Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Brugerne er centrale for aktiviteter, der rapporteres af hændelser. De brugerenhedsfelter, der er angivet i dette afsnit, bruges til at beskrive de brugere, der er involveret i handlingen. Når præfikser bruges i en hændelse, bruges præfikser til at angive rollen for en brugerenhed i aktiviteten. Præfikset Src og Dst bruges til at angive brugerrollen i netværksrelaterede hændelser, hvor et kildesystem og et destinationssystem kommunikerer. Præfikserne 'Agent' og 'Target' bruges til systemorienterede hændelser, f.eks. proceshændelser.
Bruger-id og område
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Userid | Valgfrit | String | En computerlæsbar, alfanumerisk, entydig repræsentation af brugeren. |
| UserScope | Valgfrit | Streng | Det område, hvor UserId og Username er defineret. Det kan f.eks. være et Microsoft Entra lejerdomænenavn. Feltet UserIdType repræsenterer også typen af , der er knyttet til dette felt. |
| UserScopeId | Valgfrit | Streng | Id'et for det område, hvor UserId og Username er defineret. Det kan f.eks. være et Microsoft Entra lejermappe-id. Feltet UserIdType repræsenterer også typen af , der er knyttet til dette felt. |
| UserIdType | Valgfrit | UserIdType | Typen af det id, der er gemt i feltet UserId . |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | Valgfrit | String | Felter, der bruges til at gemme bestemte bruger-id'er. Vælg det id, der er mest knyttet til hændelsen som det primære id, der er gemt i UserId. Udfyld det relevante specifikke id-felt ud over UserId, selvom hændelsen kun har ét id. |
| UserAADTenant, UserAWSAccount | Valgfrit | String | Felter, der bruges til at gemme bestemte områder. Brug feltet UserScope for det område, der er knyttet til det id, der er gemt i feltet UserId . Udfyld det relevante specifikke områdefelt ud over UserScope, selvom hændelsen kun har ét id. |
De tilladte værdier for en bruger-id-type er:
| Type | Beskrivelse | Eksempel |
|---|---|---|
| SID | Et Windows-bruger-id. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | Et Linux bruger-id. | 4578 |
| AADID | Et Microsoft Entra bruger-id. | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| OktaId | Et Okta-bruger-id. | 00urjk4znu3BcncfY0h7 |
| AWSId | Et AWS-bruger-id. | 72643944673 |
| PUID | Et Microsoft 365-bruger-id. | 10032001582F435C |
| SalesforceId | Et Salesforce-bruger-id. | 00530000009M943 |
Brugernavnet
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Brugernavn | Valgfrit | String | Kildebrugernavnet, herunder domæneoplysninger, når de er tilgængelige. Brug kun den enkle formular, hvis domæneoplysningerne ikke er tilgængelige. Gem typen Username i feltet UsernameType . |
| UsernameType | Valgfrit | UsernameType | Angiver den type brugernavn, der er gemt i feltet Brugernavn . |
| UserUPN, WindowsUsername, DNUsername, SimpleUsername | Valgfrit | String | Felter, der bruges til at gemme yderligere brugernavne, hvis den oprindelige hændelse indeholder flere brugernavne. Vælg det brugernavn, der er mest knyttet til hændelsen, som det primære brugernavn, der er gemt i Brugernavn. |
De tilladte værdier for en brugernavnstype er:
| Type | Beskrivelse | Eksempel |
|---|---|---|
| UPN | Et UPN eller en mailadresse, der designer brugernavn. | johndow@contoso.com |
| Windows | Et Windows-brugernavn, herunder et domæne. | Contoso\johndow |
| DN | En entydig LDAP-navnedesigner. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| Simpel | Et simpelt brugernavn uden en domænedesigner. | johndow |
| AWSId | Et AWS-bruger-id. | 72643944673 |
Flere brugerfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| UserType | Valgfrit | UserType | Typen af kildebruger. Understøttede værdier omfatter: - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.Værdien kan angives i kildeposten ved hjælp af andre ord, som skal normaliseres til disse værdier. Gem den oprindelige værdi i feltet OriginalUserType . |
| OriginalUserType | Valgfrit | String | Den oprindelige destinationsbrugertype, hvis den er angivet af rapporteringsenheden. |