Esquema de normalización de redes de Microsoft Sentinel (versión heredada - versión preliminar pública)
El esquema de normalización de redes se usa para describir los eventos de red notificados y se emplea en Microsoft Sentinel para permitir un análisis unificador.
Para obtener más información, consulte Normalización y Modelo avanzado de información de seguridad (SIEM).
Importante
Este artículo está relacionado con la versión 0.1 del esquema de normalización de redes, que se publicó como versión preliminar antes de que ASIM estuviera disponible. La versión 0.2 del esquema de normalización de redes se alinea con ASIM y proporciona otras mejoras.
Para más información, consulte Diferencias entre versiones del esquema de normalización de redes.
Terminología
La siguiente terminología se usa en los esquemas de Microsoft Sentinel:
| Término | Definición |
|---|---|
| Dispositivo de informes | El sistema que envía los registros a Microsoft Sentinel. Puede que no sea el sistema del sujeto del registro. |
| Registro | Unidad de datos enviada desde el dispositivo de informes. Esta unidad de datos suele denominarse log, event o alert, pero también puede tener otros tipos. |
Tipos de datos y formatos
En la tabla siguiente se proporcionan instrucciones para normalizar los valores de datos, necesarias en los campos normalizados y recomendadas en otros campos.
| Tipo de datos | Tipo físico | Formato y valor |
|---|---|---|
| Date/Time | Uno de las siguientes, según la funcionalidad del método de ingesta usado, en prioridad descendente:
|
Representación de datetime de Log Analytics. La representación de fecha y hora de Log Analytics es similar por su naturaleza, pero diferente de la representación de hora de Unix. Consulte estas instrucciones de conversión. La fecha y hora deben ajustarse a las zonas horarias. |
| Dirección MAC | String | Notación hexadecimal con dos puntos |
| Dirección IP | Dirección IP | El esquema no tiene direcciones IPv4 e IPv6 distintas. Cualquier campo de dirección IP puede incluir una dirección IPv4 o una dirección IPv6:
|
| User | String | Están disponibles los siguientes tres campos de usuario:
|
| Id. de usuario | String | Actualmente se admiten los dos siguientes identificadores de usuario:
|
| Device | String | Se admiten las tres columnas siguientes de dispositivo o host:
|
| País | String | Cadena que usa ISO 3166-1 de acuerdo con la siguiente prioridad:
|
| Región | Cadena | Nombre de subdivisión de país o región con ISO 3166-2 |
| Ciudad | String | |
| Longitud | Doble | Representación de coordenadas ISO 6709 (decimal con signo) |
| Latitud | Doble | Representación de coordenadas ISO 6709 (decimal con signo) |
| Algoritmo hash | String | Se admiten las cuatro columnas de hash siguientes:
|
| Tipo de archivo | String | Tipo del tipo de archivo:
|
Esquema de tabla de sesiones de red
Este es el esquema de la tabla de sesiones de red, versión 1.0.0:
| Nombre del campo | Tipo de valor | Ejemplo | Descripción | Entidades OSSEM asociadas |
|---|---|---|---|---|
| EventType | String | Tráfico | Tipo de evento que se va a recopilar | evento |
| EventSubType | String | Authentication | Descripción adicional del tipo, si procede | Evento |
| EventCount | Entero | 10 | Número de eventos agregados, si procede. | evento |
| EventEndTime | Fecha y hora | Consulte los tipos de datos. | Hora a la que finalizó el evento. | evento |
| EventMessage | string | acceso denegado | Mensaje o descripción general, bien incluidos en el registro o generados a partir de este. | evento |
| DvcIpAddr | Dirección IP | 23.21.23.34 | Dirección IP del dispositivo que genera el registro. | Dispositivo, IP |
| DvcMacAddr | String | 06:10:9f:eb:8f:14 | Dirección MAC de la interfaz de red del dispositivo de informes desde el que se envió el evento. | Dispositivo, Mac |
| DvcHostname | Nombre de dispositivo (cadena) | syslogserver1.contoso.com | Nombre del dispositivo que genera el mensaje. | Dispositivo |
| EventProduct | String | OfficeSharepoint | Producto que genera el evento. | evento |
| EventProductVersion | string | 9.0 | Versión del producto que genera el evento. | evento |
| EventResourceId | Identificador del dispositivo (cadena) | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | Identificador de recurso del dispositivo que genera el mensaje. | evento |
| EventReportUrl | String | https://192.168.1.1/repoerts/ae3-56.htm | Vínculo al informe completo creado por el dispositivo de informes. | evento |
| EventVendor | String | Microsoft | Proveedor del producto que genera el evento. | evento |
| EventResult | Multivalor: correcto, parcial, error, [vacío] (cadena) | Correcto | El resultado que se ha comunicado para la actividad. Valor vacío cuando no es aplicable. | evento |
| EventResultDetails | String | Contraseña errónea | Motivo o detalles del resultado comunicado en EventResult. | evento |
| EventSchemaVersion | Real | 0,1 | Versión del esquema de Microsoft Sentinel. Actualmente 0.1. | evento |
| EventSeverity | String | Bajo | Si la actividad notificada afecta a la seguridad, denota la gravedad del efecto. | evento |
| EventOriginalUid | String | af6ae8fe-ff43-4a4c-b537-8635976a2b51 | Identificador de registro del dispositivo de informes. | evento |
| EventStartTime | Fecha y hora | Consulte los tipos de datos. | Hora a la que se comunicó el evento | evento |
| TimeGenerated | Fecha y hora | Consulte los tipos de datos. | Hora en que se produjo el evento, tal y como lo notifica el origen de informes. | Campo personalizado |
| EventTimeIngested | Fecha y hora | Consulte los tipos de datos. | Hora a la que se ingirió el evento en Microsoft Sentinel. Microsoft Sentinel lo agregará. | evento |
| EventUid | Guid (cadena) | 516a64e3-8360-4f1e-a67c-d96b3d52df54 | Identificador único que usa Microsoft Sentinel para marcar una fila. | evento |
| NetworkApplicationProtocol | String | HTTPS | Protocolo de la capa de aplicación usado por la conexión o la sesión. | Red |
| DstBytes | int | 32455 | Número de bytes enviados desde el destino hasta el origen en la conexión o la sesión. | Destination |
| SrcBytes | int | 46536 | Número de bytes enviados desde el origen hasta el destino en la conexión o la sesión. | Source |
| NetworkBytes | int | 78991 | Número de bytes enviados en ambas direcciones. Si BytesReceived y BytesSent existen, BytesTotal debe ser igual a su suma. | Red |
| NetworkDirection | Multivalor: entrante, saliente (cadena) | Entrante | Dirección de la conexión o la sesión, dentro o fuera de la organización. | Red |
| DstGeoCity | String | Burlington | Ciudad asociada con la dirección IP de destino. | Destino, Geoárea |
| DstGeoCountry | País (cadena) | EE. UU. | País o región asociado a la dirección IP de origen | Destino, Geoárea |
| DstDvcHostname | Nombre de dispositivo (cadena) | victim_pc | Nombre del dispositivo de destino. | Destination Dispositivo |
| DstDvcFqdn | String | victim_pc.contoso.local | Nombre de dominio completo del host en el que se creó el registro. | Destino, Dispositivo |
| DstDomainHostname | string | CONTOSO | Dominio del destino; dominio del host de destino (sitio web, nombre de dominio, etc.), por ejemplo, para búsquedas de DNS o búsquedas de NS. | Destination |
| DstInterfaceName | string | Adaptador de red de Microsoft Hyper-V | Interfaz de red que usa el dispositivo de destino en la conexión o la sesión. | Destination |
| DstInterfaceGuid | string | 2BB33827-6BB6-48DB-8DE6-DB9E0B9F9C9B | GUID de la interfaz de red que se usó para la solicitud de autenticación. | Destination |
| DstIpAddr | IP address (Dirección IP) | 2001:db8::ff00:42:8329 | Dirección IP del destino de la conexión o la sesión, más conocida normalmente como IP de destino en el paquete de red. | Destino, IP |
| DstDvcIpAddr | IP address (Dirección IP) | 75.22.12.2 | Dirección IP de destino de un dispositivo que no está directamente asociado al paquete de red. | Destino, Dispositivo, IP |
| DstGeoLatitude | Latitud (doble) | 44.475833 | Latitud de la coordenada geográfica asociada con la dirección IP de destino. | Destino, Geoárea |
| DstMacAddr | String | 06:10:9f:eb:8f:14 | Dirección MAC de la interfaz de red en la que finalizó la conexión o la sesión, más conocida normalmente como MAC de destino en el paquete de red. | Destino, MAC |
| DstDvcMacAddr | String | 06:10:9f:eb:8f:14 | Dirección MAC de destino de un dispositivo que no está directamente asociado con el paquete de red. | Destino, Dispositivo, MAC |
| DstDvcDomain | String | CONTOSO | Dominio del dispositivo de destino. | Destino, Dispositivo |
| DstPortNumber | Entero | 443 | Puerto de la dirección IP. | Destino, Puerto |
| DstGeoRegion | Región (cadena) | Vermont | Región asociada con la dirección IP de destino | Destino, Geoárea |
| DstResourceId | Identificador del dispositivo (cadena) | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /victim | Identificador de recurso del dispositivo de destino. | Destination |
| DstNatIpAddr | IP address (Dirección IP) | 2::1 | Si la notifica un dispositivo NAT intermediario, como un firewall, la dirección IP que usa el dispositivo NAT para la comunicación con el origen. | NAT de destino, IP |
| DstNatPortNumber | int | 443 | Si la notifica un dispositivo NAT intermediario, como un firewall, el puerto que usa el dispositivo NAT para la comunicación con el origen. | NAT de destino, Puerto |
| DstUserSid | SID de usuario | S-12-1445 | Identificador de usuario de la identidad asociada con el destino de la sesión. Normalmente, la identidad que se usa para autenticar un servidor. Para más información, consulte Tipos de datos y formatos. | Destino, Usuario |
| DstUserAadId | Cadena (guid) | ae92b0b4-cfba-4b42-85a0-fbd862f4df54 | Identificador de objeto de la cuenta de Microsoft Entra del usuario en el extremo de destino de la sesión | Destino, Usuario |
| DstUserName | Nombre de usuario (cadena) | johnd | Nombre de usuario de la identidad asociada con el destino de la sesión. | Destino, Usuario |
| DstUserUpn | string | johnd@anon.com | UPN de la identidad asociada con el destino de la sesión. | Destino, Usuario |
| DstUserDomain | string | WORKGROUP | Nombre de dominio o de equipo de la cuenta en el destino de la sesión. | Destino, Usuario |
| DstZone | String | Dmz | Zona de red del destino definida en el dispositivo de informes. | Destination |
| DstGeoLongitude | Longitud (doble) | -73.211944 | Longitud de la coordenada geográfica asociada con la dirección IP de destino. | Destino, Geoárea |
| DvcAction | Multivalor: permitir, denegar, quitar (cadena) | Allow | Si lo notifica un dispositivo intermediario, como un firewall, la acción realizada por el dispositivo. | Dispositivo |
| DvcInboundInterface | String | eth0 | Si lo notifica un dispositivo intermediario, como un firewall, la interfaz de red que usa este para la conexión con el dispositivo de origen. | Dispositivo |
| DvcOutboundInterface | String | Adaptador Ethernet: Ethernet 4 | Si lo notifica un dispositivo intermediario, como un firewall, la interfaz de red que usa este para la conexión con el dispositivo de destino. | Dispositivo |
| NetworkDuration | Entero | 1.500 | Cantidad de tiempo, en milisegundos, para la finalización de la sesión o la conexión de red. | Red |
| NetworkIcmpCode | Entero | 34 | En un mensaje ICMP, valor numérico del tipo de mensaje ICMP (RFC 2780 o RFC 4443). | Red |
| NetworkIcmpType | String | Destino no accesible | En un mensaje ICMP, representación de texto del tipo de mensaje ICMP (RFC 2780 o RFC 4443). | Red |
| DstPackets | int | 446 | Número de paquetes enviados del destino al origen en la conexión o la sesión. El dispositivo de informes define el significado de un paquete. | Destination |
| SrcPackets | int | 6478 | Número de paquetes enviados del origen al destino en la conexión o la sesión. El dispositivo de informes define el significado de un paquete. | Source |
| NetworkPackets | int | 0 | Número de paquetes enviados en ambas direcciones. Si PacketsReceived y PacketsSent existen, BytesTotal debe ser igual a su suma. | Red |
| HttpRequestTime | Entero | 700 | Cantidad de tiempo que se tardó en enviar la solicitud al servidor, si procede. | Http |
| HttpResponseTime | Entero | 800 | Cantidad de tiempo que se tardó en recibir una respuesta en el servidor, si procede. | Http |
| NetworkRuleName | String | AnyAnyDrop | Nombre o identificador de la regla sobre la que se decidió DeviceAction | Red |
| NetworkRuleNumber | int | 23 | Número de regla coincidente. | Red |
| NetworkSessionId | string | 172_12_53_32_4322__123_64_207_1_80 | Identificador de sesión notificado por el dispositivo de informes. Por ejemplo, el identificador de sesión L7 para aplicaciones específicas que siguen a la autenticación. | Red |
| SrcGeoCity | String | Burlington | Ciudad asociada con la dirección IP de origen. | Origen, Geoárea |
| SrcGeoCountry | País (cadena) | EE. UU. | País o región asociado a la dirección IP de origen | Origen, Geoárea |
| SrcDvcHostname | Nombre de dispositivo (cadena) | villain | Nombre del dispositivo de origen. | Origen, Dispositivo |
| SrcDvcFqdn | string | Villain.malicious.com | Nombre de dominio completo del host en el que se creó el registro. | Origen, Dispositivo |
| SrcDvcDomain | string | EVILORG | Dominio del dispositivo desde el que se inició la sesión. | Origen, Dispositivo |
| SrcDvcOs | String | iOS | Sistema operativo del dispositivo de origen. | Origen, Dispositivo |
| SrcDvcModelName | String | Samsung Galaxy Note | Nombre del modelo del dispositivo de origen. | Origen, Dispositivo |
| SrcDvcModelNumber | String | 10.0 | Número de modelo del dispositivo de origen. | Origen, Dispositivo |
| SrcDvcType | String | Móvil | Tipo del dispositivo de origen. | Origen, Dispositivo |
| SrcInterfaceName | Cadena | eth01 | Interfaz de red utilizada por el dispositivo de origen en la conexión o la sesión. | Source |
| SrcInterfaceGuid | String | 46ad544b-eaf0-47ef-827c-266030f545a6 | GUID de la interfaz de red usada. | Source |
| SrcIpAddr | IP address (Dirección IP) | 77.138.103.108 | Dirección IP desde la que se originó la conexión o la sesión. | Origen, IP |
| SrcDvcIpAddr | IP address (Dirección IP) | 77.138.103.108 | Dirección IP de origen de un dispositivo que no está asociada directamente con el paquete de red (recopilada por un proveedor o calculada explícitamente). | Origen, Dispositivo, IP |
| SrcGeoLatitude | Latitud (doble) | 44.475833 | Latitud de la coordenada geográfica asociada con la dirección IP de origen. | Origen, Geoárea |
| SrcGeoLongitude | Longitud (doble) | -73.211944 | Longitud de la coordenada geográfica asociada con la dirección IP de origen. | Origen, Geoárea |
| SrcMacAddr | String | 06:10:9f:eb:8f:14 | Dirección MAC de la interfaz de red desde la que se originó la conexión o la sesión. | Origen, Mac |
| SrcDvcMacAddr | String | 06:10:9f:eb:8f:14 | Dirección MAC de origen de un dispositivo que no está directamente asociada con el paquete de red. | Origen, Dispositivo, Mac |
| SrcPortNumber | Entero | 2335 | Puerto IP desde el que se originó la conexión. Puede que no sea importante en sesiones que contengan varias conexiones. | Origen, Puerto |
| SrcGeoRegion | Región (cadena) | Vermont | Región dentro de un país o región asociado a la dirección IP de origen | Origen, Geoárea |
| SrcResourceId | Cadena | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | Identificador de recurso del dispositivo que genera el mensaje. | Source |
| SrcNatIpAddr | IP address (Dirección IP) | 4.3.2.1 | Si la notifica un dispositivo NAT intermediario, como un firewall, la dirección IP que usa el dispositivo NAT para la comunicación con el destino. | NAT de origen, IP |
| SrcNatPortNumber | Entero | 345 | Si lo notifica un dispositivo NAT intermediario, como un firewall, el puerto que usa el dispositivo NAT para la comunicación con el destino. | NAT de origen, Puerto |
| SrcUserSid | Identificador de usuario (cadena) | S-15-1445 | Identificador de usuario de la identidad asociada con el origen de las sesiones. Normalmente, el usuario que realiza una acción en el cliente. Para más información, consulte Tipos de datos y formatos. | Origen, Usuario |
| SrcUserAadId | Cadena (guid) | 16c8752c-7dd2-4cad-9e03-fb5d1cee5477 | Identificador de objeto de la cuenta de Microsoft Entra del usuario en el extremo de origen de la sesión | Origen, Usuario |
| SrcUserName | Nombre de usuario (cadena) | bob | Nombre de usuario de la identidad asociada con el origen de las sesiones. Normalmente, el usuario que realiza una acción en el cliente. Para más información, consulte Tipos de datos y formatos. | Source Usuario |
| SrcUserUpn | string | bob@alice.com | UPN de la cuenta que inicia la sesión. | Origen, Usuario |
| SrcUserDomain | string | ESCRITORIO | Dominio de la cuenta que inicia la sesión. | Origen, Usuario |
| SrcZone | String | Pulsar | Zona de red del origen definida en el dispositivo de informes. | Source |
| NetworkProtocol | String | TCP | Protocolo IP utilizado por la conexión o la sesión. Normalmente, TCP, UDP o ICMP. | Red |
| CloudAppName | String | Nombre de la aplicación de destino en una aplicación HTTP, tal y como se identifica en un proxy. | Nube | |
| CloudAppId | String | 124 | Identificador de la aplicación de destino en una aplicación HTTP, tal y como se identifica en un proxy. Por lo general, este valor es específico del proxy utilizado. | Nube |
| CloudAppOperation | String | DeleteFile | Operación realizada por el usuario en el contexto de la aplicación de destino en una aplicación HTTP, tal y como se identifica en un proxy. Por lo general, este valor es específico del proxy utilizado. | Nube |
| CloudAppRiskLevel | String | 3 | Nivel de riesgo asociado con una aplicación HTTP, tal y como se identifica en un proxy. Por lo general, este valor es específico del proxy utilizado. | Nube |
| FileName | String | ImNotMalicious.exe | Nombre de archivo transmitido a través de las conexiones de red para protocolos como FTP y HTTP, que proporcionan la información del nombre de archivo. | Archivo |
| FilePath | String | C:\Malicious\ImNotMalicious.exe | Ruta de acceso completa del archivo (nombre de archivo incluido). | Archivo |
| FileHashMd5 | String | 51BC68715FC7C109DCEA406B42D9D78F | Valor de hash MD5 del archivo transmitido a través de las conexiones de red para los protocolos. | Archivo |
| FileHashSha1 | String | 491AE3…C299821476F4 | Valor de hash SHA1 del archivo transmitido a través de las conexiones de red para los protocolos. | Archivo |
| FileHashSha256 | String | 9B8F8EDB…C129976F03 | Valor de hash SHA256 del archivo transmitido a través de las conexiones de red para los protocolos. | Archivo |
| FileHashSha512 | String | 5E127D…F69F73F01F361 | Valor de hash SHA512 del archivo transmitido a través de las conexiones de red para los protocolos. | Archivo |
| FileExtension | String | exe | Tipo de archivo transmitido a través de las conexiones de red para protocolos como FTP y HTTP. | Archivo |
| FileMimeType | String | application/msword | Tipo MIME del archivo transmitido a través de las conexiones de red para protocolos como FTP y HTTP | Archivo |
| FileSize | Entero | 23500 | Tamaño, en bytes, del archivo transmitido a través de las conexiones de red para los protocolos. | Archivo |
| HttpVersion | String | 2.0 | Versión de la solicitud HTTP para las conexiones de red HTTP/HTTPS. | Http |
| HttpRequestMethod | String | GET | Método HTTP para las sesiones de red HTTP/HTTPS. | Http |
| HttpStatusCode | String | 404 | Código de estado HTTP para las sesiones de red HTTP/HTTPS. | Http |
| HttpContentType | String | multipart/form-data; boundary=something | Encabezado de tipo de contenido de respuesta HTTP para las sesiones de red HTTP/HTTPS. | Http |
| HttpReferrerOriginal | String | https://developer.mozilla.org/en-US/docs/Web/JavaScript | Encabezado de referencia HTTP para las sesiones de red HTTP/HTTPS. | Http |
| HttpUserAgentOriginal | String | Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/83.0.4103.97 Safari/537.36 | Encabezado de agente de usuario HTTP para las sesiones de red HTTP/HTTPS. | Http |
| HttpRequestXff | String | 120.12.41.1 | Encabezado HTTP X-Forwarded-For para las sesiones de red HTTP/HTTPS. | Http |
| UrlCategory | String | Motores de búsqueda | La agrupación definida de una dirección URL, posiblemente basada en el dominio de la dirección URL, relacionada con el contenido. Por ejemplo, adultos, noticias, publicidad, dominios aparcados, etcétera). | url |
| UrlOriginal | Cadena | https:// contoso.com/fo/?k=v&q=u#f | Dirección URL de la solicitud HTTP para las sesiones de red HTTP/HTTPS. | Url |
| UrlHostname | String | contoso.com | Parte del dominio de la dirección URL de una solicitud HTTP para las sesiones de red HTTP/HTTPS. | Url |
| ThreatCategory | String | Troyano | Categoría de una amenaza identificada por un sistema de seguridad, como la puerta de enlace de seguridad web de un IPS, y que está asociada con esta sesión de red. | Amenaza |
| ThreatId | String | Tr.124 | Identificador de una amenaza identificada por un sistema de seguridad, como la puerta de enlace de seguridad web de un IPS, y que está asociado con esta sesión de red. | Amenaza |
| ThreatName | String | Archivo de prueba de EICAR | Nombre de la amenaza o del malware identificados. | Amenaza |
| AdditionalFields | Dinámico (contenedor JSON) | { Property1: “val1”, Property2: "val2" } |
Cuando ninguna de las columnas respectivas del esquema coincide, se pueden almacenar otros campos en un contenedor JSON. Para el análisis en tiempo de consulta, se recomienda promover columnas adicionales en lugar de usar un paquete JSON, ya que empaquetar datos en código JSON degradará el rendimiento de las consultas. |
Campo personalizado |
Diferencias entre la versión 0.1 y la versión 0.2
La versión original del esquema de normalización de sesión de red de Microsoft Sentinel (versión 0.1) se publicó como versión preliminar antes de que ASIM estuviera disponible.
Entre las diferencias entre la versión 0.1, documentada en este artículo, y la versión 0.2.x se incluyen las siguientes:
- En la versión 0.2, se han cambiado los nombres de los analizadores independientes del origen y específicos del origen para que se ajusten a una convención de nomenclatura estándar de ASIM.
- La versión 0.2 agrega directrices específicas y analizadores independientes del origen para dar cabida a tipos de dispositivos específicos.
En las secciones siguientes se describe cómo difiere la versión 0.2.x en campos específicos.
Campos agregados en la versión 0.2
Los campos siguientes se agregaron en la versión 0.2.x y no existen en la versión 0.1:
- DstAppType
- DstDeviceType
- DstDomainType
- DstDvcId
- DstDvcIdType
- DstOriginalUserType
- DstUserIdType
- DstUsernameType
- DstUserType
- DvcActionOriginal
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcIdType
- EventOriginalSeverity
- EventOriginalType
- SrcAppId
- SrcAppName
- SrcAppType
- SrcDeviceType
- SrcDomainType
- SrcDvcId
- SrcDvcIdType
- SrcOriginalUserType
- SrcUserIdType
- SrcUsernameType
- SrcUserType
- ThreatRiskLevelOriginal
- Url
Campos con nuevos alias en la versión 0.2
Los campos siguientes ahora tienen alias en la versión 0.2.x con la introducción de ASIM:
| Campo en la versión 0.1 | Alias en la versión 0.2 |
|---|---|
| SessionId | NetworkSessionId |
| Duration | NetworkDuration |
| IpAddr | SrcIpAddr |
| Usuario | DstUsername |
| Nombre de host | DstHostname |
| UserAgent | HttpUserAgent |
Campos modificados en la versión 0.2
Los campos siguientes se enumeran en la versión 0.2.x y requieren un valor específico de una lista proporcionada.
- EventType
- EventResultDetails
- EventSeverity
Campos renombrados en la versión 0.2
Se ha cambiado el nombre de los campos siguientes en la versión 0.2.x:
En la versión 0.2, use los campos integrados de Log Analytics:
Observe que
ingestion_time()es una función KQL y no un nombre de campo.Campo en la versión 0.1 Renombrado en la versión 0.2 EventResourceId _ResourceId EventUid _ItemId EventTimeIngested ingestion_time() Se ha cambiado el nombre para alinearse con las mejoras de ASIM y OSSEM:
Campo en la versión 0.1 Renombrado en la versión 0.2 HttpReferrerOriginal HttpReferrer HttpUserAgentOriginal HttpUserAgent Se ha cambiado el nombre para reflejar que el destino de la sesión de red no tiene que ser un servicio en la nube:
Campo en la versión 0.1 Renombrado en la versión 0.2 CloudAppId DstAppId CloudAppName DstAppName CloudAppRiskLevel ThreatRiskLevel Se ha cambiado el nombre para cambiar el caso y alinearse con el control de ASIM de la entidad de usuario:
Campo en la versión 0.1 Renombrado en la versión 0.2 DstUserName DstUsername SrcUserName SrcUsername Se ha cambiado el nombre para alinearse mejor con la entidad del dispositivo ASIM y permitir identificadores de recursos distintos de los de Azure:
Campo en la versión 0.1 Renombrado en la versión 0.2 DstResourceId SrcDvcAzureResourceId SrcResourceId SrcDvcAzureResourceId Se ha cambiado el nombre para quitar la cadena
Dvcde los nombres de campo, ya que el control en la versión 0.1 era incoherente:Campo en la versión 0.1 Renombrado en la versión 0.2 DstDvcDomain DstDomain DstDvcFqdn DstFqdn DstDvcHostname DstHostname SrcDvcDomain SrcDomain SrcDvcFqdn SrcFqdn SrcDvcHostname SrcHostname Se ha cambiado el nombre para alinearse con la guía de representación de archivos de ASIM:
Campo en la versión 0.1 Renombrado en la versión 0.2 FileHashMd5 FileMD5 FileHashSha1 FileSHA1 FileHashSha256 FileSHA256 FileHashSha512 FileSHA512 FileMimeType FileContentType
Campos eliminados en la versión 0.2
Los campos siguientes solo existen en la versión 0.1 y se han quitado en la versión 0.2.x:
| Motivo | Campos quitados |
|---|---|
Se ha quitado porque existen duplicados sin la cadena Dvc en el nombre del campo. |
- DstDvcIpAddr - DstDvcMacAddr - SrcDvcIpAddr - SrcDvcMacAddr |
| Se ha quitado para alinearse con el control de direcciones URL de ASIM. | - UrlHostname |
| Se ha quitado porque estos campos no se proporcionan normalmente como parte de los eventos de sesión de red. Si un evento incluye estos campos, use el esquema de eventos de proceso para entender cómo describir las propiedades del dispositivo. |
- SrcDvcOs - SrcDvcModelName - SrcDvcModelNumber - DvcMacAddr - DvcOs |
| Se ha quitado para alinearse con la guía de representación de archivos de ASIM. | - FilePath - FileExtension |
| Se ha quitado porque este campo indica que se debe usar un esquema diferente, como el esquema de autenticación. | - CloudAppOperation |
Se ha quitado porque duplica DstHostname. |
- DstDomainHostname |
Pasos siguientes
Para más información, consulte:
- Normalización en Microsoft Sentinel
- Referencia del esquema de normalización de la autenticación de Microsoft Sentinel (versión preliminar pública)
- Referencia del esquema de normalización de eventos de archivo de Microsoft Sentinel (versión preliminar pública)
- Referencia del esquema de normalización de DNS de Microsoft Sentinel
- Referencia del esquema de normalización de eventos de proceso de Microsoft Sentinel
- Referencia del esquema de normalización de eventos de registro de Microsoft Sentinel (versión preliminar pública)