إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
When alerts are sent to or generated by Microsoft Sentinel, they contain data elements that Sentinel can recognize and classify into categories as entities. عندما يفهم Microsoft Sentinel نوع الكيان الذي يمثله عنصر بيانات معين، فإنه يعرف الأسئلة الصحيحة التي يجب طرحها حوله، ويمكنه بعد ذلك مقارنة الرؤى حول هذا العنصر عبر النطاق الكامل لمصادر البيانات، وتتبعه بسهولة والرجوع إليه طوال تجربة Sentinel بأكملها - التحليلات والتحقيق والمعالجة والتتبع وما إلى ذلك. بعض الأمثلة الشائعة للكيانات هي حسابات المستخدمين والمضيفين وعلب البريد وعناوين IP والملفات والتطبيقات السحابية والعمليات وعناوين URL.
Important
يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.
Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.
إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.
في مدخل Microsoft Defender، تندرج الكيانات بشكل عام في فئتين رئيسيتين:
| Entity category | Characterization | Main examples |
|---|---|---|
| Assets | ||
| Other entities (evidence) |
Entity identifiers
يدعم Microsoft Sentinel مجموعة متنوعة من أنواع الكيانات. Each type has its own unique attributes, which are represented as fields in the entity schema, and are called identifiers. See the full list of supported entities below, and the complete set of entity schemas and identifiers in Microsoft Sentinel entity types reference.
المعرفات القوية والضعيفة
لكل نوع من أنواع الكيانات، هناك حقول أو مجموعات من الحقول، يمكنها تحديد مثيلات معينة لهذا الكيان. These fields or sets of fields can be referred to as strong identifiers if they can uniquely identify an entity without any ambiguity, or as weak identifiers if they can identify an entity under some circumstances, but are not guaranteed to uniquely identify an entity in all cases. مع ذلك، في كثير من الحالات، يمكن دمج مجموعة مختارة من المعرفات الضعيفة لإنتاج معرف قوي.
For example, user accounts can be identified as account entities in more than one way: using a single strong identifier like a Microsoft Entra account's numeric identifier (the GUID field), or its User Principal Name (UPN) value, or alternatively, using a combination of weak identifiers like its Name and NTDomain fields. يمكن أن تحدد مصادر البيانات المختلفة نفس المستخدم بطرق مختلفة. عندما يصادف Microsoft Sentinel كيانين يمكنه التعرف على أنهما نفس الكيان بناءً على معرفاتهما، فإنه يدمج الكيانين في كيان واحد، بحيث يمكن التعامل معهما بشكل مناسب ومتسق.
If, however, one of your resource providers creates an alert in which an entity is not sufficiently identified—for example, using only a single weak identifier like a user name without the domain name context—then the user entity cannot be merged with other instances of the same user account. وسيتم تعريف تلك المثيلات الأخرى ككيان منفصل، وسيظل هذان الكيانان منفصلين بدلاً من أن يكونا موحدين.
لتقليل مخاطر حدوث ذلك، يجب التحقق من أن كافة موفري التنبيهات تحدد بشكل صحيح الكيانات في التنبيهات التي تنتجها. بالإضافة إلى ذلك، قد تؤدي مزامنة كيانات حساب المستخدم مع معرف Microsoft Entra إلى إنشاء دليل توحيد، والذي سيكون قادرا على دمج كيانات حساب المستخدم.
Supported entities
يتم تحديد الأنواع التالية من الكيانات حاليًا في Microsoft Sentinel:
- Account
- Host
- IP address
- URL
- Azure resource
- Cloud application
- DNS resolution
- File
- File hash
- Malware
- Process
- Registry key
- Registry value
- Security group
- Mailbox
- Mail cluster
- Mail message
- Submission mail
You can view these entities' identifiers and other relevant information in the entities reference.
Entity mapping
كيف يتعرف Microsoft Sentinel على جزء من البيانات في تنبيه على أنه تعريف كيان؟
لنلق نظرة على كيفية معالجة البيانات في Microsoft Sentinel. Data is ingested from various sources through connectors, whether service-to-service, agent-based, or API-based. يتم تخزين البيانات في جداول في مساحة عمل Log Analytics. يتم الاستعلام عن هذه الجداول على فترات منتظمة بواسطة قواعد التحليلات المجدولة أو شبه الحقيقية التي قمت بتعريفها وتمكينها، أو عند الطلب كجزء من استعلامات التتبع عند البحث عن التهديدات. جزء من تعريف قواعد التحليلات هذه واستعلامات التتبع هو تعيين حقول البيانات في الجداول إلى أنواع الكيانات التي تعرف عليها Microsoft Sentinel. وفقا للتعيينات التي تحددها، سيأخذ Microsoft Sentinel الحقول من النتائج التي تم إرجاعها بواسطة الاستعلام الخاص بك، ويتعرف عليها بواسطة المعرفات التي حددتها لكل نوع كيان، ويطبق عليها نوع الكيان المحدد بواسطة تلك المعرفات.
ما الهدف من كل هذا؟
عندما يكون Microsoft Sentinel قادرا على تحديد الكيانات في التنبيهات من أنواع مختلفة من مصادر البيانات، وخاصة إذا كان يمكنه القيام بذلك باستخدام معرفات قوية مشتركة لكل مصدر بيانات أو مخطط آخر، فإنه يمكن ربطها بسهولة بين جميع هذه التنبيهات ومصادر البيانات. تساعد هذه الارتباطات في بناء مخزن غني من المعلومات والرؤى حول الكيانات، مما يمنحك أساسا متينا وسياقا للتحقيق في التهديدات الأمنية والاستجابة لها.
تعرف على كيفية تعيين حقول البيانات إلى كيانات.
تعرف على المعرفات التي تحدد كيانا بقوة.
Entity pages
يمكن الآن العثور على معلومات حول صفحات الكيان في صفحات الكيان في Microsoft Sentinel.
Next steps
في هذا المستند، تعرفت على كيفية العمل باستخدام الكيانات في Microsoft Sentinel. لإرشادات عملية حول تنفيذ واستخدام النتائج المعرفية التي اكتسبتها راجع المقالات التالية:
- تمكين تحليلات سلوك الكيان في Microsoft Sentinel.
- البحث عن التهديدات الأمنية.