تصور البيانات المُجمعة

  • مقالة

في هذه المقالة، تتعلم كيف تكون قادراً بسرعة على عرض ومراقبة ما يحدث عبر البيئة الخاصة بك باستخدام Microsoft Sentinel. بعد توصيل مصادر بياناتك إلى Microsoft Sentinel، يمكنك الحصول على تصور فوري وتحليل للبيانات بحيث يمكنك معرفة ما يحدث عبر جميع مصادر بياناتك المتصلة. يمنح Microsoft Sentinel المصنفات التي توفر لك القوة الكاملة للأدوات المتاحة بالفعل في Azure بالإضافة إلى الجداول والرسوم البيانية المضمنة لتزويدك بتحليلات لسجلاتك واستعلاماتك. يمكنك إما استخدام قوالب المصنفات أو إنشاء مصنف جديد بسهولة، من البداية أو استنادا إلى مصنف موجود.

احصل على التصور

للتصور والحصول على تحليل ما يحدث في بيئتك، أولًا، نلقي نظرة على لوحة معلومات النظرة العامة؛ للإلمام بالموقف الأمني لمؤسستك. لمساعدتك على تقليل الضوضاء وتقليل عدد التنبيهات التي يجب مراجعتها والتحقيق فيها، يستخدم Microsoft Sentinel تقنية دمج لربط التنبيهات بالحوادث. تُعد Incidents مجموعات من التنبيهات ذات الصلة التي تخلق معًا حادثة قابلة للتنفيذ يمكنك التحقيق فيها وحلها.

في مدخل Microsoft Azure، حدد Microsoft Sentinel ثم حدد مساحة العمل التي تريد مراقبتها.

Screenshot of the Microsoft Sentinel overview page.

إذا كنت تريد تحديث البيانات لجميع أقسام لوحة المعلومات، فحدد تحديث في أعلى لوحة المعلومات. لتحسين الأداء، يتم حساب البيانات الخاصة بكل قسم من لوحة المعلومات مسبقا، ويمكنك مشاهدة وقت التحديث في أعلى كل قسم.

عرض بيانات الحادث

ترى أنواعا مختلفة من بيانات الحوادث ضمن الحوادث.

Screenshot of the Incidents section in the Microsoft Sentinel Overview page.

  • في أعلى اليسار، سترى عدد الحوادث الجديدة والنشطة والمغلقة على مدار ال 24 ساعة الماضية.
  • في أعلى اليمين، ترى الحوادث منظمة حسب الخطورة، والحوادث المغلقة عن طريق إغلاق التصنيف.
  • في أسفل اليسار، يقسم الرسم البياني حالة الحادث حسب وقت الإنشاء، في فواصل زمنية أربع ساعات.
  • في الجزء السفلي الأيسر، يمكنك مشاهدة متوسط الوقت للإقرار بالحادث ووقت الإغلاق المتوسط، مع ارتباط إلى مصنف كفاءة SOC.

عرض بيانات الأتمتة

ترى أنواعا مختلفة من بيانات الأتمتة ضمن التنفيذ التلقائي.

Screenshot of the Automation section in the Microsoft Sentinel Overview page.

  • في الجزء العلوي، ترى ملخصا لنشاط قواعد التشغيل التلقائي: الحوادث التي تم إغلاقها بواسطة الأتمتة، ووقت حفظ الأتمتة، وصحة أدلة المبادئ ذات الصلة.
  • أسفل الملخص، يلخص الرسم البياني عدد الإجراءات التي يتم تنفيذها بواسطة التشغيل التلقائي، حسب نوع الإجراء.
  • في الجزء السفلي، يمكنك العثور على عدد من قواعد التنفيذ التلقائي النشطة مع ارتباط إلى شفرة الأتمتة.

عرض حالة سجلات البيانات وجامعي البيانات وتحليل ذكي للمخاطر

ترى أنواعا مختلفة من البيانات على سجلات البيانات، وجامعي البيانات، وتحليل ذكي للمخاطر ضمن البيانات.

Screenshot of the Data section in the Microsoft Sentinel Overview page.

