イベントによってレポートされるアクティビティの中心はユーザーです。 このセクションに記載されているユーザーエンティティフィールドは、アクションに関与するユーザーを記述するために使われます。 イベントで使用される場合、プレフィックスはその活動におけるユーザーエンティティの役割を示すために使われます。 プレフィックス Src と Dst は、ソース システムと宛先システムが通信するネットワーク関連イベントでのユーザー ロールを示すのに使用されます。 プレフィックス 'Actor' と 'Target' は、プロセス イベントなどのシステム指向イベントに使用します。
ユーザー ID とスコープ
| フィールド | クラス | タイプ | Description |
|---|---|---|---|
| ユーザーID | オプション | 糸 | マシンが判読できる、英数字で、ユーザーを一意に表現したもの。 |
| ユーザースコープ | オプション | 文字列 | UserId と Username が定義されているスコープ。 たとえば、Microsoft Entra テナント ドメイン名。 UserIdType フィールドは、このフィールドに関連付けられている型も表します。 |
| UserScopeID | オプション | 文字列 | UserId と Username が定義されているスコープの ID。 たとえば、Microsoft Entra テナント ディレクトリ ID など。 UserIdType フィールドは、このフィールドに関連付けられている型も表します。 |
| UserIdType | オプション | UserIdType | UserId フィールドに保存される ID の種類。 |
| UserSid、UserUid、UserAadId、UserOktaId、UserAWSId、UserPuid | オプション | 糸 | 特定のユーザー ID を保存するために使用されるフィールド。 UserId に保存するプライマリ ID として、イベントとの関連が最も強い ID を選択します。 イベントに ID が 1 つしかない場合でも、UserId に加えて、関連する特定の ID フィールドを設定します。 |
| UserAADTenant、UserAWSAccount | オプション | 糸 | 特定のスコープ を保存するために使用されるフィールド。 UserId フィールドに保存されている ID に関連付けられているスコープには、UserScope フィールドを使用します。 イベントに ID が 1 つしかない場合でも、UserScope に加えて、関連する特定のスコープ フィールドを設定します。 |
ユーザー ID の種類として有効な値は次のとおりです。
| タイプ | Description | Example |
|---|---|---|
| SID | Windows ユーザー ID。 | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | Linux ユーザー ID。 | 4578 |
| AADID | Microsoft Entra のユーザー ID。 | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| OktaId | Okta ユーザー ID。 | 00urjk4znu3BcncfY0h7 |
| AWSId | AWS ユーザー ID。 | 72643944673 |
| PUID | Microsoft 365 ユーザー ID。 | 10032001582F435C |
| SalesforceId | Salesforce ユーザー ID。 | 00530000009M943 |
ユーザー名
| フィールド | クラス | タイプ | Description |
|---|---|---|---|
| ユーザー名 | オプション | 糸 | 使用可能な場合はドメイン情報を含む、ソースのユーザー名。 シンプル形式は、ドメイン情報が利用できない場合にのみ使用します。 ユーザー名の種類は、UsernameType フィールドに格納します。 |
| ユーザー名タイプ | オプション | UsernameType | Username フィールドに保存するユーザー名の種類を指定します。 |
| UserUPN、WindowsUsername、DNUsername、SimpleUsername | オプション | 糸 | 元のイベントに複数のユーザー名が含まれている場合に、追加のユーザー名の保存に使用するフィールド。 Username に保存するプライマリ ユーザー名として、イベントとの関連がに最も強いユーザー名を選択します。 |
ユーザー名の種類として有効な値は次のとおりです。
| タイプ | Description | Example |
|---|---|---|
| UPN | UPN またはメール アドレスのユーザー名の指定子。 | johndow@contoso.com |
| ウィンドウズ | ドメインを含む Windows ユーザー名。 | Contoso\johndow |
| DN | LDAP 識別名の指定子。 | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| 簡単 | ドメイン指定子のない単純なユーザー名。 | johndow |
| AWSId | AWS ユーザー ID。 | 72643944673 |
追加のユーザー フィールド
| フィールド | クラス | タイプ | Description |
|---|---|---|---|
| ユーザータイプ | オプション | ユーザータイプ | ソース ユーザーの種類。 サポートされる値には次のものが含まれます: - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other。値は、異なる用語を使用してソース レコードに提供されている場合があり、これらの値に正規化する必要があります。 元の値は OriginalUserType フィールドに保存します。 |
| オリジナルユーザータイプ | オプション | 糸 | レポート デバイスによって提供されている場合、元のターゲット ユーザーの種類。 |