إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يُستخدم مخطط تسوية حدث الملف لوصف نشاط الملف مثل إنشاء الملفات أو المستندات أو تعديلها أو حذفها. يتم الإبلاغ عن مثل هذه الأحداث بواسطة أنظمة التشغيل وأنظمة تخزين الملفات مثل Azure Files وأنظمة إدارة المستندات مثل Microsoft SharePoint.
لمزيد من المعلومات بشأن التسوية في Microsoft Sentinel، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM).
المُحللات
توزيع واستخدام محللات أنشطة الملفات
نشر محللات نشاط ملف ASIM من مستودع Microsoft Sentinel GitHub. للاستعلام عبر كافة مصادر نشاط الملف، استخدم محلل imFileEvent التوحيد كاسم الجدول في الاستعلام.
لمزيد من المعلومات حول استخدام محللات ASIM، راجع نظرة عامة على محللات ASIM. للحصول على قائمة محللات نشاط الملف التي يوفرها Microsoft Sentinel خارج الصندوق، ارجع إلى قائمة محللي ASIM
أضف المحلل اللغوي المعياري الخاص بك
عند تنفيذ المحلل اللغوي المخصص لنموذج معلومات حدث الملف، قم بتسمية وظائف KQL باستخدام الصيغة التالية: imFileEvent<vendor><Product.
راجع المقالة إدارة محللات ASIM لمعرفة كيفية إضافة محللات مخصصة إلى محلل توحيد نشاط الملف.
المحتوى الطبيعي
للحصول على قائمة كاملة بقواعد التحليلات التي تستخدم أحداث نشاط الملفات التي تمت تسويتها، راجع محتوى أمان نشاط الملفات.
نظرة عامة على المخطط
تتم محاذاة نموذج معلومات حدث الملف مع مخطط كيان عملية OSSEM.
يشير مخطط حدث الملف إلى الكيانات التالية، والتي تعتبر مركزية لأنشطة الملفات:
- الممثل. المستخدم الذي بدأ نشاط الملف
- ActingProcess. العملية التي يستخدمها الممثل لبدء نشاط الملف
- TargetFile. الملف الذي أجريت عليه العملية
- ملف المصدر (SrcFile). يخزن معلومات الملف قبل العملية.
من الأفضل توضيح العلاقة بين هذه الكيانات على النحو التالي: الفاعل ينفذ عملية ملف باستخدام عملية التمثيل، والتي تعدل الملف المصدر إلى الهدف ملف.
على سبيل المثال: يستخدم JohnDoe (الممثل) Windows File Explorer (عملية التمثيل) لإعادة تسمية new.doc (ملف المصدر) إلى old.doc ( ملف الهدف).
تفاصيل المُخطط
الحقول الشائعة
هام
توصف الحقول المشتركة لكافة المخططات بالتفصيل في مقالة الحقول المشتركة لـ ASIM.
حقول ذات إرشادات محددة لمخطط حدث الملف
تشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث نشاط الملف:
| ميدان | فصل | النوع | الوصف |
|---|---|---|---|
| نوع الحدث | إلزامي | Enumerated | يصف العملية التي أبلغ بها السجل. تتضمن القيم المدعومة ما يلي: - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| EventSubType | اختياري | Enumerated | توضح هذه المقالة تفاصيل حول العملية التي تم الإبلاغ عنها في EventType. تتضمن القيم المدعومة لكل نوع حدث ما يلي: - FileCreated
-
Upload, Checkin- FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed
-
Download، ، Preview، CheckoutExtended- FileDeleted
-
Recycled، ، VersionsSite |
| EventSchema | إلزامي | Enumerated | اسم المخطط الموثق هنا هو FileEvent. |
| EventSchemaVersion | إلزامي | إصدار المخطط (السلسلة النصية) | إصدار المُخطط. إصدار مخطط قاعدة البيانات الموثق هنا هو 0.2.2 |
| حقول Dvc | - | - | بالنسبة لأحداث نشاط الملف، تشير مجالات الجهاز إلى النظام الذي حدث فيه نشاط الملف. |
هام
يعد الحقل EventSchema اختيارياً حالياً ولكنه سيصبح إلزامياً في الأول من سبتمبر 2022.
جميع الحقول الشائعة
الحقول التي تظهر في الجدول شائعة لجميع مخططات ASIM. يتجاوز أي من الإرشادات المحددة للمخطط في هذا المستند الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريًا بشكل عام، لكنه إلزامي لمخطط معين. لمزيد من المعلومات حول كل حقل، راجع مقالة الحقول المشتركة ASIM.
| فصل | الحقول |
|---|---|
| إلزامي |
-
عدد الأحداث - الحدثStartTime - الحدثنهاية الوقت - نوع الحدث - نتيجة الحدث - منتج الحدث - الحدث البائع - مخطط الحدث - EventSchemaVersion - دي في سي |
| مستحسن |
-
EventResultتفاصيل - حدث كلي - EventUid - DvcIpAddr - Dvcاسم المضيف - DvcDomain - DvcDomainType - DvcFQDN - معرف Dvc - نوع DvcId - دي في سي أكشن |
| اختياري |
-
رسالة الحدث - نوع فرعي الحدث - EventOriginalUid - نوع الحدث الأصلي - الحدث النوع الفرعي الأصلي - الحدثOriginalResultالتفاصيل - الحدثالأصلالخطورة - الحدثProductVersion - الحدثتقريرUrl - مالك الحدث - دي في سي زون - دي في سي ماك أدر - دي في سي - دي في سي أو إس فريجن - دي في سي الأصلي - واجهة DvcInterface - حقول إضافية - وصف DvcDescription - معرف DvcScopeId - دي في سي سكوب |
حقول الملف الهدف
تمثل الحقول التالية معلومات حول الملف الهدف في عملية ملف. إذا تضمنت العملية ملفا واحدا، FileCreate على سبيل المثال، يتم تمثيله بواسطة حقول الملف الهدف.
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| TargetFileCreationTime | اختياري | التاريخ/الوقت | الوقت الذي تم فيه إنشاء الملف الهدف. |
| TargetFileDirectory | اختياري | السلسلة | مجلد الملف الهدف أو الموقع. يجب أن يكون هذا الحقل مماثلاً للحقل TargetFilePath، دون العنصر النهائي. ملاحظة: يمكن للمحلل تقديم هذه القيمة إذا كانت القيمة متوفرة في مصدر السجل ولا تحتاج إلى الاستخراج من المسار الكامل. |
| TargetFileExtension | اختياري | السلسلة | ملحق الملف الهدف. ملاحظة: يمكن للمحلل تقديم هذه القيمة إذا كانت القيمة متوفرة في مصدر السجل ولا تحتاج إلى الاستخراج من المسار الكامل. |
| TargetFileMimeType | اختياري | السلسلة | نوع Mime أو Media للملف الهدف. يتم سرد القيم المسموح بها في مستودع أنواع وسائط IANA. |
| اسم الملف المستهدف | مستحسن | السلسلة | اسم الملف الهدف، دون مسار أو موقع، ولكن بملحق إذا كان مناسباً. يجب أن يكون هذا الحقل مماثلاً للعنصر الأخير في الحقل TargetFilePath. |
| اسم الملف | الاسم المستعار | الاسم المستعار للحقل TargetFileName . | |
| مسار الهدف | إلزامي | السلسلة | المسار الكامل والمعيار للملف الهدف، بما في ذلك المجلد أو الموقع واسم الملف والملحق. لمزيد من المعلومات، راجع بنية المسار. ملاحظة: إذا كان السجل لا يتضمن معلومات المجلد أو الموقع، فقم بتخزين اسم الملف هنا فقط. مثال: C:\Windows\System32\notepad.exe |
| TargetFilePathType | إلزامي | Enumerated | نوع TargetFilePath. لمزيد من المعلومات، راجع بنية المسار. |
| مسار الملف | الاسم المستعار | الاسم المستعار للحقل TargetFilePath. | |
| TargetFileMD5 | اختياري | MD5 | تجزئة MD5 للملف الهدف. مثال: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | اختياري | SHA1 | تجزئة SHA-1 للملف الهدف. مثال: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | اختياري | SHA256 | تجزئة SHA-256 للملف الهدف. مثال: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | اختياري | SHA512 | تجزئة SHA-512 للملف المصدر. |
| Hash | الاسم المستعار | الاسم المستعار لأفضل تجزئة الملف الهدف المتاحة. | |
| HashType | شرطي | Enumerated | نوع التجزئة المخزنة في حقل HASH البديل، والقيم المسموح بها هي MD5 وSHASHA256SHA512IMPHASH. إلزامي إذا Hash تم ملؤه. |
| TargetFileSize | اختياري | طويل | حجم الملف الهدف بالبايت. |
حقول الملف المصدر
تمثل الحقول التالية معلومات حول الملف المصدر في عملية ملف تحتوي على كل من المصدر والوجهة، مثل النسخ. إذا تضمنت العملية ملفا واحدا، يتم تمثيله بواسطة حقول الملف الهدف.
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| SrcFileCreationTime | اختياري | التاريخ/الوقت | الوقت الذي تم فيه إنشاء الملف المصدر. |
| SrcFileDirectory | اختياري | السلسلة | مجلد أو موقع الملف المصدر. يجب أن يكون هذا الحقل مشابهاً للحقل SrcFilePath، دون العنصر النهائي. ملاحظة: يمكن للمحلل تقديم هذه القيمة إذا كانت القيمة متاحة في مصدر السجل، ولا يلزم استخلاصها من المسار الكامل. |
| SrcFileExtension | اختياري | السلسلة | ملحق الملف المصدر. ملاحظة: يمكن للمحلل أن يوفر هذه القيمة، فالقيمة متوفرة في مصدر السجل، ولا يلزم استخلاصها من المسار الكامل. |
| SrcFileMimeType | اختياري | السلسلة | نوع Mime أو Media للملف المصدر. يتم سرد القيم المدعومة في مستودع أنواع وسائط IANA. |
| SrcFileName | مستحسن | السلسلة | اسم الملف المصدر، دون مسار أو موقع، ولكن بملحق إذا كان مناسباً. يجب أن يكون هذا الحقل مماثلاً للعنصر الأخير في الحقل SrcFilePath. |
| مسار SrcFilePath | مستحسن | السلسلة | المسار الكامل والمعيار للملف المصدر، بما في ذلك المجلد أو الموقع واسم الملف والملحق. لمزيد من المعلومات، راجع بنية المسار. مثال: /etc/init.d/networking |
| SrcFilePathType | مستحسن | Enumerated | نوع SrcFilePath. لمزيد من المعلومات، راجع بنية المسار. |
| SrcFileMD5 | اختياري | MD5 | تجزئة MD5 للملف المصدر. مثال: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | اختياري | SHA1 | تجزئة SHA-1 للملف المصدر. مثال: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | اختياري | SHA256 | تجزئة SHA-256 للملف المصدر. مثال: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | اختياري | SHA512 | تجزئة SHA-512 للملف المصدر. |
| SrcFileSize | اختياري | طويل | حجم الملف المصدر بالبايت. |
حقول المستخدم
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| معرف المستخدم الممثل | مستحسن | السلسلة | تمثيل فريد أبجدي رقمي قابل للقراءة آليًا للمستخدم. للحصول على التنسيق المدعوم لأنواع المعرفات المختلفة، ارجع إلى كيان المستخدم. مثال: S-1-12 |
| ActorScope | اختياري | السلسلة | النطاق، مثل مستأجر Microsoft Entra، حيث يتم تعريف ActorUserId و ActorUsername. أو مزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScope في مقالة نظرة عامة على المخطط. |
| ActorScopeId | اختياري | السلسلة | معرف النطاق، مثل معرف دليل Microsoft Entra، حيث يتم تعريف ActorUserId و ActorUsername. أو مزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScopeId في مقالة نظرة عامة على المخطط. |
| ActorUserIdType | شرطي | Enumerated | نوع المعرف المخزن في الحقل ActorUserId. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع UserIdType في مقالة نظرة عامة على المخطط. |
| الممثلUsername | إلزامي | اسم المستخدم (نص) | اسم مستخدم الممثل، بما في ذلك معلومات المجال عند توفرها. للحصول على التنسيق المدعوم لأنواع المعرفات المختلفة، ارجع إلى كيان المستخدم. استخدم النموذج البسيط فقط في حالة عدم توفر معلومات المجال. خزّن نوع اسم المستخدم في الحقل ActorUsernameType. في حالة توفر تنسيقات أخرى لاسم المستخدم، قم بتخزينها في الحقول ActorUsername<UsernameType>.مثال: AlbertE |
| User | الاسم المستعار | الاسم المستعار للحقل ActorUsername. مثال: CONTOSO\dadmin |
|
| نوع المستخدمUsername | شرطي | Enumerated | يحدد نوع اسم المستخدم المخزن في الحقل ActorUsername. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع نوع اسم المستخدم في مقالة نظرة عامة على المخطط. مثال: Windows |
| ActorSessionId | اختياري | السلسلة | المعرف الفريد لجلسة تسجيل دخول الممثل. مثال: 999ملاحظة: يتم تعريف النوع على أنه سلسلة لدعم الأنظمة المختلفة، ولكن في Windows يجب أن تكون هذه القيمة رقمية. إذا كنت تستخدم جهازًا يعمل بنظام التشغيل Windows أو Linux واستخدمت نوعًا مختلفًا، فتأكد من تحويل القيم. على سبيل المثال، إذا استخدمت قيمة سداسية عشرية، فحولها إلى قيمة عشرية. |
| ActorUserType | اختياري | UserType | نوع الفاعل. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع UserType في مقالة نظرة عامة على المخطط. ملاحظة: قد يتم توفير القيمة في سجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها مع هذه القيم. تخزين القيمة الأصلية في حقل ActorOriginalUserType. |
| نوع المستخدم الأصلي للممثل | اختياري | السلسلة | نوع المستخدم الوجهة الأصلي، إذا تم توفيره بواسطة جهاز الإبلاغ. |
مجالات عملية التمثيل
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| ActingProcessCommandLine | اختياري | السلسلة | يستخدم سطر الأوامر لتشغيل عملية التمثيل. مثال: "choco.exe" -v |
| الاسم المؤقت | اختياري | سلسلة | اسم عملية التمثيل. يُشتق هذا الاسم بشكل شائع من الصورة أو الملف القابل للتنفيذ الذي يُستخدم لتحديد التعليمة البرمجية الأولي والبيانات التي تم تعيينها في مساحة العنوان الظاهرية للعملية. مثال: C:\Windows\explorer.exe |
| العملية | الاسم المستعار | الاسم المستعار لـ ActingProcessName | |
| ActingProcessId | اختياري | السلسلة | معرّف العملية (PID) لعملية التمثيل. مثال: 48610176 ملاحظة: يتم تعريف النوع على أنه سلسلة لدعم الأنظمة المختلفة، ولكن في نظامي التشغيل Windows وLinux، يجب أن تكون هذه القيمة رقمية. إذا كنت تستخدم جهازاً يعمل بنظام Windows أو Linux وتستخدم نوعاً مختلفاً، فتأكد من تحويل القيم. على سبيل المثال، إذا استخدمت قيمة سداسية عشرية، فحولها إلى قيمة عشرية. |
| ActingProcessGuid | اختياري | GUID (وتر) | معرف فريد تم إنشاؤه (GUID) لعملية التمثيل. تمكن من تحديد العملية عبر الأنظمة. مثال: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
الحقول ذات الصلة بالنظام المصدر
تمثل الحقول التالية معلومات حول النظام الذي يبدأ نشاط الملف، عادة عند نقله عبر الشبكة.
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| SrcIpAddr | مستحسن | عنوان IP | عند بدء العملية بواسطة نظام بعيد، عنوان IP لهذا النظام. مثال: 185.175.35.214 |
| IpAddr | الاسم المستعار | الاسم المستعار لـ SrcIpAddr | |
| Src | الاسم المستعار | الاسم المستعار لـ SrcIpAddr | |
| SrcPortNumber | اختياري | رقم صحيح | عند بدء العملية بواسطة نظام بعيد، رقم المنفذ الذي تم بدء الاتصال منه. مثال: 2335 |
| اسم SrcHostname | اختياري | اسم المضيف (String) | اسم مضيف الجهاز المصدر، باستثناء معلومات المجال. إذا لم يتوفر اسم الجهاز، فخزن عنوان IP ذا الصلة في هذا الحقل. مثال: DESKTOP-1282V4D |
| SrcDomain | اختياري | المجال (السلسلة) | مجال الجهاز المصدر. مثال: Contoso |
| SrcDomainType | شرطي | DomainType | نوع SrcDomain. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، ارجع إلى DomainType في مقالة نظرة عامة على المخطط. مطلوب في حال استخدام SrcDomain. |
| SrcFQDN | اختياري | FQDN (الوتر) | اسم مضيف الجهاز المصدر، بما يشمل معلومات المجال عند توفرها. ملاحظة: يدعم هذا الحقل كلًا من تنسيق FQDN التقليدي وتنسيق Windows domain \ hostname. يعكس الحقل SrcDomainType التنسيق المُستخدم. مثال: Contoso\DESKTOP-1282V4D |
| وصف Src | اختياري | السلسلة | نص وصفي مرتبط بالجهاز. على سبيل المثال: Primary Domain Controller. |
| معرف SrcDvcId | اختياري | السلسلة | معرّف الجهاز المصدر. في حالة توفر معرفات متعددة، استخدم المعرف الأكثر أهمية، وقم بتخزين المعرفات الأخرى في الحقولSrcDvc<DvcIdType>.مثال: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | اختياري | السلسلة | معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. مخطط SrcDvcScopeId إلى معرف اشتراك على Azure ومعرف حساب على AWS. |
| SrcDvcScope | اختياري | السلسلة | نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. مخطط SrcDvcScope إلى معرف اشتراك على Azure وإلى معرف حساب على AWS. |
| SrcDvcIdType | شرطي | DvcIdType | نوع SrcDvcId. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، ارجع إلى DvcIdType في مقالة نظرة عامة على المخطط. ملاحظة: هذا الحقل مطلوب في حال استخدام SrcDvcId. |
| SrcDeviceType | اختياري | نوع الجهاز | نوع الجهاز المصدر. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DeviceType في مقالة نظرة عامة على المخطط. |
| SrcGeoCountry | اختياري | الدولة | البلد/المنطقة المقترنة بعنوان IP المصدر. مثال: USA |
| SrcGeoRegion | اختياري | المنطقة | المنطقة المقترنة بعنوان IP المصدر. مثال: Vermont |
| SrcGeoCity | اختياري | المدينة | المدينة المقترنة بعنوان IP للمصدر. مثال: Burlington |
| SrcGeoLatitude | اختياري | Latitude | خط عرض الإحداثيات الجغرافية المقترنة بعنوان IP المصدر. مثال: 44.475833 |
| SrcGeoLongitude | اختياري | Longitude | خط طول الإحداثيات الجغرافية المقترنة بعنوان IP المصدر. مثال: 73.211944 |
مجالات التطبيق التمثيلية
تمثل الحقول التالية معلومات عن تطبيق محلي تواصل عبر شبكة مع نظام بعيد لأداء نشاط الملف.
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| ActingAppName | اختياري | السلسلة | اسم طلب التمثيل. مثال: Facebook |
| ActingAppId | اختياري | السلسلة | معرف التطبيق المسؤول، كما أبلغ عنه جهاز الإبلاغ. |
| ActingAppType | اختياري | AppType | نوع التطبيق الوجهة. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع AppType في مقالة نظرة عامة على المخطط. هذا الحقل إلزامي إذا تم استخدام TargetAppName أو TargetAppId . |
| HttpUserAgent | اختياري | السلسلة | عندما يتم بدء العملية بواسطة نظام بعيد باستخدام HTTP أو HTTPS، يتم استخدام عامل المستخدم. على سبيل المثال: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | اختياري | السلسلة | عند بدء العملية بواسطة نظام بعيد، تكون هذه القيمة هي بروتوكول طبقة التطبيق المستخدم في نموذج OSI. على الرغم من عدم تعداد هذا الحقل وقبول أي قيمة، فإن القيم المفضلة تشمل: HTTP، HTTPS، SMB،FTP وSSHمثال: SMB |
حقول التطبيق الهدف
تمثل الحقول التالية معلومات حول التطبيق الوجهة الذي يقوم بنشاط الملف نيابة عن المستخدم. عادة ما يرتبط تطبيق الوجهة بنشاط الملفات عبر الشبكة، على سبيل المثال باستخدام تطبيقات SaaS (البرامج كخدمة).
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| اسم TargetAppName | اختياري | السلسلة | اسم التطبيق الوجهة. مثال: Facebook |
| التطبيق | الاسم المستعار | الاسم المستعار ل TargetAppName. | |
| TargetAppId | اختياري | السلسلة | معرف التطبيق الوجهة، كما تم الإبلاغ عنه بواسطة جهاز التقارير. |
| TargetAppType | شرطي | AppType | نوع التطبيق الوجهة. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع AppType في مقالة نظرة عامة على المخطط. هذا الحقل إلزامي إذا تم استخدام TargetAppName أو TargetAppId . |
| TargetOriginalAppType | اختياري | السلسلة | نوع التطبيق الوجهة كما أبلغ عنه جهاز التقرير. |
| TargetUrl | اختياري | رابط URL (السلسلة) | عند بدء العملية باستخدام HTTP أو HTTPS، يتم استخدام عنوان URL. مثال: https://onedrive.live.com/?authkey=... |
| Url | الاسم المستعار | الاسم المستعار ل TargetUrl |
حقول الفحص
تستخدم الحقول التالية لتمثيل هذا الفحص الذي يقوم به نظام أمان مثل نظام مكافحة الفيروسات. عادة ما يقترن مؤشر الترابط المحدد بالملف الذي تم تنفيذ النشاط عليه بدلا من النشاط نفسه.
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| اسم القاعدة | اختياري | السلسلة | اسم القاعدة أو معرفها المرتبط بنتائج الفحص. |
| رقم القاعدة | اختياري | رقم صحيح | عدد القاعدة المقترنة بنتائج الفحص. |
| حكم | شرطي | السلسلة | إما قيمة kRuleName أو قيمة RuleNumber. إذا تم استخدام قيمة RuleNumber ، يجب تحويل النوع إلى سلسلة. |
| ThreatId | اختياري | السلسلة | معرف التهديد أو البرامج الضارة المحددة في نشاط الملف. |
| ThreatName | اختياري | السلسلة | اسم التهديد أو البرامج الضارة المحددة في نشاط الملف. مثال: EICAR Test File |
| ThreatCategory | اختياري | السلسلة | فئة التهديد أو البرامج الضارة المحددة في نشاط الملف. مثال: Trojan |
| ThreatRiskLevel | اختياري | مستوى المخاطر (عدد صحيح) | مستوى المخاطر المرتبط بالتهديد المحدد. يلزم أن يكون المستوى رقمًا بين 0 و100. ملاحظة: قد تتوفر القيمة في سجل المصدر باستخدام أحجام مختلفة، والتي يجب أن تكون مطابقة لهذا الحجم. يجب تخزين القيمة الأصلية في مستوى ThreatOriginalRiskLevel. |
| التهديد الأصليمستوى المخاطر | اختياري | السلسلة | مستوى المخاطر كما تم الإبلاغ عنه من جهاز إعداد التقارير. |
| مسار ملف التهديد | اختياري | السلسلة | مسار ملف تم تحديد تهديد له. يحتوي الحقل ThreatField على اسم الحقل ThreatFilePath الذي يمثله. |
| حقل التهديد | شرطي | Enumerated | الحقل الذي تم تحديد تهديد له. القيمة هي إما SrcFilePath أو DstFilePath. |
| ThreatConfidence | اختياري | مستوى الثقة (عدد صحيح) | مستوى ثقة التهديد المحدد، الذي تمت تسويته إلى قيمة بين 0 و100. |
| ThreatOriginalConfidence | اختياري | السلسلة | مستوى الثقة الأصلي للتهديد المحدد، كما تم الإبلاغ عنه من قبل جهاز الإبلاغ. |
| ThreatIsActive | اختياري | Boolean | صحيح إذا كان التهديد المحدد يعتبر تهديدا نشطا. |
| ThreatFirstReportedTime | اختياري | datetime | في المرة الأولى التي تم فيها تحديد عنوان IP أو المجال كتهديد. |
| ThreatLastReportedTime | اختياري | datetime | في المرة الأخيرة التي تم فيها تحديد عنوان IP أو المجال كتهديد. |
هيكل المسار
يجب تسوية المسار ليطابق أحد التنسيقات التالية. سينعكس التنسيق الذي تمت تسويته للقيمة في الحقل FilePathType ذي الصلة.
| النوع | مثال | ملاحظات |
|---|---|---|
| ويندوز لوكال | C:\Windows\System32\notepad.exe |
نظراً لأن أسماء مسار Windows غير حساسة لحالة الأحرف، فإن هذا النوع يعني أن القيمة غير حساسة لحالة الأحرف. |
| مشاركة Windows | \\Documents\My Shapes\Favorites.vssx |
نظراً لأن أسماء مسار Windows غير حساسة لحالة الأحرف، فإن هذا النوع يعني أن القيمة غير حساسة لحالة الأحرف. |
| Unix | /etc/init.d/networking |
نظراً لأن أسماء مسار Unix حساسة لحالة الأحرف، فإن هذا النوع يعني أن القيمة حساسة لحالة الأحرف. - استخدم هذا النوع لـ AWS S3. اربط الحاوية وأسماء المفاتيح لإنشاء المسار. - استخدم هذا النوع لمفاتيح عناصر موقع تخزين Azure Blob. |
| عنوان URL | https://1drv.ms/p/s!Av04S_*********we |
استخدمه عندما يكون مسار الملف متاحاً كعنوان URL. لا تقتصر عناوين URL على http أو https، وتعتبر أي قيمة صالحة، بما في ذلك قيمة FTP. |
تحديثات المخطط
هذه هي التغييرات في الإصدار 0.1.1 من المخطط:
- تمت إضافة الحقل
EventSchema.
هذه هي التغييرات في الإصدار 0.2 من المخطط:
- تمت إضافة حقول الفحص.
- تمت إضافة الحقول
ActorScopeوTargetUserScopeوHashTypeوTargetAppNameTargetAppIdوTargetAppTypeوSrcGeoCountrySrcGeoRegionSrcGeoLongitudeSrcGeoLatitudeActorSessionIdDvcScopeId.DvcScope - تمت إضافة الأسماء المستعارة
Urlو'FileNameIpAddr' وSrc.
هذه هي التغييرات في الإصدار 0.2.1 من المخطط:
- تمت إضافتها
Applicationباسم مستعار إلىTargetAppName. - تمت إضافة الحقل
ActorScopeId - تمت إضافة حقول متعلقة بجهاز المصدر.
هذه هي التغييرات في الإصدار 0.2.2 من المخطط:
- تمت إضافة الحقل
TargetOriginalAppType - تمت إضافة الحقول
ActingAppId،ActingAppNameوActingAppTypeالتي غير متوفرة في الجدولASimFileEventLogs.
الخطوات التالية
لمزيد من المعلومات، راجع: