مشاركة عبر

سجل مستويات الاستبقاء في Microsoft Sentinel

  • ينطبق على: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

بالنسبة لمساحات عمل Microsoft Sentinel المتصلة ب Defender، يجب إجراء إدارة التدرج والاستبقاء من تجربة إدارة الجدول الجديدة في مدخل Defender. بالنسبة لمساحات عمل Microsoft Sentinel غير المرفقة، استمر في استخدام التجارب الموضحة أدناه لإدارة البيانات في مساحات العمل الخاصة بك.

هناك جانبان متنافسان لجمع السجل واستبقاءه، وهما أمران بالغا الأهمية لبرنامج ناجح للكشف عن التهديدات. من ناحية، تريد زيادة عدد مصادر السجل التي تجمعها إلى أقصى حد، بحيث يكون لديك تغطية أمنية أكثر شمولا ممكنة. من ناحية أخرى، تحتاج إلى تقليل التكاليف المتكبدة عن طريق استيعاب جميع تلك البيانات.

تتطلب هذه الاحتياجات المتنافسة استراتيجية إدارة السجل التي توازن بين إمكانية الوصول إلى البيانات وأداء الاستعلام وتكاليف التخزين.

تتناول هذه المقالة فئات البيانات وحالات الاستبقاء المستخدمة لتخزين بياناتك والوصول إليها. كما يصف مستويات السجل التي يقدمها لك Microsoft Sentinel لإنشاء استراتيجية إدارة السجل والاحتفاظ به.

Important

يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.

بدءا من يوليو 2026، ستتم إعادة توجيه جميع العملاء الذين يستخدمون Microsoft Sentinel في مدخل Microsoft Azure إلى مدخل Defender وسيستخدمون Microsoft Sentinel في مدخل Defender فقط. بدءا من يوليو 2025، يتم إلحاق العديد من العملاء الجدد تلقائيا وإعادة توجيههم إلى مدخل Defender.

إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.

فئات البيانات التي تم استيعابها

توصي Microsoft بتصنيف البيانات التي تم إدخالها في Microsoft Sentinel إلى فئتين عامتين:

  • بيانات الأمان الأساسية هي البيانات التي تحتوي على قيمة أمان هامة. يتم استخدام هذه البيانات للمراقبة الاستباقية في الوقت الحقيقي والتنبيهات المجدولة والتحليلات للكشف عن التهديدات الأمنية. يجب أن تكون البيانات متاحة بسهولة لجميع تجارب Microsoft Sentinel في الوقت الفعلي تقريبا.

  • بيانات الأمان الثانوية هي بيانات تكميلية، وغالبا ما تكون في سجلات مطولة عالية الحجم. هذه البيانات ذات قيمة أمنية محدودة، ولكنها يمكن أن توفر ثراء إضافيا وسياقا للكشف والتحقيقات، مما يساعد على رسم الصورة الكاملة لحادث أمني. لا تحتاج إلى أن تكون متاحة بسهولة، ولكن يجب أن تكون متاحة عند الطلب حسب الحاجة وفي الجرعات المناسبة.

بيانات الأمان الأساسية

تتكون هذه الفئة من سجلات تحتوي على قيمة أمان هامة لمؤسستك. تتضمن حالات استخدام بيانات الأمان الأساسية لعمليات الأمان ما يلي:

  • المراقبة المتكررة. يتم تشغيل قواعد الكشف عن التهديدات (التحليلات) على هذه البيانات على فترات متكررة أو في الوقت الفعلي تقريبا.

  • الصيد عند الطلب. يتم تشغيل الاستعلامات المعقدة على هذه البيانات لتنفيذ تتبع تفاعلي وعالي الأداء للتهديدات الأمنية.

  • Correlation. ترتبط البيانات من هذه المصادر بالبيانات من مصادر بيانات الأمان الأساسية الأخرى للكشف عن التهديدات وإنشاء قصص الهجوم.

  • إعداد التقارير المنتظمة. والبيانات الواردة من هذه المصادر متاحة بسهولة لتجميعها في تقارير منتظمة عن الصحة الأمنية للمنظمة، لكل من الأمن وصانعي القرار العام.

  • تحليلات السلوك. يتم استخدام البيانات من هذه المصادر لإنشاء ملفات تعريف سلوك أساسية للمستخدمين والأجهزة، ما يتيح لك تحديد السلوكيات الخارجية على أنها مريبة.

تتضمن بعض الأمثلة على مصادر البيانات الأساسية ما يلي:

  • سجلات من أنظمة الكشف والاستجابة للحماية من الفيروسات أو المؤسسة (EDR)
  • سجلات المصادقة
  • مسارات التدقيق من الأنظمة الأساسية السحابية
  • موجزات التحليل الذكي للمخاطر
  • تنبيهات من أنظمة خارجية

يجب تخزين السجلات التي تحتوي على بيانات الأمان الأساسية باستخدام طبقة التحليلات.

بيانات الأمان الثانوية

تشمل هذه الفئة السجلات التي تكون قيمتها الأمنية الفردية محدودة ولكنها ضرورية لتوفير عرض شامل لحادث أو خرق أمني. عادة ما تكون هذه السجلات عالية الحجم ويمكن أن تكون مطولة. تتضمن حالات استخدام عمليات الأمان لهذه البيانات ما يلي:

  • التحليل الذكي للتهديدات. يمكن التحقق من البيانات الأساسية مقابل قوائم مؤشرات التسوية (IoC) أو مؤشرات الهجوم (IoA) للكشف عن التهديدات بسرعة وسهولة.

  • الصيد / التحقيقات المخصصة. يمكن الاستعلام عن البيانات بشكل تفاعلي لمدة 30 يوما، مما يسهل التحليل الحاسم لتعقب التهديدات والتحقيقات.

  • عمليات بحث واسعة النطاق. يمكن استيعاب البيانات والبحث فيها في الخلفية على نطاق بيتابايت، مع تخزينها بكفاءة مع الحد الأدنى من المعالجة.

  • التلخيص عبر وظائف KQL. تلخيص السجلات ذات الحجم الكبير في المعلومات المجمعة وتخزين النتائج في طبقة التحليلات.

بعض الأمثلة على مصادر سجل البيانات الثانوية هي سجلات الوصول إلى التخزين السحابي وسجلات NetFlow وسجلات شهادات TLS/SSL وسجلات جدار الحماية وسجلات الوكيل وسجلات IoT.

بالنسبة للسجلات التي تحتوي على بيانات أمان ثانوية، استخدم مستودع بيانات Microsoft Sentinel، المصمم لتوفير قابلية تطوير ومرونة وإمكانات تكامل محسنة لسيناريوهات الأمان والتوافق المتقدمة.

مستويات إدارة السجلات

يوفر Microsoft Sentinel مستويين مختلفين لتخزين السجل، أو نوعين، لاستيعاب هذه الفئات من البيانات التي تم استيعابها.

  • تم تصميم خطة طبقة التحليلات لتخزين بيانات الأمان الأساسية وجعلها سهلة الوصول إليها باستمرار وبأداء عال.

  • تم تحسين طبقة بحيرة البيانات لتخزين بيانات الأمان الثانوية بشكل فعال من حيث التكلفة على مدى فترات طويلة، مع الحفاظ على إمكانية الوصول.

مستوى التحليلات

تحتفظ طبقة التحليلات بالبيانات في حالة الاستبقاء التفاعلي لمدة 90 يوما افتراضيا، قابلة للتوسيع لمدة تصل إلى عامين. هذه الحالة التفاعلية، على الرغم من أنها مكلفة، تسمح لك بالاستعلام عن بياناتك بطريقة غير محدودة، مع أداء عال، دون أي رسوم لكل استعلام.

طبقة مستودع البيانات

مستودع بيانات Microsoft Sentinel عبارة عن بحيرة بيانات حديثة مدارة بالكامل توحد بيانات الأمان وتحتفظ بها على نطاق واسع، مما يتيح التحليلات المتقدمة عبر طرائق متعددة واكتشاف التهديدات المدعومة بالعملاء من الذكاء الاصطناعي. إنه يمكن فرق الأمان من التحقيق في التهديدات طويلة المدى وإثراء التنبيهات وبناء خطوط أساس سلوكية باستخدام أشهر من البيانات.

عند تكوين إجمالي الاستبقاء ليكون أطول من الاحتفاظ بطبقة التحليلات، أو عند انتهاء فترة الاحتفاظ بطبقة التحليلات، يستمر الوصول إلى البيانات المخزنة خارج استبقاء طبقة التحليلات في مستوى مستودع البيانات.

المحتوى ذو الصلة

  • Last updated on