Referenz zum Microsoft Sentinel-Normalisierungsschema für die Benutzerverwaltung (Vorschau)
Das Normalisierungsschema der Microsoft Sentinel-Benutzerverwaltung wird verwendet, um Aktivitäten zur Benutzerverwaltung zu beschreiben, z. B. das Erstellen eines Benutzers oder einer Gruppe, das Ändern des Benutzerattributs oder das Hinzufügen eines Benutzers zu einer Gruppe. Solche Ereignisse werden z. B. von Betriebssystemen, Verzeichnisdiensten, Identitätsverwaltungssystemen und anderen Systemen gemeldet, die über die lokale Benutzerverwaltungsaktivität berichten.
Weitere Informationen zur Normalisierung in Microsoft Sentinel finden Sie unter Normalisierung und erweitertes Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM).
Wichtig
Das Normalisierungsschema für die Benutzerverwaltung ist derzeit als Vorschau verfügbar. Dieses Feature wird ohne Vereinbarung zum Servicelevel bereitgestellt. Sie sollte nicht für Produktionsworkloads verwendet werden.
In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Schemaübersicht
Das ASIM-Benutzerverwaltungsschema beschreibt Benutzerverwaltungsaktivitäten. Die Aktivitäten umfassen in der Regel die folgenden Entitäten:
- Akteur: Der Benutzer, der die Verwaltungstätigkeit ausführt.
- Agierender Prozess: Der Prozess, der vom Akteur zum Ausführen der Verwaltungsaktivität verwendet wird.
- Quelle: Wenn die Aktivität über das Netzwerk ausgeführt wird, das Quellgerät, von dem die Aktivität initiiert wurde.
- Zielbenutzer: Der Benutzer, dessen Konto verwaltet wird.
- Gruppe: Zu dieser wird der Zielbenutzer hinzugefügt, aus ihr entfernt oder in ihr geändert.
Einige Aktivitäten, wie UserCreated, GroupCreated, UserModified und GroupModified*, legen Benutzereigenschaften fest oder aktualisieren sie. Die festgelegte oder aktualisierte Eigenschaft wird in den folgenden Feldern dokumentiert:
- EventSubType: Der Name des Werts, der festgelegt oder aktualisiert wurde. UpdatedPropertyName ist ein Alias für EventSubType, wenn sich EventSubType auf einen der relevanten Ereignistypen bezieht.
- PreviousPropertyValue: Der vorherige Wert der Eigenschaft.
- NewPropertyValue: Der aktualisierte Wert der Eigenschaft.
Schemadetails
Allgemeine ASIM-Felder
Wichtig
Felder, die allen Schemas gemeinsam sind, werden im Artikel Allgemeine ASIM-Felder ausführlich beschrieben.
Allgemeine Felder mit bestimmten Richtlinien
In der folgenden Liste werden Felder erwähnt, die bestimmte Richtlinien für Prozessaktivitätsereignisse enthalten:
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| EventType | Obligatorisch. | Enumerated | Beschreibt den vom Datensatz gemeldeten Vorgang. Für die Benutzerverwaltungsaktivität werden die folgenden Werte unterstützt: - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| EventSubType | Optional | Enumerated | Folgende Untertypen werden unterstützt: - UserRead: Kennwort, Hash- UserCreated, GroupCreated, UserModified, GroupModified. Weitere Informationen finden Sie unter UpdatedPropertyName. |
| EventResult | Obligatorisch. | Enumerated | Obwohl ein Fehler möglich ist, melden die meisten Systeme nur erfolgreiche Benutzerverwaltungsereignisse. Der erwartete Wert für erfolgreiche Ereignisse ist Success. |
| EventResultDetails | Empfohlen | Enumerated | Die gültigen Werte sind NotAuthorized und Other. |
| EventSeverity | Obligatorisch. | Enumerated | Zwar sind alle gültigen Schweregradwerte zulässig, aber der Schweregrad von Benutzerverwaltungsereignissen ist in der Regel Informational. |
| EventSchema | Obligatorisch. | String | Der Name des hier dokumentierten Schemas lautet UserManagement. |
| EventSchemaVersion | Obligatorisch. | String | Die Version des Schemas. Die Version des hier dokumentierten Schemas lautet 0.1.1. |
| Dvc-Felder | Bei Ereignissen der Benutzerverwaltung beziehen sich die Gerätefelder auf das System, das das Ereignis meldet. Dies ist normalerweise das System, auf dem der Benutzer verwaltet wird. |
Alle allgemeinen Felder
Felder, die in der folgenden Tabelle angezeigt werden, sind für alle ASIM-Schemas gleich. Jede oben angegebene Richtlinie setzt die allgemeinen Richtlinien für das Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel Allgemeine ASIM-Felder.
| Klasse | Fields |
|---|---|
| Obligatorisch. | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Empfohlen | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optional | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Aktualisierte Eigenschaftenfelder
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| UpdatedPropertyName | Alias | Alias für EventSubType, wenn der Ereignistyp UserCreated, GroupCreated, UserModified oder GroupModified ist.Diese Werte werden unterstützt: - MultipleProperties: Wird verwendet, wenn die Aktivität mehrere Eigenschaften aktualisiert.- Previous<PropertyName>, wobei <PropertyName> einer der unterstützten Werte für UpdatedPropertyName ist. - New<PropertyName>, wobei <PropertyName> einer der unterstützten Werte für UpdatedPropertyName ist. |
|
| PreviousPropertyValue | Optional | Zeichenfolge | Der vorherige Wert, der in der angegebenen Eigenschaft gespeichert wurde. |
| NewPropertyValue | Optional | Zeichenfolge | Der neue Wert, der in der angegebenen Eigenschaft gespeichert ist. |
Zielbenutzerfelder
| Feld | Klasse | type | Beschreibung |
|---|---|---|---|
| TargetUserId | Optional | String | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Zielbenutzers. Unterstützte Formate und Typen: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Speichern Sie den ID-Typ im Feld TargetUserIdType. Wenn andere IDs verfügbar sind, sollten Sie die Feldnamen in TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId bzw. TargetUserAwsId normalisieren. Weitere Informationen finden Sie unter Benutzerentität. Beispiel: S-1-12 |
| TargetUserIdType | Optional | Enumerated | Der Typ der ID, die im Feld TargetUserId gespeichert ist. Unterstützte Werte: SID, UID, AADID, OktaId und AWSId. |
| TargetUsername | Optional | String | Der Zielbenutzername ggf. mit Informationen zur Domäne. Verwenden Sie eines der folgenden Formate in der folgenden Reihenfolge nach Priorität: - UPN/E-Mail: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Einfach: johndow. Verwenden Sie dieses einfache Format nur, wenn keine Domäneninformationen verfügbar sind.Speichern Sie den Benutzernamenstyp im Feld TargetUsernameType. Wenn andere IDs verfügbar sind, empfiehlt es sich, die Feldnamen in TargetUserUpn, TargetUserWindows und TargetUserDn zu normalisieren. Weitere Informationen finden Sie unter Benutzerentität. Beispiel: AlbertE |
| TargetUsernameType | Optional | Enumerated | Gibt den Typ des Benutzernamens an, der im Feld TargetUsername gespeichert ist. Unterstützte Werte: UPN, Windows, DN und Simple. Weitere Informationen finden Sie unter Benutzerentität.Beispiel: Windows |
| TargetUserType | Optional | Enumerated | Der Typ des Zielbenutzers. Unterstützte Werte sind: - Regular- Machine- Admin- System- Application- Service Principal- OtherHinweis: Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld TargetOriginalUserType. |
| TargetOriginalUserType | Optional | String | Der ursprüngliche Zielbenutzertyp, sofern von der Quelle bereitgestellt. |
Akteurfelder
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| ActorUserId | Optional | String | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Akteurs. Unterstützte Formate und Typen: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Speichern Sie den ID-Typ im Feld ActorUserIdType. Wenn andere IDs verfügbar sind, sollten Sie die Feldnamen in ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId und ActorAwsId normalisieren. Weitere Informationen finden Sie unter Benutzerentität. Beispiel: S-1-12 |
| ActorUserIdType | Optional | Enumerated | Der Typ der ID, die im Feld ActorUserId gespeichert ist. Unterstützte Werte: SID, UID, AADID, OktaId und AWSId. |
