Schemareferens för Microsoft Sentinel-användarhanteringsnormalisering (förhandsversion)
Normaliseringsschemat för Användarhantering i Microsoft Sentinel används för att beskriva användarhanteringsaktiviteter, till exempel att skapa en användare eller en grupp, ändra användarattribut eller lägga till en användare i en grupp. Sådana händelser rapporteras till exempel av operativsystem, katalogtjänster, identitetshanteringssystem och andra systemrapporter om dess lokala användarhanteringsaktivitet.
Mer information om normalisering i Microsoft Sentinel finns i Normalisering och ASIM (Advanced Security Information Model).
Viktigt!
Normaliseringsschemat för användarhantering är för närvarande i förhandsversion. Den här funktionen tillhandahålls utan ett serviceavtal. Vi rekommenderar det inte för produktionsarbetsbelastningar.
Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Schemaöversikt
ASIM-användarhanteringsschemat beskriver användarhanteringsaktiviteter. Aktiviteterna omfattar vanligtvis följande entiteter:
- Aktör – användaren som utför hanteringsaktiviteten.
- Agerar process – den process som aktören använder för att utföra hanteringsaktiviteten.
- Src – när aktiviteten utförs över nätverket, källenheten som aktiviteten initierades från.
- Målanvändare – den användare som är kontohanterad.
- Gruppera målanvändaren läggs till eller tas bort från eller ändras.
Vissa aktiviteter, till exempel UserCreated, GroupCreated, UserModified och GroupModified*, anger eller uppdaterar användaregenskaper. Egenskapsuppsättningen eller den uppdaterade är dokumenterad i följande fält:
- EventSubType – namnet på det värde som har angetts eller uppdaterats. UpdatedPropertyName är ett alias för EventSubType när EventSubType refererar till någon av de relevanta händelsetyperna.
- PreviousPropertyValue – det tidigare värdet för egenskapen.
- NewPropertyValue – det uppdaterade värdet för egenskapen.
Schemainformation
Vanliga ASIM-fält
Viktigt!
Fält som är gemensamma för alla scheman beskrivs i detalj i artikeln vanliga ASIM-fält .
Vanliga fält med specifika riktlinjer
I följande lista nämns fält som har specifika riktlinjer för processaktivitetshändelser:
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| EventType | Obligatorisk | Enumerated | Beskriver den åtgärd som rapporterats av posten. För användarhanteringsaktivitet är följande värden som stöds: - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| EventSubType | Valfritt | Enumerated | Följande undertyper stöds: - UserRead: Lösenord, hash- UserCreated, GroupCreated, UserModified, . GroupModified Mer information finns i UpdatedPropertyName |
| EventResult | Obligatorisk | Enumerated | Även om fel är möjligt rapporterar de flesta system endast lyckade användarhanteringshändelser. Det förväntade värdet för lyckade händelser är Success. |
| EventResultDetails | Rekommenderat | Enumerated | Giltiga värden är NotAuthorized och Other. |
| EventSeverity | Obligatorisk | Enumerated | Även om ett giltigt allvarlighetsvärde tillåts är allvarlighetsgraden för användarhanteringshändelser vanligtvis Informational. |
| EventSchema | Obligatorisk | String | Namnet på schemat som dokumenteras här är UserManagement. |
| EventSchemaVersion | Obligatorisk | String | Versionen av schemat. Den version av schemat som dokumenteras här är 0.1.1. |
| Dvc-fält | För användarhanteringshändelser refererar enhetsfält till systemet som rapporterar händelsen. Detta är vanligtvis det system där användaren hanteras. |
Alla vanliga fält
Fält som visas i tabellen nedan är gemensamma för alla ASIM-scheman. Alla riktlinjer som anges ovan åsidosätter de allmänna riktlinjerna för fältet. Ett fält kan till exempel vara valfritt i allmänhet, men obligatoriskt för ett specifikt schema. Mer information om varje fält finns i artikeln vanliga ASIM-fält .
