مرجع مخطط تطبيع مصادقة نموذج معلومات الأمان المتقدم (ASIM) (الإصدار الأولي العام)
يستخدم مخطط مصادقة Microsoft Sentinel لوصف الأحداث المتعلقة بمصادقة المستخدم وتسجيل الدخول وتسجيل الخروج. يتم إرسال أحداث المصادقة بواسطة العديد من أجهزة التقارير، وعادة ما تكون جزءًا من تدفق الأحداث جنبًا إلى جنب مع الأحداث الأخرى. على سبيل المثال، يرسل Windows العديد من أحداث المصادقة جنبًا إلى جنب مع أحداث نشاط نظام التشغيل الأخرى.
تتضمن أحداث المصادقة كلاً من الأحداث من الأنظمة التي تركز على المصادقة مثل بوابات VPN أو وحدات التحكم بالمجال، والمصادقة المباشرة إلى نظام نهائي، مثل الكمبيوتر أو جدار الحماية.
لمزيد من المعلومات بشأن التسوية في Microsoft Sentinel، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM).
هام
مخطط تسوية المصادقة قيد المعاينة حاليًا. تُوفّر هذه الميزة دون الحاجة إلى اتفاقية مستوى الخدمة، ولا يوصى بها لأحمال العمل الخاصة بالإنتاج.
تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.
المُحللات
انشر محللات مصادقة ASIM من مستودع Microsoft Sentinel GitHub. لمزيد من المعلومات حول محللات ASIM، راجع المقالات نظرة عامة حول محللات ASIM.
توحيد المحللات
لاستخدام المُحللات التي تعمل على توحيد جميع محللات ASIM الجاهزة، والتأكد من أن التحليل الخاص بك يعمل عبر جميع المصادر المكونة، استخدم imAuthentication محلل التصفية أو ASimAuthentication محلل المعلمات الأقل.
المُحللات الخاصة بالمصدر
للحصول على قائمة مُحللات المصادقة التي يوفرها Microsoft Sentinel، راجع قائمة مُحللات ASIM:
أضف المحلل اللغوي المعياري الخاص بك
عند تنفيذ محللات مخصصة لنموذج معلومات المصادقة، قم بتسمية وظائف KQL باستخدام الصيغة التالية:
vimAuthentication<vendor><Product>لتصفية المُحللاتASimAuthentication<vendor><Product>لمُحللات بدون معلمات
للحصول على معلومات حول إضافة المحلل اللغوي المخصص إلى المُحلل الموحد، راجع إدارة مُحللات ASIM.
تصفية معلمات المُحلل
تدعم مُحللات im وvim* معلمات التصفية. في حين أن هذه المُحللات اختيارية، فإنها يمكن أن تحسن أداء الاستعلام الخاص بك.
تتوفّر معلمات التصفية التالية:
| Name | كتابة | الوصف |
|---|---|---|
| starttime | datetime | قم بتصفية أحداث المصادقة التي تم تشغيلها في هذا الوقت أو بعده فقط. |
| endtime | datetime | قم بتصفية أحداث المصادقة التي انتهى تشغيلها في هذا الوقت أو قبله فقط. |
| targetusername_has | سلسلة | قم بتصفية أحداث المصادقة التي لها أي من أسماء المستخدمين المدرجة. |
على سبيل المثال، لتصفية أحداث المصادقة فقط من اليوم الأخير إلى مستخدم معين، استخدم:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
تلميح
لتمرير قائمة حرفية إلى المعلمات التي تتوقع قيمة ديناميكية، استخدم قيمة حرفية ديناميكية بشكل صريح. على سبيل المثال: dynamic(['192.168.','10.']).
المحتوى الطبيعي
تعد قواعد تحليل المصادقة المعيارية فريدة من نوعها لأنها تكتشف الهجمات عبر المصادر. لذلك، على سبيل المثال، إذا قام مستخدم بتسجيل الدخول إلى أنظمة مختلفة غير مرتبطة، من بلدان/مناطق مختلفة، فسيكتشف Microsoft Sentinel الآن هذا التهديد.
لقائمة كاملة بقواعد التحليلات التي تستخدم أحداث المصادقة العادية، راجع محتوى أمان مخطط المصادقة.
نظرة عامة على المخطط
يتم محاذاة نموذج معلومات المصادقة مع مخطط كيان تسجيل الدخول OSSEM.
الحقول المدرجة في الجدول أدناه خاصة بأحداث المصادقة، ولكنها تشبه الحقول الموجودة في المخططات الأخرى وتتبع اصطلاحات تسمية مماثلة.
تُشير أحداث المصادقة إلى الكيانات التالية:
- TargetUser - معلومات المستخدم المستخدمة في المصادقة على النظام. نظام TargetSystem هو الموضوع الأساسي لحدث المصادقة، ويتم تحديد الاسم المستعار للمستخدم الذي يحمل اسم TargetUser.
- TargetApp - التطبيق مصدق عليه.
- Target - النظام الذي يتم تشغيل TargetApp* عليه.
- Actor - المستخدم الذي يبدأ المصادقة، إذا كان مختلفًا عن TargetUser.
- ActingApp - التطبيق الذي يستخدمه المستخدم لإجراء المصادقة.
- Src - النظام الذي يستخدمه المستخدم لبدء المصادقة.
من الأفضل توضيح العلاقة بين هذه الكيانات على النحو التالي:
يحاول المستخدم، الذي يقوم بتشغيل تطبيق مؤثر، ActingApp، على نظام مصدر، Src، المصادقة باعتباره TargetUser لتطبيق هدف، TargetApp، على نظام مستهدف، TargetDvc.
تفاصيل المُخطط
في الجداول التالية، يُشير النوع إلى نوع منطقي. للمزيد من المعلومات، راجع الأنواع المنطقية.
حقول ASIM المشتركة
هام
توصف الحقول المشتركة لكافة المخططات بالتفصيل في مقالة الحقول المشتركة لـ ASIM.
الحقول المشتركة مع وجود إرشادات محددة
تُشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث المصادقة:
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| EventType | إلزامي | Enumerated | يصف العملية التي أبلغ بها السجل. بالنسبة لسجلات المصادقة، تتضمن القيم المدعومة ما يلي: - Logon - Logoff- Elevate |
| EventResultDetails | مستحسن | السلسلة | التفاصيل المقترنة بنتيجة الحدث. عادة ما يتم ملء هذا الحقل عندما تكون النتيجة فشلا. تتضمن القيم المسموح بها ما يلي: - No such user or password. يجب استخدام هذه القيمة أيضًا عندما يبلغ الحدث الأصلي عن عدم وجود مثل هذا المستخدم، دون الرجوع إلى كلمة المرور.- No such user- Incorrect password- Incorrect key- Account expired- Password expired- User locked- User disabled- Logon violates policy. يجب استخدام هذه القيمة عند تقارير الأحداث الأصلية، على سبيل المثال: المصادقة متعددة العوامل المطلوبة، أو تسجيل الدخول خارج ساعات العمل، أو قيود الوصول المشروط، أو المحاولات المتكررة جدًا.- Session expired- Otherيمكن توفير القيمة في السجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها لهذه القيم. تُخزَّن القيمة الأصلية في الحقل EventOriginalResultDetails |
| EventSubType | اختياري | السلسلة | نوع تسجيل الدخول. تتضمن القيم المسموح بها ما يلي: - System- Interactive- RemoteInteractive- Service- RemoteService- Remote - يستخدم عندما يكون نوع تسجيل الدخول عن بعد غير معروف.- AssumeRole - يستخدم عادة عندما يكون نوع الحدث هو Elevate. يمكن توفير القيمة في السجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها لهذه القيم. يجب تخزين القيمة الأصلية في الحقل EventOriginalSubType. |
| EventSchemaVersion | إلزامي | السلسلة | إصدار المُخطط. إصدار مخطط قاعدة البيانات الموثق هنا هو 0.1.3 |
| EventSchema | إلزامي | السلسلة | اسم المُخطط الموثق هنا هو المصادقة. |
| حقول Dvc | - | - | بالنسبة لأحداث المُصادقة، تشير حقول الجهاز إلى النظام الذي يبلغ عن الحدث. |
جميع الحقول الشائعة
تُعد الحقول التي تظهر في الجدول أدناه مشتركة في جميع مخططات ASIM. أية مبادئ توجيهية محددة أعلاه تلغي الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريًا بشكل عام، لكنه إلزامي لمخطط معين. لمزيد من التفاصيل حول كل حقل، راجع المقالة الحقول المشتركة لـ ASIM.
| فصل | الحقول |
|---|---|
| إلزامي | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| مستحسن | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| اختياري | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - مالك الحدث - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
الحقول الخاصة بالمصادقة
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| LogonMethod | اختياري | السلسلة | الطريقة المستخدمة لإجراء المصادقة. الأمثلة: Username & Password، PKI |
| LogonProtocol | اختياري | السلسلة | البروتوكول المُستخدم لإجراء المصادقة. مثال: NTLM |
حقول المستخدم
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| ActorUserId | اختياري | السلسلة | تمثيل فريد أبجدي رقمي قابل للقراءة آليًا للمستخدم. لمزيد من المعلومات وللحصول على الحقول البديلة للمعرفات الإضافية، راجع كيان المستخدم. مثال: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| ActorScope | اختياري | السلسلة | النطاق، مثل مستأجر Microsoft Entra، حيث يتم تعريف ActorUserId و ActorUsername. أو مزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScope في مقالة نظرة عامة على المخطط. |
| ActorScopeId | اختياري | السلسلة | معرف النطاق، مثل معرف دليل Microsoft Entra، حيث يتم تعريف ActorUserId و ActorUsername. لمزيد من المعلومات وقائمة بالقيم المسموح بها، راجع UserScopeId في مقالة نظرة عامة على المخطط. |
| ActorUserIdType | شرطي | UserIdType | نوع المعرف المخزن في الحقل ActorUserId. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع UserIdType في مقالة نظرة عامة على المخطط. |
| ActorUsername | اختياري | اسم مستخدم | اسم مستخدم الممثل، بما في ذلك معلومات النطاق عند توفرها. لمزيد من المعلومات، راجع كيان المستخدم. مثال: AlbertE |
| ActorUsernameType | شرطي | UsernameType | يحدد نوع اسم المستخدم المخزن في الحقل ActorUsername. لمزيد من المعلومات، وقائمة القيم المسموح بها، راجع نوع اسم المستخدم في مقالة نظرة عامة على المخطط. مثال: Windows |
| ActorUserType | اختياري | UserType | نوع المستخدم. لمزيد من المعلومات، وقائمة القيم المسموح بها، راجع نوع المستخدم في مقالة نظرة عامة على المخطط. على سبيل المثال: Guest |
| ActorOriginalUserType | اختياري | UserType | نوع المستخدم كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. |
| ActorSessionId | اختياري | السلسلة | المعرّف الفريد لجلسة تسجيل دخول المستخدم. مثال: 102pTUgC3p8RIqHvzxLCHnFlg |
تمثيل مجالات التطبيق
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| ActingAppId | اختياري | السلسلة | معرّف التطبيق الذي يصرح نيابة عن الممثل، بما في ذلك العملية أو المستعرض أو الخدمة. على سبيل المثال: 0x12ae8 |
| ActingAppName | اختياري | السلسلة | اسم التطبيق الذي يصرح نيابة عن الممثل، بما في ذلك العملية أو المستعرض أو الخدمة. على سبيل المثال: C:\Windows\System32\svchost.exe |
| ActingAppType | اختياري | AppType | نوع التطبيق قيد الاستخدام. لمزيد من المعلومات، وقائمة القيم المسموح بها، راجع AppType في مقالة نظرة عامة على المخطط. |
| HttpUserAgent | اختياري | السلسلة | عند إجراء المصادقة عبر HTTP أو HTTPS، تكون قيمة هذا الحقل هي عنوان HTTP user_agent الذي يوفره التطبيق قيد الاستخدام عند إجراء المصادقة. على سبيل المثال: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
حقول المستخدم المُستهدف
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| TargetUserId | اختياري | معرف المستخدم | تمثيل فريد أبجدي رقمي يمكن قراءته آلياً للمستخدم المستهدف. لمزيد من المعلومات وللحصول على الحقول البديلة للمعرفات الإضافية، راجع كيان المستخدم. مثال: 00urjk4znu3BcncfY0h7 |
| TargetUserScope | اختياري | السلسلة | النطاق، مثل مستأجر Microsoft Entra، حيث يتم تعريف TargetUserId و TargetUsername . أو مزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScope في مقالة نظرة عامة على المخطط. |
| TargetUserScopeId | اختياري | السلسلة | معرف النطاق، مثل معرف دليل Microsoft Entra، حيث يتم تعريف TargetUserId و TargetUsername . لمزيد من المعلومات وقائمة بالقيم المسموح بها، راجع UserScopeId في مقالة نظرة عامة على المخطط. |
| TargetUserIdType | شرطي | UserIdType | نوع معرِّف المستخدم المخزَّن في الحقل TargetUserId. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع UserIdType في مقالة نظرة عامة على المخطط. مثال: SID |
| TargetUsername | اختياري | اسم مستخدم | اسم المستخدم المستهدف، بما في ذلك معلومات المجال عند توفرها. لمزيد من المعلومات، راجع كيان المستخدم. مثال: MarieC |
| TargetUsernameType | شرطي | UsernameType | يحدد نوع اسم المستخدم المُخزَّن في الحقل TargetUsername. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع UsernameType في مقالة نظرة عامة على المخطط. |
| TargetUserType | اختياري | UserType | نوع المستخدم الهدف. لمزيد من المعلومات، وقائمة القيم المسموح بها، راجع نوع المستخدم في مقالة نظرة عامة على المخطط. على سبيل المثال: Member |
| TargetSessionId | اختياري | السلسلة | معرّف جلسة تسجيل الدخول لـ TargetUser على الجهاز المصدر. |
| TargetOriginalUserType | اختياري | UserType | نوع المستخدم كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. |
| User | الاسم المستعار | اسم مستخدم | الاسم المستعار لـ TargetUsername أو TargetUserId إذا لم يتم تعريف TargetUsername. مثال: CONTOSO\dadmin |
حقول النظام المصدر
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| Src | مستحسن | السلسلة | معرّف فريد للجهاز المصدر. قد يكون هذا الحقل مستعارًا للحقول SrcDvcId أو SrcHostname أو SrcIpAddr. مثال: 192.168.12.1 |
| SrcDvcId | اختياري | السلسلة | معرّف الجهاز المصدر. في حالة توفر معرفات متعددة، استخدم المعرف الأكثر أهمية، وقم بتخزين المعرفات الأخرى في الحقولSrcDvc<DvcIdType>.مثال: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | اختياري | السلسلة | معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. مخطط SrcDvcScopeId إلى معرف اشتراك على Azure ومعرف حساب على AWS. |
| SrcDvcScope | اختياري | السلسلة | نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. مخطط SrcDvcScope إلى معرف اشتراك على Azure وإلى معرف حساب على AWS. |
| SrcDvcIdType | شرطي | DvcIdType | نوع SrcDvcId. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، راجع DvcIdType في مقالة نظرة عامة على المخطط. ملاحظة: هذا الحقل مطلوب في حال استخدام SrcDvcId. |
| SrcDeviceType | اختياري | نوع الجهاز | نوع الجهاز المصدر. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، راجع DeviceType في Schema Overview article. |
| اسم SrcHostname | مستحسن | اسم المضيف | اسم مضيف الجهاز المصدر، باستثناء معلومات المجال. إذا لم يتوفر اسم الجهاز، فخزن عنوان IP ذا الصلة في هذا الحقل. مثال: DESKTOP-1282V4D |
| SrcDomain | مستحسن | السلسلة | مجال الجهاز المصدر. مثال: Contoso |
| SrcDomainType | شرطي | DomainType | نوع SrcDomain. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، راجع DomainType في Schema Overview article. مطلوب في حال استخدام SrcDomain. |
| SrcFQDN | اختياري | السلسلة | اسم مضيف الجهاز المصدر، بما يشمل معلومات المجال عند توفرها. ملاحظة: يدعم هذا الحقل كلًا من تنسيق FQDN التقليدي وتنسيق Windows domain \ hostname. يعكس الحقل SrcDomainType التنسيق المُستخدم. مثال: Contoso\DESKTOP-1282V4D |
| SrcDescription | اختياري | السلسلة | نص وصفي مرتبط بالجهاز. على سبيل المثال: Primary Domain Controller. |
| SrcIpAddr | اختياري | عنوان IP | عنوان IP للجهاز المصدر. مثال: 2.2.2.2 |
| SrcPortNumber | اختياري | رقم صحيح | منفذ IP الذي نشأ منه الاتصال. مثال: 2335 |
| SrcDvcOs | اختياري | السلسلة | نظام تشغيل الجهاز المصدر. مثال: Windows 10 |
| IpAddr | الاسم المستعار | الاسم المستعار لـ SrcIpAddr | |
| SrcIsp | اختياري | السلسلة | مزود خدمة الإنترنت (ISP) الذي يستخدمه الجهاز المصدر للاتصال بالإنترنت. مثال: corpconnect |
| SrcGeoCountry | اختياري | الدولة | مثال: Canada للمزيد من المعلومات، راجع الأنواع المنطقية. |
| SrcGeoCity | اختياري | المدينة | مثال: Montreal للمزيد من المعلومات، راجع الأنواع المنطقية. |
| SrcGeoRegion | اختياري | المنطقة | مثال: Quebec للمزيد من المعلومات، راجع الأنواع المنطقية. |
| SrcGeoLongtitude | اختياري | Longitude | مثال: -73.614830 للمزيد من المعلومات، راجع الأنواع المنطقية. |
| SrcGeoLatitude | اختياري | Latitude | مثال: 45.505918 للمزيد من المعلومات، راجع الأنواع المنطقية. |
| SrcRiskLevel | اختياري | رقم صحيح | مستوى المخاطر المقترن بالمصدر. يجب تعديل القيمة إلى نطاق من 0 إلى 100، مع 0 لغير ضارة و100 لخطر كبير.مثال: 90 |
| SrcOriginalRiskLevel | اختياري | رقم صحيح | مستوى المخاطر المقترن بالمصدر، كما تم الإبلاغ عنه بواسطة جهاز التقارير. مثال: Suspicious |
حقول التطبيق الهدف
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| TargetAppId | اختياري | السلسلة | معرّف التطبيق المطلوب الترخيص له، وغالبًا ما يتم تعيينه بواسطة جهاز إعداد التقارير. مثال: 89162 |
| TargetAppName | اختياري | السلسلة | اسم التطبيق المطلوب الترخيص له، بما في ذلك خدمة أو عنوان URL أو تطبيق SaaS. مثال: Saleforce |
| TargetAppType | اختياري | AppType | نوع طلب الإذن نيابة عن الممثل. لمزيد من المعلومات، وقائمة القيم المسموح بها، راجع AppType في مقالة نظرة عامة على المخطط. |
| TargetUrl | اختياري | عنوان URL | عنوان URL المرتبط بالتطبيق الهدف. مثال: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| LogonTarget | الاسم المستعار | الاسم المستعار إما TargetAppName أو TargetUrl أو TargetHostname، أيهما يصف أفضل حقل لهدف المصادقة. |
حقول النظام المستهدفة
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| Dst | الاسم المستعار | السلسلة | معرّف فريد لهدف المصادقة. قد يطلق هذا الحقل اسمًا مستعارًا على حقول TargerDvcId أو TargetHostname أو TargetIpAddr أو TargetAppId أو TargetAppName. مثال: 192.168.12.1 |
| TargetHostname | مستحسن | اسم المضيف | اسم مضيف الجهاز المستهدف، باستثناء معلومات المجال. مثال: DESKTOP-1282V4D |
| TargetDomain | مستحسن | السلسلة | مجال الجهاز المستهدف. مثال: Contoso |
| TargetDomainType | شرطي | Enumerated | نوع TargetDomain. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، راجع DomainType في Schema Overview article. مطلوب إذا تم استخدام TargetDomain. |
| TargetFQDN | اختياري | السلسلة | اسم مضيف الجهاز المستهدف، بما في ذلك معلومات المجال عند توفرها. مثال: Contoso\DESKTOP-1282V4D ملاحظة: يدعم هذا الحقل كلًا من تنسيق FQDN التقليدي وتنسيق Windows domain \ hostname. يعكس TargetDomainType التنسيق المستخدم. |
| TargetDescription | اختياري | السلسلة | نص وصفي مرتبط بالجهاز. على سبيل المثال: Primary Domain Controller. |
| TargetDvcId | اختياري | السلسلة | معرّف الجهاز المستهدف. في حالة توفر معرفات متعددة، استخدم المعرف الأكثر أهمية، وقم بتخزين المعرفات الأخرى في الحقولTargetDvc<DvcIdType>. مثال: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcScopeId | اختياري | السلسلة | معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. تعيين TargetDvcScopeId إلى معرف اشتراك على Azure وإلى معرف حساب على AWS. |
| TargerDvcScope | اختياري | السلسلة | نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. تعيين TargetDvcScope إلى معرف اشتراك على Azure وإلى معرف حساب على AWS. |
| TargetDvcIdType | شرطي | Enumerated | نوع TargetDvcId. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، راجع DvcIdType في مقالة نظرة عامة على المخطط. مطلوب إذا تم استخدام TargetDeviceId. |
| TargetDeviceType | اختياري | Enumerated | نوع الجهاز المستهدف. للحصول على قائمة بالقيم المسموح بها ومزيد من المعلومات، راجع DeviceType في Schema Overview article. |
| TargetIpAddr | اختياري | عنوان IP | عنوان IP للجهاز المستهدف. مثال: 2.2.2.2 |
| TargetDvcOs | اختياري | السلسلة | نظام تشغيل الجهاز المستهدف. مثال: Windows 10 |
| TargetPortNumber | اختياري | رقم صحيح | منفذ الجهاز المستهدف. |
| TargetGeoCountry | اختياري | الدولة | البلد المقترن بعنوان IP الهدف. مثال: USA |
| TargetGeoRegion | اختياري | المنطقة | المنطقة المقترنة بعنوان IP الهدف. مثال: Vermont |
| TargetGeoCity | اختياري | المدينة | المدينة المرتبطة بعنوان IP الهدف. مثال: Burlington |
| TargetGeoLatitude | اختياري | Latitude | خط عرض الإحداثيات الجغرافية المرتبطة بعنوان IP الهدف. مثال: 44.475833 |
| TargetGeoLongitude | اختياري | Longitude | خط طول الإحداثيات الجغرافية المرتبطة بعنوان IP الهدف. مثال: 73.211944 |
| TargetRiskLevel | اختياري | رقم صحيح | مستوى المخاطر المرتبط بالهدف. يجب تعديل القيمة إلى نطاق من 0 إلى 100، مع 0 لغير ضارة و100 لخطر كبير.مثال: 90 |
| TargetOriginalRiskLevel | اختياري | رقم صحيح | مستوى المخاطر المرتبط بالهدف، كما تم الإبلاغ عنه من قبل جهاز التقارير. مثال: Suspicious |
حقول الفحص
يتم استخدام الحقول التالية لتمثيل هذا الفحص الذي يقوم به نظام أمان.
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| RuleName | اختياري | السلسلة | اسم القاعدة أو معرفها المرتبط بنتائج الفحص. |
| RuleNumber | اختياري | رقم صحيح | عدد القاعدة المقترنة بنتائج الفحص. |
| حكم | الاسم المستعار | السلسلة | إما قيمة RuleName أو قيمة RuleNumber. إذا تم استخدام قيمة RuleNumber ، يجب تحويل النوع إلى سلسلة. |
| ThreatId | اختياري | السلسلة | معرف التهديد أو البرامج الضارة المحددة في نشاط التدقيق. |
| ThreatName | اختياري | السلسلة | اسم التهديد أو البرامج الضارة المحددة في نشاط التدقيق. |
| ThreatCategory | اختياري | السلسلة | فئة التهديد أو البرامج الضارة المحددة في نشاط ملف التدقيق. |
| ThreatRiskLevel | اختياري | رقم صحيح | مستوى المخاطر المرتبط بالتهديد المحدد. يلزم أن يكون المستوى رقمًا بين 0 و100. ملاحظة: قد تتوفر القيمة في سجل المصدر باستخدام أحجام مختلفة، والتي يجب أن تكون مطابقة لهذا الحجم. ينبغي تخزين القيمة الأصلية في ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | اختياري | السلسلة | مستوى المخاطر كما تم الإبلاغ عنه من جهاز إعداد التقارير. |
| ThreatConfidence | اختياري | رقم صحيح | مستوى ثقة التهديد المحدد، الذي تمت تسويته إلى قيمة بين 0 و100. |
| ThreatOriginalConfidence | اختياري | السلسلة | مستوى الثقة الأصلي للتهديد المحدد، كما تم الإبلاغ عنه من قبل جهاز الإبلاغ. |
| ThreatIsActive | اختياري | Boolean | صحيح إذا كان التهديد المحدد يعتبر تهديدا نشطا. |
| ThreatFirstReportedTime | اختياري | datetime | في المرة الأولى التي تم فيها تحديد عنوان IP أو المجال كتهديد. |
| ThreatLastReportedTime | اختياري | datetime | في المرة الأخيرة التي تم فيها تحديد عنوان IP أو المجال كتهديد. |
| ThreatIpAddr | اختياري | عنوان IP | عنوان IP تم تحديد تهديد له. يحتوي الحقل ThreatField على اسم الحقل ThreatIpAddr الذي يمثله. |
| ThreatField | اختياري | Enumerated | الحقل الذي تم تحديد تهديد له. القيمة هي إما SrcIpAddr أو TargetIpAddr. |
تحديثات المخطط
هذه هي التغييرات في الإصدار 0.1.1 من المخطط:
- تم تحديث حقول كيان المستخدم والجهاز للتوافق مع المخططات الأخرى.
- تمت إعادة تسميته
TargetDvcوSrcDvcإلىTargetوSrcعلى التوالي لتتماشى مع إرشادات ASIM الحالية. سيتم تنفيذ الحقول المعاد تسميتها كأسماء مستعارة حتى 1 يوليو 2022. تتضمن هذه الحقول:SrcDvcHostname، وSrcDvcHostnameType، وSrcDvcType، وSrcDvcIpAddr، وTargetDvcHostname، وTargetDvcHostnameType، وTargetDvcType، وTargetDvcIpAddr، وTargetDvc. - تمت إضافة الأسماء المستعارة
SrcوDst. - تمت إضافة الحقول
SrcDvcIdTypeوSrcDeviceTypeTargetDvcIdTypeو و وTargetDeviceType.EventSchema
هذه هي التغييرات في الإصدار 0.1.2 من المخطط:
- تمت إضافة الحقول
ActorScopeوSrcDvcScopeIdTargetUserScopeوSrcDvcScopeوDvcScopeIdTargetDvcScopeIdTargetDvcScope.DvcScope
هذه هي التغييرات في الإصدار 0.1.3 من المخطط:
- تمت إضافة الحقول
SrcPortNumberوActorOriginalUserTypeوActorScopeIdTargetOriginalUserTypeوTargetUserScopeIdوSrcDescription.TargetDescriptionSrcRiskLevelSrcOriginalRiskLevel - حقول الفحص المضافة
- تمت إضافة حقول الموقع الجغرافي للنظام الهدف.
الخطوات التالية
لمزيد من المعلومات، راجع: