Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Brukere er sentrale for aktiviteter som rapporteres av hendelser. Brukerenhetsfeltene som er oppført i denne delen, brukes til å beskrive brukerne som er involvert i handlingen. Når det brukes i en hendelse, brukes prefikser til å angi rollen til en brukerenhet i aktiviteten. Prefiksene Src og Dst brukes til å angi brukerrollen i nettverksrelaterte hendelser, der et kildesystem og et målsystem kommuniserer. Prefiksene Aktør og Mål brukes for systemorienterte hendelser, for eksempel prosesshendelser.
Bruker-ID-en og omfanget
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| Brukerid | Valgfri | Streng | En maskinlesbar, alfanumerisk, unik representasjon av brukeren. |
| UserScope | Valgfri | Streng | Omfanget som UserId og Username er definert i. For eksempel et Microsoft Entra leierdomenenavn. UserIdType-feltet representerer også typen som er tilknyttet dette feltet. |
| UserScopeId | Valgfri | Streng | ID-en for omfanget der UserId og Brukernavn er definert. For eksempel en Microsoft Entra katalog-ID for leier. UserIdType-feltet representerer også typen som er tilknyttet dette feltet. |
| UserIdType | Valgfri | UserIdType | Typen ID som er lagret i UserId-feltet . |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | Valgfri | Streng | Felt som brukes til å lagre bestemte bruker-ID-er. Velg IDen som er mest knyttet til hendelsen, som den primære ID-en som er lagret i UserId. Fyll ut det relevante bestemte ID-feltet, i tillegg til UserId, selv om hendelsen bare har én ID. |
| UserAADTenant, UserAWSAccount | Valgfri | Streng | Felt som brukes til å lagre bestemte omfang. Bruk UserScope-feltet for omfanget som er knyttet til IDen som er lagret i UserId-feltet . Fyll ut det relevante spesifikke omfangsfeltet, i tillegg til UserScope, selv om hendelsen bare har én ID. |
De tillatte verdiene for en bruker-ID-type er:
| Type: | Beskrivelse | Eksempel |
|---|---|---|
| SID | En Windows-bruker-ID. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | En Linux bruker-ID. | 4578 |
| AADID | En Microsoft Entra bruker-ID. | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| OktaId | En OKTA-bruker-ID. | 00urjk4znu3BcncfY0h7 |
| AWSId | En AWS-bruker-ID. | 72643944673 |
| PUID | En Bruker-ID for Microsoft 365. | 10032001582F435C |
| SalesforceId | En Salesforce-bruker-ID. | 00530000009M943 |
Brukernavnet
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| Brukernavn | Valgfri | Streng | Kildebrukernavnet, inkludert domeneinformasjon når tilgjengelig. Bruk bare det enkle skjemaet hvis domeneinformasjon ikke er tilgjengelig. Lagre brukernavntypen i UsernameType-feltet . |
| UsernameType | Valgfri | UsernameType | Angir typen brukernavn som er lagret i Brukernavn-feltet . |
| UserUPN, WindowsUsername, DNUsername, SimpleUsername | Valgfri | Streng | Felt som brukes til å lagre flere brukernavn, hvis den opprinnelige hendelsen inneholder flere brukernavn. Velg brukernavnet som er mest knyttet til hendelsen, som det primære brukernavnet som er lagret i brukernavnet. |
De tillatte verdiene for en brukernavntype er:
| Type: | Beskrivelse | Eksempel |
|---|---|---|
| UPN | En UPN- eller brukernavnutforming for e-postadresse. | johndow@contoso.com |
| Windows | Et Windows-brukernavn, inkludert et domene. | Contoso\johndow |
| DN | En unik navneutforming for LDAP. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| Enkel | Et enkelt brukernavn uten en domeneutforming. | johndow |
| AWSId | En AWS-bruker-ID. | 72643944673 |
Flere brukerfelt
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| UserType | Valgfri | UserType | Typen kildebruker. Støttede verdier inkluderer: - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.Verdien kan angis i kildeposten ved hjelp av ulike termer, som skal normaliseres til disse verdiene. Lagre den opprinnelige verdien i OriginalUserType-feltet . |
| OriginalUserType | Valgfri | Streng | Den opprinnelige målbrukertypen, hvis den leveres av rapporteringsenheten. |