إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
هام
تتعلق بعض المعلومات الواردة في هذه المقالة بالناتج الذي تم إصداره مسبقًا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريًا. لا تقدم Microsoft أي ضمانات، يتم التعبير عنها أو تضمينها، فيما يتعلق بالمعلومات المقدمة هنا.
يتيح جمع البيانات المخصص للمؤسسات توسيع جمع بيانات تتبع الاستخدام بما يتجاوز التكوينات الافتراضية لدعم احتياجات تتبع التهديدات ومراقبة الأمان المتخصصة. تسمح هذه الميزة لفرق الأمان بتحديد قواعد مجموعة محددة مع عوامل تصفية مخصصة لخصائص الحدث مثل مسارات المجلدات وأسماء العمليات واتصالات الشبكة.
لماذا تستخدم جمع البيانات المخصصة؟
يجمع Microsoft Defender لنقطة النهاية بيانات تتبع الاستخدام الشاملة بشكل افتراضي، ولكن تتطلب بعض سيناريوهات الأمان بيانات إضافية متخصصة. استخدم جمع البيانات المخصص عندما تحتاج إلى رؤية مستهدفة لتعقب التهديدات أو مراقبة التطبيق أو دليل التوافق أو الاستجابة للحوادث دون تكلفة وضوضاء جمع جميع الأحداث.
متى تستخدم جمع البيانات المخصصة
| السيناريو | استخدم عندما | مثال | قيمة الأمان |
|---|---|---|---|
| تتبع التهديدات | تحتاج إلى البحث عن أنماط هجوم محددة عبر بيئتك | جمع جميع عمليات تنفيذ البرنامج النصي PowerShell من محطات العمل الإدارية للكشف عن البرامج النصية الضارة | الكشف عن البرامج الضارة بدون ملفات أو البرامج النصية الضارة أو الأتمتة غير المصرح بها على الأنظمة المتميزة |
| مراقبة التطبيق | تحتاج إلى تعقب الأحداث ذات الصلة بالأمان للتطبيقات المخصصة | مراقبة أنماط الوصول إلى الملفات لتطبيق مالي خاص | تحديد الوصول غير المصرح به أو محاولات النقل غير المصرح به للبيانات أو انتهاكات التوافق لتطبيقات خط العمل |
| دليل التوافق | تحتاج إلى تسجيل سجلات التدقيق التفصيلية المطلوبة من قبل اللوائح | جمع جميع تعديلات الملفات في مجلدات تحتوي على بيانات حساسة | تلبية المتطلبات التنظيمية (PCI-DSS، HIPAA، GDPR) مع مسارات تدقيق الطب الشرعي التفصيلية |
| الاستجابة للحوادث | تحتاج إلى جمع بيانات الطب الشرعي أثناء التحقيقات النشطة | جمع جميع اتصالات الشبكة مؤقتا من الخوادم التي يحتمل اختراقها | تدوين أدلة مفصلة للتحقيق وتحديد الحركة الجانبية ودعم جهود المعالجة |
| الكشف عن الحركة الجانبية | تحتاج إلى مراقبة مؤشرات محددة للحركة الجانبية | تعقب الاتصالات البعيدة وأحداث المصادقة عبر وحدات التحكم بالمجال | الكشف عن المهاجمين الذين ينتقلون بين الأنظمة باستخدام بيانات الاعتماد المسروقة أو أدوات الوصول عن بعد |
فوائد جمع البيانات المخصصة
| فائدة | الوصف |
|---|---|
| الرؤية المستهدفة | جمع الأحداث التي تحتاجها فقط، وتقليل الضوضاء والتحكم في تكاليف استيعاب البيانات في Microsoft Sentinel |
| التتبع المرن | إنشاء استعلامات مخصصة على بيانات تتبع الاستخدام المتخصصة في Microsoft Sentinel للبحث عن التهديدات العميقة والتحقيق فيها |
| جمع الأدلة | تدوين بيانات الطب الشرعي التفصيلية للتحقيقات وعمليات تدقيق التوافق والاستجابة للحوادث |
| مراقبة قابلة للتطوير | المجموعة المستهدفة لمجموعات أجهزة معينة باستخدام علامات ديناميكية، ما يضمن بقاء المجموعة محدثة مع تغير بيئتك |
| التحكم في التكلفة | تجنب جمع البيانات غير الضرورية باستخدام عوامل تصفية محددة واستهداف الجهاز |
هام
يتطلب جمع البيانات المخصصة استهداف الجهاز باستخدام العلامات الديناميكية. يجب تكوين العلامات الديناميكية في Asset Rule Management قبل إنشاء قواعد تجميع مخصصة. راجع إنشاء علامات الجهاز والأجهزة المستهدفة وإدارتها.
كيفية عمل جمع البيانات المخصصة
يستخدم جمع البيانات المخصص التصفية المستندة إلى القواعد لالتقاط أحداث معينة من أجهزة نقطة النهاية وتوجيهها إلى مساحة عمل Microsoft Sentinel للتحليل وتتبع التهديدات.
عملية التجميع
- تعريف القواعد: إنشاء قواعد المجموعة في مدخل Microsoft Defender باستخدام عوامل تصفية أحداث محددة
- الأجهزة المستهدفة: استخدم العلامات الديناميكية لتحديد الأجهزة التي يجب أن تجمع البيانات
- قواعد التوزيع: يتم إرسال القواعد إلى نقاط النهاية المستهدفة (عادة في غضون 20 دقيقة إلى ساعة واحدة)
- تجميع الأحداث: تجمع نقاط النهاية الأحداث المطابقة لمعايير القاعدة الخاصة بك جنبا إلى جنب مع بيانات تتبع الاستخدام الافتراضية
- تحليل البيانات: الاستعلام عن بيانات الحدث المخصصة في مساحة عمل Microsoft Sentinel
ملاحظة
تعمل قواعد جمع البيانات المخصصة جنبا إلى جنب مع تكوين Defender لنقطة النهاية الافتراضي. لا تحل المجموعة المخصصة محل بيانات تتبع الاستخدام القياسية أو تعدلها ، بل تضيف إليها.
جداول الأحداث المدعومة
يدعم جمع البيانات المخصصة جداول الأحداث التالية. يلتقط كل جدول أنواعا مختلفة من الأنشطة المتعلقة بالأمان:
| اسم الجدول | أنواع الأحداث | استخدم ل |
|---|---|---|
| DeviceCustomProcessEvents | إنشاء العملية وإنهاءها وأنشطة العملية الأخرى | مراقبة عمليات التشغيل القابلة للتنفيذ، وتتبع أشجار العمليات، والكشف عن العمليات الضارة |
| DeviceCustomImageLoadEvents | DLL وأحداث تحميل الصور | تحديد إدخال المكتبة الضارة، وتتبع تحميلات الوحدة النمطية المشبوهة |
| أحداث DeviceCustomFilevents | إنشاء الملف وتعديله وحذفه والوصول إليه | مراقبة الوصول الحساس إلى البيانات، وتتبع مؤشرات برامج الفدية الضارة، وتدقيق التوافق |
| أحداث DeviceCustomNetworkEvents | أحداث اتصال الشبكة مع عناوين IP والمنافذ والبروتوكولات | الكشف عن الحركة الجانبية، ومراقبة اتصالات C2، وتتبع الاتصالات غير المصرح بها |
| أحداث DeviceCustomScriptEvents | تنفيذ البرنامج النصي (PowerShell وJavaScript وما إلى ذلك) | الكشف عن البرامج الضارة بدون ملفات، ومراقبة البرامج النصية الإدارية، وتحديد الهجمات المستندة إلى البرنامج النصي |
للحصول على معلومات مفصلة عن المخطط، راجع جداول مخطط التتبع المتقدمة.
المتطلبات الأساسية والمتطلبات
للحصول على المتطلبات الأساسية الكاملة ومتطلبات الإعداد، راجع إنشاء قواعد تجميع بيانات مخصصة.
الأسئلة الشائعة
| السؤال | الاجابه |
|---|---|
| هل يؤثر جمع البيانات المخصص على تكوين Defender لنقطة النهاية الافتراضي؟ | لا، تعمل قواعد جمع البيانات المخصصة جنبا إلى جنب مع التكوين الافتراضي ل Defender لنقطة النهاية دون تداخل. لا تحل المجموعة المخصصة محل بيانات تتبع الاستخدام القياسية أو تعدلها ، بل تضيف إليها. |
| هل هناك حاجة إلى مساحة عمل Microsoft Sentinel؟ | نعم، تحتاج إلى مساحة عمل Microsoft Sentinel متصلة لإنشاء قواعد تجميع بيانات مخصصة واستخدامها. يجب عليك أيضا تحديد مساحة العمل عند إنشاء القواعد. |
| لماذا العلامات الديناميكية مطلوبة؟ | تضمن العلامات الديناميكية بقاء استهداف الجهاز محدثا مع تغير بيئتك. لا يتم تحديث العلامات اليدوية تلقائيا، مما قد يؤدي إلى استهداف مجموعة قديمة. العلامات الديناميكية مطلوبة أيضا للتكامل مع Asset Rule Management. |
| كيف يمكنني معرفة ما إذا كانت القاعدة نشطة على جهاز؟ | استعلم عن جدول الأحداث المخصص ذي الصلة للجهاز لمشاهدة الأحداث المجمعة. على سبيل المثال:search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"\| where DeviceId == "your_device_id"\| summarize count() by RuleName, RuleLastModificationTime, $table |
| ماذا يحدث عندما يصل الجهاز إلى حد الحدث البالغ 75000؟ | تتوقف مجموعة بيانات تتبع الاستخدام لتلك القاعدة المحددة حتى تتم إعادة تعيين النافذة المتداولة على مدار 24 ساعة. تستمر القواعد الأخرى على الجهاز في جمع الأحداث. تحسين شروط القاعدة لجعلها أكثر تحديدا وتقليل حجم الحدث. |
| هل يمكنني استخدام العلامات اليدوية لجمع البيانات المخصصة؟ | لا، يتم دعم العلامات الديناميكية فقط. يتم تحديث العلامات الديناميكية تلقائيا مع تغير خصائص الجهاز، ما يضمن بقاء استهداف المجموعة دقيقا. |
| كم من الوقت يستغرق نشر قاعدة على الأجهزة؟ | يستغرق نشر القاعدة عادة من 20 دقيقة إلى ساعة واحدة. تحقق من التوزيع عن طريق الاستعلام عن جداول الأحداث المخصصة للبيانات من الأجهزة المستهدفة. |
الخطوات التالية
- إنشاء قواعد تجميع بيانات مخصصة: إرشادات خطوة بخطوة لإنشاء القواعد وإدارتها
- إنشاء علامات الجهاز والأجهزة المستهدفة وإدارتها: تكوين العلامات الديناميكية لاستهداف الجهاز