مخططات نموذج معلومات الأمان المتقدم (ASIM)
إن مخطط نموذج معلومات الأمان المتقدم (ASIM) عبارة عن مجموعة من الحقول التي تمثل نشاطاً. يتأكد استخدام الحقول من مخطط موحد في استعلام من عمل الاستعلام مع كل مصدر موحد على حدة.
لفهم كيفية احتواء المخططات ضمن بنية نموذج معلومات الأمان المتقدم، راجع مخطط بنية نموذج معلومات الأمان المتقدم.
توضح مراجع المخطط الحقول التي تتضمن كل مخطط على حدة. يحدد نموذج ASIM حالياً المخططات الآتية:
| مخطط | الإصدار | الحالة |
|---|---|---|
| حدث التدقيق | 0.1 | الإصدار الأولي |
| حدث المصادقة | 0.1.3 | الإصدار الأولي |
| نشاط DNS | 0.1.7 | الإصدار الأولي |
| نشاط DHCP | 0.1 | الإصدار الأولي |
| نشاط الملف | 0.2.1 | الإصدار الأولي |
| جلسة عمل الشبكة | 0.2.6 | الإصدار الأولي |
| حدث العملية | 0.1.4 | الإصدار الأولي |
| حدث التسجيل | 0.1.2 | الإصدار الأولي |
| إدارة المستخدم | 0.1 | الإصدار الأولي |
| جلسة عمل الويب | 0.2.6 | الإصدار الأولي |
هام
تخضع مخططات ASIM وأدوات التحليل حالياً للمعاينة. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.
مفاهيم المخطط
تساعد المفاهيم الآتية على فهم المستندات المرجعية للمخطط، وتوسيع المخطط بأسلوب موحد في حال احتواء بياناتك على معلومات لا يغطيها المخطط.
| المفهوم | الوصف |
|---|---|
| أسماء الحقول | يشتمل أساس كل مخطط على أسماء حقوله. تنتمي أسماء الحقول إلى المجموعات التالية: - الحقول المشتركة لجميع المخططات. - حقول معينة للمخطط. - الحقول الممثلة للكيانات، مثل: المستخدمين المشاركين في المخطط. تتماثل الحقول الممثلة للكيانات عبر المخططات. عندما تحتوي المصادر على حقول غير معروضة في المخطط الموثق، تُوحد للاحتفاظ على التناسق. في حال تمثيل الحقول الإضافية لأحد الكيانات، فستُوحد استناداً إلى إرشادات حقل الكيان. خلاف ذلك، تسعى المخططات جاهدة للاحتفاظ بالتناسق عبر جميع المخططات. فعلى سبيل المثال، بينما لا توفر سجلات نشاط خادم DNS معلومات المستخدم، قد تتضمن سجلات نشاط DNS من إحدى نقاط النهاية معلومات المستخدم التي يمكن تسويتها وفقاً لإرشادات كيان المستخدم. |
| أنواع الحقول | لكل حقل من حقول المخطط نوع ما. تحتوي مساحة عمل تحليلات السجل على مجموعة محدودة من أنواع البيانات. لهذا السبب، يستخدم Microsoft Azure Sentinel نوعاً منطقياً لحقول المخطط المتعددة التي لا تفرضها تحليلات السجل لكنها تكون مطلوبة من أجل توافق المخطط. تتأكد أنواع الحقول المنطقية من اتساق كل من القيم، وأسماء الحقول عبر المصادر. للمزيد من المعلومات، راجع الأنواع المنطقية. |
| فئة الحقل | قد تحتوي الحقول على عدة فئات، والتي تحدد متى يجب تنفيذ الحقول بواسطة محلل: - يجب أن تظهر الحقول الإلزامية في كل محلل. في حال عدم توفير المصدر لمعلومات القيمة المُشار إليها، أو تعذر إضافة البيانات بخلاف ذلك، فلن يدعم معظم عناصر المحتوى التي تشير إلى المخطط الموحد. - يجب توحيد الحقول المستحسنة في حال توفرها. ومع ذلك، قد لا تتوفر في كل مصدر. تلزم مراعاة التوفر في أي عنصر محتوى يشير إلى مخطط موحد. - يمكن توحيد الحقول الاختيارية، في حال توفرها أو يمكن تركها في نموذجها الأصلي. وعادة، لن يتولى المحلل الأدنى توحديها لأسباب تتعلق بالأداء. - تكون الحقول الشرطية إلزامية إذا تم ملء الحقل الذي تتبعه. عادة ما تستخدم الحقول الشرطية لوصف القيمة في حقل آخر. على سبيل المثال، يصف الحقل المشترك DvcIdType القيمة int للحقل المشترك DvcId وبالتالي يكون إلزاميا إذا تم ملء الأخير. - الاسم المستعار هو نوع خاص من الحقل الشرطي، وهو إلزامي إذا تم ملء الحقل المستعار. |
| الحقول المشتركة | بعض الحقول مشتركة لجميع مخططات ASIM. قد يضيف كل مخطط على حدة إرشادات لاستخدام بعض الحقول المشتركة في سياق المخطط المحدد. على سبيل المثال، قد تختلف القيم المسموح بها للحقل EventType لكل مخطط، كما قد تختلف قيمة الحقل EventSchemaVersion. |
| الكيانات | تتطور أحداث حول الكيانات مثل: المستخدمين، أو المضيفين، أو العمليات، أو الملفات. قد يتطلب كل كيان على حدة عدة حقول لوصفه. فعلى سبيل المثال، قد يمتلك المضيف اسماً وعنوان IP. وقد يتضمن السجل الواحد كيانات متعددة من النوع نفسه، مثل: كل من المصدر ومضيف الوجهة. يحدد نموذج ASIM كيفية وصف الكيانات بتناسق، وأن الكيانات تسمح بتوسيع المخططات. على سبيل المثال، بينما لا يتضمن مخطط جلسة عمل الشبكة معلومات العملية، توفر بعض مصادر الأحداث معلومات العملية التي يمكن إضافتها. للمزيد من المعلومات، راجع الكيانات. |
| الاسماء المستعاره | تسمح الأسماء المستعارة بأسماء متعددة لقيمة محددة. في بعض الحالات، يتوقع مستخدمون مختلفون أن يكون للحقل أسماء مختلفة. على سبيل المثال، في مصطلحات DNS، قد تتوقع حقلا يسمى DnsQuery، بينما بشكل عام، يحمل اسم مجال. يساعد مجال الاسم المستعار المستخدم عن طريق السماح باستخدام كلا الاسمين. في بعض الحالات، يمكن أن يكون للاسم المستعار قيمة أحد الحقول المتعددة، اعتمادا على القيم المتوفرة في الحدث. على سبيل المثال، الاسم المستعار Dvc ، الأسماء المستعارة إما حقول DvcFQDN أو DvcId أو DvcHostname أو DvcIpAddr أو منتج الحدث. عندما يمكن أن يحتوي الاسم المستعار على عدة قيم، يجب أن يكون نوعه سلسلة لاستيعاب كافة القيم المستعارة المحتملة. ونتيجة لذلك، عند تعيين قيمة لمثل هذا الاسم المستعار، تأكد من تحويل النوع إلى سلسلة باستخدام سلسلة الدالة KQL. لا تتضمن الجداول الأصلية التي تمت تسويتها أسماء مستعارة، لأن تلك قد تعني تخزين البيانات المكررة. بدلا من ذلك، يضيف محللات كعب الروتين الأسماء المستعارة. لتنفيذ الأسماء المستعارة في المحللات، قم بإنشاء نسخة من القيمة الأصلية extend باستخدام عامل التشغيل . |
الأنواع المنطقية
لكل حقل من حقول المخطط نوع ما. تحتوي بعض الحقول على أنواع تحليلات السجل المضمنة، مثل string،أو int، أوdatetime، أو dynamic. تحتوي الحقول الأخرى على نوع منطقي يمثل كيفية توحيد قيم الحقول.
| نوع البيانات | النوع الفعلي | التنسيق والقيمة |
|---|---|---|
| منطقي | مجموعة | استخدم نوع بيانات نص الاستعلام KQL bool المضمن بدلاً من التمثيل الرقمي أو التسلسلي للقيم المنطقية. |
| بقائمة تعداد | السلسلة | قائمة بالقيم المحددة بوضوح للحقل. يسرد تعريف المخطط القيم المقبولة. |
| التاريخ/الوقت | اعتمادا على إمكانية أسلوب الاستيعاب، استخدم أي من التمثيلات المادية التالية في أولوية تنازلية: - نوع التاريخ والوقت المضمن في Log Analytics - حقل عدد صحيح باستخدام التمثيل الرقمي لتاريخ تحليلات السجل ووقتها. - حقل سلسلة يستخدم التمثيل الرقمي للتاريخ والوقت لتحليلات السجل - حقل سلسلة يخزن تنسيق التاريخ/الوقت المعتمد لتحليلات السجل. |
يتماثل تمثيل التاريخ والوقت في تحليلات السجل لكنه يختلف عن تمثيل وقت نظام تشغيل Unix. للمزيد من المعلومات، راجع إرشادات التحويل. ملاحظة: عند الاقتضاء، يجب أن يمثل الوقت المنطقة الزمنية المعدلة. |
| عنوان MAC | السلسلة | رمز سداسي عشري من نقطتين. |
| عنوان IP | السلسلة | لا تحتوي مخططات Microsoft Azure Sentinel على عناوين IPv4 وIPv6 منفصلة. قد يتضمن أي حقل عنوان IP عنوان IPv4 أو عنوان IPv6، كما يلي: - IPv4 في رمز عشري من نقطة. - IPv6 في رمز سداسي عشري من 8 نقاط، ما يسمح بالنموذج القصير. على سبيل المثال: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- IPv6: 1080::8:800:200C:417A |
| FQDN | السلسلة | اسم مجال مؤهل بالكامل باستخدام رمز نقطة، على سبيل المثال، learn.microsoft.com. للمزيد من المعلومات، راجع كيان الجهاز. |
| اسم المضيف | السلسلة | يتضمن اسم المضيف الذي ليس FQDN ما يصل إلى 63 حرفاً بما في ذلك الأحرف، والأرقام، والواصلات. للمزيد من المعلومات، راجع كيان الجهاز. |
| DomainType | Enumerated | نوع المجال المخزن في المجال وحقول FQDN. للاطلاع على قائمة بالقيم والمزيد من المعلومات، راجع كيان الجهاز. |
| DvcIdType | Enumerated | نوع معرف الجهاز المخزن في حقول DvcId. للاطلاع على قائمة بالقيم المسموحة والمزيد من المعلومات، راجع DvcIdType. |
| نوع الجهاز | Enumerated | نوع الجهاز المُخزن في حقول نوع الجهاز. تشمل القيم المتاحة ما يلي: - Computer- Mobile Device- IOT Device- Other. للمزيد من المعلومات، راجع كيان الجهاز. |
| اسم المستخدم | السلسلة | اسم مستخدم صالح في أحد الأنواع المدعومة. لمزيد من المعلومات، راجع كيان المستخدم. |
| UsernameType | Enumerated | نوع اسم المستخدم المخزن في حقول اسم المستخدم. للمزيد من المعلومات وقائمة القيم المدعومة، راجع كيان المستخدم. |
| UserIdType | Enumerated | نوع المعرف المُخزن في حقول معرف المستخدم. القيم المدعومة هي SIDو UISAADIDوOktaIdAWSId.PUID لمزيد من المعلومات، راجع كيان المستخدم. |
| نوع المستخدم | Enumerated | نوع المستخدم. للمزيد من المعلومات وقائمة القيم المسموحة، راجع كيان المستخدم. |
| نوع التطبيق | Enumerated | نوع أحد التطبيقات. تتضمن القيم المدعومة ما يلي: ProcessService، وResource، وURL، وSaaS application، وCSP، وOther. |
| البلد | السلسلة | سلسلة تستخدم ISO 3166-1، وفقا للأولوية التالية: - الرموز المؤلفة من حرفين أوليين، مثل US للولايات المتحدة. - الرموز المؤلفة من ثلاثة أحرف أولية، مثل USA للولايات المتحدة. - اسم قصير. يمكن الاطلاع على قائمة الرموز على موقع المنظمة العالمية للمواصفات (ISO). |
| المنطقة | السلسلة | اسم تقسيم البلد، باستخدام ISO 3166-2. يمكن الاطلاع على قائمة الرموز على موقع المنظمة العالمية للمواصفات (ISO). |
| المدينة | السلسلة | |
| Longitude | مزدوج | تمثيل إحداثيات ISO 6709 (رقم عشري مؤشر). |
| Latitude | مزدوج | تمثيل إحداثيات ISO 6709 (رقم عشري مؤشر). |
| MD5 | السلسلة | 32 حرفاً سداسياً. |
| SHA1 | السلسلة | 40 حرفاً سداسياً. |
| Sha256 | السلسلة | 64 حرفاً سداسياً. |
| SHA512 | السلسلة | 128 حرفاً سداسياً. |
الكيانات ذات الصلة
تتطور أحداث حول الكيانات مثل: المستخدمين، أو المضيفين، أو العمليات، أو الملفات. يسمح تمثيل الكيان للعديد من الكيانات ذات النوع نفسه بأن تكون جزءاً من سجل واحد، وأن تدعم سمات متعددة لنفس الكيانات.
ولتمكين وظيفة الكيان، يحتوي تمثيل الكيان على الإرشادات الآتية:
| الإرشادات | الوصف |
|---|---|
| أدوات الوصف، والاسم المستعار | نظراً إلى أن حدثاً واحداً غالباً ما يتضمن عدة كيانات ذات النوع نفسه، مثل: المصدر، ومضيف الوجهة، تُستخدم أدوات الوصف بمثابة بادئة لتحديد جميع الحقول المقترنة بكيان معين. للحفاظ على التوحيد، +تستخدم مخططات ASIM مجموعة صغيرة من أدوات الوصف القياسية، وانتقاء الأداء المناسبة للدور المحدد للكيانات. وفي حال اتصال كيان واحد من نوع يتعلق بحدث ما، فلا يلزم استخدام أداة وصف. كما تتولى مجموعة الحقول التي لا تحتوي على أداة وصف بتسمية الكيان الأكثر استخداماً لكل نوع على حدة باسم مستعار. |
| المعرفات، والأنواع | يسمح المخطط الموحد بعدة معرفات لكل كيان والتي نتوقع تأقلمها مع الأحداث. في حال احتواء حدث المصدر على معرفات كيان آخر لا يمكن تعيينها إلى المخطط الموحد، فاحتفظ بها في نموذج المصدر أو استخدم الحقل الديناميكي للحقول الإضافية. للاحتفاظ بمعلومات النوع للمعرفات، خزِّن النوع، عند الاقتضاء، في حقل يحمل الاسم نفسه ولاحقة النوع. على سبيل المثال، UserIdType. |
| السمات | غالباً، تمتلك الكيانات سمات أخرى لا تخدم بمثابة معرف ويمكن أيضا أن تكون مؤهلة باستخدام أداة وصف. على سبيل المثال، في حال امتلاك مستخدم المصدر معلومات المجال، يمثل الحقل الموحد مجال مستخدم المصدر. |
يحدد كل مخطط بوضوح الكيانات المركزية وحقول الكيان. تمكنك الإرشادات الآتية من فهم حقول المخطط المركزي، وكيفية توسيع المخططات بأسلوب موحد باستخدام حقول كيان أو كيانات أخرى غير محددة بوضوح في المخطط.
كيان المستخدم
يكون المستخدمون أساسيين للأنشطة التي تبلغ الأحداث عنها. تُستخدم الحقول المدرجة في هذا القسم لوصف المستخدمين المُضمنين في الإجراء. تُستخدم البادئات لتعيين دور المستخدم في النشاط. تُستخدم البادئات Src و Dst لتعيين دور المستخدم في الأحداث المتصلة بالشبكة، التي بها يتصل نظام المصدر ونظام الوجهة. تُستخدم البادئتان "المستخدم" و"الهدف" للأحداث الموجهة للنظام مثل: أحداث العملية.
معرف المستخدم ونطاقه
| الحقل | الدرجة | النوع | الوصف |
|---|---|---|---|
| UserId | اختياري | السلسلة | تمثيل فريد، أبجدي رقمي، قابل للقراءة آلياً للمستخدم. |
| UserScope | اختياري | سلسلة | النطاق الذي يتم فيه تعريف UserId واسم المستخدم . على سبيل المثال، اسم مجال مستأجر Microsoft Entra. يمثل الحقل UserIdType أيضا نوع المقترن بهذا الحقل. |
| UserScopeId | اختياري | سلسلة | معرف النطاق الذي يتم فيه تعريف UserId واسم المستخدم . على سبيل المثال، معرف دليل مستأجر Microsoft Entra. يمثل الحقل UserIdType أيضا نوع المقترن بهذا الحقل. |
| UserIdType | اختياري | UserIdType | نوع المعرف المخزن في حقل UserId. |
| UserSid، UserUid، UserAadId، UserOktaId، UserAWSId، UserPuid | اختياري | السلسلة | الحقول المستخدمة لتخزين معرفات مستخدم محددة. حدد المعرف (ID) الأكثر اقتراناً بالحدث بمثابة معرف (ID) أساسي مخزن في معرف المستخدم. املأ حقل المعرف المحدد ذي الصلة، بالإضافة إلى UserId، حتى إذا كان الحدث يحتوي على معرف واحد فقط. |
| UserAADTenant، UserAWSAccount | اختياري | السلسلة | الحقول المستخدمة لتخزين نطاقات محددة. استخدم حقل UserScope للنطاق المقترن بالمعرف المُخزّن في حقل UserId. املأ حقل النطاق المحدد ذي الصلة، بالإضافة إلى UserScope، حتى إذا كان الحدث يحتوي على معرف واحد فقط. |
تشمل القيم المسموحة لنوع معرف المستخدم:
| النوع | الوصف | مثال |
|---|---|---|
| SID | معرف مستخدم نظام تشغيل Windows. | S-1-5-21-1377283216-344919071-3415362939-500 |
| Uid | معرف مستخدم Linux. | 4578 |
| معرف (دليل Azure النشط) AADID | معرف مستخدم Microsoft Entra. | 9267d02c-5f76-40a9-a9eb-b686f3ca47aa |
| OktaId | معرف مستخدم Okta. | 00urjk4znu3BcncfY0h7 |
| AWSId | معرف مستخدم AWS. | 72643944673 |
| PUID | معرف مستخدم Microsoft 365. | 10032001582F435C |
| معرف Salesforce | معرف مستخدم Salesforce. | 00530000009M943 |
اسم المستخدم
| الحقل | الدرجة | النوع | الوصف |
|---|---|---|---|
| اسم المستخدم | اختياري | السلسلة | اسم مستخدم المصدر، بما في ذلك معلومات المجال عند توفرها. استخدم النموذج البسيط فقط في حالة عدم توفر معلومات المجال. خزّن نوع اسم المستخدم في الحقل UsernameType. |
| UsernameType | اختياري | UsernameType | يحدد نوع اسم المستخدم المخزّن في حقل اسم المستخدم. |
| UserUPN, WindowsUsername, DNUsername, SimpleUsername | اختياري | السلسلة | تُستخدم الحقول لتخزين أسماء إضافية للمستخدمين في حال تضمن الحدث الأصلي أسماء متعددة للمستخدم. حدد اسم المستخدم الأكثر اقتراناً بالحدث بمثابة اسم المستخدم الأساسي المخزّن في اسم المستخدم. |
تشمل القيم المسموحة لنوع اسم المستخدم ما يلي:
| النوع | الوصف | مثال |
|---|---|---|
| UPN | محدد اسم المستخدم الأساسي أو اسم المستخدم لعنوان البريد الإلكتروني. | johndow@contoso.com |
| Windows | اسم مستخدم نظام تشغيل Windows يشمل المجال. | Contoso\johndow |
| Dn | معين اسم مميز للبروتوكول LDAP. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| بسيط | اسم مستخدم بسيط بلا محدد مجال. | johndow |
| AWSId | معرف مستخدم AWS. | 72643944673 |
حقول إضافية للمستخدم
| الحقل | الدرجة | النوع | الوصف |
|---|---|---|---|
| نوع المستخدم | اختياري | UserType | نوع مستخدم المصدر. تشمل القيم المدعومة: - Regular- Machine- Admin- System- Application- Service Principal- Service- Anonymous- Other.قد ترد القيمة في سجل المصدر باستخدام مصطلحات مختلفة، والتي يجب توحيدها بهذه القيم. خزن القيمة الأصلية في الحقل OriginalUserType. |
| OriginalUserType | اختياري | السلسلة | نوع المستخدم الوجهة الأصلي، إذا تم توفيره بواسطة جهاز الإبلاغ. |
كيان الجهاز
يعد مصطلحا "الأجهزة" أو "المضيفين" مصطلحين شائعين مستخدمين للأنظمة المشاركة في الحدث. تُستخدم البادئة Dvc لتعيين الجهاز الأساسي الذي يحدث عليه الحدث. تحتوي بعض الأحداث، مثل: جلسات عمل الشبكة، على أجهزة المصدر والوجهة، المعينة بالبادئة Src و Dst. في مثل هذه الحالة، تُستخدم البادئة Dvc للجهاز الذي يبلغ عن الحدث، والذي قد يكون المصدر أو الوجهة أو جهاز المراقبة.
الأسماء المستعارة للجهاز
| الحقل | الدرجة | النوع | الوصف |
|---|---|---|---|
| Dvc، Src، Dst | إلزامي | السلسلة | تُستخدم الحقول Dvc، أو "Src"، أو "Dst" بمثابة معرف فريد للجهاز. كما تُعين إلى أفضل معرف متاح للجهاز. يمكن تسمية هذه الحقول بالأسماء المستعارة الآتية FQDN أو DvcId أو اسم المضيف أو IpAddr. بالنسبة لمصادر السحابة، التي لا يوجد لها جهاز واضح، استخدم نفس القيمة مثل حقل منتج الحدث. |
اسم الجهاز
قد تتضمن أسماء الأجهزة المبلغ عنها اسم مضيف فقط، أو اسم المجال المؤهل بالكامل (FQDN) الذي يتضمن كلاً من اسم المضيف واسم المجال. قد يُعبر عن اسم FQDN باستخدام عدة تنسيقات. تمكن الحقول الآتية دعم المتغيرات المختلفة التي قد يتوفر بها اسم الجهاز.
| الحقل | الدرجة | النوع | الوصف |
|---|---|---|---|
| اسم المضيف | مستحسن | اسم المضيف | اسم مضيف قصير للجهاز. |
| المجال | مستحسن | السلسلة | مجال الجهاز الذي حدث فيه الحدث، دون اسم المضيف. |
| DomainType | مستحسن | Enumerated | نوع المجال. تتضمن القيم المدعومة: FQDN وWindows. يلزم توفير هذا الحقل في حال استخدام حقل المجال. |
| FQDN | اختياري | السلسلة | اسم FQDN للجهاز بما في ذلك اسم المضيف والمجال . يدعم هذا الحقل تنسيق اسم FQDN التقليدي وتنسيق مجال/اسم مضيف نظام تشغيل Windows. يعكس الحقل DomainType التنسيق المستخدم. |
على سبيل المثال:
| الحقل | قيمة للإدخال appserver.contoso.com |
قيمة للإدخال appserver |
|---|---|---|
| اسم المضيف | appserver |
appserver |
| المجال | contoso.con |
<فارغ> |
| DomainType | FQDN |
<فارغ> |
| FQDN | appserver.contoso.com |
<فارغ> |
عندما يوفر المصدر القيمة كاسم FQDN، أو عندما تكون القيمة إما FQDN أو اسم مضيف قصير، يجب على المحلل حساب القيم الأربع. استخدم وظائف مساعد مخططات ASIM _ASIM_ResolveFQDN، و_ASIM_ResolveSrcFQDN، و_ASIM_ResolveDstFQDN، و_ASIM_ResolveDvcFQDN لتعيين جميع الحقول الأربعة بسهولة استناداً إلى قيمة إدخال واحدة. للمزيد من المعلومات، راجع وظائف مساعد ASIM.
معرف الجهاز ونطاقه
| الحقل | الدرجة | النوع | الوصف |
|---|---|---|---|
| DvcId | اختياري | السلسلة | المعرف ID الفريد للجهاز. على سبيل المثال: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| Scopeid | اختياري | السلسلة | معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. تعيين النطاق إلى معرف اشتراك على Azure ومعرف حساب على AWS. |
| النطاق | اختياري | السلسلة | نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. تعيين النطاق إلى اشتراك على Azure وإلى حساب على AWS. |
| DvcIdType | اختياري | Enumerated | نوع DvcId. عادة ما يحدد هذا الحقل أيضا نوع Scope و ScopeId. يلزم توفير هذا الحقل في حال استخدام الحقل DvcId. |
| DvcAzureResourceId، DvcMDEid، DvcMD4IoTid، DvcVMConnectionId، DvcVectraId، DvcAwsVpcId | اختياري | السلسلة | تُستخدم الحقول لتخزين معرفات إضافية للجهاز، في حال تضمن الحدث الأصلي معرفات متعددة للجهاز. حدد معرف الجهاز الأكثر اقتراناً بالحدث بمثابة معرف أساسي مخزن في DvcId. |
لاحظ ضرورة إلحاق الحقول المسماة ببادئة دور مثل Src أو Dst، لكن يجب عدم إلحاق بادئة ثانية Dvc في حال استخدامها في هذا الدور.
تشمل القيم المسموحة لنوع معرف الجهاز:
| النوع | الوصف |
|---|---|
| MDEid | معرف النظام الذي عينه Microsoft Defender لنقطة النهاية. |
| AzureResourceId | معرف مورد Azure. |
| MD4IoTid | معرف مورد Microsoft Defender لإنترنت الأشياء. |
| VMConnectionId | معرف مورد حل نتيجة تحليلات الأجهزة الظاهرية لمراقب Azure. |
| AwsVpcId | معرّف AWS VPC. |
| VectraId | معرّف مورد الذكاء الاصطناعي المُعيّن لـ Vectra. |
| الاخري | نوع معرف غير مدرج أعلاه. |
على سبيل المثال، يوفر الحل VM Insights في Azure Monitor معلومات جلسات عمل الشبكة في VMConnection. يوفر الجدول معرف مورد Azure في الحقل _ResourceId ومعرف جهاز معين لنتائج تحليلات VM في الحقل Machine. استخدم التعيين الآتي لتمثيل هذه المعرفات:
| الحقل | عين إلى |
|---|---|
| DvcId | الحقل Machine في الجدول VMConnection. |
| DvcIdType | القيمة VMConnectionId |
| DvcAzureResourceId | الحقل _ResourceId في الجدول VMConnection. |
الحقول الإضافية للجهاز
| الحقل | الدرجة | النوع | الوصف |
|---|---|---|---|
| IpAddr | مستحسن | عنوان IP | عنوان IP الخاص بالجهاز. مثال: 45.21.42.12 |
| DvcDescription | اختياري | السلسلة | نص وصفي مرتبط بالجهاز. على سبيل المثال: Primary Domain Controller. |
| MacAddr | اختياري | وحدة تحكم وصول الوسائط | عنوان وحدة تحكم وصول الوسائط للجهاز الذي وقع عليه الحدث أو الذي أبلغ عن الحدث. مثال: 00:1B:44:11:3A:B7 |
| المنطقة | اختياري | السلسلة | الشبكة التي وقع عليها الحدث أو التي أبلغت عن الحدث، اعتمادًا على المخطط. يتم تعريف المنطقة بواسطة جهاز التقارير. مثال: Dmz |
| DvcOs | اختياري | السلسلة | نظام تشغيل الجهاز الذي وقع عليه الحدث أو الذي أبلغ عن الحدث. مثال: Windows |
| DvcOsVersion | اختياري | السلسلة | إصدار نظام تشغيل الجهاز الذي وقع عليه الحدث أو الذي أبلغ عن الحدث. مثال: 10 |
| DvcAction | اختياري | السلسلة | للإبلاغ عن أنظمة الأمان، يتخذ النظام الإجراء، إن أمكن. مثال: Blocked |
| DvcOriginalAction | اختياري | السلسلة | DvcAction الأصلي المقدم من جهاز إعداد التقارير. |
| الواجهة | اختياري | السلسلة | واجهة الشبكة المُسجل عليها البيانات. عادة، يتصل هذا الحقل بالنشاط المتصل بالشبكة الذي سجله جهاز وسيط أو مُخصص. |
لاحظ ضرورة إلحاق الحقول المسماة في القائمة ببادئة جهاز Dvc ببادئة الدور مثل Src أو Dst، لكن يجب عدم إلحاق بادئة ثانية Dvc في حال استخدامها في هذا الدور.
عينة تعيين الكيان
يستخدم هذا القسم حدث Windows 4624 بمثابة مثال لوصف كيفية توحيد بيانات الحدث لـ Microsoft Azure Sentinel.
يحتوي هذا الحدث على الكيانات الأتية:
| مصطلحات Microsoft | بادئة حقل الحدث الأصلي | بادئة حقل ASIM | الوصف |
|---|---|---|---|
| الموضوع | Subject |
Actor |
المستخدم الذي أبلغ عن معلومات تسجيل دخول ناجح. |
| تسجيل دخول جديد | Target |
TargetUser |
المستخدم الذي أُجري له تسجيل الدخول. |
| العملية | - | ActingProcess |
العملية التي حاولت تسجيل الدخول. |
| معلومات الشبكة | - | Src |
الجهاز الذي نُفذت منه محاولة تسجيل الدخول. |
استناداً إلى هذه الكيانات، تم توحيد حدث Windows 4624 كما يلي (بعض الحقول اختيارية):
| الحقل الموحد | الحقل الأصلي | القيمة الواردة في المثال | الملاحظات |
|---|---|---|---|
| ActorUserId | SubjectUserSid | S-1-5-18 | |
| ActorUserIdType | - | SID | |
| ActorUserName | SubjectDomainName\ SubjectUserName | WORKGROUP\WIN-GG82ULGC9GO$ | أنشأه تسلسل الحقلين |
| ActorUserNameType | - | Windows | |
| ActorSessionId | SubjectLogonId | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| UserId | TargetUserSid | الاسم المستعار | |
| TargetUserIdType | - | SID | |
| TargetUserName | TargetDomainName\ TargetUserName | Administrator\WIN-GG82ULGC9GO$ | أنشأه تسلسل الحقلين |
| اسم المستخدم | TargetDomainName\ TargetUserName | الاسم المستعار | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | TargetLogonId | 0x8dcdc | |
| ActingProcessName | ProcessName | C:\Windows\System32\svchost.exe | |
| ActingProcessId | ProcessId | 0x44c | |
| SrcHostname | اسم محطة العمل | Windows | |
| SrcIpAddr | IpAddress | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | الكمبيوتر | WIN-GG82ULGC9GO | |
| اسم المضيف | الكمبيوتر | الاسم المستعار |
الخطوات التالية
توفر هذه المقالة نظرة عامة على التسوية في كل من Microsoft Azure Sentinel ونموذج ASIM.
لمزيد من المعلومات، راجع: