البحث بشكل استباقي عن التهديدات مع التتبع المتقدم في Microsoft 365 Defender
ملاحظة
هل تريد تجربة Microsoft 365 Defender؟ تعرف على المزيد حول كيفية تقييم Microsoft 365 Defender وتجربتها.
ينطبق على:
- Microsoft 365 Defender
التتبع المتقدم هو أداة تتبع المخاطر المستندة إلى الاستعلام التي تتيح لك استكشاف ما يصل إلى 30 يوما من البيانات الأولية. يمكنك فحص الأحداث في شبكتك بشكل استباقي لتحديد مؤشرات التهديد والكيانات. يتيح الوصول المرن إلى البيانات التتبع غير المقيد لكل من التهديدات المعروفة والمحتملة.
يمكنك استخدام نفس استعلامات تتبع التهديدات لإنشاء قواعد الكشف المخصصة. يتم تشغيل هذه القواعد تلقائيا للتحقق من نشاط الخرق المشتبه به والأجهزة المكونة بشكل خاطئ والنتائج الأخرى ثم الاستجابة لها.
تشبه هذه الإمكانية التتبع المتقدم في Microsoft Defender لنقطة النهاية وتدعم الاستعلامات التي تتحقق من مجموعة بيانات أوسع من:
- Microsoft Defender for Endpoint
- Microsoft Defender لـ Office 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
لاستخدام التتبع المتقدم، قم بتشغيل Microsoft 365 Defender.
لمزيد من المعلومات حول التتبع المتقدم في بيانات Microsoft Defender for Cloud Apps، راجع الفيديو.
بدء استخدام التتبع المتقدم
نوصي بالانتقال إلى عدة خطوات للبدء بسرعة في التتبع المتقدم.
| الهدف Learning | الوصف | الموارد |
|---|---|---|
| تعلم اللغة | يعتمد التتبع المتقدم على لغة استعلام Kusto، التي تدعم نفس بناء الجملة وعوامل التشغيل. ابدأ في تعلم لغة الاستعلام عن طريق تشغيل الاستعلام الأول. | نظرة عامة على لغة الاستعلام |
| تعرف على كيفية استخدام نتائج الاستعلام | تعرف على المخططات والطرق المختلفة التي يمكنك من خلالها عرض النتائج أو تصديرها. استكشف كيف يمكنك تعديل الاستعلامات بسرعة، والتنقل لأسفل للحصول على معلومات أكثر ثراء، واتخاذ إجراءات الاستجابة. | - العمل مع نتائج الاستعلام - اتخاذ إجراء بشأن نتائج الاستعلام |
| فهم المخطط | احصل على فهم جيد وعالي المستوى للجداول في المخطط وأعمدةها. تعرف على مكان البحث عن البيانات عند إنشاء الاستعلامات. | - مرجع المخطط - الانتقال من Microsoft Defender لنقطة النهاية |
| الحصول على تلميحات وأمثلة الخبراء | التدريب مجانا باستخدام أدلة من خبراء Microsoft. استكشاف مجموعات من الاستعلامات المعرفة مسبقا التي تغطي سيناريوهات تتبع التهديدات المختلفة. | - الحصول على تدريب الخبراء - استخدام الاستعلامات المشتركة - الانتقال إلى التتبع - البحث عن التهديدات عبر الأجهزة ورسائل البريد الإلكتروني والتطبيقات والهويات |
| تحسين الاستعلامات ومعالجة الأخطاء | فهم كيفية إنشاء استعلامات فعالة وخالية من الأخطاء. | - أفضل ممارسات الاستعلام - معالجة الأخطاء |
| إنشاء قواعد الكشف المخصصة | فهم كيفية استخدام استعلامات التتبع المتقدمة لتشغيل التنبيهات واتخاذ إجراءات الاستجابة تلقائيا. | - نظرة عامة على عمليات الكشف المخصصة - قواعد الكشف المخصصة |
الحصول على حق الوصول
لاستخدام قدرات التتبع المتقدمة أو قدرات Microsoft 365 Defender الأخرى، تحتاج إلى دور مناسب في Azure Active Directory. اقرأ عن الأدوار والأذونات المطلوبة للتتبع المتقدم.
كما يتم تحديد الوصول إلى بيانات نقطة النهاية بواسطة إعدادات التحكم في الوصول استنادا إلى الدور (RBAC) في Microsoft Defender لنقطة النهاية. اقرأ حول إدارة الوصول إلى Microsoft 365 Defender.
حداثة البيانات وتكرار التحديث
يمكن تصنيف بيانات التتبع المتقدمة إلى نوعين متميزين، يتم دمج كل منهما بشكل مختلف.
- بيانات الحدث أو النشاط — تعبئة جداول حول التنبيهات وأحداث الأمان وأحداث النظام والتقييمات الروتينية. يتلقى التتبع المتقدم هذه البيانات مباشرة تقريبا بعد أن تنقلها أجهزة الاستشعار التي تجمعها بنجاح إلى الخدمات السحابية المقابلة. على سبيل المثال، يمكنك الاستعلام عن بيانات الحدث من أجهزة استشعار صحية على محطات العمل أو وحدات التحكم بالمجال مباشرة تقريبا بعد توفرها على Microsoft Defender لنقطة النهاية Microsoft Defender for Identity.
- بيانات الكيان — تملأ الجداول بمعلومات حول المستخدمين والأجهزة. تأتي هذه البيانات من مصادر بيانات ثابتة نسبيا ومصادر ديناميكية، مثل إدخالات Active Directory وسجلات الأحداث. لتوفير بيانات جديدة، يتم تحديث الجداول بأي معلومات جديدة كل 15 دقيقة، وإضافة صفوف قد لا يتم ملؤها بالكامل. كل 24 ساعة، يتم دمج البيانات لإدراج سجل يحتوي على أحدث مجموعة بيانات أكثر شمولا حول كل كيان.
المنطقة الزمنية
معلومات الوقت في التتبع المتقدم في المنطقة الزمنية UTC.
المواضيع ذات الصلة
الملاحظات
إرسال الملاحظات وعرضها المتعلقة بـ