| ActorUsername | Obligatorisch. | String | Der Benutzername des Akteurs ggf. mit Informationen zur Domäne. Verwenden Sie eines der folgenden Formate in der folgenden Reihenfolge nach Priorität: - UPN/E-Mail: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Einfach: johndow. Verwenden Sie dieses einfache Format nur, wenn keine Domäneninformationen verfügbar sind.Speichern Sie den Benutzernamentyp im Feld ActorUsernameType. Wenn andere IDs verfügbar sind, empfiehlt es sich, die Feldnamen in ActorUserUpn, ActorUserWindows und ActorUserDn zu normalisieren. Weitere Informationen finden Sie unter Benutzerentität. Beispiel: AlbertE |
| User | Alias | Alias zu ActorUsername. | |
| ActorUsernameType | Obligatorisch. | Enumerated | Gibt den Typ des Benutzernamens an, der im Feld ActorUsername gespeichert ist. Unterstützte Werte: UPN, Windows, DN und Simple. Weitere Informationen finden Sie unter Benutzerentität.Beispiel: Windows |
| ActorUserType | Optional | Enumerated | Der Typ des Akteurs. Zulässige Werte sind: - Regular- Machine- Admin- System- Application- Service Principal- OtherHinweis: Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld ActorOriginalUserType. |
| ActorOriginalUserType | Der ursprüngliche Akteurbenutzertyp, sofern von der Quelle bereitgestellt. | ||
| ActorSessionId | Optional | String | Die eindeutige ID der Anmeldesitzung des Akteurs. Beispiel: 999Hinweis: Der Typ ist als Zeichenfolge definiert, um unterschiedliche Systeme zu unterstützen, aber unter Windows muss dieser Wert numerisch sein. Wenn Sie einen Windows-Computer verwenden und einen anderen Typ verwendet haben, stellen Sie sicher, dass Sie die Werte konvertieren. Wenn Sie beispielsweise einen Hexadezimalwert verwendet haben, konvertieren Sie diesen in einen Dezimalwert. |
Gruppieren von Feldern
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| GroupId | Optional | String | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung der Gruppe für Aktivitäten, die eine Gruppe betreffen. Unterstützte Formate und Typen: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578Speichern Sie den ID-Typ im Feld GroupIdType. Wenn andere IDs verfügbar sind, empfiehlt es sich, die Feldnamen in GroupSid oder GroupUid zu normalisieren. Weitere Informationen finden Sie unter Benutzerentität. Beispiel: S-1-12 |
| GroupIdType | Optional | Enumerated | Der Typ der ID, die im Feld GroupId gespeichert ist. Unterstützte Werte: SID und UID. |
| GroupName | Optional | Zeichenfolge | Der Gruppenname, einschließlich der Domäneninformationen, sofern verfügbar, für Aktivitäten, die eine Gruppe betreffen. Verwenden Sie eines der folgenden Formate in der folgenden Reihenfolge nach Priorität: - UPN/E-Mail: grp@contoso.com- Windows: Contoso\grp- DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM- Einfach: grp. Verwenden Sie dieses einfache Format nur, wenn keine Domäneninformationen verfügbar sind.Speichern Sie den Gruppennamenstyp im Feld GroupNameType. Wenn andere IDs verfügbar sind, empfiehlt es sich, die Feldnamen in GroupUpn, GorupNameWindows und GroupDn zu normalisieren. Ein Beispiel: Contoso\Finance |
| GroupNameType | Optional | Enumerated | Gibt den Typ des Gruppennamens an, der im Feld GroupName gespeichert ist. Unterstützte Werte: UPN, Windows, DN und Simple.Ein Beispiel: Windows |
| GroupType | Optional | Enumerated | Der Typ der Gruppe für Aktivitäten, die eine Gruppe betreffen. Unterstützte Werte sind: - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- OtherHinweis: Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld GroupOriginalType. |
| GroupOriginalType | Optional | Zeichenfolge | Der ursprüngliche Gruppentyp, sofern von der Quelle bereitgestellt. |
Quellfelder
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| Src | Empfohlen | String | Der eindeutige Bezeichner des Quellgeräts. Dieses Feld kann ein Alias für das Feld SrcDvcId, SrcHostname oder SrcIpAddr sein. Beispiel: 192.168.12.1 |
| SrcIpAddr | Empfohlen | IP-Adresse | Die IP-Adresse des Quellgeräts. Dieser Wert ist obligatorisch, wenn SrcHostname angegeben wird. Beispiel: 77.138.103.108 |
| IpAddr | Alias | Alias für SrcIpAddr. | |
| SrcHostname | Empfohlen | String | Der Hostname des Quellgeräts ohne Domäneninformationen. Ein Beispiel: DESKTOP-1282V4D |
| SrcDomain | Empfohlen | String | Die Domäne des Quellgeräts. Beispiel: Contoso |
| SrcDomainType | Empfohlen | Enumerated | Der Typ von SrcDomain, sofern bekannt. Mögliche Werte sind: - Windows (beispielsweise contoso)- FQDN (beispielsweise microsoft.com)Erforderlich, wenn SrcDomain verwendet wird. |
| SrcFQDN | Optional | String | Der Hostname des Quellgeräts ggf. mit Informationen zur Domäne. Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format „Domäne\Hostname“. Das Feld SrcDomainType spiegelt das verwendete Format wider. Beispiel: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Optional | String | Die ID des Quellgeräts, wie im Datensatz angegeben. Beispiel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Optional | String | Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| SrcDvcScope | Optional | String | Der Cloudplattformbereich, zu dem das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| SrcDvcIdType | Optional | Enumerated | Der Typ von SrcDvcId, sofern bekannt. Mögliche Werte sind: - AzureResourceId- MDEidWenn mehrere IDs verfügbar sind, verwenden Sie die erste aus der obigen Liste, und speichern Sie die anderen im Feld SrcDvcAzureResourceId bzw. SrcDvcMDEid. Hinweis: Dieses Feld ist erforderlich, wenn das Feld SrcDvcId verwendet wird. |
| SrcDeviceType | Optional | Enumerated | Der Typ des Quellgeräts. Mögliche Werte sind: - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | Optional | Land | Das Land/die Region, das bzw. die der Quell-IP-Adresse zugeordnet ist. Beispiel: USA |
| SrcGeoRegion | Optional | Region | Die der Quell-IP-Adresse zugeordnete Region. Beispiel: Vermont |
| SrcGeoCity | Optional | City | Die Stadt, die der Quell-IP-Adresse zugeordnet ist. Beispiel: Burlington |
| SrcGeoLatitude | Optional | Breitengrad | Der Breitengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. Beispiel: 44.475833 |
| SrcGeoLongitude | Optional | Längengrad | Der Längengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. Beispiel: 73.211944 |
Agierende Anwendung
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| ActingAppId | Optional | Zeichenfolge | Die ID der Anwendung, die der Akteur zur Durchführung der Aktivität verwendet, einschließlich eines Prozesses, Browsers oder Dienstes. Beispiel: 0x12ae8 |
| ActingAppName | Optional | Zeichenfolge | Der Name der Anwendung, die der Akteur zur Durchführung der Aktivität verwendet, einschließlich eines Prozesses, Browsers oder Dienstes. Beispiel: C:\Windows\System32\svchost.exe |
| ActingAppType | Optional | Enumerated | Der Typ der agierenden Anwendung. Unterstützte Werte: . - Process - Browser - Resource - Other |
| HttpUserAgent | Optional | String | Wenn die Authentifizierung über HTTP oder HTTPS erfolgt, entspricht der Wert dieses Felds dem HTTP-Header „user_agent“, der von der agierenden Anwendung beim Durchführen der Authentifizierung bereitgestellt wird. Beispiel: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Zusätzliche Felder und Aliase
| Feld | Klasse | type | BESCHREIBUNG |
|---|---|---|---|
| Hostname | Alias | Alias für DvcHostname. |
Nächste Schritte
Weitere Informationen finden Sie unter
- Sehen Sie sich das ASIM-Webinar an, oder befassen Sie sich mit den Folien.
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Schemas für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Parser für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Inhalte für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)