ملاحظة
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يمكنك عرض قائمة قواعد الكشف المخصصة الموجودة، والتحقق من عمليات التشغيل السابقة، ومراجعة التنبيهات التي تم تشغيلها. يمكنك أيضا تشغيل قاعدة عند الطلب وتعديلها.
تلميح
تتوفر التنبيهات التي يتم رفعها بواسطة عمليات الكشف المخصصة عبر التنبيهات وواجهات برمجة التطبيقات للحوادث. لمزيد من المعلومات، راجع واجهات برمجة تطبيقات Microsoft Defender XDR المدعومة.
بالنسبة للمستخدمين الذين قاموا بإلحاق مساحة عمل Microsoft Sentinel إلى مدخل Microsoft Defender الموحد، تتضمن قائمة قواعد الكشف المخصصة قواعد التحليلات. تنطبق الأقسام التالية أيضا على قواعد التحليلات ما لم يشار إلى خلاف ذلك.
عرض القواعد الموجودة
لعرض قواعد الكشف المخصصة وقواعد التحليلات الحالية، انتقل إلىقواعد الكشف المخصصةللتتبع>.
يمكنك التصفية لأي عمود بالانتقال إلى إضافة عامل تصفية، وتحديد الأعمدة التي تريد التصفية لها، وتحديد إضافة. لكل عمود من الأعمدة المختارة، حدد حبوب منع الحمل المقابلة إلى جانب عوامل التصفية:، وحدد الأعمدة، ثم تطبيق.
للبحث عن قواعد معينة، انتقل إلى مربع البحث في أعلى يمين الصفحة وأدخل الاسم أو معرف القاعدة للقاعدة التي تبحث عنها.
بالنسبة للمؤسسات متعددة مساحات العمل التي قامت بإلحاق مساحات عمل متعددة Microsoft Defender، يمكنك التصفية لمساحات العمل باستخدام معرف مساحة العمل أو اسم مساحة العمل للأعمدة.
تسرد الصفحة جميع القواعد بمعلومات التشغيل التالية:
- آخر تشغيل - عند آخر تشغيل لقاعدة للتحقق من وجود تطابقات في الاستعلام وإنشاء تنبيهات
- حالة التشغيل الأخير - ما إذا كانت القاعدة قد تم تشغيلها بنجاح (لقواعد الكشف المخصصة فقط)
- التشغيل التالي - التشغيل المجدول التالي
- الحالة - ما إذا كان قد تم تشغيل قاعدة أو إيقاف تشغيلها
عرض تفاصيل القاعدة وتعديل القاعدة وتشغيل القاعدة
لعرض معلومات شاملة حول قاعدة اكتشاف مخصصة أو قاعدة تحليلات، انتقل إلىقواعد الكشف المخصصةللتتبع> ثم حدد اسم القاعدة. يمكنك بعد ذلك عرض معلومات عامة حول القاعدة، بما في ذلك المعلومات وحالة التشغيل الخاصة بها والنطاق. توفر الصفحة أيضا قائمة بالتنبيهات والإجراءات التي تم تشغيلها.
يمكنك أيضا اتخاذ الإجراءات التالية على القاعدة من هذه الصفحة:
- فتح صفحة قاعدة الكشف - تفتح صفحة قاعدة الكشف لعرض التنبيهات المشغلة وإجراءات المراجعة (لقواعد الكشف المخصصة فقط)
- تشغيل - تشغيل القاعدة على الفور؛ يؤدي هذا أيضا إلى إعادة تعيين الفاصل الزمني للتشغيل التالي (لقواعد الكشف المخصصة فقط)
- تحرير - يسمح لك بتعديل القاعدة دون تغيير الاستعلام
- تعديل الاستعلام - يسمح لك بتحرير الاستعلام في التتبع المتقدم
- / تشغيلإيقاف التشغيل - يسمح لك بتمكين القاعدة أو إيقاف تشغيلها
- حذف - يسمح لك بإيقاف تشغيل القاعدة وإزالتها
عرض التنبيهات المشغلة وإدارتها
في شاشة تفاصيل القاعدة (عمليات الكشف المخصصة عن التتبع>>[اسم القاعدة])، انتقل إلى التنبيهات التي تم تشغيلها، والتي تسرد التنبيهات التي تم إنشاؤها بواسطة التطابقات مع القاعدة. حدد تنبيها لعرض معلومات مفصلة عنه واتخاذ الإجراءات التالية:
- إدارة التنبيه عن طريق تعيين حالته وتصنيفه (تنبيه صحيح أو خاطئ)
- ربط التنبيه بحادث
- تشغيل الاستعلام الذي قام بتشغيل التنبيه على التتبع المتقدم
مراجعة الإجراءات
في شاشة تفاصيل القاعدة (عمليات الكشف> المخصصة للتتبع>[اسم القاعدة])، انتقل إلى الإجراءات التي تم تشغيلها، والتي تسرد الإجراءات التي تم اتخاذها استنادا إلى التطابقات مع القاعدة.
تلميح
لعرض المعلومات بسرعة واتخاذ إجراء بشأن عنصر في جدول، استخدم عمود التحديد [✓] الموجود على يسار الجدول.
راجع أيضًا
- نظرة عامة على الكشف المخصص
- نظرة عامة متقدمة حول الصيد
- تعرف على لغة استعلام التتبع المتقدمة
- ترحيل استعلامات التتبع المتقدمة من Microsoft Defender لنقطة النهاية
- واجهة برمجة تطبيقات أمان Microsoft Graph للكشف المخصص
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.