الكيانات في Microsoft Sentinel
عند إرسال التنبيهات إلى Microsoft Sentinel أو إنشاؤها، فإنها تحتوي على عناصر بيانات يمكن ل Sentinel التعرف عليها وتصنيفها إلى فئات ككيانات. عندما يفهم Microsoft Sentinel نوع الكيان الذي يمثله عنصر بيانات معين، فإنه يعرف الأسئلة الصحيحة التي يجب طرحها حوله، ويمكنه بعد ذلك مقارنة الرؤى حول هذا العنصر عبر النطاق الكامل لمصادر البيانات، وتتبعه بسهولة والرجوع إليه طوال تجربة Sentinel بأكملها - التحليلات والتحقيق والمعالجة والتتبع وما إلى ذلك. بعض الأمثلة الشائعة للكيانات هي حسابات المستخدمين والمضيفين وعلب البريد وعناوين IP والملفات والتطبيقات السحابية والعمليات وعناوين URL.
هام
يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.
في النظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender، تندرج الكيانات عموما في فئتين رئيسيتين:
| فئة الكيان | توصيف | الأمثلة الرئيسية |
|---|---|---|
| الأصول | ||
| كيانات أخرى (دليل) |
معرفات الكيانات
يدعم Microsoft Sentinel مجموعة متنوعة من أنواع الكيانات. لكل نوع سماته الفريدة الخاصة، والتي يتم تمثيلها كالحقول في مخطط الكيان، وتسمى المعرفات. راجع القائمة الكاملة للكيانات المدعومة أدناه، والمجموعة الكاملة من مخططات الكيان والمعرفات في مرجع أنواع كيانات Microsoft Sentinel.
المعرفات القوية والضعيفة
لكل نوع من أنواع الكيانات، هناك حقول أو مجموعات من الحقول، يمكنها تحديد مثيلات معينة لهذا الكيان. يمكن الإشارة إلى هذه الحقول أو مجموعات الحقول على أنها معرفات قوية إذا كانت قادرة على تعريف كيان بشكل فريد دون أي غموض، أو على أنها معرفات ضعيفة إذا كانت قادرة على تعريف كيان في بعض الظروف، ولكن لا يمكن ضمان تعريفها لكيان بشكل فريد في جميع الحالات. مع ذلك، في كثير من الحالات، يمكن دمج مجموعة مختارة من المعرفات الضعيفة لإنتاج معرف قوي.
على سبيل المثال، يمكن تعريف حسابات المستخدمين ككيانات حساب بأكثر من طريقة: استخدام identifer قوي واحد مثل المعرف الرقمي لحساب Microsoft Entra (حقل GUID)، أو قيمة اسم المستخدم الأساسي (UPN)، أو بدلا من ذلك، باستخدام مجموعة من المعرفات الضعيفة مثل حقول الاسم وNTDomain الخاصة به. يمكن أن تحدد مصادر البيانات المختلفة نفس المستخدم بطرق مختلفة. عندما يصادف Microsoft Sentinel كيانين يمكنه التعرف على أنهما نفس الكيان بناءً على معرفاتهما، فإنه يدمج الكيانين في كيان واحد، بحيث يمكن التعامل معهما بشكل مناسب ومتسق.
ومع ذلك، إذا قام أحد موفري الموارد بإنشاء تنبيه لم يتم فيه تعريف الكيان بشكل كاف - على سبيل المثال، باستخدام معرف ضعيف واحد فقط مثل اسم مستخدم بدون سياق اسم المجال - فلا يمكن دمج كيان المستخدم مع مثيلات أخرى لحساب المستخدم نفسه. وسيتم تعريف تلك المثيلات الأخرى ككيان منفصل، وسيظل هذان الكيانان منفصلين بدلاً من أن يكونا موحدين.
لتقليل مخاطر حدوث ذلك، يجب التحقق من أن كافة موفري التنبيهات تحدد بشكل صحيح الكيانات في التنبيهات التي تنتجها. بالإضافة إلى ذلك، قد تؤدي مزامنة كيانات حساب المستخدم مع معرف Microsoft Entra إلى إنشاء دليل توحيد، والذي سيكون قادرا على دمج كيانات حساب المستخدم.
الكيانات ذات الدعم المسبق
يتم تحديد الأنواع التالية من الكيانات حاليًا في Microsoft Sentinel:
- العميل
- مضيف
- عنوان IP
- عنوان URL
- مورد Azure
- تطبيق سحابي
- دقة DNS
- ملف
- تجزئة الملف
- البرامج الضارة
- العملية
- مفتاح التسجيل
- قيمة السجل
- مجموعة الأمان
- صندوق البريد
- نظام مجموعة البريد
- رسالة بريد
- إرسال البريد
يمكنك عرض معرفات هذه الكيانات والمعلومات الأخرى ذات الصلة في مرجع الكيانات.
تعيين الكيان
كيف يتعرف Microsoft Sentinel على جزء من البيانات في تنبيه على أنه تعريف كيان؟
لنلق نظرة على كيفية معالجة البيانات في Microsoft Sentinel. يتم استيعاب البيانات من مصادر مختلفة من خلال الموصلات، سواء من خدمة إلى خدمة أو مستندة إلى عامل أو قائمة على واجهة برمجة التطبيقات. يتم تخزين البيانات في جداول في مساحة عمل Log Analytics. يتم الاستعلام عن هذه الجداول على فترات منتظمة بواسطة قواعد التحليلات المجدولة أو شبه الحقيقية التي قمت بتعريفها وتمكينها، أو عند الطلب كجزء من استعلامات التتبع عند البحث عن التهديدات. جزء من تعريف قواعد التحليلات هذه واستعلامات التتبع هو تعيين حقول البيانات في الجداول إلى أنواع الكيانات التي تعرف عليها Microsoft Sentinel. وفقا للتعيينات التي تحددها، سيأخذ Microsoft Sentinel الحقول من النتائج التي تم إرجاعها بواسطة الاستعلام الخاص بك، ويتعرف عليها بواسطة المعرفات التي حددتها لكل نوع كيان، ويطبق عليها نوع الكيان المحدد بواسطة تلك المعرفات.
ما الهدف من كل هذا؟
عندما يكون Microsoft Sentinel قادرا على تحديد الكيانات في التنبيهات من أنواع مختلفة من مصادر البيانات، وخاصة إذا كان يمكنه القيام بذلك باستخدام معرفات قوية مشتركة لكل مصدر بيانات أو مخطط آخر، فإنه يمكن ربطها بسهولة بين جميع هذه التنبيهات ومصادر البيانات. تساعد هذه الارتباطات في بناء مخزن غني من المعلومات والرؤى حول الكيانات، مما يمنحك أساسا متينا وسياقا للتحقيق في التهديدات الأمنية والاستجابة لها.
تعرف على كيفية تعيين حقول البيانات إلى كيانات.
تعرف على المعرفات التي تعرف الكيان بقوة.
صفحات الكيان
يمكن الآن العثور على معلومات حول صفحات الكيان في صفحات الكيان في Microsoft Sentinel.
الخطوات التالية
في هذا المستند، تعرفت على كيفية العمل باستخدام الكيانات في Microsoft Sentinel. لإرشادات عملية حول تنفيذ واستخدام النتائج المعرفية التي اكتسبتها راجع المقالات التالية:
- تمكين تحليلات سلوك الكيان في Microsoft Azure Sentinel.
- تتبع التهديدات الأمنية.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