مشاركة عبر

تعقب البيانات في أثناء التتبع باستخدام Microsoft Azure Sentinel

  • ينطبق على: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

تساعدك الإشارات المرجعية للتتبع في Microsoft Sentinel في الحفاظ على الاستعلامات ونتائج الاستعلام التي تراها ذات صلة. يمكنك أيضًا تسجيل ملاحظاتك السياقية والرجوع إلى النتائج التي توصلت إليها عن طريق إضافة الملاحظات والعلامات. تكون البيانات المرجعية مرئية لك ولزملائك في الفريق لتسهيل التعاون. For more information, see Bookmarks.

Note

يمكن إنشاء الإشارات المرجعية فقط في مدخل Microsoft Azure. بينما لا يمكنك إضافة إشارات مرجعية في مدخل Microsoft Defender، يمكنك مشاهدة الإشارات المرجعية التي تم إنشاؤها بالفعل.

Important

يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.

Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.

إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.

إضافة إشارة مرجعية (مدخل Microsoft Azure فقط)

إنشاء إشارة مرجعية للحفاظ على الاستعلامات والنتائج والملاحظات والنتائج.

  1. Under Threat management, select Hunting.

  2. From the Queries tab, select one or more of the hunting queries.

  3. من شريط الأوامر العلوي، حدد تشغيل الاستعلامات المحددة.

  4. حدد عرض نتائج الاستعلام. For example:

    لقطة شاشة لعرض نتائج الاستعلام من تتبع Microsoft Sentinel.

    This action opens the query results in the Logs pane.

  5. من قائمة نتائج استعلام السجل، استخدم مربعات الاختيار لتحديد صف واحد أو أكثر يحتوي على المعلومات التي تجدها ممتعة.

  6. In Azure portal, select Add bookmark:

    لقطة شاشة لإضافة إشارة مرجعية للتتبع للاستعلام.

  7. On the right, in the Add bookmark pane, optionally, update the bookmark name, add tags, and notes to help you identify what was interesting about the item.

  8. يمكن تعيين الإشارات المرجعية اختياريا لتقنيات MITRE ATT&CK أو التقنيات الفرعية. يتم توريث تعيينات MITRE ATT CK من القيم المعينة في استعلامات التتبع، ولكن يمكنك أيضا إنشاؤها يدويا. حدد تكتيك MITRE ATT&CK المرتبط بالتقنية المطلوبة من القائمة المنسدلة في قسم التكتيكات والتقنيات في جزء إضافة إشارة مرجعية . تتوسع القائمة لإظهار جميع تقنيات MITRE ATT&CK، ويمكنك تحديد تقنيات وتقنيات فرعية متعددة في هذه القائمة.

    لقطة شاشة لكيفية تعيين تكتيكات وتقنيات Mitre Attack إلى الإشارات المرجعية.

  9. الآن يمكن استخراج مجموعة موسعة من الكيانات من نتائج الاستعلام ذات الإشارة المرجعية لمزيد من التحقيق. In the Entity mapping section, use the drop-downs to select entity types and identifiers. ثم قم بتعيين العمود في نتائج الاستعلام الذي يحتوي على المعرف المقابل. For example:

    لقطة شاشة لتعيين أنواع الكيانات لالإشارات المرجعية للتتبع.

    لعرض الإشارة المرجعية في الرسم البياني للتحقيق، يجب عليك تعيين كيان واحد على الأقل. يتم دعم تعيينات الكيانات لأنواع كيان الحساب والمضيف وعنوان IP وعنوان URL التي أنشأتها، مع الحفاظ على التوافق مع الإصدارات السابقة.

  10. Select Create to commit your changes and add the bookmark. تتم مشاركة جميع البيانات المرجعية مع محللين آخرين، وهي خطوة أولى نحو تجربة تحقيق تعاونية.

تدعم نتائج استعلام السجل الإشارات المرجعية متى تم فتح هذا الجزء من Microsoft Azure Sentinel. For example, if you select General>Logs from the navigation bar, select event links in the investigations graph, or select an alert ID from the full details of an incident. You can't create bookmarks when the Logs pane is opened from another location, such as directly from Azure Monitor.

عرض وتحديث الإشارات المرجعية

ابحث عن إشارة مرجعية وقم بتحديثها من علامة تبويب الإشارة المرجعية.

  1. For Microsoft Sentinel in the Azure portal, under Threat management select Hunting.
    For Microsoft Sentinel in the Defender portal, select Microsoft Sentinel>Threat management>Hunting.

  2. Select the Bookmarks tab to view the list of bookmarks.

  3. البحث أو التصفية للعثور على إشارة مرجعية أو إشارات مرجعية معينة.

  4. حدد الإشارات المرجعية الفردية لعرض تفاصيل الإشارة المرجعية في الجزء الأيمن.

  5. قم بإجراء التغييرات حسب الحاجة. يتم حفظ التغييرات تلقائيا.

Note

يمكنك فقط عرض ما يصل إلى 1000 إشارة مرجعية في علامة التبويب إشارة مرجعية. يمكنك عرض بقية البيانات التي تم وضع إشارة مرجعية عليها في سجلاتك. Learn more

استكشاف الإشارات المرجعية في الرسم البياني للتحقيق

تصور بياناتك المرجعية من خلال بدء تجربة التحقيق التي يمكنك من خلالها عرض النتائج والتحقيق فيها وإبلاغها بصريا باستخدام رسم تخطيطي تفاعلي للرسم البياني للكيان ومخطط زمني.

  1. From the Bookmarks tab, select the bookmark or bookmarks you want to investigate.

  2. في تفاصيل الإشارة المرجعية، تأكد من تعيين كيان واحد على الأقل.

  3. Select Investigate to view the bookmark in the investigation graph.

للحصول على إرشادات لاستخدام الرسم البياني للتحقيق، راجع استخدام الرسم البياني للتحقيق للتعمق.

إضافة إشارات مرجعية إلى حدث جديد أو موجود (مدخل Microsoft Azure فقط)

Add bookmarks to an incident from the bookmarks tab on the Hunting page.

  1. From the Bookmarks tab, select the bookmark or bookmarks you want to add to an incident.

  2. Select Incident actions from the command bar:

    لقطة شاشة لإضافة إشارات مرجعية إلى الحدث.

  3. حدد إما Create new incident أو Add to existing incident، حسب الاقتضاء. Then:

    • For a new incident: Optionally update the details for the incident, and then select Create.
    • For adding a bookmark to an existing incident: Select one incident, and then select Add.

  4. لعرض الإشارة المرجعية داخل الحدث،

    1. Go to Microsoft Sentinel>Threat management>Incidents.
    2. حدد الحدث باستخدام الإشارة المرجعية وعرض التفاصيل الكاملة.
    3. On the incident page, in the left pane, select the Bookmarks.

عرض البيانات المرجعية في السجلات

عرض الاستعلامات أو النتائج أو محفوظاتها التي تم وضع إشارة مرجعية عليها.

  1. From the Hunting>Bookmarks tab, select the bookmark.

  2. من جزء التفاصيل، حدد الارتباطات التالية:

    • عرض استعلام المصدر لعرض الاستعلام المصدر في جزء السجلات .

    • عرض سجلات الإشارات المرجعية لمشاهدة جميع بيانات تعريف الإشارة المرجعية، والتي تتضمن من قام بإجراء التحديث والقيم المحدثة ووقت حدوث التحديث.

  3. From the command bar on the Hunting>Bookmarks tab, select Bookmark Logs to view the raw bookmark data for all bookmarks.

    لقطة شاشة لأمر سجلات الإشارة المرجعية.

تُظهر طريقة العرض هذه جميع إشاراتك المرجعية مع بيانات التعريف المرتبطة بها. يمكنك استخدام استعلامات Kusto Query Language (KQL) للتصفية وصولا إلى أحدث إصدار من الإشارة المرجعية المحددة التي تبحث عنها.

There can be a significant delay (measured in minutes) between the time you create a bookmark and when it's displayed in the Bookmarks tab.

حذف إشارة مرجعية

Deleting the bookmark removes the bookmark from the list in the Bookmark tab. The HuntingBookmark table for your Log Analytics workspace continues to contain previous bookmark entries, but the latest entry changes the SoftDelete value to true, making it easy to filter out old bookmarks. لا يؤدي حذف إشارة مرجعية إلى إزالة أي كيانات من تجربة التحقيق المقترنة بالإشارات المرجعية أو التنبيهات الأخرى.

لحذف إشارة مرجعية، أكمل الخطوات التالية.

  1. From the Hunting>Bookmarks tab, select the bookmark or bookmarks you want to delete.

  2. انقر بزر الماوس الأيمن، وحدد خيار حذف الإشارات المرجعية المحددة.

Related content

في هذه المقالة، تعلمت كيفية إجراء تحقيق صيد باستخدام الإشارات المرجعية في Microsoft Azure Sentinel. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel:

  • Last updated on