مشاركة عبر

إنشاء الحوادث الخاصة بك يدويا في Microsoft Sentinel في مدخل Microsoft Azure

  • ينطبق على: Microsoft Sentinel in the Azure portal

Important

Manual incident creation, using the portal or Logic Apps, is currently in PREVIEW. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.

يتوفر الإنشاء اليدوي للحوادث بشكل عام باستخدام واجهة برمجة التطبيقات.

Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new users are also automatically onboarded and redirected from the Azure portal to the Defender portal. إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.

With Microsoft Sentinel as your security information and event management (SIEM) solution, your security operations' threat detection and response activities are centered on incidents that you investigate and remediate. ولهذه الحوادث مصدران رئيسيان:

  • يتم إنشاؤها تلقائيا عندما تعمل آليات الكشف على السجلات والتنبيهات التي ي استيعابها Microsoft Sentinel من مصادر البيانات المتصلة بها.

  • يتم استيعابها مباشرة من خدمات أمان Microsoft المتصلة الأخرى (مثل Microsoft Defender XDR) التي أنشأتها.

ومع ذلك، يمكن أن تأتي بيانات التهديد أيضا من مصادر أخرى لم يتم استيعابها في Microsoft Sentinel، أو الأحداث التي لم يتم تسجيلها في أي سجل، ومع ذلك يمكن تبرير فتح تحقيق. على سبيل المثال، قد يلاحظ أحد الموظفين أن شخصا غير معروف يشارك في نشاط مشبوه يتعلق بموجودات معلومات مؤسستك. قد يقوم هذا الموظف بالاتصال بمركز عمليات الأمان (SOC) أو إرسال بريد إلكتروني إليه للإبلاغ عن النشاط.

يسمح Microsoft Sentinel في مدخل Microsoft Azure لمحللي الأمان بإنشاء حوادث يدويا لأي نوع من الأحداث، بغض النظر عن مصدرها أو بياناتها، حتى لا تفوتك إمكانية التحقيق في هذه الأنواع غير العادية من التهديدات.

حالات الاستخدام الشائعة

إنشاء حدث لحدث تم الإبلاغ عنه

هذا هو السيناريو الموضح في المقدمة أعلاه.

إنشاء حوادث خارج الأحداث من الأنظمة الخارجية

أنشئ حوادث بناءً على أحداث من الأنظمة التي لا يتم إدخال سجلاتها في Microsoft Sentinel. على سبيل المثال، قد تستخدم حملة التصيد الاحتيالي المستندة إلى الرسائل القصيرة العلامات التجارية والموضوعات الخاصة بمؤسستك لاستهداف الأجهزة المحمولة الشخصية للموظفين. قد ترغب في التحقيق في مثل هذا الهجوم، ويمكنك إنشاء حادث في Microsoft Sentinel بحيث يكون لديك نظام أساسي لإدارة التحقيق الخاص بك، وجمع الأدلة وتسجيلها، وتسجيل إجراءات الاستجابة والتخفيف.

إنشاء الحوادث على أساس نتائج التتبع

إنشاء حوادث بناءً على النتائج المرصودة لأنشطة التتبع. على سبيل المثال، في حين أن تتبع التهديدات في سياق تحقيق معين (أو بنفسك)، قد تصادف دليلا على تهديد غير ذي صلة تماما يستدعي تحقيقا منفصلا خاص به.

إنشاء حدث يدويًا

توجد ثلاث طرق لإنشاء حادث يدويًا:

بعد إلحاق Microsoft Sentinel بمدخل Microsoft Defender، لا تتم مزامنة الحوادث التي تم إنشاؤها يدويا مع مدخل Defender، على الرغم من أنه لا يزال من الممكن عرضها وإدارتها في Microsoft Sentinel في مدخل Microsoft Azure، ومن خلال Logic Apps وواجهة برمجة التطبيقات.

Permissions

الأدوار والأذونات التالية مطلوبة لإنشاء حادث يدويا.

Method Required role
مدخل Microsoft Azure وواجهة برمجة التطبيقات أحد المستعرضات التالية:
  • مستجيب Microsoft Sentinel
  • مساهم Microsoft Sentinel
    		•
    تطبيقات Azure Logic أحد ما سبق، بالإضافة إلى:
  • عامل تشغيل دليل مبادئ Microsoft Sentinel لاستخدام دليل مبادئ موجود
  • Logic App Contributor لإنشاء دليل مبادئ جديد
    		•

    تعرف على المزيد حول الأدوار في Microsoft Sentinel.

    قم بإنشاء حادثة باستخدام مدخل Microsoft Azure

    1. Select Microsoft Sentinel and choose your workspace.

    2. From the Microsoft Sentinel navigation menu, select Incidents.

    3. On the Incidents page, select + Create incident (Preview) from the button bar.

      لقطة شاشة لشاشة الحادث الرئيسية، والتي تحدد موقع الزر لإنشاء حادث جديد يدويا.

      سيتم فتح لوحة Create incident (Preview) على الجانب الأيسر من الشاشة.

      لقطة شاشة للوحة إنشاء الحدث اليدوي، جميع الحقول فارغة.

    4. املأ الحقول في اللوحة وفقًا لذلك.

      • Title

        • أدخل عنوانًا من اختيارك للحادث. سيظهر الحدث في قائمة الانتظار بهذا العنوان.
        • Required. نص مجاني بطول غير محدود. سيتم اقتطاع المسافات.

      • Description

        • أدخل معلومات وصفية حول الحادث، بما في ذلك تفاصيل مثل أصل الحادث، وأي كيانات معينة، والعلاقة بأحداث أخرى، ومن تم إبلاغه، وما إلى ذلك.
        • Optional. نص مجاني يصل إلى 5000 حرف.

      • Severity

        • اختر خطورة من القائمة المنسدلة. تتوفر جميع الخطورة المدعومة من Microsoft Sentinel.
        • Required. الإعدادات الافتراضية معينة على "متوسطة."

      • Status

        • اختر حالة من القائمة المنسدلة. تتوفر جميع الحالات المدعومة من Microsoft Sentinel.
        • Required. الإعدادات الافتراضية معينة على "جديدة."
        • يمكنك إنشاء حادث بالحالة "مغلق"، ثم فتحه يدويًا بعد ذلك لإجراء تغييرات واختيار حالة مختلفة. Choosing "closed" from the drop-down will activate classification reason fields for you to choose a reason for closing the incident and add comments. لقطة شاشة لحقول سبب التصنيف لإغلاق حادث.

      • Owner

        • اختر من بين المستخدمين أو المجموعات المتوفرة في المستأجر الخاص بك. ابدأ بكتابة اسم للبحث عن المستخدمين والمجموعات. حدد الحقل (انقر أو اضغط) لعرض قائمة الاقتراحات. اختر "تعيين لي" في أعلى القائمة لتعيين الحدث لنفسك.
        • Optional.

      • Tags

        • استخدم العلامات لتصنيف الحوادث ولتصفية وتحديد موقعها في قائمة الانتظار.
        • إنشاء علامات عن طريق تحديد أيقونة علامة الجمع، وإدخال نص في مربع الحوار، وتحديد موافق. سيقترح الإكمال التلقائي العلامات المستخدمة داخل مساحة العمل خلال الأسبوعين السابقين.
        • Optional. Free text.

    5. Select Create at the bottom of the panel. بعد بضع ثوان، سيتم إنشاء الحدث وسيظهر في قائمة انتظار الحوادث.

      If you assign an incident a status of "Closed," it will not appear in the queue until you change the status filter to show closed incidents as well. يتم تعيين عامل التصفية بشكل افتراضي لعرض الحوادث فقط بحالة "جديد" أو "نشط."

    حدد الحادث في قائمة الانتظار للاطلاع على تفاصيله الكاملة وإضافة إشارات مرجعية وتغيير مالكها وحالتها والمزيد.

    If for some reason you change your mind after the fact about creating the incident, you can delete it from the queue grid, or from within the incident itself. يجب أن يكون لديك دور Microsoft Sentinel Contributor من أجل حذف حدث.

    إنشاء حدث باستخدام Azure Logic Apps

    Creating an incident is also available as a Logic Apps action in the Microsoft Sentinel connector, and therefore in Microsoft Sentinel playbooks.

    يمكنك العثور على الإجراء Create incident (preview) في مخطط playbook لمشغل الحدث.

    لقطة شاشة لإنشاء إجراء تطبيق منطق الحدث في موصل Microsoft Sentinel.

    تحتاج إلى توفير المعلمات كما هو موضح أدناه:

    يوفر Microsoft Sentinel بعض نماذج قواعد التشغيل التي توضح لك كيفية العمل بهذه الإمكانية:

    • إنشاء حدث باستخدام نموذج Microsoft
    • إنشاء حدث من علبة وارد البريد الإلكتروني المشتركة

    You can find them in the playbook templates gallery on the Microsoft Sentinel Automation page.

    إنشاء حادثة باستخدام Microsoft Sentinel API

    The Incidents operation group allows you not only to create, but also to update (edit), get (retrieve), list, and delete incidents.

    يمكنك إنشاء حدث باستخدام نقطة النهاية التالية. بعد تقديم هذا الطلب، سيكون الحادث مرئيًا في قائمة انتظار الحوادث في البوابة.

    PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

    فيما يلي مثال على الشكل الذي قد يبدو عليه نص الطلب:

    {
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed"
  }
}

    Notes

    • لا تحتوي الحوادث التي تم إنشاؤها يدويًا على أي كيانات أو تنبيهات. Therefore, the Alerts tab in the incident page will remain empty until you relate existing alerts to your incident.

      The Entities tab will also remain empty, as adding entities directly to manually created incidents is not currently supported. (إذا قمت بربط تنبيه بهذا الحادث، فستظهر كيانات من التنبيه في الحادث.)

    • Manually created incidents will also not display any Product name in the queue.

    • يتم تصفية قائمة انتظار الحوادث افتراضيًا لعرض الحوادث التي تكون بحالة "جديد" أو "نشط" فقط. إذا قمت بإنشاء حادث بالحالة "مغلق"، فلن يظهر في قائمة الانتظار حتى تقوم بتغيير مرشح الحالة لإظهار الحوادث المغلقة أيضًا.

    Next steps

    لمزيد من المعلومات، راجع:

    • Last updated on