Mensajes de suceso de ejemplo de Microsoft Azure Platform
Utilice estos mensajes de suceso de ejemplo como una forma de verificar una integración satisfactoria con QRadar®.
Importante: Debido a problemas de formato, pegue el formato de mensaje en un editor de texto y, a continuación, elimine los caracteres de retorno de carro o salto de línea.
Mensajes de sucesos de ejemplo de Microsoft Azure cuando se utiliza el protocolo Microsoft Azure Event Hubs
Ejemplo 1: el siguiente mensaje de suceso de ejemplo muestra un reinicio de una máquina virtual.
LEEF:1.0|Microsoft|Azure Resource Manager|1.0|MICROSOFT.CLASSICCOMPUTE/VIRTUALMACHINES/RESTART/ACTION|devTime=Jun 07 2016 17:04:26 devTimeFormat=MMM dd yyyy HH:mm:ss cat=MICROSOFT.CLASSICCOMPUTE src=10.0.0.2 usrName=name@example.com sev=4 resource=testvm resourceGroup=Test Resource Group description=Restart a Virtual Machine| QRadar Nombre del campo de | Nombre de campo de carga útil resaltado |
|---|---|
| ID de suceso | El campo ID de suceso de cabecera LEEF. Por ejemplo, MICROSOFT.CLASSICCOMPUTE/VIRTUALMACHINES/ RESTART/ACTION. |
| Categoría de suceso | cat |
| Gravedad | sev |
| IP de origen | src |
| Nombre de usuario | usrName |
| Hora de dispositivo | devTime |
Ejemplo 2: el siguiente mensaje de suceso de ejemplo muestra la devolución de las claves de acceso para la cuenta de almacenamiento especificada.
{ "time": "2017-09-14T11:47:36.3237658Z", "resourceId": "/SUBSCRIPTIONS//RESOURCEGROUPS//PROVIDERS/MICROSOFT.STORAGE/STORAGEACCOUNTS/", "operationName": "MICROSOFT.STORAGE/STORAGEACCOUNTS/LISTKEYS/ACTION", "category": "Action", "resultType": "Success", "resultSignature": "Succeeded.OK", "durationMs": 125, "callerIpAddress": "<IP_address>", "correlationId": "", "identity": {"authorization":{"scope":"/subscriptions//resourceGroups//providers/Microsoft.Storage/storageAccounts/","action":"Microsoft.Storage/storageAccounts/listKeys/action","evidence":{"role":"Insights Management Service Role","roleAssignmentScope":"/subscriptions/","roleAssignmentId":"","roleDefinitionId":"","principalId":"","principalType":"ServicePrincipal"}},"claims":{"aud":"https://management.azure.com/","iss":"https://sts.windows.net/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/","iat":"1505389356","nbf":"1505389356","exp":"1505393256","aio":"Y2VgYBBQEA5y0vTd4PVnSpSp9qVwAA==","appid":"","appidacr":"2","e_exp":"262800","http://schemas.microso ft.com/identity/claims/identityprovider":"https://sts.windows.net//","http://schemas.microsoft.com/identity/claims/objectidentifier":"","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier":"","http://schmas.microsoft.com/identity/claims/tenantid":"","uti":"xxxxxx__xxxxxxxxxxxxxx","ver":"1.0"}}, "level": "Information", "location": "global", "properties": {“statusCode":"OK","serviceRequestId":""}}| QRadar Nombre del campo de | Nombre de campo de carga útil resaltado |
|---|---|
| ID de suceso | operationName |
| Categoría de suceso | La Categoría de suceso se encuentra en el campo resourceId después de la palabra clave PROVIDERS . Por ejemplo, MICROSOFT.STORAGE. |
| IP de origen | callerIpAddress |
| Hora de dispositivo | time |
Ejemplo 3: el siguiente mensaje de suceso de ejemplo muestra que se ha recuperado un secreto especificado de una caja fuerte de claves determinada.
{"eventHubsAzureRecord":{"time": "2016-03-02T 04:31:28.6127743Z","resourceId": "/SUBSCRIPTIONS//RESOURCEGROUPS//PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/AZLOGTEST","operationName": "SecretGet","operationVersion": "2015-06-01","category": "AuditEvent","resultType": "Success","resultSignature": "OK" ,"resultDescription": "","durationMs": "18 7","callerIpAddress": "","correlationId": "","identity": {"claim": {"http://schemas. microsoft.com/identity/claims/objectidentifier": "","appid": "","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": ""}},"properties": {"clientInfo": "","requestUri": "","id": "https://.vault.azure.ne t/secrets/testsecret/","httpStatusCode": 200}}}| QRadar Nombre del campo de | Nombre de campo de carga útil resaltado |
|---|---|
| ID de suceso | operationName |
| Categoría de suceso | La Categoría de suceso se encuentra en el campo resourceId después de la palabra clave PROVIDERS . Por ejemplo, MICROSOFT.KEYVAULT. |
| Hora de dispositivo | time |
| IP de origen | callerIpAddress |
Ejemplo 4: el siguiente mensaje de suceso de ejemplo muestra que un usuario ha iniciado sesión correctamente en Microsoft SQL Server.
{"LogicalServerName":"servername","SubscriptionId":"42061870-6656-472f-9297-6a8f48a5e8b0","ResourceGroup":"RESOURCEGROUP","package":"SecAudit","event":"au-dit_event_shoebox","sessionName":"audit_session_for_shoebox","originalEventTimestamp":"2020-07-19T05:26:01.5293718Z","time":"2020-07-19T05:26:01.5260341Z","resourceId":"/SUBSCRIPTIONS/ACCOUNT/RESOURCEGROUPS/RESOURCEGROUP/PROVIDERS/MICROSOFT.SQL/MANAGEDINSTANCES/SERVER-NAME","category":"SQLSecurityAuditEvents","operationName":"AuditEvent","properties":{"audit_schema_version":1,"event_time":"2020-07-19T05:26:01.166Z","sequence_number":1,"action_id":"LGIS","action_name":"LOGIN SUCCEEDED","succeeded":"true","is_column_permission":"false","session_id":184,"server_principal_id":286,"database_principal_id":0,"target_server_principal_id":0,"target_database_princi-pal_id":0,"object_id":0,"user_defined_event_id":0,"transaction_id":0,"class_type":"LX","class_type_description":"LOGIN","securable_class_type":"LOGIN","duration_milliseconds":0,"response_rows":0,"affected_rows":0,"client_ip":"10.242.142.140","permission_bitmask":"00000000000000000000000000000000","sequence_group_id":"0AB33370-A776-485A-AD98-FBB08D58A684","session_server_principal_name":"LoginName","server_principal_name":"LoginName","server_principal_sid":"782fa7bb4f95374ba7fb6f346ccdafa6","database_principal_name":"","target_server_principal_name":"","target_server_principal_sid":"","target_database_principal_name":"","server_instance_name":"servername","database_name":"","schema_name":"","object_name":"","statement":"-- network protocol: TCP/IP\r\nset quoted_identifier on\r\nset arithabort off\r\nset numeric_roundabort off\r\nset ansi_warnings on\r\nset ansi_padding on\r\nset ansi_nulls on\r\nset con-cat_null_yields_null on\r\nset cursor_close_on_commit off\r\nset implicit_transactions off\r\nset language us_english\r\nset dateformat mdy\r\nset datefirst 7\r\nset transac-tion isolation level read committed\r\n","additional_information":"<action_info xmlns=\"http://schemas.microsoft.com/sqlserver/2008/sqlaudit_data\"><pooled_connection>1</pooled_connection><client_options>0x28000020</client_options><client_options1>0x0001f438</client_options1><connect_options>0x00000001</connect_options><packet_data_size>8000</packet_data_size><address>10.153.63.59</address><is_dac>0</is_dac></action_info>","user_defined_information":"","application_name":".Net SqlClient Data Provider","connection_id":"284D6271-94AD-4719-BA5A-A2834CA24F82","data_sensitivity_information":"","host_name":"HOSNAME","session_context":"","is_server_level_audit":"true","event_id":"F4FBD375-7F97-40F7-8C40-833D59CCC3D1"}}| QRadar Nombre del campo de | Nombre de campo de carga útil resaltado |
|---|---|
| ID de suceso | El ID de suceso se compone de los valores de campo category y action_name . Por ejemplo, "category": "SQLSecurityAuditEvents" y "action_name": "LOGIN SUCCEEDED" da como resultado un valor de ID de suceso de "sqlsecurityauditevents_login succeeded". |
| Categoría de suceso | La Categoría de suceso se encuentra en el campo resourceId después de la palabra clave PROVIDERS . Por ejemplo, MICROSOFT.SQL. |
| Hora de dispositivo | time |
| Nombre de usuario | server_principal_name |
| IP de origen | client_ip |