تخصيص الأنشطة على الجداول الزمنية لصفحة الكيان
ملاحظة
يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.
هام
- تخصيص النشاط في PREVIEW. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.
مقدمة
بالإضافة إلى الأنشطة التي يتم تتبعها وتقديمها في المخطط الزمني بواسطة Microsoft Sentinel خارج الصندوق، يمكنك إنشاء أي أنشطة أخرى تريد تتبعها وعرضها على المخطط الزمني أيضا. يمكنك إنشاء أنشطة مخصصة استنادا إلى استعلامات بيانات الكيان من أي مصادر بيانات متصلة. توضح الأمثلة التالية كيفية استخدام هذه الإمكانية:
أضف أنشطة جديدة إلى المخطط الزمني للكيان عن طريق تعديل قوالب الأنشطة الجاهزة الموجودة.
إضافة أنشطة جديدة من السجلات المخصصة - على سبيل المثال، من سجل التحكم الفعلي في الوصول، يمكنك إضافة أنشطة الدخول والخروج الخاصة بالمستخدم لمبنى معين إلى المخطط الزمني للمستخدم.
الشروع في العمل
من قائمة التنقل في Microsoft Sentinel، حدد سلوك الكيان.
في شفرة سلوك الكيان ، حدد صفحة تخصيص الكيان في أعلى الشاشة.
سترى صفحة تحتوي على قائمة بأي أنشطة قمت بإنشائها في علامة التبويب أنشطتي . في علامة التبويب قوالب النشاط ، سترى مجموعة الأنشطة التي يقدمها باحثو أمان Microsoft خارج الصندوق. هذه هي الأنشطة التي يتم تتبعها وعرضها بالفعل على المخططات الزمنية في صفحات الكيان.
ملاحظة
طالما أنك لم تنشئ أي أنشطة يحددها المستخدم، فستعرض صفحات الكيانات جميع الأنشطة المدرجة ضمن علامة التبويب قوالب النشاط .
بمجرد تحديد نشاط مخصص واحد، لن تعرض صفحات الكيان سوى الأنشطة التي تظهر في علامة التبويب أنشطتي .
إذا كنت ترغب في متابعة رؤية الأنشطة الجاهزة في صفحات الكيانات، فيجب عليك إنشاء نشاط لكل قالب تريد تعقبه وعرضه. اتبع التعليمات الواردة ضمن "إنشاء نشاط من قالب" أدناه.
إنشاء نشاط من قالب
انقر فوق علامة التبويب قوالب النشاط للاطلاع على الأنشطة المختلفة المتاحة افتراضيا. يمكنك تصفية القائمة حسب نوع الكيان وكذلك حسب مصدر البيانات. سيؤدي تحديد نشاط من القائمة إلى عرض التفاصيل التالية في جزء المعاينة:
وصف للنشاط
مصدر البيانات الذي يوفر الأحداث التي تشكل النشاط
المعرفات المستخدمة لتحديد الكيان في البيانات الأولية
الاستعلام الذي يؤدي إلى الكشف عن هذا النشاط
انقر فوق الزر إنشاء نشاط في أسفل جزء المعاينة لبدء تشغيل معالج إنشاء النشاط.
سيتم فتح معالج النشاط - إنشاء نشاط جديد من القالب، مع ملء حقوله بالفعل من القالب. يمكنك إجراء التغييرات كما تريد في علامتي التبويب تكوين عامونشاط ما، أو ترك كل شيء كما هو لمتابعة عرض النشاط الجاهز.
عندما تكون راضيا، حدد علامة التبويب مراجعة وإنشاء . عندما ترى رسالة التحقق من الصحة التي تم تمريرها ، انقر على الزر إنشاء في الأسفل.
إنشاء نشاط من الصفر
من أعلى صفحة الأنشطة ، انقر فوق إضافة نشاط لبدء معالج إنشاء النشاط.
سيتم فتح معالج النشاط - إنشاء نشاط جديد ، مع وجود حقوله فارغة.
علامة التبويب General
أدخل اسما لنشاطك (على سبيل المثال: "تمت إضافة مستخدم إلى المجموعة").
أدخل وصفا للنشاط (على سبيل المثال: "تغيير عضوية مجموعة المستخدمين استنادا إلى معرف الحدث Windows 4728").
حدد نوع الكيان (المستخدم أو المضيف) الذي سيتتبعه هذا الاستعلام.
يمكنك التصفية حسب معلمات إضافية للمساعدة في تحسين الاستعلام وتحسين أدائه. على سبيل المثال، يمكنك تصفية مستخدمي Active Directory عن طريق اختيار المعلمة IsDomainJoin وتعيين القيمة إلى True.
يمكنك تحديد الحالة الأولية للنشاط إلى ممكن أو معطل.
حدد التالي : تكوين النشاط للمتابعة إلى علامة التبويب التالية.
علامة التبويب "تكوين النشاط"
كتابة استعلام النشاط
هنا سوف تكتب أو تلصق استعلام KQL الذي سيتم استخدامه للكشف عن نشاط الكيان المختار ، وتحديد كيفية تمثيله في المخطط الزمني.
هام
نوصي بأن يستخدم الاستعلام الخاص بك محلل نموذج معلومات الأمان المتقدم (ASIM) وليس جدولا مضمنا. وهذا يضمن أن الاستعلام سيدعم أي مصدر بيانات حالي أو مستقبلي ذي صلة بدلا من مصدر بيانات واحد.
من أجل ربط الأحداث والكشف عن النشاط المخصص ، يتطلب KQL إدخال العديد من المعلمات ، اعتمادا على نوع الكيان. المعلمات هي المعرفات المختلفة للكيان المعني.
يعد تحديد معرف قوي أفضل من أجل الحصول على تعيين فردي بين نتائج الاستعلام والكيان. قد يؤدي اختيار معرف ضعيف إلى نتائج غير دقيقة. تعرف على المزيد حول الكيانات والمعرفات القوية مقابل المعرفات الضعيفة.
يوفر الجدول التالي معلومات حول معرفات الكيانات.
معرفات قوية للحساب والكيانات المضيفة
مطلوب معرف واحد على الأقل في الاستعلام.
| الكيان | المعرّف | الوصف |
|---|---|---|
| الحساب | Account_Sid | SID المحلي للحساب في Active Directory |
| Account_AadUserId | معرف كائن Azure AD للمستخدم في Azure Active Directory | |
| Account_Name + Account_NTDomain | مماثل ل SamAccountName (على سبيل المثال: Contoso \ Joe) | |
| Account_Name + Account_UPNSuffix | مماثل ل UserPrincipalName (مثال: Joe@Contoso.com) | |
| المضيف | Host_HostName + Host_NTDomain | على غرار اسم النطاق المؤهل بالكامل (FQDN) |
| Host_HostName + Host_DnsDomain | على غرار اسم النطاق المؤهل بالكامل (FQDN) | |
| Host_NetBiosName + Host_NTDomain | على غرار اسم النطاق المؤهل بالكامل (FQDN) | |
| Host_NetBiosName + Host_DnsDomain | على غرار اسم النطاق المؤهل بالكامل (FQDN) | |
| Host_AzureID | معرف كائن Azure AD للمضيف في Azure Active Directory (إذا AAD (دليل Azure النشط) المجال المنضم) | |
| Host_OMSAgentID | معرف عامل OMS للوكيل المثبت على مضيف معين (فريد لكل مضيف) | |
استنادا إلى الكيان المحدد ، سترى المعرفات المتاحة. سيؤدي النقر فوق المعرفات ذات الصلة إلى لصق المعرف في الاستعلام، في موقع المؤشر.
ملاحظة
يمكن أن يحتوي الاستعلام على ما يصل إلى 10 حقول، لذا يجب عليك عرض الحقول التي تريدها.
يجب أن تتضمن الحقول المسقطة الحقل TimeGenerated ، من أجل وضع النشاط المكتشف في المخطط الزمني للكيان.
SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName
عرض النشاط في المخطط الزمني
من أجل الراحة ، قد ترغب في تحديد كيفية عرض النشاط في المخطط الزمني عن طريق إضافة معلمات ديناميكية إلى إخراج النشاط.
يوفر Microsoft Sentinel معلمات مضمنة لتستخدمها، ويمكنك أيضا استخدام معلمات أخرى استنادا إلى الحقول التي قمت بعرضها في الاستعلام.
استخدم التنسيق التالي للمعلمات الخاصة بك: {{ParameterName}}
بعد اجتياز استعلام النشاط للتحقق من الصحة وعرض الارتباط عرض نتائج الاستعلام أسفل نافذة الاستعلام ، ستتمكن من توسيع قسم القيم المتاحة لعرض المعلمات المتاحة لك لاستخدامها عند إنشاء عنوان نشاط ديناميكي.
حدد أيقونة نسخ بجوار معلمة معينة لنسخ هذه المعلمة إلى الحافظة بحيث يمكنك لصقها في حقل عنوان النشاط أعلاه.
أضف أيا من المعلمات التالية إلى الاستعلام:
أي حقل قمت بعرضه في الاستعلام.
معرفات الكيانات لأي كيانات مذكورة في الاستعلام.
StartTimeUTC، لإضافة وقت بدء النشاط، بالتوقيت العالمي المنسق.EndTimeUTC، لإضافة وقت انتهاء النشاط، بالتوقيت العالمي المنسق.Count، لتلخيص العديد من مخرجات استعلام KQL في مخرج واحد.تضيف المعلمة
countالأمر التالي إلى الاستعلام في الخلفية، على الرغم من أنه لا يتم عرضه بالكامل في المحرر:Summarize count() by <each parameter you’ve projected in the activity>ثم، عند استخدام عامل تصفية حجم الحاوية في صفحات الكيان، تتم إضافة الأمر التالي أيضا إلى الاستعلام الذي يتم تشغيله في الخلفية:
Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
على سبيل المثال:
عندما تكون راضيا عن الاستعلام وعنوان النشاط، حدد التالي : مراجعة.
علامة التبويب Review and create
تحقق من جميع معلومات التكوين الخاصة بنشاطك المخصص.
عند ظهور رسالة التحقق من الصحة التي تم تمريرها ، انقر فوق إنشاء لإنشاء النشاط. يمكنك تحريره أو تغييره لاحقا في علامة التبويب أنشطتي .
إدارة أنشطتك
إدارة أنشطتك المخصصة من علامة التبويب أنشطتي . انقر على علامة الحذف (...) في نهاية صف النشاط من أجل:
- عدل النشاط.
- كرر النشاط لإنشاء نشاط جديد مختلف قليلا.
- احذف النشاط.
- تعطيل النشاط (بدون حذفه).
عرض الأنشطة في صفحة كيان
كلما أدخلت صفحة كيان، سيتم تشغيل جميع استعلامات النشاط الممكنة لهذا الكيان، مما يوفر لك معلومات محدثة في المخطط الزمني للكيان. سترى الأنشطة في المخطط الزمني، إلى جانب التنبيهات والإشارات المرجعية.
يمكنك استخدام عامل تصفية محتوى المخطط الزمني لعرض الأنشطة فقط (أو أي مجموعة من الأنشطة والتنبيهات والإشارات المرجعية).
يمكنك أيضا استخدام عامل تصفية الأنشطة لعرض أنشطة معينة أو إخفائها.
الخطوات التالية
في هذا المستند، تعلمت كيفية إنشاء أنشطة مخصصة للمخططات الزمنية لصفحة الكيان. لمعرفة المزيد حول Microsoft Sentinel، راجع المقالات التالية:
- احصل على الصورة الكاملة على صفحات الكيان.
- انظر القائمة الكاملة للكيانات والمعرفات.