Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El esquema de entidad de recursos de Microsoft Sentinel está diseñado para normalizar los recursos de varios productos en un formato estandarizado dentro del Modelo de información de seguridad avanzada (ASIM) de Microsoft. Este esquema se centra exclusivamente en los recursos de orígenes de datos que no son de Microsoft, lo que garantiza un análisis coherente y eficaz.
Un recurso es cualquier recurso de datos que una organización almacena, procesa o administra, como un archivo o un sitio. Cada recurso contiene metadatos relevantes para la seguridad, como propiedad, permisos, clasificaciones de confidencialidad e indicadores de riesgo. Los recursos se pueden originar en una amplia gama de plataformas, bases de datos, servicios de almacenamiento en la nube, aplicaciones SaaS y sistemas locales y se recopilan como instantáneas de inventario completas o fuentes de cambios incrementales.
Al normalizar los datos de recursos en un esquema común, Microsoft Sentinel permite a los equipos de seguridad analizar y correlacionar la información de recursos entre diversos orígenes de datos de forma coherente. Los campos clave del esquema incluyen EntityId y EntityName para identificar recursos de forma única, AssetType para distinguir entre tipos de recursos como Archivo o Sitio, AssetOwnerId para realizar un seguimiento de la propiedad AssetSensitivityLabel y AssetOriginalDataClassificationType para el contexto de clasificación de datos, y EntityFeedType para indicar si un registro es una instantánea de inventario completa o un cambio incremental. Esta representación unificada impulsa escenarios de bajada, como la identificación de archivos confidenciales sobrecompartidos, el seguimiento de los cambios de permisos, la detección de recursos no protegidos y la creación de riesgos en todo el patrimonio de datos a través de integraciones como Administración de postura de seguridad de datos de Microsoft Purview (DSPM).
El uso del esquema permite a Microsoft Purview DSPM administrar la posición de seguridad de los datos en microsoft y plataformas de asociados. Para obtener más información, consulte el anuncio de Ignite 2025 que presenta el ecosistema de asociados DSPM.
Para obtener más información sobre la normalización en Microsoft Sentinel, vea Normalización y el modelo de información de seguridad avanzada (ASIM).
Analizadores
Para obtener más información sobre los analizadores de ASIM, consulte la introducción a los analizadores de ASIM.
Unificar analizadores
Para usar analizadores que unifiquen todos los analizadores de ASIM de fábrica y asegúrese de que el análisis se ejecuta en todos los orígenes configurados, use el _Im_AssetEntity analizador.
Agregar sus propios analizadores normalizados
Al desarrollar analizadores personalizados para el esquema de entidad de recursos, asigne un nombre a las funciones de KQL mediante la sintaxis siguiente:
-
vimAssetEntity<vendor><Product>para analizadores con parámetros -
ASimAssetEntity<vendor><Product>para analizadores normales
Consulte el artículo Administración de analizadores de ASIM para obtener información sobre cómo agregar los analizadores personalizados a los analizadores de unificación.
Filtrado de parámetros del analizador
Los analizadores de entidades de recursos admiten varios parámetros de filtrado para mejorar el rendimiento de las consultas. Estos parámetros son opcionales, pero pueden mejorar el rendimiento de las consultas. Están disponibles los siguientes parámetros de filtrado:
| Nombre | Tipo | Description |
|---|---|---|
| starttime | datetime | Filtre solo los recursos ingeridos en o después de este momento. Este parámetro filtra en el EntityIngestionTime campo, que es el designador estándar para la hora del recurso. |
| endtime | datetime | Filtre solo los recursos ingeridos en o antes de este momento. Este parámetro filtra en el EntityIngestionTime campo, que es el designador estándar para la hora del recurso. |
| entityid_has_any | dinámico | Filtre solo los recursos para los que el campo "EntityId" se encuentra en uno de los valores enumerados. |
| entityname_has_any | dinámico | Filtre solo los recursos para los que el campo "EntityName" se encuentra en uno de los valores enumerados. |
| assettype_in | string | Filtre solo los recursos para los que el campo "AssetType" es igual al valor del parámetro. |
| path_has_any | dinámico | Filtre solo los recursos para los que el campo "FilePath" o "SitePath" se encuentra en uno de los valores enumerados. |
| assetowner_has_any | dinámico | Filtre solo los recursos para los que el campo "AssetOwner" o "AdditionalAssetOwners" se encuentra en uno de los valores enumerados. |
| entitysource_has_any | dinámico | Filtre solo los recursos para los que el campo "EntitySource" se encuentra en uno de los valores enumerados. |
Detalles del esquema
Campos de entidad de ASIM comunes
En la lista siguiente se mencionan los campos de un esquema de entidad junto con sus directrices específicas para las entidades de activos:
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| EntityUpdatedTime | Obligatorio | datetime | Marca de tiempo (UTC) de cuando la entidad se actualizó o recopiló en el origen. |
| EntityIngestionTime | Opcional | datetime | Marca de tiempo (UTC) de cuando la canalización de ingesta recibe el registro de recursos. |
| EntityId | Obligatorio | string | Identificador único del recurso. |
| EntityOriginalId | Opcional | string | Identificador único del recurso en el origen si es diferente de "EntityId". |
| EntityName | Obligatorio | string | El nombre de la entidad. |
| EntityNameType | Recomendado | string | Tipo del nombre de la entidad. |
| EntityVendor | Obligatorio | string | Proveedor o proveedor que informó de la entidad. |
| EntitySource | Obligatorio | Enumerado | Origen de datos o conector que proporcionó el registro de entidad. Los orígenes de soporte técnico incluyen: - Azure- Microsoft365- AWS- GCP- Snowflake- Databricks- Salesforce- OtherUse Other si el origen no aparece. |
| EntityOriginalSource | Opcional | string | Origen de datos original o conector que proporcionó el registro de entidad, si el origen no se admite actualmente. |
| EntityProduct | Obligatorio | string | Nombre del producto asociado al origen que informó de la entidad. |
| EntitySubProduct | Obligatorio | string | Nombre del subproducto o componente asociado al origen que informó de la entidad. |
| EntityCreatedTime | Obligatorio | datetime | Marca de tiempo (UTC) de cuando se creó originalmente la entidad en el sistema de origen. |
| EntityLastAccessedTime | Opcional | datetime | Marca de tiempo (UTC) de la última vez que se obtuvo acceso a la entidad. |
| EntityLastModifiedTime | Obligatorio | datetime | Marca de tiempo (UTC) de la última modificación de la entidad en el sistema de origen. |
| EntityIsDeleted | Opcional | bool | Indica si la entidad se ha eliminado en el sistema de origen. |
| EntityFeedType | Obligatorio | Enumerado | Tipo o categoría de la fuente de distribución de datos que proporcionó el registro de entidad. Los valores permitidos son: Snapshot o Changefeed. |
| EntitySchema | Obligatorio | Enumerado | Esquema usado para la entidad. El esquema que se documenta aquí es Asset. |
| EntitySchemaVersion | Obligatorio | SchemaVersion (String) | Versión del esquema. La versión del esquema documentada aquí es 0.1.0. |
Campos de propietario del recurso
En esta sección se define información sobre el propietario del recurso. Si el recurso tiene varios propietarios, rellene ambos campos AssetOwnerId y AdditionalAssetOwners.
AdditionalAssetOwners debe ser una matriz de cadenas y las cadenas deben tener el mismo formato AssetOwnerIdque .
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| AssetOwnerId | Obligatorio | string | Representación única, alfanumérica y legible de la máquina del actor. Para obtener más información y para campos alternativos para otros identificadores, vea La entidad User. |
| AssetOwnerIdType | Recomendado | string | Tipo o formato del identificador de propietario del recurso. Esto es similar a UserIdType en esquemas de eventos. Para obtener más información y una lista de los valores permitidos, vea UserIdType en el artículo Información general del esquema. |
| AssetOwnerType | Opcional | string | Tipo del propietario del recurso. Para obtener más información y una lista de los valores permitidos, vea UserType en el artículo Información general del esquema. |
| AssetOwnerScope | Opcional | string | Ámbito organizativo o administrativo al que pertenece el propietario del recurso. |
| AssetOwnerScopeId | Opcional | string | Identificador del ámbito al que pertenece el propietario del recurso. |
| AdditionalAssetOwners | Opcional | dinámico | Colección dinámica de propietarios o copropietarios adicionales asociados al recurso. Debe ser una matriz de cadenas. |
Campos de metadatos de recursos
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| AADTenantId | Obligatorio | string | El Azure identificador de inquilino de Active Directory asociado al recurso o entidad. |
| IdentityDirectoryName | Opcional | string | Nombre del directorio de identidad, como Azure AD, GCP, AWS, asociado a la entidad. |
| IdentityDirectoryId | Obligatorio | string | Identificador del directorio de identidad asociado a la entidad. |
| AdditionalFields | Opcional | dinámico | Información adicional sobre la entidad que no capturan otros campos del esquema. |
Campos de tipo de recurso
En esta sección se define información sobre el tipo de recurso. Los tipos actuales admitidos son File y Site. Se deben rellenar las propiedades adicionales del tipo del recurso.
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| AssetType | Obligatorio | string | Tipo de alto nivel del recurso. Los valores permitidos y admitidos son: File, Site. |
| AssetOriginalType | Recomendado | string | Nombre original del tipo de alto nivel del recurso en el origen. |
Campos de seguridad de activos
En esta sección se captura la posición de seguridad y el contexto de exposición del recurso, incluidos los permisos de origen, los detalles de confidencialidad y clasificación de datos, el estado de protección DLP, los indicadores de amenazas relacionados y el último tiempo de examen de clasificación. También incluye recuentos de acceso de usuarios internos y externos para ayudar a evaluar la posible exposición.
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| AssetOriginalPermissions | Opcional | dinámico | Conjunto de permisos original asignado al recurso según lo notificado por el sistema de origen. |
| AssetSensitivityLabel | Obligatorio | string | Etiqueta de confidencialidad aplicada al recurso. Los valores permitidos son: Personal, Public, General, , Confidential. Highly Confidential |
| AssetOriginalSensitivityLevel | Opcional | string | El nivel de confidencialidad notificado por el sistema de origen, antes de la normalización. |
| AssetIsProtectedByDlp | Opcional | bool | Indica si el recurso está protegido por una directiva de prevención de pérdida de datos (DLP). |
| AssetRelatedIndicators | Opcional | dinámico | Colección dinámica de indicadores de amenazas o señales relacionadas con el recurso. |
| AssetOriginalDataClassificationType | Obligatorio | dinámico | Los tipos de clasificación de datos originales asignados al recurso según lo notificado por el sistema de origen. Debe ser una matriz de cadenas*. |
| AssetClassificationLastScanDateTime | Obligatorio | datetime | Marca de tiempo (UTC) de la última vez que se examinó el recurso para la clasificación de datos. |
| InternalUsersCount | Opcional | Entero | Número de usuarios internos asociados al recurso o que tienen acceso a él. |
| ExternalUsersCount | Opcional | Entero | Número de usuarios externos asociados al recurso o que tienen acceso a él. |
Campos de riesgo de activos
En esta sección se captura el contexto de riesgo del recurso, incluidos los nombres y niveles de riesgo normalizados y notificados por el origen, las marcas de tiempo del primer y último informe y los detalles de riesgo específicos del proveedor.
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| AssetRiskName | Opcional | string | Nombre normalizado del riesgo o amenaza asociado al recurso. |
| AssetRiskLevel | Opcional | Enumerado | Nivel de riesgo normalizado asignado al recurso. Los valores permitidos son: , , , , , OtherCritical. HighMediumLowInfo |
| AssetOriginalRiskLevel | Opcional | string | El nivel de riesgo asignado al recurso según lo notificado por el sistema de origen, antes de la normalización. |
| AssetRiskFirstReportedTime | Opcional | datetime | Marca de tiempo (UTC) de la primera vez que se notificó el riesgo asociado al recurso. |
| AssetRiskLastReportedTime | Opcional | datetime | Marca de tiempo (UTC) de cuándo se notificó recientemente el riesgo asociado al recurso. |
| AssetOriginalRiskDetails | Opcional | dinámico | Los detalles completos del riesgo del recurso proporcionados por el sistema de origen. |
Campos de archivo (tipo de recurso)
En esta sección se capturan las propiedades de recursos específicas del archivo. Las propiedades deben rellenarse si AssetType es File.
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| FilePath | Opcional | string | Ruta de acceso completa del archivo asociado al recurso. |
| FileSize | Opcional | largo | Tamaño del archivo en bytes. |
| FileMD5 | Opcional | string | Hash MD5 del archivo asociado al recurso. |
| FileSHA1 | Opcional | string | Hash SHA-1 del archivo asociado al recurso. |
| FileSHA256 | Opcional | string | Hash SHA-256 del archivo asociado al recurso. |
| FileSHA512 | Opcional | string | Hash SHA-512 del archivo asociado al recurso. |
| FileExtension | Opcional | string | Extensión de archivo del archivo asociado al recurso, como .exe o .pdf. |
| FileIsSignatureValid | Opcional | bool | Indica si la firma digital del archivo es válida. |
| FileSignatureDetails | Opcional | string | Detalles sobre la firma digital del archivo, como el firmante o la información del certificado. |
Campos de sitio (tipo de recurso)
En esta sección se capturan las propiedades de ubicación específicas del sitio para los recursos de sitio de SharePoint. Las propiedades deben rellenarse si AssetType es Site.
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| SitePath | Opcional | string | Ruta de acceso del sitio o la ubicación de almacenamiento asociada al recurso. |
| SitePrimaryUri | Opcional | string | Uri principal del sitio o la ubicación de almacenamiento asociado al recurso. |
Alias
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| AssetPath | Alias | string | Alias de FilePath o SitePath |
| Usuario | Alias | string | Alias de AssetOwnerId. |
Actualizaciones de esquema
A continuación se muestran los cambios en varias versiones del esquema:
- Versión 0.1.0: versión inicial.
Siguientes pasos
Para más información, vea:
- Vea el seminario web de ASIM o revise las diapositivas.
- Introducción al modelo de información de seguridad avanzada (ASIM)
- Esquemas del modelo de información de seguridad avanzada (ASIM)
- Analizadores del modelo de información de seguridad avanzada (ASIM)
- Contenido del modelo de información de seguridad avanzada (ASIM)