Compartir a través de


Esquemas del Modelo avanzado de información de seguridad (ASIM)

Un esquema del Modelo avanzado de información de seguridad (ASIM) es un conjunto de campos que representan una actividad. El uso de los campos de un esquema normalizado en una consulta garantiza que esta funcione con todos los orígenes normalizados.

Para entender cómo encajan los esquemas en la arquitectura de ASIM, consulte el diagrama de arquitectura de ASIM.

En las referencias de esquema se describen los campos que componen cada esquema. ASIM define actualmente los siguientes esquemas:

Schema Versión Status
Evento de auditoría 0,1 Vista previa
Evento de autenticación 0.1.3 Vista previa
Actividad de DNS 0.1.7 Vista previa
Actividad de DHCP 0,1 Vista previa
Actividad de archivo 0.2.1 Vista previa
Sesión de red 0.2.6 Vista previa
Evento de proceso 0.1.4 Vista previa
Evento del Registro 0.1.2 Vista previa
User Management 0,1 Vista previa
Sesión web 0.2.6 Vista previa

Importante

Los esquemas y analizadores de ASIM están actualmente en versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Conceptos de esquema

Los siguientes conceptos ayudan a comprender los documentos de referencia del esquema y a ampliar el esquema de forma normalizada en caso de que los datos incluyan información que el esquema no cubre.

Concepto Descripción
Nombres de campo En el núcleo de cada esquema están sus nombres de campo. Los nombres de campo pertenecen a los siguientes grupos:

- Campos comunes a todos los esquemas
- Campos específicos de un esquema
- Campos que representan entidades, por ejemplo, usuarios, que participan en el esquema Los campos que representan entidades son similares en todos los esquemas.

Cuando los orígenes tienen campos que no se presentan en el esquema documentado, se normalizan para mantener la coherencia. Si los campos adicionales representan una entidad, se normalizarán en función de las directrices de los campos de la entidad. De lo contrario, los esquemas tratan por todos los medios de mantener la coherencia en todos ellos.

Por ejemplo, aunque los registros de actividad de los servidores DNS no proporcionan información de usuario, los registros de actividad de DNS de un punto de conexión pueden incluir dicha información, que se puede normalizar según las directrices de la entidad del usuario.
Tipos de campo Cada campo de esquema tiene un tipo. El área de trabajo de Log Analytics tiene un conjunto limitado de tipos de datos. Por este motivo, Microsoft Sentinel usa un tipo lógico para muchos campos de esquema, que Log Analytics no aplica, pero que es necesario para la compatibilidad de esquemas. Los tipos de campo lógicos garantizan que los valores y los nombres de campo sean coherentes entre orígenes.

Para obtener más información, consulte Tipos lógicos.
Clase de campo Los campos pueden tener varias clases, que definen cuándo debe implementar los campos un analizador:

- Los campos - deben aparecer en cada analizador. Si su origen no proporciona información para este valor, o no se pueden agregar los datos de otro modo, no admitirá la mayoría de los elementos de contenido que hacen referencia al esquema normalizado.
- Los campos - deben normalizarse si están disponibles. Sin embargo, es posible que no estén disponibles en todos los orígenes. Cualquier elemento de contenido que haga referencia a ese esquema normalizado debe tener en cuenta la disponibilidad.
- Los campos - , si están disponibles, se pueden normalizar o dejar en su formato original. Normalmente, un analizador mínimo no los normalizaría por motivos de rendimiento.
- Los campos condicionales son obligatorios si el campo al que siguen está rellenado. Los campos condicionales se suelen usar para describir el valor en otro campo. Por ejemplo, el campo común DvcIdType describe el valor en el campo común DvcId y, por lo tanto, es obligatorio si se rellena este último.
- Alias es un tipo especial de campo condicional, y es obligatorio si el campo con alias está rellenado.
Campos comunes Algunos campos son comunes a todos los esquemas de ASIM. Cada esquema puede agregar directrices para usar algunos de los campos comunes en el contexto del esquema específico. Por ejemplo, los valores permitidos del campo EventType pueden variar según el esquema, al igual que el valor del campo EventSchemaVersion.
Entidades Los eventos evolucionan en torno a entidades, como usuarios, hosts, procesos o archivos. Cada entidad puede requerir varios campos para su descripción. Por ejemplo, un host puede tener un nombre y una dirección IP.

Un único registro puede incluir varias entidades del mismo tipo, como un host de origen y uno de destino.

ASIM define cómo describir las entidades de forma coherente, y las entidades permiten ampliar los esquemas.

Por ejemplo, aunque el esquema de sesión de red no incluye información de proceso, algunos orígenes de eventos proporcionan información de este tipo que se puede agregar. Para obtener más información, consulte Entidades.
Alias Los alias permiten varios nombres para un valor especificado. En algunos casos, los distintos usuarios esperan que un campo tenga nombres diferentes. Por ejemplo, en la terminología de DNS, puede esperar un campo denominado DnsQuery, mientras que, en términos más generales, contiene un nombre de dominio. El alias Domain ayuda al usuario al permitir el uso de ambos nombres.

En algunos casos, un alias puede tener el valor de uno de varios campos, en función de los valores disponibles en el evento. Por ejemplo, el alias Dvc , corresponde a los campos DvcFQDN, DvcId, DvcHostname, DvcIpAddr o Event Product. Cuando un alias puede tener varios valores, su tipo tiene que ser una cadena para dar cabida a todos los posibles valores de alias. En consecuencia, cuando asigne un valor a un alias de este tipo, asegúrese de convertir el tipo a cadena usando la función KQL tostring.

Las tablas normalizadas nativas no incluyen alias, ya que esto implicaría el almacenamiento de datos duplicados. En su lugar, los analizadores de código auxiliar agregan los alias. Para implementar alias en los analizadores de código auxiliar, cree una copia del valor original usando el operador extend.

Tipos lógicos

Cada campo de esquema tiene un tipo. Algunos tienen tipos integrados de Log Analytics, como string, int, datetime o dynamic. Otros campos tienen un tipo lógico, que representa cómo se deben normalizar los valores de campo.

Tipo de datos Tipo físico Formato y valor
Boolean Bool Utilice el tipo de datosbool integrados en KQL en lugar de una representación numérica o de cadena de valores booleanos.
Enumerado String Lista de valores definidos explícitamente para el campo. En la definición de esquema se enumeran los valores aceptados.
Date/Time Dependiendo de la funcionalidad del método de ingesta, use cualquiera de las siguientes representaciones físicas en prioridad descendente:

- Tipo datetime integrado de Log Analytics
- Campo de entero que usa la representación numérica de datetime de Log Analytics
- Campo de cadena que usa la representación numérica de datetime de Log Analytics
- Campo de cadena que almacena un formato de fecha y hora de Log Analytics admitido.
La representación de fecha y hora de Log Analytics es similar, pero diferente de la representación de hora de Unix. Para obtener más información, consulte las directrices de conversión.

Nota: Cuando sea aplicable, la hora debe ajustarse a la zona horaria.
MAC address (Dirección MAC) String Notación hexadecimal con dos puntos.
Dirección IP String Los esquemas de Microsoft Sentinel no tienen direcciones IPv4 e IPv6 independientes. Cualquier campo de dirección IP puede incluir una dirección IPv4 o IPv6, del siguiente modo:

- - en notación de punto decimal.
- - en notación de ocho hextetos, que permite el formato corto.

Por ejemplo:
- - : 192.168.10.10
- - : FEDC:BA98:7654:3210:FEDC:BA98:7654:3210
- - : 1080::8:800:200C:417A
FQDN String Nombre de dominio completo que usa una notación de puntos, por ejemplo, learn.microsoft.com. Para obtener más información, consulte Entidad de dispositivo.
Hostname String Un nombre de host, que no es un FQDN, incluye hasta 63 caracteres, incluidas letras, números y guiones. Para obtener más información, consulte Entidad de dispositivo.
DomainType Enumerated Tipo de dominio almacenado en los campos de dominio y FQDN. Para obtener una lista de valores y más información, consulte La entidad de dispositivo.
DvcIdType Enumerated Tipo del identificador de dispositivo almacenado en los campos DvcId. Para obtener una lista de valores permitidos e información adicional, consulte DvcIdType.
DeviceType Enumerated Tipo del dispositivo almacenado en los campos DeviceType. Los valores posibles son:
- Computer
- Mobile Device
- IOT Device
- Other. Para obtener más información, consulte Entidad de dispositivo.
Nombre de usuario String Nombre de usuario válido en uno de los tipos admitidos. Para más información, consulte la Entidad Usuario.
UsernameType Enumerated Tipo de nombre de usuario almacenado en los campos de nombre de usuario. Para obtener más información y una lista de los valores admitidos, consulte La entidad de usuario.
UserIdType Enumerated Tipo de identificador almacenado en los campos de identificador de usuario.

Los valores admitidos son SID, UIS, AADID, OktaId, AWSId y PUID. Para más información, consulte la Entidad Usuario.
UserType Enumerated El tipo de usuario. Para obtener más información y una lista de los valores permitidos, consulte La entidad de usuario.
AppType Enumerated Tipo de una aplicación. Los valores admitidos incluyen Process,
Service, Resource, URL, SaaS application, CSPy Other.
País String Cadena que usa ISO 3166-1 de acuerdo con la siguiente prioridad:

- Códigos alfa 2, como US para Estados Unidos.
- Códigos alfa 3, como USA para Estados Unidos.
- Nombre corto.

La lista de códigos se puede encontrar en el sitio web de la Organización Internacional de Normalización (ISO).
Región Cadena Nombre de subdivisión de país o región, utilizando ISO 3166-2.

La lista de códigos se puede encontrar en el sitio web de la Organización Internacional de Normalización (ISO).
Ciudad String
Longitud Doble Representación de coordenadas ISO 6709 (decimal con signo).
Latitud Doble Representación de coordenadas ISO 6709 (decimal con signo).
MD5 String Caracteres hexadecimales de 32.
SHA1 String Caracteres hexadecimales de 40.
SHA256 String Caracteres hexadecimales de 64.
SHA512 String Caracteres hexadecimales de 128.

Entidades

Los eventos evolucionan en torno a entidades, como usuarios, hosts, procesos o archivos. La representación de entidad permite que varias entidades del mismo tipo formen parte de un único registro y admite varios atributos para las mismas entidades.

Para habilitar la funcionalidad de entidad, la representación de entidad tiene las siguientes directrices:

Directrices Descripción
Descriptores y alias Dado que un solo evento suele incluir más de una entidad del mismo tipo, como hosts de origen y destino, se usan descriptores como prefijo para identificar todos los campos asociados a una entidad específica.

Para mantener la normalización, ASIM usa un pequeño conjunto de descriptores estándar, seleccionando los más adecuados para el rol específico de las entidades.

Si una sola entidad de un tipo es pertinente para un evento, no es necesario usar un descriptor. Además, un conjunto de campos sin descriptor asigna un alisas a la entidad más usada para cada tipo.
Identificadores y tipos Un esquema normalizado permite varios identificadores para cada entidad, que esperamos que coexistan en eventos. Si el evento de origen tiene otros identificadores de entidad que no se pueden asignar al esquema normalizado, manténgalos en el formato de origen o use el campo dinámico AdditionalFields.

Para mantener la información de tipo de los identificadores, almacene el tipo, si procede, en un campo con el mismo nombre y un sufijo de Type. Por ejemplo, UserIdType.
Atributos Las entidades suelen tener otros atributos que no sirven de identificador y también se pueden calificar con un descriptor. Por ejemplo, si el usuario de origen tiene información de dominio, el campo normalizado es SrcUserDomain.

Cada esquema define explícitamente las entidades centrales y los campos de entidad. Las instrucciones proporcionadas a continuación permiten comprender los campos de esquema central y cómo extender esquemas de forma normalizada mediante otras entidades o campos de entidad que no están definidos explícitamente en el esquema.

La entidad de usuario

Los usuarios son fundamentales para las actividades notificadas por eventos. Los campos enumerados en esta sección se usan para describir a los usuarios implicados en la acción. Los prefijos se usan para designar el rol del usuario en la actividad. Los prefijos Src y Dst se usan para designar el rol de usuario en eventos relacionados con la red, en los que un sistema de origen y un sistema de destino se comunican. Los prefijos "Actor" y "Target" se usan para eventos orientados al sistema, como los eventos de proceso.

El identificador de usuario y el ámbito

Campo Clase Tipo Descripción
UserId Opcionales String Una representación del usuario única, alfanumérica y legible por un ordenador.
UserScope Opcional string Ámbito en el que se definen UserId y Username. Por ejemplo, un nombre dominio de inquilino de Microsoft Entra. El campo UserIdType representa también el tipo asociado a este campo.
UserScopeId Opcional string El ID del ámbito en el que se definen UserId y Username. Por ejemplo, un id. de directorio de inquilino de Microsoft Entra. El campo UserIdType representa también el tipo asociado a este campo.
UserIdType Opcionales UserIdType El tipo del Id. almacenado en el campo UserId.
UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid Opcionales String Campos usados para almacenar identificadores de usuario concretos. Seleccione el Id. más asociado al evento como el Id. principal almacenado en UserId. Rellene el campo de identificador específico relevante, además de UserId, aunque el evento solo tenga un identificador.
UserAADTenant, UserAWSAccount Opcionales String Campos usados para almacenar ámbitos concretos. Use el campo UserScope para el ámbito asociado al identificador almacenado en el campo UserId. Rellene el campo de ámbito específico relevante, además de UserScope, aunque el evento solo tenga un identificador.

Los valores permitidos para un tipo de Id. de usuario son:

Tipo Descripción Ejemplo
SID Un Id. de usuario de Windows. S-1-5-21-1377283216-344919071-3415362939-500
UID Un Id. de usuario de Linux. 4578
AADID Un id. de usuario de Microsoft Entra. 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
OktaId Un Id. de usuario de Okta. 00urjk4znu3BcncfY0h7
AWSId Un Id. de usuario de AWS. 72643944673
PUID Un identificador de usuario de Microsoft 365. 10032001582F435C
SalesforceId Identificador de usuario de Salesforce. 00530000009M943

Nombre del usuario

Campo Clase Tipo Descripción
Nombre de usuario Opcionales String Nombre de usuario, incluida la información del dominio, cuando esté disponible. Use este formato simple solo si no hay disponible información de dominio. Almacene el tipo de nombre de usuario en el campo UsernameType.
UsernameType Opcionales UsernameType Especifica el tipo del nombre de usuario almacenado en el campo Username.
UserUPN, WindowsUsername, DNUsername, SimpleUsername Opcionales String Campos usados para almacenar nombres de usuario adicionales, si el evento original incluye varios nombres de usuario. Seleccione el nombre de usuario más asociado al evento como el nombre de usuario principal, almacenado en Username.

Los valores permitidos para un tipo de nombre de usuario son:

Tipo Descripción Ejemplo
UPN Un designador de nombres de usuario de UPN o de una dirección de correo electrónico. johndow@contoso.com
Windows Un nombre de usuario de Windows que incluye un dominio. Contoso\johndow
DN Un designador de nombres distintivos (DN) de LDAP. CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
Simple Un nombre de usuario básico, sin un designador de dominio. johndow
AWSId Un Id. de usuario de AWS. 72643944673

Campos de usuario adicionales

Campo Clase Tipo Descripción
UserType Opcionales UserType Tipo del usuario de origen. Los valores admitidos son:
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Service
- Anonymous
- Other.

El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. Almacene el valor original en el campo OriginalUserType.
OriginalUserType Opcionales String El tipo de usuario de destino original, si lo proporciona el dispositivo de informes.

La entidad de dispositivo

Dispositivos, o hosts, son los términos habituales que se usan para los sistemas que participan en el evento. El prefijo Dvc se usa para designar el dispositivo primario en el que se produce el evento. Algunos eventos, como las sesiones de red, tienen dispositivos de origen y de destino, designados por el prefijo Src y Dst. En tal caso, el prefijo Dvc se usa para el dispositivo que notifica el evento, que podría ser el dispositivo de origen, de destino o uno de supervisión.

Alias de dispositivo

Campo Clase Tipo Descripción
Dvc, Src, Dst Mandatory String Los campos Dvc, "Src" o "Dst" se usan como identificador único del dispositivo. Se establece en la mejor opción disponible para el dispositivo. Estos campos pueden dar alias a los campos FQDN, DvcId, Hostname o IpAddr. En el caso de orígenes en la nube, para los que no hay ningún dispositivo aparente, use el valor del campo EventProduct.

El nombre de dispositivo

Los nombres de dispositivo notificados pueden incluir solo un nombre de host o un nombre de dominio completo (FQDN), que incluye un nombre de host y un nombre de dominio. El FQDN puede expresarse con varios formatos. Los campos siguientes permiten admitir las diferentes variantes en las que se puede proporcionar el nombre de dispositivo.

Campo Clase Tipo Descripción
Hostname Recomendado Nombre de host El nombre de host corto del dispositivo.
Domain Recomendado String El dominio del dispositivo en el que se produjo el evento, sin el nombre de host.
DomainType Recomendado Enumerated El tipo del campo Domain. Los valores admitidos incluyen FQDN y Windows. Este campo es necesario si se utiliza el campo Domain.
FQDN Opcionales String El FQDN del dispositivo, incluidos los datos de Hostname y Domain. Este campo admite tanto el formato de FQDN tradicional como el formato de dominio o de nombre de host de Windows. El campo DomainType refleja el formato usado.

Por ejemplo:

Campo Valor para la entrada appserver.contoso.com valor para la entrada appserver
Nombre de host appserver appserver
Dominio contoso.con <empty>
DomainType FQDN <empty>
FQDN appserver.contoso.com <empty>

Cuando el valor proporcionado por el origen es un FQDN, o cuando el valor puede ser un FQDN o un nombre de host corto, el analizador debe calcular los 4 valores. Use las funciones auxiliares de ASIM _ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDN y _ASIM_ResolveDvcFQDN para establecer fácilmente los cuatro campos en función de un único valor de entrada. Para más información, consulte Funciones auxiliares de ASIM.

El identificador del dispositivo y el ámbito

Campo Clase Tipo Descripción
DvcId Opcional String El Id. único del dispositivo. Por ejemplo: 41502da5-21b7-48ec-81c9-baeea8d7d669
ScopeId Opcionales String Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. Scope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
Scope Opcionales String Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. Scope se asigna a una suscripción en Azure y a una cuenta en AWS.
DvcIdType Opcionales Enumerated Tipo de DvcId. Normalmente, este campo también identificará el tipo de Scope y ScopeId. Este campo es necesario si se usa el campo DvcId.
DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId Opcionales String Campos usados para almacenar ids. de dispositivos adicionales, si el evento original incluye varios ids. de dispositivos. Seleccione el id. de dispositivo más asociado al evento como el id. principal almacenado en DvcId.

Tenga en cuenta que los campos con nombre deben anteponer un prefijo de rol, como Src o Dst, pero no deben anteponer un segundo prefijo Dvc si se usan en ese rol.

Los valores permitidos para un tipo de id. de dispositivo son:

Tipo Descripción
MDEid El Id. de sistema asignado por Microsoft Defender para punto de conexión.
AzureResourceId El Id. de recurso de Azure.
MD4IoTid El Id. de recurso de Microsoft Defender para IoT.
VMConnectionId El Id. de recurso de la solución VM Insights de Azure Monitor.
AwsVpcId Un Id. de AWS VPC.
VectraId Un Id. de recurso asignado a Vectra AI.
Otros Un tipo de id. no enumerado anteriormente.

Por ejemplo, la solución VM Insights de Azure Monitor proporciona información de sesiones de red en la tabla de VMConnection. La tabla proporciona un Id. de recursos de Azure en el campo _ResourceId y un id. de dispositivo, de uso específico en VM Insights, en el campo Machine. Use las siguientes asignaciones para representar esos Ids.:

Campo Asignar a
DvcId El campo Machine de la tabla VMConnection.
DvcIdType El valor VMConnectionId
DvcAzureResourceId El campo _ResourceId de la tabla VMConnection.

Campos de dispositivo adicionales

Campo Clase Tipo Descripción
IpAddr Recomendado Dirección IP Dirección IP del dispositivo.

Ejemplo: 45.21.42.12
DvcDescription Opcionales String Texto descriptivo asociado al dispositivo. Por ejemplo: Primary Domain Controller.
MacAddr Opcionales MAC La dirección MAC del dispositivo en el que se produjo el evento o que informó del evento.

Ejemplo: 00:1B:44:11:3A:B7
Zone Opcionales String La red en la que se produjo el evento o en la que se informó del evento, según el esquema. El dispositivo de informes define la zona.

Ejemplo: Dmz
DvcOs Opcionales String El sistema operativo que se utiliza en el dispositivo en el que se produjo el evento o que informó del evento.

Ejemplo: Windows
DvcOsVersion Opcionales String La versión del sistema operativo del dispositivo en el que se produjo el evento o que informó del evento.

Ejemplo: 10
DvcAction Opcionales String Para los sistemas de seguridad de informes, la acción realizada por el sistema, si procede.

Ejemplo: Blocked
DvcOriginalAction Opcional String El valor original de DvcAction, como se proporciona en el dispositivo de informes.
Interface Opcionales String Interfaz de red en la que se capturaron los datos. Este campo suele ser pertinente para la actividad relacionada con la red, que captura un dispositivo intermedio o de derivación.

Tenga en cuenta que los campos enumerados en la lista con el prefijo Dvc deben anteponer un prefijo de rol, como Src o Dst, pero no deben anteponer un segundo prefijo Dvc si se usan en ese rol.

Asignación de entidades de ejemplo

En esta sección se usa el evento 4624 de Windows como ejemplo para describir cómo se normalizan los datos de eventos para Microsoft Sentinel.

Este evento tiene las siguientes entidades:

Terminología de Microsoft Prefijo de campo de evento original Prefijo de campo de ASIM Descripción
Subject Subject Actor Usuario que ha notificado información sobre un inicio de sesión correcto.
Nuevo inicio de sesión Target TargetUser Usuario para el que se realizó el inicio de sesión.
Process - ActingProcess Proceso que intentó el inicio de sesión.
Información de red - Src Máquina desde la que se realizó un intento de inicio de sesión.

En función de estas entidades, el evento 4624 de Windows se normaliza como se muestra a continuación (algunos campos son opcionales):

Campo normalizado Campo original Valor en el ejemplo Notas
ActorUserId SubjectUserSid S-1-5-18
ActorUserIdType - SID
ActorUserName SubjectDomainName\ SubjectUserName WORKGROUP\WIN-GG82ULGC9GO$ Creado concatenando los dos campos
ActorUserNameType - Windows
ActorSessionId SubjectLogonId 0x3e7
TargetUserId TargetUserSid S-1-5-21-1377283216-344919071-3415362939-500
UserId TargetUserSid Alias
TargetUserIdType - SID
TargetUserName TargetDomainName\ TargetUserName Administrator\WIN-GG82ULGC9GO$ Creado concatenando los dos campos
Nombre de usuario TargetDomainName\ TargetUserName Alias
TargetUserNameType - Windows
TargetSessionId TargetLogonId 0x8dcdc
ActingProcessName ProcessName C:\Windows\System32\svchost.exe
ActingProcessId ProcessId 0x44c
SrcHostname WorkstationName Windows
SrcIpAddr IpAddress 127.0.0.1
SrcPortNumber IpPort 0
TargetHostname Computer WIN-GG82ULGC9GO
Nombre de host Computer Alias

Pasos siguientes

En este artículo se proporciona información general sobre la normalización en Microsoft Sentinel y ASIM.

Para más información, consulte: