Référence du schéma de normalisation de la gestion des utilisateurs Microsoft Sentinel (préversion)
Le schéma de normalisation de la gestion des utilisateurs Microsoft Sentinel est utilisé pour décrire les activités de gestion des utilisateurs, par exemple la création d’un utilisateur ou d’un groupe, le changement d’un attribut utilisateur ou l’ajout d’un utilisateur à un groupe. De tels événements sont signalés, par exemple, par les systèmes d’exploitation, les services d’annuaire, les systèmes de gestion des identités et tout autre système établissant des rapports sur l’activité de gestion des utilisateurs au niveau local.
Pour plus d’informations sur la normalisation dans Microsoft Sentinel, consultez Normalisation et modèle ASIM (Advanced Security Information Model).
Important
Le schéma de normalisation de la gestion des utilisateurs est en préversion. Cette fonctionnalité est fournie sans contrat de niveau de service. Nous ne la recommandons pas pour les charges de travail de production.
Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
Vue d’ensemble du schéma
Le schéma de gestion des utilisateurs ASIM décrit les activités de gestion des utilisateurs. Les activités incluent généralement les entités suivantes :
- Intervenant : utilisateur effectuant l’activité de gestion.
- Processus responsable de l’action : processus utilisé par l’intervenant pour effectuer l’activité de gestion.
- Src : quand l’activité est effectuée sur le réseau, il s’agit de l’appareil source à partir duquel l’activité a été lancée.
- Utilisateur cible : utilisateur dont le compte est managé.
- Groupe dans lequel l’utilisateur cible est ajouté ou supprimé, ou fait l’objet d’un changement.
Certaines activités, par exemple UserCreated, GroupCreated, UserModified et GroupModified*, définissent ou mettent à jour les propriétés utilisateur. La propriété définie ou mise à jour est documentée dans les champs suivants :
- EventSubType : nom de la valeur définie ou mise à jour. UpdatedPropertyName : alias de EventSubType quand EventSubType fait référence à l’un des types d’événement appropriés.
- PreviousPropertyValue : valeur précédente de la propriété.
- NewPropertyValue : valeur mise à jour de la propriété.
Détails du schéma
Champs ASIM communs
Important
Les champs communs à tous les schémas sont décrits en détail dans l’article Champs communs ASIM.
Champs communs avec des instructions spécifiques
La liste suivante mentionne les champs qui ont des instructions spécifiques pour les événements d’activité :
| Champ | Classe | Type | Description |
|---|---|---|---|
| EventType | Obligatoire | Énuméré | Décrit l’opération signalée par l’enregistrement. Pour l’activité de gestion des utilisateurs, les valeurs prises en charge sont les suivantes : - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| EventSubType | Facultatif | Énuméré | Les sous-types suivants sont pris en charge : - UserRead : mot de passe, code de hachage- UserCreated, , GroupCreatedUserModified, GroupModified. Pour plus d’informations, consultez UpdatedPropertyName |
| EventResult | Obligatoire | Énuméré | Bien qu’une défaillance soit possible, la plupart des systèmes signalent uniquement les événements de gestion des utilisateurs réussis. La valeur attendue pour les événements réussis est Success. |
| EventResultDetails | Recommandé | Énuméré | Les valeurs valides sont NotAuthorized et Other. |
| EventSeverity | Obligatoire | Énuméré | Bien que toute valeur de gravité valide soit autorisée, le niveau de gravité des événements de gestion des utilisateurs est généralement Informational. |
| EventSchema | Obligatoire | Chaîne | La version du schéma documenté ici est UserManagement. |
| EventSchemaVersion | Obligatoire | Chaîne | Version du schéma. La version du schéma documenté ici est 0.1.1. |
| Champs Dvc | Pour les événements de gestion des utilisateurs, les champs d’appareil font référence au système qui signale l’événement. Il s’agit généralement du système sur lequel l’utilisateur est géré. |
Tous les champs communs
Les champs qui apparaissent dans le tableau ci-dessous sont communs à tous les schémas ASIM. Toute instruction spécifiée ci-dessus remplace les instructions générales pour le champ. Par exemple, un champ peut être facultatif en général, mais obligatoire pour un schéma spécifique. Pour plus d’informations sur chaque champ, reportez-vous à l’article Champs communs ASIM.
| Classe | Fields |
|---|---|
| Obligatoire | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recommandé | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Facultatif | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Champs de propriété mis à jour
| Champ | Classe | Type | Description |
|---|---|---|---|
| UpdatedPropertyName | Alias | Alias de EventSubType quand le type d’événement est UserCreated, GroupCreated, UserModified ou GroupModified.Les valeurs prises en charge sont les suivantes : - MultipleProperties : utilisé quand l’activité met à jour plusieurs propriétés- Previous<PropertyName>, où <PropertyName> est l’une des valeurs prises en charge pour UpdatedPropertyName. - New<PropertyName>, où <PropertyName> est l’une des valeurs prises en charge pour UpdatedPropertyName. |
|
| PreviousPropertyValue | Facultatif | String | Valeur précédente stockée dans la propriété spécifiée. |
| NewPropertyValue | Facultatif | String | Nouvelle valeur stockée dans la propriété spécifiée. |
Champs utilisateur cibles
| Champ | Classe | Type | Description |
|---|---|---|---|
| TargetUserId | Facultatif | String | Représentation unique, alphanumérique et lisible par l’ordinateur de l’utilisateur cible. Les types et formats pris en charge comprennent les suivants : - SID (Windows) : S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux) : 4578- AADID (Microsoft Entra ID) : 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId : 00urjk4znu3BcncfY0h7- AWSId : 72643944673Stockez le type de l’ID dans le champ TargetUserIdType. Si d’autres ID sont disponibles, nous vous recommandons de normaliser les noms de champs en TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId et TargetUserAwsId, respectivement. Pour plus d’informations, consultez L’entité utilisateur. Exemple : S-1-12 |
| TargetUserIdType | Facultatif | Énuméré | Type de l’ID stocké dans le champ TargetUserId. Les valeurs SID, UID, AADID, OktaId et AWSId sont prises en charge. |
| TargetUsername | Facultatif | String | Nom d’utilisateur cible, en incluant les informations de domaine le cas échéant. Utilisez l'un des formats suivants et dans l'ordre de priorité suivant : - Upn/E-mail : johndow@contoso.com- Windows : Contoso\johndow- DN : CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Simple : johndow. Utilisez la forme Simple uniquement si les informations de domaine ne sont pas disponibles.Stockez le type du nom d’utilisateur dans le champ TargetUsernameType. Si d’autres ID sont disponibles, nous vous recommandons de normaliser les noms de champs en TargetUserUpn, TargetUserWindows et TargetUserDn. Pour plus d’informations, consultez L’entité utilisateur. Exemple : AlbertE |
| TargetUsernameType | Facultatif | Énuméré | Spécifie le type du nom d’utilisateur stocké dans le champ TargetUsername. Les valeurs UPN, Windows, DN et Simple sont prises en charge. Pour plus d’informations, consultez L’entité utilisateur.Exemple : Windows |
| TargetUserType | Facultatif | Énuméré | Type de l’utilisateur cible. Les valeurs prises en charge sont : - Regular- Machine- Admin- System- Application- Service Principal- OtherRemarque : la valeur peut être fournie dans l’enregistrement source avec des termes différents, qui doivent être normalisés avec ces valeurs. Stockez la valeur d’origine dans le champ TargetOriginalUserType. |
| TargetOriginalUserType | Facultatif | String | Le type d'utilisateur de destination original, s'il est fourni par la source. |
Champs d’intervenant
| Champ | Classe | Type | Description |
|---|---|---|---|
| ActorUserId | Facultatif | String | Représentation unique, alphanumérique et lisible par l’ordinateur de l’intervenant. Les types et formats pris en charge comprennent les suivants : - SID (Windows) : S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux) : 4578- AADID (Microsoft Entra ID) : 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId : 00urjk4znu3BcncfY0h7- AWSId : 72643944673Stockez le type de l’ID dans le champ ActorUserIdType. Si d’autres ID sont disponibles, nous vous recommandons de normaliser les noms de champs en ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId et ActorAwsId, respectivement. Pour plus d’informations, consultez L’entité utilisateur. Exemple : S-1-12 |
| ActorUserIdType | Facultatif | Énuméré | Type de l’ID stocké dans le champ ActorUserId. Les valeurs SID, UID, AADID, OktaId et AWSId sont prises en charge. |
| ActorUsername | Obligatoire | Chaîne | Nom d’utilisateur de l’intervenant, en incluant les informations de domaine le cas échéant. Utilisez l'un des formats suivants et dans l'ordre de priorité suivant : - Upn/E-mail : johndow@contoso.com- Windows : Contoso\johndow- DN : CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Simple : johndow. Utilisez la forme Simple uniquement si les informations de domaine ne sont pas disponibles.Stockez le type du nom d’utilisateur dans le champ ActorUsernameType. Si d’autres ID sont disponibles, nous vous recommandons de normaliser les noms de champs en ActorUserUpn, ActorUserWindows et ActorUserDn. Pour plus d’informations, consultez L’entité utilisateur. Exemple : AlbertE |
| Utilisateur | Alias | Alias de ActorUsername. | |
| ActorUsernameType | Obligatoire | Énuméré | Spécifie le type du nom d’utilisateur stocké dans le champ ActorUsername. Les valeurs UPN, Windows, DN et Simple sont prises en charge. Pour plus d’informations, consultez L’entité utilisateur.Exemple : Windows |
| ActorUserType | Facultatif | Énuméré | Type de l’intervenant. Les valeurs autorisées sont les suivantes : - Regular- Machine- Admin- System- Application- Service Principal- OtherRemarque : la valeur peut être fournie dans l’enregistrement source avec des termes différents, qui doivent être normalisés avec ces valeurs. Stockez la valeur d’origine dans le champ ActorOriginalUserType. |
| ActorOriginalUserType | Type de l’utilisateur intervenant d’origine, s’il est fourni par la source. | ||
| ActorSessionId | Facultatif | Chaîne | ID unique de la session de connexion de l’Intervenant. Exemple : 999Remarque : le type est défini en tant que chaîne pour la prise en charge de différents systèmes. Cependant, sur Windows, cette valeur doit être numérique. Si vous utilisez un ordinateur Windows et avez utilisé un type différent, assurez-vous de convertir les valeurs. Par exemple, si vous avez utilisé une valeur hexadécimale, convertissez-la en valeur décimale. |
Regrouper des champs
| Champ | Classe | Type | Description |
|---|---|---|---|
| GroupId | Facultatif | String | Représentation unique et alphanumérique (lisible par une machine) du groupe, pour les activités impliquant un groupe. Les types et formats pris en charge comprennent les suivants : - SID (Windows) : S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux) : 4578Stockez le type de l’ID dans le champ GroupIdType. Si d’autres ID sont disponibles, nous vous recommandons de normaliser les noms de champs en GroupSid ou GroupUid, respectivement. Pour plus d’informations, consultez L’entité utilisateur. Exemple : S-1-12 |
| GroupIdType | Facultatif | Énuméré | Type de l’ID stocké dans le champ GroupId. Les valeurs prises en charge sont SID et UID. |
| GroupName | Facultatif | String | Nom du groupe, en incluant les informations de domaine le cas échéant, pour les activités impliquant un groupe. Utilisez l'un des formats suivants et dans l'ordre de priorité suivant : - Upn/E-mail : grp@contoso.com- Windows : Contoso\grp- DN : CN=grp,OU=Sales,DC=Fabrikam,DC=COM- Simple : grp. Utilisez la forme Simple uniquement si les informations de domaine ne sont pas disponibles.Stockez le type du nom de groupe dans le champ GroupNameType. Si d’autres ID sont disponibles, nous vous recommandons de normaliser les noms de champs en GroupUpn, GorupNameWindows et GroupDn. Exemple : Contoso\Finance |
| GroupNameType | Facultatif | Énuméré | Spécifie le type du nom de groupe stocké dans le champ GroupName. Les valeurs UPN, Windows, DN et Simple sont prises en charge.Exemple : Windows |
| GroupType | Facultatif | Énuméré | Type du groupe, pour les activités impliquant un groupe. Les valeurs prises en charge sont : - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- OtherRemarque : la valeur peut être fournie dans l’enregistrement source avec des termes différents, qui doivent être normalisés avec ces valeurs. Stockez la valeur d’origine dans le champ GroupOriginalType. |
| GroupOriginalType | Facultatif | String | Type du groupe d’origine, s’il est fourni par la source. |
Champs sources
| Champ | Classe | Type | Description |
|---|---|---|---|
| Src | Recommandé | Chaîne | Identificateur unique de l’appareil source. Ce champ peut prendre l’alias des champs SrcDvcId, SrcHostname et SrcIpAddr. Exemple : 192.168.12.1 |
| SrcIpAddr | Recommandé | Adresse IP | Adresse IP de l’appareil source. Cette valeur est obligatoire siSrcHostname est spécifié. Exemple : 77.138.103.108 |
| IpAddr | Alias | Alias de SrcIpAddr. | |
| SrcHostname | Recommandé | Chaîne | Nom d’hôte de l’appareil source, à l’exception des informations de domaine. Exemple : DESKTOP-1282V4D |
| SrcDomain | Recommandé | Chaîne | Domaine de l’appareil source. Exemple : Contoso |
| SrcDomainType | Recommandé | Énuméré | Type de SrcDomain, s’il est connu. Les valeurs possibles incluent : - Windows (par exemple, contoso)- FQDN (par exemple, microsoft.com)Obligatoire si SrcDomain est utilisé. |
| SrcFQDN | Facultatif | String | Nom d’hôte de l’appareil source, y compris les informations de domaine, le cas échéant. Remarque : ce champ prend en charge à la fois le format FQDN traditionnel et le format Windows domain\hostname. Le champ SrcDomainType reflète le format utilisé. Exemple : Contoso\DESKTOP-1282V4D |
| SrcDvcId | Facultatif | Chaîne | ID de l’appareil source comme indiqué dans l’enregistrement. Exemple : ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Facultatif | String | ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil source. SrcDvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcDvcScope | Facultatif | String | Étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcSubscription correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcDvcIdType | Facultatif | Énuméré | Type de SrcDvcId, s’il est connu. Les valeurs possibles incluent : - AzureResourceId- MDEidSi plusieurs ID sont disponibles, utilisez le premier de la liste précédente, et stockez les autres à l’aide des noms de champ SrcDvcAzureResourceId et SrcDvcMDEid, respectivement. Remarque: ce champ est obligatoire si le champ SrcDvcld est utilisé. |
| SrcDeviceType | Facultatif | Énuméré | Type de l’appareil source. Les valeurs possibles incluent : - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | Facultatif | Pays ou région | Pays associé à l’adresse IP source. Exemple : USA |
| SrcGeoRegion | Facultatif | Région | Région associée à l’adresse IP source. Exemple : Vermont |
| SrcGeoCity | Facultatif | City | Ville associée à l’adresse IP source. Exemple : Burlington |
| SrcGeoLatitude | Facultatif | Latitude | Latitude de la coordonnée géographique associée à l’adresse IP source. Exemple : 44.475833 |
| SrcGeoLongitude | Facultatif | Longitude | Longitude de la coordonnée géographique associée à l’adresse IP source. Exemple : 73.211944 |
Application responsable de l’action
| Champ | Classe | Type | Description |
|---|---|---|---|
| ActingAppId | Facultatif | String | ID de l’application utilisée par l’intervenant pour effectuer l’activité. Il peut s’agir notamment d’un processus, d’un navigateur ou d’un service. Par exemple : 0x12ae8 |
| ActingAppName | Facultatif | String | Nom de l’application utilisée par l’intervenant pour effectuer l’activité. Il peut s’agir notamment d’un processus, d’un navigateur ou d’un service. Par exemple : C:\Windows\System32\svchost.exe |
| ActingAppType | Facultatif | Énuméré | Type de l’application agissante. Les valeurs - Process - Browser - Resource - Other |
| HttpUserAgent | Facultatif | Chaîne | Quand l’authentification est effectuée via HTTP ou HTTPS, la valeur de ce champ est l’en-tête HTTP user_agent fourni par l’application agissante lors de l’exécution de l’authentification. Par exemple : Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Champs et alias supplémentaires
| Champ | Classe | Type | Description |
|---|---|---|---|
| Hostname | Alias | Alias de DvcHostname. |
Étapes suivantes
Pour plus d'informations, consultez les pages suivantes :