Referencia del esquema de normalización de eventos de auditoría del Modelo de información de seguridad avanzada (ASIM): versión preliminar pública
El esquema de normalización de eventos de auditoría de Microsoft Sentinel representa los eventos asociados al registro de auditoría de los sistemas de información. El registro de auditoría registra las actividades de configuración del sistema y los cambios de directiva. Estos cambios suelen realizarlos los administradores del sistema, pero también los usuarios pueden realizarlos al configurar las opciones de sus propias aplicaciones.
Cada sistema registra los eventos de auditoría junto con sus registros de actividad principales. Por ejemplo, un firewall registrará eventos sobre las sesiones de red que procesa, así como eventos de auditoría sobre los cambios de configuración aplicados al propio firewall.
Para más información sobre la normalización en Microsoft Sentinel, consulte Normalización y Modelo avanzado de información de seguridad (ASIM).
Importante
El esquema de normalización de eventos de auditoría está actualmente en versión preliminar pública. Esta característica se proporciona sin un Acuerdo de Nivel de Servicio. No es aconsejable para cargas de trabajo de producción.
En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Información general del esquema
Los campos principales de un evento de auditoría son:
- El objeto, que puede ser, por ejemplo, un recurso administrado o una regla de directiva, en la que el evento se centra, representado por el campo Object. El campo ObjectType especifica el tipo del objeto.
- Contexto de aplicación del objeto, representado por el campo TargetAppName, al que se aplica el alias Application.
- La operación realizada en el objeto, representada por los campos EventType y Operation. Aunque Operation es el valor notificado por el origen, EventType es una versión normalizada, que es más coherente entre orígenes.
- Los valores antiguos y nuevos del objeto, si procede, representados por OldValue y NewValue respectivamente.
Los eventos de auditoría también hacen referencia a las siguientes entidades, que están implicadas en la operación de configuración:
- Actor: el usuario que realiza la operación de configuración.
- TargetApp: la aplicación o sistema para el que se aplica la operación de configuración.
- Target: Sistema en el que se ejecuta TaregtApp*.
- ActingApp: la aplicación usada por el actor para realizar la operación de configuración.
- Src: el sistema utilizado por el actor para iniciar la operación de configuración, si es diferente de Target.
El descriptor Dvc se usa para el dispositivo de notificación, que es el sistema local de las sesiones notificadas por un punto de conexión, y el dispositivo intermedio o de seguridad en otros casos.
Analizadores
Implementación y uso de analizadores de eventos de auditoría
Los analizadores de eventos de auditoría de ASIM se implementan desde el repositorio de Microsoft Sentinel en GitHub. Para consultar todos los orígenes de los eventos de auditoría, use el analizador unificador imAuditEvent como nombre de tabla en la consulta.
Para más información sobre los analizadores de ASIM, consulte la introducción a los analizadores de ASIM. Para obtener la lista de analizadores de eventos de auditoría que proporciona Microsoft Sentinel "de fábrica", consulte la lista de analizadores de ASIM
Adición de sus propios analizadores normalizados
Al implementar analizadores personalizados para el modelo de información de eventos de archivos, asigne un nombre a las funciones KQL con la sintaxis siguiente: imAuditEvent<vendor><Product>. Consulte el artículo Administración de analizadores de ASIM para aprender a agregar los analizadores personalizados a los analizadores de unificación de los eventos de auditoría.
Filtrado de parámetros del analizador
Los analizadores de eventos de auditoría admiten parámetros de filtrado. Aunque estos parámetros son opcionales, pueden mejorar el rendimiento de las consultas.
Están disponibles los siguientes parámetros de filtrado:
| Nombre | Tipo | Descripción |
|---|---|---|
| starttime | datetime | Filtre solo aquellos eventos que se han ejecutado a esta hora, o después. Este parámetro usa el campo TimeGenerated como designador de hora del evento. |
| endtime | datetime | Filtre solo las consultas de eventos cuya ejecución ha finalizado a esta hora, o antes. Este parámetro usa el campo TimeGenerated como designador de hora del evento. |
| srcipaddr_has_any_prefix | dinámico | Filtre solo los eventos de esta dirección IP de origen, como se representa en el campo SrcIpAddr. |
| eventtype_in | string | Filtre solo los eventos en los que el tipo de evento, tal como se representa en el campo EventType, sea cualquiera de los términos proporcionados. |
| eventresult | string | Filtre solo los eventos cuyo resultado, tal como se representa en el campo EventResult, sea igual al valor del parámetro. |
| actorusername_has_any | dynamic/string | Filtre solo los eventos en los que ActorUsername incluya cualquiera de los términos especificados. |
| operation_has_any | dynamic/string | Filtre solo los eventos en los que el campo Operation incluya cualquiera de los términos especificados. |
| object_has_any | dynamic/string | Filtre solo los eventos en los que el campo Object incluya cualquiera de los términos especificados. |
| newvalue_has_any | dynamic/string | Filtre solo los eventos en los que el campo NewValue incluya cualquiera de los términos especificados. |
Algunos parámetros pueden aceptar la lista de valores de tipo dynamic o un único valor de cadena. Para pasar una lista literal a parámetros que esperan un valor dinámico, use explícitamente un literal dinámico. Por ejemplo: dynamic(['192.168.','10.'])
Por ejemplo, para filtrar solo los eventos de auditoría con los términos install o update en su campo Operation, desde el último día, use:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
Detalles del esquema
Campos comunes de ASIM
Importante
Los campos comunes a todos los esquemas se describen detalladamente en el artículo Campos comunes de ASIM.
Campos comunes con instrucciones específicas
En la lista siguiente se mencionan los campos que tienen directrices específicas para los eventos de auditoría:
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| EventType | Mandatory | Enumerated | Describe la operación auditada por el evento mediante un valor normalizado. Use EventSubType para proporcionar más detalles, que el valor normalizado no transmite, y Operation. para almacenar la operación según lo notificado por el dispositivo de notificación. Para los registros de eventos de auditoría, los valores permitidos son: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Other Los eventos de auditoría representan una gran variedad de operaciones y el valor Other habilita las operaciones de asignación que no tienen ningún EventType correspondiente. Sin embargo, el uso de Other limita la facilidad de uso del evento y debe evitarse, si es posible. |
| EventSubType | Opcionales | String | Proporciona detalles adicionales, que el valor normalizado en EventType no transmite. |
| EventSchema | Mandatory | String | El nombre del esquema que se documenta aquí es AuditEvent. |
| EventSchemaVersion | Mandatory | String | Versión del esquema. La versión del esquema que se documenta aquí es 0.1. |
Todos los campos comunes
Los campos que aparecen en la siguiente tabla son comunes a todos los esquemas de ASIM. Cualquiera de las directrices especificadas en este documento invalida las directrices generales del campo. Por ejemplo, un campo podría ser opcional en general, pero obligatorio para un esquema específico. Para obtener más información sobre cada campo, consulte el artículo Campos comunes de ASIM.
| Clase | Fields |
|---|---|
| Mandatory | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendado | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcionales | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campos de auditoría
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| Operación | Mandatory | String | La operación auditada según lo notificado por el dispositivo de informes. |
| Objeto | Mandatory | String | Nombre del objeto en el que se realiza la operación identificada por EventType. |
| ObjectType | Mandatory | Enumerated | Tipo de objeto. Los valores permitidos son: - Cloud Resource- Configuration Atom- Policy Rule- Otro |
| OldValue | Opcional | String | Valor anterior de Object antes de la operación, si procede. |
| NewValue | Opcionales | String | Nuevo valor de Object después de realizar la operación, si procede. |
| Valor | Alias | Alias de NewValue | |
| ValueType | Condicional | Enumerated | Tipo de los valores antiguos y nuevos. Los valores permitidos son - Otro |
Campos de actor
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| ActorUserId | Opcionales | String | Representación única, alfanumérica y legible del actor. Para más información y para conocer los campos alternativos para otros identificadores, consulte el apartado La entidad de usuario. Ejemplo: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Opcionales | String | El ámbito, como el nombre de dominio de Microsoft Entra, en el que se definen ActorUserId y ActorUsername. Para obtener más información y una lista de los valores permitidos, consulte UserScope en el artículo Introducción al esquema. |
| ActorScopeId | Opcionales | String | El identificador del ámbito, como el identificador de directorio de Microsoft Entra, en el que se definen ActorUserId y ActorUsername. Para más información y para ver una lista de los valores permitidos, consulte UserScopeId en el artículo Introducción al esquema. |
| ActorUserIdType | Condicional | UserIdType | Tipo del identificador almacenado en el campo ActorUserId. Para obtener más información y una lista de los valores permitidos, consulte UserIdType en el artículo Introducción al esquema. |
| ActorUsername | Recomendado | Nombre de usuario | Nombre de usuario del actor, incluida la información de dominio cuando esté disponible. Para obtener más información, consulte Entidad de usuario. Ejemplo: AlbertE |
| User | Alias | Alias a ActorUsername. | |
| ActorUsernameType | Condicional | UsernameType | Especifica el tipo de nombre de usuario almacenado en el campo ActorUsername. Para obtener más información y una lista de los valores permitidos, consulte UsernameType en el artículo Introducción al esquema. Ejemplo: Windows |
| ActorUserType | Opcionales | UserType | Tipo del actor. Para obtener más información y una lista de los valores permitidos, consulte UserType en el artículo Introducción al esquema. Por ejemplo: Guest |
| ActorOriginalUserType | Opcionales | UserType | Tipo de usuario indicado por el dispositivo de informes. |
| ActorSessionId | Opcional | String | Identificador único de la sesión de inicio de sesión del actor. Ejemplo: 102pTUgC3p8RIqHvzxLCHnFlg |
Campos de la aplicación de destino
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| TargetAppId | Opcional | String | Identificador de la aplicación a la que se aplica el evento, incluido un proceso, un explorador o un servicio. Ejemplo: 89162 |
| TargetAppName | Opcional | String | Nombre de la aplicación a la que se aplica el evento, incluido un servicio, una dirección URL o una aplicación SaaS. Ejemplo: Exchange 365 |
| Application | Alias | Alias de TargetAppName | |
| TargetAppType | Opcional | AppType | Tipo de la aplicación que se autoriza en nombre del actor. Para obtener más información y una lista de los valores permitidos, consulte AppType en el artículo Introducción al esquema. |
| TargetUrl | Opcional | Resolución | Dirección URL asociada a la aplicación de destino. Ejemplo: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
Campos del sistema de destino
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| Dst | Alias | String | Identificador único del destino de autenticación. Este campo puede crear un alias para los campos TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId o TargetAppName. Ejemplo: 192.168.12.1 |
| TargetHostname | Recomendado | Nombre de host | Nombre de host del dispositivo de destino, excepto la información de dominio. Ejemplo: DESKTOP-1282V4D |
| TargetDomain | Recomendado | String | Dominio del dispositivo de destino. Ejemplo: Contoso |
| TargetDomainType | Condicional | Enumerated | Tipo de TargetDomain. Para obtener más información y una lista de valores permitidos, consulte DomainType en el artículo Introducción al esquema. Obligatorio si se usa TargetDomain. |
| TargetFQDN | Opcional | String | Nombre de host del dispositivo de destino, incluida la información de dominio cuando esté disponible. Ejemplo: Contoso\DESKTOP-1282V4D Nota: Este campo admite tanto el formato de FQDN tradicional como el formato de dominio\nombre de host de Windows. TargetDomainType refleja el formato usado. |
| TargetDescription | Opcional | String | Texto descriptivo asociado al dispositivo. Por ejemplo: Primary Domain Controller. |
| TargetDvcId | Opcional | String | Identificador del dispositivo de destino. Si hay disponibles varios identificadores, use el más importante y almacene los demás en los campos TargetDvc<DvcIdType>. Ejemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Opcionales | String | Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. TargetDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| TargetDvcScope | Opcionales | String | Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. TargetDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| TargetDvcIdType | Condicional | Enumerated | Tipo de TargetDvcId. Para obtener más información y una lista de valores permitidos, consulte DvcIdType en el artículo Introducción al esquema. Obligatorio si se usa TargetDeviceId. |
| TargetDeviceType | Opcional | Enumerated | Tipo del dispositivo de destino. Para obtener más información y una lista de valores permitidos, consulte DeviceType en el artículo Introducción al esquema. |
| TargetIpAddr | Opcional | Dirección IP | Dirección IP del dispositivo de destino. Ejemplo: 2.2.2.2 |
| TargetDvcOs | Opcional | String | Sistema operativo del dispositivo de destino. Ejemplo: Windows 10 |
| TargetPortNumber | Opcional | Entero | Puerto del dispositivo de destino. |
Campos de aplicación en acción
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| ActingAppId | Opcional | String | Identificador de la aplicación que inició la actividad notificada, incluido un proceso, un explorador o un servicio. Por ejemplo: 0x12ae8 |
| ActiveAppName | Opcional | String | Nombre de la aplicación que inició la actividad notificada, incluido un servicio, una dirección URL o una aplicación SaaS. Por ejemplo: C:\Windows\System32\svchost.exe |
| ActingAppType | Opcional | AppType | Tipo de la aplicación que actúa. Para obtener más información y una lista de los valores permitidos, consulte AppType en el artículo Introducción al esquema. |
| HttpUserAgent | Opcional | String | Cuando se realiza la autenticación a través de HTTP o HTTPS, el valor de este campo es el encabezado HTTP user_agent proporcionado por la aplicación que actúa al realizar la autenticación. Por ejemplo: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Campos del sistema de origen
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| Src | Alias | String | Identificador único del dispositivo de destino. Este campo puede ser un alias de los campos SrcDvcId, SrcHostname o SrcIpAddr. Ejemplo: 192.168.12.1 |
| SrcIpAddr | Recomendado | Dirección IP | Dirección IP desde la que se originó la conexión o la sesión. Ejemplo: 77.138.103.108 |
| IpAddr | Alias | Alias de SrcIpAddr o TargetIpAddr si no se proporciona SrcIpAddr. | |
| SrcPortNumber | Opcional | Entero | Puerto IP desde el que se originó la conexión. Es posible que no sea importante en sesiones que contengan varias conexiones. Ejemplo: 2335 |
| SrcHostname | Recomendado | Nombre de host | Nombre de host del dispositivo de origen, excepto la información de dominio. Si no hay ningún nombre de dispositivo disponible, almacene la dirección IP correspondiente en este campo. Ejemplo: DESKTOP-1282V4D |
| SrcDomain | Recomendado | String | Dominio del dispositivo de origen. Ejemplo: Contoso |
| SrcDomainType | Condicional | DomainType | Tipo de SrcDomain. Para obtener más información y una lista de valores permitidos, consulte DomainType en el artículo Introducción al esquema. Obligatorio si se usa el campo SrcDomain. |
| SrcFQDN | Opcional | String | Nombre de host del dispositivo de origen, incluida la información de dominio cuando está disponible. Nota: Este campo admite tanto el formato de FQDN tradicional como el formato de dominio\nombre de host de Windows. El campo SrcDomainType refleja el formato usado. Ejemplo: Contoso\DESKTOP-1282V4D |
| SrcDescription | Opcionales | String | Texto descriptivo asociado al dispositivo. Por ejemplo: Primary Domain Controller. |
| SrcDvcId | Opcional | String | Identificador del dispositivo de origen. Si hay disponibles varios identificadores, use el más importante y almacene los demás en los campos SrcDvc<DvcIdType>.Ejemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcionales | String | Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. SrcDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcDvcScope | Opcionales | String | Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. SrcDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcDvcIdType | Condicional | DvcIdType | Tipo de SrcDvcId. Para obtener más información y una lista de valores permitidos, consulte DvcIdType en el artículo Introducción al esquema. Nota: Este campo es necesario si se usa el campo SrcDvcId. |
| SrcDeviceType | Opcionales | DeviceType | Tipo del dispositivo de origen. Para obtener más información y una lista de valores permitidos, consulte DeviceType en el artículo Introducción al esquema. |
| SrcSubscriptionId | Opcional | String | Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo de origen. SrcSubscriptionId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcGeoCountry | Opcionales | País | País asociado con la dirección IP de origen. Ejemplo: USA |
| SrcGeoRegion | Opcionales | Region | Región de un país asociado con la dirección IP de origen. Ejemplo: Vermont |
| SrcGeoCity | Opcionales | City (Ciudad) | Ciudad asociada con la dirección IP de origen. Ejemplo: Burlington |
| SrcGeoLatitude | Opcionales | Latitud | Latitud de la coordenada geográfica asociada con la dirección IP de origen. Ejemplo: 44.475833 |
| SrcGeoLongitude | Opcionales | Longitud | Longitud de la coordenada geográfica asociada con la dirección IP de origen. Ejemplo: 73.211944 |
Campos de inspección
Los siguientes campos se usan para representar esa inspección realizada por un sistema de seguridad.
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| RuleName | Opcionales | String | Nombre o identificador de la regla asociado a los resultados de la inspección. |
| RuleNumber | Opcional | Entero | Número de la regla asociado a los resultados de la inspección. |
| Regla | Alias | String | El valor de RuleName o el valor de RuleNumber. Si se usa el valor de RuleNumber, el tipo se debe convertir en cadena. |
| ThreatId | Opcional | String | Identificador de la amenaza o del malware identificados en la actividad de auditoría. |
| ThreatName | Opcional | String | Nombre de la amenaza o del malware identificados en la actividad de auditoría. |
| ThreatCategory | Opcional | String | Categoría de la amenaza o del malware identificados en la actividad del archivo de auditoría. |
| ThreatRiskLevel | Opcional | Entero | Nivel de riesgo asociado a la amenaza identificada. El nivel debe ser un número entre 0 y 100. Nota: El valor se puede proporcionar en el registro de origen mediante una escala diferente, que se debe normalizar a esta. El valor original debe almacenarse en el campo ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcionales | String | Nivel de riesgo indicado por el dispositivo de informes. |
| ThreatConfidence | Opcional | Entero | Nivel de confianza de la amenaza identificada, normalizada en un valor comprendido entre 0 y 100. |
| ThreatOriginalConfidence | Opcionales | String | El nivel de confianza original de la amenaza identificada, tal como lo notifica el dispositivo que informa. |
| ThreatIsActive | Opcionales | Boolean | True si la amenaza identificada se considera una amenaza activa. |
| ThreatFirstReportedTime | Opcionales | datetime | La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| ThreatLastReportedTime | Opcionales | datetime | La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| ThreatIpAddr | Opcionales | Dirección IP | Dirección IP para la que se identificó una amenaza. El campo ThreatField contiene el nombre del campo ThreatIpAddr que representa. |
| ThreatField | Opcionales | Enumerated | Campo para el que se identificó una amenaza. El valor es SrcIpAddr o TargetIpAddr. |
Pasos siguientes
Para más información, consulte:
- El seminario web de ASIM o las diapositivas
- Introducción al Modelo avanzado de información de seguridad (ASIM)
- Esquemas del Modelo avanzado de información de seguridad (ASIM)
- Analizadores del Modelo avanzado de información de seguridad (ASIM)
- Contenido del Modelo avanzado de información de seguridad (ASIM)