Partilhar via


Referência do esquema de normalização do gerenciamento de usuários do Microsoft Sentinel (visualização)

O esquema de normalização de gerenciamento de usuários do Microsoft Sentinel é usado para descrever atividades de gerenciamento de usuários, como criar um usuário ou um grupo, alterar o atributo de usuário ou adicionar um usuário a um grupo. Tais eventos são relatados, por exemplo, por sistemas operacionais, serviços de diretório, sistemas de gerenciamento de identidade e qualquer outro sistema que informe sobre sua atividade de gerenciamento de usuários local.

Para obter mais informações sobre normalização no Microsoft Sentinel, consulte Normalização e o modelo avançado de informações de segurança (ASIM).

Importante

O esquema de normalização de gerenciamento de usuários está atualmente em visualização. Este recurso é fornecido sem um contrato de nível de serviço. Não recomendamos para cargas de trabalho de produção.

Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Descrição geral do esquema

O esquema de gerenciamento de usuários ASIM descreve as atividades de gerenciamento de usuários. As atividades normalmente incluem as seguintes entidades:

  • Ator - o usuário que executa a atividade de gerenciamento.
  • Processo de Atuação - o processo utilizado pelo ator para realizar a atividade de gestão.
  • Src - quando a atividade é realizada através da rede, o dispositivo de origem a partir do qual a atividade foi iniciada.
  • Usuário alvo - o usuário cuja conta é gerenciada.
  • Agrupe o usuário de destino que é adicionado ou removido, ou está sendo modificado.

Algumas atividades, como UserCreated, GroupCreated, UserModified e GroupModified*, definem ou atualizam as propriedades do usuário. O conjunto de propriedades ou atualizado está documentado nos seguintes campos:

Detalhes do esquema

Campos ASIM comuns

Importante

Os campos comuns a todos os esquemas são descritos em detalhes no artigo Campos comuns do ASIM.

Domínios comuns com orientações específicas

A lista a seguir menciona campos que têm diretrizes específicas para eventos de atividade de processo:

Campo Classe Tipo Description
Tipo de Evento Obrigatório Enumerated Descreve a operação relatada pelo registro.

Para a atividade de Gerenciamento de Usuários, os valores suportados são:
- UserCreated
- UserDeleted
- UserModified
- UserLocked
- UserUnlocked
- UserDisabled
- UserEnabled
- PasswordChanged
- PasswordReset
- GroupCreated
- GroupDeleted
- GroupModified
- UserAddedToGroup
- UserRemovedFromGroup
- GroupEnumerated
- UserRead
- GroupRead
SubTipo de Evento Opcional Enumerated Os seguintes subtipos são suportados:
- UserRead: Senha, Hash
- UserCreated, GroupCreated, UserModified, GroupModified. Para obter mais informações, consulte UpdatedPropertyName
EventResult Obrigatório Enumerated Embora a falha seja possível, a maioria dos sistemas relata apenas eventos de gerenciamento de usuários bem-sucedidos. O valor esperado para eventos bem-sucedidos é Success.
EventResultDetails Recomendado Enumerated Os valores válidos são NotAuthorized e Other.
EventSeverity Obrigatório Enumerated Embora qualquer valor de gravidade válido seja permitido, a severidade dos eventos de gerenciamento de usuários normalmente é Informational.
EventSchema Obrigatório String O nome do esquema documentado aqui é UserManagement.
EventSchemaVersion Obrigatório String A versão do esquema. A versão do esquema documentada aqui é 0.1.1.
Campos Dvc Para eventos de gerenciamento de usuários, os campos de dispositivo referem-se ao sistema que relata o evento. Este é geralmente o sistema no qual o usuário é gerenciado.

Todos os campos comuns

Os campos que aparecem na tabela abaixo são comuns a todos os esquemas ASIM. Qualquer diretriz especificada acima substitui as diretrizes gerais para o campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais detalhes sobre cada campo, consulte o artigo Campos comuns do ASIM.

Classe Campos
Obrigatório - EventCount
- EventStartTime
- EventEndTime
- Tipo de Evento
- EventResult
- EventoProduto
- EventVendor
- EventSchema
- EventSchemaVersion
- DVC
Recomendado - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcNome do host
- DvcDomínio
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Opcional - EventMessage
- SubTipo de Evento
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- Proprietário do Evento
- DvcZona
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- Campos Adicionais
- DvcDescrição
- DvcScopeId
- DvcScope

Campos de propriedade atualizados

Campo Classe Tipo Description
UpdatedPropertyName Alias Alias para EventSubType quando o Tipo de Evento é UserCreated, GroupCreated, UserModifiedou GroupModified.

Os valores suportados são:
- MultipleProperties: Usado quando a atividade atualiza várias propriedades
- Previous<PropertyName>, onde <PropertyName> é um dos valores suportados para UpdatedPropertyName.
- New<PropertyName>, onde <PropertyName> é um dos valores suportados para UpdatedPropertyName.
AnteriorPropertyValue Opcional String O valor anterior que foi armazenado na propriedade especificada.
NewPropertyValue Opcional String O novo valor armazenado na propriedade especificada.

Campos de utilizador alvo

Campo Classe Tipo Description
TargetUserId Opcional String Uma representação única, alfanumérica e legível por máquina do utilizador alvo.

Os formatos e tipos suportados incluem:
- SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500
- UID (Linux): 4578
- AADID (ID do Microsoft Entra): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa
- OktaId: 00urjk4znu3BcncfY0h7
- AWSId: 72643944673

Armazene o tipo de ID no campo TargetUserIdType . Se outros IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId e TargetUserAwsId, respectivamente. Para obter mais informações, consulte A entidade Usuário.

Exemplo: S-1-12
TargetUserIdType Opcional Enumerated O tipo do ID armazenado no campo TargetUserId .

Os valores suportados são SID, UID, AADID, OktaIde AWSId.
TargetUsername Opcional String O nome de usuário de destino, incluindo informações de domínio, quando disponíveis.

Use um dos seguintes formatos e na seguinte ordem de prioridade:
- Upn/E-mail: johndow@contoso.com
- Janelas: Contoso\johndow
- DN:CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
- Simples: johndow. Use o formulário Simples somente se as informações do domínio não estiverem disponíveis.

Armazene o tipo de nome de usuário no campo TargetUsernameType . Se outras IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para TargetUserUpn, TargetUserWindows e TargetUserDn. Para obter mais informações, consulte A entidade Usuário.

Exemplo: AlbertE
TargetUsernameType Opcional Enumerated Especifica o tipo do nome de usuário armazenado no campo TargetUsername . Os valores suportados incluem UPN, Windows, DNe Simple. Para obter mais informações, consulte A entidade Usuário.

Exemplo: Windows
TargetUserType Opcional Enumerated O tipo de usuário alvo. Os valores suportados incluem:
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Other

Nota: O valor pode ser fornecido no registro de origem usando termos diferentes, que devem ser normalizados para esses valores. Armazene o valor original no campo TargetOriginalUserType .
TargetOriginalUserType Opcional String O tipo de usuário de destino original, se fornecido pela origem.

Campos de atores

Campo Classe Tipo Description
ActorUserId Opcional String Uma representação única, alfanumérica e legível por máquina do Ator.

Os formatos e tipos suportados incluem:
- SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500
- UID (Linux): 4578
- AADID (ID do Microsoft Entra): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa
- OktaId: 00urjk4znu3BcncfY0h7
- AWSId: 72643944673

Armazene o tipo de ID no campo ActorUserIdType . Se outras IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId e ActorAwsId, respectivamente. Para obter mais informações, consulte A entidade Usuário.

Exemplo: S-1-12
ActorUserIdType Opcional Enumerated O tipo de ID armazenado no campo ActorUserId . Os valores suportados incluem SID, UID, AADID, OktaIde AWSId.
ActorUsername Obrigatório String O nome de usuário do ator, incluindo informações de domínio, quando disponíveis.

Use um dos seguintes formatos e na seguinte ordem de prioridade:
- Upn/E-mail: johndow@contoso.com
- Janelas: Contoso\johndow
- DN:CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
- Simples: johndow. Use o formulário Simples somente se as informações do domínio não estiverem disponíveis.

Armazene o tipo de nome de usuário no campo ActorUsernameType . Se outras IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para ActorUserUpn, ActorUserWindows e ActorUserDn.

Para obter mais informações, consulte A entidade Usuário.

Exemplo: AlbertE
Utilizador Alias Alias para ActorUsername.
ActorUsernameType Obrigatório Enumerated Especifica o tipo do nome de usuário armazenado no campo ActorUsername . Os valores suportados são UPN, Windows, DNe Simple. Para obter mais informações, consulte A entidade Usuário.

Exemplo: Windows
ActorUserType Opcional Enumerated O tipo do ator. Os valores permitidos são:
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Other

Nota: O valor pode ser fornecido no registro de origem usando termos diferentes, que devem ser normalizados para esses valores. Armazene o valor original no campo ActorOriginalUserType .
ActorOriginalUserType O tipo de usuário do ator original, se fornecido pela fonte.
ActorSessionId Opcional String O ID exclusivo da sessão de login do Ator.

Exemplo: 999

Nota: O tipo é definido como string para suportar sistemas variados, mas no Windows esse valor deve ser numérico.

Se você estiver usando uma máquina Windows e usou um tipo diferente, certifique-se de converter os valores. Por exemplo, se você usou um valor hexadecimal, converta-o em um valor decimal.

Campos de grupo

Campo Classe Tipo Description
Id do Grupo Opcional String Uma representação única, alfanumérica e legível por máquina do grupo, para atividades que envolvam um grupo.

Os formatos e tipos suportados incluem:
- SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500
- UID (Linux): 4578

Armazene o tipo de ID no campo GroupIdType . Se outras IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para GroupSid ou GroupUid, respectivamente. Para obter mais informações, consulte A entidade Usuário.

Exemplo: S-1-12
GroupIdType Opcional Enumerated O tipo de ID armazenado no campo GroupId .

Os valores suportados são SID, e UID.
Nome do Grupo Opcional String O nome do grupo, incluindo informações de domínio, quando disponíveis, para atividades que envolvam um grupo.

Use um dos seguintes formatos e na seguinte ordem de prioridade:
- Upn/E-mail: grp@contoso.com
- Janelas: Contoso\grp
- DN:CN=grp,OU=Sales,DC=Fabrikam,DC=COM
- Simples: grp. Use o formulário Simples somente se as informações do domínio não estiverem disponíveis.

Armazene o tipo de nome do grupo no campo GroupNameType . Se outras IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para GroupUpn, GroupNameWindows e GroupDn.

Exemplo: Contoso\Finance
GroupNameType Opcional Enumerated Especifica o tipo do nome do grupo armazenado no campo GroupName . Os valores suportados incluem UPN, Windows, DNe Simple.

Exemplo: Windows
Tipo de Grupo Opcional Enumerated O tipo de grupo, para atividades que envolvam um grupo. Os valores suportados incluem:
- Local Distribution
- Local Security Enabled
- Global Distribution
- Global Security Enabled
- Universal Distribution
- Universal Security Enabled
- Other

Nota: O valor pode ser fornecido no registro de origem usando termos diferentes, que devem ser normalizados para esses valores. Armazene o valor original no campo GroupOriginalType .
GroupOriginalType Opcional String O tipo de grupo original, se fornecido pela fonte.

Campos de origem

Campo Classe Tipo Description
Src Recomendado String Um identificador exclusivo do dispositivo de origem.

Este campo pode usar o alias dos campos SrcDvcId, SrcHostname ou SrcIpAddr .

Exemplo: 192.168.12.1
SrcIpAddr Recomendado Endereço IP O endereço IP do dispositivo de origem. Esse valor é obrigatório se SrcHostname for especificado.

Exemplo: 77.138.103.108
IpAddr Alias Alias para SrcIpAddr.
SrcHostname Recomendado String O nome de host do dispositivo de origem, excluindo informações de domínio.

Exemplo: DESKTOP-1282V4D
Domínio Src Recomendado String O domínio do dispositivo de origem.

Exemplo: Contoso
SrcDomainType Recomendado Enumerated O tipo de SrcDomain, se conhecido. Valores possíveis incluem:
- Windows (tais como contoso)
- FQDN (tais como microsoft.com)

Necessário se SrcDomain for usado.
SrcFQDN Opcional String O nome de host do dispositivo de origem, incluindo informações de domínio, quando disponíveis.

Nota: Este campo suporta o formato FQDN tradicional e o formato domínio\nome de anfitrião do Windows. O campo SrcDomainType reflete o formato usado.

Exemplo: Contoso\DESKTOP-1282V4D
SrcDvcId Opcional String A ID do dispositivo de origem, conforme relatado no registro.

Exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId Opcional String O ID de escopo da plataforma de nuvem ao qual o dispositivo pertence. O SrcDvcScopeId é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS.
SrcDvcScope Opcional String O escopo da plataforma de nuvem ao qual o dispositivo pertence. O SrcDvcScope é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS.
SrcDvcIdType Opcional Enumerated O tipo de SrcDvcId, se conhecido. Valores possíveis incluem:
- AzureResourceId
- MDEid

Se várias IDs estiverem disponíveis, use a primeira da lista anterior e armazene as outras em SrcDvcAzureResourceId e SrcDvcMDEid, respectivamente.

Nota: Este campo é obrigatório se SrcDvcId for usado.
SrcDeviceType Opcional Enumerated O tipo do dispositivo de origem. Valores possíveis incluem:
- Computer
- Mobile Device
- IOT Device
- Other
SrcGeoCountry Opcional País O país/região associado ao endereço IP de origem.

Exemplo: USA
SrcGeoRegion Opcional País/Região A região associada ao endereço IP de origem.

Exemplo: Vermont
SrcGeoCity Opcional City A cidade associada ao endereço IP de origem.

Exemplo: Burlington
SrcGeoLatitude Opcional Latitude A latitude da coordenada geográfica associada ao endereço IP de origem.

Exemplo: 44.475833
SrcGeoLongitude Opcional Longitude A longitude da coordenada geográfica associada ao endereço IP de origem.

Exemplo: 73.211944

Aplicação em exercício

Campo Classe Tipo Description
ActingAppId Opcional String A ID do aplicativo usado pelo ator para executar a atividade, incluindo um processo, navegador ou serviço.

Por exemplo: 0x12ae8
ActingAppName Opcional String O nome do aplicativo usado pelo ator para executar a atividade, incluindo um processo, navegador ou serviço.

Por exemplo: C:\Windows\System32\svchost.exe
ActingAppType Opcional Enumerated O tipo de aplicação atuante. Os valores suportados incluem:
- Process
- Browser
- Resource
- Other
HttpUserAgent Opcional String Quando a autenticação é executada por HTTP ou HTTPS, o valor desse campo é o cabeçalho HTTP user_agent fornecido pelo aplicativo que atua ao executar a autenticação.

Por exemplo: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

Campos e aliases adicionais

Campo Classe Tipo Description
Nome de Anfitrião Alias Alias para DvcHostname.

Próximos passos

Para obter mais informações, consulte: