مرجع مخطط تسوية أحداث التدقيق لنموذج معلومات الأمان المتقدم (ASIM) (معاينة عامة)
يمثل مخطط تسوية أحداث تدقيق Microsoft Sentinel الأحداث المرتبطة بسجل التدقيق لأنظمة المعلومات. يسجل سجل التدقيق أنشطة تكوين النظام وتغييرات النهج. غالبا ما يتم تنفيذ هذه التغييرات من قبل مسؤولي النظام، ولكن يمكن أيضا تنفيذها من قبل المستخدمين عند تكوين إعدادات تطبيقاتهم الخاصة.
يسجل كل نظام أحداث التدقيق جنبا إلى جنب مع سجلات النشاط الأساسية الخاصة به. على سبيل المثال، سيقوم جدار الحماية بتسجيل الأحداث حول جلسات عمل الشبكة هي العمليات، وأحداث التدقيق حول تغييرات التكوين المطبقة على جدار الحماية نفسه.
لمزيد من المعلومات بشأن التسوية في Microsoft Sentinel، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM).
هام
مخطط تسوية حدث التدقيق قيد المعاينة حاليا. تتوفر هذه الميزة بدون اتفاقية مستوى الخدمة. لا نوصي به لأحمال عمل الإنتاج.
تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.
نظرة عامة على المخطط
الحقول الرئيسية لحدث التدقيق هي:
- الكائن، الذي قد يكون، على سبيل المثال، موردا مدارا أو قاعدة نهج، يركز عليها الحدث، ممثلا بالحقل Object. يحدد الحقل ObjectType نوع الكائن.
- سياق التطبيق للكائن، ممثلا بالحقل TargetAppName، والذي تم تسميته بالاسم المستعار بواسطة التطبيق.
- العملية التي تم تنفيذها على الكائن، ممثلة في الحقلين EventType و Operation. بينما العملية هي القيمة التي تم الإبلاغ عنها المصدر، فإن EventType هو إصدار تمت تسويته أكثر اتساقا عبر المصادر.
- القيم القديمة والجديدة للكائن، إن أمكن، ممثلة ب OldValue و NewValue على التوالي.
تشير أحداث التدقيق أيضا إلى الكيانات التالية، والتي تشارك في عملية التكوين:
- الممثل - المستخدم الذي يقوم بعملية التكوين.
- TargetApp - التطبيق أو النظام الذي تنطبق عليه عملية التكوين.
- Target - النظام الذي يعمل عليه TaregtApp*.
- ActingApp - التطبيق المستخدم من قبل الممثل لتنفيذ عملية التكوين.
- Src - النظام المستخدم من قبل الممثل لبدء عملية التكوين، إذا كان مختلفا عن Target.
يتم استخدام الواصف Dvc لجهاز التقارير، وهو النظام المحلي للجلسات التي تم الإبلاغ عنها بواسطة نقطة نهاية، وجهاز الوسيط أو جهاز الأمان في حالات أخرى.
المُحللات
توزيع واستخدام محللات أحداث التدقيق
نشر محللات أحداث تدقيق ASIM من مستودع Microsoft Sentinel GitHub. للاستعلام عبر جميع مصادر أحداث التدقيق، استخدم المحلل imAuditEvent الموحد كاسم الجدول في الاستعلام.
لمزيد من المعلومات حول استخدام محللات ASIM، راجع نظرة عامة على محللات ASIM. للحصول على قائمة محللات أحداث التدقيق يوفر Microsoft Sentinel مرجعا خارج الصندوق إلى قائمة محللات ASIM
أضف المحلل اللغوي المعياري الخاص بك
عند تنفيذ المحلل اللغوي المخصص لنموذج معلومات حدث الملف، قم بتسمية وظائف KQL باستخدام الصيغة التالية: imAuditEvent<vendor><Product>. راجع المقالة إدارة محللات ASIM لمعرفة كيفية إضافة محللات مخصصة إلى محلل توحيد حدث التدقيق.
تصفية معلمات المُحلل
تدعم محللات أحداث التدقيق معلمات التصفية. في حين أن هذه المعلمات اختيارية، فإنها يمكن أن تحسن أداء الاستعلام الخاص بك.
تتوفّر معلمات التصفية التالية:
| Name | كتابة | الوصف |
|---|---|---|
| starttime | datetime | تصفية الأحداث التي تم تشغيلها في هذا الوقت أو بعده فقط. تستخدم هذه المعلمة TimeGenerated الحقل كمحدد الوقت للحدث. |
| endtime | datetime | تصفية استعلامات الأحداث التي انتهت تشغيلها في هذا الوقت أو قبله فقط. تستخدم هذه المعلمة TimeGenerated الحقل كمحدد الوقت للحدث. |
| srcipaddr_has_any_prefix | ديناميكي | تصفية الأحداث فقط من عنوان IP المصدر هذا، كما هو موضح في حقل SrcIpAddr . |
| eventtype_in | سلسلة | تصفية الأحداث التي يكون فيها نوع الحدث فقط، كما هو ممثل في حقل EventType هو أي من المصطلحات المتوفرة. |
| eventresult | سلسلة | تصفية الأحداث التي ينتج فيها الحدث فقط، كما هو ممثل في حقل EventResult يساوي قيمة المعلمة. |
| actorusername_has_any | ديناميكي/سلسلة | تصفية الأحداث التي يتضمن فيها ActorUsername أيا من المصطلحات المقدمة فقط. |
| operation_has_any | ديناميكي/سلسلة | تصفية الأحداث التي يتضمن فيها حقل العملية أيا من المصطلحات المقدمة فقط. |
| object_has_any | ديناميكي/سلسلة | تصفية الأحداث التي يتضمن فيها حقل الكائن أيا من المصطلحات المتوفرة فقط. |
| newvalue_has_any | ديناميكي/سلسلة | تصفية الأحداث التي يتضمن فيها حقل NewValue أي من المصطلحات المقدمة فقط. |
يمكن أن تقبل بعض المعلمات كلا من قائمة القيم من النوع dynamic أو قيمة سلسلة واحدة. لتمرير قائمة حرفية إلى المعلمات التي تتوقع قيمة ديناميكية، استخدم قيمة حرفية ديناميكية بشكل صريح. على سبيل المثال: dynamic(['192.168.','10.'])
على سبيل المثال، لتصفية أحداث التدقيق فقط بالشروط install أو update في حقل العملية الخاص بها، من اليوم الأخير ، استخدم:
imAuditEvent (operation_has_any=dynamic(['install','update']), starttime = ago(1d), endtime=now())
تفاصيل المُخطط
حقول ASIM المشتركة
هام
توصف الحقول المشتركة لكافة المخططات بالتفصيل في مقالة الحقول المشتركة لـ ASIM.
الحقول المشتركة مع وجود إرشادات محددة
تشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث التدقيق:
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| نوع الحدث | إلزامي | Enumerated | توضح هذه المقالة العملية التي تم تدقيقها بواسطة الحدث باستخدام قيمة تمت تسويتها. استخدم EventSubType لتوفير مزيد من التفاصيل، والتي لا تنقلها القيمة التي تمت تسويتها، والعملية. لتخزين العملية كما تم الإبلاغ عنها بواسطة جهاز التقارير. بالنسبة لسجلات أحداث التدقيق، القيم المسموح بها هي: - Set- Read- Create- Delete- Execute- Install- Clear- Enable- Disable- Other تمثل أحداث التدقيق مجموعة كبيرة ومتنوعة من العمليات، وتمكن Other القيمة عمليات التعيين التي ليس لها مثيل EventType. ومع ذلك، فإن استخدام يحد من Other إمكانية استخدام الحدث ويجب تجنبه إذا كان ذلك ممكنا. |
| EventSubType | اختياري | السلسلة | يوفر المزيد من التفاصيل، والتي لا تنقلها القيمة التي تمت تسويتها في EventType . |
| EventSchema | إلزامي | السلسلة | اسم المخطط الموثّق هنا هو AuditEvent. |
| EventSchemaVersion | إلزامي | السلسلة | إصدار المُخطط. إصدار المخطط الموثّق هنا هو 0.1. |
جميع الحقول الشائعة
الحقول التي تظهر في الجدول شائعة لجميع مخططات ASIM. يتجاوز أي من الإرشادات المحددة في هذا المستند الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريًا بشكل عام، لكنه إلزامي لمخطط معين. لمزيد من المعلومات حول كل حقل، راجع مقالة الحقول الشائعة ASIM.
| فصل | الحقول |
|---|---|
| إلزامي | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| مستحسن | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| اختياري | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - مالك الحدث - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
حقول التدقيق
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| العملية | إلزامي | السلسلة | العملية التي تم تدقيقها كما تم الإبلاغ عنها من قبل جهاز التقارير. |
| الكائن | إلزامي | السلسلة | اسم الكائن الذي يتم تنفيذ العملية التي تم تعريفها بواسطة EventType . |
| ObjectType | إلزامي | Enumerated | نوع الكائن. القيم المسموح بها هي: - Cloud Resource- Configuration Atom- Policy Rule-آخر |
| القيمة القديمة | اختياري | السلسلة | القيمة القديمة للكائن قبل العملية، إذا كان ذلك ممكنا. |
| قيمة جديدة | اختياري | السلسلة | القيمة الجديدة للكائن بعد تنفيذ العملية، إن أمكن. |
| القيمة | الاسم المستعار | الاسم المستعار ل NewValue | |
| نوع القيمة | شرطي | Enumerated | نوع القيم القديمة والجديدة. القيم المسموح بها هي -آخر |
حقول المستخدم
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| ActorUserId | اختياري | السلسلة | تمثيل فريد أبجدي رقمي قابل للقراءة آليًا للمستخدم. لمزيد من المعلومات، وللتعرف على الحقول البديلة للمعرفات الأخرى، راجع كيان المستخدم. مثال: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | اختياري | السلسلة | النطاق، مثل اسم مجال Microsoft Entra، حيث يتم تعريف ActorUserId و ActorUsername. أو مزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScope في مقالة نظرة عامة على المخطط. |
| ActorScopeId | اختياري | السلسلة | معرف النطاق، مثل معرف دليل Microsoft Entra، حيث يتم تعريف ActorUserId و ActorUsername. لمزيد من المعلومات وقائمة بالقيم المسموح بها، راجع UserScopeId في مقالة نظرة عامة على المخطط. |
| ActorUserIdType | شرطي | UserIdType | نوع المعرف المخزن في الحقل ActorUserId. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع UserIdType في مقالة نظرة عامة على المخطط. |
| ActorUsername | مستحسن | اسم مستخدم | اسم مستخدم الممثل، بما في ذلك معلومات النطاق عند توفرها. لمزيد من المعلومات، راجع كيان المستخدم. مثال: AlbertE |
| User | الاسم المستعار | الاسم المستعار للممثلUsername | |
| ActorUsernameType | شرطي | UsernameType | يحدد نوع اسم المستخدم المخزن في الحقل ActorUsername. لمزيد من المعلومات، وقائمة القيم المسموح بها، راجع نوع اسم المستخدم في مقالة نظرة عامة على المخطط. مثال: Windows |
| ActorUserType | اختياري | UserType | نوع المستخدم. لمزيد من المعلومات، وقائمة القيم المسموح بها، راجع نوع المستخدم في مقالة نظرة عامة على المخطط. على سبيل المثال: Guest |
| ActorOriginalUserType | اختياري | UserType | نوع المستخدم كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. |
| ActorSessionId | اختياري | السلسلة | المعرّف الفريد لجلسة تسجيل دخول المستخدم. مثال: 102pTUgC3p8RIqHvzxLCHnFlg |
حقول التطبيق الهدف
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| TargetAppId | اختياري | السلسلة | معرف التطبيق الذي ينطبق عليه الحدث، بما في ذلك عملية أو مستعرض أو خدمة. مثال: 89162 |
| TargetAppName | اختياري | السلسلة | اسم التطبيق الذي ينطبق عليه الحدث، بما في ذلك خدمة أو عنوان URL أو تطبيق SaaS. مثال: Exchange 365 |
| التطبيق | الاسم المستعار | الاسم المستعار ل TargetAppName | |
| TargetAppType | اختياري | AppType | نوع طلب الإذن نيابة عن الممثل. لمزيد من المعلومات، وقائمة القيم المسموح بها، راجع AppType في مقالة نظرة عامة على المخطط. |
| TargetUrl | اختياري | عنوان URL | عنوان URL المرتبط بالتطبيق الهدف. مثال: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
حقول النظام المستهدفة
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| Dst | الاسم المستعار | السلسلة | معرّف فريد لهدف المصادقة. قد يطلق هذا الحقل اسمًا مستعارًا على حقول TargerDvcId أو TargetHostname أو TargetIpAddr أو TargetAppId أو TargetAppName. مثال: 192.168.12.1 |
| TargetHostname | مستحسن | اسم المضيف | اسم مضيف الجهاز المستهدف، باستثناء معلومات المجال. مثال: DESKTOP-1282V4D |
| TargetDomain | مستحسن | السلسلة | مجال الجهاز المستهدف. مثال: Contoso |
| TargetDomainType | شرطي | Enumerated | نوع TargetDomain. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، ارجع إلى DomainType في مقالة نظرة عامة على المخطط. مطلوب إذا تم استخدام TargetDomain. |
| TargetFQDN | اختياري | السلسلة | اسم مضيف الجهاز المستهدف، بما في ذلك معلومات المجال عند توفرها. مثال: Contoso\DESKTOP-1282V4D ملاحظة: يدعم هذا الحقل كلًا من تنسيق FQDN التقليدي وتنسيق Windows domain \ hostname. يعكس TargetDomainType التنسيق المستخدم. |
| TargetDescription | اختياري | السلسلة | نص وصفي مرتبط بالجهاز. على سبيل المثال: Primary Domain Controller. |
| TargetDvcId | اختياري | السلسلة | معرّف الجهاز المستهدف. في حالة توفر معرفات متعددة، استخدم المعرف الأكثر أهمية، وقم بتخزين المعرفات الأخرى في الحقولTargetDvc<DvcIdType>. مثال: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | اختياري | السلسلة | معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. تعيين TargetDvcScopeId إلى معرف اشتراك على Azure وإلى معرف حساب على AWS. |
| TargetDvcScope | اختياري | السلسلة | نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. تعيين TargetDvcScope إلى معرف اشتراك على Azure وإلى معرف حساب على AWS. |
| TargetDvcIdType | شرطي | Enumerated | نوع TargetDvcId. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، ارجع إلى DvcIdType في مقالة نظرة عامة على المخطط. مطلوب إذا تم استخدام TargetDeviceId. |
| TargetDeviceType | اختياري | Enumerated | نوع الجهاز المستهدف. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DeviceType في مقالة نظرة عامة على المخطط. |
| TargetIpAddr | اختياري | عنوان IP | عنوان IP للجهاز المستهدف. مثال: 2.2.2.2 |
| TargetDvcOs | اختياري | السلسلة | نظام تشغيل الجهاز المستهدف. مثال: Windows 10 |
| TargetPortNumber | اختياري | رقم صحيح | منفذ الجهاز المستهدف. |
تمثيل مجالات التطبيق
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| ActingAppId | اختياري | السلسلة | تم الإبلاغ عن معرف التطبيق الذي بدأ النشاط، بما في ذلك عملية أو مستعرض أو خدمة. على سبيل المثال: 0x12ae8 |
| ActiveAppName | اختياري | السلسلة | تم الإبلاغ عن اسم التطبيق الذي بدأ النشاط، بما في ذلك خدمة أو عنوان URL أو تطبيق SaaS. على سبيل المثال: C:\Windows\System32\svchost.exe |
| ActingAppType | اختياري | AppType | نوع التطبيق قيد الاستخدام. لمزيد من المعلومات، وقائمة القيم المسموح بها، راجع AppType في مقالة نظرة عامة على المخطط. |
| HttpUserAgent | اختياري | السلسلة | عند إجراء المصادقة عبر HTTP أو HTTPS، تكون قيمة هذا الحقل هي عنوان HTTP user_agent الذي يوفره التطبيق قيد الاستخدام عند إجراء المصادقة. على سبيل المثال: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
حقول النظام المصدر
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| Src | الاسم المستعار | السلسلة | معرّف فريد للجهاز المصدر. يمكن أن يُعتبر هذا الحقل اسمًا مستعارًا للحقول SrcDvcId أو SrcHostname أو SrcIpAddr. مثال: 192.168.12.1 |
| SrcIpAddr | مستحسن | عنوان IP | عنوان IP الذي نشأ منه الاتصال أو الجلسة. مثال: 77.138.103.108 |
| IpAddr | الاسم المستعار | الاسم المستعار ل SrcIpAddr، أو إلى TargetIpAddr إذا لم يتم توفير SrcIpAddr. | |
| SrcPortNumber | اختياري | رقم صحيح | منفذ IP الذي نشأ منه الاتصال. قد لا تكون ذات صلة بجلسة عمل تتضمن اتصالات متعددة. مثال: 2335 |
| اسم SrcHostname | مستحسن | اسم المضيف | اسم مضيف الجهاز المصدر، باستثناء معلومات المجال. إذا لم يتوفر اسم الجهاز، فخزن عنوان IP ذا الصلة في هذا الحقل. مثال: DESKTOP-1282V4D |
| SrcDomain | مستحسن | السلسلة | مجال الجهاز المصدر. مثال: Contoso |
| SrcDomainType | شرطي | DomainType | نوع SrcDomain. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، ارجع إلى DomainType في مقالة نظرة عامة على المخطط. مطلوب في حال استخدام SrcDomain. |
| SrcFQDN | اختياري | السلسلة | اسم مضيف الجهاز المصدر، بما يشمل معلومات المجال عند توفرها. ملاحظة: يدعم هذا الحقل كلًا من تنسيق FQDN التقليدي وتنسيق Windows domain \ hostname. يعكس الحقل SrcDomainType التنسيق المُستخدم. مثال: Contoso\DESKTOP-1282V4D |
| SrcDescription | اختياري | السلسلة | نص وصفي مرتبط بالجهاز. على سبيل المثال: Primary Domain Controller. |
| SrcDvcId | اختياري | السلسلة | معرّف الجهاز المصدر. في حالة توفر معرفات متعددة، استخدم المعرف الأكثر أهمية، وقم بتخزين المعرفات الأخرى في الحقولSrcDvc<DvcIdType>.مثال: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | اختياري | السلسلة | معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. مخطط SrcDvcScopeId إلى معرف اشتراك على Azure ومعرف حساب على AWS. |
| SrcDvcScope | اختياري | السلسلة | نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. مخطط SrcDvcScope إلى معرف اشتراك على Azure وإلى معرف حساب على AWS. |
| SrcDvcIdType | شرطي | DvcIdType | نوع SrcDvcId. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، ارجع إلى DvcIdType في مقالة نظرة عامة على المخطط. ملاحظة: هذا الحقل مطلوب في حال استخدام SrcDvcId. |
| SrcDeviceType | اختياري | نوع الجهاز | نوع الجهاز المصدر. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DeviceType في مقالة نظرة عامة على المخطط. |
| SrcSubscriptionId | اختياري | السلسلة | معرف اشتراك النظام الأساسي السحابي الذي ينتمي إليه الجهاز المصدر. عين SrcSubscriptionId إلى معرف اشتراك على Azure وإلى معرّف حساب AWS. |
| SrcGeoCountry | اختياري | الدولة | البلد المقترن بعنوان IP للمصدر. مثال: USA |
| SrcGeoRegion | اختياري | المنطقة | المنطقة داخل بلد مقترن بعنوان IP للمصدر. مثال: Vermont |
| SrcGeoCity | اختياري | المدينة | المدينة المقترنة بعنوان IP للمصدر. مثال: Burlington |
| SrcGeoLatitude | اختياري | Latitude | خط عرض الإحداثيات الجغرافية المقترنة بعنوان IP المصدر. مثال: 44.475833 |
| SrcGeoLongitude | اختياري | Longitude | خط طول الإحداثيات الجغرافية المقترنة بعنوان IP المصدر. مثال: 73.211944 |
حقول الفحص
يتم استخدام الحقول التالية لتمثيل هذا الفحص الذي يقوم به نظام أمان.
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| RuleName | اختياري | السلسلة | اسم القاعدة أو معرفها المرتبط بنتائج الفحص. |
| RuleNumber | اختياري | رقم صحيح | عدد القاعدة المقترنة بنتائج الفحص. |
| حكم | الاسم المستعار | السلسلة | إما قيمة RuleName أو قيمة RuleNumber. إذا تم استخدام قيمة RuleNumber ، يجب تحويل النوع إلى سلسلة. |
| ThreatId | اختياري | السلسلة | معرف التهديد أو البرامج الضارة المحددة في نشاط التدقيق. |
| ThreatName | اختياري | السلسلة | اسم التهديد أو البرامج الضارة المحددة في نشاط التدقيق. |
| ThreatCategory | اختياري | السلسلة | فئة التهديد أو البرامج الضارة المحددة في نشاط ملف التدقيق. |
| ThreatRiskLevel | اختياري | رقم صحيح | مستوى المخاطر المرتبط بالتهديد المحدد. يلزم أن يكون المستوى رقمًا بين 0 و100. ملاحظة: قد تتوفر القيمة في سجل المصدر باستخدام أحجام مختلفة، والتي يجب أن تكون مطابقة لهذا الحجم. ينبغي تخزين القيمة الأصلية في ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | اختياري | السلسلة | مستوى المخاطر كما تم الإبلاغ عنه من جهاز إعداد التقارير. |
| ThreatConfidence | اختياري | رقم صحيح | مستوى ثقة التهديد المحدد، الذي تمت تسويته إلى قيمة بين 0 و100. |
| ThreatOriginalConfidence | اختياري | السلسلة | مستوى الثقة الأصلي للتهديد المحدد، كما تم الإبلاغ عنه من قبل جهاز الإبلاغ. |
| ThreatIsActive | اختياري | Boolean | صحيح إذا كان التهديد المحدد يعتبر تهديدا نشطا. |
| ThreatFirstReportedTime | اختياري | datetime | في المرة الأولى التي تم فيها تحديد عنوان IP أو المجال كتهديد. |
| ThreatLastReportedTime | اختياري | datetime | في المرة الأخيرة التي تم فيها تحديد عنوان IP أو المجال كتهديد. |
| ThreatIpAddr | اختياري | عنوان IP | عنوان IP تم تحديد تهديد له. يحتوي الحقل ThreatField على اسم الحقل ThreatIpAddr الذي يمثله. |
| ThreatField | اختياري | Enumerated | الحقل الذي تم تحديد تهديد له. القيمة هي إما SrcIpAddr أو TargetIpAddr. |
الخطوات التالية
لمزيد من المعلومات، راجع: