Partekatu honen bidez:


Referencia del esquema de normalización de eventos de archivo del Modelo de información de seguridad avanzada (ASIM): versión preliminar pública

El esquema de normalización de eventos de archivos se usa para describir la actividad de los archivos, como la creación, modificación o eliminación de archivos o documentos. Los sistemas operativos, los sistemas de almacenamiento de archivos como Azure Files y los sistemas de administración de documentos como Microsoft SharePoint notifican estos eventos.

Para más información sobre la normalización en Microsoft Sentinel, consulte Normalización y Modelo avanzado de información de seguridad (ASIM).

Importante

El esquema de normalización de eventos de archivos está actualmente en VERSIÓN PRELIMINAR PÚBLICA. Esta característica se ofrece sin contrato de nivel de servicio y no se recomienda para cargas de trabajo de producción.

En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Analizadores

Implementación y uso de analizadores de actividad de archivos

Implemente los analizadores de actividad de archivos ASIM desde el repositorio de Microsoft Sentinel en GitHub. Para consultar todos los orígenes de actividad de archivos, use el analizador unificador imFileEvent como nombre de tabla en la consulta.

Para más información sobre los analizadores de ASIM, consulte la introducción a los analizadores de ASIM. Para obtener la lista de analizadores de actividad de archivo que proporciona Microsoft Sentinel, consulte la lista de analizadores de ASIM

Adición de sus propios analizadores normalizados

Al implementar analizadores personalizados para el modelo de información de eventos de archivos, asigne un nombre a las funciones KQL con la sintaxis siguiente: imFileEvent<vendor><Product.

Consulte el artículo Administración de analizadores de ASIM para obtener información sobre cómo agregar los analizadores personalizados a los analizadores de unificación de la actividad de archivos.

Contenido normalizado

Para obtener una lista completa de las reglas de análisis que usan eventos normalizados de actividad de archivos, vea Contenido de seguridad de la actividad del archivo.

Información general del esquema

El modelo de información de eventos de archivos está alineado con el esquema de entidades de proceso de OSSEM.

El esquema de eventos de archivos hace referencia a las entidades siguientes, que son fundamentales para las actividades de archivos:

  • Actor. Usuario que inició la actividad de archivos.
  • ActingProcess. Proceso utilizado por el actor para iniciar la actividad de archivos.
  • TargetFile. Archivo en el que se realizó la operación.
  • Archivo de origen (SrcFile) . Almacena información del archivo antes de la operación.

La relación entre estas entidades se muestra mejor de la siguiente manera: un actor realiza una operación de archivos mediante un proceso de acción que modifica el archivo de origen para crear el archivo de destino.

Por ejemplo: JohnDoe (actor) utiliza Windows File Explorer (proceso de acción) para cambiar el nombre del archivo new.doc (archivo de origen) a old.doc (archivo de destino).

Detalles del esquema

Campos comunes

Importante

Los campos comunes a todos los esquemas se describen detalladamente en el artículo Campos comunes de ASIM.

Campos con directrices específicas para el esquema de eventos de archivo

La lista siguiente solo enumera los campos que tienen directrices específicas para los eventos de actividad de archivo.

Campo Clase Tipo Descripción
EventType Mandatory Enumerated Describe la operación notificada por el registro.

Los valores admitidos incluyen ,

- FileAccessed
- FileCreated
- FileModified
- FileDeleted
- FileRenamed
- FileCopied
- FileMoved
- FolderCreated
- FolderDeleted
- FolderMoved
- FolderModified
- FileCreatedOrModified
EventSubType Opcionales Enumerated Describe los detalles sobre la operación notificada en EventType. Los valores admitidos por tipo de evento incluyen:
- FileCreated - Upload, Checkin
- FileModified - Checkin
- FileCreatedOrModified - Checkin
- FileAccessed - Download, Preview, , Checkout, Extended
- FileDeleted - Recycled, , Versions, Site
EventSchema Mandatory String El nombre del esquema que se documenta aquí es FileEvent.
EventSchemaVersion Mandatory String Versión del esquema. La versión del esquema que se documenta aquí el la versión 0.2.1.
Campos dvc - - Para los eventos de actividad de archivo, los campos de dispositivo hacen referencia al sistema en el que se produjo la actividad de archivo.

Importante

El campo EventSchema es actualmente opcional, pero será obligatorio a partir del 1 de septiembre de 2022.

Todos los campos comunes

Los campos que aparecen en la siguiente tabla son comunes a todos los esquemas de ASIM. Cualquiera de las directrices específicas del esquema de este documento invalida las directrices generales del campo. Por ejemplo, un campo podría ser opcional en general, pero obligatorio para un esquema específico. Para obtener más información sobre cada campo, consulte el artículo Campos comunes de ASIM.

Clase Fields
Mandatory - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Recomendado - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Opcionales - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

Campos de archivo de destino

Los campos siguientes representan información sobre el archivo de destino en una operación de archivo. Si la operación implica un único archivo, FileCreate por ejemplo, se representa mediante los campos de archivo de destino.

Campo Clase Tipo Descripción
TargetFileCreationTime Opcionales Fecha y hora Hora en la que se creó el archivo de origen.
TargetFileDirectory Opcional String Carpeta o ubicación del archivo de destino. Este campo debe ser similar al campo TargetFilePath, sin el elemento final.

Nota: Un analizador puede proporcionar este valor si el valor está disponible en el origen del registro y no es necesario extraerlo de la ruta de acceso completa.
TargetFileExtension Opcional String Extensión del archivo de destino.

Nota: Un analizador puede proporcionar este valor si el valor está disponible en el origen del registro y no es necesario extraerlo de la ruta de acceso completa.
TargetFileMimeType Opcionales Enumerated Tipo Mime o tipo de elemento multimedia del archivo de destino. Los valores permitidos se enumeran en el repositorio de tipos de elementos multimedia de IANA.
TargetFileName Recomendado String Nombre del archivo de destino, sin una ruta de acceso o una ubicación, pero con una extensión si procede. Este campo debe ser similar al elemento final del campo TargetFilePath.
FileName Alias Alias para el campo TargetFileName.
TargetFilePath Mandatory String Ruta de acceso completa y normalizada del archivo de destino, incluida la carpeta o ubicación, el nombre de archivo y la extensión. Para más información, consulte Estructura de la ruta de acceso.

Nota: Si el registro no incluye información de carpeta o ubicación, almacene solo el nombre de archivo aquí.

Ejemplo: C:\Windows\System32\notepad.exe
TargetFilePathType Mandatory Enumerated Tipo del campo TargetFilePath. Para más información, consulte Estructura de la ruta de acceso.
FilePath Alias Alias del campo TargetFilePath.
TargetFileMD5 Opcionales MD5 Hash MD5 del archivo de destino.

Ejemplo: 75a599802f1fa166cdadb360960b1dd0
TargetFileSHA1 Opcionales SHA1 Hash SHA-1 del archivo de destino.

Ejemplo:
d55c5a4df19b46db8c54
c801c4665d3338acdab0
TargetFileSHA256 Opcionales SHA256 Hash SHA-256 del archivo de destino.

Ejemplo:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
TargetFileSHA512 Opcionales SHA512 Hash SHA-512 del archivo de origen.
Hash Alias Alias del mejor hash de archivo de destino disponible.
HashType Recomendado String El tipo de hash almacenado en el campo de alias HASH, los valores permitidos son MD5, SHA, SHA256SHA512 y IMPHASH. Obligatorio si se rellena Hash.
TargetFileSize Opcional long Tamaño del archivo de destino en bytes.

Campos de archivo de origen

Los campos siguientes representan información sobre el archivo de origen en una operación de archivo que tiene un origen y un destino, como la copia. Si la operación implica un único archivo, se representa mediante los campos de archivo de destino.

Campo Clase Tipo Descripción
SrcFileCreationTime Opcionales Fecha y hora Hora a la que se creó el archivo de origen.
SrcFileDirectory Opcional String Carpeta o ubicación del archivo de origen. Este campo debe ser similar al campo SrcFilePath, sin el elemento final.

Nota: Un analizador puede proporcionar este valor si el valor está disponible en el origen del registro y no es necesario extraerlo de la ruta de acceso completa.
SrcFileExtension Opcional String Extensión del archivo de origen.

Nota: Un analizador puede proporcionar este valor si el valor está disponible en el origen del registro y no es necesario extraerlo de la ruta de acceso completa.
SrcFileMimeType Opcionales Enumerated Tipo Mime o tipo de elemento multimedia del archivo de origen. Los valores admitidos se enumeran en el repositorio de tipos de elementos multimedia de IANA.
SrcFileName Recomendado String Nombre del archivo de origen, sin una ruta de acceso o una ubicación, pero con una extensión si procede. Este campo debe ser similar al último elemento del campo SrcFilePath.
SrcFilePath Recomendado String Ruta de acceso completa y normalizada del archivo de origen, incluida la carpeta o ubicación, el nombre de archivo y la extensión.

Para más información, consulte Estructura de la ruta de acceso.

Ejemplo: /etc/init.d/networking
SrcFilePathType Recomendado Enumerated Tipo del campo SrcFilePath. Para más información, consulte Estructura de la ruta de acceso.
SrcFileMD5 Opcionales MD5 Hash MD5 del archivo de origen.

Ejemplo: 75a599802f1fa166cdadb360960b1dd0
SrcFileSHA1 Opcionales SHA1 Hash SHA-1 del archivo de origen.

Ejemplo:
d55c5a4df19b46db8c54
c801c4665d3338acdab0
SrcFileSHA256 Opcionales SHA256 Hash SHA-256 del archivo de origen.

Ejemplo:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
SrcFileSHA512 Opcionales SHA512 Hash SHA-512 del archivo de origen.
SrcFileSize Opcional long Tamaño del archivo de origen en bytes.

Campos de actor

Campo Clase Tipo Descripción
ActorUserId Recomendado String Representación única, alfanumérica y legible del actor. Para obtener el formato admitido para los distintos tipos de identificador, consulte Entidad Usuario.

Ejemplo: S-1-12
ActorScope Opcionales String El ámbito, como el inquilino de Microsoft Entra, en el que se definen ActorUserId y ActorUsername. Para obtener más información y una lista de los valores permitidos, consulte UserScope en el artículo Introducción al esquema.
ActorScopeId Opcionales String El identificador del ámbito, como el identificador de directorio de Microsoft Entra, en el que se definen ActorUserId y ActorUsername. Para más información y una lista de los valores permitidos, consulte UserScopeId en el artículo Introducción al esquema.
ActorUserIdType Condicional String Tipo del identificador almacenado en el campo ActorUserId. Para obtener más información y una lista de valores permitidos, consulte UserIdType en el artículo Introducción al esquema.
ActorUsername Mandatory String Nombre de usuario del actor, incluida la información de dominio cuando esté disponible. Para obtener el formato admitido para los distintos tipos de identificador, consulte Entidad Usuario. Use este formato simple solo si no hay disponible información de dominio.

Almacene el tipo de nombre de usuario en el campo ActorUsernameType. Si hay disponibles otros formatos de nombre de usuario, almacénelos en los campos ActorUsername<UsernameType>.

Ejemplo: AlbertE
User Alias Alias del campo ActorUsername.

Ejemplo: CONTOSO\dadmin
ActorUsernameType Condicional Enumerated Especifica el tipo de nombre de usuario almacenado en el campo ActorUsername. Para obtener más información y una lista de valores permitidos, consulte UsernameType en el artículo Introducción al esquema.

Ejemplo: Windows
ActorSessionId Opcional String Identificador único de la sesión de inicio de sesión de Actor.

Ejemplo: 999

Nota: El tipo se define como cadena para admitir distintos sistemas, pero en Windows este valor debe ser numérico.

Si usa una máquina Windows y ha usado un tipo diferente, asegúrese de convertir los valores. Por ejemplo, si ha utilizado un valor hexadecimal, conviértalo en un valor decimal.
ActorUserType Opcionales UserType Tipo de actor. Para obtener más información y una lista de valores permitidos, consulte UserType en el artículo Introducción al esquema.

Nota: El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. Almacene el valor original en el campo ActorOriginalUserType.
ActorOriginalUserType Opcional String El tipo de usuario de destino original, si lo proporciona el dispositivo de informes.

Campos de procesos de actuación

Campo Clase Tipo Descripción
ActingProcessCommandLine Opcional String Línea de comandos utilizada para ejecutar el proceso de acción.

Ejemplo: "choco.exe" -v
ActingProcessName Opcional string Nombre del proceso de acción. Este nombre se deriva normalmente de la imagen o del archivo ejecutable que se usa para definir el código inicial y los datos asignados al espacio de direcciones virtuales del proceso.

Ejemplo: C:\Windows\explorer.exe
Process Alias Alias de ActingProcessName
ActingProcessId Opcionales String Identificador de proceso (PID) del proceso de acción.

Ejemplo: 48610176

Nota: El tipo se define como cadena para admitir distintos sistemas, pero en Windows y Linux este valor debe ser numérico.

Si usa una máquina Windows o Linux y usa un tipo diferente, asegúrese de convertir los valores. Por ejemplo, si ha utilizado un valor hexadecimal, conviértalo en un valor decimal.
ActingProcessGuid Opcional string Identificador único (GUID) generado del proceso de acción. Permite identificar el proceso entre sistemas.

Ejemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00

Los campos siguientes representan información sobre el sistema que inicia la actividad del archivo, normalmente cuando se transfiere a través de la red.

Campo Clase Tipo Descripción
SrcIpAddr Recomendado Dirección IP Cuando un sistema remoto inicia la operación, representa la dirección IP de este sistema.

Ejemplo: 185.175.35.214
IpAddr Alias Alias de SrcIpAddr
Src Alias Alias de SrcIpAddr
SrcPortNumber Opcional Entero Cuando un sistema remoto inicia la operación, el número de puerto desde el que se inició la conexión.

Ejemplo: 2335
SrcHostname Recomendado Nombre de host Nombre de host del dispositivo de origen, excepto la información de dominio. Si no hay ningún nombre de dispositivo disponible, almacene la dirección IP correspondiente en este campo.

Ejemplo: DESKTOP-1282V4D
SrcDomain Recomendado String Dominio del dispositivo de origen.

Ejemplo: Contoso
SrcDomainType Condicional DomainType Tipo de SrcDomain. Para obtener más información y una lista de valores permitidos, consulte DomainType en el artículo Introducción al esquema.

Obligatorio si se usa el campo SrcDomain.
SrcFQDN Opcional String Nombre de host del dispositivo de origen, incluida la información de dominio cuando está disponible.

Nota: Este campo admite tanto el formato de FQDN tradicional como el formato de dominio\nombre de host de Windows. El campo SrcDomainType refleja el formato usado.

Ejemplo: Contoso\DESKTOP-1282V4D
SrcDescription Opcionales String Texto descriptivo asociado al dispositivo. Por ejemplo: Primary Domain Controller.
SrcDvcId Opcional String Identificador del dispositivo de origen. Si hay disponibles varios identificadores, use el más importante y almacene los demás en los campos SrcDvc<DvcIdType>.

Ejemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId Opcionales String Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. SrcDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
SrcDvcScope Opcionales String Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. SrcDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
SrcDvcIdType Condicional DvcIdType Tipo de SrcDvcId. Para obtener más información y una lista de valores permitidos, consulte DvcIdType en el artículo Introducción al esquema.

Nota: Este campo es necesario si se usa el campo SrcDvcId.
SrcDeviceType Opcionales DeviceType Tipo del dispositivo de origen. Para obtener más información y una lista de valores permitidos, consulte DeviceType en el artículo Introducción al esquema.
SrcSubscriptionId Opcional String Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo de origen. SrcSubscriptionId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
SrcGeoCountry Opcionales País País asociado con la dirección IP de origen.

Ejemplo: USA
SrcGeoRegion Opcionales Region Región asociada con la dirección IP de origen.

Ejemplo: Vermont
SrcGeoCity Opcionales City (Ciudad) Ciudad asociada con la dirección IP de origen.

Ejemplo: Burlington
SrcGeoLatitude Opcionales Latitud Latitud de la coordenada geográfica asociada con la dirección IP de origen.

Ejemplo: 44.475833
SrcGeoLongitude Opcionales Longitud Longitud de la coordenada geográfica asociada con la dirección IP de origen.

Ejemplo: 73.211944

Los siguientes campos representan información sobre la sesión de red cuando la actividad del archivo se transfiere a través de la red.

Campo Clase Tipo Descripción
HttpUserAgent Opcional String Cuando un sistema remoto inicia la operación mediante HTTP o HTTPS, representa el agente de usuario utilizado.

Por ejemplo:
Mozilla/5.0 (Windows NT 10.0; Win64; x64)
AppleWebKit/537.36 (KHTML, like Gecko)
Chrome/42.0.2311.135
Safari/537.36 Edge/12.246
NetworkApplicationProtocol Opcional String Cuando un sistema remoto inicia la operación, este valor es el protocolo de capa de aplicación que se usa en el modelo OSI.

Aunque este no es un campo enumerado y se acepta cualquier valor, los valores preferibles son los siguientes: HTTP, HTTPS, SMB, FTP y SSH.

Ejemplo: SMB

Campos de la aplicación de destino

Los campos siguientes representan información sobre la aplicación de destino que realiza la actividad del archivo en nombre del usuario. Normalmente, una aplicación de destino está relacionada con la actividad del archivos a través de la red, por ejemplo, mediante aplicaciones Saas (software como servicio).

Campo Clase Tipo Descripción
TargetAppName Opcional String Nombre de la aplicación de destino.

Ejemplo: Facebook
Application Alias Alias de TargetAppName
TargetAppId Opcional String Identificador de la aplicación de destino, como se indica en el dispositivo de informes.
TargetAppType Opcional AppType Tipo de la aplicación de destino. Para obtener más información y una lista de valores permitidos, consulte AppType en el artículo Introducción al esquema.

Este campo es obligatorio si se usan TargetAppName o TargetAppId.
TargetUrl Opcional String Cuando la operación se inicia mediante HTTP o HTTPS, se usa la dirección URL.

Ejemplo: https://onedrive.live.com/?authkey=...
Url Alias Alias de TargetUrl

Campos de inspección

Los siguientes campos se usan para representar esa inspección realizada por un sistema de seguridad como un sistema antivirus. El subproceso identificado normalmente está asociado al archivo en el que se realizó la actividad en lugar de a la propia actividad.

Campo Clase Tipo Descripción
RuleName Opcionales String Nombre o identificador de la regla asociado a los resultados de la inspección.
RuleNumber Opcional Entero Número de la regla asociado a los resultados de la inspección.
Regla Condicional String El valor de kRuleName o el valor de RuleNumber. Si se usa el valor de RuleNumber, el tipo se debe convertir en cadena.
ThreatId Opcional String Identificador de la amenaza o del malware identificados en la actividad del archivo.
ThreatName Opcional String Nombre de la amenaza o del malware identificados en la actividad del archivo.

Ejemplo: EICAR Test File
ThreatCategory Opcional String Categoría de la amenaza o del malware identificados en la actividad del archivo.

Ejemplo: Trojan
ThreatRiskLevel Opcional Entero Nivel de riesgo asociado a la amenaza identificada. El nivel debe ser un número entre 0 y 100.

Nota: El valor se puede proporcionar en el registro de origen mediante una escala diferente, que se debe normalizar a esta. El valor original debe almacenarse en el campo ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel Opcionales String Nivel de riesgo indicado por el dispositivo de informes.
ThreatFilePath Opcionales String Ruta de acceso del archivo para el que se identificó una amenaza. El campo ThreatField contiene el nombre del campo ThreatFilePath que representa.
ThreatField Opcionales Enumerated Campo para el que se identificó una amenaza. El valor es SrcFilePath o DstFilePath.
ThreatConfidence Opcional Entero Nivel de confianza de la amenaza identificada, normalizada en un valor comprendido entre 0 y 100.
ThreatOriginalConfidence Opcionales String El nivel de confianza original de la amenaza identificada, tal como lo notifica el dispositivo que informa.
ThreatIsActive Opcionales Boolean True si la amenaza identificada se considera una amenaza activa.
ThreatFirstReportedTime Opcionales datetime La primera vez que la dirección IP o el dominio se identificaron como una amenaza.
ThreatLastReportedTime Opcionales datetime La primera vez que la dirección IP o el dominio se identificaron como una amenaza.

Estructura de la ruta de acceso

La ruta de acceso se debe normalizar para que coincida con uno de los siguientes formatos. El formato al que se normaliza el valor se reflejará en el campo FilePathType correspondiente.

Tipo Ejemplo Notas
Windows local C:\Windows\System32\notepad.exe Puesto que los nombres de ruta de acceso en Windows no tienen en cuenta las mayúsculas y minúsculas, este tipo implica que el valor no tiene en cuenta las mayúsculas y minúsculas.
Recurso compartido de Windows \\Documents\My Shapes\Favorites.vssx Puesto que los nombres de ruta de acceso en Windows no tienen en cuenta las mayúsculas y minúsculas, este tipo implica que el valor no tiene en cuenta las mayúsculas y minúsculas.
Unix /etc/init.d/networking Puesto que los nombres de ruta de acceso de Unix distinguen mayúsculas de minúsculas, este tipo implica que el valor también lo haga.

- Use este tipo para AWS S3. Concatene el cubo y los nombres de clave para crear la ruta de acceso.

- Use este tipo para las claves de objeto de Azure Blob Storage.
URL https://1drv.ms/p/s!Av04S_*********we Utilícelo cuando la ruta de acceso del archivo esté disponible como una dirección URL. Las direcciones URL no se limitan a http o https; cualquier valor, incluido un valor FTP, es válido.

Actualizaciones del esquema

Estos son los cambios en la versión 0.1.1 del esquema:

  • Se ha agregado el campo EventSchema.

Hay cambios en la versión 0.2 del esquema:

  • Se han agregado campos de inspección.
  • Se han agregado los campos ActorScope, TargetUserScope, HashType, TargetAppName, TargetAppId, TargetAppType, SrcGeoCountry, SrcGeoRegion, SrcGeoLongitude, SrcGeoLatitude, ActorSessionId, DvcScopeId y DvcScope.
  • Se han agregado los alias Url, IpAddr, "FileName" y Src.

Hay cambios en la versión 0.2.1 del esquema:

  • Se ha agregado Application como alias a TargetAppName.
  • Se ha agregado el campo ActorScopeId.
  • Se han agregado campos relacionados con el dispositivo de origen.

Pasos siguientes

Para más información, consulte: