مشاركة عبر

العمل مع قواعد تحليلات الكشف عن الحالات الخارجة عن المألوف في Microsoft Sentinel

  • ينطبق على: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

توفر ميزة الحالات الشاذة القابلة للتخصيص في Microsoft Sentinel قوالب شذوذ مضمنة للقيمة الفورية الجاهزة. تم تطوير قوالب الشذوذ هذه لتكون قوية باستخدام الآلاف من مصادر البيانات وملايين الأحداث، ولكن هذه الميزة تمكنك أيضا من تغيير الحدود والمعلمات للحالات الشاذة بسهولة داخل واجهة المستخدم. يتم تمكين قواعد خارجة عن المألوف أو تنشيطها، بشكل افتراضي، لذلك ستنشئ حالات خارجة عن المألوف خارج الصندوق. يمكنك العثور على هذه الحالات الشاذة والاستعلام عنها في جدول Anomalies في قسم Logs .

هام

يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.

بدءا من يوليو 2026، سيتم دعم Microsoft Sentinel في مدخل Defender فقط، وسيتم إعادة توجيه أي عملاء متبقين يستخدمون مدخل Microsoft Azure تلقائيا.

نوصي بأن يبدأ أي عملاء يستخدمون Microsoft Sentinel في Azure في التخطيط للانتقال إلى مدخل Defender للحصول على تجربة عمليات الأمان الموحدة الكاملة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع التخطيط للانتقال إلى مدخل Microsoft Defender لجميع عملاء Microsoft Sentinel.

عرض قوالب القواعد الخارجة عن المألوف القابلة للتخصيص

يمكنك الآن العثور على قواعد الشذوذ المعروضة في شبكة في علامة التبويب Anomalies في صفحة Analytics .

  1. لمستخدمي مدخل Microsoft Defender، حدد Microsoft Sentinel > Configuration > Analytics من قائمة التنقل في Microsoft Defender.

    لمستخدمي Microsoft Sentinel في مدخل Microsoft Azure، حدد Analytics من قائمة التنقل في Microsoft Sentinel.

  2. في صفحة Analytics ، حدد علامة التبويب Anomalies .

  3. لتصفية القائمة حسب معيار واحد أو أكثر من المعايير التالية، حدد إضافة عامل تصفية واختر وفقا لذلك.

    • الحالة - سواء تم تمكين القاعدة أو تعطيلها.

    • التكتيكات - تكتيكات إطار عمل MITRE ATT&CK التي تغطيها الحالات الشاذة.

    • التقنيات - تقنيات إطار عمل MITRE ATT&CK التي تغطيها الحالات الشاذة.

    • مصادر البيانات - نوع السجلات التي تحتاج إلى استيعاب وتحليل للشذوذ ليتم تعريفه.

  4. حدد قاعدة واعرض المعلومات التالية في جزء التفاصيل:

    • يوضح الوصف كيفية عمل الشذوذ والبيانات التي يتطلبها.

    • التكتيكات والتقنيات هي تكتيكات وتقنيات إطار عمل MITRE ATT&CK التي تغطيها الحالات الشاذة.

    • المعلمات هي السمات القابلة للتكوين للشذوذ.

    • الحد هو قيمة قابلة للتكوين تشير إلى الدرجة التي يجب أن يكون فيها الحدث غير عادي قبل إنشاء حالة شاذة.

    • تكرار القاعدة هو الوقت بين مهام معالجة السجل التي تجد الحالات الشاذة.

    • تخبرك حالة القاعدة ما إذا كانت القاعدة تعمل في وضع الإنتاج أو الطيران (التقسيم المرحلي) عند تمكينها.

    • يعرض إصدار Anomaly إصدار القالب الذي تستخدمه قاعدة. إذا كنت تريد تغيير الإصدار المستخدم بواسطة قاعدة نشطة بالفعل، يجب إعادة إنشاء القاعدة.

لا يمكن تحرير القواعد التي تأتي مع Microsoft Sentinel خارج الصندوق أو حذفها. لتخصيص قاعدة، يتعين عليك أولاً إنشاء نسخة مكررة من القاعدة، ثم تخصيص التكرار. راجع الإرشادات الكاملة.

إشعار

لماذا يوجد زر تحرير إذا تعذر تحرير القاعدة؟

بينما لا يمكنك تغيير تكوين قاعدة حالات خارجة عن المألوف خارج الصندوق، يمكنك القيام بأمرين:

  1. يمكنك تبديل حالة قاعدة القاعدة بين الإنتاجوالطيران.

  2. يمكنك إرسال ملاحظات إلى Microsoft حول تجربتك مع الحالات الخارجة عن المألوف القابلة للتخصيص.

تقييم جودة الحالات الشاذة

يمكنك معرفة مدى أداء قاعدة الشذوذ من خلال مراجعة عينة من الحالات الخارجة عن المألوف التي تم إنشاؤها بواسطة قاعدة على مدى آخر 24 ساعة.

  1. لمستخدمي Microsoft Sentinel في مدخل Microsoft Azure، حدد Analytics من قائمة التنقل في Microsoft Sentinel.

    لمستخدمي مدخل Microsoft Defender، حدد Microsoft Sentinel > Configuration > Analytics من قائمة التنقل في Microsoft Defender.

  2. في صفحة Analytics ، حدد علامة التبويب Anomalies .

  3. حدد القاعدة التي تريد تقييمها، وانسخ المعرّف الخاصة بها من أعلى جزء التفاصيل إلى اليمين.

  4. من قائمة التنقل في Microsoft Sentinel، حدد Logs.

  5. إذا انبثق معرض الاستعلامات فوق الجزء العلوي، فقم بإغلاقه.

  6. حدد علامة التبويب جداول في الجزء الأيمن من صفحة السجلات .

  7. تعيين عامل تصفية النطاق الزمني إلى آخر 24 ساعة.

  8. انسخ Kusto query أدناه والصقه في query window (حيث يقول "Type your query here or..."):

    Anomalies 
| where RuleId contains "<RuleId>"

    الصق معرّف القاعدة الذي نسخته أعلاه بدلاً من <RuleId> بين علامات الاقتباس.

  9. حدد تشغيل.

عندما يكون لديك بعض النتائج، يمكنك البدء في تقييم جودة الحالات الشاذة. إذا لم يكن لديك نتائج، فحاول زيادة النطاق الزمني.

قم بتوسيع النتائج لكل حالة شاذة ثم قم بتوسيع حقل AnomalyReasons . هذا سيخبرك عن سبب إطلاق الشذوذ.

قد تعتمد "reasonableness" أو "usefulness" الشذوذ على ظروف بيئتك، ولكن السبب الشائع لقاعدة الشذوذ لإنتاج عدد كبير جدا من الحالات الشاذة هو أن الحد منخفض جدا.

ضبط قواعد الشذوذ

في حين أن قواعد الحالات الخارجة عن المألوف مصممة لتحقيق أقصى قدر من الفعالية خارج الصندوق، فإن كل حالة فريدة من نوعها، وأحيانًا تحتاج قواعد الحالات الخارجة عن المألوف إلى ضبطها.

نظرًا لأنه لا يمكنك تحرير قاعدة نشطة أصلية، يتعين عليك أولاً تكرار قاعدة خارجة عن المألوف نشطة، ثم تخصيص النسخة.

ستستمر قاعدة الشذوذ الأصلية في العمل حتى تقوم إما بتعطيلها أو حذفها.

هذا حسب التصميم، لمنحك الفرصة لمقارنة النتائج التي تم إنشاؤها بواسطة التكوين الأصلي والجديد. يتم تعطيل القواعد المكررة بشكل افتراضي. يمكنك إنشاء نسخة واحدة مخصصة فقط من أي قاعدة شاذة معينة. ستفشل محاولات إنشاء نسخة ثانية.

  1. لتغيير تكوين قاعدة الشذوذ، حدد القاعدة من القائمة في علامة التبويب Anomalies .

  2. انقر بزر الماوس الأيمن في أي مكان في صف القاعدة، أو انقر بزر الماوس الأيمن فوق علامة الحذف (...) في نهاية الصف، ثم حدد تكرار من قائمة السياق.

    ستظهر قاعدة جديدة في القائمة، مع الخصائص التالية:

    • سيكون اسم القاعدة هو نفسه الاسم الأصلي، مع إلحاق " - مخصص" بالنهاية.
    • ستكون حالة القاعدة معطلا.
    • ستظهر شارة FLGT في بداية الصف للإشارة إلى أن القاعدة في وضع الطيران.

  3. لتخصيص هذه القاعدة، حدد القاعدة وحدد تحرير في جزء التفاصيل، أو من قائمة سياق القاعدة.

  4. يتم فتح القاعدة في معالج قاعدة التحليلات. هنا يمكنك تغيير معلمات القاعدة وعتبتها. تختلف المعلمات التي يمكن تغييرها مع كل نوع من أنواع الحالات الشاذة والخوارزمية.

    يمكنك معاينة نتائج التغييرات في جزء معاينة النتائج. حدد "Anomaly ID " في معاينة النتائج لمعرفة سبب تحديد نموذج التعلم الآلي لهذا الشذوذ.

  5. تمكين القاعدة المخصصة لإنشاء نتائج. قد تتطلب بعض التغييرات الخاصة بك تشغيل القاعدة مرة أخرى، لذلك يجب الانتظار حتى تنتهي والعودة للتحقق من النتائج على صفحة السجلات. يتم تشغيل قاعدة الشذوذ المخصصة في وضع Flighting (اختبار) بشكل افتراضي. تستمر القاعدة الأصلية في التشغيل في وضع الإنتاج بشكل افتراضي.

  6. لمقارنة النتائج، عد إلى جدول Anomalies في Logsلتقييم القاعدة الجديدة كما كان من قبل، استخدم الاستعلام التالي فقط بدلا من ذلك للبحث عن الحالات الشاذة التي تم إنشاؤها بواسطة القاعدة الأصلية بالإضافة إلى القاعدة المكررة.

    Anomalies 
| where AnomalyTemplateId contains "<RuleId>"

    الصق معرّف القاعدة الذي نسخته من القاعدة الأصلية بدلاً من <RuleId> بين علامات الاقتباس. تكون قيمة AnomalyTemplateId في كل من القواعد الأصلية والمكررة مطابقة لقيمة RuleId في القاعدة الأصلية.

إذا كنت راضيا عن نتائج القاعدة المخصصة، يمكنك العودة إلى علامة التبويب Anomalies ، وتحديد القاعدة المخصصة، وتحديد الزر Edit وفي علامة التبويب General قم بتبديلها من Flighting إلى Production. ستتغير القاعدة الأصلية تلقائيا إلى Flighting حيث لا يمكنك الحصول على إصدارين من نفس القاعدة في الإنتاج في نفس الوقت.

الخطوات التالية

في هذا المستند، تعلمت كيفية العمل مع قواعد تحليلات الكشف عن الحالات الخارجة عن المألوف القابلة للتخصيص في Microsoft Sentinel.