إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
بعض الحقول مشتركة لجميع مخططات ASIM. قد يضيف كل مخطط على حدة إرشادات لاستخدام بعض الحقول المشتركة في سياق المخطط المحدد. على سبيل المثال، قد تختلف القيم المسموح بها للحقل EventType لكل مخطط، كما قد تختلف قيمة الحقل EventSchemaVersion.
حقول تحليلات السجل القياسية
يتم إنشاء الحقول التالية بواسطة Log Analytics، في معظم الحالات، لكل سجل. يمكن تجاوزها عند إنشاء موصل مخصص.
| الحقل | نوع | المناقشة |
|---|---|---|
| تم إنشاء الوقت | التاريخ/الوقت | وقت إنشاء الحدث بواسطة جهاز إعداد التقارير. |
| النوع | السلسلة | الجدول الأصلي الذي تم إحضار السجل منه. يكون هذا الحقل مفيدًا عندما يمكن تلقي نفس الحدث عبر قنوات متعددة إلى جداول مختلفة، ويكون لها نفس قيم EventVendor وEventProduct. على سبيل المثال، يمكن جمع حدث Sysmon إما في الجدول Event أو إلى الجدول WindowsEvent. |
إشعار
يضيف Log Analytics أيضًا حقولًا أخرى أقل صلة بحالات استخدام الأمان. لمزيد من المعلومات، راجع الأعمدة القياسية في سجلات المراقبة في Azure.
حقول ASIM المشتركة
تم تحديد الحقول التالية بواسطة ASIM لجميع المخططات:
حقول حدث
| الحقل | الفصل | نوع | الوصف |
|---|---|---|---|
| رسالة الحدث | اختياري | السلسلة | رسالة عامة أو وصف، سواء تم تضمينه في السجل أو تم إنشاؤه منه. |
| عدد الأحداث | إلزامي | رقم صحيح | عدد الأحداث التي وصفها السجل. يتم استخدام هذه القيمة عندما يدعم المصدر التجميع، وقد يمثل سجلًا واحدًا أحداثًا متعددة. للمصادر الأخرى، اضبط على 1. |
| الحدثStartTime | إلزامي | التاريخ/الوقت | الوقت الذي بدأ فيه الحدث. إذا كان المصدر يدعم التجميع وكان السجل يمثل أحداثًا متعددة، فهذا يعني أن الوقت الذي تم فيه إنشاء الحدث الأول. إذا لم يتم توفيره بواسطة السجل المصدر، فإن هذا الحقل يسم الحقل TimeGenerated باسم مستعار. |
| الحدثنهاية الوقت | إلزامي | التاريخ/الوقت | الوقت الذي انتهى فيه الحدث. إذا كان المصدر يدعم التجميع وكان السجل يمثل أحداثًا متعددة، فسيتم إنشاء الوقت الذي تم فيه إنشاء الحدث الأخير. إذا لم يتم توفيره بواسطة السجل المصدر، فإن هذا الحقل يسم الحقل TimeGenerated باسم مستعار. |
| نوع الحدث | إلزامي | تعداد | يصف العملية التي أبلغ بها السجل. يوثّق كل مخطط قائمة القيم الصالحة لهذا الحقل. يتم تخزين القيمة الأصلية الخاصة بالمصدر في الحقل EventOriginalType. |
| نوع فرعي الحدث | اختياري | تعداد | يصف تقسيمًا فرعيًا للعملية تم الإبلاغ عنه في الحقل EventType. يوثّق كل مخطط قائمة القيم الصالحة لهذا الحقل. يتم تخزين القيمة الأصلية الخاصة بالمصدر في الحقل EventOriginalSubType. |
| نتيجة الحدث | إلزامي | تعداد | إحدى القيم التالية: نجاح، جزئي، فشل، غير متوفر (غير سارٍ). قد ترد القيمة في سجل المصدر باستخدام مصطلحات مختلفة، والتي يجب توحيدها بهذه القيم. بدلًا من ذلك، قد يوفر المصدر حقل EventResultDetails فحسب، والذي يجب تحليله لاشتقاق قيمة EventResult. مثال: Success |
| EventResultتفاصيل | مستحسن | تعداد | سبب أو تفاصيل النتيجة التي تم الإبلاغ عنها في الحقل EventResult. يوثّق كل مخطط قائمة القيم الصالحة لهذا الحقل. يتم تخزين القيمة الأصلية الخاصة بالمصدر في الحقل EventOriginalResultDetails. مثال: NXDOMAIN |
| EventUid | مستحسن | السلسلة | المعرف الفريد للسجل، كما تم تعيينه بواسطة Microsoft Sentinel. عادة ما يتم تعيين هذا الحقل إلى _ItemId حقل Log Analytics. |
| EventOriginalUid | اختياري | السلسلة | معرّف فريد للسجل الأصلي، إذا قدمه المصدر. مثال: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| نوع الحدث الأصلي | اختياري | السلسلة | نوع أو معرّف الحدث الأصلي، إذا قدمه المصدر. على سبيل المثال، يتم استخدام هذا الحقل لتخزين معرف حدث Windows الأصلي. تُستخدم هذه القيمة لاشتقاق EventType، والذي ينبغي أن يحتوي على قيمة واحدة فقط موثقة لكل مخطط. مثال: 4624 |
| الحدث النوع الفرعي الأصلي | اختياري | السلسلة | النوع الفرعي الأصلي للحدث أو المعرّف، إذا قدمه المصدر. على سبيل المثال، يتم استخدام هذا الحقل لتخزين نوع تسجيل الدخول الأصلي ل Windows. تُستخدم هذه القيمة لاشتقاق EventSubType، والذي يجب أن يحتوي على قيمة واحدة فقط موثقة لكل مخطط. مثال: 2 |
| الحدثOriginalResultالتفاصيل | اختياري | السلسلة | تفاصيل النتيجة الأصلية التي قدمها المصدر. تُستخدم هذه القيمة لاشتقاق EventResultDetails، والتي يجب أن تحتوي على قيمة واحدة فقط موثقة لكل مخطط. |
| خطورة الحدث | مستحسن | تعداد | شدة الحدث. القيم الصالحة هي: Informational أو Low أو Medium أو High. |
| الحدثالأصلالخطورة | اختياري | السلسلة | الشدة الأصلية على النحو المنصوص عليه من جهاز إعداد التقارير. تُستخدم هذه القيمة لاشتقاق EventSeverity. |
| الحدثالمنتج | إلزامي | السلسلة | المنتج الذي ينشئ الحدث. ينبغي أن تكون القيمة إحدى القيم المدرجة في البائعين والمنتجات. مثال: Sysmon |
| الحدثProductVersion | اختياري | السلسلة | إصدار المنتج الذي قام بإنشاء الحدث. مثال: 12.1 |
| الحدث البائع | إلزامي | السلسلة | بائع المنتج الذي ينشئ الحدث. ينبغي أن تكون القيمة إحدى القيم المدرجة في البائعين والمنتجات. مثال: Microsoft |
| مخطط الحدث | إلزامي | تعداد | المخطط الذي تم تسوية الحدث إليه. يوثق كل مخطط اسم مخططه. |
| EventSchemaVersion | إلزامي | إصدار المخطط (السلسلة النصية) | إصدار المُخطط. يوثق كل مخطط نسخته الحالية. |
| الحدثتقريرUrl | اختياري | رابط URL (السلسلة) | عنوان URL تم توفيره في الحدث لمورد يوفر مزيدًا من المعلومات حول الحدث. |
| مالك الحدث | اختياري | السلسلة | مالك الحدث، وهو عادة القسم أو الشركة الفرعية التي تم إنشاؤها فيه. |
حقول جهاز
يختلف دور حقول الجهاز باختلاف المخططات وأنواع الأحداث. على سبيل المثال:
- بالنسبة لأحداث جلسة عمل الشبكة، عادة ما توفر حقول الجهاز معلومات حول الجهاز الذي أنشأ الحدث
- بالنسبة لأحداث العملية، توفر حقول الجهاز معلومات على الجهاز الذي يتم تنفيذ العملية عليه.
يحدد كل مستند مخطط دور الجهاز للمخطط.
| الحقل | الفصل | نوع | الوصف |
|---|---|---|---|
| دي في سي | الاسم المستعار | السلسلة | معرّف فريد للجهاز الذي وقع عليه الحدث أو الذي أبلغ عن الحدث، اعتمادًا على المخطط. قد يطلق هذا الحقل اسمًا مستعارًا على الحقول DvcFQDN أو DvcId أو DvcHostname أو DvcIpAddr. بالنسبة لمصادر السحابة، التي لا يوجد لها جهاز واضح، استخدم نفس القيمة مثل حقل منتج الحدث. |
| DvcIpAddr | مستحسن | عنوان IP | عنوان IP للجهاز الذي وقع عليه الحدث أو الذي قام بالإبلاغ عن الحدث، اعتمادًا على مخطط قاعدة البيانات. مثال: 45.21.42.12 |
| Dvcاسم المضيف | مستحسن | اسم المضيف | اسم مضيف الجهاز الذي وقع عليه الحدث أو الذي قام بالإبلاغ عن الحدث، بناءً على المخطط. مثال: ContosoDc |
| DvcDomain | مستحسن | المجال (السلسلة) | نطاق الجهاز الذي وقع عليه الحدث أو الذي قام بالإبلاغ عن الحدث، اعتمادًا على المخطط. مثال: Contoso |
| DvcDomainType | شرطي | تعداد | نوع DvcDomain. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DomainType. ملاحظة: هذا الحقل مطلوب إذا تم استخدام الحقل DvcDomain. |
| DvcFQDN | اختياري | FQDN (الوتر) | اسم مضيف الجهاز الذي وقع عليه الحدث أو الذي قام بالإبلاغ عن الحدث، بناءً على المخطط. مثال: Contoso\DESKTOP-1282V4Dملاحظة: يدعم هذا الحقل كلًا من تنسيق FQDN التقليدي وتنسيق Windows domain \ hostname. يعكس الحقل DvcDomainType التنسيق المستخدم. |
| وصف Dvc | اختياري | السلسلة | نص وصفي مرتبط بالجهاز. على سبيل المثال: Primary Domain Controller. |
| معرف دي في سي | اختياري | السلسلة | المعرّف الفريد للجهاز الذي وقع عليه الحدث أو الذي أبلغ عن الحدث، اعتمادًا على المخطط. مثال: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| نوع DvcId | شرطي | تعداد | نوع DvcId. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DvcIdType. - MDEidفي حالة توفر معرفات متعددة، استخدم المعرف الأول من القائمة، وقم بتخزين المعرفات الأخرى باستخدام أسماء الحقول DvcAzureResourceId وDvcMDEid، على التوالي. ملاحظة: هذا الحقل مطلوب إذا تم استخدام الحقل DvcId. |
| دي في سي ماك أدر | اختياري | عنوان MAC | عنوان وحدة تحكم وصول الوسائط للجهاز الذي وقع عليه الحدث أو الذي أبلغ عن الحدث. مثال: 00:1B:44:11:3A:B7 |
| دي في سي زون | اختياري | السلسلة | الشبكة التي وقع عليها الحدث أو التي أبلغت عن الحدث، اعتمادًا على المخطط. يتم تعريف المنطقة بواسطة جهاز التقارير. مثال: Dmz |
| دي في سي | اختياري | السلسلة | نظام تشغيل الجهاز الذي وقع عليه الحدث أو الذي أبلغ عن الحدث. مثال: Windows |
| دي في سي أو إس فريجن | اختياري | السلسلة | إصدار نظام تشغيل الجهاز الذي وقع عليه الحدث أو الذي أبلغ عن الحدث. مثال: 10 |
| دي في سي أكشن | اختياري | السلسلة | للإبلاغ عن أنظمة الأمان، يتخذ النظام الإجراء، إن أمكن. مثال: Blocked |
| دي في سي الأصلي | اختياري | السلسلة | DvcAction الأصلي المقدم من جهاز إعداد التقارير. |
| واجهة DvcInterface | اختياري | السلسلة | واجهة الشبكة المُسجل عليها البيانات. عادة ما يكون هذا الحقل مناسبا للنشاط المرتبط بالشبكة، والذي يتم التقاطه بواسطة جهاز وسيط أو ضغط. |
| معرف DvcScopeId | اختياري | السلسلة | معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. تعيين DvcScopeId إلى معرف اشتراك على Azure وإلى معرف حساب على AWS. |
| دي في سي سكوب | اختياري | السلسلة | نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. مخطط DvcScope إلى معرف اشتراك على Azure ومعرف حساب على AWS. |
حقول أخرى
تحديثات المخطط
-
EventOwnerتمت إضافة الحقل إلى الحقول المشتركة في 1 ديسمبر 2022، وبالتالي إلى كافة المخططات. -
EventUidتمت إضافة الحقل إلى الحقول المشتركة في 26 ديسمبر 2022، وبالتالي إلى كافة المخططات.
الباعة والمنتجات
للحفاظ على الاتساق، يتم تعيين قائمة البائعين والمنتجات المسموح بها كجزء من ASIM، وقد لا تتوافق بشكل مباشر مع القيمة المرسلة من المصدر، عند توفرها.
القائمة المدعومة حاليًا بالموردين والمنتجات المستخدمة في حقلي EventVendor وEventProduct على التوالي هي:
| المورد | المنتجات |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- معرف Microsoft Entra - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for Linux- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
إذا كنت تقوم بتطوير محلل لمورد أو منتج غير مدرج هنا، فاتصل بفريق Microsoft Sentinel لتخصيص محددات البائعين والمنتجات المسموح بهم الجدد.
الخطوات التالية
لمزيد من المعلومات، راجع: