مخططات نموذج معلومات الأمان المتقدمة (ASIM)
ملاحظة
يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.
مخطط نموذج معلومات الأمان المتقدم (ASIM) هو مجموعة من الحقول التي تمثل نشاطا. يضمن استخدام الحقول من مخطط تمت تسويته في استعلام أن الاستعلام سيعمل مع كل مصدر تمت تسويته.
لفهم كيفية احتواء المخططات ضمن بنية ASIM، راجع الرسم التخطيطي لبنية ASIM.
تحدد مراجع المخطط الحقول التي تتضمن كل مخطط. تحدد ASIM حاليا المخططات التالية:
| المخطط | إصدار | الحالة |
|---|---|---|
| حدث المصادقة | 0.1.1 | معاينة |
| نشاط DNS | 0.1.3 | معاينة |
| نشاط DHCP | 0.1 | معاينة |
| نشاط الملف | 0.1 | معاينة |
| جلسة عمل الشبكة | 0.2.2 | معاينة |
| معالجة الحدث | 0.1 | معاينة |
| حدث التسجيل | 0.1 | معاينة |
| الإدارة الخاصة بالمستخدم | 0.1 | معاينة |
| جلسة عمل ويب | 0.2.2 | معاينة |
هام
مخططات ASIM وتحليلاتها قيد المعاينة حاليا. تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.
مفاهيم المخطط
تساعد المفاهيم التالية على فهم المستندات المرجعية للمخطط وتوسيع المخطط بطريقة تمت تسويتها في حالة تضمين بياناتك لمعلومات لا يغطيها المخطط.
| المفهوم | الوصف |
|---|---|
| اسم الحقل | في جوهر كل مخطط توجد أسماء الحقول الخاصة به. تنتمي أسماء الحقول إلى المجموعات التالية: - الحقول المشتركة لجميع المخططات. - الحقول الخاصة بالمخطط. - الحقول التي تمثل الكيانات، مثل المستخدمين، الذين يشاركون في المخطط. الحقول التي تمثل الكيانات متشابهة عبر المخططات. عندما تحتوي المصادر على حقول لم يتم تقديمها في المخطط الموثق، يتم تسويتها للحفاظ على التناسق. إذا كانت الحقول الإضافية تمثل كيانا، فسيتم تسويتها استنادا إلى إرشادات حقل الكيان. وإلا، فإن المخططات تسعى جاهدة للحفاظ على التناسق عبر جميع المخططات. على سبيل المثال، بينما لا توفر سجلات نشاط خادم DNS معلومات المستخدم، قد تتضمن سجلات نشاط DNS من نقطة نهاية معلومات المستخدم، والتي يمكن تسويتها وفقا لإرشادات كيان المستخدم. |
| أنواع الحقل | يحتوي كل حقل مخطط على نوع. تحتوي مساحة عمل Log Analytics على مجموعة محدودة من أنواع البيانات. لهذا السبب، يستخدم Microsoft Sentinel نوعا منطقيا للعديد من حقول المخطط، والتي لا يفرضها Log Analytics ولكنها مطلوبة لتوافق المخطط. تضمن أنواع الحقول المنطقية اتساق كل من القيم وأسماء الحقول عبر المصادر. لمزيد من المعلومات، راجع الأنواع المنطقية. |
| فئة الحقل | قد تحتوي الحقول على عدة فئات، والتي تحدد متى يجب تنفيذ الحقول بواسطة محلل: - يجب أن تظهر الحقول الإلزامية في كل محلل. إذا لم يوفر المصدر معلومات لهذه القيمة، أو تعذرت إضافة البيانات بخلاف ذلك، فلن يدعم معظم عناصر المحتوى التي تشير إلى المخطط الذي تمت تسويته. - يجب تسوية الحقول الموصى بها إذا كانت متوفرة. ومع ذلك، قد لا تكون متوفرة في كل مصدر. يجب أن يأخذ أي عنصر محتوى يشير إلى المخطط الذي تمت تسويته التوفر في الاعتبار. - يمكن تسوية الحقول الاختيارية، إذا كانت متوفرة، أو تركها في شكلها الأصلي. عادة، لا يقوم محلل الحد الأدنى بتطبيعها لأسباب تتعلق بالأداء. |
| الحقول الشائعة | بعض الحقول شائعة في جميع مخططات ASIM. قد يضيف كل مخطط إرشادات لاستخدام بعض الحقول الشائعة في سياق المخطط المحدد. على سبيل المثال، قد تختلف القيم المسموح بها لحقل EventType لكل مخطط، كما قد تختلف قيمة حقل EventSchemaVersion . |
| Entities | تتطور الأحداث حول الكيانات، مثل المستخدمين أو المضيفين أو العمليات أو الملفات. قد يتطلب كل كيان عدة حقول لوصفه. على سبيل المثال، قد يكون للمضيف اسم وعنوان IP. قد يتضمن السجل الواحد كيانات متعددة من نفس النوع، مثل كل من مضيف المصدر والوجهة. يحدد ASIM كيفية وصف الكيانات باستمرار، وتسمح الكيانات بتوسيع المخططات. على سبيل المثال، بينما لا يتضمن مخطط جلسة عمل الشبكة معلومات العملية، توفر بعض مصادر الأحداث معلومات عملية يمكن إضافتها. لمزيد من المعلومات، راجع الكيانات. |
| الأسماء المستعارة | في بعض الحالات، يتوقع مستخدمون مختلفون أن يكون للحقل أسماء مختلفة. على سبيل المثال، في مصطلحات DNS، قد تتوقع حقلا باسم query، بينما بشكل عام، يحمل اسم مجال. تحل الأسماء المستعارة مشكلة الغموض هذه عن طريق السماح بأسماء متعددة لقيمة محددة. ستكون فئة الاسم المستعار هي نفس الحقل الذي تسميه باسم مستعار.لا يدعم Log Analytics الاسم المستعار. لتنفيذ محللات الأسماء المستعارة، قم بإنشاء نسخة من القيمة الأصلية extend باستخدام عامل التشغيل . |
الأنواع المنطقية
يحتوي كل حقل مخطط على نوع. تحتوي بعضها على أنواع مضمنة أو Log Analytics، مثل stringأو intdatetimeأو أو dynamic. تحتوي الحقول الأخرى على نوع منطقي، والذي يمثل كيفية تسوية قيم الحقول.
| نوع البيانات | النوع الفعلي | التنسيق والقيمة |
|---|---|---|
| منطقي | قيمة منطقية | استخدم نوع بيانات KQL bool المضمن بدلا من تمثيل رقمي أو سلسلة للقيم المنطقية. |
| تعداد | سلسلة | قائمة بالقيم كما هو محدد بشكل صريح للحقل. يسرد تعريف المخطط القيم المقبولة. |
| التاريخ/الوقت | اعتمادا على إمكانية أسلوب الاستيعاب، استخدم أي من التمثيلات المادية التالية في الأولوية التنازلية: - نوع التاريخ والوقت المضمن في Log Analytics - حقل عدد صحيح باستخدام التمثيل العددي للتاريخ والوقت لتحليلات السجل. - حقل سلسلة باستخدام التمثيل الرقمي للتاريخ والوقت لتحليلات السجل - حقل سلسلة يخزن تنسيق التاريخ/الوقت المعتمد لتحليلات السجل. |
يتشابه تمثيل التاريخ والوقت في Log Analytics ولكنه يختلف عن تمثيل وقت Unix. لمزيد من المعلومات، راجع إرشادات التحويل. ملاحظة: عند الاقتضاء، يجب أن يكون الوقت هو المنطقة الزمنية المعدلة. |
| عنوان MAC | سلسلة | Colon-Hexadecimal تدوين. |
| عنوان IP | سلسلة | لا تحتوي مخططات Microsoft Sentinel على عناوين IPv4 وIPv6 منفصلة. قد يتضمن أي حقل عنوان IP عنوان IPv4 أو عنوان IPv6، كما يلي: - IPv4 في رمز عشري نقطة. - IPv6 في 8-رمز سداسي عشري، ما يسمح بالنموذج القصير. على سبيل المثال: - IPv4: 192.168.10.10 - IPv6: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210- نموذج IPv6 قصير: 1080::8:800:200C:417A |
| اسم مجال مؤهل بالكامل (FQDN) | سلسلة | اسم مجال مؤهل بالكامل باستخدام رمز نقطة، على سبيل المثال، docs.microsoft.com. لمزيد من المعلومات، راجع كيان الجهاز. |
| المضيف | سلسلة | يتضمن اسم المضيف الذي ليس FQDN ما يصل إلى 63 حرفا بما في ذلك الأحرف والأرقام والواصلات. لمزيد من المعلومات، راجع كيان الجهاز. |
| نوع المجال | تعداد | نوع المجال المخزن في المجال وحقول FQDN. للحصول على قائمة بالقيم والمزيد من المعلومات، راجع كيان الجهاز. |
| نوع DvcId | تعداد | نوع معرف الجهاز المخزن في حقول DvcId. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DvcIdType. |
| نوع الجهاز | تعداد | نوع الجهاز المخزن في حقول DeviceType. تشمل القيم المتاحة ما يلي: - Computer- Mobile Device- IOT Device- Other. لمزيد من المعلومات، راجع كيان الجهاز. |
| المستخدم | سلسلة | اسم مستخدم صالح في أحد الأنواع المدعومة. لمزيد من المعلومات، راجع كيان المستخدم. |
| نوع اسم المستخدم | تعداد | نوع اسم المستخدم المخزن في حقول اسم المستخدم. لمزيد من المعلومات وقائمة القيم المدعومة، راجع كيان المستخدم. |
| نوع المستخدم | تعداد | نوع المعرف المخزن في حقول معرف المستخدم. القيم المدعومة هي SIDو UISAADIDوOktaId.AWSId لمزيد من المعلومات، راجع كيان المستخدم. |
| نوع المستخدم | تعداد | نوع المستخدم. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع كيان المستخدم. |
| نوع التطبيق | تعداد | نوع التطبيق. تتضمن القيم المدعومة ما يلي: Processو ServiceوResource. URLOtherSaaS applicationCloudService |
| الدولة | سلسلة | سلسلة تستخدم ISO 3166-1، وفقا للأولوية التالية: - رموز Alpha-2، مثل US الولايات المتحدة. - رموز Alpha-3، مثل USA الولايات المتحدة. - اسم قصير. يمكن العثور على قائمة الرموز على موقع المنظمة الدولية للمعايير (ISO). |
| المنطقة | سلسلة | اسم تقسيم البلد، باستخدام ISO 3166-2. يمكن العثور على قائمة الرموز على موقع المنظمة الدولية للمعايير (ISO). |
| المدينة | سلسلة | |
| خط الطول | مزدوج | تمثيل إحداثيات ISO 6709 (رقم عشري موقع). |
| خط العرض | مزدوج | تمثيل إحداثيات ISO 6709 (رقم عشري موقع). |
| MD5 | سلسلة | 32 حرفا سداسيا. |
| SHA1 | سلسلة | 40 حرفا سداسيا. |
| SHA256 | سلسلة | 64 حرفا سداسيا. |
| SHA512 | سلسلة | 128 حرفا سداسيا. |
Entities
تتطور الأحداث حول الكيانات، مثل المستخدمين أو المضيفين أو العمليات أو الملفات. يسمح تمثيل الكيان للعديد من الكيانات من نفس النوع أن تكون جزءا من سجل واحد، ويدعم سمات متعددة لنفس الكيانات.
لتمكين وظيفة الكيان، يحتوي تمثيل الكيان على الإرشادات التالية:
| الإرشادات | الوصف |
|---|---|
| الواصفات والاسم المستعار | نظرا لأن حدثا واحدا غالبا ما يتضمن أكثر من كيان من نفس النوع، مثل مضيفي المصدر والوجهة، يتم استخدام الواصفات كبادئة لتعريف كافة الحقول المقترنة بكيان معين. للحفاظ على التطبيع، يستخدم ASIM مجموعة صغيرة من الواصفات القياسية، واختيار الواصفات الأكثر ملاءمة للدور المحدد للكيانات. إذا كان كيان واحد من النوع ذا صلة بحدث ما، فلا حاجة لاستخدام واصف. أيضا، تقوم مجموعة من الحقول التي لا تحتوي على واصف بتسميات مستعارة للكيان الأكثر استخداما لكل نوع. |
| المعرفات والأنواع | يسمح المخطط الذي تمت تسويته بالعديد من المعرفات لكل كيان، والذي نتوقع أن يتعايش في الأحداث. إذا كان الحدث المصدر يحتوي على معرفات كيان أخرى لا يمكن تعيينها إلى المخطط العادي، فاحتفظ بها في النموذج المصدر أو استخدم الحقل الديناميكي AdditionalFields . للاحتفاظ بمعلومات النوع للمعرفات، قم بتخزين النوع، عند الاقتضاء، في حقل بنفس الاسم ولاحقة من النوع. على سبيل المثال، UserIdType. |
| السمات | غالبا ما يكون للكيانات سمات أخرى لا تعمل كمعرف ويمكن أيضا أن تكون مؤهلة باستخدام واصف. على سبيل المثال، إذا كان لدى المستخدم المصدر معلومات المجال، فإن الحقل الذي تمت تسويته هو SrcUserDomain. |
يحدد كل مخطط بشكل صريح الكيانات المركزية وحقول الكيان. تمكنك الإرشادات التالية من فهم حقول المخطط المركزي، وكيفية توسيع المخططات بطريقة تمت تسويتها باستخدام كيانات أو حقول كيانات أخرى لم يتم تعريفها بشكل صريح في المخطط.
كيان المستخدم
المستخدمون أساسيون للأنشطة التي تم الإبلاغ عنها بواسطة الأحداث. تستخدم الحقول المدرجة في هذا القسم لوصف المستخدمين المشاركين في الإجراء. يتم استخدام البادئات لتعيين دور المستخدم في النشاط. يتم استخدام البادئات Src و Dst لتعيين دور المستخدم في الأحداث المتعلقة بالشبكة، حيث يتصل نظام المصدر ونظام الوجهة. يتم استخدام بادئات "الممثل" و"الهدف" للأحداث الموجهة للنظام مثل أحداث العملية.
معرف المستخدم
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| Userid | اختياري | سلسلة | تمثيل فريد قابل للقراءة آليا، أبجدي رقمي، وفريد للمستخدم. |
| نوع معرف المستخدم | اختياري | نوع معرف المستخدم | نوع المعرف المخزن في الحقل UserId . |
| SID، UID، AADID، OktaId، AWSId | اختياري | سلسلة | الحقول المستخدمة لتخزين معرفات مستخدم إضافية، إذا كان الحدث الأصلي يتضمن معرفات مستخدم متعددة. حدد المعرف الأكثر إقرانا بالحدث كمعرف أساسي مخزن في UserId. |
القيم المسموح بها لنوع معرف المستخدم هي:
| النوع | الوصف | مثال |
|---|---|---|
| سيد | معرف مستخدم Windows. | S-1-5-21-1377283216-344919071-3415362939-500 |
| UID | معرف مستخدم Linux. | 4578 |
| AADID | معرف مستخدم Azure Active Directory. | 9267d02c-5f76-40a9-a9eb-b686f3ca47aa |
| OktaId | معرف مستخدم Okta. | 00urjk4znu3BcncfY0h7 |
| معرف AWS | معرف مستخدم AWS. | 72643944673 |
اسم المستخدم
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| المستخدم | اختياري | سلسلة | اسم المستخدم المصدر، بما في ذلك معلومات المجال عند توفره. استخدم النموذج البسيط فقط إذا لم تكن معلومات المجال متوفرة. تخزين نوع اسم المستخدم في حقل نوع اسم المستخدم . |
| نوع اسم المستخدم | اختياري | نوع اسم المستخدم | تحديد نوع اسم المستخدم المخزن في حقل اسم المستخدم . |
| UPN، WindowsUsername، DNUsername، SimpleUsername | اختياري | سلسلة | الحقول المستخدمة لتخزين أسماء مستخدمين إضافية، إذا كان الحدث الأصلي يتضمن أسماء مستخدمين متعددة. حدد اسم المستخدم الأكثر ارتباطا بالحدث باعتباره اسم المستخدم الأساسي المخزن في اسم المستخدم. |
القيم المسموح بها لنوع اسم المستخدم هي:
| النوع | الوصف | مثال |
|---|---|---|
| UPN | معين اسم مستخدم UPN أو عنوان البريد الإلكتروني. | johndow@contoso.com |
| Windows | اسم مستخدم Windows بما في ذلك مجال. | Contoso\johndow |
| DN | معين اسم مميز ل LDAP. | CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM |
| بسيط | اسم مستخدم بسيط بدون معين مجال. | johndow |
| معرف AWS | معرف مستخدم AWS. | 72643944673 |
حقول مستخدم إضافية
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| نوع المستخدم | اختياري | UserType | نوع المستخدم المصدر. تتضمن القيم المدعومة: Regularو MachineAdminو SystemوApplicationService Principal.Other قد يتم توفير القيمة في السجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها لهذه القيم. تخزين القيمة الأصلية في حقل OriginalUserType . |
| نوع المستخدم الأصلي | اختياري | سلسلة | نوع المستخدم الوجهة الأصلي، إذا تم توفيره من قبل جهاز إعداد التقارير. |
كيان الجهاز
الأجهزة، أو المضيفين، هي المصطلحات الشائعة المستخدمة للأنظمة التي تشارك في الحدث. يتم استخدام البادئة Dvc لتعيين الجهاز الأساسي الذي يقع عليه الحدث. تحتوي بعض الأحداث، مثل جلسات عمل الشبكة، على أجهزة المصدر والوجهة، المعينة بواسطة البادئة Src و Dst. في مثل هذه الحالة، يتم استخدام البادئة Dvc للجهاز الذي يبلغ عن الحدث، والذي قد يكون المصدر أو الوجهة أو جهاز مراقبة.
الاسم المستعار للجهاز
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| Dvc، Src، Dst | إلزامي | سلسلة | Dvcيتم استخدام حقول "Src" أو "Dst" كمعرف فريد للجهاز. يتم تعيينه إلى أفضل ما هو متاح تم تحديده للجهاز. يمكن لهذه الحقول الاسم المستعار لحقول FQDN أو DvcId أو Hostname أو IpAddr . بالنسبة لمصادر السحابة، التي لا يوجد جهاز واضح لها، استخدم نفس قيمة حقل Event Product . |
اسم الجهاز
قد تتضمن أسماء الأجهزة التي تم الإبلاغ عنها اسم مضيف فقط، أو اسم مجال مؤهل بالكامل (FQDN)، والذي يتضمن اسم مضيف واسم مجال. قد يتم التعبير عن FQDN باستخدام عدة تنسيقات. تمكن الحقول التالية من دعم المتغيرات المختلفة التي قد يتم فيها توفير اسم الجهاز.
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| المضيف | المستحسنة | اسم المضيف | اسم المضيف القصير للجهاز. |
| المجال | المستحسنة | سلسلة | مجال الجهاز الذي حدث عليه الحدث، دون اسم المضيف. |
| نوع المجال | المستحسنة | تعداد | نوع المجال. تتضمن FQDN القيم المدعومة و Windows. هذا الحقل مطلوب إذا تم استخدام الحقل Domain . |
| FQDN | اختياري | سلسلة | FQDN للجهاز بما في ذلك اسم المضيفوالمجال . يدعم هذا الحقل تنسيق FQDN التقليدي وتنسيق Windows domain\hostname. يعكس حقل DomainType التنسيق المستخدم. |
على سبيل المثال:
| الحقل | قيمة الإدخال appserver.contoso.com |
قيمة الإدخال appserver |
|---|---|---|
| اسم المضيف | appserver |
appserver |
| Domain | contoso.con |
<empty> |
| نوع المجال | FQDN |
<empty> |
| اسم مجال مؤهل بالكامل (FQDN) | appserver.contoso.com |
<empty> |
عندما تكون القيمة التي يوفرها المصدر هي FQDN، أو عندما تكون القيمة إما وFQDN أو اسم مضيف قصير، يجب على المحلل حساب القيم الأربع. ستقوم القصاصة البرمجية التالية بإجراء هذا الحساب، في هذه الحالة تعيين Dvc الحقول استنادا إلى إدخال ab في Host الحقل
| extend SplitHostname = split(Host,".")
| extend
DvcDomain = tostring(strcat_array(array_slice(SplitHostname, 1, -1), '.')),
DvcFQDN = iif (array_length(SplitHostname) > 1, Hostname, ''),
DvcDomainType = iif (array_length(SplitHostname) > 1, 'FQDN', '')
| extend
DvcHostname = tostring(SplitHostname[0])
| project-away SplitHostname
معرف الجهاز
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| معرف Dvc | اختياري | سلسلة | المعرف الفريد للجهاز . على سبيل المثال:41502da5-21b7-48ec-81c9-baeea8d7d669 |
| نوع DvcId | اختياري | تعداد | نوع DvcId. هذا الحقل مطلوب إذا تم استخدام الحقل DvcId . |
| DvcAzureResourceId، DvcMDEid، DvcMD4IoTid، DvcVMConnectionId، DvcVectraId، DvcAwsVpcId | اختياري | سلسلة | الحقول المستخدمة لتخزين معرفات إضافية للجهاز، إذا كان الحدث الأصلي يتضمن معرفات أجهزة متعددة. حدد معرف الجهاز الأكثر ارتباطا بالحدث كمعرف أساسي مخزن في DvcId. |
لاحظ أن الحقول المسماة يجب أن تسبق بادئة دور مثل Src أو Dst، ولكن لا يجب أن تسبق بادئة ثانية Dvc إذا تم استخدامها في هذا الدور.
القيم المسموح بها لنوع معرف الجهاز هي:
| النوع | الوصف |
|---|---|
| MDEid | معرف النظام المعين من قبل Microsoft Defender لنقطة النهاية. |
| AzureResourceId | معرف مورد Azure. |
| MD4IoTid | معرف مورد Microsoft Defender for IoT. |
| VMConnectionId | معرف مورد الحل Insights جهاز Azure Monitor الظاهري. |
| AwsVpcId | معرف AWS VPC. |
| معرف Vectra | معرف مورد تم تعيينه الذكاء الاصطناعي Vectra. |
| أخرى | نوع المعرف غير مدرج أعلاه. |
على سبيل المثال، يوفر حل Insights VM Azure Monitor معلومات جلسات عمل الشبكة في VMConnection. يوفر الجدول معرف مورد Azure في _ResourceId الحقل ومعرف جهاز محدد لدائرة تحليلات الجهاز الظاهري في Machine الحقل. استخدم التعيين التالي لتمثيل هذه المعرفات:
| الحقل | تعيين إلى |
|---|---|
| معرف Dvc | Machine الحقل في VMConnection الجدول. |
| نوع DvcId | القيمة VMConnectionId |
| DvcAzureResourceId | _ResourceId الحقل في VMConnection الجدول. |
حقول الأجهزة الإضافية
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| IpAddr | المستحسنة | عنوان IP | عنوان IP للجهاز. مثال: 45.21.42.12 |
| وصف DvcDescription | اختياري | سلسلة | نص وصفي مقترن بالجهاز. على سبيل المثال: Primary Domain Controller. |
| MacAddr | اختياري | ماك | عنوان MAC للجهاز الذي حدث عليه الحدث أو الذي أبلغ عن الحدث. مثال: 00:1B:44:11:3A:B7 |
| المنطقه | اختياري | سلسلة | الشبكة التي وقع عليها الحدث أو التي أبلغت عن الحدث، اعتمادا على المخطط. يتم تعريف المنطقة بواسطة جهاز إعداد التقارير. مثال: Dmz |
| DvcOs | اختياري | سلسلة | نظام التشغيل الذي يعمل على الجهاز الذي حدث عليه الحدث أو الذي أبلغ عن الحدث. مثال: Windows |
| DvcOsVersion | اختياري | سلسلة | إصدار نظام التشغيل على الجهاز الذي حدث عليه الحدث أو الذي أبلغ عن الحدث. مثال: 10 |
| DvcAction | اختياري | سلسلة | للإبلاغ عن أنظمة الأمان، الإجراء الذي يتخذه النظام، إن أمكن. مثال: Blocked |
| DvcOriginalAction | اختياري | سلسلة | DvcAction الأصلي كما هو مقدم من قبل جهاز إعداد التقارير. |
| واجهه | اختياري | سلسلة | واجهة الشبكة التي تم التقاط البيانات عليها. عادة ما يكون هذا الحقل مناسبا للنشاط المرتبط بالشبكة الذي يتم التقاطه بواسطة جهاز وسيط أو اضغط عليه. |
| معرف الاشتراك | اختياري | سلسلة | معرف اشتراك النظام الأساسي السحابي الذي ينتمي إليه الجهاز. تعيين DvcSubscriptionId إلى معرف اشتراك على Azure ومعرف حساب على AWS. |
لاحظ أن الحقول المسماة في القائمة مع بادئة Dvc يجب أن تسبق بادئة دور مثل Src أو Dst، ولكن يجب ألا تسبق بادئة ثانية Dvc إذا تم استخدامها في هذا الدور.
عينة تعيين الكيان
يستخدم هذا القسم Windows الحدث 4624 كمثال لوصف كيفية تسوية بيانات الحدث ل Microsoft Sentinel.
يحتوي هذا الحدث على الكيانات التالية:
| مصطلحات Microsoft | بادئة حقل الحدث الأصلي | بادئة حقل ASIM | الوصف |
|---|---|---|---|
| Subject | Subject |
Actor |
المستخدم الذي أبلغ عن معلومات حول تسجيل دخول ناجح. |
| تسجيل الدخول الجديد | Target |
TargetUser |
المستخدم الذي تم إجراء تسجيل الدخول له. |
| عملية | - | ActingProcess |
العملية التي حاولت تسجيل الدخول. |
| معلومات الشبكة | - | Src |
الجهاز الذي تم إجراء محاولة تسجيل الدخول منه. |
استنادا إلى هذه الكيانات، يتم تسوية Windows الحدث 4624 كما يلي (بعض الحقول اختيارية):
| حقل تمت تسويته | الحقل الأصلي | القيمة في المثال | ملاحظات |
|---|---|---|---|
| معرف المستخدم الممثل | SubjectUserSid | S-1-5-18 | |
| نوع المستخدم المستخدم | - | سيد | |
| ActorUserName | SubjectDomainName\ SubjectUserName | WORKGROUP\WIN-GG82ULGC9GO$ | تم إنشاؤه بواسطة تسلسل الحقلين |
| ActorUserNameType | - | Windows | |
| معرف المستخدم | SubjectLogonId | 0x3e7 | |
| TargetUserId | TargetUserSid | S-1-5-21-1377283216-344919071-3415362939-500 | |
| معرف المستخدم | TargetUserSid | الاسم المستعار | |
| TargetUserIdType | - | سيد | |
| TargetUserName | TargetDomainName\ TargetUserName | Administrator\WIN-GG82ULGC9GO$ | تم إنشاؤه بواسطة تسلسل الحقلين |
| اسم المستخدم | TargetDomainName\ TargetUserName | الاسم المستعار | |
| TargetUserNameType | - | Windows | |
| TargetSessionId | TargetLogonId | 0x8dcdc | |
| ActingProcessName | ProcessName | C:\Windows\System32\svchost.exe | |
| ActingProcessId | معرف العملية | 0x44c | |
| اسم SrcHostname | WorkstationName | Windows | |
| SrcIpAddr | Ipaddress | 127.0.0.1 | |
| SrcPortNumber | IpPort | 0 | |
| TargetHostname | الكمبيوتر | WIN-GG82ULGC9GO | |
| اسم المضيف | الكمبيوتر | الاسم المستعار |
الخطوات التالية
توفر هذه المقالة نظرة عامة على التطبيع في Microsoft Sentinel وASIM.
لمزيد من المعلومات، انظر: