مشاركة عبر

مرجع مخطط تسوية جلسة شبكة نموذج معلومات الأمان المتقدمة (ASIM) (معاينة عامة)

  • مقالة

يمثل مخطط تسوية جلسة عمل شبكة Microsoft Sentinel نشاط شبكة IP، مثل اتصالات الشبكة وجلسات الشبكة. يتم الإبلاغ عن مثل هذه الأحداث، على سبيل المثال، بواسطة أنظمة التشغيل وأجهزة التوجيه وجدران الحماية وأنظمة منع التسلل.

يمكن أن يمثل مخطط تسوية الشبكة أي نوع من جلسة عمل شبكة IP ولكنه مصمم لتوفير الدعم لأنواع المصادر الشائعة، مثل Netflow وجدران الحماية وأنظمة منع الاختراق.

لمزيد من المعلومات بشأن التسوية في Microsoft Sentinel، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM).

توضح هذه المقالة الإصدار 0.2.x من مخطط تسوية الشبكة. تم إصدار الإصدار 0.1 قبل توفر ASIM ولا يتوافق مع ASIM في عدة أماكن. لمزيد من المعلومات، راجع الاختلافات بين إصدارات مخطط تسوية الشبكة.

هام

يعتبر مخطط تسوية الشبكة قيد المعاينة حاليًا. تتوفر هذه الميزة بدون اتفاقية مستوى الخدمة. لا نوصي به لأحمال عمل الإنتاج.

تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.

المُحللات

لمزيد من المعلومات حول مُحللات ASIM، راجع نظرة عامة على مُحللات ASIM.

توحيد المحللات

لاستخدام المُحللات التي تعمل على توحيد جميع محللات ASIM الجاهزة، والتأكد من أن التحليل الخاص بك يعمل عبر جميع المصادر المكونة، استخدم _Im_NetworkSession محلل التصفية أو _ASim_NetworkSession محلل المعلمات الأقل.

يمكنك أيضًا استخدام مُحللات ImNetworkSession وASimNetworkSession المنشورة إلى مساحة العمل عن طريق نشرها من مستودع Microsoft Sentinel GitHub.

لمزيد من المعلومات، راجع مُحللات ASIM المضمنة والمُحللات المنشورة إلى مساحة العمل.

المحللات جديدة ومخصصة للمصدر

للحصول على قائمة محللات جلسة الشبكة، يوفر Microsoft Azure Sentinel إشارة جاهزة للتشغيل إلى ASIM Parsers List

أضف المحلل اللغوي المعياري الخاص بك

عند تطوير محللات مخصصة لنموذج معلومات جلسة عمل الشبكة، قم بتسمية وظائف KQL باستخدام بناء الجملة التالي:

  • vimNetworkSession<vendor><Product> للمُحللات القائمة على المعلمات
  • ASimNetworkSession<vendor><Product> للمُحللات العادية

راجع المقالة إدارة محللات ASIM لمعرفة كيفية إضافة محللات مخصصة إلى جلسة عمل الشبكة التي تعمل على توحيد المحللات.

تصفية معلمات المُحلل

تدعم محللات جلسة عمل الشبكة معلمات التصفية. في حين أن هذه المعلمات اختيارية، فإنها يمكن أن تحسن أداء الاستعلام الخاص بك.

تتوفّر معلمات التصفية التالية:

Name كتابة ‏‏الوصف
starttime datetime تصفية جلسات الشبكة التي بدأت في هذا الوقت أو بعده فقط.
endtime datetime تصفية جلسات الشبكة التي بدأت التشغيل في هذا الوقت أو قبله فقط.
srcipaddr_has_any_prefix ديناميكي تصفية جلسات الشبكة التي تكون بادئة حقل عنوان IP مصدر البيانات لها في إحدى القيم المدرجة. يجب أن تنتهي البادئات بـ .، على سبيل المثال: 10.0.. طول القائمة محدد بـ 10000 عنصر.
dstipaddr_has_any_prefix ديناميكي قم بتصفية جلسات عمل الشبكة التي تكون بادئة حقل عنوان IP الوجهة لها في إحدى القيم المدرجة فقط. يجب أن تنتهي البادئات بـ .، على سبيل المثال: 10.0.. طول القائمة محدد بـ 10000 عنصر.
ipaddr_has_any_prefix ديناميكي تصفية فقط جلسات الشبكة التي يكون حقل عنوان IP الوجهة أو بادئة حقل عنوان IP المصدر في إحدى القيم المدرجة لها. يجب أن تنتهي البادئات بـ .، على سبيل المثال: 10.0.. طول القائمة محدد بـ 10000 عنصر.

يُعيّن الحقل ASimMatchingIpAddr بإحدى القيم SrcIpAddrDstIpAddrأو Both لتعكس الحقول أو الحقول المطابقة.
رقم dstportn Int تصفية جلسات عمل الشبكة فقط باستخدام رقم منفذ الوجهة المحدد.
hostname_has_any ديناميكي/سلسلة تصفية جلسات عمل الشبكة التي يحتوي حقل اسم المضيف الوجهة لها على أي من القيم المدرجة. طول القائمة محدد بـ 10000 عنصر.

يُعيّن الحقل ASimMatchingHostname بإحدى القيم SrcHostname أو DstHostname أو Both لتعكس الحقول أو الحقول المطابقة.
dvcaction ديناميكي/سلسلة قم بتصفية جلسات عمل الشبكة التي يكون حقل Device Action لها أي من القيم المدرجة فقط.
eventresult السلسلة‬ تصفية جلسات عمل الشبكة بقيمة EventResult معينة فقط.

يمكن أن تقبل بعض المعلمات كلا من قائمة القيم من النوع dynamic أو قيمة سلسلة واحدة. لتمرير قائمة حرفية إلى المعلمات التي تتوقع قيمة ديناميكية، استخدم قيمة حرفية ديناميكية بشكل صريح. على سبيل المثال: dynamic(['192.168.','10.'])

على سبيل المثال، لتصفية جلسات الشبكة فقط لقائمة محددة من أسماء المجالات، استخدم:

let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)

تلميح

لتمرير قائمة حرفية إلى المعلمات التي تتوقع قيمة ديناميكية، استخدم قيمة حرفية ديناميكية بشكل صريح. على سبيل المثال: dynamic(['192.168.','10.']).

المحتوى الطبيعي

للحصول على قائمة كاملة بقواعد التحليلات التي تستخدم أحداث DNS العادية، راجع محتوى أمان جلسة عمل الشبكة.

نظرة عامة على المخطط

يتم محاذاة نموذج معلومات جلسة عمل الشبكة مع مخطط كيان شبكة OSSEM.

يخدم مخطط جلسة عمل الشبكة عدة أنواع من السيناريوهات المتشابهة ولكن المميزة، والتي تشترك في نفس الحقول. يتم تحديد هذه السيناريوهات بواسطة حقل EventType:

  • NetworkSession - جلسة عمل شبكة تم الإبلاغ عنها بواسطة جهاز وسيط يراقب الشبكة، مثل جدار الحماية أو جهاز التوجيه أو لمس الشبكة.
  • L2NetworkSession - جلسات عمل الشبكة التي تتوفر معلومات الطبقة 2 فقط لها. ستتضمن مثل هذه الأحداث عناوين MAC ولكن ليس عناوين IP.
  • Flow - حدث مجمع يبلغ عن عدة جلسات شبكة مماثلة، عادة خلال فترة زمنية محددة مسبقا، مثل أحداث Netflow .
  • EndpointNetworkSession - جلسة عمل شبكة تم الإبلاغ عنها بواسطة إحدى نقاط نهاية الجلسة، بما في ذلك العملاء والخوادم. بالنسبة لمثل هذه الأحداث، يدعم remote المخطط حقلي الاسم المستعار و local .
  • IDS - تم الإبلاغ عن جلسة عمل الشبكة على أنها مريبة. سيكون لمثل هذا الحدث بعض حقول الفحص التي تم ملؤها، وقد يحتوي على حقل عنوان IP واحد فقط، إما المصدر أو الوجهة.

عادة، يجب على الاستعلام إما تحديد مجموعة فرعية فقط من أنواع الأحداث هذه، وقد يحتاج إلى معالجة جوانب فريدة من حالات الاستخدام بشكل منفصل. على سبيل المثال، لا تعكس أحداث IDS حجم الشبكة بالكامل ولا يجب أخذها في الاعتبار في التحليلات المستندة إلى الأعمدة.

تستخدم أحداث جلسة عمل الشبكة الواصفات Src وDst للإشارة إلى أدوار الأجهزة والمستخدمين والتطبيقات ذات الصلة المشاركة في الجلسة. لذلك، على سبيل المثال، يتم تسمية اسم مضيف الجهاز المصدر وعنوان IP بـ SrcHostname وSrcIpAddr. عادة ما تستخدم Target مخططات ASIM الأخرى بدلا من Dst.

بالنسبة للأحداث التي تم الإبلاغ عنها بواسطة نقطة نهاية والتي يكون EndpointNetworkSession، نوع الحدث لها، يقوم الواصفان Local وRemote بالإشارة إلى نقطة النهاية نفسها والجهاز في الطرف الآخر من جلسة عمل الشبكة على التوالي.

يتم استخدام الواصف Dvc لجهاز التقارير، وهو النظام المحلي للجلسات التي تم الإبلاغ عنها بواسطة نقطة نهاية، والجهاز الوسيط أو الضغط على الشبكة لأحداث جلسة عمل الشبكة الأخرى.

تفاصيل المُخطط

حقول ASIM المشتركة

هام

توصف الحقول المشتركة لكافة المخططات بالتفصيل في مقالة الحقول المشتركة لـ ASIM.

الحقول المشتركة مع وجود إرشادات محددة

تشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث جلسة الشبكة:

الحقل الفصل النوع ‏‏الوصف
EventCount إلزامي رقم صحيح تدعم مصادر Netflow التجميع، ويجب تعيين حقل EventCount إلى قيمة حقل Netflow FLOWS. بالنسبة للمصادر الأخرى، يتم تعيين القيمة عادة إلى 1.
نوع الحدث إلزامي Enumerated يصف السيناريو الذي أبلغ عنه السجل.

بالنسبة لسجلات جلسة عمل الشبكة، القيم المسموح بها هي:
- EndpointNetworkSession
- NetworkSession
- L2NetworkSession
- IDS
- Flow

لمزيد من المعلومات حول أنواع الأحداث، راجع نظرة عامة على المخطط
EventSubType اختياري السلسلة‬ وصف إضافي لنوع الحدث، إذا كان ذلك ممكنًا.
بالنسبة لسجلات جلسة عمل الشبكة، تتضمن القيم المدعومة ما يلي:
- Start
- End

هذا الحقل غير ذي صلة بالأحداث Flow .
EventResult إلزامي Enumerated إذا لم يوفر الجهاز المصدر نتيجة حدث، فإنه يجب أن يستند EventResult إلى قيمة DvcAction. إذا كان DvcAction هو Deny أو Drop أو Drop ICMP أو Resetأو Reset Source أو Reset Destination
فإنه يجب أن تكون EventResult Failure. وإلا، يجب أن يكون EventResult Success.
EventResultDetails مستحسن Enumerated سبب أو تفاصيل النتيجة التي تم الإبلاغ عنها في الحقل EventResult. القيم المدعومة هي:
- تجاوز الفشل
- TCP غير صالح
- نفق غير صالح
- الحد الأقصى لإعادة المحاولة
- إعادة تعيين
- مشكلة التوجيه
- المحاكاة
- تم الإنهاء
- المهلة
- خطأ عابر
- غير معروف
- NA.

يتم تخزين القيمة الأصلية الخاصة بالمصدر في الحقل EventOriginalResultDetails.
EventSchema إلزامي السلسلة‬ اسم المخطط الموثّق هنا هو NetworkSession.
EventSchemaVersion إلزامي السلسلة‬ إصدار المُخطط. إصدار المخطط الموثّق هنا هو 0.2.6.
DvcAction مستحسن Enumerated الإجراء الذي تم اتخاذه في جلسة عمل الشبكة. القيم المدعومة هي:
- Allow
- Deny
- Drop
- Drop ICMP
- Reset
- Reset Source
- Reset Destination
- Encrypt
- Decrypt
- VPNroute

ملاحظة: قد يتم توفير القيمة في سجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها مع هذه القيم. يجب تخزين القيمة الأصلية في حقل DvcOriginalAction.

مثال: drop
EventSeverity اختياري Enumerated إذا لم يوفر الجهاز المصدر خطورة الحدث، فإنه يجب أن يستند EventSeverity إلى قيمة DvcAction. إذا كان DvcAction هو Deny أو Drop أو Drop ICMP أو Resetأو Reset Source أو Reset Destination
، فإنه يجب أن يكون EventSeverity Low. وإلا، يجب أن يكون EventSeverity Informational.
DvcInterface يجب أن يكون حقل DvcInterface اسمًا مستعارًا إما لحقول DvcInboundInterface أو حقول DvcOutboundInterface.
حقول Dvc بالنسبة لأحداث جلسة الشبكة، تُشير حقول الجهاز إلى النظام الذي يبلغ عن حدث جلسة الشبكة.

جميع الحقول الشائعة

تُعد الحقول التي تظهر في الجدول أدناه مشتركة في جميع مخططات ASIM. أية مبادئ توجيهية محددة أعلاه تلغي الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريًا بشكل عام، لكنه إلزامي لمخطط معين. لمزيد من التفاصيل حول كل حقل، راجع مقالة الحقول الشائعة في ASIM.

فصل الحقول
إلزامي - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
مستحسن - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
اختياري - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- مالك الحدث
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

حقول جلسة الشبكة

الحقل الفصل النوع ‏‏الوصف
NetworkApplicationProtocol اختياري السلسلة‬ بروتوكول طبقة التطبيق المستخدم بواسطة الاتصال أو الجلسة. يجب أن تكون القيمة بالأحرف الكبيرة.

مثال: FTP
NetworkProtocol اختياري Enumerated بروتوكول IP المستخدم من قبل الاتصال أو جلسة العمل كما هو موضح في تعيين بروتوكول IANA، والذي يكون عادة TCP أو UDP أو ICMP.

مثال: TCP
NetworkProtocolVersion اختياري Enumerated إصدار NetworkProtocol. عند استخدامه للتمييز بين إصدار IP، استخدم القيم IPv4 وIPv6.
NetworkDirection اختياري Enumerated اتجاه الاتصال أو جلسة العمل:

- بالنسبة إلى EventType NetworkSessionأو Flow L2NetworkSession، يمثل NetworkDirection الاتجاه بالنسبة إلى حدود بيئة المؤسسة أو السحابة. القيم المدعومة هي Inboundأو Outbound أو Local (للمؤسسة) أو External (للمؤسسة) أو NA (غير قابل للتطبيق).

- بالنسبة ل EventType EndpointNetworkSession، يمثل NetworkDirection الاتجاه بالنسبة إلى نقطة النهاية. القيم المدعومة هي Inbound أو Outbound أو Local (للنظام) Listen أو NA (غير قابل للتطبيق). تشير القيمة Listen إلى أن الجهاز قد بدأ في قبول اتصالات الشبكة ولكنه ليس متصلاً بالضرورة.
NetworkDuration اختياري رقم صحيح مقدار الوقت، بالمللي ثانية، لإكمال جلسة عمل الشبكة أو الاتصال.

مثال: 1500
المدة الاسم المستعار الاسم المستعار لـ NetworkDuration.
NetworkIcmpType اختياري السلسلة‬ بالنسبة لرسالة ICMP، اسم نوع ICMP المقترن بالقيمة الرقمية، كما هو موضح في RFC 2780 لاتصالات شبكة IPv4، أو في RFC 4443 لاتصالات شبكة IPv6.

مثال: Destination Unreachable ل NetworkIcmpCode 3
NetworkIcmpCode اختياري رقم صحيح بالنسبة لرسالة ICMP، رقم رمز ICMP كما هو موضح في RFC 2780 لاتصالات شبكة IPv4، أو في RFC 4443 لاتصالات شبكة IPv6.
NetworkConnectionHistory اختياري السلسلة‬ علامات TCP ومعلومات عنوان IP المحتملة الأخرى.
DstBytes مستحسن طويل عدد وحدات البايت المرسلة من الوجهة إلى المصدر للاتصال أو الجلسة. إذا تم تجميع الحدث، يجب أن يكون DstBytes هو المجموع عبر جميع الجلسات المجمعة.

مثال: 32455
SrcBytes مستحسن طويل عدد وحدات البايت المرسلة من المصدر إلى الوجهة للاتصال أو جلسة العمل. إذا تم تجميع الحدث، يجب أن يكون DstBytes هو المجموع عبر جميع الجلسات المجمعة.

مثال: 46536
NetworkBytes اختياري طويل عدد وحدات البايت المرسلة في كلا الاتجاهين. إذا كان كل من BytesReceived وBytesSent موجودين، فيجب أن يساوي BytesTotal مجموعهما. إذا تم تجميع الحدث، يجب أن يكون NetworkBytes هو المجموع عبر جميع الجلسات المجمعة.

مثال: 78991
DstPackets اختياري طويل عدد حزم البيانات المرسلة من الوجهة إلى المصدر للاتصال أو الجلسة. يتم تعريف معنى الحزمة بواسطة جهاز إعداد التقارير. إذا تم تجميع الحدث، يجب أن يكون DstPackets هو المجموع عبر جميع الجلسات المجمعة.

مثال: 446
SrcPackets اختياري طويل عدد حزم البيانات المرسلة من المصدر إلى الوجهة للاتصال أو جلسة العمل. يتم تعريف معنى الحزمة بواسطة جهاز إعداد التقارير. إذا تم تجميع الحدث، يجب أن يكون SrcPackets هو المجموع عبر جميع الجلسات المجمعة.

مثال: 6478
NetworkPackets اختياري طويل عدد حزم البيانات المرسلة في كلا الاتجاهين. إذا كان كل من PacketsReceived وPacketsSent موجودين، فيجب أن يساوي BytesTotal مجموعهما. يتم تعريف معنى الحزمة بواسطة جهاز إعداد التقارير. إذا تم تجميع الحدث، يجب أن يكون NetworkPackets هو المجموع عبر جميع الجلسات المجمعة.

مثال: 6924
NetworkSessionId اختياري سلسلة معرّف الجلسة كما تم الإبلاغ عنه بواسطة جهاز التقارير.

مثال: 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80
معرف الجلسة الاسم المستعار السلسلة‬ الاسم المستعار لـ NetworkSessionId.
TcpFlagsAck اختياري Boolean تم الإبلاغ عن علامة TCP ACK. تُستخدم علامة الإقرار للإقرار باستلام الحزمة بنجاح. كما نرى من الرسم البياني أعلاه، يرسل جهاز الاستقبال ACK و SYN في الخطوة الثانية من عملية تأكيد الاتصال الثلاثية لإخبار المرسل أنه تلقى الحزمة الأولية.
TcpFlagsFin اختياري Boolean تم الإبلاغ عن علامة TCP FIN. تعني العلامة النهائية عدم وجود المزيد من البيانات من المرسل. لذلك، يتم استخدامه في الحزمة الأخيرة المرسلة من المرسل.
TcpFlagsSyn اختياري Boolean تم الإبلاغ عن علامة TCP SYN. يتم استخدام علامة المزامنة كخطوة أولى في إنشاء تأكيد اتصال ثلاثي الاتجاهات بين مضيفين. يجب أن تحتوي الحزمة الأولى فقط من كل من المرسل والمتلقي على مجموعة العلامات هذه.
TcpFlagsUrg اختياري Boolean تم الإبلاغ عن علامة TCP URG. يتم استخدام العلامة العاجلة لإعلام المتلقي لمعالجة الحزم العاجلة قبل معالجة جميع الحزم الأخرى. سيتم إعلام المتلقي عند تلقي جميع البيانات العاجلة المعروفة. راجع RFC 6093 لمزيد من التفاصيل.
TcpFlagsPsh اختياري Boolean تم الإبلاغ عن علامة TCP PSH. يشبه علم الدفع علامة URG ويخبر المستلم بمعالجة هذه الحزم عند استلامها بدلاً من تخزينها مؤقتًا.
TcpFlagsRst اختياري Boolean تم الإبلاغ عن علامة TCP RST. يتم إرسال علامة إعادة التعيين من جهاز الاستقبال إلى المرسل عند إرسال حزمة إلى مضيف معين لم يكن يتوقعها.
TcpFlagsEce اختياري Boolean تم الإبلاغ عن علامة TCP ECE. هذه العلامة مسؤولة عن الإشارة إلى ما إذا كان نظير TCP قادرًا على ECN. راجع RFC 3168 لمزيد من التفاصيل.
TcpFlagsCwr اختياري Boolean تم الإبلاغ عن علامة CWR TCP. يتم استخدام العلامة المخفضة لنافذة الازدحام من قبل المضيف المرسل للإشارة إلى أنه تلقى حزمة مع مجموعة علامات ECE. راجع RFC 3168 لمزيد من التفاصيل.
TcpFlagsNs اختياري Boolean تم الإبلاغ عن علامة TCP NS. لا تزال علامة المجموع nonce علامة تجريبية تستخدم للمساعدة في الحماية من الإخفاء الضار العرضي للحزم من المرسل. راجع RFC 3540 لمزيد من التفاصيل

حقول نظام الوجهة

الحقل الفصل النوع ‏‏الوصف
Dst مستحسن الاسم المستعار معرف فريد للخادم متلقي طلب DNS.

قد يستخدم هذا الحقل اسمًا مستعارًا لحقول DstDvcId أو DstHostname أو DstIpAddr.

مثال: 192.168.12.1
DstIpAddr مستحسن عنوان IP عنوان IP للاتصال أو وجهة جلسة العمل. إذا كانت جلسة العمل تستخدم ترجمة عنوان الشبكة، DstIpAddr فهذا هو العنوان المرئي بشكل عام، وليس العنوان الأصلي للمصدر، والذي يتم تخزينه في DstNatIpAddr

مثال: 2001:db8::ff00:42:8329

ملاحظة:هذه القيمة إلزامية إذا تم تحديد DstHostname.
DstPortNumber اختياري رقم صحيح منفذ IP الوجهة.

مثال: 443
DstHostname مستحسن اسم المضيف اسم مضيف جهاز الوجهة، باستثناء معلومات المجال. إذا لم يتوفر اسم الجهاز، فخزن عنوان IP ذا الصلة في هذا الحقل.

مثال: DESKTOP-1282V4D
DstDomain مستحسن السلسلة‬ مجال جهاز الوجهة.

مثال: Contoso
DstDomainType شرطي Enumerated نوع DstDomain. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، ارجع إلى DomainType في مقالة نظرة عامة على المخطط.

يكون مطلوبًا في حالة استخدام DstDomain.
DstFQDN اختياري السلسلة‬ اسم مضيف جهاز الوجهة، بما في ذلك معلومات المجال عند توفره.

مثال: Contoso\DESKTOP-1282V4D

ملاحظة: يدعم هذا الحقل كلًا من تنسيق FQDN التقليدي وتنسيق Windows domain \ hostname. يوضح DstDomainType التنسيق المستخدم.
DstDvcId اختياري السلسلة‬ معرف الجهاز الوجهة. في حالة توفر معرفات متعددة، استخدم المعرف الأكثر أهمية، وقم بتخزين المعرفات الأخرى في الحقولDstDvc<DvcIdType>.

مثال: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
DstDvcScopeId اختياري السلسلة‬ معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. مخطط DstDvcScopeId إلى معرف اشتراك على Azure وإلى معرف حساب على AWS.
DstDvcScope اختياري السلسلة‬ نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. مخطط DstDvcScope إلى معرف اشتراك على Azure ومعرف حساب على AWS.
DstDvcIdType شرطي Enumerated نوع DstDvcId. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، ارجع إلى DvcIdType في مقالة نظرة عامة على المخطط.

يكون مطلوباً في حالة استخدام DstDeviceId.
DstDeviceType اختياري Enumerated نوع جهاز الوجهة. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DeviceType في مقالة نظرة عامة على المخطط.
DstZone اختياري السلسلة‬ منطقة الشبكة للوجهة، على النحو المحدد بواسطة جهاز إعداد التقارير.

مثال: Dmz
DstInterfaceName اختياري السلسلة‬ واجهة الشبكة المستخدمة للاتصال أو الجلسة بواسطة الجهاز الوجهة.

مثال: Microsoft Hyper-V Network Adapter
DstInterfaceGuid اختياري السلسلة‬ معرف GUID لواجهة الشبكة المستخدمة على الجهاز الوجهة.

مثال:
46ad544b-eaf0-47ef-
827c-266030f545a6
DstMacAddr اختياري السلسلة‬ عنوان MAC لواجهة الشبكة المستخدمة للاتصال أو جلسة العمل بواسطة الجهاز الوجهة.

مثال: 06:10:9f:eb:8f:14
DstVlanId اختياري السلسلة‬ معرف VLAN المتعلق بالجهاز الوجهة.

مثال: 130
OuterVlanId اختياري الاسم المستعار الاسم المستعار لـ DstVlanId.

في كثير من الحالات، لا يمكن تحديد VLAN كمصدر أو وجهة ولكنها تتميز بأنها داخلية أو خارجية. يشير هذا الاسم المستعار إلى أنه يجب استخدام DstVlanId عندما يتم تمييز VLAN على أنه خارجي.
DstSubscriptionId اختياري السلسلة‬ معرف اشتراك النظام الأساسي السحابي الذي ينتمي إليه الجهاز. عين DstSubscriptionId إلى معرف اشتراك على Azure وإلى معرّف حساب AWS.
DstGeoCountry اختياري الدولة البلد المقترن بعنوان IP للوجهة. للمزيد من المعلومات، راجع ⁧⁩الأنواع المنطقية⁩.

مثال: USA
DstGeoRegion اختياري المنطقة المنطقة أو الحالة المقترنة بعنوان IP الوجهة. للمزيد من المعلومات، راجع ⁧⁩الأنواع المنطقية⁩.

مثال: Vermont
DstGeoCity اختياري المدينة المدينة المقترنة بعنوان IP للوجهة. للمزيد من المعلومات، راجع ⁧⁩الأنواع المنطقية⁩.

مثال: Burlington
DstGeoLatitude اختياري Latitude خط عرض الإحداثيات الجغرافية المقترنة بعنوان IP للوجهة. للمزيد من المعلومات، راجع ⁧⁩الأنواع المنطقية⁩.

مثال: 44.475833
DstGeoLongitude اختياري Longitude خط طول الإحداثيات الجغرافية المقترنة بعنوان IP للوجهة. للمزيد من المعلومات، راجع ⁧⁩الأنواع المنطقية⁩.

مثال: 73.211944

حقول المستخدم الوجهة

الحقل الفصل النوع ‏‏الوصف
DstUserId اختياري السلسلة‬ تمثيل فريد أبجدي رقمي يمكن قراءته آليًا للمستخدم الوجهة. للحصول على التنسيق المدعوم لأنواع المعرفات المختلفة، ارجع إلى كيان المستخدم.

مثال: S-1-12
DstUserScope اختياري السلسلة‬ النطاق، مثل مستأجر Microsoft Entra، حيث يتم تعريف DstUserId وDstUsername. أو مزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScope في مقالة نظرة عامة على المخطط.
DstUserScopeId اختياري السلسلة‬ معرف النطاق، مثل معرف دليل Microsoft Entra، حيث يتم تعريف DstUserId وDstUsername. لمزيد من المعلومات وقائمة بالقيم المسموح بها، راجع UserScopeId في مقالة نظرة عامة على المخطط.
DstUserIdType شرطي UserIdType نوع المعرف المخزن في حقل DstUserId. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع UserIdType في مقالة نظرة عامة على المخطط.
DstUsername اختياري السلسلة‬ اسم المستخدم الوجهة، بما في ذلك معلومات المجال عند توفره. للحصول على التنسيق المدعوم لأنواع المعرفات المختلفة، ارجع إلى كيان المستخدم. استخدم النموذج البسيط فقط في حالة عدم توفر معلومات المجال.

خزّن نوع اسم المستخدم في الحقل DstUsernameType. في حالة توفر تنسيقات أخرى لاسم المستخدم، قم بتخزينها في الحقول DstUsername<UsernameType>.

مثال: AlbertE
User الاسم المستعار الاسم المستعار لـ DstUsername.
DstUsernameType شرطي UsernameType يحدد نوع اسم المستخدم المخزّن في حقل DstUsername. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع نوع اسم المستخدم في مقالة نظرة عامة على المخطط.

مثال: Windows
DstUserType اختياري UserType نوع المستخدم الوجهة. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع UserType في مقالة نظرة عامة على المخطط.

ملاحظة: قد يتم توفير القيمة في سجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها مع هذه القيم. خزن القيمة الأصلية في الحقل DstOriginalUserType.
DstOriginalUserType اختياري السلسلة‬ نوع مستخدم الوجهة الأصلي، إذا وفّره المصدر.

حقول تطبيق الوجهة

الحقل الفصل النوع ‏‏الوصف
DstAppName اختياري السلسلة‬ اسم التطبيق الوجهة.

مثال: Facebook
DstAppId اختياري السلسلة‬ معرف التطبيق الوجهة، كما تم الإبلاغ عنه بواسطة جهاز التقارير. إذا كان DstAppType هو Process، DstAppId ويجب DstProcessId أن يكون له نفس القيمة.

مثال: 124
DstAppType اختياري AppType نوع التطبيق الوجهة. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع AppType في مقالة نظرة عامة على المخطط.

هذا الحقل إلزامي إذا تم استخدام DstAppName أو DstAppId.
DstProcessName اختياري السلسلة‬ اسم ملف العملية التي أنهت جلسة عمل الشبكة. يعتبر هذا الاسم عادةً اسم العملية.

مثال: C:\Windows\explorer.exe
العملية الاسم المستعار الاسم المستعار لـ DstProcessName

مثال: C:\Windows\System32\rundll32.exe
DstProcessId اختياري السلسلة‬ معرف العملية (PID) للعملية التي أنهت جلسة عمل الشبكة.

مثال: 48610176

ملاحظة: يتم تعريف النوع على أنه سلسلة لدعم الأنظمة المختلفة، ولكن في نظامي التشغيل Windows وLinux، يجب أن تكون هذه القيمة رقمية.

إذا كنت تستخدم جهازاً يعمل بنظام Windows أو Linux وتستخدم نوعاً مختلفاً، فتأكد من تحويل القيم. على سبيل المثال، إذا استخدمت قيمة سداسية عشرية، فحولها إلى قيمة عشرية.
DstProcessGuid اختياري السلسلة‬ معرف فريد تم إنشاؤه (GUID) للعملية التي أنهت جلسة عمل الشبكة.

مثال: EF3BD0BD-2B74-60C5-AF5C-010000001E00

حقول النظام المصدر

الحقل الفصل النوع ‏‏الوصف
Src الاسم المستعار معرّف فريد للجهاز المصدر.

يمكن أن يُعتبر هذا الحقل اسمًا مستعارًا للحقول SrcDvcId أو SrcHostname أو SrcIpAddr.

مثال: 192.168.12.1
SrcIpAddr مستحسن عنوان IP عنوان IP الذي نشأ منه الاتصال أو الجلسة. هذه القيمة إلزامية في حال تحديد SrcHostname. إذا كانت جلسة العمل تستخدم ترجمة عنوان الشبكة، SrcIpAddr فهذا هو العنوان المرئي للجمهور، وليس العنوان الأصلي للمصدر، والذي يتم تخزينه في SrcNatIpAddr

مثال: 77.138.103.108
SrcPortNumber اختياري رقم صحيح منفذ IP الذي نشأ منه الاتصال. قد لا تكون ذات صلة بجلسة عمل تتضمن اتصالات متعددة.

مثال: 2335
اسم SrcHostname مستحسن اسم المضيف اسم مضيف الجهاز المصدر، باستثناء معلومات المجال. إذا لم يتوفر اسم الجهاز، فخزن عنوان IP ذا الصلة في هذا الحقل.

مثال: DESKTOP-1282V4D
SrcDomain مستحسن السلسلة‬ مجال الجهاز المصدر.

مثال: Contoso
SrcDomainType شرطي DomainType نوع SrcDomain. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، ارجع إلى DomainType في مقالة نظرة عامة على المخطط.

مطلوب في حال استخدام SrcDomain.
SrcFQDN اختياري السلسلة‬ اسم مضيف الجهاز المصدر، بما يشمل معلومات المجال عند توفرها.

ملاحظة: يدعم هذا الحقل كلًا من تنسيق FQDN التقليدي وتنسيق Windows domain \ hostname. يعكس الحقل SrcDomainType التنسيق المُستخدم.

مثال: Contoso\DESKTOP-1282V4D
SrcDvcId اختياري السلسلة‬ معرّف الجهاز المصدر. في حالة توفر معرفات متعددة، استخدم المعرف الأكثر أهمية، وقم بتخزين المعرفات الأخرى في الحقولSrcDvc<DvcIdType>.

مثال: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId اختياري السلسلة‬ معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. مخطط SrcDvcScopeId إلى معرف اشتراك على Azure ومعرف حساب على AWS.
SrcDvcScope اختياري السلسلة‬ نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. مخطط SrcDvcScope إلى معرف اشتراك على Azure وإلى معرف حساب على AWS.
SrcDvcIdType شرطي DvcIdType نوع SrcDvcId. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، ارجع إلى DvcIdType في مقالة نظرة عامة على المخطط.

ملاحظة: هذا الحقل مطلوب في حال استخدام SrcDvcId.
SrcDeviceType اختياري نوع الجهاز نوع الجهاز المصدر. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DeviceType في مقالة نظرة عامة على المخطط.
SrcZone اختياري السلسلة‬ منطقة الشبكة الخاصة بالمصدر، كما هو محدد بواسطة جهاز إعداد التقارير.

مثال: Internet
SrcInterfaceName اختياري السلسلة‬ واجهة الشبكة المستخدمة للاتصال أو الجلسة بواسطة الجهاز المصدر.

مثال: eth01
SrcInterfaceGuid اختياري السلسلة‬ معرف GUID لواجهة الشبكة المستخدمة على الجهاز المصدر.

مثال:
46ad544b-eaf0-47ef-
827c-266030f545a6
SrcMacAddr اختياري السلسلة‬ عنوان MAC لواجهة الشبكة التي نشأ منها الاتصال أو الجلسة.

مثال: 06:10:9f:eb:8f:14
SrcVlanId اختياري السلسلة‬ معرف VLAN المتعلق بالجهاز المصدر.

مثال: 130
InnerVlanId اختياري الاسم المستعار الاسم المستعار لـ SrcVlanId.

في كثير من الحالات، لا يمكن تحديد VLAN كمصدر أو وجهة ولكنها تتميز بأنها داخلية أو خارجية. يشير هذا الاسم المستعار إلى أنه يجب استخدام SrcVlanId عندما يتم تمييز VLAN على أنه داخلي.
SrcSubscriptionId اختياري السلسلة‬ معرف اشتراك النظام الأساسي السحابي الذي ينتمي إليه الجهاز المصدر. عين SrcSubscriptionId إلى معرف اشتراك على Azure وإلى معرّف حساب AWS.
SrcGeoCountry اختياري الدولة البلد المقترن بعنوان IP للمصدر.

مثال: USA
SrcGeoRegion اختياري المنطقة المنطقة المقترنة بعنوان IP المصدر.

مثال: Vermont
SrcGeoCity اختياري المدينة المدينة المقترنة بعنوان IP للمصدر.

مثال: Burlington
SrcGeoLatitude اختياري Latitude خط عرض الإحداثيات الجغرافية المقترنة بعنوان IP المصدر.

مثال: 44.475833
SrcGeoLongitude اختياري Longitude خط طول الإحداثيات الجغرافية المقترنة بعنوان IP المصدر.

مثال: 73.211944

حقول المستخدم المصدر

الحقل الفصل النوع ‏‏الوصف
SrcUserId اختياري السلسلة‬ تمثيل فريد، أبجدي رقمي، قابل للقراءة آليًا للمستخدم المصدر. للحصول على التنسيق المدعوم لأنواع المعرفات المختلفة، ارجع إلى كيان المستخدم.

مثال: S-1-12
SrcUserScope اختياري السلسلة‬ النطاق، مثل مستأجر Microsoft Entra، حيث يتم تعريف SrcUserId وSrcUsername. أو مزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScope في مقالة نظرة عامة على المخطط.
SrcUserScopeId اختياري السلسلة‬ معرف النطاق، مثل معرف دليل Microsoft Entra، حيث يتم تعريف SrcUserId وSrcUsername. لمزيد من المعلومات وقائمة بالقيم المسموح بها، راجع UserScopeId في مقالة نظرة عامة على المخطط.
SrcUserIdType شرطي UserIdType نوع المعرف المخزن في حقل SrcUserId. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع UserIdType في مقالة نظرة عامة على المخطط.
SrcUsername اختياري السلسلة‬ اسم مستخدم المصدر، بما في ذلك معلومات المجال عند توفرها. للحصول على التنسيق المدعوم لأنواع المعرفات المختلفة، ارجع إلى كيان المستخدم. استخدم النموذج البسيط فقط في حالة عدم توفر معلومات المجال.

تخزين نوع اسم المستخدم في حقل SrcUsernameType. في حالة توفر تنسيقات أخرى لاسم المستخدم، قم بتخزينها في الحقول SrcUsername<UsernameType>.

مثال: AlbertE
SrcUsernameType شرطي UsernameType يحدد نوع اسم المستخدم المخزن في حقل SrcUsername. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع نوع اسم المستخدم في مقالة نظرة عامة على المخطط.

مثال: Windows
SrcUserType اختياري UserType نوع مستخدم المصدر. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع UserType في مقالة نظرة عامة على المخطط.

ملاحظة: قد يتم توفير القيمة في سجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها مع هذه القيم. خزن القيمة الأصلية في الحقل SrcOriginalUserType.
SrcOriginalUserType اختياري السلسلة‬ نوع المستخدم الوجهة الأصلي، إذا تم توفيره بواسطة جهاز الإبلاغ.

حقول تطبيق المصدر

الحقل الفصل النوع ‏‏الوصف
SrcAppName اختياري السلسلة‬ اسم التطبيق المصدر.

مثال: filezilla.exe
SrcAppId اختياري السلسلة‬ معرف التطبيق المصدر، كما تم الإبلاغ عنه بواسطة جهاز التقارير. إذا كان SrcAppType هو Process، SrcAppId ويجب SrcProcessId أن يكون له نفس القيمة.

مثال: 124
SrcAppType اختياري AppType نوع التطبيق المصدر. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع AppType في مقالة نظرة عامة على المخطط.

هذا الحقل إلزامي إذا تم استخدام SrcAppName أو SrcAppId.
SrcProcessName اختياري السلسلة‬ اسم ملف العملية التي بدأت جلسة عمل الشبكة. يعتبر هذا الاسم عادةً اسم العملية.

مثال: C:\Windows\explorer.exe
SrcProcessId اختياري السلسلة‬ معرف العملية (PID) للعملية التي بدأت جلسة عمل الشبكة.

مثال: 48610176

ملاحظة: يتم تعريف النوع على أنه سلسلة لدعم الأنظمة المختلفة، ولكن في نظامي التشغيل Windows وLinux، يجب أن تكون هذه القيمة رقمية.

إذا كنت تستخدم جهازاً يعمل بنظام Windows أو Linux وتستخدم نوعاً مختلفاً، فتأكد من تحويل القيم. على سبيل المثال، إذا استخدمت قيمة سداسية عشرية، فحولها إلى قيمة عشرية.
SrcProcessGuid اختياري السلسلة‬ معرف فريد تم إنشاؤه (GUID) للعملية التي بدأت جلسة الشبكة.

مثال: EF3BD0BD-2B74-60C5-AF5C-010000001E00

أسماء مستعارة محلية وعن بُعد

يمكن اختياريًا تسمية كافة الحقول المصدر والوجهة المذكورة أعلاه بالاسم المستعار بواسطة الحقول ذات الاسم نفسه والواصفات Local وRemote. هذا مفيد عادة للأحداث التي تم الإبلاغ عنها بواسطة نقطة نهاية والتي يكون نوع الحدث لها EndpointNetworkSession.

لمثل هذه الأحداث، تقوم الواصفات Local وRemote بالإشارة إلى نقطة النهاية نفسها والجهاز في الطرف الآخر من جلسة عمل الشبكة على التوالي. بالنسبة للاتصالات الواردة، يكون النظام المحلي هو الوجهة، والحقول Local هي أسماء مستعارة للحقول Dst، والحقول "البعيدة" هي أسماء مستعارة للحقول Src. وعلى العكس من ذلك، بالنسبة للاتصالات الصادرة، يكون النظام المحلي هو المصدر، Local والحقول هي أسماء مستعارة للحقول Src، والحقول Remote هي أسماء مستعارة للحقول Dst.

على سبيل المثال، بالنسبة لحدث وارد، يكون الحقل LocalIpAddr اسمًا مستعارًا للحقل DstIpAddr والحقل RemoteIpAddr هو اسم مستعار لـ SrcIpAddr.

اسم المضيف والأسماء المستعارة لعنوان IP

الحقل الفصل النوع ‏‏الوصف
اسم المضيف الاسم المستعار - إذا كان نوع الحدث هو NetworkSession، Flow أو L2NetworkSession، اسم المضيف هو اسم مستعار ل DstHostname.
- إذا كان نوع الحدث هو EndpointNetworkSession، فإن اسم المضيف هو اسم مستعار لـ RemoteHostname، والذي يمكن أن يكون اسمًا مستعارًا إما DstHostname أو SrcHostName، اعتمادًا على NetworkDirection
IpAddr الاسم المستعار - إذا كان نوع الحدث هو NetworkSession، Flow أو L2NetworkSession، فإن IpAddr هو اسم مستعار ل SrcIpAddr.
- إذا كان نوع الحدث هو EndpointNetworkSession، فإن IpAddr هو اسم مستعار ل LocalIpAddr، والذي يمكن أن يكون اسما مستعارا إما SrcIpAddr أو DstIpAddr، اعتمادا على NetworkDirection.

حقلا الجهاز الوسيط وترجمة عناوين الشبكة (NAT)

تكون الحقول التالية مفيدة إذا كان السجل يتضمن معلومات حول جهاز وسيط، مثل جدار حماية أو وكيل، يقوم بنقل جلسة عمل الشبكة.

غالبًا ما تستخدم الأنظمة الوسيطة ترجمة العنوان، ومن ثمّ فإن العنوان الأصلي والعنوان الذي تمت ملاحظته خارجيًا ليسا متماثلين. في مثل هذه الحالات، تمثل حقول العنوان الأساسي مثل SrcIPAddr وDstIpAddr العناوين التي تمت ملاحظتها خارجيًا، بينما تمثل حقول عنوان NAT SrcNatIpAddr وDstNatIpAddr العنوان الداخلي للجهاز الأصلي قبل الترجمة.

الحقل الفصل النوع ‏‏الوصف
DstNatIpAddr اختياري عنوان IP يمثل DstNatIpAddr أيًا مما يلي:
- العنوان الأصلي للجهاز الوجهة إذا تم استخدام ترجمة عنوان الشبكة.
- عنوان IP المستخدم من قبل الجهاز الوسيط للاتصال بالمصدر.

مثال: 2::1
DstNatPortNumber اختياري رقم صحيح إذا تم الإبلاغ عنها من قبل جهاز NAT وسيط، فهذا يعني المنفذ المستخدَم من قبل جهاز NAT للاتصال بالمصدر.

مثال: 443
SrcNatIpAddr اختياري عنوان IP يمثل SrcNatIpAddr أيًا مما يلي:
- العنوان الأصلي للجهاز المصدر إذا تم استخدام ترجمة عنوان الشبكة.
- عنوان IP المستخدم من قبل الجهاز الوسيط للاتصال بالوجهة.

مثال: 4.3.2.1
SrcNatPortNumber اختياري رقم صحيح إذا تم الإبلاغ عنه بواسطة جهاز NAT وسيط، فهذا يعني المنفذ المستخدم من قبل جهاز NAT للاتصال بالوجهة.

مثال: 345
DvcInboundInterface اختياري السلسلة‬ إذا تم الإبلاغ عنها بواسطة جهاز وسيط، فهذا يعني واجهة الشبكة المستخدمة من قبل جهاز NAT للاتصال بالجهاز المصدر.

مثال: eth0
DvcOutboundInterface اختياري السلسلة‬ إذا تم الإبلاغ عنها بواسطة جهاز وسيط، فإن واجهة الشبكة المستخدمة من قبل جهاز NAT للاتصال بالجهاز الوجهة.

مثال: Ethernet adapter Ethernet 4e

حقول الفحص

يتم استخدام الحقول التالية لتمثيل هذا الفحص الذي قام به جهاز أمان مثل جدار حماية أو IPS أو بوابة أمان ويب:

الحقل الفصل النوع ‏‏الوصف
NetworkRuleName اختياري السلسلة‬ اسم أو معرّف القاعدة التي حُدد DvcAction بها.

مثال: AnyAnyDrop
NetworkRuleNumber اختياري رقم صحيح رقم القاعدة التي حُدد DvcAction بها.

مثال: 23
حكم الاسم المستعار السلسلة‬ إما قيمة NetworkRuleName أو قيمة NetworkRuleNumber. إذا تم استخدام قيمة NetworkRuleNumber، يجب تحويل النوع إلى سلسلة.
ThreatId اختياري السلسلة‬ معرف التهديد أو البرامج الضارة المحددة في جلسة الشبكة.

مثال: Tr.124
ThreatName اختياري السلسلة‬ اسم التهديد أو البرامج الضارة المحددة في جلسة الشبكة.

مثال: EICAR Test File
ThreatCategory اختياري السلسلة‬ فئة التهديد أو البرامج الضارة المحددة في جلسة الشبكة.

مثال: Trojan
ThreatRiskLevel اختياري رقم صحيح مستوى المخاطر المقترن بالجلسة. يلزم أن يكون المستوى رقمًا بين 0 و100.

ملاحظة: قد تتوفر القيمة في سجل المصدر باستخدام أحجام مختلفة، والتي يجب أن تكون مطابقة لهذا الحجم. ينبغي تخزين القيمة الأصلية في ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel اختياري السلسلة‬ مستوى المخاطر كما تم الإبلاغ عنه من جهاز إعداد التقارير.
ThreatIpAddr اختياري عنوان IP عنوان IP تم تحديد تهديد له. يحتوي الحقل ThreatField على اسم الحقل ThreatIpAddr الذي يمثله.
ThreatField شرطي Enumerated الحقل الذي تم تحديد تهديد له. القيمة هي إما SrcIpAddr أو DstIpAddr.
ThreatConfidence اختياري رقم صحيح مستوى ثقة التهديد المحدد، الذي تمت تسويته إلى قيمة بين 0 و100.
ThreatOriginalConfidence اختياري السلسلة‬ مستوى الثقة الأصلي للتهديد المحدد، كما تم الإبلاغ عنه من قبل جهاز الإبلاغ.
ThreatIsActive اختياري Boolean صحيح إذا كان التهديد المحدد يعتبر تهديدا نشطا.
ThreatFirstReportedTime اختياري datetime في المرة الأولى التي تم فيها تحديد عنوان IP أو المجال كتهديد.
ThreatLastReportedTime اختياري datetime في المرة الأخيرة التي تم فيها تحديد عنوان IP أو المجال كتهديد.

حقول أخرى

في حال تم الإبلاغ عن الحدث عن طريق إحدى نقاط النهاية لجلسة الشبكة، فقد يتضمن معلومات حول العملية التي بدأت الجلسة أو أنهتها. في مثل هذه الحالات، يُستخدم ASIM Process Event schema لتسوية تلك المعلومات.

تحديثات المخطط

فيما يلي التغييرات في الإصدار 0.2.1 من المخطط:

  • تمت إضافة Src وDst كأسماء مستعارة إلى معرف رئيسي لأنظمة المصدر والوجهة.
  • تمت إضافة الحقول NetworkConnectionHistory وSrcVlanIdDstVlanIdInnerVlanIdOuterVlanId.

فيما يلي التغييرات في الإصدار 0.2.2 من المخطط:

  • تمت إضافة أسماء Remote وLocal المستعارة.
  • تمت إضافة نوع الحدث EndpointNetworkSession.
  • يتم تعريف Hostname وIpAddr كتسميات مستعارة لـ RemoteHostname وLocalIpAddr على التوالي عندما يكون نوع الحدث هو EndpointNetworkSession.
  • يتم تعريف DvcInterface باسم مستعار إلى DvcInboundInterface أو DvcOutboundInterface.
  • تغيير نوع الحقول التالية من عدد صحيح إلى طويل: SrcBytes وDstBytes وNetworkBytes وSrcPackets وDstPackets وNetworkPackets.
  • تمت إضافة الحقول NetworkProtocolVersion وSrcSubscriptionId وDstSubscriptionId.
  • تم إيقاف استخدام DstUserDomain وSrcUserDomain.

فيما يلي التغييرات في الإصدار 0.2.3 من المخطط:

  • تمت إضافة معلمة التصفية ipaddr_has_any_prefix.
  • تتطابق معلمة التصفية hostname_has_any الآن مع أسماء المضيفين المصدر أو الوجهة.
  • تمت إضافة الحقول ASimMatchingHostname وASimMatchingIpAddr.

فيما يلي التغييرات في الإصدار 0.2.4 من المخطط:

  • تمت إضافة الحقول TcpFlags.
  • تم التحديث NetworkIcpmType ولعكس NetworkIcmpCode القيمة العددية لكليهما.
  • تمت إضافة حقول فحص إضافية.
  • تمت إعادة تسمية الحقل 'ThreatRiskLevelOriginal' للتوافق ThreatOriginalRiskLevel مع اصطلاحات ASIM. سيحتفظ ThreatRiskLevelOriginal محللو Microsoft الحاليون حتى 1 مايو 2023.
  • تم وضع علامة EventResultDetails على أنها مستحسنة، وحدد القيم المسموح بها.

فيما يلي التغييرات في الإصدار 0.2.5 من المخطط:

  • تمت إضافة الحقول DstUserScopeو SrcDvcScopeIdSrcUserScopeو SrcDvcScopeوDvcScopeIdDstDvcScopeIdDstDvcScope.DvcScope

فيما يلي التغييرات في الإصدار 0.2.6 من المخطط:

  • معرفات تمت إضافتها كنوع حدث

الخطوات التالية

لمزيد من المعلومات، راجع: