استخدام قواعد تحليلات الكشف في الوقت الحقيقي تقريبًا (NRT) في Microsoft Azure Sentinel

• ينطبق على:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

توفر قواعد التحليلات في الوقت الفعلي تقريبا من Microsoft Azure Sentinel اكتشافا للتهديدات حتى اللحظة الجاهزة. تم تصميم هذا النوع من القواعد بحيث يكون شديد الاستجابة عن طريق تشغيل استعلامه على فترات دقيقة واحدة فقط.

في الوقت الحالي، هذه القوالب لها تطبيق محدود على النحو المبين أدناه، لكن التكنولوجيا تتطور وتنمو بسرعة.

هام

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

عرض قواعد الوقت الحقيقي تقريبًا (NRT)

مدخل Microsoft Azure

1. من قسم Configuration في قائمة التنقل في Microsoft Sentinel، حدد Analytics.

2. على شاشة التحليلات ، مع تحديد علامة التبويب القواعد النشطة، قم بتصفية القائمة لقوالب NRT :

   1. حدد إضافة عامل تصفية واختر نوع القاعدة من قائمة عوامل التصفية.

   2. من القائمة الناتجة، حدد NRT. ثم حدد تطبيق.

مدخل Defender

1. من قائمة التنقل في Microsoft Defender، قم بتوسيع Microsoft Sentinel، ثم التكوين. حدد تحليلات.

2. على شاشة التحليلات ، مع تحديد علامة التبويب القواعد النشطة، قم بتصفية القائمة لقوالب NRT :

   1. حدد إضافة عامل تصفية واختر نوع القاعدة من قائمة عوامل التصفية.

   2. من القائمة الناتجة، حدد NRT. ثم حدد تطبيق.

إنشاء قواعد NRT

يمكنك إنشاء قواعد NRT بنفس الطريقة التي تنشئ بها قواعد تحليلات الاستعلام المجدولة العادية:

مدخل Microsoft Azure

1. من قسم Configuration في قائمة التنقل في Microsoft Sentinel، حدد Analytics.

2. في شريط الإجراءات في الأعلى، حدد +Create وحدد قاعدة استعلام NRT. يفتح هذا معالج قاعدة التحليلات.

   

مدخل Defender

1. من قائمة التنقل في Microsoft Defender، قم بتوسيع Microsoft Sentinel، ثم التكوين. حدد تحليلات.

2. في شريط الإجراءات أعلى الشبكة، حدد +Create وحدد قاعدة استعلام NRT. يفتح هذا معالج قاعدة التحليلات.

   

3. اتبع إرشادات معالج قاعدة التحليلات.

   يكون تكوين قواعد NRT في أغلب الطرق نفس تكوين قواعد التحليلات المجدولة.

   • يمكنك الرجوع إلى جداول وقوائم مشاهدة متعددة في منطق الاستعلام الخاص بك.

   • يمكنك استخدام جميع أساليب إثراء التنبيه: تعيين الكيان والتفاصيل المخصصة وتفاصيل التنبيه.

   • يمكنك اختيار كيفية تجميع التنبيهات في الحوادث، وقمع استعلام عند إنشاء نتيجة معينة.

   • يمكنك أتمتة الاستجابات لكل من التنبيهات والحوادث.

   نظرًا إلى طبيعة قواعد NRT وقيودها، فإن الميزات التالية لقواعد التحليلات المجدولة لن تتوفر في المعالج:

   • جدولة الاستعلام غير قابلة للتكوين، حيث تتم جدولة الاستعلامات تلقائيًا للتشغيل مرة واحدة في الدقيقة مع فترة رجوع مدتها دقيقة واحدة.
   • حد التنبيه غير ذي صلة، حيث يتم إنشاء تنبيه دائما.
   • يتوفر تكوين تجميع الأحداث الآن بدرجة محدودة. يمكنك اختيار أن تنشئ قاعدة NRT تنبيها لكل حدث لما يصل إلى 30 حدثا. إذا اخترت هذا الخيار وأسفرت القاعدة عن أكثر من 30 حدثا، إنشاء تنبيهات حدث واحد لأول 29 حدثا، وسيقوم التنبيه الثلاثين بتلخيص جميع الأحداث في مجموعة النتائج.

   بالإضافة إلى ذلك، يحتوي الاستعلام نفسه على المتطلبات التالية:

   • لا يمكنك تشغيل الاستعلام عبر مساحات العمل.

   • نظرا لحدود حجم التنبيهات، يجب أن يستخدم الاستعلام عبارات project لتضمين الحقول الضرورية فقط من الجدول. وإلا، فقد يتم اقتطاع المعلومات التي تريد عرضها.

الخطوات التالية

في هذا المستند، تعلمت كيفية إنشاء قواعد تحليلات في الوقت الفعلي تقريبا (NRT) في Microsoft Sentinel.

• تعرف على المزيد حول قواعد التحليلات في الوقت الفعلي تقريبا (NRT) في Microsoft Sentinel.
• استكشف أنواع قواعد التحليلات الأخرى.