Referência de esquema de normalização de gerenciamento de usuários do Microsoft Sentinel

O esquema de normalização do gerenciamento de usuários do Microsoft Sentinel é usado para descrever atividades de gerenciamento de usuários, como a criação de um usuário ou grupo, a alteração do atributo de usuário ou a adição de um usuário a um grupo. Esses eventos são relatados, por exemplo, por sistemas operacionais, serviços de diretório, sistemas de gerenciamento de identidade e qualquer outro relatório do sistema sobre a atividade de gerenciamento de usuário local.

Para saber mais sobre a normalização no Microsoft Sentinel, confira Normalização e o ASIM (Modelo de Informações de Segurança Avançado).

Visão geral do esquema

O esquema de gerenciamento de usuários do ASIM descreve as atividades de gerenciamento de usuários. As atividades normalmente incluem estas entidades:

Ator: o usuário que executa a atividade de gerenciamento.
Processo de Ação: o processo usado pelo ator para executar a atividade de gerenciamento.
Src: quando a atividade é executada pela rede, o dispositivo de origem do qual a atividade foi iniciada.
Usuário de destino: o usuário que tem a conta gerenciada.
Grupo: o usuário de destino é adicionado, removido ou modificado.

Algumas atividades, como UserCreated, GroupCreated, UserModified e GroupModified*, configuram ou atualizam as propriedades do usuário. As propriedades configuradas ou atualizadas estão documentadas nos seguintes campos:

EventSubType: é o nome do valor que foi definido ou atualizado. UpdatedPropertyName: é um alias para EventSubType quando EventSubType se refere a um dos tipos de evento relevantes.
PreviousPropertyValue: é o valor anterior da propriedade.
NewPropertyValue: é o valor atualizado da propriedade.

Detalhes do esquema

Campos comuns do ASIM

Importante

Os campos comuns a todos os esquemas estão descritos em detalhes no artigo Campos comuns do ASIM.

Campos comuns com diretrizes específicas

A lista a seguir menciona os campos que têm diretrizes específicas para eventos da atividade de processo:

Campo	Classe	Tipo	Descrição
EventType	Obrigatório	Enumerated	Descreve a operação relatada pelo registro. Para a atividade Gerenciamento de Usuários, os valores com suporte são: - `UserCreated` - `UserDeleted` - `UserModified` - `UserLocked` - `UserUnlocked` - `UserDisabled` - `UserEnabled` - `PasswordChanged` - `PasswordReset` - `GroupCreated` - `GroupDeleted` - `GroupModified` - `UserAddedToGroup` - `UserRemovedFromGroup` - `GroupEnumerated` - `UserRead` - `GroupRead`
Subtipo de Evento	Opcional	Enumerated	Os seguintes subtipos têm suporte: - `UserRead`: Senha, Hash - `UserCreated`, `GroupCreated`, `UserModified`. `GroupModified` Para mais informações, confira UpdatedPropertyName
EventResult	Obrigatório	Enumerated	Embora a falha seja possível, a maioria dos sistemas relata apenas eventos de gerenciamento de usuário com sucesso. O valor esperado de eventos bem-sucedidos é `Success`.
EventResultDetails	Recomendadas	Enumerated	Os valores válidos são `NotAuthorized` e `Other`.
EventSeverity	Obrigatório	Enumerated	Embora qualquer valor de severidade válido seja permitido, a severidade dos eventos de gerenciamento de usuário geralmente é `Informational`.
EventSchema	Obrigatório	Enumerated	O nome do esquema documentado aqui é `UserManagement`.
EventSchemaVersion	Obrigatório	SchemaVersion (String)	A versão do esquema. A versão do esquema documentado aqui é `0.1.2`.
Campos Dvc			Nos eventos de gerenciamento de usuário, os campos do dispositivo referem-se ao sistema que relata o evento. Geralmente, esse é o sistema em que o usuário é gerenciado.

Todos campos comuns

Os campos que aparecem na tabela abaixo são comuns a todos os esquemas do ASIM. Qualquer diretriz especificada acima substitui as diretrizes gerais do campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para saber mais sobre cada campo, confira o artigo Campos comuns do ASIM.

Classe	Fields
Obrigatório	- Contagem de eventos - EventoInícioHora - EventoFimTempo - Tipo de evento - Resultado do evento - Produto do evento - Fornecedor de eventos - Esquema de Eventos - EventSchemaVersion - Dvc
Recomendadas	- Detalhes do Resultado do Evento - Gravidade do evento - EventUid - DvcIpAddr - DvcNome do Host - DvcDomínio - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction
Opcional	- Mensagem de Evento - Subtipo de Evento - EventoOriginalUid - EventOriginalType - Subtipo OriginalEvento - Detalhes do Resultado Originaldo Evento - EventoOriginalSeveridade - EventProductVersion - EventReportUrl - Dono do evento - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - Interface Dvc - Campos Adicionais - DvcDescription - DvcScopeId - DvcScope

Campos de propriedade atualizados

Campo	Classe	Tipo	Descrição
NomePropriedade Atualizado	Alias		Alias para EventSubType quando o Tipo de Evento é `UserCreated`, `GroupCreated`, `UserModified` ou `GroupModified`. Os valores com suporte são: - `MultipleProperties`: usado quando a atividade atualiza várias propriedades - `Previous<PropertyName>`, em que `<PropertyName>` é um dos valores com suporte para `UpdatedPropertyName`. - `New<PropertyName>`, em que `<PropertyName>` é um dos valores com suporte para `UpdatedPropertyName`.
Valor da Propriedade AnteriorValor	Opcional	String	O valor anterior armazenado na propriedade especificada.
NovoValor de PropriedadeT	Opcional	String	O novo valor armazenado na propriedade especificada.

Campos de usuário de destino

Campo	Classe	Tipo	Descrição
TargetUserId	Opcional	String	Uma representação exclusiva, alfanumérica e legível pelo computador do usuário de destino. Os formatos e os tipos compatíveis incluem: - - (Windows): `S-1-5-21-1377283216-344919071-3415362939-500` - - (Linux): `4578` - AADID (ID do Microsoft Entra): `9267d02c-5f76-40a9-a9eb-b686f3ca47aa` - - : `00urjk4znu3BcncfY0h7` - - : `72643944673` Armazene o tipo de ID no campo TargetUserIdType. Se outras IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaIde TargetUserAwsId, respectivamente. Para saber mais, confira A entidade de usuário. Exemplo: `S-1-12`
TargetUserIdType	Condicional	Enumerated	O tipo da ID armazenada no campo TargetUserId. Os valores com suporte são `SID`, `UID`, `AADID`, `OktaId` e `AWSId`.
Nome de Usuário TargetWebsite	Opcional	Nome de usuário (String)	O nome de usuário de destino, incluindo informações de domínio, quando disponíveis. Use um dos seguintes formatos e na seguinte ordem de prioridade: - UPN/Email: `johndow@contoso.com` - - : `Contoso\johndow` - - : `CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM` - - : `johndow`. Use o formulário Simples somente quando as informações de domínio não estiverem disponíveis. Armazene o tipo de nome de usuário no campo TargetUsernameType. Se outras IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para TargetUserUpn, TargetUserWindows e TargetUserDn. Para saber mais, confira A entidade de usuário. Exemplo: `AlbertE`
TargetUsernameType	Condicional	Enumerated	Especifica o tipo de nome de usuário armazenado no campo TargetUsername. Os valores compatíveis incluem: `UPN`, `Windows`, `DN` e `Simple`. Para saber mais, confira A entidade de usuário. Exemplo: `Windows`
TargetUserType	Opcional	Enumerated	O tipo de usuário de destino. Os valores compatíveis incluem: - `Regular` - `Machine` - `Admin` - `System` - `Application` - `Service Principal` - `Other` Observação: O valor pode ser fornecido no registro de origem usando diferentes termos, que devem ser normalizados para esses valores. Armazene o valor original no campo TargetOriginalUserType.
TargetOriginalUserType	Opcional	String	O tipo de usuário de destino original, se fornecido pela fonte.
TargetUserScope	Opcional	String	O escopo, como o locatário do Microsoft Entra, no qual TargetUserId e TargetUsername são definidos. Para obter mais informações e uma lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema.
TargetUserScopeId	Opcional	String	A ID do escopo, como a ID do Diretório do Microsoft Entra, na qual TargetUserId e TargetUsername são definidos. para obter mais informações e uma lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema.
TargetUserSessionId	Opcional	String	A ID exclusiva da sessão de logon do usuário de destino. Exemplo: `999` Observação: o tipo é definido como uma cadeia de caracteres para ser compatível com sistemas variados, mas no Windows esse valor deve ser numérico. Se você estiver usando um computador Windows ou Linux e tiver usado um tipo diferente, converta os valores. Por exemplo, se você tiver usado um valor hexadecimal, converta-o em um valor decimal.

