Guide d'utilisation d'un modèle de données unifié

Ce document fournit une description plus détaillée des champs du schéma UDM (Unified Data Model) et de ceux obligatoires ou facultatifs en fonction du type d'événement. Pour l'évaluation du moteur de règles, le préfixe commence udm., tandis que le préfixe de normalisation basée sur la configuration (CBN) commence par event.idm.read_only_udm.

Population des métadonnées d'événement

La section des métadonnées des événements UDM contient des informations générales sur chaque événement.

Metadata.event_type

  • Objectif:spécifie le type d'événement. Si un événement est possible en plusieurs types, cette valeur doit indiquer le type le plus spécifique.
  • Obligatoire:Oui
  • Encodage:doit correspondre à l'un des types "event_type" prédéfinis UDM.
  • Valeurs possibles:voici la liste de toutes les valeurs possibles pour "event_type" dans l'UDM.

Événements d'e-mails:

  • EMAIL_TRANSACTION
  • EMAIL_UNCATEGORIZED

Événements de fichier effectués sur un point de terminaison:

  • FILE_UNCATEGORIZED
  • FILE_CREATION
  • FILE_DELETION
  • FILE_MODIFICATION
  • FILE_READ (par exemple, lecture d’un fichier de mot de passe)
  • FILE_COPY (copier un fichier sur une clé USB, par exemple)
  • FILE_OPEN (par exemple, l'ouverture d'un fichier peut indiquer une brèche de sécurité)

Événements n'appartenant à aucune autre catégorie, y compris les événements Windows sans catégorie.

  • GENERIC_EVENT

Événements mutex (objet d'exclusion mutuelle) :

  • MUTEX_UNCATEGORIZED
  • MUTEX_CREATION

Télémétrie réseau, y compris les charges utiles de protocole brutes telles que DHCP et DNS, les résumés de protocoles pour les protocoles tels que HTTP, SMTP et FTP, ainsi que les événements de flux et de connexion provenant de Netflow et de pare-feu.

  • NETWORK_UNCATEGORIZED
  • NETWORK_FLOW (par exemple, statistiques de flux agrégées de Netflow)
  • NETWORK_CONNECTION (informations de connexion réseau d'un pare-feu, par exemple)
  • NETWORK_FTP
  • NETWORK_DHCP
  • NETWORK_DNS
  • NETWORK_HTTP
  • NETWORK_SMTP

Tous les événements relatifs à un processus, tels qu'un lancement de processus, un processus créant un élément malveillant, une injection dans un autre processus, la modification d'une clé de registre, la création d'un fichier malveillant sur le disque, etc.

  • PROCESS_INJECTION
  • PROCESS_LAUNCH
  • PROCESS_MODULE_LOAD
  • PROCESS_OPEN
  • PROCESS_PRIVILEGE_ESCALATION
  • PROCESS_TERMINATION
  • PROCESS_UNCATEGORIZED

Utilisez les événements REGISTRY plutôt que SETTING lorsque vous traitez des événements de registre spécifiques à Microsoft Windows:

  • REGISTRY_UNCATEGORIZED
  • REGISTRY_CREATION
  • REGISTRY_MODIFICATION
  • REGISTRY_DELETION

Événements orientés analyse Inclut les analyses à la demande et les détections de comportement effectuées par des produits de sécurité des points de terminaison (EDR, AV, DLP). Utilisé uniquement lorsque vous associez un SecurityResult à un autre type d'événement (par exemple, PROCESS_LAUNCH).

  • SCAN_UNCATEGORIZED
  • SCAN_FILE
  • SCAN_HOST
  • SCAN_PROCESS
  • SCAN_VULN_HOST
  • SCAN_VULN_NETWORK

Événements de tâches planifiées (planificateur de tâches Windows, Cron, etc.):

  • SCHEDULED_TASK_UNCATEGORIZED
  • SCHEDULED_TASK_CREATION
  • SCHEDULED_TASK_DELETION
  • SCHEDULED_TASK_ENABLE
  • SCHEDULED_TASK_DISABLE
  • SCHEDULED_TASK_MODIFICATION

Événements de service:

  • SERVICE_UNSPECIFIED
  • SERVICE_CREATION
  • SERVICE_DELETION
  • SERVICE_START
  • SERVICE_STOP

Définition d'événements, y compris lorsqu'un paramètre système est modifié sur un point de terminaison. Pour savoir comment définir les exigences relatives aux événements, cliquez ici.

  • SETTING_UNCATEGORIZED
  • SETTING_CREATION
  • SETTING_MODIFICATION
  • SETTING_DELETION

Messages d'état envoyés par les produits de sécurité pour indiquer que les agents sont actifs et envoyer la version, l'empreinte digitale ou d'autres types de données.

  • STATUS_UNCATEGORIZED
  • STATUS_HEARTBEAT (indique que le produit est actif)
  • STATUS_STARTUP
  • STATUS_SHUTDOWN
  • STATUS_UPDATE (mise à jour du logiciel ou de l'empreinte digitale)

Événements des journaux d'audit système:

  • SYSTEM_AUDIT_LOG_UNCATEGORIZED
  • SYSTEM_AUDIT_LOG_WIPE

Événements de l'activité d'authentification des utilisateurs:

  • USER_UNCATEGORIZED
  • USER_BADGE_IN (par exemple, lorsqu'un utilisateur accède physiquement à un site via un badge)
  • USER_CHANGE_PASSWORD
  • USER_CHANGE_PERMISSIONS
  • USER_COMMUNICATION
  • USER_CREATION
  • USER_DELETION
  • USER_LOGIN
  • USER_LOGOUT
  • USER_RESOURCE_ACCESS
  • USER_RESOURCE_CREATION
  • USER_RESOURCE_DELETION
  • USER_RESOURCE_UPDATE_CONTENT
  • USER_RESOURCE_UPDATE_PERMISSIONS

Metadata.collected_timestamp

  • Objectif:encode le code temporel GMT correspondant au moment où l'événement a été collecté par l'infrastructure locale de collecte du fournisseur.
  • Encodage:RFC 3339, en fonction du format d'horodatage JSON ou Proto3.
  • Exemple:
    • RFC 3339: '2019-09-10T20:32:31-08:00'
    • Format Proto3: '2012-04-23T18:25:43.511Z'

Metadata.event_timestamp

  • Objectif:encode le code temporel GMT correspondant au moment où l'événement a été généré.
  • Obligatoire:Oui
  • Encodage:RFC 3339, en fonction du format d'horodatage JSON ou Proto3.
  • Exemple:
    • RFC 3339: 2019-09-10T20:32:31-08:00
    • Format Proto3: 2012-04-23T18:25:43.511Z

Metadata.description

  • Objectif:description lisible de l'événement.
  • Encodage:chaîne alphanumérique, ponctuation autorisée, 1 024 octets maximum
  • Exemple:Le fichier c:\bar\foo.exe ne peut pas accéder au document sensible c:\documents\earnings.docx.

Metadata.product_event_type

  • Objectif:nom ou type d'événement court, descriptif, intelligible et spécifique à un produit.
  • Encodage:chaîne alphanumérique, ponctuation autorisée, 64 octets maximum.
  • Exemples:
    • Événement de création de registre
    • ProcessRollUp
    • Escalade des privilèges détectée
    • Logiciel malveillant bloqué

Metadata.product_log_id

  • Objectif:encode un identifiant d'événement propre au fournisseur afin d'identifier l'événement de manière unique (un GUID). Les utilisateurs peuvent utiliser cet identifiant pour rechercher l'événement en question dans la console propriétaire du fournisseur.
  • Encodage:sensible à la casse, chaîne alphanumérique, ponctuation autorisée, 256 octets maximum.
  • Exemple:ABcd1234-98766

Metadata.product_name

  • Objectif:spécifie le nom du produit.
  • Encodage:sensible à la casse, chaîne alphanumérique, ponctuation autorisée, 256 octets maximum.
  • Exemples:
    • Faucon
    • Symantec Endpoint Protection

Metadata.product_version

  • Objectif:spécifie la version du produit.
  • Encodage:chaîne alphanumérique, points et tirets autorisés, 32 octets au maximum
  • Exemples:
    • 1.2.3b
    • 10.3:rev1

Metadata.url_back_to_product

  • Objectif:URL pointant vers un site Web pertinent, sur lequel vous pouvez consulter plus d'informations sur cet événement spécifique (ou la catégorie générale de l'événement).
  • Encodage:URL RFC 3986 valide avec des paramètres facultatifs tels que les informations de port, etc. Doit comporter un préfixe de protocole avant l'URL (par exemple, https:// ou http://).
  • Exemple:https://newco.altostrat.com:8080/event_info?event_id=12345

Metadata.vendor_name

  • Objectif:spécifie le nom du fournisseur du produit.
  • Encodage:sensible à la casse, chaîne alphanumérique, ponctuation autorisée, 256 octets maximum
  • Exemples:
    • CrowdStrike
    • Symantec

Population de métadonnées nom

Dans cette section, le mot Noun est un terme général utilisé pour représenter les entités : Noun, Noun, Noun, Noun, Noun et Noun. Ces entités ont des attributs communs, mais représentent des objets différents dans un événement. Pour en savoir plus sur les entités et sur ce que chacune représente dans un événement, consultez Mettre en forme les données de journaux en tant qu'UAM.

Noun.asset_id

  • Objectif:identifiant unique d'appareil propre au fournisseur (par exemple, un GUID généré lors de l'installation d'un logiciel de sécurité des points de terminaison sur un nouvel appareil et permettant de suivre cet appareil unique au fil du temps).
  • Encodage:VendorName.ProductName:IDVendorName.ProductName:ID n'est pas sensible à la casse* *Nom de fournisseur tel que "Carbon Black", VendorName.ProductName:ID est un nom de produit non sensible à la casse, comme "Response" (Réponse) ou "Endpoint Protection" (Protection des points de terminaison), et l'ID est un identifiant client spécifique au fournisseur dans l'environnement du client (par exemple, un GUID ou une valeur unique identifiant un appareil unique). VendorName et Dataproc sont des éléments alphanumériques ne dépassant pas 32 caractères. L'ID ne doit pas dépasser 128 caractères et peut inclure des caractères alphanumériques, des tirets et des points.
  • Exemple:CrowdStrike.Falcon:0bce4259-4ada-48f3-a904-9a526b01311f

Noun.email

  • Objectif:adresse e-mail
  • Encodage:format d'adresse e-mail standard.
  • Exemple:johns@test.altostrat.com

Noun.file

Noun.hostname

  • Objectif:champ "Nom d'hôte du client" ou "Nom de domaine". Ne l'incluez pas s'il existe une URL.
  • Encodage:nom d'hôte RFC 1123 valide.
  • Exemples:
    • userwin10
    • www.altostrat.com

Noun.platform

  • Objectif:système d'exploitation de la plate-forme.
  • Encodage:énumération
  • Valeurs possibles:
    • LINUX
    • Mac
    • WINDOWS
    • UNKNOWN_PLATFORM

Noun.platform_patch_level

  • Objectif:niveau de correctif du système d'exploitation de la plate-forme.
  • Encodage:chaîne alphanumérique avec ponctuation, 64 caractères maximum.
  • Exemple:Build 17134.48

Noun.platform_version

  • Objectif:version du système d'exploitation de la plate-forme.
  • Encodage:chaîne alphanumérique avec ponctuation, 64 caractères maximum.
  • Exemple:Microsoft Windows 10 version 1803

Noun.process

Noun.ip

  • Objectif:
    • Adresse IP unique associée à une connexion réseau.
    • Une ou plusieurs adresses IP associées à l'appareil du participant au moment de l'événement (par exemple, si un produit EDR connaît toutes les adresses IP associées à un appareil, il peut toutes les encoder dans des champs d'adresse IP).
  • Encodage:adresse IPv4 ou IPv6 valide (RFC 5942) encodée au format ASCII.
  • Reproductibilité:
    • Si un événement décrit une connexion réseau spécifique (par exemple, srcip:srcport > dstip:dstport), le fournisseur doit fournir une seule adresse IP.
    • Si un événement décrit une activité générale sur l'appareil d'un participant, mais pas une connexion réseau spécifique, le fournisseur peut fournir toutes les adresses IP associées à l'appareil au moment de l'événement.
  • Exemples:
    • 192.168.1.2
    • 2001:db8:1:3::1

Noun.port

  • Objectif:numéro de port réseau source ou de destination lorsqu'une connexion réseau spécifique est décrite dans un événement.
  • Encodage:numéro de port TCP/IP valide compris entre 1 et 65 535.

  • Exemples :

    • 80
    • 443

Noun.mac

  • Objectif:une ou plusieurs adresses MAC associées à un appareil.
  • Encodage:adresse MAC valide (EUI-48) au format ASCII.
  • Reproductibilité:le fournisseur peut fournir toutes les adresses MAC associées à l'appareil au moment de l'événement.
  • Exemples:
    • fedc:ba98:7654:3210:fedc:ba98:7654:3210
    • 1080:0:0:0:8:800:200c:417a
    • 00:a0:0:0:c9:14:c8:29

Noun.administrative_domain

  • Objectif:domaine auquel l'appareil appartient (par exemple, le domaine Windows).
  • Encodage:chaîne de nom de domaine valide (128 caractères maximum).
  • Exemple:corp.altostrat.com

Noun.registry

Noun.url

  • Objectif:URL standard
  • Encodage:URL (RFC 3986). Doit comporter un préfixe de protocole valide (par exemple, https:// ou ftp://). Doit inclure le domaine complet et le chemin d'accès. Peut inclure les paramètres de l'URL.
  • Exemple:https://foo.altostrat.com/bletch?a=b;c=d

Noun.user

Remplissage des métadonnées d'authentification

Authentication.AuthType

  • Objectif:type de système auquel un événement d'authentification est associé (Chronicle UDM).
  • Encodage:type énuméré.
  • Valeurs possibles:
    • AUTHTYPE_UNSPECIFIED
    • MACHINE : authentification de la machine
    • PHYSICAL : authentification physique (par exemple, un lecteur de badge)
    • SSO
    • TACACS : protocole de la famille TACACS pour l'authentification des systèmes en réseau (par exemple, TACACS ou TACACS+)
    • VPN

Authentication.Authentication_Status

  • Objectif:décrit l'état d'authentification d'un utilisateur ou un justificatif d'identité spécifique.
  • Encodage:type énuméré.
  • Valeurs possibles:
    • UNKNOWN_AUTHENTICATION_STATUS : état d'authentification par défaut
    • ACTIVE : la méthode d'authentification est active
    • SUSPENDED : la méthode d'authentification est suspendue ou désactivée.
    • DELETED : la méthode d'authentification a été supprimée.
    • NO_ACTIVE_CREDENTIALS : la méthode d'authentification ne comporte aucun identifiant actif.

Authentication.auth_details

  • Objectif:informations d'authentification définies par le fournisseur.
  • Encodage:chaîne.

Authentication.Mechanism

  • Objectif:mécanisme(s) utilisé(s) pour l'authentification.
  • Encodage:type énuméré.
  • Valeurs possibles:
    • MECHANISM_UNSPECIFIED : mécanisme d'authentification par défaut.
    • BADGE_READER
    • BATCH : authentification par lot.
    • CACHED_INTERACTIVE : authentification interactive à l'aide d'identifiants mis en cache.
    • HARDWARE_KEY
    • LOCAL
    • MECHANISM_OTHER : autre mécanisme non défini ici.
    • RÉSEAU : authentification réseau.
    • NETWORK_CLEAR_TEXT : authentification réseau en texte clair.
    • NEW_CREDENTIALS : authentification avec de nouveaux identifiants
    • Mot de passe à usage unique
    • REMOTE : authentification à distance
    • REMOTE_INTERACTIVE : RDP, services de terminal, Virtual Network Computing (VNC), etc.
    • SERVICE : authentification du service.
    • UNLOCK : authentification directe du déverrouillage interactif par l'humain.
    • USERNAME_PASSWORD

Remplir les métadonnées DHCP

Les champs de métadonnées DHCP (Dynamic Host Control Protocol) capturent les informations des journaux du protocole de gestion du réseau DHCP.

Dhcp.client_hostname

  • Objectif:nom d'hôte du client. Pour en savoir plus, consultez le document RFC 2132, Options DHCP et extensions BOOTP Vendor.
  • Encodage:chaîne.

Dhcp.client_identifier

  • Objectif:identifiant du client. Pour en savoir plus, consultez le document RFC 2132, Options DHCP et extensions BOOTP Vendor.
  • Encodage:octets.

Dhcp.file

  • Objectif:nom de fichier de l'image de démarrage.
  • Encodage:chaîne.

Dhcp.flags

  • Objectif:valeur du champ des indicateurs DHCP.
  • Encodage:entier non signé de 32 bits.

Dhcp.hlen

  • Objectif:longueur de l'adresse matérielle.
  • Encodage:entier non signé de 32 bits.

Dhcp.hops

  • Objectif:nombre de sauts DHCP.
  • Encodage:entier non signé de 32 bits.

Dhcp.htype

  • Objectif:type d'adresse matérielle.
  • Encodage:entier non signé de 32 bits.

Dhcp.lease_time_seconds

  • Objectif:Durée du bail demandée par le client pour une adresse IP, en secondes. Pour en savoir plus, consultez le document RFC 2132, Options DHCP et extensions BOOTP Vendor.
  • Encodage:entier non signé de 32 bits.

Dhcp.opcode

  • Objectif:code d'opération BOOTP (voir la section 3 du document RFC 951).
  • Encodage:type énuméré.
  • Valeurs possibles:
    • UNKNOWN_OPCODE
    • BOOTREQUEST
    • RÉPONSE SUGGÉRÉE

Dhcp.requested_address

  • Objectif:identifiant du client. Pour en savoir plus, consultez le document RFC 2132, Options DHCP et extensions BOOTP Vendor.
  • Encodage:adresse IPv4 ou IPv6 valide (RFC 5942) encodée au format ASCII.

Dhcp.seconds

  • Objectif:nombre de secondes écoulées depuis que le client a commencé le processus d'acquisition/de renouvellement d'adresse.
  • Encodage:entier non signé de 32 bits.

Dhcp.sname

  • Objectif:nom du serveur à partir duquel le client a demandé le démarrage.
  • Encodage:chaîne.

Dhcp.transaction_id

  • Objectif:ID de transaction client.
  • Encodage:entier non signé de 32 bits.

Dhcp.type

  • Objectif:type de message DHCP. Pour plus d'informations, consultez la norme RFC 1533.
  • Encodage:type énuméré.
  • Valeurs possibles:
    • UNKNOWN_MESSAGE_TYPE
    • DÉCOUVRIR
    • OFFRE
    • DEMANDER
    • REFUSER
    • CONFIRMATION
    • N/A
    • RELEASE
    • INFORMER
    • WIN_DELECTED
    • WIN_EXPIRED

Dhcp.chaddr

  • Objectif:adresse IP du matériel client.
  • Encodage:adresse IPv4 ou IPv6 valide (RFC 5942) encodée au format ASCII.

Dhcp.ciaddr

  • Objectif:adresse IP du client.
  • Encodage:adresse IPv4 ou IPv6 valide (RFC 5942) encodée au format ASCII.

Dhcp.giaddr

  • Objectif:adresse IP de l'agent de relais.
  • Encodage:adresse IPv4 ou IPv6 valide (RFC 5942) encodée au format ASCII.

Dhcp.siaddr

  • Objectif:adresse IP du prochain serveur d'amorçage.
  • Encodage:adresse IPv4 ou IPv6 valide (RFC 5942) encodée au format ASCII.

Dhcp.yiaddr

  • Objectif:votre adresse IP.
  • Encodage:adresse IPv4 ou IPv6 valide (RFC 5942) encodée au format ASCII.

Insertion des métadonnées d'option DHCP

Les champs de métadonnées de l'option DHCP capturent les informations du journal de l'option DHCP.

Option.code

  • Objectif:stocker le code d'option DHCP. Pour en savoir plus, consultez le document RFC 1533, Options DHCP et extensions BOOTP Vendor.
  • Encodage:entier non signé de 32 bits.

Option.data

  • Objectif:stocker les données de l'option DHCP. Pour en savoir plus, consultez le document RFC 1533, Options DHCP et extensions BOOTP Vendor.
  • Encodage:octets.

Remplir les métadonnées DNS

Les champs de métadonnées DNS capturent les informations liées aux paquets de requêtes et de réponses DNS. Ils ont une correspondance individuelle avec les données trouvées dans les datagrammes de requête et de réponse DNS.

Dns.authoritative

  • Objectif:défini sur "true" pour les serveurs DNS primaires.
  • Encodage:booléen.

Dns.id

  • Objectif:stocker l'identifiant de requête DNS.
  • Encodage:entier 32 bits.

Dns.response

  • Objectif:défini sur "true" si l'événement est une réponse DNS.
  • Encodage:booléen.

Dns.opcode

  • Objectif:stocke le code d'opération DNS utilisé pour spécifier le type de requête DNS (standard, inverse, état du serveur, etc.).
  • Encodage:entier 32 bits.

Dns.recursion_available

  • Objectif:défini sur "true" si une résolution DNS récursive est disponible.
  • Encodage:booléen.

Dns.recursion_desired

  • Objectif:défini sur "true" si une résolution DNS récursive est demandée.
  • Encodage:booléen.

Dns.response_code

  • Objectif:stocker le code de réponse DNS tel que défini par le document RFC 1035 (Noms de domaine – Mise en œuvre et spécification).
  • Encodage:entier 32 bits.

Dns.truncated

  • Objectif:définissez la valeur sur "true" s'il s'agit d'une réponse DNS tronquée.
  • Encodage:booléen.

Dns.questions

Dns.answers

Dns.authority

Dns.additional

Population des métadonnées de questions DNS

Les champs de métadonnées de question DNS capturent les informations contenues dans la section de question d'un message de protocole de domaine.

Question.name

  • Objectif:stocker le nom de domaine.
  • Encodage:chaîne.

Question.class

  • Objectif:stocke le code spécifiant la classe de la requête.
  • Encodage:entier 32 bits.

Question.type

  • Objectif:stocke le code spécifiant le type de requête.
  • Encodage:entier 32 bits.

Remplir les métadonnées d'un enregistrement de ressources DNS

Les champs de métadonnées d'enregistrement de ressources DNS capturent les informations contenues dans l'enregistrement de ressources d'un message de protocole de domaine.

ResourceRecord.binary_data

  • Objectif:stocker les octets bruts de toutes les chaînes non UTF8 pouvant être incluses dans une réponse DNS. Ce champ ne doit être utilisé que si les données de réponse renvoyées par le serveur DNS contiennent des données non UTF8. Sinon, placez la réponse DNS dans le champ de données ci-dessous. Ce type d'informations doit être stocké ici et non dans ResourceRecord.data.

  • Encodage:octets.

ResourceRecord.class

  • Objectif:stocker le code spécifiant la classe de l'enregistrement de ressources.
  • Encodage:entier 32 bits.

ResourceRecord.data

  • Objectif:stocke la charge utile ou la réponse à la question DNS pour toutes les réponses encodées au format UTF-8. Par exemple, le champ de données peut renvoyer l'adresse IP de la machine à laquelle le nom de domaine fait référence. Si l'enregistrement de ressources concerne un autre type ou une autre classe, il peut contenir un autre nom de domaine (lorsqu'un nom de domaine est redirigé vers un autre nom de domaine). Les données doivent être stockées comme dans la réponse DNS.
  • Encodage:chaîne.

ResourceRecord.name

  • Objectif:stocke le nom du propriétaire de l'enregistrement de ressources.
  • Encodage:chaîne.

ResourceRecord.ttl

  • Objectif:stocke l'intervalle de temps pendant lequel l'enregistrement de la ressource peut être mis en cache avant que la source des informations ne soit à nouveau interrogée.
  • Encodage:entier 32 bits.

ResourceRecord.type

  • Objectif:stocker le code spécifiant le type d'enregistrement de ressource.
  • Encodage:entier 32 bits.

Remplissage des métadonnées d'e-mail

La plupart des champs "Email Metadata" (Métadonnées de courrier électronique) contiennent les adresses e-mail incluses dans l'en-tête du message et doivent respecter le format d'adresse e-mail standard (local-mailbox@domain), tel que défini dans la norme RFC 5322. Exemple : franck@email.example.com.

Email.from

  • Objectif:stocker l'adresse e-mail de.
  • Encodage:chaîne.

Email.reply_to

  • Objectif:stocker l'adresse e-mail reply_to.
  • Encodage:chaîne.

Email.to

  • Objectif:stocker les adresses e-mail à.
  • Encodage:chaîne.

Email.cc

  • Objectif:stocker les adresses e-mail en Cc.
  • Encodage:chaîne.

Email.bcc

  • Objectif:stocker les adresses e-mail Cci.
  • Encodage:chaîne.

Email.mail_id

  • Objectif:stocke l'ID du message.
  • Encodage:chaîne.
  • Exemple:192544.132632@email.example.com

Email.subject

  • Objectif:stocke la ligne d'objet de l'e-mail.
  • Encodage:chaîne.
  • Exemple : "Veuillez lire ce message."

Remplir les métadonnées d'extension

Types d'événements associés à des métadonnées de première classe qui ne sont pas encore classés par l'UDM Chronicle. Extensions.auth

  • Objectif:extension des métadonnées d'authentification.
  • Encodage:chaîne.
  • Exemples:
    • Métadonnées de bac à sable (tous les comportements représentés par un fichier, par exemple FireEye).
    • les données de contrôle d'accès au réseau (NAC, Network Access Control).
    • Informations LDAP concernant un utilisateur (par exemple, rôle, organisation, etc.).

Extensions.auth.auth_details

  • Objectif:spécifier les informations spécifiques au fournisseur pour le type ou le mécanisme d'authentification. Les fournisseurs d'authentification définissent souvent des types tels que via_mfa, via_ad, etc., qui fournissent des informations utiles sur le type d'authentification. Ces types peuvent toujours être généralisés dans auth.type ou auth.mechanism pour faciliter leur utilisation et assurer la compatibilité avec les règles entre les ensembles de données.
  • Encodage:chaîne.
  • Exemples:via_mfa, via_ad.

Extensions.vulns

  • Objectif:extension des métadonnées sur les failles.
  • Encodage:chaîne.
  • Exemple:
    • Données d'analyse des failles de l'hôte.

Remplissage des métadonnées de fichier

File.file_metadata

  • Objectif:métadonnées associées au fichier.
  • Encodage:chaîne.
  • Exemples:
    • Author (Auteur)
    • Numéro de révision
    • Numéro de version
    • Date du dernier enregistrement

File.full_path

  • Objectif:chemin d'accès complet identifiant l'emplacement du fichier sur le système.
  • Encodage:chaîne.
  • Exemple : \Program Files\Custom Utilities\Test.exe

File.md5

  • Objectif:valeur de hachage MD5 du fichier.
  • Encodage:chaîne, hexadécimale minuscule.
  • Exemple:35bf623e7db9bf0d68d0dda764fd9e8c

File.mime_type

  • Objectif:type MIME (Multipurpose Internet Mail Extensions) du fichier.
  • Encodage:chaîne.
  • Exemples:
    • PE
    • PDF
    • script PowerShell

File.sha1

  • Objectif:valeur de hachage SHA-1 du fichier.
  • Encodage:chaîne, hexadécimale minuscule.
  • Exemple:eb3520d53b45815912f2391b713011453ed8abcf

File.sha256

  • Objectif:valeur de hachage SHA-256 du fichier.
  • Encodage:chaîne, hexadécimale minuscule.
  • Exemple:
    • D7173c568b8985e61b4050f81b3fd8e75bc922d2a0843d7079c81ca4b6e36417

File.size

  • Objectif:taille du fichier.
  • Encodage:entier non signé de 64 bits.
  • Exemple:342135.

Remplir les métadonnées FTP

Ftp.command

  • Objectif:stocker la commande FTP.
  • Encodage:chaîne.
  • Exemples:
    • binary
    • delete
    • get
    • put

Remplir les métadonnées du groupe

Informations sur un groupe organisationnel.

Group.creation_time

  • Objectif:date et heure de création du groupe.
  • Encodage:RFC 3339, en fonction du format d'horodatage JSON ou Proto3.

Group.email_addresses

  • Objectif:coordonnées du groupe
  • Encodage:adresse e-mail.

Group.group_display_name

  • Objectif:nom à afficher du groupe.
  • Encodage:chaîne.
  • Exemples:
    • Finance
    • RH
    • Marketing

Group.product_object_id

  • Objectif:identifiant global d'objet utilisateur unique associé au produit, tel qu'un identifiant d'objet LDAP.
  • Encodage:chaîne.

Group.windows_sid

  • Objectif:champ d'attribut de groupe de l'identifiant de sécurité Microsoft Windows (SID).
  • Encodage:chaîne.

Remplir des métadonnées HTTP

Http.method

  • Objectif:stocke la méthode de requête HTTP.
  • Encodage:chaîne.
  • Exemples:
    • GET
    • HEAD
    • POST

Http.referral_url

  • Objectif:stocker l'URL pour le référent HTTP.
  • Encodage:URL RFC 3986 valide.
  • Exemple:https://www.altostrat.com

Http.response_code

  • Objectif:stocke le code d'état de la réponse HTTP, qui indique si une requête HTTP spécifique a été effectuée avec succès.
  • Encodage:entier 32 bits.
  • Exemples:
    • 400
    • 404

Http.useragent

  • Objectif:stocke l'en-tête de requête user-agent, qui indique le type d'application, le système d'exploitation, le fournisseur ou la version logicielle du user-agent du logiciel à l'origine de la demande.
  • Encodage:chaîne.
  • Exemples:
    • Mozilla/5.0 (X11; Linux x86_64)
    • AppleWebKit/534.26 (KHTML, comme Gecko)
    • Chrome/41.0.2217.0
    • Safari 527.33

Population des métadonnées d'emplacement

Location.city

  • Objectif:stocke le nom de la ville.
  • Encodage:chaîne.
  • Exemples:
    • Sunnyvale
    • Chicago
    • Malaga

Location.country_or_region

  • Objectif:stocke le nom du pays ou de la région dans le monde.
  • Encodage:chaîne.
  • Exemples:
    • États-Unis
    • Royaume-Uni
    • Espagne

Location.name

  • Objectif:stocke le nom propre à l'entreprise, comme un bâtiment ou un campus.
  • Encodage:chaîne.
  • Exemples:
    • campus 7B
    • Bâtiment A2

Location.state

  • Objectif:stocke le nom de l'État, de la province ou du territoire.
  • Encodage:chaîne.
  • Exemples:
    • Californie
    • Illinois
    • Ontario

Remplir les métadonnées réseau

Network.application_protocol

  • Objectif:indique le protocole d'application réseau.
  • Encodage:type énuméré.
  • Valeurs possibles:
    • UNKNOWN_APPLICATION_PROTOCOL
    • QUIC
    • HTTP
    • HTTPS
    • DNS
    • DHCP

Network.direction

  • Objectif:indique le sens du trafic réseau.
  • Encodage:type énuméré.
  • Valeurs possibles:
    • UNKNOWN_DIRECTION
    • ENTRANT
    • SORTIE
    • DIFFUSION

Network.email

  • Objectif:spécifie l'adresse e-mail de l'expéditeur/du destinataire.
  • Encodage:chaîne.
  • Exemple:jcheng@company.example.com

Network.ip_protocol

  • Objectif:indique le protocole IP.
  • Encodage:type énuméré.
  • Valeurs possibles:
    • UNKNOWN_IP_PROTOCOL
    • EIGRP : Protocole de routage de passerelle intérieure amélioré (EIGRP)
    • ESP : Encapsulating Security Payload
    • ETHERIP : encapsulation Ethernet dans IP
    • GRE : encapsulation du routage générique
    • ICMP (Internet Control Message Protocol)
    • IGMP (Internet Group Management Protocol)
    • IP6IN4 : encapsulation IPv6
    • PIM : multidiffusion indépendante du protocole
    • TCP : protocole TCP
    • UDP : protocole de datagramme utilisateur
    • VRRP : Protocole de redondance des routeurs virtuels

Network.received_bytes

  • Objectif:spécifie le nombre d'octets reçus.
  • Encodage:entier non signé de 64 bits.
  • Exemple:12 453 654 768

Network.sent_bytes

  • Objectif:spécifie le nombre d'octets envoyés.
  • Encodage:entier non signé de 64 bits.
  • Exemple:7 654 876

Network.session_duration

  • Objectif:stocke la durée de la session réseau, généralement renvoyée dans un événement d'abandon pour la session. Pour définir la durée, vous pouvez définir network.session_duration.seconds = 1 (saisissez int64) ou network.session_duration.nanos = 1 (saisissez int32).
  • Encodage:
    • Entier de 32 bits : secondes (network.session_duration.seconds).
    • Entier de 64 bits : pour les nanosecondes (network.session_duration.nanos)

Network.session_id

  • Objectif:stocker l'identifiant de session réseau.
  • Encodage:chaîne.
  • Exemple:SID:ANON:www.w3.org:j6oAOxCWZh/CD723LGeXlf-01:34

Remplir les métadonnées de processus

Process.command_line

  • Objectif:stocke la chaîne de ligne de commande pour le processus.
  • Encodage:chaîne.
  • Exemple:c:\windows\system32\net.exe group

Process.product_specific_process_id

  • Objectif:stocke l'identifiant de processus spécifique au produit.
  • Encodage:chaîne.
  • Exemples:MySQL:78778 ou CS:90512

Process.parent_process.product_specific_process_id

  • Objectif:stocke l'ID de processus spécifique au produit pour le processus parent.
  • Encodage:chaîne.
  • Exemples:MySQL:78778 ou CS:90512

Process.file

  • Objectif:stocke le nom du fichier utilisé par le processus.
  • Encodage:chaîne.
  • Exemple:report.xls

Process.parent_process

  • Objectif:stocker les détails du processus parent.
  • Encodage:nom (processus)

Process.pid

  • Objectif:stocke l'ID du processus.
  • Encodage:chaîne.
  • Exemples:
    • 308
    • 2002

Remplir les métadonnées du registre

Registry.registry_key

  • Objectif:stocker la clé de registre associée à une application ou à un composant système.
  • Encodage:chaîne.
  • Exemple:HKEY_LOCAL_MACHINE/SYSTEM/DriverDatabase

Registry.registry_value_name

  • Objectif:stocke le nom de la valeur de registre associée à un composant d'application ou de système.
  • Encodage:chaîne.
  • Exemple:TEMP

Registry.registry_value_data

  • Objectif:stocke les données associées à une valeur de registre.
  • Encodage:chaîne.
  • Exemple : %USERPROFILE%\Local Settings\Temp

Remplir les métadonnées de résultats de sécurité

Les métadonnées des résultats de sécurité incluent des détails sur les risques de sécurité et les menaces détectés par un système de sécurité, ainsi que sur les mesures prises pour atténuer ces risques et ces menaces.

SecurityResult.about

  • Objectif:décrire le résultat obtenu pour la sécurité.
  • Encodage:nom.

SecurityResult.action

  • Objectif:spécifier une action de sécurité.
  • Encodage:type énuméré.
  • Valeurs possibles:Chronicle UDM définit les actions de sécurité suivantes :
    • ALLOW (Autoriser)
    • ALLOW_WITH_MODIFICATION : le fichier ou l'e-mail a été désinfecté ou réécrit, et il a encore été transféré.
    • BLOQUER
    • QUARANTINE : stocker pour analyse ultérieure (ne signifie pas "bloc")
    • UNKNOWN_ACTION

SecurityResult.action_details

  • Objectif:détails fournis par le fournisseur sur les mesures prises à la suite de l'incident de sécurité. Les actions de sécurité sont souvent traduites dans le champ UDM Security_Result.action, plus général. Toutefois, vous devrez peut-être écrire des règles pour la description exacte de l'action fournie par le fournisseur.
  • Encodage:chaîne.
  • Exemples:Déposer, bloquer, déchiffrer et chiffrer.

SecurityResult.category

  • Objectif:spécifier une catégorie de sécurité.
  • Encodage:énumération.
  • Valeurs possibles:Chronicle UDM définit les catégories de sécurité suivantes :
    • ACL_VIOLATION : tentative d'accès non autorisé, y compris une tentative d'accès à des fichiers, des services Web, des processus, des objets Web, etc.
    • AUTH_VIOLATION : échec de l'authentification, par exemple en cas de mot de passe erroné ou d'authentification à deux facteurs incorrecte.
    • DATA_AT_REST : protection contre la perte de données : données des capteurs détectées lors d'une analyse.
    • DATA_DESTRUCTION : tentative de destruction ou de suppression de données
    • DATA_EXFILTRATION – Protection contre la perte de données: transmission des données des capteurs, copie sur une clé USB.
    • EXPLOIT : tentatives de dépassement, encodages de protocole incorrects, ROP, injection SQL, etc., à la fois basés sur le réseau et sur l'hôte.
    • MAIL_PHISHING : e-mails d'hameçonnage, messages de chat, etc.
    • MAIL_SPAM : e-mail, message, etc.
    • MAIL_SPOOFING : adresse e-mail source falsifiée, etc.
    • NETWORK_CATEGORIZED_CONTENT
    • NETWORK_COMMAND_AND_CONTROL : si le canal de commande et de contrôle est connu.
    • NETWORK_DENIAL_OF_SERVICE
    • NETWORK_MALICIOUS : commande et contrôle, exploit réseau, activité suspecte, tunnel inverse potentiel, etc.
    • NETWORK_SUSPICIOUS : l'URL n'est pas liée à la sécurité (par exemple, l'URL est liée à des jeux d'argent et de hasard, etc.).
    • NETWORK_RECON : recherche de port détectée par un IDS et sondé par une application Web.
    • POLICY_VIOLATION : non-respect des règles de sécurité, y compris le non-respect des règles de pare-feu, de proxy et HIPS ou des actions de blocage NAC.
    • LOGICIEL_MALICIOUS : logiciel malveillant, logiciel espion, rootkit, etc.
    • Software_PUA : application potentiellement indésirable, telle qu'un logiciel publicitaire, etc.
    • SOFTWARE_SUSPICIOUS
    • UNKNOWN_CATEGORY

SecurityResult.confidence

  • Objectif:indiquer le niveau de confiance en lien avec un événement lié à la sécurité estimé par le produit.
  • Encodage:énumération.
  • Valeurs possibles:Chronicle UDM définit les catégories de confiance suivantes pour les produits :
    • UNKNOWN_CONFIDENCE
    • LOW_CONFIDENCE
    • MEDIUM_CONFIDENCE
    • HIGH_CONFIDENCE

SecurityResult.confidence_details

  • Objectif:informations supplémentaires concernant le niveau de confiance d'un événement lié à la sécurité estimé par le fournisseur du produit.
  • Encodage:chaîne.

SecurityResult.priority

  • Objectif:spécifiez la priorité d'un événement lié à la sécurité estimée par le fournisseur du produit.
  • Encodage:énumération.
  • Valeurs possibles:Chronicle UDM définit les catégories de priorité des produits suivantes :
    • UNKNOWN_PRIORITY
    • LOW_PRIORITY
    • MEDIUM_PRIORITY
    • HIGH_PRIORITY

SecurityResult.priority_details

  • Objectif:informations spécifiques au fournisseur concernant la priorité du résultat de sécurité.
  • Encodage:chaîne.

SecurityResult.rule_id

  • Objectif:identifiant de la règle de sécurité.
  • Encodage:chaîne.
  • Exemples:
    • 08123
    • 5d2b44d0-5ef6-40f5-a704-47d61d3babbe

SecurityResult.rule_name

  • Objectif:nom de la règle de sécurité.
  • Encodage:chaîne.
  • Exemple:BlockInboundToOracle.

SecurityResult.severity

  • Objectif:niveau de gravité d'un événement de sécurité, estimé par le fournisseur du produit à l'aide des valeurs définies par l'UAM Chronicle.
  • Encodage:énumération.
  • Valeurs possibles:Chronicle UDM définit les niveaux de gravité suivants :
    • UNKNOWN_SEVERITY : contenu non malveillant
    • INFORMATIONS CONCERNANTES – Contenu non malveillant
    • ERROR – Contenu non malveillant
    • LOW : contenu malveillant
    • MOYENNE – Contenu malveillant
    • ÉLEVÉE – Contenu malveillant

SecurityResult.severity_details

  • Objectif:niveau de gravité d'un événement lié à la sécurité, estimé par le fournisseur du produit.
  • Encodage:chaîne.

SecurityResult.threat_name

  • Objectif:nom de la menace de sécurité.
  • Encodage:chaîne.
  • Exemples:
    • W32/Fichier A
    • Slammer

SecurityResult.url_back_to_product

  • Objectif:URL qui vous redirige vers la console du produit source pour cet événement lié à la sécurité.
  • Encodage:chaîne.

Remplir les métadonnées utilisateur

User.email_addresses

  • Objectif:stocker les adresses e-mail de l'utilisateur.
  • Encodage:chaîne répétée.
  • Exemple:johnlocke@company.example.com

User.employee_id

  • Objectif:stocker l'ID d'employé des ressources humaines de l'utilisateur.
  • Encodage:chaîne.
  • Exemple:11223344.

User.first_name

  • Objectif:stocke le prénom de l'utilisateur.
  • Encodage:chaîne.
  • Exemple:John.

User.middle_name

  • Objectif:stocker le deuxième prénom de l'utilisateur.
  • Encodage:chaîne.
  • Exemple:Anthony.

User.last_name

  • Objectif:stocke le nom de famille de l'utilisateur.
  • Encodage:chaîne.
  • Exemple:Locke.

User.group_identifiers

  • Objectif:stocke le ou les ID de groupe (GUID, OID LDAP ou similaire) associés à un utilisateur.
  • Encodage:chaîne répétée.
  • Exemple:administrateurs-utilisateurs.

User.phone_numbers

  • Objectif:stocker les numéros de téléphone de l'utilisateur.
  • Encodage:chaîne répétée.
  • Exemple:800-555-0101

User.title

  • Objectif:stocke l'intitulé du poste de l'utilisateur.
  • Encodage:chaîne.
  • Exemple:Customer Relationship Manager.

User.user_display_name

  • Objectif:stocker le nom à afficher de l'utilisateur.
  • Encodage:chaîne.
  • Exemple:John Locke.

User.userid

  • Objectif:stocker l'ID utilisateur.
  • Encodage:chaîne.
  • Exemple:jlocke.

User.windows_sid

  • Objectif:stocke l'identifiant de sécurité (SID) Microsoft Windows associé à un utilisateur.
  • Encodage:chaîne.
  • Exemple:S-1-5-21-1180649209-123456789-3582944384-1064

Population de métadonnées de failles

Vulnerability.about

  • Objectif:si la faille concerne un nom spécifique (par exemple, un exécutable), ajoutez-le ici.
  • Encodage:nom. Consultez la section Population de métadonnées nominales.
  • Exemple:exécutable.

Vulnerability.cvss_base_score

  • Objectif:Score de base pour le Common Vulnerability Scoring System (CVSS).
  • Encodage:virgule flottante.
  • Plage:0,0 à 10,0
  • Exemple:8.5

Vulnerability.cvss_vector

  • Objectif:vecteur des propriétés CVSS de la faille. Un score CVSS est composé des métriques suivantes:

    • Vecteur d'attaque (AV)
    • Complexité d'accès (AC)
    • Authentification (Au)
    • Impact sur la confidentialité (C)
    • Impact sur l'intégrité (I)
    • Impact sur la disponibilité (A)

    Pour en savoir plus, consultez https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator.

  • Encodage:chaîne.

  • Exemple:AV:L/AC:H/Au:N/C:N/I:P/A:C

Vulnerability.cvss_version

  • Objectif:version CVSS du score de faille ou du vecteur.
  • Encodage:chaîne.
  • Exemple:3.1

Vulnerability.description

  • Objectif:description de la faille.
  • Encodage:chaîne.

Vulnerability.first_found

  • Objectif:pour les produits qui conservent un historique des analyses de failles, la valeur "first_found" doit indiquer l'heure à laquelle la faille pour cet élément a été détectée pour la première fois.
  • Encodage:chaîne.

Vulnerability.last_found

  • Objectif:pour les produits qui conservent un historique des analyses de failles, le champ "last_found" doit indiquer l'heure de la dernière détection de la faille pour cet élément.
  • Encodage:chaîne.

Vulnerability.name

  • Objectif:nom de la faille.
  • Encodage:chaîne.
  • Exemple:Détection d'une version non compatible du système d'exploitation.

Vulnerability.scan_end_time

  • Objectif:si la faille a été découverte lors d'une analyse d'éléments, renseignez ce champ avec l'heure de fin de l'analyse. Laissez ce champ vide si l'heure de fin n'est pas disponible ou si elle n'est pas applicable.
  • Encodage:chaîne.

Vulnerability.scan_start_time

  • Objectif:si la faille a été découverte lors d'une analyse d'éléments, renseignez ce champ avec l'heure à laquelle l'analyse a commencé. Laissez ce champ vide si l'heure de début n'est pas disponible ou si elle n'est pas applicable.
  • Encodage:chaîne.

Vulnerability.severity

  • Objectif:gravité de la faille.
  • Encodage:type énuméré.
  • Valeurs possibles:
    • UNKNOWN_SEVERITY
    • LOW (FAIBLE)
    • MOYENNE
    • ÉLEVÉ

Vulnerability.severity_details

  • Objectif:détails sur la gravité spécifique au fournisseur.
  • Encodage:chaîne.

Remplir les métadonnées d'alerte

idm.is_significant

  • Objectif:indique si l'alerte doit être affichée dans Enterprise Insights.
  • Encodage:booléen

idm.is_alert

  • Objectif:indique si l'événement est une alerte.
  • Encodage:booléen

Champs obligatoires et facultatifs en fonction du type d'événement

Cette section décrit les champs obligatoires et facultatifs à renseigner en fonction du type d'événement UDM. Pour obtenir une description de ces champs, consultez la liste de champs du modèle de données unifié.

EMAIL_TRANSACTION

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal: renseignez les informations relatives à la machine d'où provient l'e-mail. Par exemple, l'adresse IP de l'expéditeur.

Champs facultatifs :

  • about: URL, adresses IP, domaines et pièces jointes des fichiers intégrés dans le corps de l'e-mail.
  • securityResult.about: URL, adresses IP et fichiers incorrects intégrés dans le corps de l'e-mail.
  • network.email: informations sur l'expéditeur/le destinataire des e-mails
  • principal: si des données sur la machine cliente sont disponibles sur la machine cliente qui a envoyé l'e-mail, renseignez les détails du serveur dans le compte principal (par exemple, le processus client, les numéros de port, le nom d'utilisateur, etc.).
  • target: s'il existe des données du serveur de messagerie de destination, renseignez les informations sur le serveur dans la cible (par exemple, l'adresse IP).
  • intermédiaire: s'il existe des données de serveur de messagerie ou de proxy de messagerie, renseignez les détails du serveur dans la valeur intermédiaire.

Remarques :

  • Ne remplissez jamais les champs principal.email ou target.email.
  • Renseignez uniquement le champ d'adresse e-mail dans security_result.about ou network.email.
  • Les résultats du niveau de sécurité de premier niveau ont généralement un nom (facultatif pour le spam).

FILE_CREATION, FILE_DELETION, FILE_MODIFICATION, FILE_READ et FILE_OPEN

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal:
    • Au moins un identifiant de machine.
    • (Facultatif) Renseignez "principal.process" avec des informations sur le processus accédant au fichier.
  • target:
    • Si le fichier est distant (par exemple, un partage SMB), la cible doit inclure au moins un identifiant pour la machine cible. Sinon, tous les identifiants de la machine doivent être vides.
    • Renseignez le fichier target.file avec les informations sur le fichier.

Facultatif :

  • security_result: décrit l'activité malveillante détectée.
  • principal.user: renseigner ce champ si des informations utilisateur sont disponibles sur le processus.

FILE_COPY

Champs obligatoires :

  • metadata: incluez les champs obligatoires tel que décrit.
  • principal:
    • Au moins un identifiant de machine.
    • (Facultatif) Renseignez le champ principal.process avec des informations sur le processus effectuant l'opération de copie de fichier.
  • src:
    • Renseignez le fichier src.file avec des informations sur le fichier source.
    • Si le fichier est distant (par exemple, le partage SMB), src doit inclure au moins un identifiant d'ordinateur pour la machine source qui stocke le fichier source.
  • target:
    • Renseignez le champ target.file avec les informations sur le fichier cible.
    • Si le fichier est distant (par exemple, un partage SMB), le champ target doit inclure au moins un identifiant pour la machine cible qui contient le fichier cible.

Champs facultatifs :

  • security_result: décrit l'activité malveillante détectée.
  • principal.user: renseigner ce champ si des informations utilisateur sont disponibles sur le processus.

MUTEX_CREATION

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal:
    • Au moins un identifiant de machine.
    • Renseignez "principal.process" avec les informations relatives au processus de création du mutex.
  • target:
    • Renseignez le champ target.resource.
    • Renseignez target.resource.type avec MUTEX.
    • Dans target.resource.name, indiquez le nom du mutex créé.

Facultatif :

  • security_result: décrit l'activité malveillante détectée.
  • principal.user: renseigner ce champ si des informations utilisateur sont disponibles sur le processus.
Exemple de UDM pour MUTEX_CREATION

L'exemple suivant montre comment un événement de type MUTEX_CREATION serait mis en forme pour l'UAM Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: MUTEX_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.altostrat.com"
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  resource {
    type: "MUTEX"
    name: "test-mutex"
  }
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes:

  • métadonnées: informations contextuelles sur l'événement.
  • principal: informations sur les appareils et les processus.
  • target: informations sur le mutex

NETWORK_CONNECTION

Champs obligatoires :

  • metadata: event_timestamp
  • principal: inclure des informations sur la machine qui a initié la connexion réseau (par exemple, la source).
  • target: inclure des informations sur la machine cible si elle est différente de la machine principale.
  • network: capture les détails de la connexion réseau (ports, protocole, etc.).

Champs facultatifs :

  • principal.process et target.process: incluent les informations de processus associées au compte principal et à la cible de la connexion réseau (le cas échéant).
  • principal.user et target.user: inclure les informations utilisateur associées au compte principal et à la cible de la connexion réseau (si disponibles).

NETWORK_HTTP

Le type d'événement NETWORK_HTTP représente une connexion réseau HTTP entre un compte principal et un serveur Web cible.

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal: représente le client qui lance la requête Web et inclut au moins un identifiant de machine (par exemple, nom d'hôte, adresse IP, MAC, identifiant d'élément propriétaire) ou un identifiant d'utilisateur (par exemple, un nom d'utilisateur). Si une connexion réseau spécifique est décrite et qu'un numéro de port client est disponible, une seule adresse IP doit être spécifiée, ainsi que le numéro de port associé à cette connexion réseau (bien que d'autres identifiants de machine puissent être fournis pour mieux décrire l'appareil du participant). Si aucun port source n'est disponible, toutes les adresses IP et MAC, les identifiants d'éléments et les valeurs d'hôte décrivant l'appareil principal peuvent être spécifiés.
  • target: représente le serveur Web et inclut les informations sur l'appareil et éventuellement un numéro de port. Si un numéro de port cible est disponible, indiquez une seule adresse IP en plus du numéro de port associé à cette connexion réseau (bien que plusieurs autres identifiants de machine puissent être fournis pour la cible). Pour target.url, renseignez l'URL consultée.
  • network et network.http: incluent des détails sur la connexion réseau HTTP. Vous devez renseigner les champs suivants :
    • network.ip_protocol
    • network.application_protocol
    • network.http.method

Champs facultatifs :

  • about: représente les autres entités trouvées dans la transaction HTTP (par exemple, un fichier importé ou téléchargé).
  • intermédiaire: représente un serveur proxy (s'il est différent du serveur principal ou de la cible).
  • metadata: renseignez les autres champs de métadonnées.
  • network: renseignez les autres champs de réseau.
  • network.email: si la connexion réseau HTTP provient d'une URL qui s'affiche dans un e-mail, renseignez les détails sur network.email.
  • observateur: représente un outil de détection passif (le cas échéant).
  • security_result: ajoute un ou plusieurs éléments au champ "security_result" pour représenter l'activité malveillante détectée.
Exemple de UDM pour NETWORK_HTTP

L'exemple suivant montre comment un événement antivirus Sophos de type NETWORK_HTTP serait converti au format Chronicle UDM.

Voici l'événement antivirus Sophos d'origine:

date=2013-08-07 time=13:27:41 timezone="GMT" device_name="CC500ia" device_id= C070123456-ABCDE log_id=030906208001 log_type="Anti-Virus" log_component="HTTP" log_subtype="Virus" status="" priority=Critical fw_rule_id=0 user_name="john.smith" iap=7 av_policy_name="" virus="TR/ElderadoB.A.78" url="altostrat.fr/img/logo.gif" domainname="altostrat.fr" src_ip=10.10.2.10 src_port=60671 src_country_code= dst_ip=203.0.113.31 dst_port=80 dst_country_code=FRA

Voici comment mettre en forme les mêmes informations dans Proto3 à l'aide de la syntaxe UDM de Chronicle:

metadata {
  event_timestamp: "2013-08-07T13:27:41+00:00"
  event_type: NETWORK_HTTP
  product_name: "Sophos Antivirus"
  product_log_id: "030906208001"
}

principal {
  hostname: "CC500ia"
  asset_id: "Sophos.AV:C070123456-ABCDE"
  ip: "10.10.2.10"
  port: 60671
  user {  userid: "john.smith" }
}

target {
  hostname: "altostrat.fr"
  ip: "203.0.113.31"
  port: 80
  url: "altostrat.fr/img/logo.gif"
}

network {
  ip_protocol: TCP
 }

security_result {
  about {
    url: "altostrat.fr/img/logo.gif"
    category: SOFTWARE_MALICIOUS
    category_details: "Virus"
    threat_name: "TR/ElderadoB.A.78"
    severity: HIGH                   # Chronicle-normalized severity
    severity_details: "Critical"    # Vendor-specific severity string
  }
}

additional { "dst_country_code" : "FRA", "iap" : "7" "fw_rule_id" : "0" }

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes:

  • métadonnées: informations contextuelles sur l'événement.
  • principal: appareil de sécurité qui a détecté l'événement.
  • cible: appareil ayant reçu le logiciel malveillant
  • network: informations réseau concernant l'hôte malveillant.
  • security_result: informations de sécurité relatives au logiciel malveillant.
  • supplémentaires: informations sur le fournisseur qui ne sont pas couvertes par l'UDM.

PROCESS_INJECTION, PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_TERMINATION, PROCESS_UNCATEGORIZED

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal:
    • Au moins un identifiant de machine.
    • Pour les événements d'injection et d'arrêt de processus, le cas échéant, principal.process doit inclure des informations sur le processus à l'origine de l'action. Par exemple, pour un événement de lancement de processus, principal.process doit inclure des détails sur le processus parent, le cas échéant.
  • target:
    • target.process: inclut des informations sur le processus en cours d'injection, d'ouverture, de lancement ou d'arrêt.
    • Si le processus cible est distant, la cible doit inclure au moins un identifiant pour la machine cible (par exemple, une adresse IP, un MAC, un nom d'hôte ou un identifiant d'élément tiers).

Champs facultatifs :

  • security_result: décrit l'activité malveillante détectée.
  • principal.user et target.user: renseignez le processus de lancement (principal) et le processus cible si les informations sur l'utilisateur sont disponibles.
Exemple de UDM pour PROCESS_LAUNCH

L'exemple suivant montre comment mettre en forme un événement PROCESS_LAUNCH à l'aide de la syntaxe Chronicle UDM:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_LAUNCH
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes:

  • métadonnées: informations contextuelles sur l'événement.
  • principal: détails de l'appareil.
  • target: Détails du processus

PROCESS_MODULE_LOAD

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal:
    • Au moins un identifiant de machine.
    • principal.process: processus de chargement du module.
  • target:
    • target.process: inclut des informations sur le processus.
    • target.process.file: module chargé (par exemple, DLL ou objet partagé).

Champs facultatifs :

  • security_result: décrit l'activité malveillante détectée.
  • principal.user: renseigner ce champ si des informations utilisateur sont disponibles sur le processus.
Exemple de UDM pour PROCESS_MODULE_LOAD

L'exemple suivant montre comment mettre en forme un événement PROCESS_MODULE_LOAD à l'aide de la syntaxe Chronicle UDM:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_MODULE_LOAD
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes:

  • métadonnées: informations contextuelles sur l'événement.
  • principal: détails concernant l'appareil et le processus de chargement du module.
  • target: détails du processus et du module

PROCESS_PRIVILEGE_ESCALATION

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal:
    • Au moins un identifiant de machine.
    • principal.process: processus de chargement du module.
    • principal.user: utilisateur chargeant le module.

Champs facultatifs :

  • security_result: décrit l'activité malveillante détectée.
Exemple de UDM pour PROCESS_PRIVILEGE_ESCALATION

L'exemple suivant montre comment mettre en forme un événement PROCESS_PRIVILEGE_ESCALATION à l'aide de la syntaxe Chronicle UDM:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_PRIVILEGE_ESCALATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes:

  • métadonnées: informations contextuelles sur l'événement.
  • principal: informations sur l'appareil, l'utilisateur et le processus de chargement du module.
  • target: détails du processus et du module

REGISTRY_CREATION, REGISTRY_MODIFICATION, REGISTRY_DELETION

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal:
    • Au moins un identifiant de machine.
    • Si un processus en mode utilisateur effectue la modification du registre, principal.process doit inclure des informations sur le processus de modification du registre.
    • Si un processus du noyau effectue la modification du registre, le compte principal ne doit pas inclure d'informations sur le processus.
  • target:
    • target.registry: si le registre cible est distant, la cible doit inclure au moins un identifiant pour la machine cible (par exemple, une adresse IP, une adresse MAC, un nom d'hôte ou un identifiant d'élément tiers).
    • target.registry.registry_key: tous les événements de registre doivent inclure la clé de registre concernée.

Facultatif :

  • security_result::décrit l'activité malveillante détectée. Par exemple, une clé de registre mauvaise.
  • principal.user::à renseigner si des informations utilisateur sont disponibles sur le processus.
Exemple de UDM pour REGISTRY_MODIFICATION

L'exemple suivant montre comment mettre en forme un événement REGISTRY_MODIFICATION dans Proto3 à l'aide de la syntaxe Chronicle UDM:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: REGISTRY_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test-win"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  registry {
    registry_key: "\\REGISTRY\\USER\\TEST_USER\\Control Panel\\PowerCfg\\PowerPolicy"
    registry_value_name: "Description"
    registry_value_data: "For extending battery life."
  }
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes:

  • métadonnées: informations contextuelles sur l'événement.
  • principal: informations sur l'appareil, l'utilisateur et le processus.
  • target: entrée de registre affectée par la modification.

SCAN_FILE, SCAN_HOST, SCAN_PROCESS, SCAN_VULN_HOST, SCAN_VULN_NETWORK

Champs obligatoires :

  • extensions: pour SCAN_VULN_HOST et SCAN_VULN_NETWORK, définissez la faille à l'aide du champ extensions.vuln.
  • metadata: event_timestamp
  • Observateur: capture des informations sur l'analyseur lui-même. Si l'outil d'analyse est distant, les détails de la machine doivent être enregistrés par le champ "Observateur". Pour un scanner local, laissez ce champ vide.
  • target: capture des informations sur la machine qui contient l'objet analysé. Si un fichier est en cours d'analyse, target.file doit capturer des informations sur ce fichier. Si un processus est analysé, target.process doit capturer des informations sur ce processus.

Champs facultatifs :

  • target: Les informations sur l'utilisateur concernant l'objet cible (par exemple, le créateur du fichier ou le propriétaire du processus) doivent être capturées dans target.user.
  • security_result: décrit l'activité malveillante détectée.
Exemple de UDM pour SCAN_HOST

L'exemple suivant montre comment un événement de type SCAN_HOST serait formaté pour l'UAM Chronicle:

metadata: {
  event_timestamp: {
    seconds: 1571386978
  }
  event_type: SCAN_HOST
  vendor_name: "vendor"
  product_name: "product"
  product_version: "1.0"
}
target: {
  hostname: "testHost"
  asset_id: "asset"
  ip: "192.168.200.200"
}
observer: {
  hostname: "testObserver"
  ip: "192.168.100.100"
}
security_result: {
  severity: LOW
  confidence: HIGH_CONFIDENCE
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes:

  • métadonnées: informations contextuelles sur l'événement.
  • cible: appareil ayant reçu le logiciel malveillant
  • Observateur: appareil qui observe l'événement en question et le signale
  • security_result: informations de sécurité relatives au logiciel malveillant.

SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_DISABLE, SCHEDULED_TASK_ENABLE, SCHEDULED_TASK_MODIFICATION, SCHEDULED_TASK_UNCATEGORIZED

Champs obligatoires :

  • principal: pour tous les événements SCHEDULED_TASK, le compte principal doit inclure un identifiant de machine et un identifiant utilisateur.
  • target: la cible doit inclure une ressource valide et un type de ressource défini sur "TASK".

Champs facultatifs :

  • security_result: décrit l'activité malveillante détectée.
Exemple de UDM pour SCHEDULED_TASK_CREATION

L'exemple suivant montre comment un événement de type SCHEDULED_TASK_CREATION peut être formaté pour l'UDM Chronicle:

metadata: {
  event_timestamp: {
    seconds: 1577577998
  }
  event_type: SCHEDULED_TASK_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal: {
  hostname: "fake-host.altostrat.com"
  user: {
    userid: "TestUser"
    windows_sid: "AB123CDE"
  }
  process {
    pid: "1234"
  }
}
target: {
  resource: {
    type: "TASK"
    name: "\\Adobe Acrobat Update Task"
  }
}
intermediary: {
  hostname: "fake-intermediary.altostrat.com"
}
security_result: {
  rule_name: "EventID: 6789"
  summary: "A scheduled task was created."
  severity: INFORMATIONAL
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes:

  • métadonnées: informations contextuelles sur l'événement.
  • compte principal: appareil qui a planifié la tâche suspecte.
  • target: logiciel ciblé par la tâche suspecte.
  • intermédiaire: intermédiaire impliqué dans la tâche suspecte.
  • security_result: détails de sécurité sur la tâche suspecte.

SETTING_UNCATEGORIZED, SETTING_CREATION, SETTING_MODIFICATION, SETTING_DELETION

Champs obligatoires :

  • principal: doit être présent, non vide et inclure un identifiant de machine.
  • target: doit être présent, non vide et inclure une ressource dont le type est spécifié comme SETTING.
Exemple d'UAM pour le type d'événement SETTING_MODIFICATION

L'exemple suivant montre comment un événement de type SETTING_MODIFICATION serait formaté pour l'UDM Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SETTING_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.win.com"
}
target {
  resource {
    type: "SETTING"
    name: "test-setting"
  }
}

Comme le montre cet exemple, l'événement a été divisé en deux catégories:

  • métadonnées: informations contextuelles sur l'événement.
  • principal: informations concernant l'appareil sur lequel le paramètre a été modifié.
  • target: détails de la ressource

SERVICE_UNSPECIFIED, SERVICE_CREATION, SERVICE_DELETION, SERVICE_START, SERVICE_STOP

Champs obligatoires :

  • target: incluez l'identifiant de l'utilisateur et spécifiez le processus ou l'application.
  • principal: incluez au moins un identifiant de machine (adresse IP ou MAC, nom d'hôte ou identifiant d'élément).
Exemple de UDM pour SERVICE_UNSPECIFIED

L'exemple suivant montre le format d'un événement de type SERVICE_UNSPECIFIED pour l'UAM Chronicle:

metadata: {
 event_timestamp: {
   seconds: 1595656745
   nanos: 832000000
    }
 event_type: SERVICE_UNSPECIFIED
   vendor_name: "Preempt"
   product_name: "PREEMPT_AUTH"
   product_event_type: "SERVICE_ACCESS"
   description: "Remote Procedures (RPC)"
   }
 principal: {
   hostname: "XXX-YYY-ZZZ"
   ip: "10.10.10.10"
   }
 target: {
   hostname: "TestHost"
   user: {
      userid: "ORG\\User"
      user_display_name: "user name"
   }
 application: "application.name"
   resource: {
      type: "Service Type"
      name: "RPC"
   }
 }

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes:

  • métadonnées: informations contextuelles sur l'événement.
  • principal: informations sur l'appareil et l'emplacement.
  • target: nom d'hôte et identifiant de l'utilisateur.
  • application: nom de l'application et type de ressource.

STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, STATUS_UPDATE

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal: au moins un identifiant de machine (adresse IP ou MAC, nom d'hôte ou identifiant d'élément).
Exemple de UDM pour STATUS_HEARTBEAT

L'exemple suivant montre le format d'un événement de type STATUS_HEARTBEAT pour l'UAM Chronicle:

metadata: {
  event_timestamp: {
    seconds: 1588180305
  }
  event_type: STATUS_HEARTBEAT
  vendor_name: "DMP"
  product_name: "ENTRE"
}
principal: {
  hostname: "testHost"
  location: {
    name: "Building 1"
  }
}
intermediary: {
  ip: "8.8.8.8"
}
security_result: {
  summary: "Event - Locked"
  description: "description"
  severity: LOW
  severity_details: "INFO"
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes:

  • métadonnées: informations contextuelles sur l'événement.
  • principal: informations sur l'appareil et l'emplacement.
  • intermédiaire: adresse IP de l'appareil.
  • security_result: détails des résultats de sécurité.

SYSTEM_AUDIT_LOG_UNCATEGORIZED, SYSTEM_AUDIT_LOG_WIPE

Champs obligatoires :

  • principal: incluez un identifiant pour l'utilisateur qui a effectué l'opération sur le journal et un identifiant pour la machine sur laquelle le journal est ou a été stocké (en cas d'effacement).
Exemple UDM pour SYSTEM_AUDIT_LOG_WIPE

L'exemple suivant montre comment un événement de type SYSTEM_AUDIT_LOG_WIPE serait formaté pour l'UDM Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SYSTEM_AUDIT_LOG_WIPE
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes:

  • métadonnées: informations contextuelles sur l'événement.
  • principal: informations sur l'appareil et l'utilisateur.

USER_CHANGE_PASSWORD et USER_CHANGE_PERMISSIONS

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • compte principal: si le compte utilisateur est modifié à partir d'un emplacement distant, renseignez le compte principal avec les informations relatives à la machine à l'origine de la modification par l'utilisateur.
  • target: renseigne target.user avec les informations sur l'utilisateur qui a été modifié.
  • intermédiaire: pour les connexions SSO, l'intermédiaire doit inclure au moins un identifiant de machine pour le serveur SSO, s'il est disponible.

USER_COMMUNICATION

Champs obligatoires :

  • principal:remplissez le champ principal.user avec les détails associés à la communication initiée par l'utilisateur (expéditeur), comme un message de chat dans Google Chat ou Slack, une visioconférence ou une conférence vocale dans Zoom ou Google Meet, ou une connexion VoIP.

Champs facultatifs :

  • target (recommandé) : remplissez le champ target.user avec les informations sur l'utilisateur cible (destinataire) de la ressource de communication cloud. Renseignez le champ target.application avec les informations relatives à l'application de communication cloud cible.

USER_CREATION, USER_DELETION

Champs obligatoires :

  • metadata:event_timestamp
  • principal:incluez des informations sur la machine sur laquelle provient la requête de création ou de suppression de l'utilisateur. Pour créer ou supprimer un utilisateur local, le compte principal doit inclure au moins un identifiant de machine pour la machine d'origine.
  • target:emplacement où l'utilisateur est créé. Il doit également inclure des informations utilisateur (par exemple, target.user).

Champs facultatifs :

  • principal:informations sur l'utilisateur et le processus de la machine sur laquelle la demande de création ou de suppression de l'utilisateur a été lancée.
  • target:informations sur la machine cible (si différente de la machine principale).

USER_IDENTIFIER, USER_LOGOUT

Champs obligatoires :

  • metadata: incluez les champs obligatoires.
  • principal: pour l'activité d'un utilisateur à distance (par exemple, connexion à distance), remplissez le compte principal avec des informations sur la machine à l'origine de l'activité de l'utilisateur. Pour l'activité d'un utilisateur local (par exemple, connexion locale), ne définissez pas de compte principal.
  • target: renseigne "target.user" avec les informations sur l'utilisateur qui s'est connecté ou s'est déconnecté. Si le compte principal n'est pas défini (par exemple, connexion locale), la cible doit également inclure au moins un identifiant qui l'identifie. Pour l'activité des utilisateurs de machine à machine (par exemple, connexion à distance, authentification unique, service cloud ou VPN), la cible doit inclure des informations sur l'application, la machine cible ou le serveur VPN cible.
  • intermédiaire: pour les connexions SSO, l'intermédiaire doit inclure au moins un identifiant de machine pour le serveur SSO, s'il est disponible.
  • network et network.http: si la connexion s'effectue via HTTP, vous devez placer toutes les informations disponibles dans network.ip_protocol, network.application_protocol et network.http.
  • Extension authentication: doit identifier le type de système d'authentification auquel l'événement est lié (par exemple, machine, SSO ou VPN) et le mécanisme utilisé (nom d'utilisateur et mot de passe, OTP, etc.).
  • security_result: ajoutez un champ "security_result" pour représenter l'état de la connexion en cas d'échec. Spécifiez security_result.category avec la valeur AUTH_VIOLATION si l'authentification échoue.

USER_RESOURCE_ACCESS

Champs obligatoires :

  • principal:remplissez le champ principal.user avec les détails des tentatives d'accès à une ressource cloud (par exemple, un dossier Salesforce, un agenda Office365, un document Google Docs ou un ticket ServiceNow).
  • target:renseignez le champ target.resource avec les informations relatives à la ressource cloud cible.

Champs facultatifs :

  • target.application: : (recommandé) renseignez le champ target.application: avec les informations sur l'application cloud cible.

USER_RESOURCE_CREATION, USER_RESOURCE_DELETION

Champs obligatoires :

  • principal:remplissez le champ principal.user avec les détails associés à l'utilisateur créé dans une ressource cloud (par exemple, une demande Salesforce, un agenda Office365, un document Google Docs ou un ticket ServiceNow).
  • target:renseignez le champ target.resource avec les informations relatives à la ressource cloud cible.

Champs facultatifs :

  • target.application: : (recommandé) renseignez le champ target.application: avec les informations sur l'application cloud cible.

USER_RESOURCE_UPDATE_CONTENT

Champs obligatoires :

  • principal:remplissez le champ principal.user avec les informations associées à l'utilisateur dont le contenu a été mis à jour dans une ressource cloud (par exemple, une demande Salesforce, un agenda Office365, un document Google Docs ou un ticket ServiceNow).
  • target:renseignez le champ target.resource avec les informations relatives à la ressource cloud cible.

Champs facultatifs :

  • target.application: : (recommandé) renseignez le champ target.application: avec les informations sur l'application cloud cible.

USER_RESOURCE_UPDATE_PERMISSIONS

Champs obligatoires :

  • principal:remplissez le champ principal.user avec les informations associées à l'utilisateur dont les autorisations ont été mises à jour dans une ressource cloud (par exemple, une demande Salesforce, un calendrier Office365, un document Google Docs ou un ticket ServiceNow).
  • target:renseignez le champ target.resource avec les informations relatives à la ressource cloud cible.

Champs facultatifs :

  • target.application: : (recommandé) renseignez le champ target.application: avec les informations sur l'application cloud cible.

USER_UNCATEGORIZED

Champs obligatoires :

  • metadata:event_timestamp
  • principal:incluez des informations sur la machine sur laquelle provient la requête de création ou de suppression de l'utilisateur. Pour créer ou supprimer un utilisateur local, le compte principal doit inclure au moins un identifiant de machine pour la machine d'origine.
  • target:emplacement où l'utilisateur est créé. Il doit également inclure des informations utilisateur (par exemple, target.user).

Champs facultatifs :

  • principal:informations sur l'utilisateur et le processus de la machine sur laquelle la demande de création ou de suppression de l'utilisateur a été lancée.
  • target:informations sur la machine cible (si différente de la machine principale).