إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يمثل مخطط تسوية أحداث تدقيق Microsoft Sentinel الأحداث المرتبطة بسجل التدقيق لأنظمة المعلومات. يسجل سجل التدقيق أنشطة تكوين النظام وتغييرات النهج. غالبا ما يتم تنفيذ هذه التغييرات من قبل مسؤولي النظام، ولكن يمكن أيضا تنفيذها من قبل المستخدمين عند تكوين إعدادات تطبيقاتهم الخاصة.
يسجل كل نظام أحداث التدقيق جنبا إلى جنب مع سجلات النشاط الأساسية الخاصة به. على سبيل المثال، سيقوم جدار الحماية بتسجيل الأحداث حول جلسات عمل الشبكة هي العمليات، وأحداث التدقيق حول تغييرات التكوين المطبقة على جدار الحماية نفسه.
لمزيد من المعلومات بشأن التسوية في Microsoft Sentinel، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM).
نظرة عامة على المخطط
الحقول الرئيسية لحدث التدقيق هي:
- الكائن، الذي قد يكون، على سبيل المثال، موردا مدارا أو قاعدة نهج، يركز عليها الحدث، ممثلا بالحقل Object. يحدد الحقل ObjectType نوع الكائن.
- سياق التطبيق للكائن، ممثلا بالحقل TargetAppName، والذي تم تسميته بالاسم المستعار بواسطة التطبيق.
- العملية التي تم تنفيذها على الكائن، ممثلة في الحقلين EventType و Operation. بينما العملية هي القيمة التي تم الإبلاغ عنها المصدر، فإن EventType هو إصدار تمت تسويته أكثر اتساقا عبر المصادر.
- القيم القديمة والجديدة للكائن، إن أمكن، ممثلة ب OldValue و NewValue على التوالي.
تشير أحداث التدقيق أيضا إلى الكيانات التالية، والتي تشارك في عملية التكوين:
- الممثل - المستخدم الذي يقوم بعملية التكوين.
- TargetApp - التطبيق أو النظام الذي تنطبق عليه عملية التكوين.
- Target - النظام الذي يتم تشغيل TargetApp* عليه.
- ActingApp - التطبيق المستخدم من قبل الممثل لتنفيذ عملية التكوين.
- Src - النظام المستخدم من قبل الممثل لبدء عملية التكوين، إذا كان مختلفا عن Target.
يتم استخدام الواصف Dvc لجهاز التقارير، وهو النظام المحلي للجلسات التي تم الإبلاغ عنها بواسطة نقطة نهاية، وجهاز الوسيط أو جهاز الأمان في حالات أخرى.
المُحللات
توزيع واستخدام محللات أحداث التدقيق
نشر محللات أحداث تدقيق ASIM من مستودع Microsoft Sentinel GitHub. للاستعلام عبر جميع مصادر أحداث التدقيق، استخدم المحلل imAuditEvent الموحد كاسم الجدول في الاستعلام.
لمزيد من المعلومات حول استخدام محللات ASIM، راجع نظرة عامة على محللات ASIM. للحصول على قائمة محللات أحداث التدقيق يوفر Microsoft Sentinel مرجعا خارج الصندوق إلى قائمة محللات ASIM
أضف المحلل اللغوي المعياري الخاص بك
عند تنفيذ المحلل اللغوي المخصص لنموذج معلومات حدث الملف، قم بتسمية وظائف KQL باستخدام الصيغة التالية: imAuditEvent<vendor><Product>. راجع المقالة إدارة محللات ASIM لمعرفة كيفية إضافة محللات مخصصة إلى محلل توحيد حدث التدقيق.
تصفية معلمات المُحلل
تدعم محللات أحداث التدقيق معلمات التصفية. في حين أن هذه المعلمات اختيارية، فإنها يمكن أن تحسن أداء الاستعلام الخاص بك.
تتوفّر معلمات التصفية التالية:
| Name | كتابة | الوصف |
|---|---|---|
| starttime | datetime | تصفية الأحداث التي تم تشغيلها في هذا الوقت أو بعده فقط. تستخدم هذه المعلمة TimeGenerated الحقل كمحدد الوقت للحدث. |
| endtime | datetime | تصفية استعلامات الأحداث التي انتهت تشغيلها في هذا الوقت أو قبله فقط. تستخدم هذه المعلمة TimeGenerated الحقل كمحدد الوقت للحدث. |
| srcipaddr_has_any_prefix | ديناميكي | تصفية الأحداث فقط من عنوان IP المصدر هذا، كما هو موضح في حقل SrcIpAddr . |
| eventtype_in | سلسلة | تصفية الأحداث التي يكون فيها نوع الحدث فقط، كما هو ممثل في حقل EventType هو أي من المصطلحات المتوفرة. |
| eventresult | سلسلة | تصفية الأحداث التي ينتج فيها الحدث فقط، كما هو ممثل في حقل EventResult يساوي قيمة المعلمة. |
| actorusername_has_any | ديناميكي/سلسلة | تصفية الأحداث التي يتضمن فيها ActorUsername أيا من المصطلحات المقدمة فقط. |
| operation_has_any | ديناميكي/سلسلة | تصفية الأحداث التي يتضمن فيها حقل العملية أيا من المصطلحات المقدمة فقط. |
| object_has_any | ديناميكي/سلسلة | تصفية الأحداث التي يتضمن فيها حقل الكائن أيا من المصطلحات المتوفرة فقط. |
| newvalue_has_any | ديناميكي/سلسلة | تصفية الأحداث التي يتضمن فيها حقل NewValue أي من المصطلحات المقدمة فقط. |
يمكن أن تقبل بعض المعلمات كلا من قائمة القيم من النوع dynamic أو قيمة سلسلة واحدة. لتمرير قائمة حرفية إلى المعلمات التي تتوقع قيمة ديناميكية، استخدم قيمة حرفية ديناميكية بشكل صريح. على سبيل المثال: dynamic(['192.168.','10.'])
على سبيل المثال، لتصفية أحداث التدقيق فقط التي تحتوي على المصطلحات install أو update في حقل التشغيل الخاص بها، من اليوم الأخير، استخدم:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
تفاصيل المُخطط
حقول ASIM المشتركة
هام
توصف الحقول المشتركة لكافة المخططات بالتفصيل في مقالة الحقول المشتركة لـ ASIM.
الحقول المشتركة مع وجود إرشادات محددة
تشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث التدقيق:
| الحقل | الفصل | كتابة | الوصف |
|---|---|---|---|
| نوع الحدث | إلزامي | Enumerated | توضح هذه المقالة العملية التي تم تدقيقها بواسطة الحدث باستخدام قيمة تمت تسويتها. استخدم EventSubType لتوفير مزيد من التفاصيل، والتي لا تنقلها القيمة التي تمت تسويتها، والعملية. لتخزين العملية كما تم الإبلاغ عنها بواسطة جهاز التقارير. بالنسبة لسجلات أحداث التدقيق، القيم المسموح بها هي: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Initialize- Start- Stop- Other تمثل أحداث التدقيق مجموعة كبيرة ومتنوعة من العمليات، وتمكن Other القيمة عمليات التعيين التي ليس لها مثيل EventType. ومع ذلك، فإن استخدام يحد من Other إمكانية استخدام الحدث ويجب تجنبه إذا كان ذلك ممكنا. |
| نوع فرعي الحدث | اختياري | السلسلة | يوفر المزيد من التفاصيل، والتي لا تنقلها القيمة التي تمت تسويتها في EventType . |
| EventSchema | إلزامي | Enumerated | اسم المخطط الموثّق هنا هو AuditEvent. |
| EventSchemaVersion | إلزامي | إصدار المخطط (السلسلة النصية) | إصدار المُخطط. إصدار المخطط الموثّق هنا هو 0.1.2. |
جميع الحقول الشائعة
الحقول التي تظهر في الجدول شائعة لجميع مخططات ASIM. يتجاوز أي من الإرشادات المحددة في هذا المستند الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريًا بشكل عام، لكنه إلزامي لمخطط معين. لمزيد من المعلومات حول كل حقل، راجع مقالة الحقول الشائعة ASIM.
| فصل | الحقول |
|---|---|
| إلزامي |
-
عدد الأحداث - الحدثStartTime - الحدثنهاية الوقت - نوع الحدث - نتيجة الحدث - منتج الحدث - الحدث البائع - مخطط الحدث - EventSchemaVersion - دي في سي |
| مستحسن |
-
EventResultتفاصيل - حدث كلي - EventUid - DvcIpAddr - Dvcاسم المضيف - DvcDomain - DvcDomainType - DvcFQDN - معرف Dvc - نوع DvcId - دي في سي أكشن |
| اختياري |
-
رسالة الحدث - نوع فرعي الحدث - EventOriginalUid - نوع الحدث الأصلي - الحدث النوع الفرعي الأصلي - الحدثOriginalResultالتفاصيل - الحدثالأصلالخطورة - الحدثProductVersion - الحدثتقريرUrl - مالك الحدث - دي في سي زون - دي في سي ماك أدر - دي في سي - دي في سي أو إس فريجن - دي في سي الأصلي - واجهة DvcInterface - حقول إضافية - وصف DvcDescription - معرف DvcScopeId - دي في سي سكوب |
حقول التدقيق
| الحقل | الفصل | كتابة | الوصف |
|---|---|---|---|
| العملية | إلزامي | السلسلة | العملية التي تم تدقيقها كما تم الإبلاغ عنها من قبل جهاز التقارير. |
| الكائن | إلزامي | السلسلة | اسم الكائن الذي يتم تنفيذ العملية التي تم تعريفها بواسطة EventType . |
| ObjectId | اختياري | السلسلة | معرف الكائن الذي يتم تنفيذ العملية المحددة بواسطة EventType عليه. |
| نوع العنصر | شرطي | Enumerated | نوع الكائن. القيم المسموح بها هي: - Cloud Resource- Configuration Atom- Policy Rule- Event Log- Scheduled Task- Service- Directory Service Object- Other |
| نوع الكائن الأصلي | اختياري | السلسلة | نوع الكائن كما يبلغ عنه نظام الإبلاغ |
| القيمة القديمة | اختياري | السلسلة | القيمة القديمة للكائن قبل العملية، إذا كان ذلك ممكنا. |
| قيمة جديدة | مستحسن | السلسلة | القيمة الجديدة للكائن بعد تنفيذ العملية، إن أمكن. |
| القيمة | الاسم المستعار | الاسم المستعار ل NewValue | |
| نوع القيمة | شرطي | Enumerated | نوع القيم القديمة والجديدة. القيم المسموح بها هي -آخر |
حقول المستخدم
| الحقل | الفصل | كتابة | الوصف |
|---|---|---|---|
| معرف المستخدم الممثل | اختياري | السلسلة | تمثيل فريد أبجدي رقمي قابل للقراءة آليًا للمستخدم. لمزيد من المعلومات، وللتعرف على الحقول البديلة للمعرفات الأخرى، راجع كيان المستخدم. مثال: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | اختياري | السلسلة | النطاق، مثل اسم مجال Microsoft Entra، حيث يتم تعريف ActorUserId و ActorUsername. أو مزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScope في مقالة نظرة عامة على المخطط. |
| ActorScopeId | اختياري | السلسلة | معرف النطاق، مثل معرف دليل Microsoft Entra، حيث يتم تعريف ActorUserId و ActorUsername. لمزيد من المعلومات وقائمة بالقيم المسموح بها، راجع UserScopeId في مقالة نظرة عامة على المخطط. |
| ActorUserIdType | شرطي | Enumerated | نوع المعرف المخزن في الحقل ActorUserId. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع UserIdType في مقالة نظرة عامة على المخطط. |
| الممثلUsername | مستحسن | اسم المستخدم (نص) | اسم مستخدم الممثل، بما في ذلك معلومات النطاق عند توفرها. لمزيد من المعلومات، راجع كيان المستخدم. مثال: AlbertE |
| User | الاسم المستعار | الاسم المستعار للممثلUsername | |
| ActorUsernameType | شرطي | UsernameType | يحدد نوع اسم المستخدم المخزن في الحقل ActorUsername. لمزيد من المعلومات، وقائمة القيم المسموح بها، راجع نوع اسم المستخدم في مقالة نظرة عامة على المخطط. مثال: Windows |
| ActorUserType | اختياري | UserType | نوع المستخدم. لمزيد من المعلومات، وقائمة القيم المسموح بها، راجع نوع المستخدم في مقالة نظرة عامة على المخطط. على سبيل المثال: Guest |
| ActorOriginalUserType | اختياري | السلسلة | نوع المستخدم كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. |
| ActorSessionId | اختياري | السلسلة | المعرّف الفريد لجلسة تسجيل دخول المستخدم. مثال: 102pTUgC3p8RIqHvzxLCHnFlg |
حقول التطبيق الهدف
| الحقل | الفصل | كتابة | الوصف |
|---|---|---|---|
| TargetAppId | اختياري | السلسلة | معرف التطبيق الذي ينطبق عليه الحدث، بما في ذلك عملية أو مستعرض أو خدمة. مثال: 89162 |
| اسم TargetAppName | اختياري | السلسلة | اسم التطبيق الذي ينطبق عليه الحدث، بما في ذلك خدمة أو عنوان URL أو تطبيق SaaS. مثال: Exchange 365 |
| التطبيق | الاسم المستعار | الاسم المستعار ل TargetAppName | |
| TargetAppType | شرطي | AppType | نوع طلب الإذن نيابة عن الممثل. لمزيد من المعلومات، وقائمة القيم المسموح بها، راجع AppType في مقالة نظرة عامة على المخطط. |
| TargetOriginalAppType | اختياري | السلسلة | نوع التطبيق الذي ينطبق عليه الحدث كما أبلغ عنه جهاز الإبلاغ. |
| TargetUrl | اختياري | عنوان URL | عنوان URL المرتبط بالتطبيق الهدف. مثال: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
حقول النظام المستهدفة
| الحقل | الفصل | كتابة | الوصف |
|---|---|---|---|
| التوقيت الصيفي | الاسم المستعار | السلسلة | معرّف فريد لهدف المصادقة. قد يستخدم هذا الحقل اسما مستعارا لحقول TargetDvcId أو TargetHostname أو TargetIpAddr أو TargetAppId أو TargetAppName. مثال: 192.168.12.1 |
| اسم المستهدف | مستحسن | اسم المضيف | اسم مضيف الجهاز المستهدف، باستثناء معلومات المجال. مثال: DESKTOP-1282V4D |
| TargetDomain | اختياري | النطاق (السلسلة) | مجال الجهاز المستهدف. مثال: Contoso |
| نوع TargetDomainType | شرطي | Enumerated | نوع TargetDomain. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، ارجع إلى DomainType في مقالة نظرة عامة على المخطط. مطلوب إذا تم استخدام TargetDomain. |
| TargetFQDN | اختياري | FQDN (الوتر) | اسم مضيف الجهاز المستهدف، بما في ذلك معلومات المجال عند توفرها. مثال: Contoso\DESKTOP-1282V4D ملاحظة: يدعم هذا الحقل كلًا من تنسيق FQDN التقليدي وتنسيق Windows domain \ hostname. يعكس TargetDomainType التنسيق المستخدم. |
| وصف الهدف | اختياري | السلسلة | نص وصفي مرتبط بالجهاز. على سبيل المثال: Primary Domain Controller. |
| TargetDvcId | اختياري | السلسلة | معرّف الجهاز المستهدف. في حالة توفر معرفات متعددة، استخدم المعرف الأكثر أهمية، وقم بتخزين المعرفات الأخرى في الحقولTargetDvc<DvcIdType>. مثال: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | اختياري | السلسلة | معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. تعيين TargetDvcScopeId إلى معرف اشتراك على Azure وإلى معرف حساب على AWS. |
| TargetDvcScope | اختياري | السلسلة | نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. تعيين TargetDvcScope إلى معرف اشتراك على Azure وإلى معرف حساب على AWS. |
| TargetDvcIdType | شرطي | Enumerated | نوع TargetDvcId. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، ارجع إلى DvcIdType في مقالة نظرة عامة على المخطط. مطلوب إذا تم استخدام TargetDeviceId. |
| TargetDeviceType | اختياري | Enumerated | نوع الجهاز المستهدف. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DeviceType في مقالة نظرة عامة على المخطط. |
| TargetIpAddr | مستحسن | عنوان IP | عنوان IP للجهاز المستهدف. مثال: 2.2.2.2 |
| TargetDvcOs | اختياري | السلسلة | نظام تشغيل الجهاز المستهدف. مثال: Windows 10 |
| TargetPortNumber | اختياري | رقم صحيح | منفذ الجهاز المستهدف. |
| TargetGeoCountry | اختياري | الدولة | البلد/المنطقة المرتبطة بعنوان IP المستهدف. مثال: USA |
| TargetGeoRegion | اختياري | المنطقة | المنطقة داخل دولة/منطقة مرتبطة بعنوان IP المستهدف. مثال: Vermont |
| TargetGeoCity | اختياري | المدينة | المدينة المرتبطة بعنوان IP المستهدف. مثال: Burlington |
| TargetGeoLatitude | اختياري | Latitude | خط العرض للإحداثيات الجغرافية المرتبطة بعنوان IP المستهدف. مثال: 44.475833 |
| TargetGeoLongitude | اختياري | Longitude | خط طول الإحداثيات الجغرافية المرتبطة بعنوان IP المستهدف. مثال: 73.211944 |
| TargetRiskLevel | اختياري | رقم صحيح | مستوى المخاطر المرتبط بالهدف. يجب تعديل القيمة إلى نطاق من 0 إلى 100، مع 0 لغير ضارة و100 لخطر كبير.مثال: 90 |
| TargetOriginalRiskLevel | اختياري | السلسلة | مستوى المخاطر المرتبط بالهدف، كما تم الإبلاغ عنه من قبل جهاز التقارير. مثال: Suspicious |
تمثيل مجالات التطبيق
| الحقل | الفصل | كتابة | الوصف |
|---|---|---|---|
| ActingAppId | اختياري | السلسلة | تم الإبلاغ عن معرف التطبيق الذي بدأ النشاط، بما في ذلك عملية أو مستعرض أو خدمة. على سبيل المثال: 0x12ae8 |
| ActingAppName | اختياري | السلسلة | تم الإبلاغ عن اسم التطبيق الذي بدأ النشاط، بما في ذلك خدمة أو عنوان URL أو تطبيق SaaS. على سبيل المثال: C:\Windows\System32\svchost.exe |
| ActingAppType | اختياري | AppType | نوع التطبيق قيد الاستخدام. لمزيد من المعلومات، وقائمة القيم المسموح بها، راجع AppType في مقالة نظرة عامة على المخطط. |
| نوع التطبيقي الأصلي الممثل | اختياري | السلسلة | نوع التطبيق الذي بدأ النشاط كما أبلغ عنه الجهاز التقريري. |
| HttpUserAgent | اختياري | السلسلة | عند إجراء المصادقة عبر HTTP أو HTTPS، تكون قيمة هذا الحقل هي عنوان HTTP user_agent الذي يوفره التطبيق قيد الاستخدام عند إجراء المصادقة. على سبيل المثال: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
حقول النظام المصدر
| الحقل | الفصل | كتابة | الوصف |
|---|---|---|---|
| SRC | الاسم المستعار | السلسلة | معرّف فريد للجهاز المصدر. يمكن أن يُعتبر هذا الحقل اسمًا مستعارًا للحقول SrcDvcId أو SrcHostname أو SrcIpAddr. مثال: 192.168.12.1 |
| SrcIpAddr | مستحسن | عنوان IP | عنوان IP الذي نشأ منه الاتصال أو الجلسة. مثال: 77.138.103.108 |
| IpAddr | الاسم المستعار | الاسم المستعار ل SrcIpAddr، أو إلى TargetIpAddr إذا لم يتم توفير SrcIpAddr. | |
| SrcPortNumber | اختياري | رقم صحيح | منفذ IP الذي نشأ منه الاتصال. قد لا تكون ذات صلة بجلسة عمل تتضمن اتصالات متعددة. مثال: 2335 |
| اسم SrcHostname | اختياري | اسم المضيف | اسم مضيف الجهاز المصدر، باستثناء معلومات المجال. إذا لم يتوفر اسم الجهاز، فخزن عنوان IP ذا الصلة في هذا الحقل. مثال: DESKTOP-1282V4D |
| SrcDomain | اختياري | المجال (السلسلة) | مجال الجهاز المصدر. مثال: Contoso |
| SrcDomainType | شرطي | DomainType | نوع SrcDomain. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، ارجع إلى DomainType في مقالة نظرة عامة على المخطط. مطلوب في حال استخدام SrcDomain. |
| SrcFQDN | اختياري | FQDN (الوتر) | اسم مضيف الجهاز المصدر، بما يشمل معلومات المجال عند توفرها. ملاحظة: يدعم هذا الحقل كلًا من تنسيق FQDN التقليدي وتنسيق Windows domain \ hostname. يعكس الحقل SrcDomainType التنسيق المُستخدم. مثال: Contoso\DESKTOP-1282V4D |
| وصف Src | اختياري | السلسلة | نص وصفي مرتبط بالجهاز. على سبيل المثال: Primary Domain Controller. |
| معرف SrcDvcId | اختياري | السلسلة | معرّف الجهاز المصدر. في حالة توفر معرفات متعددة، استخدم المعرف الأكثر أهمية، وقم بتخزين المعرفات الأخرى في الحقولSrcDvc<DvcIdType>.مثال: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | اختياري | السلسلة | معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. مخطط SrcDvcScopeId إلى معرف اشتراك على Azure ومعرف حساب على AWS. |
| SrcDvcScope | اختياري | السلسلة | نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. مخطط SrcDvcScope إلى معرف اشتراك على Azure وإلى معرف حساب على AWS. |
| SrcDvcIdType | شرطي | DvcIdType | نوع SrcDvcId. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، ارجع إلى DvcIdType في مقالة نظرة عامة على المخطط. ملاحظة: هذا الحقل مطلوب في حال استخدام SrcDvcId. |
| SrcDeviceType | اختياري | نوع الجهاز | نوع الجهاز المصدر. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DeviceType في مقالة نظرة عامة على المخطط. |
| SrcGeoCountry | اختياري | الدولة | البلد/المنطقة المقترنة بعنوان IP المصدر. مثال: USA |
| SrcGeoRegion | اختياري | المنطقة | المنطقة داخل بلد/منطقة مقترنة بعنوان IP المصدر. مثال: Vermont |
| SrcGeoCity | اختياري | المدينة | المدينة المقترنة بعنوان IP للمصدر. مثال: Burlington |
| SrcGeoLatitude | اختياري | Latitude | خط عرض الإحداثيات الجغرافية المقترنة بعنوان IP المصدر. مثال: 44.475833 |
| SrcGeoLongitude | اختياري | Longitude | خط طول الإحداثيات الجغرافية المقترنة بعنوان IP المصدر. مثال: 73.211944 |
| SrcRiskLevel | اختياري | رقم صحيح | مستوى المخاطر المقترن بالمصدر. يجب تعديل القيمة إلى نطاق من 0 إلى 100، مع 0 لغير ضارة و100 لخطر كبير.مثال: 90 |
| SrcOriginalRiskLevel | اختياري | السلسلة | مستوى المخاطر المقترن بالمصدر، كما تم الإبلاغ عنه بواسطة جهاز التقارير. مثال: Suspicious |
حقول الفحص
يتم استخدام الحقول التالية لتمثيل هذا الفحص الذي يقوم به نظام أمان.
| الحقل | الفصل | كتابة | الوصف |
|---|---|---|---|
| اسم القاعدة | اختياري | السلسلة | اسم القاعدة أو معرفها المرتبط بنتائج الفحص. |
| رقم القاعدة | اختياري | رقم صحيح | عدد القاعدة المقترنة بنتائج الفحص. |
| حكم | الاسم المستعار | السلسلة | إما قيمة RuleName أو قيمة RuleNumber. إذا تم استخدام قيمة RuleNumber ، يجب تحويل النوع إلى سلسلة. |
| ThreatId | اختياري | السلسلة | معرف التهديد أو البرامج الضارة المحددة في نشاط التدقيق. |
| ThreatName | اختياري | السلسلة | اسم التهديد أو البرامج الضارة المحددة في نشاط التدقيق. |
| ThreatCategory | اختياري | السلسلة | فئة التهديد أو البرامج الضارة المحددة في نشاط ملف التدقيق. |
| ThreatRiskLevel | اختياري | مستوى المخاطر (عدد صحيح) | مستوى المخاطر المرتبط بالتهديد المحدد. يلزم أن يكون المستوى رقمًا بين 0 و100. ملاحظة: قد تتوفر القيمة في سجل المصدر باستخدام أحجام مختلفة، والتي يجب أن تكون مطابقة لهذا الحجم. ينبغي تخزين القيمة الأصلية في ThreatRiskLevelOriginal. |
| التهديد الأصليمستوى المخاطر | اختياري | السلسلة | مستوى المخاطر كما تم الإبلاغ عنه من جهاز إعداد التقارير. |
| ThreatConfidence | اختياري | مستوى الثقة (عدد صحيح) | مستوى ثقة التهديد المحدد، الذي تمت تسويته إلى قيمة بين 0 و100. |
| ThreatOriginalConfidence | اختياري | السلسلة | مستوى الثقة الأصلي للتهديد المحدد، كما تم الإبلاغ عنه من قبل جهاز الإبلاغ. |
| ThreatIsActive | اختياري | Boolean | صحيح إذا كان التهديد المحدد يعتبر تهديدا نشطا. |
| ThreatFirstReportedTime | اختياري | datetime | في المرة الأولى التي تم فيها تحديد عنوان IP أو المجال كتهديد. |
| ThreatLastReportedTime | اختياري | datetime | في المرة الأخيرة التي تم فيها تحديد عنوان IP أو المجال كتهديد. |
| ThreatIpAddr | اختياري | عنوان IP | عنوان IP تم تحديد تهديد له. يحتوي الحقل ThreatField على اسم الحقل ThreatIpAddr الذي يمثله. |
| حقل التهديد | شرطي | Enumerated | الحقل الذي تم تحديد تهديد له. القيمة هي إما SrcIpAddr أو TargetIpAddr. |
تحديثات المخطط
التغييرات في الإصدار 0.1.1 من المخطط هي:
- أضفت الحقل
ObjectIdوOriginalObjectType.
التغييرات في الإصدار 0.1.2 من المخطط هي:
- أضاف الحقل
ActingOriginalAppType،OriginalObjectType،SrcOriginalRiskLevel،SrcRiskLevel، ،TargetGeoCity،TargetGeoCountry،TargetGeoLatitudeTargetGeoLongitudeTargetGeoRegionTargetOriginalAppTypeTargetOriginalRiskLevel،، وTargetRiskLevel
الخطوات التالية
لمزيد من المعلومات، راجع: