Referencia del esquema de normalización de sesiones de red con el modelo de información de seguridad avanzada (ASIM; versión preliminar pública)

El esquema de normalización de sesión de red de Microsoft Sentinel representa una actividad de red IP, como conexiones de red y sesiones de red. Estos eventos se notifican, por ejemplo, por los sistemas operativos, los enrutadores, los firewalls y los sistemas de prevención de intrusiones.

El esquema de normalización de red puede representar cualquier tipo de sesión de red IP, pero está diseñado para proporcionar compatibilidad con tipos de origen comunes, como Netflow, firewalls y sistemas de prevención de intrusiones.

Para más información sobre la normalización en Microsoft Sentinel, consulte Normalización y Modelo avanzado de información de seguridad (ASIM).

En este artículo se describe la versión 0.2.x del esquema de normalización de red. La versión 0.1 se publicó antes de que ASIM estuviera disponible y no se alinea con ASIM en varios lugares. Para más información, consulte Diferencias entre versiones del esquema de normalización de red.

Importante

El esquema de normalización de red está actualmente en versión preliminar. Esta característica se proporciona sin un Acuerdo de Nivel de Servicio. No es aconsejable para cargas de trabajo de producción.

En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Analizadores

Para más información sobre los analizadores de ASIM,consulte la introducción a los analizadores de ASIM.

Unificación de analizadores

Para usar analizadores que unifiquen todos los analizadores predeterminados de ASIM y asegurarse de que el análisis se ejecuta en todos los orígenes configurados, use el analizador de filtrado _Im_NetworkSession o el analizador sin parámetros _ASim_NetworkSession.

También puede usar los analizadores ImNetworkSession y ASimNetworkSession implementados en el área de trabajo mediante su implementación desde el repositorio de Microsoft Sentinel en GitHub.

Para más información, vea Analizadores de ASIM integrados y analizadores implementados por el área de trabajo.

Analizadores integrados específicos del origen

Para obtener la lista de analizadores de sesiones de red que proporciona Microsoft Sentinel, consulte la lista de analizadores de ASIM

Adición de sus propios analizadores normalizados

Al desarrollar analizadores personalizados para el modelo de información de sesión de red, asigne un nombre a las funciones KQL con la sintaxis siguiente:

  • vimNetworkSession<vendor><Product> para analizadores parametrizados
  • ASimNetworkSession<vendor><Product> para analizadores regulares

Consulte el artículo Administración de analizadores de ASIM para obtener información sobre cómo agregar los analizadores personalizados a los analizadores de unificación de la sesión de red.

Filtrado de parámetros del analizador

Los analizadores de sesión de red admiten parámetros de filtrado. Aunque estos parámetros son opcionales, pueden mejorar el rendimiento de las consultas.

Están disponibles los siguientes parámetros de filtrado:

Nombre Tipo Descripción
starttime datetime Filtre solo las sesiones de red que se iniciaron en este momento, o después.
endtime datetime Filtre solo las sesiones de red que empezaron a ejecutarse en este momento, o antes.
srcipaddr_has_any_prefix dinámico Filtre solo las sesiones de red para las que el prefijo del campo de dirección IP de origen es uno de los valores enumerados. Los prefijos deben terminar por ., por ejemplo: 10.0.. La longitud de la lista se limita a 10 000 elementos.
dstipaddr_has_any_prefix dinámico Filtre solo las sesiones de red para las que el prefijo del campo de dirección IP de destino se encuentra en uno de los valores enumerados. Los prefijos deben terminar por ., por ejemplo: 10.0.. La longitud de la lista se limita a 10 000 elementos.
ipaddr_has_any_prefix dinámico Filtre solo las sesiones de red cuyo prefijo del campo de dirección IP de destino o del campo de dirección IP de origen se encuentre en uno de los valores enumerados. Los prefijos deben terminar por ., por ejemplo: 10.0.. La longitud de la lista se limita a 10 000 elementos.

El campo ASimMatchingIpAddr se establece con uno de los valores SrcIpAddr, DstIpAddro Both para reflejar los campos o campos coincidentes.
dstportnumber Int Filtre solo las sesiones de red con el número de puerto de destino especificado.
hostname_has_any dynamic/string Filtre solo las sesiones de red para las que el campo de nombre de host de destino tenga cualquiera de los valores enumerados. La longitud de la lista se limita a 10 000 elementos.

El campo ASimMatchingHostname se establece con uno de los valores SrcHostname, DstHostnameo Both para reflejar los campos o campos coincidentes.
dvcaction dynamic/string Filtre solo las sesiones de red para las que el campo de acción del dispositivo sea cualquiera de los valores enumerados.
eventresult Cadena Filtre solo las sesiones de red con un valor de EventResult específico.

Algunos parámetros pueden aceptar la lista de valores de tipo dynamic o un único valor de cadena. Para pasar una lista literal a parámetros que esperan un valor dinámico, use explícitamente un literal dinámico. Por ejemplo: dynamic(['192.168.','10.'])

Por ejemplo, para filtrar únicamente las sesiones de red de una lista específica de nombres de dominio, use:

let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)

Sugerencia

Para pasar una lista literal a parámetros que esperan un valor dinámico, use explícitamente un literal dinámico. Por ejemplo: dynamic(['192.168.','10.']).

Contenido normalizado

Para obtener una lista completa de las reglas de análisis que usan eventos DNS normalizados, vea Contenido de seguridad de sesión de red.

Información general del esquema

El modelo de información de Sesión de red está alineado con el esquema de entidad de red de OSSEM.

El esquema de sesión de red atiende varios tipos de escenarios similares pero distintos, que comparten los mismos campos. Estos escenarios se identifican mediante el campo EventType:

  • NetworkSession: una sesión de red notificada por un dispositivo intermedio que supervisa la red, como un firewall, un enrutador o un TAP de red.
  • L2NetworkSession: sesiones de red para las que solo está disponible la información de nivel 2. Eventos de este tipo incluirán direcciones MAC, pero no direcciones IP.
  • Flow: un evento agregado que notifica varias sesiones de red similares, normalmente durante un período de tiempo predefinido, como eventos de Netflow.
  • EndpointNetworkSession: una sesión de red notificada por uno de los puntos finales de la sesión, que incluye los clientes y los servidores. Para estos eventos, el esquema admite los campos de alias remote y local.
  • IDS: una sesión de red notificada como sospechosa. Un evento de este tipo tendrá rellenados algunos de los campos de inspección y puede tener rellenado un solo campo de dirección IP, ya sea de origen o destino.

Normalmente, una consulta debe seleccionar solo un subconjunto de esos tipos de eventos y puede que tenga que abordar por separado aspectos únicos de los casos de uso. Por ejemplo, los eventos IDS no reflejan todo el volumen de red y no deben tenerse en cuenta en el análisis basado en columnas.

Los eventos de sesión de red usan los descriptores Src y Dst para indicar los roles de los dispositivos y de los usuarios y aplicaciones relacionados involucrados en la sesión. Así, por ejemplo, el nombre de host y la dirección IP del dispositivo de origen se denominan SrcHostname y SrcIpAddr. Otros esquemas de ASIM suelen usar Target en lugar de Dst.

Para los eventos notificados por un punto de conexión y para los que el tipo de evento es EndpointNetworkSession, los descriptores Local y Remote indican el propio punto de conexión y el dispositivo en el otro extremo de la sesión de red, respectivamente.

El descriptor Dvc se usa para el dispositivo de notificación, que es el sistema local para las sesiones notificadas por un punto de conexión, y el dispositivo intermedio o la derivación de red para otros eventos de sesión de red.

Detalles del esquema

Campos comunes de ASIM

Importante

Los campos comunes a todos los esquemas se describen detalladamente en el artículo Campos comunes de ASIM.

Campos comunes con instrucciones específicas

En la siguiente lista se mencionan los campos con instrucciones específicas para los eventos de sesión de red:

Campo Clase Tipo Descripción
EventCount Mandatory Entero Los orígenes de Netflow admiten agregación, y el campo EventCount se debe establecer en el valor del campo FLOWS (FLUJOS) de Netflow. En el caso de otros orígenes, el valor se establece normalmente en 1.
EventType Mandatory Enumerated Describe el escenario notificado por el registro.

Para los registros de sesiones de red, los valores permitidos son:
- EndpointNetworkSession
- NetworkSession
- L2NetworkSession
- IDS
- Flow

Para obtener más información sobre los tipos de eventos, consulte la información general del esquema
EventSubType Opcionales String Descripción adicional del tipo de evento, si procede.
En el caso de registros de Sesión de red, los valores que se admiten incluyen:
- Start
- End

Este campo no es relevante para los eventos Flow.
EventResult Mandatory Enumerated Si el dispositivo de origen no proporciona un resultado de evento, EventResult debe basarse en el valor de DvcAction. Si DvcAction es Deny, Drop, Drop ICMP, Reset, Reset Source o Reset Destination,
EventResult debe ser Failure. De lo contrario, EventResult debe ser Success.
EventResultDetails Recomendado Enumerated Motivo o detalles del resultado notificado en el campo EventResult. Los valores admitidos son:
- Conmutación por error
- TCP no válido
- Túnel no válido
- Reintento máximo
- Restablecimiento
- Problema en el enrutamiento
- Simulación
- Finalizado
- Timeout
- Error transitorio
- Desconocido
- N/D.

El valor original, específico del origen, se almacena en el campo EventOriginalResultDetails.
EventSchema Mandatory String El nombre del esquema que se documenta aquí es NetworkSession.
EventSchemaVersion Mandatory String Versión del esquema. La versión del esquema que se documenta aquí es 0.2.6.
DvcAction Recomendado Enumerated La acción realizada en la sesión de red. Los valores admitidos son:
- Allow
- Deny
- Drop
- Drop ICMP
- Reset
- Reset Source
- Reset Destination
- Encrypt
- Decrypt
- VPNroute

Nota: El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. El valor original debe almacenarse en el campo DvcOriginalAction.

Ejemplo: drop
EventSeverity Opcional Enumerated Si el dispositivo de origen no proporciona una gravedad de evento, EventSeverity debe basarse en el valor de DvcAction. Si DvcAction es Deny, Drop, Drop ICMP, Reset, Reset Source o Reset Destination,
EventSeverity debe ser Low. De lo contrario, EventSeverity debe ser Informational.
DvcInterface El campo DvcInterface debe tener como alias los campos DvcInboundInterface o DvcOutboundInterface.
Campos dvc En el caso de los eventos de Sesión de red, los campos del dispositivo hacen referencia al sistema que informa del evento de Sesión de red.

Todos los campos comunes

Los campos que aparecen en la tabla siguiente son comunes a todos los esquemas de ASIM. Cualquier directriz especificada anteriormente invalida las directrices generales para el campo. Por ejemplo, un campo podría ser opcional en general, pero obligatorio para un esquema específico. Para obtener más información sobre cada campo, consulte el siguiente artículo sobre los campos comunes de ASIM.

Clase Fields
Mandatory - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Recomendado - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Opcionales - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

Campos de sesión de red

Campo Clase Tipo Descripción
NetworkApplicationProtocol Opcional String Protocolo de la capa de aplicación usado por la conexión o la sesión. El valor debe estar en mayúsculas.

Ejemplo: FTP
NetworkProtocol Opcional Enumerated Protocolo IP usado por la conexión o la sesión, como se muestra en Asignación de protocolos de IANA, que habitualmente es TCP, UDP o ICMP.

Ejemplo: TCP
NetworkProtocolVersion Opcional Enumerated Versión de NetworkProtocol. Cuando se use para distinguir entre la versión de IP, use los valores IPv4 y IPv6.
NetworkDirection Opcional Enumerated La dirección de la conexión o sesión:

- En EventTypeNetworkSession, Flow o L2NetworkSession, NetworkDirection representa la dirección relativa al límite de la organización o el entorno de la nube. Los valores admitidos son Inbound, Outbound, Local (en la organización), External (en la organización) o NA (no aplicable).

- En EventTypeEndpointNetworkSession, NetworkDirection representa la dirección relacionada con el punto de conexión. Los valores admitidos son Inbound, Outbound, Local (en el sistema), Listen o NA (no aplicable). El valor Listen indica que un dispositivo ha empezado a aceptar conexiones de red, pero que en realidad no es imprescindible que esté conectado.
NetworkDuration Opcional Entero Cantidad de tiempo, en milisegundos, para la finalización de la sesión o la conexión de red.

Ejemplo: 1500
Duration Alias Alias de NetworkDuration.
NetworkIcmpType Opcional String En mensajes de ICMP, el número del tipo de mensaje, como se describe en RFC 2780 para las conexiones de red IPv4, o en RFC 4443 para las conexiones de red IPv6.
NetworkIcmpCode Opcional Entero En mensajes de ICMP, el número del código, como se describe en RFC 2780 para las conexiones de red IPv4, o en RFC 4443 para las conexiones de red IPv6.
NetworkConnectionHistory Opcional Cadena Marcas TCP y otra información de encabezado IP potencial.
DstBytes Recomendado long Número de bytes enviados desde el destino hasta el origen en la conexión o la sesión. Si se agrega el evento, DstBytes debe ser la suma de todas las sesiones agregadas.

Ejemplo: 32455
SrcBytes Recomendado long Número de bytes enviados desde el origen hasta el destino en la conexión o la sesión. Si se agrega el evento, SrcBytes debe ser la suma de todas las sesiones agregadas.

Ejemplo: 46536
NetworkBytes Opcional long Número de bytes enviados en ambas direcciones. Si existen BytesReceived y BytesSent, BytesTotal debe ser igual a su suma. Si se agrega el evento, NetworkBytes debe ser la suma de todas las sesiones agregadas.

Ejemplo: 78991
DstPackets Opcional long Número de paquetes enviados del destino al origen en la conexión o la sesión. El dispositivo de informes define el significado de un paquete. Si se agrega el evento, DstPackets debe ser la suma de todas las sesiones agregadas.

Ejemplo: 446
SrcPackets Opcional long Número de paquetes enviados del origen al destino en la conexión o la sesión. El dispositivo de informes define el significado de un paquete. Si se agrega el evento, SrcPackets debe ser la suma de todas las sesiones agregadas.

Ejemplo: 6478
NetworkPackets Opcional long Número de paquetes enviados en ambas direcciones. Si PacketsReceived y PacketsSent existen, BytesTotal debe ser igual a su suma. El dispositivo de informes define el significado de un paquete. Si se agrega el evento, NetworkPackets debe ser la suma de todas las sesiones agregadas.

Ejemplo: 6924
NetworkSessionId Opcional string Identificador de sesión notificado por el dispositivo de informes.

Ejemplo: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80
SessionId Alias String Alias de NetworkSessionId.
TcpFlagsAck Opcionales Boolean Marca ACK de TCP notificada. La marca de confirmación se usa para confirmar la recepción correcta de un paquete. Como podemos ver en el diagrama anterior, el receptor envía un ACK y un SYN en el segundo paso del proceso de protocolo de enlace de tres vías para indicar al remitente que recibió su paquete inicial.
TcpFlagsFin Opcionales Boolean Marca FIN de TCP notificada. La marca finalizada significa que no hay más datos del remitente. Por lo tanto, se usa en el último paquete enviado desde el remitente.
TcpFlagsSyn Opcionales Boolean Marca SYN de TCP notificada. La marca de sincronización se usa como primer paso para establecer un protocolo de enlace de tres vías entre dos hosts. Solo el primer paquete del remitente y el receptor deben tener esta marca establecida.
TcpFlagsUrg Opcionales Boolean Marca URG de TCP notificada. La marca urgente se usa para notificar al receptor que procese los paquetes urgentes antes de procesar todos los demás paquetes. Se notificará al receptor cuando se hayan recibido todos los datos urgentes conocidos. Consulte RFC 6093 para obtener más detalles.
TcpFlagsPsh Opcionales Boolean Marca PSH de TCP notificada. La marca de envío de cambios es similar a la marca URG e indica al receptor que procese estos paquetes a medida que se reciben en lugar de almacenarlos en búfer.
TcpFlagsRst Opcionales Boolean Marca RST de TCP notificada. La marca de restablecimiento se envía desde el receptor al emisor cuando se envía un paquete a un host determinado que no lo esperaba.
TcpFlagsEce Opcionales Boolean Marca ECE de TCP notificada. Esta marca es responsable de indicar si el nodo del mismo nivel de TCP es compatible con ECN. Consulte RFC 3168 para obtener más detalles.
TcpFlagsCwr Opcionales Boolean Marca CWR de TCP notificada. El host de envío usa la marca reducida de la ventana de congestión para indicar que recibió un paquete con la marca ECE establecida. Consulte RFC 3168 para obtener más detalles.
TcpFlagsNs Opcionales Boolean Marca NS de TCP notificada. La marca de suma nonce sigue siendo una marca experimental que se usa para ayudar a protegerse contra la ocultación malintencionada accidental de paquetes del remitente. Consulte RFC 3540 para obtener más detalles.

Campos del sistema de destino

Campo Clase Tipo Descripción
Dst Recomendado Alias Identificador único del servidor que recibe la solicitud de DNS.

Este campo puede ser un alias de los campos DstDvcId, DstHostname o DstIpAddr.

Ejemplo: 192.168.12.1
DstIpAddr Recomendado Dirección IP Dirección IP de destino de la conexión o de la sesión. Si la sesión usa la traducción de direcciones de red, DstIpAddr es la dirección visible públicamente, no la dirección original del origen, que se almacena en DstNatIpAddr.

Ejemplo: 2001:db8::ff00:42:8329

Nota: Este valor es obligatorio si se especifica el campo DstHostname.
DstPortNumber Opcional Entero Puerto de la dirección IP.

Ejemplo: 443
DstHostname Recomendado Nombre de host Nombre de host del dispositivo de destino, excepto la información de dominio. Si no hay ningún nombre de dispositivo disponible, almacene la dirección IP correspondiente en este campo.

Ejemplo: DESKTOP-1282V4D
DstDomain Recomendado String Dominio del dispositivo de destino.

Ejemplo: Contoso
DstDomainType Condicional Enumerated Tipo de DstDomain. Para obtener más información y una lista de valores permitidos, consulte DomainType en el artículo Introducción al esquema.

Obligatorio si se usa el campo DstDomain.
DstFQDN Opcional String Nombre de host del dispositivo de destino, incluida la información de dominio cuando esté disponible.

Ejemplo: Contoso\DESKTOP-1282V4D

Nota: Este campo admite tanto el formato de FQDN tradicional como el formato de dominio\nombre de host de Windows. El campo DstDomainType refleja el formato utilizado.
DstDvcId Opcional String Identificador del dispositivo de destino. Si hay disponibles varios identificadores, use el más importante y almacene los demás en los campos DstDvc<DvcIdType>.

Ejemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
DstDvcScopeId Opcionales String Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. DstDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
DstDvcScope Opcionales String Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. DstDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
DstDvcIdType Condicional Enumerated Tipo de DstDvcId. Para obtener más información y una lista de valores permitidos, consulte DvcIdType en el artículo Introducción al esquema.

Obligatorio si se usa el campo DstDeviceId.
DstDeviceType Opcionales Enumerated Tipo del dispositivo de destino. Para obtener más información y una lista de valores permitidos, consulte DeviceType en el artículo Introducción al esquema.
DstZone Opcional String Zona de red del destino definida en el dispositivo de informes.

Ejemplo: Dmz
DstInterfaceName Opcional String Interfaz de red que usa el dispositivo de destino en la conexión o la sesión.

Ejemplo: Microsoft Hyper-V Network Adapter
DstInterfaceGuid Opcional String GUID de la interfaz de red que se usa en el dispositivo de destino.

Ejemplo:
46ad544b-eaf0-47ef-
827c-266030f545a6
DstMacAddr Opcional Cadena Dirección MAC de la interfaz de red que usa el dispositivo de destino para la conexión o la sesión.

Ejemplo: 06:10:9f:eb:8f:14
DstVlanId Opcional Cadena Identificador de VLAN relacionado con el dispositivo de destino.

Ejemplo: 130
OuterVlanId Opcionales Alias Alias de DstVlanId.

En muchos casos, la VLAN no se puede determinar como origen o destino, pero se caracteriza como interna o externa. Este alias para significa que se debe usar DstVlanId cuando la VLAN se caracteriza como externa.
DstSubscriptionId Opcional String Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo de destino. DstSubscriptionId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
DstGeoCountry Opcionales País País asociado con la dirección IP de destino. Para obtener más información, consulte Tipos lógicos.

Ejemplo: USA
DstGeoRegion Opcionales Region Región o estado asociados con la dirección IP de destino. Para obtener más información, consulte Tipos lógicos.

Ejemplo: Vermont
DstGeoCity Opcionales City (Ciudad) Ciudad asociada con la dirección IP de destino. Para obtener más información, consulte Tipos lógicos.

Ejemplo: Burlington
DstGeoLatitude Opcionales Latitud Latitud de la coordenada geográfica asociada con la dirección IP de destino. Para obtener más información, consulte Tipos lógicos.

Ejemplo: 44.475833
DstGeoLongitude Opcionales Longitud Longitud de la coordenada geográfica asociada con la dirección IP de destino. Para obtener más información, consulte Tipos lógicos.

Ejemplo: 73.211944

Campos del usuario de destino

Campo Clase Tipo Descripción
DstUserId Opcional String Representación única, alfanumérica y legible por una máquina del usuario de destino. Para obtener el formato admitido para los distintos tipos de identificador, consulte Entidad Usuario.

Ejemplo: S-1-12
DstUserScope Opcionales String Ámbito, como el inquilino de Microsoft Entra, en el que se definen DstUserId y DstUsername. Para obtener más información y una lista de los valores permitidos, consulte UserScope en el artículo Introducción al esquema.
DstUserScopeId Opcionales String El identificador del ámbito, como el identificador de directorio de Microsoft Entra, en el que se definen DstUserId y DstUsername. Para más información y para ver una lista de los valores permitidos, consulte UserScopeId en el artículo Introducción al esquema.
DstUserIdType Condicional UserIdType Tipo del identificador almacenado en el campo DstUserId. Para obtener más información y una lista de valores permitidos, consulte UserIdType en el artículo Introducción al esquema.
DstUsername Opcional String Nombre de usuario de destino, incluida la información de dominio cuando esté disponible. Para obtener el formato admitido para los distintos tipos de identificador, consulte Entidad Usuario. Use este formato simple solo si no hay disponible información de dominio.

Almacene el tipo de nombre de usuario en el campo DstUsernameType. Si hay disponibles otros formatos de nombre de usuario, almacénelos en los campos DstUsername<UsernameType>.

Ejemplo: AlbertE
User Alias Alias de DstUsername.
DstUsernameType Condicional UsernameType Especifica el tipo del nombre de usuario almacenado en el campo DstUsername. Para obtener más información y una lista de valores permitidos, consulte UsernameType en el artículo Introducción al esquema.

Ejemplo: Windows
DstUserType Opcionales UserType Tipo del usuario de destino. Para obtener más información y una lista de valores permitidos, consulte UserType en el artículo Introducción al esquema.

Nota: El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. Almacene el valor original en el campo DstOriginalUserType.
DstOriginalUserType Opcional String El tipo de usuario de destino original, si lo proporciona el origen.

Campos de la aplicación de destino

Campo Clase Tipo Descripción
DstAppName Opcional String Nombre de la aplicación de destino.

Ejemplo: Facebook
DstAppId Opcional String El identificador de la aplicación de destino, tal como lo notifica el dispositivo de informes. Si DstAppType es Process, DstAppId y DstProcessId deben tener el mismo valor.

Ejemplo: 124
DstAppType Opcional AppType Tipo de la aplicación de destino. Para obtener más información y una lista de valores permitidos, consulte AppType en el artículo Introducción al esquema.

Este campo es obligatorio si se usa el campo DstAppName o DstAppId.
DstProcessName Opcionales String Nombre de archivo del proceso que finalizó la sesión de red. Por lo general, este nombre se considera el nombre del proceso.

Ejemplo: C:\Windows\explorer.exe
Process Alias Alias para DstProcessName

Ejemplo: C:\Windows\System32\rundll32.exe
DstProcessId Opcional String Id. de proceso (PID) del proceso que finalizó la sesión de red.

Ejemplo: 48610176

Nota: El tipo se define como cadena para admitir distintos sistemas, pero en Windows y Linux este valor debe ser numérico.

Si usa una máquina Windows o Linux y usa un tipo diferente, asegúrese de convertir los valores. Por ejemplo, si ha utilizado un valor hexadecimal, conviértalo en un valor decimal.
DstProcessGuid Opcional String Identificador único generado (GUID) del proceso que finalizó la sesión de red.

Ejemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00

Campos del sistema de origen

Campo Clase Tipo Descripción
Src Alias Identificador único del dispositivo de destino.

Este campo puede ser un alias de los campos SrcDvcId, SrcHostname o SrcIpAddr.

Ejemplo: 192.168.12.1
SrcIpAddr Recomendado Dirección IP Dirección IP desde la que se originó la conexión o la sesión. Este valor es obligatorio si se especifica SrcHostname. Si la sesión usa la traducción de direcciones de red, SrcIpAddr es la dirección visible públicamente, no la dirección original del origen, que se almacena en SrcNatIpAddr.

Ejemplo: 77.138.103.108
SrcPortNumber Opcional Entero Puerto IP desde el que se originó la conexión. Es posible que no sea importante en sesiones que contengan varias conexiones.

Ejemplo: 2335
SrcHostname Recomendado Nombre de host Nombre de host del dispositivo de origen, excepto la información de dominio. Si no hay ningún nombre de dispositivo disponible, almacene la dirección IP correspondiente en este campo.

Ejemplo: DESKTOP-1282V4D
SrcDomain Recomendado String Dominio del dispositivo de origen.

Ejemplo: Contoso
SrcDomainType Condicional DomainType Tipo de SrcDomain. Para obtener más información y una lista de valores permitidos, consulte DomainType en el artículo Introducción al esquema.

Obligatorio si se usa el campo SrcDomain.
SrcFQDN Opcional String Nombre de host del dispositivo de origen, incluida la información de dominio cuando está disponible.

Nota: Este campo admite tanto el formato de FQDN tradicional como el formato de dominio\nombre de host de Windows. El campo SrcDomainType refleja el formato usado.

Ejemplo: Contoso\DESKTOP-1282V4D
SrcDvcId Opcional String Identificador del dispositivo de origen. Si hay disponibles varios identificadores, use el más importante y almacene los demás en los campos SrcDvc<DvcIdType>.

Ejemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId Opcionales String Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. SrcDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
SrcDvcScope Opcionales String Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. SrcDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
SrcDvcIdType Condicional DvcIdType Tipo de SrcDvcId. Para obtener más información y una lista de valores permitidos, consulte DvcIdType en el artículo Introducción al esquema.

Nota: Este campo es necesario si se usa el campo SrcDvcId.
SrcDeviceType Opcionales DeviceType Tipo del dispositivo de origen. Para obtener más información y una lista de valores permitidos, consulte DeviceType en el artículo Introducción al esquema.
SrcZone Opcional String Zona de red del origen definida en el dispositivo de informes.

Ejemplo: Internet
SrcInterfaceName Opcionales String Interfaz de red utilizada por el dispositivo de origen en la conexión o la sesión.

Ejemplo: eth01
SrcInterfaceGuid Opcional String GUID de la interfaz de red que se usa en el dispositivo de origen.

Ejemplo:
46ad544b-eaf0-47ef-
827c-266030f545a6
SrcMacAddr Opcional String Dirección MAC de la interfaz de red desde la que se originó la conexión o la sesión.

Ejemplo: 06:10:9f:eb:8f:14
SrcVlanId Opcional Cadena Identificador de VLAN relacionado con el dispositivo de origen.

Ejemplo: 130
InnerVlanId Opcionales Alias Alias de SrcIpAddr.

En muchos casos, la VLAN no se puede determinar como origen o destino, pero se caracteriza como interna o externa. Este alias para significa que se debe usar SrcVlanId cuando la VLAN se caracteriza como interna.
SrcSubscriptionId Opcional String Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo de origen. SrcSubscriptionId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
SrcGeoCountry Opcionales País País asociado con la dirección IP de origen.

Ejemplo: USA
SrcGeoRegion Opcionales Region Región asociada con la dirección IP de origen.

Ejemplo: Vermont
SrcGeoCity Opcionales City (Ciudad) Ciudad asociada con la dirección IP de origen.

Ejemplo: Burlington
SrcGeoLatitude Opcionales Latitud Latitud de la coordenada geográfica asociada con la dirección IP de origen.

Ejemplo: 44.475833
SrcGeoLongitude Opcionales Longitud Longitud de la coordenada geográfica asociada con la dirección IP de origen.

Ejemplo: 73.211944

Campos del usuario de origen

Campo Clase Tipo Descripción
SrcUserId Opcional String Representación única, alfanumérica y legible por una máquina del usuario de origen. Para obtener el formato admitido para los distintos tipos de identificador, consulte Entidad Usuario.

Ejemplo: S-1-12
SrcUserScope Opcionales String Ámbito, como el inquilino de Microsoft Entra, en el que se definen SrcUserId y SrcUsername. Para obtener más información y una lista de los valores permitidos, consulte UserScope en el artículo Introducción al esquema.
SrcUserScopeId Opcional String El identificador del ámbito, como el identificador de directorio de Microsoft Entra, en el que se definen SrcUserId y SrcUsername. Para más información y para ver una lista de los valores permitidos, consulte UserScopeId en el artículo Introducción al esquema.
SrcUserIdType Condicional UserIdType Tipo del identificador almacenado en el campo SrcUserId. Para obtener más información y una lista de valores permitidos, consulte UserIdType en el artículo Introducción al esquema.
SrcUsername Opcional String Nombre de usuario, incluida la información del dominio, cuando esté disponible. Para obtener el formato admitido para los distintos tipos de identificador, consulte Entidad Usuario. Use este formato simple solo si no hay disponible información de dominio.

Almacene el tipo de nombre de usuario en el campo SrcUsernameType. Si hay disponibles otros formatos de nombre de usuario, almacénelos en los campos SrcUsername<UsernameType>.

Ejemplo: AlbertE
SrcUsernameType Condicional UsernameType Especifica el tipo de nombre de usuario almacenado en el campo SrcUsername. Para obtener más información y una lista de valores permitidos, consulte UsernameType en el artículo Introducción al esquema.

Ejemplo: Windows
SrcUserType Opcionales UserType Tipo del usuario de origen. Para obtener más información y una lista de valores permitidos, consulte UserType en el artículo Introducción al esquema.

Nota: El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. Almacene el valor original en el campo SrcOriginalUserType.
SrcOriginalUserType Opcional String El tipo de usuario de destino original, si lo proporciona el dispositivo de informes.

Campos de la aplicación de origen

Campo Clase Tipo Descripción
SrcAppName Opcional String Nombre de la aplicación de origen.

Ejemplo: filezilla.exe
SrcAppId Opcional String Id. de la aplicación de origen, según notifica el dispositivo de informes. Si SrcAppType es Process, SrcAppId y SrcProcessId deben tener el mismo valor.

Ejemplo: 124
SrcAppType Opcional AppType Tipo de la aplicación de origen. Para obtener más información y una lista de valores permitidos, consulte AppType en el artículo Introducción al esquema.

Este campo es obligatorio si se usan el campo SrcAppName o SrcAppId.
SrcProcessName Opcional String Nombre de archivo del proceso que inició la sesión de red. Por lo general, este nombre se considera el nombre del proceso.

Ejemplo: C:\Windows\explorer.exe
SrcProcessId Opcional String Id. de proceso (PID) del proceso que inició la sesión de red.

Ejemplo: 48610176

Nota: El tipo se define como cadena para admitir distintos sistemas, pero en Windows y Linux este valor debe ser numérico.

Si usa una máquina Windows o Linux y usa un tipo diferente, asegúrese de convertir los valores. Por ejemplo, si ha utilizado un valor hexadecimal, conviértalo en un valor decimal.
SrcProcessGuid Opcional String Identificador único generado (GUID) del proceso que inició la sesión de red.

Ejemplo: EF3BD0BD-2B74-60C5-AF5C-010000001E00

Alias locales y remotos

De manera opcional, todos los campos de origen y destino enumerados anteriormente pueden tener un alias por campos con el mismo nombre y los descriptores Local y Remote. Esto suele ser útil para los eventos notificados por un punto de conexión y para los que el tipo de evento sea EndpointNetworkSession.

Para tales eventos, los descriptores Local y Remote indican el propio punto de conexión y el dispositivo en el otro extremo de la sesión de red, respectivamente. Para las conexiones entrantes, el sistema local es el destino, los campos Local son alias de los campos Dst, y los campos "remotos" son alias de los campos Src. Por el contrario, para las conexiones salientes, el sistema local es el origen, los campos Local son alias de los campos Src, y los campos Remote son alias de los campos Dst.

Por ejemplo, para un evento de entrada, el campo LocalIpAddr es un alias de DstIpAddr, y el campo RemoteIpAddr es un alias de SrcIpAddr.

Alias de nombre de host y dirección IP

Campo Clase Tipo Descripción
Hostname Alias - Si el tipo de evento es NetworkSession, Flow o L2NetworkSession, Hostname es un alias de DstHostname.
- Si el tipo de evento es EndpointNetworkSession, Hostname es un alias de RemoteHostname, que puede asignar el alias a DstHostname o SrcHostName, en función de NetworkDirection.
IpAddr Alias - Si el tipo de evento es NetworkSession, Flow o L2NetworkSession, IpAddr es un alias de SrcIpAddr.
- Si el tipo de evento es EndpointNetworkSession, IpAddr es un alias de LocalIpAddr, que puede asignar el alias SrcIpAddr o DstIpAddr, en función de NetworkDirection.

Dispositivo intermedio y campos de traducción de direcciones de red (NAT)

Los campos siguientes son útiles si el registro incluye información sobre un dispositivo intermediario, como un firewall o un proxy, que retransmite la sesión de red.

Los sistemas intermedios suelen usar la traducción de direcciones y, por tanto, la dirección original y la dirección observada externamente no son las mismas. En tales casos, los campos de dirección principal, como SrcIPAddr y DstIpAddr, representan las direcciones observadas externamente, mientras que los campos de dirección NAT, SrcNatIpAddr y DstNatIpAddr, representan la dirección interna del dispositivo original antes de la traducción.

Campo Clase Tipo Descripción
DstNatIpAddr Opcionales Dirección IP DstNatIpAddr representa una de dos:
- La dirección original del dispositivo de destino si se usó la traducción de direcciones de red.
- La dirección IP usada por el dispositivo intermediario para la comunicación con el origen.

Ejemplo: 2::1
DstNatPortNumber Opcional Entero Si un dispositivo NAT intermediario lo notifica, es el puerto que usa el dispositivo NAT para la comunicación con el origen.

Ejemplo: 443
SrcNatIpAddr Opcionales Dirección IP SrcNatIpAddr representa una de dos:
- La dirección original del dispositivo de origen si se usó la traducción de direcciones de red.
- La dirección IP usada por el dispositivo intermediario para la comunicación con el destino.

Ejemplo: 4.3.2.1
SrcNatPortNumber Opcional Entero Si un dispositivo NAT intermediario lo notifica, es el puerto que usa el dispositivo NAT para la comunicación con el destino.

Ejemplo: 345
DvcInboundInterface Opcional String Si un dispositivo intermediario la notifica, es la interfaz de red que usa el dispositivo NAT para la conexión con el dispositivo de origen.

Ejemplo: eth0
DvcOutboundInterface Opcional String Si un dispositivo intermediario la notifica, es la interfaz de red que usa el dispositivo NAT para la conexión con el dispositivo de destino.

Ejemplo: Ethernet adapter Ethernet 4e

Campos de inspección

Los siguientes campos se usan para representar esa inspección que realiza un dispositivo de seguridad, como un firewall, un IPS o una puerta de enlace de seguridad web:

Campo Clase Tipo Descripción
NetworkRuleName Opcionales String Nombre o identificador de la regla sobre la que se decidió DvcAction.

Ejemplo: AnyAnyDrop
NetworkRuleNumber Opcional Entero Número de la regla sobre la que se decidió DvcAction.

Ejemplo: 23
Regla Alias String El valor de NetworkRuleName o el valor de NetworkRuleNumber. Si se usa el valor de NetworkRuleNumber, el tipo se debe convertir en cadena.
ThreatId Opcional String Identificador de la amenaza o del malware identificados en la sesión de red.

Ejemplo: Tr.124
ThreatName Opcional String Nombre de la amenaza o del malware identificados en la sesión de red.

Ejemplo: EICAR Test File
ThreatCategory Opcional String Categoría de la amenaza o del malware identificados en la sesión de red.

Ejemplo: Trojan
ThreatRiskLevel Opcional Entero Nivel de riesgo asociado con la sesión. El nivel debe ser un número entre 0 y 100.

Nota: El valor se puede proporcionar en el registro de origen mediante una escala diferente, que se debe normalizar a esta. El valor original debe almacenarse en el campo ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel Opcionales String Nivel de riesgo indicado por el dispositivo de informes.
ThreatIpAddr Opcionales Dirección IP Dirección IP para la que se identificó una amenaza. El campo ThreatField contiene el nombre del campo ThreatIpAddr que representa.
ThreatField Condicional Enumerated Campo para el que se identificó una amenaza. El valor es SrcIpAddr o DstIpAddr.
ThreatConfidence Opcional Entero Nivel de confianza de la amenaza identificada, normalizada en un valor comprendido entre 0 y 100.
ThreatOriginalConfidence Opcionales String El nivel de confianza original de la amenaza identificada, tal como lo notifica el dispositivo que informa.
ThreatIsActive Opcionales Boolean True si la amenaza identificada se considera una amenaza activa.
ThreatFirstReportedTime Opcionales datetime La primera vez que la dirección IP o el dominio se identificaron como una amenaza.
ThreatLastReportedTime Opcionales datetime La primera vez que la dirección IP o el dominio se identificaron como una amenaza.

Otros campos

Si uno de los puntos de conexión de la sesión de red notifica el evento, es posible que incluya información sobre el proceso que inició o finalizó la sesión. En tales casos, se usa el esquema de eventos de proceso de ASIM para normalizar esta información.

Actualizaciones del esquema

A continuación se indican los cambios en la versión 0.2.1 del esquema:

  • Se han agregado Src y Dst como alias a un identificador inicial para los sistemas de origen y destino.
  • Se han agregado los campos NetworkConnectionHistory, SrcVlanId, DstVlanId, InnerVlanId y OuterVlanId.

A continuación se indican los cambios en la versión 0.2.2 del esquema:

  • Se han agregado los alias Remote y Local.
  • Se ha agregado el tipo de evento EndpointNetworkSession.
  • Se han definido Hostname y IpAddr como alias de RemoteHostname y LocalIpAddr, respectivamente, cuando el tipo de evento es EndpointNetworkSession.
  • Se ha definido DvcInterface como alias de DvcInboundInterface o DvcOutboundInterface.
  • Se ha cambiado el tipo de los siguientes campos de Entero a Largo: SrcBytes, DstBytes, NetworkBytes, SrcPackets, DstPackets y NetworkPackets.
  • Se han agregado los campos NetworkProtocolVersion, SrcSubscriptionId y DstSubscriptionId.
  • Se han dejado de usa DstUserDomain y SrcUserDomain.

A continuación se indican los cambios en la versión 0.2.3 del esquema:

  • Se agregó el parámetro de filtradoipaddr_has_any_prefix.
  • El parámetro de filtrado hostname_has_any ahora coincide con los nombres de host de origen o destino.
  • Se agregaron los campos ASimMatchingHostname y ASimMatchingIpAddr.

A continuación se indican los cambios en la versión 0.2.4 del esquema:

  • Se han agregado los campos TcpFlags.
  • Se ha actualizado NetworkIcpmType y NetworkIcmpCode para reflejar el valor numérico de ambos.
  • Se agregaron campos de inspección adicionales.
  • Se cambió el nombre del campo "ThreatRiskLevelOriginal" por ThreatOriginalRiskLevel para alinearlo con las convenciones de ASIM. Los analizadores de Microsoft existentes mantendrán ThreatRiskLevelOriginal hasta el 1 de mayo de 2023.
  • Se marcó EventResultDetails como recomendado y se especificaron los valores permitidos.

A continuación se muestran los cambios en la versión 0.2.5 del esquema:

  • Se han agregado los campos DstUserScope, SrcUserScope, SrcDvcScopeId, SrcDvcScope, DstDvcScopeId, DstDvcScope, DvcScopeId y DvcScope.

A continuación se muestran los cambios en la versión 0.2.6 del esquema:

  • Se ha agregado IDS como un tipo de evento

Pasos siguientes

Para más información, consulte: