Informazioni di riferimento sullo schema di normalizzazione della gestione utenti di Microsoft Sentinel (anteprima)
Lo schema di normalizzazione della gestione utenti di Microsoft Sentinel viene usato per descrivere le attività di gestione degli utenti, ad esempio la creazione di un utente o un gruppo, la modifica dell'attributo utente o l'aggiunta di un utente a un gruppo. Tali eventi vengono segnalati, ad esempio, dai sistemi operativi, dai servizi directory, dai sistemi di gestione delle identità e da qualsiasi altro sistema che segnala l'attività di gestione degli utenti locale.
Per altre informazioni sulla normalizzazione in Microsoft Sentinel, vedere Normalizzazione e Advanced Security Information Model (ASIM).
Importante
Lo schema di normalizzazione della gestione utenti è attualmente in anteprima. Questa funzionalità viene fornita senza un contratto di servizio. Non è consigliabile usarlo per carichi di lavoro di produzione.
Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Panoramica dello schema
Lo schema di gestione utenti ASIM descrive le attività di gestione degli utenti. Le attività in genere includono le entità seguenti:
- Attore : l'utente che esegue l'attività di gestione.
- Processo di recitazione: processo usato dall'attore per eseguire l'attività di gestione.
- Src : quando l'attività viene eseguita in rete, il dispositivo di origine da cui è stata avviata l'attività.
- Utente di destinazione: l'utente che ha un account viene gestito.
- Raggruppare l'utente di destinazione viene aggiunto o rimosso o modificato.
Alcune attività, ad esempio UserCreated, GroupCreated, UserModified e GroupModified*, impostano o aggiornano le proprietà utente. Il set di proprietà o l'aggiornamento sono documentati nei campi seguenti:
- EventSubType : nome del valore impostato o aggiornato. UpdatedPropertyName è un alias di EventSubType quando EventSubType fa riferimento a uno dei tipi di evento pertinenti.
- PreviousPropertyValue : valore precedente della proprietà .
- NewPropertyValue : valore aggiornato della proprietà.
Dettagli dello schema
Campi comuni di ASIM
Importante
I campi comuni a tutti gli schemi sono descritti in dettaglio nell'articolo Campi comuni ASIM.
Campi comuni con linee guida specifiche
L'elenco seguente elenca i campi con linee guida specifiche per gli eventi di attività di processo:
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| EventType | Obbligatorio | Enumerated | Descrive l'operazione segnalata dal record. Per l'attività Gestione utenti, i valori supportati sono: - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| EventSubType | Facoltativo | Enumerated | Sono supportati i sottotipi seguenti: - UserRead: password, hash- UserCreated, GroupCreated, UserModifiedGroupModified. Per altre informazioni, vedere UpdatedPropertyName |
| EventResult | Obbligatorio | Enumerated | Anche se l'errore è possibile, la maggior parte dei sistemi segnala solo gli eventi di gestione degli utenti riusciti. Il valore previsto per gli eventi riusciti è Success. |
| EventResultDetails | Consigliato | Enumerated | I valori validi sono NotAuthorized e Other. |
| EventSeverity | Obbligatorio | Enumerated | Anche se è consentito qualsiasi valore di gravità valido, la gravità degli eventi di gestione degli utenti è in Informationalgenere . |
| EventSchema | Obbligatorio | String | Il nome dello schema documentato qui è UserManagement. |
| EventSchemaVersion | Obbligatorio | String | La versione dello schema. La versione dello schema documentata qui è 0.1.1. |
| Campi Dvc | Per gli eventi di gestione degli utenti, i campi del dispositivo fanno riferimento al sistema che segnala l'evento. Si tratta in genere del sistema in cui viene gestito l'utente. |
Tutti i campi comuni
I campi visualizzati nella tabella seguente sono comuni a tutti gli schemi ASIM. Tutte le linee guida specificate in precedenza sostituiscono le linee guida generali per il campo. Ad esempio, un campo potrebbe essere facoltativo in generale, ma obbligatorio per uno schema specifico. Per altri dettagli su ogni campo, vedere l'articolo Campi comuni di ASIM.
| Classe | Campi |
|---|---|
| Obbligatorio | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Consigliato | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Facoltativo | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campi aggiuntivi - DvcDescription - DvcScopeId - DvcScope |
Campi delle proprietà aggiornati
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| UpdatedPropertyName | Alias | Alias per EventSubType quando il tipo di evento è UserCreated, GroupCreated, UserModifiedo GroupModified.I valori supportati sono: - MultipleProperties: usato quando l'attività aggiorna più proprietà- Previous<PropertyName>, dove <PropertyName> è uno dei valori supportati per UpdatedPropertyName. - New<PropertyName>, dove <PropertyName> è uno dei valori supportati per UpdatedPropertyName. |
|
| PreviousPropertyValue | Facoltativo | String | Valore precedente archiviato nella proprietà specificata. |
| NewPropertyValue | Facoltativo | String | Nuovo valore archiviato nella proprietà specificata. |
Campi utente di destinazione
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| TargetUserId | Facoltativo | String | Rappresentazione univoca dell'utente di destinazione leggibile, alfanumerica e leggibile dal computer. I formati e i tipi supportati includono: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Archiviare il tipo di ID nel campo TargetUserIdType . Se sono disponibili altri ID, è consigliabile normalizzare i nomi dei campi rispettivamente in TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId e TargetUserAwsId. Per altre informazioni, vedere L'entità User. Esempio: S-1-12 |
| TargetUserIdType | Facoltativo | Enumerated | Tipo dell'ID archiviato nel campo TargetUserId . I valori supportati sono SID, UID, OktaIdAADID, e AWSId. |
| TargetUsername | Facoltativo | String | Nome utente di destinazione, incluse le informazioni sul dominio, se disponibili. Usare uno dei formati seguenti e nell'ordine di priorità seguente: - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Semplice: johndow. Usare il modulo Semplice solo se le informazioni sul dominio non sono disponibili.Archiviare il tipo Nome utente nel campo TargetUsernameType . Se sono disponibili altri ID, è consigliabile normalizzare i nomi dei campi in TargetUserUpn, TargetUserWindows e TargetUserDn. Per altre informazioni, vedere L'entità User. Esempio: AlbertE |
| TargetUsernameType | Facoltativo | Enumerated | Specifica il tipo di nome utente archiviato nel campo TargetUsername . I valori supportati includono UPN, Windows, DNe Simple. Per altre informazioni, vedere L'entità User.Esempio: Windows |
| TargetUserType | Facoltativo | Enumerated | Tipo di utente di destinazione. I valori supportati includono: - Regular- Machine- Admin- System- Application- Service Principal- OtherNota: è possibile specificare il valore nel record di origine usando termini diversi, che devono essere normalizzati in questi valori. Archiviare il valore originale nel campo TargetOriginalUserType . |
| TargetOriginalUserType | Facoltativo | String | Tipo di utente di destinazione originale, se fornito dall'origine. |
Campi attore
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| ActorUserId | Facoltativo | String | Rappresentazione univoca, alfanumerica e leggibile del computer dell'attore. I formati e i tipi supportati includono: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Archiviare il tipo di ID nel campo ActorUserIdType . Se sono disponibili altri ID, è consigliabile normalizzare i nomi dei campi rispettivamente in ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId e ActorAwsId. Per altre informazioni, vedere L'entità User. Esempio: S-1-12 |
| ActorUserIdType | Facoltativo | Enumerated | Tipo dell'ID archiviato nel campo ActorUserId . I valori supportati includono SID, UIDAADID, OktaId, e AWSId. |
| ActorUsername | Obbligatorio | String | Nome utente attore, incluse le informazioni sul dominio, se disponibili. Usare uno dei formati seguenti e nell'ordine di priorità seguente: - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Semplice: johndow. Usare il modulo Semplice solo se le informazioni sul dominio non sono disponibili.Archiviare il tipo Nome utente nel campo ActorUsernameType . Se sono disponibili altri ID, è consigliabile normalizzare i nomi dei campi in ActorUserUpn, ActorUserWindows e ActorUserDn. Per altre informazioni, vedere L'entità User. Esempio: AlbertE |
| Utente | Alias | Alias per ActorUsername. | |
| ActorUsernameType | Obbligatorio | Enumerated | Specifica il tipo di nome utente archiviato nel campo ActorUsername . I valori supportati sono UPN, Windows, DNe Simple. Per altre informazioni, vedere L'entità User.Esempio: Windows |
| ActorUserType | Facoltativo | Enumerated | Tipo dell'attore. I valori consentiti sono i seguenti: - Regular- Machine- Admin- System- Application- Service Principal- OtherNota: è possibile specificare il valore nel record di origine usando termini diversi, che devono essere normalizzati in questi valori. Archiviare il valore originale nel campo ActorOriginalUserType . |
| ActorOriginalUserType | Tipo di utente dell'attore originale, se fornito dall'origine. | ||
| ActorSessionId | Facoltativo | String | ID univoco della sessione di accesso dell'attore. Esempio: 999Nota: il tipo è definito come stringa per supportare sistemi diversi, ma in Windows questo valore deve essere numerico. Se si usa un computer Windows e si usa un tipo diverso, assicurarsi di convertire i valori. Ad esempio, se è stato usato un valore esadecimale, convertirlo in un valore decimale. |
Raggruppare i campi
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| GroupId | Facoltativo | String | Rappresentazione univoca del gruppo leggibile dal computer, alfanumerica, per le attività che coinvolgono un gruppo. I formati e i tipi supportati includono: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578Archiviare il tipo di ID nel campo GroupIdType . Se sono disponibili altri ID, è consigliabile normalizzare i nomi dei campi rispettivamente in GroupSid o GroupUid. Per altre informazioni, vedere L'entità User. Esempio: S-1-12 |
| GroupIdType | Facoltativo | Enumerated | Tipo dell'ID archiviato nel campo GroupId . I valori supportati sono SIDe UID. |
| GroupName | Facoltativo | String | Nome del gruppo, incluse le informazioni sul dominio, se disponibili, per le attività che coinvolgono un gruppo. Usare uno dei formati seguenti e nell'ordine di priorità seguente: - Upn/Email: grp@contoso.com- Windows: Contoso\grp- DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM- Semplice: grp. Usare il modulo Semplice solo se le informazioni sul dominio non sono disponibili.Archiviare il nome del gruppo nel campo GroupNameType . Se sono disponibili altri ID, è consigliabile normalizzare i nomi dei campi in GroupUpn, GorupNameWindows e GroupDn. Esempio: Contoso\Finance |
| GroupNameType | Facoltativo | Enumerated | Specifica il tipo del nome del gruppo archiviato nel campo GroupName . I valori supportati includono UPN, Windows, DNe Simple.Esempio: Windows |
| GroupType | Facoltativo | Enumerated | Tipo del gruppo, per le attività che coinvolgono un gruppo. I valori supportati includono: - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- OtherNota: è possibile specificare il valore nel record di origine usando termini diversi, che devono essere normalizzati in questi valori. Archiviare il valore originale nel campo GroupOriginalType . |
| GroupOriginalType | Facoltativo | String | Tipo di gruppo originale, se fornito dall'origine. |
Campi di origine
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Src | Consigliato | String | Identificatore univoco del dispositivo di origine. Questo campo potrebbe eseguire l'alias dei campi SrcDvcId, SrcHostname o SrcIpAddr . Esempio: 192.168.12.1 |
| SrcIpAddr | Consigliato | Indirizzo IP | Indirizzo IP del dispositivo di origine. Questo valore è obbligatorio se viene specificato SrcHostname . Esempio: 77.138.103.108 |
| IpAddr | Alias | Alias per SrcIpAddr. | |
| SrcHostname | Consigliato | String | Nome host del dispositivo di origine, escluse le informazioni sul dominio. Esempio: DESKTOP-1282V4D |
| SrcDomain | Consigliato | String | Dominio del dispositivo di origine. Esempio: Contoso |
| SrcDomainType | Consigliato | Enumerated | Tipo di SrcDomain, se noto. I valori possibili includono: - Windows (ad esempio contoso)- FQDN (ad esempio microsoft.com)Obbligatorio se viene usato SrcDomain . |
| SrcFQDN | Facoltativo | String | Nome host del dispositivo di origine, incluse le informazioni sul dominio, se disponibili. Nota: questo campo supporta sia il formato FQDN tradizionale che il formato domain\hostname di Windows. Il campo SrcDomainType riflette il formato utilizzato. Esempio: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Facoltativo | String | ID del dispositivo di origine come indicato nel record. Esempio: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Facoltativo | String | ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. SrcDvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| SrcDvcScope | Facoltativo | String | L'ambito della piattaforma cloud a cui appartiene il dispositivo. SrcDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| SrcDvcIdType | Facoltativo | Enumerated | Tipo di SrcDvcId, se noto. I valori possibili includono: - AzureResourceId- MDEidSe sono disponibili più ID, usare rispettivamente il primo nell'elenco precedente e archiviare gli altri in SrcDvcAzureResourceId e SrcDvcMDEid. Nota: questo campo è obbligatorio se viene usato SrcDvcId . |
| SrcDeviceType | Facoltativo | Enumerated | Tipo del dispositivo di origine. I valori possibili includono: - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | Facoltativo | Country | Paese associato all'indirizzo IP di origine. Esempio: USA |
| SrcGeoRegion | Facoltativo | Paese | Area associata all'indirizzo IP di origine. Esempio: Vermont |
| SrcGeoCity | Facoltativo | Città | Città associata all'indirizzo IP di origine. Esempio: Burlington |
| SrcGeoLatitude | Facoltativo | Latitudine | Latitudine della coordinata geografica associata all'indirizzo IP di origine. Esempio: 44.475833 |
| SrcGeoLongitude | Facoltativo | Longitude | Longitudine della coordinata geografica associata all'indirizzo IP di origine. Esempio: 73.211944 |
Applicazione che agisce
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| ActingAppId | Facoltativo | String | ID dell'applicazione utilizzata dall'attore per eseguire l'attività, inclusi un processo, un browser o un servizio. Ad esempio: 0x12ae8 |
| ActingAppName | Facoltativo | String | Nome dell'applicazione utilizzata dall'attore per eseguire l'attività, incluso un processo, un browser o un servizio. Ad esempio: C:\Windows\System32\svchost.exe |
| ActingAppType | Facoltativo | Enumerated | Tipo di applicazione che agisce. I valori supportati includono: - Process - Browser - Resource - Other |
| HttpUserAgent | Facoltativo | String | Quando l'autenticazione viene eseguita tramite HTTP o HTTPS, il valore di questo campo è l'intestazione HTTP user_agent fornita dall'applicazione che agisce durante l'esecuzione dell'autenticazione. Ad esempio: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Altri campi e alias
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Hostname (Nome host) | Alias | Alias in DvcHostname. |
Passaggi successivi
Per altre informazioni, vedi: