الكيانات في Microsoft Sentinel

عندما ترسل التنبيهات إلى أو تولد بواسطة مايكروسوفت سينتينل، فإنها تحتوي على عناصر بيانات يمكن لسينتينل التعرف عليها وتصنيفها إلى فئات ككيانات. عندما يفهم Microsoft Sentinel نوع الكيان الذي يمثله عنصر بيانات معين، فإنه يعرف الأسئلة الصحيحة التي يجب طرحها حوله، ويمكنه بعد ذلك مقارنة الرؤى حول هذا العنصر عبر النطاق الكامل لمصادر البيانات، وتتبعه بسهولة والرجوع إليه طوال تجربة Sentinel بأكملها - التحليلات والتحقيق والمعالجة والتتبع وما إلى ذلك. بعض الأمثلة الشائعة للكيانات هي حسابات المستخدمين والمضيفين وعلب البريد وعناوين IP والملفات والتطبيقات السحابية والعمليات وعناوين URL.

Important

يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.

بعد 31 مارس 2027، لن يكون Microsoft Sentinel مدعوما في بوابة Azure وسيكون متاحا فقط في بوابة Microsoft Defender. جميع العملاء الذين يستخدمون مايكروسوفت سينتينل في بوابة Azure سيتم تحويلهم إلى بوابة المدافعين وسيستخدمون مايكروسوفت سينتينل فقط في بوابة المدافعين. بدءا من يوليو 2025، يتم إلحاق العديد من العملاء الجدد تلقائيا وإعادة توجيههم إلى مدخل Defender.

إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.

في مدخل Microsoft Defender، تندرج الكيانات بشكل عام في فئتين رئيسيتين:

فئة الكيان	Characterization	أمثلة رئيسية
Assets	الأجسام الداخلية الأجسام المحمية الأشياء المسجلة	الحسابات (المستخدمون) المضيفون (الأجهزة) Mailboxes موارد Azure
كيانات أخرى (evidence)	البنود الخارجية ليس في عنصر التحكم الخاص بك مؤشرات التسوية	عناوين IP Files Processes URLs

معرفات الكيانات

يدعم Microsoft Sentinel مجموعة متنوعة من أنواع الكيانات. لكل نوع خصائصه الفريدة، والتي تمثل كحقول في مخطط الكيان، وتسمى معرفات. انظر القائمة الكاملة للكيانات المدعومة أدناه، والمجموعة الكاملة من مخططات الكيانات والمعرفات في إشارات أنواع الكيانات في مايكروسوفت سينتينل.

المعرفات القوية والضعيفة

لكل نوع من أنواع الكيانات، هناك حقول أو مجموعات من الحقول، يمكنها تحديد مثيلات معينة لهذا الكيان. يمكن الإشارة إلى هذه الحقول أو مجموعات الحقول بمعرفات قوية إذا كانت قادرة على تحديد كيان بشكل فريد دون أي غموض، أو كمعرفات ضعيفة إذا تمكنت من تحديد كيان تحت ظروف معينة، لكنها ليست مضمونة لتحديد كيان بشكل فريد في جميع الحالات. مع ذلك، في كثير من الحالات، يمكن دمج مجموعة مختارة من المعرفات الضعيفة لإنتاج معرف قوي.

على سبيل المثال، يمكن تحديد حسابات المستخدمين ككيانات حسابية بأكثر من طريقة: باستخدام معرف قوي واحد مثل معرف حساب Microsoft Entra الرقمي (حقل GUID )، أو قيمة اسم المستخدم الرئيسي (UPN)، أو بدلا من ذلك، باستخدام مزيج من المعرفات الضعيفة مثل حقلي Name و NTDomain . يمكن أن تحدد مصادر البيانات المختلفة نفس المستخدم بطرق مختلفة. عندما يصادف Microsoft Sentinel كيانين يمكنه التعرف على أنهما نفس الكيان بناءً على معرفاتهما، فإنه يدمج الكيانين في كيان واحد، بحيث يمكن التعامل معهما بشكل مناسب ومتسق.

أما إذا قام أحد مزودي الموارد بإنشاء تنبيه لم يتم فيه تحديد كيان بشكل كاف — على سبيل المثال، باستخدام معرف ضعيف واحد فقط مثل اسم المستخدم بدون سياق اسم النطاق — فلا يمكن دمج الكيان المستخدم مع نسخ أخرى من نفس حساب المستخدم. وسيتم تعريف تلك المثيلات الأخرى ككيان منفصل، وسيظل هذان الكيانان منفصلين بدلاً من أن يكونا موحدين.

لتقليل مخاطر حدوث ذلك، يجب التحقق من أن كافة موفري التنبيهات تحدد بشكل صحيح الكيانات في التنبيهات التي تنتجها. بالإضافة إلى ذلك، قد تؤدي مزامنة كيانات حساب المستخدم مع معرف Microsoft Entra إلى إنشاء دليل توحيد، والذي سيكون قادرا على دمج كيانات حساب المستخدم.

الكيانات ذات الدعم المسبق

يتم تحديد الأنواع التالية من الكيانات حاليًا في Microsoft Sentinel:

• Account
• Host
• عنوان IP
• URL
• مورد Azure
• تطبيق السحابة
• دقة DNS
• File
• تجزئة الملفات
• Malware
• Process
• مفتاح السجل
• قيمة السجل
• مجموعة الأمن
• Mailbox
• مجموعة البريد
• رسالة بريدية
• بريد التقديم

يمكنك عرض معرفات هذه الكيانات والمعلومات ذات الصلة الأخرى في مرجع الكيانات.

تعيين الكيان

كيف يتعرف Microsoft Sentinel على جزء من البيانات في تنبيه على أنه تعريف كيان؟

لنلق نظرة على كيفية معالجة البيانات في Microsoft Sentinel. يتم استيعاب البيانات من مصادر مختلفة عبر موصلات، سواء كانت خدمة إلى خدمة، أو معتمدة على وكيل، أو قائمة على واجهات برمجة التطبيقات. يتم تخزين البيانات في جداول في مساحة عمل Log Analytics. يتم الاستعلام عن هذه الجداول على فترات منتظمة بواسطة قواعد التحليلات المجدولة أو شبه الحقيقية التي قمت بتعريفها وتمكينها، أو عند الطلب كجزء من استعلامات التتبع عند البحث عن التهديدات. جزء من تعريف قواعد التحليلات هذه واستعلامات التتبع هو تعيين حقول البيانات في الجداول إلى أنواع الكيانات التي تعرف عليها Microsoft Sentinel. وفقا للتعيينات التي تحددها، سيأخذ Microsoft Sentinel الحقول من النتائج التي تم إرجاعها بواسطة الاستعلام الخاص بك، ويتعرف عليها بواسطة المعرفات التي حددتها لكل نوع كيان، ويطبق عليها نوع الكيان المحدد بواسطة تلك المعرفات.

ما الهدف من كل هذا؟

عندما يكون Microsoft Sentinel قادرا على تحديد الكيانات في التنبيهات من أنواع مختلفة من مصادر البيانات، وخاصة إذا كان يمكنه القيام بذلك باستخدام معرفات قوية مشتركة لكل مصدر بيانات أو مخطط آخر، فإنه يمكن ربطها بسهولة بين جميع هذه التنبيهات ومصادر البيانات. تساعد هذه الارتباطات في بناء مخزن غني من المعلومات والرؤى حول الكيانات، مما يمنحك أساسا متينا وسياقا للتحقيق في التهديدات الأمنية والاستجابة لها.

تعرف على كيفية تعيين حقول البيانات إلى كيانات.

تعرف على المعرفات التي تحدد كيانا بقوة.

صفحات الكيان

يمكن الآن العثور على معلومات حول صفحات الكيان في صفحات الكيان في Microsoft Sentinel.

الخطوات التالية

في هذا المستند، تعرفت على كيفية العمل باستخدام الكيانات في Microsoft Sentinel. لإرشادات عملية حول تنفيذ واستخدام النتائج المعرفية التي اكتسبتها راجع المقالات التالية:

• تمكين تحليلات سلوك الكيان في Microsoft Sentinel.
• البحث عن التهديدات الأمنية.