S

Classification du fichier selon l'option sandboxing.

Valeur : « clean », « suspicious », « malicious », « unknown », «forward », « failed ».

L'état « clean », « suspicious » ou « malicious » est retourné par sandboxing lorsque le fichier a déjà fait l'objet d'une analyse et d'une classification. L'état « unknown » est retourné lorsque le fichier concerné est inconnu de sandboxing. Dans ce cas, le fichier complet est transmis par le firewall pour analyse.

Exemple : sandboxing=forward.

Journaux concernés : l_ftp, l_sandboxing, l_pop3, l_smtp, l_web.

Indique sur une échelle de 0 à 100 le niveau d'infection du fichier.

Valeur : de «0» (clean) à «100» (malicious).

Exemple : sandboxinglevel=20.

Journaux concernés : l_ftp, l_sandboxing, l_pop3, l_smtp.

Nombre d'évaluations de règles n'ayant pas eu recours à la technologie de prévention d'intrusion.

Exemple : SavedEvaluation=2.

Journaux concernés : l_filterstat.

Nombre d'associations SCTP.

Format numérique.

Exemple : SCTPAssoc=2.

Disponible depuis : SNS v3.9.0.

Journaux concernés : l_filterstat.

Nombre d'octets (entrant / sortant) ayant transité par le firewall pour une association SCTP.

Format numérique.

Exemple : SCTPAssocByte(i/o)=9728/9576.

Disponible depuis : SNS v3.9.0.

Journaux concernés : l_filterstat.

Nombre de paquets échangés pour une association SCTP.

Format numérique.

Exemple : SCTPAssocPacket=128

Disponible depuis : SNS v3.9.0.

Journaux concernés : l_filterstat.

Indicateur de l'état de sécurité du Firewall.

Cette valeur est utilisée par l'outil de gestion de parc (Stormshield Network Unified Manager) afin d'informer sur l'état sécuritaire (alarme mineures, majeures, ...).

Format décimal représentant un pourcentage.

Exemple : security=70.

Journaux concernés : l_monitor.

Nombre d'octets émis sur la connexion.
Format décimal.
Exemple : sent=14623.
Disponible depuis : SNS v1.0.0.

Journaux concernés : l_connection, l_filter, l_ftp, l_plugin, l_pop3, l_smtp, l_ssl, l_web.

Dernière application serveur détectée sur la connexion.
Chaîne de caractères.
Exemple : serverappid=google.
Disponible depuis : SNS v3.2.0.

Journaux concernés : l_connection, l_plugin.

Nom du module ayant exécuté une action.

Chaîne de caractères ASCII.

Exemple : service=« SSOAgent ».

Journaux concernés : l_pvm, l_sandboxing, l_system, l_routing.

Service

Numéro d'identifiant de session permettant de différencier les connexions simultanées.

Exemple : sessionid=18.

Journaux concernés : l_server.

Session

Exemple : « 01.0018 »

Niveau de sévérité intrinsèque de la vulnérabilité.

Valeurs : « 0 » (Information), « 1 » (Faible), « 2 » (Moyen), « 3 » (Élevé) ou « 4 » (Critique).

Exemple : severity=3.

Journaux concernés : l_pvm.

Sévérité

Valeurs : « Information », « Faible », « Moyen », « Élevé» ou « Critique ».

Rôle du Firewall dans la négociation du tunnel.

Valeurs : « initiator » ou « responder ».

Exemple : side=initiator.

Journaux concernés : l_vpn.

Rôle

Indique le type de règle ayant déclenché la trace.

Valeurs : « 0 » (implicite), « 1 » (globale), ou « 2 » (locale).

Exemple : slotlevel=1.

Disponible depuis : SNS v1.0.0

Journaux concernés : l_alarm, l_connection, l_filter, l_ftp, l_plugin, l_pop3, l_smtp, l_ssl, l_web.

Niveau règles

Valeurs : « Implicite », « Global » ou « Local »

Indique si un correctif est disponible pour corriger la vulnérabilité détectée.

Valeurs : « 0 » (non disponible) ou « 1 » (disponible).

Exemple : solution=1.

Journaux concernés : l_pvm.

Solution

Valeurs : « Oui » ou « Non ».

Résultat du traitement Antispam sur le message.

Valeurs :

« X » : erreur dans le traitement du message.

« ? » : la nature du message n'a pu être déterminée.

« 0 » : message non-spam.

« 1 », « 2 » ou « 3 » : niveau de criticité du spam, 3 étant le plus critique.

Disponible depuis : SNS v1.0.0

Spam

Numéro de SPI (Security Parameter Index) de la SA (Security Association) entrante négociée. Chaine de caractères en hexadécimal. Exemple : spi_in=0x01ae58af.

Journaux concernés : l_vpn.

Spi entrant

Numéro de SPI de la SA sortante négociée.

Chaine de caractères en hexadécimal.

Exemple : spi_out=0x003d098c.

Journaux concernés : l_vpn.

Spi sortant

Adresse IP de la machine source.

Format décimal.

Exemple : src=192.168.0.1.

Peut être affichée de manière anonyme selon les droits d'accès de l'administrateur.

Disponible depuis : SNS v1.0.0.

Journaux concernés : l_alarm, l_auth, l_connection, l_filter, l_ftp, l_plugin, l_pop3, l_pvm, l_sandboxing, l_smtp, l_ssl, l_vpn, l_web, l_xvpn, l_dmrouting.

Source

Continent auquel appartient l'adresse IP source de la connexion.

Valeur : le code ISO du continent.

Exemple : srccontinent=« eu »

Disponible depuis : SNS v3.0.0.

Journaux concernés : l_alarm, l_connection, l_filter, l_plugin, l_pop3, l_sandboxing, l_smtp, l_ssl, l_web.

Pays auquel appartient l'adresse IP source de la connexion.

Format : le code ISO du pays.

Exemple : srccountry=« fr ».

Disponible depuis : SNS v3.0.0.

Journaux concernés : l_alarm, l_connection, l_filter, l_plugin, l_pop3, l_sandboxing, l_smtp, l_ssl, l_web.

Réputation de la machine source de la connexion. Disponible uniquement si la gestion de réputation a été activée pour la machine concernée.

Format : entier non borné.

Exemple : srchostrep=26123

Disponible depuis : SNS v3.0.0.

Journaux concernés : l_alarm, l_connection, l_filter, l_plugin, l_pop3, l_sandboxing, l_smtp, l_ssl, l_web.

Nom interne de l'interface source du flux.
Chaîne de caractères au format UTF-8.
Exemple : "Ethernet0".
Disponible depuis : SNS v1.0.0.

Journaux concernés : l_alarm, l_connection, l_filter, l_plugin, l_dmrouting.

Nom de l'objet représentant l'interface source du flux.
Chaîne de caractères au format UTF-8.
Exemple : "out"
Disponible depuis : SNS v1.0.0.

Journaux concernés : l_alarm, l_connection, l_filter, l_plugin, l_dmrouting.

Réputation de l'adresse IP source. Disponible uniquement si cette adresse IP est publique et référencée dans la base de réputation des adresses IP.

Valeur : « anonymizer », « botnet », « malware », « phishing », « tor », « scanner » ou « spam ».

Exemple : srciprep=« anonymizer,tor ».

Disponible depuis : SNS v3.0.0.

Journaux concernés : l_alarm, l_connection, l_filter, l_plugin, l_pop3, l_sandboxing, l_smtp, l_ssl, l_web.

Adresse MAC de la machine source

Peut être affichée de manière anonyme selon les droits d'accès de l'administrateur.

Exemple : srcmac=00:25:90:01:ce:e7.

Journaux concernés : l_alarm, l_connection, l_filter, l_ftp, l_plugin, l_sandboxing, l_smtp, l_ssl, l_web.

Adresse MAC Source

Nom de l'objet correspondant à la machine source. Peut être affiché de manière anonyme selon les droits d'accès de l'administrateur.
Chaîne de caractères au format UTF-8.
Exemple : srcname=client_laptop.
Disponible depuis : SNS v1.0.0.

Journaux concernés : l_alarm, l_connection, l_filter, l_ftp, l_plugin, l_pop3, l_pvm, l_sandboxing, l_smtp, l_ssl, l_vpn, l_web, l_xvpn, l_dmrouting.

Numéro de port source du service.

Exemple : srcport=51166.

Disponible depuis : SNS v1.0.0.

Journaux concernés : l_alarm, l_connection, l_filter, l_ftp, l_plugin, l_pop3, l_sandboxing, l_smtp, l_ssl, l_web.

Port source

Nom du port « source », si celui-ci est connu.

Chaîne de caractères au format UTF-8.

Exemple : srcportname=ad2003-dyn_tcp.

Disponible depuis : SNS v1.0.0.

Journaux concernés : l_alarm, l_connection, l_filter, l_ftp, l_plugin, l_pop3, l_sandboxing, l_smtp, l_ssl, l_web.

Nom du port source

Indicateurs de bande passante utilisée par le trafic VPN SSL. :

• Nom de l'interface. Chaîne de caractères au format UTF-8,
• Débit entrant (bits/seconde),
• Débit entrant maximum sur une période donnée (bits/seconde),
• Débit sortant (bits/seconde),
• Débit sortant maximum sur une période donnée (bits/seconde),
• Nombre de paquets acceptés,
• Nombre de paquets bloqués.

sslvpn0 représente le trafic VPN SSL basé sur TCP.

sslvpn1 représente le trafic VPN SSL basé sur UDP.

Format : 7 valeurs séparées par des virgules.

Exemple : sslvpn1=sslvpn_udp,61515,128648,788241,1890520,2130,21.

Journaux concernés : l_monitor.

Indicateur d'état du système du Firewall.

Cette valeur est utilisée par l'outil de gestion de parc (Stormshield Management Center) afin d'informer sur l'état du système (RAM disponible, utilisation CPU, bande passante, interfaces, remplissage des journaux d’audit, ...).

Format décimal représentant un pourcentage.

Exemple : system=0.

Journaux concernés : l_monitor.