Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les utilisateurs sont au cœur des activités signalées par les événements. Les champs d’entité utilisateur répertoriés dans cette section sont utilisés pour décrire les utilisateurs impliqués dans l’action. Lorsqu’ils sont utilisés dans un événement, les préfixes sont utilisés pour désigner le rôle d’une entité utilisateur dans l’activité. Les préfixes Src et Dst sont utilisés pour désigner le rôle d’utilisateur dans les événements liés au réseau, dans lesquels un système source et un système de destination communiquent. Les préfixes « Actor » et « Target » sont utilisés pour les événements orientés système tels que les événements de processus.
L’ID utilisateur et l’étendue
| Field | Classe | Type | Description |
|---|---|---|---|
| Userid | Facultatif | String | Représentation unique, alphanumérique et lisible par l’ordinateur de l’utilisateur. |
| UserScope | Facultatif | string | Étendue dans laquelle UserId et Username sont définis. Par exemple, un Microsoft Entra nom de domaine du locataire. Le champ UserIdType représente également le type du associé à ce champ. |
| UserScopeId | Facultatif | string | ID de l’étendue dans laquelle UserId et Username sont définis. Par exemple, un Microsoft Entra ID d’annuaire de locataire. Le champ UserIdType représente également le type du associé à ce champ. |
| UserIdType | Facultatif | UserIdType | Type de l’ID stocké dans le champ UserId . |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | Facultatif | String | Champs utilisés pour stocker des ID utilisateur spécifiques. Sélectionnez l’ID le plus associé à l’événement comme ID principal stocké dans UserId. Remplissez le champ d’ID spécifique approprié, en plus de UserId, même si l’événement n’a qu’un seul ID. |
| UserAADTenant, UserAWSAccount | Facultatif | String | Champs utilisés pour stocker des étendues spécifiques. Utilisez le champ UserScope pour l’étendue associée à l’ID stocké dans le champ UserId . Renseignez le champ d’étendue spécifique approprié, en plus de UserScope, même si l’événement n’a qu’un seul ID. |
Les valeurs autorisées pour un type d’ID utilisateur sont les suivantes :
| Type | Description | Exemple |
|---|---|---|
| SID | Un ID d’utilisateur Windows. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | ID utilisateur Linux. | 4578 |
| AADID | ID utilisateur Microsoft Entra. | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| OktaId | Id utilisateur Okta. | 00urjk4znu3BcncfY0h7 |
| AWSId | UN ID d’utilisateur AWS. | 72643944673 |
| PUID | Un ID d’utilisateur Microsoft 365. | 10032001582F435C |
| SalesforceId | Un ID d’utilisateur Salesforce. | 00530000009M943 |
Nom d’utilisateur
| Field | Classe | Type | Description |
|---|---|---|---|
| Nom d’utilisateur | Facultatif | String | Nom d’utilisateur source, y compris les informations de domaine lorsqu’elles sont disponibles. Utilisez le formulaire simple uniquement si les informations de domaine ne sont pas disponibles. Stockez le type de nom d’utilisateur dans le champ UsernameType . |
| UsernameType | Facultatif | UsernameType | Spécifie le type du nom d’utilisateur stocké dans le champ Nom d’utilisateur . |
| UserUPN, WindowsUsername, DNUsername, SimpleUsername | Facultatif | String | Champs utilisés pour stocker des noms d’utilisateur supplémentaires, si l’événement d’origine inclut plusieurs noms d’utilisateur. Sélectionnez le nom d’utilisateur le plus associé à l’événement comme nom d’utilisateur principal stocké dans Nom d’utilisateur. |
Les valeurs autorisées pour un type de nom d’utilisateur sont les suivantes :
| Type | Description | Exemple |
|---|---|---|
| UPN | Un nom d’utilisateur UPN ou Email nom d’utilisateur d’adresse. | johndow@contoso.com |
| Windows | Un nom d’utilisateur Windows incluant un domaine. | Contoso\johndow |
| DN | Un désignateur de nom unique LDAP. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| Simple | Nom d’utilisateur simple sans désignateur de domaine. | johndow |
| AWSId | UN ID d’utilisateur AWS. | 72643944673 |
Champs utilisateur supplémentaires
| Field | Classe | Type | Description |
|---|---|---|---|
| UserType | Facultatif | UserType | Type d’utilisateur source. Les valeurs prises en charge incluent : - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.La valeur peut être fournie dans l’enregistrement source à l’aide de termes différents, qui doivent être normalisés avec ces valeurs. Stockez la valeur d’origine dans le champ OriginalUserType . |
| OriginalUserType | Facultatif | String | Type d’utilisateur de destination d’origine, s’il est fourni par l’appareil de création de rapports. |