Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Användare är centrala för aktiviteter som rapporteras av händelser. De användarentitetsfält som anges i det här avsnittet används för att beskriva de användare som är inblandade i åtgärden. När det används i en händelse används prefix för att ange rollen för en användarentitet i aktiviteten. Prefixen Src och Dst används för att ange användarrollen i nätverksrelaterade händelser, där ett källsystem och ett målsystem kommunicerar. Prefixen "Actor" och "Target" används för systemorienterade händelser, till exempel processhändelser.
Användar-ID och omfång
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Userid | Valfritt | Sträng | En maskinläsbar, alfanumerisk, unik representation av användaren. |
| UserScope | Valfritt | sträng | Det omfång där UserId och Username definieras. Till exempel ett Microsoft Entra klientdomännamn. Fältet UserIdType representerar även den typ av som är associerad med det här fältet. |
| UserScopeId | Valfritt | sträng | ID:t för det omfång där UserId och Användarnamn definieras. Till exempel ett Microsoft Entra klientorganisationskatalog-ID. Fältet UserIdType representerar även den typ av som är associerad med det här fältet. |
| UserIdType | Valfritt | UserIdType | Typen av ID som lagras i fältet UserId . |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | Valfritt | Sträng | Fält som används för att lagra specifika användar-ID:t. Välj det ID som är mest associerat med händelsen som primärt ID som lagras i UserId. Fyll i relevant specifikt ID-fält, förutom UserId, även om händelsen bara har ett ID. |
| UserAADTenant, UserAWSAccount | Valfritt | Sträng | Fält som används för att lagra specifika omfång. Använd fältet UserScope för det omfång som är associerat med det ID som lagras i fältet UserId . Fyll i relevant specifikt omfångsfält, förutom UserScope, även om händelsen bara har ett ID. |
Tillåtna värden för en användar-ID-typ är:
| Typ | Beskrivning | Exempel |
|---|---|---|
| SID | Ett Windows-användar-ID. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | Ett Linux användar-ID. | 4578 |
| AADID | Ett Microsoft Entra användar-ID. | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| OktaId | Ett Okta-användar-ID. | 00urjk4znu3BcncfY0h7 |
| AWSId | Ett AWS-användar-ID. | 72643944673 |
| PUID | Ett Användar-ID för Microsoft 365. | 10032001582F435C |
| SalesforceId | Ett Salesforce-användar-ID. | 00530000009M943 |
Användarnamnet
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Användarnamn | Valfritt | Sträng | Källans användarnamn, inklusive domäninformation när det är tillgängligt. Använd bara det enkla formuläret om domäninformation inte är tillgänglig. Lagra användarnamnstypen i fältet UsernameType . |
| UsernameType | Valfritt | UsernameType | Anger typen av användarnamn som lagras i fältet Användarnamn . |
| UserUPN, WindowsUsername, DNUsername, SimpleUsername | Valfritt | Sträng | Fält som används för att lagra ytterligare användarnamn, om den ursprungliga händelsen innehåller flera användarnamn. Välj det användarnamn som är mest associerat med händelsen som det primära användarnamnet som lagras i Användarnamn. |
Tillåtna värden för en användarnamnstyp är:
| Typ | Beskrivning | Exempel |
|---|---|---|
| UPN | Användarnamnsdesign för UPN eller Email adress. | johndow@contoso.com |
| Windows | Ett Windows-användarnamn inklusive en domän. | Contoso\johndow |
| DN | En LDAP-designator för unika namn. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| Enkelt | Ett enkelt användarnamn utan domändesign. | johndow |
| AWSId | Ett AWS-användar-ID. | 72643944673 |
Ytterligare användarfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| UserType | Valfritt | UserType | Typ av källanvändare. Värden som stöds är: - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.Värdet kan anges i källposten med hjälp av olika termer, som bör normaliseras till dessa värden. Lagra det ursprungliga värdet i fältet OriginalUserType . |
| OriginalUserType | Valfritt | Sträng | Den ursprungliga målanvändartypen, om den tillhandahålls av rapporteringsenheten. |