Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
Un esquema de modelo de información de seguridad avanzada (ASIM) es un conjunto de campos que representan una actividad o entidad. El uso de los campos de un esquema normalizado en una consulta garantiza que la consulta funciona con cada origen normalizado.
Para comprender cómo encajan los esquemas dentro de la arquitectura de ASIM, consulte el diagrama de arquitectura de ASIM.
Esquemas de actividad o eventos
Las referencias de esquema describen los campos que componen cada esquema. ASIM define actualmente los siguientes esquemas para eventos:
| Esquema | Nombre del esquema para pruebas | Versión | Estado |
|---|---|---|---|
| Evento de alerta | AlertEvent |
0,1 | GA |
| Audit (evento) | AuditEvent |
0.1.2 | GA |
| Evento de autenticación | Authentication |
0.1.4 | GA |
| Actividad DHCP | DhcpEvent |
0.1.1 | GA |
| Actividad de DNS | Dns |
0.1.7 | GA |
| Actividad de archivo | FileEvent |
0.2.2 | GA |
| Sesión de red | NetworkSession |
0.2.7 | GA |
| Evento Process | ProcessEvent |
0.1.4 | GA |
| Evento del Registro | RegistryEvent |
0.1.3 | GA |
| Administración de usuarios | UserManagement |
0.1.2 | GA |
| Sesión web | WebSession |
0.2.7 | GA |
Esquemas de entidad
ASIM define actualmente los esquemas siguientes para las entidades:
| Esquema | Nombre del esquema para pruebas | Versión | Estado |
|---|---|---|---|
| Entidad de recurso | AssetEntity |
0.1.0 | GA |
Para las entidades que forman parte de otros esquemas de ASIM, consulte Entidades de eventos.
Nomenclatura de campos
En el núcleo de cada esquema se encuentran sus nombres de campo. Los nombres de campo pertenecen a los siguientes grupos:
- Campos comunes a todos los esquemas.
- Campos específicos de un esquema.
- Campos que representan entidades, como los usuarios, que participan en el esquema. Los campos que representan entidades son similares entre esquemas.
Cuando los orígenes tienen campos que no se presentan en el esquema documentado, se normalizan para mantener la coherencia. Si los campos adicionales representan una entidad, se normalizan en función de las directrices de campo de entidad. De lo contrario, los esquemas se esfuerzan por mantener la coherencia en todos los esquemas.
Por ejemplo, aunque los registros de actividad del servidor DNS no proporcionan información de usuario, los registros de actividad DNS de un punto de conexión pueden incluir información de usuario, que se puede normalizar según las directrices de la entidad de usuario.
Campos comunes
Algunos campos son comunes a todos los esquemas de ASIM. Cada esquema puede agregar directrices para usar algunos de los campos comunes en el contexto del esquema específico. Por ejemplo, los valores permitidos para el campo EventType pueden variar según el esquema, al igual que el valor del campo EventSchemaVersion .
Clases de campo
Los campos pueden tener varias clases, que definen cuándo debe implementar un analizador los campos:
- Los campos obligatorios deben aparecer en cada analizador. Si el origen no proporciona información para este valor o los datos no se pueden agregar de otro modo, no admite la mayoría de los elementos de contenido que hacen referencia al esquema normalizado.
- Los campos recomendados deben normalizarse si están disponibles. Sin embargo, es posible que no estén disponibles en todos los orígenes. Cualquier elemento de contenido que haga referencia a ese esquema normalizado debe tener en cuenta la disponibilidad.
- Los campos opcionales , si están disponibles, se pueden normalizar o dejar en su formulario original. Normalmente, un analizador mínimo no los normalizaría por motivos de rendimiento.
- Los campos condicionales son obligatorios si se rellena el campo que siguen. Los campos condicionales se usan normalmente para describir el valor de otro campo. Por ejemplo, el campo común DvcIdType describe el valor int del campo común DvcId y, por tanto, es obligatorio si se rellena este último.
