إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يستخدم مخطط مصادقة Microsoft Sentinel لوصف الأحداث المتعلقة بمصادقة المستخدم وتسجيل الدخول وتسجيل الخروج. يتم إرسال أحداث المصادقة بواسطة العديد من أجهزة التقارير، وعادة ما تكون جزءًا من تدفق الأحداث جنبًا إلى جنب مع الأحداث الأخرى. على سبيل المثال، يرسل Windows العديد من أحداث المصادقة جنبًا إلى جنب مع أحداث نشاط نظام التشغيل الأخرى.
تتضمن أحداث المصادقة كلاً من الأحداث من الأنظمة التي تركز على المصادقة مثل بوابات VPN أو وحدات التحكم بالمجال، والمصادقة المباشرة إلى نظام نهائي، مثل الكمبيوتر أو جدار الحماية.
لمزيد من المعلومات بشأن التسوية في Microsoft Sentinel، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM).
المُحللات
انشر محللات مصادقة ASIM من مستودع Microsoft Sentinel GitHub. لمزيد من المعلومات حول محللات ASIM، راجع نظرة عامة على محللي ASIM.
توحيد المحللات
لاستخدام المُحللات التي تعمل على توحيد جميع محللات ASIM الجاهزة، والتأكد من أن التحليل الخاص بك يعمل عبر جميع المصادر المكونة، استخدم imAuthentication محلل التصفية أو ASimAuthentication محلل المعلمات الأقل.
المُحللات الخاصة بالمصدر
للحصول على قائمة مُحللات المصادقة التي يوفرها Microsoft Sentinel، راجع قائمة مُحللات ASIM:
أضف المحلل اللغوي المعياري الخاص بك
عند تنفيذ محللات مخصصة لنموذج معلومات المصادقة، قم بتسمية وظائف KQL باستخدام الصيغة التالية:
-
vimAuthentication<vendor><Product>لتصفية المُحللات -
ASimAuthentication<vendor><Product>لمُحللات بدون معلمات
للحصول على معلومات حول إضافة المحلل اللغوي المخصص إلى المُحلل الموحد، راجع إدارة مُحللات ASIM.
تصفية معلمات المُحلل
تدعم مُحللات im وvim*معلمات التصفية. في حين أن هذه المُحللات اختيارية، فإنها يمكن أن تحسن أداء الاستعلام الخاص بك.
تتوفّر معلمات التصفية التالية:
| Name | كتابة | الوصف |
|---|---|---|
| starttime | datetime | قم بتصفية أحداث المصادقة التي تم تشغيلها في هذا الوقت أو بعده فقط. |
| endtime | datetime | قم بتصفية أحداث المصادقة التي انتهى تشغيلها في هذا الوقت أو قبله فقط. |
| targetusername_has | سلسلة | قم بتصفية أحداث المصادقة التي لها أي من أسماء المستخدمين المدرجة. |
على سبيل المثال، لتصفية أحداث المصادقة فقط من اليوم الأخير إلى مستخدم معين، استخدم:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
تلميح
لتمرير قائمة حرفية إلى المعلمات التي تتوقع قيمة ديناميكية، استخدم قيمة حرفية ديناميكية بشكل صريح. على سبيل المثال: dynamic(['192.168.','10.']).
المحتوى الطبيعي
تعد قواعد تحليل المصادقة المعيارية فريدة من نوعها لأنها تكتشف الهجمات عبر المصادر. لذلك، على سبيل المثال، إذا قام مستخدم بتسجيل الدخول إلى أنظمة مختلفة غير مرتبطة، من بلدان/مناطق مختلفة، فسيكتشف Microsoft Sentinel الآن هذا التهديد.
لقائمة كاملة بقواعد التحليلات التي تستخدم أحداث المصادقة العادية، راجع محتوى أمان مخطط المصادقة.
نظرة عامة على المخطط
يتم محاذاة نموذج معلومات المصادقة مع مخطط كيان تسجيل الدخول OSSEM.
الحقول المدرجة في الجدول أدناه خاصة بأحداث المصادقة، ولكنها تشبه الحقول الموجودة في المخططات الأخرى وتتبع اصطلاحات تسمية مماثلة.