| Klass | Fält |
|---|---|
| Obligatorisk | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Rekommenderat | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valfritt | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Uppdaterade egenskapsfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| UpdatedPropertyName | Alias | Alias till EventSubType när händelsetypen är UserCreated, GroupCreated, UserModifiedeller GroupModified.Värden som stöds är: - MultipleProperties: Används när aktiviteten uppdaterar flera egenskaper- Previous<PropertyName>, där <PropertyName> är ett av de värden som stöds för UpdatedPropertyName. - New<PropertyName>, där <PropertyName> är ett av de värden som stöds för UpdatedPropertyName. |
|
| PreviousPropertyValue | Valfritt | String | Det tidigare värdet som lagrades i den angivna egenskapen. |
| NewPropertyValue | Valfritt | String | Det nya värdet som lagras i den angivna egenskapen. |
Målanvändarfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| TargetUserId | Valfritt | String | En maskinläsbar, alfanumerisk, unik representation av målanvändaren. Format och typer som stöds är: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Lagra ID-typen i fältet TargetUserIdType . Om andra ID:er är tillgängliga rekommenderar vi att du normaliserar fältnamnen till TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId respektive TargetUserAwsId. Mer information finns i Användarentiteten. Exempel: S-1-12 |
| TargetUserIdType | Valfritt | Enumerated | Typen av ID som lagras i fältet TargetUserId . Värden som stöds är SID, UID, AADID, OktaIdoch AWSId. |
| TargetUsername | Valfritt | String | Målanvändarnamnet, inklusive domäninformation när det är tillgängligt. Använd något av följande format och i följande prioritetsordning: - Upn/E-post: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Enkel: johndow. Använd endast det enkla formuläret om domäninformation inte är tillgänglig.Lagra användarnamnstypen i fältet TargetUsernameType . Om andra ID:er är tillgängliga rekommenderar vi att du normaliserar fältnamnen till TargetUserUpn, TargetUserWindows och TargetUserDn. Mer information finns i Användarentiteten. Exempel: AlbertE |
| TargetUsernameType | Valfritt | Enumerated | Anger typen av användarnamn som lagras i fältet TargetUsername . Värden som stöds är UPN, Windows, DNoch Simple. Mer information finns i Användarentiteten.Exempel: Windows |
| TargetUserType | Valfritt | Enumerated | Typ av målanvändare. Värden som stöds är: - Regular- Machine- Admin- System- Application- Service Principal- OtherObs! Värdet kan anges i källposten med hjälp av olika termer, som bör normaliseras till dessa värden. Lagra det ursprungliga värdet i fältet TargetOriginalUserType . |
| TargetOriginalUserType | Valfritt | String | Den ursprungliga målanvändartypen, om den tillhandahålls av källan. |
Aktörsfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| ActorUserId | Valfritt | String | En maskinläsbar, alfanumerisk, unik representation av aktören. Format och typer som stöds är: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Lagra ID-typen i fältet ActorUserIdType . Om andra ID:er är tillgängliga rekommenderar vi att du normaliserar fältnamnen till ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId respektive ActorAwsId. Mer information finns i Användarentiteten. Exempel: S-1-12 |
| ActorUserIdType | Valfritt | Enumerated | Typen av ID som lagras i fältet ActorUserId . Värden som stöds är SID, UID, AADID, OktaIdoch AWSId. |
| ActorUsername | Obligatorisk | String | Aktörens användarnamn, inklusive domäninformation när det är tillgängligt. Använd något av följande format och i följande prioritetsordning: - Upn/E-post: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Enkel: johndow. Använd endast det enkla formuläret om domäninformation inte är tillgänglig.Lagra användarnamnstypen i fältet ActorUsernameType . Om andra ID:t är tillgängliga rekommenderar vi att du normaliserar fältnamnen till ActorUserUpn, ActorUserWindows och ActorUserDn. Mer information finns i Användarentiteten. Exempel: AlbertE |
| Användare | Alias | Alias till ActorUsername. | |
| ActorUsernameType | Obligatorisk | Enumerated | Anger typen av användarnamn som lagras i fältet ActorUsername . Värden som stöds är UPN, Windows, DNoch Simple. Mer information finns i Användarentiteten.Exempel: Windows |
| ActorUserType | Valfritt | Enumerated | Typen av aktör. Tillåtna värden är: - Regular- Machine- Admin- System- Application- Service Principal- OtherObs! Värdet kan anges i källposten med hjälp av olika termer, som bör normaliseras till dessa värden. Lagra det ursprungliga värdet i fältet ActorOriginalUserType . |
| ActorOriginalUserType | Den ursprungliga aktörens användartyp, om den tillhandahålls av källan. | ||
| ActorSessionId | Valfritt | String | Det unika ID:t för inloggningssessionen för aktören. Exempel: 999Obs! Typen definieras som sträng för att stödja olika system, men i Windows måste det här värdet vara numeriskt. Om du använder en Windows-dator och använder en annan typ ska du konvertera värdena. Om du till exempel använde ett hexadecimalt värde konverterar du det till ett decimalvärde. |
Gruppfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| GroupId | Valfritt | String | En maskinläsbar, alfanumerisk, unik representation av gruppen för aktiviteter som involverar en grupp. Format och typer som stöds är: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578Lagra ID-typen i fältet GroupIdType . Om andra ID:t är tillgängliga rekommenderar vi att du normaliserar fältnamnen till GroupSid respektive GroupUid. Mer information finns i Användarentiteten. Exempel: S-1-12 |
| GroupIdType | Valfritt | Enumerated | Typen av ID som lagras i fältet GroupId . Värden som stöds är SID, och UID. |
| GroupName | Valfritt | String | Gruppnamnet, inklusive domäninformation när det är tillgängligt, för aktiviteter som involverar en grupp. Använd något av följande format och i följande prioritetsordning: - Upn/E-post: grp@contoso.com- Windows: Contoso\grp- DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM- Enkel: grp. Använd endast det enkla formuläret om domäninformation inte är tillgänglig.Lagra gruppnamnstypen i fältet GroupNameType . Om andra ID:t är tillgängliga rekommenderar vi att du normaliserar fältnamnen till GroupUpn, GroupNameWindows och GroupDn. Exempel: Contoso\Finance |
| GroupNameType | Valfritt | Enumerated | Anger typen av gruppnamn som lagras i fältet GroupName . Värden som stöds är UPN, Windows, DNoch Simple.Exempel: Windows |
| GroupType | Valfritt | Enumerated | Typen av grupp, för aktiviteter som involverar en grupp. Värden som stöds är: - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- OtherObs! Värdet kan anges i källposten med hjälp av olika termer, som bör normaliseras till dessa värden. Lagra det ursprungliga värdet i fältet GroupOriginalType . |
| GroupOriginalType | Valfritt | String | Den ursprungliga grupptypen, om den tillhandahålls av källan. |
Källfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Src | Rekommenderat | String | En unik identifierare för källenheten. Det här fältet kan vara alias för fälten SrcDvcId, SrcHostname eller SrcIpAddr. Exempel: 192.168.12.1 |
| SrcIpAddr | Rekommenderat | IP-adress | Källenhetens IP-adress. Det här värdet är obligatoriskt om SrcHostname har angetts. Exempel: 77.138.103.108 |
| IpAddr | Alias | Alias till SrcIpAddr. | |
| SrcHostname | Rekommenderat | String | Källenhetens värdnamn, exklusive domäninformation. Exempel: DESKTOP-1282V4D |
| SrcDomain | Rekommenderat | String | Källenhetens domän. Exempel: Contoso |
| SrcDomainType | Rekommenderat | Enumerated | Typen av SrcDomain, om det är känt. Möjliga värden omfattar: - Windows (till exempel contoso)- FQDN (till exempel microsoft.com)Krävs om SrcDomain används. |
| SrcFQDN | Valfritt | String | Värdnamnet för källenheten, inklusive domäninformation när det är tillgängligt. Obs! Det här fältet stöder både traditionellt FQDN-format och Windows-domän\värdnamnsformat. Fältet SrcDomainType återspeglar det format som används. Exempel: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Valfritt | String | ID:t för källenheten enligt rapporten i posten. Exempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Valfritt | String | Molnplattformens omfångs-ID som enheten tillhör. SrcDvcScopeId mappas till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| SrcDvcScope | Valfritt | String | Molnplattformsomfånget som enheten tillhör. SrcDvcScope mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| SrcDvcIdType | Valfritt | Enumerated | Typ av SrcDvcId, om det är känt. Möjliga värden omfattar: - AzureResourceId- MDEidOm flera ID:er är tillgängliga använder du det första från föregående lista och lagrar de andra i SrcDvcAzureResourceId respektive SrcDvcMDEid. Obs! Det här fältet krävs om SrcDvcId används. |
| SrcDeviceType | Valfritt | Enumerated | Typ av källenhet. Möjliga värden omfattar: - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | Valfritt | Land | Det land/den region som är associerad med källans IP-adress. Exempel: USA |
| SrcGeoRegion | Valfritt | Region | Den region som är associerad med källans IP-adress. Exempel: Vermont |
| SrcGeoCity | Valfritt | City | Den ort som är associerad med källans IP-adress. Exempel: Burlington |
| SrcGeoLatitude | Valfritt | Latitud | Latitud för den geografiska koordinat som är associerad med källans IP-adress. Exempel: 44.475833 |
| SrcGeoLongitude | Valfritt | Longitud | Longitud för den geografiska koordinat som är associerad med källans IP-adress. Exempel: 73.211944 |
Agerar program
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| ActingAppId | Valfritt | String | ID för programmet som används av aktören för att utföra aktiviteten, inklusive en process, webbläsare eller tjänst. Till exempel: 0x12ae8 |
| ActingAppName | Valfritt | String | Namnet på programmet som används av aktören för att utföra aktiviteten, inklusive en process, webbläsare eller tjänst. Till exempel: C:\Windows\System32\svchost.exe |
| ActingAppType | Valfritt | Enumerated | Typ av verkande program. Värden som stöds är: - Process - Browser - Resource - Other |
| HttpUserAgent | Valfritt | String | När autentiseringen utförs via HTTP eller HTTPS är det här fältets värde det user_agent HTTP-huvud som tillhandahålls av det tillförordnade programmet när autentiseringen utförs. Till exempel: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Ytterligare fält och alias
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Värdnamn | Alias | Alias till DvcHostname. |
Nästa steg
Mer information finns i: