مشاركة عبر

إضافة عناصر إلى التحليل الذكي للمخاطر في Microsoft Sentinel

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal

أثناء التحقيق، يمكنك فحص الكيانات وسياقها كجزء مهم من فهم نطاق وطبيعة الحادث. عند اكتشاف كيان كاسم مجال ضار أو عنوان URL أو ملف أو عنوان IP في الحدث، يجب تصنيفه وتعقبه كمؤشر للتسوية (IOC) في التحليل الذكي للمخاطر.

على سبيل المثال، قد تكتشف عنوان IP يقوم بإجراء عمليات فحص المنفذ عبر الشبكة أو الوظائف كعقدة أمر وتحكم عن طريق إرسال و/أو تلقي عمليات الإرسال من أعداد كبيرة من العقد في شبكتك.

باستخدام Microsoft Sentinel، يمكنك وضع علامة على هذه الأنواع من الكيانات من داخل التحقيق في الحوادث وإضافتها إلى التحليل الذكي للمخاطر. يمكنك عرض المؤشرات المضافة في السجلات وتحليل ذكي للمخاطر واستخدامها عبر مساحة عمل Microsoft Sentinel.

إضافة كيان إلى التحليل الذكي للمخاطر

تمنحك صفحة تفاصيل الحادث والرسم البياني للتحقيق طريقتين لإضافة كيانات إلى التحليل الذكي للمخاطر.

  1. في قائمة Microsoft Sentinel، حدد Incidents من قسم Threat management .

  2. حدد حادثاً للتحقيق فيه. في جزء تفاصيل الحادث، حدد عرض التفاصيل الكاملة لفتح صفحة تفاصيل الحادث.

  3. في جزء Entities، ابحث عن الكيان الذي تريد إضافته كمؤشر تهديد. (يمكنك تصفية القائمة أو إدخال سلسلة بحث لمساعدتك في تحديد موقعها.)

    لقطة شاشة تعرض صفحة تفاصيل الحادث.

  4. حدد النقاط الثلاث الموجودة على يمين الكيان، وحدد إضافة إلى TI من القائمة المنبثقة.

    أضف فقط الأنواع التالية من الكيانات كمؤشرات تهديد:

    • اسم المجال
    • عنوان IP (IPv4 وIPv6)
    • عنوان URL
    • الملف (تجزئة)

    لقطة شاشة توضح إضافة كيان إلى التحليل الذكي للمخاطر.

أيا كانت الواجهتين اللتين تختارهما، ينتهي بك الأمر هنا.

  1. يتم فتح جزء جانب المؤشر الجديد. يتم ملء الحقول التالية تلقائيا:

    • انواع

      • نوع المؤشر الذي يمثله الكيان الذي ستضيفه.
        • قائمة منسدلة مع القيم المحتملة: ipv4-addrوfileipv6-addrURL.domain-name
      • مطلوب. يتم ملؤها تلقائيا استنادا إلى نوع الكيان.

    • القيمة

      • يتغير اسم هذا الحقل ديناميكيًا إلى نوع المؤشر المحدد.
      • وقيمة المؤشر نفسه.
      • مطلوب. يتم ملؤها تلقائيا بقيمة الكيان.

    • العلامات

      • علامات النص الحر التي يمكن إضافتها إلى المؤشر.
      • اختياري. يتم ملؤه تلقائيا بواسطة معرف الحدث. يمكنك إضافة أخرى.

    • الاسم

      • اسم المؤشر. هذا الاسم هو ما يظهر في قائمة المؤشرات.
      • اختياري. يتم ملؤه تلقائيا باسم الحدث.

    • تم الإنشاء بواسطة

      • المنشئ للمؤشر.
      • اختياري. يتم ملؤها تلقائيا من قبل المستخدم الذي قام بتسجيل الدخول إلى Microsoft Sentinel.

    املأ الحقول المتبقية وفقًا لذلك.

    • أنواع التهديدات

      • نوع تهديد يمثله المؤشر.
      • اختياري. نص مجاني.

    • الوصف

      • وصف المؤشر.
      • اختياري. نص مجاني.

    • ابطال

      • حالة مؤشر تم إبطالها. حدد خانة الاختيار لإبطال المؤشر. قم بإلغاء تحديد خانة الاختيار لجعلها نشطة.
      • اختياري. منطقي.

    • الدقة

      • النتيجة التي تعكس الثقة في صحة البيانات، بنسبة النسبة المئوية.
      • اختياري. عدد صحيح، 1-100.

    • سلاسل القتل

    • صالح من

      • الوقت الذي يعتبر فيه هذا المؤشر صالحًا.
      • مطلوب. التاريخ/الوقت.

    • صالح حتى

      • الوقت الذي لا ينبغي اعتبار هذا المؤشر فيه صالحًا.
      • اختياري. التاريخ/الوقت.

    لقطة شاشة تعرض إدخال معلومات في جزء مؤشر التهديد الجديد.

  2. وعند تعبئة جميع الحقول لرضاك، حدد تطبيق. تظهر رسالة في الزاوية العلوية اليسرى للتأكد من إنشاء المؤشر.

  3. تتم إضافة الكيان كمؤشر تهديد في مساحة العمل الخاصة بك. يمكنك العثور عليه في قائمة المؤشرات في صفحة التحليل الذكي للمخاطر. يمكنك أيضا العثور عليه في جدول ThreatIntelligenceIndicators في السجلات.

المحتوى ذو الصلة

في هذه المقالة، تعلمت كيفية إضافة كيانات إلى قوائم مؤشرات التهديد الخاصة بك. لمزيد من المعلومات، راجع المقالات التالية: