Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Benutzer sind zentral für Aktivitäten, die von Ereignissen gemeldet werden. Die in diesem Abschnitt aufgeführten Benutzerentitätsfelder werden verwendet, um die an der Aktion beteiligten Benutzer zu beschreiben. Wenn sie in einem Ereignis verwendet werden, werden Präfixe verwendet, um die Rolle einer Benutzerentität in der Aktivität anzuzeigen. Die Präfixe Src und Dst werden verwendet, um die Benutzerrolle in netzwerkbezogenen Ereignissen festzulegen, in denen ein Quellsystem und ein Zielsystem kommunizieren. Die Präfixe „Actor“ und „Target“ werden für systemorientierte Ereignisse wie Prozessereignisse verwendet.
Die Benutzer-ID und der Bereich
| Feld | Class | Typ | Description |
|---|---|---|---|
| UserId | Wahlfrei | String | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Benutzers. |
| UserScope | Wahlfrei | Schnur | Der Bereich, in dem UserId und Username definiert sind. Zum Beispiel einen Microsoft Entra-Mandanten-Domänennamen. Das Feld UserIdType repräsentiert auch den Typ der mit diesem Feld verknüpften Benutzer-ID. |
| UserScopeId | Wahlfrei | Schnur | Die ID des Bereichs, in dem UserId und Username definiert sind. Zum Beispiel eine Microsoft Entra-Mandantenverzeichnis-ID. Das Feld UserIdType repräsentiert auch den Typ der mit diesem Feld verknüpften Benutzer-ID. |
| UserIdType | Wahlfrei | UserIdType | Der Typ der ID, die im Feld UserId gespeichert ist. |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | Wahlfrei | String | Felder, die zum Speichern bestimmter Benutzer-IDs verwendet werden. Wählen Sie die ID aus, die dem Ereignis am häufigsten zugeordnet ist, als primäre ID, die in UserId gespeichert ist. Füllen Sie das relevante spezifische ID-Feld zusätzlich zu UserId auf, auch wenn das Ereignis nur eine ID aufweist. |
| UserAADTenant, UserAWSAccount | Wahlfrei | String | Felder, die zum Speichern bestimmter Bereiche verwendet werden. Verwenden Sie das Feld UserScope für den Bereich, der mit der im Feld UserId gespeicherten ID verknüpft ist. Füllen Sie das relevante spezifische Bereichsfeld zusätzlich zu UserScope auf, auch wenn das Ereignis nur eine ID aufweist. |
Die zulässigen Werte für einen Benutzer-ID-Typ sind:
| Typ | Description | Example |
|---|---|---|
| SID | Eine Windows-Benutzer-ID. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | Eine Linux-Benutzer-ID. | 4578 |
| AADID | Eine Microsoft Entra-Benutzer-ID. | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| OktaId | Eine Okta Benutzer-ID. | 00urjk4znu3BcncfY0h7 |
| AWSId | Eine AWS-Benutzer-ID. | 72643944673 |
| PUID | Eine Microsoft 365-Benutzer-ID. | 10032001582F435C |
| SalesforceId | Eine Salesforce-Benutzer-ID. | 00530000009M943 |
Benutzername
| Feld | Class | Typ | Description |
|---|---|---|---|
| Nutzername | Wahlfrei | String | Der Quellbenutzername einschließlich Informationen zur Domäne, falls verfügbar. Verwenden Sie dieses einfache Format nur, wenn keine Domäneninformationen verfügbar sind. Speichern Sie den Benutzernamentyp im Feld UsernameType. |
| UsernameType | Wahlfrei | UsernameType | Gibt den Typ des Benutzernamens an, der im Feld Username gespeichert ist. |
| BenutzerUPN,WindowsUsername, DNUsername, SimpleUsername | Wahlfrei | String | Felder, die zum Speichern zusätzlicher Benutzernamen verwendet werden, wenn das ursprüngliche Ereignis mehrere Benutzernamen enthält. Wählen Sie den Benutzernamen, der dem Ereignis am häufigsten zugeordnet ist, als primären Benutzernamen aus, der unter Benutzername gespeichert ist. |
Die zulässigen Werte für einen Benutzernamentyp sind:
| Typ | Description | Example |
|---|---|---|
| UPN | Ein UPN- oder E-Mail-Benutzername-Designator. | johndow@contoso.com |
| Windows | Ein Windows Benutzername einschließlich einer Domäne. | Contoso\johndow |
| DN | Ein Designator für einen eindeutigen LDAP-Namen. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| Einfach | Ein einfacher Benutzername ohne Domänen-Designator. | johndow |
| AWSId | Eine AWS-Benutzer-ID. | 72643944673 |
Zusätzliche Benutzerfelder
| Feld | Class | Typ | Description |
|---|---|---|---|
| UserType | Wahlfrei | Benutzertyp | Der Typ des Quellbenutzers. Unterstützte Werte sind: - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld OriginalUserType. |
| OriginalUserType | Wahlfrei | String | Der ursprüngliche Zielbenutzertyp, sofern vom meldenden Gerät bereitgestellt. |