Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Benutzer sind von zentraler Bedeutung für Aktivitäten, die von Ereignissen gemeldet werden. Die in diesem Abschnitt aufgeführten Benutzerentitätsfelder werden verwendet, um die an der Aktion beteiligten Benutzer zu beschreiben. Bei Verwendung in einem Ereignis werden Präfixe verwendet, um die Rolle einer Benutzerentität in der Aktivität festzulegen. Die Präfixe Src und Dst werden verwendet, um die Benutzerrolle in netzwerkbezogenen Ereignissen festzulegen, bei denen ein Quellsystem und ein Zielsystem kommunizieren. Die Präfixe "Actor" und "Target" werden für systemorientierte Ereignisse wie Prozessereignisse verwendet.
Die Benutzer-ID und der Bereich
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Userid | Optional | Zeichenfolge | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Benutzers. |
| UserScope | Optional | string | Der Bereich, in dem UserId und Username definiert sind. Beispielsweise ein Microsoft Entra Domänenname des Mandanten. Das UserIdType-Feld stellt auch den Typ des dar, der diesem Feld zugeordnet ist. |
| UserScopeId | Optional | string | Die ID des Bereichs, in dem UserId und Username definiert sind. Beispielsweise ein Microsoft Entra Mandantenverzeichnis-ID. Das UserIdType-Feld stellt auch den Typ des dar, der diesem Feld zugeordnet ist. |
| UserIdType | Optional | UserIdType | Der Typ der id, die im Feld UserId gespeichert ist. |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | Optional | Zeichenfolge | Felder, die zum Speichern bestimmter Benutzer-IDs verwendet werden. Wählen Sie die ID aus, die dem Ereignis am häufigsten als primäre ID zugeordnet ist, die in UserId gespeichert ist. Füllen Sie zusätzlich zur UserId auch dann das relevante spezifische ID-Feld aus, wenn das Ereignis nur eine ID aufweist. |
| UserAADTenant, UserAWSAccount | Optional | Zeichenfolge | Felder, die zum Speichern bestimmter Bereiche verwendet werden. Verwenden Sie das Feld UserScope für den Bereich, der der im Feld UserId gespeicherten ID zugeordnet ist. Füllen Sie zusätzlich zu UserScope das relevante bereichsspezifische Feld auf, auch wenn das Ereignis nur eine ID aufweist. |
Die zulässigen Werte für einen Benutzer-ID-Typ sind:
| Typ | Beschreibung | Beispiel |
|---|---|---|
| SID | Eine Windows-Benutzer-ID. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | Eine Linux Benutzer-ID. | 4578 |
| AADID | Eine Microsoft Entra Benutzer-ID. | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| OktaId | Eine Okta-Benutzer-ID. | 00urjk4znu3BcncfY0h7 |
| AWSId | Eine AWS-Benutzer-ID. | 72643944673 |
| PUID | Eine Microsoft 365-Benutzer-ID. | 10032001582F435C |
| SalesforceId | Eine Salesforce-Benutzer-ID. | 00530000009M943 |
Der Benutzername
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Nutzername | Optional | Zeichenfolge | Der Quellbenutzername, einschließlich Domäneninformationen, sofern verfügbar. Verwenden Sie das einfache Formular nur, wenn keine Domäneninformationen verfügbar sind. Speichern Sie den Benutzernamentyp im Feld UsernameType . |
| UsernameType | Optional | UsernameType | Gibt den Typ des Benutzernamens an, der im Feld Benutzername gespeichert ist. |
| UserUPN, WindowsUsername, DNUsername, SimpleUsername | Optional | Zeichenfolge | Felder, die zum Speichern zusätzlicher Benutzernamen verwendet werden, wenn das ursprüngliche Ereignis mehrere Benutzernamen enthält. Wählen Sie den Benutzernamen aus, der am häufigsten mit dem Ereignis verknüpft ist, als primären Benutzernamen, der unter Benutzername gespeichert ist. |
Die zulässigen Werte für einen Benutzernamentyp sind:
| Typ | Beschreibung | Beispiel |
|---|---|---|
| UPN | Ein UPN oder Email Adressbenutzername-Bezeichner. | johndow@contoso.com |
| Windows | Ein Windows-Benutzername, der eine Domäne enthält. | Contoso\johndow |
| DN | Ein LDAP-Distinguished Name-Designator. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| Einfach | Ein einfacher Benutzername ohne Domänenzeichner. | johndow |
| AWSId | Eine AWS-Benutzer-ID. | 72643944673 |
Zusätzliche Benutzerfelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| UserType | Optional | UserType | Der Typ des Quellbenutzers. Unterstützte Werte: - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.Der Wert kann im Quelldatensatz mit unterschiedlichen Begriffen bereitgestellt werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld OriginalUserType . |
| OriginalUserType | Optional | Zeichenfolge | Der ursprüngliche Zielbenutzertyp, wenn er vom Meldengerät bereitgestellt wird. |