تخصيص تفاصيل التنبيه في Microsoft Azure Sentinel

• ينطبق على:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

توضح هذه المقالة كيفية تجاوز الخصائص الافتراضية للتنبيهات ذات المحتوى من نتائج الاستعلام الأساسية.

في عملية إنشاء قاعدة تحليلات مجدولة، كخطوة أولى تقوم بتعريف اسم القاعدة ووصفها، وتعيين خطورتها وتكتيكات MITRE ATT&CK. سترث جميع التنبيهات التي تم إنشاؤها بواسطة قاعدة معينة - وجميع الحوادث التي تم إنشاؤها نتيجة لذلك - الاسم والوصف والخطورة والتكتيكات المحددة في القاعدة، بغض النظر عن المحتوى المعين لمثيل معين من التنبيه.

باستخدام ميزة تفاصيل التنبيه، يمكنك تجاوز هذه الخصائص الافتراضية وغيرها من الخصائص الافتراضية للتنبيهات بطريقتين:

• إنشاء أسماء وأوصاف مخصصة ومتغيرة للتنبيهات الخاصة بك. يمكنك تحديد الحقول في إخراج استعلام التنبيه الذي يمكن تضمين محتوياته في اسم أو وصف كل مثيل للتنبيه. إذا لم يكن للحقل المحدد قيمة في مثيل معين، فستعود تفاصيل التنبيه لهذا المثيل إلى الإعدادات الافتراضية المحددة في الصفحة الأولى من المعالج.

• تخصيص الخطورة والتكتيكات والخصائص الأخرى لمثيل معين من التنبيه (راجع القائمة الكاملة للخصائص أدناه) مع قيم أي حقول ذات صلة من إخراج الاستعلام. إذا كانت الحقول المحددة فارغة أو تحتوي على قيم لا تتطابق مع نوع بيانات الحقل، فستعود خصائص التنبيه المعنية إلى الإعدادات الافتراضية الخاصة بها (للتكتيكات والخطورة، تلك المحددة في الصفحة الأولى من المعالج).

هام

• بعض تفاصيل التنبيه القابلة للتخصيص (راجع تلك المشار إليها أدناه) موجودة حاليا في PREVIEW. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.
• يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

اتبع الإجراء المفصل أدناه لاستخدام ميزة تفاصيل التنبيه. هذه الخطوات هي جزء من معالج إنشاء قاعدة التحليلات، ولكن تتم معالجتها هنا بشكل مستقل لمعالجة سيناريو إضافة تفاصيل التنبيه أو تغييرها في قاعدة تحليلات موجودة.

كيفية تخصيص تفاصيل التنبيه

1. أدخل صفحة Analytics في المدخل الذي يمكنك من خلاله الوصول إلى Microsoft Sentinel:

   مدخل Microsoft Azure

   من قسم Configuration في قائمة التنقل في Microsoft Sentinel، حدد Analytics.

   مدخل Defender

   من قائمة التنقل في Microsoft Defender، قم بتوسيع Microsoft Sentinel، ثم التكوين. حدد تحليلات.

2. حدد قاعدة استعلام مجدولة وحدد تحرير. أو أنشئ قاعدة جديدة عن طريق تحديد إنشاء > قاعدة استعلام مجدول في أعلى الشاشة.

3. حدد علامة التبويب Set rule logic.

4. في القسم Alert enrichment، وسّع Alert details.

   

5. في قسم تفاصيل التنبيه الموسعة الآن، أضف نصا مجانيا يتضمن خصائص مطابقة للتفاصيل التي تريد عرضها في التنبيه:

   1. في الحقل تنسيق اسم التنبيه، أدخل النص الذي تريد أن يظهر كاسم التنبيه (نص التنبيه)، وقم بتضمين أي حقول إخراج استعلام تريد أن تكون جزءا من نص التنبيه في أقواس متعرجة مزدوجة.

      مثال: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

   2. افعل الشيء نفسه مع حقل Alert Description Format.

      إشعار

      أنت مقيد حالياً بـ ثلاث معامِلات لكلٍّ منها في حقلي Alert Name Format وAlert Description Format.

   3. لتجاوز الخصائص الافتراضية الأخرى، حدد خاصية تنبيه من القائمة المنسدلة خاصية التنبيه. ثم حدد الحقل من نتائج الاستعلام، الذي تريد ملء محتوياته بخاصية التنبيه، من القائمة المنسدلة Value .

   4. لتجاوز المزيد من الخصائص الافتراضية، حدد + إضافة جديد وكرر الخطوة السابقة. يمكن تجاوز الخصائص التالية:

      Name	‏‏الوصف
      اسم التنبيه	السلسلة‬
      الوصف	السلسلة‬
      AlertSeverity	إحدى القيم التالية: - اعلاميه - منخفض - متوسط - عال
      التكتيكات	إحدى القيم التالية: - الاستطلاع - تطوير الموارد - الوصول الأولي - تنفيذ - استمرار - مقياس الامتيازات - التهرب الدفاعي - بيانات الاعتماد الوصول - الاكتشاف⁧⁩ - الحركة الجانبية - مجموعة - النقل غير المصرَّح به - CommandAndControl - تأثير - PreAttack - إعاقة عملية التحكم - وظيفة مثبطات الاستجابة
      التقنيات (معاينة)	سلسلة تطابق التعبير العادي التالي: ^T(?<Digits>\d{4})$. على سبيل المثال: T1234
      AlertLink (معاينة)	السلسلة‬
      ConfidenceLevel (معاينة)	إحدى القيم التالية: - منخفض - عال - مجهول
      ConfidenceScore (معاينة)	عدد صحيح، بين 0-1 (شامل)
      الارتباطات الموسعة (معاينة)	السلسلة‬
      ProductComponentName (معاينة)	السلسلة‬
      ProductName (معاينة) * راجع الملاحظة التالية لهذا الجدول	السلسلة‬
      اسم الموفر (معاينة)	السلسلة‬
      خطوات المعالجة (معاينة)	السلسلة‬

      إشعار

      إذا قمت بإلحاق Microsoft Sentinel بالنظام الأساسي لعمليات الأمان الموحدة، فلا تقم بتخصيص حقل ProductName للتنبيهات من مصادر Microsoft. سيؤدي القيام بذلك إلى إسقاط هذه التنبيهات من Microsoft Defender XDR وعدم إنشاء أي حادث.

   إذا غيرت رأيك، أو إذا ارتكبت خطأ ما، يمكنك إزالة تفاصيل التنبيه بالنقر فوق أيقونة سلة المهملات بجوار زوج خاصية/قيمة التنبيه، أو حذف النص المجاني من حقول تنسيق اسم التنبيه/الوصف.

6. عند الانتهاء من تخصيص تفاصيل التنبيه، إذا كنت تقوم الآن بإنشاء القاعدة، فتابع إلى علامة التبويب التالية في المعالج. إذا كنت تقوم بتحرير قاعدة موجودة، فحدد علامة التبويب مراجعة وإنشاء . بمجرد نجاح التحقق من صحة القاعدة، حدد حفظ.

حدود الخدمة

• يمكنك تجاوز حقل يحتوي على ما يصل إلى 50 قيمة في استعلام واحد. عندما يتجاوز الاستعلام 50 قيمة مخصصة، يتم إسقاط كافة القيم المخصصة، وفي جميع نتائج الاستعلام يعود الحقل إلى قيمته الافتراضية. قم بضبط الاستعلام للحصول على ما لا يزيد عن 50 قيمة لضمان عدم إسقاط أي قيم مخصصة.
• حد الحجم للحقل AlertName ، وأي خصائص أخرى غير مجموعة، هو 256 بايت.
• حد الحجم للحقل Description ، وأي خصائص مجموعة أخرى، هو 5 كيلوبايت.
• يتم إسقاط القيم التي تتجاوز حدود الحجم.

الخطوات التالية

في هذا المستند، تعلمت كيفية تخصيص تفاصيل التنبيه في قواعد تحليلات Microsoft Azure Sentinel. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel:

• استكشف الطرق الأخرى لإثراء تنبيهاتك:
  • تعيين حقول البيانات للكيانات في Microsoft Azure Sentinel
  • تفاصيل حدث Surface المخصص في التنبيهات في Microsoft Sentinel
• احصل على الصورة الكاملة عن قواعد تحليلات الاستعلام المجدولة.
• تعرف على المزيد حول الكيانات في Microsoft Sentinel.