مرجع مخطط تسوية إدارة مستخدم Microsoft Sentinel (معاينة)
يُستخدم مخطط تسوية إدارة مستخدم Microsoft Sentinel لوصف أنشطة إدارة المستخدم، مثل إنشاء مستخدم أو مجموعة أو تغيير سمة المستخدم أو إضافة مستخدم إلى مجموعة. يتم الإبلاغ بمثل هذه الأحداث، مثل، بواسطة أنظمة التشغيل وخدمات الدليل وأنظمة إدارة الهوية وأي نظام إعداد تقارير آخر حول نشاط إدارة المستخدم المحلي.
لمزيد من المعلومات بشأن التسوية في Microsoft Sentinel، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM).
هام
في الوقت الحالي، مخطط تسوية إدارة المستخدم قيد المعاينة. تتوفر هذه الميزة بدون اتفاقية مستوى الخدمة. لا نوصي به لأحمال عمل الإنتاج.
تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.
نظرة عامة على المخطط
يصف مخطط إدارة مستخدم نموذج معلومات الأمان المتقدم أنشطة إدارة المستخدم. وعادةً ما تتضمن الأنشطة الكيانات التالية:
- المستخدم - المستخدم القائم بنشاط الإدارة.
- عملية الاستخدام - العملية التي يستخدمها المستخدم لأداء نشاط الإدارة.
- Src - عند تنفيذ النشاط عبر الشبكة، الجهاز المصدر الذي بدأ منه النشاط.
- المستخدم المُستهدف - المستخدم الذي يُدار حسابه.
- المجموعة التي يُضاف المُستخدم الهدف إليها أو يُزال منها أو يجري تعديلها.
تتولى بعض الأنشطة، مثل UserCreated وGroupCreated وUserModified وGroupModified*، تعيين خصائص المستخدم أو تحديثها. يتم توثيق مجموعة الخصائص أو تحديثها في الحقول التالية:
- EventSubType - اسم القيمة المُعيَّنة أو المُحدَّثة. UpdatedPropertyName هو اسم مستعار لـ EventSubType عندما يشير EventSubType إلى أحد أنواع الأحداث ذات الصلة.
- PreviousPropertyValue - القيمة السابقة للخاصية.
- NewPropertyValue - القيمة المُحدَّثة للخاصية.
تفاصيل المُخطط
حقول ASIM المشتركة
هام
توصف الحقول المشتركة لكافة المخططات بالتفصيل في مقالة الحقول المشتركة لـ ASIM.
الحقول المشتركة مع وجود إرشادات محددة
تشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث نشاط العملية:
| الحقل | الدرجة | النوع | الوصف |
|---|---|---|---|
| EventType | إلزامي | Enumerated | يصف العملية التي أبلغ بها السجل. بالنسبة لنشاط إدارة المستخدم، فالقيم المدعومة هي: - UserCreated- UserDeleted- UserModified- UserLocked- UserUnlocked- UserDisabled- UserEnabled- PasswordChanged- PasswordReset- GroupCreated- GroupDeleted- GroupModified- UserAddedToGroup- UserRemovedFromGroup- GroupEnumerated- UserRead- GroupRead |
| EventSubType | اختياري | Enumerated | الأنواع الفرعية التالية مدعومة: - UserRead: كلمة السر، شفرة التجزئة- UserCreated, GroupCreated, UserModified, GroupModified. لمزيد من المعلومات، راجع UpdatedPropertyName |
| EventResult | إلزامي | Enumerated | الفشل ممكن، لكن معظم الأنظمة تبلغ بأحداث إدارة المستخدم الناجحة فحسب. القيمة المُتوقعة للأحداث الناجحة هي Success. |
| EventResultDetails | مستحسن | Enumerated | القيم الصالحة هي NotAuthorized وOther. |
| EventSeverity | إلزامي | Enumerated | يُسمح بأية قيمة خطورة صالحة، لكن خطورة أحداث إدارة المستخدم عادةً تكون Informational. |
| EventSchema | إلزامي | السلسلة | اسم المخطط الموثّق هنا هو UserManagement. |
| EventSchemaVersion | إلزامي | السلسلة | إصدار المُخطط. إصدار المخطط الموثّق هنا هو 0.1.1. |
| حقول Dvc | بالنسبة إلى أحداث إدارة المستخدم، تشير حقول الجهاز إلى النظام الذي يبلغ بالحدث. عادةً ما يكون هذا هو النظام الذي يُدار المستخدم عليه. |
جميع الحقول الشائعة
تُعد الحقول التي تظهر في الجدول أدناه مشتركة في جميع مخططات ASIM. أية مبادئ توجيهية محددة أعلاه تلغي الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريًا بشكل عام، لكنه إلزامي لمخطط معين. لمزيد من التفاصيل حول كل حقل، راجع المقالة الحقول المشتركة لـ ASIM.
| فئه | الحقول |
|---|---|
| إلزامي | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| مستحسن | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| اختياري | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - مالك الحدث - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
حقول الخصائص المُحدَّثة
| الحقل | الدرجة | النوع | الوصف |
|---|---|---|---|
| UpdatedPropertyName | الاسم المستعار | الاسم المستعار لـ EventSubType عندما يكون نوع الحدث UserCreatedأو GroupCreated أو UserModified أو GroupModified.القيم المدعومة هي: - MultipleProperties: تُستخدم عند تحديث النشاط لخصائص متعددة- Previous<PropertyName>، إذ تمثل <PropertyName> إحدى القيم المدعومة لـ UpdatedPropertyName. - New<PropertyName>، إذ تمثل <PropertyName> إحدى القيم المدعومة لـ UpdatedPropertyName. |
|
| PreviousPropertyValue | اختياري | السلسلة | القيمة السابقة المُخزَّنة في الخاصية المحددة. |
| NewPropertyValue | اختياري | السلسلة | القيمة الجديدة المُخزَّنة في الخاصية المحددة. |
حقول المستخدم المُستهدف
| الحقل | الدرجة | النوع | الوصف |
|---|---|---|---|
| TargetUserId | اختياري | السلسلة | تمثيل فريد أبجدي رقمي يمكن قراءته آلياً للمستخدم المستهدف. تشمل التنسيقات والأنواع المدعومة ما يلي: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AAD (دليل Azure النشط)ID (معرف Microsoft Entra): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673تخزين نوع المعرّف في الحقل TargetUserIdType. في حال توفر معرّفات أخرى، نوصي بتسوية أسماء الحقول إلى TargetUserSid وTargetUserUid وTargetUserAADID وTargetUserOktaId وTargetUserAwsId على التوالي. لمزيد من المعلومات، راجع كيان المستخدم. مثال: S-1-12 |
| TargetUserIdType | اختياري | Enumerated | نوع المعرّف المُخزَّن في الحقل TargetUserId. القيم المدعومة هي SID وUID وAADID وOktaId وAWSId. |
| TargetUsername | اختياري | السلسلة | اسم المستخدم المُستهدف، بما يشمل معلومات المجال عند توفرها. استخدم أحد التنسيقات التالية وبالترتيب التالي للأولوية: - اسم المستخدم الأساسي/عنوان البريد الإلكتروني: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- بسيط: johndow. استخدم النموذج البسيط فحسب في حال عدم توفر معلومات المجال.قم بتخزين نوع اسم المستخدم في الحقل TargetUsernameType. في حال توفر معرّفات أخرى، نوصيك بتسوية أسماء الحقول إلى TargetUserUpnو TargetUserWindows وTargetUserDn. لمزيد من المعلومات، راجع كيان المستخدم. مثال: AlbertE |
| TargetUsernameType | اختياري | Enumerated | يحدد نوع اسم المستخدم المُخزَّن في الحقل TargetUsername. تشمل القيم المدعومة UPN وWindows وDN وSimple. لمزيد من المعلومات، راجع كيان المستخدم.مثال: Windows |
| TargetUserType | اختياري | Enumerated | نوع المستخدم المُستهدف. تشمل القيم المدعومة: - Regular- Machine- Admin- System- Application- Service Principal- Otherملاحظة: قد يتم توفير القيمة في سجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها مع هذه القيم. تخزين القيمة الأصلية في حقل TargetOriginalUserType. |
| TargetOriginalUserType | اختياري | السلسلة | نوع مستخدم الوجهة الأصلي، إذا وفّره المصدر. |
حقول المستخدم
| الحقل | الدرجة | النوع | الوصف |
|---|---|---|---|
| ActorUserId | اختياري | السلسلة | تمثيل فريد أبجدي رقمي قابل للقراءة آليًا للمستخدم. تشمل التنسيقات والأنواع المدعومة ما يلي: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AAD (دليل Azure النشط)ID (معرف Microsoft Entra): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673تخزين نوع المعرف في الحقل ActorUserIdType. في حال توفر معرّفات أخرى، نوصي بتسوية أسماء الحقول إلى ActorUserSid وActorUserUid وActorUserAadId وActorUserOktaId وActorAwsId على التوالي. لمزيد من المعلومات، راجع كيان المستخدم. مثال: S-1-12 |
| ActorUserIdType | اختياري | Enumerated | نوع المعرف المخزن في الحقل ActorUserId. تشمل القيم المدعومة SID وUID وAADID وOktaId وAWSId. |
| ActorUsername | إلزامي | السلسلة | اسم مستخدم الممثل، بما في ذلك معلومات المجال عند توفرها. استخدم أحد التنسيقات التالية وبالترتيب التالي للأولوية: - اسم المستخدم الأساسي/عنوان البريد الإلكتروني: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- بسيط: johndow. استخدم النموذج البسيط فحسب في حال عدم توفر معلومات المجال.خزّن نوع اسم المستخدم في الحقل ActorUsernameType. في حال توفر معرّفات أخرى، نوصيك بتسوية أسماء الحقول إلى ActorUserUpn وActorUserWindows وActorUserDn. لمزيد من المعلومات، راجع كيان المستخدم. مثال: AlbertE |
| المستخدم | الاسم المستعار | اسم مستعار لـ ActorUsername. | |
| ActorUsernameType | إلزامي | Enumerated | يحدد نوع اسم المستخدم المُخزَّن في الحقل ActorUsername. القيم المدعومة هي UPN وWindows وDN وSimple. لمزيد من المعلومات، راجع كيان المستخدم.مثال: Windows |
| ActorUserType | اختياري | Enumerated | نوع المستخدم. القيم المسموح بها هي: - Regular- Machine- Admin- System- Application- Service Principal- Otherملاحظة: قد يتم توفير القيمة في سجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها مع هذه القيم. تخزين القيمة الأصلية في حقل ActorOriginalUserType. |
| ActorOriginalUserType | نوع مستخدم المستخدم الأصلي، إذا وفّره المصدر. | ||
| ActorSessionId | اختياري | السلسلة | المعرف الفريد لجلسة تسجيل دخول الممثل. مثال: 999ملاحظة: يتم تعريف النوع على أنه سلسلة لدعم الأنظمة المختلفة، ولكن في Windows يجب أن تكون هذه القيمة رقمية. إذا كنت تستخدم جهازًا يعمل بنظام التشغيل Windows أو Linux واستخدمت نوعًا مختلفًا، فتأكد من تحويل القيم. على سبيل المثال، إذا استخدمت قيمة سداسية عشرية، فحولها إلى قيمة عشرية. |
حقول المجموعات
| الحقل | الدرجة | النوع | الوصف |
|---|---|---|---|
| GroupId | اختياري | السلسلة | تمثيل فريد أبجدي رقمي يمكن قراءته آليًا للمجموعة، للأنشطة التي تتضمن مجموعة. تشمل التنسيقات والأنواع المدعومة ما يلي: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578تخزين نوع المعرف في حقل GroupIdType. في حال توفر معرّفات أخرى، نوصيك بتسوية أسماء الحقول إلى GroupSid أو GroupUid على التوالي. لمزيد من المعلومات، راجع كيان المستخدم. مثال: S-1-12 |
| GroupIdType | اختياري | Enumerated | نوع المعرّف المُخزَّن في حقل GroupId. القيم المدعومة هي SID وUID. |
| GroupName | اختياري | السلسلة | اسم المجموعة، بما يشمل معلومات المجال عند توفرها، للأنشطة التي تتضمن مجموعة. استخدم أحد التنسيقات التالية وبالترتيب التالي للأولوية: - اسم المستخدم الأساسي/عنوان البريد الإلكتروني: grp@contoso.com- Windows: Contoso\grp- DN: CN=grp,OU=Sales,DC=Fabrikam,DC=COM- بسيط: grp. استخدم النموذج البسيط فحسب في حال عدم توفر معلومات المجال.تخزين نوع اسم المجموعة في حقل GroupNameType. في حال توفر معرّفات أخرى، نوصيك بتسوية أسماء الحقول إلى GroupUpn وGorupNameWindows وGroupDn. مثال: Contoso\Finance |
| GroupNameType | اختياري | Enumerated | يحدد نوع اسم المجموعة المُخزَّن في الحقل GroupName. تشمل القيم المدعومة UPN وWindows وDN وSimple.مثال: Windows |
| GroupType | اختياري | Enumerated | نوع المجموعة، للأنشطة التي تتضمن مجموعة. تشمل القيم المدعومة: - Local Distribution- Local Security Enabled- Global Distribution- Global Security Enabled- Universal Distribution- Universal Security Enabled- Otherملاحظة: قد يتم توفير القيمة في سجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها مع هذه القيم. تخزين القيمة الأصلية في حقل GroupOriginalType. |
| GroupOriginalType | اختياري | السلسلة | نوع المجموعة الأصلي، إذا وفّره المصدر. |
حقول المصدر
| الحقل | الدرجة | النوع | الوصف |
|---|---|---|---|
| Src | مستحسن | السلسلة | معرّف فريد للجهاز المصدر. يمكن أن يُعتبر هذا الحقل اسمًا مستعارًا للحقول SrcDvcId أو SrcHostname أو SrcIpAddr. مثال: 192.168.12.1 |
| SrcIpAddr | مستحسن | عنوان IP | عنوان IP للجهاز المصدر. هذه القيمة إلزامية في حال تحديد SrcHostname. مثال: 77.138.103.108 |
| IpAddr | الاسم المستعار | الاسم المستعار لـ SrcIpAddr. | |
| SrcHostname | مستحسن | السلسلة | اسم مضيف الجهاز المصدر، باستثناء معلومات المجال. مثال: DESKTOP-1282V4D |
| SrcDomain | مستحسن | السلسلة | مجال الجهاز المصدر. مثال: Contoso |
| SrcDomainType | مستحسن | Enumerated | نوع SrcDomain، إذا كان معروفًا. تشمل القيم المتاحة ما يلي: - Windows (مثل contoso)- FQDN (مثل microsoft.com)مطلوب في حال استخدام SrcDomain. |
| SrcFQDN | اختياري | السلسلة | اسم مضيف الجهاز المصدر، بما يشمل معلومات المجال عند توفرها. ملاحظة: يدعم هذا الحقل كلًا من تنسيق FQDN التقليدي وتنسيق Windows domain \ hostname. يعكس الحقل SrcDomainType التنسيق المُستخدم. مثال: Contoso\DESKTOP-1282V4D |
| SrcDvcId | اختياري | السلسلة | معرّف الجهاز المصدر كما تم الإبلاغ به في السجل. مثال: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | اختياري | السلسلة | معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. مخطط SrcDvcScopeId إلى معرف اشتراك على Azure ومعرف حساب على AWS. |
| SrcDvcScope | اختياري | السلسلة | نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. مخطط SrcDvcScope إلى معرف اشتراك على Azure وإلى معرف حساب على AWS. |
| SrcDvcIdType | اختياري | Enumerated | نوع SrcDvcId، إذا كان معروفًا. تشمل القيم المتاحة ما يلي: - AzureResourceId- MDEidفي حال توفر معرّفات متعددة، استخدم المعرّف الأول من القائمة، وخزّن المعرّفات الأخرى في SrcDvcAzureResourceId وSrcDvcMDEid على التوالي. ملاحظة: هذا الحقل مطلوب في حال استخدام SrcDvcId. |
| SrcDeviceType | اختياري | Enumerated | نوع الجهاز المصدر. تشمل القيم المتاحة ما يلي: - Computer- Mobile Device- IOT Device- Other |
| SrcGeoCountry | اختياري | البلد | البلد المقترن بعنوان IP للمصدر. مثال: USA |
| SrcGeoRegion | اختياري | المنطقة | المنطقة المقترنة بعنوان IP المصدر. مثال: Vermont |
| SrcGeoCity | اختياري | المدينة | المدينة المقترنة بعنوان IP للمصدر. مثال: Burlington |
| SrcGeoLatitude | اختياري | Latitude | خط عرض الإحداثيات الجغرافية المقترنة بعنوان IP المصدر. مثال: 44.475833 |
| SrcGeoLongitude | اختياري | Longitude | خط طول الإحداثيات الجغرافية المقترنة بعنوان IP المصدر. مثال: 73.211944 |
التطبيق قيد الاستخدام
| الحقل | الدرجة | النوع | الوصف |
|---|---|---|---|
| ActingAppId | اختياري | السلسلة | معرّف التطبيق الذي يستخدمه المستخدم لتنفيذ النشاط، بما يشمل العمليات أو المستعرضات أو الخدمات. على سبيل المثال: 0x12ae8 |
| ActingAppName | اختياري | السلسلة | اسم التطبيق الذي يستخدمه المستخدم لتنفيذ النشاط، بما يشمل العمليات أو المستعرضات أو الخدمات. على سبيل المثال: C:\Windows\System32\svchost.exe |
| ActingAppType | اختياري | Enumerated | نوع التطبيق قيد الاستخدام. تتضمن القيم المدعومة ما يلي: - Process - Browser - Resource - Other |
| HttpUserAgent | اختياري | السلسلة | عند إجراء المصادقة عبر HTTP أو HTTPS، تكون قيمة هذا الحقل هي عنوان HTTP user_agent الذي يوفره التطبيق قيد الاستخدام عند إجراء المصادقة. على سبيل المثال: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
حقول وأسماء مستعارة إضافية
| الحقل | الدرجة | النوع | الوصف |
|---|---|---|---|
| اسم المضيف | الاسم المستعار | الاسم المستعار لـ DvcHostname. |
الخطوات التالية
لمزيد من المعلومات، راجع: