Справочник по схеме нормализации управления пользователями Microsoft Sentinel (предварительная версия)
Схема нормализации управления пользователями Microsoft Sentinel используется для описания действий управления пользователями, таких как создание пользователя или группы, изменение атрибута пользователя или добавление пользователя в группу. О таких событиях сообщают, например, операционные системы, службы каталогов, системы управления идентификацией и любая другая система, информирующая о своей локальной деятельности по управлению пользователями.
Дополнительные сведения о нормализации в Microsoft Sentinel см. в статье Нормализация и расширенная информационная модель безопасности (ASIM).
Внимание
Сейчас схема нормализации управления пользователями предоставляется в предварительной версии. Эта функция предоставляется без соглашения об уровне обслуживания. Мы не рекомендуем использовать ее при нагрузках, обычных для рабочих средах.
Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Общее представление схемы
Схема управления пользователями ASIM описывает действия по управлению пользователями. Действия обычно включают следующие сущности:
- Actor — пользователь, выполняющий действие управления.
- Acting Process — процесс, используемый субъектом для выполнения действия управления.
- Src — когда действие выполняется по сети, исходное устройство, с которого было инициировано действие.
- Target User — пользователь, учетная запись которого находится под управлением.
- Group — группа, в которую целевой пользователь добавляется, из которой удаляется или в которой изменяется.
Некоторые действия, такие как UserCreated, GroupCreated, UserModified и GroupModified*, задают или обновляют свойства пользователей. Заданное или обновленное свойство описывается в следующих полях:
- EventSubType — имя значения, которое было установлено или обновлено. UpdatedPropertyName — псевдоним EventSubType, когда EventSubType ссылается на один из соответствующих типов событий.
- PreviousPropertyValue — предыдущее значение свойства.
- NewPropertyValue — обновленное значение свойства.
Сведения о схеме
Общие поля ASIM
Внимание
Поля, общие для всех схем, подробно описаны в статье Общие поля ASIM.
Общие поля с конкретными рекомендациями
В следующем списке упоминаются поля, имеющие определенные рекомендации по обработке событий действий.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| EventType | Обязательно | Enumerated | Описывает операцию, о которой сообщает эта запись. Для действий управления пользователями поддерживаются следующие значения. - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| EventSubType | Необязательно | Enumerated | Поддерживаются такие подтипы: - UserRead: Password, Hash- UserCreated, , GroupCreatedUserModifiedGroupModified. Дополнительные сведения см. в разделе UpdatedPropertyName. |
| EventResult | Обязательно | Enumerated | Хотя сбой возможен, большинство систем сообщают только об успешных событиях управления пользователями. Ожидаемое значение для успешных событий — Success. |
| EventResultDetails | Рекомендуемая конфигурация | Enumerated | Возможные значения: NotAuthorized и Other. |
| EventSeverity | Обязательно | Enumerated | Хотя разрешено любое допустимое значение серьезности, серьезность событий управления пользователями обычно равна Informational. |
| EventSchema | Обязательно | Строка | Имя описанной здесь схемы — UserManagement. |
| EventSchemaVersion | Обязательно | Строка | Номер версии схемы. Версия описанной здесь схемы — 0.1.1. |
| Поля Dvc | Для событий управления пользователями поля устройства относятся к системе, информирующей о событии. Обычно это система, в которой осуществляется управление пользователем. |
Все общие поля
Поля, представленные в таблице ниже, являются общими для всех схем ASIM. Все указанные выше рекомендации переопределяют общие рекомендации для поля. Например, поле может быть необязательным в целом, но обязательным для конкретной схемы. Дополнительные сведения о каждом поле см. в статье Общие поля ASIM.
| Class | Поля |
|---|---|
| Обязательно | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Рекомендуемая конфигурация | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Необязательно | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Обновленные поля свойств
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| UpdatedPropertyName | Псевдоним | Псевдоним для EventSubType, если для Event Type задано значение UserCreated, GroupCreated, UserModified или GroupModified.Поддерживаются значения: - MultipleProperties: используется, когда действие обновляет несколько свойств.- Previous<PropertyName>, где <PropertyName> — одно из поддерживаемых значений для UpdatedPropertyName. - New<PropertyName>, где <PropertyName> — одно из поддерживаемых значений для UpdatedPropertyName. |
|
| PreviousPropertyValue | Необязательно | Строка | Предыдущее значение, хранимое в указанном свойстве. |
| NewPropertyValue | Необязательно | Строка | Новое значение, хранимое в указанном свойстве. |
Поля целевого пользователя
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| TargetUserId | Необязательно | Строка | Считываемое компьютером буквенно-цифровое значение, уникальным образом представляющее целевого пользователя. Поддерживаемые форматы и типы: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Идентификатор Microsoft Entra): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Храните тип идентификатора в поле TargetUserIdType. Если доступны другие идентификаторы, мы рекомендуем нормализовать названия полей до TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId и TargetUserAwsId соответственно. Подробнее см. в статье Сущность пользователя. Пример: S-1-12 |
| TargetUserIdType | Необязательно | Enumerated | Тип идентификатора, хранимый в поле TargetUserId. Поддерживаются следующие значения: SID, UID, AADID, OktaId и AWSId. |
| TargetUsername | Необязательно | Строка | Имя целевого пользователя, включая сведения о домене, если они доступны. Используйте один из следующих форматов и расположите их в следующем порядке приоритета: - Имя участника-пользователя или адрес электронной почты: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Простая: johndow. Используйте простую форму, только если сведения о домене недоступны.Храните тип имени пользователя в поле TargetUsernameType. Если доступны другие идентификаторы, рекомендуется нормализовать имена полей в TargetUserUpn, TargetUserWindows и TargetUserDn. Подробнее см. в статье Сущность пользователя. Пример: AlbertE |
| TargetUsernameType | Необязательно | Enumerated | Указывает тип имени пользователя, хранимого в поле TargetUsername. Поддерживаются следующие значения: UPN, Windows, DN и Simple. Подробнее см. в статье Сущность пользователя.Пример: Windows |
| TargetUserType | Необязательно | Enumerated | Тип целевого пользователя. Допустимые значения: - Regular- Machine- Admin- System- Application- Service Principal- OtherПримечание. Значение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы до этих значений. Храните исходное значение в поле TargetOriginalUserType. |
| TargetOriginalUserType | Необязательно | Строка | Начальный тип пользователя назначения, если он указан источником. |
Поля Actor
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| ActorUserId | Необязательно | Строка | Считываемое компьютером буквенно-цифровое значение, уникальным образом представляющее Actor. Поддерживаемые форматы и типы: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Идентификатор Microsoft Entra): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Храните тип идентификатора в поле ActorUserIdType. Если доступны другие идентификаторы, мы рекомендуем нормализовать названия полей до ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId и ActorAwsId соответственно. Подробнее см. в статье Сущность пользователя. Пример: S-1-12 |
| ActorUserIdType | Необязательно | Enumerated | Тип идентификатора, который хранится в поле ActorUserId. Поддерживаются следующие значения: SID, UID, AADID, OktaId и AWSId. |
| ActorUsername | Обязательно | Строка | Имя пользователя субъекта, включая сведения о домене, если они доступны. Используйте один из следующих форматов и расположите их в следующем порядке приоритета: - Имя участника-пользователя или адрес электронной почты: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Простая: johndow. Используйте простую форму, только если сведения о домене недоступны.Храните тип имени пользователя в поле ActorUsernameType. Если доступны другие идентификаторы, рекомендуется нормализовать имена полей до ActorUserUpn, ActorUserWindows и ActorUserDn. Подробнее см. в статье Сущность пользователя. Пример: AlbertE |
| Пользователь | Псевдоним | Псевдоним для ActorUsername. | |
| ActorUsernameType | Обязательно | Enumerated | Определяет тип имени пользователя, хранимое в поле ActorUsername. Поддерживаются следующие значения UPN, Windows, DN и Simple. Подробнее см. в статье Сущность пользователя.Пример: Windows |
| ActorUserType | Необязательно | Enumerated | Тип Actor. Допустимые значения: - Regular- Machine- Admin- System- Application- Service Principal- OtherПримечание. Значение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы до этих значений. Храните исходное значение в поле ActorOriginalUserType. |
| ActorOriginalUserType | Начальный тип пользователя субъекта, если он указан источником. | ||
| ActorSessionId | Необязательно | Строка | Уникальный идентификатор сеанса входа субъекта. Пример: 999Примечание. Тип определяется как строка для поддержки различных систем, но в Windows это значение должно быть числовым. Если вы используете компьютеры с Windows и используете другой тип, обязательно преобразуйте эти значения. Например, если вы использовали шестнадцатеричное значение, преобразуйте его в десятичное. |
Поля группы
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| GroupId | Необязательно | Строка | Машиночитаемое буквенно-цифровое уникальное представление группы для действий с участием группы. Поддерживаемые форматы и типы: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578Храните тип идентификатора в поле GroupIdType. Если доступны другие идентификаторы, рекомендуется нормализовать имена полей до GroupSid и GroupUid соответственно. Подробнее см. в статье Сущность пользователя. Пример: S-1-12 |
| GroupIdType | Необязательно | Enumerated | Тип идентификатора, хранимый в поле GroupId. Поддерживаются следующие значения: SID и UID. |
| GroupName | Необязательно | Строка | Имя группы, включая информацию о домене, если она доступна, для действий с участием группы. Используйте один из следующих форматов и расположите их в следующем порядке приоритета: - Имя участника-пользователя или адрес электронной почты: grp@contoso.com- Windows: Contoso\grp- DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM- Простая: grp. Используйте простую форму, только если сведения о домене недоступны.Храните тип имени группы в поле GroupNameType. Если доступны другие идентификаторы, рекомендуется нормализовать имена полей в GroupUpn, GroupNameWindows и GroupDn. Пример: Contoso\Finance |
| GroupNameType | Необязательно | Enumerated | Указывает тип имени группы, хранимого в поле GroupName. Поддерживаются следующие значения: UPN, Windows, DN и Simple.Пример: Windows |
| GroupType | Необязательно | Enumerated | Тип группы для действий с участием группы. Допустимые значения: - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- OtherПримечание. Значение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы до этих значений. Храните исходное значение в поле GroupOriginalType. |
| GroupOriginalType | Необязательно | Строка | Начальный тип группы, если он указан источником. |
Исходные поля
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Src | Рекомендуемая конфигурация | Строка | Уникальный идентификатор исходного устройства. Это поле может быть псевдонимом для полей SrcDvcId, SrcHostname или SrcIpAddr. Пример: 192.168.12.1 |
| SrcIpAddr | Рекомендуемая конфигурация | IP-адрес | IP-адрес исходного устройства. Это значение обязательно, если указано SrcHostname. Пример: 77.138.103.108 |
| IpAddr | Псевдоним | Псевдоним для SrcIpAddr. | |
| SrcHostname | Рекомендуемая конфигурация | Строка | Имя узла исходного устройства, включая сведения о домене. Пример: DESKTOP-1282V4D |
| SrcDomain | Рекомендуемая конфигурация | Строка | Домен исходного устройства. Пример: Contoso |
| SrcDomainType | Рекомендуемая конфигурация | Enumerated | Тип SrcDomain, если он известен. Возможные значения включают: - Windows (например, contoso)- FQDN (например, microsoft.com)Является обязательным при использовании SrcDomain. |
| SrcFQDN | Необязательно | Строка | Имя узла исходного устройства, включая сведения о домене, если они доступны. Примечание. Это поле поддерживает как традиционные форматы FQDN, так и формат домен\имя_узла Windows. Поле SrcDomainType отражает используемый формат. Пример: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Необязательно | Строка | Идентификатор исходного устройства, как указано в записи. Пример: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Необязательно | Строка | Идентификатор области облачной платформы, к которому принадлежит устройство. SrcDvcScopeId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| SrcDvcScope | Необязательно | Строка | Область облачной платформы, к которой принадлежит устройство. SrcDvcScope сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| SrcDvcIdType | Необязательно | Enumerated | Тип SrcDvcId, если он известен. Возможные значения включают: - AzureResourceId- MDEidЕсли доступно несколько идентификаторов, используйте первый из предыдущего списка и сохраните остальные в полях SrcDvcAzureResourceId и SrcDvcMDEid соответственно. Примечание. Это поле является обязательным, если используется SrcDvcId. |
| SrcDeviceType | Необязательно | Enumerated | Тип исходного устройства. Возможные значения включают: - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | Необязательно | Страна/регион | Страна или регион, связанный с исходным IP-адресом. Пример: USA |
| SrcGeoRegion | Необязательно | Область/регион | Регион, связанный с исходным IP-адресом. Пример: Vermont |
| SrcGeoCity | Необязательно | Город | Город, связанный с исходным IP-адресом. Пример: Burlington |
| SrcGeoLatitude | Необязательно | Широта | Географическая широта, связанная с исходным IP-адресом. Пример: 44.475833 |
| SrcGeoLongitude | Необязательно | Долгота | Географическая долгота, связанная с исходным IP-адресом. Пример: 73.211944 |
Действующее приложение
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| ActingAppId | Необязательно | Строка | Идентификатор приложения, используемого субъектом для выполнения действия, включая процесс, браузер или службу. Например: 0x12ae8 |
| ActingAppName | Необязательно | Строка | Имя приложения, используемого субъектом для выполнения действия, включая процесс, браузер или службу. Например: C:\Windows\System32\svchost.exe |
| ActingAppType | Необязательно | Enumerated | Тип действующего приложения. Поддерживаются следующие значения: - Process - Browser - Resource - Other |
| HttpUserAgent | Необязательно | Строка | Если проверка подлинности выполняется по протоколу HTTP или HTTPS, значение этого поля содержит заголовок HTTP user_agent, предоставленный действующим приложением при выполнении проверки подлинности. Например: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Дополнительные поля и псевдонимы
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Hostname | Псевдоним | Псевдоним для DvcHostname. |
Дальнейшие действия
Дополнительные сведения см. в разделе:
- Посмотрите веб-семинар ASIM или слайды.
- Обзор расширенной информационной модели безопасности (ASIM)
- Схемы расширенной информационной модели безопасности (ASIM)
- Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
- Содержимое расширенной информационной модели безопасности (ASIM)