Esta página proporciona una referencia estructurada de los campos de metadatos de seguridad de red utilizados en toda la Vectra AI . Define atributos de esquema comunes, campos de conectividad de capa de sesión, telemetría específica de protocolo (DNS, HTTP, SMB, LDAP, etc.), metadatos de autenticación (Kerberos, NTLM, RADIUS), atributos de coincidencia de capa de detección y huellas digitales de comunicación cifrada (SSL/TLS, SSH, X.509). Estos flujos de metadatos normalizados permiten el análisis del comportamiento, la correlación entre dominios y la visibilidad del tráfico cifrado sin necesidad de capturar paquetes completos. En conjunto, constituyen la base para la observabilidad escalable de la red y la investigación de la seguridad en entornos empresariales híbridos.
Estos flujos de metadatos normalizados admiten la búsqueda de amenazas, el enriquecimiento de metadatos y el análisis forense de metadatos al permitir el análisis del comportamiento, la correlación entre dominios y la visibilidad del tráfico cifrado, sin necesidad de capturar paquetes completos. Juntos, forman la base para la observabilidad y la investigación escalables de la red en entornos empresariales híbridos.
Campos de metadatos de red comunes en todos los flujos de telemetría (excepto DHCP)
Estos campos aparecen en casi todos los flujos de metadatos y definen el esquema de conexión compartido que se utiliza en todos los tipos de metadatos. Capturan identificadores de origen y de respuesta, puertos, nombres de host, indicadores de localidad, atribución de sensores, marcas de tiempo y un UID de conexión estable.
| Campo |
Descripción |
| id.ip_ver* | Versión IP |
| id.orig_h | Dirección IP del punto final de origen |
| id.orig_p | Puerto TCP/UDP del punto final de origen |
| id.resp_h | Dirección IP del punto final de respuesta |
| id.resp_p | Puerto TCP/UDP del punto final de respuesta |
| local_orig | Booleano que indica si la conexión se originó localmente. |
| respuesta local | Booleano que indica si la conexión fue respondida localmente. |
| nombre_host_original* | Nombre de host del punto final de origen |
| orig_huid* | Identificador único del host de origen si es local. |
| orig_sluid* | Identificador único para la sesión del host de origen. |
| nombre_host_resp* | Nombre de host del punto final de respuesta |
| resp_huid* | Identificador único para el host que responde si es local. |
| resp_sluid* | Identificador único para la sesión del host que responde si es local. |
| uid_sensor | Identificador único del sensor Vectra que observó el tráfico subyacente que generó el registro de metadatos. |
| ts | Marca de tiempo en la que se genera el registro de metadatos. Se presenta en formato de fecha (por ejemplo, 9 de mayo de 2018, 10:09:25.366). |
| uid | Identificador único de conexión |
Trate estos campos como claves de unión de referencia. Sirven de base para los flujos de trabajo de enriquecimiento de metadatos, ya que permiten vincular los registros de protocolo, autenticación y detección a la misma sesión y entidad. En la búsqueda de amenazas y el análisis forense de metadatos, esta coherencia permite un pivote fiable entre las capas de telemetría.
La mayoría de las tablas de protocolo que siguen amplían este esquema al tiempo que heredan este contexto compartido. Esto preserva la integridad de la atribución y la continuidad de la sesión en los flujos de metadatos de la red.
Campos de metadatos de balizas y patrones de comunicación conductual
Los metadatos de baliza describen la comunicación repetida entre un origen y un destino a lo largo de múltiples sesiones. Los campos siguientes recogen el identificador de baliza, los límites de tiempo, el recuento de sesiones, el volumen de bytes por dirección, el contexto del protocolo/servicio y las huellas digitales del cliente utilizadas para resumir el patrón.
El análisis de balizas se utiliza con frecuencia en la búsqueda de amenazas para identificar devoluciones de llamada de comando y control, bucles de automatización y comunicaciones salientes persistentes. En lugar de inspeccionar los paquetes, los analistas se basan en tipos de metadatos que describen la periodicidad y la coherencia.
|
| Campo | Descripción |
|---|
| tipo_baliza | El tipo de baliza. El tipo «single_resp_multiple_sessions» indica una baliza a un destino que comprende varias sesiones. |
| beacon_uid | El identificador único (uid) de la baliza. |
| duración | Duración total del BeaconUid |
| hora_del_primer_evento | Marca de tiempo de la primera sesión observada para este beacon_uid |
| ja3 | Hash Ja3 del cliente basado en los parámetros SSL del cliente. |
| hora_del_último_evento | Marca de tiempo de la última sesión observada para este beacon_uid |
| bytes_ip_originales | Total de bytes enviados desde el emisor al receptor para este beacon_uid. |
| proto | Valor del protocolo L4. 6 es TCP, 17 es UDP. |
| nombre_proto | Nombre del protocolo L4 (TCP o UDP) |
| dominios_resp | Los dominios de respuesta en este evento |
| bytes_resp_ip | Total de bytes enviados desde el respondedor al originador para este beacon_uid |
| servicio | Servicio (por ejemplo, «http» o «tls») |
| recuento_de_sesiones | El número de sesiones que componen el beacon_uid. |
| uid | El identificador único de la primera conexión para el evento de baliza notificado. |
| ts | Marca de tiempo en la que se genera el registro de metadatos. Se presenta en formato de fecha (por ejemplo, 9 de mayo de 2018, 10:09:25.366). |
| uid | Identificador único de conexión |
Utilice estos campos para evaluar la duración, la frecuencia y el volumen direccional. A continuación, pase a los metadatos DNS, HTTP o SSL/TLS para obtener un contexto de comportamiento más profundo durante el análisis forense de metadatos.
Deje de buscar el «qué» detrás de las detecciones de red.
La señalización es solo una señal de comportamiento. Cuando se activan metadatos de red sospechosos, los analistas aún necesitan comprender qué proceso o identidad del punto final lo inició. Sin esa conexión, las investigaciones se estancan.
Ver correlación de procesos de punto final
Campos de metadatos DCE-RPC y atributos de llamada a procedimiento remoto
Los metadatos DCE-RPC capturan el comportamiento de las llamadas a procedimientos remotos que suelen asociarse con la administración de Windows y la interacción de servicios. Estos campos codifican el contexto del dominio, la resolución de los puntos finales, las operaciones invocadas, la atribución del nombre de usuario y la sincronización de las solicitudes y respuestas.
En la búsqueda de amenazas, los metadatos DCE-RPC ayudan a detectar secuencias de ejecución remota anómalas y patrones de uso de privilegios sin necesidad de registros de terminales.
|
| Campo | Descripción |
|---|
| dominio* | Dominio del host |
| punto final | Nombre del punto final buscado a partir del uuid (por ejemplo, IXnRemote, IWbemLoginClientID) |
| nombre de host* | Nombre del host en el que el usuario inició sesión. |
| operación | Operación vista en la llamada (por ejemplo, «RemoteCreateInstance»). |
| rtt | Tiempo de ida y vuelta de la solicitud - respuesta |
| nombre de usuario* | Nombre de usuario o nombre de cuenta con el que se ha iniciado sesión. Los nombres que terminan en «$» son nombres de máquinas (no nombres de cuentas de usuario). |
Utilice nombres de operaciones y el contexto de nombre de usuario/host para distinguir los flujos de trabajo administrativos rutinarios de la actividad de movimiento lateral durante el análisis forense de metadatos.
Campos de metadatos DHCP y atributos de configuración de red
Los metadatos DHCP registran las asignaciones dinámicas de direcciones y configuraciones que colocan los dispositivos en la red. Estos tipos de metadatos vinculan las direcciones IP asignadas con las direcciones MAC y los nombres de host, al tiempo que registran la duración del arrendamiento y la atribución del servidor DHCP/DNS.
Dado que la rotación de direcciones IP complica la investigación, los registros DHCP proporcionan metadatos esenciales para mantener la continuidad de la atribución.
|
| Campo | Descripción |
|---|
| ip_asignada | IP asignada en respuesta |
| dhcp_server_ip* | Dirección IP del servidor DHCP |
| servidor_dns_ips* | Direcciones IP del servidor DNS de las opciones DHCP. Opción DHCP 6 |
| tiempo_de_arrendamiento | Tiempo de concesión DHCP. Opción DHCP 51 |
| mac | Dirección MAC en la solicitud |
| nombre_host_original* | Nombre de host de las opciones DHCP. Opción DHCP 12 |
| trans_id | Identificador de transacción |
| ts | Marca de tiempo en la que se genera el registro de metadatos. Se presenta en formato de fecha (por ejemplo, 9 de mayo de 2018, 10:09:25.366). |
| uid | Identificador único de conexión |
Utilice los campos DHCP para estabilizar las investigaciones cuando cambien las direcciones IP, fijando la identidad a los atributos a nivel de dispositivo en lugar de a direcciones efímeras.
Campos de metadatos DNS y atributos de respuesta a consultas
Los metadatos DNS representan el comportamiento de resolución de dominios, incluyendo la intención de la consulta, el manejo de la recursividad, los códigos de respuesta, los indicadores de truncamiento, los valores TTL y el recuento de registros.
Los metadatos de la red DNS son fundamentales para la búsqueda de amenazas, ya que revelan la infraestructura de preparación, los cambios de dominio, el reconocimiento y los intentos fallidos de devolución de llamada sin necesidad de inspeccionar la carga útil.
Los metadatos DNS permiten ver:
- ¿Qué dominios se consultaron y quién los consultó?
- Si se solicitó o estaba disponible la recursividad.
- Cómo se devolvieron las respuestas autorizadas
- ¿Qué códigos de respuesta y valores TTL se observaron?
|
| Campo | Descripción |
|---|
| AA | Respuesta autoritativa. Verdadero si el servidor es autoritativo para la consulta. |
| respuestas† | Lista de respuestas a la consulta |
| auth | Lista de respuestas autorizadas para la consulta |
| proto | Protocolo de transacción DNS: 6 (para TCP) o 17 (para UDP) |
| qclass / nombre_qclass | Valor que especifica la clase de consulta (por ejemplo, 1 / Internet [IN]). |
| qtype / qtype_name | valor del tipo de consulta / nombre descriptivo (por ejemplo, A, AAAA, PTR, TXT) |
| consulta† | Nombre de dominio objeto de la consulta |
| RA | Recursividad disponible. Verdadero si el servidor admite consultas recursivas. |
| RD | Recursividad deseada. Verdadero si se solicita la búsqueda recursiva de la consulta. |
| rcode / nombre_rcode | Valor del código de respuesta en la respuesta DNS (por ejemplo, NXDOMAIN, NODATA) |
| rechazado | La consulta DNS fue rechazada por el servidor. |
| consulta_saw | Si se ha visto la consulta DNS completa. |
| ver_respuesta | Si se ha visto la respuesta DNS completa. |
| TC | Indicador de truncamiento. Verdadero si el mensaje fue truncado. |
| TTL | Lista de TTL de las respuestas |
| total_respuestas | El número total de registros de recursos en la sección de respuesta de un mensaje de respuesta. |
| total_respuestas | El número total de registros de recursos en las secciones «respuesta», «autoridad» y «adicionales» de un mensaje de respuesta. |
| trans_id | Identificador de 16 bits asignado por el cliente DNS. |
Utilice el análisis forense de metadatos DNS para interpretar la intención y el resultado, qué se consultó, qué se devolvió y si la resolución falló, y luego pase a los metadatos TLS o HTTP para ampliar el análisis.
Campos de metadatos HTTP y atributos de sesión web
Los metadatos HTTP resumen el comportamiento de la capa web sin almacenar cargas completas. Estos campos capturan el contexto derivado del encabezado, los métodos, los URI, los indicadores de reenvío de proxy, los atributos de huellas digitales y las métricas direccionales de bytes/paquetes.
