Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Certains champs sont communs à tous les schémas ASIM. Chaque schéma peut ajouter des directives pour l'utilisation de certains des champs communs dans le contexte du schéma spécifique. Par exemple, les valeurs autorisées pour le champ EventType peuvent varier selon le schéma, tout comme la valeur du champ EventSchemaVersion.
Champs de Log Analytics standard
Dans la plupart des cas, les champs suivants sont générés par Log Analytics pour chaque enregistrement. Elles peuvent être remplacées lorsque vous créez un connecteur personnalisé.
| Champ | Catégorie | Discussion |
|---|---|---|
| Temporisé | Date/heure | Heure à laquelle l’événement a été généré par l’appareil de création de rapports. |
| Type | Chaîne | Table d’origine à partir de laquelle l’enregistrement a été extrait. Ce champ est utile lorsque le même événement peut être reçu via plusieurs canaux dans différentes tables, avec les mêmes valeurs EventVendor et EventProduct. Par exemple, un événement Sysmon peut être collecté soit vers le tableau Event, soit vers le tableau WindowsEvent. |
Notes
Log Analytics ajoute également d’autres champs qui sont moins pertinents pour les cas d’usage de sécurité. Pour plus d’informations, consultez Colonnes standard dans les journaux d’Azure Monitor.
Champs ASIM communs
Les champs suivants sont définis par l'ASIM pour tous les schémas :
Champs de l’événement
| Champ | Classe | Catégorie | Descriptif |
|---|---|---|---|
| ÉvénementMessage | Facultatif | Chaîne | Message général ou description, inclus dans l’enregistrement ou généré depuis l’enregistrement. |
| EventCount | Obligatoire | Nombre entier | Nombre d’événements décrits par l’enregistrement. Cette valeur est utilisée lorsque la source prend en charge l’agrégation, et un seul enregistrement peut représenter plusieurs événements. Pour les autres sources, affectez à la valeur 1. |
| EventStartTime | Obligatoire | Date/heure | Heure de début de l’événement. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, il s’agit de l’heure à laquelle le premier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated. |
| ÉvénementEndTemps | Obligatoire | Date/heure | Heure de fin de l’événement. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, il s’agit de l’heure à laquelle le dernier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated. |
| Type d’événement | Obligatoire | Énuméré | Décrit l’opération signalée par l’enregistrement. Chaque schéma documente la liste des valeurs valides pour ce champ. La valeur d’origine, spécifique à la source, est stockée dans le champ EventOriginalType. |
| ÉvénementSous-Type | Facultatif | Énuméré | Décrit une subdivision de l’opération rapportée dans le champ EventType. Chaque schéma documente la liste des valeurs valides pour ce champ. La valeur d’origine, spécifique à la source, est stockée dans le champ EventOriginalSubType. |
| EventResult | Obligatoire | Énuméré | L’une des valeurs suivantes : Succès, Partiel, Échec, NA (Non applicable). La valeur peut être fournie dans l’enregistrement source avec des termes différents, qui doivent être normalisés avec ces valeurs. Sinon, la source peut fournir uniquement le champ EventResultDetails qui devrait être analysé pour dériver la valeur EventResult. Exemple : Success |
| EventResultDétails | Recommandé | Énuméré | Raison ou détails du résultat rapporté dans le champ EventResult. Chaque schéma documente la liste des valeurs valides pour ce champ. La valeur d’origine, spécifique à la source, est stockée dans le champ EventOriginalResultDetails. Exemple : NXDOMAIN |
| EventUid | Recommandé | Chaîne | ID unique de l’enregistrement, tel qu’attribué par Microsoft Sentinel. Ce champ est généralement mappé au _ItemId champ Log Analytics. |
| ÉvénementOriginalUid | Facultatif | Chaîne | ID unique de l’enregistrement d’origine, s’il est fourni par la source. Exemple : 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | Facultatif | Chaîne | Type ou ID d’événement d’origine, s’il est fourni par la source. Par exemple, ce champ est utilisé pour stocker l’ID d’événement d’origine Windows. Cette valeur est utilisée pour dériver des EventType, qui ne doivent avoir qu’une seule des valeurs documentées pour chaque schéma. Exemple : 4624 |
| ÉvénementOriginalSous-Type | Facultatif | Chaîne | Sous-type ou ID d’événement d’origine, s’il est fourni par la source. Par exemple, ce champ est utilisé pour stocker le type d’ouverture de session Windows d’origine. Cette valeur est utilisée pour dériver EventSubType, lequel ne doit avoir qu’une seule des valeurs documentées pour chaque schéma. Exemple : 2 |
| ÉvénementOriginalRésultatDétails | Facultatif | Chaîne | Détails des résultats d’origine fournis par la source. Cette valeur est utilisée pour dériver des EventResultDetails, qui ne doivent avoir qu’une seule des valeurs documentées pour chaque schéma. |
| Sévérité des événements | Recommandé | Énuméré | La gravité de l’événement. Les valeurs valides sont Informational, Low, Medium ou High. |
| ÉvénementOriginalSévérité | Facultatif | Chaîne | La gravité d’origine, telle que fournie par l’appareil de reporting. Cette valeur est utilisée pour dériver EventSeverity. |
| ÉvénementProduit | Obligatoire | Chaîne | Produit générant l’événement. La valeur doit être l’une des valeurs indiquées dans Fournisseurs et produits. Exemple : Sysmon |
| EventProductVersion | Facultatif | Chaîne | Version du produit générant l’événement. Exemple : 12.1 |
| ÉvénementVendor | Obligatoire | Chaîne | Fournisseur du produit générant l’événement. La valeur doit être l’une des valeurs indiquées dans Fournisseurs et produits. Exemple : Microsoft |
| EventSchema | Obligatoire | Énuméré | Schéma dans lequel l’événement est normalisé. Chaque schéma documente son nom de schéma. |
| EventSchemaVersion | Obligatoire | SchemaVersion (chaîne) | Version du schéma. Chaque schéma documente sa version en cours. |
| ÉvénementReportUrl | Facultatif | URL (Chaîne) | URL fournie dans l’événement pour une ressource qui apporte plus d’informations sur l’événement. |
| Propriétaire de l’événement | Facultatif | Chaîne | Le propriétaire de l’événement, qui est généralement le service ou la filiale dans lequel il a été généré. |
Champs de l’appareil
Le rôle des champs de l’appareil est différent pour différents schémas et types d’événements. Par exemple :
- Pour les événements de session réseau, les champs d’appareil fournissent généralement des informations sur l’appareil qui a généré l’événement
- Pour les événements de processus, les champs d’appareil fournissent des informations sur l’appareil sur lequel le processus est exécuté.
Chaque document de schéma spécifie le rôle de l’appareil pour le schéma.
| Champ | Classe | Catégorie | Descriptif |
|---|---|---|---|
| Cvn | Pseudonyme | Chaîne | Un identifiant unique du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement, selon le schéma. Ce champ peut prendre l’alias des champs DvcFQDN, Dvcld, DvcHostname ou DvclpAddr. Pour les sources cloud pour lesquelles il n’y a pas d’appareil apparent, utilisez la même valeur que celle du champ Event Product. |
| DvcIpAddr | Recommandé | Adresse IP | L'adresse IP du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement, selon le schéma. Exemple : 45.21.42.12 |
| DvcHostname | Recommandé | Nom d’hôte | Le nom d'hôte du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement, selon le schéma. Exemple : ContosoDc |
| DvcDomain | Recommandé | Domaine (chaîne) | Le domaine du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement, selon le schéma. Exemple : Contoso |
| DvcDomainType | Logique conditionnelle | Énuméré | Type de DvcDomain. Pour obtenir la liste des valeurs autorisées et des informations complémentaires, reportez-vous à DomainType. Remarque: ce champ est obligatoire si le champ DvcDomain est utilisé. |
| DvcFQDN | Facultatif | FQDN (Corde) | Le nom d'hôte du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement, selon le schéma. Exemple : Contoso\DESKTOP-1282V4DRemarque : ce champ prend en charge à la fois le format FQDN traditionnel et le format Windows domain\hostname. Le champ DvcDomainType reflète le format utilisé. |
| DvcDescription | Facultatif | Chaîne | Obtient le texte descriptif associé à l’appareil. Par exemple : Primary Domain Controller. |
| DvcId | Facultatif | Chaîne | L'ID unique du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement, selon le schéma. Exemple : 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| DvcIdType | Logique conditionnelle | Énuméré | Type de DvcId. Pour obtenir la liste des valeurs autorisées et des informations complémentaires, reportez-vous à DvcIdType. - MDEidSi plusieurs ID sont disponibles, utilisez le premier de la liste et stockez les autres à l’aide des noms de champs DvcAzureResourceId et DvcMDEid, respectivement. Remarque: ce champ est obligatoire si le champ Dvcld est utilisé. |
| DvcMacAddr | Facultatif | Adresse MAC | L'adresse MAC du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. Exemple : 00:1B:44:11:3A:B7 |
| DvcZone | Facultatif | Chaîne | Le réseau sur lequel l'événement s'est produit ou qui a signalé l'événement, selon le schéma. La zone est définie par le dispositif de reporting. Exemple : Dmz |
| DvcOs | Facultatif | Chaîne | Le système d’exploitation exécuté sur le dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. Exemple : Windows |
| DvcOsVersion | Facultatif | Chaîne | La version du système d’exploitation du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. Exemple : 10 |
| DvcAction | Facultatif | Chaîne | Pour les systèmes de sécurité déclarés, l'action prise par le système, le cas échéant. Exemple : Blocked |
| DvcOriginalAction | Facultatif | Chaîne | Le DvcAction d’origine, tel que fourni par l’appareil de reporting. |
| DvcInterface | Facultatif | Chaîne | Interface réseau sur laquelle les données ont été capturées. Ce champ est généralement adapté à une activité liée au réseau qui est capturée par un appareil intermédiaire ou point d’accès terminal. |
| DvcScopeId | Facultatif | Chaîne | ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| DvcScope | Facultatif | Chaîne | Étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcScope correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
Autres champs
Mises à jour du schéma
- Le champ
EventOwnera été ajouté aux champs communs le 1er décembre 2022, et donc à tous les schémas. - Le champ
EventUida été ajouté aux champs communs le 26 décembre 2022, et donc à tous les schémas.
Fournisseurs et produits
Pour maintenir la cohérence, la liste des fournisseurs et des produits autorisés est définie dans le cadre d’ASIM et peut ne pas correspondre directement à la valeur envoyée par la source, le cas échéant.
La liste actuellement prise en charge des fournisseurs et des produits utilisés dans les champs EventVendor et EventProduct est la suivante :
| Fournisseur | Produits |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- MICROSOFT Entra ID - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for Linux- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
Si vous développez un analyseur pour un fournisseur ou un produit qui n’est pas répertorié ici, contactez l’équipe Microsoft Sentinel pour attribuer de nouveaux désignateurs de fournisseur et de produit autorisés.
Étapes suivantes
Pour plus d'informations, consultez les pages suivantes :