Compartir a través de

Microsoft Sentinel 用户管理规范化架构参考(预览版)

Microsoft Sentinel 用户管理规范化架构用于描述用户管理活动,例如创建用户或组、更改用户属性或将用户添加到组。 此类事件由操作系统、目录服务、标识管理系统和任何其他报告其本地用户管理活动的系统报告。

有关 Microsoft Sentinel 中规范化的详细信息,请参阅规范化和高级安全信息模型 (ASIM)

重要

用户管理规范化架构目前处于预览阶段。 服务级别协议未随此功能一起提供。 建议不要将它用于生产工作负载。

Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

架构概述

ASIM 用户管理架构描述用户管理活动。 这些活动通常包括以下实体:

  • 参与者 - 执行管理活动的用户。
  • 操作进程 - 参与者用来执行管理活动的过程。
  • 源 - 通过网络执行活动时发起活动的源设备。
  • 目标用户 - 托管帐户的用户。
  • 组 - 在其中添加、删除或修改目标用户的组。

某些活动(如 UserCreated、GroupCreated、UserModified 和 GroupModified*)会设置或更新用户属性。 以下字段记录了设置或更新的属性:

架构详细信息

通用 ASIM 字段

重要

ASIM 通用字段一文详细介绍了所有架构的通用字段。

符合特定准则的通用字段

以下列表提及了符合进程活动事件特定准则的字段:

字段 类型 说明
EventType 必需 Enumerated 描述记录报告的操作。

对于用户管理活动,支持的值包括:
- UserCreated
- UserDeleted
- UserModified
- UserLocked
- UserUnlocked
- UserDisabled
- UserEnabled
- PasswordChanged
- PasswordReset
- GroupCreated
- GroupDeleted
- GroupModified
- UserAddedToGroup
- UserRemovedFromGroup
- GroupEnumerated
- UserRead
- GroupRead
EventSubType 可选 Enumerated 支持以下子类型:
- UserRead:密码、哈希代码
- UserCreatedGroupCreatedUserModifiedGroupModified. 有关详细信息,请参阅 UpdatedPropertyName
EventResult 必需 Enumerated 虽然可能会失败,但大多数系统只报告成功的用户管理事件。 成功事件的预期值为 Success
EventResultDetails 建议 Enumerated 有效值是 NotAuthorizedOther
EventSeverity 必需 Enumerated 虽然允许使用任何有效的严重性值,但用户管理事件的严重性通常为 Informational
EventSchema 必需 字符串 此处所述的架构名称为 UserManagement
EventSchemaVersion 必需 字符串 架构的版本。 此处所述的架构版本为 0.1.1
Dvc 字段 对于用户管理事件,设备字段是指报告事件的系统。 这通常是管理用户的系统。

所有通用字段

下表中显示的字段是所有 ASIM 架构通用的。 上面指定的任何准则都将替代字段的一般准则。 例如,字段通常情况下可能是可选项,但可能是特定架构的必需项。 有关每个字段的更多详细信息,请参阅 ASIM 通用字段一文。

Fields
必需 - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- “EventProduct”
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
建议 - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType-
- DvcAction
可选 - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

更新的属性字段

字段 类型 说明
UpdatedPropertyName Alias 当事件类型为 UserCreatedGroupCreatedUserModifiedGroupModified 时,它是 EventSubType 的别名。

支持的值是:
- MultipleProperties:在活动更新多个属性时使用
- Previous<PropertyName>,其中 <PropertyName>UpdatedPropertyName 支持的值之一。
- New<PropertyName>,其中 <PropertyName>UpdatedPropertyName 支持的值之一。
PreviousPropertyValue 可选 字符串 存储在指定属性中的旧值。
NewPropertyValue 可选 字符串 存储在指定属性中的新值。

目标用户字段

字段 类型 说明
TargetUserId 可选 String 目标用户的计算机可读的唯一字母数字表示形式。

支持的格式和类型包括:
- SID (Windows):S-1-5-21-1377283216-344919071-3415362939-500-
- UID (Linux):4578-
- AADID (Microsoft Entra ID):9267d02c-5f76-40a9-a9eb-b686f3ca47aa
- OktaId:00urjk4znu3BcncfY0h7-
- AWSId:72643944673

将 ID 类型存储在 TargetUserIdType 字段中。 如果其他 ID 可用,建议将字段名称分别规范为 TargetUserSid、TargetUserUid、TargetUserAADID、TargetUserOktaId 和 TargetUserAwsId。 有关详细信息,请参阅用户实体

示例: S-1-12
TargetUserIdType 可选 Enumerated TargetUserId 字段中存储的 ID 的类型。

支持的值为 SIDUIDAADID
TargetUsername 可选 String 目标用户名,包括域信息(如果可用)。

使用以下格式之一并遵循以下优先顺序:
- UPN/电子邮件:johndow@contoso.com
- Windows:Contoso\johndow-
- DN:CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM-
- 简单:johndow。 仅当未提供域信息时才使用 Simple 格式。

将用户名类型存储在 TargetUsernameType 字段中。 如果其他 ID 可用,建议将字段名称规范为 TargetUserUpn、TargetUserWindows 和 TargetUserDn。 有关详细信息,请参阅用户实体

示例: AlbertE
TargetUsernameType 可选 Enumerated 指定 TargetUsername 字段中存储的用户名的类型。 支持的值包括 UPNWindowsDNSimple。 有关详细信息,请参阅用户实体

示例: Windows
TargetUserType 可选 Enumerated 目标用户的类型。 支持的值包括:
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Other

注意:可以在源记录中使用不同字词提供该值,这些字词应规范化为上述值。 将原始值存储在 TargetOriginalUserType 字段中。
TargetOriginalUserType 可选 String 原始目标用户类型(如果源已提供)。

参与者字段

字段 类型 说明
ActorUserId 可选 String 参与者的计算机可读的唯一字母数字表示形式。

支持的格式和类型包括:
- SID (Windows):S-1-5-21-1377283216-344919071-3415362939-500-
- UID (Linux):4578-
- AADID (Microsoft Entra ID):9267d02c-5f76-40a9-a9eb-b686f3ca47aa
- OktaId:00urjk4znu3BcncfY0h7-
- AWSId:72643944673

将 ID 类型存储在 ActorUserIdType 字段中。 如果其他 ID 可用,建议将字段名称分别规范为 ActorUserSid、ActorUserUid、ActorUserAadId、ActorUserOktaId 和 ActorAwsId。 有关详细信息,请参阅用户实体

示例:S-1-12
ActorUserIdType 可选 Enumerated ActorUserId 字段中存储的 ID 的类型。 支持的值包括:SIDUIDAADID
ActorUsername 必需 字符串 参与者的用户名,包括域信息(如果可用)。

使用以下格式之一并遵循以下优先顺序:
- UPN/电子邮件:johndow@contoso.com
- Windows:Contoso\johndow-
- DN:CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM-
- 简单:johndow。 仅当未提供域信息时才使用 Simple 格式。

将用户名类型存储在 ActorUsernameType 字段中。 如果其他 ID 可用,建议将字段名称规范为 ActorUserUpn、ActorUserWindows 和 ActorUserDn。

有关详细信息,请参阅用户实体

示例: AlbertE
User Alias ActorUsername 的别名。
ActorUsernameType 必需 Enumerated 指定 ActorUsername 字段中存储的用户名的类型。 支持的值为 UPNWindowsDNSimple。 有关详细信息,请参阅用户实体

示例: Windows
ActorUserType 可选 Enumerated 参与者的类型。 允许值包括:
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Other

注意:可以在源记录中使用不同字词提供该值,这些字词应规范化为上述值。 将原始值存储在 ActorOriginalUserType 字段中。
ActorOriginalUserType 原始参与者用户类型(如果源已提供)。
“ActorSessionId” 可选 字符串 Actor 登录会话的唯一 ID。

示例: 999

注意:类型定义为“字符串”以支持不同的系统,但在 Windows 上,此值必须是数字。

如果使用的是 Windows 计算机并使用了其他类型,请务必转换值。 例如,如果使用了十六进制值,请将其转换为十进制值。

对字段分组

字段 类型 说明
GroupId 可选 String 组的计算机可读的唯一字母数字表示形式,适用于涉及组的活动。

支持的格式和类型包括:
- SID (Windows):S-1-5-21-1377283216-344919071-3415362939-500-
- UID (Linux):4578-

将 ID 类型存储在 GroupIdType 字段中。 如果其他 ID 可用,建议将字段名称分别规范为 GroupSid 或 GroupUid。 有关详细信息,请参阅用户实体

示例: S-1-12
GroupIdType 可选 Enumerated GroupId 字段中存储的 ID 的类型。

支持的值为 SIDUID
GroupName 可选 String 包含域信息(如果可用)的组名称,适用于涉及组的活动。

使用以下格式之一并遵循以下优先顺序:
- UPN/电子邮件:grp@contoso.com
- Windows:Contoso\grp-
- DN:CN=grp,OU=Sales,DC=Fabrikam,DC=COM-
- 简单:grp。 仅当未提供域信息时才使用 Simple 格式。

将组名称类型存储在 GroupNameType 字段中。 如果其他 ID 可用,建议将字段名称规范为 GroupUpn、GorupNameWindows 和 GroupDn。

示例: Contoso\Finance
GroupNameType 可选 Enumerated 指定 GroupName 字段中存储的组名称的类型。 支持的值包括 UPNWindowsDNSimple

示例: Windows
GroupType 可选 Enumerated 组的类型,适用于涉及组的活动。 支持的值包括:
- Local Distribution
- Local Security Enabled
- Global Distribution
- Global Security Enabled
- Universal Distribution
- Universal Security Enabled
- Other

注意:可以在源记录中使用不同字词提供该值,这些字词应规范化为上述值。 将原始值存储在 GroupOriginalType 字段中。
GroupOriginalType 可选 String 原始组类型(如果源已提供)。

源字段

字段 类型 说明
Src 建议 字符串 目标设备的唯一标识符。

此字段又可称为 SrcDvcIdSrcHostnameSrcIpAddr 字段。

示例: 192.168.12.1
SrcIpAddr 建议 IP 地址 源设备的 IP 地址。 如果指定了 SrcHostname,则此值是必需的。

示例:77.138.103.108
IpAddr Alias SrcIpAddr 的别名。
SrcHostname 建议 字符串 源设备主机名,不包括域信息。

示例: DESKTOP-1282V4D
SrcDomain 建议 字符串 源设备的域。

示例: Contoso
SrcDomainType 建议 Enumerated SrcDomain 的类型(如果已知)。 可能的值包括:
- Windows(例如 contoso
- FQDN(例如 microsoft.com

如果使用了 SrcDomain,则该字段是必填的。
SrcFQDN 可选 String 源设备主机名,包括域信息(如果可用)。

注意:此字段支持传统的 FQDN 格式和 Windows 域\主机名格式。 SrcDomainType 字段反映使用的格式。

示例: Contoso\DESKTOP-1282V4D
SrcDvcId 可选 字符串 记录中报告的源设备的 ID。

示例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId 可选 String 设备所属的云平台范围 ID。 SrcDvcScopeId 映射到 Azure 上的订阅 ID。
SrcDvcScope 可选 String 设备所属的云平台范围。 SrcDvcScope 映射到 Azure 上的订阅 ID。
SrcDvcIdType 可选 Enumerated SrcDvcId 的类型(如果已知)。 可能的值包括:
- AzureResourceId
- MDEid

如果有多个可用 ID,请使用上述列表中的第一个 ID,并分别在 SrcDvcAzureResourceId 和 SrcDvcMDEid 中存储其他 ID。

注意:如果使用了 SrcDvcId,则此字段是必填的。
SrcDeviceType 可选 Enumerated 源设备的类型。 可能的值包括:
- Computer
- Mobile Device
- IOT Device
- Other
SrcGeoCountry 可选 国家/地区 与源 IP 地址关联的国家/地区。
SrcGeoRegion 可选 区域 与源 IP 地址关联的区域。
SrcGeoCity 可选 城市 与源 IP 地址关联的城市。
SrcGeoLatitude 可选 纬度 与源 IP 地址关联的地理坐标的纬度。

示例:44.475833
SrcGeoLongitude 可选 经度 与源 IP 地址关联的地理坐标的经度。

示例:73.211944

操作应用程序

字段 类型 说明
ActingAppId 可选 String 参与者用来执行活动(包括进程、浏览器或服务)的应用程序的 ID。

例如:0x12ae8
ActingAppName 可选 String 参与者用来执行活动(包括进程、浏览器或服务)的应用程序的名称。

例如:C:\Windows\System32\svchost.exe
ActingAppType 可选 Enumerated 操作应用程序的类型。 支持的值包括:
- Process
- Browser
- Resource
- Other
HttpUserAgent 可选 字符串 通过 HTTP 或 HTTPS 执行身份验证时,此字段的值是执行身份验证时操作应用程序提供的 user_agent HTTP 标头。

例如:Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

其他字段和别名

字段 类型 说明
Hostname Alias DvcHostname 的别名。

后续步骤

有关详细信息,请参阅: