الحصول على توصيات الضبط الدقيق لقواعد التحليلات في Microsoft Sentinel

  • مقالة
  • قراءة خلال 2 دقائق

هام

ضبط الكشف حاليا في المعاينة. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

يمكن أن يكون ضبط قواعد اكتشاف التهديدات في SIEM عملية صعبة وحساسة ومستمرة لتحقيق التوازن بين زيادة تغطية اكتشاف التهديدات إلى أقصى حد وتقليل المعدلات الإيجابية الكاذبة. يعمل Microsoft Sentinel على تبسيط هذه العملية وتبسيطها باستخدام التعلم الآلي لتحليل مليارات الإشارات من مصادر البيانات الخاصة بك بالإضافة إلى استجاباتك للحوادث بمرور الوقت، واستنتاج الأنماط وتزويدك بتوصيات ورؤى قابلة للتنفيذ يمكنها تقليل النفقات العامة للضبط بشكل كبير والسماح لك بالتركيز على اكتشاف التهديدات الفعلية والاستجابة لها.

تم الآن تضمين ضبط التوصيات والرؤى في قواعد التحليلات. ستشرح هذه المقالة ما تعرضه هذه الإحصاءات، وكيف يمكنك تنفيذ التوصيات.

عرض رؤى القواعد وتوصيات الضبط

لمعرفة ما إذا كان لدى Microsoft Sentinel أي توصيات ضبط لأي من قواعد التحليلات، حدد Analytics من قائمة التنقل في Microsoft Sentinel.

ستعرض أي قواعد تحتوي على توصيات أيقونة مصباح كهربائي، كما هو موضح هنا:

Screenshot of list of analytics rules with recommendation indicator.

عدل القاعدة لعرض التوصيات إلى جانب الرؤى الأخرى. وستظهر معا في علامة التبويب تعيين منطق القاعدة في معالج قاعدة التحليلات، أسفل شاشة محاكاة النتائج .

Screenshot of tuning insights in analytics rule.

أنواع الإحصاءات

تتكون شاشة ضبط الرؤى من عدة أجزاء يمكنك التمرير أو السحب خلالها، يعرض لك كل منها شيئا مختلفا. يتم عرض الإطار الزمني - 14 يوما - الذي يتم عرض الرؤى الخاصة به في الجزء العلوي من الإطار.

  1. يعرض جزء الإحصاءات الأول بعض المعلومات الإحصائية - متوسط عدد التنبيهات لكل حادث، وعدد الحوادث المفتوحة، وعدد الحوادث المغلقة، مجمعة حسب التصنيف (صواب / خطأ إيجابي). تساعدك هذه البصيرة على معرفة الحمل على هذه القاعدة، وفهم ما إذا كان هناك حاجة إلى أي ضبط - على سبيل المثال، إذا كانت إعدادات التجميع بحاجة إلى ضبط.

    Screenshot of rule efficiency insight.

    هذه البصيرة هي نتيجة استعلام Log Analytics. سيؤدي تحديد متوسط التنبيهات لكل حادث إلى نقلك إلى طلب البحث في Log Analytics الذي أنتج الرؤية. سيؤدي تحديد فتح الحوادث إلى نقلك إلى شفرة الحوادث .

  2. يوصي جزء الإحصاءات الثاني بقائمة بالكيانات المراد استبعادها. ترتبط هذه الكيانات ارتباطا وثيقا بالحوادث التي أغلقتها وصنفتها على أنها إيجابية كاذبة. حدد علامة الجمع بجوار كل كيان مدرج لاستبعاده من الاستعلام في عمليات التنفيذ المستقبلية لهذه القاعدة.

    Screenshot of entity exclusion recommendation.

    يتم إنتاج هذه التوصية بواسطة نماذج علوم البيانات والتعلم الآلي المتقدمة من Microsoft. يعتمد تضمين هذا الجزء في شاشة ضبط الرؤى على وجود أي توصيات لإظهارها.

  3. يعرض جزء الإحصاءات الثالث الكيانات الأربعة المعينة الأكثر ظهورا عبر جميع التنبيهات التي تنتجها هذه القاعدة. يجب تكوين تعيين الكيانات على القاعدة حتى تتمكن هذه الرؤية من تحقيق أي نتائج. قد تساعدك هذه البصيرة على إدراك أي كيانات "تخطف الأضواء" وتلفت الانتباه بعيدا عن الكيانات الأخرى. قد ترغب في التعامل مع هذه الكيانات بشكل منفصل في قاعدة مختلفة، أو قد تقرر أنها إيجابيات خاطئة أو ضوضاء أخرى، واستبعادها من القاعدة.

    Screenshot of top entities insight.

    هذه البصيرة هي نتيجة استعلام Log Analytics. سيؤدي تحديد أي من الكيانات إلى نقلك إلى طلب البحث في Log Analytics الذي أنتج الرؤية.

الخطوات التالية

لمزيد من المعلومات، انظر: