你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel用户管理规范化架构用于描述用户管理活动,例如创建用户或组、更改用户属性或将用户添加到组。 例如,由操作系统、目录服务、标识管理系统以及报告其本地用户管理活动的任何其他系统报告此类事件。
有关Microsoft Sentinel规范化的详细信息,请参阅规范化和高级安全信息模型 (ASIM) 。
架构概述
ASIM 用户管理架构描述用户管理活动。 活动通常包括以下实体:
- Actor - 执行管理活动的用户。
- 代理进程 - 执行组件用于执行管理活动的过程。
- Src - 通过网络执行活动时,即从中启动活动的源设备。
- 目标用户 - 管理帐户的用户。
- 对 目标用户进行添加、删除或正在修改的分组。
某些活动(如 UserCreated、 GroupCreated、 UserModified 和 GroupModified*)设置或更新用户属性。 属性集或更新记录在以下字段中:
- EventSubType - 已设置或更新的值的名称。 当 EventSubType 引用相关事件类型之一时,UpdatedPropertyName 是 EventSubType 的别名。
- PreviousPropertyValue - 属性的上一个值。
- NewPropertyValue - 属性的更新值。
解析 器
有关 ASIM 分析程序的详细信息,请参阅 ASIM 分析程序概述。
筛选分析程序参数
用户管理分析程序支持 筛选参数。 虽然这些参数是可选的,但它们可以提高查询性能。
以下筛选参数可用:
| 名称 | 类型 | 说明 |
|---|---|---|
| starttime | datetime | 仅筛选在此时间或之后发生的用户管理事件。 此参数筛选 TimeGenerated 字段,该字段是事件时间的标准指示符,而不考虑 EventStartTime 和 EventEndTime 字段的特定于分析器的映射。 |
| endtime | datetime | 仅筛选在此时间或之前发生的用户管理事件。 此参数筛选 TimeGenerated 字段,该字段是事件时间的标准指示符,而不考虑 EventStartTime 和 EventEndTime 字段的特定于分析器的映射。 |
| srcipaddr_has_any_prefix | 动态 | 仅筛选源 IP 地址前缀与任何列出的值匹配的用户管理事件。 前缀应以 .结尾,例如: 10.0.。 |
| targetusername_has_any | 动态 | 仅筛选目标用户名具有任何所列值的用户管理事件。 |
| actorusername_has_any | 动态 | 仅筛选参与者用户名具有任何所列值的用户管理事件。 |
| eventtype_in | 动态 | 仅筛选事件类型为所列值之一的用户管理事件,例如 UserCreated、 UserDeleted、 UserModified、 PasswordChanged或 GroupCreated。 |
例如,若要仅筛选最后一天的用户创建事件,请使用:
_Im_UserManagement (eventtype_in=dynamic(['UserCreated']), starttime = ago(1d), endtime=now())
架构详细信息
常见 ASIM 字段
重要
ASIM 通用字段一文中详细介绍了所有架构通用的字段。
具有特定准则的通用字段
以下列表提到了具有处理活动事件特定准则的字段:
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| EventType | 强制 | 枚举 | 描述记录报告的操作。 对于用户管理活动,支持的值为: - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| EventSubType | 可选 | 枚举 | 支持以下子类型: - UserRead:密码、哈希- UserCreated, GroupCreated, UserModified, GroupModified. 有关详细信息,请参阅 UpdatedPropertyName |
| EventResult | 强制 | 枚举 | 虽然可能会失败,但大多数系统只报告成功的用户管理事件。 成功事件 Success的预期值为 。 |
| EventResultDetails | 建议 | 枚举 | 有效值为 NotAuthorized 和 Other。 |
| EventSeverity | 强制 | 枚举 | 虽然允许任何有效的严重性值,但用户管理事件的严重性通常是 Informational。 |
| EventSchema | 强制 | 枚举 | 此处记录的架构的名称为 UserManagement。 |
| EventSchemaVersion | 强制 | SchemaVersion (String) | 架构的版本。 此处记录的架构版本为 0.1.2。 |
| Dvc 字段 | 对于用户管理事件,设备字段是指报告事件的系统。 这通常是管理用户的系统。 |
所有常见字段
下表中显示的字段对所有 ASIM 架构都是通用的。 上面指定的任何准则都覆盖字段的一般准则。 例如,字段通常可能是可选的,但对于特定架构是必需的。 有关每个字段的更多详细信息,请参阅 ASIM 通用字段 一文。
| 类 | Fields |
|---|---|
| 强制 |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| 建议 |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| 可选 |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
更新的属性字段
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| UpdatedPropertyName | 别名 | 当事件类型为 UserCreated、GroupCreated、 UserModified或 GroupModified时 EventSubType 的别名。支持的值为: - MultipleProperties:在活动更新多个属性时使用- Previous<PropertyName>,其中 <PropertyName> 是 支持的值 UpdatedPropertyName之一。 - New<PropertyName>,其中 <PropertyName> 是 支持的值 UpdatedPropertyName之一。 |
|
| PreviousPropertyValue | 可选 | String | 存储在指定属性中的上一个值。 |
| NewPropertyValue | 可选 | String | 存储在指定属性中的新值。 |
目标用户字段
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| TargetUserId | 可选 | String | 目标用户的计算机可读字母数字唯一表示形式。 支持的格式和类型包括: - SID (Windows) : S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux) : 4578- AADID (Microsoft Entra ID) : 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673将 ID 类型存储在 TargetUserIdType 字段中。 如果其他 ID 可用,建议将字段名称分别规范化为 TargetUserSid、 TargetUserUid、 TargetUserAADID、 TargetUserOktaId 和 TargetUserAwsId。 有关详细信息,请参阅 用户实体。 例如: S-1-12 |
| TargetUserIdType | 条件 | 枚举 |
存储在 TargetUserId 字段中的 ID 的类型。 支持的值为 SID、、UID、AADIDOktaId、 和 AWSId。 |
| TargetUsername | 可选 | 用户名 (字符串) | 目标用户名,包括域信息(如果有)。 使用以下格式之一,并按以下优先级顺序使用: - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- 简单: johndow。 仅当域信息不可用时,才使用简单窗体。将“用户名”类型存储在 TargetUsernameType 字段中。 如果其他 ID 可用,建议将字段名称规范化为 TargetUserUpn、 TargetUserWindows 和 TargetUserDn。 有关详细信息,请参阅 用户实体。 例如: AlbertE |
| TargetUsernameType | 条件 | 枚举 | 指定 存储在 TargetUsername 字段中的用户名的类型。 支持的值包括 UPN、 Windows、 DN和 Simple。 有关详细信息,请参阅 用户实体。例如: Windows |
| TargetUserType | 可选 | 枚举 | 目标用户的类型。 支持的值包括: - Regular- Machine- Admin- System- Application- Service Principal- Other注意:可以使用不同的术语在源记录中提供该值,这些术语应规范化为这些值。 将原始值存储在 TargetOriginalUserType 字段中。 |
| TargetOriginalUserType | 可选 | String | 原始目标用户类型(如果由源提供)。 |
| TargetUserScope | 可选 | String | 定义 TargetUserId 和 TargetUsername 的范围,例如Microsoft Entra租户。 有关详细信息和允许的值列表,请参阅架构概述一文中的 UserScope。 |
| TargetUserScopeId | 可选 | String | 范围 ID,如 Microsoft Entra 目录 ID,其中定义了 TargetUserId 和 TargetUsername。 有关详细信息和允许的值列表,请参阅架构概述一文中的 UserScopeId。 |
| TargetUserSessionId | 可选 | String | 目标用户的登录会话的唯一 ID。 例如: 999 注意:类型定义为 字符串 以支持不同的系统,但在 Windows 上,此值必须是数值。 如果你使用的是 Windows 或 Linux 计算机,并且使用了其他类型,请确保转换值。 例如,如果使用了十六进制值,请将其转换为十进制值。 |
执行组件字段
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| ActorUserId | 可选 | String | Actor 的计算机可读字母数字唯一表示形式。 支持的格式和类型包括: - SID (Windows) : S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux) : 4578- AADID (Microsoft Entra ID) : 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673将 ID 类型存储在 ActorUserIdType 字段中。 如果其他 ID 可用,建议将字段名称规范化为 ActorUserSid、 ActorUserUid、 ActorUserAadId、 ActorUserOktaId 和 ActorAwsId。 有关详细信息,请参阅 用户实体。 示例:S-1-12 |
| ActorUserIdType | 条件 | 枚举 |
存储在 ActorUserId 字段中的 ID 的类型。 支持的值包括 SID、、UID、 AADIDOktaId和 AWSId。 |
| ActorUsername | 强制 | 用户名 (字符串) | 执行组件用户名,包括域信息(如果可用)。 使用以下格式之一,并按以下优先级顺序使用: - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- 简单: johndow。 仅当域信息不可用时,才使用简单窗体。将“用户名”类型存储在 ActorUsernameType 字段中。 如果其他 ID 可用,建议将字段名称规范化为 ActorUserUpn、 ActorUserWindows 和 ActorUserDn。 有关详细信息,请参阅 用户实体。 例如: AlbertE |
| 用户 | 别名 | ActorUsername 的别名。 | |
| ActorUsernameType | 条件 | 枚举 | 指定 存储在 ActorUsername 字段中的用户名的类型。 支持的值为 UPN、 Windows、 DN和 Simple。 有关详细信息,请参阅 用户实体。例如: Windows |
| ActorUserType | 可选 | 枚举 | Actor 的类型。 允许的值包括: - Regular- Machine- Admin- System- Application- Service Principal- Other注意:可以使用不同的术语在源记录中提供该值,这些术语应规范化为这些值。 将原始值存储在 ActorOriginalUserType 字段中。 |
| ActorOriginalUserType | 可选 | String | 原始目标用户类型(如果由报告设备提供)。 |
| ActorOriginalUserType | 原始执行组件用户类型(如果由源提供)。 | ||
| ActorSessionId | 可选 | String | 执行组件登录会话的唯一 ID。 例如: 999注意:类型定义为 字符串 以支持不同的系统,但在 Windows 上,此值必须是数值。 如果你使用的是 Windows 计算机并使用了其他类型,请确保转换值。 例如,如果使用了十六进制值,请将其转换为十进制值。 |
| ActorScope | 可选 | String | 定义 ActorUserId 和 ActorUsername 的范围,例如Microsoft Entra租户。 有关详细信息和允许的值列表,请参阅架构概述一文中的 UserScope。 |
| ActorScopeId | 可选 | String | 范围 ID,例如Microsoft Entra目录 ID,其中定义了 ActorUserId 和 ActorUsername。 或者,有关详细信息和允许的值列表,请参阅架构概述一文中的 UserScopeId。 |
组字段
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| GroupId | 可选 | String | 组的计算机可读字母数字唯一表示形式,用于涉及组的活动。 支持的格式和类型包括: - SID (Windows) : S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux) : 4578将 ID 类型存储在 GroupIdType 字段中。 如果其他 ID 可用,建议将字段名称分别规范化为 GroupSid 或 GroupUid。 有关详细信息,请参阅 用户实体。 例如: S-1-12 |
| GroupIdType | 可选 | 枚举 |
存储在 GroupId 字段中的 ID 的类型。 支持的值为 SID、 和 UID。 |
| GroupName | 可选 | String | 涉及组的活动的组名称,包括域信息(如果有)。 使用以下格式之一,并按以下优先级顺序使用: - Upn/Email: grp@contoso.com- Windows: Contoso\grp- DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM- 简单: grp。 仅当域信息不可用时,才使用简单窗体。将组名称类型存储在 GroupNameType 字段中。 如果其他 ID 可用,建议将字段名称规范化为 GroupUpn、 GroupNameWindows 和 GroupDn。 例如: Contoso\Finance |
| GroupNameType | 可选 | 枚举 | 指定存储在 GroupName 字段中的组名称 的类型。 支持的值包括 UPN、 Windows、 DN和 Simple。例如: Windows |
| GroupType | 可选 | 枚举 | 组的类型,用于涉及组的活动。 支持的值包括: - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- Other注意:可以使用不同的术语在源记录中提供该值,这些术语应规范化为这些值。 将原始值存储在 GroupOriginalType 字段中。 |
| GroupOriginalType | 可选 | String | 原始组类型(如果由源提供)。 |
源字段
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| Src | 建议 | String | 源设备的唯一标识符。 此字段可能会对 SrcDvcId、 SrcHostname 或 SrcIpAddr 字段进行别名。 例如: 192.168.12.1 |
| SrcIpAddr | 建议 | IP 地址 | 源设备的 IP 地址。 如果指定 了 SrcHostname ,则此值是必需的。 例如: 77.138.103.108 |
| IpAddr | 别名 | SrcIpAddr 的别名。 | |
| SrcPortNumber | 可选 | 整数 | 发起连接的 IP 端口。 可能与包含多个连接的会话无关。 例如: 2335 |
| SrcMacAddr | 可选 | MAC 地址 (字符串) | 发起连接或会话的网络接口的 MAC 地址。 例如: 06:10:9f:eb:8f:14 |
| SrcDescription | 可选 | String | 与设备关联的描述性文本。 例如:Primary Domain Controller。 |
| SrcHostname | 建议 | String | 源设备主机名,不包括域信息。 例如: DESKTOP-1282V4D |
| SrcDomain | 建议 | 域 (字符串) | 源设备的域。 例如: Contoso |
| SrcDomainType | 建议 | 枚举 |
SrcDomain 的类型(如果已知)。 可能的值包括: - Windows (,例如 contoso)- FQDN (,例如 microsoft.com)如果使用 SrcDomain, 则是必需的。 |
| SrcFQDN | 可选 | FQDN (字符串) | 源设备主机名,包括域信息(如果有)。 注意:此字段支持传统的 FQDN 格式和 Windows 域\主机名格式。 SrcDomainType 字段反映所使用的格式。 例如: Contoso\DESKTOP-1282V4D |
| SrcDvcId | 可选 | String | 记录中报告的源设备的 ID。 例如: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 可选 | String | 设备所属的云平台范围 ID。 SrcDvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
| SrcDvcScope | 可选 | String | 设备所属的云平台范围。 SrcDvcScope 映射到 Azure 上的订阅 ID,以及 AWS 上的帐户 ID。 |
| SrcDvcIdType | 条件 | 枚举 |
SrcDvcId 的类型(如果已知)。 可能的值包括: - AzureResourceId- MDEid如果有多个 ID 可用,请使用前面列表中的第一个 ID,并将其他 ID 分别存储在 SrcDvcAzureResourceId 和 SrcDvcMDEid 中。 注意:如果使用 SrcDvcId ,则需要此字段。 |
| SrcDeviceType | 可选 | 枚举 | 源设备的类型。 可能的值包括: - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | 可选 | 国家/地区 | 与源 IP 地址关联的国家/地区。 例如: USA |
| SrcGeoRegion | 可选 | 地区 | 与源 IP 地址关联的区域。 例如: Vermont |
| SrcGeoCity | 可选 | 市/县 | 与源 IP 地址关联的城市。 例如: Burlington |
| SrcGeoLatitude | 可选 | Latitude | 与源 IP 地址关联的地理坐标的纬度。 例如: 44.475833 |
| SrcGeoLongitude | 可选 | Longitude | 与源 IP 地址关联的地理坐标的经度。 例如: 73.211944 |
| SrcRiskLevel | 可选 | 整数 | 与源关联的风险级别。 值应调整为 范围,0设置为 ,并0针对良性和100100高风险。例如: 90 |
| SrcOriginalRiskLevel | 可选 | String | 与源关联的风险级别,由报告设备报告。 例如: Suspicious |
代理应用程序
检查字段
以下字段用于表示安全系统(如 EDR 系统)执行的检查。
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| RuleName | 可选 | String | 与检查结果关联的规则的名称或 ID。 |
| RuleNumber | 可选 | 整数 | 与检查结果关联的规则编号。 |
| Rule | 条件 | String | kRuleName 的值或 RuleNumber 的值。 如果使用 RuleNumber 的值,则类型应转换为字符串。 |
| ThreatId | 可选 | String | 文件活动中标识的威胁或恶意软件的 ID。 |
| ThreatName | 可选 | String | 文件活动中标识的威胁或恶意软件的名称。 例如: EICAR Test File |
| ThreatCategory | 可选 | String | 文件活动中标识的威胁或恶意软件的类别。 例如: Trojan |
| ThreatRiskLevel | 可选 | RiskLevel (整数) | 与标识的威胁关联的风险级别。 级别应为 介于 0 和 100 之间的数字。 注意:可以使用其他比例在源记录中提供该值,应将其规范化为此比例。 原始值应存储在 ThreatOriginalRiskLevel 中。 |
| ThreatOriginalRiskLevel | 可选 | String | 报告设备报告的风险级别。 |
| ThreatField | 可选 | String | 已识别威胁的字段。 |
| ThreatConfidence | 可选 | ConfidenceLevel (Integer) | 所识别的威胁的置信度,规范化为介于 0 和 100 之间的值。 |
| ThreatOriginalConfidence | 可选 | String | 已识别的威胁的原始置信度,由报告设备报告。 |
| ThreatIsActive | 可选 | 布尔值 | 如果确定的威胁被视为活动威胁,则为 True。 |
| ThreatFirstReportedTime | 可选 | datetime | 首次将 IP 地址或域标识为威胁。 |
| ThreatLastReportedTime | 可选 | datetime | 上次将 IP 地址或域标识为威胁的时间。 |
其他字段和别名
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| 主机 名 | 别名 | DvcHostname 的别名。 |
架构更新
架构版本 0.1.2 中的更改如下:
- 添加了检查字段。
- 添加了源字段
SrcDescription、、SrcMacAddr、SrcOriginalRiskLevelSrcPortNumber、SrcRiskLevel、 - 添加了目标字段
TargetUserScope、TargetUserScopeId、TargetUserSessionId - 添加了执行组件字段
ActorOriginalUserType、ActorScope、ActorScopeId - 添加了代理应用程序字段
ActingOriginalAppType
后续步骤
有关更多信息,请参阅: