مرجع مخطط تسوية مصادقة نموذج معلومات الأمان المتقدم (ASIM) (معاينة عامة)
ملاحظة
يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.
يتم استخدام مخطط مصادقة Microsoft Sentinel لوصف الأحداث المتعلقة بمصادقة المستخدم وتسجيل الدخول وتسجيل الخروج. يتم إرسال أحداث المصادقة بواسطة العديد من أجهزة التقارير، عادة كجزء من دفق الحدث جنبا إلى جنب مع أحداث أخرى. على سبيل المثال، يرسل Windows عدة أحداث مصادقة إلى جانب أحداث نشاط نظام التشغيل الأخرى.
تتضمن أحداث المصادقة كلا الحدثين من الأنظمة التي تركز على المصادقة مثل بوابات VPN أو وحدات التحكم بالمجال، والمصادقة المباشرة إلى نظام نهاية، مثل جهاز كمبيوتر أو جدار حماية.
لمزيد من المعلومات حول التطبيع في Microsoft Sentinel، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM).
هام
مخطط تسوية المصادقة قيد المعاينة حاليا. يتم توفير هذه الميزة دون اتفاقية مستوى الخدمة، ولا يوصى بها لأحمال عمل الإنتاج.
تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.
موزعي
توزيع محللات مصادقة ASIM من مستودع GitHub Microsoft Sentinel. لمزيد من المعلومات حول محللات ASIM، راجع المقالات نظرة عامة على محللات ASIM.
توحيد المحللات
لاستخدام المحللات التي تعمل على توحيد جميع محللات ASIM الجاهزة، والتأكد من أن التحليل الخاص بك يعمل عبر جميع المصادر المكونة، استخدم imAuthentication محلل التصفية أو ASimAuthentication محلل المعلمات الأقل.
محللات خاصة بالمصادر
للحصول على قائمة محللات المصادقة التي يوفرها Microsoft Sentinel، راجع قائمة محللات ASIM:
إضافة محللاتك التي تمت تسويتها
عند تنفيذ تحليلات مخصصة لنموذج معلومات المصادقة، قم بتسمية وظائف KQL باستخدام بناء الجملة التالي:
vimAuthentication<vendor><Product>لتصفية المحللاتASiAuthentication<vendor><Product>للناقلين الذين لا تحتوي على معلمات
للحصول على معلومات حول إضافة المحللات المخصصة إلى المحلل المتوحد، راجع إدارة محللات ASIM.
تصفية معلمات المحلل
im يدعم المحللان و vim*معلمات التصفية. في حين أن هذه المحللات اختيارية، فإنها يمكن أن تحسن أداء الاستعلام الخاص بك.
تتوفر معلمات التصفية التالية:
| الاسم | النوع | الوصف |
|---|---|---|
| وقت البدء | datetime | تصفية أحداث المصادقة التي تم تشغيلها في هذا الوقت أو بعده فقط. |
| وقت الانتهاء | datetime | تصفية أحداث المصادقة التي انتهت تشغيلها في هذا الوقت أو قبله فقط. |
| targetusername_has | سلسلة | تصفية أحداث المصادقة التي تحتوي على أي من أسماء المستخدمين المدرجة فقط. |
على سبيل المثال، لتصفية أحداث المصادقة فقط من اليوم الأخير إلى مستخدم معين، استخدم:
imAuthentication (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
تلميح
لتمرير قائمة حرفية إلى المعلمات التي تتوقع قيمة ديناميكية، استخدم حرفيا ديناميكيا بشكل صريح. على سبيل المثال: dynamic(['192.168.','10.']).
محتوى تمت تسويته
تعد القواعد التحليلية للمصادقة التي تمت تسويتها فريدة لأنها تكتشف الهجمات عبر المصادر. لذلك، على سبيل المثال، إذا قام مستخدم بتسجيل الدخول إلى أنظمة مختلفة غير مرتبطة، من بلدان مختلفة، فسيكتشف Microsoft Sentinel الآن هذا التهديد.
للحصول على قائمة كاملة بقواعد التحليلات التي تستخدم أحداث المصادقة العادية، راجع محتوى أمان مخطط المصادقة.
نظرة عامة على المخطط
تتم محاذاة نموذج معلومات المصادقة مع مخطط كيان تسجيل الدخول OSSEM.
الحقول المدرجة في الجدول أدناه خاصة بأحداث المصادقة، ولكنها تشبه الحقول في المخططات الأخرى وتتبع اصطلاحات تسمية مماثلة.
تشير أحداث المصادقة إلى الكيانات التالية:
- TargetUser - معلومات المستخدم المستخدمة للمصادقة على النظام. TargetSystem هو الموضوع الأساسي لحدث المصادقة، ويسمى الاسم المستعار User الاسم المستعار TargetUser المحدد.
- TargetApp - التطبيق المصادق عليه.
- الهدف - النظام الذي يتم تشغيل TaregtApp* عليه.
- المستخدم - المستخدم الذي يبدأ المصادقة، إذا كان مختلفا عن TargetUser.
- ActingApp - التطبيق المستخدم من قبل الممثل لتنفيذ المصادقة.
- Src - النظام المستخدم من قبل الممثل لبدء المصادقة.
يتم توضيح العلاقة بين هذه الكيانات على النحو التالي على أفضل نحو:
يحاول الممثل، الذي يشغل تطبيقا بالنيابة، ActingApp، على نظام مصدر، Src، المصادقة ك TargetUser إلى تطبيق هدف، TargetApp، على نظام هدف، TargetDvc.
تفاصيل المخطط
في الجداول التالية، يشير النوع إلى نوع منطقي. لمزيد من المعلومات، راجع الأنواع المنطقية.
حقول ASIM الشائعة
هام
يتم وصف الحقول الشائعة لكافة المخططات بالتفصيل في مقالة الحقول الشائعة ASIM .
الحقول المشتركة مع إرشادات محددة
تشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث المصادقة:
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| نوع الحدث | إلزامي | تعداد | يصف العملية التي أبلغ عنها السجل. بالنسبة لسجلات المصادقة، تتضمن القيم المدعومة ما يلي: - Logon - Logoff |
| EventResultDetails | المستحسنة | سلسلة | إحدى القيم التالية: - No such user or password. يجب استخدام هذه القيمة أيضا عندما يبلغ الحدث الأصلي عن عدم وجود مثل هذا المستخدم، دون الرجوع إلى كلمة مرور. - Incorrect password- Account expired- Password expired- User locked- User disabled- Logon violates policy. يجب استخدام هذه القيمة عندما يبلغ الحدث الأصلي، على سبيل المثال: المصادقة متعددة العوامل المطلوبة، أو تسجيل الدخول خارج ساعات العمل، أو قيود الوصول المشروط، أو المحاولات المتكررة جدا.- Session expired- Otherملاحظة: قد يتم توفير القيمة في السجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها لهذه القيم. يجب تخزين القيمة الأصلية في الحقل EventOriginalResultDetails |
| EventSubType | اختياري | سلسلة | نوع تسجيل الدخول. تتضمن القيم المسموح بها: System، Interactive، Service، RemoteInteractive، ، RemoteService. AssumeRole مثال: Interactive. تخزين القيمة الأصلية في EventOriginalSubType. |
| EventSchemaVersion | إلزامي | سلسلة | إصدار المخطط. إصدار المخطط الموثق هنا هو 0.1.1 |
| EventSchema | اختياري | سلسلة | اسم المخطط الموثق هنا هو Authentication. |
| حقول Dvc | - | - | بالنسبة لأحداث المصادقة، تشير حقول الجهاز إلى النظام الذي يبلغ عن الحدث. |
هام
EventSchema الحقل اختياري حاليا ولكنه سيصبح إلزاميا في 1 يوليو 2022.
كافة الحقول الشائعة
الحقول التي تظهر في الجدول أدناه شائعة لجميع مخططات ASIM. أي إرشادات محددة أعلاه تتجاوز الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريا بشكل عام، ولكنه إلزامي لمخطط معين. لمزيد من التفاصيل حول كل حقل، راجع مقالة الحقول المشتركة ASIM .
| الفصل | الحقول |
|---|---|
| إلزامي | - عدد الأحداث - EventStartTime - EventEndTime - نوع الحدث - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| المستحسنة | - EventResultDetails - حدث كلي - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - معرف Dvc - نوع DvcId - DvcAction |
| اختياري | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - حقول إضافية - وصف DvcDescription |
حقول خاصة بالمصادقة
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| تسجيل الدخول | اختياري | سلسلة | الأسلوب المستخدم لإجراء المصادقة. مثال: Username & Password |
| تسجيل الدخولProtocol | اختياري | سلسلة | البروتوكول المستخدم لإجراء المصادقة. مثال: NTLM |
حقول الممثل
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| معرف المستخدم الممثل | اختياري | سلسلة | تمثيل فريد قابل للقراءة الآلية أبجدية رقمية وفريدة من الممثل. لمزيد من المعلومات، وللاضافية إلى الحقول البديلة للمعرفات الإضافية، راجع كيان المستخدم. مثال: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| نوع المستخدم المستخدم | اختياري | نوع المستخدم | نوع المعرف المخزن في الحقل ActorUserId . لمزيد من المعلومات وقائمة القيم المسموح بها، راجع UserIdType في مقالة نظرة عامة على المخطط. |
| الممثلUsername | اختياري | اسم المستخدم | اسم المستخدم الخاص بالممثل، بما في ذلك معلومات المجال عند توفره. لمزيد من المعلومات، راجع كيان المستخدم. مثال: AlbertE |
| ActorUsernameType | اختياري | نوع اسم المستخدم | يحدد نوع اسم المستخدم المخزن في الحقل ActorUsername . لمزيد من المعلومات وقائمة القيم المسموح بها، راجع نوع اسم المستخدم في مقالة نظرة عامة على المخطط. مثال: Windows |
| نوع المستخدم المستخدم | اختياري | UserType | نوع الممثل. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع UserType في مقالة نظرة عامة على المخطط. على سبيل المثال: Guest |
| معرف المستخدم | اختياري | سلسلة | المعرف الفريد لجلسة تسجيل الدخول للممثل. مثال: 102pTUgC3p8RIqHvzxLCHnFlg |
حقول التطبيق بالنيابة
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| ActingAppId | اختياري | سلسلة | معرف التطبيق الذي يأذن نيابة عن المستخدم، بما في ذلك عملية أو مستعرض أو خدمة. على سبيل المثال: 0x12ae8 |
| اسم التطبيق النشط | اختياري | سلسلة | اسم التطبيق الذي يأذن نيابة عن المستخدم، بما في ذلك عملية أو مستعرض أو خدمة. على سبيل المثال: C:\Windows\System32\svchost.exe |
| ActingAppType | اختياري | نوع التطبيق | نوع التطبيق الذي يعمل. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع AppType في مقالة نظرة عامة على المخطط. |
| HttpUserAgent | اختياري | سلسلة | عند إجراء المصادقة عبر HTTP أو HTTPS، تكون قيمة هذا الحقل هي عنوان HTTP user_agent الذي يوفره التطبيق بالنيابة عند إجراء المصادقة. على سبيل المثال: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1 |
حقول المستخدم الهدف
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| TargetUserId | اختياري | معرّف المستخدم | تمثيل فريد قابل للقراءة الآلية أبجدية رقمية وفريدة للمستخدم الهدف. لمزيد من المعلومات، وللاضافية إلى الحقول البديلة للمعرفات الإضافية، راجع كيان المستخدم. مثال: 00urjk4znu3BcncfY0h7 |
| TargetUserIdType | اختياري | نوع المستخدم | نوع معرف المستخدم المخزن في الحقل TargetUserId . لمزيد من المعلومات وقائمة القيم المسموح بها، راجع UserIdType في مقالة نظرة عامة على المخطط. مثال: SID |
| TargetUsername | اختياري | اسم المستخدم | اسم المستخدم المستهدف، بما في ذلك معلومات المجال عند توفره. لمزيد من المعلومات، راجع كيان المستخدم. مثال: MarieC |
| TargetUsernameType | اختياري | نوع اسم المستخدم | يحدد نوع اسم المستخدم المخزن في الحقل TargetUsername . لمزيد من المعلومات وقائمة القيم المسموح بها، راجع نوع اسم المستخدم في مقالة نظرة عامة على المخطط. |
| TargetUserType | اختياري | UserType | نوع المستخدم الهدف. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع UserType في مقالة نظرة عامة على المخطط. على سبيل المثال: Member |
| TargetSessionId | اختياري | سلسلة | معرف جلسة تسجيل الدخول ل TargetUser على الجهاز المصدر. |
| المستخدم | الاسم المستعار | اسم المستخدم | الاسم المستعار ل TargetUsername أو إلى TargetUserId إذا لم يتم تعريف TargetUsername . مثال: CONTOSO\dadmin |
حقول النظام المصدر
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| Src | المستحسنة | سلسلة | معرف فريد للجهاز المصدر. قد يستخدم هذا الحقل اسما مستعارا لحقول SrcDvcId أو SrcHostname أو SrcIpAddr . مثال: 192.168.12.1 |
| SrcDvcId | اختياري | سلسلة | معرف الجهاز المصدر كما تم الإبلاغ عنه في السجل. على سبيل المثال: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcIdType | اختياري | نوع DvcId | نوع SrcDvcId. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع DvcIdType في مقالة نظرة عامة على المخطط. ملاحظة: هذا الحقل مطلوب إذا تم استخدام SrcDvcId . |
| SrcDeviceType | اختياري | نوع الجهاز | نوع الجهاز المصدر. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع كيان الجهاز. |
| اسم SrcHostname | المستحسنة | اسم المضيف | اسم مضيف الجهاز المصدر، باستثناء معلومات المجال. إذا لم يتوفر اسم الجهاز، فخزن عنوان IP ذي الصلة في هذا الحقل. مثال: DESKTOP-1282V4D |
| SrcDomain | المستحسنة | سلسلة | مجال الجهاز المصدر. مثال: Contoso |
| SrcDomainType | المستحسنة | نوع المجال | نوع SrcDomain. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DomainType في مقالة نظرة عامة على المخطط. مطلوب إذا تم استخدام SrcDomain . |
| SrcFQDN | اختياري | سلسلة | اسم مضيف الجهاز المصدر، بما في ذلك معلومات المجال عند توفره. ملاحظة: يدعم هذا الحقل تنسيق FQDN التقليدي وتنسيق Windows domain\hostname. يعكس حقل SrcDomainType التنسيق المستخدم. مثال: Contoso\DESKTOP-1282V4D |
| SrcDvcId | اختياري | سلسلة | معرف الجهاز المصدر. إذا توفرت معرفات متعددة، فاستخدم المعرف الأكثر أهمية، ثم قم بتخزين المعرفين الآخرين في الحقول SrcDvc<DvcIdType>.مثال: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcIdType | اختياري | نوع DvcId | نوع SrcDvcId. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DvcIdType في مقالة نظرة عامة على المخطط. ملاحظة: هذا الحقل مطلوب إذا تم استخدام SrcDvcId . |
| SrcDeviceType | اختياري | نوع الجهاز | نوع الجهاز المصدر. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DeviceType في مقالة نظرة عامة على المخطط. |
| SrcIpAddr | اختياري | هذا عنوان IP | عنوان IP للجهاز المصدر. مثال: 2.2.2.2 |
| SrcDvcOs | اختياري | سلسلة | نظام تشغيل الجهاز المصدر. مثال: Windows 10 |
| IpAddr | الاسم المستعار | الاسم المستعار ل SrcIpAddr | |
| SrcIsp | اختياري | سلسلة | موفر خدمة الإنترنت (ISP) المستخدم من قبل الجهاز المصدر للاتصال بالإنترنت. مثال: corpconnect |
| SrcGeoCountry | اختياري | الدولة | مثال: Canada لمزيد من المعلومات، راجع الأنواع المنطقية. |
| SrcGeoCity | اختياري | المدينة | مثال: Montreal لمزيد من المعلومات، راجع الأنواع المنطقية. |
| SrcGeoRegion | اختياري | المنطقة | مثال: Quebec لمزيد من المعلومات، راجع الأنواع المنطقية. |
| SrcGeoLongtitude | اختياري | خط الطول | مثال: -73.614830 لمزيد من المعلومات، راجع الأنواع المنطقية. |
| SrcGeoLatitude | اختياري | خط العرض | مثال: 45.505918 لمزيد من المعلومات، راجع الأنواع المنطقية. |
حقول النظام الهدف
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| Dst | المستحسنة | سلسلة | معرف فريد لهدف المصادقة. قد يستخدم هذا الحقل الاسم المستعار لحقول TargerDvcId أو TargetHostname أو TargetIpAddr أو TargetAppId أو TargetAppName . مثال: 192.168.12.1 |
| TargetAppId | اختياري | سلسلة | معرف التطبيق الذي يلزم الحصول على التخويل له، والذي غالبا ما يتم تعيينه بواسطة جهاز إعداد التقارير. مثال: 89162 |
| TargetAppName | اختياري | سلسلة | اسم التطبيق المطلوب التخويل إليه، بما في ذلك خدمة أو عنوان URL أو تطبيق SaaS. مثال: Saleforce |
| TargetAppType | اختياري | نوع التطبيق | نوع التطبيق الذي يأذن نيابة عن الممثل. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع AppType في مقالة نظرة عامة على المخطط. |
| TargetUrl | اختياري | عنوان URL | عنوان URL المقترن بالتطبيق الهدف. مثال: https://console.aws.amazon.com/console/home?fromtb=true&hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_us-east-1_7596bc16c83d260b |
| تسجيل الدخول إلى الهدف | الاسم المستعار | الاسم المستعار إما TargetAppName أو TargetUrl أو TargetHostname، أي حقل يصف هدف المصادقة على أفضل نحو. | |
| TargetHostname | المستحسنة | اسم المضيف | اسم مضيف الجهاز الهدف، باستثناء معلومات المجال. مثال: DESKTOP-1282V4D |
| TargetDomain | المستحسنة | سلسلة | مجال الجهاز الهدف. مثال: Contoso |
| TargetDomainType | المستحسنة | تعداد | نوع TargetDomain. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DomainType في مقالة نظرة عامة على المخطط. مطلوب إذا تم استخدام TargetDomain . |
| TargetFQDN | اختياري | سلسلة | اسم مضيف الجهاز الهدف، بما في ذلك معلومات المجال عند توفره. مثال: Contoso\DESKTOP-1282V4D ملاحظة: يدعم هذا الحقل تنسيق FQDN التقليدي وتنسيق Windows domain\hostname. يعكس TargetDomainType التنسيق المستخدم. |
| TargetDvcId | اختياري | سلسلة | معرف الجهاز الهدف. إذا توفرت معرفات متعددة، فاستخدم المعرف الأكثر أهمية، ثم قم بتخزين المعرفين الآخرين في الحقول TargetDvc<DvcIdType>. مثال: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| TargetDvcIdType | اختياري | تعداد | نوع TargetDvcId. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DvcIdType في مقالة نظرة عامة على المخطط. مطلوب إذا تم استخدام TargetDeviceId . |
| TargetDeviceType | اختياري | تعداد | نوع الجهاز الهدف. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DeviceType في مقالة نظرة عامة على المخطط. |
| TargetIpAddr | اختياري | هذا عنوان IP | عنوان IP للجهاز الهدف. مثال: 2.2.2.2 |
| TargetDvcOs | اختياري | سلسلة | نظام التشغيل للجهاز الهدف. مثال: Windows 10 |
| TargetPortNumber | اختياري | عدد صحيح | منفذ الجهاز الهدف. |
تحديثات المخطط
هذه هي التغييرات في الإصدار 0.1.1 من المخطط:
- تم تحديث حقول المستخدم وكيان الجهاز للمحاذاة مع المخططات الأخرى.
- تمت إعادة تسميتها
TargetDvcوSrcDvcإلىTargetوSrcعلى التوالي لتتماشى مع إرشادات ASIM الحالية. سيتم تنفيذ الحقول التي تمت إعادة تسميتها باسم مستعار حتى 1 يوليو 2022. تتضمن هذه الحقول:SrcDvcHostnameوSrcDvcHostnameTypeوSrcDvcTypeSrcDvcIpAddrو وTargetDvcHostnameTargetDvcHostnameTypeTargetDvcTypeTargetDvcIpAddr.TargetDvc - تمت إضافة الأسماء المستعارة
SrcوDst. - تمت إضافة الحقول
SrcDvcIdTypeوSrcDeviceTypeTargetDvcIdTypeو و.TargetDeviceType - تمت إضافة الحقل
EventSchema- اختياري حاليا، ولكنه سيصبح إلزاميا في 1 يوليو 2022.
الخطوات التالية
لمزيد من المعلومات، انظر: