Compartir vía


Referencia del esquema de normalización de administración de usuarios de Microsoft Sentinel (versión preliminar)

El esquema de normalización de administración de usuarios de Microsoft Sentinel se usa para describir las actividades de administración de usuarios, como crear un usuario o un grupo, cambiar el atributo de usuario o agregar un usuario a un grupo. Estos eventos se notifican, por ejemplo, mediante sistemas operativos, servicios de directorio, sistemas de administración de identidades y cualquier otro sistema que informe sobre su actividad de administración de usuarios local.

Para más información sobre la normalización en Microsoft Sentinel, consulte Normalización y Modelo avanzado de información de seguridad (ASIM).

Importante

El esquema de normalización de administración de usuarios está actualmente en versión preliminar. Esta característica se proporciona sin un Acuerdo de Nivel de Servicio. No es aconsejable para cargas de trabajo de producción.

En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Información general del esquema

El esquema de administración de usuarios de ASIM describe las actividades de administración de usuarios. Estas actividades suelen incluir las entidades siguientes:

  • Actor: el usuario que realiza la actividad de administración.
  • Proceso de acción: el proceso que usa el actor para realizar la actividad de administración.
  • Src: cuando la actividad se realiza a través de la red o el dispositivo de origen desde el que se inició la actividad.
  • Usuario de destino: el usuario que administra la cuenta.
  • Grupo: el usuario de destino que se agrega, se quita o se modifica.

Algunas actividades, como UserCreated, GroupCreated, UserModified y GroupModified*, establecen o actualizan las propiedades del usuario. La propiedad establecida o actualizada se documenta en los campos siguientes:

Detalles del esquema

Campos comunes de ASIM

Importante

Los campos comunes a todos los esquemas se describen detalladamente en el artículo Campos comunes de ASIM.

Campos comunes con directrices específicas

La lista siguiente solo enumera los campos que tienen directrices específicas para los eventos de DNS:

Campo Clase Tipo Descripción
EventType Mandatory Enumerated Describe la operación notificada por el registro.

Para la actividad de administración de usuarios, los valores admitidos son:
- UserCreated
- UserDeleted
- UserModified
- UserLocked
- UserUnlocked
- UserDisabled
- UserEnabled
- PasswordChanged
- PasswordReset
- GroupCreated
- GroupDeleted
- GroupModified
- UserAddedToGroup
- UserRemovedFromGroup
- GroupEnumerated
- UserRead
- GroupRead
EventSubType Opcionales Enumerated Se admiten los siguientes subtipos:
- UserRead: Password, Hash
- UserCreated, GroupCreated, UserModified, GroupModified. Para obtener más información, consulte UpdatedPropertyName.
EventResult Mandatory Enumerated Aunque es posible que se produzca algún error, la mayoría de los sistemas solo informan de eventos de administración de usuarios correctos. El valor esperado para los eventos correctos es Success.
EventResultDetails Recomendado Enumerated Los valores válidos son NotAuthorized y Other.
EventSeverity Mandatory Enumerated Aunque se permite cualquier valor de gravedad válido, la gravedad de los eventos de administración de usuarios suele ser Informational.
EventSchema Mandatory String El nombre del esquema que se documenta aquí es UserManagement.
EventSchemaVersion Mandatory String Versión del esquema. La versión del esquema que se documenta aquí es 0.1.1.
Campos dvc En cuanto a los eventos de administración de usuarios, los campos de dispositivo hacen referencia al sistema que informa del evento. Este suele ser el sistema en el que se administra el usuario.

Todos los campos comunes

Los campos que aparecen en la tabla siguiente son comunes a todos los esquemas de ASIM. Cualquier directriz especificada anteriormente invalida las directrices generales para el campo. Por ejemplo, un campo podría ser opcional en general, pero obligatorio para un esquema específico. Para obtener más información sobre cada campo, consulte el siguiente artículo sobre los campos comunes de ASIM.

Clase Fields
Mandatory - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Recomendado - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Opcionales - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

Campos de propiedad actualizados

Campo Clase Tipo Descripción
UpdatedPropertyName Alias Alias a EventSubType cuando el tipo de evento es UserCreated, GroupCreated, UserModified o GroupModified.

Los valores admitidos son:
- MultipleProperties: se usa cuando la actividad actualiza varias propiedades.
- Previous<PropertyName>, donde <PropertyName> es uno de los tipos admitidos de UpdatedPropertyName.
- New<PropertyName>, donde <PropertyName> es uno de los tipos admitidos de UpdatedPropertyName.
PreviousPropertyValue Opcionales String Valor anterior que se almacenaba en la propiedad especificada.
NewPropertyValue Opcionales String Nuevo valor que se almacena en la propiedad especificada.

Campos de usuario de destino

Campo Clase Tipo Descripción
TargetUserId Opcionales String Representación única, alfanumérica y legible del usuario de destino.

Los formatos y tipos admitidos incluyen:
- - (Windows): S-1-5-21-1377283216-344919071-3415362939-500
- - (Linux): 4578
- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa
- - : 00urjk4znu3BcncfY0h7
- - : 72643944673

Almacene el tipo de identificador en el campo TargetUserIdType. Si hay otros id. disponibles, se recomienda normalizar los nombres de campo a TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId y TargetUserAwsId, respectivamente. Para más información, consulte la Entidad Usuario.

Ejemplo: S-1-12
TargetUserIdType Opcionales Enumerated Tipo de identificador almacenado en el campo TargetUserId.

Los valores admitidos son SID, UID, AADID, OktaId y AWSId.
TargetUsername Opcionales String Nombre de usuario de destino, incluida la información de dominio cuando esté disponible.

Use uno de los siguientes formatos y en el orden siguiente de prioridad:
- Upn/Email: johndow@contoso.com
- - : Contoso\johndow
- - : CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
- - : johndow. Use este formato Simple solo si no hay disponible información de dominio.

Almacene el tipo de nombre de usuario en el campo TargetUsernameType. Si hay otros identificadores disponibles, se recomienda normalizar los nombres de campo a TargetUserUpn, TargetUserWindows y TargetUserDn. Para obtener más información, consulte Entidad de usuario.

Ejemplo: AlbertE
TargetUsernameType Opcionales Enumerated Especifica el tipo de nombre de usuario almacenado en el campo TargetUsername. Los valores admitidos incluyen UPN, Windows, DN y Simple. Para más información, consulte la Entidad Usuario.

Ejemplo: Windows
TargetUserType Opcional Enumerated Tipo del usuario de destino. Los valores admitidos son:
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Other

Nota: El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. Almacene el valor original en el campo TargetOriginalUserType.
TargetOriginalUserType Opcionales String El tipo de usuario de destino original, si lo proporciona el origen.

Campos de actor

Campo Clase Tipo Descripción
ActorUserId Opcionales String Representación única, alfanumérica y legible del actor.

Los formatos y tipos admitidos incluyen:
- - (Windows): S-1-5-21-1377283216-344919071-3415362939-500
- - (Linux): 4578
- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa
- - : 00urjk4znu3BcncfY0h7
- - : 72643944673

Almacene el tipo de identificador en el campo ActorUserIdType. Si hay otros id. disponibles, se recomienda normalizar los nombres de campo a ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId y ActorAwsId, respectivamente. Para más información, consulte la Entidad Usuario.

Ejemplo: S-1-12
ActorUserIdType Opcionales Enumerated Tipo del identificador almacenado en el campo ActorUserId. Los valores admitidos incluyen SID, UID, AADID, OktaId y AWSId.
ActorUsername Mandatory String Nombre de usuario del actor, incluida la información de dominio cuando esté disponible.

Use uno de los siguientes formatos y en el orden siguiente de prioridad:
- Upn/Email: johndow@contoso.com
- - : Contoso\johndow
- - : CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
- - : johndow. Use este formato Simple solo si no hay disponible información de dominio.

Almacene el tipo de nombre de usuario en el campo ActorUsernameType. Si hay otros identificadores disponibles, se recomienda normalizar los nombres de campo a ActorUserUpn, ActorUserWindows y ActorUserDn.

Para más información, consulte la Entidad Usuario.

Ejemplo: AlbertE
User Alias Alias a ActorUsername.
ActorUsernameType Mandatory Enumerated Especifica el tipo de nombre de usuario almacenado en el campo ActorUsername. Los valores admitidos son UPN, Windows, DN y Simple. Para más información, consulte la Entidad Usuario.

Ejemplo: Windows
ActorUserType Opcionales Enumerated Tipo del actor. Los valores permitidos son:
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Other

Nota: El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. Almacene el valor original en el campo ActorOriginalUserType.
ActorOriginalUserType Tipo de usuario del actor original, si lo proporciona el origen.
ActorSessionId Opcional String Identificador único de la sesión de inicio de sesión de Actor.

Ejemplo: 999

Nota: El tipo se define como cadena para admitir distintos sistemas, pero en Windows este valor debe ser numérico.

Si usa una máquina Windows y ha usado un tipo diferente, asegúrese de convertir los valores. Por ejemplo, si ha utilizado un valor hexadecimal, conviértalo en un valor decimal.

Agrupar campos

Campo Clase Tipo Descripción
GroupId Opcionales String Representación del grupo única, alfanumérica y legible por una máquina, para las actividades que implican a un grupo.

Los formatos y tipos admitidos incluyen:
- - (Windows): S-1-5-21-1377283216-344919071-3415362939-500
- - (Linux): 4578

Almacene el tipo de identificador en el campo GroupIdType. Si hay otros id. disponibles, se recomienda normalizar los nombres de campo a GroupSid o GroupUid, respectivamente. Para más información, consulte la Entidad Usuario.

Ejemplo: S-1-12
GroupIdType Opcionales Enumerated Tipo del identificador almacenado en el campo GroupId.

Los valores admitidos son SID y UID.
GroupName Opcionales String Nombre del grupo, incluida la información de dominio cuando está disponible, para las actividades que implican a un grupo.

Use uno de los siguientes formatos y en el orden siguiente de prioridad:
- Upn/Email: grp@contoso.com
- - : Contoso\grp
- - : CN=grp,OU=Sales,DC=Fabrikam,DC=COM
- - : grp. Use este formato Simple solo si no hay disponible información de dominio.

Almacene el tipo de nombre del grupo en el campo GroupNameType. Si hay otros identificadores disponibles, se recomienda normalizar los nombres de campo en GroupUpn, GroupNameWindows y GroupDn.

Ejemplo: Contoso\Finance
GroupNameType Opcionales Enumerated Especifica el tipo del nombre del grupo almacenado en el campo GroupName. Los valores admitidos incluyen UPN, Windows, DN y Simple.

Ejemplo: Windows
GroupType Opcionales Enumerated Tipo del grupo, para las actividades que implican un grupo. Los valores admitidos son:
- Local Distribution
- Local Security Enabled
- Global Distribution
- Global Security Enabled
- Universal Distribution
- Universal Security Enabled
- Other

Nota: El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. Almacene el valor original en el campo GroupOriginalType.
GroupOriginalType Opcionales String Tipo de grupo original, si lo proporciona el origen.

Campos de origen

Campo Clase Tipo Descripción
Src Recomendado String Identificador único del dispositivo de destino.

Este campo puede ser un alias de los campos SrcDvcId, SrcHostname o SrcIpAddr.

Ejemplo: 192.168.12.1
SrcIpAddr Recomendado Dirección IP Dirección IP del dispositivo de origen. Este valor es obligatorio si se especifica SrcHostname.

Ejemplo: 77.138.103.108
IpAddr Alias Alias de SrcIpAddr.
SrcHostname Recomendado String Nombre de host del dispositivo de origen, excepto la información de dominio.

Ejemplo: DESKTOP-1282V4D
SrcDomain Recomendado String Dominio del dispositivo de origen.

Ejemplo: Contoso
SrcDomainType Recomendado Enumerated Tipo de SrcDomain, si se conoce. Los valores posibles son:
- Windows (por ejemplo, contoso)
- FQDN (por ejemplo, microsoft.com)

Obligatorio si se usa el campo SrcDomain.
SrcFQDN Opcional String Nombre de host del dispositivo de origen, incluida la información de dominio cuando está disponible.

Nota: Este campo admite tanto el formato de FQDN tradicional como el formato de dominio\nombre de host de Windows. El campo SrcDomainType refleja el formato usado.

Ejemplo: Contoso\DESKTOP-1282V4D
SrcDvcId Opcional String Identificador del dispositivo de origen tal y como se muestra en el registro.

Ejemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId Opcionales String Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. SrcDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
SrcDvcScope Opcionales String Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. SrcDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
SrcDvcIdType Opcionales Enumerated Tipo de SrcDvcId, si se conoce. Los valores posibles son:
- AzureResourceId
- MDEid

Si hay varios identificadores disponibles, use el primero de la lista anterior y almacene los demás en los campos SrcDvcAzureResourceId y SrcDvcMDEid, respectivamente.

Nota: Este campo es necesario si se usa el campo SrcDvcId.
SrcDeviceType Opcionales Enumerated Tipo del dispositivo de origen. Los valores posibles son:
- Computer
- Mobile Device
- IOT Device
- Other
SrcGeoCountry Opcionales Country País o región asociado a la dirección IP de origen.

Ejemplo: USA
SrcGeoRegion Opcionales Region Región asociada con la dirección IP de origen.

Ejemplo: Vermont
SrcGeoCity Opcionales City (Ciudad) Ciudad asociada con la dirección IP de origen.

Ejemplo: Burlington
SrcGeoLatitude Opcionales Latitud Latitud de la coordenada geográfica asociada con la dirección IP de origen.

Ejemplo: 44.475833
SrcGeoLongitude Opcionales Longitud Longitud de la coordenada geográfica asociada con la dirección IP de origen.

Ejemplo: 73.211944

Aplicación en acción

Campo Clase Tipo Description
ActingAppId Opcional String Identificador de la aplicación que usa el actor para realizar la actividad, incluido un proceso, un explorador o un servicio.

Por ejemplo: 0x12ae8
ActingAppName Opcional String Nombre de la aplicación que usa el actor para realizar la actividad, incluido un proceso, un explorador o un servicio.

Por ejemplo: C:\Windows\System32\svchost.exe
ActingAppType Opcionales Enumerated Tipo de la aplicación que actúa. Los valores admitidos incluyen ,
- Process
- Browser
- Resource
- Other
HttpUserAgent Opcional String Cuando se realiza la autenticación a través de HTTP o HTTPS, el valor de este campo es el encabezado HTTP user_agent proporcionado por la aplicación que actúa al realizar la autenticación.

Por ejemplo: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

Campos y alias adicionales

Campo Clase Tipo Descripción
Hostname Alias Alias a DvcHostname.

Pasos siguientes

Para más información, consulte: