إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
باستخدام مستودع بيانات Microsoft Sentinel، يمكنك تخزين وتحليل سجلات عالية الحجم ومنخفضة الدقة مثل جدار الحماية أو بيانات DNS وجرد الأصول والسجلات التاريخية لمدة تصل إلى 12 عاما. نظرا إلى فصل التخزين والحساب، يمكنك الاستعلام عن نفس نسخة البيانات باستخدام أدوات متعددة، دون نقلها أو تكرارها.
يمكنك استكشاف البيانات في مستودع البيانات باستخدام Kusto Query Language (KQL) وJupyter Notebooks، لدعم مجموعة واسعة من السيناريوهات، من تتبع التهديدات والتحقيقات إلى الإثراء والتعلم الآلي.
تقدم هذه المقالة المفاهيم والسيناريوهات الأساسية لاستكشاف مستودع البيانات، وتسلط الضوء على حالات الاستخدام الشائعة، وتوضح كيفية التفاعل مع بياناتك باستخدام أدوات مألوفة.
استعلامات KQL التفاعلية
استخدم لغة استعلام Kusto (KQL) لتشغيل الاستعلامات التفاعلية مباشرة على بحيرة البيانات عبر مساحات عمل متعددة.
باستخدام KQL، يمكن للمحللون:
- التحقيق والاستجابة باستخدام البيانات التاريخية: استخدم البيانات طويلة الأجل في مستودع البيانات لجمع الأدلة الجنائية، والتحقيق في الحادث، والكشف عن الأنماط، والاستجابة للحوادث.
- إثراء التحقيقات بسجلات كبيرة الحجم: الاستفادة من البيانات صاخبة أو منخفضة الدقة المخزنة في مستودع البيانات لإضافة السياق والعمق إلى التحقيقات الأمنية.
- ربط بيانات الأصول والسجلات في مستودع البيانات: الاستعلام عن جرد الأصول وسجلات الهوية لربط نشاط المستخدم بالموارد والكشف عن هجوم أوسع.
استخدم استعلامات KQL ضمناستكشاف بحيرة بيانات> في مدخل Defender لتشغيل استعلامات KQL التفاعلية المؤقتة مباشرة على البيانات طويلة الأجل. يتوفر استكشاف مستودع البيانات بعد اكتمال عملية الإلحاق. تعد استعلامات KQL مثالية لمحللي SOC الذين يحققون في الحوادث التي قد لا تكون فيها البيانات موجودة في طبقة التحليلات. تمكن الاستعلامات التحليل الجنائي باستخدام استعلامات مألوفة دون إعادة كتابة التعليمات البرمجية. لبدء استخدام استعلامات KQL، راجع استكشاف بحيرة البيانات - استعلامات KQL.
وظائف KQL
وظائف KQL هي استعلامات KQL غير متزامنة لمرة واحدة أو مجدولة على البيانات الموجودة في مستودع بيانات Microsoft Sentinel. الوظائف مفيدة للسيناريوهات الاستقصائية والتحليلية على سبيل المثال.
- الاستعلامات لمرة واحدة طويلة الأمد للتحقيقات في الحوادث والاستجابة للحوادث (IR)
- مهام تجميع البيانات التي تدعم مهام سير عمل الإثراء باستخدام سجلات منخفضة الدقة
- عمليات فحص مطابقة التحليل الذكي للتهديدات التاريخية (TI) للتحليل بأثر رجعي
- عمليات فحص الكشف عن الحالات الشاذة التي تحدد أنماطا غير عادية عبر جداول متعددة
- ترقية البيانات من مستودع البيانات إلى مستوى التحليلات لتمكين التحقيق في الحوادث أو ارتباط السجل.
قم بتشغيل مهام KQL لمرة واحدة على مستودع البيانات لترقية بيانات تاريخية محددة من طبقة مستودع البيانات إلى طبقة التحليلات، أو إنشاء جداول ملخص مخصصة في طبقة مستودع البيانات. يعد الترويج للبيانات مفيدا لتحليل السبب الجذري أو اكتشاف يوم الصفر عند التحقيق في الحوادث التي تمتد إلى ما وراء نافذة طبقة التحليلات. إرسال مهمة مجدولة على مستودع البيانات لأتمتة الاستعلامات المتكررة للكشف عن الحالات الشاذة أو إنشاء خطوط أساسية باستخدام البيانات التاريخية. يمكن لصيادي التهديدات استخدام هذا لمراقبة الأنماط غير العادية بمرور الوقت وتغذية النتائج في الاكتشافات أو لوحات المعلومات. لمزيد من المعلومات، راجع إنشاء وظائف في مستودع بيانات Microsoft Sentinelوإدارة المهام في مستودع بيانات Microsoft Sentinel.
سيناريوهات الاستكشاف
توضح السيناريوهات التالية كيفية استخدام استعلامات KQL في مستودع بيانات Microsoft Sentinel لتحسين عمليات الأمان:
| Scenario | Details | Example |
|---|---|---|
| التحقيق في الحوادث الأمنية باستخدام بيانات تاريخية طويلة الأجل | غالبا ما تحتاج فرق الأمان إلى تجاوز نافذة الاستبقاء الافتراضية للكشف عن النطاق الكامل للحادث. | يستخدم محلل SOC من المستوى 3 الذي يحقق في هجوم القوة الغاشمة استعلامات KQL مقابل مستودع البيانات للاستعلام عن البيانات الأقدم من 90 يوما. بعد تحديد النشاط المشبوه منذ أكثر من عام، يعزز المحلل النتائج إلى مستوى التحليلات لتحليل أعمق وارتباط الحادث. |
| الكشف عن الحالات الشاذة وإنشاء خطوط أساس سلوكية بمرور الوقت | يعتمد مهندسو الكشف على البيانات التاريخية لإنشاء خطوط الأساس وتحديد الأنماط التي قد تشير إلى السلوك الضار. | يحلل مهندس الكشف سجلات تسجيل الدخول على مدى عدة أشهر للكشف عن الارتفاعات الحادة في النشاط. من خلال جدولة مهمة KQL في مستودع البيانات، فإنها تنشئ أساس سلسلة زمنية وتكشف عن نمط متسق مع إساءة استخدام بيانات الاعتماد. |
| إثراء التحقيقات باستخدام سجلات عالية الحجم وذات دقة منخفضة | بعض السجلات صاخبة جدا أو ضخمة بالنسبة إلى مستوى التحليلات ولكنها لا تزال قيمة للتحليل السياقي. | يستخدم محللو SOC KQL للاستعلام عن سجلات الشبكة وجدار الحماية المخزنة فقط في مستودع البيانات. تساعد هذه السجلات، على الرغم من عدم وجودها في مستوى التحليلات، في التحقق من صحة التنبيهات وتقديم أدلة داعمة أثناء التحقيقات. |
| الاستجابة للتهديدات الناشئة من خلال ترتيب البيانات المرن | عندما يظهر تحليل ذكي جديد للمخاطر، يحتاج المحللون إلى الوصول بسرعة إلى البيانات التاريخية والعمل عليها. | يتفاعل محلل التحليل الذكي للمخاطر مع تقرير تحليلات التهديدات المنشور حديثا عن طريق تشغيل استعلامات KQL المقترحة في مستودع البيانات. عند اكتشاف النشاط ذي الصلة منذ عدة أشهر، يتم ترقية السجل المطلوب إلى مستوى التحليلات. لتمكين الكشف في الوقت الحقيقي عن عمليات الكشف المستقبلية، يمكن تعديل نهج الترتيب على الجداول ذات الصلة لعكس أحدث السجلات في طبقة التحليلات. |
| استكشاف بيانات الأصول من مصادر تتجاوز سجلات الأمان التقليدية | إثراء التحقيق باستخدام مخزون الأصول مثل كائنات معرف Microsoft Entra وموارد Azure. | يمكن للمحللين استخدام KQL للاستعلام عن معلومات الهوية وأصول الموارد، مثل مستخدمي معرف Microsoft Entra أو التطبيقات أو المجموعات أو جرد موارد Azure، لربط السجلات للسياق الأوسع الذي يكمل بيانات الأمان الحالية. |