تعيين حقول البيانات للكيانات في Microsoft Azure Sentinel

يعد تعيين الكيان جزءا لا يتجزأ من تكوين قواعد التحليلات المجدولة. إنه يثري مخرجات القواعد (التنبيهات والحوادث) بالمعلومات الأساسية التي تعمل بمثابة اللبنات الأساسية لأي عمليات تحقيق وإجراءات علاجية تتبعها.

الإجراء المفصل أدناه جزء من معالج إنشاء قواعد التحليلات. يتم التعامل معها هنا بشكل مستقل لمعالجة سيناريو إضافة أو تغيير تعيينات الكيانات في قاعدة تحليلات موجودة.

Important

• راجع "ملاحظات حول الإصدار الجديد" في نهاية هذا المستند للحصول على معلومات مهمة حول التوافق مع الإصدارات السابقة والاختلافات بين الإصدارات الجديدة والقديمة من تعيين الكيان.
• Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new users are also automatically onboarded and redirected from the Azure portal to the Defender portal. إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.

كيفية تعيين الكيانات

1. Enter the Analytics page in the portal through which you access Microsoft Sentinel:

   Azure portal

   From the Configuration section of the Microsoft Sentinel navigation menu, select Analytics.

   Defender portal

   From the Microsoft Defender navigation menu, expand Microsoft Sentinel, then Configuration. Select Analytics.

2. Select a scheduled query rule and select Edit from the details pane. أو أنشئ قاعدة جديدة بالنقر فوق إنشاء > قاعدة استعلام مجدول في أعلى الشاشة.

3. حدد علامة التبويب Set rule logic . إذا كانت هناك قاعدة جديدة، فاكتب استعلاما في نافذة استعلام القاعدة .

4. In the Alert enhancement section, expand Entity mapping.

   

5. In the now-expanded Entity mapping section, select Add new entity.

   

6. Select an entity type from the Entity drop-down list.

   

7. Select an identifier for the entity. المعرّفات هي سمات الكيان الذي يمكنه تحديده بشكل كافٍ. Choose one from the Identifier drop-down list, and then choose a data field from the Value drop-down list that will correspond to the identifier. With some exceptions, the Value list is populated by the data fields in the table defined as the subject of the rule query.

   يمكنك تعريف ما يصل إلى ثلاثة معرفات لتعيين كيان معين. بعض المعرفات مطلوبة، والبعض الآخر اختياري. يجب عليك اختيار معرّف مطلوب واحد على الأقل. إذا لم تقم بذلك، فستقوم رسالة تحذير بإرشادك إلى المعرفات المطلوبة. For best results—for maximum unique identification—you should use strong identifiers whenever possible, and using multiple strong identifiers will enable greater correlation between data sources. راجع القائمة الكاملة للكيانات والمعرفات المتوفرة.

   

8. حدد إضافة كيان جديد لتعيين المزيد من الكيانات. يمكنك تحديد ما يصل إلى عشرة تعيينات كيان في قاعدة تحليلات واحدة. يمكنك أيضاً تعيين أكثر من واحد من نفس النوع. For example, you can map two IP entities, one from a source IP address field and one from a destination IP address field. بهذه الطريقة يمكنك تتبع كلاهما.

   إذا غيرت رأيك، أو إذا ارتكبت خطأ، يمكنك إزالة تعيين كيان بالنقر فوق رمز سلة المهملات بجوار القائمة المنسدلة للكيان.

9. عند الانتهاء من تعيين الكيانات، انقر فوق علامة التبويب مراجعة وإنشاء . بمجرد نجاح التحقق من صحة القاعدة، انقر فوق حفظ.

Note

• يمكن تحديد ما يصل إلى 500 كيان بشكل جماعي في تنبيه واحد، مقسمة بالتساوي عبر جميع تعيينات الكيان المحددة في القاعدة.

  • على سبيل المثال، إذا تم تعريف تعييني كيانين في القاعدة، يمكن لكل تعيين تحديد ما يصل إلى 250 كيانا؛ إذا تم تعريف خمسة تعيينات، يمكن لكل واحد تحديد ما يصل إلى 100 كيان، وهكذا.
  • تعيينات متعددة لنوع كيان واحد (على سبيل المثال، IP المصدر وعنوان IP الوجهة) كل عدد بشكل منفصل.
  • إذا كان التنبيه يحتوي على عناصر تتجاوز هذا الحد، فلن يتم التعرف على هذه العناصر الزائدة واستخراجها ككيانات.

• حد الحجم لمنطقة الكيانات بأكملها للتنبيه (حقل الكيانات ) هو 64 كيلوبايت.

  • Entities fields that grow larger than 64 KB will be truncated. عند تحديد الكيانات، تتم إضافتها إلى التنبيه واحدا تلو الآخر حتى يصل حجم الحقل إلى 64 كيلوبايت، ويتم إسقاط أي كيانات لم يتم تحديدها بعد من التنبيه.

ملاحظات على النسخة الجديدة

• نظراً لأن الإصدار الجديد متاح الآن بشكل عام (GA)، فإن حل علامة الميزات لاستخدام الإصدار القديم لم يعد متاحاً.

• إذا كنت قد حددت مسبقاً تعيينات الكيانات لقاعدة التحليلات هذه باستخدام الإصدار القديم، فسيتم تحويلها تلقائياً إلى الإصدار الجديد.

Next steps

في هذا المستند، تعلمت كيفية تعيين حقول البيانات للكيانات في قواعد تحليلات Microsoft Azure Sentinel. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel:

• استكشف الطرق الأخرى لإثراء تنبيهاتك:
  • تفاصيل حدث Surface المخصص في التنبيهات في Microsoft Sentinel
  • تخصيص تفاصيل التنبيه في Microsoft Sentinel
• احصل على الصورة الكاملة على قواعد تحليلات الاستعلام المجدولة.
• تعرف على المزيد حول الكيانات في Microsoft Sentinel.