تفاصيل الأحداث المخصصة على Surface في التنبيهات في Microsoft Sentinel

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.

مقدمة

تقوم قواعد تحليلات الاستعلام المجدولة بتحليل الأحداث من مصادر البيانات المتصلة ب Microsoft Sentinel، وتنتج تنبيهات عندما تكون محتويات هذه الأحداث مهمة من منظور الأمان. يتم تحليل هذه التنبيهات وتجميعها وتصفيتها بواسطة محركات Microsoft Sentinel المختلفة وتقطيرها في الحوادث التي تستدعي اهتمام محلل SOC. ومع ذلك ، عندما ينظر المحلل إلى الحادث ، تكون خصائص تنبيهات المكون نفسها مرئية على الفور. يتطلب الوصول إلى المحتوى الفعلي - المعلومات الواردة في الأحداث - القيام ببعض الحفر.

باستخدام ميزة التفاصيل المخصصة في معالج قاعدة التحليلات، يمكنك عرض بيانات الأحداث في التنبيهات التي تم إنشاؤها من تلك الأحداث، مما يجعل بيانات الحدث جزءا من خصائص التنبيه. في الواقع ، يمنحك هذا رؤية فورية لمحتوى الحدث في حوادثك ، مما يتيح لك الفرز والتحقيق واستخلاص النتائج والاستجابة بسرعة وكفاءة أكبر بكثير.

يعد الإجراء المفصل أدناه جزءا من معالج إنشاء قاعدة التحليلات. يتم التعامل معها هنا بشكل مستقل لمعالجة سيناريو إضافة تفاصيل مخصصة أو تغييرها في قاعدة تحليلات حالية.

كيفية عرض تفاصيل الحدث المخصص

1. من قائمة التنقل في Microsoft Sentinel، حدد Analytics.

2. حدد قاعدة استعلام مجدولة وانقر على تحرير. أو أنشئ قاعدة جديدة بالنقر على إنشاء > قاعدة استعلام مجدولة في أعلى الشاشة.

3. انقر فوق علامة التبويب تعيين منطق القاعدة .

4. في القسم إثراء التنبيه، قم بتوسيعالتفاصيل المخصصة.

   

5. في قسم التفاصيل المخصصة الذي تم توسيعه الآن، أضف أزواج من القيم الرئيسية المقابلة للتفاصيل التي تريد عرضها:

   1. في حقل المفتاح ، أدخل اسما من اختيارك سيظهر كاسم الحقل في التنبيهات.

   2. في الحقل "القيمة "، اختر معلمة الحدث التي ترغب في عرضها في التنبيهات من القائمة المنسدلة. سيتم تعبئة هذه القائمة بقيم تتوافق مع الحقول الموجودة في الجداول موضوع استعلام القاعدة.

      

6. انقر فوق إضافة جديد لعرض المزيد من التفاصيل، مع تكرار الخطوات الأخيرة لتحديد أزواج القيم الرئيسية.

   إذا غيرت رأيك، أو إذا ارتكبت خطأ، فيمكنك إزالة تفاصيل مخصصة بالنقر فوق أيقونة سلة المهملات بجوار القائمة المنسدلة القيمة لهذه التفاصيل.

7. عند الانتهاء من تعريف التفاصيل المخصصة، انقر فوق علامة التبويب مراجعة وإنشاء . بمجرد نجاح التحقق من صحة القاعدة، انقر فوق حفظ.

   ملاحظة

   حدود الخدمة

   • يمكنك تحديد ما يصل إلى 20 تفصيلا مخصصا في قاعدة تحليلات واحدة.

   • الحد الأقصى لحجم جميع التفاصيل المخصصة، بشكل جماعي، هو 2 كيلوبايت.

الخطوات التالية

في هذا المستند، تعلمت كيفية عرض التفاصيل المخصصة في التنبيهات باستخدام قواعد تحليلات Microsoft Sentinel. لمعرفة المزيد حول Microsoft Sentinel، راجع المقالات التالية:

• احصل على الصورة الكاملة لقواعد تحليلات طلبات البحث المجدولة.
• تعرف على المزيد حول الكيانات في Microsoft Sentinel.