تخصيص تفاصيل التنبيه في Microsoft Azure Sentinel

توضح هذه المقالة كيفية تجاوز الخصائص الافتراضية للتنبيهات ذات المحتوى من نتائج الاستعلام الأساسية.

في عملية إنشاء قاعدة تحليلات مجدولة، كخطوة أولى تقوم بتعريف اسم القاعدة ووصفها، وتعيين خطورتها وتكتيكات MITRE ATT&CK. سترث جميع التنبيهات التي تم إنشاؤها بواسطة قاعدة معينة - وجميع الحوادث التي تم إنشاؤها نتيجة لذلك - الاسم والوصف والخطورة والتكتيكات المحددة في القاعدة، بغض النظر عن المحتوى المعين لمثيل معين من التنبيه.

With the alert details feature, you can override these and other default properties of alerts in two ways:

• إنشاء أسماء وأوصاف مخصصة ومتغيرة للتنبيهات الخاصة بك. يمكنك تحديد الحقول في إخراج استعلام التنبيه الذي يمكن تضمين محتوياته في اسم أو وصف كل مثيل للتنبيه. إذا لم يكن للحقل المحدد قيمة في مثيل معين، فستعود تفاصيل التنبيه لهذا المثيل إلى الإعدادات الافتراضية المحددة في الصفحة الأولى من المعالج.

• تخصيص الخطورة والتكتيكات والخصائص الأخرى لمثيل معين من التنبيه (راجع القائمة الكاملة للخصائص أدناه) مع قيم أي حقول ذات صلة من إخراج الاستعلام. إذا كانت الحقول المحددة فارغة أو تحتوي على قيم لا تتطابق مع نوع بيانات الحقل، فستعود خصائص التنبيه المعنية إلى الإعدادات الافتراضية الخاصة بها (للتكتيكات والخطورة، تلك المحددة في الصفحة الأولى من المعالج).

Important

• Some alert details' customizability (see those so indicated below) are currently in PREVIEW. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.
• Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new users are also automatically onboarded and redirected from the Azure portal to the Defender portal. إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.

اتبع الإجراء المفصل أدناه لاستخدام ميزة تفاصيل التنبيه. هذه الخطوات هي جزء من معالج إنشاء قاعدة التحليلات، ولكن تتم معالجتها هنا بشكل مستقل لمعالجة سيناريو إضافة تفاصيل التنبيه أو تغييرها في قاعدة تحليلات موجودة.

كيفية تخصيص تفاصيل التنبيه

1. Enter the Analytics page in the portal through which you access Microsoft Sentinel:

   Azure portal

   From the Configuration section of the Microsoft Sentinel navigation menu, select Analytics.

   Defender portal

   From the Microsoft Defender navigation menu, expand Microsoft Sentinel, then Configuration. Select Analytics.

2. Select a scheduled query rule and select Edit. أو أنشئ قاعدة جديدة عن طريق تحديد إنشاء > قاعدة استعلام مجدول في أعلى الشاشة.

3. حدد علامة التبويب Set rule logic .

4. In the Alert enrichment section, expand Alert details.

   

5. In the now-expanded Alert details section, add free text that includes properties corresponding to the details you want to display in the alert:

   1. في الحقل تنسيق اسم التنبيه ، أدخل النص الذي تريد أن يظهر كاسم التنبيه (نص التنبيه)، وقم بتضمين أي حقول إخراج استعلام تريد أن تكون جزءا من نص التنبيه في أقواس متعرجة مزدوجة.

      مثال: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

   2. افعل الشيء نفسه مع حقل تنسيق وصف التنبيه .

      Note

      تقتصر حاليا على ثلاث معلمات في كل من الحقلين تنسيق اسم التنبيه وتنسيق وصف التنبيه .

   3. To override other default properties, select an alert property from the Alert property drop-down list. Then select the field from the query results, whose contents you want to populate the alert property, from the Value drop-down list.

   4. لتجاوز المزيد من الخصائص الافتراضية، حدد + إضافة جديد وكرر الخطوة السابقة. يمكن تجاوز الخصائص التالية:

      Name	Description
      AlertName	String. يدعم النص العادي فقط.
      Description	String. يدعم النص العادي فقط، إذا تم إلحاق Microsoft Sentinel في مدخل Defender.
      AlertSeverity	إحدى القيم التالية: - Informational - Low - Medium - High
      Tactics	إحدى القيم التالية: - Reconnaissance - ResourceDevelopment - InitialAccess - Execution - Persistence - PrivilegeEscalation - DefenseEvasion - CredentialAccess - Discovery - LateralMovement - Collection - Exfiltration - CommandAndControl - Impact - PreAttack - ImpairProcessControl - InhibitResponseFunction
      Techniques (Preview)	سلسلة تطابق التعبير العادي التالي: ^T(?<Digits>\d{4})$. For example: T1234
      AlertLink (Preview)	String
      ConfidenceLevel (Preview)	إحدى القيم التالية: - Low - High - Unknown
      ConfidenceScore (Preview)	Integer, between 0-1 (inclusive)
      ExtendedLinks (Preview)	String
      ProductComponentName (Preview) * راجع ملاحظات التحذير التي تلي هذا الجدول	String
      ProductName (Preview) * راجع ملاحظات التحذير التي تلي هذا الجدول	String
      ProviderName (Preview) * راجع ملاحظات التحذير التي تلي هذا الجدول	String
      RemediationSteps (Preview)	String

      Caution

      إذا قمت بإلحاق Microsoft Sentinel إلى مدخل Microsoft Defender:

      • لا تقم بتخصيص حقل ProductName للتنبيهات من مصادر Microsoft. سيؤدي القيام بذلك إلى إسقاط هذه التنبيهات من Microsoft Defender XDR وعدم إنشاء أي حادث.

      • The ProductComponentName and ProviderName fields are no longer available to be customized.

      إذا كان أي من هذه التخصيصات موجودا بالفعل في أي من القواعد الخاصة بك، فقم بإزالة التخصيصات للحفاظ على التوافق وتجنب النتائج غير المتوقعة.

   If you change your mind, or if you made a mistake, you can remove an alert detail by clicking the trash can icon next to the Alert property/Value pair, or delete the free text from the Alert Name/Description Format fields.

6. عند الانتهاء من تخصيص تفاصيل التنبيه، إذا كنت تقوم الآن بإنشاء القاعدة، فتابع إلى علامة التبويب التالية في المعالج. إذا كنت تقوم بتحرير قاعدة موجودة، فحدد علامة التبويب مراجعة وإنشاء . بمجرد نجاح التحقق من صحة القاعدة، حدد حفظ.

Service limits

• يمكنك تجاوز حقل يحتوي على ما يصل إلى 50 قيمة في استعلام واحد. When your query exceeds 50 customized values, all customized values are dropped, and in all query results the field reverts to its default value. قم بضبط الاستعلام للحصول على ما لا يزيد عن 50 قيمة لضمان عدم إسقاط أي قيم مخصصة.
• The size limit for the AlertName field, and any other non-collection properties, is 256 bytes.
• The size limit for the Description field, and any other collection properties, is 5 KB.
• يتم إسقاط القيم التي تتجاوز حدود الحجم.

Next steps

في هذا المستند، تعلمت كيفية تخصيص تفاصيل التنبيه في قواعد تحليلات Microsoft Azure Sentinel. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel:

• استكشف الطرق الأخرى لإثراء تنبيهاتك:
  • تعيين حقول البيانات إلى كيانات في Microsoft Sentinel
  • تفاصيل حدث Surface المخصص في التنبيهات في Microsoft Sentinel
• احصل على الصورة الكاملة على قواعد تحليلات الاستعلام المجدولة.
• تعرف على المزيد حول الكيانات في Microsoft Sentinel.