Guide d'utilisation du modèle de données unifié

Ce document fournit une description plus détaillée des champs du schéma de modèle de données unifié (UDM) et des champs obligatoires et facultatifs en fonction du type d'événement. Pour l'évaluation du moteur de règles, le préfixe commence par udm., tandis que le préfixe CBN (configuration basée sur la configuration) commence par event.idm.read_only_udm.

Remplissage des métadonnées d'événement

La section des métadonnées des événements UDM contient des informations générales sur chaque événement.

Metadata.event_type

  • Objectif:spécifie le type d'événement. Si un événement est associé à plusieurs types possibles, cette valeur doit spécifier le type le plus spécifique.
  • Obligatoire:oui
  • Encodage:doit correspondre à l'un des types prédéfinis "event_type" énumérés.
  • Valeurs possibles:vous trouverez ci-dessous la liste de toutes les valeurs possibles pour "event_type" dans l'UDM.

Événements des analystes:

  • ANALYST_ADD_COMMENT
  • ANALYST_UPDATE_PRIORITY
  • ANALYST_UPDATE_REASON
  • ANALYST_UPDATE_REPUTATION
  • ANALYST_UPDAATE_RISK_SCORE
  • ANALYST_UPDATE_ROOT_CAUSE
  • ANALYST_UPDATE_SEVERITY_SCORE
  • ANALYST_UPDATE_STATUS
  • ANALYST_UPDATE_VERDICT

Événements sur l'appareil:

  • DEVICE_CONFIG_UPDATE
  • DEVICE_FIRMWARE_UPDATE
  • DEVICE_PROGRAM_DOWNLOAD
  • DEVICE_PROGRAM_UPLOAD

Événements de messagerie :

  • EMAIL_UNCATEGORIZED
  • EMAIL_TRANSACTION
  • EMAIL_URL_CLICK

Événements non spécifiés:

  • EVENTTYPE_UNSPECIFIED

Événements de fichiers effectués sur un point de terminaison:

  • FILE_UNCATEGORIZED
  • FILE_COPY (par exemple, copier un fichier sur une clé USB)
  • FILE_CREATION
  • FILE_DELETION
  • FILE_MODIFICATION
  • FILE_MOVE
  • FILE_OPEN (par exemple, l'ouverture d'un fichier peut indiquer une brèche de sécurité)
  • FILE_READ (par exemple, lecture d'un fichier de mots de passe)
  • FILE_SYNC

Les événements qui n'appartiennent à aucune autre catégorie, y compris les événements Windows sans catégorie.

  • GENERIC_EVENT

Événements d'activité de groupe :

  • GROUP_UNCATEGORIZED
  • GROUP_CREATION
  • GROUP_DELETION
  • GROUP_MODIFICATION

Événements mutex (objet d'exclusion mutuelle) :

  • MUTEX_UNCATEGORIZED
  • MUTEX_CREATION

Télémétrie réseau, y compris les charges utiles de protocole brutes, telles que DHCP et DNS, ainsi que des résumés de protocoles tels que HTTP, SMTP et FTP, et des événements de flux et de connexion provenant de Netflow et de pare-feu.

  • NETWORK_UNCATEGORIZED
  • NETWORK_CONNECTION (par exemple, les informations de connexion réseau d'un pare-feu)
  • NETWORK_DHCP
  • NETWORK_DNS
  • NETWORK_FLOW (par exemple, les statistiques de flux agrégées de Netflow)
  • NETWORK_FTP
  • NETWORK_HTTP
  • NETWORK_SMTP

Tout événement relatif à un processus tel qu'un lancement de processus, un processus créant quelque chose de malveillant, un processus injectant dans un autre processus, la modification d'une clé de registre ou la création d'un fichier malveillant sur le disque.

  • PROCESS_UNCATEGORIZED
  • PROCESS_INJECTION
  • PROCESS_LAUNCH
  • PROCESS_MODULE_LOAD
  • PROCESS_OPEN
  • PROCESS_PRIVILEGE_ESCALATION
  • PROCESS_TERMINATION

Utilisez les événements REGISTRY plutôt que les événements SETTING pour les événements de Registre spécifiques à Microsoft Windows:

  • REGISTRY_UNCATEGORIZED
  • REGISTRY_CREATION
  • REGISTRY_MODIFICATION
  • REGISTRY_DELETION

Événements liés aux ressources:

  • RESOURCE_CREATION
  • RESOURCE_DELETION
  • RESOURCE_PERMISSIONS_CHANGE
  • RESOURCE_READ
  • RESOURCE_WRITTEN

Événements orientés analyse Comprend les analyses à la demande et les détections de comportement effectuées par les produits de sécurité des points de terminaison (EDR, AV, DLP). Utilisé uniquement lors de l'association d'un SecurityResult à un autre type d'événement (tel que PROCESS_LAUNCH).

  • SCAN_UNCATEGORIZED
  • SCAN_FILE
  • SCAN_HOST
  • SCAN_NETWORK
  • SCAN_PROCESS
  • SCAN_PROCESS_BEHAVIORS
  • SCAN_VULN_HOST
  • SCAN_VULN_NETWORK

Événements de tâches planifiées (planificateur de tâches Windows, Cron, etc.):

  • SCHEDULED_TASK_UNCATEGORIZED
  • SCHEDULED_TASK_CREATION
  • SCHEDULED_TASK_DELETION
  • SCHEDULED_TASK_DISABLE
  • SCHEDULED_TASK_ENABLE
  • SCHEDULED_TASK_MODIFICATION

Événements de service:

  • SERVICE_UNSPECIFIED
  • SERVICE_CREATION
  • SERVICE_DELETION
  • SERVICE_MODIFICATION
  • SERVICE_START
  • SERVICE_STOP

Définir des événements, y compris lorsqu'un paramètre système est modifié sur un point de terminaison Pour savoir comment configurer les exigences concernant les événements, cliquez ici.

  • SETTING_UNCATEGORIZED
  • SETTING_CREATION
  • SETTING_DELETION
  • SETTING_MODIFICATION

Messages d'état émis par les produits de sécurité pour indiquer que les agents sont actifs et qu'ils envoient la version, l'empreinte digitale ou d'autres types de données.

  • STATUS_UNCATEGORIZED
  • STATUS_HEARTBEAT (indique que le produit est actif)
  • STATUS_STARTUP
  • STATUS_SHUTDOWN
  • STATUS_UPDATE (mise à jour du logiciel ou de l'empreinte digitale)

Événements du journal d'audit du système:

  • SYSTEM_AUDIT_LOG_UNCATEGORIZED
  • SYSTEM_AUDIT_LOG_WIPE

Événements liés à l'activité d'authentification des utilisateurs:

  • USER_UNCATEGORIZED
  • USER_BADGE_IN (par exemple, lorsqu'un utilisateur ajoute physiquement un badge à un site)
  • USER_CHANGE_PASSWORD
  • USER_CHANGE_PERMISSIONS
  • USER_COMMUNICATION
  • USER_CREATION
  • USER_DELETION
  • USER_LOGIN
  • USER_LOGOUT
  • USER_RESOURCE_ACCESS
  • USER_RESOURCE_CREATION
  • USER_RESOURCE_DELETION
  • USER_RESOURCE_UPDATE_CONTENT
  • USER_RESOURCE_UPDATE_PERMISSIONS
  • USER_STATS

Metadata.collected_timestamp

  • Objectif:encode le code temporel GMT correspondant au moment où l'événement a été collecté par l'infrastructure de collecte locale du fournisseur.
  • Encodage:RFC 3339, selon le format d'horodatage JSON ou Proto3.
  • Exemple:
    • RFC 3339 : '2019-09-10T20:32:31-08:00'
    • Format Proto3 : '2012-04-23T18:25:43.511Z'

Metadata.event_timestamp

  • Objectif:encoder le code temporel GMT lors de la génération de l'événement
  • Obligatoire : oui
  • Encodage:RFC 3339, selon le format d'horodatage JSON ou Proto3.
  • Exemple:
    • RFC 3339: 2019-09-10T20:32:31-08:00
    • Format Proto3: 2012-04-23T18:25:43.511Z

Metadata.description

  • Objectif:description lisible de l'événement.
  • Encodage:chaîne alphanumérique, ponctuation autorisée, 1 024 octets maximum
  • Exemple:Le fichier c:\bar\foo.exe a bloqué l'accès au document sensible c:\documents\earnings.docx.

