Informations de référence sur le schéma de normalisation de session réseau ASIM (Advanced Security Information Model)

Le schéma de normalisation de session réseau Microsoft Sentinel représente une activité réseau IP, telle que les connexions réseau et les sessions réseau. Ces événements sont signalés, par exemple, par les systèmes d’exploitation, les routeurs, les pare-feu et les systèmes de prévention des intrusions.

Le schéma de normalisation réseau peut représenter n’importe quel type de session réseau IP, mais il est conçu pour prendre en charge les types de sources courants, tels que Netflow, les pare-feu et les systèmes de prévention des intrusions.

Pour plus d’informations sur la normalisation dans Microsoft Sentinel, consultez Normalisation et le modèle ASIM (Advanced Security Information Model).

Analyseurs

Pour plus d’informations sur les analyseurs ASIM, consultez la vue d’ensemble des analyseurs ASIM.

Analyseurs d’unification

Pour utiliser des analyseurs qui unifient tous les analyseurs ASIM prêtes à l’emploi et vérifiez que votre analyse s’exécute sur toutes les sources configurées, utilisez l’analyseur _Im_NetworkSession .

Analyseurs spécifiques à la source prêtes à l’emploi

Pour obtenir la liste des analyseurs de session réseau Microsoft Sentinel fournit prête à l’emploi, reportez-vous à la liste des analyseurs ASIM.

Ajouter vos propres analyseurs normalisés

Lorsque vous développez des analyseurs personnalisés pour le modèle d’informations de session réseau, nommez vos fonctions KQL à l’aide de la syntaxe suivante :

vimNetworkSession<vendor><Product> pour les analyseurs paramétrés
ASimNetworkSession<vendor><Product> pour les analyseurs standard

Reportez-vous à l’article Gestion des analyseurs ASIM pour savoir comment ajouter vos analyseurs personnalisés aux analyseurs d’unification de session réseau.

Filtrage des paramètres de l’analyseur

Les analyseurs de session réseau prennent en charge les paramètres de filtrage. Bien que ces paramètres soient facultatifs, ils peuvent améliorer les performances de vos requêtes.

Les paramètres de filtrage suivants sont disponibles :

Nom	Type	Description
Starttime	DateHeure	Filtrez uniquement les sessions réseau qui ont démarré à ou après cette heure. Ce paramètre filtre sur le `TimeGenerated` champ, qui est l’indicateur standard pour l’heure de l’événement, quel que soit le mappage spécifique à l’analyseur des champs EventStartTime et EventEndTime.
heure de fin	DateHeure	Filtrez uniquement les sessions réseau qui ont commencé à s’exécuter à ou avant cette heure. Ce paramètre filtre sur le `TimeGenerated` champ, qui est l’indicateur standard pour l’heure de l’événement, quel que soit le mappage spécifique à l’analyseur des champs EventStartTime et EventEndTime.
srcipaddr_has_any_prefix	Dynamique	Filtrez uniquement les sessions réseau pour lesquelles le préfixe du champ d’adresse IP source se trouve dans l’une des valeurs répertoriées. Les préfixes doivent se terminer par un `.`, par exemple : `10.0.`. La longueur de la liste est limitée à 10 000 éléments.
dstipaddr_has_any_prefix	Dynamique	Filtrez uniquement les sessions réseau pour lesquelles le préfixe du champ d’adresse IP de destination se trouve dans l’une des valeurs répertoriées. Les préfixes doivent se terminer par un `.`, par exemple : `10.0.`. La longueur de la liste est limitée à 10 000 éléments.
ipaddr_has_any_prefix	Dynamique	Filtrez uniquement les sessions réseau pour lesquelles le champ d’adresse IP de destination ou le préfixe du champ d’adresse IP source se trouve dans l’une des valeurs répertoriées. Les préfixes doivent se terminer par un `.`, par exemple : `10.0.`. La longueur de la liste est limitée à 10 000 éléments. Le champ ASimMatchingIpAddr est défini avec l’une des valeurs `SrcIpAddr`, `DstIpAddr`ou `Both` pour refléter les champs ou champs correspondants.
dstportnumber	Int	Filtrez uniquement les sessions réseau avec le numéro de port de destination spécifié.
hostname_has_any	dynamique/chaîne	Filtrez uniquement les sessions réseau pour lesquelles le champ de nom d’hôte de destination contient l’une des valeurs répertoriées. La longueur de la liste est limitée à 10 000 éléments. Le champ ASimMatchingHostname est défini avec l’une des valeurs `SrcHostname`, `DstHostname`ou `Both` pour refléter les champs ou champs correspondants.
dvcaction	dynamique/chaîne	Filtrez uniquement les sessions réseau pour lesquelles le champ Action de l’appareil est l’une des valeurs répertoriées.
eventresult	String	Filtrez uniquement les sessions réseau avec une valeur EventResult spécifique.

Certains paramètres peuvent accepter les deux listes de valeurs de type dynamic ou une valeur de chaîne unique. Pour passer une liste littérale à des paramètres qui attendent une valeur dynamique, utilisez explicitement un littéral dynamique. Par exemple : dynamic(['192.168.','10.'])

Par exemple, pour filtrer uniquement les sessions réseau pour une liste spécifiée de noms de domaine, utilisez :

let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)

Conseil

Pour passer une liste littérale à des paramètres qui attendent une valeur dynamique, utilisez explicitement un littéral dynamique. Par exemple : dynamic(['192.168.','10.']).

Contenu normalisé

Pour obtenir la liste complète des règles d’analyse qui utilisent des événements DNS normalisés, consultez Contenu de sécurité de session réseau.

Vue d’ensemble du schéma

Le modèle d’informations de session réseau est aligné sur le schéma d’entité réseau OSSEM.

