مشاركة عبر

العمل مع نتائج التتبع المتقدمة التي تحتوي على بيانات Microsoft Sentinel

  • مقالة
  • ينطبق على:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

استكشاف النتائج

لقطة شاشة لنتائج التتبع المتقدمة مع خيارات لتوسيع صفوف النتائج في مدخل Microsoft Defender

يمكنك أيضا استكشاف النتائج بما يتماشى مع الميزات التالية:

  • قم بتوسيع نتيجة عن طريق تحديد سهم القائمة المنسدلة على يسار كل نتيجة.
  • عند الاقتضاء، قم بتوسيع تفاصيل النتائج بتنسيق JSON أو صفيف عن طريق تحديد سهم القائمة المنسدلة على يسار صف النتائج القابل للتطبيق لسهولة القراءة المضافة.
  • افتح الجزء الجانبي لمشاهدة تفاصيل السجل (متزامن مع الصفوف الموسعة).

يمكنك أيضا النقر بزر الماوس الأيمن فوق أي قيمة نتيجة في صف واحد بحيث يمكنك استخدامها من أجل:

  • إضافة المزيد من عوامل التصفية إلى الاستعلام الموجود
  • انسخ القيمة لاستخدامها في مزيد من التحقيق
  • تحديث الاستعلام لتوسيع حقل JSON إلى عمود جديد

بالنسبة للبيانات Microsoft Defender XDR، يمكنك اتخاذ مزيد من الإجراءات عن طريق تحديد خانات الاختيار على يسار كل صف نتائج. حدد ارتباط بالحدث لربط النتائج المحددة بحدث (اقرأ ربط نتائج الاستعلام بحادث) أو اتخاذ إجراءات لفتح معالج اتخاذ الإجراءات (اقرأ اتخاذ إجراء بشأن نتائج استعلام التتبع المتقدمة).

يمكنك استخدام الارتباط إلى ميزة الحدث لإضافة نتائج استعلام تتبع متقدمة إلى حادث جديد أو موجود قيد التحقيق. تساعدك هذه الميزة على التقاط السجلات بسهولة من أنشطة التتبع المتقدمة، والتي تسمح لك بإنشاء مخطط زمني أو سياق أكثر ثراء للأحداث المتعلقة بالحادث.

  1. في جزء استعلام التتبع المتقدم، أدخل الاستعلام في حقل الاستعلام المتوفر، ثم حدد تشغيل الاستعلام للحصول على النتائج. لقطة شاشة لصفحة التتبع المتقدمة في مدخل Microsoft Defender

  2. في صفحة النتائج، حدد الأحداث أو السجلات المرتبطة بتحقيق جديد أو حالي تعمل عليه، ثم حدد ارتباط بالحادث. لقطة شاشة للارتباط بميزة الحادث في التتبع المتقدم في مدخل Microsoft Defender

  3. في قسم Alert details في جزء Link to incident، حدد Create new incident لتحويل الأحداث إلى تنبيهات وتجميعها إلى حادث جديد:

    يمكنك أيضا تحديد ارتباط بحادث موجود لإضافة السجلات المحددة إلى حدث موجود. اختر الحادث ذي الصلة من القائمة المنسدلة للحوادث الموجودة. يمكنك أيضا إدخال الأحرف القليلة الأولى من اسم الحدث أو المعرف للعثور على الحادث الذي تريده.
    لقطة شاشة للخيارات المتوفرة في الاستعلامات المحفوظة في مدخل Microsoft Defender

  4. لأي من التحديدين، قم بتوفير التفاصيل التالية، ثم حدد التالي:

    • عنوان التنبيه - عنوان وصفي للنتائج التي يمكن لمستجيبي الحوادث فهمها؛ يصبح هذا العنوان الوصفي عنوان التنبيه
    • الخطورة - اختر الخطورة المطبقة على مجموعة التنبيهات
    • الفئة - اختر فئة التهديد المناسبة للتنبيهات
    • الوصف - تقديم وصف مفيد للتنبيهات المجمعة
    • الإجراءات الموصى بها - سرد إجراءات المعالجة الموصى بها لمحللي الأمان الذين يحققون في الحادث

  5. في قسم Entities ، حدد الكيانات المشاركة في الأحداث المشبوهة. تستخدم هذه الكيانات لربط التنبيهات الأخرى بالحادث المرتبط وتكون مرئية من صفحة الحدث.

    بالنسبة للبيانات Microsoft Defender XDR، يتم تحديد الكيانات تلقائيا. إذا كانت البيانات من Microsoft Sentinel، فستحتاج إلى تحديد الكيانات يدويا.

    هناك قسمان يمكنك تحديد الكيانات من أجلهما:

    أ. الأصول المتأثرة – يجب إضافة الأصول المتأثرة التي تظهر في الأحداث المحددة هنا. يمكن إضافة الأنواع التالية من الأصول:

    • حساب
    • Device
    • صندوق بريد
    • تطبيق السحابة
    • مورد Azure
    • مورد Amazon Web Services
    • مورد Google Cloud Platform

    ب. الأدلة ذات الصلة – يمكن إضافة غير الأصول التي تظهر في الأحداث المحددة في هذا القسم. أنواع الكيانات المدعومة هي:

    • عملية
    • ملف
    • قيمة السجل
    • IP
    • تطبيق OAuth
    • DNS
    • مجموعة الأمان
    • عنوان URL
    • نظام مجموعة البريد
    • رسالة بريد

ملاحظة

بالنسبة للاستعلامات التي تحتوي على بيانات XDR فقط، يتم عرض أنواع الكيانات المتوفرة في جداول XDR فقط.

  1. بعد تحديد نوع كيان، حدد نوع معرف موجود في السجلات المحددة بحيث يمكن استخدامه لتعريف هذا الكيان. يحتوي كل نوع كيان على قائمة بالمعرفات المدعومة، كما يمكن رؤيته في القائمة المنسدلة ذات الصلة. اقرأ الوصف المعروض عند التمرير فوق كل معرف لفهمه بشكل أفضل.

  2. بعد تحديد المعرف، حدد عمودا من نتائج الاستعلام التي تحتوي على المعرف المحدد. يمكنك تحديد استكشاف الاستعلام والنتائج لفتح لوحة سياق التتبع المتقدمة. يسمح لك هذا باستكشاف الاستعلام والنتائج للتأكد من اختيار العمود الصحيح للمعرف المحدد.
    لقطة شاشة للارتباط بفرع كيانات معالج الحوادث في مدخل Microsoft Defender
    في مثالنا، استخدمنا استعلاما للعثور على الأحداث المتعلقة بحادث النقل غير المصرح للبريد الإلكتروني المحتمل، وبالتالي فإن علبة بريد المستلم وحساب المستلم هما الكيانات المتأثرة، وIP الخاص بالمرسل بالإضافة إلى رسالة البريد الإلكتروني هي أدلة ذات صلة.

    لقطة شاشة للارتباط إلى فرع الكيانات الكاملة لمعالج الحوادث في مدخل Microsoft Defender

    يتم إنشاء تنبيه مختلف لكل سجل مع مجموعة فريدة من الكيانات المتأثرة. في مثالنا، إذا كانت هناك ثلاث علب بريد مختلفة للمستلم ومجموعات معرف كائن المستلم، على سبيل المثال، يتم إنشاء ثلاثة تنبيهات وربطها بالحادث المختار.

  3. حدد التالي.

  4. راجع التفاصيل التي قدمتها في قسم الملخص.

  5. حدد تم.

عرض السجلات المرتبطة في الحدث

يمكنك تحديد الارتباط الذي تم إنشاؤه من الخطوة الموجزة للمعالج أو تحديد اسم الحدث من قائمة انتظار الحدث، لعرض الحدث الذي ترتبط به الأحداث.

لقطة شاشة لخطوة الملخص في الارتباط إلى معالج الحوادث في مدخل Microsoft Defender

في مثالنا، تم ربط التنبيهات الثلاثة، التي تمثل الأحداث الثلاثة المحددة، بنجاح بحادث جديد. في كل صفحة من صفحات التنبيه، يمكنك العثور على المعلومات الكاملة حول الحدث أو الأحداث في طريقة عرض المخطط الزمني (إذا كانت متوفرة) وعرض نتائج الاستعلام.

يمكنك أيضا تحديد الحدث من طريقة عرض المخطط الزمني أو من طريقة عرض نتائج الاستعلام لفتح جزء فحص السجل .

لقطة شاشة لصفحة الحادث في مدخل Microsoft Defender

تصفية الأحداث المضافة باستخدام التتبع المتقدم

يمكنك عرض التنبيهات التي تم إنشاؤها من التتبع المتقدم عن طريق تصفية الحوادث والتنبيهات حسب مصدر الكشف اليدوي .

لقطة شاشة من القائمة المنسدلة لعامل التصفية في التتبع المتقدم في مدخل Microsoft Defender