Esquemas del Modelo avanzado de información de seguridad (ASIM)
Un esquema del Modelo avanzado de información de seguridad (ASIM) es un conjunto de campos que representan una actividad. El uso de los campos de un esquema normalizado en una consulta garantiza que esta funcione con todos los orígenes normalizados.
Para entender cómo encajan los esquemas en la arquitectura de ASIM, consulte el diagrama de arquitectura de ASIM.
En las referencias de esquema se describen los campos que componen cada esquema. ASIM define actualmente los siguientes esquemas:
| Schema | Versión | Status |
|---|---|---|
| Evento de auditoría | 0,1 | Vista previa |
| Evento de autenticación | 0.1.3 | Vista previa |
| Actividad de DNS | 0.1.7 | Vista previa |
| Actividad de DHCP | 0,1 | Vista previa |
| Actividad de archivo | 0.2.1 | Vista previa |
| Sesión de red | 0.2.6 | Vista previa |
| Evento de proceso | 0.1.4 | Vista previa |
| Evento del Registro | 0.1.2 | Vista previa |
| User Management | 0,1 | Vista previa |
| Sesión web | 0.2.6 | Vista previa |
Importante
Los esquemas y analizadores de ASIM están actualmente en versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Conceptos de esquema
Los siguientes conceptos ayudan a comprender los documentos de referencia del esquema y a ampliar el esquema de forma normalizada en caso de que los datos incluyan información que el esquema no cubre.
| Concepto | Descripción |
|---|---|
| Nombres de campo | En el núcleo de cada esquema están sus nombres de campo. Los nombres de campo pertenecen a los siguientes grupos: - Campos comunes a todos los esquemas - Campos específicos de un esquema - Campos que representan entidades, por ejemplo, usuarios, que participan en el esquema Los campos que representan entidades son similares en todos los esquemas. Cuando los orígenes tienen campos que no se presentan en el esquema documentado, se normalizan para mantener la coherencia. Si los campos adicionales representan una entidad, se normalizarán en función de las directrices de los campos de la entidad. De lo contrario, los esquemas tratan por todos los medios de mantener la coherencia en todos ellos. Por ejemplo, aunque los registros de actividad de los servidores DNS no proporcionan información de usuario, los registros de actividad de DNS de un punto de conexión pueden incluir dicha información, que se puede normalizar según las directrices de la entidad del usuario. |
| Tipos de campo | Cada campo de esquema tiene un tipo. El área de trabajo de Log Analytics tiene un conjunto limitado de tipos de datos. Por este motivo, Microsoft Sentinel usa un tipo lógico para muchos campos de esquema, que Log Analytics no aplica, pero que es necesario para la compatibilidad de esquemas. Los tipos de campo lógicos garantizan que los valores y los nombres de campo sean coherentes entre orígenes. Para obtener más información, consulte Tipos lógicos. |
| Clase de campo | Los campos pueden tener varias clases, que definen cuándo debe implementar los campos un analizador: - Los campos - deben aparecer en cada analizador. Si su origen no proporciona información para este valor, o no se pueden agregar los datos de otro modo, no admitirá la mayoría de los elementos de contenido que hacen referencia al esquema normalizado. - Los campos - deben normalizarse si están disponibles. Sin embargo, es posible que no estén disponibles en todos los orígenes. Cualquier elemento de contenido que haga referencia a ese esquema normalizado debe tener en cuenta la disponibilidad. - Los campos - , si están disponibles, se pueden normalizar o dejar en su formato original. Normalmente, un analizador mínimo no los normalizaría por motivos de rendimiento. - Los campos condicionales son obligatorios si el campo al que siguen está rellenado. Los campos condicionales se suelen usar para describir el valor en otro campo. Por ejemplo, el campo común DvcIdType describe el valor en el campo común DvcId y, por lo tanto, es obligatorio si se rellena este último. - Alias es un tipo especial de campo condicional, y es obligatorio si el campo con alias está rellenado. |
| Campos comunes | Algunos campos son comunes a todos los esquemas de ASIM. Cada esquema puede agregar directrices para usar algunos de los campos comunes en el contexto del esquema específico. Por ejemplo, los valores permitidos del campo EventType pueden variar según el esquema, al igual que el valor del campo EventSchemaVersion. |
| Entidades | Los eventos evolucionan en torno a entidades, como usuarios, hosts, procesos o archivos. Cada entidad puede requerir varios campos para su descripción. Por ejemplo, un host puede tener un nombre y una dirección IP. Un único registro puede incluir varias entidades del mismo tipo, como un host de origen y uno de destino. ASIM define cómo describir las entidades de forma coherente, y las entidades permiten ampliar los esquemas. Por ejemplo, aunque el esquema de sesión de red no incluye información de proceso, algunos orígenes de eventos proporcionan información de este tipo que se puede agregar. Para obtener más información, consulte Entidades. |
| Alias | Los alias permiten varios nombres para un valor especificado. En algunos casos, los distintos usuarios esperan que un campo tenga nombres diferentes. Por ejemplo, en la terminología de DNS, puede esperar un campo denominado DnsQuery, mientras que, en términos más generales, contiene un nombre de dominio. El alias Domain ayuda al usuario al permitir el uso de ambos nombres. En algunos casos, un alias puede tener el valor de uno de varios campos, en función de los valores disponibles en el evento. Por ejemplo, el alias Dvc , corresponde a los campos DvcFQDN, DvcId, DvcHostname, DvcIpAddr o Event Product. Cuando un alias puede tener varios valores, su tipo tiene que ser una cadena para dar cabida a todos los posibles valores de alias. En consecuencia, cuando asigne un valor a un alias de este tipo, asegúrese de convertir el tipo a cadena usando la función KQL tostring. Las tablas normalizadas nativas no incluyen alias, ya que esto implicaría el almacenamiento de datos duplicados. En su lugar, los analizadores de código auxiliar agregan los alias. Para implementar alias en los analizadores de código auxiliar, cree una copia del valor original usando el operador extend. |
Tipos lógicos
Cada campo de esquema tiene un tipo. Algunos tienen tipos integrados de Log Analytics, como string, int, datetime o dynamic. Otros campos tienen un tipo lógico, que representa cómo se deben normalizar los valores de campo.
| Tipo de datos | Tipo físico | Formato y valor |
|---|---|---|
| Boolean | Bool | Utilice el tipo de datosbool integrados en KQL en lugar de una representación numérica o de cadena de valores booleanos. |
| Enumerado | String | Lista de valores definidos explícitamente para el campo. En la definición de esquema se enumeran los valores aceptados. |
| Date/Time | Dependiendo de la funcionalidad del método de ingesta, use cualquiera de las siguientes representaciones físicas en prioridad descendente: - Tipo datetime integrado de Log Analytics - Campo de entero que usa la representación numérica de datetime de Log Analytics - Campo de cadena que usa la representación numérica de datetime de Log Analytics - Campo de cadena que almacena un formato de fecha y hora de Log Analytics admitido. |
La representación de fecha y hora de Log Analytics es similar, pero diferente de la representación de hora de Unix. Para obtener más información, consulte las directrices de conversión. Nota: Cuando sea aplicable, la hora debe ajustarse a la zona horaria. |
| MAC address (Dirección MAC) | String | Notación hexadecimal con dos puntos. |
| Dirección IP | String | Los esquemas de Microsoft Sentinel no tienen direcciones IPv4 e IPv6 independientes. Cualquier campo de dirección IP puede incluir una dirección IPv4 o IPv6, del siguiente modo: - - en notación de punto decimal. - - en notación de ocho hextetos, que permite el formato corto. Por ejemplo: - - : 192.168.10.10 - - : FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- - : 1080::8:800:200C:417A |
| FQDN | String | Nombre de dominio completo que usa una notación de puntos, por ejemplo, learn.microsoft.com. Para obtener más información, consulte Entidad de dispositivo. |
| Hostname | String | Un nombre de host, que no es un FQDN, incluye hasta 63 caracteres, incluidas letras, números y guiones. Para obtener más información, consulte Entidad de dispositivo. |
| DomainType | Enumerated | Tipo de dominio almacenado en los campos de dominio y FQDN. Para obtener una lista de valores y más información, consulte La entidad de dispositivo. |
| DvcIdType | Enumerated | Tipo del identificador de dispositivo almacenado en los campos DvcId. Para obtener una lista de valores permitidos e información adicional, consulte DvcIdType. |
| DeviceType | Enumerated | Tipo del dispositivo almacenado en los campos DeviceType. Los valores posibles son: - Computer- Mobile Device- IOT Device- Other. Para obtener más información, consulte Entidad de dispositivo. |
| Nombre de usuario | String | Nombre de usuario válido en uno de los tipos admitidos. Para más información, consulte la Entidad Usuario. |
| UsernameType | Enumerated | Tipo de nombre de usuario almacenado en los campos de nombre de usuario. Para obtener más información y una lista de los valores admitidos, consulte La entidad de usuario. |
| UserIdType | Enumerated | Tipo de identificador almacenado en los campos de identificador de usuario. Los valores admitidos son SID, UIS, AADID, OktaId, AWSId y PUID. Para más información, consulte la Entidad Usuario. |
| UserType | Enumerated | El tipo de usuario. Para obtener más información y una lista de los valores permitidos, consulte La entidad de usuario. |
| AppType | Enumerated | Tipo de una aplicación. Los valores admitidos incluyen Process,Service, Resource, URL, SaaS application, CSPy Other. |
| País | String | Cadena que usa ISO 3166-1 de acuerdo con la siguiente prioridad: - Códigos alfa 2, como US para Estados Unidos. - Códigos alfa 3, como USA para Estados Unidos. - Nombre corto. La lista de códigos se puede encontrar en el sitio web de la Organización Internacional de Normalización (ISO). |
| Región | String | Nombre de la subdivisión del país, mediante el código ISO 3166-2. La lista de códigos se puede encontrar en el sitio web de la Organización Internacional de Normalización (ISO). |
| Ciudad | String | |
| Longitud | Doble | Representación de coordenadas ISO 6709 (decimal con signo). |
| Latitud | Doble | Representación de coordenadas ISO 6709 (decimal con signo). |
| MD5 | String | Caracteres hexadecimales de 32. |
| SHA1 | String | Caracteres hexadecimales de 40. |
| SHA256 | String | Caracteres hexadecimales de 64. |
| SHA512 | String | Caracteres hexadecimales de 128. |
Entidades
Los eventos evolucionan en torno a entidades, como usuarios, hosts, procesos o archivos. La representación de entidad permite que varias entidades del mismo tipo formen parte de un único registro y admite varios atributos para las mismas entidades.
Para habilitar la funcionalidad de entidad, la representación de entidad tiene las siguientes directrices:
| Directrices | Descripción |
|---|---|
| Descriptores y alias | Dado que un solo evento suele incluir más de una entidad del mismo tipo, como hosts de origen y destino, se usan descriptores como prefijo para identificar todos los campos asociados a una entidad específica. Para mantener la normalización, ASIM usa un pequeño conjunto de descriptores estándar, seleccionando los más adecuados para el rol específico de las entidades. Si una sola entidad de un tipo es pertinente para un evento, no es necesario usar un descriptor. Además, un conjunto de campos sin descriptor asigna un alisas a la entidad más usada para cada tipo. |
| Identificadores y tipos | Un esquema normalizado permite varios identificadores para cada entidad, que esperamos que coexistan en eventos. Si el evento de origen tiene otros identificadores de entidad que no se pueden asignar al esquema normalizado, manténgalos en el formato de origen o use el campo dinámico AdditionalFields. Para mantener la información de tipo de los identificadores, almacene el tipo, si procede, en un campo con el mismo nombre y un sufijo de Type. Por ejemplo, UserIdType. |
| Atributos | Las entidades suelen tener otros atributos que no sirven de identificador y también se pueden calificar con un descriptor. Por ejemplo, si el usuario de origen tiene información de dominio, el campo normalizado es SrcUserDomain. |
Cada esquema define explícitamente las entidades centrales y los campos de entidad. Las instrucciones proporcionadas a continuación permiten comprender los campos de esquema central y cómo extender esquemas de forma normalizada mediante otras entidades o campos de entidad que no están definidos explícitamente en el esquema.
La entidad de usuario
Los usuarios son fundamentales para las actividades notificadas por eventos. Los campos enumerados en esta sección se usan para describir a los usuarios implicados en la acción. Los prefijos se usan para designar el rol del usuario en la actividad. Los prefijos Src y Dst se usan para designar el rol de usuario en eventos relacionados con la red, en los que un sistema de origen y un sistema de destino se comunican. Los prefijos "Actor" y "Target" se usan para eventos orientados al sistema, como los eventos de proceso.
El identificador de usuario y el ámbito
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| UserId | Opcionales | String | Una representación del usuario única, alfanumérica y legible por un ordenador. |
| UserScope | Opcional | string | Ámbito en el que se definen UserId y Username. Por ejemplo, un nombre dominio de inquilino de Microsoft Entra. El campo UserIdType representa también el tipo asociado a este campo. |
| UserScopeId | Opcional | string | El ID del ámbito en el que se definen UserId y Username. Por ejemplo, un id. de directorio de inquilino de Microsoft Entra. El campo UserIdType representa también el tipo asociado a este campo. |
| UserIdType | Opcionales | UserIdType | El tipo del Id. almacenado en el campo UserId. |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | Opcionales | String | Campos usados para almacenar identificadores de usuario concretos. Seleccione el Id. más asociado al evento como el Id. principal almacenado en UserId. Rellene el campo de identificador específico relevante, además de UserId, aunque el evento solo tenga un identificador. |
| UserAADTenant, UserAWSAccount | Opcionales | String | Campos usados para almacenar ámbitos concretos. Use el campo UserScope para el ámbito asociado al identificador almacenado en el campo UserId. Rellene el campo de ámbito específico relevante, además de UserScope, aunque el evento solo tenga un identificador. |
Los valores permitidos para un tipo de Id. de usuario son:
| Tipo | Descripción | Ejemplo |
|---|---|---|
| SID | Un Id. de usuario de Windows. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | Un Id. de usuario de Linux. | 4578 |
| AADID | Un id. de usuario de Microsoft Entra. | 9267d02c-5f76-40a9-a9eb-b686f3ca47aa |
| OktaId | Un Id. de usuario de Okta. | 00urjk4znu3BcncfY0h7 |
| AWSId | Un Id. de usuario de AWS. | 72643944673 |
| PUID | Un identificador de usuario de Microsoft 365. | 10032001582F435C |
| SalesforceId | Identificador de usuario de Salesforce. | 00530000009M943 |
Nombre del usuario
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| Nombre de usuario | Opcionales | String | Nombre de usuario, incluida la información del dominio, cuando esté disponible. Use este formato simple solo si no hay disponible información de dominio. Almacene el tipo de nombre de usuario en el campo UsernameType. |
| UsernameType | Opcionales | UsernameType | Especifica el tipo del nombre de usuario almacenado en el campo Username. |
| UserUPN, WindowsUsername, DNUsername, SimpleUsername | Opcionales | String | Campos usados para almacenar nombres de usuario adicionales, si el evento original incluye varios nombres de usuario. Seleccione el nombre de usuario más asociado al evento como el nombre de usuario principal, almacenado en Username. |
Los valores permitidos para un tipo de nombre de usuario son:
| Tipo | Descripción | Ejemplo |
|---|---|---|
| UPN | Un designador de nombres de usuario de UPN o de una dirección de correo electrónico. | johndow@contoso.com |
| Windows | Un nombre de usuario de Windows que incluye un dominio. | Contoso\johndow |
| DN | Un designador de nombres distintivos (DN) de LDAP. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| Simple | Un nombre de usuario básico, sin un designador de dominio. | johndow |
| AWSId | Un Id. de usuario de AWS. | 72643944673 |
Campos de usuario adicionales
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| UserType | Opcionales | UserType | Tipo del usuario de origen. Los valores admitidos son: - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. Almacene el valor original en el campo OriginalUserType. |
| OriginalUserType | Opcionales | String | El tipo de usuario de destino original, si lo proporciona el dispositivo de informes. |
La entidad de dispositivo
Dispositivos, o hosts, son los términos habituales que se usan para los sistemas que participan en el evento. El prefijo Dvc se usa para designar el dispositivo primario en el que se produce el evento. Algunos eventos, como las sesiones de red, tienen dispositivos de origen y de destino, designados por el prefijo Src y Dst. En tal caso, el prefijo Dvc se usa para el dispositivo que notifica el evento, que podría ser el dispositivo de origen, de destino o uno de supervisión.
Alias de dispositivo
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| Dvc, Src, Dst | Mandatory | String | Los campos Dvc, "Src" o "Dst" se usan como identificador único del dispositivo. Se establece en la mejor opción disponible para el dispositivo. Estos campos pueden dar alias a los campos FQDN, DvcId, Hostname o IpAddr. En el caso de orígenes en la nube, para los que no hay ningún dispositivo aparente, use el valor del campo EventProduct. |
El nombre de dispositivo
Los nombres de dispositivo notificados pueden incluir solo un nombre de host o un nombre de dominio completo (FQDN), que incluye un nombre de host y un nombre de dominio. El FQDN puede expresarse con varios formatos. Los campos siguientes permiten admitir las diferentes variantes en las que se puede proporcionar el nombre de dispositivo.
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| Hostname | Recomendado | Nombre de host | El nombre de host corto del dispositivo. |
| Domain | Recomendado | String | El dominio del dispositivo en el que se produjo el evento, sin el nombre de host. |
| DomainType | Recomendado | Enumerated | El tipo del campo Domain. Los valores admitidos incluyen FQDN y Windows. Este campo es necesario si se utiliza el campo Domain. |
| FQDN | Opcionales | String | El FQDN del dispositivo, incluidos los datos de Hostname y Domain. Este campo admite tanto el formato de FQDN tradicional como el formato de dominio o de nombre de host de Windows. El campo DomainType refleja el formato usado. |
Por ejemplo:
| Campo | Valor para la entrada appserver.contoso.com |
valor para la entrada appserver |
|---|---|---|
| Nombre de host | appserver |
appserver |
| Dominio | contoso.con |
<empty> |
| DomainType | FQDN |
<empty> |
| FQDN | appserver.contoso.com |
<empty> |
Cuando el valor proporcionado por el origen es un FQDN, o cuando el valor puede ser un FQDN o un nombre de host corto, el analizador debe calcular los 4 valores. Use las funciones auxiliares de ASIM _ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDN y _ASIM_ResolveDvcFQDN para establecer fácilmente los cuatro campos en función de un único valor de entrada. Para más información, consulte Funciones auxiliares de ASIM.
El identificador del dispositivo y el ámbito
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| DvcId | Opcional | String | El Id. único del dispositivo. Por ejemplo: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Opcionales | String | Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. Scope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| Scope | Opcionales | String | Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. Scope se asigna a una suscripción en Azure y a una cuenta en AWS. |
| DvcIdType | Opcionales | Enumerated | Tipo de DvcId. Normalmente, este campo también identificará el tipo de Scope y ScopeId. Este campo es necesario si se usa el campo DvcId. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Opcionales | String | Campos usados para almacenar ids. de dispositivos adicionales, si el evento original incluye varios ids. de dispositivos. Seleccione el id. de dispositivo más asociado al evento como el id. principal almacenado en DvcId. |
Tenga en cuenta que los campos con nombre deben anteponer un prefijo de rol, como Src o Dst, pero no deben anteponer un segundo prefijo Dvc si se usan en ese rol.
Los valores permitidos para un tipo de id. de dispositivo son:
| Tipo | Descripción |
|---|---|
| MDEid | El Id. de sistema asignado por Microsoft Defender para punto de conexión. |
| AzureResourceId | El Id. de recurso de Azure. |
| MD4IoTid | El Id. de recurso de Microsoft Defender para IoT. |
| VMConnectionId | El Id. de recurso de la solución VM Insights de Azure Monitor. |
| AwsVpcId | Un Id. de AWS VPC. |
| VectraId | Un Id. de recurso asignado a Vectra AI. |
| Otros | Un tipo de id. no enumerado anteriormente. |
Por ejemplo, la solución VM Insights de Azure Monitor proporciona información de sesiones de red en la tabla de VMConnection. La tabla proporciona un Id. de recursos de Azure en el campo _ResourceId y un id. de dispositivo, de uso específico en VM Insights, en el campo Machine. Use las siguientes asignaciones para representar esos Ids.:
| Campo | Asignar a |
|---|---|
| DvcId | El campo Machine de la tabla VMConnection. |
| DvcIdType | El valor VMConnectionId |
| DvcAzureResourceId | El campo _ResourceId de la tabla VMConnection. |
Campos de dispositivo adicionales
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| IpAddr | Recomendado | Dirección IP | Dirección IP del dispositivo. Ejemplo: 45.21.42.12 |
| DvcDescription | Opcionales | String | Texto descriptivo asociado al dispositivo. Por ejemplo: Primary Domain Controller. |
| MacAddr | Opcionales | MAC | La dirección MAC del dispositivo en el que se produjo el evento o que informó del evento. Ejemplo: 00:1B:44:11:3A:B7 |
| Zone | Opcionales | String | La red en la que se produjo el evento o en la que se informó del evento, según el esquema. El dispositivo de informes define la zona. Ejemplo: Dmz |
| DvcOs | Opcionales | String | El sistema operativo que se utiliza en el dispositivo en el que se produjo el evento o que informó del evento. Ejemplo: Windows |
| DvcOsVersion | Opcionales | String | La versión del sistema operativo del dispositivo en el que se produjo el evento o que informó del evento. Ejemplo: 10 |
| DvcAction | Opcionales | String | Para los sistemas de seguridad de informes, la acción realizada por el sistema, si procede. Ejemplo: Blocked |
| DvcOriginalAction | Opcional | String | El valor original de DvcAction, como se proporciona en el dispositivo de informes. |
| Interface | Opcionales | String | Interfaz de red en la que se capturaron los datos. Este campo suele ser pertinente para la actividad relacionada con la red, que captura un dispositivo intermedio o de derivación. |
Tenga en cuenta que los campos enumerados en la lista con el prefijo Dvc deben anteponer un prefijo de rol, como Src o Dst, pero no deben anteponer un segundo prefijo Dvc si se usan en ese rol.
Asignación de entidades de ejemplo
En esta sección se usa el evento 4624 de Windows como ejemplo para describir cómo se normalizan los datos de eventos para Microsoft Sentinel.
Este evento tiene las siguientes entidades:
| Terminología de Microsoft | Prefijo de campo de evento original | Prefijo de campo de ASIM | Descripción |
|---|---|---|---|
| Subject | Subject |
Actor |
Usuario que ha notificado información sobre un inicio de sesión correcto. |
| Nuevo inicio de sesión | Target |
TargetUser |
Usuario para el que se realizó el inicio de sesión. |
| Process | - | ActingProcess |
Proceso que intentó el inicio de sesión. |
| Información de red | - | Src |
Máquina desde la que se realizó un intento de inicio de sesión. |
En función de estas entidades, el evento 4624 de Windows se normaliza como se muestra a continuación (algunos campos son opcionales):
| Campo normalizado | Campo original | Valor en el ejemplo | Notas |
|---|---|---|---|
| ActorUserId | SubjectUserSid | S-1-5-18 | |
| ActorUserIdType | - | SID | |
| ActorUserName | SubjectDomainName\ SubjectUserName | WORKGROUP\WIN-GG82ULGC9GO$ | Creado concatenando los dos campos |
| ActorUserNameType | - | Windows | |
| ActorSessionId | SubjectLogonId | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| UserId | TargetUserSid | Alias | |
| TargetUserIdType | - | SID | |
| TargetUserName | TargetDomainName\ TargetUserName | Administrator\WIN-GG82ULGC9GO$ | Creado concatenando los dos campos |
| Nombre de usuario | TargetDomainName\ TargetUserName | Alias | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | TargetLogonId | 0x8dcdc | |
| ActingProcessName | ProcessName | C:\Windows\System32\svchost.exe | |
| ActingProcessId | ProcessId | 0x44c | |
| SrcHostname | WorkstationName | Windows | |
| SrcIpAddr | IpAddress | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | Computer | WIN-GG82ULGC9GO | |
| Nombre de host | Computer | Alias |
Pasos siguientes
En este artículo se proporciona información general sobre la normalización en Microsoft Sentinel y ASIM.
Para más información, consulte:
- Vea el seminario web de profundización sobre los analizadores de normalización de Microsoft Sentinel y el contenido normalizado o revise las diapositivas
- Introducción al Modelo avanzado de información de seguridad (ASIM)
- Analizadores del Modelo avanzado de información de seguridad (ASIM)
- Contenido del Modelo avanzado de información de seguridad (ASIM)