تخصيص الأنشطة على الخطوط الزمنية لصفحة الكيان

• ينطبق على:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

هام

• تخصيص النشاط يكون في الإصدار الأولي. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.
• يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

مقدمة

بالإضافة إلى الأنشطة المتعقبة والمقدمة في الخط الزمني بواسطة Azure Sentinel الجاهز، يمكنك إنشاء أي أنشطة أخرى تريد تعقبها وتقديمها على الخط الزمني أيضاً. يمكنك إنشاء أنشطة مخصصة استناداً إلى استعلامات بيانات الكيان من أي مصادر بيانات متصلة. توضح الأمثلة التالية كيفية استخدام هذه الإمكانية:

• أضف أنشطة جديدة إلى الخط الزمني للكيان عن طريق تعديل قوالب النشاط الموجودة الجاهزة.

• إضافة أنشطة جديدة من سجلات مخصصة. على سبيل المثال، من سجل التحكم في الوصول الفعلي، يمكنك إضافة أنشطة دخول المستخدم وإنهاؤه لمنطقة محددة مقيدة - على سبيل المثال، غرفة خادم - إلى المخطط الزمني للمستخدم.

الشروع في العمل

• مستخدمو Microsoft Sentinel في مدخل Microsoft Azure، حدد علامة التبويب مدخل Microsoft Azure أدناه.
• مستخدمو النظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender، حدد علامة التبويب مدخل Defender.

مدخل Microsoft Azure

1. من قائمة التنقل Microsoft Azure Sentinel، حدد سلوك الكيان.

2. في صفحة Entity behavior ، حدد Customize entity page (Preview) في أعلى الشاشة.

   

مدخل Defender

1. في مدخل Microsoft Defender، ابحث عن أي صفحة كيان.

   1. حدد Assets > Devices أو Identities.
   2. حدد جهازا أو مستخدما من القائمة. إذا حددت مستخدما، فحدد عرض صفحة المستخدم في النافذة المنبثقة التالية.

2. في صفحة الكيان، حدد علامة التبويب أحداث Sentinel.

3. في علامة التبويب أحداث Sentinel، حدد تخصيص أنشطة Sentinel.

في صفحة تخصيص أنشطة Sentinel، سترى قائمة بأي أنشطة قمت بإنشائها في علامة التبويب أنشطتي . في علامة التبويب قوالب النشاط، سترى مجموعة الأنشطة التي يقدمها باحثو الأمان في Microsoft خارج الصندوق. هذه هي الأنشطة التي يتم تعقبها بالفعل وعرضها على الخطوط الزمنية في صفحات الكيان.

• طالما لم تقم بإنشاء أي أنشطة معرفة من قبل المستخدم، ستعرض صفحات الكيان كافة الأنشطة المدرجة ضمن علامة التبويب قوالب النشاط.

• بمجرد إنشاء نشاط أو تخصيصه، ستعرض صفحات الكيان هذه الأنشطة فقط ، والتي تظهر في علامة التبويب الأنشطة الخاصة بي.

• إذا كنت تريد متابعة مشاهدة الأنشطة الجاهزة في صفحات الكيان لديك، فيجب عليك إنشاء نشاط لكل قالب تريد تعقبه وعرضه. اتبع الإرشادات الموجودة أسفل "إنشاء نشاط من قالب" أدناه.

إنشاء نشاط من قالب

1. حدد علامة التبويب Activity templates لمشاهدة الأنشطة المختلفة المتوفرة بشكل افتراضي. يمكنك تصفية القائمة حسب نوع الكيان وكذلك حسب مصدر البيانات. سيؤدي تحديد نشاط من القائمة إلى عرض المعلومات التالية في جزء التفاصيل:

   • وصف النشاط

   • مصدر البيانات الذي يوفر الأحداث التي تشكل النشاط

   • المعرفات المستخدمة لتحديد الكيان في البيانات الأولية

   • الاستعلام الذي ينتج عنه الكشف عن هذا النشاط

2. حدد إنشاء نشاط في أسفل جزء التفاصيل لبدء تشغيل معالج إنشاء النشاط.

   مدخل Microsoft Azure

   

   مدخل Defender

   

   عند تحديد Create activity في مدخل Defender، تتم إعادة توجيهك إلى معالج نشاط Microsoft Sentinel في مدخل Microsoft Azure في علامة تبويب جديدة.

3. سيتم فتح معالج النشاط - إنشاء نشاط جديد من القالب، مع ملء حقوله بالفعل من القالب. يمكنك إجراء تغييرات كما تريد في علامات التبويب عام و تكوين النشاط، أو ترك كل شيء كما هو لمتابعة عرض النشاط الجاهز.

4. عندما تكون راضياً، حدد علامة التبويب مراجعة وإنشاء. عندما ترى رسالة تم تجاوز التحقق من الصحة، انقر فوق الزر إنشاء في الأسفل.

إنشاء نشاط من البداية

من أعلى صفحة الأنشطة، انقر فوق إضافة نشاط لبدء تشغيل معالج إنشاء النشاط.

سيفتح معالج النشاط - إنشاء نشاط جديد، مع حقوله فارغة.

علامة التبويب "عام"

1. أدخل اسماً لنشاطك (على سبيل المثال: "تمت إضافة المستخدم إلى المجموعة").

2. أدخل وصفاً للنشاط (على سبيل المثال: "تغيير عضوية مجموعة المستخدمين استناداً إلى معرف حدث Windows 4728").

3. حدد نوع الكيان (المستخدم أو المضيف) الذي سيتعقبه هذا الاستعلام.

4. يمكنك التصفية حسب معلمات إضافية للمساعدة في تحسين الاستعلام وتحسين أدائه. على سبيل المثال، يمكنك التصفية لمستخدمي Active Directory عن طريق اختيار المعلمة IsDomainJoined وتعيين القيمة إلى صواب.

5. يمكنك تحديد الحالة الأولية للنشاط إلى ممكن أو معطل.

6. حدد التالي: تكوين النشاط للمتابعة إلى علامة التبويب التالية.

   

علامة تبويب تكوين النشاط

كتابة استعلام النشاط

هنا سوف تكتب أو الصق استعلام KQL الذي سيتم استخدامه للكشف عن النشاط للكيان المختار، وتحديد كيفية تمثيله في الخط الزمني.

هام

نوصي بأن يستخدم الاستعلام محلل نموذج معلومات الأمان المتقدم (ASIM) وليس جدولاً مضمناً. وهذا يضمن أن الاستعلام سيدعم أي مصدر بيانات حالٍ أو مستقبلي ذي صلة بدلاً من مصدر بيانات واحد.

من أجل ربط الأحداث والكشف عن النشاط المخصص، يتطلب KQL إدخال العديد من المعلمات، اعتماداً على نوع الكيان. المعلمات هي المعرفات المختلفة للكيان المعني.

يعد تحديد معرف قوي أفضل من أجل الحصول على تعيين واحد إلى واحد بين نتائج الاستعلام والكيان. قد يؤدي تحديد معرف ضعيف إلى نتائج غير دقيقة. تعرف على المزيد حول الكيانات والمعرفات القوية مقابل الضعيفة.

يوفر الجدول التالي معلومات حول معرفات الكيانات.

معرفات قوية لكيانات الحساب والمضيفة

مطلوب معرف واحد على الأقل في أي استعلام.

الكيان	Identifier	‏‏الوصف
العميل	Account_Sid	SID المحلي للحساب في Active Directory
	Account_AadUserId	معرف كائن Microsoft Entra للمستخدم في معرف Microsoft Entra
	Account_Name + Account_NTDomain	مشابه لـ SamAccountName (مثال: Contoso\Joe)
	Account_Name + Account_UPNSuffix	مشابه لـ UserPrincipalName (مثال: Joe@Contoso.com)
مضيف	Host_HostName + Host_NTDomain	مشابه لاسم المجال المؤهل بالكامل (FQDN)
	Host_HostName + Host_DnsDomain	مشابه لاسم المجال المؤهل بالكامل (FQDN)
	Host_NetBiosName + Host_NTDomain	مشابه لاسم المجال المؤهل بالكامل (FQDN)
	Host_NetBiosName + Host_DnsDomain	مشابه لاسم المجال المؤهل بالكامل (FQDN)
	Host_AzureID	معرف كائن Microsoft Entra للمضيف في معرف Microsoft Entra (إذا انضم مجال Microsoft Entra)
	Host_OMSAgentID	معرف عامل OMS للعامل المثبت على مضيف معين (فريد لكل مضيف)

استناداً إلى الكيان المحدد، سترى المعرفات المتوفرة. سيؤدي النقر فوق المعرفات ذات الصلة إلى لصق المعرف في الاستعلام، عند موقع المؤشر.

إشعار

• يمكن أن يحتوي الاستعلام على ما يصل إلى 10 حقول، لذلك يجب عليك عرض الحقول التي تريدها.

• يجب أن تتضمن الحقول المعروضة الحقل TimeGenerated، من أجل وضع النشاط المكتشف في الخط الزمني للكيان.

SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName

تقديم النشاط في الخط الزمني

من أجل الراحة، قد ترغب في تحديد كيفية تقديم النشاط في الخط الزمني عن طريق إضافة معلمات ديناميكية إلى إخراج النشاط.

يوفر Microsoft Azure Sentinel معلمات مضمنة لاستخدامها، ويمكنك أيضاً استخدام الآخرين استناداً إلى الحقول التي قمت بعرضها في الاستعلام.

استخدم التنسيق التالي للمعلمات الخاصة بك: {{ParameterName}}

بعد أن يجتاز استعلام النشاط التحقق من الصحة ويعرض الارتباط عرض نتائج الاستعلام أسفل نافذة الاستعلام، ستتمكن من توسيع قسم القيم المتوفرة لعرض المعلمات المتاحة لك لاستخدامها عند إنشاء عنوان نشاط ديناميكي.

حدد الأيقونة نسخ بجوار معلمة معينة لنسخ هذه المعلمة إلى الحافظة لديك بحيث يمكنك لصقها في حقل عنوان النشاط أعلاه.

أضف أياً من المعلمات التالية إلى استعلامك:

• أي حقل قمت بعرضه في الاستعلام.

• معرفات الكيان لأي كيانات مذكورة في الاستعلام.

• StartTimeUTC، لإضافة وقت بدء للنشاط، بالتوقيت العالمي المتفق عليه.

• EndTimeUTC، لإضافة وقت انتهاء للنشاط، بالتوقيت العالمي المتفق عليه.

• Count، لتلخيص العديد من مخرجات استعلام KQL في إخراج واحد.

  تضيف المعلمة count الأمر التالي إلى الاستعلام في الخلفية، على الرغم من أنه لم يتم عرضه بالكامل في المحرر:

  Summarize count() by <each parameter you’ve projected in the activity>
  

  بعد ذلك، عند استخدام عامل تصفية حجم المستودع في صفحات الكيان، تتم إضافة الأمر التالي أيضاً إلى الاستعلام الذي يتم تشغيله في الخلفية:

  Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
  

على سبيل المثال:

عندما تكون راضياً عن عنوان النشاط والاستعلام لديك، حدد التالي : مراجعة.

علامة التبويب Review and create

1. تحقق من جميع معلومات التكوين لنشاطك المخصص.

2. عند ظهور رسالة تم تجاوز التحقق من الصحة، انقر فوق إنشاء لإنشاء النشاط. يمكنك تحريره أو تغييره لاحقاً في علامة التبويب الأنشطة الخاصة بي.

إدارة أنشطتك

يمكنك إدارة أنشطتك المخصصة من علامة التبويب الأنشطة الخاصة بي. انقر فوق علامة الحذف (...) في نهاية صف النشاط من أجل:

• تحرير النشاط.
• تكرار النشاط لإنشاء نشاط جديد مختلف قليلاً.
• حذف النشاط.
• تعطيل النشاط (دون حذفه).

عرض الأنشطة في صفحة كيان

كلما قمت بإدخال صفحة كيان، سيتم تشغيل جميع استعلامات النشاط الممكنة لهذا الكيان، ما يوفر لك معلومات محدثة في الخط الزمني للكيان. سترى الأنشطة في الخط الزمني، جنباً إلى جنب مع التنبيهات والإشارات المرجعية.

يمكنك استخدام عامل تصفية محتوى الخط الزمني لتقديم الأنشطة فقط (أو أي مجموعة من الأنشطة والتنبيهات والإشارات المرجعية).

يمكنك أيضاً استخدام عامل تصفية الأنشطة لتقديم أنشطة معينة أو إخفائها.

الخطوات التالية

في هذا المستند، تعلمت كيفية إنشاء أنشطة مخصصة للخطوط الزمنية لصفحة الكيان. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel:

• احصل على الصورة الكاملة على صفحات الكيان.
• تعرف على تحليلات سلوك المستخدم والكيان (UEBA).
• راجع القائمة الكاملة للكيانات والمعرفات.