Referencia del esquema de normalización de sesión de red del modelo de información de seguridad avanzada (ASIM)

El esquema de normalización de sesión de red Microsoft Sentinel representa una actividad de red IP, como conexiones de red y sesiones de red. Estos eventos se notifican, por ejemplo, mediante sistemas operativos, enrutadores, firewalls y sistemas de prevención de intrusiones.

El esquema de normalización de red puede representar cualquier tipo de sesión de red IP, pero está diseñado para proporcionar compatibilidad con tipos de origen comunes, como Netflow, firewalls y sistemas de prevención de intrusiones.

Para obtener más información sobre la normalización en Microsoft Sentinel, vea Normalización y el modelo de información de seguridad avanzada (ASIM).

Analizadores

Para obtener más información sobre los analizadores de ASIM, consulte la introducción a los analizadores de ASIM.

Unificar analizadores

Para usar analizadores que unifiquen todos los analizadores integrados de ASIM y asegúrese de que el análisis se ejecuta en todos los orígenes configurados, use el _Im_NetworkSession analizador.

Analizadores integrados y específicos del origen

Para obtener la lista de los analizadores de sesión de red Microsoft Sentinel proporciona información general, consulte la lista de analizadores de ASIM.

Agregar sus propios analizadores normalizados

Al desarrollar analizadores personalizados para el modelo de información de sesión de red, asigne un nombre a las funciones de KQL mediante la sintaxis siguiente:

vimNetworkSession<vendor><Product> para analizadores parametrizados
ASimNetworkSession<vendor><Product> para analizadores normales

Consulte el artículo Administración de analizadores de ASIM para obtener información sobre cómo agregar los analizadores personalizados a la sesión de red que unifica los analizadores.

Filtrado de parámetros del analizador

Los analizadores de sesión de red admiten parámetros de filtrado. Aunque estos parámetros son opcionales, pueden mejorar el rendimiento de las consultas.

Están disponibles los siguientes parámetros de filtrado:

Nombre	Tipo	Description
starttime	datetime	Filtre solo las sesiones de red que se iniciaron en o después de este momento. Este parámetro filtra en el `TimeGenerated` campo, que es el designador estándar para la hora del evento, independientemente de la asignación específica del analizador de los campos EventStartTime y EventEndTime.
endtime	datetime	Filtre solo las sesiones de red que empezaron a ejecutarse en o antes de este momento. Este parámetro filtra en el `TimeGenerated` campo, que es el designador estándar para la hora del evento, independientemente de la asignación específica del analizador de los campos EventStartTime y EventEndTime.
srcipaddr_has_any_prefix	dinámico	Filtre solo las sesiones de red para las que el prefijo de campo de dirección IP de origen se encuentra en uno de los valores enumerados. Los prefijos deben terminar con , `.`por ejemplo: `10.0.`. La longitud de la lista está limitada a 10 000 elementos.
dstipaddr_has_any_prefix	dinámico	Filtre solo las sesiones de red para las que el prefijo de campo de dirección IP de destino se encuentra en uno de los valores enumerados. Los prefijos deben terminar con , `.`por ejemplo: `10.0.`. La longitud de la lista está limitada a 10 000 elementos.
ipaddr_has_any_prefix	dinámico	Filtre solo las sesiones de red para las que el campo de dirección IP de destino o el prefijo del campo de dirección IP de origen se encuentran en uno de los valores enumerados. Los prefijos deben terminar con , `.`por ejemplo: `10.0.`. La longitud de la lista está limitada a 10 000 elementos. El campo ASimMatchingIpAddr se establece con uno de los valores `SrcIpAddr`, `DstIpAddr`o `Both` para reflejar los campos o campos coincidentes.
dstportnumber	Int	Filtre solo las sesiones de red con el número de puerto de destino especificado.
hostname_has_any	dynamic/string	Filtre solo las sesiones de red para las que el campo de nombre de host de destino tiene cualquiera de los valores enumerados. La longitud de la lista está limitada a 10 000 elementos. El campo ASimMatchingHostname se establece con uno de los valores `SrcHostname`, `DstHostname`o `Both` para reflejar los campos o campos coincidentes.
dvcaction	dynamic/string	Filtre solo las sesiones de red para las que el campo Acción del dispositivo es cualquiera de los valores enumerados.
eventresult	Cadena	Filtre solo las sesiones de red con un valor EventResult específico.

Algunos parámetros pueden aceptar la lista de valores de tipo dynamic o un valor de cadena único. Para pasar una lista literal a parámetros que esperan un valor dinámico, use explícitamente un literal dinámico. Por ejemplo: dynamic(['192.168.','10.'])

Por ejemplo, para filtrar solo las sesiones de red para una lista especificada de nombres de dominio, use:

let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)

Sugerencia

Para pasar una lista literal a parámetros que esperan un valor dinámico, use explícitamente un literal dinámico. Por ejemplo: dynamic(['192.168.','10.']).

Contenido normalizado

Para obtener una lista completa de las reglas de análisis que usan eventos DNS normalizados, consulte Contenido de seguridad de sesión de red.

Introducción al esquema

El modelo de información de sesión de red está alineado con el esquema de entidad de red de OSSEM.

El esquema de sesión de red sirve varios tipos de escenarios similares pero distintos, que comparten los mismos campos. Estos escenarios se identifican mediante el campo EventType:

NetworkSession : una sesión de red notificada por un dispositivo intermedio que supervisa la red, como un firewall, un enrutador o una pulsación de red.
L2NetworkSession - una sesión de red para la que solo está disponible la información de nivel 2. Estos eventos incluirán direcciones MAC, pero no direcciones IP.
Flow : un evento agregado que informa de varias sesiones de red similares, normalmente durante un período de tiempo predefinido, como eventos de Netflow .
EndpointNetworkSession : una sesión de red notificada por uno de los puntos finales de la sesión, incluidos los clientes y servidores. Para estos eventos, el esquema admite los remote campos de alias y local .
IDS : una sesión de red notificada como sospechosa. Este evento tendrá algunos de los campos de inspección rellenados y puede tener un solo campo de dirección IP rellenado, ya sea el origen o el destino.

Normalmente, una consulta debe seleccionar solo un subconjunto de esos tipos de eventos y puede que tenga que abordar aspectos únicos por separado de los casos de uso. Por ejemplo, los eventos IDS no reflejan todo el volumen de red y no deben tenerse en cuenta en el análisis basado en columnas.

Los eventos de sesión de red usan los descriptores y Dst para denotar los roles de los dispositivos y usuarios y aplicaciones relacionados implicados Src en la sesión. Por ejemplo, el nombre de host y la dirección IP del dispositivo de origen se denominan SrcHostname y SrcIpAddr. Otros esquemas de ASIM suelen usar Target en lugar de Dst.

Para los eventos notificados por un punto de conexión y para los que el tipo de evento es EndpointNetworkSession, los descriptores Local y Remote denotan el propio punto de conexión y el dispositivo en el otro extremo de la sesión de red, respectivamente.

El descriptor Dvc se usa para el dispositivo de informes, que es el sistema local para las sesiones notificadas por un punto de conexión, y el dispositivo intermedio o la pulsación de red para otros eventos de sesión de red.

Detalles del esquema

Campos comunes de ASIM

Importante

Los campos comunes a todos los esquemas se describen en detalle en el artículo Campos comunes de ASIM .

Campos comunes con directrices específicas

En la lista siguiente se mencionan los campos que tienen directrices específicas para los eventos de sesión de red:

Campo	Clase	Tipo	Description
EventCount	Obligatorio	Entero	Los orígenes de Netflow admiten la agregación y el campo EventCount debe establecerse en el valor del campo FLUJOS de Netflow. Para otros orígenes, el valor se establece normalmente en `1`.
EventType	Obligatorio	Enumerado	Describe el escenario notificado por el registro. Para los registros de sesión de red, los valores permitidos son: - `EndpointNetworkSession` - `NetworkSession` - `L2NetworkSession` - `IDS` - `Flow` Para obtener más información sobre los tipos de eventos, consulte la introducción al esquema.
EventSubType	Opcional	Enumerado	Descripción adicional del tipo de evento, si procede. En el caso de los registros de sesión de red, los valores admitidos incluyen: - `Start` - `End` Este campo no es relevante para los `Flow` eventos.
EventResult	Obligatorio	Enumerado	Si el dispositivo de origen no proporciona un resultado de evento, EventResult debe basarse en el valor de DvcAction. Si DvcAction es `Deny`, `Drop`, `Drop ICMP`, `Reset`, `Reset Source`o `Reset Destination` , EventResult debe ser `Failure`. De lo contrario, EventResult debe ser `Success`.
EventResultDetails	Recomendado	Enumerado	Motivo o detalles del resultado notificado en el campo EventResult . Los valores admitidos son los siguientes: - Conmutación por error - TCP no válido - Túnel no válido - Reintento máximo - Restablecer - Problema de enrutamiento - Simulación - Finalizado - Tiempo de espera - Error transitorio - Desconocido - NA. El valor original, específico del origen, se almacena en el campo EventOriginalResultDetails .
EventSchema	Obligatorio	Enumerado	El nombre del esquema documentado aquí es `NetworkSession`.
EventSchemaVersion	Obligatorio	SchemaVersion (String)	Versión del esquema. La versión del esquema documentada aquí es `0.2.7`.
DvcAction	Recomendado	Enumerado	Acción realizada en la sesión de red. Los valores admitidos son los siguientes: - `Allow` - `Deny` - `Drop` - `Drop ICMP` - `Reset` - `Reset Source` - `Reset Destination` - `Encrypt` - `Decrypt` - `VPNroute` Nota: El valor se puede proporcionar en el registro de origen mediante diferentes términos, que deben normalizarse a estos valores. El valor original debe almacenarse en el campo DvcOriginalAction . Ejemplo: `drop`
EventSeverity	Opcional	Enumerado	Si el dispositivo de origen no proporciona una gravedad de evento, EventSeverity debe basarse en el valor de DvcAction. Si DvcAction es `Deny`, `Drop`, `Drop ICMP`, `Reset`, `Reset Source`o `Reset Destination` , EventSeverity debe ser `Low`. De lo contrario, EventSeverity debe ser `Informational`.
DvcInterface			El campo DvcInterface debe alias los campos DvcInboundInterface o DvcOutboundInterface .
Campos Dvc			En el caso de los eventos de sesión de red, los campos de dispositivo hacen referencia al sistema que informa del evento de sesión de red.

Todos los campos comunes

Los campos que aparecen en la tabla siguiente son comunes a todos los esquemas de ASIM. Cualquier directriz especificada anteriormente invalida las directrices generales para el campo. Por ejemplo, un campo puede ser opcional en general, pero obligatorio para un esquema específico. Para obtener más información sobre cada campo, consulte el artículo Campos comunes de ASIM .

Class	Fields
Obligatorio	- EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc
Recomendado	- EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction
Opcional	- EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope

Campos de sesión de red

Campo	Clase	Tipo	Description
NetworkApplicationProtocol	Opcional	Cadena	Protocolo de capa de aplicación usado por la conexión o sesión. El valor debe estar en mayúsculas. Ejemplo: `FTP`
NetworkProtocol	Opcional	Enumerado	Protocolo IP usado por la conexión o sesión como se muestra en la asignación de protocolo IANA, que suele ser `TCP`, `UDP`o `ICMP`. Ejemplo: `TCP`
NetworkProtocolVersion	Opcional	Enumerado	La versión de NetworkProtocol. Al usarlo para distinguir entre la versión de IP, use los valores `IPv4` y `IPv6`.
NetworkDirection	Opcional	Enumerado	Dirección de la conexión o sesión: - Para EventType`NetworkSession` o `FlowL2NetworkSession`, NetworkDirection representa la dirección relativa a los límites del entorno de la organización o la nube. Los valores admitidos son `Inbound`, `Outbound`, `Local` (para la organización), `External` (para la organización) o `NA` (No aplicable). - Para EventType`EndpointNetworkSession`, NetworkDirection representa la dirección relativa al punto de conexión. Los valores admitidos son `Inbound`, `Outbound`, `Local` (para el sistema) `Listen` o `NA` (No aplicable). El `Listen` valor indica que un dispositivo ha empezado a aceptar conexiones de red, pero en realidad no está conectado necesariamente.
NetworkDuration	Opcional	Entero	Cantidad de tiempo, en milisegundos, para la finalización de la sesión o conexión de red. Ejemplo: `1500`
Duración	Alias		Alias a NetworkDuration.
NetworkIcmpType	Opcional	Cadena	Para un mensaje ICMP, nombre de tipo ICMP asociado al valor numérico, como se describe en RFC 2780 para conexiones de red IPv4 o en RFC 4443 para conexiones de red IPv6. Ejemplo: `Destination Unreachable` para NetworkIcmpCode `3`
NetworkIcmpCode	Opcional	Entero	Para un mensaje ICMP, el número de código ICMP tal como se describe en RFC 2780 para conexiones de red IPv4 o en RFC 4443 para conexiones de red IPv6.
NetworkConnectionHistory	Opcional	Cadena	Marcas TCP y otra posible información de encabezado IP.
DstBytes	Recomendado	Long	Número de bytes enviados desde el destino al origen de la conexión o sesión. Si el evento se agrega, DstBytes debe ser la suma de todas las sesiones agregadas. Ejemplo: `32455`
SrcBytes	Recomendado	Long	Número de bytes enviados desde el origen al destino de la conexión o sesión. Si el evento se agrega, SrcBytes debe ser la suma de todas las sesiones agregadas. Ejemplo: `46536`
NetworkBytes	Opcional	Long	Número de bytes enviados en ambas direcciones. Si existen BytesReceived y BytesSent , BytesTotal debe ser igual a su suma. Si el evento se agrega, NetworkBytes debe ser la suma de todas las sesiones agregadas. Ejemplo: `78991`
DstPackets	Opcional	Long	Número de paquetes enviados desde el destino al origen de la conexión o sesión. El dispositivo de informes define el significado de un paquete. Si el evento se agrega, DstPackets debe ser la suma de todas las sesiones agregadas. Ejemplo: `446`
SrcPackets	Opcional	Long	Número de paquetes enviados desde el origen al destino de la conexión o sesión. El dispositivo de informes define el significado de un paquete. Si el evento se agrega, SrcPackets debe ser la suma de todas las sesiones agregadas. Ejemplo: `6478`
NetworkPackets	Opcional	Long	Número de paquetes enviados en ambas direcciones. Si los paquetes PacketsReceived y PacketsSent existen, PacketsTotal debe ser igual a su suma. El dispositivo de informes define el significado de un paquete. Si el evento se agrega, NetworkPackets debe ser la suma de todas las sesiones agregadas. Ejemplo: `6924`
NetworkSessionId	Opcional	string	Identificador de sesión notificado por el dispositivo de informes. Ejemplo: `172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80`
SessionId	Alias	Cadena	Alias a NetworkSessionId.
TcpFlagsAck	Opcional	Booleano	La marca TCP ACK notificada. La marca de confirmación se usa para confirmar la recepción correcta de un paquete. Como se puede ver en el diagrama anterior, el receptor envía un ACK y un SYN en el segundo paso del proceso de protocolo de enlace de tres vías para indicar al remitente que recibió su paquete inicial.
TcpFlagsFin	Opcional	Booleano	Marca TCP FIN notificada. La marca finalizada significa que no hay más datos del remitente. Por lo tanto, se usa en el último paquete enviado desde el remitente.
TcpFlagsSyn	Opcional	Booleano	La marca TCP SYN notificada. La marca de sincronización se usa como primer paso para establecer un protocolo de enlace de tres vías entre dos hosts. Solo el primer paquete del remitente y del receptor debe tener esta marca establecida.
TcpFlagsUrg	Opcional	Booleano	La marca TCP URG notificada. La marca urgente se utiliza para notificar al receptor que procese los paquetes urgentes antes de procesar todos los demás paquetes. Se notificará al receptor cuando se hayan recibido todos los datos urgentes conocidos. Consulte RFC 6093 para obtener más detalles.
TcpFlagsPsh	Opcional	Booleano	La marca TCP PSH notificada. La marca de inserción es similar a la marca URG y indica al receptor que procese estos paquetes a medida que se reciben en lugar de almacenarlos en búfer.
TcpFlagsRst	Opcional	Booleano	Marca TCP RST notificada. La marca de restablecimiento se envía desde el receptor al remitente cuando se envía un paquete a un host determinado que no lo esperaba.
TcpFlagsEce	Opcional	Booleano	Marca TCP ECE notificada. Esta marca es responsable de indicar si el punto TCP es compatible con ECN. Consulte RFC 3168 para obtener más detalles.
TcpFlagsCwr	Opcional	Booleano	La marca DE CWR TCP notificada. El host de envío usa la marca reducida de la ventana de congestión para indicar que recibió un paquete con la marca ECE establecida. Consulte RFC 3168 para obtener más detalles.
TcpFlagsNs	Opcional	Booleano	La marca TCP NS notificada. La marca de suma nonce sigue siendo una marca experimental que se usa para ayudar a proteger contra la ocultación accidental malintencionada de paquetes del remitente. Consulte RFC 3540 para obtener más detalles.

Campos del sistema de destino

Campo	Clase	Tipo	Description
Dst	Alias		Identificador único del servidor que recibe la solicitud DNS. Este campo podría aliasar los campos DstDvcId, DstHostname o DstIpAddr . Ejemplo: `192.168.12.1`
DstIpAddr	Recomendado	Dirección IP	Dirección IP del destino de conexión o sesión. Si la sesión usa la traducción de direcciones de red, `DstIpAddr` es la dirección visible públicamente y no la dirección original del origen, que se almacena en DstNatIpAddr. Ejemplo: `2001:db8::ff00:42:8329` Nota: Este valor es obligatorio si se especifica DstHostname .
DstPortNumber	Opcional	Entero	Puerto IP de destino. Ejemplo: `443`
DstHostname	Recomendado	Nombre de host (cadena)	Nombre de host del dispositivo de destino, excepto la información de dominio. Si no hay ningún nombre de dispositivo disponible, almacene la dirección IP correspondiente en este campo. Ejemplo: `DESKTOP-1282V4D`
DstDomain	Recomendado	Dominio (cadena)	Dominio del dispositivo de destino. Ejemplo: `Contoso`
DstDomainType	Condicional	Enumerado	Tipo de DstDomain. Para obtener una lista de valores permitidos e información adicional, consulte DomainType en el artículo Información general del esquema. Obligatorio si se usa DstDomain .
DstFQDN	Opcional	FQDN (cadena)	Nombre de host del dispositivo de destino, incluida la información de dominio cuando está disponible. Ejemplo: `Contoso\DESKTOP-1282V4D` Nota: Este campo admite el formato FQDN tradicional y el formato domain\hostname de Windows. DstDomainType refleja el formato usado.
DstDvcId	Opcional	Cadena	Identificador del dispositivo de destino. Si hay varios identificadores disponibles, use el más importante y almacene los demás en los campos `DstDvc<DvcIdType>`. Ejemplo: `ac7e9755-8eae-4ffc-8a02-50ed7a2216c3`
DstDvcScopeId	Opcional	Cadena	Identificador del ámbito de la plataforma en la nube al que pertenece el dispositivo. DstDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
DstDvcScope	Opcional	Cadena	Ámbito de la plataforma en la nube al que pertenece el dispositivo. DstDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
DstDvcIdType	Condicional	Enumerado	Tipo de DstDvcId. Para obtener una lista de los valores permitidos y más información, consulte DvcIdType en el artículo Información general del esquema. Obligatorio si se usa DstDeviceId .
DstDeviceType	Opcional	Enumerado	Tipo del dispositivo de destino. Para obtener una lista de valores permitidos e información adicional, consulte DeviceType en el artículo Información general del esquema.
DstZone	Opcional	Cadena	Zona de red del destino, tal como lo define el dispositivo de informes. Ejemplo: `Dmz`
DstInterfaceName	Opcional	Cadena	Interfaz de red usada para la conexión o sesión por el dispositivo de destino. Ejemplo: `Microsoft Hyper-V Network Adapter`
DstInterfaceGuid	Opcional	GUID (string)	GUID de la interfaz de red usada en el dispositivo de destino. Ejemplo: `46ad544b-eaf0-47ef-` `827c-266030f545a6`
DstMacAddr	Opcional	Dirección MAC (cadena)	Dirección MAC de la interfaz de red usada para la conexión o sesión por el dispositivo de destino. Ejemplo: `06:10:9f:eb:8f:14`
DstVlanId	Opcional	Cadena	Identificador de VLAN relacionado con el dispositivo de destino. Ejemplo: `130`
OuterVlanId	Alias		Alias a DstVlanId. En muchos casos, la VLAN no se puede determinar como origen o destino, sino que se caracteriza por ser interna o externa. Este alias significa que DstVlanId se debe usar cuando la VLAN se caracteriza como externa.
DstGeoCountry	Opcional	País	País o región asociado a la dirección IP de destino. Para obtener más información, vea Tipos lógicos. Ejemplo: `USA`
DstGeoRegion	Opcional	Región	Región o estado asociado a la dirección IP de destino. Para obtener más información, vea Tipos lógicos. Ejemplo: `Vermont`
DstGeoCity	Opcional	Ciudad	Ciudad asociada a la dirección IP de destino. Para obtener más información, vea Tipos lógicos. Ejemplo: `Burlington`
DstGeoLatitude	Opcional	Latitude	Latitud de la coordenada geográfica asociada a la dirección IP de destino. Para obtener más información, vea Tipos lógicos. Ejemplo: `44.475833`
DstGeoLongitude	Opcional	Longitude	Longitud de la coordenada geográfica asociada a la dirección IP de destino. Para obtener más información, vea Tipos lógicos. Ejemplo: `73.211944`
DstDescription	Opcional	Cadena	Texto descriptivo asociado al dispositivo. Por ejemplo: `Primary Domain Controller`.

Campos de usuario de destino

Campo	Clase	Tipo	Description
DstUserId	Opcional	Cadena	Representación única, alfanumérica y legible de la máquina del usuario de destino. Para obtener el formato admitido para diferentes tipos de identificador, consulte la entidad User. Ejemplo: `S-1-12`
DstUserScope	Opcional	Cadena	Ámbito, como Microsoft Entra inquilino, en el que se definen DstUserId y DstUsername. o más información y lista de valores permitidos, vea UserScope en el artículo Información general del esquema.
DstUserScopeId	Opcional	Cadena	Identificador de ámbito, como Microsoft Entra id. de directorio, en el que se definen DstUserId y DstUsername. Para obtener más información y una lista de los valores permitidos, vea UserScopeId en el artículo Información general del esquema.
DstUserIdType	Condicional	UserIdType	Tipo del identificador almacenado en el campo DstUserId . Para obtener una lista de valores permitidos e información adicional, consulte UserIdType en el artículo Información general del esquema.
DstUsername	Opcional	Nombre de usuario (cadena)	El nombre de usuario de destino, incluida la información de dominio cuando está disponible. Para obtener el formato admitido para diferentes tipos de identificador, consulte la entidad User. Use el formulario simple solo si la información de dominio no está disponible. Almacene el tipo de nombre de usuario en el campo DstUsernameType . Si hay otros formatos de nombre de usuario disponibles, guárdelos en los campos `DstUsername<UsernameType>`. Ejemplo: `AlbertE`
Usuario	Alias		Alias a DstUsername.
DstUsernameType	Condicional	UsernameType	Especifica el tipo de nombre de usuario almacenado en el campo DstUsername . Para obtener una lista de valores permitidos e información adicional, consulte UsernameType en el artículo Información general del esquema. Ejemplo: `Windows`
DstUserType	Opcional	UserType	Tipo de usuario de destino. Para obtener una lista de valores permitidos e información adicional, consulte UserType en el artículo Información general del esquema. Nota: El valor se puede proporcionar en el registro de origen mediante diferentes términos, que deben normalizarse a estos valores. Almacene el valor original en el campo DstOriginalUserType .
DstOriginalUserType	Opcional	Cadena	Tipo de usuario de destino original, si lo proporciona el origen.

Campos de aplicación de destino

Campo	Clase	Tipo	Description
DstAppName	Opcional	Cadena	Nombre de la aplicación de destino. Ejemplo: `Facebook`
DstAppId	Opcional	Cadena	Identificador de la aplicación de destino, tal y como informa el dispositivo de informes. Si DstAppType es `Process`y `DstAppIdDstProcessId` debe tener el mismo valor. Ejemplo: `124`
DstAppType	Opcional	AppType	Tipo de la aplicación de destino. Para obtener una lista de valores permitidos e información adicional, consulte AppType en el artículo Información general del esquema. Este campo es obligatorio si se usan DstAppName o DstAppId .
DstProcessName	Opcional	Cadena	Nombre de archivo del proceso que finalizó la sesión de red. Normalmente, este nombre se considera el nombre del proceso. Ejemplo: `C:\Windows\explorer.exe`
Proceso	Alias		Alias de DstProcessName Ejemplo: `C:\Windows\System32\rundll32.exe`
DstProcessId	Opcional	Cadena	Identificador de proceso (PID) del proceso que finalizó la sesión de red. Ejemplo: `48610176` Nota: El tipo se define como cadena para admitir sistemas variables, pero en Windows y Linux este valor debe ser numérico. Si usa una máquina Windows o Linux y usa otro tipo, asegúrese de convertir los valores. Por ejemplo, si usó un valor hexadecimal, conviértalo en un valor decimal.
DstProcessGuid	Opcional	Cadena	Identificador único (GUID) generado del proceso que finalizó la sesión de red. Ejemplo: `EF3BD0BD-2B74-60C5-AF5C-010000001E00`

Campos del sistema de origen

Campo	Clase	Tipo	Description
Src	Alias		Identificador único del dispositivo de origen. Este campo podría aliasar los campos SrcDvcId, SrcHostname o SrcIpAddr . Ejemplo: `192.168.12.1`
SrcIpAddr	Recomendado	Dirección IP	Dirección IP desde la que se originó la conexión o sesión. Este valor es obligatorio si se especifica SrcHostname . Si la sesión usa la traducción de direcciones de red, `SrcIpAddr` es la dirección visible públicamente y no la dirección original del origen, que se almacena en SrcNatIpAddr. Ejemplo: `77.138.103.108`
SrcPortNumber	Opcional	Entero	Puerto IP desde el que se originó la conexión. Es posible que no sea relevante para una sesión que incluya varias conexiones. Ejemplo: `2335`
SrcHostname	Recomendado	Nombre de host (cadena)	Nombre de host del dispositivo de origen, excepto la información de dominio. Si no hay ningún nombre de dispositivo disponible, almacene la dirección IP correspondiente en este campo. Ejemplo: `DESKTOP-1282V4D`
SrcDomain	Recomendado	Dominio (cadena)	Dominio del dispositivo de origen. Ejemplo: `Contoso`
SrcDomainType	Condicional	DomainType	Tipo de SrcDomain. Para obtener una lista de valores permitidos e información adicional, consulte DomainType en el artículo Información general del esquema. Obligatorio si se usa SrcDomain .
SrcFQDN	Opcional	FQDN (cadena)	Nombre de host del dispositivo de origen, incluida la información de dominio cuando está disponible. Nota: Este campo admite el formato FQDN tradicional y el formato domain\hostname de Windows. El campo SrcDomainType refleja el formato usado. Ejemplo: `Contoso\DESKTOP-1282V4D`
SrcDvcId	Opcional	Cadena	Identificador del dispositivo de origen. Si hay varios identificadores disponibles, use el más importante y almacene los demás en los campos `SrcDvc<DvcIdType>`. Ejemplo: `ac7e9755-8eae-4ffc-8a02-50ed7a2216c3`
SrcDvcScopeId	Opcional	Cadena	Identificador del ámbito de la plataforma en la nube al que pertenece el dispositivo. SrcDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
SrcDvcScope	Opcional	Cadena	Ámbito de la plataforma en la nube al que pertenece el dispositivo. SrcDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
SrcDvcIdType	Condicional	DvcIdType	Tipo de SrcDvcId. Para obtener una lista de los valores permitidos y más información, consulte DvcIdType en el artículo Información general del esquema. Nota: Este campo es necesario si se usa SrcDvcId .
SrcDeviceType	Opcional	DeviceType	Tipo del dispositivo de origen. Para obtener una lista de valores permitidos e información adicional, consulte DeviceType en el artículo Información general del esquema.
SrcZone	Opcional	Cadena	Zona de red del origen, tal como lo define el dispositivo de informes. Ejemplo: `Internet`
SrcInterfaceName	Opcional	Cadena	Interfaz de red usada para la conexión o sesión por el dispositivo de origen. Ejemplo: `eth01`
SrcInterfaceGuid	Opcional	GUID (string)	GUID de la interfaz de red utilizada en el dispositivo de origen. Ejemplo: `46ad544b-eaf0-47ef-` `827c-266030f545a6`
SrcMacAddr	Opcional	Dirección MAC (cadena)	Dirección MAC de la interfaz de red desde la que se originó la conexión o sesión. Ejemplo: `06:10:9f:eb:8f:14`
SrcVlanId	Opcional	Cadena	Identificador de VLAN relacionado con el dispositivo de origen. Ejemplo: `130`
InnerVlanId	Alias		Alias a SrcVlanId. En muchos casos, la VLAN no se puede determinar como origen o destino, sino que se caracteriza por ser interna o externa. Este alias significa que se debe usar SrcVlanId cuando la VLAN se caracteriza como interna.
SrcGeoCountry	Opcional	País	País o región asociado a la dirección IP de origen. Ejemplo: `USA`
SrcGeoRegion	Opcional	Región	Región asociada a la dirección IP de origen. Ejemplo: `Vermont`
SrcGeoCity	Opcional	Ciudad	Ciudad asociada a la dirección IP de origen. Ejemplo: `Burlington`
SrcGeoLatitude	Opcional	Latitude	Latitud de la coordenada geográfica asociada a la dirección IP de origen. Ejemplo: `44.475833`
SrcGeoLongitude	Opcional	Longitude	Longitud de la coordenada geográfica asociada a la dirección IP de origen. Ejemplo: `73.211944`
SrcDescription	Opcional	Cadena	Texto descriptivo asociado al dispositivo. Por ejemplo: `Primary Domain Controller`.

Campos de usuario de origen

Campo	Clase	Tipo	Description
SrcUserId	Opcional	Cadena	Representación única, alfanumérica y legible de la máquina del usuario de origen. Para obtener el formato admitido para diferentes tipos de identificador, consulte la entidad User. Ejemplo: `S-1-12`
SrcUserScope	Opcional	Cadena	Ámbito, como Microsoft Entra inquilino, en el que se definen SrcUserId y SrcUsername. o más información y lista de valores permitidos, vea UserScope en el artículo Información general del esquema.
SrcUserScopeId	Opcional	Cadena	Identificador de ámbito, como Microsoft Entra id. de directorio, en el que se definen SrcUserId y SrcUsername. Para obtener más información y una lista de los valores permitidos, vea UserScopeId en el artículo Información general del esquema.
SrcUserIdType	Condicional	UserIdType	Tipo del identificador almacenado en el campo SrcUserId . Para obtener una lista de valores permitidos e información adicional, consulte UserIdType en el artículo Información general del esquema.
SrcUsername	Opcional	Nombre de usuario (cadena)	El nombre de usuario de origen, incluida la información de dominio cuando está disponible. Para obtener el formato admitido para diferentes tipos de identificador, consulte la entidad User. Use el formulario simple solo si la información de dominio no está disponible. Almacene el tipo de nombre de usuario en el campo SrcUsernameType . Si hay otros formatos de nombre de usuario disponibles, guárdelos en los campos `SrcUsername<UsernameType>`. Ejemplo: `AlbertE`
SrcUsernameType	Condicional	UsernameType	Especifica el tipo del nombre de usuario almacenado en el campo SrcUsername . Para obtener una lista de valores permitidos e información adicional, consulte UsernameType en el artículo Información general del esquema. Ejemplo: `Windows`
SrcUserType	Opcional	UserType	Tipo de usuario de origen. Para obtener una lista de valores permitidos e información adicional, consulte UserType en el artículo Información general del esquema. Nota: El valor se puede proporcionar en el registro de origen mediante diferentes términos, que deben normalizarse a estos valores. Almacene el valor original en el campo SrcOriginalUserType .
SrcOriginalUserType	Opcional	Cadena	Tipo de usuario de destino original, si lo proporciona el dispositivo de informes.

Campos de aplicación de origen

Campo	Clase	Tipo	Description
SrcAppName	Opcional	Cadena	Nombre de la aplicación de origen. Ejemplo: `filezilla.exe`
SrcAppId	Opcional	Cadena	Identificador de la aplicación de origen, tal y como informa el dispositivo de informes. Si SrcAppType es `Process`y `SrcAppIdSrcProcessId` debe tener el mismo valor. Ejemplo: `124`
SrcAppType	Opcional	AppType	Tipo de la aplicación de origen. Para obtener una lista de valores permitidos e información adicional, consulte AppType en el artículo Información general del esquema. Este campo es obligatorio si se usan SrcAppName o SrcAppId .
SrcProcessName	Opcional	Cadena	Nombre de archivo del proceso que inició la sesión de red. Normalmente, este nombre se considera el nombre del proceso. Ejemplo: `C:\Windows\explorer.exe`
SrcProcessId	Opcional	Cadena	Identificador de proceso (PID) del proceso que inició la sesión de red. Ejemplo: `48610176` Nota: El tipo se define como cadena para admitir sistemas variables, pero en Windows y Linux este valor debe ser numérico. Si usa una máquina Windows o Linux y usa otro tipo, asegúrese de convertir los valores. Por ejemplo, si usó un valor hexadecimal, conviértalo en un valor decimal.
SrcProcessGuid	Opcional	Cadena	Identificador único (GUID) generado del proceso que inició la sesión de red. Ejemplo: `EF3BD0BD-2B74-60C5-AF5C-010000001E00`

Alias locales y remotos

Todos los campos de origen y destino enumerados anteriormente, se pueden aliasar opcionalmente por campos con el mismo nombre y los descriptores Local y Remote. Esto suele ser útil para los eventos notificados por un punto de conexión y para los que el tipo de evento es EndpointNetworkSession.

Para estos eventos, los descriptores Local y Remote denotan el propio punto de conexión y el dispositivo en el otro extremo de la sesión de red, respectivamente. En el caso de las conexiones entrantes, el sistema local es el destino, Local los campos son alias de los Dst campos y los campos "Remotos" son alias para Src los campos. Por el contrario, para las conexiones salientes, el sistema local es el origen, Local los campos son alias de los Src campos y Remote los campos son alias para Dst los campos.

Por ejemplo, para un evento de entrada, el campo LocalIpAddr es un alias para DstIpAddr y el campo RemoteIpAddr es un alias para SrcIpAddr.

Alias de nombre de host y dirección IP

Campo	Clase	Tipo	Description
Nombre de host	Alias		- Si el tipo de evento es `NetworkSession`, `Flow` o `L2NetworkSession`, Hostname es un alias para DstHostname. - Si el tipo de evento es `EndpointNetworkSession`, Hostname es un alias para `RemoteHostname`, que puede alias DstHostname o SrcHostName, dependiendo de NetworkDirection.
IpAddr	Alias		- Si el tipo de evento es `NetworkSession`, `Flow` o `L2NetworkSession`, IpAddr es un alias para SrcIpAddr. - Si el tipo de evento es `EndpointNetworkSession`, IpAddr es un alias para `LocalIpAddr`, que puede alias SrcIpAddr o DstIpAddr, dependiendo de NetworkDirection.

Campos de traducción de direcciones de red (NAT) y dispositivo intermedio

Los campos siguientes son útiles si el registro incluye información sobre un dispositivo intermediario, como un firewall o un proxy, que retransmite la sesión de red.

Los sistemas intermediarios suelen usar la traducción de direcciones y, por tanto, la dirección original y la dirección observada externamente no son iguales. En tales casos, los campos de dirección principal como SrcIPAddr y DstIpAddr representan las direcciones observadas externamente, mientras que los campos de dirección NAT, SrcNatIpAddr y DstNatIpAddr representan la dirección interna del dispositivo original antes de la traducción.

Campo	Clase	Tipo	Description
DstNatIpAddr	Opcional	Dirección IP	DstNatIpAddr representa cualquiera de: - La dirección original del dispositivo de destino si se usó la traducción de direcciones de red. - La dirección IP utilizada por el dispositivo intermediario para la comunicación con el origen. Ejemplo: `2::1`
DstNatPortNumber	Opcional	Entero	Si lo notifica un dispositivo NAT intermedio, el puerto usado por el dispositivo NAT para la comunicación con el origen. Ejemplo: `443`
SrcNatIpAddr	Opcional	Dirección IP	SrcNatIpAddr representa cualquiera de: - La dirección original del dispositivo de origen si se usó la traducción de direcciones de red. - La dirección IP utilizada por el dispositivo intermediario para la comunicación con el destino. Ejemplo: `4.3.2.1`
SrcNatPortNumber	Opcional	Entero	Si lo notifica un dispositivo NAT intermedio, el puerto usado por el dispositivo NAT para la comunicación con el destino. Ejemplo: `345`
DvcInboundInterface	Opcional	Cadena	Si lo notifica un dispositivo intermediario, la interfaz de red que usa el dispositivo NAT para la conexión con el dispositivo de origen. Ejemplo: `eth0`
DvcOutboundInterface	Opcional	Cadena	Si lo notifica un dispositivo intermediario, la interfaz de red que usa el dispositivo NAT para la conexión con el dispositivo de destino. Ejemplo: `Ethernet adapter Ethernet 4e`

Campos de inspección

Los campos siguientes se usan para representar esa inspección que realizó un dispositivo de seguridad, como un firewall, una IPS o una puerta de enlace de seguridad web:

Campo	Clase	Tipo	Description
NetworkRuleName	Opcional	Cadena	Nombre o identificador de la regla por la que se decidió DvcAction . Ejemplo: `AnyAnyDrop`
NetworkRuleNumber	Opcional	Entero	Número de la regla por la que se decidió DvcAction . Ejemplo: `23`
Rule	Alias	Cadena	El valor de NetworkRuleName o el valor de NetworkRuleNumber. Si se usa el valor de NetworkRuleNumber , el tipo debe convertirse en cadena.
ThreatId	Opcional	Cadena	Identificador de la amenaza o malware identificado en la sesión de red. Ejemplo: `Tr.124`
ThreatName	Opcional	Cadena	Nombre de la amenaza o malware identificado en la sesión de red. Ejemplo: `EICAR Test File`
ThreatCategory	Opcional	Cadena	Categoría de la amenaza o malware identificada en la sesión de red. Ejemplo: `Trojan`
ThreatRiskLevel	Opcional	RiskLevel (integer)	Nivel de riesgo asociado a la sesión. El nivel debe ser un número entre 0 y 100. Nota: Es posible que el valor se proporcione en el registro de origen mediante una escala diferente, que debe normalizarse a esta escala. El valor original debe almacenarse en ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel	Opcional	Cadena	El nivel de riesgo notificado por el dispositivo de informes.
ThreatIpAddr	Opcional	Dirección IP	Dirección IP para la que se identificó una amenaza. El campo ThreatField contiene el nombre del campo ThreatIpAddr que representa.
ThreatField	Condicional	Enumerado	Campo para el que se identificó una amenaza. El valor es o `SrcIpAddrDstIpAddr`.
ThreatConfidence	Opcional	ConfidenceLevel (integer)	El nivel de confianza de la amenaza identificada, normalizada a un valor entre 0 y 100.
ThreatOriginalConfidence	Opcional	Cadena	El nivel de confianza original de la amenaza identificada, según lo notificado por el dispositivo de informes.
ThreatIsActive	Opcional	Booleano	True si la amenaza identificada se considera una amenaza activa.
ThreatFirstReportedTime	Opcional	datetime	La primera vez que la dirección IP o el dominio se identificaron como una amenaza.
ThreatLastReportedTime	Opcional	datetime	La última vez que la dirección IP o el dominio se identificaron como una amenaza.

Otros campos

Campo	Clase	Tipo	Description
ASimMatchingIpAddr	Recomendado	Enumerado	Cuando un analizador usa los `ipaddr_has_any_prefix` parámetros de filtrado, este campo se establece con uno de los valores `SrcIpAddr`, `DstIpAddr`o `Both` para reflejar los campos o campos coincidentes.
ASimMatchingHostname	Recomendado	Enumerado	Cuando un analizador usa los `hostname_has_any` parámetros de filtrado, este campo se establece con uno de los valores `SrcHostname`, `DstHostname`o `Both` para reflejar los campos o campos coincidentes.

Si uno de los puntos de conexión de la sesión de red notifica el evento, puede incluir información sobre el proceso que inició o finalizó la sesión. En tales casos, se usa el esquema de eventos de proceso de ASIM para normalizar esta información.

Actualizaciones de esquema

A continuación se muestran los cambios en la versión 0.2.1 del esquema:

Se han agregado Src alias y Dst como a un identificador inicial para los sistemas de origen y destino.
Se agregaron los campos NetworkConnectionHistory, SrcVlanId, DstVlanId, InnerVlanIdy OuterVlanId.

A continuación se muestran los cambios en la versión 0.2.2 del esquema:

Se han agregado Remote alias y Local .
Se agregó el tipo EndpointNetworkSessionde evento .
Definido Hostname y IpAddr como alias para RemoteHostname y LocalIpAddr respectivamente cuando el tipo de evento es EndpointNetworkSession.
Se define DvcInterface como un alias para DvcInboundInterface o DvcOutboundInterface.
Se ha cambiado el tipo de los siguientes campos de Integer a Long: SrcBytes, DstBytes, NetworkBytes, SrcPackets, DstPacketsy NetworkPackets.
Se agregó el campo NetworkProtocolVersion.
En desuso DstUserDomain y SrcUserDomain.

A continuación se muestran los cambios en la versión 0.2.3 del esquema:

Se agregó el ipaddr_has_any_prefix parámetro de filtrado.
El hostname_has_any parámetro de filtrado ahora coincide con los nombres de host de origen o de destino.
Se agregaron los campos ASimMatchingHostname y ASimMatchingIpAddr.

A continuación se muestran los cambios en la versión 0.2.4 del esquema:

Se agregaron los TcpFlags campos.
Se ha actualizado NetworkIcpmType y NetworkIcmpCode para reflejar el valor numérico de ambos.
Se han agregado campos de inspección adicionales.
Se cambió el nombre del campo "ThreatRiskLevelOriginal" a ThreatOriginalRiskLevel para alinearse con las convenciones de ASIM. Los analizadores de Microsoft existentes se mantendrán ThreatRiskLevelOriginal hasta el 1 de mayo de 2023.
Marcado EventResultDetails como recomendado y especificado los valores permitidos.

A continuación se muestran los cambios en la versión 0.2.5 del esquema:

Se agregaron los campos DstUserScope, SrcUserScope, SrcDvcScopeId, SrcDvcScope, DstDvcScopeId, DstDvcScope, DvcScopeIdy DvcScope.

A continuación se muestran los cambios en la versión 0.2.6 del esquema:

Se ha agregado IDS como tipo de evento.

A continuación se muestran los cambios en la versión 0.2.7 del esquema:

Se agregaron los campos DstDescription y SrcDescription

Siguientes pasos

Para más información, vea:

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-04-23