Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le schéma d’authentification Microsoft Sentinel est utilisé pour décrire les événements liés à l’authentification de l’utilisateur, à la connexion et à la déconnexion. Les événements d’authentification sont envoyés par de nombreux appareils de création de rapports, généralement dans le cadre du flux d’événements en même temps que d’autres événements. Par exemple, Windows envoie plusieurs événements d’authentification en même temps que d’autres événements d’activité du système d’exploitation.
Les événements d’authentification incluent à la fois les événements provenant de systèmes qui se concentrent sur l’authentification, comme les passerelles VPN ou les contrôleurs de domaine, et l’authentification directe vers un système final, tel qu’un ordinateur ou un pare-feu.
Pour plus d’informations sur la normalisation dans Microsoft Sentinel, consultez Normalisation et le modèle ASIM (Advanced Security Information Model).
Analyseurs
Déployez des analyseurs d’authentification ASIM à partir du dépôt GitHub Microsoft Sentinel. Pour plus d’informations sur les analyseurs ASIM, consultez les articles Vue d’ensemble des analyseurs ASIM.
Analyseurs d’unification
Pour utiliser des analyseurs qui unifient tous les analyseurs ASIM prêtes à l’emploi et vous assurer que votre analyse s’exécute sur toutes les sources configurées, utilisez l’analyseur imAuthentication de filtrage ou l’analyseur ASimAuthentication sans paramètre.
Analyseurs spécifiques à la source
Pour obtenir la liste des analyseurs d’authentification Microsoft Sentinel fournit, reportez-vous à la liste des analyseurs ASIM :
Ajouter vos propres analyseurs normalisés
Lors de l’implémentation d’analyseurs personnalisés pour le modèle d’informations d’authentification, nommez vos fonctions KQL à l’aide de la syntaxe suivante :
-
vimAuthentication<vendor><Product>pour filtrer les analyseurs -
ASimAuthentication<vendor><Product>pour les analyseurs sans paramètre
Pour plus d’informations sur l’ajout de vos analyseurs personnalisés à l’analyseur d’unification, consultez Gestion des analyseurs ASIM.
Filtrage des paramètres de l’analyseur
Les im analyseurs et vim* prennent en charge les paramètres de filtrage. Bien que ces analyseurs soient facultatifs, ils peuvent améliorer les performances de vos requêtes.
Les paramètres de filtrage suivants sont disponibles :
| Nom | Type | Description |
|---|---|---|
| Starttime | DateHeure | Filtrez uniquement les événements d’authentification qui ont été exécutés à ce moment ou après cette date. Ce paramètre filtre sur le TimeGenerated champ, qui est l’indicateur standard pour l’heure de l’événement, quel que soit le mappage spécifique à l’analyseur des champs EventStartTime et EventEndTime. |
| heure de fin | DateHeure | Filtrez uniquement les événements d’authentification qui ont fini de s’exécuter à cette heure ou avant. Ce paramètre filtre sur le TimeGenerated champ, qui est l’indicateur standard pour l’heure de l’événement, quel que soit le mappage spécifique à l’analyseur des champs EventStartTime et EventEndTime. |
| targetusername_has | string | Filtrez uniquement les événements d’authentification qui ont l’un des noms d’utilisateur répertoriés. |
Par exemple, pour filtrer uniquement les événements d’authentification du dernier jour à un utilisateur spécifique, utilisez :
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
Conseil
Pour passer une liste littérale à des paramètres qui attendent une valeur dynamique, utilisez explicitement un littéral dynamique. Par exemple : dynamic(['192.168.','10.']).
Contenu normalisé
Les règles analytiques d’authentification normalisées sont uniques, car elles détectent les attaques entre les sources. Par exemple, si un utilisateur s’est connecté à différents systèmes non liés, provenant de différents pays/régions, Microsoft Sentinel détectera désormais cette menace.
Pour obtenir la liste complète des règles d’analyse qui utilisent des événements d’authentification normalisés, consultez Contenu de sécurité du schéma d’authentification.
Vue d’ensemble du schéma
Le modèle d’informations d’authentification est aligné sur le schéma d’entité d’ouverture de session OSSEM.
Les champs répertoriés dans le tableau ci-dessous sont spécifiques aux événements d’authentification, mais sont similaires aux champs d’autres schémas et suivent des conventions d’affectation de noms similaires.
Les événements d’authentification référencent les entités suivantes :
- TargetUser : informations utilisateur utilisées pour l’authentification auprès du système. TargetSystem est le sujet principal de l’événement d’authentification, et l’alias User alias un TargetUser identifié.
