تخصيص الأنشطة على الخطوط الزمنية لصفحة الكيان

Important

• Activity customization is in PREVIEW. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.
• Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new users are also automatically onboarded and redirected from the Azure portal to the Defender portal. إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.

Introduction

بالإضافة إلى الأنشطة المتعقبة والمقدمة في الخط الزمني بواسطة Azure Sentinel الجاهز، يمكنك إنشاء أي أنشطة أخرى تريد تعقبها وتقديمها على الخط الزمني أيضاً. يمكنك إنشاء أنشطة مخصصة استناداً إلى استعلامات بيانات الكيان من أي مصادر بيانات متصلة. توضح الأمثلة التالية كيفية استخدام هذه الإمكانية:

• أضف أنشطة جديدة إلى الخط الزمني للكيان عن طريق تعديل قوالب النشاط الموجودة الجاهزة.

• إضافة أنشطة جديدة من سجلات مخصصة. على سبيل المثال، من سجل التحكم في الوصول الفعلي، يمكنك إضافة أنشطة دخول المستخدم وإنهاؤه لمنطقة محددة مقيدة - على سبيل المثال، غرفة خادم - إلى المخطط الزمني للمستخدم.

Getting started

• Users of Microsoft Sentinel in the Azure portal, select the Azure portal tab below.
• Users of the Microsoft Defender portal, select the Defender portal tab.

Azure portal

1. From the Microsoft Sentinel navigation menu, select Entity behavior.

2. On the Entity behavior page, select Customize entity page (Preview) at the top of the screen.

   

Defender portal

1. في مدخل Microsoft Defender، ابحث عن أي صفحة كيان.

   1. حدد Assets > Devices أو Identities.
   2. حدد جهازا أو مستخدما من القائمة. إذا حددت مستخدما، فحدد عرض صفحة المستخدم في النافذة المنبثقة التالية.

2. On the entity page, select the Sentinel events tab.

3. On the Sentinel events tab, select Customize Sentinel activities.

في صفحة تخصيص أنشطة Sentinel ، سترى قائمة بأي أنشطة قمت بإنشائها في علامة التبويب أنشطتي . في علامة التبويب قوالب النشاط ، سترى مجموعة الأنشطة التي يقدمها باحثو الأمان في Microsoft خارج الصندوق. هذه هي الأنشطة التي يتم تعقبها بالفعل وعرضها على الخطوط الزمنية في صفحات الكيان.

• As long as you have not created any user-defined activities, your entity pages will display all the activities listed under the Activity templates tab.

• Once you create or customize an activity, your entity pages will display only those activities, which appear in the My activities tab.

• إذا كنت تريد متابعة مشاهدة الأنشطة الجاهزة في صفحات الكيان لديك، فيجب عليك إنشاء نشاط لكل قالب تريد تعقبه وعرضه. اتبع الإرشادات الموجودة أسفل "إنشاء نشاط من قالب" أدناه.

إنشاء نشاط من قالب

1. Select the Activity templates tab to see the various activities available by default. يمكنك تصفية القائمة حسب نوع الكيان وكذلك حسب مصدر البيانات. سيؤدي تحديد نشاط من القائمة إلى عرض المعلومات التالية في جزء التفاصيل:

   • وصف النشاط

   • مصدر البيانات الذي يوفر الأحداث التي تشكل النشاط

   • المعرفات المستخدمة لتحديد الكيان في البيانات الأولية

   • الاستعلام الذي ينتج عنه الكشف عن هذا النشاط

2. Select Create activity at the bottom of the details pane to start the activity creation wizard.

   Azure portal

   

   Defender portal

   

   When you select Create activity in the Defender portal, you are redirected to the Microsoft Sentinel activity wizard in the Azure portal in a new tab.

3. سيتم فتح معالج النشاط - إنشاء نشاط جديد من القالب ، مع ملء حقوله بالفعل من القالب. You can make changes as you like in the General and Activity configuration tabs, or leave everything as is to continue viewing the out-of-the-box activity.

4. عندما تكون راضيا، حدد علامة التبويب مراجعة وإنشاء . عندما ترى رسالة التحقق من الصحة التي تم تمريرها ، انقر فوق الزر إنشاء في الأسفل.

إنشاء نشاط من البداية

From the top of the activities page, click on Add activity to start the activity creation wizard.

سيتم فتح معالج النشاط - إنشاء نشاط جديد ، مع حقوله فارغة.

General tab

1. أدخل اسماً لنشاطك (على سبيل المثال: "تمت إضافة المستخدم إلى المجموعة").

2. أدخل وصفاً للنشاط (على سبيل المثال: "تغيير عضوية مجموعة المستخدمين استناداً إلى معرف حدث Windows 4728").

3. حدد نوع الكيان (المستخدم أو المضيف) الذي سيتعقبه هذا الاستعلام.

4. يمكنك التصفية حسب معلمات إضافية للمساعدة في تحسين الاستعلام وتحسين أدائه. For example, you can filter for Active Directory users by choosing the IsDomainJoined parameter and setting the value to True.

5. You can select the initial status of the activity to Enabled or Disabled.

6. حدد Next : Activity configuration للمتابعة إلى علامة التبويب التالية.

   

علامة تبويب تكوين النشاط

كتابة استعلام النشاط

هنا سوف تكتب أو الصق استعلام KQL الذي سيتم استخدامه للكشف عن النشاط للكيان المختار، وتحديد كيفية تمثيله في الخط الزمني.

Important

نوصي بأن يستخدم الاستعلام محلل نموذج معلومات الأمان المتقدم (ASIM) وليس جدولا مضمنا. وهذا يضمن أن الاستعلام سيدعم أي مصدر بيانات حالٍ أو مستقبلي ذي صلة بدلاً من مصدر بيانات واحد.

من أجل ربط الأحداث والكشف عن النشاط المخصص، يتطلب KQL إدخال العديد من المعلمات، اعتماداً على نوع الكيان. المعلمات هي المعرفات المختلفة للكيان المعني.

يعد تحديد معرف قوي أفضل من أجل الحصول على تعيين واحد إلى واحد بين نتائج الاستعلام والكيان. قد يؤدي تحديد معرف ضعيف إلى نتائج غير دقيقة. تعرف على المزيد حول الكيانات والمعرفات القوية مقابل الضعيفة.

يوفر الجدول التالي معلومات حول معرفات الكيانات.

معرفات قوية للكيانات الحسابية والمضيفة

مطلوب معرف واحد على الأقل في أي استعلام.

Entity	Identifier	Description
Account	Account_Sid	SID المحلي للحساب في Active Directory
	Account_AadUserId	معرف كائن Microsoft Entra للمستخدم في معرف Microsoft Entra
	Account_Name + Account_NTDomain	مشابه لـ SamAccountName (مثال: Contoso\Joe)
	Account_Name + Account_UPNSuffix	مشابه لـ UserPrincipalName (مثال: Joe@Contoso.com)
Host	Host_HostName + Host_NTDomain	مشابه لاسم المجال المؤهل بالكامل (FQDN)
	Host_HostName + Host_DnsDomain	مشابه لاسم المجال المؤهل بالكامل (FQDN)
	Host_NetBiosName + Host_NTDomain	مشابه لاسم المجال المؤهل بالكامل (FQDN)
	Host_NetBiosName + Host_DnsDomain	مشابه لاسم المجال المؤهل بالكامل (FQDN)
	Host_AzureID	معرف كائن Microsoft Entra للمضيف في معرف Microsoft Entra (إذا انضم مجال Microsoft Entra)
	Host_OMSAgentID	معرف عامل OMS للعامل المثبت على مضيف معين (فريد لكل مضيف)

استناداً إلى الكيان المحدد، سترى المعرفات المتوفرة. سيؤدي النقر فوق المعرفات ذات الصلة إلى لصق المعرف في الاستعلام، عند موقع المؤشر.

Note

• يمكن أن يحتوي الاستعلام على ما يصل إلى 10 حقول، لذا يجب عرض الحقول التي تريدها.

• The projected fields must include the TimeGenerated field, in order to place the detected activity in the entity's timeline.

SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName

تقديم النشاط في الخط الزمني

من أجل الراحة، قد ترغب في تحديد كيفية تقديم النشاط في الخط الزمني عن طريق إضافة معلمات ديناميكية إلى إخراج النشاط.

يوفر Microsoft Azure Sentinel معلمات مضمنة لاستخدامها، ويمكنك أيضاً استخدام الآخرين استناداً إلى الحقول التي قمت بعرضها في الاستعلام.

استخدم التنسيق التالي للمعلمات الخاصة بك: {{ParameterName}}

بعد أن يجتاز استعلام النشاط التحقق من الصحة ويعرض الارتباط عرض نتائج الاستعلام أسفل نافذة الاستعلام، ستتمكن من توسيع قسم القيم المتوفرة لعرض المعلمات المتاحة لك لاستخدامها عند إنشاء عنوان نشاط ديناميكي.

Select the Copy icon next to a specific parameter to copy that parameter to your clipboard so that you can paste it into the Activity title field above.

أضف أياً من المعلمات التالية إلى استعلامك:

• أي حقل قمت بعرضه في الاستعلام.

• معرفات الكيان لأي كيانات مذكورة في الاستعلام.

• StartTimeUTC، لإضافة وقت بدء للنشاط، بالتوقيت العالمي المتفق عليه.

• EndTimeUTC، لإضافة وقت انتهاء للنشاط، بالتوقيت العالمي المتفق عليه.

• Count، لتلخيص العديد من مخرجات استعلام KQL في إخراج واحد.

  تضيف المعلمة count الأمر التالي إلى الاستعلام في الخلفية، على الرغم من أنه لم يتم عرضه بالكامل في المحرر:

  Summarize count() by <each parameter you’ve projected in the activity>
  

  Then, when you use the Bucket Size filter in the entity pages, the following command is also added to the query that's run in the background:

  Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
  

For example:

عندما تكون راضيا عن عنوان الاستعلام والنشاط، حدد التالي : مراجعة.

راجع المزيد من المعلومات حول العناصر التالية المستخدمة في الأمثلة السابقة، في وثائق Kusto:

• where operator
• project operator
• summarize operator
• bin() function
• دالة التجميع count()

لمزيد من المعلومات حول KQL، راجع نظرة عامة على لغة استعلام Kusto (KQL).

Other resources:

• مرجع KQL السريع
• موارد تعلم Kusto Query Language

علامة التبويب Review and create

1. تحقق من جميع معلومات التكوين لنشاطك المخصص.

2. When the Validation passed message appears, click Create to create the activity. You can edit or change it later in the My Activities tab.

إدارة أنشطتك

Manage your custom activities from the My Activities tab. Click on the ellipsis (...) at the end of an activity's row to:

• تحرير النشاط.
• تكرار النشاط لإنشاء نشاط جديد مختلف قليلاً.
• حذف النشاط.
• تعطيل النشاط (دون حذفه).

عرض الأنشطة في صفحة كيان

كلما قمت بإدخال صفحة كيان، سيتم تشغيل جميع استعلامات النشاط الممكنة لهذا الكيان، ما يوفر لك معلومات محدثة في الخط الزمني للكيان. سترى الأنشطة في الخط الزمني، جنباً إلى جنب مع التنبيهات والإشارات المرجعية.

You can use the Timeline content filter to present only activities (or any combination of activities, alerts, and bookmarks).

You can also use the Activities filter to present or hide specific activities.

Next steps

في هذا المستند، تعلمت كيفية إنشاء أنشطة مخصصة للخطوط الزمنية لصفحة الكيان. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel:

• Get the complete picture on entity pages.
• تعرف على تحليلات سلوك المستخدم والكيان (UEBA).
• راجع القائمة الكاملة للكيانات والمعرفات.