إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يتم استخدام مخطط تسوية حدث العملية لوصف نشاط نظام التشغيل الخاص بتشغيل العملية وإنهائها. يتم الإبلاغ عن مثل هذه الأحداث بواسطة أنظمة التشغيل وأنظمة الأمان، مثل أنظمة EDR (اكتشاف نقطة النهاية والاستجابة).
العملية، كما حددها OSSEM، هي عنصر احتواء وإدارة يمثل مثيلاً قيد التشغيل من البرنامج. في حين أن العمليات نفسها لا تعمل، فإنها تدير الخيوط التي تعمل وتنفذ التعليمة البرمجية.
لمزيد من المعلومات بشأن التسوية في Microsoft Sentinel، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM).
المُحللات
لاستخدام المحلل اللغوي الموحد الذي يوحد كل المحلل اللغوي المدرج ويضمن أنك تقوم بالتحليل عبر جميع المصادر المكونة، استخدم أسماء الجدول التالية في استعلاماتك:
- imProcessCreate للاستعلامات التي تتطلب معلومات إنشاء العملية. هذه الاستعلامات هي الحالة الأكثر شيوعاً.
- imProcessTerminate للاستعلامات التي تتطلب معلومات إنهاء العملية.
للحصول على قائمة محللي حدث العملية الذي يوفره Microsoft Sentinel الجاهز للرجوع إلى قائمة محللي ASIM.
قم بتوزيع محللي المصادقة من مستودع Microsoft Sentinel GitHub.
لمزيد من المعلومات، راجع نظرة عامة على محللي ASIM.
أضف المحلل اللغوي المعياري الخاص بك
عند تنفيذ محللات أحداث العملية المخصصة، قم بتسمية وظائف KQL باستخدام البنية التالية: imProcessCreate<vendor><Product> وimProcessTerminate<vendor><Product>. استبدل im بـ ASim للإصدار الذي لا يحتوي على معلمات.
أضف دالة KQL إلى المحلل اللغوي الموحد كما هو موضح في إدارة موزعي ASIM.
تصفية معلمات المُحلل
تدعم مُحللات im وvim*معلمات التصفية. في حين أن هذه المُحللات اختيارية، فإنها يمكن أن تحسن أداء الاستعلام الخاص بك.
تتوفّر معلمات التصفية التالية:
| Name | كتابة | الوصف |
|---|---|---|
| starttime | datetime | تصفية أحداث العملية فقط التي حدثت في هذا الوقت أو بعده. |
| endtime | datetime | تصفية عمليات استعلامات الأحداث التي حدثت في هذا الوقت أو قبله فقط. |
| commandline_has_any | ديناميكي | قم بتصفية الأحداث التي يتم تنفيذ سطر الأوامر لها فقط والتي تحتوي على أي من القيم المدرجة. طول القائمة محدد بـ 10000 عنصر. |
| commandline_has_all | ديناميكي | تصفية فقط أحداث العمليات التي تحتوي سطر الأوامر المنفذ عليها على جميع القيم المدرجة. طول القائمة محدد بـ 10000 عنصر. |
| commandline_has_any_ip_prefix | ديناميكي | تقوم عملية التصفية فقط بمعالجة الأحداث التي تم تنفيذ سطر الأوامر لها والتي تحتوي على جميع عناوين IP المدرجة أو بادئات عناوين IP. يجب أن تنتهي البادئات بـ .، على سبيل المثال: 10.0.. طول القائمة محدد بـ 10000 عنصر. |
| actingprocess_has_any | ديناميكي | تصفية الأحداث العملية فقط التي يكون لاسم العملية المؤثرة، والذي يتضمن مسار العملية بالكامل، أياً من القيم المدرجة. طول القائمة محدد بـ 10000 عنصر. |
| targetprocess_has_any | ديناميكي | تصفية الأحداث العملية فقط التي يكون لاسم العملية الهدف، والذي يتضمن مسار العملية بالكامل، أياً من القيم المدرجة. طول القائمة محدد بـ 10000 عنصر. |
| parentprocess_has_any | ديناميكي | تصفية الأحداث العملية فقط التي يكون لاسم العملية الهدف، والذي يتضمن مسار العملية بالكامل، أياً من القيم المدرجة. طول القائمة محدد بـ 10000 عنصر. |
| targetusername_has أو actusername_has | سلسلة | يقوم التصفية بمعالجة الأحداث التي يكون لاسم المستخدم الهدف (لأحداث إنشاء العملية) أو اسم مستخدم الممثل (لأحداث إنهاء العملية) أياً من القيم المدرجة. طول القائمة محدد بـ 10000 عنصر. |
| dvcipaddr_has_any_prefix | ديناميكي | قم بتصفية أحداث المعالجة فقط التي يتطابق فيها عنوان IP للجهاز مع أي من عناوين IP المدرجة أو بادئات عناوين IP المدرجة. يجب أن تنتهي البادئات بـ .، على سبيل المثال: 10.0.. طول القائمة محدد بـ 10000 عنصر. |
| dvchostname_has_any | ديناميكي | تصفية أحداث المعالجة فقط التي يتوفر لاسم مضيف الجهاز، أو اسم مجال مؤهل بالكامل للجهاز، أي من القيم المدرجة. طول القائمة محدد بـ 10000 عنصر. |
| eventtype | سلسلة | تصفية الأحداث العملية فقط من النوع المحدد. |
على سبيل المثال، لتصفية أحداث المصادقة فقط من اليوم الأخير إلى مستخدم معين، استخدم:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
تلميح
لتمرير قائمة حرفية إلى المعلمات التي تتوقع قيمة ديناميكية، استخدم قيمة حرفية ديناميكية بشكل صريح. على سبيل المثال: dynamic(['192.168.','10.']).
المحتوى الطبيعي
للحصول على قائمة كاملة بقواعد التحليلات التي تستخدم أحداث العملية المعتادة، راجع محتوى أمان حدث العملية.
تفاصيل المُخطط
يتم محاذاة نموذج معلومات حدث العملية مع مخطط كيان عملية OSSEM.
حقول ASIM المشتركة
هام
توصف الحقول المشتركة لكافة المخططات بالتفصيل في مقالة الحقول المشتركة لـ ASIM.
الحقول المشتركة مع وجود إرشادات محددة
تشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث نشاط العملية:
| الحقل | الفصل | كتابة | الوصف |
|---|---|---|---|
| EventType | إلزامي | Enumerated | يصف العملية التي أبلغ بها السجل. بالنسبة لسجلات المعالجة، تتضمن القيم المدعومة ما يلي: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | إلزامي | إصدار المخطط (السلسلة النصية) | إصدار المُخطط. إصدار مخطط قاعدة البيانات الموثق هنا هو 0.1.4 |
| EventSchema | إلزامي | السلسلة | اسم المخطط الموثّق هنا هو ProcessEvent. |
| حقول Dvc | بالنسبة لأحداث نشاط العملية، تشير حقول الجهاز إلى النظام الذي تم تنفيذ العملية عليه. |
هام
يعد الحقل EventSchema اختيارياً حالياً ولكنه سيصبح إلزامياً في الأول من سبتمبر 2022.
جميع الحقول الشائعة
تُعد الحقول التي تظهر في الجدول أدناه مشتركة في جميع مخططات ASIM. أية مبادئ توجيهية محددة أعلاه تلغي الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريًا بشكل عام، لكنه إلزامي لمخطط معين. لمزيد من التفاصيل حول كل حقل، راجع المقالة الحقول المشتركة لـ ASIM.
| فصل | الحقول |
|---|---|
| إلزامي |
-
عدد الأحداث - الحدثStartTime - الحدثنهاية الوقت - نوع الحدث - نتيجة الحدث - منتج الحدث - الحدث البائع - مخطط الحدث - EventSchemaVersion - دي في سي |
| مستحسن |
-
EventResultتفاصيل - حدث كلي - EventUid - DvcIpAddr - Dvcاسم المضيف - DvcDomain - DvcDomainType - DvcFQDN - معرف Dvc - نوع DvcId - دي في سي أكشن |
| اختياري |
-
رسالة الحدث - نوع فرعي الحدث - EventOriginalUid - نوع الحدث الأصلي - الحدث النوع الفرعي الأصلي - الحدثOriginalResultالتفاصيل - الحدثالأصلالخطورة - الحدثProductVersion - الحدثتقريرUrl - مالك الحدث - دي في سي زون - دي في سي ماك أدر - دي في سي - دي في سي أو إس فريجن - دي في سي الأصلي - واجهة DvcInterface - حقول إضافية - وصف DvcDescription - معرف DvcScopeId - دي في سي سكوب |
الحقول الخاصة بحدث العملية
الحقول المدرجة في الجدول أدناه خاصة بأحداث العملية، ولكنها تشبه الحقول الموجودة في المخططات الأخرى وتتبع اصطلاحات تسمية مماثلة.
يشير مخطط حدث العملية إلى الكيانات التالية، والتي تعتبر مركزية لعملية إنشاء وإنهاء النشاط:
- الفاعل - المستخدم الذي بدأ إنشاء العملية أو إنهاؤها.
- ActingProcess - العملية التي يستخدمها الممثل لبدء إنشاء العملية أو إنهائها.
- TargetProcess - العملية الجديدة.
- TargetUser - المستخدم الذي تُستخدم بيانات اعتماده لإنشاء العملية الجديدة.
- ParentProcess - العملية التي بدأت عملية الممثل.
الأسماء المستعارة
| الحقل | الفصل | كتابة | الوصف |
|---|---|---|---|
| User | الاسم المستعار | الاسم المستعار لـ TargetUsername. مثال: CONTOSO\dadmin |
|
| العملية | الاسم المستعار | الاسم المستعار لـ TargetProcessName مثال: C:\Windows\System32\rundll32.exe |
|
| CommandLine | الاسم المستعار | الاسم المستعار لـ TargetProcessCommandLine | |
| Hash | الاسم المستعار | الاسم المستعار لأفضل تجزئة متوفرة للعملية المستهدفة. |
حقول المستخدم
| الحقل | الفصل | كتابة | الوصف |
|---|---|---|---|
| معرف المستخدم الممثل | مستحسن | السلسلة | تمثيل فريد أبجدي رقمي قابل للقراءة آليًا للمستخدم. للحصول على التنسيق المدعوم لأنواع المعرفات المختلفة، ارجع إلى كيان المستخدم. مثال: S-1-12 |
| ActorUserIdType | شرطي | Enumerated | نوع المعرف المخزن في الحقل ActorUserId. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، راجع UserIdType في Schema Overview article. |
| ActorScope | اختياري | السلسلة | النطاق، مثل مستأجر Microsoft Entra، حيث يتم تعريف ActorUserId و ActorUsername. أو مزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScope في مقالة نظرة عامة على المخطط. |
| ActorScopeId | اختياري | السلسلة | معرف النطاق، مثل معرف دليل Microsoft Entra، حيث يتم تعريف ActorUserId و ActorUsername. أو مزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScopeId في مقالة نظرة عامة على المخطط. |
| الممثلUsername | إلزامي | اسم المستخدم (نص) | اسم مستخدم الممثل، بما في ذلك معلومات المجال عند توفرها. للحصول على التنسيق المدعوم لأنواع المعرفات المختلفة، ارجع إلى كيان المستخدم. استخدم النموذج البسيط فقط في حالة عدم توفر معلومات المجال. خزّن نوع اسم المستخدم في الحقل ActorUsernameType. في حالة توفر تنسيقات أخرى لاسم المستخدم، قم بتخزينها في الحقول ActorUsername<UsernameType>.مثال: AlbertE |
| نوع المستخدمUsername | شرطي | Enumerated | يحدد نوع اسم المستخدم المخزن في الحقل ActorUsername. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، راجع UsernameType في Schema Overview article. مثال: Windows |
| ActorSessionId | اختياري | السلسلة | المعرف الفريد لجلسة تسجيل دخول الممثل. مثال: 999ملاحظة: يتم تعريف النوع على أنه سلسلة لدعم الأنظمة المختلفة، ولكن في Windows يجب أن تكون هذه القيمة رقمية. إذا كنت تستخدم جهازًا يعمل بنظام التشغيل Windows أو Linux واستخدمت نوعًا مختلفًا، فتأكد من تحويل القيم. على سبيل المثال، إذا استخدمت قيمة سداسية عشرية، فحولها إلى قيمة عشرية. |
| ActorUserType | اختياري | UserType | نوع الفاعل. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، راجع UserType في Schema Overview article. ملاحظة: قد يتم توفير القيمة في سجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها مع هذه القيم. تخزين القيمة الأصلية في حقل ActorOriginalUserType. |
| نوع المستخدم الأصلي للممثل | اختياري | السلسلة | نوع المستخدم الوجهة الأصلي، إذا تم توفيره بواسطة جهاز الإبلاغ. |
مجالات عملية التمثيل
| الحقل | الفصل | كتابة | الوصف |
|---|---|---|---|
| ActingProcessCommandLine | اختياري | السلسلة | يستخدم سطر الأوامر لتشغيل عملية التمثيل. مثال: "choco.exe" -v |
| ActingProcessName | اختياري | سلسلة | اسم عملية التمثيل. يُشتق هذا الاسم بشكل شائع من الصورة أو الملف القابل للتنفيذ الذي يُستخدم لتحديد التعليمة البرمجية الأولي والبيانات التي تم تعيينها في مساحة العنوان الظاهرية للعملية. مثال: C:\Windows\explorer.exe |
| ActingProcessFilename | اختياري | السلسلة | اسم الملف جزء من ActingProcessName، بدون معلومات المجلد. مثال: explorer.exe |
| ActingProcessFileCompany | اختياري | السلسلة | الشركة التي أنشأت ملف صورة عملية التمثيل. مثال: Microsoft |
| ActingProcessFileDescription | اختياري | السلسلة | الوصف المضمن في معلومات الإصدار لملف صورة عملية التمثيل. مثال: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | اختياري | السلسلة | اسم المنتج من معلومات الإصدار في ملف صورة عملية التمثيل. مثال: Notepad++ |
| ActingProcessFileVersion | اختياري | السلسلة | إصدار المنتج من معلومات إصدار ملف صورة عملية التمثيل. مثال: 7.9.5.0 |
| ActingProcessFileInternalName | اختياري | السلسلة | اسم الملف الداخلي للمنتج من معلومات إصدار ملف صورة عملية التمثيل. |
| ActingProcessFileOriginalName | اختياري | السلسلة | اسم الملف الأصلي للمنتج من معلومات إصدار ملف صورة عملية التمثيل. مثال: Notepad++.exe |
| ActingProcessIsHidden | اختياري | Boolean | إشارة إلى ما إذا كانت عملية التمثيل في الوضع الخفي. |
| ActingProcessInjectedAddress | اختياري | السلسلة | عنوان الذاكرة الذي يتم تخزين عملية التمثيل المسؤولة فيه. |
| ActingProcessId | إلزامي | السلسلة | معرّف العملية (PID) لعملية التمثيل. مثال: 48610176 ملاحظة: يتم تعريف النوع على أنه سلسلة لدعم الأنظمة المختلفة، ولكن في نظامي التشغيل Windows وLinux، يجب أن تكون هذه القيمة رقمية. إذا كنت تستخدم جهازاً يعمل بنظام Windows أو Linux وتستخدم نوعاً مختلفاً، فتأكد من تحويل القيم. على سبيل المثال، إذا استخدمت قيمة سداسية عشرية، فحولها إلى قيمة عشرية. |
| ActingProcessGuid | اختياري | GUID (وتر) | معرف فريد تم إنشاؤه (GUID) لعملية التمثيل. تمكن من تحديد العملية عبر الأنظمة. مثال: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | اختياري | السلسلة | كل عملية لها مستوى تكامل يتم تمثيله في رمزها المميز. تحدد مستويات النزاهة مستوى عملية الحماية أو الوصول. يحدد Windows مستويات التكامل التالية: منخفضو متوسط و مرتفعو نظام. يتلقى المستخدمون القياسيون مستوى تكامل متوسط ويحصل المستخدمون المتميزون على مستوى تكامل مرتفع. لمزيد من المعلومات، راجع التحكم الإلزامي في التكامل - تطبيقات Win32. |
| ActingProcessMD5 | اختياري | السلسلة | تجزئة MD5 لملف صورة عملية التمثيل. مثال: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | اختياري | SHA1 | تجزئة SHA-1 لملف صورة عملية التمثيل. مثال: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | اختياري | SHA256 | تجزئة SHA-256 لملف صورة عملية التمثيل. مثال: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | اختياري | SHA512 | تجزئة SHA-512 لملف صورة عملية التمثيل. |
| ActingProcessIMPHASH | اختياري | السلسلة | تجزئة الاستيراد لجميع مكتبات DLL المستخدمة بواسطة عملية التمثيل. |
| ActingProcessCreationTime | اختياري | DateTime | تاريخ ووقت بدء عملية التمثيل. |
| ActingProcessTokenElevation | اختياري | السلسلة | رمز يشير إلى وجود أو عدم وجود رفع امتياز التحكم في وصول المستخدم (UAC) المطبق على عملية التمثيل. مثال: None |
| ActingProcessFileSize | اختياري | طويل | حجم الملف الذي شغّل عملية التمثيل. |
حقول العملية الأصل
| الحقل | الفصل | كتابة | الوصف |
|---|---|---|---|
| ParentProcessName | اختياري | سلسلة | اسم العملية الأصل. يُشتق هذا الاسم بشكل شائع من الصورة أو الملف القابل للتنفيذ الذي يُستخدم لتحديد التعليمة البرمجية الأولي والبيانات التي تم تعيينها في مساحة العنوان الظاهرية للعملية. مثال: C:\Windows\explorer.exe |
| ParentProcessFileCompany | اختياري | السلسلة | اسم الشركة التي أنشأت ملف صورة العملية الأصل. مثال: Microsoft |
| ParentProcessFileDescription | اختياري | السلسلة | الوصف من معلومات الإصدار في ملف صورة العملية الأصل. مثال: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | اختياري | السلسلة | اسم المنتج من معلومات الإصدار في ملف صورة العملية الأصل. مثال: Notepad++ |
| ParentProcessFileVersion | اختياري | السلسلة | إصدار المنتج من معلومات الإصدار في ملف صورة العملية الأصل. مثال: 7.9.5.0 |
| ParentProcessIsHidden | اختياري | Boolean | إشارة إلى ما إذا كانت العملية الرئيسية في الوضع الخفي. |
| ParentProcessInjectedAddress | اختياري | السلسلة | عنوان الذاكرة الذي يتم تخزين عملية الأصلين المسؤولة فيه. |
| ParentProcessId | مستحسن | السلسلة | معرّف العملية (PID) للعملية الأصل. مثال: 48610176 |
| ParentProcessGuid | اختياري | السلسلة | معرف فريد تم إنشاؤه (GUID) للعملية الأصل. تمكن من تحديد العملية عبر الأنظمة. مثال: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | اختياري | السلسلة | كل عملية لها مستوى تكامل يتم تمثيله في رمزها المميز. تحدد مستويات النزاهة مستوى عملية الحماية أو الوصول. يحدد Windows مستويات التكامل التالية: منخفضو متوسط و مرتفعو نظام. يتلقى المستخدمون القياسيون مستوى تكامل متوسط ويحصل المستخدمون المتميزون على مستوى تكامل مرتفع. لمزيد من المعلومات، راجع التحكم الإلزامي في التكامل - تطبيقات Win32. |
| ParentProcessMD5 | اختياري | MD5 | تجزئة MD5 لملف صورة العملية الأصل. مثال: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | اختياري | SHA1 | تجزئة SHA-1 لملف صورة العملية الأصل. مثال: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | اختياري | SHA256 | تجزئة SHA-256 لملف صورة العملية الأصل. مثال: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | اختياري | SHA512 | تجزئة SHA-512 لملف صورة العملية الأصل. |
| ParentProcessIMPHASH | اختياري | السلسلة | تجزئة الاستيراد لجميع مكتبات DLL المستخدمة من قِبَل العملية الأصل. |
| ParentProcessTokenElevation | اختياري | السلسلة | رمز يشير إلى وجود أو عدم وجود رفع امتياز التحكم في وصول المستخدم (UAC) المطبق على العملية الرئيسية. مثال: None |
| ParentProcessCreationTime | اختياري | DateTime | تاريخ ووقت بدء العملية الأصلية. |
حقول المستخدم المُستهدف
| الحقل | الفصل | كتابة | الوصف |
|---|---|---|---|
| اسم المستخدم المستهدف | إلزامي لعملية إنشاء الأحداث. | اسم المستخدم (نص) | اسم المستخدم المُستهدف، بما يشمل معلومات المجال عند توفرها. للحصول على التنسيق المدعوم لأنواع المعرفات المختلفة، ارجع إلى كيان المستخدم. استخدم النموذج البسيط فقط في حالة عدم توفر معلومات المجال. قم بتخزين نوع اسم المستخدم في الحقل TargetUsernameType. في حالة توفر تنسيقات أخرى لاسم المستخدم، قم بتخزينها في الحقول TargetUsername<UsernameType>.مثال: AlbertE |
| TargetUsernameType | شرطي | Enumerated | يحدد نوع اسم المستخدم المخزن في حقل TargetUsername. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، راجع UsernameType في Schema Overview article. مثال: Windows |
| TargetUserId | مستحسن | السلسلة | تمثيل فريد أبجدي رقمي يمكن قراءته آلياً للمستخدم المستهدف. للحصول على التنسيق المدعوم لأنواع المعرفات المختلفة، ارجع إلى كيان المستخدم. مثال: S-1-12 |
| TargetUserIdType | شرطي | UserIdType | نوع المعرّف المُخزَّن في الحقل TargetUserId. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، راجع UserIdType في Schema Overview article. |
| TargetUserSessionId | اختياري | السلسلة | المعرف الفريد لجلسة تسجيل دخول المستخدم المستهدف. مثال: 999 ملاحظة: يتم تعريف النوع على أنه سلسلة لدعم الأنظمة المختلفة، ولكن في Windows يجب أن تكون هذه القيمة رقمية. إذا كنت تستخدم جهازاً يعمل بنظام Windows أو Linux وتستخدم نوعاً مختلفاً، فتأكد من تحويل القيم. على سبيل المثال، إذا استخدمت قيمة سداسية عشرية، فحولها إلى قيمة عشرية. |
| TargetUserSessionGuid | اختياري | السلسلة | واجهة المستخدم الرسومية الفريدة لجلسة تسجيل دخول المستخدم المستهدف، كما يبلغ الجهاز التقريري. مثال: {12345678-1234-1234-1234-123456789012} |
| TargetUserType | اختياري | UserType | نوع الفاعل. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، راجع UserType في Schema Overview article. ملاحظة: قد يتم توفير القيمة في سجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها مع هذه القيم. تخزين القيمة الأصلية في حقل TargetOriginalUserType. |
| TargetOriginalUserType | اختياري | السلسلة | نوع المستخدم الوجهة الأصلي، إذا تم توفيره بواسطة جهاز الإبلاغ. |
| TargetUserScope | اختياري | السلسلة | النطاق، مثل مستأجر Microsoft Entra، حيث يتم تعريف TargetUserId و TargetUsername . أو مزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScope في مقالة نظرة عامة على المخطط. |
| TargetUserScopeId | اختياري | السلسلة | معرف النطاق، مثل معرف دليل Microsoft Entra، حيث يتم تعريف TargetUserId و TargetUsername . لمزيد من المعلومات وقائمة بالقيم المسموح بها، راجع UserScopeId في مقالة نظرة عامة على المخطط. |
الهدف من مجالات العملية
| الحقل | الفصل | كتابة | الوصف |
|---|---|---|---|
| اسم TargetProcessName | إلزامي | سلسلة | اسم العملية المستهدفة. يُشتق هذا الاسم بشكل شائع من الصورة أو الملف القابل للتنفيذ الذي يُستخدم لتحديد التعليمة البرمجية الأولي والبيانات التي تم تعيينها في مساحة العنوان الظاهرية للعملية. مثال: C:\Windows\explorer.exe |
| TargetProcessFilename | اختياري | السلسلة | اسم الملف جزء من TargetProcessName، بدون معلومات المجلد. مثال: explorer.exe |
| TargetProcessFileCompany | اختياري | السلسلة | اسم الشركة التي أنشأت ملف صورة العملية المستهدفة. مثال: Microsoft |
| TargetProcessFileDescription | اختياري | السلسلة | الوصف من معلومات الإصدار في ملف صورة العملية الهدف. مثال: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | اختياري | السلسلة | اسم المنتج من معلومات الإصدار في ملف صورة العملية الهدف. مثال: Notepad++ |
| TargetProcessFileSize | اختياري | طويل | حجم الملف الذي قام بتشغيل العملية المسؤولة عن الحدث. |
| TargetProcessFileVersion | اختياري | السلسلة | إصدار المنتج من معلومات الإصدار في ملف صورة العملية الهدف. مثال: 7.9.5.0 |
| TargetProcessFileInternalName | اختياري | السلسلة | اسم الملف الداخلي للمنتج من معلومات إصدار ملف الصورة للعملية الهدف. |
| TargetProcessFileOriginalName | اختياري | السلسلة | اسم الملف الأصلي للمنتج من معلومات إصدار ملف الصورة للعملية الهدف. |
| TargetProcessIsHidden | اختياري | Boolean | إشارة إلى ما إذا كانت العملية المستهدفة في الوضع الخفي. |
| TargetProcessInjectedAddress | اختياري | السلسلة | عنوان الذاكرة الذي يتم تخزين العملية المستهدفة المسؤولة فيه. |
| TargetProcessMD5 | اختياري | MD5 | تجزئة MD5 لملف صورة العملية الهدف. مثال: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | اختياري | SHA1 | تجزئة SHA-1 لملف صورة العملية الهدف. مثال: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | اختياري | SHA256 | تجزئة SHA-256 لملف صورة العملية الهدف. مثال: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | اختياري | SHA512 | تجزئة SHA-512 لملف صورة العملية الهدف. |
| TargetProcessIMPHASH | اختياري | السلسلة | تجزئة الاستيراد لجميع مكتبات DLL المستخدمة من قِبَل العملية الهدف. |
| HashType | شرطي | Enumerated | نوع التجزئة المخزنة في حقل HASH البديل، والقيم المسموح بها هي MD5 وSHASHA256SHA512IMPHASH. |
| TargetProcessCommandLine | إلزامي | السلسلة | سطر الأوامر المستخدم لتشغيل العملية المستهدفة. مثال: "choco.exe" -v |
| دليل TargetProcessCurrentDirectory | اختياري | السلسلة | الدليل الحالي الذي يتم فيه تنفيذ العملية الهدف. مثال: c:\windows\system32 |
| TargetProcessCreationTime | مستحسن | DateTime | إصدار المنتج من معلومات الإصدار لملف صورة العملية الهدف. |
| TargetProcessId | إلزامي | السلسلة | معرّف العملية (PID) للعملية المستهدفة. مثال: 48610176ملاحظة: يتم تعريف النوع على أنه سلسلة لدعم الأنظمة المختلفة، ولكن في نظامي التشغيل Windows وLinux، يجب أن تكون هذه القيمة رقمية. إذا كنت تستخدم جهازاً يعمل بنظام Windows أو Linux وتستخدم نوعاً مختلفاً، فتأكد من تحويل القيم. على سبيل المثال، إذا استخدمت قيمة سداسية عشرية، فحولها إلى قيمة عشرية. |
| TargetProcessGuid | اختياري | GUID (الوتر) | معرف فريد تم إنشاؤه (GUID) للعملية المستهدفة. تمكن من تحديد العملية عبر الأنظمة. مثال: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | اختياري | السلسلة | كل عملية لها مستوى تكامل يتم تمثيله في رمزها المميز. تحدد مستويات النزاهة مستوى عملية الحماية أو الوصول. يحدد Windows مستويات التكامل التالية: منخفضو متوسط و مرتفعو نظام. يتلقى المستخدمون القياسيون مستوى تكامل متوسط ويحصل المستخدمون المتميزون على مستوى تكامل مرتفع. لمزيد من المعلومات، راجع التحكم الإلزامي في التكامل - تطبيقات Win32. |
| TargetProcessTokenElevation | اختياري | السلسلة | يشير نوع الرمز المميز إلى وجود أو عدم وجود رفع امتياز التحكم في وصول المستخدم (UAC) المطبق على العملية التي تم إنشاؤها أو إنهاؤها. مثال: None |
| TargetProcessStatusCode | اختياري | السلسلة | التعليمة البرمجية للخروج التي تم إرجاعها بواسطة العملية الهدف عند إنهائها. هذا الحقل صالح فقط لأحداث إنهاء العملية. للتناسق، يكون نوع الحقل سلسلة، حتى إذا كانت القيمة التي يوفرها نظام التشغيل رقمية. |
حقول الفحص
تستخدم الحقول التالية لتمثيل ذلك الفحص الذي يجري بواسطة نظام أمني مثل نظام EDR.
| الحقل | الفصل | كتابة | الوصف |
|---|---|---|---|
| اسم القاعدة | اختياري | السلسلة | اسم القاعدة أو معرفها المرتبط بنتائج الفحص. |
| رقم القاعدة | اختياري | رقم صحيح | عدد القاعدة المقترنة بنتائج الفحص. |
| حكم | شرطي | السلسلة | إما قيمة kRuleName أو قيمة RuleNumber. إذا تم استخدام قيمة RuleNumber ، يجب تحويل النوع إلى سلسلة. |
| معرف التهديد | اختياري | السلسلة | معرف التهديد أو البرامج الضارة المحددة في نشاط الملف. |
| اسم التهديد | اختياري | السلسلة | اسم التهديد أو البرامج الضارة المحددة في نشاط الملف. مثال: EICAR Test File |
| فئة التهديد | اختياري | السلسلة | فئة التهديد أو البرامج الضارة المحددة في نشاط الملف. مثال: Trojan |
| مستوى التهديد | اختياري | مستوى المخاطر (عدد صحيح) | مستوى المخاطر المرتبط بالتهديد المحدد. يلزم أن يكون المستوى رقمًا بين 0 و100. ملاحظة: قد تتوفر القيمة في سجل المصدر باستخدام أحجام مختلفة، والتي يجب أن تكون مطابقة لهذا الحجم. يجب تخزين القيمة الأصلية في مستوى ThreatOriginalRiskLevel. |
| التهديد الأصليمستوى المخاطر | اختياري | السلسلة | مستوى المخاطر كما تم الإبلاغ عنه من جهاز إعداد التقارير. |
| حقل التهديد | اختياري | السلسلة | الحقل الذي تم تحديد تهديد له. |
| حقل التهديد | اختياري | السلسلة | الحقل الذي تم تحديد تهديد له. |
| التهديد | اختياري | مستوى الثقة (عدد صحيح) | مستوى ثقة التهديد المحدد، الذي تمت تسويته إلى قيمة بين 0 و100. |
| التهديد الأصلي | اختياري | السلسلة | مستوى الثقة الأصلي للتهديد المحدد، كما تم الإبلاغ عنه من قبل جهاز الإبلاغ. |
| التهديد هو نشط | اختياري | Boolean | صحيح إذا كان التهديد المحدد يعتبر تهديدا نشطا. |
| ThreatFirstReportTime | اختياري | datetime | في المرة الأولى التي تم فيها تحديد عنوان IP أو المجال كتهديد. |
| ThreatLastReportTime | اختياري | datetime | في المرة الأخيرة التي تم فيها تحديد عنوان IP أو المجال كتهديد. |
تحديثات المخطط
هذه هي التغييرات في الإصدار 0.1.1 من المخطط:
- تمت إضافة الحقل
EventSchema.
هذه هي التغييرات في الإصدار 0.1.2 من المخطط
- تمت إضافة الحقول
ActorUserTypeوActorOriginalUserTypeTargetUserTypeTargetOriginalUserTypeHashType.
هذه هي التغييرات في الإصدار 0.1.3 من المخطط
- تم تغيير الحقول
ParentProcessIdوTargetProcessCreationTimeمن إلزامي إلى موصى به.
هذه هي التغييرات في الإصدار 0.1.4 من المخطط
- تمت إضافة الحقول
ActorScopeوDvcScopeIdوDvcScope.
الخطوات التالية
لمزيد من المعلومات، راجع: