Cette page fournit une référence structurée des champs de métadonnées de sécurité réseau utilisés sur laplateforme Vectra AI . Elle définit les attributs de schéma communs, les champs de connectivité au niveau de la couche session, la télémétrie spécifique aux protocoles (DNS, HTTP, SMB, LDAP, etc.), les métadonnées d'authentification (Kerberos, NTLM, RADIUS), les attributs de correspondance au niveau de la couche de détection, ainsi que les empreintes de communications chiffrées (SSL/TLS, SSH, X.509). Ces flux de métadonnées normalisés permettent l'analyse comportementale, la corrélation inter-domaines et la visibilité du trafic chiffré sans nécessiter de capture complète des paquets. Ensemble, ils constituent la base d'une observabilité réseau évolutive et d'enquêtes de sécurité dans les environnements d'entreprise hybrides.
Ces flux de métadonnées normalisés facilitent la recherche de menaces, l'enrichissement des métadonnées et l'analyse forensic des métadonnées en permettant l'analyse comportementale, la corrélation interdomaines et la visibilité du trafic chiffré, sans nécessiter de capture complète des paquets. Ensemble, ils constituent la base d'une observabilité et d'une analyse réseau évolutives dans les environnements d'entreprise hybrides.
Champs de métadonnées réseau communs à tous les flux de télémétrie (à l'exception du DHCP)
Ces champs apparaissent dans presque tous les flux de métadonnées et définissent le schéma de connexion commun utilisé pour tous les types de métadonnées. Ils contiennent les identifiants de l'origine et du répondeur, les ports, les noms d'hôte, les indicateurs de localisation, les attributs des capteurs, les horodatages et un identifiant unique de connexion (UID) stable.
| Champ |
Description |
| id.ip_ver* | Version IP |
| id.orig_h | Adresse endpoint d'origine |
| id.orig_p | Port endpoint du endpoint d'origine |
| id.resp_h | Adresse endpoint de réponse |
| id.resp_p | Port endpoint de réponse |
| origine locale | Valeur booléenne indiquant si la connexion a été établie localement |
| responsable local | Valeur booléenne indiquant si la connexion a reçu une réponse locale |
| orig_hostname* | endpoint d'origine |
| orig_huid* | Identifiant unique de l'hôte d'origine s'il s'agit d'un hôte local |
| orig_sluid* | Identifiant unique de la session de l'hôte d'origine |
| resp_hostname* | endpoint qui répond |
| resp_huid* | Identifiant unique de l'hôte qui répond, s'il s'agit d'un hôte local |
| resp_sluid* | Identifiant unique de la session de l'hôte répondant s'il s'agit d'un hôte local |
| identifiant_du_capteur | Identifiant unique du capteur Vectra qui a détecté le trafic sous-jacent à l'origine de l'enregistrement de métadonnées |
| ts | Horodatage correspondant à la date de création de l'enregistrement de métadonnées. Il est exprimé au format date (par exemple : 9 mai 2018, 10 h 09 min 25 s 366 ms) |
| uid | Identifiant unique de la connexion |
Considérez ces champs comme des clés de jointure de référence. Ils servent de point d'ancrage aux workflows d'enrichissement des métadonnées en permettant de relier les enregistrements relatifs au protocole, à l'authentification et à la détection à une même session et à une même entité. Dans le cadre de la recherche de menaces et de l'analyse forensic des métadonnées, cette cohérence permet d'effectuer des pivots fiables entre les différentes couches de télémétrie.
La plupart des tables de protocole qui suivent reprennent ce schéma tout en héritant de ce contexte commun. Cela permet de préserver l'intégrité de l'attribution et la continuité de la session entre les flux de métadonnées du réseau.
Champs de métadonnées des balises et modèles de communication comportementale
Les métadonnées de balise décrivent les communications répétées entre une source et une destination au cours de plusieurs sessions. Les champs ci-dessous renseignent l'identifiant de la balise, les limites temporelles, le nombre de sessions, le volume de données par direction, le contexte du protocole/service et l'empreinte du client utilisés pour résumer le schéma.
L'analyse des balises est fréquemment utilisée dans la recherche de menaces pour identifier les rappels de commande et de contrôle, les boucles d'automatisation et les communications sortantes persistantes. Plutôt que d'inspecter les paquets, les analystes s'appuient sur des types de métadonnées qui décrivent la périodicité et la cohérence.
|
| Champ | Description |
|---|
| type de balise | Le type de balise. Le type « single_resp_multiple_sessions » désigne une balise destinée à une seule destination mais comprenant plusieurs sessions. |
| beacon_uid | L'identifiant unique de la balise |
| durée | Durée totale du BeaconUid |
| heure_du_premier_événement | Horodatage de la première session observée pour cet identifiant de balise |
| ja3 | Hachage Ja3 du client basé sur les paramètres SSL du client |
| heure_du_dernier_événement | Horodatage de la dernière session observée pour cet identifiant de balise |
| nombre d'octets de l'adresse IP d'origine | Nombre total d'octets envoyés par l'expéditeur au destinataire pour cet identifiant de balise (beacon_uid) |
| proto | Valeur du protocole L4. 6 correspond à TCP, 17 à UDP |
| proto_name | Nom du protocole L4 (TCP ou UDP) |
| domaines_resp | Les domaines des intervenants dans cet événement |
| octets_ip_réponse | Nombre total d'octets envoyés par le répondeur à l'expéditeur pour cet identifiant de balise (beacon_uid) |
| service | Service (par exemple « http » ou « tls ») |
| nombre de sessions | Le nombre de sessions qui composent le beacon_uid |
| uid | L'identifiant unique (uid) de la première connexion pour l'événement de balise signalé |
| ts | Horodatage correspondant à la date de création de l'enregistrement de métadonnées. Il est exprimé au format date (par exemple : 9 mai 2018, 10 h 09 min 25 s 366 ms) |
| uid | Identifiant unique de la connexion |
Utilisez ces champs pour évaluer la durée, la fréquence et le volume directionnel. Passez ensuite aux métadonnées DNS, HTTP ou SSL/TLS pour obtenir un contexte comportemental plus détaillé lors de l'analyse forensique des métadonnées.
Cessez de chercher à savoir « ce qui » se cache derrière les détections réseau
Le signalement n'est qu'un indicateur comportemental parmi d'autres. Lorsque des métadonnées réseau suspectes sont détectées, les analystes doivent encore déterminer quel endpoint ou quelle identité endpoint en est à l'origine. Sans ce lien, les enquêtes s'enlisent.
Voir la corrélation entre endpoint
Champs de métadonnées DCE-RPC et attributs des appels de procédure à distance
Les métadonnées DCE-RPC enregistrent le comportement des appels de procédure à distance généralement associés à l'administration Windows et à l'interaction entre les services. Ces champs contiennent des informations sur le contexte du domaine, endpoint , les opérations invoquées, l'attribution des noms d'utilisateur et la chronologie des requêtes et des réponses.
Dans le cadre de la recherche de menaces, les métadonnées DCE-RPC permettent de mettre en évidence des séquences d'exécution à distance anormales et des schémas d'utilisation des privilèges sans avoir recours endpoint .
|
| Champ | Description |
|---|
| domaine* | Domaine de l'hébergeur |
| endpoint | Endpoint obtenu à partir de l'UUID (par exemple, IXnRemote, IWbemLoginClientID) |
| nom d'hôte* | Nom d'hôte sur lequel l'utilisateur s'est connecté |
| fonctionnement | Opération mentionnée dans l'appel (par exemple, « RemoteCreateInstance ») |
| rtt | Durée aller-retour de la requête – réponse |
| nom d'utilisateur* | Nom d'utilisateur ou nom du compte utilisé pour se connecter. Les noms se terminant par « $ » sont des noms de machine (et non des noms de compte utilisateur) |
Utilisez les noms des opérations et le contexte (nom d'utilisateur/hôte) pour distinguer les tâches administratives courantes des activités de déplacement latéral lors de l'analyse des métadonnées.
Champs de métadonnées DHCP et attributs de configuration réseau
Les métadonnées DHCP enregistrent les attributions dynamiques d'adresses et de configurations qui permettent d'intégrer les appareils au réseau. Ces types de métadonnées associent les adresses IP attribuées aux adresses MAC et aux noms d'hôte, tout en enregistrant la durée du bail et l'attribution des serveurs DHCP/DNS.
Étant donné que la rotation des adresses IP complique les enquêtes, les enregistrements DHCP fournissent des métadonnées essentielles pour assurer la continuité de l'attribution.
|
| Champ | Description |
|---|
| adresse IP attribuée | Adresse IP attribuée en réponse |
| dhcp_server_ip* | Adresse IP du serveur DHCP |
| adresses_IP_des_serveurs_DNS* | Adresses IP des serveurs DNS issues des options DHCP. Option DHCP 6 |
| durée_du_bail | Durée de bail DHCP. Option DHCP 51 |
| Mac | Adresse MAC dans la requête |
| orig_hostname* | Nom d'hôte issu des options DHCP. Option DHCP 12 |
| trans_id | Identifiant de transaction |
| ts | Horodatage correspondant à la date de création de l'enregistrement de métadonnées. Il est exprimé au format date (par exemple : 9 mai 2018, 10 h 09 min 25 s 366 ms) |
| uid | Identifiant unique de la connexion |
Utilisez les champs DHCP pour stabiliser les enquêtes en cas de changement d'adresse IP, en ancrant l'identité aux attributs propres à chaque appareil plutôt qu'à un adressage éphémère.
Champs de métadonnées DNS et attributs de réponse aux requêtes
Les métadonnées DNS reflètent le comportement de la résolution de domaine, notamment l'intention de la requête, la gestion de la récursivité, les codes de réponse, les indicateurs de troncature, les valeurs TTL et le nombre d'enregistrements.
Les métadonnées du réseau DNS jouent un rôle central dans la recherche de menaces, car elles permettent de mettre au jour les infrastructures de relais, les changements de domaine, les opérations de reconnaissance et les tentatives de rappel infructueuses, sans qu'il soit nécessaire d'inspecter la charge utile.
Les métadonnées DNS permettent de visualiser :
- Quels domaines ont fait l'objet d'une requête et par qui ?
- Si la récursivité a été demandée ou si elle était disponible
- Comment les réponses faisant autorité ont été fournies
- Quels codes de réponse et quelles valeurs TTL ont été observés ?
|
| Champ | Description |
|---|
| AA | Réponse faisant autorité. Vrai si le serveur est l'autorité pour la requête |
| réponses† | Liste des réponses à la requête |
| auteur | Liste des réponses faisant autorité pour la requête |
| proto | Protocole de transaction DNS — 6 (pour TCP) ou 17 (pour UDP) |
| qclass / qclass_name | Valeur indiquant la classe de requête (par exemple 1 / Internet [IN]) |
| qtype / nom_du_qtype | type de requête / valeur / nom descriptif (par exemple : A, AAAA, PTR, TXT) |
| requête† | Nom de domaine faisant l'objet de la requête |
| RA | Récursivité disponible. Vrai si le serveur prend en charge les requêtes récursives |
| RD | Recursion souhaitée. Vrai si une recherche récursive de la requête est demandée |
| code / nom_du_code | Valeur du code de réponse dans la réponse DNS (par exemple, NXDOMAIN, NODATA) |
| rejeté | La requête DNS a été rejetée par le serveur |
| saw_query | Si la requête DNS complète a été enregistrée |
| voir la réponse | Si la réponse DNS complète a été reçue |
| TC | Indicateur de troncature. Vrai si le message a été tronqué |
| TTL | Liste des TTL tirée des réponses |
| nombre total de réponses | Le nombre total d'enregistrements de ressources dans la section « réponse » d'un message de réponse |
| nombre_total_de_réponses | Le nombre total d'enregistrements de ressources dans les sections « réponse », « autorité » et « supplémentaires » d'un message de réponse |
| trans_id | Identifiant de 16 bits attribué par le client DNS |
Utilisez l'analyse des métadonnées DNS pour déterminer l'intention et le résultat, identifier les requêtes effectuées et les réponses obtenues, et déterminer si la résolution a échoué, puis passez aux métadonnées TLS ou HTTP pour approfondir l'analyse.
Champs de métadonnées HTTP et attributs de session Web
Les métadonnées HTTP résument le comportement de la couche Web sans stocker l'intégralité des données. Ces champs enregistrent le contexte dérivé des en-têtes, les méthodes, les URI, les indicateurs de transfert par proxy, les attributs d'empreinte numérique et les mesures directionnelles relatives aux octets et aux paquets.
Dans le cadre des analyses des métadonnées réseau, les champs HTTP fournissent un contexte au niveau de la couche applicative pour la recherche de menaces, notamment en ce qui concerne les transferts de fichiers suspects, les rappels automatisés et les structures d'en-tête anormales.
|
| Champ | Description |
|---|
| accepter | Valeur de l'en-tête « Accept » dans la requête, le cas échéant, tronquée à 256 octets |
| accept_encoding | Valeur de l'en-tête Accept-Encoding dans la requête, le cas échéant, tronquée à 256 octets |
| cookie* | Valeur de l'en-tête « Cookie », tronquée à 256 octets |
| cookie_vars* | Les variables du champ « cookie », sans leurs valeurs |
| hôte | Valeur de l'en-tête Host, tronquée à 256 octets |
| host_multihomed* | Attribut booléen indiquant si l'adresse figurant dans l'en-tête « Host » est associée à une ou plusieurs adresses IP |
| is_proxied* | Valeur booléenne indiquant qu'il s'agit d'une requête par proxy |
| ja4h | L'empreinte JA4H du client HTTP |
| méthode | Méthode de requête HTTP |
| orig_ip_bytes* | Octets envoyés par l'expéditeur au destinataire |
| types_mime_originaux | En-tête « Content-Type » dans la requête de l'expéditeur |
| orig_pkts* | Nombre de paquets envoyés par l'expéditeur au destinataire |
| date de publication | Données binaires du corps de la requête POST. Limitées à 2 ko |
| par un proxy | Valeur de l'en-tête X-Forwarded-For (par exemple : X-FORWARDED-FOR -> 10.10.15.192) |
| source | Valeur de l'en-tête « Referrer », tronquée à 256 octets |
| longueur du corps de la requête | Nombre d'octets de la charge utile HTTP dans la requête |
| request_cache_control* | Valeur de l'en-tête Cache-Control dans la requête, le cas échéant, tronquée à 256 octets |
| nombre_d'en-têtes_de_requête* | Nombre d'en-têtes dans la requête |
| resp_filename | Le nom du fichier renvoyé par le serveur (le cas échéant) |
| resp_ip_bytes* | Octets envoyés par le destinataire à l'expéditeur |
| resp_mime_types | Valeur de l'en-tête Content-Type dans la réponse, tronquée à 256 octets |
| resp_pkts* | Nombre de paquets envoyés par le répondeur à l'expéditeur |
| longueur_du_corps_de_la_réponse | Nombre d'octets de la charge utile HTTP dans la réponse |
| response_cache_control* | Valeur de l'en-tête Cache-Control dans la réponse, le cas échéant, tronquée à 256 octets |
| response_content_disposition | La valeur de l'en-tête Content-Disposition (qui spécifie les noms des fichiers à télécharger en pièce jointe, par exemple « attachment; filename="filename.jpg" ») |
| response_expires* | En-tête « Expires » dans la réponse, s'il est présent |
| nombre_d'en-têtes_de_réponse* | Nombre d'en-têtes dans la réponse |
| code d'état | Le code d'état dans la réponse HTTP |
| message_d'état | Le message d'état correspondant au code d'état |
| uri | URI utilisé dans la requête, tronqué à 512 octets |
| agent utilisateur | Valeur de l'en-tête User-Agent provenant du client |
Utilisez les métadonnées HTTP pour reconstituer le comportement Web, puis établissez des corrélations avec les métadonnées DNS et TLS afin de confirmer l'identité de la destination et les caractéristiques de chiffrement.
Métadonnées de connectivité iSession et attributs réseau au niveau de la session
Les métadonnées iSession définissent le modèle de session normalisé utilisé dans tous les protocoles. Elles enregistrent l'état de la connexion, le degré de certitude quant à la direction, les marqueurs temporels, les variantes d'empreinte digitale, le contexte VLAN et le nombre d'octets/paquets par direction.
Cette abstraction au niveau de la couche de session permet un enrichissement évolutif des métadonnées en normalisant la manière dont celles-ci sont représentées, quel que soit le protocole utilisé.
|
| Champ | Description |
|---|
| demande | Applications associées à cette session |
| client_luid_proxy | Vrai si l'adresse source de la connexion a été enregistrée en tant que proxy |
| état_connexion | État de la connexion. Peut prendre les valeurs suivantes : S0, S1, SF, REJ, S2, S3, RSTO, RSTR, RSTOS0, RSTRH, SH, SHR ou OTH |
| dir_confidence | Niveau de confiance de l'affectation client/serveur, de 0 à 100 |
| durée | Durée de la connexion en millisecondes |
| first_orig_resp_data_pkt* | Encodage Base64 des 16 premiers octets du paquet envoyé par l'expéditeur au destinataire, représenté sous forme de chaîne de caractères |
| first_orig_resp_data_pkt_time* | Horodatage du premier paquet de données envoyé par l'expéditeur au destinataire |
| temps_du_premier_paquet_de_réponse_d'origine* | Horodatage du premier paquet envoyé par l'expéditeur au destinataire |
| first_resp_orig_data_pkt* | Encodage Base64 des 16 premiers octets du paquet envoyé par le destinataire à l'expéditeur, représenté sous forme de chaîne de caractères |
| first_resp_orig_pkt_time* | Horodatage du premier paquet envoyé par le destinataire à l'expéditeur |
| first_resp_orig_data_pkt_time* | Horodatage du premier paquet de données envoyé par le destinataire à l'expéditeur |
| ja4lc | L'empreinte JA4LC de la distance lumineuse du client |
| ja4ls | L'empreinte JA4LS de la distance lumineuse du serveur |
| ja4t | L'empreinte JA4T du paquet TCP SYN du client |
| ja4ts | L'empreinte JA4TS du ou des paquets TCP SYN-ACK du serveur |
| nombre d'octets de l'adresse IP d'origine | Octets envoyés par l'expéditeur au destinataire |
| orig_pkts | Nombre de paquets envoyés par l'expéditeur au destinataire |
| orig_vlan_id* | VLAN_id de l'expéditeur, le cas échéant |
| proto | Valeur du protocole L4. 6 correspond à TCP, 17 à UDP |
| proto_name | Nom du protocole L4 (TCP, UDP ou ICMP) |
| proxy_vers_destination_interne | Vrai si la destination effective après le proxy est une adresse IP interne |
| resp_domain* | Calculé à partir du SNI TLS, de l'hôte HTTP ou du nom de l'adresse IP de destination (dans cet ordre précis) |
| octets_ip_réponse | Octets envoyés par le destinataire à l'expéditeur |
| resp_multihomed* | Attribut booléen indiquant si le domaine est associé à une ou plusieurs adresses IP |
| resp_pkts | Nombre de paquets envoyés par le répondeur à l'expéditeur |
| resp_vlan_id* | Identifiant VLAN du répondeur, le cas échéant |
| service | Service (par exemple « smb ») |
| server_luid_proxy | Vrai si l'adresse de destination de la connexion a été enregistrée en tant que proxy |
| heure_de_début_de_session | Horodatage du début de la session |
Considérez iSession comme l'épine dorsale de la recherche de menaces. Il assure une continuité stable des sessions à travers les différents types de métadonnées liés aux protocoles, à l'authentification et à la détection.
Valeurs de l'état de connexion et indicateurs du cycle de vie des sessions TCP
Les valeurs d'état de connexion indiquent comment une session a évolué : établie, rejetée, réinitialisée, semi-ouverte ou incomplète. Ces indicateurs sont des métadonnées comportementales qui révèlent des activités de balayage, de sondage, des communications instables ou des sessions interrompues.
|
| État | Description |
|---|
| S0 | Une tentative de connexion a été détectée, mais aucune réponse n'a été reçue. |
| S1 | Connexion établie, non interrompue. |
| SF | Établissement et terminaison normaux. Notez qu'il s'agit du même symbole que pour l'état S1. Vous pouvez distinguer les deux car, pour S1, le résumé ne comportera aucun décompte d'octets, contrairement à SF. |
| REJ | Tentative de connexion rejetée |
| S2 | Connexion établie et tentative de fermeture détectée de la part de l'initiateur (mais aucune réponse de la part du destinataire) |
| S3 | Connexion établie et tentative de fermeture détectée de la part du destinataire (mais aucune réponse de la part de l'expéditeur) |
| RST0 | Connexion établie, l'initiateur a interrompu la connexion (a envoyé un RST) |
| RSTR | Le répondeur a envoyé un RST |
| RSTOS0 | L'expéditeur a envoyé un SYN suivi d'un RST, mais nous n'avons jamais reçu de SYN-ACK de la part du destinataire. |
| RSTRH | Le destinataire a envoyé un SYN ACK suivi d'un RST ; nous n'avons jamais reçu de SYN de la part de l'expéditeur (présumé). |
| SH | L'initiateur a envoyé un SYN suivi d'un FIN, mais nous n'avons jamais reçu de SYN-ACK de la part du destinataire (la connexion était donc « partiellement » ouverte). |
| SHR | Le destinataire a envoyé un SYN ACK suivi d'un FIN ; nous n'avons jamais reçu de SYN de la part de l'expéditeur. |
| OTH | Aucun paquet SYN n'a été détecté, seulement du trafic en cours (un exemple de cela est une « connexion partielle » qui n'a pas été fermée par la suite). |
Utilisez les états du cycle de vie ainsi que les champs relatifs au moment et au volume pour hiérarchiser les schémas de reconnaissance lors de l'analyse des métadonnées.
Champs de métadonnées Kerberos et attributs des tickets d'authentification
Les métadonnées Kerberos enregistrent la délivrance des tickets, le type d'authentification, l'évaluation des privilèges, la négociation du chiffrement et les états de réussite ou d'échec. Ces types de métadonnées au niveau de l'identité sont essentiels pour détecter l'utilisation abusive des identifiants et l'escalade des privilèges.
Les métadonnées Kerberos permettent de visualiser :
- Niveaux de privilèges des comptes et des services (faible, moyen, élevé)
- Types de demandes et de réponses de ticket (AS, TGT)
- Utilisation et négociation des algorithmes de chiffrement
- Conditions de réussite et d'échec de l'authentification
|
| Champ | Description |
|---|
| privilège_compte | Niveau de privilège du compte. Les notes peuvent être classées en trois catégories : Faible (1, 2), Moyen (3, 4, 5, 6, 7) et Élevé (8, 9) |
| identifiant_compte | Identifiant unique du compte (format principal@REALM) |
| nombre_de_données_de_la_table_as_rep_padata | Nombre total d'entrées PA-DATA affichées dans AS-REP avant la troncature |
| types_de_données_de_représentation | Entiers de type PA-DATA issus des messages AS-REP (12 au maximum) |
| as_rep_padata_types_string | Noms de type PA-DATA lisibles par l'utilisateur pour les messages AS-REP (12 au maximum) |
| nombre_de_données_requises | Nombre total d'entrées PA-DATA affichées dans AS-REQ avant la troncature |
| types de données de saisie requis | Entiers de type PA-DATA issus des messages AS-REQ (12 au maximum) |
| as_req_padata_types_string | Noms de type PA-DATA lisibles par l'utilisateur pour les messages AS-REQ (12 au maximum) |
| client | Nom du client, y compris le domaine |
| source de données | La source de l'enregistrement, qu'il s'agisse du « réseau » ou du « journal » |
| code d'erreur | Code d'erreur en cas d'échec |
| message d'erreur | Message d'erreur en cas d'échec |
| orig_host_observed_privilege* | Ce niveau de risque correspond au risque observé sur la base de l'activité d'un compte semblant opérer à partir de l'hôte. Les scores peuvent être classés en trois catégories : Faible (1, 2), Moyen (3, 4, 5, 6, 7) et Élevé (8, 9) |
| protocole* | Protocole L4. 6 (TCP) ou 17 (UDP) |
| chiffrement_de_référence | Le type de chiffrement des tickets de réponse |
| horodatage_réponse* | Date et heure de la réponse |
| chiffrements requis | Le ou les types de chiffrement des tickets de requête |
| type de requête | Type de requête (AS ou TGT) |
| service | Service demandé, y compris le domaine |
| privilège de service | Niveau de qualité du service. Les notes peuvent être classées en trois catégories : Faible (1, 2), Moyen (3, 4, 5, 6, 7) et Élevé (8, 9) |
| service_uid | Identifiant unique du service (format principal@REALM) |
| succès | Que la requête ait abouti ou non |
| code_billet | Chiffrement de ticket observé dans les réponses AS-REP et TGS-REP |
Utilisez les catégories de privilèges et les types de requêtes pour concentrer la recherche de menaces sur les comptes et les services à fort impact, puis exploitez les données LDAP ou la télémétrie de session à des fins de validation.
Champs de métadonnées LDAP et attributs de requête d'annuaire
Les métadonnées LDAP fournissent un aperçu des opérations de recherche et de connexion au répertoire, notamment la portée des requêtes, la sélection des attributs, le nombre de résultats et les conditions d'erreur.
L'analyse des métadonnées des répertoires s'avère particulièrement utile pour identifier les tentatives d'énumération précédant les abus d'authentification.
|
| Champ | Description |
|---|
| attributs | Un ensemble d'attributs à inclure dans les entrées qui correspondent aux critères de recherche et qui sont renvoyées |
| objet_de_base | Racine de la sous-arborescence dans laquelle la recherche doit être limitée |
| nombre d'erreurs de liaison | En cas d'erreurs de liaison, nombre d'erreurs |
| durée | Durée de la séance |
| nombre_de_charges_utiles_SASL_chiffrées | Si le chiffrement SASL est utilisé, le nombre de charges utiles SASL chiffrées rencontrées |
| erreur | Le message d'erreur en cas d'erreur (par exemple « 0000208D : NameErr ... ») |
| nombre_d'erreurs_de_connexion | Le nombre d'erreurs de connexion |
| est-ce que c'est fermé ? | Indicateur booléen indiquant si la fermeture a été observée |
| is_query | Indicateur booléen indiquant si la requête a été détectée dans la demande |
| dn_correspondant | Le nom distinctif correspondant |
| message_id | Identifiant du message |
| requête | Critères à utiliser pour déterminer quelles entrées relevant du champ d'application doivent être renvoyées |
| portée_de_la_requête | La partie de la sous-arborescence cible à prendre en compte (par exemple, wholeSubtree) |
| octets_de_réponse | Nombre d'octets dans la réponse |
| résultat | Le résultat de la requête contenue dans cette demande |
| nombre d'octets demandés | Nombre d'octets dans la requête |
| code_résultat | Le code de résultat (réussite ou échec) dans la réponse |
| nombre de résultats | Le nombre d'entrées dans le résultat |
Utilisez le volume des résultats et les schémas d'erreurs pour distinguer les recherches courantes des découvertes à grande échelle dans le cadre des processus de recherche de menaces.
Match les champs Match et les attributs des signatures d'alerte
Match correspondent à des résultats de détection évalués plutôt qu'à des données télémétriques brutes. Ces types de métadonnées décrivent l'identité de la signature, son niveau de gravité, son état de révision, son champ d'application et le contexte du paquet.
Cette couche reflète la manière dont les métadonnées du réseau ont été interprétées par la logique de détection.
|
| Champ | Description |
|---|
| eve_json.alert.category | Catégorie du message d'alerte |
| eve_json.alert.gid | Identifiant unique pour un groupe de signatures. La valeur par défaut est 1 pour la plupart des signatures. |
| eve_json.alert.metadata.produit_concerné | Fournit des informations détaillées sur le produit concerné |
| eve_json.alert.metadata.cible_de_l'attaque | Indique si la cible de l'attaque est le client, le serveur, les deux ou autre |
| eve_json.alert.metadata.created_at | Indique la date à laquelle la signature a été créée |
| eve_json.alert.metadata.deployment | Indique où la signature doit être déployée |
| eve_json.alert.metadata.malware | Indique la Malware associée à la signature |
| eve_json.alert.metadata.policy | Précise les détails de la politique d'alerte |
| eve_json.alert.metadata.signature_severity | Décrit le niveau de gravité associé à la signature |
| eve_json.alert.metadata.tag | Indique les informations de balise attribuées à la signature par l'auteur |
| eve_json.alert.metadata.date_de_mise_à_jour | Indique la date de la dernière mise à jour de la signature |
| eve_json.alert.rev | Numéro de révision de la signature d'alerte indiquant si celle-ci a été mise à jour |
| eve_json.alert.rule | Précisez la règle qui a déclenché l'alerte |
| eve_json.alert.gravité | Chiffre indiquant le niveau de gravité de l'alerte |
| eve_json.alert.signature | Le nom de la règle. Basé sur le texte « msg » figurant dans la signature |
| eve_json.alert.signature_id | Identifiant de la signature d'alerte |
| eve_json.alert.xff | Valeur de x-forwarded-for |
| eve_json.direction | Indique le sens du trafic de l'alerte |
| eve_json.packet | Indique le paquet qui a déclenché la signature |
| eve_json.payload | Fournit les informations relatives à la charge utile du paquet codée en Base64 |
| eve_json.payload_printable | Fournit la charge utile au format ASCII |
| eve_json.proto | Nom du protocole L4 |
Utilisez les métadonnées de correspondance pour comprendre pourquoi une détection s'est déclenchée, puis examinez les métadonnées du protocole et de la session sous-jacentes pour obtenir une reconstitution complète.
Champs de métadonnées NTLM et attributs de réponse d'authentification
Les métadonnées NTLM enregistrent les tentatives d'authentification et leurs résultats, notamment l'hôte, le domaine, le nom d'utilisateur, le code d'état et le statut de réussite.
Dans les environnements où le protocole NTLM reste actif, ces types de métadonnées sont essentiels pour détecter les abus liés à l'authentification de secours.
|
| Champ | Description |
|---|
| domaine | Domaine de l'hébergeur |
| nom d'hôte | Nom d'hôte sur lequel l'utilisateur s'est connecté |
| statut | Code d'état dans la réponse |
| succès | Que la demande ait abouti ou non |
| nom d'utilisateur | Nom d'utilisateur ou nom du compte utilisé pour se connecter |
Utilisez les échecs répétés ou les schémas de réussite anormaux comme indices pour la recherche de menaces, puis établissez des corrélations avec les métadonnées SMB ou RDP.
Champs de métadonnées RDP et attributs des sessions de bureau à distance
Les métadonnées RDP enregistrent les attributs des sessions à distance interactives, notamment l'identité du client, la version, les caractéristiques d'affichage et les indicateurs de chiffrement.
Ces types de métadonnées permettent d'analyser les habitudes d'accès administratif sans avoir à déchiffrer le contenu.
|
| Champ | Description |
|---|
| version client | Version du client RDP utilisée par l'ordinateur client. Sera « inconnue » si la connexion est cryptée |
| client_dig_product_id | Identifiant du produit de l'ordinateur client |
| nom_du_client | Nom de l'ordinateur client |
| cookie | Valeur du cookie utilisé par l'ordinateur client (nom d'utilisateur) |
| hauteur du bureau | Hauteur du bureau de l'ordinateur client. 0 si chiffré |
| largeur_de_l'écran | Largeur de l'écran de l'ordinateur client. 0 si chiffré |
| configuration du clavier | Configuration du clavier (langue) de l'ordinateur client (par exemple, « US » ou « Configuration de clavier cryptée ») |
| résultat | Si la valeur est chiffrée, le résultat est « encrypted » ; sinon, il est vide. |
Définir les schémas d'accès à distance attendus et signaler les écarts lors de l'analyse forensic des métadonnées.
Champs de métadonnées RADIUS et attributs de comptabilité d'authentification
Les enregistrements de métadonnées RADIUS consignent les opérations d'authentification et de comptabilisation liées au contrôle d'accès, notamment les identifiants de session, la durée, les compteurs de paquets et d'octets, l'adressage et les marqueurs de politique.
Ces types de métadonnées réseau permettent de retracer les chemins d'accès à distance via des systèmes VPN, NAC ou sans fil.
|
| Champ |
Description |
| compte_authentifié |
Indique comment l'utilisateur a été authentifié |
| durée_de_délai_du_compte |
Indique depuis combien de temps l'expéditeur tente d'envoyer le message |
| nombre_de_gigamots |
Indique le nombre de fois où le compteur « Acct-Input » a été remis à zéro pour les entrées |
| nombre_d'octets_en_entrée |
Combien d'octets ont été reçus ? |
| paquets_d'entrée_du_compte |
Combien de paquets le système a-t-il reçus ? |
| nombre_de_gigamots_en_sortie |
Indique le nombre de fois où le compteur « Acct-Input » a été remis à zéro pour la sortie |
| nombre_d'octets_sortants |
Combien d'octets ont été définis ? |
| paquets_sortants_du_compte |
Combien de paquets le système a-t-il envoyés ? |
| identifiant_de_session_du_compte |
Il s'agit d'un identifiant unique qui identifie la session de comptabilité RADIUS, lequel est envoyé dans un paquet distinct. |
| durée_de_session_du_compte |
Durée du service dont a bénéficié l'utilisateur |
| identifiant_de_l'appelant |
Il s'agit de l'identifiant du poste appelant |
| informations_de_connexion |
Déterminer la vitesse de la connexion ou d'autres informations relatives à la connexion |
| préfixe_IPv6_délégué |
Pool IPv6 à partir duquel l'adresse IPv6 a été attribuée |
| dst_display_name |
Nom DNS de la destination |
| dst_host_luid |
Il s'agit de l'identifiant de l'hôte de destination avec l'identifiant d'hôte |
| dst_luid |
Le LUID du serveur RADIUS |
| dst_luid_external |
La valeur est « True » si la destination est externe |
| horodatage_événement |
Similaire à « ts », mais il s'agit de l'horodatage provenant de l'appareil, et non de Vectra |
| filter_id |
Cela permet d'identifier toutes les listes de contrôle d'accès (ACL) actuellement utilisées |
| adresse encadrée |
Ce champ est disponible dans la requête qui identifie le endpoint l'authentification |
| interface encadrée |
Indique l'interface utilisée lorsque l'utilisateur se connecte au système |
| adresse_IP_encadrée |
Adresse IP du endpoint se connecte au système |
| préfixe_IPv6_encadré |
Indique le préfixe IPv6 encadré de l'utilisateur |
| protocole encadré |
Identifie le protocole de trames utilisé lorsque l'utilisateur se connecte au système |
Utilisez les champs de contexte comptables et NAS pour vérifier la portée et la durée de l'accès avant de passer à l'analyse des activités SMB ou RDP.
Champs de métadonnées RADIUS étendus et attributs de contrôle d'accès au réseau
Les métadonnées RADIUS étendues fournissent des informations supplémentaires sur les périphériques et le contexte d'application : identifiants et ports NAS, délais d'expiration des sessions et des périodes d'inactivité, points d'extrémité du tunnel, indicateurs de source externe, délais de réponse, ainsi que la présence ou non de champs sensibles (tels que les mots de passe). Ces champs permettent de mieux comprendre comment les décisions d'accès ont été mises en œuvre.
|
| Champ |
Description |
| délai d'inactivité |
Durée pendant laquelle une session peut rester inactive avant d'être déconnectée |
| enregistré |
L'attribut booléen indique si la requête a déjà été enregistrée |
| Mac |
L'adresse MAC, si elle apparaît comme champ dans le message RADIUS |
| identifiant_nas |
Identifie le rôle demandé par le client qui s'authentifie |
| adresse_IP_NAS |
Il s'agit d'un format d'adresse IP ; il peut s'agir de l'adresse IP de l'appareil, du Endpoint ou d'un système intermédiaire, selon la mise en œuvre |
| nas_port |
Numéro de port physique de l'appareil chargé de l'authentification de l'utilisateur |
| nas_port_id |
Chaîne de caractères identifiant le port fourni par le client |
| nas_port_type |
Il s'agit du type de connexion du port (par exemple, Ethernet, Wi-Fi, etc.) |
| mot de passe_vu |
Attribut booléen indiquant que le mot de passe a été consulté |
| type_de_rayon |
Cette valeur indique s'il s'agit d'une requête d'accès ou d'une requête de comptabilité |
| répondre_message |
Message de réponse provenant du serveur de vérification. Il s'affiche généralement à l'utilisateur qui s'authentifie. |
| horodatage_réponse |
Horodatage de la réception du message de réponse |
| résultat |
Authentification réussie ou échouée |
| type de service |
Type de service demandé par l'utilisateur |
| durée_de_session |
Il s'agit de la durée maximale de la session |
| src_display_name |
Nom DNS de la source |
| src_host_luid |
Il s'agit de l'identifiant du Src avec l'identifiant d'hôte |
| src_luid |
Le LUID du client RADIUS |
| src_luid_external |
La valeur est « True » si la source est externe |
| ttl |
Le délai écoulé entre la première requête et la réception du message « Access-Accept » ou d'une erreur. Si ce champ est vide, cela signifie que ni la requête ni la réponse n'ont été détectées. |
| tunnel_client |
Adresse (IPv4, IPv6 ou nom de domaine complet) de l'extrémité initiatrice du tunnel, le cas échéant. Cette information est extraite deEndpoint . |
| nom d'utilisateur |
Il s'agit du nom d'utilisateur tel qu'il apparaît dans le message RADIUS |
Utilisez le NAS et le contexte du tunnel pour déterminer précisément où l'accès a été accordé, quel service a été sollicité et combien de temps il a duré ; cela s'avère particulièrement utile pour retracer les chemins d'accès à distance vers les activités SMB/RDP internes.
Champs de métadonnées des fichiers SMB et attributs des opérations sur les fichiers
Les métadonnées des fichiers SMB enregistrent les opérations au niveau des fichiers, notamment la création, le renommage, le comportement de suppression à la fermeture, le contexte du chemin d'accès, la version SMB et l'attribution à l'utilisateur.
Ces types de métadonnées sont essentiels pour les enquêtes sur les ransomwares et la propagation latérale.
|
| Champ | Description |
|---|
| action | Mesures prises concernant le dossier |
| supprimer_à_la_fermeture* | Indicateur précisant si l'attribut delete_on_close est activé. S'il est activé, la fermeture d'un fichier peut entraîner sa suppression s'il s'agit de la dernière fermeture effectuée sur ce fichier |
| domaine* | Domaine du serveur SMB |
| nom d'hôte* | Nom d'hôte du client SMB |
| chemin | Le chemin extrait du fichier d'arborescence a été transféré vers ou depuis |
| nom_précédent | Si l'opération de renommage a été enregistrée, il s'agira de l'ancien nom du fichier |
| nom | Nom du fichier, s'il y en a un |
| nom d'utilisateur* | Nom d'utilisateur ou nom du compte utilisé pour se connecter. Les noms se terminant par « $ » sont des noms de machine (et non des noms de compte utilisateur) |
| version | Version SMB (SMBv1 ou SMBv2) |
Utilisez les actions sur les fichiers et les modèles de renommage pour identifier les comportements malveillants lors de la recherche de menaces.
Mappage des champs de métadonnées SMB et des attributs de connexion partagée
Les métadonnées de mappage SMB enregistrent les connexions de l'arborescence et les accès aux partages avant toute interaction avec les fichiers.
Cette couche permet d'enrichir les métadonnées en associant l'identité de l'utilisateur au contexte d'accès partagé.
|
| Champ | Description |
|---|
| domaine* | Domaine du serveur SMB |
| nom d'hôte* | Nom d'hôte du client SMB |
| chemin | Nom du chemin d'accès à l'arborescence |
| service | Type de ré-originateur de l'arbre |
| nom d'utilisateur* | Nom d'utilisateur ou nom du compte utilisé pour se connecter. Les noms se terminant par « $ » sont des noms de machine (et non des noms de compte utilisateur) |
| version | Version SMB (SMBv1 ou SMBv2) |
Utilisez les événements de mappage pour établir la lignée d'accès avant d'analyser les opérations au niveau des fichiers.
Champs de métadonnées SMTP et attributs d'en-tête des e-mails
Les métadonnées SMTP enregistrent les attributs des en-têtes de courrier électronique et les résultats d'authentification, notamment les protocoles SPF, DKIM et DMARC, l'utilisation du protocole TLS et l'adresse IP d'origine. Les métadonnées réseau liées aux e-mails facilitent la recherche de menaces visant phishing et les comportements d'expéditeurs usurpés.
|
| Champ | Description |
|---|
| cc | Contenu de l'en-tête CC, présenté sous forme de liste séparée par des virgules |
| date | Contenu de l'en-tête « Date » |
| dkim_status | réussite/échec/aucun. En fonction de l'en-tête « Authentication-results » |
| dmarc_status | réussite/échec/aucun. En fonction de l'en-tête « Authentication-results » |
| date de réception | Contenu de l'en-tête « Received » le plus ancien, qui indique le premier serveur SMTP à avoir reçu ce message (c'est-à-dire le serveur d'origine) |
| de | Contenu de l'en-tête « De » |
| salut | Contenu de l'en-tête Helo |
| en réponse à | Contenu de l'en-tête « In-Reply-To » |
| mail_from | Adresses e-mail figurant dans l'en-tête « De » |
| msgid | Contenu de l'en-tête MsgID |
| rcpt_to | Adresses e-mail présentes dans l'en-tête Rcpt, sous forme de liste séparée par des virgules |
| Répondre à | Contenu de l'en-tête « ReplyTo » |
| deuxième_reçu | Contenu de l'en-tête « Received » (2e), qui indique le deuxième serveur SMTP à avoir reçu ce message |
| sujet | Contenu de l'en-tête « Objet » |
| spf_helo_status | D'après l'en-tête « Received-SPF » dans SMTP. Cet en-tête indique le statut SPF (Sender Policy Framework). Il peut s'agir de l'une des valeurs suivantes : pass, fail, neutral, softfail, none, temperror ou permerror. Voir : https://tools.ietf.org/html/rfc7208#section-9.1 |
| spf_mailfrom_status | L'une des options suivantes : réussite/échec/neutre/échec partiel/aucune/erreur temporaire/erreur permanente |
| tls | Indique que la connexion utilise désormais le protocole TLS |
| à | Contenu de l'en-tête « À », présenté sous forme de liste séparée par des virgules |
| agent utilisateur | Valeur de l'en-tête User-Agent provenant du client |
| x_adresse_IP_d'origine | Contenu de l'en-tête X-Originating-IP |
Utiliser les résultats de l'authentification et les métadonnées de la chaîne de relais pour vérifier de manière approfondie la légitimité de l'expéditeur.
Champs de métadonnées SSH et attributs de négociation de session chiffrée
Les métadonnées SSH enregistrent les détails de la négociation, notamment les versions client/serveur, l'échange de clés, le choix de l'algorithme de chiffrement, l'algorithme MAC et les hachages d'empreinte digitale. Ces types de métadonnées permettent d'identifier l'utilisation d'outils d'administration inhabituels et les comportements non autorisés des shells distants.
|
| Champ | Description |
|---|
| client | La chaîne de version du client |
| algorithme_de_chiffrement | L'algorithme de chiffrement utilisé |
| algorithme_de_compression | L'algorithme de compression utilisé |
| hassh | hachage du client basé sur les paramètres SSH du client |
| hassh_server | haashServer : hachage du serveur basé sur les paramètres SSH du client |
| clé_hôte | Empreinte digitale de la clé du serveur |
| algorithme_de_clé_hôte | L'algorithme de la clé hôte du serveur |
| kex_alg | L'algorithme d'échange de clés utilisé |
| mac_alg | L'algorithme de signature (MAC) utilisé |
| serveur | La chaîne de version du serveur |
| version | Version principale de SSH (1 ou 2) |
Utilisez les champs « algorithme » et « empreinte digitale » pour établir une base de référence des outils d'administration attendus et identifier les clients ou les schémas de négociation inhabituels, puis examinez les données de connectivité de la session afin de déterminer la durée, la direction et le volume de cette même session SSH.
Champs de métadonnées SSL/TLS et attributs de session chiffrée
Les métadonnées SSL/TLS enregistrent les caractéristiques de la négociation de la poignée de main et de l'échange de certificats pour les sessions chiffrées. Les champs ci-dessous comprennent les versions de protocole, la suite de chiffrement choisie, les paramètres de courbe, les extensions client/serveur, les identifiants de l'émetteur et du sujet, le SNI et les empreintes JA3/JA4, ainsi que l'état de l'établissement de la connexion.
|
| Champ | Description |
|---|
| demande | Applications associées à cette session |
| chiffre | Suite de chiffrement SSL/TLS choisie par le serveur |
| client_curve_num* | Numéro de courbe elliptique envoyé par le client |
| client_ec_point_format* | Format de coordonnées sur courbe elliptique proposé par le client |
| client_extension* | Extensions client |
| émetteur du client | Émetteur de certificats client |
| client_luid_proxy | Vrai si l'adresse source de la connexion a été enregistrée en tant que proxy |
| client_sujet | Objet du certificat client |
| version_client* | Chaîne de version SSL envoyée par le client |
| numéro_de_version_du_client* | Numéro de version SSL envoyé par le client |
| courbe | Nombre de courbe elliptique pour ECDHE |
| fondé | Indicateur précisant si cette session SSL a été établie avec succès ou si elle a été interrompue pendant la phase d'établissement de la connexion |
| émetteur | Émetteur de certificats de serveur |
| ja3 | Hachage JA3 du client basé sur les paramètres SSL du client |
| ja3s | Hachage JA3S du serveur basé sur les paramètres SSL du serveur |
| ja4 | L'empreinte JA4 du client TLS |
| ja4s | L'empreinte JA4S de la réponse du serveur TLS |
| protocole suivant | Le protocole suivant choisi par le serveur à l'aide de l'extension de protocole de la couche application, si elle est présente |
| proxy_vers_destination_interne | Vrai si la destination effective après le proxy est une adresse IP interne |
| extensions_serveur | Extensions de serveur |
| server_luid_proxy | Vrai si l'adresse de destination de la connexion a été enregistrée en tant que proxy |
| nom_du_serveur | Valeur SNI |
| sujet | Objet du certificat du serveur |
| version | Version SSL/TLS choisie par le serveur |
| numéro_de_version | Version numérique SSL/TLS choisie par le serveur |
| version/numéro_de_version | Numéro de version SSL |
Utilisez les empreintes TLS et le contexte SNI/certificat pour identifier les implémentations client/serveur et l'identité de la destination, puis passez au format X.509 pour examiner les propriétés du certificat et la couverture SAN afin d'effectuer une analyse de confiance plus approfondie.
Champs de métadonnées des certificats X.509 et attributs des certificats numériques
Les métadonnées X.509 enregistrent l'identité du certificat et ses caractéristiques de confiance, notamment la composition du sujet et de l'émetteur, les périodes de validité, les valeurs SAN, la longueur de clé, l'algorithme de signature et l'empreinte JA4X. Ces types de métadonnées permettent l'analyse forensic des métadonnées de certificats et la détection d'infrastructures suspectes.
|
| Champ | Description |
|---|
| demande | Applications associées à cette session |
| basic_constraints.ca | Indicateur précisant si le sujet du certificat est une autorité de certification |
| basic_constraints.longueur_du_chemin | Nombre maximal de niveaux dans les chemins de certification valides qui incluent ce certificat |
| certificate.cn | Nom commun qui identifie le nom d'hôte du certificat |
| certificate.curve | Courbe, si certificat CE |
| certificat.exposant | figure de proue |
| émetteur du certificat | Combinaison du pays, des organisations, du nom commun, de l'émetteur et de l'URI |
| certificate.key_alg | Nom de l'algorithme de clé publique utilisé pour la transmission de données, par exemple le chiffrement RSA |
| certificat.longueur_de_clé | Nombre de bits utilisés pour le chiffrement, par exemple un chiffrement sur 2 048 bits |
| certificat.type_de_clé | Trois types de clés, en fonction de l'algorithme de chiffrement |
| certificat_non_valide_après | Durée de validité du certificat |
| certificat.non_valide_avant | Durée de validité du certificat |
| certificat.auto-émis | Indicateur booléen précisant si le certificat est auto-émis ou émis par une autorité de certification |
| certificate.serial | Numéro de série unique attribué par l'autorité de certification ou l'autorité de signature du certificat. Il s'agit généralement d'une chaîne de 40 caractères hexadécimaux. |
| certificate.sig_alg | Nom de l'algorithme de signature |
| sujet du certificat | Titulaire du certificat (nom distinctif) |
| version du certificat | Version du certificat du serveur (SSL V3, TLS V1, TLS V2, etc.) |
| client_luid_proxy | Vrai si l'adresse source de la connexion a été enregistrée en tant que proxy |
| ja4x | L'empreinte digitale JA4X du certificat TLS X.509 |
| proxy_vers_destination_interne | Vrai si la destination effective après le proxy est une adresse IP interne |
| san.dns | Spécification d'une liste de noms d'hôtes supplémentaires pour un seul certificat, ainsi que des noms DNS associés au SAN (Subject Alternative Name) |
| san.email | Adresse e-mail associée au SAN |
| san.ip | Adresse IP du SAN figurant dans le certificat numérique |
| san.autres_champs | Autres domaines du SAN |
| san.uri | Nom d'URL associé au SAN |
| version/numéro_de_version | Numéro de version SSL |
| server_luid_proxy | Vrai si l'adresse de destination de la connexion a été enregistrée en tant que proxy |
Utilisez les attributs X.509 pour évaluer le niveau de confiance et les schémas de réutilisation, puis établissez des corrélations avec les métadonnées TLS et DNS afin de compléter la chaîne d'investigation.
