الكشف عن التهديدات باستخدام التتبع المباشر في Microsoft Sentinel

استخدم التتبع المباشر لإنشاء جلسات عمل تفاعلية تتيح لك اختبار الاستعلامات التي تم إنشاؤها حديثًا عند حدوث الأحداث، والحصول على إعلامات من الجلسات عند العثور على تطابق، وبدء التحقيقات إذا لزم الأمر. يمكنك إنشاء جلسة مباشرة بسرعة باستخدام أي استعلام Log Analytics.

Note

This article is about Hunting in Microsoft Sentinel, which also exists in Defender. For Advanced hunting in Microsoft Defender, see Proactively hunt for threats with advanced hunting in Microsoft Defender.

Important

يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.

Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.

إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.

إنشاء جلسة بث مباشر

يمكنك إنشاء جلسة livestream من استعلام تتبع موجود، أو إنشاء جلسة العمل الخاصة بك من البداية.

1. For Microsoft Sentinel in the Azure portal, under Threat management, select Hunting.
   For Microsoft Sentinel in the Defender portal, select Microsoft Sentinel>Threat management>Hunting. Make sure you select Hunting, and not Advanced hunting.

2. لإنشاء جلسة livestream من استعلام تتبع:

   1. From the Queries tab, locate the hunting query to use.
   2. انقر بزر الماوس الأيمن فوق الاستعلام وحدد Add to livestream. For example:

   

3. لإنشاء جلسة بث مباشر من البداية:

   1. Select the Livestream tab.
   2. حدد + New livestream.

4. On the Livestream pane:

   • إذا بدأت البث المباشر من استعلام، فراجع الاستعلام وأدخل أي تغييرات تريد إجراؤها.
   • إذا بدأت البث المباشر من البداية، فنشئ استعلامك.

   Livestream supports cross-resource queries of data in Azure Data Explorer. تعرف على المزيد حول الاستعلامات عبر الموارد.

5. Select Play from the command bar.

   يشير شريط المعلومات ضمن شريط الأوامر إلى ما إذا كانت جلسة البث المباشر قيد التشغيل أو متوقفة مؤقتًا. في المثال التالي، يتم تشغيل جلسة العمل:

   

6. Select Save from the command bar.

   Unless you select Pause, the session continues to run until you're signed out from the Azure portal.

عرض جلسات البث المباشر

Find your livestream sessions on the Hunting>Livestream tab.

1. For Microsoft Sentinel in the Azure portal, under Threat management, select Hunting.
   For Microsoft Sentinel in the Defender portal, select Microsoft Sentinel>Threat management>Hunting.

2. Select the Livestream tab.

3. حدد جلسة البث المباشر التي تريد عرضها أو تحريرها. For example:

   

   تفتح جلسة البث المباشر المحددة لتشغيلها وإيقافها مؤقتًا وتحريرها وما إلى ذلك.

تلقي الإعلامات عند حدوث أحداث جديدة

تظهر إعلامات البث المباشر للأحداث الجديدة مع إعلامات مدخل Microsoft Azure أو Defender. For example:

1. في مدخل Microsoft Azure أو Defender، انتقل إلى الإعلامات في الجانب الأيمن العلوي من صفحة المدخل.
2. Select the notification to open the Livestream pane.

رفع جلسة البث المباشر إلى تنبيه

ترقية جلسة البث المباشر إلى تنبيه جديد عن طريق تحديد Elevate للتنبيه من شريط الأوامر في جلسة البث المباشر ذات الصلة:

يفتح هذا الإجراء معالج إنشاء القاعدة، الذي يتم ملء مسبقًا بالاستعلام المقترن بجلسة البث المباشر.

Next steps

في هذه المقالة، تعلمت كيفية استخدام البث المباشر للتتبع في Microsoft Sentinel. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel:

• البحث بشكل استباقي عن التهديدات
• استخدام دفاتر الملاحظات لتشغيل حملات التتبع التلقائية