إنشاء استعلامات تتبع باستخدام الوضع الإرشادي في Microsoft Defender XDR
ينطبق على:
- Microsoft Defender XDR
هام
تتعلق بعض المعلومات بالمنتج الذي تم إصداره مسبقا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريا. لا تقدم Microsoft أي ضمانات، سواءً كانت صريحة أم ضمنية، فيما يتعلق بالمعلومات الواردة هنا.
يسمح منشئ الاستعلام في الوضع الإرشادي للمحللين بصياغة استعلامات تتبع ذات معنى دون معرفة Kusto Query Language (KQL) أو مخطط البيانات. يمكن للمحللين من كل مستوى من الخبرة استخدام منشئ الاستعلام للتصفية من خلال البيانات من آخر 30 يوما للبحث عن التهديدات، أو توسيع تحقيقات الحوادث، أو إجراء تحليلات البيانات على بيانات التهديد، أو التركيز على مناطق تهديد محددة.
يمكن للمحلل اختيار مجموعة البيانات التي يجب النظر إليها وعوامل التصفية والشروط التي يجب استخدامها لتضييق نطاق البيانات وصولا إلى ما يحتاجون إليه.
يمكنك مشاهدة هذا الفيديو للحصول على نظرة عامة على التتبع الإرشادي:
فتح الاستعلام في المنشئ
في صفحة التتبع المتقدم، حدد الإنشاء جديد لفتح علامة تبويب استعلام جديدة وحدد استعلام في المنشئ.
ينقلك هذا إلى الوضع الإرشادي، حيث يمكنك بعد ذلك إنشاء الاستعلام الخاص بك عن طريق تحديد مكونات مختلفة باستخدام القوائم المنسدلة.
تحديد مجال البيانات المراد البحث فيه
يمكنك التحكم في نطاق البحث عن طريق تحديد المجال الذي يغطيه الاستعلام:
يتضمن تحديد الكل بيانات من جميع المجالات التي لديك حق الوصول إليها حاليا. يسمح التضييق إلى مجال معين بعوامل التصفية ذات الصلة بهذا المجال فقط.
يمكنك الاختيار من بين:
- جميع المجالات - للبحث في جميع البيانات المتوفرة في استعلامك
- نقاط النهاية - للبحث عن بيانات نقطة النهاية كما يوفرها Microsoft Defender لنقطة النهاية
- التطبيقات والهويات - للبحث عن بيانات التطبيق والهوية كما يوفرها Microsoft Defender for Cloud Apps Microsoft Defender for Identity؛ يمكن للمستخدمين الذين يعرفون سجل النشاط العثور على نفس البيانات هنا
- البريد الإلكتروني والتعاون - للبحث عن بيانات تطبيقات البريد الإلكتروني والتعاون مثل SharePoint وOneDrive وغيرها؛ يمكن للمستخدمين المألوفين في Threat Explorer العثور على نفس البيانات هنا
استخدام عوامل التصفية الأساسية
بشكل افتراضي، يتضمن التتبع الإرشادي بعض عوامل التصفية الأساسية لمساعدتك على البدء بسرعة.
عند اختيار مصدر بيانات واحد، على سبيل المثال، نقاط النهاية، يعرض منشئ الاستعلام مجموعات التصفية القابلة للتطبيق فقط. يمكنك بعد ذلك اختيار عامل تصفية تهتم بتضييق نطاقه عن طريق تحديد مجموعة عوامل التصفية هذه، على سبيل المثال، EventType، وتحديد عامل التصفية الذي تختاره.
بمجرد أن يصبح الاستعلام جاهزا، حدد الزر الأزرق Run query . إذا كان الزر رمادي اللون، فهذا يعني أنه يجب ملء الاستعلام أو تحريره بشكل أكبر.
ملاحظة
تستخدم طريقة عرض عامل التصفية الأساسية عامل التشغيل AND فقط، ما يعني أن تشغيل الاستعلام ينشئ نتائج تكون جميع عوامل تصفية المجموعة صحيحة لها.
تحميل استعلامات العينة
هناك طريقة سريعة أخرى للتعرف على التتبع الإرشادي وهي تحميل نماذج الاستعلامات باستخدام القائمة المنسدلة تحميل استعلامات العينة .
ملاحظة
يؤدي تحديد نموذج استعلام إلى تجاوز الاستعلام الموجود.
بمجرد تحميل نموذج الاستعلام، حدد Run query.
إذا كنت قد حددت مجالا مسبقا، فستتغير قائمة استعلامات العينة المتوفرة وفقا لذلك.
لاستعادة القائمة الكاملة لاستعلامات العينة، حدد All domains ثم أعد فتح Load sample queries.
إذا كان نموذج الاستعلام المحمل يستخدم عوامل تصفية خارج مجموعة التصفية الأساسية، يكون زر التبديل رمادي اللون. للعودة إلى مجموعة عوامل التصفية الأساسية، حدد مسح الكل ثم تبديل كافة عوامل التصفية.
استخدام المزيد من عوامل التصفية
لعرض المزيد من مجموعات وشروط عامل التصفية، حدد تبديل لمشاهدة المزيد من عوامل التصفية والشروط.
عندما يكون تبديل جميع عوامل التصفية نشطا، يمكنك الآن استخدام النطاق الكامل من عوامل التصفية والشروط في الوضع الإرشادي.
شروط الإنشاء
لتحديد مجموعة من البيانات لاستخدامها في الاستعلام، حدد تحديد عامل تصفية. استكشف أقسام التصفية المختلفة للعثور على ما هو متوفر لك.
اكتب عناوين المقطع في مربع البحث أعلى القائمة للعثور على عامل التصفية. تحتوي الأقسام التي تنتهي بالمعلومات على عوامل تصفية توفر معلومات حول المكونات المختلفة التي يمكنك النظر إليها وعوامل التصفية الخاصة بحالات الكيانات. تحتوي المقاطع التي تنتهي بالأحداث على عوامل تصفية تسمح لك بالبحث عن أي حدث مراقب على الكيان. على سبيل المثال، للبحث عن الأنشطة التي تتضمن أجهزة معينة، يمكنك استخدام عوامل التصفية ضمن قسم أحداث الجهاز .
ملاحظة
يؤدي اختيار عامل تصفية غير موجود في قائمة عوامل التصفية الأساسية إلى إلغاء تنشيط التبديل أو إلغاء تنشيطه للرجوع إلى طريقة عرض عوامل التصفية الأساسية. لإعادة تعيين الاستعلام أو إزالة عوامل التصفية الموجودة في الاستعلام الحالي، حدد مسح الكل. يؤدي هذا أيضا إلى إعادة تنشيط قائمة عوامل التصفية الأساسية.
بعد ذلك، قم بتعيين الشرط المناسب لمزيد من تصفية البيانات عن طريق تحديدها من القائمة المنسدلة الثانية وتوفير إدخالات في القائمة المنسدلة الثالثة إذا لزم الأمر:
يمكنك إضافة المزيد من الشروط إلى استعلامك باستخدام شروط ANDوOR . ترجع الدالة AND النتائج التي تفي بجميع الشروط في الاستعلام، بينما تقوم OR بإرجاع النتائج التي تفي بأي من الشروط في الاستعلام.
يسمح لك تحسين استعلامك بتصفح السجلات الضخمة تلقائيا لإنشاء قائمة بالنتائج المستهدفة بالفعل لحاجة تتبع التهديدات المحددة.
للتعرف على أنواع البيانات المدعومة وإمكانيات الوضع الإرشادي الأخرى لمساعدتك في ضبط الاستعلام، اقرأ تحسين الاستعلام في الوضع الإرشادي.
تجربة نماذج عمليات المعاينة للاستعلام
هناك طريقة أخرى للتعرف على التتبع الإرشادي وهي تحميل نماذج الاستعلامات التي تم إنشاؤها مسبقا في الوضع الإرشادي.
في قسم البدء في صفحة التتبع، قدمنا ثلاثة أمثلة استعلام إرشادية يمكنك تحميلها. تحتوي أمثلة الاستعلام على بعض عوامل التصفية والمدخلات الأكثر شيوعا التي ستحتاجها عادة في التتبع الخاص بك. يؤدي تحميل أي من نماذج الاستعلامات الثلاثة إلى فتح جولة إرشادية حول كيفية إنشاء الإدخال باستخدام الوضع الإرشادي.
اتبع الإرشادات الموجودة في فقاعات التدريس الزرقاء لإنشاء استعلامك. حدد تشغيل الاستعلام.
جرب بعض الاستعلامات
البحث عن اتصالات ناجحة ب IP محدد
للبحث عن اتصالات الشبكة الناجحة إلى عنوان IP معين، ابدأ بكتابة "ip" للحصول على عوامل التصفية المقترحة:
للبحث عن الأحداث التي تتضمن عنوان IP محددا حيث يكون IP هو وجهة الاتصال، حدد DestinationIPAddress
ضمن قسم أحداث عنوان IP. ثم حدد عامل التشغيل equals . اكتب عنوان IP في القائمة المنسدلة الثالثة واضغط على مفتاح الإدخال Enter:
بعد ذلك، لإضافة شرط ثان يبحث عن أحداث اتصال الشبكة الناجحة، ابحث عن عامل تصفية نوع حدث معين:
يبحث عامل تصفية EventType عن أنواع الأحداث المختلفة التي تم تسجيلها. وهو يعادل عمود ActionType الموجود في معظم الجداول في التتبع المتقدم. حدده لاختيار نوع أحداث واحد أو أكثر للتصفية له. للبحث عن أحداث اتصال الشبكة الناجحة، قم بتوسيع قسم DeviceNetworkEvents ثم اختر ConnectionSuccess
:
وأخيرا، حدد تشغيل الاستعلام للبحث عن جميع اتصالات الشبكة الناجحة إلى عنوان IP 52.168.117.170:
البحث عن رسائل البريد الإلكتروني للتصيد الاحتيالي أو البريد العشوائي عالية الثقة التي يتم تسليمها إلى علبة الوارد
للبحث عن جميع رسائل البريد الإلكتروني للتصيد الاحتيالي والبريد العشوائي عالية الثقة التي تم تسليمها إلى مجلد علبة الوارد في وقت التسليم، حدد أولا ConfidenceLevel ضمن أحداث البريد الإلكتروني، وحدد يساوي واختر عال ضمن كل من التصيد الاحتيالي والبريد العشوائي من القائمة المغلقة المقترحة التي تدعم التحديد المتعدد:
بعد ذلك، أضف شرطا آخر، هذه المرة تحديد المجلد أو DeliveryLocation، علبة الوارد/المجلد.
راجع أيضًا
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.