السابق

التالي

التمرين - تصور البيانات باستخدام مصنفات Microsoft Sentinel

مكتمل

كمهندس أمان يعمل لدى Contoso، تلاحظ أنشطة مريبة في اشتراك Azure وتقرر تحليل هذا النشاط باستخدام مصنفات Microsoft Sentinel.

التمرين: الاستعلام عن البيانات وتصورها باستخدام مصنفات Microsoft Sentinel

تريد تحليل السجلات في Microsoft Sentinel من موصل Azure Activity. تريد تنفيذ مرئيات هذه البيانات وحفظها في مصنف مخصص.

في هذا التمرين، استكشف السجلات ومصنفات Microsoft Sentinel. يمكنك تنفيذ المهام التالية:

• تفاعل مع بيانات السجلات في صفحة Microsoft Azure Sentinelسجلات.
• إنشاء مصنف مخصص وتحريره لعرض البيانات الهامة بشكل بياني.

إشعار

يجب أن تكون قد أكملت الاستعلام وتصور البيانات باستخدام وحدة مصنفات Microsoft Sentinel قبل أن تتمكن من إكمال هذا التمرين. إذا لم تكن قد فعلت ذلك، فأكمل الآن، ثم تابع خطوات التمرين.

المهمة 1: العمل مع السجلات في Microsoft Azure Sentinel

1. في مدخل Azure، ابحث عن Microsoft Sentinel وحدده، ثم حدد مساحة العمل Microsoft Sentinel التي تم إنشاؤها مسبقاً.

2. في صفحة Microsoft Sentinel ، في القسم General ، حدد Logs.

   إشعار

   عند فتح صفحة Logs للمرة الأولى، قد تتم إعادة توجيهك إلى نافذة Queries . إغلاق النافذة Queries والعودة إلى القسم New Query 1.

3. على Microsoft Sentinel | صفحة Logs ، في جزء Tables ، من القائمة المنسدلة Group by: Solution ، حدد Category.

4. في جزء الجداول، من قائمة الجداول، قم بتوسيع فئة موارد Azure، وحرك المؤشر فوق جدول نشاط Azure أو استخدم المفتاح Tab للانتقال إلى الجدول، ثم حدد معاينة البيانات.

5. في النافذة AzureActivity، حدد See in query editor. يمكنك هذا الخيار من معاينة البيانات والتحقق مما إذا كانت النتائج كما تتوقع قبل تشغيل استعلام معها بالفعل.

   

   في قسم Query، يمكنك مراقبة بنية الاستعلام. يبحث هذا الاستعلام ويعرض آخر 10 أحداث من سجل Azure Activity. يحدد الصف الأول في الاستعلام AzureActivity الجدول المستخدم في الاستعلام. يحتوي السطر الثاني على عبارة where تقوم بتصفية السجلات من اليوم الأخير. يحتوي السطر الثالث على عبارة أخرى لتصفية آخر 10 أحداث فقط.

   يعرض قسم نتائج الاستعلام نتائج الاستعلام. يمكنك توسيع أي من السجلات لمراجعة القيم في الجدول. حدد اسم أي عمود لفرز النتائج حسب ذلك العمود.

6. حدد رمز عامل التصفية المجاور له لتوفير شرط عامل التصفية. يشبه هذا الأسلوب إضافة شرط عامل تصفية إلى الاستعلام نفسه باستثناء مسح عامل التصفية هذا إذا قمت بتشغيل الاستعلام مرة أخرى. إذا قمت بتحديد القائمة المنسدلة أعمدة ، يمكنك تصفية الأعمدة من الجدول الذي تريد عرضه. بتحديد Group columns، يمكنك تجميع السجلات حسب عمود معين.

   

7. حدد علامة التبويب Queries في الجزء الأيمن. يتضمن هذا الجزء أمثلة على الاستعلامات التي يمكنك إضافتها إلى نافذة الاستعلام. إذا كنت تستخدم مساحة العمل الخاصة بك، يجب أن يكون لديك مجموعة متنوعة من الاستعلامات في فئات متعددة. إذا كنت تستخدم بيئة العرض التوضيحي، فقد ترى فئة مساحات عمل Log Analytics واحدة فقط.

   إشعار

   ويمكنك محاولة ممارسة كتابة الاستعلامات في بيئة العرض التوضيحي التالية .

المهمة 2: العمل مع مصنفات في Microsoft Sentinel

1. في صفحة Microsoft Sentinel ، في قسم Threat Management ، حدد Workbooks.

2. في صفحة مصنفاتMicrosoft Azure Sentinel حدد قوالب التبويب.

3. في حقل Search، أدخل وحدد Azure Activity.

4. في جزء التفاصيل، راجع المعلومات المتوفرة للقالب، ثم حدد Save. في نافذة حفظ المصنف في...،حدد نفس الموقع الذي حددته في تمرين الإعداد، ثم حدد OK.

5. على Microsoft Sentinel | صفحة المصنفات ، حدد علامة التبويب المصنفات الخاصة بي. من قائمة القوالب المحفوظة، حدد Azure Activity. ثم في جزء التفاصيل، حدد عرض المصنف المحفوظ.

6. في صفحة Azure Activity-sentinelname، راجع جميع عناصر المصنف. يمكنك التفاعل مع المصنف عن طريق تحديد بعض العناصر.

7. حدد حقل النطاق الزمني لتحديد نطاق زمني مختلف للسجلات المعروضة في جدول نشاط Azure. حدد القائمة المنسدلة المتصل لتصفية السجلات استنادا إلى المستخدم أو الخدمة التي تنشئ الأحداث. حدد القائمة المنسدلة Resource Group لتصفية الأحداث استنادا إلى مجموعة موارد معينة.

   

8. قم بالتمرير لأسفل إلى جدول Caller activities الذي يعرض الأنشطة التي يديرها المستخدمون أو أساسيات الأمان. فرز بيانات الجدول في كل عمود عن طريق تحديد الأسهم في رأس العمود.

9. مرِّر لأعلى إلى شريط العنوان في صفحة Azure Activity-sentinelname. حدد الخيار Edit لتبديل المصنف إلى وضع التحرير. لاحظ خيارات Edit المختلفة التي تعرض على الصفحة.

10. حدد خيار Edit الأول. يعرض هذا الإجراء جزء التحرير لإحدى الخطوات في المصنف. يمكنك تخصيص العرض التقديمي للعناصر عن طريق ضبط النمط وإعادة ترتيبها بترتيب مختلف.

11. يمكنك إضافة معلمات أخرى مع أنواع مختلفة مثل النص أو القائمة المنسدلة أو القيم المتعددة أو ما شابه ذلك.

12. حدد Add parameters.

13. في صفحة New Parameter، أدخل القيم التالية:

    الاسم	‏‏الوصف
    اسم المعلمة	المستوى
    ‏‫اسم العرض‬	المستوى
    نوع المعلمة	من القائمة المنسدلة، حدد القائمة المنسدلة.
    Required?	حدد خانة الاختيار هذه.
    السماح بالتحديدات المتعددة	حدد خانة الاختيار هذه.
    تقييد التحديدات المتعددة	لا تحدد خانة الاختيار هذه.
    المحدِد	الاحتفاظ بالقيم الافتراضية.
    اقتباس مع	الاحتفاظ بالقيم الافتراضية.
    الشرح	تقوم هذه المعلمة بتصفية الأحداث استنادا إلى المستوى .
    إخفاء المعلمة في وضع القراءة	لا تحدد خانة الاختيار هذه.
    إحضار بيانات من	الاستعلام

14. في القسم استعلام سجلات مساحة عمل Log Analytics، أدخل الاستعلام التالي، ثم حدد Run Query.

    AzureActivity
    |summarize by Level
    

15. تأكد من أن نتيجة الاستعلام ترجع نوعين من الأحداث استنادًا إلى المستوى: معلوماتي وتحذيري.

    

16. حدد Save لتثبيت التغييرات، ولاحظ أن خطوة المعلمة تتضمن الآن معلمة تسمى Level.

    تلميح

    في وضع التحرير، يمكنك تحديد أيقونة علامة الحذف بجوار خيار تحرير لعرض قائمة منسدلة جديدة. من تلك القائمة، يمكنك نقل هذه الخطوة إلى أجزاء مختلفة من المصنف. ويمكنك أيضًا استنساخ الخطوة أو إزالتها من المصنف.

17. في شريط الرأس، حدد الرمز Save as لحفظ المصنف المخصص.

18. في الحقل Title قم بتوفير اسم للمصنف الجديد، ثم حدد Save.

19. عند الانتهاء من إجراء التغييرات، حدد تم التحرير.

    تلميح

    يمكن الوصول إلى المصنف الجديد من Microsoft Sentinel | جزء المصنفات في علامة التبويب المصنفات الخاصة بي. إذا لم يكن المصنف الجديد مدرجا، فحدد الخيار تحديث .

تفريغ مجموعة الموارد

1. في مدخل Azure، ابحث عن "Resource groups".
2. حدد "azure-sentinel-rg".
3. في شريط العنوان، حدد Delete resource group.
4. في الحقل TYPE THE RESOURCE GROUP NAME:، اكتب اسم مجموعة الموارد azure-sentinel-rg وحدد Delete.

متابعة