Dokumentacja schematu normalizacji zarządzania użytkownikami usługi Microsoft Sentinel (wersja zapoznawcza)
Schemat normalizacji zarządzania użytkownikami usługi Microsoft Sentinel służy do opisywania działań związanych z zarządzaniem użytkownikami, takich jak tworzenie użytkownika lub grupy, zmienianie atrybutu użytkownika lub dodawanie użytkownika do grupy. Takie zdarzenia są zgłaszane, na przykład przez systemy operacyjne, usługi katalogowe, systemy zarządzania tożsamościami i wszelkie inne systemy raportowania działań związanych z zarządzaniem użytkownikami lokalnymi.
Aby uzyskać więcej informacji na temat normalizacji w usłudze Microsoft Sentinel, zobacz Normalizacja i Zaawansowany model informacji o zabezpieczeniach (ASIM).
Ważne
Schemat normalizacji zarządzania użytkownikami jest obecnie w wersji zapoznawczej. Ta funkcja jest udostępniana bez umowy dotyczącej poziomu usług. Nie zalecamy obsługi obciążeń produkcyjnych.
Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Przegląd schematu
Schemat zarządzania użytkownikami ASIM opisuje działania związane z zarządzaniem użytkownikami. Działania zazwyczaj obejmują następujące jednostki:
- Aktor — użytkownik wykonujący działania zarządzania.
- Proces działający — proces używany przez aktora do wykonywania działań zarządzania.
- Src — gdy działanie jest wykonywane za pośrednictwem sieci, urządzenie źródłowe, z którego zainicjowano działanie.
- Użytkownik docelowy — użytkownik, który jest zarządzany przez konto.
- Grupuj użytkownika docelowego jest dodawany lub usuwany albo modyfikowany.
Niektóre działania, takie jak UserCreated, GroupCreated, UserModified i GroupModified*, ustawiają lub aktualizują właściwości użytkownika. Zestaw lub aktualizacja właściwości jest udokumentowany w następujących polach:
- EventSubType — nazwa wartości, która została ustawiona lub zaktualizowana. UpdatedPropertyName to alias klasy EventSubType, gdy element EventSubType odwołuje się do jednego z odpowiednich typów zdarzeń.
- PreviousPropertyValue — poprzednia wartość właściwości.
- NewPropertyValue — zaktualizowana wartość właściwości.
Szczegóły schematu
Typowe pola karty ASIM
Ważne
Pola wspólne dla wszystkich schematów zostały szczegółowo opisane w artykule ASIM Common Fields (Wspólne pola karty ASIM).
Typowe pola z określonymi wytycznymi
Na poniższej liście wymieniono pola, które mają określone wytyczne dotyczące zdarzeń działań procesów:
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| EventType | Obowiązkowy | Enumerated | Opisuje operację zgłoszoną przez rekord. W przypadku działań zarządzania użytkownikami obsługiwane są następujące wartości: - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| EventSubType | Opcjonalnie | Enumerated | Obsługiwane są następujące podtypy: - UserRead: hasło, skrót- UserCreated, , GroupCreatedUserModified, , GroupModified. Aby uzyskać więcej informacji, zobacz UpdatedPropertyName |
| EventResult | Obowiązkowy | Enumerated | Chociaż awaria jest możliwa, większość systemów zgłasza tylko pomyślne zdarzenia zarządzania użytkownikami. Oczekiwaną wartością pomyślnych zdarzeń jest Success. |
| EventResultDetails | Zalecane | Enumerated | Prawidłowe wartości to NotAuthorized i Other. |
| EventSeverity | Obowiązkowy | Enumerated | Chociaż dowolna prawidłowa wartość ważności jest dozwolona, ważność zdarzeń zarządzania użytkownikami jest zwykle Informational. |
| EventSchema | Obowiązkowy | String | Nazwa schematu udokumentowanego tutaj to UserManagement. |
| EventSchemaVersion | Obowiązkowy | String | Wersja schematu. Wersja schematu udokumentowanego tutaj to 0.1.1. |
| Pola dvc | W przypadku zdarzeń zarządzania użytkownikami pola urządzeń odnoszą się do systemu raportowania zdarzenia. Zazwyczaj jest to system, w którym użytkownik jest zarządzany. |
Wszystkie typowe pola
Pola wyświetlane w poniższej tabeli są wspólne dla wszystkich schematów ASIM. Wszelkie wytyczne określone powyżej zastępują ogólne wytyczne dotyczące pola. Na przykład pole może być ogólnie opcjonalne, ale obowiązkowe dla określonego schematu. Aby uzyskać więcej informacji na temat każdego pola, zapoznaj się z artykułem ASIM Common Fields (Wspólne pola karty ASIM).
| Klasa | Pola |
|---|---|
| Obowiązkowy | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Zalecane | - EventResultDetails - EventSeverity - Identyfikator zdarzenia - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcjonalnie | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Właściciel zdarzenia - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Dodatkowe pola - DvcDescription - DvcScopeId - DvcScope |
Zaktualizowane pola właściwości
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| UpdatedPropertyName | Alias | Alias do EventSubType , gdy typ zdarzenia to UserCreated, GroupCreated, UserModifiedlub GroupModified.Obsługiwane wartości to: - MultipleProperties: używane, gdy działanie aktualizuje wiele właściwości- Previous<PropertyName>, gdzie <PropertyName> jest jedną z obsługiwanych wartości dla elementu UpdatedPropertyName. - New<PropertyName>, gdzie <PropertyName> jest jedną z obsługiwanych wartości dla elementu UpdatedPropertyName. |
|
| PreviousPropertyValue | Opcjonalnie | String | Poprzednia wartość, która została zapisana w określonej właściwości. |
| NewPropertyValue | Opcjonalnie | String | Nowa wartość przechowywana w określonej właściwości. |
Pola użytkownika docelowego
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| TargetUserId | Opcjonalnie | String | Czytelna dla maszyny alfanumeryczna reprezentacja użytkownika docelowego. Obsługiwane formaty i typy obejmują: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Zapisz typ identyfikatora w polu TargetUserIdType . Jeśli są dostępne inne identyfikatory, zalecamy normalizację nazw pól odpowiednio na TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId i TargetUserAwsId. Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik. Przykład: S-1-12 |
| TargetUserIdType | Opcjonalnie | Enumerated | Typ identyfikatora przechowywanego w polu TargetUserId . Obsługiwane wartości to SID, , UID, OktaIdAADID, i AWSId. |
| TargetUsername | Opcjonalnie | String | Docelowa nazwa użytkownika, w tym informacje o domenie, gdy są dostępne. Użyj jednego z następujących formatów i w następującej kolejności priorytetu: - Nazwa upn/adres e-mail: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Proste: johndow. Użyj formularza prostego tylko wtedy, gdy informacje o domenie nie są dostępne.Zapisz typ nazwy użytkownika w polu TargetUsernameType . Jeśli są dostępne inne identyfikatory, zalecamy normalizację nazw pól na TargetUserUpn, TargetUserWindows i TargetUserDn. Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik. Przykład: AlbertE |
| TargetUsernameType | Opcjonalnie | Enumerated | Określa typ nazwy użytkownika przechowywanej w polu TargetUsername . Obsługiwane wartości obejmują UPN, , DNWindowsi Simple. Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik.Przykład: Windows |
| TargetUserType | Opcjonalnie | Enumerated | Typ użytkownika docelowego. Obsługiwane wartości to: - Regular- Machine- Admin- System- Application- Service Principal- OtherUwaga: Wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Zapisz oryginalną wartość w polu TargetOriginalUserType . |
| TargetOriginalUserType | Opcjonalnie | String | Oryginalny typ użytkownika docelowego, jeśli jest podany przez źródło. |
Pola aktora
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| AktorUserId | Opcjonalnie | String | Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja aktora. Obsługiwane formaty i typy obejmują: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Zapisz typ identyfikatora w polu ActorUserIdType . Jeśli są dostępne inne identyfikatory, zalecamy znormalizowanie nazw pól odpowiednio do ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId i ActorAwsId. Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik. Przykład: S-1-12 |
| AktorUserIdType | Opcjonalnie | Enumerated | Typ identyfikatora przechowywanego w polu ActorUserId . Obsługiwane wartości obejmują SID, , UID, OktaIdAADID, i AWSId. |
| AktorUsername | Obowiązkowy | String | Nazwa użytkownika aktora, w tym informacje o domenie, gdy są dostępne. Użyj jednego z następujących formatów i w następującej kolejności priorytetu: - Nazwa upn/adres e-mail: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Proste: johndow. Użyj formularza prostego tylko wtedy, gdy informacje o domenie nie są dostępne.Zapisz typ nazwy użytkownika w polu ActorUsernameType . Jeśli są dostępne inne identyfikatory, zalecamy znormalizowanie nazw pól do pola ActorUserUpn, ActorUserWindows i ActorUserDn. Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik. Przykład: AlbertE |
| Użytkownik | Alias | Alias do ActorUsername. | |
| AktorUsernameType | Obowiązkowy | Enumerated | Określa typ nazwy użytkownika przechowywanej w polu ActorUsername . Obsługiwane wartości to UPN, , DNWindowsi Simple. Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik.Przykład: Windows |
| AktorUserType | Opcjonalnie | Enumerated | Typ aktora. Dozwolone wartości to: - Regular- Machine- Admin- System- Application- Service Principal- OtherUwaga: Wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Zapisz oryginalną wartość w polu ActorOriginalUserType . |
| ActorOriginalUserType | Oryginalny typ użytkownika aktora, jeśli został podany przez źródło. | ||
| ActorsSessionId | Opcjonalnie | String | Unikatowy identyfikator sesji logowania aktora. Przykład: 999Uwaga: typ jest definiowany jako ciąg do obsługi różnych systemów, ale w systemie Windows ta wartość musi być numeryczna. Jeśli używasz maszyny z systemem Windows i używasz innego typu, pamiętaj, aby przekonwertować wartości. Jeśli na przykład użyto wartości szesnastkowej, przekonwertuj ją na wartość dziesiętną. |
Pola grupy
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Identyfikator grupy | Opcjonalnie | String | Możliwość odczytu maszynowego, alfanumeryczna, unikatowa reprezentacja grupy w przypadku działań obejmujących grupę. Obsługiwane formaty i typy obejmują: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578Zapisz typ identyfikatora w polu GroupIdType . Jeśli są dostępne inne identyfikatory, zalecamy normalizację nazw pól odpowiednio na GroupSid lub GroupUid. Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik. Przykład: S-1-12 |
| GroupIdType | Opcjonalnie | Enumerated | Typ identyfikatora przechowywanego w polu GroupId . Obsługiwane wartości to SID, i UID. |
| Nazwa grupy | Opcjonalnie | String | Nazwa grupy, w tym informacje o domenie, gdy są dostępne, dla działań dotyczących grupy. Użyj jednego z następujących formatów i w następującej kolejności priorytetu: - Nazwa upn/adres e-mail: grp@contoso.com- Windows: Contoso\grp- DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM- Proste: grp. Użyj formularza prostego tylko wtedy, gdy informacje o domenie nie są dostępne.Zapisz typ nazwy grupy w polu GroupNameType . Jeśli są dostępne inne identyfikatory, zalecamy znormalizowanie nazw pól w polach GroupUpn, GorupNameWindows i GroupDn. Przykład: Contoso\Finance |
| GroupNameType | Opcjonalnie | Enumerated | Określa typ nazwy grupy przechowywanej w polu Nazwa_grupy . Obsługiwane wartości obejmują UPN, , DNWindowsi Simple.Przykład: Windows |
| Typ grupy | Opcjonalnie | Enumerated | Typ grupy dla działań obejmujących grupę. Obsługiwane wartości to: - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- OtherUwaga: Wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Zapisz oryginalną wartość w polu GroupOriginalType . |
| GroupOriginalType | Opcjonalnie | String | Oryginalny typ grupy, jeśli jest podany przez źródło. |
Pola źródłowe
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Src | Zalecane | String | Unikatowy identyfikator urządzenia źródłowego. To pole może aliasuć pola SrcDvcId, SrcHostname lub SrcIpAddr . Przykład: 192.168.12.1 |
| SrcIpAddr | Zalecane | Adres IP | Adres IP urządzenia źródłowego. Ta wartość jest obowiązkowa, jeśli określono nazwę SrcHostname . Przykład: 77.138.103.108 |
| IpAddr | Alias | Alias do SrcIpAddr. | |
| SrcHostname | Zalecane | String | Nazwa hosta urządzenia źródłowego z wyłączeniem informacji o domenie. Przykład: DESKTOP-1282V4D |
| SrcDomain | Zalecane | String | Domena urządzenia źródłowego. Przykład: Contoso |
| SrcDomainType | Zalecane | Enumerated | Typ SrcDomain, jeśli jest znany. Możliwe wartości to: - Windows (na przykład contoso)- FQDN (na przykład microsoft.com)Wymagane, jeśli jest używany SrcDomain . |
| SrcFQDN | Opcjonalnie | String | Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, gdy są dostępne. Uwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa_hosta systemu Windows. Pole SrcDomainType odzwierciedla używany format. Przykład: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Opcjonalnie | String | Identyfikator urządzenia źródłowego zgłoszony w rekordzie. Przykład: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcjonalnie | String | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. SrcDvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| SrcDvcScope | Opcjonalnie | String | Zakres platformy w chmurze, do którego należy urządzenie. SrcDvcScope mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| SrcDvcIdType | Opcjonalnie | Enumerated | Typ SrcDvcId, jeśli jest znany. Możliwe wartości to: - AzureResourceId- MDEidJeśli dostępnych jest wiele identyfikatorów, użyj pierwszego z poprzedniej listy i zapisz pozostałe identyfikatory odpowiednio w SrcDvcAzureResourceId i SrcDvcMDEid. Uwaga: to pole jest wymagane, jeśli jest używany identyfikator SrcDvcId . |
| SrcDeviceType | Opcjonalnie | Enumerated | Typ urządzenia źródłowego. Możliwe wartości to: - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | Opcjonalnie | Kraj | Kraj/region skojarzony ze źródłowym adresem IP. Przykład: USA |
| SrcGeoRegion | Opcjonalnie | Region (Region) | Region skojarzony ze źródłowym adresem IP. Przykład: Vermont |
| SrcGeoCity | Opcjonalnie | City | Miasto skojarzone ze źródłowym adresem IP. Przykład: Burlington |
| SrcGeoLatitude | Opcjonalnie | Szerokość | Szerokość geograficzna współrzędnych geograficznych skojarzonych z źródłowym adresem IP. Przykład: 44.475833 |
| SrcGeoLongitude | Opcjonalnie | Długość | Długość geograficzna współrzędnej geograficznej skojarzonej z źródłowym adresem IP. Przykład: 73.211944 |
Działająca aplikacja
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| ActingAppId | Opcjonalnie | String | Identyfikator aplikacji używanej przez aktora do wykonywania działania, w tym procesu, przeglądarki lub usługi. Na przykład: 0x12ae8. |
| ActingAppName | Opcjonalnie | String | Nazwa aplikacji używanej przez aktora do wykonywania działania, w tym procesu, przeglądarki lub usługi. Na przykład: C:\Windows\System32\svchost.exe. |
| ActingAppType | Opcjonalnie | Enumerated | Typ działającej aplikacji. Obsługiwane wartości to: - Process - Browser - Resource - Other |
| HttpUserAgent | Opcjonalnie | String | W przypadku uwierzytelniania za pośrednictwem protokołu HTTP lub HTTPS wartość tego pola to user_agent nagłówek HTTP udostępniany przez działającą aplikację podczas przeprowadzania uwierzytelniania. Na przykład: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1. |
Dodatkowe pola i aliasy
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| Nazwa hosta | Alias | Alias na DvcHostname. |
Następne kroki
Aby uzyskać więcej informacji, zobacz:
- Obejrzyj seminarium internetowe ASIM lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Zawartość usługi Advanced Security Information Model (ASIM)