Referencia del esquema de normalización de sesiones de red con el modelo de información de seguridad avanzada (ASIM; versión preliminar pública)
El esquema de normalización de sesión de red de Microsoft Sentinel representa una actividad de red IP, como conexiones de red y sesiones de red. Estos eventos se notifican, por ejemplo, por los sistemas operativos, los enrutadores, los firewalls y los sistemas de prevención de intrusiones.
El esquema de normalización de red puede representar cualquier tipo de sesión de red IP, pero está diseñado para proporcionar compatibilidad con tipos de origen comunes, como Netflow, firewalls y sistemas de prevención de intrusiones.
Para más información sobre la normalización en Microsoft Sentinel, consulte Normalización y Modelo avanzado de información de seguridad (ASIM).
En este artículo se describe la versión 0.2.x del esquema de normalización de red. La versión 0.1 se publicó antes de que ASIM estuviera disponible y no se alinea con ASIM en varios lugares. Para más información, consulte Diferencias entre versiones del esquema de normalización de red.
Importante
El esquema de normalización de red está actualmente en versión preliminar. Esta característica se proporciona sin un Acuerdo de Nivel de Servicio. No es aconsejable para cargas de trabajo de producción.
En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Analizadores
Para más información sobre los analizadores de ASIM,consulte la introducción a los analizadores de ASIM.
Unificación de analizadores
Para usar analizadores que unifiquen todos los analizadores predeterminados de ASIM y asegurarse de que el análisis se ejecuta en todos los orígenes configurados, use el analizador de filtrado _Im_NetworkSession o el analizador sin parámetros _ASim_NetworkSession.
También puede usar los analizadores ImNetworkSession y ASimNetworkSession implementados en el área de trabajo mediante su implementación desde el repositorio de Microsoft Sentinel en GitHub.
Para más información, vea Analizadores de ASIM integrados y analizadores implementados por el área de trabajo.
Analizadores integrados específicos del origen
Para obtener la lista de analizadores de sesiones de red que proporciona Microsoft Sentinel, consulte la lista de analizadores de ASIM
Adición de sus propios analizadores normalizados
Al desarrollar analizadores personalizados para el modelo de información de sesión de red, asigne un nombre a las funciones KQL con la sintaxis siguiente:
vimNetworkSession<vendor><Product>para analizadores parametrizadosASimNetworkSession<vendor><Product>para analizadores regulares
Consulte el artículo Administración de analizadores de ASIM para obtener información sobre cómo agregar los analizadores personalizados a los analizadores de unificación de la sesión de red.
Filtrado de parámetros del analizador
Los analizadores de sesión de red admiten parámetros de filtrado. Aunque estos parámetros son opcionales, pueden mejorar el rendimiento de las consultas.
Están disponibles los siguientes parámetros de filtrado:
| Nombre | Escribir | Descripción |
|---|---|---|
| starttime | datetime | Filtre solo las sesiones de red que se iniciaron en este momento, o después. |
| endtime | datetime | Filtre solo las sesiones de red que empezaron a ejecutarse en este momento, o antes. |
| srcipaddr_has_any_prefix | dinámico | Filtre solo las sesiones de red para las que el prefijo del campo de dirección IP de origen es uno de los valores enumerados. Los prefijos deben terminar por ., por ejemplo: 10.0.. La longitud de la lista se limita a 10 000 elementos. |
| dstipaddr_has_any_prefix | dinámico | Filtre solo las sesiones de red para las que el prefijo del campo de dirección IP de destino se encuentra en uno de los valores enumerados. Los prefijos deben terminar por ., por ejemplo: 10.0.. La longitud de la lista se limita a 10 000 elementos. |
| ipaddr_has_any_prefix | dinámico | Filtre solo las sesiones de red cuyo prefijo del campo de dirección IP de destino o del campo de dirección IP de origen se encuentre en uno de los valores enumerados. Los prefijos deben terminar por ., por ejemplo: 10.0.. La longitud de la lista se limita a 10 000 elementos.El campo ASimMatchingIpAddr se establece con uno de los valores SrcIpAddr, DstIpAddro Both para reflejar los campos o campos coincidentes. |
| dstportnumber | Int | Filtre solo las sesiones de red con el número de puerto de destino especificado. |
| hostname_has_any | dynamic/string | Filtre solo las sesiones de red para las que el campo de nombre de host de destino tenga cualquiera de los valores enumerados. La longitud de la lista se limita a 10 000 elementos. El campo ASimMatchingHostname se establece con uno de los valores SrcHostname, DstHostnameo Both para reflejar los campos o campos coincidentes. |
| dvcaction | dynamic/string | Filtre solo las sesiones de red para las que el campo de acción del dispositivo sea cualquiera de los valores enumerados. |
| eventresult | Cadena | Filtre solo las sesiones de red con un valor de EventResult específico. |
Algunos parámetros pueden aceptar la lista de valores de tipo dynamic o un único valor de cadena. Para pasar una lista literal a parámetros que esperan un valor dinámico, use explícitamente un literal dinámico. Por ejemplo: dynamic(['192.168.','10.'])
Por ejemplo, para filtrar únicamente las sesiones de red de una lista específica de nombres de dominio, use:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
Sugerencia
Para pasar una lista literal a parámetros que esperan un valor dinámico, use explícitamente un literal dinámico. Por ejemplo: dynamic(['192.168.','10.']).
Contenido normalizado
Para obtener una lista completa de las reglas de análisis que usan eventos DNS normalizados, vea Contenido de seguridad de sesión de red.
Información general del esquema
El modelo de información de Sesión de red está alineado con el esquema de entidad de red de OSSEM.
El esquema de sesión de red atiende varios tipos de escenarios similares pero distintos, que comparten los mismos campos. Estos escenarios se identifican mediante el campo EventType:
NetworkSession: una sesión de red notificada por un dispositivo intermedio que supervisa la red, como un firewall, un enrutador o un TAP de red.L2NetworkSession: sesiones de red para las que solo está disponible la información de nivel 2. Eventos de este tipo incluirán direcciones MAC, pero no direcciones IP.Flow: un evento agregado que notifica varias sesiones de red similares, normalmente durante un período de tiempo predefinido, como eventos de Netflow.EndpointNetworkSession: una sesión de red notificada por uno de los puntos finales de la sesión, que incluye los clientes y los servidores. Para estos eventos, el esquema admite los campos de aliasremoteylocal.IDS: una sesión de red notificada como sospechosa. Un evento de este tipo tendrá rellenados algunos de los campos de inspección y puede tener rellenado un solo campo de dirección IP, ya sea de origen o destino.
Normalmente, una consulta debe seleccionar solo un subconjunto de esos tipos de eventos y puede que tenga que abordar por separado aspectos únicos de los casos de uso. Por ejemplo, los eventos IDS no reflejan todo el volumen de red y no deben tenerse en cuenta en el análisis basado en columnas.
Los eventos de sesión de red usan los descriptores Src y Dst para indicar los roles de los dispositivos y de los usuarios y aplicaciones relacionados involucrados en la sesión. Así, por ejemplo, el nombre de host y la dirección IP del dispositivo de origen se denominan SrcHostname y SrcIpAddr. Otros esquemas de ASIM suelen usar Target en lugar de Dst.
Para los eventos notificados por un punto de conexión y para los que el tipo de evento es EndpointNetworkSession, los descriptores Local y Remote indican el propio punto de conexión y el dispositivo en el otro extremo de la sesión de red, respectivamente.
El descriptor Dvc se usa para el dispositivo de notificación, que es el sistema local para las sesiones notificadas por un punto de conexión, y el dispositivo intermedio o la derivación de red para otros eventos de sesión de red.
Detalles del esquema
Campos comunes de ASIM
Importante
Los campos comunes a todos los esquemas se describen detalladamente en el artículo Campos comunes de ASIM.
Campos comunes con instrucciones específicas
En la siguiente lista se mencionan los campos con instrucciones específicas para los eventos de sesión de red:
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| EventCount | Mandatory | Entero | Los orígenes de Netflow admiten agregación, y el campo EventCount se debe establecer en el valor del campo FLOWS (FLUJOS) de Netflow. En el caso de otros orígenes, el valor se establece normalmente en 1. |
| EventType | Mandatory | Enumerated | Describe el escenario notificado por el registro. Para los registros de sesiones de red, los valores permitidos son: - EndpointNetworkSession- NetworkSession - L2NetworkSession- IDS - FlowPara obtener más información sobre los tipos de eventos, consulte la información general del esquema |
| EventSubType | Opcionales | String | Descripción adicional del tipo de evento, si procede. En el caso de registros de Sesión de red, los valores que se admiten incluyen: - Start- EndEste campo no es relevante para los eventos Flow. |
| EventResult | Mandatory | Enumerated | Si el dispositivo de origen no proporciona un resultado de evento, EventResult debe basarse en el valor de DvcAction. Si DvcAction es Deny, Drop, Drop ICMP, Reset, Reset Source o Reset Destination,EventResult debe ser Failure. De lo contrario, EventResult debe ser Success. |
| EventResultDetails | Recomendado | Enumerated | Motivo o detalles del resultado notificado en el campo EventResult. Los valores admitidos son: - Conmutación por error - TCP no válido - Túnel no válido - Reintento máximo - Restablecimiento - Problema en el enrutamiento - Simulación - Finalizado - Timeout - Error transitorio - Desconocido - N/D. El valor original, específico del origen, se almacena en el campo EventOriginalResultDetails. |
| EventSchema | Mandatory | String | El nombre del esquema que se documenta aquí es NetworkSession. |
| EventSchemaVersion | Mandatory | String | Versión del esquema. La versión del esquema que se documenta aquí es 0.2.6. |
| DvcAction | Recomendado | Enumerated | La acción realizada en la sesión de red. Los valores admitidos son: - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNrouteNota: El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. El valor original debe almacenarse en el campo DvcOriginalAction. Ejemplo: drop |
| EventSeverity | Opcional | Enumerated | Si el dispositivo de origen no proporciona una gravedad de evento, EventSeverity debe basarse en el valor de DvcAction. Si DvcAction es Deny, Drop, Drop ICMP, Reset, Reset Source o Reset Destination,EventSeverity debe ser Low. De lo contrario, EventSeverity debe ser Informational. |
| DvcInterface | El campo DvcInterface debe tener como alias los campos DvcInboundInterface o DvcOutboundInterface. | ||
| Campos dvc | En el caso de los eventos de Sesión de red, los campos del dispositivo hacen referencia al sistema que informa del evento de Sesión de red. |
Todos los campos comunes
Los campos que aparecen en la tabla siguiente son comunes a todos los esquemas de ASIM. Cualquier directriz especificada anteriormente invalida las directrices generales para el campo. Por ejemplo, un campo podría ser opcional en general, pero obligatorio para un esquema específico. Para obtener más información sobre cada campo, consulte el siguiente artículo sobre los campos comunes de ASIM.
| Clase | Fields |
|---|---|
| Mandatory | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendado | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcionales | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campos de sesión de red
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| NetworkApplicationProtocol | Opcional | String | Protocolo de la capa de aplicación usado por la conexión o la sesión. El valor debe estar en mayúsculas. Ejemplo: FTP |
| NetworkProtocol | Opcionales | Enumerated | Protocolo IP usado por la conexión o la sesión, como se muestra en Asignación de protocolos de IANA, que habitualmente es TCP, UDP o ICMP.Ejemplo: TCP |
| NetworkProtocolVersion | Opcional | Enumerated | Versión de NetworkProtocol. Cuando se use para distinguir entre la versión de IP, use los valores IPv4 y IPv6. |
| NetworkDirection | Opcional | Enumerated | La dirección de la conexión o sesión: - Para EventType NetworkSession, Flow o L2NetworkSession, NetworkDirection representa la dirección relativa al límite de la organización o del entorno en la nube. Los valores admitidos son Inbound, Outbound, Local (en la organización), External (en la organización) o NA (no aplicable).- Para EventType EndpointNetworkSession, NetworkDirection representa la dirección relativa al punto de conexión. Los valores admitidos son Inbound, Outbound, Local (en el sistema), Listen o NA (no aplicable). El valor Listen indica que un dispositivo ha empezado a aceptar conexiones de red, pero que en realidad no es imprescindible que esté conectado. |
| NetworkDuration | Opcional | Entero | Cantidad de tiempo, en milisegundos, para la finalización de la sesión o la conexión de red. Ejemplo: 1500 |
| Duration | Alias | Alias de NetworkDuration. | |
| NetworkIcmpType | Opcionales | String | Para un mensaje ICMP, el nombre de tipo ICMP asociado al valor numérico, como se describe en RFC 2780 para las conexiones de red IPv4 o en RFC 4443 para las conexiones de red IPv6. Ejemplo: Destination Unreachable para NetworkIcmpCode 3 |
| NetworkIcmpCode | Opcional | Entero | En mensajes de ICMP, el número del código, como se describe en RFC 2780 para las conexiones de red IPv4, o en RFC 4443 para las conexiones de red IPv6. |
| NetworkConnectionHistory | Opcional | Cadena | Marcas TCP y otra información de encabezado IP potencial. |
| DstBytes | Recomendado | long | Número de bytes enviados desde el destino hasta el origen en la conexión o la sesión. Si se agrega el evento, DstBytes debe ser la suma de todas las sesiones agregadas. Ejemplo: 32455 |
| SrcBytes | Recomendado | long | Número de bytes enviados desde el origen hasta el destino en la conexión o la sesión. Si se agrega el evento, SrcBytes debe ser la suma de todas las sesiones agregadas. Ejemplo: 46536 |
| NetworkBytes | Opcional | long | Número de bytes enviados en ambas direcciones. Si existen BytesReceived y BytesSent, BytesTotal debe ser igual a su suma. Si se agrega el evento, NetworkBytes debe ser la suma de todas las sesiones agregadas. Ejemplo: 78991 |
| DstPackets | Opcional | long | Número de paquetes enviados del destino al origen en la conexión o la sesión. El dispositivo de informes define el significado de un paquete. Si se agrega el evento, DstPackets debe ser la suma de todas las sesiones agregadas. Ejemplo: 446 |
| SrcPackets | Opcional | long | Número de paquetes enviados del origen al destino en la conexión o la sesión. El dispositivo de informes define el significado de un paquete. Si se agrega el evento, SrcPackets debe ser la suma de todas las sesiones agregadas. Ejemplo: 6478 |
| NetworkPackets | Opcional | long | Número de paquetes enviados en ambas direcciones. Si PacketsReceived y PacketsSent existen, BytesTotal debe ser igual a su suma. El dispositivo de informes define el significado de un paquete. Si se agrega el evento, NetworkPackets debe ser la suma de todas las sesiones agregadas. Ejemplo: 6924 |
| NetworkSessionId | Opcional | string | Identificador de sesión notificado por el dispositivo de informes. Ejemplo: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| SessionId | Alias | String | Alias de NetworkSessionId. |
| TcpFlagsAck | Opcionales | Boolean | Marca ACK de TCP notificada. La marca de confirmación se usa para confirmar la recepción correcta de un paquete. Como podemos ver en el diagrama anterior, el receptor envía un ACK y un SYN en el segundo paso del proceso de protocolo de enlace de tres vías para indicar al remitente que recibió su paquete inicial. |
| TcpFlagsFin | Opcionales | Boolean | Marca FIN de TCP notificada. La marca finalizada significa que no hay más datos del remitente. Por lo tanto, se usa en el último paquete enviado desde el remitente. |
| TcpFlagsSyn | Opcionales | Boolean | Marca SYN de TCP notificada. La marca de sincronización se usa como primer paso para establecer un protocolo de enlace de tres vías entre dos hosts. Solo el primer paquete del remitente y el receptor deben tener esta marca establecida. |
| TcpFlagsUrg | Opcionales | Boolean | Marca URG de TCP notificada. La marca urgente se usa para notificar al receptor que procese los paquetes urgentes antes de procesar todos los demás paquetes. Se notificará al receptor cuando se hayan recibido todos los datos urgentes conocidos. Consulte RFC 6093 para obtener más detalles. |
| TcpFlagsPsh | Opcionales | Boolean | Marca PSH de TCP notificada. La marca de envío de cambios es similar a la marca URG e indica al receptor que procese estos paquetes a medida que se reciben en lugar de almacenarlos en búfer. |
| TcpFlagsRst | Opcionales | Boolean | Marca RST de TCP notificada. La marca de restablecimiento se envía desde el receptor al emisor cuando se envía un paquete a un host determinado que no lo esperaba. |
| TcpFlagsEce | Opcionales | Boolean | Marca ECE de TCP notificada. Esta marca es responsable de indicar si el nodo del mismo nivel de TCP es compatible con ECN. Consulte RFC 3168 para obtener más detalles. |
| TcpFlagsCwr | Opcionales | Boolean | Marca CWR de TCP notificada. El host de envío usa la marca reducida de la ventana de congestión para indicar que recibió un paquete con la marca ECE establecida. Consulte RFC 3168 para obtener más detalles. |
| TcpFlagsNs | Opcionales | Boolean | Marca NS de TCP notificada. La marca de suma nonce sigue siendo una marca experimental que se usa para ayudar a protegerse contra la ocultación malintencionada accidental de paquetes del remitente. Consulte RFC 3540 para obtener más detalles. |
Campos del sistema de destino
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| Dst | Recomendado | Alias | Identificador único del servidor que recibe la solicitud de DNS. Este campo puede ser un alias de los campos DstDvcId, DstHostname o DstIpAddr. Ejemplo: 192.168.12.1 |
| DstIpAddr | Recomendado | Dirección IP | Dirección IP de destino de la conexión o de la sesión. Si la sesión usa la traducción de direcciones de red, DstIpAddr es la dirección visible públicamente, no la dirección original del origen, que se almacena en DstNatIpAddr.Ejemplo: 2001:db8::ff00:42:8329Nota: Este valor es obligatorio si se especifica el campo DstHostname. |
| DstPortNumber | Opcional | Entero | Puerto de la dirección IP. Ejemplo: 443 |
| DstHostname | Recomendado | Nombre de host | Nombre de host del dispositivo de destino, excepto la información de dominio. Si no hay ningún nombre de dispositivo disponible, almacene la dirección IP correspondiente en este campo. Ejemplo: DESKTOP-1282V4D |
| DstDomain | Recomendado | String | Dominio del dispositivo de destino. Ejemplo: Contoso |
| DstDomainType | Condicional | Enumerated | Tipo de DstDomain. Para obtener más información y una lista de valores permitidos, consulte DomainType en el artículo Introducción al esquema. Obligatorio si se usa el campo DstDomain. |
| DstFQDN | Opcional | String | Nombre de host del dispositivo de destino, incluida la información de dominio cuando esté disponible. Ejemplo: Contoso\DESKTOP-1282V4D Nota: Este campo admite tanto el formato de FQDN tradicional como el formato de dominio\nombre de host de Windows. El campo DstDomainType refleja el formato utilizado. |
| DstDvcId | Opcional | String | Identificador del dispositivo de destino. Si hay disponibles varios identificadores, use el más importante y almacene los demás en los campos DstDvc<DvcIdType>. Ejemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | Opcionales | String | Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. DstDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| DstDvcScope | Opcionales | String | Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. DstDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| DstDvcIdType | Condicional | Enumerated | Tipo de DstDvcId. Para obtener más información y una lista de valores permitidos, consulte DvcIdType en el artículo Introducción al esquema. Obligatorio si se usa el campo DstDeviceId. |
| DstDeviceType | Opcionales | Enumerated | Tipo del dispositivo de destino. Para obtener más información y una lista de valores permitidos, consulte DeviceType en el artículo Introducción al esquema. |
| DstZone | Opcional | String | Zona de red del destino definida en el dispositivo de informes. Ejemplo: Dmz |
| DstInterfaceName | Opcional | String | Interfaz de red que usa el dispositivo de destino en la conexión o la sesión. Ejemplo: Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | Opcional | String | GUID de la interfaz de red que se usa en el dispositivo de destino. Ejemplo: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | Opcional | Cadena | Dirección MAC de la interfaz de red que usa el dispositivo de destino para la conexión o la sesión. Ejemplo: 06:10:9f:eb:8f:14 |
| DstVlanId | Opcional | Cadena | Identificador de VLAN relacionado con el dispositivo de destino. Ejemplo: 130 |
| OuterVlanId | Opcionales | Alias | Alias de DstVlanId. En muchos casos, la VLAN no se puede determinar como origen o destino, pero se caracteriza como interna o externa. Este alias para significa que se debe usar DstVlanId cuando la VLAN se caracteriza como externa. |
| DstSubscriptionId | Opcional | String | Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo de destino. DstSubscriptionId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| DstGeoCountry | Opcionales | Country | País o región asociado a la dirección IP de destino. Para obtener más información, consulte Tipos lógicos. Ejemplo: USA |
| DstGeoRegion | Opcionales | Region | Región o estado asociados con la dirección IP de destino. Para obtener más información, consulte Tipos lógicos. Ejemplo: Vermont |
| DstGeoCity | Opcionales | City (Ciudad) | Ciudad asociada con la dirección IP de destino. Para obtener más información, consulte Tipos lógicos. Ejemplo: Burlington |
| DstGeoLatitude | Opcionales | Latitud | Latitud de la coordenada geográfica asociada con la dirección IP de destino. Para obtener más información, consulte Tipos lógicos. Ejemplo: 44.475833 |
| DstGeoLongitude | Opcionales | Longitud | Longitud de la coordenada geográfica asociada con la dirección IP de destino. Para obtener más información, consulte Tipos lógicos. Ejemplo: 73.211944 |
Campos del usuario de destino
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| DstUserId | Opcional | String | Representación única, alfanumérica y legible por una máquina del usuario de destino. Para obtener el formato admitido para los distintos tipos de identificador, consulte Entidad Usuario. Ejemplo: S-1-12 |
| DstUserScope | Opcionales | String | Ámbito, como el inquilino de Microsoft Entra, en el que se definen DstUserId y DstUsername. Para obtener más información y una lista de los valores permitidos, consulte UserScope en el artículo Introducción al esquema. |
| DstUserScopeId | Opcionales | String | El identificador del ámbito, como el identificador de directorio de Microsoft Entra, en el que se definen DstUserId y DstUsername. Para más información y para ver una lista de los valores permitidos, consulte UserScopeId en el artículo Introducción al esquema. |
| DstUserIdType | Condicional | UserIdType | Tipo del identificador almacenado en el campo DstUserId. Para obtener más información y una lista de valores permitidos, consulte UserIdType en el artículo Introducción al esquema. |
| DstUsername | Opcional | String | Nombre de usuario de destino, incluida la información de dominio cuando esté disponible. Para obtener el formato admitido para los distintos tipos de identificador, consulte Entidad Usuario. Use este formato simple solo si no hay disponible información de dominio. Almacene el tipo de nombre de usuario en el campo DstUsernameType. Si hay disponibles otros formatos de nombre de usuario, almacénelos en los campos DstUsername<UsernameType>.Ejemplo: AlbertE |
| User | Alias | Alias de DstUsername. | |
| DstUsernameType | Condicional | UsernameType | Especifica el tipo del nombre de usuario almacenado en el campo DstUsername. Para obtener más información y una lista de valores permitidos, consulte UsernameType en el artículo Introducción al esquema. Ejemplo: Windows |
| DstUserType | Opcionales | UserType | Tipo del usuario de destino. Para obtener más información y una lista de valores permitidos, consulte UserType en el artículo Introducción al esquema. Nota: El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. Almacene el valor original en el campo DstOriginalUserType. |
| DstOriginalUserType | Opcional | String | El tipo de usuario de destino original, si lo proporciona el origen. |
Campos de la aplicación de destino
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| DstAppName | Opcional | String | Nombre de la aplicación de destino. Ejemplo: Facebook |
| DstAppId | Opcional | String | El identificador de la aplicación de destino, tal como lo notifica el dispositivo de informes. Si DstAppType es Process, DstAppId y DstProcessId deben tener el mismo valor.Ejemplo: 124 |
| DstAppType | Opcional | AppType | Tipo de la aplicación de destino. Para obtener más información y una lista de valores permitidos, consulte AppType en el artículo Introducción al esquema. Este campo es obligatorio si se usa el campo DstAppName o DstAppId. |
| DstProcessName | Opcionales | String | Nombre de archivo del proceso que finalizó la sesión de red. Por lo general, este nombre se considera el nombre del proceso. Ejemplo: C:\Windows\explorer.exe |
| Process | Alias | Alias para DstProcessName Ejemplo: C:\Windows\System32\rundll32.exe |
|
| DstProcessId | Opcional | String | Id. de proceso (PID) del proceso que finalizó la sesión de red. Ejemplo: 48610176 Nota: El tipo se define como cadena para admitir distintos sistemas, pero en Windows y Linux este valor debe ser numérico. Si usa una máquina Windows o Linux y usa un tipo diferente, asegúrese de convertir los valores. Por ejemplo, si ha utilizado un valor hexadecimal, conviértalo en un valor decimal. |
| DstProcessGuid | Opcional | String | Identificador único generado (GUID) del proceso que finalizó la sesión de red. Ejemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Campos del sistema de origen
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| Src | Alias | Identificador único del dispositivo de destino. Este campo puede ser un alias de los campos SrcDvcId, SrcHostname o SrcIpAddr. Ejemplo: 192.168.12.1 |
|
| SrcIpAddr | Recomendado | Dirección IP | Dirección IP desde la que se originó la conexión o la sesión. Este valor es obligatorio si se especifica SrcHostname. Si la sesión usa la traducción de direcciones de red, SrcIpAddr es la dirección visible públicamente, no la dirección original del origen, que se almacena en SrcNatIpAddr.Ejemplo: 77.138.103.108 |
| SrcPortNumber | Opcional | Entero | Puerto IP desde el que se originó la conexión. Es posible que no sea importante en sesiones que contengan varias conexiones. Ejemplo: 2335 |
| SrcHostname | Recomendado | Nombre de host | Nombre de host del dispositivo de origen, excepto la información de dominio. Si no hay ningún nombre de dispositivo disponible, almacene la dirección IP correspondiente en este campo. Ejemplo: DESKTOP-1282V4D |
| SrcDomain | Recomendado | String | Dominio del dispositivo de origen. Ejemplo: Contoso |
| SrcDomainType | Condicional | DomainType | Tipo de SrcDomain. Para obtener más información y una lista de valores permitidos, consulte DomainType en el artículo Introducción al esquema. Obligatorio si se usa el campo SrcDomain. |
| SrcFQDN | Opcional | String | Nombre de host del dispositivo de origen, incluida la información de dominio cuando está disponible. Nota: Este campo admite tanto el formato de FQDN tradicional como el formato de dominio\nombre de host de Windows. El campo SrcDomainType refleja el formato usado. Ejemplo: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Opcional | String | Identificador del dispositivo de origen. Si hay disponibles varios identificadores, use el más importante y almacene los demás en los campos SrcDvc<DvcIdType>.Ejemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcionales | String | Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. SrcDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcDvcScope | Opcionales | String | Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. SrcDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcDvcIdType | Condicional | DvcIdType | Tipo de SrcDvcId. Para obtener más información y una lista de valores permitidos, consulte DvcIdType en el artículo Introducción al esquema. Nota: Este campo es necesario si se usa el campo SrcDvcId. |
| SrcDeviceType | Opcionales | DeviceType | Tipo del dispositivo de origen. Para obtener más información y una lista de valores permitidos, consulte DeviceType en el artículo Introducción al esquema. |
| SrcZone | Opcional | String | Zona de red del origen definida en el dispositivo de informes. Ejemplo: Internet |
| SrcInterfaceName | Opcionales | String | Interfaz de red utilizada por el dispositivo de origen en la conexión o la sesión. Ejemplo: eth01 |
| SrcInterfaceGuid | Opcional | String | GUID de la interfaz de red que se usa en el dispositivo de origen. Ejemplo: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | Opcional | String | Dirección MAC de la interfaz de red desde la que se originó la conexión o la sesión. Ejemplo: 06:10:9f:eb:8f:14 |
| SrcVlanId | Opcional | Cadena | Identificador de VLAN relacionado con el dispositivo de origen. Ejemplo: 130 |
| InnerVlanId | Opcionales | Alias | Alias de SrcIpAddr. En muchos casos, la VLAN no se puede determinar como origen o destino, pero se caracteriza como interna o externa. Este alias para significa que se debe usar SrcVlanId cuando la VLAN se caracteriza como interna. |
| SrcSubscriptionId | Opcional | String | Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo de origen. SrcSubscriptionId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcGeoCountry | Opcionales | Country | País o región asociado a la dirección IP de origen. Ejemplo: USA |
| SrcGeoRegion | Opcionales | Region | Región asociada con la dirección IP de origen. Ejemplo: Vermont |
| SrcGeoCity | Opcionales | City (Ciudad) | Ciudad asociada con la dirección IP de origen. Ejemplo: Burlington |
| SrcGeoLatitude | Opcionales | Latitud | Latitud de la coordenada geográfica asociada con la dirección IP de origen. Ejemplo: 44.475833 |
| SrcGeoLongitude | Opcionales | Longitud | Longitud de la coordenada geográfica asociada con la dirección IP de origen. Ejemplo: 73.211944 |
Campos del usuario de origen
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| SrcUserId | Opcional | String | Representación única, alfanumérica y legible por una máquina del usuario de origen. Para obtener el formato admitido para los distintos tipos de identificador, consulte Entidad Usuario. Ejemplo: S-1-12 |
| SrcUserScope | Opcionales | String | Ámbito, como el inquilino de Microsoft Entra, en el que se definen SrcUserId y SrcUsername. Para obtener más información y una lista de los valores permitidos, consulte UserScope en el artículo Introducción al esquema. |
| SrcUserScopeId | Opcional | String | El identificador del ámbito, como el identificador de directorio de Microsoft Entra, en el que se definen SrcUserId y SrcUsername. Para más información y para ver una lista de los valores permitidos, consulte UserScopeId en el artículo Introducción al esquema. |
| SrcUserIdType | Condicional | UserIdType | Tipo del identificador almacenado en el campo SrcUserId. Para obtener más información y una lista de valores permitidos, consulte UserIdType en el artículo Introducción al esquema. |
| SrcUsername | Opcional | String | Nombre de usuario, incluida la información del dominio, cuando esté disponible. Para obtener el formato admitido para los distintos tipos de identificador, consulte Entidad Usuario. Use este formato simple solo si no hay disponible información de dominio. Almacene el tipo de nombre de usuario en el campo SrcUsernameType. Si hay disponibles otros formatos de nombre de usuario, almacénelos en los campos SrcUsername<UsernameType>.Ejemplo: AlbertE |
| SrcUsernameType | Condicional | UsernameType | Especifica el tipo de nombre de usuario almacenado en el campo SrcUsername. Para obtener más información y una lista de valores permitidos, consulte UsernameType en el artículo Introducción al esquema. Ejemplo: Windows |
| SrcUserType | Opcionales | UserType | Tipo del usuario de origen. Para obtener más información y una lista de valores permitidos, consulte UserType en el artículo Introducción al esquema. Nota: El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. Almacene el valor original en el campo SrcOriginalUserType. |
| SrcOriginalUserType | Opcional | String | El tipo de usuario de destino original, si lo proporciona el dispositivo de informes. |
Campos de la aplicación de origen
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| SrcAppName | Opcional | String | Nombre de la aplicación de origen. Ejemplo: filezilla.exe |
| SrcAppId | Opcional | String | Id. de la aplicación de origen, según notifica el dispositivo de informes. Si SrcAppType es Process, SrcAppId y SrcProcessId deben tener el mismo valor.Ejemplo: 124 |
| SrcAppType | Opcional | AppType | Tipo de la aplicación de origen. Para obtener más información y una lista de valores permitidos, consulte AppType en el artículo Introducción al esquema. Este campo es obligatorio si se usan el campo SrcAppName o SrcAppId. |
| SrcProcessName | Opcional | String | Nombre de archivo del proceso que inició la sesión de red. Por lo general, este nombre se considera el nombre del proceso. Ejemplo: C:\Windows\explorer.exe |
| SrcProcessId | Opcional | String | Id. de proceso (PID) del proceso que inició la sesión de red. Ejemplo: 48610176 Nota: El tipo se define como cadena para admitir distintos sistemas, pero en Windows y Linux este valor debe ser numérico. Si usa una máquina Windows o Linux y usa un tipo diferente, asegúrese de convertir los valores. Por ejemplo, si ha utilizado un valor hexadecimal, conviértalo en un valor decimal. |
| SrcProcessGuid | Opcional | String | Identificador único generado (GUID) del proceso que inició la sesión de red. Ejemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Alias locales y remotos
De manera opcional, todos los campos de origen y destino enumerados anteriormente pueden tener un alias por campos con el mismo nombre y los descriptores Local y Remote. Esto suele ser útil para los eventos notificados por un punto de conexión y para los que el tipo de evento sea EndpointNetworkSession.
Para tales eventos, los descriptores Local y Remote indican el propio punto de conexión y el dispositivo en el otro extremo de la sesión de red, respectivamente. Para las conexiones entrantes, el sistema local es el destino, los campos Local son alias de los campos Dst, y los campos "remotos" son alias de los campos Src. Por el contrario, para las conexiones salientes, el sistema local es el origen, los campos Local son alias de los campos Src, y los campos Remote son alias de los campos Dst.
Por ejemplo, para un evento de entrada, el campo LocalIpAddr es un alias de DstIpAddr, y el campo RemoteIpAddr es un alias de SrcIpAddr.
Alias de nombre de host y dirección IP
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| Hostname | Alias | - Si el tipo de evento es NetworkSession, Flow o L2NetworkSession, Hostname es un alias de DstHostname.- Si el tipo de evento es EndpointNetworkSession, Hostname es un alias de RemoteHostname, que puede asignar el alias a DstHostname o SrcHostName, en función de NetworkDirection. |
|
| IpAddr | Alias | - Si el tipo de evento es NetworkSession, Flow o L2NetworkSession, IpAddr es un alias de SrcIpAddr.- Si el tipo de evento es EndpointNetworkSession, IpAddr es un alias de LocalIpAddr, que puede asignar el alias SrcIpAddr o DstIpAddr, en función de NetworkDirection. |
Dispositivo intermedio y campos de traducción de direcciones de red (NAT)
Los campos siguientes son útiles si el registro incluye información sobre un dispositivo intermediario, como un firewall o un proxy, que retransmite la sesión de red.
Los sistemas intermedios suelen usar la traducción de direcciones y, por tanto, la dirección original y la dirección observada externamente no son las mismas. En tales casos, los campos de dirección principal, como SrcIPAddr y DstIpAddr, representan las direcciones observadas externamente, mientras que los campos de dirección NAT, SrcNatIpAddr y DstNatIpAddr, representan la dirección interna del dispositivo original antes de la traducción.
Campos de inspección
Los siguientes campos se usan para representar esa inspección que realiza un dispositivo de seguridad, como un firewall, un IPS o una puerta de enlace de seguridad web:
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| NetworkRuleName | Opcionales | String | Nombre o identificador de la regla sobre la que se decidió DvcAction. Ejemplo: AnyAnyDrop |
| NetworkRuleNumber | Opcional | Entero | Número de la regla sobre la que se decidió DvcAction. Ejemplo: 23 |
| Regla | Alias | String | El valor de NetworkRuleName o el valor de NetworkRuleNumber. Si se usa el valor de NetworkRuleNumber, el tipo se debe convertir en cadena. |
| ThreatId | Opcional | String | Identificador de la amenaza o del malware identificados en la sesión de red. Ejemplo: Tr.124 |
| ThreatName | Opcional | String | Nombre de la amenaza o del malware identificados en la sesión de red. Ejemplo: EICAR Test File |
| ThreatCategory | Opcional | String | Categoría de la amenaza o del malware identificados en la sesión de red. Ejemplo: Trojan |
| ThreatRiskLevel | Opcional | Entero | Nivel de riesgo asociado con la sesión. El nivel debe ser un número entre 0 y 100. Nota: El valor se puede proporcionar en el registro de origen mediante una escala diferente, que se debe normalizar a esta. El valor original debe almacenarse en el campo ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcionales | String | Nivel de riesgo indicado por el dispositivo de informes. |
| ThreatIpAddr | Opcionales | Dirección IP | Dirección IP para la que se identificó una amenaza. El campo ThreatField contiene el nombre del campo ThreatIpAddr que representa. |
| ThreatField | Condicional | Enumerated | Campo para el que se identificó una amenaza. El valor es SrcIpAddr o DstIpAddr. |
| ThreatConfidence | Opcional | Entero | Nivel de confianza de la amenaza identificada, normalizada en un valor comprendido entre 0 y 100. |
| ThreatOriginalConfidence | Opcionales | String | El nivel de confianza original de la amenaza identificada, tal como lo notifica el dispositivo que informa. |
| ThreatIsActive | Opcionales | Boolean | True si la amenaza identificada se considera una amenaza activa. |
| ThreatFirstReportedTime | Opcionales | datetime | La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| ThreatLastReportedTime | Opcionales | datetime | La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
Otros campos
Si uno de los puntos de conexión de la sesión de red notifica el evento, es posible que incluya información sobre el proceso que inició o finalizó la sesión. En tales casos, se usa el esquema de eventos de proceso de ASIM para normalizar esta información.
Actualizaciones del esquema
A continuación se indican los cambios en la versión 0.2.1 del esquema:
- Se han agregado
SrcyDstcomo alias a un identificador inicial para los sistemas de origen y destino. - Se han agregado los campos
NetworkConnectionHistory,SrcVlanId,DstVlanId,InnerVlanIdyOuterVlanId.
A continuación se indican los cambios en la versión 0.2.2 del esquema:
- Se han agregado los alias
RemoteyLocal. - Se ha agregado el tipo de evento
EndpointNetworkSession. - Se han definido
HostnameyIpAddrcomo alias deRemoteHostnameyLocalIpAddr, respectivamente, cuando el tipo de evento esEndpointNetworkSession. - Se ha definido
DvcInterfacecomo alias deDvcInboundInterfaceoDvcOutboundInterface. - Se ha cambiado el tipo de los siguientes campos de Entero a Largo:
SrcBytes,DstBytes,NetworkBytes,SrcPackets,DstPacketsyNetworkPackets. - Se han agregado los campos
NetworkProtocolVersion,SrcSubscriptionIdyDstSubscriptionId. - Se han dejado de usa
DstUserDomainySrcUserDomain.
A continuación se indican los cambios en la versión 0.2.3 del esquema:
- Se agregó el parámetro de filtrado
ipaddr_has_any_prefix. - El parámetro de filtrado
hostname_has_anyahora coincide con los nombres de host de origen o destino. - Se agregaron los campos
ASimMatchingHostnameyASimMatchingIpAddr.
A continuación se indican los cambios en la versión 0.2.4 del esquema:
- Se han agregado los campos
TcpFlags. - Se ha actualizado
NetworkIcpmTypeyNetworkIcmpCodepara reflejar el valor numérico de ambos. - Se agregaron campos de inspección adicionales.
- Se cambió el nombre del campo "ThreatRiskLevelOriginal" por
ThreatOriginalRiskLevelpara alinearlo con las convenciones de ASIM. Los analizadores de Microsoft existentes mantendránThreatRiskLevelOriginalhasta el 1 de mayo de 2023. - Se marcó
EventResultDetailscomo recomendado y se especificaron los valores permitidos.
A continuación se muestran los cambios en la versión 0.2.5 del esquema:
- Se han agregado los campos
DstUserScope,SrcUserScope,SrcDvcScopeId,SrcDvcScope,DstDvcScopeId,DstDvcScope,DvcScopeIdyDvcScope.
A continuación se muestran los cambios en la versión 0.2.6 del esquema:
- Se ha agregado IDS como un tipo de evento
Pasos siguientes
Para más información, consulte:
- El seminario web de ASIM o las diapositivas
- Introducción al Modelo avanzado de información de seguridad (ASIM)
- Esquemas del Modelo avanzado de información de seguridad (ASIM)
- Analizadores del Modelo avanzado de información de seguridad (ASIM)
- Contenido del Modelo avanzado de información de seguridad (ASIM)