مرجع حقول المخطط الشائعة لنموذج معلومات الأمان المتقدم (ASIM) (معاينة)
بعض الحقول مشتركة لجميع مخططات ASIM. قد يضيف كل مخطط على حدة إرشادات لاستخدام بعض الحقول المشتركة في سياق المخطط المحدد. على سبيل المثال، قد تختلف القيم المسموح بها للحقل EventType لكل مخطط، كما قد تختلف قيمة الحقل EventSchemaVersion.
حقول تحليلات السجل القياسية
يتم إنشاء الحقول التالية بواسطة Log Analytics، في معظم الحالات، لكل سجل. يمكن تجاوزها عند إنشاء موصل مخصص.
| الحقل | نوع | المناقشة |
|---|---|---|
| TimeGenerated | datetime | وقت إنشاء الحدث بواسطة جهاز إعداد التقارير. |
| النوع | السلسلة | الجدول الأصلي الذي تم إحضار السجل منه. يكون هذا الحقل مفيدًا عندما يمكن تلقي نفس الحدث عبر قنوات متعددة إلى جداول مختلفة، ويكون لها نفس قيم EventVendor وEventProduct. على سبيل المثال، يمكن جمع حدث Sysmon إما في الجدول Event أو إلى الجدول WindowsEvent. |
إشعار
يضيف Log Analytics أيضًا حقولًا أخرى أقل صلة بحالات استخدام الأمان. لمزيد من المعلومات، راجع الأعمدة القياسية في سجلات المراقبة في Azure.
حقول ASIM المشتركة
تم تحديد الحقول التالية بواسطة ASIM لجميع المخططات:
حقول حدث
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| EventMessage | اختياري | السلسلة | رسالة عامة أو وصف، سواء تم تضمينه في السجل أو تم إنشاؤه منه. |
| EventCount | إلزامي | رقم صحيح | عدد الأحداث التي وصفها السجل. يتم استخدام هذه القيمة عندما يدعم المصدر التجميع، وقد يمثل سجلًا واحدًا أحداثًا متعددة. للمصادر الأخرى، اضبط على 1. |
| EventStartTime | إلزامي | التاريخ/الوقت | الوقت الذي بدأ فيه الحدث. إذا كان المصدر يدعم التجميع وكان السجل يمثل أحداثًا متعددة، فهذا يعني أن الوقت الذي تم فيه إنشاء الحدث الأول. إذا لم يتم توفيره بواسطة السجل المصدر، فإن هذا الحقل يسم الحقل TimeGenerated باسم مستعار. |
| EventEndTime | إلزامي | التاريخ/الوقت | الوقت الذي انتهى فيه الحدث. إذا كان المصدر يدعم التجميع وكان السجل يمثل أحداثًا متعددة، فسيتم إنشاء الوقت الذي تم فيه إنشاء الحدث الأخير. إذا لم يتم توفيره بواسطة السجل المصدر، فإن هذا الحقل يسم الحقل TimeGenerated باسم مستعار. |
| EventType | إلزامي | Enumerated | يصف العملية التي أبلغ بها السجل. يوثّق كل مخطط قائمة القيم الصالحة لهذا الحقل. يتم تخزين القيمة الأصلية الخاصة بالمصدر في الحقل EventOriginalType. |
| EventSubType | اختياري | Enumerated | يصف تقسيمًا فرعيًا للعملية تم الإبلاغ عنه في الحقل EventType. يوثّق كل مخطط قائمة القيم الصالحة لهذا الحقل. يتم تخزين القيمة الأصلية الخاصة بالمصدر في الحقل EventOriginalSubType. |
| EventResult | إلزامي | Enumerated | إحدى القيم التالية: نجاح، جزئي، فشل، غير متوفر (غير سارٍ). قد ترد القيمة في سجل المصدر باستخدام مصطلحات مختلفة، والتي يجب توحيدها بهذه القيم. بدلًا من ذلك، قد يوفر المصدر حقل EventResultDetails فحسب، والذي يجب تحليله لاشتقاق قيمة EventResult. مثال: Success |
| EventResultDetails | مستحسن | Enumerated | سبب أو تفاصيل النتيجة التي تم الإبلاغ عنها في الحقل EventResult. يوثّق كل مخطط قائمة القيم الصالحة لهذا الحقل. يتم تخزين القيمة الأصلية الخاصة بالمصدر في الحقل EventOriginalResultDetails. مثال: NXDOMAIN |
| EventUid | مستحسن | السلسلة | المعرف الفريد للسجل، كما تم تعيينه بواسطة Microsoft Sentinel. عادة ما يتم تعيين هذا الحقل إلى _ItemId حقل Log Analytics. |
| EventOriginalUid | اختياري | السلسلة | معرّف فريد للسجل الأصلي، إذا قدمه المصدر. مثال: 69f37748-ddcd-4331-bf0f-b137f1ea83b |
| EventOriginalType | اختياري | السلسلة | نوع أو معرّف الحدث الأصلي، إذا قدمه المصدر. على سبيل المثال، يتم استخدام هذا الحقل لتخزين معرف حدث Windows الأصلي. تُستخدم هذه القيمة لاشتقاق EventType، والذي ينبغي أن يحتوي على قيمة واحدة فقط موثقة لكل مخطط. مثال: 4624 |
| EventOriginalSubType | اختياري | السلسلة | النوع الفرعي الأصلي للحدث أو المعرّف، إذا قدمه المصدر. على سبيل المثال، يتم استخدام هذا الحقل لتخزين نوع تسجيل الدخول الأصلي ل Windows. تُستخدم هذه القيمة لاشتقاق EventSubType، والذي يجب أن يحتوي على قيمة واحدة فقط موثقة لكل مخطط. مثال: 2 |
| EventOriginalResultDetails | اختياري | السلسلة | تفاصيل النتيجة الأصلية التي قدمها المصدر. تُستخدم هذه القيمة لاشتقاق EventResultDetails، والتي يجب أن تحتوي على قيمة واحدة فقط موثقة لكل مخطط. |
| EventSeverity | مستحسن | Enumerated | شدة الحدث. القيم الصالحة هي: Informational أو Low أو Medium أو High. |
| EventOriginalSeverity | اختياري | السلسلة | الشدة الأصلية على النحو المنصوص عليه من جهاز إعداد التقارير. تُستخدم هذه القيمة لاشتقاق EventSeverity. |
| EventProduct | إلزامي | السلسلة | المنتج الذي ينشئ الحدث. ينبغي أن تكون القيمة إحدى القيم المدرجة في البائعين والمنتجات. مثال: Sysmon |
| EventProductVersion | اختياري | السلسلة | إصدار المنتج الذي قام بإنشاء الحدث. مثال: 12.1 |
| EventVendor | إلزامي | السلسلة | بائع المنتج الذي ينشئ الحدث. ينبغي أن تكون القيمة إحدى القيم المدرجة في البائعين والمنتجات. مثال: Microsoft |
| EventSchema | إلزامي | السلسلة | المخطط الذي تم تسوية الحدث إليه. يوثق كل مخطط اسم مخططه. |
| EventSchemaVersion | إلزامي | السلسلة | إصدار المُخطط. يوثق كل مخطط نسخته الحالية. |
| EventReportUrl | اختياري | السلسلة | عنوان URL تم توفيره في الحدث لمورد يوفر مزيدًا من المعلومات حول الحدث. |
| مالك الحدث | اختياري | السلسلة | مالك الحدث، وهو عادة القسم أو الشركة الفرعية التي تم إنشاؤها فيه. |
حقول جهاز
يختلف دور حقول الجهاز باختلاف المخططات وأنواع الأحداث. على سبيل المثال:
- بالنسبة لأحداث جلسة عمل الشبكة، عادة ما توفر حقول الجهاز معلومات حول الجهاز الذي أنشأ الحدث
- بالنسبة لأحداث العملية، توفر حقول الجهاز معلومات على الجهاز الذي يتم تنفيذ العملية عليه.
يحدد كل مستند مخطط دور الجهاز للمخطط.
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| Dvc | الاسم المستعار | السلسلة | معرّف فريد للجهاز الذي وقع عليه الحدث أو الذي أبلغ عن الحدث، اعتمادًا على المخطط. قد يطلق هذا الحقل اسمًا مستعارًا على الحقول DvcFQDN أو DvcId أو DvcHostname أو DvcIpAddr. بالنسبة لمصادر السحابة، التي لا يوجد لها جهاز واضح، استخدم نفس القيمة مثل حقل منتج الحدث. |
| DvcIpAddr | مستحسن | عنوان IP | عنوان IP للجهاز الذي وقع عليه الحدث أو الذي قام بالإبلاغ عن الحدث، اعتمادًا على مخطط قاعدة البيانات. مثال: 45.21.42.12 |
| DvcHostname | مستحسن | اسم المضيف | اسم مضيف الجهاز الذي وقع عليه الحدث أو الذي قام بالإبلاغ عن الحدث، بناءً على المخطط. مثال: ContosoDc |
| DvcDomain | مستحسن | السلسلة | نطاق الجهاز الذي وقع عليه الحدث أو الذي قام بالإبلاغ عن الحدث، اعتمادًا على المخطط. مثال: Contoso |
| DvcDomainType | شرطي | Enumerated | نوع DvcDomain. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DomainType. ملاحظة: هذا الحقل مطلوب إذا تم استخدام الحقل DvcDomain. |
| DvcFQDN | اختياري | السلسلة | اسم مضيف الجهاز الذي وقع عليه الحدث أو الذي قام بالإبلاغ عن الحدث، بناءً على المخطط. مثال: Contoso\DESKTOP-1282V4Dملاحظة: يدعم هذا الحقل كلًا من تنسيق FQDN التقليدي وتنسيق Windows domain \ hostname. يعكس الحقل DvcDomainType التنسيق المستخدم. |
| DvcDescription | اختياري | السلسلة | نص وصفي مرتبط بالجهاز. على سبيل المثال: Primary Domain Controller. |
| DvcId | اختياري | السلسلة | المعرّف الفريد للجهاز الذي وقع عليه الحدث أو الذي أبلغ عن الحدث، اعتمادًا على المخطط. مثال: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| DvcIdType | شرطي | Enumerated | نوع DvcId. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع DvcIdType. - MDEidفي حالة توفر معرفات متعددة، استخدم المعرف الأول من القائمة، وقم بتخزين المعرفات الأخرى باستخدام أسماء الحقول DvcAzureResourceId وDvcMDEid، على التوالي. ملاحظة: هذا الحقل مطلوب إذا تم استخدام الحقل DvcId. |
| DvcMacAddr | اختياري | وحدة تحكم وصول الوسائط | عنوان وحدة تحكم وصول الوسائط للجهاز الذي وقع عليه الحدث أو الذي أبلغ عن الحدث. مثال: 00:1B:44:11:3A:B7 |
| DvcZone | اختياري | السلسلة | الشبكة التي وقع عليها الحدث أو التي أبلغت عن الحدث، اعتمادًا على المخطط. يتم تعريف المنطقة بواسطة جهاز التقارير. مثال: Dmz |
| DvcOs | اختياري | السلسلة | نظام تشغيل الجهاز الذي وقع عليه الحدث أو الذي أبلغ عن الحدث. مثال: Windows |
| DvcOsVersion | اختياري | السلسلة | إصدار نظام تشغيل الجهاز الذي وقع عليه الحدث أو الذي أبلغ عن الحدث. مثال: 10 |
| DvcAction | مستحسن | السلسلة | للإبلاغ عن أنظمة الأمان، يتخذ النظام الإجراء، إن أمكن. مثال: Blocked |
| DvcOriginalAction | اختياري | السلسلة | DvcAction الأصلي المقدم من جهاز إعداد التقارير. |
| DvcInterface | اختياري | السلسلة | واجهة الشبكة المُسجل عليها البيانات. عادة ما يكون هذا الحقل مناسبا للنشاط المرتبط بالشبكة، والذي يتم التقاطه بواسطة جهاز وسيط أو ضغط. |
| DvcScopeId | اختياري | السلسلة | معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. تعيين DvcScopeId إلى معرف اشتراك على Azure وإلى معرف حساب على AWS. |
| DvcScope | اختياري | السلسلة | نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. مخطط DvcScope إلى معرف اشتراك على Azure ومعرف حساب على AWS. |
حقول أخرى
تحديثات المخطط
EventOwnerتمت إضافة الحقل إلى الحقول المشتركة في 1 ديسمبر 2022، وبالتالي إلى كافة المخططات.EventUidتمت إضافة الحقل إلى الحقول المشتركة في 26 ديسمبر 2022، وبالتالي إلى كافة المخططات.
الباعة والمنتجات
للحفاظ على الاتساق، يتم تعيين قائمة البائعين والمنتجات المسموح بها كجزء من ASIM، وقد لا تتوافق بشكل مباشر مع القيمة المرسلة من المصدر، عند توفرها.
القائمة المدعومة حاليًا بالموردين والمنتجات المستخدمة في حقلي EventVendor وEventProduct على التوالي هي:
| المورد | المنتجات |
|---|---|
AWS |
- CloudTrail- VPC |
Cisco |
- ASA- Umbrella- IOS- Meraki |
Corelight |
Zeek |
Cynerio |
Cynerio |
Dataminr |
Dataminr Pulse |
GCP |
Cloud DNS |
Infoblox |
NIOS |
Microsoft |
- معرف Microsoft Entra - Azure- Azure Firewall- Azure Blob Storage- Azure File Storage- Azure NSG flows- Azure Queue Storage- Azure Table Storage - DNS Server- Microsoft Defender XDR for Endpoint- Microsoft Defender for IoT- Security Events- SharePoint- OneDrive- Sysmon- Sysmon for Linux- VMConnection- Windows Firewall- WireData |
Linux |
- su- sudo |
Okta |
- Okta- Auth0 |
OpenBSD |
OpenSSH |
Palo Alto |
- PanOS- CDL |
PostgreSQL |
PostgreSQL |
Squid |
Squid Proxy |
Vectra AI |
Vectra Steam |
WatchGuard |
Fireware |
Zscaler |
- ZIA DNS- ZIA Firewall- ZIA Proxy |
إذا كنت تقوم بتطوير محلل لمورد أو منتج غير مدرج هنا، فاتصل بفريق Microsoft Sentinel لتخصيص مورد ومحددات منتجات مسموح بها جديدة.
الخطوات التالية
لمزيد من المعلومات، راجع: