Referensi skema normalisasi manajemen pengguna Microsoft Sentinel (pratinjau)
Skema normalisasi manajemen pengguna Microsoft Sentinel digunakan untuk menjelaskan aktivitas manajemen pengguna, seperti membuat pengguna atau grup, mengubah atribut pengguna, atau menambahkan pengguna ke grup. Peristiwa semacam itu dilaporkan, misalnya, oleh sistem operasi, layanan direktori, sistem manajemen identitas, dan sistem lain yang melaporkan aktivitas manajemen pengguna lokalnya.
Untuk informasi selengkapnya tentang normalisasi di Microsoft Sentinel, lihat Normalisasi dan Model Informasi Keamanan Tingkat Lanjut (ASIM).
Penting
Skema normalisasi manajemen pengguna saat ini sedang dalam pratinjau. Fitur ini disediakan tanpa perjanjian tingkat layanan. Kami tidak merekomendasikannya untuk beban kerja produksi.
Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Gambaran umum Skema
Skema manajemen pengguna ASIM menjelaskan aktivitas manajemen pengguna. Kegiatan biasanya mencakup entitas berikut:
- Aktor - pengguna yang melakukan aktivitas manajemen.
- Proses Akting - proses yang digunakan oleh aktor untuk melakukan aktivitas manajemen.
- Src - ketika aktivitas dilakukan melalui jaringan, perangkat sumber dari mana aktivitas dimulai.
- Target Pengguna - pengguna yang akunnya dikelola.
- Grup pengguna target ditambahkan atau dihapus dari, atau sedang dimodifikasi.
Beberapa aktivitas, seperti UserCreated, GroupCreated, UserModified, dan GroupModified*, mengatur atau memperbarui properti pengguna. Properti yang ditetapkan atau diperbarui didokumentasikan dalam bidang berikut:
- EventSubType - nama nilai yang ditetapkan atau diperbarui. UpdatedPropertyName adalah alias ke EventSubType ketika EventSubType mengacu pada salah satu jenis acara yang relevan.
- PreviousPropertyValue - nilai properti sebelumnya.
- NewPropertyValue - nilai properti yang diperbarui.
Detail skema
Bidang ASIM umum
Penting
Bidang yang umum untuk semua skema dijelaskan secara rinci dalam artikel Bidang Umum ASIM.
Bidang umum dengan pedoman khusus
Daftar berikut menyebutkan bidang yang memiliki panduan khusus untuk peristiwa aktivitas proses:
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| EventType | Wajib | Disebutkan | Menggambarkan operasi yang dilaporkan oleh catatan. Untuk aktivitas Manajemen Pengguna, nilai yang didukung adalah: - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| EventSubType | Opsional | Disebutkan | Sub-jenis berikut didukung: - UserRead: Kata sandi, Hash- UserCreated, GroupCreated, UserModified, GroupModified. Untuk informasi selengkapnya, lihat UpdatedPropertyName |
| EventResult | Wajib | Disebutkan | Meskipun kegagalan dimungkinkan, sebagian besar sistem hanya melaporkan peristiwa manajemen pengguna yang sukses. Nilai yang diharapkan untuk peristiwa yang sukses adalah Success. |
| EventResultDetails | Disarankan | Disebutkan | Nilai yang valid adalah NotAuthorized dan Other. |
| EventSeverity | Wajib | Disebutkan | Meskipun nilai keparahan yang valid diperbolehkan, tingkat keparahan peristiwa manajemen pengguna biasanya Informational. |
| EventSchema | Wajib | String | Nama skema yang didokumentasikan di sini adalah UserManagement. |
| EventSchemaVersion | Wajib | String | Versi skema. Versi skema yang didokumentasikan di sini adalah 0.1.1. |
| Bidang Dvc | Untuk peristiwa manajemen pengguna, bidang perangkat mengacu pada sistem yang melaporkan peristiwa. Ini biasanya sistem di mana pengguna dikelola. |
Semua bidang umum
Bidang yang muncul pada tabel di bawah ini adalah umum untuk semua skema ASIM. Setiap pedoman yang ditentukan di atas mengambil alih pedoman umum untuk bidang ini. Misalnya, sebuah bidang mungkin opsional secara umum, tetapi wajib untuk skema tertentu. Untuk detail lebih lanjut tentang setiap bidang, lihat artikel Bidang Umum ASIM.
| Kelas | Bidang |
|---|---|
| Wajib | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Disarankan | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opsional | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Bidang properti yang diperbarui
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| UpdatedPropertyName | Alias | Alias ke EventSubType saat Jenis Peristiwa adalah UserCreated, GroupCreated, UserModified, atau GroupModified.Nilai yang didukung adalah: - MultipleProperties: Digunakan saat aktivitas memperbarui beberapa properti- Previous<PropertyName>, di mana <PropertyName> adalah salah satu nilai yang didukung untuk UpdatedPropertyName. - New<PropertyName>, di mana <PropertyName> adalah salah satu nilai yang didukung untuk UpdatedPropertyName. |
|
| PreviousPropertyValue | Opsional | String | Nilai sebelumnya yang disimpan di properti yang ditentukan. |
| NewPropertyValue | Opsional | String | Nilai baru yang disimpan di properti yang ditentukan. |
Bidang target pengguna
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| TargetUserId | Opsional | String | Representasi pengguna target dapat dibaca mesin, alfanumerik, dan unik. Format dan jenis yang didukung meliputi: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (ID Microsoft Entra): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Simpan jenis ID di bidang TargetUserIdType. Jika ID lain tersedia, sebaiknya Anda menormalkan nama bidang menjadi TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId, dan TargetUserAwsId, masing-masing. Untuk informasi lebih lanjut, lihat Entitas pengguna. Contoh: S-1-12 |
| TargetUserIdType | Opsional | Disebutkan | Jenis ID yang disimpan di bidang TargetUserId. Nilai yang didukung adalah SID, UID, AADID, OktaId, and AWSId. |
| TargetUsername | Opsional | String | Nama pengguna target, termasuk informasi domain bila tersedia. Gunakan salah satu format berikut dan dalam urutan prioritas berikut: - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Sederhana: johndow. Gunakan formulir Sederhana hanya jika informasi domain tidak tersedia.Simpan jenis Nama Pengguna di bidang TargetUsernameType. Jika ID lain tersedia, sebaiknya Anda menormalkan nama bidang menjadi TargetUserUpn, TargetUserWindows, dan TargetUserDn. Untuk informasi lebih lanjut, lihat Entitas pengguna. Contoh: AlbertE |
| TargetUsernameType | Opsional | Disebutkan | Menentukan jenis nama pengguna yang disimpan di bidang TargetUsername. Nilai yang didukung mencakup UPN, Windows, DN, dan Simple. Untuk informasi lebih lanjut, lihat Entitas pengguna.Contoh: Windows |
| TargetUserType | Opsional | Disebutkan | Jenis pengguna target. Nilai yang didukung mencakup: - Regular- Machine- Admin- System- Application- Service Principal- OtherCatatan: Nilai mungkin disediakan dalam rekaman sumber dengan menggunakan istilah yang berbeda, yang harus dinormalisasi ke nilai-nilai ini. Simpan nilai asli di bidang TargetOriginalUserType. |
| TargetOriginalUserType | Opsional | String | Jenis pengguna tujuan asli, jika disediakan oleh sumbernya. |
Bidang pelaku
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| ActorUserId | Opsional | String | Representasi Pelaku yang dapat dibaca mesin, alfanumerik, unik. Format dan jenis yang didukung meliputi: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (ID Microsoft Entra): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Simpan jenis ID di bidang ActorUserIdType. Jika ID lain tersedia, kami sarankan Anda menormalkan nama bidang ke ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId, and ActorAwsId, masing-masing. Untuk informasi lebih lanjut, lihat Entitas pengguna. Contoh: S-1-12 |
| ActorUserIdType | Opsional | Disebutkan | Jenis ID yang disimpan pada bidang ActorUserId. Nilai yang didukung mencakup: SID, UID, AADID, OktaId, dan AWSId. |
| ActorUsername | Wajib | String | Nama pengguna Pelaku, termasuk informasi domain saat tersedia. Gunakan salah satu format berikut dan dalam urutan prioritas berikut: - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Sederhana: johndow. Gunakan formulir Sederhana hanya jika informasi domain tidak tersedia.Simpan jenis Nama Pengguna di bidang ActorUsernameType. Jika ID lain tersedia, kami sarankan Anda menormalkan nama bidang menjadi ActorUserUpn, ActorUserWindows, dan ActorUserDn. Untuk informasi lebih lanjut, lihat Entitas pengguna. Contoh: AlbertE |
| Pengguna | Alias | Alias ke ActorUsername. | |
| ActorUsernameType | Wajib | Disebutkan | Menentukan jenis nama pengguna yang disimpan pada bidang ActorUsername. Nilai yang didukung adalah UPN, Windows, DN, dan Simple. Untuk informasi lebih lanjut, lihat Entitas pengguna.Contoh: Windows |
| ActorUserType | Opsional | Disebutkan | Jenis Pelaku. Nilai yang diperbolehkan adalah: - Regular- Machine- Admin- System- Application- Service Principal- OtherCatatan: Nilai mungkin disediakan dalam rekaman sumber dengan menggunakan istilah yang berbeda, yang harus dinormalisasi ke nilai-nilai ini. Simpan nilai asli di bidang ActorOriginalUserType. |
| ActorOriginalUserType | Jenis pengguna sumber asli, jika disediakan oleh sumber. | ||
| ActorSessionId | Opsional | String | ID unik dari sesi login Aktor. Contoh: 999Catatan: Jenis didefiniskan sebagai string untuk mendukung berbagai sistem, tetapi pada Windows nilai ini harus berupa angka. Jika Anda menggunakan mesin Windows dan menggunakan jenis yang berbeda, pastikan untuk mengonversi nilai ini. Misalnya, jika Anda menggunakan nilai heksadesimal, ubah menjadi nilai desimal. |
Bidang Grup
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| GroupId | Opsional | String | Representasi kelompok yang dapat dibaca mesin, alfanumerik, dan unik, untuk kegiatan yang melibatkan kelompok. Format dan jenis yang didukung meliputi: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578Simpan jenis ID di bidang GroupIdType. Jika ID lain tersedia, sebaiknya Anda menormalkan nama bidang ke GroupSid atau GroupUid. Untuk informasi lebih lanjut, lihat Entitas pengguna. Contoh: S-1-12 |
| GroupIdType | Opsional | Disebutkan | Jenis ID yang disimpan di bidang GroupId. Nilai yang didukung adalah SID, and UID. |
| GroupName | Opsional | String | Nama grup, termasuk informasi domain bila tersedia, untuk kegiatan yang melibatkan grup. Gunakan salah satu format berikut dan dalam urutan prioritas berikut: - Upn/Email: grp@contoso.com- Windows: Contoso\grp- DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM- Sederhana: grp. Gunakan formulir Sederhana hanya jika informasi domain tidak tersedia.Simpan tipe nama grup di bidang GroupNameType. Jika ID lain tersedia, sebaiknya Anda menormalkan nama bidang menjadi GroupUpn, GorupNameWindows, dan GroupDn. Contoh: Contoso\Finance |
| GroupNameType | Opsional | Disebutkan | Menentukan jenis nama pengguna yang disimpan pada bidang GroupName. Nilai yang didukung mencakup UPN, Windows, DN, dan Simple.Contoh: Windows |
| GroupType | Opsional | Disebutkan | Jenis kelompok, untuk kegiatan yang melibatkan kelompok. Nilai yang didukung mencakup: - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- OtherCatatan: Nilai mungkin disediakan dalam rekaman sumber dengan menggunakan istilah yang berbeda, yang harus dinormalisasi ke nilai-nilai ini. Simpan nilai asli di bidang GroupOriginalType. |
| GroupOriginalType | Opsional | String | Jenis pengguna sumber asli, jika disediakan oleh sumber. |
Bidang sumber
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| Src | Disarankan | String | Pengenal unik perangkat sumber. Bidang ini bisa menjadi alias bagi bidang SrcDvcId, SrcHostname, atau SrclpAddr. Contoh: 192.168.12.1 |
| SrcIpAddr | Disarankan | Alamat IP | Alamat IP perangkat sumber. Nilai ini wajib jika SrcHostname ditentukan. Contoh: 77.138.103.108 |
| IpAddr | Alias | Alias ke SrcIpAddr. | |
| SrcHostname | Disarankan | String | Nama host perangkat sumber, tidak termasuk informasi domain. Contoh: DESKTOP-1282V4D |
| SrcDomain | Disarankan | String | Domain perangkat sumber. Contoh: Contoso |
| SrcDomainType | Disarankan | Disebutkan | Jenis SrcDomain, jika diketahui. Nilai yang mungkin termasuk: - Windows (misalnya contoso)- FQDN (misalnya microsoft.com)Diperlukan jika SrcDomain digunakan. |
| SrcFQDN | Opsional | String | Nama host perangkat sumber, termasuk informasi domain saat tersedia. Catatan: Bidang ini mendukung format FQDN tradisional dan format domain\hostname Windows. Bidang SrcDomainType mencerminkan format yang digunakan. Contoh: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Opsional | String | ID perangkat sumber seperti yang dilaporkan dalam rekaman. Contoh: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opsional | String | ID cakupan platform cloud milik perangkat. Peta SrcDvcScopeId ke ID langganan di Azure dan ke ID akun di AWS. |
| SrcDvcScope | Opsional | String | Cakupan platform cloud milik perangkat. SrcDvcScope memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
| SrcDvcIdType | Opsional | Disebutkan | Jenis SrcDvcId, jika diketahui. Nilai yang mungkin termasuk: - AzureResourceId- MDEidJika beberapa ID tersedia, gunakan yang pertama dari daftar sebelumnya, dan simpan yang lain di SrcDvcAzureResourceId dan SrcDvcMDEid, masing-masing. Catatan: Bidang ini diperlukan jika SrcDvcId digunakan. |
| SrcDeviceType | Opsional | Disebutkan | Jenis perangkat sumber Nilai yang mungkin termasuk: - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | Opsional | Negara | Negara yang terkait dengan alamat IP sumber. Contoh: USA |
| SrcGeoRegion | Opsional | Wilayah | Wilayah yang terkait dengan alamat IP sumber. Contoh: Vermont |
| SrcGeoCity | Opsional | Kota | Kota yang terkait dengan alamat IP sumber. Contoh: Burlington |
| SrcGeoLatitude | Opsional | Garis Lintang | Garis lintang koordinat geografis yang terkait dengan alamat IP sumber. Contoh: 44.475833 |
| SrcGeoLongitude | Opsional | Garis bujur | Garis bujur koordinat geografis yang terkait dengan alamat IP sumber. Contoh: 73.211944 |
Aplikasi yang Digunakan
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| ActingAppId | Opsional | String | ID aplikasi yang digunakan oleh aktor untuk melakukan aktivitas, termasuk proses, browser, atau layanan. Misalnya: 0x12ae8 |
| ActingAppName | Opsional | String | Nama aplikasi yang digunakan oleh aktor untuk melakukan aktivitas, termasuk proses, browser, atau layanan. Misalnya: C:\Windows\System32\svchost.exe |
| ActingAppType | Opsional | Disebutkan | Jenis aplikasi bertindak. Nilai yang didukung mencakup: - Process - Browser - Resource - Other |
| HttpUserAgent | Opsional | String | Ketika autentikasi dilakukan melalui HTTP atau HTTPS, nilai bidang ini adalah header HTTP user_agent yang disediakan oleh aplikasi bertindak saat melakukan autentikasi. Misalnya: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Bidang dan alias tambahan
| Bidang | Kelas | Tipe | Deskripsi |
|---|---|---|---|
| Hostname | Alias | Alias ke DvcHostname. |
Langkah berikutnya
Untuk informasi selengkapnya, lihat: