مشاركة عبر

صفحات الكيان في Microsoft Sentinel

  • ينطبق على: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

عندما تصادف حساب مستخدم أو اسم مضيف أو عنوان IP أو مورد Azure في التحقيق في الحادث، قد تقرر أنك تريد معرفة المزيد عنه. على سبيل المثال، قد ترغب في معرفة سجل نشاطه، وما إذا كان قد ظهر في تنبيهات أو حوادث أخرى، وما إذا كان قد قام بأي شيء غير متوقع أو خارج عن الطابع، وما إلى ذلك. باختصار، تريد معلومات يمكن أن تساعدك في تحديد نوع التهديد الذي تمثله هذه الكيانات وتوجيه تحقيقك وفقا لذلك.

تصف هذه المقالة صفحات الكيانات الخاصة بمايكروسوفت سينتينل في بوابة Azure. للحصول على معلومات حول صفحات الكيانات في بوابة المدافع، انظر:

Important

يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.

بعد 31 مارس 2027، لن يكون Microsoft Sentinel مدعوما في بوابة Azure وسيكون متاحا فقط في بوابة Microsoft Defender. جميع العملاء الذين يستخدمون مايكروسوفت سينتينل في بوابة Azure سيتم تحويلهم إلى بوابة المدافعين وسيستخدمون مايكروسوفت سينتينل فقط في بوابة المدافعين. بدءا من يوليو 2025، يتم إلحاق العديد من العملاء الجدد تلقائيا وإعادة توجيههم إلى مدخل Defender.

إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.

صفحات الكيان

في هذه الحالات، يمكنك اختيار الكيان (سيظهر كرابط قابل للنقر) ويتم نقلك إلى صفحة الكيان، وهي ورقة بيانات مليئة بالمعلومات المفيدة عن ذلك الكيان. يمكنك أيضا الوصول إلى صفحة الكيان من خلال البحث المباشر عن الكيانات في صفحة سلوك الكيانات في مايكروسوفت سينتينل. تتضمن أنواع المعلومات التي ستجدها في صفحات الكيانات حقائق أساسية عن الكيان، وجدولاً زمنيًا للأحداث البارزة المتعلقة بهذا الكيان، ونتيجة معرفية حول سلوك الكيان.

وبشكل أكثر تحديدًا، تتكون صفحات الكيان من ثلاثة أجزاء:

  • تحتوي اللوحة اليمنى على معلومات تعريف الكيان، التي تم جمعها من مصادر البيانات مثل معرف Microsoft Entra، وAzure Monitor، ونشاط Azure، وAzure Resource Manager، وMicrosoft Defender for Cloud، وCEF/Syslog، وMicrosoft Defender XDR (مع جميع مكوناته).

  • تعرض اللوحة المركزية مخططا زمنيا رسوميا ونصيا للأحداث البارزة المتعلقة بالوحدة، مثل التنبيهات والإشارات المرجعية والشذوذ والأنشطة. الأنشطة هي تجميعات من الأحداث البارزة من Log Analytics. يتم تطوير الاستعلامات التي تكشف عن هذه الأنشطة من قبل فرق أبحاث الأمان من Microsoft، ويمكنك الآن إضافة استعلاماتك المخصصة للكشف عن الأنشطة التي تختارها.

  • تعرض اللوحة على الجانب الأيمن رؤى سلوكية حول الكيان. يتم تطوير هذه الرؤى باستمرار من قبل فرق أبحاث الأمان من Microsoft. تعتمد هذه الأنظمة على مصادر بيانات متنوعة وتوفر سياقا للكيان وأنشطته المراقبة، مما يساعدك على التعرف بسرعة على السلوك الشاذ والتهديدات الأمنية.

إذا كنت تحقق في حادث باستخدام تجربة التحقيق الجديدة، فستتمكن من رؤية نسخة ملوحة من صفحة الكيان مباشرة داخل صفحة تفاصيل الحادث. لديك قائمة بجميع الكيانات في حادث معين، ويفتح تحديد كيان لوحة جانبية بثلاث "بطاقات" - معلوماتوجدول زمني ونتائج تحليلات - تعرض جميع المعلومات نفسها الموضحة أعلاه، ضمن الإطار الزمني المحدد المقابل لتلك الخاصة بالتنبيهات في الحدث.

إذا كنت تستخدم Microsoft Sentinel في مدخل Defender، فستظهر لوحات المخطط الزمني ونتائج التحليلات في علامة التبويب أحداث Sentinel في صفحة كيان Defender.

لقطة شاشة لمثال لصفحة كيان في مدخل Microsoft Azure.

الجدول الزمني

يمثل الجدول الزمني جزءًا كبيرًا من مساهمة صفحة الكيان في تحليلات السلوك في Microsoft Sentinel. وهو يقدم قصة عن الأحداث المتعلقة بالكيان، مما يساعدك على فهم نشاط الكيان ضمن إطار زمني محدد.

يمكنك اختيار النطاق الزمني من بين عدة خيارات محددة مسبقا (مثل آخر 24 ساعة)، أو تعيينه إلى أي إطار زمني محدد خصيصا. بالإضافة إلى ذلك، يمكنك تعيين عوامل التصفية التي تحدد المعلومات في المخطط الزمني على أنواع معينة من الأحداث أو التنبيهات.

يتم تضمين الأنواع التالية من العناصر في المخطط الزمني.

  • التنبيهات: أي تنبيهات يعرف فيها الكيان ككيان معين. لاحظ أنه إذا أنشأت مؤسستك تنبيهات مخصصة باستخدام قواعد التحليلات، فيجب عليك التأكد من أن تعيين كيان القواعد يتم بشكل صحيح.

  • الإشارات المرجعية: أي إشارات مرجعية تتضمن الكيان المحدد المعروض على الصفحة.

  • الشذوذات: اكتشافات UEBA بناء على خطوط أساس ديناميكية تم إنشاؤها لكل كيان عبر مدخلات بيانات مختلفة ومقابل أنشطته التاريخية الخاصة، وأنشطة نظرائها، وأنشطة المنظمة ككل.

  • الأنشطة: تجميع الأحداث البارزة المتعلقة بالكيان. يتم جمع مجموعة واسعة من الأنشطة تلقائيا، ويمكنك الآن تخصيص هذا القسم عن طريق إضافة أنشطة من اختيارك.

لقطة شاشة لمثال على مخطط زمني على صفحة كيان في مدخل Microsoft Azure.

رؤى الكيانات

تعتبر النتائج المعرفية للكيان استعلامات تم تعريفها بواسطة باحثي أمان Microsoft لمساعدة المحللين في البحث بشكل أكثر كفاءة وفعالية. يتم عرض النتائج المعرفية كجزء من صفحة الكيان، وتوفر معلومات أمان قيمة على المضيفين والمستخدمين، في شكل بيانات وجداول. وجود المعلومات هنا يعني أنك لا تحتاج إلى التحويل إلى Log Analytics. تشمل النتائج المعرفية بيانات تتعلق بعمليات تسجيل الدخول وإضافات المجموعة والأحداث غير الطبيعية وأكثر من ذلك وتشمل خوارزميات التعلم الآلي المتقدمة للكشف عن السلوك غير الطبيعي.

تستند النتائج المعرفية إلى مصادر البيانات التالية:

  • Syslog (لينكس)
  • SecurityEvent (ويندوز)
  • AuditLogs (معرف Microsoft Entra)
  • SigninLogs (معرف Microsoft Entra)
  • أوفيس أبكتيشن (Office 365)
  • تحليلات السلوك (Microsoft Sentinel UEBA)
  • رسالة كشف أخطاء الاتصال (عامل Azure Monitor)
  • CommonSecurityLog (Microsoft Sentinel)

بشكل عام، كل رؤية كيان معروضة على صفحة الكيان مصحوبة بارتباط ينقلك إلى صفحة حيث يتم عرض الاستعلام الأساسي للرؤية، جنبا إلى جنب مع النتائج، حتى تتمكن من فحص النتائج بمزيد من التعمق.

  • في Microsoft Sentinel في بوابة Azure، يأخذك الرابط إلى صفحة السجلات .
  • في بوابة Microsoft Defender، يأخذك الرابط إلى صفحة الصيد المتقدمة .

كيفية استخدام صفحات الكيان

تم تصميم صفحات الكيانات لتكون جزءا من سيناريوهات استخدام متعددة ويمكن الوصول إليها من خلال إدارة الحوادث، أو رسم التحقيق، أو الإشارات المرجعية، أو مباشرة من صفحة البحث عن الكيان تحت سلوك الكيان في القائمة الرئيسية لمايكروسوفت سينتينل.

رسم تخطيطي للمناطق التي يمكنك الوصول منها إلى صفحات الكيان، المقابلة لحالات الاستخدام.

يتم تخزين معلومات صفحة الكيان في جدول BehaviourAnalytics الموضح بالتفصيل في مرجع Microsoft Sentinel UEBA.

صفحات الكيان المدعومة

يقدم Microsoft Sentinel حاليا صفحات الكيان التالية:

  • حساب المستخدم

  • Host

  • عنوان IP (معاينة)

    Note

    تحتوي صفحة كيان عنوان IP (قيد المعاينة الآن) على بيانات تحديد الموقع الجغرافي التي توفرها خدمة التحليل الذكي للمخاطر من Microsoft. تمزج هذه الخدمة بين بيانات الموقع الجغرافي من حلول Microsoft وموردي الجهات الخارجية والشركاء. ثم تتوفر البيانات للتحليل والتحقيق في السياق لحادث أمني. لمزيد من المعلومات، راجع أيضا إثراء الكيانات في Microsoft Sentinel ببيانات الموقع الجغرافي عبر REST API (معاينة عامة).

  • Azure resource (Preview)

  • جهاز IoT (Preview)—فقط في Microsoft Sentinel في بوابة Azure حاليا.

الخطوات التالية

في هذا المستند، تعرفت على كيفية الحصول على معلومات حول الكيانات في Microsoft Sentinel باستخدام صفحات الكيان. لمزيد من المعلومات حول الكيانات وكيفية استخدامها، راجع المقالات التالية:

  • Last updated on