إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يمثل مخطط تسوية أحداث التدقيق Microsoft Sentinel الأحداث المرتبطة بسجل تدقيق أنظمة المعلومات. يسجل سجل التدقيق أنشطة تكوين النظام وتغييرات النهج. غالبا ما يتم تنفيذ هذه التغييرات من قبل مسؤولي النظام، ولكن يمكن أيضا تنفيذها من قبل المستخدمين عند تكوين إعدادات تطبيقاتهم الخاصة.
يسجل كل نظام أحداث التدقيق جنبا إلى جنب مع سجلات النشاط الأساسية الخاصة به. على سبيل المثال، سيقوم جدار الحماية بتسجيل الأحداث حول جلسات الشبكة هي العمليات، وتدقيق الأحداث حول تغييرات التكوين المطبقة على جدار الحماية نفسه.
لمزيد من المعلومات حول التسوية في Microsoft Sentinel، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM).
نظرة عامة على المخطط
الحقول الرئيسية لحدث التدقيق هي:
- العنصر، الذي قد يكون، على سبيل المثال، موردا مدارا أو قاعدة نهج، يركز عليها الحدث، ممثلا بالحقل Object. يحدد الحقل ObjectType نوع العنصر.
- سياق التطبيق للعنصر، ممثلا بالحقل TargetAppName، المسمى بالاسم المستعار بواسطة التطبيق.
- العملية التي تم تنفيذها على الكائن، ممثلة بالحقول EventType و Operation. بينما العملية هي القيمة التي تم الإبلاغ عنها المصدر، فإن EventType هو إصدار تمت تسويته أكثر اتساقا عبر المصادر.
- القيم القديمة والجديدة للكائن، إن أمكن، ممثلة ب OldValue و NewValue على التوالي.
تشير أحداث التدقيق أيضا إلى الكيانات التالية، والتي تشارك في عملية التكوين:
- المستخدم - المستخدم الذي يقوم بعملية التكوين.
- TargetApp - التطبيق أو النظام الذي تنطبق عليه عملية التكوين.
- Target - النظام الذي يتم تشغيل TargetApp* عليه.
- ActingApp - التطبيق المستخدم من قبل المستخدم لتنفيذ عملية التكوين.
- Src - النظام الذي يستخدمه المستخدم لبدء عملية التكوين، إذا كان مختلفا عن الهدف.
يتم استخدام الواصف Dvc لجهاز إعداد التقارير، وهو النظام المحلي للجلسات التي تم الإبلاغ عنها بواسطة نقطة نهاية، وجهاز الوسيط أو جهاز الأمان في حالات أخرى.
موزعي
توزيع محللات أحداث التدقيق واستخدامها
انشر محللات أحداث تدقيق ASIM من مستودع GitHub Microsoft Sentinel. للاستعلام عبر جميع مصادر أحداث التدقيق، استخدم المحلل imAuditEvent الموحد كاسم الجدول في استعلامك.
لمزيد من المعلومات حول استخدام محللات ASIM، راجع نظرة عامة على محللات ASIM. للحصول على قائمة محللات أحداث التدقيق Microsoft Sentinel يوفر الجاهزية، راجع قائمة محللات ASIM
إضافة المحللات التي تمت تسويتها
عند تنفيذ المحللات المخصصة لنموذج معلومات حدث الملف، قم بتسمية وظائف KQL باستخدام بناء الجملة التالي: imAuditEvent<vendor><Product>. راجع المقالة إدارة محللات ASIM لمعرفة كيفية إضافة المحللات المخصصة إلى محلل توحيد حدث التدقيق.
تصفية معلمات المحلل
تدعم محللات أحداث التدقيق معلمات التصفية. في حين أن هذه المعلمات اختيارية، فإنها يمكن أن تحسن أداء الاستعلام الخاص بك.
تتوفر معلمات التصفية التالية:
| الاسم | النوع | الوصف |
|---|---|---|
| وقت البدء | Datetime | تصفية الأحداث التي تم تشغيلها في هذا الوقت أو بعده فقط. تستخدم هذه المعلمة TimeGenerated الحقل كمعين وقت للحدث. |
| وقت الانتهاء | Datetime | تصفية استعلامات الأحداث التي انتهت تشغيلها في هذا الوقت أو قبله فقط. تستخدم هذه المعلمة TimeGenerated الحقل كمعين وقت للحدث. |
| srcipaddr_has_any_prefix | ديناميه | تصفية الأحداث فقط من عنوان IP المصدر هذا، كما هو ممثل في حقل SrcIpAddr . |
| eventtype_in | سلسله | تصفية الأحداث التي يكون فيها نوع الحدث، كما هو ممثل في حقل EventType ، هو أي من المصطلحات المتوفرة. |
| eventresult | سلسله | تصفية الأحداث التي تكون فيها نتيجة الحدث فقط، كما هو ممثل في حقل EventResult مساوية لقيمة المعلمة. |
| actorusername_has_any | ديناميكي/سلسلة | تصفية الأحداث التي يتضمن فيها ActorUsername أيا من المصطلحات المقدمة فقط. |
| operation_has_any | ديناميكي/سلسلة | تصفية الأحداث التي يتضمن فيها حقل العملية أيا من الشروط المقدمة فقط. |
| object_has_any | ديناميكي/سلسلة | تصفية الأحداث التي يتضمن فيها حقل الكائن أيا من المصطلحات المقدمة فقط. |
| newvalue_has_any | ديناميكي/سلسلة | تصفية الأحداث التي يتضمن فيها حقل NewValue أيا من المصطلحات المقدمة فقط. |
يمكن لبعض المعلمات قبول كل من قائمة القيم من النوع dynamic أو قيمة سلسلة واحدة. لتمرير قائمة حرفية إلى المعلمات التي تتوقع قيمة ديناميكية، استخدم حرفيا ديناميكيا بشكل صريح. على سبيل المثال: dynamic(['192.168.','10.'])
على سبيل المثال، لتصفية أحداث التدقيق فقط بالشروط install أو update في حقل العملية الخاصة بها، من اليوم الأخير، استخدم:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
تفاصيل المخطط
حقول ASIM الشائعة
هام
يتم وصف الحقول الشائعة لكافة المخططات بالتفصيل في مقالة الحقول الشائعة ASIM .
الحقول المشتركة مع إرشادات محددة
تشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث التدقيق:
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| نوع الحدث | الزاميه | تعداد | يصف العملية التي تم تدقيقها بواسطة الحدث باستخدام قيمة تمت تسويتها. استخدم EventSubType لتوفير مزيد من التفاصيل، والتي لا تنقلها القيمة التي تمت تسويتها، والعملية. لتخزين العملية كما تم الإبلاغ عنها بواسطة جهاز إعداد التقارير. بالنسبة لسجلات أحداث التدقيق، القيم المسموح بها هي: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Initialize- Start- Stop- Other تمثل أحداث التدقيق مجموعة كبيرة ومتنوعة من العمليات، وتمكن Other القيمة عمليات التعيين التي ليس لها مثيل EventType. ومع ذلك، فإن استخدام يحد من Other إمكانية استخدام الحدث ويجب تجنبه إن أمكن. |
| EventSubType | اختياري | سلسلة | يوفر المزيد من التفاصيل، والتي لا تنقلها القيمة التي تمت تسويتها في EventType . |
| EventSchema | الزاميه | تعداد | اسم المخطط الموثق هنا هو AuditEvent. |
| EventSchemaVersion | الزاميه | SchemaVersion (سلسلة) | إصدار المخطط. إصدار المخطط الموثق هنا هو 0.1.2. |
كافة الحقول الشائعة
الحقول التي تظهر في الجدول شائعة لجميع مخططات ASIM. يتجاوز أي من الإرشادات المحددة في هذا المستند الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريا بشكل عام، ولكنه إلزامي لمخطط معين. لمزيد من المعلومات حول كل حقل، راجع مقالة الحقول المشتركة ASIM .
| فئه | الحقول |
|---|---|
| الزاميه |
-
عدد الأحداث - EventStartTime - EventEndTime - نوع الحدث - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| اوصت |
-
EventResultDetails - حدث كلي - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - معرف Dvc - DvcIdType - DvcAction |
| اختياري |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - مالك الحدث - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - حقول إضافية - DvcDescription - DvcScopeId - DvcScope |
حقول التدقيق
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| العمليه | الزاميه | سلسلة | العملية التي تم تدقيقها كما تم الإبلاغ عنها بواسطة جهاز إعداد التقارير. |
| الكائن | الزاميه | سلسلة | اسم الكائن الذي يتم تنفيذ العملية التي تم تحديدها بواسطة EventType . |
| Objectid | اختياري | سلسلة | معرف الكائن الذي يتم تنفيذ العملية التي تم تحديدها بواسطة EventType . |
| نوع العنصر | الشرطي | تعداد | نوع الكائن. القيم المسموح بها هي: - Cloud Resource- Configuration Atom- Policy Rule- Event Log- Scheduled Task- Service- Directory Service Object- Other |
| OriginalObjectType | اختياري | سلسلة | نوع الكائن كما تم الإبلاغ عنه بواسطة نظام التقارير |
| Oldvalue | اختياري | سلسلة | القيمة القديمة للعنصر قبل العملية، إن أمكن. |
| قيمة جديدة | اوصت | سلسلة | القيمة الجديدة للعنصر بعد تنفيذ العملية، إن أمكن. |
| قيمه | الاسم المستعار | الاسم المستعار ل NewValue | |
| نوع القيمة | الشرطي | تعداد | نوع القيم القديمة والجديدة. القيم المسموح بها هي -الاخري |
حقول المستخدم
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| معرف المستخدم المستخدم | اختياري | سلسلة | تمثيل فريد أبجدي رقمي قابل للقراءة آليا للممثل. لمزيد من المعلومات، وللا لحقول بديلة للمعرفات الأخرى، راجع كيان المستخدم. على سبيل المثال: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | اختياري | سلسلة | النطاق، مثل اسم المجال Microsoft Entra، حيث يتم تعريف ActorUserId و ActorUsername. أو مزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScope في مقالة نظرة عامة على المخطط. |
| ActorScopeId | اختياري | سلسلة | معرف النطاق، مثل معرف الدليل Microsoft Entra، حيث يتم تعريف ActorUserId و ActorUsername. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScopeId في مقالة نظرة عامة على المخطط. |
| ActorUserIdType | الشرطي | تعداد | نوع المعرف المخزن في الحقل ActorUserId . لمزيد من المعلومات وقائمة القيم المسموح بها، راجع UserIdType في مقالة نظرة عامة على المخطط. |
| ActorUsername | اوصت | اسم المستخدم (سلسلة) | اسم المستخدم الخاص بالممثل، بما في ذلك معلومات المجال عند توفره. لمزيد من المعلومات، راجع كيان المستخدم. على سبيل المثال: AlbertE |
| User | الاسم المستعار | الاسم المستعار ل ActorUsername | |
| ActorUsernameType | الشرطي | نوع اسم المستخدم | يحدد نوع اسم المستخدم المخزن في الحقل ActorUsername . لمزيد من المعلومات وقائمة القيم المسموح بها، راجع نوع اسم المستخدم في مقالة نظرة عامة على المخطط. على سبيل المثال: Windows |
| نوع المستخدم المستخدم | اختياري | نوع المستخدم | نوع المستخدم. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع UserType في مقالة نظرة عامة على المخطط. على سبيل المثال: Guest |
| ActorOriginalUserType | اختياري | سلسلة | نوع المستخدم كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. |
| معرف المستخدم | اختياري | سلسلة | المعرف الفريد لجلسة تسجيل الدخول الخاصة بالمستخدم. على سبيل المثال: 102pTUgC3p8RIqHvzxLCHnFlg |
حقول التطبيق الهدف
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| TargetAppId | اختياري | سلسلة | معرف التطبيق الذي ينطبق عليه الحدث، بما في ذلك عملية أو مستعرض أو خدمة. على سبيل المثال: 89162 |
| TargetAppName | اختياري | سلسلة | اسم التطبيق الذي ينطبق عليه الحدث، بما في ذلك خدمة أو عنوان URL أو تطبيق SaaS. على سبيل المثال: Exchange 365 |
| تطبيق | الاسم المستعار | الاسم المستعار ل TargetAppName | |
| TargetAppType | الشرطي | نوع التطبيق | نوع التطبيق الذي يخول نيابة عن المستخدم. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع AppType في مقالة نظرة عامة على المخطط. |
| TargetOriginalAppType | اختياري | سلسلة | نوع التطبيق الذي ينطبق عليه الحدث كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. |
| TargetUrl | اختياري | Url | عنوان URL المقترن بالتطبيق الهدف. على سبيل المثال: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
حقول النظام الهدف
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| Dst | الاسم المستعار | سلسلة | معرف فريد لهدف المصادقة. قد يكون هذا الحقل اسما مستعارا لحقول TargetDvcId أو TargetHostname أو TargetIpAddr أو TargetAppId أو TargetAppName . على سبيل المثال: 192.168.12.1 |
| TargetHostname | اوصت | المضيف | اسم مضيف الجهاز الهدف، باستثناء معلومات المجال. على سبيل المثال: DESKTOP-1282V4D |
| TargetDomain | اختياري | المجال (سلسلة) | مجال الجهاز الهدف. على سبيل المثال: Contoso |
| TargetDomainType | الشرطي | تعداد | نوع TargetDomain. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DomainType في مقالة نظرة عامة على المخطط. مطلوب إذا تم استخدام TargetDomain . |
| TargetFQDN | اختياري | FQDN (سلسلة) | اسم مضيف الجهاز الهدف، بما في ذلك معلومات المجال عند توفرها. على سبيل المثال: Contoso\DESKTOP-1282V4D ملاحظة: يدعم هذا الحقل تنسيق FQDN التقليدي وتنسيق مجال Windows\اسم المضيف. يعكس TargetDomainType التنسيق المستخدم. |
| TargetDescription | اختياري | سلسلة | نص وصفي مقترن بالجهاز. على سبيل المثال: Primary Domain Controller. |
| TargetDvcId | اختياري | سلسلة | معرف الجهاز الهدف. إذا كانت هناك معرفات متعددة متوفرة، فاستخدم المعرف الأكثر أهمية، وقم بتخزين المعرفين الآخرين في الحقول TargetDvc<DvcIdType>. على سبيل المثال: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | اختياري | سلسلة | معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. تعيين TargetDvcScopeId إلى معرف اشتراك على Azure ومعرف حساب على AWS. |
| TargetDvcScope | اختياري | سلسلة | نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. تعيين TargetDvcScope إلى معرف اشتراك على Azure ومعرف حساب على AWS. |
| TargetDvcIdType | الشرطي | تعداد | نوع TargetDvcId. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DvcIdType في مقالة نظرة عامة على المخطط. مطلوب إذا تم استخدام TargetDeviceId . |
| TargetDeviceType | اختياري | تعداد | نوع الجهاز الهدف. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DeviceType في مقالة نظرة عامة على المخطط. |
| TargetIpAddr | اوصت | عنوان IP | عنوان IP للجهاز الهدف. على سبيل المثال: 2.2.2.2 |
| TargetDvcOs | اختياري | سلسلة | نظام تشغيل الجهاز الهدف. على سبيل المثال: Windows 10 |
| TargetPortNumber | اختياري | صحيح | منفذ الجهاز الهدف. |
| TargetGeoCountry | اختياري | البلد | البلد/المنطقة المقترنة بعنوان IP الهدف. على سبيل المثال: USA |
| TargetGeoRegion | اختياري | المنطقه | المنطقة داخل بلد/منطقة مقترنة بعنوان IP الهدف. على سبيل المثال: Vermont |
| TargetGeoCity | اختياري | المدينه | المدينة المقترنة بعنوان IP الهدف. على سبيل المثال: Burlington |
| TargetGeoLatitude | اختياري | العرض | خط عرض الإحداثيات الجغرافية المقترنة بعنوان IP الهدف. على سبيل المثال: 44.475833 |
| TargetGeoLongitude | اختياري | خط طول | خط طول الإحداثيات الجغرافية المقترنة بعنوان IP الهدف. على سبيل المثال: 73.211944 |
| TargetRiskLevel | اختياري | صحيح | مستوى المخاطر المرتبط بالهدف. يجب تعديل القيمة إلى نطاق من 0 إلى ، مع 0 ل حميدة و 100 لمخاطر 100عالية.على سبيل المثال: 90 |
| TargetOriginalRiskLevel | اختياري | سلسلة | مستوى المخاطر المرتبط بالهدف، كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. على سبيل المثال: Suspicious |
حقول التطبيق بالنيابة
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| ActingAppId | اختياري | سلسلة | معرف التطبيق الذي بدأ النشاط الذي تم الإبلاغ عنه، بما في ذلك عملية أو مستعرض أو خدمة. على سبيل المثال: 0x12ae8 |
| ActingAppName | اختياري | سلسلة | اسم التطبيق الذي بدأ النشاط الذي تم الإبلاغ عنه، بما في ذلك خدمة أو عنوان URL أو تطبيق SaaS. على سبيل المثال: C:\Windows\System32\svchost.exe |
| ActingAppType | اختياري | نوع التطبيق | نوع التطبيق التمثيلي. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع AppType في مقالة نظرة عامة على المخطط. |
| ActingOriginalAppType | اختياري | سلسلة | نوع التطبيق الذي بدأ النشاط كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. |
| HttpUserAgent | اختياري | سلسلة | عند إجراء المصادقة عبر HTTP أو HTTPS، تكون قيمة هذا الحقل هي عنوان HTTP user_agent الذي يوفره التطبيق بالنيابة عند إجراء المصادقة. على سبيل المثال: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
حقول النظام المصدر
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| Src | الاسم المستعار | سلسلة | معرف فريد للجهاز المصدر. قد يكون هذا الحقل اسما مستعارا لحقول SrcDvcId أو SrcHostname أو SrcIpAddr . على سبيل المثال: 192.168.12.1 |
| SrcIpAddr | اوصت | عنوان IP | عنوان IP الذي نشأ منه الاتصال أو الجلسة. على سبيل المثال: 77.138.103.108 |
| IpAddr | الاسم المستعار | الاسم المستعار ل SrcIpAddr، أو إلى TargetIpAddr إذا لم يتم توفير SrcIpAddr . | |
| رقم SrcPortNumber | اختياري | صحيح | منفذ IP الذي نشأ منه الاتصال. قد لا تكون ذات صلة بجلسة تتضمن اتصالات متعددة. على سبيل المثال: 2335 |
| اسم SrcHostname | اختياري | المضيف | اسم مضيف الجهاز المصدر، باستثناء معلومات المجال. إذا لم يتوفر اسم جهاز، فخزن عنوان IP ذي الصلة في هذا الحقل. على سبيل المثال: DESKTOP-1282V4D |
| SrcDomain | اختياري | المجال (سلسلة) | مجال الجهاز المصدر. على سبيل المثال: Contoso |
| SrcDomainType | الشرطي | نوع المجال | نوع SrcDomain. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DomainType في مقالة نظرة عامة على المخطط. مطلوب إذا تم استخدام SrcDomain . |
| SrcFQDN | اختياري | FQDN (سلسلة) | اسم مضيف الجهاز المصدر، بما في ذلك معلومات المجال عند توفرها. ملاحظة: يدعم هذا الحقل تنسيق FQDN التقليدي وتنسيق مجال Windows\اسم المضيف. يعكس حقل SrcDomainType التنسيق المستخدم. على سبيل المثال: Contoso\DESKTOP-1282V4D |
| SrcDescription | اختياري | سلسلة | نص وصفي مقترن بالجهاز. على سبيل المثال: Primary Domain Controller. |
| SrcDvcId | اختياري | سلسلة | معرف الجهاز المصدر. إذا كانت هناك معرفات متعددة متوفرة، فاستخدم المعرف الأكثر أهمية، وقم بتخزين المعرفين الآخرين في الحقول SrcDvc<DvcIdType>.على سبيل المثال: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | اختياري | سلسلة | معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. يتم تعيين SrcDvcScopeId إلى معرف اشتراك على Azure ومعرف حساب على AWS. |
| SrcDvcScope | اختياري | سلسلة | نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. يتم تعيين SrcDvcScope إلى معرف اشتراك على Azure ومعرف حساب على AWS. |
| SrcDvcIdType | الشرطي | DvcIdType | نوع SrcDvcId. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DvcIdType في مقالة نظرة عامة على المخطط. ملاحظة: هذا الحقل مطلوب إذا تم استخدام SrcDvcId . |
| SrcDeviceType | اختياري | نوع الجهاز | نوع الجهاز المصدر. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DeviceType في مقالة نظرة عامة على المخطط. |
| SrcGeoCountry | اختياري | البلد | البلد/المنطقة المقترنة بعنوان IP المصدر. على سبيل المثال: USA |
| SrcGeoRegion | اختياري | المنطقه | المنطقة داخل بلد/منطقة مقترنة بعنوان IP المصدر. على سبيل المثال: Vermont |
| SrcGeoCity | اختياري | المدينه | المدينة المقترنة بعنوان IP المصدر. على سبيل المثال: Burlington |
| SrcGeoLatitude | اختياري | العرض | خط عرض الإحداثيات الجغرافية المقترنة بعنوان IP المصدر. على سبيل المثال: 44.475833 |
| SrcGeoLongitude | اختياري | خط طول | خط طول الإحداثيات الجغرافية المرتبطة بعنوان IP المصدر. على سبيل المثال: 73.211944 |
| SrcRiskLevel | اختياري | صحيح | مستوى المخاطر المرتبط بالمصدر. يجب تعديل القيمة إلى نطاق من 0 إلى ، مع 0 ل حميدة و 100 لمخاطر 100عالية.على سبيل المثال: 90 |
| SrcOriginalRiskLevel | اختياري | سلسلة | مستوى المخاطر المرتبط بالمصدر، كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. على سبيل المثال: Suspicious |
حقول الفحص
يتم استخدام الحقول التالية لتمثيل هذا الفحص الذي يقوم به نظام أمان.
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| اسم القاعدة | اختياري | سلسلة | اسم القاعدة أو معرفها من خلال إقرانه بنتائج الفحص. |
| رقم القاعدة | اختياري | صحيح | عدد القاعدة المقترنة بنتائج الفحص. |
| القاعده | الاسم المستعار | سلسلة | إما قيمة RuleName أو قيمة RuleNumber. إذا تم استخدام قيمة RuleNumber ، يجب تحويل النوع إلى سلسلة. |
| معرف التهديد | اختياري | سلسلة | معرف التهديد أو البرامج الضارة المحددة في نشاط التدقيق. |
| اسم التهديد | اختياري | سلسلة | اسم التهديد أو البرامج الضارة المحددة في نشاط التدقيق. |
| فئة التهديد | اختياري | سلسلة | فئة التهديد أو البرامج الضارة المحددة في نشاط ملف التدقيق. |
| ThreatRiskLevel | اختياري | RiskLevel (عدد صحيح) | مستوى المخاطر المرتبط بالتهديد المحدد. يجب أن يكون المستوى رقما بين 0و100. ملاحظة: قد يتم توفير القيمة في السجل المصدر باستخدام مقياس مختلف، والذي يجب تسويته إلى هذا المقياس. يجب تخزين القيمة الأصلية في ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | اختياري | سلسلة | مستوى المخاطر كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. |
| تكوين التهديد | اختياري | مستوى الثقة (عدد صحيح) | مستوى ثقة التهديد المحدد، الذي تمت تسويته إلى قيمة بين 0 و100. |
| تكوين التهديدات | اختياري | سلسلة | مستوى الثقة الأصلي للتهديد المحدد، كما تم الإبلاغ عنه بواسطة جهاز الإبلاغ. |
| ThreatIsActive | اختياري | منطقي | صحيح إذا كان التهديد المحدد يعتبر تهديدا نشطا. |
| ThreatFirstReportedTime | اختياري | Datetime | في المرة الأولى التي تم فيها تحديد عنوان IP أو المجال كتهديد. |
| ThreatLastReportedTime | اختياري | Datetime | في المرة الأخيرة التي تم فيها تحديد عنوان IP أو المجال على أنه تهديد. |
| ThreatIpAddr | اختياري | عنوان IP | عنوان IP الذي تم تحديد تهديد له. يحتوي الحقل ThreatField على اسم الحقل ThreatIpAddr الذي يمثله. |
| ThreatField | الشرطي | تعداد | الحقل الذي تم تحديد تهديد له. القيمة إما SrcIpAddr أو TargetIpAddr. |
تحديثات المخطط
التغييرات في الإصدار 0.1.1 من المخطط هي:
- تمت إضافة الحقل
ObjectIdوOriginalObjectType.
التغييرات في الإصدار 0.1.2 من المخطط هي:
- تمت إضافة الحقل
ActingOriginalAppTypeوOriginalObjectTypeوSrcOriginalRiskLevelوTargetGeoCitySrcRiskLevelو وTargetGeoCountryو وTargetGeoLatitudeوTargetGeoRegionTargetOriginalAppTypeTargetOriginalRiskLevelTargetGeoLongitudeTargetRiskLevel