ترحيل استعلامات التتبع المتقدمة من Microsoft Defender لنقطة النهاية
ينطبق على:
- Microsoft Defender XDR
انقل مهام سير عمل التتبع المتقدمة من Microsoft Defender لنقطة النهاية للبحث بشكل استباقي عن التهديدات باستخدام مجموعة أوسع من البيانات. في Microsoft Defender XDR، يمكنك الوصول إلى البيانات من حلول أمان Microsoft 365 الأخرى، بما في ذلك:
- Microsoft Defender for Endpoint
- Microsoft Defender لـ Office 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender للهوية
ملاحظة
يمكن لمعظم العملاء Microsoft Defender لنقطة النهاية استخدام Microsoft Defender XDR دون تراخيص إضافية. لبدء نقل مهام سير عمل التتبع المتقدمة من Defender لنقطة النهاية، قم بتشغيل Microsoft Defender XDR.
يمكنك الانتقال دون التأثير على مهام سير عمل Defender لنقطة النهاية الحالية. تظل الاستعلامات المحفوظة سليمة، وتستمر قواعد الكشف المخصصة في تشغيل التنبيهات وإنشاءها. ومع ذلك، ستكون مرئية في Microsoft Defender XDR.
جداول المخطط في Microsoft Defender XDR فقط
يوفر مخطط التتبع المتقدم Microsoft Defender XDR جداول إضافية تحتوي على بيانات من حلول أمان Microsoft 365 المختلفة. تتوفر الجداول التالية فقط في Microsoft Defender XDR:
| اسم الجدول | الوصف |
|---|---|
| AlertEvidence | الملفات أو عناوين IP أو عناوين URL أو المستخدمين أو الأجهزة المقترنة بالتنبيهات |
| AlertInfo | تنبيهات من Microsoft Defender لنقطة النهاية Microsoft Defender لـ Office 365 Microsoft Defender for Cloud Apps Microsoft Defender for Identity، بما في ذلك معلومات الخطورة وفئات التهديد |
| EmailAttachmentInfo | معلومات حول الملفات المرفقة برسائل البريد الإلكتروني |
| EmailEvents | أحداث البريد الإلكتروني في Microsoft 365، بما في ذلك تسليم البريد الإلكتروني وحظر الأحداث |
| EmailPostDeliveryEvents | أحداث الأمان التي تحدث بعد التسليم، بعد قيام Microsoft 365 بتسليم رسائل البريد الإلكتروني إلى علبة بريد المستلم |
| EmailUrlInfo | معلومات حول عناوين URL على رسائل البريد الإلكتروني |
| IdentityDirectoryEvents | الأحداث التي تتضمن وحدة تحكم مجال محلية تقوم بتشغيل Active Directory (AD). يغطي هذا الجدول مجموعة من الأحداث المتعلقة بالهوية وأحداث النظام على وحدة التحكم بالمجال. |
| IdentityInfo | معلومات الحساب من مصادر مختلفة، بما في ذلك Microsoft Entra ID |
| IdentityLogonEvents | أحداث المصادقة على Active Directory وMicrosoft خدمات الإنترنت |
| IdentityQueryEvents | استعلامات لعناصر Active Directory، مثل المستخدمين والمجموعات والأجهزة والمجالات |
هام
يمكن عرض الاستعلامات والكشفات المخصصة التي تستخدم جداول المخطط المتوفرة فقط في Microsoft Defender XDR فقط في Microsoft Defender XDR.
تعيين جدول DeviceAlertEvents
يحل الجدولان AlertInfo و AlertEvidence محل DeviceAlertEvents الجدول في مخطط Microsoft Defender لنقطة النهاية. بالإضافة إلى بيانات حول تنبيهات الجهاز، يتضمن هذان الجدولان بيانات حول التنبيهات للهويات والتطبيقات ورسائل البريد الإلكتروني.
استخدم الجدول التالي للتحقق من كيفية DeviceAlertEvents تعيين الأعمدة إلى أعمدة في الجدولين AlertInfo و AlertEvidence .
تلميح
بالإضافة إلى الأعمدة الموجودة في الجدول التالي، AlertEvidence يتضمن الجدول العديد من الأعمدة الأخرى التي توفر صورة أكثر شمولية للتنبيهات من مصادر مختلفة.
راجع جميع أعمدة AlertEvidence
| عمود DeviceAlertEvents | مكان العثور على نفس البيانات في Microsoft Defender XDR |
|---|---|
AlertId |
AlertInfoوالجداول AlertEvidence |
Timestamp |
AlertInfoوالجداول AlertEvidence |
DeviceId |
AlertEvidence جدول |
DeviceName |
AlertEvidence جدول |
Severity |
AlertInfo جدول |
Category |
AlertInfo جدول |
Title |
AlertInfo جدول |
FileName |
AlertEvidence جدول |
SHA1 |
AlertEvidence جدول |
RemoteUrl |
AlertEvidence جدول |
RemoteIP |
AlertEvidence جدول |
AttackTechniques |
AlertInfo جدول |
ReportId |
يستخدم هذا العمود عادة في Microsoft Defender لنقطة النهاية لتحديد موقع السجلات ذات الصلة في جداول أخرى. في Microsoft Defender XDR، يمكنك الحصول على البيانات ذات الصلة مباشرة من AlertEvidence الجدول. |
Table |
يتم استخدام هذا العمود عادة في Microsoft Defender لنقطة النهاية للحصول على معلومات أحداث إضافية في جداول أخرى. في Microsoft Defender XDR، يمكنك الحصول على البيانات ذات الصلة مباشرة من AlertEvidence الجدول. |
ضبط استعلامات Microsoft Defender لنقطة النهاية الموجودة
ستعمل الاستعلامات Microsoft Defender لنقطة النهاية كما هي ما لم تشير إلى DeviceAlertEvents الجدول. لاستخدام هذه الاستعلامات في Microsoft Defender XDR، قم بتطبيق هذه التغييرات:
- استبدل
DeviceAlertEventsبAlertInfo. - انضم إلى
AlertInfoالجدولينAlertEvidenceو للحصول علىAlertIdبيانات مكافئة.
الاستعلام الأصلي
يستخدم DeviceAlertEvents الاستعلام التالي في Microsoft Defender لنقطة النهاية للحصول على التنبيهات التي تتضمن powershell.exe:
DeviceAlertEvents
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)" and FileName == "powershell.exe"
استعلام معدل
تم تعديل الاستعلام التالي لاستخدامه في Microsoft Defender XDR. بدلا من التحقق من اسم الملف مباشرة من DeviceAlertEvents، فإنه ينضم AlertEvidence ويتحقق من اسم الملف في هذا الجدول.
AlertInfo
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)"
| join AlertEvidence on AlertId
| where FileName == "powershell.exe"
ترحيل قواعد الكشف المخصصة
عند تحرير قواعد Microsoft Defender لنقطة النهاية على Microsoft Defender XDR، فإنها تستمر في العمل كما كان من قبل إذا نظر الاستعلام الناتج إلى جداول الجهاز فقط.
على سبيل المثال، ستستمر التنبيهات التي تم إنشاؤها بواسطة قواعد الكشف المخصصة التي تستعلم عن جداول الأجهزة فقط في تسليمها إلى SIEM وإنشاء إعلامات بالبريد الإلكتروني، اعتمادا على كيفية تكوينها في Microsoft Defender لنقطة النهاية. ستستمر أيضا أي قواعد منع موجودة في Defender لنقطة النهاية في التطبيق.
بمجرد تحرير قاعدة Defender لنقطة النهاية بحيث تستعلم عن جداول الهوية والبريد الإلكتروني، والتي تتوفر فقط في Microsoft Defender XDR، يتم نقل القاعدة تلقائيا إلى Microsoft Defender XDR.
التنبيهات التي تم إنشاؤها بواسطة القاعدة التي تم ترحيلها:
- لم تعد مرئية في مدخل Defender لنقطة النهاية (مركز حماية Microsoft Defender)
- توقف عن التسليم إلى SIEM أو أنشئ إعلامات بالبريد الإلكتروني. للتغلب على هذا التغيير، قم بتكوين الإعلامات من خلال Microsoft Defender XDR للحصول على التنبيهات. يمكنك استخدام واجهة برمجة تطبيقات Microsoft Defender XDR لتلقي إعلامات لتنبيهات الكشف عن العملاء أو الحوادث ذات الصلة.
- لن يتم منعها بواسطة قواعد منع Microsoft Defender لنقطة النهاية. لمنع إنشاء التنبيهات لبعض المستخدمين أو الأجهزة أو علب البريد، قم بتعديل الاستعلامات المقابلة لاستبعاد هذه الكيانات بشكل صريح.
إذا قمت بتحرير قاعدة بهذه الطريقة، فستتم مطالبتك بالتأكيد قبل تطبيق هذه التغييرات.
يتم عرض التنبيهات الجديدة التي تم إنشاؤها بواسطة قواعد الكشف المخصصة في Microsoft Defender XDR في صفحة تنبيه توفر المعلومات التالية:
- عنوان التنبيه ووصفه
- الأصول المتأثرة
- الإجراءات المتخذة استجابة للتنبيه
- نتائج الاستعلام التي أدت إلى تشغيل التنبيه
- معلومات حول قاعدة الكشف المخصصة
كتابة الاستعلامات بدون DeviceAlertEvents
في مخطط Microsoft Defender XDR، AlertInfo يتم توفير الجدولين و AlertEvidence لاستيعاب مجموعة متنوعة من المعلومات التي تصاحب التنبيهات من مصادر مختلفة.
للحصول على نفس معلومات التنبيه التي استخدمتها للحصول على من DeviceAlertEvents الجدول في مخطط Microsoft Defender لنقطة النهاية، قم بتصفية AlertInfo الجدول حسب ServiceSource ثم ضم كل معرف فريد بالجدولAlertEvidence، والذي يوفر معلومات مفصلة عن الحدث والكيان.
راجع نموذج الاستعلام أدناه:
AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| join AlertEvidence on AlertId
ينتج عن هذا الاستعلام العديد من الأعمدة أكثر مما DeviceAlertEvents هو عليه في مخطط Microsoft Defender لنقطة النهاية. للحفاظ على النتائج قابلة للإدارة، استخدم project للحصول على الأعمدة التي تهتم بها فقط. المثال أدناه أعمدة المشاريع التي قد تكون مهتمة بها عندما كشف التحقيق عن نشاط PowerShell:
AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
and AttackTechniques has "powershell"
| join AlertEvidence on AlertId
| project Timestamp, Title, AlertId, DeviceName, FileName, ProcessCommandLine
إذا كنت ترغب في التصفية لكيانات معينة تشارك في التنبيهات، يمكنك القيام بذلك عن طريق تحديد نوع الكيان والقيمة التي ترغب في EntityType التصفية لها. يبحث المثال التالي عن عنوان IP محدد:
AlertInfo
| where Title == "Insert_your_alert_title"
| join AlertEvidence on AlertId
| where EntityType == "Ip" and RemoteIP == "192.88.99.01"
راجع أيضًا
- تشغيل Microsoft Defender XDR
- نظرة عامة متقدمة حول الصيد
- فهم المخطط
- التتبع المتقدم في Microsoft Defender لنقطة النهاية
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.