حفظ النتائج الرئيسية باستخدام الإشارات المرجعية

  • 5 دقائق

للبحث عن تهديدات لبيئة Contoso، يجب عليك مراجعة كميات كبيرة من بيانات السجل للحصول على دليل على السلوك الخبيث. في أثناء هذه العملية، قد تجد الأحداث التي تريد تذكرها، وإعادة النظر فيها، وتحليلها كجزء من التحقق من صحة الفرضيات المحتملة وفهم القصة الكاملة للتوصل إلى حل وسط.

التتبع باستخدام الإشارات المرجعية

يمكن أن تساعدك الإشارات المرجعية في Microsoft Sentinel في البحث عن التهديدات من خلال الاحتفاظ بالاستعلامات التي قمت بتشغيلها بالفعل، بالإضافة إلى نتائج الاستعلام التي تراها ذات صلة. يمكنك أيضًا تسجيل ملاحظاتك السياقية والرجوع إلى النتائج التي توصلت إليها عن طريق إضافة الملاحظات والعلامات. تكون البيانات المرجعية مرئية لك ولزملائك في الفريق لتسهيل التعاون.

يمكنك إعادة زيارة البيانات المرجعية في أي وقت على علامة التبويب الإشارات المرجعية في صفحة التتبع. يمكنك استخدام خيارات التصفية والبحث للعثور بسرعة على بيانات محددة للتحقيق الحالي. بدلاً من ذلك، يمكنك مراجعة البيانات المرجعية الخاصة بك مباشرةً في جدول HuntingBookmark في مساحة عمل تحليلات السجلات.

إشعار

تحتوي الأحداث المرجعية على معلومات أحداث قياسية ولكن يمكن استخدامها بطرق مختلفة في واجهة Microsoft Sentinel.

إنشاء أو إضافة إلى الحوادث باستخدام الإشارات المرجعية

يمكنك استخدام الإشارات المرجعية لإنشاء حادث جديد أو إضافة نتائج استعلام مرجعية إلى الحوادث الموجودة. يتيح لك الزر Incident actions على شريط أدوات Hunt تنفيذ أي من هذه المهام عند تحديد إشارة مرجعية.

لقطة شاشة للقائمة المنسدلة لإجراءات الحوادث في Microsoft Sentinel.

يمكن إدارة الأحداث التي تقوم بإنشائها من الإشارات المرجعية من صفحة الحوادث إلى جانب الحوادث الأخرى التي تم إنشاؤها في Microsoft Sentinel.

استخدام الرسم البياني للتحقيق في استكشاف الإشارات المرجعية

يمكنك التحقق من الإشارات المرجعية بنفس الطريقة التي تحقق بها في الحوادث التي وقعت في Microsoft Sentinel. من صفحة Hunting، حدد Hunt باستخدام إشارة مرجعية من علامة التبويب Hunts (Preview). في جزء Hunt details حدد Bookmarks (أو حدد أي الحوادث ذات الصلة)، وحدد إشارة مرجعية محددة ثم حدد الزر Investigate لفتح الرسم البياني للتحقيق في الحادث. الرسم البياني للتحقيق هو أداة بصرية تساعد على تحديد الكيانات المتورطة في الهجوم والعلاقات بين تلك الكيانات. إذا كان الحادث ينطوي على تنبيهات متعددة بمرور الوقت، يمكنك أيضًا مراجعة المخطط الزمني للتنبيه والارتباطات بين التنبيهات.

لقطة شاشة لصفحة الرسم البياني للتحقيق لحادث جهاز افتراضي محذوف.

مراجعة تفاصيل الكيان

يمكنك تحديد كل كيان على الرسم البياني لمراقبة المعلومات السياقية الكاملة عنه. تتضمن هذه المعلومات العلاقات مع الكيانات الأخرى، واستخدام الحساب، ومعلومات تدفق البيانات. لكل منطقة معلومات، يُمكنك الانتقال إلى الأحداث ذات الصلة في Log Analytics وإضافة بيانات التنبيه ذات الصلة إلى المخطط.

مراجعة تفاصيل الإشارة المرجعية

يمكنك تحديد عنصر الإشارة المرجعية على الرسم البياني لمشاهدة بيانات تعريف الإشارة المرجعية الهامة المتعلقة بسياق أمان وبيئة الإشارة المرجعية.

اختر أفضل إجابة للسؤال التالي.