البحث بشكل استباقي عن التهديدات من خلال التتبع المتقدم في Microsoft Defender
التتبع المتقدم هو أداة تتبع التهديدات المستندة إلى الاستعلام التي تتيح لك استكشاف ما يصل إلى 30 يوما من البيانات الأولية. يمكنك فحص الأحداث بشكل استباقي في شبكتك لتحديد موقع مؤشرات التهديد والكيانات. يتيح الوصول المرن إلى البيانات التتبع غير المقيد لكل من التهديدات المعروفة والمحتملة.
يدعم التتبع المتقدم وضعين، موجه ومتقدم. استخدم الوضع الإرشادي إذا لم تكن على دراية بلغة Kusto Query Language (KQL) أو تفضل راحة منشئ الاستعلام. استخدم الوضع المتقدم إذا كنت مرتاحا لاستخدام KQL لإنشاء استعلامات من البداية.
لبدء التتبع، اقرأ الاختيار بين الأوضاع الإرشادية والمتقدمة للتتبع في مدخل Microsoft Defender.
يمكنك استخدام نفس استعلامات تتبع التهديدات لإنشاء قواعد اكتشاف مخصصة. يتم تشغيل هذه القواعد تلقائيا للتحقق من نشاط الخرق المشتبه فيه والأجهزة التي تم تكوينها بشكل خاطئ ونتائج أخرى ثم الاستجابة لها.
يدعم التتبع المتقدم الاستعلامات التي تتحقق من مجموعة بيانات أوسع قادمة من:
- Microsoft Defender for Endpoint
- Microsoft Defender لـ Office 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender للهوية
- Microsoft Sentinel
لاستخدام التتبع المتقدم، قم بتشغيل Microsoft Defender XDR. أو لاستخدام التتبع المتقدم مع Microsoft Sentinel، قم بتوصيل Microsoft Sentinel بمدخل Defender.
لمزيد من المعلومات حول التتبع المتقدم في بيانات Microsoft Defender for Cloud Apps، راجع الفيديو.
الحصول على حق الوصول
لاستخدام التتبع المتقدم أو قدرات Microsoft Defender XDR الأخرى، تحتاج إلى دور مناسب في Microsoft Entra ID. اقرأ عن الأدوار والأذونات المطلوبة للتتبع المتقدم.
أيضا، يتم تحديد وصولك إلى بيانات نقطة النهاية من خلال إعدادات التحكم في الوصول استنادا إلى الدور (RBAC) في Microsoft Defender لنقطة النهاية. اقرأ حول إدارة الوصول إلى Microsoft Defender XDR.
حداثة البيانات وتكرار التحديث
يمكن تصنيف بيانات التتبع المتقدمة إلى نوعين متميزين، يتم دمج كل منهما بشكل مختلف.
- بيانات الحدث أو النشاط - تملأ الجداول حول التنبيهات وأحداث الأمان وأحداث النظام والتقييمات الروتينية. يتلقى التتبع المتقدم هذه البيانات مباشرة تقريبا بعد أن تقوم أجهزة الاستشعار التي تجمعها بنقلها بنجاح إلى الخدمات السحابية المقابلة. على سبيل المثال، يمكنك الاستعلام عن بيانات الحدث من أجهزة استشعار صحية على محطات العمل أو وحدات التحكم بالمجال مباشرة تقريبا بعد توفرها على Microsoft Defender لنقطة النهاية Microsoft Defender for Identity.
- بيانات الكيان - تملأ الجداول بمعلومات حول المستخدمين والأجهزة. تأتي هذه البيانات من مصادر بيانات ثابتة نسبيا ومصادر ديناميكية، مثل إدخالات Active Directory وسجلات الأحداث. لتوفير بيانات جديدة، يتم تحديث الجداول بأي معلومات جديدة كل 15 دقيقة، مع إضافة صفوف قد لا يتم ملؤها بالكامل. كل 24 ساعة، يتم دمج البيانات لإدراج سجل يحتوي على أحدث مجموعة بيانات أكثر شمولا حول كل كيان.
المنطقة الزمنية
الاستعلامات
تستخدم بيانات التتبع المتقدمة المنطقة الزمنية UTC (Universal Time Coordinated).
يجب إنشاء الاستعلامات بالتوقيت العالمي المتفق عليه.
النتائج
يتم تحويل نتائج التتبع المتقدمة إلى المنطقة الزمنية التي تم تعيينها في Microsoft Defender XDR.
المواضيع ذات الصلة
- الاختيار بين أوضاع التتبع الموجهة والمتقدمة
- إنشاء استعلامات تتبع باستخدام الوضع الإرشادي
- التعرّف على لغة الاستعلام
- فهم المخطط
- واجهة برمجة تطبيقات أمان Microsoft Graph
- نظرة عامة على الكشف المخصص
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.