إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يتم استخدام مخطط مصادقة Microsoft Sentinel لوصف الأحداث المتعلقة بمصادقة المستخدم وتسجيل الدخول وتسجيل الخروج. يتم إرسال أحداث المصادقة بواسطة العديد من أجهزة إعداد التقارير، عادة كجزء من دفق الحدث جنبا إلى جنب مع أحداث أخرى. على سبيل المثال، يرسل Windows العديد من أحداث المصادقة إلى جانب أحداث نشاط نظام التشغيل الأخرى.
تتضمن أحداث المصادقة كلا الحدثين من الأنظمة التي تركز على المصادقة مثل بوابات VPN أو وحدات التحكم بالمجال، والمصادقة المباشرة إلى نظام نهاية، مثل جهاز كمبيوتر أو جدار حماية.
لمزيد من المعلومات حول التسوية في Microsoft Sentinel، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM).
موزعي
توزيع محللات مصادقة ASIM من مستودع GitHub Microsoft Sentinel. لمزيد من المعلومات حول محللات ASIM، راجع المقالات نظرة عامة على محللات ASIM.
توحيد المحللات
لاستخدام المحللات التي تعمل على توحيد جميع محللات ASIM الجاهزة، والتأكد من أن التحليل الخاص بك يعمل عبر جميع المصادر المكونة، استخدم imAuthentication محلل التصفية أو ASimAuthentication محلل بدون معلمات.
محللات خاصة بالمصدر
للحصول على قائمة محللات المصادقة Microsoft Sentinel يوفر الرجوع إلى قائمة محللات ASIM:
إضافة المحللات التي تمت تسويتها
عند تنفيذ المحللات المخصصة لنموذج معلومات المصادقة، قم بتسمية وظائف KQL باستخدام بناء الجملة التالي:
-
vimAuthentication<vendor><Product>لتصفية المحللات -
ASimAuthentication<vendor><Product>للموزعات التي لا تحتوي على معلمات
للحصول على معلومات حول إضافة المحللات المخصصة إلى المحلل الموحد، راجع إدارة محللات ASIM.
تصفية معلمات المحلل
im تدعم المحللات و vim*معلمات التصفية. على الرغم من أن هذه المحللات اختيارية، فإنها يمكن أن تحسن أداء الاستعلام الخاص بك.
تتوفر معلمات التصفية التالية:
| الاسم | النوع | الوصف |
|---|---|---|
| وقت البدء | Datetime | تصفية أحداث المصادقة التي تم تشغيلها في هذا الوقت أو بعده فقط. تقوم هذه المعلمة بتصفية TimeGenerated الحقل، وهو المعين القياسي لوقت الحدث، بغض النظر عن التعيين الخاص بالموزع لحقول EventStartTime و EventEndTime. |
| وقت الانتهاء | Datetime | تصفية أحداث المصادقة التي انتهت تشغيلها في هذا الوقت أو قبله فقط. تقوم هذه المعلمة بتصفية TimeGenerated الحقل، وهو المعين القياسي لوقت الحدث، بغض النظر عن التعيين الخاص بالموزع لحقول EventStartTime و EventEndTime. |
| targetusername_has | سلسله | تصفية أحداث المصادقة التي تحتوي على أي من أسماء المستخدمين المدرجة فقط. |
على سبيل المثال، لتصفية أحداث المصادقة فقط من اليوم الأخير إلى مستخدم معين، استخدم:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
تلميح
لتمرير قائمة حرفية إلى المعلمات التي تتوقع قيمة ديناميكية، استخدم حرفيا ديناميكيا بشكل صريح. على سبيل المثال: dynamic(['192.168.','10.']).
المحتوى الذي تمت تسويته
تعد القواعد التحليلية للمصادقة التي تمت تسويتها فريدة لأنها تكتشف الهجمات عبر المصادر. لذلك، على سبيل المثال، إذا قام مستخدم بتسجيل الدخول إلى أنظمة مختلفة غير مرتبطة، من بلدان/مناطق مختلفة، فسيكتشف Microsoft Sentinel الآن هذا التهديد.
للحصول على قائمة كاملة بقواعد التحليلات التي تستخدم أحداث المصادقة التي تمت تسويتها، راجع محتوى أمان مخطط المصادقة.
نظرة عامة على المخطط
يتم محاذاة نموذج معلومات المصادقة مع مخطط كيان تسجيل الدخول OSSEM.
الحقول المدرجة في الجدول أدناه خاصة بأحداث المصادقة، ولكنها تشبه الحقول في المخططات الأخرى وتتبع اصطلاحات تسمية مماثلة.
تشير أحداث المصادقة إلى الكيانات التالية:
- TargetUser - معلومات المستخدم المستخدمة للمصادقة على النظام. TargetSystem هو الموضوع الأساسي لحدث المصادقة، ويسمى الاسم المستعار User الاسم المستعار TargetUser المحدد.
- TargetApp - التطبيق المصادق عليه.
- Target - النظام الذي يتم تشغيل TargetApp* عليه.
- المستخدم - المستخدم الذي يبدأ المصادقة، إذا كان مختلفا عن TargetUser.
- ActingApp - التطبيق المستخدم من قبل المستخدم لإجراء المصادقة.
- Src - النظام الذي يستخدمه المستخدم لبدء المصادقة.
يتم توضيح العلاقة بين هذه الكيانات على النحو التالي:
يحاول المستخدم، الذي يقوم بتشغيل تطبيق بالنيابة، ActingApp، على نظام مصدر، Src، المصادقة ك TargetUser إلى تطبيق مستهدف، TargetApp، على نظام مستهدف، TargetDvc.
تفاصيل المخطط
في الجداول التالية، يشير النوع إلى نوع منطقي. لمزيد من المعلومات، راجع الأنواع المنطقية.
حقول ASIM الشائعة
هام
يتم وصف الحقول الشائعة لكافة المخططات بالتفصيل في مقالة الحقول الشائعة ASIM .
الحقول المشتركة مع إرشادات محددة
تشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث المصادقة:
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| نوع الحدث | الزاميه | تعداد | يصف العملية التي أبلغ عنها السجل. بالنسبة لسجلات المصادقة، تتضمن القيم المدعومة ما يلي: - Logon - Logoff- Elevate |
| EventResultDetails | اوصت | تعداد | التفاصيل المقترنة بنتيجة الحدث. عادة ما يتم ملء هذا الحقل عندما تكون النتيجة فشلا. تتضمن القيم المسموح بها ما يلي: - No such user or password. يجب استخدام هذه القيمة أيضا عندما يبلغ الحدث الأصلي عن عدم وجود مثل هذا المستخدم، دون الرجوع إلى كلمة مرور.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. يجب استخدام هذه القيمة عندما يبلغ الحدث الأصلي، على سبيل المثال: المصادقة متعددة العوامل المطلوبة، أو تسجيل الدخول خارج ساعات العمل، أو قيود الوصول المشروط، أو المحاولات المتكررة جدا.- Session expired- Otherيمكن توفير القيمة في السجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها لهذه القيم. يجب تخزين القيمة الأصلية في الحقل EventOriginalResultDetails |
| EventSubType | اختياري | تعداد | نوع تسجيل الدخول. تتضمن القيم المسموح بها ما يلي: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote - استخدم عندما يكون نوع تسجيل الدخول عن بعد غير معروف.- AssumeRole - يستخدم عادة عندما يكون نوع الحدث هو Elevate. يمكن توفير القيمة في السجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها لهذه القيم. يجب تخزين القيمة الأصلية في الحقل EventOriginalSubType. |
| EventSchemaVersion | الزاميه | SchemaVersion (سلسلة) | إصدار المخطط. إصدار المخطط الموثق هنا هو 0.1.4 |
| EventSchema | الزاميه | تعداد | اسم المخطط الموثق هنا هو المصادقة. |
| حقول Dvc | - | - | بالنسبة لأحداث المصادقة، تشير حقول الجهاز إلى النظام الذي يبلغ عن الحدث. |
كافة الحقول الشائعة
الحقول التي تظهر في الجدول أدناه شائعة لجميع مخططات ASIM. أي إرشادات محددة أعلاه تتجاوز الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريا بشكل عام، ولكنه إلزامي لمخطط معين. لمزيد من التفاصيل حول كل حقل، راجع مقالة الحقول المشتركة ASIM .
| فئه | الحقول |
|---|---|
| الزاميه |
-
عدد الأحداث - EventStartTime - EventEndTime - نوع الحدث - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| اوصت |
-
EventResultDetails - حدث كلي - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - معرف Dvc - DvcIdType - DvcAction |
| اختياري |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - مالك الحدث - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - حقول إضافية - DvcDescription - DvcScopeId - DvcScope |
حقول خاصة بالمصادقة
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| تسجيل الدخول المعرف | اختياري | سلسلة | الأسلوب المستخدم لإجراء المصادقة. تتضمن القيم المسموح بها: Managed Identityو Username & PasswordService Principalو Multi factor authenticationوPasswordlessPKIPAM.Other امثله: Managed Identity |
| تسجيل الدخول إلىProtocol | اختياري | سلسلة | البروتوكول المستخدم لإجراء المصادقة. على سبيل المثال: NTLM |
حقول المستخدم
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| معرف المستخدم المستخدم | اختياري | سلسلة | تمثيل فريد أبجدي رقمي قابل للقراءة آليا للممثل. لمزيد من المعلومات، وللاضافة إلى الحقول البديلة للمعرفات الإضافية، راجع كيان المستخدم. على سبيل المثال: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | اختياري | سلسلة | النطاق، مثل Microsoft Entra المستأجر، حيث يتم تعريف ActorUserId و ActorUsername. أو مزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScope في مقالة نظرة عامة على المخطط. |
| ActorScopeId | اختياري | سلسلة | معرف النطاق، مثل معرف الدليل Microsoft Entra، حيث يتم تعريف ActorUserId و ActorUsername. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScopeId في مقالة نظرة عامة على المخطط. |
| ActorUserIdType | الشرطي | نوع المستخدم | نوع المعرف المخزن في الحقل ActorUserId . لمزيد من المعلومات وقائمة القيم المسموح بها، راجع UserIdType في مقالة نظرة عامة على المخطط. |
| ActorUsername | اختياري | اسم المستخدم (سلسلة) | اسم المستخدم الخاص بالممثل، بما في ذلك معلومات المجال عند توفره. لمزيد من المعلومات، راجع كيان المستخدم. على سبيل المثال: AlbertE |
| ActorUsernameType | الشرطي | نوع اسم المستخدم | يحدد نوع اسم المستخدم المخزن في الحقل ActorUsername . لمزيد من المعلومات وقائمة القيم المسموح بها، راجع نوع اسم المستخدم في مقالة نظرة عامة على المخطط. على سبيل المثال: Windows |
| نوع المستخدم المستخدم | اختياري | نوع المستخدم | نوع المستخدم. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع UserType في مقالة نظرة عامة على المخطط. على سبيل المثال: Guest |
| ActorOriginalUserType | اختياري | سلسلة | نوع المستخدم كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. |
| معرف المستخدم | اختياري | سلسلة | المعرف الفريد لجلسة تسجيل الدخول الخاصة بالمستخدم. على سبيل المثال: 102pTUgC3p8RIqHvzxLCHnFlg |
حقول التطبيق بالنيابة
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| ActingAppId | اختياري | سلسلة | معرف التطبيق الذي يخول نيابة عن المستخدم، بما في ذلك عملية أو مستعرض أو خدمة. على سبيل المثال: 0x12ae8 |
| ActingAppName | اختياري | سلسلة | اسم التطبيق الذي يخول نيابة عن المستخدم، بما في ذلك عملية أو مستعرض أو خدمة. على سبيل المثال: C:\Windows\System32\svchost.exe |
| ActingAppType | اختياري | نوع التطبيق | نوع التطبيق التمثيلي. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع AppType في مقالة نظرة عامة على المخطط. |
| ActingOriginalAppType | اختياري | سلسلة | نوع التطبيق الذي يعمل كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. |
| HttpUserAgent | اختياري | سلسلة | عند إجراء المصادقة عبر HTTP أو HTTPS، تكون قيمة هذا الحقل هي عنوان HTTP user_agent الذي يوفره التطبيق بالنيابة عند إجراء المصادقة. على سبيل المثال: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
حقول المستخدم الهدف
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| TargetUserId | اختياري | سلسلة | تمثيل فريد أبجدي رقمي قابل للقراءة آليا للمستخدم المستهدف. لمزيد من المعلومات، وللاضافة إلى الحقول البديلة للمعرفات الإضافية، راجع كيان المستخدم. على سبيل المثال: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | اختياري | سلسلة | النطاق، مثل Microsoft Entra المستأجر، حيث يتم تعريف TargetUserId و TargetUsername. أو مزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScope في مقالة نظرة عامة على المخطط. |
| TargetUserScopeId | اختياري | سلسلة | معرف النطاق، مثل Microsoft Entra Directory ID، حيث يتم تعريف TargetUserId و TargetUsername. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScopeId في مقالة نظرة عامة على المخطط. |
| TargetUserIdType | الشرطي | نوع المستخدم | نوع معرف المستخدم المخزن في الحقل TargetUserId . لمزيد من المعلومات وقائمة القيم المسموح بها، راجع UserIdType في مقالة نظرة عامة على المخطط. على سبيل المثال: SID |
| TargetUsername | اختياري | اسم المستخدم (سلسلة) | اسم مستخدم المستخدم الهدف، بما في ذلك معلومات المجال عند توفرها. لمزيد من المعلومات، راجع كيان المستخدم. على سبيل المثال: MarieC |
| TargetUsernameType | الشرطي | نوع اسم المستخدم | يحدد نوع اسم المستخدم المخزن في الحقل TargetUsername . لمزيد من المعلومات وقائمة القيم المسموح بها، راجع نوع اسم المستخدم في مقالة نظرة عامة على المخطط. |
| TargetUserType | اختياري | نوع المستخدم | نوع المستخدم الهدف. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع UserType في مقالة نظرة عامة على المخطط. على سبيل المثال: Member |
| TargetSessionId | اختياري | سلسلة | معرف جلسة تسجيل الدخول ل TargetUser على الجهاز المصدر. |
| TargetOriginalUserType | اختياري | سلسلة | نوع المستخدم كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. |
| User | الاسم المستعار | اسم المستخدم (سلسلة) | الاسم المستعار ل TargetUsername أو إلى TargetUserId إذا لم يتم تعريف TargetUsername . على سبيل المثال: CONTOSO\dadmin |
حقول النظام المصدر
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| Src | اوصت | سلسلة | معرف فريد للجهاز المصدر. قد يكون هذا الحقل اسما مستعارا لحقول SrcDvcId أو SrcHostname أو SrcIpAddr . على سبيل المثال: 192.168.12.1 |
| SrcDvcId | اختياري | سلسلة | معرف الجهاز المصدر. إذا كانت هناك معرفات متعددة متوفرة، فاستخدم المعرف الأكثر أهمية، وقم بتخزين المعرفين الآخرين في الحقول SrcDvc<DvcIdType>.على سبيل المثال: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | اختياري | سلسلة | معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. يتم تعيين SrcDvcScopeId إلى معرف اشتراك على Azure ومعرف حساب على AWS. |
| SrcDvcScope | اختياري | سلسلة | نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. يتم تعيين SrcDvcScope إلى معرف اشتراك على Azure ومعرف حساب على AWS. |
| SrcDvcIdType | الشرطي | DvcIdType | نوع SrcDvcId. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DvcIdType في مقالة نظرة عامة على المخطط. ملاحظة: هذا الحقل مطلوب إذا تم استخدام SrcDvcId . |
| SrcDeviceType | اختياري | نوع الجهاز | نوع الجهاز المصدر. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DeviceType في مقالة نظرة عامة على المخطط. |
| اسم SrcHostname | اختياري | المضيف | اسم مضيف الجهاز المصدر، باستثناء معلومات المجال. إذا لم يتوفر اسم جهاز، فخزن عنوان IP ذي الصلة في هذا الحقل. على سبيل المثال: DESKTOP-1282V4D |
| SrcDomain | اختياري | المجال (سلسلة) | مجال الجهاز المصدر. على سبيل المثال: Contoso |
| SrcDomainType | الشرطي | نوع المجال | نوع SrcDomain. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DomainType في مقالة نظرة عامة على المخطط. مطلوب إذا تم استخدام SrcDomain . |
| SrcFQDN | اختياري | FQDN (سلسلة) | اسم مضيف الجهاز المصدر، بما في ذلك معلومات المجال عند توفرها. ملاحظة: يدعم هذا الحقل تنسيق FQDN التقليدي وتنسيق مجال Windows\اسم المضيف. يعكس حقل SrcDomainType التنسيق المستخدم. على سبيل المثال: Contoso\DESKTOP-1282V4D |
| SrcDescription | اختياري | سلسلة | نص وصفي مقترن بالجهاز. على سبيل المثال: Primary Domain Controller. |
| SrcIpAddr | اوصت | عنوان IP | عنوان IP للجهاز المصدر. على سبيل المثال: 2.2.2.2 |
| رقم SrcPortNumber | اختياري | صحيح | منفذ IP الذي نشأ منه الاتصال. على سبيل المثال: 2335 |
| SrcDvcOs | اختياري | سلسلة | نظام تشغيل الجهاز المصدر. على سبيل المثال: Windows 10 |
| IpAddr | الاسم المستعار | الاسم المستعار ل SrcIpAddr | |
| SrcIsp | اختياري | سلسلة | موفر خدمة الإنترنت (ISP) المستخدم من قبل الجهاز المصدر للاتصال بالإنترنت. على سبيل المثال: corpconnect |
| SrcGeoCountry | اختياري | البلد | على سبيل المثال:Canada لمزيد من المعلومات، راجع الأنواع المنطقية. |
| SrcGeoCity | اختياري | المدينه | على سبيل المثال:Montreal لمزيد من المعلومات، راجع الأنواع المنطقية. |
| SrcGeoRegion | اختياري | المنطقه | على سبيل المثال:Quebec لمزيد من المعلومات، راجع الأنواع المنطقية. |
| SrcGeoLongitude | اختياري | خط طول | على سبيل المثال:-73.614830 لمزيد من المعلومات، راجع الأنواع المنطقية. |
| SrcGeoLatitude | اختياري | العرض | على سبيل المثال:45.505918 لمزيد من المعلومات، راجع الأنواع المنطقية. |
| SrcRiskLevel | اختياري | صحيح | مستوى المخاطر المرتبط بالمصدر. يجب تعديل القيمة إلى نطاق من 0 إلى ، مع 0 ل حميدة و 100 لمخاطر 100عالية.على سبيل المثال: 90 |
| SrcOriginalRiskLevel | اختياري | سلسلة | مستوى المخاطر المرتبط بالمصدر، كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. على سبيل المثال: Suspicious |
حقول التطبيق الهدف
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| TargetAppId | اختياري | سلسلة | معرف التطبيق المطلوب التخويل إليه، وغالبا ما يتم تعيينه من قبل جهاز إعداد التقارير. على سبيل المثال: 89162 |
| TargetAppName | اختياري | سلسلة | اسم التطبيق المطلوب التخويل إليه، بما في ذلك خدمة أو عنوان URL أو تطبيق SaaS. على سبيل المثال: Saleforce |
| تطبيق | الاسم المستعار | الاسم المستعار ل TargetAppName. | |
| TargetAppType | الشرطي | نوع التطبيق | نوع التطبيق الذي يخول نيابة عن المستخدم. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع AppType في مقالة نظرة عامة على المخطط. |
| TargetOriginalAppType | اختياري | سلسلة | نوع التطبيق الذي يخول نيابة عن المستخدم كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. |
| TargetUrl | اختياري | Url | عنوان URL المقترن بالتطبيق الهدف. على سبيل المثال: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | الاسم المستعار | الاسم المستعار إما TargetAppName أو TargetUrl أو TargetHostname، أي حقل يصف هدف المصادقة على أفضل نحو. |
حقول النظام الهدف
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| Dst | الاسم المستعار | سلسلة | معرف فريد لهدف المصادقة. قد يكون هذا الحقل اسما مستعارا لحقول TargetDvcId أو TargetHostname أو TargetIpAddr أو TargetAppId أو TargetAppName . على سبيل المثال: 192.168.12.1 |
| TargetHostname | اوصت | المضيف | اسم مضيف الجهاز الهدف، باستثناء معلومات المجال. على سبيل المثال: DESKTOP-1282V4D |
| TargetDomain | اوصت | المجال (سلسلة) | مجال الجهاز الهدف. على سبيل المثال: Contoso |
| TargetDomainType | الشرطي | تعداد | نوع TargetDomain. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DomainType في مقالة نظرة عامة على المخطط. مطلوب إذا تم استخدام TargetDomain . |
| TargetFQDN | اختياري | FQDN (سلسلة) | اسم مضيف الجهاز الهدف، بما في ذلك معلومات المجال عند توفرها. على سبيل المثال: Contoso\DESKTOP-1282V4D ملاحظة: يدعم هذا الحقل تنسيق FQDN التقليدي وتنسيق مجال Windows\اسم المضيف. يعكس TargetDomainType التنسيق المستخدم. |
| TargetDescription | اختياري | سلسلة | نص وصفي مقترن بالجهاز. على سبيل المثال: Primary Domain Controller. |
| TargetDvcId | اختياري | سلسلة | معرف الجهاز الهدف. إذا كانت هناك معرفات متعددة متوفرة، فاستخدم المعرف الأكثر أهمية، وقم بتخزين المعرفين الآخرين في الحقول TargetDvc<DvcIdType>. على سبيل المثال: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | اختياري | سلسلة | معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. تعيين TargetDvcScopeId إلى معرف اشتراك على Azure ومعرف حساب على AWS. |
| TargetDvcScope | اختياري | سلسلة | نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. تعيين TargetDvcScope إلى معرف اشتراك على Azure ومعرف حساب على AWS. |
| TargetDvcIdType | الشرطي | تعداد | نوع TargetDvcId. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DvcIdType في مقالة نظرة عامة على المخطط. مطلوب إذا تم استخدام TargetDeviceId . |
| TargetDeviceType | اختياري | تعداد | نوع الجهاز الهدف. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DeviceType في مقالة نظرة عامة على المخطط. |
| TargetIpAddr | اختياري | عنوان IP | عنوان IP للجهاز الهدف. على سبيل المثال: 2.2.2.2 |
| TargetDvcOs | اختياري | سلسلة | نظام تشغيل الجهاز الهدف. على سبيل المثال: Windows 10 |
| TargetPortNumber | اختياري | صحيح | منفذ الجهاز الهدف. |
| TargetGeoCountry | اختياري | البلد | البلد/المنطقة المقترنة بعنوان IP الهدف. على سبيل المثال: USA |
| TargetGeoRegion | اختياري | المنطقه | المنطقة المقترنة بعنوان IP الهدف. على سبيل المثال: Vermont |
| TargetGeoCity | اختياري | المدينه | المدينة المرتبطة بعنوان IP الهدف. على سبيل المثال: Burlington |
| TargetGeoLatitude | اختياري | العرض | خط عرض الإحداثيات الجغرافية المرتبطة بعنوان IP الهدف. على سبيل المثال: 44.475833 |
| TargetGeoLongitude | اختياري | خط طول | خط طول الإحداثيات الجغرافية المرتبطة بعنوان IP الهدف. على سبيل المثال: 73.211944 |
| TargetRiskLevel | اختياري | صحيح | مستوى المخاطر المرتبط بالهدف. يجب تعديل القيمة إلى نطاق من 0 إلى ، مع 0 ل حميدة و 100 لمخاطر 100عالية.على سبيل المثال: 90 |
| TargetOriginalRiskLevel | اختياري | سلسلة | مستوى المخاطر المرتبط بالهدف، كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. على سبيل المثال: Suspicious |
حقول الفحص
يتم استخدام الحقول التالية لتمثيل هذا الفحص الذي يقوم به نظام أمان.
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| اسم القاعدة | اختياري | سلسلة | اسم القاعدة أو معرفها من خلال إقرانه بنتائج الفحص. |
| رقم القاعدة | اختياري | صحيح | عدد القاعدة المقترنة بنتائج الفحص. |
| القاعده | الاسم المستعار | سلسلة | إما قيمة RuleName أو قيمة RuleNumber. إذا تم استخدام قيمة RuleNumber ، يجب تحويل النوع إلى سلسلة. |
| معرف التهديد | اختياري | سلسلة | معرف التهديد أو البرامج الضارة المحددة في نشاط التدقيق. |
| اسم التهديد | اختياري | سلسلة | اسم التهديد أو البرامج الضارة المحددة في نشاط التدقيق. |
| فئة التهديد | اختياري | سلسلة | فئة التهديد أو البرامج الضارة المحددة في نشاط ملف التدقيق. |
| ThreatRiskLevel | اختياري | RiskLevel (عدد صحيح) | مستوى المخاطر المرتبط بالتهديد المحدد. يجب أن يكون المستوى رقما بين 0و100. ملاحظة: قد يتم توفير القيمة في السجل المصدر باستخدام مقياس مختلف، والذي يجب تسويته إلى هذا المقياس. يجب تخزين القيمة الأصلية في ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | اختياري | سلسلة | مستوى المخاطر كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. |
| تكوين التهديد | اختياري | مستوى الثقة (عدد صحيح) | مستوى ثقة التهديد المحدد، الذي تمت تسويته إلى قيمة بين 0 و100. |
| تكوين التهديدات | اختياري | سلسلة | مستوى الثقة الأصلي للتهديد المحدد، كما تم الإبلاغ عنه بواسطة جهاز الإبلاغ. |
| ThreatIsActive | اختياري | منطقي | صحيح إذا كان التهديد المحدد يعتبر تهديدا نشطا. |
| ThreatFirstReportedTime | اختياري | Datetime | في المرة الأولى التي تم فيها تحديد عنوان IP أو المجال كتهديد. |
| ThreatLastReportedTime | اختياري | Datetime | في المرة الأخيرة التي تم فيها تحديد عنوان IP أو المجال على أنه تهديد. |
| ThreatIpAddr | اختياري | عنوان IP | عنوان IP الذي تم تحديد تهديد له. يحتوي الحقل ThreatField على اسم الحقل ThreatIpAddr الذي يمثله. |
| ThreatField | الشرطي | تعداد | الحقل الذي تم تحديد تهديد له. القيمة إما SrcIpAddr أو TargetIpAddr. |
تحديثات المخطط
هذه هي التغييرات في الإصدار 0.1.1 من المخطط:
- تم تحديث حقول كيان المستخدم والجهاز لتتماشى مع المخططات الأخرى.
- تمت
TargetDvcإعادة تسميتها وSrcDvcإلىTargetوSrcعلى التوالي لتتماشى مع إرشادات ASIM الحالية. سيتم تنفيذ الحقول التي تمت إعادة تسميتها باسم مستعار حتى 1 يوليو 2022. تتضمن هذه الحقول:SrcDvcHostnameوSrcDvcHostnameTypeSrcDvcTypeوSrcDvcIpAddrوTargetDvcHostnameوTargetDvcHostnameTypeوTargetDvcTypeTargetDvcIpAddr.TargetDvc - تمت إضافة الأسماء المستعارة
SrcوDst. - تمت إضافة الحقول
SrcDvcIdTypeوSrcDeviceTypeTargetDvcIdTypeو و وTargetDeviceType.EventSchema
هذه هي التغييرات في الإصدار 0.1.2 من المخطط:
- تمت إضافة الحقول
ActorScopeوTargetUserScopeSrcDvcScopeIdوSrcDvcScopeوTargetDvcScopeIdوTargetDvcScope.DvcScopeDvcScopeId
هذه هي التغييرات في الإصدار 0.1.3 من المخطط:
- تمت إضافة الحقول
SrcPortNumberوActorOriginalUserTypeActorScopeIdوTargetOriginalUserTypeوTargetUserScopeIdوSrcDescription.TargetDescriptionSrcRiskLevelSrcOriginalRiskLevel - حقول الفحص المضافة
- تمت إضافة حقول الموقع الجغرافي للنظام الهدف.
هذه هي التغييرات في الإصدار 0.1.4 من المخطط:
- تمت إضافة الحقول
ActingOriginalAppTypeوTargetOriginalAppType. - تمت إضافة الاسم المستعار
Application.
الخطوات التالية
لمزيد من المعلومات، اطلع على: