مخطط تسوية شبكة Microsoft Sentinel (الإصدار القديم - والإصدار الأولي العام)
يتم استخدام مخطط تسوية الشبكة لوصف أحداث الشبكة المقدم عنها تقارير، ويتم استخدامه بواسطة Microsoft Sentinel لتمكين التحليلات الموحدة.
لمزيد من المعلومات، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM).
هام
تتعلق هذه المقالة بالإصدار 0.1 من مخطط تسوية الشبكة، والذي تم إطلاقه كإصدار أولي قبل توفر ASIM. يتوافق الإصدار 0.2.x من مخطط تسوية الشبكة مع ASIM ويوفر تحسينات أخرى.
لمزيد من المعلومات، راجع الاختلافات بين إصدارات مخطط تسوية الشبكة
المصطلحات
تُستخدم المصطلحات التالية في مخططات Microsoft Sentinel:
| المصطلح | التعريف |
|---|---|
| جهاز إعداد التقارير | هو النظام الذي يقوم بإرسال السجلات إلى Microsoft Sentinel. وقد لا يكون النظام الموضوع للسجل. |
| السجل | وحدة من البيانات المرسلة من جهاز إعداد التقارير. غالباً ما يُشار إلى وحدة البيانات هذه باسم، log أو event أو alertولكن يمكن أيضاً أن يكون لها أنواع أخرى. |
أنواع البيانات وتنسيقاتها
يوفر الجدول التالي إرشادات لتسوية قيم البيانات، وهو أمر مطلوب للحقول التي تمت تسويتها ويوصى به للحقول الأخرى.
| نوع البيانات | النوع الفعلي | التنسيق والقيمة |
|---|---|---|
| التاريخ/الوقت | يكون واحد مما يلي، بناءً على قدرة طريقة الاستيعاب المستخدمة، في أولوية بترتيب تنازلي:
|
تمثيل التاريخ والوقت في تحليلات السجل. تمثيل التاريخ والوقت في تحليلات السجل متشابه في طبيعته ولكنه يختلف عن تمثيل وقت Unix. ارجع إلى إرشادات التحويل هذه. ينبغي ضبط التاريخ والوقت للمنطقة الزمنية. |
| عنوان وحدة تحكم وصول الوسائط | السلسلة | رمز سداسي عشري بعلامة نقطتين فوق بعضهما |
| عنوان IP | عنوان IP | لا يحتوي المخطط على عناوين IPv4 وIPv6 منفصلة. قد يتضمن أي حقل عنوان IP، إما عنوان IPv4 أو عنوان IPv6:
|
| User | السلسلة | تتوفر حقول المستخدم الثلاثة التالية:
|
| معرف المستخدم | السلسلة | يتم دعم معرفا المستخدم التاليان حالياً:
|
| الجهاز | السلسلة | يتم دعم أعمدة الجهاز/ المضيف الثلاثة التالية:
|
| البلد | السلسلة | سلسلة تستخدم ISO 3166-1 وفقاً للأولويات التالية:
|
| المنطقة | السلسلة | اسم تقسيم البلد/المنطقة باستخدام ISO 3166-2 |
| المدينة | السلسلة | |
| Longitude | مزدوج | تمثيل إحداثيات ISO 6709 (علامة عشرية موقعة) |
| Latitude | مزدوج | تمثيل إحداثيات ISO 6709 (علامة عشرية موقعة) |
| لوغاريتم التجزئة | السلسلة | يتم دعم أعمدة التجزئة الأربعة التالية:
|
| نوع الملف | السلسلة | تصنيف نوع الملف:
|
المخطط الخاص بجدول جلسات الشبكة
يوجد أدناه المخطط الخاص بجدول جلسات الشبكة بإصدار 1.0.0
| اسم الحقل | نوع القيمة | مثال | الوصف | كيانات OSSEM المرتبطة |
|---|---|---|---|---|
| EventType | السلسلة | نسبة استخدام الشبكة | نوع الحدث الذي يتم جمعه | الحدث |
| EventSubType | السلسلة | المصادقة | وصف إضافي للنوع، إن أمكن | الحدث |
| EventCount | رقم صحيح | 10 | تم تجميع عدد الأحداث، إن أمكن. | الحدث |
| EventEndTime | التاريخ/الوقت | اطلع على «أنواع البيانات» | الوقت الذي انتهى فيه الحدث | الحدث |
| EventMessage | سلسلة | تم رفض الوصول | رسالة عامة أو وصف، سواء تم تضمينه في السجل أو تم إنشاؤه منه | الحدث |
| DvcIpAddr | عنوان IP | 23.21.23.34 | عنوان IP للجهاز الذي يقوم بإنشاء السجل | الجهاز، عنوان IP |
| DvcMacAddr | السلسلة | 06:10:9f:eb:8f:14 | عنوان وحدة تحكم وصول الوسائط لواجهة الشبكة لجهاز إعداد التقارير الذي تم إرسال الحدث منه. | الجهاز، Mac |
| DvcHostname | اسم الجهاز (سلسلة) | syslogserver1.contoso.com | اسم الجهاز الخاص بالجهاز الذي يقوم بإنشاء الرسالة. | الجهاز |
| EventProduct | السلسلة | OfficeSharepoint | المنتج الذي ينشئ الحدث. | الحدث |
| EventProductVersion | سلسلة | 9.0 | إصدار المنتج الذي قام بإنشاء الحدث. | الحدث |
| EventResourceId | معرف الجهاز (سلسلة) | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | معرف المورد للجهاز الذي يقوم بإنشاء الرسالة. | الحدث |
| EventReportUrl | السلسلة | https://192.168.1.1/repoerts/ae3-56.htm | ارتباط التقرير الكامل الذي تم إنشاؤه بواسطة جهاز إعداد التقارير | الحدث |
| EventVendor | السلسلة | Microsoft | بائع المنتج الذي ينشئ الحدث. | الحدث |
| EventResult | قيم متعددة: نجاح، جزئي، فشل، [فارغ] (سلسلة) | نجاح | تمت كتابة تقرير عن نتيجة النشاط. عند عدم قابلية التطبيق تكون القيمة فارغة. | الحدث |
| EventResultDetails | السلسلة | كلمة مرور غير صحيحة | تم كتابة تقرير عن سبب أو تفاصيل النتيجة في EventResult | الحدث |
| EventSchemaVersion | حقيقي | 0.1 | Microsoft Sentinel Schema Version. الإصدار الحالي هو 0.1. | الحدث |
| EventSeverity | السلسلة | منخفض | إذا كان للنشاط الذي تم كتابة تقرير عنه تأثير أمني، فهذا يدل على شدة التأثير. | الحدث |
| EventOriginalUid | السلسلة | af6ae8fe-ff43-4a4c-b537-8635976a2b51 | معرف السجل من جهاز إعداد التقارير. | الحدث |
| EventStartTime | التاريخ/الوقت | اطلع على «أنواع البيانات» | الوقت الذي ذُكر فيه الحدث | الحدث |
| TimeGenerated | التاريخ/الوقت | اطلع على «أنواع البيانات» | وقت وقوع الحدث، وفقاً لما أورده مصدر إعداد التقرير. | حقل مُخصص |
| EventTimeIngested | التاريخ/الوقت | اطلع على «أنواع البيانات» | وقت تقديم الحدث إلى Microsoft Sentinel. وستتم إضافته بواسطة Microsoft Sentinel. | الحدث |
| EventUid | المعرف الفريد (سلسلة) | 516a64e3-8360-4f1e-a67c-d96b3d52df54 | المعرف الفريد المستخدم بواسطة Microsoft Sentinel لتمييز صف. | الحدث |
| NetworkApplicationProtocol | السلسلة | HTTPS | بروتوكول طبقة التطبيق المستخدم بواسطة الاتصال أو الجلسة. | الشبكة |
| DstBytes | العدد الصحيح | 32455 | عدد وحدات البايت المرسلة من الوجهة إلى المصدر للاتصال أو الجلسة. | الوجهة |
| SrcBytes | العدد الصحيح | 46536 | عدد وحدات البايت المرسلة من المصدر إلى الوجهة للاتصال أو جلسة العمل. | المصدر |
| NetworkBytes | العدد الصحيح | 78991 | عدد وحدات البايت المرسلة في كلا الاتجاهين. في حالة وجود كل من BytesReceived وBytesSent، يجب أن يساوي BytesTotal مجموعهما. | الشبكة |
| NetworkDirection | قيم متعددة: الوارد والصادر (سلسلة) | وارد | اتجاه الاتصال أو الجلسة، داخل أو خارج المؤسسة. | الشبكة |
| DstGeoCity | السلسلة | مدينة برلنجتون | المدينة المرتبطة بعنوان IP الخاص بالوجهة | الوجهة، الموقع الجغرافي |
| DstGeoCountry | البلد (سلسلة) | الولايات المتحدة | البلد/المنطقة المقترنة بعنوان IP المصدر | الوجهة، الموقع الجغرافي |
| DstDvcHostname | اسم الجهاز (سلسلة) | victim_pc | اسم الجهاز الخاص بالجهاز الوجهة | الوجهة الجهاز |
| DstDvcFqdn | السلسلة | victim_pc.contoso.local | اسم المجال المؤهل بالكامل للمضيف الذي تم فيه إنشاء السجل | الوجهة، الجهاز |
| DstDomainHostname | سلسلة | CONTOSO | مجال الوجهة، مجال المضيف الوجهة (موقع الويب، اسم المجال، وغير ذلك)، على سبيل المثال لعمليات البحث في نظام أسماء المجالات أو عمليات البحث في نظام الأسماء | الوجهة |
| DstInterfaceName | سلسلة | محوّل شبكة Microsoft Hyper-V | واجهة الشبكة المستخدمة للاتصال أو الجلسة بواسطة الجهاز الوجهة. | الوجهة |
| DstInterfaceGuid | سلسلة | 2BB33827-6BB6-48DB-8DE6-DB9E0B9F9C9B | المعرف الفريد لواجهة الشبكة التي تم استخدامها لطلب المصادقة | الوجهة |
| DstIpAddr | عنوان IP | 2001:db8::ff00:42:8329 | عنوان IP الخاص بالاتصال أو وجهة الجلسة، ويُشار إليه غالباً باسم IP الوجهة في حزمة بيانات الشبكة | الوجهة، عنوان IP |
| DstDvcIpAddr | عنوان IP | 75.22.12.2 | عنوان IP الوجهة لجهاز غير مرتبط مباشرةً بحزمة بيانات الشبكة | الوجهة، الجهاز، عنوان IP |
| DstGeoLatitude | خط العرض (مزدوج) | 44.475833 | خط عرض الإحداثي الجغرافي المرتبط بعنوان IP الوجهة | الوجهة، الموقع الجغرافي |
| DstMacAddr | السلسلة | 06:10:9f:eb:8f:14 | عنوان وحدة تحكم وصول الوسائط لواجهة الشبكة التي تم عندها إنهاء الاتصال أو الجلسة، والذي يُشار إليه غالباً إلى وحدة تحكم وصول الوسائط الوجهة في حزمة بيانات الشبكة | الوجهة، وحدة تحكم وصول الوسائط |
| DstDvcMacAddr | السلسلة | 06:10:9f:eb:8f:14 | عنوان وحدة تحكم وصول الوسائط الوجهة لجهاز غير مرتبط مباشرة بحزمة بيانات الشبكة. | الوجهة، الجهاز، وحدة تحكم وصول الوسائط |
| DstDvcDomain | السلسلة | CONTOSO | مجال الجهاز الوجهة. | الوجهة، الجهاز |
| DstPortNumber | رقم صحيح | 443 | منفذ IP الوجهة. | الوجهة، المنفذ |
| DstGeoRegion | المنطقة (سلسلة) | فيرمونت | المنطقة المقترنة بعنوان IP الوجهة | الوجهة، الموقع الجغرافي |
| DstResourceId | معرف الجهاز (سلسلة) | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /victim | معرف المورد الخاص بالجهاز الوجهة | الوجهة |
| DstNatIpAddr | عنوان IP | 2::1 | إذا قدم جهاز وسيط لترجمة عناوين الشبكة مثل جدار الحماية تقريراً عن عنوان IP الذي يستخدمه جهاز ترجمة عناوين الشبكة للاتصال بالمصدر. | ترجمة عناوين الشبكة للوجهة، عنوان IP |
| DstNatPortNumber | العدد الصحيح | 443 | إذا قدم جهاز وسيط لترجمة عناوين الشبكة مثل جدار الحماية تقريراً عن المنفذ الذي يستخدمه جهاز ترجمة عناوين الشبكة للاتصال بالمصدر. | ترجمة عناوين الشبكة للوجهة، المنفذ |
| DstUserSid | معرف الأمان للمستخدم | S-12-1445 | معرف المستخدم للهوية المرتبطة بوجهة الجلسة. عادةً ما يكون الهوية المستخدمة لمصادقة الخادم. لمزيد من المعلومات، راجع أنواع وتنسيقات البيانات. | الوجهة، المستخدم |
| DstUserAadId | سلسلة (معرف فريد) | ae92b0b4-cfba-4b42-85a0-fbd862f4df54 | معرف كائن حساب Microsoft Entra للمستخدم في نهاية وجهة الجلسة | الوجهة، المستخدم |
| DstUserName | اسم المستخدم (سلسلة) | johnd | اسم المستخدم للهوية المرتبطة بوجهة الجلسة. | الوجهة، المستخدم |
| DstUserUpn | سلسلة | johnd@anon.com | اسم المستخدم الأساسي الخاص بالهوية المرتبطة بوجهة الجلسة. | الوجهة، المستخدم |
| DstUserDomain | سلسلة | WORKGROUP | اسم الكمبيوتر أو المجال للحساب في وجهة الجلسة | الوجهة، المستخدم |
| DstZone | السلسلة | Dmz | منطقة الشبكة للوجهة، على النحو المحدد بواسطة جهاز إعداد التقارير. | الوجهة |
| DstGeoLongitude | خط الطول (مزدوج) | -73.211944 | خط الطول الإحداثي الجغرافي المرتبط بعنوان IP الوجهة | الوجهة، الموقع الجغرافي |
| DvcAction | قيم متعددة: سماح، رفض، إفلات (سلسلة) | السماح | في حالة قدم جهاز وسيط مثل جدار الحماية تقريراً عن الإجراء الذي تم اتخاذه بواسطة الجهاز. | الجهاز |
| DvcInboundInterface | السلسلة | eth0 | في حالة قدم جهاز وسيط مثل جدار الحماية تقريراً عن واجهة الشبكة المستخدمة من قِبله للاتصال بالجهاز المصدر. | الجهاز |
| DvcOutboundInterface | السلسلة | محول Ethernet نوع Ethernet 4 | في حالة قدم جهاز وسيط مثل جدار الحماية تقريراً عن واجهة الشبكة المستخدمة من قِبله للاتصال بالجهاز الوجهة. | الجهاز |
| NetworkDuration | رقم صحيح | 1500 | مقدار الوقت بالمللي ثانية لإكمال الاتصال أو الجلسة للشبكة | الشبكة |
| NetworkIcmpCode | رقم صحيح | 34 | بالنسبة إلى رسالة بروتوكول التحكم برسائل الإنترنت، يكون نوع الرسالة هو قيمة رقمية (RFC 2780 أو RFC 4443). | الشبكة |
| NetworkIcmpType | السلسلة | وجهة غير قابل الوصول إليها | بالنسبة إلى رسالة بروتوكول التحكم برسائل الإنترنت، يكون نوع الرسالة هو تمثيل نص (RFC 2780 أو RFC 4443). | الشبكة |
| DstPackets | العدد الصحيح | 446 | عدد حزم البيانات المرسلة من الوجهة إلى المصدر للاتصال أو الجلسة. يتم تعريف معنى الحزمة بواسطة جهاز إعداد التقارير. | الوجهة |
| SrcPackets | العدد الصحيح | 6478 | عدد حزم البيانات المرسلة من المصدر إلى الوجهة للاتصال أو جلسة العمل. يتم تعريف معنى الحزمة بواسطة جهاز إعداد التقارير. | المصدر |
| NetworkPackets | العدد الصحيح | 0 | عدد الحزم المرسلة في كلا الاتجاهين. في حالة وجود كل من PacketsReceived وPacketsSent، يجب أن يساوي BytesTotal مجموعهما. | الشبكة |
| HttpRequestTime | رقم صحيح | 700 | مقدار الوقت المستغرق لإرسال الطلب إلى الخادم، إن أمكن. | HTTP |
| HttpResponseTime | رقم صحيح | 800 | مقدار الوقت المستغرق لتلقي استجابة في الخادم، إن أمكن. | HTTP |
| NetworkRuleName | السلسلة | AnyAnyDrop | اسم أو معرف القاعدة التي تم بموجبها تحديد DeviceAction | الشبكة |
| NetworkRuleNumber | العدد الصحيح | 23 | رقم القاعدة المتطابقة | الشبكة |
| NetworkSessionId | سلسلة | 172_12_53_32_4322__123_64_207_1_80 | معرّف الجلسة كما تم الإبلاغ عنه بواسطة جهاز التقارير. على سبيل المثال، معرف جلسة L7 لتطبيقات معينة بعد المصادقة | الشبكة |
| SrcGeoCity | السلسلة | مدينة برلنجتون | المدينة المرتبطة بعنوان IP المصدر | المصدر، الموقع الجغرافي |
| SrcGeoCountry | البلد (سلسلة) | الولايات المتحدة | البلد/المنطقة المقترنة بعنوان IP المصدر | المصدر، الموقع الجغرافي |
| SrcDvcHostname | اسم الجهاز (سلسلة) | villain | اسم الجهاز الخاص بالجهاز المصدر | المصدر، الجهاز |
| SrcDvcFqdn | سلسلة | Villain.malicious.com | اسم المجال المؤهل بالكامل للمضيف الذي تم فيه إنشاء السجل | المصدر، الجهاز |
| SrcDvcDomain | سلسلة | EVILORG | مجال الجهاز الذي بدأت منه الجلسة | المصدر، الجهاز |
| SrcDvcOs | السلسلة | iOS | نظام تشغيل الجهاز المصدر | المصدر، الجهاز |
| SrcDvcModelName | السلسلة | Samsung Galaxy Note | اسم الطراز الخاص بالجهاز المصدر | المصدر، الجهاز |
| SrcDvcModelNumber | السلسلة | 10.0 | رقم الطراز الخاص بالجهاز المصدر | المصدر، الجهاز |
| SrcDvcType | السلسلة | الجوال | نوع الجهاز المصدر | المصدر، الجهاز |
| SrcInterfaceName | السلسلة | eth01 | واجهة الشبكة المستخدمة للاتصال أو الجلسة بواسطة الجهاز المصدر. | المصدر |
| SrcInterfaceGuid | السلسلة | 46ad544b-eaf0-47ef-827c-266030f545a6 | المعرف الفريد لواجهة الشبكة المستخدمة | المصدر |
| SrcIpAddr | عنوان IP | 77.138.103.108 | عنوان IP الذي نشأ منه الاتصال أو الجلسة. | المصدر، عنوان IP |
| SrcDvcIpAddr | عنوان IP | 77.138.103.108 | عنوان IP المصدر لجهاز غير مرتبط بشكل مباشر بحزمة الشبكة (التي تم جمعها بواسطة مزود أو محسوبة بشكل صريح). | المصدر، الجهاز، عنوان IP |
| SrcGeoLatitude | خط العرض (مزدوج) | 44.475833 | خط العرض الإحداثي الجغرافي المرتبط بعنوان IP المصدر | المصدر، الموقع الجغرافي |
| SrcGeoLongitude | خط الطول (مزدوج) | -73.211944 | خط طول الإحداثي الجغرافي المرتبط بعنوان IP المصدر | المصدر، الموقع الجغرافي |
| SrcMacAddr | السلسلة | 06:10:9f:eb:8f:14 | عنوان وحدة تحكم وصول الوسائط لواجهة الشبكة التي نشأت منها الجلسة أو الاتصال. | المصدر، Mac |
| SrcDvcMacAddr | السلسلة | 06:10:9f:eb:8f:14 | عنوان وحدة تحكم وصول الوسائط المصدر لجهاز غير مرتبط مباشرةً بحزمة بيانات الشبكة. | المصدر، الجهاز، Mac |
| SrcPortNumber | رقم صحيح | 2335 | منفذ IP الذي نشأ منه الاتصال. قد لا يكون ذو صلة بجلسة تضم اتصالات متعددة. | المصدر، المنفذ |
| SrcGeoRegion | المنطقة (سلسلة) | فيرمونت | المنطقة داخل بلد/منطقة مقترنة بعنوان IP المصدر | المصدر، الموقع الجغرافي |
| SrcResourceId | السلسلة | /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e /resourcegroups/contoso77/providers /microsoft.compute/virtualmachines /syslogserver1 | معرف المورد للجهاز الذي يقوم بإنشاء الرسالة. | المصدر |
| SrcNatIpAddr | عنوان IP | 4.3.2.1 | إذا قدم جهاز وسيط لترجمة عناوين الشبكة مثل جدار الحماية تقريراً عن عنوان IP الذي يستخدمه جهاز ترجمة عناوين الشبكة للاتصال بالوجهة. | ترجمة عناوين الشبكة المصدر، عنوان IP |
| SrcNatPortNumber | رقم صحيح | 345 | إذا قدم جهاز وسيط لترجمة عناوين الشبكة مثل جدار الحماية تقريراً عن المنفذ الذي يستخدمه جهاز ترجمة عناوين الشبكة للاتصال بالوجهة. | ترجمة عناوين الشبكة المصدر، المنفذ |
| SrcUserSid | معرف المستخدم (سلسلة) | S-15-1445 | معرف المستخدم الخاص بالهوية المقترنة بمصدر الجلسات. عادةً ما ينفذ المستخدم إجراء على حساب العميل. لمزيد من المعلومات، راجع أنواع وتنسيقات البيانات. | المصدر، المستخدم |
| SrcUserAadId | سلسلة (معرف فريد) | 16c8752c-7dd2-4cad-9e03-fb5d1cee5477 | معرف كائن حساب Microsoft Entra للمستخدم في نهاية مصدر الجلسة | المصدر، المستخدم |
| SrcUserName | اسم المستخدم (سلسلة) | bob | اسم المستخدم الخاص بالهوية المقترنة بمصدر الجلسة. عادةً ما ينفذ المستخدم إجراء على حساب العميل. لمزيد من المعلومات، راجع أنواع وتنسيقات البيانات. | المصدر المستخدم |
| SrcUserUpn | سلسلة | bob@alice.com | اسم المستخدم الأساسي الخاص بالحساب الذي بدأ الجلسة | المصدر، المستخدم |
| SrcUserDomain | سلسلة | سطح المكتب | مجال الحساب الذي يبدأ الجلسة | المصدر، المستخدم |
| SrcZone | السلسلة | الضغط | منطقة الشبكة الخاصة بالمصدر، كما هو محدد بواسطة جهاز إعداد التقارير. | المصدر |
| NetworkProtocol | السلسلة | TCP | بروتوكول IP المستخدم بواسطة الاتصال أو الجلسة. عادةً ما يكون بروتوكول تحكم الإرسال أو UDP أو بروتوكول التحكم برسائل الإنترنت | الشبكة |
| CloudAppName | السلسلة | اسم التطبيق الوجهة لتطبيق HTTP كما هو محدد بواسطة وكيل. | السحابة | |
| CloudAppId | السلسلة | 124 | معرف التطبيق الوجهة لتطبيق HTTP كما هو محدد بواسطة وكيل. هذه القيمة عادةً ما تكون خاصة بالوكيل المستخدم. | السحابة |
| CloudAppOperation | السلسلة | DeleteFile | العملية التي قام بها المستخدم في سياق التطبيق الوجهة لتطبيق HTTP كما تم تحديده بواسطة وكيل. هذه القيمة عادةً ما تكون خاصة بالوكيل المستخدم. | السحابة |
| CloudAppRiskLevel | السلسلة | 3 | مستوى الخطر المرتبط بتطبيق بHTTP كما هو محدد بواسطة الوكيل. هذه القيمة عادةً ما تكون خاصة بالوكيل المستخدم. | السحابة |
| اسم الملف | السلسلة | ImNotMalicious.exe | اسم الملف الذي يتم إرساله عبر اتصالات الشبكة للبروتوكولات، مثل بروتوكول نقل الملفات و بروتوكول HTTP، والتي توفر معلومات اسم الملف. | الملف |
| مسار الملف | السلسلة | C:\Malicious\ImNotMalicious.exe | المسار الكامل، بما في ذلك اسم الملف، الخاص بالملف | الملف |
| FileHashMd5 | السلسلة | 51BC68715FC7C109DCEA406B42D9D78F | قيمة تجزئة MD5 للملف المنقول عبر اتصالات الشبكة للبروتوكولات. | الملف |
| FileHashSha1 | السلسلة | 491AE3…C299821476F4 | قيمة تجزئة SHA1 للملف المنقول عبر اتصالات الشبكة للبروتوكولات. | الملف |
| FileHashSha256 | السلسلة | 9B8F8EDB…C129976F03 | قيمة تجزئة SHA256 للملف المنقول عبر اتصالات الشبكة للبروتوكولات. | الملف |
| FileHashSha512 | السلسلة | 5E127D…F69F73F01F361 | شفرة تجزئة SHA512 للملف المنقول عبر اتصالات الشبكة للبروتوكولات. | الملف |
| FileExtension | السلسلة | exe | نوع الملف الذي يتم إرساله عبر اتصالات الشبكة لبروتوكولات مثل بروتوكول نقل الملفات وHTTP. | الملف |
| FileMimeType | السلسلة | application/msword | نوع MIME للملف المنقول عبر اتصالات الشبكة لبروتوكولات مثل بروتوكول نقل الملفات وHTTP | الملف |
| FileSize | رقم صحيح | 23500 | حجم الملف بوحدات البايت للملف المنقول عبر اتصالات الشبكة للبروتوكولات. | الملف |
| HttpVersion | السلسلة | 2.0 | إصدار طلب HTTP لاتصالات شبكة HTTP/HTTPS. | HTTP |
| HttpRequestMethod | السلسلة | GET | أسلوب HTTP لجلسات شبكة HTTP/HTTPS. | HTTP |
| HttpStatusCode | السلسلة | 404 | التعليمة البرمجية لحالة HTTP لجلسات شبكة HTTP/HTTPS. | HTTP |
| HttpContentType | السلسلة | multipart/form-data; boundary=something | عنوان نوع محتوى استجابة HTTP لجلسات شبكة HTTP/HTTPS. | HTTP |
| HttpReferrerOriginal | السلسلة | https://developer.mozilla.org/en-US/docs/Web/JavaScript | عنوان مرجع HTTP لجلسات شبكة HTTP/HTTPS. | HTTP |
| HttpUserAgentOriginal | السلسلة | Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML، مثل Gecko) Chrome/83.0.4103.97 Safari/537.36 | عنوان وكيل مستخدم HTTP لجلسات شبكة HTTP/HTTPS. | HTTP |
| HttpRequestXff | السلسلة | 120.12.41.1 | عنوان HTTP X-Forwarded-For لجلسات شبكة HTTP/HTTPS. | HTTP |
| UrlCategory | السلسلة | مُحركات بحث | التجميع المحدد لعنوان موقع ويب، ربما يعتمد على المجال في عنوان موقع ويب، المرتبط بماهية المحتوى. على سبيل المثال: الكبار والأخبار والإعلانات والمجالات المتوقفة وما إلى ذلك.) | عنوان URL |
| UrlOriginal | السلسلة | https:// contoso.com/fo/?k=v&q=u#f | عنوان موقع ويب لطلب HTTP لجلسات شبكة HTTP/HTTPS. | عنوان URL |
| UrlHostname | السلسلة | contoso.com | جزء المجال من عنوان موقع ويب لطلب HTTP لجلسات شبكة HTTP/HTTPS. | عنوان URL |
| ThreatCategory | السلسلة | حصان طروادة | فئة التهديد التي تم تحديدها بواسطة نظام أمان مثل بوابة الأمان للويب الخاصة بـ IPS والمرتبطة بجلسة الشبكة هذه. | التهديد |
| ThreatId | السلسلة | Tr.124 | معرف التهديد الذي تم تحديده بواسطة نظام أمان مثل بوابة الأمان للويب الخاصة بـ IPS والمرتبط بجلسة الشبكة هذه. | التهديد |
| ThreatName | السلسلة | ملف الاختبار EICAR | تم تحديد اسم التهديد أو البرامج الضارة | التهديد |
| AdditionalFields | ديناميكي (مجموعة JSON) | { الخاصية 1: "val1"، الخاصية 2: "val2" } |
في حالة عدم تطابق أي عمود في مخطط قاعدة البيانات، يمكن تخزين الحقول الأخرى في مجموعة JSON. لتحليل وقت الاستعلام، نوصي بالترقية لأعمدة إضافية بدلاً من استخدام مجموعة JSON لأن تعبئة البيانات في التعليمة البرمجية الخاصة بـ JSON سيؤدي إلى تدهور أداء الاستعلام. |
حقل مُخصص |
الاختلافات بين الإصدار 0.1 والإصدار 0.2
تم إطلاق الإصدار الأصلي من مخطط تسوية جلسة شبكة Microsoft Sentinel، الإصدار 0.1، كإصدار أولي قبل توفر ASIM.
تتضمن الاختلافات بين الإصدار 0.1 الموثق في هذه المقالة والإصدار 0.2.x ما يلي:
- في الإصدار 0.2، تم تغيير أسماء المحلل اللغوي الموحد والمخصص للمصدر لتتوافق مع اصطلاح تسمية ASIM القياسي.
- يضيف الإصدار 0.2 إرشادات محددة وموزعات موحدة لاستيعاب أنواع معينة من الأجهزة.
تصف الأقسام التالية كيفية اختلاف الإصدار 0.2.x لحقول معينة.
الحقول المُضافة في الإصدار 0.2
تمت إضافة الحقول التالية في الإصدار 0.2.x وغير موجودة في الإصدار 0.1:
- DstAppType
- DstDeviceType
- DstDomainType
- DstDvcId
- DstDvcIdType
- DstOriginalUserType
- DstUserIdType
- DstUsernameType
- DstUserType
- DvcActionOriginal
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcIdType
- EventOriginalSeverity
- EventOriginalType
- SrcAppId
- SrcAppName
- SrcAppType
- SrcDeviceType
- SrcDomainType
- SrcDvcId
- SrcDvcIdType
- SrcOriginalUserType
- SrcUserIdType
- SrcUsernameType
- SrcUserType
- ThreatRiskLevelOriginal
- عنوان URL
الحقول ذات الأسماء المستعارة حديثاً في الإصدار 0.2
أصبحت الحقول التالية الآن اسما مستعارا في الإصدار 0.2.x مع إدخال ASIM:
| الحقل في الإصدار 0.1 | الحقل في الإصدار 0.2 |
|---|---|
| SessionId | NetworkSessionId |
| المدة | NetworkDuration |
| IpAddr | SrcIpAddr |
| المستخدم | DstUsername |
| اسم المضيف | DstHostname |
| UserAgent | HttpUserAgent |
الحقول المعدلة في الإصدار 0.2
يتم تعداد الحقول التالية في الإصدار 0.2.x، وتتطلب قيمة معينة من قائمة متوفرة.
- EventType
- EventResultDetails
- EventSeverity
الحقول المعاد تسميتها في الإصدار 0.2
تمت إعادة تسمية الحقول التالية في الإصدار 0.2.x:
في الإصدار 0.2، استخدم حقول تحليلات السجل المضمنة:
تجدر الإشارة إلى أن
ingestion_time()هذه عبارة عن دالة KQL وليست اسم حقل.الحقل في الإصدار 0.1 الحقل المُعاد تسميته في الإصدار 0.2 EventResourceId _ResourceId EventUid _ItemId EventTimeIngested ingestion_time() تمت إعادة تسميتها لتتماشى مع التحسينات في ASIM وOSSEM
الحقل في الإصدار 0.1 الحقل المُعاد تسميته في الإصدار 0.2 HttpReferrerOriginal HttpReferrer HttpUserAgentOriginal HttpUserAgent تمت إعادة تسميتها لتعكس أن وجهة جلسة الشبكة يجب ألا تكون خدمة سحابية:
الحقل في الإصدار 0.1 الحقل المُعاد تسميته في الإصدار 0.2 CloudAppId DstAppId CloudAppName DstAppName CloudAppRiskLevel ThreatRiskLevel تمت إعادة تسميتها لتغيير الحالة والتماشي مع معالجة ASIM لكيان المستخدم:
الحقل في الإصدار 0.1 الحقل المُعاد تسميته في الإصدار 0.2 DstUserName DstUsername SrcUserName SrcUsername تمت إعادة تسميتها لتتماشى مع كيان جهاز ASIM بشكل أفضل، والسماح بمعرفات الموارد بخلاف Azure:
الحقل في الإصدار 0.1 الحقل المُعاد تسميته في الإصدار 0.2 DstResourceId SrcDvcAzureResourceId SrcResourceId SrcDvcAzureResourceId تمت إعادة تسميتها لإزالة السلسلة
Dvcمن أسماء الحقول، لأن المعالجة في الإصدار 0.1 كانت غير متسقة:الحقل في الإصدار 0.1 الحقل المُعاد تسميته في الإصدار 0.2 DstDvcDomain DstDomain DstDvcFqdn DstFqdn DstDvcHostname DstHostname SrcDvcDomain SrcDomain SrcDvcFqdn SrcFqdn SrcDvcHostname SrcHostname تمت إعادة تسميتها لتتماشى مع إرشادات تمثيل ملف ASIM:
الحقل في الإصدار 0.1 الحقل المُعاد تسميته في الإصدار 0.2 FileHashMd5 FileMD5 FileHashSha1 FileSHA1 FileHashSha256 FileSHA256 FileHashSha512 FileSHA512 FileMimeType FileContentType
الحقول التي تمت إزالتها في الإصدار 0.2
توجد الحقول التالية في الإصدار 0.1 فقط، وتمت إزالتها في الإصدار 0.2.x:
| السبب | الحقول التي تم إزالتها |
|---|---|
تمت الإزالة بسبب وجود تكرارات، بدون السلسلة Dvc في اسم الحقل |
- DstDvcIpAddr - DstDvcMacAddr - SrcDvcIpAddr - SrcDvcMacAddr |
| تمت الإزالة لتتماشى مع معالجة ASIM لعناوين موقع ويب | - UrlHostname |
| تمت الإزالة لأن هذه الحقول لا يتم توفيرها عادةً كجزء من أحداث جلسة الشبكة. إذا تضمن حدث ما هذه الحقول، فاستخدم مخطط حدث العملية لفهم كيفية وصف خصائص الجهاز. |
- SrcDvcOs - SrcDvcModelName - SrcDvcModelNumber - DvcMacAddr - DvcOs |
| تمت الإزالة لتتماشى مع إرشادات تمثيل ملف ASIM | - FilePath - FileExtension |
| تمت الإزالة لأن هذا الحقل يشير إلى أنه يجب استخدام مخطط مختلف، مثل مخطط المصادقة. | - CloudAppOperation |
تمت الإزالة لأنها تكرر DstHostname |
- DstDomainHostname |
الخطوات التالية
لمزيد من المعلومات، راجع:
- التسوية في Microsoft Sentinel
- مرجع مخطط تسوية مصادقة Microsoft Sentinel (إصدار أولي عام)
- مرجع مخطط تسوية حدث ملف Microsoft Sentinel (الإصدار الأولي العام)
- مرجع مخطط تسوية نظام أسماء المجالات لـ Microsoft Sentinel
- مرجع مخطط تسوية حدث عملية Microsoft Sentinel
- مرجع مخطط تسوية حدث تسجيل Microsoft Sentinel (إصدار أولي عام)