En las investigaciones de metadatos de red, los campos HTTP proporcionan contexto de la capa de aplicación para la búsqueda de amenazas, incluyendo transferencias de archivos sospechosas, devoluciones de llamada programadas y estructuras de encabezado anómalas.
|
| Campo | Descripción |
|---|
| aceptar | Valor del encabezado Accept en la solicitud, si está presente, truncado a 256 bytes. |
| aceptar_codificación | Valor del encabezado Accept-Encoding en la solicitud, si está presente, truncado a 256 bytes. |
| cookie* | Valor del encabezado de la cookie, truncado a 256 bytes. |
| cookie_vars* | Las variables en el campo cookie, sin los valores. |
| anfitrión | Valor del encabezado Host, truncado a 256 bytes. |
| host_multihomed* | Atributo booleano que indica si se observa que la dirección en el encabezado del host está asociada con una o más direcciones IP. |
| is_proxied* | Valor booleano indicativo de una solicitud proxy. |
| ja4h | La huella digital JA4H del cliente HTTP |
| método | Método de solicitud HTTP |
| orig_ip_bytes* | Bytes enviados por el remitente al destinatario |
| tipos_mime_originales | Encabezado de tipo de contenido en la solicitud del remitente |
| orig_pkts* | Número de paquetes enviados desde el emisor al receptor. |
| post_data | Binary data of the POST request body. Truncated to 2k size |
| representado | Valor del encabezado x-forwarded-for (por ejemplo, X-FORWARDED-FOR -> 10.10.15.192) |
| remitente | Valor del encabezado Referrer, truncado a 256 bytes. |
| longitud_del_cuerpo_de_la_solicitud | Bytes de carga útil HTTP en la solicitud |
| solicitar_control_de_caché* | Valor del encabezado Cache-Control en la solicitud, si está presente, truncado a 256 bytes. |
| recuento_de_encabezados_de_solicitud* | Recuento de encabezados en la solicitud |
| nombre_archivo_respuesta | El nombre del archivo devuelto por el servidor (si lo hay). |
| resp_ip_bytes* | Bytes enviados por el respondedor al originador |
| tipos_mime_resp | Valor del encabezado Content-Type en la respuesta, truncado a 256 bytes. |
| resp_pkts* | Número de paquetes enviados desde el respondedor al originador. |
| longitud_del_cuerpo_de_la_respuesta | Bytes de carga útil HTTP en la respuesta |
| control_de_caché_de_respuesta* | Valor del encabezado Cache-Control en la respuesta, si está presente, truncado a 256 bytes. |
| respuesta_contenido_disposición | El valor del encabezado Content-Disposition (especifica los nombres de los archivos que se descargarán como adjuntos, por ejemplo, «attachment; filename="filename.jpg"»). |
| respuesta_caduca* | Caduca el encabezado en la respuesta, si está presente. |
| recuento_de_encabezados_de_respuesta* | Recuento de encabezados en la respuesta |
| código_de_estado | El código de estado en la respuesta HTTP |
| mensaje_estado | El mensaje de estado correspondiente al código de estado. |
| uri | URI utilizado en la solicitud, truncado a 512 bytes. |
| agente_de_usuario | Valor del encabezado User-Agent del cliente |
Utilice metadatos HTTP para reconstruir el comportamiento web y, a continuación, correlacione los tipos de metadatos DNS y TLS para confirmar la identidad del destino y las características de cifrado.
Metadatos de conectividad de iSession y atributos de red a nivel de sesión
Los metadatos de iSession definen el modelo de sesión normalizado utilizado en todos los protocolos. Capturan el estado de la conexión, la confianza direccional, los marcadores de tiempo, las variantes de huellas digitales, el contexto VLAN y los recuentos direccionales de bytes/paquetes.
Esta abstracción de la capa de sesión permite el enriquecimiento escalable de metadatos mediante la estandarización de la representación de los metadatos de red, independientemente del protocolo.
|
| Campo | Descripción |
|---|
| solicitud | Aplicaciones asociadas a esta sesión |
| client_luid_proxy | True if the source address of the connection has been learned as a proxy |
| estado_conexión | Estado de conexión. Admite los siguientes valores: S0, S1, SF, REJ, S2, S3, RSTO, RSTR, RSTOS0, RSTRH, SH, SHR u OTH. |
| confianza_dir | Confianza en la asignación cliente/servidor de 0 a 100 |
| duración | Duración de la conexión en ms |
| primer_paquete_de_datos_respuesta_original* | Codificación Base64 de los primeros 16 bytes del paquete desde el emisor hasta el receptor, representada como una cadena. |
| tiempo_del_primer_paquete_de_datos_de_respuesta_original* | Marca de tiempo del primer paquete de datos enviado por el remitente al destinatario. |
| tiempo_de_respuesta_original_primero* | Marca de tiempo del primer paquete desde el remitente hasta el destinatario. |
| primer_resp_datos_originales_pkt* | Codificación Base64 de los primeros 16 bytes del paquete desde el respondedor al originador, representada como una cadena. |
| tiempo_de_respuesta_original_primero* | Marca de tiempo del primer paquete enviado por el destinatario al remitente. |
| tiempo_de_envío_del_paquete_de_datos_original_de_primera_respuesta* | Marca de tiempo del primer paquete de datos enviado por el respondedor al originador. |
| ja4lc | La huella digital JA4LC de la distancia de luz del cliente |
| ja4ls | La huella digital JA4LS de la distancia luminosa del servidor |
| ja4t | La huella digital JA4T del paquete TCP SYN del cliente. |
| ja4ts | La huella digital JA4TS de los paquetes TCP SYN ACK del servidor. |
| bytes_ip_originales | Bytes enviados desde el remitente al destinatario. |
| orig_pkts | Número de paquetes enviados desde el emisor al receptor. |
| id_vlan_original* | VLAN_id del originador, si lo hay |
| proto | Valor del protocolo L4. 6 es TCP, 17 es UDP. |
| nombre_proto | Nombre del protocolo L4 (TCP, UDP o ICMP) |
| proxy_to_internal_dst | True if effective destination after proxy is internal IP |
| resp_dominio* | Calculado a partir de TLS SNI, HTTP Host o el nombre IP de destino (en este orden exacto) |
| bytes_resp_ip | Bytes enviados desde el respondedor al originador |
| resp_multihomed* | Atributo booleano que indica si se ha observado que el dominio está asociado a una o varias direcciones IP. |
| resp_pkts | Número de paquetes enviados desde el respondedor al originador. |
| resp_vlan_id* | ID de VLAN del respondedor, si lo hay. |
| servicio | Servicio (por ejemplo, «smb») |
| server_luid_proxy | True if the destination address of the connection has been learned as a proxy |
| hora_de_inicio_de_la_sesión | Marca de tiempo cuando comenzó la sesión |
Considere iSession como el eje central durante la búsqueda de amenazas. Proporciona una continuidad de sesión estable en todos los tipos de metadatos de protocolo, autenticación y detección.
Valores del estado de conexión e indicadores del ciclo de vida de la sesión TCP
Los valores del estado de conexión codifican cómo ha progresado una sesión: establecida, rechazada, restablecida, semiabierta o incompleta. Estos indicadores son tipos de metadatos de comportamiento que revelan sesiones de exploración, sondeo, comunicación inestable o abortadas.
|
| Estado | Descripción |
|---|
| S0 | Se ha detectado un intento de conexión, sin respuesta. |
| S1 | Conexión establecida, no terminada. |
| SF | Establecimiento y terminación normales. Tenga en cuenta que este es el mismo símbolo que para el estado S1. Se pueden distinguir ambos porque para S1 no habrá ningún recuento de bytes en el resumen, mientras que para SF sí lo habrá. |
| REJ | Intento de conexión rechazado |
| S2 | Conexión establecida e intento de cierre por parte del originador visto (pero sin respuesta del destinatario). |
| S3 | Conexión establecida e intento de cierre por parte del respondedor detectado (pero sin respuesta del originador). |
| RST0 | Conexión establecida, origen abortado (envió un RST) |
| RSTR | El respondedor envió un RST. |
| RSTOS0 | El originador envió un SYN seguido de un RST, pero nunca vimos un SYN-ACK del respondedor. |
| RSTRH | El respondedor envió un SYN ACK seguido de un RST, nunca vimos un SYN del (supuesto) originador. |
| SH | El originador envió un SYN seguido de un FIN, nunca vimos un SYN ACK del respondedor (por lo tanto, la conexión quedó «medio» abierta). |
| SHR | El respondedor envió un SYN ACK seguido de un FIN, nunca vimos un SYN del originador. |
| OTH | No se ha detectado SYN, solo tráfico intermedio (un ejemplo de esto es una «conexión parcial» que no se cerró posteriormente). |
Utilice los estados del ciclo de vida junto con los campos de tiempo y volumen para priorizar los patrones de reconocimiento durante el análisis forense de metadatos.
Campos de metadatos Kerberos y atributos de tickets de autenticación
Los metadatos de Kerberos recogen la emisión de tickets, el tipo de autenticación, la puntuación de privilegios, la negociación de cifrado y los estados de éxito/error. Estos tipos de metadatos de la capa de identidad son esenciales para detectar el uso indebido de credenciales y la escalada de privilegios.
Los metadatos de Kerberos permiten ver:
- Niveles de privilegios de cuenta y servicio (bajo, medio, alto)
- Tipos de solicitud y respuesta de tickets (AS, TGT)
- Uso y negociación del cifrado
- Condiciones de éxito y error de la autenticación
|
| Campo | Descripción |
|---|
| privilegio_de_cuenta | Nivel de privilegios de la cuenta. Las puntuaciones pueden clasificarse en tres categorías: baja (1, 2), media (3, 4, 5, 6, 7) y alta (8, 9). |
| uid_cuenta | Identificador único de cuenta (formato principal@REALM) |
| as_rep_padata_count | Total PA-DATA entries seen on AS-REP prior to truncation |
| as_rep_padata_types | PA-DATA type integers from AS-REP messages (12 max) |
| as_rep_padata_types_string | Human readable PA-DATA type names for AS-REP messages (12 max) |
| as_req_padata_count | Total PA-DATA entries seen on AS-REQ prior to truncation |
| as_req_padata_types | PA-DATA type integers from AS-REQ messages (12 max) |
| as_req_padata_types_string | Human readable PA-DATA type names for AS-REQ messages (12 max) |
| cliente | Nombre del cliente, incluido el ámbito |
| fuente_de_datos | El origen del registro, ya sea «red» o «registro». |
| código de error | Código de error si no se ha realizado correctamente |
| mensaje_de_error | Mensaje de error si no se ha realizado correctamente |
| privilegio_observado_en_host_original* | El privilegio representa el privilegio observado basado en la actividad de una cuenta que se ve operar desde el host. Las puntuaciones pueden clasificarse en tres categorías: baja (1, 2), media (3, 4, 5, 6, 7) y alta (8, 9). |
| protocolo* | Protocolo L4. 6 (TCP) o 17 (UDP) |
| rep_cipher | El tipo de cifrado de los tickets de respuesta |
| respuesta_marca_tiempo* | Fecha y hora de la respuesta |
| req_ciphers | Los tipos de cifrado de los tickets de solicitud |
| tipo_de_solicitud | Tipo de solicitud (AS o TGT) |
| servicio | Servicio solicitado, incluido el dominio |
| privilegio_de_servicio | Nivel de privilegio del servicio. Las puntuaciones pueden clasificarse en tres categorías: baja (1, 2), media (3, 4, 5, 6, 7) y alta (8, 9). |
| id_servicio | Identificador único del servicio (formato principal@REALM) |
| éxito | Si la solicitud se ha completado con éxito o no |
| ticket_cipher | Ticket cipher observed on AS-REP and TGS-REP replies |
Utilice categorías de privilegios y tipos de solicitudes para centrar la búsqueda de amenazas en cuentas y servicios de alto impacto, y luego pase a LDAP o telemetría de sesión para la validación.
Campos de metadatos LDAP y atributos de consulta de directorios
Los metadatos LDAP resumen el comportamiento de búsqueda y enlace del directorio, incluyendo el alcance de la consulta, la selección de atributos, el recuento de resultados y las condiciones de error.
El análisis forense de metadatos de directorios resulta especialmente útil para identificar enumeraciones previas al abuso de autenticación.
|
| Campo | Descripción |
|---|
| atributos | Conjunto de atributos que se deben solicitar para su inclusión en las entradas que coincidan con los criterios de búsqueda y se devuelvan. |
| objeto base | Base del subárbol en el que se restringirá la búsqueda. |
| recuento_de_errores_de_enlace | Si hay errores de enlace, cuenta los errores. |
| duración | Duración de la sesión |
| Recuento de cargas útiles SASL cifradas | Si se utiliza el cifrado SASL, el número de cargas útiles SASL cifradas encontradas. |
| error | El mensaje de error en caso de error (por ejemplo, «0000208D: NameErr ...»). |
| Recuento de errores de inicio de sesión fallido | El recuento de errores de inicio de sesión |
| está_cerrado | Indicador booleano que indica si se observó el cierre. |
| es_consulta | Indicador booleano que indica si la consulta se observó en la solicitud. |
| dn coincidente | El nombre distinguido coincidente |
| id_mensaje | Identificador del mensaje |
| consulta | Criterios que se deben utilizar para identificar qué entradas dentro del ámbito deben devolverse. |
| alcance_de_la_consulta | La parte del subárbol de destino que debe tenerse en cuenta (por ejemplo, todo el subárbol). |
| bytes_de_respuesta | Número de bytes en la respuesta |
| resultado | El resultado de la consulta en esta solicitud |
| bytes_solicitados | Número de bytes en la solicitud |
| código_resultado | El código de resultado (éxito o fracaso) en la respuesta. |
| resultado_conteo | El recuento de las entradas en el resultado |
Utilice el volumen de resultados y los patrones de error para distinguir las búsquedas rutinarias de los descubrimientos a gran escala durante los flujos de trabajo de búsqueda de amenazas.
Match los campos Match y los atributos de firma de alerta.
Match representan el resultado evaluado de la detección, en lugar de la telemetría sin procesar. Estos tipos de metadatos describen la identidad de la firma, la gravedad, el estado de revisión, el alcance de la implementación y el contexto del paquete.
Esta capa refleja cómo se interpretaron los metadatos de red mediante la lógica de detección.
|
| Campo | Descripción |
|---|
| eve_json.alert.categoría | Categoría del mensaje de alerta |
| eve_json.alerta.gid | Identificador único para el grupo de firmas. El valor predeterminado es 1 para la mayoría de las firmas. |
| eve_json.alert.metadata.producto_afectado | Especifica los detalles del producto afectado. |
| eve_json.alert.metadata.objetivo_del_ataque | Especifica si el objetivo del ataque es el cliente, el servidor, ambos u otros. |
| eve_json.alert.metadata.created_at | Especifica la fecha en que se creó la firma. |
| eve_json.alert.metadata.implementación | Especifica dónde se debe implementar la firma. |
| eve_json.alert.metadata.malware | Especifica la Malware de Malware asociada a la firma. |
| eve_json.alert.metadata.policy | Especifica detalles sobre la política de alertas. |
| eve_json.alert.metadata.signature_severity | Describe la gravedad asociada con la firma. |
| eve_json.alert.metadata.etiqueta | Especifica cualquier información de etiqueta asignada a la firma por el autor. |
| eve_json.alert.metadata.actualizado_en | Especifica los datos de la última actualización de la firma. |
| eve_json.alerta.rev | Número de revisión de la firma de alerta que indica si la firma se ha actualizado. |
| eve_json.alerta.regla | Especifique la regla que activó la alerta. |
| eve_json.alert.severity | Número que representa la gravedad de la alerta. |
| eve_json.alert.firma | El nombre de la regla. Basado en el texto «msg» de la firma. |
| eve_json.alert.signature_id | Identificador de firma de alerta |
| eve_json.alerta.xff | Valor de x-forwarded-for |
| eve_json.dirección | Especifica la dirección del tráfico de la alerta. |
| eve_json.paquete | Especifica el paquete que activó la firma. |
| eve_json.carga útil | Proporciona la información de la carga útil del paquete codificado en Base64. |
| eve_json.carga_imprimible | Proporciona la carga útil presentada en ASCII. |
| eve_json.proto | Nombre del protocolo L4 |
Utilice los metadatos de coincidencia para comprender por qué se activó una detección y, a continuación, vuelva al protocolo subyacente y a los metadatos de la sesión para obtener una reconstrucción completa.
Campos de metadatos NTLM y atributos de respuesta de autenticación
Los metadatos NTLM capturan los intentos y resultados de autenticación, incluyendo el host, el dominio, el nombre de usuario, el código de estado y el estado de éxito.
En entornos donde NTLM permanece activo, estos tipos de metadatos son importantes para identificar el abuso de la autenticación de respaldo.
|
| Campo | Descripción |
|---|
| dominio | Dominio del host |
| nombre de host | Nombre del host en el que el usuario inició sesión. |
| estado | Código de estado en la respuesta |
| éxito | Si la solicitud tuvo éxito o no. |
| nombre de usuario | Nombre de usuario o nombre de la cuenta con la que se ha iniciado sesión. |
Utilice los fallos repetidos o los patrones de éxito anómalos como señales de búsqueda de amenazas y, a continuación, correlacione los datos con los metadatos SMB o RDP.
Campos de metadatos RDP y atributos de sesión de escritorio remoto
Los metadatos RDP capturan atributos interactivos de la sesión remota, incluyendo la identidad del cliente, el control de versiones, las características de visualización y los indicadores de cifrado.
Estos tipos de metadatos permiten investigar los patrones de acceso administrativo sin descifrar el contenido.
|
| Campo | Descripción |
|---|
| compilación_del_cliente | Versión del cliente RDP utilizada por el equipo cliente. Será «desconocida» si está cifrada. |
| id_producto_cliente_dig | ID del producto del equipo cliente |
| nombre_del_cliente | Nombre del equipo cliente |
| galleta | Valor de la cookie utilizada por el equipo cliente (nombre de usuario) |
| altura_del_escritorio | Altura del escritorio del equipo cliente. 0 si está cifrado. |
| ancho_del_escritorio | Ancho del escritorio del equipo cliente. 0 si está cifrado. |
| distribución del teclado | Diseño del teclado (idioma) del equipo cliente (por ejemplo, «EE. UU.» «Diseño de teclado cifrado») |
| resultado | Si está cifrado, el valor del resultado es «cifrado»; de lo contrario, estará vacío. |
Patrones de acceso remoto esperados de referencia y desviaciones marcadas durante el análisis forense de metadatos.
Campos de metadatos RADIUS y atributos de contabilidad de autenticación
Los registros de metadatos RADIUS registran el comportamiento de autenticación y contabilidad del control de acceso, incluyendo identificadores de sesión, duración, contadores de paquetes/bytes, direccionamiento y marcadores de políticas.
Estos tipos de metadatos de red ayudan a rastrear las rutas de acceso remoto a través de VPN, NAC o sistemas inalámbricos.
|
| Campo |
Descripción |
| cuenta_autenticación |
Identifica cómo se autenticó el usuario. |
| tiempo_de_retraso_de_la_cuenta |
Identifica cuánto tiempo lleva el remitente intentando enviar el mensaje. |
| cuenta_entrada_gigawords |
Identifica cuántas veces se ha reiniciado el contador Acct-Input para la entrada. |
| octetos_de_entrada_de_cuenta |
¿Cuántos bytes se han recibido? |
| paquetes_de_entrada_de_cuenta |
Cuántos paquetes ha recibido el sistema. |
| salida_cuenta_gigapalabras |
Identifica cuántas veces se ha reiniciado el contador Acct-Input para la salida. |
| salida_de_octetos_de_la_cuenta |
¿Cuántos bytes se han establecido? |
| paquetes_de_salida_de_cuenta |
Cuántos paquetes ha enviado el sistema. |
| id_sesión_cuenta |
Se trata de un identificador único que identifica la sesión de contabilidad RADIUS que se envía en un paquete independiente. |
| tiempo_de_sesión_de_cuenta |
Duración del servicio recibido por el usuario |
| identificador_de_la_estación_llamante |
Este es el identificador de la estación que realiza la llamada. |
| información_de_conexión |
Identificar la velocidad de la conexión u otra información relacionada con la conexión. |
| prefijo_ipv6_delegado |
Pool IPv6 desde el que se asignó la dirección IPv6 |
| dst_display_name |
Nombre DNS del destino |
| dst_host_luid |
Este es el ID del host de destino con el ID de host. |
| dst_luid |
El LUID del servidor RADIUS |
| dst_luid_externo |
El valor es verdadero si el destino es externo. |
| marca_de_tiempo_del_evento |
Similar a ts, pero es la marca de tiempo del dispositivo, no de Vectra. |
| id_filtro |
Esto identifica cualquier ACL que esté en uso. |
| dirección enmarcada |
Este campo está disponible en la solicitud que identifica el punto final que solicita la autenticación. |
| interfaz enmarcada |
Identifica la interfaz utilizada cuando el usuario se conecta al sistema. |
| dirección_ip_enmarcada |
Dirección IP del dispositivo terminal que se conecta al sistema. |
| prefijo_ipv6_enmarcado |
Indica el prefijo IPv6 enmarcado para el usuario. |
| protocolo enmarcado |
Identifica el protocolo enmarcado utilizado cuando el usuario se conecta al sistema. |
Utilice los campos de contexto de contabilidad y NAS para validar el alcance y la duración del acceso antes de pasar a la actividad SMB o RDP.
Campos de metadatos RADIUS ampliados y atributos de control de acceso a la red
Los metadatos RADIUS ampliados añaden contexto sobre los dispositivos y la aplicación: identificadores y puertos NAS, tiempos de espera de sesión e inactividad, puntos finales del túnel, indicadores de fuentes externas, tiempo de respuesta y si se observaron campos confidenciales (como contraseñas). Estos campos ayudan a interpretar cómo se implementaron las decisiones de acceso.
|
| Campo |
Descripción |
| tiempo_de_inactividad |
Tiempo que una sesión puede permanecer inactiva antes de que se desconecte. |
| registrado |
El atributo booleano indica si la solicitud se registró previamente. |
| mac |
Dirección MAC si se observa como un campo en el mensaje Radius. |
| nas_identificador |
Identifica la función que solicita el cliente que realiza la autenticación. |
| dirección_ip_nas |
Este es un formato de dirección IP, puede ser la IP del dispositivo, el punto final o el sistema intermedio, dependiendo de la implementación. |
| nas_port |
Número de puerto físico del dispositivo que autentica al usuario |
| nas_port_id |
Cadena de texto que identifica el puerto proporcionado por el cliente. |
| tipo_puerto_nas |
Este es el tipo de medio del puerto (por ejemplo, Ethernet, Wifi, etc.). |
| contraseña_vista |
Atributo booleano que indica que se ha visto la contraseña. |
| tipo_radio |
El valor indica si se trata de una solicitud de acceso o de contabilidad. |
| respuesta_mensaje |
Mensaje de respuesta del servidor. Se muestra con frecuencia al usuario que se autentica. |
| marca de tiempo de respuesta |
Fecha y hora en que se recibió el mensaje de respuesta. |
| resultado |
Autenticación correcta o fallida |
| tipo_de_servicio |
Tipo de servicio que ha solicitado el usuario |
| tiempo_de_sesion_limite |
Esta es la duración máxima de la sesión. |
| src_display_name |
Nombre DNS de la fuente |
| src_host_luid |
Este es el ID del Src con el ID del host. |
| src_luid |
El LUID del cliente RADIUS |
| src_luid_externo |
El valor es verdadero si la fuente es externa. |
| ttl |
El tiempo transcurrido entre la primera solicitud y el mensaje «Access-Accept» o un error. Si el campo está vacío, significa que no se ha visto ni la solicitud ni la respuesta. |
| cliente_túnel |
Dirección (IPv4, IPv6 o FQDN) del extremo iniciador del túnel, si existe. Se recopila del atributo Tunnel-Client-Endpoint. |
| nombre de usuario |
Este es el nombre de usuario si se observa en el mensaje Radius. |
Utilice el contexto NAS y túnel para identificar dónde se concedió el acceso, qué servicio se solicitó y cuánto tiempo persistió, lo que resulta especialmente útil a la hora de rastrear las rutas de acceso remoto a la actividad interna SMB/RDP.
Campos de metadatos de archivos SMB y atributos de operaciones con archivos
Los metadatos de los archivos SMB capturan operaciones a nivel de archivo, incluyendo la creación, el cambio de nombre, el comportamiento de eliminación al cerrar, el contexto de la ruta, la versión SMB y la atribución del usuario.
Estos tipos de metadatos son fundamentales para las investigaciones sobre ransomware y la propagación lateral.
|
| Campo | Descripción |
|---|
| acción | Medidas adoptadas sobre el expediente |
| eliminar_al_cerrar* | Indicador que muestra si el atributo delete_on_close está habilitado. Si está habilitado, al cerrar un archivo, este se puede eliminar si es el último cierre del archivo. |
| dominio* | Dominio del servidor SMB |
| nombre de host* | Nombre de host del cliente SMB |
| camino | La ruta extraída del archivo de árbol se transfirió a o desde |
| nombre anterior | Si se ha observado la acción de renombrar, este será el nombre anterior del archivo. |
| nombre | Nombre del archivo, si se ha visto alguno. |
| nombre de usuario* | Nombre de usuario o nombre de cuenta con el que se ha iniciado sesión. Los nombres que terminan en «$» son nombres de máquinas (no nombres de cuentas de usuario). |
| versión | Versión SMB (SMBv1 o SMBv2) |
Utilice acciones de archivo y patrones de renombramiento para identificar comportamientos destructivos durante la búsqueda de amenazas.
Campos de metadatos de mapeo de SMB y atributos de conexión compartida
Los metadatos de mapeo SMB capturan las conexiones de árbol y el acceso compartido antes de la interacción con los archivos.
Esta capa proporciona enriquecimiento de metadatos al vincular la identidad del usuario con el contexto de acceso compartido.
|
| Campo | Descripción |
|---|
| dominio* | Dominio del servidor SMB |
| nombre de host* | Nombre de host del cliente SMB |
| camino | Nombre del camino del árbol |
| servicio | Tipo de reorigen del árbol |
| nombre de usuario* | Nombre de usuario o nombre de cuenta con el que se ha iniciado sesión. Los nombres que terminan en «$» son nombres de máquinas (no nombres de cuentas de usuario). |
| versión | Versión SMB (SMBv1 o SMBv2) |
Utilice eventos de mapeo para establecer el linaje de acceso antes de analizar las operaciones a nivel de archivo.
Campos de metadatos SMTP y atributos del encabezado del correo electrónico
Los metadatos SMTP capturan los atributos del encabezado del correo y los resultados de la autenticación, incluyendo SPF, DKIM, DMARC, uso de TLS e IP de origen. Los metadatos de red relacionados con el correo electrónico permiten la búsqueda de amenazas para detectar phishing y comportamientos de remitentes falsos.
|
| Campo | Descripción |
|---|
| cc | Contenido del encabezado CC, formateado como una lista separada por comas. |
| fecha | Contenido del encabezado Date |
| estado_dkim | aprobado/suspendido/ninguno. Basado en el encabezado «Authentication-results». |
| estado_dmarc | aprobado/suspendido/ninguno. Basado en el encabezado «Authentication-results». |
| primero_recibido | Contenido del primer encabezado «Received», que indica el primer servidor SMTP que recibió este mensaje (es decir, el servidor de envío). |
| desde | Contenido del encabezado «De» |
| Hola | Contenido del encabezado Helo |
| en_respuesta_a | Contenido del encabezado In-Reply-To |
| remitente | Direcciones de correo electrónico encontradas en el encabezado «De» |
| msgid | Contenido del encabezado MsgID |
| rcpt_to | Direcciones de correo electrónico encontradas en el encabezado Rcpt, formateadas como una lista separada por comas. |
| responder a | Contenido del encabezado ReplyTo |
| segundo_recibido | Contenido del segundo encabezado «Recibido», que indica el segundo servidor SMTP que recibirá este mensaje. |
| asunto | Contenido del encabezado del asunto |
| spf_helo_status | Basado en el encabezado «Received-SPF» en smtp. Este encabezado especifica el estado SPF (Sender Policy Framework). Uno de los siguientes: pass/fail/neutral/softfail/none/temperror/permerror. Véase: https://tools.ietf.org/html/rfc7208#section-9.1 |
| spf_mailfrom_status | Uno de los siguientes: aprobado/suspenso/neutral/suspenso leve/ninguno/error temporal/error permanente. |
| tls | Indica que la conexión ha cambiado a TLS. |
| a | Contenido del encabezado «To», formateado como una lista separada por comas. |
| agente_de_usuario | Valor del encabezado User-Agent del cliente |
| x_ip_de_origen | Contenido del encabezado X-Originating-IP |
Utilizar los resultados de la autenticación y los metadatos de la cadena de retransmisión para la validación forense de la legitimidad del remitente.
Campos de metadatos SSH y atributos de negociación de sesión cifrada
Los metadatos SSH capturan detalles de la negociación, incluyendo versiones de cliente/servidor, intercambio de claves, selección de cifrado, algoritmo MAC y hash de huellas digitales. Estos tipos de metadatos permiten identificar herramientas administrativas anómalas y comportamientos no autorizados del shell remoto.
|
| Campo | Descripción |
|---|
| cliente | La cadena de versión del cliente |
| algoritmo_de_cifrado | El algoritmo de cifrado utilizado |
| algoritmo_de_compresión | El algoritmo de compresión utilizado |
| hassh | hash hassh del cliente basado en los parámetros SSH del cliente |
| servidor hassh | haashServer hash del servidor basado en los parámetros SSH del cliente |
| clave_host | Huella digital de la clave del servidor |
| clave_host_alg | El algoritmo de la clave del host del servidor |
| kex_alg | El algoritmo de intercambio de claves utilizado |
| mac_alg | El algoritmo de firma (MAC) en uso |
| servidor | La cadena de versión del servidor |
| versión | Versión principal de SSH (1 o 2) |
Utilice campos de algoritmos y huellas digitales para establecer una base de referencia de las herramientas administrativas previstas e identificar clientes o patrones de negociación inusuales, y luego pase a la conectividad de la sesión para comprender la duración, la dirección y el volumen de la misma sesión SSH.
Campos de metadatos SSL/TLS y atributos de sesión cifrados
Los metadatos SSL/TLS capturan las características de la negociación del protocolo de enlace y el intercambio de certificados para las sesiones cifradas. Los campos siguientes incluyen las versiones del protocolo, el conjunto de cifrado elegido, los parámetros de la curva, las extensiones del cliente/servidor, los identificadores del emisor/sujeto, SNI y huellas digitales JA3/JA4, además del estado del establecimiento.
|
| Campo | Descripción |
|---|
| solicitud | Aplicaciones asociadas a esta sesión |
| cifra | Conjunto de cifrado SSL/TLS seleccionado del servidor |
| número_curva_cliente* | Número de curva elíptica enviado por el cliente |
| formato_punto_cliente_ec* | Formato de punto de curva elíptica ofrecido por el cliente |
| extensión_cliente* | Extensiones de cliente |
| emisor_del_cliente | Emisor de certificados de cliente |
| client_luid_proxy | True if the source address of the connection has been learned as a proxy |
| asunto_del_cliente | Asunto del certificado del cliente |
| versión_cliente* | Cadena de versión SSL enviada por el cliente |
| número_de_versión_del_cliente* | Número de versión SSL enviado por el cliente |
| curva | Número de curva elíptica para ECDHE |
| establecido | Indicador para señalar si esta sesión SSL se ha establecido correctamente o si se ha interrumpido durante el protocolo de enlace. |
| emisor | Emisor del certificado del servidor |
| ja3 | Hash JA3 del cliente basado en los parámetros SSL del cliente |
| ja3s | Hash JA3S del servidor basado en los parámetros SSL del servidor |
| ja4 | La huella digital JA4 del cliente TLS |
| ja4s | La huella digital JA4S de la respuesta del servidor TLS |
| siguiente_protocolo | Siguiente protocolo que el servidor eligió utilizando la extensión de protocolo siguiente de la capa de aplicación, si está presente. |
| proxy_to_internal_dst | True if effective destination after proxy is internal ip |
| extensiones_del_servidor | Extensiones de servidor |
| server_luid_proxy | True if the destination address of the connection has been learned as a proxy |
| nombre_del_servidor | Valor SNI |
| asunto | Asunto del certificado del servidor |
| versión | Versión SSL/TLS elegida por el servidor |
| número_de_versión | Versión numérica de SSL/TLS que eligió el servidor. |
| versión/número_de_versión | Número de versión SSL |
Utilice huellas digitales TLS y SNI/contexto de certificado para identificar las implementaciones de cliente/servidor y la identidad de destino, y luego pase a X.509 para inspeccionar las propiedades del certificado y la cobertura SAN para un análisis de confianza más profundo.
Campos de metadatos del certificado X.509 y atributos del certificado digital
Los registros de metadatos X.509 registran la identidad del certificado y las características de confianza, incluyendo la composición del sujeto/emisor, los periodos de validez, los valores SAN, la longitud de la clave, el algoritmo de firma y la huella digital JA4X. Estos tipos de metadatos admiten el análisis forense de metadatos basados en certificados y la detección de infraestructuras sospechosas.
|
| Campo | Descripción |
|---|
| solicitud | Aplicaciones asociadas a esta sesión |
| restricciones_básicas.ca | Indicador que señala si el sujeto del certificado es una CA. |
| restricciones_básicas.longitud_de_la_ruta | Profundidad máxima de rutas de certificación válidas que incluyen este certificado |
| certificado.cn | Nombre común que identifica el nombre de host del certificado. |
| certificado.curva | Curva, si certificado CE |
| certificado.exponente | Exponente clave |
| certificado.emisor | Combinación de país, organizaciones, nombre común, emisor, URI |
| certificado.clave_alg | Nombre del algoritmo de clave pública que se utiliza en la transmisión de datos, por ejemplo, cifrado RSA. |
| longitud_de_la_clave_del_certificado | Número de bits utilizados en el cifrado, por ejemplo, cifrado de 2048 bits. |
| tipo_de_clave_del_certificado | Tres tipos de claves, dependiendo del algoritmo de clave |
| certificado.no_válido_después | Tiempo después de que el certificado haya caducado |
| certificado.no_válido_antes | Tiempo antes de que el certificado caduque |
| certificado.autoemitido | Indicador booleano que indica si el certificado es autoemitido o está respaldado por una CA. |
| certificado.serial | Número de serie único otorgado por la autoridad certificadora o la autoridad que firma el certificado. Normalmente consta de 40 caracteres hexadecimales. |
| certificado.sig_alg | Nombre del algoritmo de firma |
| certificado.sujeto | Titular del certificado (nombre distinguido) |
| versión del certificado | Versión del certificado del servidor (SSL V3, TLS V1, TLS V2, etc.) |
| client_luid_proxy | True if the source address of the connection has been learned as a proxy |
| ja4x | La huella digital JA4X del certificado TLS X.509 |
| proxy_to_internal_dst | True if effective destination after proxy is internal ip |
| san.dns | Especificar una lista de nombres de host adicionales para un único certificado junto con los nombres DNS asociados a SAN (nombre alternativo del sujeto). |
| san.correo electrónico | Dirección de correo electrónico asociada al SAN |
| san.ip | Dirección IP de la SAN en el certificado digital |
| san.otros_campos | Otros campos en la SAN |
| san.uri | Nombre de URL asociado con SAN |
| versión/número_de_versión | Número de versión SSL |
| server_luid_proxy | True if the destination address of the connection has been learned as a proxy |
Utilice los atributos X.509 para evaluar la postura de confianza y reutilizar patrones, y luego correlacione con los metadatos TLS y DNS para completar la cadena de investigación.
