مرجع مخطط تسوية جلسة عمل الشبكة لنموذج معلومات الأمان المتقدم (ASIM)

يمثل مخطط تسوية Microsoft Sentinel Network Session نشاط شبكة IP، مثل اتصالات الشبكة وجلسات الشبكة. يتم الإبلاغ عن مثل هذه الأحداث، على سبيل المثال، بواسطة أنظمة التشغيل وأجهزة التوجيه وجدران الحماية وأنظمة منع الاختراق.

يمكن أن يمثل مخطط تسوية الشبكة أي نوع من جلسة عمل شبكة IP ولكنه مصمم لتوفير الدعم لأنواع المصادر الشائعة، مثل Netflow وجدران الحماية وأنظمة منع الاختراق.

لمزيد من المعلومات حول التسوية في Microsoft Sentinel، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM).

موزعي

لمزيد من المعلومات حول محللات ASIM، راجع نظرة عامة على محللات ASIM.

توحيد المحللات

لاستخدام المحللات التي تعمل على توحيد جميع محللات ASIM الجاهزة، والتأكد من أن تحليلك يعمل عبر جميع المصادر المكونة، استخدم _Im_NetworkSession المحلل.

محللات خارج الصندوق ومخصصة للمصدر

للحصول على قائمة محللات جلسة الشبكة Microsoft Sentinel يوفر خارج الصندوق راجع قائمة محللات ASIM

إضافة المحللات التي تمت تسويتها

عند تطوير محللات مخصصة لنموذج معلومات جلسة الشبكة، قم بتسمية وظائف KQL باستخدام بناء الجملة التالي:

  • vimNetworkSession<vendor><Product> للموزعات شبه المتماثلة
  • ASimNetworkSession<vendor><Product> للمحللات العادية

راجع المقالة إدارة محللات ASIM لمعرفة كيفية إضافة المحللات المخصصة إلى جلسة عمل الشبكة التي توحد المحللات.

تصفية معلمات المحلل

تدعم محللات جلسة عمل الشبكة معلمات التصفية. في حين أن هذه المعلمات اختيارية، فإنها يمكن أن تحسن أداء الاستعلام الخاص بك.

تتوفر معلمات التصفية التالية:

الاسم النوع الوصف
وقت البدء Datetime تصفية جلسات عمل الشبكة التي بدأت في هذا الوقت أو بعده فقط. تقوم هذه المعلمة بتصفية TimeGenerated الحقل، وهو المعين القياسي لوقت الحدث، بغض النظر عن التعيين الخاص بالموزع لحقول EventStartTime و EventEndTime.
وقت الانتهاء Datetime تصفية جلسات عمل الشبكة التي بدأت العمل في هذا الوقت أو قبله فقط. تقوم هذه المعلمة بتصفية TimeGenerated الحقل، وهو المعين القياسي لوقت الحدث، بغض النظر عن التعيين الخاص بالموزع لحقول EventStartTime و EventEndTime.
srcipaddr_has_any_prefix ديناميه تصفية جلسات عمل الشبكة التي تكون بادئة حقل عنوان IP المصدر لها في إحدى القيم المدرجة فقط. يجب أن تنتهي البادئات ب .، على سبيل المثال: 10.0.. يقتصر طول القائمة على 10000 عنصر.
dstipaddr_has_any_prefix ديناميه تصفية جلسات عمل الشبكة التي تكون بادئة حقل عنوان IP الوجهة لها في إحدى القيم المدرجة فقط. يجب أن تنتهي البادئات ب .، على سبيل المثال: 10.0.. يقتصر طول القائمة على 10000 عنصر.
ipaddr_has_any_prefix ديناميه تصفية جلسات عمل الشبكة التي يكون حقل عنوان IP الوجهة أو بادئة حقل عنوان IP المصدر لها في إحدى القيم المدرجة. يجب أن تنتهي البادئات ب .، على سبيل المثال: 10.0.. يقتصر طول القائمة على 10000 عنصر.

يتم تعيين الحقل ASimMatchingIpAddr بإحدى القيم SrcIpAddrأو DstIpAddrأو Both لتعكس الحقول أو الحقول المطابقة.
dstportnumber الباحث تصفية جلسات عمل الشبكة فقط باستخدام رقم منفذ الوجهة المحدد.
hostname_has_any ديناميكي/سلسلة تصفية جلسات عمل الشبكة التي يحتوي حقل اسم المضيف الوجهة لها على أي من القيم المدرجة. يقتصر طول القائمة على 10000 عنصر.

يتم تعيين الحقل ASimMatchingHostname بإحدى القيم SrcHostnameأو DstHostnameأو Both لتعكس الحقول أو الحقول المطابقة.
dvcaction ديناميكي/سلسلة قم بتصفية جلسات عمل الشبكة التي يكون حقل Device Action لها أي من القيم المدرجة فقط.
eventresult سلسلة تصفية جلسات الشبكة فقط بقيمة EventResult معينة.

يمكن لبعض المعلمات قبول كل من قائمة القيم من النوع dynamic أو قيمة سلسلة واحدة. لتمرير قائمة حرفية إلى المعلمات التي تتوقع قيمة ديناميكية، استخدم حرفيا ديناميكيا بشكل صريح. على سبيل المثال: dynamic(['192.168.','10.'])

على سبيل المثال، لتصفية جلسات عمل الشبكة فقط لقائمة محددة من أسماء المجالات، استخدم:

let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)

تلميح

لتمرير قائمة حرفية إلى المعلمات التي تتوقع قيمة ديناميكية، استخدم حرفيا ديناميكيا بشكل صريح. على سبيل المثال: dynamic(['192.168.','10.']).

المحتوى الذي تمت تسويته

للحصول على قائمة كاملة بقواعد التحليلات التي تستخدم أحداث DNS التي تمت تسويتها، راجع محتوى أمان جلسة عمل الشبكة.

نظرة عامة على المخطط

يتم محاذاة نموذج معلومات جلسة الشبكة مع مخطط كيان شبكة OSSEM.

يخدم مخطط جلسة عمل الشبكة عدة أنواع من السيناريوهات المتشابهة ولكن المميزة، والتي تشترك في نفس الحقول. يتم تحديد هذه السيناريوهات بواسطة حقل EventType:

  • NetworkSession - جلسة عمل شبكة تم الإبلاغ عنها بواسطة جهاز وسيط يراقب الشبكة، مثل جدار الحماية أو جهاز توجيه أو لمسة شبكة.
  • L2NetworkSession - جلسة عمل شبكة تتوفر معلومات الطبقة 2 فقط لها. ستتضمن مثل هذه الأحداث عناوين MAC ولكن ليس عناوين IP.
  • Flow - حدث مجمع يبلغ عن عدة جلسات شبكة مماثلة، عادة خلال فترة زمنية محددة مسبقا، مثل أحداث Netflow .
  • EndpointNetworkSession - جلسة شبكة تم الإبلاغ عنها بواسطة إحدى نقاط نهاية الجلسة، بما في ذلك العملاء والخوادم. بالنسبة لمثل هذه الأحداث، يدعم المخطط حقلي remote الاسم المستعار و local .
  • IDS - تم الإبلاغ عن جلسة شبكة على أنها مريبة. سيكون لمثل هذا الحدث بعض حقول الفحص التي تم ملؤها، وقد يحتوي على حقل عنوان IP واحد فقط، إما المصدر أو الوجهة.

عادة، يجب على الاستعلام إما تحديد مجموعة فرعية فقط من أنواع الأحداث هذه، وقد يحتاج إلى معالجة جوانب فريدة بشكل منفصل من حالات الاستخدام. على سبيل المثال، لا تعكس أحداث IDS وحدة تخزين الشبكة بأكملها ولا يجب أخذها في الاعتبار في التحليلات المستندة إلى العمود.

تستخدم أحداث جلسة الشبكة الواصفات Src وللإشارة Dst إلى أدوار الأجهزة والمستخدمين والتطبيقات ذات الصلة المشاركة في الجلسة. لذلك، على سبيل المثال، يتم تسمية SrcHostname اسم مضيف الجهاز المصدر وعنوان IP و SrcIpAddr. عادة ما تستخدم Target مخططات ASIM الأخرى بدلا من Dst.

بالنسبة للأحداث التي تم الإبلاغ عنها بواسطة نقطة نهاية والتي يكون نوع الحدث لها EndpointNetworkSession، تقوم الواصفات Local بالإشارة Remote إلى نقطة النهاية نفسها والجهاز في الطرف الآخر من جلسة عمل الشبكة على التوالي.

يتم استخدام الواصف Dvc لجهاز إعداد التقارير، وهو النظام المحلي للجلسات التي تم الإبلاغ عنها بواسطة نقطة نهاية، والجهاز الوسيط أو لمس الشبكة لأحداث جلسة الشبكة الأخرى.

تفاصيل المخطط

حقول ASIM الشائعة

هام

يتم وصف الحقول الشائعة لكافة المخططات بالتفصيل في مقالة الحقول الشائعة ASIM .

الحقول المشتركة مع إرشادات محددة

تشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث جلسة الشبكة:

الميدان فئه النوع الوصف
عدد الأحداث الزاميه صحيح تدعم مصادر Netflow التجميع، ويجب تعيين حقل EventCount إلى قيمة حقل Netflow FLOWS . بالنسبة للمصادر الأخرى، يتم تعيين القيمة عادة إلى 1.
نوع الحدث الزاميه تعداد يصف السيناريو الذي أبلغ عنه السجل.

بالنسبة لسجلات جلسة عمل الشبكة، القيم المسموح بها هي:
- EndpointNetworkSession
- NetworkSession
- L2NetworkSession
- IDS
- Flow

لمزيد من المعلومات حول أنواع الأحداث، راجع نظرة عامة على المخطط
EventSubType اختياري تعداد وصف إضافي لنوع الحدث، إن أمكن.
بالنسبة لسجلات جلسة الشبكة، تتضمن القيم المدعومة ما يلي:
- Start
- End

هذا الحقل غير ذي صلة بالأحداث Flow .
EventResult الزاميه تعداد إذا لم يوفر الجهاز المصدر نتيجة حدث، يجب أن يستند EventResult إلى قيمة DvcAction. إذا كان DvcAction هو Denyأو Dropأو ResetDrop ICMPأو Reset Sourceأو أوReset Destination
، يجب أن يكون FailureEventResult . وإلا، يجب أن يكون SuccessEventResult .
EventResultDetails اوصت تعداد سبب أو تفاصيل النتيجة المبلغ عنها في حقل EventResult . القيم المدعومة هي:
-تجاوز الفشل
- TCP غير صالح
- نفق غير صالح
- الحد الأقصى لإعادة المحاولة
-اعاده تعيين
- مشكلة التوجيه
-محاكاه
-انهاء
-مهله
- خطأ عابر
-غير معروف
-Na.

يتم تخزين القيمة الأصلية الخاصة بالمصدر في الحقل EventOriginalResultDetails .
EventSchema الزاميه تعداد اسم المخطط الموثق هنا هو NetworkSession.
EventSchemaVersion الزاميه SchemaVersion (سلسلة) إصدار المخطط. إصدار المخطط الموثق هنا هو 0.2.7.
DvcAction اوصت تعداد الإجراء الذي تم اتخاذه في جلسة عمل الشبكة. القيم المدعومة هي:
- Allow
- Deny
- Drop
- Drop ICMP
- Reset
- Reset Source
- Reset Destination
- Encrypt
- Decrypt
- VPNroute

ملاحظة: قد يتم توفير القيمة في السجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها لهذه القيم. يجب تخزين القيمة الأصلية في حقل DvcOriginalAction .

على سبيل المثال:drop
حدث كلي اختياري تعداد إذا لم يوفر الجهاز المصدر خطورة الحدث، يجب أن يستند EventSeverity إلى قيمة DvcAction. إذا كان DvcAction هو Denyأو Dropأو ResetDrop ICMPأو Reset Sourceأو أوReset Destination
، يجب أن يكون LowEventSeverity . وإلا، يجب أن يكون InformationalEventSeverity .
DvcInterface يجب أن يكون حقل DvcInterface اسما مستعارا إما لحقول DvcInboundInterface أو حقول DvcOutboundInterface .
حقول Dvc بالنسبة لأحداث جلسة الشبكة، تشير حقول الجهاز إلى النظام الذي يبلغ عن حدث جلسة الشبكة.

كافة الحقول الشائعة

الحقول التي تظهر في الجدول أدناه شائعة لجميع مخططات ASIM. أي إرشادات محددة أعلاه تتجاوز الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريا بشكل عام، ولكنه إلزامي لمخطط معين. لمزيد من المعلومات حول كل حقل، راجع مقالة الحقول المشتركة ASIM .

فئه الحقول
الزاميه - عدد الأحداث
- EventStartTime
- EventEndTime
- نوع الحدث
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
اوصت - EventResultDetails
- حدث كلي
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- معرف Dvc
- DvcIdType
- DvcAction
اختياري - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- مالك الحدث
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- حقول إضافية
- DvcDescription
- DvcScopeId
- DvcScope

حقول جلسة عمل الشبكة

الميدان فئه النوع الوصف
NetworkApplicationProtocol اختياري سلسلة بروتوكول طبقة التطبيق المستخدم من قبل الاتصال أو جلسة العمل. يجب أن تكون القيمة بالأحرف الكبيرة.

على سبيل المثال:FTP
NetworkProtocol اختياري تعداد بروتوكول IP المستخدم من قبل الاتصال أو جلسة العمل كما هو مدرج في تعيين بروتوكول IANA، والذي عادة ما TCPيكون أو UDPأو ICMP.

على سبيل المثال:TCP
NetworkProtocolVersion اختياري تعداد إصدار NetworkProtocol. عند استخدامه للتمييز بين إصدار IP، استخدم القيم IPv4 و IPv6.
NetworkDirection اختياري تعداد اتجاه الاتصال أو جلسة العمل:

- بالنسبة إلى EventTypeNetworkSession أو FlowL2NetworkSession، يمثل NetworkDirection الاتجاه بالنسبة إلى حدود المؤسسة أو البيئة السحابية. القيم المدعومة هي Inboundأو OutboundLocal (للمؤسسة) External أو (للمؤسسة) أو NA (غير قابل للتطبيق).

- بالنسبة إلى EventTypeEndpointNetworkSession، يمثل NetworkDirection الاتجاه المتعلق بنقطة النهاية. القيم المدعومة هي Inboundأو OutboundLocal أو (إلى النظام) Listen أو NA (غير قابل للتطبيق). Listen تشير القيمة إلى أن الجهاز قد بدأ في قبول اتصالات الشبكة ولكنه ليس متصلا بالضرورة.
NetworkDuration اختياري صحيح مقدار الوقت، بالمللي ثانية، لإكمال جلسة عمل الشبكة أو الاتصال.

على سبيل المثال:1500
مده الاسم المستعار الاسم المستعار ل NetworkDuration.
NetworkIcmpType اختياري سلسلة بالنسبة لرسالة ICMP، اسم نوع ICMP المقترن بالقيمة الرقمية، كما هو موضح في RFC 2780 لاتصالات شبكة IPv4، أو في RFC 4443 لاتصالات شبكة IPv6.

مثال: Destination Unreachable ل NetworkIcmpCode 3
NetworkIcmpCode اختياري صحيح بالنسبة لرسالة ICMP، رقم التعليمات البرمجية ICMP كما هو موضح في RFC 2780 لاتصالات شبكة IPv4، أو في RFC 4443 لاتصالات شبكة IPv6.
NetworkConnectionHistory اختياري سلسلة علامات TCP ومعلومات عنوان IP المحتملة الأخرى.
وحدات DstBytes اوصت طويله عدد وحدات البايت المرسلة من الوجهة إلى المصدر للاتصال أو جلسة العمل. إذا تم تجميع الحدث، يجب أن يكون DstBytes هو المجموع عبر جميع الجلسات المجمعة.

على سبيل المثال:32455
وحدات SrcBytes اوصت طويله عدد وحدات البايت المرسلة من المصدر إلى الوجهة للاتصال أو جلسة العمل. إذا تم تجميع الحدث، يجب أن يكون SrcBytes هو المجموع عبر جميع الجلسات المجمعة.

على سبيل المثال:46536
وحدات بايت الشبكة اختياري طويله عدد وحدات البايت المرسلة في كلا الاتجاهين. إذا كان كل من BytesReceived و BytesSent موجودين، يجب أن يساوي BytesTotal مجموعهما. إذا تم تجميع الحدث، يجب أن يكون NetworkBytes هو المجموع عبر جميع جلسات العمل المجمعة.

على سبيل المثال:78991
DstPackets اختياري طويله عدد الحزم المرسلة من الوجهة إلى المصدر للاتصال أو جلسة العمل. يتم تعريف معنى الحزمة بواسطة جهاز إعداد التقارير. إذا تم تجميع الحدث، يجب أن يكون DstPackets هو المجموع عبر جميع الجلسات المجمعة.

على سبيل المثال:446
حزم Src اختياري طويله عدد الحزم المرسلة من المصدر إلى الوجهة للاتصال أو جلسة العمل. يتم تعريف معنى الحزمة بواسطة جهاز إعداد التقارير. إذا تم تجميع الحدث، يجب أن يكون SrcPackets هو المجموع عبر جميع الجلسات المجمعة.

على سبيل المثال:6478
حزم الشبكة اختياري طويله عدد الحزم المرسلة في كلا الاتجاهين. إذا كان كل من PacketsReceivedوPacketsSent موجودين ، يجب أن يساوي PacketsTotal مجموعهما. يتم تعريف معنى الحزمة بواسطة جهاز إعداد التقارير. إذا تم تجميع الحدث، يجب أن تكون NetworkPackets هي المجموع عبر جميع الجلسات المجمعة.

على سبيل المثال:6924
NetworkSessionId اختياري سلسله معرف الجلسة كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير.

على سبيل المثال:172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80
معرف الجلسة الاسم المستعار سلسلة الاسم المستعار ل NetworkSessionId.
TcpFlagsAck اختياري منطقي تم الإبلاغ عن علامة TCP ACK. يتم استخدام علامة الإقرار للإقرار باستلام حزمة البيانات بنجاح. كما نرى من الرسم التخطيطي أعلاه، يرسل المتلقي ACK وSYN في الخطوة الثانية من عملية تأكيد الاتصال ثلاثية الاتجاه لإخبار المرسل بأنه تلقى حزمته الأولية.
TcpFlagsFin اختياري منطقي تم الإبلاغ عن علامة TCP FIN. تعني العلامة النهائية عدم وجود المزيد من البيانات من المرسل. لذلك، يتم استخدامه في الحزمة الأخيرة المرسلة من المرسل.
TcpFlagsSyn اختياري منطقي تم الإبلاغ عن علامة TCP SYN. يتم استخدام علامة المزامنة كخطوة أولى في إنشاء تأكيد اتصال ثلاثي الاتجاه بين مضيفين. يجب أن تحتوي الحزمة الأولى فقط من كل من المرسل والمتلقي على مجموعة العلامة هذه.
TcpFlagsUrg اختياري منطقي تم الإبلاغ عن علامة TCP URG. يتم استخدام العلامة العاجلة لإعلام المتلقي لمعالجة الحزم العاجلة قبل معالجة جميع الحزم الأخرى. سيتم إعلام المتلقي عند تلقي جميع البيانات العاجلة المعروفة. راجع RFC 6093 لمزيد من التفاصيل.
TcpFlagsPsh اختياري منطقي تم الإبلاغ عن علامة TCP PSH. تشبه علامة الدفع علامة URG وتخبر المتلقي بمعالجة هذه الحزم عند تلقيها بدلا من تخزينها مؤقتا.
TcpFlagsRst اختياري منطقي تم الإبلاغ عن علامة TCP RST. يتم إرسال علامة إعادة الضبط من المتلقي إلى المرسل عند إرسال حزمة بيانات إلى مضيف معين لم يكن يتوقعها.
TcpFlagsEce اختياري منطقي تم الإبلاغ عن علامة TCP ECE. هذه العلامة مسؤولة عن الإشارة إلى ما إذا كان نظير TCP قادرا على ECN. راجع RFC 3168 لمزيد من التفاصيل.
TcpFlagsCwr اختياري منطقي تم الإبلاغ عن علامة TCP CWR. يتم استخدام العلامة المخفضة لنافذة الازدحام من قبل المضيف المرسل للإشارة إلى أنه تلقى حزمة مع مجموعة علامات ECE. راجع RFC 3168 لمزيد من التفاصيل.
شبكات TcpFlagsN اختياري منطقي تم الإبلاغ عن علامة TCP NS. لا تزال علامة المجموع nonce علامة تجريبية تستخدم للمساعدة في الحماية من الإخفاء الضار العرضي للحزم من المرسل. راجع RFC 3540 لمزيد من التفاصيل

حقول نظام الوجهة

الميدان فئه النوع الوصف
Dst الاسم المستعار معرف فريد للخادم الذي يتلقى طلب DNS.

قد يكون هذا الحقل اسما مستعارا لحقول DstDvcId أو DstHostname أو DstIpAddr .

على سبيل المثال:192.168.12.1
DstIpAddr اوصت عنوان IP عنوان IP للاتصال أو وجهة الجلسة. إذا كانت جلسة العمل تستخدم ترجمة عنوان الشبكة، DstIpAddr فهذا هو العنوان المرئي للجمهور، وليس العنوان الأصلي للمصدر، والذي يتم تخزينه في DstNatIpAddr

على سبيل المثال:2001:db8::ff00:42:8329

ملاحظة: هذه القيمة إلزامية إذا تم تحديد DstHostname .
DstPortNumber اختياري صحيح منفذ IP الوجهة.

على سبيل المثال:443
DstHostname اوصت اسم المضيف (سلسلة) اسم مضيف الجهاز الوجهة، باستثناء معلومات المجال. إذا لم يتوفر اسم جهاز، فخزن عنوان IP ذي الصلة في هذا الحقل.

على سبيل المثال:DESKTOP-1282V4D
DstDomain اوصت المجال (سلسلة) مجال الجهاز الوجهة.

على سبيل المثال:Contoso
DstDomainType الشرطي تعداد نوع DstDomain. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DomainType في مقالة نظرة عامة على المخطط.

مطلوب إذا تم استخدام DstDomain .
DstFQDN اختياري FQDN (سلسلة) اسم مضيف الجهاز الوجهة، بما في ذلك معلومات المجال عند توفرها.

على سبيل المثال:Contoso\DESKTOP-1282V4D

ملاحظة: يدعم هذا الحقل تنسيق FQDN التقليدي وتنسيق مجال Windows\اسم المضيف. يعكس DstDomainType التنسيق المستخدم.
DstDvcId اختياري سلسلة معرف الجهاز الوجهة. إذا كانت هناك معرفات متعددة متوفرة، فاستخدم المعرف الأكثر أهمية، وقم بتخزين المعرفين الآخرين في الحقول DstDvc<DvcIdType>.

على سبيل المثال:ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
DstDvcScopeId اختياري سلسلة معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. يتم تعيين DstDvcScopeId إلى معرف اشتراك على Azure ومعرف حساب على AWS.
DstDvcScope اختياري سلسلة نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. تعيين DstDvcScope إلى معرف اشتراك على Azure ومعرف حساب على AWS.
DstDvcIdType الشرطي تعداد نوع DstDvcId. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DvcIdType في مقالة نظرة عامة على المخطط.

مطلوب إذا تم استخدام DstDeviceId .
DstDeviceType اختياري تعداد نوع الجهاز الوجهة. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DeviceType في مقالة نظرة عامة على المخطط.
DstZone اختياري سلسلة منطقة الشبكة للوجهة، كما هو محدد بواسطة جهاز إعداد التقارير.

على سبيل المثال:Dmz
DstInterfaceName اختياري سلسلة واجهة الشبكة المستخدمة للاتصال أو جلسة العمل بواسطة الجهاز الوجهة.

على سبيل المثال:Microsoft Hyper-V Network Adapter
DstInterfaceGuid اختياري GUID (سلسلة) GUID لواجهة الشبكة المستخدمة على الجهاز الوجهة.

على سبيل المثال:
46ad544b-eaf0-47ef-
827c-266030f545a6
DstMacAddr اختياري عنوان MAC (سلسلة) عنوان MAC لواجهة الشبكة المستخدمة للاتصال أو جلسة العمل بواسطة الجهاز الوجهة.

على سبيل المثال:06:10:9f:eb:8f:14
معرف DstVlanId اختياري سلسلة معرف VLAN المتعلق بالجهاز الوجهة.

على سبيل المثال:130
OuterVlanId الاسم المستعار الاسم المستعار ل DstVlanId.

في كثير من الحالات، لا يمكن تحديد VLAN كمصدر أو وجهة ولكن يتم وصفها بأنها داخلية أو خارجية. يشير هذا الاسم المستعار إلى أنه يجب استخدام DstVlanId عندما يتم تمييز VLAN على أنه خارجي.
DstGeoCountry اختياري البلد البلد/المنطقة المقترنة بعنوان IP الوجهة. لمزيد من المعلومات، راجع الأنواع المنطقية.

على سبيل المثال:USA
DstGeoRegion اختياري المنطقه المنطقة أو الحالة المقترنة بعنوان IP الوجهة. لمزيد من المعلومات، راجع الأنواع المنطقية.

على سبيل المثال:Vermont
DstGeoCity اختياري المدينه المدينة المقترنة بعنوان IP الوجهة. لمزيد من المعلومات، راجع الأنواع المنطقية.

على سبيل المثال:Burlington
DstGeoLatitude اختياري العرض خط عرض الإحداثيات الجغرافية المقترنة بعنوان IP الوجهة. لمزيد من المعلومات، راجع الأنواع المنطقية.

على سبيل المثال:44.475833
DstGeoLongitude اختياري خط طول خط طول الإحداثيات الجغرافية المقترنة بعنوان IP الوجهة. لمزيد من المعلومات، راجع الأنواع المنطقية.

على سبيل المثال:73.211944
DstDescription اختياري سلسلة نص وصفي مقترن بالجهاز. على سبيل المثال: Primary Domain Controller.

حقول المستخدم الوجهة

الميدان فئه النوع الوصف
معرف DstUser اختياري سلسلة تمثيل فريد أبجدي رقمي قابل للقراءة آليا للمستخدم الوجهة. للحصول على التنسيق المدعوم أنواع المعرف المختلفة، راجع كيان المستخدم.

على سبيل المثال:S-1-12
DstUserScope اختياري سلسلة النطاق، مثل Microsoft Entra المستأجر، حيث يتم تعريف DstUserIdوDstUsername. أو مزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScope في مقالة نظرة عامة على المخطط.
DstUserScopeId اختياري سلسلة معرف النطاق، مثل معرف الدليل Microsoft Entra، حيث يتم تعريف DstUserIdوDstUsername. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScopeId في مقالة نظرة عامة على المخطط.
DstUserIdType الشرطي نوع المستخدم نوع المعرف المخزن في الحقل DstUserId . للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع UserIdType في مقالة نظرة عامة على المخطط.
DstUsername اختياري اسم المستخدم (سلسلة) اسم المستخدم الوجهة، بما في ذلك معلومات المجال عند توفرها. للحصول على التنسيق المدعوم أنواع المعرف المختلفة، راجع كيان المستخدم. استخدم النموذج البسيط فقط إذا لم تكن معلومات المجال متوفرة.

قم بتخزين نوع اسم المستخدم في الحقل DstUsernameType . إذا كانت تنسيقات اسم المستخدم الأخرى متوفرة، فخزنها في الحقول DstUsername<UsernameType>.

على سبيل المثال:AlbertE
المستخدم الاسم المستعار الاسم المستعار ل DstUsername.
DstUsernameType الشرطي نوع اسم المستخدم يحدد نوع اسم المستخدم المخزن في حقل DstUsername . للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع نوع اسم المستخدم في مقالة نظرة عامة على المخطط.

على سبيل المثال:Windows
DstUserType اختياري نوع المستخدم نوع المستخدم الوجهة. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع UserType في مقالة نظرة عامة على المخطط.

ملاحظة: قد يتم توفير القيمة في السجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها لهذه القيم. تخزين القيمة الأصلية في الحقل DstOriginalUserType .
DstOriginalUserType اختياري سلسلة نوع المستخدم الوجهة الأصلي، إذا تم توفيره من قبل المصدر.

حقول تطبيق الوجهة

الميدان فئه النوع الوصف
DstAppName اختياري سلسلة اسم التطبيق الوجهة.

على سبيل المثال:Facebook
DstAppId اختياري سلسلة معرف التطبيق الوجهة، كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. إذا كان DstAppType هو Process، DstProcessIdDstAppId ويجب أن يكون له نفس القيمة.

على سبيل المثال:124
DstAppType اختياري نوع التطبيق نوع التطبيق الوجهة. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع AppType في مقالة نظرة عامة على المخطط.

هذا الحقل إلزامي إذا تم استخدام DstAppName أو DstAppId .
DstProcessName اختياري سلسلة اسم ملف العملية التي أنهت جلسة عمل الشبكة. عادة ما يعتبر هذا الاسم هو اسم العملية.

على سبيل المثال:C:\Windows\explorer.exe
عمليه الاسم المستعار الاسم المستعار ل DstProcessName

على سبيل المثال:C:\Windows\System32\rundll32.exe
DstProcessId اختياري سلسلة معرف العملية (PID) للعملية التي أنهت جلسة عمل الشبكة.

على سبيل المثال:48610176

ملاحظة: يتم تعريف النوع كسلسلة لدعم الأنظمة المختلفة، ولكن على Windows Linux يجب أن تكون هذه القيمة رقمية.

إذا كنت تستخدم جهاز Windows أو Linux وتستخدم نوعا مختلفا، فتأكد من تحويل القيم. على سبيل المثال، إذا استخدمت قيمة سداسية عشرية، فقم بتحويلها إلى قيمة عشرية.
DstProcessGuid اختياري سلسلة معرف فريد تم إنشاؤه (GUID) للعملية التي أنهت جلسة عمل الشبكة.

على سبيل المثال:EF3BD0BD-2B74-60C5-AF5C-010000001E00

حقول النظام المصدر

الميدان فئه النوع الوصف
Src الاسم المستعار معرف فريد للجهاز المصدر.

قد يكون هذا الحقل اسما مستعارا لحقول SrcDvcId أو SrcHostname أو SrcIpAddr .

على سبيل المثال:192.168.12.1
SrcIpAddr اوصت عنوان IP عنوان IP الذي نشأ منه الاتصال أو الجلسة. هذه القيمة إلزامية إذا تم تحديد SrcHostname . إذا كانت جلسة العمل تستخدم ترجمة عنوان الشبكة، SrcIpAddr فهو العنوان المرئي للجمهور، وليس العنوان الأصلي للمصدر، المخزن في SrcNatIpAddr

على سبيل المثال:77.138.103.108
رقم SrcPortNumber اختياري صحيح منفذ IP الذي نشأ منه الاتصال. قد لا تكون ذات صلة بجلسة تتضمن اتصالات متعددة.

على سبيل المثال:2335
اسم SrcHostname اوصت اسم المضيف (سلسلة) اسم مضيف الجهاز المصدر، باستثناء معلومات المجال. إذا لم يتوفر اسم جهاز، فخزن عنوان IP ذي الصلة في هذا الحقل.

على سبيل المثال:DESKTOP-1282V4D
SrcDomain اوصت المجال (سلسلة) مجال الجهاز المصدر.

على سبيل المثال:Contoso
SrcDomainType الشرطي نوع المجال نوع SrcDomain. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DomainType في مقالة نظرة عامة على المخطط.

مطلوب إذا تم استخدام SrcDomain .
SrcFQDN اختياري FQDN (سلسلة) اسم مضيف الجهاز المصدر، بما في ذلك معلومات المجال عند توفرها.

ملاحظة: يدعم هذا الحقل تنسيق FQDN التقليدي وتنسيق مجال Windows\اسم المضيف. يعكس حقل SrcDomainType التنسيق المستخدم.

على سبيل المثال:Contoso\DESKTOP-1282V4D
SrcDvcId اختياري سلسلة معرف الجهاز المصدر. إذا كانت هناك معرفات متعددة متوفرة، فاستخدم المعرف الأكثر أهمية، وقم بتخزين المعرفين الآخرين في الحقول SrcDvc<DvcIdType>.

على سبيل المثال:ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId اختياري سلسلة معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. يتم تعيين SrcDvcScopeId إلى معرف اشتراك على Azure ومعرف حساب على AWS.
SrcDvcScope اختياري سلسلة نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. يتم تعيين SrcDvcScope إلى معرف اشتراك على Azure ومعرف حساب على AWS.
SrcDvcIdType الشرطي DvcIdType نوع SrcDvcId. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DvcIdType في مقالة نظرة عامة على المخطط.

ملاحظة: هذا الحقل مطلوب إذا تم استخدام SrcDvcId .
SrcDeviceType اختياري نوع الجهاز نوع الجهاز المصدر. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DeviceType في مقالة نظرة عامة على المخطط.
SrcZone اختياري سلسلة منطقة شبكة المصدر، كما هو محدد بواسطة جهاز إعداد التقارير.

على سبيل المثال:Internet
SrcInterfaceName اختياري سلسلة واجهة الشبكة المستخدمة للاتصال أو جلسة العمل بواسطة الجهاز المصدر.

على سبيل المثال:eth01
SrcInterfaceGuid اختياري GUID (سلسلة) GUID لواجهة الشبكة المستخدمة على الجهاز المصدر.

على سبيل المثال:
46ad544b-eaf0-47ef-
827c-266030f545a6
SrcMacAddr اختياري عنوان MAC (سلسلة) عنوان MAC لواجهة الشبكة التي نشأ منها الاتصال أو جلسة العمل.

على سبيل المثال:06:10:9f:eb:8f:14
معرف SrcVlanId اختياري سلسلة معرف VLAN المتعلق بالجهاز المصدر.

على سبيل المثال:130
InnerVlanId الاسم المستعار الاسم المستعار ل SrcVlanId.

في كثير من الحالات، لا يمكن تحديد VLAN كمصدر أو وجهة ولكن يتم وصفها بأنها داخلية أو خارجية. يشير هذا الاسم المستعار إلى أنه يجب استخدام SrcVlanId عندما يتم وصف VLAN بأنه داخلي.
SrcGeoCountry اختياري البلد البلد/المنطقة المقترنة بعنوان IP المصدر.

على سبيل المثال:USA
SrcGeoRegion اختياري المنطقه المنطقة المقترنة بعنوان IP المصدر.

على سبيل المثال:Vermont
SrcGeoCity اختياري المدينه المدينة المقترنة بعنوان IP المصدر.

على سبيل المثال:Burlington
SrcGeoLatitude اختياري العرض خط عرض الإحداثيات الجغرافية المقترنة بعنوان IP المصدر.

على سبيل المثال:44.475833
SrcGeoLongitude اختياري خط طول خط طول الإحداثيات الجغرافية المرتبطة بعنوان IP المصدر.

على سبيل المثال:73.211944
SrcDescription اختياري سلسلة نص وصفي مقترن بالجهاز. على سبيل المثال: Primary Domain Controller.

حقول المستخدم المصدر

الميدان فئه النوع الوصف
معرف SrcUserId اختياري سلسلة تمثيل فريد أبجدي رقمي قابل للقراءة آليا للمستخدم المصدر. للحصول على التنسيق المدعوم أنواع المعرف المختلفة، راجع كيان المستخدم.

على سبيل المثال:S-1-12
SrcUserScope اختياري سلسلة النطاق، مثل Microsoft Entra المستأجر، حيث يتم تعريف SrcUserIdوSrcUsername. أو مزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScope في مقالة نظرة عامة على المخطط.
SrcUserScopeId اختياري سلسلة معرف النطاق، مثل معرف الدليل Microsoft Entra، حيث يتم تعريف SrcUserIdوSrcUsername. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScopeId في مقالة نظرة عامة على المخطط.
SrcUserIdType الشرطي نوع المستخدم نوع المعرف المخزن في حقل SrcUserId . للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع UserIdType في مقالة نظرة عامة على المخطط.
SrcUsername اختياري اسم المستخدم (سلسلة) اسم المستخدم المصدر، بما في ذلك معلومات المجال عند توفرها. للحصول على التنسيق المدعوم أنواع المعرف المختلفة، راجع كيان المستخدم. استخدم النموذج البسيط فقط إذا لم تكن معلومات المجال متوفرة.

قم بتخزين نوع اسم المستخدم في حقل SrcUsernameType . إذا كانت تنسيقات اسم المستخدم الأخرى متوفرة، فخزنها في الحقول SrcUsername<UsernameType>.

على سبيل المثال:AlbertE
SrcUsernameType الشرطي نوع اسم المستخدم يحدد نوع اسم المستخدم المخزن في حقل SrcUsername . للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع نوع اسم المستخدم في مقالة نظرة عامة على المخطط.

على سبيل المثال:Windows
SrcUserType اختياري نوع المستخدم نوع المستخدم المصدر. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع UserType في مقالة نظرة عامة على المخطط.

ملاحظة: قد يتم توفير القيمة في السجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها لهذه القيم. تخزين القيمة الأصلية في حقل SrcOriginalUserType .
SrcOriginalUserType اختياري سلسلة نوع المستخدم الوجهة الأصلي، إذا تم توفيره من قبل جهاز إعداد التقارير.

حقول التطبيق المصدر

الميدان فئه النوع الوصف
SrcAppName اختياري سلسلة اسم التطبيق المصدر.

على سبيل المثال:filezilla.exe
SrcAppId اختياري سلسلة معرف التطبيق المصدر، كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. إذا كان SrcAppType هو Process، SrcProcessIdSrcAppId ويجب أن يكون له نفس القيمة.

على سبيل المثال:124
SrcAppType اختياري نوع التطبيق نوع التطبيق المصدر. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع AppType في مقالة نظرة عامة على المخطط.

هذا الحقل إلزامي إذا تم استخدام SrcAppName أو SrcAppId .
SrcProcessName اختياري سلسلة اسم ملف العملية التي بدأت جلسة عمل الشبكة. عادة ما يعتبر هذا الاسم هو اسم العملية.

على سبيل المثال:C:\Windows\explorer.exe
SrcProcessId اختياري سلسلة معرف العملية (PID) للعملية التي بدأت جلسة عمل الشبكة.

على سبيل المثال:48610176

ملاحظة: يتم تعريف النوع كسلسلة لدعم الأنظمة المختلفة، ولكن على Windows Linux يجب أن تكون هذه القيمة رقمية.

إذا كنت تستخدم جهاز Windows أو Linux وتستخدم نوعا مختلفا، فتأكد من تحويل القيم. على سبيل المثال، إذا استخدمت قيمة سداسية عشرية، فقم بتحويلها إلى قيمة عشرية.
SrcProcessGuid اختياري سلسلة معرف فريد تم إنشاؤه (GUID) للعملية التي بدأت جلسة عمل الشبكة.

على سبيل المثال:EF3BD0BD-2B74-60C5-AF5C-010000001E00

الأسماء المستعارة المحلية والنائية

يمكن اختياريا تسمية جميع حقول المصدر والوجهة المذكورة أعلاه بالاسم المستعار بواسطة الحقول التي تحمل نفس الاسم والواصفات Local و Remote. هذا مفيد عادة للأحداث التي تم الإبلاغ عنها بواسطة نقطة نهاية والتي يكون نوع الحدث لها EndpointNetworkSession.

لمثل هذه الأحداث، تقوم الواصفات Local بالإشارة Remote إلى نقطة النهاية نفسها والجهاز في الطرف الآخر من جلسة عمل الشبكة على التوالي. بالنسبة للاتصالات الواردة، يكون النظام المحلي هو الوجهة، Local والحقول هي أسماء مستعارة للحاول Dst ، والحقول "البعيدة" هي أسماء مستعارة للحاول Src . وعلى العكس من ذلك، بالنسبة للاتصالات الصادرة، يكون النظام المحلي هو المصدر، Local والحقول هي أسماء مستعارة للحاول Src ، والحقول Remote هي أسماء مستعارة للحاول Dst .

على سبيل المثال، بالنسبة لحدث وارد، يكون الحقل LocalIpAddr اسما مستعارا للحقل DstIpAddrRemoteIpAddr وهو اسم مستعار ل SrcIpAddr.

اسم المضيف والأسماء المستعارة لعنوان IP

الميدان فئه النوع الوصف
المضيف الاسم المستعار - إذا كان نوع الحدث هو NetworkSession، Flow أو L2NetworkSession، اسم المضيف هو اسم مستعار ل DstHostname.
- إذا كان نوع الحدث هو EndpointNetworkSession، فإن اسم المضيف هو اسم مستعار ل RemoteHostname، والذي يمكن أن يكون اسما مستعارا إما DstHostname أو SrcHostName، اعتمادا على NetworkDirection
IpAddr الاسم المستعار - إذا كان نوع الحدث هو NetworkSession، Flow أو L2NetworkSession، فإن IpAddr هو اسم مستعار ل SrcIpAddr.
- إذا كان نوع الحدث هو EndpointNetworkSession، فإن IpAddr هو اسم مستعار ل LocalIpAddr، والذي يمكن أن يكون اسما مستعارا إما SrcIpAddr أو DstIpAddr، اعتمادا على NetworkDirection.

حقلا الجهاز الوسيط وترجمة عناوين الشبكة (NAT)

تكون الحقول التالية مفيدة إذا كان السجل يتضمن معلومات حول جهاز وسيط، مثل جدار حماية أو وكيل، والذي ينقل جلسة عمل الشبكة.

غالبا ما تستخدم الأنظمة الوسيطة ترجمة العنوان، وبالتالي فإن العنوان الأصلي والعنوان الذي تمت ملاحظته خارجيا ليسا متماثلين. في مثل هذه الحالات، تمثل حقول العنوان الأساسية مثل SrcIPAddrوDstIpAddr العناوين التي تمت ملاحظتها خارجيا، بينما تمثل حقول عنوان NAT وSrcNatIpAddrوDstNatIpAddr العنوان الداخلي للجهاز الأصلي قبل الترجمة.

الميدان فئه النوع الوصف
DstNatIpAddr اختياري عنوان IP يمثل DstNatIpAddr أيا من:
- العنوان الأصلي للجهاز الوجهة إذا تم استخدام ترجمة عنوان الشبكة.
- عنوان IP المستخدم من قبل الجهاز الوسيط للاتصال بالمصدر.

على سبيل المثال:2::1
DstNatPortNumber اختياري صحيح إذا تم الإبلاغ عنه بواسطة جهاز NAT وسيط، فإن المنفذ المستخدم من قبل جهاز NAT للاتصال بالمصدر.

على سبيل المثال:443
SrcNatIpAddr اختياري عنوان IP يمثل SrcNatIpAddr أيا من:
- العنوان الأصلي للجهاز المصدر إذا تم استخدام ترجمة عنوان الشبكة.
- عنوان IP المستخدم من قبل الجهاز الوسيط للاتصال بالوجهة.

على سبيل المثال:4.3.2.1
رقم SrcNatPortNumber اختياري صحيح إذا تم الإبلاغ عنه بواسطة جهاز NAT وسيط، فإن المنفذ المستخدم من قبل جهاز NAT للاتصال بالوجهة.

على سبيل المثال:345
DvcInboundInterface اختياري سلسلة إذا تم الإبلاغ عنها بواسطة جهاز وسيط، فإن واجهة الشبكة المستخدمة من قبل جهاز NAT للاتصال بالجهاز المصدر.

على سبيل المثال:eth0
DvcOutboundInterface اختياري سلسلة إذا تم الإبلاغ عنها بواسطة جهاز وسيط، فإن واجهة الشبكة المستخدمة من قبل جهاز NAT للاتصال بالجهاز الوجهة.

على سبيل المثال:Ethernet adapter Ethernet 4e

حقول الفحص

يتم استخدام الحقول التالية لتمثيل هذا الفحص الذي قام به جهاز أمان مثل جدار حماية أو IPS أو بوابة أمان ويب:

الميدان فئه النوع الوصف
NetworkRuleName اختياري سلسلة اسم أو معرف القاعدة التي تم اتخاذ قرار بشأنها DvcAction .

على سبيل المثال:AnyAnyDrop
NetworkRuleNumber اختياري صحيح عدد القاعدة التي تم اتخاذ قرار بشأنها DvcAction .

على سبيل المثال:23
القاعده الاسم المستعار سلسلة إما قيمة NetworkRuleName أو قيمة NetworkRuleNumber. إذا تم استخدام قيمة NetworkRuleNumber ، يجب تحويل النوع إلى سلسلة.
معرف التهديد اختياري سلسلة معرف التهديد أو البرامج الضارة المحددة في جلسة عمل الشبكة.

على سبيل المثال:Tr.124
اسم التهديد اختياري سلسلة اسم التهديد أو البرامج الضارة المحددة في جلسة عمل الشبكة.

على سبيل المثال:EICAR Test File
فئة التهديد اختياري سلسلة فئة التهديد أو البرامج الضارة المحددة في جلسة عمل الشبكة.

على سبيل المثال:Trojan
ThreatRiskLevel اختياري RiskLevel (عدد صحيح) مستوى المخاطر المرتبط بالجلسة. يجب أن يكون المستوى رقما بين 0و100.

ملاحظة: قد يتم توفير القيمة في السجل المصدر باستخدام مقياس مختلف، والذي يجب تسويته إلى هذا المقياس. يجب تخزين القيمة الأصلية في ThreatRiskLevelOriginal.
ThreatOriginalRiskLevel اختياري سلسلة مستوى المخاطر كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير.
ThreatIpAddr اختياري عنوان IP عنوان IP الذي تم تحديد تهديد له. يحتوي الحقل ThreatField على اسم الحقل ThreatIpAddr الذي يمثله.
ThreatField الشرطي تعداد الحقل الذي تم تحديد تهديد له. القيمة إما SrcIpAddr أو DstIpAddr.
تكوين التهديد اختياري مستوى الثقة (عدد صحيح) مستوى ثقة التهديد المحدد، الذي تمت تسويته إلى قيمة بين 0 و100.
تكوين التهديدات اختياري سلسلة مستوى الثقة الأصلي للتهديد المحدد، كما تم الإبلاغ عنه بواسطة جهاز الإبلاغ.
ThreatIsActive اختياري منطقي صحيح إذا كان التهديد المحدد يعتبر تهديدا نشطا.
ThreatFirstReportedTime اختياري Datetime في المرة الأولى التي تم فيها تحديد عنوان IP أو المجال كتهديد.
ThreatLastReportedTime اختياري Datetime في المرة الأخيرة التي تم فيها تحديد عنوان IP أو المجال على أنه تهديد.

حقول أخرى

الميدان فئه النوع الوصف
ASimMatchingIpAddr اوصت تعداد عندما يستخدم ipaddr_has_any_prefix المحلل معلمات التصفية، يتم تعيين هذا الحقل بإحدى القيم SrcIpAddrأو DstIpAddrأو Both لتعكس الحقول أو الحقول المطابقة.
ASimMatchingHostname اوصت تعداد عندما يستخدم hostname_has_any المحلل معلمات التصفية، يتم تعيين هذا الحقل بإحدى القيم SrcHostnameأو DstHostnameأو Both لتعكس الحقول أو الحقول المطابقة.

إذا تم الإبلاغ عن الحدث بواسطة إحدى نقاط نهاية جلسة عمل الشبكة، فقد يتضمن معلومات حول العملية التي بدأت الجلسة أو أنهتها. في مثل هذه الحالات، يتم استخدام مخطط حدث عملية ASIM لتطبيع هذه المعلومات.

تحديثات المخطط

فيما يلي التغييرات في الإصدار 0.2.1 من المخطط:

  • تمت إضافتها Src و Dst كتسميات مستعارة إلى معرف رائد لأنظمة المصدر والوجهة.
  • تمت إضافة الحقول NetworkConnectionHistoryو SrcVlanIdDstVlanIdوInnerVlanId.OuterVlanId

فيما يلي التغييرات في الإصدار 0.2.2 من المخطط:

  • تمت الإضافة Remote والأسماء Local المستعارة.
  • تمت إضافة نوع EndpointNetworkSessionالحدث .
  • يتم تعريف Hostname و IpAddr كتسميات مستعارة ل RemoteHostname و LocalIpAddr على التوالي عندما يكون نوع الحدث هو EndpointNetworkSession.
  • تم تعريفه DvcInterface على أنه اسم مستعار ل DvcInboundInterface أو DvcOutboundInterface.
  • تغيير نوع الحقول التالية من عدد صحيح إلى طويل: SrcBytesو DstBytesNetworkBytesو SrcPacketsDstPacketsو.NetworkPackets
  • تمت إضافة الحقل NetworkProtocolVersion.
  • مهمل DstUserDomain و SrcUserDomain.

فيما يلي التغييرات في الإصدار 0.2.3 من المخطط:

  • تمت إضافة معلمة التصفية ipaddr_has_any_prefix .
  • hostname_has_any تتطابق معلمة التصفية الآن مع أسماء مضيفي المصدر أو الوجهة.
  • تمت إضافة الحقول ASimMatchingHostname و ASimMatchingIpAddr.

فيما يلي التغييرات في الإصدار 0.2.4 من المخطط:

  • تمت إضافة TcpFlags الحقول.
  • تم التحديث NetworkIcpmType و NetworkIcmpCode لتعكس قيمة الرقم لكليهما.
  • تمت إضافة حقول فحص إضافية.
  • تمت إعادة تسمية الحقل 'ThreatRiskLevelOriginal' للتوافق ThreatOriginalRiskLevel مع اصطلاحات ASIM. سيتم الاحتفاظ ThreatRiskLevelOriginal محللات Microsoft الموجودة حتى 1 مايو 2023.
  • تم وضع علامة EventResultDetails على أنها مستحسنة، وحدد القيم المسموح بها.

فيما يلي التغييرات في الإصدار 0.2.5 من المخطط:

  • تمت إضافة الحقول DstUserScopeو SrcUserScopeSrcDvcScopeIdو SrcDvcScopeو DstDvcScopeIdوDstDvcScope.DvcScopeDvcScopeId

فيما يلي التغييرات في الإصدار 0.2.6 من المخطط:

  • المعرف المضاف كنوع حدث

فيما يلي التغييرات في الإصدار 0.2.7 من المخطط:

  • تمت إضافة الحقول DstDescription و SrcDescription

الخطوات التالية

لمزيد من المعلومات، اطلع على:

  • Last updated on