Campos de ator

Campo	Classe	Tipo	Descrição
ActorUserId	Opcional	String	Uma representação exclusiva, alfanumérica e legível pelo computador de um Ator. Os formatos e os tipos compatíveis incluem: - - (Windows): `S-1-5-21-1377283216-344919071-3415362939-500` - - (Linux): `4578` - AADID (ID do Microsoft Entra): `9267d02c-5f76-40a9-a9eb-b686f3ca47aa` - - : `00urjk4znu3BcncfY0h7` - - : `72643944673` Armazene o tipo de ID no campo ActorUserIdType. Se outras IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId e ActorAwsId, respectivamente. Para saber mais, confira A entidade de usuário. Exemplo: S-1-12
ActorUserIdType	Condicional	Enumerated	O tipo da ID armazenada no campo ActorUserId. Os valores compatíveis incluem: `SID`, `UID`, `AADID`, `OktaId` e `AWSId`.
Nome de usuário ActorUsername	Obrigatório	Nome de usuário (String)	O nome de usuário do ator, incluindo informações de domínio, quando disponíveis. Use um dos seguintes formatos e na seguinte ordem de prioridade: - UPN/Email: `johndow@contoso.com` - - : `Contoso\johndow` - - : `CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM` - - : `johndow`. Use o formulário Simples somente quando as informações de domínio não estiverem disponíveis. Armazene o tipo de nome de usuário no campo ActorUsernameType. Se outras IDs estiverem disponíveis, recomendaremos que você normalize os nomes de campo para ActorUserUpn, ActorUserWindows e ActorUserDn. Para saber mais, confira A entidade de usuário. Exemplo: `AlbertE`
Usuário	Alias		Alias para ActorUsername.
ActorUsernameType	Condicional	Enumerated	Especifica o tipo de nome de usuário armazenado no campo ActorUsername. Os valores compatíveis são: `UPN`, `Windows`, `DN` e `Simple`. Para saber mais, confira A entidade de usuário. Exemplo: `Windows`
ActorUserType	Opcional	Enumerated	O tipo do ator. Valores permitidos são: - `Regular` - `Machine` - `Admin` - `System` - `Application` - `Service Principal` - `Other` Observação: O valor pode ser fornecido no registro de origem usando diferentes termos, que devem ser normalizados para esses valores. Armazene o valor original no campo ActorOriginalUserType.
ActorOriginalUserType	Opcional	String	O tipo de usuário de destino original, se fornecido pelo dispositivo de relatório.
ActorOriginalUserType			O tipo de usuário ator original, se fornecido pela origem.
ActorSessionId	Opcional	String	A ID exclusiva da sessão de logon de Actor. Exemplo: `999` Observação: o tipo é definido como uma cadeia de caracteres para ser compatível com sistemas variados, mas no Windows esse valor deve ser numérico. Se você estiver usando um computador Windows e tiver usado um tipo diferente, converta os valores. Por exemplo, se você tiver usado um valor hexadecimal, converta-o em um valor decimal.
ActorScope	Opcional	String	O escopo, como o locatário do Microsoft Entra, no qual são definidos ActorUserId e ActorUsername. Para obter mais informações e uma lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema.
ActorScopeId	Opcional	String	A ID do escopo, como a ID de diretório do Microsoft Entra, na qual são definidos ActorUserId e ActorUsername. Para obter mais informações e uma lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema.

Campos de grupo

Campo	Classe	Tipo	Descrição
GroupId	Opcional	String	Uma representação alfanumérica e exclusiva do grupo, legível por computador, de atividades que envolvem um grupo. Os formatos e os tipos compatíveis incluem: - - (Windows): `S-1-5-21-1377283216-344919071-3415362939-500` - - (Linux): `4578` Armazene o tipo de ID no campo GroupIdType. Quando outras IDs estão disponíveis, recomendamos que você normalize os nomes de campo para GroupSid ou GroupUid, respectivamente. Para saber mais, confira A entidade de usuário. Exemplo: `S-1-12`
GroupIdType	Opcional	Enumerated	O tipo da ID armazenada no campo GroupId. Os valores compatíveis são `SID` e `UID`.
Nome do Grupo	Opcional	String	O nome do grupo, incluindo informações de domínio, quando disponível, para atividades que envolvem um grupo. Use um dos seguintes formatos e na seguinte ordem de prioridade: - UPN/Email: `grp@contoso.com` - - : `Contoso\grp` - - : `CN=grp,OU=Sales,DC=Fabrikam,DC=COM` - - : `grp`. Use o formulário Simples somente quando as informações de domínio não estiverem disponíveis. Armazene o tipo de nome do grupo no campo GroupNameType. Se outras IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para GroupUpn, GroupNameWindows e GroupDn. Exemplo: `Contoso\Finance`
GroupNameType	Opcional	Enumerated	Especifica o tipo do nome do grupo armazenado no campo GroupName. Os valores compatíveis incluem: `UPN`, `Windows`, `DN` e `Simple`. Exemplo: `Windows`
GroupType	Opcional	Enumerated	O tipo do grupo, para atividades que envolvem um grupo. Os valores compatíveis incluem: - `Local Distribution` - `Local Security Enabled` - `Global Distribution` - `Global Security Enabled` - `Universal Distribution` - `Universal Security Enabled` - `Other` Observação: O valor pode ser fornecido no registro de origem usando diferentes termos, que devem ser normalizados para esses valores. Armazene o valor original no campo GroupOriginalType.
GroupOriginalType	Opcional	String	O tipo de grupo original, se fornecido pela origem.

Campos de origem

Campo	Classe	Tipo	Descrição
Src	Recomendadas	String	Um identificador exclusivo do dispositivo de origem. Esse campo pode gerar alias dos campos SrcDvcId, SrcHostname ou SrcIpAddr. Exemplo: `192.168.12.1`
SrcIpAddr	Recomendadas	endereço IP	O endereço IP do dispositivo de origem. Esse valor será obrigatório se SrcHostname for especificado. Exemplo: `77.138.103.108`
IpAddr	Alias		Alias para SrcIpAddr.
SrcPortNumber	Opcional	Integer	A porta IP em que a conexão foi originada. Pode não ser relevante para uma sessão que abrange várias conexões. Exemplo: `2335`
SrcMacAddr	Opcional	Endereço MAC (String)	O endereço MAC da interface de rede de onde se originou a conexão ou sessão. Exemplo: `06:10:9f:eb:8f:14`
SrcDescription	Opcional	String	Um texto descritivo associado ao dispositivo. Por exemplo: `Primary Domain Controller`.
SrcNome do host	Recomendadas	String	O nome do host do dispositivo de origem, incluindo informações de domínio. Exemplo: `DESKTOP-1282V4D`
SrcDomain	Recomendadas	Domínio (String)	O domínio do dispositivo de origem. Exemplo: `Contoso`
SrcDomainType	Recomendadas	Enumerated	O tipo de SrcDomain, se conhecido. Os valores possíveis incluem: - `Windows` (como `contoso`) - `FQDN` (como `microsoft.com`) Necessário se SrcDomain for usado.
SrcFQDN	Opcional	FQDN (Corda)	O nome do host do dispositivo de origem, incluindo informações de domínio quando disponível. Observação: esse campo dá suporte ao formato FQDN tradicional e ao formato domínio\nome do host do Windows. O campo SrcDomainType reflete o formato usado. Exemplo: `Contoso\DESKTOP-1282V4D`
SrcDvcId	Opcional	String	A ID do dispositivo de origem, conforme relatado no registro. Exemplo: `ac7e9755-8eae-4ffc-8a02-50ed7a2216c3`
SrcDvcScopeId	Opcional	String	A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do SrcDvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS.
SrcDvcScope	Opcional	String	O escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do SrcDvcScope para uma ID da assinatura no Azure e para uma ID da conta no AWS.
SrcDvcIdType	Condicional	Enumerated	O tipo de SrcDvcId, se conhecido. Os valores possíveis incluem: - `AzureResourceId` - `MDEid` Se várias IDs estão disponíveis, use a primeira da lista acima e armazene as outras em SrcDvcAzureResourceId e SrcDvcMDEid, respectivamente. Observação: esse campo será obrigatório se SrcDvcId for usado.
SrcDeviceType	Opcional	Enumerated	O tipo do dispositivo de origem. Os valores possíveis incluem: - `Computer` - `Mobile Device` - `IOT Device` - `Other`
SrcGeoCountry	Opcional	País	O país/região associado ao endereço IP de origem. Exemplo: `USA`
SrcGeoRegion	Opcional	Região	A região associada ao endereço IP de origem. Exemplo: `Vermont`
SrcGeoCity	Opcional	City	A cidade associada ao endereço IP de origem. Exemplo: `Burlington`
SrcGeoLatitude	Opcional	Latitude	A latitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: `44.475833`
SrcGeoLongitude	Opcional	Longitude	A longitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: `73.211944`
SrcRiskLevel	Opcional	Integer	O nível de risco associado à origem. O valor deve ser ajustado para um intervalo de `0` para `100`, com `0` para benigno e `100` para um risco alto. Exemplo: `90`
SrcOriginalRiskLevel	Opcional	String	O nível de risco associado à ameaça identificada com a origem, conforme relatado pelo dispositivo de relatório. Exemplo: `Suspicious`

Aplicativo de ação

Campo	Classe	Tipo	Descrição
ActingAppId	Opcional	String	A ID do aplicativo usado pelo ator para executar a atividade, incluindo um processo, navegador ou serviço. Por exemplo: `0x12ae8`
ActingAppName	Opcional	String	O nome do aplicativo usado pelo ator para executar a atividade, incluindo um processo, navegador ou serviço. Por exemplo: `C:\Windows\System32\svchost.exe`
ActingAppType	Opcional	Enumerated	O tipo de aplicativo de ação. Os valores compatíveis incluem: - `Process` - `Browser` - `Resource` - `Other`
AtuaçãoOriginalTipo de Papel	Opcional	String	O tipo da aplicação que iniciou a atividade conforme reportado pelo dispositivo de relatório.
HttpUserAgent	Opcional	String	Quando a autenticação é executada por HTTP ou HTTPS, o valor desse campo é o cabeçalho HTTP user_agent fornecido pelo aplicativo de ação ao executar a autenticação. Por exemplo: `Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1`

Campos de inspeção

Os campos a seguir são usados para representar a inspeção realizada por um sistema de segurança, como um sistema EDR.

Campo	Classe	Tipo	Descrição
RuleName	Opcional	String	O nome ou a ID da regra associada aos resultados da inspeção.
Número de Regra	Opcional	Integer	O número da regra associada aos resultados da inspeção.
Regra	Condicional	String	O valor de kRuleName ou o valor de RuleNumber. Se o valor de RuleNumber for usado, o tipo deverá ser convertido em cadeia de caracteres.
ThreatId	Opcional	String	A ID da ameaça ou do malware identificado na atividade de arquivo.
Nome da Ameaça	Opcional	String	O nome da ameaça ou do malware identificado na atividade de arquivo. Exemplo: `EICAR Test File`
Categoria de ameaça	Opcional	String	A categoria da ameaça ou do malware identificado na atividade de arquivo. Exemplo: `Trojan`
Nível de risco de ameaça	Opcional	RiskLevel (Inteiro)	O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. Observação: o valor pode ser fornecido no registro de origem usando uma escala diferente, que deve ser normalizado para essa escala. O valor original deve ser armazenado em ThreatOriginalRiskLevel.
AmeaçaOriginalRiscoLevel	Opcional	String	O nível de risco, conforme relatado pelo dispositivo de relatório.
Campo de Ameaça	Opcional	String	O campo para o qual uma ameaça foi identificada.
ThreatConfidence	Opcional	Nível de Confiança (Inteiro)	O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100.
ThreatOriginalConfidence	Opcional	String	O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório.
ThreatIsActive	Opcional	booleano	True, se a ameaça identificada é considerada uma ameaça ativa.
ThreatFirstReportedTime	Opcional	datetime	A primeira vez em que o endereço IP ou domínio foi identificado como uma ameaça.
ThreatLastReportedTime	Opcional	datetime	A última vez em que o endereço IP ou domínio foi identificado como uma ameaça.

Campos e aliases adicionais

Campo	Classe	Tipo	Descrição
Nome do host	Alias		Alias para DvcHostname.

Atualizações de esquema

As alterações na versão 0.1.2 do esquema são:

Adicionaram campos de inspeção.
Adicionados os campos SrcDescriptionfonte , SrcMacAddr, SrcOriginalRiskLevel, SrcPortNumber, SrcRiskLevel,
Adicionados os campos-alvo TargetUserScope, TargetUserScopeId, TargetUserSessionId
Adicionei os campos ActorOriginalUserTypeator , ActorScope, ActorScopeId
Adicionado o campo de aplicação para atuação ActingOriginalAppType

Próximas etapas

Para obter mais informações, consulte:

Comentários

Esta página foi útil?

Last updated on 2025-12-11