تعيين حقول البيانات للكيانات في Microsoft Azure Sentinel
يعد تعيين الكيانات جزءاً لا يتجزأ من تكوين قواعد تحليلات الاستعلام المجدولة. إنه يثري مخرجات القواعد (التنبيهات والحوادث) بالمعلومات الأساسية التي تعمل بمثابة اللبنات الأساسية لأي عمليات تحقيق وإجراءات علاجية تتبعها.
الإجراء المفصل أدناه جزء من معالج إنشاء قواعد التحليلات. يتم التعامل معها هنا بشكل مستقل لمعالجة سيناريو إضافة أو تغيير تعيينات الكيانات في قاعدة تحليلات موجودة.
هام
- راجع "ملاحظات حول الإصدار الجديد" في نهاية هذا المستند للحصول على معلومات مهمة حول التوافق مع الإصدارات السابقة والاختلافات بين الإصدارين الجديد والقديم من تعيين الكيان.
- يتوفر Microsoft Sentinel كجزء من المعاينة العامة للنظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.
كيفية تعيين الكيانات
أدخل صفحة Analytics في المدخل الذي يمكنك من خلاله الوصول إلى Microsoft Sentinel:
من قسم Configuration في قائمة التنقل في Microsoft Sentinel، حدد Analytics.
حدد قاعدة استعلام مجدولة وحدد Edit من جزء التفاصيل. أو أنشئ قاعدة جديدة بالنقر فوق Create > Scheduled query rule أعلى الشاشة.
حدد علامة التبويب Set rule logic. إذا كانت هناك قاعدة جديدة، فاكتب استعلاما في نافذة استعلام القاعدة.
في قسم Alert enhancement ، قم بتوسيع Entity mapping.
في قسم تعيين الكيان الموسع الآن، حدد إضافة كيان جديد.
حدد نوع كيان من القائمة المنسدلة Entity .
حدد identifier للكيان. المعرّفات هي سمات الكيان الذي يمكنه تحديده بشكل كافٍ. اختر واحداً من القائمة المنسدلة Identifier، ثم اختر حقل بيانات من القائمة المنسدلة Value التي تتوافق مع المعرف. مع بعض الاستثناءات، يتم ملء قائمة Value بحقول البيانات في الجدول المحدد على أنه موضوع استعلام القاعدة.
يمكنك تعريف ما يصل إلى ثلاثة معرفات لتعيين كيان معين. بعض المعرفات مطلوبة، والبعض الآخر اختياري. يجب عليك اختيار معرّف مطلوب واحد على الأقل. إذا لم تقم بذلك، فستقوم رسالة تحذير بإرشادك إلى المعرفات المطلوبة. للحصول على أفضل النتائج - لتحديد الحد الأقصى الفريد - يجب استخدام معرفات قوية كلما أمكن ذلك، وسيمكن استخدام معرفات قوية متعددة من زيادة الارتباط بين مصادر البيانات. اطلع على كامل قائمة الكيانات والمعرفات المتاحة.
حدد إضافة كيان جديد لتعيين المزيد من الكيانات. يمكنك تحديد ما يصل إلى عشرة تعيينات كيان في قاعدة تحليلات واحدة. يمكنك أيضاً تعيين أكثر من واحد من نفس النوع. على سبيل المثال، يمكنك تعيين كيانين من IP، أحدهما من حقل عنوان IP المصدر والآخر من حقل عنوان IP للوجهة. بهذه الطريقة يمكنك تتبع كلاهما.
إذا غيرت رأيك، أو إذا ارتكبت خطأ، يمكنك إزالة تعيين كيان بالنقر فوق رمز سلة المهملات بجوار القائمة المنسدلة للكيان.
عند الانتهاء من تعيين الكيانات، انقر فوق علامة التبويب Review and create . بمجرد نجاح التحقق من القاعدة، انقر فوق Save.
إشعار
يمكن تحديد ما يصل إلى 500 كيان بشكل جماعي في تنبيه واحد، مقسمة بالتساوي عبر جميع تعيينات الكيان المحددة في القاعدة.
- على سبيل المثال، إذا تم تعريف تعييني كيانين في القاعدة، يمكن لكل تعيين تحديد ما يصل إلى 250 كيانا؛ إذا تم تعريف خمسة تعيينات، يمكن لكل واحد تحديد ما يصل إلى 100 كيان، وهكذا.
- تعيينات متعددة لنوع كيان واحد (على سبيل المثال، IP المصدر وعنوان IP الوجهة) كل عدد بشكل منفصل.
- إذا كان التنبيه يحتوي على عناصر تتجاوز هذا الحد، فلن يتم التعرف على هذه العناصر الزائدة واستخراجها ككيانات.
حد الحجم لمنطقة الكيانات بأكملها للتنبيه (حقل الكيانات) هو 64 كيلوبايت.
- سيتم اقتطاع حقول الكيانات التي يزيد حجمها عن 64 كيلوبايت. عند تحديد الكيانات، تتم إضافتها إلى التنبيه واحدا تلو الآخر حتى يصل حجم الحقل إلى 64 كيلوبايت، ويتم إسقاط أي كيانات لم يتم تحديدها بعد من التنبيه.
ملاحظات على النسخة الجديدة
نظراً لأن الإصدار الجديد متاح الآن بشكل عام (GA)، فإن حل علامة الميزات لاستخدام الإصدار القديم لم يعد متاحاً.
إذا كنت قد حددت مسبقاً تعيينات الكيانات لقاعدة التحليلات هذه باستخدام الإصدار القديم، فسيتم تحويلها تلقائياً إلى الإصدار الجديد.
الخطوات التالية
في هذا المستند، تعلمت كيفية تعيين حقول البيانات للكيانات في قواعد تحليلات Microsoft Azure Sentinel. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel:
- استكشف الطرق الأخرى لإثراء تنبيهاتك:
- احصل على الصورة الكاملة عن قواعد تحليلات الاستعلام المجدولة.
- تعرف على المزيد حول الكيانات في Microsoft Sentinel.