Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le connecteur de données Google Cloud Platform IDS offre la possibilité d’ingérer des journaux IDS cloud dans Microsoft Sentinel à l’aide de l’API du moteur de calcul. Cela permet de détecter et de répondre aux menaces potentielles dans l’environnement Google Cloud en surveillant le trafic réseau et en identifiant les activités suspectes.
Attributs de tables de données
| Caractéristique | Valeur |
|---|---|
| Types de ressources | - |
| Catégories | Sécurité |
| Solutions | SecurityInsights |
| Journal de base | Oui |
| Transformation au moment de l’ingestion | Non |
| Exemples de requêtes | - |
Colonnes
| Colonne | Catégorie | Descriptif |
|---|---|---|
| AlertSeverity | ficelle | Gravité de la menace. Un des niveaux suivants : INFORMATIONAL, LOW, MEDIUM, HIGH, ou CRITICAL. |
| AlertTime | date/heure | Heure à laquelle la menace a été découverte. |
| Application | ficelle | Type d’application suspect pour le trafic, par exemple SSH. |
| AuthenticationInfoPrincipalEmail | ficelle | Adresse e-mail du compte d’utilisateur ou de service authentifié qui lance la demande. |
| Informations d'Autorisation | ficelle | Informations sur les autorisations ou les rôles évalués pour l’opération. |
| _BilledSize | réel | Taille de l’enregistrement en octets |
| Catégorie | ficelle | Sous-type de la menace. |
| CVE | ficelle | Liste des CVE associées à la menace. |
| Adresse IP de destination | ficelle | Adresse IP de destination suspectée pour le trafic. |
| Port de destination | ficelle | Port de destination du trafic suspecté. |
| Détails | ficelle | Informations supplémentaires sur le type de menace. |
| Sens | ficelle | Direction suspectée du trafic (de client-à-serveur ou de serveur-à-client). |
| Temps écoulé | ficelle | Temps écoulé de la session. |
| InsertId | ficelle | Identificateur unique de l’entrée du journal. |
| Protocole IP | ficelle | Suspicion de protocole IP du trafic. |
| _IsBillable | ficelle | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| JsonPayloadName | ficelle | Nom de la menace. |
| JsonPayloadType | ficelle | Type de menace. |
| LogName | ficelle | Nom complet du journal comprenant le chemin d’accès à la ressource. |
| NomDeMéthode | ficelle | Nom de la méthode ou de la fonction d’API qui a été appelée. |
| Réseau | ficelle | Réseau associé au point de terminaison IDS. |
| NumResponseItems | ficelle | Nombre d’éléments retournés dans la réponse, le cas échéant. |
| OperationFirst | bool | Indique s’il s’agit de la première entrée de journal dans une séquence d’opérations. |
| OperationId | ficelle | Identificateur unique de l’opération, utile pour le suivi et la corrélation entre les logs. |
| OperationLast | bool | Indique s’il s’agit de la dernière entrée de journal dans une séquence d’opérations. |
| OperationProducteur | ficelle | Composant ou service qui a généré l’opération. |
| PayloadType | ficelle | Type ou format de la charge utile associée à la requête. |
| ReceiveTimestamp | date/heure | Heure à laquelle l’entrée du journal a été reçue par la journalisation Cloud. |
| Nombre de répétitions | ficelle | Nombre de sessions avec la même adresse IP source, l’adresse IP de destination, l’application et le type affichés dans les 5 secondes. |
| RequestEndpointId | ficelle | Identificateur unique du point de terminaison qui a géré la requête. |
| RequestEndpointName | ficelle | Nom du point de terminaison auquel la demande a été envoyée. |
| RequestEndpointNetwork | ficelle | Chemin d’accès réseau ou nom via lequel le point de terminaison a été accédé. |
| RequestEndpointSeverity | ficelle | Gravité associée au point final dans le contexte de la détection des menaces ou de l'accès. |
| Demandes d'exceptions de menace de point de terminaison | ficelle | Exceptions de menace appliquées au point de terminaison pour cette demande, le cas échéant. |
| RequestEndpointTrafficLogs | ficelle | Détails ou références aux journaux de trafic liés à la demande de point de terminaison. |
| RequestMetadataCallerIP | ficelle | Adresse IP de l’appelant qui a lancé la requête. |
| RequestMetadataDestinationAttributes | ficelle | Attributs de métadonnées sur le service de destination ou la ressource. |
| RequestMetadataRequestAttributesAuth | ficelle | Attributs de demande liés à l’authentification, tels que les jetons ou les niveaux d’authentification. |
| RequestMetadataRequestAttributesReason | ficelle | Raison de la demande, telle qu’une action de stratégie ou une modification initiée par l’utilisateur. |
| RequestMetadataRequestAttributesTime | date/heure | Horodatage du moment où les attributs de la requête ont été enregistrés. |
| NomDeLaRequête | ficelle | Nom ou identificateur de la ressource en cours d’accès ou de modification dans la demande. |
| RequestParent | ficelle | Ressource parente de la requête, indiquant la hiérarchie ou le contexte. |
| Type de Demande | ficelle | Type de requête. |
| RequestUpdateMaskPaths | ficelle | Chemins à mettre à jour dans la requête. |
| ResourceLabelsId | ficelle | Identificateur unique de la ressource impliquée dans l’entrée de journal de bord. |
| ResourceLabelsLocation | ficelle | Emplacement géographique ou régional de la ressource. |
| ResourceLabelsMethod | ficelle | Méthode ou opération effectuée sur la ressource, souvent liée à un appel d’API ou à une méthode de service. |
| ResourceLabelsProjectId | ficelle | ID de projet associé à la ressource, représentant généralement le projet Google Cloud. |
| ResourceLabelsResourceContainer | ficelle | Nom du conteneur ou du regroupement logique auquel appartient la ressource (par exemple, dossier, organisation). |
| ResourceLabelsService | ficelle | Étiquette de service indiquant le service cloud. |
| ResourceLocationCurrentLocations | ficelle | Emplacement physique ou logique actuel de la ressource au moment de l’entrée du journal. |
| NomDeRéponse | ficelle | Nom ou ID de la ressource retournée dans la réponse. |
| ResponseNetwork | ficelle | Chemin d’accès réseau ou identificateur associé à la réponse. |
| ResponseSeverity | ficelle | Niveau de gravité de la réponse, en particulier dans le contexte d’erreurs ou d’alertes. |
| ResponseState | ficelle | État ou résultat de l’action de réponse effectuée pour la menace détectée. |
| ResponseThreatExceptions | ficelle | Liste des exceptions de menace appliquées pendant la réponse, ce qui permet aux menaces spécifiques de contourner l’application. |
| ResponseTrafficLogs | bool | Indique si les journaux de trafic ont été capturés pour la session ou pour la réponse à une menace. |
| TypeDeRéponse | ficelle | Type ou format de la réponse retournée par l’opération. |
| Nom du Service | ficelle | Nom du service cloud associé à l’entrée de journal ou à la détection des menaces. |
| ID de session | ficelle | Identificateur numérique interne appliqué à chaque session. |
| Sévérité | ficelle | Indique le niveau de gravité de l’entrée ou de l’événement du journal de bord. |
| SourceIPAddress | ficelle | Adresse IP source suspecte du trafic. |
| SourcePort | ficelle | Port source du trafic. |
| SourceSystem | ficelle | Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| Heure de début | date/heure | Heure de début de la session. |
| Statut | ficelle | État de l’opération ou de la demande, tel que SUCCESS, FAILURE ou ERROR. |
| Id de locataire | ficelle | ID de l’espace de travail Log Analytics |
| Identifiant de menace | ficelle | Identificateur de menace unique. |
| TimeGenerated | date/heure | Horodatage du moment où l’entrée de journal a été générée et ingérée par le système de journalisation. |
| Timestamp | date/heure | Horodatage d’origine de l’événement, tel qu’enregistré par le système source. |
| TotalBytes | ficelle | Nombre total d’octets transférés dans la session. |
| TotalPackets | ficelle | Nombre total de paquets transférés dans la session. |
| Catégorie | ficelle | Le nom de la table de données |
| URIOrFilename | ficelle | URI ou nom de fichier de la menace appropriée, le cas échéant. |