Guide d'utilisation du modèle de données unifié

Ce document fournit une description plus détaillée des champs du schéma du modèle de données unifié (UDM), ainsi que des champs obligatoires et facultatifs en fonction du type d'événement. Pour l'évaluation du moteur de règles, le préfixe commence par udm., tandis que le préfixe du normalisateur basé sur la configuration (CBN) commence par event.idm.read_only_udm.

Remplissage des métadonnées d'événement

La section des métadonnées d'événement pour les événements UDM stocke des informations générales sur chaque événement.

Metadata.event_type

  • Objectif:spécifie le type de l'événement. Si un événement peut avoir plusieurs types, cette valeur doit spécifier le type le plus spécifique.
  • Obligatoire:oui
  • Encoding (Encodage) : doit correspondre à l'un des types énumérés event_type prédéfinis de l'UDM.
  • Valeurs possibles:la liste suivante indique toutes les valeurs possibles pour "event_type" dans l'UDM.

Événements Analyst:

  • ANALYST_ADD_COMMENT
  • ANALYST_UPDATE_PRIORITY
  • ANALYST_UPDATE_REASON
  • ANALYST_UPDATE_REPUTATION
  • ANALYST_UPDAATE_RISK_SCORE
  • ANALYST_UPDATE_ROOT_CAUSE
  • ANALYST_UPDATE_SEVERITY_SCORE
  • ANALYST_UPDATE_STATUS
  • ANALYST_UPDATE_VERDICT

Événements de l'appareil:

  • DEVICE_CONFIG_UPDATE
  • DEVICE_FIRMWARE_UPDATE
  • DEVICE_PROGRAM_DOWNLOAD
  • DEVICE_PROGRAM_UPLOAD

Événements de messagerie:

  • EMAIL_UNCATEGORIZED
  • EMAIL_TRANSACTION
  • EMAIL_URL_CLICK

Événements non spécifiés:

  • EVENTTYPE_UNSPECIFIED

Événements de fichier effectués sur un point de terminaison:

  • FILE_UNCATEGORIZED
  • FILE_COPY (par exemple, copie d'un fichier sur une clé USB)
  • FILE_CREATION
  • FILE_DELETION
  • FILE_MODIFICATION
  • FILE_MOVE
  • FILE_OPEN (par exemple, l'ouverture d'un fichier peut indiquer une brèche de sécurité)
  • FILE_READ (par exemple, lecture d'un fichier de mots de passe)
  • FILE_SYNC

Événements qui n'entrent dans aucune autre catégorie, y compris les événements Windows non catégorisés.

  • GENERIC_EVENT

Événements d'activité de groupe:

  • GROUP_UNCATEGORIZED
  • GROUP_CREATION
  • GROUP_DELETION
  • GROUP_MODIFICATION

Événements Mutex (objet d'exclusion mutuelle) :

  • MUTEX_UNCATEGORIZED
  • MUTEX_CREATION

Télémétrie réseau, y compris les charges utiles de protocole brutes, telles que DHCP et DNS, ainsi que des résumés de protocoles tels que HTTP, SMTP et FTP, et des événements de flux et de connexion provenant de Netflow et de pare-feu.

  • NETWORK_UNCATEGORIZED
  • NETWORK_CONNECTION (par exemple, les détails de la connexion réseau d'un pare-feu)
  • NETWORK_DHCP
  • NETWORK_DNS
  • NETWORK_FLOW (par exemple, statistiques de flux agrégées à partir de Netflow)
  • NETWORK_FTP
  • NETWORK_HTTP
  • NETWORK_SMTP

Tous les événements liés à un processus, tels qu'un lancement de processus, la création d'un élément malveillant par un processus, l'injection d'un processus dans un autre, la modification d'une clé de registre ou la création d'un fichier malveillant sur un disque.

  • PROCESS_UNCATEGORIZED
  • PROCESS_INJECTION
  • PROCESS_LAUNCH
  • PROCESS_MODULE_LOAD
  • PROCESS_OPEN
  • PROCESS_PRIVILEGE_ESCALATION
  • PROCESS_TERMINATION

Utilisez les événements REGISTRY plutôt que les événements SETTING lorsque vous traitez des événements de registre spécifiques à Microsoft Windows:

  • REGISTRY_UNCATEGORIZED
  • REGISTRY_CREATION
  • REGISTRY_MODIFICATION
  • REGISTRY_DELETION

Événements liés aux ressources:

  • RESOURCE_CREATION
  • RESOURCE_DELETION
  • RESOURCE_PERMISSIONS_CHANGE
  • RESOURCE_READ
  • RESOURCE_WRITTEN

Événements orientés analyse. Inclut les analyses à la demande et les détections comportementales effectuées par les produits de sécurité des points de terminaison (EDR, AV, DLP). Utilisé uniquement lorsque vous joignez un SecurityResult à un autre type d'événement (par exemple, PROCESS_LAUNCH).

  • SCAN_UNCATEGORIZED
  • SCAN_FILE
  • SCAN_HOST
  • SCAN_NETWORK
  • SCAN_PROCESS
  • SCAN_PROCESS_BEHAVIORS
  • SCAN_VULN_HOST
  • SCAN_VULN_NETWORK

Événements de tâches planifiées (planificateur de tâches Windows, cron, etc.):

  • SCHEDULED_TASK_UNCATEGORIZED
  • SCHEDULED_TASK_CREATION
  • SCHEDULED_TASK_DELETION
  • SCHEDULED_TASK_DISABLE
  • SCHEDULED_TASK_ENABLE
  • SCHEDULED_TASK_MODIFICATION

Événements de service:

  • SERVICE_UNSPECIFIED
  • SERVICE_CREATION
  • SERVICE_DELETION
  • SERVICE_MODIFICATION
  • SERVICE_START
  • SERVICE_STOP

Événements de configuration, y compris lorsque le paramètre système est modifié sur un point de terminaison. Pour définir les exigences concernant les événements, cliquez ici.

  • SETTING_UNCATEGORIZED
  • SETTING_CREATION
  • SETTING_DELETION
  • SETTING_MODIFICATION

Messages d'état des produits de sécurité pour indiquer que les agents sont actifs et envoyer la version, l'empreinte ou d'autres types de données.

  • STATUS_UNCATEGORIZED
  • STATUS_HEARTBEAT (indique que le produit est actif)
  • STATUS_STARTUP
  • STATUS_SHUTDOWN
  • STATUS_UPDATE (mise à jour du logiciel ou de l'empreinte digitale)

Événements du journal d'audit système:

  • SYSTEM_AUDIT_LOG_UNCATEGORIZED
  • SYSTEM_AUDIT_LOG_WIPE

Événements d'activité d'authentification des utilisateurs:

  • USER_UNCATEGORIZED
  • USER_BADGE_IN (par exemple, lorsqu'un utilisateur se badge physiquement sur un site)
  • USER_CHANGE_PASSWORD
  • USER_CHANGE_PERMISSIONS
  • USER_COMMUNICATION
  • USER_CREATION
  • USER_DELETION
  • USER_LOGIN
  • USER_LOGOUT
  • USER_RESOURCE_ACCESS
  • USER_RESOURCE_CREATION
  • USER_RESOURCE_DELETION
  • USER_RESOURCE_UPDATE_CONTENT
  • USER_RESOURCE_UPDATE_PERMISSIONS
  • USER_STATS

Metadata.collected_timestamp

  • But:encode le code temporel GMT lorsque l'événement a été collecté par l'infrastructure de collecte locale du fournisseur.
  • Encodage:RFC 3339, selon le format de code temporel JSON ou Proto3 approprié.
  • Exemple:
    • RFC 3339: "2019-09-10T20:32:31-08:00"
    • Format Proto3: '2012-04-23T18:25:43.511Z'

Metadata.event_timestamp

  • But:encode le code temporel GMT au moment de la génération de l'événement.
  • Obligatoire:oui
  • Encodage:RFC 3339, selon le format de code temporel JSON ou Proto3 approprié.
  • Exemple:
    • RFC 3339: 2019-09-10T20:32:31-08:00
    • Format Proto3: 2012-04-23T18:25:43.511Z

Metadata.description

  • Objectif:description lisible de l'événement.
  • Encodage:chaîne alphanumérique, signes de ponctuation autorisés, 1 024 octets maximum
  • Exemple:Le fichier c:\bar\foo.exe est bloqué pour accéder au document sensible c:\documents\earnings.docx.

