사용자는 이벤트에서 보고하는 활동의 중심입니다. 이 섹션에 나열된 사용자 엔터티 필드는 작업에 관련된 사용자를 설명하는 데 사용됩니다. 이벤트에서 사용되는 경우 접두사는 활동에서 사용자 엔터티의 역할을 지정하는 데 사용됩니다. 및 접두 SrcDst 사는 원본 시스템과 대상 시스템이 통신하는 네트워크 관련 이벤트에서 사용자 역할을 지정하는 데 사용됩니다. 'Actor' 및 'Target' 접두사는 프로세스 이벤트와 같은 시스템 지향 이벤트에 사용됩니다.
사용자 ID 및 scope
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| Userid | 옵션 | String | 컴퓨터에서 읽을 수 있는 영숫자 고유 표현입니다. |
| UserScope | 옵션 | 문자열 | UserId 및 Username이 정의된 scope. 예를 들어 Microsoft Entra 테넌트 도메인 이름입니다. UserIdType 필드는 이 필드와 연결된 의 형식도 나타냅니다. |
| UserScopeId | 옵션 | 문자열 | UserId 및 Username이 정의된 scope ID입니다. 예를 들어 Microsoft Entra 테넌트 디렉터리 ID입니다. UserIdType 필드는 이 필드와 연결된 의 형식도 나타냅니다. |
| UserIdType | 옵션 | UserIdType | UserId 필드에 저장된 ID의 형식입니다. |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | 옵션 | String | 특정 사용자 ID를 저장하는 데 사용되는 필드입니다. 이벤트와 가장 연결된 ID를 UserId에 저장된 기본 ID로 선택합니다. 이벤트에 ID가 하나만 있는 경우에도 UserId 외에 관련 특정 ID 필드를 채웁니다. |
| UserAADTenant, UserAWSAccount | 옵션 | String | 특정 범위를 저장하는 데 사용되는 필드입니다. UserId 필드에 저장된 ID와 연결된 scope UserScope 필드를 사용합니다. 이벤트에 ID가 하나만 있는 경우에도 UserScope 외에 관련 특정 scope 필드를 채웁니다. |
사용자 ID 유형에 허용되는 값은 다음과 같습니다.
| 유형 | 설명 | 예제 |
|---|---|---|
| Sid | Windows 사용자 ID입니다. | S-1-5-21-1377283216-344919071-3415362939-500 |
| Uid | Linux 사용자 ID입니다. | 4578 |
| AADID | Microsoft Entra 사용자 ID입니다. | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| OktaId | Okta 사용자 ID입니다. | 00urjk4znu3BcncfY0h7 |
| AWSId | AWS 사용자 ID입니다. | 72643944673 |
| Puid | Microsoft 365 사용자 ID입니다. | 10032001582F435C |
| SalesforceId | Salesforce 사용자 ID입니다. | 00530000009M943 |
사용자 이름
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| 사용자 | 옵션 | String | 사용 가능한 경우 도메인 정보를 포함하는 원본 사용자 이름입니다. 도메인 정보를 사용할 수 없는 경우에만 간단한 양식을 사용합니다. UsernameType 필드에 Username 형식을 저장합니다. |
| UsernameType | 옵션 | UsernameType | 사용자 이름 필드에 저장된 사용자 이름의 형식을 지정합니다. |
| UserUPN, WindowsUsername, DNUsername, SimpleUsername | 옵션 | String | 원래 이벤트에 여러 사용자 이름이 포함된 경우 추가 사용자 이름을 저장하는 데 사용되는 필드입니다. 이벤트와 가장 연결된 사용자 이름을 Username에 저장된 기본 사용자 이름으로 선택합니다. |
사용자 이름 형식에 허용되는 값은 다음과 같습니다.
| 유형 | 설명 | 예제 |
|---|---|---|
| UPN | UPN 또는 Email 주소 사용자 이름 지정자입니다. | johndow@contoso.com |
| Windows | 도메인을 포함한 Windows 사용자 이름입니다. | Contoso\johndow |
| Dn | LDAP 고유 이름 지정자입니다. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| 기본형 | 도메인 지정자가 없는 간단한 사용자 이름입니다. | johndow |
| AWSId | AWS 사용자 ID입니다. | 72643944673 |
추가 사용자 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| UserType | 옵션 | UserType | 원본 사용자의 유형입니다. 지원되는 값은 다음과 같습니다. - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.값은 이러한 값으로 정규화되어야 하는 다른 용어를 사용하여 원본 레코드에 제공될 수 있습니다. OriginalUserType 필드에 원래 값을 저장합니다. |
| OriginalUserType | 옵션 | String | 보고 디바이스에서 제공하는 경우 원래 대상 사용자 유형입니다. |