Referencia del esquema de normalización de administración de usuarios de Microsoft Sentinel

El esquema de normalización de administración de usuarios de Microsoft Sentinel se usa para describir las actividades de administración de usuarios, como crear un usuario o un grupo, cambiar el atributo de usuario o agregar un usuario a un grupo. Estos eventos se notifican, por ejemplo, mediante sistemas operativos, servicios de directorio, sistemas de administración de identidades y cualquier otro sistema que informe sobre su actividad de administración de usuarios local.

Para más información sobre la normalización en Microsoft Sentinel, consulte Normalización y Modelo avanzado de información de seguridad (ASIM).

Información general del esquema

El esquema de administración de usuarios de ASIM describe las actividades de administración de usuarios. Estas actividades suelen incluir las entidades siguientes:

Actor: el usuario que realiza la actividad de administración.
Proceso de acción: el proceso que usa el actor para realizar la actividad de administración.
Src: cuando la actividad se realiza a través de la red o el dispositivo de origen desde el que se inició la actividad.
Usuario de destino: el usuario que administra la cuenta.
Grupo: el usuario de destino que se agrega, se quita o se modifica.

Algunas actividades, como UserCreated, GroupCreated, UserModified y GroupModified*, establecen o actualizan las propiedades del usuario. La propiedad establecida o actualizada se documenta en los campos siguientes:

EventSubType: el nombre del valor que se estableció o actualizó. UpdatedPropertyName es un alias de EventSubType cuando EventSubType hace referencia a uno de los tipos de eventos pertinentes.
PreviousPropertyValue: el valor anterior de la propiedad.
NewPropertyValue: el valor actualizado de la propiedad.

Detalles del esquema

Campos comunes de ASIM

Importante

Los campos comunes a todos los esquemas se describen detalladamente en el artículo Campos comunes de ASIM.

Campos comunes con directrices específicas

La lista siguiente solo enumera los campos que tienen directrices específicas para los eventos de DNS:

Campo	Clase	Tipo	Descripción
EventType	Mandatory	Enumerated	Describe la operación notificada por el registro. Para la actividad de administración de usuarios, los valores admitidos son: - `UserCreated` - `UserDeleted` - `UserModified` - `UserLocked` - `UserUnlocked` - `UserDisabled` - `UserEnabled` - `PasswordChanged` - `PasswordReset` - `GroupCreated` - `GroupDeleted` - `GroupModified` - `UserAddedToGroup` - `UserRemovedFromGroup` - `GroupEnumerated` - `UserRead` - `GroupRead`
Subtipo de evento	Opcionales	Enumerated	Se admiten los siguientes subtipos: - `UserRead`: contraseña, hash - `UserCreated`, `GroupCreated`, `UserModified`, `GroupModified`. Para obtener más información, consulte UpdatedPropertyName.
EventResult	Mandatory	Enumerated	Aunque es posible que se produzca algún error, la mayoría de los sistemas solo informan de eventos de administración de usuarios correctos. El valor esperado para los eventos correctos es `Success`.
EventResultDetails	Recomendado	Enumerated	Los valores válidos son `NotAuthorized` y `Other`.
EventSeverity	Mandatory	Enumerated	Aunque se permite cualquier valor de gravedad válido, la gravedad de los eventos de administración de usuarios suele ser `Informational`.
EventSchema	Mandatory	Enumerated	El nombre del esquema que se documenta aquí es `UserManagement`.
EventSchemaVersion	Mandatory	SchemaVersion (cadena)	Versión del esquema. La versión del esquema que se documenta aquí es `0.1.2`.
Campos dvc			En cuanto a los eventos de administración de usuarios, los campos de dispositivo hacen referencia al sistema que informa del evento. Este suele ser el sistema en el que se administra el usuario.

Todos los campos comunes

Los campos que aparecen en la tabla siguiente son comunes a todos los esquemas de ASIM. Cualquier directriz especificada anteriormente invalida las directrices generales para el campo. Por ejemplo, un campo podría ser opcional en general, pero obligatorio para un esquema específico. Para obtener más información sobre cada campo, consulte el siguiente artículo sobre los campos comunes de ASIM.

Clase	Fields
Mandatory	- Recuento de eventos - EventoInicio - EventoEndTime - Tipo de evento - EventoResultado - EventProduct - ProveedorDeevento - EventSchema - EventSchemaVersion - Dvc
Recomendado	- DetallesResultadoEvento - Severidad del evento - EventUid - DvcIpAddr - DvcNombre de host - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction
Opcionales	- Mensaje de evento - Subtipo de evento - EventoOriginalUid - EventoOriginalType - Subtipo OriginalEvento - EventoOriginalDetallesResultados - EventoOriginalSeveridad - EventProductVersion - EventReportUrl - Propietario del evento - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campos adicionales - Descripción de Dvc - DvcScopeId - DvcScope

Campos de propiedad actualizados

Campo	Clase	Tipo	Descripción
NombrePropiedad Actualizado	Alias		Alias a EventSubType cuando el tipo de evento es `UserCreated`, `GroupCreated`, `UserModified` o `GroupModified`. Los valores admitidos son: - `MultipleProperties`: se usa cuando la actividad actualiza varias propiedades. - `Previous<PropertyName>`, donde `<PropertyName>` es uno de los tipos admitidos de `UpdatedPropertyName`. - `New<PropertyName>`, donde `<PropertyName>` es uno de los tipos admitidos de `UpdatedPropertyName`.
Valor de la propiedad anterior	Opcionales	String	Valor anterior que se almacenaba en la propiedad especificada.
Valor de Nueva Propiedad	Opcionales	String	Nuevo valor que se almacena en la propiedad especificada.

Campos de usuario de destino

Campo	Clase	Tipo	Descripción
TargetUserId	Opcionales	String	Representación única, alfanumérica y legible del usuario de destino. Los formatos y tipos admitidos incluyen: - - (Windows): `S-1-5-21-1377283216-344919071-3415362939-500` - - (Linux): `4578` - AADID (Microsoft Entra ID): `9267d02c-5f76-40a9-a9eb-b686f3ca47aa` - - : `00urjk4znu3BcncfY0h7` - - : `72643944673` Almacene el tipo de identificador en el campo TargetUserIdType. Si hay otros id. disponibles, se recomienda normalizar los nombres de campo a TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId y TargetUserAwsId, respectivamente. Para más información, consulte la Entidad Usuario. Ejemplo: `S-1-12`
TargetUserIdType	Condicional	Enumerated	Tipo de identificador almacenado en el campo TargetUserId. Los valores admitidos son `SID`, `UID`, `AADID`, `OktaId` y `AWSId`.
NombreDeUsuario Objetivo	Opcionales	Nombre de usuario (cadena)	Nombre de usuario de destino, incluida la información de dominio cuando esté disponible. Use uno de los siguientes formatos y en el orden siguiente de prioridad: - UPN/Correo electrónico: `johndow@contoso.com` - - : `Contoso\johndow` - - : `CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM` - - : `johndow`. Use este formato Simple solo si no hay disponible información de dominio. Almacene el tipo de nombre de usuario en el campo TargetUsernameType. Si hay otros identificadores disponibles, se recomienda normalizar los nombres de campo a TargetUserUpn, TargetUserWindows y TargetUserDn. Para más información, consulte la Entidad Usuario. Ejemplo: `AlbertE`
NombreUsuarioObjetivoTipo	Condicional	Enumerated	Especifica el tipo de nombre de usuario almacenado en el campo TargetUsername. Los valores admitidos incluyen `UPN`, `Windows`, `DN` y `Simple`. Para más información, consulte la Entidad Usuario. Ejemplo: `Windows`
TargetUserType	Opcionales	Enumerated	Tipo del usuario de destino. Los valores admitidos son: - `Regular` - `Machine` - `Admin` - `System` - `Application` - `Service Principal` - `Other` Nota: El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. Almacene el valor original en el campo TargetOriginalUserType.
TipoOriginalOriginalUsuarioObjetivo	Opcionales	String	El tipo de usuario de destino original, si lo proporciona el origen.
TargetUserScope	Opcionales	String	Ámbito, como el inquilino de Microsoft Entra, en el que se definen TargetUserId y TargetUsername. Para obtener más información y una lista de los valores permitidos, consulte UserScope en el artículo Introducción al esquema.
TargetUserScopeId	Opcionales	String	El identificador del ámbito, como el identificador de directorio de Microsoft Entra, en el que se definen TargetUserId y TargetUsername. Para más información y para ver una lista de los valores permitidos, consulte UserScopeId en el artículo Introducción al esquema.
TargetUserSessionId	Opcionales	String	Identificador único de la sesión de inicio de sesión del usuario de destino. Ejemplo: `999` Nota: El tipo se define como cadena para admitir distintos sistemas, pero en Windows este valor debe ser numérico. Si usa una máquina Windows o Linux y usa un tipo diferente, asegúrese de convertir los valores. Por ejemplo, si ha utilizado un valor hexadecimal, conviértalo en un valor decimal.

Campos de actor

Campo	Clase	Tipo	Descripción
ActorUserId	Opcionales	String	Representación única, alfanumérica y legible del actor. Los formatos y tipos admitidos incluyen: - - (Windows): `S-1-5-21-1377283216-344919071-3415362939-500` - - (Linux): `4578` - AADID (Microsoft Entra ID): `9267d02c-5f76-40a9-a9eb-b686f3ca47aa` - - : `00urjk4znu3BcncfY0h7` - - : `72643944673` Almacene el tipo de identificador en el campo ActorUserIdType. Si hay otros id. disponibles, se recomienda normalizar los nombres de campo a ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId y ActorAwsId, respectivamente. Para más información, consulte la Entidad Usuario. Ejemplo: S-1-12
ActorUserIdType	Condicional	Enumerated	Tipo del identificador almacenado en el campo ActorUserId. Los valores admitidos incluyen `SID`, `UID`, `AADID`, `OktaId` y `AWSId`.
ActorUsername	Mandatory	Nombre de usuario (cadena)	Nombre de usuario del actor, incluida la información de dominio cuando esté disponible. Use uno de los siguientes formatos y en el orden siguiente de prioridad: - UPN/Correo electrónico: `johndow@contoso.com` - - : `Contoso\johndow` - - : `CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM` - - : `johndow`. Use este formato Simple solo si no hay disponible información de dominio. Almacene el tipo de nombre de usuario en el campo ActorUsernameType. Si hay otros identificadores disponibles, se recomienda normalizar los nombres de campo a ActorUserUpn, ActorUserWindows y ActorUserDn. Para más información, consulte la Entidad Usuario. Ejemplo: `AlbertE`
Usuario	Alias		Alias a ActorUsername.
ActorUsernameType	Condicional	Enumerated	Especifica el tipo de nombre de usuario almacenado en el campo ActorUsername. Los valores admitidos son `UPN`, `Windows`, `DN` y `Simple`. Para más información, consulte la Entidad Usuario. Ejemplo: `Windows`
ActorUserType	Opcionales	Enumerated	Tipo del actor. Los valores permitidos son: - `Regular` - `Machine` - `Admin` - `System` - `Application` - `Service Principal` - `Other` Nota: El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. Almacene el valor original en el campo ActorOriginalUserType.
ActorOriginalUserType	Opcionales	String	El tipo de usuario de destino original, si lo proporciona el dispositivo de informes.
ActorOriginalUserType			Tipo de usuario del actor original, si lo proporciona el origen.
ActorSessionId	Opcionales	String	Identificador único de la sesión de inicio de sesión de Actor. Ejemplo: `999` Nota: El tipo se define como cadena para admitir distintos sistemas, pero en Windows este valor debe ser numérico. Si usa una máquina Windows y ha usado un tipo diferente, asegúrese de convertir los valores. Por ejemplo, si ha utilizado un valor hexadecimal, conviértalo en un valor decimal.
ActorScope	Opcionales	String	El ámbito, como el inquilino de Microsoft Entra, en el que se definen ActorUserId y ActorUsername. Para obtener más información y una lista de los valores permitidos, consulte UserScope en el artículo Introducción al esquema.
ActorScopeId	Opcionales	String	El identificador del ámbito, como el identificador de directorio de Microsoft Entra, en el que se definen ActorUserId y ActorUsername. Para más información y una lista de los valores permitidos, consulte UserScopeId en el artículo Introducción al esquema.

Agrupar campos

Campo	Clase	Tipo	Descripción
GroupId	Opcionales	String	Representación del grupo única, alfanumérica y legible por una máquina, para las actividades que implican a un grupo. Los formatos y tipos admitidos incluyen: - - (Windows): `S-1-5-21-1377283216-344919071-3415362939-500` - - (Linux): `4578` Almacene el tipo de identificador en el campo GroupIdType. Si hay otros id. disponibles, se recomienda normalizar los nombres de campo a GroupSid o GroupUid, respectivamente. Para más información, consulte la Entidad Usuario. Ejemplo: `S-1-12`
GroupIdType	Opcionales	Enumerated	Tipo del identificador almacenado en el campo GroupId. Los valores admitidos son `SID` y `UID`.
Nombre del grupo	Opcionales	String	Nombre del grupo, incluida la información de dominio cuando está disponible, para las actividades que implican a un grupo. Use uno de los siguientes formatos y en el orden siguiente de prioridad: - UPN/Correo electrónico: `grp@contoso.com` - - : `Contoso\grp` - - : `CN=grp,OU=Sales,DC=Fabrikam,DC=COM` - - : `grp`. Use este formato Simple solo si no hay disponible información de dominio. Almacene el tipo de nombre del grupo en el campo GroupNameType. Si hay otros identificadores disponibles, se recomienda normalizar los nombres de campo en GroupUpn, GroupNameWindows y GroupDn. Ejemplo: `Contoso\Finance`
NombreGrupoTipo	Opcionales	Enumerated	Especifica el tipo del nombre del grupo almacenado en el campo GroupName. Los valores admitidos incluyen `UPN`, `Windows`, `DN` y `Simple`. Ejemplo: `Windows`
GroupType	Opcionales	Enumerated	Tipo del grupo, para las actividades que implican un grupo. Los valores admitidos son: - `Local Distribution` - `Local Security Enabled` - `Global Distribution` - `Global Security Enabled` - `Universal Distribution` - `Universal Security Enabled` - `Other` Nota: El valor se puede proporcionar en el registro de origen mediante términos diferentes, que se deben normalizar con estos valores. Almacene el valor original en el campo GroupOriginalType.
GroupOriginalType	Opcionales	String	Tipo de grupo original, si lo proporciona el origen.

Campos de origen

Campo	Clase	Tipo	Descripción
Fuente	Recomendado	String	Identificador único del dispositivo de destino. Este campo puede ser un alias de los campos SrcDvcId, SrcHostname o SrcIpAddr. Ejemplo: `192.168.12.1`
SrcIpAddr	Recomendado	Dirección IP	Dirección IP del dispositivo de origen. Este valor es obligatorio si se especifica SrcHostname. Ejemplo: `77.138.103.108`
IpAddr	Alias		Alias de SrcIpAddr.
SrcPortNumber	Opcionales	Integer	Puerto IP desde el que se originó la conexión. Es posible que no sea importante en sesiones que contengan varias conexiones. Ejemplo: `2335`
SrcMacAddr	Opcionales	Dirección MAC (cadena)	Dirección MAC de la interfaz de red desde la que se originó la conexión o la sesión. Ejemplo: `06:10:9f:eb:8f:14`
SrcDescription	Opcionales	String	Texto descriptivo asociado al dispositivo. Por ejemplo: `Primary Domain Controller`.
SrcHostname	Recomendado	String	Nombre de host del dispositivo de origen, excepto la información de dominio. Ejemplo: `DESKTOP-1282V4D`
SrcDomain	Recomendado	Dominio (Cadena)	Dominio del dispositivo de origen. Ejemplo: `Contoso`
SrcDomainType	Recomendado	Enumerated	Tipo de SrcDomain, si se conoce. Los valores posibles son: - `Windows` (por ejemplo, `contoso`) - `FQDN` (por ejemplo, `microsoft.com`) Obligatorio si se usa el campo SrcDomain.
SrcFQDN	Opcionales	FQDN (Cuerda)	Nombre de host del dispositivo de origen, incluida la información de dominio cuando está disponible. Nota: Este campo admite tanto el formato de FQDN tradicional como el formato de dominio\nombre de host de Windows. El campo SrcDomainType refleja el formato usado. Ejemplo: `Contoso\DESKTOP-1282V4D`
SrcDvcId	Opcionales	String	Identificador del dispositivo de origen tal y como se muestra en el registro. Ejemplo: `ac7e9755-8eae-4ffc-8a02-50ed7a2216c3`
SrcDvcScopeId	Opcionales	String	Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. SrcDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
SrcDvcScope	Opcionales	String	Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. SrcDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
SrcDvcIdType	Condicional	Enumerated	Tipo de SrcDvcId, si se conoce. Los valores posibles son: - `AzureResourceId` - `MDEid` Si hay varios identificadores disponibles, use el primero de la lista anterior y almacene los demás en los campos SrcDvcAzureResourceId y SrcDvcMDEid, respectivamente. Nota: Este campo es necesario si se usa el campo SrcDvcId.
SrcDeviceType	Opcionales	Enumerated	Tipo del dispositivo de origen. Los valores posibles son: - `Computer` - `Mobile Device` - `IOT Device` - `Other`
SrcGeoCountry	Opcionales	Country	País o región asociado a la dirección IP de origen. Ejemplo: `USA`
SrcGeoRegion	Opcionales	Region	Región asociada con la dirección IP de origen. Ejemplo: `Vermont`
SrcGeoCity	Opcionales	City (Ciudad)	Ciudad asociada con la dirección IP de origen. Ejemplo: `Burlington`
SrcGeoLatitude	Opcionales	Latitud	Latitud de la coordenada geográfica asociada con la dirección IP de origen. Ejemplo: `44.475833`
SrcGeoLongitude	Opcionales	Longitud	Longitud de la coordenada geográfica asociada con la dirección IP de origen. Ejemplo: `73.211944`
SrcRiskLevel	Opcionales	Integer	Nivel de riesgo asociado con el origen. El valor debe ajustarse a un intervalo de `0` a `100`, con `0` para inofensivo y `100` para alto riesgo. Ejemplo: `90`
SrcOriginalRiskLevel	Opcionales	String	El nivel de riesgo asociado al origen, tal como lo notifica el dispositivo que informa. Ejemplo: `Suspicious`

Aplicación en acción

Campo	Clase	Tipo	Descripción
ActingAppId	Opcionales	String	Identificador de la aplicación que usa el actor para realizar la actividad, incluido un proceso, un explorador o un servicio. Por ejemplo: `0x12ae8`
ActingAppName	Opcionales	String	Nombre de la aplicación que usa el actor para realizar la actividad, incluido un proceso, un explorador o un servicio. Por ejemplo: `C:\Windows\System32\svchost.exe`
ActingAppType	Opcionales	Enumerated	Tipo de la aplicación que actúa. Los valores admitidos incluyen , - `Process` - `Browser` - `Resource` - `Other`
ActingOriginalAppType	Opcionales	String	El tipo de aplicación que inició la actividad según el dispositivo de reporte.
HttpUserAgent	Opcionales	String	Cuando se realiza la autenticación a través de HTTP o HTTPS, el valor de este campo es el encabezado HTTP user_agent proporcionado por la aplicación que actúa al realizar la autenticación. Por ejemplo: `Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1`

Campos de inspección

Los siguientes campos se utilizan para representar la inspección realizada por un sistema de seguridad como un sistema EDR.

Campo	Clase	Tipo	Descripción
RuleName	Opcionales	String	Nombre o identificador de la regla asociado a los resultados de la inspección.
Número de regla	Opcionales	Integer	Número de la regla asociado a los resultados de la inspección.
Regla	Condicional	String	El valor de kRuleName o el valor de RuleNumber. Si se usa el valor de RuleNumber, el tipo se debe convertir en cadena.
ThreatId	Opcionales	String	Identificador de la amenaza o del malware identificados en la actividad del archivo.
ThreatName	Opcionales	String	Nombre de la amenaza o del malware identificados en la actividad del archivo. Ejemplo: `EICAR Test File`
ThreatCategory	Opcionales	String	Categoría de la amenaza o del malware identificados en la actividad del archivo. Ejemplo: `Trojan`
ThreatRiskLevel	Opcionales	Nivel de riesgo (entero)	Nivel de riesgo asociado a la amenaza identificada. El nivel debe ser un número entre 0 y 100. Nota: El valor se puede proporcionar en el registro de origen mediante una escala diferente, que se debe normalizar a esta. El valor original debe almacenarse en ThreatOriginalRiskLevel.
AmenazaOriginalNivel de Riesgo	Opcionales	String	El nivel de riesgo según lo informado por el dispositivo de reporte.
ThreatField (Campo de amenazas)	Opcionales	String	Campo para el que se identificó una amenaza.
ThreatConfidence	Opcionales	Nivel de confianza (entero)	Nivel de confianza de la amenaza identificada, normalizada en un valor comprendido entre 0 y 100.
ThreatOriginalConfidence	Opcionales	String	El nivel de confianza original de la amenaza identificada, tal como lo notifica el dispositivo que informa.
ThreatIsActive	Opcionales	Boolean	True si la amenaza identificada se considera una amenaza activa.
ThreatFirstReportedTime	Opcionales	datetime	La primera vez que la dirección IP o el dominio se identificaron como una amenaza.
ThreatLastReportedTime	Opcionales	datetime	La primera vez que la dirección IP o el dominio se identificaron como una amenaza.

Campos y alias adicionales

Campo	Clase	Tipo	Descripción
Nombre de host	Alias		Alias a DvcHostname.

Actualizaciones del esquema

Los cambios en la versión 0.1.2 del esquema son los siguientes:

Añadí campos de inspección.
Se añadieron los campos SrcDescriptionfuente , SrcMacAddr, SrcOriginalRiskLevel, SrcPortNumberSrcRiskLevel,
Se añadieron los campos TargetUserScopeobjetivo , TargetUserScopeId, TargetUserSessionId
Añadimos los campos ActorOriginalUserTypede actor , ActorScope, ActorScopeId
Se añadió el campo de aplicación de actuación ActingOriginalAppType

Pasos siguientes

Para más información, consulte:

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-12-11