إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
هام
الاكتشافات المخصصة هي الآن أفضل طريقة لإنشاء قواعد جديدة عبر microsoft Sentinel SIEM Microsoft Defender XDR. باستخدام عمليات الكشف المخصصة، يمكنك تقليل تكاليف الاستيعاب، والحصول على اكتشافات غير محدودة في الوقت الحقيقي، والاستفادة من التكامل السلس مع البيانات Defender XDR والوظائف وإجراءات المعالجة باستخدام تعيين الكيان التلقائي. لمزيد من المعلومات، اقرأ هذه المدونة.
هام
ضبط الكشف قيد المعاينة حاليا. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.
يمكن أن يكون الضبط الدقيق لقواعد الكشف عن التهديدات في SIEM عملية صعبة وحساسة ومستمرة لتحقيق التوازن بين زيادة تغطية اكتشاف التهديدات إلى أقصى حد وتقليل المعدلات الإيجابية الخاطئة. يعمل Microsoft Sentinel على تبسيط هذه العملية وتبسيطها باستخدام التعلم الآلي لتحليل مليارات الإشارات من مصادر البيانات الخاصة بك بالإضافة إلى استجاباتك للحوادث بمرور الوقت، واستنتاج الأنماط وتزويدك بتوصيات ورؤى قابلة للتنفيذ يمكن أن تقلل بشكل كبير من نفقات الضبط وتسمح لك بالتركيز على اكتشاف التهديدات الفعلية والاستجابة لها.
تم الآن تضمين توصيات الضبط والرؤى في قواعد التحليلات الخاصة بك. ستوضح هذه المقالة ما تظهره هذه الإحصاءات، وكيف يمكنك تنفيذ التوصيات.
عرض رؤى القواعد وتوصيات الضبط
لمعرفة ما إذا كان لدى Microsoft Sentinel أي توصيات ضبط لأي من قواعد التحليلات الخاصة بك، حدد Analytics من قائمة التنقل Microsoft Sentinel.
ستعرض أي قواعد تحتوي على توصيات رمز المصباح الكهربائي، كما هو موضح هنا:
قم بتحرير القاعدة لعرض التوصيات جنبا إلى جنب مع الرؤى الأخرى. ستظهر معا في علامة التبويب تعيين منطق القاعدة في معالج قاعدة التحليلات، أسفل عرض محاكاة النتائج .
أنواع الرؤى
يتكون عرض نتائج تحليلات الضبط من عدة أجزاء يمكنك التمرير أو التمرير خلالها ، ويظهر لك كل منها شيئا مختلفا. يتم عرض الإطار الزمني - 14 يوما - الذي يتم عرض الرؤى فيه في الجزء العلوي من الإطار.
يعرض جزء المعارف التحليلية الأول بعض المعلومات الإحصائية - متوسط عدد التنبيهات لكل حادث وعدد الحوادث المفتوحة وعدد الحوادث المغلقة ، مجمعة حسب التصنيف (إيجابي صواب/خطأ). تساعدك هذه الرؤى على معرفة الحمل على هذه القاعدة ، وفهم ما إذا كان هناك حاجة إلى أي ضبط - على سبيل المثال ، إذا كانت إعدادات التجميع بحاجة إلى تعديل.
هذه الرؤى هي نتيجة استعلام Log Analytics. سينقلك تحديد متوسط التنبيهات لكل حادث إلى الاستعلام في Log Analytics الذي أنتج الرؤى. سينقلك تحديد الحوادث المفتوحة إلى شفرة الحوادث .
يوصي جزء المعارف التحليلية الثاني بقائمة بالكيانات المراد استبعادها. ترتبط هذه الكيانات ارتباطا وثيقا بالحوادث التي أغلقتها وصنفتها على أنها إيجابية خاطئة. حدد علامة الجمع بجوار كل كيان مدرج لاستبعاده من الاستعلام في عمليات التنفيذ المستقبلية لهذه القاعدة.
يتم إنتاج هذه التوصية بواسطة نماذج علوم البيانات والتعلم الآلي المتقدمة من Microsoft. يعتمد تضمين هذا الجزء في عرض نتائج تحليلات الضبط على وجود أي توصيات لعرضها.
يعرض جزء المعارف التحليلية الثالث الكيانات الأربعة التي تم تعيينها بشكل متكرر عبر جميع التنبيهات التي تنتجها هذه القاعدة. يجب تكوين تعيين الكيان على القاعدة حتى تنتج هذه الرؤى أي نتائج. قد تساعدك هذه البصيرة على إدراك أي كيانات "تسلط الأضواء" وتلفت الانتباه بعيدا عن الكيانات الأخرى. قد ترغب في التعامل مع هذه الكيانات بشكل منفصل في قاعدة مختلفة، أو قد تقرر أنها إيجابيات خاطئة أو ضوضاء أخرى، واستبعادها من القاعدة.
هذه الرؤى هي نتيجة استعلام Log Analytics. سينقلك تحديد أي من الكيانات إلى الاستعلام في Log Analytics الذي أنتج الرؤى.
الخطوات التالية
لمزيد من المعلومات، راجع: