Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Схема нормализации управления пользователями Microsoft Sentinel используется для описания действий управления пользователями, таких как создание пользователя или группы, изменение атрибута пользователя или добавление пользователя в группу. О таких событиях сообщают, например, операционные системы, службы каталогов, системы управления идентификацией и любая другая система, информирующая о своей локальной деятельности по управлению пользователями.
Дополнительные сведения о нормализации в Microsoft Sentinel см. в статье Нормализация и расширенная информационная модель безопасности (ASIM).
Общее представление схемы
Схема управления пользователями ASIM описывает действия по управлению пользователями. Действия обычно включают следующие сущности:
- Actor — пользователь, выполняющий действие управления.
- Acting Process — процесс, используемый субъектом для выполнения действия управления.
- Src — когда действие выполняется по сети, исходное устройство, с которого было инициировано действие.
- Target User — пользователь, учетная запись которого находится под управлением.
- Group — группа, в которую целевой пользователь добавляется, из которой удаляется или в которой изменяется.
Некоторые действия, такие как UserCreated, GroupCreated, UserModified и GroupModified*, задают или обновляют свойства пользователей. Заданное или обновленное свойство описывается в следующих полях:
- EventSubType — имя значения, которое было установлено или обновлено. UpdatedPropertyName — псевдоним EventSubType, когда EventSubType ссылается на один из соответствующих типов событий.
- PreviousPropertyValue — предыдущее значение свойства.
- NewPropertyValue — обновленное значение свойства.
Средства синтаксического анализа
Дополнительные сведения о средствах синтаксического анализа ASIM см. в обзоре средств синтаксического анализа ASIM.
Параметры фильтрации средств синтаксического анализа
Средства синтаксического анализа управления пользователями поддерживают фильтрацию параметров. Хотя эти параметры являются необязательными, они могут повысить производительность запросов.
Доступны следующие параметры фильтрации:
| Имя | Тип | Описание |
|---|---|---|
| starttime | datetime | Фильтруйте только события управления пользователями, которые произошли в это время или после этого. Этот параметр фильтрует TimeGenerated поле, являющееся стандартным конструктором во время события, независимо от сопоставления конкретных анализаторов полей EventStartTime и EventEndTime. |
| endtime | datetime | Фильтрация только событий управления пользователями, которые произошли до этого времени. Этот параметр фильтрует TimeGenerated поле, являющееся стандартным конструктором во время события, независимо от сопоставления конкретных анализаторов полей EventStartTime и EventEndTime. |
| srcipaddr_has_any_prefix | dynamic | Фильтруйте только события управления пользователями, в которых префикс исходного IP-адреса соответствует любому из перечисленных значений. Префиксы должны заканчиваться на ., например: 10.0.. |
| targetusername_has_any | dynamic | Фильтруйте только события управления пользователями, где целевое имя пользователя имеет любое из перечисленных значений. |
| actorusername_has_any | dynamic | Фильтруйте только события управления пользователями, где имя пользователя субъекта имеет любое из перечисленных значений. |
| eventtype_in | dynamic | Фильтруйте только события управления пользователями, в которых тип события является одним из перечисленных значений, таких как UserCreated, , UserDeleted, UserModifiedPasswordChangedили GroupCreated. |
Например, чтобы отфильтровать только события создания пользователей с последнего дня, используйте следующую команду:
_Im_UserManagement (eventtype_in=dynamic(['UserCreated']), starttime = ago(1d), endtime=now())
Сведения о схеме
Общие поля ASIM
Внимание
Поля, общие для всех схем, подробно описаны в статье Общие поля ASIM.
Общие поля с конкретными рекомендациями
В следующем списке упоминаются поля, имеющие определенные рекомендации по обработке событий действий.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| EventType | Обязательно | Enumerated | Описывает операцию, о которой сообщает эта запись. Для действий управления пользователями поддерживаются следующие значения. - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| Подтип события | Необязательно | Enumerated | Поддерживаются такие подтипы: - UserRead: пароль, хэш- UserCreated, , GroupCreatedUserModifiedGroupModified. Дополнительные сведения см. в разделе UpdatedPropertyName. |
| EventResult | Обязательно | Enumerated | Хотя сбой возможен, большинство систем сообщают только об успешных событиях управления пользователями. Ожидаемое значение для успешных событий — Success. |
| EventResultDetails | Рекомендуемая конфигурация | Enumerated | Возможные значения: NotAuthorized и Other. |
| EventSeverity | Обязательно | Enumerated | Хотя разрешено любое допустимое значение серьезности, серьезность событий управления пользователями обычно равна Informational. |
| EventSchema | Обязательно | Enumerated | Имя описанной здесь схемы — UserManagement. |
| EventSchemaVersion | Обязательно | SchemaVersion (String) | Номер версии схемы. Версия описанной здесь схемы — 0.1.2. |
| Поля Dvc | Для событий управления пользователями поля устройства относятся к системе, информирующей о событии. Обычно это система, в которой осуществляется управление пользователем. |
Все общие поля
Поля, представленные в таблице ниже, являются общими для всех схем ASIM. Все указанные выше рекомендации переопределяют общие рекомендации для поля. Например, поле может быть необязательным в целом, но обязательным для конкретной схемы. Дополнительные сведения о каждом поле см. в статье Общие поля ASIM.
Обновленные поля свойств
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| ОбновленоИмя Свойства | Псевдоним | Псевдоним для EventSubType, если для Event Type задано значение UserCreated, GroupCreated, UserModified или GroupModified.Поддерживаются значения: - MultipleProperties: используется, когда действие обновляет несколько свойств.- Previous<PropertyName>, где <PropertyName> — одно из поддерживаемых значений для UpdatedPropertyName. - New<PropertyName>, где <PropertyName> — одно из поддерживаемых значений для UpdatedPropertyName. |
|
| PreviousPropertyValue | Необязательно | Строка | Предыдущее значение, хранимое в указанном свойстве. |
| NewPropertyValue | Необязательно | Строка | Новое значение, хранимое в указанном свойстве. |
Поля целевого пользователя
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| TargetUserId | Необязательно | Строка | Считываемое компьютером буквенно-цифровое значение, уникальным образом представляющее целевого пользователя. Поддерживаемые форматы и типы: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Идентификатор Microsoft Entra): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Храните тип идентификатора в поле TargetUserIdType. Если доступны другие идентификаторы, мы рекомендуем нормализовать названия полей до TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId и TargetUserAwsId соответственно. Подробнее см. в статье Сущность пользователя. Пример: S-1-12 |
| TargetUserIdType | Conditional | Enumerated | Тип идентификатора, хранимый в поле TargetUserId. Поддерживаются следующие значения: SID, UID, AADID, OktaId и AWSId. |
| Имя пользователя TargetUsername | Необязательно | Имя пользователя (строка) | Имя целевого пользователя, включая сведения о домене, если они доступны. Используйте один из следующих форматов и расположите их в следующем порядке приоритета: - Имя участника-пользователя или адрес электронной почты: johndow@contoso.com- Окна: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Простая: johndow. Используйте простую форму, только если сведения о домене недоступны.Храните тип имени пользователя в поле TargetUsernameType. Если доступны другие идентификаторы, рекомендуется нормализовать имена полей в TargetUserUpn, TargetUserWindows и TargetUserDn. Подробнее см. в статье Сущность пользователя. Пример: AlbertE |
| TargetUsernameType | Conditional | Enumerated | Указывает тип имени пользователя, хранимого в поле TargetUsername. Поддерживаются следующие значения: UPN, Windows, DN и Simple. Подробнее см. в статье Сущность пользователя.Пример: Windows |
| TargetUserType | Необязательно | Enumerated | Тип целевого пользователя. Допустимые значения: - Regular- Machine- Admin- System- Application- Service Principal- OtherПримечание. Значение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы до этих значений. Храните исходное значение в поле TargetOriginalUserType. |
| TargetOriginalUserType | Необязательно | Строка | Начальный тип пользователя назначения, если он указан источником. |
| TargetUserScope | Необязательно | Строка | Область, например клиент Microsoft Entra, в которой определены TargetUserId и TargetUsername . или дополнительные сведения и список разрешенных значений см. в разделе UserScope в статье "Обзор схемы". |
| TargetUserScopeId | Необязательно | Строка | Идентификатор области, например идентификатор каталога Microsoft Entra, в котором определены TargetUserId и TargetUsername . Дополнительные сведения и список разрешенных значений см. в разделе UserScopeId в статье "Обзор схемы". |
| TargetUserSessionId | Необязательно | Строка | Уникальный идентификатор сеанса входа целевого пользователя. Пример: 999 Примечание. Тип определяется как строка для поддержки различных систем, но в Windows это значение должно быть числовым. Если вы используете компьютер с Windows или Linux и применяете другой тип, обязательно преобразуйте эти значения. Например, если вы использовали шестнадцатеричное значение, преобразуйте его в десятичное. |
Поля Actor
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| ActorUserId | Необязательно | Строка | Считываемое компьютером буквенно-цифровое значение, уникальным образом представляющее Actor. Поддерживаемые форматы и типы: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Идентификатор Microsoft Entra): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Храните тип идентификатора в поле ActorUserIdType. Если доступны другие идентификаторы, мы рекомендуем нормализовать названия полей до ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId и ActorAwsId соответственно. Подробнее см. в статье Сущность пользователя. Пример: S-1-12 |
| ActorUserIdType | Conditional | Enumerated | Тип идентификатора, который хранится в поле ActorUserId. Поддерживаются следующие значения: SID, UID, AADID, OktaId и AWSId. |
| Имя пользователя актёра | Обязательно | Имя пользователя (строка) | Имя пользователя субъекта, включая сведения о домене, если они доступны. Используйте один из следующих форматов и расположите их в следующем порядке приоритета: - Имя участника-пользователя или адрес электронной почты: johndow@contoso.com- Окна: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Простая: johndow. Используйте простую форму, только если сведения о домене недоступны.Храните тип имени пользователя в поле ActorUsernameType. Если доступны другие идентификаторы, рекомендуется нормализовать имена полей до ActorUserUpn, ActorUserWindows и ActorUserDn. Подробнее см. в статье Сущность пользователя. Пример: AlbertE |
| Пользователь | Псевдоним | Псевдоним для ActorUsername. | |
| ActorUsernameType | Conditional | Enumerated | Определяет тип имени пользователя, хранимое в поле ActorUsername. Поддерживаются следующие значения UPN, Windows, DN и Simple. Подробнее см. в статье Сущность пользователя.Пример: Windows |
| ActorUserType | Необязательно | Enumerated | Тип Actor. Допустимые значения: - Regular- Machine- Admin- System- Application- Service Principal- OtherПримечание. Значение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы до этих значений. Храните исходное значение в поле ActorOriginalUserType. |
| ActorOriginalUserType | Необязательно | Строка | Исходный тип пользователя назначения, если он указан передающим устройством. |
| ActorOriginalUserType | Начальный тип пользователя субъекта, если он указан источником. | ||
| ActorSessionId | Необязательно | Строка | Уникальный идентификатор сеанса входа субъекта. Пример: 999Примечание. Тип определяется как строка для поддержки различных систем, но в Windows это значение должно быть числовым. Если вы используете компьютеры с Windows и используете другой тип, обязательно преобразуйте эти значения. Например, если вы использовали шестнадцатеричное значение, преобразуйте его в десятичное. |
| ActorScope | Необязательно | Строка | Область, например клиент Microsoft Entra, в которой определены ActorUserId и ActorUsername . или дополнительные сведения и список разрешенных значений см. в разделе UserScope в статье "Обзор схемы". |
| ActorScopeId | Необязательно | Строка | Идентификатор области, например идентификатор каталога Microsoft Entra, в котором определены ActorUserId и ActorUsername . или дополнительные сведения и список разрешенных значений см. в разделе UserScopeId в статье "Обзор схемы". |
Поля группы
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| GroupId | Необязательно | Строка | Машиночитаемое буквенно-цифровое уникальное представление группы для действий с участием группы. Поддерживаемые форматы и типы: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578Храните тип идентификатора в поле GroupIdType. Если доступны другие идентификаторы, рекомендуется нормализовать имена полей до GroupSid и GroupUid соответственно. Подробнее см. в статье Сущность пользователя. Пример: S-1-12 |
| GroupIdType | Необязательно | Enumerated | Тип идентификатора, хранимый в поле GroupId. Поддерживаются следующие значения: SID и UID. |
| Имя группы | Необязательно | Строка | Имя группы, включая информацию о домене, если она доступна, для действий с участием группы. Используйте один из следующих форматов и расположите их в следующем порядке приоритета: - Имя участника-пользователя или адрес электронной почты: grp@contoso.com- Окна: Contoso\grp- DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM- Простая: grp. Используйте простую форму, только если сведения о домене недоступны.Храните тип имени группы в поле GroupNameType. Если доступны другие идентификаторы, рекомендуется нормализовать имена полей в GroupUpn, GroupNameWindows и GroupDn. Пример: Contoso\Finance |
| GroupNameType | Необязательно | Enumerated | Указывает тип имени группы, хранимого в поле GroupName. Поддерживаются следующие значения: UPN, Windows, DN и Simple.Пример: Windows |
| GroupType | Необязательно | Enumerated | Тип группы для действий с участием группы. Допустимые значения: - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- OtherПримечание. Значение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы до этих значений. Храните исходное значение в поле GroupOriginalType. |
| GroupOriginalType | Необязательно | Строка | Начальный тип группы, если он указан источником. |
Исходные поля
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Источник: | Рекомендуемая конфигурация | Строка | Уникальный идентификатор исходного устройства. Это поле может быть псевдонимом для полей SrcDvcId, SrcHostname или SrcIpAddr. Пример: 192.168.12.1 |
| SrcIpAddr | Рекомендуемая конфигурация | IP-адрес | IP-адрес исходного устройства. Это значение обязательно, если указано SrcHostname. Пример: 77.138.103.108 |
| IpAddr | Псевдоним | Псевдоним для SrcIpAddr. | |
| SrcPortNumber | Необязательно | Целое число | Порт IP-адреса, с которого было создано подключение. Может не иметь отношения к сеансу, включающему несколько подключений. Пример: 2335 |
| SrcMacAddr | Необязательно | MAC-адрес (строка) | MAC-адрес сетевого интерфейса, из которого создано подключение или сеанс. Пример: 06:10:9f:eb:8f:14 |
| SrcОписание | Необязательно | Строка | Текст описания, связанный с устройством. Например: Primary Domain Controller. |
| SrcHostname (Имя хоста) | Рекомендуемая конфигурация | Строка | Имя узла исходного устройства, включая сведения о домене. Пример: DESKTOP-1282V4D |
| SrcDomain | Рекомендуемая конфигурация | Домен (строка) | Домен исходного устройства. Пример: Contoso |
| SrcDomainType (Тип домена) | Рекомендуемая конфигурация | Enumerated | Тип SrcDomain, если он известен. Возможные значения включают: - Windows (например, contoso)- FQDN (например, microsoft.com)Является обязательным при использовании SrcDomain. |
| SrcFQDN | Необязательно | Полное доменное имя (строка) | Имя узла исходного устройства, включая сведения о домене, если они доступны. Примечание. Это поле поддерживает как традиционные форматы FQDN, так и формат домен\имя_узла Windows. Поле SrcDomainType отражает используемый формат. Пример: Contoso\DESKTOP-1282V4D |
| SrcDvcId (SrcDvcId) | Необязательно | Строка | Идентификатор исходного устройства, как указано в записи. Пример: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId (Идентификатор SrcDvcScopeId) | Необязательно | Строка | Идентификатор области облачной платформы, к которому принадлежит устройство. SrcDvcScopeId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| SrcDvcScope (SrcDvcScope) | Необязательно | Строка | Область облачной платформы, к которой принадлежит устройство. SrcDvcScope сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| SrcDvcIdType | Conditional | Enumerated | Тип SrcDvcId, если он известен. Возможные значения включают: - AzureResourceId- MDEidЕсли доступно несколько идентификаторов, используйте первый из предыдущего списка и сохраните остальные в полях SrcDvcAzureResourceId и SrcDvcMDEid соответственно. Примечание. Это поле является обязательным, если используется SrcDvcId. |
| SrcDeviceType | Необязательно | Enumerated | Тип исходного устройства. Возможные значения включают: - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | Необязательно | Страна/регион | Страна или регион, связанный с исходным IP-адресом. Пример: USA |
| SrcGeoRegion | Необязательно | Область/регион | Регион, связанный с исходным IP-адресом. Пример: Vermont |
| SrcGeoCity | Необязательно | Город | Город, связанный с исходным IP-адресом. Пример: Burlington |
| SrcGeoLatitude | Необязательно | Широта | Географическая широта, связанная с исходным IP-адресом. Пример: 44.475833 |
| SrcGeoLongitude | Необязательно | Долгота | Географическая долгота, связанная с исходным IP-адресом. Пример: 73.211944 |
| SrcRiskLevel | Необязательно | Целое число | Связанный с источником уровень риска. Значение должно находиться в диапазоне от 0 до 100, при этом 0 означает благоприятный результат, а 100 — высокий риск.Пример: 90 |
| SrcOriginalRiskLevel | Необязательно | Строка | Уровень риска, связанный с источником, как сообщается устройством отчетов. Пример: Suspicious |
Действующее приложение
Поля проверки
Следующие поля используются для обозначения инспекции, проведённой системой безопасности, такой как EDR-система.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| RuleName | Необязательно | Строка | Имя или идентификатор правила, связанные с результатами проверки. |
| RuleNumber | Необязательно | Целое число | Число правил, связанных с результатами проверки. |
| Правило | Conditional | Строка | Значение kRuleName или значение RuleNumber. Если используется значение RuleNumber , тип следует преобразовать в строку. |
| ThreatId | Необязательно | Строка | Идентификатор угрозы или вредоносных программ, определенных в действии файла. |
| ThreatName | Необязательно | Строка | Имя угрозы или вредоносных программ, определенных в действии файла. Пример: EICAR Test File |
| ThreatCategory | Необязательно | Строка | Категория угроз или вредоносных программ, определенных в действии файла. Пример: Trojan |
| ThreatRiskLevel | Необязательно | RiskLevel (целое число) | Уровень риска, связанный с идентифицированной угрозой. Уровень должен быть числом от 0 до 100. Примечание. Значение может быть указано в исходной записи с использованием другой шкалы, которая должна быть нормализована по этой шкале. Исходное значение должно храниться в ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel (ИсходныйУровень Риска) | Необязательно | Строка | Уровень риска, передаваемый устройством отчетности. |
| ThreatField (Поле угроз) | Необязательно | Строка | Поле, для которого была обнаружена угроза. |
| ThreatConfidence | Необязательно | Confidence Level (целое число) | Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100. |
| ThreatOriginalConfidence | Необязательно | Строка | Исходный уровень доверия для обнаруженной угрозы, указанный устройством, сообщившим о ней. |
| ThreatIsActive | Необязательно | Boolean | Значение true, если обнаруженная угроза считается активной. |
| ThreatFirstReportedTime | Необязательно | datetime | Время первого обнаружения угрозы для этого IP-адреса или домена. |
| ThreatLastReportedTime | Необязательно | datetime | Время последнего обнаружения угрозы для этого IP-адреса или домена. |
Дополнительные поля и псевдонимы
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Имя узла | Псевдоним | Псевдоним для DvcHostname. |
Обновления схемы
Ниже приведены изменения в версии 0.1.2 схемы:
- Добавлены поля для инспекции.
- Добавлены исходные поля
SrcDescription,SrcMacAddr,SrcOriginalRiskLevel,SrcPortNumberSrcRiskLevel, - Добавлены целевые поля
TargetUserScope,TargetUserScopeId,TargetUserSessionId - Добавлены поля
ActorOriginalUserTypeактёров ,ActorScope,ActorScopeId - Добавлено поле актёрского применения
ActingOriginalAppType
Дальнейшие действия
Дополнительные сведения см. в разделе:
- Посмотрите веб-семинар ASIM или слайды.
- Обзор расширенной информационной модели безопасности (ASIM)
- Схемы расширенной информационной модели безопасности (ASIM)
- Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
- Содержимое расширенной информационной модели безопасности (ASIM)