Partager via


Informations de référence sur le schéma de normalisation d’authentification ASIM (Advanced Security Information Model) (préversion publique)

Le modèle d’authentification Microsoft Sentinel est utilisé pour décrire les événements liés à l’authentification des utilisateurs, à la connexion et à la déconnexion. Les événements d’authentification sont envoyés par de nombreux appareils de création de rapports, généralement dans le cadre du flux d’événements en même temps que d’autres événements. Par exemple, Windows envoie plusieurs événements d’authentification avec d’autres événements d’activité du système d’exploitation.

Les événements d’authentification incluent les événements des systèmes qui se concentrent sur l’authentification, tels que les passerelles VPN ou les contrôleurs de domaine, et l’authentification directe sur un système final, tel qu’un ordinateur ou un pare-feu.

Pour plus d’informations sur la normalisation dans Microsoft Sentinel, consultez Normalisation et Advanced SIEM Information Model (ASIM).

Important

Le schéma de normalisation de l’authentification est en préversion. Cette fonctionnalité est fournie sans contrat de niveau de service et n’est pas recommandée pour des charges de travail de production.

Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.

Analyseurs

Déployez les analyseurs d’authentification ASIM à partir du référentiel GitHub de Microsoft Sentinel. Pour plus d’informations sur les analyseurs ASIM, consultez les articles Vue d’ensemble des analyseurs ASIM.

Analyseurs d’unification

Pour utiliser des analyseurs qui unifient tous les analyseurs prêts à l’emploi ASIM et garantissent l’exécution de votre analyse sur toutes les sources configurées, utilisez l’analyseur de filtrage imAuthentication ou l’analyseur sans paramètre ASimAuthentication.

Analyseurs spécifiques de la source

Pour obtenir la liste des analyseurs d’authentification Microsoft Sentinel, reportez-vous à la liste des analyseurs ASIM :

Ajouter vos propres analyseurs normalisés

Quand vous implémentez des analyseurs personnalisés pour le modèle d’informations sur l’authentification, nommez vos fonctions KQL avec la syntaxe suivante :

  • vimAuthentication<vendor><Product> pour filtrer des analyseurs
  • ASimAuthentication<vendor><Product> pour les analyseurs sans paramètres

Pour plus d’informations sur l’ajout de vos analyseurs personnalisés à l’analyseur d’unification, reportez-vous à Gestion des analyseurs ASIM.

Paramètres de filtrage des analyseurs

Les analyseurs im et vim* prennent en charge les paramètres de filtrage. Bien que ces analyseurs soient facultatifs, ils peuvent améliorer les performances de vos requêtes.

Les paramètres de filtrage suivants sont disponibles :

Nom Type Description
starttime DATETIME Filtrez uniquement les événements d’authentification qui ont été exécutés à ce moment-là ou après.
endtime DATETIME Filtrez uniquement les événements d’authentification dont l’exécution s’est terminée à ce moment-là ou avant.
targetusername_has string Filtrez uniquement les événements d’authentification qui ont l’un des noms d’utilisateur listés.

Par exemple, pour filtrer uniquement les événements d’authentification du dernier jour sur un utilisateur spécifique, utilisez :

imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())

Conseil

Pour transmettre une liste de littéraux aux paramètres qui attendent une valeur dynamique, utilisez explicitement un littéral dynamique. Par exemple : dynamic(['192.168.','10.']).

Contenu normalisé

Les règles d’analytique d’authentification normalisée sont uniques, car elles détectent les attaques entre les sources. Ainsi, si un utilisateur s’est connecté à des systèmes différents et non liés, à partir de différents pays ou régions, Microsoft Sentinel détecte désormais cette menace.

Pour obtenir la liste complète des règles d’analyse qui utilisent des événements d’authentification normalisés, consultez Contenu de sécurité du schéma d’authentification.

Vue d’ensemble du schéma

Le modèle d’informations de l’authentification est aligné sur le schéma d’entité de connexion OSSEM.

Les champs listés dans le tableau ci-dessous sont propres aux événements d’authentification, mais sont similaires aux champs d’autres schémas et suivent des conventions d’affectation de noms similaires.

Les événements d’authentification référencent les entités suivantes :

  • TargetUser : informations de l’utilisateur utilisées pour l’authentification auprès du système. Le TargetSystem est le sujet principal de l’événement d’authentification, et l’alias utilisateur qu’un TargetUser a identifié.
  • TargetApp : application où l’authentification a eu lieu.
  • Cible : système sur lequel TargetApp* est en cours d’exécution.
  • Actor : utilisateur qui lance l’authentification, s’il diffère de TargetUser.
  • ActingApp : application utilisée par l'Actor pour effectuer l’authentification.
  • Src : système utilisé par l'Actor pour lancer l’authentification.

La relation entre ces entités est mieux illustrée comme suit :

Un Actor exécutant une application agissante (ActingApp) sur un appareil source (Src) tente d’authentifier un utilisateur cible (TargetUser) auprès d’une application cible (TargetApp) sur un appareil cible (TargetDvc).

Détails du schéma

Dans les tableaux suivants, le terme Type fait référence à un type logique. Pour plus d’informations, consultez Types logiques.

Champs ASIM communs

Important

Les champs communs à tous les schémas sont décrits en détail dans l’article Champs communs ASIM.

Champs communs avec des instructions spécifiques

La liste suivante mentionne uniquement les champs qui ont des instructions spécifiques pour des événements d’authentification :

Champ Classe Type Description
EventType Obligatoire Énuméré Décrit l’opération signalée par l’enregistrement.

Pour les enregistrements d’authentification, les valeurs prises en charge sont les suivantes :
- Logon
- Logoff
- Elevate
EventResultDetails Recommandé String Détails associés au résultat de l’événement. Ce champ est généralement rempli lorsque le résultat est un échec.

Les valeurs autorisées sont les suivantes :
- No such user or password. Cette valeur doit également être utilisée quand l’événement d’origine signale qu’il n’existe pas d’utilisateur de ce type, sans référence à un mot de passe.
- No such user
- Incorrect password
- Incorrect key
- Account expired
- Password expired
- User locked
- User disabled
- Logon violates policy. Cette valeur doit être utilisée quand l’événement d’origine signale, par exemple : authentification multifacteur requise, ouverture de session en dehors des heures de travail, restrictions d’accès conditionnel ou tentatives trop fréquentes.
- Session expired
- Other

La valeur peut être fournie dans l’enregistrement source à l’aide de termes différents, qui doivent être normalisés avec ces valeurs. La valeur d’origine doit être stockée dans le champ EventOriginalResultDetails
EventSubType Facultatif String Type de connexion. Les valeurs autorisées sont les suivantes :
- System
- Interactive
- RemoteInteractive
- Service
- RemoteService
- Remote  : utilisé quand le type de connexion à distance est inconnu.
- AssumeRole : généralement utilisé lorsque le type d’événement est Elevate.

La valeur peut être fournie dans l’enregistrement source à l’aide de termes différents, qui doivent être normalisés avec ces valeurs. La valeur d’origine doit être stockée dans le champ EventOriginalSubType.
EventSchemaVersion Obligatoire Chaîne Version du schéma. La version du schéma documenté ici est 0.1.3
EventSchema Obligatoire Chaîne Le nom du schéma documenté ici est Authentification.
Champs Dvc - - Pour les événements d’authentification, les champs d’appareil font référence au système qui signale l’événement.

Tous les champs communs

Les champs qui apparaissent dans le tableau ci-dessous sont communs à tous les schémas ASIM. Toute instruction spécifiée ci-dessus remplace les instructions générales pour le champ. Par exemple, un champ peut être facultatif en général, mais obligatoire pour un schéma spécifique. Pour plus d’informations sur chaque champ, reportez-vous à l’article Champs communs ASIM.

Classe Fields
Obligatoire - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Recommandé - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Facultatif - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

Champs propres à l’authentification

Champ Classe Type Description
LogonMethod Facultatif Chaîne Méthode utilisée pour effectuer l’authentification.

Exemples : Username & Password, PKI
LogonProtocol Facultatif Chaîne Protocole utilisé pour effectuer l’authentification.

Exemple : NTLM

Champs d’intervenant

Champ Classe Type Description
ActorUserId Facultatif String Représentation unique, alphanumérique et lisible par l’ordinateur de l’intervenant. Pour plus d’informations et pour obtenir d’autres champs d’ID supplémentaires, consultez L’entité Utilisateur.

Exemple : S-1-12-1-4141952679-1282074057-627758481-2916039507
ActorScope Facultatif String L’étendue, par exemple, tel que le locataire Microsoft Entra, dans lequel ActorUserId et ActorUsername sont définis. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserScope dans l’article Vue d’ensemble du schéma.
ActorScopeId Facultatif String ID d’étendue, par exemple, l’ID d’annuaire Microsoft Entra, où sont définis ActorUserId et ActorUsername. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserScopeId dans l’article Vue d’ensemble du schéma.
ActorUserIdType Logique conditionnelle UserIdType Type de l’ID stocké dans le champ ActorUserId. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserIdType dans l'article Vue d’ensemble du schéma.
ActorUsername Facultatif Nom d’utilisateur Nom d’utilisateur de l’intervenant, y compris les informations de domaine, le cas échéant. Pour plus d’informations, consultez L’entité utilisateur.

Exemple : AlbertE
ActorUsernameType Logique conditionnelle UsernameType Spécifie le type du nom d’utilisateur stocké dans le champ ActorUsername. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UsernameType dans l'article Vue d’ensemble du schéma.

Exemple : Windows
ActorUserType Facultatif UserType Type de l’intervenant. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserIdType dans l'article Vue d’ensemble du schéma.

Par exemple : Guest
ActorOriginalUserType Facultatif UserType Type d’utilisateur signalé par le dispositif de reporting.
ActorSessionId Facultatif Chaîne ID unique de la session de connexion de l’intervenant.

Exemple : 102pTUgC3p8RIqHvzxLCHnFlg

Champs Application responsable de l’action

Champ Classe Type Description
ActingAppId Facultatif String ID de l’application effectuant l’autorisation pour le compte de l’intervenant, y compris un processus, un navigateur ou un service.

Par exemple : 0x12ae8
ActingAppName Facultatif String Nom de l’application effectuant l’autorisation pour le compte de l’intervenant, y compris un processus, un navigateur ou un service.

Par exemple : C:\Windows\System32\svchost.exe
ActingAppType Facultatif AppType Type de l’application agissante. Pour plus d’informations et pour obtenir la liste autorisée des valeurs, consultez AppType dans l'article Vue d’ensemble du schéma.
HttpUserAgent Facultatif Chaîne Quand l’authentification est effectuée via HTTP ou HTTPS, la valeur de ce champ est l’en-tête HTTP user_agent fourni par l’application agissante lors de l’exécution de l’authentification.

Par exemple : Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

Champs utilisateur cibles

Champ Classe Type Description
TargetUserId Facultatif UserId Représentation unique, alphanumérique et lisible par l’ordinateur de l’utilisateur cible. Pour plus d’informations et pour obtenir d’autres champs d’ID supplémentaires, consultez L’entité Utilisateur.

Exemple : 00urjk4znu3BcncfY0h7
TargetUserScope Facultatif String Étendue, par exemple, le locataire Microsoft Entra, où sont définis DstUserId et DstUsername. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserScope dans l’article Vue d’ensemble du schéma.
TargetUserScopeId Facultatif String ID d’étendue, par exemple, l’ID d’annuaire Microsoft Entra, où sont définis TargetUserId et TargetUsername. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserScopeId dans l’article Vue d’ensemble du schéma.
TargetUserIdType Logique conditionnelle UserIdType Type de l’identifiant utilisateur stocké dans le champ TargetUserId. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserIdType dans l'article Vue d’ensemble du schéma.

Exemple : SID
TargetUsername Facultatif Nom d’utilisateur Nom d’utilisateur de l’utilisateur cible, y compris les informations de domaine, le cas échéant. Pour plus d’informations, consultez L’entité utilisateur.

Exemple : MarieC
TargetUsernameType Logique conditionnelle UsernameType Spécifie le type du nom d’utilisateur stocké dans le champ TargetUsername. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UsernameType dans l'article Vue d’ensemble du schéma.
TargetUserType Facultatif UserType Type de l’utilisateur cible. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserIdType dans l'article Vue d’ensemble du schéma.

Par exemple : Member
TargetSessionId Facultatif Chaîne Identificateur de la session de connexion de l’utilisateur cible sur l’appareil source.
TargetOriginalUserType Facultatif UserType Type d’utilisateur signalé par le dispositif de reporting.
Utilisateur Alias Nom d’utilisateur Alias de TargetUsername ou TargetUserId si TargetUsername n’est pas défini.

Exemple : CONTOSO\dadmin

Champs Système source

Champ Classe Type Description
Src Recommandé Chaîne Identificateur unique de l’appareil source.

Ce champ peut prendre l’alias des champs SrcDvcId, SrcHostname ou SrcIpAddr.

Exemple : 192.168.12.1
SrcDvcId Facultatif String ID de l’appareil source. Si plusieurs ID sont disponibles, utilisez le plus important et stockez les autres dans les champs SrcDvc<DvcIdType>.

Exemple : ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId Facultatif String ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil source. SrcDvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS.
SrcDvcScope Facultatif String Étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcSubscription correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS.
SrcDvcIdType Logique conditionnelle DvcIdType Type de SrcDvcId. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à DvcIdType dans l’article Vue d’ensemble du schéma.

Remarque: ce champ est obligatoire si le champ SrcDvcld est utilisé.
SrcDeviceType Facultatif DeviceType Type de l’appareil source. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à DeviceType dans l’article Vue d’ensemble du schéma.
SrcHostname Recommandé Nom d’hôte Nom d’hôte de l’appareil source, à l’exception des informations de domaine. Si aucun nom de périphérique n’est disponible, stockez l’adresse IP pertinente dans ce champ.

Exemple : DESKTOP-1282V4D
SrcDomain Recommandé Chaîne Domaine de l’appareil source.

Exemple : Contoso
SrcDomainType Logique conditionnelle DomainType Type de SrcDomain. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à DomainType dans l’article Vue d’ensemble du schéma.

Obligatoire si SrcDomain est utilisé.
SrcFQDN Facultatif String Nom d’hôte de l’appareil source, y compris les informations de domaine, le cas échéant.

Remarque : ce champ prend en charge à la fois le format FQDN traditionnel et le format Windows domain\hostname. Le champ SrcDomainType reflète le format utilisé.

Exemple : Contoso\DESKTOP-1282V4D
SrcDescription Facultatif String Obtient le texte descriptif associé à l’appareil. Par exemple : Primary Domain Controller.
SrcIpAddr Facultatif Adresse IP Adresse IP de l’appareil source.

Exemple : 2.2.2.2
SrcPortNumber Facultatif Integer Port IP d’où provient la connexion.

Exemple : 2335
SrcDvcOs Facultatif Chaîne Système d’exploitation de l’appareil source.

Exemple : Windows 10
IpAddr Alias Alias de SrcIpAddr
SrcIsp Facultatif Chaîne Fournisseur de services Internet (ISP) utilisé par l’appareil source pour se connecter à Internet.

Exemple : corpconnect
SrcGeoCountry Facultatif Pays ou région Exemple : Canada

Pour plus d’informations, consultez Types logiques.
SrcGeoCity Facultatif City Exemple : Montreal

Pour plus d’informations, consultez Types logiques.
SrcGeoRegion Facultatif Région Exemple : Quebec

Pour plus d’informations, consultez Types logiques.
SrcGeoLongtitude Facultatif Longitude Exemple : -73.614830

Pour plus d’informations, consultez Types logiques.
SrcGeoLatitude Facultatif Latitude Exemple : 45.505918

Pour plus d’informations, consultez Types logiques.
SrcRiskLevel Facultatif Integer Niveau de risque associé à la source. La valeur doit être ajustée dans une plage allant de 0 à 100, 0 étant un risque bénin et 100 étant un risque élevé.

Exemple : 90
SrcOriginalRiskLevel Facultatif Integer Niveau de risque associé à la source, comme indiqué par l’appareil de création de rapports.

Exemple : Suspicious

Champs de l’application cible

Champ Classe Type Description
TargetAppId Facultatif Chaîne ID de l’application pour laquelle l’autorisation est requise, souvent affectée par l’appareil de création de rapports.

Exemple : 89162
TargetAppName Facultatif Chaîne Nom de l’application pour laquelle l’autorisation est requise, y compris un service, une URL ou une application SaaS.

Exemple : Saleforce
TargetAppType Facultatif AppType Type de l’application effectuant l’autorisation pour le compte de l’intervenant. Pour plus d’informations et pour obtenir la liste autorisée des valeurs, consultez AppType dans l'article Vue d’ensemble du schéma.
TargetUrl Facultatif URL URL associée à l’application cible.

Exemple : https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b
LogonTarget Alias Alias de TargetAppName, de TargetUrl ou de TargetHostname, suivant le champ qui décrit le mieux la cible d’authentification.

Champs Système cible

Champ Classe Type Description
Dst Alias Chaîne Identificateur unique de la cible authentification.

Ce champ peut avoir pour alias les champs TargerDvcId, TargetHostname, TargetIpAddr, TargetAppId ou TargetAppName.

Exemple : 192.168.12.1
TargetHostname Recommandé Nom d’hôte Nom d’hôte de l’appareil cible, à l’exception des informations de domaine.

Exemple : DESKTOP-1282V4D
TargetDomain Recommandé Chaîne Domaine de l’appareil cible.

Exemple : Contoso
TargetDomainType Logique conditionnelle Énuméré Type de TargetDomain. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à DomainType dans l’article Vue d’ensemble du schéma.

Obligatoire si TargetDomain est utilisé.
TargetFQDN Facultatif Chaîne Nom d’hôte de l’appareil cible, y compris les informations de domaine, le cas échéant.

Exemple : Contoso\DESKTOP-1282V4D

Remarque : ce champ prend en charge à la fois le format FQDN traditionnel et le format Windows domain\hostname. Le champ TargetDomainType reflète le format utilisé.
TargetDescription Facultatif String Obtient le texte descriptif associé à l’appareil. Par exemple : Primary Domain Controller.
TargetDvcId Facultatif String ID de l’appareil cible. Si plusieurs ID sont disponibles, utilisez le plus important et stockez les autres dans les champs TargetDvc<DvcIdType>.

Exemple : ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
TargetDvcScopeId Facultatif String ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil source. TargetDvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS.
TargerDvcScope Facultatif String Étendue de la plateforme cloud à laquelle appartient l’appareil source. TargetDvcScope correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS.
TargetDvcIdType Logique conditionnelle Énuméré Type de TargetDvcId. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à DvcIdType dans l’article Vue d’ensemble du schéma.

Obligatoire si TargetDeviceId est utilisé.
TargetDeviceType Facultatif Énuméré Type de l’appareil cible. Pour obtenir la liste des valeurs autorisées et des informations supplémentaires, reportez-vous à DeviceType dans l’article Vue d’ensemble du schéma.
TargetIpAddr Facultatif Adresse IP Adresse IP de l’appareil cible.

Exemple : 2.2.2.2
TargetDvcOs Facultatif Chaîne Système d’exploitation de l’appareil cible.

Exemple : Windows 10
TargetPortNumber Facultatif Integer Port de l’appareil cible.
TargetGeoCountry Facultatif Pays ou région Pays associé à l’adresse IP cible.

Exemple : USA
TargetGeoRegion Facultatif Région Région associée à l’adresse IP cible.

Exemple : Vermont
TargetGeoCity Facultatif City Ville associée à l’adresse IP cible.

Exemple : Burlington
TargetGeoLatitude Facultatif Latitude Latitude de la coordonnée géographique associée à l’adresse IP cible.

Exemple : 44.475833
TargetGeoLongitude Facultatif Longitude Longitude de la coordonnée géographique associée à l’adresse IP cible.

Exemple : 73.211944
TargetRiskLevel Facultatif Integer Niveau de risque associé à la cible. La valeur doit être ajustée dans une plage allant de 0 à 100, 0 étant un risque bénin et 100 étant un risque élevé.

Exemple : 90
TargetOriginalRiskLevel Facultatif Integer Niveau de risque associé à la cible, comme indiqué par l’appareil de rapport.

Exemple : Suspicious

Champs d’inspection

Les champs suivants sont utilisés pour représenter cette inspection effectuée par un système de sécurité.

Champ Classe Type Description
RuleName Facultatif String Nom ou ID de la règle associée aux résultats de l’inspection.
RuleNumber Facultatif Integer Numéro de la règle associée aux résultats de l’inspection.
Règle Alias String Valeur de RuleName ou valeur de RuleNumber. Si la valeur de RuleNumber est utilisée, le type doit être converti en chaîne.
ThreatId Facultatif String ID de la menace ou du programme malveillant identifié dans l’activité d’audit.
ThreatName Facultatif String Nom de la menace ou du programme malveillant identifié dans l’activité d’audit.
ThreatCategory Facultatif String Catégorie de la menace ou du programme malveillant identifié dans l’activité d’audit.
ThreatRiskLevel Facultatif Integer Niveau de risque associé à la menace identifiée. Le niveau doit être un nombre compris entre 0 et 100.

Remarque : la valeur peut être fournie dans l’enregistrement source en utilisant une échelle différente, qui doit être normalisée à cette échelle. La valeur d’origine doit être stockée dans le champ ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel Facultatif String Niveau de risque signalé par le périphérique de reporting.
ThreatConfidence Facultatif Integer Niveau de confiance de la menace identifiée, normalisé à une valeur comprise entre 0 et 100.
ThreatOriginalConfidence Facultatif String Niveau de confiance d’origine de la menace identifiée, comme indiqué par l’appareil de création de rapports.
ThreatIsActive Facultatif Booléen True si la menace identifiée est considérée comme une menace active.
ThreatFirstReportedTime Facultatif DATETIME Indique la première fois que l’adresse IP ou le domaine ont été identifiés comme une menace.
ThreatLastReportedTime Facultatif DATETIME La dernière fois que l’adresse IP ou le domaine ont été identifiés comme une menace.
ThreatIpAddr Facultatif Adresse IP Adresse IP pour laquelle une menace a été identifiée. Le champ ThreatField contient le nom du champ que ThreatIpAddr représente.
ThreatField Facultatif Énuméré Champ pour lequel une menace a été identifiée. La valeur est soit SrcIpAddr, soit TargetIpAddr.

Mises à jour du schéma

Voici les modifications apportées à la version 0.1.1 du schéma :

  • Mise à jour des champs d’entité d’utilisateur et d’appareil à aligner sur d’autres schémas.
  • Changement des noms TargetDvc et SrcDvc en Target et Src respectivement pour s’aligner sur les instructions ASIM actuelles. Les champs renommés seront implémentés en tant qu’alias jusqu’au 1er juillet 2022. Ces champs sont les suivants : SrcDvcHostname, SrcDvcHostnameType, SrcDvcType, SrcDvcIpAddr, TargetDvcHostname, TargetDvcHostnameType, TargetDvcType, TargetDvcIpAddr et TargetDvc.
  • Ajout des alias Src et Dst.
  • Ajout des champs SrcDvcIdType, SrcDeviceType, TargetDvcIdType et TargetDeviceType et EventSchema.

Voici les modifications apportées à la version 0.1.2 du schéma :

  • Ajout des champs ActorScope, TargetUserScope, SrcDvcScopeId, SrcDvcScope, TargetDvcScopeId, TargetDvcScope, DvcScopeId et DvcScope.

Voici les modifications apportées à la version 0.1.3 du schéma :

  • Ajout des champs SrcPortNumber, ActorOriginalUserType, ActorScopeId, TargetOriginalUserType, TargetUserScopeId, SrcDescription, SrcRiskLevel, SrcOriginalRiskLevel et TargetDescription.
  • Champs d’inspection ajoutés
  • Champs de géolocalisation du système cible ajoutés.

Étapes suivantes

Pour plus d'informations, consultez les pages suivantes :