Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Gli utenti sono fondamentali per le attività segnalate dagli eventi. I campi dell'entità utente elencati in questa sezione vengono usati per descrivere gli utenti coinvolti nell'azione. Se usato in un evento, i prefissi vengono usati per designare il ruolo di un'entità utente nell'attività. I prefissi Src e Dst vengono usati per designare il ruolo utente negli eventi correlati alla rete, in cui comunicano un sistema di origine e un sistema di destinazione. I prefissi "Actor" e "Target" vengono usati per gli eventi orientati al sistema, ad esempio gli eventi di processo.
ID utente e ambito
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Userid | Facoltativo | Stringa | Rappresentazione univoca, alfanumerica e leggibile dal computer dell'utente. |
| UserScope | Facoltativo | stringa | Ambito in cui vengono definiti UserId e Username . Ad esempio, un Microsoft Entra nome di dominio tenant. Il campo UserIdType rappresenta anche il tipo dell'oggetto associato a questo campo. |
| UserScopeId | Facoltativo | stringa | ID dell'ambito in cui vengono definiti UserId e Username . Ad esempio, un MICROSOFT ENTRA ID directory tenant. Il campo UserIdType rappresenta anche il tipo dell'oggetto associato a questo campo. |
| UserIdType | Facoltativo | UserIdType | Tipo dell'ID archiviato nel campo UserId . |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | Facoltativo | Stringa | Campi usati per archiviare ID utente specifici. Selezionare l'ID più associato all'evento come ID primario archiviato in UserId. Popolare il campo ID specifico pertinente, oltre a UserId, anche se l'evento ha un solo ID. |
| UserAADTenant, UserAWSAccount | Facoltativo | Stringa | Campi usati per archiviare ambiti specifici. Usare il campo UserScope per l'ambito associato all'ID archiviato nel campo UserId . Popolare il campo di ambito specifico pertinente, oltre a UserScope, anche se l'evento ha un solo ID. |
I valori consentiti per un tipo di ID utente sono:
| Tipo | Descrizione | Esempio |
|---|---|---|
| SID | ID utente di Windows. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | ID utente Linux. | 4578 |
| AADID | ID utente Microsoft Entra. | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| OktaId | ID utente okta. | 00urjk4znu3BcncfY0h7 |
| AWSId | ID utente AWS. | 72643944673 |
| PUID | ID utente di Microsoft 365. | 10032001582F435C |
| SalesforceId | ID utente di Salesforce. | 00530000009M943 |
Nome utente
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Nome utente | Facoltativo | Stringa | Nome utente di origine, incluse le informazioni sul dominio quando disponibili. Usare il modulo semplice solo se le informazioni sul dominio non sono disponibili. Archiviare il tipo di nome utente nel campo UsernameType . |
| UsernameType | Facoltativo | UsernameType | Specifica il tipo di nome utente archiviato nel campo Nome utente . |
| UserUPN, WindowsUsername, DNUsername, SimpleUsername | Facoltativo | Stringa | Campi usati per archiviare nomi utente aggiuntivi, se l'evento originale include più nomi utente. Selezionare il nome utente più associato all'evento come nome utente primario archiviato in Nome utente. |
I valori consentiti per un tipo di nome utente sono:
| Tipo | Descrizione | Esempio |
|---|---|---|
| UPN | Un nome utente upn o Email indirizzo. | johndow@contoso.com |
| Windows | Nome utente di Windows che include un dominio. | Contoso\johndow |
| DN | Designazione del nome distinto LDAP. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| Semplice | Un nome utente semplice senza un designatore di dominio. | johndow |
| AWSId | ID utente AWS. | 72643944673 |
Campi utente aggiuntivi
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Usertype | Facoltativo | Usertype | Tipo di utente di origine. I valori supportati includono: - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.Il valore può essere fornito nel record di origine usando termini diversi, che devono essere normalizzati in base a questi valori. Archiviare il valore originale nel campo OriginalUserType . |
| OriginalUserType | Facoltativo | Stringa | Tipo di utente di destinazione originale, se fornito dal dispositivo di report. |