Referencia del esquema de normalización de sesiones de red con el modelo de información de seguridad avanzada (ASIM; versión preliminar pública)

El esquema de normalización de sesión de red de Microsoft Sentinel representa una actividad de red IP, como conexiones de red y sesiones de red. Estos eventos se notifican, por ejemplo, por los sistemas operativos, los enrutadores, los firewalls y los sistemas de prevención de intrusiones.

El esquema de normalización de red puede representar cualquier tipo de sesión de red IP, pero está diseñado para proporcionar compatibilidad con tipos de origen comunes, como Netflow, firewalls y sistemas de prevención de intrusiones.

Para más información sobre la normalización en Microsoft Sentinel, consulte Normalización y Modelo avanzado de información de seguridad (ASIM).

En este artículo se describe la versión 0.2.x del esquema de normalización de red. La versión 0.1 se publicó antes de que ASIM estuviera disponible y no se alinea con ASIM en varios lugares. Para más información, consulte Diferencias entre versiones del esquema de normalización de red.

Importante

El esquema de normalización de red está actualmente en versión preliminar. Esta característica se proporciona sin un Acuerdo de Nivel de Servicio. No es aconsejable para cargas de trabajo de producción.

En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Analizadores

Para más información sobre los analizadores de ASIM,consulte la introducción a los analizadores de ASIM.

Unificación de analizadores

Para usar analizadores que unifiquen todos los analizadores predeterminados de ASIM y asegurarse de que el análisis se ejecuta en todos los orígenes configurados, use el analizador de filtrado _Im_NetworkSession o el analizador sin parámetros _ASim_NetworkSession.

También puede usar los analizadores ImNetworkSession y ASimNetworkSession implementados en el área de trabajo mediante su implementación desde el repositorio de Microsoft Sentinel en GitHub.

Para más información, vea Analizadores de ASIM integrados y analizadores implementados por el área de trabajo.

Analizadores integrados específicos del origen

Para obtener la lista de analizadores de sesiones de red que proporciona Microsoft Sentinel, consulte la lista de analizadores de ASIM

Adición de sus propios analizadores normalizados

Al desarrollar analizadores personalizados para el modelo de información de sesión de red, asigne un nombre a las funciones KQL con la sintaxis siguiente:

  • vimNetworkSession<vendor><Product> para analizadores parametrizados
  • ASimNetworkSession<vendor><Product> para analizadores regulares

Consulte el artículo Administración de analizadores de ASIM para obtener información sobre cómo agregar los analizadores personalizados a los analizadores de unificación de la sesión de red.

Filtrado de parámetros del analizador

Los analizadores im y vim* admiten parámetros de filtrado. Aunque estos analizadores son opcionales, pueden mejorar el rendimiento de las consultas.

Están disponibles los siguientes parámetros de filtrado:

Nombre Tipo Descripción
starttime datetime Filtre solo las sesiones de red que se iniciaron en este momento, o después.
endtime datetime Filtre solo las sesiones de red que empezaron a ejecutarse en este momento, o antes.
srcipaddr_has_any_prefix dinámico Filtre solo las sesiones de red para las que el prefijo del campo de dirección IP de origen es uno de los valores enumerados. Los prefijos deben terminar por ., por ejemplo: 10.0.. La longitud de la lista se limita a 10 000 elementos.
dstipaddr_has_any_prefix dinámico Filtre solo las sesiones de red para las que el prefijo del campo de dirección IP de destino se encuentra en uno de los valores enumerados. Los prefijos deben terminar por ., por ejemplo: 10.0.. La longitud de la lista se limita a 10 000 elementos.
ipaddr_has_any_prefix dinámico Filtre solo las sesiones de red cuyo prefijo del campo de dirección IP de destino o del campo de dirección IP de origen se encuentre en uno de los valores enumerados. Los prefijos deben terminar por ., por ejemplo: 10.0.. La longitud de la lista se limita a 10 000 elementos.

El campo ASimMatchingIpAddr se establece con uno de los valores SrcIpAddr, DstIpAddro Both para reflejar los campos o campos coincidentes.
dstportnum Int Filtre solo las sesiones de red con el número de puerto de destino especificado.
hostname_has_any dinámico Filtre solo las sesiones de red para las que el campo de nombre de host de destino tenga cualquiera de los valores enumerados. La longitud de la lista se limita a 10 000 elementos.

El campo ASimMatchingHostname se establece con uno de los valores SrcHostname, DstHostnameo Both para reflejar los campos o campos coincidentes.
dvcaction dinámico Filtre solo las sesiones de red para las que el campo de acción del dispositivo sea cualquiera de los valores enumerados.
eventresult Cadena Filtre solo las sesiones de red con un valor de EventResult específico.

Por ejemplo, para filtrar únicamente las sesiones de red de una lista específica de nombres de dominio, use:

let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)

Sugerencia

Para pasar una lista literal a parámetros que esperan un valor dinámico, use explícitamente un literal dinámico. Por ejemplo: dynamic(['192.168.','10.']).

Información general del esquema

El modelo de información de Sesión de red está alineado con el esquema de entidad de red de OSSEM.

Los eventos de sesión de red usan los descriptores Src y Dst para indicar los roles de los dispositivos y de los usuarios y aplicaciones relacionados involucrados en la sesión. Así, por ejemplo, el nombre de host y la dirección IP del dispositivo de origen se denominan SrcHostname y SrcIpAddr. Tenga en cuenta que otros esquemas de ASIM suelen usar Target en lugar de Dst.

Para los eventos notificados por un punto de conexión y para los que el tipo de evento es EndpointNetworkSession, los descriptores Local y Remote indican el propio punto de conexión y el dispositivo en el otro extremo de la sesión de red, respectivamente.

El descriptor Dvc se usa para el dispositivo de notificación, que es el sistema local para las sesiones notificadas por un punto de conexión, y el dispositivo intermedio o la derivación de red para otros eventos de sesión de red.

Detalles del esquema

Campos comunes de ASIM

Importante

Los campos comunes a todos los esquemas se describen de forma detallada en el artículo siguiente sobre los campos comunes de ASIM.

Campos comunes con instrucciones específicas

En la siguiente lista se mencionan los campos con instrucciones específicas para los eventos de sesión de red:

Campo Clase Tipo Descripción
EventCount Mandatory Entero Los orígenes de Netflow admiten agregación, y el campo EventCount se debe establecer en el valor del campo FLOWS (FLUJOS) de Netflow. En el caso de otros orígenes, el valor se establece normalmente en 1.
Mandatory Enumerated Describe la operación notificada por el registro.

Para los registros de sesiones de red, los valores permitidos son:
- EndpointNetworkSession: Para las sesiones notificadas por los sistemas de puntos de conexión, incluidos los clientes y servidores. Para estos sistemas, el esquema admite los campos de alias remote y local.
- NetworkSession: Para las sesiones notificadas por sistemas intermedios y derivaciones de red.
- Flow: Para los flujos agregados de tipo NetFlow que agrupan varias sesiones similares. Para estos registros, EventSubType se debe dejar vacío.
Opcionales String Descripción adicional del tipo de evento, si procede.
En el caso de registros de Sesión de red, los valores que se admiten incluyen:
- Start
- End
EventResult Mandatory Enumerated Si el dispositivo de origen no proporciona un resultado de evento, EventResult debe basarse en el valor de DvcAction. Si DvcAction es Deny, Drop, Drop ICMP, Reset, Reset Source o Reset Destination,
EventResult debe ser Failure. De lo contrario, EventResult debe ser Success.
EventSchema Mandatory String El nombre del esquema que se documenta aquí es NetworkSession.
EventSchemaVersion Mandatory String Versión del esquema. La versión del esquema que se documenta aquí es 0.2.3.
DvcAction Recomendado Enumerated La acción realizada en la sesión de red. Los valores admitidos son:
- Allow
- Deny
- Drop
- Drop ICMP
- Reset
- Reset Source
- Reset Destination
- Encrypt
- Decrypt
- VPNroute

Nota: El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. El valor original debe almacenarse en el campo DvcOriginalAction.

Ejemplo: drop
EventSeverity Opcional Enumerated Si el dispositivo de origen no proporciona una gravedad de evento, EventSeverity debe basarse en el valor de DvcAction. Si DvcAction es Deny, Drop, Drop ICMP, Reset, Reset Source o Reset Destination,
EventSeverity debe ser Low. De lo contrario, EventSeverity debe ser Informational.
DvcInterface El campo DvcInterface debe tener como alias los campos DvcInboundInterface o DvcOutboundInterface.
Campos dvc En el caso de los eventos de Sesión de red, los campos del dispositivo hacen referencia al sistema que informa del evento de Sesión de red.

Todos los campos comunes

Los campos que aparecen en la tabla siguiente son comunes a todos los esquemas de ASIM. Cualquier directriz especificada anteriormente invalida las directrices generales para el campo. Por ejemplo, un campo podría ser opcional en general, pero obligatorio para un esquema específico. Para obtener más información sobre cada campo, consulte el siguiente artículo sobre los campos comunes de ASIM.

Clase Fields
Mandatory - EventCount
- EventStartTime
- EventEndTime
- -
- -
- -
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Recomendado - EventResultDetails
- -
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- -
- -
- DvcAction
Opcionales - EventMessage
- -
- EventOriginalUid
- -
- -
- -
- -
- EventProductVersion
- EventReportUrl
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- -
- -
- DvcDescription

Campos de sesión de red

Campo Clase Tipo Descripción
NetworkApplicationProtocol Opcional String Protocolo de la capa de aplicación usado por la conexión o la sesión. Si se proporciona el valor de DstPortNumber, se recomienda que incluya también NetworkApplicationProtocol. Si el valor no está disponible en el origen, obténgalo de DstPortNumber.

Ejemplo: FTP
NetworkProtocol Opcional Enumerated Protocolo IP usado por la conexión o la sesión, como se muestra en Asignación de protocolos de IANA, que habitualmente es TCP, UDP o ICMP.

Ejemplo: TCP
NetworkProtocolVersion Opcional Enumerated Versión de NetworkProtocol. Cuando se use para distinguir entre la versión de IP, use los valores IPv4 y IPv6.
NetworkDirection Opcional Enumerated La dirección de la conexión o sesión:

- En EventTypeNetworkSession, NetworkDirection representa la dirección relativa al límite de la organización o el entorno de la nube. Los valores admitidos son Inbound, Outbound, Local (en la organización), External (en la organización) o NA (no aplicable).

- En EventTypeEndpointNetworkSession, NetworkDirection representa la dirección relacionada con el punto de conexión. Los valores admitidos son Inbound, Outbound, Local (en el sistema), Listen o NA (no aplicable). El valor Listen indica que un dispositivo ha empezado a aceptar conexiones de red, pero que en realidad no es imprescindible que esté conectado.
NetworkDuration Opcional Entero Cantidad de tiempo, en milisegundos, para la finalización de la sesión o la conexión de red.

Ejemplo: 1500
Duration Alias Alias de NetworkDuration.
NetworkIcmpCode Opcional Entero En mensajes de ICMP, el valor numérico del tipo de mensaje, como se describe en RFC 2780 para las conexiones de red IPv4, o en RFC 4443 para las conexiones de red IPv6. Si se proporciona un valor de NetworkIcmpType, este campo es obligatorio. Si el valor no está disponible en el origen, obtenga entonces el valor del campo NetworkIcmpType.

Ejemplo: 34
NetworkIcmpType Opcional String En mensajes de ICMP, la representación de texto del tipo de mensaje, como se describe en RFC 2780 para las conexiones de red IPv4, o en RFC 4443 para las conexiones de red IPv6.

Ejemplo: Destination Unreachable
NetworkConnectionHistory Opcional Cadena Marcas TCP y otra información de encabezado IP potencial.
DstBytes Recomendado long Número de bytes enviados desde el destino hasta el origen en la conexión o la sesión. Si se agrega el evento, DstBytes debe ser la suma de todas las sesiones agregadas.

Ejemplo: 32455
SrcBytes Recomendado long Número de bytes enviados desde el origen hasta el destino en la conexión o la sesión. Si se agrega el evento, SrcBytes debe ser la suma de todas las sesiones agregadas.

Ejemplo: 46536
NetworkBytes Opcional long Número de bytes enviados en ambas direcciones. Si existen BytesReceived y BytesSent, BytesTotal debe ser igual a su suma. Si se agrega el evento, NetworkBytes debe ser la suma de todas las sesiones agregadas.

Ejemplo: 78991
DstPackets Opcional long Número de paquetes enviados del destino al origen en la conexión o la sesión. El dispositivo de informes define el significado de un paquete. Si se agrega el evento, DstPackets debe ser la suma de todas las sesiones agregadas.

Ejemplo: 446
SrcPackets Opcional long Número de paquetes enviados del origen al destino en la conexión o la sesión. El dispositivo de informes define el significado de un paquete. Si se agrega el evento, SrcPackets debe ser la suma de todas las sesiones agregadas.

Ejemplo: 6478
NetworkPackets Opcional long Número de paquetes enviados en ambas direcciones. Si PacketsReceived y PacketsSent existen, BytesTotal debe ser igual a su suma. El dispositivo de informes define el significado de un paquete. Si se agrega el evento, NetworkPackets debe ser la suma de todas las sesiones agregadas.

Ejemplo: 6924
NetworkSessionId Opcional string Identificador de sesión notificado por el dispositivo de informes.

Ejemplo: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80
SessionId Alias String Alias de NetworkSessionId.

Campos del sistema de destino

Campo Clase Tipo Descripción
Dst Recomendado Alias Identificador único del servidor que recibe la solicitud de DNS.

Este campo puede ser un alias de los campos DstDvcId, DstHostname o DstIpAddr.

Ejemplo: 192.168.12.1
DstIpAddr Recomendado Dirección IP Dirección IP de destino de la conexión o de la sesión. Si la sesión usa la traducción de direcciones de red, esta es la dirección visible públicamente, no la dirección original del origen, que se almacena en DstNatIpAddr.

Ejemplo: 2001:db8::ff00:42:8329

Nota: Este valor es obligatorio si se especifica el campo DstHostname.
DstPortNumber Opcional Entero Puerto de la dirección IP.

Ejemplo: 443
DstHostname Recomendado Nombre de host Nombre de host del dispositivo de destino, excepto la información de dominio. Si no hay ningún nombre de dispositivo disponible, almacene la dirección IP correspondiente en este campo.

Ejemplo: DESKTOP-1282V4D
DstDomain Recomendado String Dominio del dispositivo de destino.

Ejemplo: Contoso
DstDomainType Recomendado Enumerated Tipo de DstDomain. Para obtener más información y una lista de valores permitidos, consulte DomainType en el artículo Introducción al esquema.

Obligatorio si se usa el campo DstDomain.
DstFQDN Opcional String Nombre de host del dispositivo de destino, incluida la información de dominio cuando esté disponible.

Ejemplo: Contoso\DESKTOP-1282V4D

Nota: Este campo admite tanto el formato de FQDN tradicional como el formato de dominio\nombre de host de Windows. El campo DstDomainType refleja el formato utilizado.
DstDvcId Opcional String Identificador del dispositivo de destino. Si hay disponibles varios identificadores, use el más importante y almacene los demás en los campos DstDvc<DvcIdType>.

Ejemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
DstDvcIdType Opcionales Enumerated Tipo de DstDvcId. Para obtener más información y una lista de valores permitidos, consulte DvcIdType en el artículo Introducción al esquema.

Obligatorio si se usa el campo DstDeviceId.
DstDeviceType Opcionales Enumerated Tipo del dispositivo de destino. Para obtener más información y una lista de valores permitidos, consulte DeviceType en el artículo Introducción al esquema.
DstZone Opcional String Zona de red del destino definida en el dispositivo de informes.

Ejemplo: Dmz
DstInterfaceName Opcional String Interfaz de red que usa el dispositivo de destino en la conexión o la sesión.

Ejemplo: Microsoft Hyper-V Network Adapter
DstInterfaceGuid Opcional String GUID de la interfaz de red que se usa en el dispositivo de destino.

Ejemplo:
46ad544b-eaf0-47ef-
827c-266030f545a6
DstMacAddr Opcional Cadena Dirección MAC de la interfaz de red que usa el dispositivo de destino para la conexión o la sesión.