Le schéma de session réseau sert plusieurs types de scénarios similaires, mais distincts, qui partagent les mêmes champs. Ces scénarios sont identifiés par le champ EventType :

NetworkSession : session réseau signalée par un appareil intermédiaire qui surveille le réseau, comme un pare-feu, un routeur ou un tap réseau.
L2NetworkSession - session réseau pour laquelle seules les informations de couche 2 sont disponibles. Ces événements incluent des adresses MAC, mais pas des adresses IP.
Flow - événement agrégé qui signale plusieurs sessions réseau similaires, généralement sur une période prédéfinie, comme les événements Netflow .
EndpointNetworkSession : session réseau signalée par l’un des points de terminaison de la session, y compris les clients et les serveurs. Pour ces événements, le schéma prend en charge les champs d’alias remote et local .
IDS : session réseau signalée comme suspecte. Un tel événement aura certains champs d’inspection renseignés et peut avoir un seul champ d’adresse IP rempli, soit la source, soit la destination.

En règle générale, une requête doit sélectionner uniquement un sous-ensemble de ces types d’événements et peut avoir besoin de traiter séparément des aspects uniques des cas d’usage. Par exemple, les événements IDS ne reflètent pas l’intégralité du volume réseau et ne doivent pas être pris en compte dans l’analytique basée sur les colonnes.

Les événements de session réseau utilisent les descripteurs Src et Dst pour désigner les rôles des appareils et des utilisateurs et applications associés impliqués dans la session. Par exemple, le nom d’hôte et l’adresse IP de l’appareil source sont nommés SrcHostname et SrcIpAddr. D’autres schémas ASIM utilisent Target généralement au lieu de Dst.

Pour les événements signalés par un point de terminaison et pour lesquels le type d’événement est EndpointNetworkSession, les descripteurs Local et Remote indiquent le point de terminaison lui-même et l’appareil à l’autre extrémité de la session réseau, respectivement.

Le descripteur Dvc est utilisé pour l’appareil de création de rapports, qui est le système local pour les sessions signalées par un point de terminaison, et l’appareil intermédiaire ou le tap réseau pour les autres événements de session réseau.

Détails du schéma

Champs ASIM courants

Importante

Les champs communs à tous les schémas sont décrits en détail dans l’article Champs communs ASIM .

Champs communs avec des instructions spécifiques

La liste suivante mentionne les champs qui ont des instructions spécifiques pour les événements de session réseau :

Field	Classe	Type	Description
EventCount	Obligatoire	Entier	Les sources Netflow prennent en charge l’agrégation, et le champ EventCount doit être défini sur la valeur du champ FLUX Netflow. Pour les autres sources, la valeur est généralement définie sur `1`.
Eventtype	Obligatoire	Énumérés	Décrit le scénario signalé par l’enregistrement. Pour les enregistrements de session réseau, les valeurs autorisées sont les suivantes : - `EndpointNetworkSession` - `NetworkSession` - `L2NetworkSession` - `IDS` - `Flow` Pour plus d’informations sur les types d’événements, reportez-vous à la vue d’ensemble du schéma.
EventSubType	Facultatif	Énumérés	Description supplémentaire du type d’événement, le cas échéant. Pour les enregistrements de session réseau, les valeurs prises en charge sont les suivantes : - `Start` - `End` Ce champ n’est pas pertinent pour `Flow` les événements.
EventResult	Obligatoire	Énumérés	Si l’appareil source ne fournit pas de résultat d’événement, EventResult doit être basé sur la valeur de DvcAction. Si DvcAction est `Deny`, `Drop`, `Drop ICMP`, `Reset`, `Reset Source`ou `Reset Destination` , EventResult doit être `Failure`. Sinon, EventResult doit être `Success`.
EventResultDetails	Recommandé	Énumérés	Raison ou détails du résultat signalé dans le champ EventResult . Les valeurs prises en charge sont : -Basculement - TCP non valide - Tunnel non valide - Nouvelle tentative maximale -Réinitialiser - Problème de routage -Simulation -Terminé -Timeout - Erreur temporaire – Inconnu -NA. La valeur d’origine spécifique à la source est stockée dans le champ EventOriginalResultDetails .
EventSchema	Obligatoire	Énumérés	Le nom du schéma documenté ici est `NetworkSession`.
EventSchemaVersion	Obligatoire	SchemaVersion (String)	Version du schéma. La version du schéma documentée ici est `0.2.7`.
DvcAction	Recommandé	Énumérés	Action effectuée sur la session réseau. Les valeurs prises en charge sont : - `Allow` - `Deny` - `Drop` - `Drop ICMP` - `Reset` - `Reset Source` - `Reset Destination` - `Encrypt` - `Decrypt` - `VPNroute` Remarque : La valeur peut être fournie dans l’enregistrement source à l’aide de termes différents, qui doivent être normalisés avec ces valeurs. La valeur d’origine doit être stockée dans le champ DvcOriginalAction . Exemple : `drop`
EventSeverity	Facultatif	Énumérés	Si l’appareil source ne fournit pas de gravité d’événement, EventSeverity doit être basé sur la valeur de DvcAction. Si DvcAction est `Deny`, `Drop`, `Drop ICMP`, `Reset`, `Reset Source`ou `Reset Destination` , EventSeverity doit être `Low`. Sinon, EventSeverity doit être `Informational`.
DvcInterface			Le champ DvcInterface doit alias les champs DvcInboundInterface ou DvcOutboundInterface .
Champs Dvc			Pour les événements de session réseau, les champs d’appareil font référence au système signalant l’événement De session réseau.

Tous les champs courants

Les champs qui apparaissent dans le tableau ci-dessous sont communs à tous les schémas ASIM. Toutes les recommandations spécifiées ci-dessus remplacent les instructions générales pour le champ. Par exemple, un champ peut être facultatif en général, mais obligatoire pour un schéma spécifique. Pour plus d’informations sur chaque champ, consultez l’article Champs communs ASIM .

Class	Fields
Obligatoire	- EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Cvn
Recommandé	- EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction
Facultatif	- EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope

Champs de session réseau

Field	Classe	Type	Description
NetworkApplicationProtocol	Facultatif	String	Protocole de la couche Application utilisé par la connexion ou la session. La valeur doit être en majuscules. Exemple : `FTP`
NetworkProtocol	Facultatif	Énumérés	Protocole IP utilisé par la connexion ou la session comme indiqué dans l’affectation de protocole IANA, qui est généralement `TCP`, `UDP`ou `ICMP`. Exemple : `TCP`
NetworkProtocolVersion	Facultatif	Énumérés	Version de NetworkProtocol. Lorsque vous l’utilisez pour faire la distinction entre la version IP, utilisez les valeurs `IPv4` et `IPv6`.
NetworkDirection	Facultatif	Énumérés	Direction de la connexion ou de la session : - Pour EventType`NetworkSession`, `Flow` ou `L2NetworkSession`, NetworkDirection représente la direction par rapport à la limite de l’environnement organization ou cloud. Les valeurs prises en charge sont `Inbound`, `Outbound`, `Local` (à l’organization), `External` (au organization) ou `NA` (Non applicable). - Pour eventType`EndpointNetworkSession`, NetworkDirection représente la direction par rapport au point de terminaison. Les valeurs prises en charge sont `Inbound`, `Outbound`, `Local` (pour le système) `Listen` ou `NA` (Non applicable). La `Listen` valeur indique qu’un appareil a commencé à accepter les connexions réseau, mais qu’il n’est pas nécessairement connecté.
NetworkDuration	Facultatif	Entier	Durée, en millisecondes, de la fin de la session réseau ou de la connexion. Exemple : `1500`
Duration	Alias		Alias de NetworkDuration.
NetworkIcmpType	Facultatif	String	Pour un message ICMP, nom de type ICMP associé à la valeur numérique, comme décrit dans RFC 2780 pour les connexions réseau IPv4 ou dans RFC 4443 pour les connexions réseau IPv6. Exemple : `Destination Unreachable` pour NetworkIcmpCode `3`
NetworkIcmpCode	Facultatif	Entier	Pour un message ICMP, numéro de code ICMP comme décrit dans RFC 2780 pour les connexions réseau IPv4 ou dans RFC 4443 pour les connexions réseau IPv6.
NetworkConnectionHistory	Facultatif	String	Indicateurs TCP et autres informations d’en-tête IP potentielles.
DstBytes	Recommandé	Entier long	Nombre d’octets envoyés de la destination à la source pour la connexion ou la session. Si l’événement est agrégé, DstBytes doit être la somme de toutes les sessions agrégées. Exemple : `32455`
SrcBytes	Recommandé	Entier long	Nombre d’octets envoyés de la source à la destination pour la connexion ou la session. Si l’événement est agrégé, SrcBytes doit être la somme de toutes les sessions agrégées. Exemple : `46536`
Octets réseau	Facultatif	Entier long	Nombre d’octets envoyés dans les deux sens. Si BytesReceived et BytesSent existent, BytesTotal doit être égal à leur somme. Si l’événement est agrégé, NetworkBytes doit être la somme sur toutes les sessions agrégées. Exemple : `78991`
DstPackets	Facultatif	Entier long	Nombre de paquets envoyés de la destination à la source pour la connexion ou la session. La signification d’un paquet est définie par l’appareil de création de rapports. Si l’événement est agrégé, DstPackets doit être la somme de toutes les sessions agrégées. Exemple : `446`
SrcPackets	Facultatif	Entier long	Nombre de paquets envoyés de la source à la destination pour la connexion ou la session. La signification d’un paquet est définie par l’appareil de création de rapports. Si l’événement est agrégé, SrcPackets doit être la somme de toutes les sessions agrégées. Exemple : `6478`
NetworkPackets	Facultatif	Entier long	Nombre de paquets envoyés dans les deux sens. Si PacketsReceived et PacketsSent existent, PacketsTotal doit être égal à leur somme. La signification d’un paquet est définie par l’appareil de création de rapports. Si l’événement est agrégé, NetworkPackets doit être la somme de toutes les sessions agrégées. Exemple : `6924`
NetworkSessionId	Facultatif	string	Identificateur de session tel que signalé par l’appareil de création de rapports. Exemple : `172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80`
Sessionid	Alias	String	Alias de NetworkSessionId.
TcpFlagsAck	Facultatif	Booléen	Indicateur ACK TCP signalé. L’indicateur d’accusé de réception est utilisé pour accuser réception d’un paquet. Comme nous pouvons le voir dans le diagramme ci-dessus, le destinataire envoie un ACK et un SYN dans la deuxième étape du processus de négociation triple pour indiquer à l’expéditeur qu’il a reçu son paquet initial.
TcpFlagsFin	Facultatif	Booléen	Indicateur FIN TCP signalé. L’indicateur terminé signifie qu’il n’y a plus de données de l’expéditeur. Par conséquent, il est utilisé dans le dernier paquet envoyé à partir de l’expéditeur.
TcpFlagsSyn	Facultatif	Booléen	Indicateur TCP SYN signalé. L’indicateur de synchronisation est utilisé comme première étape dans l’établissement d’une liaison tridirectionnelle entre deux hôtes. Seul le premier paquet de l’expéditeur et du destinataire doit avoir cet indicateur défini.
TcpFlagsUrg	Facultatif	Booléen	Indicateur URG TCP signalé. L’indicateur urgent est utilisé pour avertir le récepteur de traiter les paquets urgents avant de traiter tous les autres paquets. Le destinataire est averti lorsque toutes les données urgentes connues ont été reçues. Pour plus d’informations, consultez RFC 6093 .
TcpFlagsPsh	Facultatif	Booléen	Indicateur TCP PSH signalé. L’indicateur d’envoi est similaire à l’indicateur URG et indique au récepteur de traiter ces paquets à mesure qu’ils sont reçus au lieu de les mettre en mémoire tampon.
TcpFlagsRst	Facultatif	Booléen	Indicateur TCP RST signalé. L’indicateur de réinitialisation est envoyé du récepteur à l’expéditeur lorsqu’un paquet est envoyé à un hôte particulier qui ne l’attendait pas.
TcpFlagsEce	Facultatif	Booléen	Indicateur TCP ECE signalé. Cet indicateur est chargé d’indiquer si l’homologue TCP est compatible ECN. Pour plus d’informations, consultez RFC 3168 .
TcpFlagsCwr	Facultatif	Booléen	Indicateur TCP CWR signalé. L’indicateur de réduction de la congestion de la fenêtre est utilisé par l’hôte expéditeur pour indiquer qu’il a reçu un paquet avec l’indicateur ECE défini. Pour plus d’informations, consultez RFC 3168 .
TcpFlagsNs	Facultatif	Booléen	Indicateur TCP NS signalé. L’indicateur de somme nonce est toujours un indicateur expérimental utilisé pour vous protéger contre la dissimulation malveillante accidentelle de paquets de l’expéditeur. Pour plus d’informations, consultez RFC 3540 .

Champs système de destination

Field	Classe	Type	Description
Dst	Alias		Identificateur unique du serveur recevant la requête DNS. Ce champ peut alias les champs DstDvcId, DstHostname ou DstIpAddr . Exemple : `192.168.12.1`
DstIpAddr	Recommandé	Adresse IP	Adresse IP de la connexion ou de la destination de la session. Si la session utilise la traduction d’adresses réseau, `DstIpAddr` est l’adresse visible publiquement, et non l’adresse d’origine de la source, qui est stockée dans DstNatIpAddr Exemple : `2001:db8::ff00:42:8329` Remarque : cette valeur est obligatoire si DstHostname est spécifié.
DstPortNumber	Facultatif	Entier	Port IP de destination. Exemple : `443`
DstHostname	Recommandé	Hostname (String)	Nom d’hôte de l’appareil de destination, à l’exclusion des informations de domaine. Si aucun nom d’appareil n’est disponible, stockez l’adresse IP appropriée dans ce champ. Exemple : `DESKTOP-1282V4D`
DstDomain	Recommandé	Domaine (Chaîne)	Domaine de l’appareil de destination. Exemple : `Contoso`
DstDomainType	Conditionnelle	Énumérés	Type de DstDomain. Pour obtenir la liste des valeurs autorisées et plus d’informations, reportez-vous à DomainType dans l’article Vue d’ensemble du schéma. Obligatoire si DstDomain est utilisé.
DstFQDN	Facultatif	Nom de domaine complet (chaîne)	Nom d’hôte de l’appareil de destination, y compris les informations de domaine lorsqu’elles sont disponibles. Exemple : `Contoso\DESKTOP-1282V4D` Remarque : ce champ prend en charge à la fois le format FQDN traditionnel et le format domaine\nom d’hôte Windows. Le DstDomainType reflète le format utilisé.
DstDvcId	Facultatif	String	ID de l’appareil de destination. Si plusieurs ID sont disponibles, utilisez le plus important et stockez les autres dans les champs `DstDvc<DvcIdType>`. Exemple : `ac7e9755-8eae-4ffc-8a02-50ed7a2216c3`
DstDvcScopeId	Facultatif	String	ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil. DstDvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS.
DstDvcScope	Facultatif	String	Étendue de la plateforme cloud à laquelle appartient l’appareil. DstDvcScope mappé à un ID d’abonnement sur Azure et à un ID de compte sur AWS.
DstDvcIdType	Conditionnelle	Énumérés	Type de DstDvcId. Pour obtenir la liste des valeurs autorisées et plus d’informations, reportez-vous à DvcIdType dans l’article Vue d’ensemble du schéma. Obligatoire si DstDeviceId est utilisé.
DstDeviceType	Facultatif	Énumérés	Type de l’appareil de destination. Pour obtenir la liste des valeurs autorisées et plus d’informations, reportez-vous à DeviceType dans l’article Vue d’ensemble du schéma.
DstZone	Facultatif	String	Zone réseau de la destination, telle que définie par l’appareil de création de rapports. Exemple : `Dmz`
DstInterfaceName	Facultatif	String	Interface réseau utilisée pour la connexion ou la session par l’appareil de destination. Exemple : `Microsoft Hyper-V Network Adapter`
DstInterfaceGuid	Facultatif	GUID (Chaîne)	GUID de l’interface réseau utilisée sur l’appareil de destination. Exemple : `46ad544b-eaf0-47ef-` `827c-266030f545a6`
DstMacAddr	Facultatif	Adresse MAC (chaîne)	Adresse MAC de l’interface réseau utilisée pour la connexion ou la session par l’appareil de destination. Exemple : `06:10:9f:eb:8f:14`
DstVlanId	Facultatif	String	ID de réseau local virtuel associé à l’appareil de destination. Exemple : `130`
OuterVlanId	Alias		Alias de DstVlanId. Dans de nombreux cas, le réseau local virtuel ne peut pas être déterminé comme source ou destination, mais il est caractérisé comme interne ou externe. Cet alias signifie que DstVlanId doit être utilisé lorsque le VLAN est caractérisé comme externe.
DstGeoCountry	Facultatif	Pays	Pays/région associé à l’adresse IP de destination. Pour plus d’informations, consultez Types logiques. Exemple : `USA`
DstGeoRegion	Facultatif	Région	Région, ou état, associé à l’adresse IP de destination. Pour plus d’informations, consultez Types logiques. Exemple : `Vermont`
DstGeoCity	Facultatif	Ville	Ville associée à l’adresse IP de destination. Pour plus d’informations, consultez Types logiques. Exemple : `Burlington`
DstGeoLatitude	Facultatif	Latitude	Latitude de la coordonnée géographique associée à l’adresse IP de destination. Pour plus d’informations, consultez Types logiques. Exemple : `44.475833`
DstGeoLongitude	Facultatif	Longitude	Longitude de la coordonnée géographique associée à l’adresse IP de destination. Pour plus d’informations, consultez Types logiques. Exemple : `73.211944`
DstDescription	Facultatif	String	Texte descriptif associé à l’appareil. Par exemple : `Primary Domain Controller`.

Champs de l’utilisateur de destination

Field	Classe	Type	Description
DstUserId	Facultatif	String	Représentation unique, alphanumérique et lisible par l’ordinateur de l’utilisateur de destination. Pour connaître le format pris en charge pour les différents types d’ID, reportez-vous à l’entité Utilisateur. Exemple : `S-1-12`
DstUserScope	Facultatif	String	Étendue, telle que Microsoft Entra locataire, dans laquelle DstUserId et DstUsername sont définis. ou plus d’informations et la liste des valeurs autorisées, consultez UserScope dans l’article Vue d’ensemble du schéma.
DstUserScopeId	Facultatif	String	ID d’étendue, tel que Microsoft Entra ID de répertoire, dans lequel DstUserId et DstUsername sont définis. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserScopeId dans l’article Vue d’ensemble du schéma.
DstUserIdType	Conditionnelle	UserIdType	Type de l’ID stocké dans le champ DstUserId . Pour obtenir la liste des valeurs autorisées et plus d’informations, reportez-vous à UserIdType dans l’article Vue d’ensemble du schéma.
DstUsername	Facultatif	Nom d’utilisateur (chaîne)	Nom d’utilisateur de destination, y compris les informations de domaine lorsqu’elles sont disponibles. Pour connaître le format pris en charge pour les différents types d’ID, reportez-vous à l’entité Utilisateur. Utilisez le formulaire simple uniquement si les informations de domaine ne sont pas disponibles. Stockez le type de nom d’utilisateur dans le champ DstUsernameType . Si d’autres formats de nom d’utilisateur sont disponibles, stockez-les dans les champs `DstUsername<UsernameType>`. Exemple : `AlbertE`
Utilisateur	Alias		Alias de DstUsername.
DstUsernameType	Conditionnelle	UsernameType	Spécifie le type du nom d’utilisateur stocké dans le champ DstUsername . Pour obtenir la liste des valeurs autorisées et plus d’informations, reportez-vous à UsernameType dans l’article Vue d’ensemble du schéma. Exemple : `Windows`
DstUserType	Facultatif	UserType	Type d’utilisateur de destination. Pour obtenir la liste des valeurs autorisées et plus d’informations, reportez-vous à UserType dans l’article Vue d’ensemble du schéma. Remarque : La valeur peut être fournie dans l’enregistrement source à l’aide de termes différents, qui doivent être normalisés avec ces valeurs. Stockez la valeur d’origine dans le champ DstOriginalUserType .
DstOriginalUserType	Facultatif	String	Type d’utilisateur de destination d’origine, s’il est fourni par la source.

Champs d’application de destination

Field	Classe	Type	Description
DstAppName	Facultatif	String	Nom de l’application de destination. Exemple : `Facebook`
DstAppId	Facultatif	String	ID de l’application de destination, tel que signalé par l’appareil de création de rapports. Si DstAppType a la valeur `Process`, `DstAppId` et `DstProcessId` doit avoir la même valeur. Exemple : `124`
DstAppType	Facultatif	AppType	Type de l’application de destination. Pour obtenir la liste des valeurs autorisées et plus d’informations, reportez-vous à AppType dans l’article Vue d’ensemble du schéma. Ce champ est obligatoire si DstAppName ou DstAppId sont utilisés.
DstProcessName	Facultatif	String	Nom de fichier du processus qui a mis fin à la session réseau. Ce nom est généralement considéré comme le nom du processus. Exemple : `C:\Windows\explorer.exe`
Processus	Alias		Alias du DstProcessName Exemple : `C:\Windows\System32\rundll32.exe`
DstProcessId	Facultatif	String	ID de processus (PID) du processus qui a arrêté la session réseau. Exemple : `48610176` Remarque : Le type est défini en tant que chaîne pour prendre en charge différents systèmes, mais sur Windows et Linux cette valeur doit être numérique. Si vous utilisez un ordinateur Windows ou Linux et que vous avez utilisé un autre type, veillez à convertir les valeurs. Par exemple, si vous avez utilisé une valeur hexadécimale, convertissez-la en valeur décimale.
DstProcessGuid	Facultatif	String	Identificateur unique (GUID) généré du processus qui a mis fin à la session réseau. Exemple : `EF3BD0BD-2B74-60C5-AF5C-010000001E00`

Champs système source

Field	Classe	Type	Description
Src	Alias		Identificateur unique de l’appareil source. Ce champ peut alias les champs SrcDvcId, SrcHostname ou SrcIpAddr . Exemple : `192.168.12.1`
SrcIpAddr	Recommandé	Adresse IP	Adresse IP d’où provient la connexion ou la session. Cette valeur est obligatoire si SrcHostname est spécifié. Si la session utilise la traduction d’adresses réseau, `SrcIpAddr` est l’adresse visible publiquement, et non l’adresse d’origine de la source, qui est stockée dans SrcNatIpAddr Exemple : `77.138.103.108`
SrcPortNumber	Facultatif	Entier	Port IP d’où provient la connexion. Peut ne pas être pertinent pour une session comprenant plusieurs connexions. Exemple : `2335`
SrcHostname	Recommandé	Hostname (String)	Nom d’hôte de l’appareil source, à l’exception des informations de domaine. Si aucun nom d’appareil n’est disponible, stockez l’adresse IP appropriée dans ce champ. Exemple : `DESKTOP-1282V4D`
SrcDomain	Recommandé	Domaine (Chaîne)	Domaine de l’appareil source. Exemple : `Contoso`
SrcDomainType	Conditionnelle	DomainType	Type de SrcDomain. Pour obtenir la liste des valeurs autorisées et plus d’informations, reportez-vous à DomainType dans l’article Vue d’ensemble du schéma. Obligatoire si SrcDomain est utilisé.
SrcFQDN	Facultatif	Nom de domaine complet (chaîne)	Nom d’hôte de l’appareil source, y compris les informations de domaine lorsqu’elles sont disponibles. Remarque : ce champ prend en charge à la fois le format FQDN traditionnel et le format domaine\nom d’hôte Windows. Le champ SrcDomainType reflète le format utilisé. Exemple : `Contoso\DESKTOP-1282V4D`
SrcDvcId	Facultatif	String	ID de l’appareil source. Si plusieurs ID sont disponibles, utilisez le plus important et stockez les autres dans les champs `SrcDvc<DvcIdType>`. Exemple : `ac7e9755-8eae-4ffc-8a02-50ed7a2216c3`
SrcDvcScopeId	Facultatif	String	ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil. SrcDvcScopeId mappé à un ID d’abonnement sur Azure et à un ID de compte sur AWS.
SrcDvcScope	Facultatif	String	Étendue de la plateforme cloud à laquelle appartient l’appareil. SrcDvcScope mappé à un ID d’abonnement sur Azure et à un ID de compte sur AWS.
SrcDvcIdType	Conditionnelle	DvcIdType	Type de SrcDvcId. Pour obtenir la liste des valeurs autorisées et plus d’informations, reportez-vous à DvcIdType dans l’article Vue d’ensemble du schéma. Remarque : Ce champ est obligatoire si SrcDvcId est utilisé.
SrcDeviceType	Facultatif	DeviceType	Type de l’appareil source. Pour obtenir la liste des valeurs autorisées et plus d’informations, reportez-vous à DeviceType dans l’article Vue d’ensemble du schéma.
SrcZone	Facultatif	String	Zone réseau de la source, telle que définie par l’appareil de création de rapports. Exemple : `Internet`
SrcInterfaceName	Facultatif	String	Interface réseau utilisée pour la connexion ou la session par l’appareil source. Exemple : `eth01`
SrcInterfaceGuid	Facultatif	GUID (Chaîne)	GUID de l’interface réseau utilisée sur l’appareil source. Exemple : `46ad544b-eaf0-47ef-` `827c-266030f545a6`
SrcMacAddr	Facultatif	Adresse MAC (chaîne)	Adresse MAC de l’interface réseau d’où provient la connexion ou la session. Exemple : `06:10:9f:eb:8f:14`
SrcVlanId	Facultatif	String	ID de réseau local virtuel associé à l’appareil source. Exemple : `130`
InnerVlanId	Alias		Alias de SrcVlanId. Dans de nombreux cas, le réseau local virtuel ne peut pas être déterminé comme source ou destination, mais il est caractérisé comme interne ou externe. Cet alias signifie que SrcVlanId doit être utilisé lorsque le VLAN est caractérisé comme interne.
SrcGeoCountry	Facultatif	Pays	Pays/région associé à l’adresse IP source. Exemple : `USA`
SrcGeoRegion	Facultatif	Région	Région associée à l’adresse IP source. Exemple : `Vermont`
SrcGeoCity	Facultatif	Ville	Ville associée à l’adresse IP source. Exemple : `Burlington`
SrcGeoLatitude	Facultatif	Latitude	Latitude de la coordonnée géographique associée à l’adresse IP source. Exemple : `44.475833`
SrcGeoLongitude	Facultatif	Longitude	Longitude de la coordonnée géographique associée à l’adresse IP source. Exemple : `73.211944`
SrcDescription	Facultatif	String	Texte descriptif associé à l’appareil. Par exemple : `Primary Domain Controller`.

Champs de l’utilisateur source

Field	Classe	Type	Description
SrcUserId	Facultatif	String	Représentation unique, alphanumérique et lisible par l’ordinateur de l’utilisateur source. Pour connaître le format pris en charge pour les différents types d’ID, reportez-vous à l’entité Utilisateur. Exemple : `S-1-12`
SrcUserScope	Facultatif	String	Étendue, telle que Microsoft Entra locataire, dans laquelle SrcUserId et SrcUsername sont définis. ou plus d’informations et la liste des valeurs autorisées, consultez UserScope dans l’article Vue d’ensemble du schéma.
SrcUserScopeId	Facultatif	String	ID d’étendue, tel que Microsoft Entra ID d’annuaire, dans lequel SrcUserId et SrcUsername sont définis. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserScopeId dans l’article Vue d’ensemble du schéma.
SrcUserIdType	Conditionnelle	UserIdType	Type de l’ID stocké dans le champ SrcUserId . Pour obtenir la liste des valeurs autorisées et plus d’informations, reportez-vous à UserIdType dans l’article Vue d’ensemble du schéma.
SrcUsername	Facultatif	Nom d’utilisateur (chaîne)	Nom d’utilisateur source, y compris les informations de domaine lorsqu’elles sont disponibles. Pour connaître le format pris en charge pour les différents types d’ID, reportez-vous à l’entité Utilisateur. Utilisez le formulaire simple uniquement si les informations de domaine ne sont pas disponibles. Stockez le type de nom d’utilisateur dans le champ SrcUsernameType . Si d’autres formats de nom d’utilisateur sont disponibles, stockez-les dans les champs `SrcUsername<UsernameType>`. Exemple : `AlbertE`
SrcUsernameType	Conditionnelle	UsernameType	Spécifie le type du nom d’utilisateur stocké dans le champ SrcUsername . Pour obtenir la liste des valeurs autorisées et plus d’informations, reportez-vous à UsernameType dans l’article Vue d’ensemble du schéma. Exemple : `Windows`
SrcUserType	Facultatif	UserType	Type d’utilisateur source. Pour obtenir la liste des valeurs autorisées et plus d’informations, reportez-vous à UserType dans l’article Vue d’ensemble du schéma. Remarque : La valeur peut être fournie dans l’enregistrement source à l’aide de termes différents, qui doivent être normalisés avec ces valeurs. Stockez la valeur d’origine dans le champ SrcOriginalUserType .
SrcOriginalUserType	Facultatif	String	Type d’utilisateur de destination d’origine, s’il est fourni par l’appareil de création de rapports.

Champs d’application source

Field	Classe	Type	Description
SrcAppName	Facultatif	String	Nom de l’application source. Exemple : `filezilla.exe`
SrcAppId	Facultatif	String	ID de l’application source, tel que signalé par l’appareil de création de rapports. Si SrcAppType a la valeur `Process`, `SrcAppId` et `SrcProcessId` doit avoir la même valeur. Exemple : `124`
SrcAppType	Facultatif	AppType	Type de l’application source. Pour obtenir la liste des valeurs autorisées et plus d’informations, reportez-vous à AppType dans l’article Vue d’ensemble du schéma. Ce champ est obligatoire si SrcAppName ou SrcAppId sont utilisés.
SrcProcessName	Facultatif	String	Nom de fichier du processus qui a lancé la session réseau. Ce nom est généralement considéré comme le nom du processus. Exemple : `C:\Windows\explorer.exe`
SrcProcessId	Facultatif	String	ID de processus (PID) du processus qui a lancé la session réseau. Exemple : `48610176` Remarque : Le type est défini en tant que chaîne pour prendre en charge différents systèmes, mais sur Windows et Linux cette valeur doit être numérique. Si vous utilisez un ordinateur Windows ou Linux et que vous avez utilisé un autre type, veillez à convertir les valeurs. Par exemple, si vous avez utilisé une valeur hexadécimale, convertissez-la en valeur décimale.
SrcProcessGuid	Facultatif	String	Identificateur unique (GUID) généré du processus qui a lancé la session réseau. Exemple : `EF3BD0BD-2B74-60C5-AF5C-010000001E00`

Alias locaux et distants

Tous les champs source et de destination répertoriés ci-dessus peuvent éventuellement être alias par des champs portant le même nom et les descripteurs Local et Remote. Cela est généralement utile pour les événements signalés par un point de terminaison et pour lesquels le type d’événement est EndpointNetworkSession.

Pour ces événements, les descripteurs Local et Remote indiquent le point de terminaison lui-même et l’appareil à l’autre extrémité de la session réseau, respectivement. Pour les connexions entrantes, le système local est la destination, Local les champs sont des alias des Dst champs et les champs « Distants » sont des alias de Src champs. À l’inverseSrc, pour les connexions sortantes, le système local est la source, Local les champs sont des alias des champs et Remote les champs sont des alias de Dst champs.

Par exemple, pour un événement entrant, le champ LocalIpAddr est un alias de DstIpAddr et le champ RemoteIpAddr est un alias pour SrcIpAddr.

Noms d’hôte et alias d’adresse IP

Field	Classe	Type	Description
Hostname	Alias		- Si le type d’événement est `NetworkSession`, `Flow` ou `L2NetworkSession`, le nom d’hôte est un alias de DstHostname. - Si le type d’événement est `EndpointNetworkSession`, Hostname est un alias de `RemoteHostname`, qui peut alias DstHostname ou SrcHostName, en fonction de NetworkDirection
IpAddr	Alias		- Si le type d’événement est `NetworkSession`, `Flow` ou `L2NetworkSession`, IpAddr est un alias de SrcIpAddr. - Si le type d’événement est `EndpointNetworkSession`, IpAddr est un alias de `LocalIpAddr`, qui peut alias SrcIpAddr ou DstIpAddr, selon NetworkDirection.

Champs d’appareil intermédiaire et de traduction d’adresses réseau (NAT)

Les champs suivants sont utiles si l’enregistrement inclut des informations sur un appareil intermédiaire, tel qu’un pare-feu ou un proxy, qui relaie la session réseau.

Les systèmes intermédiaires utilisent souvent la traduction d’adresses et, par conséquent, l’adresse d’origine et l’adresse observée en externe ne sont pas les mêmes. Dans ce cas, les champs d’adresse primaire tels que SrcIPAddr et DstIpAddr représentent les adresses observées en externe, tandis que les champs d’adresse NAT , SrcNatIpAddr et DstNatIpAddr représentent l’adresse interne de l’appareil d’origine avant la traduction.

Field	Classe	Type	Description
DstNatIpAddr	Facultatif	Adresse IP	DstNatIpAddr représente l’un des points suivants : - Adresse d’origine de l’appareil de destination si la traduction d’adresses réseau a été utilisée. - Adresse IP utilisée par l’appareil intermédiaire pour la communication avec la source. Exemple : `2::1`
DstNatPortNumber	Facultatif	Entier	Si signalé par un appareil NAT intermédiaire, port utilisé par l’appareil NAT pour la communication avec la source. Exemple : `443`
SrcNatIpAddr	Facultatif	Adresse IP	Le SrcNatIpAddr représente l’un des points suivants : - Adresse d’origine de l’appareil source si la traduction d’adresses réseau a été utilisée. - Adresse IP utilisée par l’appareil intermédiaire pour la communication avec la destination. Exemple : `4.3.2.1`
SrcNatPortNumber	Facultatif	Entier	Si signalé par un appareil NAT intermédiaire, port utilisé par l’appareil NAT pour la communication avec la destination. Exemple : `345`
DvcInboundInterface	Facultatif	String	Si signalé par un appareil intermédiaire, l’interface réseau utilisée par le périphérique NAT pour la connexion à l’appareil source. Exemple : `eth0`
DvcOutboundInterface	Facultatif	String	Si signalé par un appareil intermédiaire, l’interface réseau utilisée par l’appareil NAT pour la connexion à l’appareil de destination. Exemple : `Ethernet adapter Ethernet 4e`

Champs d’inspection

Les champs suivants sont utilisés pour représenter l’inspection effectuée par un appareil de sécurité tel qu’un pare-feu, une adresse IPS ou une passerelle de sécurité web :

Field	Classe	Type	Description
NetworkRuleName	Facultatif	String	Nom ou ID de la règle selon laquelle DvcAction a été décidé. Exemple : `AnyAnyDrop`
NetworkRuleNumber	Facultatif	Entier	Numéro de la règle selon laquelle DvcAction a été décidé. Exemple : `23`
Règle	Alias	String	La valeur de NetworkRuleName ou la valeur de NetworkRuleNumber. Si la valeur de NetworkRuleNumber est utilisée, le type doit être converti en chaîne.
ThreatId	Facultatif	String	ID de la menace ou du programme malveillant identifié dans la session réseau. Exemple : `Tr.124`
ThreatName	Facultatif	String	Nom de la menace ou du programme malveillant identifié dans la session réseau. Exemple : `EICAR Test File`
ThreatCategory	Facultatif	String	Catégorie de la menace ou du programme malveillant identifié dans la session réseau. Exemple : `Trojan`
ThreatRiskLevel	Facultatif	RiskLevel (Integer)	Niveau de risque associé à la session. Le niveau doit être un nombre compris entre 0 et 100. Remarque : La valeur peut être fournie dans l’enregistrement source à l’aide d’une échelle différente, qui doit être normalisée à cette échelle. La valeur d’origine doit être stockée dans ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel	Facultatif	String	Niveau de risque indiqué par l’appareil de création de rapports.
ThreatIpAddr	Facultatif	Adresse IP	Adresse IP pour laquelle une menace a été identifiée. Le champ ThreatField contient le nom du champ Représenté par ThreatIpAddr .
ThreatField	Conditionnelle	Énumérés	Champ pour lequel une menace a été identifiée. La valeur est ou `SrcIpAddrDstIpAddr`.
ThreatConfidence	Facultatif	ConfidenceLevel (Integer)	Niveau de confiance de la menace identifiée, normalisé à une valeur comprise entre 0 et 100.
ThreatOriginalConfidence	Facultatif	String	Niveau de confiance d’origine de la menace identifiée, tel que signalé par l’appareil de création de rapports.
ThreatIsActive	Facultatif	Booléen	True si la menace identifiée est considérée comme une menace active.
ThreatFirstReportedTime	Facultatif	DateHeure	La première fois que l’adresse IP ou le domaine ont été identifiés comme une menace.
ThreatLastReportedTime	Facultatif	DateHeure	Dernière fois que l’adresse IP ou le domaine ont été identifiés comme une menace.

Autres champs

Field	Classe	Type	Description
ASimMatchingIpAddr	Recommandé	Énumérés	Lorsqu’un analyseur utilise les `ipaddr_has_any_prefix` paramètres de filtrage, ce champ est défini avec l’une des valeurs `SrcIpAddr`, `DstIpAddr`ou `Both` pour refléter les champs ou champs correspondants.
ASimMatchingHostname	Recommandé	Énumérés	Lorsqu’un analyseur utilise les `hostname_has_any` paramètres de filtrage, ce champ est défini avec l’une des valeurs `SrcHostname`, `DstHostname`ou `Both` pour refléter les champs ou champs correspondants.

Si l’événement est signalé par l’un des points de terminaison de la session réseau, il peut inclure des informations sur le processus qui a lancé ou mis fin à la session. Dans ce cas, le schéma d’événement de processus ASIM est utilisé pour normaliser ces informations.

Mises à jour de schéma

Voici les modifications apportées à la version 0.2.1 du schéma :

Ajout Src de et Dst en tant qu’alias à un identificateur de début pour les systèmes source et de destination.
Ajout des champs NetworkConnectionHistory, SrcVlanId, DstVlanId, InnerVlanIdet OuterVlanId.

Voici les modifications apportées à la version 0.2.2 du schéma :

Ajout d’alias Remote et Local .
Ajout du type EndpointNetworkSessiond’événement .
Définis Hostname et IpAddr en tant qu’alias pour RemoteHostname et LocalIpAddr respectivement lorsque le type d’événement est EndpointNetworkSession.
Défini DvcInterface en tant qu’alias de DvcInboundInterface ou DvcOutboundInterface.
Modification du type des champs suivants de Integer en Long : SrcBytes, DstBytes, NetworkBytes, SrcPackets, DstPacketset NetworkPackets.
Ajout du champ NetworkProtocolVersion.
Dépréciés DstUserDomain et SrcUserDomain.

Voici les modifications apportées à la version 0.2.3 du schéma :

Ajout du ipaddr_has_any_prefix paramètre de filtrage.
Le hostname_has_any paramètre de filtrage correspond désormais aux noms d’hôte source ou de destination.
Ajout des champs ASimMatchingHostname et ASimMatchingIpAddr.

Voici les modifications apportées à la version 0.2.4 du schéma :

Ajout des TcpFlags champs.
Mis à jour NetworkIcpmType et NetworkIcmpCode pour refléter la valeur numérique pour les deux.
Ajout de champs d’inspection supplémentaires.
Le champ « ThreatRiskLevelOriginal » a été renommé ThreatOriginalRiskLevel en pour s’aligner sur les conventions ASIM. Les analyseurs Microsoft existants seront conservés ThreatRiskLevelOriginal jusqu’au 1er mai 2023.
Marqué EventResultDetails comme recommandé et spécifié les valeurs autorisées.

Voici les modifications apportées à la version 0.2.5 du schéma :

Ajout des champs DstUserScope, SrcUserScope, SrcDvcScopeId, SrcDvcScope, DstDvcScopeIdDstDvcScope, DvcScopeId, et DvcScope.

Voici les modifications apportées à la version 0.2.6 du schéma :

Ajout d’IDS en tant que type d’événement

Voici les modifications apportées à la version 0.2.7 du schéma :

Ajout des champs DstDescription et SrcDescription

Prochaines étapes

Pour plus d’informations, reportez-vous aux rubriques suivantes :

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-04-23