A Microsoft Sentinel felhasználókezelési normalizálási sémájának referenciája (előzetes verzió)
A Microsoft Sentinel felhasználókezelési normalizálási sémája a felhasználókezelési tevékenységek leírására szolgál, például felhasználó vagy csoport létrehozására, felhasználói attribútum módosítására vagy felhasználó csoporthoz való hozzáadására. Ezeket az eseményeket például az operációs rendszerek, a címtárszolgáltatások, az identitáskezelő rendszerek és a helyi felhasználókezelési tevékenységről jelentést tevő egyéb rendszerek jelentik.
A Microsoft Sentinel normalizálásáról további információt a Normalizálás és az Advanced Security Information Model (ASIM) című cikkben talál.
Fontos
A felhasználókezelési normalizálási séma jelenleg előzetes verzióban érhető el. Ez a funkció szolgáltatásszint-szerződés nélkül érhető el. Éles számítási feladatokhoz nem javasoljuk.
Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Séma áttekintése
Az ASIM felhasználói felügyeleti sémája a felhasználókezelési tevékenységeket ismerteti. A tevékenységek általában a következő entitásokat tartalmazzák:
- Színész – a felügyeleti tevékenységet végző felhasználó.
- Eljáró folyamat – a kezelő által a felügyeleti tevékenység végrehajtásához használt folyamat.
- Src – amikor a tevékenységet a hálózaton keresztül hajtják végre, az a forráseszköz, amelyről a tevékenységet kezdeményezték.
- Célfelhasználó – a fiókot kezelő felhasználó.
- Csoportosítsa a célfelhasználót, és eltávolítja vagy módosítja őket.
Egyes tevékenységek, például a UserCreated, a GroupCreated, a UserModified és a GroupModified*, beállítják vagy frissítik a felhasználói tulajdonságokat. A tulajdonságkészlet vagy -frissítés a következő mezőkben van dokumentálva:
- EventSubType – a beállított vagy frissített érték neve. Az UpdatedPropertyName az EventSubType aliasa, ha az EventSubType az egyik releváns eseménytípusra hivatkozik.
- PreviousPropertyValue – a tulajdonság előző értéke.
- NewPropertyValue – a tulajdonság frissített értéke.
Séma részletei
Gyakori ASIM-mezők
Fontos
Az összes sémában közös mezők részletes leírását az ASIM Common Fields című cikk ismerteti.
Általános mezők konkrét irányelvekkel
Az alábbi lista azokat a mezőket sorolja fel, amelyek konkrét irányelvekkel rendelkeznek a folyamattevékenység-eseményekhez:
| Field | Osztály | Type | Description |
|---|---|---|---|
| EventType | Kötelező | Enumerated | A rekord által jelentett műveletet ismerteti. A Felhasználói felügyelet tevékenység esetében a támogatott értékek a következők: - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| EventSubType | Lehetséges | Enumerated | A következő altípusok támogatottak: - UserRead: Jelszó, kivonat- UserCreated, GroupCreated, UserModified, GroupModified. További információ: UpdatedPropertyName |
| EventResult | Kötelező | Enumerated | Bár a hiba lehetséges, a legtöbb rendszer csak a sikeres felhasználói felügyeleti eseményeket jelenti. A sikeres események várható értéke a Successkövetkező: . |
| EventResultDetails | Ajánlott | Enumerated | Az érvényes értékek a következők: NotAuthorized és Other. |
| EventSeverity | Kötelező | Enumerated | Bár bármely érvényes súlyossági érték engedélyezett, a felhasználói felügyeleti események súlyossága általában Informational. |
| EventSchema | Kötelező | Sztring | Az itt dokumentált séma neve.UserManagement |
| EventSchemaVersion | Kötelező | Sztring | A séma verziója. Az itt dokumentált séma verziója.0.1.1 |
| Dvc-mezők | Felhasználói felügyeleti események esetén az eszközmezők az eseményt jelentéskészítő rendszerre vonatkoznak. Ez általában az a rendszer, amelyen a felhasználót kezelik. |
Minden gyakori mező
Az alábbi táblázatban megjelenő mezők az összes ASIM-sémában gyakoriak. A fent megadott útmutatás felülbírálja a mező általános irányelveit. Előfordulhat például, hogy egy mező általában nem kötelező, de egy adott sémához kötelező. Az egyes mezőkkel kapcsolatos további részletekért tekintse meg az ASIM Common Fields cikket.
| Osztály | Mezők |
|---|---|
| Kötelező | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Ajánlott | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Lehetséges | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - További mezők - DvcDescription - DvcScopeId - DvcScope |
Frissített tulajdonságmezők
| Field | Osztály | Type | Description |
|---|---|---|---|
| UpdatedPropertyName | Alias | Az EventSubType aliasa, ha az esemény típusa UserCreated, UserModifiedGroupCreatedvagy GroupModified.A támogatott értékek a következők: - MultipleProperties: Akkor használatos, ha a tevékenység több tulajdonságot frissít- Previous<PropertyName>, ahol <PropertyName> a támogatott értékek UpdatedPropertyNameegyike. - New<PropertyName>, ahol <PropertyName> a támogatott értékek UpdatedPropertyNameegyike. |
|
| PreviousPropertyValue | Lehetséges | Sztring | A megadott tulajdonságban tárolt előző érték. |
| NewPropertyValue | Lehetséges | Sztring | A megadott tulajdonságban tárolt új érték. |
Célfelhasználói mezők
| Field | Osztály | Type | Description |
|---|---|---|---|
| TargetUserId | Lehetséges | Sztring | A célfelhasználó géppel olvasható, alfanumerikus, egyedi ábrázolása. A támogatott formátumok és típusok a következők: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Tárolja az azonosító típusát a TargetUserIdType mezőben. Ha más azonosítók is elérhetők, javasoljuk, hogy normalizálja a mezőneveket a TargetUserSid, a TargetUserUid, a TargetUserAADID, a TargetUserOktaId és a TargetUserAwsId mezőre. További információt a Felhasználó entitás című témakörben talál. Example: S-1-12 |
| TargetUserIdType | Lehetséges | Enumerated | A TargetUserId mezőben tárolt azonosító típusa. A támogatott értékek a következők SID: , UID, AADIDOktaIdés AWSId. |
| TargetUsername | Lehetséges | Sztring | A célnév, beleértve a tartományinformációkat is, ha elérhetőek. Használja az alábbi formátumok egyikét, és a következő prioritási sorrendben: - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Egyszerű: johndow. Az Egyszerű űrlapot csak akkor használja, ha a tartományinformációk nem érhetők el.Tárolja a Felhasználónév típusát a TargetUsernameType mezőben. Ha más azonosítók is elérhetők, javasoljuk, hogy normalizálja a mezőneveket a TargetUserUpn, a TargetUserWindows és a TargetUserDn értékre. További információt a Felhasználó entitás című témakörben talál. Example: AlbertE |
| TargetUsernameType | Lehetséges | Enumerated | A TargetUsername mezőben tárolt felhasználónév típusát adja meg. A támogatott értékek a következők: UPN, Windows, DNés Simple. További információt a Felhasználó entitás című témakörben talál.Example: Windows |
| TargetUserType | Lehetséges | Enumerated | A célfelhasználó típusa. A támogatott értékek a következők: - Regular- Machine- Admin- System- Application- Service Principal- OtherMegjegyzés: Az érték a forrásrekordban különböző kifejezések használatával adható meg, amelyeket ezekre az értékekre kell normalizálni. Tárolja az eredeti értéket a TargetOriginalUserType mezőben. |
| TargetOriginalUserType | Lehetséges | Sztring | Az eredeti célfelhasználó típusa, ha a forrás megadja. |
Aktormezők
| Field | Osztály | Type | Description |
|---|---|---|---|
| ActorUserId | Lehetséges | Sztring | Az Aktor géppel olvasható, alfanumerikus, egyedi ábrázolása. A támogatott formátumok és típusok a következők: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Tárolja az azonosító típusát az ActorUserIdType mezőben. Ha más azonosítók is elérhetők, javasoljuk, hogy normalizálja a mezőneveket az ActorUserSid, az ActorUserUid, az ActorUserAadId, az ActorUserOktaId és az ActorAwsId mezőkre. További információt a Felhasználó entitás című témakörben talál. Példa: S-1-12 |
| ActorUserIdType | Lehetséges | Enumerated | Az ActorUserId mezőben tárolt azonosító típusa. A támogatott értékek közé tartoznak a következők: SID, UID, AADID, OktaIdés AWSId. |
