הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
סכימת Microsoft Sentinel של הפעלת רשת מייצגת פעילות ברשת IP, כגון חיבורי רשת והפעלות רשת. אירועים אלה מדווחים, לדוגמה, על-ידי מערכות הפעלה, נתבים, חומות אש ומערכות למניעת חדירות.
סכימת נרמול הרשת יכולה לייצג כל סוג של הפעלת רשת IP, אך נועדה לספק תמיכה בסוגי מקור נפוצים, כגון Netflow, חומות אש ומערכות למניעת הפרעה.
לקבלת מידע נוסף אודות נרמול ב- Microsoft Sentinel, ראה נרמול ומודל מידע אבטחה מתקדם (ASIM).
מנתחי מבנה טקסט
לקבלת מידע נוסף אודות מנתחי ASIM, עיין במבט כולל על מנתחי ASIM.
אחד מנתחים
כדי להשתמש במנתחים שמקשרים את כל מנתחי ה- ASIM הזמינים לשימוש, ומבטיחים שהניתוח שלך יתבצע בכל המקורות שתצורתם נקבעה, _Im_NetworkSession השתמש במנתח.
מנתחים מוגנים, ספציפיים למקור
לקבלת הרשימה של מנתחי הפעלת Microsoft Sentinel מספקת את רשימת מנתחי ASIM מחוץ לתיבה
הוספת מנתחים מנומולים משלך
בעת פיתוח מנתחים מותאמים אישית עבור מודל המידע של הפעלת הרשת, תן שם לפונקציות KQL באמצעות התחביר הבא:
-
vimNetworkSession<vendor><Product>עבור מנתחים מנוטעים -
ASimNetworkSession<vendor><Product>עבור מנתחים רגילים
עיין במאמר ניהול מנתחי ASIM כדי ללמוד כיצד להוסיף את המנתחים המותאמים אישית שלך להפעלת הרשת ולקשר מנתחים.
סינון פרמטרים של מנתח
מנתחי הפעלת הרשת תומכים בפרמטרים של סינון. בעוד שפרמטרים אלה הם אופציונליים, הם יכולים לשפר את ביצועי השאילתה שלך.
הפרמטרים הבאים לסינון זמינים:
| Name | סוג | תיאור |
|---|---|---|
| זמן התחלה | Datetime | סנן רק הפעלות רשת שהופעלו בשעה זו או לאחר מכן. פרמטר TimeGenerated זה מסנן בשדה, שהוא המציין הסטנדרטי עבור מועד האירוע, ללא קשר למיפוי הספציפי למנתח של השדות EventStartTime ו- EventEndTime. |
| שעת סיום | Datetime | סנן רק הפעלות רשת שהתחלת לפעול בשעה זו או לפניה. פרמטר TimeGenerated זה מסנן בשדה, שהוא המציין הסטנדרטי עבור מועד האירוע, ללא קשר למיפוי הספציפי למנתח של השדות EventStartTime ו- EventEndTime. |
| srcipaddr_has_any_prefix | דינמי | סנן רק הפעלות רשת שעבורן קידומת שדה כתובת ה- IP המהווה מקור נמצאת באחד מהערכים המפורטים. קידומות צריכות להסתיים ב- ., לדוגמה: 10.0.. אורך הרשימה מוגבל ל- 10,000 פריטים. |
| dstipaddr_has_any_prefix | דינמי | סנן רק הפעלות רשת שעבורן קידומת שדה כתובת ה- IP המהווה יעד נמצאת באחד מהערכים המפורטים. קידומות צריכות להסתיים ב- ., לדוגמה: 10.0.. אורך הרשימה מוגבל ל- 10,000 פריטים. |
| ipaddr_has_any_prefix | דינמי | סנן רק הפעלות רשת שעבורן שדה כתובת ה- IP המהווה יעד או קידומת שדה של כתובת IP המשמשת כמקור מופיעים באחד מהערכים המפורטים. קידומות צריכות להסתיים ב- ., לדוגמה: 10.0.. אורך הרשימה מוגבל ל- 10,000 פריטים.השדה ASimMatchingIpAddr SrcIpAddrמוגדר עם אחד הערכים , או DstIpAddrBoth כדי לשקף את השדות או השדות התואמים. |
| מספר dstport | Int | סנן רק הפעלות רשת עם מספר יציאת היעד שצוין. |
| hostname_has_any | דינאמי/מחרוזת | סנן רק הפעלות רשת שעבורן השדה hostname המהווה יעד כולל את הערכים המפורטים. אורך הרשימה מוגבל ל- 10,000 פריטים. השדה ASimMatchingHostname SrcHostnameמוגדר עם אחד הערכים , או DstHostnameBoth כדי לשקף את השדות או השדות התואמים. |
| דיסק dvcaction | דינאמי/מחרוזת | סנן רק הפעלות רשת שעבורן השדה פעולת התקן הוא כל אחד מהערכים המפורטים. |
| eventresult | מחרוזת | סנן רק הפעלות רשת עם ערך EventResult ספציפי . |
פרמטר מסוים יכול לקבל הן את רשימת הערכים מסוג והן dynamic ערך מחרוזת בודד. כדי להעביר רשימה מילולית לפרמטרים המצפים לערך דינאמי, השתמש באופן מפורש בליטרלי דינאמי. לדוגמה: dynamic(['192.168.','10.'])
לדוגמה, כדי לסנן הפעלות רשת בלבד עבור רשימה שצוינה של שמות תחומים, השתמש ב:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_NetworkSession (hostname_has_any = torProxies)
עצה
כדי להעביר רשימה מילולית לפרמטרים המצפים לערך דינאמי, השתמש באופן מפורש בליטרלי דינאמי. לדוגמה: dynamic(['192.168.','10.']).
תוכן מנורמה
לקבלת רשימה מלאה של כללי ניתוח המשתמשים באירועי DNS נורמלים, ראה תוכן אבטחה של הפעלת רשת.
מבט כולל על סכימה
מודל המידע של הפעלת הרשת מיושר עם סכימת הישות של רשת OSSEM.
סכימת הפעלת הרשת משרתת מספר סוגים של תרחישים דומים אך נפרדים, אשר משתפים את אותם שדות. תרחישים אלה מזוהים על-ידי השדה EventType:
-
NetworkSession- הפעלת רשת שדווחה על-ידי התקן ביניים המנטר את הרשת, כגון חומת אש, נתב או הקשה על רשת. -
L2NetworkSession- הפעלת רשת שעבורה זמין רק מידע בשכבה 2. אירועים אלה יכללו כתובות MAC, אך לא כתובות IP. -
Flow- אירוע מצטבר המדוחות הפעלות רשת דומות מרובות, בדרך כלל לאורך פרק זמן מוגדר מראש, כגון אירועי Netflow . -
EndpointNetworkSession- הפעלת רשת שדווחה על-ידי אחת מנקודות הקצה של ההפעלה, כולל לקוחות ושרתים. עבור אירועים כאלה, הסכימה תומכת בשדותremoteושדותlocalהכינויים. -
IDS- הפעלת רשת שדווחה כחשודה. אירוע כזה ימלא חלק משדות הבדיקה, וייתכן שיאוכלס רק שדה כתובת IP אחד, המקור או היעד.
בדרך כלל, שאילתה צריכה לבחור קבוצת משנה של סוגי אירועים אלה בלבד, וייתכן שתצטרך לטפל בהיבטים ייחודיים בנפרד של מקרי השימוש. לדוגמה, אירועי IDS אינם משקפים את אמצעי האחסון המלא של הרשת, ולא צריך לקחת בחשבון ניתוח מבוסס עמודות.
אירועי הפעלת רשת משתמשים במתפקידים Src וב Dst כדי לציין את תפקידי המכשירים והיישומים הקשורים המעורבים בהפעלה. לכן, לדוגמה, שם המחשב המארח וכתובת ה- IP של מכשיר המקור נקראים SrcHostname ו- SrcIpAddr. סכימות ASIM אחרות משתמשות בדרך Target כלל במקום ב- Dst.
עבור אירועים שדווחו EndpointNetworkSessionעל-ידי נקודת קצה, שעבורם סוג האירוע הוא , LocalRemote המתארים ומציין את נקודת הקצה עצמה ואת ההתקן בקצה השני של הפעלת הרשת בהתאמה.
המתאר משמש עבור Dvc התקן הדיווח, שהוא המערכת המקומית עבור הפעלות שדווחו על-ידי נקודת קצה, והקשה על התקן או רשת מתווך עבור אירועי הפעלת רשת אחרים.
פרטי סכימה
שדות ASIM נפוצים
חשוב
שדות המשותפים לכל הסכימות מתוארים בפירוט במאמר שדות משותפים של ASIM .
שדות משותפים עם קווים מנחים ספציפיים
הרשימה הבאה מציינת שדות הכוללים קווים מנחים ספציפיים עבור אירועי הפעלת רשת:
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| מספר אירועים | חובה | מספר שלם | מקורות Netflow תומכים בצובר, ושדה EventCount צריך להיות מוגדר לערך של השדה Netflow FLOWS . עבור מקורות אחרים, הערך מוגדר בדרך כלל כ- 1. |
| סוג אירוע | חובה | ספירה | מתאר את התרחיש שדווח על-ידי הרשומה. עבור רשומות הפעלת רשת, הערכים המותרים הם: - EndpointNetworkSession- NetworkSession - L2NetworkSession- IDS - Flowלקבלת מידע נוסף אודות סוגי אירועים, עיין בסקירה הכוללת של הסכימה |
| סוג אירוע | אופציונלי | ספירה | תיאור נוסף של סוג האירוע, אם ישים. עבור רשומות הפעלת רשת, הערכים הנתמכים כוללים: - Start- Endשדה זה אינו רלוונטי לאירועים Flow . |
| EventResult | חובה | ספירה | אם התקן המקור אינו מספק תוצאת אירוע, EventResult צריך להיות מבוסס על הערך של DvcAction. אם DvcAction הוא Deny, Drop, Drop ICMP, Reset, Reset Sourceאו Reset Destination, EventResult צריך להיות Failure. אחרת, EventResult צריך להיות Success. |
| EventResultDetails | מומלץ | ספירה | סיבה או פרטים עבור התוצאה שדווחה בשדה EventResult . הערכים הנתמכים הם: - מעבר לגיבוי בעת כשל - TCP לא חוקי - מנהרה לא חוקית - מספר מרבי של נסיונות חוזרים -איפוס - בעיית ניתוב -סימולציה -הסתיים -פסק זמן - שגיאה ארעית -ידוע -נה. הערך המקורי, הספציפי למקור, מאוחסן בשדה EventOriginalResultDetails . |
| מסת אירוע | חובה | ספירה | שם הסכימה התהמסמכים כאן הוא NetworkSession. |
| לוח אירועים | חובה | SchemaVersion (מחרוזת) | גירסת הסכימה. גירסת הסכימה התהמסמכים כאן היא 0.2.7. |
| DvcAction | מומלץ | ספירה | הפעולה שבוצעה בהפעלת הרשת. הערכים הנתמכים הם: - Allow- Deny- Drop- Drop ICMP- Reset- Reset Source- Reset Destination- Encrypt- Decrypt- VPNrouteהערה: ייתכן שהערך יצוין ברשומת המקור באמצעות מונחים שונים, שיש לנוירמול לערכים אלה. יש לאחסן את הערך המקורי בשדה DvcOriginalAction . דוגמה drop |
| תם האירוע | אופציונלי | ספירה | אם התקן המקור אינו מספק חומרת אירוע, EventSeverity צריך להיות מבוסס על הערך של DvcAction. אם DvcAction הוא Deny, Drop, Drop ICMP, Reset, Reset Sourceאו Reset Destination, EventSeverity צריך להיות Low. אחרת, EventSeverity צריך להיות Informational. |
| DvcInterface | השדה DvcInterface אמור להיות כינוי השדות DvcInboundInterface או DvcOutboundInterface . | ||
| שדות Dvc | עבור אירועי הפעלת רשת, שדות מכשירים מתייחסים למערכת המדווחת על האירוע הפעלת רשת. |
כל השדות המשותפים
שדות המופיעים בטבלה שלהלן משותפים לכל סכימות ה- ASIM. כל קו מנחה שצוין לעיל עוקף את הקווים המנחים הכלליים עבור השדה. לדוגמה, שדה עשוי להיות אופציונלי באופן כללי, אך הכרחי עבור סכימה ספציפית. לקבלת מידע נוסף על כל שדה, עיין במאמר שדות משותפים של ASIM .
| מחלקה | שדות |
|---|---|
| חובה |
-
מספר אירועים - EventStartTime - EventEndTime - סוג אירוע - EventResult - EventProduct - אירועים ודור - מסת אירוע - לוח אירועים - Dvc (Dvc) |
| מומלץ |
-
EventResultDetails - תם האירוע - EventUid - DvcIpAddr - DvcHostname - DvcDomain - סוג DvcDomain - DvcFQDN - מזהה DvcId - סוג DvcId - DvcAction |
| אופציונלי |
-
הודעת אירוע - סוג אירוע - EventOriginalUid - סוג אירועאוריגינאלי - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - לוח אירועים - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - שדות נוספים - DvcDescription - DvcScopeId - DvcScope |
שדות הפעלת רשת
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| NetworkApplicationProtocol | אופציונלי | מחרוזת | פרוטוקול שכבת היישום המשמש את החיבור או ההפעלה. הערך צריך להיות באותיות רישיות בלבד. דוגמה FTP |
| NetworkProtocol | אופציונלי | ספירה | פרוטוקול ה- IP המשמש את החיבור או ההפעלה כמפורט בהקצאת פרוטוקול IANA, שהוא בדרך כלל TCP, , UDPאו ICMP.דוגמה TCP |
| NetworkProtocolVersion | אופציונלי | ספירה | גירסת NetworkProtocol. בעת שימוש בה כדי להבחין בין גירסת IP, השתמש בערכים וב IPv4 - IPv6. |
| NetworkDirection | אופציונלי | ספירה | כיוון החיבור או ההפעלה: - עבור EventType NetworkSession, Flow או L2NetworkSession, NetworkDirection מייצג את הכיוון ביחס לגבול הארגון או הסביבה בענן. הערכים הנתמכים הם Inbound, Outbound, Local (לארגון), External (לארגון) או NA (לא ישים).- עבור EventType EndpointNetworkSession, NetworkDirection מייצג את הכיוון ביחס אל נקודת הקצה. הערכים הנתמכים הם Inbound, Outbound, Local (למערכת) או ListenNA (לא ישים). הערך Listen מציין שהתקן התחיל לקבל חיבורי רשת, אך למעשה אינו מחובר. |
| NetworkDuration | אופציונלי | מספר שלם | משך הזמן, באלפיות שניה, להשלמת ההפעלה או החיבור של הרשת. דוגמה 1500 |
| משך | כינוי | כינוי ל- NetworkDuration. | |
| סוג רשת | אופציונלי | מחרוזת | עבור הודעת ICMP, שם סוג ICMP המשויך לערך המספרי, כמתואר בחיבורי רשת מסוג RFC 2780 עבור IPv4, או ב- RFC 4443 עבור חיבורי רשת IPv6. דוגמה: Destination Unreachable עבור NetworkIcmpCode 3 |
| קוד NetworkIcmp | אופציונלי | מספר שלם | עבור הודעת ICMP, מספר קוד ה- ICMP כמתואר בחיבורי רשת RFC 2780 עבור IPv4, או ב- RFC 4443 עבור חיבורי רשת של IPv6. |
| NetworkConnectionHistory | אופציונלי | מחרוזת | דגלי TCP ופרטי כותרת IP פוטנציאליים אחרים. |
| DstBytes | מומלץ | זמן | מספר הבתים שנשלחו מהיעד למקור עבור החיבור או ההפעלה. אם האירוע נצבר, DstBytes צריך להיות הסכום בכל ההפעלות המצטברות. דוגמה 32455 |
| SrcBytes | מומלץ | זמן | מספר הבתים שנשלחו מהמקור ליעד עבור החיבור או ההפעלה. אם האירוע נצבר, SrcBytes צריך להיות הסכום בכל ההפעלות המצטברות. דוגמה 46536 |
| רשת-בתים | אופציונלי | זמן | מספר הבתים הנשלחים בשני הכיוונים. אם קיימים גם BytesReceived וגם BytesSent , BytesTotal אמור להיות שווה לסכום שלהם. אם האירוע נצבר, NetworkBytes צריך להיות הסכום בכל ההפעלות המצטברות. דוגמה 78991 |
| DstPackets | אופציונלי | זמן | מספר המנות שנשלחו מהיעד למקור עבור החיבור או ההפעלה. המשמעות של מנה מוגדרת על-ידי התקן הדיווח. אם האירוע נצבר, DstPackets צריך להיות הסכום בכל ההפעלות המצטברות. דוגמה 446 |
| ערכות SrcPackets | אופציונלי | זמן | מספר המנות שנשלחו מהמקור ליעד עבור החיבור או ההפעלה. המשמעות של מנה מוגדרת על-ידי התקן הדיווח. אם האירוע נצבר, SrcPackets צריך להיות הסכום בכל ההפעלות המצטברות. דוגמה 6478 |
| ערכות רשת | אופציונלי | זמן | מספר המנות שנשלחו בשני הכיוונים. אם הן PacketsReceived והןPacketsSent קיימים, PacketsTotal אמור להיות שווה לסכום שלהם. המשמעות של מנה מוגדרת על-ידי התקן הדיווח. אם האירוע נצבר, NetworkPackets צריך להיות הסכום בכל ההפעלות המצטברות. דוגמה 6924 |
| מזהה רשת | אופציונלי | מחרוזת | מזהה ההפעלה כפי שדווח על-ידי התקן הדיווח. דוגמה 172\_12\_53\_32\_4322\_\_123\_64\_207\_1\_80 |
| מזהה הפעלה | כינוי | מחרוזת | כינוי ל - NetworkSessionId. |
| TcpFlagsAck | אופציונלי | בוליאני | דגל TCP ACK מדווח. דגל הכרה משמש לאישור קבלה מוצלחת של מנה. כפי שניתן לראות מהדיאגרמה לעיל, המקלט שולח ACK ו- SYN בשלב השני של תהליך לחיצת היד השלושה כיוונית כדי לומר לשולח שהוא קיבל את המנה הראשונית שלו. |
| TcpFlagsFin | אופציונלי | בוליאני | דגל ה- FIN של TCP מדווח. הדגל המוגמר מציין שאין עוד נתונים מהשולח. לכן, הוא משמש במנה האחרונה שנשלחה מהשולח. |
| TcpFlagsSyn | אופציונלי | בוליאני | דגל TCP SYN מדווח. דגל הסינכרון משמש כצעד ראשון ליצירת לחיצת יד תלת-כיוונית בין שני מארחים. רק המנה הראשונה הן מהשולח והן מהשולח צריכים להגדיר דגל זה. |
| TcpFlagsUrg | אופציונלי | בוליאני | דגל TCP URG מדווח. הדגל הדחופה משמש כדי להודיע למקבל לעבד את המנות הדחופות לפני עיבוד כל המנות האחרות. הגורם המקבל יקבל הודעה כאשר מתקבלים כל הנתונים הדחופות הידועים. ראה RFC 6093 לקבלת פרטים נוספים. |
| TcpFlagsPsh | אופציונלי | בוליאני | דגל TCP PSH שדווח. דגל הנחיפה דומה דגל URG ו מורה למקלט לעבד מנות אלה כאשר הן מתקבלות במקום לאגר אותן. |
| TcpFlagsRst | אופציונלי | בוליאני | דגל TCP RST מדווח. דגל האיפוס נשלח מהשולח לשולח כאשר מנה נשלחת למארח מסוים שלא ציפה לה. |
| TcpFlagsEce | אופציונלי | בוליאני | דגל TCP ECE שדווח. דגל זה אחראי לציון אם עמית TCP הוא בעל יכולת ECN. ראה RFC 3168 לקבלת פרטים נוספים. |
| TcpFlagsCwr | אופציונלי | בוליאני | דגל TCP CWR שדווח. חלון ההפחתה של חלון ההפחתה משמש את המארח השולח כדי לציין שהוא קיבל מנה עם דגל ECE מוגדר. ראה RFC 3168 לקבלת פרטים נוספים. |
| רשתות TcpFlags | אופציונלי | בוליאני | דגל ה- TCP NS דווח. דגל הסכום של היום הוא עדיין דגל ניסויי המשמש כדי לסייע בהגנה מפני הסתרה זדונית בטעות של מנות מהשולח. לפרטים נוספים, ראה RFC 3540 |
שדות מערכת יעד
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| שעון הקיץ | כינוי | מזהה ייחודי של השרת המקבל את בקשת ה- DNS. שדה זה עשוי להוסיף כינוי לשדות DstDvcId, DstHostnameאו DstIpAddr . דוגמה 192.168.12.1 |
|
| DstIpAddr | מומלץ | כתובת IP | כתובת ה- IP של יעד החיבור או ההפעלה. אם ההפעלה משתמשת בתרגום כתובות רשת, DstIpAddr היא הכתובת הגלויה לציבור ולא בכתובת המקורית של המקור, המאוחסנת ב- DstNatIpAddrדוגמה 2001:db8::ff00:42:8329הערה: ערך זה הכרחי אם DstHostname צוין. |
| DstPortNumber | אופציונלי | מספר שלם | יציאת ה- IP המהווה יעד. דוגמה 443 |
| שם אירוח Dst | מומלץ | שם מחשב מארח (מחרוזת) | שם המחשב המארח של התקן היעד, לא כולל פרטי תחום. אם אין שם מכשיר זמין, אחסן את כתובת ה- IP הרלוונטית בשדה זה. דוגמה DESKTOP-1282V4D |
| DstDomain | מומלץ | תחום (מחרוזת) | התחום של התקן היעד. דוגמה Contoso |
| סוג DstDomain | מותנה | ספירה | סוג DstDomain. לקבלת רשימה של ערכים מותרים ומידע נוסף, עיין במאמר DomainType במאמר סקירת סכימה. נדרש אם נעשה שימוש ב- DstDomain . |
| DstFQDN | אופציונלי | FQDN (מחרוזת) | שם המחשב המארח של התקן היעד, כולל פרטי תחום כאשר הוא זמין. דוגמה Contoso\DESKTOP-1282V4D הערה: שדה זה תומך הן בתבנית FQDN מסורתית והן בתבנית Windows domain\hostname. ה - DstDomainType משקף את התבנית שבה נעשה שימוש. |
| DstDvcId | אופציונלי | מחרוזת | המזהה של התקן היעד. אם קיימים מספר זהים זמינים, השתמש במקש החשוב ביותר ולאחסן את הפריטים האחרים בשדות DstDvc<DvcIdType>. דוגמה ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| DstDvcScopeId | אופציונלי | מחרוזת | מזהה הטווח של פלטפורמת הענן שהמכשיר שייך אליו. DstDvcScopeId ממופה למזהה מנוי ב- Azure ומזהה חשבון ב- AWS. |
| DstDvcScope | אופציונלי | מחרוזת | היקף פלטפורמת הענן שהמכשיר שייך אליו. DstDvcScope ממופה למזהה מנוי ב- Azure ומזהה חשבון ב- AWS. |
| DstDvcIdType | מותנה | ספירה | סוג DstDvcId. לקבלת רשימה של ערכים מותרים ומידע נוסף, עיין במאמר DvcIdType במאמר סקירת סכימה. נדרש אם נעשה שימוש ב- DstDeviceId . |
| סוג DstDevice | אופציונלי | ספירה | סוג התקן היעד. לקבלת רשימה של ערכים מותרים ומידע נוסף, עיין במאמר DeviceType במאמר סקירת סכימה. |
| שעון הקיץ | אופציונלי | מחרוזת | אזור הרשת של היעד, כפי שהוגדר על-ידי התקן הדיווח. דוגמה Dmz |
| DstInterfaceName | אופציונלי | מחרוזת | ממשק הרשת המשמש עבור החיבור או ההפעלה של התקן היעד. דוגמה Microsoft Hyper-V Network Adapter |
| DstInterfaceGuid | אופציונלי | GUID (מחרוזת) | ה- GUID של ממשק הרשת המשמש בהתקן היעד. דוגמה: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| DstMacAddr | אופציונלי | כתובת MAC (מחרוזת) | כתובת ה- MAC של ממשק הרשת המשמשת עבור החיבור או ההפעלה של התקן היעד. דוגמה 06:10:9f:eb:8f:14 |
| DstVlanId | אופציונלי | מחרוזת | מזהה VLAN הקשור למכשיר היעד. דוגמה 130 |
| OuterVlanId | כינוי | כינוי ל - DstVlanId. במקרים רבים, לא ניתן לקבוע את ה- VLAN כמקור או כיעד, אך הוא מאופיין כמקור פנימי או חיצוני. כינוי זה מציין שיש להשתמש ב- DstVlanId כאשר ה- VLAN מאופיין כ-outer. |
|
| DstGeoCountry | אופציונלי | המדינה | המדינה/האזור המשויכים לכתובת ה- IP של היעד. לקבלת מידע נוסף, ראה סוגים לוגיים. דוגמה USA |
| DstGeoRegion | אופציונלי | אזור | האזור, או המצב, המשויך לכתובת ה- IP של היעד. לקבלת מידע נוסף, ראה סוגים לוגיים. דוגמה Vermont |
| DstGeoCity | אופציונלי | עיר | העיר המשויכת לכתובת ה- IP של היעד. לקבלת מידע נוסף, ראה סוגים לוגיים. דוגמה Burlington |
| DstGeoLatitude | אופציונלי | Latitude | קו הרוחב של הקואורדינטה הגיאוגרפית המשויכת לכתובת ה- IP של היעד. לקבלת מידע נוסף, ראה סוגים לוגיים. דוגמה 44.475833 |
| DstGeoLongitude | אופציונלי | קו אורך | קו האורך של הקואורדינטה הגיאוגרפית המשויכת לכתובת ה- IP של היעד. לקבלת מידע נוסף, ראה סוגים לוגיים. דוגמה 73.211944 |
| שעון הקיץ | אופציונלי | מחרוזת | טקסט תיאורי המשויך למכשיר. לדוגמה: Primary Domain Controller. |
שדות משתמש המשמשים כיעד
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| DstUserId | אופציונלי | מחרוזת | ייצוג אלפאנומרי, קריא למחשב, ייחודי של משתמש היעד. עבור התבנית הנתמכת עבור סוגי מזהים שונים, עיין בישות המשתמש. דוגמה S-1-12 |
| DstUserScope | אופציונלי | מחרוזת | הטווח, כגון דייר Microsoft Entra, שבו מוגדרים DstUserIdו- DstUsername. או מידע נוסף ורשימה של ערכים מותרים, ראה UserScope במאמר מבט כולל על הסכימה. |
| DstUserScopeId | אופציונלי | מחרוזת | מזהה הטווח, כגון Microsoft Entra Directory, שבו מוגדרים DstUserIdו- DstUsername. לקבלת מידע נוסף ורשימה של ערכים מותרים, ראה UserScopeId במאמר סקירת סכימה. |
| DstUserIdType | מותנה | סוג משתמש | סוג המזהה המאוחסן בשדה DstUserId . לקבלת רשימה של ערכים מותרים ומידע נוסף, עיין במאמר UserIdType במאמר סקירת סכימה. |
| DstUsername | אופציונלי | שם משתמש (מחרוזת) | שם המשתמש המהווה יעד, כולל פרטי תחום כאשר הוא זמין. עבור התבנית הנתמכת עבור סוגי מזהים שונים, עיין בישות המשתמש. השתמש בטופס הפשוט רק אם פרטי תחום אינם זמינים. אחסן את סוג שם המשתמש בשדה DstUsernameType . אם תבניות שם משתמש אחרות זמינות, אחסן אותן בשדות DstUsername<UsernameType>.דוגמה AlbertE |
| משתמש | כינוי | כינוי ל - DstUsername. | |
| סוג DstUsername | מותנה | סוג שם משתמש | מציין את סוג שם המשתמש המאוחסן בשדה DstUsername . לקבלת רשימה של ערכים מותרים ומידע נוסף, עיין במאמר UsernameType במאמר מבט כולל על סכימה. דוגמה Windows |
| סוג DstUser | אופציונלי | סוג משתמש | סוג משתמש היעד. לקבלת רשימה של ערכים מותרים ומידע נוסף, עיין במאמר UserType במאמר סקירת סכימה. הערה: ייתכן שהערך יצוין ברשומת המקור באמצעות מונחים שונים, שיש לנוירמול לערכים אלה. אחסן את הערך המקורי בשדה DstOriginalUserType . |
| DstOriginalUserType | אופציונלי | מחרוזת | סוג המשתמש המשמש כיעד המקורי, אם סופק על-ידי המקור. |
שדות יישום יעד
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| DstAppName | אופציונלי | מחרוזת | שם יישום היעד. דוגמה Facebook |
| DstAppId | אופציונלי | מחרוזת | המזהה של יישום היעד, כפי שדווח על-ידי התקן הדיווח. אם DstAppType הוא Process, DstAppId והערך DstProcessId שלו אמור להיות זהה.דוגמה 124 |
| סוג DstAppType | אופציונלי | סוג יישום | סוג יישום היעד. לקבלת רשימה של ערכים מותרים ומידע נוסף, עיין במאמר AppType במאמר סקירת סכימה. שדה זה הכרחי אם נעשה שימוש ב- DstAppNameאו ב- DstAppId . |
| DstProcessName | אופציונלי | מחרוזת | שם הקובץ של התהליך שהסתיים בהפעלת הרשת. שם זה נחשב בדרך כלל לשם התהליך. דוגמה C:\Windows\explorer.exe |
| תהליך | כינוי | כינוי ל - DstProcessName דוגמה C:\Windows\System32\rundll32.exe |
|
| DstProcessId | אופציונלי | מחרוזת | מזהה התהליך (PID) של התהליך שהסתיים הפעלת הרשת. דוגמה 48610176 הערה: הסוג מוגדר כמחרוזת לתמיכה במערכות משתנות, אך ב- Windows Linux ערך זה חייב להיות מספרי. אם אתה משתמש במחשב Windows או Linux והשתמשו בסוג אחר, הקפד להמיר את הערכים. לדוגמה, אם השתמשת בערך הקסדצימאלי, המר אותו לערך עשרוני. |
| DstProcessGuid | אופציונלי | מחרוזת | מזהה ייחודי (GUID) שנוצר של התהליך שהפסק את הפעלת הרשת. דוגמה EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
שדות מערכת מקור
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| Src | כינוי | מזהה ייחודי של התקן המקור. שדה זה עשוי להשתמש בכינוי השדות SrcDvcId, SrcHostname או SrcIpAddr . דוגמה 192.168.12.1 |
|
| SrcIpAddr | מומלץ | כתובת IP | כתובת ה- IP שממנה נוצר החיבור או ההפעלה. ערך זה הכרחי אם צוין SrcHostname . אם ההפעלה משתמשת בתרגום כתובות רשת, SrcIpAddr היא הכתובת הגלויה לציבור ולא בכתובת המקורית של המקור, המאוחסנת ב - SrcNatIpAddrדוגמה 77.138.103.108 |
| SrcPortNumber | אופציונלי | מספר שלם | יציאת ה- IP שממנה נוצר החיבור. ייתכן שלא תהיה רלוונטית להפעלה הכוללת חיבורים מרובים. דוגמה 2335 |
| שם SrcHost | מומלץ | שם מחשב מארח (מחרוזת) | שם המחשב המארח של התקן המקור, לא כולל פרטי תחום. אם אין שם מכשיר זמין, אחסן את כתובת ה- IP הרלוונטית בשדה זה. דוגמה DESKTOP-1282V4D |
| SrcDomain | מומלץ | תחום (מחרוזת) | התחום של התקן המקור. דוגמה Contoso |
| SrcDomainType | מותנה | סוג תחום | סוג SrcDomain. לקבלת רשימה של ערכים מותרים ומידע נוסף, עיין במאמר DomainType במאמר סקירת סכימה. נדרש אם SrcDomain נמצא בשימוש. |
| SrcFQDN | אופציונלי | FQDN (מחרוזת) | שם המחשב המארח של התקן המקור, כולל פרטי תחום כאשר הוא זמין. הערה: שדה זה תומך הן בתבנית FQDN מסורתית והן בתבנית Windows domain\hostname. השדה SrcDomainType משקף את התבנית שבה נעשה שימוש. דוגמה Contoso\DESKTOP-1282V4D |
| SrcDvcId | אופציונלי | מחרוזת | המזהה של התקן המקור. אם קיימים מספר זהים זמינים, השתמש במקש החשוב ביותר ולאחסן את הפריטים האחרים בשדות SrcDvc<DvcIdType>.דוגמה ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | אופציונלי | מחרוזת | מזהה הטווח של פלטפורמת הענן שהמכשיר שייך אליו. SrcDvcScopeId ממופה למזהה מנוי ב- Azure ומזהה חשבון ב- AWS. |
| SrcDvcScope | אופציונלי | מחרוזת | היקף פלטפורמת הענן שהמכשיר שייך אליו. SrcDvcScope ממופה למזהה מנוי ב- Azure ומזהה חשבון ב- AWS. |
| SrcDvcIdType | מותנה | סוג DvcId | הסוג של SrcDvcId. לקבלת רשימה של ערכים מותרים ומידע נוסף, עיין במאמר DvcIdType במאמר סקירת סכימה. הערה: שדה זה נדרש אם SrcDvcId נמצא בשימוש. |
| SrcDeviceType | אופציונלי | סוג התקן | סוג התקן המקור. לקבלת רשימה של ערכים מותרים ומידע נוסף, עיין במאמר DeviceType במאמר סקירת סכימה. |
| 20000 סצ'ונה, 1 | אופציונלי | מחרוזת | אזור הרשת של המקור, כפי שהוגדר על-ידי התקן הדיווח. דוגמה Internet |
| SrcInterfaceName | אופציונלי | מחרוזת | ממשק הרשת המשמש עבור החיבור או ההפעלה של התקן המקור. דוגמה eth01 |
| SrcInterfaceGuid | אופציונלי | GUID (מחרוזת) | ה- GUID של ממשק הרשת המשמש בהתקן המקור. דוגמה: 46ad544b-eaf0-47ef-827c-266030f545a6 |
| SrcMacAddr | אופציונלי | כתובת MAC (מחרוזת) | כתובת ה- MAC של ממשק הרשת שממנו נוצר החיבור או ההפעלה. דוגמה 06:10:9f:eb:8f:14 |
| SrcVlanId | אופציונלי | מחרוזת | מזהה VLAN הקשור להתקן המקור. דוגמה 130 |
| InnerVlanId | כינוי | כינוי ל- SrcVlanId. במקרים רבים, לא ניתן לקבוע את ה- VLAN כמקור או כיעד, אך הוא מאופיין כמקור פנימי או חיצוני. כינוי זה כדי מציין שיש להשתמש ב- SrcVlanId כאשר ה- VLAN מאופיין כ-inner. |
|
| SrcGeoCountry | אופציונלי | המדינה | המדינה/אזור המשויכים לכתובת ה- IP של המקור. דוגמה USA |
| SrcGeoRegion | אופציונלי | אזור | האזור המשויך לכתובת ה- IP של המקור. דוגמה Vermont |
| SrcGeoCity | אופציונלי | עיר | העיר המשויכת לכתובת ה- IP של המקור. דוגמה Burlington |
| הכרת תודה | אופציונלי | Latitude | קו הרוחב של הקואורדינטות הגיאוגרפיות המשויכות לכתובת ה- IP של המקור. דוגמה 44.475833 |
| SrcGeoLongitude | אופציונלי | קו אורך | קו האורך של הקואורדינטה הגיאוגרפית המשויכת לכתובת ה- IP של המקור. דוגמה 73.211944 |
| SrcDescription | אופציונלי | מחרוזת | טקסט תיאורי המשויך למכשיר. לדוגמה: Primary Domain Controller. |
שדות משתמש מקור
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| SrcUserId | אופציונלי | מחרוזת | ייצוג אלפאנומרי, קריא למחשב, ייחודי של משתמש המקור. עבור התבנית הנתמכת עבור סוגי מזהים שונים, עיין בישות המשתמש. דוגמה S-1-12 |
| SrcUserScope | אופציונלי | מחרוזת | הטווח, כגון דייר Microsoft Entra, שבו הוגדרו SrcUserId ו- SrcUsername. או מידע נוסף ורשימה של ערכים מותרים, ראה UserScope במאמר מבט כולל על הסכימה. |
| SrcUserScopeId | אופציונלי | מחרוזת | מזהה הטווח, כגון Microsoft Entra Directory, שבו הוגדרו SrcUserIdו- SrcUsername. לקבלת מידע נוסף ורשימה של ערכים מותרים, ראה UserScopeId במאמר סקירת סכימה. |
| SrcUserIdType | מותנה | סוג משתמש | סוג המזהה המאוחסן בשדה SrcUserId . לקבלת רשימה של ערכים מותרים ומידע נוסף, עיין במאמר UserIdType במאמר סקירת סכימה. |
| שם SrcUsername | אופציונלי | שם משתמש (מחרוזת) | שם המשתמש של המקור, כולל פרטי תחום כאשר הוא זמין. עבור התבנית הנתמכת עבור סוגי מזהים שונים, עיין בישות המשתמש. השתמש בטופס הפשוט רק אם פרטי תחום אינם זמינים. אחסן את סוג שם המשתמש בשדה SrcUsernameType . אם תבניות שם משתמש אחרות זמינות, אחסן אותן בשדות SrcUsername<UsernameType>.דוגמה AlbertE |
| SrcUsernameType | מותנה | סוג שם משתמש | מציין את סוג שם המשתמש המאוחסן בשדה SrcUsername . לקבלת רשימה של ערכים מותרים ומידע נוסף, עיין במאמר UsernameType במאמר מבט כולל על סכימה. דוגמה Windows |
| SrcUserType | אופציונלי | סוג משתמש | סוג משתמש המקור. לקבלת רשימה של ערכים מותרים ומידע נוסף, עיין במאמר UserType במאמר סקירת סכימה. הערה: ייתכן שהערך יצוין ברשומת המקור באמצעות מונחים שונים, שיש לנוירמול לערכים אלה. אחסן את הערך המקורי בשדה SrcOriginalUserType . |
| SrcOriginalUserType | אופציונלי | מחרוזת | סוג המשתמש המשמש כיעד המקורי, אם סופק על-ידי התקן הדיווח. |
שדות יישום מקור
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| SrcAppName | אופציונלי | מחרוזת | שם יישום המקור. דוגמה filezilla.exe |
| SrcAppId | אופציונלי | מחרוזת | המזהה של יישום המקור, כפי שדווח על-ידי התקן הדיווח. אם SrcAppType הוא Process, SrcAppId והערך SrcProcessId שלו אמור להיות זהה.דוגמה 124 |
| SrcAppType | אופציונלי | סוג יישום | סוג יישום המקור. לקבלת רשימה של ערכים מותרים ומידע נוסף, עיין במאמר AppType במאמר סקירת סכימה. שדה זה הכרחי אם נעשה שימוש ב- SrcAppNameאו ב- SrcAppId . |
| SrcProcessName | אופציונלי | מחרוזת | שם הקובץ של התהליך שהפעל את הפעלת הרשת. שם זה נחשב בדרך כלל לשם התהליך. דוגמה C:\Windows\explorer.exe |
| SrcProcessId | אופציונלי | מחרוזת | מזהה התהליך (PID) של התהליך שהפעל את הפעלת הרשת. דוגמה 48610176 הערה: הסוג מוגדר כמחרוזת לתמיכה במערכות משתנות, אך ב- Windows Linux ערך זה חייב להיות מספרי. אם אתה משתמש במחשב Windows או Linux והשתמשו בסוג אחר, הקפד להמיר את הערכים. לדוגמה, אם השתמשת בערך הקסדצימאלי, המר אותו לערך עשרוני. |
| SrcProcessGuid | אופציונלי | מחרוזת | מזהה ייחודי (GUID) שנוצר של התהליך שהפעל את הפעלת הרשת. דוגמה EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
כינויים מקומיים ומרוחקת
ניתן גם להוסיף כינוי לכל שדות המקור והיעד המפורטים לעיל על-ידי שדות בעלי שם זהה, שמות המתארים ו Local - Remote. אפשרות זו שימושית בדרך כלל עבור אירועים שדווחו על-ידי נקודת קצה ושסוג האירוע שלו הוא .EndpointNetworkSession
עבור אירועים כאלה, המתארים Local ומציין Remote את נקודת הקצה עצמה ואת ההתקן בקצה השני של הפעלת הרשת בהתאמה. עבור חיבורים נכנסים, המערכת המקומית היא היעד, LocalDst השדות הם כינויים לשדות, ושדות 'מרוחק' הם כינויים לשדות Src . לעומת זאת, עבור חיבורים יוצאים, המערכת המקומית היא המקור, LocalSrc השדות הם כינויים לשדות, Remote והשדות הם כינויים לשדות Dst .
לדוגמה, עבור אירוע נכנס, השדה LocalIpAddr הוא כינוי אל DstIpAddr והשדות הם RemoteIpAddr כינוי ל- SrcIpAddr.
כינויי שם מחשב מארח וכתובת IP
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| שם מחשב מארח | כינוי | - אם סוג האירוע הוא NetworkSession, Flow או L2NetworkSession, Hostname הוא כינוי ל- DstHostname.- אם סוג האירוע הוא EndpointNetworkSession, Hostname RemoteHostnameהוא כינוי ל- , שיכול להיות כינוי ל- DstHostname או ל- SrcHostName, בהתאם ל- NetworkDirection |
|
| IpAddr | כינוי | - אם סוג האירוע הוא NetworkSession, Flow או L2NetworkSession, IpAddr הוא כינוי ל- SrcIpAddr.- אם סוג האירוע הוא EndpointNetworkSession, IpAddr LocalIpAddrהוא כינוי ל- , שיכול להשתמש בכינוי SrcIpAddr או DstIpAddr, בהתאם ל- NetworkDirection. |
שדות 'התקן ביניים' ו'תרגום כתובות רשת' (NAT)
השדות הבאים שימושיים אם הרשומה כוללת מידע אודות התקן מתווך, כגון חומת אש או Proxy, הממסר את הפעלת הרשת.
מערכות ביניים משתמשות לעתים קרובות בתרגום כתובות ולכן הכתובת המקורית והכתובת שנצפתה חיצונית אינן זהות. במקרים כאלה, שדות הכתובת הראשית כגון SrcIPAddr ו- DstIpAddr מייצגים את הכתובות שנצפתו באופן חיצוני, בעוד ששדות כתובת ה- NAT, SrcNatIpAddr ו- DstNatIpAddr מייצגים את הכתובת הפנימית של המכשיר המקורי לפני התרגום.
שדות בדיקה
השדות הבאים משמשים כדי לייצג בדיקה זו שהתקן אבטחה כגון חומת אש, IPS או שער אבטחת אינטרנט שבוצע:
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| שם רשת | אופציונלי | מחרוזת | השם או המזהה של הכלל שבו הוחלט DvcAction . דוגמה AnyAnyDrop |
| מספור רשת | אופציונלי | מספר שלם | מספר הכלל שעליו הוחלט DvcAction . דוגמה 23 |
| כלל | כינוי | מחרוזת | הערך של NetworkRuleName או הערך של NetworkRuleNumber. אם נעשה שימוש בערך NetworkRuleNumber , יש להמיר את הסוג למחרוזת. |
| מזהה איום | אופציונלי | מחרוזת | המזהה של האיום או התוכנות הזדוניות המזוהות בהפעלת הרשת. דוגמה Tr.124 |
| שם איום | אופציונלי | מחרוזת | שם האיום או התוכנות הזדוניות המזוהות בהפעלת הרשת. דוגמה EICAR Test File |
| קטגוריית איום | אופציונלי | מחרוזת | קטגוריית האיום או התוכנות הזדוניות המזוהות בהפעלת הרשת. דוגמה Trojan |
| ThreatRiskLevel | אופציונלי | RiskLevel (מספר שלם) | רמת הסיכון המשויכת להפעלה. הרמה צריכה להיות מספר בין 0 ל - 100. הערה: הערך עשוי להיות מסופק ברשומת המקור באמצעות קנה מידה אחר, שיש לנוירמול לקנה מידה זה. יש לאחסן את הערך המקורי ב - ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | אופציונלי | מחרוזת | רמת הסיכון כפי שדווח על-ידי התקן הדיווח. |
| ThreatIpAddr | אופציונלי | כתובת IP | כתובת IP שעבורה זוהה איום. השדה ThreatField מכיל את שם השדה ThreatIpAddr מייצג. |
| ThreatField | מותנה | ספירה | השדה שעבורו זוהה איום. הערך הוא או SrcIpAddrDstIpAddr. |
| ThreatConfidence | אופציונלי | ConfidenceLevel (מספר שלם) | רמת הביטחון של האיום שזוהה, מנורמה לערך בין 0 ל- 100. |
| ThreatOriginalConfidence | אופציונלי | מחרוזת | רמת הביטחון המקורית של האיום שזוהה, כפי שדווח על-ידי התקן הדיווח. |
| איומיםאקטיביים | אופציונלי | בוליאני | נכון אם האיום שזוהה נחשב לאיום פעיל. |
| ThreatFirstReportedTime | אופציונלי | Datetime | בפעם הראשונה שבה כתובת ה- IP או התחום זוהו כאיום. |
| ThreatLastReportedTime | אופציונלי | Datetime | הפעם האחרונה שבה כתובת ה- IP או התחום זוהו כאיום. |
שדות אחרים
אם האירוע מדווח על-ידי אחת מ נקודות הקצה של הפעלת הרשת, הוא עשוי לכלול מידע אודות התהליך שהפעל או סיים את ההפעלה. במקרים כאלה, סכימת האירוע של תהליך ASIM משמשת לרגיל מידע זה.
עדכוני סכימה
להלן השינויים בגירסה 0.2.1 של הסכימה:
- נוסף
SrcככינוייםDstלמזהה מוביל עבור מערכות המקור והיעד. - הוספת את השדות
NetworkConnectionHistory,SrcVlanId,DstVlanId,InnerVlanIdו-OuterVlanId.
להלן השינויים בגירסה 0.2.2 של הסכימה:
- נוסף
RemoteכינוייםLocal. - הוסיף את סוג האירוע
EndpointNetworkSession. - מוגדרים
HostnameככינוייםIpAddrעבורRemoteHostnameובהתאמהLocalIpAddrכאשר סוג האירוע הואEndpointNetworkSession. - מוגדר ככינוי
DvcInterfaceל- אוDvcInboundInterfaceל-DvcOutboundInterface. - שינתה את סוג השדות הבאים מ'מספר שלם' ל'ארוך':
SrcBytes,DstBytes,NetworkBytes, ,SrcPackets,DstPacketsו-NetworkPackets. - נוסף השדה
NetworkProtocolVersion. - הוצא משימוש ו
DstUserDomain-SrcUserDomain.
להלן השינויים בגירסה 0.2.3 של הסכימה:
- נוסף פרמטר
ipaddr_has_any_prefixהסינון. - פרמטר
hostname_has_anyהסינון תואם כעת לשם המארח של המקור או היעד. - הוספת את השדות ואת
ASimMatchingHostnameASimMatchingIpAddr.
להלן השינויים בגירסה 0.2.4 של הסכימה:
- הוספת את השדות
TcpFlags. - עודכן
NetworkIcpmTypeוישקףNetworkIcmpCodeאת ערך המספר עבור שניהם. - נוספו שדות בדיקה נוספים.
- שמו של השדה 'ThreatRiskLevelOriginal' השתנה כך שיסתיים
ThreatOriginalRiskLevelעם מוסכמות ASIM. מנתחים קיימים של Microsoft ישתתפוThreatRiskLevelOriginalעד ה- 1 במאי 2023. - סומן
EventResultDetailsכמומלץ, וציין את הערכים המותרים.
להלן השינויים בגירסה 0.2.5 של הסכימה:
- הוספת את השדות
DstUserScope,SrcUserScope,SrcDvcScopeId,SrcDvcScope,DstDvcScopeId,DstDvcScope,DvcScopeIdו-DvcScope.
להלן השינויים בגירסה 0.2.6 של הסכימה:
- הוספת מזהים כסוג אירוע
להלן השינויים בגירסה 0.2.7 של הסכימה:
- נוספו השדות
DstDescriptionוSrcDescription
השלבים הבאים
לקבלת מידע נוסף, ראה: