مرجع مخطط تنبيه نموذج معلومات الأمان المتقدم (ASIM)
تم تصميم مخطط تنبيه Microsoft Sentinel لتطبيع التنبيهات المتعلقة بالأمان من منتجات مختلفة إلى تنسيق موحد ضمن نموذج معلومات الأمان المتقدم من Microsoft (ASIM). يركز هذا المخطط حصريا على أحداث الأمان، ما يضمن تحليلا متسقا وفعالا عبر مصادر بيانات مختلفة.
يمثل مخطط التنبيه أنواعا مختلفة من التنبيهات الأمنية، مثل التهديدات والأنشطة المشبوهة والشذوذ في سلوك المستخدم وانتهاكات التوافق. يتم الإبلاغ عن هذه التنبيهات من قبل منتجات وأنظمة أمان مختلفة، بما في ذلك على سبيل المثال لا الحصر EDRs، وبرامج مكافحة الفيروسات، وأنظمة الكشف عن التسلل، وأدوات منع فقدان البيانات وما إلى ذلك.
لمزيد من المعلومات بشأن التسوية في Microsoft Sentinel، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM).
هام
مخطط تسوية التنبيه قيد المعاينة حاليا. تتوفر هذه الميزة بدون اتفاقية مستوى الخدمة. لا نوصي به لأحمال عمل الإنتاج.
تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.
المُحللات
لمزيد من المعلومات حول مُحللات ASIM، راجع نظرة عامة على مُحللات ASIM.
توحيد المحللات
لاستخدام المحللات التي تعمل على توحيد جميع محللات ASIM الجاهزة والتأكد من أن التحليل الخاص بك يعمل عبر جميع المصادر المكونة، استخدم _Im_AlertEvent محلل التصفية أو _ASim_AlertEvent محلل المعلمات الأقل. يمكنك أيضًا استخدام مُحللات imAlertEvent وASimAlertEvent المنشورة إلى مساحة العمل عن طريق نشرها من مستودع Microsoft Sentinel GitHub.
لمزيد من المعلومات، راجع مُحللات ASIM المضمنة والمُحللات المنشورة إلى مساحة العمل.
محللات خارج الصندوق، محللات خاصة بالمصدر
للحصول على قائمة محللات التنبيهات التي يوفرها Microsoft Sentinel الجاهزة، راجع قائمة محللات ASIM.
إضافة محللاتك التي تمت تسويتها
عند تطوير محللات مخصصة لنموذج معلومات التنبيه، قم بتسمية وظائف KQL باستخدام بناء الجملة التالي:
-
vimAlertEvent<vendor><Product>للموزعين ذات المعلمات -
ASimAlertEvent<vendor><Product>للمُحللات العادية
راجع المقالة إدارة محللات ASIM لمعرفة كيفية إضافة محللات مخصصة إلى محللات توحيد التنبيه.
تصفية معلمات المحلل
تدعم محللات التنبيه معلمات التصفية المختلفة لتحسين أداء الاستعلام. هذه المعلمات اختيارية ولكن يمكن تحسين أداء الاستعلام الخاص بك. تتوفّر معلمات التصفية التالية:
| Name | كتابة | الوصف |
|---|---|---|
| starttime | datetime | تصفية التنبيهات التي بدأت في هذا الوقت أو بعده فقط. |
| endtime | datetime | تصفية التنبيهات التي بدأت في هذا الوقت أو قبله فقط. |
| ipaddr_has_any_prefix | ديناميكي | تصفية التنبيهات التي يوجد حقل "DvcIpAddr" لها فقط في إحدى القيم المدرجة. |
| hostname_has_any | ديناميكي | تصفية التنبيهات التي يوجد حقل "DvcHostname" لها فقط في إحدى القيم المدرجة. |
| username_has_any | ديناميكي | تصفية التنبيهات التي يوجد حقل "اسم المستخدم" لها فقط في إحدى القيم المدرجة. |
| attacktactics_has_any | ديناميكي | تصفية التنبيهات التي يوجد حقل 'AttackTactics' لها فقط في إحدى القيم المدرجة. |
| attacktechniques_has_any | ديناميكي | تصفية التنبيهات التي يوجد حقل 'AttackTechniques' لها فقط في إحدى القيم المدرجة. |
| threatcategory_has_any | ديناميكي | تصفية التنبيهات التي يوجد حقل "ThreatCategory" لها فقط في إحدى القيم المدرجة. |
| alertverdict_has_any | ديناميكي | تصفية التنبيهات التي يوجد حقل "AlertVerdict" لها فقط في إحدى القيم المدرجة. |
| eventseverity_has_any | ديناميكي | تصفية التنبيهات التي يوجد حقل "EventSeverity" لها فقط في إحدى القيم المدرجة. |
نظرة عامة على المخطط
يخدم مخطط التنبيه عدة أنواع من أحداث الأمان، والتي تشترك في نفس الحقول. يتم تعريف هذه الأحداث بواسطة حقل EventType:
- معلومات التهديد: التنبيهات المتعلقة لأنواع مختلفة من الأنشطة الضارة مثل البرامج الضارة والتصيد الاحتيالي وبرامج الفدية الضارة والتهديدات الإلكترونية الأخرى.
- الأنشطة المشبوهة: تنبيهات للأنشطة التي لا تؤكد بالضرورة التهديدات ولكنها مريبة وتستدعي مزيدا من التحقيق، مثل محاولات تسجيل الدخول الفاشلة المتعددة أو الوصول إلى الملفات المقيدة.
- شذوذ سلوك المستخدم: تنبيهات تشير إلى سلوك مستخدم غير عادي أو غير متوقع قد يشير إلى مشكلة أمنية، مثل أوقات تسجيل الدخول غير الطبيعية أو أنماط الوصول إلى البيانات غير العادية.
- انتهاكات التوافق: التنبيهات المتعلقة بعدم الامتثال للسياسات التنظيمية أو الداخلية. على سبيل المثال، جهاز ظاهري مكشوف مع منافذ عامة مفتوحة عرضة للهجمات (تنبيه أمان السحابة).
هام
للحفاظ على صلة وفعالية مخطط التنبيه، يجب تعيين التنبيهات المتعلقة بالأمان فقط.
يشير مخطط التنبيه إلى الكيانات التالية لالتقاط تفاصيل حول التنبيه:
-
يتم استخدام حقول Dvc لالتقاط تفاصيل حول المضيف أو Ip المقترن بالتنبيه
-
يتم استخدام حقول المستخدم لالتقاط تفاصيل حول المستخدم المقترن بالتنبيه.
- وبالمثل، يتم استخدام حقول المعالجة والملف وعنوان URL والسجل والبريد الإلكتروني لتسجيل التفاصيل الرئيسية فقط حول العملية والملف وعنوان URL والسجل والبريد الإلكتروني المقترن بالتنبيه على التوالي.
هام
- عند إنشاء محلل خاص بالمنتج، استخدم مخطط تنبيه ASIM عندما يحتوي التنبيه على معلومات حول حادث أمان أو تهديد محتمل، ويمكن تعيين التفاصيل الأساسية مباشرة إلى حقول مخطط التنبيه المتوفرة. مخطط التنبيه مثالي لالتقاط معلومات التلخيص دون حقول شاملة خاصة بالوحدة.
- ومع ذلك، إذا وجدت نفسك تضع الحقول الأساسية في "AdditionalFields" بسبب عدم وجود تطابقات مباشرة في الحقول، ففكر في مخطط أكثر تخصصا. على سبيل المثال، إذا كان التنبيه يتضمن تفاصيل متعلقة بالشبكة مثل عناوين IP متعددة مثل SrcIpAdr وDstIpAddr وPortNumber وما إلى ذلك، فيمكنك اختيار مخطط NetworkSession عبر مخطط التنبيه. كما توفر المخططات المتخصصة مجالات مخصصة لالتقاط المعلومات المتعلقة بالتهديدات، وتعزيز جودة البيانات، وتسهيل التحليل الفعال.
تفاصيل المخطط
حقول ASIM الشائعة
تشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث التنبيه:
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| EventType | إلزامي | Enumerated | نوع الحدث. القيم المدعومة هي: - Alert |
| EventSubType | مستحسن | Enumerated | يحدد النوع الفرعي أو فئة حدث التنبيه، ما يوفر تفاصيل أكثر دقة ضمن تصنيف الحدث الأوسع. يساعد هذا الحقل في تمييز طبيعة المشكلة المكتشفة، وتحسين استراتيجيات تحديد أولويات الحوادث والاستجابة لها. تشمل القيم المدعومة: - Threat (يمثل نشاطا ضارا مؤكد أو على الأرجح يمكن أن يعرض النظام أو الشبكة للخطر)- Suspicious Activity (وضع علامة على السلوك أو الأحداث التي تبدو غير عادية أو مشبوهة، على الرغم من عدم تأكيدها بعد على أنها ضارة)- Anomaly (يحدد الانحرافات عن الأنماط العادية التي قد تشير إلى مخاطر أمنية محتملة أو مشكلة تشغيلية)- Compliance Violation (يسلط الضوء على الأنشطة التي تنتهك المعايير التنظيمية أو السياسة أو معايير الامتثال) |
| EventUid | إلزامي | سلسلة | سلسلة أبجدية رقمية قابلة للقراءة آليا تحدد تنبيها بشكل فريد داخل النظام. على سبيل المثال، A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
| EventMessage | اختياري | سلسلة | معلومات مفصلة حول التنبيه، بما في ذلك سياقه وسببه وتأثيره المحتمل. على سبيل المثال، Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
| IpAddr | الاسم المستعار | اسم مستعار أو اسم مألوف للحقل DvcIpAddr . |
|
| اسم المضيف | الاسم المستعار | اسم مستعار أو اسم مألوف للحقل DvcHostname . |
|
| EventSchema | إلزامي | سلسلة | المخطط المستخدم للحدث. المخطط الموثق هنا هو AlertEvent. |
| EventSchemaVersion | إلزامي | سلسلة | إصدار المُخطط. إصدار المخطط الموثّق هنا هو 0.1. |
كافة الحقول المشتركة
تُعد الحقول التي تظهر في الجدول أدناه مشتركة في جميع مخططات ASIM. أية مبادئ توجيهية محددة أعلاه تلغي الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريًا بشكل عام، لكنه إلزامي لمخطط معين. لمزيد من التفاصيل حول كل حقل، راجع مقالة الحقول الشائعة في ASIM.
| الفصل | الحقول |
|---|---|
| إلزامي |
-
EventCount - EventStartTime - EventEndTime - EventType - EventUid - EventProduct - EventVendor - EventSchema - EventSchemaVersion |
| مستحسن |
-
EventSubType - EventSeverity - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType |
| اختياري |
-
EventMessage - EventOriginalType - EventOriginalSubType - EventOriginalSeverity - EventProductVersion - EventOriginalUid - EventReportUrl - EventResult - مالك الحدث - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcAction - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
حقول الفحص
يغطي الجدول التالي الحقول التي توفر رؤى هامة حول القواعد والتهديدات المرتبطة بالتنبيهات. معا، تساعد على إثراء سياق التنبيه، مما يسهل على محللي الأمان فهم أصله وأهميته.
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| معرف التنبيه | الاسم المستعار | سلسلة | اسم مستعار أو اسم مألوف للحقل EventUid . |
| اسم التنبيه | مستحسن | سلسلة | عنوان التنبيه أو اسمه. على سبيل المثال، Possible use of the Rubeus kerberoasting tool |
| وصف التنبيه | الاسم المستعار | سلسلة | اسم مستعار أو اسم مألوف للحقل EventMessage . |
| AlertVerdict | اختياري | Enumerated | التحديد النهائي أو النتيجة النهائية للتنبيه، مشيرا إلى ما إذا تم تأكيد التنبيه على أنه تهديد، أو اعتباره مريبا، أو تم حله على أنه إيجابي زائف. القيم المدعومة هي: - True Positive (تم التأكيد على أنه تهديد مشروع)- False Positive (تم تحديده بشكل غير صحيح على أنه تهديد)- Benign Positive (عندما يتم تحديد الحدث على أنه غير ضار)- Unknown (حالة غير مؤكدة أو غير محددة) |
| حالة التنبيهات | اختياري | Enumerated | يشير إلى الحالة الحالية أو التقدم الحالي للتنبيه. القيم المدعومة هي: - Active- Closed |
| AlertOriginalStatus | اختياري | سلسلة | حالة التنبيه كما تم الإبلاغ عنها من قبل النظام الأصلي. |
| DetectionMethod | اختياري | Enumerated | يوفر معلومات مفصلة حول أسلوب الكشف المحدد أو التقنية أو مصدر البيانات الذي ساهم في إنشاء التنبيه. يوفر هذا الحقل نظرة ثاقبة أكبر حول كيفية اكتشاف التنبيه أو تشغيله، مما يساعد في فهم سياق الكشف والموثوقية. تشمل القيم المدعومة: - EDR: أنظمة الكشف عن نقاط النهاية والاستجابة التي تراقب أنشطة نقطة النهاية وتحللها لتحديد التهديدات.- Behavioral Analytics: التقنيات التي تكشف عن أنماط غير طبيعية في سلوك المستخدم أو الجهاز أو النظام.- Reputation: الكشف عن التهديدات استنادا إلى سمعة عناوين IP أو المجالات أو الملفات.- Threat Intelligence: موجزات التحليل الذكي الخارجية أو الداخلية التي توفر بيانات عن التهديدات المعروفة أو تكتيكات الخصم.- Intrusion Detection: الأنظمة التي تراقب حركة مرور الشبكة أو الأنشطة لعلامات الاختراقات أو الهجمات.- Automated Investigation: الأنظمة التلقائية التي تقوم بتحليل التنبيهات والتحقيق فيها، ما يقلل من حمل العمل اليدوي.- Antivirus: محركات مكافحة الفيروسات التقليدية التي تكتشف البرامج الضارة استنادا إلى التواقيع والاستدلال.- Data Loss Prevention: تركز الحلول على منع عمليات نقل البيانات أو التسريبات غير المصرح بها.- User Defined Blocked List: قوائم مخصصة يحددها المستخدمون لحظر عناوين IP أو مجالات أو ملفات معينة.- Cloud Security Posture Management: الأدوات التي تقيم المخاطر الأمنية وتديرها في بيئات السحابة.- Cloud Application Security: الحلول التي تؤمن التطبيقات والبيانات السحابية.- Scheduled Alerts: التنبيهات التي تم إنشاؤها استنادا إلى جداول أو حدود محددة مسبقا.- Other: أي طريقة اكتشاف أخرى لا تغطيها الفئات المذكورة أعلاه. |
| حكم | الاسم المستعار | سلسلة | إما قيمة RuleName أو قيمة RuleNumber. إذا تم استخدام قيمة RuleNumber، يجب تحويل النوع إلى سلسلة. |
| RuleNumber | اختياري | العدد الصحيح | عدد القاعدة المقترنة بالتنبيه. على سبيل المثال، 123456 |
| RuleName | اختياري | سلسلة | اسم القاعدة المقترنة بالتنبيه أو معرفها. على سبيل المثال، Server PSEXEC Execution via Remote Access |
| وصف القواعد | اختياري | سلسلة | وصف القاعدة المقترنة بالتنبيه. على سبيل المثال، This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
| ThreatId | اختياري | سلسلة | معرف التهديد أو البرامج الضارة المحددة في التنبيه. على سبيل المثال، 1234567891011121314 |
| ThreatName | اختياري | سلسلة | اسم التهديد أو البرامج الضارة المحددة في التنبيه. على سبيل المثال، Init.exe |
| ThreatFirstReportedTime | اختياري | datetime | تاريخ ووقت الإبلاغ عن التهديد لأول مرة. على سبيل المثال، 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | اختياري | datetime | تاريخ ووقت آخر تقرير عن التهديد. على سبيل المثال، 2024-09-19T10:12:10.0000000Z |
| ThreatCategory | مستحسن | Enumerated | فئة التهديد أو البرامج الضارة المحددة في التنبيه. القيم المدعومة هي: Malware، Ransomware، Trojan، Virus، Worm، Adware، Spyware، Rootkit، ، Cryptominor، ، Phishing، Spam، ، MaliciousUrl، Spoofing، Security Policy ViolationUnknown |
| ThreatOriginalCategory | اختياري | سلسلة | فئة التهديد كما أبلغ عنها النظام الأصلي. |
| ThreatIsActive | اختياري | منطقي | يشير إلى ما إذا كان التهديد نشطا حاليا. القيم المدعومة هي: True، False |
| ThreatRiskLevel | اختياري | العدد الصحيح | مستوى المخاطر المرتبط بالتهديد. يلزم أن يكون المستوى رقمًا بين 0 و100. ملاحظة: قد تتوفر القيمة في سجل المصدر باستخدام أحجام مختلفة، والتي يجب أن تكون مطابقة لهذا الحجم. ينبغي تخزين القيمة الأصلية في ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | اختياري | سلسلة | مستوى المخاطر كما أبلغ عنه النظام الأصلي. |
| ThreatConfidence | اختياري | العدد الصحيح | مستوى ثقة التهديد المحدد، الذي تمت تسويته إلى قيمة بين 0 و100. |
| ThreatOriginalConfidence | اختياري | سلسلة | مستوى الثقة كما أبلغ عنه النظام الأصلي. |
| نوع المؤشر | مستحسن | Enumerated | نوع المؤشر أو فئته القيم المدعومة هي: - Ip- User- Process- Registry- Url- Host- Cloud Resource- Application- File- Email- Mailbox- Logon Session |
| تقييم المؤشرات | اختياري | Enumerated | تحديد ما إذا كان المؤشر مرتبطا بالتهديد أو متأثرا به بشكل مباشر. القيم المدعومة هي: - Associated- Targeted |
| الهجمات على الهجمات | مستحسن | سلسلة | تكتيكات الهجوم (الاسم أو المعرف أو كليهما) المرتبطة بالتنبيه. التنسيق المفضل: على سبيل المثال: Persistence, Privilege Escalation |
| AttackTechniques | مستحسن | سلسلة | تقنيات الهجوم (الاسم أو المعرف أو كليهما) المرتبطة بالتنبيه. التنسيق المفضل: على سبيل المثال: Local Groups (T1069.001), Domain Groups (T1069.002) |
| خطوات معالجة الهجوم | مستحسن | سلسلة | الإجراءات أو الخطوات الموصى بها للتخفيف من الهجوم أو التهديد المحدد أو معالجته. على سبيل المثال: 1. Make sure the machine is completely updated and all your software has the latest patch.2. Contact your incident response team. |
حقول المستخدم
يحدد هذا القسم الحقول المتعلقة بتحديد وتصنيف المستخدمين المرتبطين بالتنبيه، ما يوفر الوضوح بشأن المستخدم المتأثر وتنسيق هويته. إذا كان التنبيه يحتوي على حقول إضافية متعددة متعلقة بالمستخدم تتجاوز ما تم تعيينه هنا، فقد تفكر فيما إذا كان مخطط متخصص، مثل مخطط حدث المصادقة، أكثر ملاءمة لتمثيل البيانات بشكل كامل.
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| UserId | اختياري | سلسلة | تمثيل فريد قابل للقراءة الآلية أبجدية رقمية وفريدة للمستخدم المرتبط بالتنبيه. على سبيل المثال، A1bC2dE3fH4iJ5kL6mN7o |
| UserIdType | شرطي | Enumerated | نوع معرف المستخدم، مثل GUIDأو SIDأو Email.القيم المدعومة هي: - GUID- SID- Email- Username- Phone- Other |
| اسم المستخدم | مستحسن | سلسلة | اسم المستخدم المقترن بالتنبيه، بما في ذلك معلومات المجال عند توفرها. على سبيل المثال Contoso\JSmith أو john.smith@contoso.com |
| User | الاسم المستعار | سلسلة | اسم مستعار أو اسم مألوف للحقل Username . |
| UsernameType | شرطي | UsernameType | تحديد نوع اسم المستخدم المخزن في Username الحقل. لمزيد من المعلومات، وقائمة القيم المسموح بها، راجع نوع اسم المستخدم في مقالة نظرة عامة على المخطط.على سبيل المثال، Windows |
| نوع المستخدم | اختياري | UserType | نوع المستخدم. لمزيد من المعلومات، وقائمة القيم المسموح بها، راجع نوع المستخدم في مقالة نظرة عامة على المخطط. على سبيل المثال، Guest |
| OriginalUserType | اختياري | سلسلة | نوع المستخدم كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. |
| معرف المستخدم | اختياري | سلسلة | المعرف الفريد لجلسة عمل المستخدم المقترنة بالتنبيه. على سبيل المثال، a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
| UserScopeId | اختياري | سلسلة | معرف النطاق، مثل معرف دليل Microsoft Entra، الذي يتم فيه تعريف UserId واسم المستخدم. على سبيل المثال، a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
| UserScope | اختياري | سلسلة | النطاق، مثل مستأجر Microsoft Entra، الذي يتم فيه تعريف UserId واسم المستخدم. أو مزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScope في مقالة نظرة عامة على المخطط. على سبيل المثال، Contoso Directory |
حقول المعالجة
يسمح لك هذا القسم بالتقاط التفاصيل المتعلقة بكيان العملية المتضمنة في تنبيه باستخدام الحقول المحددة. إذا كان التنبيه يحتوي على حقول إضافية مفصلة متعلقة بالعملية تتجاوز ما تم تعيينه هنا، فقد تفكر فيما إذا كان مخطط متخصص، مثل مخطط حدث العملية، أكثر ملاءمة لتمثيل البيانات بشكل كامل.
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| معرف العملية | اختياري | سلسلة | معرف العملية (PID) المقترن بالتنبيه. على سبيل المثال، 12345678 |
| ProcessCommandLine | اختياري | سلسلة | سطر الأوامر المستخدم لبدء العملية. على سبيل المثال، "choco.exe" -v |
| اسم العملية | اختياري | سلسلة | اسم العملية. على سبيل المثال، C:\Windows\explorer.exe |
| ProcessFileCompany | اختياري | سلسلة | الشركة التي أنشأت ملف صورة العملية. على سبيل المثال، Microsoft |
حقول الملفات
يمكنك هذا القسم من التقاط التفاصيل المتعلقة بكيان ملف مشارك في تنبيه. إذا كان التنبيه يحتوي على حقول إضافية مفصلة متعلقة بالملفات تتجاوز ما تم تعيينه هنا، فقد تفكر فيما إذا كان مخطط متخصص، مثل مخطط حدث الملف، أكثر ملاءمة لتمثيل البيانات بشكل كامل.
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| اسم الملف | اختياري | سلسلة | اسم الملف المقترن بالتنبيه، بدون مسار أو موقع. على سبيل المثال، Notepad.exe |
| مسار الملف | اختياري | سلسلة | هو كامل، مسار عادي للملف الهدف، بما في ذلك المجلد أو الموقع، واسم الملف، والملحق. على سبيل المثال، C:\Windows\System32\notepad.exe |
| FileSHA1 | اختياري | سلسلة | تجزئة SHA1 للملف. على سبيل المثال، j5kl6mn7op8qr9st0uv1 |
| FileSHA256 | اختياري | سلسلة | تجزئة SHA256 للملف. على سبيل المثال، a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
| FileMD5 | اختياري | سلسلة | تجزئة MD5 للملف. على سبيل المثال، j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
| FileSize | اختياري | طويل | حجم الملف بالبايت. على سبيل المثال، 123456 |
حقل Url
إذا كان التنبيه يتضمن معلومات حول كيان Url، يمكن أن تلتقط الحقول التالية البيانات المتعلقة بعنوان URL.
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| Url | اختياري | سلسلة | سلسلة URL التي تم التقاطها في التنبيه. على سبيل المثال، https://contoso.com/fo/?k=v&q=u#f |
حقول التسجيل
إذا كان التنبيه يتضمن تفاصيل حول كيان التسجيل، فاستخدم الحقول التالية لالتقاط معلومات محددة متعلقة بالسجل.
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| RegistryKey | اختياري | سلسلة | مفتاح التسجيل المقترن بالتنبيه، تمت تسويته إلى اصطلاحات تسمية مفتاح الجذر القياسية. على سبيل المثال، HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | اختياري | سلسلة | قيمة السجل. على سبيل المثال، ImagePath |
| RegistryValueData | اختياري | سلسلة | بيانات قيمة السجل. على سبيل المثال، C:\Windows\system32;C:\Windows; |
| RegistryValueType | اختياري | Enumerated | نوع قيمة التسجيل. على سبيل المثال، Reg_Expand_Sz |
حقول البريد الإلكتروني
إذا كان التنبيه يتضمن معلومات حول كيان البريد الإلكتروني، فاستخدم الحقول التالية لالتقاط تفاصيل محددة متعلقة بالبريد الإلكتروني.
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| EmailMessageId | اختياري | سلسلة | معرف فريد لرسالة البريد الإلكتروني، المقترن بالتنبيه. على سبيل المثال، Request for Invoice Access |
| عنوان البريد الإلكتروني | اختياري | سلسلة | موضوع البريد الإلكتروني. على سبيل المثال، j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
تحديثات المخطط
فيما يلي التغييرات في إصدارات مختلفة من المخطط:
- الإصدار 0.1: الإصدار الأولي.