Referencia del esquema de normalización de autenticaciones con el modelo de información de seguridad avanzada (ASIM; versión preliminar pública)
El esquema de autenticación de Microsoft Sentinel se usa para describir eventos relacionados con la autenticación de usuarios, el inicio de sesión y el cierre de sesión. Muchos dispositivos de informes envían eventos de autenticación, normalmente como parte del flujo de eventos, junto con otros eventos. Por ejemplo, Windows envía varios eventos de autenticación junto con otros eventos de actividad del sistema operativo.
Los eventos de autenticación incluyen eventos de sistemas que se centran en la autenticación, como puertas de enlace de VPN o controladores de dominio, y autenticación directa a un sistema final, como un equipo o firewall.
Para más información sobre la normalización en Microsoft Sentinel, consulte Normalización y Modelo avanzado de información de seguridad (ASIM).
Importante
El esquema de normalización de autenticación está actualmente en VERSIÓN PRELIMINAR. Esta característica se ofrece sin contrato de nivel de servicio y no se recomienda para cargas de trabajo de producción.
En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Analizadores
Implemente los analizadores de autenticación de ASIM desde el repositorio de Microsoft Sentinel en GitHub. Para más información sobre los analizadores de ASIM,consulte los artículos de introducción a los analizadores de ASIM.
Unificación de analizadores
Para usar analizadores que unifiquen todos los analizadores predeterminados de ASIM y asegurarse de que el análisis se ejecuta en todos los orígenes configurados, use el analizador de filtrado imAuthentication o el analizador sin parámetros ASimAuthentication.
Analizadores específicos del origen
Para obtener la lista de analizadores de autenticación, Microsoft Sentinel proporciona referencia a la lista de analizadores de ASIM:
Adición de sus propios analizadores normalizados
Al implementar analizadores personalizados para el modelo de información de autenticación, asigne un nombre a las funciones KQL con la sintaxis siguiente:
vimAuthentication<vendor><Product>para analizadores de filtradoASimAuthentication<vendor><Product>para analizadores sin parámetros
Para obtener información sobre cómo agregar analizadores personalizados al analizador de unificación, consulte Administración de analizadores de ASIM.
Filtrado de parámetros del analizador
Los analizadores im y vim* admiten parámetros de filtrado. Aunque estos analizadores son opcionales, pueden mejorar el rendimiento de las consultas.
Están disponibles los siguientes parámetros de filtrado:
| Nombre | Escribir | Descripción |
|---|---|---|
| starttime | datetime | Filtre solo los eventos de autenticación que se han ejecutado a esta hora o después. |
| endtime | datetime | Filtre solo los eventos de autenticación que han finalizado la ejecución a esta hora o antes. |
| targetusername_has | string | Filtre solo los eventos de autenticación que tengan cualquiera de los nombres de usuario enumerados. |
Por ejemplo, para filtrar solo los eventos de autenticación del último día para un usuario específico, use:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Sugerencia
Para pasar una lista literal a parámetros que esperan un valor dinámico, use explícitamente un literal dinámico. Por ejemplo: dynamic(['192.168.','10.']).
Contenido normalizado
Las reglas de analítica de autenticación normalizadas son únicas, ya que detectan ataques entre orígenes. Así, por ejemplo, si un usuario iniciara sesión en sistemas diferentes y no relacionados de distintos países o regiones, Microsoft Sentinel ahora detectará esta amenaza.
Para obtener una lista completa de las reglas de análisis que usan eventos de autenticación normalizados, consulte Contenido de seguridad del esquema de autenticación.
Información general del esquema
El modelo de información de autenticación se alinea con el esquema de entidad de inicio de sesión de OSSEM.
Los campos enumerados en la tabla siguiente son específicos de los eventos de autenticación, pero son similares a los campos de otros esquemas y siguen convenciones de nomenclatura similares.
Los eventos de autenticación hacen referencia a las entidades siguientes:
- TargetUser: La información de usuario usada para autenticarse en el sistema. TargetSystem es el sujeto principal del evento de autenticación y el alias User asigna un alias al TargetUser identificado.
- TargetApp: Aplicación en la que se autenticó.
- Destino : el sistema en el que se está ejecutando TargetApp*.
- Actor: Usuario que inicia la autenticación, si es diferente de TargetUser.
- ActingApp: Aplicación usada por Actor para realizar la autenticación.
- Src: Sistema usado por Actor para iniciar la autenticación.
La relación entre estas entidades se muestra mejor de la siguiente manera:
Un Actor, que ejecuta una aplicación en acción (ActingApp) en un sistema de origen (Src), intenta autenticarse como TargetUser en una aplicación de destino (TargetApp) en un sistema de destino (TargetDvc).
Detalles del esquema
En las tablas siguientes, Tipo se refiere al tipo lógico. Para obtener más información, consulte Tipos lógicos.
Campos comunes de ASIM
Importante
Los campos comunes a todos los esquemas se describen detalladamente en el artículo Campos comunes de ASIM.
Campos comunes con instrucciones específicas
En la siguiente lista se mencionan los campos con instrucciones específicas para los eventos de autenticación:
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| EventType | Mandatory | Enumerated | Describe la operación notificada por el registro. Para los registros de autenticación, estos son algunos de los valores admitidos: - Logon - Logoff- Elevate |
| EventResultDetails | Recomendado | String | Detalles asociados al resultado del evento. Este campo se rellena normalmente cuando el resultado es un error. Los valores permitidos son: - No such user or password. Este valor también se debe usar cuando el evento original informa de que no hay ningún usuario de este tipo, sin referencia a una contraseña.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. Este valor debe usarse cuando el evento original notifica, por ejemplo: MFA requerida, inicio de sesión fuera del horario laboral, restricciones de acceso condicional o intentos demasiado frecuentes.- Session expired- OtherEl valor se puede proporcionar en el registro de origen usando términos diferentes, que se deben normalizar con estos valores. El valor original debe almacenarse en el campo EventOriginalResultDetails. |
| EventSubType | Opcionales | String | Tipo de inicio de sesión. Los valores permitidos son: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote: se usa cuando se desconoce el tipo de inicio de sesión remoto.- AssumeRole: se usa normalmente cuando el tipo de evento es Elevate. El valor se puede proporcionar en el registro de origen usando términos diferentes, que se deben normalizar con estos valores. El valor original debería almacenarse en el campo EventOriginalSubType. |
| EventSchemaVersion | Mandatory | String | Versión del esquema. La versión del esquema que se documenta aquí el la versión 0.1.3. |
| EventSchema | Mandatory | String | El nombre del esquema que se documenta aquí es Authentication. |
| Campos dvc | - | - | En cuanto a los eventos de autenticación, los campos de dispositivo hacen referencia al sistema que informa del evento. |
Todos los campos comunes
Los campos que aparecen en la tabla siguiente son comunes a todos los esquemas de ASIM. Cualquier directriz especificada anteriormente invalida las directrices generales para el campo. Por ejemplo, un campo podría ser opcional en general, pero obligatorio para un esquema específico. Para obtener más información sobre cada campo, consulte el siguiente artículo sobre los campos comunes de ASIM.
| Clase | Fields |
|---|---|
| Mandatory | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendado | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcionales | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campos específicos de autenticación
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| LogonMethod | Opcional | String | Método utilizado para realizar la autenticación. Ejemplos: Username & Password, PKI |
| LogonProtocol | Opcional | String | Protocolo utilizado para realizar la autenticación. Ejemplo: NTLM |
Campos de actor
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| ActorUserId | Opcionales | String | Representación única, alfanumérica y legible del actor. Para obtener más información y conocer los campos alternativos para los identificadores adicionales, consulteEntidad User. Ejemplo: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Opcionales | String | El ámbito, como el inquilino de Microsoft Entra, en el que se definen ActorUserId y ActorUsername. Para obtener más información y una lista de los valores permitidos, consulte UserScope en el artículo Introducción al esquema. |
| ActorScopeId | Opcionales | String | El identificador del ámbito, como el identificador de directorio de Microsoft Entra, en el que se definen ActorUserId y ActorUsername. Para más información y para ver una lista de los valores permitidos, consulte UserScopeId en el artículo Introducción al esquema. |
| ActorUserIdType | Condicional | UserIdType | Tipo del identificador almacenado en el campo ActorUserId. Para obtener más información y una lista de los valores permitidos, consulte UserIdType en el artículo Introducción al esquema. |
| ActorUsername | Opcionales | Nombre de usuario | Nombre de usuario del actor, incluida la información de dominio cuando esté disponible. Para obtener más información, consulte Entidad de usuario. Ejemplo: AlbertE |
| ActorUsernameType | Condicional | UsernameType | Especifica el tipo de nombre de usuario almacenado en el campo ActorUsername. Para obtener más información y una lista de los valores permitidos, consulte UsernameType en el artículo Introducción al esquema. Ejemplo: Windows |
| ActorUserType | Opcionales | UserType | Tipo del actor. Para obtener más información y una lista de los valores permitidos, consulte UserType en el artículo Introducción al esquema. Por ejemplo: Guest |
| ActorOriginalUserType | Opcionales | UserType | Tipo de usuario indicado por el dispositivo de informes. |
| ActorSessionId | Opcional | String | Identificador único de la sesión de inicio de sesión del actor. Ejemplo: 102pTUgC3p8RIqHvzxLCHnFlg |
Campos de aplicación en acción
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| ActingAppId | Opcional | String | Identificador de la aplicación que se autoriza en nombre del actor, incluido un proceso, un explorador o un servicio. Por ejemplo: 0x12ae8 |
| ActingAppName | Opcional | String | Nombre de la aplicación que se autoriza en nombre del actor, incluido un proceso, un explorador o un servicio. Por ejemplo: C:\Windows\System32\svchost.exe |
| ActingAppType | Opcional | AppType | Tipo de la aplicación que actúa. Para obtener más información y una lista de los valores permitidos, consulte AppType en el artículo Introducción al esquema. |
| HttpUserAgent | Opcional | String | Cuando se realiza la autenticación a través de HTTP o HTTPS, el valor de este campo es el encabezado HTTP user_agent proporcionado por la aplicación que actúa al realizar la autenticación. Por ejemplo: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Campos de usuario de destino
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| TargetUserId | Opcionales | UserId | Representación única, alfanumérica y legible del usuario de destino. Para obtener más información y conocer los campos alternativos para los identificadores adicionales, consulteEntidad User. Ejemplo: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | Opcionales | String | Ámbito, como el inquilino de Microsoft Entra, en el que se definen TargetUserId y TargetUsername. Para obtener más información y una lista de los valores permitidos, consulte UserScope en el artículo Introducción al esquema. |
| TargetUserScopeId | Opcionales | String | El identificador del ámbito, como el identificador de directorio de Microsoft Entra, en el que se definen TargetUserId y TargetUsername. Para más información y para ver una lista de los valores permitidos, consulte UserScopeId en el artículo Introducción al esquema. |
| TargetUserIdType | Condicional | UserIdType | Tipo del identificador de usuario almacenado en el campo TargetUserId. Para obtener más información y una lista de los valores permitidos, consulte UserIdType en el artículo Introducción al esquema. Ejemplo: SID |
| TargetUsername | Opcionales | Nombre de usuario | El nombre de usuario de destino, incluida la información de dominio cuando esté disponible. Para obtener más información, consulte Entidad de usuario. Ejemplo: MarieC |
| TargetUsernameType | Condicional | UsernameType | Especifica el tipo de nombre de usuario almacenado en el campo TargetUsername. Para obtener más información y una lista de los valores permitidos, consulte UsernameType en el artículo Introducción al esquema. |
| TargetUserType | Opcional | UserType | Tipo del usuario de destino. Para obtener más información y una lista de los valores permitidos, consulte UserType en el artículo Introducción al esquema. Por ejemplo: Member |
| TargetSessionId | Opcional | String | Identificador de sesión de inicio de sesión de TargetUser en el dispositivo de origen. |
| TargetOriginalUserType | Opcionales | UserType | Tipo de usuario indicado por el dispositivo de informes. |
| User | Alias | Nombre de usuario | Alias para TargetUsername o TargetUserId si TargetUsername o está definido. Ejemplo: CONTOSO\dadmin |
Campos del sistema de origen
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| Src | Recomendado | String | Identificador único del dispositivo de destino. Este campo puede ser un alias de los campos SrcDvcId, SrcHostname o SrcIpAddr. Ejemplo: 192.168.12.1 |
| SrcDvcId | Opcional | String | Identificador del dispositivo de origen. Si hay disponibles varios identificadores, use el más importante y almacene los demás en los campos SrcDvc<DvcIdType>.Ejemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcionales | String | Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. SrcDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcDvcScope | Opcionales | String | Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. SrcDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcDvcIdType | Condicional | DvcIdType | Tipo de SrcDvcId. Para obtener más información y una lista de valores permitidos, consulte DvcIdType en el artículo Introducción al esquema. Nota: Este campo es necesario si se usa el campo SrcDvcId. |
| SrcDeviceType | Opcionales | DeviceType | Tipo del dispositivo de origen. Para obtener más información y una lista de valores permitidos, consulte DeviceType en el artículo Introducción al esquema. |
| SrcHostname | Recomendado | Nombre de host | Nombre de host del dispositivo de origen, excepto la información de dominio. Si no hay ningún nombre de dispositivo disponible, almacene la dirección IP correspondiente en este campo. Ejemplo: DESKTOP-1282V4D |
| SrcDomain | Recomendado | String | Dominio del dispositivo de origen. Ejemplo: Contoso |
| SrcDomainType | Condicional | DomainType | Tipo de SrcDomain. Para obtener más información y una lista de valores permitidos, consulte DomainType en el artículo Introducción al esquema. Obligatorio si se usa el campo SrcDomain. |
| SrcFQDN | Opcional | String | Nombre de host del dispositivo de origen, incluida la información de dominio cuando está disponible. Nota: Este campo admite tanto el formato de FQDN tradicional como el formato de dominio\nombre de host de Windows. El campo SrcDomainType refleja el formato usado. Ejemplo: Contoso\DESKTOP-1282V4D |
| SrcDescription | Opcionales | String | Texto descriptivo asociado al dispositivo. Por ejemplo: Primary Domain Controller. |
| SrcIpAddr | Opcional | Dirección IP | Dirección IP del dispositivo de origen. Ejemplo: 2.2.2.2 |
| SrcPortNumber | Opcional | Entero | Puerto IP desde el que se originó la conexión. Ejemplo: 2335 |
| SrcDvcOs | Opcional | String | Sistema operativo del dispositivo de origen. Ejemplo: Windows 10 |
| IpAddr | Alias | Alias de SrcIpAddr | |
| SrcIsp | Opcional | String | Proveedor de servicios de Internet (ISP) usado por el dispositivo de origen para conectarse a Internet. Ejemplo: corpconnect |
| SrcGeoCountry | Opcionales | País | Ejemplo: Canada Para obtener más información, consulte Tipos lógicos. |
| SrcGeoCity | Opcionales | City | Ejemplo: Montreal Para obtener más información, consulte Tipos lógicos. |
| SrcGeoRegion | Opcionales | Region | Ejemplo: Quebec Para obtener más información, consulte Tipos lógicos. |
| SrcGeoLongitude | Opcionales | Longitud | Ejemplo: -73.614830 Para obtener más información, consulte Tipos lógicos. |
| SrcGeoLatitude | Opcionales | Latitud | Ejemplo: 45.505918 Para obtener más información, consulte Tipos lógicos. |
| SrcRiskLevel | Opcional | Entero | Nivel de riesgo asociado con el origen. El valor debe ajustarse a un intervalo de 0 a 100, con 0 para inofensivo y 100 para alto riesgo.Ejemplo: 90 |
| SrcOriginalRiskLevel | Opcional | Entero | El nivel de riesgo asociado al origen, tal como lo notifica el dispositivo que informa. Ejemplo: Suspicious |
Campos de la aplicación de destino
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| TargetAppId | Opcional | String | Identificador de la aplicación a la que se requiere la autorización, a menudo asignado por el dispositivo de informes. Ejemplo: 89162 |
| TargetAppName | Opcional | String | Nombre de la aplicación para la que se requiere la autorización, incluido un servicio, una dirección URL o una aplicación SaaS. Ejemplo: Saleforce |
| TargetAppType | Opcional | AppType | Tipo de la aplicación que se autoriza en nombre del actor. Para obtener más información y una lista de los valores permitidos, consulte AppType en el artículo Introducción al esquema. |
| TargetUrl | Opcional | Resolución | Dirección URL asociada a la aplicación de destino. Ejemplo: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Alias | Alias para TargetAppName, TargetUrl o TargetHostname, el campo que mejor describa el objetivo de autenticación. |
Campos del sistema de destino
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| Dst | Alias | String | Identificador único del destino de autenticación. Este campo puede alias los campos TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId o TargetAppName . Ejemplo: 192.168.12.1 |
| TargetHostname | Recomendado | Nombre de host | Nombre de host del dispositivo de destino, excepto la información de dominio. Ejemplo: DESKTOP-1282V4D |
| TargetDomain | Recomendado | String | Dominio del dispositivo de destino. Ejemplo: Contoso |
| TargetDomainType | Condicional | Enumerated | Tipo de TargetDomain. Para obtener más información y una lista de valores permitidos, consulte DomainType en el artículo Introducción al esquema. Obligatorio si se usa TargetDomain. |
| TargetFQDN | Opcional | String | Nombre de host del dispositivo de destino, incluida la información de dominio cuando esté disponible. Ejemplo: Contoso\DESKTOP-1282V4D Nota: Este campo admite tanto el formato de FQDN tradicional como el formato de dominio\nombre de host de Windows. TargetDomainType refleja el formato usado. |
| TargetDescription | Opcional | String | Texto descriptivo asociado al dispositivo. Por ejemplo: Primary Domain Controller. |
| TargetDvcId | Opcional | String | Identificador del dispositivo de destino. Si hay disponibles varios identificadores, use el más importante y almacene los demás en los campos TargetDvc<DvcIdType>. Ejemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Opcionales | String | Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. TargetDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| TargetDvcScope | Opcionales | String | Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. TargetDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| TargetDvcIdType | Condicional | Enumerated | Tipo de TargetDvcId. Para obtener más información y una lista de valores permitidos, consulte DvcIdType en el artículo Introducción al esquema. Obligatorio si se usa TargetDeviceId. |
| TargetDeviceType | Opcional | Enumerated | Tipo del dispositivo de destino. Para obtener más información y una lista de valores permitidos, consulte DeviceType en el artículo Introducción al esquema. |
| TargetIpAddr | Opcional | Dirección IP | Dirección IP del dispositivo de destino. Ejemplo: 2.2.2.2 |
| TargetDvcOs | Opcional | String | Sistema operativo del dispositivo de destino. Ejemplo: Windows 10 |
| TargetPortNumber | Opcional | Entero | Puerto del dispositivo de destino. |
| TargetGeoCountry | Opcionales | Country | País o región asociado a la dirección IP de destino. Ejemplo: USA |
| TargetGeoRegion | Opcionales | Region | Región asociada con la dirección IP de destino. Ejemplo: Vermont |
| TargetGeoCity | Opcionales | City | Ciudad asociada con la dirección IP de destino. Ejemplo: Burlington |
| TargetGeoLatitude | Opcionales | Latitud | Latitud de la coordenada geográfica asociada con la dirección IP de destino. Ejemplo: 44.475833 |
| TargetGeoLongitude | Opcionales | Longitud | Longitud de la coordenada geográfica asociada con la dirección IP de destino. Ejemplo: 73.211944 |
| TargetRiskLevel | Opcional | Entero | Nivel de riesgo asociado con el destino. El valor debe ajustarse a un intervalo de 0 a 100, con 0 para inofensivo y 100 para alto riesgo.Ejemplo: 90 |
| TargetOriginalRiskLevel | Opcional | Entero | El nivel de riesgo asociado al destino, tal como lo notifica el dispositivo que informa. Ejemplo: Suspicious |
Campos de inspección
Los siguientes campos se usan para representar esa inspección realizada por un sistema de seguridad.
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| RuleName | Opcionales | String | Nombre o identificador de la regla asociado a los resultados de la inspección. |
| RuleNumber | Opcional | Entero | Número de la regla asociado a los resultados de la inspección. |
| Regla | Alias | String | El valor de RuleName o el valor de RuleNumber. Si se usa el valor de RuleNumber, el tipo se debe convertir en cadena. |
| ThreatId | Opcional | String | Identificador de la amenaza o del malware identificados en la actividad de auditoría. |
| ThreatName | Opcional | String | Nombre de la amenaza o del malware identificados en la actividad de auditoría. |
| ThreatCategory | Opcional | String | Categoría de la amenaza o del malware identificados en la actividad del archivo de auditoría. |
| ThreatRiskLevel | Opcional | Entero | Nivel de riesgo asociado a la amenaza identificada. El nivel debe ser un número entre 0 y 100. Nota: El valor se puede proporcionar en el registro de origen mediante una escala diferente, que se debe normalizar a esta. El valor original debe almacenarse en el campo ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcionales | String | Nivel de riesgo indicado por el dispositivo de informes. |
| ThreatConfidence | Opcional | Entero | Nivel de confianza de la amenaza identificada, normalizada en un valor comprendido entre 0 y 100. |
| ThreatOriginalConfidence | Opcionales | String | El nivel de confianza original de la amenaza identificada, tal como lo notifica el dispositivo que informa. |
| ThreatIsActive | Opcionales | Boolean | True si la amenaza identificada se considera una amenaza activa. |
| ThreatFirstReportedTime | Opcionales | datetime | La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| ThreatLastReportedTime | Opcionales | datetime | La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| ThreatIpAddr | Opcionales | Dirección IP | Dirección IP para la que se identificó una amenaza. El campo ThreatField contiene el nombre del campo ThreatIpAddr que representa. |
| ThreatField | Opcionales | Enumerated | Campo para el que se identificó una amenaza. El valor es SrcIpAddr o TargetIpAddr. |
Actualizaciones del esquema
Estos son los cambios en la versión 0.1.1 del esquema:
- Se han actualizado los campos de entidad de usuario y dispositivo para alinearse con otros esquemas.
- Se ha cambiado el nombre de
TargetDvcySrcDvcaTargetySrc, respectivamente, para alinearse con las directrices actuales de ASIM. Los campos cuyo nombre ha cambiado se implementarán como alias hasta el 1 de julio de 2022. Estos campos incluyen:SrcDvcHostname,SrcDvcHostnameType,SrcDvcType,SrcDvcIpAddr,TargetDvcHostname,TargetDvcHostnameType,TargetDvcType,TargetDvcIpAddryTargetDvc. - Se han agregado los alias
SrcyDst. - Se han agregado los campos
SrcDvcIdType,SrcDeviceType,TargetDvcIdType,TargetDeviceTypeyEventSchema.
Estos son los cambios en la versión 0.1.2 del esquema:
- Se han agregado los campos
ActorScope,TargetUserScope,SrcDvcScopeId,SrcDvcScope,TargetDvcScopeId,TargetDvcScope,DvcScopeIdyDvcScope.
Estos son los cambios en la versión 0.1.3 del esquema:
- Se han agregado los campos
SrcPortNumber,ActorOriginalUserType,ActorScopeId,TargetOriginalUserType,TargetUserScopeId,SrcDescription,SrcRiskLevel,SrcOriginalRiskLevelyTargetDescription. - Se han agregado campos de inspección.
- Se han agregado campos de ubicación geográfica del sistema de destino.
Pasos siguientes
Para más información, consulte:
- El seminario web de ASIM o las diapositivas
- Introducción al Modelo avanzado de información de seguridad (ASIM)
- Esquemas del Modelo avanzado de información de seguridad (ASIM)
- Analizadores del Modelo avanzado de información de seguridad (ASIM)
- Contenido del Modelo avanzado de información de seguridad (ASIM)