Referencia del esquema de normalización de administración de usuarios de Microsoft Sentinel (versión preliminar)
El esquema de normalización de administración de usuarios de Microsoft Sentinel se usa para describir las actividades de administración de usuarios, como crear un usuario o un grupo, cambiar el atributo de usuario o agregar un usuario a un grupo. Estos eventos se notifican, por ejemplo, mediante sistemas operativos, servicios de directorio, sistemas de administración de identidades y cualquier otro sistema que informe sobre su actividad de administración de usuarios local.
Para más información sobre la normalización en Microsoft Sentinel, consulte Normalización y Modelo avanzado de información de seguridad (ASIM).
Importante
El esquema de normalización de administración de usuarios está actualmente en versión preliminar. Esta característica se proporciona sin un Acuerdo de Nivel de Servicio. No es aconsejable para cargas de trabajo de producción.
En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Información general del esquema
El esquema de administración de usuarios de ASIM describe las actividades de administración de usuarios. Estas actividades suelen incluir las entidades siguientes:
- Actor: el usuario que realiza la actividad de administración.
- Proceso de acción: el proceso que usa el actor para realizar la actividad de administración.
- Src: cuando la actividad se realiza a través de la red o el dispositivo de origen desde el que se inició la actividad.
- Usuario de destino: el usuario que administra la cuenta.
- Grupo: el usuario de destino que se agrega, se quita o se modifica.
Algunas actividades, como UserCreated, GroupCreated, UserModified y GroupModified*, establecen o actualizan las propiedades del usuario. La propiedad establecida o actualizada se documenta en los campos siguientes:
- EventSubType: el nombre del valor que se estableció o actualizó. UpdatedPropertyName es un alias de EventSubType cuando EventSubType hace referencia a uno de los tipos de eventos pertinentes.
- PreviousPropertyValue: el valor anterior de la propiedad.
- NewPropertyValue: el valor actualizado de la propiedad.
Detalles del esquema
Campos comunes de ASIM
Importante
Los campos comunes a todos los esquemas se describen detalladamente en el artículo Campos comunes de ASIM.
Campos comunes con directrices específicas
La lista siguiente solo enumera los campos que tienen directrices específicas para los eventos de DNS:
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| EventType | Mandatory | Enumerated | Describe la operación notificada por el registro. Para la actividad de administración de usuarios, los valores admitidos son: - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| EventSubType | Opcionales | Enumerated | Se admiten los siguientes subtipos: - UserRead: Password, Hash- UserCreated, GroupCreated, UserModified, GroupModified. Para obtener más información, consulte UpdatedPropertyName. |
| EventResult | Mandatory | Enumerated | Aunque es posible que se produzca algún error, la mayoría de los sistemas solo informan de eventos de administración de usuarios correctos. El valor esperado para los eventos correctos es Success. |
| EventResultDetails | Recomendado | Enumerated | Los valores válidos son NotAuthorized y Other. |
| EventSeverity | Mandatory | Enumerated | Aunque se permite cualquier valor de gravedad válido, la gravedad de los eventos de administración de usuarios suele ser Informational. |
| EventSchema | Mandatory | String | El nombre del esquema que se documenta aquí es UserManagement. |
| EventSchemaVersion | Mandatory | String | Versión del esquema. La versión del esquema que se documenta aquí es 0.1.1. |
| Campos dvc | En cuanto a los eventos de administración de usuarios, los campos de dispositivo hacen referencia al sistema que informa del evento. Este suele ser el sistema en el que se administra el usuario. |
Todos los campos comunes
Los campos que aparecen en la tabla siguiente son comunes a todos los esquemas de ASIM. Cualquier directriz especificada anteriormente invalida las directrices generales para el campo. Por ejemplo, un campo podría ser opcional en general, pero obligatorio para un esquema específico. Para obtener más información sobre cada campo, consulte el siguiente artículo sobre los campos comunes de ASIM.
| Clase | Fields |
|---|---|
| Mandatory | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendado | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcionales | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campos de propiedad actualizados
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| UpdatedPropertyName | Alias | Alias a EventSubType cuando el tipo de evento es UserCreated, GroupCreated, UserModified o GroupModified.Los valores admitidos son: - MultipleProperties: se usa cuando la actividad actualiza varias propiedades.- Previous<PropertyName>, donde <PropertyName> es uno de los tipos admitidos de UpdatedPropertyName. - New<PropertyName>, donde <PropertyName> es uno de los tipos admitidos de UpdatedPropertyName. |
|
| PreviousPropertyValue | Opcionales | String | Valor anterior que se almacenaba en la propiedad especificada. |
| NewPropertyValue | Opcionales | String | Nuevo valor que se almacena en la propiedad especificada. |
Campos de usuario de destino
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| TargetUserId | Opcionales | String | Representación única, alfanumérica y legible del usuario de destino. Los formatos y tipos admitidos incluyen: - - (Windows): S-1-5-21-1377283216-344919071-3415362939-500- - (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- - : 00urjk4znu3BcncfY0h7- - : 72643944673Almacene el tipo de identificador en el campo TargetUserIdType. Si hay otros id. disponibles, se recomienda normalizar los nombres de campo a TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId y TargetUserAwsId, respectivamente. Para más información, consulte la Entidad Usuario. Ejemplo: S-1-12 |
| TargetUserIdType | Opcionales | Enumerated | Tipo de identificador almacenado en el campo TargetUserId. Los valores admitidos son SID, UID, AADID, OktaId y AWSId. |
| TargetUsername | Opcionales | String | Nombre de usuario de destino, incluida la información de dominio cuando esté disponible. Use uno de los siguientes formatos y en el orden siguiente de prioridad: - Upn/Email: johndow@contoso.com- - : Contoso\johndow- - : CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- - : johndow. Use este formato Simple solo si no hay disponible información de dominio.Almacene el tipo de nombre de usuario en el campo TargetUsernameType. Si hay otros identificadores disponibles, se recomienda normalizar los nombres de campo a TargetUserUpn, TargetUserWindows y TargetUserDn. Para obtener más información, consulte Entidad de usuario. Ejemplo: AlbertE |
| TargetUsernameType | Opcionales | Enumerated | Especifica el tipo de nombre de usuario almacenado en el campo TargetUsername. Los valores admitidos incluyen UPN, Windows, DN y Simple. Para más información, consulte la Entidad Usuario.Ejemplo: Windows |
| TargetUserType | Opcional | Enumerated | Tipo del usuario de destino. Los valores admitidos son: - Regular- Machine- Admin- System- Application- Service Principal- OtherNota: El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. Almacene el valor original en el campo TargetOriginalUserType. |
| TargetOriginalUserType | Opcionales | String | El tipo de usuario de destino original, si lo proporciona el origen. |
Campos de actor
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| ActorUserId | Opcionales | String | Representación única, alfanumérica y legible del actor. Los formatos y tipos admitidos incluyen: - - (Windows): S-1-5-21-1377283216-344919071-3415362939-500- - (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- - : 00urjk4znu3BcncfY0h7- - : 72643944673Almacene el tipo de identificador en el campo ActorUserIdType. Si hay otros id. disponibles, se recomienda normalizar los nombres de campo a ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId y ActorAwsId, respectivamente. Para más información, consulte la Entidad Usuario. Ejemplo: S-1-12 |
| ActorUserIdType | Opcionales | Enumerated | Tipo del identificador almacenado en el campo ActorUserId. Los valores admitidos incluyen SID, UID, AADID, OktaId y AWSId. |
| ActorUsername | Mandatory | String | Nombre de usuario del actor, incluida la información de dominio cuando esté disponible. Use uno de los siguientes formatos y en el orden siguiente de prioridad: - Upn/Email: johndow@contoso.com- - : Contoso\johndow- - : CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- - : johndow. Use este formato Simple solo si no hay disponible información de dominio.Almacene el tipo de nombre de usuario en el campo ActorUsernameType. Si hay otros identificadores disponibles, se recomienda normalizar los nombres de campo a ActorUserUpn, ActorUserWindows y ActorUserDn. Para más información, consulte la Entidad Usuario. Ejemplo: AlbertE |
| User | Alias | Alias a ActorUsername. | |
| ActorUsernameType | Mandatory | Enumerated | Especifica el tipo de nombre de usuario almacenado en el campo ActorUsername. Los valores admitidos son UPN, Windows, DN y Simple. Para más información, consulte la Entidad Usuario.Ejemplo: Windows |
| ActorUserType | Opcionales | Enumerated | Tipo del actor. Los valores permitidos son: - Regular- Machine- Admin- System- Application- Service Principal- OtherNota: El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. Almacene el valor original en el campo ActorOriginalUserType. |
| ActorOriginalUserType | Tipo de usuario del actor original, si lo proporciona el origen. | ||
| ActorSessionId | Opcional | String | Identificador único de la sesión de inicio de sesión de Actor. Ejemplo: 999Nota: El tipo se define como cadena para admitir distintos sistemas, pero en Windows este valor debe ser numérico. Si usa una máquina Windows y ha usado un tipo diferente, asegúrese de convertir los valores. Por ejemplo, si ha utilizado un valor hexadecimal, conviértalo en un valor decimal. |
Agrupar campos
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| GroupId | Opcionales | String | Representación del grupo única, alfanumérica y legible por una máquina, para las actividades que implican a un grupo. Los formatos y tipos admitidos incluyen: - - (Windows): S-1-5-21-1377283216-344919071-3415362939-500- - (Linux): 4578Almacene el tipo de identificador en el campo GroupIdType. Si hay otros id. disponibles, se recomienda normalizar los nombres de campo a GroupSid o GroupUid, respectivamente. Para más información, consulte la Entidad Usuario. Ejemplo: S-1-12 |
| GroupIdType | Opcionales | Enumerated | Tipo del identificador almacenado en el campo GroupId. Los valores admitidos son SID y UID. |
| GroupName | Opcionales | String | Nombre del grupo, incluida la información de dominio cuando está disponible, para las actividades que implican a un grupo. Use uno de los siguientes formatos y en el orden siguiente de prioridad: - Upn/Email: grp@contoso.com- - : Contoso\grp- - : CN=grp,OU=Sales,DC=Fabrikam,DC=COM- - : grp. Use este formato Simple solo si no hay disponible información de dominio.Almacene el tipo de nombre del grupo en el campo GroupNameType. Si hay otros identificadores disponibles, se recomienda normalizar los nombres de campo en GroupUpn, GroupNameWindows y GroupDn. Ejemplo: Contoso\Finance |
| GroupNameType | Opcionales | Enumerated | Especifica el tipo del nombre del grupo almacenado en el campo GroupName. Los valores admitidos incluyen UPN, Windows, DN y Simple.Ejemplo: Windows |
| GroupType | Opcionales | Enumerated | Tipo del grupo, para las actividades que implican un grupo. Los valores admitidos son: - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- OtherNota: El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. Almacene el valor original en el campo GroupOriginalType. |
| GroupOriginalType | Opcionales | String | Tipo de grupo original, si lo proporciona el origen. |
Campos de origen
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| Src | Recomendado | String | Identificador único del dispositivo de destino. Este campo puede ser un alias de los campos SrcDvcId, SrcHostname o SrcIpAddr. Ejemplo: 192.168.12.1 |
| SrcIpAddr | Recomendado | Dirección IP | Dirección IP del dispositivo de origen. Este valor es obligatorio si se especifica SrcHostname. Ejemplo: 77.138.103.108 |
| IpAddr | Alias | Alias de SrcIpAddr. | |
| SrcHostname | Recomendado | String | Nombre de host del dispositivo de origen, excepto la información de dominio. Ejemplo: DESKTOP-1282V4D |
| SrcDomain | Recomendado | String | Dominio del dispositivo de origen. Ejemplo: Contoso |
| SrcDomainType | Recomendado | Enumerated | Tipo de SrcDomain, si se conoce. Los valores posibles son: - Windows (por ejemplo, contoso)- FQDN (por ejemplo, microsoft.com)Obligatorio si se usa el campo SrcDomain. |
| SrcFQDN | Opcional | String | Nombre de host del dispositivo de origen, incluida la información de dominio cuando está disponible. Nota: Este campo admite tanto el formato de FQDN tradicional como el formato de dominio\nombre de host de Windows. El campo SrcDomainType refleja el formato usado. Ejemplo: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Opcional | String | Identificador del dispositivo de origen tal y como se muestra en el registro. Ejemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcionales | String | Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. SrcDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcDvcScope | Opcionales | String | Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. SrcDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcDvcIdType | Opcionales | Enumerated | Tipo de SrcDvcId, si se conoce. Los valores posibles son: - AzureResourceId- MDEidSi hay varios identificadores disponibles, use el primero de la lista anterior y almacene los demás en los campos SrcDvcAzureResourceId y SrcDvcMDEid, respectivamente. Nota: Este campo es necesario si se usa el campo SrcDvcId. |
| SrcDeviceType | Opcionales | Enumerated | Tipo del dispositivo de origen. Los valores posibles son: - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | Opcionales | Country | País o región asociado a la dirección IP de origen. Ejemplo: USA |
| SrcGeoRegion | Opcionales | Region | Región asociada con la dirección IP de origen. Ejemplo: Vermont |
| SrcGeoCity | Opcionales | City (Ciudad) | Ciudad asociada con la dirección IP de origen. Ejemplo: Burlington |
| SrcGeoLatitude | Opcionales | Latitud | Latitud de la coordenada geográfica asociada con la dirección IP de origen. Ejemplo: 44.475833 |
| SrcGeoLongitude | Opcionales | Longitud | Longitud de la coordenada geográfica asociada con la dirección IP de origen. Ejemplo: 73.211944 |
Aplicación en acción
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| ActingAppId | Opcional | String | Identificador de la aplicación que usa el actor para realizar la actividad, incluido un proceso, un explorador o un servicio. Por ejemplo: 0x12ae8 |
| ActingAppName | Opcional | String | Nombre de la aplicación que usa el actor para realizar la actividad, incluido un proceso, un explorador o un servicio. Por ejemplo: C:\Windows\System32\svchost.exe |
| ActingAppType | Opcionales | Enumerated | Tipo de la aplicación que actúa. Los valores admitidos incluyen , - Process - Browser - Resource - Other |
| HttpUserAgent | Opcional | String | Cuando se realiza la autenticación a través de HTTP o HTTPS, el valor de este campo es el encabezado HTTP user_agent proporcionado por la aplicación que actúa al realizar la autenticación. Por ejemplo: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Campos y alias adicionales
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| Hostname | Alias | Alias a DvcHostname. |
Pasos siguientes
Para más información, consulte:
- El seminario web de ASIM o las diapositivas
- Introducción al Modelo avanzado de información de seguridad (ASIM)
- Esquemas del Modelo avanzado de información de seguridad (ASIM)
- Analizadores del Modelo avanzado de información de seguridad (ASIM)
- Contenido del Modelo avanzado de información de seguridad (ASIM)