مشاركة عبر

مرجع أنواع كيانات Microsoft Azure Sentinel

  • مقالة

يحتوي هذا المستند على مجموعتين من المعلومات حول الكيانات وأنواع الكيانات في Microsoft Sentinel والنظام الأساسي لعمليات الأمان الموحدة من Microsoft.

  • يعرض جدول أنواع الكيانات والمعرفات الأنواع المختلفة للكيانات التي يمكن تحديدها في التنبيهات والحوادث، مما يسمح لك بتعقبها والتحقيق فيها. يعرض الجدول أيضا، لكل نوع كيان، المعرفات المختلفة التي يمكن استخدامها لتعريف كيان.
  • يعرض قسم مخطط الكيان بنية البيانات والمخطط للكيانات بشكل عام ولكل نوع كيان على وجه الخصوص.

هام

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

أنواع العناصر والمعرفات

يعرض الجدول التالي أنواع الكيانات التي يمكن التعرف عليها بواسطة Microsoft Sentinel، والسمات التي يمكن استخدامها كمعرفات لكل نوع كيان.

يتعرف Microsoft Sentinel على الكيانات في التنبيهات والحوادث التي يتم إنشاؤها بواسطة تعيين الكيان في قواعد التحليلات. كما أنه يتعرف على الكيانات المحددة بالفعل في التنبيهات التي تم تناولها من مصادر أخرى.

يمكنك حاليا استخدام ما يصل إلى ثلاثة معرفات لكيان معين عند إنشاء تعيين كيان في Microsoft Sentinel. المعرفات القوية وحدها كافية لتحديد كيان بشكل فريد، بينما يمكن للمعرفات الضعيفة القيام بذلك فقط بالاشتراك مع المعرفات الأخرى. تعرف على المزيد حول المعرفات القوية والضعيفة. يمكن استخدام معظم المعرفات الموجودة في هذا الجدول وليس كلها عند إنشاء تعيينات الكيانات في Microsoft Sentinel (راجع الحواشي السفلية).

نوع الكيان Identifiers معرفات قوية المعرفات الضعيفة
العميل الاسم
FullName *
NTDomain
DnsDomain
UPNSuffix
Sid
AadTenantId
AadUserId
PUID
IsDomainJoined
DisplayName *
ObjectGuid		 Name+UPNSuffix
AADUserId
Sid **
Sid+Host **
Name+Host+NTDomain **
Name+NTDomain **
Name+DnsDomain
PUID
ObjectGuid		 الاسم
مضيف DnsDomain
NTDomain
HostName
FullName *
NetBiosName
AzureID
OMSAgentID
OSFamily
OSVersion
IsDomainJoined		 HostName+NTDomain
HostName+DnsDomain
NetBiosName+NTDomain
NetBiosName+DnsDomain
AzureID
OMSAgentID		 HostName
NetBiosName
IP العنوان
AddressScope		 عنوان **
Address+AddressScope **
عنوان URL عنوان URL Url (إذا كان URL مطلقا) ** Url (إذا كان URL نسبيا) **
مورد Azure
(AzureResource)		 ResourceId ResourceId
تطبيق سحابي
(CloudApplication)		 AppId
الاسم
InstanceName		 AppId
الاسم
AppId+InstanceName
Name+InstanceName
دقة DNS
(DNS)		 DomainName DomainName+DnsServerIp+HostIpAddress DomainName+HostIpAddress
ملف الدليل
الاسم		 Directory+Name
تجزئة الملف
(FileHash)		 خوارزمية
القيمة‬		 خوارزمية +قيمة
البرامج الضارة الاسم
الفئة		 الاسم+الفئة
العملية ProcessId
CommandLine
ElevationToken
CreationTimeUtc		 Host+ProcessID+CreationTimeUtc
معرف المعالجة الأصل للمضيف++
   CreationTimeUtc+CommandLine
Host+ProcessId+
   CreationTimeUtc+ImageFile
Host+ProcessId+
   CreationTimeUtc+ImageFile+
   FileHash		 ProcessId+CreationTimeUtc+
   CommandLine (بلا مضيف)
ProcessId+CreationTimeUtc+
   ImageFile (بلا مضيف)
مفتاح التسجيل
(مفتاح التسجيل)		 Hive
مفتاح		 Hive+Key
قيمة السجل
(RegistryValue)		 الاسم
القيمة‬
ValueType
 مفتاح+اسم الاسم (بلا مفتاح)
مجموعة الأمان
(مجموعة الأمان)		 الاسم المميز
SID
ObjectGuid		 الاسم المميز
SID
ObjectGuid
صندوق البريد MailboxPrimaryAddress
DisplayName
Upn
ExternalDirectoryObjectId
مستوى الخطر		 MailboxPrimaryAddress
نظام مجموعة البريد
(MailCluster)		 NetworkMessageIds
CountByDeliveryStatus
CountByThreatType
CountByProtectionStatus
التهديدات
الاستعلام
QueryTime
MailCount
IsVolumeAnomaly
المصدر
ClusterSourceIdentifier *
ClusterSourceType *
ClusterQueryStartTime *
ClusterQueryEndTime *
ClusterGroup *		 Query+Source
رسالة بريد
(MailMessage)		 مستلم
Urls
التهديدات
المرسل
P1Sender *
P1SenderDisplayName *
P1SenderDomain *
SenderIP
P2Sender *
P2SenderDisplayName *
P2SenderDomain *
ReceivedDate
NetworkMessageId
InternetMessageId
الموضوع
BodyFingerprintBin1 *
BodyFingerprintBin2 *
BodyFingerprintBin3 *
BodyFingerprintBin4 *
BodyFingerprintBin5 *
AntispamDirection
DeliveryAction
DeliveryLocation
اللغة*
ThreatDetectionMethods *		 NetworkMessageId+Recipient
إرسال البريد
(إرسال بريد)		 NetworkMessageId
طابع زمني
مستلم
المرسل
SenderIp
الموضوع
ReportType
SubmissionId
SubmissionDate
المرسل		 معرف الإرسال+معرف الشبكة+
   المستلم+المرسل
عناصر Microsoft Azure Sentinel الكيانات الكيانات

الحواشي السفلية للجدول:

  • * تظهر هذه المعرفات في قائمة المعرفات التي يمكن استخدامها في تعيين الكيان، ولكنها لا تشكل جزءا من مخطط الكيان بدقة.
  • ** تعتبر هذه المعرفات قوية فقط في ظل ظروف معينة. اتبع ارتباطات العلامات النجمية للاطلاع على الشروط التي تنطبق، ضمن قائمة الكيان ذي الصلة في قسم مخططات الكيان أدناه.
  • تمثل أسماء المعرفات المائلة (بدون علامة نجمية) كيانات داخلية، ما يعني أن نوع كيان واحد يمكن أن يكون له أنواع كيانات أخرى كسمات (راجع قسم مخططات الكيان أدناه). اتبع ارتباط المعرف لمشاهدة المخطط الخاص بالوحدة الداخلية.

مخططات نوع العنصر

يحتوي القسم التالي على نظرة أكثر تعمقا على المخططات الكاملة لكل نوع كيان. ستلاحظ أن العديد من هذه المخططات تتضمن ارتباطات إلى أنواع الكيانات الأخرى. على سبيل المثال، يتضمن مخطط الحساب ارتباطا إلى نوع الكيان المضيف، نظرا لأن سمة واحدة لحساب المستخدم هي المضيف الذي تم تعريفه عليه. تعرف هذه الكيانات كسمات باسم "الكيانات الداخلية"، ولا يمكن استخدامها كمعرفات لتعيين الكيانات، ولكنها مفيدة جدا في إعطاء صورة كاملة للكيانات على صفحات الكيان والرسم البياني للتحقيق.

إشعار

تشير علامة الاستفهام التي تلي القيمة في عمود النوع إلى أن الحقل خالٍ.

قائمة مخططات نوع الكيان

العميل

اسم العنصر : الحساب

الحقل نوع ‏‏الوصف
النوع السلسلة‬ "الحساب"
الاسم السلسلة‬ اسم الحساب. يجب ألا يحتوي هذا الحقل إلا على الاسم فقط دون إضافة أي مجال إليه.
FullName -- ليس جزءًا من المخطط، تم تضمينه للتوافق مع الإصدارات السابقة مع الإصدار القديم من تعيين العنصر.
NTDomain السلسلة‬ اسم مجال NETBIOS كما يظهر في تنسيق التنبيه -domain\username. أمثلة: Finance, NT AUTHORITY
DnsDomain السلسلة‬ اسم DNS للمجال المؤهل بالكامل. أمثلة: finance.contoso.com
لاحقة UPNSuffix السلسلة‬ لاحقة اسم المستخدم الأساسي للحساب. في كثير من الحالات لاحقة UPN هو أيضا اسم المجال. أمثلة: contoso.com
مضيف الوحدة (المضيف) المضيف الذي يحتوي على الحساب، إذا كان حسابا محليا.
Sid السلسلة‬ معرف أمان الحساب.
AadTenantId Guid? معرف مستأجر Microsoft Entra، إذا كان معروفا.
معرف المستخدم Aad Guid? معرف كائن حساب Microsoft Entra، إذا كان معروفا.
PUID Guid? معرف مستخدم Microsoft Entra Passport، إذا كان معروفا.
IsDomainJoined Bool? يشير إلى ما إذا كان الحساب حساب مجال.
DisplayName -- ليس جزءًا من المخطط، تم تضمينه للتوافق مع الإصدارات السابقة مع الإصدار القديم من تعيين العنصر.
ObjectGuid Guid? سمة objectGUID هي سمة ذات قيمة فردية وهي المعرف الفريد للعنصر، المعين من خلال Active Directory.
CloudAppAccountId السلسلة‬ معرف الحساب في التنبيهات من موفر CloudApp. يشير إلى معرفات الحساب في تطبيقات الجهات الخارجية غير المعتمدة في منتجات Microsoft الأخرى.
IsAnonymized Bool? يشير إلى ما إذا كان اسم المستخدم مجهولا. اختياري. القيمة الافتراضية: false.
Stream الدفق مصدر سجلات الاكتشاف المتعلقة بحساب معين. اختياري.

معرفات قوية لكيانات الحساب

  • Name + UPNSuffix
  • معرف المستخدم Aad
  • Sid
    ** هذا المعرف قوي طالما أن الحساب ليس أحد الحسابات المضمنة المدرجة في الملاحظة أدناه.
  • Sid + Host
    ** عندما يكون الحساب أحد الحسابات المضمنة المدرجة في الملاحظة أدناه، يكون مكون المضيف مطلوبا لجعل هذا المعرف قويا.
  • Name + NTDomain
    ** هذه المجموعة عبارة عن معرف قوي عندما يكون الحساب حساب مجال، نظرا لأن NTDomain ليس مجالا/مجموعة عمل مضمنة ويختلف عن اسم المضيف. في هذه الحالة، هذا معرف قوي حتى بدون مكون المضيف.
  • Name + NTDomain + Host
    ** مكون المضيف ضروري لإنشاء معرف قوي عندما يكون الحساب حسابا محليا، ما يعني أن NTDomain هو مجال/مجموعة عمل مضمنة.
  • Name + DnsDomain
  • PUID
  • ObjectGuid

المعرفات الضعيفة لكيانات الحساب

  • الاسم

إشعار

إذا تم تعريف كيان الحساب باستخدام معرف الاسم، وكانت قيمة الاسم لكيان معين واحدة من أسماء الحسابات العامة والمضمنة عادة التالية، إسقاط هذا الكيان من التنبيه الخاص به.

  • المشرف
  • مدير
  • النظام
  • جذر
  • مجهول
  • مستخدم مصادق عليه
  • NETWORK
  • قيمة فارغة
  • النظام المحلي
  • LOCALSYSTEM
  • خدمة الشبكة

الرجوع إلى قائمة مخططات | نوع الكيان رجوع إلى جدول معرفات الكيان

المضيف

اسم الكيان: المضيف

الحقل نوع ‏‏الوصف
النوع السلسلة‬ "المضيف"
IpInterfaces قائمة<الكيان (Ip)> قائمة بجميع واجهات IP على الجهاز المضيف.
DnsDomain السلسلة‬ مجال DNS الذي ينتمي إليه هذا المضيف. ينبغي أن يحتوي على لاحقة DNS الكاملة للمجال، إن كان معروفًا.
NTDomain السلسلة‬ مجال NT الذي ينتمي إليه هذا المضيف.
HostName السلسلة‬ اسم المضيف بدون لاحقة المجال.
NetBiosName السلسلة‬ اسم المضيف (pre-Windows 2000).
جهاز IoTDevice الوحدة (جهاز IoT) عنصر جهاز IoT (إن كان هذا المضيف يمثل جهاز IoT).
معرف Azure السلسلة‬ معرف مورد Azure للجهاز الظاهري، إن كان معروفًا.
OMSAgentID السلسلة‬ معرف عامل OMS، إن كان المضيف لديه عامل OMS مثبتًا.
OSFamily Enum? إحدى القيم التالية:
  • Linux
  • Windows
  • Android
  • IOS
  • Mac
    		•
    إصدار نظام التشغيل السلسلة‬ تمثيل نص حر لنظام التشغيل.
    يُقصد بهذا الحقل الاحتفاظ بإصدارات محددة تكون أكثر دقة من OSFamily، أو القيم المستقبلية التي لا تدعمها قائمة تعداد OSFamily.
    IsDomainJoined مجموعة يشير إلى ما إذا كان هذا المضيف ينتمي إلى مجال.

    معرفات قوية للكيان المضيف

    • HostName + NTDomain
    • HostName + DnsDomain
    • NetBiosName + NTDomain
    • NetBiosName + DnsDomain
    • معرف Azure
    • OMSAgentID
    • جهاز IoTDevice

    المعرفات الضعيفة للكيان المضيف

    • HostName
    • NetBiosName

    الرجوع إلى قائمة مخططات | نوع الكيان رجوع إلى جدول معرفات الكيان

    عنوان IP

    اسم العنصر: IP

    الحقل نوع ‏‏الوصف
    النوع السلسلة‬ 'ip'
    العنوان السلسلة‬ عنوان IP كسلسلة، على سبيل المثال. 127.0.0.1 (إما في IPv4 أو IPv6).
    AddressScope السلسلة‬ اسم المضيف أو الشبكة الفرعية أو الشبكة الخاصة لعناوين IP الخاصة غير العمومية. خالية أو فارغة لعناوين IP العمومية (افتراضي).
    Location GeoLocation سياق الموقع الجغرافي المرفق بعنصر IP.

    للمزيد من المعلومات راجع أيضا إثراء الكيانات في Microsoft Azure Sentinel باستخدام بيانات الموقع الجغرافي عبر REST API (إصدار أولي عام).
    Stream الدفق مصدر سجلات الاكتشاف المتعلقة ب IP المحدد. اختياري.

    معرفات قوية لعنصر IP

    • العنوان
      ** العنوان وحده هو معرف فريد وقوي عندما يكون عنوان IP عنوانا عموميا.
    • Address + AddressScope
      ** بالنسبة لعناوين IP الخاصة/الداخلية وغير العمومية، يلزم مكون AddressScope لجعل هذا identifer قويا.

    الرجوع إلى قائمة مخططات | نوع الكيان رجوع إلى جدول معرفات الكيان

    البرامج الضارة

    اسم الكيان: البرامج الضارة

    الحقل نوع ‏‏الوصف
    النوع السلسلة‬ "البرامج الضارة"
    الاسم السلسلة‬ اسم البرامج الضارة المعينة من قبل مورد (الكشف؟)، مثل Win32/Toga!rfn.
    الفئة السلسلة‬ فئة البرامج الضارة المعينة من قبل مورد (الكشف؟)، على سبيل المثال. طرواده.
    الملفات قائمة<الكيان (ملف)> قائمة بعناصر الملفات المرتبطة التي تم العثور فيها على البرامج الضارة. يمكن أن تحتوي على عناصر الملف المضمنة أو كمرجع.
    راجع كيان الملف للحصول على مزيد من التفاصيل حول البنية.
    العمليات قائمة<الكيان (عملية)> قائمة بعناصر العمليات المرتبطة التي تم العثور فيها على البرامج الضارة. غالبا ما يتم استخدام ذلك عند تشغيل التنبيه على نشاط بدون ملفات.
    راجع كيان العملية لمزيد من التفاصيل حول البنية.

    معرفات قوية لكيانات البرامج الضارة

    • الاسم + الفئة

    الرجوع إلى قائمة مخططات | نوع الكيان رجوع إلى جدول معرفات الكيان

    الملف

    اسم الكيان: ملف

    الحقل نوع ‏‏الوصف
    النوع السلسلة‬ "ملف"
    دليل السلسلة‬ المسار الكامل للملف.
    الاسم السلسلة‬ اسم الملف بدون المسار (قد لا تتضمن بعض التنبيهات المسار).
    AlternateDataStreamName السلسلة‬ اسم دفق الملف في نظام ملفات NTFS (فارغ للدفق الرئيسي).
    مضيف الوحدة (المضيف) المضيف الذي تم تخزين الملف فيه.
    HostUrl الوحدة (URL) عنوان URL حيث تم تنزيل الملف من
    (علامة ويب).
    WindowsSecurityZoneType WindowsSecurityZone أمن Windows المنطقة التي ينتمي إليها عنوان URL
    (علامة ويب).
    عنوان URL للمرجع الوحدة (URL) عنوان URL للمحيل لطلب HTTP لتنزيل الملف
    (علامة ويب).
    SizeInBytes طويل؟ حجم الملف بالبايت.
    FileHashes قائمة<الكيان (FileHash)> تجزئة الملف المقترنة بهذا الملف.

    معرفات قوية لوحدة ملف

    • الاسم + الدليل
    • Name + FileHash
    • Name + Directory + FileHash

    الرجوع إلى قائمة مخططات | نوع الكيان رجوع إلى جدول معرفات الكيان

    معالجة

    اسم الكيان: معالجة

    الحقل نوع ‏‏الوصف
    النوع السلسلة‬ "عملية"
    معرف العملية السلسلة‬ معرّف العملية.
    CommandLine السلسلة‬ سطر الأوامر المستخدم لإنشاء العملية.
    الرمز المميز للارتفاع Enum? رمز مميّز لرفع الامتيازات المقترن بالعملية.
    القيم الممكنة:
  • TokenElevationTypeDefault
  • TokenElevationTypeFull
  • TokenElevationTypeLimited
    		•
    CreationTimeUtc DateTime? الوقت الذي بدأت فيه العملية في العمل.
    ImageFile الوحدة (ملف) يمكن أن تحتوي على عنصر الملف المضمن أو كمرجع.
    راجع كيان الملف للحصول على مزيد من التفاصيل حول البنية.
    العميل الوحدة (الحساب) الحساب الذي يقوم بتشغيل العمليات.
    يمكن أن يحتوي على عنصر الحساب مضمنًا أو كمرجع.
    راجع كيان الحساب لمزيد من التفاصيل حول البنية.
    معالجة الأصل الوحدة (عملية) عنصر العملية الأصل.
    يمكن أن يحتوي على بيانات جزئية، على سبيل المثال، PID فقط.
    مضيف الوحدة (المضيف) المضيف الذي تم تشغيل العملية عليه.
    تسجيل الدخول العنصر (HostLogonSession) الجلسة الذي تم تشغيل العملية عليه.

    معرفات قوية لكيانات العملية

    • Host + ProcessId + CreationTimeUtc
    • Host + ParentProcessId + CreationTimeUtc + CommandLine
    • Host + ProcessId + CreationTimeUtc + ImageFile
    • Host + ProcessId + CreationTimeUtc + ImageFile.FileHash

    المعرفات الضعيفة لكيانات العملية

    • ProcessId + CreationTimeUtc + CommandLine (ولا يوجد Host)
    • ProcessId + CreationTimeUtc + ImageFile (ولا يوجد مضيف)

    الرجوع إلى قائمة مخططات | نوع الكيان رجوع إلى جدول معرفات الكيان

    تطبيق سحابي

    اسم العنصر: CloudApplication

    الحقل نوع ‏‏الوصف
    النوع السلسلة‬ "تطبيق السحابة"
    معرف التطبيق Int اهمالها; استخدم حقل SaasId بدلا من ذلك. المعرف التقني للتطبيق. القيم المحتملة هي تلك المعرفة في قائمة معرفات التطبيقات السحابية. القيمة اختيارية. يجب ألا يحتوي على InstanceId.
    معرف SaasId Int استبدال حقل AppId المهمل. المعرف التقني للتطبيق. القيم المحتملة هي تلك المعرفة في قائمة معرفات التطبيقات السحابية. القيمة اختيارية. يجب ألا يحتوي على InstanceId.
    الاسم السلسلة‬ اسم التطبيق السحابي ذي الصلة. القيمة اختيارية.
    اسم المثيل السلسلة‬ اسم المثيل المعرف من قبل المستخدم لتطبيق السحابة. غالبًا ما يتم استخدامه للتمييز بين العديد من التطبيقات من نفس النوع التي لدى العميل.
    معرف المثيل Int معرف جلسة العمل المحددة للتطبيق. هذا رقم تشغيل قائم على الصفر. القيمة اختيارية.
    المخاطر AppRisk؟ يتيح لك تصفية التطبيقات حسب درجة المخاطر بحيث يمكنك التركيز على، على سبيل المثال، مراجعة التطبيقات عالية المخاطر فقط. القيم المحتملة مثل منخفضة أو متوسطة أو عالية أو غير معروفة.
    Stream الدفق مصدر سجلات الاكتشاف المتعلقة بتطبيق السحابة المحدد. اختياري.

    معرفات قوية لكيانات تطبيق السحابة

    • AppId (بدون InstanceName)
    • الاسم (بدون اسم المثيل)
    • AppId + InstanceName
    • الاسم + اسم المثيل

    قائمة معرفات التطبيقات السحابية

    الرجوع إلى قائمة مخططات | نوع الكيان رجوع إلى جدول معرفات الكيان

    دقة DNS

    اسم العنصر: DNS

    الحقل نوع ‏‏الوصف
    النوع السلسلة‬ 'dns'
    اسم المجال السلسلة‬ اسم سجل DNS المقترن بالتنبيه.
    عنوان Ip قائمة<الكيان (IP)> العناصر المقابلة لعناوين IP التي تم حلها.
    DnsServerIp الكيان (IP) عنصر يمثل خادم DNS الذي يقوم بحل الطلب.
    عنوان Ip المضيف الكيان (IP) عنصر يمثل عميل طلب DNS.

    معرفات قوية للكيان DNS

    • DomainName + DnsServerIp + HostIpAddress

    المعرفات الضعيفة للكيان DNS

    • DomainName + HostIpAddress

    الرجوع إلى قائمة مخططات | نوع الكيان رجوع إلى جدول معرفات الكيان

    مورد Azure

    اسم الكيان: AzureResource

    الحقل نوع ‏‏الوصف
    النوع السلسلة‬ "مورد Azure"
    معرف المورد السلسلة‬ معرّف مورد Azure الخاص بالمورد. إلزامي.
    SubscriptionId. السلسلة‬ معرف الاشتراك للمورد.
    ActiveContacts قائمة<ActiveContact> جهات الاتصال النشطة المقترنة بالمورد.
    ResourceType السلسلة‬ نوع المورد.
    اسم المورد السلسلة‬ اسم المورد.

    معرفات قوية لكيانات مورد Azure

    • معرف المورد

    الرجوع إلى قائمة مخططات | نوع الكيان رجوع إلى جدول معرفات الكيان

    تجزئة الملف

    اسم العنصر: FileHash

    الحقل نوع ‏‏الوصف
    النوع السلسلة‬ "filehash"
    خوارزمية التعداد نوع لوغاريتم التجزئة. إلزامي. القيم الممكنة:
  • ‏‏غير معروف
  • MD5
  • SHA1
  • SHA256
  • SHA256AC
    		•
    القيمة السلسلة‬ قيمة التجزئة. إلزامي.

    معرفات قوية لكيانات تجزئة الملف

    • خوارزمية + قيمة

    الرجوع إلى قائمة مخططات | نوع الكيان رجوع إلى جدول معرفات الكيان

    مفتاح التسجيل

    اسم العنصر: RegistryKey

    الحقل نوع ‏‏الوصف
    النوع السلسلة‬ "مفتاح التسجيل"
    خلية Enum? إحدى القيم التالية:
  • HKEY_LOCAL_MACHINE
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG
  • HKEY_USERS
  • HKEY_CURRENT_USER_LOCAL_SETTINGS
  • HKEY_PERFORMANCE_DATA
  • HKEY_PERFORMANCE_NLSTEXT
  • HKEY_PERFORMANCE_TEXT
  • HKEY_A
  • HKEY_CURRENT_USER
    		•
    المفتاح السلسلة‬ مسار مفتاح التسجيل.

    معرفات قوية لوحدة مفتاح التسجيل

    • Hive + مفتاح

    الرجوع إلى قائمة مخططات | نوع الكيان رجوع إلى جدول معرفات الكيان

    قيمة التسجيل

    اسم العنصر: RegistryValue

    الحقل نوع ‏‏الوصف
    النوع السلسلة‬ "قيمة السجل"
    مضيف الوحدة (المضيف) المضيف الذي ينتمي إليه السجل.
    المفتاح الوحدة (مفتاح التسجيل) عنصر مفتاح التسجيل.
    الاسم السلسلة‬ اسم قيمة التسجيل.
    القيمة السلسلة‬ تمثيل بيانات القيمة بتنسيق سلسلة.
    نوع القيمة Enum? إحدى القيم التالية:
  • السلسلة‬
  • ثنائي
  • DWord
  • Qword
  • MultiString
  • ExpandString
  • بلا
  • ‏‏غير معروف
    يجب أن تتوافق القيم مع قائمة تعداد Microsoft.Win32.RegistryValueKind.
    		•

    معرفات قوية لقيمة السجل

    • مفتاح + اسم

    المعرفات الضعيفة لقيمة السجل

    • الاسم (بدون Key)

    الرجوع إلى قائمة مخططات | نوع الكيان رجوع إلى جدول معرفات الكيان

    مجموعة الأمان

    اسم العنصر: SecurityGroup

    الحقل نوع ‏‏الوصف
    النوع السلسلة‬ "مجموعة الأمان"
    الاسم المميز السلسلة‬ الاسم المميز للمجموعة.
    SID السلسلة‬ سمة ذات قيمة واحدة تحدد معرف الأمان (SID) للمجموعة.
    ObjectGuid Guid? سمة ذات قيمة واحدة هي المعرف الفريد للكائن، المعينة بواسطة Active Directory.

    معرفات قوية لكيانات مجموعة الأمان

    • الاسم المميز
    • SID
    • ObjectGuid

    الرجوع إلى قائمة مخططات | نوع الكيان رجوع إلى جدول معرفات الكيان

    عنوان URL

    اسم الكيان: Url

    الحقل نوع ‏‏الوصف
    النوع السلسلة‬ "url"
    عنوان URL Uri عنوان URL كامل يشير العنصر إليه. إلزامي.

    معرفات قوية لعنصر URL

    • Url (** يكون هذا المعرف قويا عندما يكون عنوان URL URL مطلقا.)

    المعرفات الضعيفة لعنصر URL

    • Url (** يكون هذا المعرف ضعيفا عندما يكون عنوان URL عنوان URL نسبيا.)

    الرجوع إلى قائمة مخططات | نوع الكيان رجوع إلى جدول معرفات الكيان

    جهاز IoT

    اسم العنصر: IoTDevice

    الحقل نوع ‏‏الوصف
    النوع السلسلة‬ "iotdevice"
    IoTHub الكيان (AzureResource) عنصر AzureResource الذي يمثل IoT Hub الذي ينتمي إليه الجهاز.
    DeviceId السلسلة‬ معرّف الجهاز في سياق IoT Hub. إلزامي.
    اسم الجهاز السلسلة‬ الاسم المألوف للجهاز.
    المالكون List<String> مالكو الجهاز.
    IoTSecurityAgentId Guid? معرف عنصر Defender for IoT الذي يعمل على الجهاز.
    نوع الجهاز السلسلة‬ نوع الجهاز ("مستشعر درجة الحرارة" "والمجمد" "وتوربينات الرياح" وما إلى ذلك).
    معرف نوع الجهاز السلسلة‬ معرف فريد لتعريف كل نوع جهاز وفقا لمخطط نوع الجهاز، لأن نوع الجهاز نفسه هو اسم عرض وغير موثوق به في المقارنات.

    القيم الممكنة:
    غير مصنف = 0
    متنوعة = 1
    جهاز الشبكة = 2
    الطابعة = 3
    الصوت والفيديو = 4
    وسائل الإعلام والمراقبة = 5
    Communication = 7
    الأجهزة الذكية = 9
    محطة العمل = 10
    الخادم = 11
    الجوال = 12
    المنشأة الذكية = 13
    صناعي = 14
    المعدات التشغيلية = 15
    Source السلسلة‬ المصدر (Microsoft/المورد) لعنصر الجهاز.
    SourceRef الوحدة (Url) مرجع عنوان URL لعنصر المصدر حيث يُدار الجهاز.
    الشركة المصنعة السلسلة‬ الشركة المُصنّعة للجهاز.
    النموذج السلسلة‬ نموذج الجهاز.
    نظام التشغيل السلسلة‬ نظام التشغيل الذي يعمل به الجهاز.
    عنوان Ip الكيان (IP) عنوان IP الحالي للجهاز.
    عنوان Mac السلسلة‬ عنوان MAC الخاص بالجهاز.
    Nics الوحدة (Nic) بطاقات NIC الحالية على الجهاز.
    البروتوكولات List<String> قائمة البروتوكولات التي يدعمها الجهاز.
    الرقم التسلسلي السلسلة‬ الرقم التسلسلي الخاص بالجهاز.
    الموقع السلسلة‬ موقع موقع الجهاز.
    المنطقة السلسلة‬ موقع منطقة الجهاز داخل موقع.
    المستشعر السلسلة‬ جهاز الاستشعار الذي يراقب الجهاز.
    اهميه Enum? إحدى القيم التالية:
  • منخفض
  • ‏‏عادية
  • درجة عالية
    		•
    PurdueLayer السلسلة‬ طبقة Purdue للجهاز.
    IsProgramming Bool? يشير إلى ما إذا كان الجهاز مصنفا كجهاز برمجة.
    معتمد Bool? يشير إلى ما إذا كان الجهاز مصنفا على أنه جهاز معتمد.
    IsScanner Bool? يشير إلى ما إذا كان الجهاز مصنفا كجهاز ماسح ضوئي.
    DevicePageLink الوحدة (Url) عنوان URL لصفحة الجهاز في مدخل Defender for IoT.
    DeviceSubType السلسلة‬ اسم النوع الفرعي للجهاز.

    معرفات قوية لوحدة جهاز IoT

    • IoTHub + DeviceId

    المعرفات الضعيفة لكيانات جهاز IoT

    • DeviceId (بدون IoTHub)

    الرجوع إلى قائمة مخططات | نوع الكيان رجوع إلى جدول معرفات الكيان

    Mailbox

    اسم الكيان: علبة البريد

    الحقل نوع ‏‏الوصف
    النوع السلسلة‬ "صندوق البريد"
    MailboxPrimaryAddress السلسلة‬ العنوان الأساسي لصندوق البريد.
    DisplayName السلسلة‬ الاسم المعروض لصندوق البريد.
    Upn السلسلة‬ UPN لصندوق البريد.
    معرف Aad السلسلة‬ معرف Azure AD الخاص بعلبة البريد للمستخدم.
    مستوى المخاطرة مستوى المخاطرة؟ مستوى المخاطر في صندوق البريد هذه. القيم الممكنة:
  • بلا
  • منخفض
  • متوسط
  • درجة عالية
    		•
    ExternalDirectoryObjectId Guid? معرف AzureAD لصندوق البريد. على غرار AadUserId في عنصر الحساب، ولكن هذه الخاصية خاصة بكائن صندوق البريد على جانب Office.

    معرفات قوية لعنصر علبة البريد

    • MailboxPrimaryAddress

    الرجوع إلى قائمة مخططات | نوع الكيان رجوع إلى جدول معرفات الكيان

    نظام مجموعة البريد

    اسم العنصر: MailCluster

    الحقل نوع ‏‏الوصف
    النوع السلسلة‬ "نظام مجموعة البريد"
    NetworkMessageIds IList<String> معرفات رسائل البريد التي تعد جزءًا من نظام مجموعة البريد.
    CountByDeliveryStatus IDictionary<String,Int> عدد رسائل البريد حسب تمثيل سلسلة DeliveryStatus.
    CountByThreatType IDictionary<String,Int> عدد رسائل البريد حسب تمثيل سلسلة ThreatType.
    CountByProtectionStatus IDictionary<String,long> عدد رسائل البريد حسب تمثيل سلسلة حالة الحماية.
    CountByDeliveryLocation IDictionary<String,long> عدد رسائل البريد حسب تمثيل سلسلة موقع التسليم.
    التهديدات IList<String> مخاطر رسائل البريد التي تعد جزءًا من نظام مجموعة البريد.
    استفسار السلسلة‬ الاستعلام الذي تم استخدامه لتعريف رسائل نظام مجموعة البريد.
    وقت الاستعلام DateTime? وقت الاستعلام.
    عدد البريد Int? عدد رسائل البريد التي تعد جزءًا من نظام مجموعة البريد.
    IsVolumeAnomaly Bool? يشير إلى ما إذا كانت مجموعة البريد عبارة عن مجموعة بريد غير طبيعية في وحدة التخزين.
    Source السلسلة‬ مصدر مجموعة البريد (الافتراضي هو O365 ATP).

    معرفات قوية لعنصر مجموعة البريد

    • Query + Source

    الرجوع إلى قائمة مخططات | نوع الكيان رجوع إلى جدول معرفات الكيان

    رسالة بريد

    اسم العنصر: MailMessage

    الحقل نوع ‏‏الوصف
    النوع السلسلة‬ "رسالة بريدية"
    الملفات وحدة IList<(ملف)> عناصر الملف لمرفقات رسالة البريد هذه.
    المستلم السلسلة‬ مستلم رسالة البريد هذه. في حالة وجود عدة مستلمين، يتم نسخ رسالة البريد، ولكل نسخة مستلم واحد.
    عناوين URL IList<String> عناوين URL المضمنة في رسالة البريد هذه.
    التهديدات IList<String> المخاطر المضمنة في رسالة البريد هذه.
    المرسل السلسلة‬ عنوان البريد الإلكتروني للمرسل.
    SenderIP السلسلة‬ عنوان IP الخاص بالمرسل.
    تاريخ الاستلام DateTime تاريخ تلقي هذه الرسالة.
    NetworkMessageId Guid? معرف رسالة الشبكة لرسالة البريد هذه.
    InternetMessageId السلسلة‬ معرف رسالة الإنترنت لرسالة البريد هذه.
    الموضوع السلسلة‬ موضوع رسالة البريد هذه.
    AntispamDirection Enum? اتجاه رسالة البريد هذه. القيم الممكنة:
  • ‏‏غير معروف
  • وارد
  • صادر
  • Intraorg (داخلي)
    		•
    عملية التسليم Enum? إجراء تسليم رسالة البريد هذه. القيم الممكنة:
  • ‏‏غير معروف
  • DeliveredAsSpam
  • تم تسليمها
  • محظور
  • مستبدلة
    		•
    تحديد موقع التسليم Enum? موقع تسليم رسالة البريد هذه. القيم الممكنة:
  • ‏‏غير معروف
  • علبه الوارد
  • JunkFolder
  • DeletedFolder
  • العزل
  • خارجي
  • فشل
  • أُسقِط
  • مُعاد توجيهها
    		•
    معرف الحملة السلسلة‬ معرف الحملة التي توجد بها رسالة البريد هذه.
    المريبون IList<String> قائمة المستلمين الذين تم اكتشافهم على أنه مريب.
    المصادقون المحالون IList<String> قائمة بجميع المستلمين في البريد الذي تمت إعادة توجيهه.
    نوع إعادة التوجيه IList<String> نوع إعادة توجيه البريد، مثل SMTP وETR وما إلى ذلك.

    معرفات قوية لعنصر رسالة بريد

    • NetworkMessageId + Recipient

    الرجوع إلى قائمة مخططات | نوع الكيان رجوع إلى جدول معرفات الكيان

    بريد عمليات الإرسال

    اسم العنصر: SubmissionMail

    الحقل نوع ‏‏الوصف
    النوع السلسلة‬ 'SubmissionMail'
    معرف الإرسال Guid? معرف الإرسال.
    تاريخ الإرسال DateTime? تاريخ ووقت الإبلاغ عن هذا الإرسال.
    المرسل السلسلة‬ عنوان البريد الإلكتروني للمرسل.
    NetworkMessageId Guid? معرف رسالة الشبكة الخاص بالبريد الإلكتروني الذي ينتمي إليه الإرسال.
    طابع زمني DateTime? الطابع الزمني عند تلقي الرسالة (البريد).
    المستلم السلسلة‬ مستلم رسالة البريد.
    المرسل السلسلة‬ مرسل رسالة البريد.
    SenderIp السلسلة‬ IP الخاص بالمرسل.
    الموضوع السلسلة‬ موضوع بريد الإرسال.
    ReportType السلسلة‬ نوع الإرسال للمثيل المحدد. القيم المحتملة هي البريد الإلكتروني غير الهام أو التصيد الاحتيالي أو البرامج الضارة أو NotJunk.

    معرفات قوية للكيان SubmissionMail

    • معرف الإرسال، المرسل، NetworkMessageId، المستلم

    الرجوع إلى قائمة مخططات | نوع الكيان رجوع إلى جدول معرفات الكيان

    عناصر Microsoft Azure Sentinel

    الحقل نوع ‏‏الوصف
    الكيانات السلسلة‬ قائمة بالعناصر المُحددة في التنبيه. هذه القائمة هي عمود العناصر من مخطط SecurityAlert (راجع الوثائق).

    الرجوع إلى قائمة مخططات | نوع الكيان رجوع إلى جدول معرفات الكيان

    معرفات التطبيقات السحابية

    تحدد القائمة التالية المعرفات للتطبيقات السحابية المعروفة. يتم استخدام قيمة معرف التطبيق كمعرف عنصر تطبيق سحابي.

    معرف التطبيق الاسم
    10026 DocuSign
    10395 Anaplan
    10489 Box
    10549 Cisco Webex
    10618 Atlassian
    10915 Cornerstone OnDemand
    10921 Zendesk
    10980 Okta
    11042 Jive Software
    11114 Salesforce
    11161 Office 365
    11162 Microsoft OneNote Online
    11394 Microsoft Online Services
    11522 Yammer
    11599 Amazon Web Services
    11627 Dropbox
    11713 Expensify
    11770 G Suite
    12005 SuccessFactors
    12260 Microsoft Azure
    12275 يوم عمل
    13843 LivePerson
    13979 Concur
    14509 ServiceNow
    15570 تابلوه
    15600 Microsoft OneDrive for Business
    15782 Citrix ShareFile
    17152 Amazon
    17865 Ariba Inc
    18432 Zscaler
    19688 Xactly
    20595 تطبيقات Microsoft Defender للسحابة
    20892 Microsoft SharePoint Online
    20893 Microsoft Exchange Online
    20940 Active Directory
    20941 Adallom CPanel
    22110 Google Cloud Platform
    22930 Gmail
    23004 Autodesk Fusion Lifecycle
    23043 فترة السماح
    23233 Microsoft Office Online
    25275 Microsoft Skype for Business
    25988 Google Docs
    26055 مركز إدارة Microsoft 365
    26060 OPSWAT Gears
    26061 Microsoft Word Online
    26062 Microsoft PowerPoint Online
    26063 Microsoft Excel Online
    26069 Google Drive
    26206 Workiva
    26311 Microsoft Dynamics
    26318 Microsoft Entra ID
    26320 Microsoft Office Sway
    26321 Microsoft Delve
    26324 Microsoft Power BI
    27548 Microsoft Forms
    27592 Microsoft Flow
    27593 Microsoft PowerApps
    28353 Workplace by Facebook
    28373 CAS Proxy Emulator
    28375 Microsoft Teams
    32780 Microsoft Dynamics 365
    33626 Google
    34127 Microsoft AppSource
    34667 HighQ
    35395 Microsoft Dynamics Talent

    الخطوات التالية

    في هذا المستند، تعرفت على بنية العنصر والمعرفات والمخطط في Microsoft Azure Sentinel.

    تعرف على المزيد حول العناصر وتعيين العنصر.