مشاركة عبر

إنشاء قوائم مراقبة في Microsoft Azure Sentinel

  • ينطبق على: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

تساعدك قوائم المراقبة في مايكروسوفت سينتينل على ربط البيانات من مصدر البيانات الذي تقدمه مع الأحداث في بيئة مايكروسوفت سينتينل الخاصة بك. على سبيل المثال، يمكنك إنشاء قائمة مراقبة مع قائمة بالأصول عالية القيمة أو الموظفين المنتهيين أو حسابات الخدمة في بيئتك.

يمكنك إنشاء قائمة مراقبة باستخدام أي من الطرق التالية:

يمكنك حاليا رفع ملفات محلية تصل إلى حجم 3.8 ميجابايت. يعتبر الملف الذي يزيد حجمه عن 3.8 ميجابايت وحتى 500 ميجابايت قائمة مراقبة كبيرة. لرفع قائمة مراقبة كبيرة، قم برفع الملف إلى حساب Azure Storage. قبل إنشاء قائمة مشاهدة، راجع قيود قوائم المشاهدة.

يتم الاحتفاظ بالبيانات في جدول Log Analytics Watchlist لمدة 28 يوما.

Important

ميزات قوالب قوائم المراقبة، وإمكانية إنشاء قائمة مراقبة من ملف في Azure Storage، وإمكانية إنشاء قائمة مراقبة يدويا موجودة حاليا في PREVIEW. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.

بدءا من يوليو 2026، ستتم إعادة توجيه جميع العملاء الذين يستخدمون Microsoft Sentinel في مدخل Microsoft Azure إلى مدخل Defender وسيستخدمون Microsoft Sentinel في مدخل Defender فقط. بدءا من يوليو 2025، يتم أيضا إلحاق العديد من المستخدمين الجدد وإعادة توجيههم تلقائيا من مدخل Microsoft Azure إلى مدخل Defender. إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.

تحميل قائمة مشاهدة من مجلد محلي

لديك طريقتان لتحميل ملف CSV من جهازك المحلي لإنشاء قائمة مراقبة.

رفع قائمة مراقبة من ملف أنشأته

إذا لم تستخدم قالب قائمة المراقبة لإنشاء ملفك:

  1. في بوابة Defender، اذهب إلىقائمة مراقبةإعدادات>Microsoft Sentinel>.

  2. اختر + جديد لفتح ساحر قائمة المشاهدة.

    لقطة شاشة لخيار إضافة قائمة مشاهدة في صفحة قائمة المشاهدة.

  3. في الصفحة العامة ، أدخل الاسم والوصف والاسم المستعار لقائمة المراقبة، ثم اختر التالي: المصدر.

    لقطة شاشة لعلامة التبويب العامة لقائمة المشاهدة في معالج قوائم المشاهدة.

  4. في صفحة المصدر ، استخدم المعلومات في الجدول التالي لرفع بيانات قائمة المتابعة الخاصة بك، ثم اختر التالي: مراجعة + إنشائ.

    Field Description
    نوع المصدر ملف محلي
    نوع الملف ملف CSV مع عنوان (.csv)
    عدد الأسطر قبل الصف مع العناوين أدخل عدد الأسطر قبل صف الرأس الموجود في ملف البيانات.
    رفع الملف اسحب ملف البيانات وأفلته، أو حدد استعراض بحثا عن الملفات وحدد الملف المطلوب تحميله.
    SearchKey أدخل اسم عمود في قائمة المشاهدة التي تتوقع استخدامها كضم مع بيانات أخرى أو عنصر متكرر لعمليات البحث. على سبيل المثال، إذا كانت قائمة مراقبة الخادم تحتوي على أسماء دول/مناطق ورموز الدول ذات الحرفين، وتتوقع استخدام رموز الدول كثيرا للبحث أو الانضمام، استخدم عمود الرمز كمفتاح البحث.

    Note

    إذا كان ملف CSV الخاص بك أكبر من 3.8 ميجابايت، عليك استخدام تعليمات إنشاء قائمة مراقبة كبيرة من ملف في Azure Storage.

    لقطة شاشة تعرض علامة تبويب مصدر قائمة المشاهدة.

  5. راجع المعلومات، تحقق من صحتها، ثم اختر إنشاء (إنشاء).

    لقطة شاشة لصفحة مراجعة قائمة المشاهدة.

    يظهر إعلام بمجرد إنشاء قائمة المراقبة.

قد يستغرق إنشاء قائمة المراقبة والبيانات الجديدة في الاستعلامات عدة دقائق.

رفع قائمة مشاهدة تم إنشاؤها من قالب (معاينة)

لإنشاء قائمة مراقبة من قالب قمت بملؤه:

  1. في بوابة Defender، اذهب إلىقائمة مراقبةإعدادات>Microsoft Sentinel>.

  2. اختر تبويب القوالب (المعاينة).

  3. حدد القالب المناسب من القائمة لعرض تفاصيل القالب في الجزء الأيمن.

  4. اختر إنشاء من القالب لفتح معالج قائمة المراقبة.

    لقطة شاشة لخيار إنشاء قائمة مشاهدة من قالب مضمن.

  5. في الصفحة العامة ، لاحظ أن حقول الاسموالوصفوالاسم المستعار كلها للقراءة فقط. حدد Next: Source.

  6. في صفحة المصدر ، اختر تصفح الملفات، ثم اختر الملف الذي أنشأته من القالب.

  7. حدد Next: Review + create، ثم حدد Create. يظهر إعلام بمجرد إنشاء قائمة المراقبة.

قد يستغرق إنشاء قائمة المراقبة والبيانات الجديدة في الاستعلامات عدة دقائق.

إنشاء قائمة مراقبة كبيرة من ملف في تخزين Azure (معاينة)

إذا كان لديك قائمة مشاهدة كبيرة يصل حجمها إلى 500 ميغابايت، فحمل ملف قائمة المشاهدة إلى حساب تخزين Azure الخاص بك. ثم قم بإنشاء عنوان URL لتوقيع الوصول المشترك لـMicrosoft Sentinel لاسترداد بيانات قائمة المشاهدة. رابط توقيع الوصول المشترك هو رابط معلومات (URI) يحتوي على كل من رابط المورد ورمز توقيع الوصول المشترك لمورد مثل ملف CSV في حساب التخزين الخاص بك. وأخيرًا، أضف قائمة المشاهدة إلى مساحة العمل الخاصة بك في Microsoft Azure Sentinel.

لمزيد من المعلومات حول توقيعات الوصول المشتركة، راجع الرمز المميز لتوقيع الوصول المشترك ل Azure Storage.

الخطوة 1: تحميل ملف قائمة مراقبة إلى تخزين Azure

لتحميل ملف قائمة مراقبة كبيرة إلى حساب تخزين Azure، استخدم AzCopy أو مدخل Microsoft Azure.

  1. إذا لم يكن لديك حساب تخزين Azure بالفعل، فبادر بإنشاء حساب تخزين. يمكن أن يكون حساب التخزين في مجموعة موارد أو منطقة مختلفة عن مساحة العمل في Microsoft Sentinel.
  2. استخدم إما AzCopy أو بوابة Azure لرفع ملف CSV الخاص بك مع بيانات قائمة المراقبة إلى حساب التخزين.

تحميل الملف باستخدام AzCopy

تحميل الملفات والدلائل إلى تخزين Blob باستخدام الأداة المساعدة لسطر الأوامر AzCopy v10. لمعرفة المزيد، راجع تحميل الملفات إلى تخزين Azure Blob باستخدام AzCopy.

  1. إذا لم يكن لديك حاوية تخزين بالفعل، قم بإنشاء واحدة عن طريق تشغيل الأمر التالي.

    azcopy make 
https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>

  2. ثم، قم بتشغيل الأمر التالي لتحميل الملف.

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'

تحميل الملف في مدخل Microsoft Azure

إذا كنت لا تستخدم AzCopy، فحمل الملف الخاص بك باستخدام مدخل Microsoft Azure. اذهب إلى حساب التخزين الخاص بك في بوابة Azure لرفع ملف CSV مع بيانات قائمة المراقبة الخاصة بك.

  1. إذا لم يكن لديك حاوية تخزين موجودة بالفعل، فبادر بإنشاء حاوية. لمستوى الوصول العام إلى الحاوية، استخدم الإعداد الافتراضي المضبوط على خاص (بدون وصول مجهول).
  2. قم بتحميل كتلة كتلة لرفع ملف CSV الخاص بك إلى حساب التخزين.

الخطوة 2: إنشاء عنوان URL للتوقيع على الوصول المشترك

إنشاء عنوان URL لتوقيع الوصول المشترك لـMicrosoft Sentinel لاسترداد بيانات قائمة المراقبة.

  1. اتبع الخطوات الواردة في إنشاء رموز SAS المميزة للكائنات الثنائية كبيرة الحجم في مدخل Microsoft Azure.
  2. اضبط وقت انتهاء صلاحية توقيع توقيع الوصول المشترك إلى ست ساعات على الأقل.
  3. احتفظ بالقيمة الافتراضية لعناوين IP المسموح بها فارغة.
  4. انسخ قيمة Blob SAS URL.

الخطوة 3: إضافة Azure إلى علامة التبويب CORS

قبل استخدام SAS URI، أضف مدخل Azure إلى مشاركة الموارد عبر المنشأ (CORS).

  1. اذهب إلى إعدادات حساب التخزين، صفحة مشاركة الموارد .
  2. اختر تبويب خدمة Blob .
  3. أضف https://*.portal.azure.net إلى جدول الأصول المسموح به.
  4. اختر الطرق المسموح بها المناسبة ل GET و OPTIONS.
  5. احفظ التكوين.

لمزيد من المعلومات، راجع دعم CORS ل Azure Storage.

الخطوة 4: إضافة قائمة المشاهدة إلى مساحة عمل

  1. في بوابة Defender، اذهب إلىقائمة مراقبةإعدادات>Microsoft Sentinel>.

  2. اختر + جديد لفتح ساحر قائمة المشاهدة.

  3. في الصفحة العامة ، أدخل الاسم والوصف والاسم المستعار لقائمة المراقبة، ثم اختر التالي: المصدر.

  4. في صفحة المصدر ، استخدم المعلومات في الجدول التالي لرفع بيانات قائمة المتابعة الخاصة بك، ثم اختر التالي: مراجعة + إنشائ.

    Field Description
    نوع المصدر Azure Storage (Preview)
    تحديد نوع لمجموعة البيانات ملف CSV مع عنوان (.csv)
    عدد الأسطر قبل الصف مع العناوين أدخل عدد الأسطر قبل صف الرأس الموجود في ملف البيانات.
    عنوان URL لـBLOB SAS (معاينة) الصق رابط الوصول المشترك الذي أنشأته.
    SearchKey أدخل اسم عمود في قائمة المشاهدة التي تتوقع استخدامها كضم مع بيانات أخرى أو عنصر متكرر لعمليات البحث. على سبيل المثال، إذا كانت قائمة مراقبة الخادم تحتوي على أسماء دول/مناطق ورموز الدول ذات الحرفين، وتتوقع استخدام رموز الدول كثيرا للبحث أو الانضمام، استخدم عمود الرمز كمفتاح البحث.

  5. راجع المعلومات، تحقق من صحتها، ثم اختر إنشاء (إنشاء). يظهر إعلام بمجرد إنشاء قائمة المراقبة.

قد يستغرق الأمر وقتا لإنشاء قائمة مراقبة كبيرة وتوفر البيانات الجديدة في الاستعلامات.

أنشئ قائمة مراقبة يدويا (معاينة)

لإنشاء قائمة مراقبة من الصفر:

  1. في بوابة Defender، اذهب إلىقائمة مراقبةإعدادات>Microsoft Sentinel>.

  2. اختر + جديد لفتح ساحر قائمة المشاهدة.

  3. في الصفحة العامة ، أدخل الاسم والوصف والاسم المستعار لقائمة المراقبة، ثم اختر التالي: المصدر.

  4. في صفحة المصدر ، اختر الدليل (المعاينة)كنوع المصدر.

  5. أضف وحدد أسماء الأعمدة لقائمة المراقبة الخاصة بك. اختر العمود الذي يعمل كمفتاح البحث الخاص بك. هذا المفتاح هو العمود في قائمة المراقبة الذي تتوقع استخدامه كرابط مع بيانات أخرى أو كعنصر بحث متكرر.

    لقطة شاشة لخيار إنشاء قائمة مراقبة يدويا.

  6. حدّد Next: Review + create.

  7. راجع المعلومات، تحقق من صحتها، ثم اختر إنشاء (إنشاء). يظهر إعلام بمجرد إنشاء قائمة المراقبة.

قد يستغرق إنشاء قائمة المراقبة والبيانات الجديدة في الاستعلامات عدة دقائق.

Note

قوائم المراقبة التي تنشئها يدويا تحتوي تلقائيا على إدخال واحد يستخدم القيم الافتراضية. يمكنك تحديث هذا المدخل حسب الحاجة. لمزيد من المعلومات، راجع إدارة قوائم المراقبة.

عرض حالة قائمة المشاهدة

لعرض حالة قائمة المراقبة في مساحة العمل الخاصة بك:

  1. في بوابة Defender، اذهب إلىقائمة مراقبةإعدادات>Microsoft Sentinel>.

  2. في تبويب قوائم المشاهدة الخاصة بي ، اختر قائمة المراقبة.

  3. في صفحة التفاصيل، راجع الحالة (المعاينة).

    لقطة شاشة تظهر الحالة في قائمة المراقبة.

  4. عند نجاح الحالة، اختر عرض في سجلات السجلات لاستخدام قائمة المراقبة في استعلام. قد يستغرق عرض قائمة المشاهدة في Log Analytics عدة دقائق.

    لقطة شاشة لصفحة قائمة المراقبة مع زر عرض في السجلات مميز.

تنزيل قالب قائمة المشاهدة (معاينة)

قم بتنزيل أحد قوالب قائمة المشاهدة من Microsoft Sentinel للتعبئة ببياناتك. ثم قم بتحميل هذا الملف عند إنشاء قائمة المشاهدة في Microsoft Sentinel.

يحتوي كل قالب قائمة مراقبة مضمن على مجموعة بيانات خاصة به مدرجة في ملف CSV المرفق بالقالب. لمزيد من المعلومات، راجع مخططات قائمة المشاهدة المضمنة.

لتحميل أحد قوالب قائمة المراقبة:

  1. في بوابة Defender، اذهب إلىقائمة مراقبةإعدادات>Microsoft Sentinel>.

  2. اختر تبويب القوالب (المعاينة).

  3. حدد قالب من القائمة لعرض تفاصيل القالب في الجزء الأيمن.

  4. اختر القطع الناقص ... في نهاية الصف.

  5. اختر تحميل المخطط.

    لقطة شاشة لعلامة تبويب القوالب مع تحديد مخطط التنزيل.

  6. قم بتعبئة الإصدار المحلي من الملف واحفظه محليًا كملف CSV.

  7. اتبع الخطوات لتحميل قائمة المشاهدة التي تم إنشاؤها من قالب (معاينة).

قوائم المشاهدة المحذوفة والمعاد إنشاؤها في طريقة عرض Log Analytics

إذا قمت بحذف قائمة مشاهدة وإعادة إنشائها، فقد ترى الإدخالات المحذوفة والمعاد إنشاؤها في Log Analytics ضمن اتفاقية مستوى الخدمة لمدة خمس دقائق لاستيعاب البيانات. إذا رأيت هذه الإدخالات معا في Log Analytics لفترة أطول من الوقت، أرسل تذكرة دعم.

المحتوى ذو الصلة

راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel:

  • Last updated on