Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os usuários são centrais para as atividades relatadas pelos eventos. Os campos da entidade do usuário listados nesta seção são usados para descrever os usuários envolvidos na ação. Quando usados em um evento, prefixos são usados para designar o papel de uma entidade usuário na atividade. Os prefixos Src e Dst são usados para designar a função de usuário em eventos relacionados à rede, nos quais um sistema de origem e um sistema de destino estabelecem comunicação. Os prefixos 'Actor' e 'Target' são usados para eventos orientados ao sistema, como eventos de processo.
A ID e o escopo do usuário
| Campo | Class | Tipo | Description |
|---|---|---|---|
| UserId | Opcional | String | Uma representação do usuário exclusiva, alfanumérica e legível por computador. |
| UserScope | Opcional | cadeia | O escopo no qual UserId e Username são definidos. Por exemplo, um nome de domínio de locatário do Microsoft Entra. O campo UserIdType representa também o tipo do associado a esse campo. |
| UserScopeId | Opcional | cadeia | A ID do escopo no qual UserId e Nome de usuário são definidos. Por exemplo, uma ID de diretório do locatário do Microsoft Entra. O campo UserIdType representa também o tipo do associado a esse campo. |
| UserIdType | Opcional | UserIdType | O tipo de ID armazenado no campo UserId. |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | Opcional | String | Campos usados para armazenar IDs de usuário específicas. Selecione a ID mais associada ao evento como a ID principal armazenada em UserId. Preencha o campo de ID específica relevante, além de UserId, mesmo que o evento tenha apenas uma ID. |
| UserAADTenant, UserAWSAccount | Opcional | String | Campos usados para armazenar escopos específicos. Use o campo UserScope para o escopo associado à ID armazenada no campo UserId. Preencha o campo de escopo específico relevante, além de UserScope, mesmo que o evento tenha apenas uma ID. |
Os valores permitidos para um tipo de ID de usuário são:
| Tipo | Description | Example |
|---|---|---|
| SID | Uma ID de usuário do Windows. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | Uma ID de usuário do Linux. | 4578 |
| AADID | Uma ID de usuário do Microsoft Entra. | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| OktaId | Uma ID de usuário Okta. | 00urjk4znu3BcncfY0h7 |
| AWSId | Uma ID de usuário do AWS. | 72643944673 |
| PUID | Uma ID de usuário do Microsoft 365. | 10032001582F435C |
| SalesforceId | Uma ID de usuário do Salesforce. | 00530000009M943 |
O nome de usuário
| Campo | Class | Tipo | Description |
|---|---|---|---|
| Nome de usuário | Opcional | String | O nome de usuário de origem, incluindo informações de domínio, quando disponíveis. Use o formulário simples somente quando as informações de domínio não estiverem disponíveis. Armazene o tipo Username no campo UsernameType. |
| UsernameType | Opcional | UsernameType | Especifica o tipo de nome de usuário armazenado no campo Nome de usuário. |
| UserUPN, WindowsUsername, DNUsername, SimpleUsername | Opcional | String | Campos usados para armazenar os nomes de usuário adicionais, se o evento original incluir vários nomes de usuário. Selecione o nome de usuário mais associado ao evento como o nome de usuário principal armazenado em Nome de usuário. |
Os valores permitidos para um tipo de nome de usuário são:
| Tipo | Description | Example |
|---|---|---|
| UPN | Um designador de nome de usuário de endereço de email ou UPN. | johndow@contoso.com |
| Windows | Um nome de usuário Windows incluindo um domínio. | Contoso\johndow |
| DN | Um designador de nome diferenciado LDAP. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| Simples | Um nome de usuário simples sem um designador de domínio. | johndow |
| AWSId | Uma ID de usuário do AWS. | 72643944673 |
Campos de usuário adicionais
| Campo | Class | Tipo | Description |
|---|---|---|---|
| UserType | Opcional | Tipo de Usuário | O tipo de usuário de origem. Os valores compatíveis incluem: - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.O valor pode ser fornecido no registro de origem usando diferentes termos, que devem ser normalizados para esses valores. Armazene o valor original no campo OriginalUserType. |
| OriginalUserType | Opcional | String | O tipo de usuário de destino original, se fornecido pelo dispositivo de relatório. |