حدث
إنشاء تطبيقات ووكلاء الذكاء الاصطناعي
١٧ رمضان، ٩ م - ٢١ رمضان، ١٠ ص
انضم إلى سلسلة الاجتماعات لإنشاء حلول الذكاء الاصطناعي قابلة للتطوير استنادا إلى حالات الاستخدام في العالم الحقيقي مع المطورين والخبراء الآخرين.
تسجيل الآنسجلات أحداث ASimAuthentication
جدول أحداث المصادقة التي تمت تسويتها في Microsoft Sentinel. يخزن الأحداث المقترنة، على سبيل المثال، بمصادقة المستخدم وتسجيل الدخول وتسجيل الخروج.
| السمة | القيمة |
|---|---|
| أنواع الموارد | microsoft.securityinsights/authenticationevent |
| الفئات | الأمان |
| الحلول | SecurityInsights |
| السجل الأساسي | لا |
| تحويل وقت الاستيعاب | نعم |
| نماذج الاستعلامات | - |
| Column | نوع | الوصف |
|---|---|---|
| ActingAppId | سلسلة | معرّف التطبيق الذي يصرح نيابة عن الممثل، بما في ذلك العملية أو المستعرض أو الخدمة. |
| ActingAppName | سلسلة | اسم التطبيق الذي يصرح نيابة عن الممثل، بما في ذلك العملية أو المستعرض أو الخدمة. |
| ActingAppType | سلسلة | نوع التطبيق قيد الاستخدام. |
| ActingOriginalAppType | سلسلة | نوع التطبيق بالنيابة كما تم الإبلاغ عنه من قبل جهاز إعداد التقارير. |
| ActorOriginalUserType | سلسلة | نوع المستخدم كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. |
| ActorScope | سلسلة | النطاق، مثل مستأجر Azure AD، حيث يتم تعريف ActorUserId و ActorUsername. |
| ActorScopeId | سلسلة | معرف النطاق، مثل معرف مستأجر Azure AD، حيث يتم تعريف ActorUserId و ActorUsername. |
| ActorSessionId | سلسلة | المعرّف الفريد لجلسة تسجيل دخول المستخدم. |
| ActorUserId | سلسلة | تمثيل فريد للفاعل يمكن قراءته آليا أبجديا رقميا. |
| ActorUserIdType | سلسلة | نوع المعرف المخزن في الحقل ActorUserId. |
| ActorUsername | سلسلة | اسم المستخدم الخاص بالممثل، بما في ذلك معلومات المجال عند توفره. |
| ActorUsernameType | سلسلة | يحدد نوع اسم المستخدم المخزن في الحقل ActorUsername. |
| ActorUserType | سلسلة | نوع المستخدم. |
| AdditionalFields | ديناميكي | معلومات إضافية، ممثلة باستخدام أزواج المفاتيح/القيم التي يوفرها المصدر والتي لا تعين إلى ASim. |
| _BilledSize | real | حجم السجل بالبايت |
| DvcAction | سلسلة | للإبلاغ عن أنظمة الأمان، الإجراء الذي يتخذه النظام. |
| DvcDescription | سلسلة | نص وصفي مرتبط بالجهاز. |
| DvcDomain | سلسلة | مجال الجهاز الذي يبلغ عن الحدث. |
| DvcDomainType | سلسلة | نوع DvcDomain. |
| DvcFQDN | سلسلة | اسم مضيف الجهاز الذي وقع عليه الحدث أو الذي أبلغ عن الحدث. |
| DvcHostname | سلسلة | اسم مضيف الجهاز الذي يبلغ عن الحدث. |
| DvcId | سلسلة | المعرف الفريد للجهاز الذي وقع عليه الحدث أو الذي أبلغ عن الحدث. |
| DvcIdType | سلسلة | نوع DvcId. |
| DvcInterface | سلسلة | واجهة الشبكة المُسجل عليها البيانات. |
| DvcIpAddr | سلسلة | عنوان IP للجهاز الذي يبلغ عن الحدث. |
| DvcMacAddr | سلسلة | عنوان وحدة تحكم وصول الوسائط للجهاز الذي وقع عليه الحدث أو الذي أبلغ عن الحدث. |
| DvcOriginalAction | سلسلة | DvcAction الأصلي المقدم من جهاز إعداد التقارير. |
| DvcOs | سلسلة | نظام تشغيل الجهاز الذي وقع عليه الحدث أو الذي أبلغ عن الحدث. |
| DvcOsVersion | سلسلة | إصدار نظام تشغيل الجهاز الذي وقع عليه الحدث أو الذي أبلغ عن الحدث. |
| DvcScope | سلسلة | نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. مخطط DvcScope إلى معرف اشتراك على Azure ومعرف حساب على AWS. |
| DvcScopeId | سلسلة | معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. تعيين DvcScopeId إلى معرف اشتراك على Azure وإلى معرف حساب على AWS. |
| DvcZone | سلسلة | الشبكة التي وقع عليها الحدث أو التي أبلغت عن الحدث. |
| EventCount | العدد الصحيح | عدد الأحداث التي وصفها السجل. |
| EventEndTime | datetime | الوقت الذي انتهى فيه الحدث. إذا كان المصدر يدعم التجميع وكان السجل يمثل أحداثًا متعددة، فسيتم إنشاء الوقت الذي تم فيه إنشاء الحدث الأخير. إذا لم يتم توفيره بواسطة السجل المصدر، فإن هذا الحقل يسم الحقل TimeGenerated باسم مستعار. |
| EventMessage | سلسلة | رسالة عامة أو وصف. |
| EventOriginalResultDetails | سلسلة | تفاصيل النتيجة الأصلية التي قدمها المصدر. |
| EventOriginalSeverity | سلسلة | الشدة الأصلية على النحو المنصوص عليه من جهاز إعداد التقارير. |
| EventOriginalSubType | سلسلة | النوع الفرعي الأصلي للحدث أو المعرّف، إذا قدمه المصدر. |
| EventOriginalType | سلسلة | نوع أو معرّف الحدث الأصلي، إذا قدمه المصدر. |
| EventOriginalUid | سلسلة | معرّف فريد للسجل الأصلي، إذا قدمه المصدر. |
| مالك الحدث | سلسلة | مالك الحدث، وهو عادة القسم أو الشركة الفرعية التي تم إنشاؤها فيه. |
| EventProduct | سلسلة | المنتج الذي ينشئ الحدث. |
| EventProductVersion | سلسلة | إصدار المنتج الذي قام بإنشاء الحدث. |
| EventReportUrl | سلسلة | عنوان URL تم توفيره في الحدث لمورد يوفر مزيدًا من المعلومات حول الحدث. |
| EventResult | سلسلة | نتيجة الحدث، ممثلة بإحدى القيم التالية: نجاح، جزئي، فشل، NA (غير قابل للتطبيق). قد لا يتم توفير القيمة مباشرة من قبل المصادر، وفي هذه الحالة يتم اشتقاقها من حقول الأحداث الأخرى، على سبيل المثال، حقل EventResultDetails. |
| EventResultDetails | سلسلة | التفاصيل المقترنة بنتيجة الحدث. عادة ما يتم ملء هذا الحقل عندما تكون النتيجة فشلا. |
| EventSchemaVersion | سلسلة | إصدار المُخطط. |
| EventSeverity | سلسلة | شدة الحدث. القيم الصالحة هي: معلوماتية أو منخفضة أو متوسطة أو عالية. |
| EventStartTime | datetime | الوقت الذي بدأ فيه الحدث. إذا كان المصدر يدعم التجميع وكان السجل يمثل أحداثًا متعددة، فهذا يعني أن الوقت الذي تم فيه إنشاء الحدث الأول. إذا لم يتم توفيره بواسطة السجل المصدر، فإن هذا الحقل يسم الحقل TimeGenerated باسم مستعار. |
| EventSubType | سلسلة | نوع تسجيل الدخول على سبيل المثال System أو Interactive أو RemoteInteractive أو Service أو RemoteService أو Remote أو AssumeRole. |
| EventType | سلسلة | يصف العملية التي أبلغ عنها السجل |
| EventVendor | سلسلة | بائع المنتج الذي ينشئ الحدث. |
| HttpUserAgent | سلسلة | عند إجراء المصادقة عبر HTTP أو HTTPS، تكون قيمة هذا الحقل هي عنوان HTTP user_agent الذي يوفره التطبيق قيد الاستخدام عند إجراء المصادقة. |
| _IsBillable | سلسلة | تحديد ما إذا كان استيعاب البيانات قابلا للفوترة. عندما _IsBillable لا false تتم فوترة الاستيعاب إلى حساب Azure الخاص بك |
| LogonMethod | سلسلة | الطريقة المستخدمة لإجراء المصادقة. |
| LogonProtocol | سلسلة | البروتوكول المُستخدم لإجراء المصادقة. |
| _ResourceId | سلسلة | معرّف فريد للمورد الذي يقترن به السجل |
| RuleName | سلسلة | اسم القاعدة المقترنة بنتائج الفحص أو معرفها. |
| RuleNumber | العدد الصحيح | عدد القاعدة المقترنة بنتائج الفحص. |
| نظام المصدر | سلسلة | نوع العامل الذي تم جمع الحدث من قبله. على سبيل المثال، OpsManager بالنسبة لعامل Windows، إما الاتصال المباشر أو Operations Manager، Linux لجميع عوامل Linux، أو Azure لتشخيص Azure |
| SrcDescription | سلسلة | نص وصفي مقترن بالجهاز المصدر. |
| SrcDeviceType | سلسلة | نوع الجهاز المصدر. |
| SrcDomain | سلسلة | مجال الجهاز المصدر. |
| SrcDomainType | سلسلة | نوع SrcDomain. |
| SrcDvcId | سلسلة | معرّف الجهاز المصدر. |
| SrcDvcIdType | سلسلة | نوع SrcDvcId. |
| SrcDvcOs | سلسلة | نظام تشغيل الجهاز المصدر. |
| SrcDvcScope | سلسلة | نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز المصدر. مخطط SrcDvcScope إلى معرف اشتراك على Azure وإلى معرف حساب على AWS. |
| SrcDvcScopeId | سلسلة | معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز المصدر. مخطط SrcDvcScopeId إلى معرف اشتراك على Azure ومعرف حساب على AWS. |
| SrcFQDN | سلسلة | اسم مضيف الجهاز المصدر، بما يشمل معلومات المجال عند توفرها. |
| SrcGeoCity | سلسلة | المدينة المقترنة بعنوان IP للمصدر. |
| SrcGeoCountry | سلسلة | البلد المقترن بعنوان IP للمصدر. |
| SrcGeoLatitude | real | خط عرض الإحداثيات الجغرافية المقترنة بعنوان IP المصدر. |
| SrcGeoLongitude | real | خط طول الإحداثيات الجغرافية المقترنة بعنوان IP المصدر. |
| SrcGeoRegion | سلسلة | المنطقة داخل بلد مقترن بعنوان IP للمصدر. |
| SrcHostname | سلسلة | اسم مضيف الجهاز المصدر، باستثناء معلومات المجال. |
| SrcIpAddr | سلسلة | عنوان IP للجهاز المصدر. |
| SrcIsp | سلسلة | مزود خدمة الإنترنت (ISP) الذي يستخدمه الجهاز المصدر للاتصال بالإنترنت. |
| SrcOriginalRiskLevel | سلسلة | مستوى المخاطرة غير مرتبط بالمصدر المحدد كما تم الإبلاغ عنه من قبل جهاز التقارير. |
| SrcPortNumber | العدد الصحيح | منفذ IP الذي نشأ منه الاتصال. |
| SrcRiskLevel | العدد الصحيح | مستوى المخاطر المقترن بالمصدر المحدد. |
| _SubscriptionId | سلسلة | معرّف فريد للاشتراك الذي يقترن السجل به |
| TargetAppId | سلسلة | معرّف التطبيق المطلوب الترخيص له، وغالبًا ما يتم تعيينه بواسطة جهاز إعداد التقارير. |
| TargetAppName | سلسلة | اسم التطبيق المطلوب الترخيص له، بما في ذلك خدمة أو عنوان URL أو تطبيق SaaS. |
| TargetAppType | سلسلة | نوع طلب الإذن نيابة عن الممثل. |
| TargetDescription | سلسلة | نص وصفي مقترن بالجهاز الهدف. |
| TargetDeviceType | سلسلة | نوع الجهاز المستهدف. |
| TargetDomain | سلسلة | مجال الجهاز المستهدف. |
| TargetDomainType | سلسلة | نوع TargetDomain. |
| TargetDvcId | سلسلة | معرّف الجهاز المستهدف. |
| TargetDvcIdType | سلسلة | نوع TargetDvcId. |
| TargetDvcOs | سلسلة | نظام تشغيل الجهاز المستهدف. |
| TargetDvcScope | سلسلة | نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز الهدف. تعيين TargetDvcScope إلى معرف اشتراك على Azure وإلى معرف حساب على AWS. |
| TargetDvcScopeId | سلسلة | معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز الهدف. تعيين TargetDvcScopeId إلى معرف اشتراك على Azure وإلى معرف حساب على AWS. |
| TargetFQDN | سلسلة | اسم مضيف الجهاز المستهدف، بما في ذلك معلومات المجال عند توفرها. |
| TargetGeoCity | سلسلة | المدينة المرتبطة بعنوان IP الهدف. |
| TargetGeoCountry | سلسلة | البلد المقترن بعنوان IP الهدف. |
| TargetGeoLatitude | real | خط عرض الإحداثيات الجغرافية المرتبطة بعنوان IP الهدف. |
| TargetGeoLongitude | real | خط طول الإحداثيات الجغرافية المرتبطة بعنوان IP الهدف. |
| TargetGeoRegion | سلسلة | المنطقة داخل بلد مرتبط بعنوان IP الهدف. |
| TargetHostname | سلسلة | اسم مضيف الجهاز المستهدف، باستثناء معلومات المجال. |
| TargetIpAddr | سلسلة | عنوان IP للجهاز المستهدف. |
| TargetOriginalAppType | سلسلة | نوع التطبيق الهدف كما تم الإبلاغ عنه بواسطة جهاز التقارير. |
| TargetOriginalRiskLevel | سلسلة | مستوى المخاطر المرتبط بالهدف، كما تم الإبلاغ عنه من قبل جهاز التقارير. |
| TargetOriginalUserType | سلسلة | نوع المستخدم كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. |
| TargetPortNumber | العدد الصحيح | منفذ الجهاز المستهدف. |
| TargetRiskLevel | العدد الصحيح | مستوى المخاطر المرتبط بالهدف. |
| TargetSessionId | سلسلة | المعرف الفريد لجلسة تسجيل الدخول للممثل الهدف. |
| TargetUrl | سلسلة | عنوان URL مقترن بالتطبيق الهدف. |
| TargetUserId | سلسلة | تمثيل فريد للفاعل يمكن قراءته آليا أبجديا رقميا. |
| TargetUserIdType | سلسلة | نوع المعرّف المُخزَّن في الحقل TargetUserId. |
| TargetUsername | سلسلة | اسم المستخدم الخاص بالممثل الهدف، بما في ذلك معلومات المجال عند توفره. |
| TargetUsernameType | سلسلة | نوع اسم المستخدم الخاص بالممثل الهدف المحدد في حقل TargetUsername |
| TargetUserScope | سلسلة | النطاق، مثل مستأجر Azure AD، حيث يتم تعريف TargetUserId و TargetUsername. |
| TargetUserScopeId | سلسلة | معرف النطاق، مثل معرف مستأجر Azure AD، حيث يتم تعريف TargetUserId و TargetUsername. |
| TargetUserType | سلسلة | نوع الممثل الهدف. |
| TenantId | سلسلة | معرف مساحة عمل Log Analytics |
| ThreatCategory | سلسلة | فئة التهديد أو البرامج الضارة المحددة في نشاط التدقيق. |
| ThreatConfidence | العدد الصحيح | مستوى ثقة التهديد المحدد، الذي تمت تسويته إلى قيمة بين 0 و100. |
| ThreatField | سلسلة | الحقل الذي تم تحديد تهديد له. |
| ThreatFirstReportedTime | datetime | في المرة الأولى التي تم فيها تحديد عنوان IP أو المجال كتهديد. |
| ThreatId | سلسلة | معرف التهديد أو البرامج الضارة المحددة في نشاط التدقيق. |
| ThreatIpAddr | سلسلة | عنوان IP تم تحديد تهديد له. |
| ThreatIsActive | منطقي | صحيح إذا كان التهديد المحدد يعتبر تهديدا نشطا. |
| ThreatLastReportedTime | datetime | في المرة الأخيرة التي تم فيها تحديد عنوان IP أو المجال كتهديد. |
| ThreatName | سلسلة | اسم التهديد أو البرامج الضارة المحددة في نشاط التدقيق. |
| ThreatOriginalConfidence | سلسلة | مستوى الثقة الأصلي للتهديد المحدد، كما تم الإبلاغ عنه من قبل جهاز الإبلاغ. |
| ThreatOriginalRiskLevel | سلسلة | مستوى المخاطر كما تم الإبلاغ عنه من جهاز إعداد التقارير. |
| ThreatRiskLevel | العدد الصحيح | مستوى المخاطر المرتبط بالتهديد المحدد. يلزم أن يكون المستوى رقمًا بين 0 و100. |
| TimeGenerated | datetime | الطابع الزمني (UTC) الذي يعكس الوقت الذي تم فيه إنشاء الحدث. |
| نوع | سلسلة | اسم الجدول |
الموارد الإضافية
التدريب
الوحدة النمطية
سجلات الاستعلام في Microsoft Sentinel - Training
سجلات الاستعلام في Microsoft Sentinel
الشهادة
شهادة Microsoft معتمدة: شريك محلل عمليات الأمان - Certifications
التحقيق في التهديدات والبحث عنها والتخفيف من حدتها باستخدام Microsoft Sentinel وMicrosoft Defender for Cloud وMicrosoft 365 Defender.