Partager via

Informations de référence sur les champs du schéma commun ASIM (Advanced Security Information Model) (préversion)

  • Article

Certains champs sont communs à tous les schémas ASIM. Chaque schéma peut ajouter des directives pour l'utilisation de certains des champs communs dans le contexte du schéma spécifique. Par exemple, les valeurs autorisées pour le champ EventType peuvent varier selon le schéma, tout comme la valeur du champ EventSchemaVersion.

Champs de Log Analytics standard

Dans la plupart des cas, les champs suivants sont générés par Log Analytics pour chaque enregistrement. Elles peuvent être remplacées lorsque vous créez un connecteur personnalisé.

Champ Type Discussion
TimeGenerated DATETIME Heure à laquelle l’événement a été généré par l’appareil de création de rapports.
Type String Table d’origine à partir de laquelle l’enregistrement a été extrait. Ce champ est utile lorsque le même événement peut être reçu via plusieurs canaux dans différentes tables, avec les mêmes valeurs EventVendor et EventProduct.

Par exemple, un événement Sysmon peut être collecté soit vers le tableau Event, soit vers le tableau WindowsEvent.

Notes

Log Analytics ajoute également d’autres champs qui sont moins pertinents pour les cas d’usage de sécurité. Pour plus d’informations, consultez Colonnes standard dans les journaux d’Azure Monitor.

Champs ASIM communs

Les champs suivants sont définis par l'ASIM pour tous les schémas :

Champs de l’événement

Champ Classe Type Description
EventMessage Facultatif Chaîne Message général ou description, inclus dans l’enregistrement ou généré depuis l’enregistrement.
EventCount Obligatoire Integer Nombre d’événements décrits par l’enregistrement.

Cette valeur est utilisée lorsque la source prend en charge l’agrégation, et un seul enregistrement peut représenter plusieurs événements.

Pour les autres sources, affectez à la valeur 1.
EventStartTime Obligatoire Date/heure Heure de début de l’événement. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, il s’agit de l’heure à laquelle le premier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated.
EventEndTime Obligatoire Date/heure Heure de fin de l’événement. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, il s’agit de l’heure à laquelle le dernier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated.
EventType Obligatoire Énuméré Décrit l’opération signalée par l’enregistrement. Chaque schéma documente la liste des valeurs valides pour ce champ. La valeur d’origine, spécifique à la source, est stockée dans le champ EventOriginalType.
EventSubType Facultatif Énuméré Décrit une subdivision de l’opération rapportée dans le champ EventType. Chaque schéma documente la liste des valeurs valides pour ce champ. La valeur d’origine, spécifique à la source, est stockée dans le champ EventOriginalSubType.
EventResult Obligatoire Énuméré L’une des valeurs suivantes : Succès, Partiel, Échec, NA (Non applicable).

La valeur peut être fournie dans l’enregistrement source avec des termes différents, qui doivent être normalisés avec ces valeurs. Sinon, la source peut fournir uniquement le champ EventResultDetails qui devrait être analysé pour dériver la valeur EventResult.

Exemple : Success
EventResultDetails Recommandé Énuméré Raison ou détails du résultat rapporté dans le champ EventResult. Chaque schéma documente la liste des valeurs valides pour ce champ. La valeur d’origine, spécifique à la source, est stockée dans le champ EventOriginalResultDetails.

Exemple : NXDOMAIN
EventUid Recommandé String ID unique de l’enregistrement, tel qu’attribué par Microsoft Sentinel. Ce champ est généralement mappé au _ItemId champ Log Analytics.
EventOriginalUid Facultatif Chaîne ID unique de l’enregistrement d’origine, s’il est fourni par la source.

Exemple : 69f37748-ddcd-4331-bf0f-b137f1ea83b
EventOriginalType Facultatif Chaîne Type ou ID d’événement d’origine, s’il est fourni par la source. Par exemple, ce champ est utilisé pour stocker l’ID d’événement d’origine Windows. Cette valeur est utilisée pour dériver des EventType, qui ne doivent avoir qu’une seule des valeurs documentées pour chaque schéma.

Exemple : 4624
EventOriginalSubType Facultatif String Sous-type ou ID d’événement d’origine, s’il est fourni par la source. Par exemple, ce champ est utilisé pour stocker le type d’ouverture de session Windows d’origine. Cette valeur est utilisée pour dériver EventSubType, lequel ne doit avoir qu’une seule des valeurs documentées pour chaque schéma.

Exemple : 2
EventOriginalResultDetails Facultatif String Détails des résultats d’origine fournis par la source. Cette valeur est utilisée pour dériver des EventResultDetails, qui ne doivent avoir qu’une seule des valeurs documentées pour chaque schéma.
EventSeverity Recommandé Énuméré La gravité de l’événement. Les valeurs valides sont Informational, Low, Medium ou High.
EventOriginalSeverity Facultatif String La gravité d’origine, telle que fournie par l’appareil de reporting. Cette valeur est utilisée pour dériver EventSeverity.
EventProduct Obligatoire Chaîne Produit générant l’événement. La valeur doit être l’une des valeurs indiquées dans Fournisseurs et produits.

Exemple : Sysmon
EventProductVersion Facultatif Chaîne Version du produit générant l’événement.

Exemple : 12.1
EventVendor Obligatoire Chaîne Fournisseur du produit générant l’événement. La valeur doit être l’une des valeurs indiquées dans Fournisseurs et produits.

Exemple : Microsoft

EventSchema Obligatoire Chaîne Schéma dans lequel l’événement est normalisé. Chaque schéma documente son nom de schéma.
EventSchemaVersion Obligatoire Chaîne Version du schéma. Chaque schéma documente sa version en cours.
EventReportUrl Facultatif Chaîne URL fournie dans l’événement pour une ressource qui apporte plus d’informations sur l’événement.
EventOwner Facultatif String Le propriétaire de l’événement, qui est généralement le service ou la filiale dans lequel il a été généré.

Champs de l’appareil

Le rôle des champs de l’appareil est différent pour différents schémas et types d’événements. Par exemple :

  • Pour les événements de session réseau, les champs d’appareil fournissent généralement des informations sur l’appareil qui a généré l’événement
  • Pour les événements de processus, les champs d’appareil fournissent des informations sur l’appareil sur lequel le processus est exécuté.

Chaque document de schéma spécifie le rôle de l’appareil pour le schéma.

Champ Classe Type Description
Dvc Alias Chaîne Un identifiant unique du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement, selon le schéma.

Ce champ peut prendre l’alias des champs DvcFQDN, Dvcld, DvcHostname ou DvclpAddr. Pour les sources cloud pour lesquelles il n’y a pas d’appareil apparent, utilisez la même valeur que celle du champ Event Product.
DvcIpAddr Recommandé Adresse IP L'adresse IP du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement, selon le schéma.

Exemple : 45.21.42.12
DvcHostname Recommandé Nom d’hôte Le nom d'hôte du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement, selon le schéma.

Exemple : ContosoDc
DvcDomain Recommandé Chaîne Le domaine du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement, selon le schéma.

Exemple : Contoso
DvcDomainType Logique conditionnelle Énuméré Type de DvcDomain. Pour obtenir la liste des valeurs autorisées et des informations complémentaires, reportez-vous à DomainType.

Remarque: ce champ est obligatoire si le champ DvcDomain est utilisé.
DvcFQDN Facultatif String Le nom d'hôte du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement, selon le schéma.

Exemple : Contoso\DESKTOP-1282V4D

Remarque : ce champ prend en charge à la fois le format FQDN traditionnel et le format Windows domain\hostname. Le champ DvcDomainType reflète le format utilisé.
DvcDescription Facultatif String Obtient le texte descriptif associé à l’appareil. Par exemple : Primary Domain Controller.
DvcId Facultatif String L'ID unique du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement, selon le schéma.

Exemple : 41502da5-21b7-48ec-81c9-baeea8d7d669
DvcIdType Logique conditionnelle Énuméré Type de DvcId. Pour obtenir la liste des valeurs autorisées et des informations complémentaires, reportez-vous à DvcIdType.
- MDEid

Si plusieurs ID sont disponibles, utilisez le premier de la liste et stockez les autres à l’aide des noms de champs DvcAzureResourceId et DvcMDEid, respectivement.

Remarque: ce champ est obligatoire si le champ Dvcld est utilisé.
DvcMacAddr Facultatif MAC L'adresse MAC du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement.

Exemple : 00:1B:44:11:3A:B7
DvcZone Facultatif String Le réseau sur lequel l'événement s'est produit ou qui a signalé l'événement, selon le schéma. La zone est définie par le dispositif de reporting.

Exemple : Dmz
DvcOs Facultatif String Le système d’exploitation exécuté sur le dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement.

Exemple : Windows
DvcOsVersion Facultatif String La version du système d’exploitation du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement.

Exemple : 10
DvcAction Recommandé String Pour les systèmes de sécurité déclarés, l'action prise par le système, le cas échéant.

Exemple : Blocked
DvcOriginalAction Facultatif String Le DvcAction d’origine, tel que fourni par l’appareil de reporting.
DvcInterface Facultatif String Interface réseau sur laquelle les données ont été capturées. Ce champ est généralement adapté à une activité liée au réseau qui est capturée par un appareil intermédiaire ou point d’accès terminal.
DvcScopeId Facultatif String ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS.
DvcScope Facultatif String Étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcScope correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS.

Autres champs

Champ Classe Type Description
AdditionalFields Facultatif Dynamique Si votre source fournit des informations supplémentaires à conserver, conservez-les avec les noms de champs d’origine ou créez le champ dynamique AdditionalFields, puis ajoutez-y les informations supplémentaires sous forme de paires clé/valeur.
ASimMatchingIpAddr Recommandé Chaîne Lorsqu’un analyseur utilise les paramètres de filtrage ipaddr_has_any_prefix, ce champ est défini avec l’une des valeurs SrcIpAddr, DstIpAddrou Both pour refléter les champs ou champs correspondants.
ASimMatchingHostname Recommandé Chaîne Lorsqu’un analyseur utilise les paramètres de filtrage hostname_has_any, ce champ est défini avec l’une des valeurs SrcHostname, DstHostnameou Both pour refléter les champs ou champs correspondants.

Mises à jour du schéma

  • Le champ EventOwner a été ajouté aux champs communs le 1er décembre 2022, et donc à tous les schémas.
  • Le champ EventUid a été ajouté aux champs communs le 26 décembre 2022, et donc à tous les schémas.

Fournisseurs et produits

Pour maintenir la cohérence, la liste des fournisseurs et des produits autorisés est définie dans le cadre d’ASIM et peut ne pas correspondre directement à la valeur envoyée par la source, le cas échéant.

La liste actuellement prise en charge des fournisseurs et des produits utilisés dans les champs EventVendor et EventProduct est la suivante :

Fournisseur Produits
AWS - CloudTrail
- VPC
Cisco - ASA
- Umbrella
- IOS
- Meraki
Corelight Zeek
Cynerio Cynerio
Dataminr Dataminr Pulse
GCP Cloud DNS
Infoblox NIOS
Microsoft - Microsoft Entra ID
- Azure
- Azure Firewall
- Azure Blob Storage
- Azure File Storage
- Azure NSG flows
- Azure Queue Storage
- Azure Table Storage
- DNS Server
- Microsoft Defender XDR for Endpoint
- Microsoft Defender for IoT
- Security Events
- SharePoint
- OneDrive
- Sysmon
- Sysmon for Linux
- VMConnection
- Windows Firewall
- WireData
Linux - su
- sudo
Okta - Okta
- Auth0
OpenBSD OpenSSH
Palo Alto - PanOS
- CDL
PostgreSQL PostgreSQL
Squid Squid Proxy
Vectra AI Vectra Steam
WatchGuard Fireware
Zscaler - ZIA DNS
- ZIA Firewall
- ZIA Proxy

Si vous développez un analyseur pour un fournisseur ou un produit qui n’est pas répertorié ici, contactez l’équipe Microsoft Sentinel pour allouer un nouveau fournisseur et des désignateurs de produits autorisés.

Étapes suivantes

Pour plus d'informations, consultez les pages suivantes :