Referencia del esquema de alerta del modelo de información de seguridad avanzada (ASIM)
El esquema de alertas de Microsoft Sentinel está diseñado para normalizar las alertas relacionadas con la seguridad de varios productos en un formato estandarizado dentro del modelo de información de seguridad avanzada (ASIM) de Microsoft. Este esquema se centra exclusivamente en eventos de seguridad, lo que garantiza un análisis coherente y eficaz en distintos orígenes de datos.
El esquema de alertas representa varios tipos de alertas de seguridad, como amenazas, actividades sospechosas, anomalías de comportamiento del usuario y infracciones de cumplimiento. Estas alertas se notifican mediante diferentes sistemas y productos de seguridad, incluidos, entre otros, los EDR, el software antivirus, los sistemas de detección de intrusiones, las herramientas de prevención de pérdida de datos, etc.
Para más información sobre la normalización en Microsoft Sentinel, consulte Normalización y Modelo avanzado de información de seguridad (ASIM).
Importante
El esquema de normalización de alertas está actualmente en versión preliminar. Esta característica se proporciona sin un Acuerdo de Nivel de Servicio. No es aconsejable para cargas de trabajo de producción.
En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Analizadores
Para más información sobre los analizadores de ASIM,consulte la introducción a los analizadores de ASIM.
Unificar analizadores
Para usar analizadores que unifiquen todos los analizadores estándar de ASIM y asegúrese de que el análisis se ejecuta en todos los orígenes configurados, use el _Im_AlertEvent analizador de filtrado o el _ASim_AlertEvent analizador sin parámetros. También puede usar los analizadores imAlertEvent y ASimAlertEvent implementados en el área de trabajo mediante su implementación desde el repositorio de Microsoft Sentinel en GitHub.
Para más información, vea Analizadores de ASIM integrados y analizadores implementados por el área de trabajo.
Analizadores específicos del origen de fábrica
Para obtener la lista de analizadores de alertas, Microsoft Sentinel proporciona listas para usar, consulte la lista de analizadores de ASIM.
Agregar sus propios analizadores normalizados
Al desarrollar analizadores personalizados para el modelo de información de alertas, asigne un nombre a las funciones de KQL mediante la sintaxis siguiente:
-
vimAlertEvent<vendor><Product>para analizadores con parámetros -
ASimAlertEvent<vendor><Product>para analizadores regulares
Consulte el artículo Administración de analizadores de ASIM para aprender a agregar los analizadores personalizados a los analizadores de alertas que unifican los analizadores.
Filtrar parámetros del analizador
Los analizadores de alertas admiten varios parámetros de filtrado para mejorar el rendimiento de las consultas. Estos parámetros son opcionales, pero pueden mejorar el rendimiento de las consultas. Están disponibles los siguientes parámetros de filtrado:
| Nombre | Escribir | Descripción |
|---|---|---|
| starttime | datetime | Filtre solo las alertas que se iniciaron en o después de este tiempo. |
| endtime | datetime | Filtre solo las alertas que se iniciaron en o antes de esta hora. |
| ipaddr_has_any_prefix | dinámico | Filtre solo las alertas para las que el campo "DvcIpAddr" se encuentra en uno de los valores enumerados. |
| hostname_has_any | dinámico | Filtre solo las alertas para las que el campo "DvcHostname" esté en uno de los valores enumerados. |
| username_has_any | dinámico | Filtre solo las alertas para las que el campo "Nombre de usuario" esté en uno de los valores enumerados. |
| attacktactics_has_any | dinámico | Filtre solo las alertas para las que el campo "AttackTactics" esté en uno de los valores enumerados. |
| attacktechniques_has_any | dinámico | Filtre solo las alertas para las que el campo "AttackTechniques" se encuentra en uno de los valores enumerados. |
| threatcategory_has_any | dinámico | Filtre solo las alertas para las que el campo "ThreatCategory" esté en uno de los valores enumerados. |
| alertverdict_has_any | dinámico | Filtre solo las alertas para las que el campo "AlertVerdict" esté en uno de los valores enumerados. |
| eventseverity_has_any | dinámico | Filtre solo las alertas para las que el campo "EventSeverity" esté en uno de los valores enumerados. |
Información general del esquema
El esquema de alerta sirve varios tipos de eventos de seguridad, que comparten los mismos campos. Estos eventos se identifican mediante el campo EventType:
- Información sobre amenazas: alertas relacionadas con varios tipos de actividades malintencionadas, como malware, phishing, ransomware y otras amenazas cibernéticas.
- Actividades sospechosas: alertas de actividades que no son necesariamente amenazas confirmadas, pero son sospechosas y garantizan una investigación adicional, como varios intentos de inicio de sesión erróneos o acceso a archivos restringidos.
- Anomalías de comportamiento del usuario: alertas que indican un comportamiento de usuario inusual o inesperado que podría sugerir un problema de seguridad, como tiempos de inicio de sesión anómalos o patrones de acceso a datos inusuales.
- Infracciones de cumplimiento: alertas relacionadas con el incumplimiento de las directivas normativas o internas. Por ejemplo, una máquina virtual expuesta con puertos públicos abiertos vulnerables a ataques (alerta de seguridad en la nube).
Importante
Para conservar la relevancia y eficacia del esquema de alerta, solo se deben asignar alertas relacionadas con la seguridad.
El esquema de alerta hace referencia a las siguientes entidades para capturar detalles sobre la alerta:
-
Los campos dvc se usan para capturar detalles sobre el host o ip asociado a la alerta.
-
Los campos de usuario se usan para capturar detalles sobre el usuario asociado a la alerta.
- De forma similar , los campos Proceso, Archivo, Dirección URL, Registro y Correo electrónico se usan para capturar solo los detalles clave sobre el proceso, el archivo, la dirección URL, el registro y el correo electrónico asociados a la alerta, respectivamente.
Importante
- Al compilar un analizador específico del producto, use el esquema de alerta de ASIM cuando la alerta contenga información sobre un incidente de seguridad o una amenaza potencial, y los detalles principales se pueden asignar directamente a los campos de esquema de alerta disponibles. El esquema de alerta es ideal para capturar información de resumen sin campos amplios específicos de la entidad.
- Sin embargo, si se encuentra colocando campos esenciales en "AdditionalFields" debido a la falta de coincidencias directas de campos, considere un esquema más especializado. Por ejemplo, si una alerta incluye detalles relacionados con la red, como varias direcciones IP, por ejemplo, SrcIpAdr, DstIpAddr, PortNumber, etc., puede optar por el esquema NetworkSession en el esquema de alerta. Los esquemas especializados también proporcionan campos dedicados para capturar información relacionada con amenazas, mejorar la calidad de los datos y facilitar un análisis eficaz.
Detalles del esquema
Campos ASIM comunes
En la lista siguiente se mencionan campos que tienen directrices específicas para eventos de alerta:
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| EventType | Mandatory | Enumerated | Tipo de evento. Los valores admitidos son: - Alert |
| EventSubType | Recomendado | Enumerated | Especifica el subtipo o categoría del evento de alerta, lo que proporciona detalles más detallados dentro de la clasificación de eventos más amplia. Este campo ayuda a distinguir la naturaleza del problema detectado, mejorando la priorización de incidentes y las estrategias de respuesta. Los valores admitidos son: - Threat (Representa una actividad malintencionada confirmada o muy probable que pueda poner en peligro el sistema o la red).- Suspicious Activity (Marca el comportamiento o los eventos que aparecen inusuales o sospechosos, aunque aún no se han confirmado como malintencionados)- Anomaly (Identifica las desviaciones de los patrones normales que podrían indicar un riesgo de seguridad potencial o un problema operativo)- Compliance Violation (Resalta las actividades que infringen los estándares normativos, de directivas o de cumplimiento) |
| EventUid | Mandatory | string | Cadena alfanumérica legible por máquina que identifica de forma única una alerta dentro de un sistema. p. ej. A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
| EventMessage | Opcionales | string | Información detallada sobre la alerta, incluido su contexto, causa y posible impacto. p. ej. Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
| IpAddr | Alias | Alias o nombre descriptivo para DvcIpAddr el campo. |
|
| Nombre de host | Alias | Alias o nombre descriptivo para DvcHostname el campo. |
|
| EventSchema | Mandatory | string | Esquema usado para el evento. El esquema documentado aquí es AlertEvent. |
| EventSchemaVersion | Mandatory | string | Versión del esquema. La versión del esquema que se documenta aquí es 0.1. |
Todos los campos comunes
Los campos que aparecen en la tabla siguiente son comunes a todos los esquemas de ASIM. Cualquier directriz especificada anteriormente invalida las directrices generales para el campo. Por ejemplo, un campo podría ser opcional en general, pero obligatorio para un esquema específico. Para obtener más información sobre cada campo, consulte el siguiente artículo sobre los campos comunes de ASIM.
| Clase | Campos |
|---|---|
| Mandatory |
-
EventCount - EventStartTime - EventEndTime - EventType - EventUid - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
| Recomendado |
-
EventSubType - EventSeverity - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType |
| Opcionales |
-
EventMessage - EventOriginalType - EventOriginalSubType - EventOriginalSeverity - EventProductVersion - EventOriginalUid - EventReportUrl - EventResult - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcAction - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campos de inspección
En la tabla siguiente se tratan los campos que proporcionan información crítica sobre las reglas y amenazas asociadas a las alertas. Juntos, ayudan a enriquecer el contexto de la alerta, lo que facilita a los analistas de seguridad comprender su origen y su importancia.
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| AlertId | Alias | string | Alias o nombre descriptivo para EventUid el campo. |
| AlertName | Recomendado | string | Título o nombre de la alerta. p. ej. Possible use of the Rubeus kerberoasting tool |
| AlertDescription | Alias | string | Alias o nombre descriptivo para EventMessage el campo. |
| AlertVerdict | Opcionales | Enumerated | La determinación final o el resultado de la alerta, que indica si la alerta se confirmó como una amenaza, se consideró sospechosa o se resolvió como un falso positivo. Los valores admitidos son: - True Positive (Confirmado como una amenaza legítima)- False Positive (Identificado incorrectamente como una amenaza)- Benign Positive (cuando se determina que el evento es inofensivo)- Unknown (Estado indeterminado o indeterminado) |
| AlertStatus | Opcionales | Enumerated | Indica el estado actual o el progreso de la alerta. Los valores admitidos son: - Active- Closed |
| AlertOriginalStatus | Opcionales | string | El estado de la alerta tal como lo informa el sistema de origen. |
| DetectionMethod | Opcionales | Enumerated | Proporciona información detallada sobre el método de detección, la tecnología o el origen de datos específicos que han contribuido a la generación de la alerta. Este campo ofrece más información sobre cómo se detectó o desencadenó la alerta, lo que ayuda a comprender el contexto de detección y la confiabilidad. Los valores admitidos son: - EDR: sistemas de detección y respuesta de puntos de conexión que supervisan y analizan las actividades del punto de conexión para identificar las amenazas.- Behavioral Analytics: técnicas que detectan patrones anómalos en el comportamiento del usuario, el dispositivo o el sistema.- Reputation: detección de amenazas basada en la reputación de direcciones IP, dominios o archivos.- Threat Intelligence: fuentes de inteligencia externas o internas que proporcionan datos sobre amenazas conocidas o tácticas de adversario.- Intrusion Detection: sistemas que supervisan el tráfico de red o las actividades para detectar intrusiones o ataques.- Automated Investigation: sistemas automatizados que analizan e investigan alertas, lo que reduce la carga de trabajo manual.- Antivirus: motores antivirus tradicionales que detectan malware basado en firmas y heurística.- Data Loss Prevention: soluciones centradas en evitar transferencias de datos no autorizadas o fugas.- User Defined Blocked List: listas personalizadas definidas por los usuarios para bloquear direcciones IP, dominios o archivos específicos.- Cloud Security Posture Management: herramientas que evalúan y administran los riesgos de seguridad en entornos en la nube.- Cloud Application Security: soluciones que protegen las aplicaciones y los datos en la nube.- Scheduled Alerts: alertas generadas en función de las programaciones o umbrales predefinidos.- Other: cualquier otro método de detección no cubierto por las categorías anteriores. |
| Regla | Alias | string | El valor de RuleName o el valor de RuleNumber. Si se usa el valor de RuleNumber, el tipo se debe convertir en cadena. |
| RuleNumber | Opcionales | int | Número de la regla asociada a la alerta. p. ej. 123456 |
| RuleName | Opcionales | string | Nombre o identificador de la regla asociada a la alerta. p. ej. Server PSEXEC Execution via Remote Access |
| RuleDescription | Opcionales | string | Descripción de la regla asociada a la alerta. p. ej. This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
| ThreatId | Opcional | string | Identificador de la amenaza o malware identificado en la alerta. p. ej. 1234567891011121314 |
| ThreatName | Opcional | string | Nombre de la amenaza o malware identificado en la alerta. p. ej. Init.exe |
| ThreatFirstReportedTime | Opcionales | datetime | Fecha y hora en que se informó por primera vez la amenaza. p. ej. 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Opcionales | datetime | Fecha y hora en que se notificó por última vez la amenaza. p. ej. 2024-09-19T10:12:10.0000000Z |
| ThreatCategory | Recomendado | Enumerated | Categoría de la amenaza o malware identificado en la alerta. Los valores admitidos son: , , , , SpywareAdwarePhishingCryptominorMaliciousUrlSecurity Policy ViolationSpamWormRootkitSpoofingVirusTrojanRansomwareMalwareUnknown |
| ThreatOriginalCategory | Opcionales | string | Categoría de la amenaza notificada por el sistema de origen. |
| ThreatIsActive | Opcionales | bool | Indica si la amenaza está activa actualmente. Los valores admitidos son: True, False |
| ThreatRiskLevel | Opcionales | int | Nivel de riesgo asociado a la amenaza. El nivel debe ser un número entre 0 y 100. Nota: El valor se puede proporcionar en el registro de origen mediante una escala diferente, que se debe normalizar a esta. El valor original debe almacenarse en el campo ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcionales | string | Nivel de riesgo notificado por el sistema de origen. |
| ThreatConfidence | Opcionales | int | Nivel de confianza de la amenaza identificada, normalizada en un valor comprendido entre 0 y 100. |
| ThreatOriginalConfidence | Opcionales | string | Nivel de confianza notificado por el sistema de origen. |
| IndicatorType | Recomendado | Enumerated | Tipo o categoría del indicador Los valores admitidos son: - Ip- User- Process- Registry- Url- Host- Cloud Resource- Application- File- Email- Mailbox- Logon Session |
| IndicatorAssociation | Opcionales | Enumerated | Especifica si el indicador está vinculado o directamente afectado por la amenaza. Los valores admitidos son: - Associated- Targeted |
| AttackTactics | Recomendado | string | Tácticas de ataque (nombre, identificador o ambos) asociadas a la alerta. Formato preferido: p ej: Persistence, Privilege Escalation |
| AttackTechniques | Recomendado | string | Las técnicas de ataque (nombre, identificador o ambos) asociadas a la alerta. Formato preferido: p ej: Local Groups (T1069.001), Domain Groups (T1069.002) |
| AttackRemediationSteps | Recomendado | string | Acciones o pasos recomendados para mitigar o corregir el ataque o amenaza identificados. Ejemplo 1. Make sure the machine is completely updated and all your software has the latest patch.2. Contact your incident response team. |
Campos de usuario
En esta sección se definen los campos relacionados con la identificación y clasificación de los usuarios asociados a una alerta, lo que proporciona claridad sobre el usuario afectado y el formato de su identidad. Si la alerta contiene campos adicionales relacionados con el usuario que superan lo que se asigna aquí, puede considerar si un esquema especializado, como el esquema de eventos de autenticación, puede ser más adecuado para representar completamente los datos.
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| UserId | Opcionales | string | Representación única, alfanumérica y legible por máquina del usuario asociado a la alerta. p. ej. A1bC2dE3fH4iJ5kL6mN7o |
| UserIdType | Condicional | Enumerated | Tipo del identificador de usuario, como GUID, SIDo Email.Los valores admitidos son: - GUID- SID- Email- Username- Phone- Other |
| Nombre de usuario | Recomendado | string | Nombre del usuario asociado a la alerta, incluida la información de dominio cuando esté disponible. Por ejemplo, Contoso\JSmith o john.smith@contoso.com |
| User | Alias | string | Alias o nombre descriptivo para Username el campo. |
| UsernameType | Condicional | UsernameType | Especifica el tipo del nombre de usuario almacenado en el Username campo . Para obtener más información y una lista de los valores permitidos, consulte UsernameType en el artículo Introducción al esquema.p. ej. Windows |
| UserType | Opcionales | UserType | Tipo del actor. Para obtener más información y una lista de los valores permitidos, consulte UserType en el artículo Introducción al esquema. p. ej. Guest |
| OriginalUserType | Opcionales | string | Tipo de usuario indicado por el dispositivo de informes. |
| UserSessionId | Opcionales | string | Identificador único de la sesión del usuario asociada a la alerta. p. ej. a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
| UserScopeId | Opcional | string | El identificador de ámbito, como el id. de directorio de Microsoft Entra, en el que se definen UserId y Username. p. ej. a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
| UserScope | Opcional | string | Ámbito, como el inquilino de Microsoft Entra, en el que se definen UserId y Username. Para obtener más información y una lista de los valores permitidos, consulte UserScope en el artículo Introducción al esquema. p. ej. Contoso Directory |
Campos de proceso
Esta sección permite capturar detalles relacionados con una entidad de proceso implicada en una alerta mediante los campos especificados. Si la alerta contiene campos adicionales y detallados relacionados con procesos que superan lo que se asigna aquí, puede considerar si un esquema especializado, como el esquema de eventos de proceso, puede ser más adecuado para representar completamente los datos.
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| ProcessId | Opcionales | string | Identificador de proceso (PID) asociado a la alerta. p. ej. 12345678 |
| ProcessCommandLine | Opcionales | string | Línea de comandos usada para iniciar el proceso. p. ej. "choco.exe" -v |
| ProcessName | Opcionales | string | Nombre del proceso. p. ej. C:\Windows\explorer.exe |
| ProcessFileCompany | Opcionales | string | Empresa que creó el archivo de imagen de proceso. p. ej. Microsoft |
Campos de archivo
Esta sección le permite capturar detalles relacionados con una entidad de archivo implicada en una alerta. Si la alerta contiene campos adicionales y detallados relacionados con archivos que superan lo que se asigna aquí, puede considerar si un esquema especializado, como el esquema de eventos de archivo, puede ser más adecuado para representar completamente los datos.
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| FileName | Opcional | string | Nombre del archivo asociado a la alerta, sin ruta de acceso ni ubicación. p. ej. Notepad.exe |
| FilePath | Opcionales | string | la ruta de acceso completa y normalizada del archivo de destino, incluida la carpeta o ubicación, el nombre de archivo y la extensión. p. ej. C:\Windows\System32\notepad.exe |
| FileSHA1 | Opcionales | string | Hash SHA1 del archivo. p. ej. j5kl6mn7op8qr9st0uv1 |
| FileSHA256 | Opcionales | string | Hash SHA256 del archivo. p. ej. a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
| FileMD5 | Opcionales | string | Hash MD5 del archivo. p. ej. j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
| FileSize | Opcional | long | Tamaño del archivo en bytes. p. ej. 123456 |
Campo de dirección URL
Si la alerta incluye información sobre la entidad Url, los siguientes campos pueden capturar datos relacionados con la dirección URL.
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| Url | Opcionales | string | Cadena de dirección URL capturada en la alerta. p. ej. https://contoso.com/fo/?k=v&q=u#f |
Campos del Registro
Si la alerta incluye detalles sobre la entidad del Registro, use los siguientes campos para capturar información específica relacionada con el Registro.
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| RegistryKey | Opcionales | string | Clave del Registro asociada a la alerta, normalizada a convenciones de nomenclatura de clave raíz estándar. p. ej. HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | Opcionales | string | Valor del Registro. p. ej. ImagePath |
| RegistryValueData | Opcionales | string | Datos del valor del Registro. p. ej. C:\Windows\system32;C:\Windows; |
| RegistryValueType | Opcionales | Enumerated | Tipo del valor del Registro. p. ej. Reg_Expand_Sz |
Campos de correo electrónico
Si la alerta incluye información sobre la entidad de correo electrónico, use los siguientes campos para capturar detalles específicos relacionados con el correo electrónico.
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| EmailMessageId | Opcionales | string | Identificador único del mensaje de correo electrónico asociado a la alerta. p. ej. Request for Invoice Access |
| EmailSubject | Opcionales | string | Asunto del correo electrónico. p. ej. j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
Actualizaciones de esquema
A continuación se muestran los cambios en varias versiones del esquema:
- Versión 0.1: versión inicial.