Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El esquema de alertas de Microsoft Sentinel está diseñado para normalizar las alertas relacionadas con la seguridad de varios productos en un formato estandarizado dentro del Modelo de información de seguridad avanzada (ASIM) de Microsoft. Este esquema se centra exclusivamente en eventos de seguridad, lo que garantiza un análisis coherente y eficaz en distintos orígenes de datos.
El esquema de alertas representa varios tipos de alertas de seguridad, como amenazas, actividades sospechosas, anomalías de comportamiento del usuario e infracciones de cumplimiento. Estas alertas las notifican diferentes productos y sistemas de seguridad, incluidos, entre otros, EDR, software antivirus, sistemas de detección de intrusiones, herramientas de prevención de pérdida de datos, etc.
Para obtener más información sobre la normalización en Microsoft Sentinel, vea Normalización y el modelo de información de seguridad avanzada (ASIM).
Analizadores
Para obtener más información sobre los analizadores de ASIM, consulte la introducción a los analizadores de ASIM.
Unificar analizadores
Para usar analizadores que unifiquen todos los analizadores de ASIM de fábrica y asegúrese de que el análisis se ejecuta en todos los orígenes configurados, use el _Im_AlertEvent analizador.
Analizadores integrados y específicos de origen
Para obtener la lista de los analizadores de alertas Microsoft Sentinel proporciona de fábrica, consulte la lista de analizadores de ASIM.
Agregar sus propios analizadores normalizados
Al desarrollar analizadores personalizados para el modelo de información de alertas, asigne un nombre a las funciones de KQL mediante la sintaxis siguiente:
-
vimAlertEvent<vendor><Product>para analizadores con parámetros -
ASimAlertEvent<vendor><Product>para analizadores normales
Consulte el artículo Administración de analizadores de ASIM para obtener información sobre cómo agregar los analizadores personalizados a los analizadores de unificación de alertas.
Filtrado de parámetros del analizador
Los analizadores de alertas admiten varios parámetros de filtrado para mejorar el rendimiento de las consultas. Estos parámetros son opcionales, pero pueden mejorar el rendimiento de las consultas. Están disponibles los siguientes parámetros de filtrado:
| Nombre | Tipo | Description |
|---|---|---|
| starttime | datetime | Filtre solo las alertas que se iniciaron en o después de este momento. Este parámetro filtra en el TimeGenerated campo, que es el designador estándar para la hora del evento, independientemente de la asignación específica del analizador de los campos EventStartTime y EventEndTime. |
| endtime | datetime | Filtre solo las alertas que se iniciaron en o antes de este momento. Este parámetro filtra en el TimeGenerated campo, que es el designador estándar para la hora del evento, independientemente de la asignación específica del analizador de los campos EventStartTime y EventEndTime. |
| ipaddr_has_any_prefix | dinámico | Filtre solo las alertas para las que el campo "DvcIpAddr" se encuentra en uno de los valores enumerados. |
| hostname_has_any | dinámico | Filtre solo las alertas para las que el campo "DvcHostname" se encuentra en uno de los valores enumerados. |
| username_has_any | dinámico | Filtre solo las alertas para las que el campo "Nombre de usuario" se encuentra en uno de los valores enumerados. |
| attacktactics_has_any | dinámico | Filtre solo las alertas para las que el campo "AttackTactics" se encuentra en uno de los valores enumerados. |
| attacktechniques_has_any | dinámico | Filtre solo las alertas para las que el campo "AttackTechniques" se encuentra en uno de los valores enumerados. |
| threatcategory_has_any | dinámico | Filtre solo las alertas para las que el campo "ThreatCategory" se encuentra en uno de los valores enumerados. |
| alertverdict_has_any | dinámico | Filtre solo las alertas para las que el campo "AlertVerdict" se encuentra en uno de los valores enumerados. |
| eventseverity_has_any | dinámico | Filtre solo las alertas para las que el campo "EventSeverity" se encuentra en uno de los valores enumerados. |
Información general del esquema
El esquema de alertas sirve varios tipos de eventos de seguridad, que comparten los mismos campos. Estos eventos se identifican mediante el campo EventType:
- Información sobre amenazas: alertas relacionadas con varios tipos de actividades malintencionadas como malware, phishing, ransomware y otras amenazas cibernéticas.
- Actividades sospechosas: alertas de actividades que no son amenazas necesariamente confirmadas pero que son sospechosas y garantizan una investigación adicional, como varios intentos de inicio de sesión erróneos o acceso a archivos restringidos.
- Anomalías de comportamiento de usuario: alertas que indican un comportamiento de usuario inusual o inesperado que podría sugerir un problema de seguridad, como horas de inicio de sesión anómalas o patrones de acceso a datos inusuales.
- Infracciones de cumplimiento: alertas relacionadas con el incumplimiento de directivas internas o normativas. Por ejemplo, una máquina virtual expuesta con puertos públicos abiertos vulnerables a ataques (alerta de seguridad en la nube).
Importante
Para conservar la relevancia y la eficacia del esquema de alertas, solo se deben asignar alertas relacionadas con la seguridad.
El esquema de alerta hace referencia a las siguientes entidades para capturar detalles sobre la alerta:
- Los campos Dvc se usan para capturar detalles sobre el host o ip asociado a la alerta.
-
Los campos de usuario se usan para capturar detalles sobre el usuario asociado a la alerta.
- De forma similar, los campos Process, File, Url, Registry y Email se usan para capturar solo los detalles clave sobre el proceso, archivo, dirección URL, registro y correo electrónico asociados a la alerta respectivamente.
Importante
- Al compilar un analizador específico del producto, use el esquema de alerta de ASIM cuando la alerta contenga información sobre un incidente de seguridad o una posible amenaza y los detalles principales se puedan asignar directamente a los campos de esquema de alerta disponibles. El esquema de alertas es ideal para capturar información de resumen sin campos amplios específicos de entidad.
- Sin embargo, si se encuentra colocando campos esenciales en "AdditionalFields" debido a la falta de coincidencias directas de campos, considere un esquema más especializado. Por ejemplo, si una alerta incluye detalles relacionados con la red, como varias direcciones IP, por ejemplo, SrcIpAdr, DstIpAddr, PortNumber, etc., puede optar por el esquema NetworkSession a través del esquema alert. Los esquemas especializados también proporcionan campos dedicados para capturar información relacionada con amenazas, mejorar la calidad de los datos y facilitar un análisis eficaz.
Detalles del esquema
Campos comunes de ASIM
En la lista siguiente se mencionan los campos que tienen directrices específicas para los eventos de alerta:
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| EventType | Obligatorio | Enumerado | Tipo del evento. Los valores admitidos son los siguientes: - Alert |
| EventSubType | Recomendado | Enumerado | Especifica el subtipo o la categoría del evento de alerta, lo que proporciona detalles más detallados dentro de la clasificación de eventos más amplia. Este campo ayuda a distinguir la naturaleza del problema detectado, lo que mejora la priorización de incidentes y las estrategias de respuesta. Los valores admitidos son: - Threat (Representa una actividad malintencionada confirmada o muy probable que podría poner en peligro el sistema o la red)- Suspicious Activity (Marca el comportamiento o los eventos que parecen inusuales o sospechosos, aunque aún no se han confirmado como malintencionados)- Anomaly (Identifica las desviaciones de patrones normales que podrían indicar un posible riesgo de seguridad o problema operativo)- Compliance Violation (Resalta las actividades que infringen los estándares normativos, normativos o de cumplimiento) |
| EventUid | Obligatorio | string | Cadena alfanumérica legible por la máquina que identifica de forma única una alerta dentro de un sistema. Por ejemplo, A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
| EventMessage | Opcional | string | Información detallada sobre la alerta, incluido su contexto, causa y posible impacto. Por ejemplo, Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
| IpAddr | Alias | Alias o nombre descriptivo para el DvcIpAddr campo. |
|
| Nombre de host | Alias | Alias o nombre descriptivo para el DvcHostname campo. |
|
| EventSchema | Obligatorio | Enumerado | Esquema usado para el evento. El esquema que se documenta aquí es AlertEvent. |
| EventSchemaVersion | Obligatorio | SchemaVersion (String) | Versión del esquema. La versión del esquema documentada aquí es 0.1. |
Todos los campos comunes
Los campos que aparecen en la tabla siguiente son comunes a todos los esquemas de ASIM. Cualquier directriz especificada anteriormente invalida las directrices generales para el campo. Por ejemplo, un campo puede ser opcional en general, pero obligatorio para un esquema específico. Para obtener más información sobre cada campo, consulte el artículo Campos comunes de ASIM .
| Clase | Campos |
|---|---|
| Obligatorio |
-
EventCount - EventStartTime - EventEndTime - EventType - EventUid - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
| Recomendado |
-
EventSubType - EventSeverity - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType |
| Opcional |
-
EventMessage - EventOriginalType - EventOriginalSubType - EventOriginalSeverity - EventProductVersion - EventOriginalUid - EventReportUrl - EventResult - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcAction - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campos de inspección
En la tabla siguiente se tratan los campos que proporcionan información crítica sobre las reglas y amenazas asociadas a las alertas. Juntos, ayudan a enriquecer el contexto de la alerta, lo que facilita a los analistas de seguridad comprender su origen y significado.
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| AlertId | Alias | string | Alias o nombre descriptivo para el EventUid campo. |
| AlertName | Recomendado | string | Título o nombre de la alerta. Por ejemplo, Possible use of the Rubeus kerberoasting tool |
| AlertDescription | Alias | string | Alias o nombre descriptivo para el EventMessage campo. |
| AlertVerdict | Opcional | Enumerado | La determinación final o el resultado de la alerta, que indica si la alerta se confirmó como una amenaza, se consideró sospechosa o se resolvió como un falso positivo. Los valores admitidos son los siguientes: - True Positive (Confirmado como una amenaza legítima)- False Positive (Se identifica incorrectamente como una amenaza)- Benign Positive (cuando se determina que el evento es inofensivo)- Unknown (Estado incierto o indeterminado) |
| AlertStatus | Opcional | Enumerado | Indica el estado actual o el progreso de la alerta. Los valores admitidos son los siguientes: - Active- Closed |
| AlertOriginalStatus | Opcional | string | Estado de la alerta según lo notificado por el sistema de origen. |
| DetectionMethod | Opcional | Enumerado | Proporciona información detallada sobre el método de detección, la tecnología o el origen de datos específicos que contribuyeron a la generación de la alerta. Este campo ofrece una mayor información sobre cómo se detectó o desencadenó la alerta, lo que ayuda a comprender el contexto de detección y la confiabilidad. Los valores admitidos son: - EDR: sistemas de detección y respuesta de puntos de conexión que supervisan y analizan las actividades de los puntos de conexión para identificar amenazas.- Behavioral Analytics: técnicas que detectan patrones anómalos en el comportamiento del usuario, dispositivo o sistema.- Reputation: detección de amenazas basada en la reputación de direcciones IP, dominios o archivos.- Threat Intelligence: fuentes de inteligencia externas o internas que proporcionan datos sobre amenazas conocidas o tácticas adversarias.- Intrusion Detection: sistemas que supervisan el tráfico de red o las actividades para detectar señales de intrusiones o ataques.- Automated Investigation: sistemas automatizados que analizan e investigan alertas, lo que reduce la carga de trabajo manual.- Antivirus: motores antivirus tradicionales que detectan malware basado en firmas y heurística.- Data Loss Prevention: soluciones centradas en la prevención de pérdidas o transferencias de datos no autorizadas.- User Defined Blocked List: listas personalizadas definidas por los usuarios para bloquear direcciones IP, dominios o archivos específicos.- Cloud Security Posture Management: herramientas que evalúan y administran los riesgos de seguridad en entornos en la nube.- Cloud Application Security: soluciones que protegen los datos y las aplicaciones en la nube.- Scheduled Alerts: alertas generadas en función de programaciones o umbrales predefinidos.- Other: cualquier otro método de detección no cubierto por las categorías anteriores. |
| Rule | Alias | string | El valor de RuleName o el valor de RuleNumber. Si se usa el valor de RuleNumber, el tipo debe convertirse en cadena. |
| RuleNumber | Opcional | Entero | Número de la regla asociada a la alerta. Por ejemplo, 123456 |
| RuleName | Opcional | string | Nombre o identificador de la regla asociada a la alerta. Por ejemplo, Server PSEXEC Execution via Remote Access |
| RuleDescription | Opcional | string | Descripción de la regla asociada a la alerta. Por ejemplo, This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
| ThreatId | Opcional | string | Identificador de la amenaza o malware identificado en la alerta. Por ejemplo, 1234567891011121314 |
| ThreatName | Opcional | string | Nombre de la amenaza o malware identificado en la alerta. Por ejemplo, Init.exe |
| ThreatFirstReportedTime | Opcional | datetime | Fecha y hora en que se informó por primera vez de la amenaza. Por ejemplo, 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Opcional | datetime | Fecha y hora en que se informó por última vez de la amenaza. Por ejemplo, 2024-09-19T10:12:10.0000000Z |
| ThreatCategory | Recomendado | Enumerado | Categoría de la amenaza o malware identificada en la alerta. Los valores admitidos son: Malware, Ransomware, Trojan, , WormVirus, Adware, Spyware, Rootkit, Cryptominor, Phishing, Spam, MaliciousUrl, Spoofing, , Security Policy ViolationUnknown |
| ThreatOriginalCategory | Opcional | string | Categoría de la amenaza notificada por el sistema de origen. |
| ThreatIsActive | Opcional | bool | Indica si la amenaza está activa actualmente. Los valores admitidos son: True, False |
| ThreatRiskLevel | Opcional | RiskLevel (integer) | El nivel de riesgo asociado a la amenaza. El nivel debe ser un número entre 0 y 100. Nota: Es posible que el valor se proporcione en el registro de origen mediante una escala diferente, que debe normalizarse a esta escala. El valor original debe almacenarse en ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcional | string | Nivel de riesgo notificado por el sistema de origen. |
| ThreatConfidence | Opcional | ConfidenceLevel (integer) | El nivel de confianza de la amenaza identificada, normalizada a un valor entre 0 y 100. |
| ThreatOriginalConfidence | Opcional | string | Nivel de confianza notificado por el sistema de origen. |
| IndicatorType | Recomendado | Enumerado | Tipo o categoría del indicador Los valores admitidos son los siguientes: - Ip- User- Process- Registry- Url- Host- Cloud Resource- Application- File- Email- Mailbox- Logon Session |
| IndicatorAssociation | Opcional | Enumerado | Especifica si el indicador está vinculado o afectado directamente por la amenaza. Los valores admitidos son los siguientes: - Associated- Targeted |
| AttackTactics | Recomendado | string | Las tácticas de ataque (nombre, identificador o ambas) asociadas a la alerta. Formato preferido: Por ejemplo: Persistence, Privilege Escalation |
| AttackTechniques | Recomendado | string | Las técnicas de ataque (nombre, identificador o ambas) asociadas a la alerta. Formato preferido: Por ejemplo: Local Groups (T1069.001), Domain Groups (T1069.002) |
| AttackRemediationSteps | Recomendado | string | Acciones o pasos recomendados para mitigar o corregir el ataque o amenaza identificados. Por ejemplo, 1. Make sure the machine is completely updated and all your software has the latest patch.2. Contact your incident response team. |
Campos de usuario
En esta sección se definen los campos relacionados con la identificación y clasificación de los usuarios asociados a una alerta, lo que proporciona claridad sobre el usuario afectado y el formato de su identidad. Si la alerta contiene campos adicionales relacionados con el usuario que superan lo que se asigna aquí, puede considerar si un esquema especializado, como el esquema de eventos de autenticación, puede ser más adecuado para representar completamente los datos.
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| UserId | Opcional | string | Representación única, alfanumérica y legible de la máquina del usuario asociado a la alerta. Por ejemplo, A1bC2dE3fH4iJ5kL6mN7o |
| UserIdType | Condicional | Enumerado | Tipo del identificador de usuario, como GUID, SIDo Email.Los valores admitidos son los siguientes: - GUID- SID- Email- Username- Phone- Other |
| Username | Recomendado | Nombre de usuario (cadena) | Nombre del usuario asociado a la alerta, incluida la información de dominio cuando está disponible. por ejemplo, Contoso\JSmith o john.smith@contoso.com |
| Usuario | Alias | string | Alias o nombre descriptivo para el Username campo. |
| UsernameType | Condicional | UsernameType | Especifica el tipo de nombre de usuario almacenado en el Username campo. Para obtener más información y una lista de los valores permitidos, vea UsernameType en el artículo Información general del esquema.Por ejemplo, Windows |
| UserType | Opcional | UserType | Tipo del actor. Para obtener más información y una lista de los valores permitidos, vea UserType en el artículo Información general del esquema. Por ejemplo, Guest |
| OriginalUserType | Opcional | string | Tipo de usuario notificado por el dispositivo de informes. |
| UserSessionId | Opcional | string | Identificador único de la sesión del usuario asociada a la alerta. Por ejemplo, a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
| UserScopeId | Opcional | string | El identificador de ámbito, como Microsoft Entra id. de directorio, en el que se definen UserId y Username. Por ejemplo, a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
| UserScope | Opcional | string | Ámbito, como Microsoft Entra inquilino, en el que se definen UserId y Username. Para obtener más información y una lista de los valores permitidos, vea UserScope en el artículo Información general del esquema. Por ejemplo, Contoso Directory |
Campos de proceso
Esta sección permite capturar detalles relacionados con una entidad de proceso implicada en una alerta mediante los campos especificados. Si la alerta contiene campos adicionales y detallados relacionados con el proceso que superan lo que se asigna aquí, puede considerar si un esquema especializado, como el esquema de eventos de proceso, puede ser más adecuado para representar completamente los datos.
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| ProcessId | Opcional | string | Identificador de proceso (PID) asociado a la alerta. Por ejemplo, 12345678 |
| ProcessCommandLine | Opcional | string | Línea de comandos usada para iniciar el proceso. Por ejemplo, "choco.exe" -v |
| ProcessName | Opcional | string | Nombre del proceso. Por ejemplo, C:\Windows\explorer.exe |
| ProcessFileCompany | Opcional | string | Empresa que creó el archivo de imagen de proceso. Por ejemplo, Microsoft |
Campos de archivo
Esta sección le permite capturar detalles relacionados con una entidad de archivo implicada en una alerta. Si la alerta contiene campos adicionales relacionados con archivos detallados que superan lo que se asigna aquí, puede considerar si un esquema especializado, como el esquema de eventos de archivo, puede ser más adecuado para representar completamente los datos.
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| FileName | Opcional | string | Nombre del archivo asociado a la alerta, sin ruta de acceso ni ubicación. Por ejemplo, Notepad.exe |
| FilePath | Opcional | string | Ruta de acceso completa y normalizada del archivo de destino, incluida la carpeta o ubicación, el nombre de archivo y la extensión. Por ejemplo, C:\Windows\System32\notepad.exe |
| FileSHA1 | Opcional | string | Hash SHA1 del archivo. Por ejemplo, j5kl6mn7op8qr9st0uv1 |
| FileSHA256 | Opcional | string | Hash SHA256 del archivo. Por ejemplo, a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
| FileMD5 | Opcional | string | Hash MD5 del archivo. Por ejemplo, j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
| FileSize | Opcional | largo | Tamaño del archivo en bytes. Por ejemplo, 123456 |
Campo url
Si la alerta incluye información sobre la entidad Url, los campos siguientes pueden capturar datos relacionados con la dirección URL.
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| Url | Opcional | string | Cadena de dirección URL capturada en la alerta. Por ejemplo, https://contoso.com/fo/?k=v&q=u#f |
Campos del Registro
Si la alerta incluye detalles sobre la entidad del Registro, use los campos siguientes para capturar información específica relacionada con el Registro.
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| RegistryKey | Opcional | string | La clave del Registro asociada a la alerta, normalizada a las convenciones de nomenclatura de clave raíz estándar. Por ejemplo, HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Opcional | string | Valor del Registro. Por ejemplo, ImagePath |
| RegistryValueData | Opcional | string | Datos del valor del Registro. Por ejemplo, C:\Windows\system32;C:\Windows; |
| RegistryValueType | Opcional | Enumerado | Tipo del valor del Registro. Por ejemplo, Reg_Expand_Sz |
campos de Email
Si la alerta incluye información sobre la entidad de correo electrónico, use los campos siguientes para capturar detalles específicos relacionados con el correo electrónico.
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| EmailMessageId | Opcional | string | Identificador único del mensaje de correo electrónico, asociado a la alerta. Por ejemplo, Request for Invoice Access |
| EmailSubject | Opcional | string | Asunto del correo electrónico. Por ejemplo, j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
Novedades de esquema
A continuación se muestran los cambios en varias versiones del esquema:
- Versión 0.1: versión inicial.