إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
إن مخطط نموذج معلومات الأمان المتقدم (ASIM) عبارة عن مجموعة من الحقول التي تمثل نشاطاً. يتأكد استخدام الحقول من مخطط موحد في استعلام من عمل الاستعلام مع كل مصدر موحد على حدة.
لفهم كيفية احتواء المخططات ضمن بنية نموذج معلومات الأمان المتقدم، راجع مخطط بنية نموذج معلومات الأمان المتقدم.
توضح مراجع المخطط الحقول التي تتضمن كل مخطط على حدة. يحدد نموذج ASIM حالياً المخططات الآتية:
| مخطط | الإصدار | الحالة |
|---|---|---|
| حدث التنبيه | 0.1 | التوفر العام |
| حدث التدقيق | 0.1.2 | التوفر العام |
| حدث المصادقة | 0.1.4 | التوفر العام |
| نشاط DNS | 0.1.7 | التوفر العام |
| نشاط DHCP | 0.1.1 | التوفر العام |
| نشاط الملف | 0.2.2 | التوفر العام |
| جلسة عمل الشبكة | 0.2.7 | التوفر العام |
| حدث العملية | 0.1.4 | التوفر العام |
| حدث التسجيل | 0.1.3 | التوفر العام |
| إدارة المستخدم | 0.1.2 | التوفر العام |
| جلسة عمل الويب | 0.2.7 | التوفر العام |
مفاهيم المخطط
تساعد المفاهيم الآتية على فهم المستندات المرجعية للمخطط، وتوسيع المخطط بأسلوب موحد في حال احتواء بياناتك على معلومات لا يغطيها المخطط.
تسمية الحقول
يشتمل أساس كل مخطط على أسماء حقوله. تنتمي أسماء الحقول إلى المجموعات التالية:
- حقول مشتركة بين جميع المخططات.
- حقول خاصة بالمخطط.
- الحقول التي تمثل الكيانات، مثل المستخدمين، التي تشارك في المخطط. تتماثل الحقول الممثلة للكيانات عبر المخططات.
عندما تحتوي المصادر على حقول غير معروضة في المخطط الموثق، تُوحد للاحتفاظ على التناسق. في حال تمثيل الحقول الإضافية لأحد الكيانات، فستُوحد استناداً إلى إرشادات حقل الكيان. خلاف ذلك، تسعى المخططات جاهدة للاحتفاظ بالتناسق عبر جميع المخططات.
فعلى سبيل المثال، بينما لا توفر سجلات نشاط خادم DNS معلومات المستخدم، قد تتضمن سجلات نشاط DNS من إحدى نقاط النهاية معلومات المستخدم التي يمكن تسويتها وفقاً لإرشادات كيان المستخدم. |
أنواع الحقول المنطقية
لكل حقل من حقول المخطط نوع ما. تحتوي مساحة عمل تحليلات السجل على مجموعة محدودة من أنواع البيانات. لهذا السبب، يستخدم Microsoft Azure Sentinel نوعاً منطقياً لحقول المخطط المتعددة التي لا تفرضها تحليلات السجل لكنها تكون مطلوبة من أجل توافق المخطط. تتأكد أنواع الحقول المنطقية من اتساق كل من القيم، وأسماء الحقول عبر المصادر.
للمزيد من المعلومات، راجع الأنواع المنطقية.
فئات الميدان
قد تحتوي الحقول على عدة فئات تحدد متى يجب تنفيذ الحقول بواسطة محلل الحسابات:
- يجب أن تظهر الحقول الإلزامية في كل محلل. في حال عدم توفير المصدر لمعلومات القيمة المُشار إليها، أو تعذر إضافة البيانات بخلاف ذلك، فلن يدعم معظم عناصر المحتوى التي تشير إلى المخطط الموحد.
- يجب أن تكون الحقول الموصى بها مطبعة إذا كانت متاحة. ومع ذلك، قد لا تتوفر في كل مصدر. تلزم مراعاة التوفر في أي عنصر محتوى يشير إلى مخطط موحد.
- يمكن تطبيع الحقول الاختيارية، إذا توفرت، أو تركها في شكلها الأصلي. وعادة، لن يتولى المحلل الأدنى توحديها لأسباب تتعلق بالأداء.
- الحقول الشرطية إلزامية إذا كان الحقل الذي تتبعه مملوءا. عادة ما تستخدم الحقول الشرطية لوصف القيمة في حقل آخر. على سبيل المثال، يصف الحقل المشترك DvcIdType القيمة int للحقل المشترك DvcId وبالتالي يكون إلزاميا إذا تم ملء الأخير.
- الاسم المستقيم هو نوع خاص من الحقل المشروط، وهو إلزامي إذا كان الحقل المنقوش مملوءا.
الحقول الشائعة
بعض الحقول مشتركة لجميع مخططات ASIM. قد يضيف كل مخطط على حدة إرشادات لاستخدام بعض الحقول المشتركة في سياق المخطط المحدد. على سبيل المثال، قد تختلف القيم المسموح بها للحقل EventType لكل مخطط، كما قد تختلف قيمة الحقل EventSchemaVersion.
الكيانات
تتطور أحداث حول الكيانات مثل: المستخدمين، أو المضيفين، أو العمليات، أو الملفات. قد يتطلب كل كيان على حدة عدة حقول لوصفه. فعلى سبيل المثال، قد يمتلك المضيف اسماً وعنوان IP.
وقد يتضمن السجل الواحد كيانات متعددة من النوع نفسه، مثل: كل من المصدر ومضيف الوجهة.
يحدد نموذج ASIM كيفية وصف الكيانات بتناسق، وأن الكيانات تسمح بتوسيع المخططات.
على سبيل المثال، بينما لا يتضمن مخطط جلسة عمل الشبكة معلومات العملية، توفر بعض مصادر الأحداث معلومات العملية التي يمكن إضافتها. للمزيد من المعلومات، راجع الكيانات.
الأسماء المستعارة
تسمح الأسماء المستعارة بأسماء متعددة لقيمة محددة. في بعض الحالات، يتوقع مستخدمون مختلفون أن يكون للحقل أسماء مختلفة. على سبيل المثال، في مصطلحات DNS، قد تتوقع حقلا يسمى DnsQuery، بينما بشكل عام، يحمل اسم مجال. يساعد مجال الاسم المستعار المستخدم عن طريق السماح باستخدام كلا الاسمين.
ملاحظة
تهدف الأسماء المستعارة إلى مساعدة المحلل في الاستعلامات التفاعلية. عند استخدام الاستعلامات في محتوى قابل لإعادة الاستخدام مثل الاكتشافات المخصصة، القواعد التحليلية، أو دفاتر العمل، استخدم الحقل المزين بالتعرج بدلا من الاسم المستعار. استخدام الحقل المبنى يضمن أداء أفضل، وأخطاء أقل، وقراءة استعلام أفضل.
في بعض الحالات، يمكن أن يكون للاسم المستعار قيمة أحد الحقول المتعددة، اعتمادا على القيم المتوفرة في الحدث. على سبيل المثال، الاسم المستعار Dvc ، الأسماء المستعارة إما حقول DvcFQDN أو DvcId أو DvcHostname أو DvcIpAddr أو منتج الحدث. عندما يمكن أن يحتوي الاسم المستعار على عدة قيم، يجب أن يكون نوعه سلسلة لاستيعاب كافة القيم المستعارة المحتملة. ونتيجة لذلك، عند تعيين قيمة لمثل هذا الاسم المستعار، تأكد من تحويل النوع إلى سلسلة باستخدام سلسلة الدالة KQL.
لا تتضمن الجداول الأصلية التي تمت تسويتها أسماء مستعارة، لأن تلك قد تعني تخزين البيانات المكررة. بدلا من ذلك، يضيف محللات كعب الروتين الأسماء المستعارة. لتنفيذ الأسماء المستعارة في المحللات، قم بإنشاء نسخة من القيمة الأصلية extend باستخدام عامل التشغيل . |
الأنواع المنطقية
لكل حقل من حقول المخطط نوع ما. تحتوي بعض الحقول على أنواع تحليلات السجل المضمنة، مثل string،أو int، أوdatetime، أو dynamic. تحتوي الحقول الأخرى على نوع منطقي يمثل كيفية توحيد قيم الحقول.
| نوع البيانات | النوع الفعلي | التنسيق والقيمة |
|---|---|---|
| منطقيه | مجموعة | استخدم نوع بيانات نص الاستعلام KQL bool المضمن بدلاً من التمثيل الرقمي أو التسلسلي للقيم المنطقية. |
| بقائمة تعداد | السلسلة | قائمة بالقيم المحددة بوضوح للحقل. يسرد تعريف المخطط القيم المقبولة. |
| التاريخ/الوقت | اعتمادا على إمكانية أسلوب الاستيعاب، استخدم أي من التمثيلات المادية التالية في أولوية تنازلية: - نوع التاريخ والوقت المضمن في Log Analytics - حقل عدد صحيح باستخدام التمثيل الرقمي لتاريخ تحليلات السجل ووقتها. - حقل سلسلة يستخدم التمثيل الرقمي للتاريخ والوقت لتحليلات السجل - حقل سلسلة يخزن تنسيق التاريخ/الوقت المعتمد لتحليلات السجل. |
يتماثل تمثيل التاريخ والوقت في تحليلات السجل لكنه يختلف عن تمثيل وقت نظام تشغيل Unix. للمزيد من المعلومات، راجع إرشادات التحويل. ملاحظة: عند الاقتضاء، يجب أن يمثل الوقت المنطقة الزمنية المعدلة. |
| عنوان MAC | السلسلة | رمز سداسي عشري من نقطتين. |
| عنوان IP | السلسلة | لا تحتوي مخططات Microsoft Azure Sentinel على عناوين IPv4 وIPv6 منفصلة. قد يتضمن أي حقل عنوان IP عنوان IPv4 أو عنوان IPv6، كما يلي: - IPv4 في رمز عشري من نقطة. - IPv6 في رمز سداسي عشري من 8 نقاط، ما يسمح بالنموذج القصير. على سبيل المثال: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- IPv6: 1080::8:800:200C:417A |
| FQDN | السلسلة | اسم مجال مؤهل بالكامل باستخدام رمز نقطة، على سبيل المثال، learn.microsoft.com. للمزيد من المعلومات، راجع كيان الجهاز. |
| اسم المضيف | السلسلة | يتضمن اسم المضيف الذي ليس FQDN ما يصل إلى 63 حرفاً بما في ذلك الأحرف، والأرقام، والواصلات. للمزيد من المعلومات، راجع كيان الجهاز. |
| المجال | السلسلة | جزء النطاق في شبكة FQDN، بدون اسم المضيف، على سبيل المثال، learn.microsoft.com. للمزيد من المعلومات، راجع كيان الجهاز. |
| DomainType | Enumerated | نوع المجال المخزن في المجال وحقول FQDN. للاطلاع على قائمة بالقيم والمزيد من المعلومات، راجع كيان الجهاز. |
| DvcIdType | Enumerated | نوع معرف الجهاز المخزن في حقول DvcId. للاطلاع على قائمة بالقيم المسموحة والمزيد من المعلومات، راجع DvcIdType. |
| نوع الجهاز | Enumerated | نوع الجهاز المُخزن في حقول نوع الجهاز. تشمل القيم المتاحة ما يلي: - Computer- Mobile Device- IOT Device- Other. للمزيد من المعلومات، راجع كيان الجهاز. |
| اسم المستخدم | السلسلة | اسم مستخدم صالح في أحد الأنواع المدعومة. لمزيد من المعلومات، راجع كيان المستخدم. |
| اسم المستخدمنوع | Enumerated | نوع اسم المستخدم المخزن في حقول اسم المستخدم. للمزيد من المعلومات وقائمة القيم المدعومة، راجع كيان المستخدم. |
| نوع UserIdType | Enumerated | نوع المعرف المُخزن في حقول معرف المستخدم. القيم المدعومة هي SIDو UISAADIDوOktaIdAWSId.PUID لمزيد من المعلومات، راجع كيان المستخدم. |
| نوع المستخدم | Enumerated | نوع المستخدم. للمزيد من المعلومات وقائمة القيم المسموحة، راجع كيان المستخدم. |
| نوع التطبيق | Enumerated | نوع أحد التطبيقات. تتضمن القيم المدعومة ما يلي: ProcessService، وResource، وURL، وSaaS application، وCSP، وOther. |
| البلد | السلسلة | سلسلة تستخدم ISO 3166-1، وفقا للأولوية التالية: - الرموز المؤلفة من حرفين أوليين، مثل US للولايات المتحدة. - الرموز المؤلفة من ثلاثة أحرف أولية، مثل USA للولايات المتحدة. - اسم قصير. يمكن الاطلاع على قائمة الرموز على موقع المنظمة العالمية للمواصفات (ISO). |
| المنطقة | السلسلة | اسم تقسيم البلد/المنطقة، باستخدام ISO 3166-2. يمكن الاطلاع على قائمة الرموز على موقع المنظمة العالمية للمواصفات (ISO). |
| المدينة | السلسلة | |
| Longitude | مزدوج | تمثيل إحداثيات ISO 6709 (رقم عشري مؤشر). |
| Latitude | مزدوج | تمثيل إحداثيات ISO 6709 (رقم عشري مؤشر). |
| MD5 | السلسلة | 32 حرفاً سداسياً. |
| SHA1 | السلسلة | 40 حرفاً سداسياً. |
| SHA256 | السلسلة | 64 حرفاً سداسياً. |
| SHA512 | السلسلة | 128 حرفاً سداسياً. |
| ConfidenceLevel | رقم صحيح | مستوى الثقة أصبح طبيعيا إلى النطاق من 0 إلى 100. |
| RiskLevel | رقم صحيح | مستوى الخطر تم تطبيعه إلى نطاق 0 إلى 100. |
| إصدار المخطط | السلسلة | نسخة مخطط ASIM في الصيغة <major>.<minor>.<sub-minor> |
| DnsQueryClassName | السلسلة | اسم فئة DNS. |
| اسم المستخدم | السلسلة | اسم مستخدم بسيط أو مؤهل للنطاق |
الكيانات
تتطور أحداث حول الكيانات مثل: المستخدمين، أو المضيفين، أو العمليات، أو الملفات. يسمح تمثيل الكيان للعديد من الكيانات ذات النوع نفسه بأن تكون جزءاً من سجل واحد، وأن تدعم سمات متعددة لنفس الكيانات.
ولتمكين وظيفة الكيان، يحتوي تمثيل الكيان على الإرشادات الآتية:
| الإرشادات | الوصف |
|---|---|
| البادئات والتعرج | نظرا لأن الحدث الواحد غالبا ما يشمل أكثر من كيان واحد من نفس النوع، مثل مضيفي المصدر والوجهة، تستخدم البادئات لتحديد الكيان الذي يرتبط به الحقل. للحفاظ على التطبيع، يستخدم ASIM مجموعة صغيرة من البادئات المعيارية، ويختار الأنسب للدور المحدد للكيانات. إذا كان كيان واحد من نوع معين ذا صلة بحدث معين، فلا حاجة لاستخدام بادئة (بادئة). أيضا، مجموعة من الحقول بدون بادئة تحدد الكيان الأكثر استخداما لكل نوع. |
| المعرفات، والأنواع | يسمح المخطط الموحد بعدة معرفات لكل كيان والتي نتوقع تأقلمها مع الأحداث. في حال احتواء حدث المصدر على معرفات كيان آخر لا يمكن تعيينها إلى المخطط الموحد، فاحتفظ بها في نموذج المصدر أو استخدم الحقل الديناميكي للحقول الإضافية. للاحتفاظ بمعلومات النوع للمعرفات، خزِّن النوع، عند الاقتضاء، في حقل يحمل الاسم نفسه ولاحقة النوع. على سبيل المثال، UserIdType. |
| السمات | غالباً، تمتلك الكيانات سمات أخرى لا تخدم بمثابة معرف ويمكن أيضا أن تكون مؤهلة باستخدام أداة وصف. على سبيل المثال، في حال امتلاك مستخدم المصدر معلومات المجال، يمثل الحقل الموحد مجال مستخدم المصدر. |
لمزيد من المعلومات حول أنواع الكيانات المحددة، يرجى الرجوع إلى:
عينة تعيين الكيان
يستخدم هذا القسم حدث Windows 4624 بمثابة مثال لوصف كيفية توحيد بيانات الحدث لـ Microsoft Azure Sentinel.
يحتوي هذا الحدث على الكيانات الأتية:
| مصطلحات Microsoft | بادئة حقل الحدث الأصلي | بادئة حقل ASIM | الوصف |
|---|---|---|---|
| الموضوع | Subject |
Actor |
المستخدم الذي أبلغ عن معلومات تسجيل دخول ناجح. |
| تسجيل دخول جديد | Target |
TargetUser |
المستخدم الذي أُجري له تسجيل الدخول. |
| العملية | - | ActingProcess |
العملية التي حاولت تسجيل الدخول. |
| معلومات الشبكة | - | Src |
الجهاز الذي نُفذت منه محاولة تسجيل الدخول. |
استناداً إلى هذه الكيانات، تم توحيد حدث Windows 4624 كما يلي (بعض الحقول اختيارية):
| الحقل الموحد | الحقل الأصلي | القيمة الواردة في المثال | ملاحظات |
|---|---|---|---|
| ActorUserId | SubjectUserSid | S-1-5-18 | |
| ActorUserIdType | - | SID | |
| ActorUserName | SubjectDomainName/ SubjectUserName | WORKGROUP\WIN-GG82ULGC9GO$ | أنشأه تسلسل الحقلين |
| ActorUserNameType | - | Windows | |
| ActorSessionId | SubjectLogonId | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| UserId | TargetUserSid | الاسم المستعار | |
| TargetUserIdType | - | SID | |
| TargetUserName | TargetDomainName\ TargetUserName | Administrator\WIN-GG82ULGC9GO$ | أنشأه تسلسل الحقلين |
| اسم المستخدم | TargetDomainName\ TargetUserName | الاسم المستعار | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | TargetLogonId | 0x8dcdc | |
| ActingProcessName | ProcessName | C:\Windows\System32\svchost.exe | |
| ActingProcessId | ProcessId | 0x44c | |
| SrcHostname | اسم محطة العمل | Windows | |
| SrcIpAddr | IpAddress | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | الكمبيوتر | WIN-GG82ULGC9GO | |
| اسم المضيف | الكمبيوتر | الاسم المستعار |
الخطوات التالية
توفر هذه المقالة نظرة عامة على التسوية في كل من Microsoft Azure Sentinel ونموذج ASIM.
لمزيد من المعلومات، راجع: