Referenční informace ke schématu normalizace správy uživatelů služby Microsoft Sentinel (Preview)
Schéma normalizace správy uživatelů služby Microsoft Sentinel slouží k popisu aktivit správy uživatelů, jako je vytvoření uživatele nebo skupina, změna atributu uživatele nebo přidání uživatele do skupiny. Tyto události jsou hlášeny například operačními systémy, adresářovými službami, systémy pro správu identit a jakýmkoli jiným systémem, který hlásí svou místní aktivitu správy uživatelů.
Další informace o normalizaci v Microsoft Sentinelu naleznete v tématu Normalizace a Advanced Security Information Model (ASIM).
Důležité
Schéma normalizace správy uživatelů je aktuálně ve verzi Preview. Tato funkce je poskytována bez smlouvy o úrovni služeb. Nedoporučujeme ho pro produkční úlohy.
Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Přehled schématu
Schéma správy uživatelů ASIM popisuje aktivity správy uživatelů. Aktivity obvykle zahrnují následující entity:
- Actor – uživatel provádějící aktivitu správy.
- Herecký proces – proces, který aktér používá k provádění aktivity správy.
- Src – když se aktivita provádí přes síť, zdrojové zařízení, ze kterého byla aktivita inicializována.
- Cílový uživatel – uživatel, který má účet, je spravovaný.
- Seskupte cílového uživatele, kterého chcete přidat nebo odebrat, nebo upravit.
Některé aktivity, například UserCreated, GroupCreated, UserModified a GroupModified*, nastavují nebo aktualizují vlastnosti uživatele. Sada nebo aktualizace vlastnosti je zdokumentovaná v následujících polích:
- EventSubType – název hodnoty, která byla nastavena nebo aktualizována. UpdatedPropertyName je alias pro EventSubType , když EventSubType odkazuje na jeden z relevantních typů událostí.
- PreviousPropertyValue - předchozí hodnota vlastnosti.
- NewPropertyValue – aktualizovaná hodnota vlastnosti.
Podrobnosti schématu
Běžná pole ASIM
Důležité
Pole společná pro všechna schémata jsou podrobně popsaná v článku o společných polích ASIM.
Běžná pole s konkrétními pokyny
Následující seznam uvádí pole, která mají specifické pokyny pro události aktivity procesů:
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Typ události | Povinné | Enumerated | Popisuje operaci hlášenou záznamem. U aktivity Správa uživatelů jsou podporované hodnoty: - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| EventSubType | Volitelné | Enumerated | Podporují se následující podtypy: - UserRead: Heslo, hodnota hash- UserCreated, GroupCreated, UserModified. GroupModified Další informace naleznete v tématu UpdatedPropertyName |
| EventResult | Povinné | Enumerated | I když je to možné, většina systémů hlásí pouze úspěšné události správy uživatelů. Očekávaná hodnota úspěšných událostí je Success. |
| EventResultDetails | Doporučené | Enumerated | Platné hodnoty jsou NotAuthorized a Other. |
| EventSeverity | Povinné | Enumerated | I když je povolena jakákoli platná hodnota závažnosti, závažnost událostí správy uživatelů je obvykle Informational. |
| EventSchema | Povinné | String | Název schématu popsaného zde je UserManagement. |
| EventSchemaVersion | Povinné | String | Verze schématu. Verze zde popsaného schématu je 0.1.1. |
| Pole Dvc | V případě událostí správy uživatelů pole zařízení odkazují na systém, který událost hlásí. Obvykle se jedná o systém, na kterém je uživatel spravovaný. |
Všechna společná pole
Pole, která se zobrazují v následující tabulce, jsou společná pro všechna schémata ASIM. Všechny výše uvedené pokyny přepíší obecné pokyny pro dané pole. Pole může být například volitelné obecně, ale povinné pro konkrétní schéma. Další podrobnosti o jednotlivých polích najdete v článku o společných polích ASIM.
| Třída | Pole |
|---|---|
| Povinné | - EventCount - EventStartTime - EventEndTime - Typ události - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Doporučené | - EventResultDetails - EventSeverity - Id události - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Volitelné | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - UdálostOriginalSeverity - EventProductVersion - EventReportUrl - Vlastník události - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Další pole - Popis dvcDescription - DvcScopeId - DvcScope |
Aktualizovaná pole vlastností
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| UpdatedPropertyName | Alias | Alias pro EventSubType , pokud je UserCreatedtyp události , GroupCreated, UserModifiednebo GroupModified.Podporované hodnoty jsou: - MultipleProperties: Používá se při aktualizaci více vlastností aktivity.- Previous<PropertyName>, kde <PropertyName> je jednou z podporovaných hodnot pro UpdatedPropertyName. - New<PropertyName>, kde <PropertyName> je jednou z podporovaných hodnot pro UpdatedPropertyName. |
|
| PreviousPropertyValue | Volitelné | String | Předchozí hodnota uložená v zadané vlastnosti. |
| NewPropertyValue | Volitelné | String | Nová hodnota uložená v zadané vlastnosti. |
Cílová uživatelská pole
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| TargetUserId | Volitelné | String | Strojově čitelná alfanumerická, jedinečná reprezentace cílového uživatele. Mezi podporované formáty a typy patří: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Do pole TargetUserIdType uložte typ ID. Pokud jsou k dispozici další ID, doporučujeme normalizovat názvy polí na TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId a TargetUserAwsId. Další informace naleznete v tématu Entita Uživatel. Příklad: S-1-12 |
| TargetUserIdType | Volitelné | Enumerated | Typ ID uloženého v poli TargetUserId . Podporované hodnoty jsou SID, , AADIDUID, OktaIda AWSId. |
| TargetUsername | Volitelné | String | Cílové uživatelské jméno, včetně informací o doméně, pokud jsou k dispozici. Použijte jeden z následujících formátů a v následujícím pořadí priorit: - Hlavní název/e-mail: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Jednoduché: johndow. Jednoduchý formulář použijte jenom v případě, že nejsou k dispozici informace o doméně.Do pole TargetUsernameType uložte typ uživatelského jména. Pokud jsou k dispozici další ID, doporučujeme normalizovat názvy polí na TargetUserUpn, TargetUserWindows a TargetUserDn. Další informace naleznete v tématu Entita Uživatel. Příklad: AlbertE |
| TargetUsernameType | Volitelné | Enumerated | Určuje typ uživatelského jména uloženého v poli TargetUsername . Mezi podporované hodnoty patří UPN, Windows, DNa Simple. Další informace naleznete v tématu Entita Uživatel.Příklad: Windows |
| TargetUserType | Volitelné | Enumerated | Typ cílového uživatele. Mezi podporované hodnoty patří: - Regular- Machine- Admin- System- Application- Service Principal- OtherPoznámka: Hodnota může být ve zdrojovém záznamu poskytována pomocí různých termínů, které by se měly normalizovat na tyto hodnoty. Uložte původní hodnotu do pole TargetOriginalUserType . |
| TargetOriginalUserType | Volitelné | String | Původní typ cílového uživatele, pokud zdroj poskytuje. |
Pole objektu actor
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| ActorUserId | Volitelné | String | Strojově čitelná alfanumerická, jedinečná reprezentace objektu Actor. Mezi podporované formáty a typy patří: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Do pole ActorUserIdType uložte typ ID. Pokud jsou k dispozici další ID, doporučujeme normalizovat názvy polí na ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId a ActorAwsId. Další informace naleznete v tématu Entita Uživatel. Příklad: S-1-12 |
| ActorUserIdType | Volitelné | Enumerated | Typ ID uloženého v poli ActorUserId . Mezi podporované hodnoty patří SID, UID, AADID, OktaIda AWSId. |
| ActorUsername | Povinné | String | Uživatelské jméno objektu Actor, včetně informací o doméně, pokud jsou k dispozici. Použijte jeden z následujících formátů a v následujícím pořadí priorit: - Hlavní název/e-mail: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Jednoduché: johndow. Jednoduchý formulář použijte jenom v případě, že nejsou k dispozici informace o doméně.Uložte typ uživatelského jména do pole ActorUsernameType . Pokud jsou k dispozici další ID, doporučujeme normalizovat názvy polí na ActorUserUpn, ActorUserWindows a ActorUserDn. Další informace naleznete v tématu Entita Uživatel. Příklad: AlbertE |
| Uživatel | Alias | Alias pro ActorUsername. | |
| ActorUsernameType | Povinné | Enumerated | Určuje typ uživatelského jména uloženého v poli ActorUsername . Podporované hodnoty jsou UPN, Windows, DNa Simple. Další informace naleznete v tématu Entita Uživatel.Příklad: Windows |
| ActorUserType | Volitelné | Enumerated | Typ objektu Actor. Povolené hodnoty jsou následující: - Regular- Machine- Admin- System- Application- Service Principal- OtherPoznámka: Hodnota může být ve zdrojovém záznamu poskytována pomocí různých termínů, které by se měly normalizovat na tyto hodnoty. Uložte původní hodnotu do pole ActorOriginalUserType . |
| ActorOriginalUserType | Původní typ uživatele objektu actor, pokud zdroj poskytuje. | ||
| ActorSessionId | Volitelné | String | Jedinečné ID relace přihlášení objektu Actor. Příklad: 999Poznámka: Typ je definován jako řetězec pro podporu různých systémů, ale v systému Windows musí být tato hodnota číselná. Pokud používáte počítač s Windows a používáte jiný typ, nezapomeňte hodnoty převést. Pokud jste například použili šestnáctkovou hodnotu, převeďte ji na desetinnou hodnotu. |
Seskupovat pole
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Id skupiny | Volitelné | String | Strojově čitelná alfanumerická, jedinečná reprezentace skupiny pro aktivity zahrnující skupinu. Mezi podporované formáty a typy patří: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578Do pole GroupIdType uložte typ ID. Pokud jsou k dispozici jiná ID, doporučujeme názvy polí normalizovat na GroupSid nebo GroupUid. Další informace naleznete v tématu Entita Uživatel. Příklad: S-1-12 |
| GroupIdType | Volitelné | Enumerated | Typ ID uloženého v poli GroupId . Podporované hodnoty jsou SIDa UID. |
| Název skupiny | Volitelné | String | Název skupiny, včetně informací o doméně, pokud jsou k dispozici, pro aktivity zahrnující skupinu. Použijte jeden z následujících formátů a v následujícím pořadí priorit: - Hlavní název/e-mail: grp@contoso.com- Windows: Contoso\grp- DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM- Jednoduché: grp. Jednoduchý formulář použijte jenom v případě, že nejsou k dispozici informace o doméně.Do pole GroupNameType uložte typ názvu skupiny. Pokud jsou k dispozici další ID, doporučujeme názvy polí normalizovat na GroupUpn, GroupNameWindows a GroupDn. Příklad: Contoso\Finance |
| GroupNameType | Volitelné | Enumerated | Určuje typ názvu skupiny uloženého v poli GroupName . Mezi podporované hodnoty patří UPN, Windows, DNa Simple.Příklad: Windows |
| GroupType | Volitelné | Enumerated | Typ skupiny pro aktivity zahrnující skupinu. Mezi podporované hodnoty patří: - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- OtherPoznámka: Hodnota může být ve zdrojovém záznamu poskytována pomocí různých termínů, které by se měly normalizovat na tyto hodnoty. Uložte původní hodnotu do pole GroupOriginalType . |
| GroupOriginalType | Volitelné | String | Původní typ skupiny, pokud zdroj poskytuje. |
Zdrojová pole
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Src | Doporučené | String | Jedinečný identifikátor zdrojového zařízení. Toto pole může aliasovat pole SrcDvcId, SrcHostname nebo SrcIpAddr . Příklad: 192.168.12.1 |
| SrcIpAddr | Doporučené | IP adresa | IP adresa zdrojového zařízení. Tato hodnota je povinná, pokud je zadán název SrcHostname . Příklad: 77.138.103.108 |
| IpAddr | Alias | Alias pro SrcIpAddr | |
| SrcHostname | Doporučené | String | Název hostitele zdrojového zařízení s výjimkou informací o doméně. Příklad: DESKTOP-1282V4D |
| SrcDomain | Doporučené | String | Doména zdrojového zařízení. Příklad: Contoso |
| SrcDomainType | Doporučené | Enumerated | Typ SrcDomain, pokud je znám. Možné hodnoty zahrnují: - Windows (například contoso)- FQDN (například microsoft.com)Vyžaduje se, pokud se používá doména SrcDomain . |
| SrcFQDN | Volitelné | String | Název hostitele zdrojového zařízení, včetně informací o doméně, pokud je k dispozici. Poznámka: Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát názvu hostitele windows. Pole SrcDomainType odráží použitý formát. Příklad: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Volitelné | String | ID zdrojového zařízení hlášené v záznamu. Příklad: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Volitelné | String | ID oboru cloudové platformy, do které zařízení patří. SrcDvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| SrcDvcScope | Volitelné | String | Rozsah cloudové platformy, do které zařízení patří. SrcDvcScope mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| SrcDvcIdType | Volitelné | Enumerated | Typ SrcDvcId, pokud je známý. Možné hodnoty zahrnují: - AzureResourceId- MDEidPokud je k dispozici více ID, použijte první id z předchozího seznamu a uložte ostatní v SrcDvcAzureResourceId a SrcDvcMDDEid. Poznámka: Toto pole se vyžaduje, pokud se použije SrcDvcId . |
| SrcDeviceType | Volitelné | Enumerated | Typ zdrojového zařízení. Možné hodnoty zahrnují: - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | Volitelné | Země | Země nebo oblast přidružená ke zdrojové IP adrese. Příklad: USA |
| SrcGeoRegion | Volitelné | Oblast | Oblast přidružená ke zdrojové IP adrese. Příklad: Vermont |
| SrcGeoCity | Volitelné | City | Město přidružené ke zdrojové IP adrese. Příklad: Burlington |
| SrcGeoLatitude | Volitelné | Zeměpisná šířka | Zeměpisná šířka zeměpisné souřadnice přidružené ke zdrojové IP adrese. Příklad: 44.475833 |
| SrcGeoLongitude | Volitelné | Longitude | Zeměpisná délka zeměpisné souřadnice přidružené ke zdrojové IP adrese. Příklad: 73.211944 |
Aplikace pro herectví
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| ActingAppId | Volitelné | String | ID aplikace, kterou objekt actor používá k provedení aktivity, včetně procesu, prohlížeče nebo služby. Příklad: 0x12ae8 |
| ActingAppName | Volitelné | String | Název aplikace, kterou objekt actor používá k provedení aktivity, včetně procesu, prohlížeče nebo služby. Příklad: C:\Windows\System32\svchost.exe |
| ActingAppType | Volitelné | Enumerated | Typ fungující aplikace. Mezi podporované hodnoty patří: - Process - Browser - Resource - Other |
| HttpUserAgent | Volitelné | String | Při ověřování prostřednictvím protokolu HTTP nebo HTTPS je hodnota tohoto pole user_agent hlavička HTTP poskytovaná hereckou aplikací při ověřování. Příklad: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Další pole a aliasy
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Název hostitele | Alias | Alias pro DvcHostname. |
Další kroky
Další informace naleznete v tématu: