إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
بعد توصيل مصادر البيانات ب Microsoft Sentinel، قم بتصور البيانات ومراقبتها باستخدام المصنفات في Microsoft Sentinel. تستند مصنفات Microsoft Sentinel إلى مصنفات Azure Monitor، وإضافة جداول ومخططات مع تحليلات للسجلات والاستعلامات إلى الأدوات المتوفرة بالفعل في Azure.
يسمح لك Microsoft Sentinel بإنشاء مصنفات مخصصة عبر بياناتك أو استخدام قوالب المصنفات الموجودة المتوفرة مع الحلول المجمعة أو كمحتوى مستقل من مركز المحتوى. كل مصنف هو مورد Azure مثل أي مورد آخر، ويمكنك تعيينه باستخدام التحكم في الوصول المستند إلى دور Azure (RBAC) لتحديد وتحديد من يمكنه الوصول.
توضح هذه المقالة كيفية تصور بياناتك في Microsoft Sentinel باستخدام المصنفات. تحرير المصنفات مباشرة في مدخل Defender هو معاينة.
Important
يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.
بدءا من يوليو 2026، ستتم إعادة توجيه جميع العملاء الذين يستخدمون Microsoft Sentinel في مدخل Microsoft Azure إلى مدخل Defender وسيستخدمون Microsoft Sentinel في مدخل Defender فقط. بدءا من يوليو 2025، يتم إلحاق العديد من العملاء الجدد تلقائيا وإعادة توجيههم إلى مدخل Defender.
إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.
Prerequisites
يجب أن يكون لديك على الأقل أذونات قارئ المصنف أو مساهم المصنف على مجموعة الموارد لمساحة عمل Microsoft Sentinel.
يتم حفظ المصنفات التي تراها في Microsoft Sentinel ضمن مجموعة موارد مساحة عمل Microsoft Sentinel ويتم وضع علامة عليها بواسطة مساحة العمل التي تم إنشاؤها فيها.
لاستخدام قالب مصنف، قم بتثبيت الحل الذي يحتوي على المصنف أو قم بتثبيت المصنف كعنصر مستقل من مركز المحتوى. لمزيد من المعلومات، راجع اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته.
إذا كنت تعمل في مدخل Defender باستخدام مصدر بيانات Azure Data Explorer، فتأكد من تكوين Azure Data Explorer والمصادقة عليه من مدخل Defender.
إنشاء مصنف من قالب
استخدم قالب مثبتا من مركز المحتوى لإنشاء مصنف.
في Microsoft Sentinel، حدد مصنفات إدارة > التهديدات.
في صفحة المصنفات ، حدد علامة التبويب القوالب لرؤية قائمة قوالب المصنفات المثبتة. حدد قالبا لعرض تفاصيله.
تتطلب بعض المصنفات اتصالات بيانات محددة لتعمل. قبل حفظ مصنف، تحقق من وجود حقل أنواع البيانات المطلوبة وتأكد من استيعاب هذا النوع من البيانات.
على سبيل المثال:
من جزء التفاصيل، حدد حفظ، ثم حدد الموقع الذي تريد حفظ المصنف فيه. ينشئ هذا الإجراء مورد Azure في الموقع المحدد استنادا إلى القالب ذي الصلة. يتم حفظ ملف JSON الخاص بالمصنف فقط في هذا الموقع، ولا توجد بيانات.
من جزء التفاصيل، حدد عرض المصنف المحفوظ لفتحه للتحرير.
أثناء فتح المصنف، حدد تحرير لتخصيص المصنف وفقا لاحتياجاتك.
عند العمل في مدخل Defender، لا يمكن عرض بعض المرئيات إلا في مدخل Microsoft Azure. في مثل هذه الحالات، حدد فتح في Azure لفتح المصنف في مدخل Microsoft Azure.
على سبيل المثال، حدد عامل التصفية النطاق الزمني لعرض البيانات لنطاق زمني مختلف عن التحديد الحالي. لتحرير منطقة مصنف معينة، حدد تحرير أو حدد علامة الحذف (...) لإضافة عناصر، أو نقل المنطقة أو استنساخها أو إزالتها.
لاستنساخ المصنف، حدد حفظ باسم. احفظ النسخة باسم آخر، ضمن نفس الاشتراك ومجموعة الموارد. يتم أيضا عرض المصنفات المستنسخة ضمن علامة التبويب المصنفات الخاصة بي في صفحة مصنفات إدارة > المخاطر في Microsoft Sentinel>.
عند الانتهاء، حدد تم التحرير لحفظ التغييرات.
لمزيد من المعلومات، راجع:
- إنشاء تقارير تفاعلية باستخدام مصنفات Azure Monitor
- البرنامج التعليمي: البيانات المرئية في Log Analytics
قم بإنشاء مصنف جديد
إنشاء مصنف من البداية في Microsoft Sentinel.
في Microsoft Sentinel، حدد مصنفات إدارة > التهديدات، ثم حدد إضافة مصنف.
لتحرير المصنف، حدد تحرير، ثم أضف نصا واستعلامات ومعلمات حسب الضرورة.
لمزيد من المعلومات حول كيفية تخصيص المصنف، راجع كيفية إنشاء تقارير تفاعلية باستخدام مصنفات Azure Monitor.
عند إنشاء استعلام، قم بتعيين مصدر البيانات إلى السجلاتونوع المورد إلى Log Analytics، ثم اختر مساحة عمل واحدة أو أكثر.
نوصي بأن يستخدم الاستعلام محلل نموذج معلومات الأمان المتقدم (ASIM) وليس جدولا مضمنا. سيدعم الاستعلام بعد ذلك أي مصدر بيانات حالي أو مستقبلي ذي صلة بدلا من مصدر بيانات واحد.
عند الانتهاء من عمليات التحرير الخاصة بك، حدد تم التحرير ثم حفظ. في الجزء الجانبي، أدخل اسما ذا معنى للمصنف الخاص بك، وحدد الاشتراك ومجموعة الموارد لمساحة العمل الخاصة بك.
عند العمل في مدخل Microsoft Azure، قم بالتبديل بين المصنفات في مساحة العمل الخاصة بك عن طريق تحديد فتح
في شريط أدوات أي مصنف. تنتقل الشاشة إلى قائمة بالمصنفات الأخرى التي يمكنك التبديل إليها.حدد المصنف الذي تريد فتحه:
إنشاء لوحات جديدة للمصنفات
لإضافة لوحة مخصصة إلى مصنف Microsoft Sentinel، قم أولا بإنشاء التجانب في Log Analytics. لمزيد من المعلومات، راجع البيانات المرئية في Log Analytics.
بمجرد إنشاء لوحة ، حدد تثبيت ثم حدد المصنف حيث تريد أن تظهر اللوحة
قم بتحديث بيانات المصنف الخاص بك
قم بتحديث المصنف الخاص بك لعرض البيانات المحدثة. في شريط الأدوات، حدد أحد الخيارات التالية:
تحديث، لتحديث بيانات المصنف يدويا.
التحديث التلقائي، لتعيين المصنف الخاص بك على التحديث تلقائيا في فاصل زمني تم تكوينه.تتراوح فترات التحديث التلقائي المدعومة من 5 دقائق إلى 1 يوم.
يتم إيقاف التحديث التلقائي مؤقتاً أثناء قيامك بتحرير مصنف، وتتم إعادة تشغيل الفواصل الزمنية في كل مرة تقوم فيها بالرجوع إلى وضع العرض من وضع التحرير.
تتم أيضاً إعادة تشغيل فترات التحديث التلقائي إذا قمت بتحديث بياناتك يدوياً.
بشكل افتراضي، يتم إيقاف التحديث التلقائي. إذا قمت بتشغيل التحديث التلقائي، إيقاف تشغيله مرة أخرى في كل مرة تغلق فيها دفتر الملاحظات لتحسين الأداء ومنعه من العمل في الخلفية. أعد تشغيل التحديث التلقائي حسب الحاجة في المرة التالية التي تفتح فيها المصنف.
طباعة مصنف أو حفظه كملف PDF (مدخل Microsoft Azure فقط)
لطباعة مصنف أو حفظه كملف PDF، استخدم قائمة الخيارات الموجودة على يمين عنوان المصنف. تتوفر هذه الخيارات فقط في مدخل Microsoft Azure. إذا كنت تعمل في مدخل Defender، فحدد فتح في Azure لفتح المصنف في مدخل Microsoft Azure.
حدد خيارات >
طباعة المحتوى.في شاشة الطباعة، اضبط إعدادات الطباعة حسب الحاجة أو حدد حفظ بتنسيق PDF لحفظها محليا.
على سبيل المثال:
حذف مصنف واحد أو أكثر
يمكنك حذف كل من القوالب المحفوظة والمصنفات المخصصة من علامة التبويب المصنفات الخاصة بي . لا يمكن حذف القوالب نفسها.
لحذف مصنف، حدد المصنف في علامة التبويب المصنفات الخاصة بي ، ثم حدد حذف. يزيل هذا الإجراء مورد المصنف وأي تغييرات أجريتها على القالب. يظل القالب الأصلي متوفرا.
توصيات المصنف
يستعرض هذا القسم التوصيات الأساسية التي لدينا لاستخدام المصنفات مع Microsoft Sentinel.
إضافة مصنفات معرف Microsoft Entra
إذا كنت تستخدم معرف Microsoft Entra مع Microsoft Sentinel، نوصي بتثبيت حل Microsoft Entra ل Microsoft Sentinel واستخدام المصنفات التالية:
- تحلل عمليات تسجيل الدخول إلى Microsoft Entra عمليات تسجيل الدخول بمرور الوقت لمعرفة ما إذا كانت هناك حالات شاذة. يوفر هذا المصنف عمليات تسجيل دخول فاشلة بواسطة التطبيقات والأجهزة والمواقع بحيث يمكنك ملاحظة ذلك، بنظرة سريعة إذا حدث شيء غير عادي. انتبه إلى العديد من عمليات تسجيل الدخول الفاشلة.
- تحلل سجلات تدقيق Microsoft Entra أنشطة المسؤول، مثل التغييرات في المستخدمين (إضافة وإزالة وما إلى ذلك) وإنشاء المجموعة والتعديلات.
إضافة مصنفات جدار الحماية
نوصي بتثبيت الحل المناسب من مركز المحتوى لإضافة مصنف لجدار الحماية الخاص بك.
على سبيل المثال، قم بتثبيت حل جدار حماية Palo Alto ل Microsoft Sentinel لإضافة مصنفات Palo Alto. تحلل المصنفات حركة مرور جدار الحماية الخاص بك، وتوفر لك ارتباطات بين بيانات جدار الحماية وأحداث التهديد، وتسلط الضوء على الأحداث المشبوهة عبر الكيانات.
إنشاء مصنفات مختلفة لاستخدامات مختلفة
نوصي بإنشاء مرئيات مختلفة لكل نوع من أنواع الشخصيات التي تستخدم المصنفات، استنادا إلى دور الشخصية وما تبحث عنه. على سبيل المثال، أنشئ مصنفا لمسؤول الشبكة يتضمن بيانات جدار الحماية.
بدلا من ذلك، قم بإنشاء مصنفات استنادا إلى عدد المرات التي تريد النظر إليها، وما إذا كانت هناك أشياء تريد مراجعتها يوميا، والعناصر الأخرى التي تريد التحقق منها مرة واحدة في الساعة. على سبيل المثال، قد تحتاج إلى إلقاء نظرة على عمليات تسجيل الدخول إلى Microsoft Entra كل ساعة للبحث عن الحالات الشاذة.
نموذج استعلام لمقارنة اتجاهات نسبة استخدام الشبكة عبر الأسابيع
استخدم الاستعلام التالي لإنشاء مرئيات تقارن اتجاهات نسبة استخدام الشبكة عبر الأسابيع. قم بتبديل مورد الجهاز ومصدر البيانات الذي تقوم بتشغيل الاستعلام عليه، اعتمادا على البيئة الخاصة بك.
يستخدم نموذج الاستعلام التالي جدول SecurityEvent من Windows. قد ترغب في تبديله لتشغيله على جدول AzureActivity أو CommonSecurityLog ، على أي جدار حماية آخر.
// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)
نموذج استعلام مع بيانات من مصادر متعددة
قد ترغب في إنشاء استعلام يتضمن بيانات من مصادر متعددة. على سبيل المثال، قم بإنشاء استعلام يبحث في سجلات تدقيق Microsoft Entra للمستخدمين الجدد الذين تم إنشاؤهم، ثم يتحقق من سجلات Azure لمعرفة ما إذا كان المستخدم قد بدأ في إجراء تغييرات تعيين الدور في غضون 24 ساعة من الإنشاء. سيظهر هذا النشاط المشبوه في مرئيات مع الاستعلام التالي:
AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1
راجع المزيد من المعلومات حول العناصر التالية المستخدمة في الأمثلة السابقة، في وثائق Kusto:
- حيث المشغل
- توسيع عامل التشغيل
- مشغل المشروع
- مشغل خارج المشروع
- انضمام المشغل
- تلخيص عامل التشغيل
- ago()
- bin() الدالة
- iff()
- tostring() الدالة
- دالة التجميع count()
لمزيد من المعلومات حول KQL، راجع نظرة عامة على لغة استعلام Kusto (KQL).
موارد أخرى:
المشكلات المعروفة لتحرير المصنفات في مدخل Defender (معاينة)
تحرير المصنفات مباشرة في مدخل Defender قيد المعاينة حاليا، ويتضمن حاليا المشكلات المعروفة التالية:
- قد يظهر المحرر المتقدم في الوضع الفاتح، حتى إذا تم تعيين البوابة الإلكترونية على الوضع الداكن.
- بيانات نقطة النهاية المخصصة غير مدعومة لتحرير المصنفات في مدخل Defender.
- المصنفات داخل المصنفات غير مدعومة للتحرير في مدخل Defender.
- المشاركة للقراءة فقط غير مدعومة للمصنفات في مدخل Defender.
- مخططات حورية البحر غير مدعومة لتحرير المصنفات في مدخل Defender.
المقالات ذات الصلة
لمزيد من المعلومات، راجع: