إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
تساعد قوائم المشاهدة في Microsoft Sentinel محللي الأمان على ربط بيانات الحدث وإثراءها بكفاءة. إنها تمنحك طريقة مرنة لإدارة البيانات المرجعية، مثل قوائم الأصول عالية القيمة أو الموظفين الذين تم إنهاؤها. دمج قوائم المشاهدة في قواعد الكشف الخاصة بك، وتعقب التهديدات، وسير عمل الاستجابة لتقليل تعب التنبيه والاستجابة للتهديدات بشكل أسرع. تشرح هذه المقالة كيفية استخدام قوائم المشاهدة في Microsoft Sentinel، وتحدد السيناريوهات والقيود الرئيسية، وتقدم إرشادات حول إنشاء قوائم المشاهدة والاستعلام عنها لتحسين عمليات الأمان.
استخدم قوائم المشاهدة في كتيبات البحث وقواعد الاكتشاف والبحث عن التهديدات والاستجابة. يتم تخزين قوائم المشاهدة في مساحة عمل Microsoft Sentinel في Watchlist الجدول كأزواج قيمة الاسم. يتم تخزينها مؤقتا للحصول على أداء الاستعلام الأمثل وزمن انتقال منخفض.
هام
ميزات قوالب قائمة المشاهدة والقدرة على إنشاء قائمة مشاهدة من ملف في Azure Storage قيد المعاينة حاليا. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.
متى يحين موعد استخدام قوائم المشاهدة
استخدم قوائم المشاهدة في هذه السيناريوهات:
تحقق من التهديدات والاستجابة للحوادث بسرعة عن طريق استيراد عناوين IP وتجزئة الملفات والبيانات الأخرى من ملفات CSV. بعد استيراد البيانات، استخدم أزواج اسم-قيمة قائمة المشاهدة للصلات وعوامل التصفية في قواعد التنبيه، وتعقب التهديدات، والمصنفات، ودفاتر الملاحظات، والاستعلامات.
استيراد بيانات الأعمال كلقائمة مراقبة. على سبيل المثال، استيراد قوائم المستخدمين ذات الوصول المتميز إلى النظام أو قوائم الموظفين الذين تم إنهاؤها. ثم استخدم قائمة المشاهدة لإنشاء قوائم السماح وقوائم الحظر للكشف عن هؤلاء المستخدمين أو منعهم من تسجيل الدخول إلى الشبكة.
تقليل تعب التنبيه. قم بإنشاء قوائم السماح لمنع التنبيهات من مجموعة من المستخدمين، مثل المستخدمين من عناوين IP المعتمدة الذين يقومون بمهام تؤدي عادة إلى تشغيل التنبيه. امنع الأحداث غير الضارة من أن تصبح تنبيهات.
إثراء بيانات الحدث. استخدم قوائم المشاهدة لإضافة مجموعات الاسم والقيمة من مصادر البيانات الخارجية إلى بيانات الحدث.
قيود قائمة المشاهدة
نوصي بمراجعة القيود التالية قبل إنشاء قوائم المشاهدة:
| القيد | التفاصيل |
|---|---|
| اسم قائمة المشاهدة وطول الاسم المستعار | يجب أن تتراوح أسماء قوائم المشاهدة والأسماء المستعارة بين 3 و64 حرفا. يجب أن تكون الأحرف الأولى والأخيرة أبجدية رقمية؛ يسمح بالمسافات والواصلات والتسطير السفلي بينهما. |
| الاستخدام المقصود | استخدم قوائم المشاهدة فقط للبيانات المرجعية. قوائم المشاهدة غير مصممة لأحجام البيانات الكبيرة. |
| الحد الأقصى لعناصر قائمة المشاهدة النشطة | يمكنك الحصول على 10 ملايين عنصر كحد أقصى من عناصر قائمة المشاهدة النشطة عبر جميع قوائم المشاهدة في مساحة العمل. لا يتم حساب العناصر المحذوفة. بالنسبة لوحدات التخزين الأكبر، استخدم سجلات مخصصة. |
| استبقاء البيانات | يتم الاحتفاظ بالبيانات في جدول Log Analytics Watchlist لمدة 28 يوما. |
| الفاصل الزمني للتحديث | يتم تحديث قوائم المشاهدة كل 12 يوما، مع تحديث TimeGenerated الحقل. |
| إدارة مساحات العمل المشتركة | إدارة قوائم المشاهدة عبر مساحات العمل باستخدام Azure Lighthouse غير مدعومة. |
| حجم تحميل الملف المحلي | تقتصر عمليات تحميل الملفات المحلية على ملفات تصل إلى 3.8 ميغابايت. |
| حجم تحميل ملف تخزين Azure (معاينة) | تقتصر عمليات تحميل Azure Storage على ملفات تصل إلى 500 ميغابايت. |
| قيود الأعمدة والجدول | يجب أن تتبع قوائم المراقبة قيود تسمية كيان KQL للأعمدة والأسماء. |
أساليب إنشاء قائمة مشاهدة Microsoft Sentinel
استخدم إحدى الطرق التالية لإنشاء قوائم مشاهدة في Microsoft Sentinel:
تحميل ملف من مجلد محلي أو من حساب Azure Storage.
