إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يتم تخزين البيانات التي تجمعها في Microsoft Sentinel (SIEM) وMicrosoft Defender XDR في الجداول. يتيح لك مدخل Microsoft Defender إدارة فترة الاستبقاء وتكاليف المتجر المقترنة ببياناتك. يمكنك إدارة الاستبقاء والتكاليف عند:
- تكوين موصلات البيانات لإرسال البيانات إلى Microsoft Sentinel أو Microsoft Defender XDR.
- إدارة الجداول والبيانات الموجودة.
توضح هذه المقالة كيفية إدارة استبقاء الجدول وخيارات المستوى في مدخل Microsoft Defender لتحسين عمليات الأمان وتقليل التكاليف في Microsoft Sentinel وMicrosoft Defender XDR.
ما الجداول التي يمكنك إدارتها في مدخل Defender؟
يصف هذا القسم أنواع الجداول التي يمكنك إدارتها في بوابة Microsoft Defender.
| نوع الجدول | Description | Examples | هل يوجد في مساحة عمل Microsoft Sentinel؟ |
|---|---|---|---|
| مايكروسوفت الحارس | الجداول المضمنة، بما في ذلك: - جداول Azure، مثل AzureDiagnostics و SigninLogs. - جداول Microsoft Sentinel. - تكامل Microsoft Defender XDR مع Microsoft Sentinel، والتي يتم إنشاؤها في مساحة عمل Microsoft Sentinel الخاصة بك عندما تزيد فترة الاحتفاظ بالتحليلات إلى ما بعد 30 يوما. راجع نوع جدول XDR لجداول Defender XDR غير المدعومة حاليا. |
- جداول Azure: AzureDiagnostics، SigninLogs- جداول Microsoft Sentinel: AWSCloudTrail، SecurityAlert- جداول XDR: DeviceEvents،AlertInfo |
Yes |
| Custom | الجداول التي تقوم بإنشائها يدويا أو من خلال المهام في مساحة عمل Microsoft Sentinel، بما في ذلك قاعدة الملخص وجداول نتائج مهمة البحث وجداول مصدر البيانات المخصصة. | جداول مع _CL أو _SRCH لاحقات. |
Yes |
| XDR | الجداول في المستوى الافتراضي XDR، والتي تحتوي على 30 يوما من استبقاء التحليلات بشكل افتراضي. يمكنك عرض هذه الجداول، ولكن لا يمكنك إدارتها من مدخل Defender. | IdentityInfo |
No |
Note
يمكنك عرض جداول السجلات الأساسية في مساحة عمل Microsoft Sentinel من مدخل Defender، ولكن يمكنك إدارتها حاليا فقط من مساحة عمل Log Analytics. لإدارة هذه الجداول من مدخل Defender، قم بتغيير خطة الجدول من أساسي إلى تحليلات في مساحة عمل Microsoft Sentinel.
كيفية عمل مستويات البيانات والاحتفاظ بها
يمكنك الاحتفاظ بالبيانات في Microsoft Sentinel في أحد طبقتين:
طبقة التحليلات: توفر هذه الطبقة البيانات للتنبيه والتتبع والمصنفات وجميع ميزات Microsoft Sentinel. يحتفظ بالبيانات في حالتين:
- الاحتفاظ بالتحليلات: في هذه الحالة "الساخنة"، تتوفر البيانات بالكامل للتحليلات في الوقت الفعلي - بما في ذلك الاستعلامات عالية الأداء وقواعد التحليلات - وتتبع التهديدات. بشكل افتراضي، يحتفظ كل من Microsoft Sentinel وMicrosoft Defender XDR بالبيانات في هذا المستوى لمدة 30 يوما. يمكنك تمديد فترة الاحتفاظ بجميع الجداول إلى ما يصل إلى عامين مقابل رسوم استبقاء شهرية طويلة الأجل موزعة. يمكنك تمديد فترة الاحتفاظ بجداول حلول Microsoft Sentinel إلى 90 يوما مجانا.
- إجمالي الاستبقاء: بشكل افتراضي، يتم عكس جميع البيانات في طبقة التحليلات إلى مستودع البيانات لفترة الاستبقاء نفسها. يمكنك تمديد الاحتفاظ ببياناتك في المستودع إلى ما بعد استبقاء التحليلات، لمدة تصل إلى 12 عاما من الاحتفاظ الإجمالي بتكلفة منخفضة.
طبقة مستودع البيانات: في هذه الطبقة "الباردة" منخفضة التكلفة، يحتفظ Microsoft Sentinel ببياناتك في البحيرة فقط. لا تتوفر البيانات في طبقة مستودع البيانات لميزات التحليلات في الوقت الفعلي وتعقب التهديدات. ومع ذلك، يمكنك الوصول إلى البيانات في البحيرة متى احتجت إليها من خلال وظائف KQL، وتحليل الاتجاهات بمرور الوقت عن طريق تشغيل وظائف KQL أو Spark المجدولة، وتجميع نتائج التحليلات من البيانات الواردة بإيقاع منتظم باستخدام قواعد الملخص.
بيانات XDR: افتراضيا، تكون بيانات البحث عن التهديدات في Microsoft Defender XDR متاحة دائما في طبقة التحليلات لمدة 30 يوما. يمكن للعملاء تمديد الاحتفاظ بهذه البيانات في مستوى التحليلات حتى 90 يوما، مشمولة في ترخيص XDR دون أي تكلفة إضافية. يمكنك أيضا الدخول حصريا إلى مستوى بحيرة البيانات، لكن البيانات متاحة دائما في طبقة التحليلات لمدة 30 يوما في هذه الولاية.
لمزيد من المعلومات حول الاختلافات بين هذين النوعين من الاستبقاء، راجع مقارنة التحليلات وطبقات مستودع البيانات.
يوضح هذا الرسم التخطيطي مكونات الاستبقاء للتحليلات ومستويات مستودع البيانات وXDR الافتراضية وأنواع الجداول التي تنطبق على كل طبقة:
لمزيد من المعلومات حول مستودع بيانات Microsoft Sentinel، راجع ما هو مستودع بيانات Microsoft Sentinel.
مقارنة التحليلات وطبقات مستودع البيانات
يقارن هذا الجدول بين مستويي التحليلات وبحيرة البيانات وخصائصهما الرئيسية:
| Comparison | مستوى التحليلات | طبقة مستودع البيانات |
|---|---|---|
| الخصائص الرئيسية | استعلام وفهرسة عالية الأداء للسجلات (المعروفة أيضا باسم الاستبقاء السريع أو التفاعلي). | استبقاء كميات كبيرة من البيانات على المدى الطويل فعال من حيث التكلفة (يعرف أيضا بالتخزين البارد). |
| الأفضل ل | قواعد التحليلات في الوقت الحقيقي والتنبيه والتتبع والمصنفات وجميع ميزات Microsoft Sentinel. | - الامتثال والتسجيل التنظيمي. - تحليل الاتجاهات التاريخية والأدلة الجنائية. - بيانات منخفضة اللمس غير مطلوبة للتنبيهات في الوقت الحقيقي. |
| تكلفة الابتلاع | Standard | Minimal |
| سعر الاستعلام المضمن | ✅ | ❌ |
| أداء الاستعلام المحسن | ✅ |
❌ استعلامات أبطأ. جيد للتدقيق. غير محسن للتحليل في الوقت الحقيقي. |
| إمكانات الاستعلام | قدرات الاستعلام الكاملة في مداخل Microsoft Defender وAzure واستخدام واجهات برمجة التطبيقات. |
-
إمكانات الاستعلام الكاملة بما في ذلك النقابات والانضمامات. - تشغيل مهام KQL أو Spark المجدولة. - استخدام دفاتر الملاحظات. |
| مجموعة كاملة من ميزات التحليلات في الوقت الحقيقي | ✅ | ❌ القيود المفروضة على بعض الميزات، بما في ذلك قواعد التحليلات واستعلامات التتبع والمحللين وقوائم المراقبة والمصنفات وأدلة المبادئ. |
| البحث عن وظائف | ✅ | ✅ |
| قواعد الموجز | ✅ | ✅ KQL كامل على جدول واحد، والذي يمكنك توسيعه ببيانات من جدول تحليلات باستخدام البحث |
| Restore | ✅ | ❌ وظائف KQL وNotebook يمكنها ترقية البيانات إلى مستوى التحليلات. |
| تصدير البيانات | ✅ | ❌ |
| فترة الاحتفاظ | 90 يوما ل Microsoft Sentinel، 30 يوما ل Microsoft Defender XDR. يمكن تمديدها لمدة تصل إلى عامين مقابل رسوم استبقاء شهرية طويلة الأجل موزعة. |
مثل استبقاء التحليلات، بشكل افتراضي. يمكن تمديدها إلى 12 عاما. |
ماذا يحدث عند تعديل إعدادات الجدول
يمكنك تبديل مستوى الجدول وإعدادات الاستبقاء في أي وقت.
عند تغيير مستوى الجدول من التحليلات إلى مستودع البيانات، تتوقف جميع التحليلات في الوقت الفعلي واستعلامات التتبع عن العمل.
عند تقصير إجمالي الاحتفاظ بالجدول، تنتظر Microsoft 30 يوما قبل إزالة البيانات، حتى تتمكن من إرجاع التغيير وتجنب فقدان البيانات إذا قمت بخطأ في التكوين.
عند زيادة إجمالي الاستبقاء، تنطبق فترة الاستبقاء الجديدة على جميع البيانات التي تم إدخالها بالفعل في الجدول ولم تتم إزالتها بعد.
عند تغيير إعدادات استبقاء التحليلات لجدول ببيانات موجودة، يصبح التغيير ساري المفعول على الفور.
Example:
- لديك جدول في مستوى التحليلات مع 180 يوما من استبقاء التحليلات. بشكل افتراضي، يتم تعيين استبقاء الإجمالي أيضا إلى 180 يوما.
- يمكنك تغيير استبقاء التحليلات إلى 90 يوما دون تغيير إجمالي فترة الاستبقاء البالغة 180 يوما.
- تقوم Microsoft Sentinel تلقائيا بإزالة آخر 90 يوما من البيانات من الاحتفاظ بالتحليلات، لكنها تستمر في تخزين البيانات التي تتراوح بين 90-180 يوما في بحيرة البيانات.
إدارة بيانات XDR في Microsoft Sentinel
افتراضيا، يحتفظ Microsoft Defender XDR ببيانات البحث عن التهديدات في الفئة الافتراضية ل XDR لمدة 30 يوما. لا يتم استيعاب هذه البيانات في مستويات التحليلات أو مستودع البيانات بشكل افتراضي. إذا قمت بتمديد فترة الاستبقاء لجداول XDR المدعومة إلى ما بعد 30 يوما، إنشاء الجداول في مساحة عمل Microsoft Sentinel في طبقة التحليلات ونسخها إلى طبقة مستودع البيانات.
إذا فعلت موصل Microsoft Sentinel XDR في بوابة Azure، فإن الجداول التي تختارها أثناء الإعداد يتم استيعابها تلقائيا في طبقة التحليلات ويتم عكسها إلى طبقة Data Lake. مدة الاحتفاظ الافتراضية هي 30 يوما، ويمكنك تمديده حتى 12 سنة. للحصول على قائمة الجداول، راجع تكامل Microsoft Defender XDR مع Microsoft Sentinel. يمكنك إدخال جداول XDR المدعومة التي لم تختارها أثناء نشر الموصل إلى طبقة التحليلات وتحويلها إلى طبقة بحيرة البيانات عن طريق ضبط الاحتفاظ لأكثر من 30 يوما.
إذا لم تفعل موصل Microsoft Sentinel XDR، لا يتم استيعاب جداول XDR تلقائيا، لكن يمكنك استيعابها عن طريق ضبط التحليلات أو الاحتفاظ بمستوى بيانات لأكثر من 30 يوما في بوابة Defender.
يمكنك اختيار إدخال جداول XDR المدعومة حصريا في طبقة بحيرة البيانات عن طريق اختيار خيار طبقة بحيرة البيانات عند إعداد إعدادات الاحتفاظ. لمزيد من المعلومات، راجع إعداد الاحتفاظ بالبيانات وترتيبها.
توقف عن استيعاب البيانات في طبقة التحليلات عن طريق إعادة تعيين الاحتفاظ بطبقة التحليلات والاحتفاظ الكلي إلى 30 يوما افتراضيا. يقوم هذا الإجراء بتعطيل الموصل في بوابة Azure.
لمزيد من المعلومات حول إدارة الجداول والبيانات، راجع إدارة الجداول والبيانات الموجودة.
الاحتفاظ ببيانات XDR وتكاليفها
تلخص الجداول التالية فترات الاستبقاء المجانية والآثار المترتبة على التكلفة للمستويات المختلفة في Microsoft Sentinel:
| Tier | احتباس | Notes |
|---|---|---|
| التتبع المتقدم (افتراضي) | 30 يومًا | افتراضي، مضمن في ترخيص XDR |
| مستوى التحليلات | 90 يومًا | مساحة تخزين مجانية لمساحات العمل التي تدعم Sentinel. تطبق رسوم الابتلاع |
| بحيرة البيانات | شكلي. بشكل افتراضي، مثل طبقة التحليلات. | مساحة تخزين مجانية عندما يكون الاحتفاظ الكلي هو نفسه الاحتفاظ بطبقة التحليلات. الاحتفاظ بالبيانات في بحيرة البيانات بعد فترة الاحتفاظ بطبقة التحليلات، أو حصريا في طبقة بحيرة البيانات، يتحمل تكاليف تخزين إضافية. |
لمزيد من المعلومات حول الفوترة والتكاليف، راجع فهم نموذج الفوترة الكامل ل Microsoft Sentinel
في الأمثلة التالية، تتوفر بيانات XDR من خلال التتبع المتقدم لمدة 30 يوما على الأقل، بغض النظر عن إعدادات الاستبقاء في مستويات التحليلات أو مستودع البيانات.
| الاحتفاظ بطبقة Analytics | إجمالي الاحتفاظ | تكاليف استيعاب طبقة التحليلات | تكاليف تخزين طبقة التحليلات | تكاليف طبقة مستودع البيانات |
|---|---|---|---|---|
| 30 يوما افتراضيا | 30 يوما افتراضيا | لا توجد تكاليف إضافية | N/A | N/A |
| 90 يومًا | 90 يومًا | تنطبق التكاليف على استيعاب طبقة التحليلات. | لا توجد تكاليف إضافية. 90 يوما مشمولة مجانا. | لا توجد تكاليف إضافية. يتطابق إجمالي الاستبقاء مع الاحتفاظ بطبقة التحليلات. |
| 90 يومًا | 180 أيام | تنطبق التكاليف على استيعاب طبقة التحليلات. | لا توجد تكاليف إضافية. 90 يوما مشمولة مجانا. | تطبق التكاليف على 90 يوما من الاحتفاظ بالبيانات الإضافية (180 - 90 يوما). |
| 180 أيام | 1 سنة | تنطبق التكاليف على استيعاب طبقة التحليلات. | تنطبق التكاليف لمدة 90 يوما من الاحتفاظ بطبقة التحليلات الإضافية. | تطبق التكاليف على 185 يوما من الاحتفاظ بالبيانات الإضافية (365 - 180 يوما). |
| 0 يوم (بحيرة البيانات فقط) | 5 سنوات | N/A | N/A | تطبق التكاليف على الابتلاع ولمدة 5 سنوات من الاحتفاظ ببحيرة البيانات. |
الخطوات التالية
تعلم المزيد عن: