Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Microsoft Sentinel Esquema de Entidades de Recursos foi concebido para normalizar recursos de vários produtos para um formato padronizado no Modelo de Informações de Segurança Avançada da Microsoft (ASIM). Este esquema concentra-se exclusivamente em recursos em origens de dados que não sejam da Microsoft, garantindo uma análise consistente e eficiente.
Um recurso é qualquer recurso de dados que uma organização armazena, processa ou gere, como um ficheiro ou site. Cada recurso tem metadados relevantes para a segurança, incluindo propriedade, permissões, classificações de confidencialidade e indicadores de risco. Os recursos podem ter origem numa vasta gama de plataformas, bases de dados, serviços de armazenamento na cloud, aplicações SaaS e sistemas no local e são recolhidos como instantâneos de inventário completos ou feeds de alterações incrementais.
Ao normalizar os dados de recursos num esquema comum, o Microsoft Sentinel permite que as equipas de segurança analisem e correlacionem informações de recursos em diversas origens de dados de forma consistente. Os campos chave no esquema incluem EntityId e EntityName para identificar exclusivamente recursos, AssetType para distinguir entre tipos de recursos, como Ficheiro ou Site, AssetOwnerId para controlar a propriedade e AssetSensitivityLabelAssetOriginalDataClassificationType para o contexto de classificação de dados, e EntityFeedType para indicar se um registo é um instantâneo de inventário completo ou uma alteração incremental. Esta representação unificada alimenta cenários a jusante, tais como identificar ficheiros confidenciais sobrepartilhados, controlar alterações de permissões, detetar recursos desprotegidos e surgir riscos em todo o património de dados através de integrações como Gestão da Postura de Segurança de Dados do Microsoft Purview (DSPM).
A utilização do esquema permite ao Microsoft Purview DSPM gerir a postura de segurança de dados em todas as plataformas da Microsoft e de parceiros. Para obter mais informações, veja o anúncio do Ignite 2025 que apresenta o ecossistema de parceiros DSPM.
Para obter mais informações sobre a normalização no Microsoft Sentinel, veja Normalização e Modelo avançado de informações de segurança (ASIM).
Analisadores
Para obter mais informações sobre os analisadores do ASIM, veja Descrição geral dos analisadores do ASIM.
Analisadores unificadores unificadores
Para utilizar analisadores que unifiquem todos os analisadores asIM fora da caixa e certifique-se de que a análise é executada em todas as origens configuradas, utilize o _Im_AssetEntity analisador.
Adicionar os seus próprios analisadores normalizados
Ao desenvolver analisadores personalizados para o esquema entidade de recurso, atribua um nome às funções KQL com a seguinte sintaxe:
-
vimAssetEntity<vendor><Product>para analisadores parametrizados -
ASimAssetEntity<vendor><Product>para analisadores regulares
Veja o artigo Managing ASIM parsers (Gerir analisadores ASIM ) para saber como adicionar os seus parsers personalizados aos analisadores unificadores.
Filtrar parâmetros do analisador
Os analisadores da Entidade de Recurso suportam vários parâmetros de filtragem para melhorar o desempenho das consultas. Estes parâmetros são opcionais, mas podem melhorar o desempenho da consulta. Estão disponíveis os seguintes parâmetros de filtragem:
| Name | Tipo | Descrição |
|---|---|---|
| hora de início | datetime | Filtre apenas os recursos que foram ingeridos em ou depois deste momento. Este parâmetro filtra no EntityIngestionTime campo, que é o designador padrão para o tempo do recurso. |
| endtime | datetime | Filtre apenas os recursos que foram ingeridos em ou antes deste momento. Este parâmetro filtra no EntityIngestionTime campo, que é o designador padrão para o tempo do recurso. |
| entityid_has_any | dinâmico | Filtre apenas os recursos para os quais o campo "EntityId" está num dos valores listados. |
| entityname_has_any | dinâmico | Filtre apenas os recursos para os quais o campo "EntityName" está num dos valores listados. |
| assettype_in | cadeia | Filtre apenas os recursos para os quais o campo "AssetType" é igual ao valor do parâmetro. |
| path_has_any | dinâmico | Filtre apenas os recursos para os quais o campo "FilePath" ou "SitePath" está num dos valores listados. |
| assetowner_has_any | dinâmico | Filtre apenas os recursos para os quais o campo "AssetOwner" ou "AdditionalAssetOwners" está num dos valores listados. |
| entitysource_has_any | dinâmico | Filtre apenas os recursos para os quais o campo "EntitySource" está num dos valores listados. |
Detalhes do esquema
Campos de Entidade ASIM Comuns
A lista seguinte menciona campos para um Esquema de entidade juntamente com as diretrizes específicas para entidades de Recursos:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| EntityUpdatedTime | Obrigatório | datetime | O carimbo de data/hora (UTC) de quando a Entidade foi atualizada ou recolhida na origem. |
| EntityIngestionTime | Opcional | datetime | O carimbo de data/hora (UTC) de quando o pipeline de ingestão recebe o registo de recursos. |
| EntityId | Obrigatório | cadeia | O identificador exclusivo do recurso. |
| EntityOriginalId | Opcional | cadeia | O identificador exclusivo do recurso na origem se for diferente de "EntityId". |
| EntityName | Obrigatório | cadeia | O nome da entidade. |
| EntityNameType | Recomendado | cadeia | O tipo do nome da entidade. |
| EntityVendor | Obrigatório | cadeia | O fornecedor ou fornecedor que comunicou a entidade. |
| EntitySource | Obrigatório | Enumerado | A origem de dados ou conector que forneceu o registo de entidade. As origens de suporte incluem: - Azure- Microsoft365- AWS- GCP- Snowflake- Databricks- Salesforce- OtherUtilize Other se a origem não estiver listada. |
| EntityOriginalSource | Opcional | cadeia | A origem de dados ou conector original que forneceu o registo de entidade, se a origem não for atualmente suportada. |
| EntityProduct | Obrigatório | cadeia | O nome do produto associado à origem que comunicou a entidade. |
| EntitySubProduct | Obrigatório | cadeia | O subproduto ou nome do componente associado à origem que comunicou a entidade. |
| EntityCreatedTime | Obrigatório | datetime | O carimbo de data/hora (UTC) de quando a entidade foi originalmente criada no sistema de origem. |
| EntityLastAccessedTime | Opcional | datetime | O carimbo de data/hora (UTC) de quando a entidade foi acedida pela última vez. |
| EntityLastModifiedTime | Obrigatório | datetime | O carimbo de data/hora (UTC) de quando a entidade foi modificada pela última vez no sistema de origem. |
| EntityIsDeleted | Opcional | bool | Indica se a entidade foi eliminada no sistema de origem. |
| EntityFeedType | Obrigatório | Enumerado | O tipo ou categoria do feed de dados que forneceu o registo de entidade. Os valores permitidos são: Snapshot ou Changefeed. |
| EntitySchema | Obrigatório | Enumerado | O esquema utilizado para a entidade. O esquema documentado aqui é Asset. |
| EntitySchemaVersion | Obrigatório | SchemaVersion (Cadeia) | A versão do esquema. A versão do esquema documentado aqui é 0.1.0. |
Campos do proprietário do recurso
Esta secção define informações sobre o proprietário do recurso. Se o recurso tiver vários proprietários, preencha ambos os campos AssetOwnerId e AdditionalAssetOwners.
AdditionalAssetOwners deve ser uma matriz de cadeias e as cadeias têm de estar no mesmo formato AssetOwnerIdque .
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| AssetOwnerId | Obrigatório | cadeia | Uma representação exclusiva, alfanumérica e legível por computador do Ator. Para obter mais informações e campos alternativos para outros IDs, veja A entidade Utilizador. |
| AssetOwnerIdType | Recomendado | cadeia | O tipo ou formato do identificador do proprietário do recurso. Isto é análogo a UserIdType em Esquemas de eventos. Para obter mais informações e lista de valores permitidos, veja UserIdType no artigo Descrição Geral do Esquema. |
| AssetOwnerType | Opcional | cadeia | O tipo do Proprietário do Recurso. Para obter mais informações e lista de valores permitidos, veja UserType no artigo Descrição Geral do Esquema. |
| AssetOwnerScope | Opcional | cadeia | O âmbito organizacional ou administrativo ao qual o proprietário do recurso pertence. |
| AssetOwnerScopeId | Opcional | cadeia | O identificador do âmbito ao qual o proprietário do recurso pertence. |
| AdditionalAssetOwners | Opcional | dinâmico | Uma coleção dinâmica de proprietários ou coproprietários adicionais associados ao recurso. Tem de ser uma matriz de cadeias. |
Campos de metadados do recurso
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| AADTenantId | Obrigatório | cadeia | O Azure identificador de inquilino do Active Directory associado ao recurso ou entidade. |
| IdentityDirectoryName | Opcional | cadeia | O nome do diretório de identidade, como Azure AD, GCP, AWS, associado à entidade. |
| IdentityDirectoryId | Obrigatório | cadeia | O identificador do diretório de identidade associado à entidade. |
| Campos Adicionais | Opcional | dinâmico | Informações adicionais sobre a entidade que não é capturada por outros campos no esquema. |
Campos de tipo de recurso
Esta secção define informações sobre o tipo de recurso. Os tipos atuais suportados são File e Site. As propriedades adicionais do tipo do elemento devem ser preenchidas.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| AssetType | Obrigatório | cadeia | O tipo de alto nível do recurso. Os valores permitidos e suportados são: File, Site. |
| AssetOriginalType | Recomendado | cadeia | O nome original do tipo de alto nível do elemento na origem. |
Campos de segurança de ativos
Esta secção captura a postura de segurança e o contexto de exposição do recurso, incluindo permissões de origem, detalhes de confidencialidade e classificação de dados, estado de proteção DLP, indicadores de ameaças relacionados e a hora da última análise de classificação. Também inclui contagens de acesso de utilizadores internos e externos para ajudar a avaliar a exposição potencial.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| AssetOriginalPermissions | Opcional | dinâmico | O conjunto de permissões original atribuído ao recurso, conforme comunicado pelo sistema de origem. |
| AssetSensitivityLabel | Obrigatório | cadeia | A etiqueta de confidencialidade aplicada ao elemento. Os valores permitidos são: Personal, , PublicGeneral, , . Highly ConfidentialConfidential |
| AssetOriginalSensitivityLevel | Opcional | cadeia | O nível de confidencialidade, conforme comunicado pelo sistema de origem, antes da normalização. |
| AssetIsProtectedByDlp | Opcional | bool | Indica se o recurso está protegido por uma política de Prevenção de Perda de Dados (DLP). |
| AssetRelatedIndicators | Opcional | dinâmico | Uma coleção dinâmica de indicadores de ameaças ou sinais relacionados com o recurso. |
| AssetOriginalDataClassificationType | Obrigatório | dinâmico | Os tipos de classificação de dados originais atribuídos ao recurso, conforme comunicado pelo sistema de origem. Tem de ser uma matriz de cadeias*. |
| AssetClassificationLastScanDateTime | Obrigatório | datetime | O carimbo de data/hora (UTC) de quando o recurso foi analisado pela última vez para classificação de dados. |
| InternalUsersCount | Opcional | int | O número de utilizadores internos associados ou com acesso ao recurso. |
| ExternalUsersCount | Opcional | int | O número de utilizadores externos associados ou com acesso ao recurso. |
Campos de risco de ativos
Esta secção captura o contexto de risco para o recurso, incluindo nomes e níveis de risco normalizados e comunicados pela origem, carimbos de data/hora do primeiro e último relatório e detalhes de risco específicos do fornecedor.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| AssetRiskName | Opcional | cadeia | O nome normalizado do risco ou ameaça associado ao recurso. |
| AssetRiskLevel | Opcional | Enumerado | O nível de risco normalizado atribuído ao recurso. Os valores permitidos são: Info, , MediumLow, , High, . OtherCritical |
| AssetOriginalRiskLevel | Opcional | cadeia | O nível de risco atribuído ao recurso, conforme comunicado pelo sistema de origem, antes da normalização. |
| AssetRiskFirstReportedTime | Opcional | datetime | O carimbo de data/hora (UTC) de quando o risco associado ao recurso foi reportado pela primeira vez. |
| AssetRiskLastReportedTime | Opcional | datetime | O carimbo de data/hora (UTC) de quando o risco associado ao recurso foi reportado mais recentemente. |
| AssetOriginalRiskDetails | Opcional | dinâmico | Os detalhes de risco completos do recurso, conforme fornecido pelo sistema de origem. |
Campos de ficheiro (tipo de recurso)
Esta secção captura propriedades de recursos específicas do ficheiro. As propriedades devem ser preenchidas se for AssetTypeFicheiro.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| FilePath | Opcional | cadeia | O caminho completo do ficheiro associado ao recurso. |
| Tamanho do Ficheiro | Opcional | long | O tamanho do ficheiro em bytes. |
| FileMD5 | Opcional | cadeia | O hash MD5 do ficheiro associado ao recurso. |
| FileSHA1 | Opcional | cadeia | O hash SHA-1 do ficheiro associado ao recurso. |
| FileSHA256 | Opcional | cadeia | O hash SHA-256 do ficheiro associado ao recurso. |
| FileSHA512 | Opcional | cadeia | O hash SHA-512 do ficheiro associado ao recurso. |
| FileExtension | Opcional | cadeia | A extensão de ficheiro do ficheiro associado ao elemento, como .exe ou .pdf. |
| FileIsSignatureValid | Opcional | bool | Indica se a assinatura digital do ficheiro é válida. |
| FileSignatureDetails | Opcional | cadeia | Detalhes sobre a assinatura digital do ficheiro, como o signatário ou as informações do certificado. |
Campos site (tipo de recurso)
Esta secção captura propriedades de localização específicas do site para recursos do site sharepoint. As propriedades devem ser preenchidas se AssetType for Site.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| SitePath | Opcional | cadeia | O caminho do site ou da localização de armazenamento associada ao recurso. |
| SitePrimaryUri | Opcional | cadeia | O URI principal do site ou da localização de armazenamento associada ao recurso. |
Aliases
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| AssetPath | Alias | cadeia | O alias para ou FilePathSitePath |
| Utilizador | Alias | cadeia | O alias para AssetOwnerId. |
Atualizações de esquema
Seguem-se as alterações em várias versões do esquema:
- Versão 0.1.0: Lançamento inicial.
Passos seguintes
Para mais informações, consulte:
- Ver o Webinar do ASIM ou rever os diapositivos
- Descrição geral do Modelo de Informação de Segurança Avançada (ASIM)
- Esquemas do Modelo de Informação de Segurança Avançada (ASIM)
- Analisadores do Modelo de Informação de Segurança Avançada (ASIM)
- Conteúdo do Modelo de Informação de Segurança Avançada (ASIM)