- Alias es un tipo especial de un campo condicional y es obligatorio si se rellena el campo con alias.
Entidades de eventos
Los eventos evolucionan en torno a entidades, como usuarios, hosts, procesos o archivos. Cada entidad puede requerir varios campos para describirla. Por ejemplo, un host podría tener un nombre y una dirección IP.
Un único registro puede incluir varias entidades del mismo tipo, como un host de origen y de destino.
ASIM define cómo describir entidades de forma coherente y las entidades permiten ampliar los esquemas.
Por ejemplo, aunque el esquema de sesión de red no incluye información de proceso, algunos orígenes de eventos proporcionan información de proceso que se puede agregar. Para obtener más información, vea Entidades.
Para habilitar la funcionalidad de entidad, la representación de entidades tiene las siguientes directrices:
| Instrucciones | Description |
|---|---|
| Prefijos y alias | Dado que un único evento suele incluir más de una entidad del mismo tipo, como los hosts de origen y de destino, se usan prefijos para identificar la entidad a la que está asociado un campo. Para mantener la normalización, ASIM usa un pequeño conjunto de prefijos estándar, seleccionando los más adecuados para el rol específico de las entidades. Si una sola entidad de un tipo es relevante para un evento, no es necesario usar un prefijo. Además, un conjunto de campos sin alias de prefijo establece la entidad más usada para cada tipo. |
| Identificadores y tipos | Un esquema normalizado permite varios identificadores para cada entidad, que esperamos que coexistan en eventos. Si el evento de origen tiene otros identificadores de entidad que no se pueden asignar al esquema normalizado, guárdelos en el formulario de origen o use el campo dinámico AdditionalFields . Para mantener la información de tipo de los identificadores, almacene el tipo, cuando corresponda, en un campo con el mismo nombre y un sufijo type. Por ejemplo, UserIdType. |
| Atributos | Las entidades suelen tener otros atributos que no sirven como identificador y que también se pueden calificar con un descriptor. Por ejemplo, si el usuario de origen tiene información de dominio, el campo normalizado es SrcUserDomain. |
Para obtener más información sobre tipos de entidad específicos, consulte:
Para obtener más información sobre los esquemas de entidad completos, consulte:
Alias
Los alias permiten varios nombres para un valor especificado. En algunos casos, los distintos usuarios esperan que un campo tenga nombres diferentes. Por ejemplo, en terminología DNS, es posible que espere un campo denominado DnsQuery, mientras que, en general, contiene un nombre de dominio. El alias Dominio ayuda al usuario al permitir el uso de ambos nombres.
Nota:
Los alias están diseñados para ayudar a un analista con consultas interactivas. Al usar consultas en contenido reutilizable, como detecciones personalizadas, reglas de análisis o libros, use el campo con alias en lugar del alias. El uso del campo con alias garantiza un mejor rendimiento, menos errores y una mejor legibilidad de las consultas.
En algunos casos, un alias puede tener el valor de uno de varios campos, en función de los valores disponibles en el evento. Por ejemplo, el alias Dvc , alias los campos DvcFQDN, DvcId, DvcHostname o DvcIpAddr o Event Product . Cuando un alias puede tener varios valores, su tipo debe ser una cadena para dar cabida a todos los valores con alias posibles. Como resultado, al asignar un valor a dicho alias, asegúrese de convertir el tipo en cadena mediante la función de KQL tostring.
Las tablas normalizadas nativas no incluyen alias, ya que implicarían un almacenamiento de datos duplicado. En su lugar, los analizadores de código auxiliar agregan los alias. Para implementar alias en analizadores, cree una copia del valor original mediante el extend operador .
Tipos lógicos
Cada campo de esquema tiene un tipo. El área de trabajo de Log Analytics tiene un conjunto limitado de tipos de datos. Por este motivo, Microsoft Sentinel usa un tipo lógico para muchos campos de esquema, que Log Analytics no aplica, pero que es necesario para la compatibilidad del esquema. Los tipos de campo lógicos garantizan que los valores y los nombres de campo sean coherentes entre orígenes.
| Tipo de datos | Tipo físico | Formato y valor |
|---|---|---|
| Boolean | Bool | Use el tipo de datos KQL bool integrado en lugar de una representación numérica o de cadena de valores booleanos. |
| Enumerado | Cadena | Lista de valores definidos explícitamente para el campo. La definición de esquema enumera los valores aceptados. |
| Fecha y hora | En función de la funcionalidad del método de ingesta, use cualquiera de las siguientes representaciones físicas en prioridad descendente: - Tipo de fecha y hora integrado de Log Analytics - Un campo entero que usa la representación numérica datetime de Log Analytics. - Un campo de cadena mediante la representación numérica datetime de Log Analytics - Un campo de cadena que almacena un formato de fecha y hora de Log Analytics compatible. |
La representación de fecha y hora de Log Analytics es similar pero diferente a la representación de hora de Unix. Para obtener más información, consulte las directrices de conversión. Nota: Cuando corresponda, la hora debe ajustarse a la zona horaria. |
| Dirección MAC | Cadena | Colon-Hexadecimal notación. |
| Dirección IP | Cadena | Microsoft Sentinel esquemas no tienen direcciones IPv4 e IPv6 independientes. Cualquier campo Dirección IP puede incluir una dirección IPv4 o una dirección IPv6, como se indica a continuación: - IPv4 en una notación decimal de punto. - IPv6 en notación de 8 hextets, lo que permite el formato corto. Por ejemplo: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- Forma abreviada de IPv6: 1080::8:800:200C:417A |
| FQDN | Cadena | Un nombre de dominio completo mediante una notación de puntos, por ejemplo, learn.microsoft.com. Para obtener más información, consulte La entidad Device. |
| Nombre de host | Cadena | Un nombre de host que no es un FQDN, incluye hasta 63 caracteres, incluidas letras, números y guiones. Para obtener más información, consulte La entidad Device. |
| Dominio | Cadena | la parte de dominio de un FQDN, sin el nombre de host, por ejemplo, learn.microsoft.com. Para obtener más información, consulte La entidad Device. |
| DomainType | Enumerado | Tipo de dominio almacenado en campos de dominio y FQDN. Para obtener una lista de valores y más información, consulte La entidad Device. |
| DvcIdType | Enumerado | Tipo del identificador de dispositivo almacenado en campos DvcId. Para obtener una lista de los valores permitidos y más información, consulte DvcIdType. |
| DeviceType | Enumerado | Tipo del dispositivo almacenado en los campos DeviceType. Los valores posibles son: - Computer- Mobile Device- IOT Device- Other. Para obtener más información, consulte La entidad Device. |
| Nombre de usuario | Cadena | Un nombre de usuario válido en uno de los tipos admitidos. Para obtener más información, vea La entidad User. |
| UsernameType | Enumerado | Tipo de nombre de usuario almacenado en campos de nombre de usuario. Para obtener más información y una lista de los valores admitidos, vea La entidad User. |
| UserIdType | Enumerado | Tipo del identificador almacenado en campos de id. de usuario. Los valores admitidos son SID, UIS, AADID, OktaId, AWSIdy PUID. Para obtener más información, vea La entidad User. |
| UserType | Enumerado | Tipo de usuario. Para obtener más información y una lista de los valores permitidos, vea La entidad User. |
| AppType | Enumerado | Tipo de una aplicación. Para obtener una lista de los valores admitidos, consulte La entidad de aplicación. |
