العمل مع قواعد تحليلات الكشف عن الحالات الخارجة عن المألوف في Microsoft Sentinel

Important

الاكتشافات المخصصة هي الآن أفضل طريقة لإنشاء قواعد جديدة عبر microsoft Sentinel SIEM Microsoft Defender XDR. باستخدام عمليات الكشف المخصصة، يمكنك تقليل تكاليف الاستيعاب، والحصول على اكتشافات غير محدودة في الوقت الحقيقي، والاستفادة من التكامل السلس مع البيانات Defender XDR والوظائف وإجراءات المعالجة باستخدام تعيين الكيان التلقائي. لمزيد من المعلومات، اقرأ هذه المدونة.

توفر ميزة الحالات الشاذة القابلة للتخصيص في Microsoft Sentinel قوالب شذوذ مضمنة للقيمة الفورية الجاهزة. تم تطوير قوالب الشذوذ هذه لتكون قوية باستخدام الآلاف من مصادر البيانات وملايين الأحداث، ولكن هذه الميزة تمكنك أيضا من تغيير الحدود والمعلمات للحالات الشاذة بسهولة داخل واجهة المستخدم. يتم تمكين قواعد خارجة عن المألوف أو تنشيطها، بشكل افتراضي، لذلك ستنشئ حالات خارجة عن المألوف خارج الصندوق. يمكنك العثور على هذه الحالات الشاذة والاستعلام عنها في جدول الحالات الشاذة في قسم السجلات .

Important

يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.

بدءا من يوليو 2026، ستتم إعادة توجيه جميع العملاء الذين يستخدمون Microsoft Sentinel في مدخل Microsoft Azure إلى مدخل Defender وسيستخدمون Microsoft Sentinel في مدخل Defender فقط. بدءا من يوليو 2025، يتم إلحاق العديد من العملاء الجدد تلقائيا وإعادة توجيههم إلى مدخل Defender.

إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.

عرض قوالب القواعد الخارجة عن المألوف القابلة للتخصيص

يمكنك الآن العثور على قواعد الحالات الشاذة المعروضة في شبكة في علامة التبويب الحالات الشاذة في صفحة التحليلات .

1. لمستخدمي مدخل Microsoft Defender، حدد Microsoft Sentinel > Configuration > Analytics من قائمة التنقل في Microsoft Defender.

   بالنسبة لمستخدمي Microsoft Sentinel في مدخل Microsoft Azure، حدد Analytics من قائمة التنقل Microsoft Sentinel.

2. في صفحة التحليلات ، حدد علامة التبويب الحالات الشاذة .

3. لتصفية القائمة حسب واحد أو أكثر من المعايير التالية، حدد إضافة عامل تصفية واختر وفقا لذلك.

   • الحالة - ما إذا كانت القاعدة ممكنة أو معطلة.

   • التكتيكات - تكتيكات إطار عمل MITRE ATT & CK التي يغطيها الشذوذ.

   • التقنيات - تقنيات إطار عمل MITRE ATT & CK التي يغطيها الشذوذ.

   • مصادر البيانات - نوع السجلات التي يجب استيعابها وتحليلها لتحديد الشذوذ.

4. حدد قاعدة واعرض المعلومات التالية في جزء التفاصيل:

   • يشرح الوصف كيفية عمل الشذوذ والبيانات التي يتطلبها.

   • التكتيكات والتقنيات هي تكتيكات وتقنيات إطار عمل MITRE ATT&CK التي تغطيها الحالات الشاذة.

   • المعلمات هي السمات القابلة للتكوين للحالة الشاذة.

   • العتبة هي قيمة قابلة للتكوين تشير إلى الدرجة التي يجب أن يكون بها الحدث غير عادي قبل إنشاء حالة شاذة.

   • تكرار القاعدة هو الوقت بين مهام معالجة السجل التي تعثر على الحالات الشاذة.

   • تخبرك حالة القاعدة ما إذا كانت القاعدة تعمل في وضع الإنتاج أو الإضاءة (التدريج) عند تمكينها.

