Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le schéma de normalisation de la gestion des utilisateurs Microsoft Sentinel est utilisé pour décrire les activités de gestion des utilisateurs, telles que la création d’un utilisateur ou d’un groupe, la modification de l’attribut utilisateur ou l’ajout d’un utilisateur à un groupe. Ces événements sont signalés, par exemple, par les systèmes d’exploitation, les services d’annuaire, les systèmes de gestion des identités et tout autre système signalant son activité locale de gestion des utilisateurs.
Pour plus d’informations sur la normalisation dans Microsoft Sentinel, consultez Normalisation et le modèle ASIM (Advanced Security Information Model).
Vue d’ensemble du schéma
Le schéma de gestion des utilisateurs ASIM décrit les activités de gestion des utilisateurs. Les activités incluent généralement les entités suivantes :
- Acteur : utilisateur effectuant l’activité de gestion.
- Processus d’action : processus utilisé par l’acteur pour effectuer l’activité de gestion.
- Src : lorsque l’activité est effectuée sur le réseau, l’appareil source à partir duquel l’activité a été lancée.
- Utilisateur cible : l’utilisateur dont le compte est géré.
- Groupe dans lequel l’utilisateur cible est ajouté ou supprimé, ou en cours de modification.
Certaines activités, telles que UserCreated, GroupCreated, UserModified et GroupModified*, définissent ou mettent à jour les propriétés de l’utilisateur. La propriété définie ou mise à jour est documentée dans les champs suivants :
- EventSubType : nom de la valeur qui a été définie ou mise à jour. UpdatedPropertyName est un alias d’EventSubType lorsque EventSubType fait référence à l’un des types d’événements appropriés.
- PreviousPropertyValue : valeur précédente de la propriété.
- NewPropertyValue : valeur mise à jour de la propriété.
Analyseurs
Pour plus d’informations sur les analyseurs ASIM, consultez la vue d’ensemble des analyseurs ASIM.
Filtrage des paramètres de l’analyseur
Les analyseurs De gestion des utilisateurs prennent en charge les paramètres de filtrage. Bien que ces paramètres soient facultatifs, ils peuvent améliorer les performances de vos requêtes.
Les paramètres de filtrage suivants sont disponibles :
| Nom | Type | Description |
|---|---|---|
| Starttime | DateHeure | Filtrez uniquement les événements de gestion des utilisateurs qui se sont produits à ce moment ou après. Ce paramètre filtre sur le TimeGenerated champ, qui est l’indicateur standard pour l’heure de l’événement, quel que soit le mappage spécifique à l’analyseur des champs EventStartTime et EventEndTime. |
| heure de fin | DateHeure | Filtrez uniquement les événements de gestion des utilisateurs qui se sont produits à cette heure ou avant. Ce paramètre filtre sur le TimeGenerated champ, qui est l’indicateur standard pour l’heure de l’événement, quel que soit le mappage spécifique à l’analyseur des champs EventStartTime et EventEndTime. |
| srcipaddr_has_any_prefix | Dynamique | Filtrez uniquement les événements de gestion des utilisateurs pour lesquels le préfixe d’adresse IP source correspond à l’une des valeurs répertoriées. Les préfixes doivent se terminer par un ., par exemple : 10.0.. |
| targetusername_has_any | Dynamique | Filtrez uniquement les événements de gestion des utilisateurs pour lesquels le nom d’utilisateur cible a l’une des valeurs répertoriées. |
| actorusername_has_any | Dynamique | Filtrez uniquement les événements de gestion des utilisateurs pour lesquels le nom d’utilisateur de l’acteur a l’une des valeurs répertoriées. |
| eventtype_in | Dynamique | Filtrez uniquement les événements de gestion des utilisateurs pour lesquels le type d’événement est l’une des valeurs répertoriées, telles que UserCreated, UserDeleted, UserModified, PasswordChangedou GroupCreated. |
Par exemple, pour filtrer uniquement les événements de création d’utilisateurs du dernier jour, utilisez :
_Im_UserManagement (eventtype_in=dynamic(['UserCreated']), starttime = ago(1d), endtime=now())
Détails du schéma
Champs ASIM courants
Importante
Les champs communs à tous les schémas sont décrits en détail dans l’article Champs communs ASIM .
Champs communs avec des instructions spécifiques
La liste suivante mentionne les champs qui ont des instructions spécifiques pour les événements d’activité de processus :
| Field | Classe | Type | Description |
|---|---|---|---|
| EventType | Obligatoire | Énumérés | Décrit l’opération signalée par l’enregistrement. Pour l’activité Gestion des utilisateurs, les valeurs prises en charge sont les suivantes : - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| EventSubType | Facultatif | Énumérés | Les sous-types suivants sont pris en charge : - UserRead: mot de passe, hachage- UserCreated, GroupCreated, UserModified, GroupModified. Pour plus d’informations, consultez UpdatedPropertyName |
| EventResult | Obligatoire | Énumérés | Bien que l’échec soit possible, la plupart des systèmes signalent uniquement les événements de gestion des utilisateurs réussis. La valeur attendue pour les événements réussis est Success. |
| EventResultDetails | Recommandé | Énumérés | Les valeurs valides sont NotAuthorized et Other. |
| EventSeverity | Obligatoire | Énumérés | Bien qu’une valeur de gravité valide soit autorisée, la gravité des événements de gestion des utilisateurs est généralement Informational. |
| EventSchema | Obligatoire | Énumérés | Le nom du schéma documenté ici est UserManagement. |
| EventSchemaVersion | Obligatoire | SchemaVersion (String) | Version du schéma. La version du schéma documentée ici est 0.1.2. |
| Champs Dvc | Pour les événements de gestion des utilisateurs, les champs d’appareil font référence au système qui signale l’événement. Il s’agit généralement du système sur lequel l’utilisateur est géré. |
Tous les champs courants
Les champs qui apparaissent dans le tableau ci-dessous sont communs à tous les schémas ASIM. Toutes les recommandations spécifiées ci-dessus remplacent les instructions générales pour le champ. Par exemple, un champ peut être facultatif en général, mais obligatoire pour un schéma spécifique. Pour plus d’informations sur chaque champ, reportez-vous à l’article Champs communs ASIM .
| Class | Fields |
|---|---|
| Obligatoire |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Cvn |
| Recommandé |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Facultatif |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Champs de propriété mis à jour
| Field | Classe | Type | Description |
|---|---|---|---|
| UpdatedPropertyName | Alias | Alias en EventSubType lorsque le type d’événement est UserCreated, GroupCreated, UserModifiedou GroupModified.Les valeurs prises en charge sont : - MultipleProperties: utilisé lorsque l’activité met à jour plusieurs propriétés- Previous<PropertyName>, où <PropertyName> est l’une des valeurs prises en charge pour UpdatedPropertyName. - New<PropertyName>, où <PropertyName> est l’une des valeurs prises en charge pour UpdatedPropertyName. |
|
| PreviousPropertyValue | Facultatif | String | Valeur précédente stockée dans la propriété spécifiée. |
| NewPropertyValue | Facultatif | String | Nouvelle valeur stockée dans la propriété spécifiée. |
Champs utilisateur cible
| Field | Classe | Type | Description |
|---|---|---|---|
| TargetUserId | Facultatif | String | Représentation unique, alphanumérique et lisible par l’ordinateur de l’utilisateur cible. Les formats et types pris en charge sont les suivants : - SID (Windows) : S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux) : 4578- AADID (Microsoft Entra ID) : 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId : 00urjk4znu3BcncfY0h7- AWSId : 72643944673Stockez le type d’ID dans le champ TargetUserIdType . Si d’autres ID sont disponibles, nous vous recommandons de normaliser les noms de champs sur TargetUserSid, TargetUserUid, TargetUserAADID, TargetUserOktaId et TargetUserAwsId, respectivement. Pour plus d’informations, consultez L’entité Utilisateur. Exemple : S-1-12 |
| TargetUserIdType | Conditionnelle | Énumérés | Type de l’ID stocké dans le champ TargetUserId . Les valeurs prises en charge sont SID, UID, AADID, OktaIdet AWSId. |
