ASIM) 使用者實體 (進階安全資訊模型

使用者是事件報告活動的核心。 本節所列的使用者實體欄位用來描述參與該行動的使用者。 在事件中使用前綴時,用來指定使用者實體在活動中的角色。 前綴 SrcDst 用於指明使用者在網路相關事件中的角色,該事件中來源系統與目的系統會進行通訊。 前綴「Actor」和「Target」用於系統導向事件,如程序事件。

使用者 ID 與範圍

欄位 類別 類型 描述
使用者ID 選用 字串 一個機器可讀、字母數字、獨特的使用者表示方式。
使用者範圍 選用 字串 定義 UserID使用者名稱 的範圍。 例如,Microsoft Entra 租戶網域名稱。 UserIdType 欄位同時代表與此欄位相關的 類型。
使用者範圍ID 選用 字串 定義 UserIDUsername 的範圍 ID。 例如,Microsoft Entra 租戶目錄 ID。 UserIdType 欄位同時代表與此欄位相關的 類型。
使用者IdType 選用 使用者IdType UserId 欄位中儲存的 ID 類型。
UserSidUserUidUserAadIdUserOktaIdUserAWSIdUserPuid 選用 字串 用於儲存特定使用者 ID 的欄位。 選擇與事件最相關的 ID 作為 UserID 中儲存的主要 ID。 即使事件只有一個 ID,也要填入相關的特定 ID 欄位,除了 UserID
UserAADTenantUserAWSAccount 選用 字串 欄位用於儲存特定的示波器。 使用 UserScope 欄位來表示與 UserId 欄位中 ID 相關的 scope。 即使事件只有一個 ID,也要填入相關的特定範圍欄位,除了 UserScope

使用者 ID 類型的允許值為:

類型 描述 範例
SID 一個 Windows 使用者 ID。 S-1-5-21-1377283216-344919071-3415362939-500
UID 一個 Linux 使用者 ID。 4578
AADID 一個 Microsoft Entra 使用者 ID。 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
十日制 一個 Okta 使用者 ID。 00urjk4znu3BcncfY0h7
AWSId AWS 使用者 ID。 72643944673
PUID 一個 Microsoft 365 使用者 ID。 10032001582F435C
SalesforceId 一個 Salesforce 使用者 ID。 00530000009M943

使用者名稱

欄位 類別 類型 描述
用戶名 選用 字串 來源用戶名,並在有網域資訊時提供。 只有在網域資訊無法取得時,才使用簡易表單。 將使用者名稱類型儲存在 UsernameType 欄位。
使用者名稱類型 選用 使用者名稱類型 指定儲存在 使用者名稱 欄位的使用者名稱類型。
UserUPNWindowsUsernameDNUsernameSimpleUsername 選用 字串 若原始事件包含多個使用者名稱,則用於儲存額外使用者名稱欄位。 選擇與活動最相關的使用者名稱作為儲存在 使用者名稱中的主要使用者名稱。

使用者名稱類型的允許值為:

類型 描述 範例
UPN 一個 UPN 或 Email 地址的使用者名稱標示符。 johndow@contoso.com
Windows 一個包含網域的 Windows 使用者名稱。 Contoso\johndow
DN LDAP 的傑出名稱標示。 CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
簡單 一個簡單的使用者名稱,沒有網域標示符。 johndow
AWSId AWS 使用者 ID。 72643944673

其他使用者欄位

欄位 類別 類型 描述
使用者類型 選用 UserType 來源使用者的類型。 支持的價值觀包括:
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Service
- Anonymous
- Other.

該值可在來源記錄中使用不同詞彙提供,並應正規化至這些值。 將原始值儲存在 OriginalUserType 欄位。
原始使用者類型 選用 字串 如果回報裝置提供原始目的使用者類型。
  • Last updated on