إنشاء وظائف KQL في مستودع بيانات Microsoft Sentinel

مهام KQL هي استعلامات KQL لمرة واحدة أو مجدولة على البيانات في بحيرة بيانات مايكروسوفت سينتينل. استخدم الوظائف للسيناريوهات الاستقصائية والتحليلية، مثل:

• الاستعلامات لمرة واحدة طويلة الأمد للتحقيقات في الحوادث والاستجابة للحوادث (IR)
• مهام تجميع البيانات التي تدعم مهام سير عمل الإثراء باستخدام سجلات منخفضة الدقة
• عمليات فحص مطابقة التحليل الذكي للتهديدات التاريخية (TI) للتحليل بأثر رجعي
• عمليات فحص الكشف عن الحالات الشاذة التي تحدد أنماطا غير عادية عبر جداول متعددة

تكون وظائف KQL فعالة بشكل خاص عندما تستخدم الاستعلامات الصلات أو الاتحادات عبر مجموعات بيانات مختلفة.

استخدم الوظائف للترويج للبيانات من مستوى بحيرة البيانات إلى مستوى التحليلات. بمجرد الوصول إلى مستوى التحليلات، استخدم محرر KQL للتتبع المتقدم للاستعلام عن البيانات. ترقية البيانات إلى مستوى التحليلات له الفوائد التالية:

• اجمع بين البيانات الحالية والتاريخية في طبقة التحليلات لتشغيل نماذج التحليلات المتقدمة والتعلم الآلي على بياناتك.
• تقليل تكاليف الاستعلام عن طريق تشغيل الاستعلامات في طبقة التحليلات.
• اجمع البيانات من مساحات عمل متعددة إلى مساحة عمل واحدة في طبقة التحليلات.
• اجمع بين بيانات Microsoft Entra ID وMicrosoft 365 وMicrosoft Resource Graph في طبقة التحليلات لتشغيل التحليلات المتقدمة عبر مصادر البيانات.

Note

التخزين في طبقة التحليلات يتحمل معدلات فوترة أعلى مما هو عليه في طبقة مستودع البيانات. لتقليل التكاليف، قم فقط بترقية البيانات التي تحتاج إلى تحليلها بشكل أكبر. استخدم KQL في الاستعلام لعرض الأعمدة التي تحتاجها فقط، وتصفية البيانات لتقليل كمية البيانات التي تمت ترقيتها إلى مستوى التحليلات.

يمكنك ترقية البيانات إلى جدول جديد أو إلحاق النتائج بجدول موجود في طبقة التحليلات. عند إنشاء جدول جديد، يتم لاحقة اسم الجدول ب _KQL_CL للإشارة إلى أن الجدول قد تم إنشاؤه بواسطة وظيفة KQL.

Prerequisites

لإنشاء وإدارة وظائف KQL في بحيرة بيانات مايكروسوفت سينتينل، تحتاج إلى المتطلبات المسبقة التالية.

الإلحاق ببحيرة البيانات

لإنشاء مهام KQL وإدارتها في مستودع بيانات Microsoft Sentinel، يجب أولا إلحاق مستودع البيانات. لمزيد من المعلومات حول الإلحاق ببحيرة البيانات، راجع الإلحاق ببحيرة بيانات Microsoft Sentinel.

Permissions

توفر أدوار معرف Microsoft Entra وصولا واسعا عبر جميع مساحات العمل في مستودع البيانات. لقراءة الجداول عبر جميع مساحات العمل، والكتابة إلى طبقة التحليلات، وجدولة المهام باستخدام استعلامات KQL، يجب أن يكون لديك أحد أدوار معرف Microsoft Entra المدعومة. لمزيد من المعلومات حول الأدوار والأذونات، راجع أدوار وأذونات مستودع بيانات Microsoft Sentinel.

لإنشاء جداول مخصصة جديدة في طبقة التحليلات، قم بتعيين دور مساهم تحليلات السجلات في مساحة عمل تحليلات السجلات لهوية إدارة بحيرة البيانات.

لتعيين الدور، اتبع الخطوات التالية:

1. في بوابة Azure، اذهب إلى مساحة عمل Log Analytics التي تريد تعيين الدور لها.
2. حدد Access control (IAM) في جزء التنقل الأيمن.
3. حدد Add role assignment.
4. في جدول الأدوار ، اختر *Log Analytics Contributor، ثم اختر التالي.
5. حدد الهوية المدارة، ثم حدد تحديد الأعضاء.
6. الهوية المدارة لبحيرة البيانات هي هوية مدارة معينة من قبل النظام تسمى msg-resources-<guid>. حدد الهوية المدارة، ثم حدد تحديد.
7. حدد Review and assign.

لمزيد من المعلومات حول تعيين الأدوار للهويات المدارة، راجع تعيين أدوار Azure باستخدام مدخل Microsoft Azure.

قم بإنشاء وظيفة

يمكنك إنشاء وظائف للتشغيل على جدول زمني أو لمرة واحدة. عند إنشاء مهمة، يمكنك تحديد مساحة العمل الوجهة والجدول للنتائج. يمكنك كتابة النتائج في جدول جديد أو إضافتها إلى جدول موجود في مستوى التحليلات. يمكنك إنشاء وظيفة جديدة في KQL أو إنشاء وظيفة من قالب يحتوي على الاستعلام وإعدادات الوظيفة. لمزيد من المعلومات، راجع إنشاء وظيفة KQL من قالب.

1. ابدأ عملية إنشاء الوظائف من محرر استعلام KQL ، أو من صفحة إدارة الوظائف.

   1. لإنشاء وظيفة من محرر استعلام KQL، حدد الزر إنشاء وظيفة في الزاوية العلوية اليمنى من محرر الاستعلام.

   2. لإنشاء وظيفة من صفحة إدارة الوظائف، اختر Microsoft Sentinel>Data Lake>Explore Jobs ثم اختر زر إنشاء وظيفة .

2. أدخل اسم الوظيفة. يجب أن يكون اسم الوظيفة فريدا للمستأجر. يمكن أن تحتوي أسماء الوظائف على ما يصل إلى 256 حرفا. لا يمكنك استخدام a # أو a - في اسم الوظيفة.

3. أدخل الوصف الوظيفي الذي يوفر سياق الوظيفة والغرض منها.

4. من القائمة المنسدلة تحديد مساحة العمل ، حدد مساحة العمل الوجهة. هذه مساحة العمل تقع في مستوى التحليلات حيث تريد كتابة نتائج الاستعلام.

5. حدد الجدول الوجهة:

   1. لإنشاء جدول جديد، حدد إنشاء جدول جديد وأدخل اسم جدول. تحتوي الجداول التي تم إنشاؤها بواسطة وظائف KQL على اللاحقة _KQL_CL إلحاق باسم الجدول.

   2. للإلحاق بجدول موجود، حدد إضافة إلى جدول موجود وحدد اسم الجدول الذي يشكل القائمة المنسدلة. عند الإضافة إلى جدول موجود، يجب أن تتطابق نتائج الاستعلام مع مخطط الجدول الموجود.

6. حدد التالي.

7. راجع استفسارك أو اكتبه في لوحة إعداد الاستعلام . تحقق من تعيين منتقي الوقت إلى النطاق الزمني المطلوب للوظيفة إذا لم يتم تحديد نطاق التاريخ في الاستعلام.

8. حدد مساحات العمل لتشغيل الاستعلام مقابلها من القائمة المنسدلة مساحات العمل المحددة . هذه مساحات العمل هي مساحات العمل المصدر التي تريد الاستعلام عن جداولها. تحدد مساحات العمل التي تحددها الجداول المتاحة للاستعلام. تنطبق مساحات العمل المحددة على جميع علامات تبويب الاستعلام في محرر الاستعلام. عند استخدام مساحات عمل متعددة، يتم تطبيق عامل التشغيل union() بشكل افتراضي على الجداول التي تحمل نفس الاسم والمخطط من مساحات عمل مختلفة. استخدم عامل workspace() التشغيل للاستعلام عن جدول من مساحة عمل معينة، على سبيل المثال workspace("MyWorkspace").AuditLogs.

   Note

   إذا كنت تكتب إلى جدول موجود، فيجب أن يقوم الاستعلام بإرجاع النتائج بمخطط يطابق مخطط الجدول الوجهة. إذا لم يعرض الاستعلام نتائج بالمخطط الصحيح، فإن المهمة تفشل عند تشغيلها.

9. حدد التالي.

   

   في الصفحة جدولة مهمة الاستعلام ، حدد ما إذا كنت تريد تشغيل المهمة مرة واحدة أو وفقا لجدول زمني. إذا قمت بتحديد مرة واحدة، تشغيل الوظيفة بمجرد اكتمال تعريف الوظيفة. إذا قمت بتحديد جدولة، فيمكنك تحديد تاريخ ووقت لتشغيل المهمة، أو تشغيل الوظيفة وفقا لجدول متكرر.

10. حدد وظيفة واحدة أو وظيفة مجدولة.

    Note

    يؤدي تحرير مهمة لمرة واحدة على الفور إلى تشغيل تنفيذها.

11. إذا قمت بتحديد الجدولة، فأدخل التفاصيل التالية:

    1. حدد تكرار التكرار من القائمة المنسدلة. يمكنك تحديد حسب الدقيقة أو كل ساعة أو يومي أو أسبوعي أو شهري.
    2. قم بتعيين قيمة تكرار كل قيمة لعدد المرات التي تريد تشغيل المهمة فيها فيما يتعلق بالتردد المحدد.
    3. ضمن تعيين الجدول الزمني، أدخل من التواريخ والوقت. يجب أن يكون وقت بدء المهمة في الحقل "من" 30 دقيقة على الأقل بعد إنشاء الوظيفة. يتم تشغيل الوظيفة من هذا التاريخ والوقت وفقا لتحديد التكرار في القائمة المنسدلة تشغيل كل
    4. حدد التاريخ والوقت لتحديد وقت انتهاء جدول العمل. إذا كنت تريد أن يستمر الجدول الزمني إلى أجل غير مسمى، فحدد تعيين الوظيفة للتشغيل إلى أجل غير مسمى.

    يتم تعيين المهمة من وإلى الأوقات لإعدادات المستخدم المحلية.

    Note

    إذا جدولة مهمة لتعمل بتردد عال، مثل كل 30 دقيقة، يجب أن تأخذ في الاعتبار الوقت الذي تستغرقه توفر البيانات في بحيرة البيانات. عادة ما يكون هناك زمن استجابة يصل إلى 15 دقيقة قبل أن تتوفر البيانات الجديدة للاستعلام.

12. حدد التالي لمراجعة تفاصيل الوظيفة.

    

13. راجع تفاصيل الوظيفة وحدد إرسال لإنشاء الوظيفة. إذا كانت الوظيفة مهمة لمرة واحدة، فإنها يتم تشغيلها بعد تحديد إرسال. إذا تمت جدولة الوظيفة، تتم إضافتها إلى قائمة الوظائف في صفحة الوظائف ويتم تشغيلها وفقا لبيانات البدء والوقت.

14. تمت جدولة المهمة ويتم عرض الصفحة التالية. يمكنك عرض المهمة عن طريق تحديد الارتباط.

أنشئ وظيفة من قالب

يمكنك إنشاء وظيفة KQL من قالب وظيفة محدد مسبقا. تحتوي قوالب الوظائف على استعلام KQL وإعدادات الوظيفة، مثل مساحة العمل والجدول الوجهي، والجدول الزمني، والوصف. يمكنك إنشاء قوالب الوظائف الخاصة بك أو استخدام قوالب مدمجة توفرها مايكروسوفت.

لإنشاء وظيفة من قالب معين، اتبع هذه الخطوات:

1. من صفحة الوظائف أو محرر الاستعلامات في KQL، اختر إنشاء وظيفة، ثم اختر إنشاء من القالب.

2. في صفحة قوالب الوظائف ، اختر القالب الذي تريد استخدامه من قائمة القوالب المتاحة.

3. راجع استعلام الوصفوKQL من القالب.

4. اختر إنشاء وظيفة من القالب.

   

5. يفتح معالج خلق الوظائف بصفحة إنشاء وظيفة جديدة ل KQL . تفاصيل المهمة كانت موجودة مسبقا من القالب باستثناء مساحة العمل الوجهة.

6. اختر مساحة العمل الوجهة من قائمة اختيار مساحة العمل .

7. راجع وعدل تفاصيل الوظيفة حسب الحاجة، ثم اختر التالي للانتقال عبر معالج إنشاء الوظائف.

8. الخطوات المتبقية هي نفسها إنشاء وظيفة جديدة. الحقول معدة مسبقا من القالب ويمكن تعديلها حسب الحاجة. لمزيد من المعلومات، راجع إنشاء وظيفة.

القوالب التالية متوفرة:

اسم القالب	Category
تزداد مواقع تسجيل الدخول غير العادية تحليل تحليل اتجاهات سجلات تسجيل الدخول في Entra ID لاكتشاف التغيرات غير المعتادة في المواقع للمستخدمين عبر التطبيقات من خلال حساب خطوط اتجاهات تنوع الموقع. يسلط الضوء على أفضل ثلاثة حسابات ذات زيادة حادة في تباين المواقع ويدرج مواقعها المرتبطة ضمن نوافذ 21 يوما. جدول الوجهة: UserAppSigninLocationTrend مراجعة الاستعلام: يوم واحد الجدول: يوميا تاريخ البدء: التاريخ الحالي + ساعة واحدة	Hunting
سلوك تسجيل الدخول غير المعتاد بناء على تغييرات الموقع تحديد سلوك تسجيل الدخول الشاذ بناء على تغييرات الموقع لمستخدمي وتطبيقات Entra ID لاكتشاف التغيرات المفاجئة في السلوك. جدول الوجهة: UserAppSigninLocationAnomalies مراجعة الاستعلام: يوم واحد الجدول: يوميا تاريخ البدء: التاريخ الحالي + ساعة واحدة	اكتشاف الشذوذ
تدقيق النشاط النادر بواسطة التطبيق ابحث عن تطبيقات تقوم بأفعال نادرة (مثل الموافقة، المنح) التي يمكنها خلق امتيازات بهدوء. قارن اليوم الحالي مع آخر 14 يوما من التدقيق لتحديد أنشطة التدقيق الجديدة. مفيد لتتبع الأنشطة الخبيثة المتعلقة بإضافات أو إزالة المستخدمين أو المجموعات بواسطة تطبيقات Azure والموافقات الآلية. جدول الوجهة: AppAuditRareActivity مراجعة الاستعلام: 14 يوما الجدول: يوميا تاريخ البدء: التاريخ الحالي + ساعة واحدة	Hunting
Azure rare subscription level operations تحديد الأحداث الحساسة على مستوى الاشتراك في Azure بناء على سجلات نشاط Azure. على سبيل المثال، المراقبة بناء على اسم العملية "إنشاء أو تحديث لقطة اللقاء"، والتي تستخدم لإنشاء نسخ احتياطية لكنها قد يساء استخدامها من قبل المهاجمين لتفريغ التجزئة أو استخراج معلومات حساسة من القرص. جدول الوجهة: AzureSubscriptionSensitiveOps مراجعة الاستعلام: 14 يوما الجدول: يوميا تاريخ البدء: التاريخ الحالي + ساعة واحدة	Hunting
اتجاه النشاط اليومي حسب التطبيق في AuditLogs من آخر 14 يوما، حدد أي عملية "موافقة على التقديم" تحدث من قبل المستخدم أو التطبيق. قد يشير ذلك إلى أن صلاحيات الوصول إلى تطبيق Azure المدرج تم منحها لجهة خبيثة. الموافقة على التقديم، إضافة مدير الخدمة، وإضافة Auth2PermissionGrant يجب أن تكون أحداث نادرة. إذا كان ذلك متاحا، يتم إضافة سياق إضافي من سجلات التدقيق بناء على CorrleationId من نفس الحساب الذي نفذ "الموافقة على التقديم". جدول الوجهة: AppAuditActivityBaseline مراجعة الاستعلام: 14 يوما الجدول: يوميا تاريخ البدء: التاريخ الحالي + ساعة واحدة	الخط الأساسي
اتجاه الموقع اليومي لكل مستخدم أو تطبيق في SignInLogs ابن اتجاهات يومية لجميع تسجيلات دخول المستخدمين، وعدد المواقع، واستخدام تطبيقاتهم. جدول الوجهة: UserAppSigninLocationBaseline مراجعة الاستعلام: يوم واحد الجدول: يوميا تاريخ البدء: التاريخ الحالي + ساعة واحدة	الخط الأساسي
اتجاه حركة المرور اليومية على الشبكة لكل عنوان IP وجهة أنشئ خط أساس يشمل البايتات ونظائر مميزة لاكتشاف الإشارات والتسرب (beaconing) والتسلل. جدول الوجهة: NetworkTrafficDestinationIPDailyBaseline مراجعة الاستعلام: يوم واحد الجدول: يوميا تاريخ البدء: التاريخ الحالي + ساعة واحدة	الخط الأساسي
اتجاه حركة المرور اليومية على الشبكة لكل عنوان IP وجهة مع إحصائيات نقل البيانات حدد المضيف الداخلي الذي وصل إلى الوجهة الخارجية، بما في ذلك اتجاهات الحجم، وتقدير نصف قطر الانفجار. جدول الوجهة: NetworkTrafficDestinationIPTrend مراجعة الاستعلام: يوم واحد الجدول: يوميا تاريخ البدء: التاريخ الحالي + ساعة واحدة	Hunting
اتجاه حركة المرور اليومية على الشبكة لكل عنوان IP المصدر أنشئ خط أساس يشمل البايتات ونظائر مميزة لاكتشاف الإشارات والتسرب (beaconing) والتسلل. جدول الوجهة: NetworkTrafficSourceIPDailyBaseline مراجعة الاستعلام: يوم واحد الجدول: يوميا تاريخ البدء: التاريخ الحالي + ساعة واحدة	الخط الأساسي
اتجاه حركة المرور اليومية للشبكة لكل عنوان IP المصدر مع إحصائيات نقل البيانات يتم تقييم الاتصالات والبايتات اليوم مقابل خط الأساس اليومي للمضيف لتحديد ما إذا كانت السلوكيات المرصودة تنحرف بشكل كبير عن النمط المعتمد. جدول الوجهة: NetworkTrafficSourceIPTrend مراجعة الاستعلام: يوم واحد الجدول: يوميا تاريخ البدء: التاريخ الحالي + ساعة واحدة	Hunting
اتجاه موقع تسجيل الدخول اليومي لكل مستخدم وتطبيق أنشئ خط تسجيل دخول لكل مستخدم أو تطبيق بالجغرافيا والملكية الفكرية النموذجية، مما يتيح اكتشافا فعالا وفعالا من حيث التكلفة للشذوذات على نطاق واسع. جدول الوجهة: UserAppSigninLocationDailyBaseline مراجعة الاستعلام: يوم واحد الجدول: يوميا تاريخ البدء: التاريخ الحالي + ساعة واحدة	الخط الأساسي
اتجاه تنفيذ العمليات اليومي تحديد العمليات الجديدة وانتشارها، مما يجعل اكتشافات "العمليات النادرة الجديدة" أسهل. جدول الوجهة: نقطة النهاية عملية التنفيذ القاعدة مراجعة الاستعلام: يوم واحد الجدول: يوميا تاريخ البدء: التاريخ الحالي + ساعة واحدة	الخط الأساسي
وكيل المستخدم النادر من Entra ID لكل تطبيق حدد خط أساس لنوع وكيل المستخدم (أي المتصفح، تطبيق المكتب، إلخ) الذي يستخدم عادة لتطبيق معين من خلال النظر إلى الوراء لعدة أيام. ثم يبحث في اليوم الحالي عن أي انحرافات عن هذا النمط، أي أنواع من وكلاء المستخدم التي لم تر من قبل مع هذا التطبيق. جدول الوجهة: UserAppRareUserAgentAnomalies مراجعة الاستعلام: 7 أيام الجدول: يوميا تاريخ البدء: التاريخ الحالي + ساعة واحدة	اكتشاف الشذوذ
مطابقة IOC لسجل الشبكة حدد أي مؤشرات IP للاختراق (IOCs) من استخبارات التهديدات (TI)، من خلال البحث عن تطابقات في CommonSecurityLog. جدول الوجهة: NetworkLogIOCMatches مراجعة الاستعلام: ساعة واحدة الجدول: كل ساعة تاريخ البدء: التاريخ الحالي + ساعة واحدة	Hunting
عمليات جديدة لوحظت خلال الأربع وعشرين ساعة الماضية قد تشير العمليات الجديدة في البيئات المستقرة إلى نشاط خبيث. تحليل جلسات تسجيل الدخول التي تم تشغيل هذه الثنائية يمكن أن يساعد في تحديد الهجمات. جدول الوجهة: نقطة النهاية التنفيذ الجديد للعملية مراجعة الاستعلام: 14 يوما الجدول: يوميا تاريخ البدء: التاريخ الحالي + ساعة واحدة	Hunting
تشغيل ملفات SharePoint عبر عناوين IP لم تر من قبل حدد الشذوذات باستخدام سلوك المستخدم عن طريق تحديد حد للتغيرات الكبيرة في أنشطة رفع وتنزيل الملفات من عناوين IP جديدة. يحدد هذا المعيار أساسا للسلوك النموذجي، ويقارنه بالنشاط الأخير، ويشير إلى الانحرافات التي تتجاوز الحد الافتراضي 25. جدول الوجهة: SharePointFileOpsNewIPs مراجعة الاستعلام: 14 يوما الجدول: يوميا تاريخ البدء: التاريخ الحالي + ساعة واحدة	Hunting
إشارة محتملة لشبكة بالو ألتو تحديد أنماط الإشارات من سجلات حركة المرور في شبكة بالو ألتو بناء على أنماط دلتا زمنية متكررة. يستخدم الاستعلام دوال KQL مختلفة لحساب دلتا الزمن ثم يقارنها مع إجمالي الأحداث التي تمت رصدها في اليوم لتحديد نسبة الإنارات. جدول الوجهة: PaloAltoNetworkBeaconingTrend مراجعة الاستعلام: يوم واحد الجدول: يوميا تاريخ البدء: التاريخ الحالي + ساعة واحدة	Hunting
تسجيل دخول مشبوه في ويندوز خارج ساعات العمل العادية حدد أحداث تسجيل الدخول غير العادية في ويندوز خارج ساعات المستخدم العادية من خلال مقارنة نشاط تسجيل الدخول في آخر 14 يوما، مع الإبلاغ عن الشذوذات بناء على أنماط تاريخية. جدول الوجهة: ويندوزLoginOffHoursAnomalies مراجعة الاستعلام: 14 يوما الجدول: يوميا تاريخ البدء: التاريخ الحالي + ساعة واحدة	اكتشاف الشذوذ

الاعتبارات والقيود

عند إنشاء وظائف في بحيرة بيانات مايكروسوفت سينتينل، ضع في اعتبارك القيود والممارسات المثلى التالية:

KQL

• يتم دعم جميع مشغلي KQL ووظائفه باستثناء ما يلي:

  • adx()
  • arg()
  • externaldata()
  • ingestion_time()

• عند استخدام الأمر stored_query_results ، قدم نطاق الوقت في استعلام KQL. محدد الوقت فوق محرر الاستعلامات لا يعمل مع هذا الأمر.

• الوظائف المعرفة من قبل المستخدم غير مدعومة.

Jobs

• يجب أن تكون أسماء الوظائف فريدة للمستأجر.
• يمكن أن يصل عدد أسماء الوظائف إلى 256 حرفا.
• لا يمكن أن تحتوي أسماء الوظائف على أ # أو .-
• يجب أن يكون وقت بدء المهمة بعد 30 دقيقة على الأقل من إنشاء الوظيفة أو تحريرها.

زمن استجابة لاستبعاد بحيرة البيانات

تخزن طبقة بحيرة البيانات البيانات في التخزين البارد. على عكس مستويات التحليلات الساخنة أو شبه الوقت الحقيقي، فإن التخزين البارد محسن للاحتفاظ طويل الأمد وكفاءة التكلفة ولا يوفر وصولا فوريا إلى البيانات الجديدة المستواصلة. عند إضافة صفوف جديدة إلى الجداول الموجودة في بحيرة البيانات، هناك زمن تأخير نموذجي يصل إلى 15 دقيقة قبل أن تكون البيانات متاحة للاستعلام. ضع في الاعتبار زمن الاستجابة عند تشغيل الاستعلامات وجدولة مهام KQL من خلال ضمان أن نوافذ الرجوع وجداول المهام مهيأة لتجنب البيانات غير المتوفرة بعد.

لتجنب الاستعلام عن بيانات قد لا تكون متوفرة بعد، أدرج معامل تأخير في استفسارات أو وظائف KQL الخاصة بك. على سبيل المثال، عند جدولة المهام الآلية، اضبط وقت نهاية الاستعلام إلى now() - delay، حيث delay يتطابق مع زمن استجابة جاهزية البيانات المعتاد البالغ 15 دقيقة. يضمن هذا النهج أن الاستعلامات تستهدف فقط البيانات التي تم استيعابها بالكامل وجاهزة للتحليل.

let lookback = 15m;
let delay = 15m;
let endTime = now() - delay;
let startTime = endTime - lookback;
CommonSecurityLog
| where TimeGenerated between (startTime .. endTime)

هذا النهج فعال للوظائف ذات نوافذ النظر القصيرة أو فترات التنفيذ المتكررة.

فكر في تزامن فترة البحث مع تكرار الوظائف لتقليل خطر فقدان البيانات المتأخرة.

لمزيد من المعلومات، راجع التعامل مع تأخر الإدخال في قواعد التحليلات المجدولة.

أسماء الأعمدة

الأعمدة القياسية التالية غير مدعومة للتصدير. تقوم عملية الإدخال بالكتابة فوق هذه الأعمدة في طبقة الوجهة:

• TenantId

• _TimeReceived

• Type

• SourceSystem

• _ResourceId

• _SubscriptionId

• _ItemId

• _BilledSize

• _IsBillable

• _WorkspaceId

• TimeGenerated يتم استبعادها إذا كان عمره أكثر من يومين. للحفاظ على زمن الحدث الأصلي، اكتب الطابع الزمني المصدر في عمود منفصل.

للحصول على حدود الخدمة، راجع حدود خدمة بحيرة بيانات Microsoft Sentinel.

Note

قد ترفع النتائج الجزئية إذا تجاوز استعلام الوظيفة حد الساعة الواحدة.

معلمات الخدمة وحدودها لمهام KQL

يسرد الجدول التالي معلمات الخدمة وحدودها لوظائف KQL في مستودع بيانات Microsoft Sentinel.

Category	المعلمة / الحد
التنفيذ المتزامن للمهمة لكل مستأجر	3
مهلة تنفيذ استعلام الوظيفة	ساعة
الوظائف لكل مستأجر (الوظائف الممكنة)	100
عدد جداول الإخراج لكل وظيفة	1
نطاق الاستعلام	مساحات عمل متعددة
النطاق الزمني للاستعلام	ما يصل إلى 12 عاما

للحصول على تلميحات استكشاف الأخطاء وإصلاحها ورسائل الخطأ، راجع استكشاف أخطاء استعلامات KQL وإصلاحها لبحيرة بيانات Microsoft Sentinel.

المحتوى ذو الصلة

• إدارة المهام في مستودع بيانات Microsoft Sentinel
• نظرة عامة على مستودع بيانات Microsoft Sentinel
• استعلامات KQL في مستودع بيانات Microsoft Sentinel
• دفاتر ملاحظات Jupyter ومستودع بيانات Microsoft Sentinel