تعيين حقول البيانات إلى كيانات في Microsoft Sentinel

  • مقالة
  • قراءة خلال 2 دقائق

ملاحظة

يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.

هام

  • راجع "ملاحظات حول الإصدار الجديد" في نهاية هذا المستند للحصول على معلومات مهمة حول التوافق مع الإصدارات السابقة والاختلافات بين الإصدارات الجديدة والقديمة من تعيين الكيانات.

مقدمة

يعد تعيين الكيانات جزءا لا يتجزأ من تكوين قواعد تحليلات الاستعلام المجدولة. فهو يثري مخرجات القواعد (التنبيهات والحوادث) بالمعلومات الأساسية التي تعمل بمثابة اللبنات الأساسية لأي عمليات تحقيق وإجراءات علاجية تلي ذلك.

يعد الإجراء المفصل أدناه جزءا من معالج إنشاء قاعدة التحليلات. يتم التعامل معها هنا بشكل مستقل لمعالجة سيناريو إضافة تعيينات الكيانات أو تغييرها في قاعدة تحليلات حالية.

كيفية تعيين الكيانات

  1. من قائمة التنقل في Microsoft Sentinel، حدد Analytics.

  2. حدد قاعدة استعلام مجدولة وحدد تحرير من جزء التفاصيل. أو أنشئ قاعدة جديدة بالنقر على إنشاء > قاعدة استعلام مجدولة في أعلى الشاشة.

  3. حدد علامة التبويب تعيين منطق القاعدة .

  4. في القسم إثراء التنبيه، قم بتوسيعتعيين الكيان.

    Expand entity mapping

  5. في قسم تعيين الكيان الموسع الآن، حدد نوع كيان من القائمة المنسدلة نوع الكيان .

    Choose an entity type

  6. حدد معرفا للكيان. المعرفات هي سمات كيان يمكنه التعرف عليه بشكل كاف. اختر واحدا من القائمة المنسدلة المعرف، ثم اختر حقل بيانات من القائمة المنسدلة القيمة التي ستتوافق مع المعرف. مع بعض الاستثناءات، يتم تعبئة قائمة القيمة بواسطة حقول البيانات في الجدول المعرف كموضوع استعلام القاعدة.

    يمكنك تحديد ما يصل إلى ثلاثة معرفات لكيان معين. بعض المعرفات مطلوبة، والبعض الآخر اختياري. يجب عليك اختيار معرف واحد مطلوب على الأقل. إذا لم تقم بذلك، فستعلمك رسالة تحذير بالمعرفات المطلوبة. للحصول على أفضل النتائج - لتحقيق أقصى قدر من التحديد الفريد - يجب عليك استخدام معرفات قوية كلما أمكن ذلك ، وسيتيح استخدام معرفات قوية متعددة ارتباطا أكبر بين مصادر البيانات. اطلع على القائمة الكاملة للكيانات والمعرفات المتاحة.

    Map fields to entities

  7. انقر على إضافة كيان جديد لتعيين المزيد من الكيانات. يمكنك تعيين ما يصل إلى خمسة كيانات في قاعدة تحليلات واحدة. يمكنك أيضا تعيين أكثر من واحد من نفس النوع. على سبيل المثال، يمكنك تعيين كيانين IP، أحدهما من حقل عنوان IP المصدر والآخر من حقل عنوان IP الوجهة. بهذه الطريقة يمكنك تتبعهما على حد سواء.

    إذا غيرت رأيك، أو إذا ارتكبت خطأ، يمكنك إزالة تعيين كيان بالنقر فوق أيقونة سلة المهملات بجوار القائمة المنسدلة للكيان.

  8. عند الانتهاء من تعيين الكيانات، انقر فوق علامة التبويب مراجعة وإنشاء . بمجرد نجاح التحقق من صحة القاعدة، انقر فوق حفظ.

ملاحظة

  • يمكن لكل كيان معين تحديد ما يصل إلى عشرة كيانات.

    • إذا كان التنبيه يحتوي على أكثر من عشرة عناصر تتوافق مع تعيين كيان واحد، التعرف على العشرة الأوائل فقط ككيانات ويكون من الممكن تحليلها على هذا النحو.
    • ينطبق هذا القيد على التعيينات الفعلية، وليس على أنواع الكيانات. لذلك إذا كان لديك ثلاثة كيانات معينة مختلفة لعناوين IP (على سبيل المثال ، المصدر والوجهة والبوابة) ، يمكن لكل من هذه التعيينات استيعاب عشرة كيانات.

  • الحد الأقصى لحجم التنبيه بأكمله هو 64 كيلوبايت.

    • سيتم اقتطاع التنبيهات التي يزيد حجمها عن 64 كيلوبايت. عند تحديد الكيانات، تتم إضافتها إلى التنبيه واحدا تلو الآخر حتى يصل حجم التنبيه إلى 64 كيلوبايت، ويتم إسقاط أي كيانات متبقية من التنبيه.

ملاحظات حول الإصدار الجديد

  • نظرا لأن الإصدار الجديد متوفر الآن بشكل عام (GA)، لم يعد الحل البديل لوضع علامة على الميزات لاستخدام الإصدار القديم متوفرا.

  • إذا سبق لك تحديد تعيينات الكيانات لقاعدة التحليلات هذه باستخدام الإصدار القديم، تحويلها تلقائيا إلى الإصدار الجديد.

الخطوات التالية

في هذا المستند، تعلمت كيفية تعيين حقول البيانات إلى كيانات في قواعد تحليلات Microsoft Sentinel. لمعرفة المزيد حول Microsoft Sentinel، راجع المقالات التالية: