Referencia de campos de esquema comunes del Modelo de información de seguridad avanzada (ASIM): versión preliminar

  • Artículo

Algunos campos son comunes a todos los esquemas de ASIM. Cada esquema puede agregar directrices para usar algunos de los campos comunes en el contexto del esquema específico. Por ejemplo, los valores permitidos del campo EventType pueden variar según el esquema, al igual que el valor del campo EventSchemaVersion.

Campos estándar de Log Analytics

Log Analytics genera los campos siguientes, en la mayoría de los casos para cada registro. Se pueden invalidar al crear un conector personalizado.

Campo Tipo Debate
TimeGenerated datetime Hora a la que el dispositivo de informes generó el evento.
Tipo String Tabla original de la que se ha obtenido el registro. Este campo es útil cuando un mismo evento se puede recibir mediante varios canales en tablas diferentes y tener los mismos valores EventVendor y EventProduct.

Por ejemplo, un evento Sysmon se puede recopilar en la tabla Evento en la tabla WindowsEvent.

Nota

Log Analytics también agrega otros campos que son menos pertinentes para los casos de uso de seguridad. Para obtener más información, consulte Columnas estándar en registros de Azure Monitor.

Campos comunes de ASIM

ASIM define los siguientes campos para todos los esquemas:

Campos del evento

Campo Clase Tipo Descripción
EventMessage Opcionales String Mensaje o descripción general, incluidos en el registro o generados a partir de este.
EventCount Mandatory Entero Número de eventos descritos por el registro.

Este valor se usa cuando el origen admite agregación y un único registro puede representar varios eventos.

En el caso de otros orígenes, establezca el valor en 1.
EventStartTime Mandatory Fecha y hora Hora a la que se inició el evento. Si el origen admite agregación y el registro representa varios eventos, la hora a la que se generó el primer evento. Si no lo proporciona el registro de origen, este campo es un alias del campo TimeGenerated.
EventEndTime Mandatory Fecha y hora Hora a la que finalizó el evento. Si el origen admite agregación y el registro representa varios eventos, la hora a la que se generó el último evento. Si no lo proporciona el registro de origen, este campo es un alias del campo TimeGenerated.
EventType Mandatory Enumerated Describe la operación notificada por el registro. Cada esquema documenta la lista de valores válidos para este campo. El valor original, específico del origen, se almacena en el campo EventOriginalType.
EventSubType Opcionales Enumerated Describe una subdivisión de la operación notificada en el campo EventType. Cada esquema documenta la lista de valores válidos para este campo. El valor original, específico del origen, se almacena en el campo EventOriginalSubType.
EventResult Mandatory Enumerated Uno de los siguientes valores: Correcto, Parcial, Error o NA (No aplicable).

El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. Además, el origen puede proporcionar solo el campo EventResultDetails, que se debe analizar para obtener el valor EventResult.

Ejemplo: Success
EventResultDetails Recomendado Enumerated Motivo o detalles del resultado notificado en el campo EventResult. Cada esquema documenta la lista de valores válidos para este campo. El valor original, específico del origen, se almacena en el campo EventOriginalResultDetails.

Ejemplo: NXDOMAIN
EventUid Recomendado String Identificador único del registro, tal como lo asigna Microsoft Sentinel. Normalmente, este campo se asigna al campo _ItemId de Log Analytics.
EventOriginalUid Opcionales String Id. único del registro original, si lo proporciona el origen.

Ejemplo: 69f37748-ddcd-4331-bf0f-b137f1ea83b
EventOriginalType Opcional String Tipo o Id. del evento original, si lo proporciona el origen. Por ejemplo, este campo se usa para almacenar el Id. de evento Windows original. Este valor se usa para derivar EventType, que solo debe tener uno de los valores documentados para cada esquema.

Ejemplo: 4624
EventOriginalSubType Opcional String El subtipo o identificador del evento original, si lo proporciona el origen. Por ejemplo, este campo se usa para almacenar el tipo de inicio de sesión de Windows original. Este valor se usa para derivar EventSubType, que solo debe tener uno de los valores documentados para cada esquema.

Ejemplo: 2
EventOriginalResultDetails Opcional String Detalles del resultado original proporcionados por el origen. Este valor se usa para derivar EventResultDetails, que solo debe tener uno de los valores documentados para cada esquema.
EventSeverity Recomendado Enumerated La gravedad del evento. Los valores válidos son Informational, Low, Medium o High.
EventOriginalSeverity Opcional String La gravedad del original, como se especifica en el dispositivo de informes. Este valor se usa para derivar EventSeverity.
EventProduct Mandatory String Producto que genera el evento. El valor debe ser uno de los valores enumerados en Proveedores y productos.

Ejemplo: Sysmon
EventProductVersion Opcionales String Versión del producto que genera el evento.

Ejemplo: 12.1
EventVendor Mandatory String Proveedor del producto que genera el evento. El valor debe ser uno de los valores enumerados en Proveedores y productos.

Ejemplo: Microsoft

EventSchema Mandatory String Esquema para el que se normaliza el evento. Cada esquema documenta su nombre de esquema.
EventSchemaVersion Mandatory String Versión del esquema. Cada esquema documenta su versión actual.
EventReportUrl Opcionales String Dirección URL proporcionada en el evento para un recurso que ofrece más información sobre el evento.
EventOwner Opcional String Es el propietario del evento, que suele ser el departamento o subsidiario en el que se generó.

Campos de dispositivo

El rol de los campos de dispositivo es diferente para los distintos esquemas y tipos de eventos. Por ejemplo:

  • Para los eventos de sesión de red, los campos de dispositivo suelen proporcionar información sobre el dispositivo que generó el evento.
  • En el caso de los eventos de proceso, los campos de dispositivo proporcionan información sobre el dispositivo en el que se ejecuta el proceso.

Cada documento de esquema especifica el rol del dispositivo en el esquema.

Campo Clase Tipo Descripción
Dvc Alias String Un identificador único del dispositivo en el que se produjo el evento o que informó del evento, según el esquema.

Este campo puede ser un alias de los campos DvcFQDN, DvcId, DvcHostname o DvcIpAddr. En el caso de orígenes en la nube, para los que no hay ningún dispositivo aparente, use el valor del campo EventProduct.
DvcIpAddr Recomendado Dirección IP La dirección IP del dispositivo en el que se produjo el evento o que informó del evento, según el esquema.

Ejemplo: 45.21.42.12
DvcHostname Recomendado Nombre de host El nombre de host del dispositivo en el que se produjo el evento o que informó del evento, según el esquema.

Ejemplo: ContosoDc
DvcDomain Recomendado String El dominio del dispositivo en el que se produjo el evento o que informó del evento, según el esquema.

Ejemplo: Contoso
DvcDomainType Condicional Enumerated Tipo de DvcDomain. Para obtener una lista de valores permitidos e información adicional, consulte DomainType.

Nota: Este campo es necesario si se usa el campo DvcDomain.
DvcFQDN Opcional String El nombre de host del dispositivo en el que se produjo el evento o que informó del evento, según el esquema.

Ejemplo: Contoso\DESKTOP-1282V4D

Nota: Este campo admite tanto el formato de FQDN tradicional como el formato de dominio\nombre de host de Windows. El campo DvcDomainType refleja el formato utilizado.
DvcDescription Opcionales String Texto descriptivo asociado al dispositivo. Por ejemplo: Primary Domain Controller.
DvcId Opcional String El identificador único del dispositivo en el que se produjo el evento o que informó del evento, según el esquema.

Ejemplo: 41502da5-21b7-48ec-81c9-baeea8d7d669
DvcIdType Condicional Enumerated Tipo de DvcId. Para obtener una lista de valores permitidos e información adicional, consulte DvcIdType.
- MDEid

Si hay varios identificadores disponibles, use el primero de la lista y almacene los demás con los nombres de campo DvcAzureResourceId y DvcMDEid, respectivamente.

Nota: Este campo es necesario si se usa el campo DvcId.
DvcMacAddr Opcionales MAC La dirección MAC del dispositivo en el que se produjo el evento o que informó del evento.

Ejemplo: 00:1B:44:11:3A:B7
DvcZone Opcionales String La red en la que se produjo el evento o en la que se informó del evento, según el esquema. El dispositivo de informes define la zona.

Ejemplo: Dmz
DvcOs Opcionales String El sistema operativo que se utiliza en el dispositivo en el que se produjo el evento o que informó del evento.

Ejemplo: Windows
DvcOsVersion Opcionales String La versión del sistema operativo del dispositivo en el que se produjo el evento o que informó del evento.

Ejemplo: 10
DvcAction Recomendado String Para los sistemas de seguridad de informes, la acción realizada por el sistema, si procede.

Ejemplo: Blocked
DvcOriginalAction Opcional String El valor original de DvcAction, como se proporciona en el dispositivo de informes.
DvcInterface Opcional String Interfaz de red en la que se capturaron los datos. Este campo suele ser pertinente para la actividad relacionada con la red, que captura un dispositivo intermedio o de derivación.
DvcScopeId Opcionales String Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. DvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
DvcScope Opcionales String Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. DvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.

Otros campos

Campo Clase Tipo Descripción
AdditionalFields Opcionales Dinámica Si el origen proporciona información adicional que merece la pena preservar, consérvela con los nombres de campo originales o cree el campo dinámico AdditionalFields y agréguele la información adicional como pares clave-valor.
ASimMatchingIpAddr Recomendado String Cuando un analizador usa los parámetros de filtrado ipaddr_has_any_prefix, este campo se establece con uno de los valores SrcIpAddr, DstIpAddr o Both para reflejar los campos o los campos coincidentes.
ASimMatchingHostname Recomendado String Cuando un analizador usa los parámetros de filtrado hostname_has_any, este campo se establece con uno de los valores SrcHostname, DstHostname o Both para reflejar los campos o los campos coincidentes.

Actualizaciones del esquema

  • El campo EventOwner se ha agregado a los campos comunes el 1 de diciembre de 2022 y, por tanto, a todos los esquemas.
  • El campo EventUid se ha agregado a los campos comunes el 26 de diciembre de 2022 y, por tanto, a todos los esquemas.

Proveedores y productos

Para mantener la coherencia, la lista de proveedores y productos permitidos se establece como parte de ASIM y puede que no se corresponda directamente con el valor enviado por el origen, cuando esté disponible.

La lista admitida actualmente de proveedores y productos usados en los campos EventVendor y EventProduct respectivamente es:

Vendor Productos
AWS - CloudTrail
- VPC
Cisco - ASA
- Umbrella
- IOS
- Meraki
Corelight Zeek
Cynerio Cynerio
Dataminr Dataminr Pulse
GCP Cloud DNS
Infoblox NIOS
Microsoft - Microsoft Entra ID
- Azure
- Azure Firewall
- Azure Blob Storage
- Azure File Storage
- Azure NSG flows
- Azure Queue Storage
- Azure Table Storage
- DNS Server
- Microsoft Defender XDR for Endpoint
- Microsoft Defender for IoT
- Security Events
- SharePoint
- OneDrive
- Sysmon
- Sysmon for Linux
- VMConnection
- Windows Firewall
- WireData
Linux - su
- sudo
Okta - Okta
- Auth0
OpenBSD OpenSSH
Palo Alto - PanOS
- CDL
PostgreSQL PostgreSQL
Squid Squid Proxy
Vectra AI Vectra Steam
WatchGuard Fireware
Zscaler - ZIA DNS
- ZIA Firewall
- ZIA Proxy

Si está desarrollando un analizador para un proveedor o un producto que no aparece aquí, póngase en contacto con el equipo de Microsoft Sentinel para asignar un nuevo proveedor y designadores de productos permitidos.

Pasos siguientes

Para más información, consulte: