مشاركة عبر

استخدام قواعد تحليلات الكشف في الوقت الحقيقي تقريبًا (NRT) في Microsoft Azure Sentinel

  • ينطبق على: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Important

الاكتشافات المخصصة هي الآن أفضل طريقة لإنشاء قواعد جديدة عبر microsoft Sentinel SIEM Microsoft Defender XDR. باستخدام عمليات الكشف المخصصة، يمكنك تقليل تكاليف الاستيعاب، والحصول على اكتشافات غير محدودة في الوقت الحقيقي، والاستفادة من التكامل السلس مع البيانات Defender XDR والوظائف وإجراءات المعالجة باستخدام تعيين الكيان التلقائي. لمزيد من المعلومات، اقرأ هذه المدونة.

توفر قواعد تحليلات Microsoft Sentinel في الوقت الفعلي تقريبا up-to-الكشف عن التهديدات في الدقيقة الجاهزة. تم تصميم هذا النوع من القواعد بحيث يكون شديد الاستجابة عن طريق تشغيل استعلامه على فترات دقيقة واحدة فقط.

في الوقت الحالي، هذه القوالب لها تطبيق محدود على النحو المبين أدناه، لكن التكنولوجيا تتطور وتنمو بسرعة.

Important

يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.

بدءا من يوليو 2026، ستتم إعادة توجيه جميع العملاء الذين يستخدمون Microsoft Sentinel في مدخل Microsoft Azure إلى مدخل Defender وسيستخدمون Microsoft Sentinel في مدخل Defender فقط. بدءا من يوليو 2025، يتم إلحاق العديد من العملاء الجدد تلقائيا وإعادة توجيههم إلى مدخل Defender.

إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.

عرض قواعد الوقت الحقيقي تقريبًا (NRT)

  1. من قائمة التنقل Microsoft Defender، قم بتوسيع Microsoft Sentinel، ثم التكوين. اختر Analytics.

  2. في شاشة التحليلات ، مع تحديد علامة التبويب القواعد النشطة ، قم بتصفية القائمة لقوالب NRT :

    1. حدد إضافة عامل تصفية واختر نوع القاعدة من قائمة عوامل التصفية.

    2. من القائمة الناتجة، حدد NRT. ثم حدد تطبيق.

إنشاء قواعد NRT

يمكنك إنشاء قواعد NRT بنفس الطريقة التي تنشئ بها قواعد تحليلات الاستعلام المجدولة العادية:

  1. من قائمة التنقل Microsoft Defender، قم بتوسيع Microsoft Sentinel، ثم التكوين. اختر Analytics.

  2. في شريط الإجراءات أعلى الشبكة، حدد +إنشاء وحدد قاعدة استعلام NRT. يؤدي ذلك إلى فتح معالج قاعدة التحليلات.

    لقطة شاشة توضح كيفية إنشاء قاعدة NRT جديدة.

  1. اتبع إرشادات معالج قاعدة التحليلات.

    يكون تكوين قواعد NRT في أغلب الطرق نفس تكوين قواعد التحليلات المجدولة.

    • يمكنك الرجوع إلى جداول وقوائم مراقبة متعددة في منطق الاستعلام الخاص بك.

    • يمكنك استخدام جميع طرق إثراء التنبيه: تعيين الكياناتوالتفاصيل المخصصةوتفاصيل التنبيه.

    • يمكنك اختيار كيفية تجميع التنبيهات في الحوادث، وقمع استعلام عند إنشاء نتيجة معينة.

    • يمكنك أتمتة الاستجابات لكل من التنبيهات والحوادث.

    • يمكنك تشغيل استعلام القاعدة عبر مساحات عمل متعددة.

    نظرا لطبيعة قواعد NRT وقيودها، لن تتوفر الميزات التالية لقواعد التحليلات المجدولة في المعالج:

    • لا يمكن تكوين جدولة الاستعلام، حيث تتم جدولة الاستعلامات تلقائيا لتشغيلها مرة واحدة في الدقيقة مع فترة معاينة مدتها دقيقة واحدة.
    • عتبة التنبيه غير ذات صلة، حيث يتم إنشاء تنبيه دائما.
    • يتوفر الآن تكوين تجميع الأحداث بدرجة محدودة. يمكنك اختيار أن تنشئ قاعدة NRT تنبيها لكل حدث لما يصل إلى 30 حدثا. إذا اخترت هذا الخيار وأسفرت القاعدة عن أكثر من 30 حدثا، إنشاء تنبيهات حدث واحد لأول 29 حدثا، وسيقوم التنبيه الثلاثين بتلخيص جميع الأحداث في مجموعة النتائج.

    بالإضافة إلى ذلك، نظرا لحدود حجم التنبيهات، يجب أن يستخدم project الاستعلام عبارات لتضمين الحقول الضرورية فقط من الجدول. وإلا، فقد يتم اقتطاع المعلومات التي تريد عرضها.

الخطوات التالية

في هذا المستند، تعلمت كيفية إنشاء قواعد تحليلات في الوقت الفعلي تقريبا (NRT) في Microsoft Sentinel.

  • Last updated on