arrow_backالعودة إلى ملاحظات المجال
BLUE TEAM منشور 10 Jul 2026

تعلم Microsoft Sentinel: دليل عملي للمبتدئين

مقدمة عملية إلى Microsoft Sentinel تغطي الإعداد وموصلات البيانات وقواعد التحليلات وسير عملك الأول للتحقيق.

Microsoft Sentinel هي منصة SIEM و SOAR أصلية في السحابة مبنية على Azure، وأصبحت بسرعة أداة أساسية في مراكز العمليات الأمنية الحديثة. إذا كنت جديداً عليها، فإن العدد الهائل من الأجزاء المتحركة—المساحات العملية، الموصلات، قواعد التحليلات، المصنفات، أدوات التشغيل الآلي—قد يبدو ساحقاً. يقسم هذا الدليل الأمور إلى مسار عملي يمكنك اتباعه للتأقلم بسرعة.

ما الذي يفعله Sentinel في الواقع

في جوهرها، تتعامل Sentinel مع بيانات السجلات من جميع أنحاء بيئتك (موارد Azure، الخوادم المحلية، جدران الحماية، أدوات نقطة النهاية، موفري الهوية) إلى مساحة عمل Log Analytics، ثم تتيح لك الاستعلام عن تلك البيانات باستخدام Kusto Query Language (KQL)، وبناء قواعد الكشف، وتصور الاتجاهات، وأتمتة الاستجابات. فكر فيها كأربع طبقات مكدسة معاً: جمع البيانات، والكشف، والتحقيق، والاستجابة.

إعداد مساحة العمل الأولى لديك

ستحتاج إلى اشتراك Azure لمتابعة هذا. ابدأ بإنشاء مساحة عمل Log Analytics، ثم فعّل Sentinel فوقها من بوابة Azure. بعض النصائح للمبتدئين:

  • استخدم مجموعة موارد مخصصة لمختبرك لتسهيل التنظيف لاحقاً.
  • اختر منطقة قريبة من موارد الاختبار الأخرى لديك لتقليل زمن التأخير وتكاليف النقل الخارجي.
  • يعتمد الفواتير في Sentinel على حجم البيانات المدخولة، لذلك إذا كنت تجرب الأشياء، راقب عن كثب مصادر البيانات المتصلة—أرصدة النسخة التجريبية المجانية تختفي بسرعة إذا قمت بتوصيل مصادر سجل صاخبة.

عند وجود مساحة العمل، تصبح صفحة نظرة عام Sentinel قاعدتك الأساسية، وتعرض الحوادث وصحة موصل البيانات والنشاط الأخير.

توصيل مصادر البيانات

موصلات البيانات هي كيفية تعامل Sentinel مع بيانات السجلات. بالنسبة لمختبر المبتدئين، ابدأ بشكل صغير:

  1. سجل نشاط Azure — مجاني ومدمج، يعرض أحداث مستوى الإدارة عبر اشتراكك.
  2. سجلات Microsoft Entra ID (Azure AD) — سجلات تسجيل الدخول والتدقيق ممتازة للممارسة مع منطق الكشف حول شذوذ المصادقة.
  3. أحداث الأمان في Windows عبر AMA (عميل مراقبة Azure) — إذا قمت بتشغيل VM اختبار، فهذا يتيح لك الممارسة مع بيانات التلقائية بنمط نقطة النهاية.

تجنب توصيل تغذيات جدران حماية أو وكيل طرف ثالث كبيرة حتى تفهم تكاليف البيانات المدخولة—يمكن لهذه أن تنتج أحجام سجل ضخمة.

تعلم أساسيات KQL

Kusto Query Language أمر لا غنى عنه لعمل Sentinel. ابدأ بهذه الأنماط:

SigninLogs
| where ResultType != 0
| summarize FailedAttempts = count() by UserPrincipalName, bin(TimeGenerated, 1h)
| where FailedAttempts > 5

هذا الاستعلام البسيط يسلط الضوء على الحسابات ذات محاولات تسجيل دخول فاشلة متكررة في الساعة—مؤشر كلاسيكي لهجمات القوة الغاشمة. تدرب على where و summarize و join و bin حتى تصبح طبيعية بالنسبة لك. وحدات KQL في Microsoft Learn وعينات الاستعلامات في Sentinel ضمن Analytics هي مراجع مجانية جيدة.

بناء قاعدة التحليلات الأولى لديك

تحول قواعد التحليلات استعلامات KQL إلى كشف آلي ينتج حوادث. لإنشاء واحدة:

  • انتقل إلى Analytics > Create > Scheduled query rule.
  • ألصق استعلاماً مشابهاً لمثال القوة الغاشمة أعلاه.
  • عيّن تكرار الاستعلام وفترة البحث للخلف (على سبيل المثال، قم بالتشغيل كل ساعة، انظر للخلف ساعة واحدة).
  • خريطة الكيانات (مثل UserPrincipalName) حتى تتمكن Sentinel من ربط هذه الحادثة بحوادث أخرى تتعلق بنفس الحساب.
  • اختر إعدادات تجميع التنبيه لتجنب إرهاق الحوادث.

تشحن Microsoft أيضاً العديد من قوالب قواعد التحليلات المدمجة—تصفح هذه أولاً لفهم أنماط الكشف الشائعة قبل كتابة الخاصة بك من الصفر.

التحقيق في الحوادث

عندما تطلق قاعدة، فإنها تنشئ حادثة في شفرة Incidents. انقر فيها واستخدم رسم بياني التحقيق لرؤية الكيانات ذات الصلة—المستخدمون وعناوين IP والمضيفون—وكيف يرتبطون عبر التنبيهات الأخرى. هذا عرض الرسم البياني هو أحد أقوى ميزات Sentinel الموجهة للمبتدئين لأنه يرسم خريطة بصرية للـ

تمت كتابة هذا المقال بمساعدة الذكاء الاصطناعي ونشره في قاعدة معارف Korra Studio.

هل أنت مستعد للمضي قدماً؟

هذه ملاحظة واحدة من قاعدة معارف Korra Studio — المنصة تجمع كل موضوع مع التوجيه الفردي.

ابدأ بالمجانarrow_forward