Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Пользователи имеют центральное значение для действий, о которых сообщают события. Поля сущности пользователя, перечисленные в этом разделе, используются для описания пользователей, участвующих в действии. При использовании в событии префиксы используются для обозначения роли сущности пользователя в действии. Префиксы Src и Dst используются для обозначения роли пользователя в событиях, связанных с сетью, в которых исходная система и система назначения обмениваются данными. Префиксы "Субъект" и "Цель" используются для системных событий, таких как события процесса.
Идентификатор пользователя и область
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Userid | Необязательный | String | Машиночитаемое, буквенно-цифровое, уникальное представление пользователя. |
| UserScope | Необязательный | string | Область, в котором определены UserId и Username. Например, Microsoft Entra доменное имя клиента. Поле UserIdType также представляет тип объекта , связанного с этим полем. |
| UserScopeId | Необязательный | string | Идентификатор область, в котором определены UserId и Username. Например, Microsoft Entra идентификатор каталога клиента. Поле UserIdType также представляет тип объекта , связанного с этим полем. |
| UserIdType | Необязательный | UserIdType | Тип идентификатора, хранящегося в поле UserId . |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | Необязательный | String | Поля, используемые для хранения определенных идентификаторов пользователей. Выберите идентификатор, наиболее связанный с событием, в качестве основного идентификатора, хранящегося в UserId. Заполните соответствующее поле идентификатора в дополнение к UserId, даже если событие имеет только один идентификатор. |
| UserAADTenant, UserAWSAccount | Необязательный | String | Поля, используемые для хранения определенных областей. Используйте поле UserScope для область, связанного с идентификатором, хранящимся в поле UserId. Заполните соответствующее поле область в дополнение к UserScope, даже если событие имеет только один идентификатор. |
Допустимые значения для типа идентификатора пользователя:
| Тип | Описание | Пример |
|---|---|---|
| SID | Идентификатор пользователя Windows. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | Идентификатор пользователя Linux. | 4578 |
| AADID | Идентификатор пользователя Microsoft Entra. | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| OktaId | Идентификатор пользователя Okta. | 00urjk4znu3BcncfY0h7 |
| AWSId | Идентификатор пользователя AWS. | 72643944673 |
| PUID | Идентификатор пользователя Microsoft 365. | 10032001582F435C |
| SalesforceId | Идентификатор пользователя Salesforce. | 00530000009M943 |
Имя пользователя
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Пользователя | Необязательный | String | Имя пользователя источника, включая сведения о домене, если они доступны. Используйте простую форму, только если сведения о домене недоступны. Сохраните тип имени пользователя в поле UsernameType . |
| UsernameType | Необязательный | UsernameType | Указывает тип имени пользователя, хранящегося в поле Имя пользователя . |
| UserUPN, WindowsUsername, DNUsername, SimpleUsername | Необязательный | String | Поля, используемые для хранения дополнительных имен пользователей, если исходное событие содержит несколько имен пользователей. Выберите имя пользователя, наиболее связанное с событием, в качестве основного имени пользователя, хранящегося в поле Имя пользователя. |
Допустимые значения для типа имени пользователя:
| Тип | Описание | Пример |
|---|---|---|
| UPN | Конструктор имени участника-пользователя или Email адреса. | johndow@contoso.com |
| Windows | Имя пользователя Windows, включая домен. | Contoso\johndow |
| DN | Конструктор различающихся имен LDAP. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| Простой | Простое имя пользователя без конструктора домена. | johndow |
| AWSId | Идентификатор пользователя AWS. | 72643944673 |
Дополнительные поля пользователя
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| UserType | Необязательный | UserType | Тип исходного пользователя. Поддерживаются следующие значения: - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.Значение может быть предоставлено в исходной записи с помощью разных терминов, которые должны быть нормализованы для этих значений. Сохраните исходное значение в поле OriginalUserType . |
| OriginalUserType | Необязательный | String | Исходный тип целевого пользователя, если он указан устройством отчетности. |