إنشاء قوائم مراقبة في Microsoft Azure Sentinel

• ينطبق على:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

تسمح لك قوائم المشاهدة في Microsoft Sentinel بربط البيانات من مصدر بيانات توفره بالأحداث في بيئة Microsoft Sentinel. على سبيل المثال، يمكنك إنشاء قائمة مراقبة مع قائمة بالأصول عالية القيمة أو الموظفين المنتهيين أو حسابات الخدمة في بيئتك.

تحميل ملف قائمة مراقبة من مجلد محلي أو من حساب تخزين Azure الخاص بك. لإنشاء ملف قائمة مراقبة، لديك خيار تنزيل أحد قوالب قائمة المشاهدة من Microsoft Sentinel للتعبئة ببياناتك. ثم قم بتحميل هذا الملف عند إنشاء قائمة المشاهدة في Microsoft Sentinel.

مع العلم بأن تحميلات الملفات المحلية تقتصر حاليًا على الملفات التي يصل حجمها إلى 3.8 ميجابايت. يعتبر الملف الذي يزيد حجمه عن 3.8 ميغابايت وما يصل إلى 500 ميغابايت قائمة مراقبة كبيرة. تحميل الملف إلى حساب Azure Storage. قبل إنشاء قائمة مراقبة، راجع قيود قوائم المشاهدة.

هام

ميزات قوالب قائمة المشاهدة والقدرة على إنشاء قائمة مشاهدة من ملف في تخزين Azure موجودة حاليًا في PREVIEW. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

تحميل قائمة مشاهدة من مجلد محلي

لديك طريقتان لتحميل ملف CSV من جهازك المحلي لإنشاء قائمة مراقبة.

• لملف قائمة مشاهدة قمت بإنشائه بدون قالب قائمة مشاهدة: حدد إضافة جديد وأدخل المعلومات المطلوبة.
• للحصول على ملف قائمة مشاهدة تم إنشاؤه من قالب تم تنزيله من Microsoft Sentinel: انتقل إلى علامة التبويب قوالب قائمة المشاهدة (معاينة). حدد الخيار Create from template. يقوم Azure مسبقًا بملء الاسم والوصف والاسم المستعار لقائمة المشاهدة نيابة عنك.

تحميل قائمة المشاهدة من ملف قمت بإنشائه

إذا لم تستخدم قالب قائمة مشاهدة لإنشاء الملف،

1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن Configuration، حدد Watchlist.
   بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Configuration>Watchlist.

2. حدد + جديد.

   مدخل Microsoft Azure

   

   مدخل Defender

   

3. في الصفحة عام، أدخِل الاسم والوصف والاسم المستعار لقائمة المشاهدة.

   

4. حدد Next: Source.

5. استخدم المعلومات الموجودة في الجدول التالي لتحميل بيانات قائمة المشاهدة.

   الحقل	‏‏الوصف
   تحديد نوع لمجموعة البيانات	ملف CSV مع عنوان (.csv)
   عدد الأسطر قبل الصف مع العناوين	أدخل عدد الأسطر قبل صف الرأس الموجود في ملف البيانات.
   تحميل الملف	اسحب ملف البيانات وأفلته، أو حدد استعراض بحثًا عن الملفات وحدد الملف المطلوب تحميله.
   SearchKey	أدخل اسم عمود في قائمة المشاهدة التي تتوقع استخدامها كضم مع بيانات أخرى أو عنصر متكرر لعمليات البحث. على سبيل المثال، إذا كانت قائمة مراقبة الخادم تحتوي على أسماء البلدان ورموز البلد ذات الحرفين الخاصة بها، وكنت تتوقع استخدام رموز البلد في كثير من الأحيان للبحث أو الصلات، فاستخدم عمود التعليمات البرمجية كـSearchKey.

   إشعار

   إذا كان ملف CSV أكبر من 3.8 ميغابايت، فستحتاج إلى استخدام الإرشادات لإنشاء قائمة مشاهدة كبيرة من الملف في Azure Storage.

6. حدد التالي: مراجعة وإنشاء.

   

7. راجع المعلومات، وتحقق من صحتها، وانتظر رسالة التحقق من الصحة التي تم تمريرها، ثم حدد إنشاء.

   

   يظهر إعلام بمجرد إنشاء قائمة المراقبة.

قد يستغرق إنشاء قائمة المراقبة والبيانات الجديدة في الاستعلامات عدة دقائق.

تحميل قائمة مشاهدة تم إنشاؤها من قالب (معاينة)

لإنشاء قائمة المشاهدة من قالب قمت بملئه،

1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن Configuration، حدد Watchlist.
   بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Configuration>Watchlist.

2. حدد علامة التبويب القوالب (معاينة).

3. حدد القالب المناسب من القائمة لعرض تفاصيل القالب في الجزء الأيمن.

4. حدد إنشاء مواصفات القالب.

   

5. في علامة التبويب عام، لاحظ أن حقول الاسموالوصفوالاسم المستعار لقائمة المشاهدة كلها للقراءة فقط.

6. في علامة التبويب المصدر، حدد استعراض بحثًا عن الملفات وحدد الملف الذي أنشأته من القالب.

7. حدد التالي: مراجعة وإنشاء>إنشاء.

8. شاهد إعلام Azure ليظهر عند إنشاء قائمة المراقبة.

قد يستغرق إنشاء قائمة المراقبة والبيانات الجديدة في الاستعلامات عدة دقائق.

إنشاء قائمة مراقبة كبيرة من ملف في تخزين Azure (معاينة)

إذا كان لديك قائمة مشاهدة كبيرة يصل حجمها إلى 500 ميغابايت، فحمل ملف قائمة المشاهدة إلى حساب تخزين Azure الخاص بك. ثم قم بإنشاء عنوان URL لتوقيع الوصول المشترك لـMicrosoft Sentinel لاسترداد بيانات قائمة المشاهدة. عنوان URL لتوقيع الوصول المشترك هو URI يحتوي على كل من URI المورد ورمز توقيع الوصول المشترك لمورد مثل ملف csv في حساب التخزين الخاص بك. وأخيرًا، أضف قائمة المشاهدة إلى مساحة العمل الخاصة بك في Microsoft Azure Sentinel.

لمزيد من المعلومات حول توقيعات الوصول المشترك، راجع تخزين Azure توقيع وصول مشترك.

الخطوة 1: تحميل ملف قائمة مراقبة إلى تخزين Azure

لتحميل ملف قائمة مراقبة كبيرة إلى حساب تخزين Azure، استخدم AzCopy أو مدخل Microsoft Azure.

1. إذا لم يكن لديك حساب تخزين Azure للأغراض العامة، فيمكنك مراجعة إنشاء حساب تخزين. يمكن أن يكون حساب التخزين في مجموعة موارد أو منطقة مختلفة عن مساحة العمل في Microsoft Sentinel.
2. استخدم إما AzCopy أو مدخل Microsoft Azure لتحميل ملف csv الخاص بك مع بيانات قائمة المشاهدة الخاصة بك إلى حساب التخزين.

تحميل الملف باستخدام AzCopy

تحميل الملفات والدلائل إلى تخزين Blob باستخدام الأداة المساعدة لسطر الأوامر AzCopy v10. لمعرفة المزيد، راجع تحميل الملفات إلى تخزين Azure Blob باستخدام AzCopy.

1. إذا لم يكن لديك حاوية تخزين بالفعل، قم بإنشاء واحدة عن طريق تشغيل الأمر التالي.

   azcopy make 
   https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>
   

2. ثم، قم بتشغيل الأمر التالي لتحميل الملف.

   azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'
   

تحميل الملف في مدخل Microsoft Azure

إذا كنت لا تستخدم AzCopy، فحمل الملف الخاص بك باستخدام مدخل Microsoft Azure. انتقل إلى حساب التخزين الخاص بك في مدخل Microsoft Azure لتحميل ملف csv مع بيانات قائمة المشاهدة الخاصة بك.

1. إذا لم يكن لديك بالفعل حاوية تخزين موجودة، قم بإنشاء حاوية. بالنسبة إلى مستوى الوصول العام إلى الحاوية، نوصي بالإعداد الافتراضي وهو تعيين المستوى إلى خاص (بدون وصول مجهول).
2. قم بتحميل ملف csv الخاص بك إلى حساب التخزين عن طريق تحميل كائن ثنائي كبير الحجم للكتلة.

الخطوة 2: إنشاء عنوان URL للتوقيع على الوصول المشترك

إنشاء عنوان URL لتوقيع الوصول المشترك لـMicrosoft Sentinel لاسترداد بيانات قائمة المراقبة.

1. اتبع الخطوات الواردة في إنشاء رموز SAS المميزة للكائنات الثنائية كبيرة الحجم في مدخل Microsoft Azure.
2. تعيين وقت انتهاء صلاحية الرمز المميز لتوقيع الوصول المشترك ليكون على الأقل 6 ساعات.
3. احتفظ بالقيمة الافتراضية لعناوين IP المسموح بها فارغة.
4. انسخ القيمة لـBlob SAS URL.

الخطوة 3: إضافة Azure إلى علامة التبويب CORS

قبل استخدام SAS URI، أضف مدخل Azure إلى مشاركة الموارد عبر المنشأ (CORS).

1. انتقل إلى إعدادات حساب التخزين، صفحة مشاركة الموارد.
2. حدد علامة التبويب خدمة Blob.
3. أضف https://*.portal.azure.net إلى جدول الأصول المسموح به.
4. حدد الطرق المسموح بها المناسبة ل GET وOPTIONS.
5. احفظ التكوين.

لمزيد من المعلومات، راجع دعم CORS ل Azure Storage.

الخطوة 4: إضافة قائمة المشاهدة إلى مساحة عمل

1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن Configuration، حدد Watchlist.
   بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Configuration>Watchlist.

2. حدد + جديد.

   

3. في الصفحة عام، أدخِل الاسم والوصف والاسم المستعار لقائمة المشاهدة.

   

4. حدد Next: Source.

5. استخدم المعلومات الموجودة في الجدول التالي لتحميل بيانات قائمة المشاهدة.

   الحقل	‏‏الوصف
   نوع المصدر	تخزين Azure (معاينة)
   تحديد نوع لمجموعة البيانات	ملف CSV مع عنوان (.csv)
   عدد الأسطر قبل الصف مع العناوين	أدخل عدد الأسطر قبل صف الرأس الموجود في ملف البيانات.
   عنوان URL لـBLOB SAS (معاينة)	الصق عنوان URL للوصول المشترك الذي أنشأته.
   SearchKey	أدخل اسم عمود في قائمة المشاهدة التي تتوقع استخدامها كضم مع بيانات أخرى أو عنصر متكرر لعمليات البحث. على سبيل المثال، إذا كانت قائمة مراقبة الخادم تحتوي على أسماء البلدان ورموز البلد ذات الحرفين الخاصة بها، وكنت تتوقع استخدام رموز البلد في كثير من الأحيان للبحث أو الصلات، فاستخدم عمود التعليمات البرمجية كـSearchKey.

   بعد إدخال جميع المعلومات، ستبدو صفحتك مشابهة للصورة التالية.

   

6. حدد التالي: مراجعة وإنشاء.

7. راجع المعلومات، وتحقق من صحتها، وانتظر رسالة التحقق من الصحة التي تم تمريرها.

8. حدد إنشاء.

قد يستغرق إنشاء قائمة مراقبة كبيرة والبيانات الجديدة في الاستعلامات بعض الوقت.

عرض حالة قائمة المشاهدة

اعرض الحالة عن طريق تحديد قائمة المشاهدة في مساحة العمل الخاصة بك.

1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن Configuration، حدد Watchlist.
   بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Configuration>Watchlist.

2. في علامة التبويب قوائم المشاهدة الخاصة بي، حدد قائمة المشاهدة.

3. في صفحة التفاصيل، راجع الحالة (معاينة).

   

4. عندما تكون الحالة ناجحة، حدد عرض في Log Analytics لاستخدام قائمة المشاهدة في استعلام. قد يستغرق عرض قائمة المشاهدة في Log Analytics عدة دقائق.

   

تنزيل قالب قائمة المشاهدة (معاينة)

قم بتنزيل أحد قوالب قائمة المشاهدة من Microsoft Sentinel للتعبئة ببياناتك. ثم قم بتحميل هذا الملف عند إنشاء قائمة المشاهدة في Microsoft Sentinel.

يحتوي كل قالب قائمة مراقبة مضمن على مجموعة بيانات خاصة به مدرجة في ملف CSV المرفق بالقالب. لمزيد من المعلومات، راجع مخططات قوائم قائمة المشاهدة المدمجة.

لتنزيل أحد قوالب قائمة المشاهدة،

1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن Configuration، حدد Watchlist.
   بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Configuration>Watchlist.

2. حدد علامة التبويب القوالب (معاينة).

3. حدد قالب من القائمة لعرض تفاصيل القالب في الجزء الأيمن.

4. حدد الثلاث نقاط ... في نهاية الصف.

5. حدد تنزيل المخطط.

   

6. قم بتعبئة الإصدار المحلي من الملف واحفظه محليًا كملف CSV.

7. اتبع الخطوات لتحميل قائمة المشاهدة التي تم إنشاؤها من قالب (معاينة).

قوائم المشاهدة المحذوفة والمعاد إنشاؤها في طريقة عرض Log Analytics

إذا قمت بحذف قائمة مشاهدة وإعادة إنشائها، فقد ترى الإدخالات المحذوفة والمعاد إنشاؤها في Log Analytics ضمن اتفاقية مستوى الخدمة لمدة خمس دقائق لاستيعاب البيانات. إذا رأيت هذه الإدخالات معا في Log Analytics لفترة أطول من الوقت، أرسل تذكرة دعم.

المحتوى ذو الصلة

راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel:

• تعرف على كيفية الحصول على رؤية لبياناتك والتهديدات المحتملة
• بدء الكشف عن التهديدات باستخدام Microsoft Sentinel
• استخدم المصنفات لمراقبة بياناتك.
• إدارة قوائم المشاهدة
• إنشاء الاستعلامات وقواعد الكشف باستخدام قوائم المشاهدة