إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
باستخدام مستودع بيانات Microsoft Sentinel، يمكنك تخزين وتحليل السجلات عالية الحجم وذات الدقة المنخفضة مثل جدار الحماية أو بيانات DNS وجرد الأصول والسجلات التاريخية لمدة تصل إلى 12 عاما. نظرا إلى فصل التخزين والحساب، يمكنك الاستعلام عن نفس نسخة البيانات باستخدام أدوات متعددة، دون نقلها أو تكرارها.
يمكنك استكشاف البيانات في مستودع البيانات باستخدام Kusto Query Language (KQL) وJupyter Notebooks، لدعم مجموعة واسعة من السيناريوهات، من تتبع التهديدات والتحقيقات إلى الإثراء والتعلم الآلي.
تقدم هذه المقالة المفاهيم والسيناريوهات الأساسية لاستكشاف مستودع البيانات، وتسلط الضوء على حالات الاستخدام الشائعة، وتوضح كيفية التفاعل مع بياناتك باستخدام أدوات مألوفة.
استعلامات KQL التفاعلية
استخدم Kusto Query Language (KQL) لتشغيل الاستعلامات التفاعلية مباشرة على مستودع البيانات عبر مساحات عمل متعددة.
باستخدام KQL، يمكن للالمحللين:
- التحقيق والاستجابة باستخدام البيانات التاريخية: استخدم البيانات طويلة الأجل في مستودع البيانات لجمع الأدلة الجنائية والتحقيق في حادث واكتشاف الأنماط والاستجابة للحوادث.
- إثراء التحقيقات بسجلات عالية الحجم: استفد من البيانات الصاخبة أو منخفضة الدقة المخزنة في مستودع البيانات لإضافة السياق والعمق إلى التحقيقات الأمنية.
- ربط بيانات الأصول والسجلات في مستودع البيانات: الاستعلام عن جرد الأصول وسجلات الهوية لتوصيل نشاط المستخدم بالموارد والكشف عن هجوم أوسع.
استخدم استعلامات KQL ضمن استكشاف مستودع Microsoft Sentinel>Data في مدخل Defender لتشغيل استعلامات KQL التفاعلية المخصصة مباشرة على البيانات طويلة الأجل. يتوفر استكشاف مستودع البيانات بعد اكتمال عملية الإلحاق. تعد استعلامات KQL مثالية لمحللي SOC الذين يحققون في الحوادث التي قد لا تكون فيها البيانات موجودة في طبقة التحليلات. تمكن الاستعلامات التحليل الجنائي باستخدام استعلامات مألوفة دون إعادة كتابة التعليمات البرمجية. لبدء استخدام استعلامات KQL، راجع استكشاف مستودع البيانات - استعلامات KQL.
وظائف KQL
مهام KQL هي استعلامات KQL غير متزامنة لمرة واحدة أو مجدولة على البيانات في مستودع بيانات Microsoft Sentinel. الوظائف مفيدة للسيناريوهات التحقيقية والتحليلية على سبيل المثال؛
- استعلامات لمرة واحدة طويلة الأمد للتحقيق في الحوادث والاستجابة للحوادث (IR)
- مهام تجميع البيانات التي تدعم مهام سير عمل الإثراء باستخدام سجلات منخفضة الدقة
- مطابقة التحليل الذكي للمخاطر التاريخية (TI) للتحليل الاستعادي
- عمليات فحص الكشف عن الحالات الشاذة التي تحدد أنماطا غير عادية عبر جداول متعددة
- قم بترقية البيانات من مستودع البيانات إلى مستوى التحليلات لتمكين التحقيق في الحوادث أو ارتباط السجل.
قم بتشغيل مهام KQL لمرة واحدة على مستودع البيانات لتعزيز بيانات تاريخية محددة من طبقة مستودع البيانات إلى طبقة التحليلات، أو إنشاء جداول ملخص مخصصة في طبقة مستودع البيانات. تعد ترقية البيانات مفيدة لتحليل السبب الجذري أو الكشف عن صفر يوم عند التحقيق في الحوادث التي تتجاوز نافذة مستوى التحليلات. أرسل مهمة مجدولة على مستودع البيانات لأتمتة الاستعلامات المتكررة للكشف عن الحالات الشاذة أو إنشاء خطوط أساسية باستخدام البيانات التاريخية. يمكن لصائدي التهديدات استخدام هذا لمراقبة الأنماط غير العادية بمرور الوقت وتغذية النتائج في الاكتشافات أو لوحات المعلومات. لمزيد من المعلومات، راجع إنشاء وظائف في مستودع بيانات Microsoft Sentinelوإدارة المهام في مستودع بيانات Microsoft Sentinel.
تصور البيانات في مستودع بيانات Microsoft Sentinel باستخدام المصنفات
يمكنك استخدام مصنفات Microsoft Sentinel لتصور البيانات ومراقبتها في مستودع بيانات Microsoft Sentinel. من خلال تحديد Sentinel data lake كمصدر بيانات في مصنف، يمكنك تشغيل استعلامات KQL مباشرة على مستودع البيانات وعرض النتائج كمخططات وجداول تفاعلية. يسمح لك هذا بإنشاء لوحات معلومات وتقارير تستفيد من بيانات تتبع الاستخدام طويلة الأجل وعالية الحجم المخزنة في مستودع البيانات، ما يجعلها مثالية للتتبع المتقدم للتهديدات وتحليل الاتجاهات وإعداد التقارير التنفيذية. لمزيد من المعلومات حول إنشاء مصنفات باستخدام مستودع بيانات Sentinel، راجع تصور البيانات في مستودع بيانات Microsoft Sentinel باستخدام المصنفات.
سيناريوهات الاستكشاف
توضح السيناريوهات التالية كيف يمكن استخدام استعلامات KQL في مستودع بيانات Microsoft Sentinel لتحسين عمليات الأمان:
| السيناريو | التفاصيل | مثال |
|---|---|---|
| التحقيق في الحوادث الأمنية باستخدام بيانات تاريخية طويلة الأجل | غالبا ما تحتاج فرق الأمان إلى تجاوز نافذة الاستبقاء الافتراضية للكشف عن النطاق الكامل للحادث. | يستخدم محلل SOC من المستوى 3 الذي يحقق في هجوم القوة الغاشمة استعلامات KQL مقابل مستودع البيانات للاستعلام عن البيانات الأقدم من 90 يوما. بعد تحديد النشاط المشبوه من أكثر من عام، يعزز المحلل النتائج إلى مستوى التحليلات لتحليل أعمق وارتباط الحادث. |
| الكشف عن الحالات الشاذة وإنشاء خطوط أساسية سلوكية بمرور الوقت | يعتمد مهندسو الكشف على البيانات التاريخية لإنشاء خطوط أساسية وتحديد الأنماط التي قد تشير إلى السلوك الضار. | يحلل مهندس الكشف سجلات تسجيل الدخول على مدى عدة أشهر للكشف عن الارتفاعات في النشاط. من خلال جدولة مهمة KQL في مستودع البيانات، فإنها تنشئ خط أساس للسلسلة الزمنية وتكشف عن نمط متسق مع إساءة استخدام بيانات الاعتماد. |
| إثراء التحقيقات باستخدام سجلات عالية الحجم ومنخفضة الدقة | بعض السجلات صاخبة جدا أو ضخمة بالنسبة إلى مستوى التحليلات ولكنها لا تزال قيمة للتحليل السياقي. | يستخدم محللو SOC KQL للاستعلام عن سجلات الشبكة وجدار الحماية المخزنة فقط في مستودع البيانات. تساعد هذه السجلات، على الرغم من عدم وجودها في مستوى التحليلات، في التحقق من صحة التنبيهات وتقديم أدلة داعمة أثناء التحقيقات. |
| الاستجابة للتهديدات الناشئة باستخدام ترتيب البيانات المرن | عندما يظهر تحليل ذكي جديد للمخاطر، يحتاج المحللون إلى الوصول بسرعة إلى البيانات التاريخية والعمل عليها. | يتفاعل محلل التحليل الذكي للمخاطر مع تقرير تحليلات التهديدات المنشور حديثا عن طريق تشغيل استعلامات KQL المقترحة في مستودع البيانات. عند اكتشاف النشاط ذي الصلة من عدة أشهر مضت، يتم ترقية السجل المطلوب إلى مستوى التحليلات. لتمكين الكشف في الوقت الحقيقي للكشف المستقبلي، يمكن تعديل نهج التدرج على الجداول ذات الصلة لعكس أحدث السجلات في طبقة التحليلات. |
| استكشاف بيانات الأصول من مصادر خارج سجلات الأمان التقليدية | إثراء التحقيق باستخدام مخزون الأصول مثل العناصر Microsoft Entra ID والموارد Azure. | يمكن للمحللين استخدام KQL للاستعلام عن معلومات أصول الهوية والموارد، مثل المستخدمين Microsoft Entra ID أو التطبيقات أو المجموعات أو جرد موارد Azure، لربط السجلات للسياق الأوسع الذي يكمل بيانات الأمان الحالية. |