Referência do esquema de normalização do gerenciamento de usuários do Microsoft Sentinel

O esquema de normalização de gerenciamento de usuários do Microsoft Sentinel é usado para descrever atividades de gerenciamento de usuários, como criar um usuário ou um grupo, alterar o atributo de usuário ou adicionar um usuário a um grupo. Tais eventos são relatados, por exemplo, por sistemas operacionais, serviços de diretório, sistemas de gerenciamento de identidade e qualquer outro sistema que informe sobre sua atividade de gerenciamento de usuários local.

Para obter mais informações sobre normalização no Microsoft Sentinel, consulte Normalização e o modelo avançado de informações de segurança (ASIM).

Descrição geral do esquema

O esquema de gerenciamento de usuários ASIM descreve as atividades de gerenciamento de usuários. As atividades normalmente incluem as seguintes entidades:

Ator - o usuário que executa a atividade de gerenciamento.
Processo de Atuação - o processo utilizado pelo ator para realizar a atividade de gestão.
Src - quando a atividade é realizada através da rede, o dispositivo de origem a partir do qual a atividade foi iniciada.
Usuário alvo - o usuário cuja conta é gerenciada.
Agrupe o usuário de destino que é adicionado ou removido, ou está sendo modificado.

Algumas atividades, como UserCreated, GroupCreated, UserModified e GroupModified*, definem ou atualizam as propriedades do usuário. O conjunto de propriedades ou atualizado está documentado nos seguintes campos:

EventSubType - o nome do valor que foi definido ou atualizado. UpdatedPropertyName é um alias para EventSubType quando EventSubType se refere a um dos tipos de evento relevantes.
PreviousPropertyValue - o valor anterior da propriedade.
NewPropertyValue - o valor atualizado da propriedade.

Detalhes do esquema

Campos ASIM comuns

Importante

Os campos comuns a todos os esquemas são descritos em detalhes no artigo Campos comuns do ASIM.

Domínios comuns com orientações específicas

A lista a seguir menciona campos que têm diretrizes específicas para eventos de atividade de processo:

Campo	Classe	Tipo	Description
Tipo de Evento	Obrigatório	Enumerated	Descreve a operação relatada pelo registro. Para a atividade de Gerenciamento de Usuários, os valores suportados são: - `UserCreated` - `UserDeleted` - `UserModified` - `UserLocked` - `UserUnlocked` - `UserDisabled` - `UserEnabled` - `PasswordChanged` - `PasswordReset` - `GroupCreated` - `GroupDeleted` - `GroupModified` - `UserAddedToGroup` - `UserRemovedFromGroup` - `GroupEnumerated` - `UserRead` - `GroupRead`
SubTipo de Evento	Opcional	Enumerated	Os seguintes subtipos são suportados: - `UserRead`: Senha, Hash - `UserCreated`, `GroupCreated`, `UserModified`, `GroupModified`. Para obter mais informações, consulte UpdatedPropertyName
EventResult	Obrigatório	Enumerated	Embora a falha seja possível, a maioria dos sistemas relata apenas eventos de gerenciamento de usuários bem-sucedidos. O valor esperado para eventos bem-sucedidos é `Success`.
EventResultDetails	Recomendado	Enumerated	Os valores válidos são `NotAuthorized` e `Other`.
EventSeverity	Obrigatório	Enumerated	Embora qualquer valor de gravidade válido seja permitido, a severidade dos eventos de gerenciamento de usuários normalmente é `Informational`.
EventSchema	Obrigatório	Enumerated	O nome do esquema documentado aqui é `UserManagement`.
EventSchemaVersion	Obrigatório	SchemaVersion (String)	A versão do esquema. A versão do esquema documentada aqui é `0.1.2`.
Campos Dvc			Para eventos de gerenciamento de usuários, os campos de dispositivo referem-se ao sistema que relata o evento. Este é geralmente o sistema no qual o usuário é gerenciado.

Todos os campos comuns

Os campos que aparecem na tabela abaixo são comuns a todos os esquemas ASIM. Qualquer diretriz especificada acima substitui as diretrizes gerais para o campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais detalhes sobre cada campo, consulte o artigo Campos comuns do ASIM.

Classe	Campos
Obrigatório	- Contagem de Eventos - EventoInícioHora - EventEndTime - Tipo de Evento - EventResult - EventoProduto - EventVendor - EventSchema - EventSchemaVersion - DVC
Recomendado	- EventResultDetails - Severidade do Evento - EventUid - DvcIpAddr - DvcNome do host - DvcDomínio - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction
Opcional	- EventMessage - SubTipo de Evento - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventoOriginalSeveridade - EventProductVersion - EventReportUrl - Proprietário do Evento - DvcZona - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campos Adicionais - DvcDescrição - DvcScopeId - DvcScope

Campos de propriedade atualizados

Campo	Classe	Tipo	Description
NomePropriedade Atualizada	Alias		Alias para EventSubType quando o Tipo de Evento é `UserCreated`, `GroupCreated`, `UserModified`ou `GroupModified`. Os valores suportados são: - `MultipleProperties`: Usado quando a atividade atualiza várias propriedades - `Previous<PropertyName>`, onde `<PropertyName>` é um dos valores suportados para `UpdatedPropertyName`. - `New<PropertyName>`, onde `<PropertyName>` é um dos valores suportados para `UpdatedPropertyName`.
AnteriorPropertyValue	Opcional	String	O valor anterior que foi armazenado na propriedade especificada.
NovoValorImóvelValor	Opcional	String	O novo valor armazenado na propriedade especificada.

Campos de utilizador alvo

Campo	Classe	Tipo	Description
TargetUserId	Opcional	String	Uma representação única, alfanumérica e legível por máquina do utilizador alvo. Os formatos e tipos suportados incluem: - SID (Windows): `S-1-5-21-1377283216-344919071-3415362939-500` - UID (Linux): `4578` - AADID (ID do Microsoft Entra): `9267d02c-5f76-40a9-a9eb-b686f3ca47aa` - OktaId: `00urjk4znu3BcncfY0h7` - AWSId: `72643944673` Armazene o tipo de ID no campo TargetUserIdType . Se outros IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId e TargetUserAwsId, respectivamente. Para obter mais informações, consulte A entidade Usuário. Exemplo: `S-1-12`
TargetUserIdType	Conditional	Enumerated	O tipo do ID armazenado no campo TargetUserId . Os valores suportados são `SID`, `UID`, `AADID`, `OktaId`e `AWSId`.
Nome de UtilizadorTargetUtilizador	Opcional	Nome de utilizador (String)	O nome de usuário de destino, incluindo informações de domínio, quando disponíveis. Use um dos seguintes formatos e na seguinte ordem de prioridade: - Upn/E-mail: `johndow@contoso.com` - Janelas: `Contoso\johndow` - DN:`CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM` - Simples: `johndow`. Use o formulário Simples somente se as informações do domínio não estiverem disponíveis. Armazene o tipo de nome de usuário no campo TargetUsernameType . Se outras IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para TargetUserUpn, TargetUserWindows e TargetUserDn. Para obter mais informações, consulte A entidade Usuário. Exemplo: `AlbertE`
TargetUsernameType	Conditional	Enumerated	Especifica o tipo do nome de usuário armazenado no campo TargetUsername . Os valores suportados incluem `UPN`, `Windows`, `DN`e `Simple`. Para obter mais informações, consulte A entidade Usuário. Exemplo: `Windows`
TargetUserType	Opcional	Enumerated	O tipo de usuário alvo. Os valores suportados incluem: - `Regular` - `Machine` - `Admin` - `System` - `Application` - `Service Principal` - `Other` Nota: O valor pode ser fornecido no registro de origem usando termos diferentes, que devem ser normalizados para esses valores. Armazene o valor original no campo TargetOriginalUserType .
TargetOriginalUserType	Opcional	String	O tipo de usuário de destino original, se fornecido pela origem.
TargetUserScope	Opcional	String	O escopo, como o locatário do Microsoft Entra, no qual TargetUserId e TargetUsername são definidos. ou mais informações e lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema.
TargetUserScopeId	Opcional	String	A ID do escopo, como a ID do Diretório do Microsoft Entra, na qual TargetUserId e TargetUsername são definidos. para obter mais informações e uma lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema.
TargetUserSessionId	Opcional	String	O ID exclusivo da sessão de login do usuário alvo. Exemplo: `999` Nota: O tipo é definido como string para suportar sistemas variados, mas no Windows esse valor deve ser numérico. Se você estiver usando uma máquina Windows ou Linux e usou um tipo diferente, certifique-se de converter os valores. Por exemplo, se você usou um valor hexadecimal, converta-o em um valor decimal.

Campos de atores

Campo	Classe	Tipo	Description
ActorUserId	Opcional	String	Uma representação única, alfanumérica e legível por máquina do Ator. Os formatos e tipos suportados incluem: - SID (Windows): `S-1-5-21-1377283216-344919071-3415362939-500` - UID (Linux): `4578` - AADID (ID do Microsoft Entra): `9267d02c-5f76-40a9-a9eb-b686f3ca47aa` - OktaId: `00urjk4znu3BcncfY0h7` - AWSId: `72643944673` Armazene o tipo de ID no campo ActorUserIdType . Se outras IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId e ActorAwsId, respectivamente. Para obter mais informações, consulte A entidade Usuário. Exemplo: S-1-12
ActorUserIdType	Conditional	Enumerated	O tipo de ID armazenado no campo ActorUserId . Os valores suportados incluem `SID`, `UID`, `AADID`, `OktaId`e `AWSId`.
ActorUsername	Obrigatório	Nome de utilizador (String)	O nome de usuário do ator, incluindo informações de domínio, quando disponíveis. Use um dos seguintes formatos e na seguinte ordem de prioridade: - Upn/E-mail: `johndow@contoso.com` - Janelas: `Contoso\johndow` - DN:`CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM` - Simples: `johndow`. Use o formulário Simples somente se as informações do domínio não estiverem disponíveis. Armazene o tipo de nome de usuário no campo ActorUsernameType . Se outras IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para ActorUserUpn, ActorUserWindows e ActorUserDn. Para obter mais informações, consulte A entidade Usuário. Exemplo: `AlbertE`
Utilizador	Alias		Alias para ActorUsername.
ActorUsernameType	Conditional	Enumerated	Especifica o tipo do nome de usuário armazenado no campo ActorUsername . Os valores suportados são `UPN`, `Windows`, `DN`e `Simple`. Para obter mais informações, consulte A entidade Usuário. Exemplo: `Windows`
ActorUserType	Opcional	Enumerated	O tipo do ator. Os valores permitidos são: - `Regular` - `Machine` - `Admin` - `System` - `Application` - `Service Principal` - `Other` Nota: O valor pode ser fornecido no registro de origem usando termos diferentes, que devem ser normalizados para esses valores. Armazene o valor original no campo ActorOriginalUserType .
ActorOriginalUserType	Opcional	String	O tipo de usuário de destino original, se fornecido pelo dispositivo de relatório.
ActorOriginalUserType			O tipo de usuário do ator original, se fornecido pela fonte.
ActorSessionId	Opcional	String	O ID exclusivo da sessão de login do Ator. Exemplo: `999` Nota: O tipo é definido como string para suportar sistemas variados, mas no Windows esse valor deve ser numérico. Se você estiver usando uma máquina Windows e usou um tipo diferente, certifique-se de converter os valores. Por exemplo, se você usou um valor hexadecimal, converta-o em um valor decimal.
ActorScope	Opcional	String	O escopo, como o locatário do Microsoft Entra, no qual ActorUserId e ActorUsername são definidos. ou mais informações e lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema.
ActorScopeId	Opcional	String	A ID do escopo, como a ID do Diretório do Microsoft Entra, na qual ActorUserId e ActorUsername são definidos. ou mais informações e lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema.

Campos de grupo

Campo	Classe	Tipo	Description
Id do Grupo	Opcional	String	Uma representação única, alfanumérica e legível por máquina do grupo, para atividades que envolvam um grupo. Os formatos e tipos suportados incluem: - SID (Windows): `S-1-5-21-1377283216-344919071-3415362939-500` - UID (Linux): `4578` Armazene o tipo de ID no campo GroupIdType . Se outras IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para GroupSid ou GroupUid, respectivamente. Para obter mais informações, consulte A entidade Usuário. Exemplo: `S-1-12`
GroupIdType	Opcional	Enumerated	O tipo de ID armazenado no campo GroupId . Os valores suportados são `SID`, e `UID`.
Nome do Grupo	Opcional	String	O nome do grupo, incluindo informações de domínio, quando disponíveis, para atividades que envolvam um grupo. Use um dos seguintes formatos e na seguinte ordem de prioridade: - Upn/E-mail: `grp@contoso.com` - Janelas: `Contoso\grp` - DN:`CN=grp,OU=Sales,DC=Fabrikam,DC=COM` - Simples: `grp`. Use o formulário Simples somente se as informações do domínio não estiverem disponíveis. Armazene o tipo de nome do grupo no campo GroupNameType . Se outras IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para GroupUpn, GroupNameWindows e GroupDn. Exemplo: `Contoso\Finance`
GroupNameType	Opcional	Enumerated	Especifica o tipo do nome do grupo armazenado no campo GroupName . Os valores suportados incluem `UPN`, `Windows`, `DN`e `Simple`. Exemplo: `Windows`
Tipo de Grupo	Opcional	Enumerated	O tipo de grupo, para atividades que envolvam um grupo. Os valores suportados incluem: - `Local Distribution` - `Local Security Enabled` - `Global Distribution` - `Global Security Enabled` - `Universal Distribution` - `Universal Security Enabled` - `Other` Nota: O valor pode ser fornecido no registro de origem usando termos diferentes, que devem ser normalizados para esses valores. Armazene o valor original no campo GroupOriginalType .
GroupOriginalType	Opcional	String	O tipo de grupo original, se fornecido pela fonte.

Campos de origem

Campo	Classe	Tipo	Description
Src	Recomendado	String	Um identificador exclusivo do dispositivo de origem. Este campo pode usar o alias dos campos SrcDvcId, SrcHostname ou SrcIpAddr . Exemplo: `192.168.12.1`
SrcIpAddr	Recomendado	endereço IP	O endereço IP do dispositivo de origem. Esse valor é obrigatório se SrcHostname for especificado. Exemplo: `77.138.103.108`
IpAddr	Alias		Alias para SrcIpAddr.
SrcPortNumber	Opcional	Número inteiro	A porta IP da qual a conexão se originou. Pode não ser relevante para uma sessão que inclui várias conexões. Exemplo: `2335`
SrcMacAddr	Opcional	Endereço MAC (String)	O endereço MAC da interface de rede a partir da qual a conexão ou sessão se originou. Exemplo: `06:10:9f:eb:8f:14`
SrcDescrição	Opcional	String	Um texto descritivo associado ao dispositivo. Por exemplo: `Primary Domain Controller`.
SrcHostname	Recomendado	String	O nome de host do dispositivo de origem, excluindo informações de domínio. Exemplo: `DESKTOP-1282V4D`
Domínio Src	Recomendado	Domínio (String)	O domínio do dispositivo de origem. Exemplo: `Contoso`
SrcDomainType	Recomendado	Enumerated	O tipo de SrcDomain, se conhecido. Valores possíveis incluem: - `Windows` (tais como `contoso`) - `FQDN` (tais como `microsoft.com`) Necessário se SrcDomain for usado.
SrcFQDN	Opcional	FQDN (Corda)	O nome de host do dispositivo de origem, incluindo informações de domínio, quando disponíveis. Nota: Este campo suporta o formato FQDN tradicional e o formato domínio\nome de anfitrião do Windows. O campo SrcDomainType reflete o formato usado. Exemplo: `Contoso\DESKTOP-1282V4D`
SrcDvcId	Opcional	String	A ID do dispositivo de origem, conforme relatado no registro. Exemplo: `ac7e9755-8eae-4ffc-8a02-50ed7a2216c3`
SrcDvcScopeId	Opcional	String	O ID de escopo da plataforma de nuvem ao qual o dispositivo pertence. O SrcDvcScopeId é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS.
SrcDvcScope	Opcional	String	O escopo da plataforma de nuvem ao qual o dispositivo pertence. O SrcDvcScope é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS.
SrcDvcIdType	Conditional	Enumerated	O tipo de SrcDvcId, se conhecido. Valores possíveis incluem: - `AzureResourceId` - `MDEid` Se várias IDs estiverem disponíveis, use a primeira da lista anterior e armazene as outras em SrcDvcAzureResourceId e SrcDvcMDEid, respectivamente. Nota: Este campo é obrigatório se SrcDvcId for usado.
SrcDeviceType	Opcional	Enumerated	O tipo do dispositivo de origem. Valores possíveis incluem: - `Computer` - `Mobile Device` - `IOT Device` - `Other`
SrcGeoCountry	Opcional	País	O país/região associado ao endereço IP de origem. Exemplo: `USA`
SrcGeoRegion	Opcional	País/Região	A região associada ao endereço IP de origem. Exemplo: `Vermont`
SrcGeoCity	Opcional	City	A cidade associada ao endereço IP de origem. Exemplo: `Burlington`
SrcGeoLatitude	Opcional	Latitude	A latitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: `44.475833`
SrcGeoLongitude	Opcional	Longitude	A longitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: `73.211944`
SrcRiskLevel	Opcional	Número inteiro	O nível de risco associado à fonte. O valor deve ser ajustado para uma faixa de `0` , com `100` para benigno `0`e `100` para um alto risco. Exemplo: `90`
SrcOriginalRiskLevel	Opcional	String	O nível de risco associado à fonte, conforme relatado pelo dispositivo de relatório. Exemplo: `Suspicious`

Aplicação em exercício

Campo	Classe	Tipo	Description
ActingAppId	Opcional	String	A ID do aplicativo usado pelo ator para executar a atividade, incluindo um processo, navegador ou serviço. Por exemplo: `0x12ae8`
ActingAppName	Opcional	String	O nome do aplicativo usado pelo ator para executar a atividade, incluindo um processo, navegador ou serviço. Por exemplo: `C:\Windows\System32\svchost.exe`
ActingAppType	Opcional	Enumerated	O tipo de aplicação atuante. Os valores suportados incluem: - `Process` - `Browser` - `Resource` - `Other`
AtuaçãoOriginalAppType	Opcional	String	O tipo da aplicação que iniciou a atividade conforme reportado pelo dispositivo de relatório.
HttpUserAgent	Opcional	String	Quando a autenticação é executada por HTTP ou HTTPS, o valor desse campo é o cabeçalho HTTP user_agent fornecido pelo aplicativo que atua ao executar a autenticação. Por exemplo: `Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1`

Campos de inspeção

Os campos seguintes são usados para representar a inspeção realizada por um sistema de segurança, como um sistema EDR.

Campo	Classe	Tipo	Description
RuleName	Opcional	String	O nome ou ID da regra associado aos resultados da inspeção.
Número da regra	Opcional	Número inteiro	O número da regra associada aos resultados da inspeção.
Regra	Conditional	String	O valor de kRuleName ou o valor de RuleNumber. Se o valor de RuleNumber for usado, o tipo deve ser convertido em string.
ThreatId	Opcional	String	O ID da ameaça ou malware identificado na atividade do arquivo.
Nome da Ameaça	Opcional	String	O nome da ameaça ou malware identificado na atividade do arquivo. Exemplo: `EICAR Test File`
ThreatCategory	Opcional	String	A categoria da ameaça ou malware identificado na atividade do arquivo. Exemplo: `Trojan`
ThreatRiskLevel	Opcional	RiskLevel (Inteiro)	O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. Nota: O valor pode ser fornecido no registro de origem usando uma escala diferente, que deve ser normalizada para essa escala. O valor original deve ser armazenado em ThreatOriginalRiskLevel.
ThreatOriginalRiskLevel	Opcional	String	O nível de risco comunicado pelo dispositivo de notificação.
Campo de Ameaças	Opcional	String	O campo para o qual foi identificada uma ameaça.
ThreatConfidence	Opcional	Nível de Confiança (Inteiro)	O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100.
ThreatOriginalConfidence	Opcional	String	O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório.
ThreatIsActive	Opcional	booleano	True se a ameaça identificada for considerada uma ameaça ativa.
ThreatFirstReportedTime	Opcional	datetime	A primeira vez que o endereço IP ou domínio foram identificados como uma ameaça.
ThreatLastReportedTime	Opcional	datetime	A última vez que o endereço IP ou domínio foi identificado como uma ameaça.

Campos e aliases adicionais

Campo	Classe	Tipo	Description
Nome de Anfitrião	Alias		Alias para DvcHostname.

Atualizações de esquema

As alterações na versão 0.1.2 do esquema são:

Adicionaram campos de inspeção.
Adicionados os campos SrcDescriptionfonte , SrcMacAddr, SrcOriginalRiskLevel, SrcPortNumber, SrcRiskLevel,
Adicionados os campos-alvo TargetUserScope, TargetUserScopeId, TargetUserSessionId
Adicionados os campos ActorOriginalUserTypede ator , ActorScope, ActorScopeId
Adicionou o campo de candidatura à atuação ActingOriginalAppType

Próximos passos

Para obter mais informações, consulte:

Feedback

Esta página foi útil?

Last updated on 2025-12-11