Metadata.product_event_type

  • Objectif:nom ou type d'événement court, descriptif, lisible et spécifique au produit.
  • Encodage:chaîne alphanumérique, signes de ponctuation autorisés, 64 octets maximum.
  • Exemples:
    • Événement de création de registre
    • ProcessRollUp
    • Élévation des privilèges détectée
    • Logiciel malveillant bloqué

Metadata.product_log_id

  • But:encode un identifiant d'événement spécifique au fournisseur pour identifier de manière unique l'événement (un GUID). Les utilisateurs peuvent utiliser cet identifiant pour rechercher l'événement en question dans la console propriétaire du fournisseur.
  • Encodage:chaîne alphanumérique sensible à la casse, ponctuation autorisée, 256 octets maximum.
  • Exemple:ABcd1234-98766

Metadata.product_name

  • Purpose (But) : spécifie le nom du produit.
  • Encodage:chaîne alphanumérique sensible à la casse, ponctuation autorisée, 256 octets maximum.
  • Exemples:
    • Falcon
    • Symantec Endpoint Protection

Metadata.product_version

  • But:spécifie la version du produit.
  • Encodage:chaîne alphanumérique, points et tirets autorisés, 32 octets maximum
  • Exemples:
    • 1.2.3b
    • 10.3:rev1

Metadata.url_back_to_product

  • Objectif:URL redirigeant vers un site Web pertinent où vous pouvez obtenir plus d'informations sur cet événement spécifique (ou la catégorie d'événements générale).
  • Encodage:URL RFC 3986 valide avec des paramètres facultatifs tels que des informations sur le port, etc. Doit comporter un préfixe de protocole avant l'URL (par exemple, https:// ou http://).
  • Exemple:https://newco.altostrat.com:8080/event_info?event_id=12345

Metadata.vendor_name

  • But:indique le nom du fournisseur du produit.
  • Encodage:chaîne alphanumérique sensible à la casse, ponctuation autorisée, 256 octets maximum
  • Exemples:
    • CrowdStrike
    • Symantec

Remplissage des métadonnées de nom

Dans cette section, le mot Noun est un terme global utilisé pour représenter les entités principal, src, target, intermediary, observer et about. Ces entités présentent des attributs communs, mais représentent différents objets dans un événement. Pour en savoir plus sur les entités et ce qu'elles représentent dans un événement, consultez Mettre en forme les données de journal en tant que UDM.

Noun.asset_id

  • But:identifiant unique de l'appareil spécifique au fournisseur (par exemple, un GUID généré lors de l'installation d'un logiciel de sécurité de point de terminaison sur un nouvel appareil, qui permet de suivre cet appareil unique au fil du temps).
  • Encodage:VendorName.ProductName:ID, où VendorName est un nom de fournisseur sans distinction entre majuscules et minuscules* *, ProductName est un nom de produit sans distinction entre majuscules et minuscules, comme "Response" ou "Endpoint Protection", et ID est un identifiant client spécifique au fournisseur qui est unique dans l'environnement de ce client (par exemple, un GUID ou une valeur unique identifiant un appareil unique). VendorName et ProductName sont des chaînes alphanumériques ne comportant pas plus de 32 caractères. L'ID peut comporter jusqu'à 128 caractères et peut inclure des caractères alphanumériques, des tirets et des points.
  • Exemple:CrowdStrike.Falcon:0bce4259-4ada-48f3-a904-9a526b01311f

Noun.email

  • Objectif:adresse e-mail
  • Encoding (encodage) : format d'adresse e-mail standard.
  • Exemple:johns@test.altostrat.com

Noun.file

Noun.hostname

  • But:champ du nom d'hôte ou du nom de domaine du client. Ne pas inclure si une URL est présente
  • Encoding (Encodage) : nom d'hôte valide conforme à la RFC 1123.
  • Exemples:
    • userwin10
    • www.altostrat.com

Noun.platform

  • But:système d'exploitation de la plate-forme.
  • Encodage:énumération
  • Valeurs possibles:
    • LINUX
    • Mac
    • WINDOWS
    • UNKNOWN_PLATFORM

Noun.platform_patch_level

  • But:niveau du correctif du système d'exploitation de la plate-forme.
  • Encodage:chaîne alphanumérique avec ponctuation, 64 caractères maximum.
  • Exemple:Build 17134.48

Noun.platform_version

  • But:version du système d'exploitation de la plate-forme.
  • Encodage:chaîne alphanumérique avec ponctuation, 64 caractères maximum.
  • Exemple:Microsoft Windows 10 version 1803

Noun.process

Noun.ip

  • Objectif:
    • Adresse IP unique associée à une connexion réseau.
    • Une ou plusieurs adresses IP associées à un appareil participant au moment de l'événement (par exemple, si un produit EDR connaît toutes les adresses IP associées à un appareil, il peut toutes les encoder dans des champs IP).
  • Encodage:adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.
  • Répétabilité:
    • Si un événement décrit une connexion réseau spécifique (par exemple, srcip:srcport > dstip:dstport), le fournisseur ne doit fournir qu'une seule adresse IP.
    • Si un événement décrit une activité générale sur un appareil participant, mais pas une connexion réseau spécifique, le fournisseur peut fournir toutes les adresses IP associées à l'appareil au moment de l'événement.
  • Exemples:
    • 192.168.1.2
    • 2001:db8:1:3::1

Noun.port

  • But:numéro de port réseau source ou de destination lorsqu'une connexion réseau spécifique est décrite dans un événement.
  • Encoding (Encodage) : numéro de port TCP/IP valide compris entre 1 et 65 535.

  • Exemples :

    • 80
    • 443

Noun.mac

  • But:une ou plusieurs adresses MAC associées à un appareil.
  • Encodage:adresse MAC (EUI-48) valide en ASCII.
  • Répétabilité:le fournisseur peut fournir toutes les adresses MAC associées à l'appareil au moment de l'événement.
  • Exemples:
    • fedc:ba98:7654:3210:fedc:ba98:7654:3210
    • 1080:0:0:0:8:800:200c:417a
    • 00:a0:0:0:c9:14:c8:29

Noun.administrative_domain

  • Objectif:domaine auquel l'appareil appartient (par exemple, le domaine Windows).
  • Encodage:chaîne de nom de domaine valide (128 caractères maximum).
  • Exemple:corp.altostrat.com

Noun.registry

Noun.url

  • Objectif:URL standard
  • Encodage:URL (RFC 3986). Doit comporter un préfixe de protocole valide (par exemple, https:// ou ftp://). Doit inclure le domaine et le chemin d'accès complets. Peut inclure les paramètres de l'URL.
  • Exemple:https://foo.altostrat.com/bletch?a=b;c=d

Noun.user

Remplissage des métadonnées d'authentification

Authentication.AuthType

  • Objectif:type de système auquel un événement d'authentification est associé (UDM Google Security Operations).
  • Encoding (Encodage) : type énuméré.
  • Valeurs possibles:
    • AUTHTYPE_UNSPECIFIED
    • MACHINE : authentification de la machine
    • PHYSIQUE : authentification physique (par exemple, un lecteur de badges)
    • SSO
    • TACACS : protocole de la famille TACACS pour l'authentification des systèmes en réseau (par exemple, TACACS ou TACACS+).
    • VPN

Authentication.Authentication_Status

  • But:décrit l'état d'authentification d'un utilisateur ou d'identifiants spécifiques.
  • Encoding (Encodage) : type énuméré.
  • Valeurs possibles:
    • UNKNOWN_AUTHENTICATION_STATUS : état d'authentification par défaut
    • ACTIVE : la méthode d'authentification est à l'état actif
    • SUSPENDED : la méthode d'authentification est suspendue ou désactivée
    • SUPPRIMÉ : la méthode d'authentification a été supprimée
    • NO_ACTIVE_CREDENTIALS : la méthode d'authentification ne comporte aucun identifiant actif.

Authentication.auth_details

  • But:informations d'authentification définies par le fournisseur.
  • Encodage:chaîne.

Authentication.Mechanism

  • Objectif:mécanisme(s) utilisé(s) pour l'authentification.
  • Encoding (Encodage) : type énuméré.
  • Valeurs possibles:
    • MECHANISM_UNSPECIFIED : mécanisme d'authentification par défaut.
    • BADGE_READER
    • BATCH : authentification par lot.
    • CACHED_INTERACTIVE : authentification interactive à l'aide d'identifiants mis en cache.
    • HARDWARE_KEY
    • LOCALE
    • MECHANISM_OTHER : autre mécanisme non défini ici.
    • NETWORK : authentification réseau.
    • NETWORK_CLEAR_TEXT : authentification en texte clair sur le réseau.
    • NEW_CREDENTIALS : authentification avec de nouveaux identifiants.
    • OTP
    • REMOTE : authentification à distance
    • REMOTE_INTERACTIVE : RDP, services de terminal, Virtual Network Computing (VNC), etc.
    • SERVICE : authentification du service.
    • UNLOCK : authentification de déverrouillage directe par interaction humaine.
    • USERNAME_PASSWORD

Ajout de métadonnées DHCP

Les champs de métadonnées du protocole DHCP (Dynamic Host Control Protocol) capturent les informations de journal du protocole de gestion réseau DHCP.

Dhcp.client_hostname

  • But:nom d'hôte du client. Pour en savoir plus, consultez la RFC 2132, DHCP Options and BOOTP Vendor Extensions (Options DHCP et extensions du fournisseur BOOTP).
  • Encodage:chaîne.

Dhcp.client_identifier

  • But:identifiant client. Pour en savoir plus, consultez la RFC 2132, DHCP Options and BOOTP Vendor Extensions (Options DHCP et extensions du fournisseur BOOTP).
  • Encodage:octets.

Dhcp.file

  • But:nom du fichier de l'image de démarrage.
  • Encodage:chaîne.

Dhcp.flags

  • But:valeur du champ d'indicateurs DHCP.
  • Encodage:entier non signé de 32 bits.

Dhcp.hlen

  • But:longueur de l'adresse matérielle.
  • Encodage:entier non signé de 32 bits.

Dhcp.hops

  • But:nombre de sauts DHCP.
  • Encodage:entier non signé de 32 bits.

Dhcp.htype

  • But:type d'adresse matérielle.
  • Encodage:entier non signé de 32 bits.

Dhcp.lease_time_seconds

  • But:durée de bail demandée par le client pour une adresse IP, en secondes. Pour en savoir plus, consultez la RFC 2132, DHCP Options and BOOTP Vendor Extensions (Options DHCP et extensions du fournisseur BOOTP).
  • Encodage:entier non signé de 32 bits.

Dhcp.opcode

  • But:code d'opération BOOTP (voir la section 3 de la RFC 951).
  • Encoding (Encodage) : type énuméré.
  • Valeurs possibles:
    • UNKNOWN_OPCODE
    • BOOTREQUEST
    • BOOTREPLY

Dhcp.requested_address

  • Objectif:identifiant client. Pour en savoir plus, consultez la RFC 2132, DHCP Options and BOOTP Vendor Extensions (Options DHCP et extensions du fournisseur BOOTP).
  • Encodage:adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.

Dhcp.seconds

  • But:secondes écoulées depuis que le client a commencé le processus d'acquisition/de renouvellement d'adresse.
  • Encodage:entier non signé de 32 bits.

Dhcp.sname

  • Objectif:nom du serveur à partir duquel le client a demandé de démarrer.
  • Encodage:chaîne.

Dhcp.transaction_id

  • Finalité:ID de transaction client.
  • Encodage:entier non signé de 32 bits.

Dhcp.type

  • But:type de message DHCP. Pour en savoir plus, consultez la RFC 1533.
  • Encoding (Encodage) : type énuméré.
  • Valeurs possibles:
    • UNKNOWN_MESSAGE_TYPE
    • DÉCOUVRIR
    • OFFRE
    • DEMANDER
    • REFUSER
    • CONFIRMATION
    • NAK
    • RELEASE
    • INFORM
    • WIN_DELECTED
    • WIN_EXPIRED

Dhcp.chaddr

  • But:adresse IP du matériel client.
  • Encodage:adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.

Dhcp.ciaddr

  • Objectif:adresse IP du client.
  • Encodage:adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.

Dhcp.giaddr

  • But:adresse IP de l'agent de relais.
  • Encodage:adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.

Dhcp.siaddr

  • But:adresse IP du prochain serveur de démarrage.
  • Encodage:adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.

Dhcp.yiaddr

  • Finalité:votre adresse IP.
  • Encodage:adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.

Ajout de métadonnées d'option DHCP

Les champs de métadonnées des options DHCP capturent les informations de journal des options DHCP.

Option.code

  • But:stocke le code d'option DHCP. Pour en savoir plus, consultez la RFC 1533, DHCP Options and BOOTP Vendor Extensions (Options DHCP et extensions du fournisseur BOOTP).
  • Encodage:entier non signé de 32 bits.

Option.data

  • But:stocke les données d'option DHCP. Pour en savoir plus, consultez la RFC 1533, DHCP Options and BOOTP Vendor Extensions (Options DHCP et extensions du fournisseur BOOTP).
  • Encodage:octets.

Remplissage des métadonnées DNS

Les champs de métadonnées DNS capturent les informations liées aux paquets de requête et de réponse DNS. Ils correspondent de manière individuelle aux données trouvées dans les datagrammes de requête et de réponse DNS.

Dns.authoritative

  • But:à définir sur "true" pour les serveurs DNS faisant autorité.
  • Encodage:booléen.

Dns.id

  • But:stocke l'identifiant de la requête DNS.
  • Encodage:entier 32 bits.

Dns.response

  • But:à définir sur "true" si l'événement est une réponse DNS.
  • Encodage:booléen.

Dns.opcode

  • But:stocke l'opcode DNS utilisé pour spécifier le type de requête DNS (standard, inverse, état du serveur, etc.).
  • Encodage:entier 32 bits.

Dns.recursion_available

  • But:Définissez cette valeur sur "true" si une résolution DNS récursive est disponible.
  • Encodage:booléen.

Dns.recursion_desired

  • But:à définir sur "true" si une résolution DNS récursive est demandée.
  • Encodage:booléen.

Dns.response_code

  • But : stocke le code de réponse DNS tel que défini par la RFC 1035, "Domain Names – Implementation and Specification" (Noms de domaine : implémentation et spécification).
  • Encodage:entier 32 bits.

Dns.truncated

  • But:à définir sur "true" s'il s'agit d'une réponse DNS tronquée.
  • Encodage:booléen.

Dns.questions

Dns.answers

Dns.authority

Dns.additional

Remplissage des métadonnées des questions DNS

Les champs de métadonnées de la question DNS capturent les informations contenues dans la section de la question d'un message de protocole de domaine.

Question.name

  • But:stocke le nom de domaine.
  • Encodage:chaîne.

Question.class

  • But:stocke le code spécifiant la classe de la requête.
  • Encodage:entier 32 bits.

Question.type

  • But:stocke le code spécifiant le type de la requête.
  • Encodage:entier 32 bits.

Remplissage des métadonnées des enregistrements de ressources DNS

Les champs de métadonnées de l'enregistrement de ressources DNS capturent les informations contenues dans l'enregistrement de ressources d'un message de protocole de domaine.

ResourceRecord.binary_data

  • But:stocke les octets bruts de toutes les chaînes non UTF-8 pouvant être incluses dans une réponse DNS. Ce champ ne doit être utilisé que si les données de réponse renvoyées par le serveur DNS contiennent des données autres que UTF-8. Sinon, placez la réponse DNS dans le champ de données ci-dessous. Ce type d'informations doit être stocké ici plutôt que dans ResourceRecord.data.

  • Encodage:octets.

ResourceRecord.class

  • But:stocke le code spécifiant la classe de l'enregistrement de ressources.
  • Encodage:entier 32 bits.

ResourceRecord.data

  • But:stocke la charge utile ou la réponse à la question DNS pour toutes les réponses encodées au format UTF-8. Par exemple, le champ de données peut renvoyer l'adresse IP de l'ordinateur auquel le nom de domaine fait référence. Si l'enregistrement de ressources est d'un type ou d'une classe différents, il peut contenir un autre nom de domaine (lorsqu'un nom de domaine est redirigé vers un autre nom de domaine). Les données doivent être stockées telles quelles dans la réponse DNS.
  • Encodage:chaîne.

ResourceRecord.name

  • But:stocke le nom du propriétaire de l'enregistrement de ressources.
  • Encodage:chaîne.

ResourceRecord.ttl

  • But:stocke l'intervalle de temps pendant lequel l'enregistrement de ressources peut être mis en cache avant que la source des informations ne soit interrogée à nouveau.
  • Encodage:entier 32 bits.

ResourceRecord.type

  • But:stocke le code spécifiant le type de l'enregistrement de ressources.
  • Encodage:entier 32 bits.

Ajout de métadonnées d'e-mail

La plupart des champs des métadonnées de l'e-mail capturent les adresses e-mail incluses dans l'en-tête du message et doivent respecter le format d'adresse e-mail standard (local-mailbox@domain) tel que défini dans la norme RFC 5322. Par exemple, frank@email.example.com.

Email.from

  • But:stocke l'adresse e-mail de.
  • Encodage:chaîne.

Email.reply_to

  • But:stocke l'adresse e-mail reply_to.
  • Encodage:chaîne.

Email.to

  • But:stocke les adresses e-mail à.
  • Encodage:chaîne.

Email.cc

  • But:stocke les adresses e-mail en copie.
  • Encodage:chaîne.

Email.bcc

  • But:stocke les adresses e-mail de Cci.
  • Encodage:chaîne.

Email.mail_id

  • But:stocke l'ID de l'e-mail (ou du message).
  • Encodage:chaîne.
  • Exemple:192544.132632@email.example.com

Email.subject

  • But:stocke la ligne d'objet de l'e-mail.
  • Encodage:chaîne.
  • Exemple : "Veuillez lire ce message."

Remplissage des métadonnées d'extensions

Types d'événements avec des métadonnées de première classe qui ne sont pas déjà catégorisés par la stratégie UDM de Google Security Operations. Extensions.auth

  • But:extension des métadonnées d'authentification.
  • Encodage:chaîne.
  • Exemples:
    • Métadonnées de l'environnement de simulation (tous les comportements d'un fichier, par exemple, FireEye)
    • Données de contrôle des accès au réseau (NAC).
    • Informations LDAP sur un utilisateur (par exemple, rôle, organisation, etc.)

Extensions.auth.auth_details

  • But:spécifier les détails spécifiques au fournisseur pour le type ou le mécanisme d'authentification. Les fournisseurs d'authentification définissent souvent des types tels que via_mfa ou via_ad qui fournissent des informations utiles sur le type d'authentification. Ces types peuvent toujours être généralisés dans auth.type ou auth.mechanism pour une utilisation et une compatibilité des règles entre les ensembles de données.
  • Encodage:chaîne.
  • Exemples:via_mfa, via_ad.

Extensions.vulns

  • But:extension des métadonnées de faille.
  • Encodage:chaîne.
  • Exemple:
    • Données d'analyse des failles de l'hôte.

Ajout de métadonnées de fichier

File.file_metadata

  • But:métadonnées associées au fichier.
  • Encodage:chaîne.
  • Exemples:
    • Auteur
    • Numéro de révision
    • Numéro de version
    • Date du dernier enregistrement

File.full_path

  • But:chemin d'accès complet indiquant l'emplacement du fichier sur le système.
  • Encodage:chaîne.
  • Exemple : \Program Files\Custom Utilities\Test.exe

File.md5

  • But:valeur de hachage MD5 du fichier.
  • Encodage:chaîne, hexadécimal en minuscules.
  • Exemple:35bf623e7db9bf0d68d0dda764fd9e8c

File.mime_type

  • Objectif:type MIME (Multipurpose Internet Mail Extensions) du fichier.
  • Encodage:chaîne.
  • Exemples:
    • PE
    • PDF
    • script PowerShell

File.sha1

  • But:valeur de hachage SHA-1 du fichier.
  • Encodage:chaîne, hexadécimal en minuscules.
  • Exemple:eb3520d53b45815912f2391b713011453ed8abcf

File.sha256

  • But:valeur de hachage SHA-256 du fichier.
  • Encodage:chaîne, hexadécimal en minuscules.
  • Exemple:
    • d7173c568b8985e61b4050f81b3fd8e75bc922d2a0843d7079c81ca4b6e36417

File.size

  • Purpose (Objectif) : taille du fichier.
  • Encodage:entier non signé de 64 bits.
  • Exemple:342135.

Ajout de métadonnées FTP

Ftp.command

  • But:stocke la commande FTP.
  • Encodage:chaîne.
  • Exemples:
    • binary
    • delete
    • get
    • put

Population des métadonnées de groupe

Informations sur un groupe organisationnel.

Group.creation_time

  • Objectif:heure de création du groupe.
  • Encodage:RFC 3339, selon le format de code temporel JSON ou Proto3 approprié.

Group.email_addresses

  • But:regrouper les coordonnées.
  • Encodage:e-mail.

Group.group_display_name

  • But:nom à afficher du groupe.
  • Encodage:chaîne.
  • Exemples:
    • Finance
    • RH
    • Marketing

Group.product_object_id

  • But:identifiant unique global de l'objet utilisateur du produit, tel qu'un identifiant d'objet LDAP.
  • Encodage:chaîne.

Group.windows_sid

  • But:champ d'attribut de groupe d'identifiant de sécurité (SID) Microsoft Windows.
  • Encodage:chaîne.

Remplissage des métadonnées HTTP

Http.method

  • But:stocke la méthode de requête HTTP.
  • Encodage:chaîne.
  • Exemples:
    • GET
    • HEAD
    • POST

Http.referral_url

  • But:stocke l'URL du référent HTTP.
  • Encoding (Encodage) : URL RFC 3986 valide.
  • Exemple:https://www.altostrat.com

Http.response_code

  • But:stocke le code d'état de la réponse HTTP, qui indique si une requête HTTP spécifique a bien abouti.
  • Encodage:entier 32 bits.
  • Exemples:
    • 400
    • 404

Http.user_agent

  • But:stocke l'en-tête de requête User-Agent, qui inclut le type d'application, le système d'exploitation, le fournisseur de logiciels ou la version du logiciel de l'agent utilisateur logiciel à l'origine de la requête.
  • Encodage:chaîne.
  • Exemples:
    • Mozilla/5.0 (X11; Linux x86_64)
    • AppleWebKit/534.26 (KHTML, comme Gecko)
    • Chrome/41.0.2217.0
    • Safari/527.33

Remplissage des métadonnées de lieu

Location.city

  • But:stocke le nom de la ville.
  • Encodage:chaîne.
  • Exemples:
    • Sunnyvale
    • Chicago
    • Malaga

Location.country_or_region

  • But:stocke le nom du pays ou de la région du monde.
  • Encodage:chaîne.
  • Exemples:
    • États-Unis
    • Royaume-Uni
    • Espagne

Location.name

  • But:stocke le nom spécifique à l'entreprise, comme un bâtiment ou un campus.
  • Encodage:chaîne.
  • Exemples:
    • Campus 7B
    • Bâtiment A2

Location.state

  • But:stocke le nom de l'État, de la province ou du territoire.
  • Encodage:chaîne.
  • Exemples:
    • Californie
    • Illinois
    • Ontario

Remplissage des métadonnées de réseau

Network.application_protocol

  • Purpose (But) : indique le protocole d'application réseau.
  • Encoding (Encodage) : type énuméré.
  • Valeurs possibles:
    • UNKNOWN_APPLICATION_PROTOCOL
    • QUIC
    • HTTP
    • HTTPS
    • DNS
    • DHCP

Network.direction

  • But:indique la direction du trafic réseau.
  • Encoding (Encodage) : type énuméré.
  • Valeurs possibles:
    • UNKNOWN_DIRECTION
    • INBOUND
    • SORTANT
    • DIFFUSION

Network.email

  • But:spécifie l'adresse e-mail de l'expéditeur/du destinataire.
  • Encodage:chaîne.
  • Exemple:jcheng@entreprise.exemple.com

Network.ip_protocol

  • But:indique le protocole IP.
  • Encoding (Encodage) : type énuméré.
  • Valeurs possibles:
    • UNKNOWN_IP_PROTOCOL
    • EIGRP (Enhanced Interior Gateway Routing Protocol)
    • ESP (Encapsulating Security Payload)
    • ETHERIP : encapsulation Ethernet dans IP
    • GRE (Generic Routing Encapsulation)
    • ICMP (Internet Control Message Protocol)
    • IGMP (Internet Group Management Protocol)
    • IP6IN4 : encapsulation IPv6
    • PIM (Protocol Independent Multicast)
    • TCP (protocole TCP
    • UDP (protocole de datagramme utilisateur
    • VRRP (Virtual Router Redundancy Protocol)

Network.received_bytes

  • But:spécifie le nombre d'octets reçus.
  • Encodage:entier non signé de 64 bits.
  • Exemple:12 453 654 768

Network.sent_bytes

  • But:spécifie le nombre d'octets envoyés.
  • Encodage:entier non signé de 64 bits.
  • Exemple:7 654 876

Network.session_duration

  • But:stocke la durée de la session réseau, généralement renvoyée dans un événement de suppression pour la session. Pour définir la durée, vous pouvez définir network.session_duration.seconds = 1 (type int64) ou network.session_duration.nanos = 1 (type int32).
  • Encodage:
    • Entier 32 bits : pour les secondes (network.session_duration.seconds).
    • Entier 64 bits : pour les nanosecondes (network.session_duration.nanos).

Network.session_id

  • But:stocke l'identifiant de session réseau.
  • Encodage:chaîne.
  • Exemple:SID:ANON:www.w3.org:j6oAOxCWZh/CD723LGeXlf-01:34

Ajout de métadonnées de processus

Process.command_line

  • But:stocke la chaîne de ligne de commande du processus.
  • Encodage:chaîne.
  • Exemple:groupe c:\windows\system32\net.exe

Process.product_specific_process_id

  • But:stocke l'ID de processus spécifique au produit.
  • Encodage:chaîne.
  • Exemples:MySQL:78778 ou CS:90512

Process.parent_process.product_specific_process_id

  • But:stocke l'ID de processus spécifique au produit pour le processus parent.
  • Encodage:chaîne.
  • Exemples:MySQL:78778 ou CS:90512

Process.file

  • But:stocke le nom du fichier utilisé par le processus.
  • Encodage:chaîne.
  • Exemple:report.xls

Process.parent_process

  • But:stocke les informations du processus parent.
  • Encodage:nom (processus)

Process.pid

  • But:stocke l'ID de processus.
  • Encodage:chaîne.
  • Exemples:
    • 308
    • 2002

Remplissage des métadonnées du registre

Registry.registry_key

  • But:stocke la clé de Registre associée à une application ou à un composant système.
  • Encodage:chaîne.
  • Exemple:HKEY_LOCAL_MACHINE/SYSTEM/DriverDatabase

Registry.registry_value_name

  • But:stocke le nom de la valeur de Registre associée à une application ou à un composant système.
  • Encodage:chaîne.
  • Exemple:TEMP

Registry.registry_value_data

  • But:stocke les données associées à une valeur de Registre.
  • Encodage:chaîne.
  • Exemple : %USERPROFILE%\Local Settings\Temp

Remplissage des métadonnées de résultats de sécurité

Les métadonnées de résultat de sécurité incluent des informations sur les risques et menaces de sécurité détectés par un système de sécurité, ainsi que les mesures prises pour atténuer ces risques et menaces.

SecurityResult.about

  • Objectif:fournir une description du résultat de sécurité.
  • Encodage:nom.

SecurityResult.action

  • But:spécifier une action de sécurité.
  • Encoding (Encodage) : type énuméré.
  • Valeurs possibles:Google Security Operations UDM définit les actions de sécurité suivantes :
    • AUTORISER
    • ALLOW_WITH_MODIFICATION : le fichier ou l'e-mail a été désinfecté ou réécrit, mais a tout de même été transféré.
    • BLOQUER
    • QUARANTINE : stocke les données pour une analyse ultérieure (ne signifie pas "bloquer").
    • UNKNOWN_ACTION

SecurityResult.action_details

  • Objectif:informations fournies par le fournisseur sur l'action prise à la suite de l'incident de sécurité. Les actions de sécurité sont souvent mieux traduites dans le champ UDM plus général Security_Result.action. Toutefois, vous devrez peut-être écrire des règles pour la description exacte de l'action fournie par le fournisseur.
  • Encodage:chaîne.
  • Exemples:supprimer, bloquer, déchiffrer, chiffrer.

SecurityResult.category

  • But:spécifier une catégorie de sécurité.
  • Encodage:énumération.
  • Valeurs possibles:Google Security Operations UDM définit les catégories de sécurité suivantes :
    • ACL_VIOLATION : tentative d'accès non autorisé, y compris à des fichiers, des services Web, des processus, des objets Web, etc.
    • AUTH_VIOLATION : échec de l'authentification (par exemple, en raison d'un mauvais mot de passe ou d'une mauvaise authentification à deux facteurs).
    • DATA_AT_REST—DLP: données de capteurs détectées au repos lors d'une analyse.
    • DATA_DESTRUCTION : tentative de destruction/suppression de données.
    • DATA_EXFILTRATION—DLP: transmission des données des capteurs, copie sur une clé USB.
    • EXPLOIT : tentatives d'inondation, mauvais codages de protocole, ROP, injection SQL, etc., à la fois sur le réseau et sur l'hôte.
    • MAIL_PHISHING : e-mails d'hameçonnage, messages de chat, etc.
    • MAIL_SPAM : e-mail, message, etc. de spam
    • MAIL_SPOOFING : adresse e-mail source falsifiée, etc.
    • NETWORK_CATEGORIZED_CONTENT
    • NETWORK_COMMAND_AND_CONTROL : si le canal de commande et de contrôle est connu.
    • NETWORK_DENIAL_OF_SERVICE
    • NETWORK_MALICIOUS : attaque de commande et de contrôle, exploitation de faille réseau, activité suspecte, tunnel inverse potentiel, etc.
    • NETWORK_SUSPICIOUS : non lié à la sécurité (par exemple, l'URL est associée à des jeux d'argent et de hasard, etc.)
    • NETWORK_RECON : analyse de port détectée par un IDS, analyse par une application Web.
    • POLICY_VIOLATION : non-respect des règles de sécurité, y compris des règles de pare-feu, de proxy et de HIPS, ou actions de blocage du NAC.
    • SOFTWARE_MALICIOUS : logiciels malveillants, logiciels espions, rootkits, etc.
    • SOFTWARE_PUA : application potentiellement indésirable, comme un logiciel publicitaire, etc.
    • SOFTWARE_SUSPICIOUS
    • UNKNOWN_CATEGORY

SecurityResult.confidence

  • But:spécifier un niveau de confiance concernant un événement de sécurité tel qu'estimé par le produit.
  • Encodage:énumération.
  • Valeurs possibles:Google Security Operations UDM définit les catégories de confiance des produits suivantes :
    • UNKNOWN_CONFIDENCE
    • LOW_CONFIDENCE
    • MEDIUM_CONFIDENCE
    • HIGH_CONFIDENCE

SecurityResult.confidence_details

  • But:informations supplémentaires sur la fiabilité d'un événement de sécurité, telle qu'elle est estimée par le fournisseur du produit.
  • Encodage:chaîne.

SecurityResult.priority

  • But:spécifier une priorité pour un événement de sécurité, telle qu'elle est estimée par le fournisseur du produit.
  • Encodage:énumération.
  • Valeurs possibles:Google Security Operations UTM définit les catégories de priorité de produit suivantes :
    • UNKNOWN_PRIORITY
    • LOW_PRIORITY
    • MEDIUM_PRIORITY
    • HIGH_PRIORITY

SecurityResult.priority_details

  • Objectif:informations spécifiques au fournisseur sur la priorité des résultats de sécurité.
  • Encodage:chaîne.

SecurityResult.rule_id

  • Objectif:identifiant de la règle de sécurité.
  • Encodage:chaîne.
  • Exemples:
    • 08123
    • 5d2b44d0-5ef6-40f5-a704-47d61d3babbe

SecurityResult.rule_name

  • Purpose (Objectif) : nom de la règle de sécurité.
  • Encodage:chaîne.
  • Exemple:BlockInboundToOracle.

SecurityResult.severity

  • Objectif:gravité d'un événement de sécurité telle qu'elle est estimée par le fournisseur du produit à l'aide des valeurs définies par le UDM Google Security Operations.
  • Encodage:énumération.
  • Valeurs possibles:Google Security Operations UDM définit les niveaux de gravité des produits suivants :
    • UNKNOWN_SEVERITY : non malveillant
    • INFORMATIONAL (NON-MALICIEUX)
    • ERROR : non malveillant
    • BAS : malveillant
    • MOYENNE : malveillant
    • ÉLEVÉ : malveillant

SecurityResult.severity_details

  • Objectif:gravité d'un événement de sécurité telle qu'elle est estimée par le fournisseur du produit.
  • Encodage:chaîne.

SecurityResult.threat_name

  • Purpose (But) : nom de la menace de sécurité.
  • Encodage:chaîne.
  • Exemples:
    • W32/File-A
    • Slammer

SecurityResult.url_back_to_product

  • But:URL permettant d'accéder à la console du produit source pour cet événement de sécurité.
  • Encodage:chaîne.

Ajout de métadonnées utilisateur

User.email_addresses

  • But:stocke les adresses e-mail de l'utilisateur.
  • Encodage:chaîne répétée.
  • Exemple:johnlocke@entreprise.exemple.com

User.employee_id

  • Finalité:stocke l'ID d'employé des ressources humaines de l'utilisateur.
  • Encodage:chaîne.
  • Exemple:11223344.

User.first_name

  • But:stocke le prénom de l'utilisateur.
  • Encodage:chaîne.
  • Exemple:John.

User.middle_name

  • But:stocke le deuxième prénom de l'utilisateur.
  • Encodage:chaîne.
  • Exemple:Anthony.

User.last_name

  • But:stocke le nom de famille de l'utilisateur.
  • Encodage:chaîne.
  • Exemple:Locke.

User.group_identifiers

  • But:stocke le ou les ID de groupe (GUID, OID LDAP ou autre) associés à un utilisateur.
  • Encodage:chaîne répétée.
  • Exemple:admin-users.

User.phone_numbers

  • But:stocke les numéros de téléphone de l'utilisateur.
  • Encodage:chaîne répétée.
  • Exemple:800-555-0101

User.title

  • But:stocke le titre du poste de l'utilisateur.
  • Encodage:chaîne.
  • Exemple:Gestionnaire de la relation client.

User.user_display_name

  • But:stocke le nom à afficher de l'utilisateur.
  • Encodage:chaîne.
  • Exemple:John Locke.

User.userid

  • But:stocke l'ID utilisateur.
  • Encodage:chaîne.
  • Exemple:jlocke.

User.windows_sid

  • But:stocke l'identifiant de sécurité (SID) Microsoft Windows associé à un utilisateur.
  • Encodage:chaîne.
  • Exemple:S-1-5-21-1180649209-123456789-3582944384-1064

Population des métadonnées de faille

Vulnerability.about

  • Objectif:si la faille concerne un nom spécifique (par exemple, "exécutable"), ajoutez-le ici.
  • Encodage:nom. Consultez Remplissage des métadonnées de nom.
  • Exemple:exécutable.

Vulnerability.cvss_base_score

  • Objectif:score de base du Common Vulnerability Scoring System (CVSS).
  • Encodage:virgule flottante.
  • Plage:0,0 à 10,0
  • Exemple:8,5

Vulnerability.cvss_vector

  • But:vecteur pour les propriétés CVSS de la faille. Un score CVSS se compose des métriques suivantes:

    • Vecteur d'attaque (VA)
    • Complexité d'accès (AC)
    • Authentification (Au)
    • Impact sur la confidentialité (C)
    • Impact sur l'intégrité (I)
    • Impact sur la disponibilité (A)

    Pour en savoir plus, consultez https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator.

  • Encodage:chaîne.

  • Exemple:AV:L/AC:H/Au:N/C:N/I:P/A:C

Vulnerability.cvss_version

  • But:version CVSS du score ou du vecteur de la faille.
  • Encodage:chaîne.
  • Exemple:3.1

Vulnerability.description

  • Objectif:description de la faille.
  • Encodage:chaîne.

Vulnerability.first_found

  • But:les produits qui conservent un historique des analyses de failles doivent renseigner first_found avec l'heure à laquelle la faille de cet élément a été détectée pour la première fois.
  • Encodage:chaîne.

Vulnerability.last_found

  • But:les produits qui conservent un historique des analyses de failles doivent renseigner last_found avec l'heure à laquelle la faille de cet élément a été détectée pour la dernière fois.
  • Encodage:chaîne.

Vulnerability.name

  • Purpose (But) : nom de la faille.
  • Encodage:chaîne.
  • Exemple:Version d'OS non compatible détectée.

Vulnerability.scan_end_time

  • But:si la faille a été détectée lors d'une analyse des éléments, renseignez ce champ avec l'heure à laquelle l'analyse s'est terminée. Laissez ce champ vide si l'heure de fin n'est pas disponible ou n'est pas applicable.
  • Encodage:chaîne.

Vulnerability.scan_start_time

  • But:si la faille a été détectée lors d'une analyse des composants, renseignez ce champ avec l'heure de début de l'analyse. Laissez ce champ vide si l'heure de début n'est pas disponible ou n'est pas applicable.
  • Encodage:chaîne.

Vulnerability.severity

  • Objectif:gravité de la faille.
  • Encoding (Encodage) : type énuméré.
  • Valeurs possibles:
    • UNKNOWN_SEVERITY
    • FAIBLE
    • MOYENNE
    • ÉLEVÉ

Vulnerability.severity_details

  • Objectif:Informations sur la gravité spécifiques au fournisseur.
  • Encodage:chaîne.

Remplissage des métadonnées d'alerte

idm.is_significant

  • But:indique si l'alerte doit s'afficher dans Enterprise Insights.
  • Encodage:booléen

idm.is_alert

  • But:indique si l'événement est une alerte.
  • Encodage:booléen

Champs obligatoires et facultatifs en fonction du type d'événement

Cette section décrit les champs obligatoires et facultatifs à renseigner en fonction du type d'événement UDM. Pour en savoir plus sur ces champs, consultez la liste des champs du modèle de données unifié.

EMAIL_TRANSACTION

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal: renseignez-le avec des informations sur la machine à partir de laquelle le message d'e-mail a été envoyé. Par exemple, l'adresse IP de l'expéditeur.

Champs facultatifs :

  • about: URL, adresses IP, domaines et pièces jointes de fichiers intégrées au corps de l'e-mail.
  • securityResult.about: URL, adresses IP et fichiers incorrects intégrés au corps de l'e-mail.
  • network.email: informations sur l'expéditeur/le destinataire de l'e-mail.
  • principal: si des données sur la machine cliente indiquent qui a envoyé l'e-mail, renseignez les informations sur le serveur dans principal (par exemple, le processus client, les numéros de port, le nom d'utilisateur, etc.).
  • target: si des données de serveur de messagerie de destination sont disponibles, renseignez les informations sur le serveur dans "target" (par exemple, l'adresse IP).
  • intermediary: si des données de serveur de messagerie ou de proxy de messagerie sont disponibles, renseignez les détails du serveur dans intermediary.

Remarques :

  • N'ajoutez jamais principal.email ni target.email.
  • Ne renseignez le champ d'adresse e-mail que dans security_result.about ou network.email.
  • Les résultats de sécurité de premier niveau comportent généralement un nom (facultatif pour le spam).

FILE_CREATION, FILE_DELETION, FILE_MODIFICATION, FILE_READ et FILE_OPEN

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal :
    • Au moins un identifiant de machine
    • (Facultatif) Renseignez principal.process avec des informations sur le processus accédant au fichier.
  • target :
    • Si le fichier est distant (par exemple, un partage SMB), la cible doit inclure au moins un identifiant de machine pour la machine cible, sinon tous les identifiants de machine doivent être vides.
    • Remplissez target.file avec des informations sur le fichier.

Facultatif :

  • security_result: décrit l'activité malveillante détectée.
  • principal.user: renseignez ce champ si des informations utilisateur sont disponibles sur le processus.

FILE_COPY

Champs obligatoires :

  • metadata: incluez les champs obligatoires comme décrit.
  • principal :
    • Au moins un identifiant de machine
    • (Facultatif) Renseignez principal.process avec des informations sur le processus effectuant l'opération de copie de fichiers.
  • src :
    • Renseignez src.file avec des informations sur le fichier source.
    • Si le fichier est distant (par exemple, un partage SMB), src doit inclure au moins un identifiant de machine pour la machine source qui stocke le fichier source.
  • target :
    • Renseignez target.file avec des informations sur le fichier cible.
    • Si le fichier est distant (par exemple, un partage SMB), le champ target doit inclure au moins un identifiant de machine pour la machine cible qui contient le fichier cible.

Champs facultatifs :

  • security_result: décrit l'activité malveillante détectée.
  • principal.user: renseignez ce champ si des informations utilisateur sont disponibles sur le processus.

MUTEX_CREATION

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal :
    • Au moins un identifiant de machine
    • Renseignez principal.process avec des informations sur le processus qui crée le mutex.
  • target :
    • Renseignez target.resource.
    • Remplacez target.resource.type par MUTEX.
    • Remplacez target.resource.name par le nom du mutex créé.

Facultatif :

  • security_result: décrit l'activité malveillante détectée.
  • principal.user: renseignez ce champ si des informations utilisateur sont disponibles sur le processus.
Exemple de UDM pour MUTEX_CREATION

L'exemple suivant montre comment un événement de type MUTEX_CREATION serait mis en forme pour l'UDM Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: MUTEX_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.altostrat.com"
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  resource {
    type: "MUTEX"
    name: "test-mutex"
  }
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM:

  • metadata: informations générales sur l'événement.
  • principal: informations sur l'appareil et le processus.
  • target: informations sur le mutex.

NETWORK_CONNECTION

Champs obligatoires :

  • metadata: event_timestamp
  • principal: inclut des informations sur la machine qui a initié la connexion réseau (par exemple, la source).
  • target: incluez des informations sur la machine cible si elle est différente de la machine principale.
  • network: capture les informations sur la connexion réseau (ports, protocole, etc.).

Champs facultatifs :

  • principal.process et target.process: incluent les informations de processus associées au principal et à la cible de la connexion réseau (si disponibles).
  • principal.user et target.user: incluez les informations utilisateur associées au principal et à la cible de la connexion réseau (le cas échéant).

NETWORK_HTTP

Le type d'événement NETWORK_HTTP représente une connexion réseau HTTP d'un principal à un serveur Web cible.

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal: représente le client qui lance la requête Web et inclut au moins un identifiant de machine (par exemple, nom d'hôte, adresse IP, adresse MAC, identifiant d'un élément propriétaire) ou un identifiant utilisateur (par exemple, nom d'utilisateur). Si une connexion réseau spécifique est décrite et qu'un numéro de port client est disponible, une seule adresse IP doit être spécifiée, ainsi que le numéro de port associé à cette connexion réseau (bien que d'autres identifiants de machine puissent être fournis pour mieux décrire l'appareil participant). Si aucun port source n'est disponible, toutes les adresses IP et MAC, les identifiants d'éléments et les valeurs d'hôte décrivant l'appareil principal peuvent être spécifiées.
  • target: représente le serveur Web, et inclut des informations sur l'appareil et éventuellement un numéro de port. Si un numéro de port cible est disponible, ne spécifiez qu'une seule adresse IP en plus du numéro de port associé à cette connexion réseau (bien que plusieurs autres identifiants de machine puissent être fournis pour la cible). Pour target.url, renseignez l'URL consultée.
  • network et network.http: inclut des informations sur la connexion réseau HTTP. Vous devez renseigner les champs suivants :
    • network.ip_protocol
    • network.application_protocol
    • network.http.method

Champs facultatifs :

  • about: représente d'autres entités trouvées dans la transaction HTTP (par exemple, un fichier importé ou téléchargé).
  • intermédiaire: représente un serveur proxy (s'il est différent du principal ou de la cible).
  • metadata: renseignez les autres champs de métadonnées.
  • network: renseignez les autres champs de réseau.
  • network.email: si la connexion réseau HTTP provient d'une URL qui est apparue dans un e-mail, renseignez network.email avec les détails.
  • observer: représente un renifleur passif (le cas échéant).
  • security_result: ajoutez un ou plusieurs éléments au champ security_result pour représenter l'activité malveillante détectée.
Exemple d'UDM pour NETWORK_HTTP

L'exemple suivant montre comment un événement antivirus Sophos de type NETWORK_HTTP est converti au format UDM de Google Security Operations.

Voici l'événement antivirus Sophos d'origine:

date=2013-08-07 time=13:27:41 timezone="GMT" device_name="CC500ia" device_id= C070123456-ABCDE log_id=030906208001 log_type="Anti-Virus" log_component="HTTP" log_subtype="Virus" status="" priority=Critical fw_rule_id=0 user_name="john.smith" iap=7 av_policy_name="" virus="TR/ElderadoB.A.78" url="altostrat.fr/img/logo.gif" domainname="altostrat.fr" src_ip=10.10.2.10 src_port=60671 src_country_code= dst_ip=203.0.113.31 dst_port=80 dst_country_code=FRA

Voici comment mettre en forme les mêmes informations dans Proto3 à l'aide de la syntaxe UDM de Google Security Operations:

metadata {
  event_timestamp: "2013-08-07T13:27:41+00:00"
  event_type: NETWORK_HTTP
  product_name: "Sophos Antivirus"
  product_log_id: "030906208001"
}

principal {
  hostname: "CC500ia"
  asset_id: "Sophos.AV:C070123456-ABCDE"
  ip: "10.10.2.10"
  port: 60671
  user {  userid: "john.smith" }
}

target {
  hostname: "altostrat.fr"
  ip: "203.0.113.31"
  port: 80
  url: "altostrat.fr/img/logo.gif"
}

network {
  ip_protocol: TCP
 }

security_result {
  about {
    url: "altostrat.fr/img/logo.gif"
    category: SOFTWARE_MALICIOUS
    category_details: "Virus"
    threat_name: "TR/ElderadoB.A.78"
    severity: HIGH                   # Google Security Operations-normalized severity
    severity_details: "Critical"    # Vendor-specific severity string
  }
}

additional { "dst_country_code" : "FRA", "iap" : "7" "fw_rule_id" : "0" }

Comme le montre cet exemple, l'événement a été divisé en catégories UDM:

  • metadata: informations générales sur l'événement.
  • principal: appareil de sécurité qui a détecté l'événement.
  • target: appareil ayant reçu le logiciel malveillant.
  • network: informations sur le réseau de l'hôte malveillant.
  • security_result: informations de sécurité sur le logiciel malveillant.
  • additional: informations sur le fournisseur actuellement en dehors du champ d'application de l'UDM.

PROCESS_INJECTION, PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_TERMINATION, PROCESS_UNCATEGORIZED

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal :
    • Au moins un identifiant de machine
    • Pour les événements d'injection et d'arrêt de processus, le cas échéant, principal.process doit inclure des informations sur le processus qui déclenche l'action (par exemple, pour un événement de lancement de processus, principal.process doit inclure des informations sur le processus parent, le cas échéant).
  • target :
    • target.process: inclut des informations sur le processus qui est injecté, ouvert, lancé ou arrêté.
    • Si le processus cible est distant, la cible doit inclure au moins un identifiant de machine pour la machine cible (par exemple, une adresse IP, un adresse MAC, un nom d'hôte ou un identifiant d'élément tiers).

Champs facultatifs :

  • security_result: décrit l'activité malveillante détectée.
  • principal.user et target.user: renseignez le processus initiateur (principal) et le processus cible si les informations utilisateur sont disponibles.
Exemple d'UDM pour PROCESS_LAUNCH

L'exemple suivant montre comment mettre en forme un événement PROCESS_LAUNCH à l'aide de la syntaxe UDM de Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_LAUNCH
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM:

  • metadata: informations générales sur l'événement.
  • principal: détails de l'appareil.
  • target: détails du traitement.

PROCESS_MODULE_LOAD

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal :
    • Au moins un identifiant de machine
    • principal.process: processus chargé de charger le module.
  • target :
    • target.process: inclut des informations sur le processus.
    • target.process.file: module chargé (par exemple, la DLL ou l'objet partagé).

Champs facultatifs :

  • security_result: décrit l'activité malveillante détectée.
  • principal.user: renseignez ce champ si des informations utilisateur sont disponibles sur le processus.
Exemple d'UDM pour PROCESS_MODULE_LOAD

L'exemple suivant montre comment mettre en forme un événement PROCESS_MODULE_LOAD à l'aide de la syntaxe UDM de Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_MODULE_LOAD
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM:

  • metadata: informations générales sur l'événement.
  • principal: informations sur l'appareil et le processus de chargement du module.
  • target: détails du processus et du module.

PROCESS_PRIVILEGE_ESCALATION

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal :
    • Au moins un identifiant de machine
    • principal.process: processus chargé de charger le module.
    • principal.user: utilisateur qui charge le module.

Champs facultatifs :

  • security_result: décrit l'activité malveillante détectée.
Exemple d'UDM pour PROCESS_PRIVILEGE_ESCALATION

L'exemple suivant montre comment mettre en forme un événement PROCESS_PRIVILEGE_ESCALATION à l'aide de la syntaxe UDM de Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_PRIVILEGE_ESCALATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM:

  • metadata: informations générales sur l'événement.
  • principal: informations sur l'appareil, l'utilisateur et le processus qui charge le module.
  • target: détails du processus et du module.

REGISTRY_CREATION, REGISTRY_MODIFICATION, REGISTRY_DELETION

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal :
    • Au moins un identifiant de machine
    • Si un processus en mode utilisateur effectue la modification du Registre, principal.process doit inclure des informations sur le processus qui modifie le Registre.
    • Si un processus de kernel effectue la modification du Registre, le principal ne doit pas inclure d'informations sur le processus.
  • target :
    • target.registry: si le registre cible est distant, la cible doit inclure au moins un identifiant de la machine cible (par exemple, une adresse IP, un adresse MAC, un nom d'hôte ou un identifiant d'élément tiers).
    • target.registry.registry_key: tous les événements de registre doivent inclure la clé de registre concernée.

Facultatif :

  • security_result::décrit l'activité malveillante détectée. Par exemple, une clé de registre incorrecte.
  • principal.user::renseignez ce champ si des informations utilisateur sont disponibles sur le processus.
Exemple d'UDM pour REGISTRY_MODIFICATION

L'exemple suivant montre comment mettre en forme un événement REGISTRY_MODIFICATION dans Proto3 à l'aide de la syntaxe UDM de Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: REGISTRY_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test-win"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  registry {
    registry_key: "\\REGISTRY\\USER\\TEST_USER\\Control Panel\\PowerCfg\\PowerPolicy"
    registry_value_name: "Description"
    registry_value_data: "For extending battery life."
  }
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM:

  • metadata: informations générales sur l'événement.
  • principal: informations sur l'appareil, l'utilisateur et le processus.
  • target: entrée de Registre affectée par la modification.

SCAN_FILE, SCAN_HOST, SCAN_PROCESS, SCAN_VULN_HOST, SCAN_VULN_NETWORK

Champs obligatoires :

  • extensions: pour SCAN_VULN_HOST et SCAN_VULN_NETWORK, définissez la faille à l'aide du champ extensions.vuln.
  • metadata: event_timestamp
  • observer: capture des informations sur le scanner lui-même. Si le scanner est distant, les informations sur la machine doivent être capturées par le champ "observateur". Pour un scanner local, laissez ce champ vide.
  • target: capture des informations sur la machine qui contient l'objet à analyser. Si un fichier est numérisé, target.file doit capturer des informations sur le fichier numérisé. Si un processus est analysé, target.process doit capturer des informations sur le processus analysé.

Champs facultatifs :

  • target: les informations utilisateur sur l'objet cible (par exemple, le créateur de fichier ou le propriétaire du processus) doivent être capturées dans target.user.
  • security_result: décrit l'activité malveillante détectée.
Exemple de UDM pour SCAN_HOST

L'exemple suivant montre comment un événement de type SCAN_HOST serait mis en forme pour l'UDM Google Security Operations:

metadata: {
  event_timestamp: {
    seconds: 1571386978
  }
  event_type: SCAN_HOST
  vendor_name: "vendor"
  product_name: "product"
  product_version: "1.0"
}
target: {
  hostname: "testHost"
  asset_id: "asset"
  ip: "192.168.200.200"
}
observer: {
  hostname: "testObserver"
  ip: "192.168.100.100"
}
security_result: {
  severity: LOW
  confidence: HIGH_CONFIDENCE
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM:

  • metadata: informations générales sur l'événement.
  • target: appareil ayant reçu le logiciel malveillant.
  • observer: appareil qui observe et signale l'événement en question.
  • security_result: informations de sécurité sur le logiciel malveillant.

SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_DISABLE, SCHEDULED_TASK_ENABLE, SCHEDULED_TASK_MODIFICATION, SCHEDULED_TASK_UNCATEGORIZED

Champs obligatoires :

  • principal: pour tous les événements SCHEDULED_TASK, le principal doit inclure un identifiant de machine et un identifiant utilisateur.
  • target: la cible doit inclure une ressource valide et un type de ressource défini comme "TASK".

Champs facultatifs :

  • security_result: décrit l'activité malveillante détectée.
Exemple d'UDM pour SCHEDULED_TASK_CREATION

L'exemple suivant montre comment un événement de type SCHEDULED_TASK_CREATION peut être mis en forme pour l'UDM Google Security Operations:

metadata: {
  event_timestamp: {
    seconds: 1577577998
  }
  event_type: SCHEDULED_TASK_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal: {
  hostname: "fake-host.altostrat.com"
  user: {
    userid: "TestUser"
    windows_sid: "AB123CDE"
  }
  process {
    pid: "1234"
  }
}
target: {
  resource: {
    type: "TASK"
    name: "\\Adobe Acrobat Update Task"
  }
}
intermediary: {
  hostname: "fake-intermediary.altostrat.com"
}
security_result: {
  rule_name: "EventID: 6789"
  summary: "A scheduled task was created."
  severity: INFORMATIONAL
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM:

  • metadata: informations générales sur l'événement.
  • principal: appareil qui a planifié la tâche suspecte.
  • target: logiciel ciblé par la tâche suspecte.
  • intermédiaire: intermédiaire impliqué dans la tâche suspecte.
  • security_result: informations de sécurité sur la tâche suspecte.

SETTING_UNCATEGORIZED, SETTING_CREATION, SETTING_MODIFICATION, SETTING_DELETION

Champs obligatoires :

  • principal: doit être présent, non vide et inclure un identifiant de machine.
  • target: doit être présent, non vide et inclure une ressource dont le type est spécifié comme SETTING
Exemple d'UDM pour le type d'événement SETTING_MODIFICATION

L'exemple suivant montre comment un événement de type SETTING_MODIFICATION serait mis en forme pour l'UDM Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SETTING_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.win.com"
}
target {
  resource {
    type: "SETTING"
    name: "test-setting"
  }
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM:

  • metadata: informations générales sur l'événement.
  • principal: informations sur l'appareil sur lequel la modification de paramètre a eu lieu.
  • target: détails de la ressource.

SERVICE_UNSPECIFIED, SERVICE_CREATION, SERVICE_DELETION, SERVICE_START, SERVICE_STOP

Champs obligatoires :

  • target: incluez l'identifiant utilisateur et spécifiez le processus ou l'application.
  • principal: incluez au moins un identifiant de machine (adresse IP ou MAC, nom d'hôte ou identifiant d'élément).
Exemple de UDM pour SERVICE_UNSPECIFIED

L'exemple suivant montre comment un événement de type SERVICE_UNSPECIFIED serait mis en forme pour l'UDM Google Security Operations:

metadata: {
 event_timestamp: {
   seconds: 1595656745
   nanos: 832000000
    }
 event_type: SERVICE_UNSPECIFIED
   vendor_name: "Preempt"
   product_name: "PREEMPT_AUTH"
   product_event_type: "SERVICE_ACCESS"
   description: "Remote Procedures (RPC)"
   }
 principal: {
   hostname: "XXX-YYY-ZZZ"
   ip: "10.10.10.10"
   }
 target: {
   hostname: "TestHost"
   user: {
      userid: "ORG\\User"
      user_display_name: "user name"
   }
 application: "application.name"
   resource: {
      type: "Service Type"
      name: "RPC"
   }
 }

Comme le montre cet exemple, l'événement a été divisé en catégories UDM:

  • metadata: informations générales sur l'événement.
  • principal: informations sur l'appareil et la localisation.
  • target: nom d'hôte et identifiant utilisateur.
  • application: nom de l'application et type de ressource.

STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, STATUS_UPDATE

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal: au moins un identifiant de machine (adresse IP ou MAC, nom d'hôte ou identifiant d'élément).
Exemple d'UDM pour STATUS_HEARTBEAT

L'exemple suivant montre comment un événement de type STATUS_HEARTBEAT serait mis en forme pour l'UDM Google Security Operations:

metadata: {
  event_timestamp: {
    seconds: 1588180305
  }
  event_type: STATUS_HEARTBEAT
  vendor_name: "DMP"
  product_name: "ENTRE"
}
principal: {
  hostname: "testHost"
  location: {
    name: "Building 1"
  }
}
intermediary: {
  ip: "8.8.8.8"
}
security_result: {
  summary: "Event - Locked"
  description: "description"
  severity: LOW
  severity_details: "INFO"
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM:

  • metadata: informations générales sur l'événement.
  • principal: informations sur l'appareil et la localisation.
  • intermediary: adresse IP de l'appareil.
  • security_result: détails des résultats de sécurité.

SYSTEM_AUDIT_LOG_UNCATEGORIZED, SYSTEM_AUDIT_LOG_WIPE

Champs obligatoires :

  • principal: incluez un identifiant utilisateur pour l'utilisateur qui a effectué l'opération sur le journal et un identifiant de machine pour la machine où le journal est ou était stocké (en cas d'effacement).
Exemple d'UDM pour SYSTEM_AUDIT_LOG_WIPE

L'exemple suivant montre comment un événement de type SYSTEM_AUDIT_LOG_WIPE serait mis en forme pour l'UDM Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SYSTEM_AUDIT_LOG_WIPE
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM:

  • metadata: informations générales sur l'événement.
  • principal: informations sur l'appareil et l'utilisateur.

USER_CHANGE_PASSWORD, USER_CHANGE_PERMISSIONS

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal: si le compte utilisateur est modifié à partir d'un emplacement distant, renseignez principal avec des informations sur la machine à l'origine de la modification de l'utilisateur.
  • target: renseignez target.user avec des informations sur l'utilisateur qui a été modifié.
  • intermédiaire: pour les connexions SSO, l'intermédiaire doit inclure au moins un identifiant de machine pour le serveur SSO, le cas échéant.

USER_COMMUNICATION

Champs obligatoires :

  • principal:renseignez le champ principal.user avec les informations associées à la communication initiée par l'utilisateur (expéditeur), comme un message de chat dans Google Chat ou Slack, une conférence vidéo ou vocale dans Zoom ou Google Meet, ou une connexion VoIP.

Champs facultatifs :

  • target : (recommandé) renseignez le champ target.user avec des informations sur l'utilisateur cible (récepteur) de la ressource de communication cloud. Renseignez le champ target.application avec des informations sur l'application de communication cloud cible.

USER_CREATION, USER_DELETION

Champs obligatoires :

  • metadata: event_timestamp
  • principal:inclut des informations sur la machine à l'origine de la demande de création ou de suppression de l'utilisateur. Pour créer ou supprimer un utilisateur local, principal doit inclure au moins un identifiant de machine pour la machine d'origine.
  • target:emplacement où l'utilisateur est créé. Doit également inclure des informations sur l'utilisateur (par exemple, target.user).

Champs facultatifs :

  • principal:informations sur l'utilisateur et le processus pour la machine à l'origine de la demande de création ou de suppression d'utilisateur.
  • target:informations sur la machine cible (si différente de la machine principale).

USER_LOGIN, USER_LOGOUT

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal: pour l'activité utilisateur à distance (par exemple, la connexion à distance), renseignez principal avec des informations sur la machine à l'origine de l'activité utilisateur. Pour l'activité utilisateur locale (connexion locale, par exemple), ne définissez pas "principal".
  • target: renseignez target.user avec des informations sur l'utilisateur qui s'est connecté ou déconnecté. Si le principal n'est pas défini (par exemple, connexion locale), la cible doit également inclure au moins un identifiant de machine identifiant la machine cible. Pour l'activité utilisateur de machine à machine (par exemple, connexion à distance, SSO, service cloud, VPN), la cible doit inclure des informations sur l'application cible, la machine cible ou le serveur VPN cible.
  • intermédiaire: pour les connexions SSO, l'intermédiaire doit inclure au moins un identifiant de machine pour le serveur SSO, le cas échéant.
  • network et network.http: si la connexion se produit via HTTP, vous devez placer toutes les informations disponibles dans network.ip_protocol, network.application_protocol et network.http.
  • Extension authentication: doit identifier le type de système d'authentification auquel l'événement est associé (par exemple, machine, SSO ou VPN) et le mécanisme utilisé (nom d'utilisateur et mot de passe, OTP, etc.).
  • security_result: ajoutez un champ security_result pour représenter l'état de la connexion en cas d'échec. Spécifiez security_result.category avec la valeur AUTH_VIOLATION si l'authentification échoue.

USER_RESOURCE_ACCESS

Champs obligatoires :

  • principal:renseignez le champ principal.user avec des informations sur les tentatives d'accès à une ressource cloud (par exemple, une demande Salesforce, un agenda Office365, un document Google ou une demande ServiceNow).
  • target:renseignez le champ target.resource avec des informations sur la ressource cloud cible.

Champs facultatifs :

  • target.application : (recommandé) renseignez le champ target.application avec des informations sur l'application cloud cible.

USER_RESOURCE_CREATION, USER_RESOURCE_DELETION

Champs obligatoires :

  • principal:renseignez le champ principal.user avec les informations associées à l'utilisateur créé dans une ressource cloud (par exemple, une demande Salesforce, un agenda Office 365, un document Google Docs ou une demande ServiceNow).
  • target:renseignez le champ target.resource avec des informations sur la ressource cloud cible.

Champs facultatifs :

  • target.application : (recommandé) renseignez le champ target.application avec des informations sur l'application cloud cible.

USER_RESOURCE_UPDATE_CONTENT

Champs obligatoires :

  • principal:renseignez le champ principal.user avec les informations associées à l'utilisateur dont le contenu a été mis à jour dans une ressource cloud (par exemple, une demande Salesforce, un calendrier Office365, un document Google ou une demande ServiceNow).
  • target:renseignez le champ target.resource avec des informations sur la ressource cloud cible.

Champs facultatifs :

  • target.application : (recommandé) renseignez le champ target.application avec des informations sur l'application cloud cible.

USER_RESOURCE_UPDATE_PERMISSIONS

Champs obligatoires :

  • principal:renseignez le champ principal.user avec les informations associées à l'utilisateur dont les autorisations ont été mises à jour dans une ressource cloud (par exemple, une demande Salesforce, un calendrier Office 365, un document Google ou une demande ServiceNow).
  • target:renseignez le champ target.resource avec des informations sur la ressource cloud cible.

Champs facultatifs :

  • target.application : (recommandé) renseignez le champ target.application avec des informations sur l'application cloud cible.

USER_UNCATEGORIZED

Champs obligatoires :

  • metadata: event_timestamp
  • principal:inclut des informations sur la machine à l'origine de la demande de création ou de suppression de l'utilisateur. Pour créer ou supprimer un utilisateur local, principal doit inclure au moins un identifiant de machine pour la machine d'origine.
  • target:emplacement où l'utilisateur est créé. Doit également inclure des informations sur l'utilisateur (par exemple, target.user).

Champs facultatifs :

  • principal:informations sur l'utilisateur et le processus pour la machine à l'origine de la demande de création ou de suppression d'utilisateur.
  • target:informations sur la machine cible (si différente de la machine principale).