Normalisatieschemaverwijzing voor Microsoft Sentinel-gebruikersbeheer (preview)
Het normalisatieschema voor Microsoft Sentinel-gebruikersbeheer wordt gebruikt om activiteiten voor gebruikersbeheer te beschrijven, zoals het maken van een gebruiker of een groep, het wijzigen van het gebruikerskenmerk of het toevoegen van een gebruiker aan een groep. Dergelijke gebeurtenissen worden bijvoorbeeld gerapporteerd door besturingssystemen, adreslijstservices, identiteitsbeheersystemen en andere systeemrapportages over de lokale activiteiten van gebruikersbeheer.
Zie Normalization and the Advanced Security Information Model (ASIM) voor meer informatie over normalisatie in Microsoft Sentinel.
Belangrijk
Het normalisatieschema voor gebruikersbeheer is momenteel beschikbaar als preview-versie. Deze functie wordt geleverd zonder service level agreement. Dit wordt niet aanbevolen voor productieworkloads.
De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Schemaoverzicht
In het ASIM-schema voor gebruikersbeheer worden activiteiten voor gebruikersbeheer beschreven. De activiteiten omvatten doorgaans de volgende entiteiten:
- Actor : de gebruiker die de beheeractiviteit uitvoert.
- Acterend proces : het proces dat door de actor wordt gebruikt om de beheeractiviteit uit te voeren.
- Src : wanneer de activiteit via het netwerk wordt uitgevoerd, wordt het bronapparaat waaruit de activiteit is gestart.
- Doelgebruiker : de gebruiker die het account beheert.
- Groepeer de doelgebruiker wordt toegevoegd of verwijderd uit of wordt gewijzigd.
Sommige activiteiten, zoals UserCreated, GroupCreated, UserModified en GroupModified*, stellen gebruikerseigenschappen in of bij. De eigenschappenset of bijgewerkte eigenschap wordt beschreven in de volgende velden:
- EventSubType : de naam van de waarde die is ingesteld of bijgewerkt. UpdatedPropertyName is een alias voor EventSubType wanneer EventSubType verwijst naar een van de relevante gebeurtenistypen.
- PreviousPropertyValue - de vorige waarde van de eigenschap.
- NewPropertyValue : de bijgewerkte waarde van de eigenschap.
Schemadetails
Algemene ASIM-velden
Belangrijk
Velden die voor alle schema's gelden, worden uitgebreid beschreven in het artikel Algemene ASIM-velden .
Algemene velden met specifieke richtlijnen
In de volgende lijst worden velden vermeld met specifieke richtlijnen voor procesactiviteitsevenementen:
| Veld | Klas | Type | Description |
|---|---|---|---|
| EventType | Verplicht | Enumerated | Beschrijft de bewerking die door de record is gerapporteerd. Voor gebruikersbeheeractiviteit zijn de ondersteunde waarden: - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| EventSubType | Optioneel | Enumerated | De volgende subtypen worden ondersteund: - UserRead: wachtwoord, hash- UserCreated, , GroupCreatedUserModified, . GroupModified Zie UpdatedPropertyName voor meer informatie |
| EventResult | Verplicht | Enumerated | Hoewel fouten mogelijk zijn, rapporteren de meeste systemen alleen geslaagde gebeurtenissen voor gebruikersbeheer. De verwachte waarde voor geslaagde gebeurtenissen is Success. |
| EventResultDetails | Aanbevolen | Enumerated | De geldige waarden zijn NotAuthorized en Other. |
| EventSeverity | Verplicht | Enumerated | Hoewel een geldige ernstwaarde is toegestaan, is de ernst van gebeurtenissen van gebruikersbeheer doorgaans Informational. |
| EventSchema | Verplicht | String | De naam van het schema dat hier wordt beschreven, is UserManagement. |
| EventSchemaVersion | Verplicht | String | De versie van het schema. De versie van het schema dat hier wordt beschreven, is 0.1.1. |
| Dvc-velden | Voor gebeurtenissen van gebruikersbeheer verwijzen apparaatvelden naar het systeem dat de gebeurtenis rapporteert. Dit is meestal het systeem waarop de gebruiker wordt beheerd. |
Alle algemene velden
Velden die in de onderstaande tabel worden weergegeven, zijn gebruikelijk voor alle ASIM-schema's. Elke hierboven opgegeven richtlijn overschrijft de algemene richtlijnen voor het veld. Een veld kan bijvoorbeeld optioneel zijn in het algemeen, maar verplicht voor een specifiek schema. Raadpleeg het artikel Algemene ASIM-velden voor meer informatie over elk veld.
| Klas | Velden |
|---|---|
| Verplicht | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Aanbevolen | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optioneel | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Bijgewerkte eigenschapsvelden
| Veld | Klas | Type | Description |
|---|---|---|---|
| UpdatedPropertyName | Alias | Alias naar EventSubType wanneer het gebeurtenistype , UserCreatedGroupCreatedof UserModifiedGroupModified.Ondersteunde waarden zijn: - MultipleProperties: Wordt gebruikt wanneer de activiteit meerdere eigenschappen bijwerken- Previous<PropertyName>, waar <PropertyName> is een van de ondersteunde waarden voor UpdatedPropertyName. - New<PropertyName>, waar <PropertyName> is een van de ondersteunde waarden voor UpdatedPropertyName. |
|
| PreviousPropertyValue | Optioneel | String | De vorige waarde die is opgeslagen in de opgegeven eigenschap. |
| NewPropertyValue | Optioneel | String | De nieuwe waarde die is opgeslagen in de opgegeven eigenschap. |
Doelgebruikersvelden
| Veld | Klas | Type | Description |
|---|---|---|---|
| TargetUserId | Optioneel | String | Een machineleesbare, alfanumerieke, unieke weergave van de doelgebruiker. Ondersteunde indelingen en typen zijn: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Sla het id-type op in het veld TargetUserIdType . Als er andere id's beschikbaar zijn, raden we u aan om de veldnamen te normaliseren naar TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId en TargetUserAwsId. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: S-1-12 |
| TargetUserIdType | Optioneel | Enumerated | Het type id dat is opgeslagen in het veld TargetUserId . Ondersteunde waarden zijn SID, UID, , AADIDen OktaIdAWSId. |
| TargetUsername | Optioneel | String | De doelgebruikersnaam, inclusief domeingegevens, indien beschikbaar. Gebruik een van de volgende notaties en in de volgende volgorde van prioriteit: - Upn/e-mail: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Eenvoudig: johndow. Gebruik het eenvoudige formulier alleen als domeingegevens niet beschikbaar zijn.Sla het gebruikersnaamtype op in het veld TargetUsernameType . Als er andere id's beschikbaar zijn, raden we u aan om de veldnamen te normaliseren naar TargetUserUpn, TargetUserWindows en TargetUserDn. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: AlbertE |
| TargetUsernameType | Optioneel | Enumerated | Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld TargetUsername . Ondersteunde waarden zijn onder andere UPN, Windows, DNen Simple. Zie De entiteit Gebruiker voor meer informatie.Voorbeeld: Windows |
| TargetUserType | Optioneel | Enumerated | Het type doelgebruiker. Ondersteunde waarden zijn onder andere: - Regular- Machine- Admin- System- Application- Service Principal- OtherOpmerking: De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd voor deze waarden. Sla de oorspronkelijke waarde op in het veld TargetOriginalUserType . |
| TargetOriginalUserType | Optioneel | String | Het oorspronkelijke doelgebruikerstype, indien opgegeven door de bron. |
Actorvelden
| Veld | Klas | Type | Description |
|---|---|---|---|
| ActorUserId | Optioneel | String | Een machineleesbare, alfanumerieke, unieke weergave van de actor. Ondersteunde indelingen en typen zijn: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Sla het id-type op in het veld ActorUserIdType . Als er andere id's beschikbaar zijn, raden we u aan om de veldnamen te normaliseren voor ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId en ActorAwsId. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: S-1-12 |
| ActorUserIdType | Optioneel | Enumerated | Het type id dat is opgeslagen in het veld ActorUserId . Ondersteunde waarden zijn onder andere SID, UID, AADID, OktaIden AWSId. |
| ActorUsername | Verplicht | String | De gebruikersnaam van de actor, inclusief domeingegevens, indien beschikbaar. Gebruik een van de volgende notaties en in de volgende volgorde van prioriteit: - Upn/e-mail: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Eenvoudig: johndow. Gebruik het eenvoudige formulier alleen als domeingegevens niet beschikbaar zijn.Sla het gebruikersnaamtype op in het veld ActorUsernameType . Als er andere id's beschikbaar zijn, raden we u aan om de veldnamen te normaliseren naar ActorUserUpn, ActorUserWindows en ActorUserDn. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: AlbertE |
| Gebruiker | Alias | Alias naar ActorUsername. | |
| ActorUsernameType | Verplicht | Enumerated | Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld ActorUsername . Ondersteunde waarden zijnUPN, Windows, en DNSimple. Zie De entiteit Gebruiker voor meer informatie.Voorbeeld: Windows |
| ActorUserType | Optioneel | Enumerated | Het type actor. Toegestane waarden zijn: - Regular- Machine- Admin- System- Application- Service Principal- OtherOpmerking: De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd voor deze waarden. Sla de oorspronkelijke waarde op in het veld ActorOriginalUserType . |
| ActorOriginalUserType | Het oorspronkelijke actorgebruikerstype, indien opgegeven door de bron. | ||
| ActorSessionId | Optioneel | String | De unieke id van de aanmeldingssessie van de actor. Voorbeeld: 999Opmerking: Het type wordt gedefinieerd als tekenreeks ter ondersteuning van verschillende systemen, maar in Windows moet deze waarde numeriek zijn. Als u een Windows-computer gebruikt en een ander type gebruikt, moet u de waarden converteren. Als u bijvoorbeeld een hexadecimale waarde hebt gebruikt, converteert u deze naar een decimale waarde. |
Groepsvelden
| Veld | Klas | Type | Description |
|---|---|---|---|
| GroupId | Optioneel | String | Een machineleesbare, alfanumerieke, unieke weergave van de groep, voor activiteiten waarbij een groep betrokken is. Ondersteunde indelingen en typen zijn: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578Sla het id-type op in het veld GroupIdType . Als er andere id's beschikbaar zijn, raden we u aan om de veldnamen respectievelijk te normaliseren naar GroupSid of GroupUid. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: S-1-12 |
| GroupIdType | Optioneel | Enumerated | Het type id dat is opgeslagen in het veld GroupId . Ondersteunde waarden zijn SID, en UID. |
| GroupName | Optioneel | String | De groepsnaam, inclusief domeingegevens, indien beschikbaar, voor activiteiten met betrekking tot een groep. Gebruik een van de volgende notaties en in de volgende volgorde van prioriteit: - Upn/e-mail: grp@contoso.com- Windows: Contoso\grp- DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM- Eenvoudig: grp. Gebruik het eenvoudige formulier alleen als domeingegevens niet beschikbaar zijn.Sla het groepsnaamtype op in het veld GroupNameType . Als er andere id's beschikbaar zijn, raden we u aan om de veldnamen te normaliseren naar GroupUpn, GorupNameWindows en GroupDn. Voorbeeld: Contoso\Finance |
| GroupNameType | Optioneel | Enumerated | Hiermee geeft u het type van de groepsnaam op die is opgeslagen in het veld GroupName . Ondersteunde waarden zijn onder andere UPN, Windows, DNen Simple.Voorbeeld: Windows |
| GroupType | Optioneel | Enumerated | Het type groep, voor activiteiten waarbij een groep betrokken is. Ondersteunde waarden zijn onder andere: - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- OtherOpmerking: De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd voor deze waarden. Sla de oorspronkelijke waarde op in het veld GroupOriginalType . |
| GroupOriginalType | Optioneel | String | Het oorspronkelijke groepstype, indien opgegeven door de bron. |
Bronvelden
| Veld | Klas | Type | Description |
|---|---|---|---|
| Src | Aanbevolen | String | Een unieke id van het bronapparaat. Dit veld kan een alias zijn voor de velden SrcDvcId, SrcHostname of SrcIpAddr . Voorbeeld: 192.168.12.1 |
| SrcIpAddr | Aanbevolen | IP-adres | Het IP-adres van het bronapparaat. Deze waarde is verplicht als SrcHostname is opgegeven. Voorbeeld: 77.138.103.108 |
| IpAddr | Alias | Alias naar SrcIpAddr. | |
| SrcHostname | Aanbevolen | String | De hostnaam van het bronapparaat, met uitzondering van domeingegevens. Voorbeeld: DESKTOP-1282V4D |
| SrcDomain | Aanbevolen | String | Het domein van het bronapparaat. Voorbeeld: Contoso |
| SrcDomainType | Aanbevolen | Enumerated | Het type SrcDomain, indien bekend. Mogelijke waarden zijn onder andere: - Windows (zoals contoso)- FQDN (zoals microsoft.com)Vereist als SrcDomain wordt gebruikt. |
| SrcFQDN | Optioneel | String | De hostnaam van het bronapparaat, inclusief domeingegevens, indien beschikbaar. Opmerking: dit veld ondersteunt zowel de traditionele FQDN-indeling als de Indeling windows-domein\hostnaam. Het veld SrcDomainType weerspiegelt de gebruikte indeling. Voorbeeld: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Optioneel | String | De id van het bronapparaat zoals gerapporteerd in de record. Voorbeeld: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Optioneel | String | De bereik-id van het cloudplatform waartoe het apparaat behoort. SrcDvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
| SrcDvcScope | Optioneel | String | Het cloudplatformbereik waartoe het apparaat behoort. SrcDvcScope wordt toegewezen aan een abonnements-id in Azure en aan een account-id in AWS. |
| SrcDvcIdType | Optioneel | Enumerated | Het type SrcDvcId, indien bekend. Mogelijke waarden zijn onder andere: - AzureResourceId- MDEidAls er meerdere id's beschikbaar zijn, gebruikt u de eerste id uit de voorgaande lijst en slaat u de andere op in respectievelijk SrcDvcAzureResourceId en SrcDvcMDEid. Opmerking: dit veld is vereist als SrcDvcId wordt gebruikt. |
| SrcDeviceType | Optioneel | Enumerated | Het type bronapparaat. Mogelijke waarden zijn onder andere: - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | Optioneel | Land/regio | Het land/de regio die is gekoppeld aan het bron-IP-adres. Voorbeeld: USA |
| SrcGeoRegion | Optioneel | Regio | De regio die is gekoppeld aan het bron-IP-adres. Voorbeeld: Vermont |
| SrcGeoCity | Optioneel | City | De plaats die is gekoppeld aan het bron-IP-adres. Voorbeeld: Burlington |
| SrcGeoL dankbaarheid | Optioneel | Breedtegraad | De breedtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. Voorbeeld: 44.475833 |
| SrcGeoLongitude | Optioneel | Lengtegraad | De lengtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. Voorbeeld: 73.211944 |
Acterende toepassing
| Veld | Klas | Type | Description |
|---|---|---|---|
| ActingAppId | Optioneel | String | De id van de toepassing die door de actor wordt gebruikt om de activiteit uit te voeren, inclusief een proces, browser of service. Bijvoorbeeld: 0x12ae8 |
| ActingAppName | Optioneel | String | De naam van de toepassing die door de actor wordt gebruikt om de activiteit uit te voeren, met inbegrip van een proces, browser of service. Bijvoorbeeld: C:\Windows\System32\svchost.exe |
| ActingAppType | Optioneel | Enumerated | Het type acterende toepassing. Ondersteunde waarden zijn onder andere: - Process - Browser - Resource - Other |
| HttpUserAgent | Optioneel | String | Wanneer verificatie wordt uitgevoerd via HTTP of HTTPS, is de waarde van dit veld de user_agent HTTP-header die wordt geleverd door de acterende toepassing bij het uitvoeren van de verificatie. Bijvoorbeeld: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Aanvullende velden en aliassen
| Veld | Klas | Type | Description |
|---|---|---|---|
| Hostnaam | Alias | Alias naar DvcHostname. |
Volgende stappen
Zie voor meer informatie: