Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het normalisatieschema voor Microsoft Sentinel-gebruikersbeheer wordt gebruikt om activiteiten voor gebruikersbeheer te beschrijven, zoals het maken van een gebruiker of een groep, het wijzigen van het gebruikerskenmerk of het toevoegen van een gebruiker aan een groep. Dergelijke gebeurtenissen worden bijvoorbeeld gerapporteerd door besturingssystemen, adreslijstservices, identiteitsbeheersystemen en andere systeemrapportages over de lokale activiteiten van gebruikersbeheer.
Zie Normalization and the Advanced Security Information Model (ASIM) voor meer informatie over normalisatie in Microsoft Sentinel.
Schemaoverzicht
In het ASIM-schema voor gebruikersbeheer worden activiteiten voor gebruikersbeheer beschreven. De activiteiten omvatten doorgaans de volgende entiteiten:
- Actor : de gebruiker die de beheeractiviteit uitvoert.
- Acterend proces : het proces dat door de actor wordt gebruikt om de beheeractiviteit uit te voeren.
- Src : wanneer de activiteit via het netwerk wordt uitgevoerd, wordt het bronapparaat waaruit de activiteit is gestart.
- Doelgebruiker : de gebruiker die het account beheert.
- Groepeer de doelgebruiker wordt toegevoegd of verwijderd uit of wordt gewijzigd.
Sommige activiteiten, zoals UserCreated, GroupCreated, UserModified en GroupModified*, stellen gebruikerseigenschappen in of bij. De eigenschappenset of bijgewerkte eigenschap wordt beschreven in de volgende velden:
- EventSubType : de naam van de waarde die is ingesteld of bijgewerkt. UpdatedPropertyName is een alias voor EventSubType wanneer EventSubType verwijst naar een van de relevante gebeurtenistypen.
- PreviousPropertyValue - de vorige waarde van de eigenschap.
- NewPropertyValue : de bijgewerkte waarde van de eigenschap.
Schemadetails
Algemene ASIM-velden
Belangrijk
Velden die voor alle schema's gelden, worden uitgebreid beschreven in het artikel Algemene ASIM-velden .
Algemene velden met specifieke richtlijnen
In de volgende lijst worden velden vermeld met specifieke richtlijnen voor procesactiviteitsevenementen:
| Veld | Klas | Type | Description |
|---|---|---|---|
| EventType | Verplicht | Enumerated | Beschrijft de bewerking die door de record is gerapporteerd. Voor gebruikersbeheeractiviteit zijn de ondersteunde waarden: - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| GebeurtenisSubType | Optioneel | Enumerated | De volgende subtypen worden ondersteund: - UserRead: wachtwoord, hash- UserCreated, , GroupCreatedUserModified, . GroupModified Zie UpdatedPropertyName voor meer informatie |
| EventResult | Verplicht | Enumerated | Hoewel fouten mogelijk zijn, rapporteren de meeste systemen alleen geslaagde gebeurtenissen voor gebruikersbeheer. De verwachte waarde voor geslaagde gebeurtenissen is Success. |
| EventResultDetails | Aanbevolen | Enumerated | De geldige waarden zijn NotAuthorized en Other. |
| EventSeverity | Verplicht | Enumerated | Hoewel een geldige ernstwaarde is toegestaan, is de ernst van gebeurtenissen van gebruikersbeheer doorgaans Informational. |
| EventSchema | Verplicht | Enumerated | De naam van het schema dat hier wordt beschreven, is UserManagement. |
| EventSchemaVersion | Verplicht | SchemaVersion (string) | De versie van het schema. De versie van het schema dat hier wordt beschreven, is 0.1.2. |
| Dvc-velden | Voor gebeurtenissen van gebruikersbeheer verwijzen apparaatvelden naar het systeem dat de gebeurtenis rapporteert. Dit is meestal het systeem waarop de gebruiker wordt beheerd. |
Alle algemene velden
Velden die in de onderstaande tabel worden weergegeven, zijn gebruikelijk voor alle ASIM-schema's. Elke hierboven opgegeven richtlijn overschrijft de algemene richtlijnen voor het veld. Een veld kan bijvoorbeeld optioneel zijn in het algemeen, maar verplicht voor een specifiek schema. Raadpleeg het artikel Algemene ASIM-velden voor meer informatie over elk veld.
| Klas | Velden |
|---|---|
| Verplicht |
-
Aantal gebeurtenissen - Starttijd van het evenement - EventEndTime - Soort gebeurtenis - Resultaat van evenement - Evenement Product - Verkoper van evenementen - EventSchema - EventSchemaVersion - DVC |
| Aanbevolen |
-
EvenementResultaatDetails - GebeurtenisErnst - Uiteindelijke gebeurtenis - DvcIpAddr - DvcHostnaam - DvcDomein - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optioneel |
-
Evenement Bericht - GebeurtenisSubType - EvenementOriginalUid - GebeurtenisOrigineelType - EventOriginalSubType - EventOrigineelResultaatDetails - GebeurtenisOrigineelErnst - EventProductVersie - GebeurtenisRapportUrl - Eigenaar van het evenement - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - Dvc-koppeling - Aanvullende velden - DvcBeschrijving - DvcScopeId - DvcScope |
Bijgewerkte eigenschapsvelden
| Veld | Klas | Type | Description |
|---|---|---|---|
| UpdatedPropertyName | Alias | Alias naar EventSubType wanneer het gebeurtenistype , UserCreatedGroupCreatedof UserModifiedGroupModified.Ondersteunde waarden zijn: - MultipleProperties: Wordt gebruikt wanneer de activiteit meerdere eigenschappen bijwerken- Previous<PropertyName>, waar <PropertyName> is een van de ondersteunde waarden voor UpdatedPropertyName. - New<PropertyName>, waar <PropertyName> is een van de ondersteunde waarden voor UpdatedPropertyName. |
|
| VorigeVastgoedWaarde | Optioneel | String | De vorige waarde die is opgeslagen in de opgegeven eigenschap. |
| NewPropertyValue | Optioneel | String | De nieuwe waarde die is opgeslagen in de opgegeven eigenschap. |
Doelgebruikersvelden
| Veld | Klas | Type | Description |
|---|---|---|---|
| TargetUserId | Optioneel | String | Een machineleesbare, alfanumerieke, unieke weergave van de doelgebruiker. Ondersteunde indelingen en typen zijn: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Sla het id-type op in het veld TargetUserIdType . Als er andere id's beschikbaar zijn, raden we u aan om de veldnamen te normaliseren naar TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId en TargetUserAwsId. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: S-1-12 |
| TargetUserIdType | Conditional | Enumerated | Het type id dat is opgeslagen in het veld TargetUserId . Ondersteunde waarden zijn SID, UID, , AADIDen OktaIdAWSId. |
| TargetGebruikersnaam | Optioneel | Gebruikersnaam (String) | De doelgebruikersnaam, inclusief domeingegevens, indien beschikbaar. Gebruik een van de volgende notaties en in de volgende volgorde van prioriteit: - Upn/e-mail: johndow@contoso.com- Vensters: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Eenvoudig: johndow. Gebruik het eenvoudige formulier alleen als domeingegevens niet beschikbaar zijn.Sla het gebruikersnaamtype op in het veld TargetUsernameType . Als er andere id's beschikbaar zijn, raden we u aan om de veldnamen te normaliseren naar TargetUserUpn, TargetUserWindows en TargetUserDn. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: AlbertE |
| DoelGebruikersnaamType | Conditional | Enumerated | Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld TargetUsername . Ondersteunde waarden zijn onder andere UPN, Windows, DNen Simple. Zie De entiteit Gebruiker voor meer informatie.Voorbeeld: Windows |
| TargetUserType | Optioneel | Enumerated | Het type doelgebruiker. Ondersteunde waarden zijn onder andere: - Regular- Machine- Admin- System- Application- Service Principal- OtherOpmerking: De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd voor deze waarden. Sla de oorspronkelijke waarde op in het veld TargetOriginalUserType . |
| TargetOriginalUserType | Optioneel | String | Het oorspronkelijke doelgebruikerstype, indien opgegeven door de bron. |
| TargetUserScope | Optioneel | String | Het bereik, zoals Microsoft Entra-tenant, waarin TargetUserId en TargetUsername worden gedefinieerd. of meer informatie en lijst met toegestane waarden, zie UserScope in het artikel Schemaoverzicht. |
| TargetUserScopeId | Optioneel | String | De bereik-id, zoals Microsoft Entra Directory-id, waarin TargetUserId en TargetUsername worden gedefinieerd. Zie UserScopeId in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| TargetUserSessionId | Optioneel | String | De unieke id van de aanmeldingssessie van de doelgebruiker. Voorbeeld: 999 Opmerking: Het type wordt gedefinieerd als tekenreeks ter ondersteuning van verschillende systemen, maar in Windows moet deze waarde numeriek zijn. Als u een Windows- of Linux-computer gebruikt en een ander type gebruikt, moet u de waarden converteren. Als u bijvoorbeeld een hexadecimale waarde hebt gebruikt, converteert u deze naar een decimale waarde. |
Actorvelden
| Veld | Klas | Type | Description |
|---|---|---|---|
| ActorUserId | Optioneel | String | Een machineleesbare, alfanumerieke, unieke weergave van de actor. Ondersteunde indelingen en typen zijn: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Sla het id-type op in het veld ActorUserIdType . Als er andere id's beschikbaar zijn, raden we u aan om de veldnamen te normaliseren voor ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId en ActorAwsId. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: S-1-12 |
| ActorUserIdType | Conditional | Enumerated | Het type id dat is opgeslagen in het veld ActorUserId . Ondersteunde waarden zijn onder andere SID, UID, AADID, OktaIden AWSId. |
| ActorGebruikersnaam | Verplicht | Gebruikersnaam (String) | De gebruikersnaam van de actor, inclusief domeingegevens, indien beschikbaar. Gebruik een van de volgende notaties en in de volgende volgorde van prioriteit: - Upn/e-mail: johndow@contoso.com- Vensters: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Eenvoudig: johndow. Gebruik het eenvoudige formulier alleen als domeingegevens niet beschikbaar zijn.Sla het gebruikersnaamtype op in het veld ActorUsernameType . Als er andere id's beschikbaar zijn, raden we u aan om de veldnamen te normaliseren naar ActorUserUpn, ActorUserWindows en ActorUserDn. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: AlbertE |
| Gebruiker | Alias | Alias naar ActorUsername. | |
| ActorUsernameType | Conditional | Enumerated | Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld ActorUsername . Ondersteunde waarden zijnUPN, Windows, en DNSimple. Zie De entiteit Gebruiker voor meer informatie.Voorbeeld: Windows |
| ActorUserType | Optioneel | Enumerated | Het type actor. Toegestane waarden zijn: - Regular- Machine- Admin- System- Application- Service Principal- OtherOpmerking: De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd voor deze waarden. Sla de oorspronkelijke waarde op in het veld ActorOriginalUserType . |
| ActorOriginalUserType | Optioneel | String | Het oorspronkelijke type doelgebruiker, indien opgegeven door het rapportageapparaat. |
| ActorOriginalUserType | Het oorspronkelijke actorgebruikerstype, indien opgegeven door de bron. | ||
| ActorSessionId | Optioneel | String | De unieke id van de aanmeldingssessie van de actor. Voorbeeld: 999Opmerking: Het type wordt gedefinieerd als tekenreeks ter ondersteuning van verschillende systemen, maar in Windows moet deze waarde numeriek zijn. Als u een Windows-computer gebruikt en een ander type gebruikt, moet u de waarden converteren. Als u bijvoorbeeld een hexadecimale waarde hebt gebruikt, converteert u deze naar een decimale waarde. |
| ActorScope | Optioneel | String | Het bereik, zoals Microsoft Entra-tenant, waarin ActorUserId en ActorUsername worden gedefinieerd. of meer informatie en lijst met toegestane waarden, zie UserScope in het artikel Schemaoverzicht. |
| ActorScopeId | Optioneel | String | De bereik-id, zoals Microsoft Entra Directory-id, waarin ActorUserId en ActorUsername worden gedefinieerd. zie UserScopeId in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
Groepsvelden
| Veld | Klas | Type | Description |
|---|---|---|---|
| GroupId | Optioneel | String | Een machineleesbare, alfanumerieke, unieke weergave van de groep, voor activiteiten waarbij een groep betrokken is. Ondersteunde indelingen en typen zijn: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578Sla het id-type op in het veld GroupIdType . Als er andere id's beschikbaar zijn, raden we u aan om de veldnamen respectievelijk te normaliseren naar GroupSid of GroupUid. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: S-1-12 |
| GroupIdType | Optioneel | Enumerated | Het type id dat is opgeslagen in het veld GroupId . Ondersteunde waarden zijn SID, en UID. |
| Groepnaam | Optioneel | String | De groepsnaam, inclusief domeingegevens, indien beschikbaar, voor activiteiten met betrekking tot een groep. Gebruik een van de volgende notaties en in de volgende volgorde van prioriteit: - Upn/e-mail: grp@contoso.com- Vensters: Contoso\grp- DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM- Eenvoudig: grp. Gebruik het eenvoudige formulier alleen als domeingegevens niet beschikbaar zijn.Sla het groepsnaamtype op in het veld GroupNameType . Als er andere id's beschikbaar zijn, raden we u aan om de veldnamen te normaliseren naar GroupUpn, GroupNameWindows en GroupDn. Voorbeeld: Contoso\Finance |
| GroupNameType | Optioneel | Enumerated | Hiermee geeft u het type van de groepsnaam op die is opgeslagen in het veld GroupName . Ondersteunde waarden zijn onder andere UPN, Windows, DNen Simple.Voorbeeld: Windows |
| GroupType | Optioneel | Enumerated | Het type groep, voor activiteiten waarbij een groep betrokken is. Ondersteunde waarden zijn onder andere: - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- OtherOpmerking: De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd voor deze waarden. Sla de oorspronkelijke waarde op in het veld GroupOriginalType . |
| GroupOriginalType | Optioneel | String | Het oorspronkelijke groepstype, indien opgegeven door de bron. |
Bronvelden
| Veld | Klas | Type | Description |
|---|---|---|---|
| Src | Aanbevolen | String | Een unieke id van het bronapparaat. Dit veld kan een alias zijn voor de velden SrcDvcId, SrcHostname of SrcIpAddr . Voorbeeld: 192.168.12.1 |
| SrcIpAddr | Aanbevolen | IP-adres | Het IP-adres van het bronapparaat. Deze waarde is verplicht als SrcHostname is opgegeven. Voorbeeld: 77.138.103.108 |
| IpAddr | Alias | Alias naar SrcIpAddr. | |
| SrcPortNumber | Optioneel | Integer | De IP-poort waaruit de verbinding afkomstig is. Mogelijk is dit niet relevant voor een sessie die uit meerdere verbindingen bestaat. Voorbeeld: 2335 |
| SrcMacAddr | Optioneel | MAC-adres (string) | Het MAC-adres van de netwerkinterface waaruit de verbinding of sessie afkomstig is. Voorbeeld: 06:10:9f:eb:8f:14 |
| SrcBeschrijving | Optioneel | String | Een beschrijvende tekst die aan het apparaat is gekoppeld. Voorbeeld: Primary Domain Controller. |
| SrcHostnaam | Aanbevolen | String | De hostnaam van het bronapparaat, met uitzondering van domeingegevens. Voorbeeld: DESKTOP-1282V4D |
| SrcDomein | Aanbevolen | Domein (String) | Het domein van het bronapparaat. Voorbeeld: Contoso |
| SrcDomainType | Aanbevolen | Enumerated | Het type SrcDomain, indien bekend. Mogelijke waarden zijn onder andere: - Windows (zoals contoso)- FQDN (zoals microsoft.com)Vereist als SrcDomain wordt gebruikt. |
| SrcFQDN | Optioneel | FQDN (String) | De hostnaam van het bronapparaat, inclusief domeingegevens, indien beschikbaar. Opmerking: dit veld ondersteunt zowel de traditionele FQDN-indeling als de Indeling windows-domein\hostnaam. Het veld SrcDomainType weerspiegelt de gebruikte indeling. Voorbeeld: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Optioneel | String | De id van het bronapparaat zoals gerapporteerd in de record. Voorbeeld: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Optioneel | String | De bereik-id van het cloudplatform waartoe het apparaat behoort. SrcDvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
| SrcDvcScope | Optioneel | String | Het cloudplatformbereik waartoe het apparaat behoort. SrcDvcScope wordt toegewezen aan een abonnements-id in Azure en aan een account-id in AWS. |
| SrcDvcIdType | Conditional | Enumerated | Het type SrcDvcId, indien bekend. Mogelijke waarden zijn onder andere: - AzureResourceId- MDEidAls er meerdere id's beschikbaar zijn, gebruikt u de eerste id uit de voorgaande lijst en slaat u de andere op in respectievelijk SrcDvcAzureResourceId en SrcDvcMDEid. Opmerking: dit veld is vereist als SrcDvcId wordt gebruikt. |
| SrcDeviceType | Optioneel | Enumerated | Het type bronapparaat. Mogelijke waarden zijn onder andere: - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | Optioneel | Land/regio | Het land/de regio die is gekoppeld aan het bron-IP-adres. Voorbeeld: USA |
| SrcGeoRegion | Optioneel | Regio | De regio die is gekoppeld aan het bron-IP-adres. Voorbeeld: Vermont |
| SrcGeoCity | Optioneel | City | De plaats die is gekoppeld aan het bron-IP-adres. Voorbeeld: Burlington |
| SrcGeoL dankbaarheid | Optioneel | Breedtegraad | De breedtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. Voorbeeld: 44.475833 |
| SrcGeoLongitude | Optioneel | Lengtegraad | De lengtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. Voorbeeld: 73.211944 |
| SrcRiskLevel | Optioneel | Integer | Het risiconiveau dat aan de bron is gekoppeld. De waarde moet worden aangepast aan een bereik van 0 tot, met 100 voor goedaardig en 0 voor 100een hoog risico.Voorbeeld: 90 |
| SrcOriginalRiskLevel | Optioneel | String | Het risiconiveau dat is gekoppeld aan de bron, zoals gerapporteerd door het rapportageapparaat. Voorbeeld: Suspicious |
Acterende toepassing
Inspectievelden
De volgende velden worden gebruikt om die inspectie weer te geven die wordt uitgevoerd door een beveiligingssysteem zoals een EDR-systeem.
| Veld | Klas | Type | Description |
|---|---|---|---|
| RuleName | Optioneel | String | De naam of id van de regel door gekoppeld aan de inspectieresultaten. |
| RuleNumber | Optioneel | Integer | Het nummer van de regel die is gekoppeld aan de inspectieresultaten. |
| Regel | Conditional | String | De waarde van kRuleName of de waarde van RuleNumber. Als de waarde van RuleNumber wordt gebruikt, moet het type worden geconverteerd naar tekenreeks. |
| ThreatId | Optioneel | String | De id van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit. |
| ThreatName | Optioneel | String | De naam van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit. Voorbeeld: EICAR Test File |
| ThreatCategory | Optioneel | String | De categorie van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit. Voorbeeld: Trojan |
| ThreatRiskLevel | Optioneel | RiskLevel (Integer) | Het risiconiveau dat is gekoppeld aan de geïdentificeerde bedreiging. Het niveau moet een getal tussen 0 en 100 zijn. Opmerking: De waarde kan worden opgegeven in de bronrecord met behulp van een andere schaal, die moet worden genormaliseerd voor deze schaal. De originele waarde moet worden opgeslagen in ThreatOriginalRiskLevel. |
| BedreigingOriginalRiskLevel | Optioneel | String | Het risiconiveau zoals gerapporteerd door het rapportageapparaat. |
| Dreiging veld | Optioneel | String | Het veld waarvoor een bedreiging is geïdentificeerd. |
| ThreatConfidence | Optioneel | Betrouwbaarheidsniveau (geheel getal) | Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd tot een waarde tussen 0 en 100. |
| ThreatOriginalConfidence | Optioneel | String | Het oorspronkelijke betrouwbaarheidsniveau van de geïdentificeerde bedreiging, zoals gerapporteerd door het rapportageapparaat. |
| ThreatIsActive | Optioneel | Booleaan | Waar als de geïdentificeerde bedreiging wordt beschouwd als een actieve bedreiging. |
| ThreatFirstReportedTime | Optioneel | datetime | De eerste keer dat het IP-adres of domein als een bedreiging is geïdentificeerd. |
| ThreatLastReportedTime | Optioneel | datetime | De laatste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging. |
Aanvullende velden en aliassen
| Veld | Klas | Type | Description |
|---|---|---|---|
| Hostnaam | Alias | Alias naar DvcHostname. |
Schema-updates
De wijzigingen in versie 0.1.2 van het schema zijn:
- Inspectievelden toegevoegd.
- De bronvelden
SrcDescription,SrcMacAddr,SrcOriginalRiskLevel,SrcPortNumber,SrcRiskLevel, toegevoegd - De doelvelden
TargetUserScope,TargetUserScopeId,TargetUserSessionId - De actorvelden
ActorOriginalUserType,ActorScope,ActorScopeId - Het acteerapplicatieveld toegevoegd
ActingOriginalAppType
Volgende stappen
Zie voor meer informatie: