إنشاء استعلامات تتبع باستخدام الوضع الإرشادي في Microsoft Defender XDR

ينطبق على:

  • Microsoft Defender XDR

هام

تتعلق بعض المعلومات بالمنتج الذي تم إصداره مسبقا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريا. لا تقدم Microsoft أي ضمانات، سواءً كانت صريحة أم ضمنية، فيما يتعلق بالمعلومات الواردة هنا.

يسمح منشئ الاستعلام في الوضع الإرشادي للمحللين بصياغة استعلامات تتبع ذات معنى دون معرفة Kusto Query Language (KQL) أو مخطط البيانات. يمكن للمحللين من كل مستوى من الخبرة استخدام منشئ الاستعلام للتصفية من خلال البيانات من آخر 30 يوما للبحث عن التهديدات، أو توسيع تحقيقات الحوادث، أو إجراء تحليلات البيانات على بيانات التهديد، أو التركيز على مناطق تهديد محددة.

يمكن للمحلل اختيار مجموعة البيانات التي يجب النظر إليها وعوامل التصفية والشروط التي يجب استخدامها لتضييق نطاق البيانات وصولا إلى ما يحتاجون إليه.

يمكنك مشاهدة هذا الفيديو للحصول على نظرة عامة على التتبع الإرشادي:

فتح الاستعلام في المنشئ

في صفحة التتبع المتقدم، حدد الإنشاء جديد لفتح علامة تبويب استعلام جديدة وحدد استعلام في المنشئ.

لقطة شاشة لمنشئ استعلام الوضع الإرشادي

ينقلك هذا إلى الوضع الإرشادي، حيث يمكنك بعد ذلك إنشاء الاستعلام الخاص بك عن طريق تحديد مكونات مختلفة باستخدام القوائم المنسدلة.

تحديد مجال البيانات المراد البحث فيه

يمكنك التحكم في نطاق البحث عن طريق تحديد المجال الذي يغطيه الاستعلام:

لقطة شاشة لمجالات منشئ استعلام الوضع الإرشادي المنسدلة

يتضمن تحديد الكل بيانات من جميع المجالات التي لديك حق الوصول إليها حاليا. يسمح التضييق إلى مجال معين بعوامل التصفية ذات الصلة بهذا المجال فقط.

يمكنك الاختيار من بين:

  • جميع المجالات - للبحث في جميع البيانات المتوفرة في استعلامك
  • نقاط النهاية - للبحث عن بيانات نقطة النهاية كما يوفرها Microsoft Defender لنقطة النهاية
  • التطبيقات والهويات - للبحث عن بيانات التطبيق والهوية كما يوفرها Microsoft Defender for Cloud Apps Microsoft Defender for Identity؛ يمكن للمستخدمين الذين يعرفون سجل النشاط العثور على نفس البيانات هنا
  • البريد الإلكتروني والتعاون - للبحث عن بيانات تطبيقات البريد الإلكتروني والتعاون مثل SharePoint وOneDrive وغيرها؛ يمكن للمستخدمين المألوفين في Threat Explorer العثور على نفس البيانات هنا

استخدام عوامل التصفية الأساسية

بشكل افتراضي، يتضمن التتبع الإرشادي بعض عوامل التصفية الأساسية لمساعدتك على البدء بسرعة.

لقطة شاشة لمجموعة التصفية الأساسية لمنشئ استعلام الوضع الإرشادي

عند اختيار مصدر بيانات واحد، على سبيل المثال، نقاط النهاية، يعرض منشئ الاستعلام مجموعات التصفية القابلة للتطبيق فقط. يمكنك بعد ذلك اختيار عامل تصفية تهتم بتضييق نطاقه عن طريق تحديد مجموعة عوامل التصفية هذه، على سبيل المثال، EventType، وتحديد عامل التصفية الذي تختاره.

لقطة شاشة لمجموعة التصفية الأساسية لنقطة نهاية منشئ استعلام الوضع الإرشادي

بمجرد أن يصبح الاستعلام جاهزا، حدد الزر الأزرق Run query . إذا كان الزر رمادي اللون، فهذا يعني أنه يجب ملء الاستعلام أو تحريره بشكل أكبر.

ملاحظة

تستخدم طريقة عرض عامل التصفية الأساسية عامل التشغيل AND فقط، ما يعني أن تشغيل الاستعلام ينشئ نتائج تكون جميع عوامل تصفية المجموعة صحيحة لها.

تحميل استعلامات العينة

هناك طريقة سريعة أخرى للتعرف على التتبع الإرشادي وهي تحميل نماذج الاستعلامات باستخدام القائمة المنسدلة تحميل استعلامات العينة . لقطة شاشة لقائمة استعلامات عينة تحميل منشئ استعلام الوضع الإرشادي

ملاحظة

يؤدي تحديد نموذج استعلام إلى تجاوز الاستعلام الموجود.

بمجرد تحميل نموذج الاستعلام، حدد Run query.

لقطة شاشة لاستعلام منشئ استعلام الوضع الإرشادي المحمل

إذا كنت قد حددت مجالا مسبقا، فستتغير قائمة استعلامات العينة المتوفرة وفقا لذلك.

لقطة شاشة لقائمة مقيدة منشئ استعلام الوضع الإرشادي

لاستعادة القائمة الكاملة لاستعلامات العينة، حدد All domains ثم أعد فتح Load sample queries.

إذا كان نموذج الاستعلام المحمل يستخدم عوامل تصفية خارج مجموعة التصفية الأساسية، يكون زر التبديل رمادي اللون. للعودة إلى مجموعة عوامل التصفية الأساسية، حدد مسح الكل ثم تبديل كافة عوامل التصفية.

استخدام المزيد من عوامل التصفية

لعرض المزيد من مجموعات وشروط عامل التصفية، حدد تبديل لمشاهدة المزيد من عوامل التصفية والشروط.

لقطة شاشة لمنشئ استعلام الوضع الإرشادي لتبديل المزيد من عوامل التصفية

عندما يكون تبديل جميع عوامل التصفية نشطا، يمكنك الآن استخدام النطاق الكامل من عوامل التصفية والشروط في الوضع الإرشادي.

لقطة شاشة لمنشئ استعلام الوضع الإرشادي لجميع عوامل التصفية النشطة

شروط الإنشاء

لتحديد مجموعة من البيانات لاستخدامها في الاستعلام، حدد تحديد عامل تصفية. استكشف أقسام التصفية المختلفة للعثور على ما هو متوفر لك.

لقطة شاشة تعرض عوامل تصفية مختلفة يمكنك استخدامها

اكتب عناوين المقطع في مربع البحث أعلى القائمة للعثور على عامل التصفية. تحتوي الأقسام التي تنتهي بالمعلومات على عوامل تصفية توفر معلومات حول المكونات المختلفة التي يمكنك النظر إليها وعوامل التصفية الخاصة بحالات الكيانات. تحتوي المقاطع التي تنتهي بالأحداث على عوامل تصفية تسمح لك بالبحث عن أي حدث مراقب على الكيان. على سبيل المثال، للبحث عن الأنشطة التي تتضمن أجهزة معينة، يمكنك استخدام عوامل التصفية ضمن قسم أحداث الجهاز .

ملاحظة

يؤدي اختيار عامل تصفية غير موجود في قائمة عوامل التصفية الأساسية إلى إلغاء تنشيط التبديل أو إلغاء تنشيطه للرجوع إلى طريقة عرض عوامل التصفية الأساسية. لإعادة تعيين الاستعلام أو إزالة عوامل التصفية الموجودة في الاستعلام الحالي، حدد مسح الكل. يؤدي هذا أيضا إلى إعادة تنشيط قائمة عوامل التصفية الأساسية.

بعد ذلك، قم بتعيين الشرط المناسب لمزيد من تصفية البيانات عن طريق تحديدها من القائمة المنسدلة الثانية وتوفير إدخالات في القائمة المنسدلة الثالثة إذا لزم الأمر:

لقطة شاشة تعرض ظروفا مختلفة يمكنك استخدامها

يمكنك إضافة المزيد من الشروط إلى استعلامك باستخدام شروط ANDوOR . ترجع الدالة AND النتائج التي تفي بجميع الشروط في الاستعلام، بينما تقوم OR بإرجاع النتائج التي تفي بأي من الشروط في الاستعلام.

لقطة شاشة تعرض عوامل تشغيل AND OR

يسمح لك تحسين استعلامك بتصفح السجلات الضخمة تلقائيا لإنشاء قائمة بالنتائج المستهدفة بالفعل لحاجة تتبع التهديدات المحددة.

للتعرف على أنواع البيانات المدعومة وإمكانيات الوضع الإرشادي الأخرى لمساعدتك في ضبط الاستعلام، اقرأ تحسين الاستعلام في الوضع الإرشادي.

تجربة نماذج عمليات المعاينة للاستعلام

هناك طريقة أخرى للتعرف على التتبع الإرشادي وهي تحميل نماذج الاستعلامات التي تم إنشاؤها مسبقا في الوضع الإرشادي.

في قسم البدء في صفحة التتبع، قدمنا ثلاثة أمثلة استعلام إرشادية يمكنك تحميلها. تحتوي أمثلة الاستعلام على بعض عوامل التصفية والمدخلات الأكثر شيوعا التي ستحتاجها عادة في التتبع الخاص بك. يؤدي تحميل أي من نماذج الاستعلامات الثلاثة إلى فتح جولة إرشادية حول كيفية إنشاء الإدخال باستخدام الوضع الإرشادي.

لقطة شاشة لمنشئ استعلام الوضع الإرشادي لبدء إرشادات الاستعلام

اتبع الإرشادات الموجودة في فقاعات التدريس الزرقاء لإنشاء استعلامك. حدد تشغيل الاستعلام.

جرب بعض الاستعلامات

البحث عن اتصالات ناجحة ب IP محدد

للبحث عن اتصالات الشبكة الناجحة إلى عنوان IP معين، ابدأ بكتابة "ip" للحصول على عوامل التصفية المقترحة:

لقطة شاشة للبحث عن منشئ استعلام الوضع الإرشادي للاتصالات الناجحة بعامل تصفية IP الأول المحدد

للبحث عن الأحداث التي تتضمن عنوان IP محددا حيث يكون IP هو وجهة الاتصال، حدد DestinationIPAddress ضمن قسم أحداث عنوان IP. ثم حدد عامل التشغيل equals . اكتب عنوان IP في القائمة المنسدلة الثالثة واضغط على مفتاح الإدخال Enter:

لقطة شاشة للبحث عن منشئ استعلام الوضع الإرشادي للاتصالات الناجحة ب IP محدد

بعد ذلك، لإضافة شرط ثان يبحث عن أحداث اتصال الشبكة الناجحة، ابحث عن عامل تصفية نوع حدث معين:

لقطة شاشة لمتتبع منشئ استعلام الوضع الإرشادي للاتصالات الناجحة ب IP معين، الشرط الثاني

يبحث عامل تصفية EventType عن أنواع الأحداث المختلفة التي تم تسجيلها. وهو يعادل عمود ActionType الموجود في معظم الجداول في التتبع المتقدم. حدده لاختيار نوع أحداث واحد أو أكثر للتصفية له. للبحث عن أحداث اتصال الشبكة الناجحة، قم بتوسيع قسم DeviceNetworkEvents ثم اختر ConnectionSuccess:

لقطة شاشة لمتتبع منشئ استعلام الوضع الإرشادي للاتصالات الناجحة بشرط IP ثالث محدد

وأخيرا، حدد تشغيل الاستعلام للبحث عن جميع اتصالات الشبكة الناجحة إلى عنوان IP 52.168.117.170:

لقطة شاشة للبحث عن منشئ استعلام الوضع الإرشادي للاتصالات الناجحة بعرض نتائج IP محددة

البحث عن رسائل البريد الإلكتروني للتصيد الاحتيالي أو البريد العشوائي عالية الثقة التي يتم تسليمها إلى علبة الوارد

للبحث عن جميع رسائل البريد الإلكتروني للتصيد الاحتيالي والبريد العشوائي عالية الثقة التي تم تسليمها إلى مجلد علبة الوارد في وقت التسليم، حدد أولا ConfidenceLevel ضمن أحداث البريد الإلكتروني، وحدد يساوي واختر عال ضمن كل من التصيد الاحتيالي والبريد العشوائي من القائمة المغلقة المقترحة التي تدعم التحديد المتعدد:

لقطة شاشة لمنشئ استعلام الوضع الإرشادي يتتبع رسائل التصيد الاحتيالي أو رسائل البريد الإلكتروني العشوائي عالية الثقة التي تم تسليمها إلى علبة الوارد، الشرط الأول

بعد ذلك، أضف شرطا آخر، هذه المرة تحديد المجلد أو DeliveryLocation، علبة الوارد/المجلد.

لقطة شاشة لمنشئ استعلام الوضع الإرشادي يتتبع رسائل التصيد الاحتيالي أو رسائل البريد الإلكتروني العشوائي عالية الثقة التي تم تسليمها إلى علبة الوارد، الشرط الثاني

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.