Schémas du modèle ASIM (Advanced Security Information Model)
Un schéma du modèle ASIM (Advanced Security Information Model) est un ensemble de champs qui représentent une activité. L’utilisation des champs d’un schéma normalisé dans une requête garantit que la requête fonctionnera avec toutes les sources normalisées.
Pour comprendre le fonctionnement des schémas dans l’architecture ASIM, consultez le Diagramme d’architecture ASIM.
Les références de schéma présentent les champs qui composent chaque schéma. ASIM définit actuellement les schémas suivants :
| schéma | Version | Statut |
|---|---|---|
| Événement d’audit | 0.1 | Préversion |
| Événement d’authentification | 0.1.3 | Préversion |
| Activité DNS | 0.1.7 | Préversion |
| Activité DHCP | 0.1 | Préversion |
| Activité de fichier | 0.2.1 | Préversion |
| Session réseau | 0.2.6 | Préversion |
| Événement de processus | 0.1.4 | Préversion |
| Événement du Registre | 0.1.2 | Préversion |
| User Management | 0.1 | Préversion |
| Session web | 0.2.6 | Préversion |
Important
Les schémas et analyseurs ASIM sont actuellement disponibles en préversion. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
Concepts de schéma
Les concepts suivants permettent de comprendre les documents de référence de schéma et d’étendre le schéma de manière normalisée dans le cas où vos données incluent des informations que le schéma ne couvre pas.
| Concept | Description |
|---|---|
| Noms de champs | Les noms de champs sont au cœur de chaque schéma. Les noms de champs appartiennent aux groupes suivants : - Champs communs à tous les schémas. - Champs spécifiques à un schéma. - Champs qui représentent des entités, telles que des utilisateurs, qui prennent part au schéma. Les champs qui représentent des entités sont similaires dans tous les schémas. Lorsque des sources ont des champs qui ne sont pas présentés dans le schéma documenté, ils sont normalisés pour maintenir la cohérence. Si les champs supplémentaires représentent une entité, ils sont normalisés en fonction des recommandations des champs d’entité. Dans le cas contraire, les schémas s’efforcent de maintenir la cohérence entre tous les schémas. Par exemple, alors que les journaux d’activité du serveur DNS ne fournissent pas d’informations utilisateur, les journaux d’activité DNS d’un point de terminaison peuvent inclure des informations utilisateur, qui peuvent être normalisées conformément aux instructions de l’entité utilisateur. |
| Types de champ | Chaque champ de schéma a un type. L’espace de travail Log Analytics possède un ensemble limité de types de données. Pour cette raison, Microsoft Sentinel utilise un type logique pour de nombreux champs de schéma, ce que Log Analytics n’impose pas, mais qui est requis pour la compatibilité des schémas. Les types de champs logiques garantissent que les valeurs et les noms de champs sont cohérents entre les sources. Pour plus d’informations, consultez Types logiques. |
| Classe des champs | Les champs peuvent avoir plusieurs classes, qui définissent le moment où les champs doivent être implémentés par un analyseur : Les champs - obligatoires doivent apparaître dans chaque analyseur. Si votre source ne fournit pas d’informations pour cette valeur, ou si les données ne peuvent pas être ajoutées par ailleurs, elle ne prend pas en charge la plupart des éléments de contenu qui font référence au schéma normalisé. Les champs - recommandés doivent être normalisés s’ils sont disponibles. Toutefois, ils peuvent ne pas être disponibles dans toutes les sources. Tout élément de contenu qui fait référence à ce schéma normalisé doit prendre en compte la disponibilité. Les champs - facultatifs, s’ils sont disponibles, peuvent être normalisés ou laissés dans leur forme d’origine. En règle générale, un analyseur minimal ne les normalise pas pour des raisons de performances. - Les champs conditionnels sont obligatoires si le champ qu’ils suivent est rempli. Les champs conditionnels sont généralement utilisés pour décrire la valeur dans un autre champ. Par exemple, le champ commun DvcIdType décrit la valeur int du champ commun DvcId ; il est donc obligatoire si ce dernier est rempli. - Un alias est un type spécial d’un champ conditionnel ; il est obligatoire si le champ avec alias est rempli. |
| Champs communs | Certains champs sont communs à tous les schémas ASIM. Chaque schéma peut ajouter des directives pour l'utilisation de certains des champs communs dans le contexte du schéma spécifique. Par exemple, les valeurs autorisées pour le champ EventType peuvent varier selon le schéma, tout comme la valeur du champ EventSchemaVersion. |
| Entités | Les événements évoluent autour des entités, telles que les utilisateurs, les hôtes, les processus ou les fichiers. Chaque entité peut nécessiter plusieurs champs pour la décrire. Par exemple, un hôte peut avoir un nom et une adresse IP. Un seul enregistrement peut inclure plusieurs entités du même type, comme un hôte source et un hôte de destination. ASIM définit la manière de décrire les entités de manière cohérente, et les entités permettent d’étendre les schémas. Par exemple, si le schéma de session réseau n’inclut pas d’informations sur les processus, certaines sources d’événements fournissent des informations sur les processus qui peuvent être ajoutés. Pour plus d’informations, consultez Entités. |
| Alias | Les alias autorisent les noms multiples pour une valeur spécifiée. Dans certains cas, les différents utilisateurs s’attendent à ce qu’un champ ait des noms différents. Par exemple, dans la terminologie DNS, il s’agit d’un champ nommé DnsQuery, alors que plus généralement, il contient un nom de domaine. L’alias Domain est pratique, car il permet à l’utilisateur d’employer les deux noms. Dans certains cas, un alias peut prendre la valeur d’un des différents champs, selon les valeurs disponibles dans l’événement. Par exemple, l’alias Dvc peut être associé à des champs DvcFQDN, DvcId, DvcHostname, DvcIpAddr ou Event Product. Quand un alias peut avoir plusieurs valeurs, son type doit être une chaîne pour prendre en charge toutes les valeurs avec alias possibles. Par conséquent, lorsque vous attribuez une valeur à ce genre d’alias, veillez à convertir le type en chaîne à l’aide de la fonction KQL tostring. Les tables normalisées natives n’incluent pas d’alias, car ceux-ci nécessitent la duplication du stockage de données. À la place, les analyseurs stub ajoutent les alias. Pour implémenter des alias dans les analyseurs, créez une copie de la valeur d’origine avec l’opérateur extend. |
Types logiques
Chaque champ de schéma a un type. Certains intègrent des types de Log Analytics, tels que string, int, datetime ou dynamic. D’autres champs ont un type logique qui représente la façon dont les valeurs de champ doivent être normalisées.
| Type de données | Type physique | Format et valeur |
|---|---|---|
| Booléen | Bool | Utilisez le type de données boolKQL intégré plutôt qu’une représentation des valeurs booléennes numériques ou sous forme de chaîne. |
| Énuméré | Chaîne | Liste de valeurs définies explicitement pour le champ. La définition de schéma répertorie les valeurs acceptées. |
| Date/Heure | Selon la fonctionnalité de méthode d’ingestion, utilisez l’une des représentations physiques suivantes par ordre décroissant des priorités : - Type de DateHeure intégré de Log Analytics - Champ de type entier utilisant une représentation numérique de DateHeure de Log Analytics. - Champ de type chaîne utilisant une représentation numérique de DateHeure de Log Analytics - Champ de chaîne stockant un format de date/heure de Log Analytics pris en charge. |
La représentation de date et d’heure de Log Analytics est similaire, mais différente de celle d’Unix. Pour plus d'informations, consultez les instructions de conversion. Remarque : le cas échéant, l’heure doit être ajustée au fuseau horaire. |
| Adresse MAC | String | Notation hexadécimale à deux-points. |
| Adresse IP | String | Les schémas Microsoft Sentinel n’ont pas d’adresses IPv4 et IPv6 distinctes. Tout champ d’adresse IP peut inclure une adresse IPv4 ou IPv6, comme suit : - IPv4 dans une notation décimale à points - IPv6 en notation 8 hextets, permettant les formes abrégées. Par exemple : - IPv4 : 192.168.10.10 - IPv6 : FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- Formulaire court IPv6 : 1080::8:800:200C:417A |
| FQDN | Chaîne | Un nom de domaine complet à l’aide d’une notation par points, par exemple learn.microsoft.com. Pour plus d’informations, consultez L’entité appareil. |
| Hostname | String | Un nom d’hôte qui n’est pas un nom de domaine complet (FQDN) inclut jusqu’à 63 caractères, y compris des lettres, des chiffres et des traits d’union. Pour plus d’informations, consultez L’entité appareil. |
| DomainType | Énuméré | Type de domaine stocké dans les champs de domaine et de nom de domaine complet. Pour plus d’informations et pour retrouver une liste de valeurs, consultez L’entité appareil. |
| DvcIdType | Énuméré | Type de l’ID d’appareil stocké dans les champs DvcId. Pour obtenir la liste des valeurs autorisées et des informations complémentaires, reportez-vous à DvcIdType. |
| DeviceType | Énuméré | Type de l’appareil stocké dans les champs DeviceType. Les valeurs possibles incluent : - Computer- Mobile Device- IOT Device- Other. Pour plus d’informations, consultez L’entité appareil. |
| Username | String | Nom d’utilisateur valide dans l’un des types pris en charge. Pour plus d’informations, consultez L’entité utilisateur. |
| UsernameType | Énuméré | Type de nom d’utilisateur stocké dans les champs de nom d’utilisateur. Pour plus d’informations et pour obtenir la liste des valeurs prises en charge, consultez L’entité de l’utilisateur. |
| UserIdType | Énuméré | Type de l’ID stocké dans les champs d’ID d’utilisateur. Les valeurs prises en charge sont SID, UIS, AADID, OktaId, AWSId et PUID. Pour plus d’informations, consultez L’entité utilisateur. |
| UserType | Énuméré | Type d’un utilisateur. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez L’entité de l’utilisateur. |
| AppType | Énuméré | Type d’une application. Les valeurs Process, Service, Resource, URL, SaaS application, CSP et Other sont prises en charge. |
| Pays | String | Chaîne utilisant ISO 3166-1 conformément à la priorité suivante : - Codes alpha-2, tels que US pour les États-Unis. - Codes alpha-3, tels que USA pour les États-Unis. - Nom court. La liste des codes se trouve sur le site Web International Standards Organization (ISO). |
| Région | String | Nom de subdivision du pays selon la norme ISO 3166-2. La liste des codes se trouve sur le site Web International Standards Organization (ISO). |
| Ville | String | |
| Longitude | Double | Représentation de coordonnée ISO 6709 (décimale signée). |
| Latitude | Double | Représentation de coordonnée ISO 6709 (décimale signée). |
| MD5 | Chaîne | 32 caractères hexadécimaux. |
| SHA1 | Chaîne | 40 caractères hexadécimaux. |
| SHA256 | Chaîne | 64 caractères hexadécimaux. |
| SHA512 | Chaîne | 128 caractères hexadécimaux. |
Entities
Les événements évoluent autour des entités, telles que les utilisateurs, les hôtes, les processus ou les fichiers. La représentation d’entité permet à plusieurs entités du même type de faire partie d’un seul enregistrement et prend en charge plusieurs attributs pour les mêmes entités.
Pour activer la fonctionnalité d’entité, la représentation d’entité présente les indications suivantes :
| Instruction | Description |
|---|---|
| Descripteurs et alias | Étant donné qu’un seul événement comprend souvent plusieurs entités du même type, comme les hôtes source et de destination, les descripteurs sont utilisés comme préfixes pour identifier tous les champs associés à une entité spécifique. Pour maintenir la normalisation, l'ASIM utilise un petit ensemble de descripteurs standard, en choisissant les plus appropriés pour le rôle spécifique des entités. Si une seule entité d’un type est pertinente pour un événement, il n’est pas nécessaire d’utiliser un descripteur. En outre, un ensemble de champs sans descripteur crée un alias pour l’entité la plus utilisée de chaque type. |
| Identificateurs et types | Un schéma normalisé autorise plusieurs identificateurs pour chaque entité, qui sont censés coexister dans les événements. Si l’événement source a d’autres identificateurs d’entité qui ne peuvent pas être mappés au schéma normalisé, conservez-les dans le formulaire source ou utilisez le champ dynamique AdditionalFields. Pour conserver les informations de type pour les identificateurs, stockez le type, le cas échéant, dans un champ avec le même nom et un suffixe de Type. Par exemple, UserIdType. |
| Attributs | Les entités ont souvent d’autres attributs qui ne servent pas d’identificateur et peuvent également être qualifiés avec un descripteur. Par exemple, si l’utilisateur source possède des informations de domaine, le champ normalisé est SrcUserDomain. |
Chaque schéma définit explicitement les entités et les champs d’entité centraux. Les directives suivantes vous permettent de comprendre les champs centraux du schéma, ainsi que la manière d'étendre les schémas de manière normalisée en utilisant d'autres entités ou champs d'entité qui ne sont pas explicitement définis dans le schéma.
L'entité Utilisateur
Les utilisateurs sont au centre des activités signalées par les événements. Les champs répertoriés dans cette section sont utilisés pour décrire les utilisateurs impliqués dans l’action. Les préfixes sont utilisés pour désigner le rôle de l’utilisateur dans l’activité. Les préfixes Src et Dst sont utilisés pour désigner le rôle d’utilisateur dans les événements liés au réseau, dans lesquels un système source et un système de destination communiquent. Les préfixes Actor et Target sont utilisés pour les événements orientés système tels que les événements de processus.
Identifiant utilisateur et étendue
| Champ | Classe | Type | Description |
|---|---|---|---|
| UserId | Facultatif | Chaîne | Représentation unique, alphanumérique et lisible par l’ordinateur de l’utilisateur. |
| UserScope | Facultatif | string | L’étendue dans laquelle UserId et Username sont définis. Par exemple, un nom de domaine de locataire Microsoft Entra. Le champ UserIdType représente également le type associé à ce champ. |
| UserScopeId | Facultatif | string | ID de l’étendue dans laquelle UserId et Username sont définis. Par exemple, un ID de répertoire de locataire Microsoft Entra. Le champ UserIdType représente également le type associé à ce champ. |
| UserIdType | Facultatif | UserIdType | Type de l’ID stocké dans le champ UserId. |
| UserSid, UserUid, UserAadId, UserOktaId, UserAWSId, UserPuid | Facultatif | String | Champs utilisés pour stocker des identifiants utilisateur spécifiques. Sélectionnez l’ID le plus associé à l’événement en tant qu’ID principal stocké dans UserId. Remplissez le champ d’ID spécifique approprié en plus de UserId, même si l’événement ne comporte qu’un seul ID. |
| UserAADTenant, UserAWSAccount | Facultatif | String | Champs utilisés pour stocker des étendues spécifiques. Utilisez le champ UserScope pour l’étendue associée à l’identifiant stocké dans le champ UserId . Remplissez le champ d’étendue spécifique approprié en plus de UserScope, même si l’événement ne comporte qu’un seul ID. |
Les valeurs autorisées pour le type d’ID d’utilisateur sont les suivantes :
| Type | Description | Exemple |
|---|---|---|
| SID | ID utilisateur Windows. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | ID utilisateur Linux. | 4578 |
| AADID | Un identifiant utilisateur Microsoft Entra. | 9267d02c-5f76-40a9-a9eb-b686f3ca47aa |
| OktaId | ID utilisateur Okta. | 00urjk4znu3BcncfY0h7 |
| AWSId | ID utilisateur AWS. | 72643944673 |
| PUID | ID d’utilisateur Microsoft 365. | 10032001582F435C |
| SalesforceId | ID d’utilisateur Salesforce. | 00530000009M943 |
Nom de l’utilisateur
| Champ | Classe | Type | Description |
|---|---|---|---|
| Username | Facultatif | String | Nom de l’utilisateur source, y compris les informations de domaine, le cas échéant. Utilisez la forme simple uniquement si les informations de domaine ne sont pas disponibles. Stockez le type Nom d’utilisateur dans le champ UsernameType. |
| UsernameType | Facultatif | UsernameType | Spécifie le type du nom d’utilisateur stocké dans le champ Username. |
| UserUPN, WindowsUsername, DNUsername, SimpleUsername | Facultatif | Chaîne | Champs utilisés pour stocker d’autres noms d’utilisateur, si l’événement d’origine comprend plusieurs noms d’utilisateur. Sélectionnez le nom d’utilisateur le plus associé à l’événement en tant que nom d’utilisateur principal stocké dans Username. |
Les valeurs autorisées pour le type username sont les suivantes :
| Type | Description | Exemple |
|---|---|---|
| UPN | Un désignateur de nom d’utilisateur d’adresse UPN d’adresse e-mail. | johndow@contoso.com |
| Windows | Un nom d’utilisateur Windows avec un domaine. | Contoso\johndow |
| DN | Un désignateur de nom unique LDAP. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| Simple | Nom d’utilisateur simple sans désignateur de domaine. | johndow |
| AWSId | ID utilisateur AWS. | 72643944673 |
Champs utilisateur supplémentaires
| Champ | Classe | Type | Description |
|---|---|---|---|
| UserType | Facultatif | UserType | Type de l’utilisateur source. Les valeurs prises en charge sont : - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.La valeur peut être fournie dans l’enregistrement source avec des termes différents, qui doivent être normalisés avec ces valeurs. Stockez la valeur d’origine dans le champ OriginalUserType . |
| OriginalUserType | Facultatif | String | Type d’utilisateur de destination d’origine, s’il est fourni par le dispositif de reporting. |
Entité de l’appareil
Les appareils ou les hôtes sont les termes courants utilisés pour les systèmes qui participent à l’événement. Le préfixe Dvc est utilisé pour désigner l’appareil principal sur lequel l’événement se produit. Certains événements, tels que les sessions réseau, ont des appareils source et de destination, désignés par les préfixes Src et Dst. Dans ce cas, le préfixe Dvc est utilisé pour l’appareil signalant l’événement, qui peut être la source, la destination ou un appareil de surveillance.
Les alias de l’appareil
| Champ | Classe | Type | Description |
|---|---|---|---|
| Dvc, Src, Dst | Obligatoire | Chaîne | Les champs Dvc, Src ou Dst sont utilisés comme identificateur unique de l’appareil. Il est défini sur le meilleur identificateur disponible pour l’appareil. Ces champs peuvent remplacer les champs FQDN, DvcId, Hostname ou IpAddr. Pour les sources cloud pour lesquelles il n’y a pas d’appareil apparent, utilisez la même valeur que celle du champ Event Product. |
Le nom de l’appareil
Les noms d’appareils signalés peuvent inclure un nom d’hôte uniquement ou un nom de domaine complet qui comprend un nom d’hôte et un nom de domaine. Le nom de domaine complet peut être exprimé selon plusieurs formats. Les champs suivants permettent de prendre en charge les différentes variantes dans lesquelles le nom de l’appareil peut être fourni.
| Champ | Classe | Type | Description |
|---|---|---|---|
| Hostname | Recommandé | Nom d’hôte | Nom d’hôte court de l’appareil. |
| Domain | Recommandé | Chaîne | Domaine de l’appareil sur lequel l’événement s’est produit, sans nom d’hôte. |
| DomainType | Recommandé | Énuméré | Type de Domain. Les valeurs FQDN et Windows sont prises en charge. Ce champ est obligatoire si le champ Domain est utilisé. |
| FQDN | Facultatif | Chaîne | Nom de domaine complet de l’appareil, avec nom d’hôte et domaine. Ce champ prend en charge à la fois le format FQDN traditionnel et le format Windows domain\hostname. Le champ DomainType reflète le format utilisé. |
Par exemple :
| Champ | Valeur de l’entrée appserver.contoso.com |
Valeur de l’entrée appserver |
|---|---|---|
| Nom d’hôte | appserver |
appserver |
| Domaine | contoso.con |
<empty> |
| DomainType | FQDN |
<empty> |
| FQDN | appserver.contoso.com |
<empty> |
Lorsque la valeur fournie par la source est un nom de domaine complet, ou lorsque la valeur peut être un nom d’hôte ou un nom d’hôte court, l’analyseur doit calculer les 4 valeurs. Utilisez les fonctions d’assistance ASIM _ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDN et _ASIM_ResolveDvcFQDN pour définir facilement les quatre champs en fonction d’une seule valeur d’entrée. Pour plus d’informations, consultez Fonctions d’assistance ASIM.
L’ID et l’étendue de l’appareil
| Champ | Classe | Type | Description |
|---|---|---|---|
| DvcId | Facultatif | Chaîne | ID unique de l’appareil. Par exemple : 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Facultatif | String | ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil source. Scope correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| Étendue | Facultatif | String | Étendue de la plateforme cloud à laquelle appartient l’appareil source. Scope correspond à un abonnement sur Azure et à un compte sur AWS. |
| DvcIdType | Facultatif | Énuméré | Type de DvcId. En règle générale, ce champ identifie également le type de Scope et ScopeId. Ce champ est obligatoire si le champ Dvcld est utilisé. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Facultatif | Chaîne | Champs utilisés pour stocker d’autres ID utilisateur, si l’événement d’origine comprend plusieurs ID d’utilisateur. Sélectionnez l’ID d’appareil le plus souvent associé à l’événement en tant qu’ID principal stocké dans DvcId. |
Notez que les champs nommés doivent ajouter un préfixe de rôle tel que Src ou Dst, mais ne doivent pas ajouter un deuxième préfixe Dvc s’ils sont utilisés dans ce rôle.
Les valeurs autorisées pour un type d’ID d’utilisateur sont les suivantes :
| Type | Description |
|---|---|
| MDEid | ID système affecté par Microsoft Defender pour point de terminaison. |
| AzureResourceId | ID de ressource Azure. |
| MD4IoTid | ID de ressource Microsoft Defender pour IoT. |
| VMConnectionId | ID de ressource de la solution Informations machine virtuelle Azure Monitor. |
| AwsVpcId | ID AWS VPC. |
| VectraId | ID de ressource affecté par l’IA Vectra. |
| Autres | Type d’ID non répertorié ci-dessus. |
Par exemple, la solution Informations de machine virtuelle Azure Monitor fournit des informations sur les sessions réseau dans le VMConnection. Ce tableau fournit un ID de ressource Azure dans le champ _ResourceId et un ID d’appareil spécifique à VM Insights dans le champ Machine. Utilisez le mappage suivant pour représenter ces ID :
| Champ | Mapper à |
|---|---|
| DvcId | Champ Machine du tableau VMConnection. |
| DvcIdType | Valeur VMConnectionId |
| DvcAzureResourceId | Champ _ResourceId du tableau VMConnection. |
Autres champs d’appareil
| Champ | Classe | Type | Description |
|---|---|---|---|
| IpAddr | Recommandé | Adresse IP | Adresse IP de l’appareil. Exemple : 45.21.42.12 |
| DvcDescription | Facultatif | String | Obtient le texte descriptif associé à l’appareil. Par exemple : Primary Domain Controller. |
| MacAddr | Facultatif | MAC | L'adresse MAC du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. Exemple : 00:1B:44:11:3A:B7 |
| Zone | Facultatif | String | Le réseau sur lequel l'événement s'est produit ou qui a signalé l'événement, selon le schéma. La zone est définie par le dispositif de reporting. Exemple : Dmz |
| DvcOs | Facultatif | String | Le système d’exploitation exécuté sur le dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. Exemple : Windows |
| DvcOsVersion | Facultatif | String | La version du système d’exploitation du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. Exemple : 10 |
| DvcAction | Facultatif | String | Pour les systèmes de sécurité déclarés, l'action prise par le système, le cas échéant. Exemple : Blocked |
| DvcOriginalAction | Facultatif | String | Le DvcAction d’origine, tel que fourni par l’appareil de reporting. |
| Interface | Facultatif | String | Interface réseau sur laquelle les données ont été capturées. Ce champ est généralement adapté à une activité liée au réseau qui est capturée par un appareil intermédiaire ou point d’accès terminal. |
Notez que les champs nommés dans la liste avec le préfixe Dvc doivent ajouter un préfixe de rôle tel que Src ou Dst, mais ne doivent pas ajouter un deuxième préfixe Dvc s’ils sont utilisés dans ce rôle.
Exemple de mappage d’entité
Cette section utilise l'événement Windows 4624 comme exemple pour décrire comment les données de l'événement sont normalisées pour Microsoft Sentinel.
Cet événement comporte les entités suivantes :
| Terminologie Microsoft | Préfixe du champ d’événement d’origine | Préfixe du champ ASIM | Description |
|---|---|---|---|
| Subject | Subject |
Actor |
Utilisateur qui a signalé des informations sur une connexion réussie. |
| Nouvelle connexion | Target |
TargetUser |
Utilisateur pour lequel la connexion a été effectuée. |
| Processus | - | ActingProcess |
Processus qui a tenté de se connecter. |
| Informations sur le réseau | - | Src |
Ordinateur à partir duquel une tentative de connexion a été effectuée. |
Sur la base de ces entités, l’événement Windows 4624 est normalisé comme suit (certains champs sont facultatifs) :
| Champ normalisé | Champ d'origine | Valeur dans l’exemple | Notes |
|---|---|---|---|
| ActorUserId | SubjectUserSid | S-1-5-18 | |
| ActorUserIdType | - | SID | |
| ActorUserName | SubjectDomainName\ SubjectUserName | WORKGROUP\WIN-GG82ULGC9GO$ | Construit en concaténant les deux champs |
| ActorUserNameType | - | Windows | |
| ActorSessionId | SubjectLogonId | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| UserId | TargetUserSid | Alias | |
| TargetUserIdType | - | SID | |
| TargetUserName | TargetDomainName\ TargetUserName | Administrator\WIN-GG82ULGC9GO$ | Construit en concaténant les deux champs |
| Nom d’utilisateur | TargetDomainName\ TargetUserName | Alias | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | TargetLogonId | 0x8dcdc | |
| ActingProcessName | ProcessName | C:\Windows\System32\svchost.exe | |
| ActingProcessId | ProcessId | 0x44c | |
| SrcHostname | WorkstationName | Windows | |
| SrcIpAddr | IpAddress | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | Computer | WIN-GG82ULGC9GO | |
| Nom d’hôte | Computer | Alias |
Étapes suivantes
Cet article fournit une vue d’ensemble de la normalisation dans Microsoft Sentinel et ASIM.
Pour plus d'informations, consultez les pages suivantes :
- Regardez le webinaire de formation approfondie sur la normalisation des analyseurs et le contenu normalisé Microsoft Sentinel ou passez en revue les diapositives
- Vue d’ensemble de l’Advanced SIEM Information Model (ASIM)
- Analyseurs de l’Advanced SIEM Information Model (ASIM)
- Contenu de l’Advanced SIEM Information Model (ASIM)