Microsoft Sentinel 使用者管理正規化架構參考 (預覽)
Microsoft Sentinel 使用者管理正規化架構可用來描述使用者管理活動,例如建立使用者或群組、變更使用者屬性,或將使用者新增至群組。 例如,這類事件會透過操作系統、目錄服務、身分識別管理系統,以及報告其本機使用者管理活動的任何其他系統來報告。
如需Microsoft Sentinel 中正規化的詳細資訊,請參閱正規化和進階安全性資訊模型 (ASIM)。
重要
使用者管理正規化架構目前為預覽狀態。 此功能已推出但不提供服務等級協定。 不建議用於生產工作負載。
Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
結構描述概觀
ASIM 使用者管理架構描述使用者管理活動。 活動通常包含下列實體:
- 動作專案 - 執行管理活動的使用者。
- 代理程式 ─ 動作項目用來執行管理活動的程式。
- Src - 當活動透過網路執行時,會從中起始活動的來源裝置。
- 目標使用者 - 帳戶受管理的使用者。
- 將 目標使用者新增或移除,或遭到修改。
某些活動,例如 UserCreated、GroupCreated、UserModified 和 GroupModified*、設定或更新使用者屬性。 屬性集或更新記載於下列欄位中:
- EventSubType - 已設定或更新的值名稱。 當 EventSubType 參考其中一個相關的事件類型時,UpdatedPropertyName 是 EventSubType 的別名。
- PreviousPropertyValue - 属性的先前值。
- NewPropertyValue - 屬性的更新值。
架構詳細數據
一般 ASIM 欄位
重要
ASIM 通用欄位一文會詳細說明 所有架構的通用欄位 。
具有特定指導方針的常見欄位
下列清單提及具有進程活動事件特定指導方針的欄位:
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| EventType | 必要 | 枚舉 | 描述記錄所報告的作業。 針對使用者管理活動,支援的值為: - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| EventSubType | 選擇性 | 枚舉 | 支援下列子型態: - UserRead:密碼、哈希- UserCreated、、GroupCreatedUserModified、GroupModified。 如需詳細資訊,請參閱 UpdatedPropertyName |
| EventResult | 必要 | 枚舉 | 雖然失敗是可能的,但大部分的系統只會報告成功的使用者管理事件。 成功事件 Success的預期值為 。 |
| EventResultDetails | 建議需求 | 枚舉 | 有效值為 NotAuthorized 與 Other。 |
| EventSeverity | 必要 | 枚舉 | 雖然允許任何有效的嚴重性值,但使用者管理事件的嚴重性通常是 Informational。 |
| EventSchema | 必要 | String | 這裡記載的架構名稱為 UserManagement。 |
| EventSchemaVersion | 必要 | String | 結構描述的版本。 這裡記載的架構版本為 0.1.1。 |
| Dvc 欄位 | 針對使用者管理事件,裝置欄位會參考系統報告事件。 這通常是使用者管理所在的系統。 |
所有通用欄位
下表中顯示的欄位適用於所有 ASIM 架構。 上述任何指定的指導方針會覆寫欄位的一般指導方針。 例如,欄位通常是選擇性的,但特定架構的必要專案。 如需每個欄位的進一步詳細數據,請參閱 ASIM 通用欄位 一文。
已更新的屬性欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| UpdatedPropertyName | Alias | 當事件類型為 UserCreated、、 GroupCreatedUserModified或 GroupModified時,EventSubType 的別名。支援的值為: - MultipleProperties:當活動更新多個屬性時使用- Previous<PropertyName>,其中 <PropertyName> 是 的 UpdatedPropertyName其中一個支援值。 - New<PropertyName>,其中 <PropertyName> 是 的 UpdatedPropertyName其中一個支援值。 |
|
| PreviousPropertyValue | 選擇性 | String | 儲存在指定屬性中的先前值。 |
| NewPropertyValue | 選擇性 | String | 儲存在指定屬性中的新值。 |
目標使用者欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| TargetUserId | 選擇性 | String | 計算機可讀取、英數位元、目標使用者的唯一表示法。 支援的格式與類型包括: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673將標識元類型儲存在 [TargetUserIdType ] 字段中。 如果有其他標識符可供使用,我們建議您將域名正規化為 TargetUserSid、TargetUserUid、TargetUserAADID、TargetUserOktaId 和 TargetUserAwsId。 如需詳細資訊,請參閱 用戶實體。 範例: S-1-12 |
| TargetUserIdType | 選擇性 | 枚舉 | 儲存在 TargetUserId 字段中的標識碼類型。 支援的值為 SID、、UIDAADID、OktaId、 和 AWSId。 |
| TargetUsername | 選擇性 | String | 目標用戶名稱,包括可用時的網域資訊。 使用下列其中一種格式,並以下列優先順序排序: - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- 簡單: johndow。 只有在網域信息無法使用時,才使用簡單表單。將 [用戶名稱類型] 儲存在 [TargetUsernameType ] 字段中。 如果有其他標識碼可用,建議您將域名正規化為 TargetUserUpn、TargetUserWindows 和 TargetUserDn。 如需詳細資訊,請參閱 用戶實體。 範例: AlbertE |
| TargetUsernameType | 選擇性 | 枚舉 | 指定儲存在 TargetUsername 欄位中的使用者名稱 類型。 支援的值包括 UPN、 Windows、 DN與 Simple。 如需詳細資訊,請參閱 用戶實體。範例: Windows |
| TargetUserType | 選擇性 | 枚舉 | 目標使用者的類型。 支援的值包括: - Regular- Machine- Admin- System- Application- Service Principal- Other注意:來源記錄中可能會使用不同的詞彙來提供此值,這應該會正規化為這些值。 將原始值儲存在 TargetOriginalUserType 字段中。 |
| TargetOriginalUserType | 選擇性 | String | 來源所提供的原始目的地用戶類型。 |
動作專案欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| ActorUserId | 選擇性 | String | 機器可讀取、英數位元、動作專案的唯一表示法。 支援的格式與類型包括: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673將標識元類型儲存在 ActorUserIdType 欄位中。 如果有其他標識符可供使用,我們建議您將域名正規化為 ActorUserSid、ActorUserUid、ActorUserAadId、ActorUserOktaId 和 ActorAwsId。 如需詳細資訊,請參閱 用戶實體。 範例:S-1-12 |
| ActorUserIdType | 選擇性 | 枚舉 | 儲存在 ActorUserId 字段中的識別碼類型。 支援的值包括 SID、UID、AADID、OktaId 和 AWSId。 |
| ActorUsername | 必要 | String | 動作項目用戶名稱,包括可用時的網域資訊。 使用下列其中一種格式,並以下列優先順序排序: - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- 簡單: johndow。 只有在網域信息無法使用時,才使用簡單表單。將 Username 類型儲存在 ActorUsernameType 字段中。 如果有其他標識碼可供使用,建議您將域名正規化為 ActorUserUpn、ActorUserWindows 和 ActorUserDn。 如需詳細資訊,請參閱 用戶實體。 範例: AlbertE |
| 使用者 | Alias | ActorUsername 的別名。 | |
| ActorUsernameType | 必要 | 枚舉 | 指定儲存在 ActorUsername 欄位中的使用者名稱 類型。 支援的值為 UPN、 Windows、 DN和 Simple。 如需詳細資訊,請參閱 用戶實體。範例: Windows |
| ActorUserType | 選擇性 | 枚舉 | 動作項目的類型。 允許的值如下: - Regular- Machine- Admin- System- Application- Service Principal- Other注意:來源記錄中可能會使用不同的詞彙來提供此值,這應該會正規化為這些值。 將原始值儲存在 ActorOriginalUserType 欄位中。 |
| ActorOriginalUserType | 來源所提供的原始動作項目用戶類型。 | ||
| ActorSessionId | 選擇性 | String | 動作專案登入會話的唯一標識符。 範例: 999注意:類型定義為 支援不同系統的字串 ,但在 Windows 上,此值必須是數值。 如果您使用 Windows 計算機並使用不同的類型,請務必轉換值。 例如,如果您使用十六進位值,請將它轉換成十進位值。 |
群組欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| GroupId | 選擇性 | String | 計算機可讀取、英數位元、群組的唯一表示法,適用於涉及群組的活動。 支援的格式與類型包括: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578將標識元類型儲存在 GroupIdType 欄位中。 如果有其他標識碼可供使用,建議您分別將域名正規化為 GroupSid 或 GroupUid。 如需詳細資訊,請參閱 用戶實體。 範例: S-1-12 |
| GroupIdType | 選擇性 | 枚舉 | 儲存在 GroupId 欄位中的識別碼類型。 支援的值為 SID、 與 UID。 |
| GroupName | 選擇性 | String | 適用於涉及群組的活動,組名,包括網域資訊。 使用下列其中一種格式,並以下列優先順序排序: - Upn/Email: grp@contoso.com- Windows: Contoso\grp- DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM- 簡單: grp。 只有在網域信息無法使用時,才使用簡單表單。將組名類型儲存在 [GroupNameType ] 字段中。 如果有其他標識碼可用,建議您將域名正規化為 GroupUpn、 GorupNameWindows 和 GroupDn。 範例: Contoso\Finance |
| GroupNameType | 選擇性 | 枚舉 | 指定儲存在 GroupName 欄位中的組名類型。 支援的值包括 UPN、 Windows、 DN與 Simple。範例: Windows |
| GroupType | 選擇性 | 枚舉 | 群組的類型,用於涉及群組的活動。 支援的值包括: - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- Other注意:來源記錄中可能會使用不同的詞彙來提供此值,這應該會正規化為這些值。 將原始值儲存在 GroupOriginalType 欄位中。 |
| GroupOriginalType | 選擇性 | String | 來源所提供的原始群組類型。 |
來源欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| Src | 建議需求 | String | 來源裝置的唯一標識碼。 此欄位可能會將 SrcDvcId、 SrcHostname 或 SrcIpAddr 字段別名。 範例: 192.168.12.1 |
| SrcIpAddr | 建議需求 | IP 位址 | 來源裝置的 IP 位址。 如果 指定 SrcHostname ,這個值是必要的。 範例: 77.138.103.108 |
| IpAddr | Alias | SrcIpAddr 的別名。 | |
| SrcHostname | 建議需求 | String | 來源裝置主機名,不包括網域資訊。 範例: DESKTOP-1282V4D |
| SrcDomain | 建議需求 | String | 來源裝置的網域。 範例: Contoso |
| SrcDomainType | 建議需求 | 枚舉 | 如果已知,則為 SrcDomain 的類型。 可能的值包括: - Windows (例如 contoso)- FQDN (例如 microsoft.com)如果使用 SrcDomain ,則為必要項。 |
| SrcFQDN | 選擇性 | String | 來源裝置主機名,包括可用時的網域資訊。 注意:此欄位同時支持傳統的 FQDN 格式和 Windows 網域\主機名格式。 SrcDomainType 字段會反映所使用的格式。 範例: Contoso\DESKTOP-1282V4D |
| SrcDvcId | 選擇性 | String | 記錄中所報告的來源裝置標識碼。 範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 選擇性 | String | 裝置所屬的雲端平臺範圍標識碼。 SrcDvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及對應至 AWS 上的帳戶標識碼。 |
| SrcDvcScope | 選擇性 | String | 裝置所屬的雲端平台範圍。 SrcDvcScope 對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
| SrcDvcIdType | 選擇性 | 枚舉 | 如果已知,則為 SrcDvcId 的類型。 可能的值包括: - AzureResourceId- MDEid如果有多個標識碼可用,請使用上述清單中的第一個標識符,並將其他標識符分別儲存在 SrcDvcAzureResourceId 和 SrcDvcMDEid 中。 注意:如果使用 SrcDvcId ,則需要此欄位。 |
| SrcDeviceType | 選擇性 | 枚舉 | 來源裝置的類型。 可能的值包括: - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | 選擇性 | Country | 與來源IP位址相關聯的國家/地區。 範例: USA |
| SrcGeoRegion | 選擇性 | 區域 | 與來源IP位址相關聯的區域。 範例: Vermont |
| SrcGeoCity | 選擇性 | 縣/市 | 與來源IP位址相關聯的城市。 範例: Burlington |
| SrcGeoLatitude | 選擇性 | 緯度 | 與來源IP位址相關聯的地理座標緯度。 範例: 44.475833 |
| SrcGeoLongitude | 選擇性 | 經度 | 與來源IP位址相關聯的地理座標經度。 範例: 73.211944 |
代理應用程式
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| ActingAppId | 選擇性 | String | 動作專案用來執行活動的應用程式識別碼,包括進程、瀏覽器或服務。 例如: 0x12ae8 |
| ActingAppName | 選擇性 | String | 動作專案用來執行活動的應用程式名稱,包括進程、瀏覽器或服務。 例如: C:\Windows\System32\svchost.exe |
| ActingAppType | 選擇性 | 枚舉 | 代理應用程式的類型。 支援的值包括: - Process - Browser - Resource - Other |
| HttpUserAgent | 選擇性 | String | 透過 HTTP 或 HTTPS 執行驗證時,此欄位的值是執行驗證時,由代理應用程式所提供的user_agent HTTP 標頭。 例如: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
其他欄位和別名
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 主機名稱 | Alias | DvcHostname 的別名。 |
下一步
如需詳細資訊,請參閱