Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Schéma normalizace správy uživatelů služby Microsoft Sentinel slouží k popisu aktivit správy uživatelů, jako je vytvoření uživatele nebo skupina, změna atributu uživatele nebo přidání uživatele do skupiny. Tyto události jsou hlášeny například operačními systémy, adresářovými službami, systémy pro správu identit a jakýmkoli jiným systémem, který hlásí svou místní aktivitu správy uživatelů.
Další informace o normalizaci v Microsoft Sentinelu naleznete v tématu Normalizace a Advanced Security Information Model (ASIM).
Přehled schématu
Schéma správy uživatelů ASIM popisuje aktivity správy uživatelů. Aktivity obvykle zahrnují následující entity:
- Actor – uživatel provádějící aktivitu správy.
- Herecký proces – proces, který aktér používá k provádění aktivity správy.
- Src – když se aktivita provádí přes síť, zdrojové zařízení, ze kterého byla aktivita inicializována.
- Cílový uživatel – uživatel, který má účet, je spravovaný.
- Seskupte cílového uživatele, kterého chcete přidat nebo odebrat, nebo upravit.
Některé aktivity, například UserCreated, GroupCreated, UserModified a GroupModified*, nastavují nebo aktualizují vlastnosti uživatele. Sada nebo aktualizace vlastnosti je zdokumentovaná v následujících polích:
- EventSubType – název hodnoty, která byla nastavena nebo aktualizována. UpdatedPropertyName je alias pro EventSubType , když EventSubType odkazuje na jeden z relevantních typů událostí.
- PreviousPropertyValue - předchozí hodnota vlastnosti.
- NewPropertyValue – aktualizovaná hodnota vlastnosti.
Analyzátory
Další informace o analyzátorech ASIM najdete v přehledu analyzátorů ASIM.
Filtrování parametrů analyzátoru
Analyzátory správy uživatelů podporují parametry filtrování. I když jsou tyto parametry volitelné, můžou zlepšit výkon dotazů.
K dispozici jsou následující parametry filtrování:
| Název | Typ | Popis |
|---|---|---|
| čas zahájení | datetime | Filtrovat pouze události správy uživatelů, ke kterým došlo v tuto chvíli nebo později. Tento parametr filtruje pole TimeGenerated , což je standardní designátor pro čas události, bez ohledu na mapování specifického analyzátoru polí EventStartTime a EventEndTime. |
| endtime | datetime | Vyfiltrujte pouze události správy uživatelů, ke kterým došlo v tuto chvíli nebo dříve. Tento parametr filtruje pole TimeGenerated , což je standardní designátor pro čas události, bez ohledu na mapování specifického analyzátoru polí EventStartTime a EventEndTime. |
| srcipaddr_has_any_prefix | dynamic | Vyfiltrujte pouze události správy uživatelů, u kterých se předpona zdrojové IP adresy shoduje s některou z uvedených hodnot. Předpony by měly končit například : .10.0.. |
| targetusername_has_any | dynamic | Vyfiltrujte pouze události správy uživatelů, u kterých má cílové uživatelské jméno některou z uvedených hodnot. |
| actorusername_has_any | dynamic | Vyfiltrujte pouze události správy uživatelů, u kterých uživatelské jméno objektu actor obsahuje některou z uvedených hodnot. |
| eventtype_in | dynamic | Filtrování pouze událostí správy uživatelů, ve kterých je typ události jednou z uvedených hodnot, například UserCreated, UserDeleted, , PasswordChangedUserModifiednebo GroupCreated. |
Pokud chcete například filtrovat pouze události vytváření uživatelů z posledního dne, použijte:
_Im_UserManagement (eventtype_in=dynamic(['UserCreated']), starttime = ago(1d), endtime=now())
Podrobnosti schématu
Běžná pole ASIM
Důležité
Pole společná pro všechna schémata jsou podrobně popsaná v článku o společných polích ASIM.
Běžná pole s konkrétními pokyny
Následující seznam uvádí pole, která mají specifické pokyny pro události aktivity procesů:
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Typ události | Povinné | Enumerated | Popisuje operaci hlášenou záznamem. U aktivity Správa uživatelů jsou podporované hodnoty: - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| EventSubType | Volitelné | Enumerated | Podporují se následující podtypy: - UserRead: Heslo, hodnota hash- UserCreated, GroupCreated, UserModified. GroupModified Další informace naleznete v tématu UpdatedPropertyName |
| EventResult | Povinné | Enumerated | I když je to možné, většina systémů hlásí pouze úspěšné události správy uživatelů. Očekávaná hodnota úspěšných událostí je Success. |
| EventResultDetails | Doporučené | Enumerated | Platné hodnoty jsou NotAuthorized a Other. |
| EventSeverity | Povinné | Enumerated | I když je povolena jakákoli platná hodnota závažnosti, závažnost událostí správy uživatelů je obvykle Informational. |
| EventSchema | Povinné | Enumerated | Název schématu popsaného zde je UserManagement. |
| EventSchemaVersion | Povinné | SchemaVersion (řetězec) | Verze schématu. Verze zde popsaného schématu je 0.1.2. |
| Pole Dvc | V případě událostí správy uživatelů pole zařízení odkazují na systém, který událost hlásí. Obvykle se jedná o systém, na kterém je uživatel spravovaný. |
Všechna společná pole
Pole, která se zobrazují v následující tabulce, jsou společná pro všechna schémata ASIM. Všechny výše uvedené pokyny přepíší obecné pokyny pro dané pole. Pole může být například volitelné obecně, ale povinné pro konkrétní schéma. Další podrobnosti o jednotlivých polích najdete v článku o společných polích ASIM.
| Třída | Pole |
|---|---|
| Povinné |
-
EventCount - Čas začátku události - EventEndTime - Typ události - Výsledek události - EventProduct - EventVendor - EventSchema - EventSchemaVersion - DVC |
| Doporučené |
-
VýsledekUdálostPodrobnosti - Závažnost události - Id události - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Volitelné |
-
UdálostZpráva - EventSubType - UdálostOriginalUid - UdálostOriginální typ - UdálostOriginální Subtyp - UdálostPůvodníVýsledekDetaily - UdálostOriginalSeverity - EventProductVersion - EventReportUrl - Vlastník události - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Další pole - Popis dvcDescription - DvcScopeId - DvcScope |
Aktualizovaná pole vlastností
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| AktualizovanéJménoNemovitosti | Alias | Alias pro EventSubType , pokud je UserCreatedtyp události , GroupCreated, UserModifiednebo GroupModified.Podporované hodnoty jsou: - MultipleProperties: Používá se při aktualizaci více vlastností aktivity.- Previous<PropertyName>, kde <PropertyName> je jednou z podporovaných hodnot pro UpdatedPropertyName. - New<PropertyName>, kde <PropertyName> je jednou z podporovaných hodnot pro UpdatedPropertyName. |
|
| Hodnota předchozího majetku | Volitelné | String | Předchozí hodnota uložená v zadané vlastnosti. |
| NewPropertyValue | Volitelné | String | Nová hodnota uložená v zadané vlastnosti. |
Cílová uživatelská pole
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| TargetUserId | Volitelné | String | Strojově čitelná alfanumerická, jedinečná reprezentace cílového uživatele. Mezi podporované formáty a typy patří: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Do pole TargetUserIdType uložte typ ID. Pokud jsou k dispozici další ID, doporučujeme normalizovat názvy polí na TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId a TargetUserAwsId. Další informace naleznete v tématu Entita Uživatel. Příklad: S-1-12 |
| TargetUserIdType | Podmíněný | Enumerated | Typ ID uloženého v poli TargetUserId . Podporované hodnoty jsou SID, , UIDAADID, OktaIda AWSId. |
| TargetUsername | Volitelné | Uživatelské jméno (String) | Cílové uživatelské jméno, včetně informací o doméně, pokud jsou k dispozici. Použijte jeden z následujících formátů a v následujícím pořadí priorit: - Hlavní název/e-mail: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Jednoduché: johndow. Jednoduchý formulář použijte jenom v případě, že nejsou k dispozici informace o doméně.Do pole TargetUsernameType uložte typ uživatelského jména. Pokud jsou k dispozici další ID, doporučujeme normalizovat názvy polí na TargetUserUpn, TargetUserWindows a TargetUserDn. Další informace naleznete v tématu Entita Uživatel. Příklad: AlbertE |
| TargetUsernameType | Podmíněný | Enumerated | Určuje typ uživatelského jména uloženého v poli TargetUsername . Mezi podporované hodnoty patří UPN, Windows, DNa Simple. Další informace naleznete v tématu Entita Uživatel.Příklad: Windows |
| TargetUserType | Volitelné | Enumerated | Typ cílového uživatele. Mezi podporované hodnoty patří: - Regular- Machine- Admin- System- Application- Service Principal- OtherPoznámka: Hodnota může být ve zdrojovém záznamu poskytována pomocí různých termínů, které by se měly normalizovat na tyto hodnoty. Uložte původní hodnotu do pole TargetOriginalUserType . |
| CílPůvodníUživatelský typ | Volitelné | String | Původní typ cílového uživatele, pokud zdroj poskytuje. |
| TargetUserScope | Volitelné | String | Obor, například tenant Microsoft Entra, ve kterém jsou definovány TargetUserId a TargetUsername . nebo další informace a seznam povolených hodnot, viz UserScope v článku Přehled schématu. |
| TargetUserScopeId | Volitelné | String | ID oboru, například ID adresáře Microsoft Entra, ve kterém jsou definovány TargetUserId a TargetUsername . Další informace a seznam povolených hodnot naleznete v tématu UserScopeId v článku Přehled schématu. |
| TargetUserSessionId | Volitelné | String | Jedinečné ID přihlašovací relace cílového uživatele. Příklad: 999 Poznámka: Typ je definován jako řetězec pro podporu různých systémů, ale v systému Windows musí být tato hodnota číselná. Pokud používáte počítač s Windows nebo Linuxem a používáte jiný typ, nezapomeňte hodnoty převést. Pokud jste například použili šestnáctkovou hodnotu, převeďte ji na desetinnou hodnotu. |
Pole objektu actor
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| ActorUserId | Volitelné | String | Strojově čitelná alfanumerická, jedinečná reprezentace objektu Actor. Mezi podporované formáty a typy patří: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Do pole ActorUserIdType uložte typ ID. Pokud jsou k dispozici další ID, doporučujeme normalizovat názvy polí na ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId a ActorAwsId. Další informace naleznete v tématu Entita Uživatel. Příklad: S-1-12 |
| ActorUserIdType | Podmíněný | Enumerated | Typ ID uloženého v poli ActorUserId . Mezi podporované hodnoty patří SID, UID, AADID, OktaIda AWSId. |
| ActorUsername | Povinné | Uživatelské jméno (String) | Uživatelské jméno objektu Actor, včetně informací o doméně, pokud jsou k dispozici. Použijte jeden z následujících formátů a v následujícím pořadí priorit: - Hlavní název/e-mail: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Jednoduché: johndow. Jednoduchý formulář použijte jenom v případě, že nejsou k dispozici informace o doméně.Uložte typ uživatelského jména do pole ActorUsernameType . Pokud jsou k dispozici další ID, doporučujeme normalizovat názvy polí na ActorUserUpn, ActorUserWindows a ActorUserDn. Další informace naleznete v tématu Entita Uživatel. Příklad: AlbertE |
| Uživatel | Alias | Alias pro ActorUsername. | |
| AktérUživatelské jméno | Podmíněný | Enumerated | Určuje typ uživatelského jména uloženého v poli ActorUsername . Podporované hodnoty jsou UPN, Windows, DNa Simple. Další informace naleznete v tématu Entita Uživatel.Příklad: Windows |
| ActorUserType | Volitelné | Enumerated | Typ objektu Actor. Povolené hodnoty jsou následující: - Regular- Machine- Admin- System- Application- Service Principal- OtherPoznámka: Hodnota může být ve zdrojovém záznamu poskytována pomocí různých termínů, které by se měly normalizovat na tyto hodnoty. Uložte původní hodnotu do pole ActorOriginalUserType . |
| ActorOriginalUserType | Volitelné | String | Původní typ cílového uživatele, pokud ho poskytuje zařízení pro vytváření sestav. |
| ActorOriginalUserType | Původní typ uživatele objektu actor, pokud zdroj poskytuje. | ||
| ActorSessionId | Volitelné | String | Jedinečné ID relace přihlášení objektu Actor. Příklad: 999Poznámka: Typ je definován jako řetězec pro podporu různých systémů, ale v systému Windows musí být tato hodnota číselná. Pokud používáte počítač s Windows a používáte jiný typ, nezapomeňte hodnoty převést. Pokud jste například použili šestnáctkovou hodnotu, převeďte ji na desetinnou hodnotu. |
| ActorScope | Volitelné | String | Obor, například tenant Microsoft Entra, ve kterém jsou definovány ActorUserId a ActorUsername . nebo další informace a seznam povolených hodnot, viz UserScope v článku Přehled schématu. |
| ActorScopeId | Volitelné | String | ID oboru, například ID adresáře Microsoft Entra, ve kterém jsou definovány ActorUserId a ActorUsername . nebo další informace a seznam povolených hodnot, viz UserScopeId v článku Přehled schématu. |
Seskupovat pole
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Id skupiny | Volitelné | String | Strojově čitelná alfanumerická, jedinečná reprezentace skupiny pro aktivity zahrnující skupinu. Mezi podporované formáty a typy patří: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578Do pole GroupIdType uložte typ ID. Pokud jsou k dispozici jiná ID, doporučujeme názvy polí normalizovat na GroupSid nebo GroupUid. Další informace naleznete v tématu Entita Uživatel. Příklad: S-1-12 |
| GroupIdType | Volitelné | Enumerated | Typ ID uloženého v poli GroupId . Podporované hodnoty jsou SIDa UID. |
| Název skupiny | Volitelné | String | Název skupiny, včetně informací o doméně, pokud jsou k dispozici, pro aktivity zahrnující skupinu. Použijte jeden z následujících formátů a v následujícím pořadí priorit: - Hlavní název/e-mail: grp@contoso.com- Windows: Contoso\grp- DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM- Jednoduché: grp. Jednoduchý formulář použijte jenom v případě, že nejsou k dispozici informace o doméně.Do pole GroupNameType uložte typ názvu skupiny. Pokud jsou k dispozici další ID, doporučujeme názvy polí normalizovat na GroupUpn, GroupNameWindows a GroupDn. Příklad: Contoso\Finance |
| GroupNameType | Volitelné | Enumerated | Určuje typ názvu skupiny uloženého v poli GroupName . Mezi podporované hodnoty patří UPN, Windows, DNa Simple.Příklad: Windows |
| GroupType | Volitelné | Enumerated | Typ skupiny pro aktivity zahrnující skupinu. Mezi podporované hodnoty patří: - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- OtherPoznámka: Hodnota může být ve zdrojovém záznamu poskytována pomocí různých termínů, které by se měly normalizovat na tyto hodnoty. Uložte původní hodnotu do pole GroupOriginalType . |
| SkupinaPůvodníType | Volitelné | String | Původní typ skupiny, pokud zdroj poskytuje. |
Zdrojová pole
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Src | Doporučené | String | Jedinečný identifikátor zdrojového zařízení. Toto pole může aliasovat pole SrcDvcId, SrcHostname nebo SrcIpAddr . Příklad: 192.168.12.1 |
| SrcIpAddr | Doporučené | adresa IP | IP adresa zdrojového zařízení. Tato hodnota je povinná, pokud je zadán název SrcHostname . Příklad: 77.138.103.108 |
| IpAddr | Alias | Alias pro SrcIpAddr | |
| SrcPortNumber | Volitelné | Integer | Port IP, ze kterého připojení pochází. Nemusí být relevantní pro relaci, která obsahuje více připojení. Příklad: 2335 |
| SrcMacAddr | Volitelné | MAC adresa (řetězec) | Adresa MAC síťového rozhraní, ze kterého pochází připojení nebo relace. Příklad: 06:10:9f:eb:8f:14 |
| Popis SrcDescription | Volitelné | String | Popisný text přidružený k zařízení Například: Primary Domain Controller. |
| SrcHostname | Doporučené | String | Název hostitele zdrojového zařízení s výjimkou informací o doméně. Příklad: DESKTOP-1282V4D |
| SrcDomain | Doporučené | Doména (řetězec) | Doména zdrojového zařízení. Příklad: Contoso |
| SrcDomainType | Doporučené | Enumerated | Typ SrcDomain, pokud je znám. Možné hodnoty zahrnují: - Windows (například contoso)- FQDN (například microsoft.com)Vyžaduje se, pokud se používá doména SrcDomain . |
| SrcFQDN | Volitelné | FQDN (struna) | Název hostitele zdrojového zařízení, včetně informací o doméně, pokud je k dispozici. Poznámka: Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát názvu hostitele windows. Pole SrcDomainType odráží použitý formát. Příklad: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Volitelné | String | ID zdrojového zařízení hlášené v záznamu. Příklad: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Volitelné | String | ID oboru cloudové platformy, do které zařízení patří. SrcDvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| SrcDvcScope | Volitelné | String | Rozsah cloudové platformy, do které zařízení patří. SrcDvcScope mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| SrcDvcIdType | Podmíněný | Enumerated | Typ SrcDvcId, pokud je známý. Možné hodnoty zahrnují: - AzureResourceId- MDEidPokud je k dispozici více ID, použijte první id z předchozího seznamu a uložte ostatní v SrcDvcAzureResourceId a SrcDvcMDDEid. Poznámka: Toto pole se vyžaduje, pokud se použije SrcDvcId . |
| SrcDeviceType | Volitelné | Enumerated | Typ zdrojového zařízení. Možné hodnoty zahrnují: - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | Volitelné | Země | Země nebo oblast přidružená ke zdrojové IP adrese. Příklad: USA |
| SrcGeoRegion | Volitelné | Oblast | Oblast přidružená ke zdrojové IP adrese. Příklad: Vermont |
| SrcGeoCity | Volitelné | City | Město přidružené ke zdrojové IP adrese. Příklad: Burlington |
| SrcGeoLatitude | Volitelné | Zeměpisná šířka | Zeměpisná šířka zeměpisné souřadnice přidružené ke zdrojové IP adrese. Příklad: 44.475833 |
| SrcGeoLongitude | Volitelné | Longitude | Zeměpisná délka zeměpisné souřadnice přidružené ke zdrojové IP adrese. Příklad: 73.211944 |
| SrcRiskLevel | Volitelné | Integer | Úroveň rizika přidružená ke zdroji Hodnota by měla být upravena na rozsah 0100, s 0 neškodným a 100 vysokým rizikem.Příklad: 90 |
| SrcOriginalRiskLevel | Volitelné | String | Úroveň rizika přidružená ke zdroji, jak je hlášeno zařízením pro generování sestav. Příklad: Suspicious |
Aplikace pro herectví
Kontrolní pole
Následující pole se používají k reprezentaci inspekce provedené bezpečnostním systémem, jako je systém EDR.
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| PravidloNázev | Volitelné | String | Název nebo ID pravidla přidružené k výsledkům kontroly. |
| Pravidlo | Volitelné | Integer | Počet pravidel přidružených k výsledkům kontroly. |
| Pravidlo | Podmíněný | String | Buď hodnota kRuleName , nebo hodnota RuleNumber. Pokud se použije hodnota RuleNumber , typ by měl být převeden na řetězec. |
| ThreatId | Volitelné | String | ID hrozby nebo malwaru zjištěného v aktivitě souboru. |
| ThreatName | Volitelné | String | Název hrozby nebo malwaru zjištěného v aktivitě souboru. Příklad: EICAR Test File |
| ThreatCategory | Volitelné | String | Kategorie hrozby nebo malwaru zjištěného v aktivitě souboru. Příklad: Trojan |
| ThreatRiskLevel | Volitelné | RizikLevel (celočíselné) | Úroveň rizika spojená s identifikovanou hrozbou. Úroveň by měla být číslo od 0 do 100. Poznámka: Hodnota může být ve zdrojovém záznamu poskytována pomocí jiného měřítka, které by se mělo normalizovat na toto měřítko. Původní hodnota by měla být uložena v ThreatOriginalRiskLevel. |
| HrozbaPůvodníÚroveň rizika | Volitelné | String | Úroveň rizika hlášená hlásícím zařízením. |
| ThreatField | Volitelné | String | Pole, pro které byla zjištěna hrozba. |
| ThreatConfidence | Volitelné | ConfidenceLevel (celé číslo) | Úroveň spolehlivosti zjištěné hrozby normalizovaná na hodnotu mezi 0 a 100. |
| ThreatOriginalConfidence | Volitelné | String | Původní úroveň spolehlivosti zjištěné hrozby, jak je hlášeno zařízením pro hlášení. |
| ThreatIsActive | Volitelné | logický | Hodnota True, pokud je identifikovaná hrozba považována za aktivní hrozbu. |
| ThreatFirstReportedTime | Volitelné | datetime | Poprvé, kdy byly IP adresa nebo doména identifikovány jako hrozba. |
| ThreatLastReportedTime | Volitelné | datetime | Naposledy, kdy byla IP adresa nebo doména identifikována jako hrozba. |
Další pole a aliasy
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Název hostitele | Alias | Alias pro DvcHostname. |
Aktualizace schématu
Změny ve verzi 0.1.2 schématu jsou:
- Přidány kontrolní pole.
- Přidány zdrojová pole
SrcDescription,SrcMacAddr,SrcOriginalRiskLevel,SrcPortNumber,SrcRiskLevel - Přidány cílová pole
TargetUserScope,TargetUserScopeId,TargetUserSessionId - Přidány jsou aktérská pole
ActorOriginalUserType,ActorScope,ActorScopeId - Přidáno pole pro aplikaci herectví
ActingOriginalAppType
Další kroky
Další informace naleznete v tématu: