حدث
إنشاء تطبيقات ووكلاء الذكاء الاصطناعي
١٧ رمضان، ٩ م - ٢١ رمضان، ١٠ ص
انضم إلى سلسلة الاجتماعات لإنشاء حلول الذكاء الاصطناعي قابلة للتطوير استنادا إلى حالات الاستخدام في العالم الحقيقي مع المطورين والخبراء الآخرين.
تسجيل الآنسجلات أحداث ASimRegistry
يمثل مخطط حدث سجل ASim نشاط Windows لإنشاء كيانات سجل Windows أو تعديلها أو حذفها. أحداث التسجيل خاصة بأنظمة Windows، ولكن يتم الإبلاغ عنها بواسطة أنظمة مختلفة تراقب Windows، مثل أنظمة EDR (اكتشاف نقطة النهاية والاستجابة لها) أو Sysmon أو Windows نفسه.
| السمة | القيمة |
|---|---|
| أنواع الموارد | microsoft.securityinsights/asimtables |
| الفئات | الأمان |
| الحلول | SecurityInsights |
| السجل الأساسي | لا |
| تحويل وقت الاستيعاب | نعم |
| نماذج الاستعلامات | - |
| Column | نوع | الوصف |
|---|---|---|
| ActingProcessCommandLine | سلسلة | سطر الأوامر المستخدم لتشغيل العملية. |
| ActingProcessGuid | سلسلة | معرف فريد تم إنشاؤه لعملية التمثيل. |
| ActingProcessId | سلسلة | معرف العملية للعملية التمثيلية. |
| ActingProcessName | سلسلة | اسم الملف ملف صورة عملية التمثيل. |
| ActorOriginalUserType | سلسلة | نوع مستخدم المستخدم الأصلي، إذا وفّره المصدر. |
| ActorScope | سلسلة | النطاق، مثل مستأجر Azure AD، حيث يتم تعريف ActorUserId و ActorUsername. |
| ActorScopeId | سلسلة | معرف النطاق، مثل معرف مستأجر Azure AD، حيث يتم تعريف ActorUserId و ActorUsername. |
| ActorSessionId | سلسلة | المعرف الفريد لجلسة تسجيل دخول الممثل. |
| ActorUserAadId | سلسلة | معرف Azure Active Directory للممثل. |
| ActorUserId | سلسلة | معرّف فريد للممثل. |
| ActorUserIdType | سلسلة | نوع المعرف المخزن في الحقل ActorUserId. |
| ActorUsername | سلسلة | اسم المستخدم الخاص بالمستخدم الذي بدأ الحدث. |
| ActorUsernameType | سلسلة | يحدد نوع اسم المستخدم المخزن في الحقل ActorUsername. |
| معرف المستخدم | سلسلة | معرف مستخدم Windows (SIDs) للممثل. |
| ActorUserType | سلسلة | نوع المستخدم. |
| AdditionalFields | ديناميكي | معلومات إضافية، ممثلة باستخدام أزواج المفاتيح/القيم التي يوفرها المصدر والتي لا تعين إلى ASim. |
| _BilledSize | real | حجم السجل بالبايت |
| DvcAction | سلسلة | للإبلاغ عن أنظمة الأمان، الإجراء الذي يتخذه النظام. |
| DvcDescription | سلسلة | نص وصفي مرتبط بالجهاز. |
| DvcDomain | سلسلة | مجال الجهاز الذي يبلغ عن الحدث. |
| DvcDomainType | سلسلة | نوع DvcDomain. |
| DvcFQDN | سلسلة | اسم مضيف الجهاز الذي وقع عليه الحدث أو الذي أبلغ عن الحدث. |
| DvcHostname | سلسلة | اسم مضيف الجهاز الذي يبلغ عن الحدث. |
| DvcId | سلسلة | المعرف الفريد للجهاز الذي وقع عليه الحدث أو الذي أبلغ عن الحدث. |
| DvcIdType | سلسلة | نوع DvcId. |
| DvcInterface | سلسلة | واجهة الشبكة المُسجل عليها البيانات. |
| DvcIpAddr | سلسلة | عنوان IP للجهاز الذي يبلغ عن الحدث. |
| DvcMacAddr | سلسلة | عنوان وحدة تحكم وصول الوسائط للجهاز الذي وقع عليه الحدث أو الذي أبلغ عن الحدث. |
| DvcOriginalAction | سلسلة | DvcAction الأصلي المقدم من جهاز إعداد التقارير. |
| DvcOs | سلسلة | نظام تشغيل الجهاز الذي وقع عليه الحدث أو الذي أبلغ عن الحدث. |
| DvcOsVersion | سلسلة | إصدار نظام تشغيل الجهاز الذي وقع عليه الحدث أو الذي أبلغ عن الحدث. |
| DvcScope | سلسلة | نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. مخطط DvcScope إلى اسم اشتراك على Azure وإلى معرف حساب على AWS. |
| DvcScopeId | سلسلة | معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. تعيين DvcScopeId إلى معرف اشتراك على Azure وإلى معرف حساب على AWS. |
| DvcZone | سلسلة | الشبكة التي وقع عليها الحدث أو التي أبلغت عن الحدث. |
| EventCount | العدد الصحيح | عدد الأحداث التي وصفها السجل. |
| EventEndTime | datetime | الوقت الذي انتهى فيه الحدث. إذا كان المصدر يدعم التجميع وكان السجل يمثل أحداثا متعددة، في الوقت الذي تم فيه إنشاء الحدث الأخير. إذا لم يتم توفيره بواسطة السجل المصدر، فإن هذا الحقل يسم الحقل TimeGenerated باسم مستعار. |
| EventMessage | سلسلة | رسالة عامة أو وصف. |
| EventOriginalResultDetails | سلسلة | تفاصيل النتيجة الأصلية التي قدمها المصدر. |
| EventOriginalSeverity | سلسلة | الشدة الأصلية على النحو المنصوص عليه من جهاز إعداد التقارير. |
| EventOriginalSubType | سلسلة | النوع الفرعي الأصلي للحدث أو المعرّف، إذا قدمه المصدر. |
| EventOriginalType | سلسلة | معرّف فريد للسجل الأصلي، إذا قدمه المصدر. |
| EventOriginalUid | سلسلة | . |
| مالك الحدث | سلسلة | مالك الحدث، وهو عادة القسم أو الشركة الفرعية التي تم إنشاؤها فيه. |
| EventProduct | سلسلة | المنتج الذي ينشئ الحدث. |
| EventProductVersion | سلسلة | إصدار المنتج الذي قام بإنشاء الحدث. |
| EventReportUrl | سلسلة | عنوان URL تم توفيره في الحدث لمورد يوفر مزيدًا من المعلومات حول الحدث. |
| EventResult | سلسلة | نتيجة الحدث، ممثلة بإحدى القيم التالية: نجاح، جزئي، فشل، NA (غير قابل للتطبيق). قد لا يتم توفير القيمة مباشرة من قبل المصادر، وفي هذه الحالة يتم اشتقاقها من حقول الأحداث الأخرى، على سبيل المثال، حقل EventResultDetails. |
| EventResultDetails | سلسلة | سبب أو تفاصيل النتيجة التي تم الإبلاغ عنها في الحقل EventResult. |
| EventSchema | سلسلة | اسم المخطط. |
| EventSchemaVersion | سلسلة | إصدار المُخطط. |
| EventSeverity | سلسلة | شدة الحدث. القيم الصالحة هي: معلوماتية أو منخفضة أو متوسطة أو عالية. |
| EventStartTime | datetime | الوقت الذي بدأ فيه الحدث. إذا كان المصدر يدعم التجميع وكان السجل يمثل أحداثا متعددة، في المرة التي تم فيها إنشاء الحدث الأول. إذا لم يتم توفيره بواسطة السجل المصدر، فإن هذا الحقل يسم الحقل TimeGenerated باسم مستعار. |
| EventSubType | سلسلة | يصف تقسيمًا فرعيًا للعملية تم الإبلاغ عنه في الحقل EventType. |
| EventType | سلسلة | يصف العملية التي أبلغ بها السجل. |
| EventVendor | سلسلة | بائع المنتج الذي ينشئ الحدث. |
| _IsBillable | سلسلة | تحديد ما إذا كان استيعاب البيانات قابلا للفوترة. عندما _IsBillable لا false تتم فوترة الاستيعاب إلى حساب Azure الخاص بك |
| ParentProcessCommandLine | سلسلة | سطر الأوامر المستخدم لتشغيل العملية. |
| ParentProcessGuid | سلسلة | معرف فريد تم إنشاؤه للعملية الأصل. |
| ParentProcessId | سلسلة | معرف العملية للعملية الأصل. |
| ParentProcessName | سلسلة | اسم الملف ملف صورة العملية الأصل. |
| RegistryKey | سلسلة | مفتاح التسجيل المرتبط بالعملية، تمت تسويته إلى اصطلاحات تسمية مفتاح الجذر القياسي. |
| RegistryPreviousKey | سلسلة | بالنسبة للعمليات التي تقوم بتعديل السجل، مفتاح التسجيل الأصلي، تمت تسوية مع تسمية مفتاح الجذر القياسي. |
| RegistryPreviousValue | سلسلة | بالنسبة للعمليات التي تقوم بتعديل السجل، نوع القيمة الأصلية، تمت تسويته إلى النموذج القياسي. |
| RegistryPreviousValueData | سلسلة | بيانات التسجيل الأصلية للعمليات التي تقوم بتعديل السجل. |
| RegistryPreviousValueType | سلسلة | بالنسبة للعمليات التي تقوم بتعديل السجل، نوع القيمة الأصلية. |
| RegistryValue | سلسلة | قيمة التسجيل المرتبطة بالعملية. |
| RegistryValueData | سلسلة | البيانات المخزنة في قيمة التسجيل. |
| RegistryValueType | سلسلة | نوع قيمة التسجيل التي تمت تسويتها إلى النموذج القياسي. |
| _ResourceId | سلسلة | معرّف فريد للمورد الذي يقترن به السجل |
| RuleName | سلسلة | اسم القاعدة أو معرفها المرتبط بنتائج الفحص. |
| RuleNumber | العدد الصحيح | عدد القاعدة المقترنة بنتائج الفحص. |
| نظام المصدر | سلسلة | نوع العامل الذي تم جمع الحدث من قبله. على سبيل المثال، OpsManager بالنسبة لعامل Windows، إما الاتصال المباشر أو Operations Manager، Linux لجميع عوامل Linux، أو Azure لتشخيص Azure |
| _SubscriptionId | سلسلة | معرّف فريد للاشتراك الذي يقترن السجل به |
| TenantId | سلسلة | معرف مساحة عمل Log Analytics |
| ThreatCategory | سلسلة | فئة التهديد أو البرامج الضارة المحددة في النشاط. |
| ThreatConfidence | العدد الصحيح | مستوى ثقة التهديد المحدد، الذي تمت تسويته إلى قيمة بين 0 و100. |
| ThreatField | سلسلة | الحقل الذي تم تحديد تهديد له. |
| ThreatFirstReportedTime | datetime | في المرة الأولى التي تم فيها تحديد عنوان IP أو المجال كتهديد. |
| ThreatId | سلسلة | معرف التهديد أو البرامج الضارة المحددة في النشاط. |
| ThreatIsActive | منطقي | يعتبر المعرف الحقيقي للتهديد المحدد تهديدا نشطا. |
| ThreatLastReportedTime | datetime | في المرة الأخيرة التي تم فيها تحديد عنوان IP أو المجال كتهديد. |
| ThreatName | سلسلة | اسم التهديد أو البرامج الضارة المحددة في النشاط. |
| ThreatOriginalConfidence | سلسلة | مستوى الثقة الأصلي للتهديد المحدد، كما تم الإبلاغ عنه من قبل جهاز الإبلاغ. |
| ThreatOriginalRiskLevel | سلسلة | مستوى المخاطر كما تم الإبلاغ عنه من جهاز إعداد التقارير. |
| ThreatRiskLevel | العدد الصحيح | مستوى المخاطر المرتبط بالتهديد المحدد. يلزم أن يكون المستوى رقمًا بين 0 و100. |
| TimeGenerated | datetime | الطابع الزمني (UTC) الذي يعكس الوقت الذي تم فيه إنشاء الحدث. |
| نوع | سلسلة | اسم الجدول |
الموارد الإضافية
التدريب
الوحدة النمطية
سجلات الاستعلام في Microsoft Sentinel - Training
سجلات الاستعلام في Microsoft Sentinel