Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O esquema de entidade de ativo Microsoft Sentinel foi projetado para normalizar ativos de vários produtos em um formato padronizado no ASIM (Modelo avançado de informações de segurança) da Microsoft. Esse esquema se concentra exclusivamente em ativos em fontes de dados que não são da Microsoft, garantindo uma análise consistente e eficiente.
Um ativo é qualquer recurso de dados que uma organização armazena, processa ou gerencia, como um arquivo ou site. Cada ativo carrega metadados relevantes à segurança, incluindo propriedade, permissões, classificações de confidencialidade e indicadores de risco. Os ativos podem se originar de uma ampla gama de plataformas, bancos de dados, serviços de armazenamento em nuvem, aplicativos SaaS e sistemas locais e são coletados como instantâneos de inventário completos ou feeds de alterações incrementais.
Ao normalizar dados de ativos em um esquema comum, Microsoft Sentinel permite que as equipes de segurança analisem e correlacionem informações de ativos em diversas fontes de dados de forma consistente. Os principais campos no esquema incluem EntityId e EntityName para identificar exclusivamente ativos, AssetType para distinguir entre tipos de ativos, como Arquivo ou Site, AssetOwnerId para controlar a propriedade AssetSensitivityLabel e AssetOriginalDataClassificationType para o contexto de classificação de dados e EntityFeedType para indicar se um registro é um instantâneo de inventário completo ou uma alteração incremental. Essa representação unificada alimenta cenários downstream, como identificar arquivos confidenciais compartilhados em excesso, controlar alterações de permissão, detectar ativos desprotegidos e exibir riscos em todo o patrimônio de dados por meio de integrações como o DSPM (Gerenciamento de Postura de Segurança de Dados) Microsoft Purview.
O uso do esquema permite que Microsoft Purview DSPM gerencie a postura de segurança de dados entre a Microsoft e as plataformas de parceiros. Para obter mais informações, consulte o comunicado do Ignite 2025 apresentando o ecossistema de parceiros do DSPM.
Para obter mais informações sobre a normalização no Microsoft Sentinel, consulte Normalization e o ASIM (Advanced Security Information Model).
Analisadores
Para obter mais informações sobre os analisadores do ASIM, consulte a Visão geral dos analisadores do ASIM.
Unificando analisadores
Para usar analisadores que unificam todos os analisadores prontos para uso do ASIM e garantem que sua análise seja executada em todas as fontes configuradas, use o _Im_AssetEntity analisador.
Adicionar seus próprios analisadores normalizados
Ao desenvolver analisadores personalizados para o esquema entidade de ativo, nomeie suas funções KQL usando a seguinte sintaxe:
-
vimAssetEntity<vendor><Product>para analisadores parametrizados -
ASimAssetEntity<vendor><Product>para analisadores regulares
Consulte o artigo Gerenciando analisadores ASIM para saber como adicionar seus analisadores personalizados aos analisadores unificadores.
Filtragem de parâmetros de analisador
Os analisadores de Entidade de Ativo dão suporte a vários parâmetros de filtragem para melhorar o desempenho da consulta. Esses parâmetros são opcionais, mas podem melhorar o desempenho da consulta. Os seguintes parâmetros de filtragem estão disponíveis:
| Nome | Tipo | Descrição |
|---|---|---|
| starttime | datetime | Filtrar somente os ativos que foram ingeridos em ou após esse momento. Esse parâmetro filtra no EntityIngestionTime campo, que é o designador padrão para o tempo do ativo. |
| endtime | datetime | Filtrar somente os ativos que foram ingeridos em ou antes desse momento. Esse parâmetro filtra no EntityIngestionTime campo, que é o designador padrão para o tempo do ativo. |
| entityid_has_any | dynamic | Filtre apenas os ativos para os quais o campo 'EntityId' está em um dos valores listados. |
| entityname_has_any | dynamic | Filtre somente os ativos para os quais o campo 'EntityName' está em um dos valores listados. |
| assettype_in | cadeia | Filtre somente os ativos para os quais o campo 'AssetType' é igual ao valor do parâmetro. |
| path_has_any | dynamic | Filtre apenas os ativos para os quais o campo 'FilePath' ou 'SitePath' está em um dos valores listados. |
| assetowner_has_any | dynamic | Filtre apenas os ativos para os quais o campo 'AssetOwner' ou 'AdditionalAssetOwners' está em um dos valores listados. |
| entitysource_has_any | dynamic | Filtre apenas os ativos para os quais o campo 'EntitySource' está em um dos valores listados. |
Detalhes do esquema
Campos comuns de entidade ASIM
A lista a seguir menciona campos para um esquema de entidade junto com suas diretrizes específicas para entidades de ativos:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| EntityUpdatedTime | Obrigatório | datetime | O carimbo de data/hora (UTC) de quando a Entidade foi atualizada ou coletada na origem. |
| EntityIngestionTime | Opcional | datetime | O carimbo de data/hora (UTC) de quando o pipeline de ingestão recebe o log de ativos. |
| Identificação da entidade | Obrigatório | cadeia | O identificador exclusivo do ativo. |
| EntityOriginalId | Opcional | cadeia | O identificador exclusivo do ativo na origem se ele for diferente de 'EntityId'. |
| EntityName | Obrigatório | cadeia | O nome da entidade. |
| EntityNameType | Recomendado | cadeia | O tipo do nome da entidade. |
| EntityVendor | Obrigatório | cadeia | O fornecedor ou provedor que relatou a entidade. |
| EntitySource | Obrigatório | cadeia | A fonte de dados ou o conector que forneceu o registro de entidade. |
| EntityProduct | Obrigatório | cadeia | O nome do produto associado à origem que relatou a entidade. |
| EntitySubProduct | Obrigatório | cadeia | O subproduto ou o nome do componente associado à origem que relatou a entidade. |
| EntityCreatedTime | Obrigatório | datetime | O carimbo de data/hora (UTC) de quando a entidade foi criada originalmente no sistema de origem. |
| EntityLastAccessedTime | Opcional | datetime | O carimbo de data/hora (UTC) de quando a entidade foi acessada pela última vez. |
| EntityLastModifiedTime | Obrigatório | datetime | O carimbo de data/hora (UTC) de quando a entidade foi modificada pela última vez no sistema de origem. |
| EntityIsDeleted | Opcional | bool | Indica se a entidade foi excluída no sistema de origem. |
| EntityFeedType | Obrigatório | Enumerado | O tipo ou categoria do feed de dados que forneceu o registro de entidade. Os valores permitidos são: Snapshot ou Changefeed. |
| EntitySchema | Obrigatório | Enumerado | O esquema usado para a entidade. O esquema documentado aqui é Asset. |
| EntitySchemaVersion | Obrigatório | SchemaVersion (Cadeia de caracteres) | A versão do esquema. A versão do esquema documentado aqui é 0.1.0. |
Campos de proprietário do ativo
Esta seção define informações sobre o proprietário do ativo. Se o ativo tiver vários proprietários, preencha ambos os campos AssetOwnerId e AdditionalAssetOwners.
AdditionalAssetOwners deve ser uma matriz de cadeias de caracteres e as cadeias de caracteres devem estar no mesmo formato AssetOwnerIdque .
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| AssetOwnerId | Obrigatório | cadeia | Uma representação exclusiva, alfanumérica e legível pelo computador de um Ator. Para obter mais informações e campos alternativos para outras IDs, consulte Entidade do usuário. |
| AssetOwnerIdType | Recomendado | cadeia | O tipo ou formato do identificador do proprietário do ativo. Isso é análogo aos UserIdType esquemas de evento. Para obter mais informações e uma lista de valores permitidos, consulte UserIdType no artigo Visão geral do esquema. |
| AssetOwnerType | Opcional | cadeia | O tipo do Proprietário do Ativo. Para obter mais informações e uma lista de valores permitidos, consulte UserType no artigo Visão geral do esquema. |
| AssetOwnerScope | Opcional | cadeia | O escopo organizacional ou administrativo ao qual o proprietário do ativo pertence. |
| AssetOwnerScopeId | Opcional | cadeia | O identificador do escopo ao qual o proprietário do ativo pertence. |
| AdditionalAssetOwners | Opcional | dynamic | Uma coleção dinâmica de proprietários ou coproprietários adicionais associados ao ativo. Isso deve ser uma matriz de cadeias de caracteres. |
Campos de metadados do ativo
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| AADTenantId | Obrigatório | cadeia | O Azure Active Directory identificador de locatário associado ao ativo ou à entidade. |
| IdentityDirectoryName | Opcional | cadeia | O nome do diretório de identidade, como Azure AD, GCP, AWS, associado à entidade. |
| IdentityDirectoryId | Obrigatório | cadeia | O identificador do diretório de identidade associado à entidade. |
| AdditionalFields | Opcional | dynamic | Informações adicionais sobre a entidade que não é capturada por outros campos no esquema. |
Campos de tipo de ativo
Esta seção define informações sobre o tipo de ativo. Os tipos atuais com suporte são File e Site. As propriedades adicionais do tipo do ativo devem ser preenchidas.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| AssetType | Obrigatório | cadeia | O tipo de alto nível do ativo. Os valores permitidos e com suporte são: File, Site. |
| AssetOriginalType | Recomendado | cadeia | O nome original do tipo de alto nível do ativo na origem. |
Campos de segurança de ativos
Esta seção captura a postura de segurança e o contexto de exposição do ativo, incluindo permissões de origem, detalhes de confidencialidade e classificação de dados, status de proteção DLP, indicadores de ameaça relacionados e o último tempo de verificação de classificação. Ele também inclui contagens de acesso de usuário interno e externo para ajudar a avaliar a exposição potencial.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| AssetOriginalPermissions | Opcional | dynamic | O conjunto de permissões original atribuído ao ativo, conforme relatado pelo sistema de origem. |
| AssetSensitivityLabel | Obrigatório | cadeia | O rótulo de confidencialidade aplicado ao ativo. Os valores permitidos são: Personal, , Public, General, Confidential, . Highly Confidential |
| AssetOriginalSensitivityLevel | Opcional | cadeia | O nível de confidencialidade, conforme relatado pelo sistema de origem, antes da normalização. |
| AssetIsProtectedByDlp | Opcional | bool | Indica se o ativo está protegido por uma política de Prevenção contra Perda de Dados (DLP). |
| AssetRelatedIndicators | Opcional | dynamic | Uma coleção dinâmica de indicadores ou sinais de ameaça relacionados ao ativo. |
| AssetOriginalDataClassificationType | Obrigatório | dynamic | Os tipos de classificação de dados originais atribuídos ao ativo, conforme relatado pelo sistema de origem. Isso deve ser uma matriz de cadeias de caracteres*. |
| AssetClassificationLastScanDateTime | Obrigatório | datetime | O carimbo de data/hora (UTC) de quando o ativo foi verificado pela última vez para classificação de dados. |
| InternalUsersCount | Opcional | int | O número de usuários internos associados ou tendo acesso ao ativo. |
| ExternalUsersCount | Opcional | int | O número de usuários externos associados ou tendo acesso ao ativo. |
Campos de risco de ativo
Esta seção captura o contexto de risco do ativo, incluindo nomes e níveis de risco normalizados e relatados pela origem, carimbos de data/hora do primeiro e último relatório e detalhes de risco específicos do provedor.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| AssetRiskName | Opcional | cadeia | O nome normalizado do risco ou ameaça associado ao ativo. |
| AssetRiskLevel | Opcional | Enumerado | O nível de risco normalizado atribuído ao ativo. Os valores permitidos são: Info, , Low, Medium, High, , Critical. Other |
| AssetOriginalRiskLevel | Opcional | cadeia | O nível de risco atribuído ao ativo, conforme relatado pelo sistema de origem, antes da normalização. |
| AssetRiskFirstReportedTime | Opcional | datetime | O carimbo de data/hora (UTC) de quando o risco associado ao ativo foi relatado pela primeira vez. |
| AssetRiskLastReportedTime | Opcional | datetime | O carimbo de data/hora (UTC) de quando o risco associado ao ativo foi relatado mais recentemente. |
| AssetOriginalRiskDetails | Opcional | dynamic | Os detalhes completos de risco para o ativo, conforme fornecido pelo sistema de origem. |
Campos de arquivo (tipo de ativo)
Esta seção captura propriedades de ativos específicas do arquivo. As propriedades devem ser preenchidas se o AssetTypearquivo for.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| FilePath | Opcional | cadeia | O caminho completo do arquivo associado ao ativo. |
| FileSize | Opcional | long | O tamanho do arquivo em bytes. |
| FileMD5 | Opcional | cadeia | O hash MD5 do arquivo associado ao ativo. |
| FileSHA1 | Opcional | cadeia | O hash SHA-1 do arquivo associado ao ativo. |
| FileSHA256 | Opcional | cadeia | O hash SHA-256 do arquivo associado ao ativo. |
| FileSHA512 | Opcional | cadeia | O hash SHA-512 do arquivo associado ao ativo. |
| FileExtension | Opcional | cadeia | A extensão de arquivo do arquivo associado ao ativo, como .exe ou .pdf. |
| FileIsSignatureValid | Opcional | bool | Indica se a assinatura digital do arquivo é válida. |
| FileSignatureDetails | Opcional | cadeia | Detalhes sobre a assinatura digital do arquivo, como as informações do signatário ou do certificado. |
Campos de site (tipo de ativo)
Esta seção captura propriedades de localização específicas do site para ativos do site do sharepoint. As propriedades devem ser preenchidas se o AssetTypesite for.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| SitePath | Opcional | cadeia | O caminho do site ou local de armazenamento associado ao ativo. |
| SitePrimaryUri | Opcional | cadeia | O URI primário do site ou local de armazenamento associado ao ativo. |
Aliases
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| AssetPath | Alias | cadeia | O alias para ou FilePathSitePath |
| User | Alias | cadeia | O alias para AssetOwnerId. |
Atualizações de esquema
Veja a seguir as alterações em várias versões do esquema:
- Versão 0.1.0: versão inicial.
Próximas Etapas
Para obter mais informações, consulte:
- Assista ao Webinar do ASIM ou examine os slides
- Visão geral do ASIM (Modelo de Informações de Segurança Avançado)
- Esquemas do ASIM (Modelo de Informações de Segurança Avançado)
- Analisadores do ASIM (Modelo de Informações de Segurança Avançado)
- Conteúdo do ASIM (Modelo de Informações de Segurança Avançado)