تتبع متقدم مع بيانات Microsoft Sentinel في مدخل Microsoft Defender

يسمح لك التتبع المتقدم بعرض واستعلام جميع مصادر البيانات المتوفرة داخل مدخل Microsoft Defender الموحد، والتي تتضمن Microsoft Defender XDR وخدمات أمان Microsoft المختلفة. إذا قمت بإلحاق Microsoft Sentinel إلى مدخل Defender، يمكنك أيضا الوصول إلى جميع محتويات مساحة عمل Microsoft Sentinel الموجودة واستخدامها، بما في ذلك الاستعلامات والوظائف.

الاستعلام من مدخل واحد عبر مجموعات بيانات مختلفة يجعل التتبع أكثر كفاءة ويزيل الحاجة إلى تبديل السياق.

كيفية الوصول

الأدوار والأذونات المطلوبة

يمكنك الاستعلام عن البيانات في أي حمل عمل يمكنك الوصول إليه حاليا استنادا إلى أدوارك وأذوناتك.

للاستعلام عبر بيانات Microsoft Sentinel Microsoft Defender XDR في صفحة التتبع المتقدمة الموحدة، ستحتاج أيضا إلى دور Microsoft Sentinel Reader على الأقل. لمزيد من المعلومات، راجع الأدوار الخاصة Microsoft Sentinel.

توصيل مساحة عمل

في Microsoft Defender، يمكنك توصيل مساحات العمل عن طريق تحديد Connect a workspace في الشعار العلوي. يظهر هذا الزر إذا كنت مؤهلا لإلحاق مساحة عمل Microsoft Sentinel على مدخل Microsoft Defender الموحد. اتبع الخطوات الواردة في: إلحاق مساحة عمل.

بعد توصيل مساحة عمل Microsoft Sentinel وبيانات التتبع المتقدمة Microsoft Defender XDR، يمكنك البدء في الاستعلام عن بيانات Microsoft Sentinel من صفحة التتبع المتقدمة. للحصول على نظرة عامة على ميزات التتبع المتقدمة، اقرأ البحث الاستباقي عن التهديدات باستخدام التتبع المتقدم.

ما يمكن توقعه للجداول Defender XDR المتدفقة إلى Microsoft Sentinel

• استخدام الجداول ذات فترة استبقاء البيانات الأطول في الاستعلامات - يتبع التتبع المتقدم الحد الأقصى لفترة استبقاء البيانات التي تم تكوينها للجداول Defender XDR (راجع فهم الحصص النسبية). إذا قمت ببث الجداول Defender XDR إلى Microsoft Sentinel ولديك فترة استبقاء بيانات أطول من 30 يوما للجداول المذكورة، يمكنك الاستعلام عن الفترة الأطول في التتبع المتقدم.
• استخدم عوامل تشغيل Kusto التي استخدمتها في Microsoft Sentinel - بشكل عام، تعمل الاستعلامات من Microsoft Sentinel في التتبع المتقدم، بما في ذلك الاستعلامات التي تستخدم adx() عامل التشغيل. قد تكون هناك حالات يحذرك فيها IntelliSense من أن عوامل التشغيل في استعلامك لا تتطابق مع المخطط، ومع ذلك، لا يزال بإمكانك تشغيل الاستعلام ويجب تنفيذه بنجاح.
• استخدم القائمة المنسدلة عامل تصفية الوقت بدلا من تعيين الفترة الزمنية في الاستعلام - إذا كنت تقوم بتصفية استيعاب الجداول Defender XDR Sentinel بدلا من دفق الجداول كما هي، فلا تقم بتصفية الوقت في الاستعلام لأن هذا قد يؤدي إلى نتائج غير مكتملة. إذا قمت بتعيين الوقت في الاستعلام، يتم استخدام البيانات المتدفقة والمصفاة من Sentinel لأنه عادة ما يكون لها فترة استبقاء البيانات الأطول. إذا كنت ترغب في التأكد من أنك تقوم بالاستعلام عن جميع البيانات Defender XDR لمدة تصل إلى 30 يوما، فاستخدم القائمة المنسدلة عامل تصفية الوقت المتوفرة في محرر الاستعلام بدلا من ذلك.
• عرض SourceSystem أعمدة Defender XDR MachineGroup البيانات التي تم دفقها من Microsoft Sentinel - نظرا لأن الأعمدة SourceSystem وتتم MachineGroup إضافتها إلى الجداول Defender XDR بمجرد دفقها إلى Microsoft Sentinel، فإنها تظهر أيضا في نتائج تتبع متقدمة في Defender. ومع ذلك، تظل فارغة للجداول Defender XDR التي لم يتم دفقها (الجداول التي تتبع فترة استبقاء البيانات الافتراضية لمدة 30 يوما).

مكان العثور على بيانات Microsoft Sentinel

يمكنك استخدام استعلامات KQL للتتبع المتقدمة (لغة استعلام Kusto) للبحث عن بيانات Microsoft Defender XDR Microsoft Sentinel.

عند فتح صفحة التتبع المتقدمة لأول مرة بعد توصيل مساحة عمل، يمكنك العثور على العديد من جداول مساحة العمل هذه منظمة حسب الحل بعد Microsoft Defender XDR الجداول ضمن علامة التبويب Schema.

وبالمثل، يمكنك العثور على الدالات من Microsoft Sentinel في علامة التبويب Functions، ويمكن العثور على الاستعلامات المشتركة والعينة من Microsoft Sentinel في علامة التبويب Queries داخل المجلدات التي تم وضع علامة عليها Sentinel.

عرض معلومات المخطط

لمعرفة المزيد حول جدول مخطط، حدد علامات الحذف العمودية ( ) على يمين أي اسم جدول مخطط ضمن علامة التبويب Schema ، ثم حدد View schema.

في المدخل الموحد، بالإضافة إلى عرض أسماء أعمدة المخطط ووصفه، يمكنك أيضا عرض:

• عينة البيانات - حدد عرض بيانات المعاينة، والتي تقوم بتحميل استعلام بسيط مثل TableName | take 5
• نوع المخطط - ما إذا كان الجدول يدعم قدرات الاستعلام الكاملة (جدول متقدم) أم لا (جدول السجلات الأساسية)
• فترة استبقاء البيانات – المدة التي يتم فيها تعيين البيانات ليتم الاحتفاظ بها
• العلامات - متاحة لجداول البيانات Sentinel

المشاكل المعروفة

• IdentityInfo table من Microsoft Sentinel غير متوفر، حيث IdentityInfo يظل الجدول كما هو في Defender XDR. لا تتأثر ميزات Microsoft Sentinel مثل قواعد التحليلات التي تستعلم عن هذا الجدول لأنها تقوم بالاستعلام عن مساحة عمل Log Analytics مباشرة.
• يتم استبدال جدول Microsoft Sentinel SecurityAlert بجداول AlertInfo وAlertEvidence، والتي تحتوي على كل البيانات الموجودة في التنبيهات. بينما لا يتوفر SecurityAlert في علامة تبويب المخطط، لا يزال بإمكانك استخدامه في الاستعلامات باستخدام محرر التتبع المتقدم. يتم إجراء هذا الحكم حتى لا يتم فصل الاستعلامات الموجودة من Microsoft Sentinel التي تستخدم هذا الجدول.
• يتم دعم وضع التتبع الموجه واتخاذ الإجراءات لبيانات Defender XDR فقط.
• الاكتشافات المخصصة لها القيود التالية:
  • لا تتوفر عمليات الكشف المخصصة لطلبات استعلامات KQL التي لا تتضمن بيانات Defender XDR.
  • لا يتوفر تكرار الكشف في الوقت الحقيقي تقريبا للكشف الذي يتضمن بيانات Microsoft Sentinel.
  • الدالات المخصصة التي تم إنشاؤها وحفظها في Microsoft Sentinel غير مدعومة.
  • تعريف الكيانات من بيانات Sentinel غير مدعوم بعد في عمليات الكشف المخصصة.
• الإشارات المرجعية غير مدعومة في تجربة التتبع المتقدمة. يتم دعمها في ميزة تتبع إدارة > التهديدات Microsoft Sentinel>. بدلا من ذلك، يمكنك استخدام ميزة الارتباط بالحدث لربط نتائج الاستعلام بالحوادث الجديدة أو الموجودة.
• إذا كنت تقوم ببث الجداول Defender XDR إلى Log Analytics، فقد يكون هناك فرق بينTimestamp العمودين وTimeGenerated. في حالة وصول البيانات إلى Log Analytics بعد 48 ساعة، يتم تجاوزها عند الاستيعاب إلى now(). لذلك، للحصول على الوقت الفعلي الذي حدث فيه الحدث، نوصي بالاعتماد على Timestamp العمود.
• عند مطالبة Security Copilot باستعلامات التتبع المتقدمة، قد تجد أنه لا يتم دعم جميع الجداول Microsoft Sentinel حاليا. ومع ذلك، يمكن توقع دعم هذه الجداول في المستقبل.

راجع أيضًا

• استخدام وظائف التتبع المتقدمة والاستعلامات المحفوظة والقواعد المخصصة
• العمل مع النتائج التي تحتوي على بيانات Microsoft Sentinel