قم بتنزيل قالب قائمة مشاهدة من Microsoft Sentinel، وأضف بياناتك، ثم قم بتحميل الملف عند إنشاء قائمة المشاهدة.
لإنشاء قائمة مشاهدة من ملف كبير (حتى 500 ميغابايت)، قم بتحميل الملف إلى حساب Azure Storage الخاص بك. إنشاء عنوان URL لتوقيع الوصول المشترك (SAS) حتى يتمكن Microsoft Sentinel من استرداد بيانات قائمة المشاهدة. يتضمن عنوان URL SAS كلا من URI للمورد ورمز SAS المميز لمورد، مثل ملف CSV في حساب التخزين الخاص بك. أضف قائمة المشاهدة إلى مساحة العمل الخاصة بك في Microsoft Sentinel.
لمزيد من المعلومات، راجع:
- إنشاء قوائم مشاهدة في Microsoft Sentinel
- مخططات قائمة المشاهدة المضمنة
- رمز SAS المميز ل Azure Storage
قوائم المشاهدة في طلبات البحث وقواعد الكشف
لربط بيانات قائمة المشاهدة ببيانات Microsoft Sentinel الأخرى، استخدم عوامل تشغيل Kusto الجدولية مثل join ومع lookupWatchlist الجدول. ينشئ Microsoft Sentinel الوظائف التالية في مساحة العمل للمساعدة في الرجوع إلى قوائم المشاهدة والاستعلام عنها:
-
_GetWatchlistAlias- إرجاع الأسماء المستعارة لجميع قوائم المشاهدة الخاصة بك -
_GetWatchlist- يستعلم عن أزواج الاسم والقيمة لقائمة المشاهدة المحددة
عند إنشاء قائمة مشاهدة، يمكنك تعريف SearchKey. مفتاح البحث هو اسم العمود في قائمة مراقبتك والذي تتوقع استخدامه للضمّ مع بيانات أخرى أو كعنصر متكرر للبحث. على سبيل المثال، افترض أن لديك قائمة مراقبة خادم تحتوي على أسماء البلد/المنطقة ورموز البلد ذات الحرفين الخاصة بها. تتوقع استخدام رموز البلد غالبا لعمليات البحث أو الصلات. لذلك تستخدم عمود رمز البلد كمفتاح البحث.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
لنلق نظرة على بعض الاستعلامات الأخرى على سبيل المثال.
افترض أنك تريد استخدام قائمة مشاهدة في قاعدة تحليلات. يمكنك إنشاء قائمة مشاهدة تسمى ipwatchlist مع أعمدة ل IPAddress و Location. يمكنك تعيين IPAddress ك SearchKey.
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
لتضمين الأحداث فقط من عناوين IP في قائمة المشاهدة، يمكنك استخدام استعلام حيث watchlist يتم استخدامه كمتغير أو مضمن.
يستخدم هذا الاستعلام المثال قائمة المشاهدة كمتغير:
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
يستخدم هذا الاستعلام المثال قائمة المشاهدة المضمنة مع الاستعلام ومفتاح البحث المحدد لقائمة المشاهدة.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
لمزيد من المعلومات، راجع إنشاء الاستعلامات وقواعد الكشف باستخدام قوائم المشاهدة في Microsoft Sentinel والمقالات التالية في وثائق Kusto:
لمزيد من المعلومات حول KQL، راجع نظرة عامة على لغة استعلام Kusto (KQL).
الموارد الأخرى:
المحتوى ذو الصلة
لمزيد من المعلومات، راجع: