Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Użytkownicy są centralni do działań zgłaszanych przez zdarzenia. Pola podmiotów użytkownika wymienione w tej sekcji służą do opisu użytkowników zaangażowanych w akcję. W przypadku wystąpienia w zdarzeniu prefiksy służą do określenia roli jednostki użytkownika w aktywności. Prefiksy Src i Dst służą do wyznaczania roli użytkownika w zdarzeniach związanych z siecią, w których system źródłowy i system docelowy komunikują się. Prefiksy "Aktor" i "Target" są używane dla zdarzeń zorientowanych na system, takich jak zdarzenia procesu.
Identyfikator użytkownika i zakres
| (No changes needed) | Class | Typ | Description |
|---|---|---|---|
| Identyfikator użytkownika | Opcjonalnie | Sznurek | Czytelna dla maszyny alfanumeryczna reprezentacja użytkownika. |
| UserScope | Opcjonalnie | ciąg | Zakres, w którym zdefiniowano identyfikator użytkownika i nazwę użytkownika . Na przykład nazwa domeny dzierżawy entra firmy Microsoft. Pole UserIdType reprezentuje również typ skojarzonego z tym polem. |
| UserScopeId | Opcjonalnie | ciąg | Identyfikator zakresu, w którym zdefiniowano identyfikator użytkownika i nazwę użytkownika . Na przykład identyfikator katalogu dzierżawy entra firmy Microsoft. Pole UserIdType reprezentuje również typ skojarzonego z tym polem. |
| UserIdType | Opcjonalnie | UserIdType | Typ identyfikatora przechowywanego w polu UserId . |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | Opcjonalnie | Sznurek | Pola używane do przechowywania określonych identyfikatorów użytkowników. Wybierz identyfikator najbardziej skojarzony ze zdarzeniem jako identyfikator podstawowy przechowywany w identyfikatorze UserId. Wypełnij odpowiednie pole określonego identyfikatora, oprócz identyfikatora UserId, nawet jeśli zdarzenie ma tylko jeden identyfikator. |
| UserAADTenant, UserAWSAccount | Opcjonalnie | Sznurek | Pola używane do przechowywania określonych zakresów. Użyj pola UserScope dla zakresu skojarzonego z identyfikatorem przechowywanym w polu UserId. Wypełnij odpowiednie pole określonego zakresu, oprócz UserScope, nawet jeśli zdarzenie ma tylko jeden identyfikator. |
Dozwolone wartości dla typu identyfikatora użytkownika to:
| Typ | Description | Example |
|---|---|---|
| SID | Identyfikator użytkownika systemu Windows. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | Identyfikator użytkownika systemu Linux. | 4578 |
| AADID | Identyfikator użytkownika entra firmy Microsoft. | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| OktaId | Identyfikator użytkownika usługi Okta. | 00urjk4znu3BcncfY0h7 |
| Identyfikator AWSId | Identyfikator użytkownika platformy AWS. | 72643944673 |
| IDENTYFIKATOR PUID | Identyfikator użytkownika platformy Microsoft 365. | 10032001582F435C |
| SalesforceId | Identyfikator użytkownika usługi Salesforce. | 00530000009M943 |
Nazwa użytkownika
| (No changes needed) | Class | Typ | Description |
|---|---|---|---|
| Nazwa użytkownika | Opcjonalnie | Sznurek | Źródłowa nazwa użytkownika, w tym informacje o domenie, gdy są dostępne. Użyj prostego formularza tylko wtedy, gdy informacje o domenie nie są dostępne. Zapisz typ nazwy użytkownika w polu UsernameType . |
| Typ nazwy użytkownika | Opcjonalnie | Typ nazwy użytkownika | Określa typ nazwy użytkownika przechowywanej w polu Nazwa użytkownika . |
| UserUPN, WindowsUsername, DNUsername, SimpleUsername | Opcjonalnie | Sznurek | Pola używane do przechowywania dodatkowych nazw użytkowników, jeśli oryginalne zdarzenie zawiera wiele nazw użytkowników. Wybierz nazwę użytkownika najbardziej skojarzona ze zdarzeniem jako podstawową nazwę użytkownika przechowywaną w polu Nazwa użytkownika. |
Dozwolone wartości typu nazwy użytkownika to:
| Typ | Description | Example |
|---|---|---|
| Nazwa UPN | Wyznaczanie nazwy UPN lub adresu e-mail nazwy użytkownika. | johndow@contoso.com |
| Windows | Nazwa użytkownika systemu Windows obejmująca domenę. | Contoso\johndow |
| DN | Projektant nazw wyróżniających LDAP. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| Prosty | Prosta nazwa użytkownika bez projektowania domeny. | johndow |
| Identyfikator AWSId | Identyfikator użytkownika platformy AWS. | 72643944673 |
Dodatkowe pola użytkownika
| (No changes needed) | Class | Typ | Description |
|---|---|---|---|
| Typ użytkownika | Opcjonalnie | Typ użytkownika | Typ użytkownika źródłowego. Obsługiwane wartości to: - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.Wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Zapisz oryginalną wartość w polu OriginalUserType . |
| OriginalUserType | Opcjonalnie | Sznurek | Oryginalny typ użytkownika docelowego, jeśli jest udostępniany przez urządzenie raportowania. |