تخصيص تفاصيل التنبيه في Microsoft Sentinel

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.

مقدمة

عندما تحدد اسما ووصفا لقواعد التحليلات المجدولة الخاصة بك، وتقوم بتعيينها لشدتها وتكتيكات MITRE ATTCK&، سيتم عرض جميع التنبيهات التي تم إنشاؤها بواسطة قاعدة معينة - وجميع الحوادث التي تم إنشاؤها نتيجة لذلك - بنفس الاسم والوصف وما إلى ذلك، بغض النظر عن المحتوى المحدد لمثيل معين من التنبيه.

باستخدام ميزة تفاصيل التنبيه، يمكنك تخصيص مظهر التنبيه وفقا لمحتواه. هنا يمكنك تحديد معلمات في التنبيه الخاص بك يمكن تمثيلها في اسم أو وصف كل مثيل من التنبيه، أو التي يمكن أن تحتوي على التكتيكات والشدة المعينة لهذا المثيل من التنبيه. إذا لم يكن للمعلمة المحددة قيمة (أو قيمة غير صالحة في حالة التكتيكات والشدة)، فستعود تفاصيل التنبيه إلى الإعدادات الافتراضية المحددة في الصفحة الأولى من المعالج.

يعد الإجراء المفصل أدناه جزءا من معالج إنشاء قاعدة التحليلات. يتم التعامل معها هنا بشكل مستقل لمعالجة سيناريو إضافة تفاصيل التنبيه أو تغييرها في قاعدة تحليلات حالية.

كيفية تخصيص تفاصيل التنبيه

1. من قائمة التنقل في Microsoft Sentinel، حدد Analytics.

2. حدد قاعدة استعلام مجدولة وانقر على تحرير. أو أنشئ قاعدة جديدة بالنقر على إنشاء > قاعدة استعلام مجدولة في أعلى الشاشة.

3. انقر فوق علامة التبويب تعيين منطق القاعدة .

4. في القسم إثراء التنبيه، قم بتوسيعتفاصيل التنبيه.

   

5. في قسم تفاصيل التنبيه الموسع الآن، أضف نصا مجانيا يتضمن معلمات تتوافق مع التفاصيل التي تريد عرضها في التنبيه:

   1. في الحقل تنسيق اسم التنبيه، أدخل النص الذي تريد أن يظهر كاسم التنبيه (نص التنبيه)، وقم بتضمين أي معلمات تريد أن تكون جزءا من نص التنبيه بين قوسين مجعدين مزدوجين.

      مثال: Alert from {{ProviderName}}: {{AccountName}} failed to log on to computer {{ComputerName}}.

   2. افعل الشيء نفسه مع الحقل تنسيق وصف التنبيه .

      ملاحظة

      أنت مقيد حاليا بثلاث معلمات في كل من الحقلين تنسيق اسم التنبيهوتنسيق وصف التنبيه .

   3. استخدم حقلي عمود التكتيك وعمود الخطورة فقط إذا كانت نتائج الاستعلام تحتوي على أعمدة تحتوي على هذه المعلومات فيها. لكل واحد، اختر العمود الذي يحتوي على المعلومات المقابلة.

   إذا غيرت رأيك، أو إذا ارتكبت خطأ، فيمكنك إزالة تفاصيل تنبيه بالنقر فوق أيقونة سلة المهملات بجوار حقول عمود التكتيك/الخطورة أو حذف النص المجاني من حقول اسم التنبيه/تنسيق الوصف .

6. عند الانتهاء من تخصيص تفاصيل التنبيه، تابع إلى علامة التبويب التالية في المعالج. إذا كنت تقوم بتحرير قاعدة موجودة، فانقر فوق علامة التبويب مراجعة وإنشاء . بمجرد نجاح التحقق من صحة القاعدة، انقر فوق حفظ.

الخطوات التالية

في هذا المستند، تعلمت كيفية تخصيص تفاصيل التنبيه في قواعد تحليلات Microsoft Sentinel. لمعرفة المزيد حول Microsoft Sentinel، راجع المقالات التالية:

• احصل على الصورة الكاملة لقواعد تحليلات طلبات البحث المجدولة.
• تعرف على المزيد حول الكيانات في Microsoft Sentinel.