استيعاب البيانات المخصصة وتحويلها في Microsoft Sentinel

تعمل سجلات Azure Monitor كمنصة بيانات ل Microsoft Sentinel. يتم تخزين جميع السجلات التي تم إدخالها في Microsoft Sentinel في مساحة عمل Log Analytics، ويتم استخدام استعلامات السجل المكتوبة بلغة Kusto Query Language (KQL) للكشف عن التهديدات ومراقبة نشاط الشبكة.

يمنحك Log Analytics مستوى عاليا من التحكم في البيانات التي يتم استيعابها في مساحة العمل الخاصة بك مع استيعاب البيانات المخصصة وقواعد جمع البيانات (DCRs). تسمح لك DCRs بجمع بياناتك ومعالجتها قبل تخزينها في مساحة العمل الخاصة بك. يقوم DCRs بتنسيق البيانات وإرسالها إلى كل من جداول Log Analytics القياسية والجداول القابلة للتخصيص لمصادر البيانات التي تنتج تنسيقات سجل فريدة.

أدوات Azure Monitor لاستيعاب البيانات المخصصة في Microsoft Sentinel

يستخدم Microsoft Sentinel أدوات Azure Monitor التالية للتحكم في استيعاب البيانات المخصصة:

• يتم تعريف التحويلات في DCRs وتطبيق استعلامات KQL على البيانات الواردة قبل تخزينها في مساحة العمل الخاصة بك. يمكن لهذه التحويلات تصفية البيانات غير ذات الصلة، أو إثراء البيانات الموجودة بالتحليلات أو البيانات الخارجية، أو إخفاء المعلومات الحساسة أو الشخصية.

• تسمح لك واجهة برمجة تطبيقات استيعاب السجلات بإرسال سجلات بتنسيق مخصص من أي مصدر بيانات إلى مساحة عمل Log Analytics، وتخزين هذه السجلات إما في جداول قياسية معينة، أو في جداول منسقة مخصصة تقوم بإنشائها. لديك تحكم كامل في إنشاء هذه الجداول المخصصة، وصولاً إلى تحديد أسماء الأعمدة وأنواعها. تستخدم واجهة برمجة التطبيقات DCRs لتعريف التحويلات وتكوينها وتطبيقها على تدفقات البيانات هذه.

ملاحظة

لا تخضع مساحات عمل Log Analytics الممكنة ل Microsoft Sentinel لتكلفة استيعاب تصفية Azure Monitor، بغض النظر عن مقدار البيانات التي تقوم عوامل تصفية التحويل بها. ومع ذلك، فإن التحويلات في Microsoft Sentinel لها نفس القيود مثل Azure Monitor. لمزيد من المعلومات، راجع القيود والاعتبارات.

دعم DCR في Microsoft Sentinel

يتم تعريف تحويلات وقت الاستيعاب في قواعد جمع البيانات (DCRs)، والتي تتحكم في تدفق البيانات في Azure Monitor. يتم استخدام DCRs بواسطة موصلات Sentinel المستندة إلى AMA ومهام سير العمل باستخدام واجهة برمجة تطبيقات استيعاب السجلات. يحتوي كل DCR على التكوين لسيناريو مجموعة بيانات معين، ويمكن لموصلات أو مصادر متعددة مشاركة DCR واحد.

يدعم DCRs لتحويل مساحة العمل مهام سير العمل التي لا تستخدم DCRs بخلاف ذلك. تحتوي DCRs لتحويل مساحة العمل على تحويلات لأي جداول مدعومة ويتم تطبيقها على كافة نسبة استخدام الشبكة المرسلة إلى هذا الجدول.

لمزيد من المعلومات، راجع:

• تحويلات جمع البيانات في Azure Monitor
• واجهة برمجة تطبيقات استيعاب السجلات في سجلات Azure Monitor
• قواعد جمع البيانات في Azure Monitor

حالات الاستخدام وسيناريوهات العينة

توفر المقالة نماذج التحويلات في Azure Monitor وصفا واستعلامات نموذجية للسيناريوهات الشائعة باستخدام تحويلات وقت الاستيعاب في Azure Monitor. تتضمن السيناريوهات المفيدة بشكل خاص ل Microsoft Sentinel ما يلي:

• تقليل تكاليف البيانات. تصفية جمع البيانات حسب الصفوف أو الأعمدة لتقليل تكاليف الاستيعاب والتخزين.

• تطبيع البيانات. تطبيع السجلات باستخدام نموذج معلومات الأمان المتقدم (ASIM) لتحسين أداء الاستعلامات التي تمت تسويتها. لمزيد من المعلومات، راجع التطبيع في الوقت المناسب.

• إثراء البيانات. تتيح لك تحويلات وقت الاستيعاب تحسين التحليلات من خلال إثراء بياناتك بأعمدة إضافية تمت إضافتها إلى تحويل KQL المكون. قد تتضمن الأعمدة الإضافية بيانات موزعة أو محسوبة من أعمدة موجودة.

• إزالة البيانات الحساسة. يمكن استخدام تحويلات وقت الاستيعاب لإخفاء أو إزالة المعلومات الشخصية مثل إخفاء جميع الأرقام ما عدا الأرقام الأخيرة من رقم الضمان الاجتماعي أو رقم بطاقة الائتمان.

تدفق استيعاب البيانات في Microsoft Sentinel

توضح الصورة التالية المكان الذي يدخل فيه تحويل بيانات وقت الاستيعاب في تدفق استيعاب البيانات في Microsoft Sentinel. يمكن اعتماد هذه البيانات جداول قياسية أو في مجموعة معينة من الجداول المخصصة.

تعرض هذه الصورة البنية الأساسية لبرنامج ربط العمليات التجارية السحابية، والتي تمثل مكون جمع البيانات في Azure Monitor. يمكنك معرفة المزيد حول ذلك جنبا إلى جنب مع سيناريوهات جمع البيانات الأخرى في قواعد جمع البيانات (DCRs) في Azure Monitor.

يجمع Microsoft Sentinel البيانات في مساحة عمل Log Analytics من مصادر متعددة.

• تتم معالجة البيانات التي تم جمعها من نقطة نهاية واجهة برمجة تطبيقات استيعاب السجلات أو عامل Azure Monitor (AMA) بواسطة DCR محدد قد يتضمن تحويل وقت الاستيعاب.
• تتم معالجة البيانات من موصلات البيانات المضمنة في Log Analytics باستخدام مجموعة من مهام سير العمل المضمنة وتحويلات وقت الاستيعاب في DCR لمساحة العمل.

يصف الجدول التالي دعم DCR أنواع موصلات بيانات Microsoft Sentinel:

نوع موصل البيانات	دعم DCR
سجلات عامل Azure Monitor (AMA)، مثل: أمن Windows الأحداث عبر AMA أحداث Windows المُعاد توجيهها بيانات CEF بيانات Syslog	وحدة DCRs واحدة أو أكثر مقترنة بالعامل
الاستيعاب المباشر عبر واجهة برمجة تطبيقات استيعاب السجلات	DCR المحدد في استدعاء API
موصل بيانات مضمن يستند إلى واجهة برمجة التطبيقات، مثل: موصلات البيانات المخصصة	تم إنشاء DCR للموصل
الاتصالات المستندة إلى إعدادات التشخيص	تحويل مساحة العمل DCR مع جداول الإخراج المدعومة
موصلات البيانات المضمنة المستندة إلى واجهة برمجة التطبيقات، مثل: موصلات البيانات القديمة بدون تعليمات برمجية موصلات البيانات المستندة إلى Azure Functions	غير مدعوم حاليًا
موصلات البيانات المضمنة من خدمة إلى خدمة، مثل: Microsoft Office 365 معرِّف Microsoft Entra Amazon S3	تحويل مساحة العمل DCR للجداول التي تدعم التحويلات

المحتوى ذو الصلة

لمزيد من المعلومات، راجع:

• تحويل البيانات أو تخصيصها في وقت الاستيعاب في Microsoft Sentinel (معاينة)
• موصلات بيانات Microsoft Azure Sentinel
• البحث عن موصل بيانات Microsoft Azure Sentinel