إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يُستخدم مخطط تسوية إدارة مستخدم Microsoft Sentinel لوصف أنشطة إدارة المستخدم، مثل إنشاء مستخدم أو مجموعة أو تغيير سمة المستخدم أو إضافة مستخدم إلى مجموعة. يتم الإبلاغ بمثل هذه الأحداث، مثل، بواسطة أنظمة التشغيل وخدمات الدليل وأنظمة إدارة الهوية وأي نظام إعداد تقارير آخر حول نشاط إدارة المستخدم المحلي.
لمزيد من المعلومات بشأن التسوية في Microsoft Sentinel، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM).
نظرة عامة على المخطط
يصف مخطط إدارة مستخدم نموذج معلومات الأمان المتقدم أنشطة إدارة المستخدم. وعادةً ما تتضمن الأنشطة الكيانات التالية:
- المستخدم - المستخدم القائم بنشاط الإدارة.
- عملية الاستخدام - العملية التي يستخدمها المستخدم لأداء نشاط الإدارة.
- Src - عند تنفيذ النشاط عبر الشبكة، الجهاز المصدر الذي بدأ منه النشاط.
- المستخدم المُستهدف - المستخدم الذي يُدار حسابه.
- المجموعة التي يُضاف المُستخدم الهدف إليها أو يُزال منها أو يجري تعديلها.
تتولى بعض الأنشطة، مثل UserCreated وGroupCreated وUserModified وGroupModified*، تعيين خصائص المستخدم أو تحديثها. يتم توثيق مجموعة الخصائص أو تحديثها في الحقول التالية:
- EventSubType - اسم القيمة المُعيَّنة أو المُحدَّثة. UpdatedPropertyName هو اسم مستعار لـ EventSubType عندما يشير EventSubType إلى أحد أنواع الأحداث ذات الصلة.
- PreviousPropertyValue - القيمة السابقة للخاصية.
- NewPropertyValue - القيمة المُحدَّثة للخاصية.
تفاصيل المُخطط
حقول ASIM المشتركة
هام
توصف الحقول المشتركة لكافة المخططات بالتفصيل في مقالة الحقول المشتركة لـ ASIM.
الحقول المشتركة مع وجود إرشادات محددة
تشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث نشاط العملية:
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| EventType | إلزامي | Enumerated | يصف العملية التي أبلغ بها السجل. بالنسبة لنشاط إدارة المستخدم، فالقيم المدعومة هي: - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| نوع فرعي الحدث | اختياري | Enumerated | الأنواع الفرعية التالية مدعومة: - UserRead: كلمة السر، شفرة التجزئة- UserCreated، GroupCreated، UserModified، . GroupModified لمزيد من المعلومات، راجع UpdatedPropertyName |
| EventResult | إلزامي | Enumerated | الفشل ممكن، لكن معظم الأنظمة تبلغ بأحداث إدارة المستخدم الناجحة فحسب. القيمة المُتوقعة للأحداث الناجحة هي Success. |
| EventResultDetails | مستحسن | Enumerated | القيم الصالحة هي NotAuthorized وOther. |
| EventSeverity | إلزامي | Enumerated | يُسمح بأية قيمة خطورة صالحة، لكن خطورة أحداث إدارة المستخدم عادةً تكون Informational. |
| EventSchema | إلزامي | Enumerated | اسم المخطط الموثّق هنا هو UserManagement. |
| EventSchemaVersion | إلزامي | إصدار المخطط (السلسلة النصية) | إصدار المُخطط. إصدار المخطط الموثّق هنا هو 0.1.2. |
| حقول Dvc | بالنسبة إلى أحداث إدارة المستخدم، تشير حقول الجهاز إلى النظام الذي يبلغ بالحدث. عادةً ما يكون هذا هو النظام الذي يُدار المستخدم عليه. |
جميع الحقول الشائعة
تُعد الحقول التي تظهر في الجدول أدناه مشتركة في جميع مخططات ASIM. أية مبادئ توجيهية محددة أعلاه تلغي الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريًا بشكل عام، لكنه إلزامي لمخطط معين. لمزيد من التفاصيل حول كل حقل، راجع المقالة الحقول المشتركة لـ ASIM.
| فصل | الحقول |
|---|---|
| إلزامي |
-
عدد الأحداث - الحدثStartTime - الحدثنهاية الوقت - نوع الحدث - نتيجة الحدث - منتج الحدث - الحدث البائع - مخطط الحدث - EventSchemaVersion - دي في سي |
| مستحسن |
-
EventResultتفاصيل - حدث كلي - EventUid - DvcIpAddr - Dvcاسم المضيف - DvcDomain - DvcDomainType - DvcFQDN - معرف Dvc - نوع DvcId - دي في سي أكشن |
| اختياري |
-
رسالة الحدث - نوع فرعي الحدث - EventOriginalUid - نوع الحدث الأصلي - الحدث النوع الفرعي الأصلي - الحدثOriginalResultالتفاصيل - الحدثالأصلالخطورة - الحدثProductVersion - الحدثتقريرUrl - مالك الحدث - دي في سي زون - دي في سي ماك أدر - دي في سي - دي في سي أو إس فريجن - دي في سي الأصلي - واجهة DvcInterface - حقول إضافية - وصف DvcDescription - معرف DvcScopeId - دي في سي سكوب |
حقول الخصائص المُحدَّثة
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| UpdatedPropertyName | الاسم المستعار | الاسم المستعار لـ EventSubType عندما يكون نوع الحدث UserCreatedأو GroupCreated أو UserModified أو GroupModified.القيم المدعومة هي: - MultipleProperties: تُستخدم عند تحديث النشاط لخصائص متعددة- Previous<PropertyName>، إذ تمثل <PropertyName> إحدى القيم المدعومة لـ UpdatedPropertyName. - New<PropertyName>، إذ تمثل <PropertyName> إحدى القيم المدعومة لـ UpdatedPropertyName. |
|
| القيمة السابقة | اختياري | السلسلة | القيمة السابقة المُخزَّنة في الخاصية المحددة. |
| قيمة المنتج الجديد | اختياري | السلسلة | القيمة الجديدة المُخزَّنة في الخاصية المحددة. |
حقول المستخدم المُستهدف
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| TargetUserId | اختياري | السلسلة | تمثيل فريد أبجدي رقمي يمكن قراءته آلياً للمستخدم المستهدف. تشمل التنسيقات والأنواع المدعومة ما يلي: - SID (ويندوز): S-1-5-21-1377283216-344919071-3415362939-500- UID (لينكس): 4578- AADID (معرف Microsoft Entra): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- أوكتاليد: 00urjk4znu3BcncfY0h7- AWSd: 72643944673تخزين نوع المعرّف في الحقل TargetUserIdType. في حال توفر معرّفات أخرى، نوصي بتسوية أسماء الحقول إلى TargetUserSid وTargetUserUid وTargetUserAADID وTargetUserOktaId وTargetUserAwsId على التوالي. لمزيد من المعلومات، راجع كيان المستخدم. مثال: S-1-12 |
| TargetUserIdType | Conditional | Enumerated | نوع المعرّف المُخزَّن في الحقل TargetUserId. القيم المدعومة هي SID وUID وAADID وOktaId وAWSId. |
| اسم المستخدم المستهدف | اختياري | اسم المستخدم (نص) | اسم المستخدم المُستهدف، بما يشمل معلومات المجال عند توفرها. استخدم أحد التنسيقات التالية وبالترتيب التالي للأولوية: - اسم المستخدم الأساسي/عنوان البريد الإلكتروني: johndow@contoso.com- ويندوز: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- بسيط: johndow. استخدم النموذج البسيط فحسب في حال عدم توفر معلومات المجال.قم بتخزين نوع اسم المستخدم في الحقل TargetUsernameType. في حال توفر معرّفات أخرى، نوصيك بتسوية أسماء الحقول إلى TargetUserUpnو TargetUserWindows وTargetUserDn. لمزيد من المعلومات، راجع كيان المستخدم. مثال: AlbertE |
| TargetUsernameType | Conditional | Enumerated | يحدد نوع اسم المستخدم المُخزَّن في الحقل TargetUsername. تشمل القيم المدعومة UPN وWindows وDN وSimple. لمزيد من المعلومات، راجع كيان المستخدم.مثال: Windows |
| TargetUserType | اختياري | Enumerated | نوع المستخدم المُستهدف. تشمل القيم المدعومة: - Regular- Machine- Admin- System- Application- Service Principal- Otherملاحظة: قد يتم توفير القيمة في سجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها مع هذه القيم. تخزين القيمة الأصلية في حقل TargetOriginalUserType. |
| TargetOriginalUserType | اختياري | السلسلة | نوع مستخدم الوجهة الأصلي، إذا وفّره المصدر. |
| TargetUserScope | اختياري | السلسلة | النطاق، مثل مستأجر Microsoft Entra، حيث يتم تعريف TargetUserId و TargetUsername . أو مزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScope في مقالة نظرة عامة على المخطط. |
| TargetUserScopeId | اختياري | السلسلة | معرف النطاق، مثل معرف دليل Microsoft Entra، حيث يتم تعريف TargetUserId و TargetUsername . لمزيد من المعلومات وقائمة بالقيم المسموح بها، راجع UserScopeId في مقالة نظرة عامة على المخطط. |
| TargetUserSessionId | اختياري | السلسلة | المعرف الفريد لجلسة تسجيل دخول المستخدم المستهدف. مثال: 999 ملاحظة: يتم تعريف النوع على أنه سلسلة لدعم الأنظمة المختلفة، ولكن في Windows يجب أن تكون هذه القيمة رقمية. إذا كنت تستخدم جهازاً يعمل بنظام Windows أو Linux وتستخدم نوعاً مختلفاً، فتأكد من تحويل القيم. على سبيل المثال، إذا استخدمت قيمة سداسية عشرية، فحولها إلى قيمة عشرية. |
حقول المستخدم
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| معرف المستخدم الممثل | اختياري | السلسلة | تمثيل فريد أبجدي رقمي قابل للقراءة آليًا للمستخدم. تشمل التنسيقات والأنواع المدعومة ما يلي: - SID (ويندوز): S-1-5-21-1377283216-344919071-3415362939-500- UID (لينكس): 4578- AADID (معرف Microsoft Entra): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- أوكتاليد: 00urjk4znu3BcncfY0h7- AWSd: 72643944673تخزين نوع المعرف في الحقل ActorUserIdType. في حال توفر معرّفات أخرى، نوصي بتسوية أسماء الحقول إلى ActorUserSid وActorUserUid وActorUserAadId وActorUserOktaId وActorAwsId على التوالي. لمزيد من المعلومات، راجع كيان المستخدم. مثال: S-1-12 |
| نوع المستخدم المستخدم | Conditional | Enumerated | نوع المعرف المخزن في الحقل ActorUserId. تشمل القيم المدعومة SID وUID وAADID وOktaId وAWSId. |
| الممثلUsername | إلزامي | اسم المستخدم (نص) | اسم مستخدم الممثل، بما في ذلك معلومات المجال عند توفرها. استخدم أحد التنسيقات التالية وبالترتيب التالي للأولوية: - اسم المستخدم الأساسي/عنوان البريد الإلكتروني: johndow@contoso.com- ويندوز: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- بسيط: johndow. استخدم النموذج البسيط فحسب في حال عدم توفر معلومات المجال.خزّن نوع اسم المستخدم في الحقل ActorUsernameType. في حال توفر معرّفات أخرى، نوصيك بتسوية أسماء الحقول إلى ActorUserUpn وActorUserWindows وActorUserDn. لمزيد من المعلومات، راجع كيان المستخدم. مثال: AlbertE |
| مستخدم | الاسم المستعار | اسم مستعار لـ ActorUsername. | |
| نوع المستخدمUsername | Conditional | Enumerated | يحدد نوع اسم المستخدم المُخزَّن في الحقل ActorUsername. القيم المدعومة هي UPN وWindows وDN وSimple. لمزيد من المعلومات، راجع كيان المستخدم.مثال: Windows |
| ActorUserType | اختياري | Enumerated | نوع المستخدم. القيم المسموح بها هي: - Regular- Machine- Admin- System- Application- Service Principal- Otherملاحظة: قد يتم توفير القيمة في سجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها مع هذه القيم. تخزين القيمة الأصلية في حقل ActorOriginalUserType. |
| نوع المستخدم الأصلي للممثل | اختياري | السلسلة | نوع المستخدم الوجهة الأصلي، إذا تم توفيره بواسطة جهاز الإبلاغ. |
| نوع المستخدم الأصلي للممثل | نوع مستخدم المستخدم الأصلي، إذا وفّره المصدر. | ||
| ActorSessionId | اختياري | السلسلة | المعرف الفريد لجلسة تسجيل دخول الممثل. مثال: 999ملاحظة: يتم تعريف النوع على أنه سلسلة لدعم الأنظمة المختلفة، ولكن في Windows يجب أن تكون هذه القيمة رقمية. إذا كنت تستخدم جهازًا يعمل بنظام التشغيل Windows أو Linux واستخدمت نوعًا مختلفًا، فتأكد من تحويل القيم. على سبيل المثال، إذا استخدمت قيمة سداسية عشرية، فحولها إلى قيمة عشرية. |
| ActorScope | اختياري | السلسلة | النطاق، مثل مستأجر Microsoft Entra، حيث يتم تعريف ActorUserId و ActorUsername. أو مزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScope في مقالة نظرة عامة على المخطط. |
| ActorScopeId | اختياري | السلسلة | معرف النطاق، مثل معرف دليل Microsoft Entra، حيث يتم تعريف ActorUserId و ActorUsername. أو مزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScopeId في مقالة نظرة عامة على المخطط. |
حقول المجموعات
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| معرف المجموعة | اختياري | السلسلة | تمثيل فريد أبجدي رقمي يمكن قراءته آليًا للمجموعة، للأنشطة التي تتضمن مجموعة. تشمل التنسيقات والأنواع المدعومة ما يلي: - SID (ويندوز): S-1-5-21-1377283216-344919071-3415362939-500- UID (لينكس): 4578تخزين نوع المعرف في حقل GroupIdType. في حال توفر معرّفات أخرى، نوصيك بتسوية أسماء الحقول إلى GroupSid أو GroupUid على التوالي. لمزيد من المعلومات، راجع كيان المستخدم. مثال: S-1-12 |
| GroupIdType | اختياري | Enumerated | نوع المعرّف المُخزَّن في حقل GroupId. القيم المدعومة هي SID وUID. |
| اسم المجموعة | اختياري | السلسلة | اسم المجموعة، بما يشمل معلومات المجال عند توفرها، للأنشطة التي تتضمن مجموعة. استخدم أحد التنسيقات التالية وبالترتيب التالي للأولوية: - اسم المستخدم الأساسي/عنوان البريد الإلكتروني: grp@contoso.com- ويندوز: Contoso\grp- DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM- بسيط: grp. استخدم النموذج البسيط فحسب في حال عدم توفر معلومات المجال.تخزين نوع اسم المجموعة في حقل GroupNameType. إذا كانت المعرفات الأخرى متوفرة، نوصي بتطبيع أسماء الحقول إلى GroupUpn وGroupNameWindows وGroupDn. مثال: Contoso\Finance |
| GroupNameType | اختياري | Enumerated | يحدد نوع اسم المجموعة المُخزَّن في الحقل GroupName. تشمل القيم المدعومة UPN وWindows وDN وSimple.مثال: Windows |
| GroupType | اختياري | Enumerated | نوع المجموعة، للأنشطة التي تتضمن مجموعة. تشمل القيم المدعومة: - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- Otherملاحظة: قد يتم توفير القيمة في سجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها مع هذه القيم. تخزين القيمة الأصلية في حقل GroupOriginalType. |
| مجموعة أصلية | اختياري | السلسلة | نوع المجموعة الأصلي، إذا وفّره المصدر. |
حقول المصدر
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| SRC | مستحسن | السلسلة | معرّف فريد للجهاز المصدر. يمكن أن يُعتبر هذا الحقل اسمًا مستعارًا للحقول SrcDvcId أو SrcHostname أو SrcIpAddr. مثال: 192.168.12.1 |
| SrcIpAddr | مستحسن | عنوان IP | عنوان IP للجهاز المصدر. هذه القيمة إلزامية في حال تحديد SrcHostname. مثال: 77.138.103.108 |
| بروتوكول IpAddr | الاسم المستعار | الاسم المستعار لـ SrcIpAddr. | |
| رقم منفذ Src | اختياري | العدد الصحيح | منفذ IP الذي نشأ منه الاتصال. قد لا تكون ذات صلة بجلسة عمل تتضمن اتصالات متعددة. مثال: 2335 |
| SrcMacAddr | اختياري | عنوان MAC (السلسلة) | عنوان MAC لواجهة الشبكة التي نشأ منها الاتصال أو الجلسة. مثال: 06:10:9f:eb:8f:14 |
| وصف Src | اختياري | السلسلة | نص وصفي مرتبط بالجهاز. على سبيل المثال: Primary Domain Controller. |
| اسم SrcHostname | مستحسن | السلسلة | اسم مضيف الجهاز المصدر، باستثناء معلومات المجال. مثال: DESKTOP-1282V4D |
| SrcDomain | مستحسن | المجال (السلسلة) | مجال الجهاز المصدر. مثال: Contoso |
| SrcDomainType | مستحسن | Enumerated | نوع SrcDomain، إذا كان معروفًا. تشمل القيم المتاحة ما يلي: - Windows (مثل contoso)- FQDN (مثل microsoft.com)مطلوب في حال استخدام SrcDomain. |
| SrcFQDN | اختياري | FQDN (الوتر) | اسم مضيف الجهاز المصدر، بما يشمل معلومات المجال عند توفرها. ملاحظة: يدعم هذا الحقل كلًا من تنسيق FQDN التقليدي وتنسيق Windows domain \ hostname. يعكس الحقل SrcDomainType التنسيق المُستخدم. مثال: Contoso\DESKTOP-1282V4D |
| معرف SrcDvcId | اختياري | السلسلة | معرّف الجهاز المصدر كما تم الإبلاغ به في السجل. مثال: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | اختياري | السلسلة | معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. مخطط SrcDvcScopeId إلى معرف اشتراك على Azure ومعرف حساب على AWS. |
| SrcDvcScope | اختياري | السلسلة | نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. مخطط SrcDvcScope إلى معرف اشتراك على Azure وإلى معرف حساب على AWS. |
| SrcDvcIdType | Conditional | Enumerated | نوع SrcDvcId، إذا كان معروفًا. تشمل القيم المتاحة ما يلي: - AzureResourceId- MDEidفي حال توفر معرّفات متعددة، استخدم المعرّف الأول من القائمة، وخزّن المعرّفات الأخرى في SrcDvcAzureResourceId وSrcDvcMDEid على التوالي. ملاحظة: هذا الحقل مطلوب في حال استخدام SrcDvcId. |
| SrcDeviceType | اختياري | Enumerated | نوع الجهاز المصدر. تشمل القيم المتاحة ما يلي: - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | اختياري | الدولة | البلد/المنطقة المقترنة بعنوان IP المصدر. مثال: USA |
| SrcGeoRegion | اختياري | المنطقة | المنطقة المقترنة بعنوان IP المصدر. مثال: Vermont |
| SrcGeoCity | اختياري | المدينة | المدينة المقترنة بعنوان IP للمصدر. مثال: Burlington |
| SrcGeoLatitude | اختياري | Latitude | خط عرض الإحداثيات الجغرافية المقترنة بعنوان IP المصدر. مثال: 44.475833 |
| SrcGeoLongitude | اختياري | Longitude | خط طول الإحداثيات الجغرافية المقترنة بعنوان IP المصدر. مثال: 73.211944 |
| SrcRiskLevel | اختياري | العدد الصحيح | مستوى المخاطر المقترن بالمصدر. يجب تعديل القيمة إلى نطاق من 0 إلى 100، مع 0 لغير ضارة و100 لخطر كبير.مثال: 90 |
| SrcOriginalRiskLevel | اختياري | السلسلة | مستوى المخاطر المقترن بالمصدر، كما تم الإبلاغ عنه بواسطة جهاز التقارير. مثال: Suspicious |
التطبيق قيد الاستخدام
حقول الفحص
تستخدم الحقول التالية لتمثيل ذلك الفحص الذي يجري بواسطة نظام أمني مثل نظام EDR.
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| اسم القاعدة | اختياري | السلسلة | اسم القاعدة أو معرفها المرتبط بنتائج الفحص. |
| رقم القاعدة | اختياري | العدد الصحيح | عدد القاعدة المقترنة بنتائج الفحص. |
| حكم | Conditional | السلسلة | إما قيمة kRuleName أو قيمة RuleNumber. إذا تم استخدام قيمة RuleNumber ، يجب تحويل النوع إلى سلسلة. |
| معرف التهديد | اختياري | السلسلة | معرف التهديد أو البرامج الضارة المحددة في نشاط الملف. |
| اسم التهديد | اختياري | السلسلة | اسم التهديد أو البرامج الضارة المحددة في نشاط الملف. مثال: EICAR Test File |
| فئة التهديد | اختياري | السلسلة | فئة التهديد أو البرامج الضارة المحددة في نشاط الملف. مثال: Trojan |
| مستوى التهديد | اختياري | مستوى المخاطر (عدد صحيح) | مستوى المخاطر المرتبط بالتهديد المحدد. يلزم أن يكون المستوى رقمًا بين 0 و100. ملاحظة: قد تتوفر القيمة في سجل المصدر باستخدام أحجام مختلفة، والتي يجب أن تكون مطابقة لهذا الحجم. يجب تخزين القيمة الأصلية في مستوى ThreatOriginalRiskLevel. |
| التهديد الأصليمستوى المخاطر | اختياري | السلسلة | مستوى المخاطر كما تم الإبلاغ عنه من جهاز إعداد التقارير. |
| حقل التهديد | اختياري | السلسلة | الحقل الذي تم تحديد تهديد له. |
| التهديد | اختياري | مستوى الثقة (عدد صحيح) | مستوى ثقة التهديد المحدد، الذي تمت تسويته إلى قيمة بين 0 و100. |
| التهديد الأصلي | اختياري | السلسلة | مستوى الثقة الأصلي للتهديد المحدد، كما تم الإبلاغ عنه من قبل جهاز الإبلاغ. |
| التهديد هو نشط | اختياري | منطقي | صحيح إذا كان التهديد المحدد يعتبر تهديدا نشطا. |
| ThreatFirstReportTime | اختياري | datetime | في المرة الأولى التي تم فيها تحديد عنوان IP أو المجال كتهديد. |
| ThreatLastReportTime | اختياري | datetime | في المرة الأخيرة التي تم فيها تحديد عنوان IP أو المجال كتهديد. |
حقول وأسماء مستعارة إضافية
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| اسم المضيف | الاسم المستعار | الاسم المستعار لـ DvcHostname. |
تحديثات المخطط
التغييرات في الإصدار 0.1.2 من المخطط هي:
- تمت إضافة حقول تفتيش.
- أضفت الحقول المصدر ،
SrcDescription، ،SrcMacAddrSrcOriginalRiskLevelSrcPortNumber،SrcRiskLevel - تمت إضافة الحقول
TargetUserScopeالمستهدفة ،TargetUserScopeId،TargetUserSessionId - أضيفت حقول
ActorOriginalUserTypeالممثل ،ActorScope،ActorScopeId - تمت إضافة حقل التطبيق المؤقت
ActingOriginalAppType
الخطوات التالية
لمزيد من المعلومات، راجع: