إنشاء استعلامات تتبع مخصصة في Microsoft Sentinel

البحث عن تهديدات الأمان عبر مصادر بيانات مؤسستك باستخدام استعلامات التتبع المخصصة. يوفر Microsoft Sentinel استعلامات تتبع مضمنة لمساعدتك في العثور على مشكلات في البيانات الموجودة على شبكتك. ولكن يمكنك إنشاء استعلامات مخصصة خاصة بك. لمزيد من المعلومات حول استعلامات التتبع، راجع تتبع التهديدات في Microsoft Sentinel.

أنشئ استعلامًا جديدًا

في Microsoft Sentinel، قم بإنشاء استعلام تتبع مخصص من علامة التبويب استعلامات التتبع>.

1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن Threat management حدد Hunting.
   بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Threat management>Hunting.

2. حدد علامة التبويب Queries.

3. من شريط الأوامر، حدد استعلام جديد.

   • مدخل Microsoft Azure
   • مدخل Defender

   

4. املأ كافة الحقول الفارغة.

   1. إنشاء تعيينات الكيانات عن طريق تحديد أنواع الكيانات والمعرفات والأعمدة.

      

   2. قم بتعيين تقنيات MITRE ATT&CK إلى استعلامات التتبع الخاصة بك عن طريق تحديد التكتيك والتقنية والتقنية الفرعية (إن أمكن).

      

5. عند الانتهاء من تعريف الاستعلام، حدد إنشاء.

استنساخ استعلام موجود

استنساخ استعلام مخصص أو مضمن وتحريره حسب الحاجة.

1. من علامة التبويب استعلامات التتبع>، حدد استعلام التتبع الذي تريد استنساخه.

2. حدد علامة الحذف (...) في سطر الاستعلام الذي تريد تعديله، وحدد استنساخ.

   • مدخل Microsoft Azure
   • مدخل Defender

   

3. قم بتحرير الاستعلام والحقول الأخرى حسب الاقتضاء.

4. حدد إنشاء.

تحرير استعلام مخصص موجود

يمكن تحرير الاستعلامات التي من مصدر محتوى مخصص فقط. يجب تحرير مصادر المحتوى الأخرى في هذا المصدر.

1. من علامة التبويب استعلامات التتبع>، حدد استعلام التتبع الذي تريد تغييره.

2. حدد علامة الحذف (...) في سطر الاستعلام الذي تريد تغييره، وحدد تحرير.

3. تحديث حقل الاستعلام بالاستعلام المحدث. يمكنك أيضا تغيير تعيين الكيان وتقنياته.

4. عند الانتهاء، حدد حفظ.

المحتوى ذو الصلة

• مرجع KQL السريع
• محلل نموذج معلومات الأمان المتقدم (ASIM)
• تتبع التهديدات في Microsoft Sentinel
• إجراء تتبع استباقي للمخاطر من طرف إلى طرف في Microsoft Sentinel