Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Użytkownicy mają kluczowe znaczenie dla działań zgłaszanych przez zdarzenia. Pola jednostki użytkownika wymienione w tej sekcji są używane do opisywania użytkowników biorących udział w akcji. W przypadku użycia w zdarzeniu prefiksy są używane do wyznaczania roli jednostki użytkownika w działaniu. Prefiksy Src i Dst służą do wyznaczania roli użytkownika w zdarzeniach związanych z siecią, w których komunikują się system źródłowy i system docelowy. Prefiksy "Aktor" i "Target" są używane w przypadku zdarzeń zorientowanych na system, takich jak zdarzenia procesu.
Identyfikator użytkownika i zakres
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| Userid | Opcjonalny | Ciąg | Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja użytkownika. |
| UserScope | Opcjonalny | ciąg | Zakres, w którym zdefiniowano identyfikator użytkownika i nazwę użytkownika . Na przykład Microsoft Entra nazwę domeny dzierżawy. Pole UserIdType reprezentuje również typ skojarzonego z tym polem. |
| UserScopeId | Opcjonalny | ciąg | Identyfikator zakresu, w którym zdefiniowano identyfikator użytkownika i nazwę użytkownika . Na przykład identyfikator katalogu dzierżawy Microsoft Entra. Pole UserIdType reprezentuje również typ skojarzonego z tym polem. |
| UserIdType | Opcjonalny | UserIdType | Typ identyfikatora przechowywanego w polu UserId . |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | Opcjonalny | Ciąg | Pola używane do przechowywania określonych identyfikatorów użytkowników. Wybierz identyfikator najbardziej skojarzony ze zdarzeniem jako identyfikator podstawowy przechowywany w identyfikatorze użytkownika. Wypełnij odpowiednie pole określonego identyfikatora, oprócz identyfikatora UserId, nawet jeśli zdarzenie ma tylko jeden identyfikator. |
| UserAADTenant, UserAWSAccount | Opcjonalny | Ciąg | Pola używane do przechowywania określonych zakresów. Użyj pola UserScope dla zakresu skojarzonego z identyfikatorem przechowywanym w polu UserId . Wypełnij odpowiednie pole określonego zakresu oprócz funkcji UserScope, nawet jeśli zdarzenie ma tylko jeden identyfikator. |
Dozwolone wartości dla typu identyfikatora użytkownika to:
| Wpisać | Opis | Przykład |
|---|---|---|
| SID | Identyfikator użytkownika systemu Windows. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | Identyfikator użytkownika Linux. | 4578 |
| AADID | Identyfikator użytkownika Microsoft Entra. | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| OktaId | Identyfikator użytkownika okta. | 00urjk4znu3BcncfY0h7 |
| AWSId | Identyfikator użytkownika platformy AWS. | 72643944673 |
| IDENTYFIKATOR PUID | Identyfikator użytkownika platformy Microsoft 365. | 10032001582F435C |
| SalesforceId | Identyfikator użytkownika usługi Salesforce. | 00530000009M943 |
Nazwa użytkownika
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| Nazwę użytkownika | Opcjonalny | Ciąg | Nazwa użytkownika źródła, w tym informacje o domenie, jeśli są dostępne. Użyj prostego formularza tylko wtedy, gdy informacje o domenie nie są dostępne. Zapisz typ nazwy użytkownika w polu UsernameType . |
| Typ nazwy użytkownika | Opcjonalny | Typ nazwy użytkownika | Określa typ nazwy użytkownika przechowywanej w polu Nazwa użytkownika . |
| UserUPN, WindowsUsername, DNUsername, SimpleUsername | Opcjonalny | Ciąg | Pola używane do przechowywania dodatkowych nazw użytkowników, jeśli oryginalne zdarzenie zawiera wiele nazw użytkowników. Wybierz nazwę użytkownika najbardziej skojarzoną ze zdarzeniem jako podstawową nazwę użytkownika przechowywaną w nazwie użytkownika. |
Dozwolone wartości dla typu nazwy użytkownika to:
| Wpisać | Opis | Przykład |
|---|---|---|
| UPN | Nazwa UPN lub Email projektator nazwy użytkownika adresu. | johndow@contoso.com |
| Windows | Nazwa użytkownika systemu Windows obejmująca domenę. | Contoso\johndow |
| DN | Projektator nazw wyróżniających LDAP. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| Simple (Proste) | Prosta nazwa użytkownika bez projektanta domeny. | johndow |
| AWSId | Identyfikator użytkownika platformy AWS. | 72643944673 |
Dodatkowe pola użytkownika
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| Usertype | Opcjonalny | Usertype | Typ użytkownika źródłowego. Obsługiwane wartości obejmują: - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.Wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Zapisz oryginalną wartość w polu OriginalUserType . |
| OriginalUserType | Opcjonalny | Ciąg | Oryginalny typ użytkownika docelowego, jeśli jest dostarczany przez urządzenie raportowania. |