Microsoft Sentinel kullanıcı yönetimi normalleştirme şeması başvurusu (önizleme)
Microsoft Sentinel kullanıcı yönetimi normalleştirme şeması, kullanıcı veya grup oluşturma, kullanıcı özniteliğini değiştirme veya gruba kullanıcı ekleme gibi kullanıcı yönetimi etkinliklerini açıklamak için kullanılır. Bu tür olaylar, örneğin işletim sistemleri, dizin hizmetleri, kimlik yönetim sistemleri ve yerel kullanıcı yönetimi etkinliğiyle ilgili diğer sistem raporlamaları tarafından bildirilir.
Microsoft Sentinel'de normalleştirme hakkında daha fazla bilgi için bkz . Normalleştirme ve Gelişmiş Güvenlik Bilgileri Modeli (ASIM).
Önemli
Kullanıcı yönetimi normalleştirme şeması şu anda önizleme aşamasındadır. Bu özellik, hizmet düzeyi sözleşmesi olmadan sağlanır. Üretim iş yükleri için önerilmez.
Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.
Şemaya genel bakış
ASIM kullanıcı yönetimi şeması, kullanıcı yönetimi etkinliklerini açıklar. Etkinlikler genellikle aşağıdaki varlıkları içerir:
- Aktör - Yönetim etkinliğini gerçekleştiren kullanıcı.
- Eylem süreci - aktör tarafından yönetim etkinliğini gerçekleştirmek için kullanılan işlem.
- Src - etkinlik ağ üzerinden gerçekleştirildiğinde etkinliğin başlatıldığı kaynak cihazdır.
- Hedef Kullanıcı - hesabı yönetilen kullanıcı.
- Hedef kullanıcının eklendiği veya kaldırıldığı ya da değiştirildiği grup .
UserCreated, GroupCreated, UserModified ve GroupModified* gibi bazı etkinlikler kullanıcı özelliklerini ayarlar veya güncelleştirir. Özellik kümesi veya güncelleştirilmiş aşağıdaki alanlarda belgelenmiştir:
- EventSubType - Ayarlanan veya güncelleştirilen değerin adı. UpdatedPropertyName, EventSubType ilgili olay türlerinden birine başvurduğunda EventSubType'ın diğer adıdır.
- PreviousPropertyValue - özelliğin önceki değeri.
- NewPropertyValue - özelliğin güncelleştirilmiş değeri.
Şema ayrıntıları
Ortak ASIM alanları
Önemli
Tüm şemalarda ortak olan alanlar ASIM Ortak Alanları makalesinde ayrıntılı olarak açıklanmıştır.
Belirli yönergelere sahip ortak alanlar
Aşağıdaki listede, işlem etkinliği olayları için belirli yönergelere sahip alanlardan bahsediliyor:
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| EventType | Zorunlu | Enumerated | Kayıt tarafından bildirilen işlemi açıklar. Kullanıcı Yönetimi etkinliği için desteklenen değerler şunlardır: - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| EventSubType | İsteğe bağlı | Enumerated | Aşağıdaki alt türler desteklenir: - UserRead: Parola, Karma- UserCreated, GroupCreated, UserModified, GroupModified. Daha fazla bilgi için bkz . UpdatedPropertyName |
| EventResult | Zorunlu | Enumerated | Hata mümkün olsa da çoğu sistem yalnızca başarılı kullanıcı yönetimi olaylarını bildirir. Başarılı olaylar için beklenen değer olur Success. |
| EventResultDetails | Önerilir | Enumerated | Geçerli değerler ve OtherşeklindedirNotAuthorized. |
| EventSeverity | Zorunlu | Enumerated | Geçerli önem derecesi değerlerine izin verilse de, kullanıcı yönetimi olaylarının önem derecesi genellikle Informationalolur. |
| EventSchema | Zorunlu | String | Burada belgelenen şemanın adıdır UserManagement. |
| EventSchemaVersion | Zorunlu | String | Şema sürümü. Şemanın burada belgelenen sürümüdür 0.1.1. |
| Dvc alanları | Kullanıcı yönetimi olayları için cihaz alanları olayı bildiren sisteme bakın. Bu genellikle kullanıcının yönetildiği sistemdir. |
Tüm ortak alanlar
Aşağıdaki tabloda görünen alanlar tüm ASIM şemalarında ortaktır. Yukarıda belirtilen tüm yönergeler, alanın genel yönergelerini geçersiz kılar. Örneğin, bir alan genel olarak isteğe bağlı olabilir, ancak belirli bir şema için zorunlu olabilir. Her alan hakkında daha fazla ayrıntı için ASIM Ortak Alanları makalesine bakın.
| Sınıf | Alanlar |
|---|---|
| Zorunlu | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Önerilir | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| İsteğe bağlı | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - EkAlanlar - DvcDescription - DvcScopeId - DvcScope |
Özellik alanları güncelleştirildi
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| UpdatedPropertyName | Diğer ad | Olay Türü , , GroupCreatedUserModifiedveya GroupModifiedolduğunda UserCreatedEventSubType'ın diğer adı.Desteklenen değerler şunlardır: - MultipleProperties: Etkinlik birden çok özelliği güncelleştirdiğinde kullanılır- Previous<PropertyName>, burada <PropertyName> için UpdatedPropertyNamedesteklenen değerlerden biridir. - New<PropertyName>, burada <PropertyName> için UpdatedPropertyNamedesteklenen değerlerden biridir. |
|
| PreviousPropertyValue | İsteğe bağlı | String | Belirtilen özellikte depolanan önceki değer. |
| NewPropertyValue | İsteğe bağlı | String | Belirtilen özellikte depolanan yeni değer. |
Hedef kullanıcı alanları
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| TargetUserId | İsteğe bağlı | String | Makine tarafından okunabilir, alfasayısal, hedef kullanıcının benzersiz gösterimi. Desteklenen biçimler ve türler şunlardır: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra Id): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Kimlik türünü TargetUserIdType alanında depolayın. Başka kimlikler varsa, alan adlarını sırasıyla TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId ve TargetUserAwsId olarak normalleştirmenizi öneririz. Daha fazla bilgi için bkz . Kullanıcı varlığı. Örnek: S-1-12 |
| TargetUserIdType | İsteğe bağlı | Enumerated | TargetUserId alanında depolanan kimliğin türü. Desteklenen değerler , , UIDAADID, OktaIdve AWSIddeğerleridirSID. |
| TargetUsername | İsteğe bağlı | String | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef kullanıcı adı. Aşağıdaki biçimlerden birini ve aşağıdaki öncelik sırasına göre kullanın: - Upn/E-posta: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Basit: johndow. Basit formu yalnızca etki alanı bilgileri kullanılamıyorsa kullanın.Kullanıcı adı türünü TargetUsernameType alanında depolayın. Başka kimlikler varsa, alan adlarını TargetUserUpn, TargetUserWindows ve TargetUserDn olarak normalleştirmenizi öneririz. Daha fazla bilgi için bkz . Kullanıcı varlığı. Örnek: AlbertE |
| TargetUsernameType | İsteğe bağlı | Enumerated | TargetUsername alanında depolanan kullanıcı adının türünü belirtir. Desteklenen değerler , , WindowsDNve Simpledeğerlerini içerirUPN. Daha fazla bilgi için bkz . Kullanıcı varlığı.Örnek: Windows |
| TargetUserType | İsteğe bağlı | Enumerated | Hedef kullanıcının türü. Desteklenen değerler şunlardır: - Regular- Machine- Admin- System- Application- Service Principal- OtherNot: Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değer bu değerlere normalleştirilmelidir. Özgün değeri TargetOriginalUserType alanında depolayın. |
| TargetOriginalUserType | İsteğe bağlı | String | Kaynak tarafından sağlanmışsa özgün hedef kullanıcı türü. |
Aktör alanları
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| ActorUserId | İsteğe bağlı | String | Aktör'ün makine tarafından okunabilir, alfasayısal, benzersiz bir gösterimi. Desteklenen biçimler ve türler şunlardır: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra Id): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Kimlik türünü ActorUserIdType alanında depolayın. Başka kimlikler varsa, alan adlarını sırasıyla ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId ve ActorAwsId olarak normalleştirmenizi öneririz. Daha fazla bilgi için bkz . Kullanıcı varlığı. Örnek: S-1-12 |
| ActorUserIdType | İsteğe bağlı | Enumerated | ActorUserId alanında depolanan kimliğin türü. Desteklenen değerler , , UID, AADIDOktaIdve AWSIddeğerlerini içerirSID. |
| ActorUsername | Zorunlu | String | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere Aktör kullanıcı adı. Aşağıdaki biçimlerden birini ve aşağıdaki öncelik sırasına göre kullanın: - Upn/E-posta: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Basit: johndow. Basit formu yalnızca etki alanı bilgileri kullanılamıyorsa kullanın.Kullanıcı adı türünü ActorUsernameType alanında depolayın. Başka kimlikler varsa, alan adlarını ActorUserUpn, ActorUserWindows ve ActorUserDn olarak normalleştirmenizi öneririz. Daha fazla bilgi için bkz . Kullanıcı varlığı. Örnek: AlbertE |
| Kullanıcı | Diğer ad | ActorUsername'in diğer adı. | |
| ActorUsernameType | Zorunlu | Enumerated | ActorUsername alanında depolanan kullanıcı adının türünü belirtir. Desteklenen değerler , Windows, DNve SimpledeğerleridirUPN. Daha fazla bilgi için bkz . Kullanıcı varlığı.Örnek: Windows |
| ActorUserType | İsteğe bağlı | Enumerated | Aktör türü. İzin verilen değerler şunlardır: - Regular- Machine- Admin- System- Application- Service Principal- OtherNot: Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değer bu değerlere normalleştirilmelidir. Özgün değeri ActorOriginalUserType alanında depolayın. |
| ActorOriginalUserType | Kaynak tarafından sağlanmışsa özgün aktör kullanıcı türü. | ||
| ActorSessionId | İsteğe bağlı | String | Aktör oturum açma oturumunun benzersiz kimliği. Örnek: 999Not: Tür, çeşitli sistemleri desteklemek için dize olarak tanımlanır, ancak Windows'ta bu değer sayısal olmalıdır. Windows makinesi kullanıyorsanız ve farklı bir tür kullandıysanız, değerleri dönüştürdüğünüzden emin olun. Örneğin, onaltılık bir değer kullandıysanız, bunu ondalık değere dönüştürün. |
Alanları gruplandırma
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| GroupId | İsteğe bağlı | String | Bir grupla ilgili etkinlikler için makine tarafından okunabilir, alfasayısal, grubun benzersiz gösterimi. Desteklenen biçimler ve türler şunlardır: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578Kimlik türünü GroupIdType alanında depolayın. Başka kimlikler varsa, alan adlarını sırasıyla GroupSid veya GroupUid olarak normalleştirmenizi öneririz. Daha fazla bilgi için bkz . Kullanıcı varlığı. Örnek: S-1-12 |
| GroupIdType | İsteğe bağlı | Enumerated | GroupId alanında depolanan kimliğin türü. Desteklenen değerler ve UIDdeğerleridirSID. |
| GroupName | İsteğe bağlı | String | Bir grupla ilgili etkinlikler için kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere grup adı. Aşağıdaki biçimlerden birini ve aşağıdaki öncelik sırasına göre kullanın: - Upn/E-posta: grp@contoso.com- Windows: Contoso\grp- DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM- Basit: grp. Basit formu yalnızca etki alanı bilgileri kullanılamıyorsa kullanın.Grup adı türünü GroupNameType alanında depolayın. Başka kimlikler varsa, alan adlarını GroupUpn, GorupNameWindows ve GroupDn olarak normalleştirmenizi öneririz. Örnek: Contoso\Finance |
| GroupNameType | İsteğe bağlı | Enumerated | GroupName alanında depolanan grup adının türünü belirtir. Desteklenen değerler , , WindowsDNve Simpledeğerlerini içerirUPN.Örnek: Windows |
| GroupType | İsteğe bağlı | Enumerated | Bir grupla ilgili etkinlikler için grubun türü. Desteklenen değerler şunlardır: - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- OtherNot: Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değer bu değerlere normalleştirilmelidir. Özgün değeri GroupOriginalType alanında depolayın. |
| GroupOriginalType | İsteğe bağlı | String | Kaynak tarafından sağlanmışsa özgün grup türü. |
Kaynak alanlar
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| Src | Önerilir | String | Kaynak cihazın benzersiz tanımlayıcısı. Bu alan SrcDvcId, SrcHostname veya SrcIpAddr alanlarının diğer adını alabilir. Örnek: 192.168.12.1 |
| SrcIpAddr | Önerilir | IP Adresi | Kaynak cihazın IP adresi. SrcHostname belirtilirse bu değer zorunludur. Örnek: 77.138.103.108 |
| IpAddr | Diğer ad | SrcIpAddr diğer adı. | |
| SrcHostname | Önerilir | String | Etki alanı bilgileri hariç kaynak cihaz ana bilgisayar adı. Örnek: DESKTOP-1282V4D |
| SrcDomain | Önerilir | String | Kaynak cihazın etki alanı. Örnek: Contoso |
| SrcDomainType | Önerilir | Enumerated | Biliniyorsa SrcDomain türü. Olası değerler arasında şunlar bulunur: - Windows (örneğin contoso)- FQDN (örneğin microsoft.com)SrcDomain kullanılıyorsa gereklidir. |
| SrcFQDN | İsteğe bağlı | String | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak cihaz ana bilgisayar adı. Not: Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. SrcDomainType alanı kullanılan biçimi yansıtır. Örnek: Contoso\DESKTOP-1282V4D |
| SrcDvcId | İsteğe bağlı | String | Kayıtta bildirilen kaynak cihazın kimliği. Örnek: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | İsteğe bağlı | String | Cihazın ait olduğu bulut platformu kapsam kimliği. SrcDvcScopeId , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| SrcDvcScope | İsteğe bağlı | String | Cihazın ait olduğu bulut platformu kapsamı. SrcDvcScope , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| SrcDvcIdType | İsteğe bağlı | Enumerated | Biliniyorsa SrcDvcId türü. Olası değerler arasında şunlar bulunur: - AzureResourceId- MDEidBirden çok kimlik varsa, önceki listeden ilk kimlikleri kullanın ve diğerlerini sırasıyla SrcDvcAzureResourceId ve SrcDvcMDEid'de depolayın. Not: SrcDvcId kullanılıyorsa bu alan gereklidir. |
| SrcDeviceType | İsteğe bağlı | Enumerated | Kaynak cihazın türü. Olası değerler arasında şunlar bulunur: - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | İsteğe bağlı | Ülke | Kaynak IP adresiyle ilişkili ülke. Örnek: USA |
| SrcGeoRegion | İsteğe bağlı | Bölge | Kaynak IP adresiyle ilişkilendirilmiş bölge. Örnek: Vermont |
| SrcGeoCity | İsteğe bağlı | City | Kaynak IP adresiyle ilişkili şehir. Örnek: Burlington |
| SrcGeoLatitude | İsteğe bağlı | Enlem | Kaynak IP adresiyle ilişkili coğrafi koordinatın enlemi. Örnek: 44.475833 |
| SrcGeoLongitude | İsteğe bağlı | Boylam | Kaynak IP adresiyle ilişkili coğrafi koordinatın boylamı. Örnek: 73.211944 |
Uygulama Harekete Geçirme
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| ActingAppId | İsteğe bağlı | String | İşlem, tarayıcı veya hizmet de dahil olmak üzere etkinliği gerçekleştirmek için aktör tarafından kullanılan uygulamanın kimliği. Örneğin: 0x12ae8 |
| ActingAppName | İsteğe bağlı | String | İşlem, tarayıcı veya hizmet de dahil olmak üzere etkinliği gerçekleştirmek için aktör tarafından kullanılan uygulamanın adı. Örneğin: C:\Windows\System32\svchost.exe |
| ActingAppType | İsteğe bağlı | Enumerated | Eylem uygulama türü. Desteklenen değerler şunlardır: - Process - Browser - Resource - Other |
| HttpUserAgent | İsteğe bağlı | String | Kimlik doğrulaması HTTP veya HTTPS üzerinden gerçekleştirildiğinde, bu alanın değeri, kimlik doğrulamasını gerçekleştirirken eylem yapan uygulama tarafından sağlanan user_agent HTTP üst bilgisidir. Örneğin: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Ek alanlar ve diğer adlar
| Alan | Sınıf | Type | Açıklama |
|---|---|---|---|
| Ana Bilgisayar Adı | Diğer ad | DvcHostname diğer adı. |
Sonraki adımlar
Daha fazla bilgi için bkz.
- ASIM Web seminerini izleyin veya slaytları gözden geçirin
- Gelişmiş Güvenlik Bilgileri Modeline (ASIM) genel bakış
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) içeriği