مشاركة عبر

تعقب البيانات أثناء التتبع باستخدام Microsoft Sentinel

  • ينطبق على: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

تساعدك الإشارات المرجعية للتتبع في Microsoft Sentinel على الحفاظ على الاستعلامات ونتائج الاستعلام التي تراها ذات صلة. يمكنك أيضا تسجيل ملاحظاتك السياقية والإشارة إلى النتائج الخاصة بك عن طريق إضافة الملاحظات والعلامات. البيانات المرجعية مرئية لك ولزملاءك في الفريق لسهولة التعاون. لمزيد من المعلومات، راجع الإشارات المرجعية.

ملاحظة

لا يمكن إنشاء الإشارات المرجعية إلا في مدخل Azure. بينما لا يمكنك إضافة إشارات مرجعية في مدخل Microsoft Defender، يمكنك مشاهدة الإشارات المرجعية التي تم إنشاؤها بالفعل.

هام

بعد 31 مارس 2027، لن يتم دعم Microsoft Sentinel في مدخل Azure ولن يتوفر إلا في مدخل Microsoft Defender. ستتم إعادة توجيه جميع العملاء الذين يستخدمون Microsoft Sentinel في مدخل Azure إلى مدخل Defender وسيستخدمون Microsoft Sentinel في مدخل Defender فقط.

إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي تقدمها Microsoft Defender.

إضافة إشارة مرجعية (مدخل Azure فقط)

إنشاء إشارة مرجعية للحفاظ على الاستعلامات والنتائج وملاحظاتك ونتائجك.

  1. ضمن Threat management، حدد Hunting.

  2. من علامة التبويب Queries ، حدد استعلا واحدا أو أكثر من استعلامات التتبع.

  3. من شريط الأوامر العلوي، حدد تشغيل الاستعلامات المحددة.

  4. حدد عرض نتائج الاستعلام. على سبيل المثال:

    لقطة شاشة لعرض نتائج الاستعلام من Microsoft Sentinel التتبع.

    يفتح هذا الإجراء نتائج الاستعلام في جزء السجلات .

  5. من قائمة نتائج استعلام السجل، استخدم خانات الاختيار لتحديد صف واحد أو أكثر يحتوي على المعلومات التي تجدها مثيرة للاهتمام.

  6. في مدخل Azure، حدد إضافة إشارة مرجعية:

    لقطة شاشة لإضافة إشارة مرجعية للتتبع للاستعلام.

  7. على اليمين، في جزء إضافة إشارة مرجعية ، بشكل اختياري، قم بتحديث اسم الإشارة المرجعية وإضافة علامات وملاحظات لمساعدتك في تحديد ما كان مثيرا للاهتمام حول العنصر.

  8. يمكن تعيين الإشارات المرجعية اختياريا إلى MITRE ATT&تقنيات CK أو التقنيات الفرعية. يتم توريث تعيينات MITRE ATT&CK من القيم المعينة في استعلامات التتبع، ولكن يمكنك أيضا إنشاؤها يدويا. حدد تكتيك MITRE ATT&CK المرتبط بالتقنية المطلوبة من القائمة المنسدلة في قسم تقنيات & التكتيكات في جزء إضافة إشارة مرجعية . تتوسع القائمة لإظهار جميع تقنيات MITRE ATT&CK، ويمكنك تحديد تقنيات وتقنيات فرعية متعددة في هذه القائمة.

    لقطة شاشة لكيفية تعيين تكتيكات وتقنيات Mitre Attack إلى الإشارات المرجعية.

  9. الآن يمكن استخراج مجموعة موسعة من الكيانات من نتائج الاستعلام التي تم وضع إشارة مرجعية عليها لمزيد من التحقيق. في قسم Entity mapping ، استخدم القوائم المنسدلة لتحديد أنواع الكيانات والمعرفات. ثم قم بتعيين العمود في نتائج الاستعلام التي تحتوي على المعرف المقابل. على سبيل المثال:

    لقطة شاشة لتعيين أنواع الكيانات للإشارات المرجعية للتتبع.

    لعرض الإشارة المرجعية في الرسم البياني للتحقيق، يجب تعيين كيان واحد على الأقل. يتم دعم تعيينات الكيانات لأنواع كيانات الحساب والمضيف وعنوان IP وعنوان URL التي قمت بإنشائها، مع الحفاظ على التوافق مع الإصدارات السابقة.

  10. حدد Create لتثبيت التغييرات وإضافة الإشارة المرجعية. تتم مشاركة جميع البيانات المرجعية مع محللين آخرين، وهي خطوة أولى نحو تجربة تحقيق تعاونية.

تدعم نتائج استعلام السجل الإشارات المرجعية كلما تم فتح هذا الجزء من Microsoft Sentinel. على سبيل المثال، إذا حددت السجلات العامة> من شريط التنقل، فحدد ارتباطات الأحداث في الرسم البياني للتحقيقات، أو حدد معرف تنبيه من التفاصيل الكاملة لحادث. لا يمكنك إنشاء إشارات مرجعية عند فتح جزء السجلات من موقع آخر، مثل مباشرة من Azure Monitor.

عرض الإشارات المرجعية وتحديثها

ابحث عن إشارة مرجعية وقم بتحديثها من علامة تبويب الإشارة المرجعية.

  1. بالنسبة Microsoft Sentinel في مدخل Azure، ضمن Threat management حدد Hunting.
    بالنسبة Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>تتبع إدارةالتتبع>.

  2. حدد علامة التبويب الإشارات المرجعية لعرض قائمة الإشارات المرجعية.

  3. ابحث أو قم بالتصفية للعثور على إشارة مرجعية أو إشارات مرجعية معينة.

  4. حدد الإشارات المرجعية الفردية لعرض تفاصيل الإشارة المرجعية في الجزء الأيمن.

  5. قم بإجراء التغييرات حسب الحاجة. يتم حفظ التغييرات تلقائيا.

ملاحظة

يمكنك فقط عرض ما يصل إلى 1000 إشارة مرجعية في علامة تبويب الإشارة المرجعية. يمكنك عرض بقية البيانات المرجعية في سجلاتك. معرفة المزيد

استكشاف الإشارات المرجعية في الرسم البياني للتحقيق

تصور بياناتك المرجعية من خلال بدء تجربة التحقيق التي يمكنك من خلالها عرض النتائج والتحقيق فيها وإبلاغها بصريا باستخدام رسم تخطيطي وجدول زمني تفاعلي للرسم البياني للكيان.

  1. من علامة التبويب الإشارات المرجعية ، حدد الإشارة المرجعية أو الإشارات المرجعية التي تريد التحقيق فيها.

  2. في تفاصيل الإشارة المرجعية، تأكد من تعيين كيان واحد على الأقل.

  3. حدد التحقيق لعرض الإشارة المرجعية في الرسم البياني للتحقيق.

للحصول على إرشادات لاستخدام الرسم البياني للتحقيق، راجع استخدام الرسم البياني للتحقيق للتعمق.

إضافة إشارات مرجعية إلى حدث جديد أو موجود (Azure المدخل فقط)

أضف إشارات مرجعية إلى حدث من علامة التبويب الإشارات المرجعية في صفحة التتبع .

  1. من علامة التبويب الإشارات المرجعية ، حدد الإشارة المرجعية أو الإشارات المرجعية التي تريد إضافتها إلى حادث.

  2. حدد إجراءات الحادث من شريط الأوامر:

    لقطة شاشة لإضافة إشارات مرجعية إلى الحدث.

  3. حدد إما Create new incident أو Add to existing incident، حسب الاقتضاء. ثم:

    • لحدث جديد: قم بتحديث تفاصيل الحدث اختياريا، ثم حدد إنشاء.
    • لإضافة إشارة مرجعية إلى حادث موجود: حدد حدثا واحدا، ثم حدد إضافة.

  4. لعرض الإشارة المرجعية داخل الحدث،

    1. انتقل إلى Microsoft Sentinel>الحوادث الإدارية>.
    2. حدد الحدث باستخدام الإشارة المرجعية وعرض التفاصيل الكاملة.
    3. في صفحة الحدث، في الجزء الأيمن، حدد الإشارات المرجعية.

عرض البيانات المرجعية في السجلات

عرض الاستعلامات أو النتائج أو محفوظاتها ذات الإشارات المرجعية.

  1. من علامة التبويبالإشارات المرجعية للتتبع>، حدد الإشارة المرجعية.

  2. من جزء التفاصيل، حدد الارتباطات التالية:

    • عرض استعلام المصدر لعرض الاستعلام المصدر في جزء السجلات .

    • عرض سجلات الإشارات المرجعية لمشاهدة جميع بيانات تعريف الإشارة المرجعية، والتي تتضمن من قام بإجراء التحديث والقيم المحدثة ووقت حدوث التحديث.

  3. من شريط الأوامر في علامة التبويبالإشارات المرجعيةللتتبع>، حدد سجلات الإشارات المرجعية لعرض بيانات الإشارة المرجعية الأولية لجميع الإشارات المرجعية.

    لقطة شاشة لأمر سجلات الإشارة المرجعية.

تعرض طريقة العرض هذه جميع الإشارات المرجعية مع بيانات التعريف المقترنة. يمكنك استخدام استعلامات Kusto Query Language (KQL) للتصفية وصولا إلى أحدث إصدار من الإشارة المرجعية المحددة التي تبحث عنها.

يمكن أن يكون هناك تأخير كبير (يقاس بالدقائق) بين الوقت الذي تقوم فيه بإنشاء إشارة مرجعية ومتى يتم عرضها في علامة التبويب الإشارات المرجعية .

حذف إشارة مرجعية

يؤدي حذف الإشارة المرجعية إلى إزالة الإشارة المرجعية من القائمة في علامة التبويب إشارة مرجعية . يستمر جدول HuntingBookmark لمساحة عمل Log Analytics في احتواء إدخالات الإشارات المرجعية السابقة، ولكن أحدث إدخال يغير قيمة SoftDelete إلى true، ما يسهل تصفية الإشارات المرجعية القديمة. لا يؤدي حذف إشارة مرجعية إلى إزالة أي كيانات من تجربة التحقيق المقترنة بالإشارات المرجعية أو التنبيهات الأخرى.

لحذف إشارة مرجعية، أكمل الخطوات التالية.

  1. من علامة التبويبالإشارات المرجعية للتتبع>، حدد الإشارة المرجعية أو الإشارات المرجعية التي تريد حذفها.

  2. انقر بزر الماوس الأيمن، وحدد خيار حذف الإشارات المرجعية المحددة.

المحتويات ذات الصلة

في هذه المقالة، تعلمت كيفية تشغيل تحقيق تتبع باستخدام الإشارات المرجعية في Microsoft Sentinel. لمعرفة المزيد حول Microsoft Sentinel، راجع المقالات التالية:

  • Last updated on