تُشير أحداث المصادقة إلى الكيانات التالية:
- TargetUser - معلومات المستخدم المستخدمة في المصادقة على النظام. نظام TargetSystem هو الموضوع الأساسي لحدث المصادقة، ويتم تحديد الاسم المستعار للمستخدم الذي يحمل اسم TargetUser.
- TargetApp - التطبيق مصدق عليه.
- Target - النظام الذي يتم تشغيل TargetApp* عليه.
- Actor - المستخدم الذي يبدأ المصادقة، إذا كان مختلفًا عن TargetUser.
- ActingApp - التطبيق الذي يستخدمه المستخدم لإجراء المصادقة.
- Src - النظام الذي يستخدمه المستخدم لبدء المصادقة.
من الأفضل توضيح العلاقة بين هذه الكيانات على النحو التالي:
يحاول المستخدم، الذي يقوم بتشغيل تطبيق مؤثر، ActingApp، على نظام مصدر، Src، المصادقة باعتباره TargetUser لتطبيق هدف، TargetApp، على نظام مستهدف، TargetDvc.
تفاصيل المُخطط
في الجداول التالية، يُشير النوع إلى نوع منطقي. للمزيد من المعلومات، راجع الأنواع المنطقية.
حقول ASIM المشتركة
هام
توصف الحقول المشتركة لكافة المخططات بالتفصيل في مقالة الحقول المشتركة لـ ASIM.
الحقول المشتركة مع وجود إرشادات محددة
تُشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث المصادقة:
| الحقل | الفصل | كتابة | الوصف |
|---|---|---|---|
| EventType | إلزامي | Enumerated | يصف العملية التي أبلغ بها السجل. بالنسبة لسجلات المصادقة، تتضمن القيم المدعومة ما يلي: - Logon - Logoff- Elevate |
| EventResultتفاصيل | مستحسن | Enumerated | التفاصيل المقترنة بنتيجة الحدث. عادة ما يتم ملء هذا الحقل عندما تكون النتيجة فشلا. تتضمن القيم المسموح بها ما يلي: - No such user or password. يجب استخدام هذه القيمة أيضًا عندما يبلغ الحدث الأصلي عن عدم وجود مثل هذا المستخدم، دون الرجوع إلى كلمة المرور.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. يجب استخدام هذه القيمة عندما يتم الإبلاغ عن الحدث الأصلي، على سبيل المثال: متطلبات MFA، تسجيل الدخول خارج ساعات العمل، قيود الوصول المشروط، أو المحاولات المتكررة جدا.- Session expired- Otherيمكن توفير القيمة في السجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها لهذه القيم. تُخزَّن القيمة الأصلية في الحقل EventOriginalResultDetails |
| EventSubType | اختياري | Enumerated | نوع تسجيل الدخول. تتضمن القيم المسموح بها ما يلي: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote - يستخدم عندما يكون نوع تسجيل الدخول عن بعد غير معروف.- AssumeRole - يستخدم عادة عندما يكون نوع الحدث هو Elevate. يمكن توفير القيمة في السجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها لهذه القيم. يجب تخزين القيمة الأصلية في الحقل EventOriginalSubType. |
| EventSchemaVersion | إلزامي | إصدار المخطط (السلسلة النصية) | إصدار المُخطط. إصدار مخطط قاعدة البيانات الموثق هنا هو 0.1.4 |
| EventSchema | إلزامي | Enumerated | اسم المُخطط الموثق هنا هو المصادقة. |
| حقول Dvc | - | - | بالنسبة لأحداث المُصادقة، تشير حقول الجهاز إلى النظام الذي يبلغ عن الحدث. |
جميع الحقول الشائعة
تُعد الحقول التي تظهر في الجدول أدناه مشتركة في جميع مخططات ASIM. أية مبادئ توجيهية محددة أعلاه تلغي الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريًا بشكل عام، لكنه إلزامي لمخطط معين. لمزيد من التفاصيل حول كل حقل، راجع المقالة الحقول المشتركة لـ ASIM.
