مرجع مخطط تسوية حدث ملف نموذج معلومات الأمان المتقدم (ASIM) (معاينة عامة)
ملاحظة
يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.
يتم استخدام مخطط تسوية حدث الملف لوصف نشاط الملف مثل إنشاء الملفات أو المستندات أو تعديلها أو حذفها. يتم الإبلاغ عن مثل هذه الأحداث بواسطة أنظمة التشغيل وأنظمة تخزين الملفات مثل ملفات Azure وأنظمة إدارة المستندات مثل Microsoft SharePoint.
لمزيد من المعلومات حول التطبيع في Microsoft Sentinel، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM).
هام
مخطط تسوية حدث الملف قيد المعاينة حاليا. يتم توفير هذه الميزة دون اتفاقية مستوى الخدمة، ولا يوصى بها لأحمال عمل الإنتاج.
تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.
موزعي
للحصول على قائمة محللات نشاط الملفات يوفر Microsoft Sentinel خارج الصندوق الرجوع إلى قائمة محللات ASIM
لاستخدام محلل التوحيد الذي يوحد جميع المحللات المضمنة، والتأكد من تشغيل التحليل عبر جميع المصادر المكونة، استخدم imFileEvent كاسم الجدول في الاستعلام الخاص بك.
إضافة محللاتك التي تمت تسويتها
عند تنفيذ محللات مخصصة لنموذج معلومات حدث الملف، قم بتسمية وظائف KQL باستخدام بناء الجملة التالي: imFileEvent<vendor><Product.
أضف دالة KQL إلى imFileEvent محلل التوحيد للتأكد من أن أي محتوى يستخدم نموذج حدث الملف يستخدم أيضا المحلل الجديد.
المحتوى الذي تمت تسويته لبيانات نشاط الملف
يتضمن دعم مخطط File Activity ASIM أيضا دعما لقواعد التحليلات المضمنة التالية مع محللات نشاط الملفات التي تمت تسويتها. بينما يتم توفير ارتباطات إلى مستودع GitHub Microsoft Sentinel أدناه كمرجع، يمكنك أيضا العثور على هذه القواعد في معرض قواعد Microsoft Sentinel Analytics. استخدم صفحات GitHub المرتبطة لنسخ أي استعلامات تتبع ذات صلة للقواعد المدرجة.
- تجزئات المستند الخلفي SUNBURST و SUPERNOVA (أحداث الملفات التي تمت تسويتها)
- الكشف عن نقاط الضعف Exchange Server مارس 2021 IoC Match
- خدمة HAFNIUM UM لكتابة ملف مريب
- نوبليوم - المجال والتجزئة وIP IOCs - مايو 2021
- إنشاء ملف سجل SUNSPOT
- تجزئات البرامج الضارة المعروفة ل الزنك والزنك
لمزيد من المعلومات، راجع إنشاء قواعد تحليلات مخصصة للكشف عن التهديدات.
تفاصيل المخطط
يتم محاذاة نموذج معلومات حدث الملف إلى مخطط كيان عملية OSSEM.
الحقول الشائعة
هام
يتم وصف الحقول الشائعة لكافة المخططات بالتفصيل في مقالة الحقول الشائعة ASIM .
الحقول ذات الإرشادات المحددة لمخطط DNS
تشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث نشاط الملف:
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| EventType | إلزامي | تعداد | يصف العملية التي أبلغ عنها السجل. بالنسبة لسجلات الملفات، تتضمن القيم المدعومة ما يلي: - FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted |
| EventSchema | اختياري | سلسلة | اسم المخطط الموثق هنا هو FileEvent. |
| EventSchemaVersion | إلزامي | سلسلة | إصدار المخطط. إصدار المخطط الموثق هنا هو 0.1 |
| حقول Dvc | - | - | بالنسبة لأحداث نشاط الملف، تشير حقول الجهاز إلى النظام الذي حدث عليه نشاط الملف. |
هام
EventSchema الحقل اختياري حاليا ولكنه سيصبح إلزاميا في 1 سبتمبر 2022.
كافة الحقول الشائعة
الحقول التي تظهر في الجدول أدناه شائعة في جميع مخططات ASIM. أي إرشادات محددة أعلاه تتجاوز الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريا بشكل عام، ولكنه إلزامي لمخطط معين. لمزيد من التفاصيل حول كل حقل، راجع مقالة الحقول المشتركة ASIM .
| الفصل | الحقول |
|---|---|
| إلزامي | - عدد الأحداث - EventStartTime - EventEndTime - نوع الحدث - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| المستحسنة | - EventResultDetails - قطع الأحداث - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - معرف Dvc - نوع DvcIdType - DvcAction |
| اختياري | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - حقول إضافية - DvcDescription |
حقول خاصة بحدث الملف
الحقول المدرجة في الجدول أدناه خاصة بأحداث الملف، ولكنها تشبه الحقول في المخططات الأخرى وتتبع اصطلاحات تسمية مماثلة.
يشير مخطط حدث الملف إلى الكيانات التالية، والتي تعتبر مركزية لأنشطة الملفات:
- ممثل. المستخدم الذي بدأ نشاط الملف
- ActingProcess. العملية التي يستخدمها المستخدم لبدء نشاط الملف
- TargetFile. الملف الذي تم تنفيذ العملية عليه
- الملف المصدر (SrcFile). يخزن معلومات الملفات قبل العملية.
يتم توضيح العلاقة بين هذه الكيانات على النحو التالي: يقوم المستخدم بإجراء عملية ملف باستخدام عملية تمثيل، والتي تقوم بتعديل الملف المصدر إلى الملف الهدف.
على سبيل المثال: JohnDoe يستخدم Windows File Explorer (المستخدم) (عملية التمثيل) لإعادة تسمية new.doc (ملف المصدر) إلى old.doc (الملف الهدف).
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| ActingProcessCommandLine | اختياري | سلسلة | سطر الأوامر المستخدم لتشغيل عملية التمثيل. مثال: "choco.exe" -v |
| ActingProcessGuid | اختياري | سلسلة | معرف فريد تم إنشاؤه (GUID) لعملية التمثيل. تمكين تحديد العملية عبر الأنظمة. مثال: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessId | إلزامي | سلسلة | معرف العملية (PID) لعملية التمثيل. مثال: 48610176 ملاحظة: يتم تعريف النوع كسلسلة لدعم الأنظمة المختلفة، ولكن على Windows وLinux يجب أن تكون هذه القيمة رقمية. إذا كنت تستخدم جهاز Windows أو Linux واستخدمت نوعا مختلفا، فتأكد من تحويل القيم. على سبيل المثال، إذا استخدمت قيمة سداسية عشرية، فقم بتحويلها إلى قيمة عشرية. |
| ActingProcessName | اختياري | سلسلة | اسم عملية التمثيل. عادة ما يتم اشتقاق هذا الاسم من الصورة أو الملف القابل للتنفيذ المستخدم لتعريف التعليمات البرمجية والبيانات الأولية التي تم تعيينها في مساحة العنوان الظاهري للعملية. مثال: C:\Windows\explorer.exe |
| عملية | الاسم المستعار | الاسم المستعار ل ActingProcessName | |
| معرف المستخدم الممثل | المستحسنة | سلسلة | معرف فريد للممثل. يعتمد المعرف المحدد على النظام الذي ينشئ الحدث. لمزيد من المعلومات، راجع كيان المستخدم. مثال: S-1-5-18 |
| نوع المستخدم المستخدم | المستحسنة | سلسلة | نوع المعرف المخزن في الحقل ActorUserId . لمزيد من المعلومات، راجع كيان المستخدم. مثال: SID |
| الممثلUsername | إلزامي | سلسلة | اسم المستخدم للمستخدم الذي بدأ الحدث. مثال: CONTOSO\WIN-GG82ULGC9GO$ |
| نوع المستخدمUsername | إلزامي | تعداد | يحدد نوع اسم المستخدم المخزن في حقل ActorUsername . لمزيد من المعلومات، راجع كيان المستخدم. مثال: Windows |
| المستخدم | الاسم المستعار | الاسم المستعار لحقل ActorUsername . مثال: CONTOSO\dadmin |
|
| نوع المستخدم المستخدم | اختياري | تعداد | نوع الممثل. تتضمن القيم المدعومة ما يلي: - Regular- Machine- Admin- System- Application- Service Principal- Other ملاحظة: قد يوفر المصدر قيمة فقط لحقل ActorOriginalUserType ، والذي يجب تحليله للحصول على قيمة ActorUserType . |
| نوع المستخدم الأصلي للممثل | اختياري | سلسلة | نوع المستخدم المستخدم الممثل ، كما هو مقدم من قبل جهاز إعداد التقارير. |
| HttpUserAgent | اختياري | سلسلة | عند بدء العملية بواسطة نظام بعيد باستخدام HTTP أو HTTPS، استخدم عامل المستخدم. على سبيل المثال: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | اختياري | سلسلة | عند بدء العملية بواسطة نظام بعيد، تكون هذه القيمة هي بروتوكول طبقة التطبيق المستخدم في نموذج OSI. بينما لا يتم تعداد هذا الحقل، ويتم قبول أي قيمة، تتضمن القيم المفضلة: HTTPو HTTPSSMBFTPوSSHمثال: SMB |
| SrcIpAddr | المستحسنة | هذا عنوان IP | عند بدء العملية بواسطة نظام بعيد، عنوان IP لهذا النظام. مثال: 185.175.35.214 |
| SrcFileCreationTime | اختياري | الوقت/التاريخ | الوقت الذي تم فيه إنشاء الملف المصدر. |
| SrcFileDirectory | اختياري | سلسلة | مجلد الملف المصدر أو الموقع. يجب أن يكون هذا الحقل مشابها لحقل SrcFilePath ، بدون العنصر النهائي. ملاحظة: يمكن أن يوفر المحلل هذه القيمة إذا كانت القيمة متوفرة في مصدر السجل، ولا تحتاج إلى استخراجها من المسار الكامل. |
| SrcFileExtension | اختياري | سلسلة | ملحق الملف المصدر. ملاحظة: يمكن أن يوفر المحلل هذه القيمة التي تتوفر القيمة في مصدر السجل، ولا يحتاج إلى استخراجها من المسار الكامل. |
| SrcFileMimeType | اختياري | تعداد | نوع Mime أو Media للملف المصدر. يتم سرد القيم المعتمدة في مستودع أنواع وسائط IANA . |
| SrcFileName | اختياري | سلسلة | اسم الملف المصدر، بدون مسار أو موقع، ولكن مع ملحق إذا كان ذلك مناسبا. يجب أن يكون هذا الحقل مشابها للعنصر الأخير في حقل SrcFilePath . ملاحظة: يمكن أن يوفر المحلل هذه القيمة إذا كانت القيمة المتوفرة في مصدر السجل ولا تحتاج إلى استخراجها من المسار الكامل. |
| SrcFilePath | إلزامي | سلسلة | المسار الكامل والمتسوية للملف المصدر، بما في ذلك المجلد أو الموقع واسم الملف والملحق. لمزيد من المعلومات، راجع بنية المسار. مثال: /etc/init.d/networking |
| نوع SrcFilePathType | إلزامي | تعداد | نوع SrcFilePath. لمزيد من المعلومات، راجع بنية المسار. |
| SrcFileMD5 | اختياري | MD5 | تجزئة MD5 للملف المصدر. مثال: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | اختياري | SHA1 | تجزئة SHA-1 للملف المصدر. مثال: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | اختياري | SHA256 | تجزئة SHA-256 للملف المصدر. مثال: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | اختياري | SHA512 | تجزئة SHA-512 للملف المصدر. |
| SrcFileSize | اختياري | عدد صحيح | حجم الملف المصدر بالبايت. |
| TargetFileCreationTime | اختياري | الوقت/التاريخ | الوقت الذي تم فيه إنشاء الملف الهدف. |
| TargetFileDirectory | اختياري | سلسلة | مجلد الملف الهدف أو موقعه. يجب أن يكون هذا الحقل مشابها لحقل TargetFilePath ، بدون العنصر النهائي. ملاحظة: يمكن أن يوفر المحلل هذه القيمة إذا كانت القيمة المتوفرة في مصدر السجل ولا تحتاج إلى استخراجها من المسار الكامل. |
| TargetFileExtension | اختياري | سلسلة | ملحق الملف الهدف. ملاحظة: يمكن أن يوفر المحلل هذه القيمة إذا كانت القيمة المتوفرة في مصدر السجل ولا تحتاج إلى استخراجها من المسار الكامل. |
| TargetFileMimeType | اختياري | تعداد | نوع الملف الهدف Mime أو Media. يتم سرد القيم المسموح بها في مستودع أنواع وسائط IANA . |
| TargetFileName | اختياري | سلسلة | اسم الملف الهدف، بدون مسار أو موقع، ولكن مع ملحق إذا كان ذلك مناسبا. يجب أن يكون هذا الحقل مشابها للعنصر النهائي في الحقل TargetFilePath . ملاحظة: يمكن أن يوفر المحلل هذه القيمة إذا كانت القيمة المتوفرة في مصدر السجل ولا تحتاج إلى استخراجها من المسار الكامل. |
| TargetFilePath | إلزامي | سلسلة | المسار الكامل والمتسوية للملف الهدف، بما في ذلك المجلد أو الموقع واسم الملف والملحق. لمزيد من المعلومات، راجع بنية المسار. ملاحظة: إذا لم يتضمن السجل معلومات المجلد أو الموقع، فقم بتخزين اسم الملف هنا فقط. مثال: C:\Windows\System32\notepad.exe |
| TargetFilePathType | إلزامي | تعداد | نوع TargetFilePath. لمزيد من المعلومات، راجع بنية المسار. |
| مسار الملف | الاسم المستعار | الاسم المستعار للحقل TargetFilePath . | |
| TargetFileMD5 | اختياري | MD5 | تجزئة MD5 للملف الهدف. مثال: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | اختياري | SHA1 | تجزئة SHA-1 للملف الهدف. مثال: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | اختياري | SHA256 | تجزئة SHA-256 للملف الهدف. مثال: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | اختياري | SHA512 | تجزئة SHA-512 للملف المصدر. |
| التجزئة | الاسم المستعار | الاسم المستعار لأفضل تجزئة للملف الهدف المتوفرة. | |
| TargetFileSize | اختياري | عدد صحيح | حجم الملف الهدف بالبايت. |
| TargetUrl | اختياري | سلسلة | عند بدء العملية باستخدام HTTP أو HTTPS، يتم استخدام عنوان URL. مثال: https://onedrive.live.com/?authkey=... |
بنية المسار
يجب تسوية المسار لمطابقة أحد التنسيقات التالية. سينعكس التنسيق الذي تمت تسوية القيمة عليه في حقل FilePathType المعني.
| النوع | مثال | ملاحظات |
|---|---|---|
| Windows المحلي | C:\Windows\System32\notepad.exe |
نظرا لأن أسماء المسارات Windows غير حساسة لحالة الأحرف، فإن هذا النوع يعني أن القيمة غير حساسة لحالة الأحرف. |
| مشاركة Windows | \\Documents\My Shapes\Favorites.vssx |
نظرا لأن أسماء المسارات Windows غير حساسة لحالة الأحرف، فإن هذا النوع يعني أن القيمة غير حساسة لحالة الأحرف. |
| Unix | /etc/init.d/networking |
نظرا لأن أسماء مسارات Unix حساسة لحالة الأحرف، فإن هذا النوع يعني أن القيمة حساسة لحالة الأحرف. - استخدم هذا النوع ل AWS S3. قم بتسلسل أسماء المستودعات والمفتاح لإنشاء المسار. - استخدم هذا النوع لمفاتيح كائن تخزين Azure Blob. |
| عنوان URL | https://1drv.ms/p/s!Av04S_*********we |
استخدم عندما يكون مسار الملف متوفرا كعنون URL. لا تقتصر عناوين URL على http أو https، وأي قيمة، بما في ذلك قيمة FTP، صالحة. |
تحديثات المخطط
هذه هي التغييرات في الإصدار 0.1.1 من المخطط:
- تمت إضافة الحقل
EventSchema- اختياري حاليا، ولكنه سيصبح إلزاميا في 1 سبتمبر 2022.
الخطوات التالية
لمزيد من المعلومات، انظر: