اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته

• ينطبق على:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal.

مركز محتوى Microsoft Sentinel هو موقعك المركزي لاكتشاف المحتوى الجاهز (المضمن) وإدارته. هناك تجد حلولا مجمعة للمنتجات الشاملة حسب المجال أو الصناعة. يمكنك الوصول إلى العدد الهائل من المساهمات المستقلة المستضافة في مستودع GitHub الخاص بنا وشفرات الميزات.

• اكتشف الحلول والمحتوى المستقل مع مجموعة متسقة من إمكانات التصفية استنادا إلى الحالة ونوع المحتوى والدعم والموفر والفئة.

• قم بتثبيت المحتوى في مساحة العمل الخاصة بك مرة واحدة أو بشكل فردي.

• عرض المحتوى في طريقة عرض القائمة ومعرفة الحلول التي تحتوي على تحديثات بسرعة. قم بتحديث الحلول كلها في وقت واحد أثناء تحديث المحتوى المستقل تلقائيا.

• إدارة حل لتثبيت أنواع المحتويات الخاصة به والحصول على أحدث التغييرات.

• تكوين محتوى مستقل لإنشاء عناصر نشطة جديدة استنادا إلى القالب الأحدث.

إذا كنت شريكاً تريد إنشاء حل خاص بك، فراجع دليل إنشاء حلول Microsoft Sentinel لتأليف الحلول ونشرها.

هام

يتوفر Microsoft Sentinel كجزء من المعاينة العامة للنظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

المتطلبات الأساسية

لتثبيت المحتوى المستقل أو الحلول وتحديثها وحذفها في مركز المحتوى، تحتاج إلى دور مساهم Microsoft Sentinel على مستوى مجموعة الموارد.

لمزيد من المعلومات بشأن الأدوار والأذونات الأخرى المدعومة لـ Microsoft Azure Sentinel، راجع الأذونات في Microsoft Azure Sentinel .

اكتشاف المحتوى

يوفر مركز المحتوى أفضل طريقة للعثور على محتوى جديد أو إدارة الحلول التي قمت بتثبيتها بالفعل.

1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن إدارة المحتوى، حدد مركز المحتوى.
   بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد مركز محتوى إدارة>المحتوى في Microsoft Sentinel.>

   تعرض صفحة مركز المحتوى شبكة قابلة للبحث أو قائمة بالحلول والمحتوى المستقل.

2. قم بتصفية القائمة المعروضة، إما عن طريق تحديد قيم معينة من عوامل التصفية، أو إدخال أي جزء من اسم المحتوى أو الوصف في حقل البحث .

   لمزيد من المعلومات، راجع فئات المحتوى والحلول الجاهزة لـ Microsoft Sentinel.

3. حدد طريقة عرض البطاقة لعرض مزيد من المعلومات حول حل.

   يعرض كل عنصر محتوى الفئات التي تنطبق عليه، وتعرض الحلول أنواع المحتوى المضمنة. على سبيل المثال، في الصورة التالية، يسرد حل Cisco Umbrella إحدى فئاته ك Security - Cloud Security، ويشير إلى أنه يتضمن موصل بيانات وقواعد تحليلات واستعلامات تتبع ودلائل مبادئ والمزيد.

   مدخل Microsoft Azure

   

   مدخل Defender

   

تثبيت المحتوى أو تحديثه

قم بتثبيت المحتوى والحلول المستقلة بشكل فردي أو كلي معا بشكل مجمع. لمزيد من المعلومات حول العمليات المجمعة، راجع التثبيت المجمع وتحديث المحتوى في القسم التالي.

إذا كان الحل الذي قمت بنشره يحتوي على تحديثات منذ آخر نشر له، تظهر طريقة عرض القائمة التحديث في عمود الحالة. يتم تضمين الحل أيضا في عدد التحديثات في أعلى الصفحة.

فيما يلي مثال يوضح تثبيت حل فردي.

1. في مركز المحتوى، ابحث عن الحل وحدده.

2. في جزء تفاصيل الحلول، من الجانب الأيمن السفلي، حدد عرض التفاصيل.

3. حدد إنشاء أو تحديث.

4. في علامة التبويب Basics ، أدخل الاشتراك ومجموعة الموارد ومساحة العمل لنشر الحل. على سبيل المثال:

   

5. حدد التالي للانتقال إلى علامات التبويب المتبقية للتعرف على كل مكون من مكونات المحتوى، وفي بعض الحالات تكوينه.

   تتوافق علامات التبويب مع المحتوى الذي يقدمه الحل. قد تحتوي الحلول المختلفة على أنواع مختلفة من المحتوى، لذلك قد لا ترى علامات التبويب نفسها في كل حل.

   قد تتم مطالبتك أيضا بإدخال بيانات الاعتماد إلى خدمة جهة خارجية بحيث يمكن ل Microsoft Sentinel المصادقة على أنظمتك. على سبيل المثال، باستخدام أدلة المبادئ، قد ترغب في اتخاذ إجراءات الاستجابة كما هو محدد في النظام الخاص بك.

6. في علامة التبويب مراجعة + إنشاء ، انتظر Validation Passed الرسالة.

7. حدد إنشاء أو تحديث لنشر الحل. يمكنك أيضًا تحديد ارتباط تنزيل قالب للتنفيذ التلقائي لتوزيع الحل كتعليمة برمجية.

قد يتطلب كل نوع محتوى داخل الحل المزيد من الخطوات لتكوينه. لمزيد من المعلومات، راجع تمكين عناصر المحتوى في حل.

تثبيت المحتوى وتحديثه بشكل مجمع

يدعم مركز المحتوى طريقة عرض القائمة بالإضافة إلى طريقة عرض البطاقة الافتراضية. حدد طريقة عرض القائمة لتثبيت حلول متعددة ومحتوى مستقل في وقت واحد. يتم تحديث المحتوى المستقل تلقائيا. يظل أي محتوى نشط أو مخصص تم إنشاؤه استنادا إلى حلول أو محتوى مستقل مثبت من مركز المحتوى دون أي تغيير.

1. لتثبيت العناصر أو تحديثها بشكل مجمع، قم بالتغيير إلى طريقة عرض القائمة.

2. ابحث عن المحتوى الذي تريد تثبيته أو تحديثه بشكل مجمع أو قم بالتصفية للعثور عليه.

3. حدد خانة الاختيار لكل حل أو محتوى مستقل تريد تثبيته أو تحديثه.

4. حدد الزر تثبيت/تحديث.

   إذا تم بالفعل تثبيت حل أو محتوى مستقل حددته أو تحديثه، فلن يتم اتخاذ أي إجراء على هذا العنصر. لا يتداخل مع تحديث العناصر الأخرى وتثبيتها.

5. حدد إدارة لكل حل قمت بتثبيته. قد تتطلب أنواع المحتوى داخل الحل مزيدا من المعلومات لتكوينها. لمزيد من المعلومات، راجع تمكين عناصر المحتوى في حل.

تمكين عناصر المحتوى في حل

إدارة عناصر المحتوى مركزيا للحلول المثبتة من مركز المحتوى.

1. في مركز المحتوى، حدد حلاً مثبتاً حيث يكون الإصدار 2.0.0 أو أعلى.

2. في صفحة تفاصيل الحلول، حدد إدارة.

   

3. راجع قائمة عناصر المحتوى.

   

4. حدد عنصر محتوى للبدء.

إدارة كل نوع محتوى

توفر الأقسام التالية بعض التلميحات حول كيفية العمل مع أنواع المحتويات المختلفة أثناء إدارة أحد الحلول.

موصل البيانات

لتوصيل موصل بيانات، أكمل خطوات التكوين.

1. حدد فتح صفحة الموصل.

2. أكمل خطوات تكوين موصل البيانات.

   

   بعد تكوين موصل البيانات والكشف عن السجلات، تتغير الحالة إلى الاتصال.

قاعدة التحليلات

إنشاء قاعدة من قالب أو تحرير قاعدة موجودة.

1. عرض القالب في معرض قوالب التحليلات.

2. إذا لم يتم استخدام القالب بعد، فحدد Open>Create rule واتبع الخطوات لتمكين قاعدة التحليلات.

   بعد إنشاء قاعدة، يظهر عدد القواعد النشطة التي تم إنشاؤها من القالب في عمود المحتوى الذي تم إنشاؤه.

3. حدد ارتباط القواعد النشطة لتحرير القاعدة الموجودة. على سبيل المثال، يقع ارتباط القاعدة النشطة في الصورة التالية ضمن المحتوى الذي تم إنشاؤه ويعرض عنصرين.

   

استعلام التتبع

قم بتشغيل استعلام التتبع المتوفر أو تخصيصه.

1. لبدء البحث على الفور، حدد تشغيل الاستعلام من صفحة التفاصيل للحصول على نتائج سريعة.

   

2. لتخصيص استعلام التتبع، حدد الارتباط في العمود اسم المحتوى.

   من معرض التتبع، يمكنك إنشاء نسخة من قالب استعلام التتبع للقراءة فقط عن طريق الانتقال إلى قائمة علامات الحذف. يتم عرض استعلامات التتبع التي تم إنشاؤها بهذه الطريقة كعناصر في عمود المحتوى الذي تم إنشاؤه في مركز المحتوى.

مصنف

لتخصيص مصنف تم إنشاؤه من قالب، قم بإنشاء مثيل لمصنف.

1. حدد عرض القالب لفتح المصنف ورؤية المرئيات.

2. حدد حفظ لإنشاء مثيل لقالب المصنف.

3. اعرض المصنف القابل للتخصيص المحفوظ عن طريق تحديد عرض المصنف المحفوظ.

4. من مركز المحتوى، حدد ارتباط العنصر 1 في عمود المحتوى الذي تم إنشاؤه لإدارة المصنف.

   

المحلل

عند تثبيت حل، تتم إضافة أي محللات مضمنة كوظائف مساحة عمل في Log Analytics.

1. حدد Load the function code لفتح Log Analytics وعرض التعليمات البرمجية للدالة أو تشغيلها.

2. حدد استخدام في المحرر لفتح Log Analytics مع اسم المحلل الجاهز لإضافته إلى استعلامك المخصص.

   

دليل المبادئ

إنشاء دليل مبادئ من قالب.

1. حدد ارتباط اسم المحتوى لدليل المبادئ.

2. اختر القالب وحدد Create playbook.

3. بعد إنشاء دليل المبادئ، يظهر دليل المبادئ النشط في عمود المحتوى الذي تم إنشاؤه.

4. حدد رابط عنصر playbook 1 النشط لإدارة دليل المبادئ.

   

البحث عن نموذج الدعم للمحتوى الخاص بك

يشرح كل حل وعنصر محتوى مستقل نموذج الدعم الخاص به في جزء التفاصيل الخاص به، في مربع الدعم، حيث يتم سرد Microsoft أو اسم الشريك. على سبيل المثال:

عند الاتصال بالدعم، قد تحتاج إلى تفاصيل أخرى حول الحل الخاص بك، مثل قيم الناشر والموفر ومعرف الخطة. ابحث عن هذه المعلومات في صفحة التفاصيل في علامة التبويب معلومات الاستخدام والدعم .

الخطوات التالية

في هذا المستند، تعلمت كيفية العثور على الحلول المضمنة والمحتوى المستقل ونشرها ل Microsoft Sentinel.

• تعرف على حلول Microsoft Sentinel.
• راجع كتالوج حلول Microsoft Sentinel الكامل في Azure Marketplace.
• ابحث عن حلول خاصة بالمجال في كتالوج مركز محتوى Microsoft Sentinel.
• حذف المحتوى والحلول الجاهزة من Microsoft Sentinel المثبتة.

تتضمن العديد من الحلول موصلات البيانات التي تحتاج إلى تكوينها بحيث يمكنك البدء في استيعاب بياناتك في Microsoft Sentinel. يحتوي كل موصل بيانات على مجموعة خاصة به من المتطلبات المفصلة في صفحة موصل البيانات في Microsoft Sentinel.

لمزيد من المعلومات، راجع تعيين مصادر البيانات.