Kejadian Registri juga menggunakan pengurai baru.

Konten yang dinormalisasi

Microsoft Sentinel menyediakan kueri perburuan Persisting Via IFEO Registry Key. Kueri ini berfungsi pada data aktivitas registri apa pun yang dinormalisasi menggunakan Model Informasi Microsoft Sentinel.

Untuk informasi selengkapnya, lihat Berburu ancaman dengan Microsoft Sentinel.

Detail skema

Model informasi Peristiwa Registri diselaraskan dengan skema entitas Registri OSSEM.

Bidang ASIM umum

Penting

Bidang yang umum untuk semua skema dijelaskan secara rinci dalam artikel Bidang Umum ASIM.

Bidang umum dengan pedoman khusus

Daftar berikut menyebutkan bidang yang memiliki panduan khusus untuk peristiwa aktivitas proses:

Bidang Kelas Tipe Deskripsi
EventType Wajib Disebutkan Menggambarkan operasi yang dilaporkan oleh catatan.

Untuk catatan Registri, nilai yang didukung meliputi:
- RegistryKeyCreated
- RegistryKeyDeleted
- RegistryKeyRenamed
- RegistryValueDeleted
- RegistryValueSet
EventSchemaVersion Wajib String Versi skema. Versi skema yang didokumentasikan di sini adalah 0.1.2
EventSchema Opsional String Nama skema yang didokumentasikan di sini adalah RegistryEvent.
Bidang Dvc Untuk peristiwa aktivitas registri, bidang perangkat mengacu pada sistem tempat aktivitas registri terjadi.

Penting

Bidang EventSchema saat ini opsional tetapi akan menjadi Wajib pada 1 September 2022.

Semua bidang umum

Bidang yang muncul pada tabel di bawah ini adalah umum untuk semua skema ASIM. Setiap pedoman yang ditentukan di atas mengambil alih pedoman umum untuk bidang ini. Misalnya, sebuah bidang mungkin opsional secara umum, tetapi wajib untuk skema tertentu. Untuk detail lebih lanjut tentang setiap bidang, lihat artikel Bidang Umum ASIM.

Kelas Bidang
Wajib - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Disarankan - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Opsional - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

Bidang khusus Acara Registri

Bidang yang tercantum dalam tabel di bawah ini khusus untuk peristiwa Registry, tetapi mirip dengan bidang dalam skema lain dan mengikuti konvensi penamaan yang serupa.

Untuk informasi selengkapnya, lihat Struktur Registri dalam dokumentasi Windows.

Bidang Kelas Tipe Deskripsi
RegistryKey Wajib String Kunci registri yang terkait dengan operasi, dinormalisasi ke konvensi penamaan kunci akar standar. Untuk informasi selengkapnya, lihat Kunci Akar.

Kunci registri mirip dengan folder dalam sistem file.

Misalnya: HKEY_LOCAL_MACHINE\SOFTWARE\MTG
RegistryValue Disarankan String Nilai registri yang terkait dengan operasi. Nilai registri mirip dengan file dalam sistem file.

Misalnya: Path
RegistryValueType Disarankan String Jenis nilai registri, dinormalisasi ke bentuk standar. Untuk informasi selengkapnya, lihat Jenis Nilai.

Misalnya: Reg_Expand_Sz
RegistryValueData Disarankan String Data yang tersimpan dalam nilai registri.

Contoh: C:\Windows\system32;C:\Windows;
RegistryPreviousKey Disarankan String Untuk operasi yang memodifikasi registri, kunci registri asli, dinormalisasi ke penamaan kunci root standar. Untuk informasi selengkapnya, lihat Kunci Akar.

Catatan: Jika operasi mengubah bidang lain, seperti nilai, tetapi kuncinya tetap sama, RegistryPreviousKey akan memiliki nilai yang sama dengan RegistryKey.

Contoh: HKEY_LOCAL_MACHINE\SOFTWARE\MTG
RegistryPreviousValue Disarankan String Untuk operasi yang memodifikasi registri, jenis nilai asli, dinormalisasi ke bentuk standar. Untuk informasi selengkapnya, lihat Jenis Nilai.

Jika jenisnya tidak diubah, bidang ini memiliki nilai yang sama dengan bidang RegistryValueType.

Contoh: Path
RegistryPreviousValueType Disarankan String Untuk operasi yang memodifikasi registri, jenis nilai asli.

Jika jenisnya tidak diubah, bidang ini akan memiliki nilai yang sama dengan bidang RegistryValueType, dinormalisasi ke bentuk standar. Untuk informasi selengkapnya, lihat Jenis nilai.

Contoh: Reg_Expand_Sz
RegistryPreviousValueData Disarankan String Data registri asli, untuk operasi yang memodifikasi registri.

Contoh: C:\Windows\system32;C:\Windows;
Pengguna Alias Alias untuk bidang ActorUsername.

Contoh: CONTOSO\ dadmin
Proses Alias Alias untuk bidang ActingProcessName.

Contoh: C:\Windows\System32\rundll32.exe
ActorUsername Wajib String Nama pengguna dari pengguna yang memulai peristiwa tersebut.

Contoh: CONTOSO\WIN-GG82ULGC9GO$
ActorUsernameType Kondisional Disebutkan Menentukan jenis nama pengguna yang disimpan di bidang ActorUsername. Untuk informasi lebih lanjut, lihat Entitas pengguna.

Contoh: Windows
ActorUserId Disarankan String ID unik dari Aktor. ID spesifik tergantung pada sistem yang menghasilkan peristiwa tersebut. Untuk informasi lebih lanjut, lihat Entitas pengguna.

Contoh: S-1-5-18
ActorScope Opsional String Cakupan, seperti penyewa Microsoft Entra, di mana ActorUserId dan ActorUsername ditentukan. atau informasi selengkapnya dan daftar nilai yang diizinkan, lihat UserScope di artikel Gambaran Umum Skema.
ActorUserIdType Disarankan String Jenis ID yang disimpan pada bidang ActorUserId. Untuk informasi lebih lanjut, lihat Entitas pengguna.

Contoh: SID
ActorSessionId Kondisional String ID unik dari sesi login Aktor.

Contoh: 999

Catatan: Jenis didefiniskan sebagai string untuk mendukung berbagai sistem, tetapi pada Windows nilai ini harus berupa angka. Jika Anda menggunakan mesin Windows dan sumber mengirimkan jenis yang berbeda, pastikan untuk mengonversi nilainya. Misalnya, jika sumber mengirimkan nilai heksadesimal, konversikan ke nilai desimal.
ActingProcessName Opsional String Nama file dari file gambar proses akting. Nama ini biasanya dianggap sebagai nama proses.

Contoh: C:\Windows\explorer.exe
ActingProcessId Wajib String Id proses (PID) dari proses bertindak.

Contoh: 48610176

Catatan: Jenis didefinisikan sebagai string untuk mendukung berbagai sistem, tetapi pada Windows dan Linux nilai ini harus berupa angka.

Jika Anda menggunakan mesin Windows atau Linux dan menggunakan jenis yang berbeda, pastikan untuk mengonversi nilai ini. Misalnya, jika Anda menggunakan nilai heksadesimal, ubah menjadi nilai desimal.
ActingProcessGuid Opsional String Sebuah pengidentifikasi unik yang dihasilkan (GUID) dari proses bertindak.

Contoh: EF3BD0BD-2B74-60C5-AF5C-010000001E00
ParentProcessName Opsional String Nama file dari file gambar proses induk. Nilai ini biasanya dianggap sebagai nama proses.

Contoh: C:\Windows\explorer.exe
ParentProcessId Wajib String ID proses (PID) dari proses induk.

Contoh: 48610176
ParentProcessGuid Opsional String Pengidentifikasi unik yang dihasilkan (GUID) dari proses induk.

Contoh: EF3BD0BD-2B74-60C5-AF5C-010000001E00

Kunci akar

Sumber yang berbeda mewakili awalan kunci registri menggunakan representasi yang berbeda. Untuk bidang RegistryKey dan RegistryPreviousKey, gunakan awalan yang dinormalisasi berikut:

Awalan kunci yang dinormalisasi Representasi umum lainnya
HKEY_LOCAL_MACHINE HKLM, \REGISTRY\MACHINE
HKEY_USERS HKU, \REGISTRY\USER

Jenis nilai

Sumber yang berbeda mewakili jenis nilai registri menggunakan representasi yang berbeda. Untuk bidang RegistryValueType dan RegistryPreviousValueType, gunakan jenis yang dinormalisasi berikut:

Awalan kunci yang dinormalisasi Representasi umum lainnya
Reg_None None, %%1872
Reg_Sz String, %%1873
Reg_Expand_Sz ExpandString, %%1874
Reg_Binary Binary, %%1875
Reg_DWord Dword, %%1876
Reg_Multi_Sz MultiString, %%1879
Reg_QWord Qword, %%1883

Pembaruan skema

Ini adalah perubahan dalam versi 0.1.1 dari skema tersebut:

  • Menambahkan bidang EventSchema.

Ini adalah perubahan dalam versi 0.1.2 dari skema:

  • Menambahkan bidang ActorScope, DvcScopeId, dan DvcScope..

Langkah berikutnya

Untuk informasi selengkapnya, lihat: