حفظ النتائج الرئيسية باستخدام الإشارات المرجعية - Training

5 دقائق

للبحث عن تهديدات لبيئة Contoso، يجب عليك مراجعة كميات كبيرة من بيانات السجل للحصول على دليل على السلوك الخبيث. في أثناء هذه العملية، قد تجد الأحداث التي تريد تذكرها، وإعادة النظر فيها، وتحليلها كجزء من التحقق من صحة الفرضيات المحتملة وفهم القصة الكاملة للتوصل إلى حل وسط.

التتبع باستخدام الإشارات المرجعية

يمكن أن تساعدك الإشارات المرجعية في Microsoft Sentinel في البحث عن التهديدات من خلال الاحتفاظ بالاستعلامات التي قمت بتشغيلها بالفعل، بالإضافة إلى نتائج الاستعلام التي تراها ذات صلة. يمكنك أيضًا تسجيل ملاحظاتك السياقية والرجوع إلى النتائج التي توصلت إليها عن طريق إضافة الملاحظات والعلامات. تكون البيانات المرجعية مرئية لك ولزملائك في الفريق لتسهيل التعاون.

يمكنك إعادة زيارة البيانات المرجعية في أي وقت على علامة التبويب الإشارات المرجعية في صفحة التتبع. يمكنك استخدام خيارات التصفية والبحث للعثور بسرعة على بيانات محددة للتحقيق الحالي. بدلاً من ذلك، يمكنك مراجعة البيانات المرجعية الخاصة بك مباشرةً في جدول HuntingBookmark في مساحة عمل تحليلات السجلات.

إشعار

تحتوي الأحداث المرجعية على معلومات أحداث قياسية ولكن يمكن استخدامها بطرق مختلفة في واجهة Microsoft Sentinel.

إنشاء أو إضافة إلى الحوادث باستخدام الإشارات المرجعية

يمكنك استخدام الإشارات المرجعية لإنشاء حادث جديد أو إضافة نتائج استعلام مرجعية إلى الحوادث الموجودة. يتيح لك الزر Incident actions الموجود على شريط الأدوات تنفيذ أي من هذه المهام عند تحديد إشارة مرجعية.

Screenshot of the drop-down menu for incident actions in Microsoft Sentinel.

يمكن إدارة الأحداث التي تقوم بإنشائها من الإشارات المرجعية من صفحة الحوادث إلى جانب الحوادث الأخرى التي تم إنشاؤها في Microsoft Sentinel.

استخدام الرسم البياني للتحقيق في استكشاف الإشارات المرجعية

يمكنك التحقق من الإشارات المرجعية بنفس الطريقة التي تحقق بها في الحوادث التي وقعت في Microsoft Sentinel. من صفحة التتبع، حدد التحقيق لفتح الرسم البياني للتحقيق للحادث. الرسم البياني للتحقيق هو أداة بصرية تساعد على تحديد الكيانات المتورطة في الهجوم والعلاقات بين تلك الكيانات. إذا كان الحادث ينطوي على تنبيهات متعددة بمرور الوقت، يمكنك أيضًا مراجعة المخطط الزمني للتنبيه والارتباطات بين التنبيهات.

Screenshot of the investigation graph page for a deleted virtual machine incident.

مراجعة تفاصيل الكيان

يمكنك تحديد كل كيان على الرسم البياني لمراقبة المعلومات السياقية الكاملة عنه. تتضمن هذه المعلومات العلاقات مع الكيانات الأخرى، واستخدام الحساب، ومعلومات تدفق البيانات. لكل منطقة معلومات، يُمكنك الانتقال إلى الأحداث ذات الصلة في Log Analytics وإضافة بيانات التنبيه ذات الصلة إلى المخطط.

مراجعة تفاصيل الإشارة المرجعية

يمكنك تحديد عنصر الإشارة المرجعية على الرسم البياني لمشاهدة بيانات تعريف الإشارة المرجعية الهامة المتعلقة بسياق أمان وبيئة الإشارة المرجعية.

اختر أفضل إجابة للسؤال التالي، ثم حدد التحقق من إجاباتك.

‏‫اختبر معلوماتك

كيف تساعد الإشارات المرجعية في عملية تتبع التهديدات؟

تمكِّن القائم بعملية التتبع من حفظ نتائج الاستعلام للرجوع إليها لاحقًا.

تمكِّن القائم بعملية التتبع من تعقب حالة الحادث والقرار.

وهي تمكِّن القائم بعملية التتبع لإنشاء مصنفات من نتائج الاستعلام.

عليك الإجابة على كل الأسئلة قبل مراجعة عملك.

متابعة