إنشاء قواعد الكشف المخصصة

هام

تتعلق بعض المعلومات الواردة في هذه المقالة بالناتج الذي تم إصداره مسبقًا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريًا. لا تقدم Microsoft أي ضمانات، يتم التعبير عنها أو تضمينها، فيما يتعلق بالمعلومات المقدمة هنا.

قواعد الكشف المخصصة هي القواعد التي تقوم بتصميمها وتعديلها باستخدام استعلامات التتبع المتقدمة . تتيح لك هذه القواعد مراقبة الأحداث المختلفة وحالات النظام بشكل استباقي، بما في ذلك نشاط الخرق المشتبه به ونقاط النهاية التي تم تكوينها بشكل خاطئ. يمكنك تعيينها للتشغيل على فترات منتظمة، وإنشاء التنبيهات واتخاذ إجراءات الاستجابة كلما كانت هناك تطابقات.

الأذونات المطلوبة لإدارة عمليات الكشف المخصصة

هام

توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد ذلك في تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.

لإدارة عمليات الكشف المخصصة، تحتاج إلى أدوار تتيح لك إدارة البيانات التي تستهدفها هذه الاكتشافات. على سبيل المثال، لإدارة عمليات الكشف المخصصة على مصادر بيانات متعددة (Microsoft Defender XDR Microsoft Sentinel أو أحمال عمل Defender متعددة)، تحتاج إلى جميع أدوار Defender XDR Sentinel القابلة للتطبيق. لمزيد من المعلومات، راجع الأقسام التالية.

Microsoft Defender XDR

لإدارة عمليات الكشف المخصصة على بيانات Microsoft Defender XDR، يجب تعيين أحد هذه الأدوار:

• إعدادات الأمان (إدارة) - يمكن للمستخدمين الذين لديهم إذن Microsoft Defender XDR هذا إدارة إعدادات الأمان في مدخل Microsoft Defender.

• مسؤول الأمان - يمكن للمستخدمين الذين لديهم دور Microsoft Entra هذا إدارة إعدادات الأمان في مدخل Microsoft Defender والمداخل والخدمات الأخرى.

• عامل تشغيل الأمان - يمكن للمستخدمين الذين لديهم دور Microsoft Entra هذا إدارة التنبيهات والوصول العام للقراءة فقط إلى الميزات المتعلقة بالأمان، بما في ذلك جميع المعلومات في مدخل Microsoft Defender. هذا الدور كاف لإدارة عمليات الكشف المخصصة فقط إذا تم إيقاف تشغيل التحكم في الوصول المستند إلى الدور (RBAC) في Microsoft Defender لنقطة النهاية. إذا كان لديك RBAC تم تكوينه، فستحتاج أيضا إلى إذن إدارة إعدادات الأمان ل Defender لنقطة النهاية.

يمكنك إدارة عمليات الكشف المخصصة التي تنطبق على البيانات من حلول Defender XDR معينة إذا كانت لديك الأذونات المناسبة لها. على سبيل المثال، إذا كان لديك فقط أذونات إدارة Microsoft Defender Office 365، يمكنك إنشاء اكتشافات مخصصة باستخدام Email* الجداول ولكن ليس Identity* الجداول.

وبالمثل، نظرا لأن IdentityLogonEvents الجدول يحتوي على معلومات نشاط المصادقة من كل من Microsoft Defender for Cloud Apps وDefender for Identity، فأنت بحاجة إلى إدارة أذونات لكلتا الخدمتين لإدارة الاكتشافات المخصصة للاستعلام عن الجدول المذكور.

ملاحظة

لإدارة عمليات الكشف المخصصة، يجب أن يكون لدى مشغلي الأمان إذن إدارة إعدادات الأمان في Microsoft Defender لنقطة النهاية إذا كان التحكم في الوصول استنادا إلى الدور قيد التشغيل.

Microsoft Sentinel

لإدارة عمليات الكشف المخصصة على بيانات Microsoft Sentinel، يجب تعيين دور Microsoft Sentinel Contributor. يمكن للمستخدمين الذين لديهم دور Azure هذا إدارة بيانات مساحة عمل SIEM Microsoft Sentinel، بما في ذلك التنبيهات والكشف. يمكنك تعيين هذا الدور على مساحة عمل أساسية معينة أو مجموعة موارد Azure أو اشتراك كامل.

إدارة الأذونات المطلوبة

لإدارة الأذونات المطلوبة، يمكن للمسؤول العام:

• تعيين دور مسؤول الأمان أو عامل تشغيل الأمان في مركز مسؤولي Microsoft 365 ضمن Roles>Security Administrator.

• تحقق من إعدادات RBAC Microsoft Defender لنقطة النهاية في Microsoft Defender XDR ضمن Settings>Permissions>Roles. حدد الدور المقابل لتعيين إذن إدارة إعدادات الأمان .

ملاحظة

يحتاج المستخدم أيضا إلى الحصول على الأذونات المناسبة للأجهزة في نطاق الجهاز لقاعدة الكشف المخصصة التي يقومون بإنشاءها أو تحريرها قبل أن يتمكنوا من المتابعة. لا يمكن للمستخدم تحرير قاعدة الكشف المخصصة التي تم تحديد نطاقها للتشغيل على جميع الأجهزة، إذا لم يكن لدى نفس المستخدم أذونات لجميع الأجهزة.

إنشاء قاعدة اكتشاف مخصصة

1. إعداد الاستعلام

في مدخل Microsoft Defender، انتقل إلى التتبع المتقدم وحدد استعلاما موجودا أو أنشئ استعلاما جديدا. عند استخدام استعلام جديد، قم بتشغيل الاستعلام لتحديد الأخطاء وفهم النتائج المحتملة.

هام

لمنع الخدمة من إرجاع عدد كبير جدا من التنبيهات، يمكن لكل قاعدة إنشاء 150 تنبيها فقط في كل مرة يتم تشغيلها فيها. قبل إنشاء قاعدة، قم بتعديل الاستعلام لتجنب التنبيه للنشاط العادي اليومي.

الأعمدة المطلوبة في نتائج الاستعلام

لإنشاء قاعدة اكتشاف مخصصة باستخدام بيانات Defender XDR، يجب أن يرجع الاستعلام الأعمدة التالية:

1. Timestamp أو TimeGenerated - يعين هذا العمود الطابع الزمني للتنبيهات التي تم إنشاؤها. يجب ألا يعالج الاستعلام هذا العمود ويجب أن يرجعه تماما كما يظهر في الحدث الأولي.

2. بالنسبة للكشف استنادا إلى جداول XDR، عمود أو مجموعة من الأعمدة التي تحدد الحدث بشكل فريد في هذه الجداول:

   • بالنسبة للجداول Microsoft Defender لنقطة النهاية، TimestampDeviceIdيجب أن تظهر الأعمدة و و ReportId في نفس الحدث
   • بالنسبة لجداول التنبيه*، Timestamp يجب أن تظهر في الحدث
   • بالنسبة لجداول المراقبة*، TimestampObservationId ويجب أن تظهر في نفس الحدث
   • لجميع الآخرين، TimestampReportId ويجب أن يظهر في نفس الحدث

3. عمود يحتوي على معرف قوي لأصل متأثر. لتعيين أصل متأثر تلقائيا في المعالج، اعرض أحد الأعمدة التالية التي تحتوي على معرف قوي لأصل متأثر:

   • DeviceId
   • DeviceName
   • RemoteDeviceName
   • RecipientEmailAddress
   • SenderFromAddress (مرسل مغلف أو عنوان Return-Path)
   • SenderMailFromAddress (عنوان المرسل المعروض بواسطة عميل البريد الإلكتروني)
   • SenderObjectId
   • RecipientObjectId
   • AccountObjectId
   • AccountSid
   • AccountUpn
   • InitiatingProcessAccountSid
   • InitiatingProcessAccountUpn
   • InitiatingProcessAccountObjectId

ملاحظة

ستتم إضافة دعم المزيد من الكيانات مع إضافة جداول جديدة إلى مخطط التتبع المتقدم.

عادة ما ترجع الاستعلامات البسيطة، مثل تلك التي لا تستخدم project عامل التشغيل أو summarize لتخصيص النتائج أو تجميعها، هذه الأعمدة الشائعة.

هناك طرق مختلفة لضمان إرجاع الاستعلامات الأكثر تعقيدا لهذه الأعمدة. على سبيل المثال، إذا كنت تفضل التجميع والعد حسب الكيان ضمن عمود مثل DeviceId، فلا يزال بإمكانك العودة Timestamp و ReportId عن طريق الحصول عليها من أحدث حدث يتضمن كل فريد DeviceId.

هام

تجنب تصفية عمليات الكشف المخصصة باستخدام Timestamp العمود. يتم تصفية البيانات المستخدمة للكشف المخصص مسبقا استنادا إلى تكرار الكشف.

يحسب نموذج الاستعلام التالي عدد الأجهزة الفريدة (DeviceId) مع اكتشافات مكافحة الفيروسات ويستخدم هذا العدد للعثور فقط على الأجهزة التي بها أكثر من خمسة اكتشافات. لإرجاع الأحدث Timestamp والمطابق ReportId، فإنه يستخدم summarize عامل التشغيل مع الدالة arg_max .

DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

تلميح

للحصول على أداء استعلام أفضل، قم بتعيين عامل تصفية وقت يطابق تكرار التشغيل المقصود للقاعدة. نظرا لأن التشغيل الأقل تكرارا هو كل 24 ساعة، فإن التصفية لليوم الماضي تغطي جميع البيانات الجديدة.

2. إنشاء قاعدة جديدة وتوفير تفاصيل التنبيه

باستخدام الاستعلام في محرر الاستعلام، حدد Create detection rule وحدد تفاصيل التنبيه التالية:

• اسم الكشف - اسم قاعدة الكشف؛ يجب أن يكون فريدا.
• Frequency - الفاصل الزمني لتشغيل الاستعلام واتخاذ الإجراء. راجع المزيد من الإرشادات في قسم تكرار القاعدة
• عنوان التنبيه - العنوان المعروض مع التنبيهات التي تم تشغيلها بواسطة القاعدة؛ يجب أن يكون فريدا وفي نص عادي. يتم تعقيم السلاسل لأغراض الأمان حتى لا يعمل HTML و Markdown ورمز آخر. يجب أن تتبع أي عناوين URL مضمنة في العنوان تنسيق ترميز النسبة المئوية لعرضها بشكل صحيح.
• الخطورة - المخاطر المحتملة للمكون أو النشاط المحدد بواسطة القاعدة.
• الفئة - مكون التهديد أو النشاط المحدد بواسطة القاعدة.
• MITRE ATT&تقنيات CK - تقنية هجوم واحدة أو أكثر تم تحديدها بواسطة القاعدة كما هو موثق في إطار عمل MITRE ATT&CK. يتم إخفاء هذا القسم لفئات تنبيه معينة، بما في ذلك البرامج الضارة وبرامج الفدية الضارة والنشاط المشبوه والبرامج غير المرغوب فيها.
• تقرير تحليلات التهديدات - ربط التنبيه الذي تم إنشاؤه بتقرير تحليلات التهديدات الحالي بحيث يظهر في علامة التبويب الحوادث ذات الصلة في تحليلات التهديدات.
• الوصف - مزيد من المعلومات حول المكون أو النشاط المحدد بواسطة القاعدة. يتم تعقيم السلاسل لأغراض الأمان حتى لا يعمل HTML و Markdown ورمز آخر. يجب أن تتبع أي عناوين URL مضمنة في الوصف تنسيق ترميز النسبة المئوية لعرضها بشكل صحيح.
• الإجراءات الموصى بها - إجراءات إضافية قد يتخذها المستجيبون استجابة لتنبيه.

تكرار القاعدة

عند حفظ قاعدة جديدة، يتم تشغيلها والتحقق من وجود تطابقات من آخر 30 يوما من البيانات. ثم يتم تشغيل القاعدة مرة أخرى على فترات زمنية ثابتة، مع تطبيق فترة بحث استنادا إلى التردد الذي تختاره:

• كل 24 ساعة - يتم تشغيله كل 24 ساعة، ويتحقق من البيانات من آخر 30 يوما.
• كل 12 ساعة - يتم تشغيله كل 12 ساعة، ويتحقق من البيانات من ال 48 ساعة الماضية.
• كل 3 ساعات - يتم تشغيله كل 3 ساعات، ويتحقق من البيانات من ال 12 ساعة الماضية.
• كل ساعة - يعمل كل ساعة، ويتحقق من البيانات من الساعات الأربع الماضية.
• مستمر (NRT) - يعمل باستمرار، ويتحقق من البيانات من الأحداث أثناء تجميعها ومعالجتها في الوقت الفعلي تقريبا (NRT)، راجع التردد المستمر (NRT).
• مخصص - يعمل وفقا للتردد الذي حددته. يتوفر هذا الخيار إذا كانت القاعدة تستند فقط إلى البيانات التي يتم استيعابها Microsoft Sentinel، راجع التردد المخصص للبيانات Microsoft Sentinel (معاينة).

تلميح

مطابقة عوامل تصفية الوقت في الاستعلام مع فترة البحث. يتم تجاهل النتائج خارج فترة البحث.

عند تحرير قاعدة، يتم تطبيق التغييرات في وقت التشغيل التالي المجدول وفقا للتردد الذي قمت بتعيينه. يعتمد تكرار القاعدة على الطابع الزمني للحدث وليس وقت الاستيعاب. قد تكون هناك أيضا تأخيرات صغيرة في عمليات تشغيل معينة، حيث لا يكون التردد المكون دقيقا بنسبة 100٪.

التردد المستمر (NRT)

يؤدي تعيين اكتشاف مخصص للتشغيل بتردد مستمر (NRT) إلى زيادة قدرة مؤسستك على تحديد التهديدات بشكل أسرع. استخدام التردد المستمر (NRT) له تأثير ضئيل أو لا يؤثر على استخدام الموارد الخاصة بك وبالتالي يجب مراعاته لأي قاعدة اكتشاف مخصصة مؤهلة في مؤسستك.

من صفحة قواعد الكشف المخصصة، يمكنك ترحيل قواعد الكشف المخصصة التي تناسب تكرار مستمر (NRT) بزر واحد، ترحيل الآن:

يمنحك تحديد Migrate الآن قائمة بجميع القواعد المتوافقة وفقا لاستعلام KQL الخاص بهم. يمكنك اختيار ترحيل جميع القواعد أو القواعد المحددة فقط وفقا لتفضيلاتك:

بمجرد تحديد حفظ، يتم تحديث تكرار القواعد المحددة إلى تردد مستمر (NRT).

الاستعلامات التي يمكنك تشغيلها باستمرار

يمكنك تشغيل استعلام بشكل مستمر طالما:

• يشير الاستعلام إلى جدول واحد فقط.
• يستخدم الاستعلام عامل تشغيل من قائمة ميزات KQL المدعومة. (بالنسبة إلى matches regex، يجب ترميز التعبيرات العادية كقيم حرفية للسلسلة واتباع قواعد اقتباس السلسلة. على سبيل المثال، يتم تمثيل التعبير \A العادي في KQL ك "\\A". تشير المائلة العكسية الإضافية إلى أن المائل المائل العكسي الآخر هو جزء من التعبير \Aالعادي .)
• لا يستخدم الاستعلام الصلات أو الاتحادات أو externaldata عامل التشغيل.
• لا يتضمن الاستعلام أي سطر/معلومات تعليقات.

الجداول التي تدعم التردد المستمر (NRT)

يتم دعم عمليات الكشف القريبة من الوقت الحقيقي للجداول التالية:

• AlertEvidence
• CloudAppEvents
• DeviceEvents
• DeviceFileCertificateInfo
• DeviceFileEvents
• DeviceImageLoadEvents
• DeviceLogonEvents
• DeviceNetworkEvents
• DeviceNetworkInfo
• DeviceInfo
• DeviceProcessEvents
• DeviceRegistryEvents
• EmailAttachmentInfo
• EmailEvents (باستثناء LatestDeliveryLocation الأعمدة و LatestDeliveryAction )
• EmailPostDeliveryEvents
• EmailUrlInfo
• IdentityDirectoryEvents
• IdentityLogonEvents
• IdentityQueryEvents
• UrlClickEvents

ملاحظة

تدعم الأعمدة المتوفرة بشكل عام فقط التردد المستمر (NRT ).

تردد مخصص لبيانات Microsoft Sentinel (معاينة)

يمكن للعملاء Microsoft Sentinel الذين تم إلحاقهم Microsoft Defender تحديد التردد المخصص عندما تستند القاعدة فقط إلى البيانات التي يتم استيعابها Microsoft Sentinel.

عند تحديد خيار التردد هذا، يظهر الاستعلام تشغيل كل مكون إدخال . اكتب التردد المطلوب للقاعدة واستخدم القائمة المنسدلة لتحديد الوحدات: الدقائق أو الساعات أو الأيام. النطاق المدعوم هو أي قيمة من 5 دقائق إلى 14 يوما. عند تحديد تكرار، يتم تحديد فترة البحث تلقائيا باستخدام المنطق التالي:

1. بالنسبة إلى عمليات الكشف التي تم تعيينها للتشغيل بشكل متكرر أكثر من مرة واحدة في اليوم، يكون الحفظ مع التحديث أربعة أضعاف التكرار. على سبيل المثال، إذا كان التكرار 20 دقيقة، فإن البحث هو 80 دقيقة.
2. بالنسبة للكشف الذي تم تعيينه للتشغيل مرة واحدة في اليوم أو أقل تكرارا، يكون البحث 30 يوما. على سبيل المثال، إذا تم تعيينه للتشغيل كل ثلاثة أيام، فإن عملية البحث هي 30 يوما

هام

عند تحديد تردد مخصص، نقوم بإحضار بياناتك من Microsoft Sentinel. وهذا يعني ما يلي:

1. يجب أن تكون لديك بيانات متوفرة في Microsoft Sentinel.
2. لن تدعم البيانات Defender XDR النطاق، نظرا لأن Microsoft Sentinel لا يدعم النطاق.

3. تحديد تفاصيل إثراء التنبيه

يمكنك إثراء التنبيهات من خلال توفير المزيد من التفاصيل وتحديدها، مما يسمح لك بما يلي:

• إنشاء عنوان تنبيه ديناميكي ووصفه
• إضافة تفاصيل مخصصة لعرضها في لوحة جانب التنبيه
• ربط الكيانات

إنشاء عنوان تنبيه ديناميكي ووصفه (معاينة)

يمكنك صياغة عنوان التنبيه ووصفه ديناميكيا باستخدام نتائج الاستعلام لجعلها دقيقة وإرشادية. يمكن لهذه الميزة تعزيز كفاءة محللي SOC عند فرز التنبيهات والحوادث، وعند محاولة فهم جوهر التنبيه بسرعة.

لتكوين عنوان التنبيه أو وصفه ديناميكيا، قم بدمجها في قسم تفاصيل التنبيه باستخدام أسماء النصوص المجانية للأعمدة المتوفرة في نتائج الاستعلام الخاصة بك وتحيط بها بأقواس متعرجة مزدوجة.

على سبيل المثال: User {{AccountName}} unexpectedly signed in from {{Location}}

ملاحظة

يقتصر عدد الأعمدة التي يمكنك الرجوع إليها في كل حقل على ثلاثة أعمدة.

لمساعدتك في تحديد أسماء الأعمدة الدقيقة التي تريد الرجوع إليها، يمكنك تحديد استكشاف الاستعلام والنتائج، والذي يفتح جزء سياق التتبع المتقدم أعلى معالج إنشاء القاعدة، حيث يمكنك فحص منطق الاستعلام ونتائجه.

إضافة تفاصيل مخصصة (معاينة)

يمكنك زيادة تحسين إنتاجية محللي SOC من خلال عرض تفاصيل مهمة في لوحة جانب التنبيه. يمكنك عرض بيانات الأحداث في التنبيهات التي تم إنشاؤها من تلك الأحداث. تمنح هذه الميزة محللي SOC رؤية فورية لمحتوى الحدث لحوادثهم، ما يمكنهم من فرز الاستنتاجات والتحقيق فيها واستخلاصها بشكل أسرع.

في قسم التفاصيل المخصصة ، أضف أزواج قيم المفاتيح المقابلة للتفاصيل التي تريد عرضها:

• في حقل المفتاح ، أدخل اسما من اختيارك يظهر كاسم الحقل في التنبيهات.
• في حقل Parameter ، اختر معلمة الحدث التي ترغب في عرضها في التنبيهات من القائمة المنسدلة. يتم ملء هذه القائمة بالقيم المطابقة لأسماء الأعمدة التي يقوم استعلام KQL بإخراجها.

توضح لقطة الشاشة التالية كيفية ظهور التفاصيل المخصصة في لوحة جانب التنبيه:

هام

التفاصيل المخصصة لها القيود التالية:

1. تقتصر كل قاعدة على ما يصل إلى 20 زوجا من المفاتيح/القيم من التفاصيل المخصصة
2. حد الحجم المدمج لجميع التفاصيل المخصصة وقيمها في تنبيه واحد هو 4 كيلوبايت. إذا تجاوز صفيف التفاصيل المخصصة هذا الحد، يتم إسقاط صفيف التفاصيل المخصصة بالكامل من التنبيه.

ربط الكيانات

حدد الأعمدة في نتائج الاستعلام حيث تتوقع العثور على الكيان الرئيسي المتأثر أو المتأثر. على سبيل المثال، قد يرجع الاستعلام عناوين المرسل (SenderFromAddress أو SenderMailFromAddress) والمستلم (RecipientEmailAddress). يساعد تحديد أي من هذه الأعمدة يمثل الكيان المتأثر الرئيسي الخدمة على تجميع التنبيهات ذات الصلة وربط الحوادث وإجراءات الاستجابة المستهدفة.

يمكنك تحديد عمود واحد فقط لكل نوع كيان (علبة بريد أو مستخدم أو جهاز). لا يمكنك تحديد الأعمدة التي لم يتم إرجاعها بواسطة الاستعلام.

تعيين الكيان الموسع (معاينة)

يمكنك ربط مجموعة واسعة من أنواع الكيانات بتنبيهاتك. يساعد ربط المزيد من الكيانات تنبيهات مجموعة محرك الارتباط الخاصة بنا بنفس الحوادث وربط الحوادث معا. إذا كنت عميلا Microsoft Sentinel، فهذا يعني أيضا أنه يمكنك تعيين أي كيان من مصادر بيانات الجهات الخارجية التي يتم استيعابها في Microsoft Sentinel.

بالنسبة للبيانات Microsoft Defender XDR، يتم تحديد الكيانات تلقائيا. إذا كانت البيانات من Microsoft Sentinel، فستحتاج إلى تحديد الكيانات يدويا.

ملاحظة

تؤثر الكيانات على كيفية تجميع التنبيهات في حوادث، لذا تأكد من مراجعة الكيانات بعناية لضمان جودة الحوادث العالية. تعرف على المزيد حول ارتباط الحوادث وتجميع التنبيهات.

هناك قسمان ضمن قسم تعيين الكيان الموسع الذي يمكنك تحديد الكيانات له:

• الأصول المتأثرة - أضف الأصول المتأثرة التي تظهر في الأحداث المحددة. يمكن إضافة الأنواع التالية من الأصول:
  • حساب
  • Device
  • علبه البريد
  • تطبيق السحابة
  • مورد Azure
  • مورد Amazon Web Services
  • مورد Google Cloud Platform
• الأدلة ذات الصلة - أضف nonassets التي تظهر في الأحداث المحددة. أنواع الكيانات المدعومة هي:
  • عمليه
  • ملف
  • قيمة السجل
  • IP
  • تطبيق OAuth
  • Dns
  • مجموعة الأمان
  • Url
  • نظام مجموعة البريد
  • رسالة بريد

ملاحظة

حاليا، يمكنك تعيين الأصول فقط ككيانات متأثرة.

بعد تحديد نوع كيان، حدد نوع معرف موجود في نتائج الاستعلام المحددة بحيث يمكن استخدامه لتعريف هذا الكيان. يحتوي كل نوع كيان على قائمة بالمعرفات المدعومة، كما هو موضح في القائمة المنسدلة ذات الصلة. اقرأ الوصف المعروض عند التمرير فوق كل معرف لفهمه بشكل أفضل.

بعد تحديد المعرف، حدد عمودا من نتائج الاستعلام الذي يحتوي على المعرف المحدد. حدد استكشاف الاستعلام والنتائج لفتح لوحة سياق التتبع المتقدمة. يسمح لك هذا الخيار باستكشاف الاستعلام والنتائج للتأكد من اختيار العمود المناسب للمعرف المحدد.

4. تحديد الإجراءات

إذا كانت قاعدة الكشف المخصصة تستخدم بيانات Defender XDR، فيمكنها اتخاذ إجراءات تلقائيا على الأجهزة أو الملفات أو المستخدمين أو رسائل البريد الإلكتروني التي يرجعها الاستعلام.

الإجراءات على الأجهزة

يتم تطبيق هذه الإجراءات على الأجهزة في DeviceId عمود نتائج الاستعلام:

• عزل الجهاز - يستخدم Microsoft Defender لنقطة النهاية لتطبيق عزل الشبكة الكامل، مما يمنع الجهاز من الاتصال بأي تطبيق أو خدمة. تعرف على المزيد حول عزل الجهاز Microsoft Defender لنقطة النهاية.
• تجميع حزمة التحقيق - يجمع معلومات الجهاز في ملف ZIP. تعرف على المزيد حول حزمة التحقيق Microsoft Defender لنقطة النهاية.
• تشغيل فحص مكافحة الفيروسات - يقوم بإجراء فحص كامل Microsoft Defender مكافحة الفيروسات على الجهاز.
• بدء التحقيق - يبدأ تحقيقا تلقائيا على الجهاز.
• تقييد تنفيذ التطبيق - يعين القيود على الجهاز للسماح بتشغيل الملفات التي تم توقيعها باستخدام شهادة صادرة من Microsoft فقط. تعرف على المزيد حول قيود التطبيق باستخدام Microsoft Defender لنقطة النهاية.

الإجراءات على الملفات

• عند تحديده، يمكن تطبيق الإجراء Allow/Block على الملف. يسمح بحظر الملفات فقط إذا كان لديك أذونات معالجة للملفات وإذا حددت نتائج الاستعلام معرف ملف، مثل SHA1. بمجرد حظر ملف، يتم أيضا حظر مثيلات أخرى من نفس الملف في جميع الأجهزة. يمكنك التحكم في مجموعة الأجهزة التي يتم تطبيق الحظر عليها، ولكن ليس أجهزة محددة.

• عند تحديده، يمكن تطبيق إجراء ملف العزل على الملفات الموجودة في SHA1العمود أو InitiatingProcessSHA1SHA256أو أو InitiatingProcessSHA256 لنتائج الاستعلام. يحذف هذا الإجراء الملف من موقعه الحالي ويضع نسخة في العزل.

الإجراءات على المستخدمين

• عند تحديده، يتم اتخاذ إجراء وضع علامة للمستخدم كمخترق على المستخدمين في AccountObjectIdالعمود أو InitiatingProcessAccountObjectIdأو RecipientObjectId لنتائج الاستعلام. يعين هذا الإجراء مستوى مخاطر المستخدمين إلى "مرتفع" في Microsoft Entra ID، ما يؤدي إلى نهج حماية الهوية المقابلة.

• حدد تعطيل المستخدم لمنع المستخدم من تسجيل الدخول مؤقتا.

• حدد فرض إعادة تعيين كلمة المرور لمطالبة المستخدم بتغيير كلمة المرور الخاصة به في جلسة تسجيل الدخول التالية.

• Disable user يتطلب كلا الخيارين و Force password reset معرف الأمان للمستخدم، الموجود في الأعمدة AccountSidو InitiatingProcessAccountSidRequestAccountSidو وOnPremSid.

لمزيد من المعلومات حول إجراءات المستخدم، راجع إجراءات المعالجة في Microsoft Defender for Identity.

الإجراءات على رسائل البريد الإلكتروني

• إذا كان الكشف المخصص ينتج عنه رسائل بريد إلكتروني، يمكنك تحديد نقل إلى مجلد علبة البريد لنقل البريد الإلكتروني إلى مجلد محدد (أي من مجلدات العناصر غير الهامة أو علبة الوارد أو العناصر المحذوفة ). على وجه التحديد، يمكنك نقل نتائج البريد الإلكتروني من العناصر المعزولة (على سبيل المثال، في حالة الإيجابيات الخاطئة) عن طريق تحديد خيار علبة الوارد .

  

• بدلا من ذلك، يمكنك تحديد حذف البريد الإلكتروني ثم اختيار نقل رسائل البريد الإلكتروني إلى العناصر المحذوفة (حذف مبدئي) أو حذف رسائل البريد الإلكتروني المحددة بشكل دائم (حذف ثابت).

يجب أن تكون الأعمدة NetworkMessageId و RecipientEmailAddress موجودة في نتائج إخراج الاستعلام لتطبيق الإجراءات على رسائل البريد الإلكتروني.

5. تعيين نطاق القاعدة

قم بتعيين النطاق لتحديد الأجهزة التي تغطيها القاعدة. يؤثر النطاق على القواعد التي تتحقق من الأجهزة ولا يؤثر على القواعد التي تتحقق فقط من علب البريد وحسابات المستخدمين أو الهويات.

عند تعيين النطاق، يمكنك تحديد:

• جميع الأجهزة
• مجموعات أجهزة محددة

تستعلم القاعدة عن البيانات فقط من الأجهزة الموجودة في النطاق. ولا يتخذ إجراءات إلا على تلك الأجهزة.

ملاحظة

يمكن للمستخدمين إنشاء قاعدة اكتشاف مخصصة أو تحريرها فقط إذا كان لديهم الأذونات المقابلة للأجهزة المضمنة في نطاق القاعدة. على سبيل المثال، يمكن للمسؤولين فقط إنشاء القواعد التي تم تحديد نطاقها لجميع مجموعات الأجهزة أو تحريرها إذا كانت لديهم أذونات لجميع مجموعات الأجهزة.

6. مراجعة القاعدة وتشغيلها

بعد مراجعة القاعدة، حدد Create لحفظها. يتم تشغيل قاعدة الكشف المخصصة على الفور. يتم تشغيله مرة أخرى استنادا إلى التردد المكون للتحقق من وجود تطابقات وإنشاء تنبيهات واتخاذ إجراءات الاستجابة.

هام

مراجعة الاكتشافات المخصصة بانتظام لتحقيق الكفاءة والفعالية. للحصول على إرشادات حول كيفية تحسين استعلاماتك، راجع أفضل ممارسات استعلام التتبع المتقدمة. للتأكد من أنك تقوم بإنشاء عمليات الكشف التي تؤدي إلى تنبيهات حقيقية، خذ وقتا لمراجعة عمليات الكشف المخصصة الحالية باتباع الخطوات الواردة في إدارة قواعد الكشف المخصصة الموجودة.

يمكنك الحفاظ على التحكم في اتساع أو خصوصية عمليات الكشف المخصصة الخاصة بك. قد تشير أي تنبيهات خاطئة تم إنشاؤها بواسطة عمليات الكشف المخصصة إلى الحاجة إلى تعديل معلمات معينة للقواعد.

كيفية معالجة عمليات الكشف المخصصة للتنبيهات المكررة

أحد الاعتبارات المهمة عند إنشاء قواعد الكشف المخصصة ومراجعتها هو ضوضاء التنبيه والتعب. مجموعة الاكتشافات المخصصة وإلغاء تكرار الأحداث في تنبيه واحد. إذا تم تشغيل الكشف المخصص مرتين على حدث يحتوي على نفس الكيانات والتفاصيل المخصصة والتفاصيل الديناميكية، فإنه ينشئ تنبيها واحدا فقط لكلا الحدثين. إذا أدرك الكشف أن الأحداث متطابقة، فإنه يسجل واحدا فقط من الأحداث في التنبيه الذي تم إنشاؤه ثم يعتني بالتكرارات، والتي يمكن أن تحدث عندما تكون فترة البحث أطول من التردد. إذا كانت الأحداث مختلفة، فإن الكشف المخصص يسجل كلا الحدثين في التنبيه.

راجع أيضًا

• نظرة عامة على الكشف المخصص
• إدارة عمليات الكشف المخصصة
• نظرة عامة متقدمة حول الصيد
• تعرف على لغة استعلام التتبع المتقدمة
• ترحيل استعلامات التتبع المتقدمة من Microsoft Defender لنقطة النهاية
• واجهة برمجة تطبيقات أمان Microsoft Graph للكشف المخصص

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.