| فصل | الحقول |
|---|---|
| إلزامي |
-
عدد الأحداث - الحدثStartTime - الحدثنهاية الوقت - نوع الحدث - نتيجة الحدث - منتج الحدث - الحدث البائع - مخطط الحدث - EventSchemaVersion - دي في سي |
| مستحسن |
-
EventResultتفاصيل - حدث كلي - EventUid - DvcIpAddr - Dvcاسم المضيف - DvcDomain - DvcDomainType - DvcFQDN - معرف Dvc - نوع DvcId - دي في سي أكشن |
| اختياري |
-
رسالة الحدث - نوع فرعي الحدث - EventOriginalUid - نوع الحدث الأصلي - الحدث النوع الفرعي الأصلي - الحدثOriginalResultالتفاصيل - الحدثالأصلالخطورة - الحدثProductVersion - الحدثتقريرUrl - مالك الحدث - دي في سي زون - دي في سي ماك أدر - دي في سي - دي في سي أو إس فريجن - دي في سي الأصلي - واجهة DvcInterface - حقول إضافية - وصف DvcDescription - معرف DvcScopeId - دي في سي سكوب |
الحقول الخاصة بالمصادقة
| الحقل | الفصل | كتابة | الوصف |
|---|---|---|---|
| LogonMethod | اختياري | السلسلة | الطريقة المستخدمة لإجراء المصادقة. الأمثلة: Username & Password، PKI |
| LogonProtocol | اختياري | السلسلة | البروتوكول المُستخدم لإجراء المصادقة. مثال: NTLM |
حقول المستخدم
| الحقل | الفصل | كتابة | الوصف |
|---|---|---|---|
| معرف المستخدم الممثل | اختياري | السلسلة | تمثيل فريد أبجدي رقمي قابل للقراءة آليًا للمستخدم. لمزيد من المعلومات وللحصول على الحقول البديلة للمعرفات الإضافية، راجع كيان المستخدم. مثال: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | اختياري | السلسلة | النطاق، مثل مستأجر Microsoft Entra، حيث يتم تعريف ActorUserId و ActorUsername. أو مزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScope في مقالة نظرة عامة على المخطط. |
| ActorScopeId | اختياري | السلسلة | معرف النطاق، مثل معرف دليل Microsoft Entra، حيث يتم تعريف ActorUserId و ActorUsername. لمزيد من المعلومات وقائمة بالقيم المسموح بها، راجع UserScopeId في مقالة نظرة عامة على المخطط. |
| ActorUserIdType | شرطي | UserIdType | نوع المعرف المخزن في الحقل ActorUserId. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع UserIdType في مقالة نظرة عامة على المخطط. |
| الممثلUsername | اختياري | اسم المستخدم (نص) | اسم مستخدم الممثل، بما في ذلك معلومات النطاق عند توفرها. لمزيد من المعلومات، راجع كيان المستخدم. مثال: AlbertE |
| ActorUsernameType | شرطي | UsernameType | يحدد نوع اسم المستخدم المخزن في الحقل ActorUsername. لمزيد من المعلومات، وقائمة القيم المسموح بها، راجع نوع اسم المستخدم في مقالة نظرة عامة على المخطط. مثال: Windows |
| ActorUserType | اختياري | UserType | نوع المستخدم. لمزيد من المعلومات، وقائمة القيم المسموح بها، راجع نوع المستخدم في مقالة نظرة عامة على المخطط. على سبيل المثال: Guest |
| ActorOriginalUserType | اختياري | السلسلة | نوع المستخدم كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. |
| ActorSessionId | اختياري | السلسلة | المعرّف الفريد لجلسة تسجيل دخول المستخدم. مثال: 102pTUgC3p8RIqHvzxLCHnFlg |
تمثيل مجالات التطبيق
| الحقل | الفصل | كتابة | الوصف |
|---|---|---|---|
| ActingAppId | اختياري | السلسلة | معرّف التطبيق الذي يصرح نيابة عن الممثل، بما في ذلك العملية أو المستعرض أو الخدمة. على سبيل المثال: 0x12ae8 |
| ActingAppName | اختياري | السلسلة | اسم التطبيق الذي يصرح نيابة عن الممثل، بما في ذلك العملية أو المستعرض أو الخدمة. على سبيل المثال: C:\Windows\System32\svchost.exe |
| ActingAppType | اختياري | AppType | نوع التطبيق قيد الاستخدام. لمزيد من المعلومات، وقائمة القيم المسموح بها، راجع AppType في مقالة نظرة عامة على المخطط. |
| نوع التطبيقي الأصلي الممثل | اختياري | السلسلة | نوع التطبيق العامل كما يبلغ عنه جهاز الإبلاغ. |
| HttpUserAgent | اختياري | السلسلة | عند إجراء المصادقة عبر HTTP أو HTTPS، تكون قيمة هذا الحقل هي عنوان HTTP user_agent الذي يوفره التطبيق قيد الاستخدام عند إجراء المصادقة. على سبيل المثال: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
حقول المستخدم المُستهدف
| الحقل | الفصل | كتابة | الوصف |
|---|---|---|---|
| TargetUserId | اختياري | السلسلة | تمثيل فريد أبجدي رقمي يمكن قراءته آلياً للمستخدم المستهدف. لمزيد من المعلومات وللحصول على الحقول البديلة للمعرفات الإضافية، راجع كيان المستخدم. مثال: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | اختياري | السلسلة | النطاق، مثل مستأجر Microsoft Entra، حيث يتم تعريف TargetUserId و TargetUsername . أو مزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScope في مقالة نظرة عامة على المخطط. |
| TargetUserScopeId | اختياري | السلسلة | معرف النطاق، مثل معرف دليل Microsoft Entra، حيث يتم تعريف TargetUserId و TargetUsername . لمزيد من المعلومات وقائمة بالقيم المسموح بها، راجع UserScopeId في مقالة نظرة عامة على المخطط. |
| TargetUserIdType | شرطي | UserIdType | نوع معرِّف المستخدم المخزَّن في الحقل TargetUserId. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع UserIdType في مقالة نظرة عامة على المخطط. مثال: SID |
| اسم المستخدم المستهدف | اختياري | اسم المستخدم (نص) | اسم المستخدم المستهدف، بما في ذلك معلومات المجال عند توفرها. لمزيد من المعلومات، راجع كيان المستخدم. مثال: MarieC |
| TargetUsernameType | شرطي | UsernameType | يحدد نوع اسم المستخدم المُخزَّن في الحقل TargetUsername. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع UsernameType في مقالة نظرة عامة على المخطط. |
| TargetUserType | اختياري | UserType | نوع المستخدم الهدف. لمزيد من المعلومات، وقائمة القيم المسموح بها، راجع نوع المستخدم في مقالة نظرة عامة على المخطط. على سبيل المثال: Member |
| TargetSessionId | اختياري | السلسلة | معرّف جلسة تسجيل الدخول لـ TargetUser على الجهاز المصدر. |
| TargetOriginalUserType | اختياري | السلسلة | نوع المستخدم كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. |
| User | الاسم المستعار | اسم المستخدم (نص) | الاسم المستعار لـ TargetUsername أو TargetUserId إذا لم يتم تعريف TargetUsername. مثال: CONTOSO\dadmin |
حقول النظام المصدر
| الحقل | الفصل | كتابة | الوصف |
|---|---|---|---|
| SRC | مستحسن | السلسلة | معرّف فريد للجهاز المصدر. قد يكون هذا الحقل مستعارًا للحقول SrcDvcId أو SrcHostname أو SrcIpAddr. مثال: 192.168.12.1 |
| معرف SrcDvcId | اختياري | السلسلة | معرّف الجهاز المصدر. في حالة توفر معرفات متعددة، استخدم المعرف الأكثر أهمية، وقم بتخزين المعرفات الأخرى في الحقولSrcDvc<DvcIdType>.مثال: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | اختياري | السلسلة | معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. مخطط SrcDvcScopeId إلى معرف اشتراك على Azure ومعرف حساب على AWS. |
| SrcDvcScope | اختياري | السلسلة | نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. مخطط SrcDvcScope إلى معرف اشتراك على Azure وإلى معرف حساب على AWS. |
| SrcDvcIdType | شرطي | DvcIdType | نوع SrcDvcId. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، راجع DvcIdType في مقالة نظرة عامة على المخطط. ملاحظة: هذا الحقل مطلوب في حال استخدام SrcDvcId. |
| SrcDeviceType | اختياري | نوع الجهاز | نوع الجهاز المصدر. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، راجع DeviceType في Schema Overview article. |
| اسم SrcHostname | اختياري | اسم المضيف | اسم مضيف الجهاز المصدر، باستثناء معلومات المجال. إذا لم يتوفر اسم الجهاز، فخزن عنوان IP ذا الصلة في هذا الحقل. مثال: DESKTOP-1282V4D |
| SrcDomain | اختياري | المجال (السلسلة) | مجال الجهاز المصدر. مثال: Contoso |
| SrcDomainType | شرطي | DomainType | نوع SrcDomain. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، راجع DomainType في Schema Overview article. مطلوب في حال استخدام SrcDomain. |
| SrcFQDN | اختياري | FQDN (الوتر) | اسم مضيف الجهاز المصدر، بما يشمل معلومات المجال عند توفرها. ملاحظة: يدعم هذا الحقل كلًا من تنسيق FQDN التقليدي وتنسيق Windows domain \ hostname. يعكس الحقل SrcDomainType التنسيق المُستخدم. مثال: Contoso\DESKTOP-1282V4D |
| وصف Src | اختياري | السلسلة | نص وصفي مرتبط بالجهاز. على سبيل المثال: Primary Domain Controller. |
| SrcIpAddr | مستحسن | عنوان IP | عنوان IP للجهاز المصدر. مثال: 2.2.2.2 |
| SrcPortNumber | اختياري | رقم صحيح | منفذ IP الذي نشأ منه الاتصال. مثال: 2335 |
| SrcDvcOs | اختياري | السلسلة | نظام تشغيل الجهاز المصدر. مثال: Windows 10 |
| IpAddr | الاسم المستعار | الاسم المستعار لـ SrcIpAddr | |
| SrcIsp | اختياري | السلسلة | مزود خدمة الإنترنت (ISP) الذي يستخدمه الجهاز المصدر للاتصال بالإنترنت. مثال: corpconnect |
| SrcGeoCountry | اختياري | الدولة | مثال: Canada للمزيد من المعلومات، راجع الأنواع المنطقية. |
| SrcGeoCity | اختياري | المدينة | مثال: Montreal للمزيد من المعلومات، راجع الأنواع المنطقية. |
| SrcGeoRegion | اختياري | المنطقة | مثال: Quebec للمزيد من المعلومات، راجع الأنواع المنطقية. |
| SrcGeoLongitude | اختياري | Longitude | مثال: -73.614830 للمزيد من المعلومات، راجع الأنواع المنطقية. |
| SrcGeoLatitude | اختياري | Latitude | مثال: 45.505918 للمزيد من المعلومات، راجع الأنواع المنطقية. |
| SrcRiskLevel | اختياري | رقم صحيح | مستوى المخاطر المقترن بالمصدر. يجب تعديل القيمة إلى نطاق من 0 إلى 100، مع 0 لغير ضارة و100 لخطر كبير.مثال: 90 |
| SrcOriginalRiskLevel | اختياري | السلسلة | مستوى المخاطر المقترن بالمصدر، كما تم الإبلاغ عنه بواسطة جهاز التقارير. مثال: Suspicious |
حقول التطبيق الهدف
| الحقل | الفصل | كتابة | الوصف |
|---|---|---|---|
| TargetAppId | اختياري | السلسلة | معرّف التطبيق المطلوب الترخيص له، وغالبًا ما يتم تعيينه بواسطة جهاز إعداد التقارير. مثال: 89162 |
| اسم TargetAppName | اختياري | السلسلة | اسم التطبيق المطلوب الترخيص له، بما في ذلك خدمة أو عنوان URL أو تطبيق SaaS. مثال: Saleforce |
| التطبيق | الاسم المستعار | الاسم المستعار ل TargetAppName. | |
| TargetAppType | شرطي | AppType | نوع طلب الإذن نيابة عن الممثل. لمزيد من المعلومات، وقائمة القيم المسموح بها، راجع AppType في مقالة نظرة عامة على المخطط. |
| TargetOriginalAppType | اختياري | السلسلة | نوع التطبيق الذي يفوض نيابة عن الممثل كما يبلغ عنه جهاز الإبلاغ. |
| TargetUrl | اختياري | عنوان URL | عنوان URL المرتبط بالتطبيق الهدف. مثال: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | الاسم المستعار | الاسم المستعار إما TargetAppName أو TargetUrl أو TargetHostname، أيهما يصف أفضل حقل لهدف المصادقة. |
حقول النظام المستهدفة
| الحقل | الفصل | كتابة | الوصف |
|---|---|---|---|
| التوقيت الصيفي | الاسم المستعار | السلسلة | معرّف فريد لهدف المصادقة. قد يستخدم هذا الحقل اسما مستعارا لحقول TargetDvcId أو TargetHostname أو TargetIpAddr أو TargetAppId أو TargetAppName. مثال: 192.168.12.1 |
| اسم المستهدف | مستحسن | اسم المضيف | اسم مضيف الجهاز المستهدف، باستثناء معلومات المجال. مثال: DESKTOP-1282V4D |
| TargetDomain | مستحسن | المجال (السلسلة) | مجال الجهاز المستهدف. مثال: Contoso |
| نوع TargetDomainType | شرطي | Enumerated | نوع TargetDomain. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، راجع DomainType في Schema Overview article. مطلوب إذا تم استخدام TargetDomain. |
| TargetFQDN | اختياري | FQDN (الوتر) | اسم مضيف الجهاز المستهدف، بما في ذلك معلومات المجال عند توفرها. مثال: Contoso\DESKTOP-1282V4D ملاحظة: يدعم هذا الحقل كلًا من تنسيق FQDN التقليدي وتنسيق Windows domain \ hostname. يعكس TargetDomainType التنسيق المستخدم. |
| وصف الهدف | اختياري | السلسلة | نص وصفي مرتبط بالجهاز. على سبيل المثال: Primary Domain Controller. |
| TargetDvcId | اختياري | السلسلة | معرّف الجهاز المستهدف. في حالة توفر معرفات متعددة، استخدم المعرف الأكثر أهمية، وقم بتخزين المعرفات الأخرى في الحقولTargetDvc<DvcIdType>. مثال: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | اختياري | السلسلة | معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. تعيين TargetDvcScopeId إلى معرف اشتراك على Azure وإلى معرف حساب على AWS. |
| TargetDvcScope | اختياري | السلسلة | نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. تعيين TargetDvcScope إلى معرف اشتراك على Azure وإلى معرف حساب على AWS. |
| TargetDvcIdType | شرطي | Enumerated | نوع TargetDvcId. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، راجع DvcIdType في مقالة نظرة عامة على المخطط. مطلوب إذا تم استخدام TargetDeviceId. |
| TargetDeviceType | اختياري | Enumerated | نوع الجهاز المستهدف. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، راجع DeviceType في Schema Overview article. |
| TargetIpAddr | اختياري | عنوان IP | عنوان IP للجهاز المستهدف. مثال: 2.2.2.2 |
| TargetDvcOs | اختياري | السلسلة | نظام تشغيل الجهاز المستهدف. مثال: Windows 10 |
| TargetPortNumber | اختياري | رقم صحيح | منفذ الجهاز المستهدف. |
| TargetGeoCountry | اختياري | الدولة | البلد/المنطقة المقترنة بعنوان IP الهدف. مثال: USA |
| TargetGeoRegion | اختياري | المنطقة | المنطقة المقترنة بعنوان IP الهدف. مثال: Vermont |
| TargetGeoCity | اختياري | المدينة | المدينة المرتبطة بعنوان IP الهدف. مثال: Burlington |
| TargetGeoLatitude | اختياري | Latitude | خط عرض الإحداثيات الجغرافية المرتبطة بعنوان IP الهدف. مثال: 44.475833 |
| TargetGeoLongitude | اختياري | Longitude | خط طول الإحداثيات الجغرافية المرتبطة بعنوان IP الهدف. مثال: 73.211944 |
| TargetRiskLevel | اختياري | رقم صحيح | مستوى المخاطر المرتبط بالهدف. يجب تعديل القيمة إلى نطاق من 0 إلى 100، مع 0 لغير ضارة و100 لخطر كبير.مثال: 90 |
| TargetOriginalRiskLevel | اختياري | السلسلة | مستوى المخاطر المرتبط بالهدف، كما تم الإبلاغ عنه من قبل جهاز التقارير. مثال: Suspicious |
حقول الفحص
يتم استخدام الحقول التالية لتمثيل هذا الفحص الذي يقوم به نظام أمان.
| الحقل | الفصل | كتابة | الوصف |
|---|---|---|---|
| اسم القاعدة | اختياري | السلسلة | اسم القاعدة أو معرفها المرتبط بنتائج الفحص. |
| رقم القاعدة | اختياري | رقم صحيح | عدد القاعدة المقترنة بنتائج الفحص. |
| حكم | الاسم المستعار | السلسلة | إما قيمة RuleName أو قيمة RuleNumber. إذا تم استخدام قيمة RuleNumber ، يجب تحويل النوع إلى سلسلة. |
| ThreatId | اختياري | السلسلة | معرف التهديد أو البرامج الضارة المحددة في نشاط التدقيق. |
| ThreatName | اختياري | السلسلة | اسم التهديد أو البرامج الضارة المحددة في نشاط التدقيق. |
| ThreatCategory | اختياري | السلسلة | فئة التهديد أو البرامج الضارة المحددة في نشاط ملف التدقيق. |
| ThreatRiskLevel | اختياري | مستوى المخاطر (عدد صحيح) | مستوى المخاطر المرتبط بالتهديد المحدد. يلزم أن يكون المستوى رقمًا بين 0 و100. ملاحظة: قد تتوفر القيمة في سجل المصدر باستخدام أحجام مختلفة، والتي يجب أن تكون مطابقة لهذا الحجم. ينبغي تخزين القيمة الأصلية في ThreatRiskLevelOriginal. |
| التهديد الأصليمستوى المخاطر | اختياري | السلسلة | مستوى المخاطر كما تم الإبلاغ عنه من جهاز إعداد التقارير. |
| ThreatConfidence | اختياري | مستوى الثقة (عدد صحيح) | مستوى ثقة التهديد المحدد، الذي تمت تسويته إلى قيمة بين 0 و100. |
| ThreatOriginalConfidence | اختياري | السلسلة | مستوى الثقة الأصلي للتهديد المحدد، كما تم الإبلاغ عنه من قبل جهاز الإبلاغ. |
| ThreatIsActive | اختياري | Boolean | صحيح إذا كان التهديد المحدد يعتبر تهديدا نشطا. |
| ThreatFirstReportedTime | اختياري | datetime | في المرة الأولى التي تم فيها تحديد عنوان IP أو المجال كتهديد. |
| ThreatLastReportedTime | اختياري | datetime | في المرة الأخيرة التي تم فيها تحديد عنوان IP أو المجال كتهديد. |
| ThreatIpAddr | اختياري | عنوان IP | عنوان IP تم تحديد تهديد له. يحتوي الحقل ThreatField على اسم الحقل ThreatIpAddr الذي يمثله. |
| حقل التهديد | شرطي | Enumerated | الحقل الذي تم تحديد تهديد له. القيمة هي إما SrcIpAddr أو TargetIpAddr. |
تحديثات المخطط
هذه هي التغييرات في الإصدار 0.1.1 من المخطط:
- تم تحديث حقول كيان المستخدم والجهاز للتوافق مع المخططات الأخرى.
- تمت إعادة تسميته
TargetDvcوSrcDvcإلىTargetوSrcعلى التوالي لتتماشى مع إرشادات ASIM الحالية. سيتم تنفيذ الحقول المعاد تسميتها كأسماء مستعارة حتى 1 يوليو 2022. تتضمن هذه الحقول:SrcDvcHostname، وSrcDvcHostnameType، وSrcDvcType، وSrcDvcIpAddr، وTargetDvcHostname، وTargetDvcHostnameType، وTargetDvcType، وTargetDvcIpAddr، وTargetDvc. - تمت إضافة الأسماء المستعارة
SrcوDst. - تمت إضافة الحقول
SrcDvcIdTypeوSrcDeviceTypeTargetDvcIdTypeو و وTargetDeviceType.EventSchema
هذه هي التغييرات في الإصدار 0.1.2 من المخطط:
- تمت إضافة الحقول
ActorScopeوTargetUserScopeSrcDvcScopeIdوSrcDvcScopeوTargetDvcScopeIdTargetDvcScopeDvcScopeId.DvcScope
هذه هي التغييرات في الإصدار 0.1.3 من المخطط:
- تمت إضافة الحقول
SrcPortNumberوActorOriginalUserTypeوActorScopeIdTargetOriginalUserTypeوTargetUserScopeIdوSrcDescription.SrcRiskLevelSrcOriginalRiskLevelTargetDescription - حقول الفحص المضافة
- تمت إضافة حقول الموقع الجغرافي للنظام الهدف.
هذه هي التغييرات في الإصدار 0.1.4 من المخطط:
- تمت إضافة الحقول
ActingOriginalAppTypeوTargetOriginalAppType. - أضفت الاسم
Applicationالمستعار.
الخطوات التالية
لمزيد من المعلومات، راجع: