Recopilar datos de eventos de Microsoft Windows
Este documento tiene las siguientes características:
- se describen la arquitectura de implementación y los pasos de instalación, además de cualquier configuración necesaria que produzca registros que admita el analizador de Chronicle para eventos de Windows. Para obtener una descripción general de la transferencia de datos de Chronicle, consulta Transferencia de datos a Chronicle.
- Incluye información sobre cómo el analizador asigna campos del registro original a los campos del modelo de datos unificados de Chronicle.
La información de este documento se aplica al analizador con la etiqueta de transferencia WINEVTLOG. La etiqueta de transferencia identifica qué analizador normaliza datos de registro sin procesar en formato UDM estructurado.
Antes de comenzar
Revise la arquitectura de implementación recomendada
En este diagrama, se ilustran los componentes fundamentales recomendados en una arquitectura de implementación para recopilar y enviar datos de eventos de Microsoft Windows a Chronicle. Compara esta información con tu entorno para asegurarte de que estos componentes estén instalados. Cada implementación de cliente será diferente de esta representación y puede ser más compleja. Se requiere lo siguiente:
- Los sistemas en la arquitectura de implementación se configuran con la zona horaria UTC.
- NXLog está instalado en el servidor de Microsoft Windows del colector.
- El servidor de Microsoft Windows del colector recibe registros de los servidores, extremos y controladores de dominio.
- Sistemas de Microsoft Windows en el uso de la arquitectura de implementación
- Inicio de suscripciones iniciadas para recopilar eventos en varios dispositivos
- El servicio de WinRM está habilitado para la administración remota de sistemas.
- NXLog se instala en el servidor de ventana del colector para reenviar registros al reenviador de Chronicle.
El reenvío de Chronicle está instalado en el servidor de Microsoft Windows o Linux de colector.
Revisa los dispositivos y las versiones compatibles
El analizador de Chronicle admite registros de las siguientes versiones de servidor de Microsoft Windows. Lanzamiento de Microsoft Windows Server con las siguientes ediciones: Foundation, Essentials, Standard y Datacenter. El esquema de eventos de los registros que genera cada edición no difiere.
- Microsoft Windows Server 2019
- Microsoft Windows Server 2016
- Microsoft Windows Server 2012
El analizador de Chronicle admite registros de los sistemas cliente de Microsoft Windows 10 y versiones posteriores.
El analizador de Chronicle admite registros recopilados por la comunidad de NXLog o la edición empresarial.
Revisa los tipos de registros compatibles
El analizador de Chronicle admite los siguientes tipos de registros que generan los sistemas de Microsoft Windows. Para obtener más información sobre estos tipos de registros, consulta la documentación del registro de eventos de Microsoft Windows. Admite registros generados con texto en idioma inglés y no es compatible con registros generados en idiomas que no sean inglés.
| Tipo de registro | Notas |
|---|---|
| Security | Registros de eventos y auditoría de seguridad. |
| Aplicación | Eventos registrados por aplicaciones o programas. Si el manifiesto no está instalado de forma local, los registros de la aplicación tendrán valores faltantes o hexadecimales. |
| Sistema | Eventos registrados por los componentes del sistema de Microsoft Windows. |
Configura los servidores, los extremos y los controladores de dominio de Microsoft Windows
- Instala y configura los servidores, los extremos y los controladores de dominio.
- Configurar todos los sistemas con la zona horaria UTC
- Configurar dispositivos para reenviar registros a un servidor colectivo de Microsoft Windows
- Configura una suscripción iniciada por la fuente en el servidor de Microsoft Windows (colector). Para obtener información, consulta Cómo configurar una suscripción iniciada.
- Habilitar WinRM en servidores y clientes de Microsoft Windows Para obtener más información, consulta Instalación y configuración de la administración remota de Microsoft Windows.
Configura el servidor de colector de Microsoft Windows
Configura un servidor de colector de Microsoft Windows para recopilar desde los sistemas.
- Configura el sistema con la zona horaria UTC.
- Instala NXLog. Sigue la documentación de NXLog.
Crea un archivo de configuración para NXLog. Usa el módulo de entrada im_msvistalog para los registros del canal de seguridad del servidor de Microsoft Windows. Reemplaza los valores
<hostname>y<port>por información sobre el servidor central de Microsoft Windows o Linux. Consulta la documentación de NXLog para obtener información sobre el módulo om_tcp.define ROOT C:\Program Files (x86)\nxlog define WINDNS_OUTPUT_DESTINATION_ADDRESS <hostname> define WINDNS_OUTPUT_DESTINATION_PORT <port> define CERTDIR %ROOT%\cert define CONFDIR %ROOT%\conf define LOGDIR %ROOT%\data define LOGFILE %LOGDIR%\nxlog.log LogFile %LOGFILE% Moduledir %ROOT%\modules CacheDir %ROOT%\data Pidfile %ROOT%\data\nxlog.pid SpoolDir %ROOT%\data <Extension _json> Module xm_json </Extension> <Input windows_security_eventlog> Module im_msvistalog <QueryXML> <QueryList> <Query Id="0"> <Select Path="Application">*</Select> <Select Path="System">*</Select> <Select Path="Security">*</Select> </Query> </QueryList> </QueryXML> ReadFromLast False SavePos False </Input> <Output out_chronicle_windevents> Module om_tcp Host %WINDNS_OUTPUT_DESTINATION_ADDRESS% Port %WINDNS_OUTPUT_DESTINATION_PORT% Exec $EventTime = integer($EventTime) / 1000; Exec $EventReceivedTime = integer($EventReceivedTime) / 1000; Exec to_json(); </Output> <Route r2> Path windows_security_eventlog is set to out_chronicle_windevents </Route>Inicia el servicio de NXLog.
Configura el servidor central de Microsoft Windows o Linux
Consulta Instala y configura el reenvío en Linux o Instala y configura el reenvío en Microsoft Windows a fin de obtener información para instalarlo y configurarlo.
- Configura el sistema con la zona horaria UTC.
- Instala el reenvío de Chronicle en el servidor central de Microsoft Windows o Linux.
Configura el reenvío de Chronicle para enviar registros a Chronicle. Este es un ejemplo de configuración de reenvío.
- syslog: common: enabled: true data_type: WINEVTLOG batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10518 connection_timeout_sec: 60
Referencia de asignación de campos: campos comunes de eventos de dispositivos a campos UDM
Los siguientes campos son comunes en varios ID de eventos y se asignan de la misma manera.
| Campo de NXLog | Campo de UDM |
|---|---|
| Hora del evento | metadatos.event_timestamp |
| Nombre de host | principal.hostname |
| ID del evento | product_event_type está configurado en "%{EventID}" security_result.rule_name se establece en "EventID: %{EventID}" |
| SourceName | metadatos.product_name está configurado como "%25%7BSourceName}" metadatos.vendor está configurado como "Microsoft" |
| Categoría | about.labels.key/value |
| Canal | about.labels.key/value |
| Gravedad | Los valores asignados al campo security_result.severity son los siguientes: El valor original 0 (None) se establece en UNKNOWN_SEVERITY El valor original 1 (crítico) se establece en INFORMATIONAL El valor original 2 (error) se establece en ERROR El valor original 3 (Advertencia) se establece en ERROR El valor original 4 (informativo) se establece en INFORMATIONAL |
| ID del usuario | principal.user.windows_sid |
| ID de ExecutionProcess | principal.process.pid |
| ID del proceso | principal.process.pid |
| ProviderGuid | id de implementación de metadatos.producto |
| Número de registro | id_de_metadatos.product_log |
| NombreDelMódulo | observador.labels.key/value |
| Tipo de módulo de origen | observador.application |
| ID de actividad | security_result.detection_fields.key/value |
Referencia de asignación de campos: campo de evento del dispositivo al campo UDM por EventID
En la siguiente sección, se describe cómo se asignan los campos NXlog/EventViewer a los campos de UDM. Los datos pueden asignarse de manera diferente para diferentes ID de eventos de Microsoft Windows.
El encabezado de la sección identifica el ID del evento, además de la versión (p.ej., versión 0) y el sistema operativo (p.ej., cliente de Microsoft Windows 10), si corresponde. Es posible que haya más de una sección para un ID de evento cuando el mapa de una versión o un sistema operativo específicos son diferentes.
ID del evento 0
Proveedor: Directory Sync
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Datos |
|
security_result.summary. |
Proveedor: gupdate
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
Proveedor: hcmon
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = GENERIC_EVENT target_resource_name se configuró como target.resource.name |
ID de evento 1
Proveedor: Microsoft-Windows-FilterManager
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
Proveedor: Microsoft-Windows-Kernel-General
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
Proveedor: Microsoft-Windows-Sysmon
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = PROCESS_LAUNCH
Si EventLevelName contiene "Information" luego, security_result.severity = INFORMATIONAL |
|
EventData.Hashes |
|
Según el algoritmo de hash. MD5 configurado como target.process.file.md5 SHA256 configurado como target.process.file.sha256 SHA1 configurado como target.process.file.sha1 |
|
EventData.User. |
|
Dominio configurado como principal.administrator_domain
El nombre de usuario se estableció en principal.user.userid |
|
Descripción |
|
metadata.description |
|
Línea de comandos |
|
target.process.command_line. |
|
Image |
|
target.process.file.full_path. |
|
ParentCommandLine; |
|
target.process.parent_process.command_line |
|
ParentImage |
|
target.process.parent_process.file.full_path. |
|
ParentProcessId |
|
target.process.parent_process.pid. |
|
ProcessId |
|
target.process.pid; |
|
EventOriginId; |
|
target.process.product_specific_process_id configurado como "sysmon:%{EventOriginId}" |
Proveedor: SecurityCenter
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_START |
|
NombreDeFuente |
No disponible |
target.application. |
Proveedor: telegraf
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Datos |
|
security_result.description. |
ID del evento 2
Proveedor: MEIx64
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE
Mensaje configurado en security_result.summary |
Proveedor: SecurityCenter
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_STOP |
|
NombreDeFuente |
No disponible |
target.application. |
Proveedor: vmci
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = GENERIC_EVENT
Mensaje configurado en security_result.summary |
ID del evento 3
Versión 3 o Proveedor: Microsoft-Windows-Power-Troubleshooter
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_STARTUP |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.attribute.roles.name |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
Hora de dormir |
Datos/Hora de dormir |
target.resource.attribute.labels.key/value |
|
Hora de despertar |
Datos/WakeTime |
target.resource.attribute.labels.key/value |
|
WakeSourceType |
Datos/WakeSourceType |
target.resource.attribute.labels.key/value |
|
WakeSourceText |
Datos/WakeSourceText |
target.resource.attribute.labels.key/value |
Proveedor: Microsoft-Windows-Security-Kerberos
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Archivo |
|
target.file.full_path. |
Proveedor: Servicio de disco virtual
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
Proveedor: vmci
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
ID de evento 4
Proveedor: Microsoft-Windows-Security-Kerberos
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Servidor |
|
target.hostname |
Proveedor: Servicio de disco virtual
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Mensaje configurado como security_result.summary |
ID de evento 5
Proveedor: iScsiPrt
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = GENERIC_EVENT Mensaje configurado como security_result.summary |
Proveedor: Controlador de servicio McAfee
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED
Mensaje configurado en security_result.summary |
Proveedor: Microsoft-Windows-Search-ProfileNotify
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_MODIFICATION |
|
NombreDeFuente |
|
target.application. |
|
User |
Datos/Usuario |
target.user.userid |
ID de evento 6
Proveedor: Microsoft-Windows-CertificateServicesClient-AutoEnrollment
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
CódigoDeError |
|
security_result.summary
Formato: %{ErrorCode}-%{ErrorMsg} |
|
ErrorMsg |
|
security_result.summary
Formato: %{ErrorCode}-%{ErrorMsg} |
|
Contexto |
|
target.application. |
Proveedor: Microsoft-Windows-FilterManager
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID de evento 7
Proveedor: AdmPwd
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Si falta el nombre de host, metadatos.event_type se estableció en GENERIC_EVENT. |
|
Datos |
|
security_result.summary
Formato: "Error: %{Data}" |
ID del evento 9
Proveedor: volsnap
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
VolumeName |
|
target.file.full_path. |
ID de evento 11
Proveedor: Microsoft-Windows-Hyper-V-Netvsc
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
MiniportName |
|
target.resource.name; |
Proveedor: Microsoft-Windows-Kernel-General
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID 12 del evento
Proveedor: Microsoft-Windows-Kernel-General
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_STARTUP |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
Proveedor: Microsoft-Windows-Sysmon
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = REGISTRY_CREATION
Si EventLevelName =~ "Information" luego, security_result.severity = INFORMATIONAL |
|
EventOriginId; |
|
target.process.product_specific_process_id configurado como "sysmon: %{EventOriginId}" |
|
EventData/EventType |
|
target.Registry.register_key. |
|
EventData/TargetObject |
|
target.Registry.Registry_value_name. |
Proveedor: Microsoft-Windows-Time-Service
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
Proveedor: Microsoft-Windows-UserModePowerService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.attribute.roles.name |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
ProcessPath |
|
target.process.file.full_path. |
|
NewSchemeGuid |
|
target.resource.product_object_id |
ID de evento 13
Proveedor: Microsoft-Windows-Kernel-General
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_SHUTDOWN |
Proveedor: Microsoft-Windows-Sysmon
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = REGISTRY_MODIFICATION
Si EventLevelName =~ "Information" luego, security_result.severity = INFORMATIONAL |
|
EventOriginId; |
|
target.process.product_specific_process_id configurado como "sysmon: %{EventOriginId}" |
|
EventData/EventType |
|
target.Registry.register_key. |
|
EventData/Details |
|
target.Registry.Registry_value_data. |
Proveedor: Microsoft-Windows-CertificateServicesClient-CertEnroll
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE
|
|
Dominio |
|
dominio_administrador_principal |
|
NombreDeCuenta |
|
principal.user.userid |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
Mensaje |
|
metadata.description |
|
UserID |
|
principal.user.windows_sid |
|
Canadá |
|
about.labels.key/value |
|
CódigoDeError |
|
security_result.summary Formato: resumen => %{error_code} - %{error_message} |
Proveedor: NPS
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Datos |
|
target.ip. |
ID del evento 14
Proveedor: Microsoft-Windows-Kerberos-Key-Distribution-Center
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Si no hay campos Nombre de host o Nombre de cliente, se configura metadatos.event_type como GENERIC_EVENT. |
|
Nombredecliente |
|
principal.hostname |
|
Destino |
|
target.application. |
|
Cuenta |
|
target.hostname |
Proveedor: Microsoft-Windows-Wininit
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID de evento 15
Proveedor: disco
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED target_hostname configurado como target.hostname |
Proveedor: Microsoft-Windows-Kernel-General
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = REGISTRY_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
NewSize |
Data/NewSize |
target.file.size. |
|
HiveName; |
Datos/HiveName |
target.Registry.register_key. |
Proveedor: SecurityCenter
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
No disponible |
metadata.event_type = STATUS_UPDATE |
ID de evento 16
Proveedor: Microsoft-Windows-HAL
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
Proveedor: Microsoft-Windows-Kerberos-Key-Distribution-Center
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Si no hay campos Nombre de host o Nombre de cliente, se configura metadatos.event_type como GENERIC_EVENT. |
|
Nombredecliente |
|
principal.hostname |
|
Destino |
|
target.application. |
|
Cuenta |
|
target.hostname |
Proveedor: Microsoft-Windows-Kernel-General
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = REGISTRY_MODIFICATION |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
ProcessID |
System/ProcessID |
principal.process.pid |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
HiveName; |
Datos/HiveName |
target.Registry.register_key. |
Proveedor: Microsoft-Windows-WindowsUpdateClient
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE Mensaje configurado en metadatos.description |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID de evento 17
Proveedor: Microsoft-Windows-WHEA-Logger
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.attribute.roles.name |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
Proveedor: Microsoft-Windows-WindowsUpdateClient
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE
Categoría configurada como security_result.category_details Mensaje configurado en metadatos.description |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID 18 del evento
Proveedor: BTHUSB
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED
Mensaje configurado en security_result.summary |
Proveedor: Microsoft-Windows-Kernel-Boot
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si faltan los campos AccountName o UserID, el valor de metadatos.event_type se estableció en GENERIC_EVENT. |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID 19 del evento
Versión 0/Proveedor: Microsoft-Windows-WindowsUpdateClient
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
Categoría |
Datos/Categoría |
security_result.category_details |
Proveedor: Intel-SST-OED
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
Categoría |
|
security_result.summary. |
ID del evento 20
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED
target.application = "Servicio de registro de eventos" |
|
CódigoDeError |
Datos/ErrorCode |
security_result.summary.
Formato: Código de error: %{value} |
Proveedor: Microsoft-Windows-Kernel-Boot
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si faltan los campos AccountName o UserID, el valor de metadatos.event_type se estableció en GENERIC_EVENT. |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
Proveedor: Microsoft-Windows-WindowsUpdateClient
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
updateRevisionNumber; |
|
target.resource.attribute.labels.key/value |
|
updateTitle |
|
target.resource.name; |
|
updateGuid |
|
target.resource.product_object_id |
ID del evento 21
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED
target.application = "Servicio de registro de eventos" |
|
CódigoDeError |
Datos/ErrorCode |
security_result.summary.
Formato: Código de error: %{value} |
ID del evento 22
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED
target.application = "Servicio de registro de eventos" |
|
CódigoDeError |
Datos/ErrorCode |
security_result.summary.
Formato: Código de error: %{value} |
Proveedor: Microsoft-Windows-WindowsUpdateClient
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE
Categoría configurada como security_result.category_details Mensaje configurado en metadatos.description |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
lista de actualizaciones |
|
security_result.description. |
ID del evento 23
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED
target.application = "Servicio de registro de eventos" |
|
CódigoDeError |
Datos/ErrorCode |
security_result.summary.
Formato: Código de error: %{value} |
Proveedor: Microsoft-Windows-Kerberos-Key-Distribution-Center
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED
Mensaje configurado en security_result.summary |
ID del evento 24
Proveedor: Microsoft-Windows-Kernel-General
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 25
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED
target.application = "Servicio de registro de eventos" |
Proveedor: Microsoft-Windows-Kernel-Boot
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si faltan los campos AccountName o UserID, el valor de metadatos.event_type se estableció en GENERIC_EVENT. |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 26
Proveedor: ventana emergente de la aplicación
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.attribute.roles.name |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
Leyenda |
|
security_result.summary. |
Proveedor: Microsoft-Windows-AttestationAuthority
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_START
target.application = "Servicios de certificado de Active Directory" |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
NombreDelDC |
Datos/NombreDelDC |
target.admin_domain. |
|
CACommonName |
Datos/CACommonName |
target.user.userid |
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED
target.application = "Servicio de registro de eventos" |
Proveedor: Microsoft-Windows-Kerberos-Key-Distribution-Center
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Destino |
|
target.hostname |
|
Nombre |
|
target.user.userid |
ID del evento 27
Versión 0 / Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED
target.application = "Servicio de registro de eventos" |
|
CódigoDeError |
Datos/ErrorCode |
security_result.summary.
Formato: Código de error: %{value} |
|
NewLogFilePath; |
Data/NewLogFilePath. |
target.file.full_path. |
Proveedor: Microsoft-Windows-Kernel-Boot
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si faltan los campos AccountName o UserID, el valor de metadatos.event_type se estableció en GENERIC_EVENT. |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
Proveedor: Microsoft-Windows-WindowsUpdateClient
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE Mensaje configurado en metadatos.description |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 28
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED
target.application = "Servicio de registro de eventos" |
|
CódigoDeError |
Datos/ErrorCode |
security_result.summary.
Formato: Código de error: %{value} |
Proveedor: Microsoft-Windows-WindowsUpdateClient
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE Mensaje configurado en metadatos.description |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 29
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED
target.application = "Servicio de registro de eventos" |
|
CódigoDeError |
Datos/ErrorCode |
security_result.summary.
Formato: Código de error: %{value} |
ID del evento 30
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED
target.application = "Servicio de registro de eventos" |
|
CódigoDeError |
Datos/ErrorCode |
security_result.summary.
Formato: Código de error: %{value} |
Proveedor: Microsoft-Windows-Kernel-Boot
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
ID del evento 31
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED
target.application = "Servicio de registro de eventos" |
|
CódigoDeError |
Datos/ErrorCode |
security_result.summary.
Formato: Código de error: %{value} |
ID del evento 32
Proveedor: e1iexpress
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = GENERIC_EVENT Mensaje configurado como security_result.summary |
Proveedor: Microsoft-Windows-Kernel-Boot
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si faltan los campos AccountName o UserID, el valor de metadatos.event_type se estableció en GENERIC_EVENT. |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 33
Proveedor: volsnap
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = FILE_UNCATEGORIZED |
|
VolumeName |
|
target.file.full_path. |
|
Nombre del dispositivo |
|
target.resource.name; |
ID del evento 34
Proveedor: Oracle.xstore
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = RESOURCE_READ |
|
DBID |
|
additional.fields.key/value |
|
NombreDeFuente |
|
principal.application |
|
DATABASE_USER |
|
principal.user.uerid |
|
ACCIÓN |
|
target.process.command_line. |
ID del evento 35
Proveedor: Microsoft-Windows-Kerberos-Key-Distribution-Center
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Si no hay un campo principal.machineid, se establece metadatos.event_type como GENERIC_EVENT. |
Proveedor: Microsoft-Windows-Time-Service
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 36
Proveedor: Microsoft-Windows-Time-Service
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
Proveedor: NPS
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = NETWORK_CONNECTION
Si el campo target.ip no aparece, entonces metadatos.event_type se configuró como STATUS_UPDATE |
|
Mensaje |
|
IP configurado en target.ip |
ID del evento 37
Proveedor: Microsoft-Windows-Kerberos-Key-Distribution-Center
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Si falta el nombre de host, metadatos.event_type se estableció en GENERIC_EVENT. |
|
Nombredecliente |
|
principal.hostname |
|
Nombre del servidor |
|
target.hostname |
Proveedor: Microsoft-Windows-Kernel-Processor-Power
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.attribute.roles.name |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
Número |
Datos/Número |
target.resource.attribute.labels.key/value |
|
CapDurationInSeconds |
Data/CapDurationInSeconds |
target.resource.attribute.labels.key/value |
Proveedor: Microsoft-Windows-Time-Service
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 38
Proveedor: Microsoft-Windows-AttestationAuthority
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_STOP
target.application = "Servicios de certificado de Active Directory" |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
CACommonName |
Datos/CACommonName |
target.user.userid |
ID del evento 40
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED
target.application = "Servicio de registro de eventos" |
|
CódigoDeError |
Datos/ErrorCode |
security_result.summary.
Formato: Código de error: %{value} |
ID del evento 42
Cliente o proveedor de la versión 0 de Windows 10: Microsoft-Windows-Kernel-Power
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
versión 2 cliente de Windows 10 /
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
Motivo |
Datos/Motivo |
security_result.description. |
ID del evento 43
Proveedor: Microsoft-Windows-WindowsUpdateClient
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
updateRevisionNumber; |
Datos/updateRevisionNumber |
target.resource.attribute.labels.key/value |
|
updateTitle |
Datos/updateTitle |
target.resource.name; |
|
updateGuid |
Data/updateGuid |
target.resource.product_object_id |
ID del evento 44
Cliente de la versión 0 en Windows 10 o proveedor: Microsoft-Windows-WindowsUpdateClient
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
Categoría |
Datos/Categoría |
security_result.category_details |
ID del evento 45
Proveedor: Symantec AntiVirus
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
Datos |
|
security_result.summary. |
ID del evento 47
Proveedor: Microsoft-Windows-Time-Service
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
ErrorMessage |
|
security_result.description. |
|
ManualPeer |
|
target.ip. |
Proveedor: Microsoft-Windows-WHEA-Logger
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.attribute.roles.name |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 50
Proveedor: Microsoft-Windows-Time-Service
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
Proveedor: Ntfs
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
ID de evento 51
Proveedor: disco
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED target_hostname configurado como target.hostname |
ID de evento 55
Cliente/proveedor de la versión 0 de Windows 10: Microsoft-Windows-Kernel-Processor-Power
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
Proveedor: Ntfs
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
Resultado |
|
security_result.summary. |
ID del evento 57
Proveedor: hpqilo3
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED
Mensaje configurado en security_result.summary |
ID de evento 58
Proveedor: partmgr
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Mensaje configurado en metadatos.description |
Proveedor: volsnap
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE Mensaje configurado en metadatos.description |
ID de evento 64
Proveedor: Microsoft-Windows-CertificateServicesClient-AutoEnrollment
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Contexto |
|
target.application. |
ID de evento 75
Proveedor: Microsoft-Windows-AttestationAuthority
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED
target.application configurado como "Active Directory Certificate Services" |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
ErrorMessageText |
|
security_result.summary. |
ID de evento 80
Proveedor: ocz10xx
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Datos |
|
target.hostname |
ID de evento 81
Proveedor: hpqilo2
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
Proveedor: Microsoft-Windows- conmutaciónClustering-Client
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
ID de evento 98
Proveedor: Microsoft-Windows-Ntfs
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_HEARTBEAT |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Nombre del dispositivo |
Datos/Nombre del dispositivo |
principal.hostname |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 100
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED
target.application = "Servicio de registro de eventos" |
|
CódigoDeError |
Datos/ErrorCode |
security_result.summary.
Formato: Código de error: %{value} |
Proveedor: Microsoft-Windows-TaskScheduler
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SCHEDULED_TASK_ENABLE
target.resource.resource_type = TAREA |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
Nombre de tarea |
Datos/NombreDeLaTarea |
target.resource.name; |
|
ID de instancia |
Data/InstanceId |
target.resource.product_object_id |
ID del evento 101
Proveedor: Política del grupo de Administración de aplicaciones
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED security_result.description" configurada como "ErrorCode - %{error_code}" |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 102
Proveedor: ESENT
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED Si no se incluye el campo target.process, se configurará metadatos.event_type como GENERIC_EVENT |
|
Mensaje |
|
Extraer el PID y asignarlo al campo target.process.pid de UDM |
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED
target.application = "Servicio de registro de eventos" |
|
ProcessID |
Datos/ProcessID |
principal.process.pid |
|
CódigoDeError |
Datos/ErrorCode |
security_result.summary.
Formato: Código de error: %{value} |
ID del evento 103
Proveedor: Política del grupo de Administración de aplicaciones
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED security_result.description" configurada como "ErrorCode - %{error_code}" |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
Proveedor: ESENT
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED Si no se incluye el campo target.process, se configurará metadatos.event_type como GENERIC_EVENT |
|
Mensaje |
Sistema/Mensaje |
Extraer el PID y asignarlo al campo target.process.pid de UDM |
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Motivo |
Datos/Motivo |
security_result.description. |
Proveedor: ocz10xx
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Datos |
|
target.hostname |
ID del evento 104
cliente/proveedor de Windows 10: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_WIPE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
Windows 2019 Server /
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
Proveedor: Microsoft-Windows-Reenvío
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = USER_RESOURCE_ACCESS |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
SubscriptionManagerAddress |
Data/SubscriptionManagerAddress |
target.url. |
Proveedor: WudfUsbccidDriver
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.attribute.roles.name |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 105
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Canal |
Datos/Canal |
security_result.description. |
|
BackupPath |
Data/BackupPath |
target.file.full_path. |
Proveedor: Microsoft-Windows-Kernel-Power
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
Proveedor: VMTools
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_START |
|
NombreDeFuente |
No disponible |
target.application. |
ID del evento 106
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID del evento 107
Cliente o proveedor de la versión 0 de Windows 10: Microsoft-Windows-Kernel-Power
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED
target.application = "Servicio de registro de eventos" |
|
CódigoDeError |
Datos/ErrorCode |
security_result.summary.
Formato: Código de error: %{value} |
Proveedor: Microsoft-Windows-TaskScheduler
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SCHEDULED_TASK_ENABLE
target.resource.resource_type = TAREA |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
Nombre de tarea |
Datos/NombreDeLaTarea |
target.resource.name; |
|
ID de instancia |
Data/InstanceId |
target.resource.product_object_id |
ID del evento 108
Proveedor: Política del grupo de Administración de aplicaciones
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED security_result.description" configurada como "ErrorCode - %{error_code}" |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
Proveedor: VMTools
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_STOP |
|
NombreDeFuente |
No disponible |
target.application. |
ID del evento 109
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED
target.application = "Servicio de registro de eventos" |
|
ProcessID |
Datos/ProcessID |
principal.process.pid |
|
CódigoDeError |
Datos/ErrorCode |
security_result.summary.
Formato: Código de error: %{value} |
Proveedor: Microsoft-Windows-Kernel-Power
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_SHUTDOWN |
|
Motivo del cierre |
Datos/Motivo del cierre |
security_result.description. |
ID del evento 110
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID del evento 111
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID del evento 112
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID del evento 115
Proveedor: Directory Sync
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Datos |
|
security_result.summary. |
ID del evento 129
Proveedor: Microsoft-Windows-TaskScheduler
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SCHEDULED_TASK_ENABLE
target.resource.resource_type = TAREA |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
Prioridad |
Datos/Prioridad |
security_result.priority_details |
|
Ruta de acceso |
Datos/ruta de acceso |
target.process.file.full_path. |
|
ProcessID |
Datos/ProcessID |
target.process.pid; |
|
Nombre de tarea |
Datos/NombreDeLaTarea |
target.resource.name; |
Proveedor: Microsoft-Windows-Time-Service
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
ErrorMessage |
Datos/ErrorMessage |
security_result.description. |
ID del evento 130
Proveedor: Microsoft-Windows-Kernel-Power
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID del evento 131
Proveedor: Microsoft-Windows-Kernel-Power
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
Proveedor: Microsoft-Windows-Time-Service
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
ErrorMessage |
Datos/ErrorMessage |
security_result.description. |
|
Dominio de par |
Datos/DomainPeer |
target.admin_domain. |
ID del evento 134
Proveedor: Microsoft-Windows-Time-Service
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
ErrorMessage |
Datos/ErrorMessage |
security_result.description. |
|
Dominio de par |
Datos/DomainPeer |
target.admin_domain. |
ID del evento 137
Proveedor: Microsoft-Windows-Kernel-Power
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
Proveedor: Ntfs
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
ID del evento 138
Proveedor: Microsoft-Windows-Time-Service
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
Dominio de par |
Datos/DomainPeer |
target.admin_domain. |
ID del evento 139
Proveedor: Microsoft-Windows-Time-Service
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 140
Proveedor: Microsoft-Windows-Ntfs
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Nombre del dispositivo |
|
principal.hostname |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
Proveedor: Microsoft-Windows-TaskScheduler
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SCHEDULED_TASK_MODIFICATION
target.resource.resource_type = TAREA |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
Nombre de tarea |
Datos/NombreDeLaTarea |
target.resource.name; |
|
Nombre de usuario |
Datos/Nombre de usuario |
target.user.user_display_name |
ID del evento 142
Proveedor: Microsoft-Windows-Time-Service
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED
Mensaje configurado en security_result.summary |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 143
Proveedor: Microsoft-Windows-Time-Service
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 146
Proveedor: Microsoft-Windows-Time-Service
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Mensaje configurado como security_result.summary |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 153
Proveedor: disco
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED
Mensaje configurado en security_result.summary |
Proveedor: Microsoft-Windows-Kernel-Boot
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si faltan los campos AccountName o UserID, el valor de metadatos.event_type se estableció en GENERIC_EVENT. |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID de evento 157
Proveedor: disco
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Mensaje configurado como security_result.summary |
ID de evento 158
Proveedor: disco
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED
Mensaje configurado en security_result.summary target_url configurado como target.url |
Proveedor: Microsoft-Windows-Time-Service
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
Proveedordehoras |
|
target.resource.name; |
ID del evento 172
Proveedor: Microsoft-Windows-Kernel-Power
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
Motivo |
Datos/Motivo |
security_result.description. |
ID del evento 200
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
Proveedor: Microsoft-Windows-TaskScheduler
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SCHEDULED_TASK_ENABLE
target.resource.resource_type = TAREA |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
Nombre de tarea |
Datos/NombreDeLaTarea |
target.resource.name; |
|
TaskInstanceId |
Data/TaskInstanceId |
target.resource.product_object_id |
ID del evento 201
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
Proveedor: Microsoft-Windows-TaskScheduler
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SCHEDULED_TASK_UNCATEGORIZED
target.resource.resource_type = TAREA |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
Nombre de tarea |
Datos/NombreDeLaTarea |
target.resource.name; |
|
TaskInstanceId |
Data/TaskInstanceId |
target.resource.product_object_id |
ID del evento 202
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID del evento 203
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID del evento 204
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID del evento 205
Servidor de la versión 0 de Windows 2019 / Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
AsuntoDominio |
Datos/NombreDominioDominio |
dominio_administrador_principal |
|
AsuntoUserUser |
Datos/NombredeUsuario |
principal.user.userid |
|
SubjectUserSid; |
Datos/SubjectUserSid |
principal.user.windows_sid |
|
Nombre de dominio |
Datos/NombreDeDominio |
target.admin_domain. |
ID del evento 219
Proveedor: Microsoft-Windows-Kernel-PnP
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.attribute.roles.name |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
DriverName |
|
target.hostname |
|
NombreFailure |
|
target.resource.name; |
ID del evento 225
Proveedor: Microsoft-Windows-Kernel-PnP
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.attribute.roles.name |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
DeviceInstance |
|
target.hostname |
|
Nombre del proceso |
|
target.process.file.full_path. |
ID del evento 233
Proveedor: Microsoft-Windows-Hyper-V-VmSwitch
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
ID del evento 234
Proveedor: Microsoft-Windows-Hyper-V-VmSwitch
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
ID del evento 238
Proveedor: Microsoft-Windows-Kernel-Boot
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si faltan los campos AccountName o UserID, el valor de metadatos.event_type se estableció en GENERIC_EVENT. |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 258
Proveedor: VMUpgradeHelper
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
NombreDeFuente |
No disponible |
target.application. |
ID de evento 260
Proveedor: VMUpgradeHelper
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
NombreDeFuente |
No disponible |
target.application. |
ID del evento 271
Proveedor: VMUpgradeHelper
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
NombreDeFuente |
No disponible |
target.application. |
ID del evento 272
Proveedor: VMUpgradeHelper
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
NombreDeFuente |
No disponible |
target.application. |
ID del evento 299
Proveedor: Auditoría de AD FS
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 300
Proveedor: ESENT
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED Si no se incluye el campo target.process, se configurará metadatos.event_type como GENERIC_EVENT
Extraer el PID y asignarlo a target.process.pid |
ID del evento 301
Proveedor: ESENT
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED Si no se incluye el campo target.process, se configurará metadatos.event_type como GENERIC_EVENT
Extraer el PID y asignarlo a target.process.pid |
ID del evento 302
Proveedor: ESENT
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED Si no se incluye el campo target.process, se configurará metadatos.event_type como GENERIC_EVENT
Extraer el PID y asignarlo a target.process.pid |
ID del evento 325
Proveedor: ESENT
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED Si no se incluye el campo target.process, se configurará metadatos.event_type como GENERIC_EVENT
Extraer el PID y asignarlo a target.process.pid |
ID del evento 326
Proveedor: ESENT
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED Si no se incluye el campo target.process, se configurará metadatos.event_type como GENERIC_EVENT
Extraer el PID y asignarlo a target.process.pid |
ID del evento 403
Proveedor: Auditoría de AD FS
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Datos_9 |
|
network.http.user_agent |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Datos_8 |
|
principal.ip |
|
Datos_7 |
|
principal.port |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
Datos_3 |
|
target.ip. |
|
Datos_5 |
|
target.url. |
ID del evento 404
Proveedor: Auditoría de AD FS
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
Datos_3 |
|
security_description definida como %{Data_3}: %{Data_4} |
|
Datos_4 |
|
security_description definida como %{Data_3}: %{Data_4} |
ID del evento 405
Proveedor: ADSync
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Datos |
|
dominio_administrador_principal |
|
Datos_1 |
|
principal.user.userid |
ID del evento 410
Proveedor: Auditoría de AD FS
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Datos_4 |
|
network.http.user_agent |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
Datos_10 |
|
target.ip. |
|
Datos_8 |
|
target.url. |
ID del evento 412
Proveedor: Auditoría de AD FS
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 424
Proveedor: Auditoría de AD FS
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE
client_certificate_serial configurado en network.tls.client.certificate.serial client_certificate_subject establecido en network.tls.client.certificate.subject |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID de evento 500
Proveedor: Auditoría de AD FS
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 501
Proveedor: Auditoría de AD FS
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 506
Proveedor: Microsoft-Windows-Kernel-Power
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE security_result.description. |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
ID del evento 507
Proveedor: Microsoft-Windows-Kernel-Power
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE reason_description configurado como security_result.description |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
ID del evento 508
Proveedor: ESENT
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED Si no se incluye el campo target.process, se configurará metadatos.event_type como GENERIC_EVENT Extraer el PID y asignarlo a target.process.pid |
ID del evento 510
Proveedor: Auditoría de AD FS
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Datos_1 |
|
Data_1.Host configurado como target.hostname Data_1.User-Agent configurado como network.http.user_agent Data_1.X-MS-Endpoint-Absolute-Path configurado en target.url |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 517
Proveedor: Microsoft-Windows-DFSN-Server
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
UserID |
|
principal.user.windows_sid |
|
Espacio de nombres de Dfs |
|
target.resource.name; |
ID del evento 521
Proveedor: Seguridad
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
ID del evento 529
Proveedor: Seguridad
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = USER_LOGIN
security_result.action = BLOCK security_result.category = AUTH_VIOLATION |
|
Tipo de acceso |
No disponible |
extensions.auth.mechanism |
|
Mensaje |
No disponible |
nombredeusuario establecido como target.user.userid dominio configurado como target.admin_domain target_workstation configurado como target.hostname |
ID de evento 600
Proveedor: PowerShell
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
|
Categoría |
|
metadata.description |
|
NombreDeFuente |
|
principal.application |
|
HostApplication asociado |
|
target.file.full_path. |
|
NombreDelProveedor |
|
target.resource.name; |
ID del evento 601
Proveedor: Directory Sync
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. metadata.description = Intenta instalar un servicio |
|
AsuntoUserUser |
|
principal.user.userid |
|
Resumen |
|
security_result.summary. |
|
Nombre del servicio |
|
target.process.command_line. |
|
NombreArchivodelServicio |
|
target.process.file.full_path. |
ID del evento 642
Proveedor: ESENT
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED Si no se incluye el campo target.process, se configurará metadatos.event_type como GENERIC_EVENT
Extraer el PID y asignarlo a target.process.pid |
ID de evento 653
Proveedor: Directory Sync
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Datos |
|
security_result.summary. |
ID de evento 654
Proveedor: Directory Sync
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Datos |
|
security_result.summary. |
ID de evento 663
Proveedor: Directory Sync
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Datos |
|
security_result.summary. |
ID de evento 700
Proveedor: ISAM de NTDS
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED
Si faltan los campos Nombre de host o MessageSourceAddress, se estableció metadatos.event_type como GENERIC_EVENT. |
|
MessageSourceAddress |
|
principal.ip |
ID de evento 701
Proveedor: ISAM de NTDS
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED
Si faltan los campos Nombre de host o MessageSourceAddress, se estableció metadatos.event_type como GENERIC_EVENT. |
|
MessageSourceAddress |
|
principal.ip |
ID de evento 719
Proveedor: Microsoft-Windows-TaskScheduler
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
Categoría |
Datos/Categoría |
security_result.category_details |
ID de evento 781
Proveedor: Microsoft-Windows-Complus
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
param3 |
Datos/param3 |
target.Registry.register_key. |
ID de evento 800
Proveedor: PowerShell
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = GENERIC_EVENT
metadata.description configurado como "Ejecución de canalización"
security_result.summary configurado en "Canalización de ejecución de la canalización para la línea de comandos |
|
NombreDeFuente |
|
principal.application |
|
UserId |
|
principal.user.userid |
|
HostApplication asociado |
|
target.file.full_path. |
ID de evento 888
Proveedor: top_5
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
ID 900 del evento
Proveedor: Microsoft-Windows-Security-SPP
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
No disponible |
metadata.event_type = SERVICE_START
target.application = "Protección de software" |
ID del evento 902
Proveedor: Microsoft-Windows-Security-SPP
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
No disponible |
metadata.event_type = SERVICE_START
target.application = "Protección de software" |
ID del evento 903
Proveedor: Microsoft-Windows-Security-SPP
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
No disponible |
metadata.event_type = SERVICE_STOP
target.application = "Protección de software" |
ID del evento 904
Proveedor: Directory Sync
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Datos |
|
security_result.summary. |
ID del evento 1001
Proveedor: Microsoft Antimalware
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED target_resource_product_object_id configurado como target.resource.product_object_id |
Proveedor: Microsoft-Windows-WER-SystemErrorReporting
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
param2 |
|
target.file.full_path. |
Proveedor: NoSQL
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE Mensaje configurado como security_result.summary |
Proveedor: Windows Error Reporting
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
No disponible |
metadata.event_type = STATUS_UPDATE |
ID de evento 1003
Proveedor: Microsoft-Windows-Search
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_START |
|
Categoría |
Datos/Categoría |
target.application. |
Proveedor: Microsoft-Windows-Security-SPP
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID de evento 1004
Proveedor: IPMIDRV
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Datos |
|
target.hostname |
Proveedor: Microsoft-Windows-Search
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_MODIFICATION |
|
Motivo |
Datos/Motivo |
security_result.description. |
|
Categoría |
Datos/Categoría |
target.application. |
Proveedor: NoSQL
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
Proveedor: TdIca
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED
target_ip configurado como target.ip target_port configurado en target_port |
ID de evento 1005
Proveedor: Microsoft-Windows-Search
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_MODIFICATION |
|
Categoría |
Datos/Categoría |
target.application. |
ID del evento 1007
Proveedor: TdIca
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED
target_ip configurado como target.ip target_port configurado en target_port |
ID del evento 1008
Proveedor: Microsoft-Windows-Perflib
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
EventoXML.param1 |
|
target.application. |
|
EventXML.param2. |
|
target.file.full_path. |
Proveedor: Microsoft-Windows-Search
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_START |
|
Motivo |
Datos/Motivo |
security_result.description. |
|
Categoría |
Datos/Categoría |
target.application. |
ID del evento 1010
Proveedor: Microsoft-Windows-Search
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_MODIFICATION |
|
Categoría |
Datos/Categoría |
target.application. |
ID del evento 1013
Proveedor: Microsoft-Windows-Search
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_STOP |
|
Categoría |
Datos/Categoría |
target.application. |
ID del evento 1016
Proveedor: Microsoft-Windows-Security-SPP
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
No disponible |
metadata.event_type = STATUS_UPDATE |
ID del evento 1023
Proveedor: Microsoft-Windows-Perflib
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
Biblioteca |
Datos/Biblioteca |
target.file.full_path. |
ID del evento 1030
Proveedor: Microsoft-Windows-GroupPolicy
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
ErrorDescription (Descripción del error) |
|
security_result.description. |
|
CódigoDeError |
|
security_result.summary
Formato: ErrorCode - %{ErrorErrorCode} |
|
NombreDelDC |
|
target.admin_domain. |
ID del evento 1033
Proveedor: MsiInstaller
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE Extraiga el nombre de product_name y mapee a target.application |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 1034
Proveedor: Microsoft-Windows-Security-SPP
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
No disponible |
metadata.event_type = STATUS_UPDATE |
ID del evento 1037
Proveedor: Microsoft-Windows-Security-SPP
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
ID del evento 1040
Proveedor: MsiInstaller
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE Extraer el process_id y asignarlo a target.process.pid |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 1042
Proveedor: MsiInstaller
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE Extraer el process_id y asignarlo a target.process.pid |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 1053
Proveedor: Microsoft-Windows-GroupPolicy
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
ErrorDescription (Descripción del error) |
Datos/ErrorDescription |
security_result.description. |
ID de evento 1054
Proveedor: Microsoft-Windows-GroupPolicy
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
ErrorDescription (Descripción del error) |
Datos/ErrorDescription |
security_result.description. |
ID de evento 1055
Proveedor: Microsoft-Windows-GroupPolicy
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
ErrorDescription (Descripción del error) |
Datos/ErrorDescription |
security_result.description. |
|
CódigoDeError |
Datos/ErrorCode |
security_result.summary
Formato: ErrorCode - %{ErrorErrorCode} |
ID de evento 1056
Proveedor: Microsoft-Windows-TerminalServices-RemoteConnectionManager
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = GENERIC_EVENT server_certificate_subject establecido en network.tls.server.certificate.subject |
ID del evento 1057
Proveedor: Microsoft-Windows- conmutaciónClustering
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED
target.resource_resource_type = DATABASE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 1058
Proveedor: Microsoft-Windows-GroupPolicy
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
ErrorDescription (Descripción del error) |
Datos/ErrorDescription |
security_result.description. |
|
NombreDelDC |
Datos/NombreDelDC |
target.admin_domain. |
|
FilePath |
Data/FilePath |
target.file.full_path. |
ID de evento 1064
Proveedor: Microsoft-Windows-TerminalServices-RemoteConnectionManager
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = GENERIC_EVENT security_result.summary. |
ID de evento 1066
Proveedor: Microsoft-Windows-Security-SPP
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
No disponible |
metadata.event_type = GENERIC_EVENT |
ID del evento 1067
Proveedor: Microsoft-Windows-TerminalServices-RemoteConnectionManager
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
ID del evento 1069
Proveedor: Microsoft-Windows- conmutaciónClustering
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
Grupo de recursos |
|
target.group.group_display_name |
|
ResourceName |
|
target.resource.name; |
ID del evento 1073
Proveedor: User32
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_SHUTDOWN |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.attribute.roles.name |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
param1 |
Datos/param1 |
target.hostname |
|
param2 |
Datos/param2 |
target.user.userid |
ID del evento 1074
Proveedor: User32
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_SHUTDOWN |
Proveedor: USER32
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_SHUTDOWN
target_process_file_full_path configurado como target.process.file.full_path target_hostname configurado como target.hostname |
Proveedor: User32
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
Dominio |
|
dominio_administrador_principal |
Proveedor: USER32
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
Proveedor: User32
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
param2 |
Datos/param2 |
principal.hostname |
|
param1 |
Datos/param1 |
principal.process.file.full_path |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
Proveedor: USER32
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
Proveedor: User32
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
UserID |
|
principal.user.windows_sid |
|
param3 |
Datos/param3 |
security_result.description. |
|
param7 |
Datos/param7 |
target.user.userid |
ID de evento 1076
Proveedor: User32
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID de evento 1085
Proveedor: Microsoft-Windows-GroupPolicy
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
ErrorDescription (Descripción del error) |
Datos/ErrorDescription |
security_result.description. |
|
CódigoDeError |
Datos/ErrorCode |
security_result.summary.
Formato: ErrorCode: %{value} |
|
NombreDelDC |
Datos/NombreDelDC |
target.admin_domain. |
ID de evento 1100
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_STOP
target.application = "Servicio de registro de eventos" |
ID del evento 1101
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID del evento 1102
Proveedor: Auditoría de AD FS
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED
target_ip configurado en target.ip
target_url configurado como target.url
client_certificate_serial configurado en network.tls.client.certificate.serial client_certificate_subject establecido en network.tls.client.certificate.subject |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
Proveedor: Replicación de DFS
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_WIPE |
|
|
AsuntoDominio |
dominio_administrador_principal |
|
|
AsuntoUserUser |
principal.user.userid |
|
|
SubjectUserSid; |
principal.user.windows_sid |
ID del evento 1103
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID del evento 1104
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID de evento 1105
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
AutoBackup.BackupPath |
Data/BackupPath |
target.file.full_path. |
ID del evento 1106
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Motivo |
Datos/Motivo |
security_result.description. |
ID del evento 1107
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED
target.application = "Servicio de registro de eventos" |
|
ProcessID |
Datos/ProcessID |
principal.process.pid |
|
CódigoDeError |
Datos/ErrorCode |
security_result.summary.
Formato: Código de error: %{value} |
ID del evento 1108
Proveedor: Microsoft-Windows-Eventlog
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID del evento 1112
Proveedor: Microsoft-Windows-GroupPolicy
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
ErrorDescription (Descripción del error) |
|
security_result.description. |
|
CódigoDeError |
|
security_result.summary
Formato: ErrorCode - %{ErrorErrorCode} |
|
NombreDelDC |
|
target.admin_domain. |
|
NombreDeExtensión |
|
target.resource.name; |
|
ExtensionId |
|
target.resource.product_object_id |
ID de evento 1126
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
|
Datos_1 |
|
security_result.summary configurado en "Error: %{Data_1} - %{Data_2}" |
|
Datos_2 |
|
security_result.summary configurado en "Error: %{Data_1} - %{Data_2}" |
ID de evento 1128
Proveedor: Microsoft-Windows-GroupPolicy
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
NombreDeExtensión |
|
target.resource.name; |
|
ExtensionId |
|
target.resource.product_object_id |
ID del evento 1129
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
Proveedor: Microsoft-Windows-GroupPolicy
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
ErrorDescription (Descripción del error) |
Datos/ErrorDescription |
security_result.description. |
ID del evento 1134
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
ID de evento 1150
Proveedor: Microsoft Antimalware
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED platform_version se estableció en principal.asset.platform_software.platform_version |
ID de evento 1162
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
ID del evento 1173
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
ID del evento 1196
Proveedor: Microsoft-Windows- conmutaciónClustering
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.attribute.roles.name |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
EstadoString |
|
security_result.summary. |
|
ResourceName |
|
target.resource.name; |
ID del evento 1205
Proveedor: Microsoft-Windows- conmutaciónClustering
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
Grupo de recursos |
|
target.group.group_display_name |
ID del evento 1213
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
ID del evento 1216
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Datos_3 |
|
security_result.description. |
|
Datos |
|
security_result.summary.
Formato: "Código de error - %{Data}" |
ID del evento 1226
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
ID del evento 1254
Proveedor: Microsoft-Windows- conmutaciónClustering
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
Grupo de recursos |
|
target.group.group_display_name |
ID del evento 1257
Proveedor: Microsoft-Windows- conmutaciónClustering
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
DNSZone |
|
about.labels.key/value |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
Grupo de recursos |
|
target.group.group_display_name |
ID del evento 1307
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
ID del evento 1311
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
ID del evento 1317
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
ID de evento 1500
Proveedor: Microsoft-Windows-GroupPolicy
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
NombreDelDC |
Datos/NombreDelDC |
target.admin_domain. |
ID de evento 1501
Proveedor: Microsoft-Windows-GroupPolicy
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID de evento 1502
Proveedor: Microsoft-Windows-GroupPolicy
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
NombreDelDC |
Datos/NombreDelDC |
target.admin_domain. |
ID de evento 1503
Proveedor: Microsoft-Windows-GroupPolicy
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
NombreDelDC |
Datos/NombreDelDC |
target.admin_domain. |
ID de evento 1531
Proveedor: Microsoft-Windows-User Profiles Service
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_START |
|
Dominio |
No disponible |
dominio_administrador_principal |
|
NombreDeCuenta |
No disponible |
principal.user.userid |
|
UserID |
No disponible |
principal.user.windows_sid |
|
NombreDeFuente |
No disponible |
target.application. |
ID de evento 1532
Proveedor: Microsoft-Windows-User Profiles Service
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_STOP |
|
Dominio |
No disponible |
dominio_administrador_principal |
|
NombreDeCuenta |
No disponible |
principal.user.userid |
|
UserID |
No disponible |
principal.user.windows_sid |
|
NombreDeFuente |
No disponible |
target.application. |
ID de evento 1535
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
|
Datos |
|
security_result.description. |
ID de evento 1564
Proveedor: Microsoft-Windows- conmutaciónClustering
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = RESOURCE_READ |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
CompartirNombre |
|
target.resource.name; |
ID de evento 1566
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
ID de evento 1573
Proveedor: Microsoft-Windows- conmutaciónClustering
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID de evento 1593
Proveedor: Microsoft-Windows- conmutaciónClustering
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = RESOURCE_READ
target.resource_resource_type = DATABASE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
DatabaseFilePath . |
|
target.file.full_path. |
ID de evento 1643
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
ID de evento 1644
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
ID de evento 1645
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
ID de evento 1653
Proveedor: Microsoft-Windows- conmutaciónClustering
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID de evento 1699
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
|
Datos_4 |
|
security_result.summary set "Error Code - %{Data_4}" |
ID de evento 1704
Proveedor: SceCli
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
ProcessId |
|
principal.process.pid |
|
Mensaje |
|
security_result.summary. |
ID de evento 1865
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
ID de evento 1925
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
ID de evento 1955
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
ID de evento 2000
Proveedor: Microsoft Antimalware
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE
current_signature_version configurada como target.resource.attribute.labels.key/value previous_signature_version] configurado como target.resource.attribute.labels.key/value |
ID de evento 2001
Proveedor: Microsoft Antimalware
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Datos_14 |
|
security_result.summary. |
|
Datos_17 |
|
target.url. |
Proveedor: ISAM de NTDS
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED
Si faltan los campos Nombre de host o MessageSourceAddress, se estableció metadatos.event_type como GENERIC_EVENT. |
|
MessageSourceAddress |
|
principal.ip |
ID de evento 2004
Proveedor: Microsoft-Windows-Resource-Exhaustion-Detector
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.attribute.roles.name |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 2041
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
ID del evento 2042
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
ID del evento 2053
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
ID de evento 2065
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
ID del evento 2085
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
MessageSourceAddress |
|
principal.ip |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
ID del evento 2089
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
ID del evento 2108
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
|
Datos_3 |
|
security_result.summary configurado en "Error: %{Data_4} - %{Data_3}" |
|
Datos_4 |
|
security_result.summary configurado en "Error: %{Data_4} - %{Data_3}" |
ID del evento 2811
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
ID del evento 2887
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
ID del evento 2889
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
ID del evento 2896
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
|
Datos_1 |
|
security_result.summary configurado en "Error: %{Data_1} - %{Data_2}" |
|
Datos_2 |
|
security_result.summary configurado en "Error: %{Data_1} - %{Data_2}" |
ID del evento 2904
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
ID del evento 2946
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
ID del evento 2947
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Datos_2 |
|
principal.ip |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
|
Datos_3 |
|
security_result.summary set & &Error: ErrorDataData33 |
ID del evento 2974
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
|
Datos_2 |
|
security_result.summary set "Error Code - %{Data_2}" |
ID del evento 3040
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
ID del evento 3041
Proveedor: Microsoft-Windows-ActiveDirectory_DomainService
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED Si no hay ningún campo de nombre de host, metadatos.event_type se configuró en GENERIC_EVENT. |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.attribute.roles.name |
|
NombreDeCuenta |
|
principal.user.userid |
|
UserID |
|
principal.user.windows_sid |
ID del evento 3072
Proveedor: agentes agentes
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
ID del evento 3096
Proveedor: NETLOGON
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE Mensaje configurado como security_result.summary |
ID del evento 3260
Proveedor: Workstation
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID del evento 3261
Proveedor: Workstation
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID del evento 4000
Cliente o proveedor de la versión 0 de Windows 10: Microsoft-Windows-Diagnostics-Networking
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 4003
Proveedor: Microsoft-Windows-WLAN-AutoConfig
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.attribute.roles.name |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
CódigoDeError |
Datos/ErrorCode |
security_result.summary
Formato: %{ErrorCode}-%{ErrorMsg} |
ID del evento 4005
Proveedor: Microsoft-Windows-GroupPolicy
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.attribute.roles.name |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
ReasonForSyncProcessing |
Data/ReasonForSyncProcessing |
security_result.summary. |
|
PrincipalNombredelSam |
Datos/PrincipalSamName |
target.hostname |
|
PolicyActivityId |
Data/PolicyActivityId. |
target.resource.product_object_id |
ID del evento 4006
Proveedor: Microsoft-Windows-GroupPolicy
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
PrincipalNombredelSam |
Datos/PrincipalSamName |
target.hostname |
|
PolicyActivityId |
Data/PolicyActivityId. |
target.resource.product_object_id |
ID del evento 4016
Proveedor: Microsoft-Windows-GroupPolicy
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
DescripciónString |
Datos/DescripciónString |
security_result.description. |
|
CSEExtensionName; |
Datos/CSEExtensionName |
target.resource.name; |
|
CSEExtensionId |
Datos/CSEExtensionId |
target.resource.product_object_id |
ID del evento 4017
Proveedor: Microsoft-Windows-GroupPolicy
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
Descripción de la operación |
Datos/OperaciónDescripción |
security_result.description. |
ID del evento 4096
Proveedor: NetJoin
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = NETWORK_CONNECTION |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
Nombre de dominio |
Datos/NombreDeDominio |
target.admin_domain. |
|
NombreDeComputadora |
Datos/NombreDeComputadora |
target.hostname |
ID del evento 4097
Proveedor: Microsoft-Windows-CAPI2
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
No disponible |
metadata.event_type = STATUS_UPDATE |
Proveedor: NetJoin
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = NETWORK_CONNECTION |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
|
NetStatusCode |
Datos/NetStatusCode |
security_result.description. |
|
Nombre de dominio |
Datos/NombreDeDominio |
target.admin_domain. |
|
NombreDeComputadora |
Datos/NombreDeComputadora |
target.hostname |
ID del evento 4100
Proveedor: Microsoft-Windows-Diagnostics-Networking
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 4103
Versión 1/Proveedor: Microsoft-Windows-PowerShell
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_START |
|
Dominio |
|
dominio_administrador_principal |
|
Tipo de cuenta |
|
principal.user.role_description |
|
NombreDeCuenta |
|
principal.user.role_name |
|
UserID |
|
principal.user.windows_sid |
|
Categoría |
|
security_result.summary. |
|
ComandoNombre |
|
target.application. |
|
NombreDeGuion |
|
target.file.full_path. |
|
HostApplication asociado |
|
target.process.command_line. target.process.file.full_path. |
ID del evento 4104
Proveedor: Microsoft-Windows-PowerShell
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_START |
|
Dominio |
|
dominio_administrador_principal |
|
UserID |
|
principal.user.windows_sid |
|
Categoría |
|
security_result.summary. |
|
NombreDeFuente |
|
target.application. |
ID del evento 4108
Proveedor: Microsoft-Windows-CAPI2
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
No disponible |
metadata.event_type = STATUS_UPDATE
Extraiga información del campo Mensaje y asígnela a network.tls.client.certificate |
ID del evento 4109
Proveedor: Microsoft-Windows-CAPI2
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
No disponible |
metadata.event_type = STATUS_UPDATE
Extraiga información del campo Mensaje y asígnela a network.tls.client.certificate |
ID del evento 4111
Proveedor: Microsoft-Windows-MSDTC
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_STOP |
|
NombreDeFuente |
No disponible |
target.application. |
ID del evento 4112
Proveedor: Microsoft-Windows-CAPI2
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
No disponible |
metadata.event_type = STATUS_UPDATE |
ID del evento 4113
Proveedor: Microsoft-Windows-CAPI2
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
No disponible |
metadata.event_type = STATUS_UPDATE |
ID del evento 4115
Proveedor: Microsoft-Windows-GroupPolicy
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 4116
Proveedor: Microsoft-Windows-GroupPolicy
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 4117
Proveedor: Microsoft-Windows-GroupPolicy
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 4126
Proveedor: Microsoft-Windows-GroupPolicy
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 4199
Proveedor: Tcpip
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Datos |
Datos/Datos |
principal.ip |
|
Datos_1 |
Datos/Datos_1 |
target.mac. |
ID del evento 4200
Proveedor: Microsoft-Windows-Iphlpsvc
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.userid |
|
Interfaz |
|
target_resource_product_object_id configurado como target.resource.product_object_id |
|
Dirección |
|
target.ip. |
ID del evento 4202
Proveedor: Microsoft-Windows-MSDTC 2
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_START |
|
NombreDeFuente |
No disponible |
target.application. |
|
param9 |
Datos/param9 |
target.user.userid |
ID del evento 4227
Proveedor: Tcpip
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = GENERIC_EVENT
Mensaje configurado en security_result.summary |
ID del evento 4230
Proveedor: Tcpip
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
ID del evento 4257
Proveedor: Microsoft-Windows-GroupPolicy
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_LOG_UNCATEGORIZED |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 4319
Proveedor: NetBT
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID del evento 4321
Proveedor: NetBT
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = NETWORK_CONNECTION |
|
Datos |
Datos/Datos |
principal.hostname y principal.port |
|
Datos_1 |
Datos/Datos_1 |
principal.ip |
|
Datos_2 |
Datos/Datos_2 |
target.ip. |
ID del evento 4326
Proveedor: Microsoft-Windows-GroupPolicy
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Dominio |
Sistema/Dominio |
dominio_administrador_principal |
|
Tipo de cuenta |
System/AccountType |
principal.user.role_description |
|
NombreDeCuenta |
Nombre del sistema o la cuenta |
principal.user.role_name |
|
UserID |
Sistema/UserID |
principal.user.windows_sid |
ID del evento 4400
Proveedor: NPS
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Datos_1 |
|
dominio_administrador_principal |
ID del evento 4608
Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_STARTUP |
ID del evento 4609
Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_SHUTDOWN |
ID del evento 4610
Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
AuthenticationPackageName |
Data/AuthenticationPackageName |
target.resource.name; |
ID del evento 4611
Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = PROCESS_UNCATEGORIZED |
|
AsuntoDominio |
Datos/NombreDominioDominio |
dominio_administrador_principal |
|
AsuntoUserUser |
Datos/NombredeUsuario |
principal.user.userid |
|
SubjectUserSid; |
Datos/SubjectUserSid |
principal.user.windows_sid |
|
LogonProcessName |
Data/LogonProcessName |
target.process.command_line. |
ID del evento 4612
Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID del evento 4614
Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
NotificationPackageName. |
Data/NotificationPackageName. |
target.resource.name; |
ID del evento 4615
Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_UNCATEGORIZED |
|
AsuntoDominio |
Datos/NombreDominioDominio |
dominio_administrador_principal |
|
Nombre del proceso |
Datos/NombredelProceso |
principal.process.command_line |
|
ProcessId |
Datos/ProcessId |
principal.process.pid |
|
AsuntoUserUser |
Datos/NombredeUsuario |
principal.user.userid |
|
SubjectUserSid; |
Datos/SubjectUserSid |
principal.user.windows_sid |
ID del evento 4616
Versión 0/Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SETTING_MODIFICATION
target.resource.resource_type configurado como SETTING |
|
AsuntoDominio |
Datos/NombreDominioDominio |
dominio_administrador_principal |
|
Nombre del proceso |
Datos/NombredelProceso |
principal.process.file.full_path |
|
ProcessId |
Datos/ProcessId |
principal.process.pid |
|
AsuntoUserUser |
Datos/NombredeUsuario |
principal.user.userid |
|
SubjectUserSid; |
Datos/SubjectUserSid |
principal.user.windows_sid |
versión 1 /
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
AsuntoDominio |
Datos/NombreDominioDominio |
dominio_administrador_principal |
|
Nombre del proceso |
Datos/NombredelProceso |
principal.process.file.full_path |
|
ProcessId |
Datos/ProcessId |
principal.process.pid |
|
AsuntoUserUser |
Datos/NombredeUsuario |
principal.user.userid |
|
SubjectUserSid; |
Datos/SubjectUserSid |
principal.user.windows_sid |
|
FechaNueva |
Datos/Nueva fecha |
target.resource.labels.key = "NewDate" valor en target.resource.attribute.labels.value |
|
NewTime; |
Datos/NewTime |
target.resource.labels.key = "NewTime" valor en target.resource.labels.value |
|
Fecha anterior |
Datos/Fecha anterior |
target.resource.labels.key = "PreviousDate" valor en target.resource.attribute.labels.value |
|
Hora anterior |
Datos/PreviousTime |
target.resource.labels.key = "PreviousTime" valor en target.resource.labels.value |
ID del evento 4618
Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
|
TargetUserDomain. |
Datos/DominioDeUsuarioDeObjetivo |
target.admin_domain. |
|
NombreDeComputadora |
Datos/NombreDeComputadora |
target.hostname |
|
Nombre de usuario de destino |
Datos/NombreDeUsuarioObjetivo |
target.user.userid |
|
TargetUserSid; |
Datos/TargetUserSid |
target.user.windows_sid; |
ID del evento 4621
Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
CrashOnAuditFailValue |
Data/CrashOnAuditFailValue |
security_result.summary. |
ID del evento 4622
Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
SecurityPackageName |
Data/SecurityPackageName |
target.resource.name; |
ID del evento 4624
Versión 0 / Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = USER_LOGIN security_result.action configurada como &ALT;ALLOW" |
|
Tipo de acceso |
Data/LogonType |
extensions.auth.mechanism y extensions.auth.details |
|
AsuntoDominio |
Datos/NombreDominioDominio |
dominio_administrador_principal |
|
DestinoLogLogon |
Data/TargetLogonId. |
target.labels.key/value |
|
WorkstationName. |
Data/WorkstationName. |
principal.hostname |
|
Nombre del proceso |
Datos/NombredelProceso |
principal.process.command_line |
|
ProcessId |
Datos/ProcessId |
principal.process.pid |
|
AsuntoUserUser |
Datos/NombredeUsuario |
principal.user.userid |
|
SubjectUserSid; |
Datos/SubjectUserSid |
principal.user.windows_sid |
|
AuthenticationPackageName |
Data/AuthenticationPackageName |
security_result.about.resource.name |
|
ElevatedToken |
Datos/ElevatedToken |
security_result.detection_fields.labels.key/value |
|
Dirección IP |
Datos/Dirección IP |
src.ip |
|
IpPort |
Datos/IpPort |
src.port |
|
TargetDomainName. |
Datos/NombreDeDominioObjetivo |
target.admin_domain. |
|
LogonProcessName |
Data/LogonProcessName |
target.process.file.full_path. |
|
Nombre de usuario de destino |
Datos/NombreDeUsuarioObjetivo |
target.user.userid |
|
TargetUserSid; |
Datos/TargetUserSid |
target.user.windows_sid; |
ID del evento 4625
Proveedor: Microsoft-Windows-EventSystem
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
param3 |
Datos/param3 |
acerca de.registro.registro_clave |
Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = USER_LOGIN
security_result.category = AUTH_VIOLATION
security_result.action = BLOCK
extensions.auth.type establecido como MACHINE |
|
Tipo de acceso |
Data/LogonType |
extensions.auth.mechanism y extensions.auth.details |
|
AsuntoDominio |
Datos/NombreDominioDominio |
dominio_administrador_principal |
|
SubjectLogonId; |
Data/SubjectLogonId |
principal.etiquetas.clave/valor |
|
WorkstationName. |
Data/WorkstationName. |
principal.hostname |
|
Nombre del proceso |
Datos/NombredelProceso |
principal.process.command_line |
|
ProcessId |
Datos/ProcessId |
principal.process.pid |
|
AsuntoUserUser |
Datos/NombredeUsuario |
principal.user.userid |
|
SubjectUserSid; |
Datos/SubjectUserSid |
principal.user.windows_sid |
|
AuthenticationPackageName |
Data/AuthenticationPackageName |
security_result.about.resource.name |
|
Estado |
Datos/Estado |
security_result.summary.
Propagar descripción correspondiente a los códigos de estado. Formato: Status(%{Status}): %{status_description}. Si el valor es 0xc000006d, almacene el valor (la causa es un nombre de usuario incorrecto o la información de autenticación, que se indica en la tabla del documento). |
|
Subestado |
Datos/Subestado |
security_result.description. Propagar descripción correspondiente a los códigos de subestado. Formato: SubStatus(%{SubStatus}): %{sub_status_description} Si el valor es 0xc000006d, almacena el valor 'la causa es un nombre de usuario incorrecto o información de autenticación (a la que se hace referencia en la tabla del documento).' |
|
Dirección IP |
Datos/Dirección IP |
src.ip |
|
IpPort |
Datos/IpPort |
src.port |
|
TargetDomainName. |
Datos/NombreDeDominioObjetivo |
target.admin_domain. |
|
LogonProcessName |
Data/LogonProcessName |
target.process.file.full_path. |
|
Nombre de usuario de destino |
Datos/NombreDeUsuarioObjetivo |
target.user.userid |
|
TargetUserSid; |
Datos/TargetUserSid |
target.user.windows_sid; |
ID del evento 4626
Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = USER_LOGIN |
|
Tipo de acceso |
Data/LogonType |
extensions.auth.mechanism y extensions.auth.details |
|
AsuntoDominio |
Datos/NombreDominioDominio |
dominio_administrador_principal |
|
AsuntoUserUser |
Datos/NombredeUsuario |
principal.user.userid |
|
SubjectUserSid; |
Datos/SubjectUserSid |
principal.user.windows_sid |
|
TargetDomainName. |
Datos/NombreDeDominioObjetivo |
target.admin_domain. |
|
Nombre de usuario de destino |
Datos/NombreDeUsuarioObjetivo |
target.user.userid |
|
TargetUserSid; |
Datos/TargetUserSid |
target.user.windows_sid; |
ID del evento 4627
Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = GROUP_UNCATEGORIZED |
|
Tipo de acceso |
Data/LogonType |
extensions.auth.mechanism y extensions.auth.details |
|
AsuntoDominio |
Datos/NombreDominioDominio |
dominio_administrador_principal |
|
AsuntoUserUser |
Datos/NombredeUsuario |
principal.user.userid |
|
SubjectUserSid; |
Datos/SubjectUserSid |
principal.user.windows_sid |
|
TargetDomainName. |
Datos/NombreDeDominioObjetivo |
target.admin_domain. |
|
GroupGroup |
Datos/GroupGroup |
target.user.group_identifiers. |
|
Nombre de usuario de destino |
Datos/NombreDeUsuarioObjetivo |
target.user.userid |
|
TargetUserSid; |
Datos/TargetUserSid |
target.user.windows_sid; |
ID del evento 4634
Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = USER_LOGOUT
security_result.action = ALLOW |
|
Tipo de acceso |
Data/LogonType |
extensions.auth.mechanism y extensions.auth.details |
|
TargetDomainName. |
Datos/NombreDeDominioObjetivo |
target.admin_domain. |
|
Nombre de usuario de destino |
Datos/NombreDeUsuarioObjetivo |
target.user.userid |
|
TargetUserSid; |
Datos/TargetUserSid |
target.user.windows_sid; |
ID del evento 4646
Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = SERVICE_START |
ID del evento 4647
Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = USER_LOGOUT |
|
TargetDomainName. |
Datos/NombreDeDominioObjetivo |
target.admin_domain. |
|
Nombre de usuario de destino |
Datos/NombreDeUsuarioObjetivo |
target.user.userid |
|
TargetUserSid; |
Datos/TargetUserSid |
target.user.windows_sid; |
ID del evento 4648
Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = USER_LOGIN
security_result.action configurada como &ALT;ALLOW"
extensions.auth.mechanism definido como &USERNAME_PASSWORD" |
|
AsuntoDominio |
Datos/NombreDominioDominio |
dominio_administrador_principal |
|
Nombre del proceso |
Datos/NombredelProceso |
principal.process.command_line |
|
ProcessId |
Datos/ProcessId |
principal.process.pid |
|
AsuntoUserUser |
Datos/NombredeUsuario |
principal.user.userid |
|
SubjectUserSid; |
Datos/SubjectUserSid |
principal.user.windows_sid |
|
Dirección IP |
Datos/Dirección IP |
src.ip |
|
IpPort |
Datos/IpPort |
src.port |
|
TargetDomainName. |
Datos/NombreDeDominioObjetivo |
target.admin_domain. |
|
Nombre de usuario de destino |
Datos/NombreDeUsuarioObjetivo |
target.user.userid |
ID del evento 4649
Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = System_AUDIT_UNCATEGORIZED |
|
AsuntoDominio |
Datos/NombreDominioDominio |
dominio_administrador_principal |
|
LogonProcessName |
Data/LogonProcessName |
principal.process.command_line |
|
AsuntoUserUser |
Datos/NombredeUsuario |
principal.user.userid |
|
SubjectUserSid; |
Datos/SubjectUserSid |
principal.user.windows_sid |
|
TargetDomainName. |
Datos/NombreDeDominioObjetivo |
target.admin_domain. |
|
WorkstationName. |
Data/WorkstationName. |
target.hostname |
|
Nombre del proceso |
Datos/NombredelProceso |
target.process.command_line. |
|
ProcessId |
Datos/ProcessId |
target.process.pid; |
|
Nombre de usuario de destino |
Datos/NombreDeUsuarioObjetivo |
target.user.userid |
ID del evento 4650
Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = NETWORK_UNCATEGORIZED |
|
NombredePrincipalLocalMM |
Datos/NombrePrincipalPrincipal |
principal.hostname |
|
DirecciónDirección |
Datos/DirecciónLocal |
principal.ip |
|
LocalKeyModPort |
Data/LocalKeyModPort |
principal.port |
|
RemoteMMPrincipalName; |
Data/RemoteMMPrincipalName; |
target.hostname |
|
RemoteAddress |
Datos/Dirección remota |
target.ip. |
|
RemoteKeyModPort |
Data/RemoteKeyModPort |
target.port |
ID del evento 4651
Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = NETWORK_UNCATEGORIZED |
|
LocalMMIssuingCA |
Datos/LocalMMIssuingCA |
network.tls.client.certificate.issuer |
|
RemoteMMIssuingCA |
Datos/RemoteMMIssuingCA |
network.tls.server.certificate.issuer |
|
NombredePrincipalLocalMM |
Datos/NombrePrincipalPrincipal |
principal.hostname |
|
DirecciónDirección |
Datos/DirecciónLocal |
principal.ip |
|
LocalKeyModPort |
Data/LocalKeyModPort |
principal.port |
|
RemoteMMPrincipalName; |
Data/RemoteMMPrincipalName; |
target.hostname |
|
RemoteAddress |
Datos/Dirección remota |
target.ip. |
|
RemoteKeyModPort |
Data/RemoteKeyModPort |
target.port |
ID del evento 4652
Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = NETWORK_UNCATEGORIZED |
|
LocalMMIssuingCA |
Datos/LocalMMIssuingCA |
network.tls.client.certificate.issuer |
|
RemoteMMIssuingCA |
Datos/RemoteMMIssuingCA |
network.tls.server.certificate.issuer |
|
NombredePrincipalLocalMM |
Datos/NombrePrincipalPrincipal |
principal.hostname |
|
DirecciónDirección |
Datos/DirecciónLocal |
principal.ip |
|
LocalKeyModPort |
Data/LocalKeyModPort |
principal.port |
|
RemoteMMPrincipalName; |
Data/RemoteMMPrincipalName; |
target.hostname |
|
RemoteAddress |
Datos/Dirección remota |
target.ip. |
|
RemoteKeyModPort |
Data/RemoteKeyModPort |
target.port |
ID del evento 4653
Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = NETWORK_UNCATEGORIZED |
|
DirecciónDirección |
Datos/DirecciónLocal |
principal.ip |
|
LocalKeyModPort |
Data/LocalKeyModPort |
principal.port |
|
Motivo de la falla |
Motivo de la falla o los datos |
security_result.summary. |
|
RemoteAddress |
Datos/Dirección remota |
target.ip. |
|
RemoteKeyModPort |
Data/RemoteKeyModPort |
target.port |
ID del evento 4654
Versión 0/Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = NETWORK_UNCATEGORIZED |
|
Protocolo |
Datos/Protocolo |
network.ip_protocol |
|
DirecciónDirección |
Datos/DirecciónLocal |
principal.ip |
|
LocalPort; |
Datos/LocalPort |
principal.port |
|
Motivo de la falla |
Motivo de la falla o los datos |
security_result.summary. |
|
RemoteAddress |
Datos/Dirección remota |
target.ip. |
|
RemotePort |
Datos/RemotePort |
target.port |
ID del evento 4655
Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = NETWORK_UNCATEGORIZED |
|
DirecciónDirección |
Datos/DirecciónLocal |
principal.ip |
|
RemoteAddress |
Datos/Dirección remota |
target.ip. |
ID del evento 4656
Versión 0 / Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = USER_RESOURCE_ACCESS |
|
AsuntoDominio |
Datos/NombreDominioDominio |
dominio_administrador_principal |
|
Nombre del proceso |
Datos/NombredelProceso |
principal.process.file.full_path |
|
ProcessId |
Datos/ProcessId |
principal.process.pid |
|
AsuntoUserUser |
Datos/NombredeUsuario |
principal.user.userid |
|
SubjectUserSid; |
Datos/SubjectUserSid |
principal.user.windows_sid |
|
ObjectName |
Data/ObjectName |
target.file.full_path (cuando ObjectType = "File") target.process.command_line (cuando ObjectType = "Process") |
|
Lista de acceso |
Datos/Lista de acceso |
target.resource.attribute.permissions.name |
|
Lista de privilegios |
Datos/Lista de privilegios |
target.user.attribute.permissions.name |
ID del evento 4657
Proveedor: Microsoft-Windows-Security-Auditing
|
Campo de NXLog |
Campo Visualizador de eventos |
Campo de UDM |
|
|
|
metadata.event_type = REGISTRY_MODIFICATION |
|
AsuntoDominio |
Datos/NombreDominioDominio |
dominio_administrador_principal |
|
Nombre del proceso |
Datos/NombredelProceso |
principal.process.file.full_path |
|
ProcessId |
Datos/ProcessId |
|