Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Пользователи играют ключевую роль в действиях, фиксируемых с помощью событий. Поля пользовательской сущности, перечисленные в этом разделе, используются для описания пользователей, участвующих в действии. При использовании в событии префиксы используются для обозначения роли пользовательской сущности в деятельности. Префиксы Src и Dst обозначают роль пользователя в сетевых событиях, в которых исходная и целевая система обмениваются данными. Префиксы Actor и Target используются для системно ориентированных событий, таких как события процесса.
Идентификатор пользователя и область
| Поле | Class | Тип | Description |
|---|---|---|---|
| UserId | Необязательно | String | Считываемое компьютером буквенно-цифровое значение, уникальным образом представляющее пользователя. |
| UserScope | Необязательно | струна | Область, в которой определены Идентификатор пользователя и имя пользователя . Например, доменное имя клиента Microsoft Entra. Поле UserIdType также представляет тип связанного с этим полем. |
| UserScopeId | Необязательно | струна | Идентификатор области, в которой определены Идентификатор пользователя и имя пользователя . Например, идентификатор каталога клиента Microsoft Entra. Поле UserIdType также представляет тип связанного с этим полем. |
| UserIdType | Необязательно | UserIdType | Тип идентификатора, который хранится в поле UserId. |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | Необязательно | String | Поля, используемые для хранения определенных идентификаторов пользователей. Выберите идентификатор, наиболее связанный с событием, в качестве основного идентификатора, сохраняемого в поле UserId. Заполните соответствующее поле идентификатора в дополнение к UserId, даже если событие имеет только один идентификатор. |
| UserAADTenant, UserAWSAccount | Необязательно | String | Поля, используемые для хранения определенных областей. Используйте поле UserScope для области, связанной с идентификатором, хранимым в поле UserId. Заполните соответствующее поле области в дополнение к UserScope, даже если событие имеет только один идентификатор. |
Допустимые значения для типа идентификатора пользователя:
| Тип | Description | Example |
|---|---|---|
| SID | Идентификатор пользователя Windows. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | Идентификатор пользователя Linux. | 4578 |
| AADID | Идентификатор пользователя Microsoft Entra. | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| OktaId | Идентификатор пользователя Okta. | 00urjk4znu3BcncfY0h7 |
| AWSId | Идентификатор пользователя AWS. | 72643944673 |
| PUID | Идентификатор пользователя Microsoft 365. | 10032001582F435C |
| SalesforceId | Идентификатор пользователя Salesforce. | 00530000009M943 |
Имя пользователя
| Поле | Class | Тип | Description |
|---|---|---|---|
| Имя пользователя | Необязательно | String | Имя исходного пользователя, включая сведения о домене, если они доступны. Используйте простую форму, только если сведения о домене недоступны. Храните тип имени пользователя в поле UsernameType. |
| Имя пользователя | Необязательно | UsernameType | Указывает тип имени пользователя, хранимого в поле Username. |
| UserUPN,WindowsUsername, DNUsername, SimpleUsername | Необязательно | String | Поля, используемые для хранения дополнительных имен пользователей, если исходное событие содержит несколько имен. Выберите имя пользователя, наиболее связанное с событием, в качестве основного имени пользователя, сохраняемого в поле Username. |
Допустимые значения для типа имени пользователя:
| Тип | Description | Example |
|---|---|---|
| Имя участника-участника | Конструктор имени субъекта-пользователя или адреса электронной почты. | johndow@contoso.com |
| Виндоус | Имя пользователя Windows, включая домен. | Contoso\johndow |
| DN | Конструктор различающихся имен LDAP. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| Простой | Простое имя пользователя без конструктора домена. | johndow |
| AWSId | Идентификатор пользователя AWS. | 72643944673 |
Дополнительные поля пользователя
| Поле | Class | Тип | Description |
|---|---|---|---|
| UserType | Необязательно | ТипПользователя | Тип исходного пользователя. Допустимые значения: - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.Значение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы до этих значений. Сохраните исходное значение в поле OriginalUserType. |
| OriginalUserType | Необязательно | String | Исходный тип пользователя назначения, если он указан передающим устройством. |