Microsoft Sentinel 用户管理规范化架构参考(预览版)
Microsoft Sentinel 用户管理规范化架构用于描述用户管理活动,例如创建用户或组、更改用户属性或将用户添加到组。 此类事件由操作系统、目录服务、标识管理系统和任何其他报告其本地用户管理活动的系统报告。
有关 Microsoft Sentinel 中规范化的详细信息,请参阅规范化和高级安全信息模型 (ASIM)。
重要
用户管理规范化架构目前处于预览阶段。 服务级别协议未随此功能一起提供。 建议不要将它用于生产工作负载。
Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
架构概述
ASIM 用户管理架构描述用户管理活动。 这些活动通常包括以下实体:
- 参与者 - 执行管理活动的用户。
- 操作进程 - 参与者用来执行管理活动的过程。
- 源 - 通过网络执行活动时发起活动的源设备。
- 目标用户 - 托管帐户的用户。
- 组 - 在其中添加、删除或修改目标用户的组。
某些活动(如 UserCreated、GroupCreated、UserModified 和 GroupModified*)会设置或更新用户属性。 以下字段记录了设置或更新的属性:
- EventSubType - 设置或更新的值的名称。 当 EventSubType 引用其中一种相关事件类型时,UpdatedPropertyName 是 EventSubType 的别名。
- PreviousPropertyValue - 属性的旧值。
- NewPropertyValue - 属性的更新值。
架构详细信息
通用 ASIM 字段
重要
ASIM 通用字段一文详细介绍了所有架构的通用字段。
符合特定准则的通用字段
以下列表提及了符合进程活动事件特定准则的字段:
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| EventType | 必需 | Enumerated | 描述记录报告的操作。 对于用户管理活动,支持的值包括: - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| EventSubType | 可选 | Enumerated | 支持以下子类型: - UserRead:密码、哈希代码- UserCreated、GroupCreated、UserModified、GroupModified。 有关详细信息,请参阅 UpdatedPropertyName |
| EventResult | 必需 | Enumerated | 虽然可能会失败,但大多数系统只报告成功的用户管理事件。 成功事件的预期值为 Success。 |
| EventResultDetails | 建议 | Enumerated | 有效值是 NotAuthorized 和 Other。 |
| EventSeverity | 必需 | Enumerated | 虽然允许使用任何有效的严重性值,但用户管理事件的严重性通常为 Informational。 |
| EventSchema | 必需 | 字符串 | 此处所述的架构名称为 UserManagement。 |
| EventSchemaVersion | 必需 | 字符串 | 架构的版本。 此处所述的架构版本为 0.1.1。 |
| Dvc 字段 | 对于用户管理事件,设备字段是指报告事件的系统。 这通常是管理用户的系统。 |
所有通用字段
下表中显示的字段是所有 ASIM 架构通用的。 上面指定的任何准则都将替代字段的一般准则。 例如,字段通常情况下可能是可选项,但可能是特定架构的必需项。 有关每个字段的更多详细信息,请参阅 ASIM 通用字段一文。
| 类 | Fields |
|---|---|
| 必需 | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - “EventProduct” - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| 建议 | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType- - DvcAction |
| 可选 | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
更新的属性字段
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| UpdatedPropertyName | Alias | 当事件类型为 UserCreated、GroupCreated、UserModified 或 GroupModified 时,它是 EventSubType 的别名。支持的值是: - MultipleProperties:在活动更新多个属性时使用- Previous<PropertyName>,其中 <PropertyName> 是 UpdatedPropertyName 支持的值之一。 - New<PropertyName>,其中 <PropertyName> 是 UpdatedPropertyName 支持的值之一。 |
|
| PreviousPropertyValue | 可选 | 字符串 | 存储在指定属性中的旧值。 |
| NewPropertyValue | 可选 | 字符串 | 存储在指定属性中的新值。 |
目标用户字段
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| TargetUserId | 可选 | String | 目标用户的计算机可读的唯一字母数字表示形式。 支持的格式和类型包括: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- - UID (Linux): 4578- - AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- - AWSId: 72643944673将 ID 类型存储在 TargetUserIdType 字段中。 如果其他 ID 可用,建议将字段名称分别规范为 TargetUserSid、TargetUserUid、TargetUserAADID、TargetUserOktaId 和 TargetUserAwsId。 有关详细信息,请参阅用户实体。 示例: S-1-12 |
| TargetUserIdType | 可选 | Enumerated | TargetUserId 字段中存储的 ID 的类型。 支持的值为 SID、UID、AADID。 |
| TargetUsername | 可选 | String | 目标用户名,包括域信息(如果可用)。 使用以下格式之一并遵循以下优先顺序: - UPN/电子邮件: johndow@contoso.com- Windows: Contoso\johndow- - DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- - 简单: johndow。 仅当未提供域信息时才使用 Simple 格式。将用户名类型存储在 TargetUsernameType 字段中。 如果其他 ID 可用,建议将字段名称规范为 TargetUserUpn、TargetUserWindows 和 TargetUserDn。 有关详细信息,请参阅用户实体。 示例: AlbertE |
| TargetUsernameType | 可选 | Enumerated | 指定 TargetUsername 字段中存储的用户名的类型。 支持的值包括 UPN、Windows、DN 和 Simple。 有关详细信息,请参阅用户实体。示例: Windows |
| TargetUserType | 可选 | Enumerated | 目标用户的类型。 支持的值包括: - Regular- Machine- Admin- System- Application- Service Principal- Other注意:可以在源记录中使用不同字词提供该值,这些字词应规范化为上述值。 将原始值存储在 TargetOriginalUserType 字段中。 |
| TargetOriginalUserType | 可选 | String | 原始目标用户类型(如果源已提供)。 |
参与者字段
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| ActorUserId | 可选 | String | 参与者的计算机可读的唯一字母数字表示形式。 支持的格式和类型包括: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- - UID (Linux): 4578- - AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- - AWSId: 72643944673将 ID 类型存储在 ActorUserIdType 字段中。 如果其他 ID 可用,建议将字段名称分别规范为 ActorUserSid、ActorUserUid、ActorUserAadId、ActorUserOktaId 和 ActorAwsId。 有关详细信息,请参阅用户实体。 示例:S-1-12 |
| ActorUserIdType | 可选 | Enumerated | ActorUserId 字段中存储的 ID 的类型。 支持的值包括:SID、UID、AADID。 |
| ActorUsername | 必需 | 字符串 | 参与者的用户名,包括域信息(如果可用)。 使用以下格式之一并遵循以下优先顺序: - UPN/电子邮件: johndow@contoso.com- Windows: Contoso\johndow- - DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- - 简单: johndow。 仅当未提供域信息时才使用 Simple 格式。将用户名类型存储在 ActorUsernameType 字段中。 如果其他 ID 可用,建议将字段名称规范为 ActorUserUpn、ActorUserWindows 和 ActorUserDn。 有关详细信息,请参阅用户实体。 示例: AlbertE |
| User | Alias | ActorUsername 的别名。 | |
| ActorUsernameType | 必需 | Enumerated | 指定 ActorUsername 字段中存储的用户名的类型。 支持的值为 UPN、Windows、DN 和 Simple。 有关详细信息,请参阅用户实体。示例: Windows |
| ActorUserType | 可选 | Enumerated | 参与者的类型。 允许值包括: - Regular- Machine- Admin- System- Application- Service Principal- Other注意:可以在源记录中使用不同字词提供该值,这些字词应规范化为上述值。 将原始值存储在 ActorOriginalUserType 字段中。 |
| ActorOriginalUserType | 原始参与者用户类型(如果源已提供)。 | ||
| “ActorSessionId” | 可选 | 字符串 | Actor 登录会话的唯一 ID。 示例: 999注意:类型定义为“字符串”以支持不同的系统,但在 Windows 上,此值必须是数字。 如果使用的是 Windows 计算机并使用了其他类型,请务必转换值。 例如,如果使用了十六进制值,请将其转换为十进制值。 |
对字段分组
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| GroupId | 可选 | String | 组的计算机可读的唯一字母数字表示形式,适用于涉及组的活动。 支持的格式和类型包括: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- - UID (Linux): 4578- 将 ID 类型存储在 GroupIdType 字段中。 如果其他 ID 可用,建议将字段名称分别规范为 GroupSid 或 GroupUid。 有关详细信息,请参阅用户实体。 示例: S-1-12 |
| GroupIdType | 可选 | Enumerated | GroupId 字段中存储的 ID 的类型。 支持的值为 SID 和 UID。 |
| GroupName | 可选 | String | 包含域信息(如果可用)的组名称,适用于涉及组的活动。 使用以下格式之一并遵循以下优先顺序: - UPN/电子邮件: grp@contoso.com- Windows: Contoso\grp- - DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM- - 简单: grp。 仅当未提供域信息时才使用 Simple 格式。将组名称类型存储在 GroupNameType 字段中。 如果其他 ID 可用,建议将字段名称规范为 GroupUpn、GorupNameWindows 和 GroupDn。 示例: Contoso\Finance |
| GroupNameType | 可选 | Enumerated | 指定 GroupName 字段中存储的组名称的类型。 支持的值包括 UPN、Windows、DN 和 Simple。示例: Windows |
| GroupType | 可选 | Enumerated | 组的类型,适用于涉及组的活动。 支持的值包括: - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- Other注意:可以在源记录中使用不同字词提供该值,这些字词应规范化为上述值。 将原始值存储在 GroupOriginalType 字段中。 |
| GroupOriginalType | 可选 | String | 原始组类型(如果源已提供)。 |
源字段
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| Src | 建议 | 字符串 | 目标设备的唯一标识符。 此字段又可称为 SrcDvcId、SrcHostname 或 SrcIpAddr 字段。 示例: 192.168.12.1 |
| SrcIpAddr | 建议 | IP 地址 | 源设备的 IP 地址。 如果指定了 SrcHostname,则此值是必需的。 示例: 77.138.103.108 |
| IpAddr | Alias | SrcIpAddr 的别名。 | |
| SrcHostname | 建议 | 字符串 | 源设备主机名,不包括域信息。 示例: DESKTOP-1282V4D |
| SrcDomain | 建议 | 字符串 | 源设备的域。 示例: Contoso |
| SrcDomainType | 建议 | Enumerated | SrcDomain 的类型(如果已知)。 可能的值包括: - Windows(例如 contoso)- FQDN(例如 microsoft.com)如果使用了 SrcDomain,则该字段是必填的。 |
| SrcFQDN | 可选 | String | 源设备主机名,包括域信息(如果可用)。 注意:此字段支持传统的 FQDN 格式和 Windows 域\主机名格式。 SrcDomainType 字段反映使用的格式。 示例: Contoso\DESKTOP-1282V4D |
| SrcDvcId | 可选 | 字符串 | 记录中报告的源设备的 ID。 示例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 可选 | String | 设备所属的云平台范围 ID。 SrcDvcScopeId 映射到 Azure 上的订阅 ID。 |
| SrcDvcScope | 可选 | String | 设备所属的云平台范围。 SrcDvcScope 映射到 Azure 上的订阅 ID。 |
| SrcDvcIdType | 可选 | Enumerated | SrcDvcId 的类型(如果已知)。 可能的值包括: - AzureResourceId- MDEid如果有多个可用 ID,请使用上述列表中的第一个 ID,并分别在 SrcDvcAzureResourceId 和 SrcDvcMDEid 中存储其他 ID。 注意:如果使用了 SrcDvcId,则此字段是必填的。 |
| SrcDeviceType | 可选 | Enumerated | 源设备的类型。 可能的值包括: - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | 可选 | 国家/地区 | 与源 IP 地址关联的国家/地区。 |
| SrcGeoRegion | 可选 | 区域 | 与源 IP 地址关联的区域。 |
| SrcGeoCity | 可选 | 城市 | 与源 IP 地址关联的城市。 |
| SrcGeoLatitude | 可选 | 纬度 | 与源 IP 地址关联的地理坐标的纬度。 示例: 44.475833 |
| SrcGeoLongitude | 可选 | 经度 | 与源 IP 地址关联的地理坐标的经度。 示例: 73.211944 |
操作应用程序
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| ActingAppId | 可选 | String | 参与者用来执行活动(包括进程、浏览器或服务)的应用程序的 ID。 例如: 0x12ae8 |
| ActingAppName | 可选 | String | 参与者用来执行活动(包括进程、浏览器或服务)的应用程序的名称。 例如: C:\Windows\System32\svchost.exe |
| ActingAppType | 可选 | Enumerated | 操作应用程序的类型。 支持的值包括: - Process - Browser - Resource - Other |
| HttpUserAgent | 可选 | 字符串 | 通过 HTTP 或 HTTPS 执行身份验证时,此字段的值是执行身份验证时操作应用程序提供的 user_agent HTTP 标头。 例如: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
其他字段和别名
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| Hostname | Alias | DvcHostname 的别名。 |
后续步骤
有关详细信息,请参阅: