التتبع المتقدم في مدخل Microsoft Defender

مقالة
04/26/2024
ينطبق على:

Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

يتيح لك التتبع المتقدم في المدخل الموحد عرض جميع البيانات والاستعلام عنها من Microsoft Defender XDR. يتضمن ذلك بيانات من خدمات أمان Microsoft المختلفة وMicrosoft Sentinel، والتي تتضمن بيانات من منتجات غير Microsoft، في نظام أساسي واحد. يمكنك أيضا الوصول إلى جميع محتويات مساحة عمل Microsoft Sentinel الموجودة واستخدامها، بما في ذلك الاستعلامات والوظائف.

الاستعلام من مدخل واحد عبر مجموعات بيانات مختلفة يجعل التتبع أكثر كفاءة ويزيل الحاجة إلى تبديل السياق.

هام

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

كيفية الوصول

الأدوار والأذونات المطلوبة

للاستعلام عبر بيانات Microsoft Sentinel وMicrosoft Defender XDR في صفحة التتبع المتقدمة الموحدة، يجب أن يكون لديك حق الوصول إلى التتبع المتقدم ل Microsoft Defender XDR (راجع الأدوار والأذونات المطلوبة) وقارئ Microsoft Sentinel على الأقل (راجع الأدوار الخاصة ب Microsoft Sentinel).

في المدخل الموحد، يمكنك الاستعلام عن أي بيانات في أي حمل عمل يمكنك الوصول إليه حاليا استنادا إلى الأدوار والأذونات التي لديك.

توصيل مساحة عمل

في Microsoft Defender، يمكنك توصيل مساحات العمل عن طريق تحديد Connect a workspace في الشعار العلوي. يظهر هذا الزر إذا كنت مؤهلا لإلحاق مساحة عمل Microsoft Sentinel على مدخل Microsoft Defender الموحد. اتبع الخطوات الواردة في: إلحاق مساحة عمل.

بعد توصيل مساحة عمل Microsoft Sentinel وبيانات التتبع المتقدمة ل Microsoft Defender XDR، يمكنك البدء في الاستعلام عن بيانات Microsoft Sentinel من صفحة التتبع المتقدمة. للحصول على نظرة عامة على ميزات التتبع المتقدمة، اقرأ البحث الاستباقي عن التهديدات باستخدام التتبع المتقدم.

ما يمكن توقعه لجداول Defender XDR المتدفقة إلى Microsoft Sentinel

استخدام الجداول ذات فترة استبقاء البيانات الأطول في الاستعلامات - يتبع التتبع المتقدم الحد الأقصى لفترة استبقاء البيانات التي تم تكوينها لجداول Defender XDR (راجع فهم الحصص النسبية). إذا قمت ببث جداول Defender XDR إلى Microsoft Sentinel ولديك فترة استبقاء بيانات أطول من 30 يوما للجداول المذكورة، يمكنك الاستعلام عن الفترة الأطول في التتبع المتقدم.
استخدم عوامل تشغيل Kusto التي استخدمتها في Microsoft Sentinel - بشكل عام، تعمل الاستعلامات من Microsoft Sentinel في التتبع المتقدم، بما في ذلك الاستعلامات التي تستخدم adx() عامل التشغيل. قد تكون هناك حالات يحذرك فيها IntelliSense من أن عوامل التشغيل في استعلامك لا تتطابق مع المخطط، ومع ذلك، لا يزال بإمكانك تشغيل الاستعلام ويجب تنفيذه بنجاح.
استخدم القائمة المنسدلة عامل تصفية الوقت بدلا من تعيين الفترة الزمنية في الاستعلام - إذا كنت تقوم بتصفية استيعاب جداول Defender XDR إلى Sentinel بدلا من دفق الجداول كما هي، فلا تقم بتصفية الوقت في الاستعلام لأن هذا قد يؤدي إلى نتائج غير مكتملة. إذا قمت بتعيين الوقت في الاستعلام، يتم استخدام البيانات المتدفقة والمصفاة من Sentinel لأنه عادة ما يكون لها فترة استبقاء البيانات الأطول. إذا كنت ترغب في التأكد من أنك تقوم بالاستعلام عن جميع بيانات Defender XDR لمدة تصل إلى 30 يوما، فاستخدم القائمة المنسدلة عامل تصفية الوقت المتوفرة في محرر الاستعلام بدلا من ذلك.
عرض SourceSystem أعمدة وبيانات MachineGroup Defender XDR التي تم دفقها من Microsoft Sentinel - نظرا إلى أن الأعمدة SourceSystem وإضافتها MachineGroup إلى جداول Defender XDR بمجرد دفقها إلى Microsoft Sentinel، فإنها تظهر أيضا في النتائج في التتبع المتقدم في Defender. ومع ذلك، تظل فارغة لجداول Defender XDR التي لم يتم دفقها (الجداول التي تتبع فترة استبقاء البيانات الافتراضية لمدة 30 يوما).

ملاحظة

لا يعني استخدام المدخل الموحد، حيث يمكنك الاستعلام عن بيانات Microsoft Sentinel بعد توصيل مساحة عمل Microsoft Sentinel، تلقائيا أنه يمكنك أيضا الاستعلام عن بيانات Defender XDR أثناء وجودك في Microsoft Sentinel. يجب أن يظل استيعاب البيانات الأولية ل Defender XDR مكونا في Microsoft Sentinel حتى يحدث ذلك.

مكان العثور على بيانات Microsoft Sentinel

يمكنك استخدام استعلامات KQL للتتبع المتقدمة (Kusto Query Language) للتتبع من خلال بيانات Microsoft Defender XDR وMicrosoft Sentinel.

عند فتح صفحة التتبع المتقدمة لأول مرة بعد توصيل مساحة عمل، يمكنك العثور على العديد من جداول مساحة العمل هذه منظمة حسب الحل بعد جداول Microsoft Defender XDR ضمن علامة التبويب Schema .

وبالمثل، يمكنك العثور على الوظائف من Microsoft Sentinel في علامة التبويب Functions ، ويمكن العثور على الاستعلامات المشتركة والعينة من Microsoft Sentinel في علامة التبويب Queries داخل المجلدات التي تم وضع علامة عليها Sentinel.

عرض معلومات المخطط

لمعرفة المزيد حول جدول مخطط، حدد علامات الحذف العمودية ( أيقونة الكباب ) على يمين أي اسم جدول مخطط ضمن علامة التبويب Schema ، ثم حدد View schema.

في المدخل الموحد، بالإضافة إلى عرض أسماء أعمدة المخطط ووصفه، يمكنك أيضا عرض:

عينة البيانات - حدد عرض بيانات المعاينة، والتي تقوم بتحميل استعلام بسيط مثل TableName | take 5
نوع المخطط - ما إذا كان الجدول يدعم قدرات الاستعلام الكاملة (جدول متقدم) أم لا (جدول السجلات الأساسية)
فترة استبقاء البيانات – المدة التي يتم فيها تعيين البيانات ليتم الاحتفاظ بها
العلامات - متوفرة لجداول بيانات Sentinel

استخدام الدالات

لاستخدام دالة من Microsoft Sentinel، انتقل إلى علامة التبويب Functions وقم بالتمرير حتى تعثر على الدالة التي تريدها. انقر نقرا مزدوجا فوق اسم الدالة لإدراج الدالة في محرر الاستعلام.

يمكنك أيضا تحديد علامات الحذف العمودية ( أيقونة الكباب ) إلى يمين الدالة وتحديد إدراج للاستعلام لإدراج الدالة في استعلام في محرر الاستعلام.

تتضمن الخيارات الأخرى ما يلي:

عرض التفاصيل - يفتح الجزء الجانبي للدالة الذي يحتوي على تفاصيله
تحميل التعليمات البرمجية للدالة - يفتح علامة تبويب جديدة تحتوي على التعليمات البرمجية للدالة

بالنسبة للوظائف القابلة للتحرير، تتوفر المزيد من الخيارات عند تحديد علامات الحذف العمودية:

تحرير التفاصيل - يفتح الجزء الجانبي للدالة للسماح لك بتحرير تفاصيل حول الدالة (باستثناء أسماء المجلدات لوظائف Sentinel)
حذف – يحذف الدالة

استخدام الاستعلامات المحفوظة

لاستخدام استعلام محفوظ من Microsoft Sentinel، انتقل إلى علامة التبويب Queries وقم بالتمرير حتى تعثر على الاستعلام الذي تريده. انقر نقرا مزدوجا فوق اسم الاستعلام لتحميل الاستعلام في محرر الاستعلام. لمزيد من الخيارات، حدد علامات الحذف العمودية ( أيقونة الكباب ) على يمين الاستعلام. من هنا، يمكنك تنفيذ الإجراءات التالية:

تشغيل الاستعلام - تحميل الاستعلام في محرر الاستعلام وتشغيله تلقائيا
فتح في محرر الاستعلام - تحميل الاستعلام في محرر الاستعلام
عرض التفاصيل - يفتح الجزء الجانبي تفاصيل الاستعلام حيث يمكنك فحص الاستعلام أو تشغيل الاستعلام أو فتح الاستعلام في المحرر

بالنسبة للاستعلامات القابلة للتحرير، تتوفر المزيد من الخيارات:

تحرير التفاصيل - يفتح الجزء الجانبي لتفاصيل الاستعلام مع خيار تحرير التفاصيل مثل الوصف (إن أمكن) والاستعلام نفسه؛ لا يمكن تحرير أسماء المجلدات (الموقع) فقط من استعلامات Microsoft Sentinel
حذف – يحذف الاستعلام
إعادة التسمية – يسمح لك بتعديل اسم الاستعلام

إنشاء قواعد تحليلات وكشف مخصصة

للمساعدة في اكتشاف التهديدات والسلوكيات الشاذة في بيئتك، يمكنك إنشاء نهج اكتشاف مخصصة.

بالنسبة لقواعد التحليلات التي تنطبق على البيانات التي تم استيعابها من خلال مساحة عمل Microsoft Sentinel المتصلة، حدد إدارة القواعد > إنشاء قاعدة التحليلات.

يظهر معالج قاعدة التحليلات . املأ التفاصيل المطلوبة كما هو موضح في معالج قاعدة التحليلات — علامة التبويب عام.

يمكنك أيضا إنشاء قواعد الكشف المخصصة التي تستعلم عن البيانات من كل من جداول Microsoft Sentinel وDefender XDR. حدد Manage rules > Create custom detection. اقرأ إنشاء قواعد الكشف المخصصة وإدارتها لمزيد من المعلومات.

إذا تم استيعاب بيانات Defender XDR في Microsoft Sentinel، فلديك خيار الاختيار بين إنشاء اكتشاف مخصص وإنشاء قاعدة تحليلات.

استكشاف النتائج

تظهر نتائج الاستعلامات التي تم تشغيلها في علامة التبويب النتائج . يمكنك تصدير النتائج إلى ملف CSV عن طريق تحديد Export.

يمكنك أيضا استكشاف النتائج بما يتماشى مع الميزات التالية:

توسيع نتيجة عن طريق تحديد سهم القائمة المنسدلة على يسار كل نتيجة
عند الاقتضاء، قم بتوسيع تفاصيل النتائج بتنسيق JSON أو صفيف عن طريق تحديد سهم القائمة المنسدلة على يسار صف النتائج القابل للتطبيق لسهولة القراءة المضافة
افتح الجزء الجانبي لمشاهدة تفاصيل السجل (متزامن مع الصفوف الموسعة)

يمكنك أيضا النقر بزر الماوس الأيمن فوق أي قيمة نتيجة في صف واحد بحيث يمكنك استخدامها من أجل:

إضافة المزيد من عوامل التصفية إلى الاستعلام الموجود
انسخ القيمة لاستخدامها في مزيد من التحقيق
تحديث الاستعلام لتوسيع حقل JSON إلى عمود جديد

بالنسبة لبيانات Microsoft Defender XDR، يمكنك اتخاذ مزيد من الإجراءات عن طريق تحديد خانات الاختيار على يسار كل صف نتائج. حدد ارتباط بالحدث لربط النتائج المحددة بحدث (اقرأ ربط نتائج الاستعلام بحادث) أو اتخاذ إجراءات لفتح معالج اتخاذ الإجراءات (اقرأ اتخاذ إجراء بشأن نتائج استعلام التتبع المتقدمة).

المشاكل المعروفة

IdentityInfo table من Microsoft Sentinel غير متوفر، حيث IdentityInfo يظل الجدول كما هو الحال في Defender XDR. لا تتأثر ميزات Microsoft Sentinel مثل قواعد التحليلات التي تستعلم عن هذا الجدول لأنها تستعلم عن مساحة عمل Log Analytics مباشرة.
يتم استبدال جدول Microsoft Sentinel SecurityAlert بجداول AlertInfo و AlertEvidence ، والتي تحتوي على كل البيانات الموجودة في التنبيهات. بينما لا يتوفر SecurityAlert في علامة تبويب المخطط، لا يزال بإمكانك استخدامه في الاستعلامات باستخدام محرر التتبع المتقدم. يتم إجراء هذا الحكم حتى لا يتم فصل الاستعلامات الموجودة من Microsoft Sentinel التي تستخدم هذا الجدول.
يتم دعم وضع التتبع الموجه والارتباطات إلى الحوادث واتخاذ الإجراءات لبيانات Defender XDR فقط.
الاكتشافات المخصصة لها القيود التالية:
- لا تتوفر عمليات الكشف المخصصة لطلبات استعلامات KQL التي لا تتضمن بيانات Defender XDR.
- لا يتوفر تكرار الكشف في الوقت الحقيقي تقريبا للكشف التي تتضمن بيانات Microsoft Sentinel.
- الدالات المخصصة التي تم إنشاؤها وحفظها في Microsoft Sentinel غير مدعومة.
- تعريف الكيانات من بيانات Sentinel غير مدعوم بعد في عمليات الكشف المخصصة.
الإشارات المرجعية غير مدعومة في تجربة التتبع المتقدمة. وهي مدعومة في ميزة تتبع إدارة > المخاطر في Microsoft Sentinel>.
إذا كنت تقوم ببث جداول Defender XDR إلى Log Analytics، فقد يكون هناك فرق بينTimestamp العمودين و TimeGenerated . في حالة وصول البيانات إلى Log Analytics بعد 48 ساعة، يتم تجاوزها عند الاستيعاب إلى now(). لذلك، للحصول على الوقت الفعلي الذي حدث فيه الحدث، نوصي بالاعتماد على Timestamp العمود.
عند مطالبة Copilot for Security باستعلامات التتبع المتقدمة، قد تجد أن جميع جداول Microsoft Sentinel غير مدعومة حاليا. ومع ذلك، يمكن توقع دعم هذه الجداول في المستقبل.

مشاركة عبر