[8.17] [EDR Workflows] Rename enforce_registry_filters advanced option (#214106) (#214547)

# Backport

This will backport the following commits from `main` to `8.17`:
- [[EDR Workflows] Rename `enforce_registry_filters` advanced option
(#214106)](https://github.com/elastic/kibana/pull/214106)

<!--- Backport version: 9.6.6 -->

### Questions ?
Please refer to the [Backport tool
documentation](https://github.com/sorenlouv/backport)

<!--BACKPORT [{"author":{"name":"Gergő
Ábrahám","email":"gergo.abraham@elastic.co"},"sourceCommit":{"committedDate":"2025-03-14T10:55:16Z","message":"[EDR
Workflows] Rename `enforce_registry_filters` advanced option
(#214106)\n\n## Summary\n\nThis PR renames the path for the following
advanced option
from\n`windows.advanced.events.registry.enforce_registry_filters`
to\n`windows.advanced.events.enforce_registry_filters` in order to
harmonize\nwith Endpoint.\n\nmigration is not added, see this comment
for
rationale:\nhttps://github.com/elastic/kibana/issues/212526#issuecomment-2724023199\n\n###
Release note\n\nElastic Defend package policy's ineffective advanced
option\n`enforce_registry_filters` is replaced with a new field which
now\nprovides the expected effect.\nManual act is needed from users to
fill the new field, while the old\nfield is still visible in policy
response.\n\n\n### Checklist\n\nCheck the PR satisfies following
conditions. \n\nReviewers should verify this PR satisfies this list as
well.\n\n- [x] The PR description includes the appropriate Release Notes
section,\nand the correct `release_note:*` label is applied per
the\n[guidelines](https://www.elastic.co/guide/en/kibana/master/contributing.html#kibana-release-notes-process)","sha":"b9a258723d06bcf29392f19e3a80c544e6550fa2","branchLabelMapping":{"^v9.1.0$":"main","^v8.19.0$":"8.x","^v(\\d+).(\\d+).\\d+$":"$1.$2"}},"sourcePullRequest":{"labels":["release_note:fix","backport:prev-minor","backport:prev-major","v9.1.0"],"title":"[EDR
Workflows] Rename `enforce_registry_filters` advanced
option","number":214106,"url":"https://github.com/elastic/kibana/pull/214106","mergeCommit":{"message":"[EDR
Workflows] Rename `enforce_registry_filters` advanced option
(#214106)\n\n## Summary\n\nThis PR renames the path for the following
advanced option
from\n`windows.advanced.events.registry.enforce_registry_filters`
to\n`windows.advanced.events.enforce_registry_filters` in order to
harmonize\nwith Endpoint.\n\nmigration is not added, see this comment
for
rationale:\nhttps://github.com/elastic/kibana/issues/212526#issuecomment-2724023199\n\n###
Release note\n\nElastic Defend package policy's ineffective advanced
option\n`enforce_registry_filters` is replaced with a new field which
now\nprovides the expected effect.\nManual act is needed from users to
fill the new field, while the old\nfield is still visible in policy
response.\n\n\n### Checklist\n\nCheck the PR satisfies following
conditions. \n\nReviewers should verify this PR satisfies this list as
well.\n\n- [x] The PR description includes the appropriate Release Notes
section,\nand the correct `release_note:*` label is applied per
the\n[guidelines](https://www.elastic.co/guide/en/kibana/master/contributing.html#kibana-release-notes-process)","sha":"b9a258723d06bcf29392f19e3a80c544e6550fa2"}},"sourceBranch":"main","suggestedTargetBranches":[],"targetPullRequestStates":[{"branch":"main","label":"v9.1.0","branchLabelMappingKey":"^v9.1.0$","isSourceBranch":true,"state":"MERGED","url":"https://github.com/elastic/kibana/pull/214106","number":214106,"mergeCommit":{"message":"[EDR
Workflows] Rename `enforce_registry_filters` advanced option
(#214106)\n\n## Summary\n\nThis PR renames the path for the following
advanced option
from\n`windows.advanced.events.registry.enforce_registry_filters`
to\n`windows.advanced.events.enforce_registry_filters` in order to
harmonize\nwith Endpoint.\n\nmigration is not added, see this comment
for
rationale:\nhttps://github.com/elastic/kibana/issues/212526#issuecomment-2724023199\n\n###
Release note\n\nElastic Defend package policy's ineffective advanced
option\n`enforce_registry_filters` is replaced with a new field which
now\nprovides the expected effect.\nManual act is needed from users to
fill the new field, while the old\nfield is still visible in policy
response.\n\n\n### Checklist\n\nCheck the PR satisfies following
conditions. \n\nReviewers should verify this PR satisfies this list as
well.\n\n- [x] The PR description includes the appropriate Release Notes
section,\nand the correct `release_note:*` label is applied per
the\n[guidelines](https://www.elastic.co/guide/en/kibana/master/contributing.html#kibana-release-notes-process)","sha":"b9a258723d06bcf29392f19e3a80c544e6550fa2"}}]}]
BACKPORT-->

Co-authored-by: Gergő Ábrahám <gergo.abraham@elastic.co>

x-pack/plugins/security_solution/public/management/pages/policy/models/advanced_policy_schema.ts

@@ -2008,10 +2008,10 @@ export const AdvancedPolicySchema: AdvancedPolicySchemaType[] = [
     ),
   },
   {
-    key: 'windows.advanced.events.registry.enforce_registry_filters',
+    key: 'windows.advanced.events.enforce_registry_filters',
     first_supported_version: '8.15',
     documentation: i18n.translate(
-      'xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.registry.enforce_registry_filters',
+      'xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.enforce_registry_filters',
       {
         defaultMessage:
           'Reduce data volume by filtering out registry events which are not relevant to behavioral protections.  Default: true',

x-pack/plugins/translations/translations/fr-FR.json

@@ -39902,6 +39902,7 @@
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.deduplicate_network_events_below_bytes": "Seuil de transfert de déduplication exprimé en octets. Les événements dépassant le transfert ne seront pas dédupliqués. Une valeur de '0' signifie désactivé. Par défaut : 1048576 (1MB)",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.disable_image_load_suppression_cache": "Le cache de suppression de chargement des images améliore les performances système en permettant au point de terminaison d'informer son pilote de noyau des DLL non intéressants qui n'auront jamais d'événements. Cette fonctionnalité améliore le temps de réponse du système et réduit l'utilisation du processeur au point de terminaison. Utilisez ce paramètre uniquement pour la résolution de problème, si les événements de chargement d'image ne sont pas générés comme prévu. Valeur par défaut : false",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.disable_registry_write_suppression": "La suppression d'écriture sur le registre améliore les performances système en permettant au point de terminaison d'informer son pilote que certains types d'opérations de registre ne sont pas intéressants. Une fois ces évènements présentés comme inintéressants, le pilote peut rapidement les ignorer. Cela améliore le temps de réponse du système et réduit l'utilisation du processeur au point de terminaison. Utilisez ce paramètre pour la résolution de problème, si les événements de registre ne fonctionnent pas comme prévu. Valeur par défaut : false",
+    "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.enforce_registry_filters": "Réduisez le volume de données en filtrant les événements de registre n’étant pas pertinents pour les protections contre les comportements. Par défaut : true.",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.etw": "Déclassé.",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.event_on_access.file_paths": "Liste de modèles de caractères génériques supplémentaires, séparés par des virgules, qui seront surveillés pour l'accès en lecture. Le point de terminaison signalera au plus une correspondance par modèle et par processus. Le point de terminaison essaiera de convertir les lettres de lecteur en chemins NT (par exemple \\\\Device\\\\HarddiskVolume4), mais la conversion échouera pour les lecteurs liés aux utilisateurs comme les lecteurs réseau. Séparez uniquement les entrées par des virgules (pas d'espaces). La correspondance des caractères génériques n'est pas sensible à la casse. Consultez la documentation Microsoft FsRtlIsNameInExpression pour connaître les règles de correspondance des caractères génériques.",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.event_on_access.registry_paths": "La liste des chemins de registre séparés par des virgules qui seront surveillés pour l'accès en lecture. Il doit s'agir de chemins NT (par exemple \\\\REGISTRY\\\\MACHINE\\\\SOFTWARE\\\\Microsoft\\\\...). Le point de terminaison signalera au plus une correspondance par modèle et par processus. Séparez uniquement les entrées par des virgules (pas d'espaces). La correspondance des caractères génériques n'est pas sensible à la casse. Consultez la documentation Microsoft FsRtlIsNameInExpression pour connaître les règles de correspondance des caractères génériques.",
@@ -39912,7 +39913,6 @@
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.memory_scan": "En cas d'alerte comportementale, cette fonction permet d'effectuer une analyse supplémentaire des zones de mémoire identifiées en fonction de signatures de logiciels malveillants bien connues. Par défaut : true.",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.process_ancestry_length": "Le nombre maximum d'entrées ancêtres de processus à inclure dans les événements de processus. Par défaut : 5",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.process.creation_flags": "Permet un enrichissement supplémentaire pour les événements du processus. Utilisez ce paramètre pour la résolution de problème, si les événements de processus ne fonctionnent pas comme prévu. Par défaut : true.",
-    "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.registry.enforce_registry_filters": "Réduisez le volume de données en filtrant les événements de registre n’étant pas pertinents pour les protections contre les comportements. Par défaut : true.",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.file_cache.file_object_cache_size": "Taille maximale du cache de fichiers. Les valeurs plus grandes peuvent optimiser les performances mais aussi augmenter l'utilisation de la mémoire. Par défaut : 250",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.flags": "Liste de drapeaux de fonctionnalité séparés par des virgules. Actuellement, aucun indicateur de fonctionnalité n'est pris en charge.",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.kernel.asyncimageload": "La valeur \"false\" remplace tous les autres paramètres qui activeraient les événements de chargement d'image asynchrones dans le noyau. Par défaut : true.",

x-pack/plugins/translations/translations/ja-JP.json

@@ -39868,6 +39868,7 @@
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.deduplicate_network_events_below_bytes": "重複除外転送しきい値（バイト）。この転送しきい値を超えるイベントは重複除外されません。値0は無効を意味します。デフォルト：1048576 (1MB)",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.disable_image_load_suppression_cache": "イメージ読み込み抑制キャッシュにより、エンドポイントは関心がなく決して実行されないDLLに関してカーネルドライバーに通知できるため、システムパフォーマンスが改善されます。この機能により、システムの応答が改善され、エンドポイントCPUの使用量が減ります。この設定は、イメージ読み込みイベントが想定通りに生成されていない場合にのみ、トラブルシューティング目的で使用してください。デフォルト：false。",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.disable_registry_write_suppression": "レジストリ書き込み抑制により、エンドポイントは特定のタイプのレジストリ操作に関心がないことをドライバーに通知できるため、システムパフォーマンスが改善されます。関心がないと見なされると、ドライバーはこれらのイベントを迅速に破棄し、システムの応答性を高め、エンドポイントCPUの使用量を減らします。この設定は、レジストリイベントが想定通りに機能していない場合にのみ、トラブルシューティング目的で使用してください。デフォルト：false。",
+    "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.enforce_registry_filters": "動作分析に関連しないレジストリイベントを除外することで、データ量を減らします。デフォルト：true",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.etw": "廃止予定。",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.event_on_access.file_paths": "読み取りアクセスが監視される追加のワイルドカードパターンのカンマ区切りのリスト。エンドポイントは、プロセス単位でパターンごとに最大1件の一致を報告します。エンドポイントはドライブ文字をNTパスに変換しようとします（例：\\\\Device\\\\HarddiskVolume4）が、ネットワークドライブなどのユーザー単位ドライブでは変換が失敗します。エントリ間にはカンマのみを挿入してください（スペースなし）。ワイルドカード一致では、大文字と小文字の区別はありません。ワイルドカード一致ルールについては、Microsoft FsRtlIsNameInExpressionドキュメントを参照してください。",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.event_on_access.registry_paths": "読み取りアクセスが監視されるレジストリパスのカンマ区切りのリスト。これらはNTパス（例：\\\\REGISTRY\\\\MACHINE\\\\SOFTWARE\\\\Microsoft\\\\...）でなければなりません。エンドポイントは、プロセス単位でパターンごとに最大1件の一致を報告します。エントリ間にはカンマのみを挿入してください（スペースなし）。ワイルドカード一致では、大文字と小文字の区別はありません。ワイルドカード一致ルールについては、Microsoft FsRtlIsNameInExpressionドキュメントを参照してください。",
@@ -39878,7 +39879,6 @@
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.memory_scan": "動作アラートでは、この機能により、既知のマルウェアシグネチャに対して、特定されたメモリ領域の追加のスキャンが可能になります。デフォルト：true",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.process_ancestry_length": "プロセスイベントに含めるプロセス上位エントリの最大数。デフォルト：5",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.process.creation_flags": "プロセスイベントの追加のエンリッチメントを有効化します。この設定は、プロセスイベントが想定通りに機能していない場合にのみ、トラブルシューティング目的で使用してください。デフォルト：true",
-    "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.registry.enforce_registry_filters": "動作分析に関連しないレジストリイベントを除外することで、データ量を減らします。デフォルト：true",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.file_cache.file_object_cache_size": "ファイルキャッシュの最大サイズ。値を大きくするとパフォーマンスが向上しますが、メモリ使用量が増えます。デフォルト：250",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.flags": "機能フラグのコンマ区切りのリストです。現在、機能フラグはサポートされていません。",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.kernel.asyncimageload": "「false」の値は、カーネル非同期イメージ読み込みイベントを有効にする他の構成設定を上書きします。デフォルト：true",

x-pack/plugins/translations/translations/zh-CN.json

@@ -39936,6 +39936,7 @@
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.deduplicate_network_events_below_bytes": "重复数据消除传输阈值（字节）。超出传输范围的事件将不进行重复数据消除。值为“0”表示已禁用。默认值：1048576 (1MB)",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.disable_image_load_suppression_cache": "映像加载阻止缓存通过允许终端向其内核驱动程序告知有关无益且绝不会发生的 DLL 的信息，从而改进系统性能。此功能将提高系统响应能力并降低终端 CPU 使用率。如果未按预期生成映像加载事件，则仅将此设置用于故障排查。默认值：false",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.disable_registry_write_suppression": "注册表写入阻止通过允许终端告诉其驱动程序某些类型的注册表操作没有益处，从而改进系统性能。一旦被认为没有益处，驱动程序即可快速丢弃这些事件，从而提高系统响应能力并降低终端 CPU 使用率。如果注册表事件未按预期运行，则仅将此设置用于故障排查。默认值：false",
+    "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.enforce_registry_filters": "通过筛除与行为防护无关的注册表事件来减少数据量。默认值：true",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.etw": "已过时。",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.event_on_access.file_paths": "其他将监测读取权限的通配符模式的逗号分隔列表。终端将按模式为每个进程最多报告一个匹配项。终端会尝试将驱动器号转换为 NT 路径（例如 \\\\Device\\\\HarddiskVolume4），但对于网络驱动器等用户专用驱动器，转换将会失败。条目之间仅放置逗号（无空格）。通配符匹配不区分大小写。请参阅 Microsoft FsRtlIsNameInExpression 文档了解通配符匹配规则。",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.event_on_access.registry_paths": "将监测读取权限的注册表路径的逗号分隔列表。这些路径必须为 NT 路径（例如 \\\\REGISTRY\\\\MACHINE\\\\SOFTWARE\\\\Microsoft\\\\...）。终端将按模式为每个进程最多报告一个匹配项。条目之间仅放置逗号（无空格）。通配符匹配不区分大小写。请参阅 Microsoft FsRtlIsNameInExpression 文档了解通配符匹配规则。",
@@ -39946,7 +39947,6 @@
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.memory_scan": "出现行为告警时，此功能将根据常见恶意软件签名启用已识别内存区域附加扫描。默认值：true",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.process_ancestry_length": "要包括在进程事件中的进程体系条目的最大数目。默认值：5",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.process.creation_flags": "启用进程事件附加扩充。如果进程事件未按预期运行，则仅将此设置用于故障排查。默认值：true",
-    "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.events.registry.enforce_registry_filters": "通过筛除与行为防护无关的注册表事件来减少数据量。默认值：true",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.file_cache.file_object_cache_size": "文件缓存的最大大小。更大的值可以提高性能，但会增加内存使用量。默认值：250",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.flags": "功能标志的逗号分隔列表。当前不支持任何功能标志。",
     "xpack.securitySolution.endpoint.policy.advanced.windows.advanced.kernel.asyncimageload": "“false”值会覆盖本将启用内核异步映像事件的其他配置设置。默认值：true。",