مشاركة عبر

الحصول على توصيات الضبط الدقيق لقواعد التحليلات في Microsoft Sentinel

  • مقالة

هام

ضبط الكشف قيد المعاينة حاليًا. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

يمكن أن يكون ضبط قواعد الكشف عن التهديدات في SIEM عملية صعبة ودقيقة ومستمرة للموازنة بين تعظيم تغطية الكشف عن التهديدات وتقليل المعدلات الإيجابية الزائفة. يعمل Microsoft Azure Sentinel على تبسيط هذه العملية وتبسيطها باستخدام التعلم الآلي لتحليل مليارات الإشارات من مصادر بياناتك بالإضافة إلى استجاباتك للحوادث بمرور الوقت، وإزالة الأنماط وتزويدك بتوصيات ونتائج تحليلات قابلة للتنفيذ يمكن أن تقلل بشكل كبير من النفقات العامة للضبط وتسمح لك بالتركيز على اكتشاف التهديدات الفعلية والاستجابة لها.

تم الآن تضمين التوصيات والرؤى المضمنة في قواعد التحليلات الخاصة بك. هذه المقالة ستشرح ما تظهره هذه الرؤى، وكيف يمكنك تنفيذ التوصيات.

عرض نتائج تحليلات القواعد وتوصيات الضبط

لمعرفة ما إذا كان لدى Microsoft Sentinel أي توصيات ضبط لأي من قواعد التحليلات، حدد Analytics من قائمة التنقل في Microsoft Sentinel.

أي قواعد تحتوي على توصيات ستعرض رمز مصباح، كما هو موضح هنا:

لقطة شاشة لقائمة قواعد التحليلات مع مؤشر التوصية.

حرر القاعدة لعرض التوصيات جنبًا إلى جنب مع الرؤى الأخرى. ستظهر معًا في علامة التبويب Set rule logic لمعالج قاعدة التحليلات، أسفل عرض محاكاة النتائج.

لقطة شاشة لرؤى الضبط في قاعدة التحليلات.

أنواع الرؤى

يتكون عرض Tuning insights من عدة أجزاء يمكنك التمرير أو السحب خلالها، كل منها يعرض لك شيئًا مختلفًا. يتم عرض الإطار الزمني - 14 يومًا - الذي يتم عرض الرؤى له في أعلى الإطار.

  1. جزء الرؤى الأول يعرض بعض المعلومات الإحصائية - متوسط عدد التنبيهات لكل حادث، وعدد الحوادث المفتوحة، وعدد الحوادث المغلقة، المجمعة حسب التصنيف (إيجابية صحيحة/خاطئة). هذه الرؤى تساعدك على معرفة الحمل على هذه القاعدة، وفهم ما إذا كان هناك حاجة إلى أي ضبط - على سبيل المثال، إذا كانت إعدادات التجميع بحاجة إلى تعديل.

    لقطة شاشة لرؤى كفاءة القاعدة.

    هذه الرؤى هي نتيجة استعلام Log Analytics. تحديد متوسط التنبيهات لكل حادث سيؤدي إلى نقلك إلى الاستعلام في Log Analytics الذي أنتج نتيجة التحليلات. تحديد Open incidents سيؤدي إلى نقلك إلى جزء Incidents.

  2. يوصي جزء الرؤى الثاني لك بقائمة من الكيانات التي سيتم استبعادها. هذه الكيانات ترتبط ارتباطًا وثيقًا بالحوادث التي أغلقتها وصنفتها على أنها إيجابية كاذبة. حدد علامة الجمع بجوار كل كيان مدرج لاستبعاده من الاستعلام في عمليات التنفيذ المستقبلية لهذه القاعدة.

    لقطة شاشة للتوصية باستبعاد الكيان.

    هذه التوصية يتم إنتاجها بواسطة علوم البيانات المتقدمة من Microsoft ونماذج التعلم الآلي. تضمين هذا الجزء في عرض رؤى الضبط يعتمد على وجود أي توصيات لإظهارها.

  3. جزء الرؤى الثالث يظهر الكيانات الأربعة الأكثر ظهورًا المعينة عبر جميع التنبيهات التي تنتجها هذه القاعدة. يجب تكوين تعيين الكيان على القاعدة لهذه الرؤى لعرض أي نتائج. هذه الرؤى قد تساعدك على أن تصبح على دراية بأي كيانات "تسلط الضوء"، وتجذب الانتباه بعيدًا عن الكيانات الأخرى. قد ترغب في التعامل مع هذه الكيانات بشكل منفصل في قاعدة مختلفة، أو قد تقرر أنها إيجابيات خاطئة أو ضوضاء أخرى، واستبعادها من القاعدة.

    لقطة شاشة لرؤى الكيانات العليا.

    هذه الرؤى هي نتيجة استعلام Log Analytics. تحديد أي من الكيانات سيؤدي إلى نقلك إلى الاستعلام في Log Analytics الذي أنتج نتيجة التحليلات.

الخطوات التالية

لمزيد من المعلومات، انظر: