S

sandboxing

Classification du fichier selon l'option sandboxing.

Valeur : « clean », « suspicious », « malicious », « unknown », «forward », « failed ».

L'état « clean », « suspicious » ou « malicious » est retourné par sandboxing lorsque le fichier a déjà fait l'objet d'une analyse et d'une classification. L'état « unknown » est retourné lorsque le fichier concerné est inconnu de sandboxing. Dans ce cas, le fichier complet est transmis par le firewall pour analyse.

Exemple : sandboxing=forward.

Journaux concernés : l_ftp, l_sandboxing, l_pop3, l_smtp, l_web.

Sandboxing

sandboxinglevel

Indique sur une échelle de 0 à 100 le niveau d'infection du fichier.

Valeur : de «0» (clean) à «100» (malicious).

Exemple : sandboxinglevel=20.

Journaux concernés : l_ftp, l_sandboxing, l_pop3, l_smtp.

Score sandboxing

SavedEvaluation

Nombre d'évaluations de règles n'ayant pas eu recours à la technologie de prévention d'intrusion.

Exemple : SavedEvaluation=2.

Journaux concernés : l_filterstat.

SCTPAssoc

Nombre d'associations SCTP.

Format numérique.

Exemple : SCTPAssoc=2.

Disponible depuis : SNS v3.9.0.

Journaux concernés : l_filterstat.

SCTPAssocByte(i/o)

Nombre d'octets (entrant / sortant) ayant transité par le firewall pour une association SCTP.

Format numérique.

Exemple : SCTPAssocByte(i/o)=9728/9576.

Disponible depuis : SNS v3.9.0.

Journaux concernés : l_filterstat.

SCTPAssocPacket

Nombre de paquets échangés pour une association SCTP.

Format numérique.

Exemple : SCTPAssocPacket=128

Disponible depuis : SNS v3.9.0.

Journaux concernés : l_filterstat.

security

Indicateur de l'état de sécurité du Firewall.

Cette valeur est utilisée par l'outil de gestion de parc (Stormshield Network Unified Manager) afin d'informer sur l'état sécuritaire (alarme mineures, majeures, ...).

Format décimal représentant un pourcentage.

Exemple : security=70.

Journaux concernés : l_monitor.

sent

Nombre d'octets émis sur la connexion.
Format décimal.
Exemple : sent=14623.
Disponible depuis : SNS v1.0.0.

Journaux concernés : l_connection, l_filter, l_ftp, l_plugin, l_pop3, l_smtp, l_ssl, l_web.

Envoyé
Exemple : "13 Ko"
serverappid

Dernière application serveur détectée sur la connexion.
Chaîne de caractères.
Exemple : serverappid=google.
Disponible depuis : SNS v3.2.0.

Journaux concernés : l_connection, l_plugin.

Application serveur

service

Nom du module ayant exécuté une action.

Chaîne de caractères ASCII.

Exemple : service=« SSOAgent ».

Journaux concernés : l_pvm, l_sandboxing, l_system.

Service

sessionid

Numéro d'identifiant de session permettant de différencier les connexions simultanées.

Exemple : sessionid=18.

Journaux concernés : l_server.

Session

Exemple : « 01.0018 »

severity

 

 

Niveau de sévérité intrinsèque de la vulnérabilité.

Valeurs : « » (Information), « » (Faible), « » (Moyen), « » (Élevé) ou « » (Critique).

Exemple : severity=3.

Journaux concernés : l_pvm.

Sévérité

Valeurs : « Information », « Faible », « Moyen », « Élevé» ou « Critique ».

side

Rôle du Firewall dans la négociation du tunnel.

Valeurs : « initiator » ou « responder ».

Exemple : side=initiator.

Journaux concernés : l_vpn.

Rôle

slotlevel 

Indique le type de règle ayant déclenché la trace.

Valeurs : « » (implicite), « » (globale), ou « » (locale).

Exemple : slotlevel=1.

Disponible depuis : SNS v1.0.0

Journaux concernés : l_alarm, l_connection, l_filter, l_ftp, l_plugin, l_pop3, l_smtp, l_ssl, l_web.

Niveau règles

Valeurs : « Implicite », « Global » ou « Local »

solution

Indique si un correctif est disponible pour corriger la vulnérabilité détectée.

Valeurs : « » (non disponible) ou « » (disponible).

Exemple : solution=1.

Journaux concernés : l_pvm.

Solution

Valeurs : « Oui » ou « Non ».

spamlevel

Résultat du traitement Antispam sur le message.

Valeurs :

« X » : erreur dans le traitement du message.

« ? » : la nature du message n'a pu être déterminée.

« 0 » : message non-spam.

« 1 », « 2 » ou « 3 » : niveau de criticité du spam, 3 étant le plus critique.

Disponible depuis : SNS v1.0.0

Spam

spi_in

Numéro de SPI (Security Parameter Index) de la SA (Security Association) entrante négociée. Chaine de caractères en hexadécimal. Exemple : spi_in=0x01ae58af.

Journaux concernés : l_vpn.

Spi entrant

spi_out

Numéro de SPI de la SA sortante négociée.

Chaine de caractères en hexadécimal.

Exemple : spi_out=0x003d098c.

Journaux concernés : l_vpn.

Spi sortant

src

Adresse IP de la machine source.

Format décimal.

Exemple : src=192.168.0.1.

Peut être affichée de manière anonyme selon les droits d'accès de l'administrateur.

Disponible depuis : SNS v1.0.0.

Journaux concernés : l_alarm, l_auth, l_connection, l_filter, l_ftp, l_plugin, l_pop3, l_pvm, l_sandboxing, l_smtp, l_ssl, l_vpn, l_web, l_xvpn.

Source

srccontinent

Continent auquel appartient l'adresse IP source de la connexion.

Valeur : le code ISO du continent.

Exemple : srccontinent=« eu »

Disponible depuis : SNS v3.0.0.

Journaux concernés : l_alarm, l_connection, l_filter, l_plugin, l_pop3, l_sandboxing, l_smtp, l_ssl, l_web.

Continent source
srccountry

Pays auquel appartient l'adresse IP source de la connexion.

Format : le code ISO du pays.

Exemple : srccountry=« fr ».

Disponible depuis : SNS v3.0.0.

Journaux concernés : l_alarm, l_connection, l_filter, l_plugin, l_pop3, l_sandboxing, l_smtp, l_ssl, l_web.

Pays source
srchostrep

Réputation de la machine source de la connexion. Disponible uniquement si la gestion de réputation a été activée pour la machine concernée.

Format : entier non borné.

Exemple : srchostrep=26123

Disponible depuis : SNS v3.0.0.

Journaux concernés : l_alarm, l_connection, l_filter, l_plugin, l_pop3, l_sandboxing, l_smtp, l_ssl, l_web.

Réputation des machines sources
srcif

Nom interne de l'interface source du flux.
Chaîne de caractères au format UTF-8.
Exemple : "Ethernet0".
Disponible depuis : SNS v1.0.0.

Journaux concernés : l_alarm, l_connection, l_filter, l_plugin.

Interf. source (ID)
srcifname

Nom de l'objet représentant l'interface source du flux.
Chaîne de caractères au format UTF-8.
Exemple : "out"
Disponible depuis : SNS v1.0.0.

Journaux concernés : l_alarm, l_connection, l_filter, l_plugin.

Interf. source
srciprep

Réputation de l'adresse IP source. Disponible uniquement si cette adresse IP est publique et référencée dans la base de réputation des adresses IP.

Valeur : « anonymizer », « botnet », « malware », « phishing », « tor », « scanner » ou « spam ».

Exemple : srciprep=« anonymizer,tor ».

Disponible depuis : SNS v3.0.0.

Journaux concernés : l_alarm, l_connection, l_filter, l_plugin, l_pop3, l_sandboxing, l_smtp, l_ssl, l_web.

Réputation publique de l'IP source

srcmac

Adresse MAC de la machine source

Peut être affichée de manière anonyme selon les droits d'accès de l'administrateur.

Exemple : srcmac=00:25:90:01:ce:e7.

Journaux concernés : l_alarm, l_connection, l_filter, l_ftp, l_plugin, l_sandboxing, l_smtp, l_ssl, l_web.

Adresse MAC Source

srcname

Nom de l'objet correspondant à la machine source. Peut être affiché de manière anonyme selon les droits d'accès de l'administrateur.
Chaîne de caractères au format UTF-8.
Exemple : srcname=client_laptop.
Disponible depuis : SNS v1.0.0.

Journaux concernés : l_alarm, l_connection, l_filter, l_ftp, l_plugin, l_pop3, l_pvm, l_sandboxing, l_smtp, l_ssl, l_vpn, l_web, l_xvpn.

Nom de la source

srcport

Numéro de port source du service.

Exemple : srcport=51166.

Disponible depuis : SNS v1.0.0.

Journaux concernés : l_alarm, l_connection, l_filter, l_ftp, l_plugin, l_pop3, l_sandboxing, l_smtp, l_ssl, l_web.

Port source

srcportname

Nom du port « source », si celui-ci est connu.

Chaîne de caractères au format UTF-8.

Exemple : srcportname=ad2003-dyn_tcp.

Disponible depuis : SNS v1.0.0.

Journaux concernés : l_alarm, l_connection, l_filter, l_ftp, l_plugin, l_pop3, l_sandboxing, l_smtp, l_ssl, l_web.

Nom du port source

sslvpnX

Indicateurs de bande passante utilisée par le trafic VPN SSL. :

  • Nom de l'interface. Chaîne de caractères au format UTF-8,
  • Débit entrant (bits/seconde),
  • Débit entrant maximum sur une période donnée (bits/seconde),
  • Débit sortant (bits/seconde),
  • Débit sortant maximum sur une période donnée (bits/seconde),
  • Nombre de paquets acceptés,
  • Nombre de paquets bloqués.

sslvpn0 représente le trafic VPN SSL basé sur TCP.

sslvpn1 représente le trafic VPN SSL basé sur UDP.

 

Format : 7 valeurs séparées par des virgules.

Exemple : sslvpn1=sslvpn_udp,61515,128648,788241,1890520,2130,21.

Journaux concernés : l_monitor.

system

Indicateur d'état du système du Firewall.

Cette valeur est utilisée par l'outil de gestion de parc (Stormshield Management Center) afin d'informer sur l'état du système (RAM disponible, utilisation CPU, bande passante, interfaces, remplissage des journaux d’audit, ...).

Format décimal représentant un pourcentage.

Exemple : system=0.

Journaux concernés : l_monitor.