Aracılığıyla paylaş


Microsoft Sentinel kullanıcı yönetimi normalleştirme şeması başvurusu (önizleme)

Microsoft Sentinel kullanıcı yönetimi normalleştirme şeması, kullanıcı veya grup oluşturma, kullanıcı özniteliğini değiştirme veya gruba kullanıcı ekleme gibi kullanıcı yönetimi etkinliklerini açıklamak için kullanılır. Bu tür olaylar, örneğin işletim sistemleri, dizin hizmetleri, kimlik yönetim sistemleri ve yerel kullanıcı yönetimi etkinliğiyle ilgili diğer sistem raporlamaları tarafından bildirilir.

Microsoft Sentinel'de normalleştirme hakkında daha fazla bilgi için bkz . Normalleştirme ve Gelişmiş Güvenlik Bilgileri Modeli (ASIM).

Önemli

Kullanıcı yönetimi normalleştirme şeması şu anda önizleme aşamasındadır. Bu özellik, hizmet düzeyi sözleşmesi olmadan sağlanır. Üretim iş yükleri için önerilmez.

Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Şemaya genel bakış

ASIM kullanıcı yönetimi şeması, kullanıcı yönetimi etkinliklerini açıklar. Etkinlikler genellikle aşağıdaki varlıkları içerir:

  • Aktör - Yönetim etkinliğini gerçekleştiren kullanıcı.
  • Eylem süreci - aktör tarafından yönetim etkinliğini gerçekleştirmek için kullanılan işlem.
  • Src - etkinlik ağ üzerinden gerçekleştirildiğinde etkinliğin başlatıldığı kaynak cihazdır.
  • Hedef Kullanıcı - hesabı yönetilen kullanıcı.
  • Hedef kullanıcının eklendiği veya kaldırıldığı ya da değiştirildiği grup .

UserCreated, GroupCreated, UserModified ve GroupModified* gibi bazı etkinlikler kullanıcı özelliklerini ayarlar veya güncelleştirir. Özellik kümesi veya güncelleştirilmiş aşağıdaki alanlarda belgelenmiştir:

Şema ayrıntıları

Ortak ASIM alanları

Önemli

Tüm şemalarda ortak olan alanlar ASIM Ortak Alanları makalesinde ayrıntılı olarak açıklanmıştır.

Belirli yönergelere sahip ortak alanlar

Aşağıdaki listede, işlem etkinliği olayları için belirli yönergelere sahip alanlardan bahsediliyor:

Alan Sınıf Type Açıklama
EventType Zorunlu Enumerated Kayıt tarafından bildirilen işlemi açıklar.

Kullanıcı Yönetimi etkinliği için desteklenen değerler şunlardır:
- UserCreated
- UserDeleted
- UserModified
- UserLocked
- UserUnlocked
- UserDisabled
- UserEnabled
- PasswordChanged
- PasswordReset
- GroupCreated
- GroupDeleted
- GroupModified
- UserAddedToGroup
- UserRemovedFromGroup
- GroupEnumerated
- UserRead
- GroupRead
EventSubType İsteğe bağlı Enumerated Aşağıdaki alt türler desteklenir:
- UserRead: Parola, Karma
- UserCreated, GroupCreated, UserModified, GroupModified. Daha fazla bilgi için bkz . UpdatedPropertyName
EventResult Zorunlu Enumerated Hata mümkün olsa da çoğu sistem yalnızca başarılı kullanıcı yönetimi olaylarını bildirir. Başarılı olaylar için beklenen değer olur Success.
EventResultDetails Önerilir Enumerated Geçerli değerler ve OtherşeklindedirNotAuthorized.
EventSeverity Zorunlu Enumerated Geçerli önem derecesi değerlerine izin verilse de, kullanıcı yönetimi olaylarının önem derecesi genellikle Informationalolur.
EventSchema Zorunlu String Burada belgelenen şemanın adıdır UserManagement.
EventSchemaVersion Zorunlu String Şema sürümü. Şemanın burada belgelenen sürümüdür 0.1.1.
Dvc alanları Kullanıcı yönetimi olayları için cihaz alanları olayı bildiren sisteme bakın. Bu genellikle kullanıcının yönetildiği sistemdir.

Tüm ortak alanlar

Aşağıdaki tabloda görünen alanlar tüm ASIM şemalarında ortaktır. Yukarıda belirtilen tüm yönergeler, alanın genel yönergelerini geçersiz kılar. Örneğin, bir alan genel olarak isteğe bağlı olabilir, ancak belirli bir şema için zorunlu olabilir. Her alan hakkında daha fazla ayrıntı için ASIM Ortak Alanları makalesine bakın.

Sınıf Alanlar
Zorunlu - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Önerilir - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
İsteğe bağlı - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- EkAlanlar
- DvcDescription
- DvcScopeId
- DvcScope

Özellik alanları güncelleştirildi

Alan Sınıf Type Açıklama
UpdatedPropertyName Diğer ad Olay Türü , , GroupCreatedUserModifiedveya GroupModifiedolduğunda UserCreatedEventSubType'ın diğer adı.

Desteklenen değerler şunlardır:
- MultipleProperties: Etkinlik birden çok özelliği güncelleştirdiğinde kullanılır
- Previous<PropertyName>, burada <PropertyName> için UpdatedPropertyNamedesteklenen değerlerden biridir.
- New<PropertyName>, burada <PropertyName> için UpdatedPropertyNamedesteklenen değerlerden biridir.
PreviousPropertyValue İsteğe bağlı String Belirtilen özellikte depolanan önceki değer.
NewPropertyValue İsteğe bağlı String Belirtilen özellikte depolanan yeni değer.

Hedef kullanıcı alanları

Alan Sınıf Type Açıklama
TargetUserId İsteğe bağlı String Makine tarafından okunabilir, alfasayısal, hedef kullanıcının benzersiz gösterimi.

Desteklenen biçimler ve türler şunlardır:
- SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500
- UID (Linux): 4578
- AADID (Microsoft Entra Id): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa
- OktaId: 00urjk4znu3BcncfY0h7
- AWSId: 72643944673

Kimlik türünü TargetUserIdType alanında depolayın. Başka kimlikler varsa, alan adlarını sırasıyla TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId ve TargetUserAwsId olarak normalleştirmenizi öneririz. Daha fazla bilgi için bkz . Kullanıcı varlığı.

Örnek: S-1-12
TargetUserIdType İsteğe bağlı Enumerated TargetUserId alanında depolanan kimliğin türü.

Desteklenen değerler , , UIDAADID, OktaIdve AWSIddeğerleridirSID.
TargetUsername İsteğe bağlı String Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef kullanıcı adı.

Aşağıdaki biçimlerden birini ve aşağıdaki öncelik sırasına göre kullanın:
- Upn/E-posta: johndow@contoso.com
- Windows: Contoso\johndow
- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
- Basit: johndow. Basit formu yalnızca etki alanı bilgileri kullanılamıyorsa kullanın.

Kullanıcı adı türünü TargetUsernameType alanında depolayın. Başka kimlikler varsa, alan adlarını TargetUserUpn, TargetUserWindows ve TargetUserDn olarak normalleştirmenizi öneririz. Daha fazla bilgi için bkz . Kullanıcı varlığı.

Örnek: AlbertE
TargetUsernameType İsteğe bağlı Enumerated TargetUsername alanında depolanan kullanıcı adının türünü belirtir. Desteklenen değerler , , WindowsDNve Simpledeğerlerini içerirUPN. Daha fazla bilgi için bkz . Kullanıcı varlığı.

Örnek: Windows
TargetUserType İsteğe bağlı Enumerated Hedef kullanıcının türü. Desteklenen değerler şunlardır:
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Other

Not: Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değer bu değerlere normalleştirilmelidir. Özgün değeri TargetOriginalUserType alanında depolayın.
TargetOriginalUserType İsteğe bağlı String Kaynak tarafından sağlanmışsa özgün hedef kullanıcı türü.

Aktör alanları

Alan Sınıf Type Açıklama
ActorUserId İsteğe bağlı String Aktör'ün makine tarafından okunabilir, alfasayısal, benzersiz bir gösterimi.

Desteklenen biçimler ve türler şunlardır:
- SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500
- UID (Linux): 4578
- AADID (Microsoft Entra Id): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa
- OktaId: 00urjk4znu3BcncfY0h7
- AWSId: 72643944673

Kimlik türünü ActorUserIdType alanında depolayın. Başka kimlikler varsa, alan adlarını sırasıyla ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId ve ActorAwsId olarak normalleştirmenizi öneririz. Daha fazla bilgi için bkz . Kullanıcı varlığı.

Örnek: S-1-12
ActorUserIdType İsteğe bağlı Enumerated ActorUserId alanında depolanan kimliğin türü. Desteklenen değerler , , UID, AADIDOktaIdve AWSIddeğerlerini içerirSID.
ActorUsername Zorunlu String Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere Aktör kullanıcı adı.

Aşağıdaki biçimlerden birini ve aşağıdaki öncelik sırasına göre kullanın:
- Upn/E-posta: johndow@contoso.com
- Windows: Contoso\johndow
- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
- Basit: johndow. Basit formu yalnızca etki alanı bilgileri kullanılamıyorsa kullanın.

Kullanıcı adı türünü ActorUsernameType alanında depolayın. Başka kimlikler varsa, alan adlarını ActorUserUpn, ActorUserWindows ve ActorUserDn olarak normalleştirmenizi öneririz.

Daha fazla bilgi için bkz . Kullanıcı varlığı.

Örnek: AlbertE
Kullanıcı Diğer ad ActorUsername'in diğer adı.
ActorUsernameType Zorunlu Enumerated ActorUsername alanında depolanan kullanıcı adının türünü belirtir. Desteklenen değerler , Windows, DNve SimpledeğerleridirUPN. Daha fazla bilgi için bkz . Kullanıcı varlığı.

Örnek: Windows
ActorUserType İsteğe bağlı Enumerated Aktör türü. İzin verilen değerler şunlardır:
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Other

Not: Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değer bu değerlere normalleştirilmelidir. Özgün değeri ActorOriginalUserType alanında depolayın.
ActorOriginalUserType Kaynak tarafından sağlanmışsa özgün aktör kullanıcı türü.
ActorSessionId İsteğe bağlı String Aktör oturum açma oturumunun benzersiz kimliği.

Örnek: 999

Not: Tür, çeşitli sistemleri desteklemek için dize olarak tanımlanır, ancak Windows'ta bu değer sayısal olmalıdır.

Windows makinesi kullanıyorsanız ve farklı bir tür kullandıysanız, değerleri dönüştürdüğünüzden emin olun. Örneğin, onaltılık bir değer kullandıysanız, bunu ondalık değere dönüştürün.

Alanları gruplandırma

Alan Sınıf Type Açıklama
GroupId İsteğe bağlı String Bir grupla ilgili etkinlikler için makine tarafından okunabilir, alfasayısal, grubun benzersiz gösterimi.

Desteklenen biçimler ve türler şunlardır:
- SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500
- UID (Linux): 4578

Kimlik türünü GroupIdType alanında depolayın. Başka kimlikler varsa, alan adlarını sırasıyla GroupSid veya GroupUid olarak normalleştirmenizi öneririz. Daha fazla bilgi için bkz . Kullanıcı varlığı.

Örnek: S-1-12
GroupIdType İsteğe bağlı Enumerated GroupId alanında depolanan kimliğin türü.

Desteklenen değerler ve UIDdeğerleridirSID.
GroupName İsteğe bağlı String Bir grupla ilgili etkinlikler için kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere grup adı.

Aşağıdaki biçimlerden birini ve aşağıdaki öncelik sırasına göre kullanın:
- Upn/E-posta: grp@contoso.com
- Windows: Contoso\grp
- DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM
- Basit: grp. Basit formu yalnızca etki alanı bilgileri kullanılamıyorsa kullanın.

Grup adı türünü GroupNameType alanında depolayın. Başka kimlikler varsa, alan adlarını GroupUpn, GorupNameWindows ve GroupDn olarak normalleştirmenizi öneririz.

Örnek: Contoso\Finance
GroupNameType İsteğe bağlı Enumerated GroupName alanında depolanan grup adının türünü belirtir. Desteklenen değerler , , WindowsDNve Simpledeğerlerini içerirUPN.

Örnek: Windows
GroupType İsteğe bağlı Enumerated Bir grupla ilgili etkinlikler için grubun türü. Desteklenen değerler şunlardır:
- Local Distribution
- Local Security Enabled
- Global Distribution
- Global Security Enabled
- Universal Distribution
- Universal Security Enabled
- Other

Not: Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değer bu değerlere normalleştirilmelidir. Özgün değeri GroupOriginalType alanında depolayın.
GroupOriginalType İsteğe bağlı String Kaynak tarafından sağlanmışsa özgün grup türü.

Kaynak alanlar

Alan Sınıf Type Açıklama
Src Önerilir String Kaynak cihazın benzersiz tanımlayıcısı.

Bu alan SrcDvcId, SrcHostname veya SrcIpAddr alanlarının diğer adını alabilir.

Örnek: 192.168.12.1
SrcIpAddr Önerilir IP Adresi Kaynak cihazın IP adresi. SrcHostname belirtilirse bu değer zorunludur.

Örnek: 77.138.103.108
IpAddr Diğer ad SrcIpAddr diğer adı.
SrcHostname Önerilir String Etki alanı bilgileri hariç kaynak cihaz ana bilgisayar adı.

Örnek: DESKTOP-1282V4D
SrcDomain Önerilir String Kaynak cihazın etki alanı.

Örnek: Contoso
SrcDomainType Önerilir Enumerated Biliniyorsa SrcDomain türü. Olası değerler arasında şunlar bulunur:
- Windows (örneğin contoso)
- FQDN (örneğin microsoft.com)

SrcDomain kullanılıyorsa gereklidir.
SrcFQDN İsteğe bağlı String Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak cihaz ana bilgisayar adı.

Not: Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. SrcDomainType alanı kullanılan biçimi yansıtır.

Örnek: Contoso\DESKTOP-1282V4D
SrcDvcId İsteğe bağlı String Kayıtta bildirilen kaynak cihazın kimliği.

Örnek: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId İsteğe bağlı String Cihazın ait olduğu bulut platformu kapsam kimliği. SrcDvcScopeId , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
SrcDvcScope İsteğe bağlı String Cihazın ait olduğu bulut platformu kapsamı. SrcDvcScope , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
SrcDvcIdType İsteğe bağlı Enumerated Biliniyorsa SrcDvcId türü. Olası değerler arasında şunlar bulunur:
- AzureResourceId
- MDEid

Birden çok kimlik varsa, önceki listeden ilk kimlikleri kullanın ve diğerlerini sırasıyla SrcDvcAzureResourceId ve SrcDvcMDEid'de depolayın.

Not: SrcDvcId kullanılıyorsa bu alan gereklidir.
SrcDeviceType İsteğe bağlı Enumerated Kaynak cihazın türü. Olası değerler arasında şunlar bulunur:
- Computer
- Mobile Device
- IOT Device
- Other
SrcGeoCountry İsteğe bağlı Ülke Kaynak IP adresiyle ilişkili ülke.

Örnek: USA
SrcGeoRegion İsteğe bağlı Bölge Kaynak IP adresiyle ilişkilendirilmiş bölge.

Örnek: Vermont
SrcGeoCity İsteğe bağlı City Kaynak IP adresiyle ilişkili şehir.

Örnek: Burlington
SrcGeoLatitude İsteğe bağlı Enlem Kaynak IP adresiyle ilişkili coğrafi koordinatın enlemi.

Örnek: 44.475833
SrcGeoLongitude İsteğe bağlı Boylam Kaynak IP adresiyle ilişkili coğrafi koordinatın boylamı.

Örnek: 73.211944

Uygulama Harekete Geçirme

Alan Sınıf Type Açıklama
ActingAppId İsteğe bağlı String İşlem, tarayıcı veya hizmet de dahil olmak üzere etkinliği gerçekleştirmek için aktör tarafından kullanılan uygulamanın kimliği.

Örneğin: 0x12ae8
ActingAppName İsteğe bağlı String İşlem, tarayıcı veya hizmet de dahil olmak üzere etkinliği gerçekleştirmek için aktör tarafından kullanılan uygulamanın adı.

Örneğin: C:\Windows\System32\svchost.exe
ActingAppType İsteğe bağlı Enumerated Eylem uygulama türü. Desteklenen değerler şunlardır:
- Process
- Browser
- Resource
- Other
HttpUserAgent İsteğe bağlı String Kimlik doğrulaması HTTP veya HTTPS üzerinden gerçekleştirildiğinde, bu alanın değeri, kimlik doğrulamasını gerçekleştirirken eylem yapan uygulama tarafından sağlanan user_agent HTTP üst bilgisidir.

Örneğin: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

Ek alanlar ve diğer adlar

Alan Sınıf Type Açıklama
Ana Bilgisayar Adı Diğer ad DvcHostname diğer adı.

Sonraki adımlar

Daha fazla bilgi için bkz.