Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Microsoft Sentinel Asset Entity Schema foi concebido para normalizar ativos de vários produtos num formato padronizado dentro do Microsoft Advanced Security Information Model (ASIM). Este esquema foca-se exclusivamente em ativos em fontes de dados não Microsoft, garantindo uma análise consistente e eficiente.
Um ativo é qualquer recurso de dados que uma organização armazena, processa ou gere, como um ficheiro ou site. Cada ativo transporta metadados relevantes para a segurança, incluindo propriedade, permissões, classificações de sensibilidade e indicadores de risco. Os ativos podem originar-se de uma vasta gama de plataformas, bases de dados, serviços de armazenamento na cloud, aplicações SaaS e sistemas on-premises e são recolhidos como instantâneos de inventário completo ou fluxos de alterações incrementais.
Ao normalizar os dados dos ativos num esquema comum, o Microsoft Sentinel permite que as equipas de segurança analisem e correlacionem a informação dos ativos através de diversas fontes de dados de forma consistente. Os campos-chave do esquema incluem EntityId e EntityName para identificar unicamente ativos, AssetType para distinguir entre tipos de ativos como Ficheiro ou Site, AssetOwnerId para acompanhar a propriedade, AssetSensitivityLabel e AssetOriginalDataClassificationType para o contexto de classificação de dados, e EntityFeedType para indicar se um registo é um instantâneo completo do inventário ou uma alteração incremental. Esta representação unificada alimenta cenários posteriores, como identificar ficheiros sensíveis partilhados em excesso, rastrear alterações de permissões, detetar ativos não protegidos e gerar riscos em todo o património de dados através de integrações como o Microsoft Purview Data Security Posture Management (DSPM).
A utilização do esquema permite ao Microsoft Purview DSPM gerir a postura de segurança dos dados em todas as plataformas Microsoft e parceiras. Para mais informações, consulte o anúncio do Ignite 2025 que apresenta o ecossistema de parceiros DSPM.
Para mais informações sobre normalização em Microsoft Sentinel, consulte Normalização e o Modelo Avançado de Informação de Segurança (ASIM).
Analisadores
Para obter mais informações sobre analisadores ASIM, consulte a visão geral dos analisadores ASIM.
Unificação de analisadores
Para usar analisadores que unificam todos os analisadores ASIM prontos a usar e garantem que a sua análise corre em todas as fontes configuradas, use o _Im_AssetEntity analisador.
Adicione seus próprios analisadores normalizados
Ao desenvolver analisadores personalizados para o esquema da Entidade de Ativos, nomeie as suas funções KQL usando a seguinte sintaxe:
-
vimAssetEntity<vendor><Product>para analisadores parametrizados -
ASimAssetEntity<vendor><Product>para analisadores regulares
Consulte o artigo Gestão de analisadores ASIM para saber como adicionar os seus analisadores personalizados aos analisadores unificadores.
Parâmetros do analisador de filtragem
Os analisadores de Entidades de Ativos suportam vários parâmetros de filtragem para melhorar o desempenho das consultas. Esses parâmetros são opcionais, mas podem melhorar o desempenho da consulta. Os seguintes parâmetros de filtragem estão disponíveis:
| Nome | Tipo | Descrição |
|---|---|---|
| Hora de início | datetime | Filtra apenas os assets que foram ingeridos nessa altura ou depois desse período. Este parâmetro filtra o EntityIngestionTime campo, que é o designador padrão para o momento do ativo. |
| tempo de fim | datetime | Filtra apenas os ativos que foram ingeridos na altura ou antes. Este parâmetro filtra o EntityIngestionTime campo, que é o designador padrão para o momento do ativo. |
| entityid_has_any | dynamic | Filtra apenas os ativos para os quais o campo 'EntityId' estiver num dos valores listados. |
| entityname_has_any | dynamic | Filtre apenas os ativos para os quais o campo 'NomeEntidade' estiver num dos valores listados. |
| assettype_in | cadeia (de caracteres) | Filtre apenas os ativos para os quais o campo 'TipoAtivo' é igual ao valor do parâmetro. |
| path_has_any | dynamic | Filtre apenas os ativos para os quais o campo 'FilePath' ou 'SitePath' esteja num dos valores listados. |
| assetowner_has_any | dynamic | Filtre apenas os ativos para os quais o campo 'ProprietárioDeAtivo' ou 'ProprietáriosDeAtivos Adicionais' esteja num dos valores listados. |
| entitysource_has_any | dynamic | Filtra apenas os ativos para os quais o campo 'EntitySource' estiver num dos valores listados. |
Detalhes do esquema
Campos Comuns de Entidade ASIM
A lista seguinte menciona campos para um esquema de Entidade juntamente com as suas diretrizes específicas para entidades de Ativos:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| EntityUpdatedTime | Obrigatório | datetime | O carimbo temporal (UTC) de quando a Entidade foi atualizada ou recolhida na fonte. |
| TempoDeIngestão da Entidade | Opcional | datetime | O carimbo temporal (UTC) de quando o pipeline de ingestão recebe o registo de ativos. |
| EntityId | Obrigatório | cadeia (de caracteres) | O identificador exclusivo do ativo. |
| EntityOriginalId | Opcional | cadeia (de caracteres) | O identificador único do ativo na origem se for diferente do 'EntityId'. |
| EntityName | Obrigatório | cadeia (de caracteres) | O nome da entidade. |
| EntityNameType | Recomendado | cadeia (de caracteres) | O tipo do nome da entidade. |
| EntityVendor | Obrigatório | cadeia (de caracteres) | O fornecedor ou prestador que reportou a entidade. |
| EntitySource | Obrigatório | cadeia (de caracteres) | A fonte de dados ou conector que forneceu o registo da entidade. |
| EntityProduct | Obrigatório | cadeia (de caracteres) | O nome do produto associado à fonte que reportou a entidade. |
| EntidadeSubproduto | Obrigatório | cadeia (de caracteres) | O nome do subproduto ou componente associado à fonte que reportou a entidade. |
| EntidadeCriadaTempo | Obrigatório | datetime | O carimbo temporal (UTC) de quando a entidade foi originalmente criada no sistema de origem. |
| EntidadeÚltimoAcedidoTempo | Opcional | datetime | O carimbo temporal (UTC) de quando a entidade foi acedida pela última vez. |
| EntidadeÚltimoTempo Modificado | Obrigatório | datetime | O carimbo temporal (UTC) de quando a entidade foi modificada pela última vez no sistema de origem. |
| EntityIsDeleted | Opcional | bool | Indica se a entidade foi eliminada no sistema de origem. |
| EntityFeedType | Obrigatório | Enumerado | O tipo ou categoria do feed de dados que forneceu o registo da entidade. Os valores permitidos são: Snapshot ou Changefeed. |
| EntitySchema | Obrigatório | Enumerado | O esquema usado para a entidade. O esquema documentado aqui é Asset. |
| EntitySchemaVersion | Obrigatório | SchemaVersion (String) | A versão do esquema. A versão do esquema documentada aqui é 0.1.0. |
Campos de proprietário de ativos
Esta secção define informações sobre o proprietário do ativo. Se o seu ativo tiver vários proprietários, preencha ambos os campos AssetOwnerId e AdditionalAssetOwners.
AdditionalAssetOwners devem ser um array de cadeias e as cadeias devem estar no mesmo formato que AssetOwnerId.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| AssetOwnerId | Obrigatório | cadeia (de caracteres) | Uma representação única, alfanumérica e legível por máquina do Ator. Para obter mais informações e campos alternativos para outras IDs, consulte A entidade do usuário. |
| AssetOwnerIdType | Recomendado | cadeia (de caracteres) | O tipo ou formato do identificador do proprietário do ativo. Isto é análogo aos UserIdType esquemas de eventos. Para obter mais informações e uma lista de valores permitidos, consulte UserIdType no artigo Visão geral do esquema. |
| AtivoProprietárioType | Opcional | cadeia (de caracteres) | O tipo de Proprietário do Ativo. Para obter mais informações e uma lista de valores permitidos, consulte UserType no artigo Visão geral do esquema. |
| AssetOwnerScope | Opcional | cadeia (de caracteres) | O âmbito organizacional ou administrativo a que pertence o proprietário do ativo. |
| AssetOwnerScopeId | Opcional | cadeia (de caracteres) | O identificador do âmbito a que pertence o proprietário do ativo. |
| ProprietáriosDeAtivos Adicionais | Opcional | dynamic | Uma coleção dinâmica de proprietários ou co-proprietários adicionais associados ao ativo. Isto deve ser um conjunto de fios. |
Campos de metadados de ativos
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| AADTenantId | Obrigatório | cadeia (de caracteres) | O identificador de inquilino do Azure Active Directory associado ao ativo ou entidade. |
| IdentityDirectoryName | Opcional | cadeia (de caracteres) | O nome do diretório de identidade, como Azure AD, GCP, AWS, associado à entidade. |
| IdentityDirectoryId | Obrigatório | cadeia (de caracteres) | O identificador do diretório de identidade associado à entidade. |
| Campos Adicionais | Opcional | dynamic | Informação adicional sobre a entidade que não é capturada por outros campos no esquema. |
Campos de tipos de ativos
Esta secção define informações sobre o tipo de ativo. Os tipos atualmente suportados são File e Site. As propriedades adicionais do tipo de ativo devem ser povoadas.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Tipo de Ativo | Obrigatório | cadeia (de caracteres) | O tipo de alto nível do ativo. Os valores permitidos e suportados são: File, Site. |
| AtivoOriginalType | Recomendado | cadeia (de caracteres) | O nome original do tipo de alto nível do ativo na origem. |
Campos de segurança de ativos
Esta secção capta a postura de segurança do ativo e o contexto de exposição, incluindo permissões de origem, detalhes de sensibilidade e classificação de dados, estado de proteção DLP, indicadores de ameaça relacionados e o tempo da última análise de classificação. Inclui também contagens de acesso de utilizadores internos e externos para ajudar a avaliar a exposição potencial.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| AssetOriginalPermissions | Opcional | dynamic | O conjunto original de permissões atribuído ao ativo conforme reportado pelo sistema de origem. |
| AssetSensitivityLabel | Obrigatório | cadeia (de caracteres) | A etiqueta de sensibilidade aplicada ao ativo. Os valores permitidos são: Personal, Public, General, Confidential, Highly Confidential. |
| AtivoOriginalSensibilidadeLevel | Opcional | cadeia (de caracteres) | O nível de sensibilidade conforme reportado pelo sistema de origem, antes da normalização. |
| AtivoÉProtegidoPorDlp | Opcional | bool | Indica se o ativo está protegido por uma política de Prevenção de Perda de Dados (DLP). |
| Indicadores Relacionados com Ativos | Opcional | dynamic | Uma coleção dinâmica de indicadores de ameaça ou sinais relacionados com o ativo. |
| AtivoOriginalDataClassificaçãoType | Obrigatório | dynamic | O(s) tipo(s) de classificação de dados originais atribuídos ao ativo, conforme reportado pelo sistema de origem. Isto deve ser um array de cadeias*. |
| ClassificaçãoAtivoÚltimoScanDateHora | Obrigatório | datetime | O carimbo temporal (UTC) de quando o ativo foi escaneado pela última vez para classificação de dados. |
| ContadeUtilizadoresInternos | Opcional | int | O número de utilizadores internos associados ou com acesso ao ativo. |
| Contagens de Utilizadores Externos | Opcional | int | O número de utilizadores externos associados ou com acesso ao ativo. |
Campos de risco de ativos
Esta secção recolhe o contexto de risco do ativo, incluindo nomes e níveis de risco normalizados e reportados pela fonte, carimbos temporais do primeiro e último relatório e detalhes específicos de risco do fornecedor.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| NomeRiscoAtivo | Opcional | cadeia (de caracteres) | O nome normalizado do risco ou ameaça associado ao ativo. |
| AssetRiskLevel | Opcional | Enumerado | O nível de risco normalizado atribuído ao ativo. Os valores permitidos são: Info, Low, Medium, High, Critical, Other. |
| AtivoOriginalRiscoLevel | Opcional | cadeia (de caracteres) | O nível de risco atribuído ao ativo conforme reportado pelo sistema de origem, antes da normalização. |
| RiscoAtivoPrimeiroReportadoTempo | Opcional | datetime | O carimbo temporal (UTC) de quando o risco associado ao ativo foi reportado pela primeira vez. |
| AtivoRiscoÚltimoRelatadoTempo | Opcional | datetime | O carimbo temporal (UTC) de quando o risco associado ao ativo foi reportado mais recentemente. |
| AtivoOriginalRiscoDetalhes | Opcional | dynamic | Os detalhes completos de risco para o ativo, conforme fornecidos pelo sistema de origem. |
Campos de ficheiro (tipo de ativo)
Esta secção capta propriedades de ativos específicas de ficheiros. As propriedades devem estar preenchidas se o AssetTypeficheiro is .
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| FilePath | Opcional | cadeia (de caracteres) | O caminho completo do ficheiro associado ao ativo. |
| Tamanho do arquivo | Opcional | long | O tamanho do arquivo em bytes. |
| ArquivoMD5 | Opcional | cadeia (de caracteres) | O hash MD5 do ficheiro associado ao ativo. |
| FileSHA1 | Opcional | cadeia (de caracteres) | O hash SHA-1 do ficheiro associado ao ativo. |
| ArquivoSHA256 | Opcional | cadeia (de caracteres) | O hash SHA-256 do ficheiro associado ao ativo. |
| ArquivoSHA512 | Opcional | cadeia (de caracteres) | O hash SHA-512 do ficheiro associado ao ativo. |
| Extensão de Ficheiro | Opcional | cadeia (de caracteres) | A extensão do ficheiro associada ao ativo, como .exe ou .pdf. |
| FicheiroÉAssinaturaVálido | Opcional | bool | Indica se a assinatura digital do ficheiro é válida. |
| FileAssinaturaDetalhes | Opcional | cadeia (de caracteres) | Detalhes sobre a assinatura digital do ficheiro, como o signatário ou informações do certificado. |
Campos de site (tipo de ativo)
Esta secção capta propriedades de localização específicas para os ativos do site do SharePoint. As propriedades devem ser povoadas se for AssetTypeo Site.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| SitePath | Opcional | cadeia (de caracteres) | O percurso do local ou local de armazenamento associado ao ativo. |
| SitePrimaryUri | Opcional | cadeia (de caracteres) | O URI principal do site ou local de armazenamento associado ao ativo. |
Aliases
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| AssetPath | Alias | cadeia (de caracteres) | O pseudónimo para ou FilePathSitePath |
| User | Alias | cadeia (de caracteres) | O pseudónimo para AssetOwnerId. |
Atualizações de esquema
A seguir estão as alterações em várias versões do esquema:
- Versão 0.1.0: Lançamento inicial.
Passos seguintes
Para obter mais informações, consulte:
- Assista ao Webinar da ASIM ou revise os slides
- Visão geral do ASIM (Advanced Security Information Model, modelo avançado de informações de segurança)
- Esquemas ASIM (Advanced Security Information Model)
- Analisadores do Modelo Avançado de Informação de Segurança (ASIM)
- Conteúdo do modelo avançado de informações de segurança (ASIM)