إنشاء قاعدة تحليلات مخصصة من البداية

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

لقد قمت بإعداد الموصلات والوسائل الأخرى لجمع بيانات النشاط عبر ممتلكاتك الرقمية. الآن تحتاج إلى البحث في كل تلك البيانات للكشف عن أنماط النشاط واكتشاف الأنشطة التي لا تناسب هذه الأنماط والتي يمكن أن تمثل تهديدا أمنيا.

تقدم Microsoft Sentinel وحلولها العديدة المتوفرة في مركز المحتوى قوالب للأنوع الأكثر استخداما من قواعد التحليلات، ويتم تشجيعك بشدة على الاستفادة من هذه القوالب وتخصيصها لتناسب سيناريوهاتك المحددة. ولكن من المحتمل أنك قد تحتاج إلى شيء مختلف تماما، لذلك في هذه الحالة يمكنك إنشاء قاعدة من البداية، باستخدام معالج قاعدة التحليلات.

ترشدك هذه المقالة خلال معالج قاعدة التحليلات وتشرح جميع الخيارات المتاحة. ويصاحبه لقطات شاشة واتجاهات للوصول إلى المعالج في كل من مدخل Microsoft Azure، لمستخدمي Microsoft Sentinel الذين ليسوا أيضا مشتركي Microsoft Defender، ومدخل Defender، لمستخدمي النظام الأساسي لعمليات الأمان الموحدة ل Microsoft Defender.

هام

يتوفر Microsoft Sentinel كجزء من المعاينة العامة للنظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

المتطلبات الأساسية

  • يجب أن يكون لديك دور Microsoft Sentinel Contributor، أو أي دور أو مجموعة أخرى من الأذونات التي تتضمن أذونات الكتابة على مساحة عمل Log Analytics ومجموعة الموارد الخاصة بها.

تصميم استعلامك وبنته

قبل القيام بأي شيء آخر، يجب تصميم وبناء استعلام بلغة Kusto Query Language (KQL) التي ستستخدمها القاعدة للاستعلام عن جدول واحد أو أكثر في مساحة عمل Log Analytics.

  1. حدد مصدر بيانات تريد البحث عنه للكشف عن نشاط غير عادي أو مريب. ابحث عن اسم جدول Log Analytics الذي يتم استيعاب البيانات من هذا المصدر فيه. يمكنك العثور على اسم الجدول على صفحة موصل البيانات لهذا المصدر. استخدم اسم الجدول هذا (أو دالة تستند إليه) كأساس للاستعلام.

  2. حدد نوع التحليل الذي تريد أن يقوم به هذا الاستعلام على الجدول. سيحدد هذا القرار الأوامر والوظائف التي يجب استخدامها في الاستعلام.

  3. حدد عناصر البيانات (الحقول والأعمدة) التي تريدها من نتائج الاستعلام. سيحدد هذا القرار كيفية هيكلة إخراج الاستعلام.

أفضل الممارسات لاستعلامات قاعدة التحليلات

  • يوصى باستخدام محلل نموذج معلومات الأمان المتقدم (ASIM) كمصدر استعلام، بدلا من استخدام جدول أصلي. سيضمن هذا أن الاستعلام يدعم أي مصدر بيانات حالي أو مستقبلي ذي صلة أو مجموعة من مصادر البيانات، بدلا من الاعتماد على مصدر بيانات واحد.

  • يجب أن يتراوح طول الاستعلام بين 1 و10,000 حرف ولا يجب أن يتضمن "search *" أو "union *". يمكنك استخدام الدالات المُعرّفة من قبل المستخدم لحل مسألة القيود على طول الاستعلام.

  • إن استخدام دالات ADX لإنشاء استعلامات Azure Data Explorer داخل نافذة استعلام Log Analytics غير مدعوم.

  • باستخدام الدالة bag_unpack في الاستعلام، إذا قمت بإنشاء أعمدة المشروع كحقول باستخدام "project field1" ولا وجود للعمود، فسيفشل الاستعلام. للحماية من حدوث ذلك، يجب إنشاء عمود المشروع كما يلي:

    project field1 = column_ifexists("field1","")

لمزيد من المساعدة في إنشاء استعلامات Kusto، راجع Kusto Query Language في Microsoft Sentinel وأفضل الممارسات لاستعلامات Kusto Query Language.

أنشئ استعلاماتك واختبرها في شاشة السجلات . عندما تكون راضيا، احفظ الاستعلام لاستخدامه في القاعدة.

إنشاء قاعدة التحليلات الخاصة بك

يصف هذا القسم كيفية إنشاء قاعدة باستخدام مداخل Azure أو Defender.

بدء معالج قاعدة التحليلات

  1. من قسم Configuration في قائمة التنقل في Microsoft Sentinel، حدد Analytics.

  2. في شريط الإجراءات في الأعلى، حدّد + إنشاء وحدّد قاعدة استعلام مجدولة. يفتح هذا معالج قاعدة التحليلات.

    لقطة شاشة لشاشة التحليلات في مدخل Microsoft Azure.

قم بتسمية القاعدة وتعريف المعلومات العامة

في مدخل Microsoft Azure، يتم تمثيل المراحل بصريا كعلامات تبويب. في مدخل Defender، يتم تمثيلها بصريا كأحداث رئيسية على مخطط زمني. راجع لقطات الشاشة أدناه للحصول على أمثلة.

  1. أدخل اسمًا مميزًا ووصفًا.

  2. تعيين خطورة التنبيه حسب الاقتضاء، ومطابقة تأثير النشاط الذي يؤدي إلى تشغيل القاعدة على البيئة المستهدفة، إذا كانت القاعدة إيجابية حقيقية.

    الأهمية ‏‏الوصف
    اعلاميه لا يوجد أي تأثير على النظام الخاص بك، ولكن قد تكون المعلومات مؤشرا على الخطوات المستقبلية التي يخطط لها أحد أطراف التهديد.
    منخفضه وسيكون التأثير الفوري ضئيلا. من المحتمل أن يحتاج الفاعل في التهديد إلى اتخاذ خطوات متعددة قبل تحقيق تأثير على بيئة ما.
    المتوسطه يمكن أن يكون لممثل التهديد بعض التأثير على البيئة مع هذا النشاط، ولكنه سيكون محدودا من حيث النطاق أو يتطلب نشاطا إضافيا.
    عاليه ويوفر النشاط المحدد لممثل التهديد إمكانية وصول واسعة النطاق لإجراء إجراءات على البيئة أو يتم تشغيله بسبب التأثير على البيئة.

    لا تعد الإعدادات الافتراضية لمستوى الخطورة ضمانا لمستوى التأثير الحالي أو البيئي. تخصيص تفاصيل التنبيه لتخصيص الخطورة والتكتيكات والخصائص الأخرى لمثيل معين من التنبيه بقيم أي حقول ذات صلة من إخراج استعلام.

    تعد تعريفات الخطورة لقوالب قواعد تحليلات Microsoft Sentinel ذات صلة فقط بالتنبيهات التي تم إنشاؤها بواسطة قواعد التحليلات. بالنسبة للتنبيهات التي تم تناولها من خدمات أخرى، يتم تحديد الخطورة بواسطة خدمة أمان المصدر.

  3. في حقل التكتيكات والتقنيات ، يمكنك الاختيار من بين فئات أنشطة التهديد التي يتم من خلالها تصنيف القاعدة. وتستند هذه إلى تكتيكات وتقنيات إطار عمل MITRE ATT&CK .

    ترث الحوادث التي تم إنشاؤها من التنبيهات التي يتم الكشف عنها بواسطة القواعد المعينة لتكتيكات وتقنيات MITRE ATT&CK تعيين القاعدة تلقائيا.

    لمزيد من المعلومات حول زيادة تغطية مشهد التهديد MITRE ATT&CK، راجع فهم التغطية الأمنية بواسطة إطار عمل MITRE ATT&CK®

  4. عند إعداد القاعدة، تكون حالتهامُمكّنة بشكل افتراضي، مما يعني أنها سيتم تشغيلها مباشرةً بعد الانتهاء من إنشائها. إذا كنت لا تريد تشغيلها على الفور، فحدّد مُعطّل، وستتم إضافة القاعدة إلى علامة تبويب القواعد النشطة ويمكنك تمكينها من هناك عندما تحتاج إليها.

    إشعار

    هناك طريقة أخرى، قيد المعاينة حاليا، لإنشاء قاعدة دون تشغيلها على الفور. يمكنك جدولة القاعدة للتشغيل أولا في تاريخ ووقت محددين. راجع جدولة الاستعلام أدناه ونطاقه.

  5. حدد Next: Set rule logic.

تعريف منطق القاعدة

  1. أدخل استعلاما للقاعدة الخاصة بك.

    الصق الاستعلام الذي قمت بتصميمه وبنائه واختباره في نافذة استعلام القاعدة. يتم التحقق من صحة كل تغيير تجريه في هذه النافذة على الفور، لذلك إذا كانت هناك أي أخطاء، فسترى إشارة أسفل النافذة مباشرة.

  2. تعيين الكيانات.

    الكيانات ضرورية للكشف عن التهديدات والتحقيق فيها. قم بتعيين أنواع الكيانات التي تعرف عليها Microsoft Sentinel على الحقول في نتائج الاستعلام. يدمج هذا التعيين الكيانات المكتشفة في حقل Entities في مخطط التنبيه الخاص بك.

    للحصول على إرشادات كاملة حول تعيين الكيانات، راجع تعيين حقول البيانات إلى كيانات في Microsoft Sentinel.

  3. تفاصيل Surface المخصصة في التنبيهات.

    بشكل افتراضي، تكون كيانات التنبيه وبيانات التعريف فقط مرئية في الحوادث دون التنقل لأسفل في الأحداث الأولية في نتائج الاستعلام. تأخذ هذه الخطوة حقولا أخرى في نتائج الاستعلام وتدمجها في الحقل ExtendedProperties في التنبيهات الخاصة بك، مما يؤدي إلى عرضها مقدما في التنبيهات الخاصة بك، وفي أي حوادث تم إنشاؤها من هذه التنبيهات.

    للحصول على إرشادات كاملة حول عرض التفاصيل المخصصة، راجع تفاصيل حدث Surface المخصص في التنبيهات في Microsoft Sentinel.

  4. تخصيص تفاصيل التنبيه.

    يسمح لك هذا الإعداد بتخصيص خصائص التنبيه القياسية بخلاف ذلك وفقا لمحتوى الحقول المختلفة في كل تنبيه فردي. يتم دمج هذه التخصيصات في حقل ExtendedProperties في التنبيهات الخاصة بك. على سبيل المثال، يمكنك تخصيص اسم التنبيه أو الوصف لتضمين اسم مستخدم أو عنوان IP مميز في التنبيه.

    للحصول على إرشادات كاملة حول تخصيص تفاصيل التنبيه، راجع تخصيص تفاصيل التنبيه في Microsoft Sentinel.

  5. جدولة الاستعلام ونطاقه.

    1. تعيين المعلمات التالية في قسم جدولة الاستعلام:

      الإعدادات سلوك
      تشغيل الاستعلام كل يتحكم في الفاصل الزمني للاستعلام: عدد مرات تشغيل الاستعلام.
      بيانات البحث من آخر تحديد فترة البحث: الفترة الزمنية التي يغطيها الاستعلام.

      • يتراوح النطاق المسموح به لكل من هذه المعلمات من 5 دقائق إلى 14 يوما.

      • يجب أن يكون الفاصل الزمني للاستعلام أقصر من فترة البحث أو مساويا لها. إذا كانت أقصر، ستتداخل فترات الاستعلام وقد يؤدي ذلك إلى بعض الازدواجية في النتائج. لن يسمح لك التحقق من صحة القاعدة بتعيين فاصل زمني أطول من فترة البحث، على الرغم من أن ذلك سيؤدي إلى وجود فجوات في التغطية الخاصة بك.

    2. تعيين بدء التشغيل:

      الإعدادات سلوك
      تلقائيا سيتم تشغيل القاعدة لأول مرة فور إنشائها، وبعد ذلك في الفاصل الزمني المحدد في تشغيل الاستعلام كل إعداد.
      في وقت محدد (معاينة) قم بتعيين تاريخ ووقت للقاعدة لتشغيلها لأول مرة، وبعد ذلك سيتم تشغيلها في الفاصل الزمني المحدد في إعداد تشغيل الاستعلام كل .

      • يجب أن يتراوح وقت بدء التشغيل بين 10 دقائق و30 يوما بعد وقت إنشاء القاعدة (أو التمكين).

      • يلخص سطر النص ضمن إعداد بدء التشغيل (مع أيقونة المعلومات على يساره) إعدادات جدولة الاستعلام الحالية والبحث.

        لقطة شاشة لتبديل الجدولة المتقدمة والإعدادات.

    إشعار

    تأخير الاستيعاب

    لحساب زمن الانتقال الذي قد يحدث بين جيل الحدث في المصدر واستيعابه في Microsoft Sentinel، ولضمان التغطية الكاملة دون تكرار البيانات، يقوم Microsoft Sentinel بتشغيل قواعد التحليلات المجدولة بتأخير مدته خمس دقائق من الوقت المجدول.

    لمزيد من المعلومات، راجع معالجة تأخير الاستيعاب في قواعد التحليلات المجدولة.

  6. تعيين حد إنشاء التنبيهات.

    استخدم قسم حد التنبيه لتحديد مستوى حساسية القاعدة.

    • قم بتعيين إنشاء تنبيه عندما يكون عدد نتائجالاستعلام أكبر من، وأدخل الحد الأدنى لعدد الأحداث التي تحتاج إلى العثور عليها خلال الفترة الزمنية للاستعلام للقاعدة لإنشاء تنبيه.
    • هذا حقل مطلوب، لذلك إذا كنت لا تريد تعيين حد - أي إذا كنت تريد تشغيل التنبيه لحدث واحد حتى في فترة زمنية معينة - فأدخل 0 في حقل الرقم.

  7. تعيين إعدادات تجميع الأحداث.

    ضمن تجميع الأحداث، اختر إحدى الطريقتين لمعالجة تجميع الأحداث في التنبيهات:

    الإعدادات سلوك
    تجميع جميع الأحداث في تنبيه واحد
    (افتراضي)    		 تنشئ القاعدة تنبيهًا واحدًا في كل مرة يتم تشغيلها، ما دام الاستعلام يرجع نتائج أكثر من حد التنبيه المُحدّد أعلاه. يلخص هذا التنبيه الفردي جميع الأحداث التي تم إرجاعها في نتائج الاستعلام.
    تشغيل تنبيه لكل حدث تنشئ القاعدة تنبيهًا مميزًا لكل حدث يتم إرجاعه بواسطة الاستعلام. يعد هذا مفيدا إذا كنت تريد عرض الأحداث بشكل فردي، أو إذا كنت تريد تجميعها حسب معلمات معينة - حسب المستخدم أو اسم المضيف أو شيء آخر. يمكنك تعريف هذه المعلمات في الاستعلام.

    يمكن لقواعد التحليلات إنشاء ما يصل إلى 150 تنبيها. إذا تم تعيين تجميع الأحداث إلى تشغيل تنبيه لكل حدث، وأرجع استعلام القاعدة أكثر من 150 حدثا، فسينشئ كل حدث من الأحداث ال 149 الأولى تنبيها فريدا (ل 149 تنبيها)، وسيلخص التنبيه 150 المجموعة بأكملها من الأحداث التي تم إرجاعها. بمعنى آخر، التنبيه 150 هو ما كان سيتم إنشاؤه إذا تم تعيين تجميع الأحداث إلى تجميع جميع الأحداث في تنبيه واحد.

  8. منع قاعدة مؤقتا بعد إنشاء تنبيه.

    في قسم المنع، يمكنك تشغيل إعدادإيقاف تشغيل الاستعلام بعد إنشاء التنبيهفي حالة رغبتك، بمجرد تلقي التنبيه، في تعليق تشغيل هذه القاعدة لفترة زمنية تتجاوز الفاصل الزمني للاستعلام. إذا قمت بتشغيله، يجب تعيين إيقاف تشغيل الاستعلام إلى مقدار الوقت الذي يجب أن يتوقف فيه الاستعلام عن التشغيل، حتى 24 ساعة.

  9. محاكاة نتائج الاستعلام وإعدادات المنطق.

    في منطقة محاكاة النتائج، حدد اختبار مع البيانات الحالية وسيعرض لك Microsoft Sentinel رسما بيانيا للنتائج (أحداث السجل) التي كان الاستعلام سينشأها على مدى آخر 50 مرة كان سيتم تشغيلها، وفقا للجدول الزمني المحدد حاليا. إذا قمت بتعديل الاستعلام، فحدّد إجراء الاختبار باستخدام البيانات الحالية مرة أخرى لتحديث الرسم البياني. يعرض الرسم البياني عدد النتائج خلال الفترة الزمنية المحددة، ويتم تحديدها بواسطة الإعدادات في قسم جدولة الاستعلام.

    إليك ما قد تبدو عليه محاكاة النتائج عند الاستعلام في لقطة الشاشة الموجودة أعلاه. إن الجانب الأيسر هو طريقة العرض الافتراضية، والجانب الأيمن هو ما تراه عند المرور فوق نقطة زمنية على الرسم البياني.

    لقطات الشاشة لمحاكاة النتائج

    إذا رأيت أن الاستعلام الخاص بك قد يؤدي إلى تنبيهات كثيرة جدا أو متكررة جدا، يمكنك تجربة الإعدادات في قسمي جدولة الاستعلام وحد التنبيه وتحديد اختبار مع البيانات الحالية مرة أخرى.

  10. حدد Next: Incident settings.

تكوين إعدادات إنشاء الحدث

في علامة التبويب إعدادات الحدث ، اختر ما إذا كان Microsoft Sentinel يحول التنبيهات إلى حوادث قابلة للتنفيذ، وما إذا كانت التنبيهات مجمعة معا في الحوادث وكيفية تجميعها.

  1. تمكين إنشاء الحدث.

    في قسم إعدادات الحدث، يتم تعيين إنشاء حوادث من التنبيهات التي تم تشغيلها بواسطة قاعدة التحليلات بشكل افتراضي إلى مُمكّن، مما يعني أن Microsoft Sentinel سينشئ حدثًا واحدًا، منفصلاً عن كل تنبيه يتم تشغيله بواسطة القاعدة.

    • إذا كنت لا تريد أن ينتج عن هذه القاعدة إنشاء أي حوادث (على سبيل المثال، إذا كان الغرض هذه القاعدة جمع المعلومات فقط للتحليل اللاحق)، فقم بتعيينها إلى مُعطّل.

      هام

      إذا قمت بإلحاق Microsoft Sentinel بالنظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender، وكانت هذه القاعدة تقوم بالاستعلام عن التنبيهات وإنشاءها من مصادر Microsoft 365 أو Microsoft Defender، يجب تعيين هذا الإعداد إلى معطل.

    • إذا كنت تريد إنشاء حدث واحد من مجموعة من التنبيهات، بدلاً من حادث واحد لكل تنبيه واحد، فراجع القسم التالي.

  2. تعيين إعدادات تجميع التنبيهات.

    في قسم تجميع التنبيهات، إذا كنت تريد إنشاء حدث واحد من مجموعة تصل إلى 150 تنبيهًا مشابهًا أو متكررًا (راجع الملاحظة)، فقم بتعيين تجميع التنبيهات المرتبطة، التي تم تشغيلها بواسطة قاعدة التحليلات، في أحداثٍ إلى مُمكّن، وقم بتعيين المعلمات التالية.

    1. اقتصار المجموعة على التنبيهات التي تم إنشاؤها ضمن الإطار الزمني المُحدّد: حدّد الإطار الزمني الذي سيتم فيه تجميع التنبيهات المماثلة أو المتكررة معًا. ستنشئ جميع التنبيهات المقابلة ضمن هذا الإطار الزمني إجمالاً حادثًا أو مجموعة من الحوادث (اعتمادًا على إعدادات التجميع الموجودة أدناه). ستنشئ التنبيهات خارج هذا الإطار الزمني حادثًا منفصلاً أو مجموعة من الحوادث.

    2. تجميع التنبيهات التي يتم تشغيلها بواسطة قاعدة التحليلات في حادث واحد عن طريق: اختر الأساس الذي سيتم تجميع التنبيهات عليه معًا:

      خيار ‏‏الوصف
      تجميع التنبيهات في حدث واحد إذا تطابقت كافة الكيانات⁧ يتم تجميع التنبيهات معًا إذا كانت تشترك في قيم متطابقة لكل من الكيانات المعينة (المحدّدة في علامة التبويب تعيين منطق القاعدة الموجود أعلاه). يوصى باستخدام هذا الإعداد.
      تجميع كافة التنبيهات التي تم تشغيلها بواسطة هذه القاعدة في حدث واحد⁧ يتم تجميع جميع التنبيهات التي تم إنشاؤها بواسطة هذه القاعدة معًا حتى وإن لم تشترك في قيم متطابقة.
      تجميع التنبيهات في حادث واحد إذا تطابقت الكيانات والتفاصيل المُحدّدة يتم تجميع التنبيهات معًا إذا كانت تشترك في قيم متطابقة لجميع الكيانات المعينة، وتفاصيل التنبيه، والتفاصيل المخصصة المحدّدة من القوائم المنسدلة المعنية.

      قد ترغب في استخدام هذا الإعداد إذا كنت تريد، على سبيل المثال، إنشاء حوادث منفصلة استنادًا إلى عناوين IP المصدر أو الهدف، أو إذا كنت تريد تجميع التنبيهات التي تطابق كيانًا ومستوى خطورة معينين.

      ملاحظة: عند تحديد هذا الخيار، يجب أن يكون لديك نوع كيان أو حقل واحد على الأقل مُحدّد للقاعدة. وإلا، سيفشل التحقق من صحة القاعدة ولن يتم إنشاء القاعدة.

    3. إعادة فتح الحوادث المغلقة المتطابقة: إذا تم حل حادث وإغلاقه، وتم إنشاء تنبيه آخر لاحقًا ينبغي انتماؤه إلى هذا الحدث، فقم بتعيين هذا الإعداد إلى مُمكّن إذا كنت تريد إعادة فتح الحدث المغلق، واتركه مُعطّلاً إذا كنت تريد أن ينشئ التنبيه حدثًا جديدًا.

    إشعار

    يمكن تجميع ما يصل إلى 150 تنبيهًا في حادث واحد.

    • لن يتم إنشاء الحدث إلا بعد إنشاء جميع التنبيهات. ستتم إضافة جميع التنبيهات إلى الحدث فور إنشائه.

    • إذا تم إنشاء أكثر من 150 تنبيهًا بواسطة قاعدة تجمعها في حادث واحد، فسيتم إنشاء حادث جديد بتفاصيل الحادث نفسه الأصلي، وسيتم تجميع التنبيهات الزائدة في الحدث الجديد.

  3. حدد Next: Automated response.

تعيين الاستجابات التلقائية وإنشاء القاعدة

في علامة التبويب الردود التلقائية، يمكنك استخدام قواعد الأتمتة لتعيين الاستجابات التلقائية لتحدث في أي من ثلاثة أنواع من المناسبات:

  • عند إنشاء تنبيه بواسطة قاعدة التحليلات هذه.
  • عند إنشاء حادث من التنبيهات التي تم إنشاؤها بواسطة قاعدة التحليلات هذه.
  • عند تحديث حدث بتنبيهات تم إنشاؤها بواسطة قاعدة التحليلات هذه.

تعرض الشبكة المعروضة ضمن قواعد التنفيذ التلقائي قواعد التشغيل التلقائي التي تنطبق بالفعل على قاعدة التحليلات هذه (بحكم أنها تفي بالشروط المحددة في تلك القواعد). يمكنك تحرير أي من هذه عن طريق تحديد اسم القاعدة أو علامة الحذف في نهاية كل صف. أو يمكنك تحديد إضافة جديد لإنشاء قاعدة أتمتة جديدة.

استخدم قواعد الأتمتة لتنفيذ الفرز الأساسي والتعيين وسير العمل وإغلاق الحوادث.

أتمتة المهام الأكثر تعقيدا واستدعاء الاستجابات من الأنظمة البعيدة لمعالجة التهديدات عن طريق استدعاء أدلة المبادئ من قواعد الأتمتة هذه. يمكنك استدعاء أدلة المبادئ للحوادث وكذلك للتنبيهات الفردية.

  • ضمن أتمتة التنبيه (الكلاسيكية) في أسفل الشاشة، سترى أي أدلة مبادئ قمت بتكوينها للتشغيل تلقائيا عند إنشاء تنبيه باستخدام الأسلوب القديم.

    • اعتبارا من يونيو 2023، لم يعد بإمكانك إضافة أدلة المبادئ إلى هذه القائمة. ستستمر أدلة المبادئ المدرجة هنا في التشغيل حتى يتم إهمال هذا الأسلوب، اعتبارا من مارس 2026.

    • إذا كان لا يزال لديك أي أدلة مبادئ مدرجة هنا، فيجب عليك بدلا من ذلك إنشاء قاعدة أتمتة استنادا إلى مشغل التنبيه الذي تم إنشاؤه واستدعاء دليل المبادئ من قاعدة التنفيذ التلقائي. بعد القيام بذلك، حدد علامة الحذف في نهاية سطر دليل المبادئ المدرج هنا، وحدد إزالة. راجع ترحيل أدلة مبادئ مشغل تنبيه Microsoft Sentinel إلى قواعد التشغيل التلقائي للحصول على إرشادات كاملة.

حدد Next: Review and create لمراجعة جميع الإعدادات لقاعدة التحليلات الجديدة. عند ظهور رسالة "Validation passed"، حدد Create.

عرض القاعدة وإنتاجها

عرض تعريف القاعدة:

  • يمكنك العثور عن قاعدة النوع المخصصة التي جرى إنشاؤها حديثاً (من النوع «المُجدوَّل») في الجدول ضمن علامة التبويب القواعد النشطة على شاشة التحليلات الرئيسية. من هذه القائمة، يمكنك تمكين كل قاعدة، أو تعطيلها، أو حذفها.

عرض نتائج القاعدة:

  • لعرض نتائج قواعد التحليلات التي تقوم بإنشائها في مدخل Microsoft Azure، انتقل إلى صفحة الحوادث ، حيث يمكنك فرز الحوادث والتحقيق فيها ومعالجة التهديدات.

ضبط القاعدة:

إشعار

تتوفر التنبيهات التي تم إنشاؤها في Microsoft Sentinel من خلال Microsoft Graph Security. لمزيد من المعلومات، راجع وثائق تنبيهات الأمان لدى Microsoft Graph.

تصدير القاعدة إلى قالب ARM

إذا كنت تريد تعبئة القاعدة الخاصة بك ليتم إدارتها ونشرها كتعليمة برمجية، يمكنك بسهولة تصدير القاعدة إلى قالب Azure Resource Manager (ARM). يمكنك أيضًا استيراد القواعد من ملفات القالب لعرضها وتحريرها في واجهة المستخدم.

الخطوات التالية

عند استخدام قواعد التحليلات للكشف عن التهديدات من Microsoft Sentinel، تأكد من تمكين جميع القواعد المقترنة بمصادر البيانات المتصلة لضمان تغطية الأمان الكاملة للبيئة الخاصة بك.

لأتمتة تمكين القواعد، ادفع القواعد إلى Microsoft Sentinel عبر واجهة برمجة التطبيقات وPowerShell، على الرغم من أن القيام بذلك يتطلب جهدا إضافيا. عند استخدام API أو PowerShell، يجب أولًا تصدير القواعد إلى JSON قبل تمكين القواعد. قد تكون «واجهة برمجة التطبيقات» أو PowerShell ذات نفع عند تمكين القواعد في مثيلات متعددة من Microsoft Sentinel باستخدام إعدادات متطابقة في كل مثيل.

لمزيد من المعلومات، راجع:

كذلك، تعلم من مثال استخدام قواعد التحليلات المخصصة عند توسيع المراقبة باستخدام مُوصّل مخصص.