إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يوفر استكشاف بحيرة البيانات في بوابة Microsoft Defender واجهة موحدة لتحليل بحيرة بياناتك. يتيح لك تشغيل استعلامات KQL (لغة استعلام Kusto) وإنشاء وظائف وإدارتها.
تتيح لك صفحة استعلامات KQL ضمن استكشاف مستودع البيانات تحرير استعلامات KQL وتشغيلها على موارد مستودع البيانات. إنشاء وظائف لترقية البيانات من بحيرة البيانات إلى طبقة التحليلات، أو إنشاء جداول مجمعة في طبقة بحيرة البيانات. قم بتشغيل الوظائف عند الطلب أو جدولتها. تتيح لك صفحة الوظائف إدارة الوظائف. تمكين أو تعطيل أو تحرير أو حذف. لمزيد من المعلومات، راجع إنشاء وظائف في مستودع بيانات Microsoft Sentinel.
Prerequisites
المتطلبات الأساسية التالية مطلوبة لتشغيل استعلامات KQL في مستودع بيانات Microsoft Sentinel.
الإلحاق ببحيرة البيانات
يمكنك تشغيل استعلامات KQL في مدخل Microsoft Defender بعد إكمال عملية الإلحاق. لمزيد من المعلومات حول الإعداد، راجع إلحاق مستودع بيانات Microsoft Sentinel.
Permissions
تتيح لك أدوار معرف Microsoft Entra الوصول إلى جميع مساحات العمل في مستودع البيانات. بدلا من ذلك، يمكنك منح حق الوصول إلى مساحات العمل الفردية باستخدام أدوار Azure RBAC. يمكن للمستخدمين الذين لديهم أذونات Azure RBAC لمساحات عمل Microsoft Sentinel تشغيل استعلامات KQL مقابل مساحات العمل هذه في طبقة مستودع البيانات. لمزيد من المعلومات حول الأدوار والأذونات، راجع أدوار وأذونات مستودع بيانات Microsoft Sentinel.
كتابة استعلامات KQL
كتابة استعلامات مستودع البيانات مشابهة لكتابة الاستعلامات في تجربة التتبع المتقدمة. يمكنك استخدام نفس بناء جملة KQL ووظائفه. تدعم KQL وظائف التحليلات والتعلم الآلي المتقدمة. يوفر محرر الاستعلام واجهة لتشغيل استعلامات KQL مع ميزات مثل IntelliSense والإكمال التلقائي لمساعدتك على الكتابة بكفاءة. للحصول على نظرة عامة مفصلة على بناء جملة KQL والوظائف، راجع نظرة عامة على لغة استعلام Kusto (KQL).
استعلامات KQL في مدخل Defender
اختر استعلام جديد لإنشاء تبويب استعلام جديد. البوابة تحفظ آخر استعلام في كل تبويب. تنتقل بين علامات التبويب للعمل على عدة استفسارات في نفس الوقت.
تبويب سجل الاستعلامات يعرض قائمة بالاستعلامات التي تم تشغيلها سابقا، ووقت معالجة الاستعلام، وحالة الإكمال. يمكنك فتح استعلام سابق في علامة تبويب جديدة عن طريق تحديده من القائمة. البوابة تحفظ سجل الاستعلامات لمدة 30 يوما. حدد استعلاما لتحريره أو تشغيله مرة أخرى.
تحديد مساحات العمل
يمكنك تشغيل الاستعلامات على مساحة عمل واحدة أو عدة مساحات عمل. اختر مساحات العمل في الزاوية اليمنى العليا من محرر الاستعلامات باستخدام قائمة مساحات العمل المختارة . تحدد مساحات العمل التي تحددها الجداول المتاحة للاستعلام. تنطبق مساحات العمل المحددة على جميع علامات تبويب الاستعلام في محرر الاستعلام. عند استخدام عدة مساحات عمل، يتم تطبيق المشغل union() افتراضيا على جداول تحمل نفس الاسم والمخطط من مساحات عمل مختلفة. استخدم عامل workspace() التشغيل للاستعلام عن جدول من مساحة عمل معينة، على سبيل المثال workspace("MyWorkspace").AuditLogs.
إذا اخترت مساحة عمل واحدة فارغة أو مساحة عمل أثناء عملية الإدراك، فلن يعرض متصفح المخطط أي جداول.
تحديد النطاق الزمني
استخدم منتقي الوقت أعلى محرر الاستعلام لتحديد النطاق الزمني للاستعلام. باستخدام خيار النطاق الزمني المخصص ، يمكنك تعيين وقت بداية ونهاية محدد. يمكن أن تصل المدة الزمنية إلى 12 عاما.
يمكنك أيضا تحديد نطاق زمني في بناء جملة استعلام KQL، على سبيل المثال:
where TimeGenerated between (datetime(2020-01-01) .. datetime(2020-12-31))where TimeGenerated between(ago(180d)..ago(90d))
Note
تقتصر الاستعلامات على 500,000 صف أو 64 ميجابايت من البيانات والمهلة بعد 8 دقائق. عند اختيار نطاق زمني واسع، قد يتجاوز استفسارك هذه الحدود. فكر في استخدام استعلامات غير متزامنة للاستعلامات طويلة الأمد. لمزيد من المعلومات، راجع الاستعلامات غير المتزامنة.
عرض معلومات المخطط
يوفر مستعرض المخطط قائمة بالجداول المتوفرة وأعمدتها لمساحات العمل المحددة، مجمعة حسب الفئة. تظهر جداول النظام في فئة الأصول . الجداول المخصصة التي تحتوي على _CL، _KQL_CL، _SPARK، و _SPARK_CL مجمعة في فئة السجلات المخصصة . استخدم مستعرض المخطط لاستكشاف البيانات المتوفرة في مستودع البيانات واكتشاف الجداول والأعمدة. استخدم مربع البحث للعثور بسرعة على جداول معينة.
نافذة النتائج
تعرض نافذة النتائج نتائج الاستعلام. يمكنك عرض النتائج بتنسيق جدول، ويمكنك تصدير النتائج إلى ملف CSV باستخدام الزر تصدير في الزاوية العلوية اليسرى من نافذة النتيجة. قم بتبديل رؤية الأعمدة الفارغة باستخدام الزر إظهار الأعمدة الفارغة . يتيح لك الزر تخصيص الأعمدة تحديد الأعمدة التي تريد عرضها في نافذة النتيجة.
يمكنك البحث في النتائج باستخدام مربع البحث في الزاوية العلوية اليسرى من نافذة النتائج.
الاستعلامات الجاهزة
يوفر تبويب الاستعلامات مجموعة من استعلامات KQL الجاهزة من الصندوق. تغطي هذه الاستعلامات السيناريوهات وحالات الاستخدام الشائعة، مثل التحقيق في حوادث الأمن والبحث عن التهديدات. يمكنك استخدام هذه الاستفسارات as-is أو تعديلها لتناسب احتياجاتك الخاصة.
اختر استعلاما من القائمة باستخدام أيقونة ... يمكنك فتحه في تبويب استعلام جديد للتحرير أو تشغيله فورا.
لمزيد من المعلومات حول استعلامات العينة، راجع استعلامات KQL النموذجية لبحيرة بيانات مايكروسوفت سينتينل.
الاستعلامات غير المتزامنة
يمكنك تشغيل الاستعلامات طويلة الأمد بشكل غير متزامن، بحيث يمكنك الاستمرار في العمل أثناء تشغيل الاستعلام على الخادم. لتشغيل استعلام بشكل غير متزامن، اختر السهم للأسفل في زر تشغيل الاستعلام ، ثم اختر تشغيل استعلام غير متزامن. أدخل اسم الاستعلام لتحديد استعلامك غير المتزامن. بعد إرسال الاستعلام، يمكنك متابعة حالته في تبويب الاستعلامات غير المتزامنة . عند اكتمال الاستعلام، يمكنك عرض النتائج باختيار اسم الاستعلام من القائمة.
إذا استغرق الاستعلام المتزامن أكثر من دقيقتين للتشغيل، تظهر رسالة تسألك إذا كنت تريد تشغيل الاستعلام بشكل غير متزامن. اختر تشغيل غير متزامن لتغيير الاستعلام ليعمل بشكل غير متزامن.
نتائج استعلام Fetch async
لعرض نتائج الاستعلام غير المتزامن، اختر الاستعلام غير المتزامن المكتمل من تبويب الاستعلامات غير المتزامنة واختر نتائج الجلب. يتم عرض الاستعلام في التعليقات في محرر الاستعلامات، وتعرض النتائج في تبويب النتائج.
تخزن النتائج لمدة 24 ساعة ويمكن الوصول إليها عدة مرات. يمكنك تصدير النتائج إلى ملف CSV باستخدام زر التصدير في الزاوية العلوية اليسرى من نافذة النتائج.
Jobs
يتم استخدام الوظائف لتشغيل استعلامات KQL مقابل البيانات في طبقة مستودع البيانات وتعزيز النتائج إلى طبقة التحليلات. يمكنك إنشاء وظائف لمرة واحدة أو مجدولة، ويمكنك تمكين المهام أو تعطيلها أو تحريرها أو حذفها من صفحة الوظائف . لإنشاء وظيفة استنادا إلى الاستعلام الحالي، حدد الزر إنشاء وظيفة . لمزيد من المعلومات حول إنشاء الوظائف وإدارتها، راجع إنشاء وظائف في مستودع بيانات Microsoft Sentinel.
Azure Data Explorer (Kusto)
يمكنك تشغيل استعلامات KQL مقابل مستودع بيانات Microsoft Sentinel باستخدام Azure Data Explorer (ADX). يوفر ADX محرك استعلام قوي وقدرات تحليلات متقدمة. للاتصال بمخزن البيانات باستخدام ADX، قم بإنشاء اتصال جديد باستخدام URI التالي: https://api.securityplatform.microsoft.com/lake/kql
عند الاستعلام عن الجداول في مستودع البيانات باستخدام ADX، يجب استخدام الدالة external_table() للوصول إلى البيانات. على سبيل المثال:
external_table("AADRiskyUsers")
| take 100
اعتبارات الاستعلام وقيوده
يتم تشغيل الاستعلامات على مساحات العمل التي اخترتها. تأكد من اختيار مساحات العمل الصحيحة قبل إجراء أي استفسار.
يتطلب تنفيذ استعلامات KQL على مستودع بيانات Microsoft Sentinel رسوما استنادا إلى عدادات فوترة الاستعلام. لمزيد من المعلومات، راجع تخطيط التكاليف وفهم أسعار Microsoft Sentinel والفوترة.
راجع نهج استيعاب البيانات والاحتفاظ بالجداول. قبل تعيين النطاق الزمني للاستعلام، كن على دراية باستبقاء البيانات في جداول مستودع البيانات وما إذا كانت البيانات متوفرة للنطاق الزمني المحدد. لمزيد من المعلومات، راجع إدارة مستويات البيانات والاحتفاظ بها في مدخل Microsoft Defender.
استعلامات KQL على بحيرة البيانات أقل أداء من الاستعلامات على مستوى التحليلات. استخدم استعلامات KQL ضد بحيرة البيانات فقط عند استكشاف البيانات التاريخية أو عند تخزين الجداول في وضع بحيرة البيانات فقط.
أوامر التحكم KQL التالية مدعومة حاليا:
.show version.show databases.show databases entities.show database
عند استخدام الأمر
stored_query_results، قدم نطاق الوقت في استعلام KQL. محدد الوقت فوق محرر الاستعلامات لا يعمل مع هذا الأمر.استخدام الدوال الجاهزة أو المخصصة غير مدعوم في استعلامات KQL ضد بحيرة البيانات.
استدعاء البيانات الخارجية عبر استعلام KQL مقابل مستودع البيانات غير مدعوم.
يتم دعم جميع مشغلي KQL ووظائفه باستثناء ما يلي:
adx()arg()externaldata()ingestion_time()
معلمات الخدمة وحدود استعلامات KQL في طبقة البحيرة
تنطبق قيود معلمات الخدمة التالية عند كتابة الاستعلامات في مستودع بيانات Microsoft Sentinel.
| Category | المعلمة / الحد |
|---|---|
| الاستعلامات التفاعلية المتزامنة | 45 في الدقيقة |
| بيانات نتيجة الاستعلام | 64 ميغابايت |
| صفوف نتائج الاستعلام | 500,000 صف |
| نطاق الاستعلام | مساحات عمل متعددة |
| مهلة الاستعلام | 8 دقائق |
| النطاق الزمني القابل للاستعلام | ما يصل إلى 12 عاما، اعتمادا على الاحتفاظ بالبيانات. |
لاستكشاف أخطاء استعلامات KQL وإصلاحها، راجع استكشاف أخطاء استعلامات KQL وإصلاحها في مستودع بيانات Microsoft Sentinel.