Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El esquema de autenticación de Microsoft Sentinel se usa para describir eventos relacionados con la autenticación de usuario, el inicio de sesión y el cierre de sesión. Muchos dispositivos de informes envían eventos de autenticación, normalmente como parte del flujo de eventos junto con otros eventos. Por ejemplo, Windows envía varios eventos de autenticación junto con otros eventos de actividad del sistema operativo.
Los eventos de autenticación incluyen ambos eventos de sistemas que se centran en la autenticación, como puertas de enlace de VPN o controladores de dominio, y la autenticación directa a un sistema final, como un equipo o firewall.
Para obtener más información sobre la normalización en Microsoft Sentinel, vea Normalización y el modelo de información de seguridad avanzada (ASIM).
Analizadores
Implemente analizadores de autenticación de ASIM desde el repositorio de GitHub de Microsoft Sentinel. Para obtener más información sobre los analizadores de ASIM, consulte los artículos Introducción a los analizadores de ASIM.
Unificar analizadores
Para usar analizadores que unifiquen todos los analizadores integrados de ASIM y asegúrese de que el análisis se ejecuta en todos los orígenes configurados, use el imAuthentication analizador de filtrado o el ASimAuthentication analizador sin parámetros.
Analizadores específicos de origen
Para obtener la lista de analizadores de autenticación Microsoft Sentinel proporciona, consulte la lista de analizadores de ASIM:
Agregar sus propios analizadores normalizados
Al implementar analizadores personalizados para el modelo de información de autenticación, asigne un nombre a las funciones de KQL mediante la sintaxis siguiente:
-
vimAuthentication<vendor><Product>para filtrar analizadores -
ASimAuthentication<vendor><Product>para analizadores sin parámetros
Para obtener información sobre cómo agregar los analizadores personalizados al analizador de unificación, consulte Administración de analizadores de ASIM.
Filtrado de parámetros del analizador
Los im analizadores y vim* admiten parámetros de filtrado. Aunque estos analizadores son opcionales, pueden mejorar el rendimiento de las consultas.
Están disponibles los siguientes parámetros de filtrado:
| Nombre | Tipo | Description |
|---|---|---|
| starttime | datetime | Filtre solo los eventos de autenticación que se ejecutaron en o después de este momento. Este parámetro filtra en el TimeGenerated campo, que es el designador estándar para la hora del evento, independientemente de la asignación específica del analizador de los campos EventStartTime y EventEndTime. |
| endtime | datetime | Filtre solo los eventos de autenticación que terminaron de ejecutarse en o antes de este momento. Este parámetro filtra en el TimeGenerated campo, que es el designador estándar para la hora del evento, independientemente de la asignación específica del analizador de los campos EventStartTime y EventEndTime. |
| targetusername_has | string | Filtre solo los eventos de autenticación que tengan cualquiera de los nombres de usuario enumerados. |
Por ejemplo, para filtrar solo los eventos de autenticación del último día a un usuario específico, use:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Sugerencia
Para pasar una lista literal a parámetros que esperan un valor dinámico, use explícitamente un literal dinámico. Por ejemplo: dynamic(['192.168.','10.']).
Contenido normalizado
Las reglas de análisis de autenticación normalizada son únicas, ya que detectan ataques entre orígenes. Por ejemplo, si un usuario ha iniciado sesión en sistemas distintos, no relacionados, de diferentes países o regiones, Microsoft Sentinel ahora detectará esta amenaza.
Para obtener una lista completa de las reglas de análisis que usan eventos de autenticación normalizados, consulte Contenido de seguridad del esquema de autenticación.
Introducción al esquema
El modelo de información de autenticación está alineado con el esquema de entidad de inicio de sesión de OSSEM.
Los campos enumerados en la tabla siguiente son específicos de los eventos de autenticación, pero son similares a los campos de otros esquemas y siguen convenciones de nomenclatura similares.
Los eventos de autenticación hacen referencia a las siguientes entidades:
- TargetUser: la información de usuario que se usa para autenticarse en el sistema. TargetSystem es el asunto principal del evento de autenticación y el alias User alias un TargetUser identificado.
- TargetApp: la aplicación en la que se ha autenticado.
- Destino : el sistema en el que se ejecuta TargetApp*.
- Actor : el usuario que inicia la autenticación, si es diferente de TargetUser.
- ActingApp: la aplicación usada por el actor para realizar la autenticación.
- Src : el sistema usado por el actor para iniciar la autenticación.
La relación entre estas entidades se muestra mejor de la siguiente manera:
Un actor, que ejecuta una aplicación activa, ActingApp, en un sistema de origen, Src, intenta autenticarse como TargetUser en una aplicación de destino, TargetApp, en un sistema de destino, TargetDvc.
Detalles del esquema
En las tablas siguientes, Type hace referencia a un tipo lógico. Para obtener más información, vea Tipos lógicos.
Campos comunes de ASIM
Importante
Los campos comunes a todos los esquemas se describen en detalle en el artículo Campos comunes de ASIM .
Campos comunes con directrices específicas
En la lista siguiente se mencionan los campos que tienen directrices específicas para los eventos de autenticación:
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| EventType | Obligatorio | Enumerado | Describe la operación notificada por el registro. En el caso de los registros de autenticación, los valores admitidos incluyen: - Logon - Logoff- Elevate |
| EventResultDetails | Recomendado | Enumerado | Detalles asociados al resultado del evento. Este campo normalmente se rellena cuando el resultado es un error. Los valores permitidos incluyen: - No such user or password. Este valor también debe usarse cuando el evento original notifica que no hay ningún usuario de este tipo, sin referencia a una contraseña.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. Este valor se debe usar cuando el evento original notifica, por ejemplo: mfa requerido, inicio de sesión fuera del horario laboral, restricciones de acceso condicional o intentos demasiado frecuentes.- Session expired- OtherEl valor se puede proporcionar en el registro de origen mediante términos diferentes, que deben normalizarse a estos valores. El valor original debe almacenarse en el campo EventOriginalResultDetails. |
| EventSubType | Opcional | Enumerado | Tipo de inicio de sesión. Los valores permitidos incluyen: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote - Se usa cuando se desconoce el tipo de inicio de sesión remoto.- AssumeRole - Normalmente se usa cuando el tipo de evento es Elevate. El valor se puede proporcionar en el registro de origen mediante términos diferentes, que deben normalizarse a estos valores. El valor original debe almacenarse en el campo EventOriginalSubType. |
| EventSchemaVersion | Obligatorio | SchemaVersion (String) | Versión del esquema. La versión del esquema documentada aquí es 0.1.4 |
| EventSchema | Obligatorio | Enumerado | El nombre del esquema documentado aquí es Autenticación. |
| Campos Dvc | - | - | Para los eventos de autenticación, los campos de dispositivo hacen referencia al sistema que informa del evento. |
Todos los campos comunes
Los campos que aparecen en la tabla siguiente son comunes a todos los esquemas de ASIM. Cualquier directriz especificada anteriormente invalida las directrices generales para el campo. Por ejemplo, un campo puede ser opcional en general, pero obligatorio para un esquema específico. Para obtener más información sobre cada campo, consulte el artículo Campos comunes de ASIM .
| Class | Fields |
|---|---|
| Obligatorio |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendado |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campos específicos de la autenticación
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| LogonMethod | Opcional | Cadena | Método usado para realizar la autenticación. Entre los valores permitidos se incluyen: Managed Identity, Service Principal, Username & Password, Multi factor authentication, Passwordless, PKI, PAMy Other. Ejemplos: Managed Identity |
| LogonProtocol | Opcional | Cadena | Protocolo usado para realizar la autenticación. Ejemplo: NTLM |
Campos de actor
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| ActorUserId | Opcional | Cadena | Representación única, alfanumérica y legible de la máquina del actor. Para obtener más información y campos alternativos para identificadores adicionales, consulte La entidad User. Ejemplo: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Opcional | Cadena | Ámbito, como Microsoft Entra inquilino, en el que se definen ActorUserId y ActorUsername. o más información y lista de valores permitidos, vea UserScope en el artículo Información general del esquema. |
| ActorScopeId | Opcional | Cadena | Identificador de ámbito, como Microsoft Entra id. de directorio, en el que se definen ActorUserId y ActorUsername. Para obtener más información y una lista de los valores permitidos, vea UserScopeId en el artículo Información general del esquema. |
| ActorUserIdType | Condicional | UserIdType | Tipo del identificador almacenado en el campo ActorUserId . Para obtener más información y una lista de los valores permitidos, vea UserIdType en el artículo Información general del esquema. |
| ActorUsername | Opcional | Nombre de usuario (cadena) | Nombre de usuario del actor, incluida la información de dominio cuando esté disponible. Para obtener más información, vea La entidad User. Ejemplo: AlbertE |
| ActorUsernameType | Condicional | UsernameType | Especifica el tipo del nombre de usuario almacenado en el campo ActorUsername . Para obtener más información y una lista de los valores permitidos, vea UsernameType en el artículo Información general del esquema. Ejemplo: Windows |
| ActorUserType | Opcional | UserType | Tipo del actor. Para obtener más información y una lista de los valores permitidos, vea UserType en el artículo Información general del esquema. Por ejemplo: Guest |
| ActorOriginalUserType | Opcional | Cadena | Tipo de usuario notificado por el dispositivo de informes. |
| ActorSessionId | Opcional | Cadena | Identificador único de la sesión de inicio de sesión del actor. Ejemplo: 102pTUgC3p8RIqHvzxLCHnFlg |
Campos de aplicación que actúan
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| ActingAppId | Opcional | Cadena | Identificador de la aplicación que autoriza en nombre del actor, incluido un proceso, un explorador o un servicio. Por ejemplo: 0x12ae8 |
| ActingAppName | Opcional | Cadena | Nombre de la aplicación que autoriza en nombre del actor, incluido un proceso, un explorador o un servicio. Por ejemplo: C:\Windows\System32\svchost.exe |
| ActingAppType | Opcional | AppType | Tipo de aplicación que actúa. Para obtener más información y la lista de valores permitidos, vea AppType en el artículo Información general del esquema. |
| ActingOriginalAppType | Opcional | Cadena | Tipo de la aplicación que actúa según lo notificado por el dispositivo de informes. |
| HttpUserAgent | Opcional | Cadena | Cuando la autenticación se realiza a través de HTTP o HTTPS, el valor de este campo es el encabezado HTTP user_agent proporcionado por la aplicación que actúa al realizar la autenticación. Por ejemplo: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Campos de usuario de destino
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| TargetUserId | Opcional | Cadena | Representación única, alfanumérica y legible de la máquina del usuario de destino. Para obtener más información y campos alternativos para identificadores adicionales, consulte La entidad User. Ejemplo: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | Opcional | Cadena | Ámbito, como Microsoft Entra inquilino, en el que se definen TargetUserId y TargetUsername. o más información y lista de valores permitidos, vea UserScope en el artículo Información general del esquema. |
| TargetUserScopeId | Opcional | Cadena | Identificador de ámbito, como Microsoft Entra id. de directorio, en el que se definen TargetUserId y TargetUsername. Para obtener más información y una lista de los valores permitidos, vea UserScopeId en el artículo Información general del esquema. |
| TargetUserIdType | Condicional | UserIdType | Tipo del identificador de usuario almacenado en el campo TargetUserId . Para obtener más información y una lista de los valores permitidos, vea UserIdType en el artículo Información general del esquema. Ejemplo: SID |
| TargetUsername | Opcional | Nombre de usuario (cadena) | Nombre de usuario del usuario de destino, incluida la información de dominio cuando esté disponible. Para obtener más información, vea La entidad User. Ejemplo: MarieC |
| TargetUsernameType | Condicional | UsernameType | Especifica el tipo del nombre de usuario almacenado en el campo TargetUsername . Para obtener más información y una lista de los valores permitidos, vea UsernameType en el artículo Información general del esquema. |
| TargetUserType | Opcional | UserType | Tipo del usuario de destino. Para obtener más información y una lista de los valores permitidos, vea UserType en el artículo Información general del esquema. Por ejemplo: Member |
| TargetSessionId | Opcional | Cadena | Identificador de sesión de inicio de sesión de TargetUser en el dispositivo de origen. |
| TargetOriginalUserType | Opcional | Cadena | Tipo de usuario notificado por el dispositivo de informes. |
| Usuario | Alias | Nombre de usuario (cadena) | Alias para TargetUsername o TargetUserId si targetusername no está definido. Ejemplo: CONTOSO\dadmin |
Campos del sistema de origen
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| Src | Recomendado | Cadena | Identificador único del dispositivo de origen. Este campo puede asignar un alias a los campos SrcDvcId, SrcHostname o SrcIpAddr . Ejemplo: 192.168.12.1 |
| SrcDvcId | Opcional | Cadena | Identificador del dispositivo de origen. Si hay varios identificadores disponibles, use el más importante y almacene los demás en los campos SrcDvc<DvcIdType>.Ejemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcional | Cadena | Identificador del ámbito de la plataforma en la nube al que pertenece el dispositivo. SrcDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcDvcScope | Opcional | Cadena | Ámbito de la plataforma en la nube al que pertenece el dispositivo. SrcDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcDvcIdType | Condicional | DvcIdType | Tipo de SrcDvcId. Para obtener una lista de los valores permitidos y más información, consulte DvcIdType en el artículo Información general del esquema. Nota: Este campo es necesario si se usa SrcDvcId . |
| SrcDeviceType | Opcional | DeviceType | Tipo del dispositivo de origen. Para obtener una lista de valores permitidos e información adicional, consulte DeviceType en el artículo Información general del esquema. |
| SrcHostname | Opcional | Nombre de host | Nombre de host del dispositivo de origen, excepto la información de dominio. Si no hay ningún nombre de dispositivo disponible, almacene la dirección IP correspondiente en este campo. Ejemplo: DESKTOP-1282V4D |
| SrcDomain | Opcional | Dominio (cadena) | Dominio del dispositivo de origen. Ejemplo: Contoso |
| SrcDomainType | Condicional | DomainType | Tipo de SrcDomain. Para obtener una lista de valores permitidos e información adicional, consulte DomainType en el artículo Información general del esquema. Obligatorio si se usa SrcDomain . |
| SrcFQDN | Opcional | FQDN (cadena) | Nombre de host del dispositivo de origen, incluida la información de dominio cuando está disponible. Nota: Este campo admite el formato FQDN tradicional y el formato domain\hostname de Windows. El campo SrcDomainType refleja el formato usado. Ejemplo: Contoso\DESKTOP-1282V4D |
| SrcDescription | Opcional | Cadena | Texto descriptivo asociado al dispositivo. Por ejemplo: Primary Domain Controller. |
| SrcIpAddr | Recomendado | Dirección IP | Dirección IP del dispositivo de origen. Ejemplo: 2.2.2.2 |
| SrcPortNumber | Opcional | Entero | Puerto IP desde el que se originó la conexión. Ejemplo: 2335 |
| SrcDvcOs | Opcional | Cadena | Sistema operativo del dispositivo de origen. Ejemplo: Windows 10 |
| IpAddr | Alias | Alias para SrcIpAddr | |
| SrcIsp | Opcional | Cadena | Proveedor de servicios de Internet (ISP) utilizado por el dispositivo de origen para conectarse a Internet. Ejemplo: corpconnect |
| SrcGeoCountry | Opcional | País | Ejemplo: Canada Para obtener más información, vea Tipos lógicos. |
| SrcGeoCity | Opcional | Ciudad | Ejemplo: Montreal Para obtener más información, vea Tipos lógicos. |
| SrcGeoRegion | Opcional | Región | Ejemplo: Quebec Para obtener más información, vea Tipos lógicos. |
| SrcGeoLongitude | Opcional | Longitude | Ejemplo: -73.614830 Para obtener más información, vea Tipos lógicos. |
| SrcGeoLatitude | Opcional | Latitude | Ejemplo: 45.505918 Para obtener más información, vea Tipos lógicos. |
| SrcRiskLevel | Opcional | Entero | Nivel de riesgo asociado al origen. El valor debe ajustarse a un intervalo de 0 a , con 0 para benignos y 100 para 100un riesgo alto.Ejemplo: 90 |
| SrcOriginalRiskLevel | Opcional | Cadena | El nivel de riesgo asociado al origen, tal y como informa el dispositivo de informes. Ejemplo: Suspicious |
Campos de aplicación de destino
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| TargetAppId | Opcional | Cadena | Identificador de la aplicación a la que se requiere la autorización, a menudo asignado por el dispositivo de informes. Ejemplo: 89162 |
| TargetAppName | Opcional | Cadena | Nombre de la aplicación a la que se requiere la autorización, incluido un servicio, una dirección URL o una aplicación SaaS. Ejemplo: Saleforce |
| Aplicación | Alias | Alias a TargetAppName. | |
| TargetAppType | Condicional | AppType | Tipo de la aplicación que autoriza en nombre del actor. Para obtener más información y la lista de valores permitidos, vea AppType en el artículo Información general del esquema. |
| TargetOriginalAppType | Opcional | Cadena | Tipo de la aplicación que autoriza en nombre del actor, tal y como informa el dispositivo de informes. |
| TargetUrl | Opcional | URL | Dirección URL asociada a la aplicación de destino. Ejemplo: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Alias | Alias para TargetAppName, TargetUrl o TargetHostname, el campo que mejor describa el destino de autenticación. |
Campos del sistema de destino
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| Dst | Alias | Cadena | Identificador único del destino de autenticación. Este campo puede aliasar los campos TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId o TargetAppName . Ejemplo: 192.168.12.1 |
| TargetHostname | Recomendado | Nombre de host | Nombre de host del dispositivo de destino, excepto la información de dominio. Ejemplo: DESKTOP-1282V4D |
| TargetDomain | Recomendado | Dominio (cadena) | Dominio del dispositivo de destino. Ejemplo: Contoso |
| TargetDomainType | Condicional | Enumerado | Tipo de TargetDomain. Para obtener una lista de valores permitidos e información adicional, consulte DomainType en el artículo Información general del esquema. Obligatorio si se usa TargetDomain . |
| TargetFQDN | Opcional | FQDN (cadena) | Nombre de host del dispositivo de destino, incluida la información de dominio cuando está disponible. Ejemplo: Contoso\DESKTOP-1282V4D Nota: Este campo admite el formato FQDN tradicional y el formato domain\hostname de Windows. TargetDomainType refleja el formato usado. |
| TargetDescription | Opcional | Cadena | Texto descriptivo asociado al dispositivo. Por ejemplo: Primary Domain Controller. |
| TargetDvcId | Opcional | Cadena | Identificador del dispositivo de destino. Si hay varios identificadores disponibles, use el más importante y almacene los demás en los campos TargetDvc<DvcIdType>. Ejemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Opcional | Cadena | Identificador del ámbito de la plataforma en la nube al que pertenece el dispositivo. TargetDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| TargetDvcScope | Opcional | Cadena | Ámbito de la plataforma en la nube al que pertenece el dispositivo. TargetDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| TargetDvcIdType | Condicional | Enumerado | Tipo de TargetDvcId. Para obtener una lista de los valores permitidos y más información, consulte DvcIdType en el artículo Información general del esquema. Obligatorio si se usa TargetDeviceId . |
| TargetDeviceType | Opcional | Enumerado | Tipo del dispositivo de destino. Para obtener una lista de valores permitidos e información adicional, consulte DeviceType en el artículo Información general del esquema. |
| TargetIpAddr | Opcional | Dirección IP | Dirección IP del dispositivo de destino. Ejemplo: 2.2.2.2 |
| TargetDvcOs | Opcional | Cadena | Sistema operativo del dispositivo de destino. Ejemplo: Windows 10 |
| TargetPortNumber | Opcional | Entero | Puerto del dispositivo de destino. |
| TargetGeoCountry | Opcional | País | País o región asociado a la dirección IP de destino. Ejemplo: USA |
| TargetGeoRegion | Opcional | Región | Región asociada a la dirección IP de destino. Ejemplo: Vermont |
| TargetGeoCity | Opcional | Ciudad | Ciudad asociada a la dirección IP de destino. Ejemplo: Burlington |
| TargetGeoLatitude | Opcional | Latitude | Latitud de la coordenada geográfica asociada a la dirección IP de destino. Ejemplo: 44.475833 |
| TargetGeoLongitude | Opcional | Longitude | Longitud de la coordenada geográfica asociada a la dirección IP de destino. Ejemplo: 73.211944 |
| TargetRiskLevel | Opcional | Entero | Nivel de riesgo asociado al destino. El valor debe ajustarse a un intervalo de 0 a , con 0 para benignos y 100 para 100un riesgo alto.Ejemplo: 90 |
| TargetOriginalRiskLevel | Opcional | Cadena | El nivel de riesgo asociado al destino, según lo notificado por el dispositivo de informes. Ejemplo: Suspicious |
Campos de inspección
Los campos siguientes se usan para representar esa inspección realizada por un sistema de seguridad.
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| RuleName | Opcional | Cadena | Nombre o identificador de la regla asociado a los resultados de la inspección. |
| RuleNumber | Opcional | Entero | Número de la regla asociada a los resultados de la inspección. |
| Rule | Alias | Cadena | El valor de RuleName o el valor de RuleNumber. Si se usa el valor de RuleNumber , el tipo debe convertirse en cadena. |
| ThreatId | Opcional | Cadena | Identificador de la amenaza o malware identificado en la actividad de auditoría. |
| ThreatName | Opcional | Cadena | Nombre de la amenaza o malware identificado en la actividad de auditoría. |
| ThreatCategory | Opcional | Cadena | Categoría de la amenaza o malware identificado en la actividad de archivo de auditoría. |
| ThreatRiskLevel | Opcional | RiskLevel (integer) | Nivel de riesgo asociado a la amenaza identificada. El nivel debe ser un número entre 0 y 100. Nota: Es posible que el valor se proporcione en el registro de origen mediante una escala diferente, que debe normalizarse a esta escala. El valor original debe almacenarse en ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcional | Cadena | El nivel de riesgo notificado por el dispositivo de informes. |
| ThreatConfidence | Opcional | ConfidenceLevel (integer) | El nivel de confianza de la amenaza identificada, normalizada a un valor entre 0 y 100. |
| ThreatOriginalConfidence | Opcional | Cadena | El nivel de confianza original de la amenaza identificada, según lo notificado por el dispositivo de informes. |
| ThreatIsActive | Opcional | Booleano | True si la amenaza identificada se considera una amenaza activa. |
| ThreatFirstReportedTime | Opcional | datetime | La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| ThreatLastReportedTime | Opcional | datetime | La última vez que la dirección IP o el dominio se identificaron como una amenaza. |
| ThreatIpAddr | Opcional | Dirección IP | Dirección IP para la que se identificó una amenaza. El campo ThreatField contiene el nombre del campo ThreatIpAddr que representa. |
| ThreatField | Condicional | Enumerado | Campo para el que se identificó una amenaza. El valor es o SrcIpAddrTargetIpAddr. |
Actualizaciones de esquema
Estos son los cambios en la versión 0.1.1 del esquema:
- Se han actualizado los campos de entidad de usuario y dispositivo para alinearse con otros esquemas.
- Se ha cambiado el
TargetDvcnombre ySrcDvcaTargetySrcrespectivamente para alinearse con las directrices de ASIM actuales. Los campos cuyo nombre se ha cambiado se implementarán como alias hasta el 1 de julio de 2022. Estos campos incluyen:SrcDvcHostname,SrcDvcHostnameType, ,SrcDvcType,TargetDvcHostnameSrcDvcIpAddr,TargetDvcHostnameType,TargetDvcType,TargetDvcIpAddryTargetDvc. - Se agregaron los alias
SrcyDst. - Se agregaron los campos
SrcDvcIdType,SrcDeviceType,TargetDvcIdTypeyTargetDeviceTypeyEventSchema.
Estos son los cambios en la versión 0.1.2 del esquema:
- Se agregaron los campos
ActorScope,TargetUserScope,SrcDvcScopeId,SrcDvcScope,TargetDvcScopeId,TargetDvcScope,DvcScopeIdyDvcScope.
Estos son los cambios en la versión 0.1.3 del esquema:
- Se agregaron los campos
SrcPortNumber,ActorOriginalUserType,ActorScopeId,TargetOriginalUserType,TargetUserScopeId,SrcDescription,SrcRiskLevel,SrcOriginalRiskLevelyTargetDescription. - Campos de inspección agregados
- Se han agregado campos de ubicación geográfica del sistema de destino.
Estos son los cambios en la versión 0.1.4 del esquema:
- Se agregaron los campos
ActingOriginalAppTypeyTargetOriginalAppType. - Se agregó el alias
Application.
Siguientes pasos
Para más información, vea:
- Vea el seminario web de ASIM o revise las diapositivas.
- Introducción al modelo de información de seguridad avanzada (ASIM)
- Esquemas del modelo de información de seguridad avanzada (ASIM)
- Analizadores del modelo de información de seguridad avanzada (ASIM)
- Contenido del modelo de información de seguridad avanzada (ASIM)