高级安全信息模型（ASIM）用户实体

用户是事件报告的活动的核心。本节列出的用户实体字段用于描述参与作的用户。在事件中使用前缀时，用来指定用户实体在活动中的角色。前缀 Src 和 Dst 用于在网络相关事件中指定用户角色，事件中的源系统和目标系统会进行通信。前缀“Actor”和“Target”用于面向系统的事件，例如进程事件。

用户 ID 和范围

领域	Class	类型	Description
UserId	可选	String	用户的计算机可读的、独一无二的字母数字表示形式。
UserScope	可选	字符串	定义 UserId 和 Username 的范围。例如 Microsoft Entra 租户域名。 UserIdType 字段还表示与此字段关联的类型。
UserScopeId	可选	字符串	定义 UserId 和 Username 的范围的 ID。例如 Microsoft Entra 租户目录 ID。 UserIdType 字段还表示与此字段关联的类型。
UserIdType	可选	用户 ID 类型	UserId 字段中存储的 ID 的类型。
UserSid、 UserUid、 UserAadId、 UserOktaId、 UserPuid	可选	String	用于存储特定用户 ID 的字段。选择与事件最关联的 ID 作为存储在 UserId 中的主 ID。除了 UserId 之外，还要填充相关的特定 ID 字段（即使事件只有一个 ID）。
UserAADTenant	可选	String	用于存储特定范围的字段。使用 UserScope 字段表示与 UserId 字段中存储的 ID 关联的范围。除了 UserScope 之外，还要填充相关的特定范围字段（即使事件只有一个 ID）。

用户 ID 类型的允许值为：

类型	Description	Example
SID	Windows 用户 ID。	`S-1-5-21-1377283216-344919071-3415362939-500`
UID	Linux 用户 ID。	`4578`
AADID	Microsoft Entra 用户 ID。	`00aa00aa-bb11-cc22-dd33-44ee44ee44ee`
OktaId	Okta 用户 ID。	`00urjk4znu3BcncfY0h7`
PUID	Microsoft 365 用户 ID。	`10032001582F435C`
SalesforceId	Salesforce 用户 ID。	`00530000009M943`

用户名

领域	Class	类型	Description
Username	可选	String	源用户名，包括域信息（如果可用）。仅当未提供域信息时才使用简单格式。在 UsernameType 字段中存储用户名类型。
UsernameType	可选	用户名类型	指定 Username 字段中存储的用户名的类型。
UserUPN、WindowsUsername、DNUsername、SimpleUsername	可选	String	在原始事件包含多个用户名的情况下用于存储其他用户名的字段。选择与事件最关联的用户名作为存储在 Username 中的主用户名。

用户名类型的允许值为：

类型	Description	Example
UPN	UPN 或电子邮件地址用户名指示符。	`johndow@contoso.com`
Windows操作系统	包含域的 Windows 用户名。	`Contoso\johndow`
DN	LDAP 可分辨名称指示符。	`CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM`
简单	没有域指示符的简单用户名。	`johndow`

其他用户字段

领域	Class	类型	Description
UserType	可选	用户类型	源用户的类型。支持的值包括： - `Regular` - `Machine` - `Admin` - `System` - `Application` - `Service Principal` - `Service` - `Anonymous` - `Other`。可以在源记录中使用不同字词提供该值，这些字词应规范化为上述值。在 OriginalUserType 字段中存储原始值。
OriginalUserType	可选	String	原始目标用户类型（如果报告设备已提供）。

Last updated on 2025-12-04