Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Certains champs sont communs à tous les schémas ASIM. Chaque schéma peut ajouter des instructions pour l’utilisation de certains des champs courants dans le contexte du schéma spécifique. Par exemple, les valeurs autorisées pour le champ EventType peuvent varier selon le schéma, tout comme la valeur du champ EventSchemaVersion .
Standard les champs Log Analytics
Log Analytics génère les champs suivants, dans la plupart des cas, pour chaque enregistrement. Elles peuvent être remplacées lorsque vous créez un connecteur personnalisé.
| Champ | Type | Discussion |
|---|---|---|
| TimeGenerated | Date/Heure | Heure à laquelle l’événement a été généré par l’appareil de création de rapports. |
| Type | String | Table d’origine à partir de laquelle l’enregistrement a été extrait. Ce champ est utile lorsque le même événement peut être reçu via plusieurs canaux vers différentes tables et qu’il a les mêmes valeurs EventVendor et EventProduct . Par exemple, un événement Sysmon peut être collecté dans la Event table ou dans la WindowsEvent table. |
Remarque
Log Analytics ajoute également d’autres champs moins pertinents pour les cas d’usage de sécurité. Pour plus d’informations, consultez Standard colonnes dans Azure Monitor Logs.
Champs ASIM courants
Les champs suivants sont définis par ASIM pour tous les schémas :
Champs d’événement
| Field | Classe | Type | Description |
|---|---|---|---|
| EventMessage | Facultatif | String | Un message ou une description générale, inclus dans ou généré à partir de l’enregistrement. |
| EventCount | Obligatoire | Entier | Nombre d’événements décrits par l’enregistrement. Cette valeur est utilisée lorsque la source prend en charge l’agrégation et qu’un seul enregistrement peut représenter plusieurs événements. Pour les autres sources, définissez sur 1. |
| EventStartTime | Obligatoire | Date/heure | Heure à laquelle l’événement a démarré. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, l’heure à laquelle le premier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ alias le champ TimeGenerated . |
| EventEndTime | Obligatoire | Date/heure | Heure à laquelle l’événement s’est terminé. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, l’heure à laquelle le dernier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ alias le champ TimeGenerated . |
| Eventtype | Obligatoire | Énumérés | Décrit l’opération signalée par l’enregistrement. Chaque schéma documente la liste des valeurs valides pour ce champ. La valeur d’origine spécifique à la source est stockée dans le champ EventOriginalType . |
| EventSubType | Facultatif | Énumérés | Décrit une sous-division de l’opération signalée dans le champ EventType . Chaque schéma documente la liste des valeurs valides pour ce champ. La valeur d’origine spécifique à la source est stockée dans le champ EventOriginalSubType . |
| EventResult | Obligatoire | Énumérés | Une des valeurs suivantes : Success, Partial, Failure, NA (Non applicable). La valeur peut être fournie dans l’enregistrement source à l’aide de termes différents, qui doivent être normalisés avec ces valeurs. La source peut également fournir uniquement le champ EventResultDetails , qui doit être analysé pour dériver la valeur EventResult. Exemple : Success |
| EventResultDetails | Recommandé | Énumérés | Raison ou détails du résultat signalé dans le champ EventResult . Chaque schéma documente la liste des valeurs valides pour ce champ. La valeur d’origine spécifique à la source est stockée dans le champ EventOriginalResultDetails . Exemple : NXDOMAIN |
| EventUid | Recommandé | String | ID unique de l’enregistrement, tel qu’attribué par Microsoft Sentinel. Ce champ est généralement mappé au _ItemId champ Log Analytics. |
| EventOriginalUid | Facultatif | String | ID unique de l’enregistrement d’origine, s’il est fourni par la source. Exemple : 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | Facultatif | String | Type d’événement ou ID d’origine, s’il est fourni par la source. Par exemple, ce champ est utilisé pour stocker l’ID d’événement Windows d’origine. Cette valeur est utilisée pour dériver EventType, qui ne doit avoir qu’une seule des valeurs documentées pour chaque schéma. Exemple : 4624 |
| EventOriginalSubType | Facultatif | String | Sous-type ou ID d’événement d’origine, s’il est fourni par la source. Par exemple, ce champ est utilisé pour stocker le type d’ouverture de session Windows d’origine. Cette valeur est utilisée pour dériver EventSubType, qui ne doit avoir qu’une seule des valeurs documentées pour chaque schéma. Exemple : 2 |
| EventOriginalResultDetails | Facultatif | String | Détails du résultat d’origine fournis par la source. Cette valeur est utilisée pour dériver EventResultDetails, qui ne doit avoir qu’une seule des valeurs documentées pour chaque schéma. |
| EventSeverity | Recommandé | Énumérés | Gravité de l’événement. Les valeurs valides sont , InformationalLow, Mediumou High. |
| EventOriginalSeverity | Facultatif | String | Gravité d’origine fournie par l’appareil de création de rapports. Cette valeur est utilisée pour dériver EventSeverity. |
| EventProduct | Obligatoire | String | Produit générant l’événement. La valeur doit être l’une des valeurs répertoriées dans Fournisseurs et produits. Exemple : Sysmon |
| EventProductVersion | Facultatif | String | Version du produit générant l’événement. Exemple : 12.1 |
| EventVendor | Obligatoire | String | Fournisseur du produit générant l’événement. La valeur doit être l’une des valeurs répertoriées dans Fournisseurs et produits. Exemple : Microsoft |
| EventSchema | Obligatoire | Énumérés | Schéma auquel l’événement est normalisé. Chaque schéma documente son nom de schéma. |
| EventSchemaVersion | Obligatoire | SchemaVersion (String) | Version du schéma. Chaque schéma documente sa version actuelle. |
| EventReportUrl | Facultatif | URL (String) | URL fournie dans l’événement pour une ressource qui fournit plus d’informations sur l’événement. |
| EventOwner | Facultatif | String | Le propriétaire de l’événement, qui est généralement le service ou la filiale dans lequel il a été généré. |
Champs d’appareil
Le rôle des champs d’appareil est différent pour différents schémas et types d’événements. Par exemple :
- Pour les événements de session réseau, les champs d’appareil fournissent généralement des informations sur l’appareil qui a généré l’événement
- Pour les événements Process, les champs d’appareil fournissent des informations sur l’appareil sur lequel le processus est exécuté.
Chaque document de schéma spécifie le rôle de l’appareil pour le schéma.
| Field | Classe | Type | Description |
|---|---|---|---|
| Cvn | Alias | String | Identificateur unique de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement, selon le schéma. Ce champ peut alias les champs DvcFQDN, DvcId, DvcHostname ou DvcIpAddr . Pour les sources cloud pour lesquelles il n’existe aucun appareil apparent, utilisez la même valeur que le champ Produit d’événement . |
| DvcIpAddr | Recommandé | Adresse IP | Adresse IP de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement, selon le schéma. Exemple : 45.21.42.12 |
| DvcHostname | Recommandé | Nom d'hôte | Nom d’hôte de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement, selon le schéma. Exemple : ContosoDc |
| DvcDomain | Recommandé | Domaine (Chaîne) | Domaine de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement, selon le schéma. Exemple : Contoso |
| DvcDomainType | Conditionnelle | Énumérés | Type de DvcDomain. Pour obtenir la liste des valeurs autorisées et plus d’informations, reportez-vous à DomainType. Remarque : ce champ est obligatoire si le champ DvcDomain est utilisé. |
| DvcFQDN | Facultatif | Nom de domaine complet (chaîne) | Nom d’hôte de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement, selon le schéma. Exemple : Contoso\DESKTOP-1282V4DRemarque : ce champ prend en charge à la fois le format FQDN traditionnel et le format domaine\nom d’hôte Windows. Le champ DvcDomainType reflète le format utilisé. |
| DvcDescription | Facultatif | String | Texte descriptif associé à l’appareil. Par exemple : Primary Domain Controller. |
| DvcId | Facultatif | String | ID unique de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement, selon le schéma. Exemple : 41502da5-21b7-48ec-81c9-baeea8d7d669Si plusieurs ID sont disponibles, utilisez le premier de la liste et stockez les autres à l’aide des noms de champs DvcAzureResourceId, DvcMDEid, etc. |
| DvcIdType | Conditionnelle | Énumérés | Type de DvcId. La liste des valeurs autorisées est AzureResourceId, MDEid, MD4IoTid, AwsVpcIdVMConnectionId, VectraId, AppGateId, FQDN, et Other. L’utilisation FQDN comme ID d’appareil implique la réutilisation du nom d’hôte. Utilisez-la uniquement en dernier recours.Remarque : ce champ est obligatoire si le champ DvcId est utilisé. |
| DvcMacAddr | Facultatif | Adresse MAC | Adresse MAC de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement. Exemple : 00:1B:44:11:3A:B7 |
| DvcZone | Facultatif | String | Réseau sur lequel l’événement s’est produit ou qui a signalé l’événement, selon le schéma. La zone est définie par l’appareil de création de rapports. Exemple : Dmz |
| DvcOs | Facultatif | String | Système d’exploitation en cours d’exécution sur l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement. Exemple : Windows |
| DvcOsVersion | Facultatif | String | Version du système d’exploitation sur l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement. Exemple : 10 |
| DvcAction | Facultatif | String | Pour les systèmes de sécurité de création de rapports, l’action entreprise par le système, le cas échéant. Exemple : Blocked |
| DvcOriginalAction | Facultatif | String | DvcAction d’origine fournie par l’appareil de création de rapports. |
| DvcInterface | Facultatif | String | Interface réseau sur laquelle les données ont été capturées. Ce champ est généralement pertinent pour l’activité liée au réseau, qui est capturée par un appareil intermédiaire ou appuyez. |
| DvcScopeId | Facultatif | String | ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil. DvcScopeId est mappé à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| DvcScope | Facultatif | String | Étendue de la plateforme cloud à laquelle appartient l’appareil. DvcScope mappe à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
Autres champs
Mises à jour de schéma
- Le
EventOwnerchamp a été ajouté aux champs communs le 1er décembre 2022, et donc à tous les schémas. - Le
EventUidchamp a été ajouté aux champs communs le 26 décembre 2022, et donc à tous les schémas.
Fournisseurs et produits
Pour maintenir la cohérence, la liste des fournisseurs et produits autorisés est définie dans le cadre d’ASIM et peut ne pas correspondre directement à la valeur envoyée par la source, quand elle est disponible.
La liste des fournisseurs et produits actuellement pris en charge dans les champs EventVendor et EventProduct est la suivante :
| Fournisseur | Produits |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
Fortinet |
Fortigate |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- Microsoft Entra ID - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure Key Vault- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for LinuX- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
Si vous développez un analyseur pour un fournisseur ou un produit non répertorié ici, contactez l’équipe de Microsoft Sentinel afin d’allouer de nouveaux fournisseurs autorisés et des désignateurs de produits.
Prochaines étapes
Pour plus d’informations, reportez-vous aux rubriques suivantes :