- TargetApp : application authentifiée auprès de.
- Target : système sur lequel TargetApp* s’exécute.
- Acteur : l’utilisateur qui lance l’authentification, s’il est différent de TargetUser.
- ActingApp : application utilisée par l’acteur pour effectuer l’authentification.
- Src : système utilisé par l’acteur pour lancer l’authentification.
La relation entre ces entités est mieux illustrée comme suit :
Un acteur, exécutant une application agissante, ActingApp, sur un système source, Src, tente de s’authentifier en tant que TargetUser auprès d’une application cible, TargetApp, sur un système cible, TargetDvc.
Détails du schéma
Dans les tableaux suivants, Type fait référence à un type logique. Pour plus d’informations, consultez Types logiques.
Champs ASIM courants
Importante
Les champs communs à tous les schémas sont décrits en détail dans l’article Champs communs ASIM .
Champs communs avec des instructions spécifiques
La liste suivante mentionne les champs qui ont des instructions spécifiques pour les événements d’authentification :
| Field | Classe | Type | Description |
|---|---|---|---|
| EventType | Obligatoire | Énumérés | Décrit l’opération signalée par l’enregistrement. Pour les enregistrements d’authentification, les valeurs prises en charge sont les suivantes : - Logon - Logoff- Elevate |
| EventResultDetails | Recommandé | Énumérés | Détails associés au résultat de l’événement. Ce champ est généralement rempli lorsque le résultat est un échec. Les valeurs autorisées sont notamment les suivantes : - No such user or password. Cette valeur doit également être utilisée lorsque l’événement d’origine signale qu’il n’existe aucun utilisateur de ce type, sans référence à un mot de passe.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. Cette valeur doit être utilisée lorsque l’événement d’origine signale, par exemple : authentification multifacteur requise, connexion en dehors des heures de travail, restrictions d’accès conditionnel ou tentatives trop fréquentes.- Session expired- OtherLa valeur peut être fournie dans l’enregistrement source à l’aide de termes différents, qui doivent être normalisés avec ces valeurs. La valeur d’origine doit être stockée dans le champ EventOriginalResultDetails |
| EventSubType | Facultatif | Énumérés | Type de connexion. Les valeurs autorisées sont notamment les suivantes : - System- Interactive- RemoteInteractive- Service- RemoteService- Remote - À utiliser lorsque le type de connexion à distance est inconnu.- AssumeRole - Généralement utilisé lorsque le type d’événement est Elevate. La valeur peut être fournie dans l’enregistrement source à l’aide de termes différents, qui doivent être normalisés avec ces valeurs. La valeur d’origine doit être stockée dans le champ EventOriginalSubType. |
| EventSchemaVersion | Obligatoire | SchemaVersion (String) | Version du schéma. La version du schéma documentée ici est 0.1.4 |
| EventSchema | Obligatoire | Énumérés | Le nom du schéma documenté ici est Authentification. |
| Champs Dvc | - | - | Pour les événements d’authentification, les champs d’appareil font référence au système signalant l’événement. |
Tous les champs courants
Les champs qui apparaissent dans le tableau ci-dessous sont communs à tous les schémas ASIM. Toutes les recommandations spécifiées ci-dessus remplacent les instructions générales pour le champ. Par exemple, un champ peut être facultatif en général, mais obligatoire pour un schéma spécifique. Pour plus d’informations sur chaque champ, reportez-vous à l’article Champs communs ASIM .
| Class | Fields |
|---|---|
| Obligatoire |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Cvn |
| Recommandé |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Facultatif |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Champs spécifiques à l’authentification
| Field | Classe | Type | Description |
|---|---|---|---|
| LogonMethod | Facultatif | String | Méthode utilisée pour effectuer l’authentification. Les valeurs autorisées sont les suivantes : Managed Identity, Service PrincipalUsername & Password, Multi factor authentication, Passwordless, PKI, PAMet Other. Exemples: Managed Identity |
| LogonProtocol | Facultatif | String | Protocole utilisé pour effectuer l’authentification. Exemple : NTLM |
Champs d’acteur
| Field | Classe | Type | Description |
|---|---|---|---|
| ActorUserId | Facultatif | String | Représentation unique, alphanumérique et lisible par ordinateur de l’acteur. Pour plus d’informations et pour obtenir d’autres champs pour d’autres ID, consultez L’entité Utilisateur. Exemple : S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Facultatif | String | Étendue, telle que Microsoft Entra locataire, dans laquelle ActorUserId et ActorUsername sont définis. ou plus d’informations et la liste des valeurs autorisées, consultez UserScope dans l’article Vue d’ensemble du schéma. |
| ActorScopeId | Facultatif | String | ID d’étendue, tel que Microsoft Entra ID d’annuaire, dans lequel ActorUserId et ActorUsername sont définis. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserScopeId dans l’article Vue d’ensemble du schéma. |
| ActorUserIdType | Conditionnelle | UserIdType | Type de l’ID stocké dans le champ ActorUserId . Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserIdType dans l’article Vue d’ensemble du schéma. |
| ActorUsername | Facultatif | Nom d’utilisateur (chaîne) | Nom d’utilisateur de l’acteur, y compris les informations de domaine lorsqu’elles sont disponibles. Pour plus d’informations, consultez L’entité Utilisateur. Exemple : AlbertE |
| ActorUsernameType | Conditionnelle | UsernameType | Spécifie le type du nom d’utilisateur stocké dans le champ ActorUsername . Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UsernameType dans l’article Vue d’ensemble du schéma. Exemple : Windows |
| ActorUserType | Facultatif | UserType | Type de l’acteur. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserType dans l’article Vue d’ensemble du schéma. Par exemple : Guest |
| ActorOriginalUserType | Facultatif | String | Type d’utilisateur tel que signalé par l’appareil de création de rapports. |
| ActorSessionId | Facultatif | String | ID unique de la session de connexion de l’acteur. Exemple : 102pTUgC3p8RIqHvzxLCHnFlg |
Champs d’application en cours d’action
| Field | Classe | Type | Description |
|---|---|---|---|
| ActingAppId | Facultatif | String | ID de l’application autorisant au nom de l’acteur, y compris un processus, un navigateur ou un service. Par exemple : 0x12ae8 |
| ActingAppName | Facultatif | String | Nom de l’application autorisant au nom de l’acteur, y compris un processus, un navigateur ou un service. Par exemple : C:\Windows\System32\svchost.exe |
| ActingAppType | Facultatif | AppType | Type d’application agissante. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez AppType dans l’article Vue d’ensemble du schéma. |
| ActingOriginalAppType | Facultatif | String | Type de l’application agissante comme indiqué par l’appareil de création de rapports. |
| HttpUserAgent | Facultatif | String | Lorsque l’authentification est effectuée via HTTP ou HTTPS, la valeur de ce champ est l’en-tête HTTP user_agent fourni par l’application agissante lors de l’exécution de l’authentification. Par exemple : Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Champs utilisateur cible
| Field | Classe | Type | Description |
|---|---|---|---|
| TargetUserId | Facultatif | String | Représentation unique, alphanumérique et lisible par l’ordinateur de l’utilisateur cible. Pour plus d’informations et pour obtenir d’autres champs pour d’autres ID, consultez L’entité Utilisateur. Exemple : 00urjk4znu3BcncfY0h7 |
| TargetUserScope | Facultatif | String | Étendue, telle que Microsoft Entra locataire, dans laquelle TargetUserId et TargetUsername sont définis. ou plus d’informations et la liste des valeurs autorisées, consultez UserScope dans l’article Vue d’ensemble du schéma. |
| TargetUserScopeId | Facultatif | String | ID d’étendue, tel que Microsoft Entra ID d’annuaire, dans lequel TargetUserId et TargetUsername sont définis. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserScopeId dans l’article Vue d’ensemble du schéma. |
| TargetUserIdType | Conditionnelle | UserIdType | Type de l’ID utilisateur stocké dans le champ TargetUserId . Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserIdType dans l’article Vue d’ensemble du schéma. Exemple : SID |
| TargetUsername | Facultatif | Nom d’utilisateur (chaîne) | Nom d’utilisateur de l’utilisateur cible, y compris les informations de domaine lorsqu’elles sont disponibles. Pour plus d’informations, consultez L’entité Utilisateur. Exemple : MarieC |
| TargetUsernameType | Conditionnelle | UsernameType | Spécifie le type du nom d’utilisateur stocké dans le champ TargetUsername . Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UsernameType dans l’article Vue d’ensemble du schéma. |
| TargetUserType | Facultatif | UserType | Type de l’utilisateur cible. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserType dans l’article Vue d’ensemble du schéma. Par exemple : Member |
| TargetSessionId | Facultatif | String | Identificateur de session de connexion de TargetUser sur l’appareil source. |
| TargetOriginalUserType | Facultatif | String | Type d’utilisateur tel que signalé par l’appareil de création de rapports. |
| Utilisateur | Alias | Nom d’utilisateur (chaîne) | Alias de TargetUsername ou TargetUserId si TargetUsername n’est pas défini. Exemple : CONTOSO\dadmin |
Champs système source
| Field | Classe | Type | Description |
|---|---|---|---|
| Src | Recommandé | String | Identificateur unique de l’appareil source. Ce champ peut alias les champs SrcDvcId, SrcHostname ou SrcIpAddr . Exemple : 192.168.12.1 |
| SrcDvcId | Facultatif | String | ID de l’appareil source. Si plusieurs ID sont disponibles, utilisez le plus important et stockez les autres dans les champs SrcDvc<DvcIdType>.Exemple : ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Facultatif | String | ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil. SrcDvcScopeId mappé à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcDvcScope | Facultatif | String | Étendue de la plateforme cloud à laquelle appartient l’appareil. SrcDvcScope mappé à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcDvcIdType | Conditionnelle | DvcIdType | Type de SrcDvcId. Pour obtenir la liste des valeurs autorisées et plus d’informations, consultez DvcIdType dans l’article Vue d’ensemble du schéma. Remarque : Ce champ est obligatoire si SrcDvcId est utilisé. |
| SrcDeviceType | Facultatif | DeviceType | Type de l’appareil source. Pour obtenir la liste des valeurs autorisées et plus d’informations, consultez DeviceType dans l’article Vue d’ensemble du schéma. |
| SrcHostname | Facultatif | Nom d'hôte | Nom d’hôte de l’appareil source, à l’exception des informations de domaine. Si aucun nom d’appareil n’est disponible, stockez l’adresse IP appropriée dans ce champ. Exemple : DESKTOP-1282V4D |
| SrcDomain | Facultatif | Domaine (Chaîne) | Domaine de l’appareil source. Exemple : Contoso |
| SrcDomainType | Conditionnelle | DomainType | Type de SrcDomain. Pour obtenir la liste des valeurs autorisées et plus d’informations, consultez DomainType dans l’article Vue d’ensemble du schéma. Obligatoire si SrcDomain est utilisé. |
| SrcFQDN | Facultatif | Nom de domaine complet (chaîne) | Nom d’hôte de l’appareil source, y compris les informations de domaine lorsqu’elles sont disponibles. Remarque : ce champ prend en charge à la fois le format FQDN traditionnel et le format domaine\nom d’hôte Windows. Le champ SrcDomainType reflète le format utilisé. Exemple : Contoso\DESKTOP-1282V4D |
| SrcDescription | Facultatif | String | Texte descriptif associé à l’appareil. Par exemple : Primary Domain Controller. |
| SrcIpAddr | Recommandé | Adresse IP | Adresse IP de l’appareil source. Exemple : 2.2.2.2 |
| SrcPortNumber | Facultatif | Entier | Port IP d’où provient la connexion. Exemple : 2335 |
| SrcDvcOs | Facultatif | String | Système d’exploitation de l’appareil source. Exemple : Windows 10 |
| IpAddr | Alias | Alias de SrcIpAddr | |
| SrcIsp | Facultatif | String | Fournisseur de services Internet (ISP) utilisé par l’appareil source pour se connecter à Internet. Exemple : corpconnect |
| SrcGeoCountry | Facultatif | Pays | Exemple : Canada Pour plus d’informations, consultez Types logiques. |
| SrcGeoCity | Facultatif | Ville | Exemple : Montreal Pour plus d’informations, consultez Types logiques. |
| SrcGeoRegion | Facultatif | Région | Exemple : Quebec Pour plus d’informations, consultez Types logiques. |
| SrcGeoLongitude | Facultatif | Longitude | Exemple : -73.614830 Pour plus d’informations, consultez Types logiques. |
| SrcGeoLatitude | Facultatif | Latitude | Exemple : 45.505918 Pour plus d’informations, consultez Types logiques. |
| SrcRiskLevel | Facultatif | Entier | Niveau de risque associé à la source. La valeur doit être ajustée à une plage de 0 à , avec 0 pour sans gravité et 100 pour 100un risque élevé.Exemple : 90 |
| SrcOriginalRiskLevel | Facultatif | String | Niveau de risque associé à la source, tel que signalé par l’appareil de création de rapports. Exemple : Suspicious |
Champs d’application cibles
| Field | Classe | Type | Description |
|---|---|---|---|
| TargetAppId | Facultatif | String | ID de l’application pour laquelle l’autorisation est requise, souvent attribué par l’appareil de création de rapports. Exemple : 89162 |
| TargetAppName | Facultatif | String | Nom de l’application pour laquelle l’autorisation est requise, y compris un service, une URL ou une application SaaS. Exemple : Saleforce |
| Application | Alias | Alias de TargetAppName. | |
| TargetAppType | Conditionnelle | AppType | Type de l’application autorisant au nom de l’acteur. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez AppType dans l’article Vue d’ensemble du schéma. |
| TargetOriginalAppType | Facultatif | String | Type de l’application autorisant au nom de l’acteur, tel que signalé par l’appareil de création de rapports. |
| TargetUrl | Facultatif | URL | URL associée à l’application cible. Exemple : https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | Alias | Alias de TargetAppName, TargetUrl ou TargetHostname, le champ qui décrit le mieux la cible d’authentification. |
Champs système cibles
| Field | Classe | Type | Description |
|---|---|---|---|
| Dst | Alias | String | Identificateur unique de la cible d’authentification. Ce champ peut alias les champs TargetDvcId, TargetHostname, TargetIpAddr, TargetAppId ou TargetAppName . Exemple : 192.168.12.1 |
| TargetHostname | Recommandé | Nom d'hôte | Nom d’hôte de l’appareil cible, à l’exception des informations de domaine. Exemple : DESKTOP-1282V4D |
| TargetDomain | Recommandé | Domaine (Chaîne) | Domaine de l’appareil cible. Exemple : Contoso |
| TargetDomainType | Conditionnelle | Énumérés | Type de TargetDomain. Pour obtenir la liste des valeurs autorisées et plus d’informations, consultez DomainType dans l’article Vue d’ensemble du schéma. Obligatoire si TargetDomain est utilisé. |
| TargetFQDN | Facultatif | Nom de domaine complet (chaîne) | Nom d’hôte de l’appareil cible, y compris les informations de domaine lorsqu’elles sont disponibles. Exemple : Contoso\DESKTOP-1282V4D Remarque : ce champ prend en charge à la fois le format FQDN traditionnel et le format domaine\nom d’hôte Windows. TargetDomainType reflète le format utilisé. |
| TargetDescription | Facultatif | String | Texte descriptif associé à l’appareil. Par exemple : Primary Domain Controller. |
| TargetDvcId | Facultatif | String | ID de l’appareil cible. Si plusieurs ID sont disponibles, utilisez le plus important et stockez les autres dans les champs TargetDvc<DvcIdType>. Exemple : ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Facultatif | String | ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil. TargetDvcScopeId mappé à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| TargetDvcScope | Facultatif | String | Étendue de la plateforme cloud à laquelle appartient l’appareil. TargetDvcScope mappé à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| TargetDvcIdType | Conditionnelle | Énumérés | Type de TargetDvcId. Pour obtenir la liste des valeurs autorisées et plus d’informations, consultez DvcIdType dans l’article Vue d’ensemble du schéma. Obligatoire si TargetDeviceId est utilisé. |
| TargetDeviceType | Facultatif | Énumérés | Type de l’appareil cible. Pour obtenir la liste des valeurs autorisées et plus d’informations, consultez DeviceType dans l’article Vue d’ensemble du schéma. |
| TargetIpAddr | Facultatif | Adresse IP | Adresse IP de l’appareil cible. Exemple : 2.2.2.2 |
| TargetDvcOs | Facultatif | String | Système d’exploitation de l’appareil cible. Exemple : Windows 10 |
| TargetPortNumber | Facultatif | Entier | Port de l’appareil cible. |
| TargetGeoCountry | Facultatif | Pays | Pays/région associé à l’adresse IP cible. Exemple : USA |
| TargetGeoRegion | Facultatif | Région | Région associée à l’adresse IP cible. Exemple : Vermont |
| TargetGeoCity | Facultatif | Ville | Ville associée à l’adresse IP cible. Exemple : Burlington |
| TargetGeoLatitude | Facultatif | Latitude | Latitude de la coordonnée géographique associée à l’adresse IP cible. Exemple : 44.475833 |
| TargetGeoLongitude | Facultatif | Longitude | Longitude de la coordonnée géographique associée à l’adresse IP cible. Exemple : 73.211944 |
| TargetRiskLevel | Facultatif | Entier | Niveau de risque associé à la cible. La valeur doit être ajustée à une plage de 0 à , avec 0 pour sans gravité et 100 pour 100un risque élevé.Exemple : 90 |
| TargetOriginalRiskLevel | Facultatif | String | Niveau de risque associé à la cible, tel que signalé par l’appareil de création de rapports. Exemple : Suspicious |
Champs d’inspection
Les champs suivants sont utilisés pour représenter l’inspection effectuée par un système de sécurité.
| Field | Classe | Type | Description |
|---|---|---|---|
| RuleName | Facultatif | String | Nom ou ID de la règle associé aux résultats de l’inspection. |
| RuleNumber | Facultatif | Entier | Numéro de la règle associée aux résultats de l’inspection. |
| Règle | Alias | String | Valeur de RuleName ou valeur de RuleNumber. Si la valeur de RuleNumber est utilisée, le type doit être converti en chaîne. |
| ThreatId | Facultatif | String | ID de la menace ou du programme malveillant identifié dans l’activité d’audit. |
| ThreatName | Facultatif | String | Nom de la menace ou du programme malveillant identifié dans l’activité d’audit. |
| ThreatCategory | Facultatif | String | Catégorie de la menace ou du programme malveillant identifié dans l’activité du fichier d’audit. |
| ThreatRiskLevel | Facultatif | RiskLevel (Integer) | Niveau de risque associé à la menace identifiée. Le niveau doit être un nombre compris entre 0 et 100. Remarque : La valeur peut être fournie dans l’enregistrement source à l’aide d’une échelle différente, qui doit être normalisée à cette échelle. La valeur d’origine doit être stockée dans ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Facultatif | String | Niveau de risque indiqué par l’appareil de création de rapports. |
| ThreatConfidence | Facultatif | ConfidenceLevel (Integer) | Niveau de confiance de la menace identifiée, normalisé à une valeur comprise entre 0 et 100. |
| ThreatOriginalConfidence | Facultatif | String | Niveau de confiance d’origine de la menace identifiée, tel que signalé par l’appareil de création de rapports. |
| ThreatIsActive | Facultatif | Booléen | True si la menace identifiée est considérée comme une menace active. |
| ThreatFirstReportedTime | Facultatif | DateHeure | La première fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatLastReportedTime | Facultatif | DateHeure | Dernière fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatIpAddr | Facultatif | Adresse IP | Adresse IP pour laquelle une menace a été identifiée. Le champ ThreatField contient le nom du champ Représenté par ThreatIpAddr . |
| ThreatField | Conditionnelle | Énumérés | Champ pour lequel une menace a été identifiée. La valeur est ou SrcIpAddrTargetIpAddr. |
Mises à jour de schéma
Voici les modifications apportées à la version 0.1.1 du schéma :
- Mise à jour des champs d’entité d’utilisateur et d’appareil pour s’aligner sur d’autres schémas.
- Renommé et
TargetDvcSrcDvcrespectivement pour s’alignerTargetSrcsur les directives ASIM actuelles. Les champs renommés seront implémentés en tant qu’alias jusqu’au 1er juillet 2022. Ces champs incluent :SrcDvcHostname,SrcDvcHostnameType,SrcDvcType,SrcDvcIpAddr,TargetDvcHostnameTargetDvcHostnameType,TargetDvcType,TargetDvcIpAddr, etTargetDvc. - Ajout des alias
SrcetDst. - Ajout des champs
SrcDvcIdType,SrcDeviceType,TargetDvcIdTypeetTargetDeviceTypeetEventSchema.
Voici les modifications apportées à la version 0.1.2 du schéma :
- Ajout des champs
ActorScope,TargetUserScope,SrcDvcScopeId,SrcDvcScope,TargetDvcScopeIdTargetDvcScope,DvcScopeId, etDvcScope.
Voici les modifications apportées à la version 0.1.3 du schéma :
- Ajout des champs
SrcPortNumber,ActorOriginalUserType,ActorScopeId,TargetOriginalUserType,TargetUserScopeIdSrcDescription,SrcRiskLevel,SrcOriginalRiskLeveletTargetDescription. - Ajout de champs d’inspection
- Ajout des champs de géolocalisation du système cible.
Voici les modifications apportées à la version 0.1.4 du schéma :
- Ajout des champs
ActingOriginalAppTypeetTargetOriginalAppType. - Ajout de l’alias
Application.
Prochaines étapes
Pour plus d’informations, reportez-vous aux rubriques suivantes :