Управление учётными записями

Описание

Раздел Управление учётными записями предназначен для мониторинга событий управления УЗ пользователей, групп и рабочих станций.

Отображаемые данные

• Статистика по количеству созданных / измененных / удаленных УЗ
• Динамика по количеству созданных / измененных / удаленных УЗ
• Статистика по событиям с детализацией по УЗ пользователей
• Статистика по событиям с детализацией по УЗ групп
• Статистика по событиям с детализацией по УЗ рабочей станции

Список дашбордов

• Управление УЗ: Общие сведения
• Управление УЗ: Группы
• Управление УЗ: Компьютеры
• Управление УЗ: Пользователи

Модель данных

В разделе используются нижеописанные поля источников данных. Используемый алиас: sm_cs_iam_indexes.

Поля категоризации

Имя поля	Значение
event.kind	event
event.category	iam
event.type	creation | deletion | change
event.outcome	success | failure | unknown
event.action	Из исходного события.
event.code	Код события Windows Security Event из исходного события.

Поля общего назначения

Информационная система event

Имя поля	Значение
event.module	Название модуля.
event.dataset	Название набора данных.

Пользователь user

Имя поля	Значение
user.name	Имя пользователя.
user.domain	Домен пользователя.
user.id	Идентификатор безопасности (SID) пользователя.

Информация о хосте host

Имя поля	Значение
host.name	Имя хоста.

Информация об УЗ над которой производится действие target

Имя поля	Значение
target.name	Имя пользователя.
target.domain	Домен пользователя.
target.id	Идентификатор безопасности (SID) пользователя.

Прочие поля

Имя поля	Значение
event.original	Исходный текст события.

Справочники

Ниже приведена таблица справочников используемых разделом.

Название	Поля	Описание
sm_cs_iam_privileged_users_lookup	account.name is_privileged	Справочник значений привилегированных УЗ.

Примеры источников

• Windows Security Log
• Linux Auditd Log