Informations de référence sur le schéma de normalisation des événements d’audit ASIM (Advanced Security Information Model) (préversion publique)
Le schéma de normalisation des événements d’audit Microsoft Sentinel représente les événements associés à la piste d’audit des systèmes d’information. La piste d’audit journalise les activités de configuration système et les modifications de stratégie. Ces modifications sont souvent effectuées par les administrateurs système, mais peuvent aussi être effectuées par les utilisateurs lors de la configuration des paramètres de leurs propres applications.
Chaque système journalise les événements d’audit en même temps que ses journaux d’activité de base. Par exemple, un pare-feu journalisera les événements concernant les sessions et processus réseau, ainsi que les événements d’audit concernant les modifications de configuration appliquées au pare-feu lui-même.
Pour plus d’informations sur la normalisation dans Microsoft Sentinel, consultez Normalisation et Advanced SIEM Information Model (ASIM).
Important
Le schéma de normalisation des événements d’audit est actuellement en préversion. Cette fonctionnalité est fournie sans contrat de niveau de service. Nous ne la recommandons pas pour les charges de travail de production.
Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
Vue d’ensemble du schéma
Les principaux champs d’un événement d’audit sont :
- L’objet, qui peut être par exemple une ressource managée ou une règle de stratégie, sur lequel l’événement se concentre, représenté par le champ Object. Le champ ObjectType spécifie le type de l’objet.
- Le contexte d’application de l’objet, représenté par le champ TargetAppName, dont l’alias est Application.
- L’opération effectuée sur l’objet, représentée par les champs EventType et Operation. Operation est la valeur signalée par la source, tandis que EventType est une version normalisée, qui est plus cohérente entre les sources.
- Anciennes et nouvelles valeurs de l’objet, le cas échéant, représentées respectivement par OldValue et NewValue.
Les événements d’audit font également référence aux entités suivantes impliquées dans l’opération de configuration :
- Actor - L’utilisateur effectuant l’opération de configuration.
- TargetApp - L’application ou le système pour lequel l’opération de configuration s’applique.
- Target : système sur lequel TaregtApp* est en cours d’exécution.
- ActingApp -L’application utilisée par Actor pour effectuer l’opération de configuration.
- Src - Le système utilisé par Actor pour lancer l’opération de configuration, s’il est différent de Target.
Le descripteur Dvc est utilisé pour le dispositif à l’origine du signalement, qui correspond au système local pour les sessions signalées par un point de terminaison, et le dispositif intermédiaire ou de sécurité dans les autres cas.
Analyseurs
Déploiement et utilisation d’analyseurs d’événements d’audit
Déployez les analyseurs des événements d’audit ASIM à partir du référentiel GitHub de Microsoft Sentinel. Pour interroger toutes les sources de l’événement d’audit, utilisez l’analyseur d’unification imAuditEvent comme nom de table dans votre requête.
Pour plus d’informations sur les analyseurs ASIM, consultez Vue d’ensemble des analyseurs ASIM. Pour obtenir la liste des analyseurs d’événements d’audit, Microsoft Sentinel fournit une référence prête à l’emploi à la liste des analyseurs ASIM
Ajouter vos propres analyseurs normalisés
Quand vous implémentez des analyseurs personnalisés pour le modèle d’informations sur les événements de fichier, nommez vos fonctions KQL avec la syntaxe suivante : imAuditEvent<vendor><Product>. Reportez-vous à l’article Gestion des analyseurs ASIM pour découvrir comment ajouter vos analyseurs personnalisés aux analyseurs d’unification de l’événement d’audit.
Paramètres de filtrage des analyseurs
Les analyseurs d’événements d’audits prennent en charge les paramètres de filtrage. Bien que ces paramètres soient facultatifs, ils peuvent améliorer les performances de vos requêtes.
Les paramètres de filtrage suivants sont disponibles :
| Nom | Type | Description |
|---|---|---|
| starttime | DATETIME | Filtrez uniquement les événements qui ont été exécutés à ce moment-là ou après. Ce paramètre utilise le champ TimeGenerated comme indicateur de temps de l’événement. |
| endtime | DATETIME | Filtrez uniquement les requêtes d’événement dont l’exécution s’est terminée à ce moment-là ou avant. Ce paramètre utilise le champ TimeGenerated comme indicateur de temps de l’événement. |
| srcipaddr_has_any_prefix | dynamique | Filtrez uniquement les événements de cette adresse IP source, telle qu’elle est représentée dans le champ SrcIpAddr. |
| eventtype_in | string | Filtrez uniquement les événements dans lesquels le type d’événement, tel qu’il est représenté dans le champ EventType, est l’un des termes fournis. |
| eventresult | string | Filtrez uniquement les événements dans lesquels le résultat de l’événement, tel qu’il est représenté dans le champ EventResult, est égal à la valeur du paramètre. |
| actorusername_has_any | dynamic/string | Filtrez uniquement les événements dans lesquels ActorUsername inclut l’un des termes fournis. |
| operation_has_any | dynamic/string | Filtrez uniquement les événements dans lesquels le champ Operation inclut l’un des termes fournis. |
| object_has_any | dynamic/string | Filtrez uniquement les événements dans lesquels le champ Object inclut l’un des termes fournis. |
| newvalue_has_any | dynamic/string | Filtrez uniquement les événements dans lesquels le champ NewValue inclut l’un des termes fournis. |
Certains paramètres peuvent accepter à la fois une liste de valeurs de type dynamic ou une valeur de chaîne unique. Pour transmettre une liste de littéraux aux paramètres qui attendent une valeur dynamique, utilisez explicitement un littéral dynamique. Par exemple : dynamic(['192.168.','10.'])
Par exemple, pour filtrer uniquement les événements d’audit avec les termes install ou update dans leur champ Operation, à partir du dernier jour, utilisez :
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
Détails du schéma
Champs ASIM communs
Important
Les champs communs à tous les schémas sont décrits en détail dans l’article Champs communs ASIM.
Champs communs avec des instructions spécifiques
La liste suivante mentionne les champs qui ont des instructions spécifiques pour les événements d’audit :
| Champ | Classe | Type | Description |
|---|---|---|---|
| EventType | Obligatoire | Énuméré | Décrit l’opération auditée par l’événement à l’aide d’une valeur normalisée. Utilisez EventSubType pour fournir des détails supplémentaires que la valeur normalisée ne transmet pas, et Operation. pour stocker l’opération telle que signalée par le dispositif de signalement. Pour les enregistrements d’événements d’audit, les valeurs autorisées sont : - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Other Les événements d’audit représentent une grande variété d’opérations, et la valeur Other active les opérations de mappage qui n’ont pas de EventType correspondant. Toutefois, l’utilisation de Other limite l’utilisabilité de l’événement et doit être évitée si possible. |
| EventSubType | Facultatif | Chaîne | Fournit des détails supplémentaires que la valeur normalisée dans EventType ne transmet pas. |
| EventSchema | Obligatoire | Chaîne | La version du schéma documenté ici est AuditEvent. |
| EventSchemaVersion | Obligatoire | Chaîne | Version du schéma. La version du schéma documenté ici est 0.1. |
Tous les champs communs
Les champs qui apparaissent dans le tableau sont communs à tous les schémas ASIM. Toutes les instructions spécifiées dans ce document remplacent les instructions générales pour le champ. Par exemple, un champ peut être facultatif en général, mais obligatoire pour un schéma spécifique. Pour plus d’informations sur chaque champ, consultez l’article Champs communs ASIM.
| Classe | Fields |
|---|---|
| Obligatoire | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recommandé | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Facultatif | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Champs d’audit
| Champ | Classe | Type | Description |
|---|---|---|---|
| Operation | Obligatoire | String | Opération auditée telle que signalée par le dispositif de reporting. |
| Object | Obligatoire | String | Nom de l’objet sur lequel l’opération identifiée par EventType est effectuée. |
| ObjectType | Obligatoire | Énuméré | Type d’Object. Les valeurs autorisées sont les suivantes : - Cloud Resource- Configuration Atom- Policy Rule- Autre |
| OldValue | Facultatif | String | Ancienne valeur de Object avant l’opération, le cas échéant. |
| NewValue | Facultatif | String | Nouvelle valeur de Object après l’exécution de l’opération, le cas échéant. |
| Value | Alias | Alias pour NewValue | |
| ValueType | Logique conditionnelle | Énuméré | Type des anciennes et nouvelles valeurs. Les valeurs autorisées sont - Autre |
Champs d’intervenant
| Champ | Classe | Type | Description |
|---|---|---|---|
| ActorUserId | Facultatif | String | Représentation unique, alphanumérique et lisible par l’ordinateur de l’intervenant. Pour plus d’informations et pour obtenir d’autres champs d’ID supplémentaires, consultez L’entité Utilisateur. Exemple : S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | Facultatif | String | L’étendue, par exemple le nom de domaine Microsoft Entra, dans laquelle ActorUserId et ActorUsername sont définis. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserScope dans l’article Vue d’ensemble du schéma. |
| ActorScopeId | Facultatif | String | L’ID d’étendue, telle que l’ID de répertoire Microsoft Entra, dans laquelle ActorUserId et ActorUsername sont définis. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserScopeId dans l’article Vue d’ensemble du schéma. |
| ActorUserIdType | Logique conditionnelle | UserIdType | Type de l’ID stocké dans le champ ActorUserId. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserIdType dans l'article Vue d’ensemble du schéma. |
| ActorUsername | Recommandé | Nom d’utilisateur | Nom d’utilisateur de l’intervenant, y compris les informations de domaine, le cas échéant. Pour plus d’informations, consultez L’entité utilisateur. Exemple : AlbertE |
| Utilisateur | Alias | Alias pour ActorUsername | |
| ActorUsernameType | Logique conditionnelle | UsernameType | Spécifie le type du nom d’utilisateur stocké dans le champ ActorUsername. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UsernameType dans l'article Vue d’ensemble du schéma. Exemple : Windows |
| ActorUserType | Facultatif | UserType | Type de l’intervenant. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserIdType dans l'article Vue d’ensemble du schéma. Par exemple : Guest |
| ActorOriginalUserType | Facultatif | UserType | Type d’utilisateur signalé par le dispositif de reporting. |
| ActorSessionId | Facultatif | Chaîne | ID unique de la session de connexion de l’intervenant. Exemple : 102pTUgC3p8RIqHvzxLCHnFlg |
Champs de l’application cible
| Champ | Classe | Type | Description |
|---|---|---|---|
| TargetAppId | Facultatif | String | ID de l’application à laquelle s’applique l’événement, notamment un processus, un navigateur ou un service. Exemple : 89162 |
| TargetAppName | Facultatif | String | Nom de l’application à laquelle s’applique l’événement, notamment un service, une URL ou une application SaaS. Exemple : Exchange 365 |
| Application | Alias | Alias pour TargetAppName | |
| TargetAppType | Facultatif | AppType | Type de l’application effectuant l’autorisation pour le compte de l’intervenant. Pour plus d’informations et pour obtenir la liste autorisée des valeurs, consultez AppType dans l'article Vue d’ensemble du schéma. |
| TargetUrl | Facultatif | URL | URL associée à l’application cible. Exemple : https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
Champs Système cible
| Champ | Classe | Type | Description |
|---|---|---|---|
| Dst | Alias | Chaîne | Identificateur unique de la cible authentification. Ce champ peut avoir pour alias les champs TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId ou TargetAppName. Exemple : 192.168.12.1 |
| TargetHostname | Recommandé | Nom d’hôte | Nom d’hôte de l’appareil cible, à l’exception des informations de domaine. Exemple : DESKTOP-1282V4D |
| TargetDomain | Recommandé | Chaîne | Domaine de l’appareil cible. Exemple : Contoso |
| TargetDomainType | Logique conditionnelle | Énuméré | Type de TargetDomain. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à DomainType dans l’article Vue d’ensemble du schéma. Obligatoire si TargetDomain est utilisé. |
| TargetFQDN | Facultatif | Chaîne | Nom d’hôte de l’appareil cible, y compris les informations de domaine, le cas échéant. Exemple : Contoso\DESKTOP-1282V4D Remarque : ce champ prend en charge à la fois le format FQDN traditionnel et le format Windows domain\hostname. Le champ TargetDomainType reflète le format utilisé. |
| TargetDescription | Facultatif | String | Obtient le texte descriptif associé à l’appareil. Par exemple : Primary Domain Controller. |
| TargetDvcId | Facultatif | String | ID de l’appareil cible. Si plusieurs ID sont disponibles, utilisez le plus important et stockez les autres dans les champs TargetDvc<DvcIdType>. Exemple : ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | Facultatif | String | ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil source. TargetDvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| TargetDvcScope | Facultatif | String | Étendue de la plateforme cloud à laquelle appartient l’appareil source. TargetDvcScope correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| TargetDvcIdType | Logique conditionnelle | Énuméré | Type de TargetDvcId. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à DvcIdType dans l’article Vue d’ensemble du schéma. Obligatoire si TargetDeviceId est utilisé. |
| TargetDeviceType | Facultatif | Énuméré | Type de l’appareil cible. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à DeviceType dans l’article Vue d’ensemble du schéma. |
| TargetIpAddr | Facultatif | Adresse IP | Adresse IP de l’appareil cible. Exemple : 2.2.2.2 |
| TargetDvcOs | Facultatif | Chaîne | Système d’exploitation de l’appareil cible. Exemple : Windows 10 |
| TargetPortNumber | Facultatif | Integer | Port de l’appareil cible. |
Champs Application responsable de l’action
| Champ | Classe | Type | Description |
|---|---|---|---|
| ActingAppId | Facultatif | String | ID de l’application qui a lancé l’activité signalée, notamment un processus, un navigateur ou un service. Par exemple : 0x12ae8 |
| ActiveAppName | Facultatif | String | Nom de l’application qui a lancé l’activité signalée, notamment un service, une URL ou une application SaaS. Par exemple : C:\Windows\System32\svchost.exe |
| ActingAppType | Facultatif | AppType | Type de l’application agissante. Pour plus d’informations et pour obtenir la liste autorisée des valeurs, consultez AppType dans l'article Vue d’ensemble du schéma. |
| HttpUserAgent | Facultatif | Chaîne | Quand l’authentification est effectuée via HTTP ou HTTPS, la valeur de ce champ est l’en-tête HTTP user_agent fourni par l’application agissante lors de l’exécution de l’authentification. Par exemple : Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
Champs Système source
| Champ | Classe | Type | Description |
|---|---|---|---|
| Src | Alias | Chaîne | Identificateur unique de l’appareil source. Ce champ peut prendre l’alias des champs SrcDvcId, SrcHostname et SrcIpAddr. Exemple : 192.168.12.1 |
| SrcIpAddr | Recommandé | Adresse IP | Adresse IP d’origine de la connexion ou de la session. Exemple : 77.138.103.108 |
| IpAddr | Alias | Alias pour SrcIpAddr ou pour TargetIpAddr si SrcIpAddr n’est pas fourni. | |
| SrcPortNumber | Facultatif | Integer | Port IP d’où provient la connexion. Peut ne pas être pertinent pour une session comprenant plusieurs connexions. Exemple : 2335 |
| SrcHostname | Recommandé | Nom d’hôte | Nom d’hôte de l’appareil source, à l’exception des informations de domaine. Si aucun nom de périphérique n’est disponible, stockez l’adresse IP pertinente dans ce champ. Exemple : DESKTOP-1282V4D |
| SrcDomain | Recommandé | Chaîne | Domaine de l’appareil source. Exemple : Contoso |
| SrcDomainType | Logique conditionnelle | DomainType | Type de SrcDomain. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à DomainType dans l’article Vue d’ensemble du schéma. Obligatoire si SrcDomain est utilisé. |
| SrcFQDN | Facultatif | String | Nom d’hôte de l’appareil source, y compris les informations de domaine, le cas échéant. Remarque : ce champ prend en charge à la fois le format FQDN traditionnel et le format Windows domain\hostname. Le champ SrcDomainType reflète le format utilisé. Exemple : Contoso\DESKTOP-1282V4D |
| SrcDescription | Facultatif | String | Obtient le texte descriptif associé à l’appareil. Par exemple : Primary Domain Controller. |
| SrcDvcId | Facultatif | String | ID de l’appareil source. Si plusieurs ID sont disponibles, utilisez le plus important et stockez les autres dans les champs SrcDvc<DvcIdType>.Exemple : ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Facultatif | String | ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil source. SrcDvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcDvcScope | Facultatif | String | Étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcSubscription correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcDvcIdType | Logique conditionnelle | DvcIdType | Type de SrcDvcId. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à DvcIdType dans l’article Vue d’ensemble du schéma. Remarque: ce champ est obligatoire si le champ SrcDvcld est utilisé. |
| SrcDeviceType | Facultatif | DeviceType | Type de l’appareil source. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à DeviceType dans l’article Vue d’ensemble du schéma. |
| SrcSubscriptionId | Facultatif | String | ID d’abonnement à la plateforme cloud auquel appartient l’appareil source. DstSubscriptionId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcGeoCountry | Facultatif | Pays ou région | Pays associé à l’adresse IP source. Exemple : USA |
| SrcGeoRegion | Facultatif | Région | Région au sein d’un pays associé à l’adresse IP source. Exemple : Vermont |
| SrcGeoCity | Facultatif | City | Ville associée à l’adresse IP source. Exemple : Burlington |
| SrcGeoLatitude | Facultatif | Latitude | Latitude de la coordonnée géographique associée à l’adresse IP source. Exemple : 44.475833 |
| SrcGeoLongitude | Facultatif | Longitude | Longitude de la coordonnée géographique associée à l’adresse IP source. Exemple : 73.211944 |
Champs d’inspection
Les champs suivants sont utilisés pour représenter cette inspection effectuée par un système de sécurité.
| Champ | Classe | Type | Description |
|---|---|---|---|
| RuleName | Facultatif | String | Nom ou ID de la règle associée aux résultats de l’inspection. |
| RuleNumber | Facultatif | Integer | Numéro de la règle associée aux résultats de l’inspection. |
| Règle | Alias | String | Valeur de RuleName ou valeur de RuleNumber. Si la valeur de RuleNumber est utilisée, le type doit être converti en chaîne. |
| ThreatId | Facultatif | String | ID de la menace ou du programme malveillant identifié dans l’activité d’audit. |
| ThreatName | Facultatif | String | Nom de la menace ou du programme malveillant identifié dans l’activité d’audit. |
| ThreatCategory | Facultatif | String | Catégorie de la menace ou du programme malveillant identifié dans l’activité d’audit. |
| ThreatRiskLevel | Facultatif | Integer | Niveau de risque associé à la menace identifiée. Le niveau doit être un nombre compris entre 0 et 100. Remarque : la valeur peut être fournie dans l’enregistrement source en utilisant une échelle différente, qui doit être normalisée à cette échelle. La valeur d’origine doit être stockée dans le champ ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Facultatif | String | Niveau de risque signalé par le périphérique de reporting. |
| ThreatConfidence | Facultatif | Integer | Niveau de confiance de la menace identifiée, normalisé à une valeur comprise entre 0 et 100. |
| ThreatOriginalConfidence | Facultatif | String | Niveau de confiance d’origine de la menace identifiée, comme indiqué par l’appareil de création de rapports. |
| ThreatIsActive | Facultatif | Booléen | True si la menace identifiée est considérée comme une menace active. |
| ThreatFirstReportedTime | Facultatif | DATETIME | Indique la première fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatLastReportedTime | Facultatif | DATETIME | La dernière fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatIpAddr | Facultatif | Adresse IP | Adresse IP pour laquelle une menace a été identifiée. Le champ ThreatField contient le nom du champ que ThreatIpAddr représente. |
| ThreatField | Facultatif | Énuméré | Champ pour lequel une menace a été identifiée. La valeur est soit SrcIpAddr, soit TargetIpAddr. |
Étapes suivantes
Pour plus d'informations, consultez les pages suivantes :