استخدام قوائم المشاهدة في Microsoft Sentinel

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

تسمح لك قوائم المراقبة في Microsoft Sentinel بربط البيانات من مصدر بيانات توفره بالأحداث في بيئة Microsoft Sentinel. على سبيل المثال، يمكنك إنشاء قائمة مراقبة تحتوي على قائمة بمواد العرض عالية القيمة أو الموظفين الذين تم إنهاؤهم أو حسابات الخدمة في بيئتك.

استخدم قوائم المراقبة في البحث وقواعد الكشف والبحث عن التهديدات وكتب الاستجابة.

مع العلم بأن قوائم المشاهدة تُخزّن في مساحة عمل Microsoft Sentinel كأزواج اسم-قيمة وتُخزَّن مؤقتًا لتقديم أفضل أداء استعلام وزمن انتقال بطئ.

هام

تتوفر حاليا ميزات قوالب قائمة المراقبة والقدرة على إنشاء قائمة مراقبة من ملف في Azure Storage في PREVIEW. تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.

متى تستخدم قوائم المراقبة

استخدم قوائم المراقبة لمساعدتك في السيناريوهات التالية:

• تحقق من التهديدات والاستجابة للحوادث بسرعة من خلال الاستيراد السريع لعناوين IP وتجزئات الملفات والبيانات الأخرى من ملفات CSV. بعد استيراد البيانات، استخدم أزواج أسماء وقيم قائمة المراقبة للصلات والفلاتر في قواعد التنبيه والبحث عن التهديدات والمصنفات ودفاتر الملاحظات والاستعلامات العامة.

• استيراد بيانات النشاط التجاري كقائمة مراقبة. على سبيل المثال، استيراد قوائم المستخدمين مع الوصول إلى النظام المميز، أو الموظفين الذين تم إنهاؤهم. بعد ذلك، استخدم قائمة المراقبة لإنشاء قوائم مسموح بها وقوائم حظر للكشف عن هؤلاء المستخدمين أو منعهم من تسجيل الدخول إلى الشبكة.

• تقليل التعب في حالة اليقظة. قم بإنشاء قوائم مسموح بها لمنع التنبيهات من مجموعة من المستخدمين، مثل المستخدمين من عناوين IP المعتمدة التي تؤدي مهام تؤدي عادة إلى تشغيل التنبيه. منع الأحداث الحميدة من أن تصبح تنبيهات.

• إثراء بيانات الحدث. استخدِم قوائم المشاهدة لإثراء بيانات الحدث الخاص بك بمجموعات اسم-قيمة المشتقة من مصادر البيانات الخارجية.

القيود المفروضة على قوائم المراقبة

قبل إنشاء قائمة مراقبة، كن على دراية بالقيود التالية:

• يجب أن يقتصر استخدام قوائم المراقبة على البيانات المرجعية، لأنها ليست مصممة لأحجام البيانات الكبيرة.
• يقتصر العدد الإجمالي لعناصر قائمة المراقبة النشطة عبر جميع قوائم المراقبة في مساحة عمل واحدة حاليا على 10 ملايين. لا يتم احتساب عناصر قائمة المراقبة المحذوفة ضمن هذا الإجمالي. إذا كنت بحاجة إلى القدرة على الرجوع إلى كميات كبيرة من البيانات، ففكر في تناولها باستخدام سجلات مخصصة بدلا من ذلك.
• لا يمكن الرجوع إلى قوائم المراقبة إلا من داخل مساحة العمل نفسها. سيناريوهات مساحة العمل المتقاطعة و/أو المنارة غير مدعومة حاليا.
• تقتصر عمليات تحميل الملفات المحلية حاليا على الملفات التي يصل حجمها إلى 3.8 ميغابايت.
• تقتصر عمليات تحميل الملفات من حساب Azure Storage (قيد المعاينة) حاليا على الملفات التي يصل حجمها إلى 500 ميغابايت.

خيارات لإنشاء قوائم المراقبة

قم بإنشاء قائمة مراقبة في Microsoft Sentinel من ملف تقوم بتحميله من مجلد محلي أو من ملف في حساب Azure Storage الخاص بك.

لديك خيار تنزيل أحد قوالب قائمة المراقبة من Microsoft Sentinel لملئه ببياناتك. ثم قم بتحميل هذا الملف عند إنشاء قائمة المراقبة في Microsoft Sentinel.

لإنشاء قائمة مراقبة من ملف كبير يصل حجمه إلى 500 ميغابايت، قم بتحميل الملف إلى حساب Azure Storage الخاص بك. ثم قم بإنشاء عنوان URL لتوقيع وصول مشترك ل Microsoft Sentinel لاسترداد بيانات قائمة المراقبة. عنوان URL لتوقيع الوصول المشترك هو عنوان URI يحتوي على كل من عنوان URI المورد والرمز المميز لتوقيع الوصول المشترك لمورد مثل ملف csv في حساب التخزين الخاص بك. وأخيرا، أضف قائمة المراقبة إلى مساحة العمل الخاصة بك في Microsoft Sentinel.

لمزيد من المعلومات، راجع المقالات التالية:

• إنشاء قوائم مراقبة في Microsoft Sentinel
• مخططات قائمة المراقبة المدمجة
• Azure Storage SAS token

قوائم المراقبة في طلبات البحث عن عمليات البحث وقواعد الكشف

يمكنك الاستعلام عن البيانات في أي جدول مقابل البيانات من قائمة مراقبة من خلال التعامل مع قائمة المراقبة كجدول للصلات وعمليات البحث. عند إنشاء قائمة مراقبة، يمكنك تعريف مفتاح البحث. مفتاح البحث هو اسم عمود في قائمة المراقبة تتوقع استخدامه كصلة مع بيانات أخرى أو ككائن متكرر لعمليات البحث. على سبيل المثال، افترض أن لديك قائمة مراقبة خادم تحتوي على أسماء البلدان ورموز البلدان المكونة من حرفين. تتوقع استخدام رموز البلدان في كثير من الأحيان للبحث أو الانضمام. لذلك يمكنك استخدام عمود رمز البلد كمفتاح بحث.

ينضم الاستعلام المثال التالي إلى RemoteIPCountry العمود الموجود في Heartbeat الجدول مع مفتاح البحث المحدد لقائمة المراقبة المسماة mywatchlist.

   Heartbeat
  | lookup kind=leftouter _GetWatchlist('mywatchlist') 
   on $left.RemoteIPCountry == $right.SearchKey

دعونا نلقي نظرة على بعض استعلامات الأمثلة الأخرى.

لنفترض أنك تريد استخدام قائمة مراقبة في قاعدة تحليلات. يمكنك إنشاء قائمة مراقبة تسمى "ipwatchlist" تتضمن أعمدة ل "IPAddress" و "الموقع". يمكنك تعريف "IPAddress" كمفتاح البحث.

IPAddress,الموقع
10.0.100.11,الصفحة الرئيسية
172.16.107.23,العمل
10.0.150.39,الصفحة الرئيسية
172.20.32.117,العمل

لتضمين الأحداث من عناوين IP فقط في قائمة المراقبة، يمكنك استخدام استعلام حيث يتم استخدام قائمة المراقبة كمتغير أو حيث يتم استخدام قائمة المراقبة مضمنة.

يستخدم الاستعلام المثال التالي قائمة المراقبة كمتغير:

  //Watchlist as a variable
  let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
  Heartbeat
  | where ComputerIP in (watchlist)

يستخدم طلب البحث المثال التالي قائمة المراقبة المضمنة مع طلب البحث ومفتاح البحث المحدد لقائمة المراقبة.

  //Watchlist inline with the query
  //Use SearchKey for the best performance
  Heartbeat
  | where ComputerIP in ( 
      (_GetWatchlist('ipwatchlist')
      | project SearchKey)
  )

لمزيد من المعلومات، راجع إنشاء الاستعلامات وقواعد الكشف باستخدام قوائم المراقبة في Microsoft Sentinel.

الخطوات التالية

لمعرفة المزيد حول Microsoft Sentinel، راجع المقالات التالية:

• إنشاء قوائم مراقبة
• إنشاء طلبات البحث وقواعد الكشف باستخدام قوائم المراقبة
• إدارة قوائم المراقبة
• تعرف على كيفية الحصول على رؤية واضحة لبياناتك والتهديدات المحتملة.
• ابدأ في اكتشاف التهديدات باستخدام Microsoft Sentinel.
• استخدم المصنفات لمراقبة بياناتك.