إنشاء حوادث تلقائيا من تنبيهات أمان Microsoft

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.

لا تؤدي التنبيهات التي يتم تشغيلها في حلول أمان Microsoft المتصلة ب Microsoft Sentinel، مثل Microsoft Defender for Cloud Apps و Microsoft Defender for Identity (Azure ATP سابقا)، إلى إنشاء حوادث تلقائيا في Microsoft Sentinel. بشكل افتراضي، عند توصيل أحد حلول Microsoft بـ Microsoft Sentinel، سيتم تخزين أي تنبيه يتم إنشاؤه في هذه الخدمة كبيانات أولية في Microsoft Sentinel، في جدول تنبيه الأمان في مساحة عمل Microsoft Sentinel. يمكنك بعد ذلك استخدام هذه البيانات مثل أي بيانات خام أخرى تقوم بتوصيلها ب Microsoft Sentinel.

يمكنك بسهولة تكوين Microsoft Sentinel لإنشاء الحوادث تلقائيا في كل مرة يتم فيها تشغيل تنبيه في حل أمان Microsoft متصل، باتباع الإرشادات الواردة في هذه المقالة.

المتطلبات الأساسية

يجب عليك توصيل حلول أمان Microsoft لتمكين إنشاء الحوادث من تنبيهات خدمة الأمان.

استخدام قواعد تحليلات إنشاء حوادث أمان Microsoft

استخدم القواعد المضمنة المتوفرة في Microsoft Sentinel لاختيار حلول أمان Microsoft المتصلة التي يجب أن تنشئ حوادث Microsoft Sentinel تلقائيًا في الوقت الفعلي. يمكنك أيضاً تحرير القواعد لتحديد خيارات أكثر تحديداً لتصفية أي من التنبيهات التي تم إنشاؤها بواسطة الحل الأمني لـ Microsoft يجب أن تنشئ حوادث في Microsoft Sentinel. على سبيل المثال، يمكنك اختيار إنشاء حوادث Microsoft Sentinel تلقائيا فقط من تنبيهات Microsoft Defender for Cloud عالية الخطورة (مركز أمان Azure سابقا).

1. في مدخل Azure ضمن Microsoft Sentinel، حدد Analytics.

2. حدد علامة التبويب قوالب القواعد للاطلاع على جميع قواعد التحليلات المضمنة.

   

3. اختر قالب قاعدة تحليلات أمان Microsoft الذي تريد استخدامه، وحدد إنشاء قاعدة.

   

4. يمكنك تعديل تفاصيل القاعدة، واختيار تصفية التنبيهات التي ستنشئ حوادث حسب شدة التنبيه أو بواسطة نص موجود في اسم التنبيه.

   على سبيل المثال، إذا اخترت Microsoft Defender for Cloud (قد لا يزال يطلق عليه Microsoft Defender for Cloud) في حقل خدمة أمان Microsoft واخترت "عالي" في حقل "عامل تصفية حسب الخطورة"، فإن تنبيهات الأمان عالية الخطورة فقط هي التي ستؤدي تلقائيا إلى وقوع حوادث في Microsoft Sentinel.

   

5. يمكنك أيضا إنشاء قاعدة أمان Microsoft جديدة تقوم بتصفية التنبيهات من خدمات أمان Microsoft المختلفة بالنقر فوق +إنشاء وتحديد قاعدة إنشاء حوادث Microsoft.

   

   يمكنك إنشاء أكثر من قاعدة واحدة لتحليلات أمان Microsoft لكل نوع خدمة أمان Microsoft . لا يؤدي ذلك إلى إنشاء حوادث مكررة، حيث يتم استخدام كل قاعدة كعامل تصفية. حتى إذا تطابق التنبيه مع أكثر من قاعدة واحدة من قواعد تحليلات أمان Microsoft، فإنه ينشئ حادثة Microsoft Sentinel واحدة فقط.

تمكين إنشاء الحوادث تلقائيا أثناء الاتصال

عند توصيل حل أمان Microsoft، يمكنك تحديد ما إذا كنت تريد التنبيهات من حل الأمان تلقائيًا بإنشاء الحوادث في Microsoft Sentinel تلقائيًا.

1. الاتصال مصدر بيانات حل أمان Microsoft.

   

2. ضمن إنشاء حوادث، حدد تمكين لتمكين قاعدة التحليلات الافتراضية التي تنشئ الحوادث تلقائيا من التنبيهات التي يتم إنشاؤها في خدمة الأمان المتصلة. يمكنك بعد ذلك تعديل هذه القاعدة ضمن " إحصاءات Google " ثم "القواعد النشطة".

الخطوات التالية

• لبدء استخدام Microsoft Sentinel، تحتاج إلى اشتراك في Microsoft Azure. إذا لم يكن لديك اشتراك، فيمكنك تسجيل الاشتراكمجانًا.
• تعرف على كيفية إعداد بياناتك إلى Microsoft Sentinel، والحصول على رؤية واضحة لبياناتك والتهديدات المحتملة.