مشاركة عبر

تعقب البيانات في أثناء التتبع باستخدام Microsoft Azure Sentinel

  • ينطبق على: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

تساعدك الإشارات المرجعية للتتبع في Microsoft Sentinel في الحفاظ على الاستعلامات ونتائج الاستعلام التي تراها ذات صلة. يمكنك أيضًا تسجيل ملاحظاتك السياقية والرجوع إلى النتائج التي توصلت إليها عن طريق إضافة الملاحظات والعلامات. تكون البيانات المرجعية مرئية لك ولزملائك في الفريق لتسهيل التعاون. لمزيد من المعلومات، راجع الإشارات المرجعية.

Note

يمكن إنشاء الإشارات المرجعية فقط في مدخل Microsoft Azure. بينما لا يمكنك إضافة إشارات مرجعية في مدخل Microsoft Defender، يمكنك مشاهدة الإشارات المرجعية التي تم إنشاؤها بالفعل.

Important

يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.

بعد 31 مارس 2027، لن يكون Microsoft Sentinel مدعوما في بوابة Azure وسيكون متاحا فقط في بوابة Microsoft Defender. جميع العملاء الذين يستخدمون مايكروسوفت سينتينل في بوابة Azure سيتم تحويلهم إلى بوابة المدافعين وسيستخدمون مايكروسوفت سينتينل فقط في بوابة المدافعين. بدءا من يوليو 2025، يتم إلحاق العديد من العملاء الجدد تلقائيا وإعادة توجيههم إلى مدخل Defender.

إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.

إضافة إشارة مرجعية (مدخل Microsoft Azure فقط)

إنشاء إشارة مرجعية للحفاظ على الاستعلامات والنتائج والملاحظات والنتائج.

  1. تحت إدارة التهديدات، اختر الصيد.

  2. من تبويب الاستعلامات، اختر واحدة أو أكثر من استعلامات الصيد.

  3. من شريط الأوامر العلوي، حدد تشغيل الاستعلامات المحددة.

  4. حدد عرض نتائج الاستعلام. على سبيل المثال:

    لقطة شاشة لعرض نتائج الاستعلام من تتبع Microsoft Sentinel.

    هذا الإجراء يفتح نتائج الاستعلام في صفحة السجلات .

  5. من قائمة نتائج استعلام السجل، استخدم مربعات الاختيار لتحديد صف واحد أو أكثر يحتوي على المعلومات التي تجدها ممتعة.

  6. في Azure portal، اختر إضافة العلامة المرجعية:

    لقطة شاشة لإضافة إشارة مرجعية للتتبع للاستعلام.

  7. على اليمين، في لوحة إضافة الإشارات المرجعية ، اختياريا، قم بتحديث اسم الإشارة المرجعية، إضافة العلامات، والملاحظات لمساعدتك في تحديد ما هو مثير للاهتمام في العنصر.

  8. يمكن تعيين الإشارات المرجعية اختياريا لتقنيات MITRE ATT&CK أو التقنيات الفرعية. يتم توريث تعيينات MITRE ATT CK من القيم المعينة في استعلامات التتبع، ولكن يمكنك أيضا إنشاؤها يدويا. حدد تكتيك MITRE ATT&CK المرتبط بالتقنية المطلوبة من القائمة المنسدلة في قسم التكتيكات والتقنيات في جزء إضافة إشارة مرجعية . تتوسع القائمة لإظهار جميع تقنيات MITRE ATT&CK، ويمكنك تحديد تقنيات وتقنيات فرعية متعددة في هذه القائمة.

    لقطة شاشة لكيفية تعيين تكتيكات وتقنيات Mitre Attack إلى الإشارات المرجعية.

  9. الآن يمكن استخراج مجموعة موسعة من الكيانات من نتائج الاستعلام ذات الإشارة المرجعية لمزيد من التحقيق. في قسم تعيين الكيانات ، استخدم القوائم المنسدلة لاختيار أنواع الكيانات والمعرفات. ثم قم بتعيين العمود في نتائج الاستعلام الذي يحتوي على المعرف المقابل. على سبيل المثال:

    لقطة شاشة لتعيين أنواع الكيانات لالإشارات المرجعية للتتبع.

    لعرض الإشارة المرجعية في الرسم البياني للتحقيق، يجب عليك تعيين كيان واحد على الأقل. يتم دعم تعيينات الكيانات لأنواع كيان الحساب والمضيف وعنوان IP وعنوان URL التي أنشأتها، مع الحفاظ على التوافق مع الإصدارات السابقة.

  10. اختر إنشاء لإجراء تغييراتك وأضف الإشارة المرجعية. تتم مشاركة جميع البيانات المرجعية مع محللين آخرين، وهي خطوة أولى نحو تجربة تحقيق تعاونية.

تدعم نتائج استعلام السجل الإشارات المرجعية متى تم فتح هذا الجزء من Microsoft Azure Sentinel. على سبيل المثال، إذا اخترتالسجلاتالعامة> من شريط التنقل، أو اخترت روابط الأحداث في رسم التحقيقات، أو اخترت معرف تنبيه من التفاصيل الكاملة للحادث. لا يمكنك إنشاء إشارات مرجعية عندما يتم فتح لوحة السجلات من موقع آخر، مثل مباشرة من Azure Monitor.

عرض وتحديث الإشارات المرجعية

ابحث عن إشارة مرجعية وقم بتحديثها من علامة تبويب الإشارة المرجعية.

  1. بالنسبة لمايكروسوفت سينتينل في بوابة Azure، اختر تحت إدارة التهديداتHunting.
    بالنسبة لمايكروسوفت سينتينل في بوابة المدافع، اخترالبحث> التهديدات >.

  2. اختر تبويب العلامات المرجعية لعرض قائمة الإشارات المرجعية.

  3. البحث أو التصفية للعثور على إشارة مرجعية أو إشارات مرجعية معينة.

  4. حدد الإشارات المرجعية الفردية لعرض تفاصيل الإشارة المرجعية في الجزء الأيمن.

  5. قم بإجراء التغييرات حسب الحاجة. يتم حفظ التغييرات تلقائيا.

Note

يمكنك فقط عرض ما يصل إلى 1000 إشارة مرجعية في علامة التبويب إشارة مرجعية. يمكنك عرض بقية البيانات التي تم وضع إشارة مرجعية عليها في سجلاتك. معرفة المزيد

استكشاف الإشارات المرجعية في الرسم البياني للتحقيق

تصور بياناتك المرجعية من خلال بدء تجربة التحقيق التي يمكنك من خلالها عرض النتائج والتحقيق فيها وإبلاغها بصريا باستخدام رسم تخطيطي تفاعلي للرسم البياني للكيان ومخطط زمني.

  1. من تبويب العلامات المرجعية ، اختر الإشارة المرجعية أو الإشارات التي تريد التحقق منها.

  2. في تفاصيل الإشارة المرجعية، تأكد من تعيين كيان واحد على الأقل.

  3. اختر التحقيق لعرض العلامة المرجعية في رسم التحقيق.

للحصول على إرشادات لاستخدام الرسم البياني للتحقيق، راجع استخدام الرسم البياني للتحقيق للتعمق.

إضافة إشارات مرجعية إلى حدث جديد أو موجود (مدخل Microsoft Azure فقط)

أضف إشارات مرجعية إلى حادثة من تبويب العلامات المرجعية في صفحة الصيد .

  1. من تبويب العلامات المرجعية ، اختر الإشارة المرجعية أو الإشارات التي تريد إضافتها إلى حادث ما.

  2. اختر إجراءات الحادث من شريط الأوامر:

    لقطة شاشة لإضافة إشارات مرجعية إلى الحدث.

  3. حدد إما Create new incident أو Add to existing incident، حسب الاقتضاء. Then:

    • لحادثة جديدة: يمكنك تحديث تفاصيل الحادث اختياريا، ثم اختر إنشاء (إنشاء).
    • لإضافة إشارة مرجعية إلى حادث موجود: اختر حادثة واحدة، ثم اختر إضافة.

  4. لعرض الإشارة المرجعية داخل الحدث،

    1. اذهب إلىحوادثإدارة التهديداتفي مايكروسوفت سنتينل>.>
    2. حدد الحدث باستخدام الإشارة المرجعية وعرض التفاصيل الكاملة.
    3. في صفحة الحادث، في اللوحة اليسرى، اختر العلامات المرجعية.

عرض البيانات المرجعية في السجلات

عرض الاستعلامات أو النتائج أو محفوظاتها التي تم وضع إشارة مرجعية عليها.

  1. من تبويب علامات الصيد>، اختر الإشارة المرجعية.

  2. من جزء التفاصيل، حدد الارتباطات التالية:

    • عرض استعلام المصدر لعرض الاستعلام المصدر في جزء السجلات .

    • عرض سجلات الإشارات المرجعية لمشاهدة جميع بيانات تعريف الإشارة المرجعية، والتي تتضمن من قام بإجراء التحديث والقيم المحدثة ووقت حدوث التحديث.

  3. من شريط الأوامر في تبويب الإشارات المرجعية للصيد>، اختر سجلات العلامات المرجعية لعرض بيانات العلامات المرجعية الخام لجميع العلامات المرجعية.

    لقطة شاشة لأمر سجلات الإشارة المرجعية.

تُظهر طريقة العرض هذه جميع إشاراتك المرجعية مع بيانات التعريف المرتبطة بها. يمكنك استخدام استعلامات Kusto Query Language (KQL) للتصفية وصولا إلى أحدث إصدار من الإشارة المرجعية المحددة التي تبحث عنها.

قد يكون هناك تأخير كبير (يقاس بالدقائق) بين وقت إنشاء علامة المرجع ووقت ظهوره في تبويب العلامات المرجعية .

حذف إشارة مرجعية

حذف الإشارة المرجعية يزيل الإشارة من القائمة في تبويب الإشارات المرجعية . يستمر جدول HuntingBookmark الخاص بمساحة عمل Log Analytics الخاصة بك في احتواء إدخالات الإشارات المرجعية السابقة، لكن الإدخال الأخير يغير قيمة SoftDelete إلى true، مما يسهل تصفية العلامات القديمة. لا يؤدي حذف إشارة مرجعية إلى إزالة أي كيانات من تجربة التحقيق المقترنة بالإشارات المرجعية أو التنبيهات الأخرى.

لحذف إشارة مرجعية، أكمل الخطوات التالية.

  1. من تبويب علامات البحث>المرجعية ، اختر العلامة المرجعية أو الإشارات المرجعية التي تريد حذفها.

  2. انقر بزر الماوس الأيمن، وحدد خيار حذف الإشارات المرجعية المحددة.

المحتوى ذو الصلة

في هذه المقالة، تعلمت كيفية إجراء تحقيق صيد باستخدام الإشارات المرجعية في Microsoft Azure Sentinel. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel:

  • Last updated on