| ActorUsername | Kötelező | Sztring | Az Aktor felhasználóneve, beleértve a tartományinformációkat, ha elérhető. Használja az alábbi formátumok egyikét, és a következő prioritási sorrendben: - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Egyszerű: johndow. Az Egyszerű űrlapot csak akkor használja, ha a tartományinformációk nem érhetők el.Tárolja a Felhasználónév típust az ActorUsernameType mezőben. Ha más azonosítók is elérhetők, javasoljuk, hogy normalizálja a mezőneveket az ActorUserUpn, az ActorUserWindows és az ActorUserDn értékre. További információt a Felhasználó entitás című témakörben talál. Example: AlbertE |
| Felhasználó | Alias | Alias – ActorUsername. | |
| ActorUsernameType | Kötelező | Enumerated | Az ActorUsername mezőben tárolt felhasználónév típusát adja meg. A támogatott értékek a következőkUPN: , WindowsDNés Simple. További információt a Felhasználó entitás című témakörben talál.Example: Windows |
| ActorUserType | Lehetséges | Enumerated | Az Aktor típusa. Az engedélyezett értékek a következők: - Regular- Machine- Admin- System- Application- Service Principal- OtherMegjegyzés: Az érték a forrásrekordban különböző kifejezések használatával adható meg, amelyeket ezekre az értékekre kell normalizálni. Az eredeti érték tárolása az ActorOriginalUserType mezőben. |
| AktorOriginalUserType | Az eredeti aktor felhasználótípusa, ha a forrás megadja. | ||
| ActorSessionId | Lehetséges | Sztring | Az Aktor bejelentkezési munkamenetének egyedi azonosítója. Example: 999Megjegyzés: A típus sztringkéntvan definiálva a különböző rendszerek támogatásához, de Windows rendszeren ennek az értéknek numerikusnak kell lennie. Ha Windows rendszerű gépet használ, és más típust használ, mindenképpen konvertálja az értékeket. Ha például hexadecimális értéket használt, konvertálja decimális értékké. |
Mezők csoportosítása
| Field | Osztály | Type | Description |
|---|---|---|---|
| Csoportazonosító | Lehetséges | Sztring | A csoport géppel olvasható, alfanumerikus, egyedi ábrázolása egy csoportot érintő tevékenységekhez. A támogatott formátumok és típusok a következők: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578Tárolja az azonosító típusát a GroupIdType mezőben. Ha más azonosítók is elérhetők, javasoljuk, hogy a mezőneveket groupSid vagy GroupUid névre normalizálja. További információt a Felhasználó entitás című témakörben talál. Example: S-1-12 |
| GroupIdType | Lehetséges | Enumerated | A GroupId mezőben tárolt azonosító típusa. A támogatott értékek a következők SID: és UID. |
| Csoportnév | Lehetséges | Sztring | A csoport neve, beleértve a tartományinformációkat is, ha rendelkezésre állnak, a csoportokat érintő tevékenységekhez. Használja az alábbi formátumok egyikét, és a következő prioritási sorrendben: - Upn/Email: grp@contoso.com- Windows: Contoso\grp- DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM- Egyszerű: grp. Az Egyszerű űrlapot csak akkor használja, ha a tartományinformációk nem érhetők el.A csoportnévtípus tárolása a GroupNameType mezőben. Ha más azonosítók is elérhetők, javasoljuk, hogy normalizálja a mezőneveket a GroupUpn, a GorupNameWindows és a GroupDn értékre. Example: Contoso\Finance |
| GroupNameType | Lehetséges | Enumerated | A GroupName mezőben tárolt csoportnév típusát adja meg. A támogatott értékek a következők: UPN, Windows, DNés Simple.Example: Windows |
| GroupType | Lehetséges | Enumerated | A csoport típusa egy csoportot érintő tevékenységekhez. A támogatott értékek a következők: - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- OtherMegjegyzés: Az érték a forrásrekordban különböző kifejezések használatával adható meg, amelyeket ezekre az értékekre kell normalizálni. Tárolja az eredeti értéket a GroupOriginalType mezőben. |
| GroupOriginalType | Lehetséges | Sztring | Az eredeti csoporttípus, ha a forrás megadja. |
Forrásmezők
| Field | Osztály | Type | Description |
|---|---|---|---|
| Src | Ajánlott | Sztring | A forráseszköz egyedi azonosítója. Ez a mező aliasa lehet az SrcDvcId, az SrcHostname vagy a SrcIpAddr mező. Example: 192.168.12.1 |
| SrcIpAddr | Ajánlott | IP-cím | A forráseszköz IP-címe. Ez az érték kötelező, ha az SrcHostname meg van adva. Example: 77.138.103.108 |
| IpAddr | Alias | Alias a SrcIpAddrhez. | |
| SrcHostname | Ajánlott | Sztring | A forráseszköz gazdagépneve, a tartományinformációk kivételével. Example: DESKTOP-1282V4D |
| SrcDomain | Ajánlott | Sztring | A forráseszköz tartománya. Example: Contoso |
| SrcDomainType | Ajánlott | Enumerated | A SrcDomain típusa, ha ismert. Lehetséges értékek: - Windows (például contoso)- FQDN (például microsoft.com)A SrcDomain használata esetén kötelező megadni. |
| SrcFQDN | Lehetséges | Sztring | A forráseszköz állomásneve, beleértve a tartományinformációkat, ha elérhető. Megjegyzés: Ez a mező támogatja a hagyományos teljes tartománynév és a Windows tartománynév formátumot is. Az SrcDomainType mező a használt formátumot tükrözi. Example: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Lehetséges | Sztring | A forráseszköz azonosítója a rekordban jelentett módon. Example: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Lehetséges | Sztring | A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. Az SrcDvcScopeId az Azure-beli előfizetés-azonosítóra és az AWS-fiókazonosítóra van leképezetten. |
| SrcDvcScope | Lehetséges | Sztring | A felhőplatform hatóköre, amelyhez az eszköz tartozik. Az SrcDvcScope egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
| SrcDvcIdType | Lehetséges | Enumerated | Az SrcDvcId típusa, ha ismert. Lehetséges értékek: - AzureResourceId- MDEidHa több azonosító is elérhető, használja az előző lista első azonosítóját, és tárolja a többit a SrcDvcAzureResourceId és az SrcDvcMDEid fájlban. Megjegyzés: Ez a mező SrcDvcId használata esetén kötelező. |
| SrcDeviceType | Lehetséges | Enumerated | A forráseszköz típusa. Lehetséges értékek: - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | Lehetséges | Ország | A forrás IP-címéhez társított ország. Example: USA |
| SrcGeoRegion | Lehetséges | Region | A forrás IP-címéhez társított régió. Example: Vermont |
| SrcGeoCity | Lehetséges | City | A forrás IP-címéhez társított város. Example: Burlington |
| SrcGeoLatitude | Lehetséges | Latitude | A forrás IP-címhez társított földrajzi koordináták szélessége. Example: 44.475833 |
| SrcGeoLongitude | Lehetséges | Longitude | A forrás IP-címhez társított földrajzi koordináták hosszúsága. Example: 73.211944 |
Eljáró alkalmazás
| Field | Osztály | Type | Description |
|---|---|---|---|
| ActingAppId | Lehetséges | Sztring | A színész által a tevékenység végrehajtásához használt alkalmazás azonosítója, beleértve a folyamatot, a böngészőt vagy a szolgáltatást. Például: 0x12ae8 |
| ActingAppName | Lehetséges | Sztring | A tevékenység végrehajtásához használt alkalmazás neve, beleértve a folyamatot, a böngészőt vagy a szolgáltatást. Például: C:\Windows\System32\svchost.exe |
| ActingAppType | Lehetséges | Enumerated | Az eljáró alkalmazás típusa. A támogatott értékek a következők: - Process - Browser - Resource - Other |
| HttpUserAgent | Lehetséges | Sztring | Ha a hitelesítés HTTP-en vagy HTTPS-en keresztül történik, a mező értéke az user_agent HTTP-fejléc, amelyet az eljáró alkalmazás biztosít a hitelesítés végrehajtásakor. Például: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
További mezők és aliasok
| Field | Osztály | Type | Description |
|---|---|---|---|
| Állomásnév | Alias | Alias a DvcHostname névhez. |
Következő lépések
For more information, see: