Recopilar datos de eventos de Microsoft Windows

Este documento tiene las siguientes características:

  • se describen la arquitectura de implementación y los pasos de instalación, además de cualquier configuración necesaria que produzca registros que admita el analizador de Chronicle para eventos de Windows. Para obtener una descripción general de la transferencia de datos de Chronicle, consulta Transferencia de datos a Chronicle.
  • Incluye información sobre cómo el analizador asigna campos del registro original a los campos del modelo de datos unificados de Chronicle.

La información de este documento se aplica al analizador con la etiqueta de transferencia WINEVTLOG. La etiqueta de transferencia identifica qué analizador normaliza datos de registro sin procesar en formato UDM estructurado.

Antes de comenzar

En este diagrama, se ilustran los componentes fundamentales recomendados en una arquitectura de implementación para recopilar y enviar datos de eventos de Microsoft Windows a Chronicle. Compara esta información con tu entorno para asegurarte de que estos componentes estén instalados. Cada implementación de cliente será diferente de esta representación y puede ser más compleja. Se requiere lo siguiente:

  • Los sistemas en la arquitectura de implementación se configuran con la zona horaria UTC.
  • NXLog está instalado en el servidor de Microsoft Windows del colector.
  • El servidor de Microsoft Windows del colector recibe registros de los servidores, extremos y controladores de dominio.
  • Sistemas de Microsoft Windows en el uso de la arquitectura de implementación
    • Inicio de suscripciones iniciadas para recopilar eventos en varios dispositivos
    • El servicio de WinRM está habilitado para la administración remota de sistemas.
  • NXLog se instala en el servidor de ventana del colector para reenviar registros al reenviador de Chronicle.
  • El reenvío de Chronicle está instalado en el servidor de Microsoft Windows o Linux de colector.

    Arquitectura de implementación

Revisa los dispositivos y las versiones compatibles

El analizador de Chronicle admite registros de las siguientes versiones de servidor de Microsoft Windows. Lanzamiento de Microsoft Windows Server con las siguientes ediciones: Foundation, Essentials, Standard y Datacenter. El esquema de eventos de los registros que genera cada edición no difiere.

  • Microsoft Windows Server 2019
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2012

El analizador de Chronicle admite registros de los sistemas cliente de Microsoft Windows 10 y versiones posteriores.

El analizador de Chronicle admite registros recopilados por la comunidad de NXLog o la edición empresarial.

Revisa los tipos de registros compatibles

El analizador de Chronicle admite los siguientes tipos de registros que generan los sistemas de Microsoft Windows. Para obtener más información sobre estos tipos de registros, consulta la documentación del registro de eventos de Microsoft Windows. Admite registros generados con texto en idioma inglés y no es compatible con registros generados en idiomas que no sean inglés.

Tipo de registro Notas
Security Registros de eventos y auditoría de seguridad.
Aplicación Eventos registrados por aplicaciones o programas. Si el manifiesto no está instalado de forma local, los registros de la aplicación tendrán valores faltantes o hexadecimales.
Sistema Eventos registrados por los componentes del sistema de Microsoft Windows.

Configura los servidores, los extremos y los controladores de dominio de Microsoft Windows

  1. Instala y configura los servidores, los extremos y los controladores de dominio.
  2. Configurar todos los sistemas con la zona horaria UTC
  3. Configurar dispositivos para reenviar registros a un servidor colectivo de Microsoft Windows
  4. Configura una suscripción iniciada por la fuente en el servidor de Microsoft Windows (colector). Para obtener información, consulta Cómo configurar una suscripción iniciada.
  5. Habilitar WinRM en servidores y clientes de Microsoft Windows Para obtener más información, consulta Instalación y configuración de la administración remota de Microsoft Windows.

Configura el servidor de colector de Microsoft Windows

Configura un servidor de colector de Microsoft Windows para recopilar desde los sistemas.

  1. Configura el sistema con la zona horaria UTC.
  2. Instala NXLog. Sigue la documentación de NXLog.
  3. Crea un archivo de configuración para NXLog. Usa el módulo de entrada im_msvistalog para los registros del canal de seguridad del servidor de Microsoft Windows. Reemplaza los valores <hostname> y <port> por información sobre el servidor central de Microsoft Windows o Linux. Consulta la documentación de NXLog para obtener información sobre el módulo om_tcp.

      define ROOT     C:\Program Files (x86)\nxlog
      define WINDNS_OUTPUT_DESTINATION_ADDRESS <hostname>
      define WINDNS_OUTPUT_DESTINATION_PORT <port>
      define CERTDIR  %ROOT%\cert
      define CONFDIR  %ROOT%\conf
      define LOGDIR   %ROOT%\data
      define LOGFILE  %LOGDIR%\nxlog.log
      LogFile %LOGFILE%
      Moduledir %ROOT%\modules
      CacheDir  %ROOT%\data
      Pidfile   %ROOT%\data\nxlog.pid
      SpoolDir  %ROOT%\data
      <Extension _json>
          Module      xm_json
      </Extension>
      <Input windows_security_eventlog>
          Module  im_msvistalog
          <QueryXML>
              <QueryList>
                  <Query Id="0">
                      <Select Path="Application">*</Select>
                      <Select Path="System">*</Select>
                      <Select Path="Security">*</Select>
                  </Query>
              </QueryList>
          </QueryXML>
          ReadFromLast  False
          SavePos  False
      </Input>
      <Output out_chronicle_windevents>
          Module      om_tcp
          Host        %WINDNS_OUTPUT_DESTINATION_ADDRESS%
          Port        %WINDNS_OUTPUT_DESTINATION_PORT%
          Exec        $EventTime = integer($EventTime) / 1000;
          Exec        $EventReceivedTime = integer($EventReceivedTime) / 1000;
          Exec        to_json();
      </Output>
      <Route r2>
          Path    windows_security_eventlog is set to out_chronicle_windevents
      </Route>
    
  4. Inicia el servicio de NXLog.

Configura el servidor central de Microsoft Windows o Linux

Consulta Instala y configura el reenvío en Linux o Instala y configura el reenvío en Microsoft Windows a fin de obtener información para instalarlo y configurarlo.

  1. Configura el sistema con la zona horaria UTC.
  2. Instala el reenvío de Chronicle en el servidor central de Microsoft Windows o Linux.
  3. Configura el reenvío de Chronicle para enviar registros a Chronicle. Este es un ejemplo de configuración de reenvío.

      - syslog:
          common:
            enabled: true
            data_type: WINEVTLOG
            batch_n_seconds: 10
            batch_n_bytes: 1048576
          tcp_address: 0.0.0.0:10518
          connection_timeout_sec: 60
    

Referencia de asignación de campos: campos comunes de eventos de dispositivos a campos UDM

Los siguientes campos son comunes en varios ID de eventos y se asignan de la misma manera.

Campo de NXLog Campo de UDM
Hora del evento metadatos.event_timestamp
Nombre de host principal.hostname
ID del evento product_event_type está configurado en "%{EventID}"
security_result.rule_name se establece en "EventID: %{EventID}"
SourceName metadatos.product_name está configurado como "%25%7BSourceName}"

metadatos.vendor está configurado como "Microsoft"
Categoría about.labels.key/value
Canal about.labels.key/value
Gravedad Los valores asignados al campo security_result.severity son los siguientes:
El valor original 0 (None) se establece en UNKNOWN_SEVERITY
El valor original 1 (crítico) se establece en INFORMATIONAL
El valor original 2 (error) se establece en ERROR
El valor original 3 (Advertencia) se establece en ERROR
El valor original 4 (informativo) se establece en INFORMATIONAL
ID del usuario principal.user.windows_sid
ID de ExecutionProcess principal.process.pid
ID del proceso principal.process.pid
ProviderGuid id de implementación de metadatos.producto
Número de registro id_de_metadatos.product_log
NombreDelMódulo observador.labels.key/value
Tipo de módulo de origen observador.application
ID de actividad security_result.detection_fields.key/value

Referencia de asignación de campos: campo de evento del dispositivo al campo UDM por EventID

En la siguiente sección, se describe cómo se asignan los campos NXlog/EventViewer a los campos de UDM. Los datos pueden asignarse de manera diferente para diferentes ID de eventos de Microsoft Windows.

El encabezado de la sección identifica el ID del evento, además de la versión (p.ej., versión 0) y el sistema operativo (p.ej., cliente de Microsoft Windows 10), si corresponde. Es posible que haya más de una sección para un ID de evento cuando el mapa de una versión o un sistema operativo específicos son diferentes.

ID del evento 0

Proveedor: Directory Sync

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Datos

security_result.summary.

Proveedor: gupdate

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Proveedor: hcmon

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = GENERIC_EVENT

target_resource_name se configuró como target.resource.name

ID de evento 1

Proveedor: Microsoft-Windows-FilterManager

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Proveedor: Microsoft-Windows-Kernel-General

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Proveedor: Microsoft-Windows-Sysmon

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = PROCESS_LAUNCH

Si EventLevelName contiene "Information" luego, security_result.severity = INFORMATIONAL

EventData.Hashes

Según el algoritmo de hash.

MD5 configurado como target.process.file.md5

SHA256 configurado como target.process.file.sha256

SHA1 configurado como target.process.file.sha1

EventData.User.

Dominio configurado como principal.administrator_domain

El nombre de usuario se estableció en principal.user.userid

Descripción

metadata.description

Línea de comandos

target.process.command_line.

Image

target.process.file.full_path.

ParentCommandLine;

target.process.parent_process.command_line

ParentImage

target.process.parent_process.file.full_path.

ParentProcessId

target.process.parent_process.pid.

ProcessId

target.process.pid;

EventOriginId;

target.process.product_specific_process_id configurado como "sysmon:%{EventOriginId}"

Proveedor: SecurityCenter

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_START

NombreDeFuente

No disponible

target.application.

Proveedor: telegraf

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Datos

security_result.description.

ID del evento 2

Proveedor: MEIx64

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Mensaje configurado en security_result.summary

Proveedor: SecurityCenter

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_STOP

NombreDeFuente

No disponible

target.application.

Proveedor: vmci

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = GENERIC_EVENT

Mensaje configurado en security_result.summary

ID del evento 3

Versión 3 o Proveedor: Microsoft-Windows-Power-Troubleshooter

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_STARTUP

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.attribute.roles.name

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Hora de dormir

Datos/Hora de dormir

target.resource.attribute.labels.key/value

Hora de despertar

Datos/WakeTime

target.resource.attribute.labels.key/value

WakeSourceType

Datos/WakeSourceType

target.resource.attribute.labels.key/value

WakeSourceText

Datos/WakeSourceText

target.resource.attribute.labels.key/value

Proveedor: Microsoft-Windows-Security-Kerberos

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Archivo

target.file.full_path.

Proveedor: Servicio de disco virtual

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Proveedor: vmci

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = GENERIC_EVENT

ID de evento 4

Proveedor: Microsoft-Windows-Security-Kerberos

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Servidor

target.hostname

Proveedor: Servicio de disco virtual

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Mensaje configurado como security_result.summary

ID de evento 5

Proveedor: iScsiPrt

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = GENERIC_EVENT

Mensaje configurado como security_result.summary

Proveedor: Controlador de servicio McAfee

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Mensaje configurado en security_result.summary

Proveedor: Microsoft-Windows-Search-ProfileNotify

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_MODIFICATION

NombreDeFuente

target.application.

User

Datos/Usuario

target.user.userid

ID de evento 6

Proveedor: Microsoft-Windows-CertificateServicesClient-AutoEnrollment

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

CódigoDeError

security_result.summary

Formato:

%{ErrorCode}-%{ErrorMsg}

ErrorMsg

security_result.summary

Formato:

%{ErrorCode}-%{ErrorMsg}

Contexto

target.application.

Proveedor: Microsoft-Windows-FilterManager

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID de evento 7

Proveedor: AdmPwd

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si falta el nombre de host, metadatos.event_type se estableció en GENERIC_EVENT.

Datos

security_result.summary

Formato:

"Error: %{Data}"

ID del evento 9

Proveedor: volsnap

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

VolumeName

target.file.full_path.

ID de evento 11

Proveedor: Microsoft-Windows-Hyper-V-Netvsc

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

MiniportName

target.resource.name;

Proveedor: Microsoft-Windows-Kernel-General

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID 12 del evento

Proveedor: Microsoft-Windows-Kernel-General

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_STARTUP

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Proveedor: Microsoft-Windows-Sysmon

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = REGISTRY_CREATION

Si EventLevelName =~ "Information" luego, security_result.severity = INFORMATIONAL

EventOriginId;

target.process.product_specific_process_id configurado como "sysmon: %{EventOriginId}"

EventData/EventType

target.Registry.register_key.

EventData/TargetObject

target.Registry.Registry_value_name.

Proveedor: Microsoft-Windows-Time-Service

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Proveedor: Microsoft-Windows-UserModePowerService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.attribute.roles.name

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ProcessPath

target.process.file.full_path.

NewSchemeGuid

target.resource.product_object_id

ID de evento 13

Proveedor: Microsoft-Windows-Kernel-General

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_SHUTDOWN

Proveedor: Microsoft-Windows-Sysmon

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = REGISTRY_MODIFICATION

Si EventLevelName =~ "Information" luego, security_result.severity = INFORMATIONAL

EventOriginId;

target.process.product_specific_process_id configurado como "sysmon: %{EventOriginId}"

EventData/EventType

target.Registry.register_key.

EventData/Details

target.Registry.Registry_value_data.

Proveedor: Microsoft-Windows-CertificateServicesClient-CertEnroll

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

dominio_administrador_principal

NombreDeCuenta

principal.user.userid

Tipo de cuenta

principal.user.attribute.roles.name

Mensaje

metadata.description

UserID

principal.user.windows_sid

Canadá

about.labels.key/value

CódigoDeError

security_result.summary

Formato: resumen => %{error_code} - %{error_message}

Proveedor: NPS

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Datos

target.ip.

ID del evento 14

Proveedor: Microsoft-Windows-Kerberos-Key-Distribution-Center

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si no hay campos Nombre de host o Nombre de cliente, se configura metadatos.event_type como GENERIC_EVENT.

Nombredecliente

principal.hostname

Destino

target.application.

Cuenta

target.hostname

Proveedor: Microsoft-Windows-Wininit

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID de evento 15

Proveedor: disco

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

target_hostname configurado como target.hostname

Proveedor: Microsoft-Windows-Kernel-General

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = REGISTRY_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

NewSize

Data/NewSize

target.file.size.

HiveName;

Datos/HiveName

target.Registry.register_key.

Proveedor: SecurityCenter

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

No disponible

metadata.event_type = STATUS_UPDATE

ID de evento 16

Proveedor: Microsoft-Windows-HAL

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Proveedor: Microsoft-Windows-Kerberos-Key-Distribution-Center

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si no hay campos Nombre de host o Nombre de cliente, se configura metadatos.event_type como GENERIC_EVENT.

Nombredecliente

principal.hostname

Destino

target.application.

Cuenta

target.hostname

Proveedor: Microsoft-Windows-Kernel-General

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = REGISTRY_MODIFICATION

Dominio

Sistema/Dominio

dominio_administrador_principal

ProcessID

System/ProcessID

principal.process.pid

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

HiveName;

Datos/HiveName

target.Registry.register_key.

Proveedor: Microsoft-Windows-WindowsUpdateClient

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Mensaje configurado en metadatos.description

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID de evento 17

Proveedor: Microsoft-Windows-WHEA-Logger

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.attribute.roles.name

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Proveedor: Microsoft-Windows-WindowsUpdateClient

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Categoría configurada como security_result.category_details

Mensaje configurado en metadatos.description

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID 18 del evento

Proveedor: BTHUSB

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Mensaje configurado en security_result.summary

Proveedor: Microsoft-Windows-Kernel-Boot

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si faltan los campos AccountName o UserID, el valor de metadatos.event_type se estableció en GENERIC_EVENT.

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID 19 del evento

Versión 0/Proveedor: Microsoft-Windows-WindowsUpdateClient

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Categoría

Datos/Categoría

security_result.category_details

Proveedor: Intel-SST-OED

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

Categoría

security_result.summary.

ID del evento 20

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_UNSPECIFIED

target.application = "Servicio de registro de eventos"

CódigoDeError

Datos/ErrorCode

security_result.summary.

Formato:

Código de error: %{value}

Proveedor: Microsoft-Windows-Kernel-Boot

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si faltan los campos AccountName o UserID, el valor de metadatos.event_type se estableció en GENERIC_EVENT.

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Proveedor: Microsoft-Windows-WindowsUpdateClient

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

updateRevisionNumber;

target.resource.attribute.labels.key/value

updateTitle

target.resource.name;

updateGuid

target.resource.product_object_id

ID del evento 21

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_UNSPECIFIED

target.application = "Servicio de registro de eventos"

CódigoDeError

Datos/ErrorCode

security_result.summary.

Formato:

Código de error: %{value}

ID del evento 22

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_UNSPECIFIED

target.application = "Servicio de registro de eventos"

CódigoDeError

Datos/ErrorCode

security_result.summary.

Formato:

Código de error: %{value}

Proveedor: Microsoft-Windows-WindowsUpdateClient

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Categoría configurada como security_result.category_details

Mensaje configurado en metadatos.description

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

lista de actualizaciones

security_result.description.

ID del evento 23

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_UNSPECIFIED

target.application = "Servicio de registro de eventos"

CódigoDeError

Datos/ErrorCode

security_result.summary.

Formato:

Código de error: %{value}

Proveedor: Microsoft-Windows-Kerberos-Key-Distribution-Center

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Mensaje configurado en security_result.summary

ID del evento 24

Proveedor: Microsoft-Windows-Kernel-General

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 25

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_UNSPECIFIED

target.application = "Servicio de registro de eventos"

Proveedor: Microsoft-Windows-Kernel-Boot

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si faltan los campos AccountName o UserID, el valor de metadatos.event_type se estableció en GENERIC_EVENT.

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 26

Proveedor: ventana emergente de la aplicación

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.attribute.roles.name

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Leyenda

security_result.summary.

Proveedor: Microsoft-Windows-AttestationAuthority

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_START

target.application = "Servicios de certificado de Active Directory"

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

NombreDelDC

Datos/NombreDelDC

target.admin_domain.

CACommonName

Datos/CACommonName

target.user.userid

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_UNSPECIFIED

target.application = "Servicio de registro de eventos"

Proveedor: Microsoft-Windows-Kerberos-Key-Distribution-Center

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Destino

target.hostname

Nombre

target.user.userid

ID del evento 27

Versión 0 / Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_UNSPECIFIED

target.application = "Servicio de registro de eventos"

CódigoDeError

Datos/ErrorCode

security_result.summary.

Formato:

Código de error: %{value}

NewLogFilePath;

Data/NewLogFilePath.

target.file.full_path.

Proveedor: Microsoft-Windows-Kernel-Boot

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si faltan los campos AccountName o UserID, el valor de metadatos.event_type se estableció en GENERIC_EVENT.

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Proveedor: Microsoft-Windows-WindowsUpdateClient

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Mensaje configurado en metadatos.description

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 28

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_UNSPECIFIED

target.application = "Servicio de registro de eventos"

CódigoDeError

Datos/ErrorCode

security_result.summary.

Formato:

Código de error: %{value}

Proveedor: Microsoft-Windows-WindowsUpdateClient

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Mensaje configurado en metadatos.description

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 29

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_UNSPECIFIED

target.application = "Servicio de registro de eventos"

CódigoDeError

Datos/ErrorCode

security_result.summary.

Formato:

Código de error: %{value}

ID del evento 30

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_UNSPECIFIED

target.application = "Servicio de registro de eventos"

CódigoDeError

Datos/ErrorCode

security_result.summary.

Formato:

Código de error: %{value}

Proveedor: Microsoft-Windows-Kernel-Boot

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

ID del evento 31

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_UNSPECIFIED

target.application = "Servicio de registro de eventos"

CódigoDeError

Datos/ErrorCode

security_result.summary.

Formato:

Código de error: %{value}

ID del evento 32

Proveedor: e1iexpress

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = GENERIC_EVENT

Mensaje configurado como security_result.summary

Proveedor: Microsoft-Windows-Kernel-Boot

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si faltan los campos AccountName o UserID, el valor de metadatos.event_type se estableció en GENERIC_EVENT.

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 33

Proveedor: volsnap

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = FILE_UNCATEGORIZED

VolumeName

target.file.full_path.

Nombre del dispositivo

target.resource.name;

ID del evento 34

Proveedor: Oracle.xstore

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = RESOURCE_READ

DBID

additional.fields.key/value

NombreDeFuente

principal.application

DATABASE_USER

principal.user.uerid

ACCIÓN

target.process.command_line.

ID del evento 35

Proveedor: Microsoft-Windows-Kerberos-Key-Distribution-Center

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si no hay un campo principal.machineid, se establece metadatos.event_type como GENERIC_EVENT.

Proveedor: Microsoft-Windows-Time-Service

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 36

Proveedor: Microsoft-Windows-Time-Service

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Proveedor: NPS

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = NETWORK_CONNECTION

Si el campo target.ip no aparece, entonces metadatos.event_type se configuró como STATUS_UPDATE

Mensaje

IP configurado en target.ip

ID del evento 37

Proveedor: Microsoft-Windows-Kerberos-Key-Distribution-Center

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si falta el nombre de host, metadatos.event_type se estableció en GENERIC_EVENT.

Nombredecliente

principal.hostname

Nombre del servidor

target.hostname

Proveedor: Microsoft-Windows-Kernel-Processor-Power

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.attribute.roles.name

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Número

Datos/Número

target.resource.attribute.labels.key/value

CapDurationInSeconds

Data/CapDurationInSeconds

target.resource.attribute.labels.key/value

Proveedor: Microsoft-Windows-Time-Service

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 38

Proveedor: Microsoft-Windows-AttestationAuthority

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_STOP

target.application = "Servicios de certificado de Active Directory"

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

CACommonName

Datos/CACommonName

target.user.userid

ID del evento 40

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_UNSPECIFIED

target.application = "Servicio de registro de eventos"

CódigoDeError

Datos/ErrorCode

security_result.summary.

Formato:

Código de error: %{value}

ID del evento 42

Cliente o proveedor de la versión 0 de Windows 10: Microsoft-Windows-Kernel-Power

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

versión 2 cliente de Windows 10 /

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

Motivo

Datos/Motivo

security_result.description.

ID del evento 43

Proveedor: Microsoft-Windows-WindowsUpdateClient

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

updateRevisionNumber;

Datos/updateRevisionNumber

target.resource.attribute.labels.key/value

updateTitle

Datos/updateTitle

target.resource.name;

updateGuid

Data/updateGuid

target.resource.product_object_id

ID del evento 44

Cliente de la versión 0 en Windows 10 o proveedor: Microsoft-Windows-WindowsUpdateClient

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Categoría

Datos/Categoría

security_result.category_details

ID del evento 45

Proveedor: Symantec AntiVirus

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

Datos

security_result.summary.

ID del evento 47

Proveedor: Microsoft-Windows-Time-Service

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ErrorMessage

security_result.description.

ManualPeer

target.ip.

Proveedor: Microsoft-Windows-WHEA-Logger

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.attribute.roles.name

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 50

Proveedor: Microsoft-Windows-Time-Service

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Proveedor: Ntfs

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = GENERIC_EVENT

ID de evento 51

Proveedor: disco

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

target_hostname configurado como target.hostname

ID de evento 55

Cliente/proveedor de la versión 0 de Windows 10: Microsoft-Windows-Kernel-Processor-Power

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Proveedor: Ntfs

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = GENERIC_EVENT

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Resultado

security_result.summary.

ID del evento 57

Proveedor: hpqilo3

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Mensaje configurado en security_result.summary

ID de evento 58

Proveedor: partmgr

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Mensaje configurado en metadatos.description

Proveedor: volsnap

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Mensaje configurado en metadatos.description

ID de evento 64

Proveedor: Microsoft-Windows-CertificateServicesClient-AutoEnrollment

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Contexto

target.application.

ID de evento 75

Proveedor: Microsoft-Windows-AttestationAuthority

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_UNSPECIFIED

target.application configurado como "Active Directory Certificate Services"

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

ErrorMessageText

security_result.summary.

ID de evento 80

Proveedor: ocz10xx

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Datos

target.hostname

ID de evento 81

Proveedor: hpqilo2

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = GENERIC_EVENT

Proveedor: Microsoft-Windows- conmutaciónClustering-Client

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = GENERIC_EVENT

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

ID de evento 98

Proveedor: Microsoft-Windows-Ntfs

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_HEARTBEAT

Dominio

Sistema/Dominio

dominio_administrador_principal

Nombre del dispositivo

Datos/Nombre del dispositivo

principal.hostname

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 100

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_UNSPECIFIED

target.application = "Servicio de registro de eventos"

CódigoDeError

Datos/ErrorCode

security_result.summary.

Formato:

Código de error: %{value}

Proveedor: Microsoft-Windows-TaskScheduler

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SCHEDULED_TASK_ENABLE

target.resource.resource_type = TAREA

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

Nombre de tarea

Datos/NombreDeLaTarea

target.resource.name;

ID de instancia

Data/InstanceId

target.resource.product_object_id

ID del evento 101

Proveedor: Política del grupo de Administración de aplicaciones

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

security_result.description" configurada como "ErrorCode - %{error_code}"

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 102

Proveedor: ESENT

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_UNSPECIFIED

Si no se incluye el campo target.process, se configurará metadatos.event_type como GENERIC_EVENT

Mensaje

Extraer el PID y asignarlo al campo target.process.pid de UDM

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_UNSPECIFIED

target.application = "Servicio de registro de eventos"

ProcessID

Datos/ProcessID

principal.process.pid

CódigoDeError

Datos/ErrorCode

security_result.summary.

Formato:

Código de error: %{value}

ID del evento 103

Proveedor: Política del grupo de Administración de aplicaciones

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

security_result.description" configurada como "ErrorCode - %{error_code}"

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Proveedor: ESENT

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_UNSPECIFIED

Si no se incluye el campo target.process, se configurará metadatos.event_type como GENERIC_EVENT

Mensaje

Sistema/Mensaje

Extraer el PID y asignarlo al campo target.process.pid de UDM

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Motivo

Datos/Motivo

security_result.description.

Proveedor: ocz10xx

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Datos

target.hostname

ID del evento 104

cliente/proveedor de Windows 10: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_WIPE

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Windows 2019 Server /

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Proveedor: Microsoft-Windows-Reenvío

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = USER_RESOURCE_ACCESS

UserID

Sistema/UserID

principal.user.windows_sid

SubscriptionManagerAddress

Data/SubscriptionManagerAddress

target.url.

Proveedor: WudfUsbccidDriver

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = GENERIC_EVENT

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.attribute.roles.name

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 105

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Canal

Datos/Canal

security_result.description.

BackupPath

Data/BackupPath

target.file.full_path.

Proveedor: Microsoft-Windows-Kernel-Power

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

Proveedor: VMTools

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_START

NombreDeFuente

No disponible

target.application.

ID del evento 106

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

ID del evento 107

Cliente o proveedor de la versión 0 de Windows 10: Microsoft-Windows-Kernel-Power

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_UNSPECIFIED

target.application = "Servicio de registro de eventos"

CódigoDeError

Datos/ErrorCode

security_result.summary.

Formato:

Código de error: %{value}

Proveedor: Microsoft-Windows-TaskScheduler

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SCHEDULED_TASK_ENABLE

target.resource.resource_type = TAREA

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

Nombre de tarea

Datos/NombreDeLaTarea

target.resource.name;

ID de instancia

Data/InstanceId

target.resource.product_object_id

ID del evento 108

Proveedor: Política del grupo de Administración de aplicaciones

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

security_result.description" configurada como "ErrorCode - %{error_code}"

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Proveedor: VMTools

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_STOP

NombreDeFuente

No disponible

target.application.

ID del evento 109

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_UNSPECIFIED

target.application = "Servicio de registro de eventos"

ProcessID

Datos/ProcessID

principal.process.pid

CódigoDeError

Datos/ErrorCode

security_result.summary.

Formato:

Código de error: %{value}

Proveedor: Microsoft-Windows-Kernel-Power

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_SHUTDOWN

Motivo del cierre

Datos/Motivo del cierre

security_result.description.

ID del evento 110

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

ID del evento 111

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

ID del evento 112

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

ID del evento 115

Proveedor: Directory Sync

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Datos

security_result.summary.

ID del evento 129

Proveedor: Microsoft-Windows-TaskScheduler

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SCHEDULED_TASK_ENABLE

target.resource.resource_type = TAREA

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

Prioridad

Datos/Prioridad

security_result.priority_details

Ruta de acceso

Datos/ruta de acceso

target.process.file.full_path.

ProcessID

Datos/ProcessID

target.process.pid;

Nombre de tarea

Datos/NombreDeLaTarea

target.resource.name;

Proveedor: Microsoft-Windows-Time-Service

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ErrorMessage

Datos/ErrorMessage

security_result.description.

ID del evento 130

Proveedor: Microsoft-Windows-Kernel-Power

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

ID del evento 131

Proveedor: Microsoft-Windows-Kernel-Power

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Proveedor: Microsoft-Windows-Time-Service

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ErrorMessage

Datos/ErrorMessage

security_result.description.

Dominio de par

Datos/DomainPeer

target.admin_domain.

ID del evento 134

Proveedor: Microsoft-Windows-Time-Service

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ErrorMessage

Datos/ErrorMessage

security_result.description.

Dominio de par

Datos/DomainPeer

target.admin_domain.

ID del evento 137

Proveedor: Microsoft-Windows-Kernel-Power

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Proveedor: Ntfs

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = GENERIC_EVENT

ID del evento 138

Proveedor: Microsoft-Windows-Time-Service

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Dominio de par

Datos/DomainPeer

target.admin_domain.

ID del evento 139

Proveedor: Microsoft-Windows-Time-Service

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 140

Proveedor: Microsoft-Windows-Ntfs

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Nombre del dispositivo

principal.hostname

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Proveedor: Microsoft-Windows-TaskScheduler

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SCHEDULED_TASK_MODIFICATION

target.resource.resource_type = TAREA

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

Nombre de tarea

Datos/NombreDeLaTarea

target.resource.name;

Nombre de usuario

Datos/Nombre de usuario

target.user.user_display_name

ID del evento 142

Proveedor: Microsoft-Windows-Time-Service

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Mensaje configurado en security_result.summary

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 143

Proveedor: Microsoft-Windows-Time-Service

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 146

Proveedor: Microsoft-Windows-Time-Service

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Mensaje configurado como security_result.summary

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 153

Proveedor: disco

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Mensaje configurado en security_result.summary

Proveedor: Microsoft-Windows-Kernel-Boot

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si faltan los campos AccountName o UserID, el valor de metadatos.event_type se estableció en GENERIC_EVENT.

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID de evento 157

Proveedor: disco

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Mensaje configurado como security_result.summary

ID de evento 158

Proveedor: disco

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Mensaje configurado en security_result.summary

target_url configurado como target.url

Proveedor: Microsoft-Windows-Time-Service

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Proveedordehoras

target.resource.name;

ID del evento 172

Proveedor: Microsoft-Windows-Kernel-Power

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Motivo

Datos/Motivo

security_result.description.

ID del evento 200

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Proveedor: Microsoft-Windows-TaskScheduler

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SCHEDULED_TASK_ENABLE

target.resource.resource_type = TAREA

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

Nombre de tarea

Datos/NombreDeLaTarea

target.resource.name;

TaskInstanceId

Data/TaskInstanceId

target.resource.product_object_id

ID del evento 201

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Proveedor: Microsoft-Windows-TaskScheduler

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SCHEDULED_TASK_UNCATEGORIZED

target.resource.resource_type = TAREA

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

Nombre de tarea

Datos/NombreDeLaTarea

target.resource.name;

TaskInstanceId

Data/TaskInstanceId

target.resource.product_object_id

ID del evento 202

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

ID del evento 203

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

ID del evento 204

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

ID del evento 205

Servidor de la versión 0 de Windows 2019 / Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

AsuntoDominio

Datos/NombreDominioDominio

dominio_administrador_principal

AsuntoUserUser

Datos/NombredeUsuario

principal.user.userid

SubjectUserSid;

Datos/SubjectUserSid

principal.user.windows_sid

Nombre de dominio

Datos/NombreDeDominio

target.admin_domain.

ID del evento 219

Proveedor: Microsoft-Windows-Kernel-PnP

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.attribute.roles.name

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

DriverName

target.hostname

NombreFailure

target.resource.name;

ID del evento 225

Proveedor: Microsoft-Windows-Kernel-PnP

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.attribute.roles.name

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

DeviceInstance

target.hostname

Nombre del proceso

target.process.file.full_path.

ID del evento 233

Proveedor: Microsoft-Windows-Hyper-V-VmSwitch

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

ID del evento 234

Proveedor: Microsoft-Windows-Hyper-V-VmSwitch

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

ID del evento 238

Proveedor: Microsoft-Windows-Kernel-Boot

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si faltan los campos AccountName o UserID, el valor de metadatos.event_type se estableció en GENERIC_EVENT.

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 258

Proveedor: VMUpgradeHelper

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

NombreDeFuente

No disponible

target.application.

ID de evento 260

Proveedor: VMUpgradeHelper

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

NombreDeFuente

No disponible

target.application.

ID del evento 271

Proveedor: VMUpgradeHelper

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

NombreDeFuente

No disponible

target.application.

ID del evento 272

Proveedor: VMUpgradeHelper

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

NombreDeFuente

No disponible

target.application.

ID del evento 299

Proveedor: Auditoría de AD FS

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 300

Proveedor: ESENT

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_UNSPECIFIED

Si no se incluye el campo target.process, se configurará metadatos.event_type como GENERIC_EVENT

Extraer el PID y asignarlo a target.process.pid

ID del evento 301

Proveedor: ESENT

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_UNSPECIFIED

Si no se incluye el campo target.process, se configurará metadatos.event_type como GENERIC_EVENT

Extraer el PID y asignarlo a target.process.pid

ID del evento 302

Proveedor: ESENT

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_UNSPECIFIED

Si no se incluye el campo target.process, se configurará metadatos.event_type como GENERIC_EVENT

Extraer el PID y asignarlo a target.process.pid

ID del evento 325

Proveedor: ESENT

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_UNSPECIFIED

Si no se incluye el campo target.process, se configurará metadatos.event_type como GENERIC_EVENT

Extraer el PID y asignarlo a target.process.pid

ID del evento 326

Proveedor: ESENT

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_UNSPECIFIED

Si no se incluye el campo target.process, se configurará metadatos.event_type como GENERIC_EVENT

Extraer el PID y asignarlo a target.process.pid

ID del evento 403

Proveedor: Auditoría de AD FS

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Datos_9

network.http.user_agent

Dominio

Sistema/Dominio

dominio_administrador_principal

Datos_8

principal.ip

Datos_7

principal.port

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Datos_3

target.ip.

Datos_5

target.url.

ID del evento 404

Proveedor: Auditoría de AD FS

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Datos_3

security_description definida como %{Data_3}: %{Data_4}

Datos_4

security_description definida como %{Data_3}: %{Data_4}

ID del evento 405

Proveedor: ADSync

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Datos

dominio_administrador_principal

Datos_1

principal.user.userid

ID del evento 410

Proveedor: Auditoría de AD FS

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Datos_4

network.http.user_agent

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Datos_10

target.ip.

Datos_8

target.url.

ID del evento 412

Proveedor: Auditoría de AD FS

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 424

Proveedor: Auditoría de AD FS

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

client_certificate_serial configurado en network.tls.client.certificate.serial

client_certificate_subject establecido en network.tls.client.certificate.subject

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID de evento 500

Proveedor: Auditoría de AD FS

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 501

Proveedor: Auditoría de AD FS

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 506

Proveedor: Microsoft-Windows-Kernel-Power

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

security_result.description.

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

ID del evento 507

Proveedor: Microsoft-Windows-Kernel-Power

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

reason_description configurado como security_result.description

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

ID del evento 508

Proveedor: ESENT

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_UNSPECIFIED

Si no se incluye el campo target.process, se configurará metadatos.event_type como GENERIC_EVENT

Extraer el PID y asignarlo a target.process.pid

ID del evento 510

Proveedor: Auditoría de AD FS

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Datos_1

Data_1.Host configurado como target.hostname

Data_1.User-Agent configurado como network.http.user_agent

Data_1.X-MS-Endpoint-Absolute-Path configurado en target.url

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 517

Proveedor: Microsoft-Windows-DFSN-Server

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

UserID

principal.user.windows_sid

Espacio de nombres de Dfs

target.resource.name;

ID del evento 521

Proveedor: Seguridad

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

ID del evento 529

Proveedor: Seguridad

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = USER_LOGIN

security_result.action = BLOCK

security_result.category = AUTH_VIOLATION

Tipo de acceso

No disponible

extensions.auth.mechanism

Mensaje

No disponible

nombredeusuario establecido como target.user.userid

dominio configurado como target.admin_domain

target_workstation configurado como target.hostname

ID de evento 600

Proveedor: PowerShell

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = GENERIC_EVENT

Categoría

metadata.description

NombreDeFuente

principal.application

HostApplication asociado

target.file.full_path.

NombreDelProveedor

target.resource.name;

ID del evento 601

Proveedor: Directory Sync

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

metadata.description = Intenta instalar un servicio

AsuntoUserUser

principal.user.userid

Resumen

security_result.summary.

Nombre del servicio

target.process.command_line.

NombreArchivodelServicio

target.process.file.full_path.

ID del evento 642

Proveedor: ESENT

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_UNSPECIFIED

Si no se incluye el campo target.process, se configurará metadatos.event_type como GENERIC_EVENT

Extraer el PID y asignarlo a target.process.pid

ID de evento 653

Proveedor: Directory Sync

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Datos

security_result.summary.

ID de evento 654

Proveedor: Directory Sync

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Datos

security_result.summary.

ID de evento 663

Proveedor: Directory Sync

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Datos

security_result.summary.

ID de evento 700

Proveedor: ISAM de NTDS

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si faltan los campos Nombre de host o MessageSourceAddress, se estableció metadatos.event_type como GENERIC_EVENT.

MessageSourceAddress

principal.ip

ID de evento 701

Proveedor: ISAM de NTDS

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si faltan los campos Nombre de host o MessageSourceAddress, se estableció metadatos.event_type como GENERIC_EVENT.

MessageSourceAddress

principal.ip

ID de evento 719

Proveedor: Microsoft-Windows-TaskScheduler

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

Categoría

Datos/Categoría

security_result.category_details

ID de evento 781

Proveedor: Microsoft-Windows-Complus

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

param3

Datos/param3

target.Registry.register_key.

ID de evento 800

Proveedor: PowerShell

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = GENERIC_EVENT

metadata.description configurado como "Ejecución de canalización"

security_result.summary configurado en "Canalización de ejecución de la canalización para la línea de comandos

NombreDeFuente

principal.application

UserId

principal.user.userid

HostApplication asociado

target.file.full_path.

ID de evento 888

Proveedor: top_5

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = GENERIC_EVENT

ID 900 del evento

Proveedor: Microsoft-Windows-Security-SPP

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

No disponible

metadata.event_type = SERVICE_START

target.application = "Protección de software"

ID del evento 902

Proveedor: Microsoft-Windows-Security-SPP

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

No disponible

metadata.event_type = SERVICE_START

target.application = "Protección de software"

ID del evento 903

Proveedor: Microsoft-Windows-Security-SPP

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

No disponible

metadata.event_type = SERVICE_STOP

target.application = "Protección de software"

ID del evento 904

Proveedor: Directory Sync

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Datos

security_result.summary.

ID del evento 1001

Proveedor: Microsoft Antimalware

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

target_resource_product_object_id configurado como target.resource.product_object_id

Proveedor: Microsoft-Windows-WER-SystemErrorReporting

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

param2

target.file.full_path.

Proveedor: NoSQL

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Mensaje configurado como security_result.summary

Proveedor: Windows Error Reporting

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

No disponible

metadata.event_type = STATUS_UPDATE

ID de evento 1003

Proveedor: Microsoft-Windows-Search

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_START

Categoría

Datos/Categoría

target.application.

Proveedor: Microsoft-Windows-Security-SPP

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

ID de evento 1004

Proveedor: IPMIDRV

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Datos

target.hostname

Proveedor: Microsoft-Windows-Search

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_MODIFICATION

Motivo

Datos/Motivo

security_result.description.

Categoría

Datos/Categoría

target.application.

Proveedor: NoSQL

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Proveedor: TdIca

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

target_ip configurado como target.ip

target_port configurado en target_port

ID de evento 1005

Proveedor: Microsoft-Windows-Search

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_MODIFICATION

Categoría

Datos/Categoría

target.application.

ID del evento 1007

Proveedor: TdIca

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

target_ip configurado como target.ip

target_port configurado en target_port

ID del evento 1008

Proveedor: Microsoft-Windows-Perflib

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

EventoXML.param1

target.application.

EventXML.param2.

target.file.full_path.

Proveedor: Microsoft-Windows-Search

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_START

Motivo

Datos/Motivo

security_result.description.

Categoría

Datos/Categoría

target.application.

ID del evento 1010

Proveedor: Microsoft-Windows-Search

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_MODIFICATION

Categoría

Datos/Categoría

target.application.

ID del evento 1013

Proveedor: Microsoft-Windows-Search

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_STOP

Categoría

Datos/Categoría

target.application.

ID del evento 1016

Proveedor: Microsoft-Windows-Security-SPP

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

No disponible

metadata.event_type = STATUS_UPDATE

ID del evento 1023

Proveedor: Microsoft-Windows-Perflib

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Biblioteca

Datos/Biblioteca

target.file.full_path.

ID del evento 1030

Proveedor: Microsoft-Windows-GroupPolicy

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

ErrorDescription (Descripción del error)

security_result.description.

CódigoDeError

security_result.summary

Formato:

ErrorCode - %{ErrorErrorCode}

NombreDelDC

target.admin_domain.

ID del evento 1033

Proveedor: MsiInstaller

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Extraiga el nombre de product_name y mapee a target.application

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 1034

Proveedor: Microsoft-Windows-Security-SPP

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

No disponible

metadata.event_type = STATUS_UPDATE

ID del evento 1037

Proveedor: Microsoft-Windows-Security-SPP

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = GENERIC_EVENT

ID del evento 1040

Proveedor: MsiInstaller

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Extraer el process_id y asignarlo a target.process.pid

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 1042

Proveedor: MsiInstaller

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Extraer el process_id y asignarlo a target.process.pid

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 1053

Proveedor: Microsoft-Windows-GroupPolicy

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

ErrorDescription (Descripción del error)

Datos/ErrorDescription

security_result.description.

ID de evento 1054

Proveedor: Microsoft-Windows-GroupPolicy

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

ErrorDescription (Descripción del error)

Datos/ErrorDescription

security_result.description.

ID de evento 1055

Proveedor: Microsoft-Windows-GroupPolicy

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

ErrorDescription (Descripción del error)

Datos/ErrorDescription

security_result.description.

CódigoDeError

Datos/ErrorCode

security_result.summary

Formato:

ErrorCode - %{ErrorErrorCode}

ID de evento 1056

Proveedor: Microsoft-Windows-TerminalServices-RemoteConnectionManager

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = GENERIC_EVENT

server_certificate_subject establecido en network.tls.server.certificate.subject

ID del evento 1057

Proveedor: Microsoft-Windows- conmutaciónClustering

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

target.resource_resource_type = DATABASE

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 1058

Proveedor: Microsoft-Windows-GroupPolicy

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

ErrorDescription (Descripción del error)

Datos/ErrorDescription

security_result.description.

NombreDelDC

Datos/NombreDelDC

target.admin_domain.

FilePath

Data/FilePath

target.file.full_path.

ID de evento 1064

Proveedor: Microsoft-Windows-TerminalServices-RemoteConnectionManager

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = GENERIC_EVENT

security_result.summary.

ID de evento 1066

Proveedor: Microsoft-Windows-Security-SPP

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

No disponible

metadata.event_type = GENERIC_EVENT

ID del evento 1067

Proveedor: Microsoft-Windows-TerminalServices-RemoteConnectionManager

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = GENERIC_EVENT

ID del evento 1069

Proveedor: Microsoft-Windows- conmutaciónClustering

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Grupo de recursos

target.group.group_display_name

ResourceName

target.resource.name;

ID del evento 1073

Proveedor: User32

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_SHUTDOWN

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.attribute.roles.name

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

param1

Datos/param1

target.hostname

param2

Datos/param2

target.user.userid

ID del evento 1074

Proveedor: User32

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_SHUTDOWN

Proveedor: USER32

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_SHUTDOWN

target_process_file_full_path configurado como target.process.file.full_path

target_hostname configurado como target.hostname

Proveedor: User32

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

Dominio

dominio_administrador_principal

Proveedor: USER32

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

Dominio

Sistema/Dominio

dominio_administrador_principal

Proveedor: User32

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

param2

Datos/param2

principal.hostname

param1

Datos/param1

principal.process.file.full_path

Tipo de cuenta

principal.user.attribute.roles.name

Proveedor: USER32

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

Proveedor: User32

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

UserID

principal.user.windows_sid

param3

Datos/param3

security_result.description.

param7

Datos/param7

target.user.userid

ID de evento 1076

Proveedor: User32

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID de evento 1085

Proveedor: Microsoft-Windows-GroupPolicy

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

ErrorDescription (Descripción del error)

Datos/ErrorDescription

security_result.description.

CódigoDeError

Datos/ErrorCode

security_result.summary.

Formato:

ErrorCode: %{value}

NombreDelDC

Datos/NombreDelDC

target.admin_domain.

ID de evento 1100

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_STOP

target.application = "Servicio de registro de eventos"

ID del evento 1101

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

ID del evento 1102

Proveedor: Auditoría de AD FS

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

target_ip configurado en target.ip

target_url configurado como target.url

client_certificate_serial configurado en network.tls.client.certificate.serial

client_certificate_subject establecido en network.tls.client.certificate.subject

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Proveedor: Replicación de DFS

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = GENERIC_EVENT

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_WIPE

AsuntoDominio

dominio_administrador_principal

AsuntoUserUser

principal.user.userid

SubjectUserSid;

principal.user.windows_sid

ID del evento 1103

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

ID del evento 1104

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

ID de evento 1105

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

AutoBackup.BackupPath

Data/BackupPath

target.file.full_path.

ID del evento 1106

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Motivo

Datos/Motivo

security_result.description.

ID del evento 1107

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_UNSPECIFIED

target.application = "Servicio de registro de eventos"

ProcessID

Datos/ProcessID

principal.process.pid

CódigoDeError

Datos/ErrorCode

security_result.summary.

Formato:

Código de error: %{value}

ID del evento 1108

Proveedor: Microsoft-Windows-Eventlog

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

ID del evento 1112

Proveedor: Microsoft-Windows-GroupPolicy

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

ErrorDescription (Descripción del error)

security_result.description.

CódigoDeError

security_result.summary

Formato:

ErrorCode - %{ErrorErrorCode}

NombreDelDC

target.admin_domain.

NombreDeExtensión

target.resource.name;

ExtensionId

target.resource.product_object_id

ID de evento 1126

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

Datos_1

security_result.summary configurado en "Error: %{Data_1} - %{Data_2}"

Datos_2

security_result.summary configurado en "Error: %{Data_1} - %{Data_2}"

ID de evento 1128

Proveedor: Microsoft-Windows-GroupPolicy

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

NombreDeExtensión

target.resource.name;

ExtensionId

target.resource.product_object_id

ID del evento 1129

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

Proveedor: Microsoft-Windows-GroupPolicy

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

ErrorDescription (Descripción del error)

Datos/ErrorDescription

security_result.description.

ID del evento 1134

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

ID de evento 1150

Proveedor: Microsoft Antimalware

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

platform_version se estableció en principal.asset.platform_software.platform_version

ID de evento 1162

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

ID del evento 1173

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

ID del evento 1196

Proveedor: Microsoft-Windows- conmutaciónClustering

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.attribute.roles.name

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

EstadoString

security_result.summary.

ResourceName

target.resource.name;

ID del evento 1205

Proveedor: Microsoft-Windows- conmutaciónClustering

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Grupo de recursos

target.group.group_display_name

ID del evento 1213

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

ID del evento 1216

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Datos_3

security_result.description.

Datos

security_result.summary.

Formato:

"Código de error - %{Data}"

ID del evento 1226

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

ID del evento 1254

Proveedor: Microsoft-Windows- conmutaciónClustering

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Grupo de recursos

target.group.group_display_name

ID del evento 1257

Proveedor: Microsoft-Windows- conmutaciónClustering

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

DNSZone

about.labels.key/value

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Grupo de recursos

target.group.group_display_name

ID del evento 1307

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

ID del evento 1311

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

ID del evento 1317

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

ID de evento 1500

Proveedor: Microsoft-Windows-GroupPolicy

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

NombreDelDC

Datos/NombreDelDC

target.admin_domain.

ID de evento 1501

Proveedor: Microsoft-Windows-GroupPolicy

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

ID de evento 1502

Proveedor: Microsoft-Windows-GroupPolicy

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

NombreDelDC

Datos/NombreDelDC

target.admin_domain.

ID de evento 1503

Proveedor: Microsoft-Windows-GroupPolicy

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

NombreDelDC

Datos/NombreDelDC

target.admin_domain.

ID de evento 1531

Proveedor: Microsoft-Windows-User Profiles Service

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_START

Dominio

No disponible

dominio_administrador_principal

NombreDeCuenta

No disponible

principal.user.userid

UserID

No disponible

principal.user.windows_sid

NombreDeFuente

No disponible

target.application.

ID de evento 1532

Proveedor: Microsoft-Windows-User Profiles Service

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_STOP

Dominio

No disponible

dominio_administrador_principal

NombreDeCuenta

No disponible

principal.user.userid

UserID

No disponible

principal.user.windows_sid

NombreDeFuente

No disponible

target.application.

ID de evento 1535

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

Datos

security_result.description.

ID de evento 1564

Proveedor: Microsoft-Windows- conmutaciónClustering

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = RESOURCE_READ

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

CompartirNombre

target.resource.name;

ID de evento 1566

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

ID de evento 1573

Proveedor: Microsoft-Windows- conmutaciónClustering

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID de evento 1593

Proveedor: Microsoft-Windows- conmutaciónClustering

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = RESOURCE_READ

target.resource_resource_type = DATABASE

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

DatabaseFilePath .

target.file.full_path.

ID de evento 1643

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

ID de evento 1644

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

ID de evento 1645

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

ID de evento 1653

Proveedor: Microsoft-Windows- conmutaciónClustering

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID de evento 1699

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

Datos_4

security_result.summary set "Error Code - %{Data_4}"

ID de evento 1704

Proveedor: SceCli

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

ProcessId

principal.process.pid

Mensaje

security_result.summary.

ID de evento 1865

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

ID de evento 1925

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

ID de evento 1955

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

ID de evento 2000

Proveedor: Microsoft Antimalware

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

current_signature_version configurada como target.resource.attribute.labels.key/value

previous_signature_version] configurado como target.resource.attribute.labels.key/value

ID de evento 2001

Proveedor: Microsoft Antimalware

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Datos_14

security_result.summary.

Datos_17

target.url.

Proveedor: ISAM de NTDS

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si faltan los campos Nombre de host o MessageSourceAddress, se estableció metadatos.event_type como GENERIC_EVENT.

MessageSourceAddress

principal.ip

ID de evento 2004

Proveedor: Microsoft-Windows-Resource-Exhaustion-Detector

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.attribute.roles.name

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 2041

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

ID del evento 2042

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

ID del evento 2053

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

ID de evento 2065

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

ID del evento 2085

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

MessageSourceAddress

principal.ip

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

ID del evento 2089

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

ID del evento 2108

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

Datos_3

security_result.summary configurado en "Error: %{Data_4} - %{Data_3}"

Datos_4

security_result.summary configurado en "Error: %{Data_4} - %{Data_3}"

ID del evento 2811

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

ID del evento 2887

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

ID del evento 2889

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

ID del evento 2896

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

Datos_1

security_result.summary configurado en "Error: %{Data_1} - %{Data_2}"

Datos_2

security_result.summary configurado en "Error: %{Data_1} - %{Data_2}"

ID del evento 2904

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

ID del evento 2946

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

ID del evento 2947

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Datos_2

principal.ip

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

Datos_3

security_result.summary set & &Error: ErrorDataData33

ID del evento 2974

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

Datos_2

security_result.summary set "Error Code - %{Data_2}"

ID del evento 3040

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

ID del evento 3041

Proveedor: Microsoft-Windows-ActiveDirectory_DomainService

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT.

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.attribute.roles.name

NombreDeCuenta

principal.user.userid

UserID

principal.user.windows_sid

ID del evento 3072

Proveedor: agentes agentes

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = GENERIC_EVENT

ID del evento 3096

Proveedor: NETLOGON

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Mensaje configurado como security_result.summary

ID del evento 3260

Proveedor: Workstation

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

ID del evento 3261

Proveedor: Workstation

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

ID del evento 4000

Cliente o proveedor de la versión 0 de Windows 10: Microsoft-Windows-Diagnostics-Networking

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 4003

Proveedor: Microsoft-Windows-WLAN-AutoConfig

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.attribute.roles.name

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

CódigoDeError

Datos/ErrorCode

security_result.summary

Formato:

%{ErrorCode}-%{ErrorMsg}

ID del evento 4005

Proveedor: Microsoft-Windows-GroupPolicy

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.attribute.roles.name

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

ReasonForSyncProcessing

Data/ReasonForSyncProcessing

security_result.summary.

PrincipalNombredelSam

Datos/PrincipalSamName

target.hostname

PolicyActivityId

Data/PolicyActivityId.

target.resource.product_object_id

ID del evento 4006

Proveedor: Microsoft-Windows-GroupPolicy

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

PrincipalNombredelSam

Datos/PrincipalSamName

target.hostname

PolicyActivityId

Data/PolicyActivityId.

target.resource.product_object_id

ID del evento 4016

Proveedor: Microsoft-Windows-GroupPolicy

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

DescripciónString

Datos/DescripciónString

security_result.description.

CSEExtensionName;

Datos/CSEExtensionName

target.resource.name;

CSEExtensionId

Datos/CSEExtensionId

target.resource.product_object_id

ID del evento 4017

Proveedor: Microsoft-Windows-GroupPolicy

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

Descripción de la operación

Datos/OperaciónDescripción

security_result.description.

ID del evento 4096

Proveedor: NetJoin

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = NETWORK_CONNECTION

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

Nombre de dominio

Datos/NombreDeDominio

target.admin_domain.

NombreDeComputadora

Datos/NombreDeComputadora

target.hostname

ID del evento 4097

Proveedor: Microsoft-Windows-CAPI2

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

No disponible

metadata.event_type = STATUS_UPDATE

Proveedor: NetJoin

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = NETWORK_CONNECTION

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

NetStatusCode

Datos/NetStatusCode

security_result.description.

Nombre de dominio

Datos/NombreDeDominio

target.admin_domain.

NombreDeComputadora

Datos/NombreDeComputadora

target.hostname

ID del evento 4100

Proveedor: Microsoft-Windows-Diagnostics-Networking

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 4103

Versión 1/Proveedor: Microsoft-Windows-PowerShell

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_START

Dominio

dominio_administrador_principal

Tipo de cuenta

principal.user.role_description

NombreDeCuenta

principal.user.role_name

UserID

principal.user.windows_sid

Categoría

security_result.summary.

ComandoNombre

target.application.

NombreDeGuion

target.file.full_path.

HostApplication asociado

target.process.command_line.

target.process.file.full_path.

ID del evento 4104

Proveedor: Microsoft-Windows-PowerShell

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_START

Dominio

dominio_administrador_principal

UserID

principal.user.windows_sid

Categoría

security_result.summary.

NombreDeFuente

target.application.

ID del evento 4108

Proveedor: Microsoft-Windows-CAPI2

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

No disponible

metadata.event_type = STATUS_UPDATE

Extraiga información del campo Mensaje y asígnela a network.tls.client.certificate

ID del evento 4109

Proveedor: Microsoft-Windows-CAPI2

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

No disponible

metadata.event_type = STATUS_UPDATE

Extraiga información del campo Mensaje y asígnela a network.tls.client.certificate

ID del evento 4111

Proveedor: Microsoft-Windows-MSDTC

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_STOP

NombreDeFuente

No disponible

target.application.

ID del evento 4112

Proveedor: Microsoft-Windows-CAPI2

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

No disponible

metadata.event_type = STATUS_UPDATE

ID del evento 4113

Proveedor: Microsoft-Windows-CAPI2

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

No disponible

metadata.event_type = STATUS_UPDATE

ID del evento 4115

Proveedor: Microsoft-Windows-GroupPolicy

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 4116

Proveedor: Microsoft-Windows-GroupPolicy

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 4117

Proveedor: Microsoft-Windows-GroupPolicy

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 4126

Proveedor: Microsoft-Windows-GroupPolicy

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 4199

Proveedor: Tcpip

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Datos

Datos/Datos

principal.ip

Datos_1

Datos/Datos_1

target.mac.

ID del evento 4200

Proveedor: Microsoft-Windows-Iphlpsvc

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.userid

Interfaz

target_resource_product_object_id configurado como target.resource.product_object_id

Dirección

target.ip.

ID del evento 4202

Proveedor: Microsoft-Windows-MSDTC 2

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_START

NombreDeFuente

No disponible

target.application.

param9

Datos/param9

target.user.userid

ID del evento 4227

Proveedor: Tcpip

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = GENERIC_EVENT

Mensaje configurado en security_result.summary

ID del evento 4230

Proveedor: Tcpip

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = GENERIC_EVENT

ID del evento 4257

Proveedor: Microsoft-Windows-GroupPolicy

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 4319

Proveedor: NetBT

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

ID del evento 4321

Proveedor: NetBT

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = NETWORK_CONNECTION

Datos

Datos/Datos

principal.hostname y principal.port

Datos_1

Datos/Datos_1

principal.ip

Datos_2

Datos/Datos_2

target.ip.

ID del evento 4326

Proveedor: Microsoft-Windows-GroupPolicy

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

Dominio

Sistema/Dominio

dominio_administrador_principal

Tipo de cuenta

System/AccountType

principal.user.role_description

NombreDeCuenta

Nombre del sistema o la cuenta

principal.user.role_name

UserID

Sistema/UserID

principal.user.windows_sid

ID del evento 4400

Proveedor: NPS

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UNCATEGORIZED

Datos_1

dominio_administrador_principal

ID del evento 4608

Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_STARTUP

ID del evento 4609

Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_SHUTDOWN

ID del evento 4610

Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

AuthenticationPackageName

Data/AuthenticationPackageName

target.resource.name;

ID del evento 4611

Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type =  PROCESS_UNCATEGORIZED

AsuntoDominio

Datos/NombreDominioDominio

dominio_administrador_principal

AsuntoUserUser

Datos/NombredeUsuario

principal.user.userid

SubjectUserSid;

Datos/SubjectUserSid

principal.user.windows_sid

LogonProcessName

Data/LogonProcessName

target.process.command_line.

ID del evento 4612

Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

ID del evento 4614

Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

NotificationPackageName.

Data/NotificationPackageName.

target.resource.name;

ID del evento 4615

Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_UNCATEGORIZED

AsuntoDominio

Datos/NombreDominioDominio

dominio_administrador_principal

Nombre del proceso

Datos/NombredelProceso

principal.process.command_line

ProcessId

Datos/ProcessId

principal.process.pid

AsuntoUserUser

Datos/NombredeUsuario

principal.user.userid

SubjectUserSid;

Datos/SubjectUserSid

principal.user.windows_sid

ID del evento 4616

Versión 0/Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SETTING_MODIFICATION

target.resource.resource_type configurado como SETTING

AsuntoDominio

Datos/NombreDominioDominio

dominio_administrador_principal

Nombre del proceso

Datos/NombredelProceso

principal.process.file.full_path

ProcessId

Datos/ProcessId

principal.process.pid

AsuntoUserUser

Datos/NombredeUsuario

principal.user.userid

SubjectUserSid;

Datos/SubjectUserSid

principal.user.windows_sid

versión 1 /

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

AsuntoDominio

Datos/NombreDominioDominio

dominio_administrador_principal

Nombre del proceso

Datos/NombredelProceso

principal.process.file.full_path

ProcessId

Datos/ProcessId

principal.process.pid

AsuntoUserUser

Datos/NombredeUsuario

principal.user.userid

SubjectUserSid;

Datos/SubjectUserSid

principal.user.windows_sid

FechaNueva

Datos/Nueva fecha

target.resource.labels.key = "NewDate" valor en target.resource.attribute.labels.value

NewTime;

Datos/NewTime

target.resource.labels.key = "NewTime" valor en target.resource.labels.value

Fecha anterior

Datos/Fecha anterior

target.resource.labels.key = "PreviousDate" valor en target.resource.attribute.labels.value

Hora anterior

Datos/PreviousTime

target.resource.labels.key = "PreviousTime" valor en target.resource.labels.value

ID del evento 4618

Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = GENERIC_EVENT

TargetUserDomain.

Datos/DominioDeUsuarioDeObjetivo

target.admin_domain.

NombreDeComputadora

Datos/NombreDeComputadora

target.hostname

Nombre de usuario de destino

Datos/NombreDeUsuarioObjetivo

target.user.userid

TargetUserSid;

Datos/TargetUserSid

target.user.windows_sid;

ID del evento 4621

Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

CrashOnAuditFailValue

Data/CrashOnAuditFailValue

security_result.summary.

ID del evento 4622

Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

SecurityPackageName

Data/SecurityPackageName

target.resource.name;

ID del evento 4624

Versión 0 / Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = USER_LOGIN

security_result.action configurada como &ALT;ALLOW"

Tipo de acceso

Data/LogonType

extensions.auth.mechanism y extensions.auth.details

AsuntoDominio

Datos/NombreDominioDominio

dominio_administrador_principal

DestinoLogLogon

Data/TargetLogonId.

target.labels.key/value

WorkstationName.

Data/WorkstationName.

principal.hostname

Nombre del proceso

Datos/NombredelProceso

principal.process.command_line

ProcessId

Datos/ProcessId

principal.process.pid

AsuntoUserUser

Datos/NombredeUsuario

principal.user.userid

SubjectUserSid;

Datos/SubjectUserSid

principal.user.windows_sid

AuthenticationPackageName

Data/AuthenticationPackageName

security_result.about.resource.name

ElevatedToken

Datos/ElevatedToken

security_result.detection_fields.labels.key/value

Dirección IP

Datos/Dirección IP

src.ip

IpPort

Datos/IpPort

src.port

TargetDomainName.

Datos/NombreDeDominioObjetivo

target.admin_domain.

LogonProcessName

Data/LogonProcessName

target.process.file.full_path.

Nombre de usuario de destino

Datos/NombreDeUsuarioObjetivo

target.user.userid

TargetUserSid;

Datos/TargetUserSid

target.user.windows_sid;

ID del evento 4625

Proveedor: Microsoft-Windows-EventSystem

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = STATUS_UPDATE

param3

Datos/param3

acerca de.registro.registro_clave

Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = USER_LOGIN

security_result.category = AUTH_VIOLATION

security_result.action = BLOCK

extensions.auth.type establecido como MACHINE

Tipo de acceso

Data/LogonType

extensions.auth.mechanism y extensions.auth.details

AsuntoDominio

Datos/NombreDominioDominio

dominio_administrador_principal

SubjectLogonId;

Data/SubjectLogonId

principal.etiquetas.clave/valor

WorkstationName.

Data/WorkstationName.

principal.hostname

Nombre del proceso

Datos/NombredelProceso

principal.process.command_line

ProcessId

Datos/ProcessId

principal.process.pid

AsuntoUserUser

Datos/NombredeUsuario

principal.user.userid

SubjectUserSid;

Datos/SubjectUserSid

principal.user.windows_sid

AuthenticationPackageName

Data/AuthenticationPackageName

security_result.about.resource.name

Estado

Datos/Estado

security_result.summary.

Propagar descripción correspondiente a los códigos de estado. Formato: Status(%{Status}): %{status_description}. Si el valor es 0xc000006d, almacene el valor (la causa es un nombre de usuario incorrecto o la información de autenticación, que se indica en la tabla del documento).

Subestado

Datos/Subestado

security_result.description.

Propagar descripción correspondiente a los códigos de subestado. Formato: SubStatus(%{SubStatus}): %{sub_status_description} Si el valor es 0xc000006d, almacena el valor 'la causa es un nombre de usuario incorrecto o información de autenticación (a la que se hace referencia en la tabla del documento).'

Dirección IP

Datos/Dirección IP

src.ip

IpPort

Datos/IpPort

src.port

TargetDomainName.

Datos/NombreDeDominioObjetivo

target.admin_domain.

LogonProcessName

Data/LogonProcessName

target.process.file.full_path.

Nombre de usuario de destino

Datos/NombreDeUsuarioObjetivo

target.user.userid

TargetUserSid;

Datos/TargetUserSid

target.user.windows_sid;

ID del evento 4626

Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = USER_LOGIN

Tipo de acceso

Data/LogonType

extensions.auth.mechanism y extensions.auth.details

AsuntoDominio

Datos/NombreDominioDominio

dominio_administrador_principal

AsuntoUserUser

Datos/NombredeUsuario

principal.user.userid

SubjectUserSid;

Datos/SubjectUserSid

principal.user.windows_sid

TargetDomainName.

Datos/NombreDeDominioObjetivo

target.admin_domain.

Nombre de usuario de destino

Datos/NombreDeUsuarioObjetivo

target.user.userid

TargetUserSid;

Datos/TargetUserSid

target.user.windows_sid;

ID del evento 4627

Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = GROUP_UNCATEGORIZED

Tipo de acceso

Data/LogonType

extensions.auth.mechanism y extensions.auth.details

AsuntoDominio

Datos/NombreDominioDominio

dominio_administrador_principal

AsuntoUserUser

Datos/NombredeUsuario

principal.user.userid

SubjectUserSid;

Datos/SubjectUserSid

principal.user.windows_sid

TargetDomainName.

Datos/NombreDeDominioObjetivo

target.admin_domain.

GroupGroup

Datos/GroupGroup

target.user.group_identifiers.

Nombre de usuario de destino

Datos/NombreDeUsuarioObjetivo

target.user.userid

TargetUserSid;

Datos/TargetUserSid

target.user.windows_sid;

ID del evento 4634

Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = USER_LOGOUT

security_result.action = ALLOW

Tipo de acceso

Data/LogonType

extensions.auth.mechanism y extensions.auth.details

TargetDomainName.

Datos/NombreDeDominioObjetivo

target.admin_domain.

Nombre de usuario de destino

Datos/NombreDeUsuarioObjetivo

target.user.userid

TargetUserSid;

Datos/TargetUserSid

target.user.windows_sid;

ID del evento 4646

Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = SERVICE_START

ID del evento 4647

Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = USER_LOGOUT

TargetDomainName.

Datos/NombreDeDominioObjetivo

target.admin_domain.

Nombre de usuario de destino

Datos/NombreDeUsuarioObjetivo

target.user.userid

TargetUserSid;

Datos/TargetUserSid

target.user.windows_sid;

ID del evento 4648

Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = USER_LOGIN

security_result.action configurada como &ALT;ALLOW"

extensions.auth.mechanism definido como &USERNAME_PASSWORD"

AsuntoDominio

Datos/NombreDominioDominio

dominio_administrador_principal

Nombre del proceso

Datos/NombredelProceso

principal.process.command_line

ProcessId

Datos/ProcessId

principal.process.pid

AsuntoUserUser

Datos/NombredeUsuario

principal.user.userid

SubjectUserSid;

Datos/SubjectUserSid

principal.user.windows_sid

Dirección IP

Datos/Dirección IP

src.ip

IpPort

Datos/IpPort

src.port

TargetDomainName.

Datos/NombreDeDominioObjetivo

target.admin_domain.

Nombre de usuario de destino

Datos/NombreDeUsuarioObjetivo

target.user.userid

ID del evento 4649

Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = System_AUDIT_UNCATEGORIZED

AsuntoDominio

Datos/NombreDominioDominio

dominio_administrador_principal

LogonProcessName

Data/LogonProcessName

principal.process.command_line

AsuntoUserUser

Datos/NombredeUsuario

principal.user.userid

SubjectUserSid;

Datos/SubjectUserSid

principal.user.windows_sid

TargetDomainName.

Datos/NombreDeDominioObjetivo

target.admin_domain.

WorkstationName.

Data/WorkstationName.

target.hostname

Nombre del proceso

Datos/NombredelProceso

target.process.command_line.

ProcessId

Datos/ProcessId

target.process.pid;

Nombre de usuario de destino

Datos/NombreDeUsuarioObjetivo

target.user.userid

ID del evento 4650

Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = NETWORK_UNCATEGORIZED

NombredePrincipalLocalMM

Datos/NombrePrincipalPrincipal

principal.hostname

DirecciónDirección

Datos/DirecciónLocal

principal.ip

LocalKeyModPort

Data/LocalKeyModPort

principal.port

RemoteMMPrincipalName;

Data/RemoteMMPrincipalName;

target.hostname

RemoteAddress

Datos/Dirección remota

target.ip.

RemoteKeyModPort

Data/RemoteKeyModPort

target.port

ID del evento 4651

Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = NETWORK_UNCATEGORIZED

LocalMMIssuingCA

Datos/LocalMMIssuingCA

network.tls.client.certificate.issuer

RemoteMMIssuingCA

Datos/RemoteMMIssuingCA

network.tls.server.certificate.issuer

NombredePrincipalLocalMM

Datos/NombrePrincipalPrincipal

principal.hostname

DirecciónDirección

Datos/DirecciónLocal

principal.ip

LocalKeyModPort

Data/LocalKeyModPort

principal.port

RemoteMMPrincipalName;

Data/RemoteMMPrincipalName;

target.hostname

RemoteAddress

Datos/Dirección remota

target.ip.

RemoteKeyModPort

Data/RemoteKeyModPort

target.port

ID del evento 4652

Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = NETWORK_UNCATEGORIZED

LocalMMIssuingCA

Datos/LocalMMIssuingCA

network.tls.client.certificate.issuer

RemoteMMIssuingCA

Datos/RemoteMMIssuingCA

network.tls.server.certificate.issuer

NombredePrincipalLocalMM

Datos/NombrePrincipalPrincipal

principal.hostname

DirecciónDirección

Datos/DirecciónLocal

principal.ip

LocalKeyModPort

Data/LocalKeyModPort

principal.port

RemoteMMPrincipalName;

Data/RemoteMMPrincipalName;

target.hostname

RemoteAddress

Datos/Dirección remota

target.ip.

RemoteKeyModPort

Data/RemoteKeyModPort

target.port

ID del evento 4653

Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = NETWORK_UNCATEGORIZED

DirecciónDirección

Datos/DirecciónLocal

principal.ip

LocalKeyModPort

Data/LocalKeyModPort

principal.port

Motivo de la falla

Motivo de la falla o los datos

security_result.summary.

RemoteAddress

Datos/Dirección remota

target.ip.

RemoteKeyModPort

Data/RemoteKeyModPort

target.port

ID del evento 4654

Versión 0/Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = NETWORK_UNCATEGORIZED

Protocolo

Datos/Protocolo

network.ip_protocol

DirecciónDirección

Datos/DirecciónLocal

principal.ip

LocalPort;

Datos/LocalPort

principal.port

Motivo de la falla

Motivo de la falla o los datos

security_result.summary.

RemoteAddress

Datos/Dirección remota

target.ip.

RemotePort

Datos/RemotePort

target.port

ID del evento 4655

Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = NETWORK_UNCATEGORIZED

DirecciónDirección

Datos/DirecciónLocal

principal.ip

RemoteAddress

Datos/Dirección remota

target.ip.

ID del evento 4656

Versión 0 / Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = USER_RESOURCE_ACCESS

AsuntoDominio

Datos/NombreDominioDominio

dominio_administrador_principal

Nombre del proceso

Datos/NombredelProceso

principal.process.file.full_path

ProcessId

Datos/ProcessId

principal.process.pid

AsuntoUserUser

Datos/NombredeUsuario

principal.user.userid

SubjectUserSid;

Datos/SubjectUserSid

principal.user.windows_sid

ObjectName

Data/ObjectName

target.file.full_path (cuando ObjectType = "File")

target.process.command_line (cuando ObjectType = "Process")

Lista de acceso

Datos/Lista de acceso

target.resource.attribute.permissions.name

Lista de privilegios

Datos/Lista de privilegios

target.user.attribute.permissions.name

ID del evento 4657

Proveedor: Microsoft-Windows-Security-Auditing

Campo de NXLog

Campo Visualizador de eventos

Campo de UDM

metadata.event_type = REGISTRY_MODIFICATION

AsuntoDominio

Datos/NombreDominioDominio

dominio_administrador_principal

Nombre del proceso

Datos/NombredelProceso

principal.process.file.full_path

ProcessId

Datos/ProcessId