Guide d'utilisation du modèle de données unifié

Ce document fournit une description plus détaillée des champs du schéma de modèle de données unifié (UDM) et des champs obligatoires et facultatifs en fonction du type d'événement. Pour l'évaluation du moteur de règles, le préfixe commence par udm., tandis que le préfixe CBN (configuration basée sur la configuration) commence par event.idm.read_only_udm.

Remplissage des métadonnées d'événement

La section des métadonnées des événements UDM contient des informations générales sur chaque événement.

Metadata.event_type

  • Objectif:spécifie le type d'événement. Si un événement est associé à plusieurs types possibles, cette valeur doit spécifier le type le plus spécifique.
  • Obligatoire:oui
  • Encodage:doit correspondre à l'un des types "event_type" prédéfinis énumérés.
  • Valeurs possibles:vous trouverez ci-dessous la liste de toutes les valeurs possibles pour "event_type" dans l'UDM.

Événements d'e-mail:

  • EMAIL_TRANSACTION
  • EMAIL_UNCATEGORIZED

Événements de fichiers effectués sur un point de terminaison:

  • FILE_UNCATEGORIZED
  • FILE_CREATION
  • FILE_DELETION
  • FILE_MODIFICATION
  • FILE_READ (par exemple, lecture d'un fichier de mots de passe)
  • FILE_COPY (par exemple, copier un fichier sur une clé USB)
  • FILE_OPEN (par exemple, l'ouverture d'un fichier peut indiquer une brèche de sécurité)

Les événements qui n'appartiennent à aucune autre catégorie, y compris les événements Windows sans catégorie.

  • GENERIC_EVENT

Événements mutex (objet d'exclusion mutuelle) :

  • MUTEX_UNCATEGORIZED
  • MUTEX_CREATION

La télémétrie réseau, y compris les charges utiles de protocole brutes, telles que DHCP et DNS, ainsi que des résumés de protocoles pour des protocoles tels que HTTP, SMTP et FTP, et les événements de flux et de connexion provenant de Netflow et des pare-feu.

  • NETWORK_UNCATEGORIZED
  • NETWORK_FLOW (par exemple, les statistiques de flux agrégées de Netflow)
  • NETWORK_CONNECTION (par exemple, les informations de connexion réseau d'un pare-feu)
  • NETWORK_FTP
  • NETWORK_DHCP
  • NETWORK_DNS
  • NETWORK_HTTP
  • NETWORK_SMTP

Tout événement relatif à un processus tel qu'un lancement de processus, un processus créant quelque chose de malveillant, un processus injectant dans un autre processus, une modification de clé de registre, la création d'un fichier malveillant sur le disque, etc.

  • PROCESS_INJECTION
  • PROCESS_LAUNCH
  • PROCESS_MODULE_LOAD
  • PROCESS_OPEN
  • PROCESS_PRIVILEGE_ESCALATION
  • PROCESS_TERMINATION
  • PROCESS_UNCATEGORIZED

Utilisez les événements REGISTRY plutôt que les événements SETTING pour les événements de Registre spécifiques à Microsoft Windows:

  • REGISTRY_UNCATEGORIZED
  • REGISTRY_CREATION
  • REGISTRY_MODIFICATION
  • REGISTRY_DELETION

Événements orientés analyse Comprend les analyses à la demande et les détections de comportement effectuées par les produits de sécurité des points de terminaison (EDR, AV, DLP). Utilisé uniquement lors de l'association d'un SecurityResult à un autre type d'événement (tel que PROCESS_LAUNCH).

  • SCAN_UNCATEGORIZED
  • SCAN_FILE
  • SCAN_HOST
  • SCAN_PROCESS
  • SCAN_VULN_HOST
  • SCAN_VULN_NETWORK

Événements de tâches planifiées (planificateur de tâches Windows, Cron, etc.):

  • SCHEDULED_TASK_UNCATEGORIZED
  • SCHEDULED_TASK_CREATION
  • SCHEDULED_TASK_DELETION
  • SCHEDULED_TASK_ENABLE
  • SCHEDULED_TASK_DISABLE
  • SCHEDULED_TASK_MODIFICATION

Événements de service:

  • SERVICE_UNSPECIFIED
  • SERVICE_CREATION
  • SERVICE_DELETION
  • SERVICE_START
  • SERVICE_STOP

La définition d'événements, y compris la modification d'un paramètre système sur un point de terminaison Pour savoir comment configurer les exigences concernant les événements, cliquez ici.

  • SETTING_UNCATEGORIZED
  • SETTING_CREATION
  • SETTING_MODIFICATION
  • SETTING_DELETION

Messages d'état émis par les produits de sécurité pour indiquer que les agents sont actifs et qu'ils envoient la version, l'empreinte digitale ou d'autres types de données.

  • STATUS_UNCATEGORIZED
  • STATUS_HEARTBEAT (indique que le produit est actif)
  • STATUS_STARTUP
  • STATUS_SHUTDOWN
  • STATUS_UPDATE (mise à jour du logiciel ou de l'empreinte digitale)

Événements du journal d'audit du système:

  • SYSTEM_AUDIT_LOG_UNCATEGORIZED
  • SYSTEM_AUDIT_LOG_WIPE

Événements liés à l'activité d'authentification des utilisateurs:

  • USER_UNCATEGORIZED
  • USER_BADGE_IN (par exemple, lorsqu'un utilisateur ajoute physiquement un badge à un site)
  • USER_CHANGE_PASSWORD
  • USER_CHANGE_PERMISSIONS
  • USER_COMMUNICATION
  • USER_CREATION
  • USER_DELETION
  • USER_LOGIN
  • USER_LOGOUT
  • USER_RESOURCE_ACCESS
  • USER_RESOURCE_CREATION
  • USER_RESOURCE_DELETION
  • USER_RESOURCE_UPDATE_CONTENT
  • USER_RESOURCE_UPDATE_PERMISSIONS

Metadata.collected_timestamp

  • Objectif:encode le code temporel GMT correspondant au moment où l'événement a été collecté par l'infrastructure de collecte locale du fournisseur.
  • Encodage:RFC 3339, selon le format d'horodatage JSON ou Proto3.
  • Exemple:
    • RFC 3339: '2019-09-10T20:32:31-08:00'
    • Format Proto3: '2012-04-23T18:25:43.511Z'

Metadata.event_timestamp

  • Objectif:encoder le code temporel GMT lors de la génération de l'événement
  • Obligatoire:oui
  • Encodage:RFC 3339, selon le format d'horodatage JSON ou Proto3.
  • Exemple:
    • RFC 3339: 2019-09-10T20:32:31-08:00
    • Format Proto3: 2012-04-23T18:25:43.511Z

Metadata.description

  • Objectif:description lisible de l'événement.
  • Encodage:chaîne alphanumérique, ponctuation autorisée, 1 024 octets maximum
  • Exemple:Le fichier c:\bar\foo.exe a bloqué l'accès au document sensible c:\documents\earnings.docx.

Metadata.product_event_type

  • Objectif:nom ou type d'événement court, descriptif, lisible et propre au produit.
  • Encodage:chaîne alphanumérique, ponctuation autorisée, 64 octets maximum.
  • Exemples:
    • Événement de création du registre
    • ProcessRollUp
    • Élévation des privilèges détectée
    • Logiciel malveillant bloqué

Metadata.product_log_id

  • Objectif:encode un identifiant d'événement spécifique au fournisseur afin d'identifier l'événement de manière unique (GUID). Les utilisateurs peuvent utiliser cet identifiant pour rechercher l'événement en question dans la console propriétaire du fournisseur.
  • Encodage:chaîne alphanumérique sensible à la casse avec ponctuation autorisée, 256 octets maximum.
  • Exemple:ABcd1234-98766

Metadata.product_name

  • Objectif:nom du produit.
  • Encodage:chaîne alphanumérique sensible à la casse avec ponctuation autorisée, 256 octets maximum.
  • Exemples:
    • Faucon
    • Symantec Endpoint Protection

Metadata.product_version

  • Objectif:spécifie la version du produit.
  • Encodage:chaîne alphanumérique, points et tirets autorisés, 32 octets maximum
  • Exemples:
    • 1.2.3b
    • 10.3:rev1

Metadata.url_back_to_product

  • Objectif:URL pointant vers un site Web pertinent où vous pouvez consulter plus d'informations sur cet événement spécifique (ou la catégorie générale de l'événement).
  • Encodage:URL RFC 3986 valide avec des paramètres facultatifs tels que des informations sur le port, etc. Un préfixe de protocole doit être ajouté avant l'URL (par exemple, https:// ou http://).
  • Exemple:https://newco.altostrat.com:8080/event_info?event_id=12345

Metadata.vendor_name

  • Objectif:spécifier le nom du fournisseur du produit.
  • Encodage:chaîne alphanumérique sensible à la casse, ponctuation autorisée, 256 octets maximum
  • Exemples:
    • CrowdStrike
    • Symantec

Métadonnées de population de noms

Dans cette section, le mot Noun est un terme générique utilisé pour représenter les entités : Noun, Noun, Noun, Noun, Noun et Noun. Ces entités ont des attributs communs, mais représentent différents objets dans un événement. Pour en savoir plus sur les entités et sur ce que chacune d'elles représente dans un événement, consultez Mettre en forme les données des journaux en tant que données UDM.

Noun.asset_id

  • Objectif:identifiant unique de l'appareil propre au fournisseur (par exemple, un GUID généré lors de l'installation d'un logiciel de sécurité des points de terminaison sur un nouvel appareil, qui est utilisé pour suivre cet appareil unique au fil du temps).
  • Encodage:VendorName.ProductName:IDVendorName.ProductName:ID n'est pas sensible à la casse* *nom de fournisseur tel que "Carbon Black", VendorName.ProductName:ID est un nom de produit non sensible à la casse, comme "Response" ou "Endpoint Protection", et l'ID est un identifiant client spécifique au fournisseur qui est unique dans l'environnement du client (par exemple, un GUID ou une valeur unique identifiant un appareil unique). VendorName et ProductName sont des noms alphanumériques et ne doivent pas comporter plus de 32 caractères. L'ID peut comporter jusqu'à 128 caractères alphanumériques, des tirets et des points.
  • Exemple:CrowdStrike.Falcon:0bce4259-4ada-48f3-a904-9a526b01311f

Noun.email

  • Objectif:adresse e-mail
  • Encodage:format d'adresse e-mail standard.
  • Exemple:johns@test.altostrat.com

Noun.file

Noun.hostname

  • Objectif:champ "Nom d'hôte du client" ou "Nom de domaine". Ne l'incluez pas en présence d'une URL.
  • Encodage:nom d'hôte RFC 1123 valide.
  • Exemples:
    • userwin10
    • www.altostrat.com

Noun.platform

  • Objectif:système d'exploitation de la plate-forme.
  • Encodage:énumération
  • Valeurs possibles:
    • LINUX
    • Mac
    • WINDOWS
    • UNKNOWN_PLATFORM

Noun.platform_patch_level

  • Objectif:niveau de correctif du système d'exploitation de la plate-forme.
  • Encodage:chaîne alphanumérique avec ponctuation, 64 caractères au maximum.
  • Exemple:Build 17134.48

Noun.platform_version

  • Objectif:version du système d'exploitation de la plate-forme.
  • Encodage:chaîne alphanumérique avec ponctuation, 64 caractères au maximum.
  • Exemple:Microsoft Windows 10 version 1803

Noun.process

Noun.ip

  • Objectif:
    • Adresse IP unique associée à une connexion réseau.
    • Une ou plusieurs adresses IP associées à l'appareil du participant au moment de l'événement (par exemple, si un produit EDR connaît toutes les adresses IP associées à un appareil, il peut toutes les encoder dans les champs IP).
  • Encodage:adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.
  • Reproductibilité:
    • Si un événement décrit une connexion réseau spécifique (par exemple, srcip:srcport > dstip:dstport), le fournisseur ne doit fournir qu'une seule adresse IP.
    • Si un événement décrit une activité générale sur l'appareil du participant, mais pas une connexion réseau spécifique, le fournisseur peut fournir toutes les adresses IP associées à l'appareil au moment de l'événement.
  • Exemples:
    • 192.168.1.2
    • 2001:db8:1:3::1

Noun.port

  • Objectif:numéro de port réseau source ou de destination lorsqu'une connexion réseau spécifique est décrite dans un événement.
  • Encodage:numéro de port TCP/IP valide compris entre 1 et 65 535.

  • Exemples :

    • 80
    • 443

Noun.mac

  • Objectif:une ou plusieurs adresses MAC associées à un appareil.
  • Encodage:adresse MAC valide (EUI-48) au format ASCII.
  • Reproductibilité:le fournisseur peut fournir toutes les adresses MAC associées à l'appareil au moment de l'événement.
  • Exemples:
    • fedc:ba98:7654:3210:fedc:ba98:7654:3210
    • 1080:0:0:0:8:800:200c:417a
    • 00:a0:0:0:c9:14:c8:29

Noun.administrative_domain

  • Objectif:domaine auquel appartient l'appareil (par exemple, le domaine Windows).
  • Encodage:chaîne de nom de domaine valide (128 caractères maximum).
  • Exemple:corp.altostrat.com

Noun.registry

Noun.url

  • Objectif:URL standard
  • Encodage:URL (RFC 3986). Vous devez indiquer un préfixe de protocole valide (par exemple, https:// ou ftp://). Doit inclure le domaine complet et le chemin d'accès. Peut inclure les paramètres de l'URL.
  • Exemple:https://foo.altostrat.com/bletch?a=b;c=d

Noun.user

Remplissage des métadonnées Authentication

Authentication.AuthType

  • Objectif:type de système auquel un événement d'authentification est associé (Google Security Operations UDM).
  • Encodage:type énuméré.
  • Valeurs possibles:
    • AUTHTYPE_UNSPECIFIED
    • MACHINE : Authentification de la machine
    • PHYSICAL : authentification physique (un lecteur de badge, par exemple)
    • SSO
    • TACACS : protocole de la famille TACACS pour l'authentification des systèmes en réseau (par exemple, TACACS ou TACACS+)
    • VPN

Authentication.Authentication_Status

  • Objectif:décrire le statut d'authentification d'un utilisateur ou d'identifiants spécifiques.
  • Encodage:type énuméré.
  • Valeurs possibles:
    • UNKNOWN_AUTHENTICATION_STATUS : état d'authentification par défaut
    • ACTIVE : la méthode d'authentification est active
    • SUSPENDED : la méthode d'authentification est suspendue ou désactivée
    • DELETED : la méthode d'authentification a été supprimée.
    • NO_ACTIVE_CREDENTIALS : la méthode d'authentification ne comporte aucun identifiant actif.

Authentication.auth_details

  • Objectif:informations d'authentification définies par le fournisseur.
  • Encodage:chaîne.

Authentication.Mechanism

  • Objectif:le ou les mécanismes utilisés pour l'authentification.
  • Encodage:type énuméré.
  • Valeurs possibles:
    • MECHANISM_UNSPECIFIED : mécanisme d'authentification par défaut
    • BADGE_READER
    • LOT : authentification par lot
    • CACHED_INTERACTIVE : authentification interactive à l'aide d'identifiants mis en cache.
    • HARDWARE_KEY
    • LOCAL
    • MECHANISM_OTHER : autre mécanisme non défini ici.
    • RÉSEAU : authentification réseau
    • NETWORK_CLEAR_TEXT : authentification en texte clair du réseau.
    • NEW_CREDENTIALS : authentification avec de nouveaux identifiants.
    • Mot de passe à usage unique
    • REMOTE : authentification à distance
    • REMOTE_INTERACTIVE : RDP, services de terminaux, Virtual Network Computing (VNC), etc.
    • SERVICE : authentification du service
    • DÉVERROUILLAGE : authentification directe pour le déverrouillage par intervention humaine
    • USERNAME_PASSWORD

Population de métadonnées DHCP

Les champs de métadonnées DHCP (Dynamic Host Control Protocol) capturent les informations de journal du protocole de gestion du réseau DHCP.

Dhcp.client_hostname

  • Objectif:nom d'hôte du client. Pour en savoir plus, consultez le document RFC 2132 sur les options DHCP et les extensions de fournisseur BOOTP.
  • Encodage:chaîne.

Dhcp.client_identifier

  • Objectif:l'identifiant du client. Pour en savoir plus, consultez le document RFC 2132 sur les options DHCP et les extensions de fournisseur BOOTP.
  • Encodage:octets.

Dhcp.file

  • Objectif:nom du fichier de l'image de démarrage.
  • Encodage:chaîne.

Dhcp.flags

  • Objectif:valeur du champ des options DHCP.
  • Encodage: entier non signé de 32 bits.

Dhcp.hlen

  • Objectif:longueur de l'adresse matérielle.
  • Encodage: entier non signé de 32 bits.

Dhcp.hops

  • Objectif:nombre de sauts DHCP.
  • Encodage: entier non signé de 32 bits.

Dhcp.htype

  • Objectif:type d'adresse matérielle.
  • Encodage: entier non signé de 32 bits.

Dhcp.lease_time_seconds

  • Objectif:durée du bail demandé par le client pour une adresse IP en secondes. Pour en savoir plus, consultez le document RFC 2132 sur les options DHCP et les extensions de fournisseur BOOTP.
  • Encodage: entier non signé de 32 bits.

Dhcp.opcode

  • Objectif:code d'opération BOOTP (voir la section 3 de RFC 951).
  • Encodage:type énuméré.
  • Valeurs possibles:
    • UNKNOWN_OPCODE
    • DEMANDE DE DÉMARRAGE
    • RÉPONSE DE DÉMARRAGE

Dhcp.requested_address

  • Objectif:l'identifiant du client. Pour en savoir plus, consultez le document RFC 2132 sur les options DHCP et les extensions de fournisseur BOOTP.
  • Encodage:adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.

Dhcp.seconds

  • Objectif:nombre de secondes écoulées depuis le début du processus d'acquisition ou de renouvellement de l'adresse par le client.
  • Encodage: entier non signé de 32 bits.

Dhcp.sname

  • Objectif:nom du serveur depuis lequel le client a demandé à démarrer.
  • Encodage:chaîne.

Dhcp.transaction_id

  • Objectif:ID de transaction client.
  • Encodage: entier non signé de 32 bits.

Dhcp.type

  • Objectif:type de message DHCP. Pour plus d'informations, consultez le document RFC 1533.
  • Encodage:type énuméré.
  • Valeurs possibles:
    • UNKNOWN_MESSAGE_TYPE
    • DÉCOUVRIR
    • OFFRE
    • DEMANDER
    • REFUSER
    • CONFIRMATION
    • N/A
    • RELEASE
    • INFORMER
    • WIN_DELECTED
    • WIN_EXPIRED

Dhcp.chaddr

  • Objectif:adresse IP du matériel client.
  • Encodage:adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.

Dhcp.ciaddr

  • Objectif:adresse IP du client.
  • Encodage:adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.

Dhcp.giaddr

  • Objectif:adresse IP de l'agent de relais.
  • Encodage:adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.

Dhcp.siaddr

  • Objectif:adresse IP du serveur d'amorçage suivant.
  • Encodage:adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.

Dhcp.yiaddr

  • Objectif:votre adresse IP.
  • Encodage:adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.

Population des métadonnées de l'option DHCP

Les champs de métadonnées de l'option DHCP capturent les informations du journal de l'option DHCP.

Option.code

  • Objectif:stocke le code d'option DHCP. Pour en savoir plus, consultez le document RFC 1533 sur les options DHCP et les extensions de fournisseur BOOTP.
  • Encodage:entier 32 bits non signé.

Option.data

  • Objectif:stocker les données de l'option DHCP. Pour en savoir plus, consultez le document RFC 1533 sur les options DHCP et les extensions de fournisseur BOOTP.
  • Encodage:octets.

Remplissage des métadonnées DNS

Les champs de métadonnées DNS capturent les informations liées aux paquets de requêtes et de réponses DNS. Ils ont une correspondance un à un avec les données trouvées dans les datagrammes de requête et de réponse DNS.

Dns.authoritative

  • Objectif:définir la valeur sur "true" pour les serveurs DNS faisant autorité.
  • Encodage:booléen.

Dns.id

  • Objectif:stocker l'identifiant de la requête DNS.
  • Encodage:entier 32 bits.

Dns.response

  • Objectif:à définir sur "true" si l'événement est une réponse DNS.
  • Encodage:booléen.

Dns.opcode

  • Objectif:stocke le code d'opération DNS utilisé pour spécifier le type de requête DNS (standard, inverse, état du serveur, etc.).
  • Encodage:entier 32 bits.

Dns.recursion_available

  • Objectif:défini sur "true" si une résolution DNS récursive est disponible.
  • Encodage:booléen.

Dns.recursion_desired

  • Objectif:défini sur "true" si une résolution DNS récursive est demandée.
  • Encodage:booléen.

Dns.response_code

  • Objectif:stocke le code de réponse DNS tel que défini par la norme RFC 1035 intitulée "Domain Names - Implementation and Specification".
  • Encodage:entier 32 bits.

Dns.truncated

  • Objectif:à définir sur "true" s'il s'agit d'une réponse DNS tronquée.
  • Encodage:booléen.

Dns.questions

Dns.answers

Dns.authority

Dns.additional

Population des métadonnées des questions DNS

Les champs de métadonnées de la question DNS capturent les informations contenues dans la section "Question" d'un message de protocole de domaine.

Question.name

  • Objectif:stocker le nom de domaine.
  • Encodage:chaîne.

Question.class

  • Objectif:stocke le code spécifiant la classe de la requête.
  • Encodage:entier 32 bits.

Question.type

  • Objectif:stocke le code spécifiant le type de requête.
  • Encodage:entier 32 bits.

Remplissage des métadonnées d'enregistrement de ressources DNS

Les champs de métadonnées de l'enregistrement de ressources DNS capturent les informations contenues dans l'enregistrement de ressources d'un message de protocole de domaine.

ResourceRecord.binary_data

  • Objectif:stocker les octets bruts de toutes les chaînes non UTF8 pouvant être incluses dans une réponse DNS. Ce champ ne doit être utilisé que si les données de réponse renvoyées par le serveur DNS contiennent des données non UTF8. Sinon, placez la réponse DNS dans le champ de données ci-dessous. Ce type d'informations doit être stocké ici plutôt que dans ResourceRecord.data.

  • Encodage:octets.

ResourceRecord.class

  • Objectif:stocke le code spécifiant la classe de l'enregistrement de ressources.
  • Encodage:entier 32 bits.

ResourceRecord.data

  • Objectif:stocke la charge utile ou la réponse à la question DNS pour toutes les réponses encodées au format UTF-8. Par exemple, le champ de données peut renvoyer l'adresse IP de la machine à laquelle le nom de domaine fait référence. Si l'enregistrement de ressource est destiné à un autre type ou à une autre classe, il peut contenir un autre nom de domaine (lorsqu'un nom de domaine est redirigé vers un autre nom de domaine). Les données doivent être stockées telles qu'elles figurent dans la réponse DNS.
  • Encodage:chaîne.

ResourceRecord.name

  • Objectif:stocker le nom du propriétaire de l'enregistrement de ressources.
  • Encodage:chaîne.

ResourceRecord.ttl

  • Objectif:stocker l'intervalle de temps pendant lequel l'enregistrement de ressources peut être mis en cache avant que la source des informations ne doive être à nouveau interrogée.
  • Encodage:entier 32 bits.

ResourceRecord.type

  • Objectif:stocke le code spécifiant le type d'enregistrement de ressources.
  • Encodage:entier 32 bits.

Remplissage des métadonnées d'e-mail

La plupart des champs "Email Metadata" (Métadonnées de messagerie) capturent les adresses e-mail incluses dans l'en-tête du message et doivent être conformes au format d'adresse e-mail standard (local-mailbox@domain), tel que défini dans le document RFC 5322. Par exemple, franck@email.example.com.

Email.from

  • Objectif:stocke l'adresse e-mail from.
  • Encodage:chaîne.

Email.reply_to

  • Objectif:stocke l'adresse e-mail reply_to.
  • Encodage:chaîne.

Email.to

  • Objectif:stocker les adresses e-mail to.
  • Encodage:chaîne.

Email.cc

  • Objectif:stocker les adresses e-mail en Cc
  • Encodage:chaîne.

Email.bcc

  • Objectif:stocker les adresses e-mail en Cci.
  • Encodage:chaîne.

Email.mail_id

  • Objectif:stocke l'identifiant de l'e-mail (ou du message).
  • Encodage:chaîne.
  • Exemple:192544.132632@email.example.com

Email.subject

  • Objectif:stocke l'objet de l'e-mail.
  • Encodage:chaîne.
  • Exemple : "Veuillez lire ce message."

Remplissage des métadonnées des extensions

Types d'événements avec des métadonnées de première classe qui ne sont pas encore catégorisés par l'UDM de Google Security Operations. Extensions.auth

  • Objectif:extension des métadonnées d'authentification.
  • Encodage:chaîne.
  • Exemples:
    • Métadonnées de bac à sable (tous les comportements présentés par un fichier, par exemple FireEye).
    • Données de contrôle d'accès au réseau (NAC).
    • Informations LDAP concernant un utilisateur (rôle, organisation, etc.)

Extensions.auth.auth_details

  • Objectif:spécifier les informations spécifiques au fournisseur pour le type ou le mécanisme d'authentification Les fournisseurs d'authentification définissent souvent des types tels que via_mfa, via_ad, etc., qui fournissent des informations utiles sur le type d'authentification. Ces types peuvent toujours être généralisés dans auth.type ou auth.mechanism pour plus de facilité d'utilisation et de compatibilité avec les règles inter-ensembles de données.
  • Encodage:chaîne.
  • Exemples:via_mfa, via_ad.

Extensions.vulns

  • Objectif:extension aux métadonnées des failles.
  • Encodage:chaîne.
  • Exemple:
    • Données d'analyse des failles de l'hôte.

Remplissage des métadonnées du fichier

File.file_metadata

  • Objectif:les métadonnées associées au fichier.
  • Encodage:chaîne.
  • Exemples:
    • Author (Auteur)
    • Numéro de révision
    • Numéro de version
    • Date du dernier enregistrement

File.full_path

  • Objectif:chemin d'accès complet identifiant l'emplacement du fichier sur le système.
  • Encodage:chaîne.
  • Exemple : \Program Files\Custom Utilities\Test.exe

File.md5

  • Objectif:valeur de hachage MD5 du fichier.
  • Encodage:chaîne, hexadécimale minuscule.
  • Exemple:35bf623e7db9bf0d68d0dda764fd9e8c

File.mime_type

  • Objectif:type MIME (Multipurpose Internet Mail Extensions) du fichier.
  • Encodage:chaîne.
  • Exemples:
    • PE
    • PDF
    • script PowerShell

File.sha1

  • Objectif:valeur de hachage SHA-1 du fichier.
  • Encodage:chaîne, hexadécimale minuscule.
  • Exemple:eb3520d53b45815912f2391b713011453ed8abcf

File.sha256

  • Objectif:valeur de hachage SHA-256 du fichier.
  • Encodage:chaîne, hexadécimale minuscule.
  • Exemple:
    • D7173c568b8985e61b4050f81b3fd8e75bc922d2a0843d7079c81ca4b6e36417

File.size

  • Objectif:taille du fichier.
  • Encodage: entier non signé de 64 bits.
  • Exemple:342135.

Remplissage des métadonnées FTP

Ftp.command

  • Objectif:stocker la commande FTP.
  • Encodage:chaîne.
  • Exemples:
    • binary
    • delete
    • get
    • put

Population des métadonnées du groupe

Informations sur un groupe d'organisations.

Group.creation_time

  • Objectif:heure de création du groupe.
  • Encodage:RFC 3339, selon le format d'horodatage JSON ou Proto3.

Group.email_addresses

  • Objectif:regrouper les coordonnées
  • Encodage:e-mail.

Group.group_display_name

  • Objectif:nom à afficher du groupe.
  • Encodage:chaîne.
  • Exemples:
    • Finance
    • RH
    • Marketing

Group.product_object_id

  • Objectif:identifiant d'objet utilisateur unique global pour le produit, tel qu'un identifiant d'objet LDAP.
  • Encodage:chaîne.

Group.windows_sid

  • Objectif:champ d'attribut de groupe de l'identifiant de sécurité Microsoft Windows (SID).
  • Encodage:chaîne.

Remplissage des métadonnées HTTP

Http.method

  • Objectif:stocke la méthode de requête HTTP.
  • Encodage:chaîne.
  • Exemples:
    • GET
    • HEAD
    • POST

Http.referral_url

  • Objectif:stocker l'URL pour l'URL de provenance HTTP.
  • Encodage:URL RFC 3986 valide.
  • Exemple:https://www.altostrat.com

Http.response_code

  • Objectif:stocke le code d'état de la réponse HTTP, qui indique si une requête HTTP spécifique a bien été exécutée.
  • Encodage:entier 32 bits.
  • Exemples:
    • 400
    • 404

Http.useragent

  • Objectif:stocke l'en-tête de requête user-agent qui inclut le type d'application, le système d'exploitation, le fournisseur du logiciel ou la version du user-agent logiciel à l'origine de la demande.
  • Encodage:chaîne.
  • Exemples:
    • Mozilla/5.0 (X11; Linux x86_64)
    • AppleWebKit/534.26 (KHTML, par exemple Gecko)
    • Chrome/41.0.2217.0
    • Safari/527.33

Insertion des métadonnées de lieu

Location.city

  • Objectif:stocke le nom de la ville.
  • Encodage:chaîne.
  • Exemples:
    • Sunnyvale
    • Chicago
    • Malaga

Location.country_or_region

  • Objectif:stocker le nom du pays ou de la région du monde
  • Encodage:chaîne.
  • Exemples:
    • États-Unis
    • Royaume-Uni
    • Espagne

Location.name

  • Objectif:stocke le nom spécifique à l'entreprise, comme un bâtiment ou un campus.
  • Encodage:chaîne.
  • Exemples:
    • Campus 7B
    • Bâtiment A2

Location.state

  • Objectif:stocker le nom de l'État, de la province ou du territoire.
  • Encodage:chaîne.
  • Exemples:
    • Californie
    • Illinois
    • Ontario

Remplissage des métadonnées du réseau

Network.application_protocol

  • Objectif:indique le protocole d'application réseau.
  • Encodage:type énuméré.
  • Valeurs possibles:
    • UNKNOWN_APPLICATION_PROTOCOL
    • QUIC
    • HTTP
    • HTTPS
    • DNS
    • DHCP

Network.direction

  • Objectif:indiquer le sens du trafic réseau
  • Encodage:type énuméré.
  • Valeurs possibles:
    • UNKNOWN_DIRECTION
    • ENTRANT
    • SORTIE
    • DIFFUSION

Network.email

  • Objectif:spécifie l'adresse e-mail de l'expéditeur/du destinataire.
  • Encodage:chaîne.
  • Exemple:jcheng@entreprise.example.com

Network.ip_protocol

  • Objectif:indique le protocole IP.
  • Encodage:type énuméré.
  • Valeurs possibles:
    • UNKNOWN_IP_PROTOCOL
    • EIGRP (Enhanced Interior Gateway Routing Protocol)
    • ESP : Encapsulating Security Payload
    • ETHEIP – Encapsulation Ethernet-au sein de l'adresse IP
    • GRE : encapsulation de routage générique
    • ICMP (Internet Control Message Protocol)
    • IGMP : protocole de gestion des groupes Internet
    • IP6IN4 : encapsulation IPv6
    • PIM : multidiffusion indépendante du protocole
    • TCP : protocole TCP
    • UDP : protocole de datagramme utilisateur
    • VRRP : protocole de redondance du routeur virtuel

Network.received_bytes

  • Objectif:spécifier le nombre d'octets reçus.
  • Encodage: entier non signé de 64 bits.
  • Exemple:12 453 654 768

Network.sent_bytes

  • Objectif:spécifier le nombre d'octets envoyés.
  • Encodage: entier non signé de 64 bits.
  • Exemple:7 654 876

Network.session_duration

  • Objectif:stocke la durée de la session réseau, généralement renvoyée lors d'un événement d'abandon pour la session. Pour définir la durée, vous pouvez définir network.session_duration.seconds = 1 (type int64) ou network.session_duration.nanos = 1 (type int32).
  • Encodage:
    • Entier 32 bits : pour les secondes (network.session_duration.seconds).
    • Entier 64 bits : pour les nanosecondes (network.session_duration.nanos).

Network.session_id

  • Objectif:stocker l'identifiant de session réseau.
  • Encodage:chaîne.
  • Exemple:SID:ANON:www.w3.org:j6oAOxCWZh/CD723LGeXlf-01:34

Remplissage des métadonnées du processus

Process.command_line

  • Objectif:stocke la chaîne de ligne de commande du processus.
  • Encodage:chaîne.
  • Exemple:groupe c:\windows\system32\net.exe

Process.product_specific_process_id

  • Objectif:stocke l'ID de processus spécifique au produit.
  • Encodage:chaîne.
  • Exemples:MySQL:78778 ou CS:90512

Process.parent_process.product_specific_process_id

  • Objectif:stocke l'ID de processus spécifique au produit pour le processus parent.
  • Encodage:chaîne.
  • Exemples:MySQL:78778 ou CS:90512

Process.file

  • Objectif:stocke le nom du fichier utilisé par le processus.
  • Encodage:chaîne.
  • Exemple:report.xls

Process.parent_process

  • Objectif:stocke les détails du processus parent.
  • Encodage:nom (processus)

Process.pid

  • Objectif:stocke l'ID du processus.
  • Encodage:chaîne.
  • Exemples:
    • 308
    • 2002

Remplissage des métadonnées du registre

Registry.registry_key

  • Objectif:stocke la clé de registre associée à une application ou à un composant système.
  • Encodage:chaîne.
  • Exemple:HKEY_LOCAL_MACHINE/SYSTEM/DriverDatabase

Registry.registry_value_name

  • Objectif:stocke le nom de la valeur de registre associée à une application ou à un composant système.
  • Encodage:chaîne.
  • Exemple:TEMP

Registry.registry_value_data

  • Objectif:stocke les données associées à une valeur de registre.
  • Encodage:chaîne.
  • Exemple : %NOMUTILISATEUR%\Local Settings\Temp

Insertion des métadonnées des résultats de sécurité

Les métadonnées des résultats de sécurité comprennent des détails sur les risques et les menaces de sécurité détectés par un système de sécurité, ainsi que sur les mesures prises pour les atténuer.

SecurityResult.about

  • Objectif:fournir une description du résultat lié à la sécurité.
  • Encodage:nom.

SecurityResult.action

  • Objectif:spécifier une action de sécurité
  • Encodage:type énuméré.
  • Valeurs possibles:l'UDM de Google Security Operations définit les actions de sécurité suivantes :
    • AUTORISER
    • ALLOW_WITH_MODIFICATION : le fichier ou l'e-mail a été désinfecté ou réécrit, puis toujours transféré.
    • BLOQUER
    • QUARANTAINE : stocker pour analyse ultérieure (ne signifie pas bloquer).
    • UNKNOWN_ACTION

SecurityResult.action_details

  • Objectif:détails fournis par le fournisseur sur les mesures prises à la suite de l'incident de sécurité. Les actions de sécurité se traduisent souvent mieux dans le champ UDM plus général Security_Result.action. Cependant, vous devrez peut-être rédiger des règles pour la description exacte de l'action fournie par le fournisseur.
  • Encodage:chaîne.
  • Exemples:déposer, bloquer, déchiffrer, chiffrer.

SecurityResult.category

  • Objectif:spécifier une catégorie de sécurité.
  • Encodage:énumération.
  • Valeurs possibles:l'UDM de Google Security Operations définit les catégories de sécurité suivantes :
    • ACL_VIOLATION : tentative d'accès non autorisé, y compris une tentative d'accès à des fichiers, des services Web, des processus, des objets Web, etc.
    • AUTH_VIOLATION : échec de l'authentification (mot de passe ou authentification à deux facteurs incorrects, par exemple).
    • DATA_AT_REST: données de capteurs détectées au repos lors d'une analyse
    • DATA_DESTRUCTION : tente de détruire ou de supprimer des données.
    • DATA_EXFILTRATION : protection contre la perte de données : transmission des données du capteur, copie sur la clé USB.
    • EXPLOIT : tentatives de dépassement, mauvais encodages de protocoles, ROP, injection SQL, etc., basés sur le réseau et sur l'hôte.
    • MAIL_PHISHING : e-mails de phishing, messages de chat, etc.
    • MAIL_SPAM : spam dans les e-mails, les messages, etc.
    • MAIL_SPOOFING : adresse e-mail source falsifiée, etc.
    • NETWORK_CATEGORIZED_CONTENT
    • NETWORK_COMMAND_AND_CONTROL : si le canal de commande et de contrôle est connu
    • NETWORK_DENIAL_OF_SERVICE
    • NETWORK_MALICIOUS : commande et contrôle, exploitation de réseau, activité suspecte, tunnel inverse potentiel, etc.
    • NETWORK_SUSPICIOUS : non lié à la sécurité (par exemple, l'URL est liée à des jeux d'argent et de hasard, etc.)
    • NETWORK_RECON : analyse de ports détectée par un IDS, vérifiée par une application Web.
    • POLICY_VIOLATION : non-respect des règles de sécurité, y compris le non-respect des règles de pare-feu, de proxy et de HIPS, ou des actions de blocage NAC.
    • SOFTWARE_MALICIOUS : logiciels malveillants, logiciels espions, rootkits, etc.
    • LOGICIEL_PUA : application potentiellement indésirable, comme un logiciel publicitaire, etc.
    • SOFTWARE_SUSPICIOUS
    • UNKNOWN_CATEGORY

SecurityResult.confidence

  • Objectif:spécifier le niveau de confiance par rapport à un événement de sécurité, tel qu'estimé par le produit.
  • Encodage:énumération.
  • Valeurs possibles:l'UDM de Google Security Operations définit les catégories de confiance suivantes pour les produits :
    • UNKNOWN_CONFIDENCE
    • LOW_CONFIDENCE
    • MEDIUM_CONFIDENCE
    • HIGH_CONFIDENCE

SecurityResult.confidence_details

  • Objectif:informations supplémentaires concernant le niveau de confiance d'un événement de sécurité, tel qu'estimé par le fournisseur du produit.
  • Encodage:chaîne.

SecurityResult.priority

  • Objectif:spécifier une priorité par rapport à un événement de sécurité, telle qu'estimée par le fournisseur du produit.
  • Encodage:énumération.
  • Valeurs possibles:l'UDM Google Security Operations définit les catégories de priorité des produits suivantes :
    • UNKNOWN_PRIORITY
    • LOW_PRIORITY
    • MEDIUM_PRIORITY
    • HIGH_PRIORITY

SecurityResult.priority_details

  • Objectif:informations spécifiques au fournisseur concernant la priorité des résultats de sécurité.
  • Encodage:chaîne.

SecurityResult.rule_id

  • Objectif:identifiant de la règle de sécurité.
  • Encodage:chaîne.
  • Exemples:
    • 08123
    • 5d2b44d0-5ef6-40f5-a704-47d61d3babbe

SecurityResult.rule_name

  • Objectif:nom de la règle de sécurité.
  • Encodage:chaîne.
  • Exemple:BlockInputToOracle.

SecurityResult.severity

  • Objectif:gravité d'un événement de sécurité, telle qu'estimée par le fournisseur du produit à l'aide des valeurs définies par l'UDM de Google Security Operations.
  • Encodage:énumération.
  • Valeurs possibles:l'UDM de Google Security Operations définit les niveaux de gravité suivants pour les produits :
    • UNKNOWN_SEVERITY : contenu non malveillant
    • À TITRE D'INFORMATION – Contenu non malveillant
    • ERREUR : contenu non malveillant
    • LOW – Contenu malveillant
    • MOYENNE – Malveillance
    • HIGH – Contenu malveillant

SecurityResult.severity_details

  • Objectif:gravité d'un événement lié à la sécurité, telle qu'estimée par le fournisseur du produit.
  • Encodage:chaîne.

SecurityResult.threat_name

  • Objectif:nom de la menace de sécurité.
  • Encodage:chaîne.
  • Exemples:
    • W32/Fichier-A
    • Coup de foudre

SecurityResult.url_back_to_product

  • Objectif:URL vous permettant d'accéder à la console du produit source pour cet événement lié à la sécurité.
  • Encodage:chaîne.

Remplissage des métadonnées utilisateur

User.email_addresses

  • Objectif:stocker les adresses e-mail de l'utilisateur
  • Encodage:chaîne répétée.
  • Exemple:johnlocke@company.example.com

User.employee_id

  • Objectif:stocke l'ID employé des ressources humaines de l'utilisateur.
  • Encodage:chaîne.
  • Exemple:11223344.

User.first_name

  • Objectif:stocker le prénom de l'utilisateur.
  • Encodage:chaîne.
  • Exemple:Jean.

User.middle_name

  • Objectif:stocker le deuxième prénom de l'utilisateur.
  • Encodage:chaîne.
  • Exemple:Anthony.

User.last_name

  • Objectif:stocker le nom de l'utilisateur.
  • Encodage:chaîne.
  • Exemple:Locke.

User.group_identifiers

  • Objectif:stocke le ou les ID de groupe (GUID, OID LDAP ou autres) associés à un utilisateur.
  • Encodage:chaîne répétée.
  • Exemple:administrateurs-utilisateurs.

User.phone_numbers

  • Objectif:stocker les numéros de téléphone des utilisateurs.
  • Encodage:chaîne répétée.
  • Exemple:800-555-0101

User.title

  • Objectif:stocke l'intitulé du poste de l'utilisateur.
  • Encodage:chaîne.
  • Exemple:Gestionnaire de la relation client.

User.user_display_name

  • Objectif:stocker le nom à afficher de l'utilisateur
  • Encodage:chaîne.
  • Exemple:John Locke.

User.userid

  • Objectif:stocke l'ID utilisateur.
  • Encodage:chaîne.
  • Exemple:jlocke.

User.windows_sid

  • Objectif:stocke l'identifiant de sécurité (SID) Microsoft Windows associé à un utilisateur.
  • Encodage:chaîne.
  • Exemple:S-1-5-21-1180649209-123456789-3582944384-1064

Population des métadonnées de vulnérabilité

Vulnerability.about

  • Objectif:Si la faille concerne un nom spécifique (par exemple, un exécutable), ajoutez-le ici.
  • Encodage:nom. Voir Métadonnées Population de noms
  • Exemple : "Exécutable".

Vulnerability.cvss_base_score

  • Objectif:score de base pour le CVSS (Common Vulnerability Scoring System).
  • Encodage:virgule flottante.
  • Plage:0,0 à 10,0
  • Exemple:8,5

Vulnerability.cvss_vector

  • Objectif:Vecteur des propriétés CVSS de la faille. Un score CVSS est composé des métriques suivantes:

    • Vecteur d'attaque (AV)
    • Complexité de l'accès
    • Authentification (AU)
    • Impact sur la confidentialité (C)
    • Impact sur l'intégrité (I)
    • Impact sur la disponibilité (A)

    Pour en savoir plus, consultez la page https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator.

  • Encodage:chaîne.

  • Exemple:AV:L/AC:H/Au:N/C:N/I:P/A:C

Vulnerability.cvss_version

  • Objectif:version CVSS du vecteur ou du score de faille.
  • Encodage:chaîne.
  • Exemple:3.1

Vulnerability.description

  • Objectif:description de la faille.
  • Encodage:chaîne.

Vulnerability.first_found

  • Objectif:les produits qui conservent un historique des analyses de failles doivent indiquer "first_found" avec l'heure à laquelle la faille de cet élément a été détectée pour la première fois.
  • Encodage:chaîne.

Vulnerability.last_found

  • Objectif:les produits qui conservent un historique des analyses de failles doivent renseigner le champ last_found avec l'heure à laquelle la faille de cet élément a été détectée pour la dernière fois.
  • Encodage:chaîne.

Vulnerability.name

  • Objectif:nom de la faille.
  • Encodage:chaîne.
  • Exemple:Version d'OS non compatible détectée.

Vulnerability.scan_end_time

  • Objectif:si la faille a été découverte lors d'une analyse d'éléments, renseignez ce champ en indiquant l'heure de fin de l'analyse. Laissez ce champ vide si l'heure de fin n'est pas disponible ou n'est pas applicable.
  • Encodage:chaîne.

Vulnerability.scan_start_time

  • Objectif:si la faille a été découverte lors d'une analyse d'éléments, renseignez ce champ avec l'heure de début de l'analyse. Laissez ce champ vide si l'heure de début n'est pas disponible ou n'est pas applicable.
  • Encodage:chaîne.

Vulnerability.severity

  • Objectif:gravité de la faille.
  • Encodage:type énuméré.
  • Valeurs possibles:
    • UNKNOWN_SEVERITY
    • FAIBLE
    • MOYENNE
    • ÉLEVÉ

Vulnerability.severity_details

  • Objectif:détails sur le niveau de gravité spécifique au fournisseur.
  • Encodage:chaîne.

Remplissage des métadonnées d'alerte

idm.is_significant

  • Objectif:indique si l'alerte doit être affichée dans Enterprise Insights.
  • Encodage:booléen

idm.is_alert

  • Objectif:détermine si l'événement est une alerte.
  • Encodage:booléen

Champs obligatoires et facultatifs en fonction du type d'événement

Cette section décrit les champs obligatoires et facultatifs à renseigner en fonction du type d'événement UDM. Pour obtenir une description de ces champs, consultez la liste des champs du modèle de données unifié.

EMAIL_TRANSACTION

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal: renseignez les informations sur la machine d'où provient l'e-mail. Par exemple, l'adresse IP de l'expéditeur.

Champs facultatifs :

  • about: URL, adresses IP, domaines et pièces jointes dans le corps de l'e-mail.
  • securityResult.about: URL, adresses IP et fichiers incorrects intégrés dans le corps de l'e-mail.
  • network.email: informations sur l'expéditeur/le destinataire des e-mails
  • principal: si des données sur la machine cliente sont présentes pour l'expéditeur de l'e-mail, renseignez les informations sur le serveur dans le compte principal (par exemple, le processus client, les numéros de port, le nom d'utilisateur, etc.).
  • target: s'il existe des données sur le serveur de messagerie de destination, renseignez les détails du serveur dans la cible (par exemple, l'adresse IP).
  • intermediary (intermédiaire) : s'il existe des données de serveur de messagerie ou de proxy de messagerie, renseignez les détails du serveur dans "intermédiaire".

Remarques :

  • Ne renseignez jamais principal.email ni target.email.
  • Ne remplissez que le champ d'adresse e-mail dans security_result.about ou network.email.
  • Les résultats de sécurité de niveau supérieur comportent généralement un nom (facultatif pour le spam).

FILE_CREATION, FILE_DELETION, FILE_MODIFICATION, FILE_READ et FILE_OPEN

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal:
    • Au moins un identifiant de machine.
    • (Facultatif) Renseignez principal.process avec des informations sur le processus qui accède au fichier.
  • target:
    • Si le fichier est distant (par exemple, partage SMB), la cible doit inclure au moins un identifiant de machine pour la machine cible. Sinon, tous les identifiants de machine doivent être vides.
    • Renseignez target.file avec les informations sur le fichier.

Facultatif :

  • security_result: décrivez l'activité malveillante détectée.
  • principal.user: à renseigner si des informations sur l'utilisateur sont disponibles concernant le processus.

FILE_COPY

Champs obligatoires :

  • metadata: incluez les champs obligatoires comme décrit.
  • principal:
    • Au moins un identifiant de machine.
    • (Facultatif) Renseignez principal.process avec des informations sur le processus effectuant l'opération de copie de fichier.
  • src:
    • Renseignez src.file avec les informations du fichier source.
    • Si le fichier est distant (par exemple, partage SMB), src doit inclure au moins un identifiant de machine pour la machine source stockant le fichier source.
  • target:
    • Renseignez target.file avec des informations sur le fichier cible.
    • Si le fichier est distant (par exemple, partage SMB), le champ target doit inclure au moins un identifiant de machine pour la machine cible qui contient le fichier cible.

Champs facultatifs :

  • security_result: décrivez l'activité malveillante détectée.
  • principal.user: à renseigner si des informations sur l'utilisateur sont disponibles concernant le processus.

MUTEX_CREATION

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal:
    • Au moins un identifiant de machine.
    • Renseignez principal.process avec des informations sur le processus de création du mutex.
  • target:
    • Renseignez target.resource.
    • Renseignez target.resource.type avec MUTEX.
    • Dans target.resource.name, indiquez le nom du mutex créé.

Facultatif :

  • security_result: décrivez l'activité malveillante détectée.
  • principal.user: à renseigner si des informations sur l'utilisateur sont disponibles concernant le processus.
Exemple de UDM pour MUTEX_CREATION

L'exemple suivant montre comment un événement de type MUTEX_CREATION serait formaté pour l'UDM Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: MUTEX_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.altostrat.com"
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  resource {
    type: "MUTEX"
    name: "test-mutex"
  }
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes:

  • métadonnées: informations générales sur l'événement.
  • principal: détails de l'appareil et du processus.
  • target: informations sur le mutex.

NETWORK_CONNECTION

Champs obligatoires :

  • metadata: event_timestamp
  • principal: inclut des informations sur la machine qui a initié la connexion réseau (par exemple, la source).
  • target: inclut des détails sur la machine cible si elle est différente de la machine principale.
  • network: capture les détails de la connexion réseau (ports, protocole, etc.).

Champs facultatifs :

  • principal.process et target.process: incluent les informations sur le processus associées au compte principal et à la cible de la connexion réseau (le cas échéant).
  • principal.user et target.user: incluent les informations utilisateur associées au compte principal et à la cible de la connexion réseau (le cas échéant).

NETWORK_HTTP

Le type d'événement NETWORK_HTTP représente une connexion réseau HTTP entre un compte principal et un serveur Web cible.

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal: représente le client à l'origine de la requête Web et inclut au moins un identifiant de machine (par exemple, nom d'hôte, adresse IP, adresse MAC ou identifiant d'élément propriétaire) ou un identifiant utilisateur (par exemple, nom d'utilisateur). Si une connexion réseau spécifique est décrite et qu'un numéro de port client est disponible, une seule adresse IP doit être spécifiée avec le numéro de port associé à cette connexion réseau (bien que d'autres identifiants de machine puissent être fournis pour mieux décrire l'appareil du participant). Si aucun port source n'est disponible, toutes les adresses IP et MAC, les identifiants d'éléments et les valeurs d'hôte décrivant l'appareil principal peuvent être spécifiés.
  • target: représente le serveur Web et inclut des informations sur l'appareil et éventuellement un numéro de port. Si un numéro de port cible est disponible, spécifiez une seule adresse IP en plus du numéro de port associé à cette connexion réseau (bien que plusieurs autres identifiants de machine puissent être fournis pour la cible). Pour le champ target.url, indiquez l'URL consultée.
  • network et network.http: incluent des détails sur la connexion réseau HTTP. Vous devez renseigner les champs suivants :
    • network.ip_protocol
    • network.application_protocol
    • network.http.method

Champs facultatifs :

  • about: représente d'autres entités trouvées dans la transaction HTTP (par exemple, un fichier importé ou téléchargé).
  • intermediary (intermédiaire) : représente un serveur proxy (s'il est différent du compte principal ou de la cible).
  • metadata: renseignez les autres champs de métadonnées.
  • network: renseignez les autres champs du réseau.
  • network.email: si la connexion réseau HTTP provient d'une URL qui est apparue dans un e-mail, renseignez network.email avec les détails.
  • observer: représente un outil de détection passif (le cas échéant).
  • security_result: ajoutez un ou plusieurs éléments au champ "security_result" pour représenter l'activité malveillante détectée.
Exemple UDM pour NETWORK_HTTP

L'exemple suivant montre comment un événement antivirus Sophos de type NETWORK_HTTP serait converti au format UDM de Google Security Operations.

Voici l'événement antivirus Sophos d'origine:

date=2013-08-07 time=13:27:41 timezone="GMT" device_name="CC500ia" device_id= C070123456-ABCDE log_id=030906208001 log_type="Anti-Virus" log_component="HTTP" log_subtype="Virus" status="" priority=Critical fw_rule_id=0 user_name="john.smith" iap=7 av_policy_name="" virus="TR/ElderadoB.A.78" url="altostrat.fr/img/logo.gif" domainname="altostrat.fr" src_ip=10.10.2.10 src_port=60671 src_country_code= dst_ip=203.0.113.31 dst_port=80 dst_country_code=FRA

Voici comment mettre en forme les mêmes informations dans Proto3 à l'aide de la syntaxe UDM de Google Security Operations:

metadata {
  event_timestamp: "2013-08-07T13:27:41+00:00"
  event_type: NETWORK_HTTP
  product_name: "Sophos Antivirus"
  product_log_id: "030906208001"
}

principal {
  hostname: "CC500ia"
  asset_id: "Sophos.AV:C070123456-ABCDE"
  ip: "10.10.2.10"
  port: 60671
  user {  userid: "john.smith" }
}

target {
  hostname: "altostrat.fr"
  ip: "203.0.113.31"
  port: 80
  url: "altostrat.fr/img/logo.gif"
}

network {
  ip_protocol: TCP
 }

security_result {
  about {
    url: "altostrat.fr/img/logo.gif"
    category: SOFTWARE_MALICIOUS
    category_details: "Virus"
    threat_name: "TR/ElderadoB.A.78"
    severity: HIGH                   # Google Security Operations-normalized severity
    severity_details: "Critical"    # Vendor-specific severity string
  }
}

additional { "dst_country_code" : "FRA", "iap" : "7" "fw_rule_id" : "0" }

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes:

  • métadonnées: informations générales sur l'événement.
  • principal: appareil de sécurité qui a détecté l'événement.
  • target: appareil ayant reçu le logiciel malveillant.
  • network: informations réseau concernant l'hôte malveillant.
  • security_result: informations relatives à la sécurité du logiciel malveillant.
  • supplémentaires: informations sur les fournisseurs qui ne relèvent actuellement pas du champ d'application de l'UDM.

PROCESS_INJECTION, PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_TERMINATION, PROCESS_UNCATEGORIZED

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal:
    • Au moins un identifiant de machine.
    • Pour les événements d'injection et d'arrêt de processus, le cas échéant, principal.process doit inclure des informations sur le processus à l'origine de l'action. Par exemple, pour un événement de lancement de processus, principal.process doit inclure des informations sur le processus parent, le cas échéant.
  • target:
    • target.process: comprend des informations sur le processus en cours d'injection, d'ouverture, de lancement ou d'arrêt.
    • Si le processus cible est distant, la cible doit inclure au moins un identifiant de machine pour la machine cible (par exemple, une adresse IP, un MAC, un nom d'hôte ou un identifiant d'élément tiers).

Champs facultatifs :

  • security_result: décrivez l'activité malveillante détectée.
  • principal.user et target.user: renseignez le processus de lancement (principal) et le processus cible si les informations sur l'utilisateur sont disponibles.
Exemple de UDM pour PROCESS_LAUNCH

L'exemple suivant montre comment mettre en forme un événement PROCESS_LAUNCH à l'aide de la syntaxe UDM de Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_LAUNCH
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes:

  • métadonnées: informations générales sur l'événement.
  • principal: Détails de l'appareil.
  • target: détails du processus.

PROCESS_MODULE_LOAD

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal:
    • Au moins un identifiant de machine.
    • principal.process: processus lors du chargement du module.
  • target:
    • target.process: comprend des informations sur le processus.
    • target.process.file: module chargé (par exemple, DLL ou objet partagé).

Champs facultatifs :

  • security_result: décrivez l'activité malveillante détectée.
  • principal.user: à renseigner si des informations sur l'utilisateur sont disponibles concernant le processus.
Exemple de UDM pour PROCESS_MODULE_LOAD

L'exemple suivant montre comment mettre en forme un événement PROCESS_MODULE_LOAD à l'aide de la syntaxe UDM de Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_MODULE_LOAD
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes:

  • métadonnées: informations générales sur l'événement.
  • principal: détails concernant l'appareil et le processus qui charge le module.
  • target: détails du processus et du module.

PROCESS_PRIVILEGE_ESCALATION

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal:
    • Au moins un identifiant de machine.
    • principal.process: processus lors du chargement du module.
    • principal.user: utilisateur chargeant le module.

Champs facultatifs :

  • security_result: décrivez l'activité malveillante détectée.
Exemple de UDM pour PROCESS_PRIVILEGE_ESCALATION

L'exemple suivant montre comment mettre en forme un événement PROCESS_PRIVILEGE_ESCALATION à l'aide de la syntaxe UDM de Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_PRIVILEGE_ESCALATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes:

  • métadonnées: informations générales sur l'événement.
  • principal: détails concernant l'appareil, l'utilisateur et le processus qui charge le module.
  • target: détails du processus et du module.

REGISTRY_CREATION, REGISTRY_MODIFICATION, REGISTRY_DELETION

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal:
    • Au moins un identifiant de machine.
    • Si un processus en mode utilisateur effectue la modification du registre, principal.process doit inclure des informations sur le processus modifiant le registre.
    • Si un processus de noyau effectue la modification du registre, le compte principal ne doit pas inclure d'informations de processus.
  • target:
    • target.registry: si le registre cible est distant, la cible doit inclure au moins un identifiant pour la machine cible (par exemple, une adresse IP, une adresse MAC, un nom d'hôte ou un identifiant d'élément tiers).
    • target.registry.registry_key: tous les événements de registre doivent inclure la clé de registre concernée.

Facultatif :

  • security_result::décrivez l'activité malveillante détectée. Par exemple, une clé de registre incorrecte.
  • principal.user::à renseigner si des informations sur l'utilisateur sont disponibles concernant le processus.
Exemple d'unité UDM pour REGISTRY_MODIFICATION

L'exemple suivant montre comment mettre en forme un événement REGISTRY_MODIFICATION dans Proto3 à l'aide de la syntaxe UDM de Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: REGISTRY_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test-win"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  registry {
    registry_key: "\\REGISTRY\\USER\\TEST_USER\\Control Panel\\PowerCfg\\PowerPolicy"
    registry_value_name: "Description"
    registry_value_data: "For extending battery life."
  }
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes:

  • métadonnées: informations générales sur l'événement.
  • principal: détails de l'appareil, de l'utilisateur et du processus.
  • target: entrée de registre affectée par la modification.

SCAN_FILE, SCAN_HOST, SCAN_PROCESS, SCAN_VULN_HOST, SCAN_VULN_NETWORK

Champs obligatoires :

  • extensions: pour SCAN_VULN_HOST et SCAN_VULN_NETWORK, définissez la faille à l'aide du champ extensions.vuln.
  • metadata: event_timestamp
  • observer: capture des informations sur l'analyseur lui-même. Si l'outil d'analyse est à distance, les détails de la machine doivent être capturés par le champ de l'observateur. Pour un analyseur local, laissez ce champ vide.
  • target: capture des informations sur la machine contenant l'objet analysé. Si un fichier est analysé, target.file doit capturer des informations sur le fichier analysé. Si un processus est analysé, target.process doit capturer des informations le concernant.

Champs facultatifs :

  • target: les détails de l'utilisateur concernant l'objet cible (par exemple, le créateur du fichier ou le propriétaire du processus) doivent être capturés dans target.user.
  • security_result: décrivez l'activité malveillante détectée.
Exemple UDM pour SCAN_HOST

L'exemple suivant montre comment un événement de type SCAN_HOST serait formaté pour l'UDM Google Security Operations:

metadata: {
  event_timestamp: {
    seconds: 1571386978
  }
  event_type: SCAN_HOST
  vendor_name: "vendor"
  product_name: "product"
  product_version: "1.0"
}
target: {
  hostname: "testHost"
  asset_id: "asset"
  ip: "192.168.200.200"
}
observer: {
  hostname: "testObserver"
  ip: "192.168.100.100"
}
security_result: {
  severity: LOW
  confidence: HIGH_CONFIDENCE
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes:

  • métadonnées: informations générales sur l'événement.
  • target: appareil ayant reçu le logiciel malveillant.
  • Observateur: appareil qui observe et signale l'événement en question.
  • security_result: informations relatives à la sécurité du logiciel malveillant.

SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_DISABLE, SCHEDULED_TASK_ENABLE, SCHEDULED_TASK_MODIFICATION, SCHEDULED_TASK_UNCATEGORIZED

Champs obligatoires :

  • principal: pour tous les événements SCHEDULED_TASK, le compte principal doit inclure un identifiant de machine et un identifiant utilisateur.
  • target: la cible doit inclure une ressource valide et un type de ressource défini sur "TASK".

Champs facultatifs :

  • security_result: décrivez l'activité malveillante détectée.
Exemple d'UDM pour SCHEDULED_TASK_CREATION

L'exemple suivant montre comment un événement de type SCHEDULED_TASK_CREATION peut être formaté pour l'UDM Google Security Operations:

metadata: {
  event_timestamp: {
    seconds: 1577577998
  }
  event_type: SCHEDULED_TASK_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal: {
  hostname: "fake-host.altostrat.com"
  user: {
    userid: "TestUser"
    windows_sid: "AB123CDE"
  }
  process {
    pid: "1234"
  }
}
target: {
  resource: {
    type: "TASK"
    name: "\\Adobe Acrobat Update Task"
  }
}
intermediary: {
  hostname: "fake-intermediary.altostrat.com"
}
security_result: {
  rule_name: "EventID: 6789"
  summary: "A scheduled task was created."
  severity: INFORMATIONAL
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes:

  • métadonnées: informations générales sur l'événement.
  • principal: appareil ayant planifié la tâche suspecte.
  • target: logiciel ciblé par la tâche suspecte.
  • intermédiaire: intermédiaire impliqué dans la tâche suspecte.
  • security_result: informations de sécurité concernant la tâche suspecte.

SETTING_UNCATEGORIZED, SETTING_CREATION, SETTING_MODIFICATION, SETTING_DELETION

Champs obligatoires :

  • principal: doit être présent, non vide et inclure un identifiant de machine.
  • target: doit être présente, non vide et inclure une ressource dont le type est spécifié en tant que SETTING.
Exemple d'UDM pour le type d'événement SETTING_MODIFICATION

L'exemple suivant illustre le formatage d'un événement de type SETTING_MODIFICATION pour l'UDM Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SETTING_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.win.com"
}
target {
  resource {
    type: "SETTING"
    name: "test-setting"
  }
}

Comme le montre cet exemple, l'événement a été divisé dans les catégories UDM suivantes:

  • métadonnées: informations générales sur l'événement.
  • principal: informations sur l'appareil sur lequel le paramètre a été modifié.
  • target: détails de la ressource.

SERVICE_UNSPECIFIED, SERVICE_CREATION, SERVICE_DELETION, SERVICE_START, SERVICE_STOP

Champs obligatoires :

  • target: inclut l'identifiant de l'utilisateur, et spécifie le processus ou l'application.
  • principal: incluez au moins un identifiant de machine (ADRESSE IP ou MAC, nom d'hôte ou identifiant d'élément).
Exemple UDM pour SERVICE_UNSPECIFIED

L'exemple suivant montre comment un événement de type SERVICE_UNSPECIFIED serait formaté pour l'UDM Google Security Operations:

metadata: {
 event_timestamp: {
   seconds: 1595656745
   nanos: 832000000
    }
 event_type: SERVICE_UNSPECIFIED
   vendor_name: "Preempt"
   product_name: "PREEMPT_AUTH"
   product_event_type: "SERVICE_ACCESS"
   description: "Remote Procedures (RPC)"
   }
 principal: {
   hostname: "XXX-YYY-ZZZ"
   ip: "10.10.10.10"
   }
 target: {
   hostname: "TestHost"
   user: {
      userid: "ORG\\User"
      user_display_name: "user name"
   }
 application: "application.name"
   resource: {
      type: "Service Type"
      name: "RPC"
   }
 }

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes:

  • métadonnées: informations générales sur l'événement.
  • principal: informations sur l'appareil et la localisation.
  • target: nom d'hôte et identifiant utilisateur.
  • application: nom de l'application et type de ressource.

STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, STATUS_UPDATE

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal: au moins un identifiant de machine (adresse IP ou MAC, nom d'hôte ou identifiant d'élément).
Exemple de UDM pour STATUS_HEARTBEAT

L'exemple suivant montre comment un événement de type STATUS_HEARTBEAT serait formaté pour l'UDM Google Security Operations:

metadata: {
  event_timestamp: {
    seconds: 1588180305
  }
  event_type: STATUS_HEARTBEAT
  vendor_name: "DMP"
  product_name: "ENTRE"
}
principal: {
  hostname: "testHost"
  location: {
    name: "Building 1"
  }
}
intermediary: {
  ip: "8.8.8.8"
}
security_result: {
  summary: "Event - Locked"
  description: "description"
  severity: LOW
  severity_details: "INFO"
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes:

  • métadonnées: informations générales sur l'événement.
  • principal: informations sur l'appareil et la localisation.
  • intermédiaire: adresse IP de l'appareil.
  • security_result: détails du résultat de sécurité.

SYSTEM_AUDIT_LOG_UNCATEGORIZED, SYSTEM_AUDIT_LOG_WIPE.

Champs obligatoires :

  • principal: incluez un identifiant pour l'utilisateur qui a effectué l'opération sur le journal et un identifiant de machine pour la machine sur laquelle le journal est ou a été stocké (en cas d'effacement).
Exemple de UDM pour SYSTEM_AUDIT_LOG_WIPE

L'exemple suivant illustre le formatage d'un événement de type SYSTEM_AUDIT_LOG_WIPE pour l'UDM de Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SYSTEM_AUDIT_LOG_WIPE
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes:

  • métadonnées: informations générales sur l'événement.
  • principal: détails de l'appareil et de l'utilisateur.

USER_CHANGE_PASSWORD, USER_CHANGE_PERMISSIONS

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal: si le compte utilisateur est modifié à distance, insérez les informations sur la machine d'où provient la modification de l'utilisateur.
  • target: ajoute target.user des informations sur l'utilisateur modifié.
  • intermediary (intermédiaire) : pour les connexions SSO, l'intermédiaire doit inclure au moins un identifiant de machine pour le serveur SSO, le cas échéant.

USER_COMMUNICATION

Champs obligatoires :

  • principal:renseignez le champ principal.user avec les informations associées à la communication déclenchée par l'utilisateur (expéditeur), telle qu'un message de chat dans Google Chat ou Slack, une visioconférence ou une conférence vocale dans Zoom ou Google Meet, ou une connexion VoIP.

Champs facultatifs :

  • target : (recommandé) renseignez le champ target.user avec des informations sur l'utilisateur cible (destinataire) de la ressource de communication cloud. Dans le champ target.application, saisissez les informations relatives à l'application de communication cloud cible.

USER_CREATION, USER_DELETION (CRÉATION_UTILISATEUR)

Champs obligatoires :

  • metadata:event_timestamp
  • principal:inclut des informations sur la machine d'où provient la requête de création ou de suppression de l'utilisateur. Pour créer ou supprimer un utilisateur local, le compte principal doit inclure au moins un identifiant de machine pour la machine d'origine.
  • target:zone où l'utilisateur est créé. Doit également inclure des informations utilisateur (par exemple, target.user).

Champs facultatifs :

  • principal:informations sur l'utilisateur et le processus concernant la machine sur laquelle la demande de création ou de suppression de l'utilisateur a été lancée.
  • target:informations sur la machine cible (si différente de la machine principale).

USER_LOGIN, USER_LOGOUT

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal: pour l'activité de l'utilisateur à distance (par exemple, la connexion à distance), renseignez le compte principal avec les informations concernant la machine à l'origine de l'activité de l'utilisateur. Pour l'activité des utilisateurs en local (par exemple, connexion locale), ne définissez pas de compte principal.
  • target: renseigner "target.user" avec des informations sur l'utilisateur qui s'est connecté ou s'est déconnecté. Si le compte principal n'est pas défini (par exemple, la connexion locale), la cible doit également inclure au moins un identifiant de machine identifiant la machine cible. Pour que l'activité des utilisateurs entre machines (par exemple, connexion à distance, SSO, Cloud Service ou VPN) fonctionne, la cible doit inclure des informations sur l'application, la machine ou le serveur VPN cibles.
  • intermediary (intermédiaire) : pour les connexions SSO, l'intermédiaire doit inclure au moins un identifiant de machine pour le serveur SSO, le cas échéant.
  • network et network.http: si la connexion se fait via HTTP, vous devez placer toutes les informations disponibles dans les champs "network.ip_protocol", "network.application_protocol" et "network.http".
  • Extension authentication: doit identifier le type de système d'authentification auquel l'événement est lié (par exemple, machine, SSO ou VPN) et le mécanisme utilisé (nom d'utilisateur et mot de passe, mot de passe à usage unique, etc.).
  • security_result: ajoutez un champ security_result pour représenter l'état de la connexion en cas d'échec. Spécifiez security_result.category avec la valeur AUTH_VIOLATION si l'authentification échoue.

USER_RESOURCE_ACCESS

Champs obligatoires :

  • principal:renseignez le champ principal.user avec les détails relatifs aux tentatives d'accès à une ressource cloud (par exemple, un dossier Salesforce, un agenda Office 365, un document Google Docs ou une demande d'assistance ServiceNow).
  • target:renseignez le champ target.resource avec les informations de la ressource cloud cible.

Champs facultatifs :

  • target.application: (recommandé) : renseignez le champ target.application: avec des informations sur l'application cloud cible.

USER_RESOURCE_CREATION, USER_RESOURCE_DELETION

Champs obligatoires :

  • principal:renseignez le champ principal.user avec les informations associées à l'utilisateur créé dans une ressource cloud (par exemple, une demande Salesforce, un agenda Office365, un document Google Docs ou une demande ServiceNow).
  • target:renseignez le champ target.resource avec les informations de la ressource cloud cible.

Champs facultatifs :

  • target.application: (recommandé) : renseignez le champ target.application: avec des informations sur l'application cloud cible.

USER_RESOURCE_UPDATE_CONTENT

Champs obligatoires :

  • principal:renseignez le champ principal.user avec les informations associées à l'utilisateur dont le contenu a été mis à jour dans une ressource cloud (par exemple, un dossier Salesforce, un agenda Office 365, un document Google Docs ou un ticket ServiceNow).
  • target:renseignez le champ target.resource avec les informations de la ressource cloud cible.

Champs facultatifs :

  • target.application: (recommandé) : renseignez le champ target.application: avec des informations sur l'application cloud cible.

USER_RESOURCE_UPDATE_PERMISSIONS

Champs obligatoires :

  • principal:renseignez le champ principal.user avec les informations associées à l'utilisateur dont les autorisations ont été mises à jour dans une ressource cloud (par exemple, un dossier Salesforce, un agenda Office 365, un document Google Docs ou un ticket ServiceNow).
  • target:renseignez le champ target.resource avec les informations de la ressource cloud cible.

Champs facultatifs :

  • target.application: (recommandé) : renseignez le champ target.application: avec des informations sur l'application cloud cible.

USER_UNCATEGORIZED

Champs obligatoires :

  • metadata:event_timestamp
  • principal:inclut des informations sur la machine d'où provient la requête de création ou de suppression de l'utilisateur. Pour créer ou supprimer un utilisateur local, le compte principal doit inclure au moins un identifiant de machine pour la machine d'origine.
  • target:zone où l'utilisateur est créé. Doit également inclure des informations utilisateur (par exemple, target.user).

Champs facultatifs :

  • principal:informations sur l'utilisateur et le processus concernant la machine sur laquelle la demande de création ou de suppression de l'utilisateur a été lancée.
  • target:informations sur la machine cible (si différente de la machine principale).