مشاركة عبر

إنشاء قاعدة تحليلات مجدولة من البداية

  • ينطبق على: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

لقد قمت بإعداد الموصلات والوسائل الأخرى لجمع بيانات النشاط عبر ممتلكاتك الرقمية. الآن تحتاج إلى البحث في كل تلك البيانات للكشف عن أنماط النشاط واكتشاف الأنشطة التي لا تناسب هذه الأنماط والتي يمكن أن تمثل تهديدا أمنيا.

تقدم Microsoft Sentinel وحلولها العديدة المتوفرة في مركز المحتوى قوالب للأنوع الأكثر استخداما من قواعد التحليلات، ويتم تشجيعك بشدة على الاستفادة من هذه القوالب وتخصيصها لتناسب سيناريوهاتك المحددة. ولكن من المحتمل أنك قد تحتاج إلى شيء مختلف تماما، لذلك في هذه الحالة يمكنك إنشاء قاعدة من البداية، باستخدام معالج قاعدة التحليلات.

Note

إذا كنت تراجع تفاصيل توصية تحسين SOC في صفحة تحسين SOC واتبعت الرابط معرفة المزيد إلى هذه الصفحة، فقد تبحث عن قائمة بقواعد التحليلات المقترحة. في هذه الحالة، قم بالتمرير إلى أسفل علامة التبويب تفاصيل التحسين وحدد الانتقال إلى مركز المحتوى للعثور على القواعد الموصى بها الخاصة بتلك التوصية وتثبيتها. لمزيد من المعلومات، راجع تدفق استخدام تحسين SOC.

توضح هذه المقالة عملية إنشاء قاعدة تحليلات من البداية، بما في ذلك استخدام معالج قاعدة التحليلات. ويصاحبه لقطات شاشة واتجاهات للوصول إلى المعالج في كل من مدخل Microsoft Azure ومدخل Defender.

Important

يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.

بدءا من يوليو 2026، ستتم إعادة توجيه جميع العملاء الذين يستخدمون Microsoft Sentinel في مدخل Microsoft Azure إلى مدخل Defender وسيستخدمون Microsoft Sentinel في مدخل Defender فقط. بدءا من يوليو 2025، يتم إلحاق العديد من العملاء الجدد تلقائيا وإعادة توجيههم إلى مدخل Defender.

إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.

Prerequisites

  • يجب أن يكون لديك دور Microsoft Sentinel Contributor، أو أي دور أو مجموعة أخرى من الأذونات التي تتضمن أذونات الكتابة على مساحة عمل Log Analytics ومجموعة الموارد الخاصة بها.

  • يجب أن يكون لديك على الأقل دراية أساسية بعلم البيانات وتحليلها ولغة استعلام Kusto.

  • يجب أن تتعرف على معالج قاعدة التحليلات وجميع خيارات التكوين المتوفرة. لمزيد من المعلومات، راجع قواعد التحليلات المجدولة في Microsoft Sentinel.

تصميم استعلامك وبنته

قبل القيام بأي شيء آخر، يجب تصميم وبناء استعلام بلغة Kusto Query Language (KQL) التي ستستخدمها القاعدة للاستعلام عن جدول واحد أو أكثر في مساحة عمل Log Analytics.

  1. حدد مصدر بيانات أو مجموعة من مصادر البيانات التي تريد البحث عنها للكشف عن نشاط غير عادي أو مريب. ابحث عن اسم جدول Log Analytics الذي يتم استيعاب البيانات من تلك المصادر فيه. يمكنك العثور على اسم الجدول على صفحة موصل البيانات لهذا المصدر. استخدم اسم الجدول هذا (أو دالة تستند إليه) كأساس للاستعلام.

  2. حدد نوع التحليل الذي تريد أن يقوم به هذا الاستعلام على الجدول. سيحدد هذا القرار الأوامر والوظائف التي يجب استخدامها في الاستعلام.

  3. حدد عناصر البيانات (الحقول والأعمدة) التي تريدها من نتائج الاستعلام. سيحدد هذا القرار كيفية هيكلة إخراج الاستعلام.

  4. قم بإنشاء واستعلامات واختبارها في شاشة السجلات . عندما تكون راضيا، احفظ الاستعلام لاستخدامه في القاعدة.

لمزيد من المعلومات، راجع:

إنشاء قاعدة التحليلات الخاصة بك

يصف هذا القسم كيفية إنشاء قاعدة باستخدام مداخل Azure أو Defender.

بدء إنشاء قاعدة استعلام مجدولة

للبدء، انتقل إلى صفحة التحليلات في Microsoft Sentinel لإنشاء قاعدة تحليلات مجدولة.

  1. بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Configuration>Analytics. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن التكوين، حدد Analytics.

  2. حدد +إنشاء وحدد قاعدة الاستعلام المجدولة.

قم بتسمية القاعدة وتعريف المعلومات العامة

في مدخل Microsoft Azure، يتم تمثيل المراحل بصريا كعلامات تبويب. في مدخل Defender، يتم تمثيلها بصريا كأحداث رئيسية على مخطط زمني.

  1. أدخل المعلومات التالية للقاعدة الخاصة بك.

    Field Description
    Name اسم فريد للقاعدة الخاصة بك. يدعم هذا الحقل النص العادي فقط. يجب أن تتبع أي عناوين URL مضمنة في الاسم تنسيق ترميز النسبة المئوية حتى يتم عرضها بشكل صحيح.
    Description وصف نص حر للقاعدة الخاصة بك.
    إذا تم إلحاق Microsoft Sentinel في مدخل Defender، فإن هذا الحقل يدعم النص العادي فقط. يجب أن تتبع أي عناوين URL مضمنة في الوصف تنسيق ترميز النسبة المئوية حتى يتم عرضها بشكل صحيح.
    Severity مطابقة تأثير النشاط الذي يؤدي إلى تشغيل القاعدة على البيئة المستهدفة، إذا كانت القاعدة إيجابية حقيقية.

    معلوماتي: لا يوجد تأثير على نظامك، ولكن قد تكون المعلومات مؤشرا على الخطوات المستقبلية التي يخطط لها ممثل التهديد.
    منخفض: سيكون التأثير الفوري ضئيلا. من المحتمل أن يحتاج الفاعل في التهديد إلى اتخاذ خطوات متعددة قبل تحقيق تأثير على بيئة ما.
    متوسط: يمكن أن يكون لممثل التهديد بعض التأثير على البيئة من خلال هذا النشاط ، لكنه سيكون محدودا في النطاق أو يتطلب نشاطا إضافيا.
    عالية: يوفر النشاط المحدد لممثل التهديد وصولا واسع النطاق لتنفيذ الإجراءات على البيئة أو يتم تشغيله بسبب التأثير على البيئة.
    MITRE ATT&CK اختر أنشطة التهديد التي تنطبق على القاعدة الخاصة بك. اختر من بين تكتيكات وتقنيات MITRE ATT & CK المعروضة في القائمة المنسدلة. يمكنك إجراء تحديدات متعددة.

    لمزيد من المعلومات حول زيادة تغطية مشهد التهديد MITRE ATT&CK إلى أقصى حد، راجع فهم التغطية الأمنية بواسطة إطار عمل MITRE ATT&CK®.
    Status ممكن: يتم تشغيل القاعدة فور إنشائها، أو في التاريخ والوقت المحددين اللذين تختارهما لجدولتها (حاليا في المعاينة).
    معطل: تم إنشاء القاعدة ولكن لا يتم تشغيلها. قم بتمكينه لاحقا من علامة تبويب القواعد النشطة عند الحاجة إليها.

  2. حدد Next: Set rule logic.

تعريف منطق القاعدة

الخطوة التالية هي تعيين منطق القاعدة الذي يتضمن إضافة استعلام Kusto الذي قمت بإنشائه.

  1. أدخل استعلام القاعدة وتكوين تحسين التنبيه.

    Setting Description
    Rule query الصق الاستعلام الذي قمت بتصميمه وإنشائه واختباره في نافذة استعلام القاعدة . يتم التحقق من صحة كل تغيير تجريه في هذه النافذة على الفور، لذلك إذا كانت هناك أي أخطاء، فسترى إشارة أسفل النافذة مباشرة.
    Map entities قم بتوسيع تعيين الكيان وتحديد ما يصل إلى 10 أنواع من الكيانات التي يتعرف عليها Microsoft Sentinel على الحقول في نتائج الاستعلام. يدمج هذا التعيين الكيانات المحددة في حقل Entities في مخطط التنبيه الخاص بك.

    للحصول على إرشادات كاملة حول تعيين الكيانات، راجع تعيين حقول البيانات إلى كيانات في Microsoft Sentinel.
    تفاصيل Surface المخصصة في التنبيهات قم بتوسيع التفاصيل المخصصة وحدد أي حقول في نتائج الاستعلام ترغب في ظهورها في تنبيهاتك كتفاصيل مخصصة. تظهر هذه الحقول في أي حوادث تنتج أيضا.

    للحصول على إرشادات كاملة حول عرض التفاصيل المخصصة، راجع تفاصيل حدث Surface المخصص في التنبيهات في Microsoft Sentinel.
    تخصيص تفاصيل التنبيه قم بتوسيع تفاصيل التنبيه وتخصيص خصائص التنبيه القياسية وفقا لمحتوى الحقول المختلفة في كل تنبيه فردي. على سبيل المثال، قم بتخصيص اسم التنبيه أو الوصف لتضمين اسم مستخدم أو عنوان IP مميز في التنبيه.

    للحصول على إرشادات كاملة حول تخصيص تفاصيل التنبيه، راجع تخصيص تفاصيل التنبيه في Microsoft Sentinel.

  2. جدولة الاستعلام ونطاقه. تعيين المعلمات التالية في قسم جدولة الاستعلام :

    Setting الوصف / الخيارات
    تشغيل الاستعلام كل يتحكم في الفاصل الزمني للاستعلام: عدد مرات تشغيل الاستعلام.
    النطاق المسموح به: من 5 دقائق إلى 14 يوما.
    بيانات البحث من آخر يحدد فترة المراجعة: الفترة الزمنية التي يغطيها الاستعلام.
    النطاق المسموح به: من 5 دقائق إلى 14 يوما.
    يجب أن يكون أطول من الفاصل الزمني للاستعلام أو مساويا له.
    Start running تلقائيا: سيتم تشغيل القاعدة لأول مرة فور إنشائها، وبعد ذلك في الفاصل الزمني للاستعلام.
    في وقت محدد (معاينة): قم بتعيين تاريخ ووقت للقاعدة لتشغيلها لأول مرة، وبعد ذلك سيتم تشغيلها في الفاصل الزمني للاستعلام.
    النطاق المسموح به: من 10 دقائق إلى 30 يوما بعد وقت إنشاء القاعدة (أو تمكينها).

  3. تعيين حد إنشاء التنبيهات.

    استخدم قسم عتبة التنبيه لتحديد مستوى حساسية القاعدة. على سبيل المثال، قم بتعيين حد أدنى يبلغ 100:

    Setting Description
    إنشاء تنبيه عند عدد نتائج الاستعلام أكبر من
    عدد الأحداث 100

    إذا كنت لا تريد تعيين حد، أدخل 0 في حقل الرقم.

  4. تعيين إعدادات تجميع الأحداث.

    ضمن تجميع الأحداث، اختر إحدى طريقتين للتعامل مع تجميع الأحداث في تنبيهات:

    Setting Behavior
    تجميع جميع الأحداث في تنبيه واحد
    (default)    		 تنشئ القاعدة تنبيها واحدا في كل مرة يتم تشغيلها، طالما أن الاستعلام يعرض نتائج أكثر من حد التنبيه المحدد أعلاه. يلخص هذا التنبيه الفردي جميع الأحداث التي تم إرجاعها في نتائج الاستعلام.
    تشغيل تنبيه لكل حدث تنشئ القاعدة تنبيهًا مميزًا لكل حدث يتم إرجاعه بواسطة الاستعلام. يعد هذا مفيدا إذا كنت تريد عرض الأحداث بشكل فردي، أو إذا كنت تريد تجميعها حسب معلمات معينة - حسب المستخدم أو اسم المضيف أو شيء آخر. يمكنك تعريف هذه المعلمات في الاستعلام.

  5. منع قاعدة مؤقتا بعد إنشاء تنبيه.

    لمنع قاعدة تتجاوز وقت التشغيل التالي إذا تم إنشاء تنبيه، قم بتشغيل إعدادإيقاف تشغيل الاستعلام بعد إنشاء التنبيه. إذا قمت بتشغيل هذا، فقم بتعيين إيقاف تشغيل الاستعلام إلى مقدار الوقت الذي يجب أن يتوقف فيه الاستعلام عن التشغيل، حتى 24 ساعة.

  6. محاكاة نتائج الاستعلام وإعدادات المنطق.

    في منطقة محاكاة النتائج ، حدد اختبار باستخدام البيانات الحالية لمعرفة الشكل الذي ستبدو عليه نتائج القاعدة إذا كانت تعمل على بياناتك الحالية. يحاكي Microsoft Sentinel تشغيل القاعدة 50 مرة على البيانات الحالية، باستخدام الجدول المحدد، ويعرض لك رسما بيانيا للنتائج (أحداث السجل). إذا قمت بتعديل الاستعلام، فحدد Test with current data مرة أخرى لتحديث الرسم البياني. يعرض الرسم البياني عدد النتائج خلال الفترة الزمنية المحددة بواسطة الإعدادات في قسم جدولة الاستعلام .

  7. حدد Next: Incident settings.

تكوين إعدادات إنشاء الحدث

في علامة التبويب إعدادات الحادث ، اختر ما إذا كان Microsoft Sentinel يحول التنبيهات إلى حوادث قابلة للتنفيذ، وما إذا كان يتم تجميع التنبيهات معا في الحوادث وكيفية تجميعها.

  1. تمكين إنشاء الحدث.

    في قسم إعدادات الحادث ، يتم تعيين إنشاء حوادث من التنبيهات التي يتم تشغيلها بواسطة قاعدة التحليلات هذه افتراضيا إلى ممكن، مما يعني أن Microsoft Sentinel سينشئ حادثة واحدة منفصلة عن كل تنبيه يتم تشغيله بواسطة القاعدة.

    • إذا كنت لا تريد أن تؤدي هذه القاعدة إلى إنشاء أي حوادث (على سبيل المثال، إذا كانت هذه القاعدة مخصصة فقط لجمع المعلومات لتحليلها لاحقا)، فقم بتعيين هذه القاعدة إلى معطل.

      Important

      إذا قمت بإلحاق Microsoft Sentinel بمدخل Microsoft Defender، فاترك هذا الإعداد ممكنا.

      • في هذا السيناريو، يتم إنشاء الحوادث بواسطة Microsoft Defender XDR، وليس بواسطة Microsoft Sentinel.
      • تظهر هذه الحوادث في قائمة انتظار الحوادث في كل من مداخل Azure وDefender.
      • في مدخل Microsoft Azure، يتم عرض الحوادث الجديدة مع "Microsoft XDR" كاسم موفر الحدث.

    • إذا كنت تريد إنشاء حدث واحد من مجموعة من التنبيهات، بدلا من واحد لكل تنبيه واحد، فشاهد الخطوة التالية.

  2. تعيين إعدادات تجميع التنبيهات.

    في قسم تجميع التنبيهات ، إذا كنت تريد إنشاء حادث واحد من مجموعة تصل إلى 150 تنبيها مشابها أو متكررا (راجع الملاحظة)، فقم بتعيين التنبيهات ذات الصلة بالمجموعة، التي يتم تشغيلها بواسطة قاعدة التحليلات هذه، في الحوادث إلى ممكن، وقم بتعيين المعلمات التالية.

    1. قصر المجموعة على التنبيهات التي تم إنشاؤها ضمن الإطار الزمني المحدد: قم بتعيين الإطار الزمني الذي يتم فيه تجميع التنبيهات المماثلة أو المتكررة معا. تنشئ التنبيهات خارج هذا الإطار الزمني حادثا منفصلا أو مجموعة من الحوادث.

    2. تجميع التنبيهات التي تم تشغيلها بواسطة قاعدة التحليلات هذه في حادث واحد عن طريق: اختر كيفية تجميع التنبيهات معا:

      Option Description
      تجميع التنبيهات في حادث واحد إذا تطابقت جميع الكيانات يتم تجميع التنبيهات معا إذا كانت تشترك في قيم متطابقة لكل من الكيانات المعينة (المحددة في علامة التبويب تعيين منطق القاعدة أعلاه). يوصى باستخدام هذا الإعداد.
      تجميع جميع التنبيهات التي تم تشغيلها بواسطة هذه القاعدة في حادث واحد يتم تجميع جميع التنبيهات التي تم إنشاؤها بواسطة هذه القاعدة معًا حتى وإن لم تشترك في قيم متطابقة.
      تجميع التنبيهات في حادث واحد إذا تطابقت الكيانات والتفاصيل المحددة يتم تجميع التنبيهات معًا إذا كانت تشترك في قيم متطابقة لجميع الكيانات المعينة، وتفاصيل التنبيه، والتفاصيل المخصصة المحدّدة من القوائم المنسدلة المعنية.

    3. إعادة فتح حوادث المطابقة المغلقة: إذا تم حل حادث وإغلاقه، وفي وقت لاحق تم إنشاء تنبيه آخر يجب أن ينتمي إلى هذا الحدث، قم بتعيين هذا الإعداد إلى ممكن إذا كنت تريد إعادة فتح الحدث المغلق، واتركه معطلا إذا كنت تريد أن ينشئ التنبيه حدثا جديدا.

      لا يتوفر هذا الخيار عند إلحاق Microsoft Sentinel في مدخل Microsoft Defender.

    Important

    إذا قمت بإلحاق Microsoft Sentinel بمدخل Microsoft Defender، فإن إعدادات تجميع التنبيهات لا تسري إلا في لحظة إنشاء الحادث.

    نظرا لأن محرك الارتباط الخاص بمدخل Defender مسؤول عن ارتباط التنبيه في هذا السيناريو، فإنه يقبل هذه الإعدادات كإرشادات أولية، ولكنه قد يتخذ أيضا قرارات حول ارتباط التنبيه الذي لا يأخذ هذه الإعدادات في الاعتبار.

    لذلك، قد تكون الطريقة التي يتم بها تجميع التنبيهات في حوادث مختلفة في كثير من الأحيان عما تتوقع بناء على هذه الإعدادات.

    Note

    يمكن تجميع ما يصل إلى 150 تنبيها في حادث واحد.

    • لن يتم إنشاء الحدث إلا بعد إنشاء جميع التنبيهات. ستتم إضافة جميع التنبيهات إلى الحدث فور إنشائه.

    • إذا تم إنشاء أكثر من 150 تنبيهًا بواسطة قاعدة تجمعها في حادث واحد، فسيتم إنشاء حادث جديد بتفاصيل الحادث نفسه الأصلي، وسيتم تجميع التنبيهات الزائدة في الحدث الجديد.

  3. حدد Next: Automated response.

مراجعة الاستجابات التلقائية أو إضافتها

  1. في علامة التبويب الاستجابات التلقائية ، راجع قواعد التنفيذ التلقائي المعروضة في القائمة. إذا كنت ترغب في إضافة أي استجابات غير مشمولة بالفعل بالقواعد الموجودة، فلديك خياران:

    • قم بتحرير قاعدة موجودة إذا كنت تريد تطبيق الاستجابة المضافة على العديد من القواعد أو جميعها.
    • حدد إضافة جديد لإنشاء قاعدة تلقائية جديدة تنطبق فقط على قاعدة التحليلات هذه.

    لمعرفة المزيد حول ما يمكنك استخدام قواعد الأتمتة له، راجع أتمتة الاستجابة للمخاطر في Microsoft Sentinel باستخدام قواعد الأتمتة

    • ضمن أتمتة التنبيه (الكلاسيكية) في أسفل الشاشة، سترى أي أدلة مبادئ قمت بتكوينها للتشغيل تلقائيا عند إنشاء تنبيه باستخدام الأسلوب القديم.

      • اعتبارا من يونيو 2023، لم يعد بإمكانك إضافة أدلة المبادئ إلى هذه القائمة. ستستمر أدلة المبادئ المدرجة هنا في التشغيل حتى يتم إهمال هذا الأسلوب ، اعتبارا من مارس 2026.

      • إذا كان لا يزال لديك أي أدلة مبادئ مدرجة هنا، فيجب عليك بدلا من ذلك إنشاء قاعدة أتمتة استنادا إلى مشغل التنبيه الذي تم إنشاؤه واستدعاء دليل المبادئ من قاعدة التنفيذ التلقائي. بعد القيام بذلك، حدد علامة الحذف في نهاية سطر دليل المبادئ المدرج هنا، وحدد إزالة. راجع ترحيل أدلة مبادئ مشغل تنبيه Microsoft Sentinel إلى قواعد التشغيل التلقائي للحصول على إرشادات كاملة.

  2. حدد Next: Review and create لمراجعة جميع الإعدادات لقاعدة التحليلات الجديدة.

التحقق من صحة التكوين وإنشاء القاعدة

  1. عند ظهور رسالة "تم تمرير التحقق"، اختر إنشاء.

  2. إذا ظهر خطأ بدلا من ذلك، فابحث عن X الأحمر وحدده على علامة التبويب في المعالج حيث حدث الخطأ.

  3. قم بتصحيح الخطأ والعودة إلى علامة التبويب Review and create لتشغيل التحقق من الصحة مرة أخرى.

عرض القاعدة وإنتاجها

عرض تعريف القاعدة

يمكنك العثور على القاعدة المخصصة التي تم إنشاؤها حديثا (من النوع "مجدول") في الجدول ضمن علامة التبويب القواعد النشطة على شاشة "إحصاءات Google " الرئيسية. من هذه القائمة، يمكنك تمكين كل قاعدة، أو تعطيلها، أو حذفها.

عرض نتائج القاعدة

لعرض نتائج قواعد التحليلات التي تقوم بإنشائها في مدخل Defender، قم بتوسيع التحقيق والاستجابة في قائمة التنقل، ثم الحوادث والتنبيهات. اعرض الحوادث في صفحة الحوادث ، حيث يمكنك فرز الحوادث والتحقيق فيهاومعالجة التهديدات. عرض التنبيهات الفردية في صفحة التنبيهات .

لقطة شاشة لصفحة الحوادث في مدخل Microsoft Azure.

ضبط القاعدة

Note

تتوفر التنبيهات التي تم إنشاؤها في Microsoft Sentinel من خلال أمان Microsoft Graph. لمزيد من المعلومات، راجع وثائق تنبيهات أمان Microsoft Graph.

تصدير القاعدة إلى قالب ARM

إذا كنت ترغب في حزم القاعدة الخاصة بك ليتم إدارتها ونشرها كتعلم برمجي، يمكنك بسهولة تصدير القاعدة إلى قالب Azure Resource Manager (ARM). يمكنك أيضًا استيراد القواعد من ملفات القالب لعرضها وتحريرها في واجهة المستخدم.

Next steps

عند استخدام قواعد التحليلات للكشف عن التهديدات من Microsoft Sentinel، تأكد من تمكين جميع القواعد المقترنة بمصادر البيانات المتصلة لضمان تغطية الأمان الكاملة للبيئة الخاصة بك.

لأتمتة تمكين القواعد، ادفع القواعد إلى Microsoft Sentinel عبر واجهة برمجة التطبيقاتوPowerShell، على الرغم من أن القيام بذلك يتطلب جهدا إضافيا. عند استخدام API أو PowerShell، يجب أولًا تصدير القواعد إلى JSON قبل تمكين القواعد. قد تكون «واجهة برمجة التطبيقات» أو PowerShell ذات نفع عند تمكين القواعد في مثيلات متعددة من Microsoft Sentinel باستخدام إعدادات متطابقة في كل مثيل.

لمزيد من المعلومات، راجع:

تعلم أيضا من مثال على استخدام قواعد التحليلات المخصصة عند مراقبة Zoom باستخدام موصل مخصص.

  • Last updated on