Metadata.product_event_type

  • Objectif:nom ou type d'événement court, descriptif, lisible et propre au produit.
  • Encodage:chaîne alphanumérique, ponctuation autorisée, 64 octets maximum.
  • Exemples:
    • Événement de création de registre
    • ProcessRollUp
    • Élévation des privilèges détectée
    • Logiciel malveillant bloqué

Metadata.product_log_id

  • Objectif:encode un identifiant d'événement spécifique au fournisseur afin d'identifier l'événement de manière unique (GUID). Les utilisateurs peuvent utiliser cet identifiant pour rechercher l'événement en question dans la console propriétaire du fournisseur.
  • Encodage:chaîne alphanumérique sensible à la casse avec ponctuation autorisée, 256 octets maximum.
  • Exemple:ABcd1234-98766

Metadata.product_name

  • Objectif:nom du produit.
  • Encodage:chaîne alphanumérique sensible à la casse avec ponctuation autorisée, 256 octets maximum.
  • Exemples :
    • Falcon
    • Symantec Endpoint Protection

Metadata.product_version

  • Objectif:spécifie la version du produit.
  • Encodage:chaîne alphanumérique, points et tirets autorisés, 32 octets maximum
  • Exemples:
    • 1.2.3b
    • 10.3:rev1

Metadata.url_back_to_product

  • Objectif : URL redirigeant vers un site Web pertinent où vous pouvez obtenir plus d'informations sur cet événement spécifique (ou la catégorie d'événements générale).
  • Encodage : URL RFC 3986 valide avec des paramètres facultatifs tels que des informations sur le port, etc. Doit comporter un préfixe de protocole avant l'URL (par exemple, https:// ou http://).
  • Exemple:https://newco.altostrat.com:8080/event_info?event_id=12345

Metadata.vendor_name

  • Objectif:spécifier le nom du fournisseur du produit.
  • Encodage:chaîne alphanumérique sensible à la casse, ponctuation autorisée, 256 octets maximum
  • Exemples:
    • CrowdStrike
    • Symantec

Métadonnées de population de noms

Dans cette section, le mot Noun est un terme global utilisé pour représenter les entités principal, src, target, intermediary, observer et about. Ces entités ont des attributs communs, mais représentent différents objets dans un événement. Pour en savoir plus sur les entités et sur ce que chacune d'elles représente dans un événement, consultez Mettre en forme les données des journaux en tant que données UDM.

Noun.asset_id

  • Objectif:identifiant unique de l'appareil propre au fournisseur (par exemple, un GUID généré lors de l'installation d'un logiciel de sécurité des points de terminaison sur un nouvel appareil, qui est utilisé pour suivre cet appareil unique au fil du temps).
  • Encodage:VendorName.ProductName:ID, où VendorName.ProductName:ID est un nom de produit non sensible à la casse* *nom de fournisseur tel que "Carbon Black", VendorName.ProductName:ID est un nom de produit non sensible à la casse ("Response", par exemple). ou "Endpoint Protection", et l'ID est un identifiant client propre au fournisseur et unique au sein de l'environnement du client (par exemple, un GUID ou une valeur unique identifiant un appareil unique). VendorName et ProductName sont des noms alphanumériques et ne doivent pas comporter plus de 32 caractères. L'ID peut comporter jusqu'à 128 caractères alphanumériques, des tirets et des points.
  • Exemple:CrowdStrike.Falcon:0bce4259-4ada-48f3-a904-9a526b01311f

Noun.email

  • Objectif : adresse e-mail
  • Encodage:format d'adresse e-mail standard.
  • Exemple:johns@test.altostrat.com

Noun.file

Noun.hostname

  • Objectif:champ "Nom d'hôte du client" ou "Nom de domaine". Ne l'incluez pas en présence d'une URL.
  • Encoding (Encodage) : nom d'hôte valide conforme à la norme RFC 1123.
  • Exemples:
    • userwin10
    • www.altostrat.com

Noun.platform

  • Objectif:système d'exploitation de la plate-forme.
  • Encodage : énumération
  • Valeurs possibles:
    • LINUX
    • Mac
    • WINDOWS
    • UNKNOWN_PLATFORM

Noun.platform_patch_level

  • Objectif:niveau de correctif du système d'exploitation de la plate-forme.
  • Encodage : chaîne alphanumérique avec ponctuation, 64 caractères maximum.
  • Exemple:Build 17134.48

Noun.platform_version

  • Objectif:version du système d'exploitation de la plate-forme.
  • Encodage:chaîne alphanumérique avec ponctuation, 64 caractères au maximum.
  • Exemple:Microsoft Windows 10 version 1803

Noun.process

Noun.ip

  • Objectif:
    • Adresse IP unique associée à une connexion réseau.
    • Une ou plusieurs adresses IP associées à l'appareil du participant au moment de l'événement (par exemple, si un produit EDR connaît toutes les adresses IP associées à un appareil, il peut toutes les encoder dans les champs IP).
  • Encodage:adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.
  • Répétabilité :
    • Si un événement décrit une connexion réseau spécifique (par exemple, srcip:srcport > dstip:dstport), le fournisseur ne doit fournir qu'une seule adresse IP.
    • Si un événement décrit une activité générale sur l'appareil du participant, mais pas une connexion réseau spécifique, le fournisseur peut fournir toutes les adresses IP associées à l'appareil au moment de l'événement.
  • Exemples:
    • 192.168.1.2
    • 2001:db8:1:3::1

Noun.port

  • Objectif:numéro de port réseau source ou de destination lorsqu'une connexion réseau spécifique est décrite dans un événement.
  • Encoding (Encodage) : numéro de port TCP/IP valide compris entre 1 et 65 535.

  • Exemples :

    • 80
    • 443

Noun.mac

  • Objectif:une ou plusieurs adresses MAC associées à un appareil.
  • Encodage:adresse MAC valide (EUI-48) au format ASCII.
  • Reproductibilité:le fournisseur peut fournir toutes les adresses MAC associées à l'appareil au moment de l'événement.
  • Exemples :
    • fedc:ba98:7654:3210:fedc:ba98:7654:3210
    • 1080:0:0:0:8:800:200c:417a
    • 00:a0:0:0:c9:14:c8:29

Noun.administrative_domain

  • Objectif:domaine auquel appartient l'appareil (par exemple, le domaine Windows).
  • Encodage:chaîne de nom de domaine valide (128 caractères maximum).
  • Exemple : corp.altostrat.com

Noun.registry

Noun.url

  • Objectif:URL standard
  • Encodage:URL (RFC 3986). Vous devez indiquer un préfixe de protocole valide (par exemple, https:// ou ftp://). Doit inclure le domaine complet et le chemin d'accès. Peut inclure les paramètres de l'URL.
  • Exemple:https://foo.altostrat.com/bletch?a=b;c=d

Noun.user

Remplissage des métadonnées Authentication

Authentication.AuthType

  • Objectif : type de système auquel un événement d'authentification est associé (UDM Google Security Operations).
  • Encoding (Encodage) : type énuméré.
  • Valeurs possibles :
    • AUTHTYPE_UNSPECIFIED
    • MACHINE : authentification de la machine
    • PHYSICAL : authentification physique (un lecteur de badge, par exemple)
    • SSO
    • TACACS : protocole de la famille TACACS pour l'authentification des systèmes en réseau (par exemple, TACACS ou TACACS+)
    • VPN

Authentication.Authentication_Status

  • Objectif:décrire le statut d'authentification d'un utilisateur ou d'identifiants spécifiques.
  • Encoding (Encodage) : type énuméré.
  • Valeurs possibles:
    • UNKNOWN_AUTHENTICATION_STATUS : état d'authentification par défaut
    • ACTIVE : la méthode d'authentification est active
    • SUSPENDED : la méthode d'authentification est suspendue ou désactivée
    • DELETED : la méthode d'authentification a été supprimée.
    • NO_ACTIVE_CREDENTIALS : la méthode d'authentification ne comporte aucun identifiant actif.

Authentication.auth_details

  • Objectif:informations d'authentification définies par le fournisseur.
  • Encodage:chaîne.

Authentication.Mechanism

  • Objectif:le ou les mécanismes utilisés pour l'authentification.
  • Encodage:type énuméré.
  • Valeurs possibles:
    • MECHANISM_UNSPECIFIED : mécanisme d'authentification par défaut
    • BADGE_READER
    • BATCH : authentification par lot.
    • CACHED_INTERACTIVE : authentification interactive à l'aide d'identifiants mis en cache.
    • HARDWARE_KEY
    • LOCAL
    • MECHANISM_OTHER : autre mécanisme non défini ici.
    • RÉSEAU : authentification réseau
    • NETWORK_CLEAR_TEXT : authentification en texte clair du réseau.
    • NEW_CREDENTIALS : authentification avec de nouveaux identifiants.
    • OTP
    • REMOTE : authentification à distance
    • REMOTE_INTERACTIVE : RDP, services de terminaux, Virtual Network Computing (VNC), etc.
    • SERVICE : authentification du service
    • DÉVERROUILLAGE : authentification directe pour le déverrouillage par intervention humaine
    • USERNAME_PASSWORD

Population de métadonnées DHCP

Les champs de métadonnées DHCP (Dynamic Host Control Protocol) capturent les informations de journal du protocole de gestion du réseau DHCP.

Dhcp.client_hostname

  • But : nom d'hôte du client. Pour en savoir plus, consultez le document RFC 2132 sur les options DHCP et les extensions de fournisseur BOOTP.
  • Encodage:chaîne.

Dhcp.client_identifier

  • Objectif:l'identifiant du client. Pour en savoir plus, consultez le document RFC 2132 sur les options DHCP et les extensions de fournisseur BOOTP.
  • Encodage:octets.

Dhcp.file

  • Objectif:nom du fichier de l'image de démarrage.
  • Encodage:chaîne.

Dhcp.flags

  • But : valeur du champ d'indicateurs DHCP.
  • Encodage : entier non signé de 32 bits.

Dhcp.hlen

  • Objectif:longueur de l'adresse matérielle.
  • Encodage : entier non signé de 32 bits.

Dhcp.hops

  • Objectif:nombre de sauts DHCP.
  • Encodage: entier non signé de 32 bits.

Dhcp.htype

  • Objectif:type d'adresse matérielle.
  • Encodage: entier non signé de 32 bits.

Dhcp.lease_time_seconds

  • Objectif:durée du bail demandé par le client pour une adresse IP en secondes. Pour en savoir plus, consultez le document RFC 2132 sur les options DHCP et les extensions de fournisseur BOOTP.
  • Encodage: entier non signé de 32 bits.

Dhcp.opcode

  • Objectif:code d'opération BOOTP (voir la section 3 de RFC 951).
  • Encodage:type énuméré.
  • Valeurs possibles:
    • UNKNOWN_OPCODE
    • BOOTREQUEST
    • RÉPONSE AU DÉBUT

Dhcp.requested_address

  • But : identifiant client. Pour en savoir plus, consultez le document RFC 2132 sur les options DHCP et les extensions de fournisseur BOOTP.
  • Encodage:adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.

Dhcp.seconds

  • Objectif:nombre de secondes écoulées depuis le début du processus d'acquisition ou de renouvellement de l'adresse par le client.
  • Encodage: entier non signé de 32 bits.

Dhcp.sname

  • Objectif:nom du serveur depuis lequel le client a demandé à démarrer.
  • Encodage:chaîne.

Dhcp.transaction_id

  • Finalité : ID de transaction client.
  • Encodage: entier non signé de 32 bits.

Dhcp.type

  • Objectif:type de message DHCP. Pour plus d'informations, consultez le document RFC 1533.
  • Encodage:type énuméré.
  • Valeurs possibles:
    • UNKNOWN_MESSAGE_TYPE
    • DÉCOUVRIR
    • OFFRE
    • DEMANDER
    • REFUSER
    • CONFIRMATION
    • NAK
    • RELEASE
    • INFORMER
    • WIN_DELECTED
    • WIN_EXPIRED

Dhcp.chaddr

  • Objectif:adresse IP du matériel client.
  • Encodage:adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.

Dhcp.ciaddr

  • Objectif:adresse IP du client.
  • Encodage : adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.

Dhcp.giaddr

  • Objectif:adresse IP de l'agent de relais.
  • Encodage:adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.

Dhcp.siaddr

  • Objectif:adresse IP du serveur d'amorçage suivant.
  • Encodage:adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.

Dhcp.yiaddr

  • Objectif:votre adresse IP.
  • Encodage:adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.

Population des métadonnées de l'option DHCP

Les champs de métadonnées des options DHCP capturent les informations de journal des options DHCP.

Option.code

  • Objectif:stocke le code d'option DHCP. Pour en savoir plus, consultez le document RFC 1533 sur les options DHCP et les extensions de fournisseur BOOTP.
  • Encodage:entier 32 bits non signé.

Option.data

  • Objectif:stocker les données de l'option DHCP. Pour en savoir plus, consultez le document RFC 1533 sur les options DHCP et les extensions de fournisseur BOOTP.
  • Encodage:octets.

Remplissage des métadonnées DNS

Les champs de métadonnées DNS capturent les informations liées aux paquets de requêtes et de réponses DNS. Ils ont une correspondance un à un avec les données trouvées dans les datagrammes de requête et de réponse DNS.

Dns.authoritative

  • Objectif:définir la valeur sur "true" pour les serveurs DNS faisant autorité.
  • Encodage : booléen.

Dns.id

  • Objectif:stocker l'identifiant de la requête DNS.
  • Encodage:entier 32 bits.

Dns.response

  • Objectif:à définir sur "true" si l'événement est une réponse DNS.
  • Encodage:booléen.

Dns.opcode

  • Objectif:stocke le code d'opération DNS utilisé pour spécifier le type de requête DNS (standard, inverse, état du serveur, etc.).
  • Encodage:entier 32 bits.

Dns.recursion_available

  • Objectif:défini sur "true" si une résolution DNS récursive est disponible.
  • Encodage:booléen.

Dns.recursion_desired

  • Objectif:défini sur "true" si une résolution DNS récursive est demandée.
  • Encodage:booléen.

Dns.response_code

  • Objectif:stocke le code de réponse DNS tel que défini par la norme RFC 1035 intitulée "Domain Names - Implementation and Specification".
  • Encodage:entier 32 bits.

Dns.truncated

  • Objectif:à définir sur "true" s'il s'agit d'une réponse DNS tronquée.
  • Encodage : booléen.

Dns.questions

Dns.answers

Dns.authority

Dns.additional

Population des métadonnées des questions DNS

Les champs de métadonnées de la question DNS capturent les informations contenues dans la section "Question" d'un message de protocole de domaine.

Question.name

  • Objectif:stocker le nom de domaine.
  • Encodage : chaîne.

Question.class

  • Objectif:stocke le code spécifiant la classe de la requête.
  • Encodage:entier 32 bits.

Question.type

  • Objectif:stocke le code spécifiant le type de requête.
  • Encodage:entier 32 bits.

Remplissage des métadonnées d'enregistrement de ressources DNS

Les champs de métadonnées de l'enregistrement de ressources DNS capturent les informations contenues dans l'enregistrement de ressources d'un message de protocole de domaine.

ResourceRecord.binary_data

  • Objectif:stocker les octets bruts de toutes les chaînes non UTF8 pouvant être incluses dans une réponse DNS. Ce champ ne doit être utilisé que si les données de réponse renvoyées par le serveur DNS contiennent des données non UTF8. Sinon, placez la réponse DNS dans le champ de données ci-dessous. Ce type d'informations doit être stocké ici plutôt que dans ResourceRecord.data.

  • Encodage:octets.

ResourceRecord.class

  • Objectif:stocke le code spécifiant la classe de l'enregistrement de ressources.
  • Encodage:entier 32 bits.

ResourceRecord.data

  • But : stocke la charge utile ou la réponse à la question DNS pour toutes les réponses encodées au format UTF-8. Par exemple, le champ de données peut renvoyer l'adresse IP de la machine à laquelle le nom de domaine fait référence. Si l'enregistrement de ressources est d'un type ou d'une classe différents, il peut contenir un autre nom de domaine (lorsqu'un nom de domaine est redirigé vers un autre nom de domaine). Les données doivent être stockées telles quelles dans la réponse DNS.
  • Encodage : chaîne.

ResourceRecord.name

  • Objectif:stocker le nom du propriétaire de l'enregistrement de ressources.
  • Encodage:chaîne.

ResourceRecord.ttl

  • Objectif:stocker l'intervalle de temps pendant lequel l'enregistrement de ressources peut être mis en cache avant que la source des informations ne doive être à nouveau interrogée.
  • Encodage : entier 32 bits.

ResourceRecord.type

  • Objectif:stocke le code spécifiant le type d'enregistrement de ressources.
  • Encodage:entier 32 bits.

Remplissage des métadonnées d'e-mail

La plupart des champs "Email Metadata" (Métadonnées de messagerie) capturent les adresses e-mail incluses dans l'en-tête du message et doivent être conformes au format d'adresse e-mail standard (local-mailbox@domain), tel que défini dans le document RFC 5322. Par exemple, franck@email.example.com.

Email.from

  • Objectif:stocke l'adresse e-mail from.
  • Encodage : chaîne.

Email.reply_to

  • Objectif:stocke l'adresse e-mail reply_to.
  • Encodage:chaîne.

Email.to

  • Objectif:stocker les adresses e-mail to.
  • Encodage:chaîne.

Email.cc

  • Objectif:stocker les adresses e-mail en Cc
  • Encodage:chaîne.

Email.bcc

  • Objectif:stocke les adresses e-mail en Cci.
  • Encodage:chaîne.

Email.mail_id

  • Objectif:stocke l'identifiant de l'e-mail (ou du message).
  • Encodage:chaîne.
  • Exemple:192544.132632@email.example.com

Email.subject

  • Objectif:stocke l'objet de l'e-mail.
  • Encodage:chaîne.
  • Exemple : "Veuillez lire ce message."

Remplissage des métadonnées des extensions

Types d'événements avec des métadonnées de première classe qui ne sont pas encore catégorisés par l'UDM de Google Security Operations. Extensions.auth

  • Objectif:extension des métadonnées d'authentification.
  • Encodage:chaîne.
  • Exemples:
    • Métadonnées de bac à sable (tous les comportements présentés par un fichier, par exemple FireEye).
    • Données de contrôle d'accès au réseau (NAC).
    • Informations LDAP sur un utilisateur (par exemple, rôle, organisation, etc.)

Extensions.auth.auth_details

  • Objectif:spécifier les informations spécifiques au fournisseur pour le type ou le mécanisme d'authentification Les fournisseurs d'authentification définissent souvent des types tels que via_mfa ou via_ad qui fournissent des informations utiles sur le type d'authentification. Ces types peuvent toujours être généralisés dans auth.type ou auth.mechanism pour plus de facilité d'utilisation et de compatibilité avec les règles inter-ensembles de données.
  • Encodage:chaîne.
  • Exemples:via_mfa, via_ad.

Extensions.vulns

  • Objectif:extension aux métadonnées des failles.
  • Encodage : chaîne.
  • Exemple:
    • Données d'analyse des failles de l'hôte.

Remplissage des métadonnées du fichier

File.file_metadata

  • Finalité : métadonnées associées au fichier.
  • Encodage:chaîne.
  • Exemples:
    • Auteur
    • Numéro de révision
    • Numéro de version
    • Date du dernier enregistrement

File.full_path

  • Objectif:chemin d'accès complet identifiant l'emplacement du fichier sur le système.
  • Encodage:chaîne.
  • Exemple : \Program Files\Custom Utilities\Test.exe

File.md5

  • But : valeur de hachage MD5 du fichier.
  • Encodage:chaîne, hexadécimale minuscule.
  • Exemple:35bf623e7db9bf0d68d0dda764fd9e8c

File.mime_type

  • Objectif:type MIME (Multipurpose Internet Mail Extensions) du fichier.
  • Encodage : chaîne.
  • Exemples:
    • PE
    • PDF
    • script PowerShell

File.sha1

  • Objectif:valeur de hachage SHA-1 du fichier.
  • Encodage:chaîne, hexadécimale minuscule.
  • Exemple:eb3520d53b45815912f2391b713011453ed8abcf

File.sha256

  • Objectif:valeur de hachage SHA-256 du fichier.
  • Encodage:chaîne, hexadécimale minuscule.
  • Exemple :
    • D7173c568b8985e61b4050f81b3fd8e75bc922d2a0843d7079c81ca4b6e36417

File.size

  • Objectif:taille du fichier.
  • Encodage : entier non signé de 64 bits.
  • Exemple:342135.

Remplissage des métadonnées FTP

Ftp.command

  • Objectif:stocker la commande FTP.
  • Encodage:chaîne.
  • Exemples:
    • binary
    • delete
    • get
    • put

Population des métadonnées du groupe

Informations sur un groupe organisationnel.

Group.creation_time

  • Objectif:heure de création du groupe.
  • Encodage:RFC 3339, selon le format d'horodatage JSON ou Proto3.

Group.email_addresses

  • Objectif:les coordonnées du groupe.
  • Encodage:e-mail.

Group.group_display_name

  • But : nom à afficher du groupe.
  • Encodage:chaîne.
  • Exemples:
    • Finance
    • RH
    • Marketing

Group.product_object_id

  • Objectif:identifiant d'objet utilisateur unique global pour le produit, tel qu'un identifiant d'objet LDAP.
  • Encodage : chaîne.

Group.windows_sid

  • Objectif:champ d'attribut de groupe de l'identifiant de sécurité Microsoft Windows (SID).
  • Encodage:chaîne.

Remplissage des métadonnées HTTP

Http.method

  • Objectif:stocke la méthode de requête HTTP.
  • Encodage:chaîne.
  • Exemples:
    • GET
    • HEAD
    • POST

Http.referral_url

  • Objectif:stocker l'URL pour l'URL de provenance HTTP.
  • Encodage:URL RFC 3986 valide.
  • Exemple:https://www.altostrat.com

Http.response_code

  • Objectif:stocke le code d'état de la réponse HTTP, qui indique si une requête HTTP spécifique a bien été exécutée.
  • Encodage:entier 32 bits.
  • Exemples:
    • 400
    • 404

Http.user_agent

  • Objectif:stocke l'en-tête de requête user-agent qui inclut le type d'application, le système d'exploitation, le fournisseur du logiciel ou la version du user-agent logiciel à l'origine de la demande.
  • Encodage:chaîne.
  • Exemples:
    • Mozilla/5.0 (X11; Linux x86_64)
    • AppleWebKit/534.26 (KHTML, par exemple Gecko)
    • Chrome/41.0.2217.0
    • Safari/527.33

Remplissage des métadonnées de lieu

Location.city

  • Objectif:stocke le nom de la ville.
  • Encodage:chaîne.
  • Exemples:
    • Sunnyvale
    • Chicago
    • Malaga

Location.country_or_region

  • Objectif:stocker le nom du pays ou de la région du monde.
  • Encodage:chaîne.
  • Exemples:
    • États-Unis
    • Royaume-Uni
    • Espagne

Location.name

  • Objectif:stocke le nom spécifique à l'entreprise, comme un bâtiment ou un campus.
  • Encodage:chaîne.
  • Exemples :
    • Campus 7B
    • Bâtiment A2

Location.state

  • Objectif:stocker le nom de l'État, de la province ou du territoire.
  • Encodage:chaîne.
  • Exemples:
    • Californie
    • Illinois
    • Ontario

Remplissage des métadonnées du réseau

Network.application_protocol

  • Purpose (But) : indique le protocole d'application réseau.
  • Encoding (Encodage) : type énuméré.
  • Valeurs possibles:
    • UNKNOWN_APPLICATION_PROTOCOL
    • QUIC
    • HTTP
    • HTTPS
    • DNS
    • DHCP

Network.direction

  • Objectif:indiquer le sens du trafic réseau
  • Encodage:type énuméré.
  • Valeurs possibles:
    • UNKNOWN_DIRECTION
    • INBOUND
    • SORTIE
    • DIFFUSION

Network.email

  • Objectif:spécifie l'adresse e-mail de l'expéditeur/du destinataire.
  • Encodage:chaîne.
  • Exemple:jcheng@entreprise.example.com

Network.ip_protocol

  • Objectif:indique le protocole IP.
  • Encoding (Encodage) : type énuméré.
  • Valeurs possibles:
    • UNKNOWN_IP_PROTOCOL
    • EIGRP (Enhanced Interior Gateway Routing Protocol)
    • ESP (Encapsulating Security Payload)
    • ETHEIP – Encapsulation Ethernet-au sein de l'adresse IP
    • GRE : encapsulation de routage générique
    • ICMP (Internet Control Message Protocol)
    • IGMP : protocole de gestion des groupes Internet
    • IP6IN4 : encapsulation IPv6
    • PIM : multidiffusion indépendante du protocole
    • TCP : protocole TCP
    • UDP : protocole de datagramme utilisateur
    • VRRP : protocole de redondance du routeur virtuel

Network.received_bytes

  • Objectif:spécifier le nombre d'octets reçus.
  • Encodage: entier non signé de 64 bits.
  • Exemple:12 453 654 768

Network.sent_bytes

  • Objectif:spécifier le nombre d'octets envoyés.
  • Encodage: entier non signé de 64 bits.
  • Exemple:7 654 876

Network.session_duration

  • Objectif:stocke la durée de la session réseau, généralement renvoyée lors d'un événement d'abandon pour la session. Pour définir la durée, vous pouvez définir network.session_duration.seconds = 1 (type int64) ou network.session_duration.nanos = 1 (type int32).
  • Encodage:
    • Entier 32 bits : pour les secondes (network.session_duration.seconds).
    • Entier 64 bits : pour les nanosecondes (network.session_duration.nanos).

Network.session_id

  • Objectif:stocker l'identifiant de session réseau.
  • Encodage : chaîne.
  • Exemple:SID:ANON:www.w3.org:j6oAOxCWZh/CD723LGeXlf-01:34

Remplissage des métadonnées du processus

Process.command_line

  • Objectif:stocke la chaîne de ligne de commande du processus.
  • Encodage:chaîne.
  • Exemple:groupe c:\windows\system32\net.exe

Process.product_specific_process_id

  • But : stocke l'ID de processus spécifique au produit.
  • Encodage:chaîne.
  • Exemples : MySQL:78778 ou CS:90512

Process.parent_process.product_specific_process_id

  • But : stocke l'ID de processus spécifique au produit pour le processus parent.
  • Encodage:chaîne.
  • Exemples : MySQL:78778 ou CS:90512

Process.file

  • But : stocke le nom du fichier utilisé par le processus.
  • Encodage:chaîne.
  • Exemple:report.xls

Process.parent_process

  • Objectif:stocke les détails du processus parent.
  • Encodage:nom (processus)

Process.pid

  • Objectif:stocke l'ID du processus.
  • Encodage:chaîne.
  • Exemples:
    • 308
    • 2002

Remplissage des métadonnées du registre

Registry.registry_key

  • Objectif:stocke la clé de registre associée à une application ou à un composant système.
  • Encodage:chaîne.
  • Exemple : HKEY_LOCAL_MACHINE/SYSTEM/DriverDatabase

Registry.registry_value_name

  • Objectif:stocke le nom de la valeur de registre associée à une application ou à un composant système.
  • Encodage:chaîne.
  • Exemple:TEMP

Registry.registry_value_data

  • Objectif:stocke les données associées à une valeur de registre.
  • Encodage : chaîne.
  • Exemple : %NOMUTILISATEUR%\Local Settings\Temp

Insertion des métadonnées des résultats de sécurité

Les métadonnées des résultats de sécurité comprennent des détails sur les risques et les menaces de sécurité détectés par un système de sécurité, ainsi que sur les mesures prises pour les atténuer.

SecurityResult.about

  • Objectif:fournir une description du résultat lié à la sécurité.
  • Encodage:nom.

SecurityResult.action

  • Objectif:spécifier une action de sécurité
  • Encodage:type énuméré.
  • Valeurs possibles:l'UDM Google Security Operations définit les actions de sécurité suivantes:
    • AUTORISER
    • ALLOW_WITH_MODIFICATION : le fichier ou l'e-mail a été désinfecté ou réécrit, puis toujours transféré.
    • BLOQUER
    • QUARANTAINE : stocker pour analyse ultérieure (ne signifie pas bloquer).
    • UNKNOWN_ACTION

SecurityResult.action_details

  • Objectif:détails fournis par le fournisseur sur les mesures prises à la suite de l'incident de sécurité. Les actions de sécurité se traduisent souvent mieux dans le champ UDM plus général Security_Result.action. Toutefois, vous devrez peut-être écrire des règles pour la description exacte de l'action fournie par le fournisseur.
  • Encodage : chaîne.
  • Exemples:déposer, bloquer, déchiffrer, chiffrer.

SecurityResult.category

  • Objectif:spécifier une catégorie de sécurité.
  • Encodage:énumération.
  • Valeurs possibles:l'UDM de Google Security Operations définit les catégories de sécurité suivantes:
    • ACL_VIOLATION : tentative d'accès non autorisé, y compris à des fichiers, des services Web, des processus, des objets Web, etc.
    • AUTH_VIOLATION : échec de l'authentification (mot de passe ou authentification à deux facteurs incorrects, par exemple).
    • DATA_AT_REST: données de capteurs détectées au repos lors d'une analyse
    • DATA_DESTRUCTION : tente de détruire ou de supprimer des données.
    • DATA_EXFILTRATION : protection contre la perte de données : transmission des données du capteur, copie sur la clé USB.
    • EXPLOIT : tentatives de dépassement, mauvais encodages de protocoles, ROP, injection SQL, etc., basés sur le réseau et sur l'hôte.
    • MAIL_PHISHING : e-mails de phishing, messages de chat, etc.
    • MAIL_SPAM : spam dans les e-mails, les messages, etc.
    • MAIL_SPOOFING : adresse e-mail source falsifiée, etc.
    • NETWORK_CATEGORIZED_CONTENT
    • NETWORK_COMMAND_AND_CONTROL : si le canal de commande et de contrôle est connu
    • NETWORK_DENIAL_OF_SERVICE
    • NETWORK_MALICIOUS : commande et contrôle, exploitation de réseau, activité suspecte, tunnel inverse potentiel, etc.
    • NETWORK_SUSPICIOUS : non lié à la sécurité (par exemple, l'URL est liée à des jeux d'argent et de hasard, etc.)
    • NETWORK_RECON : analyse de ports détectée par un IDS, vérifiée par une application Web.
    • POLICY_VIOLATION : non-respect des règles de sécurité, y compris des règles de pare-feu, de proxy et de HIPS, ou actions de blocage du NAC.
    • SOFTWARE_MALICIOUS : logiciels malveillants, logiciels espions, rootkits, etc.
    • LOGICIEL_PUA : application potentiellement indésirable, comme un logiciel publicitaire, etc.
    • SOFTWARE_SUSPICIOUS
    • UNKNOWN_CATEGORY

SecurityResult.confidence

  • Objectif:spécifier le niveau de confiance par rapport à un événement de sécurité, tel qu'estimé par le produit.
  • Encodage:énumération.
  • Valeurs possibles:l'UDM de Google Security Operations définit les catégories de confiance suivantes pour les produits:
    • UNKNOWN_CONFIDENCE
    • LOW_CONFIDENCE
    • MEDIUM_CONFIDENCE
    • HIGH_CONFIDENCE

SecurityResult.confidence_details

  • Objectif:informations supplémentaires concernant le niveau de confiance d'un événement de sécurité, tel qu'estimé par le fournisseur du produit.
  • Encodage:chaîne.

SecurityResult.priority

  • But : spécifier une priorité pour un événement de sécurité, telle qu'elle est estimée par le fournisseur du produit.
  • Encodage:énumération.
  • Valeurs possibles : Google Security Operations UTM définit les catégories de priorité de produit suivantes :
    • UNKNOWN_PRIORITY
    • LOW_PRIORITY
    • MEDIUM_PRIORITY
    • HIGH_PRIORITY

SecurityResult.priority_details

  • Objectif:informations spécifiques au fournisseur concernant la priorité des résultats de sécurité.
  • Encodage:chaîne.

SecurityResult.rule_id

  • Objectif:identifiant de la règle de sécurité.
  • Encodage:chaîne.
  • Exemples:
    • 08123
    • 5d2b44d0-5ef6-40f5-a704-47d61d3babbe

SecurityResult.rule_name

  • Objectif:nom de la règle de sécurité.
  • Encodage:chaîne.
  • Exemple : BlockInboundToOracle.

SecurityResult.severity

  • Objectif:gravité d'un événement de sécurité, telle qu'estimée par le fournisseur du produit à l'aide des valeurs définies par l'UDM de Google Security Operations.
  • Encodage : énumération.
  • Valeurs possibles:l'UDM de Google Security Operations définit les niveaux de gravité suivants pour les produits:
    • UNKNOWN_SEVERITY : contenu non malveillant
    • À TITRE D'INFORMATION – Contenu non malveillant
    • ERREUR : contenu non malveillant
    • FAIBLE : malveillant
    • MOYENNE – Malveillance
    • HIGH – Contenu malveillant

SecurityResult.severity_details

  • Objectif:gravité d'un événement lié à la sécurité, telle qu'estimée par le fournisseur du produit.
  • Encodage:chaîne.

SecurityResult.threat_name

  • Objectif:nom de la menace de sécurité.
  • Encodage:chaîne.
  • Exemples:
    • W32/File-A
    • Slammer

SecurityResult.url_back_to_product

  • Objectif:URL vous permettant d'accéder à la console du produit source pour cet événement lié à la sécurité.
  • Encodage:chaîne.

Remplissage des métadonnées de l'utilisateur

User.email_addresses

  • Objectif:stocker les adresses e-mail de l'utilisateur
  • Encodage:chaîne répétée.
  • Exemple:johnlocke@company.example.com

User.employee_id

  • Objectif:stocke l'ID employé des ressources humaines de l'utilisateur.
  • Encodage : chaîne.
  • Exemple:11223344.

User.first_name

  • Objectif:stocker le prénom de l'utilisateur.
  • Encodage:chaîne.
  • Exemple:Jean.

User.middle_name

  • Objectif:stocker le deuxième prénom de l'utilisateur.
  • Encodage:chaîne.
  • Exemple:Anthony.

User.last_name

  • But : stocke le nom de famille de l'utilisateur.
  • Encodage:chaîne.
  • Exemple : Locke.

User.group_identifiers

  • But : stocke le ou les ID de groupe (GUID, OID LDAP ou autre) associés à un utilisateur.
  • Encodage:chaîne répétée.
  • Exemple:administrateurs-utilisateurs.

User.phone_numbers

  • Objectif:stocker les numéros de téléphone des utilisateurs.
  • Encodage:chaîne répétée.
  • Exemple:800-555-0101

User.title

  • Objectif:stocke l'intitulé du poste de l'utilisateur.
  • Encodage:chaîne.
  • Exemple:Gestionnaire de la relation client.

User.user_display_name

  • Objectif:stocker le nom à afficher de l'utilisateur
  • Encodage:chaîne.
  • Exemple:John Locke.

User.userid

  • Objectif:stocke l'ID utilisateur.
  • Encodage : chaîne.
  • Exemple:jlocke.

User.windows_sid

  • Objectif:stocke l'identifiant de sécurité (SID) Microsoft Windows associé à un utilisateur.
  • Encodage:chaîne.
  • Exemple:S-1-5-21-1180649209-123456789-3582944384-1064

Population des métadonnées de vulnérabilité

Vulnerability.about

  • Objectif:Si la faille concerne un nom spécifique (par exemple, un exécutable), ajoutez-le ici.
  • Encodage:nom. Voir Métadonnées Population de noms
  • Exemple:exécutable.

Vulnerability.cvss_base_score

  • Objectif : score de base du Common Vulnerability Scoring System (CVSS).
  • Encodage:virgule flottante.
  • Plage:0,0 à 10,0
  • Exemple:8,5

Vulnerability.cvss_vector

  • Objectif:Vecteur des propriétés CVSS de la faille. Un score CVSS se compose des métriques suivantes :

    • Vecteur d'attaque (AV)
    • Complexité de l'accès
    • Authentification (AU)
    • Impact sur la confidentialité (C)
    • Impact sur l'intégrité (I)
    • Impact sur la disponibilité (A)

    Pour en savoir plus, consultez la page https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator.

  • Encodage:chaîne.

  • Exemple : AV:L/AC:H/Au:N/C:N/I:P/A:C

Vulnerability.cvss_version

  • Objectif:version CVSS du vecteur ou du score de faille.
  • Encodage:chaîne.
  • Exemple:3.1

Vulnerability.description

  • Objectif:description de la faille.
  • Encodage : chaîne.

Vulnerability.first_found

  • Objectif:les produits qui conservent un historique des analyses de failles doivent indiquer "first_found" avec l'heure à laquelle la faille de cet élément a été détectée pour la première fois.
  • Encodage : chaîne.

Vulnerability.last_found

  • Objectif:les produits qui conservent un historique des analyses de failles doivent renseigner le champ last_found avec l'heure à laquelle la faille de cet élément a été détectée pour la dernière fois.
  • Encodage:chaîne.

Vulnerability.name

  • Objectif:nom de la faille.
  • Encodage:chaîne.
  • Exemple : Version d'OS non compatible détectée.

Vulnerability.scan_end_time

  • But : si la faille a été détectée lors d'une analyse des éléments, renseignez ce champ avec l'heure à laquelle l'analyse s'est terminée. Laissez ce champ vide si l'heure de fin n'est pas disponible ou n'est pas applicable.
  • Encodage:chaîne.

Vulnerability.scan_start_time

  • But : si la faille a été détectée lors d'une analyse des composants, renseignez ce champ avec l'heure de début de l'analyse. Laissez ce champ vide si l'heure de début n'est pas disponible ou n'est pas applicable.
  • Encodage : chaîne.

Vulnerability.severity

  • Objectif:gravité de la faille.
  • Encodage:type énuméré.
  • Valeurs possibles:
    • UNKNOWN_SEVERITY
    • FAIBLE
    • MOYENNE
    • ÉLEVÉ

Vulnerability.severity_details

  • Objectif:détails sur le niveau de gravité spécifique au fournisseur.
  • Encodage:chaîne.

Remplissage des métadonnées d'alerte

idm.is_significant

  • But : indique si l'alerte doit s'afficher dans Enterprise Insights.
  • Encodage:booléen

idm.is_alert

  • Objectif:détermine si l'événement est une alerte.
  • Encodage:booléen

Champs obligatoires et facultatifs en fonction du type d'événement

Cette section décrit les champs obligatoires et facultatifs à renseigner. en fonction du type d'événement UDM. Pour obtenir une description de ces champs, consultez la liste des champs du modèle de données unifié.

EMAIL_TRANSACTION

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal : renseignez-le avec des informations sur la machine à partir de laquelle le message d'e-mail a été envoyé. Par exemple, l'adresse IP de l'expéditeur.

Champs facultatifs :

  • about: URL, adresses IP, domaines et pièces jointes incluses dans le dans le corps de l'e-mail.
  • securityResult.about: URL, adresses IP et fichiers non valides intégrés dans l'e-mail .
  • network.email : informations sur l'expéditeur/le destinataire de l'e-mail.
  • principal: s'il existe des données sur la machine cliente concernant l'expéditeur de l'e-mail, renseigner les informations relatives au serveur dans le compte principal (par exemple, le processus client, numéros de port, nom d'utilisateur, etc.).
  • target: s'il existe des données sur le serveur de messagerie de destination, indiquez les valeurs du serveur détails de la cible (par exemple, l'adresse IP).
  • intermediary (intermédiaire) : s'il existe des données de serveur de messagerie ou de proxy de messagerie, indiquez la valeur les détails du serveur dans l'intermédiaire.

Remarques :

  • Ne renseignez jamais principal.email ni target.email.
  • Renseignez uniquement le champ d'adresse e-mail dans security_result.about. ou network.email.
  • Les résultats de sécurité de niveau supérieur comportent généralement un nom (facultatif pour le spam).

FILE_CREATION, FILE_DELETION, FILE_MODIFICATION, FILE_READ et FILE_OPEN

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal :
    • Au moins un identifiant de machine.
    • (Facultatif) Renseignez principal.process avec des informations sur le processus accédant au fichier.
  • target:
    • Si le fichier est à distance (partage SMB, par exemple), la cible doit inclure au moins un identifiant pour la machine cible, sinon tous les identifiants de machine doivent être vides.
    • Renseignez target.file avec les informations sur le fichier.

Facultatif :

  • security_result : décrit l'activité malveillante détectée.
  • principal.user: à renseigner si des informations utilisateur sont disponibles concernant le processus.

FILE_COPY

Champs obligatoires :

  • metadata: incluez les champs obligatoires comme décrit.
  • principal:
    • Au moins un identifiant de machine.
    • (Facultatif) Renseignez principal.process avec des informations relatives à la méthode exécutant l'opération de copie de fichier.
  • src:
    • Renseignez src.file avec les informations du fichier source.
    • Si le fichier est distant (par exemple, un partage SMB), src doit inclure au moins un identifiant de machine pour la machine source qui stocke le fichier source.
  • target:
    • Renseignez target.file avec des informations sur le fichier cible.
    • Si le fichier est à distance (partage SMB, par exemple), le champ target doit incluez au moins un identifiant de machine pour la machine cible qui contient le fichier cible.

Champs facultatifs :

  • security_result: décrivez l'activité malveillante détectée.
  • principal.user: à renseigner si des informations utilisateur sont disponibles concernant le processus.

MUTEX_CREATION

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal :
    • Au moins un identifiant de machine.
    • Insérer principal.process avec des informations sur la création du processus le mutex.
  • target:
    • Renseignez target.resource.
    • Renseignez target.resource.type avec MUTEX.
    • Dans target.resource.name, indiquez le nom du mutex créé.

Facultatif :

  • security_result : décrit l'activité malveillante détectée.
  • principal.user : renseignez ce champ si des informations utilisateur sont disponibles sur le processus.
Exemple de UDM pour MUTEX_CREATION

L'exemple suivant montre comment un événement de type MUTEX_CREATION serait formaté pour l'UDM Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: MUTEX_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.altostrat.com"
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  resource {
    type: "MUTEX"
    name: "test-mutex"
  }
}

Comme le montre cet exemple, l'événement a été divisé en trois catégories : catégories:

  • metadata : informations générales sur l'événement.
  • principal: détails de l'appareil et du processus.
  • target: informations sur le mutex.

NETWORK_CONNECTION

Champs obligatoires :

  • metadata: event_timestamp
  • principal : inclut des informations sur la machine qui a initié la connexion réseau (par exemple, la source).
  • target: inclut les détails sur la machine cible si différents de machine principale.
  • network: capturez les détails de la connexion réseau (ports, protocole, etc.).

Champs facultatifs :

  • principal.process et target.process : incluent les informations de processus associées au principal et à la cible de la connexion réseau (le cas échéant).
  • principal.user et target.user: incluent les informations utilisateur associées avec le compte principal et la cible de la connexion réseau (le cas échéant).

NETWORK_HTTP

Le type d'événement NETWORK_HTTP représente une connexion réseau HTTP entre un compte principal le serveur Web cible.

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal : représente le client qui lance la requête Web et inclut au moins un identifiant de machine (par exemple, nom d'hôte, adresse IP, adresse MAC, identifiant d'un élément propriétaire) ou un identifiant utilisateur (par exemple, nom d'utilisateur). Si un connexion réseau spécifique est décrite et un numéro de port client est disponible, une seule adresse IP doit être spécifiée avec le numéro de port associées à cette connexion réseau (bien que d'autres identifiants de machines afin de mieux décrire l'appareil du participant). Si aucune source est disponible, toutes les adresses IP et MAC, les identifiants d'éléments et des valeurs de nom d'hôte décrivant l'appareil principal ont pu être spécifiées.
  • target: représente le serveur Web, et inclut les informations provenant des appareils et éventuellement un numéro de port. Si un numéro de port cible est disponible, spécifiez uniquement une adresse IP en plus du numéro de port associé à ce réseau (bien que plusieurs autres identifiants de machine puissent être fournis pour la cible). Pour target.url, indiquez l'URL consultée.
  • network et network.http: incluent les détails du réseau HTTP. . Vous devez renseigner les champs suivants:
    • network.ip_protocol
    • network.application_protocol
    • network.http.method

Champs facultatifs :

  • about: représente d'autres entités trouvées dans la transaction HTTP (par par exemple, un fichier importé ou téléchargé).
  • intermediary (intermédiaire) : représente un serveur proxy (s'il est différent du compte principal). ou cible).
  • metadata: renseignez les autres champs de métadonnées.
  • network: renseignez les autres champs du réseau.
  • network.email : si la connexion réseau HTTP provient d'une URL qui est apparue dans un e-mail, renseignez network.email avec les détails.
  • observer: représente un outil de détection passif (le cas échéant).
  • security_result : ajoutez un ou plusieurs éléments au champ security_result pour représenter l'activité malveillante détectée.
Exemple UDM pour NETWORK_HTTP

L'exemple suivant montre comment un événement antivirus Sophos de type NETWORK_HTTP serait converti au format UDM de Google Security Operations.

Voici l'événement antivirus Sophos d'origine:

date=2013-08-07 time=13:27:41 timezone="GMT" device_name="CC500ia" device_id= C070123456-ABCDE log_id=030906208001 log_type="Anti-Virus" log_component="HTTP" log_subtype="Virus" status="" priority=Critical fw_rule_id=0 user_name="john.smith" iap=7 av_policy_name="" virus="TR/ElderadoB.A.78" url="altostrat.fr/img/logo.gif" domainname="altostrat.fr" src_ip=10.10.2.10 src_port=60671 src_country_code= dst_ip=203.0.113.31 dst_port=80 dst_country_code=FRA

Voici comment mettre en forme les mêmes informations dans Proto3 en utilisant Google Security Operations Syntaxe UDM:

metadata {
  event_timestamp: "2013-08-07T13:27:41+00:00"
  event_type: NETWORK_HTTP
  product_name: "Sophos Antivirus"
  product_log_id: "030906208001"
}

principal {
  hostname: "CC500ia"
  asset_id: "Sophos.AV:C070123456-ABCDE"
  ip: "10.10.2.10"
  port: 60671
  user {  userid: "john.smith" }
}

target {
  hostname: "altostrat.fr"
  ip: "203.0.113.31"
  port: 80
  url: "altostrat.fr/img/logo.gif"
}

network {
  ip_protocol: TCP
 }

security_result {
  about {
    url: "altostrat.fr/img/logo.gif"
    category: SOFTWARE_MALICIOUS
    category_details: "Virus"
    threat_name: "TR/ElderadoB.A.78"
    severity: HIGH                   # Google Security Operations-normalized severity
    severity_details: "Critical"    # Vendor-specific severity string
  }
}

additional { "dst_country_code" : "FRA", "iap" : "7" "fw_rule_id" : "0" }

Comme le montre cet exemple, l'événement a été divisé en trois catégories : catégories:

  • métadonnées: informations générales sur l'événement.
  • principal : appareil de sécurité qui a détecté l'événement.
  • target : appareil ayant reçu le logiciel malveillant.
  • network: informations réseau concernant l'hôte malveillant.
  • security_result: informations relatives à la sécurité du logiciel malveillant.
  • supplémentaires: informations sur les fournisseurs qui ne relèvent actuellement pas du champ d'application de l'UDM.

PROCESS_INJECTION, PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_TERMINATION, PROCESS_UNCATEGORIZED

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal :
    • Au moins un identifiant de machine
    • Pour les événements d'injection et d'arrêt de processus, le cas échéant, principal.process doit inclure des informations sur le processus qui déclenche l'action (par exemple, pour un événement de lancement de processus, principal.process doit inclure des informations sur le processus parent, le cas échéant).
  • target:
    • target.process: inclut des informations sur le processus en cours. injectée, ouverte, lancée ou arrêtée.
    • Si le processus cible est distant, la cible doit inclure au moins un des l'identifiant de la machine cible (par exemple, une adresse IP, adresse MAC, nom d'hôte ou identifiant d'élément tiers).

Champs facultatifs :

  • security_result: décrivez l'activité malveillante détectée.
  • principal.user et target.user: renseignent le processus de lancement. (principal) et le processus cible si les informations sur l'utilisateur sont disponibles.
Exemple de UDM pour PROCESS_LAUNCH

L'exemple suivant montre comment mettre en forme un événement PROCESS_LAUNCH. à l'aide de la syntaxe UDM de Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_LAUNCH
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Comme le montre cet exemple, l'événement a été divisé en trois catégories : catégories:

  • métadonnées: informations générales sur l'événement.
  • principal: Détails de l'appareil.
  • target : détails du traitement.

PROCESS_MODULE_LOAD

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal :
    • Au moins un identifiant de machine.
    • principal.process: processus lors du chargement du module.
  • target:
    • target.process: comprend des informations sur le processus.
    • target.process.file: module chargé (par exemple, la DLL ou un fichier ).

Champs facultatifs :

  • security_result: décrivez l'activité malveillante détectée.
  • principal.user: à renseigner si des informations utilisateur sont disponibles concernant le processus.
Exemple de UDM pour PROCESS_MODULE_LOAD

L'exemple suivant montre comment mettre en forme un PROCESS_MODULE_LOAD à l'aide de la syntaxe UDM de Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_MODULE_LOAD
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Comme le montre cet exemple, l'événement a été divisé en trois catégories : catégories:

  • métadonnées: informations générales sur l'événement.
  • principal : informations sur l'appareil et le processus de chargement du module.
  • target : détails du processus et du module.

PROCESS_PRIVILEGE_ESCALATION

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal :
    • Au moins un identifiant de machine.
    • principal.process: processus lors du chargement du module.
    • principal.user: utilisateur chargeant le module.

Champs facultatifs :

  • security_result: décrivez l'activité malveillante détectée.
Exemple de UDM pour PROCESS_PRIVILEGE_ESCALATION

L'exemple suivant montre comment mettre en forme un PROCESS_PRIVILEGE_ESCALATION à l'aide de la syntaxe UDM de Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_PRIVILEGE_ESCALATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Comme le montre cet exemple, l'événement a été divisé en trois catégories : catégories:

  • métadonnées: informations générales sur l'événement.
  • principal: détails concernant l'appareil, l'utilisateur et le processus chargeant le de ce module.
  • target: détails du processus et du module.

REGISTRY_CREATION, REGISTRY_MODIFICATION, REGISTRY_DELETION

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal :
    • Au moins un identifiant de machine.
    • Si un processus en mode utilisateur effectue la modification du registre, principal.process doit inclure des informations sur la procédure. modifier le registre.
    • Si un processus de kernel effectue la modification du Registre, le principal ne doit pas inclure d'informations sur le processus.
  • target:
    • target.registry: si le registre cible est distant, la cible doit incluez au moins un identifiant pour la machine cible (par exemple, (adresse IP, adresse MAC, nom d'hôte ou identifiant d'élément tiers).
    • target.registry.registry_key: tous les événements de registre doivent inclure le paramètre la clé de registre concernée.

Facultatif :

  • security_result::décrivez l'activité malveillante détectée. Par exemple, une clé de registre incorrecte.
  • principal.user::à renseigner si des informations utilisateur sont disponibles concernant le processus.
Exemple d'UDM pour REGISTRY_MODIFICATION

L'exemple suivant illustre la mise en forme d'un fichier REGISTRY_MODIFICATION. dans Proto3 à l'aide de la syntaxe UDM de Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: REGISTRY_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test-win"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  registry {
    registry_key: "\\REGISTRY\\USER\\TEST_USER\\Control Panel\\PowerCfg\\PowerPolicy"
    registry_value_name: "Description"
    registry_value_data: "For extending battery life."
  }
}

Comme le montre cet exemple, l'événement a été divisé en trois catégories : catégories:

  • métadonnées: informations générales sur l'événement.
  • principal: détails de l'appareil, de l'utilisateur et du processus.
  • target : entrée de registre affectée par la modification.

SCAN_FILE, SCAN_HOST, SCAN_PROCESS, SCAN_VULN_HOST, SCAN_VULN_NETWORK

Champs obligatoires :

  • extensions: pour SCAN_VULN_HOST et SCAN_VULN_NETWORK, définissez le à l'aide du champ extensions.vuln.
  • metadata: event_timestamp
  • observer : capture des informations sur le scanner lui-même. Si l'analyseur est distant, les détails de la machine doivent être capturés par le champ de l'observateur. Pour une scanner local, laissez ce champ vide.
  • target: capture des informations sur la machine contenant l'objet. en cours d'analyse. Si un fichier est analysé, target.file doit capturer des informations sur le fichier analysé. Si un processus est analysé, target.process doit capturer des informations sur le processus analysé.

Champs facultatifs :

  • target: détail utilisateur concernant l'objet cible (par exemple, le créateur du fichier). ou propriétaire du processus) doivent être capturées dans "target.user".
  • security_result : décrit l'activité malveillante détectée.
Exemple UDM pour SCAN_HOST

L'exemple suivant montre comment un événement de type SCAN_HOST serait formaté pour l'UDM Google Security Operations:

metadata: {
  event_timestamp: {
    seconds: 1571386978
  }
  event_type: SCAN_HOST
  vendor_name: "vendor"
  product_name: "product"
  product_version: "1.0"
}
target: {
  hostname: "testHost"
  asset_id: "asset"
  ip: "192.168.200.200"
}
observer: {
  hostname: "testObserver"
  ip: "192.168.100.100"
}
security_result: {
  severity: LOW
  confidence: HIGH_CONFIDENCE
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM :

  • metadata : informations générales sur l'événement.
  • target: appareil ayant reçu le logiciel malveillant.
  • Observateur: appareil qui observe et signale l'événement en question.
  • security_result: informations relatives à la sécurité du logiciel malveillant.

SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_DISABLE, SCHEDULED_TASK_ENABLE, SCHEDULED_TASK_MODIFICATION, SCHEDULED_TASK_UNCATEGORIZED

Champs obligatoires :

  • principal : pour tous les événements SCHEDULED_TASK, le principal doit inclure un identifiant de machine et un identifiant utilisateur.
  • target: la cible doit inclure une ressource valide et un type de ressource défini. sous le nom "TASK".

Champs facultatifs :

  • security_result: décrivez l'activité malveillante détectée.
Exemple d'UDM pour SCHEDULED_TASK_CREATION

L'exemple suivant montre comment un événement de type SCHEDULED_TASK_CREATION peut être mis en forme pour l'UDM Google Security Operations :

metadata: {
  event_timestamp: {
    seconds: 1577577998
  }
  event_type: SCHEDULED_TASK_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal: {
  hostname: "fake-host.altostrat.com"
  user: {
    userid: "TestUser"
    windows_sid: "AB123CDE"
  }
  process {
    pid: "1234"
  }
}
target: {
  resource: {
    type: "TASK"
    name: "\\Adobe Acrobat Update Task"
  }
}
intermediary: {
  hostname: "fake-intermediary.altostrat.com"
}
security_result: {
  rule_name: "EventID: 6789"
  summary: "A scheduled task was created."
  severity: INFORMATIONAL
}

Comme le montre cet exemple, l'événement a été divisé en trois catégories : catégories:

  • metadata : informations générales sur l'événement.
  • principal: appareil ayant planifié la tâche suspecte.
  • target: logiciel ciblé par la tâche suspecte.
  • intermédiaire : intermédiaire impliqué dans la tâche suspecte.
  • security_result: informations de sécurité concernant la tâche suspecte.

SETTING_UNCATEGORIZED, SETTING_CREATION, SETTING_MODIFICATION, SETTING_DELETION

Champs obligatoires :

  • principal: doit être présent, non vide et inclure un identifiant de machine.
  • target: doit être présente, non vide et inclure une ressource dont le type est spécifié en tant que SETTING.
Exemple de UDM pour le type d'événement SETTING_MODIFICATION

L'exemple suivant illustre le formatage d'un événement de type SETTING_MODIFICATION pour l'UDM Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SETTING_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.win.com"
}
target {
  resource {
    type: "SETTING"
    name: "test-setting"
  }
}

Comme le montre cet exemple, l'événement a été divisé dans les catégories UDM suivantes:

  • métadonnées: informations générales sur l'événement.
  • principal: informations sur l'appareil sur lequel le paramètre a été modifié.
  • target : détails de la ressource.

SERVICE_UNSPECIFIED, SERVICE_CREATION, SERVICE_DELETION, SERVICE_START, SERVICE_STOP

Champs obligatoires :

  • target: inclut l'identifiant de l'utilisateur, et spécifie le processus ou l'application.
  • compte principal: indiquez au moins un identifiant de machine (ADRESSE IP ou MAC, nom d'hôte, ou identifiant d'élément).
Exemple UDM pour SERVICE_UNSPECIFIED

L'exemple suivant montre comment un événement de type SERVICE_UNSPECIFIED être formaté pour l'UDM de Google Security Operations:

metadata: {
 event_timestamp: {
   seconds: 1595656745
   nanos: 832000000
    }
 event_type: SERVICE_UNSPECIFIED
   vendor_name: "Preempt"
   product_name: "PREEMPT_AUTH"
   product_event_type: "SERVICE_ACCESS"
   description: "Remote Procedures (RPC)"
   }
 principal: {
   hostname: "XXX-YYY-ZZZ"
   ip: "10.10.10.10"
   }
 target: {
   hostname: "TestHost"
   user: {
      userid: "ORG\\User"
      user_display_name: "user name"
   }
 application: "application.name"
   resource: {
      type: "Service Type"
      name: "RPC"
   }
 }

Comme le montre cet exemple, l'événement a été divisé en trois catégories : catégories:

  • métadonnées: informations générales sur l'événement.
  • principal: informations sur l'appareil et la localisation.
  • target: nom d'hôte et identifiant utilisateur.
  • application: nom de l'application et type de ressource.

STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, STATUS_UPDATE

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal: au moins un identifiant de machine (ADRESSE IP ou MAC, nom d'hôte, ou identifiant d'élément).
Exemple de UDM pour STATUS_HEARTBEAT

L'exemple suivant montre comment un événement de type STATUS_HEARTBEAT être formaté pour l'UDM de Google Security Operations:

metadata: {
  event_timestamp: {
    seconds: 1588180305
  }
  event_type: STATUS_HEARTBEAT
  vendor_name: "DMP"
  product_name: "ENTRE"
}
principal: {
  hostname: "testHost"
  location: {
    name: "Building 1"
  }
}
intermediary: {
  ip: "8.8.8.8"
}
security_result: {
  summary: "Event - Locked"
  description: "description"
  severity: LOW
  severity_details: "INFO"
}

Comme le montre cet exemple, l'événement a été divisé en trois catégories : catégories:

  • métadonnées: informations générales sur l'événement.
  • principal: informations sur l'appareil et la localisation.
  • intermediary : adresse IP de l'appareil.
  • security_result : détails des résultats de sécurité.

SYSTEM_AUDIT_LOG_UNCATEGORIZED, SYSTEM_AUDIT_LOG_WIPE.

Champs obligatoires :

  • principal: incluez l'identifiant de l'utilisateur qui a effectué la opération sur le journal et un identifiant pour la machine sur laquelle le journal a été ou a été stocké (dans le cas de l'effacement).
Exemple de UDM pour SYSTEM_AUDIT_LOG_WIPE

L'exemple suivant montre comment un événement de type SYSTEM_AUDIT_LOG_WIPE au format UDM de Google Security Operations est le suivant:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SYSTEM_AUDIT_LOG_WIPE
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}

Comme le montre cet exemple, l'événement a été divisé en trois catégories : catégories:

  • métadonnées: informations générales sur l'événement.
  • principal : informations sur l'appareil et l'utilisateur.

USER_CHANGE_PASSWORD, USER_CHANGE_PERMISSIONS

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal: si le compte utilisateur est modifié à distance, renseigner le compte principal avec des informations sur la machine de la modification.
  • target: ajoute target.user des informations sur l'utilisateur modifié.
  • intermediary (intermédiaire) : pour les connexions SSO, la valeur "intermédiaire" doit inclure au moins une machine. pour le serveur SSO, le cas échéant.

USER_COMMUNICATION

Champs obligatoires :

  • principal:renseignez le champ principal.user avec les informations associées avec une communication déclenchée par l'utilisateur (expéditeur), comme un message de chat dans Google Chat ou Slack, visioconférence ou voix dans Zoom ou Google Meet, ou VoIP .

Champs facultatifs :

  • target : (recommandé) renseignez le champ target.user avec des informations sur l'utilisateur cible (récepteur) de la ressource de communication cloud. Dans le champ target.application, saisissez les informations suivantes : l'application de communication cloud cible.

USER_CREATION, USER_DELETION (CRÉATION_UTILISATEUR)

Champs obligatoires :

  • metadata:event_timestamp
  • principal:indiquez les informations concernant la machine sur laquelle créer ou supprimer l’utilisateur à l’origine. Pour créer un utilisateur local ou suppression, le compte principal doit inclure au moins un identifiant de machine pour le la machine d'origine.
  • target : emplacement où l'utilisateur est créé. Doit également inclure l'utilisateur des informations (par exemple, target.user).

Champs facultatifs :

  • principal : informations sur l'utilisateur et le processus pour la machine à l'origine de la demande de création ou de suppression d'utilisateur.
  • target:informations sur la machine cible (si différente de la machine principale).

USER_LOGIN, USER_LOGOUT

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal: pour l'activité d'un utilisateur à distance (par exemple, connexion à distance) renseigner le compte principal avec des informations sur la machine d'où provient l'utilisateur activité. Pour l'activité des utilisateurs en local (par exemple, connexion locale), ne définissez pas principal.
  • target: renseigne "target.user" avec des informations sur l'utilisateur qui a connecté ou déconnecté. Si le compte principal n'est pas défini (connexion locale, par exemple), La cible doit également inclure au moins un identifiant de machine identifiant la cible. machine. Pour l'activité des utilisateurs de machine à machine (par exemple, connexion à distance, SSO, service cloud ou VPN), la cible doit inclure des informations sur la cible une application, une machine cible ou un serveur VPN cible.
  • intermediary (intermédiaire) : pour les connexions SSO, la valeur "intermédiaire" doit inclure au moins une machine. pour le serveur SSO, le cas échéant.
  • network et network.http: si la connexion s'effectue via HTTP, vous devez placer tous les les détails disponibles dans network.ip_protocol, network.application_protocol, et "network.http".
  • Extension authentication: doit identifier le type de système d'authentification. auquel l'événement est lié (machine, SSO ou VPN, par exemple) et mécanisme utilisé (nom d'utilisateur et mot de passe, mot de passe à usage unique, etc.).
  • security_result : ajoutez un champ security_result pour représenter l'état de la connexion en cas d'échec. Spécifiez security_result.category avec la valeur AUTH_VIOLATION. si l'authentification échoue.

USER_RESOURCE_ACCESS

Champs obligatoires :

  • principal:renseignez le champ principal.user avec les informations relatives à tente d'accéder à une ressource cloud (par exemple, un dossier Salesforce, agenda Office365, document Google Docs ou ticket ServiceNow).
  • target:renseignez le champ target.resource avec les informations sur la ressource cloud cible.

Champs facultatifs :

  • target.application: (recommandé) : renseignez le champ target.application: avec sur l'application cloud cible.

USER_RESOURCE_CREATION, USER_RESOURCE_DELETION

Champs obligatoires :

  • principal:renseignez le champ principal.user avec les informations associées avec l'utilisateur créé dans une ressource cloud (par exemple, un compte Salesforce (par exemple, un agenda Office 365, un document Google Docs ou un ticket ServiceNow).
  • target:renseignez le champ target.resource avec les informations sur la ressource cloud cible.

Champs facultatifs :

  • target.application: (recommandé) : renseignez le champ target.application: avec sur l'application cloud cible.

USER_RESOURCE_UPDATE_CONTENT

Champs obligatoires :

  • principal:renseignez le champ principal.user avec les informations associées avec l'utilisateur dont le contenu a été mis à jour dans une ressource cloud (par Exemple : dossier Salesforce, agenda Office365, document Google Docs ou ServiceNow d'assistance).
  • target:renseignez le champ target.resource avec les informations sur la ressource cloud cible.

Champs facultatifs :

  • target.application: (recommandé) : renseignez le champ target.application: avec sur l'application cloud cible.

USER_RESOURCE_UPDATE_PERMISSIONS

Champs obligatoires :

  • principal:renseignez le champ principal.user avec les informations associées avec l'utilisateur dont les autorisations ont été mises à jour dans une ressource cloud (par Exemple : dossier Salesforce, agenda Office 365, document Google Docs ou ServiceNow d'assistance).
  • target:renseignez le champ target.resource avec les informations sur la ressource cloud cible.

Champs facultatifs :

  • target.application : (recommandé) renseignez le champ target.application avec des informations sur l'application cloud cible.

USER_UNCATEGORIZED

Champs obligatoires :

  • metadata:event_timestamp
  • principal:indiquez les informations concernant la machine sur laquelle créer ou supprimer l’utilisateur à l’origine. Pour créer un utilisateur local ou suppression, le compte principal doit inclure au moins un identifiant de machine pour le la machine d'origine.
  • target : emplacement où l'utilisateur est créé. Doit également inclure l'utilisateur des informations (par exemple, target.user).

Champs facultatifs :

  • principal : informations sur l'utilisateur et le processus pour la machine à l'origine de la demande de création ou de suppression d'utilisateur.
  • target:informations sur la machine cible (si différente de la machine principale).