사용자는 이벤트에서 보고되는 활동의 중심입니다. 이 섹션에 나열된 사용자 엔터티 필드는 해당 행동에 관련된 사용자를 설명하는 데 사용됩니다. 이벤트에서 사용할 때, 접두사는 해당 활동에서 사용자 엔티티의 역할을 지정하는 데 사용됩니다. 접두사 Src 및 Dst는 원본 시스템과 대상 시스템이 통신하는 네트워크 관련 이벤트에서 사용자 역할을 지정하는 데 사용됩니다. 'Actor' 및 'Target' 접두사는 프로세스 이벤트와 같은 시스템 지향 이벤트에 사용됩니다.
사용자 ID 및 범위
| 분야 | 클래스 | 유형 | Description |
|---|---|---|---|
| 사용자 ID | 선택적 | String | 컴퓨터에서 읽을 수 있는 영숫자의 사용자에 대한 고유한 표현입니다. |
| 사용자 스코프 | 선택적 | 문자열 | UserId 및 Username이 정의된 범위입니다. 예를 들어 Microsoft Entra 테넌트 도메인 이름입니다. UserIdType 필드는 이 필드와 관련된 유형도 나타냅니다. |
| UserScopeID | 선택적 | 문자열 | UserId 및 Username이 정의된 범위의 ID입니다. 예를 들어 Microsoft Entra 테넌트 디렉터리 ID입니다. UserIdType 필드는 이 필드와 관련된 유형도 나타냅니다. |
| UserIdType | 선택적 | UserIdType | UserId 필드에 저장된 ID 형식입니다. |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | 선택적 | String | 특정 사용자 ID를 저장하는 데 사용되는 필드입니다. 이벤트와 가장 연결된 ID를 UserId에 저장된 기본 ID로 선택합니다. 이벤트에 ID가 하나만 있는 경우에도 UserId 외에 관련 특정 ID 필드를 채웁니다. |
| UserAADTenant, UserAWSAccount | 선택적 | String | 특정 범위를 저장하는 데 사용되는 필드입니다. UserId 필드에 저장된 ID와 연결된 범위에 UserScope 필드를 사용합니다. 이벤트에 ID가 하나만 있는 경우에도 UserScope 외에 관련 특정 범위 필드를 채웁니다. |
사용자 ID 유형에 허용되는 값은 다음과 같습니다.
| 유형 | Description | 예시 |
|---|---|---|
| SID | Windows 사용자 ID. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | Linux 사용자 ID. | 4578 |
| AADID | Microsoft Entra 사용자 ID입니다. | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| OktaId | OKTA 사용자 ID. | 00urjk4znu3BcncfY0h7 |
| AWSId | AWS 사용자 ID. | 72643944673 |
| PUID | Microsoft 365 사용자 ID입니다. | 10032001582F435C |
| SalesforceId | Salesforce 사용자 ID입니다. | 00530000009M943 |
사용자 이름입니다.
| 분야 | 클래스 | 유형 | Description |
|---|---|---|---|
| 사용자 이름 | 선택적 | String | 사용 가능한 경우 도메인 정보를 포함한 원본 사용자 이름입니다. 도메인 정보를 사용할 수 없는 경우에만 단순 양식을 사용합니다. UsernameType 필드에 사용자 이름 유형을 저장합니다. |
| UsernameType | 선택적 | UsernameType | Username 필드에 저장된 사용자 이름 형식을 지정합니다. |
| UserUPN, WindowsUsername, DNUsername, SimpleUsername | 선택적 | String | 원래 이벤트에 여러 사용자 이름이 포함된 경우 추가 사용자 이름을 저장하는 데 사용되는 필드입니다. 사용자 이름에 저장된 기본 사용자 이름으로 이벤트와 가장 연결된 사용자 이름을 선택합니다. |
사용자 이름 유형에 허용되는 값은 다음과 같습니다.
| 유형 | Description | 예시 |
|---|---|---|
| UPN | UPN 또는 이메일 주소 사용자 이름 지정자. | johndow@contoso.com |
| Windows | 도메인을 포함한 Windows 사용자 이름. | Contoso\johndow |
| DN | LDAP 고유 이름 지정자. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| Simple | 도메인 지정자가 없는 간단한 사용자 이름. | johndow |
| AWSId | AWS 사용자 ID. | 72643944673 |
추가 사용자 필드
| 분야 | 클래스 | 유형 | Description |
|---|---|---|---|
| UserType | 선택적 | 사용자 유형 | 원본 사용자의 형식입니다. 지원되는 값은 다음과 같습니다. - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.값은 이러한 값으로 정규화되어야 하는 다른 조건을 사용하여 원본 레코드에 제공될 수 있습니다. OriginalUserType 필드에 원래 값을 저장합니다. |
| 오리지널 유저타입 | 선택적 | String | 보고 디바이스에서 제공한 경우 원래 대상 사용자 유형입니다. |