  • على اليسار، يعرض الرسم البياني عدد السجلات التي جمعتها Microsoft Sentinel في آخر 24 ساعة، مقارنة بال 24 ساعة السابقة، والشذوذ الذي تم اكتشافه في تلك الفترة الزمنية.
  • في الجزء العلوي الأيسر، سترى ملخصا لحالة موصل البيانات، مقسوما على موصلات غير سليمة ونشطة. تشير الموصلات غير السليمة إلى عدد الموصلات التي بها أخطاء. الموصلات النشطة هي موصلات مع تدفق البيانات إلى Microsoft Sentinel، كما يتم قياسها بواسطة استعلام مضمن في الموصل.
  • في أسفل اليمين، يمكنك مشاهدة سجلات التحليل الذكي للمخاطر في Microsoft Sentinel، حسب مؤشر التسوية.

عرض بيانات التحليلات

ترى بيانات قواعد التحليلات ضمن التحليلات.

Screenshot of the Analytics section in the Microsoft Sentinel Overview page.

ترى عدد قواعد التحليلات في Microsoft Sentinel، حسب حالة التمكين أو التعطيل أو التعطيل التلقائي.

استخدام قوالب المصنفات

توفر قوالب المصنف بيانات متكاملة من مصادر البيانات المتصلة للسماح لك بالتعمق في الأحداث التي تم إنشاؤها في هذه الخدمات. تتضمن قوالب المصنف معرف Microsoft Entra وأحداث نشاط Azure والأحداث المحلية، والتي يمكن أن تكون بيانات من أحداث Windows من الخوادم، ومن تنبيهات الطرف الأول، ومن أي جهة خارجية بما في ذلك سجلات حركة مرور جدار الحماية وOffice 365 والبروتوكولات غير الآمنة استنادا إلى أحداث Windows. تستند المصنفات إلى Azure Monitor Workbooks لتزويدك بإمكانية تخصيص ومرونة محسّنة في تصميم مصنفك. لمزيد من المعلومات، راجع Workbooks.

  1. ضمن Settings، حدد Workbooks. ضمن المصنفات الخاصة بي، يمكنك مشاهدة كل المصنفات المحفوظة. ضمن قوالب، يمكنك مشاهدة قوالب المصنفات المثبتة. للعثور على المزيد من قوالب المصنفات، انتقل إلى مركز المحتوى في Microsoft Sentinel لتثبيت حلول المنتجات أو المحتوى المستقل.
  2. ابحث عن مصنف محدد للاطلاع على القائمة الكاملة ووصف ما يقدمه كل منها.
  3. بافتراض أنك تستخدم معرف Microsoft Entra، لبدء العمل باستخدام Microsoft Sentinel، نوصي بتثبيت حل Microsoft Entra ل Microsoft Sentinel واستخدام المصنفات التالية:

    • معرف Microsoft Entra: استخدم أيا مما يلي أو كليهما:

      • تحلل عمليات تسجيل الدخول إلى Microsoft Entra عمليات تسجيل الدخول بمرور الوقت لمعرفة ما إذا كانت هناك حالات شاذة. توفر هذه المصنفات عمليات تسجيل دخول فاشلة بواسطة التطبيقات والأجهزة والمواقع بحيث يمكنك ملاحظة حدوث شيء غير عادي في لمح البصر. انتبه إلى العديد من عمليات تسجيل الدخول الفاشلة.
      • تحلل سجلات تدقيق Microsoft Entra أنشطة المسؤول، مثل التغييرات في المستخدمين (إضافة وإزالة وما إلى ذلك) وإنشاء المجموعة والتعديلات.

    • قم بتثبيت الحل المناسب لإضافة مصنف لجدار الحماية الخاص بك. على سبيل المثال، قم بتثبيت حل جدار حماية Palo Alto ل Microsoft Sentinel لإضافة مصنفات Palo Alto. تحلل المصنفات حركة مرور جدار الحماية الخاص بك، وتوفر لك ارتباطات بين بيانات جدار الحماية وأحداث التهديد، وتسلط الضوء على الأحداث المشبوهة عبر الكيانات. توفر لك المصنفات معلومات بشأن الاتجاهات في حركة المرور لديك وتتيح لك التنقل لأسفل وتصفية النتائج.

      Palo Alto dashboard

يمكنك تخصيص المصنفات إما عن طريق تحرير الاستعلام query edit buttonالرئيسي . يمكنك النقر فوق الزر Log Analytics button للانتقال إلى Log Analytics لتحرير الاستعلام هناك، ويمكنك تحديد علامة الحذف (...) وتحديد تخصيص بيانات التجانب، والتي تمكنك من تحرير عامل تصفية الوقت الرئيسي، أو إزالة اللوحات المحددة من المصنف.

لمزيد من المعلومات حول التعامل مع الاستعلامات، راجع البرنامج التعليمي: البيانات المرئية في Log Analytics

إضافة تجانب جديد

إن كنت ترغب في إضافة تجانب جديد، ويمكنك إضافته إلى مصنف موجود، سواء كان مصنفًا تنشئه أو مصنف Microsoft Sentinel مضمنًا.

  1. في Log Analytics، قم بإنشاء لوحة باستخدام الإرشادات الموجودة في البيانات المرئية في Log Analytics.
  2. بعد إنشاء التجانب، ضمن Pin، حدد المصنف الذي تريد أن يظهر فيه التجانب.

إنشاء مصنفات جديدة

يمكنك إنشاء مصنف جديد من البداية أو استخدام قالب مصنف كأساس للمصنف الجديد.

  1. لإنشاء مصنف جديد من البداية، حدد Workbooks ثم ++New workbook.
  2. حدد الاشتراك الذي تم إنشاء المصنف فيه وأعطه اسمًا وصفيًا. كل مصنف عبارة عن مورد Azure مثل أي مورد آخر، ويمكنك تعيين أدواره (Azure RBAC) لتعريف وتحديد من يمكنه الوصول.
  3. يجب مشاركته، لتمكينه من الظهور في مصنفاتك لتثبيت المرئيات عليه. انقر فوق Share ثم Manage users.
  4. أستخدم Check access وRole assignments كما تفعل مع أي مورد Azure آخر. لمزيد من المعلومات، راجع مشاركة مصنفات Azure باستخدام Azure RBAC.

أمثلة المصنفات الجديدة

يمكّنك نموذج الاستعلام التالي من مقارنة اتجاهات حركة المرور عبر الأسابيع. ويمكنك بسهولة تبديل مورد الجهاز ومصدر البيانات الذي تقوم بتشغيل الاستعلام عليه. يستخدم هذا المثال SecurityEvent من Windows، ويمكنك تبديله للتشغيل على AzureActivity أو CommonSecurityLog على أي جدار حماية آخر.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

قد ترغب في إنشاء استعلام يتضمن بيانات من مصادر متعددة. يمكنك إنشاء استعلام يبحث في سجلات تدقيق Microsoft Entra للمستخدمين الجدد الذين تم إنشاؤهم للتو، ثم التحقق من سجلات Azure لمعرفة ما إذا كان المستخدم قد بدأ في إجراء تغييرات على تعيين الدور في غضون 24 ساعة من الإنشاء. سيظهر هذا النشاط المشبوه في لوحة المعلومات هذه:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

يمكنك إنشاء مصنفات مختلفة بناءً على دور الشخص الذي يبحث في البيانات وما يبحث عنه. على سبيل المثال، يمكنك إنشاء مصنف لمسؤول الشبكة يتضمن بيانات جدار الحماية. يمكنك أيضا إنشاء مصنفات استنادا إلى عدد المرات التي تريد النظر إليها، وما إذا كانت هناك أشياء تريد مراجعتها يوميا، والعناصر الأخرى التي تريد التحقق منها مرة واحدة في الساعة، على سبيل المثال، قد ترغب في إلقاء نظرة على عمليات تسجيل الدخول إلى Microsoft Entra كل ساعة للبحث عن الحالات الشاذة.

إنشاء اكتشافات جديدة

أنشئ اكتشافات على مصادر البيانات التي وصلتها بـ Microsoft Sentinel للتحقيق في التهديدات في مؤسستك.

عند إنشاء اكتشاف جديد، استفد من عمليات الكشف التي صممها باحثو الأمان في Microsoft والمصممة خصيصا لمصادر البيانات التي قمت بتوصيلها.

لعرض عمليات الكشف الجاهزة المثبتة، انتقل إلى التحليلات ثم قوالب القاعدة. تحتوي علامة التبويب هذه على جميع قوالب قواعد Microsoft Sentinel المثبتة. للعثور على المزيد من قوالب القواعد، انتقل إلى مركز المحتوى في Microsoft Sentinel لتثبيت حلول المنتجات أو المحتوى المستقل.

Use built-in detections to find threats with Microsoft Sentinel

لمزيد من المعلومات حول الحصول على اكتشافات غير تقليدية، راجع Get built-in-analytics.

الخطوات التالية

الكشف عن التهديدات الجاهزة وإنشاء قواعد مخصصة للكشف عن التهديدات لأتمتة استجاباتك للتهديدات.