مشاركة عبر

إنشاء قواعد تحليلات مجدولة من القوالب

  • ينطبق على: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

By far the most common type of analytics rule, Scheduled rules are based on Kusto queries that are configured to run at regular intervals and examine raw data from a defined "lookback" period. يمكن لهذه الاستعلامات إجراء عمليات إحصائية معقدة على بياناتها الهدف، والكشف عن الخطوط الأساسية والنواجهات الخارجية في مجموعات الأحداث. إذا تجاوز عدد النتائج التي تم التقاطها بواسطة الاستعلام الحد الذي تم تكوينه في القاعدة، تنتج القاعدة تنبيها.

توفر لك Microsoft مجموعة واسعة من قوالب قواعد التحليلات من خلال العديد من الحلول المتوفرة في مركز المحتوى، وتشجعك بشدة على استخدامها لإنشاء قواعدك. تتم كتابة الاستعلامات في قوالب القواعد المجدولة من قبل خبراء الأمان وعلوم البيانات، إما من Microsoft أو من مورد الحل الذي يوفر القالب.

توضح لك هذه المقالة كيفية إنشاء قاعدة تحليلات مجدولة باستخدام قالب.

Important

يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.

Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.

إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.

عرض قواعد التحليلات الحالية

To view the installed analytics rules in Microsoft Sentinel, go to the Analytics page. The Rule templates tab displays all the installed rule templates. To find more rule templates, go to the Content hub in Microsoft Sentinel to install the related product solutions or standalone content.

  1. From the Microsoft Defender navigation menu, expand Microsoft Sentinel, then Configuration. Select Analytics.

  2. On the Analytics screen, select the Rule templates tab.

  3. If you want to filter the list for Scheduled templates:

    1. Select Add filter and choose Rule type from the list of filters.

    2. From the resulting list, select Scheduled. Then select Apply.

    لقطة شاشة لقوالب قواعد التحليلات المجدولة في مدخل Microsoft Defender.

إنشاء قاعدة من قالب

يصف هذا الإجراء كيفية إنشاء قاعدة تحليلات من قالب.

From the Microsoft Defender navigation menu, expand Microsoft Sentinel, then Configuration. Select Analytics.

  1. On the Analytics screen, select the Rule templates tab.

  2. Select a template name, and then select the Create rule button on the details pane to create a new active rule based on that template.

    يحتوي كل قالب على قائمة بمصادر البيانات المطلوبة. عند فتح القالب، يتم التحقق تلقائيًا من توفر مصادر البيانات. If a data source isn't enabled, the Create rule button may be disabled, or you might see a message to that effect.

    لقطة شاشة للوحة معاينة قاعدة التحليلات.

  3. يفتح معالج إنشاء القاعدة. يتم ملء جميع التفاصيل تلقائيا.

  4. التنقل بين علامات تبويب المعالج، وتخصيص المنطق وإعدادات القاعدة الأخرى حيثما أمكن ذلك لتتناسب بشكل أفضل مع احتياجاتك المحددة. لمزيد من المعلومات، راجع:

    عند الوصول إلى نهاية معالج إنشاء القاعدة، يقوم Microsoft Sentinel بإنشاء القاعدة. The new rule appears in the Active rules tab.

    كرر العملية لإنشاء المزيد من القواعد. لمزيد من التفاصيل حول كيفية تخصيص القواعد في معالج إنشاء القواعد، راجع إنشاء قاعدة تحليلات مخصصة من البداية.

Tip

  • تأكد من تمكين جميع القواعد المقترنة بمصادر البيانات المتصلة من أجل ضمان تغطية أمان كاملة للبيئة الخاصة بك. إن الطريقة الأكثر فعالية لتمكين قواعد التحليلات هي من صفحة موصل البيانات مباشرةً، التي تسرد أي قواعد ذات صلة. لمزيد من المعلومات، راجع توصيل مصادر البيانات.

  • يمكنك أيضا دفع القواعد إلى Microsoft Sentinel عبر واجهة برمجة التطبيقاتوPowerShell، على الرغم من أن القيام بذلك يتطلب جهدا إضافيا.

    عند استخدام API أو PowerShell، يجب أولًا تصدير القواعد إلى JSON قبل تمكين القواعد. قد تكون «واجهة برمجة التطبيقات» أو PowerShell ذات نفع عند تمكين القواعد في مثيلات متعددة من Microsoft Sentinel باستخدام إعدادات متطابقة في كل مثيل.

Next steps

في هذا المستند، تعلمت كيفية إنشاء قواعد تحليلات مجدولة من القوالب في Microsoft Sentinel.

  • Last updated on