تكوين محتوى Microsoft Sentinel
في خطوة النشر السابقة، قمت بتمكين Microsoft Sentinel ومراقبة السلامة والحلول المطلوبة. في هذه المقالة، ستتعلم كيفية تكوين أنواع مختلفة من محتوى أمان Microsoft Sentinel، والتي تسمح لك بالكشف عن تهديدات الأمان ومراقبتها والاستجابة لها عبر أنظمتك. هذه المقالة هي جزء من دليل النشر ل Microsoft Sentinel.
تكوين محتوى الأمان
| الخطوة | الوصف |
|---|---|
| إعداد موصلات البيانات | استنادا إلى مصادر البيانات التي حددتها عند التخطيط للتوزيع، وبعد تمكين الحلول ذات الصلة، يمكنك الآن تثبيت موصلات البيانات أو إعدادها. - إذا كنت تستخدم موصلا موجودا، فابحث عن الموصل من هذه القائمة الكاملة لموصلات البيانات. - إذا كنت تقوم بإنشاء موصل مخصص، فاستخدم هذه الموارد. - إذا كنت تقوم بإعداد موصل لاستيعاب سجلات CEF أو Syslog، فراجع هذه الخيارات. |
| إعداد قواعد التحليلات | بعد إعداد Microsoft Sentinel لجمع البيانات من جميع أنحاء مؤسستك، يمكنك البدء في استخدام قواعد التحليلات للكشف عن التهديدات. حدد الخطوات التي تحتاجها لإعداد قواعد التحليلات وتكوينها: - إنشاء قواعد مجدولة من القوالب أو من البداية: إنشاء قواعد تحليلات للمساعدة في اكتشاف التهديدات والسلوكيات الشاذة في بيئتك. - تعيين حقول البيانات إلى كيانات: إضافة تعيينات الكيانات أو تغييرها في قاعدة تحليلات. - تفاصيل Surface المخصصة في التنبيهات: إضافة تفاصيل مخصصة أو تغييرها في قاعدة تحليلات. - تخصيص تفاصيل التنبيه: تجاوز الخصائص الافتراضية للتنبيهات ذات المحتوى من نتائج الاستعلام الأساسية. - تصدير قواعد التحليلات واستيرادها: تصدير قواعد التحليلات إلى ملفات قالب Azure Resource Manager (ARM)، واستيراد القواعد من هذه الملفات. ينشئ إجراء التصدير ملف JSON في موقع تنزيلات المستعرض، يمكنك بعد ذلك إعادة تسميته ونقله والتعامل معه مثل أي ملف آخر. - إنشاء قواعد تحليلات الكشف في الوقت الفعلي تقريبا (NRT): إنشاء قواعد تحليلات في الوقت القريب للكشف عن التهديدات حتى الدقيقة الجاهزة. تم تصميم هذا النوع من القواعد بحيث يكون شديد الاستجابة عن طريق تشغيل استعلامه على فترات دقيقة واحدة فقط. - العمل مع قواعد تحليلات الكشف عن الحالات الشاذة: العمل مع قوالب الشذوذ المضمنة التي تستخدم الآلاف من مصادر البيانات وملايين الأحداث، أو تغيير الحدود والمعلمات للحالات الشاذة داخل واجهة المستخدم. - إدارة إصدارات القالب لقواعد التحليلات المجدولة: تعقب إصدارات قوالب قواعد التحليلات، وإما إعادة القواعد النشطة إلى إصدارات القوالب الموجودة، أو تحديثها إلى إصدارات جديدة. - معالجة تأخير الاستيعاب في قواعد التحليلات المجدولة: تعرف على كيفية تأثير تأخير الاستيعاب على قواعد التحليلات المجدولة وكيف يمكنك إصلاحها لتغطية هذه الثغرات. |
| إعداد قواعد التشغيل التلقائي | إنشاء قواعد التشغيل التلقائي. حدد المشغلات والشروط التي تحدد وقت تشغيل قاعدة التشغيل التلقائي والإجراءات المختلفة التي يمكن أن تنفذها القاعدة والميزات والوظائف المتبقية. |
| إعداد أدلة المبادئ | دليل المبادئ هو مجموعة من إجراءات المعالجة التي تقوم بتشغيلها من Microsoft Sentinel كروتين، للمساعدة في أتمتة الاستجابة للتهديدات وتنسيقها. لإعداد أدلة المبادئ: - مراجعة أدلة المبادئ الموصى بها - إنشاء أدلة مبادئ من القوالب: قالب دليل المبادئ هو سير عمل تم إنشاؤه مسبقا واختباره وجاهز للاستخدام يمكن تخصيصه لتلبية احتياجاتك. يمكن أن تكون القوالب أيضا بمثابة مرجع لأفضل الممارسات عند تطوير أدلة المبادئ من البداية، أو كمصدر إلهام لسيناريوهات التنفيذ التلقائي الجديدة. - راجع هذه الخطوات لإنشاء دليل المبادئ |
| إعداد المصنفات | توفر المصنفات لوحة مرنة لتحليل البيانات وإنشاء تقارير مرئية غنية داخل Microsoft Sentinel. تسمح لك قوالب المصنفات بالحصول بسرعة على رؤى عبر بياناتك بمجرد توصيل مصدر بيانات. لإعداد المصنفات: - مراجعة مصنفات Microsoft Sentinel شائعة الاستخدام - استخدام قوالب المصنفات الموجودة المتوفرة مع الحلول المجمعة - إنشاء مصنفات مخصصة عبر بياناتك |
| إعداد قوائم المشاهدة | تسمح لك قوائم المشاهدة بربط البيانات من مصدر بيانات توفره بالأحداث في بيئة Microsoft Sentinel. لإعداد قوائم المشاهدة: - إنشاء قوائم المشاهدة - إنشاء الاستعلامات أو قواعد الكشف باستخدام قوائم المشاهدة: الاستعلام عن البيانات في أي جدول مقابل البيانات من قائمة المشاهدة عن طريق معاملة قائمة المشاهدة كجدول للصلات والبحث. عندما تقوم بإنشاء قائمة مشاهدة، فإنك تحدد SearchKey. مفتاح البحث هو اسم العمود في قائمة مراقبتك والذي تتوقع استخدامه للضمّ مع بيانات أخرى أو كعنصر متكرر للبحث. |
الخطوات التالية
في هذه المقالة، تعلمت كيفية تكوين أنواع مختلفة من محتوى أمان Microsoft Sentinel.