| País | Cadena | Cadena que usa ISO 3166-1, según la siguiente prioridad: - Códigos Alfa-2, como US para el Estados Unidos. - Códigos Alfa-3, como USA para el Estados Unidos. - Nombre corto. La lista de códigos se puede encontrar en el sitio web de la Organización internacional de estándares (ISO). |
| Región | Cadena | Nombre de subdivisión de país o región, mediante ISO 3166-2. La lista de códigos se puede encontrar en el sitio web de la Organización internacional de estándares (ISO). |
| Ciudad | Cadena | |
| Longitude | Doble | Representación de coordenadas ISO 6709 (decimal firmado). |
| Latitude | Doble | Representación de coordenadas ISO 6709 (decimal firmado). |
| MD5 | Cadena | 32 caracteres hexadecimales. |
| SHA1 | Cadena | 40 caracteres hexadecimales. |
| SHA256 | Cadena | 64 caracteres hexadecimales. |
| SHA512 | Cadena | 128 caracteres hexadecimales. |
| ConfidenceLevel | Entero | Un nivel de confianza normalizado en el intervalo de 0 a 100. |
| RiskLevel | Entero | Un nivel de riesgo normalizado en el intervalo de 0 a 100. |
| SchemaVersion | Cadena | Una versión de esquema de ASIM en el formato <major>.<minor>.<sub-minor> |
| DnsQueryClassName | Cadena | Nombre de la clase DNS. |
| Username | Cadena | Un nombre de usuario completo simple o de dominio |
Asignación de entidades de ejemplo
En esta sección se usa el evento de Windows 4624 como ejemplo para describir cómo se normalizan los datos del evento para Microsoft Sentinel.
Este evento tiene las siguientes entidades:
| Terminología de Microsoft | Prefijo de campo de evento original | Prefijo de campo de ASIM | Description |
|---|---|---|---|
| Asunto | Subject |
Actor |
El usuario que ha notificado información sobre un inicio de sesión correcto. |
| Nuevo inicio de sesión | Target |
TargetUser |
El usuario para el que se realizó el inicio de sesión. |
| Proceso | - | ActingProcess |
Proceso que intentó el inicio de sesión. |
| Información de red | - | Src |
La máquina desde la que se realizó un intento de inicio de sesión. |
En función de estas entidades, el evento de Windows 4624 se normaliza de la siguiente manera (algunos campos son opcionales):
| Campo normalizado | Campo original | Valor en el ejemplo | Notas |
|---|---|---|---|
| ActorUserId | SubjectUserSid | S-1-5-18 | |
| ActorUserIdType | - | SID | |
| ActorUserName | SubjectDomainName\ SubjectUserName | WORKGROUP\WIN-GG82ULGC9GO$ | Se compila mediante la concatenación de los dos campos |
| ActorUserNameType | - | Windows | |
| ActorSessionId | SubjectLogonId | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| UserId | TargetUserSid | Alias | |
| TargetUserIdType | - | SID | |
| TargetUserName | TargetDomainName\ TargetUserName | Administrator\WIN-GG82ULGC9GO$ | Se compila mediante la concatenación de los dos campos |
| Username | TargetDomainName\ TargetUserName | Alias | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | TargetLogonId | 0x8dcdc | |
| ActingProcessName | ProcessName | C:\Windows\System32\svchost.exe | |
| ActingProcessId | ProcessId | 0x44c | |
| SrcHostname | WorkstationName | Windows | |
| SrcIpAddr | IpAddress | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | Equipo | WIN-GG82ULGC9GO | |
| Nombre de host | Equipo | Alias |
Pasos siguientes
En este artículo se proporciona información general sobre la normalización en Microsoft Sentinel y ASIM.
Para más información, vea:
- Vea el seminario web de profundización sobre Microsoft Sentinel análisis de normalización y contenido normalizado o revise las diapositivas.
- Introducción al modelo de información de seguridad avanzada (ASIM)
- Analizadores del modelo de información de seguridad avanzada (ASIM)
- Contenido del modelo de información de seguridad avanzada (ASIM)