   • يعرض إصدار Anomaly إصدار القالب الذي تستخدمه قاعدة. إذا كنت تريد تغيير الإصدار المستخدم بواسطة قاعدة نشطة بالفعل، يجب إعادة إنشاء القاعدة.

لا يمكن تحرير القواعد التي تأتي مع Microsoft Sentinel خارج الصندوق أو حذفها. لتخصيص قاعدة، يتعين عليك أولاً إنشاء نسخة مكررة من القاعدة، ثم تخصيص التكرار. راجع الإرشادات الكاملة.

Note

لماذا يوجد زر تحرير إذا تعذر تحرير القاعدة؟

بينما لا يمكنك تغيير تكوين قاعدة حالات خارجة عن المألوف خارج الصندوق، يمكنك القيام بأمرين:

1. يمكنك تبديل حالة القاعدة بين الإنتاجوالطيران.

2. يمكنك إرسال ملاحظات إلى Microsoft حول تجربتك مع الحالات الخارجة عن المألوف القابلة للتخصيص.

تقييم جودة الحالات الشاذة

يمكنك معرفة مدى أداء قاعدة الشذوذ من خلال مراجعة عينة من الحالات الخارجة عن المألوف التي تم إنشاؤها بواسطة قاعدة على مدى آخر 24 ساعة.

1. بالنسبة لمستخدمي Microsoft Sentinel في مدخل Microsoft Azure، حدد Analytics من قائمة التنقل Microsoft Sentinel.

   لمستخدمي مدخل Microsoft Defender، حدد Microsoft Sentinel > Configuration > Analytics من قائمة التنقل في Microsoft Defender.

2. في صفحة التحليلات ، حدد علامة التبويب الحالات الشاذة .

3. حدد القاعدة التي تريد تقييمها، وانسخ المعرّف الخاصة بها من أعلى جزء التفاصيل إلى اليمين.

4. من قائمة التنقل Microsoft Sentinel، حدد السجلات.

5. إذا ظهر معرض "الاستعلامات " في الأعلى، فقم بإغلاقه.

6. حدد علامة التبويب الجداول في الجزء الأيمن من صفحة السجلات .

7. اضبط عامل تصفية النطاق الزمني على آخر 24 ساعة.

8. انسخ Kusto query أدناه والصقه في query window (حيث يقول "Type your query here or..."):

   Anomalies 
   | where RuleId contains "<RuleId>"
   

   الصق معرّف القاعدة الذي نسخته أعلاه بدلاً من <RuleId> بين علامات الاقتباس.

9. حدد تشغيل.

عندما يكون لديك بعض النتائج، يمكنك البدء في تقييم جودة الحالات الشاذة. إذا لم يكن لديك نتائج، فحاول زيادة النطاق الزمني.

قم بتوسيع النتائج لكل حالة شاذة ثم قم بتوسيع حقل AnomalyReasons . هذا سيخبرك عن سبب إطلاق الشذوذ.

قد تعتمد "reasonableness" أو "usefulness" الشذوذ على ظروف بيئتك، ولكن السبب الشائع لقاعدة الشذوذ لإنتاج عدد كبير جدا من الحالات الشاذة هو أن الحد منخفض جدا.

ضبط قواعد الشذوذ

في حين أن قواعد الحالات الخارجة عن المألوف مصممة لتحقيق أقصى قدر من الفعالية خارج الصندوق، فإن كل حالة فريدة من نوعها، وأحيانًا تحتاج قواعد الحالات الخارجة عن المألوف إلى ضبطها.

نظرًا لأنه لا يمكنك تحرير قاعدة نشطة أصلية، يتعين عليك أولاً تكرار قاعدة خارجة عن المألوف نشطة، ثم تخصيص النسخة.

ستستمر قاعدة الشذوذ الأصلية في العمل حتى تقوم إما بتعطيلها أو حذفها.

هذا حسب التصميم، لمنحك الفرصة لمقارنة النتائج التي تم إنشاؤها بواسطة التكوين الأصلي والجديد. يتم تعطيل القواعد المكررة بشكل افتراضي. يمكنك إنشاء نسخة واحدة مخصصة فقط من أي قاعدة شاذة معينة. ستفشل محاولات إنشاء نسخة ثانية.

1. لتغيير تكوين قاعدة الشذوذ، حدد القاعدة من القائمة في علامة التبويب الحالات الشاذة .

2. انقر بزر الماوس الأيمن في أي مكان في صف القاعدة، أو انقر بزر الماوس الأيسر فوق علامة الحذف (...) في نهاية الصف، ثم حدد تكرار من قائمة السياق.

   ستظهر قاعدة جديدة في القائمة، مع الخصائص التالية:

   • سيكون اسم القاعدة هو نفسه الاسم الأصلي، مع إلحاق " - مخصص" بالنهاية.
   • سيتم إيقاف حالة القاعدة.
   • ستظهر شارة FLGT في بداية الصف للإشارة إلى أن القاعدة في وضع الإضاءة

3. لتخصيص هذه القاعدة، حدد القاعدة وحدد تحرير في جزء التفاصيل، أو من قائمة سياق القاعدة.

4. يتم فتح القاعدة في معالج قاعدة التحليلات. هنا يمكنك تغيير معلمات القاعدة وعتبتها. تختلف المعلمات التي يمكن تغييرها مع كل نوع من أنواع الحالات الشاذة والخوارزمية.

   يمكنك معاينة نتائج التغييرات في جزء معاينة النتائج. حدد معرف حالة شاذة في معاينة النتائج لمعرفة سبب تحديد نموذج التعلم الآلي لهذا الشذوذ.

5. تمكين القاعدة المخصصة لإنشاء نتائج. قد تتطلب بعض التغييرات الخاصة بك تشغيل القاعدة مرة أخرى، لذلك يجب الانتظار حتى تنتهي والعودة للتحقق من النتائج على صفحة السجلات. تعمل قاعدة الشذوذ المخصصة في وضع Flighting (الاختبار) افتراضيا. تستمر القاعدة الأصلية في العمل في وضع الإنتاج بشكل افتراضي.

6. لمقارنة النتائج، ارجع إلى جدول الحالات الشاذة في السجلاتلتقييم القاعدة الجديدة كما كان من قبل، واستخدم الاستعلام التالي فقط بدلا من ذلك للبحث عن الحالات الشاذة التي تم إنشاؤها بواسطة القاعدة الأصلية بالإضافة إلى القاعدة المكررة.

   Anomalies 
   | where AnomalyTemplateId contains "<RuleId>"
   

   الصق معرّف القاعدة الذي نسخته من القاعدة الأصلية بدلاً من <RuleId> بين علامات الاقتباس. تكون قيمة AnomalyTemplateId في كل من القواعد الأصلية والمكررة مطابقة لقيمة RuleId في القاعدة الأصلية.

إذا كنت راضيا عن نتائج القاعدة المخصصة، فيمكنك الرجوع إلى علامة التبويب الحالات الشاذة ، وتحديد القاعدة المخصصة، وتحديد الزر تحرير ، وفي علامة التبويب عام ، قم بتبديله من Flighting إلى Production. ستتغير القاعدة الأصلية تلقائيا إلى Flighting نظرا لأنه لا يمكنك الحصول على نسختين من نفس القاعدة في الإنتاج في نفس الوقت.

الخطوات التالية

في هذا المستند، تعلمت كيفية العمل مع قواعد تحليلات الكشف عن الحالات الخارجة عن المألوف القابلة للتخصيص في Microsoft Sentinel.

• احصل على بعض المعلومات الأساسية حول الحالات الشاذة القابلة للتخصيص.
• عرض أنواع الحالات الشاذة المتوفرة في Microsoft Sentinel.
• استكشف أنواع قواعد التحليلات الأخرى.