مشاركة عبر

التحقيق في أحداث Microsoft Sentinel بعمق في مدخل Microsoft Azure

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal

حوادث Microsoft Sentinel هي ملفات تحتوي على تجميع لجميع الأدلة ذات الصلة لتحقيقات محددة. يتم إنشاء كل حادث (أو إضافته إلى) استنادا إلى أجزاء من الأدلة (التنبيهات) التي تم إنشاؤها إما بواسطة قواعد التحليلات أو استيرادها من منتجات أمان تابعة لجهة خارجية تنتج تنبيهاتها الخاصة. ترث الحوادث الكيانات المضمنة في التنبيهات، بالإضافة إلى خصائص التنبيهات، مثل الخطورة والحالة وتكتيكات وتقنيات MITRE ATT&CK.

يمنحك Microsoft Sentinel نظاما أساسيا كاملا لإدارة الحالات كاملة الميزات في مدخل Microsoft Azure للتحقيق في حوادث الأمان. صفحة تفاصيل الحادث هي موقعك المركزي الذي يمكنك من خلاله تشغيل التحقيق الخاص بك، وجمع جميع المعلومات ذات الصلة وجميع الأدوات والمهام القابلة للتطبيق في شاشة واحدة.

توضح هذه المقالة كيفية التحقيق في حادث بشكل متعمق، ومساعدتك على التنقل والتحقيق في حوادثك بسرعة وفعالية وكفاءة أكبر، وتقليل متوسط الوقت لحله (MTTR).

لقطة شاشة لصفحة تفاصيل الحادث، التي تتضمن علامة تبويب النظرة العامة.

المتطلبات الأساسية

  • مطلوب تعيين دور مستجيب Microsoft Sentinel للتحقيق في الحوادث.

    تعرف على المزيد حول الأدوار في Microsoft Sentinel.

  • إذا كان لديك مستخدم ضيف يحتاج إلى تعيين حوادث، فيجب تعيين دور قارئ الدليل للمستخدم في مستأجر Microsoft Entra. يتم تعيين هذا الدور بشكل افتراضي للمستخدمين العاديين (غير المثيرين للاشمئزاز).

إذا كنت تعرض حاليا التجربة القديمة لصفحة تفاصيل الحادث، فقم بالتبديل إلى التجربة الجديدة في أعلى يمين الصفحة لمتابعة الإجراءات الواردة في هذه المقالة للتجربة الجديدة.

إعداد الأرض بشكل صحيح

أثناء الإعداد للتحقيق في حادث، قم بتجميع الأشياء التي تحتاجها لتوجيه سير العمل الخاص بك. يمكنك العثور على الأدوات التالية على شريط الأزرار في أعلى صفحة الحدث، أسفل العنوان مباشرة.

لقطة شاشة لشريط الأزرار في صفحة تفاصيل الحادث.

يقع زر إجراءات الحدث أيضا مقابل علامات التبويب Overview و Entities. هنا، لديك نفس الإجراءات الموضحة سابقا كما هو متاح من الزر Actions في جزء التفاصيل في صفحة Events grid. الوحيد المفقود هو التحقيق، والذي يتوفر على لوحة التفاصيل اليسرى بدلا من ذلك.

لقطة شاشة لزر إجراءات الحادث المتوفر في صفحة تفاصيل الحادث.

تتضمن الإجراءات المتوفرة ضمن الزر إجراءات الحادث ما يلي:

الإجراء الوصف
تشغيل دليل المبادئ قم بتشغيل دليل المبادئ على هذا الحدث لاتخاذ إجراءات إثراء أو تعاون أو استجابة معينة.
إنشاء قاعدة التنفيذ التلقائي إنشاء قاعدة أتمتة تعمل فقط على حوادث مثل هذه (التي تم إنشاؤها بواسطة نفس قاعدة التحليلات) في المستقبل.
إنشاء فريق (معاينة) أنشئ فريقا في Microsoft Teams للتعاون مع أفراد أو فرق أخرى عبر الأقسام في التعامل مع الحادث. إذا تم بالفعل إنشاء فريق لهذا الحدث، فسيعرض عنصر القائمة هذا ك Open Teams.

الحصول على الصورة بأكملها على صفحة تفاصيل الحادث

تحتوي اللوحة اليسرى لصفحة تفاصيل الحادث على نفس معلومات تفاصيل الحادث التي رأيتها في صفحة الحوادث على يمين الشبكة. هذه اللوحة معروضة دائما، بغض النظر عن علامة التبويب التي تظهر على بقية الصفحة. من هناك، يمكنك مشاهدة المعلومات الأساسية للحادث، والتنقل لأسفل بالطرق التالية:

  • ضمن الأدلة، حدد الأحداث أو التنبيهات أو الإشارات المرجعية لفتح لوحة سجلات داخل صفحة الحدث. تعرض لوحة Logs مع الاستعلام عن أي من الثلاثة التي حددتها، ويمكنك الانتقال عبر نتائج الاستعلام بعمق، دون التمحور بعيدا عن الحدث. حدد تم لإغلاق الجزء والعودة إلى الحادث. لمزيد من المعلومات، راجع التعمق في بياناتك في السجلات.

  • حدد أي من الإدخالات ضمن Entities لعرضها في علامة التبويب Entities. يتم عرض الكيانات الأربعة الأولى فقط في الحادث هنا. راجع الباقي عن طريق تحديد عرض الكل، أو في عنصر واجهة مستخدم الكيانات في علامة التبويب نظرة عامة، أو في علامة التبويب الكيانات. لمزيد من المعلومات، راجع علامة تبويب الكيانات.

    لقطة شاشة للوحة التفاصيل في صفحة تفاصيل الحادث.

حدد التحقيق لفتح الحادث في أداة التحقيق الرسومية التي ترسم رسما تخطيطيا للعلاقات بين جميع عناصر الحدث.

يمكن أيضا طي هذه اللوحة في الهامش الأيسر من الشاشة عن طريق تحديد السهم المزدوج الصغير الذي يشير إلى اليسار بجوار القائمة المنسدلة المالك . ومع ذلك، حتى في هذه الحالة المصغرة، ستظل قادرا على تغيير المالك والحالة والخطورة.

لقطة شاشة للوحة جانبية مطوية في صفحة تفاصيل الحادث.

يتم تقسيم بقية صفحة تفاصيل الحادث إلى نقطتي تبويب، نظرة عامة وكيانات.

تحتوي علامة التبويب نظرة عامة على عناصر واجهة المستخدم التالية، كل منها يمثل هدفا أساسيا للتحقيق الخاص بك.

القطعه الوصف
المخطط الزمني للحوادث يعرض لك عنصر واجهة مستخدم المخطط الزمني للحدث المخطط الزمني للتنبيهات والإشاراتالمرجعية في الحدث، والتي يمكن أن تساعدك على إعادة إنشاء المخطط الزمني لنشاط المهاجم. حدد عنصرا فرديا لمشاهدة جميع تفاصيله، مما يتيح لك التنقل لأسفل بشكل أكبر. لمزيد من المعلومات، راجع إعادة إنشاء المخطط الزمني لقصة الهجوم.
حوادث مماثلة في عنصر واجهة مستخدم الحوادث المماثلة ، ترى مجموعة من ما يصل إلى 20 حادثا آخر يشبه الحدث الحالي بشكل وثيق. يتيح لك ذلك عرض الحادث في سياق أكبر ويساعد في توجيه تحقيقك. لمزيد من المعلومات، راجع التحقق من وقوع حوادث مماثلة في بيئتك.
الكيانات يعرض لك عنصر واجهة مستخدم الكيانات جميع الكياناتالتي تم تحديدها في التنبيهات. هذه هي الكائنات التي لعبت دورا في الحادث، سواء كانت مستخدمين أو أجهزة أو عناوين أو ملفات أو أي أنواع أخرى. حدد كيانا للاطلاع على تفاصيله الكاملة، والتي يتم عرضها في علامة التبويب Entities. لمزيد من المعلومات، راجع استكشاف كيانات الحدث.
أفضل الرؤى في عنصر واجهة مستخدم Top insights ، ترى مجموعة من نتائج الاستعلامات التي حددها باحثو الأمان في Microsoft والتي توفر معلومات أمان قيمة وسياقية على جميع الكيانات في الحدث، استنادا إلى البيانات من مجموعة من المصادر. لمزيد من المعلومات، راجع الحصول على أفضل الرؤى حول الحادث.

تعرض لك علامة التبويب Entities القائمة الكاملة للكيانات في الحدث، والتي تظهر أيضا في عنصر واجهة مستخدم Entities في صفحة Overview. عند تحديد كيان في عنصر واجهة المستخدم، يتم توجيهك إلى هنا لمشاهدة ملف الكيان الكامل - معلومات التعريف الخاصة به، وجدول زمني لنشاطه (داخل الحدث وخارجه)، ومجموعة كاملة من الرؤى حول الكيان، تماما كما سترى في صفحة الكيان الكاملة الخاصة به، ولكن يقتصر على الإطار الزمني المناسب للحدث.

إعادة بناء المخطط الزمني لقصة الهجوم

يعرض لك عنصر واجهة مستخدم المخطط الزمني للحدث المخطط الزمني للتنبيهات والإشاراتالمرجعية في الحدث، والتي يمكن أن تساعدك على إعادة إنشاء المخطط الزمني لنشاط المهاجم.

مرر مؤشر الماوس فوق أي أيقونة أو عنصر نصي غير مكتمل لرؤية تلميح أداة مع النص الكامل لتلك الأيقونة أو عنصر النص. تكون تلميحات الأدوات هذه مفيدة عند اقتطاع النص المعروض بسبب العرض المحدود لعنص واجهة المستخدم. راجع المثال في لقطة الشاشة هذه:

لقطة شاشة توضح تفاصيل عرض المخطط الزمني للحدث.

حدد تنبيها فرديا أو إشارة مرجعية للاطلاع على تفاصيلها الكاملة.

  • تتضمن تفاصيل التنبيه خطورة التنبيه وحالته، وقواعد التحليلات التي أنشأته، والمنتج الذي أصدر التنبيه، والكيانات المذكورة في التنبيه، وتكتيكات وتقنيات MITRE ATT&CK المرتبطة به، ومعرف تنبيه النظام الداخلي.

    حدد رابط معرف تنبيه النظام للتنقل لأسفل بشكل أكبر في التنبيه، وفتح لوحة السجلات وعرض الاستعلام الذي أنشأ النتائج والأحداث التي أدت إلى تشغيل التنبيه.

  • لا تتطابق تفاصيل الإشارة المرجعية تماما مع تفاصيل التنبيه؛ بينما تتضمن أيضا الكيانات وتكتيكات وتقنيات MITRE ATT&CK ومعرف الإشارة المرجعية، فإنها تتضمن أيضا النتيجة الأولية ومعلومات منشئ الإشارة المرجعية.

    حدد الارتباط عرض سجلات الإشارات المرجعية لفتح لوحة السجلات وعرض الاستعلام الذي أنشأ النتائج التي تم حفظها كإشارة مرجعية.

    لقطة شاشة لتفاصيل تنبيه معروض في صفحة تفاصيل الحادث.

من عنصر واجهة مستخدم المخطط الزمني للحدث، يمكنك أيضا اتخاذ الإجراءات التالية على التنبيهات والإشارات المرجعية:

التحقق من وقوع حوادث مماثلة في بيئتك

بصفتك محلل عمليات أمان، عند التحقيق في حادث ما، فإنك تريد الانتباه إلى سياقه الأكبر.

كما هو الحال مع عنصر واجهة مستخدم المخطط الزمني للحدث، يمكنك تمرير الماوس فوق أي نص يتم عرضه بشكل غير كامل بسبب عرض العمود للكشف عن النص الكامل.

يتم عرض أسباب ظهور حادث في قائمة الحوادث المشابهة في العمود سبب التشابه. مرر مؤشر الماوس فوق أيقونة المعلومات لإظهار العناصر الشائعة (الكيانات أو اسم القاعدة أو التفاصيل).

Screenshot of pop-up display of similar incident details.

الحصول على أفضل الرؤى حول الحادث الخاص بك

لدى خبراء الأمان في Microsoft Sentinel استعلامات مضمنة تطرح تلقائيا الأسئلة الهامة حول الكيانات في الحادث الخاص بك. يمكنك مشاهدة أفضل الإجابات في عنصر واجهة مستخدم Top insights ، مرئية على الجانب الأيمن من صفحة تفاصيل الحادث. يعرض عنصر واجهة المستخدم هذا مجموعة من الرؤى استنادا إلى كل من تحليل التعلم الآلي والمجموعة من أفضل فرق خبراء الأمان.

هذه هي بعض الرؤى نفسها التي تظهر على صفحات الكيان، محددة خصيصا لمساعدتك على الفرز بسرعة وفهم نطاق التهديد. لنفس السبب، يتم تقديم رؤى لجميع الكيانات في الحدث معا لمنحك صورة أكثر اكتمالا لما يحدث.

تخضع نتائج التحليلات العليا للتغيير، وقد تتضمن:

  • الإجراءات حسب الحساب.
  • الإجراءات على الحساب.
  • نتائج تحليلات UEBA.
  • مؤشرات التهديد المتعلقة بالمستخدم.
  • نتائج تحليلات قائمة المشاهدة (معاينة).
  • عدد كبير بشكل غير مألوف لحدث أمان.
  • نشاط تسجيل الدخول إلى Windows.
  • اتصالات عنوان IP البعيدة.
  • اتصالات عنوان IP عن بعد مع تطابق TI.

تحتوي كل نتيجة تحليلات (باستثناء تلك المتعلقة بقوائم المشاهدة، في الوقت الحالي) على ارتباط يمكنك تحديده لفتح الاستعلام الأساسي في لوحة السجلات التي تفتح في صفحة الحدث. يمكنك بعد ذلك التنقل لأسفل في نتائج الاستعلام.

الإطار الزمني لأداة Top insights هو من 24 ساعة قبل أقرب تنبيه في الحادث حتى وقت آخر تنبيه.

استكشاف كيانات الحدث

يعرض لك عنصر واجهة مستخدم الكيانات جميع الكياناتالتي تم تحديدها في التنبيهات في الحدث. هذه هي الكائنات التي لعبت دورا في الحادث، سواء كانت مستخدمين أو أجهزة أو عناوين أو ملفات أو أي أنواع أخرى.

يمكنك البحث في قائمة الكيانات في عنصر واجهة مستخدم الكيانات، أو تصفية القائمة حسب نوع الكيان، لمساعدتك في العثور على كيان.

لقطة شاشة للإجراءات التي يمكنك اتخاذها على كيان من علامة التبويب نظرة عامة.

إذا كنت تعرف بالفعل أن كيانا معينا هو مؤشر معروف للتسوية، فحدد النقاط الثلاث في صف الكيان واختر إضافة إلى TIلإضافة الكيان إلى التحليل الذكي للمخاطر. (يتوفر هذا الخيار أنواع الكيانات المدعومة.)

إذا كنت تريد تشغيل تسلسل استجابة تلقائي لكيان معين، فحدد النقاط الثلاث واختر تشغيل دليل المبادئ (معاينة). (يتوفر هذا الخيار أنواع الكيانات المدعومة.)

حدد كيانا للاطلاع على تفاصيله الكاملة. عند تحديد كيان، يمكنك الانتقال من علامة التبويب Overview إلى علامة التبويب Entities، وهو جزء آخر من صفحة تفاصيل الحدث.

علامة تبويب الكيانات

تعرض علامة التبويب Entities قائمة بجميع الكيانات في الحدث.

لقطة شاشة لعلامة تبويب الكيانات في صفحة تفاصيل الحادث.

مثل عنصر واجهة مستخدم الكيانات، يمكن أيضا البحث في هذه القائمة وتصفيتها حسب نوع الكيان. لن تنطبق عمليات البحث وعوامل التصفية المطبقة في قائمة واحدة على الأخرى.

حدد صفا في القائمة لعرض معلومات ذلك الكيان في لوحة جانبية إلى اليمين.

إذا ظهر اسم الكيان كارتباط، فإن تحديد اسم الكيان يعيد توجيهك إلى صفحة الكيان الكامل، خارج صفحة التحقيق في الحادث. لعرض اللوحة الجانبية فقط دون مغادرة الحدث، حدد الصف في القائمة التي يظهر فيها الكيان، ولكن لا تحدد اسمه.

يمكنك اتخاذ نفس الإجراءات هنا التي يمكنك اتخاذها من عنصر واجهة المستخدم في صفحة النظرة العامة. حدد النقاط الثلاث في صف الكيان إما لتشغيل دليل المبادئ أو إضافة الكيان إلى تحليل ذكي للمخاطر.

يمكنك أيضا اتخاذ هذه الإجراءات عن طريق تحديد الزر بجوار عرض التفاصيل الكاملة في أسفل اللوحة الجانبية. يقرأ الزر إما إضافة إلى TI أو تشغيل دليل المبادئ (معاينة) أو إجراءات الكيان - وفي هذه الحالة تظهر قائمة مع الخيارين الآخرين.

يقوم الزر عرض التفاصيل الكاملة نفسه بإعادة توجيهك إلى صفحة الكيان الكامل.

الجزء الجانبي لعلامة تبويب الكيانات

حدد كيانا في علامة التبويب Entities لإظهار جزء جانبي، باستخدام البطاقات التالية:

  • تحتوي المعلومات على معلومات تعريف حول الكيان. على سبيل المثال، بالنسبة إلى كيان حساب المستخدم، قد تكون هذه أشياء مثل اسم المستخدم واسم المجال ومعرف الأمان (SID) والمعلومات التنظيمية ومعلومات الأمان والمزيد، وبالنسبة لعنوان IP، فإنه سيتضمن، على سبيل المثال، الموقع الجغرافي.

  • يحتوي المخطط الزمني على قائمة بالتنبيهات والإشارات المرجعية والشذوذ الذي يتميز به هذا الكيان، وكذلك الأنشطة التي قام بها الكيان، كما تم جمعها من السجلات التي يظهر فيها الكيان. جميع التنبيهات التي تتضمن هذا الكيان موجودة في هذه القائمة، سواء كانت التنبيهات تنتمي إلى هذا الحدث أم لا .

    يتم عرض التنبيهات التي ليست جزءا من الحدث بشكل مختلف: أيقونة الدرع رمادية اللون، وفرقة ألوان الخطورة منقطة الخط بدلا من خط متصل، وهناك زر مع علامة الجمع على الجانب الأيمن من صف التنبيه.

    لقطة شاشة للمخطط الزمني للكيان في علامة تبويب الكيانات.

    حدد علامة الجمع لإضافة التنبيه إلى هذا الحدث. عند إضافة التنبيه إلى الحدث، تتم أيضا إضافة جميع الكيانات الأخرى للتنبيه (التي لم تكن جزءا من الحدث بالفعل) إليه. الآن يمكنك توسيع نطاق التحقيق الخاص بك من خلال النظر في الجداول الزمنية لتلك الكيانات للتنبيهات ذات الصلة.

    يقتصر هذا المخطط الزمني على التنبيهات والأنشطة خلال الأيام السبعة السابقة. للانتقال إلى أبعد من ذلك، قم بالتمحور إلى المخطط الزمني في صفحة الكيان الكامل، التي يكون إطارها الزمني قابلا للتخصيص.

  • تحتوي نتائج التحليلات على نتائج الاستعلامات التي يحددها باحثو أمان Microsoft والتي توفر معلومات أمان قيمة وسياقية على الكيانات، استنادا إلى بيانات من مجموعة من المصادر. تتضمن هذه الرؤى تلك من عنصر واجهة مستخدم Top insights وغيرها الكثير؛ فهي نفس تلك التي تظهر في صفحة الكيان الكامل، ولكن على مدى إطار زمني محدود: بدءا من 24 ساعة قبل أقرب تنبيه في الحدث، وتنتهي بوقت التنبيه الأخير.

    تحتوي معظم نتائج التحليلات على ارتباطات، عند تحديدها، افتح لوحة السجلات التي تعرض الاستعلام الذي أنشأ نتيجة التحليلات جنبا إلى جنب مع نتائجها.

التعمق في بياناتك في السجلات

من أي مكان تقريبا في تجربة التحقيق، يمكنك تحديد ارتباط يفتح استعلاما أساسيا في لوحة السجلات ، في سياق التحقيق. إذا وصلت إلى لوحة السجلات من أحد هذه الارتباطات، يظهر الاستعلام المقابل في نافذة الاستعلام، ويتم تشغيل الاستعلام تلقائيا وإنشاء النتائج المناسبة لاستكشافها.

يمكنك أيضا استدعاء لوحة سجلات فارغة داخل صفحة تفاصيل الحادث في أي وقت، إذا كنت تفكر في استعلام تريد تجربته أثناء التحقيق، مع البقاء في السياق. للقيام بذلك، حدد Logs في أعلى الصفحة.

ومع ذلك ينتهي بك الأمر في لوحة السجلات ، إذا قمت بتشغيل استعلام تريد حفظ نتائجه، فاستخدم الإجراء التالي:

  1. ضع علامة على خانة الاختيار الموجودة بجانب الصف الذي تريد حفظه من بين النتائج. لحفظ جميع النتائج، ضع علامة على خانة الاختيار في أعلى العمود.

  2. احفظ النتائج التي تم وضع علامة عليها كإشارة مرجعية. لديك خياران للقيام بذلك:

    • حدد إضافة إشارة مرجعية إلى الحدث الحالي لإنشاء إشارة مرجعية وإضافتها إلى الحدث المفتوح. اتبع إرشادات الإشارة المرجعية لإكمال العملية. بمجرد الانتهاء، تظهر الإشارة المرجعية في المخطط الزمني للحدث.

    • حدد إضافة إشارة مرجعية لإنشاء إشارة مرجعية دون إضافتها إلى أي حادث. اتبع إرشادات الإشارة المرجعية لإكمال العملية. يمكنك العثور على هذه الإشارة المرجعية مع أي إشارة أخرى قمت بإنشائها في صفحة التتبع ، ضمن علامة التبويب الإشارات المرجعية. من هناك يمكنك إضافته إلى هذا أو أي حادث آخر.

  3. بعد إنشاء الإشارة المرجعية (أو إذا اخترت عدم القيام بذلك)، حدد تم لإغلاق لوحة السجلات .

على سبيل المثال:

لقطة شاشة للوحة السجلات المفتوحة في صفحة تفاصيل الحادث.

توسيع التحقيق أو تركيزه

أضف تنبيهات إلى حوادثك لتوسيع نطاق التحقيق الخاص بك أو توسيع نطاقه. بدلا من ذلك، قم بإزالة التنبيهات من الحوادث الخاصة بك لتضييق نطاق التحقيق الخاص بك أو تركيزه.

لمزيد من المعلومات، راجع ربط التنبيهات بالحوادث في Microsoft Sentinel في مدخل Microsoft Azure.

التحقيق في الحوادث بصريا باستخدام الرسم البياني للتحقيق

إذا كنت تفضل تمثيلا مرئيا ورسوميا للتنبيهات والكيانات والاتصالات بينها في التحقيق الخاص بك، يمكنك إنجاز العديد من الأشياء التي تمت مناقشتها سابقا مع الرسم البياني للتحقيق الكلاسيكي أيضا. الجانب السلبي للرسم البياني هو أن ينتهي بك الأمر إلى تبديل السياقات بشكل أكبر.

يوفر لك الرسم البياني للتحقيق ما يلي:

محتوى التحقيق الوصف
السياق المرئي من البيانات الأولية يعرض الرسم البياني المرئي المباشر علاقات الكيان المستخرجة تلقائيا من البيانات الأولية. يتيح لك ذلك رؤية الاتصالات بسهولة عبر مصادر البيانات المختلفة.
اكتشاف نطاق التحقيق الكامل قم بتوسيع نطاق التحقيق الخاص بك باستخدام استعلامات الاستكشاف المضمنة لإظهار النطاق الكامل للخرق.
خطوات التحقيق المضمنة استخدم خيارات الاستكشاف المعرفة مسبقا للتأكد من أنك تطرح الأسئلة الصحيحة في مواجهة تهديد.

لاستخدام الرسم البياني للتحقيق:

  1. حدد حادثاً، ثم حدد "Investigate". يأخذك هذا إلى الرسم البياني للتحقيق. يوفر الرسم البياني خريطة توضيحية للكيانات المتصلة مباشرة بالتنبيهات وكل مورد متصل بشكل أكبر.

    View map.

    هام

    • ستتمكن فقط من التحقيق في الحادث إذا كانت قاعدة التحليلات أو الإشارة المرجعية التي أنشأتها تحتوي على تعيينات الكيان. يتطلب الرسم البياني للتحقيق أن يتضمن الحادث الأصلي كيانات.

    • يدعم الرسم البياني للتحقيق حاليا التحقيق في الحوادث التي يصل عمرها إلى 30 يوما.

  2. حدد كياناً لفتح جزء الكيانات حتى تتمكن من مراجعة المعلومات المتعلقة بهذا الكيان.

    View entities in map

  3. قم بتوسيع التحقيق الخاص بك عن طريق تمرير الماوس فوق كل كيان للكشف عن قائمة الأسئلة التي صممها خبراء الأمان والمحللين لدينا لكل نوع كيان لتعميق التحقيق الخاص بك. نسمي هذه الخيارات استعلامات الاستكشاف.

    Explore more details

    على سبيل المثال، يمكنك طلب تنبيهات ذات صلة. إذا قمت بتحديد استعلام استكشاف، تتم إضافة العناوين الناتجة مرة أخرى إلى الرسم البياني. في هذا المثال، يؤدي تحديد تنبيهات ذات صلة إلى إرجاع التنبيهات التالية إلى الرسم البياني:

    لقطة شاشة: عرض التنبيهات ذات الصلة.

    لاحظ أن التنبيهات ذات الصلة تظهر متصلة بالكيان بواسطة خطوط منقطة.

  4. لكل استعلام استكشاف، يمكنك تحديد خيار فتح نتائج الأحداث الأولية والاستعلام المستخدم في Log Analytics، عن طريق تحديد الأحداث>.

  5. من أجل فهم الحادث، يمنحك الرسم البياني جدولاً زمنياً موازياً.

    Screenshot: view timeline in map.

  6. مرر مؤشر الماوس فوق المخطط الزمني لمعرفة الأشياء الموجودة على الرسم البياني التي حدثت في أي نقطة زمنية.

    Screenshot: use timeline in map to investigate alerts.'

تدقيق أحداث الحوادث وإضافة تعليقات

عند التحقيق في حادث ما، تريد توثيق الخطوات التي تتخذها بدقة، لضمان إعداد تقارير دقيقة للإدارة ولتمكين التعاون والتعاون السلسين بين زملاء العمل. كما تريد الاطلاع بوضوح على سجلات أي إجراءات تم اتخاذها بشأن الحادث من قبل الآخرين، بما في ذلك العمليات التلقائية. يمنحك Microsoft Sentinel سجل النشاط، وهو بيئة تدقيق وتعليق غنية، لمساعدتك على تحقيق ذلك.

يمكنك أيضا إثراء الحوادث تلقائيا بالتعليقات. على سبيل المثال، عند تشغيل دليل المبادئ على حادث يجلب معلومات ذات صلة من مصادر خارجية (على سبيل المثال، التحقق من وجود ملف بحثا عن برامج ضارة في VirusTotal)، يمكنك أن تضع دليل المبادئ استجابة المصدر الخارجي - إلى جانب أي معلومات أخرى تحددها - في تعليقات الحدث.

يقوم سجل النشاط بالرؤى التلقائية، حتى أثناء الفتح، بحيث يمكنك دائما رؤية التغييرات في الوقت الفعلي. كما يتم إعلامك بأي تغييرات تم إجراؤها على سجل النشاط أثناء فتحه.

المتطلبات المسبقه

  • التحرير: فقط مؤلف التعليق لديه إذن لتحريره.

  • حذف: فقط المستخدمين الذين لديهم دور مساهم Microsoft Azure Sentinel لديهم إذن لحذف التعليقات. حتى مؤلف التعليق يجب أن يكون له هذا الدور من أجل حذفه.

لعرض سجل الأنشطة والتعليقات، أو لإضافة تعليقاتك الخاصة:

  1. حدد Activity log في أعلى صفحة تفاصيل الحدث.
  2. لتصفية السجل لإظهار الأنشطة فقط أو التعليقات فقط، حدد عنصر تحكم عامل التصفية في أعلى السجل.
  3. إذا كنت تريد إضافة تعليق، أدخله في محرر النص المنسق في أسفل لوحة سجل نشاط الحدث.
  4. حدد تعليق لإرسال التعليق. تتم إضافة تعليقك في أعلى السجل.

Screenshot of viewing and entering comments.

الإدخال المدعوم للتعليقات

يسرد الجدول التالي حدود الإدخالات المدعومة في التعليقات:

النوع الوصف
نص تدعم التعليقات في Microsoft Sentinel إدخالات النص بالنص العادي وHTML الأساسي و Markdown. يمكنك أيضاً لصق النص المنسوخ وHTML و Markdown في نافذة التعليق.
الارتباطات يجب أن تكون الارتباطات في شكل علامات ارتساء HTML، ويجب أن تحتوي على المعلمة target="_blank". على سبيل المثال::

html<br><a href="https://www.url.com" target="_blank">link text</a><br>

إذا كانت لديك أدلة مبادئ تنشئ تعليقات في الحوادث، فيجب أن تتوافق الارتباطات الموجودة في هذه التعليقات مع هذا القالب أيضا.
الصور لا يمكن تحميل الصور مباشرة إلى التعليقات. بدلا من ذلك، قم بإدراج ارتباطات إلى الصور في التعليقات لعرض الصور المضمنة. يجب استضافة الصور المرتبطة بالفعل في موقع يمكن الوصول إليه بشكل عام مثل Dropbox وOneDrive وGoogle Drive وما إلى ذلك.
حد الحجم لكل تعليق: يمكن أن يحتوي التعليق الواحد على ما يصل إلى 30000 حرف.

لكل حادثة: يمكن أن تحتوي حادثة واحدة على ما يصل إلى 100 تعليق.

الحد الأقصى لحجم سجل حادث واحد في الجدول SecurityIncident في Log Analytics هو 64كيلوبايت. إذا تم تجاوز هذا الحد، يتم اقتطاع التعليقات (بدءا من الأقدم)، مما قد يؤثر على التعليقات التي تظهر في نتائج البحث المتقدمة. لا تتأثر سجلات الحوادث الفعلية في قاعدة بيانات الحوادث.

الخطوة التالية

التحقيق في الحوادث باستخدام بيانات UEBA

المحتوى ذو الصلة

في هذه المقالة، تعلمت كيفية البدء في التحقيق في الحوادث باستخدام Microsoft Azure Sentinel. لمزيد من المعلومات، راجع: