مشاركة عبر

الكشف عن التهديدات باستخدام التتبع المباشر في Microsoft Sentinel

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

استخدم التتبع المباشر لإنشاء جلسات عمل تفاعلية تتيح لك اختبار الاستعلامات التي تم إنشاؤها حديثًا عند حدوث الأحداث، والحصول على إعلامات من الجلسات عند العثور على تطابق، وبدء التحقيقات إذا لزم الأمر. يمكنك إنشاء جلسة مباشرة بسرعة باستخدام أي استعلام Log Analytics.

هام

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

إنشاء جلسة بث مباشر

يمكنك إنشاء جلسة livestream من استعلام تتبع موجود، أو إنشاء جلسة العمل الخاصة بك من البداية.

  1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن Threat management، حدد Hunting.
    بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Threat management>Hunting.

  2. لإنشاء جلسة livestream من استعلام تتبع:

    1. من علامة التبويب Queries، حدد موقع استعلام التتبع لاستخدامه.
    2. انقر بزر الماوس الأيمن فوق الاستعلام وحدد إضافة إلى livestream. على سبيل المثال:

    create Livestream session from Microsoft Sentinel hunting query

  3. لإنشاء جلسة بث مباشر من البداية:

    1. حدد علامة التبويب Livestream.
    2. حدد + New livestream.

  4. في جزء Livestream:

    • إذا بدأت البث المباشر من استعلام، فراجع الاستعلام وأدخل أي تغييرات تريد إجراؤها.
    • إذا بدأت البث المباشر من البداية، فنشئ استعلامك.

    يدعم Livestream استعلامات الموارد المشتركة للبيانات في Azure Data Explorer. تعرف على المزيد حول الاستعلامات عبر الموارد.

  5. حدد Add من شريط الأوامر.

    يشير شريط المعلومات ضمن شريط الأوامر إلى ما إذا كانت جلسة البث المباشر قيد التشغيل أو متوقفة مؤقتًا. في المثال التالي، يتم تشغيل جلسة العمل:

    create livestream session from Microsoft Sentinel hunting

  6. حدد حفظ من شريط الأوامر.

    ما لم تحدد إيقاف مؤقت، تستمر الجلسة في التشغيل حتى يتم تسجيل خروجك من مدخل Microsoft Azure.

عرض جلسات البث المباشر

ابحث عن جلسات البث المباشر في علامة التبويب Hunting>Livestream .

  1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن Threat management، حدد Hunting.
    بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Threat management>Hunting.

  2. حدد علامة التبويب Livestream.

  3. حدد جلسة البث المباشر التي تريد عرضها أو تحريرها. على سبيل المثال:

    create livestream session from Microsoft Sentinel hunting query

    تفتح جلسة البث المباشر المحددة لتشغيلها وإيقافها مؤقتًا وتحريرها وما إلى ذلك.

تلقي الإعلامات عند حدوث أحداث جديدة

تظهر إعلامات البث المباشر للأحداث الجديدة مع إعلامات مدخل Microsoft Azure أو Defender. على سبيل المثال:

Azure portal notification for livestream

  1. في مدخل Microsoft Azure أو Defender، انتقل إلى الإعلامات في الجانب الأيمن العلوي من صفحة المدخل.
  2. حدد الإعلام لفتح جزء Livestream.

رفع جلسة البث المباشر إلى تنبيه

ترقية جلسة البث المباشر إلى تنبيه جديد عن طريق تحديد Elevate للتنبيه من شريط الأوامر في جلسة البث المباشر ذات الصلة:

رفع جلسة البث المباشر إلى تنبيه

يفتح هذا الإجراء معالج إنشاء القاعدة، الذي يتم ملء مسبقًا بالاستعلام المقترن بجلسة البث المباشر.

الخطوات التالية

في هذه المقالة، تعلمت كيفية استخدام البث المباشر للتتبع في Microsoft Sentinel. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel: