Microsoft Sentinel 使用者管理正規化架構參考 (預覽)
Microsoft Sentinel 使用者管理正規化架構可用來描述使用者管理活動,例如建立使用者或群組、變更使用者屬性,或將使用者新增至群組。 例如,這類事件會透過作業系統、目錄服務、身分識別管理系統,以及報告其本機使用者管理活動的任何其他系統來報告。
如需 Microsoft Sentinel 中正規化的詳細資訊,請參閱 正規化和進階安全性資訊模型(ASIM)。
重要
使用者管理正規化架構目前為預覽狀態 。 此功能在沒有服務等級協定的情況下提供。 不建議用於生產工作負載。
Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
架構概觀
ASIM 使用者管理架構描述使用者管理活動。 活動通常包含下列實體:
- 動作專案 - 執行管理活動的使用者。
- 代理程式 - 動作專案用來執行管理活動的程式。
- Src - 當活動透過網路執行時,會從中起始活動的來源裝置。
- 目標使用者 - 帳戶受管理的使用者。
- 將 目標使用者新增或移除,或遭到修改。
某些活動,例如 UserCreated、 GroupCreated 、 UserModified 和 GroupModified *、設定或更新使用者屬性。 屬性集或更新記載于下欄欄位中:
- EventSubType - 已設定或更新的值名稱。 當 EventSubType 參考其中一個相關的事件種類時,UpdatedPropertyName 是 EventSubType 的別名 。
- PreviousPropertyValue - 屬性的先前值。
- NewPropertyValue - 屬性的更新值。
架構詳細資料
一般 ASIM 欄位
重要
ASIM 通用欄位一文會詳細說明 所有架構的通用欄位 。
具有特定指導方針的常見欄位
下列清單提及具有進程活動事件特定指導方針的欄位:
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| EventType | 必要 | 枚舉 | 描述記錄所報告的作業。 針對使用者管理活動,支援的值為: - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| EventSubType | 選擇性 | 枚舉 | 支援下列子類型: - UserRead:密碼、雜湊- UserCreated, GroupCreated, UserModified, GroupModified. 如需詳細資訊,請參閱 UpdatedPropertyName |
| EventResult | 必要 | 枚舉 | 雖然失敗是可能的,但大部分的系統只會報告成功的使用者管理事件。 成功事件 Success 的預期值為 。 |
| EventResultDetails | 建議需求 | 枚舉 | 有效值為 NotAuthorized 和 Other 。 |
| EventSeverity | 必要 | 枚舉 | 雖然允許任何有效的嚴重性值,但使用者管理事件的嚴重性通常是 Informational 。 |
| EventSchema | 必要 | String | 這裡記載的架構名稱為 UserManagement 。 |
| EventSchemaVersion | 必要 | String | 結構描述的版本。 這裡記載的架構版本為 0.1.1 。 |
| Dvc 欄位 | 針對使用者管理事件,裝置欄位會參考系統報告事件。 這通常是使用者管理所在的系統。 |
所有通用欄位
下表中顯示的欄位適用于所有 ASIM 架構。 上述任何指定的指導方針會覆寫欄位的一般指導方針。 例如,欄位通常是選擇性的,但特定架構的必要專案。 如需每個欄位的進一步詳細資料,請參閱 ASIM 通用欄位 一文。
已更新的屬性欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| UpdatedPropertyName | Alias | 當事件種類為 UserCreated 、、 GroupCreatedUserModified 或 GroupModified 時,EventSubType 的別名。支援的值為: - MultipleProperties:當活動更新多個屬性時使用- Previous<PropertyName>,其中 <PropertyName> 是 的 UpdatedPropertyName 其中一個支援值。 - New<PropertyName>,其中 <PropertyName> 是 的 UpdatedPropertyName 其中一個支援值。 |
|
| PreviousPropertyValue | 選擇性 | String | 儲存在指定屬性中的先前值。 |
| NewPropertyValue | 選擇性 | String | 儲存在指定屬性中的新值。 |
目標使用者欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| TargetUserId | 選擇性 | String | 電腦可讀取、英數位元、目標使用者的唯一標記法。 支援的格式和類型包括: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId : 00urjk4znu3BcncfY0h7- AWSId : 72643944673將識別碼類型儲存在 [TargetUserIdType ] 欄位中。 如果有其他識別碼可供使用,我們建議您將功能變數名稱正規化為 TargetUserSid、TargetUserUid 、TargetUserAADID 、 TargetUserOktaId 和 TargetUserAwsId 。 如需詳細資訊,請參閱 使用者實體 。 範例: S-1-12 |
| TargetUserIdType | 選擇性 | 枚舉 | 儲存在 TargetUserId 欄位中的識別碼類型。 支援的值為 SID 、、 UIDAADID 、 OktaId 、 和 AWSId 。 |
| TargetUsername | 選擇性 | String | 目標使用者名稱,包括可用時的網域資訊。 使用下列其中一種格式,並以下列優先順序排序: - Upn/Email : johndow@contoso.com- Windows : Contoso\johndow- DN : CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- 簡單 : johndow 。 只有在網域資訊無法使用時,才使用簡單表單。將 [使用者名稱類型] 儲存在 [TargetUsernameType ] 欄位中。 如果有其他識別碼可用,建議您將功能變數名稱正規化為 TargetUserUpn 、 TargetUserWindows 和 TargetUserDn 。 如需詳細資訊,請參閱 使用者實體 。 範例: AlbertE |
| TargetUsernameType | 選擇性 | 枚舉 | 指定儲存在 TargetUsername 欄位中的使用者名稱 類型。 支援的值包括 UPN 、 Windows 、 DN 和 Simple 。 如需詳細資訊,請參閱 使用者實體 。範例: Windows |
| TargetUserType | 選擇性 | 枚舉 | 目標使用者的類型。 支援的值包括: - Regular- Machine- Admin- System- Application- Service Principal- Other注意 :來源記錄中可能會使用不同的詞彙來提供此值,這應該會正規化為這些值。 將原始值儲存在 TargetOriginalUserType 欄位中。 |
| TargetOriginalUserType | 選擇性 | String | 來源所提供的原始目的地使用者類型。 |
動作專案欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| ActorUserId | 選擇性 | String | 機器可讀取、英數位元、動作專案的唯一標記法。 支援的格式和類型包括: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId : 00urjk4znu3BcncfY0h7- AWSId : 72643944673將識別碼類型儲存在 ActorUserIdType 欄位中。 如果有其他識別碼可供使用,我們建議您將功能變數名稱正規化為 ActorUserSid、ActorUserUid 、ActorUserAadId 、 ActorUserOktaId 和 ActorAwsId 。 如需詳細資訊,請參閱 使用者實體 。 範例:S-1-12 |
| ActorUserIdType | 選擇性 | 枚舉 | 儲存在 ActorUserId 欄位中的識別碼類型。 支援的值包括 SID 、、 UIDAADID 、 OktaId 、 和 AWSId 。 |
| ActorUsername | 必要 | String | 動作專案使用者名稱,包括可用時的網域資訊。 使用下列其中一種格式,並以下列優先順序排序: - Upn/Email : johndow@contoso.com- Windows : Contoso\johndow- DN : CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- 簡單 : johndow 。 只有在網域資訊無法使用時,才使用簡單表單。將 Username 類型儲存在 ActorUsernameType 欄位中。 如果有其他識別碼可供使用,建議您將功能變數名稱正規化為 ActorUserUpn 、 ActorUserWindows 和 ActorUserDn 。 如需詳細資訊,請參閱 使用者實體 。 範例: AlbertE |
| 使用者 | Alias | ActorUsername 的 別名。 | |
| ActorUsernameType | 必要 | 枚舉 | 指定儲存在 ActorUsername 欄位中的使用者名稱 類型。 支援的值為 UPN 、 Windows 、 DN 和 Simple 。 如需詳細資訊,請參閱 使用者實體 。範例: Windows |
| ActorUserType | 選擇性 | 枚舉 | 動作專案的類型。 允許的值如下: - Regular- Machine- Admin- System- Application- Service Principal- Other注意 :來源記錄中可能會使用不同的詞彙來提供此值,這應該會正規化為這些值。 將原始值儲存在 ActorOriginalUserType 欄位中。 |
| ActorOriginalUserType | 來源所提供的原始動作專案使用者類型。 | ||
| ActorSessionId | 選擇性 | String | 動作專案登入會話的唯一識別碼。 範例: 999注意 :類型定義為 支援不同系統的字串 ,但在 Windows 上,此值必須是數值。 如果您使用 Windows 電腦並使用不同的類型,請務必轉換值。 例如,如果您使用十六進位值,請將它轉換成十進位值。 |
群組欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| GroupId | 選擇性 | String | 電腦可讀取、英數位元、群組的唯一標記法,適用于涉及群組的活動。 支援的格式和類型包括: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578將識別碼類型儲存在 GroupIdType 欄位中。 如果有其他識別碼可供使用,建議您分別將功能變數名稱正規化為 GroupSid 或 GroupUid 。 如需詳細資訊,請參閱 使用者實體 。 範例: S-1-12 |
| GroupIdType | 選擇性 | 枚舉 | 儲存在 GroupId 欄位中的識別碼類型。 支援的值為 SID 、 和 UID 。 |
| GroupName | 選擇性 | String | 適用于涉及群組的活動,組名,包括網域資訊。 使用下列其中一種格式,並以下列優先順序排序: - Upn/Email : grp@contoso.com- Windows : Contoso\grp- DN : CN=grp,OU=Sales,DC=Fabrikam,DC=COM- 簡單 : grp 。 只有在網域資訊無法使用時,才使用簡單表單。將組名類型儲存在 [GroupNameType ] 欄位中。 如果有其他識別碼可用,建議您將功能變數名稱正規化為 GroupUpn 、 GorupNameWindows 和 GroupDn 。 範例: Contoso\Finance |
| GroupNameType | 選擇性 | 枚舉 | 指定儲存在 GroupName 欄位中的組名類型。 支援的值包括 UPN 、 Windows 、 DN 和 Simple 。範例: Windows |
| GroupType | 選擇性 | 枚舉 | 群組的類型,用於涉及群組的活動。 支援的值包括: - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- Other注意 :來源記錄中可能會使用不同的詞彙來提供此值,這應該會正規化為這些值。 將原始值儲存在 GroupOriginalType 欄位中。 |
| GroupOriginalType | 選擇性 | String | 來源所提供的原始群組類型。 |
來源欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| Src | 建議需求 | String | 來源裝置的唯一識別碼。 此欄位可能會將 SrcDvcId 、 SrcHostname 或 SrcIpAddr 欄位別名。 範例: 192.168.12.1 |
| SrcIpAddr | 建議需求 | IP 位址 | 來源裝置的 IP 位址。 如果 指定 SrcHostname ,這個值是必要的。 範例: 77.138.103.108 |
| IpAddr | Alias | SrcIpAddr 的 別名。 | |
| SrcHostname | 建議需求 | String | 來源裝置主機名稱,不包括網域資訊。 範例: DESKTOP-1282V4D |
| SrcDomain | 建議需求 | String | 來源裝置的網域。 範例: Contoso |
| SrcDomainType | 建議需求 | 枚舉 | 如果已知,則為 SrcDomain 的類型 。 可能的值包括: - Windows (例如 contoso )- FQDN (例如 microsoft.com )如果使用 SrcDomain ,則為必要項。 |
| SrcFQDN | 選擇性 | String | 來源裝置主機名稱,包括可用時的網域資訊。 注意 :此欄位同時支援傳統的 FQDN 格式和 Windows 網域\主機名稱格式。 SrcDomainType 欄位會反映所使用的格式。 範例: Contoso\DESKTOP-1282V4D |
| SrcDvcId | 選擇性 | String | 記錄中所報告的來源裝置識別碼。 範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 選擇性 | String | 裝置所屬的雲端平臺範圍識別碼。 SrcDvcScopeId 會對應至 Azure 上的訂用帳戶識別碼,以及對應至 AWS 上的帳戶識別碼。 |
| SrcDvcScope | 選擇性 | String | 裝置所屬的雲端平臺範圍。 SrcDvcScope 對應至 Azure 上的訂用帳戶識別碼,以及 AWS 上的帳戶識別碼。 |
| SrcDvcIdType | 選擇性 | 枚舉 | 如果已知,則為 SrcDvcId 的類型 。 可能的值包括: - AzureResourceId- MDEid如果有多個識別符可用,請使用上述清單中的第一個識別碼,並將其他識別碼分別儲存在 SrcDvcAzureResourceId 和 SrcDvcMDEid 中。 注意 :如果使用 SrcDvcId ,則需要此欄位。 |
| SrcDeviceType | 選擇性 | 枚舉 | 來源裝置的類型。 可能的值包括: - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | 選擇性 | 國家/地區 | 與來源 IP 位址相關聯的國家/地區。 範例: USA |
| SrcGeoRegion | 選擇性 | 區域 | 與來源 IP 位址相關聯的區域。 範例: Vermont |
| SrcGeoCity | 選擇性 | 城市 | 與來源 IP 位址相關聯的城市。 範例: Burlington |
| SrcGeoLatitude | 選擇性 | 緯度 | 與來源 IP 位址相關聯的地理座標緯度。 範例: 44.475833 |
| SrcGeoLongitude | 選擇性 | 經度 | 與來源 IP 位址相關聯的地理座標經度。 範例: 73.211944 |
代理應用程式
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| ActingAppId | 選擇性 | String | 動作專案用來執行活動的應用程式識別碼,包括進程、瀏覽器或服務。 例如: 0x12ae8 |
| ActingAppName | 選擇性 | String | 動作專案用來執行活動的應用程式名稱,包括進程、瀏覽器或服務。 例如: C:\Windows\System32\svchost.exe |
| ActingAppType | 選擇性 | 枚舉 | 代理應用程式的類型。 支援的值包括: - Process - Browser - Resource - Other |
| HttpUserAgent | 選擇性 | String | 透過 HTTP 或 HTTPS 執行驗證時,此欄位的值是執行驗證時,由代理應用程式所提供的user_agent HTTP 標頭。 例如: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
其他欄位和別名
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 主機 名 | Alias | DvcHostname 的 別名。 |
下一步
如需詳細資訊,請參閱