إنشاء مصنف جديد لـMicrosoft Azure Sentinel

  • 5 دقائق

بالإضافة إلى استخدام القوالب المضمنة لإنشاء مصنف مخصص، يمكنك إنشاء مصنفات مخصصة من الصفر لإنتاج تقارير تفاعلية للغاية تحتوي على نصوص واستعلامات تحليلية ومقاييس ومعلمات.

إنشاء مصنف مخصص

يمكنك إنشاء مصنف مخصص من صفحة المصنفات في Microsoft Sentinel. حدد +إضافة مصنف على شريط الرأس. يتم فتح صفحة New workbook، والتي تحتوي على استعلام تحليلات أساسي لبدء تشغيلك.

تلميح

يحفظ مدخل Microsoft Azure كل مصنف تقوم بإنشائه كمورد مصنف في مجموعة موارد Microsoft Sentinel.

يمكنك البدء في إنشاء المصنف على صفحة مصنف جديد عن طريق تحديد تحرير. ثم حدد الخيار تحرير لتغيير النص الذي يظهر في قالب المصنف الجديد.

يوفر كل مصنف مجموعة غنية من الإمكانيات لعرض بيانات الأمان التي تم جمعها من الموصلات بشكل بياني. يمكنك تصميم مصنفك باستخدام أنواع وعناصر المرئيات التالية:

  • النص
  • الاستعلام
  • المعلمات
  • الروابط / علامات التبويب
  • Metric

يمكنك إضافة عنصر جديد إلى مصنفك عن طريق تحديد +Add كما توضح لقطة الشاشة التالية.

Screenshot of adding a new step in the workbook.

مرئيات النص

يمكنك استخدام كتل النص لتفسير بيانات الأمان وعناوين الأقسام وبيانات القياس عن بعد ومعلومات أخرى. ويمكنك تحرير النص باستخدام لغة التمييز Markdown، التي توفر خيارات تنسيق مختلفة للعناوين وأنماط الخط والارتباطات التشعبية والجداول.

إشعار

Markdown هي لغة تمييز يمكنك استخدامها لتنسيق النص في مستندات النص العادي. لمزيد من المعلومات حول كيفية تنسيق النص باستخدام عناصر تحكم Markdown، راجع أدلة markdown المتوفرة عبر الإنترنت.

بعد إضافة النص، حدد علامة التبويب معاينة لمعاينة كيفية ظهور المحتوى. عند الانتهاء من تحرير النص، حدد الخيار تم التحرير .

عنصر الاستعلام

يمكنك إنشاء استعلام مختلف من السجلات وعرض البيانات كنص أو تخطيطات أو شبكات. يمكنك كتابة الاستعلام باستخدام KQL. ثم قم بتنسيق البيانات باستخدام مرئيات مختلفة بما في ذلك:

  • الشبكات (أو الجداول)
  • المخططات المساحية
  • المخططات الشريطية
  • المخططات الخطية
  • مخطط دائري
  • المخططات المبعثرة
  • مخططات الوقت
  • الإطارات المتجانبة‬

عند إنشاء استعلام، يضيف Microsoft Sentinel خطوة تشغيل استعلام جديدة إلى المصنف كما توضح لقطة الشاشة التالية:

Screenshot of the Query visualization step, with the Done editing button called out.

في شريط الرأس، هناك العديد من الحقول التي توفر لك خيارات لضبط إخراج الاستعلام.

الاسم ‏‏الوصف
تشغيل الاستعلام استخدم هذا الخيار لاختبار نتيجة الاستعلام.
العينات توفر Microsoft عينة التعليمات البرمجية التي تحتوي على عينة استعلامات يمكنك إضافتها إلى المصنف.
مصدر البيانات استخدم هذا الخيار لتحديد مصدر البيانات للاستعلام.
نوع المورد استخدم هذا الخيار لتحديد نوع المورد.
مساحة عمل Log Analytics استخدم هذا الخيار إذا كنت ترغب في الاستعلام عن البيانات من أكثر من مورد واحد.
النطاق الزمني استخدم هذا الخيار لتحديد معلمة نطاق زمني لاستخدامها في الاستعلام.
الرسوم المرئية استخدم هذا الخيار لاختيار طريقة عرض بيانات بشكل بياني معينة أو اختر Set by query لتقديم البيانات بتنسيق مختلف.
الحجم استخدم هذا الخيار لاختيار حجم عنصر عرض البيانات بشكل بياني.

في علامة التبويب خيارات متقدمة الإعدادات، يمكنك توفير المزيد من التخصيص للإعدادات وأنماط خطوة الاستعلام. في علامة التبويب خيارات متقدمة الإعدادات، يمكنك تعديل الخصائص. على سبيل المثال، يمكنك إدخال عنوان المخطط، كما توضح لقطة الشاشة التالية.

Screenshot of the Advanced settings tab, with the chart title.

يمكنك استخدام علامة التبويب Style لضبط عنصر الهامش وعنصر المساحة المتروكة في الخطوة. بعد الانتهاء من تخصيص الإعدادات والأنماط، تذكر حفظ الخطوة عن طريق تحديد تم التحرير.

مرئيات التخطيط

عند إنشاء استعلام لتقديم بيانات الأمان كتخطيطات، يمكنك تخصيص:

  • الارتفاع
  • العرض
  • لوح الألوان
  • وسيلة الإيضاح
  • العناوين
  • أنواع المحاور والسلسلة

يعد المثال التالي كافة تنبيهات الأمان ويعرضها في مخطط دائري.


SecurityAlert
| where TimeGenerated \>= ago(180d)
| summarize Count=count() by AlertSeverity
| render piechart

في المثال السابق، يشير الاستعلام إلى نوع المرئيات للبيانات. يمكنك أيضا استخدام الاستعلام دون تضمين معلمة العرض . استخدم القائمة المنسدلة Visualization لتحديد أحد الأنواع المعروضة من المرئيات:

Screenshot of the Visualization dropdown menu options.

عرض بيانات الشبكة بشكل بياني

يمكنك استخدام خيار مرئيات الشبكة من القائمة المنسدلة المرئيات لتقديم البيانات في الجداول، والتي توفر واجهة مستخدم ثرية للتقارير. يمكنك تحديد الخيار الإعدادات العمود لتحديد العمود الذي يتم عرضه في الجدول ولتوفير تسميات الأعمدة، إذا لزم الأمر.

في علامة التبويب Edit Column settings، يمكنك تحديد عارض عمود مختلف مثل خريطة التمثيل اللوني والشريط ومنطقة الشرارة. إذا قمت بتحديد Custom formatting، يمكنك تعيين الوحدات، والنمط، وخيارات التنسيق لقيم الأرقام.

المعلمات

ويمكنك استخدام المعلمات في المصنف التفاعلي لمعالجة نتائج الاستعلام بطرق مختلفة. عند تحديد إضافة معلمة، تفتح صفحة معلمة جديدة حيث يمكنك توفير الاسم والمدخلات الأخرى المطلوبة للمعلمة.

ويمكنك إنشاء أنواع المعلمات التالية:

  • نص. يمكنك إدخال نص إجباري.
  • منسدلة. يمكنك تعديل مظهر خطوة استعلام لتضمين قائمة منسدلة يمكنك فيها تحديد قيمة من مجموعة من القيم. في نوع المعلمة هذا، يمكنك إدخال استعلام KQL أو سلسلة JSON لتوفير الخيارات للقائمة المنسدلة.
  • منتقي النطاق الزمني. يمكنك الاختيار من نطاقات زمنية معبأة مسبقًا أو تحديد نطاق مخصص.
  • منتقي الموارد. يمكنك تحديد واحد أو أكثر من موارد Azure.
  • منتقي الاشتراك. يمكنك تحديد واحد أو أكثر من موارد اشتراك Azure.
  • منتقي نوع المورد. يمكنك تحديد قيمة واحدة أو أكثر من قيم نوع مورد Azure.
  • منتقي الموقع. يمكنك تحديد قيمة واحدة أو أكثر من قيم موقع Azure.
  • مجموعة الخيارات. يمكنك تجميع العديد من الخصائص في مجموعة.
  • علامات التبويب.
  • متعدد القيم.

يمكنك الرجوع إلى قيم المعلمات في أجزاء أخرى من المصنفات إما باستخدام الروابط أو باستخدام توسيع القيمة.

في جزء New Parameter في قسم Previews ، يمكنك مراجعة المتغيرات التي يتم عرضها واستخدامها في التعليمات البرمجية للاستعلام.

الروابط / علامات التبويب

يمكنك إضافة خطوة الروابط / علامات التبويب لتخصيص التنقل في المصنف باستخدام علامات التبويب أو القوائم أو الفقرات أو القوائم ذات التعداد النقطي. ويمكنك توفير الإدخالات التالية في أثناء إضافة خطوة جديدة من الروابط / علامات التبويب:

  • نص قبل الارتباط. استخدم هذا الخيار لعرض النص قبل تحديد الارتباط
  • نص الارتباط. استخدم هذا الخيار لتحديد النص الفعلي الذي يتم عرضه في الارتباط.
  • نص بعد الارتباط استخدم هذا الخيار للإشارة إلى النص الذي يتم عرضه بعد تحديد الارتباط.
  • الإجراء. استخدم هذا الخيار لتحديد الإجراء الذي يتم تنفيذه عند تحديد الارتباط، مثل Url وتعيين قيمة معلمة والتمرير إلى خطوة.
  • القيمة. استخدم هذا الخيار للإشارة إلى قيمة للارتباط.
  • الإعدادات. استخدم هذا الخيار لتكوين إعدادات معينة استنادا إلى نوع الارتباط وبناء جملة معلمات الدعم.
  • جزء السياق؟. استخدم هذا الخيار لفتح لوحة سياق جديدة إلى الجانب بدلاً من عرض كامل.
  • النمط استخدم هذا الخيار للتحديد بين أنماط الارتباط والزر (الأساسي) والزر (الثانوي ).

خطوات القياس

يمكنك استخدام خطوات القياس لدمج نتائج المصنف مع مقاييس من موارد Azure مختلفة. بعد الانتهاء من إجراء جميع التعديلات المخصصة على المصنف، تذكر حفظ المصنف عن طريق تحديد تم التحرير.

‏‫اختبر معلوماتك

1.

ما التنسيق الذي تستخدمه Microsoft Azure Sentinel لتنسيق النص في المصنف باستخدام مرئيات النص؟

2.

يقوم مسؤول بإنشاء مصنف مخصص ويرغب في عرض البيانات في جدول. ما هي خطوات عرض البيانات بشكل بياني التي يتعين على المسؤول استخدامها في المصنف؟