Guide d'utilisation UDM

Ce document fournit une description détaillée des champs du schéma UDM (UDM). Il liste les champs obligatoires et facultatifs pour chaque type d'événement.

Pour en savoir plus sur des champs UDM spécifiques (par exemple, les numéros d'énumération), consultez la liste des champs UDM.

Formats des noms de champs UDM :

  • Pour l'évaluation du moteur de règles, le préfixe commence par udm.
  • Pour le normaliseur basé sur la configuration (CBN), le préfixe commence par event.idm.read_only_udm.

Renseigner les métadonnées d'événement

La section des métadonnées d'événement pour les événements UDM stocke des informations générales sur chaque événement.

Metadata.event_type

  • Purpose (Objet) : spécifie le type d'événement. Si un événement peut avoir plusieurs types, cette valeur doit spécifier le type le plus précis.
  • Obligatoire : Oui.
  • Encodage : doit correspondre à l'un des types énumérés prédéfinis event_type de l'UDM.
  • Valeurs possibles : la liste suivante répertorie toutes les valeurs possibles pour event_type dans l'UDM.

Événements Analyst

  • ANALYST_ADD_COMMENT
  • ANALYST_UPDATE_PRIORITY
  • ANALYST_UPDATE_REASON
  • ANALYST_UPDATE_REPUTATION
  • ANALYST_UPDATE_RISK_SCORE
  • ANALYST_UPDATE_ROOT_CAUSE
  • ANALYST_UPDATE_SEVERITY_SCORE
  • ANALYST_UPDATE_STATUS
  • ANALYST_UPDATE_VERDICT

Événements de l'appareil

  • DEVICE_CONFIG_UPDATE
  • DEVICE_FIRMWARE_UPDATE
  • DEVICE_PROGRAM_DOWNLOAD
  • DEVICE_PROGRAM_UPLOAD

Événements de messagerie

  • EMAIL_UNCATEGORIZED
  • EMAIL_TRANSACTION
  • EMAIL_URL_CLICK

Événements non spécifiés

  • EVENTTYPE_UNSPECIFIED

Événements de fichier effectués sur un point de terminaison

  • FILE_UNCATEGORIZED
  • FILE_COPY (par exemple, copier un fichier sur une clé USB)
  • FILE_CREATION
  • FILE_DELETION
  • FILE_MODIFICATION
  • FILE_MOVE
  • FILE_OPEN (par exemple, l'ouverture d'un fichier peut indiquer une brèche de sécurité)
  • FILE_READ (lecture d'un fichier de mot de passe, par exemple)
  • FILE_SYNC

Événements qui n'entrent dans aucune autre catégorie

Événements qui n'entrent dans aucune autre catégorie, y compris les événements Windows non classés :

  • GENERIC_EVENT

Événements d'activité de groupe

  • GROUP_UNCATEGORIZED
  • GROUP_CREATION
  • GROUP_DELETION
  • GROUP_MODIFICATION

Événements mutex

  • MUTEX_UNCATEGORIZED
  • MUTEX_CREATION

Événements de télémétrie réseau

Événements de télémétrie réseau, qui incluent les charges utiles de protocole brutes, telles que DHCP et DNS, ainsi que les récapitulatifs de protocole pour les protocoles tels que HTTP, SMTP et FTP, et les événements de flux et de connexion de NetFlow et des pare-feu :

  • NETWORK_UNCATEGORIZED
  • NETWORK_CONNECTION (par exemple, les détails de la connexion réseau d'un pare-feu)
  • NETWORK_DHCP
  • NETWORK_DNS
  • NETWORK_FLOW (par exemple, statistiques agrégées sur les flux provenant de Netflow)
  • NETWORK_FTP
  • NETWORK_HTTP
  • NETWORK_SMTP

Traiter les événements

Tous les événements liés à un processus, comme le lancement d'un processus, la création d'un élément malveillant par un processus, l'injection d'un processus dans un autre, la modification d'une clé de registre ou la création d'un fichier malveillant sur le disque :

  • PROCESS_UNCATEGORIZED
  • PROCESS_INJECTION
  • PROCESS_LAUNCH
  • PROCESS_MODULE_LOAD
  • PROCESS_OPEN
  • PROCESS_PRIVILEGE_ESCALATION
  • PROCESS_TERMINATION

Événements du registre

Utilisez les événements REGISTRY suivants plutôt que les événements SETTING lorsque vous traitez des événements de registre spécifiques à Microsoft Windows :

  • REGISTRY_UNCATEGORIZED
  • REGISTRY_CREATION
  • REGISTRY_MODIFICATION
  • REGISTRY_DELETION

Événements liés aux ressources

  • RESOURCE_CREATION
  • RESOURCE_DELETION
  • RESOURCE_PERMISSIONS_CHANGE
  • RESOURCE_READ
  • RESOURCE_WRITTEN

Événements axés sur l'analyse

Les événements axés sur l'analyse incluent les analyses à la demande et les détections comportementales effectuées par les produits de sécurité des points de terminaison (EDR, AV, DLP). Elles ne sont utilisées que lorsqu'un SecurityResult est associé à un autre type d'événement (tel que PROCESS_LAUNCH).

Événements axés sur le scan :

  • SCAN_UNCATEGORIZED
  • SCAN_FILE
  • SCAN_HOST
  • SCAN_NETWORK
  • SCAN_PROCESS
  • SCAN_PROCESS_BEHAVIORS
  • SCAN_VULN_HOST
  • SCAN_VULN_NETWORK

Événements de tâches planifiées (Planificateur de tâches Windows, cron, etc.)

  • SCHEDULED_TASK_UNCATEGORIZED
  • SCHEDULED_TASK_CREATION
  • SCHEDULED_TASK_DELETION
  • SCHEDULED_TASK_DISABLE
  • SCHEDULED_TASK_ENABLE
  • SCHEDULED_TASK_MODIFICATION

Événements de service

  • SERVICE_UNSPECIFIED
  • SERVICE_CREATION
  • SERVICE_DELETION
  • SERVICE_MODIFICATION
  • SERVICE_START
  • SERVICE_STOP

Définir des événements

Pour définir les exigences relatives aux événements, consultez Paramètres : champs obligatoires.

Événements de paramètre, y compris lorsqu'un paramètre système est modifié sur un point de terminaison :

  • SETTING_UNCATEGORIZED
  • SETTING_CREATION
  • SETTING_DELETION
  • SETTING_MODIFICATION

Messages d'état des produits de sécurité

Messages d'état des produits de sécurité indiquant que les agents sont actifs et envoyant des données de version, d'empreinte digitale ou d'autres types de données :

  • STATUS_UNCATEGORIZED
  • STATUS_HEARTBEAT (indique que le produit est actif)
  • STATUS_STARTUP
  • STATUS_SHUTDOWN
  • STATUS_UPDATE (mise à jour logicielle ou de l'empreinte digitale)

Événements du journal d'audit système

  • SYSTEM_AUDIT_LOG_UNCATEGORIZED
  • SYSTEM_AUDIT_LOG_WIPE

Événements d'activité d'authentification des utilisateurs

  • USER_UNCATEGORIZED
  • USER_BADGE_IN (par exemple, lorsqu'un utilisateur se présente physiquement sur un site)
  • USER_CHANGE_PASSWORD
  • USER_CHANGE_PERMISSIONS
  • USER_COMMUNICATION
  • USER_CREATION
  • USER_DELETION
  • USER_LOGIN
  • USER_LOGOUT
  • USER_RESOURCE_ACCESS
  • USER_RESOURCE_CREATION
  • USER_RESOURCE_DELETION
  • USER_RESOURCE_UPDATE_CONTENT
  • USER_RESOURCE_UPDATE_PERMISSIONS
  • USER_STATS

Metadata.collected_timestamp

  • Objectif : encode le code temporel GMT lorsque l'événement a été collecté par l'infrastructure de collecte locale du fournisseur.
  • Encodage : RFC 3339, selon le format de code temporel JSON ou Proto3.
  • Exemple :
    • RFC 3339 : "2019-09-10T20:32:31-08:00"
    • Format Proto3 : "2012-04-23T18:25:43.511Z"

Metadata.event_timestamp

  • Objectif : encode le code temporel GMT lorsque l'événement a été généré.
  • Obligatoire : oui
  • Encodage : RFC 3339, selon le format de code temporel JSON ou Proto3.
  • Exemple :
    • RFC 3339 : 2019-09-10T20:32:31-08:00
    • Format Proto3 : 2012-04-23T18:25:43.511Z

Metadata.description

  • Objectif : description lisible de l'événement.
  • Encodage : chaîne alphanumérique, ponctuation autorisée, 1 024 octets maximum
  • Exemple : L'accès au document sensible c:\documents\earnings.docx a été bloqué pour le fichier c:\bar\foo.exe.

Metadata.product_event_type

  • Objectif : nom ou type d'événement court, descriptif, lisible et spécifique au produit.
  • Encodage : chaîne alphanumérique, ponctuation autorisée, 64 octets maximum.
  • Exemples :
    • Événement de création de registre
    • ProcessRollUp
    • Élévation des privilèges détectée
    • Logiciel malveillant bloqué

Metadata.product_log_id

  • Objectif : encode un identifiant d'événement spécifique au fournisseur pour identifier de manière unique l'événement (un GUID). Les utilisateurs peuvent utiliser cet identifiant pour rechercher l'événement en question dans la console propriétaire du fournisseur.
  • Encodage : chaîne alphanumérique sensible à la casse, ponctuation autorisée, 256 octets maximum.
  • Exemple : ABcd1234-98766

Metadata.product_name

  • Objectif : indique le nom du produit.
  • Encodage : chaîne alphanumérique sensible à la casse, ponctuation autorisée, 256 octets maximum.
  • Exemples :
    • Falcon
    • Symantec Endpoint Protection

Metadata.product_version

  • Objectif : spécifie la version du produit.
  • Encodage : chaîne alphanumérique, points et tirets autorisés, 32 octets maximum
  • Exemples :
    • 1.2.3b
    • 10.3:rev1

Metadata.url_back_to_product

  • Objectif : URL redirigeant vers un site Web pertinent où vous pouvez consulter plus d'informations sur cet événement spécifique (ou sur la catégorie d'événements générale).
  • Encodage : URL RFC 3986 valide avec des paramètres facultatifs tels que des informations sur le port, etc. Doit comporter un préfixe de protocole avant l'URL (par exemple, https:// ou http://).
  • Exemple : https://newco.altostrat.com:8080/event_info?event_id=12345

Metadata.vendor_name

  • Purpose : indique le nom du fournisseur du produit.
  • Encodage : chaîne alphanumérique sensible à la casse, ponctuation autorisée, 256 octets maximum
  • Exemples :
    • CrowdStrike
    • Symantec

Population des métadonnées de nom

Dans cette section, le mot Nom est un terme générique utilisé pour représenter les entités : principal, src, target, intermediary, observer et about. Ces entités ont des attributs communs, mais représentent des objets différents dans un événement. Pour en savoir plus sur les entités et ce que chacune représente dans un événement, consultez Mettre en forme les données de journaux au format UDM.

Noun.asset_id

  • Objectif : identifiant d'appareil unique spécifique au fournisseur (par exemple, un GUID généré lors de l'installation d'un logiciel de sécurité des points de terminaison sur un nouvel appareil, utilisé pour suivre cet appareil unique au fil du temps).
  • Encodage : NomFournisseur.NomProduit:ID, où NomFournisseur est un nom de fournisseur insensible à la casse*, NomProduit est un nom de produit insensible à la casse, comme "Response" ou "Endpoint Protection", et ID est un identifiant client spécifique au fournisseur, unique au niveau mondial dans l'environnement du client (par exemple, un GUID ou une valeur unique identifiant un appareil unique). VendorName et ProductName sont alphanumériques et ne comportent pas plus de 32 caractères. L'ID peut comporter jusqu'à 128 caractères et inclure des caractères alphanumériques, des tirets et des points.
  • Exemple : CrowdStrike.Falcon:0bce4259-4ada-48f3-a904-9a526b01311f

Noun.email

  • Objectif : adresse e-mail
  • Encodage : format standard d'adresse e-mail.
  • Exemple : johns@test.altostrat.com

Noun.file

Noun.hostname

  • Objectif : champ du nom d'hôte ou du nom de domaine du client. Ne l'incluez pas si une URL est présente.
  • Encodage : nom d'hôte RFC 1123 valide.
  • Exemples :
    • userwin10
    • www.altostrat.com

Noun.platform

  • Objectif : système d'exploitation de la plate-forme.
  • Encodage : énumération
  • Valeurs possibles :
    • LINUX
    • MAC
    • WINDOWS
    • UNKNOWN_PLATFORM

Noun.platform_patch_level

  • Objectif : niveau du correctif du système d'exploitation de la plate-forme.
  • Encodage : chaîne alphanumérique avec ponctuation, 64 caractères maximum.
  • Exemple : Build 17134.48

Noun.platform_version

  • Objectif : version du système d'exploitation de la plate-forme.
  • Encodage : chaîne alphanumérique avec ponctuation, 64 caractères maximum.
  • Exemple : Microsoft Windows 10 version 1803

Noun.process

Noun.ip

  • Objectif :
    • Adresse IP unique associée à une connexion réseau.
    • Une ou plusieurs adresses IP associées à un appareil participant au moment de l'événement (par exemple, si un produit EDR connaît toutes les adresses IP associées à un appareil, il peut toutes les encoder dans les champs IP).
  • Encodage : adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.
  • Répétabilité :
    • Si un événement décrit une connexion réseau spécifique (par exemple, srcip:srcport > dstip:dstport), le fournisseur ne doit fournir qu'une seule adresse IP.
    • Si un événement décrit une activité générale se produisant sur un appareil participant, mais pas une connexion réseau spécifique, le fournisseur peut fournir toutes les adresses IP associées à l'appareil au moment de l'événement.
  • Exemples :
    • 192.168.1.2
    • 2001:db8:1:3::1

Noun.port

  • Objectif : numéro de port réseau source ou de destination lorsqu'une connexion réseau spécifique est décrite dans un événement.
  • Encodage : numéro de port TCP/IP valide compris entre 1 et 65 535.

  • Exemples :

    • 80
    • 443

Noun.mac

  • Objectif : une ou plusieurs adresses MAC associées à un appareil.
  • Encodage : adresse MAC (EUI-48) valide en ASCII.
  • Répétabilité : le fournisseur peut fournir toutes les adresses MAC associées à l'appareil au moment de l'événement.
  • Exemples :
    • fedc:ba98:7654:3210:fedc:ba98:7654:3210
    • 1080:0:0:0:8:800:200c:417a
    • 00:a0:0:0:c9:14:c8:29

Noun.administrative_domain

  • Objectif : domaine auquel appartient l'appareil (par exemple, le domaine Windows).
  • Encodage : chaîne de nom de domaine valide (128 caractères maximum).
  • Exemple : corp.altostrat.com

Noun.registry

Noun.url

  • Objectif : URL standard
  • Encodage : URL (RFC 3986). Doit comporter un préfixe de protocole valide (par exemple, https:// ou ftp://). Doit inclure le domaine et le chemin d'accès complets. Peut inclure les paramètres de l'URL.
  • Exemple : https://foo.altostrat.com/bletch?a=b;c=d

Noun.user

Renseigner les métadonnées d'authentification

Authentication.AuthType

  • Objectif : type de système auquel un événement d'authentification est associé (UDM des opérations de sécurité Google).
  • Encodage : type énuméré.
  • Valeurs possibles :
    • AUTHTYPE_UNSPECIFIED
    • MACHINE : authentification de la machine
    • PHYSIQUE : authentification physique (par exemple, un lecteur de badge)
    • SSO
    • TACACS : protocole de la famille TACACS pour l'authentification des systèmes en réseau (par exemple, TACACS ou TACACS+)
    • VPN

Authentication.Authentication_Status

  • Objectif : décrit l'état d'authentification d'un utilisateur ou d'un identifiant spécifique.
  • Encodage : type énuméré.
  • Valeurs possibles :
    • UNKNOWN_AUTHENTICATION_STATUS : état d'authentification par défaut
    • ACTIVE (ACTIF) : la méthode d'authentification est active.
    • SUSPENDUE : la méthode d'authentification est suspendue ou désactivée.
    • SUPPRIMÉE : la méthode d'authentification a été supprimée.
    • NO_ACTIVE_CREDENTIALS : la méthode d'authentification ne comporte aucun identifiant actif.

Authentication.auth_details

  • Objectif : détails d'authentification définis par le fournisseur.
  • Encodage : chaîne.

Authentication.Mechanism

  • Objectif : mécanisme(s) utilisé(s) pour l'authentification.
  • Encodage : type énuméré.
  • Valeurs possibles :
    • MECHANISM_UNSPECIFIED : mécanisme d'authentification par défaut.
    • BADGE_READER
    • BATCH : authentification par lot.
    • CACHED_INTERACTIVE : authentification interactive à l'aide d'identifiants mis en cache.
    • HARDWARE_KEY
    • LOCAL
    • MECHANISM_OTHER : autre mécanisme non défini ici.
    • NETWORK : authentification réseau.
    • NETWORK_CLEAR_TEXT : authentification réseau en texte clair.
    • NEW_CREDENTIALS : authentification avec de nouveaux identifiants.
    • OTP
    • REMOTE : authentification à distance
    • REMOTE_INTERACTIVE : RDP, services Terminal Server, Virtual Network Computing (VNC), etc.
    • SERVICE : authentification du service.
    • UNLOCK (DÉVERROUILLAGE) : authentification directe par interaction humaine pour déverrouiller.
    • USERNAME_PASSWORD

Remplir les métadonnées DHCP

Les champs de métadonnées DHCP (Dynamic Host Control Protocol) capturent les informations de journal du protocole de gestion de réseau DHCP.

Dhcp.client_hostname

  • Objectif : nom d'hôte du client. Pour en savoir plus, consultez la section Options DHCP et extensions de fournisseur BOOTP du protocole RFC 2132.
  • Encodage : chaîne.

Dhcp.client_identifier

  • Objectif : identifiant client. Pour en savoir plus, consultez la section Options DHCP et extensions de fournisseur BOOTP du protocole RFC 2132.
  • Encodage : octets.

Dhcp.file

  • Objectif : nom de fichier de l'image de démarrage.
  • Encodage : chaîne.

Dhcp.flags

  • Objectif : valeur du champ "Options DHCP".
  • Encodage : entier non signé de 32 bits.

Dhcp.hlen

  • Objectif : longueur de l'adresse matérielle.
  • Encodage : entier non signé de 32 bits.

Dhcp.hops

  • Objectif : nombre de sauts DHCP.
  • Encodage : entier non signé de 32 bits.

Dhcp.htype

  • Objectif : type d'adresse matérielle.
  • Encodage : entier non signé de 32 bits.

Dhcp.lease_time_seconds

  • Objectif : durée du bail demandée par le client pour une adresse IP, en secondes. Pour en savoir plus, consultez la section Options DHCP et extensions de fournisseur BOOTP du protocole RFC 2132.
  • Encodage : entier non signé de 32 bits.

Dhcp.opcode

  • Objectif : code d'opération BOOTP (voir la section 3 de la RFC 951).
  • Encodage : type énuméré.
  • Valeurs possibles :
    • UNKNOWN_OPCODE
    • BOOTREQUEST
    • BOOTREPLY

Dhcp.requested_address

  • Objectif : identifiant client. Pour en savoir plus, consultez la section Options DHCP et extensions de fournisseur BOOTP du protocole RFC 2132.
  • Encodage : adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.

Dhcp.seconds

  • Objectif : secondes écoulées depuis que le client a commencé le processus d'acquisition/de renouvellement d'adresse.
  • Encodage : entier non signé de 32 bits.

Dhcp.sname

  • Objectif : nom du serveur à partir duquel le client a demandé à démarrer.
  • Encodage : chaîne.

Dhcp.transaction_id

  • Objectif : ID de transaction du client.
  • Encodage : entier non signé de 32 bits.

Dhcp.type

  • Objectif : type de message DHCP. Pour en savoir plus, consultez la RFC 1533.
  • Encodage : type énuméré.
  • Valeurs possibles :
    • UNKNOWN_MESSAGE_TYPE
    • DÉCOUVRIR
    • OFFRE
    • DEMANDER
    • REFUSER
    • CONFIRMATION
    • NAK
    • RELEASE
    • INFORM
    • WIN_DELECTED
    • WIN_EXPIRED

Dhcp.chaddr

  • Objectif : adresse IP du matériel client.
  • Encodage : adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.

Dhcp.ciaddr

  • Objectif : adresse IP du client.
  • Encodage : adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.

Dhcp.giaddr

  • Objectif : adresse IP de l'agent de relais.
  • Encodage : adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.

Dhcp.siaddr

  • Objectif : adresse IP du prochain serveur d'amorçage.
  • Encodage : adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.

Dhcp.yiaddr

  • Finalité : votre adresse IP.
  • Encodage : adresse IPv4 ou IPv6 valide (RFC 5942) encodée en ASCII.

Remplir les métadonnées de l'option DHCP

Les champs de métadonnées de l'option DHCP capturent les informations du journal de l'option DHCP.

Option.code

  • Objectif : stocke le code d'option DHCP. Pour en savoir plus, consultez la RFC 1533, DHCP Options and BOOTP Vendor Extensions.
  • Encodage : entier non signé de 32 bits.

Option.data

  • Objectif : stocke les données de l'option DHCP. Pour en savoir plus, consultez la RFC 1533, DHCP Options and BOOTP Vendor Extensions.
  • Encodage : octets.

Remplissage des métadonnées DNS

Les champs de métadonnées DNS capturent des informations liées aux paquets de requête et de réponse DNS. Elles correspondent aux données figurant dans les datagrammes de requête et de réponse DNS.

Dns.authoritative

  • Objectif : définissez la valeur sur "true" pour les serveurs DNS faisant autorité.
  • Encoding : booléen.

Dns.id

  • Objectif : stocke l'identifiant de la requête DNS.
  • Encodage : entier de 32 bits.

Dns.response

  • Objectif : définissez sur "true" si l'événement est une réponse DNS.
  • Encoding : booléen.

Dns.opcode

  • Objectif : stocke le code d'opération DNS utilisé pour spécifier le type de requête DNS (standard, inverse, état du serveur, etc.).
  • Encodage : entier de 32 bits.

Dns.recursion_available

  • Objectif : défini sur "true" si une résolution DNS récursive est disponible.
  • Encoding : booléen.

Dns.recursion_desired

  • Objectif : défini sur "true" si une résolution DNS récursive est demandée.
  • Encoding : booléen.

Dns.response_code

  • Objectif : stocke le code de réponse DNS tel que défini par la RFC 1035, "Domain Names - Implementation and Specification" (Noms de domaine : implémentation et spécification).
  • Encodage : entier de 32 bits.

Dns.truncated

  • Objectif : défini sur "true" s'il s'agit d'une réponse DNS tronquée.
  • Encoding : booléen.

Dns.questions

Dns.answers

Dns.authority

Dns.additional

Remplissage des métadonnées de la question DNS

Les champs de métadonnées de la question DNS capturent les informations contenues dans la section "Question" d'un message de protocole de domaine.

Question.name

  • Objectif : stocke le nom de domaine.
  • Encodage : chaîne.

Question.class

  • Objectif : stocke le code spécifiant la classe de la requête.
  • Encodage : entier de 32 bits.

Question.type

  • Objectif : stocke le code spécifiant le type de requête.
  • Encodage : entier de 32 bits.

Remplissage des métadonnées des enregistrements de ressources DNS

Les champs de métadonnées des enregistrements de ressources DNS capturent les informations contenues dans l'enregistrement de ressources d'un message de protocole de domaine.

ResourceRecord.binary_data

  • Objectif : stocke les octets bruts de toutes les chaînes non UTF-8 qui peuvent être incluses dans une réponse DNS. Ce champ ne doit être utilisé que si les données de réponse renvoyées par le serveur DNS contiennent des données non UTF-8. Sinon, placez la réponse DNS dans le champ de données ci-dessous. Ce type d'informations doit être stocké ici plutôt que dans ResourceRecord.data.

  • Encodage : octets.

ResourceRecord.class

  • Purpose (Objectif) : stocke le code spécifiant la classe de l'enregistrement de ressource.
  • Encodage : entier de 32 bits.

ResourceRecord.data

  • Objectif : stocke la charge utile ou la réponse à la question DNS pour toutes les réponses encodées au format UTF-8. Par exemple, le champ de données peut renvoyer l'adresse IP de la machine à laquelle le nom de domaine fait référence. Si l'enregistrement de ressource est d'un autre type ou d'une autre classe, il peut contenir un autre nom de domaine (lorsqu'un nom de domaine est redirigé vers un autre nom de domaine). Les données doivent être stockées telles qu'elles figurent dans la réponse DNS.
  • Encodage : chaîne.

ResourceRecord.name

  • Objectif : stocke le nom du propriétaire de l'enregistrement de ressources.
  • Encodage : chaîne.

ResourceRecord.ttl

  • Objectif : stocke l'intervalle de temps pendant lequel l'enregistrement de ressource peut être mis en cache avant que la source d'informations ne doive être à nouveau interrogée.
  • Encodage : entier de 32 bits.

ResourceRecord.type

  • Purpose (Objectif) : stocke le code spécifiant le type d'enregistrement de ressource.
  • Encodage : entier de 32 bits.

Remplissage des métadonnées d'e-mails

La plupart des champs de métadonnées des e-mails capturent les adresses e-mail incluses dans l'en-tête du message et doivent respecter le format standard des adresses e-mail (boîte-aux-lettres-locale@domaine) tel que défini dans la norme RFC 5322. Par exemple, frank@email.example.com.

Email.from

  • Objectif : stocke l'adresse e-mail de l'expéditeur.
  • Encodage : chaîne.

Email.reply_to

  • Objectif : stocke l'adresse e-mail reply_to.
  • Encodage : chaîne.

Email.to

  • Objectif : stocke les adresses e-mail to.
  • Encodage : chaîne.

Email.cc

  • Objectif : stocke les adresses e-mail cc.
  • Encodage : chaîne.

Email.bcc

  • Objectif : stocke les adresses e-mail Cci.
  • Encodage : chaîne.

Email.mail_id

  • Objectif : stocke l'ID de l'e-mail (ou du message).
  • Encodage : chaîne.
  • Exemple : 192544.132632@email.example.com

Email.subject

  • Objectif : stocke l'objet de l'e-mail.
  • Encodage : chaîne.
  • Exemple : "Veuillez lire ce message."

Remplir les métadonnées des extensions

Types d'événements avec des métadonnées de première classe qui ne sont pas déjà catégorisés par l'UDM Google SecOps.

Extensions.auth

  • Objectif : extension des métadonnées d'authentification.
  • Encodage : chaîne.
  • Exemples :
    • Métadonnées de la sandbox (tous les comportements d'un fichier, par exemple FireEye).
    • Données de contrôle des accès au réseau (NAC, Network Access Control).
    • Informations LDAP sur un utilisateur (par exemple, rôle, organisation, etc.).

Extensions.auth.auth_details

  • Objectif : spécifiez les détails propres au fournisseur pour le type ou le mécanisme d'authentification. Les fournisseurs d'authentification définissent souvent des types tels que "via_mfa" ou "via_ad" qui fournissent des informations utiles sur le type d'authentification. Ces types peuvent toujours être généralisés dans auth.type ou auth.mechanism pour la facilité d'utilisation et la compatibilité des règles entre les ensembles de données.
  • Encodage : chaîne.
  • Exemples : via_mfa, via_ad.

Extensions.vulns

  • Objectif : extension des métadonnées de la faille.
  • Encodage : chaîne.
  • Exemple : données d'analyse des failles de l'hôte.

Renseigner les métadonnées des fichiers

File.file_metadata

  • Objet : métadonnées associées au fichier.
  • Encodage : chaîne.
  • Exemples :
    • Auteur
    • Numéro de révision
    • Numéro de version
    • Date du dernier enregistrement

File.full_path

  • Objectif : chemin d'accès complet identifiant l'emplacement du fichier sur le système.
  • Encodage : chaîne.
  • Exemple : \Program Files\Custom Utilities\Test.exe

File.md5

  • Objectif : valeur de hachage MD5 du fichier.
  • Encodage : chaîne hexadécimale en minuscules.
  • Exemple : 35bf623e7db9bf0d68d0dda764fd9e8c

File.mime_type

  • Objectif : type MIME (Multipurpose Internet Mail Extensions) du fichier.
  • Encodage : chaîne.
  • Exemples :
    • PE
    • PDF
    • script PowerShell

File.sha1

  • Objectif : valeur de hachage SHA-1 du fichier.
  • Encodage : chaîne hexadécimale en minuscules.
  • Exemple : eb3520d53b45815912f2391b713011453ed8abcf

File.sha256

  • Objectif : valeur de hachage SHA-256 du fichier.
  • Encodage : chaîne hexadécimale en minuscules.
  • Exemple : d7173c568b8985e61b4050f81b3fd8e75bc922d2a0843d7079c81ca4b6e36417

File.size

  • Objectif : taille du fichier.
  • Encodage : entier non signé de 64 bits.
  • Exemple : 342135

Remplir les métadonnées FTP

Ftp.command

  • Objectif : stocke la commande FTP.
  • Encodage : chaîne.
  • Exemples :
    • binary
    • supprimer
    • get
    • put

Métadonnées de la population du groupe

Informations sur un groupe organisationnel.

Group.creation_time

  • Objectif : heure de création du groupe.
  • Encodage : RFC 3339, selon le format de code temporel JSON ou Proto3.

Group.email_addresses

  • Finalité : coordonnées du groupe.
  • Encodage : adresse e-mail.

Group.group_display_name

  • Objectif : nom à afficher du groupe.
  • Encodage : chaîne.
  • Exemples :
    • Finance
    • RH
    • Marketing

Group.product_object_id

  • Objectif : identifiant d'objet utilisateur unique au niveau mondial pour le produit, tel qu'un identifiant d'objet LDAP.
  • Encodage : chaîne.

Group.windows_sid

  • Objectif : champ d'attribut de groupe de l'identifiant de sécurité (SID) Microsoft Windows.
  • Encodage : chaîne.

Remplissage des métadonnées HTTP

Http.method

  • Objectif : stocke la méthode de requête HTTP.
  • Encodage : chaîne.
  • Exemples :
    • GET
    • HEAD
    • POST

Http.referral_url

  • Objectif : stocke l'URL du referrer HTTP.
  • Encodage : URL RFC 3986 valide.
  • Exemple : https://www.altostrat.com

Http.response_code

  • Objectif : stocke le code d'état de la réponse HTTP, qui indique si une requête HTTP spécifique a été traitée avec succès.
  • Encodage : entier de 32 bits.
  • Exemples :
    • 400
    • 404

Http.user_agent

  • Objectif : stocke l'en-tête de requête User-Agent qui inclut le type d'application, le système d'exploitation, le fournisseur ou la version du logiciel de l'agent utilisateur du logiciel demandeur.
  • Encodage : chaîne.
  • Exemples :
    • Mozilla/5.0 (X11; Linux x86_64)
    • AppleWebKit/534.26 (KHTML, comme Gecko)
    • Chrome/41.0.2217.0
    • Safari/527.33

Renseigner les métadonnées de lieu

Location.city

  • Objectif : stocke le nom de la ville.
  • Encodage : chaîne.
  • Exemples :
    • Sunnyvale
    • Chicago
    • Malaga

Location.country_or_region

  • Objectif : stocke le nom du pays ou de la région du monde.
  • Encodage : chaîne.
  • Exemples :
    • États-Unis
    • Royaume-Uni
    • Espagne

Location.name

  • Objectif : stocke le nom spécifique à l'entreprise, tel qu'un bâtiment ou un campus.
  • Encodage : chaîne.
  • Exemples :
    • Campus 7B
    • Bâtiment A2

Location.state

  • Objectif : stocke le nom de l'État, de la province ou du territoire.
  • Encodage : chaîne.
  • Exemples :
    • Californie
    • Illinois
    • Ontario

Remplissage des métadonnées réseau

Network.application_protocol

  • Objectif : indique le protocole d'application réseau.
  • Encodage : type énuméré.

  • Valeurs possibles :

    • UNKNOWN_APPLICATION_PROTOCOL
    • AFP
    • APPC
    • AMQP
    • ATOM
    • BEEP
    • BITCOIN
    • BIT_TORRENT
    • CFDP
    • CIP
    • COAP
    • COTP
    • DCERPC
    • DDS
    • DEVICE_NET
    • DHCP
    • DICOM
    • DNP3
    • DNS
    • E_DONKEY
    • ENRP
    • FAST_TRACK
    • FINGER
    • FREENET
    • FTAM
    • GOOSE
    • GOPHER
    • gRPC
    • HL7
    • H323
    • HTTP
    • HTTPS
    • IEC104
    • IRCP
    • KADEMLIA
    • KRB5
    • LDAP
    • LPD
    • MIME
    • MMS
    • MODBUS
    • MQTT
    • NETCONF
    • NFS
    • NIS
    • NNTP
    • NTCIP
    • NTP
    • OSCAR
    • PNRP
    • PTP
    • QUIC
    • RDP
    • RELP
    • RIP
    • RLOGIN
    • RPC
    • RTMP
    • RTP
    • RTPS
    • RTSP
    • SAP
    • SDP
    • SIP
    • SLP
    • PME
    • SMTP
    • SNMP
    • SNTP
    • SSH
    • SSMS
    • STYX
    • SV
    • TCAP
    • TDS
    • TOR
    • processus de vente technique
    • VTP
    • WHOIS
    • WEB_DAV
    • X400
    • X500
    • XMPP

Network.direction

  • Objectif : indique la direction du trafic réseau.
  • Encodage : type énuméré.
  • Valeurs possibles :
    • UNKNOWN_DIRECTION
    • INBOUND
    • OUTBOUND
    • DIFFUSION

Network.email

  • Purpose (Objet) : spécifie l'adresse e-mail de l'expéditeur/du destinataire.
  • Encodage : chaîne.
  • Exemple : jcheng@company.example.com

Network.ip_protocol

  • Objectif : indique le protocole IP.
  • Encodage : type énuméré.
  • Valeurs possibles :
    • UNKNOWN_IP_PROTOCOL
    • EIGRP (Enhanced Interior Gateway Routing Protocol)
    • ESP (Encapsulating Security Payload)
    • ETHERIP : encapsulation Ethernet dans IP
    • GRE (Generic Routing Encapsulation)
    • ICMP (Internet Control Message Protocol)
    • IGMP (Internet Group Management Protocol)
    • IP6IN4 : encapsulation IPv6
    • PIM (Protocol Independent Multicast)
    • TCP (protocole TCP
    • UDP (protocole de datagramme utilisateur
    • VRRP (Virtual Router Redundancy Protocol)

Network.received_bytes

  • Objectif : spécifie le nombre d'octets reçus.
  • Encodage : entier non signé de 64 bits.
  • Exemple : 12 453 654 768

Network.sent_bytes

  • Objectif : spécifie le nombre d'octets envoyés.
  • Encodage : entier non signé de 64 bits.
  • Exemple : 7 654 876

Network.session_duration

  • Objectif : stocke la durée de la session réseau, généralement renvoyée dans un événement de dépôt pour la session. Pour définir la durée, vous pouvez définir network.session_duration.seconds = 1 (type int64) ou network.session_duration.nanos = 1 (type int32).
  • Encodage :
    • Entier de 32 bits : pour les secondes (network.session_duration.seconds).
    • Entier de 64 bits : pour les nanosecondes (network.session_duration.nanos).

Network.session_id

  • Objectif : stocke l'identifiant de session réseau.
  • Encodage : chaîne.
  • Exemple : SID:ANON:www.w3.org:j6oAOxCWZh/CD723LGeXlf-01:34

Renseigner les métadonnées de processus

Process.command_line

  • Objectif : stocke la chaîne de ligne de commande pour le processus.
  • Encodage : chaîne.
  • Exemple : groupe c:\windows\system32\net.exe.

Process.product_specific_process_id

  • Objectif : stocke l'ID de processus spécifique au produit.
  • Encodage : chaîne.
  • Exemples : MySQL:78778 ou CS:90512

Process.parent_process.product_specific_process_id

  • Objectif : stocke l'ID de processus spécifique au produit pour le processus parent.
  • Encodage : chaîne.
  • Exemples : MySQL:78778 ou CS:90512

Process.file

  • Objectif : stocke le nom du fichier utilisé par le processus.
  • Encodage : chaîne.
  • Exemple : report.xls

Process.parent_process

  • Objectif : stocke les détails du processus parent.
  • Encodage : nom (processus)

Process.pid

  • Objectif : stocke l'ID du processus.
  • Encodage : chaîne.
  • Exemples :
    • 308
    • 2002

Remplir les métadonnées du registre

Registry.registry_key

  • Objectif : stocke la clé de registre associée à un composant d'application ou de système.
  • Encodage : chaîne.
  • Exemple : HKEY_LOCAL_MACHINE/SYSTEM/DriverDatabase

Registry.registry_value_name

  • Purpose (Objectif) : stocke le nom de la valeur de registre associée à un composant d'application ou du système.
  • Encodage : chaîne.
  • Exemple : TEMP

Registry.registry_value_data

  • Objectif : stocke les données associées à une valeur de registre.
  • Encodage : chaîne.
  • Exemple : %USERPROFILE%\Local Settings\Temp

Remplir les métadonnées des résultats de sécurité

Les métadonnées des résultats de sécurité incluent des informations sur les risques et menaces de sécurité détectés par un système de sécurité, ainsi que sur les actions entreprises pour les atténuer.

SecurityResult.about

  • Objectif : fournissez une description du résultat de sécurité.
  • Encodage : nom.

SecurityResult.action

  • Objectif : spécifiez une action de sécurité.
  • Encodage : type énuméré.
  • Valeurs possibles : l'UDM Google SecOps définit les actions de sécurité suivantes :
    • AUTORISER
    • ALLOW_WITH_MODIFICATION : le fichier ou l'e-mail a été désinfecté ou réécrit, puis transféré.
    • BLOQUER
    • MISE EN QUARANTAINE : stocker pour une analyse ultérieure (ne signifie pas bloquer).
    • UNKNOWN_ACTION

SecurityResult.action_details

  • Objectif : détails fournis par le fournisseur sur l'action entreprise à la suite de l'incident de sécurité. Les actions de sécurité se traduisent souvent mieux dans le champ UDM Security_Result.action plus général. Toutefois, vous devrez peut-être écrire des règles pour la description exacte de l'action fournie par le fournisseur.
  • Encodage : chaîne.
  • Exemples : drop, block, decrypt, encrypt.

SecurityResult.category

  • Objectif : spécifiez une catégorie de sécurité.
  • Encoding : énumération.
  • Valeurs possibles : Google SecOps UDM définit les catégories de sécurité suivantes :
    • ACL_VIOLATION (tentative d'accès non autorisée, y compris aux fichiers, aux services Web, aux processus, aux objets Web, etc.)
    • AUTH_VIOLATION : échec de l'authentification (mot de passe incorrect ou authentification à deux facteurs incorrecte, par exemple).
    • DATA_AT_REST—DLP : données de capteurs trouvées au repos lors d'une analyse.
    • DATA_DESTRUCTION (DESTRUCTION_DONNÉES) : tentative de destruction/suppression de données.
    • DATA_EXFILTRATION—DLP : transmission des données des capteurs, copie sur une clé USB.
    • EXPLOIT : tentatives de dépassement de capacité, encodages de protocole incorrects, ROP, injection SQL, etc., à la fois réseau et basés sur l'hôte.
    • MAIL_PHISHING : e-mail d'hameçonnage, messages de chat, etc.
    • MAIL_SPAM : spam par e-mail, message, etc.
    • MAIL_SPOOFING : adresse e-mail source falsifiée, etc.
    • NETWORK_CATEGORIZED_CONTENT
    • NETWORK_COMMAND_AND_CONTROL : si le canal de commande et de contrôle est connu.
    • NETWORK_DENIAL_OF_SERVICE
    • NETWORK_MALICIOUS : commande et contrôle, exploitation du réseau, activité suspecte, tunnel inversé potentiel, etc.
    • NETWORK_SUSPICIOUS : non lié à la sécurité (par exemple, l'URL est associée aux jeux d'argent, etc.)
    • NETWORK_RECON : analyse de port détectée par IDS;intrusion, sondage par une application Web.
    • POLICY_VIOLATION : non-respect de la stratégie de sécurité, y compris les règles de pare-feu, de proxy et HIPS, ou les actions de blocage NAC.
    • SOFTWARE_MALICIOUS (logiciel malveillant, logiciel espion, rootkit, etc.)
    • SOFTWARE_PUA : application potentiellement indésirable, comme un adware, etc.
    • SOFTWARE_SUSPICIOUS
    • UNKNOWN_CATEGORY

SecurityResult.confidence

  • Objectif : spécifier un niveau de confiance concernant un événement de sécurité tel qu'estimé par le produit.
  • Encoding : énumération.
  • Valeurs possibles : Google SecOps UDM définit les catégories de confiance des produits suivantes :
    • UNKNOWN_CONFIDENCE
    • LOW_CONFIDENCE
    • MEDIUM_CONFIDENCE
    • HIGH_CONFIDENCE

SecurityResult.confidence_details

  • Objectif : informations supplémentaires sur le degré de confiance d'un événement de sécurité, tel qu'estimé par le fournisseur du produit.
  • Encodage : chaîne.

SecurityResult.priority

  • Objectif : spécifiez une priorité par rapport à un événement de sécurité, telle qu'estimée par le fournisseur du produit.
  • Encoding : énumération.
  • Valeurs possibles : Google SecOps UDM définit les catégories de priorité de produit suivantes :
    • UNKNOWN_PRIORITY
    • LOW_PRIORITY
    • MEDIUM_PRIORITY
    • HIGH_PRIORITY

SecurityResult.priority_details

  • Objectif : informations spécifiques au fournisseur concernant la priorité des résultats de sécurité.
  • Encodage : chaîne.

SecurityResult.rule_id

  • Objectif : identifiant de la règle de sécurité.
  • Encodage : chaîne.
  • Exemples :
    • 08123
    • 5d2b44d0-5ef6-40f5-a704-47d61d3babbe

SecurityResult.rule_name

  • Objectif : nom de la règle de sécurité.
  • Encodage : chaîne.
  • Exemple : BlockInboundToOracle.

SecurityResult.severity

  • Objectif : gravité d'un événement de sécurité estimée par le fournisseur du produit à l'aide des valeurs définies par l'UDM Google SecOps.
  • Encoding : énumération.
  • Valeurs possibles : Google SecOps UDM définit les niveaux de gravité suivants pour les produits :
    • UNKNOWN_SEVERITY : non malveillant
    • INFORMATIONNEL : non malveillant
    • ERREUR : non malveillant
    • FAIBLE : malveillant
    • MOYENNE : malveillant
    • ÉLEVÉ : malveillant

SecurityResult.severity_details

  • Objectif : gravité d'un événement de sécurité estimée par le fournisseur du produit.
  • Encodage : chaîne.

SecurityResult.threat_name

  • Objectif : nom de la menace de sécurité.
  • Encodage : chaîne.
  • Exemples :
    • W32/File-A
    • Slammer

SecurityResult.url_back_to_product

  • Objectif : URL vous redirigeant vers la console du produit source pour cet événement de sécurité.
  • Encodage : chaîne.

Renseignement des métadonnées utilisateur

User.email_addresses

  • Objectif : stocke les adresses e-mail de l'utilisateur.
  • Encoding : chaîne répétée.
  • Exemple : johnlocke@company.example.com

User.employee_id

  • Objectif : stocke l'ID de collaborateur des ressources humaines pour l'utilisateur.
  • Encodage : chaîne.
  • Exemple : 11223344.

User.first_name

  • Objectif : stocke le prénom de l'utilisateur.
  • Encodage : chaîne.
  • Exemple : Jean

User.middle_name

  • Objectif : stocke le deuxième prénom de l'utilisateur.
  • Encodage : chaîne.
  • Exemple : Anthony

User.last_name

  • Objectif : stocke le nom de famille de l'utilisateur.
  • Encodage : chaîne.
  • Exemple : Locke.

User.group_identifiers

  • Objectif : stocke le ou les ID de groupe (GUID, OID LDAP ou similaire) associés à un utilisateur.
  • Encoding : chaîne répétée.
  • Exemple : admin-users.

User.phone_numbers

  • Objectif : stocke les numéros de téléphone de l'utilisateur.
  • Encoding : chaîne répétée.
  • Exemple : 800-555-0101

User.title

  • Objectif : stocke l'intitulé du poste de l'utilisateur.
  • Encodage : chaîne.
  • Exemple : Gestionnaire de la relation client.

User.user_display_name

  • Objectif : stocke le nom à afficher de l'utilisateur.
  • Encodage : chaîne.
  • Exemple : John Locke.

User.userid

  • Objectif : stocke l'ID utilisateur.
  • Encodage : chaîne.
  • Exemple : jlocke.

User.windows_sid

  • Objectif : stocke l'identificateur de sécurité (SID) Microsoft Windows associé à un utilisateur.
  • Encodage : chaîne.
  • Exemple : S-1-5-21-1180649209-123456789-3582944384-1064

Remplir les métadonnées de faille

Vulnerability.about

  • Objectif : si la faille concerne un nom spécifique (par exemple, un exécutable), ajoutez-le ici.
  • Encodage : nom. Consultez Remplissage des métadonnées de nom.
  • Exemple : exécutable.

Vulnerability.cvss_base_score

  • Objectif : score de base pour le Common Vulnerability Scoring System (CVSS).
  • Encodage : virgule flottante.
  • Plage : de 0,0 à 10,0
  • Exemple : 8,5

Vulnerability.cvss_vector

  • Objectif : vecteur pour les propriétés CVSS de la faille. Un score CVSS se compose des métriques suivantes :

    • Vecteur d'attaque (AV)
    • Complexité d'accès (AC)
    • Authentification (Au)
    • Impact sur la confidentialité (C)
    • Impact sur l'intégrité (I)
    • Impact sur la disponibilité (A)

    Pour en savoir plus, consultez https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator.

  • Encodage : chaîne.

  • Exemple : AV:L/AC:H/Au:N/C:N/I:P/A:C

Vulnerability.cvss_version

  • Objectif : version CVSS du score ou du vecteur de la faille.
  • Encodage : chaîne.
  • Exemple : 3.1

Vulnerability.description

  • Objectif : description de la faille.
  • Encodage : chaîne.

Vulnerability.first_found

  • Objectif : les produits qui conservent un historique des analyses de failles doivent renseigner le champ "first_found" avec la date et l'heure auxquelles la faille de cet élément a été détectée pour la première fois.
  • Encodage : chaîne.

Vulnerability.last_found

  • Objectif : les produits qui conservent un historique des analyses de failles doivent renseigner last_found avec l'heure à laquelle la faille de cet élément a été détectée pour la dernière fois.
  • Encodage : chaîne.

Vulnerability.name

  • Objectif : nom de la faille.
  • Encodage : chaîne.
  • Exemple : Version d'OS non compatible détectée.

Vulnerability.scan_end_time

  • Objectif : si la faille a été découverte lors d'une analyse des composants, renseignez ce champ avec l'heure de fin de l'analyse. Laissez ce champ vide si l'heure de fin n'est pas disponible ou ne s'applique pas.
  • Encodage : chaîne.

Vulnerability.scan_start_time

  • Objectif : si la faille a été découverte lors d'une analyse des composants, indiquez l'heure de début de l'analyse dans ce champ. Laissez ce champ vide si l'heure de début n'est pas disponible ou ne s'applique pas.
  • Encodage : chaîne.

Vulnerability.severity

  • Objectif : gravité de la faille.
  • Encodage : type énuméré.
  • Valeurs possibles :
    • UNKNOWN_SEVERITY
    • LOW
    • MEDIUM
    • FORT

Vulnerability.severity_details

  • Objectif : détails spécifiques au fournisseur concernant la gravité.
  • Encodage : chaîne.

Remplissage des métadonnées d'alerte

idm.is_significant

  • Objectif : indique si l'alerte doit s'afficher dans Enterprise Insights.
  • Encoding : booléen.

idm.is_alert

  • Purpose (Objectif) : indique si l'événement est une alerte.
  • Encoding : booléen.

Champs obligatoires et facultatifs pour chaque type d'événement

Cette section décrit les champs obligatoires et facultatifs qui doivent être renseignés pour chaque type d'événement UDM.

Pour en savoir plus sur des champs UDM spécifiques (par exemple, les numéros d'énumération), consultez la liste des champs UDM.

EMAIL_TRANSACTION

Champs obligatoires :

  • metadata : incluez les champs obligatoires.
  • principal : renseignez les informations sur la machine à partir de laquelle l'e-mail a été envoyé (par exemple, l'adresse IP de l'expéditeur).

Champs facultatifs :

  • about : URL, adresses IP, domaines et pièces jointes intégrées au corps de l'e-mail.
  • securityResult.about : URL, adresses IP et fichiers incorrects intégrés au corps de l'e-mail.
  • network.email : informations sur l'expéditeur ou le destinataire de l'e-mail.
  • Principal : si des données de la machine cliente indiquent qui a envoyé l'e-mail, renseignez les détails du serveur dans le principal (par exemple, le processus client, les numéros de port, le nom d'utilisateur, etc.).
  • target : s'il existe des données sur le serveur de messagerie de destination, renseignez les détails du serveur dans la cible (par exemple, l'adresse IP).
  • intermediary : si des données de serveur de messagerie ou de proxy de messagerie sont disponibles, renseignez les détails du serveur dans "intermediary".

Remarques :

  • Ne renseignez jamais principal.email ni target.email.
  • Ne renseignez le champ d'adresse e-mail que dans security_result.about ou network.email.
  • Les résultats de sécurité de premier niveau comportent généralement un ensemble de noms (facultatif pour le spam).

FILE_CREATION, FILE_DELETION, FILE_MODIFICATION, FILE_READ et FILE_OPEN

Champs obligatoires :

  • metadata : incluez les champs obligatoires.
  • principal:
    • Au moins un identifiant de machine.
    • (Facultatif) Renseignez principal.process avec des informations sur le processus accédant au fichier.
  • target:
    • Si le fichier est distant (par exemple, un partage SMB), la cible doit inclure au moins un identifiant de machine pour la machine cible. Sinon, tous les identifiants de machine doivent être vides.
    • Remplissez target.file avec des informations sur le fichier.

Champs facultatifs :

  • security_result : décrivez l'activité malveillante détectée.
  • principal.user : à renseigner si des informations sur l'utilisateur sont disponibles pour le processus.

FILE_COPY

Champs obligatoires :

  • metadata : incluez les champs obligatoires comme décrit.
  • principal:
    • Au moins un identifiant de machine.
    • (Facultatif) Renseignez principal.process avec des informations sur le processus effectuant l'opération de copie de fichier.
  • src:
    • Remplissez src.file avec des informations sur le fichier source.
    • Si le fichier est distant (par exemple, un partage SMB), src doit inclure au moins un identifiant de machine pour la machine source stockant le fichier source.
  • target:
    • Renseignez target.file avec des informations sur le fichier cible.
    • Si le fichier est distant (par exemple, un partage SMB), le champ target doit inclure au moins un identifiant de machine pour la machine cible qui contient le fichier cible.

Champs facultatifs :

  • security_result : décrivez l'activité malveillante détectée.
  • principal.user : à renseigner si des informations sur l'utilisateur sont disponibles pour le processus.

MUTEX_CREATION

Champs obligatoires :

  • metadata : incluez les champs obligatoires.
  • principal:
    • Au moins un identifiant de machine.
    • Renseignez principal.process avec des informations sur le processus de création du mutex.
  • target:
    • Renseignez target.resource.
    • Dans target.resource.type, saisissez MUTEX.
    • Renseignez target.resource.name avec le nom du mutex créé.

Champs facultatifs :

  • security_result : décrivez l'activité malveillante détectée.
  • principal.user : à renseigner si des informations sur l'utilisateur sont disponibles pour le processus.
Exemple d'UDM pour MUTEX_CREATION

L'exemple suivant montre comment un événement de type MUTEX_CREATION serait mis en forme pour l'UDM Google SecOps :

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: MUTEX_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.altostrat.com"
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  resource {
    type: "MUTEX"
    name: "test-mutex"
  }
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes :

  • metadata : informations générales sur l'événement.
  • principal : détails sur l'appareil et le processus.
  • target : informations sur le mutex.

NETWORK_CONNECTION

Champs obligatoires :

  • metadata : event_timestamp
  • principal : incluez des informations sur la machine qui a initié la connexion réseau (par exemple, la source).
  • target : incluez des informations sur la machine cible si elle est différente de la machine principale.
  • network : capture les détails de la connexion réseau (ports, protocole, etc.).

Champs facultatifs :

  • principal.process et target.process : incluent les informations sur le processus associé au principal et à la cible de la connexion réseau (si disponibles).
  • principal.user et target.user : incluent les informations utilisateur associées au principal et à la cible de la connexion réseau (si disponibles).

NETWORK_HTTP

Le type d'événement NETWORK_HTTP représente une connexion réseau HTTP d'un principal à un serveur Web cible.

Champs obligatoires :

  • metadata : incluez les champs obligatoires.
  • principal : représente le client qui lance la requête Web et inclut au moins un identifiant de machine (par exemple, nom d'hôte, adresse IP, adresse MAC, identifiant de ressource propriétaire) ou un identifiant utilisateur (par exemple, nom d'utilisateur). Si une connexion réseau spécifique est décrite et qu'un numéro de port client est disponible, une seule adresse IP doit être spécifiée avec le numéro de port associé à cette connexion réseau (bien que d'autres identifiants de machine puissent être fournis pour mieux décrire l'appareil du participant). Si aucun port source n'est disponible, toutes les adresses IP et MAC, les identifiants de ressources et les valeurs de nom d'hôte décrivant l'appareil principal peuvent être spécifiés.
  • target : représente le serveur Web et inclut des informations sur l'appareil, ainsi qu'un numéro de port facultatif. Si un numéro de port cible est disponible, ne spécifiez qu'une seule adresse IP en plus du numéro de port associé à cette connexion réseau (bien que plusieurs autres identifiants de machine puissent être fournis pour la cible). Pour target.url, renseignez l'URL consultée.
  • network et network.http : incluent des informations sur la connexion réseau HTTP. Vous devez remplir les champs suivants :
    • network.ip_protocol
    • network.application_protocol
    • network.http.method

Champs facultatifs :

  • about : représente les autres entités trouvées dans la transaction HTTP (par exemple, un fichier importé ou téléchargé).
  • intermediary : représente un serveur proxy (s'il est différent du principal ou de la cible).
  • metadata : renseignez les autres champs de métadonnées.
  • network : renseignez les autres champs du réseau.
  • network.email : si la connexion réseau HTTP provient d'une URL qui figure dans un e-mail, renseignez network.email avec les détails.
  • observer : représente un renifleur passif (le cas échéant).
  • security_result : ajoutez un ou plusieurs éléments au champ security_result pour représenter l'activité malveillante détectée.
Exemple UDM pour NETWORK_HTTP

L'exemple suivant montre comment un événement antivirus Sophos de type NETWORK_HTTP serait converti au format UDM Google SecOps.

Voici l'événement antivirus Sophos d'origine :

date=2013-08-07 time=13:27:41 timezone="GMT" device_name="CC500ia" device_id= C070123456-ABCDE log_id=030906208001 log_type="Anti-Virus" log_component="HTTP" log_subtype="Virus" status="" priority=Critical fw_rule_id=0 user_name="john.smith" iap=7 av_policy_name="" virus="TR/ElderadoB.A.78" url="altostrat.fr/img/logo.gif" domainname="altostrat.fr" src_ip=10.10.2.10 src_port=60671 src_country_code= dst_ip=203.0.113.31 dst_port=80 dst_country_code=FRA

Voici comment formater les mêmes informations dans Proto3 à l'aide de la syntaxe UDM Google SecOps :

metadata {
  event_timestamp: "2013-08-07T13:27:41+00:00"
  event_type: NETWORK_HTTP
  product_name: "Sophos Antivirus"
  product_log_id: "030906208001"
}

principal {
  hostname: "CC500ia"
  asset_id: "Sophos.AV:C070123456-ABCDE"
  ip: "10.10.2.10"
  port: 60671
  user {  userid: "john.smith" }
}

target {
  hostname: "altostrat.fr"
  ip: "203.0.113.31"
  port: 80
  url: "altostrat.fr/img/logo.gif"
}

network {
  ip_protocol: TCP
 }

security_result {
  about {
    url: "altostrat.fr/img/logo.gif"
    category: SOFTWARE_MALICIOUS
    category_details: "Virus"
    threat_name: "TR/ElderadoB.A.78"
    severity: HIGH                   # Google Security Operations-normalized severity
    severity_details: "Critical"    # Vendor-specific severity string
  }
}

additional { "dst_country_code" : "FRA", "iap" : "7" "fw_rule_id" : "0" }

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes :

  • metadata : informations générales sur l'événement.
  • principal : dispositif de sécurité ayant détecté l'événement.
  • target : appareil ayant reçu le logiciel malveillant.
  • network : informations réseau sur l'hôte malveillant.
  • security_result : informations sur la sécurité concernant le logiciel malveillant.
  • additional : informations sur le fournisseur ne relevant pas du champ d'application de l'UDM.

PROCESS_INJECTION, PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_TERMINATION, PROCESS_UNCATEGORIZED

Champs obligatoires :

  • metadata : incluez les champs obligatoires.
  • principal:
    • Au moins un identifiant de machine.
    • Pour les événements d'injection et d'arrêt de processus, si disponible, principal.process doit inclure des informations sur le processus qui lance l'action (par exemple, pour un événement de lancement de processus, principal.process doit inclure des informations sur le processus parent, si disponibles).
  • target:
    • target.process : inclut des informations sur le processus qui est injecté, ouvert, lancé ou arrêté.
    • Si le processus cible est distant, la cible doit inclure au moins un identifiant de machine pour la machine cible (par exemple, une adresse IP, une adresse MAC, un nom d'hôte ou un identifiant d'asset tiers).

Champs facultatifs :

  • security_result : décrivez l'activité malveillante détectée.
  • principal.user et target.user : renseignez le processus d'initiation (principal) et le processus cible si les informations sur l'utilisateur sont disponibles.
Exemple UDM pour PROCESS_LAUNCH

L'exemple suivant montre comment mettre en forme un événement PROCESS_LAUNCH à l'aide de la syntaxe UDM Google SecOps :

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_LAUNCH
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes :

  • metadata : informations générales sur l'événement.
  • principal: Device details.
  • cible : détails du processus.

PROCESS_MODULE_LOAD

Champs obligatoires :

  • metadata : incluez les champs obligatoires.
  • principal:
    • Au moins un identifiant de machine.
    • principal.process : processus de chargement du module.
  • target:
    • target.process : inclut des informations sur le processus.
    • target.process.file : module chargé (par exemple, la DLL ou l'objet partagé).

Champs facultatifs :

  • security_result : décrivez l'activité malveillante détectée.
  • principal.user : à renseigner si des informations sur l'utilisateur sont disponibles pour le processus.
Exemple UDM pour PROCESS_MODULE_LOAD

L'exemple suivant montre comment mettre en forme un événement PROCESS_MODULE_LOAD à l'aide de la syntaxe UDM Google SecOps :

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_MODULE_LOAD
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes :

  • metadata : informations générales sur l'événement.
  • principal : détails sur l'appareil et le processus de chargement du module.
  • target: Process and module details.

PROCESS_PRIVILEGE_ESCALATION

Champs obligatoires :

  • metadata : incluez les champs obligatoires.
  • principal:
    • Au moins un identifiant de machine.
    • principal.process : processus de chargement du module.
    • principal.user : utilisateur chargeant le module.

Champs facultatifs :

  • security_result : décrivez l'activité malveillante détectée.
Exemple d'UDM pour PROCESS_PRIVILEGE_ESCALATION

L'exemple suivant montre comment formater un événement PROCESS_PRIVILEGE_ESCALATION à l'aide de la syntaxe UDM Google SecOps :

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_PRIVILEGE_ESCALATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes :

  • metadata : informations générales sur l'événement.
  • principal : informations sur l'appareil, l'utilisateur et le processus de chargement du module.
  • target: Process and module details.

REGISTRY_CREATION, REGISTRY_MODIFICATION, REGISTRY_DELETION

Champs obligatoires :

  • metadata : incluez les champs obligatoires.
  • principal:
    • Au moins un identifiant de machine.
    • Si un processus en mode utilisateur effectue la modification du registre, principal.process doit inclure des informations sur le processus modifiant le registre.
    • Si un processus du noyau effectue la modification du registre, le principal ne doit pas inclure d'informations sur le processus.
  • target:
    • target.registry : si le registre cible est distant, la cible doit inclure au moins un identifiant pour la machine cible (par exemple, une adresse IP, une adresse MAC, un nom d'hôte ou un identifiant d'asset tiers).
    • target.registry.registry_key : tous les événements de registre doivent inclure la clé de registre concernée.

Champs facultatifs :

  • security_result : décrivez l'activité malveillante détectée. Par exemple, une clé de registre incorrecte.
  • principal.user : à renseigner si des informations sur l'utilisateur sont disponibles pour le processus.
Exemple d'UDM pour REGISTRY_MODIFICATION

L'exemple suivant montre comment formater un événement REGISTRY_MODIFICATION dans Proto3 à l'aide de la syntaxe UDM Google SecOps :

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: REGISTRY_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test-win"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  registry {
    registry_key: "\\REGISTRY\\USER\\TEST_USER\\Control Panel\\PowerCfg\\PowerPolicy"
    registry_value_name: "Description"
    registry_value_data: "For extending battery life."
  }
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes :

  • metadata : informations générales sur l'événement.
  • principal : informations sur l'appareil, l'utilisateur et le processus.
  • target : entrée de registre concernée par la modification.

SCAN_FILE, SCAN_HOST, SCAN_PROCESS, SCAN_VULN_HOST, SCAN_VULN_NETWORK

Champs obligatoires :

  • metadata : event_timestamp et informations générales sur l'événement.
  • observer : capture des informations sur le scanner lui-même. Si le scanner est distant, les informations sur la machine doivent être saisies dans le champ "Observateur". Pour un scanner local, laissez ce champ vide.
  • target : capture des informations sur la machine qui contient l'objet analysé. Si un fichier est analysé, target.file doit capturer des informations sur le fichier analysé. Si un processus est analysé, target.process doit capturer des informations sur le processus analysé.
  • extensions : pour SCAN_VULN_HOST et SCAN_VULN_NETWORK, définissez la faille à l'aide du champ extensions.vuln.

Champs facultatifs :

  • principal : représente l'appareil qui initie la connexion et inclut au moins un identifiant machine (par exemple, nom d'hôte, adresse IP, adresse MAC, identifiant de ressource propriétaire) ou un identifiant utilisateur.
  • target : les informations détaillées sur l'objet cible (par exemple, le créateur du fichier ou le propriétaire du processus) doivent être enregistrées dans target.user.
  • security_result : décrivez l'activité malveillante détectée.
Exemple UDM pour SCAN_HOST

L'exemple suivant illustre la façon dont un événement de type SCAN_HOST serait mis en forme pour l'UDM Google SecOps :

metadata: {
  event_timestamp: {
    seconds: 1571386978
  }
  event_type: SCAN_HOST
  vendor_name: "vendor"
  product_name: "product"
  product_version: "1.0"
}
target: {
  hostname: "testHost"
  asset_id: "asset"
  ip: "192.168.200.200"
}
observer: {
  hostname: "testObserver"
  ip: "192.168.100.100"
}
security_result: {
  severity: LOW
  confidence: HIGH_CONFIDENCE
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes :

  • metadata : informations générales sur l'événement.
  • target : appareil ayant reçu le logiciel malveillant.
  • Observateur : appareil qui observe l'événement en question et le signale.
  • security_result : informations sur la sécurité concernant le logiciel malveillant.
Exemple UDM pour SCAN_VULN_HOST

L'exemple suivant illustre la façon dont un événement de type SCAN_VULN_HOST serait mis en forme pour l'UDM Google SecOps :

metadata: {
  event_timestamp: "2025-05-09T12:59:52.45298Z",
  event_type: 18005,
  product_name: "TestProduct",
  vendor_name: "TestVendor"
  },
principal {
  asset_id: "TEST:Mwl8ABcd",
  ip: "127.0.0.3",
  hostname: "TEST-Localhost",
  mac: ["02:00:00:00:00:01"]
  },
extensions: {
  vulns: {
    vulnerabilities: [
      {
      cve_id: "CVE-6l9VxQmz",
      vendor_vulnerability_id: "TEST:7gmCmFWX",
      name: "CVE pA7DzwPU",
      severity: 2,
      vendor: "TestVendor",
      last_found: "2025-05-09T14:59:52.45300Z",
      first_found: "2025-05-09T13:59:52.45300Z"
       }
      ]
    }
  }

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes :

  • metadata : informations générales sur l'événement.
  • principal : appareil ayant reçu le logiciel malveillant.
  • extensions : détails de la faille.

SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_DISABLE, SCHEDULED_TASK_ENABLE, SCHEDULED_TASK_MODIFICATION, SCHEDULED_TASK_UNCATEGORIZED

Champs obligatoires :

  • principal : pour tous les événements SCHEDULED_TASK, le principal doit inclure un identifiant de machine et un identifiant utilisateur.
  • target : la cible doit inclure une ressource valide et un type de ressource défini sur "TASK".

Champs facultatifs :

  • security_result : décrivez l'activité malveillante détectée.
Exemple de requête UDM pour SCHEDULED_TASK_CREATION

L'exemple suivant illustre la façon dont un événement de type SCHEDULED_TASK_CREATION peut être mis en forme pour l'UDM Google SecOps :

metadata: {
  event_timestamp: {
    seconds: 1577577998
  }
  event_type: SCHEDULED_TASK_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal: {
  hostname: "fake-host.altostrat.com"
  user: {
    userid: "TestUser"
    windows_sid: "AB123CDE"
  }
  process {
    pid: "1234"
  }
}
target: {
  resource: {
    type: "TASK"
    name: "\\Adobe Acrobat Update Task"
  }
}
intermediary: {
  hostname: "fake-intermediary.altostrat.com"
}
security_result: {
  rule_name: "EventID: 6789"
  summary: "A scheduled task was created."
  severity: INFORMATIONAL
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes :

  • metadata : informations générales sur l'événement.
  • principal : appareil qui a planifié la tâche suspecte.
  • target : logiciel ciblé par la tâche suspecte.
  • intermediary : intermédiaire impliqué dans la tâche suspecte.
  • security_result : informations sur la sécurité concernant la tâche suspecte.

SETTING_UNCATEGORIZED, SETTING_CREATION, SETTING_MODIFICATION, SETTING_DELETION

Champs obligatoires :

  • principal : doit être présent, non vide et inclure un identifiant de machine.
  • target : doit être présent, non vide et inclure une ressource dont le type est défini sur SETTING
Exemple d'UDM pour le type d'événement SETTING_MODIFICATION

L'exemple suivant montre comment un événement de type SETTING_MODIFICATION serait mis en forme pour l'UDM Google SecOps :

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SETTING_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.win.com"
}
target {
  resource {
    type: "SETTING"
    name: "test-setting"
  }
}

Comme le montre cet exemple, l'événement a été divisé en plusieurs catégories UDM :

  • metadata : informations générales sur l'événement.
  • principal : informations sur l'appareil sur lequel le paramètre a été modifié.
  • target : détails de la ressource.

SERVICE_UNSPECIFIED, SERVICE_CREATION, SERVICE_DELETION, SERVICE_START, SERVICE_STOP

Champs obligatoires :

  • target : incluez l'identifiant de l'utilisateur et spécifiez le processus ou l'application.
  • principal : incluez au moins un identifiant de machine (adresse IP ou MAC, nom d'hôte ou identifiant d'élément).
Exemple d'UDM pour SERVICE_UNSPECIFIED

L'exemple suivant montre comment un événement de type SERVICE_UNSPECIFIED serait mis en forme pour l'UDM Google SecOps :

metadata: {
 event_timestamp: {
   seconds: 1595656745
   nanos: 832000000
    }
 event_type: SERVICE_UNSPECIFIED
   vendor_name: "Preempt"
   product_name: "PREEMPT_AUTH"
   product_event_type: "SERVICE_ACCESS"
   description: "Remote Procedures (RPC)"
   }
 principal: {
   hostname: "XXX-YYY-ZZZ"
   ip: "10.10.10.10"
   }
 target: {
   hostname: "TestHost"
   user: {
      userid: "ORG\\User"
      user_display_name: "user name"
   }
 application: "application.name"
   resource: {
      type: "Service Type"
      name: "RPC"
   }
 }

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes :

  • metadata : informations générales sur l'événement.
  • principal : informations sur l'appareil et la localisation.
  • target : nom d'hôte et identifiant utilisateur.
  • application : nom de l'application et type de ressource.

STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, STATUS_UPDATE

Champs obligatoires :

  • metadata : incluez les champs obligatoires.
  • principal : au moins un identifiant de machine (adresse IP ou MAC, nom d'hôte ou identifiant d'élément).
Exemple UDM pour STATUS_HEARTBEAT

L'exemple suivant illustre la mise en forme d'un événement de type STATUS_HEARTBEAT pour l'UDM Google SecOps :

metadata: {
  event_timestamp: {
    seconds: 1588180305
  }
  event_type: STATUS_HEARTBEAT
  vendor_name: "DMP"
  product_name: "ENTRE"
}
principal: {
  hostname: "testHost"
  location: {
    name: "Building 1"
  }
}
intermediary: {
  ip: "8.8.8.8"
}
security_result: {
  summary: "Event - Locked"
  description: "description"
  severity: LOW
  severity_details: "INFO"
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes :

  • metadata : informations générales sur l'événement.
  • principal : informations sur l'appareil et la localisation.
  • intermédiaire : adresse IP de l'appareil.
  • security_result : détails des résultats de sécurité.

SYSTEM_AUDIT_LOG_UNCATEGORIZED, SYSTEM_AUDIT_LOG_WIPE

Champs obligatoires :

  • principal : incluez un identifiant utilisateur pour l'utilisateur qui a effectué l'opération sur le journal et un identifiant de machine pour la machine sur laquelle le journal est ou était stocké (en cas d'effacement).
Exemple d'UDM pour SYSTEM_AUDIT_LOG_WIPE

L'exemple suivant montre comment un événement de type SYSTEM_AUDIT_LOG_WIPE serait mis en forme pour l'UDM Google SecOps :

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SYSTEM_AUDIT_LOG_WIPE
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}

Comme le montre cet exemple, l'événement a été divisé en catégories UDM suivantes :

  • metadata : informations générales sur l'événement.
  • principal : informations sur l'appareil et l'utilisateur.

USER_CHANGE_PASSWORD, USER_CHANGE_PERMISSIONS

Champs obligatoires :

  • metadata : incluez les champs obligatoires.
  • principal : si le compte utilisateur est modifié à distance, renseignez le principal avec des informations sur la machine à partir de laquelle la modification de l'utilisateur a été effectuée.
  • target : renseignez target.user avec des informations sur l'utilisateur qui a été modifié.
  • intermediary : pour les connexions SSO, l'intermédiaire doit inclure au moins un identifiant de machine pour le serveur SSO, le cas échéant.

USER_COMMUNICATION

Champs obligatoires :

  • principal : renseignez le champ principal.user avec les informations associées à la communication initiée par l'utilisateur (l'expéditeur), comme un message de chat dans Google Chat ou Slack, une visioconférence ou une audioconférence dans Zoom ou Google Meet, ou une connexion VoIP.

Champs facultatifs :

  • target : (recommandé) renseignez le champ target.user avec des informations sur l'utilisateur cible (destinataire) de la ressource de communication cloud. Renseignez le champ target.application avec des informations sur l'application de communication cloud cible.

USER_CREATION, USER_DELETION

Champs obligatoires :

  • metadata : event_timestamp.
  • principal : incluez des informations sur la machine à partir de laquelle la demande de création ou de suppression de l'utilisateur a été envoyée. Pour créer ou supprimer un utilisateur local, le principal doit inclure au moins un identifiant de machine pour la machine d'origine.
  • target : emplacement où l'utilisateur est créé. Il doit également inclure des informations sur l'utilisateur (par exemple, target.user).

Champs facultatifs :

  • principal : informations sur l'utilisateur et le processus pour la machine sur laquelle la demande de création ou de suppression d'utilisateur a été lancée.
  • target : informations sur la machine cible (si elle est différente de la machine principale).

USER_LOGIN, USER_LOGOUT

Champs obligatoires :

  • metadata : incluez les champs obligatoires.
  • principal : pour l'activité des utilisateurs à distance (par exemple, la connexion à distance), renseignez le compte principal avec des informations sur la machine à l'origine de l'activité de l'utilisateur. Pour l'activité des utilisateurs locaux (par exemple, la connexion locale), ne définissez pas de principal.
  • target : renseignez target.user avec des informations sur l'utilisateur qui s'est connecté ou déconnecté. Si le principal n'est pas défini (par exemple, connexion locale), la cible doit également inclure au moins un identifiant de machine identifiant la machine cible. Pour l'activité utilisateur de machine à machine (par exemple, connexion à distance, SSO, service cloud, VPN), la cible doit inclure des informations sur l'application cible, la machine cible ou le serveur VPN cible.
  • intermediary : pour les connexions SSO, l'intermédiaire doit inclure au moins un identifiant de machine pour le serveur SSO, le cas échéant.
  • network et network.http : si la connexion se fait via HTTP, vous devez placer tous les détails disponibles dans network.ip_protocol, network.application_protocol et network.http.
  • Extension authentication : doit identifier le type de système d'authentification auquel l'événement est associé (par exemple, machine, SSO ou VPN) et le mécanisme utilisé (nom d'utilisateur et mot de passe, OTP, etc.).
  • security_result : ajoutez un champ security_result pour représenter l'état de connexion en cas d'échec. Spécifiez security_result.category avec la valeur AUTH_VIOLATION si l'authentification échoue.

USER_RESOURCE_ACCESS

Champs obligatoires :

  • principal : renseignez le champ principal.user avec des informations sur les tentatives d'accès à une ressource cloud (par exemple, une requête Salesforce, un agenda Office365, un document Google Docs ou un ticket ServiceNow).
  • target : renseignez le champ target.resource avec des informations sur la ressource cloud cible.

Champs facultatifs :

  • target.application : (recommandé) renseignez le champ target.application avec des informations sur l'application cloud cible.

USER_RESOURCE_CREATION, USER_RESOURCE_DELETION

Champs obligatoires :

  • principal : renseignez le champ principal.user avec les informations associées à l'utilisateur créé dans une ressource cloud (par exemple, une demande Salesforce, un agenda Office 365, un document Google Docs ou un ticket ServiceNow).
  • target : renseignez le champ target.resource avec des informations sur la ressource cloud cible.

Champs facultatifs :

  • target.application : (recommandé) renseignez le champ target.application avec des informations sur l'application cloud cible.

USER_RESOURCE_UPDATE_CONTENT

Champs obligatoires :

  • principal : renseignez le champ principal.user avec les informations associées à l'utilisateur dont le contenu a été modifié dans une ressource cloud (par exemple, une requête Salesforce, un agenda Office365, un document Google Docs ou un ticket ServiceNow).
  • target : renseignez le champ target.resource avec des informations sur la ressource cloud cible.

Champs facultatifs :

  • target.application : (recommandé) renseignez le champ target.application avec des informations sur l'application cloud cible.

USER_RESOURCE_UPDATE_PERMISSIONS

Champs obligatoires :

  • principal : renseignez le champ principal.user avec les informations associées à l'utilisateur dont les autorisations ont été mises à jour dans une ressource cloud (par exemple, une requête Salesforce, un agenda Office 365, un document Google Docs ou un ticket ServiceNow).
  • target : renseignez le champ target.resource avec des informations sur la ressource cloud cible.

Champs facultatifs :

  • target.application : (recommandé) renseignez le champ target.application avec des informations sur l'application cloud cible.

USER_UNCATEGORIZED

Champs obligatoires :

  • metadata : event_timestamp
  • principal : incluez des informations sur la machine à partir de laquelle la demande de création ou de suppression de l'utilisateur a été envoyée. Pour créer ou supprimer un utilisateur local, le principal doit inclure au moins un identifiant de machine pour la machine d'origine.
  • target : emplacement où l'utilisateur est créé. Il doit également inclure des informations sur l'utilisateur (par exemple, target.user).

Champs facultatifs :

  • principal : informations sur l'utilisateur et le processus pour la machine sur laquelle la demande de création ou de suppression d'utilisateur a été lancée.
  • target : informations sur la machine cible (si elle est différente de la machine principale).