Referência do esquema de normalização do gerenciamento de usuários do Microsoft Sentinel (visualização)
O esquema de normalização de gerenciamento de usuários do Microsoft Sentinel é usado para descrever atividades de gerenciamento de usuários, como criar um usuário ou um grupo, alterar o atributo de usuário ou adicionar um usuário a um grupo. Tais eventos são relatados, por exemplo, por sistemas operacionais, serviços de diretório, sistemas de gerenciamento de identidade e qualquer outro sistema que informe sobre sua atividade de gerenciamento de usuários local.
Para obter mais informações sobre normalização no Microsoft Sentinel, consulte Normalização e o modelo avançado de informações de segurança (ASIM).
Importante
O esquema de normalização de gerenciamento de usuários está atualmente em visualização. Este recurso é fornecido sem um contrato de nível de serviço. Não recomendamos para cargas de trabalho de produção.
Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Descrição geral do esquema
O esquema de gerenciamento de usuários ASIM descreve as atividades de gerenciamento de usuários. As atividades normalmente incluem as seguintes entidades:
- Ator - o usuário que executa a atividade de gerenciamento.
- Processo de Atuação - o processo utilizado pelo ator para realizar a atividade de gestão.
- Src - quando a atividade é realizada através da rede, o dispositivo de origem a partir do qual a atividade foi iniciada.
- Usuário alvo - o usuário cuja conta é gerenciada.
- Agrupe o usuário de destino que é adicionado ou removido, ou está sendo modificado.
Algumas atividades, como UserCreated, GroupCreated, UserModified e GroupModified*, definem ou atualizam as propriedades do usuário. O conjunto de propriedades ou atualizado está documentado nos seguintes campos:
- EventSubType - o nome do valor que foi definido ou atualizado. UpdatedPropertyName é um alias para EventSubType quando EventSubType se refere a um dos tipos de evento relevantes.
- PreviousPropertyValue - o valor anterior da propriedade.
- NewPropertyValue - o valor atualizado da propriedade.
Detalhes do esquema
Campos ASIM comuns
Importante
Os campos comuns a todos os esquemas são descritos em detalhes no artigo Campos comuns do ASIM.
Domínios comuns com orientações específicas
A lista a seguir menciona campos que têm diretrizes específicas para eventos de atividade de processo:
Campo | Classe | Tipo | Description |
---|---|---|---|
Tipo de Evento | Obrigatório | Enumerated | Descreve a operação relatada pelo registro. Para a atividade de Gerenciamento de Usuários, os valores suportados são: - UserCreated - UserDeleted - UserModified - UserLocked - UserUnlocked - UserDisabled - UserEnabled - PasswordChanged - PasswordReset - GroupCreated - GroupDeleted - GroupModified - UserAddedToGroup - UserRemovedFromGroup - GroupEnumerated - UserRead - GroupRead |
SubTipo de Evento | Opcional | Enumerated | Os seguintes subtipos são suportados: - UserRead : Senha, Hash- UserCreated , GroupCreated , UserModified , GroupModified . Para obter mais informações, consulte UpdatedPropertyName |
EventResult | Obrigatório | Enumerated | Embora a falha seja possível, a maioria dos sistemas relata apenas eventos de gerenciamento de usuários bem-sucedidos. O valor esperado para eventos bem-sucedidos é Success . |
EventResultDetails | Recomendado | Enumerated | Os valores válidos são NotAuthorized e Other . |
EventSeverity | Obrigatório | Enumerated | Embora qualquer valor de gravidade válido seja permitido, a severidade dos eventos de gerenciamento de usuários normalmente é Informational . |
EventSchema | Obrigatório | String | O nome do esquema documentado aqui é UserManagement . |
EventSchemaVersion | Obrigatório | String | A versão do esquema. A versão do esquema documentada aqui é 0.1.1 . |
Campos Dvc | Para eventos de gerenciamento de usuários, os campos de dispositivo referem-se ao sistema que relata o evento. Este é geralmente o sistema no qual o usuário é gerenciado. |
Todos os campos comuns
Os campos que aparecem na tabela abaixo são comuns a todos os esquemas ASIM. Qualquer diretriz especificada acima substitui as diretrizes gerais para o campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais detalhes sobre cada campo, consulte o artigo Campos comuns do ASIM.
Classe | Campos |
---|---|
Obrigatório | - EventCount - EventStartTime - EventEndTime - Tipo de Evento - EventResult - EventoProduto - EventVendor - EventSchema - EventSchemaVersion - DVC |
Recomendado | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcNome do host - DvcDomínio - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
Opcional | - EventMessage - SubTipo de Evento - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Proprietário do Evento - DvcZona - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campos Adicionais - DvcDescrição - DvcScopeId - DvcScope |
Campos de propriedade atualizados
Campo | Classe | Tipo | Description |
---|---|---|---|
UpdatedPropertyName | Alias | Alias para EventSubType quando o Tipo de Evento é UserCreated , GroupCreated , UserModified ou GroupModified .Os valores suportados são: - MultipleProperties : Usado quando a atividade atualiza várias propriedades- Previous<PropertyName> , onde <PropertyName> é um dos valores suportados para UpdatedPropertyName . - New<PropertyName> , onde <PropertyName> é um dos valores suportados para UpdatedPropertyName . |
|
AnteriorPropertyValue | Opcional | String | O valor anterior que foi armazenado na propriedade especificada. |
NewPropertyValue | Opcional | String | O novo valor armazenado na propriedade especificada. |
Campos de utilizador alvo
Campo | Classe | Tipo | Description |
---|---|---|---|
TargetUserId | Opcional | String | Uma representação única, alfanumérica e legível por máquina do utilizador alvo. Os formatos e tipos suportados incluem: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500 - UID (Linux): 4578 - AADID (ID do Microsoft Entra): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa - OktaId: 00urjk4znu3BcncfY0h7 - AWSId: 72643944673 Armazene o tipo de ID no campo TargetUserIdType . Se outros IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId e TargetUserAwsId, respectivamente. Para obter mais informações, consulte A entidade Usuário. Exemplo: S-1-12 |
TargetUserIdType | Opcional | Enumerated | O tipo do ID armazenado no campo TargetUserId . Os valores suportados são SID , UID , AADID , OktaId e AWSId . |
TargetUsername | Opcional | String | O nome de usuário de destino, incluindo informações de domínio, quando disponíveis. Use um dos seguintes formatos e na seguinte ordem de prioridade: - Upn/E-mail: johndow@contoso.com - Janelas: Contoso\johndow - DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM - Simples: johndow . Use o formulário Simples somente se as informações do domínio não estiverem disponíveis.Armazene o tipo de nome de usuário no campo TargetUsernameType . Se outras IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para TargetUserUpn, TargetUserWindows e TargetUserDn. Para obter mais informações, consulte A entidade Usuário. Exemplo: AlbertE |
TargetUsernameType | Opcional | Enumerated | Especifica o tipo do nome de usuário armazenado no campo TargetUsername . Os valores suportados incluem UPN , Windows , DN e Simple . Para obter mais informações, consulte A entidade Usuário.Exemplo: Windows |
TargetUserType | Opcional | Enumerated | O tipo de usuário alvo. Os valores suportados incluem: - Regular - Machine - Admin - System - Application - Service Principal - Other Nota: O valor pode ser fornecido no registro de origem usando termos diferentes, que devem ser normalizados para esses valores. Armazene o valor original no campo TargetOriginalUserType . |
TargetOriginalUserType | Opcional | String | O tipo de usuário de destino original, se fornecido pela origem. |
Campos de atores
Campo | Classe | Tipo | Description |
---|---|---|---|
ActorUserId | Opcional | String | Uma representação única, alfanumérica e legível por máquina do Ator. Os formatos e tipos suportados incluem: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500 - UID (Linux): 4578 - AADID (ID do Microsoft Entra): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa - OktaId: 00urjk4znu3BcncfY0h7 - AWSId: 72643944673 Armazene o tipo de ID no campo ActorUserIdType . Se outras IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId e ActorAwsId, respectivamente. Para obter mais informações, consulte A entidade Usuário. Exemplo: S-1-12 |
ActorUserIdType | Opcional | Enumerated | O tipo de ID armazenado no campo ActorUserId . Os valores suportados incluem SID , UID , AADID , OktaId e AWSId . |
ActorUsername | Obrigatório | String | O nome de usuário do ator, incluindo informações de domínio, quando disponíveis. Use um dos seguintes formatos e na seguinte ordem de prioridade: - Upn/E-mail: johndow@contoso.com - Janelas: Contoso\johndow - DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM - Simples: johndow . Use o formulário Simples somente se as informações do domínio não estiverem disponíveis.Armazene o tipo de nome de usuário no campo ActorUsernameType . Se outras IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para ActorUserUpn, ActorUserWindows e ActorUserDn. Para obter mais informações, consulte A entidade Usuário. Exemplo: AlbertE |
Utilizador | Alias | Alias para ActorUsername. | |
ActorUsernameType | Obrigatório | Enumerated | Especifica o tipo do nome de usuário armazenado no campo ActorUsername . Os valores suportados são UPN , Windows , DN e Simple . Para obter mais informações, consulte A entidade Usuário.Exemplo: Windows |
ActorUserType | Opcional | Enumerated | O tipo do ator. Os valores permitidos são: - Regular - Machine - Admin - System - Application - Service Principal - Other Nota: O valor pode ser fornecido no registro de origem usando termos diferentes, que devem ser normalizados para esses valores. Armazene o valor original no campo ActorOriginalUserType . |
ActorOriginalUserType | O tipo de usuário do ator original, se fornecido pela fonte. | ||
ActorSessionId | Opcional | String | O ID exclusivo da sessão de login do Ator. Exemplo: 999 Nota: O tipo é definido como string para suportar sistemas variados, mas no Windows esse valor deve ser numérico. Se você estiver usando uma máquina Windows e usou um tipo diferente, certifique-se de converter os valores. Por exemplo, se você usou um valor hexadecimal, converta-o em um valor decimal. |
Campos de grupo
Campo | Classe | Tipo | Description |
---|---|---|---|
Id do Grupo | Opcional | String | Uma representação única, alfanumérica e legível por máquina do grupo, para atividades que envolvam um grupo. Os formatos e tipos suportados incluem: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500 - UID (Linux): 4578 Armazene o tipo de ID no campo GroupIdType . Se outras IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para GroupSid ou GroupUid, respectivamente. Para obter mais informações, consulte A entidade Usuário. Exemplo: S-1-12 |
GroupIdType | Opcional | Enumerated | O tipo de ID armazenado no campo GroupId . Os valores suportados são SID , e UID . |
Nome do Grupo | Opcional | String | O nome do grupo, incluindo informações de domínio, quando disponíveis, para atividades que envolvam um grupo. Use um dos seguintes formatos e na seguinte ordem de prioridade: - Upn/E-mail: grp@contoso.com - Janelas: Contoso\grp - DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM - Simples: grp . Use o formulário Simples somente se as informações do domínio não estiverem disponíveis.Armazene o tipo de nome do grupo no campo GroupNameType . Se outras IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para GroupUpn, GroupNameWindows e GroupDn. Exemplo: Contoso\Finance |
GroupNameType | Opcional | Enumerated | Especifica o tipo do nome do grupo armazenado no campo GroupName . Os valores suportados incluem UPN , Windows , DN e Simple .Exemplo: Windows |
Tipo de Grupo | Opcional | Enumerated | O tipo de grupo, para atividades que envolvam um grupo. Os valores suportados incluem: - Local Distribution - Local Security Enabled - Global Distribution - Global Security Enabled - Universal Distribution - Universal Security Enabled - Other Nota: O valor pode ser fornecido no registro de origem usando termos diferentes, que devem ser normalizados para esses valores. Armazene o valor original no campo GroupOriginalType . |
GroupOriginalType | Opcional | String | O tipo de grupo original, se fornecido pela fonte. |
Campos de origem
Campo | Classe | Tipo | Description |
---|---|---|---|
Src | Recomendado | String | Um identificador exclusivo do dispositivo de origem. Este campo pode usar o alias dos campos SrcDvcId, SrcHostname ou SrcIpAddr . Exemplo: 192.168.12.1 |
SrcIpAddr | Recomendado | Endereço IP | O endereço IP do dispositivo de origem. Esse valor é obrigatório se SrcHostname for especificado. Exemplo: 77.138.103.108 |
IpAddr | Alias | Alias para SrcIpAddr. | |
SrcHostname | Recomendado | String | O nome de host do dispositivo de origem, excluindo informações de domínio. Exemplo: DESKTOP-1282V4D |
Domínio Src | Recomendado | String | O domínio do dispositivo de origem. Exemplo: Contoso |
SrcDomainType | Recomendado | Enumerated | O tipo de SrcDomain, se conhecido. Valores possíveis incluem: - Windows (tais como contoso )- FQDN (tais como microsoft.com )Necessário se SrcDomain for usado. |
SrcFQDN | Opcional | String | O nome de host do dispositivo de origem, incluindo informações de domínio, quando disponíveis. Nota: Este campo suporta o formato FQDN tradicional e o formato domínio\nome de anfitrião do Windows. O campo SrcDomainType reflete o formato usado. Exemplo: Contoso\DESKTOP-1282V4D |
SrcDvcId | Opcional | String | A ID do dispositivo de origem, conforme relatado no registro. Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
SrcDvcScopeId | Opcional | String | O ID de escopo da plataforma de nuvem ao qual o dispositivo pertence. O SrcDvcScopeId é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
SrcDvcScope | Opcional | String | O escopo da plataforma de nuvem ao qual o dispositivo pertence. O SrcDvcScope é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
SrcDvcIdType | Opcional | Enumerated | O tipo de SrcDvcId, se conhecido. Valores possíveis incluem: - AzureResourceId - MDEid Se várias IDs estiverem disponíveis, use a primeira da lista anterior e armazene as outras em SrcDvcAzureResourceId e SrcDvcMDEid, respectivamente. Nota: Este campo é obrigatório se SrcDvcId for usado. |
SrcDeviceType | Opcional | Enumerated | O tipo do dispositivo de origem. Valores possíveis incluem: - Computer - Mobile Device - IOT Device - Other |
SrcGeoCountry | Opcional | País | O país/região associado ao endereço IP de origem. Exemplo: USA |
SrcGeoRegion | Opcional | País/Região | A região associada ao endereço IP de origem. Exemplo: Vermont |
SrcGeoCity | Opcional | City | A cidade associada ao endereço IP de origem. Exemplo: Burlington |
SrcGeoLatitude | Opcional | Latitude | A latitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 44.475833 |
SrcGeoLongitude | Opcional | Longitude | A longitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 73.211944 |
Aplicação em exercício
Campo | Classe | Tipo | Description |
---|---|---|---|
ActingAppId | Opcional | String | A ID do aplicativo usado pelo ator para executar a atividade, incluindo um processo, navegador ou serviço. Por exemplo: 0x12ae8 |
ActingAppName | Opcional | String | O nome do aplicativo usado pelo ator para executar a atividade, incluindo um processo, navegador ou serviço. Por exemplo: C:\Windows\System32\svchost.exe |
ActingAppType | Opcional | Enumerated | O tipo de aplicação atuante. Os valores suportados incluem: - Process - Browser - Resource - Other |
HttpUserAgent | Opcional | String | Quando a autenticação é executada por HTTP ou HTTPS, o valor desse campo é o cabeçalho HTTP user_agent fornecido pelo aplicativo que atua ao executar a autenticação. Por exemplo: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Campos e aliases adicionais
Campo | Classe | Tipo | Description |
---|---|---|---|
Nome de Anfitrião | Alias | Alias para DvcHostname. |
Próximos passos
Para obter mais informações, consulte:
- Assista ao Webinar da ASIM ou revise os slides
- Visão geral do ASIM (Advanced Security Information Model, modelo avançado de informações de segurança)
- Esquemas ASIM (Advanced Security Information Model)
- Analisadores ASIM (Advanced Security Information Model)
- Conteúdo do modelo avançado de informações de segurança (ASIM)