تتبع التهديدات في Microsoft Sentinel
بصفتك من المحللين والمحققين الأمنيين، فأنت تريد أن تكون استباقياً في البحث عن تهديدات أمنية، ولكن الأنظمة والأجهزة الأمنية المختلفة لديك تولد كميات هائلة من البيانات التي قد يكون من الصعب تحليلها وتصفيتها في أحداث ذات مغزى. يحتوي Microsoft Sentinel على أدوات بحث واستعلام قوية للبحث عن تهديدات الأمان عبر مصادر بيانات مؤسستك. لمساعدة محللي الأمان على البحث بشكل استباقي عن الحالات الشاذة الجديدة التي لم تكتشفها تطبيقات الأمان الخاصة بك أو حتى من خلال قواعد التحليلات المجدولة، ترشدك استعلامات التتبع إلى طرح الأسئلة الصحيحة للعثور على المشكلات في البيانات التي لديك بالفعل على شبكتك.
على سبيل المثال، يوفر استعلام واحد من خارج المربع بيانات حول العمليات الأكثر شيوعا التي تعمل على البنية الأساسية الخاصة بك. لا تريد تنبيها في كل مرة يتم تشغيلها. يمكن أن يكونوا أبرياء تماما. ولكن قد ترغب في إلقاء نظرة على الاستعلام في بعض الأحيان لمعرفة ما إذا كان هناك أي شيء غير عادي.
هام
يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.
عمليات البحث في Microsoft Sentinel (معاينة)
مع عمليات التتبع في Microsoft Sentinel، ابحث عن التهديدات والسلوكيات الضارة غير المكتشفة من خلال إنشاء فرضية والبحث في البيانات والتحقق من صحة هذه الفرضية والعمل عند الحاجة. قم بإنشاء قواعد تحليلية جديدة وتحليل ذكي للمخاطر والحوادث بناء على النتائج التي توصلت إليها.
| القدرات | الوصف |
|---|---|
| تعريف فرضية | لتحديد فرضية، ابحث عن مصدر إلهام من خريطة MITRE، أو نتائج استعلام التتبع الأخيرة، أو حلول مركز المحتوى، أو إنشاء عمليات البحث المخصصة الخاصة بك. |
| التحقيق في الاستعلامات ونتائج الإشارة المرجعية | بعد تحديد فرضية، انتقل إلى علامة التبويب استعلامات صفحة التتبع. حدد الاستعلامات المتعلقة بفرضيتك والبحث الجديد للبدء. قم بتشغيل استعلامات البحث ذات الصلة وتحقق من النتائج باستخدام تجربة السجلات. ضع إشارة مرجعية على النتائج مباشرة إلى البحث الخاص بك لإضافة تعليق توضيحي على النتائج، واستخراج معرفات الكيان، والاحتفاظ بالاستعلامات ذات الصلة. |
| التحقيق واتخاذ إجراء | تحقق بشكل أعمق باستخدام صفحات كيان UEBA. تشغيل أدلة مبادئ خاصة بالكيانات على كيانات ذات إشارة مرجعية. استخدم الإجراءات المضمنة لإنشاء قواعد تحليلية جديدة ومؤشرات التهديد والحوادث استنادا إلى النتائج. |
| تعقب النتائج | سجل نتائج البحث الخاص بك. تعقب ما إذا تم التحقق من صحة فرضيتك أم لا. اترك ملاحظات مفصلة في التعليقات. تربط عمليات التتبع تلقائيا القواعد والحوادث التحليلية الجديدة. تعقب التأثير العام لبرنامج التتبع الخاص بك باستخدام شريط القياس. |
للبدء، راجع إجراء تتبع استباقي للمخاطر من طرف إلى طرف في Microsoft Sentinel.
باستعلامات الاصطياد
في Microsoft Sentinel، حدد علامة التبويب استعلامات التتبع> لتشغيل جميع الاستعلامات أو مجموعة فرعية محددة. تسرد علامة التبويب Queries جميع استعلامات التتبع المثبتة مع حلول الأمان من مركز المحتوى، وأي استعلام إضافي قمت بإنشائه أو تعديله. يوفر كل استعلام وصفاً لما يتتبعه، ونوع البيانات التي يتم تشغيله عليها. يتم تجميع هذه الاستعلامات بواسطة تكتيكات MITRE ATT&CK الخاصة بهم. تصنف الأيقونات الموجودة على اليسار نوع التهديد، مثل الوصول الأولي والمثابرة والاختراق. يتم عرض تقنيات MITRE ATT CK في عمود التقنيات ووصف السلوك المحدد الذي يحدده استعلام التتبع.
استخدم علامة تبويب الاستعلامات لتحديد مكان بدء التتبع، من خلال النظر إلى عدد النتائج أو الارتفاعات المفاجئة أو التغيير في عدد النتائج على مدى فترة 24 ساعة. الفرز والتصفية حسب المفضلة أو مصدر البيانات أو أسلوب MITRE ATT&CK أو النتائج أو دلتا النتائج أو نسبة دلتا النتائج. عرض الاستعلامات التي لا تزال بحاجة إلى مصادر بيانات متصلة، والحصول على توصيات حول كيفية تمكين هذه الاستعلامات.
يصف الجدول التالي الإجراءات التفصيلية المتوفرة من لوحة معلومات التتبع:
| الإجراء | الوصف |
|---|---|
| تعرف على كيفية تطبيق الاستعلامات على بيئتك | حدد الزر Run all queries، أو حدد مجموعة فرعية من الاستعلامات باستخدام خانات الاختيار إلى يسار كل صف وحدد الزر Run selected queries. قد يستغرق تشغيل الاستعلامات في أي مكان من بضع ثوانٍ إلى عدة دقائق، اعتماداً على عدد الاستعلامات المحددة والنطاق الزمني ومقدار البيانات التي يتم الاستعلام فيها. |
| عرض الاستعلامات التي أرجعت النتائج | بعد الانتهاء من تشغيل الاستعلامات، اعرض الاستعلامات التي أرجعت النتائج باستخدام عامل تصفية النتائج : - فرز لمعرفة الاستعلامات التي لها أكبر أو أقل النتائج. - اعرض الاستعلامات غير النشطة على الإطلاق في بيئتك عن طريق تحديد N/A في عامل تصفية النتائج . - مرر مؤشر الماوس فوق أيقونة المعلومات (i) بجوار غير متوفر لمعرفة مصادر البيانات المطلوبة لجعل هذا الاستعلام نشطاً. |
| تحديد الارتفاعات في بياناتك | تحديد الارتفاعات في البيانات عن طريق الفرز أو التصفية على دلتا النتائج أو النسبة المئوية لدلتا النتائج. مقارنة نتائج آخر 24 ساعة مقابل نتائج الساعات 24-48 السابقة، مع تمييز أي اختلافات كبيرة أو اختلاف نسبي في الحجم. |
| عرض الاستعلامات المعينة إلى تكتيك MITRE ATT&CK | يسرد شريط تكتيك MITRE ATT&CK، في أعلى الجدول، عدد الاستعلامات التي تم تعيينها لكل تكتيك MITRE ATT&CK. يتم تحديث شريط التكتيك ديناميكياً استناداً إلى المجموعة الحالية من عوامل التصفية المطبقة. يمكنك من معرفة تكتيكات MITRE ATT&CK التي تظهر عند التصفية حسب عدد نتائج معين أو دلتا نتائج عالية أو نتائج N/A أو أي مجموعة أخرى من عوامل التصفية. |
| عرض الاستعلامات المعينة لتقنيات MITRE ATT&CK | يمكن أيضا تعيين الاستعلامات إلى تقنيات MITRE ATT&CK. يمكنك التصفية أو الفرز حسب تقنيات MITRE ATT&CK باستخدام عامل تصفية التقنية . من خلال فتح استعلام، يمكنك تحديد التقنية لرؤية وصف MITRE ATT&CK للتقنية. |
| حفظ استعلام إلى المفضلة | يتم تشغيل الاستعلامات المحفوظة في المفضلة تلقائياً في كل مرة يتم فيها الوصول إلى صفحة التتبع. يمكنك إنشاء استعلام التتبع الخاص بك أو استنساخ وتخصيص قالب استعلام تتبع موجود. |
| تشغيل الاستعلامات | حدد تشغيل الاستعلام في صفحة تفاصيل استعلام التتبع لتشغيل الاستعلام مباشرة من صفحة التتبع. يتم عرض عدد التطابقات داخل الجدول، في عمود النتائج. راجع قائمة استعلامات التتبع ومطابقاتها. |
| مراجعة استعلام أساسي | قم بإجراء مراجعة سريعة للاستعلام الأساسي في جزء «تفاصيل الاستعلام». يمكنك رؤية النتائج بالنقر فوق الارتباط عرض نتائج الاستعلام (أسفل نافذة الاستعلام) أو الزر عرض النتائج (في أسفل الجزء). يفتح الاستعلام صفحة Logs (Log Analytics)، وتحت الاستعلام، يمكنك مراجعة تطابقات الاستعلام. |
استخدم الاستعلامات قبل التسوية وأثنائها وبعدها لاتخاذ الإجراءات التالية:
قبل وقوع حادث: انتظار عمليات الكشف غير كاف. اتخذ إجراء استباقياً عن طريق تشغيل أي استعلامات تتبع المخاطر المتعلقة بالبيانات التي تقوم باستيعابها في مساحة العمل الخاصة بك مرة واحدة على الأقل في الأسبوع.
توفر النتائج من التتبع الاستباقي نظرة ثاقبة مبكرة للأحداث التي قد تؤكد أن الحل الوسط قيد التنفيذ، أو على الأقل تظهر مناطق أضعف في بيئتك معرضة للخطر وتحتاج إلى الاهتمام.
أثناء التسوية: استخدم البث المباشر لتشغيل استعلام معين باستمرار، وعرض النتائج عند قدومها. استخدم البث المباشر عندما تحتاج إلى مراقبة أحداث المستخدم بنشاط، مثل ما إذا كنت بحاجة إلى التحقق مما إذا كان لا يزال يحدث حل وسط معين، للمساعدة في تحديد الإجراء التالي لممثل التهديد، وقرب نهاية التحقيق للتأكد من أن الحل الوسط قد انتهى بالفعل.
بعد حل وسط: بعد حدوث حل وسط أو حدث، تأكد من تحسين التغطية والرؤى لمنع وقوع حوادث مماثلة في المستقبل.
قم بتعديل الاستعلامات الموجودة أو إنشاء استعلامات جديدة للمساعدة في الكشف المبكر، استنادا إلى الرؤى المكتسبة من التسوية أو الحادث.
إذا اكتشفت أو أنشأت استعلام تتبع يوفر رؤى عالية القيمة في الهجمات المحتملة، فبادر بإنشاء قواعد الكشف المخصصة استنادا إلى هذا الاستعلام، وقم بإيجاد هذه الرؤى كتنبيهات لمستجيبي حوادث الأمان.
اعرض نتائج الاستعلام، وحدد قاعدة تنبيه جديدة>إنشاء تنبيه Microsoft Sentinel. استخدم معالج قاعدة التحليلات لإنشاء قاعدة جديدة استناداً إلى استعلامك. لمزيد من المعلومات، راجع إنشاء قواعد تحليلات مخصصة للكشف عن التهديدات.
يمكنك أيضا إنشاء استعلامات التتبع والبث المباشر عبر البيانات المخزنة في Azure Data Explorer. لمزيد من المعلومات، راجع تفاصيل إنشاء استعلامات عبر الموارد في وثائق مراقبة Azure.
للعثور على المزيد من الاستعلامات ومصادر البيانات، انتقل إلى مركز المحتوى في Microsoft Sentinel أو راجع موارد المجتمع مثل مستودع Microsoft Sentinel GitHub.
استعلامات التتبع خارج الصندوق
تتضمن العديد من حلول الأمان استعلامات التتبع خارج الصندوق. بعد تثبيت حل يتضمن استعلامات التتبع من مركز المحتوى، تظهر الاستعلامات الجاهزة لهذا الحل في علامة التبويب استعلامات التتبع. يتم تشغيل الاستعلامات على البيانات المخزنة في جداول السجل، مثل إنشاء العملية أو أحداث DNS أو أنواع الأحداث الأخرى.
يتم تطوير العديد من استعلامات التتبع المتوفرة من قبل باحثي أمان Microsoft بشكل مستمر. يضيفون استعلامات جديدة إلى حلول الأمان ويضبطون الاستعلامات الموجودة لتزويدك بنقطة إدخال للبحث عن اكتشافات وهجمات جديدة.
استعلامات التتبع المخصصة
قم بإنشاء استعلام أو تحريره وحفظه كتعلام خاص بك أو مشاركته مع المستخدمين الموجودين في نفس المستأجر. في Microsoft Sentinel، قم بإنشاء استعلام تتبع مخصص من علامة التبويب استعلامات التتبع>.
لمزيد من المعلومات، راجع إنشاء استعلامات تتبع مخصصة في Microsoft Sentinel.
جلسات البث المباشر
إنشاء جلسات عمل تفاعلية تتيح لك اختبار الاستعلامات التي تم إنشاؤها حديثا عند حدوث الأحداث، والحصول على إعلامات من الجلسات عند العثور على تطابق، وتشغيل التحقيقات إذا لزم الأمر. يمكنك إنشاء جلسة مباشرة بسرعة باستخدام أي استعلام Log Analytics.
اختبار الاستعلامات التي تم إنشاؤها حديثًا عند حدوث الأحداث
يمكنك اختبار الاستعلامات وضبطها دون أي تعارضات مع القواعد الحالية التي يتم تطبيقها بنشاط على الأحداث. بعد تأكيد عمل هذه الاستعلامات الجديدة كما هو متوقع، من السهل ترقيتها إلى قواعد التنبيه المخصصة عن طريق تحديد خيار يرفع جلسة العمل إلى تنبيه.
الحصول على إعلام عند حدوث تهديدات
يمكنك مقارنة موجزات بيانات التهديد ببيانات السجل المجمعة ويتم إعلامك عند حدوث تطابق. موجزات بيانات التهديد هي تدفقات مستمرة من البيانات المتعلقة بالتهديدات المحتملة أو الحالية، لذلك قد يشير الإعلام إلى تهديد محتمل لمؤسستك. إنشاء جلسة عمل البث المباشر بدلا من قاعدة تنبيه مخصصة ليتم إعلامك بمشكلة محتملة دون النفقات العامة للحفاظ على قاعدة تنبيه مخصصة.
بدء التحقيقات
إذا كان هناك تحقيق نشط يتضمن أصلا مثل مضيف أو مستخدم، فعرض نشاطا محددا (أو أي نشاط) في بيانات السجل أثناء حدوثه على هذا الأصل. يتم إعلامك عند حدوث هذا النشاط.
لمزيد من المعلومات، راجع الكشف عن التهديدات باستخدام التتبع المباشر في Microsoft Sentinel.
الإشارات المرجعية لتتبع البيانات
يتطلب البحث عن التهديدات عادةً مراجعة جبال من بيانات السجل بحثاً عن دليل على السلوك الضار. خلال هذه العملية، يجد المحققون الأحداث التي يريدون تذكرها وإعادة النظر فيها وتحليلها كجزء من التحقق من صحة الفرضيات المحتملة وفهم القصة الكاملة للتسوية.
أثناء عملية التتبع والتحقيق، قد تصادف نتائج الاستعلام التي تبدو غير عادية أو مريبة. ضع إشارة مرجعية على هذه العناصر للرجوع إليها في المستقبل، مثل عند إنشاء حادث أو إثرائه للتحقيق فيه. يجب رفع أحداث، مثل الأسباب الجذرية المحتملة أو مؤشرات التسوية أو الأحداث البارزة الأخرى كإشارة مرجعية. إذا كان الحدث الرئيسي الذي قمت بإشارة مرجعية شديد بما يكفي لتبرير إجراء تحقيق، فصعده إلى حدث.
في النتائج، ضع علامة على خانات الاختيار لأي صفوف تريد الاحتفاظ بها، وحدد إضافة إشارة مرجعية. يؤدي هذا إلى إنشاء سجل لكل صف تم وضع علامة عليه، وإشارة مرجعية، يحتوي على نتائج الصف والاستعلام الذي أنشأ النتائج. يمكنك إضافة العلامات والملاحظات الخاصة بك إلى كل إشارة مرجعية.
- كما هو الحال مع قواعد التحليلات المجدولة، يمكنك إثراء الإشارات المرجعية الخاصة بك مع تعيينات الكيان لاستخراج أنواع ومعرفات متعددة للكيانات، وتعيينات MITRE ATT&CK لربط تكتيكات وتقنيات معينة.
- الإشارات المرجعية الافتراضية لاستخدام نفس الكيان وتعيينات تقنية MITRE ATT&CK مثل استعلام التتبع الذي نتج عنه النتائج المرجعية.
اعرض جميع النتائج التي تم وضع إشارة مرجعية عليها بالنقر فوق علامة التبويب الإشارات المرجعية في صفحة التتبع الرئيسية. أضف علامات إلى الإشارات المرجعية لتصنيفها للتصفية. على سبيل المثال، إذا كنت تحقق في حملة هجوم، يمكنك إنشاء علامة للحملة، وتطبيق العلامة على أي إشارات مرجعية ذات صلة، ثم تصفية جميع الإشارات المرجعية استنادًا إلى الحملة.
تحقق من العثور على إشارة مرجعية واحدة عن طريق تحديد الإشارة المرجعية ثم النقر فوق التحقيق في جزء التفاصيل لفتح تجربة التحقيق. عرض النتائج والتحقيق فيها وإبلاغها بصريا باستخدام رسم تخطيطي وجدول زمني تفاعليين للرسم البياني للكيان. يمكنك أيضاً تحديد كيان مدرج مباشرة لعرض صفحة الكيان المقابل لذلك الكيان.
يمكنك أيضا إنشاء حادث من إشارة مرجعية واحدة أو أكثر، أو إضافة إشارة مرجعية واحدة أو أكثر إلى حدث موجود. حدد خانة اختيار إلى يمين أي إشارات مرجعية تريد استخدامها، ثم حدد إجراءات الحادث>إنشاء حادث جديد أو إضافة إلى الحدث الموجود. فرز الحادث والتحقيق فيه، مثل أي حادث آخر.
اعرض البيانات التي تم وضع إشارة مرجعية عليها مباشرة في جدول HuntingBookmark في مساحة عمل Log Analytics. على سبيل المثال:
يتيح لك عرض الإشارات المرجعية من الجدول تصفية البيانات ذات الإشارات المرجعية وتلخيصها ودمجها مع مصادر البيانات الأخرى، ما يسهل البحث عن الأدلة المؤيدة.
لبدء استخدام الإشارات المرجعية، راجع تعقب البيانات أثناء التتبع باستخدام Microsoft Sentinel.
دفاتر الملاحظات لتشغيل التحقيقات
عندما تصبح عمليات التتبع والتحقيقات أكثر تعقيداً، استخدم دفاتر ملاحظات Microsoft Sentinel لتحسين نشاطك من خلال التعلم الآلي والتصورات وتحليل البيانات.
توفر دفاتر الملاحظات نوعاً من بيئة الاختبار المعزولة الظاهرية، كاملة مع نواة خاصة بها، حيث يمكنك إجراء تحقيق كامل. يمكن أن يتضمن دفتر الملاحظات البيانات الأولية، والتعليمة البرمجية التي تقوم بتشغيلها على تلك البيانات، والنتائج، وتصوراتها. احفظ دفاتر الملاحظات بحيث يمكنك مشاركتها مع الآخرين لإعادة استخدامها في مؤسستك.
قد تكون دفاتر الملاحظات مفيدة عندما يصبح البحث أو التحقيق كبيرا جدا بحيث يتعذر تذكره بسهولة أو عرض التفاصيل أو عندما تحتاج إلى حفظ الاستعلامات والنتائج. لمساعدتك في إنشاء دفاتر الملاحظات ومشاركتها، يوفر Microsoft Sentinel دفاتر ملاحظات Jupyter، وهي بيئة مفتوحة المصدر وتفاعلية لمعالجة البيانات، مدمجة مباشرة في صفحة دفاتر ملاحظات Microsoft Sentinel.
لمزيد من المعلومات، راجع:
- استخدام Jupyter Notebook للبحث عن المخاطر الأمنية
- وثائق مشروع Jupyter
- وثائق Jupyter التمهيدية.
- Infosec Jupyter Book
- برامج Python التعليمية الحقيقية
يصف الجدول التالي بعض أساليب استخدام دفاتر ملاحظات Jupyter لمساعدة عملياتك في Microsoft Sentinel:
| الطريقة | الوصف |
|---|---|
| استمرار البيانات وقابلية التكرار والتراجع | إذا كنت تعمل مع العديد من الاستعلامات ومجموعات النتائج، من المحتمل أن يكون لديك بعض النهايات المهلكة. تحتاج إلى تحديد الاستعلامات والنتائج التي يجب الاحتفاظ بها، وكيفية تجميع النتائج المفيدة في تقرير واحد. استخدم دفاتر Jupyter Notebook لحفظ الاستعلامات والبيانات أثناء التنقل، أو استخدم المتغيرات لإعادة تشغيل الاستعلامات بقيم أو تواريخ مختلفة، أو حفظ الاستعلامات لإعادة تشغيل التحقيقات المستقبلية. |
| البرمجة النصية والبرمجة | استخدم Jupyter Notebooks لإضافة برمجة إلى استعلاماتك، بما في ذلك: - اللغات التعريفية مثل Kusto Query Language (KQL) أو SQL لترميز المنطق الخاص بك في عبارة واحدة وربما عبارة معقدة. - لغات البرمجة الإجرائية، لتشغيل المنطق في سلسلة من الخطوات. قم بتقسيم المنطق إلى خطوات لمساعدتك في رؤية النتائج الوسيطة وتصحيحها، وإضافة وظائف قد لا تكون متوفرة في لغة الاستعلام، وإعادة استخدام النتائج الجزئية في خطوات المعالجة اللاحقة. |
| ارتباطات إلى بيانات خارجية | بينما تحتوي جداول Microsoft Sentinel على معظم بيانات تتبع الاستخدام وبيانات الحدث، يمكن لدفاتر Jupyter Notebook الارتباط بأي بيانات يمكن الوصول إليها عبر شبكتك أو من ملف. يسمح لك استخدام Jupyter Notebooks بتضمين بيانات مثل: - البيانات في الخدمات الخارجية التي لا تملكها، مثل بيانات الموقع الجغرافي أو مصادر التحليل الذكي للمخاطر - البيانات الحساسة المخزنة فقط داخل مؤسستك، مثل قواعد بيانات الموارد البشرية أو قوائم الأصول عالية القيمة - البيانات التي لم تقم بترحيلها بعد إلى السحابة. |
| أدوات معالجة البيانات المتخصصة والتعلم الآلي والتصور | توفر Jupyter Notebooks المزيد من المرئيات ومكتبات التعلم الآلي وميزات معالجة البيانات وتحويلها. على سبيل المثال، استخدم دفاتر Jupyter Notebook مع إمكانات Python التالية: - pandas لمعالجة البيانات وتنظيفيها وهندستها - Matplotlib، وHoloViews، وPlotly للمرئيات - NumPy وSciPy للمعالجة العلمية والرقمية المتقدمة - scikit-learn للتعلم الآلي - TensorFlow، وPyTorch، وKeras للتعلم العميق تلميح: تدعم دفاتر Jupyter Notebook أنوية متعددة اللغات. استخدم السحر لمزج اللغات داخل دفتر الملاحظات نفسه، من خلال السماح بتنفيذ خلايا فردية باستخدام لغة أخرى. على سبيل المثال، يمكنك استرداد البيانات باستخدام خلية برنامج PowerShell النصي، ومعالجة البيانات في Python، واستخدام JavaScript لعرض مرئيات. |
أدوات أمان MSTIC وJupyter وPython
مركز التحليل الذكي للمخاطر من Microsoft (MSTIC) هو فريق من محللي الأمان والمهندسين من Microsoft الذين يؤلفون عمليات الكشف عن الأمان للعديد من الأنظمة الأساسية لـ Microsoft ويعملون على تحديد التهديدات والتحقيق فيها.
أسس مركز MSTIC MSTICPy، وهي مكتبة لتحقيقات أمان المعلومات والتتبع في دفاتر Jupyter Notebook. توفر MSTICPy وظائف قابلة لإعادة الاستخدام تهدف إلى تسريع إنشاء دفتر الملاحظات، وتسهيل قراءة المستخدمين لدفاتر الملاحظات في Microsoft Sentinel.
على سبيل المثال، يمكن MSTICPy إجراء ما يلي:
- الاستعلام عن بيانات السجل من مصادر متعددة.
- إثراء البيانات باستخدام التحليل الذكي للمخاطر، وتحديد المواقع الجغرافية، وبيانات موارد Azure.
- استخراج مؤشرات النشاط (IoA) من السجلات، وفك البيانات المشفرة.
- إجراء تحليلات متطورة، مثل الكشف عن الجلسة الشاذة وتحلل السلاسل الزمنية.
- تصور البيانات باستخدام المخططات الزمنية التفاعلية وأشجار المعالجة ومخططات التحويل التدريجي متعددة الأبعاد.
تتضمن MSTICPy أيضاً بعض أدوات دفتر الملاحظات الموفرة للوقت، مثل عناصر واجهة المستخدم التي تعين حدود وقت الاستعلام، وتحديد العناصر وعرضها من القوائم، وتكوين بيئة دفتر الملاحظات.
لمزيد من المعلومات، راجع:
- وثائق MSTICPy
- دفاتر ملاحظات Jupyter مع قدرات تتبع Microsoft Sentinel
- التكوينات المتقدمة لدفاتر ملاحظات Jupyter وMSTICPy في Microsoft Azure Sentinel
عوامل التشغيل والوظائف المفيدة
تم إنشاء استعلامات التتبع بلغة استعلام Kusto (KQL)، وهي لغة استعلام قوية بلغة IntelliSense تمنحك القوة والمرونة التي تحتاجها للتتبع إلى المستوى التالي.
إنها نفس اللغة المستخدمة من قبل الاستعلامات في قواعد التحليلات الخاصة بك وفي أي مكان آخر في Microsoft Sentinel. لمزيد من المعلومات، راجع مرجع لغة الاستعلام.
عوامل التشغيل التالية مفيدة بشكل خاص في استعلامات تتبع Microsoft Sentinel:
where - تصفية جدول إلى مجموعة فرعية من الصفوف التي تتوافق مع دالة التقييم.
summarize - إنشاء جدول تجميع محتوى جدول الإدخال.
الانضمام - دمج صفوف جدولين لتشكيل جدول جديد من خلال مطابقة قيم الأعمدة المحددة من كل جدول.
count - إرجاع عدد السجلات في مجموعة سجلات الإدخال.
count - إرجاع أول عدد N من السجلات التي تم تخزينها حسب الأعمدة المحددة.
الحد - إرجاع إلى العدد المحدد لصفوف البيانات.
project - تحديد الأعمدة لتضمينها، أو إعادة تسميتها أو إسقاطها، وإدراج أعمدة محسوبة جديدة.
extend - إنشاء أعمدة محسوبة وإلحاق الأعمدة الجديدة بمجموعة النتائج.
makeset - إرجاع صفيف ديناميكي (JSON) لمجموعة القيم المميزة التي يأخذها Expr في المجموعة
find - البحث عن الصفوف التي تطابق دالة تقييم عبر مجموعة من الجداول.
adx() - تقوم هذه الدالة بإجراء استعلامات عبر الموارد لمصادر بيانات Azure Data Explorer من تجربة تتبع Microsoft Sentinel وتحليلات السجل. لمزيد من المعلومات، راجع الاستعلام عبر الموارد في Azure Data Explorer باستخدام Azure Monitor.
المقالات ذات الصلة
- دفاتر ملاحظات Jupyter مع قدرات تتبع Microsoft Sentinel
- تعقب البيانات في أثناء التتبع باستخدام Microsoft Azure Sentinel
- الكشف عن التهديدات باستخدام التتبع المباشر في Microsoft Sentinel
- تعرف على مثال لاستخدام قواعد التحليلات المخصصة عند مراقبة Zoom باستخدام موصل مخصص.