Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El esquema de entidad de recursos de Microsoft Sentinel está diseñado para normalizar los recursos de varios productos en un formato estandarizado dentro del modelo de información de seguridad avanzada (ASIM) de Microsoft. Este esquema se centra exclusivamente en los recursos de orígenes de datos que no son de Microsoft, lo que garantiza un análisis coherente y eficaz.
Un recurso es cualquier recurso de datos que una organización almacena, procesa o administra, como un archivo o un sitio. Cada recurso incluye metadatos relevantes para la seguridad, como la propiedad, los permisos, las clasificaciones de confidencialidad y los indicadores de riesgo. Los recursos pueden originarse en una amplia gama de plataformas, bases de datos, servicios de almacenamiento en la nube, aplicaciones SaaS y sistemas locales y se recopilan como instantáneas de inventario completas o fuentes de cambios incrementales.
Al normalizar los datos de recursos en un esquema común, Microsoft Sentinel permite a los equipos de seguridad analizar y correlacionar la información de recursos en diversos orígenes de datos de forma coherente. Los campos clave del esquema incluyen EntityId y EntityName para identificar de forma única los recursos, AssetType para distinguir entre tipos de recursos como Archivo o Sitio, AssetOwnerId para realizar el seguimiento de la propiedad AssetSensitivityLabel y AssetOriginalDataClassificationType para el contexto de clasificación de datos, y EntityFeedType para indicar si un registro es una instantánea de inventario completa o un cambio incremental. Esta representación unificada potencia escenarios de bajada, como identificar archivos confidenciales compartidos excesivos, realizar un seguimiento de los cambios de permisos, detectar recursos desprotegidos y exponer riesgos en todo el patrimonio de datos a través de integraciones como Microsoft Purview Administración de posturas de seguridad de datos (DSPM).
El uso del esquema permite Microsoft Purview DSPM administrar la posición de seguridad de los datos en todas las plataformas de Microsoft y asociados. Para obtener más información, consulte el anuncio de Ignite 2025 que presenta el ecosistema de partners de DSPM.
Para obtener más información sobre la normalización en Microsoft Sentinel, vea Normalization y advanced Security Information Model (ASIM).
Analizadores
Para más información sobre los analizadores de ASIM,consulte la introducción a los analizadores de ASIM.
Unificación de analizadores
Para usar analizadores que unifiquen todos los analizadores estándar de ASIM y asegúrese de que el análisis se ejecuta en todos los orígenes configurados, use el _Im_AssetEntity analizador.
Adición de sus propios analizadores normalizados
Al desarrollar analizadores personalizados para el esquema de Asset Entity, asigne un nombre a las funciones de KQL mediante la sintaxis siguiente:
-
vimAssetEntity<vendor><Product>para analizadores con parámetros -
ASimAssetEntity<vendor><Product>para analizadores regulares
Consulte el artículo Administración de analizadores de ASIM para obtener información sobre cómo agregar los analizadores personalizados a los analizadores unificadores.
Filtrado de parámetros del analizador
Los analizadores de entidades de activos admiten varios parámetros de filtrado para mejorar el rendimiento de las consultas. Estos parámetros son opcionales, pero pueden mejorar el rendimiento de las consultas. Están disponibles los siguientes parámetros de filtrado:
| Nombre | Tipo | Descripción |
|---|---|---|
| Hora de inicio | datetime | Filtre solo los recursos que se han ingerido en o después de este tiempo. Este parámetro filtra en el EntityIngestionTime campo , que es el designador estándar durante el tiempo del recurso. |
| Hora de finalización | datetime | Filtre solo los recursos que se han ingerido en o antes de este momento. Este parámetro filtra en el EntityIngestionTime campo , que es el designador estándar durante el tiempo del recurso. |
| entityid_has_any | dinámico | Filtre solo los recursos para los que el campo "EntityId" esté en uno de los valores enumerados. |
| entityname_has_any | dinámico | Filtre solo los recursos para los que el campo "EntityName" esté en uno de los valores enumerados. |
| assettype_in | cuerda / cadena | Filtre solo los recursos para los que el campo "AssetType" sea igual al valor del parámetro. |
| path_has_any | dinámico | Filtre solo los recursos para los que el campo "FilePath" o "SitePath" esté en uno de los valores enumerados. |
| assetowner_has_any | dinámico | Filtre solo los recursos para los que el campo "AssetOwner" o "AdditionalAssetOwners" esté en uno de los valores enumerados. |
| entitysource_has_any | dinámico | Filtre solo los recursos para los que el campo "EntitySource" esté en uno de los valores enumerados. |
Detalles del esquema
Campos comunes de entidad de ASIM
En la lista siguiente se mencionan los campos de un esquema de entidad junto con sus directrices específicas para las entidades asset:
| Campo | Class | Tipo | Descripción |
|---|---|---|---|
| EntityUpdatedTime | Mandatory | datetime | Marca de tiempo (UTC) de cuándo se actualizó o recopiló la entidad en el origen. |
| EntityIngestionTime | Opcional | datetime | Marca de tiempo (UTC) de cuando la canalización de ingesta recibe el registro de recursos. |
| EntityId | Mandatory | cuerda / cadena | Identificador único del recurso. |
| EntityOriginalId | Opcional | cuerda / cadena | Identificador único del recurso en el origen si es diferente de "EntityId". |
| EntityName | Mandatory | cuerda / cadena | Nombre de la entidad. |
| EntityNameType | Recomendado | cuerda / cadena | Tipo del nombre de la entidad. |
| EntityVendor | Mandatory | cuerda / cadena | Proveedor o proveedor que informó de la entidad. |
| EntitySource | Mandatory | cuerda / cadena | Origen de datos o conector que proporcionó el registro de entidad. |
| EntityProduct | Mandatory | cuerda / cadena | Nombre del producto asociado al origen que informó de la entidad. |
| EntitySubProduct | Mandatory | cuerda / cadena | Nombre del subproducto o componente asociado al origen que informó de la entidad. |
| EntityCreatedTime | Mandatory | datetime | Marca de tiempo (UTC) de cuando la entidad se creó originalmente en el sistema de origen. |
| EntityLastAccessedTime | Opcional | datetime | Marca de tiempo (UTC) de la última vez que se obtuvo acceso a la entidad. |
| EntityLastModifiedTime | Mandatory | datetime | Marca de tiempo (UTC) de cuándo se modificó por última vez la entidad en el sistema de origen. |
| EntityIsDeleted | Opcional | bool | Indica si la entidad se ha eliminado en el sistema de origen. |
| EntityFeedType | Mandatory | Enumerado | Tipo o categoría de la fuente de distribución de datos que proporcionó el registro de entidad. Los valores permitidos son: Snapshot o Changefeed. |
| EntitySchema | Mandatory | Enumerado | Esquema usado para la entidad. El esquema documentado aquí es Asset. |
| EntitySchemaVersion | Mandatory | SchemaVersion (cadena) | Versión del esquema. La versión del esquema que se documenta aquí es 0.1.0. |
Campos de propietario del recurso
En esta sección se define información sobre el propietario del recurso. Si el recurso tiene varios propietarios, rellene los campos AssetOwnerId y AdditionalAssetOwners.
AdditionalAssetOwners debe ser una matriz de cadenas y las cadenas deben tener el mismo formato que AssetOwnerId.
| Campo | Class | Tipo | Descripción |
|---|---|---|---|
| AssetOwnerId | Mandatory | cuerda / cadena | Representación única, alfanumérica y legible del actor. Para más información y para conocer los campos alternativos para otros identificadores, consulte el apartado La entidad de usuario. |
| AssetOwnerIdType | Recomendado | cuerda / cadena | Tipo o formato del identificador del propietario del recurso. Esto es análogo a UserIdType en esquemas de eventos. Para obtener más información y una lista de los valores permitidos, consulte UserIdType en el artículo Introducción al esquema. |
| AssetOwnerType | Opcional | cuerda / cadena | Tipo del propietario del recurso. Para obtener más información y una lista de los valores permitidos, consulte UserType en el artículo Introducción al esquema. |
| AssetOwnerScope | Opcional | cuerda / cadena | Ámbito organizativo o administrativo al que pertenece el propietario del recurso. |
| AssetOwnerScopeId | Opcional | cuerda / cadena | Identificador del ámbito al que pertenece el propietario del recurso. |
| AdditionalAssetOwners | Opcional | dinámico | Colección dinámica de propietarios o copropietarios adicionales asociados al recurso. Debe ser una matriz de cadenas. |
Campos de metadatos de recursos
| Campo | Class | Tipo | Descripción |
|---|---|---|---|
| AADTenantId | Mandatory | cuerda / cadena | El Azure Active Directory identificador de inquilino asociado al recurso o entidad. |
| IdentityDirectoryName | Opcional | cuerda / cadena | Nombre del directorio de identidad, como Azure AD, GCP, AWS, asociado a la entidad. |
| IdentityDirectoryId | Mandatory | cuerda / cadena | Identificador del directorio de identidad asociado a la entidad. |
| AdditionalFields | Opcional | dinámico | Información adicional sobre la entidad que no capturan otros campos del esquema. |
Campos de tipo de recurso
En esta sección se define información sobre el tipo de recurso. Los tipos actuales admitidos son File y Site. Se deben rellenar las propiedades adicionales del tipo del recurso.
| Campo | Class | Tipo | Descripción |
|---|---|---|---|
| AssetType | Mandatory | cuerda / cadena | Tipo de alto nivel del recurso. Los valores permitidos y admitidos son: File, Site. |
| AssetOriginalType | Recomendado | cuerda / cadena | Nombre original del tipo de alto nivel del recurso en el origen. |
Campos de seguridad de recursos
En esta sección se captura la posición de seguridad y el contexto de exposición del recurso, incluidos los permisos de origen, los detalles de confidencialidad y clasificación de datos, el estado de protección DLP, los indicadores de amenazas relacionados y la última hora de examen de clasificación. También incluye recuentos de acceso de usuarios internos y externos para ayudar a evaluar la posible exposición.
| Campo | Class | Tipo | Descripción |
|---|---|---|---|
| AssetOriginalPermissions | Opcional | dinámico | El conjunto de permisos original asignado al recurso tal y como indica el sistema de origen. |
| AssetSensitivityLabel | Mandatory | cuerda / cadena | Etiqueta de confidencialidad aplicada al recurso. Los valores permitidos son: Personal, Public, General, Confidential, . Highly Confidential |
| AssetOriginalSensitivityLevel | Opcional | cuerda / cadena | Nivel de confidencialidad según lo notificado por el sistema de origen, antes de la normalización. |
| AssetIsProtectedByDlp | Opcional | bool | Indica si el recurso está protegido por una directiva de prevención de pérdida de datos (DLP). |
| AssetRelatedIndicators | Opcional | dinámico | Colección dinámica de indicadores de amenazas o señales relacionadas con el recurso. |
| AssetOriginalDataClassificationType | Mandatory | dinámico | Los tipos de clasificación de datos originales asignados al recurso según lo notifique el sistema de origen. Debe ser una matriz de cadenas*. |
| AssetClassificationLastScanDateTime | Mandatory | datetime | Marca de tiempo (UTC) de cuándo se examinó por última vez el recurso para la clasificación de datos. |
| InternalUsersCount | Opcional | int | El número de usuarios internos asociados a o tener acceso al recurso. |
| ExternalUsersCount | Opcional | int | Número de usuarios externos asociados o que tienen acceso al recurso. |
Campos de riesgo de recursos
En esta sección se captura el contexto de riesgo del recurso, incluidos los nombres y niveles de riesgo normalizados y notificados por el origen, las marcas de tiempo de primer y último informe y los detalles de riesgo específicos del proveedor.
| Campo | Class | Tipo | Descripción |
|---|---|---|---|
| AssetRiskName | Opcional | cuerda / cadena | Nombre normalizado del riesgo o amenaza asociado al recurso. |
| AssetRiskLevel | Opcional | Enumerado | Nivel de riesgo normalizado asignado al recurso. Los valores permitidos son: Info, Low, Medium, High, OtherCritical. |
| AssetOriginalRiskLevel | Opcional | cuerda / cadena | El nivel de riesgo asignado al recurso tal como lo notifica el sistema de origen, antes de la normalización. |
| AssetRiskFirstReportedTime | Opcional | datetime | Marca de tiempo (UTC) de cuándo se informó por primera vez el riesgo asociado al recurso. |
| AssetRiskLastReportedTime | Opcional | datetime | Marca de tiempo (UTC) de cuando se notificó más recientemente el riesgo asociado al recurso. |
| AssetOriginalRiskDetails | Opcional | dinámico | Detalles de riesgo completos del recurso, tal como lo proporciona el sistema de origen. |
Campos de archivo (tipo de recurso)
En esta sección se capturan las propiedades del recurso específicas del archivo. Las propiedades deben rellenarse si es AssetTypeFile.
| Campo | Class | Tipo | Descripción |
|---|---|---|---|
| FilePath | Opcional | cuerda / cadena | Ruta de acceso completa del archivo asociado al recurso. |
| FileSize | Opcional | long | El tamaño del archivo en bytes. |
| FileMD5 | Opcional | cuerda / cadena | Hash MD5 del archivo asociado al recurso. |
| FileSHA1 | Opcional | cuerda / cadena | Hash SHA-1 del archivo asociado al recurso. |
| FileSHA256 | Opcional | cuerda / cadena | Hash SHA-256 del archivo asociado al recurso. |
| FileSHA512 | Opcional | cuerda / cadena | Hash SHA-512 del archivo asociado al recurso. |
| FileExtension | Opcional | cuerda / cadena | Extensión de archivo del archivo asociado al recurso, como .exe o .pdf. |
| FileIsSignatureValid | Opcional | bool | Indica si la firma digital del archivo es válida. |
| FileSignatureDetails | Opcional | cuerda / cadena | Detalles sobre la firma digital del archivo, como el firmante o la información del certificado. |
Campos de sitio (tipo de recurso)
En esta sección se capturan las propiedades de ubicación específicas del sitio para los recursos de sitio de SharePoint. Las propiedades deben rellenarse si el objeto es SitioAssetType.
| Campo | Class | Tipo | Descripción |
|---|---|---|---|
| SitePath | Opcional | cuerda / cadena | Ruta de acceso del sitio o ubicación de almacenamiento asociada al recurso. |
| SitePrimaryUri | Opcional | cuerda / cadena | El URI principal del sitio o la ubicación de almacenamiento asociada al recurso. |
Alias
| Campo | Class | Tipo | Descripción |
|---|---|---|---|
| AssetPath | Alias | cuerda / cadena | Alias para FilePath o SitePath |
| Usuario | Alias | cuerda / cadena | Alias de AssetOwnerId. |
Actualizaciones del esquema
A continuación se muestran los cambios en varias versiones del esquema:
- Versión 0.1.0: versión inicial.
Pasos siguientes
Para obtener más información, consulte:
- El seminario web de ASIM o las diapositivas
- Introducción al Modelo avanzado de información de seguridad (ASIM)
- Esquemas del Modelo avanzado de información de seguridad (ASIM)
- Analizadores del Modelo avanzado de información de seguridad (ASIM)
- Contenido del Modelo avanzado de información de seguridad (ASIM)