قُم بإدارة إصدارات القالب لقواعد التحليلات المجدولة في Microsoft Azure Sentinel

هام

هذه الميزة في مرحلة المعاينة. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

مقدمة

يحتوي Microsoft Sentinel على قوالب قواعد التحليلات التي تحولها إلى قواعد نشطة عن طريق إنشاء نسخة منها بشكل فعال - وهذا ما يحدث عند إنشاء قاعدة من قالب. إلا إنه في هذه المرحلة لم تعد القاعدة النشطة متصلة بالقالب. إذا أُجريت تغييرات على قالب قاعدة، بواسطة مهندسي Microsoft أو أي شخص آخر، فلن تُحدّث أي قواعد أُنشئت من هذا القالب مسبقاً بشكل ديناميكي لمطابقة القالب الجديد.

ومع ذلك ، تذكر القواعد التي تم إنشاؤها من القوالب التي جاءت منها، والتي تسمح لك بميزتين:

• إذا قمت بإجراء تغييرات على قاعدة عند إنشائها من قالب، أو في أي وقت بعد ذلك، يمكنك دائما إعادة القاعدة إلى إصدارها الأصلي.

• يتم إعلامك عند تحديث قالب. يمكنك إما تحديث القواعد الخاصة بك إلى الإصدار الجديد من قوالبها، أو تركها كما هي.

توضح لك هذه المقالة كيفية إدارة هذه المهام، وما يجب أن تضعه في الاعتبار. تنطبق الإجراءات التي تمت مناقشتها في المقالة على أي قواعد تحليلات مجدولة تم إنشاؤها من القوالب.

اكتشف رقم إصدار قالب القاعدة

من خلال تنفيذ عنصر التحكم في إصدار القالب، يمكنك الاطلاع على إصدارات قوالب القواعد والقواعد التي أُنشئت منها وتعقبها. تعرض القواعد ذات القوالب المحدثة شارة "تحديث" بجوار اسم القاعدة.

1. في صفحة التحليلات ، حدد علامة التبويب القواعد النشطة.

2. حدد أي قاعدة من النوع المجدول.

   • إذا كانت القاعدة تعرض شارة "التحديث"، فسيكون لجزء التفاصيل الخاص بها زر مراجعة وتحديث بجوار الزر تحرير (راجع الصورة 1 في الخطوة التالية).

   • إذا تم إنشاء القاعدة من قالب ولكن لا تحتوي على شارة "التحديث"، فسيكون لجزء التفاصيل الخاص بها زر مقارنة مع قالب بجوار الزر تحرير (راجع الصور 2 و3 في الخطوة التالية).

   • إذا كان هناك زر تحرير فقط، فقد تم إنشاء القاعدة من البداية، وليس من قالب.

     

3. مرر لأسفل إلى أسفل جزء التفاصيل، حيث ترى رقمي إصدار: إصدار القالب الذي تم إنشاء القاعدة منه، وأحدث إصدار متوفر من القالب.

   

   الرقم بتنسيق "1.0.0" - الإصدار الرئيسي والإصدار الثانوي والنسخة.

   • يشير الاختلاف في رقم الإصدار الرئيسي إلى تغيير شيء أساسي في القالب، قد يؤثر على كيفية اكتشاف القاعدة للتهديدات أو حتى قدرتها على العمل بشكل كامل. تريد تضمين هذا التغيير في القواعد الخاصة بك.

   • يشير الاختلاف في رقم الإصدار الثانوي إلى تحسن طفيف في القالب - تغيير تجميلي أو شيء مشابه - سيكون "من الجيد الحصول عليه" ولكنه ليس أمرا بالغ الأهمية للحفاظ على وظيفة القاعدة أو كفاءتها أو أدائها. يمكنك أن تأخذ هذا التغيير بسهولة أو تتركه.

   إشعار

   تعرض الصورتان 2 و3 مثالين على القواعد التي تم إنشاؤها من القوالب، حيث لم يتم تحديث القالب.

   • تعرض الصورة 2 قاعدة تحتوي على رقم إصدار لقالبها الحالي. يشير هذا إلى أن القاعدة أُنشئت بعد التنفيذ الأوليّ لمنصة Microsoft Azure Sentinel للتحكم في إصدار القالب في أكتوبر 2021.
   • تعرض الصورة 3 قاعدة لا تحتوي على إصدار قالب حالي. يوضح هذا أن القاعدة قد أُنشئت قبل أكتوبر 2021. إذا كان هناك أحدث إصدار قالب متوفر، فمن المحتمل أن يكون إصداراً أحدث للقالب من الإصدار المستخدم لإنشاء القاعدة.

قارن القاعدة النشطة الخاصة بك بالقالب الخاص بها

اختر إحدى علامات التبويب التالية وفقاً للإجراء الذي ترغب في اتخاذه، للاطلاع على إرشادات هذا الإجراء:

تحديث القالب

بعد تحديد قاعدة وتحديد رغبتك في تحديثها، حدد مراجعة وتحديث في جزء التفاصيل (راجع سابقا). ترى أن معالج قاعدة التحليلات يحتوي الآن على علامة تبويب مقارنة بأحدث إصدار .

في علامة التبويب هذه، سترى مقارنة جنبا إلى جنب بين تمثيلات YAML للقاعدة الموجودة وأحدث إصدار من القالب.

إشعار

سيؤدي تحديث هذه القاعدة إلى استبدال القاعدة الحالية بأحدث إصدار من القالب.

يجب التحقق من أي خطوة أو منطق أتمتة يشير إلى القاعدة الموجودة، في حالة تغيير الأسماء المشار إليها. علاوة على ذلك، قد تتم الكتابة فوق أي تخصيصات أجريتها في إنشاء القاعدة الأصلية - تغييرات في الاستعلام أو الجدولة أو التجميع أو الإعدادات الأخرى.

حدّث القاعدة الخاصة بك باستخدام إصدار القالب الجديد

• إذا كانت التغييرات التي تم إجراؤها على الإصدار الجديد من القالب مقبولة لك، ولم يتأثر أي شيء آخر في القاعدة الأصلية، فحدد مراجعة وتحديث للتحقق من صحة التغييرات وتطبيقها.

• إذا كنت تريد تخصيص القاعدة بشكل أكبر أو إعادة تطبيق أي تغييرات قد تتم الكتابة فوقها، فحدد Next : Custom changes. تنقل عبر علامات التبويب المتبقية في معالج قاعدة التحليلات لإجراء هذه التغييرات، ثم تحقق من صحة التغييرات وتطبيقها في علامة التبويب مراجعة وتحديث .

• إذا كنت لا تريد إجراء أي تغييرات على القاعدة الموجودة، ولكن بدلاً من ذلك تريد الحفاظ على إصدار القالب الحالي، فما عليك سوى الخروج من المعالج عن طريق تحديد X في الزاوية العلوية اليسرى.

العودة إلى القالب

بعد تحديد قاعدة وتحديد رغبتك في العودة إلى إصدارها الأصلي، حدد مقارنة مع القالب في جزء التفاصيل (راجع سابقا). ترى أن معالج قاعدة التحليلات يحتوي الآن على علامة تبويب مقارنة بأحدث إصدار .

في علامة التبويب هذه، سترى مقارنة جنبا إلى جنب بين تمثيلات YAML للقاعدة الموجودة وأحدث إصدار من القالب. قد يكون هذان الرقمان متماثلين، ولكن الجانب الأيمن يعرض القالب الأصلي الذي لم يتغير، ويعرض الجانب الأيسر القاعدة النشطة، بما في ذلك أي تغييرات من القالب الأصلي.

إشعار

سيؤدي تحديث هذه القاعدة إلى استبدال القاعدة الحالية بأحدث إصدار من القالب.

يجب التحقق من أي خطوة أو منطق أتمتة يشير إلى القاعدة الموجودة، في حالة تغيير الأسماء المشار إليها. علاوة على ذلك، قد تتم الكتابة فوق أي تخصيصات أجريتها في إنشاء القاعدة الأصلية - تغييرات في الاستعلام أو الجدولة أو التجميع أو الإعدادات الأخرى.

إرجاع القاعدة إلى إصدار القالب الأصلي الخاص بها

• إذا كنت تريد العودة تماما إلى الإصدار الأصلي من هذه القاعدة - نسخة نظيفة من القالب - فحدد مراجعة وتحديث للتحقق من صحة التغييرات وتطبيقها.

• إذا كنت تريد تخصيص القاعدة بشكل مختلف أو إعادة تطبيق أي تغييرات قد تتم الكتابة فوقها، فحدد Next : Custom changes. تنقل عبر علامات التبويب المتبقية في معالج قاعدة التحليلات لإجراء هذه التغييرات، ثم تحقق من صحة التغييرات وتطبيقها في علامة التبويب مراجعة وتحديث .

• إذا كنت لا تريد إجراء أي تغييرات على القاعدة الحالية، فما عليك سوى الخروج من المعالج عن طريق تحديد X في الزاوية العلوية اليسرى.

الخطوات التالية

تعلمت في هذه الوثيقة كيفية تعقب إصدارات قوالب قواعد تحليلات منصة Microsoft Azure Sentinel، وإما إعادة القواعد النشطة إلى إصدارات القوالب الحالية أو تحديثها إلى إصدارات جديدة. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel:

• تعرف على المزيد حول قواعد التحليلات.
• اطلع على المزيد من التفاصيل حول معالج قاعدة التحليلات.