مشاركة عبر

إنشاء قواعد تحليلات مجدولة من القوالب

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

إلى حد بعيد النوع الأكثر شيوعا من قاعدة التحليلات، تستند القواعد المجدولة إلى استعلامات Kusto التي تم تكوينها للتشغيل على فترات منتظمة وفحص البيانات الأولية من فترة "lookback" محددة. يمكن لهذه الاستعلامات إجراء عمليات إحصائية معقدة على بياناتها الهدف، والكشف عن الخطوط الأساسية والنواجهات الخارجية في مجموعات الأحداث. إذا تجاوز عدد النتائج التي تم التقاطها بواسطة الاستعلام الحد الذي تم تكوينه في القاعدة، تنتج القاعدة تنبيها.

توفر لك Microsoft مجموعة واسعة من قوالب قواعد التحليلات من خلال العديد من الحلول المتوفرة في مركز المحتوى، وتشجعك بشدة على استخدامها لإنشاء قواعدك. تتم كتابة الاستعلامات في قوالب القواعد المجدولة من قبل خبراء الأمان وعلوم البيانات، إما من Microsoft أو من مورد الحل الذي يوفر القالب.

توضح لك هذه المقالة كيفية إنشاء قاعدة تحليلات مجدولة باستخدام قالب.

هام

يتوفر Microsoft Sentinel بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. للمعاينة، يتوفر Microsoft Sentinel في مدخل Defender بدون Microsoft Defender XDR أو ترخيص E5. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

عرض قواعد التحليلات الحالية

لعرض قواعد التحليلات المثبتة في Microsoft Sentinel، انتقل إلى صفحة Analytics . تعرض علامة التبويب قوالب القاعدة كافة قوالب القواعد المثبتة. للعثور على المزيد من قوالب القواعد، انتقل إلى مركز المحتوى في Microsoft Sentinel لتثبيت حلول المنتجات ذات الصلة أو المحتوى المستقل.

  1. من قسم Configuration في قائمة التنقل في Microsoft Sentinel، حدد Analytics.

  2. في شاشة Analytics ، حدد علامة التبويب Rule templates .

  3. إذا كنت تريد تصفية القائمة للقوالب المجدولة :

    1. حدد إضافة عامل تصفية واختر نوع القاعدة من قائمة عوامل التصفية.

    2. من القائمة الناتجة، حدد Scheduled. ثم حدد تطبيق.

    لقطة شاشة لقوالب قواعد التحليلات المجدولة في مدخل Microsoft Azure.

إنشاء قاعدة من قالب

يصف هذا الإجراء كيفية إنشاء قاعدة تحليلات من قالب.

من قسم Configuration في قائمة التنقل في Microsoft Sentinel، حدد Analytics.

  1. في شاشة Analytics ، حدد علامة التبويب Rule templates .

  2. حدد اسم قالب، ثم حدد الزر إنشاء قاعدة في جزء التفاصيل لإنشاء قاعدة نشطة جديدة استنادا إلى هذا القالب.

    يحتوي كل قالب على قائمة بمصادر البيانات المطلوبة. عند فتح القالب، يتم التحقق تلقائيًا من توفر مصادر البيانات. إذا لم يتم تمكين مصدر بيانات، فقد يتم تعطيل الزر إنشاء قاعدة ، أو قد ترى رسالة بهذا الشأن.

    لقطة شاشة للوحة معاينة قاعدة التحليلات.

  3. يفتح معالج إنشاء القاعدة. يتم ملء جميع التفاصيل تلقائيا.

  4. التنقل بين علامات تبويب المعالج، وتخصيص المنطق وإعدادات القاعدة الأخرى حيثما أمكن ذلك لتتناسب بشكل أفضل مع احتياجاتك المحددة. لمزيد من المعلومات، راجع:

    عند الوصول إلى نهاية معالج إنشاء القاعدة، يقوم Microsoft Sentinel بإنشاء القاعدة. تظهر القاعدة الجديدة في علامة التبويب القواعد النشطة.

    كرر العملية لإنشاء المزيد من القواعد. لمزيد من التفاصيل حول كيفية تخصيص القواعد في معالج إنشاء القواعد، راجع إنشاء قاعدة تحليلات مخصصة من البداية.

تلميح

  • تأكد من تمكين جميع القواعد المقترنة بمصادر البيانات المتصلة لضمان تغطية كاملة لأمان بيئتك. إن الطريقة الأكثر فعالية لتمكين قواعد التحليلات هي من صفحة موصل البيانات مباشرةً، التي تسرد أي قواعد ذات صلة. لمزيد من المعلومات، راجع توصيل مصادر البيانات.

  • يمكنك أيضًا دفع القواعد إلى Microsoft Sentinel عبر APIوPowerShell، على الرغم من أن القيام بذلك يتطلب جهدًا إضافيًا.

    عند استخدام API أو PowerShell، يجب أولًا تصدير القواعد إلى JSON قبل تمكين القواعد. قد تكون «واجهة برمجة التطبيقات» أو PowerShell ذات نفع عند تمكين القواعد في مثيلات متعددة من Microsoft Sentinel باستخدام إعدادات متطابقة في كل مثيل.

الخطوات التالية

في هذا المستند، تعلمت كيفية إنشاء قواعد تحليلات مجدولة من القوالب في Microsoft Sentinel.