Ejemplo: 06:10:9f:eb:8f:14
DstVlanId Opcional Cadena Identificador de VLAN relacionado con el dispositivo de destino.

Ejemplo: 130
OuterVlanId Opcionales Alias Alias de DstVlanId.

En muchos casos, la VLAN no se puede determinar como origen o destino, pero se caracteriza como interna o externa. Este alias para significa que se debe usar DstVlanId cuando la VLAN se caracteriza como externa.
DstSubscriptionId Opcional String Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo de destino. DstSubscriptionId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
DstGeoCountry Opcionales País País asociado con la dirección IP de destino. Para obtener más información, consulte Tipos lógicos.

Ejemplo: USA
DstGeoRegion Opcionales Region Región, o provincia, de un país asociado con la dirección IP de destino. Para obtener más información, consulte Tipos lógicos.

Ejemplo: Vermont
DstGeoCity Opcionales City (Ciudad) Ciudad asociada con la dirección IP de destino. Para obtener más información, consulte Tipos lógicos.

Ejemplo: Burlington
DstGeoLatitude Opcionales Latitud Latitud de la coordenada geográfica asociada con la dirección IP de destino. Para obtener más información, consulte Tipos lógicos.

Ejemplo: 44.475833
DstGeoLongitude Opcionales Longitud Longitud de la coordenada geográfica asociada con la dirección IP de destino. Para obtener más información, consulte Tipos lógicos.

Ejemplo: 73.211944

Campos del usuario de destino

Campo Clase Tipo Descripción
DstUserId Opcional String Representación única, alfanumérica y legible por una máquina del usuario de destino. Para obtener el formato admitido para los distintos tipos de identificador, consulte Entidad Usuario.

Ejemplo: S-1-12
DstUserIdType Opcionales UserIdType Tipo del identificador almacenado en el campo DstUserId. Para obtener más información y una lista de valores permitidos, consulte UserIdType en el artículo Introducción al esquema.
DstUsername Opcional String Nombre de usuario de destino, incluida la información de dominio cuando esté disponible. Para obtener el formato admitido para los distintos tipos de identificador, consulte Entidad Usuario. Use este formato simple solo si no hay disponible información de dominio.

Almacene el tipo de nombre de usuario en el campo DstUsernameType. Si hay disponibles otros formatos de nombre de usuario, almacénelos en los campos DstUsername<UsernameType>.

Ejemplo: AlbertE
User Alias Alias de DstUsername.
DstUsernameType Opcionales UsernameType Especifica el tipo del nombre de usuario almacenado en el campo DstUsername. Para obtener más información y una lista de valores permitidos, consulte UsernameType en el artículo Introducción al esquema.

Ejemplo: Windows
DstUserType Opcionales UserType Tipo del usuario de destino. Para obtener más información y una lista de valores permitidos, consulte UserType en el artículo Introducción al esquema.

Nota: El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. Almacene el valor original en el campo DstOriginalUserType.
DstOriginalUserType Opcional String El tipo de usuario de destino original, si lo proporciona el origen.

Campos de la aplicación de destino

Campo Clase Tipo Descripción
DstAppName Opcional String Nombre de la aplicación de destino.

Ejemplo: Facebook
DstAppId Opcional String Identificador de la aplicación de destino, como se indica en el dispositivo de informes.

Ejemplo: 124
DstAppType Opcional AppType Tipo de la aplicación de destino. Para obtener más información y una lista de valores permitidos, consulte AppType en el artículo Introducción al esquema.

Este campo es obligatorio si se usa el campo DstAppName o DstAppId.

Campos del sistema de origen

Campo Clase Tipo Descripción
Src Recomendado Alias Identificador único del dispositivo de destino.

Este campo puede ser un alias de los campos SrcDvcId, SrcHostname o SrcIpAddr.

Ejemplo: 192.168.12.1
SrcIpAddr Recomendado Dirección IP Dirección IP desde la que se originó la conexión o la sesión. Este valor es obligatorio si se especifica SrcHostname. Si la sesión usa la traducción de direcciones de red, esta es la dirección visible públicamente, no la dirección original del origen, que se almacena en SrcNatIpAddr.

Ejemplo: 77.138.103.108
SrcPortNumber Opcional Entero Puerto IP desde el que se originó la conexión. Es posible que no sea importante en sesiones que contengan varias conexiones.

Ejemplo: 2335
SrcHostname Recomendado Nombre de host Nombre de host del dispositivo de origen, excepto la información de dominio. Si no hay ningún nombre de dispositivo disponible, almacene la dirección IP correspondiente en este campo.

Ejemplo: DESKTOP-1282V4D
SrcDomain Recomendado String Dominio del dispositivo de origen.

Ejemplo: Contoso
SrcDomainType Recomendado DomainType Tipo de SrcDomain. Para obtener más información y una lista de valores permitidos, consulte DomainType en el artículo Introducción al esquema.

Obligatorio si se usa el campo SrcDomain.
SrcFQDN Opcional String Nombre de host del dispositivo de origen, incluida la información de dominio cuando está disponible.

Nota: Este campo admite tanto el formato de FQDN tradicional como el formato de dominio\nombre de host de Windows. El campo SrcDomainType refleja el formato usado.

Ejemplo: Contoso\DESKTOP-1282V4D
SrcDvcId Opcional String Identificador del dispositivo de origen. Si hay disponibles varios identificadores, use el más importante y almacene los demás en los campos SrcDvc<DvcIdType>.

Ejemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcIdType Opcionales DvcIdType Tipo de SrcDvcId. Para obtener más información y una lista de valores permitidos, consulte DvcIdType en el artículo Introducción al esquema.

Nota: Este campo es necesario si se usa el campo SrcDvcId.
SrcDeviceType Opcionales DeviceType Tipo del dispositivo de origen. Para obtener más información y una lista de valores permitidos, consulte DeviceType en el artículo Introducción al esquema.
SrcZone Opcional String Zona de red del origen definida en el dispositivo de informes.

Ejemplo: Internet
SrcInterfaceName Opcionales String Interfaz de red utilizada por el dispositivo de origen en la conexión o la sesión.

Ejemplo: eth01
SrcInterfaceGuid Opcional String GUID de la interfaz de red que se usa en el dispositivo de origen.

Ejemplo:
46ad544b-eaf0-47ef-
827c-266030f545a6
SrcMacAddr Opcional String Dirección MAC de la interfaz de red desde la que se originó la conexión o la sesión.

Ejemplo: 06:10:9f:eb:8f:14
SrcVlanId Opcional Cadena Identificador de VLAN relacionado con el dispositivo de origen.

Ejemplo: 130
InnerVlanId Opcionales Alias Alias de SrcIpAddr.

En muchos casos, la VLAN no se puede determinar como origen o destino, pero se caracteriza como interna o externa. Este alias para significa que se debe usar SrcVlanId cuando la VLAN se caracteriza como interna.
SrcSubscriptionId Opcional String Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo de origen. SrcSubscriptionId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
SrcGeoCountry Opcionales País País asociado con la dirección IP de origen.

Ejemplo: USA
SrcGeoRegion Opcionales Region Región de un país asociado con la dirección IP de origen.

Ejemplo: Vermont
SrcGeoCity Opcionales City (Ciudad) Ciudad asociada con la dirección IP de origen.

Ejemplo: Burlington
SrcGeoLatitude Opcionales Latitud Latitud de la coordenada geográfica asociada con la dirección IP de origen.

Ejemplo: 44.475833
SrcGeoLongitude Opcionales Longitud Longitud de la coordenada geográfica asociada con la dirección IP de origen.

Ejemplo: 73.211944

Campos del usuario de origen

Campo Clase Tipo Descripción
SrcUserId Opcional String Representación única, alfanumérica y legible por una máquina del usuario de origen. Para obtener el formato admitido para los distintos tipos de identificador, consulte Entidad Usuario.

Ejemplo: S-1-12
SrcUserIdType Opcionales UserIdType Tipo del identificador almacenado en el campo SrcUserId. Para obtener más información y una lista de valores permitidos, consulte UserIdType en el artículo Introducción al esquema.
SrcUsername Opcional String Nombre de usuario, incluida la información del dominio, cuando esté disponible. Para obtener el formato admitido para los distintos tipos de identificador, consulte Entidad Usuario. Use este formato simple solo si no hay disponible información de dominio.

Almacene el tipo de nombre de usuario en el campo SrcUsernameType. Si hay disponibles otros formatos de nombre de usuario, almacénelos en los campos SrcUsername<UsernameType>.

Ejemplo: AlbertE
SrcUsernameType Opcionales UsernameType Especifica el tipo de nombre de usuario almacenado en el campo SrcUsername. Para obtener más información y una lista de valores permitidos, consulte UsernameType en el artículo Introducción al esquema.

Ejemplo: Windows
SrcUserType Opcionales UserType Tipo del usuario de origen. Para obtener más información y una lista de valores permitidos, consulte UserType en el artículo Introducción al esquema.

Nota: El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. Almacene el valor original en el campo SrcOriginalUserType.
SrcOriginalUserType Opcional String El tipo de usuario de destino original, si lo proporciona el dispositivo de informes.

Campos de la aplicación de origen

Campo Clase Tipo Descripción
SrcAppName Opcional String Nombre de la aplicación de origen.

Ejemplo: filezilla.exe
SrcAppId Opcional String Id. de la aplicación de origen, según notifica el dispositivo de informes.

Ejemplo: 124
SrcAppType Opcional AppType Tipo de la aplicación de origen. Para obtener más información y una lista de valores permitidos, consulte AppType en el artículo Introducción al esquema.

Este campo es obligatorio si se usan el campo SrcAppName o SrcAppId.

Alias locales y remotos

De manera opcional, todos los campos de origen y destino enumerados anteriormente pueden tener un alias por campos con el mismo nombre y los descriptores Local y Remote. Esto suele ser útil para los eventos notificados por un punto de conexión y para los que el tipo de evento sea EndpointNetworkSession.

Para tales eventos, los descriptores Local y Remote indican el propio punto de conexión y el dispositivo en el otro extremo de la sesión de red, respectivamente. Para las conexiones entrantes, el sistema local es el destino, los campos Local son alias de los campos Dst, y los campos "remotos" son alias de los campos Src. Por el contrario, para las conexiones salientes, el sistema local es el origen, los campos Local son alias de los campos Src, y los campos Remote son alias de los campos Dst.

Por ejemplo, para un evento de entrada, el campo LocalIpAddr es un alias de DstIpAddr, y el campo RemoteIpAddr es un alias de SrcIpAddr.

Alias de nombre de host y dirección IP

Campo Clase Tipo Descripción
Alias - Si el tipo de evento es NetworkSession, Hostname es un alias de DstHostname.
- Si el tipo de evento es EndpointNetworkSession, Hostname es un alias de RemoteHostname, que puede asignar el alias a DstHostname o SrcHostName, en función de NetworkDirection.
IpAddr Alias - Si el tipo de evento es NetworkSession, Hostname es un alias de SrcIpAddr.
- Si el tipo de evento es EndpointNetworkSession, Hostname es un alias de LocalIpAddr, que puede asignar el alias a SrcIpAddr o DstIpAddr, en función de NetworkDirection.

Dispositivo intermedio y campos de traducción de direcciones de red (NAT)

Los campos siguientes son útiles si el registro incluye información sobre un dispositivo intermediario, como un firewall o un proxy, que retransmite la sesión de red.

Los sistemas intermedios suelen usar la traducción de direcciones y, por tanto, la dirección original y la dirección observada externamente no son las mismas. En tales casos, los campos de dirección principal, como SrcIPAddr y DstIpAddr, representan las direcciones observadas externamente, mientras que los campos de dirección NAT, SrcNatIpAddr y DstNatIpAddr, representan la dirección interna del dispositivo original antes de la traducción.

Campo Clase Tipo Descripción
DstNatIpAddr Opcionales Dirección IP DstNatIpAddr representa una de dos:
- La dirección original del dispositivo de destino si se usó la traducción de direcciones de red.
- La dirección IP usada por el dispositivo intermediario para la comunicación con el origen.

Ejemplo: 2::1
DstNatPortNumber Opcional Entero Si un dispositivo NAT intermediario lo notifica, es el puerto que usa el dispositivo NAT para la comunicación con el origen.

Ejemplo: 443
SrcNatIpAddr Opcionales Dirección IP SrcNatIpAddr representa una de dos:
- La dirección original del dispositivo de origen si se usó la traducción de direcciones de red.
- La dirección IP usada por el dispositivo intermediario para la comunicación con el destino.

Ejemplo: 4.3.2.1
SrcNatPortNumber Opcional Entero Si un dispositivo NAT intermediario lo notifica, es el puerto que usa el dispositivo NAT para la comunicación con el destino.

Ejemplo: 345
DvcInboundInterface Opcional String Si un dispositivo intermediario la notifica, es la interfaz de red que usa el dispositivo NAT para la conexión con el dispositivo de origen.

Ejemplo: eth0
DvcOutboundInterface Opcional String Si un dispositivo intermediario la notifica, es la interfaz de red que usa el dispositivo NAT para la conexión con el dispositivo de destino.

Ejemplo: Ethernet adapter Ethernet 4e

Campos de inspección

Los siguientes campos se usan para representar esa inspección que realiza un dispositivo de seguridad, como un firewall, un IPS o una puerta de enlace de seguridad web:

Campo Clase Tipo Descripción
NetworkRuleName Opcional String Nombre o identificador de la regla sobre la que se decidió DvcAction.

Ejemplo: AnyAnyDrop
NetworkRuleNumber Opcional Entero Número de la regla sobre la que se decidió DvcAction.

Ejemplo: 23
Regla Mandatory Alias NetworkRuleName o NetworkRuleNumber.
ThreatId Opcional String Identificador de la amenaza o del malware identificados en la sesión de red.

Ejemplo: Tr.124
ThreatName Opcional String Nombre de la amenaza o del malware identificados en la sesión de red.

Ejemplo: EICAR Test File
ThreatCategory Opcional String Categoría de la amenaza o del malware identificados en la sesión de red.

Ejemplo: Trojan
ThreatRiskLevel Opcional Entero Nivel de riesgo asociado con la sesión. El nivel debe ser un número entre 0 y 100.

Nota: El valor se puede proporcionar en el registro de origen mediante una escala diferente, que se debe normalizar a esta. El valor original debe almacenarse en el campo ThreatRiskLevelOriginal.
ThreatRiskLevelOriginal Opcional String Nivel de riesgo indicado por el dispositivo de informes.

Otros campos

Si uno de los puntos de conexión de la sesión de red notifica el evento, es posible que incluya información sobre el proceso que inició o finalizó la sesión. En tales casos, se usa el esquema de eventos de proceso de ASIM para normalizar esta información.

Actualizaciones del esquema

Estos son los cambios en la versión 0.2.1 del esquema:

  • Se han agregado Src y Dst como alias a un identificador inicial para los sistemas de origen y destino.
  • Se han agregado los campos **NetworkConnectionHistory**, **SrcVlanId**, **DstVlanId**, InnerVlanId y OuterVlanId.

Estos son los cambios en la versión 0.2.2 del esquema:

  • Se han agregado los alias Remote y Local.
  • Se ha agregado el tipo de evento EndpointNetworkSession.
  • Se han definido Hostname y IpAddr como alias de RemoteHostname y LocalIpAddr, respectivamente, cuando el tipo de evento es EndpointNetworkSession.
  • Se ha definido DvcInterface como alias de DvcInboundInterface o DvcOutboundInterface.
  • Se ha cambiado el tipo de los siguientes campos de Entero a Largo: SrcBytes, DstBytes, NetworkBytes, SrcPackets, DstPackets y NetworkPackets.
  • Se han agregado los campos NetworkProtocolVersion, SrcSubscriptionId y DstSubscriptionId.
  • Se han dejado de usa DstUserDomain y SrcUserDomain.

Estos son los cambios en la versión 0.2.3 del esquema:

  • Se agregó el parámetro de filtradoipaddr_has_any_prefix.
  • El parámetro de filtrado hostname_has_any ahora coincide con los nombres de host de origen o destino.
  • Se agregaron los campos ASimMatchingHostname y ASimMatchingIpAddr.

Pasos siguientes

Para más información, consulte: