مخطط تطبيع شبكة Microsoft Sentinel (الإصدار القديم - المعاينة العامة)
ملاحظة
يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.
يستخدم مخطط تطبيع الشبكة لوصف أحداث الشبكة التي تم الإبلاغ عنها، ويتم استخدامه بواسطة Microsoft Sentinel لتمكين التحليلات الموحدة.
لمزيد من المعلومات، راجع التطبيع ونموذج معلومات الأمان المتقدمة (ASIM).
هام
تتعلق هذه المقالة بالإصدار 0.1 من مخطط تطبيع الشبكة، الذي تم إصداره كمعاينة قبل توفر ASIM. يتوافق الإصدار 0.2 من مخطط تطبيع الشبكة مع ASIM ويوفر تحسينات أخرى.
لمزيد من المعلومات، راجع الاختلافات بين إصدارات مخطط تطبيع الشبكة
المصطلحات
يتم استخدام المصطلحات التالية في مخططات Microsoft Sentinel:
| المصطلح | التعريف |
|---|---|
| جهاز إعداد التقارير | يقوم النظام بإرسال السجلات إلى Microsoft Sentinel. وقد لا يكون هذا هو النظام الموضوعي للسجل. |
| السجل | وحدة بيانات مرسلة من جهاز إعداد التقارير. غالبا ما يشار إلى وحدة البيانات هذه باسم log، eventأو alert، ولكن يمكن أن يكون لها أيضا أنواع أخرى. |
أنواع البيانات وتنسيقاتها
يوفر الجدول التالي إرشادات لتطبيع قيم البيانات، وهو أمر مطلوب للحقول التي تمت تسويتها، ويوصى به للحقول الأخرى.
| نوع البيانات | النوع المادي | التنسيق والقيمة |
|---|---|---|
| التاريخ/الوقت | أحد الإجراءات التالية، اعتمادا على إمكانية استخدام طريقة الابتلاع، في الأولوية التنازلية:
|
سجل تمثيل التاريخ والوقت في Analytics. تمثيل التاريخ والوقت في Log Analytics متشابه في طبيعته ولكنه يختلف عن تمثيل وقت يونكس. ارجع إلى إرشادات التحويل هذه. يجب ضبط التاريخ والوقت للمناطق الزمنية. |
| عنوان ماك | سلسلة | تدوين Colon-Hexadecimal |
| هذا عنوان IP | عنوان IP | لا يحتوي المخطط على عناوين IPv4 وIPv6 منفصلة. قد يتضمن أي حقل عنوان IP إما عنوان IPv4 أو عنوان IPv6:
|
| المستخدم | سلسلة | تتوفر حقول مستخدم 3 التالية:
|
| معرّف المستخدم | سلسلة | يتم حاليا دعم معرفات المستخدمين 2 التالية:
|
| الجهاز | سلسلة | يتم دعم أعمدة 3 للجهاز/المضيف التالية:
|
| الدولة | سلسلة | سلسلة باستخدام ISO 3166-1 ، وفقا للأولويات التالية:
|
| المنطقة | سلسلة | اسم التقسيم الفرعي للبلد باستخدام ISO 3166-2 |
| المدينة | سلسلة | |
| خط الطول | مزدوج | تمثيل إحداثيات ISO 6709 (علامة عشرية موقعة) |
| العرض | مزدوج | تمثيل إحداثيات ISO 6709 (علامة عشرية موقعة) |
| خوارزمية التجزئة | سلسلة | يتم دعم أعمدة التجزئة 4 التالية:
|
| نوع الملف | سلسلة | نوع نوع الملف:
|
مخطط جدول جلسات عمل الشبكة
فيما يلي مخطط جدول جلسات الشبكة ، الذي تم إصداره 1.0.0
| اسم الحقل | نوع القيمة | مثال | الوصف | كيانات OSSEM المرتبطة |
|---|---|---|---|---|
| EventType | سلسلة | نسبة استخدام الشبكة | نوع الحدث الذي يتم جمعه | الحدث |
| الحدث الفرعي | سلسلة | المصادقة | وصف إضافي للنوع، إن أمكن | الحدث |
| عدد الفعاليات | عدد صحيح | 10 | عدد الأحداث المجمعة، إن وجدت. | الحدث |
| EventEndTime | الوقت/التاريخ | راجع "أنواع البيانات" | الوقت الذي انتهى فيه الحدث | الحدث |
| رسالة الحدث | سلسلة | تم رفض الوصول | رسالة أو وصف عام، إما مضمن في السجل أو تم إنشاؤه منه | الحدث |
| DvcIpAddr | عنوان IP | 23.21.23.34 | عنوان IP للجهاز الذي ينشئ السجل | جهاز عنوان IP |
| دي في سي ماك أدر | سلسلة | 06:10:9f:eb:8f:14 | عنوان MAC الخاص بواجهة الشبكة الخاصة بجهاز إعداد التقارير الذي تم إرسال الحدث منه. | جهاز Mac |
| DvcHostname | اسم الجهاز (سلسلة) | syslogserver1.contoso.com | اسم الجهاز الخاص بالجهاز الذي ينشئ الرسالة. | الجهاز |
| الحدثالمنتج | سلسلة | أوفيسشيربوينت | المنتج الذي يولد الحدث. | الحدث |
| EventProductVersion | سلسلة | 9.0 | إصدار المنتج الذي يولد الحدث. | الحدث |
| EventResourceId | معرف الجهاز (سلسلة) | /الاشتراكات/3c1bb38c-82e3-4f8d-a115-a7110ba70d05 /مجموعات الموارد/contoso77/الموفرين/microsoft.compute/الأجهزة الظاهرية/syslogserver1 | معرف المورد الخاص بالجهاز الذي ينشئ الرسالة. | الحدث |
| EventReportUrl | سلسلة | https://192.168.1.1/repoerts/ae3-56.htm | رابط إلى التقرير الكامل الذي أنشأه جهاز إعداد التقارير | الحدث |
| الحدثالبائع | سلسلة | Microsoft | بائع المنتج الذي يقوم بإنشاء الحدث. | الحدث |
| الحدثالنتيجة | متعدد القيم: نجاح، جزئي، فشل، [فارغ] (سلسلة) | نجاح | تم الإبلاغ عن النتيجة للنشاط. قيمة فارغة عندما لا تكون قابلة للتطبيق. | الحدث |
| الحدثالنتيجةتفاصيل | سلسلة | كلمة مرور خاطئة | سبب أو تفاصيل النتيجة التي تم الإبلاغ عنها في EventResult | الحدث |
| EventSchemaVersion | حقيقي | 0.1 | مايكروسوفت Sentinel مخطط الإصدار. حاليا 0.1. | الحدث |
| شدة الحدث | سلسلة | منخفض | إذا كان للنشاط المبلغ عنه تأثير أمني، فهذا يدل على شدة التأثير. | الحدث |
| الحدثالأصليUid | سلسلة | af6ae8fe-ff43-4a4c-b537-8635976a2b51 | معرف السجل من جهاز إعداد التقارير. | الحدث |
| الحدثوقت البدء | الوقت/التاريخ | راجع "أنواع البيانات" | الوقت الذي ذكر فيه الحدث | الحدث |
| وقت الإنشاء | الوقت/التاريخ | راجع "أنواع البيانات" | الوقت الذي وقع فيه الحدث، كما أفاد مصدر الإبلاغ. | حقل مخصص |
| EventTimeIngested | الوقت/التاريخ | راجع "أنواع البيانات" | الوقت الذي تم فيه تناول الحدث إلى Microsoft Sentinel. سيتم إضافته بواسطة Microsoft Sentinel. | الحدث |
| EventUid | غويد (سلسلة) | 516a64e3-8360-4f1e-a67c-d96b3d52df54 | معرف فريد يستخدمه Microsoft Sentinel لوضع علامة على صف. | الحدث |
| بروتوكول تطبيق الشبكة | سلسلة | HTTPS | بروتوكول طبقة التطبيق المستخدم بواسطة الاتصال أو جلسة العمل. | الشبكة |
| DstBytes | int | 32455 | عدد وحدات البايت المرسلة من الوجهة إلى المصدر للاتصال أو جلسة العمل. | الوجهة |
| سرك بايت | int | 46536 | عدد وحدات البايت المرسلة من المصدر إلى الوجهة للاتصال أو جلسة العمل. | المصدر |
| NetworkBytes | int | 78991 | عدد البايتات المرسلة في كلا الاتجاهين. في حالة وجود كل من BytesReceived و BytesSent ، يجب أن يساوي BytesTotal مجموعهما. | الشبكة |
| اتجاه الشبكة | متعدد القيم: وارد، صادر (سلسلة) | الواردة | اتجاه الاتصال أو الجلسة، داخل المؤسسة أو خارجها. | الشبكة |
| دي إس تي جيوسيتي | سلسلة | برلنغتون | المدينة المرتبطة بعنوان IP الوجهة | مقصد الموقع الجغرافي |
| دي إس تي جيوكانتري | البلد (سلسلة) | USA | البلد المرتبط بعنوان IP المصدر | مقصد الموقع الجغرافي |
| DstDvcHostname | اسم الجهاز (سلسلة) | victim_pc | اسم الجهاز للجهاز الوجهة | الوجهة الجهاز |
| DstDvcFqdn | سلسلة | victim_pc.contoso.local | اسم المجال المؤهل بالكامل للمضيف حيث تم إنشاء السجل | مقصد الجهاز |
| DstDomainHostname | سلسلة | كونتوسو | نطاق الوجهة ، نطاق مضيف الوجهة (موقع الويب ، اسم المجال ، إلخ) ، على سبيل المثال لعمليات البحث عن DNS أو عمليات بحث NS | الوجهة |
| DstInterfaceName | سلسلة | محول شبكة Microsoft Hyper-V | واجهة الشبكة المستخدمة للاتصال أو الجلسة بواسطة الجهاز الوجهة. | الوجهة |
| DstInterfaceGuid | سلسلة | 2BB33827-6BB6-48DB-8DE6-DB9E0B9F9C9B | المعرف الفريد العمومي لواجهة الشبكة التي تم استخدامها لطلب المصادقة | الوجهة |
| DstIpAddr | عنوان IP | 2001:db8::ff00:42:8329 | عنوان IP للاتصال أو وجهة الجلسة، ويشار إليه عادة باسم عنوان IP الوجهة في حزمة الشبكة | مقصد عنوان IP |
| DstDvcIpAddr | عنوان IP | 75.22.12.2 | عنوان IP الوجهة لجهاز غير مقترن مباشرة بحزمة الشبكة | مقصد جهاز عنوان IP |
| DstGeoLatitude | خط العرض (مزدوج) | 44.475833 | خط عرض الإحداثيات الجغرافية المرتبطة بعنوان IP الوجهة | مقصد الموقع الجغرافي |
| DstMacAddr | سلسلة | 06:10:9f:eb:8f:14 | عنوان MAC لواجهة الشبكة التي تم إنهاء الاتصال أو الجلسة عندها، والأكثر شيوعا يشير إلى MAC الوجهة في حزمة الشبكة | مقصد الماك |
| DstDvcMacAddr | سلسلة | 06:10:9f:eb:8f:14 | عنوان MAC الوجهة لجهاز غير مقترن مباشرة بحزمة الشبكة. | مقصد جهاز الماك |
| DstDvcDomain | سلسلة | كونتوسو | نطاق الجهاز الوجهة. | مقصد الجهاز |
| DstPortNumber | عدد صحيح | 443 | منفذ IP الوجهة. | مقصد المنفذ |
| المنطقة الجغرافية | المنطقة (سلسلة) | فيرمونت | المنطقة داخل بلد مرتبط بعنوان IP الوجهة | مقصد الموقع الجغرافي |
| DstResourceId | معرف الجهاز (سلسلة) | /الاشتراكات/3c1bb38c-82e3-4f8d-a115-a7110ba70d05 /مجموعات الموارد/contoso77/الموفرين/microsoft.compute/الأجهزة الظاهرية/الضحية | معرف المورد الخاص بالجهاز الوجهة. | الوجهة |
| DstNatIpAddr | عنوان IP | 2::1 | إذا تم الإبلاغ عنه بواسطة جهاز NAT وسيط مثل جدار حماية، فإن عنوان IP الذي يستخدمه جهاز NAT للاتصال بالمصدر. | الوجهة نات, عنوان IP |
| DstNatPortNumber | int | 443 | إذا تم الإبلاغ عنه بواسطة جهاز NAT وسيط مثل جدار حماية، فهذا يعني المنفذ الذي يستخدمه جهاز NAT للاتصال بالمصدر. | الوجهة نات, المنفذ |
| DstUserSid | SID المستخدم | ق-12-1445 | معرف المستخدم للهوية المقترنة بوجهة الجلسة. عادة، الهوية المستخدمة لمصادقة خادم. لمزيد من المعلومات، راجع أنواع البيانات وتنسيقاتها. | مقصد المستخدم |
| DstUserAadId | سلسلة (guid) | ae92b0b4-cfba-4b42-85a0-fbd862f4df54 | معرف كائن حساب Azure AD للمستخدم في نهاية الجلسة الوجهة | مقصد المستخدم |
| DstUserName | اسم المستخدم (سلسلة) | جوند | اسم المستخدم للهوية المقترنة بوجهة الجلسة. | مقصد المستخدم |
| DstUserUpn | سلسلة | johnd@anon.com | UPN للهوية المرتبطة بوجهة الجلسة. | مقصد المستخدم |
| DstUserDomain | سلسلة | مجموعة العمل | اسم المجال أو الكمبيوتر الخاص بالحساب في وجهة الجلسة | مقصد المستخدم |
| دي إس تي زون | سلسلة | دمز | منطقة الشبكة الخاصة بالوجهة، كما هو محدد بواسطة جهاز إعداد التقارير. | الوجهة |
| DstGeoLongitude | خط الطول (مزدوج) | -73.211944 | خط طول الإحداثيات الجغرافية المرتبطة بعنوان IP الوجهة | مقصد الموقع الجغرافي |
| دي في سي أكشن | متعدد القيم: السماح، الرفض، الإفلات (سلسلة) | السماح | إذا تم الإبلاغ عنه بواسطة جهاز وسيط مثل جدار الحماية، اتخاذ الإجراء الذي يتخذه الجهاز. | الجهاز |
| DvcInboundInterface | سلسلة | إث0 | إذا تم الإبلاغ عنها بواسطة جهاز وسيط مثل جدار الحماية، فإن واجهة الشبكة التي يستخدمها للاتصال بالجهاز المصدر. | الجهاز |
| DvcOutboundInterface | سلسلة | محول إيثرنت إيثرنت 4 | إذا تم الإبلاغ عنها بواسطة جهاز وسيط مثل جدار الحماية، فإن واجهة الشبكة التي يستخدمها للاتصال بالجهاز الوجهة. | الجهاز |
| مدة الشبكة | عدد صحيح | 1500 | مقدار الوقت، بالمللي ثانية، لإكمال جلسة عمل الشبكة أو الاتصال | الشبكة |
| NetworkIcmpCode | عدد صحيح | 34 | بالنسبة لرسالة ICMP، اكتب رسالة ICMP قيمة رقمية (RFC 2780 أو RFC 4443). | الشبكة |
| NetworkIcmpType | سلسلة | الوجهة لا يمكن الوصول إليها | بالنسبة لرسالة ICMP، اكتب رسالة ICMP تمثيلا نصيا (RFC 2780 أو RFC 4443). | الشبكة |
| DstPackets | int | 446 | عدد الحزم المرسلة من الوجهة إلى المصدر للاتصال أو جلسة العمل. يتم تعريف معنى الحزمة بواسطة جهاز إعداد التقارير. | الوجهة |
| SrcPackets | int | 6478 | عدد الحزم المرسلة من المصدر إلى الوجهة للاتصال أو جلسة العمل. يتم تعريف معنى الحزمة بواسطة جهاز إعداد التقارير. | المصدر |
| حزم الشبكة | int | 0 | عدد الحزم المرسلة في كلا الاتجاهين. في حالة وجود كل من الحزم المستلمة والحزم المرسلة، يجب أن يساوي BytesTotal مجموعهما. | الشبكة |
| httpRequestTime | عدد صحيح | 700 | مقدار الوقت المستغرق لإرسال الطلب إلى الخادم، إن وجد. | http |
| HttpResponseTime | عدد صحيح | 800 | مقدار الوقت المستغرق لتلقي استجابة في الخادم، إن وجد. | http |
| NetworkRuleName | سلسلة | AnyAnyDrop | اسم أو معرف القاعدة التي تم من خلالها اتخاذ قرار بشأن DeviceAction | الشبكة |
| رقم قاعدة الشبكة | Int | 23 | رقم القاعدة المطابق | الشبكة |
| NetworkSessionId | سلسلة | 172_12_53_32_4322__123_64_207_1_80 | معرف الجلسة كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. على سبيل المثال، معرف جلسة العمل L7 لتطبيقات معينة بعد المصادقة | الشبكة |
| سركجيوسيتي | سلسلة | برلنغتون | المدينة المرتبطة بعنوان IP المصدر | مصدر الموقع الجغرافي |
| سركجيوكانتري | البلد (سلسلة) | USA | البلد المرتبط بعنوان IP المصدر | مصدر الموقع الجغرافي |
| SrcDvcHostname | اسم الجهاز (سلسلة) | الشرير | اسم الجهاز الخاص بالجهاز المصدر | مصدر الجهاز |
| SrcDvcFqdn | سلسلة | Villain.malicious.com | اسم المجال المؤهل بالكامل للمضيف حيث تم إنشاء السجل | مصدر الجهاز |
| SrcDvcDomain | سلسلة | إيفيلورج | مجال الجهاز الذي بدأت منه الجلسة | مصدر الجهاز |
| سركدفكوس | سلسلة | iOS | نظام التشغيل الخاص بالجهاز المصدر | مصدر الجهاز |
| SrcDvcModelName | سلسلة | سامسونج جالاكسي نوت | اسم طراز الجهاز المصدر | مصدر الجهاز |
| SrcDvcالموديلرقم | سلسلة | 10.0 | رقم طراز الجهاز المصدر | مصدر الجهاز |
| SrcDvcType | سلسلة | الجوال | نوع الجهاز المصدر | مصدر الجهاز |
| SrcIntefaceName | سلسلة | إث01 | واجهة الشبكة المستخدمة للاتصال أو الجلسة بواسطة الجهاز المصدر. | المصدر |
| SrcInterfaceGuid | سلسلة | 46ad544b-eaf0-47ef-827c-266030f545a6 | المعرف الفريد العمومي لواجهة الشبكة المستخدمة | المصدر |
| SrcIpAddr | عنوان IP | 77.138.103.108 | عنوان IP الذي نشأ منه الاتصال أو الجلسة. | مصدر عنوان IP |
| SrcDvcIpAddr | عنوان IP | 77.138.103.108 | عنوان IP المصدر لجهاز غير مرتبط مباشرة بحزمة الشبكة (تم جمعه بواسطة موفر أو تم حسابه بشكل صريح). | مصدر جهاز عنوان IP |
| SrcGeoLatitude | خط العرض (مزدوج) | 44.475833 | خط عرض الإحداثيات الجغرافية المرتبطة بعنوان IP المصدر | مصدر الموقع الجغرافي |
| SrcGeoLongitude | خط الطول (مزدوج) | -73.211944 | خط طول الإحداثيات الجغرافية المرتبطة بعنوان IP المصدر | مصدر الموقع الجغرافي |
| SrcMacAddr | سلسلة | 06:10:9f:eb:8f:14 | عنوان MAC لواجهة الشبكة التي نشأت منها جلسة الاتصال od. | مصدر Mac |
| SrcDvcMacAddr | سلسلة | 06:10:9f:eb:8f:14 | عنوان MAC المصدر لجهاز غير مقترن مباشرة بحزمة الشبكة. | مصدر جهاز Mac |
| رقم سرك بورت | عدد صحيح | 2335 | منفذ IP الذي نشأ منه الاتصال. قد لا تكون ذات صلة بجلسة تضم اتصالات متعددة. | مصدر المنفذ |
| منطقة SrcGeoRegion | المنطقة (سلسلة) | فيرمونت | المنطقة داخل بلد مرتبط بعنوان IP المصدر | مصدر الموقع الجغرافي |
| SrcResourceId | سلسلة | /الاشتراكات/3c1bb38c-82e3-4f8d-a115-a7110ba70d05 /مجموعات الموارد/contoso77/الموفرين/microsoft.compute/الأجهزة الظاهرية/syslogserver1 | معرف المورد الخاص بالجهاز الذي ينشئ الرسالة. | المصدر |
| SrcNatIpAddr | عنوان IP | 4.3.2.1 | إذا تم الإبلاغ عنه بواسطة جهاز NAT وسيط مثل جدار حماية، فإن عنوان IP الذي يستخدمه جهاز NAT للاتصال بالوجهة. | المصدر NAT, عنوان IP |
| SrcNatPortNumber | عدد صحيح | 345 | إذا تم الإبلاغ عنه بواسطة جهاز NAT وسيط مثل جدار الحماية، فهذا يعني المنفذ الذي يستخدمه جهاز NAT للاتصال بالوجهة. | المصدر NAT, المنفذ |
| SrcUserSid | معرف المستخدم (سلسلة) | S-15-1445 | معرف المستخدم للهوية المقترنة بمصدر الجلسات. عادة ، يقوم المستخدم بتنفيذ إجراء على العميل. لمزيد من المعلومات، راجع أنواع البيانات وتنسيقاتها. | مصدر المستخدم |
| SrcUserAadId | سلسلة (guid) | 16c8752c-7dd2-4cad-9e03-fb5d1cee5477 | معرف كائن حساب Azure AD للمستخدم في نهاية الجلسة المصدر | مصدر المستخدم |
| SrcUserName | اسم المستخدم (سلسلة) | بوب | اسم المستخدم للهوية المقترنة بمصدر الجلسات. عادة ، يقوم المستخدم بتنفيذ إجراء على العميل. لمزيد من المعلومات، راجع أنواع البيانات وتنسيقاتها. | المصدر المستخدم |
| SrcUserUpn | سلسلة | bob@alice.com | UPN للحساب الذي يبدأ الجلسة | مصدر المستخدم |
| SrcUserDomain | سلسلة | سطح المكتب | مجال الحساب الذي يبدأ الجلسة | مصدر المستخدم |
| إس آر سي زون | سلسلة | اضغط على | منطقة الشبكة الخاصة بالمصدر، كما هو محدد بواسطة جهاز إعداد التقارير. | المصدر |
| بروتوكول الشبكة | سلسلة | بروتوكول تحكم الإرسال | بروتوكول IP المستخدم بواسطة الاتصال أو جلسة العمل. عادة ، TCP أو UDP أو ICMP | الشبكة |
| كلاود أب نام | سلسلة | اسم التطبيق الوجهة لتطبيق HTTP كما هو محدد بواسطة وكيل. | السحابة | |
| كلاود أب آي دي | سلسلة | 124 | معرف التطبيق الوجهة لتطبيق HTTP كما هو محدد بواسطة وكيل. عادة ما تكون هذه القيمة خاصة بالوكيل المستخدم. | السحابة |
| كلاود أب | سلسلة | حذفملف | العملية التي قام بها المستخدم في سياق التطبيق الوجهة لتطبيق HTTP كما هو محدد بواسطة وكيل. عادة ما تكون هذه القيمة خاصة بالوكيل المستخدم. | السحابة |
| CloudAppRiskLevel | سلسلة | 3 | مستوى المخاطر المرتبط بتطبيق HTTP كما هو محدد بواسطة وكيل. عادة ما تكون هذه القيمة خاصة بالوكيل المستخدم. | السحابة |
| اسم الملف | سلسلة | ImNotMalicious.exe | اسم الملف الذي يتم إرساله عبر اتصالات الشبكة للبروتوكولات، مثل FTP وHTTP، والتي توفر معلومات اسم الملف. | الملف |
| فايلباث | سلسلة | C:\Malicious\ImNotMalicious.exe | المسار الكامل، بما في ذلك اسم الملف، للملف | الملف |
| ملفهاشم5 | سلسلة | 51BC68715FC7C109DCEA406B42D9D78F | قيمة تجزئة MD5 للملف المرسل عبر اتصالات الشبكة للبروتوكولات. | الملف |
| ملفهاششا1 | سلسلة | 491AE3... C299821476F4 | قيمة تجزئة SHA1 للملف المرسل عبر اتصالات الشبكة للبروتوكولات. | الملف |
| ملفهاششا256 | سلسلة | 9B8F8EDB... C129976F03 | قيمة تجزئة SHA256 للملف المرسل عبر اتصالات الشبكة للبروتوكولات. | الملف |
| ملفهاششا512 | سلسلة | 5E127D... F69F73F01F361 | قيمة تجزئة SHA512 للملف المرسل عبر اتصالات الشبكة للبروتوكولات. | الملف |
| ملحق الملف | سلسلة | إكس | نوع الملف المرسل عبر اتصالات الشبكة لبروتوكولات مثل FTP وHTTP. | الملف |
| فيليمايم تايب | سلسلة | التطبيق/مسورد | نوع MIME للملف المرسل عبر اتصالات الشبكة لبروتوكولات مثل FTP و HTTP | الملف |
| حجم الملف | عدد صحيح | 23500 | حجم الملف، بالبايت، للملف المرسل عبر اتصالات الشبكة للبروتوكولات. | الملف |
| الإصدار http | سلسلة | 2.0 | إصدار طلب HTTP لاتصالات شبكة HTTP/HTTPS. | http |
| طريقة httpRequestMethod | سلسلة | GET | أسلوب HTTP لجلسات عمل شبكة HTTP/HTTPS. | http |
| HttpStatusCode | سلسلة | 404 | رمز حالة HTTP لجلسات شبكة HTTP/HTTPS. | http |
| httpContentType | سلسلة | بيانات متعددة الأجزاء/النماذج؛ الحدود = شيء | رأس نوع محتوى استجابة HTTP لجلسات عمل شبكة HTTP/HTTPS. | http |
| HttpReferrerOriginal | سلسلة | https://developer.mozilla.org/en-US/docs/Web/JavaScript | رأس مرجع HTTP لجلسات شبكة HTTP/HTTPS. | http |
| HttpUserAgentOriginal | سلسلة | موزيلا / 5.0 (Windows NT 10.0 ؛ WOW64) AppleWebKit/537.36 (KHTML، مثل Gecko) كروم/83.0.4103.97 سفاري/537.36 | رأس وكيل مستخدم HTTP لجلسات عمل شبكة HTTP/HTTPS. | http |
| httpRequestXff | سلسلة | 120.12.41.1 | رأس HTTP X-Forwarded-For لجلسات شبكة HTTP/HTTPS. | http |
| فئة عنوان URL | سلسلة | محركات البحث | يرتبط التجميع المحدد لعنوان URL، الذي ربما يستند إلى النطاق الموجود في عنوان URL، بماهية المحتوى. على سبيل المثال: البالغين، والأخبار، والإعلانات، والنطاقات المستضافة، وما إلى ذلك.) | عنوان url |
| عنوان URLالأصلي | سلسلة | https:// contoso.com/fo/?k=v& q=u#f | عنوان URL لطلب HTTP لجلسات شبكة HTTP/HTTPS. | عنوان Url |
| UrlHostname | سلسلة | contoso.com | جزء النطاق من عنوان URL لطلب HTTP لجلسات شبكة HTTP/HTTPS. | عنوان Url |
| فئة التهديد | سلسلة | حصان طروادة | فئة التهديد الذي تم تحديده بواسطة نظام أمان مثل بوابة أمان الويب الخاصة ب IPS وترتبط بجلسة عمل الشبكة هذه. | المخاطر |
| معرف التهديد | سلسلة | Tr.124 | معرف التهديد الذي تم تحديده بواسطة نظام أمان مثل بوابة أمان الويب الخاصة ب IPS ويرتبط بجلسة عمل الشبكة هذه. | المخاطر |
| اسم التهديد | سلسلة | ملف اختبار EICAR | اسم التهديد أو البرامج الضارة التي تم تحديدها | المخاطر |
| حقول إضافية | ديناميكي (حقيبة JSON) | { الخاصية1: "val1", الخاصية2: "val2" } |
عندما لا يتطابق أي عمود معين في المخطط، يمكن تخزين حقول أخرى في حقيبة JSON. بالنسبة إلى تحليل وقت الاستعلام، نوصي بالترويج لأعمدة إضافية بدلا من استخدام حقيبة JSON لأن تعبئة البيانات في رمز JSON سيؤدي إلى تدهور أداء الاستعلام. |
حقل مخصص |
الاختلافات بين الإصدار 0.1 والإصدار 0.2
تم إصدار الإصدار الأصلي من مخطط تطبيع جلسة عمل Microsoft Sentinel Network ، الإصدار 0.1 ، كمعاينة قبل توفر ASIM.
تتضمن الاختلافات بين الإصدار 0.1 الموثق في هذه المقالة والإصدار 0.2 ما يلي:
- في الإصدار 0.2 ، تم تغيير أسماء المحلل اللغوي الموحد والخاص بالمصدر لتتوافق مع اصطلاح تسمية ASIM قياسي.
- يضيف الإصدار 0.2 إرشادات محددة ومحللين موحدين لاستيعاب أنواع معينة من الأجهزة.
توضح الأقسام التالية كيفية اختلاف الإصدار 0.2 لحقول معينة.
الحقول المضافة في الإصدار 0.2
تمت إضافة الحقول التالية في الإصدار 0.2 وغير موجودة في الإصدار 0.1 :
- دستاب تايب
- DstDeviceType
- DstDomainType
- DstDvcId
- DstDvcIdType
- DstOriginalUserType
- DstUserIdType
- Dstاسم المستخدمنوع
- DstUserType
- دي في سي أكشنأوريجينال
- دي في سي دومين
- DvcDomainType
- DvcFQDN
- دي في سي آي دي
- دي في سي آي تايب
- دي في سي آي تايب
- الحدثالأصليالخطورة
- الحدثالأصليالنوع
- سركابيد
- سركابنامي
- سركابتايب
- SrcDeviceType
- SrcDomainType
- SrcDvcId
- SrcDvcIdType
- SrcOriginalUserType
- SrcUserIdType
- Srcاسم المستخدمنوع
- SrcUserType
- التهديدالمخاطرالمستوىالأصلي
- عنوان Url
الحقول المستعارة حديثا في الإصدار 0.2
يتم الآن تسمية الحقول التالية في الإصدار 0.2 مع إدخال ASIM:
| حقل في الإصدار 0.1 | الاسم المستعار في الإصدار 0.2 |
|---|---|
| معرف الجلسة | NetworkSessionId |
| المدة | مدة الشبكة |
| إيبادر | SrcIpAddr |
| المستخدم | Dstاسم المستخدم |
| اسم المضيف | DstHostname |
| وكيل المستخدم | httpUserAgent |
الحقول المعدلة في الإصدار 0.2
يتم تعداد الحقول التالية في الإصدار 0.2، وتتطلب قيمة محددة من قائمة متوفرة.
- EventType
- الحدثالنتيجةتفاصيل
- شدة الحدث
الحقول التي تمت إعادة تسميتها في الإصدار 0.2
تمت إعادة تسمية الحقول التالية في الإصدار 0.2:
في الإصدار 0.2، استخدم حقول "إحصاءات السجل" المضمنة:
لاحظ أن هذه
ingestion_time()دالة KQL وليست اسم حقل.حقل في الإصدار 0.1 تمت إعادة تسميته في الإصدار 0.2 EventResourceId _ResourceId EventUid _ItemId EventTimeIngested ingestion_time() تمت إعادة تسميته ليتماشى مع التحسينات في ASIM و OSSEM:
حقل في الإصدار 0.1 تمت إعادة تسميته في الإصدار 0.2 HttpReferrerOriginal httpReferrer HttpUserAgentOriginal httpUserAgent تمت إعادة تسميتها لتعكس أن وجهة جلسة عمل الشبكة لا يجب أن تكون خدمة سحابية:
حقل في الإصدار 0.1 تمت إعادة تسميته في الإصدار 0.2 كلاود أب آي دي DstAppId كلاود أب نام DstAppName CloudAppRiskLevel التهديدمستوى المخاطر تمت إعادة تسميته لتغيير الحالة والتوافق مع معالجة ASIM لكيان المستخدم:
حقل في الإصدار 0.1 تمت إعادة تسميته في الإصدار 0.2 DstUserName Dstاسم المستخدم SrcUserName Srcاسم المستخدم تمت إعادة تسميته لمحاذاة كيان جهاز ASIM بشكل أفضل، والسماح بمعرفات الموارد بخلاف Azure:
حقل في الإصدار 0.1 تمت إعادة تسميته في الإصدار 0.2 DstResourceId SrcDvcAzureRerouceId SrcResourceId SrcDvcAzureRerouceId تمت إعادة تسميتها لإزالة
Dvcالسلسلة من أسماء الحقول، حيث كانت المعالجة في الإصدار 0.1 غير متناسقة:حقل في الإصدار 0.1 تمت إعادة تسميته في الإصدار 0.2 DstDvcDomain DstDomain DstDvcFqdn DstFqdn DstDvcHostname DstHostname SrcDvcDomain SrcDomain SrcDvcFqdn SrcFqdn SrcDvcHostname SrcHostname تمت إعادة تسميته للتوافق مع إرشادات تمثيل ملف ASIM:
حقل في الإصدار 0.1 تمت إعادة تسميته في الإصدار 0.2 ملفهاشم5 ملفMD5 ملفهاششا1 ملفSHA1 ملفهاششا256 ملفSHA256 ملفهاششا512 ملفSHA512 فيليمايم تايب FileContentType
الحقول التي تمت إزالتها في الإصدار 0.2
توجد الحقول التالية في الإصدار 0.1 فقط، وتم إزالتها في الإصدار 0.2:
| السبب | الحقول التي تمت إزالتها |
|---|---|
تمت إزالته بسبب وجود تكرارات، بدون Dvc السلسلة الموجودة في اسم الحقل |
- دستدفكسيبادر - دستدفكماك أدر - سرك دفسي إيبادر - سرك دي في سي ماك أدر |
| تمت إزالتها لتتماشى مع معالجة ASIM لعناوين URL | - اسم المضيف urlHostname |
| تمت إزالتها لأن هذه الحقول لا يتم توفيرها عادة كجزء من أحداث جلسة عمل الشبكة. إذا كان الحدث يتضمن هذه الحقول، فاستخدم مخطط حدث العملية لفهم كيفية وصف خصائص الجهاز. |
- سرك دفكوس - SrcDvcModelName - رقم الموديل SrcDvcModelNumber - دي في سي ماك أدر - دي في سي أو إس |
| تمت إزالته للتوافق مع إرشادات تمثيل ملف ASIM | - فايلباث - امتداد الملف |
| تمت إزالته لأن هذا الحقل يشير إلى أنه يجب استخدام مخطط مختلف، مثل مخطط المصادقة. | - كلاود أب |
تمت إزالته لأنه يتكرر DstHostname |
- DstDomainHostname |
الخطوات التالية
لمزيد من المعلومات، انظر: