Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Algunos campos son comunes a todos los esquemas de ASIM. Cada esquema puede agregar directrices para usar algunos de los campos comunes en el contexto del esquema específico. Por ejemplo, los valores permitidos del campo EventType pueden variar según el esquema, al igual que el valor del campo EventSchemaVersion.
Campos estándar de Log Analytics
Log Analytics genera los campos siguientes, en la mayoría de los casos para cada registro. Se pueden invalidar al crear un conector personalizado.
| Campo | Tipo | Debate |
|---|---|---|
| Tiempo Generado | Fecha y hora | Hora a la que el dispositivo de informes generó el evento. |
| Tipo | Cuerda | Tabla original de la que se ha obtenido el registro. Este campo es útil cuando un mismo evento se puede recibir mediante varios canales en tablas diferentes y tener los mismos valores EventVendor y EventProduct. Por ejemplo, un evento Sysmon se puede recopilar en la tabla Evento en la tabla WindowsEvent. |
Nota
Log Analytics también agrega otros campos que son menos pertinentes para los casos de uso de seguridad. Para obtener más información, consulte Columnas estándar en registros de Azure Monitor.
Campos comunes de ASIM
ASIM define los siguientes campos para todos los esquemas:
Campos del evento
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| Mensaje de evento | Opcionales | Cuerda | Mensaje o descripción general, incluidos en el registro o generados a partir de este. |
| Recuento de eventos | Obligatorio | Entero | Número de eventos descritos por el registro. Este valor se usa cuando el origen admite agregación y un único registro puede representar varios eventos. En el caso de otros orígenes, establezca el valor en 1. |
| EventoInicio | Obligatorio | Fecha y hora | Hora a la que se inició el evento. Si el origen admite agregación y el registro representa varios eventos, la hora a la que se generó el primer evento. Si no lo proporciona el registro de origen, este campo es un alias del campo TimeGenerated. |
| EventoEndTime | Obligatorio | Fecha y hora | Hora a la que finalizó el evento. Si el origen admite agregación y el registro representa varios eventos, la hora a la que se generó el último evento. Si no lo proporciona el registro de origen, este campo es un alias del campo TimeGenerated. |
| Tipo de evento | Obligatorio | Enumerado | Describe la operación notificada por el registro. Cada esquema documenta la lista de valores válidos para este campo. El valor original, específico del origen, se almacena en el campo EventOriginalType. |
| Subtipo de evento | Opcionales | Enumerado | Describe una subdivisión de la operación notificada en el campo EventType. Cada esquema documenta la lista de valores válidos para este campo. El valor original, específico del origen, se almacena en el campo EventOriginalSubType. |
| EventoResultado | Obligatorio | Enumerado | Uno de los siguientes valores: Correcto, Parcial, Error o NA (No aplicable). El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. Además, el origen puede proporcionar solo el campo EventResultDetails, que se debe analizar para obtener el valor EventResult. Ejemplo: Success |
| DetallesResultadoEvento | Recomendado | Enumerado | Motivo o detalles del resultado notificado en el campo EventResult. Cada esquema documenta la lista de valores válidos para este campo. El valor original, específico del origen, se almacena en el campo EventOriginalResultDetails. Ejemplo: NXDOMAIN |
| EventUid | Recomendado | Cuerda | Identificador único del registro, tal como lo asigna Microsoft Sentinel. Normalmente, este campo se asigna al campo _ItemId de Log Analytics. |
| EventoOriginalUid | Opcionales | Cuerda | Id. único del registro original, si lo proporciona el origen. Ejemplo: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventoOriginalType | Opcionales | Cuerda | Tipo o Id. del evento original, si lo proporciona el origen. Por ejemplo, este campo se usa para almacenar el Id. de evento Windows original. Este valor se usa para derivar EventType, que solo debe tener uno de los valores documentados para cada esquema. Ejemplo: 4624 |
| Subtipo OriginalEvento | Opcionales | Cuerda | El subtipo o identificador del evento original, si lo proporciona el origen. Por ejemplo, este campo se usa para almacenar el tipo de inicio de sesión de Windows original. Este valor se usa para derivar EventSubType, que solo debe tener uno de los valores documentados para cada esquema. Ejemplo: 2 |
| EventoOriginalDetallesResultados | Opcionales | Cuerda | Detalles del resultado original proporcionados por el origen. Este valor se usa para derivar EventResultDetails, que solo debe tener uno de los valores documentados para cada esquema. |
| Severidad del evento | Recomendado | Enumerado | La gravedad del evento. Los valores válidos son Informational, Low, Medium o High. |
| EventoOriginalSeveridad | Opcionales | Cuerda | La gravedad del original, como se especifica en el dispositivo de informes. Este valor se usa para derivar EventSeverity. |
| EventProduct | Obligatorio | Cuerda | Producto que genera el evento. El valor debe ser uno de los valores enumerados en Proveedores y productos. Ejemplo: Sysmon |
| EventProductVersion | Opcionales | Cuerda | Versión del producto que genera el evento. Ejemplo: 12.1 |
| ProveedorDeevento | Obligatorio | Cuerda | Proveedor del producto que genera el evento. El valor debe ser uno de los valores enumerados en Proveedores y productos. Ejemplo: Microsoft |
| EventSchema | Obligatorio | Enumerado | Esquema para el que se normaliza el evento. Cada esquema documenta su nombre de esquema. |
| EventSchemaVersion | Obligatorio | SchemaVersion (cadena) | Versión del esquema. Cada esquema documenta su versión actual. |
| EventReportUrl | Opcionales | URL (cadena) | Dirección URL proporcionada en el evento para un recurso que ofrece más información sobre el evento. |
| Propietario del evento | Opcionales | Cuerda | Es el propietario del evento, que suele ser el departamento o subsidiario en el que se generó. |
Campos de dispositivo
El rol de los campos de dispositivo es diferente para los distintos esquemas y tipos de eventos. Por ejemplo:
- Para los eventos de sesión de red, los campos de dispositivo suelen proporcionar información sobre el dispositivo que generó el evento.
- En el caso de los eventos de proceso, los campos de dispositivo proporcionan información sobre el dispositivo en el que se ejecuta el proceso.
Cada documento de esquema especifica el rol del dispositivo en el esquema.
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| Dvc | Alias (Nombre ficticio) | Cuerda | Un identificador único del dispositivo en el que se produjo el evento o que informó del evento, según el esquema. Este campo puede ser un alias de los campos DvcFQDN, DvcId, DvcHostname o DvcIpAddr. En el caso de orígenes en la nube, para los que no hay ningún dispositivo aparente, use el valor del campo EventProduct. |
| DvcIpAddr | Recomendado | Dirección IP | La dirección IP del dispositivo en el que se produjo el evento o que informó del evento, según el esquema. Ejemplo: 45.21.42.12 |
| DvcNombre de host | Recomendado | Nombre de host | El nombre de host del dispositivo en el que se produjo el evento o que informó del evento, según el esquema. Ejemplo: ContosoDc |
| DvcDomain | Recomendado | Dominio (Cadena) | El dominio del dispositivo en el que se produjo el evento o que informó del evento, según el esquema. Ejemplo: Contoso |
| DvcDomainType | Condicional | Enumerado | Tipo de DvcDomain. Para obtener una lista de valores permitidos e información adicional, consulte DomainType. Nota: Este campo es necesario si se usa el campo DvcDomain. |
| DvcFQDN | Opcionales | FQDN (Cuerda) | El nombre de host del dispositivo en el que se produjo el evento o que informó del evento, según el esquema. Ejemplo: Contoso\DESKTOP-1282V4DNota: Este campo admite tanto el formato de FQDN tradicional como el formato de dominio\nombre de host de Windows. El campo DvcDomainType refleja el formato utilizado. |
| DvcDescripción | Opcionales | Cuerda | Texto descriptivo asociado al dispositivo. Por ejemplo: Primary Domain Controller. |
| DvcId | Opcionales | Cuerda | El identificador único del dispositivo en el que se produjo el evento o que informó del evento, según el esquema. Ejemplo: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| DvcIdType | Condicional | Enumerado | Tipo de DvcId. Para obtener una lista de valores permitidos e información adicional, consulte DvcIdType. - MDEidSi hay varios identificadores disponibles, use el primero de la lista y almacene los demás con los nombres de campo DvcAzureResourceId y DvcMDEid, respectivamente. Nota: Este campo es necesario si se usa el campo DvcId. |
| DvcMacAddr | Opcionales | Dirección MAC | La dirección MAC del dispositivo en el que se produjo el evento o que informó del evento. Ejemplo: 00:1B:44:11:3A:B7 |
| DvcZone | Opcionales | Cuerda | La red en la que se produjo el evento o en la que se informó del evento, según el esquema. El dispositivo de informes define la zona. Ejemplo: Dmz |
| DvcOs | Opcionales | Cuerda | El sistema operativo que se utiliza en el dispositivo en el que se produjo el evento o que informó del evento. Ejemplo: Windows |
| DvcOsVersion | Opcionales | Cuerda | La versión del sistema operativo del dispositivo en el que se produjo el evento o que informó del evento. Ejemplo: 10 |
| DvcAction | Opcionales | Cuerda | Para los sistemas de seguridad de informes, la acción realizada por el sistema, si procede. Ejemplo: Blocked |
| DvcOriginalAction | Opcionales | Cuerda | El valor original de DvcAction, como se proporciona en el dispositivo de informes. |
| DvcInterface | Opcionales | Cuerda | Interfaz de red en la que se capturaron los datos. Este campo suele ser pertinente para la actividad relacionada con la red, que captura un dispositivo intermedio o de derivación. |
| DvcScopeId | Opcionales | Cuerda | Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. DvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| DvcScope | Opcionales | Cuerda | Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. DvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
Otros campos
Actualizaciones del esquema
- El campo
EventOwnerse ha agregado a los campos comunes el 1 de diciembre de 2022 y, por tanto, a todos los esquemas. - El campo
EventUidse ha agregado a los campos comunes el 26 de diciembre de 2022 y, por tanto, a todos los esquemas.
Proveedores y productos
Para mantener la coherencia, la lista de proveedores y productos permitidos se establece como parte de ASIM y puede que no se corresponda directamente con el valor enviado por el origen, cuando esté disponible.
La lista admitida actualmente de proveedores y productos usados en los campos EventVendor y EventProduct respectivamente es:
| Proveedor | Productos |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- Microsoft Entra ID - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for Linux- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
Si va a desarrollar un analizador para un proveedor o producto que no aparece aquí, póngase en contacto con el equipo de Microsoft Sentinel para asignar nuevos designadores de proveedores y productos permitidos.
Pasos siguientes
Para más información, consulte:
- El seminario web de ASIM o las diapositivas
- Introducción al Modelo avanzado de información de seguridad (ASIM)
- Esquemas del Modelo avanzado de información de seguridad (ASIM)
- Analizadores del Modelo avanzado de información de seguridad (ASIM)
- Contenido del Modelo avanzado de información de seguridad (ASIM)