تتبع التهديدات في Microsoft Sentinel

• ينطبق على:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

بصفتك من المحللين والمحققين الأمنيين، فأنت تريد أن تكون استباقياً في البحث عن تهديدات أمنية، ولكن الأنظمة والأجهزة الأمنية المختلفة لديك تولد كميات هائلة من البيانات التي قد يكون من الصعب تحليلها وتصفيتها في أحداث ذات مغزى. يحتوي Microsoft Sentinel على أدوات بحث واستعلام قوية للبحث عن تهديدات الأمان عبر مصادر بيانات مؤسستك. لمساعدة محللي الأمان على البحث بشكل استباقي عن الحالات الشاذة الجديدة التي لم تكتشفها تطبيقات الأمان الخاصة بك أو حتى من خلال قواعد التحليلات المجدولة، ترشدك استعلامات التتبع المضمنة في Microsoft Sentinel إلى طرح الأسئلة الصحيحة للعثور على المشكلات في البيانات التي لديك بالفعل على شبكتك.

على سبيل المثال، يوفر استعلام مضمن بيانات حول العمليات الأكثر شيوعاً التي تعمل على البنية الأساسية الخاصة بك. لا تريد تنبيها في كل مرة يتم تشغيلها. يمكن أن يكونوا أبرياء تماما. ولكن قد ترغب في إلقاء نظرة على الاستعلام في بعض الأحيان لمعرفة ما إذا كان هناك أي شيء غير عادي.

إشعار

للحصول على معلومات حول توافر الميزات في سحابة حكومة الولايات المتحدة، راجع جداول Microsoft Azure Sentinel في توافر الميزات السحابية لعملاء حكومة الولايات المتحدة .

هام

يتوفر Microsoft Sentinel كجزء من المعاينة العامة للنظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

استخدام الاستعلامات المضمنة

توفر لوحة معلومات التتبع أمثلة استعلام جاهزة مصممة للبدء والتعرف على الجداول ولغة الاستعلام. يتم تشغيل الاستعلامات على البيانات المخزنة في جداول السجل، مثل لإنشاء العملية أو أحداث DNS أو أنواع الأحداث الأخرى.

يتم تطوير استعلامات التتبع المضمنة هذه من قبل الباحثين الأمنيين لـ Microsoft بشكل مستمر، إضافة استعلامات جديدة، وصقل الاستعلامات الموجودة لتوفير نقطة دخول للبحث عن جديد ومعرفة من أين تبدأ البحث عن بدايات هجمات جديدة.

استخدم الاستعلامات قبل التسوية وأثنائها وبعدها لاتخاذ الإجراءات التالية:

• قبل وقوع حادث: انتظار عمليات الكشف غير كاف. اتخذ إجراء استباقياً عن طريق تشغيل أي استعلامات تتبع المخاطر المتعلقة بالبيانات التي تقوم باستيعابها في مساحة العمل الخاصة بك مرة واحدة على الأقل في الأسبوع.

  توفر النتائج من التتبع الاستباقي نظرة ثاقبة مبكرة للأحداث التي قد تؤكد أن الحل الوسط قيد التنفيذ، أو على الأقل تظهر مناطق أضعف في بيئتك معرضة للخطر وتحتاج إلى الاهتمام.

• أثناء التسوية: استخدم البث المباشر لتشغيل استعلام معين باستمرار، وعرض النتائج عند قدومها. استخدم البث المباشر عندما تحتاج إلى مراقبة أحداث المستخدم بنشاط، مثل ما إذا كنت بحاجة إلى التحقق مما إذا كان لا يزال يحدث حل وسط معين، للمساعدة في تحديد الإجراء التالي لممثل التهديد، وقرب نهاية التحقيق للتأكد من أن الحل الوسط قد انتهى بالفعل.

• بعد حل وسط: بعد حدوث حل وسط أو حدث، تأكد من تحسين التغطية والرؤى لمنع وقوع حوادث مماثلة في المستقبل.

  • قم بتعديل الاستعلامات الموجودة أو إنشاء استعلامات جديدة للمساعدة في الكشف المبكر، استنادا إلى الرؤى المكتسبة من التسوية أو الحادث.

  • إذا اكتشفت أو أنشأت استعلام تتبع يوفر رؤى عالية القيمة في الهجمات المحتملة، فبادر بإنشاء قواعد الكشف المخصصة استنادا إلى هذا الاستعلام، وقم بإيجاد هذه الرؤى كتنبيهات لمستجيبي حوادث الأمان.

    اعرض نتائج الاستعلام، وحدد قاعدة تنبيه جديدة>إنشاء تنبيه Microsoft Sentinel. استخدم معالج قاعدة التحليلات لإنشاء قاعدة جديدة استناداً إلى استعلامك. لمزيد من المعلومات، راجع إنشاء قواعد تحليلات مخصصة للكشف عن التهديدات.

يمكنك أيضا إنشاء استعلامات التتبع والبث المباشر عبر البيانات المخزنة في Azure Data Explorer. لمزيد من المعلومات، راجع تفاصيل إنشاء استعلامات عبر الموارد في وثائق مراقبة Azure.

استخدم موارد المجتمع، مثل مستودع Microsoft Sentinel GitHub للعثور على المزيد من الاستعلامات ومصادر البيانات.

استخدام لوحة معلومات التتبع

تمكنك لوحة معلومات التتبع من تشغيل جميع الاستعلامات الخاصة بك، أو مجموعة فرعية محددة، في تحديد واحد. في مدخل Microsoft Sentinel، حدد التتبع.

يسرد الجدول المعروض جميع الاستعلامات التي كتبها فريق محللي الأمان في Microsoft وأي استعلام إضافي قمت بإنشائه أو تعديله. يوفر كل استعلام وصفاً لما يتتبعه، ونوع البيانات التي يتم تشغيله عليها. يتم تجميع هذه الاستعلامات بواسطة تكتيكات MITRE ATT&CK الخاصة بهم. تصنف الأيقونات الموجودة على اليسار نوع التهديد، مثل الوصول الأولي والمثابرة والاختراق. يتم عرض تقنيات MITRE ATT CK في عمود التقنيات ووصف السلوك المحدد الذي يحدده استعلام التتبع.

استخدم لوحة معلومات التتبع لتحديد مكان بدء التتبع، من خلال النظر إلى عدد النتائج أو الارتفاعات أو التغيير في عدد النتائج على مدى فترة 24 ساعة. الفرز والتصفية حسب المفضلة أو مصدر البيانات أو أسلوب MITRE ATT&CK أو النتائج أو دلتا النتائج أو نسبة دلتا النتائج. عرض الاستعلامات التي لا تزال بحاجة إلى مصادر بيانات متصلة، والحصول على توصيات حول كيفية تمكين هذه الاستعلامات.

يصف الجدول التالي الإجراءات التفصيلية المتوفرة من لوحة معلومات التتبع:

الإجراء	‏‏الوصف
تعرف على كيفية تطبيق الاستعلامات على بيئتك	حدد الزر Run all queries، أو حدد مجموعة فرعية من الاستعلامات باستخدام خانات الاختيار إلى يسار كل صف وحدد الزر Run selected queries. قد يستغرق تشغيل الاستعلامات في أي مكان من بضع ثوانٍ إلى عدة دقائق، اعتماداً على عدد الاستعلامات المحددة والنطاق الزمني ومقدار البيانات التي يتم الاستعلام فيها.
عرض الاستعلامات التي أرجعت النتائج	بعد الانتهاء من تشغيل الاستعلامات، اعرض الاستعلامات التي أرجعت النتائج باستخدام عامل تصفية النتائج : - فرز لمعرفة الاستعلامات التي لها أكبر أو أقل النتائج. - اعرض الاستعلامات غير النشطة على الإطلاق في بيئتك عن طريق تحديد N/A في عامل تصفية النتائج . - مرر مؤشر الماوس فوق أيقونة المعلومات (i) بجوار غير متوفر لمعرفة مصادر البيانات المطلوبة لجعل هذا الاستعلام نشطاً.
تحديد الارتفاعات في بياناتك	تحديد الارتفاعات في البيانات عن طريق الفرز أو التصفية على دلتا النتائج أو النسبة المئوية لدلتا النتائج. مقارنة نتائج آخر 24 ساعة مقابل نتائج الساعات 24-48 السابقة، مع تمييز أي اختلافات كبيرة أو اختلاف نسبي في الحجم.
عرض الاستعلامات المعينة إلى تكتيك MITRE ATT&CK	يسرد شريط تكتيك MITRE ATT&CK، في أعلى الجدول، عدد الاستعلامات التي تم تعيينها لكل تكتيك MITRE ATT&CK. يتم تحديث شريط التكتيك ديناميكياً استناداً إلى المجموعة الحالية من عوامل التصفية المطبقة. يمكنك من معرفة تكتيكات MITRE ATT&CK التي تظهر عند التصفية حسب عدد نتائج معين أو دلتا نتائج عالية أو نتائج N/A أو أي مجموعة أخرى من عوامل التصفية.
عرض الاستعلامات المعينة لتقنيات MITRE ATT&CK	يمكن أيضا تعيين الاستعلامات إلى تقنيات MITRE ATT&CK. يمكنك التصفية أو الفرز حسب تقنيات MITRE ATT&CK باستخدام عامل تصفية التقنية . من خلال فتح استعلام، يمكنك تحديد التقنية لرؤية وصف MITRE ATT&CK للتقنية.
حفظ استعلام إلى المفضلة	يتم تشغيل الاستعلامات المحفوظة في المفضلة تلقائياً في كل مرة يتم فيها الوصول إلى صفحة التتبع. يمكنك إنشاء استعلام التتبع الخاص بك أو استنساخ وتخصيص قالب استعلام تتبع موجود.
تشغيل الاستعلامات	حدد تشغيل الاستعلام في صفحة تفاصيل استعلام التتبع لتشغيل الاستعلام مباشرة من صفحة التتبع. يتم عرض عدد التطابقات داخل الجدول، في عمود النتائج. راجع قائمة استعلامات التتبع ومطابقاتها.
مراجعة استعلام أساسي	قم بإجراء مراجعة سريعة للاستعلام الأساسي في جزء «تفاصيل الاستعلام». يمكنك رؤية النتائج بالنقر فوق الارتباط عرض نتائج الاستعلام (أسفل نافذة الاستعلام) أو الزر عرض النتائج (في أسفل الجزء). يفتح الاستعلام صفحة Logs (Log Analytics)، وتحت الاستعلام، يمكنك مراجعة تطابقات الاستعلام.

إنشاء استعلام تتبع مخصص

إنشاء استعلام أو تعديله وحفظه كاستعلام خاص بك أو مشاركته مع المستخدمين الموجودين في نفس المستأجر.

لإنشاء استعلام جديد::

1. حدد "New query".

2. املأ كافة الحقول الفارغة وحدد إنشاء.

   1. إنشاء تعيينات الكيانات عن طريق تحديد أنواع الكيانات والمعرفات والأعمدة.

      

   2. قم بتعيين تقنيات MITRE ATT&CK إلى استعلامات التتبع الخاصة بك عن طريق تحديد التكتيك والتقنية والتقنية الفرعية (إن أمكن).

      

لاستنساخ استعلام موجود وتعديله:

1. من الجدول، حدد استعلام التتبع الذي تريد تعديله.

2. حدد علامة الحذف (...) في سطر الاستعلام الذي تريد تعديله، وحدد استنساخ الاستعلام.

   

3. قم بتعديل الاستعلام وحدد إنشاء.

لتعديل استعلام مخصص موجود:

1. من الجدول، حدد استعلام التتبع الذي ترغب في تعديله. يمكن تحرير الاستعلامات التي من مصدر محتوى مخصص فقط. يجب تحرير مصادر المحتوى الأخرى في هذا المصدر.

2. حدد علامة الحذف (...) في سطر الاستعلام الذي تريد تعديله، وحدد تحرير الاستعلام.

3. تعديل حقل الاستعلام المخصص باستخدام الاستعلام المحدث. يمكنك أيضا تعديل تعيين الكيان والتقنيات كما هو موضح في قسم "لإنشاء استعلام جديد" من هذه الوثائق.

نموذج استعلام

يبدأ الاستعلام النموذجي باسم جدول أو محلل متبوعاً بسلسلة من عوامل التشغيل مفصولة بحرف توجيه ("|").

في المثال أعلاه، ابدأ باسم الجدول SecurityEvent وأضف عناصر المسارات حسب الحاجة.

1. حدد عامل تصفية الوقت لمراجعة السجلات فقط من الأيام السبعة السابقة.

2. أضف عامل تصفية في الاستعلام لإظهار معرف الحدث 4688 فقط.

3. أضف عامل تصفية في الاستعلام على سطر الأوامر ليحتوي على مثيلات cscript.exe فقط.

4. اعرض الأعمدة التي تهتم باستكشافها فقط وحدد النتائج إلى 1000 وحدد تشغيل الاستعلام.

5. حدد المثلث الأخضر وقم بتشغيل الاستعلام. يمكنك اختبار الاستعلام وتشغيله للبحث عن سلوك شاذ.

نوصي بأن يستخدم الاستعلام محلل نموذج معلومات الأمان المتقدم (ASIM) وليس جدولاً مضمناً. وهذا يضمن أن الاستعلام سيدعم أي مصدر بيانات حالٍ أو مستقبلي ذي صلة بدلاً من مصدر بيانات واحد.

إنشاء الإشارات المرجعية

أثناء عملية التتبع والتحقيق، قد تصادف نتائج الاستعلام التي تبدو غير عادية أو مريبة. ضع إشارة مرجعية على هذه العناصر للرجوع إليها في المستقبل، مثل عند إنشاء حادث أو إثرائه للتحقيق فيه. يجب رفع أحداث، مثل الأسباب الجذرية المحتملة أو مؤشرات التسوية أو الأحداث البارزة الأخرى كإشارة مرجعية. إذا كان الحدث الرئيسي الذي قمت بإشارة مرجعية شديد بما يكفي لتبرير إجراء تحقيق، فصعده إلى حدث.

• في النتائج، ضع علامة على خانات الاختيار لأي صفوف تريد الاحتفاظ بها، وحدد إضافة إشارة مرجعية. يؤدي هذا إلى إنشاء سجل لكل صف تم وضع علامة عليه، وإشارة مرجعية، يحتوي على نتائج الصف والاستعلام الذي أنشأ النتائج. يمكنك إضافة العلامات والملاحظات الخاصة بك إلى كل إشارة مرجعية.

  • كما هو الحال مع قواعد التحليلات المجدولة، يمكنك إثراء الإشارات المرجعية الخاصة بك مع تعيينات الكيان لاستخراج أنواع ومعرفات متعددة للكيانات، وتعيينات MITRE ATT&CK لربط تكتيكات وتقنيات معينة.
  • الإشارات المرجعية الافتراضية لاستخدام نفس الكيان وتعيينات تقنية MITRE ATT&CK مثل استعلام التتبع الذي نتج عنه النتائج المرجعية.

• اعرض جميع النتائج التي تم وضع إشارة مرجعية عليها بالنقر فوق علامة التبويب الإشارات المرجعية في صفحة التتبع الرئيسية. أضف علامات إلى الإشارات المرجعية لتصنيفها للتصفية. على سبيل المثال، إذا كنت تحقق في حملة هجوم، يمكنك إنشاء علامة للحملة، وتطبيق العلامة على أي إشارات مرجعية ذات صلة، ثم تصفية جميع الإشارات المرجعية استنادًا إلى الحملة.

• تحقق من العثور على إشارة مرجعية واحدة عن طريق تحديد الإشارة المرجعية ثم النقر فوق التحقيق في جزء التفاصيل لفتح تجربة التحقيق. يمكنك أيضاً تحديد كيان مدرج مباشرة لعرض صفحة الكيان المقابل لذلك الكيان.

  يمكنك أيضا إنشاء حادث من إشارة مرجعية واحدة أو أكثر، أو إضافة إشارة مرجعية واحدة أو أكثر إلى حدث موجود. حدد خانة اختيار إلى يمين أي إشارات مرجعية تريد استخدامها، ثم حدد إجراءات الحادث>إنشاء حادث جديد أو إضافة إلى الحدث الموجود. فرز الحادث والتحقيق فيه، مثل أي حادث آخر.

لمزيد من المعلومات، راجع استخدام الإشارات المرجعية في التتبع.

استخدام دفاتر الملاحظات لتشغيل التحقيقات

عندما تصبح عمليات التتبع والتحقيقات أكثر تعقيداً، استخدم دفاتر ملاحظات Microsoft Sentinel لتحسين نشاطك من خلال التعلم الآلي والتصورات وتحليل البيانات.

توفر دفاتر الملاحظات نوعاً من بيئة الاختبار المعزولة الظاهرية، كاملة مع نواة خاصة بها، حيث يمكنك إجراء تحقيق كامل. يمكن أن يتضمن دفتر الملاحظات البيانات الأولية، والتعليمة البرمجية التي تقوم بتشغيلها على تلك البيانات، والنتائج، وتصوراتها. احفظ دفاتر الملاحظات بحيث يمكنك مشاركتها مع الآخرين لإعادة استخدامها في مؤسستك.

قد تكون دفاتر الملاحظات مفيدة عندما يصبح البحث أو التحقيق كبيرا جدا بحيث يتعذر تذكره بسهولة أو عرض التفاصيل أو عندما تحتاج إلى حفظ الاستعلامات والنتائج. لمساعدتك في إنشاء دفاتر الملاحظات ومشاركتها، يوفر Microsoft Sentinel دفاتر ملاحظات Jupyter، وهي بيئة مفتوحة المصدر وتفاعلية لمعالجة البيانات، مدمجة مباشرة في صفحة دفاتر ملاحظات Microsoft Sentinel.

لمزيد من المعلومات، راجع:

• استخدام Jupyter Notebook للبحث عن المخاطر الأمنية
• وثائق مشروع Jupyter
• وثائق Jupyter التمهيدية.
• Infosec Jupyter Book
• برامج Python التعليمية الحقيقية

يصف الجدول التالي بعض أساليب استخدام دفاتر ملاحظات Jupyter لمساعدة عملياتك في Microsoft Sentinel:

الطريقة	‏‏الوصف
استمرار البيانات وقابلية التكرار والتراجع	إذا كنت تعمل مع العديد من الاستعلامات ومجموعات النتائج، من المحتمل أن يكون لديك بعض النهايات المهلكة. تحتاج إلى تحديد الاستعلامات والنتائج التي يجب الاحتفاظ بها، وكيفية تجميع النتائج المفيدة في تقرير واحد. استخدم دفاتر Jupyter Notebook لحفظ الاستعلامات والبيانات أثناء التنقل، أو استخدم المتغيرات لإعادة تشغيل الاستعلامات بقيم أو تواريخ مختلفة، أو حفظ الاستعلامات لإعادة تشغيل التحقيقات المستقبلية.
البرمجة النصية والبرمجة	استخدم Jupyter Notebooks لإضافة برمجة إلى استعلاماتك، بما في ذلك: - اللغات التعريفية مثل Kusto Query Language (KQL) أو SQL لترميز المنطق الخاص بك في عبارة واحدة وربما عبارة معقدة. - لغات البرمجة الإجرائية، لتشغيل المنطق في سلسلة من الخطوات. قم بتقسيم المنطق إلى خطوات لمساعدتك في رؤية النتائج الوسيطة وتصحيحها، وإضافة وظائف قد لا تكون متوفرة في لغة الاستعلام، وإعادة استخدام النتائج الجزئية في خطوات المعالجة اللاحقة.
ارتباطات إلى بيانات خارجية	بينما تحتوي جداول Microsoft Sentinel على معظم بيانات تتبع الاستخدام وبيانات الحدث، يمكن لدفاتر Jupyter Notebook الارتباط بأي بيانات يمكن الوصول إليها عبر شبكتك أو من ملف. يسمح لك استخدام Jupyter Notebooks بتضمين بيانات مثل: - البيانات في الخدمات الخارجية التي لا تملكها، مثل بيانات الموقع الجغرافي أو مصادر التحليل الذكي للمخاطر - البيانات الحساسة المخزنة فقط داخل مؤسستك، مثل قواعد بيانات الموارد البشرية أو قوائم الأصول عالية القيمة - البيانات التي لم تقم بترحيلها بعد إلى السحابة.
أدوات معالجة البيانات المتخصصة والتعلم الآلي والتصور	توفر Jupyter Notebooks المزيد من المرئيات ومكتبات التعلم الآلي وميزات معالجة البيانات وتحويلها. على سبيل المثال، استخدم دفاتر Jupyter Notebook مع إمكانات Python التالية: - pandas لمعالجة البيانات وتنظيفيها وهندستها - Matplotlib، وHoloViews، وPlotly للمرئيات - NumPy وSciPy للمعالجة العلمية والرقمية المتقدمة - scikit-learn للتعلم الآلي - TensorFlow، وPyTorch، وKeras للتعلم العميق تلميح: تدعم دفاتر Jupyter Notebook أنوية متعددة اللغات. استخدم السحر لمزج اللغات داخل دفتر الملاحظات نفسه، من خلال السماح بتنفيذ خلايا فردية باستخدام لغة أخرى. على سبيل المثال، يمكنك استرداد البيانات باستخدام خلية برنامج PowerShell النصي، ومعالجة البيانات في Python، واستخدام JavaScript لعرض مرئيات.

أدوات أمان MSTIC وJupyter وPython

مركز التحليل الذكي للمخاطر من Microsoft (MSTIC) هو فريق من محللي الأمان والمهندسين من Microsoft الذين يؤلفون عمليات الكشف عن الأمان للعديد من الأنظمة الأساسية لـ Microsoft ويعملون على تحديد التهديدات والتحقيق فيها.

أسس مركز MSTIC MSTICPy، وهي مكتبة لتحقيقات أمان المعلومات والتتبع في دفاتر Jupyter Notebook. توفر MSTICPy وظائف قابلة لإعادة الاستخدام تهدف إلى تسريع إنشاء دفتر الملاحظات، وتسهيل قراءة المستخدمين لدفاتر الملاحظات في Microsoft Sentinel.

على سبيل المثال، يمكن MSTICPy إجراء ما يلي:

• الاستعلام عن بيانات السجل من مصادر متعددة.
• إثراء البيانات باستخدام التحليل الذكي للمخاطر، وتحديد المواقع الجغرافية، وبيانات موارد Azure.
• استخراج مؤشرات النشاط (IoA) من السجلات، وفك البيانات المشفرة.
• إجراء تحليلات متطورة، مثل الكشف عن الجلسة الشاذة وتحلل السلاسل الزمنية.
• تصور البيانات باستخدام المخططات الزمنية التفاعلية وأشجار المعالجة ومخططات التحويل التدريجي متعددة الأبعاد.

تتضمن MSTICPy أيضاً بعض أدوات دفتر الملاحظات الموفرة للوقت، مثل عناصر واجهة المستخدم التي تعين حدود وقت الاستعلام، وتحديد العناصر وعرضها من القوائم، وتكوين بيئة دفتر الملاحظات.

لمزيد من المعلومات، راجع:

• وثائق MSTICPy
• البرنامج التعليمي: بدء استخدام مفكرات Jupyter وMSTICPy في Microsoft Azure Sentinel
• التكوينات المتقدمة لدفاتر ملاحظات Jupyter وMSTICPy في Microsoft Azure Sentinel

عوامل التشغيل والوظائف المفيدة

تم إنشاء استعلامات التتبع بلغة استعلام Kusto (KQL)، وهي لغة استعلام قوية بلغة IntelliSense تمنحك القوة والمرونة التي تحتاجها للتتبع إلى المستوى التالي.

إنها نفس اللغة المستخدمة من قبل الاستعلامات في قواعد التحليلات الخاصة بك وفي أي مكان آخر في Microsoft Sentinel. لمزيد من المعلومات، راجع مرجع لغة الاستعلام.

عوامل التشغيل التالية مفيدة بشكل خاص في استعلامات تتبع Microsoft Sentinel:

• where - تصفية جدول إلى مجموعة فرعية من الصفوف التي تتوافق مع دالة التقييم.

• summarize - إنشاء جدول تجميع محتوى جدول الإدخال.

• الانضمام - دمج صفوف جدولين لتشكيل جدول جديد من خلال مطابقة قيم الأعمدة المحددة من كل جدول.

• count - إرجاع عدد السجلات في مجموعة سجلات الإدخال.

• count - إرجاع أول عدد N من السجلات التي تم تخزينها حسب الأعمدة المحددة.

• الحد - إرجاع إلى العدد المحدد لصفوف البيانات.

• project - تحديد الأعمدة لتضمينها، أو إعادة تسميتها أو إسقاطها، وإدراج أعمدة محسوبة جديدة.

• extend - إنشاء أعمدة محسوبة وإلحاق الأعمدة الجديدة بمجموعة النتائج.

• makeset - إرجاع صفيف ديناميكي (JSON) لمجموعة القيم المميزة التي يأخذها Expr في المجموعة

• find - البحث عن الصفوف التي تطابق دالة تقييم عبر مجموعة من الجداول.

• adx() - تقوم هذه الدالة بإجراء استعلامات عبر الموارد لمصادر بيانات Azure Data Explorer من تجربة تتبع Microsoft Sentinel وتحليلات السجل. لمزيد من المعلومات، راجع الاستعلام عبر الموارد في Azure Data Explorer باستخدام Azure Monitor.

الخطوات التالية

في هذه المقالة، تعلمت كيفية تشغيل تحقيق التتبع باستخدام Microsoft Sentinel.

لمزيد من المعلومات، راجع:

• استخدام دفاتر الملاحظات لتشغيل حملات التتبع التلقائية
• استخدم الإشارات المرجعية لحفظ معلومات مثيرة للاهتمام أثناء التتبع

تعرف على مثال لاستخدام قواعد التحليلات المخصصة عند مراقبة Zoom باستخدام موصل مخصص.