Share via

تصور بياناتك ومراقبتها باستخدام المصنفات في Microsoft Sentinel

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

بعد توصيل مصادر البيانات ب Microsoft Sentinel، قم بتصور البيانات ومراقبتها باستخدام المصنفات في Microsoft Sentinel. يسمح لك Microsoft Sentinel بإنشاء مصنفات مخصصة عبر بياناتك أو استخدام قوالب المصنفات الموجودة المتوفرة مع الحلول المجمعة أو كمحتوى مستقل من مركز المحتوى. تسمح لك هذه القوالب بالحصول على رؤى بسرعة عبر بياناتك بمجرد توصيل مصدر بيانات.

توضح هذه المقالة كيفية تصور بياناتك في Microsoft Sentinel باستخدام المصنفات.

هام

يتوفر Microsoft Sentinel كجزء من المعاينة العامة للنظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

المتطلبات الأساسية

  • يجب أن يكون لديك على الأقل أذونات قارئ المصنف أو المساهم في المصنف في مجموعة الموارد لمساحة عمل Microsoft Azure Sentinel.

    يتم حفظ المصنفات التي تراها في Microsoft Sentinel ضمن مجموعة موارد مساحة عمل Microsoft Sentinel ويتم وضع علامة عليها بواسطة مساحة العمل التي تم إنشاؤها فيها.

  • لاستخدام قالب مصنف، قم بتثبيت الحل الذي يحتوي على المصنف أو قم بتثبيت المصنف كعنصر مستقل من مركز المحتوى. لمزيد من المعلومات، راجع اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته.

إنشاء مصنف من قالب

استخدم قالب مثبتا من مركز المحتوى لإنشاء مصنف.

  1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن Threat management، حدد Workbooks.
    بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Threat management>Workbooks.

  2. انتقل إلى المصنفات ثم حدد قوالب لمشاهدة قائمة قوالب المصنفات المثبتة.

    لمعرفة القوالب ذات الصلة وأنواع البيانات التي قمت بتوصيلها، راجع حقل أنواع البيانات المطلوبة في كل مصنف عند توفره.

  3. حدد حفظ من جزء تفاصيل القالب والموقع حيث تريد حفظ ملف JSON للقالب. ينشئ هذا الإجراء مورد Azure استنادا إلى القالب ذي الصلة ويحفظ ملف JSON للمصنف وليس البيانات.

  4. حدد عرض المصنف المحفوظ من جزء تفاصيل القالب.

  5. حدد الزر Edit في شريط أدوات المصنف لتخصيص المصنف وفقاً لاحتياجاتك.

    لقطة شاشة تعرض المصنف المحفوظ.

    لاستنساخ المصنف، حدد تحرير ثم حفظ باسم. احفظ النسخة باسم آخر، ضمن نفس الاشتراك ومجموعة الموارد. يتم عرض المصنفات المستنسخة ضمن علامة التبويب My workbooks.

  6. عند الانتهاء، حدد Save لحفظ التغييرات.

لمزيد من المعلومات، راجع كيفية إنشاء تقارير تفاعلية باستخدام مصنفات Azure Monitor .

قم بإنشاء مصنف جديد

إنشاء مصنف من البداية في Microsoft Sentinel.

  1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن Threat management، حدد Workbooks.
    بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Threat management>Workbooks.

  2. حدد إضافة مصنف.

  3. لتحرير المصنف، حدد Edit، ثم أضف النص والاستعلامات والمعلمات حسب الضرورة. لمزيد من المعلومات بشأن كيفية تخصيص المصنف، راجع كيفية إنشاء تقارير تفاعلية باستخدام مصنفات Azure Monitor .

    Screenshot that shows a new workbook.

  4. عند إنشاء استعلام، قم بتعيين مصدر البيانات إلى Logs ونوع المورد إلى Log Analytics، ثم اختر مساحة عمل واحدة أو أكثر.

    نوصي بأن يستخدم الاستعلام محلل نموذج معلومات الأمان المتقدم (ASIM) وليس جدولاً مضمناً. سيدعم الاستعلام بعد ذلك أي مصدر بيانات حالي أو مستقبلي ذي صلة بدلا من مصدر بيانات واحد.

  5. بعد إنشاء المصنف، احفظ المصنف ضمن مجموعة الاشتراك والموارد لمساحة عمل Microsoft Sentinel.

  6. إذا كنت تريد السماح للآخرين في مؤسستك باستخدام المصنف، فضمن Save to حدد Shared reports. إذا كنت تريد أن يكون هذا المصنف متاحاً لك فقط، فحدد My reports.

  7. للتبديل بين المصنفات في مساحة العمل، حدد فتحأيقونة لفتح مصنف. في شريط الأدوات لأي مصنف. تنتقل الشاشة إلى قائمة بالمصنفات الأخرى التي يمكنك التبديل إليها.

    حدد المصنف الذي تريد فتحه:

    تبديل المصنفات.

قم بتحديث بيانات المصنف الخاص بك

قم بتحديث المصنف الخاص بك لعرض البيانات المحدثة. في شريط الأدوات، حدد أحد الخيارات التالية:

  • تحديث، لتحديث بيانات المصنف يدوياً.

  • تحديث تلقائي، لتعيين المصنف الخاص بك ليتم تحديثه تلقائياً في فاصل زمني مكون.

    • تتراوح فترات التحديث التلقائي المدعومة من 5 دقائق إلى يوم واحد.

    • يتم إيقاف التحديث التلقائي مؤقتاً أثناء قيامك بتحرير مصنف، وتتم إعادة تشغيل الفواصل الزمنية في كل مرة تقوم فيها بالرجوع إلى وضع العرض من وضع التحرير.

    • تتم أيضاً إعادة تشغيل فترات التحديث التلقائي إذا قمت بتحديث بياناتك يدوياً.

    بشكل افتراضي، يتم إيقاف التحديث التلقائي. لتحسين الأداء، يتم إيقاف تشغيل التحديث التلقائي في كل مرة تقوم فيها بإغلاق مصنف. لا يعمل في الخلفية. أعد تشغيل التحديث التلقائي حسب الحاجة في المرة التالية التي تفتح فيها المصنف.

لطباعة مصنف أو حفظه كملف PDF، استخدم قائمة الخيارات الموجودة على يمين عنوان المصنف.

  1. حدد الخيارات >Print content.

  2. في شاشة الطباعة، اضبط إعدادات الطباعة حسب الحاجة أو حدد Save as PDF لحفظه محلياً.

    على سبيل المثال: لقطة شاشة توضح كيفية طباعة المصنف أو الحفظ بتنسيق PDF.

كيفية حذف المصنفات

لحذف مصنف محفوظ، إما قالب محفوظ أو مصنف مخصص، حدد المصنف المحفوظ الذي تريد حذفه وحدد حذف. يزيل هذا الإجراء المصنف المحفوظ. كما أنه يزيل مورد المصنف وأي تغييرات أجريتها على القالب. يظل القالب الأصلي متوفرا.

للتعرف على المصنفات المضمنة الشائعة، راجع مصنفات Microsoft Azure Sentinel شائعة الاستخدام .