Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Algunos campos son comunes a todos los esquemas de ASIM. Cada esquema puede agregar directrices para usar algunos de los campos comunes en el contexto del esquema específico. Por ejemplo, los valores permitidos para el campo EventType pueden variar según el esquema, al igual que el valor del campo EventSchemaVersion .
Standard campos de Log Analytics
Log Analytics genera los siguientes campos, en la mayoría de los casos, para cada registro. Se pueden invalidar al crear un conector personalizado.
| Campo | Tipo | Discusión |
|---|---|---|
| TimeGenerated | Fecha y hora | La hora en que el dispositivo de informes generó el evento. |
| Tipo | Cadena | Tabla original desde la que se capturó el registro. Este campo es útil cuando el mismo evento se puede recibir a través de varios canales a tablas diferentes y tienen los mismos valores EventVendor y EventProduct . Por ejemplo, un evento Sysmon se puede recopilar en la Event tabla o en la WindowsEvent tabla. |
Nota:
Log Analytics también agrega otros campos que son menos relevantes para los casos de uso de seguridad. Para obtener más información, vea Standard columnas de Azure Monitor Logs.
Campos comunes de ASIM
ASIM define los siguientes campos para todos los esquemas:
Campos de evento
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| EventMessage | Opcional | Cadena | Un mensaje o una descripción generales, incluidos en o generados a partir del registro. |
| EventCount | Obligatorio | Entero | Número de eventos descrito por el registro. Este valor se usa cuando el origen admite la agregación y un único registro puede representar varios eventos. Para otros orígenes, establezca en 1. |
| EventStartTime | Obligatorio | Fecha y hora | Hora en que se inició el evento. Si el origen admite la agregación y el registro representa varios eventos, la hora en que se generó el primer evento. Si no lo proporciona el registro de origen, este campo alias el campo TimeGenerated . |
| EventEndTime | Obligatorio | Fecha y hora | Hora en que finalizó el evento. Si el origen admite la agregación y el registro representa varios eventos, la hora en que se generó el último evento. Si no lo proporciona el registro de origen, este campo alias el campo TimeGenerated . |
| EventType | Obligatorio | Enumerado | Describe la operación notificada por el registro. Cada esquema documenta la lista de valores válidos para este campo. El valor original, específico del origen, se almacena en el campo EventOriginalType . |
| EventSubType | Opcional | Enumerado | Describe una subdivisión de la operación notificada en el campo EventType . Cada esquema documenta la lista de valores válidos para este campo. El valor original, específico del origen, se almacena en el campo EventOriginalSubType . |
| EventResult | Obligatorio | Enumerado | Uno de los siguientes valores: Correcto, Parcial, Error, NA (No aplicable). El valor se puede proporcionar en el registro de origen mediante diferentes términos, que deben normalizarse a estos valores. Como alternativa, el origen podría proporcionar solo el campo EventResultDetails , que se debe analizar para derivar el valor EventResult. Ejemplo: Success |
| EventResultDetails | Recomendado | Enumerado | Motivo o detalles del resultado notificado en el campo EventResult . Cada esquema documenta la lista de valores válidos para este campo. El valor original, específico del origen, se almacena en el campo EventOriginalResultDetails . Ejemplo: NXDOMAIN |
| EventUid | Recomendado | Cadena | Identificador único del registro, asignado por Microsoft Sentinel. Este campo se asigna normalmente al _ItemId campo Log Analytics. |
| EventOriginalUid | Opcional | Cadena | Identificador único del registro original, si lo proporciona el origen. Ejemplo: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | Opcional | Cadena | El tipo de evento o identificador original, si lo proporciona el origen. Por ejemplo, este campo se usa para almacenar el identificador de evento de Windows original. Este valor se usa para derivar EventType, que solo debe tener uno de los valores documentados para cada esquema. Ejemplo: 4624 |
| EventOriginalSubType | Opcional | Cadena | El subtipo o identificador de evento original, si lo proporciona el origen. Por ejemplo, este campo se usa para almacenar el tipo de inicio de sesión original de Windows. Este valor se usa para derivar EventSubType, que solo debe tener uno de los valores documentados para cada esquema. Ejemplo: 2 |
| EventOriginalResultDetails | Opcional | Cadena | Detalles del resultado original proporcionados por el origen. Este valor se usa para derivar EventResultDetails, que solo debe tener uno de los valores documentados para cada esquema. |
| EventSeverity | Recomendado | Enumerado | Gravedad del evento. Los valores válidos son: Informational, Low, Mediumo High. |
| EventOriginalSeverity | Opcional | Cadena | Gravedad original proporcionada por el dispositivo de informes. Este valor se usa para derivar EventSeverity. |
| EventProduct | Obligatorio | Cadena | Producto que genera el evento. El valor debe ser uno de los valores enumerados en Proveedores y productos. Ejemplo: Sysmon |
| EventProductVersion | Opcional | Cadena | Versión del producto que genera el evento. Ejemplo: 12.1 |
| EventVendor | Obligatorio | Cadena | Proveedor del producto que genera el evento. El valor debe ser uno de los valores enumerados en Proveedores y productos. Ejemplo: Microsoft |
| EventSchema | Obligatorio | Enumerado | Esquema al que se normaliza el evento. Cada esquema documenta su nombre de esquema. |
| EventSchemaVersion | Obligatorio | SchemaVersion (String) | Versión del esquema. Cada esquema documenta su versión actual. |
| EventReportUrl | Opcional | URL (String) | Dirección URL proporcionada en el evento para un recurso que proporciona más información sobre el evento. |
| EventOwner | Opcional | Cadena | El propietario del evento, que suele ser el departamento o filial en el que se generó. |
Campos de dispositivo
El rol de los campos de dispositivo es diferente para distintos esquemas y tipos de eventos. Por ejemplo:
- En el caso de los eventos de sesión de red, los campos de dispositivo suelen proporcionar información sobre el dispositivo que generó el evento.
- Para los eventos Process, los campos de dispositivo proporcionan información sobre el dispositivo en el que se ejecuta el proceso.
Cada documento de esquema especifica el rol del dispositivo para el esquema.
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| Dvc | Alias | Cadena | Identificador único del dispositivo en el que se produjo el evento o que informó del evento, en función del esquema. Este campo podría aliasar los campos DvcFQDN, DvcId, DvcHostname o DvcIpAddr . En el caso de los orígenes en la nube, para los que no hay ningún dispositivo aparente, use el mismo valor que el campo Producto de eventos . |
| DvcIpAddr | Recomendado | Dirección IP | Dirección IP del dispositivo en el que se produjo el evento o que informó del evento, en función del esquema. Ejemplo: 45.21.42.12 |
| DvcHostname | Recomendado | Nombre de host | Nombre de host del dispositivo en el que se produjo el evento o que informó del evento, en función del esquema. Ejemplo: ContosoDc |
| DvcDomain | Recomendado | Dominio (cadena) | Dominio del dispositivo en el que se produjo el evento o en el que se notificó el evento, en función del esquema. Ejemplo: Contoso |
| DvcDomainType | Condicional | Enumerado | Tipo de DvcDomain. Para obtener una lista de valores permitidos e información adicional, consulte DomainType. Nota: Este campo es necesario si se usa el campo DvcDomain . |
| DvcFQDN | Opcional | FQDN (cadena) | Nombre de host del dispositivo en el que se produjo el evento o que informó del evento, en función del esquema. Ejemplo: Contoso\DESKTOP-1282V4DNota: Este campo admite el formato FQDN tradicional y el formato domain\hostname de Windows. El campo DvcDomainType refleja el formato usado. |
| DvcDescription | Opcional | Cadena | Texto descriptivo asociado al dispositivo. Por ejemplo: Primary Domain Controller. |
| DvcId | Opcional | Cadena | Identificador único del dispositivo en el que se produjo el evento o que informó del evento, en función del esquema. Ejemplo: 41502da5-21b7-48ec-81c9-baeea8d7d669Si hay varios identificadores disponibles, use el primero de la lista y almacene los demás con los nombres de campo DvcAzureResourceId, DvcMDEid, etc. |
| DvcIdType | Condicional | Enumerado | Tipo de DvcId. La lista de valores permitidos es AzureResourceId, MDEid, MD4IoTid, VMConnectionId, AwsVpcId, VectraId, AppGateId, FQDNy Other. El uso FQDN como identificador de dispositivo implica volver a usar el nombre de host. Úsela solo como último recurso.Nota: Este campo es necesario si se usa el campo DvcId . |
| DvcMacAddr | Opcional | Dirección MAC | Dirección MAC del dispositivo en el que se produjo el evento o que informó del evento. Ejemplo: 00:1B:44:11:3A:B7 |
| DvcZone | Opcional | Cadena | La red en la que se produjo el evento o en la que se notificó el evento, en función del esquema. El dispositivo de informes define la zona. Ejemplo: Dmz |
| DvcOs | Opcional | Cadena | Sistema operativo que se ejecuta en el dispositivo en el que se produjo el evento o que informó del evento. Ejemplo: Windows |
| DvcOsVersion | Opcional | Cadena | Versión del sistema operativo en el dispositivo en el que se produjo el evento o que informó del evento. Ejemplo: 10 |
| DvcAction | Opcional | Cadena | En el caso de los sistemas de seguridad de informes, la acción realizada por el sistema, si procede. Ejemplo: Blocked |
| DvcOriginalAction | Opcional | Cadena | DvcAction original según lo proporcionado por el dispositivo de informes. |
| DvcInterface | Opcional | Cadena | Interfaz de red en la que se capturaron los datos. Este campo suele ser relevante para la actividad relacionada con la red, que se captura mediante un dispositivo intermedio o de pulsación. |
| DvcScopeId | Opcional | Cadena | Identificador del ámbito de la plataforma en la nube al que pertenece el dispositivo. DvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| DvcScope | Opcional | Cadena | Ámbito de la plataforma en la nube al que pertenece el dispositivo. DvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
Otros campos
Actualizaciones de esquema
- El
EventOwnercampo se agregó a los campos comunes el 1 de diciembre de 2022 y, por tanto, a todos los esquemas. - El
EventUidcampo se agregó a los campos comunes el 26 de diciembre de 2022 y, por tanto, a todos los esquemas.
Proveedores y productos
Para mantener la coherencia, la lista de proveedores y productos permitidos se establece como parte de ASIM y es posible que no se corresponda directamente con el valor enviado por el origen, cuando esté disponible.
La lista de proveedores y productos que se admiten actualmente en los campos EventVendor y EventProduct , respectivamente, es:
| Proveedor | Productos |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
Fortinet |
Fortigate |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- Microsoft Entra ID - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure Key Vault- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for Linux- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
Si está desarrollando un analizador para un proveedor o producto que no aparece aquí, póngase en contacto con el equipo de Microsoft Sentinel para asignar nuevos designadores de productos y proveedores permitidos.
Siguientes pasos
Para más información, vea:
- Vea el seminario web de ASIM o revise las diapositivas.
- Introducción al modelo de información de seguridad avanzada (ASIM)
- Esquemas del modelo de información de seguridad avanzada (ASIM)
- Analizadores del modelo de información de seguridad avanzada (ASIM)
- Contenido del modelo de información de seguridad avanzada (ASIM)