مشاركة عبر

إنشاء قاعدة تحليلات مجدولة من البداية

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

لقد قمت بإعداد الموصلات والوسائل الأخرى لجمع بيانات النشاط عبر ممتلكاتك الرقمية. الآن تحتاج إلى البحث في كل تلك البيانات للكشف عن أنماط النشاط واكتشاف الأنشطة التي لا تناسب هذه الأنماط والتي يمكن أن تمثل تهديدا أمنيا.

تقدم Microsoft Sentinel وحلولها العديدة المتوفرة في مركز المحتوى قوالب للأنوع الأكثر استخداما من قواعد التحليلات، ويتم تشجيعك بشدة على الاستفادة من هذه القوالب وتخصيصها لتناسب سيناريوهاتك المحددة. ولكن من المحتمل أنك قد تحتاج إلى شيء مختلف تماما، لذلك في هذه الحالة يمكنك إنشاء قاعدة من البداية، باستخدام معالج قاعدة التحليلات.

توضح هذه المقالة عملية إنشاء قاعدة تحليلات من البداية، بما في ذلك استخدام معالج قاعدة التحليلات. ويصاحبه لقطات شاشة واتجاهات للوصول إلى المعالج في كل من مدخل Microsoft Azure، لمستخدمي Microsoft Sentinel الذين ليسوا أيضا مشتركي Microsoft Defender، ومدخل Defender، لمستخدمي النظام الأساسي لعمليات الأمان الموحدة ل Microsoft Defender.

هام

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

المتطلبات الأساسية

  • يجب أن يكون لديك دور Microsoft Sentinel Contributor، أو أي دور أو مجموعة أخرى من الأذونات التي تتضمن أذونات الكتابة على مساحة عمل Log Analytics ومجموعة الموارد الخاصة بها.

  • يجب أن يكون لديك على الأقل دراية أساسية بعلم البيانات وتحليلها ولغة استعلام Kusto.

  • يجب أن تتعرف على معالج قاعدة التحليلات وجميع خيارات التكوين المتوفرة. لمزيد من المعلومات، راجع قواعد التحليلات المجدولة في Microsoft Sentinel.

تصميم استعلامك وبنته

قبل القيام بأي شيء آخر، يجب تصميم وبناء استعلام بلغة Kusto Query Language (KQL) التي ستستخدمها القاعدة للاستعلام عن جدول واحد أو أكثر في مساحة عمل Log Analytics.

  1. حدد مصدر بيانات أو مجموعة من مصادر البيانات التي تريد البحث عنها للكشف عن نشاط غير عادي أو مريب. ابحث عن اسم جدول Log Analytics الذي يتم استيعاب البيانات من تلك المصادر فيه. يمكنك العثور على اسم الجدول على صفحة موصل البيانات لهذا المصدر. استخدم اسم الجدول هذا (أو دالة تستند إليه) كأساس للاستعلام.

  2. حدد نوع التحليل الذي تريد أن يقوم به هذا الاستعلام على الجدول. سيحدد هذا القرار الأوامر والوظائف التي يجب استخدامها في الاستعلام.

  3. حدد عناصر البيانات (الحقول والأعمدة) التي تريدها من نتائج الاستعلام. سيحدد هذا القرار كيفية هيكلة إخراج الاستعلام.

  4. أنشئ استعلاماتك واختبرها في شاشة السجلات . عندما تكون راضيا، احفظ الاستعلام لاستخدامه في القاعدة.

للحصول على بعض النصائح المفيدة لإنشاء استعلامات Kusto، راجع أفضل الممارسات لاستعلامات قواعد التحليلات.

لمزيد من المساعدة في إنشاء استعلامات Kusto، راجع Kusto Query Language في Microsoft Sentinel وأفضل الممارسات لاستعلامات Kusto Query Language.

إنشاء قاعدة التحليلات الخاصة بك

يصف هذا القسم كيفية إنشاء قاعدة باستخدام مداخل Azure أو Defender.

بدء إنشاء قاعدة استعلام مجدولة

للبدء، انتقل إلى صفحة التحليلات في Microsoft Sentinel لإنشاء قاعدة تحليلات مجدولة.

  1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن Configuration، حدد Analytics.
    بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Configuration>Analytics.

  2. حدد +Create وحدد Scheduled query rule.

قم بتسمية القاعدة وتعريف المعلومات العامة

في مدخل Microsoft Azure، يتم تمثيل المراحل بصريا كعلامات تبويب. في مدخل Defender، يتم تمثيلها بصريا كأحداث رئيسية على مخطط زمني.

  1. أدخل المعلومات التالية للقاعدة الخاصة بك.

    الحقل ‏‏الوصف
    الاسم اسم فريد للقاعدة الخاصة بك.
    الوصف وصف نص حر للقاعدة الخاصة بك.
    الخطورة مطابقة تأثير النشاط الذي يؤدي إلى تشغيل القاعدة على البيئة المستهدفة، إذا كانت القاعدة إيجابية حقيقية.

    معلوماتية: لا يوجد أي تأثير على النظام الخاص بك، ولكن قد تكون المعلومات مؤشرا على الخطوات المستقبلية التي يخطط لها أحد أطراف التهديد.
    منخفض: سيكون التأثير الفوري ضئيلا. من المحتمل أن يحتاج الفاعل في التهديد إلى اتخاذ خطوات متعددة قبل تحقيق تأثير على بيئة ما.
    متوسط: يمكن أن يكون لممثل التهديد بعض التأثير على البيئة مع هذا النشاط، ولكنه سيكون محدودا في النطاق أو يتطلب نشاطا إضافيا.
    عال: يوفر النشاط المحدد لممثل التهديد إمكانية وصول واسعة النطاق لإجراء إجراءات على البيئة أو يتم تشغيله بسبب التأثير على البيئة.
    MITRE ATT CK اختر أنشطة التهديد التي تنطبق على القاعدة الخاصة بك. حدد من بين تكتيكات MITRE ATT&CK والتقنيات المقدمة في القائمة المنسدلة. يمكنك إجراء تحديدات متعددة.

    لمزيد من المعلومات حول زيادة تغطية مشهد التهديد MITRE ATT&CK إلى أقصى حد، راجع فهم التغطية الأمنية بواسطة إطار عمل MITRE ATT&CK®.
    الحالة ممكن: يتم تشغيل القاعدة مباشرة عند الإنشاء، أو في التاريخ والوقت المحددين الذين تختار جدولته (حاليا في PREVIEW).
    معطل: يتم إنشاء القاعدة ولكن لا يتم تشغيلها. قم بتمكينه لاحقا من علامة تبويب القواعد النشطة عندما تحتاج إليها.

  2. حدد Next: Set rule logic.

تعريف منطق القاعدة

الخطوة التالية هي تعيين منطق القاعدة الذي يتضمن إضافة استعلام Kusto الذي قمت بإنشائه.

  1. أدخل استعلام القاعدة وتكوين تحسين التنبيه.

    الإعدادات ‏‏الوصف
    استعلام القاعدة الصق الاستعلام الذي قمت بتصميمه وبنائه واختباره في نافذة استعلام القاعدة. يتم التحقق من صحة كل تغيير تجريه في هذه النافذة على الفور، لذلك إذا كانت هناك أي أخطاء، فسترى إشارة أسفل النافذة مباشرة.
    تعيين الكيانات قم بتوسيع تعيين الكيان وحدد ما يصل إلى 10 أنواع كيانات تم التعرف عليها بواسطة Microsoft Sentinel في الحقول في نتائج الاستعلام. يدمج هذا التعيين الكيانات المحددة في حقل Entities في مخطط التنبيه الخاص بك.

    للحصول على إرشادات كاملة حول تعيين الكيانات، راجع تعيين حقول البيانات إلى كيانات في Microsoft Sentinel.
    تفاصيل Surface المخصصة في التنبيهات قم بتوسيع التفاصيل المخصصة وحدد أي حقول في نتائج الاستعلام التي ترغب في ظهورها في تنبيهاتك كالتفاصيل المخصصة. تظهر هذه الحقول في أي حوادث تنتج أيضا.

    للحصول على إرشادات كاملة حول عرض التفاصيل المخصصة، راجع تفاصيل حدث Surface المخصص في التنبيهات في Microsoft Sentinel.
    تخصيص تفاصيل التنبيه قم بتوسيع تفاصيل التنبيه وتخصيص خصائص التنبيه القياسية بخلاف ذلك وفقا لمحتوى الحقول المختلفة في كل تنبيه فردي. على سبيل المثال، قم بتخصيص اسم التنبيه أو الوصف لتضمين اسم مستخدم أو عنوان IP مميز في التنبيه.

    للحصول على إرشادات كاملة حول تخصيص تفاصيل التنبيه، راجع تخصيص تفاصيل التنبيه في Microsoft Sentinel.

  2. جدولة الاستعلام ونطاقه. تعيين المعلمات التالية في قسم جدولة الاستعلام:

    الإعدادات الوصف / الخيارات
    تشغيل الاستعلام كل يتحكم في الفاصل الزمني للاستعلام: عدد مرات تشغيل الاستعلام.
    النطاق المسموح به: من 5 دقائق إلى 14 يوما.
    بيانات البحث من آخر تحديد فترة البحث: الفترة الزمنية التي يغطيها الاستعلام.
    النطاق المسموح به: من 5 دقائق إلى 14 يوما.
    يجب أن يكون أطول من الفاصل الزمني للاستعلام أو مساويا له.
    بدء التشغيل تلقائيا: سيتم تشغيل القاعدة لأول مرة فور إنشائها، وبعد ذلك في الفاصل الزمني للاستعلام.
    في وقت محدد (معاينة): قم بتعيين تاريخ ووقت للقاعدة لتشغيلها لأول مرة، وبعد ذلك سيتم تشغيلها في الفاصل الزمني للاستعلام.
    النطاق المسموح به: من 10 دقائق إلى 30 يوما بعد وقت إنشاء القاعدة (أو التمكين).

  3. تعيين حد إنشاء التنبيهات.

    استخدم قسم حد التنبيه لتحديد مستوى حساسية القاعدة. على سبيل المثال، قم بتعيين حد أدنى يبلغ 100:

    الإعدادات ‏‏الوصف
    إنشاء تنبيه عند عدد نتائج الاستعلام أكبر من
    عدد الأحداث 100

    إذا كنت لا تريد تعيين حد، أدخل 0 في حقل الرقم.

  4. تعيين إعدادات تجميع الأحداث.

    ضمن تجميع الأحداث، اختر إحدى الطريقتين لمعالجة تجميع الأحداث في التنبيهات:

    الإعدادات سلوك
    تجميع جميع الأحداث في تنبيه واحد
    (افتراضي)    		 تنشئ القاعدة تنبيهًا واحدًا في كل مرة يتم تشغيلها، ما دام الاستعلام يرجع نتائج أكثر من حد التنبيه المُحدّد أعلاه. يلخص هذا التنبيه الفردي جميع الأحداث التي تم إرجاعها في نتائج الاستعلام.
    تشغيل تنبيه لكل حدث تنشئ القاعدة تنبيهًا مميزًا لكل حدث يتم إرجاعه بواسطة الاستعلام. يعد هذا مفيدا إذا كنت تريد عرض الأحداث بشكل فردي، أو إذا كنت تريد تجميعها حسب معلمات معينة - حسب المستخدم أو اسم المضيف أو شيء آخر. يمكنك تعريف هذه المعلمات في الاستعلام.

  5. منع قاعدة مؤقتا بعد إنشاء تنبيه.

    لمنع قاعدة تتجاوز وقت التشغيل التالي إذا تم إنشاء تنبيه، قم بتشغيل إعداد إيقاف تشغيل الاستعلام بعد إنشاء التنبيه. إذا قمت بتشغيل هذا، فقم بتعيين إيقاف تشغيل الاستعلام إلى مقدار الوقت الذي يجب أن يتوقف فيه الاستعلام عن التشغيل، حتى 24 ساعة.

  6. محاكاة نتائج الاستعلام وإعدادات المنطق.

    في منطقة محاكاة النتائج، حدد Test with current data لمعرفة الشكل الذي ستبدو عليه نتائج القاعدة إذا كانت قيد التشغيل على بياناتك الحالية. يحاكي Microsoft Sentinel تشغيل القاعدة 50 مرة على البيانات الحالية، باستخدام الجدول المحدد، ويعرض لك رسما بيانيا للنتائج (أحداث السجل). إذا قمت بتعديل الاستعلام، فحدّد إجراء الاختبار باستخدام البيانات الحالية مرة أخرى لتحديث الرسم البياني. يعرض الرسم البياني عدد النتائج خلال الفترة الزمنية المحددة بواسطة الإعدادات في قسم جدولة الاستعلام.

  7. حدد Next: Incident settings.

تكوين إعدادات إنشاء الحدث

في علامة التبويب إعدادات الحدث ، اختر ما إذا كان Microsoft Sentinel يحول التنبيهات إلى حوادث قابلة للتنفيذ، وما إذا كانت التنبيهات مجمعة معا في الحوادث وكيفية تجميعها.

  1. تمكين إنشاء الحدث.

    في قسم إعدادات الحدث، يتم تعيين إنشاء حوادث من التنبيهات التي تم تشغيلها بواسطة قاعدة التحليلات بشكل افتراضي إلى مُمكّن، مما يعني أن Microsoft Sentinel سينشئ حدثًا واحدًا، منفصلاً عن كل تنبيه يتم تشغيله بواسطة القاعدة.

    • إذا كنت لا تريد أن ينتج عن هذه القاعدة إنشاء أي حوادث (على سبيل المثال، إذا كان الغرض هذه القاعدة جمع المعلومات فقط للتحليل اللاحق)، فقم بتعيينها إلى مُعطّل.

      هام

      إذا قمت بإلحاق Microsoft Sentinel بالنظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender، فاترك هذا الإعداد ممكن.

    • إذا كنت تريد إنشاء حدث واحد من مجموعة من التنبيهات، بدلاً من حادث واحد لكل تنبيه واحد، فراجع القسم التالي.

  2. تعيين إعدادات تجميع التنبيهات.

    في قسم تجميع التنبيهات، إذا كنت تريد إنشاء حدث واحد من مجموعة تصل إلى 150 تنبيهًا مشابهًا أو متكررًا (راجع الملاحظة)، فقم بتعيين تجميع التنبيهات المرتبطة، التي تم تشغيلها بواسطة قاعدة التحليلات، في أحداثٍ إلى مُمكّن، وقم بتعيين المعلمات التالية.

    1. قصر المجموعة على التنبيهات التي تم إنشاؤها ضمن الإطار الزمني المحدد: قم بتعيين الإطار الزمني الذي يتم فيه تجميع التنبيهات المماثلة أو المتكررة معا. تنشئ التنبيهات خارج هذا الإطار الزمني حادثا منفصلا أو مجموعة من الحوادث.

    2. تجميع التنبيهات التي تم تشغيلها بواسطة قاعدة التحليلات هذه في حادث واحد عن طريق: اختر كيفية تجميع التنبيهات معا:

      خيار ‏‏الوصف
      تجميع التنبيهات في حدث واحد إذا تطابقت كافة الكيانات⁧ يتم تجميع التنبيهات معًا إذا كانت تشترك في قيم متطابقة لكل من الكيانات المعينة (المحدّدة في علامة التبويب تعيين منطق القاعدة الموجود أعلاه). يوصى باستخدام هذا الإعداد.
      تجميع كافة التنبيهات التي تم تشغيلها بواسطة هذه القاعدة في حدث واحد⁧ يتم تجميع جميع التنبيهات التي تم إنشاؤها بواسطة هذه القاعدة معًا حتى وإن لم تشترك في قيم متطابقة.
      تجميع التنبيهات في حادث واحد إذا تطابقت الكيانات والتفاصيل المُحدّدة يتم تجميع التنبيهات معًا إذا كانت تشترك في قيم متطابقة لجميع الكيانات المعينة، وتفاصيل التنبيه، والتفاصيل المخصصة المحدّدة من القوائم المنسدلة المعنية.

    3. إعادة فتح الحوادث المغلقة المتطابقة: إذا تم حل حادث وإغلاقه، وتم إنشاء تنبيه آخر لاحقًا ينبغي انتماؤه إلى هذا الحدث، فقم بتعيين هذا الإعداد إلى مُمكّن إذا كنت تريد إعادة فتح الحدث المغلق، واتركه مُعطّلاً إذا كنت تريد أن ينشئ التنبيه حدثًا جديدًا.

    إشعار

    يمكن تجميع ما يصل إلى 150 تنبيهًا في حادث واحد.

    • لن يتم إنشاء الحدث إلا بعد إنشاء جميع التنبيهات. ستتم إضافة جميع التنبيهات إلى الحدث فور إنشائه.

    • إذا تم إنشاء أكثر من 150 تنبيهًا بواسطة قاعدة تجمعها في حادث واحد، فسيتم إنشاء حادث جديد بتفاصيل الحادث نفسه الأصلي، وسيتم تجميع التنبيهات الزائدة في الحدث الجديد.

  3. حدد Next: Automated response.

مراجعة الاستجابات التلقائية أو إضافتها

  1. في علامة التبويب الردود التلقائية ، راجع قواعد التنفيذ التلقائي المعروضة في القائمة. إذا كنت ترغب في إضافة أي استجابات غير مشمولة بالفعل بالقواعد الموجودة، فلديك خياران:

    • قم بتحرير قاعدة موجودة إذا كنت تريد تطبيق الاستجابة المضافة على العديد من القواعد أو جميعها.
    • حدد إضافة جديد لإنشاء قاعدة أتمتة جديدة تنطبق فقط على قاعدة التحليلات هذه.

    لمعرفة المزيد حول ما يمكنك استخدام قواعد الأتمتة له، راجع أتمتة الاستجابة للمخاطر في Microsoft Sentinel باستخدام قواعد الأتمتة

    • ضمن أتمتة التنبيه (الكلاسيكية) في أسفل الشاشة، سترى أي أدلة مبادئ قمت بتكوينها للتشغيل تلقائيا عند إنشاء تنبيه باستخدام الأسلوب القديم.

      • اعتبارا من يونيو 2023، لم يعد بإمكانك إضافة أدلة المبادئ إلى هذه القائمة. ستستمر أدلة المبادئ المدرجة هنا في التشغيل حتى يتم إهمال هذا الأسلوب، اعتبارا من مارس 2026.

      • إذا كان لا يزال لديك أي أدلة مبادئ مدرجة هنا، فيجب عليك بدلا من ذلك إنشاء قاعدة أتمتة استنادا إلى مشغل التنبيه الذي تم إنشاؤه واستدعاء دليل المبادئ من قاعدة التنفيذ التلقائي. بعد القيام بذلك، حدد علامة الحذف في نهاية سطر دليل المبادئ المدرج هنا، وحدد إزالة. راجع ترحيل أدلة مبادئ مشغل تنبيه Microsoft Sentinel إلى قواعد التشغيل التلقائي للحصول على إرشادات كاملة.

  1. حدد Next: Review and create لمراجعة جميع الإعدادات لقاعدة التحليلات الجديدة.

التحقق من صحة التكوين وإنشاء القاعدة

  1. عند ظهور رسالة "Validation passed"، حدد Create.

  2. إذا ظهر خطأ بدلا من ذلك، فابحث عن X الأحمر وحدده على علامة التبويب في المعالج حيث حدث الخطأ.

  3. قم بتصحيح الخطأ والعودة إلى علامة التبويب Review and create لتشغيل التحقق من الصحة مرة أخرى.

عرض القاعدة وإنتاجها

عرض تعريف القاعدة

يمكنك العثور عن قاعدة النوع المخصصة التي جرى إنشاؤها حديثاً (من النوع «المُجدوَّل») في الجدول ضمن علامة التبويب القواعد النشطة على شاشة التحليلات الرئيسية. من هذه القائمة، يمكنك تمكين كل قاعدة، أو تعطيلها، أو حذفها.

عرض نتائج القاعدة

لعرض نتائج قواعد التحليلات التي تقوم بإنشائها في مدخل Microsoft Azure، انتقل إلى صفحة الحوادث ، حيث يمكنك فرز الحوادث والتحقيق فيها ومعالجة التهديدات.

لقطة شاشة لصفحة الحوادث في مدخل Microsoft Azure.

ضبط القاعدة

إشعار

تتوفر التنبيهات التي تم إنشاؤها في Microsoft Sentinel من خلال Microsoft Graph Security. لمزيد من المعلومات، راجع وثائق تنبيهات الأمان لدى Microsoft Graph.

تصدير القاعدة إلى قالب ARM

إذا كنت تريد تعبئة القاعدة الخاصة بك ليتم إدارتها ونشرها كتعليمة برمجية، يمكنك بسهولة تصدير القاعدة إلى قالب Azure Resource Manager (ARM). يمكنك أيضًا استيراد القواعد من ملفات القالب لعرضها وتحريرها في واجهة المستخدم.

الخطوات التالية

عند استخدام قواعد التحليلات للكشف عن التهديدات من Microsoft Sentinel، تأكد من تمكين جميع القواعد المقترنة بمصادر البيانات المتصلة لضمان تغطية الأمان الكاملة للبيئة الخاصة بك.

لأتمتة تمكين القواعد، ادفع القواعد إلى Microsoft Sentinel عبر واجهة برمجة التطبيقات وPowerShell، على الرغم من أن القيام بذلك يتطلب جهدا إضافيا. عند استخدام API أو PowerShell، يجب أولًا تصدير القواعد إلى JSON قبل تمكين القواعد. قد تكون «واجهة برمجة التطبيقات» أو PowerShell ذات نفع عند تمكين القواعد في مثيلات متعددة من Microsoft Sentinel باستخدام إعدادات متطابقة في كل مثيل.

لمزيد من المعلومات، راجع:

كذلك، تعلم من مثال استخدام قواعد التحليلات المخصصة عند توسيع المراقبة باستخدام مُوصّل مخصص.