تصور بياناتك ومراقبتها باستخدام المصنفات في Microsoft Sentinel
بعد توصيل مصادر البيانات ب Microsoft Sentinel، قم بتصور البيانات ومراقبتها باستخدام المصنفات في Microsoft Sentinel. تستند مصنفات Microsoft Sentinel إلى مصنفات Azure Monitor، وإضافة جداول ومخططات مع تحليلات للسجلات والاستعلامات إلى الأدوات المتوفرة بالفعل في Azure.
يسمح لك Microsoft Sentinel بإنشاء مصنفات مخصصة عبر بياناتك أو استخدام قوالب المصنفات الموجودة المتوفرة مع الحلول المجمعة أو كمحتوى مستقل من مركز المحتوى. كل مصنف هو مورد Azure مثل أي مورد آخر، ويمكنك تعيينه باستخدام التحكم في الوصول المستند إلى دور Azure (RBAC) لتحديد وتحديد من يمكنه الوصول.
توضح هذه المقالة كيفية تصور بياناتك في Microsoft Sentinel باستخدام المصنفات.
هام
يتوفر Microsoft Sentinel كجزء من النظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. يتم الآن دعم Microsoft Sentinel في مدخل Defender لاستخدام الإنتاج. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.
المتطلبات الأساسية
يجب أن يكون لديك على الأقل أذونات قارئ المصنف أو المساهم في المصنف في مجموعة الموارد لمساحة عمل Microsoft Azure Sentinel.
يتم حفظ المصنفات التي تراها في Microsoft Sentinel ضمن مجموعة موارد مساحة عمل Microsoft Sentinel ويتم وضع علامة عليها بواسطة مساحة العمل التي تم إنشاؤها فيها.
لاستخدام قالب مصنف، قم بتثبيت الحل الذي يحتوي على المصنف أو قم بتثبيت المصنف كعنصر مستقل من مركز المحتوى. لمزيد من المعلومات، راجع اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته.
إنشاء مصنف من قالب
استخدم قالب مثبتا من مركز المحتوى لإنشاء مصنف.
بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن Threat management، حدد Workbooks.
بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Threat management>Workbooks.انتقل إلى المصنفات ثم حدد قوالب لمشاهدة قائمة قوالب المصنفات المثبتة.
لمعرفة القوالب ذات الصلة وأنواع البيانات التي قمت بتوصيلها، راجع حقل أنواع البيانات المطلوبة في كل مصنف عند توفره.
حدد حفظ من جزء تفاصيل القالب والموقع حيث تريد حفظ ملف JSON للقالب. ينشئ هذا الإجراء مورد Azure استنادا إلى القالب ذي الصلة ويحفظ ملف JSON للمصنف وليس البيانات.
حدد عرض المصنف المحفوظ من جزء تفاصيل القالب.
حدد الزر Edit في شريط أدوات المصنف لتخصيص المصنف وفقاً لاحتياجاتك.
على سبيل المثال، حدد عامل التصفية TimeRange لعرض البيانات لنطاق زمني مختلف عن التحديد الحالي. لتحرير منطقة مصنف معينة، حدد تحرير أو حدد علامة الحذف (...) لإضافة عناصر أو نقل المنطقة أو استنساخها أو إزالتها.
لاستنساخ المصنف، حدد حفظ باسم. احفظ النسخة باسم آخر، ضمن نفس الاشتراك ومجموعة الموارد. يتم عرض المصنفات المستنسخة ضمن علامة التبويب My workbooks.
عند الانتهاء، حدد Save لحفظ التغييرات.
لمزيد من المعلومات، راجع:
- إنشاء تقارير تفاعلية باستخدام مصنفات Azure Monitor
- البرنامج التعليمي: البيانات المرئية في Log Analytics
قم بإنشاء مصنف جديد
إنشاء مصنف من البداية في Microsoft Sentinel.
بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن Threat management، حدد Workbooks.
بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Threat management>Workbooks.حدد إضافة مصنف.
لتحرير المصنف، حدد Edit، ثم أضف النص والاستعلامات والمعلمات حسب الضرورة. لمزيد من المعلومات بشأن كيفية تخصيص المصنف، راجع كيفية إنشاء تقارير تفاعلية باستخدام مصنفات Azure Monitor .
عند إنشاء استعلام، قم بتعيين مصدر البيانات إلى Logs ونوع المورد إلى Log Analytics، ثم اختر مساحة عمل واحدة أو أكثر.
نوصي بأن يستخدم الاستعلام محلل نموذج معلومات الأمان المتقدم (ASIM) وليس جدولاً مضمناً. سيدعم الاستعلام بعد ذلك أي مصدر بيانات حالي أو مستقبلي ذي صلة بدلا من مصدر بيانات واحد.
بعد إنشاء المصنف، احفظ المصنف ضمن مجموعة الاشتراك والموارد لمساحة عمل Microsoft Sentinel.
إذا كنت تريد السماح للآخرين في مؤسستك باستخدام المصنف، فضمن Save to حدد Shared reports. إذا كنت تريد أن يكون هذا المصنف متاحاً لك فقط، فحدد My reports.
للتبديل بين المصنفات في مساحة العمل، حدد فتح
في شريط الأدوات لأي مصنف. تنتقل الشاشة إلى قائمة بالمصنفات الأخرى التي يمكنك التبديل إليها.حدد المصنف الذي تريد فتحه:
إنشاء لوحات جديدة للمصنفات
لإضافة لوحة مخصصة إلى مصنف Microsoft Sentinel، قم أولا بإنشاء التجانب في Log Analytics. لمزيد من المعلومات، راجع البيانات المرئية في Log Analytics.
بمجرد إنشاء لوحة، حدد تثبيت ثم حدد المصنف حيث تريد ظهور اللوحة.
قم بتحديث بيانات المصنف الخاص بك
قم بتحديث المصنف الخاص بك لعرض البيانات المحدثة. في شريط الأدوات، حدد أحد الخيارات التالية:
تحديث، لتحديث بيانات المصنف يدوياً.
تحديث تلقائي، لتعيين المصنف الخاص بك ليتم تحديثه تلقائياً في فاصل زمني مكون.تتراوح فترات التحديث التلقائي المدعومة من 5 دقائق إلى يوم واحد.
يتم إيقاف التحديث التلقائي مؤقتاً أثناء قيامك بتحرير مصنف، وتتم إعادة تشغيل الفواصل الزمنية في كل مرة تقوم فيها بالرجوع إلى وضع العرض من وضع التحرير.
تتم أيضاً إعادة تشغيل فترات التحديث التلقائي إذا قمت بتحديث بياناتك يدوياً.
بشكل افتراضي، يتم إيقاف التحديث التلقائي. لتحسين الأداء، يتم إيقاف تشغيل التحديث التلقائي في كل مرة تقوم فيها بإغلاق مصنف. لا يعمل في الخلفية. أعد تشغيل التحديث التلقائي حسب الحاجة في المرة التالية التي تفتح فيها المصنف.
اطبع مصنفاً أو احفظه كملف PDF
لطباعة مصنف أو حفظه كملف PDF، استخدم قائمة الخيارات الموجودة على يمين عنوان المصنف.
حدد الخيارات >
Print content.في شاشة الطباعة، اضبط إعدادات الطباعة حسب الحاجة أو حدد Save as PDF لحفظه محلياً.
على سبيل المثال:
كيفية حذف المصنفات
لحذف مصنف محفوظ، إما قالب محفوظ أو مصنف مخصص، حدد المصنف المحفوظ الذي تريد حذفه وحدد حذف. يزيل هذا الإجراء المصنف المحفوظ. كما أنه يزيل مورد المصنف وأي تغييرات أجريتها على القالب. يظل القالب الأصلي متوفرا.
توصيات المصنف
يراجع هذا القسم التوصيات الأساسية لدينا لاستخدام مصنفات Microsoft Sentinel.
إضافة مصنفات معرف Microsoft Entra
إذا كنت تستخدم معرف Microsoft Entra مع Microsoft Sentinel، نوصي بتثبيت حل Microsoft Entra ل Microsoft Sentinel واستخدام المصنفات التالية:
- تحلل عمليات تسجيل الدخول إلى Microsoft Entra عمليات تسجيل الدخول بمرور الوقت لمعرفة ما إذا كانت هناك حالات شاذة. يوفر هذا المصنف عمليات تسجيل دخول فاشلة بواسطة التطبيقات والأجهزة والمواقع بحيث يمكنك ملاحظة ذلك، بنظرة سريعة إذا حدث شيء غير عادي. انتبه إلى العديد من عمليات تسجيل الدخول الفاشلة.
- تحلل سجلات تدقيق Microsoft Entra أنشطة المسؤول، مثل التغييرات في المستخدمين (إضافة وإزالة وما إلى ذلك) وإنشاء المجموعة والتعديلات.
إضافة مصنفات جدار الحماية
نوصي بتثبيت الحل المناسب من مركز المحتوى لإضافة مصنف لجدار الحماية الخاص بك.
على سبيل المثال، قم بتثبيت حل جدار حماية Palo Alto ل Microsoft Sentinel لإضافة مصنفات Palo Alto. تحلل المصنفات حركة مرور جدار الحماية الخاص بك، وتوفر لك ارتباطات بين بيانات جدار الحماية وأحداث التهديد، وتسلط الضوء على الأحداث المشبوهة عبر الكيانات.
إنشاء مصنفات مختلفة لاستخدامات مختلفة
نوصي بإنشاء مرئيات مختلفة لكل نوع من أنواع الشخصيات التي تستخدم المصنفات، استنادا إلى دور الشخصية وما تبحث عنه. على سبيل المثال، أنشئ مصنفا لمسؤول الشبكة يتضمن بيانات جدار الحماية.
بدلا من ذلك، قم بإنشاء مصنفات استنادا إلى عدد المرات التي تريد النظر إليها، وما إذا كانت هناك أشياء تريد مراجعتها يوميا، والعناصر الأخرى التي تريد التحقق منها مرة واحدة في الساعة. على سبيل المثال، قد تحتاج إلى إلقاء نظرة على عمليات تسجيل الدخول إلى Microsoft Entra كل ساعة للبحث عن الحالات الشاذة.
نموذج استعلام لمقارنة اتجاهات نسبة استخدام الشبكة عبر الأسابيع
استخدم الاستعلام التالي لإنشاء مرئيات تقارن اتجاهات نسبة استخدام الشبكة عبر الأسابيع. قم بتبديل مورد الجهاز ومصدر البيانات الذي تقوم بتشغيل الاستعلام عليه، اعتمادا على البيئة الخاصة بك.
يستخدم نموذج الاستعلام التالي جدول SecurityEvent من Windows. قد ترغب في تبديله لتشغيله على جدول AzureActivity أو CommonSecurityLog ، على أي جدار حماية آخر.
// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)
نموذج استعلام مع بيانات من مصادر متعددة
قد ترغب في إنشاء استعلام يتضمن بيانات من مصادر متعددة. على سبيل المثال، قم بإنشاء استعلام يبحث في سجلات تدقيق Microsoft Entra للمستخدمين الجدد الذين تم إنشاؤهم، ثم يتحقق من سجلات Azure لمعرفة ما إذا كان المستخدم قد بدأ في إجراء تغييرات تعيين الدور في غضون 24 ساعة من الإنشاء. سيظهر هذا النشاط المشبوه في مرئيات مع الاستعلام التالي:
AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1
المقالات ذات الصلة
لمزيد من المعلومات، راجع:
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