Microsoft Sentinel 使用者管理正規化架構可用來描述使用者管理活動,例如建立使用者或群組、變更使用者屬性,或將使用者新增至群組。 例如,這類事件會透過操作系統、目錄服務、身分識別管理系統,以及報告其本機使用者管理活動的任何其他系統來報告。
如需Microsoft Sentinel 中正規化的詳細資訊,請參閱正規化和進階安全性資訊模型 (ASIM)。
結構描述概觀
ASIM 使用者管理架構描述使用者管理活動。 活動通常包含下列實體:
- 動作專案 - 執行管理活動的使用者。
- 代理程式 ─ 動作項目用來執行管理活動的程式。
- Src - 當活動透過網路執行時,會從中起始活動的來源裝置。
- 目標使用者 - 帳戶受管理的使用者。
- 將 目標使用者新增或移除,或遭到修改。
某些活動,例如 UserCreated、GroupCreated、UserModified 和 GroupModified*、設定或更新使用者屬性。 屬性集或更新記載於下列欄位中:
- EventSubType - 已設定或更新的值名稱。 當 EventSubType 參考其中一個相關的事件類型時,UpdatedPropertyName 是 EventSubType 的別名。
- PreviousPropertyValue - 属性的先前值。
- NewPropertyValue - 屬性的更新值。
架構詳細數據
一般 ASIM 欄位
重要
ASIM 通用欄位一文會詳細說明 所有架構的通用欄位 。
具有特定指導方針的常見欄位
下列清單提及具有進程活動事件特定指導方針的欄位:
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| EventType | 必要 | Enumerated | 描述記錄所報告的作業。 針對使用者管理活動,支援的值為: - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| 事件子類型 | 選擇性 | Enumerated | 支援下列子型態: - UserRead:密碼、哈希- UserCreated、、GroupCreatedUserModified、GroupModified。 如需詳細資訊,請參閱 UpdatedPropertyName |
| EventResult | 必要 | Enumerated | 雖然失敗是可能的,但大部分的系統只會報告成功的使用者管理事件。 成功事件 Success的預期值為 。 |
| EventResultDetails | 建議需求 | Enumerated | 有效值為 NotAuthorized 與 Other。 |
| EventSeverity | 必要 | Enumerated | 雖然允許任何有效的嚴重性值,但使用者管理事件的嚴重性通常是 Informational。 |
| EventSchema | 必要 | Enumerated | 這裡記載的架構名稱為 UserManagement。 |
| EventSchemaVersion | 必要 | SchemaVersion(字串) | 結構描述的版本。 這裡記載的架構版本為 0.1.2。 |
| Dvc 欄位 | 針對使用者管理事件,裝置欄位會參考系統報告事件。 這通常是使用者管理所在的系統。 |
所有通用欄位
下表中顯示的欄位適用於所有 ASIM 架構。 上述任何指定的指導方針會覆寫欄位的一般指導方針。 例如,欄位通常是選擇性的,但特定架構的必要專案。 如需每個欄位的進一步詳細數據,請參閱 ASIM 通用欄位 一文。
| 類別 | 欄位 |
|---|---|
| 必要 |
-
事件計數 - 事件開始時間 - 事件結束時間 - 事件類型 - 事件結果 - 活動產品 - 活動供應商 - 事件架構 - 事件架構版本 - 視頻 |
| 建議需求 |
-
事件結果詳細資料 - 事件嚴重性 - 事件Uid - DvcIpAddr - Dvc主機名稱 - Dvc網域 - Dvc網域類型 - DvcFQDN - DVCID - DvcId類型 - Dvc動作 |
| 選擇性 |
-
事件訊息 - 事件子類型 - 事件原創 - 事件原始類型 - EventOriginal子類型 - EventOriginalResult詳細資料 - EventOriginal嚴重性 - 事件產品版本 - 事件報告網址 - 事件擁有者 - Dvc區域 - DvcMacAddr - DvcOS - DvcOs版本 - DvcOriginal動作 - Dvc介面 - 附加欄位 - Dvc說明 - DvcScopeID - Dvc範圍 |
已更新的屬性欄位
目標使用者欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 目標使用者ID | 選擇性 | String | 計算機可讀取、英數位元、目標使用者的唯一表示法。 支援的格式與類型包括: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673將標識元類型儲存在 [TargetUserIdType ] 字段中。 如果有其他標識符可供使用,我們建議您將域名正規化為 TargetUserSid、TargetUserUid、TargetUserAADID、TargetUserOktaId 和 TargetUserAwsId。 如需詳細資訊,請參閱使用者實體。 範例: S-1-12 |
| TargetUserId類型 | Conditional | Enumerated | 儲存在 TargetUserId 字段中的標識碼類型。 支援的值為 SID、、UIDAADID、OktaId、 和 AWSId。 |
| 目標使用者名稱 | 選擇性 | 用戶名(字串) | 目標用戶名稱,包括可用時的網域資訊。 使用下列其中一種格式,並以下列優先順序排序: - Upn/Email: johndow@contoso.com- 視窗: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- 簡單: johndow。 只有在網域信息無法使用時,才使用簡單表單。將 [用戶名稱類型] 儲存在 [TargetUsernameType ] 字段中。 如果有其他標識碼可用,建議您將域名正規化為 TargetUserUpn、TargetUserWindows 和 TargetUserDn。 如需詳細資訊,請參閱使用者實體。 範例: AlbertE |
| 目標使用者名稱類型 | Conditional | Enumerated | 指定儲存在 TargetUsername 欄位中的使用者名稱 類型。 支援的值包括 UPN、 Windows、 DN與 Simple。 如需詳細資訊,請參閱使用者實體。範例: Windows |
| TargetUserType | 選擇性 | Enumerated | 目標使用者的類型。 支援的值包括: - Regular- Machine- Admin- System- Application- Service Principal- Other注意:來源記錄中可能會使用不同的詞彙來提供此值,這應該會正規化為這些值。 將原始值儲存在 TargetOriginalUserType 字段中。 |
| 目標原始使用者類型 | 選擇性 | String | 來源所提供的原始目的地用戶類型。 |
| TargetUserScope | 選擇性 | String | 定義 TargetUserId 和 TargetUsername 的 entra 租使用者,例如Microsoft範圍。 或詳細資訊和允許的值清單,請參閱架構概觀一文中的UserScope。 |
| TargetUserScopeId | 選擇性 | String | 定義 TargetUserId 和 TargetUsername 的範圍標識碼,例如 Microsoft Entra Directory 識別符。 如需允許值的詳細資訊和清單,請參閱架構概觀一文中的UserScopeId。 |
| TargetUserSessionId | 選擇性 | String | 目標使用者登入會話的唯一標識符。 範例: 999 注意:類型定義為 支援不同系統的字串 ,但在 Windows 上,此值必須是數值。 如果您使用 Windows 或 Linux 計算機並使用不同的類型,請務必轉換值。 例如,如果您使用十六進位值,請將它轉換成十進位值。 |
動作專案欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 演員使用者ID | 選擇性 | String | 機器可讀取、英數位元、動作專案的唯一表示法。 支援的格式與類型包括: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673將標識元類型儲存在 ActorUserIdType 欄位中。 如果有其他標識符可供使用,我們建議您將域名正規化為 ActorUserSid、ActorUserUid、ActorUserAadId、ActorUserOktaId 和 ActorAwsId。 如需詳細資訊,請參閱使用者實體。 範例:S-1-12 |
| ActorUserId類型 | Conditional | Enumerated | 儲存在 ActorUserId 字段中的識別碼類型。 支援的值包括 SID、UID、AADID、OktaId 和 AWSId。 |
| 演員用戶名 | 必要 | 用戶名(字串) | 動作項目用戶名稱,包括可用時的網域資訊。 使用下列其中一種格式,並以下列優先順序排序: - Upn/Email: johndow@contoso.com- 視窗: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- 簡單: johndow。 只有在網域信息無法使用時,才使用簡單表單。將 Username 類型儲存在 ActorUsernameType 字段中。 如果有其他標識碼可供使用,建議您將域名正規化為 ActorUserUpn、ActorUserWindows 和 ActorUserDn。 如需詳細資訊,請參閱使用者實體。 範例: AlbertE |
| 使用者 | Alias | ActorUsername 的別名。 | |
| ActorUsernameType | Conditional | Enumerated | 指定儲存在 ActorUsername 欄位中的使用者名稱 類型。 支援的值為 UPN、 Windows、 DN和 Simple。 如需詳細資訊,請參閱使用者實體。範例: Windows |
| ActorUserType | 選擇性 | Enumerated | 動作項目的類型。 允許的值如下: - Regular- Machine- Admin- System- Application- Service Principal- Other注意:來源記錄中可能會使用不同的詞彙來提供此值,這應該會正規化為這些值。 將原始值儲存在 ActorOriginalUserType 欄位中。 |
| ActorOriginalUser類型 | 選擇性 | String | 報告裝置所提供的原始目的地使用者類型。 |
| ActorOriginalUser類型 | 來源所提供的原始動作項目用戶類型。 | ||
| ActorSessionId | 選擇性 | String | 動作專案登入會話的唯一標識符。 範例: 999注意:類型定義為 支援不同系統的字串 ,但在 Windows 上,此值必須是數值。 如果您使用 Windows 計算機並使用不同的類型,請務必轉換值。 例如,如果您使用十六進位值,請將它轉換成十進位值。 |
| ActorScope | 選擇性 | String | 範圍,例如Microsoft Entra 租使用者,其中 已定義ActorUserId 和 ActorUsername 。 或詳細資訊和允許的值清單,請參閱架構概觀一文中的UserScope。 |
| ActorScopeId | 選擇性 | String | 定義 ActorUserId 和 ActorUsername 的範圍標識碼,例如 Microsoft Entra Directory ID。 或詳細資訊和允許的值清單,請參閱架構概觀一文中的UserScopeId。 |
群組欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 群組識別碼 | 選擇性 | String | 計算機可讀取、英數位元、群組的唯一表示法,適用於涉及群組的活動。 支援的格式與類型包括: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578將標識元類型儲存在 GroupIdType 欄位中。 如果有其他標識碼可供使用,建議您分別將域名正規化為 GroupSid 或 GroupUid。 如需詳細資訊,請參閱使用者實體。 範例: S-1-12 |
| GroupIdType | 選擇性 | Enumerated | 儲存在 GroupId 欄位中的識別碼類型。 支援的值為 SID、 與 UID。 |
| 群組名稱 | 選擇性 | String | 適用於涉及群組的活動,組名,包括網域資訊。 使用下列其中一種格式,並以下列優先順序排序: - Upn/Email: grp@contoso.com- 視窗: Contoso\grp- DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM- 簡單: grp。 只有在網域信息無法使用時,才使用簡單表單。將組名類型儲存在 [GroupNameType ] 字段中。 如果有其他標識碼可用,建議您將域名正規化為 GroupUpn、 GroupNameWindows 和 GroupDn。 範例: Contoso\Finance |
| 群組名稱類型 | 選擇性 | Enumerated | 指定儲存在 GroupName 欄位中的組名類型。 支援的值包括 UPN、 Windows、 DN與 Simple。範例: Windows |
| GroupType | 選擇性 | Enumerated | 群組的類型,用於涉及群組的活動。 支援的值包括: - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- Other注意:來源記錄中可能會使用不同的詞彙來提供此值,這應該會正規化為這些值。 將原始值儲存在 GroupOriginalType 欄位中。 |
| 群組原始類型 | 選擇性 | String | 來源所提供的原始群組類型。 |
來源欄位
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 來源 | 建議需求 | String | 來源裝置的唯一標識碼。 此欄位可能會將 SrcDvcId、 SrcHostname 或 SrcIpAddr 字段別名。 範例: 192.168.12.1 |
| SrcIpAddr | 建議需求 | IP 位址 | 來源裝置的 IP 位址。 如果 指定 SrcHostname ,這個值是必要的。 範例: 77.138.103.108 |
| IpAddr | Alias | SrcIpAddr 的別名。 | |
| SrcPortNumber | 選擇性 | 整數 | 連接起始的 IP 端口。 可能在包含多個連線的會話中不相關。 範例: 2335 |
| SrcMacAddr | 選擇性 | MAC 位址(字串) | 聯機或會話來源之網路介面的 MAC 位址。 範例: 06:10:9f:eb:8f:14 |
| Src說明 | 選擇性 | String | 與裝置相關聯的描述性文字。 例如: Primary Domain Controller 。 |
| Src主機名稱 | 建議需求 | String | 來源裝置主機名,不包括網域資訊。 範例: DESKTOP-1282V4D |
| Src網域 | 建議需求 | 域(字串) | 來源裝置的網域。 範例: Contoso |
| Src網域類型 | 建議需求 | Enumerated | 如果已知,則為 SrcDomain 的類型。 可能的值包括: - Windows (例如 contoso)- FQDN (例如 microsoft.com)如果使用 SrcDomain ,則為必要項。 |
| SrcFQDN | 選擇性 | FQDN(字串) | 來源裝置主機名,包括可用時的網域資訊。 注意:此欄位同時支持傳統的 FQDN 格式和 Windows 網域\主機名格式。 SrcDomainType 字段會反映所使用的格式。 範例: Contoso\DESKTOP-1282V4D |
| SrcDvcId | 選擇性 | String | 記錄中所報告的來源裝置標識碼。 範例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 選擇性 | String | 裝置所屬的雲端平台範圍識別碼。 SrcDvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及對應至 AWS 上的帳戶標識碼。 |
| SrcDvc範圍 | 選擇性 | String | 裝置所屬的雲端平台範圍。 SrcDvcScope 對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
| SrcDvcIdType | Conditional | Enumerated | 如果已知,則為 SrcDvcId 的類型。 可能的值包括: - AzureResourceId- MDEid如果有多個標識碼可用,請使用上述清單中的第一個標識符,並將其他標識符分別儲存在 SrcDvcAzureResourceId 和 SrcDvcMDEid 中。 注意:如果使用 SrcDvcId ,則需要此欄位。 |
| SrcDeviceType | 選擇性 | Enumerated | 來源裝置的類型。 可能的值包括: - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | 選擇性 | Country | 與來源IP位址相關聯的國家/地區。 範例: USA |
| SrcGeoRegion | 選擇性 | 區域 | 與來源IP位址相關聯的區域。 範例: Vermont |
| SrcGeoCity | 選擇性 | 縣/市 | 與來源IP位址相關聯的城市。 範例: Burlington |
| SrcGeoLatitude | 選擇性 | 緯度 | 與來源IP位址相關聯的地理座標緯度。 範例: 44.475833 |
| SrcGeoLongitude | 選擇性 | 經度 | 與來源IP位址相關聯的地理座標經度。 範例: 73.211944 |
| SrcRiskLevel | 選擇性 | 整數 | 與來源相關聯的風險層級。 此值應調整為 的範圍,0100並0針對良性和100高風險。範例: 90 |
| SrcOriginalRiskLevel | 選擇性 | String | 與來源相關聯的風險層級,如報告裝置所報告。 範例: Suspicious |
代理應用程式
檢查欄位
以下欄位用來表示由安全系統(如EDR系統)執行的檢查。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 規則名稱 | 選擇性 | String | 與檢查結果相關聯的規則名稱或標識碼。 |
| 規則編號 | 選擇性 | 整數 | 與檢查結果相關聯的規則數目。 |
| 規則 | Conditional | String | kRuleName 的值或 RuleNumber 的值。 如果使用 RuleNumber 的值,則類型應該轉換成字串。 |
| ThreatId | 選擇性 | String | 檔案活動中所識別的威脅或惡意代碼標識碼。 |
| ThreatName | 選擇性 | String | 檔案活動中所識別的威脅或惡意代碼名稱。 範例: EICAR Test File |
| ThreatCategory | 選擇性 | String | 檔案活動中所識別的威脅或惡意代碼類別。 範例: Trojan |
| ThreatRiskLevel | 選擇性 | 風險等級(整數) | 與所識別威脅相關聯的風險層級。 層級應該是介於 0 到 100 之間的數位。 注意:來源記錄中可能會使用不同的小數字數來提供此值,而這個小數字數應該正規化為這個小數字數。 原始值應該儲存在 ThreatOriginalRiskLevel。 |
| 威脅原始風險等級 | 選擇性 | String | 報告裝置所報告的風險層級。 |
| 威脅欄位 | 選擇性 | String | 被識別出威脅的領域。 |
| ThreatConfidence | 選擇性 | 信心水準(整數) | 識別的威脅信賴等級,標準化為介於 0 到 100 之間的值。 |
| ThreatOriginalConfidence | 選擇性 | String | 已識別威脅的原始信賴等級,如報告裝置中所回報。 |
| ThreatIsActive | 選擇性 | 布林值 | 如果識別的威脅被視為作用中威脅,則為 True。 |
| ThreatFirstReportedTime | 選擇性 | 日期時間 | 第一次將IP位址或網域識別為威脅。 |
| ThreatLastReportedTime | 選擇性 | 日期時間 | IP位址或網域上次被識別為威脅的時間。 |
其他欄位和別名
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| 主機名稱 | Alias | DvcHostname 的別名。 |
架構更新
架構0.1.2版中的變更如下:
- 新增了檢查欄位。
- 新增了來源欄位
SrcDescription,SrcMacAddr, ,SrcOriginalRiskLevelSrcPortNumberSrcRiskLevel, , - 加入目標欄位
TargetUserScope,TargetUserScopeId,TargetUserSessionId - 加上演員欄位
ActorOriginalUserType,ActorScope,ActorScopeId - 新增代理應用欄位
ActingOriginalAppType
下一步
如需詳細資訊,請參閱