Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Les utilisateurs sont au centre des activités signalées par les événements. Les champs d’entité utilisateur listés dans cette section servent à décrire les utilisateurs impliqués dans l’action. Lorsqu’ils sont utilisés dans un événement, les préfixes servent à désigner le rôle d’une entité utilisateur dans l’activité. Les préfixes Src et Dst sont utilisés pour désigner le rôle d’utilisateur dans les événements liés au réseau, dans lesquels un système source et un système de destination communiquent. Les préfixes Actor et Target sont utilisés pour les événements orientés système tels que les événements de processus.
Identifiant utilisateur et étendue
| Terrain | classe | Type | Descriptif |
|---|---|---|---|
| UserId | Optional | Chaîne | Représentation unique, alphanumérique et lisible par l’ordinateur de l’utilisateur. |
| UserScope | Optional | ficelle | L’étendue dans laquelle UserId et Username sont définis. Par exemple, un nom de domaine de locataire Microsoft Entra. Le champ UserIdType représente également le type associé à ce champ. |
| UserScopeId | Optional | ficelle | ID de l’étendue dans laquelle UserId et Username sont définis. Par exemple, un ID de répertoire de locataire Microsoft Entra. Le champ UserIdType représente également le type associé à ce champ. |
| UserIdType | Optional | UserIdType | Type de l’ID stocké dans le champ UserId. |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | Optional | Chaîne | Champs utilisés pour stocker des identifiants utilisateur spécifiques. Sélectionnez l’ID le plus associé à l’événement en tant qu’ID principal stocké dans UserId. Remplissez le champ d’ID spécifique approprié en plus de UserId, même si l’événement ne comporte qu’un seul ID. |
| UserAADTenant, UserAWSAccount | Optional | Chaîne | Champs utilisés pour stocker des étendues spécifiques. Utilisez le champ UserScope pour l’étendue associée à l’identifiant stocké dans le champ UserId . Remplissez le champ d’étendue spécifique approprié en plus de UserScope, même si l’événement ne comporte qu’un seul ID. |
Les valeurs autorisées pour le type d’ID d’utilisateur sont les suivantes :
| Type | Descriptif | Example |
|---|---|---|
| SID | ID utilisateur Windows. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | ID utilisateur Linux. | 4578 |
| AADID | Un identifiant utilisateur Microsoft Entra. | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| OktaId | ID utilisateur Okta. | 00urjk4znu3BcncfY0h7 |
| AWSId | ID utilisateur AWS. | 72643944673 |
| PUID | ID d’utilisateur Microsoft 365. | 10032001582F435C |
| SalesforceId | ID d’utilisateur Salesforce. | 00530000009M943 |
Nom de l’utilisateur
| Terrain | classe | Type | Descriptif |
|---|---|---|---|
| Nom d’utilisateur | Optional | Chaîne | Nom de l’utilisateur source, y compris les informations de domaine, le cas échéant. Utilisez la forme simple uniquement si les informations de domaine ne sont pas disponibles. Stockez le type Nom d’utilisateur dans le champ UsernameType. |
| UsernameType | Optional | UsernameType | Spécifie le type du nom d’utilisateur stocké dans le champ Username. |
| UserUPN, WindowsUsername, DNUsername, SimpleUsername | Optional | Chaîne | Champs utilisés pour stocker d’autres noms d’utilisateur, si l’événement d’origine comprend plusieurs noms d’utilisateur. Sélectionnez le nom d’utilisateur le plus associé à l’événement en tant que nom d’utilisateur principal stocké dans Username. |
Les valeurs autorisées pour le type username sont les suivantes :
| Type | Descriptif | Example |
|---|---|---|
| UPN | Un désignateur de nom d’utilisateur d’adresse UPN d’adresse e-mail. | johndow@contoso.com |
| Windows | Un nom d’utilisateur Windows avec un domaine. | Contoso\johndow |
| DN | Un désignateur de nom unique LDAP. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| Simple | Nom d’utilisateur simple sans désignateur de domaine. | johndow |
| AWSId | ID utilisateur AWS. | 72643944673 |
Champs utilisateur supplémentaires
| Terrain | classe | Type | Descriptif |
|---|---|---|---|
| UserType | Optional | Type d'utilisateur | Type de l’utilisateur source. Les valeurs prises en charge sont : - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.La valeur peut être fournie dans l’enregistrement source avec des termes différents, qui doivent être normalisés avec ces valeurs. Stockez la valeur d’origine dans le champ OriginalUserType . |
| OriginalUserType | Optional | Chaîne | Type d’utilisateur de destination d’origine, s’il est fourni par le dispositif de reporting. |