استخدام قواعد تحليلات الكشف في الوقت الحقيقي تقريبًا (NRT) في Microsoft Azure Sentinel

توفر قواعد تحليلات Microsoft Sentinel في الوقت الفعلي تقريبا up-to-الكشف عن التهديدات في الدقيقة الجاهزة. تم تصميم هذا النوع من القواعد بحيث يكون شديد الاستجابة عن طريق تشغيل استعلامه على فترات دقيقة واحدة فقط.

في الوقت الحالي، هذه القوالب لها تطبيق محدود على النحو المبين أدناه، لكن التكنولوجيا تتطور وتنمو بسرعة.

هام

يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.

بدءا من يوليو 2026، سيتم دعم Microsoft Sentinel في مدخل Defender فقط، وسيتم إعادة توجيه أي عملاء متبقين يستخدمون مدخل Microsoft Azure تلقائيا.

نوصي بأن يبدأ أي عملاء يستخدمون Microsoft Sentinel في Azure في التخطيط للانتقال إلى مدخل Defender للحصول على تجربة عمليات الأمان الموحدة الكاملة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع التخطيط للانتقال إلى مدخل Microsoft Defender لجميع عملاء Microsoft Sentinel.

عرض قواعد الوقت الحقيقي تقريبًا (NRT)

مدخل Defender

1. من قائمة التنقل في Microsoft Defender، قم بتوسيع Microsoft Sentinel، ثم التكوين. حدد Analytics.

2. على شاشة التحليلات ، مع تحديد علامة التبويب القواعد النشطة ، قم بتصفية القائمة لقوالب NRT :

   1. حدد إضافة عامل تصفيةواختر نوع القاعدة من قائمة عوامل التصفية.

   2. من القائمة الناتجة، حدد NRT. ثم حدد تطبيق.

مدخل Microsoft Azure

1. من قسم Configuration في قائمة التنقل في Microsoft Sentinel، حدد Analytics.

2. على شاشة التحليلات ، مع تحديد علامة التبويب القواعد النشطة ، قم بتصفية القائمة لقوالب NRT :

   1. حدد إضافة عامل تصفيةواختر نوع القاعدة من قائمة عوامل التصفية.

   2. من القائمة الناتجة، حدد NRT. ثم حدد تطبيق.

إنشاء قواعد NRT

يمكنك إنشاء قواعد NRT بنفس الطريقة التي تنشئ بها قواعد تحليلات الاستعلام المجدولة العادية:

مدخل Defender

1. من قائمة التنقل في Microsoft Defender، قم بتوسيع Microsoft Sentinel، ثم التكوين. حدد Analytics.

2. في شريط الإجراءات أعلى الشبكة، حدد +Create وحدد قاعدة استعلام NRT. يؤدي ذلك إلى فتح معالج قاعدة التحليلات.

   

مدخل Microsoft Azure

1. من قسم Configuration في قائمة التنقل في Microsoft Sentinel، حدد Analytics.

2. في شريط الإجراءات في الأعلى، حدد +Create وحدد قاعدة استعلام NRT. يؤدي ذلك إلى فتح معالج قاعدة التحليلات.

   

3. اتبع إرشادات معالج قاعدة التحليلات.

   يكون تكوين قواعد NRT في أغلب الطرق نفس تكوين قواعد التحليلات المجدولة.

   • يمكنك الرجوع إلى جداول وقوائم مشاهدة متعددة في منطق الاستعلام الخاص بك.

   • يمكنك استخدام جميع أساليب إثراء التنبيه: تعيين الكيانوالتفاصيل المخصصةوتفاصيل التنبيه.

   • يمكنك اختيار كيفية تجميع التنبيهات في الحوادث، وقمع استعلام عند إنشاء نتيجة معينة.

   • يمكنك أتمتة الاستجابات لكل من التنبيهات والحوادث.

   • يمكنك تشغيل استعلام القاعدة عبر مساحات عمل متعددة.

   نظرا لطبيعة قواعد NRT وقيودها، لن تتوفر الميزات التالية لقواعد التحليلات المجدولة في المعالج:

   • جدولة الاستعلام غير قابلة للتكوين، حيث تتم جدولة الاستعلامات تلقائيا للتشغيل مرة واحدة في الدقيقة مع فترة بحث مدتها دقيقة واحدة.
   • حد التنبيه غير ذي صلة، حيث يتم إنشاء تنبيه دائما.
   • يتوفر تكوين تجميع الأحداث الآن بدرجة محدودة. يمكنك اختيار أن تنشئ قاعدة NRT تنبيها لكل حدث لما يصل إلى 30 حدثا. إذا اخترت هذا الخيار وأسفرت القاعدة عن أكثر من 30 حدثا، إنشاء تنبيهات حدث واحد لأول 29 حدثا، وسيقوم التنبيه الثلاثين بتلخيص جميع الأحداث في مجموعة النتائج.

   بالإضافة إلى ذلك، نظرا لحدود حجم التنبيهات، يجب أن يستخدم project الاستعلام عبارات لتضمين الحقول الضرورية فقط من الجدول. وإلا، فقد يتم اقتطاع المعلومات التي تريد عرضها.

الخطوات التالية

في هذا المستند، تعلمت كيفية إنشاء قواعد تحليلات في الوقت الفعلي تقريبا (NRT) في Microsoft Sentinel.

• تعرف على المزيد حول قواعد التحليلات في الوقت الفعلي تقريبا (NRT) في Microsoft Sentinel.
• استكشف أنواع قواعد التحليلات الأخرى.