Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Det Microsoft Sentinel normaliseringsschemat för användarhantering används för att beskriva användarhanteringsaktiviteter, till exempel att skapa en användare eller en grupp, ändra användarattribut eller lägga till en användare i en grupp. Sådana händelser rapporteras till exempel av operativsystem, katalogtjänster, identitetshanteringssystem och andra systemrapporter om dess lokala användarhanteringsaktivitet.
Mer information om normalisering i Microsoft Sentinel finns i Normalisering och ASIM (Advanced Security Information Model).
Schemaöversikt
ASIM-användarhanteringsschemat beskriver användarhanteringsaktiviteter. Aktiviteterna omfattar vanligtvis följande entiteter:
- Aktör – användaren som utför hanteringsaktiviteten.
- Agerar process – den process som aktören använder för att utföra hanteringsaktiviteten.
- Src – när aktiviteten utförs över nätverket, källenheten som aktiviteten initierades från.
- Målanvändare – den användare som är kontohanterad.
- Gruppera målanvändaren som läggs till eller tas bort från eller ändras.
Vissa aktiviteter, till exempel UserCreated, GroupCreated, UserModified och GroupModified*, anger eller uppdaterar användaregenskaper. Egenskapsuppsättningen eller den uppdaterade är dokumenterad i följande fält:
- EventSubType – namnet på värdet som angavs eller uppdaterades. UpdatedPropertyName är ett alias för EventSubType när EventSubType refererar till någon av de relevanta händelsetyperna.
- PreviousPropertyValue – det tidigare värdet för egenskapen.
- NewPropertyValue – det uppdaterade värdet för egenskapen.
Tolkar
Mer information om ASIM-parsers finns i översikten över ASIM-parsers.
Filtrera parserparametrar
Parsarna för användarhantering stöder filtreringsparametrar. Även om de här parametrarna är valfria kan de förbättra frågeprestandan.
Följande filtreringsparametrar är tillgängliga:
| Namn | Typ | Beskrivning |
|---|---|---|
| Starttime | Datetime | Filtrera endast användarhanteringshändelser som inträffat vid eller efter den här tiden. Den här parametern filtrerar fältet TimeGenerated , som är standarddesignatorn för tidpunkten för händelsen, oavsett parserspecifik mappning av fälten EventStartTime och EventEndTime. |
| Endtime | Datetime | Filtrera endast användarhanteringshändelser som inträffat vid eller före den här tiden. Den här parametern filtrerar fältet TimeGenerated , som är standarddesignatorn för tidpunkten för händelsen, oavsett parserspecifik mappning av fälten EventStartTime och EventEndTime. |
| srcipaddr_has_any_prefix | Dynamisk | Filtrera endast användarhanteringshändelser där käll-IP-adressprefixet matchar något av de angivna värdena. Prefix ska sluta med , .till exempel: 10.0.. |
| targetusername_has_any | Dynamisk | Filtrera endast användarhanteringshändelser där målanvändarnamnet har något av de angivna värdena. |
| actorusername_has_any | Dynamisk | Filtrera endast användarhanteringshändelser där aktörens användarnamn har något av de angivna värdena. |
| eventtype_in | Dynamisk | Filtrera endast användarhanteringshändelser där händelsetypen är ett av de angivna värdena, till exempel UserCreated, UserDeleted, UserModified, PasswordChangedeller GroupCreated. |
Om du till exempel bara vill filtrera händelser för att skapa användare från den senaste dagen använder du:
_Im_UserManagement (eventtype_in=dynamic(['UserCreated']), starttime = ago(1d), endtime=now())
Schemainformation
Vanliga ASIM-fält
Viktigt
Fält som är gemensamma för alla scheman beskrivs i detalj i artikeln vanliga ASIM-fält .
Vanliga fält med specifika riktlinjer
I följande lista nämns fält som har specifika riktlinjer för processaktivitetshändelser:
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| EventType | Obligatorisk | Uppräknade | Beskriver åtgärden som rapporterats av posten. För användarhanteringsaktivitet är följande värden som stöds: - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| EventSubType | Valfritt | Uppräknade | Följande undertyper stöds: - UserRead: Lösenord, hash- UserCreated, GroupCreated, UserModified, GroupModified. Mer information finns i UpdatedPropertyName |
| EventResult | Obligatorisk | Uppräknade | Även om fel är möjliga rapporterar de flesta system endast lyckade användarhanteringshändelser. Det förväntade värdet för lyckade händelser är Success. |
| EventResultDetails | Rekommenderas | Uppräknade | Giltiga värden är NotAuthorized och Other. |
| EventSeverity | Obligatorisk | Uppräknade | Även om ett giltigt allvarlighetsgradsvärde tillåts är allvarlighetsgraden för användarhanteringshändelser vanligtvis Informational. |
| EventSchema | Obligatorisk | Uppräknade | Namnet på schemat som dokumenteras här är UserManagement. |
| EventSchemaVersion | Obligatorisk | SchemaVersion (sträng) | Versionen av schemat. Den version av schemat som dokumenteras här är 0.1.2. |
| Dvc-fält | För användarhanteringshändelser refererar enhetsfälten till systemet som rapporterar händelsen. Detta är vanligtvis det system där användaren hanteras. |
Alla vanliga fält
Fält som visas i tabellen nedan är gemensamma för alla ASIM-scheman. Eventuella riktlinjer som anges ovan åsidosätter de allmänna riktlinjerna för fältet. Ett fält kan till exempel vara valfritt i allmänhet, men obligatoriskt för ett visst schema. Mer information om varje fält finns i artikeln vanliga ASIM-fält .
| Klass | Fält |
|---|---|
| Obligatorisk |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Rekommenderas |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valfritt |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Uppdaterade egenskapsfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| UpdatedPropertyName | Alias | Alias till EventSubType när händelsetypen är UserCreated, GroupCreated, UserModifiedeller GroupModified.Värden som stöds är: - MultipleProperties: Används när aktiviteten uppdaterar flera egenskaper- Previous<PropertyName>, där <PropertyName> är ett av de värden som stöds för UpdatedPropertyName. - New<PropertyName>, där <PropertyName> är ett av de värden som stöds för UpdatedPropertyName. |
|
| PreviousPropertyValue | Valfritt | Sträng | Det tidigare värdet som lagrades i den angivna egenskapen. |
| NewPropertyValue | Valfritt | Sträng | Det nya värdet som lagras i den angivna egenskapen. |
Målanvändarfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| TargetUserId | Valfritt | Sträng | En maskinläsbar, alfanumerisk och unik representation av målanvändaren. Format och typer som stöds är: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Lagra ID-typen i fältet TargetUserIdType . Om andra ID:er är tillgängliga rekommenderar vi att du normaliserar fältnamnen till TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId respektive TargetUserAwsId. Mer information finns i Användarentiteten. Exempel: S-1-12 |
| TargetUserIdType | Villkorsstyrd | Uppräknade | Typen av ID som lagras i fältet TargetUserId . Värden som stöds är SID, UID, AADID, OktaIdoch AWSId. |
| TargetUsername | Valfritt | Användarnamn (sträng) | Målanvändarnamnet, inklusive domäninformation när det är tillgängligt. Använd något av följande format och i följande prioritetsordning: - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Enkelt: johndow. Använd endast formuläret Enkelt om domäninformation inte är tillgänglig.Lagra användarnamnstypen i fältet TargetUsernameType . Om det finns andra ID:er rekommenderar vi att du normaliserar fältnamnen till TargetUserUpn, TargetUserWindows och TargetUserDn. Mer information finns i Användarentiteten. Exempel: AlbertE |
| TargetUsernameType | Villkorsstyrd | Uppräknade | Anger typen av användarnamn som lagras i fältet TargetUsername . Värden som stöds är UPN, Windows, DNoch Simple. Mer information finns i Användarentiteten.Exempel: Windows |
| TargetUserType | Valfritt | Uppräknade | Typ av målanvändare. Värden som stöds är: - Regular- Machine- Admin- System- Application- Service Principal- OtherObs! Värdet kan anges i källposten med hjälp av olika termer, som bör normaliseras till dessa värden. Lagra det ursprungliga värdet i fältet TargetOriginalUserType . |
| TargetOriginalUserType | Valfritt | Sträng | Den ursprungliga målanvändartypen, om den tillhandahålls av källan. |
| TargetUserScope | Valfritt | Sträng | Omfånget, till exempel Microsoft Entra klientorganisation, där TargetUserId och TargetUsername definieras. eller mer information och lista över tillåtna värden finns i UserScope i artikeln Schemaöversikt. |
| TargetUserScopeId | Valfritt | Sträng | Omfångs-ID, till exempel Microsoft Entra katalog-ID, där TargetUserId och TargetUsername definieras. Mer information och lista över tillåtna värden finns i UserScopeId i artikeln Schemaöversikt. |
| TargetUserSessionId | Valfritt | Sträng | Det unika ID:t för målanvändarens inloggningssession. Exempel: 999 Obs! Typen definieras som sträng för att stödja olika system, men i Windows måste det här värdet vara numeriskt. Om du använder en Windows- eller Linux dator och använder en annan typ ska du konvertera värdena. Om du till exempel använde ett hexadecimalt värde konverterar du det till ett decimalvärde. |
Aktörsfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| ActorUserId | Valfritt | Sträng | En maskinläsbar, alfanumerisk, unik representation av aktören. Format och typer som stöds är: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Lagra ID-typen i fältet ActorUserIdType . Om andra ID:er är tillgängliga rekommenderar vi att du normaliserar fältnamnen till ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId respektive ActorAwsId. Mer information finns i Användarentiteten. Exempel: S-1-12 |
| ActorUserIdType | Villkorsstyrd | Uppräknade | Typen av ID som lagras i fältet ActorUserId . Värden som stöds är SID, UID, AADID, OktaIdoch AWSId. |
| ActorUsername | Obligatorisk | Användarnamn (sträng) | Aktörens användarnamn, inklusive domäninformation när det är tillgängligt. Använd något av följande format och i följande prioritetsordning: - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Enkelt: johndow. Använd endast formuläret Enkelt om domäninformation inte är tillgänglig.Lagra användarnamnstypen i fältet ActorUsernameType . Om andra ID:er är tillgängliga rekommenderar vi att du normaliserar fältnamnen till ActorUserUpn, ActorUserWindows och ActorUserDn. Mer information finns i Användarentiteten. Exempel: AlbertE |
| Användaren | Alias | Alias för ActorUsername. | |
| ActorUsernameType | Villkorsstyrd | Uppräknade | Anger typen av användarnamn som lagras i fältet ActorUsername . Värden som stöds är UPN, Windows, DNoch Simple. Mer information finns i Användarentiteten.Exempel: Windows |
| ActorUserType | Valfritt | Uppräknade | Typen av aktör. Tillåtna värden är: - Regular- Machine- Admin- System- Application- Service Principal- OtherObs! Värdet kan anges i källposten med hjälp av olika termer, som bör normaliseras till dessa värden. Lagra det ursprungliga värdet i fältet ActorOriginalUserType . |
| ActorOriginalUserType | Valfritt | Sträng | Den ursprungliga målanvändartypen, om den tillhandahålls av rapporteringsenheten. |
| ActorOriginalUserType | Den ursprungliga aktörens användartyp, om den tillhandahålls av källan. | ||
| ActorSessionId | Valfritt | Sträng | Det unika ID:t för inloggningssessionen för aktören. Exempel: 999Obs! Typen definieras som sträng för att stödja olika system, men i Windows måste det här värdet vara numeriskt. Om du använder en Windows-dator och använder en annan typ ska du konvertera värdena. Om du till exempel använde ett hexadecimalt värde konverterar du det till ett decimalvärde. |
| ActorScope | Valfritt | Sträng | Omfånget, till exempel Microsoft Entra klientorganisation, där ActorUserId och ActorUsername definieras. eller mer information och lista över tillåtna värden finns i UserScope i artikeln Schemaöversikt. |
| ActorScopeId | Valfritt | Sträng | Omfångs-ID, till exempel Microsoft Entra katalog-ID, där ActorUserId och ActorUsername definieras. eller mer information och lista över tillåtna värden finns i UserScopeId i artikeln Schemaöversikt. |
Gruppfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Groupid | Valfritt | Sträng | En maskinläsbar, alfanumerisk, unik representation av gruppen för aktiviteter som involverar en grupp. Format och typer som stöds är: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578Lagra ID-typen i fältet GroupIdType . Om det finns andra ID:er rekommenderar vi att du normaliserar fältnamnen till GroupSid respektive GroupUid. Mer information finns i Användarentiteten. Exempel: S-1-12 |
| GroupIdType | Valfritt | Uppräknade | Typen av ID som lagras i fältet GroupId . Värden som stöds är SID, och UID. |
| Gruppnamn | Valfritt | Sträng | Gruppnamnet, inklusive domäninformation när det är tillgängligt, för aktiviteter som involverar en grupp. Använd något av följande format och i följande prioritetsordning: - Upn/Email: grp@contoso.com- Windows: Contoso\grp- DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM- Enkelt: grp. Använd endast formuläret Enkelt om domäninformation inte är tillgänglig.Lagra gruppnamnstypen i fältet GroupNameType . Om det finns andra ID:er rekommenderar vi att du normaliserar fältnamnen till GroupUpn, GroupNameWindows och GroupDn. Exempel: Contoso\Finance |
| GroupNameType | Valfritt | Uppräknade | Anger typen av gruppnamn som lagras i fältet GroupName . Värden som stöds är UPN, Windows, DNoch Simple.Exempel: Windows |
| GroupType | Valfritt | Uppräknade | Typ av grupp för aktiviteter som involverar en grupp. Värden som stöds är: - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- OtherObs! Värdet kan anges i källposten med hjälp av olika termer, som bör normaliseras till dessa värden. Lagra det ursprungliga värdet i fältet GroupOriginalType . |
| GroupOriginalType | Valfritt | Sträng | Den ursprungliga grupptypen, om den tillhandahålls av källan. |
Källfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Src | Rekommenderas | Sträng | En unik identifierare för källenheten. Det här fältet kan vara alias för fälten SrcDvcId, SrcHostname eller SrcIpAddr . Exempel: 192.168.12.1 |
| SrcIpAddr | Rekommenderas | IP-adress | Källenhetens IP-adress. Det här värdet är obligatoriskt om SrcHostname anges. Exempel: 77.138.103.108 |
| IpAddr | Alias | Alias för SrcIpAddr. | |
| SrcPortNumber | Valfritt | Heltal | IP-porten som anslutningen kommer från. Kanske inte är relevant för en session som består av flera anslutningar. Exempel: 2335 |
| SrcMacAddr | Valfritt | MAC-adress (sträng) | MAC-adressen för nätverksgränssnittet som anslutningen eller sessionen kommer från. Exempel: 06:10:9f:eb:8f:14 |
| SrcDescription | Valfritt | Sträng | En beskrivande text som är associerad med enheten. Till exempel: Primary Domain Controller. |
| SrcHostname | Rekommenderas | Sträng | Källenhetens värdnamn, exklusive domäninformation. Exempel: DESKTOP-1282V4D |
| SrcDomain | Rekommenderas | Domän (sträng) | Källenhetens domän. Exempel: Contoso |
| SrcDomainType | Rekommenderas | Uppräknade | Typen av SrcDomain, om det är känt. Möjliga värden inkluderar: - Windows (till exempel contoso)- FQDN (till exempel microsoft.com)Krävs om SrcDomain används. |
| SrcFQDN | Valfritt | FQDN (sträng) | Källenhetens värdnamn, inklusive domäninformation när det är tillgängligt. Obs! Det här fältet stöder både traditionellt FQDN-format och Windows-domän\värddatornamnformat. Fältet SrcDomainType återspeglar det format som används. Exempel: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Valfritt | Sträng | ID:t för källenheten enligt rapporten i posten. Exempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Valfritt | Sträng | Molnplattformens omfångs-ID som enheten tillhör. SrcDvcScopeId mappas till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
| SrcDvcScope | Valfritt | Sträng | Molnplattformsomfånget som enheten tillhör. SrcDvcScope mappar till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
| SrcDvcIdType | Villkorsstyrd | Uppräknade | Typen av SrcDvcId, om det är känt. Möjliga värden inkluderar: - AzureResourceId- MDEidOm flera ID:er är tillgängliga använder du det första från föregående lista och lagrar de andra i SrcDvcAzureResourceId respektive SrcDvcMDEid. Obs! Det här fältet krävs om SrcDvcId används. |
| SrcDeviceType | Valfritt | Uppräknade | Typ av källenhet. Möjliga värden inkluderar: - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | Valfritt | Land | Det land/den region som är associerad med källans IP-adress. Exempel: USA |
| SrcGeoRegion | Valfritt | Region | Den region som är associerad med källans IP-adress. Exempel: Vermont |
| SrcGeoCity | Valfritt | Ort | Den ort som är associerad med källans IP-adress. Exempel: Burlington |
| SrcGeoLatitude | Valfritt | Latitude | Latitud för den geografiska koordinat som är associerad med källans IP-adress. Exempel: 44.475833 |
| SrcGeoLongitude | Valfritt | Longitud | Longitud för den geografiska koordinat som är associerad med källans IP-adress. Exempel: 73.211944 |
| SrcRiskLevel | Valfritt | Heltal | Den risknivå som är associerad med källan. Värdet ska justeras till ett intervall på 0 till , med 0 för godartad och 100100för hög risk.Exempel: 90 |
| SrcOriginalRiskLevel | Valfritt | Sträng | Den risknivå som är associerad med källan, enligt rapporteringsenhetens rapporter. Exempel: Suspicious |
Agerar program
Kontrollfält
Följande fält används för att representera inspektionen som utförs av ett säkerhetssystem, till exempel ett EDR-system.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| RuleName | Valfritt | Sträng | Namnet eller ID:t för regeln som associeras med inspektionsresultaten. |
| RuleNumber | Valfritt | Heltal | Numret på regeln som är associerad med inspektionsresultaten. |
| Regel | Villkorsstyrd | Sträng | Antingen värdet för kRuleName eller värdet för RuleNumber. Om värdet för RuleNumber används ska typen konverteras till sträng. |
| ThreatId | Valfritt | Sträng | ID:t för det hot eller den skadliga kod som identifieras i filaktiviteten. |
| ThreatName | Valfritt | Sträng | Namnet på det hot eller den skadliga kod som identifieras i filaktiviteten. Exempel: EICAR Test File |
| ThreatCategory | Valfritt | Sträng | Kategorin för det hot eller den skadliga kod som identifieras i filaktiviteten. Exempel: Trojan |
| ThreatRiskLevel | Valfritt | RiskLevel (heltal) | Den risknivå som är associerad med det identifierade hotet. Nivån ska vara ett tal mellan 0 och 100. Obs! Värdet kan anges i källposten med hjälp av en annan skala, som ska normaliseras till den här skalan. Det ursprungliga värdet ska lagras i ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Valfritt | Sträng | Risknivån som rapporteras av rapporteringsenheten. |
| ThreatField | Valfritt | Sträng | Det fält för vilket ett hot identifierades. |
| ThreatConfidence | Valfritt | ConfidenceLevel (heltal) | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatOriginalConfidence | Valfritt | Sträng | Den ursprungliga konfidensnivån för det identifierade hotet, enligt rapporteringsenhetens rapporter. |
| ThreatIsActive | Valfritt | Boolesk | Sant om det identifierade hotet anses vara ett aktivt hot. |
| ThreatFirstReportedTime | Valfritt | Datetime | Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatLastReportedTime | Valfritt | Datetime | Senaste gången IP-adressen eller domänen identifierades som ett hot. |
Ytterligare fält och alias
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Värdnamn | Alias | Alias till DvcHostname. |
Schemauppdateringar
Ändringarna i version 0.1.2 av schemat är:
- Kontrollfält har lagts till.
- Källfälten
SrcDescription, ,SrcMacAddrSrcOriginalRiskLevel,SrcPortNumber, , harSrcRiskLevellagts till - Målfälten har lagts
TargetUserScopetill ,TargetUserScopeId,TargetUserSessionId - Aktörsfälten har lagts
ActorOriginalUserTypetill ,ActorScope,ActorScopeId - Det agerar programfältet har lagts till
ActingOriginalAppType
Nästa steg
Mer information finns i: