Informations de référence sur le schéma de normalisation de session réseau ASIM (Advanced Security Information Model) (préversion publique)
Le schéma de normalisation de la session réseau Microsoft Sentinel représente une activité de réseau IP (connexions réseau et sessions réseau, par exemple). Ces événements sont signalés, par exemple, par les systèmes d’exploitation, les routeurs, les pare-feu et les systèmes de prévention des intrusions.
Le schéma de normalisation du réseau peut représenter n’importe quel type de session réseau IP, mais il est conçu pour prendre en charge les types de sources courants, tels que NetFlow, les pare-feux et les systèmes de prévention des intrusions.
Pour plus d’informations sur la normalisation dans Microsoft Sentinel, consultez Normalisation et modèle ASIM (Advanced Security Information Model).
Cet article décrit la version 0.2.x du schéma de normalisation réseau. La version 0.1 a été publiée avant qu’ASIM ne soit disponible et n’est pas alignée avec ASIM à différents égards. Pour plus d’informations, consultez différences entre les versions de schéma de normalisation réseau .
Important
Le schéma de normalisation réseau est actuellement disponible en préversion. Cette fonctionnalité est fournie sans contrat de niveau de service. Nous ne la recommandons pas pour les charges de travail de production.
Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
Analyseurs
Pour plus d’informations sur les analyseurs ASIM, consultez Vue d’ensemble des analyseurs ASIM.
Analyseurs d’unification
Pour utiliser des analyseurs qui unifient tous les analyseurs prêts à l’emploi ASIM et garantissent l’exécution de votre analyse sur toutes les sources configurées, utilisez l’analyseur de filtrage _Im_NetworkSession ou l’analyseur sans paramètre _ASim_NetworkSession.
Vous pouvez également utiliser les analyseurs ImNetworkSession et ASimNetworkSession déployés par l’espace de travail en les déployant à partir du référentiel GitHub Microsoft Sentinel.
Pour plus d’informations, consultez Analyseurs ASIM intégrés et analyseurs déployés par l’espace de travail.
Analyseurs prêts à l’emploi et spécifiques à la source
Pour obtenir la liste des analyseurs de session réseau, Microsoft Sentinel fournit une référence prête à l’emploi à la liste des analyseurs ASIM.
Ajouter vos propres analyseurs normalisés
Quand vous développez des analyseurs personnalisés pour le modèle d’informations sur les sessions réseau, nommez vos fonctions KQL avec la syntaxe suivante :
vimNetworkSession<vendor><Product>pour les analyseurs paramétrésASimNetworkSession<vendor><Product>pour les analyseurs standard
Reportez-vous à l’article Gestion des analyseurs ASIM pour découvrir comment ajouter vos analyseurs personnalisés aux analyseurs d’unification des sessions réseau.
Paramètres de filtrage des analyseurs
Les analyseurs de session réseau prennent en charge les paramètres de filtrage. Bien que ces paramètres soient facultatifs, ils peuvent améliorer les performances de vos requêtes.
Les paramètres de filtrage suivants sont disponibles :
| Nom | Type | Description |
|---|---|---|
| starttime | DATETIME | Filtrer uniquement les sessions réseau ayant démarré à cette heure ou après. |
| endtime | DATETIME | Filtrer uniquement les sessions réseau dont l’exécution a démarré à cette heure ou avant. |
| srcipaddr_has_any_prefix | dynamique | Filtrer uniquement les sessions réseau pour lesquelles le préfixe du champ d’adresse IP source correspond à l’une des valeurs indiquées. Les préfixes doivent se terminer par . (par exemple : 10.0.). La longueur de la liste est limitée à 10 000 éléments. |
| dstipaddr_has_any_prefix | dynamique | Filtrer uniquement les sessions réseau pour lesquelles le préfixe du champ d’adresse IP de destination correspond à l’une des valeurs indiquées. Les préfixes doivent se terminer par . (par exemple : 10.0.). La longueur de la liste est limitée à 10 000 éléments. |
| ipaddr_has_any_prefix | dynamique | Filtrer uniquement les sessions réseau pour lesquelles le préfixe du champ d’adresse IP de destination ou du champ d’adresse IP source correspond à l’une des valeurs indiquées. Les préfixes doivent se terminer par . (par exemple : 10.0.). La longueur de la liste est limitée à 10 000 éléments.Le champ ASimMatchingIpAddr est défini avec l’une des valeurs SrcIpAddr, DstIpAddr ou Both pour refléter les champs correspondants. |
| dstportnumber | Int | Filtrer uniquement les sessions réseau avec le numéro de port de destination spécifié. |
| hostname_has_any | dynamic/string | Filtrer uniquement les sessions réseau pour lesquelles le champ du nom d’hôte de destination a l’une des valeurs indiquées. La longueur de la liste est limitée à 10 000 éléments. Le champ ASimMatchingHostname est défini avec l’une des valeurs SrcHostname, DstHostname ou Both pour refléter les champs correspondants. |
| dvcaction | dynamic/string | Filtrer uniquement les sessions réseau pour lesquelles le champ d’action d’appareil a l’une des valeurs indiquées. |
| eventresult | String | Filtrer uniquement les sessions réseau avec une valeur EventResult spécifique. |
Certains paramètres peuvent accepter aussi bien une liste de valeurs de type dynamic ou une valeur de chaîne unique. Pour transmettre une liste de littéraux aux paramètres qui attendent une valeur dynamique, utilisez explicitement un littéral dynamique. Par exemple : dynamic(['192.168.','10.'])
Par exemple, pour filtrer uniquement les sessions réseau pour une liste spécifiée de noms de domaine, utilisez :
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
Conseil
Pour transmettre une liste de littéraux aux paramètres qui attendent une valeur dynamique, utilisez explicitement un littéral dynamique. Par exemple : dynamic(['192.168.','10.']).
Contenu normalisé
Pour obtenir la liste complète des règles analytiques qui utilisent des événements DNS normalisés, consultez Contenu de sécurité des sessions réseau.
Vue d’ensemble du schéma
Le modèle d’informations sur les sessions réseau est aligné avec le schéma d’entité réseau OSSEM.
Le schéma de session réseau sert plusieurs types de scénarios similaires, mais distincts, qui partagent les mêmes champs. Ces scénarios sont identifiés par le champ Type d’événement :
NetworkSession– une session réseau rapportée par un dispositif intermédiaire surveillant le réseau, tel qu'un pare-feu, un routeur ou un appui réseau.L2NetworkSession– une session réseau pour laquelle seules les informations de couche 2 sont disponibles. Ces événements incluent des adresses MAC, mais pas des adresses IP.Flow– un événement d’agrégation qui signale plusieurs sessions réseau similaires, généralement sur une période prédéfinie, comme les événements Netflow.EndpointNetworkSession– une session réseau signalée par l’un des points de terminaison de la session, y compris les clients et les serveurs. Pour les systèmes de ce type, le schéma prend en charge les champs d’aliasremoteetlocal.IDS– une session réseau signalée comme suspecte. Un tel événement aura certains des champs d’inspection remplis et peut avoir seulement un champ d'adresse IP rempli, soit la source, soit la destination.
En règle générale, une requête doit sélectionner uniquement un sous-ensemble de ces types d’événements et peut avoir besoin de traiter séparément les aspects uniques des cas d’usage. Par exemple, les événements IDS ne reflètent pas l’intégralité du volume réseau et ne doivent pas être pris en compte dans les analyses basées sur les colonnes.
Les événements de session réseau utilisent les descripteurs Src et Dst pour désigner les rôles des appareils et les utilisateurs et applications associés impliqués dans la session. Ainsi, par exemple, le nom d’hôte et l’adresse IP de l’appareil source se nomment SrcHostname et SrcIpAddr. Les autres schémas ASIM utilisent généralement Target au lieu de Dst.
Pour les événements signalés par un point de terminaison et pour lesquels le type d’événement est EndpointNetworkSession, les descripteurs Local et Remote désignent respectivement le point de terminaison lui-même et l’appareil à l’autre extrémité de la session réseau.
Le descripteur Dvc est utilisé pour l’appareil à l’origine du signalement, qui correspond au système local pour les sessions signalées par un point de terminaison, et l’appareil intermédiaire ou le point d’accès terminal de réseau pour les autres événements de session réseau.
Détails du schéma
Champs ASIM communs
Important
Les champs communs à tous les schémas sont décrits en détail dans l’article Champs communs ASIM.
Champs communs avec des instructions spécifiques
La liste suivante mentionne les champs qui ont des recommandations spécifiques pour des événements de session réseau :
| Champ | Classe | Type | Description |
|---|---|---|---|
| EventCount | Obligatoire | Integer | Les sources NetFlow prennent en charge l’agrégation et le champ EventCount doit être défini sur la valeur du champ FLOWS de NetFlow. Pour les autres sources, la valeur est généralement définie sur 1. |
| EventType | Obligatoire | Énuméré | Décrit le scénario signalé par l’enregistrement. Pour les enregistrements de session réseau, les valeurs suivantes sont autorisées : - EndpointNetworkSession- NetworkSession - L2NetworkSession- IDS - FlowPour plus d’informations sur les types d’événements, consultez la vue d’ensemble du schéma |
| EventSubType | Facultatif | String | Description supplémentaire du type, le cas échéant. Pour les enregistrements de session réseau, les valeurs suivantes sont prises en charge : - Start- EndCe champ n’est pas pertinent pour les événements Flow. |
| EventResult | Obligatoire | Énuméré | Si l’appareil source ne fournit pas de résultat d’événement, EventResult doit être basé sur la valeur de DvcAction. Si DvcAction correspond à Deny, Drop, Drop ICMP, Reset, Reset Source ou Reset Destination, EventResult doit avoir la valeur Failure. Sinon, EventResult doit avoir la valeur Success. |
| EventResultDetails | Recommandé | Énuméré | Raison ou détails du résultat rapporté dans le champ EventResult. Les valeurs prises en charge sont les suivantes : - Basculement - TCP non valide - Tunnel non valide - Nouvelles tentatives maximales - Réinitialisation - Problème de routage - Simulation - Terminé - Expiré – Erreur temporaire - Inconnu - N/A. La valeur d’origine, spécifique à la source, est stockée dans le champ EventOriginalResultDetails. |
| EventSchema | Obligatoire | Chaîne | La version du schéma documenté ici est NetworkSession. |
| EventSchemaVersion | Obligatoire | Chaîne | Version du schéma. La version du schéma documenté ici est 0.2.6. |
| DvcAction | Recommandé | Énuméré | L’action prise sur la session réseau. Les valeurs prises en charge sont les suivantes : - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNrouteRemarque : la valeur peut être fournie dans l’enregistrement source avec des termes différents, qui doivent être normalisés avec ces valeurs. La valeur d’origine doit être stockée dans le champ DvcOriginalAction. Exemple : drop |
| EventSeverity | Facultatif | Énuméré | Si l’appareil source n’indique pas de gravité d’événement, EventSeverity doit être basé sur la valeur de DvcAction. Si DvcAction correspond à Deny, Drop, Drop ICMP, Reset, Reset Source ou Reset Destination, EventSeverity doit avoir la valeur Low. Sinon, EventSeverity doit avoir la valeur Informational. |
| DvcInterface | Le champ DvcInterface doit prendre l’alias du champ DvcInboundInterface ou DvcOutboundInterface. | ||
| Champs Dvc | Pour les événements de session réseau, les champs d’appareil font référence au système qui signale l’événement de session réseau. |
Tous les champs communs
Les champs qui apparaissent dans le tableau ci-dessous sont communs à tous les schémas ASIM. Toute instruction spécifiée ci-dessus remplace les instructions générales pour le champ. Par exemple, un champ peut être facultatif en général, mais obligatoire pour un schéma spécifique. Pour plus d’informations sur chaque champ, reportez-vous à l’article Champs communs ASIM.
| Classe | Fields |
|---|---|
| Obligatoire | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recommandé | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Facultatif | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Champs de session réseau
| Champ | Classe | Type | Description |
|---|---|---|---|
| NetworkApplicationProtocol | Facultatif | String | Protocole de couche Application utilisé par la connexion ou la session. La valeur doit être en majuscules. Exemple : FTP |
| NetworkProtocol | Facultatif | Énuméré | Protocole IP utilisé par la connexion ou la session, comme indiqué dans l’attribution de protocole IANA (généralement TCP, UDP ou ICMP).Exemple : TCP |
| NetworkProtocolVersion | Facultatif | Énuméré | Version de NetworkProtocol. Lorsque vous l’utilisez pour faire la distinction avec la version d’IP, utilisez les valeurs IPv4 et IPv6. |
| NetworkDirection | Facultatif | Énuméré | Direction de la connexion ou session : - Pour EventType NetworkSession ou Flow L2NetworkSession, NetworkDirection représente la direction relative à la limite de l’organisation ou de l’environnement cloud. Les valeurs prises en charge sont Inbound, Outbound, Local (pour l’organisation), External (pour l’organisation) ou NA (non applicable).- Pour EventType EndpointNetworkSession, NetworkDirection représente la direction relative au point de terminaison. Les valeurs prises en charge sont Inbound, Outbound, Local (pour le système) Listen ou NA (non applicable). La valeur Listen indique qu’un appareil a commencé à accepter des connexions réseau, mais qu’il n’est pas nécessairement connecté. |
| NetworkDuration | Facultatif | Integer | Durée, en millisecondes, de la session ou de la connexion réseau Exemple : 1500 |
| Durée | Alias | Alias de NetworkDuration. | |
| NetworkIcmpType | Facultatif | Chaîne | Pour un message ICMP, le nom de type ICMP associé à la valeur numérique, comme décrit dans RFC 2780 pour les connexions réseau IPv4 ou dans RFC 4443 pour les connexions réseau IPv6. Exemple : Destination Unreachable pour NetworkIcmpCode 3 |
| NetworkIcmpCode | Facultatif | Integer | Pour un message ICMP, la valeur numérique du numéro de code ICMP tel que décrit dans la RFC 2780 pour les connexions réseau IPv4, ou dans la RFC 4443 pour les connexions réseau IPv6. |
| NetworkConnectionHistory | Facultatif | String | Indicateurs TCP et autres informations d’en-tête IP potentielles. |
| DstBytes | Recommandé | Long | Nombre d’octets envoyés de la destination à la source pour la connexion ou la session. Si l’événement est agrégé, DstBytes doit être la somme de toutes les sessions agrégées. Exemple : 32455 |
| SrcBytes | Recommandé | Long | Nombre d’octets envoyés de la source à la destination pour la connexion ou la session. Si l’événement est agrégé, SrcBytes doit être la somme de toutes les sessions agrégées. Exemple : 46536 |
| NetworkBytes | Facultatif | Long | Nombre d’octets envoyés dans les deux sens. Si les valeurs BytesReceived et BytesSent existent, la valeur BytesTotal doit être égale à leur somme. Si l’événement est agrégé, NetworkBytes doit être la somme de toutes les sessions agrégées. Exemple : 78991 |
| DstPackets | Facultatif | Long | Nombre de paquets envoyés de la destination à la source pour la connexion ou la session. La signification d’un paquet est définie par le périphérique de création de rapport. Si l’événement est agrégé, DstPackets doit être la somme de toutes les sessions agrégées. Exemple : 446 |
| SrcPackets | Facultatif | Long | Nombre de paquets envoyés de la source à la destination pour la connexion ou la session. La signification d’un paquet est définie par le périphérique de création de rapport. Si l’événement est agrégé, SrcPackets doit être la somme de toutes les sessions agrégées. Exemple : 6478 |
| NetworkPackets | Facultatif | Long | Nombre de paquets envoyés dans les deux sens. Si les valeurs PacketsReceived et PacketsSent existent, la valeur BytesTotal doit être égale à leur somme. La signification d’un paquet est définie par le périphérique de création de rapport. Si l’événement est agrégé, NetworkPackets doit être la somme de toutes les sessions agrégées. Exemple : 6924 |
| NetworkSessionId | Facultatif | string | Identificateur de session signalé par le périphérique de création de rapport. Exemple : 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| SessionId | Alias | Chaîne | Alias de NetworkSessionId. |
| TcpFlagsAck | Facultatif | Booléen | Indicateur TCP ACK signalé. L’indicateur d’accusé de réception est utilisé pour confirmer la réception réussie d’un paquet. Comme nous pouvons le voir dans le diagramme ci-dessus, le récepteur envoie un ACK et un SYN à la deuxième étape du processus de négociation tripartite pour indiquer à l’expéditeur qu’il a reçu son paquet initial. |
| TcpFlagsFin | Facultatif | Booléen | Indicateur TCP FIN signalé. L’indicateur Terminé signifie qu’il n’y a plus de données de l’expéditeur. Par conséquent, il est utilisé dans le dernier paquet envoyé par l’expéditeur. |
| TcpFlagsSyn | Facultatif | Booléen | Indicateur TCP SYN signalé. L’indicateur Synchronisation est utilisé comme première étape dans l’établissement d’une liaison tripartite entre deux hôtes. Seul le premier paquet de l’expéditeur et du récepteur doit avoir cet indicateur défini. |
| TcpFlagsUrg | Facultatif | Booléen | Indicateur TCP URG signalé. L’indicateur Urgent est utilisé pour avertir le destinataire qu’il doit traiter les paquets urgents avant tous les autres paquets. Le destinataire sera averti lorsque toutes les données urgentes connues ont été reçues. Pour plus d’informations, consultez RFC 6093. |
| TcpFlagsPsh | Facultatif | Booléen | Indicateur TCP PSH signalé. L’indicateur Push est similaire à l’indicateur URG et indique au récepteur de traiter ces paquets dès qu’ils sont reçus au lieu de les mettre en mémoire tampon. |
| TcpFlagsRst | Facultatif | Booléen | Indicateur TCP RST signalé. L’indicateur Réinitialisation est envoyé du destinataire à l’expéditeur lorsqu’un paquet est envoyé à un hôte particulier qui ne l’attend pas. |
| TcpFlagsEce | Facultatif | Booléen | Indicateur TCP ECE signalé. Cet indicateur est responsable d’indiquer si l’homologue TCP est compatible ECN. Pour plus d’informations, consultez RFC 3168. |
| TcpFlagsCwr | Facultatif | Booléen | Indicateur TCP CWR signalé. L’indicateur Fenêtre de congestion réduite est utilisé par l’hôte expéditeur pour indiquer qu’il a reçu un paquet avec le jeu d’indicateurs ECE. Pour plus d’informations, consultez RFC 3168. |
| TcpFlagsNs | Facultatif | Booléen | Indicateur TCP NS signalé. L’indicateur Somme nonce est encore un indicateur expérimental utilisé pour vous protéger contre la dissimulation accidentelle de paquets de l’expéditeur. Pour plus d’informations, consultez RFC 3540 |
Champs du système de destination
| Champ | Classe | Type | Description |
|---|---|---|---|
| Dst | Recommandé | Alias | Identificateur unique du serveur qui reçoit la requête DNS. Ce champ peut prendre l’alias des champs DstDvcId, DstHostname et DstIpAddr. Exemple : 192.168.12.1 |
| DstIpAddr | Recommandé | Adresse IP | L'adresse IP de la destination de la connexion ou de la session. Si la session utilise la traduction d’adresses réseau, DstIpAddr est l’adresse publiquement visible, et non de l’adresse d’origine de la source stockée dans DstNatIpAddrExemple : 2001:db8::ff00:42:8329Remarque: cette valeur est obligatoire si DstHostname est spécifié. |
| DstPortNumber | Facultatif | Integer | Port IP de destination. Exemple : 443 |
| DstHostname | Recommandé | Nom d’hôte | Nom d’hôte de l’appareil de destination, à l’exception des informations de domaine. Si aucun nom de périphérique n’est disponible, stockez l’adresse IP pertinente dans ce champ. Exemple : DESKTOP-1282V4D |
| DstDomain | Recommandé | Chaîne | Domaine de l’appareil de destination. Exemple : Contoso |
| DstDomainType | Logique conditionnelle | Énuméré | Type de DstDomain. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à DomainType dans l’article Vue d’ensemble du schéma. Obligatoire si DstDomain est utilisé. |
| DstFQDN | Facultatif | String | Nom d’hôte de l’appareil de destination, y compris les informations de domaine, le cas échéant. Exemple : Contoso\DESKTOP-1282V4D Remarque : ce champ prend en charge à la fois le format FQDN traditionnel et le format Windows domain\hostname. Le champ DstDomainType reflète le format utilisé. |
| DstDvcId | Facultatif | String | ID de l’appareil de destination. Si plusieurs ID sont disponibles, utilisez le plus important et stockez les autres dans les champs DstDvc<DvcIdType>. Exemple : ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | Facultatif | String | ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil source. DstDvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| DstDvcScope | Facultatif | String | Étendue de la plateforme cloud à laquelle appartient l’appareil source. DstDvcScope correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| DstDvcIdType | Logique conditionnelle | Énuméré | Type de DstDvcId. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à DvcIdType dans l’article Vue d’ensemble du schéma. Obligatoire si DstDeviceId est utilisé. |
| DstDeviceType | Facultatif | Énuméré | Type de l’appareil de destination. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à DeviceType dans l’article Vue d’ensemble du schéma. |
| DstZone | Facultatif | String | Zone réseau de la destination, telle que définie par le périphérique de création de rapport. Exemple : Dmz |
| DstInterfaceName | Facultatif | String | Interface réseau que l’appareil de destination utilise pour la connexion ou la session. Exemple : Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | Facultatif | String | GUID de l’interface réseau utilisée sur le périphérique de destination. Exemple : 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | Facultatif | String | Adresse MAC de l’interface réseau que l’appareil de destination utilise pour la connexion ou la session. Exemple : 06:10:9f:eb:8f:14 |
| DstVlanId | Facultatif | String | ID de réseau local virtuel (VLAN) associé à l’appareil de destination. Exemple : 130 |
| OuterVlanId | Facultatif | Alias | Alias de DstVlanId. Souvent, le réseau local virtuel (VLAN) ne peut pas être identifié comme source ou destination, mais il est caractérisé comme interne ou externe. Cet alias signifie que DstVlanId doit être utilisé lorsque le réseau local virtuel (VLAN) est caractérisé comme externe. |
| DstSubscriptionId | Facultatif | String | ID d’abonnement à la plateforme cloud auquel appartient l’appareil de destination. DstSubscriptionId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| DstGeoCountry | Facultatif | Pays ou région | Pays associé à l’adresse IP de destination. Pour plus d’informations, consultez Types logiques. Exemple : USA |
| DstGeoRegion | Facultatif | Région | Région, ou État, associé à l’adresse IP de destination. Pour plus d’informations, consultez Types logiques. Exemple : Vermont |
| DstGeoCity | Facultatif | City | Ville associée à l’adresse IP de destination. Pour plus d’informations, consultez Types logiques. Exemple : Burlington |
| DstGeoLatitude | Facultatif | Latitude | Latitude de la coordonnée géographique associée à l’adresse IP de destination. Pour plus d’informations, consultez Types logiques. Exemple : 44.475833 |
| DstGeoLongitude | Facultatif | Longitude | Longitude de la coordonnée géographique associée à l’adresse IP de destination. Pour plus d’informations, consultez Types logiques. Exemple : 73.211944 |
Champs de l’utilisateur de destination
| Champ | Classe | Type | Description |
|---|---|---|---|
| DstUserId | Facultatif | String | Représentation unique, alphanumérique et lisible par l’ordinateur de l’utilisateur de destination. Pour le format pris en charge pour les différents types d’ID, reportez-vous à l’entité User. Exemple : S-1-12 |
| DstUserScope | Facultatif | String | Étendue, par exemple le locataire Microsoft Entra, dans laquelle DstUserId et DstUsername sont définis. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserScope dans l’article Vue d’ensemble du schéma. |
| DstUserScopeId | Facultatif | String | L’ID d’étendue, par exemple l’ID d’annuaire Microsoft Entra, dans laquelle DstUserId et DstUsername sont définis. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserScopeId dans l’article Vue d’ensemble du schéma. |
| DstUserIdType | Logique conditionnelle | UserIdType | Type de l’ID stocké dans le champ DstUserId. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à UserIdType dans l’article Vue d’ensemble du schéma. |
| DstUsername | Facultatif | String | Nom d’utilisateur de destination, y compris les informations de domaine, le cas échéant. Pour le format pris en charge pour les différents types d’ID, reportez-vous à l’entité User. Utilisez la forme simple uniquement si les informations de domaine ne sont pas disponibles. Stockez le type Nom d’utilisateur dans le champ DstUsernameType. Si d’autres formats de nom d’utilisateur sont disponibles, stockez-les dans les champs DstUsername<UsernameType>.Exemple : AlbertE |
| Utilisateur | Alias | Alias de DstUsername. | |
| DstUsernameType | Logique conditionnelle | UsernameType | Spécifie le type du nom d’utilisateur stocké dans le champ DstUsername. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à UsernameType dans l’article Vue d’ensemble du schéma. Exemple : Windows |
| DstUserType | Facultatif | UserType | Type de l’utilisateur de destination. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à UserType dans l’article Vue d’ensemble du schéma. Remarque : la valeur peut être fournie dans l’enregistrement source avec des termes différents, qui doivent être normalisés avec ces valeurs. Stockez la valeur d’origine dans le champ DstOriginalUserType . |
| DstOriginalUserType | Facultatif | String | Le type d'utilisateur de destination original, s'il est fourni par la source. |
Champs de l’application de destination
| Champ | Classe | Type | Description |
|---|---|---|---|
| DstAppName | Facultatif | String | Nom de l’application de destination. Exemple : Facebook |
| DstAppId | Facultatif | String | L’identifiant de l’application de destination, tel que signalé par le dispositif de reporting. Si DstAppType est Process, DstAppId et DstProcessId doivent avoir la même valeur.Exemple : 124 |
| DstAppType | Facultatif | AppType | Type de l’application de destination. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à AppType dans l’article Vue d’ensemble du schéma. Ce champ est obligatoire si DstAppName ou DstAppId sont utilisés. |
| DstProcessName | Facultatif | String | Nom de fichier du processus qui a terminé la session réseau. Ce nom est généralement considéré comme le nom du processus. Exemple : C:\Windows\explorer.exe |
| Processus | Alias | Alias vers DstProcessName Exemple : C:\Windows\System32\rundll32.exe |
|
| DstProcessId | Facultatif | String | ID de processus (PID) du processus qui a terminé la session réseau. Exemple : 48610176 Remarque : Le type est défini en tant que chaîne pour la prise en charge de différents systèmes. Cependant, sur Windows et Linux cette valeur doit être numérique. Si vous utilisez un ordinateur Windows ou Linux et avez utilisé un type différent, assurez-vous de convertir les valeurs. Par exemple, si vous avez utilisé une valeur hexadécimale, convertissez-la en valeur décimale. |
| DstProcessGuid | Facultatif | String | Identificateur unique généré (GUID) du processus qui a terminé la session réseau. Exemple : EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Champs Système source
| Champ | Classe | Type | Description |
|---|---|---|---|
| Src | Alias | Identificateur unique de l’appareil source. Ce champ peut prendre l’alias des champs SrcDvcId, SrcHostname et SrcIpAddr. Exemple : 192.168.12.1 |
|
| SrcIpAddr | Recommandé | Adresse IP | Adresse IP d’origine de la connexion ou de la session. Cette valeur est obligatoire siSrcHostname est spécifié. Si la session utilise la traduction d’adresses réseau, SrcIpAddr est l’adresse publiquement visible, et non de l’adresse d’origine de la source stockée dans SrcNatIpAddrExemple : 77.138.103.108 |
| SrcPortNumber | Facultatif | Integer | Port IP d’où provient la connexion. Peut ne pas être pertinent pour une session comprenant plusieurs connexions. Exemple : 2335 |
| SrcHostname | Recommandé | Nom d’hôte | Nom d’hôte de l’appareil source, à l’exception des informations de domaine. Si aucun nom de périphérique n’est disponible, stockez l’adresse IP pertinente dans ce champ. Exemple : DESKTOP-1282V4D |
| SrcDomain | Recommandé | Chaîne | Domaine de l’appareil source. Exemple : Contoso |
| SrcDomainType | Logique conditionnelle | DomainType | Type de SrcDomain. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à DomainType dans l’article Vue d’ensemble du schéma. Obligatoire si SrcDomain est utilisé. |
| SrcFQDN | Facultatif | String | Nom d’hôte de l’appareil source, y compris les informations de domaine, le cas échéant. Remarque : ce champ prend en charge à la fois le format FQDN traditionnel et le format Windows domain\hostname. Le champ SrcDomainType reflète le format utilisé. Exemple : Contoso\DESKTOP-1282V4D |
| SrcDvcId | Facultatif | String | ID de l’appareil source. Si plusieurs ID sont disponibles, utilisez le plus important et stockez les autres dans les champs SrcDvc<DvcIdType>.Exemple : ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Facultatif | String | ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil source. SrcDvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcDvcScope | Facultatif | String | Étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcSubscription correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcDvcIdType | Logique conditionnelle | DvcIdType | Type de SrcDvcId. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à DvcIdType dans l’article Vue d’ensemble du schéma. Remarque: ce champ est obligatoire si le champ SrcDvcld est utilisé. |
| SrcDeviceType | Facultatif | DeviceType | Type de l’appareil source. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à DeviceType dans l’article Vue d’ensemble du schéma. |
| SrcZone | Facultatif | String | Zone réseau de la source, telle que définie par le périphérique de création de rapport. Exemple : Internet |
| SrcInterfaceName | Facultatif | String | Interface réseau que l’appareil source utilise pour la connexion ou la session. Exemple : eth01 |
| SrcInterfaceGuid | Facultatif | String | GUID de l’interface réseau utilisée sur le périphérique source. Exemple : 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | Facultatif | String | Adresse MAC de l’interface réseau d’où provient la connexion ou la session. Exemple : 06:10:9f:eb:8f:14 |
| SrcVlanId | Facultatif | String | ID de réseau local virtuel associé à l’appareil source. Exemple : 130 |
| InnerVlanId | Facultatif | Alias | Alias de SrcVlanId. Souvent, le réseau local virtuel (VLAN) ne peut pas être identifié comme source ou destination, mais il est caractérisé comme interne ou externe. Cet alias signifie que SrcVlanId doit être utilisé lorsque le réseau local virtuel (VLAN) est caractérisé comme interne. |
| SrcSubscriptionId | Facultatif | String | ID d’abonnement à la plateforme cloud auquel appartient l’appareil source. DstSubscriptionId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcGeoCountry | Facultatif | Pays ou région | Pays associé à l’adresse IP source. Exemple : USA |
| SrcGeoRegion | Facultatif | Région | Région associée à l’adresse IP source. Exemple : Vermont |
| SrcGeoCity | Facultatif | City | Ville associée à l’adresse IP source. Exemple : Burlington |
| SrcGeoLatitude | Facultatif | Latitude | Latitude de la coordonnée géographique associée à l’adresse IP source. Exemple : 44.475833 |
| SrcGeoLongitude | Facultatif | Longitude | Longitude de la coordonnée géographique associée à l’adresse IP source. Exemple : 73.211944 |
Champs de l’utilisateur source
| Champ | Classe | Type | Description |
|---|---|---|---|
| SrcUserId | Facultatif | String | Représentation unique, alphanumérique et lisible par l’ordinateur de l’utilisateur source. Pour le format pris en charge pour les différents types d’ID, reportez-vous à l’entité User. Exemple : S-1-12 |
| SrcUserScope | Facultatif | String | Étendue, par exemple le locataire Microsoft Entra, dans laquelle SrcUserId et SrcUsername sont définis. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserScope dans l’article Vue d’ensemble du schéma. |
| SrcUserScopeId | Facultatif | String | L’ID d’étendue, par exemple l’ID d’annuaire Microsoft Entra, dans laquelle SrcUserId et SrcUsername sont définis. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserScopeId dans l’article Vue d’ensemble du schéma. |
| SrcUserIdType | Logique conditionnelle | UserIdType | Type de l’ID stocké dans le champ SrcUserId. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à UserIdType dans l’article Vue d’ensemble du schéma. |
| SrcUsername | Facultatif | String | Nom de l’utilisateur source, y compris les informations de domaine, le cas échéant. Pour le format pris en charge pour les différents types d’ID, reportez-vous à l’entité User. Utilisez la forme simple uniquement si les informations de domaine ne sont pas disponibles. Stockez le type Nom d’utilisateur dans le champ SrcUsernameType. Si d’autres formats de nom d’utilisateur sont disponibles, stockez-les dans les champs SrcUsername<UsernameType>.Exemple : AlbertE |
| SrcUsernameType | Logique conditionnelle | UsernameType | Spécifie le type du nom d’utilisateur stocké dans le champ SrcUsername. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à UsernameType dans l’article Vue d’ensemble du schéma. Exemple : Windows |
| SrcUserType | Facultatif | UserType | Type de l’utilisateur source. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à UserType dans l’article Vue d’ensemble du schéma. Remarque : la valeur peut être fournie dans l’enregistrement source avec des termes différents, qui doivent être normalisés avec ces valeurs. Stockez la valeur d’origine dans le champ SrcOriginalUserType. |
| SrcOriginalUserType | Facultatif | String | Type d’utilisateur de destination d’origine, s’il est fourni par le dispositif de reporting. |
Champs de l’application source
| Champ | Classe | Type | Description |
|---|---|---|---|
| SrcAppName | Facultatif | String | Fournir le nom de l’application source. Exemple : filezilla.exe |
| SrcAppId | Facultatif | String | L’identifiant de l’application source, tel que signalé par le dispositif de reporting. Si SrcAppType est Process, SrcAppId et SrcProcessId doivent avoir la même valeur.Exemple : 124 |
| SrcAppType | Facultatif | AppType | Type de l’application source. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à AppType dans l’article Vue d’ensemble du schéma. Ce champ est obligatoire si SrcAppName ou SrcAppId sont utilisés. |
| SrcProcessName | Facultatif | String | Nom de fichier du processus qui a lancé la session réseau. Ce nom est généralement considéré comme le nom du processus. Exemple : C:\Windows\explorer.exe |
| SrcProcessId | Facultatif | String | ID de processus (PID) du processus qui a lancé la session réseau. Exemple : 48610176 Remarque : Le type est défini en tant que chaîne pour la prise en charge de différents systèmes. Cependant, sur Windows et Linux cette valeur doit être numérique. Si vous utilisez un ordinateur Windows ou Linux et avez utilisé un type différent, assurez-vous de convertir les valeurs. Par exemple, si vous avez utilisé une valeur hexadécimale, convertissez-la en valeur décimale. |
| SrcProcessGuid | Facultatif | String | Identificateur unique généré (GUID) du processus qui a lancé la session réseau. Exemple : EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Alias locaux et distants
Tous les champs sources et de destination indiqués ci-dessus peuvent éventuellement servir d’alias à des champs associés au même nom et aux descripteurs Local et Remote. Cela est généralement utile pour les événements signalés par un point de terminaison et pour lesquels le type d’événement est EndpointNetworkSession.
Pour ces événements, les descripteurs Local et Remote désignent le point de terminaison lui-même et l’appareil à l’autre extrémité de la session réseau, respectivement. Pour les connexions entrantes, le système local correspond à la destination, les champs Local sont des alias des champs Dst et les champs « distants » sont des alias des champs Src. À l’inverse, pour les connexions sortantes, le système local correspond à la source, les champs Local sont des alias des champs Src et les champs Remote sont des alias des champs Dst.
Par exemple, pour un événement entrant, le champ LocalIpAddr est un alias de DstIpAddr et le champ RemoteIpAddr est un alias de SrcIpAddr.
Alias des nom d’hôte et adresse IP
| Champ | Classe | Type | Description |
|---|---|---|---|
| Hostname | Alias | - Si le type d’événement est NetworkSession, Flow or L2NetworkSession, Hostname est un alias de DstHostname.- Si le type d’événement est EndpointNetworkSession, Hostname est un alias de RemoteHostname, lequel peut prendre l’alias de DstHostname ou SrcHostName, selon NetworkDirection |
|
| IpAddr | Alias | - Si le type d’événement est NetworkSession, Flow ou L2NetworkSession, IpAddr est un alias de SrcIpAddr.- Si le type d’événement est EndpointNetworkSession, IpAddr est un alias de LocalIpAddr, lequel peut prendre l’alias de SrcIpAddr ou DstIpAddr, selon NetworkDirection. |
Champs de l’appareil intermédiaire et de traduction d’adresses réseau (NAT)
Les champs suivants sont utiles si l’enregistrement contient des informations sur un périphérique intermédiaire, tel qu’un pare-feu ou un proxy, qui relaie la session réseau.
Les systèmes intermédiaires utilisent souvent la traduction d’adresses et, par conséquent, l’adresse d’origine et l’adresse observée en externe ne sont pas les mêmes. En pareil cas, les champs d’adresse principaux tels que SrcIPAddr et DstIpAddr représentent les adresses observées en externe, tandis que les champs d’adresse NAT, SrcNatIpAddr et DstNatIpAddr représentent l’adresse interne de l’appareil d’origine avant la traduction.
Champs d’inspection
Les champs suivants sont utilisés pour représenter l’inspection qu’un périphérique de sécurité, tel qu’un pare-feu, une IPS ou une passerelle de sécurité web a effectué :
| Champ | Classe | Type | Description |
|---|---|---|---|
| NetworkRuleName | Facultatif | String | Nom ou ID de la règle en vertu de laquelle DvcAction a été décidé Exemple : AnyAnyDrop |
| NetworkRuleNumber | Facultatif | Integer | Numéro de la règle en vertu de laquelle DvcAction a été décidé Exemple : 23 |
| Règle | Alias | String | Valeur de NetworkRuleName ou de NetworkRuleNumber. Si la valeur de NetworkRuleNumber est utilisée, le type doit être converti en chaîne. |
| ThreatId | Facultatif | String | ID de la menace ou programme malveillant identifié dans la session réseau. Exemple : Tr.124 |
| ThreatName | Facultatif | String | Nom de la menace ou des programmes malveillants identifiés dans la session réseau. Exemple : EICAR Test File |
| ThreatCategory | Facultatif | String | Catégorie de la menace ou programme malveillant identifié dans la session réseau. Exemple : Trojan |
| ThreatRiskLevel | Facultatif | Integer | Niveau de risque associé à la session. Le niveau doit être un nombre compris entre 0 et 100. Remarque : la valeur peut être fournie dans l’enregistrement source en utilisant une échelle différente, qui doit être normalisée à cette échelle. La valeur d’origine doit être stockée dans le champ ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Facultatif | String | Niveau de risque signalé par le périphérique de reporting. |
| ThreatIpAddr | Facultatif | Adresse IP | Adresse IP pour laquelle une menace a été identifiée. Le champ ThreatField contient le nom du champ que ThreatIpAddr représente. |
| ThreatField | Logique conditionnelle | Énuméré | Champ pour lequel une menace a été identifiée. La valeur est soit SrcIpAddr, soit DstIpAddr. |
| ThreatConfidence | Facultatif | Integer | Niveau de confiance de la menace identifiée, normalisé à une valeur comprise entre 0 et 100. |
| ThreatOriginalConfidence | Facultatif | String | Niveau de confiance d’origine de la menace identifiée, comme indiqué par l’appareil de création de rapports. |
| ThreatIsActive | Facultatif | Booléen | True si la menace identifiée est considérée comme une menace active. |
| ThreatFirstReportedTime | Facultatif | DATETIME | Indique la première fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatLastReportedTime | Facultatif | DATETIME | La dernière fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
Autres champs
Si l’événement est signalé par l’un des points de terminaison de la session réseau, il peut inclure des informations sur le processus qui a initié ou a mis fin à la session. En pareils cas, le schéma d’événement du processus ASIM permet de normaliser ces informations.
Mises à jour du schéma
Voici les modifications apportées à la version 0.2.1 du schéma :
- Ajout de
SrcetDsten tant qu’alias d’un identifiant principal pour les systèmes source et de destination. - Ajout des champs
NetworkConnectionHistory,SrcVlanId,DstVlanId,InnerVlanIdetOuterVlanId.
Voici les modifications apportées à la version 0.2.2 du schéma :
- Ajouts des alias
RemoteetLocal. - Ajout du type d’événement
EndpointNetworkSession. - Définition de
HostnameetIpAddrcomme alias pourRemoteHostnameetLocalIpAddrrespectivement lorsque le type d’événement estEndpointNetworkSession. - Définition de
DvcInterfacecomme alias pourDvcInboundInterfaceouDvcOutboundInterface. - Modification du type des champs suivants d’entier vers long :
SrcBytes,DstBytes,NetworkBytes,SrcPackets,DstPacketsetNetworkPackets. - Ajout des champs
NetworkProtocolVersion,SrcSubscriptionIdetDstSubscriptionId. - Dépréciation de
DstUserDomainetSrcUserDomain.
Voici les modifications apportées à la version 0.2.3 du schéma :
- Ajout du paramètre de filtrage
ipaddr_has_any_prefix. - Le paramètre de filtrage
hostname_has_anycorrespond à présent aux noms d’hôte source ou de destination. - Ajout des champs
ASimMatchingHostnameetASimMatchingIpAddr.
Voici les modifications apportées à la version 0.2.4 du schéma :
- Ajout des champs
TcpFlags. - Mise à jour de
NetworkIcpmTypeetNetworkIcmpCoderefléter la valeur de nombre pour les deux. - Ajout de champs d’inspection supplémentaires.
- Le champ « ThreatRiskLevelOriginal » a été renommé en
ThreatOriginalRiskLevelpour s’aligner sur les conventions ASIM. Les analyseurs Microsoft existants garderontThreatRiskLevelOriginaljusqu’au 1er mai 2023. - Marqué
EventResultDetailscomme recommandé, et spécifié les valeurs autorisées.
Voici les modifications apportées à la version 0.2.5 du schéma :
- Ajout des champs
DstUserScope,SrcUserScope,SrcDvcScopeId,SrcDvcScope,DstDvcScopeId,DstDvcScope,DvcScopeIdetDvcScope.
Voici les modifications apportées à la version 0.2.6 du schéma :
- Ajout d’IDS en tant que type d’événement
Étapes suivantes
Pour plus d'informations, consultez les pages suivantes :