مشاركة عبر

تعقب البيانات في أثناء التتبع باستخدام Microsoft Azure Sentinel

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

تساعدك الإشارات المرجعية للتتبع في Microsoft Sentinel في الحفاظ على الاستعلامات ونتائج الاستعلام التي تراها ذات صلة. يمكنك أيضًا تسجيل ملاحظاتك السياقية والرجوع إلى النتائج التي توصلت إليها عن طريق إضافة الملاحظات والعلامات. تكون البيانات المرجعية مرئية لك ولزملائك في الفريق لتسهيل التعاون. لمزيد من المعلومات، راجع الإشارات المرجعية.

هام

يتوفر Microsoft Sentinel كجزء من النظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. يتم الآن دعم Microsoft Sentinel في مدخل Defender لاستخدام الإنتاج. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

أضف إشارة مرجعية

إنشاء إشارة مرجعية للحفاظ على الاستعلامات والنتائج والملاحظات والنتائج.

  1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن Threat management حدد Hunting.
    بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Threat management>Hunting.

  2. من علامة تبويب التتبع، حدد عملية صيد.

  3. حدد أحد استعلامات التتبع.

  4. في تفاصيل استعلام التتبع، حدد تشغيل الاستعلام.

  5. حدد View query results. على سبيل المثال:

    لقطة شاشة لعرض نتائج الاستعلام من Microsoft Azure Sentinel Hunting.

    يفتح هذا الإجراء نتائج الاستعلام في جزء Logs.

  6. من قائمة نتائج استعلام السجل، استخدم مربعات الاختيار لتحديد صف واحد أو أكثر يحتوي على المعلومات التي تجدها ممتعة.

  7. حدد Add bookmark:

    لقطة شاشة لإضافة إشارة مرجعية للصيد إلى الاستعلام.

  8. على اليمين، في جزء Add bookmark، قم بتحديث اسم الإشارة المرجعية وإضافة العلامات والملاحظات اختيارياً لمساعدتك في تحديد الشيء المثير للاهتمام بشأن العنصر.

  9. يمكن تعيين الإشارات المرجعية اختياريا لتقنيات MITRE ATT&CK أو التقنيات الفرعية. يتم توريث تعيينات MITRE ATT CK من القيم المعينة في استعلامات التتبع، ولكن يمكنك أيضا إنشاؤها يدويا. حدد تكتيك MITRE ATT&CK المرتبط بالتقنية المطلوبة من القائمة المنسدلة في قسم التكتيكات والتقنيات في جزء إضافة إشارة مرجعية . تتوسع القائمة لإظهار جميع تقنيات MITRE ATT&CK، ويمكنك تحديد تقنيات وتقنيات فرعية متعددة في هذه القائمة.

    لقطة شاشة لكيفية تعيين تكتيكات وتقنيات Mitre Attack إلى الإشارات المرجعية.

  10. الآن يمكن استخراج مجموعة موسعة من الكيانات من نتائج الاستعلام ذات الإشارة المرجعية لمزيد من التحقيق. في قسم Entity mapping ، استخدم القوائم المنسدلة لتحديد أنواع الكيانات والمعرفات. ثم قم بتعيين العمود في نتائج الاستعلام الذي يحتوي على المعرف المقابل. على سبيل المثال:

    لقطة شاشة لتعيين أنواع الكيانات للبحث عن الإشارات المرجعية.

    لعرض الإشارة المرجعية في الرسم البياني للتحقيق، يجب عليك تعيين كيان واحد على الأقل. يتم دعم تعيينات الكيانات لأنواع كيان الحساب والمضيف وعنوان IP وعنوان URL التي أنشأتها، مع الحفاظ على التوافق مع الإصدارات السابقة.

  11. حدد حفظ لتثبيت التغييرات وإضافة الإشارة المرجعية. تتم مشاركة جميع البيانات المرجعية مع محللين آخرين، وهي خطوة أولى نحو تجربة تحقيق تعاونية.

تدعم نتائج استعلام السجل الإشارات المرجعية متى تم فتح هذا الجزء من Microsoft Azure Sentinel. على سبيل المثال، يمكنك تحديد سجلات عامة>من شريط التنقل، أو تحديد ارتباطات الأحداث في الرسم البياني للتحقيقات، أو تحديد معرف تنبيه من التفاصيل الكاملة لحادث ما. لا يمكنك إنشاء إشارات مرجعية عند فتح جزء السجلات من مواقع أخرى، مثل مراقب Azure مباشرةً.

عرض وتحديث الإشارات المرجعية

ابحث عن إشارة مرجعية وقم بتحديثها من علامة تبويب الإشارة المرجعية.

  1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن Threat management حدد Hunting.
    بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Threat management>Hunting.

  2. حدد علامة التبويب Bookmarks لعرض قائمة الإشارات المرجعية.

  3. البحث أو التصفية للعثور على إشارة مرجعية أو إشارات مرجعية معينة.

  4. حدد الإشارات المرجعية الفردية لعرض تفاصيل الإشارة المرجعية في الجزء الأيمن.

  5. قم بإجراء التغييرات حسب الحاجة. يتم حفظ التغييرات تلقائيا.

استكشاف الإشارات المرجعية في الرسم البياني للتحقيق

تصور بياناتك المرجعية من خلال بدء تجربة التحقيق التي يمكنك من خلالها عرض النتائج والتحقيق فيها وإبلاغها بصريا باستخدام رسم تخطيطي تفاعلي للرسم البياني للكيان ومخطط زمني.

  1. من علامة التبويب الإشارات المرجعية، حدد الإشارة المرجعية أو الإشارات المرجعية التي تريد التحقق منها.

  2. في تفاصيل الإشارة المرجعية، تأكد من تعيين كيان واحد على الأقل.

  3. حدد Investigate لعرض الإشارة المرجعية في الرسم البياني للتحقيق.

للحصول على إرشادات بشأن استخدام الرسم البياني للتحقيق، راجع استخدام الرسم البياني للتحقيق للتعمق في التفاصيل .

إضافة إشارات مرجعية إلى حادث جديد أو موجود

أضف إشارات مرجعية إلى حدث من علامة تبويب الإشارات المرجعية في صفحة التتبع.

  1. من علامة التبويب الإشارات المرجعية، حدد الإشارة المرجعية أو الإشارات المرجعية التي تريد إضافتها إلى حدث ما.

  2. حدد Incident actions من شريط الأوامر:

    لقطة شاشة لإضافة إشارات مرجعية إلى الحادث.

  3. حدد إما Create new incident أو Add to existing incident، حسب الاقتضاء. ثم:

    • بالنسبة إلى حادثة جديدة: حدّث اختيارياً تفاصيل الحادث، ثم حدد Create.
    • لإضافة إشارة إلى حادثة موجودة: حدد حادثة واحدة، ثم حدد Add.

  4. لعرض الإشارة المرجعية داخل الحدث،

    1. انتقل إلى Microsoft Sentinel>Threat management>Incidents.
    2. حدد الحدث باستخدام الإشارة المرجعية وعرض التفاصيل الكاملة.
    3. في صفحة الحدث، في الجزء الأيمن، حدد الإشارات المرجعية.

عرض البيانات المرجعية في السجلات

عرض الاستعلامات أو النتائج أو محفوظاتها التي تم وضع إشارة مرجعية عليها.

  1. من علامة التبويب الإشارات المرجعية للتتبع>، حدد الإشارة المرجعية.

  2. من جزء التفاصيل، حدد الارتباطات التالية:

    • عرض استعلام المصدر لعرض استعلام المصدر في جزء السجلات .

    • عرض سجلات الإشارات المرجعية لمشاهدة جميع بيانات التعريف للإشارات المرجعية، والتي تتضمن الشخص الذي أجرى التحديث والقيم المحدثة ووقت حدوث التحديث.

  3. من شريط الأوامر في علامة التبويب الإشارات المرجعية للتتبع>، حدد سجلات الإشارات المرجعية لعرض بيانات الإشارة المرجعية الأولية لجميع الإشارات المرجعية.

    لقطة شاشة لأمر سجلات الإشارات المرجعية.

تُظهر طريقة العرض هذه جميع إشاراتك المرجعية مع بيانات التعريف المرتبطة بها. يمكنك استخدام استعلامات Kusto Query Language (KQL) للتصفية وصولا إلى أحدث إصدار من الإشارة المرجعية المحددة التي تبحث عنها.

يمكن أن يكون هناك تأخير كبير (يقاس بالدقائق) بين الوقت الذي تقوم فيه بإنشاء إشارة مرجعية ومتى يتم عرضها في علامة التبويب الإشارات المرجعية.

حذف إشارة مرجعية

يؤدي حذف الإشارة المرجعية إلى إزالة الإشارة المرجعية من القائمة في علامة التبويب إشارة مرجعية. يستمر جدول HuntingBookmark لمساحة عمل Log Analytics في احتواء إدخالات الإشارات المرجعية السابقة، ولكن الإدخال الأخير يغير قيمة SoftDelete إلى true، ما يجعل من السهل تصفية الإشارات المرجعية القديمة. لا يؤدي حذف إشارة مرجعية إلى إزالة أي كيانات من تجربة التحقيق المقترنة بالإشارات المرجعية أو التنبيهات الأخرى.

لحذف إشارة مرجعية، أكمل الخطوات التالية.

  1. من علامة التبويب الإشارات المرجعية للتتبع>، حدد الإشارة المرجعية أو الإشارات المرجعية التي تريد حذفها.

  2. انقر بزر الماوس الأيمن، وحدد خيار حذف الإشارات المرجعية المحددة.

المحتوى ذو الصلة

في هذه المقالة، تعلمت كيفية إجراء تحقيق صيد باستخدام الإشارات المرجعية في Microsoft Azure Sentinel. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel: