قواعد التحليلات المجدولة في Microsoft Sentinel
إلى حد بعيد النوع الأكثر شيوعا من قاعدة التحليلات، تستند القواعد المجدولة إلى استعلامات Kusto التي تم تكوينها للتشغيل على فترات منتظمة وفحص البيانات الأولية من فترة "lookback" محددة. يمكن للاستعلامات إجراء عمليات إحصائية معقدة على بياناتها الهدف، والكشف عن الخطوط الأساسية والنواجهات الخارجية في مجموعات من الأحداث. إذا تجاوز عدد النتائج التي تم التقاطها بواسطة الاستعلام الحد الذي تم تكوينه في القاعدة، تنتج القاعدة تنبيها.
تساعدك هذه المقالة على فهم كيفية إنشاء قواعد التحليلات المجدولة، وتقدم لك جميع خيارات التكوين ومعانيها. المعلومات الواردة في هذه المقالة مفيدة في سيناريوهين:
إنشاء قاعدة تحليلات من قالب: استخدم منطق الاستعلام وإعدادات الجدولة والبحث كما هو محدد في القالب، أو قم بتخصيصها لإنشاء قواعد جديدة.
إنشاء قاعدة تحليلات من البداية: إنشاء الاستعلام الخاص بك وقاعدة من الألف إلى الياء. للقيام بذلك بشكل فعال، يجب أن يكون لديك أساس شامل في علم البيانات ولغة استعلام Kusto.
هام
يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.
قوالب قواعد التحليلات
تمت كتابة الاستعلامات في قوالب القواعد المجدولة من قبل خبراء الأمان وعلوم البيانات، إما من Microsoft أو من مورد الحل الذي يوفر القالب.
استخدم قالب قاعدة التحليلات عن طريق تحديد اسم قالب من قائمة القوالب وإنشاء قاعدة استنادا إليها.
يحتوي كل قالب على قائمة بمصادر البيانات المطلوبة. عند فتح القالب، يتم التحقق تلقائيًا من توفر مصادر البيانات. التوفر يعني أن مصدر البيانات متصل، وأنه يتم استيعاب البيانات بانتظام من خلاله. إذا لم يتوفر أي من مصادر البيانات المطلوبة، فلن يسمح لك بإنشاء القاعدة، وقد ترى أيضا رسالة خطأ بهذا الشأن.
عند إنشاء قاعدة من قالب، يفتح معالج إنشاء القاعدة استنادا إلى القالب المحدد. يتم ملء جميع التفاصيل تلقائيا، ويمكنك تخصيص المنطق وإعدادات القاعدة الأخرى لتناسب احتياجاتك المحددة بشكل أفضل. يمكنك تكرار هذه العملية لإنشاء المزيد من القواعد استنادا إلى القالب. عند الوصول إلى نهاية معالج إنشاء القاعدة، يتم التحقق من صحة التخصيصات الخاصة بك، ويتم إنشاء القاعدة. تظهر القواعد الجديدة في علامة التبويب القواعد النشطة في صفحة التحليلات . وبالمثل، في علامة التبويب قوالب القاعدة، يتم الآن عرض القالب الذي أنشأت القاعدة منه مع العلامة In use .
يحتفظ مؤلفو قوالب قواعد التحليلات باستمرار، إما لإصلاح الأخطاء أو لتحسين الاستعلام. عندما يتلقى القالب تحديثا، يتم عرض أي قواعد تستند إلى هذا القالب مع Update العلامة ، وتكون لديك الفرصة لتعديل هذه القواعد لتضمين التغييرات التي تم إجراؤها على القالب. يمكنك أيضا إرجاع أي تغييرات أجريتها في قاعدة إلى إصدارها الأصلي المستند إلى القالب. لمزيد من المعلومات، راجع إدارة إصدارات القالب لقواعد التحليلات المجدولة في Microsoft Sentinel.
بعد التعرف على خيارات التكوين في هذه المقالة، راجع إنشاء قواعد تحليلات مجدولة من القوالب.
تشرح بقية هذه المقالة جميع إمكانيات تخصيص تكوين القواعد الخاصة بك.
تكوين قاعدة التحليلات
يشرح هذا القسم الاعتبارات الرئيسية التي تحتاج إلى أخذها في الاعتبار قبل البدء في تكوين القواعد الخاصة بك.
اسم قاعدة التحليلات وتفاصيلها
تحتوي الصفحة الأولى من معالج قاعدة التحليلات على المعلومات الأساسية للقاعدة.
الاسم: اسم القاعدة كما تظهر في قائمة القواعد وفي أي عوامل تصفية تستند إلى القواعد. يجب أن يكون الاسم فريدا لمساحة العمل الخاصة بك.
الوصف: وصف حر للغرض من القاعدة.
المعرف: المعرف الفريد العمومي للقاعدة كمورد Azure، المستخدم في طلبات واجهة برمجة التطبيقات والاستجابات، من بين أمور أخرى. يتم تعيين GUID هذا فقط عند إنشاء القاعدة، لذلك يتم عرضها فقط عند تحرير قاعدة موجودة. نظرا لأنه حقل للقراءة فقط، يتم عرضه باللون الرمادي ولا يمكن تغييره. لا توجد بعد عند إنشاء قاعدة جديدة، إما من قالب أو من البداية.
الخطورة: تصنيف لإعطاء التنبيهات التي تنتجها هذه القاعدة. خطورة النشاط هي حساب التأثير السلبي المحتمل لحدوث النشاط.
| الأهمية | الوصف |
|---|---|
| اعلاميه | لا يوجد أي تأثير على النظام الخاص بك، ولكن قد تكون المعلومات مؤشرا على الخطوات المستقبلية التي يخطط لها أحد أطراف التهديد. |
| منخفض | وسيكون التأثير الفوري ضئيلا. من المحتمل أن يحتاج الفاعل في التهديد إلى اتخاذ خطوات متعددة قبل تحقيق تأثير على بيئة ما. |
| متوسط | يمكن أن يكون لممثل التهديد بعض التأثير على البيئة مع هذا النشاط، ولكنه سيكون محدودا من حيث النطاق أو يتطلب نشاطا إضافيا. |
| عال | ويوفر النشاط المحدد لممثل التهديد إمكانية وصول واسعة النطاق لإجراء إجراءات على البيئة أو يتم تشغيله بسبب التأثير على البيئة. |
لا تعد الإعدادات الافتراضية لمستوى الخطورة ضمانا لمستوى التأثير الحالي أو البيئي. تخصيص تفاصيل التنبيه لتخصيص الخطورة والتكتيكات والخصائص الأخرى لمثيل معين من التنبيه بقيم أي حقول ذات صلة من إخراج استعلام.
تعد تعريفات الخطورة لقوالب قواعد تحليلات Microsoft Sentinel ذات صلة فقط بالتنبيهات التي تم إنشاؤها بواسطة قواعد التحليلات. بالنسبة للتنبيهات التي تم تناولها من خدمات أخرى، يتم تحديد الخطورة بواسطة خدمة أمان المصدر.
MITRE ATT CK: مواصفات لتكتيكات الهجوم والتقنيات التي تمثلها الأنشطة التي تم التقاطها بواسطة هذه القاعدة. وتستند هذه إلى تكتيكات وتقنيات إطار عمل MITRE ATT&CK®.
تنطبق تكتيكات وتقنيات MITRE ATT CK المحددة هنا في القاعدة على أي تنبيهات تم إنشاؤها بواسطة القاعدة. كما أنها تنطبق على أي حوادث تم إنشاؤها من هذه التنبيهات.
لمزيد من المعلومات حول زيادة تغطية مشهد التهديد MITRE ATT&CK إلى أقصى حد، راجع فهم التغطية الأمنية بواسطة إطار عمل MITRE ATT&CK®.
الحالة: عند إنشاء القاعدة، تكون حالتها ممكنة بشكل افتراضي، مما يعني أنها تعمل مباشرة بعد الانتهاء من إنشائها. إذا كنت لا تريد تشغيله على الفور، فلديك خياران:
- حدد Disabled، ويتم إنشاء القاعدة دون تشغيل. عندما تريد تشغيل القاعدة، ابحث عنها في علامة تبويب القواعد النشطة، وقم بتمكينها من هناك.
- جدولة القاعدة للتشغيل أولا في تاريخ ووقت محددين. هذا الأسلوب قيد المعاينة حاليا. راجع جدولة الاستعلام لاحقا في هذه المقالة.
استعلام القاعدة
هذا هو جوهر القاعدة: يمكنك تحديد المعلومات الموجودة في التنبيهات التي تم إنشاؤها بواسطة هذه القاعدة، وكيفية تنظيم المعلومات. يحتوي هذا التكوين على تأثيرات متابعة على الشكل الذي تبدو عليه الحوادث الناتجة، ومدى سهولة أو صعوبة التحقيق فيها ومعالجتها وحلها. من المهم جعل تنبيهاتك غنية بالمعلومات قدر الإمكان، وجعل هذه المعلومات يمكن الوصول إليها بسهولة.
عرض استعلام Kusto الذي يحلل بيانات السجل الخام أو إدخاله. إذا كنت تقوم بإنشاء قاعدة من البداية، فمن المستحسن التخطيط للاستعلام وتصميمه قبل فتح هذا المعالج. يمكنك إنشاء الاستعلامات واختبارها في صفحة السجلات .
يتم التحقق من صحة كل شيء تكتبه في نافذة استعلام القاعدة على الفور، لذلك يمكنك معرفة ما إذا كنت ترتكب أي أخطاء على الفور.
أفضل الممارسات لاستعلامات قاعدة التحليلات
نوصي باستخدام محلل نموذج معلومات الأمان المتقدم (ASIM) كمصدر استعلام، بدلا من استخدام جدول أصلي. سيضمن هذا أن الاستعلام يدعم أي مصدر بيانات حالي أو مستقبلي ذي صلة أو مجموعة من مصادر البيانات، بدلا من الاعتماد على مصدر بيانات واحد.
يجب أن يتراوح طول الاستعلام بين 1 و10,000 حرف ولا يجب أن يتضمن "
search *" أو "union *". يمكنك استخدام الدالات المعرفة من قبل المستخدم للتغلب على قيود طول الاستعلام، حيث يمكن لدالة واحدة استبدال عشرات الأسطر من التعليمات البرمجية.إن استخدام دالات ADX لإنشاء استعلامات Azure Data Explorer داخل نافذة استعلام Log Analytics غير مدعوم.
باستخدام الدالة
bag_unpackفي الاستعلام، إذا قمت بإنشاء أعمدة المشروع كحقول باستخدام "project field1" ولا وجود للعمود، فسيفشل الاستعلام. للحماية من حدوث ذلك، يجب إنشاء عمود المشروع كما يلي:project field1 = column_ifexists("field1","")
لمزيد من المساعدة في إنشاء استعلامات Kusto، راجع Kusto Query Language في Microsoft Sentinel وأفضل الممارسات لاستعلامات Kusto Query Language.
تحسين التنبيه
إذا كنت تريد أن تظهر التنبيهات الخاصة بك النتائج الخاصة بها بحيث يمكن أن تكون مرئية على الفور في الحوادث، وتتبعها والتحقيق فيها بشكل مناسب، فاستخدم تكوين تحسين التنبيه لعرض جميع المعلومات المهمة في التنبيهات.
يتمتع تحسين التنبيه هذا بفائدة إضافية تتمثل في تقديم النتائج بطريقة مرئية ويمكن الوصول إليها بسهولة.
هناك ثلاثة أنواع من تحسينات التنبيه التي يمكنك تكوينها:
- تعيين الكيان
- تفاصيل مخصصة
- تفاصيل التنبيه (المعروفة أيضا باسم المحتوى الديناميكي)
تعيين الكيان
الكيانات هي اللاعبين على أي جانب من قصة الهجوم. يعد تحديد جميع الكيانات في التنبيه أمرا ضروريا للكشف عن التهديدات والتحقيق فيها. للتأكد من أن Microsoft Sentinel يعرف الكيانات في بياناتك الأولية، يجب تعيين أنواع الكيانات التي تعرف عليها Microsoft Sentinel على الحقول في نتائج الاستعلام. يدمج هذا التعيين الكيانات المحددة في حقل Entities في مخطط التنبيه الخاص بك.
لمعرفة المزيد حول تعيين الكيان والحصول على إرشادات كاملة، راجع تعيين حقول البيانات إلى كيانات في Microsoft Sentinel.
تفاصيل مخصصة
بشكل افتراضي، تكون كيانات التنبيه وبيانات التعريف فقط مرئية في الحوادث دون التنقل لأسفل في الأحداث الأولية في نتائج الاستعلام. لمنح حقول أخرى من نتائج الاستعلام رؤية فورية في التنبيهات والحوادث، قم بتعريفها على أنها تفاصيل مخصصة. يدمج Microsoft Sentinel هذه التفاصيل المخصصة في حقل ExtendedProperties في التنبيهات الخاصة بك، مما يؤدي إلى عرضها مقدما في التنبيهات الخاصة بك، وفي أي حوادث تم إنشاؤها من هذه التنبيهات.
لمعرفة المزيد حول عرض التفاصيل المخصصة والحصول على إرشادات كاملة، راجع تفاصيل حدث Surface المخصص في التنبيهات في Microsoft Sentinel.
تفاصيل التنبيه
يسمح لك هذا الإعداد بتخصيص خصائص التنبيه القياسية بخلاف ذلك وفقا لمحتوى الحقول المختلفة في كل تنبيه فردي. يتم دمج هذه التخصيصات في حقل ExtendedProperties في التنبيهات الخاصة بك. على سبيل المثال، يمكنك تخصيص اسم التنبيه أو الوصف لتضمين اسم مستخدم أو عنوان IP مميز في التنبيه.
لمعرفة المزيد حول تخصيص تفاصيل التنبيه والحصول على إرشادات كاملة، راجع تخصيص تفاصيل التنبيه في Microsoft Sentinel.
إشعار
في النظام الأساسي لعمليات الأمان الموحدة، يكون محرك ارتباط Defender XDR مسؤولا فقط عن تسمية الحوادث، لذلك قد يتم تجاوز أي أسماء تنبيهات قمت بتخصيصها عند إنشاء الحوادث من هذه التنبيهات.
جدولة الاستعلام
تحدد المعلمات التالية عدد المرات التي سيتم فيها تشغيل القاعدة المجدولة، والفترة الزمنية التي ستفحصها في كل مرة يتم تشغيلها فيها.
| الإعدادات | سلوك |
|---|---|
| تشغيل الاستعلام كل | يتحكم في الفاصل الزمني للاستعلام: عدد مرات تشغيل الاستعلام. |
| بيانات البحث من آخر | تحديد فترة البحث: الفترة الزمنية التي يغطيها الاستعلام. |
يتراوح النطاق المسموح به لكل من هذه المعلمات من 5 دقائق إلى 14 يوما.
يجب أن يكون الفاصل الزمني للاستعلام أقصر من فترة البحث أو مساويا لها. إذا كانت أقصر، ستتداخل فترات الاستعلام وقد يؤدي ذلك إلى بعض الازدواجية في النتائج. لن يسمح لك التحقق من صحة القاعدة بتعيين فاصل زمني أطول من فترة البحث، على الرغم من أن ذلك سيؤدي إلى وجود فجوات في التغطية الخاصة بك.
يسمح لك إعداد بدء التشغيل، الآن في PREVIEW، بإنشاء قاعدة بالحالة ممكنة، ولكن لتأخير تنفيذها الأول حتى تاريخ ووقت محددين مسبقا. يعد هذا الإعداد مفيدا إذا كنت تريد تحديد وقت تنفيذ القواعد وفقا للوقت الذي يتوقع فيه استيعاب البيانات من المصدر، أو عندما يبدأ محللو SOC يوم عملهم.
| الإعدادات | سلوك |
|---|---|
| تلقائيا | سيتم تشغيل القاعدة لأول مرة فور إنشائها، وبعد ذلك في الفاصل الزمني المحدد في تشغيل الاستعلام كل إعداد. |
| في وقت محدد (معاينة) | قم بتعيين تاريخ ووقت للقاعدة لتشغيلها لأول مرة، وبعد ذلك سيتم تشغيلها في الفاصل الزمني المحدد في إعداد تشغيل الاستعلام كل . |
يجب أن يتراوح وقت بدء التشغيل بين 10 دقائق و30 يوما بعد وقت إنشاء القاعدة (أو التمكين).
يلخص سطر النص ضمن إعداد بدء التشغيل (مع أيقونة المعلومات على يساره) إعدادات جدولة الاستعلام الحالية والبحث.
إشعار
تأخير الاستيعاب
لحساب زمن الانتقال الذي قد يحدث بين جيل الحدث في المصدر واستيعابه في Microsoft Sentinel، ولضمان التغطية الكاملة دون تكرار البيانات، يقوم Microsoft Sentinel بتشغيل قواعد التحليلات المجدولة بتأخير مدته خمس دقائق من الوقت المجدول.
لمزيد من المعلومات، راجع معالجة تأخير الاستيعاب في قواعد التحليلات المجدولة.
حد التنبيه
العديد من أنواع أحداث الأمان عادية أو حتى متوقعة بأعداد صغيرة، ولكنها علامة على وجود تهديد بأعداد أكبر. يمكن أن تعني المقاييس المختلفة للأعداد الكبيرة أنواعا مختلفة من التهديدات. على سبيل المثال، محاولتين أو ثلاث محاولات تسجيل دخول فاشلة في مساحة دقيقة هي علامة على أن المستخدم لا يتذكر كلمة مرور، ولكن قد تكون خمسون محاولة في الدقيقة علامة على هجوم بشري، وربما يكون ألف هجوم تلقائي.
اعتمادا على نوع النشاط الذي تحاول القاعدة اكتشافه، يمكنك تعيين الحد الأدنى لعدد الأحداث (نتائج الاستعلام) الضرورية لتشغيل تنبيه. ينطبق الحد بشكل منفصل على كل مرة يتم فيها تشغيل القاعدة، وليس بشكل جماعي.
يمكن أيضا تعيين الحد إلى الحد الأقصى لعدد النتائج، أو إلى عدد دقيق.
تجميع الأحداث
هناك طريقتان للتعامل مع تجميع الأحداث في تنبيهات:
تجميع كافة الأحداث في تنبيه واحد: هذا هو الافتراضي. تنشئ القاعدة تنبيها واحدا في كل مرة يتم تشغيلها، طالما أن الاستعلام يرجع نتائج أكثر من حد التنبيه المحدد الموضح في القسم السابق. يلخص هذا التنبيه الفردي جميع الأحداث التي تم إرجاعها في نتائج الاستعلام.
تشغيل تنبيه لكل حدث: تنشئ القاعدة تنبيها فريدا لكل حدث (نتيجة) يتم إرجاعه بواسطة الاستعلام. يعد هذا الوضع مفيدا إذا كنت تريد عرض الأحداث بشكل فردي، أو إذا كنت تريد تجميعها حسب معلمات معينة - حسب المستخدم أو اسم المضيف أو شيء آخر. يمكنك تعريف هذه المعلمات في الاستعلام. |
يمكن لقواعد التحليلات إنشاء ما يصل إلى 150 تنبيها. إذا تم تعيين تجميع الأحداث إلى تشغيل تنبيه لكل حدث، وأرجع استعلام القاعدة أكثر من 150 حدثا، فسينشئ كل حدث من الأحداث ال 149 الأولى تنبيها فريدا (ل 149 تنبيها)، وسيلخص التنبيه 150 المجموعة بأكملها من الأحداث التي تم إرجاعها. بمعنى آخر، التنبيه 150 هو ما كان سيتم إنشاؤه إذا تم تعيين تجميع الأحداث إلى تجميع جميع الأحداث في تنبيه واحد.
قد يتسبب تشغيل تنبيه لكل إعداد حدث في حدوث مشكلة حيث تظهر نتائج الاستعلام مفقودة أو مختلفة عن المتوقع. لمزيد من المعلومات حول هذا السيناريو، راجع استكشاف أخطاء قواعد التحليلات وإصلاحها في Microsoft Sentinel | المشكلة: لا تظهر أي أحداث في نتائج الاستعلام.
التعليق
إذا كنت تريد أن تتوقف هذه القاعدة عن العمل لفترة من الوقت بعد إنشاء تنبيه، فقم بتشغيل إعداد إيقاف تشغيل الاستعلام بعد إنشاء التنبيه. بعد ذلك، يجب تعيين إيقاف تشغيل الاستعلام إلى مقدار الوقت الذي يجب أن يتوقف فيه الاستعلام عن التشغيل، حتى 24 ساعة.
محاكاة النتائج
يسمح لك معالج قاعدة التحليلات باختبار فعاليته عن طريق تشغيله على مجموعة البيانات الحالية. عند تشغيل الاختبار، تعرض لك نافذة محاكاة النتائج رسما بيانيا للنتائج التي كان الاستعلام قد أنشأها خلال آخر 50 مرة كان سيتم تشغيلها، وفقا للجدول الزمني المحدد حاليا. إذا قمت بتعديل الاستعلام، يمكنك تشغيل الاختبار مرة أخرى لتحديث الرسم البياني. يعرض الرسم البياني عدد النتائج خلال الفترة الزمنية المحددة، والتي يتم تحديدها بواسطة جدول الاستعلام الذي حددته.
إليك ما قد تبدو عليه محاكاة النتائج عند الاستعلام في لقطة الشاشة الموجودة أعلاه. إن الجانب الأيسر هو طريقة العرض الافتراضية، والجانب الأيمن هو ما تراه عند المرور فوق نقطة زمنية على الرسم البياني.
إذا رأيت أن الاستعلام الخاص بك قد يؤدي إلى تنبيهات كثيرة جدا أو متكررة جدا، يمكنك تجربة إعدادات الجدولة والحد وتشغيل المحاكاة مرة أخرى.
إعدادات الحدث
اختر ما إذا كان Microsoft Sentinel يحول التنبيهات إلى حوادث قابلة للتنفيذ.
يتم تمكين إنشاء الحدث بشكل افتراضي. ينشئ Microsoft Sentinel حادثا واحدا منفصلا عن كل تنبيه تم إنشاؤه بواسطة القاعدة.
إذا كنت لا تريد أن ينتج عن هذه القاعدة إنشاء أي حوادث (على سبيل المثال، إذا كان الغرض هذه القاعدة جمع المعلومات فقط للتحليل اللاحق)، فقم بتعيينها إلى مُعطّل.
هام
إذا قمت بإلحاق Microsoft Sentinel بالنظام الأساسي لعمليات الأمان الموحدة، فإن Microsoft Defender XDR مسؤول عن إنشاء الحوادث. ومع ذلك، إذا كنت تريد أن يقوم Defender XDR بإنشاء أحداث لهذا التنبيه، يجب ترك هذا الإعداد ممكن. يأخذ Defender XDR التعليمات المحددة هنا.
لا يجب الخلط بين هذا ونوع أمان Microsoft لقاعدة التحليلات التي تنشئ حوادث للتنبيهات التي تم إنشاؤها في خدمات Microsoft Defender. يتم تعطيل هذه القواعد تلقائيا عند إلحاق Microsoft Sentinel بالنظام الأساسي لعمليات الأمان الموحدة.
إذا كنت تريد إنشاء حدث واحد من مجموعة من التنبيهات، بدلاً من حادث واحد لكل تنبيه واحد، فراجع القسم التالي.
تجميع التنبيه
اختر ما إذا كان يتم تجميع التنبيهات معا في الحوادث. بشكل افتراضي، ينشئ Microsoft Sentinel حادثا لكل تنبيه يتم إنشاؤه. لديك خيار تجميع عدة تنبيهات معا في حادث واحد بدلا من ذلك.
يتم إنشاء الحدث فقط بعد إنشاء جميع التنبيهات. تتم إضافة جميع التنبيهات إلى الحدث فور إنشائه.
يمكن تجميع ما يصل إلى 150 تنبيهًا في حادث واحد. إذا تم إنشاء أكثر من 150 تنبيها بواسطة قاعدة تجمعها في حادث واحد، يتم إنشاء حادث جديد بنفس تفاصيل الحادث الأصلي، ويتم تجميع التنبيهات الزائدة في الحدث الجديد.
لتجميع التنبيهات معا، قم بتعيين إعداد تجميع التنبيه إلى ممكن.
هناك بعض الخيارات التي يجب مراعاتها عند تجميع التنبيهات:
الإطار الزمني: بشكل افتراضي، تتم إضافة التنبيهات التي تم إنشاؤها حتى 5 ساعات بعد التنبيه الأول في حادث إلى نفس الحدث. بعد 5 ساعات، يتم إنشاء حادث جديد. يمكنك تغيير هذه الفترة الزمنية إلى أي مكان بين 5 دقائق و7 أيام.
معايير التجميع: اختر كيفية تحديد التنبيهات المضمنة في المجموعة. يوضح الجدول التالي الخيارات المحتملة:
خيار الوصف تجميع التنبيهات في حدث واحد إذا تطابقت كافة الكيانات يتم تجميع التنبيهات معا إذا كانت تشترك في قيم متطابقة لكل من الكيانات المعينة المحددة مسبقا. يوصى باستخدام هذا الإعداد. تجميع كافة التنبيهات التي تم تشغيلها بواسطة هذه القاعدة في حدث واحد يتم تجميع جميع التنبيهات التي تم إنشاؤها بواسطة هذه القاعدة معًا حتى وإن لم تشترك في قيم متطابقة. تجميع التنبيهات في حادث واحد إذا تطابقت الكيانات والتفاصيل المُحدّدة يتم تجميع التنبيهات معا إذا كانت تشترك في قيم متطابقة لجميع الكيانات المعينة وتفاصيل التنبيه والتفاصيل المخصصة التي تحددها لهذا الإعداد. اختر الكيانات والتفاصيل من القوائم المنسدلة التي تظهر عند تحديد هذا الخيار.
قد ترغب في استخدام هذا الإعداد إذا كنت تريد، على سبيل المثال، إنشاء حوادث منفصلة استنادًا إلى عناوين IP المصدر أو الهدف، أو إذا كنت تريد تجميع التنبيهات التي تطابق كيانًا ومستوى خطورة معينين.
ملاحظة: عند تحديد هذا الخيار، يجب أن يكون لديك كيان واحد على الأقل أو تفاصيل محددة للقاعدة. وإلا، يفشل التحقق من صحة القاعدة ولا يتم إنشاء القاعدة.إعادة فتح الحوادث: إذا تم حل حادث وإغلاقه، وفي وقت لاحق تم إنشاء تنبيه آخر يجب أن ينتمي إلى هذا الحدث، قم بتعيين هذا الإعداد إلى ممكن إذا كنت تريد إعادة فتح الحدث المغلق، واتركه معطلا إذا كنت تريد أن ينشئ التنبيه الجديد حدثا جديدا.
لا يتوفر خيار إعادة فتح الحوادث المغلقة إذا قمت بإلحاق Microsoft Sentinel بالنظام الأساسي لعمليات الأمان الموحدة.
استجابة تلقائية
يتيح لك Microsoft Sentinel تعيين الاستجابات التلقائية لتحدث عندما:
- يتم إنشاء تنبيه بواسطة قاعدة التحليلات هذه.
- يتم إنشاء حادث من التنبيهات التي تم إنشاؤها بواسطة قاعدة التحليلات هذه.
- يتم تحديث حدث مع التنبيهات التي تم إنشاؤها بواسطة قاعدة التحليلات هذه.
لمعرفة كل شيء عن الأنواع المختلفة من الاستجابات التي يمكن صياغتها وأتمتتها، راجع أتمتة الاستجابة للمخاطر في Microsoft Sentinel باستخدام قواعد التشغيل التلقائي.
ضمن عنوان قواعد التنفيذ التلقائي، يعرض المعالج قائمة بقواعد التنفيذ التلقائي المعرفة بالفعل على مساحة العمل بأكملها، والتي تنطبق شروطها على قاعدة التحليلات هذه. يمكنك تحرير أي من هذه القواعد الموجودة، أو يمكنك إنشاء قاعدة أتمتة جديدة تنطبق فقط على قاعدة التحليلات هذه.
استخدم قواعد الأتمتة لتنفيذ الفرز الأساسي والتعيين وسير العمل وإغلاق الحوادث.
أتمتة المهام الأكثر تعقيدا واستدعاء الاستجابات من الأنظمة البعيدة لمعالجة التهديدات عن طريق استدعاء أدلة المبادئ من قواعد الأتمتة هذه. يمكنك استدعاء أدلة المبادئ للحوادث وكذلك للتنبيهات الفردية.
للحصول على مزيد من المعلومات والإرشادات حول إنشاء أدلة المبادئ وقواعد الأتمتة، راجع أتمتة الاستجابة للتهديدات.
لمزيد من المعلومات حول وقت استخدام مشغل الحدث الذي تم إنشاؤه أو مشغل الحدث المحدث أو مشغل التنبيه الذي تم إنشاؤه، راجع استخدام المشغلات والإجراءات في أدلة مبادئ Microsoft Sentinel.
ضمن عنوان Alert automation (classic)، قد ترى قائمة بدلائل المبادئ التي تم تكوينها للتشغيل تلقائيا باستخدام أسلوب قديم بسبب إهماله في مارس 2026. لا يمكنك إضافة أي شيء إلى هذه القائمة. يجب أن تحتوي أي أدلة مبادئ مدرجة هنا على قواعد أتمتة تم إنشاؤها، استنادا إلى مشغل التنبيه الذي تم إنشاؤه، لاستدعاء أدلة المبادئ. بعد القيام بذلك، حدد علامة الحذف في نهاية سطر دليل المبادئ المدرج هنا، وحدد إزالة. راجع ترحيل أدلة مبادئ مشغل تنبيه Microsoft Sentinel إلى قواعد التشغيل التلقائي للحصول على إرشادات كاملة.
الخطوات التالية
عند استخدام قواعد تحليلات Microsoft Sentinel للكشف عن التهديدات عبر بيئتك، تأكد من تمكين جميع القواعد المقترنة بمصادر البيانات المتصلة لضمان تغطية الأمان الكاملة للبيئة الخاصة بك.
لأتمتة تمكين القواعد، ادفع القواعد إلى Microsoft Sentinel عبر واجهة برمجة التطبيقات وPowerShell، على الرغم من أن القيام بذلك يتطلب جهدا إضافيا. عند استخدام API أو PowerShell، يجب أولًا تصدير القواعد إلى JSON قبل تمكين القواعد. قد تكون «واجهة برمجة التطبيقات» أو PowerShell ذات نفع عند تمكين القواعد في مثيلات متعددة من Microsoft Sentinel باستخدام إعدادات متطابقة في كل مثيل.
لمزيد من المعلومات، راجع:
- تصدير قواعد التحليلات واستيرادها من قوالب Azure Resource Manager وإرادتها
- استكشاف أخطاء قواعد التحليلات وإصلاحها في Microsoft Sentinel
- التنقل والتحقيق في الحوادث في Microsoft Sentinel
- الكيانات في Microsoft Sentinel
- البرنامج التعليمي: استخدام كتب التشغيل مع قواعد التشغيل التلقائي في Microsoft Azure Sentinel
كذلك، تعلم من مثال استخدام قواعد التحليلات المخصصة عند توسيع المراقبة باستخدام مُوصّل مخصص.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