Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El esquema de normalización de eventos de auditoría de Microsoft Sentinel representa los eventos asociados con el seguimiento de auditoría de los sistemas de información. El registro de seguimiento de auditoría registra las actividades de configuración del sistema y los cambios de directiva. Estos cambios a menudo los realizan los administradores del sistema, pero también los pueden realizar los usuarios al configurar la configuración de sus propias aplicaciones.
Cada sistema registra eventos de auditoría junto con sus registros de actividad principales. Por ejemplo, un firewall registrará eventos sobre las sesiones de red son procesos y auditará los eventos sobre los cambios de configuración aplicados al propio firewall.
Para obtener más información sobre la normalización en Microsoft Sentinel, vea Normalización y el modelo de información de seguridad avanzada (ASIM).
Introducción al esquema
Los campos principales de un evento de auditoría son:
- Objeto, que puede ser, por ejemplo, un recurso administrado o una regla de directiva, en el que se centra el evento, representado por el campo Object. El campo ObjectType especifica el tipo del objeto.
- Contexto de la aplicación del objeto, representado por el campo TargetAppName, que tiene el alias Application.
- Operación realizada en el objeto , representada por los campos EventType y Operation. Aunque Operation es el valor del origen notificado, EventType es una versión normalizada que es más coherente entre orígenes.
- Los valores antiguos y nuevos del objeto, si procede, representados por OldValue y NewValue , respectivamente.
Los eventos de auditoría también hacen referencia a las siguientes entidades, que participan en la operación de configuración:
- Actor : el usuario que realiza la operación de configuración.
- TargetApp: aplicación o sistema para el que se aplica la operación de configuración.
- Destino : el sistema en el que se ejecuta TargetApp*.
- ActingApp: la aplicación usada por el actor para realizar la operación de configuración.
- Src : el sistema usado por el actor para iniciar la operación de configuración, si es diferente de Target.
El descriptor Dvc se usa para el dispositivo de informes, que es el sistema local para las sesiones notificadas por un punto de conexión, y el intermediario o dispositivo de seguridad en otros casos.
Analizadores
Implementación y uso de analizadores de eventos de auditoría
Implemente los analizadores de eventos de auditoría de ASIM desde el repositorio de GitHub Microsoft Sentinel. Para realizar consultas en todos los orígenes de eventos de auditoría, use el analizador imAuditEvent de unificación como nombre de tabla en la consulta.
Para obtener más información sobre el uso de analizadores de ASIM, consulte la introducción a los analizadores de ASIM. Para obtener la lista de los analizadores de eventos de auditoría Microsoft Sentinel proporciona información general, consulte la lista de analizadores de ASIM.
Agregar sus propios analizadores normalizados
Al implementar analizadores personalizados para el modelo de información de eventos de archivo, asigne un nombre a las funciones de KQL mediante la sintaxis siguiente: imAuditEvent<vendor><Product>. Consulte el artículo Administración de analizadores de ASIM para obtener información sobre cómo agregar los analizadores personalizados al analizador de unificación de eventos de auditoría.
Filtrado de parámetros del analizador
Los analizadores de eventos de auditoría admiten parámetros de filtrado. Aunque estos parámetros son opcionales, pueden mejorar el rendimiento de las consultas.
Están disponibles los siguientes parámetros de filtrado:
| Nombre | Tipo | Description |
|---|---|---|
| starttime | datetime | Filtre solo los eventos que se ejecutaron en o después de este momento. Este parámetro usa el TimeGenerated campo como designador de tiempo del evento. |
| endtime | datetime | Filtre solo las consultas de eventos que terminaron de ejecutarse en o antes de este momento. Este parámetro usa el TimeGenerated campo como designador de tiempo del evento. |
| srcipaddr_has_any_prefix | dinámico | Filtre solo los eventos de esta dirección IP de origen, como se representa en el campo SrcIpAddr . |
| eventtype_in | string | Filtre solo los eventos en los que el tipo de evento, como se representa en el campo EventType , es cualquiera de los términos proporcionados. |
| eventresult | string | Filtre solo los eventos en los que el resultado del evento, como se representa en el campo EventResult es igual al valor del parámetro. |
| actorusername_has_any | dynamic/string | Filtre solo los eventos en los que ActorUsername incluya cualquiera de los términos proporcionados. |
| operation_has_any | dynamic/string | Filtre solo los eventos en los que el campo Operación incluya cualquiera de los términos proporcionados. |
| object_has_any | dynamic/string | Filtre solo los eventos en los que el campo Object incluya cualquiera de los términos proporcionados. |
| newvalue_has_any | dynamic/string | Filtre solo los eventos en los que el campo NewValue incluya cualquiera de los términos proporcionados. |
Algunos parámetros pueden aceptar la lista de valores de tipo dynamic o un valor de cadena único. Para pasar una lista literal a parámetros que esperan un valor dinámico, use explícitamente un literal dinámico. Por ejemplo: dynamic(['192.168.','10.'])
Por ejemplo, para filtrar solo los eventos de auditoría con los términos install o update en su campo Operación , desde el último día, use:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
Detalles del esquema
Campos comunes de ASIM
Importante
Los campos comunes a todos los esquemas se describen en detalle en el artículo Campos comunes de ASIM .
Campos comunes con directrices específicas
En la lista siguiente se mencionan los campos que tienen directrices específicas para los eventos de auditoría:
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| EventType | Obligatorio | Enumerado | Describe la operación auditada por el evento mediante un valor normalizado. Use EventSubType para proporcionar más detalles, que el valor normalizado no transmite, y Operation. para almacenar la operación según lo notificado por el dispositivo de informes. Para los registros de eventos de auditoría, los valores permitidos son: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Initialize- Start- Stop- Other Los eventos de auditoría representan una gran variedad de operaciones y el Other valor habilita las operaciones de asignación que no tienen ninguna correspondiente EventType. Sin embargo, el uso de Other limita la facilidad de uso del evento y se debe evitar si es posible. |
| EventSubType | Opcional | Cadena | Proporciona más detalles, que el valor normalizado de EventType no transmite. |
| EventSchema | Obligatorio | Enumerado | El nombre del esquema documentado aquí es AuditEvent. |
| EventSchemaVersion | Obligatorio | SchemaVersion (String) | Versión del esquema. La versión del esquema documentada aquí es 0.1.2. |
Todos los campos comunes
Los campos que aparecen en la tabla son comunes a todos los esquemas de ASIM. Cualquiera de las directrices especificadas en este documento invalida las directrices generales para el campo. Por ejemplo, un campo puede ser opcional en general, pero obligatorio para un esquema específico. Para obtener más información sobre cada campo, consulte el artículo Campos comunes de ASIM .
| Class | Fields |
|---|---|
| Obligatorio |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendado |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campos de auditoría
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| Operación | Obligatorio | Cadena | La operación auditada según lo notificado por el dispositivo de informes. |
| Objeto | Obligatorio | Cadena | Nombre del objeto en el que se realiza la operación identificada por EventType . |
| ObjectId | Opcional | Cadena | Identificador del objeto en el que se realiza la operación identificada por EventType . |
| ObjectType | Condicional | Enumerado | Tipo de Objeto. Los valores permitidos son: - Cloud Resource- Configuration Atom- Policy Rule- Event Log- Scheduled Task- Service- Directory Service Object- Other |
| OriginalObjectType | Opcional | Cadena | Tipo de objeto notificado por el sistema de informes |
| OldValue | Opcional | Cadena | Valor anterior de Object antes de la operación, si procede. |
| NewValue | Recomendado | Cadena | Nuevo valor de Object después de realizar la operación, si procede. |
| Valor | Alias | Alias a NewValue | |
| ValueType | Condicional | Enumerado | Tipo de los valores antiguos y nuevos. Los valores permitidos son -Otro |
Campos de actor
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| ActorUserId | Opcional | Cadena | Representación única, alfanumérica y legible de la máquina del actor. Para obtener más información y para campos alternativos para otros identificadores, vea La entidad User. Ejemplo: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Opcional | Cadena | Ámbito, como Microsoft Entra nombre de dominio, en el que se definen ActorUserId y ActorUsername. o más información y lista de valores permitidos, vea UserScope en el artículo Información general del esquema. |
| ActorScopeId | Opcional | Cadena | Identificador de ámbito, como Microsoft Entra id. de directorio, en el que se definen ActorUserId y ActorUsername. Para obtener más información y una lista de los valores permitidos, vea UserScopeId en el artículo Información general del esquema. |
| ActorUserIdType | Condicional | Enumerado | Tipo del identificador almacenado en el campo ActorUserId . Para obtener más información y una lista de los valores permitidos, vea UserIdType en el artículo Información general del esquema. |
| ActorUsername | Recomendado | Nombre de usuario (cadena) | Nombre de usuario del actor, incluida la información de dominio cuando esté disponible. Para obtener más información, vea La entidad User. Ejemplo: AlbertE |
| Usuario | Alias | Alias a ActorUsername | |
| ActorUsernameType | Condicional | UsernameType | Especifica el tipo del nombre de usuario almacenado en el campo ActorUsername . Para obtener más información y una lista de los valores permitidos, vea UsernameType en el artículo Información general del esquema. Ejemplo: Windows |
| ActorUserType | Opcional | UserType | Tipo del actor. Para obtener más información y una lista de los valores permitidos, vea UserType en el artículo Información general del esquema. Por ejemplo: Guest |
| ActorOriginalUserType | Opcional | Cadena | Tipo de usuario notificado por el dispositivo de informes. |
| ActorSessionId | Opcional | Cadena | Identificador único de la sesión de inicio de sesión del actor. Ejemplo: 102pTUgC3p8RIqHvzxLCHnFlg |
Campos de aplicación de destino
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| TargetAppId | Opcional | Cadena | Identificador de la aplicación a la que se aplica el evento, incluido un proceso, un explorador o un servicio. Ejemplo: 89162 |
| TargetAppName | Opcional | Cadena | Nombre de la aplicación a la que se aplica el evento, incluido un servicio, una dirección URL o una aplicación SaaS. Ejemplo: Exchange 365 |
| Aplicación | Alias | Alias a TargetAppName | |
| TargetAppType | Condicional | AppType | Tipo de la aplicación que autoriza en nombre del actor. Para obtener más información y la lista de valores permitidos, vea AppType en el artículo Información general del esquema. |
| TargetOriginalAppType | Opcional | Cadena | Tipo de la aplicación a la que se aplica el evento según lo notificado por el dispositivo de informes. |
| TargetUrl | Opcional | URL | Dirección URL asociada a la aplicación de destino. Ejemplo: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
Campos del sistema de destino
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| Dst | Alias | Cadena | Identificador único del destino de autenticación. Este campo puede aliasar los campos TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId o TargetAppName . Ejemplo: 192.168.12.1 |
| TargetHostname | Recomendado | Nombre de host | Nombre de host del dispositivo de destino, excepto la información de dominio. Ejemplo: DESKTOP-1282V4D |
| TargetDomain | Opcional | Domain(String) | Dominio del dispositivo de destino. Ejemplo: Contoso |
| TargetDomainType | Condicional | Enumerado | Tipo de TargetDomain. Para obtener una lista de valores permitidos e información adicional, consulte DomainType en el artículo Información general del esquema. Obligatorio si se usa TargetDomain . |
| TargetFQDN | Opcional | FQDN (cadena) | Nombre de host del dispositivo de destino, incluida la información de dominio cuando está disponible. Ejemplo: Contoso\DESKTOP-1282V4D Nota: Este campo admite el formato FQDN tradicional y el formato domain\hostname de Windows. TargetDomainType refleja el formato usado. |
| TargetDescription | Opcional | Cadena | Texto descriptivo asociado al dispositivo. Por ejemplo: Primary Domain Controller. |
| TargetDvcId | Opcional | Cadena | Identificador del dispositivo de destino. Si hay varios identificadores disponibles, use el más importante y almacene los demás en los campos TargetDvc<DvcIdType>. Ejemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Opcional | Cadena | Identificador del ámbito de la plataforma en la nube al que pertenece el dispositivo. TargetDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| TargetDvcScope | Opcional | Cadena | Ámbito de la plataforma en la nube al que pertenece el dispositivo. TargetDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| TargetDvcIdType | Condicional | Enumerado | Tipo de TargetDvcId. Para obtener una lista de los valores permitidos y más información, consulte DvcIdType en el artículo Información general del esquema. Obligatorio si se usa TargetDeviceId . |
| TargetDeviceType | Opcional | Enumerado | Tipo del dispositivo de destino. Para obtener una lista de valores permitidos e información adicional, consulte DeviceType en el artículo Información general del esquema. |
| TargetIpAddr | Recomendado | Dirección IP | Dirección IP del dispositivo de destino. Ejemplo: 2.2.2.2 |
| TargetDvcOs | Opcional | Cadena | Sistema operativo del dispositivo de destino. Ejemplo: Windows 10 |
| TargetPortNumber | Opcional | Entero | Puerto del dispositivo de destino. |
| TargetGeoCountry | Opcional | País | País o región asociado a la dirección IP de destino. Ejemplo: USA |
| TargetGeoRegion | Opcional | Región | Región dentro de un país o región asociado a la dirección IP de destino. Ejemplo: Vermont |
| TargetGeoCity | Opcional | Ciudad | Ciudad asociada a la dirección IP de destino. Ejemplo: Burlington |
| TargetGeoLatitude | Opcional | Latitude | Latitud de la coordenada geográfica asociada a la dirección IP de destino. Ejemplo: 44.475833 |
| TargetGeoLongitude | Opcional | Longitude | Longitud de la coordenada geográfica asociada a la dirección IP de destino. Ejemplo: 73.211944 |
| TargetRiskLevel | Opcional | Entero | Nivel de riesgo asociado al destino. El valor debe ajustarse a un intervalo de 0 a , con 0 para benignos y 100 para 100un riesgo alto.Ejemplo: 90 |
| TargetOriginalRiskLevel | Opcional | Cadena | El nivel de riesgo asociado al destino, según lo notificado por el dispositivo de informes. Ejemplo: Suspicious |
Campos de aplicación que actúan
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| ActingAppId | Opcional | Cadena | Identificador de la aplicación que inició la actividad notificada, incluido un proceso, un explorador o un servicio. Por ejemplo: 0x12ae8 |
| ActingAppName | Opcional | Cadena | Nombre de la aplicación que inició la actividad notificada, incluido un servicio, una dirección URL o una aplicación SaaS. Por ejemplo: C:\Windows\System32\svchost.exe |
| ActingAppType | Opcional | AppType | Tipo de aplicación que actúa. Para obtener más información y la lista de valores permitidos, vea AppType en el artículo Información general del esquema. |
| ActingOriginalAppType | Opcional | Cadena | Tipo de la aplicación que inició la actividad tal y como informó el dispositivo de informes. |
| HttpUserAgent | Opcional | Cadena | Cuando la autenticación se realiza a través de HTTP o HTTPS, el valor de este campo es el encabezado HTTP user_agent proporcionado por la aplicación que actúa al realizar la autenticación. Por ejemplo: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Campos del sistema de origen
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| Src | Alias | Cadena | Identificador único del dispositivo de origen. Este campo podría aliasar los campos SrcDvcId, SrcHostname o SrcIpAddr . Ejemplo: 192.168.12.1 |
| SrcIpAddr | Recomendado | Dirección IP | Dirección IP desde la que se originó la conexión o sesión. Ejemplo: 77.138.103.108 |
| IpAddr | Alias | Alias para SrcIpAddr o para TargetIpAddr si no se proporciona SrcIpAddr . | |
| SrcPortNumber | Opcional | Entero | Puerto IP desde el que se originó la conexión. Es posible que no sea relevante para una sesión que incluya varias conexiones. Ejemplo: 2335 |
| SrcHostname | Opcional | Nombre de host | Nombre de host del dispositivo de origen, excepto la información de dominio. Si no hay ningún nombre de dispositivo disponible, almacene la dirección IP correspondiente en este campo. Ejemplo: DESKTOP-1282V4D |
| SrcDomain | Opcional | Dominio (cadena) | Dominio del dispositivo de origen. Ejemplo: Contoso |
| SrcDomainType | Condicional | DomainType | Tipo de SrcDomain. Para obtener una lista de valores permitidos e información adicional, consulte DomainType en el artículo Información general del esquema. Obligatorio si se usa SrcDomain . |
| SrcFQDN | Opcional | FQDN (cadena) | Nombre de host del dispositivo de origen, incluida la información de dominio cuando está disponible. Nota: Este campo admite el formato FQDN tradicional y el formato domain\hostname de Windows. El campo SrcDomainType refleja el formato usado. Ejemplo: Contoso\DESKTOP-1282V4D |
| SrcDescription | Opcional | Cadena | Texto descriptivo asociado al dispositivo. Por ejemplo: Primary Domain Controller. |
| SrcDvcId | Opcional | Cadena | Identificador del dispositivo de origen. Si hay varios identificadores disponibles, use el más importante y almacene los demás en los campos SrcDvc<DvcIdType>.Ejemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcional | Cadena | Identificador del ámbito de la plataforma en la nube al que pertenece el dispositivo. SrcDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcDvcScope | Opcional | Cadena | Ámbito de la plataforma en la nube al que pertenece el dispositivo. SrcDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcDvcIdType | Condicional | DvcIdType | Tipo de SrcDvcId. Para obtener una lista de los valores permitidos y más información, consulte DvcIdType en el artículo Información general del esquema. Nota: Este campo es necesario si se usa SrcDvcId . |
| SrcDeviceType | Opcional | DeviceType | Tipo del dispositivo de origen. Para obtener una lista de valores permitidos e información adicional, consulte DeviceType en el artículo Información general del esquema. |
| SrcGeoCountry | Opcional | País | País o región asociado a la dirección IP de origen. Ejemplo: USA |
| SrcGeoRegion | Opcional | Región | Región dentro de un país o región asociado a la dirección IP de origen. Ejemplo: Vermont |
| SrcGeoCity | Opcional | Ciudad | Ciudad asociada a la dirección IP de origen. Ejemplo: Burlington |
| SrcGeoLatitude | Opcional | Latitude | Latitud de la coordenada geográfica asociada a la dirección IP de origen. Ejemplo: 44.475833 |
| SrcGeoLongitude | Opcional | Longitude | Longitud de la coordenada geográfica asociada a la dirección IP de origen. Ejemplo: 73.211944 |
| SrcRiskLevel | Opcional | Entero | Nivel de riesgo asociado al origen. El valor debe ajustarse a un intervalo de 0 a , con 0 para benignos y 100 para 100un riesgo alto.Ejemplo: 90 |
| SrcOriginalRiskLevel | Opcional | Cadena | El nivel de riesgo asociado al origen, tal y como informa el dispositivo de informes. Ejemplo: Suspicious |
Campos de inspección
Los campos siguientes se usan para representar esa inspección realizada por un sistema de seguridad.
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| RuleName | Opcional | Cadena | Nombre o identificador de la regla asociado a los resultados de la inspección. |
| RuleNumber | Opcional | Entero | Número de la regla asociada a los resultados de la inspección. |
| Rule | Alias | Cadena | El valor de RuleName o el valor de RuleNumber. Si se usa el valor de RuleNumber , el tipo debe convertirse en cadena. |
| ThreatId | Opcional | Cadena | Identificador de la amenaza o malware identificado en la actividad de auditoría. |
| ThreatName | Opcional | Cadena | Nombre de la amenaza o malware identificado en la actividad de auditoría. |
| ThreatCategory | Opcional | Cadena | Categoría de la amenaza o malware identificado en la actividad de archivo de auditoría. |
| ThreatRiskLevel | Opcional | RiskLevel (integer) | Nivel de riesgo asociado a la amenaza identificada. El nivel debe ser un número entre 0 y 100. Nota: Es posible que el valor se proporcione en el registro de origen mediante una escala diferente, que debe normalizarse a esta escala. El valor original debe almacenarse en ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcional | Cadena | El nivel de riesgo notificado por el dispositivo de informes. |
| ThreatConfidence | Opcional | ConfidenceLevel (integer) | El nivel de confianza de la amenaza identificada, normalizada a un valor entre 0 y 100. |
| ThreatOriginalConfidence | Opcional | Cadena | El nivel de confianza original de la amenaza identificada, según lo notificado por el dispositivo de informes. |
| ThreatIsActive | Opcional | Booleano | True si la amenaza identificada se considera una amenaza activa. |
| ThreatFirstReportedTime | Opcional | datetime | La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| ThreatLastReportedTime | Opcional | datetime | La última vez que la dirección IP o el dominio se identificaron como una amenaza. |
| ThreatIpAddr | Opcional | Dirección IP | Dirección IP para la que se identificó una amenaza. El campo ThreatField contiene el nombre del campo ThreatIpAddr que representa. |
| ThreatField | Condicional | Enumerado | Campo para el que se identificó una amenaza. El valor es o SrcIpAddrTargetIpAddr. |
Actualizaciones de esquema
Los cambios en la versión 0.1.1 del esquema son:
- Se han agregado el campo
ObjectIdyOriginalObjectType.
Los cambios en la versión 0.1.2 del esquema son:
- Se agregó el campo
ActingOriginalAppType,OriginalObjectType,SrcOriginalRiskLevel,SrcRiskLevel,TargetGeoCityTargetGeoCountry,TargetGeoLatitude, ,TargetGeoLongitude,TargetGeoRegion,TargetOriginalAppTypeTargetOriginalRiskLevel, yTargetRiskLevel
Siguientes pasos
Para más información, vea:
- Vea el seminario web de ASIM o revise las diapositivas.
- Introducción al modelo de información de seguridad avanzada (ASIM)
- Esquemas del modelo de información de seguridad avanzada (ASIM)
- Analizadores del modelo de información de seguridad avanzada (ASIM)
- Contenido del modelo de información de seguridad avanzada (ASIM)