| TargetUsername | Facultatif | Nom d’utilisateur (chaîne) | Nom d’utilisateur cible, y compris les informations de domaine lorsqu’elles sont disponibles. Utilisez l’un des formats suivants et dans l’ordre de priorité suivant : - Upn/Email : johndow@contoso.com- Windows : Contoso\johndow- DN : CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Simple : johndow. Utilisez le formulaire Simple uniquement si les informations de domaine ne sont pas disponibles.Stockez le type de nom d’utilisateur dans le champ TargetUsernameType . Si d’autres ID sont disponibles, nous vous recommandons de normaliser les noms de champs sur TargetUserUpn, TargetUserWindows et TargetUserDn. Pour plus d’informations, consultez L’entité Utilisateur. Exemple : AlbertE |
| TargetUsernameType | Conditionnelle | Énumérés | Spécifie le type du nom d’utilisateur stocké dans le champ TargetUsername . Les valeurs prises en charge sont UPN, Windows, DNet Simple. Pour plus d’informations, consultez L’entité Utilisateur.Exemple : Windows |
| TargetUserType | Facultatif | Énumérés | Type d’utilisateur cible. Les valeurs prises en charge incluent : - Regular- Machine- Admin- System- Application- Service Principal- OtherRemarque : La valeur peut être fournie dans l’enregistrement source à l’aide de termes différents, qui doivent être normalisés avec ces valeurs. Stockez la valeur d’origine dans le champ TargetOriginalUserType . |
| TargetOriginalUserType | Facultatif | String | Type d’utilisateur de destination d’origine, s’il est fourni par la source. |
| TargetUserScope | Facultatif | String | Étendue, telle que Microsoft Entra locataire, dans laquelle TargetUserId et TargetUsername sont définis. ou plus d’informations et la liste des valeurs autorisées, consultez UserScope dans l’article Vue d’ensemble du schéma. |
| TargetUserScopeId | Facultatif | String | ID d’étendue, tel que Microsoft Entra ID d’annuaire, dans lequel TargetUserId et TargetUsername sont définis. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserScopeId dans l’article Vue d’ensemble du schéma. |
| TargetUserSessionId | Facultatif | String | ID unique de la session de connexion de l’utilisateur cible. Exemple : 999 Remarque : Le type est défini en tant que chaîne pour prendre en charge différents systèmes, mais sur Windows, cette valeur doit être numérique. Si vous utilisez un ordinateur Windows ou Linux et que vous avez utilisé un autre type, veillez à convertir les valeurs. Par exemple, si vous avez utilisé une valeur hexadécimale, convertissez-la en valeur décimale. |
Champs d’acteur
| Field | Classe | Type | Description |
|---|---|---|---|
| ActorUserId | Facultatif | String | Représentation unique, alphanumérique et lisible par ordinateur de l’acteur. Les formats et types pris en charge sont les suivants : - SID (Windows) : S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux) : 4578- AADID (Microsoft Entra ID) : 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId : 00urjk4znu3BcncfY0h7- AWSId : 72643944673Stockez le type d’ID dans le champ ActorUserIdType . Si d’autres ID sont disponibles, nous vous recommandons de normaliser les noms de champs sur ActorUserSid, ActorUserUid, ActorUserAadId, ActorUserOktaId et ActorAwsId, respectivement. Pour plus d’informations, consultez L’entité Utilisateur. Exemple : S-1-12 |
| ActorUserIdType | Conditionnelle | Énumérés | Type de l’ID stocké dans le champ ActorUserId . Les valeurs prises en charge sont SID, UID, AADID, OktaIdet AWSId. |
| ActorUsername | Obligatoire | Nom d’utilisateur (chaîne) | Nom d’utilisateur de l’acteur, y compris les informations de domaine lorsqu’elles sont disponibles. Utilisez l’un des formats suivants et dans l’ordre de priorité suivant : - Upn/Email : johndow@contoso.com- Windows : Contoso\johndow- DN : CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Simple : johndow. Utilisez le formulaire Simple uniquement si les informations de domaine ne sont pas disponibles.Stockez le type de nom d’utilisateur dans le champ ActorUsernameType . Si d’autres ID sont disponibles, nous vous recommandons de normaliser les noms de champs sur ActorUserUpn, ActorUserWindows et ActorUserDn. Pour plus d’informations, consultez L’entité Utilisateur. Exemple : AlbertE |
| Utilisateur | Alias | Alias de ActorUsername. | |
| ActorUsernameType | Conditionnelle | Énumérés | Spécifie le type du nom d’utilisateur stocké dans le champ ActorUsername . Les valeurs prises en charge sont UPN, Windows, DNet Simple. Pour plus d’informations, consultez L’entité Utilisateur.Exemple : Windows |
| ActorUserType | Facultatif | Énumérés | Type de l’acteur. Les valeurs autorisées sont les suivantes : - Regular- Machine- Admin- System- Application- Service Principal- OtherRemarque : La valeur peut être fournie dans l’enregistrement source à l’aide de termes différents, qui doivent être normalisés avec ces valeurs. Stockez la valeur d’origine dans le champ ActorOriginalUserType . |
| ActorOriginalUserType | Facultatif | String | Type d’utilisateur de destination d’origine, s’il est fourni par l’appareil de création de rapports. |
| ActorOriginalUserType | Type d’utilisateur d’acteur d’origine, s’il est fourni par la source. | ||
| ActorSessionId | Facultatif | String | ID unique de la session de connexion de l’acteur. Exemple : 999Remarque : Le type est défini en tant que chaîne pour prendre en charge différents systèmes, mais sur Windows, cette valeur doit être numérique. Si vous utilisez une machine Windows et que vous avez utilisé un type différent, veillez à convertir les valeurs. Par exemple, si vous avez utilisé une valeur hexadécimale, convertissez-la en valeur décimale. |
| ActorScope | Facultatif | String | Étendue, telle que Microsoft Entra locataire, dans laquelle ActorUserId et ActorUsername sont définis. ou plus d’informations et la liste des valeurs autorisées, consultez UserScope dans l’article Vue d’ensemble du schéma. |
| ActorScopeId | Facultatif | String | ID d’étendue, tel que Microsoft Entra ID d’annuaire, dans lequel ActorUserId et ActorUsername sont définis. ou plus d’informations et la liste des valeurs autorisées, consultez UserScopeId dans l’article Vue d’ensemble du schéma. |
Champs de groupe
| Field | Classe | Type | Description |
|---|---|---|---|
| Groupid | Facultatif | String | Représentation unique, alphanumérique et lisible par ordinateur du groupe, pour les activités impliquant un groupe. Les formats et types pris en charge sont les suivants : - SID (Windows) : S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux) : 4578Stockez le type d’ID dans le champ GroupIdType . Si d’autres ID sont disponibles, nous vous recommandons de normaliser les noms de champs sur GroupSid ou GroupUid, respectivement. Pour plus d’informations, consultez L’entité Utilisateur. Exemple : S-1-12 |
| GroupIdType | Facultatif | Énumérés | Type de l’ID stocké dans le champ GroupId . Les valeurs prises en charge sont SID, et UID. |
| Groupname | Facultatif | String | Nom du groupe, y compris les informations de domaine lorsqu’elles sont disponibles, pour les activités impliquant un groupe. Utilisez l’un des formats suivants et dans l’ordre de priorité suivant : - Upn/Email : grp@contoso.com- Windows : Contoso\grp- DN : CN=grp,OU=Sales,DC=Fabrikam,DC=COM- Simple : grp. Utilisez le formulaire Simple uniquement si les informations de domaine ne sont pas disponibles.Stockez le type de nom de groupe dans le champ GroupNameType . Si d’autres ID sont disponibles, nous vous recommandons de normaliser les noms de champs sur GroupUpn, GroupNameWindows et GroupDn. Exemple : Contoso\Finance |
| GroupNameType | Facultatif | Énumérés | Spécifie le type du nom de groupe stocké dans le champ GroupName . Les valeurs prises en charge sont UPN, Windows, DNet Simple.Exemple : Windows |
| GroupType | Facultatif | Énumérés | Type du groupe, pour les activités impliquant un groupe. Les valeurs prises en charge incluent : - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- OtherRemarque : La valeur peut être fournie dans l’enregistrement source à l’aide de termes différents, qui doivent être normalisés avec ces valeurs. Stockez la valeur d’origine dans le champ GroupOriginalType . |
| GroupOriginalType | Facultatif | String | Type de groupe d’origine, s’il est fourni par la source. |
Champs sources
| Field | Classe | Type | Description |
|---|---|---|---|
| Src | Recommandé | String | Identificateur unique de l’appareil source. Ce champ peut alias les champs SrcDvcId, SrcHostname ou SrcIpAddr . Exemple : 192.168.12.1 |
| SrcIpAddr | Recommandé | Adresse IP | Adresse IP de l’appareil source. Cette valeur est obligatoire si SrcHostname est spécifié. Exemple : 77.138.103.108 |
| IpAddr | Alias | Alias de SrcIpAddr. | |
| SrcPortNumber | Facultatif | Entier | Port IP d’où provient la connexion. Peut ne pas être pertinent pour une session comprenant plusieurs connexions. Exemple : 2335 |
| SrcMacAddr | Facultatif | Adresse MAC (chaîne) | Adresse MAC de l’interface réseau d’où provient la connexion ou la session. Exemple : 06:10:9f:eb:8f:14 |
| SrcDescription | Facultatif | String | Texte descriptif associé à l’appareil. Par exemple : Primary Domain Controller. |
| SrcHostname | Recommandé | String | Nom d’hôte de l’appareil source, à l’exception des informations de domaine. Exemple : DESKTOP-1282V4D |
| SrcDomain | Recommandé | Domaine (Chaîne) | Domaine de l’appareil source. Exemple : Contoso |
| SrcDomainType | Recommandé | Énumérés | Type de SrcDomain, s’il est connu. Les valeurs admises sont les suivantes : - Windows (par exemple, contoso)- FQDN (par exemple, microsoft.com)Obligatoire si SrcDomain est utilisé. |
| SrcFQDN | Facultatif | Nom de domaine complet (chaîne) | Nom d’hôte de l’appareil source, y compris les informations de domaine lorsqu’elles sont disponibles. Remarque : ce champ prend en charge à la fois le format FQDN traditionnel et le format domaine\nom d’hôte Windows. Le champ SrcDomainType reflète le format utilisé. Exemple : Contoso\DESKTOP-1282V4D |
| SrcDvcId | Facultatif | String | ID de l’appareil source tel qu’indiqué dans l’enregistrement. Exemple : ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Facultatif | String | ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil. SrcDvcScopeId mappé à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcDvcScope | Facultatif | String | Étendue de la plateforme cloud à laquelle appartient l’appareil. SrcDvcScope mappé à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcDvcIdType | Conditionnelle | Énumérés | Type de SrcDvcId, s’il est connu. Les valeurs admises sont les suivantes : - AzureResourceId- MDEidSi plusieurs ID sont disponibles, utilisez le premier de la liste précédente et stockez les autres dans SrcDvcAzureResourceId et SrcDvcMDEid, respectivement. Remarque : Ce champ est obligatoire si SrcDvcId est utilisé. |
| SrcDeviceType | Facultatif | Énumérés | Type de l’appareil source. Les valeurs admises sont les suivantes : - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | Facultatif | Pays | Pays/région associé à l’adresse IP source. Exemple : USA |
| SrcGeoRegion | Facultatif | Région | Région associée à l’adresse IP source. Exemple : Vermont |
| SrcGeoCity | Facultatif | Ville | Ville associée à l’adresse IP source. Exemple : Burlington |
| SrcGeoLatitude | Facultatif | Latitude | Latitude de la coordonnée géographique associée à l’adresse IP source. Exemple : 44.475833 |
| SrcGeoLongitude | Facultatif | Longitude | Longitude de la coordonnée géographique associée à l’adresse IP source. Exemple : 73.211944 |
| SrcRiskLevel | Facultatif | Entier | Niveau de risque associé à la source. La valeur doit être ajustée à une plage de 0 à , avec 0 pour sans gravité et 100 pour 100un risque élevé.Exemple : 90 |
| SrcOriginalRiskLevel | Facultatif | String | Niveau de risque associé à la source, tel que signalé par l’appareil de création de rapports. Exemple : Suspicious |
Application agissante
Champs d’inspection
Les champs suivants sont utilisés pour représenter l’inspection effectuée par un système de sécurité tel qu’un système EDR.
| Field | Classe | Type | Description |
|---|---|---|---|
| RuleName | Facultatif | String | Nom ou ID de la règle associé aux résultats de l’inspection. |
| RuleNumber | Facultatif | Entier | Numéro de la règle associée aux résultats de l’inspection. |
| Règle | Conditionnelle | String | La valeur de kRuleName ou la valeur de RuleNumber. Si la valeur de RuleNumber est utilisée, le type doit être converti en chaîne. |
| ThreatId | Facultatif | String | ID de la menace ou du programme malveillant identifié dans l’activité de fichier. |
| ThreatName | Facultatif | String | Nom de la menace ou du programme malveillant identifié dans l’activité de fichier. Exemple : EICAR Test File |
| ThreatCategory | Facultatif | String | Catégorie de la menace ou du programme malveillant identifié dans l’activité de fichier. Exemple : Trojan |
| ThreatRiskLevel | Facultatif | RiskLevel (Integer) | Niveau de risque associé à la menace identifiée. Le niveau doit être un nombre compris entre 0 et 100. Remarque : La valeur peut être fournie dans l’enregistrement source à l’aide d’une échelle différente, qui doit être normalisée à cette échelle. La valeur d’origine doit être stockée dans ThreatOriginalRiskLevel. |
| ThreatOriginalRiskLevel | Facultatif | String | Niveau de risque indiqué par l’appareil de création de rapports. |
| ThreatField | Facultatif | String | Champ pour lequel une menace a été identifiée. |
| ThreatConfidence | Facultatif | ConfidenceLevel (Integer) | Niveau de confiance de la menace identifiée, normalisé à une valeur comprise entre 0 et 100. |
| ThreatOriginalConfidence | Facultatif | String | Niveau de confiance d’origine de la menace identifiée, tel que signalé par l’appareil de création de rapports. |
| ThreatIsActive | Facultatif | Booléen | True si la menace identifiée est considérée comme une menace active. |
| ThreatFirstReportedTime | Facultatif | DateHeure | La première fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatLastReportedTime | Facultatif | DateHeure | Dernière fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
Champs et alias supplémentaires
| Field | Classe | Type | Description |
|---|---|---|---|
| Hostname | Alias | Alias de DvcHostname. |
Mises à jour de schéma
Les modifications apportées à la version 0.1.2 du schéma sont les suivantes :
- Ajout de champs d’inspection.
- Ajout des champs
SrcDescriptionsources ,SrcMacAddr,SrcOriginalRiskLevel,SrcPortNumber,SrcRiskLevel, - Ajout des champs
TargetUserScopecibles ,TargetUserScopeId,TargetUserSessionId - Ajout des champs
ActorOriginalUserTyped’acteur ,ActorScope,ActorScopeId - Ajout du champ d’application agissant
ActingOriginalAppType
Prochaines étapes
Pour plus d’informations, reportez-vous aux rubriques suivantes :