共用方式為

先進安全資訊模型(ASIM)使用者實體

使用者是事件所報告活動的核心。 本節所列的使用者實體欄位用來描述參與該行動的使用者。 在事件中使用前綴時,用來指定使用者實體在活動中的角色。 前置詞 SrcDst 用來指定網路相關事件中的使用者角色,來源系統和目的地系統會在此事件中進行通訊。 前置詞 'Actor' 和 'Target' 用於系統導向事件,例如處理序事件。

使用者識別碼和範圍

領域 Class 類型 Description
使用者標識碼 可選 繩子 機器可讀取、英數字元且唯一的使用者表示法。
使用者範圍 可選 字串 定義 UserIdUsername 的範圍。 例如,Microsoft Entra 租用戶網域名稱。 UserIdType 欄位也代表與此欄位相關聯的類型。
使用者範圍ID 可選 字串 定義 UserIdUsername 的範圍識別碼。 例如,Microsoft Entra 租用戶目錄識別碼。 UserIdType 欄位也代表與此欄位相關聯的類型。
使用者 ID 類型 可選 UserIdType UsrId 欄位中所儲存識別碼的類型。
UserSidUserUidUserAadIdUserOktaIdUserAWSIdUserPuid 可選 繩子 用來儲存特定使用者識別碼的欄位。 請選取和事件關聯性最高的識別碼,作為儲存在 UserId 中的主要識別碼。 除了 UserId 之外,填入相關的特定識別碼欄位,即使事件只有一個識別碼也一樣。
UserAADTenantUserAWSAccount 可選 繩子 用來儲存特定範圍的欄位。 針對與儲存在 UserId 欄位中的識別碼相關聯的範圍,使用 UserScope 欄位。 除了 UserScope 之外,填入相關的特定範圍欄位,即使事件只有一個識別碼也一樣。

使用者識別碼類型的允許值為:

類型 Description Example
SID Windows 使用者識別碼。 S-1-5-21-1377283216-344919071-3415362939-500
UID Linux 使用者識別碼。 4578
AADID Microsoft Entra 使用者識別碼。 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
OktaId Okta 使用者識別碼。 00urjk4znu3BcncfY0h7
AWSId AWS 使用者識別碼。 72643944673
PUID Microsoft 365 使用者識別碼。 10032001582F435C
SalesforceId Salesforce 使用者識別碼。 00530000009M943

使用者名稱

領域 Class 類型 Description
使用者名稱 可選 繩子 來源使用者名稱,包括網域資訊 (如果可用)。 只有在網域資訊無法使用時,才會使用簡單形式。 將使用者名稱類型儲存在 UsernameType 欄位中。
使用者名稱類型 可選 UsernameType 指定 Username 欄位中所儲存使用者名稱的類型。
UserUPNWindowsUsernameDNUsernameSimpleUsername 可選 繩子 用來儲存其他使用者名稱的欄位 (若原始事件包含多個使用者名稱)。 請選取和事件關聯性最高的使用者名稱,作為儲存在 Username 中的主要使用者名稱。

使用者名稱類型的允許值為:

類型 Description Example
UPN UPN 或電子郵件地址使用者名稱指示項。 johndow@contoso.com
Windows 作業系統 包含網域的 Windows 使用者名稱。 Contoso\johndow
DN LDAP 辨別名稱指示項。 CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
Simple 不含網域指示項的簡單使用者名稱。 johndow
AWSId AWS 使用者識別碼。 72643944673

其他使用者欄位

領域 Class 類型 Description
使用者類型 可選 用戶類型 來源使用者的類型。 支援的值包括:
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Service
- Anonymous
- Other

此值可能會在來源記錄中使用不同字詞提供,應將其正規化為這些值。 請將原始值儲存在 OriginalUserType 欄位。
原始使用者類型 可選 繩子 原始目的地使用者類型 (若由報告裝置所提供)。
  • Last updated on