ユーザーは、イベントによって報告されるアクティビティの中心です。 このセクションに記載されているユーザー エンティティ フィールドは、アクションに関連するユーザーを記述するために使用されます。 イベントで使用する場合、プレフィックスは、アクティビティ内のユーザー エンティティのロールを指定するために使用されます。 プレフィックス Src と Dst は、ソース システムと宛先システムが通信するネットワーク関連イベントのユーザー ロールを指定するために使用されます。 プレフィックス 'Actor' と 'Target' は、プロセス イベントなどのシステム指向のイベントに使用されます。
ユーザー ID とスコープ
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| Userid | 省略可能 | 文字列 | コンピューターが読み取り可能な英数字のユーザーの一意の表現。 |
| UserScope | 省略可能 | string | UserId と Username が定義されているスコープ。 たとえば、Microsoft Entraテナント ドメイン名です。 UserIdType フィールドは、このフィールドに関連付けられている の型も表します。 |
| UserScopeId | 省略可能 | string | UserId と Username が定義されているスコープの ID。 たとえば、Microsoft Entraテナント ディレクトリ ID などです。 UserIdType フィールドは、このフィールドに関連付けられている の型も表します。 |
| UserIdType | 省略可能 | UserIdType | [UserId] フィールドに格納されている ID の型。 |
| UserSid、 UserUid、 UserAadId、 UserOktaId、 UserAWSId、 UserPuid | 省略可能 | 文字列 | 特定のユーザー ID を格納するために使用されるフィールド。 UserId に格納されているプライマリ ID として、イベントに最も関連付けられている ID を選択します。 イベントに ID が 1 つしかない場合でも、 UserId に加えて、関連する特定の ID フィールドを設定します。 |
| UserAADTenant、 UserAWSAccount | 省略可能 | 文字列 | 特定のスコープを格納するために使用されるフィールド。 UserId フィールドに格納されている ID に関連付けられているスコープには、UserScope フィールドを使用します。 イベントに ID が 1 つしかない場合でも、 UserScope に加えて、関連する特定のスコープ フィールドを設定します。 |
ユーザー ID の種類に使用できる値は次のとおりです。
| 型 | 説明 | 例 |
|---|---|---|
| SID | Windows ユーザー ID。 | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | Linux ユーザー ID。 | 4578 |
| AADID | Microsoft Entra ユーザー ID。 | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| OktaId | Okta ユーザー ID。 | 00urjk4znu3BcncfY0h7 |
| AWSId | AWS ユーザー ID。 | 72643944673 |
| PUID | Microsoft 365 ユーザー ID。 | 10032001582F435C |
| SalesforceId | Salesforce ユーザー ID。 | 00530000009M943 |
ユーザー名
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| 名 | 省略可能 | 文字列 | 使用可能な場合はドメイン情報を含むソース ユーザー名。 ドメイン情報が使用できない場合にのみ、単純なフォームを使用します。 Username 型を [ UsernameType ] フィールドに格納します。 |
| UsernameType | 省略可能 | UsernameType | [Username]\(ユーザー名\) フィールドに格納されている ユーザー名 の種類を指定します。 |
| UserUPN、 WindowsUsername、 DNUsername、 SimpleUsername | 省略可能 | 文字列 | 元のイベントに複数のユーザー名が含まれている場合、追加のユーザー名を格納するために使用されるフィールド。 [Username]\(ユーザー名\) に格納されているプライマリ ユーザー名として、イベントに最も関連付けられているユーザー 名を選択します。 |
ユーザー名の種類に使用できる値は次のとおりです。
| 型 | 説明 | 例 |
|---|---|---|
| UPN | UPN または Email アドレス ユーザー名指定子。 | johndow@contoso.com |
| Windows | ドメインを含む Windows ユーザー名。 | Contoso\johndow |
| Dn | LDAP 識別名指定子。 | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| シンプル | ドメイン指定子のない単純なユーザー名。 | johndow |
| AWSId | AWS ユーザー ID。 | 72643944673 |
その他のユーザー フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| UserType | 省略可能 | UserType | ソース ユーザーの種類。 サポートされている値は、次のとおりです。 - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.値は、これらの値に正規化する必要がある異なる用語を使用して、ソース レコードに提供される場合があります。 OriginalUserType フィールドに元の値を格納します。 |
| OriginalUserType | 省略可能 | 文字列 | レポート デバイスによって指定された場合は、元の宛先ユーザーの種類。 |