عرض تفاصيل الحدث المخصص في التنبيهات في Microsoft Sentinel

• ينطبق على:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

قواعد تحليلات الاستعلام المجدولةتحلل الأحداث من مصادر البيانات المتصلة بـ Microsoft Sentinel، وتنتج تنبيهات عندما تكون محتويات هذه الأحداث مهمة من منظور الأمان. يتم تحليل هذه التنبيهات وتجميعها وتصفيتها بواسطة محركات Microsoft Sentinel المختلفة ويتم تقسيمها إلى أحداث تتطلب اهتمام محلل SOC. ومع ذلك، عندما يعرض المحلل الحدث، تكون خصائص تنبيهات المكون نفسها مرئية على الفور فقط. يتطلب الوصول إلى المحتوى الفعلي - المعلومات الواردة في الأحداث - القيام ببعض البحث.

باستخدام الميزة custom details في analytics rule wizard، يمكنك عرض بيانات الحدث في التنبيهات التي تم إنشاؤها من تلك الأحداث، مما يجعل بيانات الحدث جزءا من خصائص التنبيه. في الواقع، يمنحك هذا رؤية فورية لمحتوى الحدث في الأحداث الخاصة بك، مما يتيح لك عملية الفرز والتحقيق واستخلاص الاستنتاجات والاستجابة بسرعة وكفاءة أكبر بكثير.

الإجراء المفصل أدناه جزء من معالج إنشاء قواعد التحليلات. يتم التعامل معه هنا بشكل مستقل لمعالجة سيناريو إضافة أو تغيير التفاصيل المخصصة في قاعدة تحليلات موجودة.

هام

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

كيفية عرض تفاصيل الحدث المخصص

1. أدخل صفحة Analytics في المدخل الذي يمكنك من خلاله الوصول إلى Microsoft Sentinel:

   مدخل Microsoft Azure

   من قسم Configuration في قائمة التنقل في Microsoft Sentinel، حدد Analytics.

   مدخل Defender

   من قائمة التنقل في Microsoft Defender، قم بتوسيع Microsoft Sentinel، ثم التكوين. حدد تحليلات.

2. حدد قاعدة استعلام مجدولة وانقر فوق Edit. أو أنشئ قاعدة جديدة بالنقر فوق Create > Scheduled query rule أعلى الشاشة.

3. انقر فوق علامة التبويب Set rule logic.

4. في القسم Alert enrichment، وسّع Custom details.

   

5. في القسم Custom detailsالتي أصبحت موسعة الآن، أضف قيم للزوج key وvalue المقابلة للتفاصيل التي تريد عرضها:

   1. في الحقل Key، أدخل اسما من اختيارك سيظهر كاسم الحقل في التنبيهات.

   2. في الحقل value، اختر معلمة الحدث التي ترغب في عرضها في التنبيهات من القائمة المنسدلة. سيتم ملء هذه القائمة بالقيم المقابلة للحقول في الجداول التي هي تخضع لاستعلام القاعدة.

      

6. انقر فوق Add new لعرض مزيد من التفاصيل، مع تكرار الخطوات الأخيرة لتحديد قيم الزوجين key وvalue.

   إذا غيرت رأيك، أو إذا ارتكبت خطأ، يمكنك إزالة التفصيلة المخصصة بالنقر فوق رمز سلة المهملات بجوار القائمة المنسدلة Value الخاصة بهذه التفصيلة.

7. عند الانتهاء من تعريف التفاصيل المخصصة، انقر فوق علامة التبويب Review and create. بمجرد نجاح التحقق من صحة القاعدة، انقر فوق Save.

   إشعار

   حدود الخدمة

   • يمكنك تعريف ما يصل إلى 20 تفاصيل مخصصة في قاعدة تحليلات واحدة. يمكن أن تحتوي كل تفاصيل مخصصة على ما يصل إلى 50 قيمة.

   • حد الحجم المدمج لجميع التفاصيل المخصصة وقيمها في تنبيه واحد هو 2 كيلوبايت. يتم إسقاط القيم التي تتجاوز هذا الحد.

الخطوات التالية

في هذا المستند، تعلمت كيفية عرض التفاصيل المخصصة في التنبيهات باستخدام قواعد تحليلات Microsoft Sentinel. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel:

• استكشف الطرق الأخرى لإثراء تنبيهاتك:
  • تعيين حقول البيانات للكيانات في Microsoft Azure Sentinel
  • تخصيص تفاصيل التنبيه في Microsoft Sentinel
• احصل على الصورة الكاملة عن قواعد تحليلات الاستعلام المجدولة.
• تعرف على المزيد حول الكيانات في Microsoft Sentinel.