Referência de esquema de normalização do gerenciamento de usuários do Microsoft Sentinel (versão prévia)
O esquema de normalização do gerenciamento de usuários do Microsoft Sentinel é usado para descrever atividades de gerenciamento de usuários, como a criação de um usuário ou grupo, a alteração do atributo de usuário ou a adição de um usuário a um grupo. Esses eventos são relatados, por exemplo, por sistemas operacionais, serviços de diretório, sistemas de gerenciamento de identidade e qualquer outro relatório do sistema sobre a atividade de gerenciamento de usuário local.
Para saber mais sobre a normalização no Microsoft Sentinel, confira Normalização e o ASIM (Modelo de Informações de Segurança Avançado).
Importante
O esquema de normalização do gerenciamento de usuários está atualmente em versão prévia. O recurso é fornecido sem um Contrato de Nível de Serviço. Não o recomendamos para carga de trabalho de produção.
Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Visão geral do esquema
O esquema de gerenciamento de usuários do ASIM descreve as atividades de gerenciamento de usuários. As atividades normalmente incluem estas entidades:
- Ator: o usuário que executa a atividade de gerenciamento.
- Processo de Ação: o processo usado pelo ator para executar a atividade de gerenciamento.
- Src: quando a atividade é executada pela rede, o dispositivo de origem do qual a atividade foi iniciada.
- Usuário de destino: o usuário que tem a conta gerenciada.
- Grupo: o usuário de destino é adicionado, removido ou modificado.
Algumas atividades, como UserCreated, GroupCreated, UserModified e GroupModified*, configuram ou atualizam as propriedades do usuário. As propriedades configuradas ou atualizadas estão documentadas nos seguintes campos:
- EventSubType: é o nome do valor que foi definido ou atualizado. UpdatedPropertyName: é um alias para EventSubType quando EventSubType se refere a um dos tipos de evento relevantes.
- PreviousPropertyValue: é o valor anterior da propriedade.
- NewPropertyValue: é o valor atualizado da propriedade.
Detalhes do esquema
Campos comuns do ASIM
Importante
Os campos comuns a todos os esquemas estão descritos em detalhes no artigo Campos comuns do ASIM.
Campos comuns com diretrizes específicas
A lista a seguir menciona os campos que têm diretrizes específicas para eventos da atividade de processo:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| EventType | Obrigatório | Enumerated | Descreve a operação relatada pelo registro. Para a atividade Gerenciamento de Usuários, os valores com suporte são: - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| EventSubType | Opcional | Enumerated | Os seguintes subtipos têm suporte: - UserRead: Senha, Hash- UserCreated, GroupCreated, UserModified, GroupModified. Para mais informações, confira UpdatedPropertyName |
| EventResult | Obrigatório | Enumerated | Embora a falha seja possível, a maioria dos sistemas relata apenas eventos de gerenciamento de usuário com sucesso. O valor esperado de eventos bem-sucedidos é Success. |
| EventResultDetails | Recomendadas | Enumerated | Os valores válidos são NotAuthorized e Other. |
| EventSeverity | Obrigatório | Enumerated | Embora qualquer valor de severidade válido seja permitido, a severidade dos eventos de gerenciamento de usuário geralmente é Informational. |
| EventSchema | Obrigatório | String | O nome do esquema documentado aqui é UserManagement. |
| EventSchemaVersion | Obrigatório | String | A versão do esquema. A versão do esquema documentado aqui é 0.1.1. |
| Campos Dvc | Nos eventos de gerenciamento de usuário, os campos do dispositivo referem-se ao sistema que relata o evento. Geralmente, esse é o sistema em que o usuário é gerenciado. |
Todos campos comuns
Os campos que aparecem na tabela abaixo são comuns a todos os esquemas do ASIM. Qualquer diretriz especificada acima substitui as diretrizes gerais do campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para saber mais sobre cada campo, confira o artigo Campos comuns do ASIM.
| Classe | Fields |
|---|---|
| Obrigatório | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendadas | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campos de propriedade atualizados
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| UpdatedPropertyName | Alias | Alias para EventSubType quando o Tipo de Evento é UserCreated, GroupCreated, UserModified ou GroupModified.Os valores com suporte são: - MultipleProperties: usado quando a atividade atualiza várias propriedades- Previous<PropertyName>, em que <PropertyName> é um dos valores com suporte para UpdatedPropertyName. - New<PropertyName>, em que <PropertyName> é um dos valores com suporte para UpdatedPropertyName. |
|
| PreviousPropertyValue | Opcional | String | O valor anterior armazenado na propriedade especificada. |
| NewPropertyValue | Opcional | String | O novo valor armazenado na propriedade especificada. |
Campos de usuário de destino
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| TargetUserId | Opcional | String | Uma representação exclusiva, alfanumérica e legível pelo computador do usuário de destino. Os formatos e os tipos compatíveis incluem: - - (Windows): S-1-5-21-1377283216-344919071-3415362939-500- - (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- - : 00urjk4znu3BcncfY0h7- - : 72643944673Armazene o tipo de ID no campo TargetUserIdType. Se outras IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaIde TargetUserAwsId, respectivamente. Para saber mais, confira A entidade de usuário. Exemplo: S-1-12 |
| TargetUserIdType | Opcional | Enumerated | O tipo da ID armazenada no campo TargetUserId. Os valores com suporte são SID, UID, AADID, OktaId e AWSId. |
| TargetUsername | Opcional | String | O nome de usuário de destino, incluindo informações de domínio, quando disponíveis. Use um dos seguintes formatos e na seguinte ordem de prioridade: - Upn/Email: johndow@contoso.com- - : Contoso\johndow- - : CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- - : johndow. Use o formulário Simples somente quando as informações de domínio não estiverem disponíveis.Armazene o tipo de nome de usuário no campo TargetUsernameType. Se outras IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para TargetUserUpn, TargetUserWindows e TargetUserDn. Para saber mais, confira A entidade de usuário. Exemplo: AlbertE |
| TargetUsernameType | Opcional | Enumerated | Especifica o tipo de nome de usuário armazenado no campo TargetUsername. Os valores compatíveis incluem: UPN, Windows, DN e Simple. Para saber mais, confira A entidade de usuário.Exemplo: Windows |
| TargetUserType | Opcional | Enumerated | O tipo de usuário de destino. Os valores compatíveis incluem: - Regular- Machine- Admin- System- Application- Service Principal- OtherObservação: O valor pode ser fornecido no registro de origem usando diferentes termos, que devem ser normalizados para esses valores. Armazene o valor original no campo TargetOriginalUserType. |
| TargetOriginalUserType | Opcional | Cadeia de caracteres | O tipo de usuário de destino original, se fornecido pela fonte. |
Campos de ator
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| ActorUserId | Opcional | String | Uma representação exclusiva, alfanumérica e legível pelo computador de um Ator. Os formatos e os tipos compatíveis incluem: - - (Windows): S-1-5-21-1377283216-344919071-3415362939-500- - (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- - : 00urjk4znu3BcncfY0h7- - : 72643944673Armazene o tipo de ID no campo ActorUserIdType. Se outras IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId e ActorAwsId, respectivamente. Para saber mais, confira A entidade de usuário. Exemplo: S-1-12 |
| ActorUserIdType | Opcional | Enumerated | O tipo da ID armazenada no campo ActorUserId. Os valores compatíveis incluem: SID, UID, AADID, OktaId e AWSId. |
| ActorUsername | Obrigatório | String | O nome de usuário do ator, incluindo informações de domínio, quando disponíveis. Use um dos seguintes formatos e na seguinte ordem de prioridade: - Upn/Email: johndow@contoso.com- - : Contoso\johndow- - : CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- - : johndow. Use o formulário Simples somente quando as informações de domínio não estiverem disponíveis.Armazene o tipo de nome de usuário no campo ActorUsernameType. Se outras IDs estiverem disponíveis, recomendaremos que você normalize os nomes de campo para ActorUserUpn, ActorUserWindows e ActorUserDn. Para saber mais, confira A entidade de usuário. Exemplo: AlbertE |
| Usuário | Alias | Alias para ActorUsername. | |
| ActorUsernameType | Obrigatório | Enumerated | Especifica o tipo de nome de usuário armazenado no campo ActorUsername. Os valores compatíveis são: UPN, Windows, DN e Simple. Para saber mais, confira A entidade de usuário.Exemplo: Windows |
| ActorUserType | Opcional | Enumerated | O tipo do ator. Valores permitidos são: - Regular- Machine- Admin- System- Application- Service Principal- OtherObservação: O valor pode ser fornecido no registro de origem usando diferentes termos, que devem ser normalizados para esses valores. Armazene o valor original no campo ActorOriginalUserType. |
| ActorOriginalUserType | O tipo de usuário ator original, se fornecido pela origem. | ||
| ActorSessionId | Opcional | Cadeia de caracteres | A ID exclusiva da sessão de logon de Actor. Exemplo: 999Observação: o tipo é definido como uma cadeia de caracteres para ser compatível com sistemas variados, mas no Windows esse valor deve ser numérico. Se você estiver usando um computador Windows e tiver usado um tipo diferente, converta os valores. Por exemplo, se você tiver usado um valor hexadecimal, converta-o em um valor decimal. |
Campos de grupo
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| GroupId | Opcional | String | Uma representação alfanumérica e exclusiva do grupo, legível por computador, de atividades que envolvem um grupo. Os formatos e os tipos compatíveis incluem: - - (Windows): S-1-5-21-1377283216-344919071-3415362939-500- - (Linux): 4578Armazene o tipo de ID no campo GroupIdType. Quando outras IDs estão disponíveis, recomendamos que você normalize os nomes de campo para GroupSid ou GroupUid, respectivamente. Para saber mais, confira A entidade de usuário. Exemplo: S-1-12 |
| GroupIdType | Opcional | Enumerated | O tipo da ID armazenada no campo GroupId. Os valores compatíveis são SID e UID. |
| GroupName | Opcional | String | O nome do grupo, incluindo informações de domínio, quando disponível, para atividades que envolvem um grupo. Use um dos seguintes formatos e na seguinte ordem de prioridade: - Upn/Email: grp@contoso.com- - : Contoso\grp- - : CN=grp,OU=Sales,DC=Fabrikam,DC=COM- - : grp. Use o formulário Simples somente quando as informações de domínio não estiverem disponíveis.Armazene o tipo de nome do grupo no campo GroupNameType. Se outras IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para GroupUpn, GroupNameWindows e GroupDn. Exemplo: Contoso\Finance |
| GroupNameType | Opcional | Enumerated | Especifica o tipo do nome do grupo armazenado no campo GroupName. Os valores compatíveis incluem: UPN, Windows, DN e Simple.Exemplo: Windows |
| GroupType | Opcional | Enumerated | O tipo do grupo, para atividades que envolvem um grupo. Os valores compatíveis incluem: - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- OtherObservação: O valor pode ser fornecido no registro de origem usando diferentes termos, que devem ser normalizados para esses valores. Armazene o valor original no campo GroupOriginalType. |
| GroupOriginalType | Opcional | String | O tipo de grupo original, se fornecido pela origem. |
Campos de origem
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Src | Recomendadas | String | Um identificador exclusivo do dispositivo de origem. Esse campo pode gerar alias dos campos SrcDvcId, SrcHostname ou SrcIpAddr. Exemplo: 192.168.12.1 |
| SrcIpAddr | Recomendadas | Endereço IP | O endereço IP do dispositivo de origem. Esse valor será obrigatório se SrcHostname for especificado. Exemplo: 77.138.103.108 |
| IpAddr | Alias | Alias para SrcIpAddr. | |
| SrcNome do host | Recomendadas | String | O nome do host do dispositivo de origem, incluindo informações de domínio. Exemplo: DESKTOP-1282V4D |
| SrcDomain | Recomendadas | String | O domínio do dispositivo de origem. Exemplo: Contoso |
| SrcDomainType | Recomendadas | Enumerated | O tipo de SrcDomain, se conhecido. Os valores possíveis incluem: - Windows (como contoso)- FQDN (como microsoft.com)Necessário se SrcDomain for usado. |
| SrcFQDN | Opcional | Cadeia de caracteres | O nome do host do dispositivo de origem, incluindo informações de domínio quando disponível. Observação: esse campo dá suporte ao formato FQDN tradicional e ao formato domínio\nome do host do Windows. O campo SrcDomainType reflete o formato usado. Exemplo: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Opcional | Cadeia de caracteres | A ID do dispositivo de origem, conforme relatado no registro. Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcional | String | A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do SrcDvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
| SrcDvcScope | Opcional | String | O escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do SrcDvcScope para uma ID da assinatura no Azure e para uma ID da conta no AWS. |
| SrcDvcIdType | Opcional | Enumerated | O tipo de SrcDvcId, se conhecido. Os valores possíveis incluem: - AzureResourceId- MDEidSe várias IDs estão disponíveis, use a primeira da lista acima e armazene as outras em SrcDvcAzureResourceId e SrcDvcMDEid, respectivamente. Observação: esse campo será obrigatório se SrcDvcId for usado. |
| SrcDeviceType | Opcional | Enumerated | O tipo do dispositivo de origem. Os valores possíveis incluem: - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | Opcional | País | O país/região associado ao endereço IP de origem. Exemplo: USA |
| SrcGeoRegion | Opcional | Região | A região associada ao endereço IP de origem. Exemplo: Vermont |
| SrcGeoCity | Opcional | City | A cidade associada ao endereço IP de origem. Exemplo: Burlington |
| SrcGeoLatitude | Opcional | Latitude | A latitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 44.475833 |
| SrcGeoLongitude | Opcional | Longitude | A longitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 73.211944 |
Aplicativo de ação
| Campo | Classe | Tipo | Description |
|---|---|---|---|
| ActingAppId | Opcional | String | A ID do aplicativo usado pelo ator para executar a atividade, incluindo um processo, navegador ou serviço. Por exemplo: 0x12ae8 |
| ActingAppName | Opcional | String | O nome do aplicativo usado pelo ator para executar a atividade, incluindo um processo, navegador ou serviço. Por exemplo: C:\Windows\System32\svchost.exe |
| ActingAppType | Opcional | Enumerated | O tipo de aplicativo de ação. Os valores compatíveis incluem: - Process - Browser - Resource - Other |
| HttpUserAgent | Opcional | Cadeia de caracteres | Quando a autenticação é executada por HTTP ou HTTPS, o valor desse campo é o cabeçalho HTTP user_agent fornecido pelo aplicativo de ação ao executar a autenticação. Por exemplo: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Campos e aliases adicionais
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Hostname | Alias | Alias para DvcHostname. |
Próximas etapas
Para obter mais informações, consulte:
- Assista ao Webinar do ASIM ou examine os slides
- Visão geral do ASIM (Modelo de Informações de Segurança Avançado)
- Esquemas do ASIM (Modelo de Informações de Segurança Avançado)
- Analisadores do ASIM (Modelo de Informações de Segurança Avançado)
- Conteúdo do ASIM (Modelo de Informações de Segurança Avançado)