你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

ASIM) 用户实体 (高级安全信息模型

用户是事件报告的活动的核心。 本部分中列出的用户实体字段用于描述操作所涉及的用户。 在事件中使用时,前缀用于指定用户实体在活动中的角色。 前缀 SrcDst 用于指定网络相关事件中的用户角色,源系统和目标系统在其中进行通信。 前缀“Actor”和“Target”用于面向系统的事件,例如进程事件。

用户 ID 和范围

字段 类型 说明
UserId 可选 String 用户的计算机可读字母数字唯一表示形式。
UserScope 可选 string 定义 UserId用户名 的范围。 例如,Microsoft Entra租户域名。 UserIdType 字段也表示与此字段关联的 的类型。
UserScopeId 可选 string 定义 UserId 和 Username 的范围的 ID。 例如,Microsoft Entra租户目录 ID。 UserIdType 字段也表示与此字段关联的 的类型。
UserIdType 可选 UserIdType 存储在 UserId 字段中的 ID 的类型。
UserSidUserUidUserAadIdUserOktaIdUserAWSIdUserPuid 可选 String 用于存储特定用户 ID 的字段。 选择与事件最关联的 ID 作为 存储在 UserId 中的主 ID。 除了 UserId 之外,填充相关的特定 ID 字段,即使事件只有一个 ID。
UserAADTenantUserAWSAccount 可选 String 用于存储特定范围的字段。 将 UserScope 字段用于与 UserId 字段中存储的 ID 关联的范围。 除了 UserScope 之外,填充相关的特定范围字段,即使事件只有一个 ID。

用户 ID 类型的允许值为:

类型 说明 示例
SID Windows 用户 ID。 S-1-5-21-1377283216-344919071-3415362939-500
UID Linux用户 ID。 4578
AADID Microsoft Entra用户 ID。 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
OktaId Okta 用户 ID。 00urjk4znu3BcncfY0h7
AWSId AWS 用户 ID。 72643944673
PUID Microsoft 365 用户 ID。 10032001582F435C
SalesforceId Salesforce 用户 ID。 00530000009M943

用户名

字段 类型 说明
用户 可选 String 源用户名,包括域信息(如果可用)。 仅当域信息不可用时,才使用简单表单。 将“用户名类型”存储在“ UsernameType” 字段中。
UsernameType 可选 UsernameType 指定存储在“用户名”字段中的 用户名 的类型。
UserUPNWindowsUsernameDNUsernameSimpleUsername 可选 String 如果原始事件包含多个用户名,则用于存储其他用户名的字段。 选择与事件最关联的用户名作为存储在“ 用户名”中的主用户名。

用户名类型的允许值为:

类型 说明 示例
Upn UPN 或 Email 地址用户名指示符。 johndow@contoso.com
Windows 包含域的 Windows 用户名。 Contoso\johndow
Dn LDAP 可分辨名称指示符。 CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
简单 不带域指示符的简单用户名。 johndow
AWSId AWS 用户 ID。 72643944673

其他用户字段

字段 类型 说明
UserType 可选 UserType 源用户的类型。 支持的值包括:
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Service
- Anonymous
- Other.

可以通过使用不同的术语在源记录中提供该值,这些术语应规范化为这些值。 将原始值存储在 OriginalUserType 字段中。
OriginalUserType 可选 String 原始目标用户类型(如果由报告设备提供)。
  • Last updated on