مشاركة عبر

مراقبة سلامة قواعد التحليلات ومراجعة تكاملها

لضمان اكتشاف التهديدات بشكل شامل وغير منقطع وخالي من العبث في خدمة Microsoft Sentinel، تتبع سلامة قواعد التحليلات وسلامتها. حافظ على عملها على النحو الأمثل من خلال مراقبة رؤى التنفيذ الخاصة بهم، والاستعلام عن سجلات السلامة والتدقيق، وباستخدام إعادة التشغيل اليدوي لاختبار القواعد وتحسينها.

قم بإعداد إعلامات بأحداث الصحة والتدقيق لأصحاب المصلحة المعنيين، الذين يمكنهم بعد ذلك اتخاذ إجراء. على سبيل المثال، حدد رسائل البريد الإلكتروني أو Microsoft Teams وأرسلها، وأنشئ تذاكر جديدة في نظام إصدار التذاكر، وما إلى ذلك.

توضح هذه المقالة كيفية استخدام ميزات التدقيق والمراقبة الصحية في Microsoft Sentinel لتتبع سلامة قواعد التحليلات وسلامتها من داخل Microsoft Sentinel.

للحصول على معلومات حول نتائج تحليلات القواعد وإعادة التشغيل اليدوي للقواعد، راجع مراقبة وتحسين تنفيذ قواعد التحليلات المجدولة.

الملخص

  • سجلات صحة قاعدة تحليلات Microsoft Sentinel:

    • يلتقط هذا السجل الأحداث التي تسجل تشغيل قواعد التحليلات، والنتيجة النهائية لهذه التشغيلات - إذا نجحت أو فشلت، وإذا فشلت، فلماذا.
    • يسجل السجل أيضا، لكل تشغيل لقاعدة تحليلات:
      • كم عدد الأحداث التي التقطها استعلام القاعدة.
      • ما إذا كان عدد الأحداث قد تجاوز الحد المحدد في القاعدة، مما تسبب في تشغيل القاعدة لتنبيه.

    يتم تجميع هذه السجلات في جدول SentinelHealth في Log Analytics.

  • سجلات تدقيق قاعدة تحليلات Microsoft Sentinel:

    • يلتقط هذا السجل الأحداث التي تسجل التغييرات التي تم إجراؤها على أي قاعدة تحليلات، بما في ذلك التفاصيل التالية:
      • اسم القاعدة التي تم تغييرها.
      • خصائص القاعدة التي تم تغييرها.
      • حالة إعدادات القاعدة قبل التغيير وبعده.
      • المستخدم أو الهوية التي قامت بإجراء التغيير.
      • عنوان IP المصدر وتاريخ/وقت التغيير.
      • ... والمزيد.

    يتم تجميع هذه السجلات في جدول SentinelAudit في Log Analytics.

استخدام جداول بيانات SentinelHealth وSentinelAudit

للحصول على بيانات التدقيق والسلامة من الجداول الموضحة سابقا، يجب عليك أولا تشغيل ميزة السلامة Microsoft Sentinel لمساحة العمل الخاصة بك. لمزيد من المعلومات، راجع تشغيل التدقيق والمراقبة الصحية ل Microsoft Sentinel.

بمجرد تشغيل ميزة الصحة، يتم إنشاء جدول بيانات SentinelHealth في حدث النجاح أو الفشل الأول الذي تم إنشاؤه لقواعد التشغيل التلقائي ودلائل المبادئ.

فهم أحداث جدول SentinelHealth و SentinelAudit

يسجل جدول SentinelHealth الأنواع التالية من الأحداث الصحية لقاعدة التحليلات:

  • تشغيل قاعدة التحليلات المجدولة.
  • تشغيل قاعدة تحليلات NRT.

لمزيد من المعلومات، راجع مخطط أعمدة جدول SentinelHealth.

يسجل جدول SentinelAudit الأنواع التالية من أحداث تدقيق قاعدة التحليلات:

  • إنشاء قاعدة التحليلات أو تحديثها.
  • تم حذف قاعدة التحليلات.

لمزيد من المعلومات، راجع مخطط أعمدة جدول SentinelAudit.

تشغيل الاستعلامات للكشف عن مشكلات السلامة والتكامل

للحصول على أفضل النتائج، قم بإنشاء استعلاماتك على الوظائف التي تم إنشاؤها مسبقا لهذه الجداول، _SentinelHealth() و _SentinelAudit()، بدلا من الاستعلام عن الجداول مباشرة. تحافظ هذه الدالات على التوافق مع الإصدارات السابقة لاستعلامات البحث إذا تم إجراء تغييرات على مخطط الجداول.

كخطوة أولى، قم بتصفية الجداول للبيانات المتعلقة بقواعد التحليلات. استخدم المعلمة SentinelResourceType .

_SentinelHealth()
| where SentinelResourceType == "Analytics Rule"

إذا أردت، يمكنك تصفية القائمة لنوع معين من قاعدة التحليلات. استخدم المعلمة SentinelResourceKind لهذا.

| where SentinelResourceKind == "Scheduled"

# OR

| where SentinelResourceKind == "NRT"

فيما يلي بعض نماذج الاستعلامات لمساعدتك على البدء:

  • ابحث عن القواعد التي تم "تعطيلها تلقائيا":

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| where Reason == "The analytics rule is disabled and was not executed."

  • حساب القواعد والتشغيلات التي نجحت أو فشلت، حسب السبب:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| summarize Occurrence=count(), Unique_rule=dcount(SentinelResourceId) by Status, Reason

  • البحث عن نشاط حذف القاعدة:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| where Description =="Analytics rule deleted"

  • ابحث عن النشاط على القواعد، حسب اسم القاعدة واسم النشاط:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| summarize Count= count() by RuleName=SentinelResourceName, Activity=Description

  • البحث عن النشاط على القواعد، حسب اسم المتصل (الهوية التي نفذت النشاط):

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| extend Caller= tostring(ExtendedProperties.CallerName)
| summarize Count = count() by Caller, Activity=Description

راجع المزيد من المعلومات حول العناصر التالية المستخدمة في الأمثلة السابقة، في وثائق Kusto:

لمزيد من المعلومات حول KQL، راجع نظرة عامة على لغة استعلام Kusto (KQL).

الموارد الأخرى:

القواعد المجدولة

عندما تفشل قاعدة الجدولة، تتم إعادة محاولتها خمس مرات أخرى في نفس النافذة بالضبط. لا تتخطى القاعدة النافذة وتفقد تنبيها طالما نجحت إحدى المحاولات الست.

يشير الفشل في إحدى المحاولات الست إلى تأخير في تشغيل التنبيه. يحسب الاستعلام التالي التأخير الدقيق:

_SentinelHealth()
| where SentinelResourceType == @"Analytics Rule" 
| where SentinelResourceKind == "Scheduled"
| extend startTime = todatetime(ExtendedProperties["QueryStartTimeUTC"]), executionStart = todatetime(ExtendedProperties["executionStart"])
| extend delay = datetime_diff('minute', startTime, executionStart)

للبحث عن حالات فشل كاملة (أي نافذة تم تخطيها)، استخدم الاستعلام التالي:

_SentinelHealth()| where SentinelResourceType == @"Analytics Rule" 
| where SentinelResourceKind == "Scheduled"
| where Status != "Success"
| extend startTime = tostring(ExtendedProperties["QueryStartTimeUTC"])
| summarize failuresByStartTime = count() by startTime, SentinelResourceId
| where failuresByStartTime == 6
| summarize count() by SentinelResourceId

يبحث هذا الاستعلام عن عمليات تشغيل قاعدة التحليلات المجدولة حيث لم تنجح أي من عمليات إعادة المحاولة الست. يمكنك تحديد إعادة المحاولة من خلال النظر إلى وقت بدء نافذة القاعدة نظرا لأن عمليات إعادة المحاولة تنظر دائما إلى وقت البدء الأصلي. يمنحك هذا الاستعلام مقدار النوافذ التي تم تخطيها لكل قاعدة تحليلية. نتوقع أن تكون النوافذ التي تم تخطيها نادرة. إذا رأيت أن لديك قواعد تحليلات مع نوافذ تم تخطيها، فاستخدم طلبات البحث لفهم سبب فشل هذه القواعد المحددة وجدول أسباب الفشل وعوامل التخفيف لإصلاحها.

قواعد NRT

تتصرف آلية إعادة المحاولة لقواعد NRT بشكل مختلف عن القواعد المجدولة. إذا فشل تشغيل القاعدة، يأخذ النظام أيضا في الاعتبار النافذة الفاشلة في التشغيل التالي (بعد دقيقة واحدة). يستمر هذا السلوك لمدة تصل إلى 60 حالة فشل (ساعة واحدة).

نظرا لأن فشلا واحدا في تشغيل معين يعكس تأخيرا لمدة دقيقة واحدة فقط ، فلا تنظر إلى حالات الفشل الفردية. بدلا من ذلك، استخدم الاستعلام التالي لمراقبة تأخير كل قاعدة تحليلية:

_SentinelHealth()
| where SentinelResourceKind == "NRT"
| extend startTime = todatetime(ExtendedProperties["QueryStartTimeUTC"]), endTime = todatetime(ExtendedProperties["QueryEndTimeUTC"]), alertsCreated = toint(ExtendedProperties["AlertsGeneratedAmount"])
| where alertsCreated == 0 
| extend ruleDelay = datetime_diff('minute', endTime, startTime)
| project TimeGenerated, ruleDelay, SentinelResourceId
| render timechart

يمكنك أيضا تحديد قاعدة تحليلات لتشغيل التنبيهات بشأن التأخيرات الكبيرة (على سبيل المثال، إذا كانت قاعدة NRT بها تأخير لأكثر من 10 دقائق).

الحالات والأخطاء والخطوات المقترحة

بالنسبة إلى تشغيل قاعدة التحليلات المجدولة أو تشغيل قاعدة تحليلات NRT، قد ترى أيا من الحالات والأوصاف التالية:

  • النجاح: تم تنفيذ القاعدة بنجاح ، وإنشاء <n> تنبيهات.

  • النجاح: تم تنفيذ القاعدة بنجاح، ولكن لم تصل إلى الحد (<n>) المطلوب لإنشاء تنبيه.

  • الفشل: توضح هذه الأوصاف فشل القاعدة وما يمكنك فعله حيالها.

    ‏‏الوصف المعالجة
    حدث خطأ داخلي في الخادم أثناء تشغيل الاستعلام.
    مهلة تنفيذ الاستعلام.
    لم يتم العثور على جدول مشار إليه في الاستعلام. تحقق من اتصال مصدر البيانات ذي الصلة.
    حدث خطأ دلالي أثناء تشغيل الاستعلام. حاول إعادة تعيين قاعدة التحليلات عن طريق تحريرها وحفظها (دون تغيير أي إعدادات).
    تتم تسمية دالة يتم استدعاؤها بواسطة الاستعلام بكلمة محجوزة. إزالة الدالة أو إعادة تسميتها.
    حدث خطأ في بناء الجملة أثناء تشغيل الاستعلام. حاول إعادة تعيين قاعدة التحليلات عن طريق تحريرها وحفظها (دون تغيير أي إعدادات).
    مساحة العمل غير موجودة.
    يستخدم هذا الاستعلام عددا كبيرا جدا من موارد النظام وتم منعه من التشغيل. مراجعة قاعدة التحليلات وضبطها. راجع نظرة عامة على Kusto Query Language ووثائق أفضل الممارسات.
    لم يتم العثور على وظيفة يستدعيها الاستعلام. تحقق من وجود جميع الدالات التي استدعاها الاستعلام في مساحة العمل الخاصة بك.
    لم يتم العثور على مساحة العمل المستخدمة في الاستعلام. تحقق من وجود كافة مساحات العمل في الاستعلام.
    ليس لديك أذونات لتشغيل هذا الاستعلام. حاول إعادة تعيين قاعدة التحليلات عن طريق تحريرها وحفظها (دون تغيير أي إعدادات).
    ليس لديك أذونات الوصول إلى مورد واحد أو أكثر من الموارد في الاستعلام.
    أشار الاستعلام إلى مسار تخزين لم يتم العثور عليه.
    تم رفض وصول الاستعلام إلى مسار تخزين.
    يتم تعريف دوال متعددة بنفس الاسم في مساحة العمل هذه. قم بإزالة الدالة المكررة أو إعادة تسميتها وإعادة تعيين القاعدة عن طريق تحريرها وحفظها.
    لم يرجع هذا الاستعلام عن أي نتيجة.
    لا يسمح بمجموعات النتائج المتعددة في هذا الاستعلام.
    تحتوي نتائج الاستعلام على عدد غير متناسق من الحقول لكل صف.
    تم تأخير تشغيل القاعدة بسبب أوقات استيعاب البيانات الطويلة.
    تم تأخير تشغيل القاعدة بسبب مشكلات مؤقتة.
    لم يتم إثراء التنبيه بسبب مشكلات مؤقتة.
    لم يتم إثراء التنبيه بسبب مشكلات تعيين الكيان.
    < تم إسقاط كيانات الأرقام> في اسم<بسبب حد حجم التنبيه 32 كيلوبايت.
    < تم إسقاط كيانات الأرقام> في اسم<بسبب مشكلات تعيين الكيان.
    نتج عن <، والتي تتجاوز الحد الأقصى لنتائج >< المسموح به< القاعدة مع تكوين تجميع الأحداث للتنبيه لكل صف. تم إنشاء التنبيه لكل صف لأحداث الحد<وتم إنشاء تنبيه مجمع إضافي لحساب جميع الأحداث.
    - <number> = عدد الأحداث التي تم إرجاعها بواسطة الاستعلام
    - <الحد> = حاليا 150 تنبيها للقواعد المجدولة، 30 لقواعد NRT
    - <نوع> القاعدة = مجدول أو NRT

استخدام مصنف التدقيق والمراقبة الصحية

  1. لجعل المصنف متوفرا في مساحة العمل الخاصة بك، قم بتثبيت حل المصنف من مركز محتوى Microsoft Sentinel:

    1. من مدخل Microsoft Sentinel، حدد مركز المحتوى (معاينة) من قائمة إدارة المحتوى.

    2. في مركز المحتوى، أدخل health في شريط البحث، وحدد Analytics Health & Audit من بين حلول المصنف ضمن Standalone في النتائج.

      لقطة شاشة لاختيار مصنف صحة التحليلات من مركز المحتوى.

    3. حدد تثبيت من جزء التفاصيل، ثم حدد حفظ الذي يظهر في مكانه.

  2. عندما يشير الحل إلى أنه مثبت، حدد Workbooks من قائمة Threat management .

    لقطة شاشة للإشارة إلى تثبيت حل مصنف صحة التحليلات من مركز المحتوى.

  3. في معرض المصنفات ، حدد علامة التبويب Templates ، وأدخل health في شريط البحث، وحدد Analytics Health & Audit من بين النتائج.

    لقطة شاشة لتحديد مصنف صحة التحليلات من معرض القوالب.

  4. حدد حفظ في جزء التفاصيل لإنشاء نسخة قابلة للتحرير وقابلة للاستخدام من المصنف. عند إنشاء النسخة، حدد "View saved workbook".

  5. بمجرد دخولك إلى المصنف، حدد أولا الاشتراكومساحة العمل التي تريد عرضها (قد تكون محددة بالفعل)، ثم حدد النطاق الزمني لتصفية البيانات وفقا لاحتياجاتك. استخدم تبديل "Show help" لعرض الشرح الموضعي للمصنف.

    لقطة شاشة لعلامة تبويب نظرة عامة على المصنف الصحي لقاعدة التحليلات.

يحتوي هذا المصنف على ثلاثة أقسام مبوبة:

علامة التبويب نظرة عامة

تعرض علامة التبويب نظرة عامة ملخصات الصحة والتدقيق:

  • يتم تشغيل الملخصات الصحية لحالة قاعدة التحليلات في مساحة العمل المحددة: عدد عمليات التشغيل والنجاحات والفشل وتفاصيل حدث الفشل.
  • تدقيق ملخصات الأنشطة على قواعد التحليلات في مساحة العمل المحددة: عدد الأنشطة بمرور الوقت، وعدد الأنشطة حسب النوع، وعدد الأنشطة من أنواع مختلفة حسب القاعدة.

علامة تبويب السلامة

تتيح لك علامة التبويب "صحتي" استكشاف أحداث صحية معينة.

لقطة شاشة لاختيار علامة التبويب health في مصنف صحة التحليلات.

  • قم بتصفية بيانات الصفحة بأكملها حسب الحالة (النجاح أو الفشل) ونوع القاعدة (المجدول أو NRT).
  • اطلع على اتجاهات عمليات تشغيل القواعد الناجحة والفاشلة (اعتمادا على عامل تصفية الحالة) خلال الفترة الزمنية المحددة. يمكنك "فرشاة الوقت" الرسم البياني للاتجاه لرؤية مجموعة فرعية من النطاق الزمني الأصلي. لقطة شاشة لقاعدة التحليلات تعمل بمرور الوقت في مصنف صحة التحليلات.
  • قم بتصفية بقية الصفحة حسب السبب.
  • راجع إجمالي عدد عمليات التشغيل لجميع قواعد التحليلات، المعروضة بشكل متناسب حسب الحالة في مخطط دائري.
  • فيما يلي جدول يعرض عدد قواعد التحليلات الفريدة التي تم تشغيلها، مقسمة حسب نوع القاعدة وحالتها.
    • حدد حالة لتصفية المخططات المتبقية لهذه الحالة.
    • قم بإلغاء تحديد عامل التصفية عن طريق تحديد أيقونة "مسح التحديد" (تبدو كأيقونة "تراجع") في الزاوية العلوية اليسرى من المخطط. لقطة شاشة لعدد القواعد التي يتم تشغيلها حسب الحالة ونوعها في مصنف صحة التحليلات.
  • راجع كل حالة، مع عدد الأسباب المحتملة لهذه الحالة. (يتم عرض الأسباب الممثلة في عمليات التشغيل في الإطار الزمني المحدد فقط.)
    • حدد حالة لتصفية المخططات المتبقية لهذه الحالة.
    • قم بإلغاء تحديد عامل التصفية عن طريق تحديد أيقونة "مسح التحديد" (تبدو كأيقونة "تراجع") في الزاوية العلوية اليسرى من المخطط. لقطة شاشة لعدد الأسباب الفريدة حسب الحالة في مصنف صحة التحليلات.
  • بعد ذلك، راجع قائمة بهذه الأسباب، مع دمج عدد إجمالي عمليات تشغيل القاعدة وعدد القواعد الفريدة التي تم تشغيلها.
    • حدد سببا لتصفية المخططات التالية لهذا السبب.
    • قم بإلغاء تحديد عامل التصفية عن طريق تحديد أيقونة "مسح التحديد" (تبدو كأيقونة "تراجع") في الزاوية العلوية اليسرى من المخطط. لقطة شاشة للقاعدة يتم تشغيلها لسبب فريد في مصنف صحة التحليلات.
  • بعد ذلك ، توجد قائمة بقواعد التحليلات الفريدة التي تم تشغيلها ، مع أحدث النتائج وخطوط الاتجاه لنجاحها وفشلها (اعتمادا على الحالة المحددة لتصفية القائمة).
    • حدد قاعدة للتنقل لأسفل وإظهار جدول جديد مع جميع عمليات تشغيل تلك القاعدة (في الإطار الزمني المحدد).
    • قم بإلغاء تحديد هذا الجدول عن طريق تحديد أيقونة "مسح التحديد" (تبدو كأيقونة "تراجع") في الزاوية العلوية اليسرى من المخطط. لقطة شاشة لقائمة القواعد الفريدة التي يتم تشغيلها، مع الحالة وخطوط الاتجاه، في مصنف صحة التحليلات.
  • إذا قمت بتحديد قاعدة في القائمة، فسيظهر جدول جديد يحتوي على تفاصيل السلامة للقاعدة المحددة. لقطة شاشة لقائمة عمليات تشغيل قاعدة التحليلات المحددة، في مصنف صحة التحليلات.

علامة التبويب "تدقيق"

تتيح لك علامة التبويب Audit التنقل لأسفل وصولا إلى أحداث تدقيق معينة.

لقطة شاشة لاختيار علامة تبويب التدقيق في مصنف صحة التحليلات.

  • تصفية بيانات الصفحة بأكملها حسب نوع قاعدة التدقيق (مجدول/الاندماج).
  • راجع اتجاهات النشاط المدقق على قواعد التحليلات خلال الفترة الزمنية المحددة. يمكنك "فرشاة الوقت" الرسم البياني للاتجاه لرؤية مجموعة فرعية من النطاق الزمني الأصلي. لقطة شاشة لنشاط التدقيق الرائج في مصنف صحة التحليلات.
  • راجع أرقام الأحداث التي تم تدقيقها، مقسمة حسب النشاط ونوع القاعدة.
    • حدد نشاطا لتصفية المخططات التالية لهذا النشاط.
    • قم بإلغاء تحديد عامل التصفية عن طريق تحديد أيقونة "مسح التحديد" (تبدو كأيقونة "تراجع") في الزاوية العلوية اليسرى من المخطط. لقطة شاشة لعدد أحداث التدقيق حسب النشاط والنوع في مصنف صحة التحليلات.
  • راجع عدد الأحداث التي تم تدقيقها حسب اسم القاعدة.
    • حدد اسم قاعدة لتصفية الجدول التالي لتلك القاعدة، وللتنقل لأسفل وإظهار جدول جديد مع كل النشاط على تلك القاعدة (في الإطار الزمني المحدد). (انظر بعد لقطة الشاشة التالية.)
    • قم بإلغاء تحديد عامل التصفية عن طريق تحديد أيقونة "مسح التحديد" (تبدو كأيقونة "تراجع") في الزاوية العلوية اليسرى من المخطط. لقطة شاشة للأحداث التي تم تدقيقها حسب اسم القاعدة والمتصل في مصنف صحة التحليلات.
  • راجع عدد الأحداث التي تم تدقيقها بواسطة المتصل (الهوية التي نفذت النشاط).
  • إذا قمت بتحديد اسم قاعدة في المخطط السابق، فسيظهر جدول آخر يعرض الأنشطة المدققة في تلك القاعدة. حدد القيمة التي تظهر كارتباط في العمود ExtendedProperties لفتح لوحة جانبية تعرض التغييرات التي تم إجراؤها على القاعدة. لقطة شاشة لنشاط التدقيق للقاعدة المحددة في مصنف صحة التحليلات.

الخطوات التالية

  • Last updated on