다음을 통해 공유

Microsoft Sentinel 사용자 관리 정규화 스키마 참조(미리 보기)

  • 아티클

Microsoft Sentinel 사용자 관리 정규화 스키마는 사용자 또는 그룹 만들기, 사용자 특성 변경 또는 그룹에 사용자 추가와 같은 사용자 관리 작업을 설명하는 데 사용됩니다. 이러한 이벤트는 예를 들어 운영 체제, 디렉터리 서비스, ID 관리 시스템 및 로컬 사용자 관리 작업에 대해 보고하는 기타 시스템에 의해 보고됩니다.

Microsoft Sentinel의 정규화에 대한 자세한 내용은 정규화 및 ASIM(고급 보안 정보 모델)을 참조하세요.

Important

사용자 관리 정규화 스키마는 현재 미리 보기 상태입니다. 이 기능은 서비스 수준 계약 없이 제공됩니다. 프로덕션 워크로드에는 권장하지 않습니다.

Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

스키마 개요

ASIM 사용자 관리 스키마는 사용자 관리 작업을 설명합니다. 작업에는 일반적으로 다음 엔터티가 포함됩니다.

  • 작업자 - 관리 작업을 수행하는 사용자입니다.
  • 실행 프로세스 - 작업자가 관리 작업을 수행하는 데 사용하는 프로세스입니다.
  • Src - 작업이 네트워크를 통해 수행될 때 작업이 시작된 원본 디바이스입니다.
  • 대상 사용자 - 계정이 관리되는 사용자입니다.
  • 그룹 대상 사용자가 추가 또는 제거되거나 수정됩니다.

UserCreated, GroupCreated, UserModifiedGroupModified*와 같은 일부 작업은 사용자 속성을 설정하거나 업데이트합니다. 속성 집합 또는 업데이트는 다음 필드에 설명되어 있습니다.

스키마 세부 정보

일반적인 ASIM 필드

Important

모든 스키마에 공통적인 필드는 ASIM 공통 필드 문서에 자세히 설명되어 있습니다.

특정 지침이 있는 공통 필드

다음 목록에는 프로세스 작업 이벤트에 대한 특정 지침이 있는 필드가 나와 있습니다.

필드 클래스 Type 설명
EventType 필수 열거 레코드에서 보고하는 작업을 설명합니다.

사용자 관리 작업의 경우 지원되는 값은 다음과 같습니다.
- UserCreated
- UserDeleted
- UserModified
- UserLocked
- UserUnlocked
- UserDisabled
- UserEnabled
- PasswordChanged
- PasswordReset
- GroupCreated
- GroupDeleted
- GroupModified
- UserAddedToGroup
- UserRemovedFromGroup
- GroupEnumerated
- UserRead
- GroupRead
EventSubType 선택 사항 열거 다음 하위 형식이 지원됩니다.
- UserRead: 암호, 해시
- UserCreated, GroupCreated, UserModified, GroupModified. 자세한 내용은 UpdatedPropertyName을 참조하세요.
EventResult 필수 열거 실패가 가능하지만 대부분의 시스템은 성공적인 사용자 관리 이벤트만 보고합니다. 성공적인 이벤트의 예상 값은 Success입니다.
EventResultDetails 권장 열거 유효한 값은 다음과 같습니다 NotAuthorizedOther.
EventSeverity 필수 열거 모든 유효한 심각도 값이 허용되지만 사용자 관리 이벤트의 심각도는 일반적으로 Informational입니다.
EventSchema 필수 문자열 여기에 설명된 스키마의 이름은 UserManagement입니다.
EventSchemaVersion 필수 문자열 스키마의 버전입니다. 여기에 설명된 스키마의 버전은 0.1.1입니다.
Dvc 필드 사용자 관리 이벤트의 경우 디바이스 필드는 이벤트를 보고하는 시스템을 나타냅니다. 이는 일반적으로 사용자가 관리되는 시스템입니다.

모든 공통 필드

아래 표에 나열된 필드는 모든 ASIM 스키마에 공통적으로 적용됩니다. 위에 지정된 모든 지침은 필드에 대한 일반 지침을 재정의합니다. 예를 들어 필드가 일반적으로 선택 사항이지만 특정 스키마에서는 필수 사항일 수 있습니다. 각 필드에 대한 자세한 내용은 ASIM 공통 필드 문서를 참조하세요.

클래스 필드
필수 - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
권장 - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
선택 사항 - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

업데이트된 속성 필드

필드 클래스 Type 설명
UpdatedPropertyName Alias 이벤트 형식이 UserCreated, GroupCreated, UserModified 또는 GroupModified인 경우 EventSubType에 대한 별칭입니다.

지원되는 값은 다음과 같습니다.
- MultipleProperties: 작업이 여러 속성을 업데이트할 때 사용됩니다.
- Previous<PropertyName>, 여기서 <PropertyName>UpdatedPropertyName에 대해 지원되는 값 중 하나입니다.
- New<PropertyName>, 여기서 <PropertyName>UpdatedPropertyName에 대해 지원되는 값 중 하나입니다.
PreviousPropertyValue 선택 사항 문자열 지정된 속성에 저장된 이전 값입니다.
NewPropertyValue 선택 사항 문자열 지정된 속성에 저장된 새 값입니다.

대상 사용자 필드

필드 클래스 Type 설명
TargetUserId 선택 사항 문자열 컴퓨터에서 읽을 수 있는 영숫자의 대상 사용자에 대한 고유한 표현입니다.

지원되는 형식 및 형식은 다음과 같습니다.
- SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500
- UID (Linux): 4578
- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa
- OktaId: 00urjk4znu3BcncfY0h7
- AWSId: 72643944673

TargetUserIdType 필드에 ID 형식을 저장합니다. 다른 ID를 사용할 수 있는 경우 필드 이름을 각각 TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaIdTargetUserAwsId로 정규화하는 것이 좋습니다. 자세한 내용은 사용자 엔터티를 참조하세요.

예: S-1-12
TargetUserIdType 선택 사항 열거 TargetUserId 필드에 저장된 ID 형식입니다.

지원되는 값은 SID, UID, AADID, OktaIdAWSId입니다.
TargetUsername 선택 사항 문자열 사용 가능한 경우 도메인 정보를 포함한 대상의 사용자 이름입니다.

다음 형식 중 하나를 다음 우선 순위에 따라 사용합니다.
- Upn/Email: johndow@contoso.com
- Windows: Contoso\johndow
- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
- 단순: johndow. 도메인 정보를 사용할 수 없는 경우에만 단순 양식을 사용합니다.

TargetUsernameType 필드에 사용자 이름 형식을 저장합니다. 다른 ID를 사용할 수 있는 경우 필드 이름을 TargetUserUpn, TargetUserWindowsTargetUserDn으로 정규화하는 것이 좋습니다. 자세한 내용은 사용자 엔터티를 참조하세요.

예: AlbertE
TargetUsernameType 선택 사항 열거 TargetUsername 필드에 저장된 사용자 이름의 형식을 지정합니다. 지원되는 값은 UPN, Windows, DNSimple입니다. 자세한 내용은 사용자 엔터티를 참조하세요.

예: Windows
TargetUserType 선택 사항 열거 대상 사용자의 형식입니다. 지원되는 값은 다음과 같습니다.
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Other

참고: 다른 용어를 사용하여 원본 레코드에 값을 제공할 수 있으며 이러한 값으로 정규화되어야 합니다. TargetOriginalUserType 필드에 원래 값을 저장합니다.
TargetOriginalUserType 선택 사항 문자열 원본에서 제공한 경우 원래 대상 사용자 유형입니다.

작업자 필드

필드 클래스 Type 설명
ActorUserId 선택 사항 문자열 컴퓨터에서 읽을 수 있는 영숫자, 행위자의 고유한 표현입니다.

지원되는 형식 및 형식은 다음과 같습니다.
- SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500
- UID (Linux): 4578
- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa
- OktaId: 00urjk4znu3BcncfY0h7
- AWSId: 72643944673

ActorUserIdType 필드에 ID 형식을 저장합니다. 다른 ID를 사용할 수 있는 경우 필드 이름을 각각 ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaIdActorAwsId로 정규화하는 것이 좋습니다. 자세한 내용은 사용자 엔터티를 참조하세요.

예: S-1-12
ActorUserIdType 선택 사항 열거 ActorUserId 필드에 저장된 ID의 형식입니다. 지원되는 값은 SID, UID, AADID, OktaIdAWSId입니다.
ActorUsername 필수 문자열 사용 가능한 경우 도메인 정보를 포함한 작업자의 사용자 이름입니다.

다음 형식 중 하나를 다음 우선 순위에 따라 사용합니다.
- Upn/Email: johndow@contoso.com
- Windows: Contoso\johndow
- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
- 단순: johndow. 도메인 정보를 사용할 수 없는 경우에만 단순 양식을 사용합니다.

ActorUsernameType 필드에 사용자 이름 형식을 저장합니다. 다른 ID를 사용할 수 있는 경우 필드 이름을 ActorUserUpn, ActorUserWindowsActorUserDn으로 정규화하는 것이 좋습니다.

자세한 내용은 사용자 엔터티를 참조하세요.

예: AlbertE
사용자 Alias ActorUsername에 대한 별칭입니다.
ActorUsernameType 필수 열거 ActorUsername 필드에 저장된 사용자 이름 형식을 지정합니다. 지원되는 값은 UPN, Windows, DNSimple입니다. 자세한 내용은 사용자 엔터티를 참조하세요.

예: Windows
ActorUserType 선택 사항 열거 행위자의 형식입니다. 허용된 값은 다음과 같습니다.
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Other

참고: 다른 용어를 사용하여 원본 레코드에 값을 제공할 수 있으며 이러한 값으로 정규화되어야 합니다. ActorOriginalUserType 필드에 원래 값을 저장합니다.
ActorOriginalUserType 원본에서 제공한 경우 원래 작업자 사용자 유형입니다.
ActorSessionId 선택 사항 문자열 작업자 로그인 세션의 고유 ID.

예: 999

참고: 유형은 다양한 시스템을 지원하기 위해 문자열로 정의되지만 Windows에서는 이 값이 숫자여야 합니다.

Windows 머신을 사용하고 다른 형식을 사용하는 경우에는 값을 변환해야 합니다. 예를 들어 16진수 값을 사용한 경우 10진수 값으로 변환합니다.

그룹 필드

필드 클래스 Type 설명
GroupId 선택 사항 문자열 그룹과 관련된 작업에 대해 컴퓨터가 읽을 수 있는 영숫자 고유 그룹 표현입니다.

지원되는 형식 및 형식은 다음과 같습니다.
- SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500
- UID (Linux): 4578

GroupIdType 필드에 ID 형식을 저장합니다. 다른 ID를 사용할 수 있는 경우 필드 이름을 각각 GroupSid 또는 GroupUid로 정규화하는 것이 좋습니다. 자세한 내용은 사용자 엔터티를 참조하세요.

예: S-1-12
GroupIdType 선택 사항 열거 GroupId 필드에 저장된 ID 형식입니다.

지원되는 값은 SIDUID입니다.
GroupName 선택 사항 문자열 그룹과 관련된 작업에 대한 그룹 이름(사용 가능한 경우 도메인 정보 포함)입니다.

다음 형식 중 하나를 다음 우선 순위에 따라 사용합니다.
- Upn/Email: grp@contoso.com
- Windows: Contoso\grp
- DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM
- 단순: grp. 도메인 정보를 사용할 수 없는 경우에만 단순 양식을 사용합니다.

GroupNameType 필드에 그룹 이름 형식을 저장합니다. 다른 ID를 사용할 수 있는 경우 필드 이름을 GroupUpn, GorupNameWindowsGroupDn으로 정규화하는 것이 좋습니다.

예: Contoso\Finance
GroupNameType 선택 사항 열거 GroupName 필드에 저장된 그룹 이름의 형식을 지정합니다. 지원되는 값은 UPN, Windows, DNSimple입니다.

예: Windows
GroupType 선택 사항 열거 그룹과 관련된 작업의 경우 그룹 형식입니다. 지원되는 값은 다음과 같습니다.
- Local Distribution
- Local Security Enabled
- Global Distribution
- Global Security Enabled
- Universal Distribution
- Universal Security Enabled
- Other

참고: 다른 용어를 사용하여 원본 레코드에 값을 제공할 수 있으며 이러한 값으로 정규화되어야 합니다. GroupOriginalType 필드에 원래 값을 저장합니다.
GroupOriginalType 선택 사항 문자열 원본에서 제공한 경우 원래 그룹 유형입니다.

원본 필드

필드 클래스 Type 설명
Src 권장 문자열 원본 디바이스의 고유 식별자입니다.

이 필드는 SrcDvcId, SrcHostname 또는 SrcIpAddr 필드의 별칭을 지정할 수 있습니다.

예: 192.168.12.1
SrcIpAddr 권장 IP 주소 원본 디바이스의 IP 주소입니다. 이 값은 SrcHostname이 지정된 경우 필수입니다.

예: 77.138.103.108
IpAddr Alias SrcIpAddr에 대한 별칭입니다.
SrcHostname 권장 문자열 도메인 정보를 제외한 원본 디바이스 호스트 이름입니다.

예: DESKTOP-1282V4D
SrcDomain 권장 문자열 원본 디바이스의 도메인입니다.

예: Contoso
SrcDomainType 권장 열거 알려진 경우 SrcDomain의 형식입니다. 가능한 값은 다음을 포함합니다.
- Windows(예: contoso)
- FQDN(예: microsoft.com)

SrcDomain을 사용하는 경우 필수입니다.
SrcFQDN 선택 사항 문자열 사용 가능한 경우 do기본 정보를 포함한 원본 디바이스 호스트 이름입니다.

참고: 이 필드는 기존 FQDN 형식과 Windows 도메인\호스트 이름 형식을 모두 지원합니다. SrcDomainType 필드는 사용된 형식을 반영합니다.

예: Contoso\DESKTOP-1282V4D
SrcDvcId 선택 사항 문자열 레코드에 보고된 원본 디바이스의 ID입니다.

예: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId 선택 사항 문자열 디바이스가 속한 클라우드 플랫폼 범위 ID입니다. SrcDvcScopeId 는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다.
SrcDvcScope 선택 사항 문자열 디바이스가 속한 클라우드 플랫폼 범위입니다. SrcDvcScope는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다.
SrcDvcIdType 선택 사항 열거 알려진 경우 SrcDvcId의 형식입니다. 가능한 값은 다음을 포함합니다.
- AzureResourceId
- MDEid

여러 ID를 사용할 수 있는 경우 앞의 목록에서 첫 번째 ID를 사용하고 나머지는 각각 SrcDvcAzureResourceIdSrcDvcMDEid에 저장합니다.

참고: 이 필드는 SrcDvcId가 사용되는 경우 필수입니다.
SrcDeviceType 선택 사항 열거 원본 디바이스의 형식입니다. 가능한 값은 다음을 포함합니다.
- Computer
- Mobile Device
- IOT Device
- Other
SrcGeoCountry 선택 사항 Country 원본 IP 주소와 연결된 국가입니다.

예: USA
SrcGeoRegion 선택 사항 지역 원본 IP 주소와 연결된 지역입니다.

예: Vermont
SrcGeoCity 선택 사항 시/군/구 원본 IP 주소와 연결된 도시입니다.

예: Burlington
SrcGeoLatitude 선택 사항 위도 원본 IP 주소와 연결된 지리적 좌표의 위도입니다.

예: 44.475833
SrcGeoLongitude 선택 사항 경도 원본 IP 주소와 연결된 지리적 좌표의 경도입니다.

예: 73.211944

작업 애플리케이션

필드 클래스 Type 설명
ActingAppId 선택 사항 문자열 프로세스, 브라우저 또는 서비스를 포함하여 작업자가 작업을 수행하는 데 사용하는 애플리케이션의 ID입니다.

예: 0x12ae8
ActingAppName 선택 사항 문자열 프로세스, 브라우저 또는 서비스를 포함하여 작업자가 작업을 수행하는 데 사용하는 애플리케이션의 이름입니다.

예: C:\Windows\System32\svchost.exe
ActingAppType 선택 사항 열거 작업 애플리케이션의 형식입니다. 지원되는 값은 ,
- Process
- Browser
- Resource
- Other
HttpUserAgent 선택 사항 문자열 HTTP 또는 HTTPS를 통해 인증을 수행하는 경우 이 필드의 값은 인증을 수행할 때 동작 애플리케이션에서 제공하는 user_agent HTTP 헤더입니다.

예: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

추가 필드 및 별칭

필드 클래스 Type 설명
Hostname Alias DvcHostname에 대한 별칭입니다.

다음 단계

자세한 내용은 다음을 참조하세요.