مشاركة عبر

اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته

  • ينطبق على: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

مركز محتوى Microsoft Sentinel هو موقعك المركزي لاكتشاف المحتوى الجاهز (المضمن) وإدارته. هناك تجد حلولا مجمعة للمنتجات الشاملة حسب المجال أو الصناعة. يمكنك الوصول إلى العدد الهائل من المساهمات المستقلة المستضافة في مستودع GitHub الخاص بنا وشفرات الميزات.

  • اكتشف الحلول والمحتوى المستقل مع مجموعة متسقة من إمكانات التصفية استنادا إلى الحالة ونوع المحتوى والدعم والموفر والفئة.

  • قم بتثبيت المحتوى في مساحة العمل الخاصة بك مرة واحدة أو بشكل فردي.

  • عرض المحتوى في طريقة عرض القائمة ومعرفة الحلول التي تحتوي على تحديثات بسرعة. قم بتحديث الحلول كلها في وقت واحد أثناء تحديث المحتوى المستقل تلقائيا.

  • إدارة حل لتثبيت أنواع المحتويات الخاصة به والحصول على أحدث التغييرات.

  • تكوين محتوى مستقل لإنشاء عناصر نشطة جديدة استنادا إلى القالب الأحدث.

إذا كنت شريكا تريد إنشاء الحل الخاص بك، فشاهد دليل إنشاء حلول Microsoft Sentinel لتأليف الحلول ونشرها.

Important

يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.

Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.

إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.

Prerequisites

لتثبيت المحتوى المستقل أو الحلول وتحديثها وحذفها في مركز المحتوى، تحتاج إلى دور مساهم Microsoft Sentinel على مستوى مجموعة الموارد.

لمزيد من المعلومات حول الأدوار والأذونات الأخرى المدعومة ل Microsoft Sentinel، راجع الأذونات في Microsoft Sentinel.

Discover content

يوفر مركز المحتوى أفضل طريقة للعثور على محتوى جديد أو إدارة الحلول التي قمت بتثبيتها بالفعل.

  1. For Microsoft Sentinel in the Defender portal, select Microsoft Sentinel>Content management>Content hub. For Microsoft Sentinel in the Azure portal, under Content management, select Content hub.

    The Content hub page displays a searchable grid or a list of solutions and standalone content.

  2. ابحث عن الحلول أو عناصر المحتوى المستقلة التي تحتاج إليها. Either select specific values from the filters, or enter a search term into the Search box. تستخدم عمليات البحث الذكاء الاصطناعي لدعم عمليات البحث الغامضة والمفردات التقريبية.

    When searching, make sure to press ENTER to start the search. يقتصر عدد نتائج البحث على 50 عنصرا، بما في ذلك كل من الحلول وعناصر المحتوى الموجودة داخل الحلول. إذا لم تعثر على ما تبحث عنه، فحاول تحسين تعبير البحث أو استخدم عوامل تصفية مختلفة.

    لمزيد من المعلومات، راجع فئات المحتوى والحلول الجاهزة ل Microsoft Sentinel.

  3. في طريقة عرض القائمة ( )، حدد حلا من القائمة لعرض معلومات حول الحل بالإضافة إلى أنواع عناصر المحتوى التي يتضمنها.

    قم بتوسيع حل في نتائج البحث أو التصفية لعرض قائمة عناصر المحتوى التي تتضمنها. يقدم جزء المعلومات على الجانب معلومات مفصلة حول عنصر المحتوى.

    بدلا من ذلك، حدد طريقة عرض البطاقة ( ) لعرض الحلول المقدمة في شبكة. تعرض كل بطاقة اسم الحل والوصف والفئات. حدد بطاقة لعرض مزيد من المعلومات حول الحل على الجانب.

لاستخدام عنصر محتوى يشكل جزءا من حل، يجب تثبيت الحل بأكمله. If you've selected a specific content item in the list view, select Install solution in the details pane on the side to install the relevant solution.

لمزيد من المعلومات، راجع فئات المحتوى والحلول الجاهزة ل Microsoft Sentinel.

تثبيت المحتوى أو تحديثه

قم بتثبيت المحتوى والحلول المستقلة بشكل فردي أو كلي معا بشكل مجمع. لمزيد من المعلومات حول العمليات المجمعة، راجع التثبيت المجمع وتحديث المحتوى في القسم التالي.

If a solution that you deployed has updates since you last deployed it, the list view shows Update in the status column. The solution is also included in the Updates count at the top of the page.

فيما يلي مثال يوضح تثبيت حل فردي.

  1. In the Content hub, search for and select the solution.

  2. On the solutions details pane, from the bottom right-hand side, select View details.

  3. Select Create or Update.

  4. On the Basics tab, enter the subscription, resource group, and workspace to deploy the solution. For example:

    لقطة شاشة لمعالج تثبيت الحل، تظهر علامة التبويب Basics.

  5. Select Next to go through the remaining tabs to learn about, and in some cases configure, each of the content components.

    تتوافق علامات التبويب مع المحتوى الذي يقدمه الحل. قد تحتوي الحلول المختلفة على أنواع مختلفة من المحتوى، لذلك قد لا ترى علامات التبويب نفسها في كل حل.

    قد تتم مطالبتك أيضا بإدخال بيانات الاعتماد إلى خدمة غير تابعة ل Microsoft بحيث يمكن ل Microsoft Sentinel المصادقة على أنظمتك. على سبيل المثال، باستخدام أدلة المبادئ، قد ترغب في اتخاذ إجراءات الاستجابة كما هو محدد في النظام الخاص بك.

  6. في علامة التبويب مراجعة + إنشاء ، انتظر Validation Passed الرسالة.

  7. Select Create or Update to deploy the solution. يمكنك أيضا تحديد ارتباط Download a template for automation لنشر الحل كتعلم برمجي.

التثبيت باستخدام التبعيات

Some solutions have dependencies to install, including many domain solutions and solutions that use the unified AMA connectors for CEF, Syslog, or custom logs.

في مثل هذه الحالات، حدد Install with dependencies للتأكد من تثبيت موصلات البيانات المطلوبة أيضا. من هناك، حدد واحدة أو أكثر من التبعيات لتثبيتها مع الحل الأصلي. يتم دائما تحديد الحل الأصلي الذي اخترت تثبيته بشكل افتراضي.

If one or more of the dependency solutions is already installed, but has updates, use the Install/Update button to both install and update all selected solutions in bulk. For example:

لقطة شاشة لتثبيت تبعيات حل متعددة بشكل مجمع.

بعد تثبيت حل، قد يتطلب كل نوع محتوى داخل الحل المزيد من الخطوات لتكوينه. لمزيد من المعلومات، راجع تمكين عناصر المحتوى في حل.

تثبيت المحتوى وتحديثه بشكل مجمع

يدعم مركز المحتوى طريقة عرض القائمة بالإضافة إلى طريقة عرض البطاقة الافتراضية. حدد طريقة عرض القائمة لتثبيت حلول متعددة ومحتوى مستقل في وقت واحد. يتم تحديث المحتوى المستقل تلقائيا. يظل أي محتوى نشط أو مخصص تم إنشاؤه استنادا إلى حلول أو محتوى مستقل مثبت من مركز المحتوى دون أي تغيير.

  1. لتثبيت العناصر أو تحديثها بشكل مجمع، قم بالتغيير إلى طريقة عرض القائمة.

  2. ابحث عن المحتوى الذي تريد تثبيته أو تحديثه بشكل مجمع أو قم بالتصفية للعثور عليه.

  3. حدد خانة الاختيار لكل حل أو محتوى مستقل تريد تثبيته أو تحديثه.

  4. Select the Install/Update button. لقطة شاشة لعرض قائمة الحلول مع تحديد حلول متعددة وقيد التقدم للتثبيت.

    إذا تم بالفعل تثبيت حل أو محتوى مستقل حددته أو تحديثه، فلن يتم اتخاذ أي إجراء على هذا العنصر. لا يتداخل مع تحديث العناصر الأخرى وتثبيتها.

  5. Select Manage for each solution you installed. قد تتطلب أنواع المحتوى داخل الحل مزيدا من المعلومات لتكوينها. لمزيد من المعلومات، راجع تمكين عناصر المحتوى في حل.

تثبيت الحزم والقوالب باستخدام واجهة برمجة التطبيقات

إذا كنت تستخدم واجهة برمجة التطبيقات لتثبيت حزم الحلول أو القوالب الفردية، فاتبع الخطوات التالية:

  1. استرداد حزمة الحل أو القالب:

  2. في استجابة واجهة برمجة التطبيقات، حدد موقع properties.mainTemplate الحقل. يحتوي هذا الحقل على قالب ARM JSON الذي يحدد الحل أو موارد القالب.

  3. انشر المستخرج mainTemplate باستخدام نشر قالب ARM، إما من خلال Rest API أو Azure CLI أو PowerShell.

تمكين عناصر المحتوى في حل

إدارة عناصر المحتوى مركزيا للحلول المثبتة من مركز المحتوى.

  1. في مركز المحتوى، حدد حلاً مثبتاً حيث يكون الإصدار 2.0.0 أو أعلى.

  2. On the solutions details page, select Manage.

    لقطة شاشة لزر الإدارة في صفحة التفاصيل لحل مركز محتوى نشاط Azure.

  3. راجع قائمة عناصر المحتوى.

    لقطة شاشة لوصف الحل وقائمة عناصر المحتوى لحل نشاط Azure.

  4. حدد عنصر محتوى للبدء.

إدارة كل نوع محتوى

توفر الأقسام التالية بعض التلميحات حول كيفية العمل مع أنواع المحتويات المختلفة أثناء إدارة أحد الحلول.

Data connector

لتوصيل موصل بيانات، أكمل خطوات التكوين.

  1. حدد فتح صفحة الموصل.

  2. أكمل خطوات تكوين موصل البيانات.

    لقطة شاشة لعنصر محتوى موصل البيانات لحل نشاط Azure حيث يتم قطع اتصال الحالة.

    After you configure the data connector and logs are detected, the status changes to Connected.

Analytics rule

إنشاء قاعدة من قالب أو تحرير قاعدة موجودة.

  1. عرض القالب في معرض قوالب التحليلات.

  2. If the template isn't used yet, select Open>Create rule and follow the steps to enable the analytics rule.

    After you create a rule, the number of active rules created from the template is shown in the Created content column.

  3. حدد ارتباط القواعد النشطة لتحرير القاعدة الموجودة. For example, the active rule link in the following image is under Content created and shows 2 items.

    لقطة شاشة لعنصر محتوى قاعدة التحليلات في الحل لنشاط Azure.

Hunting query

قم بتشغيل استعلام التتبع المتوفر أو تخصيصه.

  1. To start searching right away, select Run query from the details page for quick results.

    لقطة شاشة لعنصر محتوى استعلام التتبع المستنسخ في الحل لنشاط Azure.

  2. To customize your hunting query, select the link in the Content name column.

    من معرض التتبع، يمكنك إنشاء نسخة من قالب استعلام التتبع للقراءة فقط عن طريق الانتقال إلى قائمة علامات الحذف. Hunting queries created in this way display as items in the content hub Created content column.

Workbook

لتخصيص مصنف تم إنشاؤه من قالب، قم بإنشاء مثيل لمصنف.

  1. Select View template to open the workbook and see the visualizations.

  2. Select Save to create an instance of the workbook template.

  3. اعرض المصنف القابل للتخصيص المحفوظ عن طريق تحديد عرض المصنف المحفوظ.

  4. From the content hub, select the 1 item link in the Created content column to manage the workbook.

    لقطة شاشة لعنصر المصنف المحفوظ في الحل لنشاط Azure.

Parser

عند تثبيت حل، تتم إضافة أي محللات مضمنة كوظائف مساحة عمل في Log Analytics.

  1. حدد Load the function code لفتح Log Analytics وعرض التعليمات البرمجية للدالة أو تشغيلها.

  2. حدد استخدام في المحرر لفتح Log Analytics مع اسم المحلل الجاهز لإضافته إلى استعلامك المخصص.

    لقطة شاشة لنوع محتوى المحلل في حل.

Playbook

إنشاء دليل مبادئ من قالب.

  1. Select the Content name link of the playbook.

  2. Choose the template and select Create playbook.

  3. After the playbook is created, the active playbook is shown in the Created content column.

  4. Select the active playbook 1 item link to manage the playbook.

    لقطة شاشة لنوع محتوى نوع دليل المبادئ في حل.

البحث عن نموذج الدعم للمحتوى الخاص بك

Each solution and standalone content item explains its support model on its details pane, in the Support box, where either Microsoft or a partner's name is listed. For example:

لقطة شاشة للمكان الذي يمكنك العثور فيه على نموذج الدعم الخاص بك للحل الخاص بك.

عند الاتصال بالدعم، قد تحتاج إلى تفاصيل أخرى حول الحل الخاص بك، مثل قيم الناشر والموفر ومعرف الخطة. ابحث عن هذه المعلومات في صفحة التفاصيل في علامة التبويب معلومات الاستخدام والدعم .

لقطة شاشة لتفاصيل الاستخدام والدعم للحل.

Next steps

في هذا المستند، تعلمت كيفية العثور على الحلول المضمنة والمحتوى المستقل ونشرها ل Microsoft Sentinel.

تتضمن العديد من الحلول موصلات البيانات التي تحتاج إلى تكوينها بحيث يمكنك البدء في استيعاب بياناتك في Microsoft Sentinel. يحتوي كل موصل بيانات على مجموعة خاصة به من المتطلبات المفصلة في صفحة موصل البيانات في Microsoft Sentinel.

لمزيد من المعلومات، راجع توصيل مصدر البيانات.

  • Last updated on