إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
مستودع بيانات Microsoft Sentinel عبارة عن مستودع بيانات أمان أصلي للسحابة مصمم لهذا الغرض يحول كيفية إدارة المؤسسات لبيانات الأمان وتحليلها. تم تصميمه كبحيرة بيانات حقيقية ، وهو يستوعب ويخزن ويحلل كميات كبيرة من بيانات الأمان المتنوعة على نطاق واسع. من خلال مركزية بيانات الأمان في نظام أساسي واحد مفتوح التنسيق وقابل للتوسيع، فإنه يوفر رؤية عميقة واحتفاظا طويل الأجل وتحليلات متقدمة.
يتيح لك مستودع البيانات إحضار جميع بيانات الأمان الخاصة بك إلى Microsoft Sentinel بشكل فعال من حيث التكلفة، مما يلغي الحاجة إلى الاختيار بين التغطية والتكلفة. يمكنك الاحتفاظ بمزيد من البيانات لفترة أطول، واكتشاف التهديدات بسياق أكبر وعمق تاريخي، والاستجابة بشكل أسرع دون المساس بالأمان.
تتم إدارة مستودع بيانات Microsoft Sentinel بالكامل، لذلك لا تحتاج إلى نشر البنية الأساسية للبيانات أو صيانتها. ويوفر نظاما أساسيا موحدا للبيانات لتحليل التهديدات والاستجابة لها من طرف إلى طرف. يقوم بتخزين نسخة واحدة من بيانات الأمان عبر الأصول وسجلات النشاط وذكاء التهديدات في البحيرة ويستفيد من أدوات التحليلات المتعددة مثل دفاتر ملاحظات KQL و Jupyter لتحليلات الأمان العميقة.
تكافح حلول SIEM التقليدية مع تكلفة وتعقيد تخزين بيانات الأمان طويلة الأجل والاستعلام عنها. يحل مستودع بيانات Microsoft Sentinel هذه التحديات بالطرق التالية:
- توحيد بيانات الأمان عبر Microsoft Defender XDR والمصادر والأصول التابعة لجهات خارجية وسجلات النشاط والتحليل الذكي للمخاطر
- تحسين التكاليف من خلال التخزين المتدرج وترويج البيانات عند الطلب ونسخة واحدة من البيانات
- تمكين رؤى الأمان العميقة مع ما يصل إلى 12 عاما من بيانات الأمان والقياس عن بعد التي يمكنك الاستعلام عنها وتحليلها
- تشغيل الذكاء الاصطناعي والتشغيل التلقائي للكشف والاستجابة بشكل أسرع.
باستخدام نسخة واحدة من البيانات ، استخدم KQL لتشغيل الاستعلامات ودفاتر ملاحظات Jupyter مع مكتبات Python المتطورة وأدوات التعلم الآلي لإجراء تحليل أعمق للطب الشرعي والاستجابة للحوادث واكتشاف الحالات الشاذة.
Architecture
يسهل مستودع بيانات Microsoft Sentinel، المبني على البنية الأساسية القابلة للتطوير في Azure، الاستيعاب والتحليل والعمل المركزي عبر مصادر البيانات المتنوعة. تتضمن البنية التقنية لبحيرة بيانات Microsoft Sentinel المزايا الرئيسية التالية:
- ملفات بيانات Parquet ذات التنسيق المفتوح لقابلية التشغيل البيني وقابلية التوسعة
- نسخة واحدة من البيانات لتخزين فعال وفعال من حيث التكلفة
- فصل التخزين والحوسبة لمزيد من المرونة
- دعم محركات التحليلات المتعددة لإطلاق العنان للرؤى من بيانات الأمان الخاصة بك
- التكامل الأصلي مع Microsoft Sentinel SIEM ومهام سير عمل عمليات الأمان الخاصة به
طبقات التخزين
تم تصميم Microsoft Sentinel مع مستويين متميزين من التخزين لتحسين التكلفة والأداء:
- طبقة التحليلات: طبقة بيانات Microsoft Sentinel الحالية التي تدعم التتبع المتقدم والتنبيه وإدارة الحوادث لمساعدتك على تحديد المشكلات وحلها بشكل استباقي عبر البنية الأساسية والتطبيقات. تم تصميم هذه الطبقة للتحليلات عالية الأداء ومعالجة البيانات في الوقت الفعلي.
- طبقة مستودع البيانات: يوفر تخزينا مركزيا طويل الأجل للاستعلام والتحليلات المتقدمة المستندة إلى Python. إنه مصمم للاحتفاظ بكميات كبيرة من بيانات الأمان بشكل فعال من حيث التكلفة لمدة تصل إلى 12 عاما. يتم عكس البيانات في طبقة التحليلات إلى طبقة البحيرة، مع الاحتفاظ بنسخة واحدة من البيانات.
لمزيد من المعلومات حول مستويات البيانات والاحتفاظ بها، راجع إدارة مستويات البيانات والاحتفاظ بها في مدخل Microsoft Defender.
مصادر البيانات المدعومة
يعمل مستودع بيانات Microsoft Sentinel مع جميع موصلات بيانات Sentinel الموجودة، بما في ذلك:
- جميع مصادر بيانات Microsoft Defender وMicrosoft Sentinel
- Microsoft 365
- معرف Microsoft Entra
- الرسم البياني لموارد Microsoft
- الأنظمة الأساسية للكشف عن نقاط النهاية والاستجابة لها (EDR)
- جدار الحماية وسجلات الشبكة
- البنية الأساسية السحابية وبيانات تتبع الاستخدام لحمل العمل
- سجلات الهوية والوصول (Microsoft Entra و Okta وما إلى ذلك)
- بيانات تتبع الاستخدام ل DNS والوكيل والبريد الإلكتروني
استعلام مرن باستخدام لغة استعلام Kusto
تتيح لك استعلامات Kusto Query Language (KQL) لاستكشاف بحيرة البيانات كتابة الاستعلامات وتشغيلها مقابل موارد بحيرة البيانات. استخدم محرر الاستعلام لاستكشاف البيانات وتحليل البحيرة وإنشاء وظائف تروج للبيانات من طبقة مستودع البيانات إلى طبقة التحليلات. توفر استعلامات KQL الميزات الرئيسية التالية:
- محرر استعلام KQL: يوفر تحرير استعلامات KQL وتشغيلها باستخدام IntelliSense والإكمال التلقائي.
- الدعم الكامل ل KQL: استخدم النطاق الكامل لقدرات KQL، بما في ذلك وظائف التعلم الآلي والتحليلات المتقدمة.
- إنشاء الوظائف: إنشاء وظائف لمرة واحدة أو مجدولة لترقية البيانات من البحيرة إلى مستوى التحليلات.
لمزيد من المعلومات، راجع KQL ومستودع بيانات Microsoft Sentinel.
تحليلات قوية باستخدام دفاتر ملاحظات Jupyter
توفر دفاتر ملاحظات Jupyter في مستودع بيانات Microsoft Sentinel بيئة قوية لتحليل البيانات والتعلم الآلي. استخدم مكتبات Python لإنشاء نماذج التعلم الآلي وتشغيلها، وإجراء تحليلات متقدمة، وتصور بياناتك. تدعم دفاتر الملاحظات المرئيات الغنية، ما يتيح لك الحصول على رؤى من بيانات الأمان الخاصة بك. جدولة دفاتر الملاحظات لتلخيص البيانات بانتظام، وتشغيل نماذج التعلم الآلي، وترقية البيانات من طبقة مستودع البيانات إلى طبقة التحليلات.
لمزيد من المعلومات، راجع دفاتر ملاحظات Jupyter في مستودع بيانات Microsoft Sentinel.
تدقيق النشاط
يوفر مستودع بيانات Microsoft Sentinel تدقيقا يتعقب الأنشطة في البحيرة. يلتقط سجل التدقيق الوصول إلى البيانات وإدارة الوظائف وأحداث الاستعلام، مما يتيح لك مراقبة النشاط والتحقيق فيه.
بعض الأنشطة التي تم تدقيقها هي:
- الوصول إلى البيانات في البحيرة باستخدام استعلامات KQL
- تشغيل دفاتر الملاحظات على مستودع البيانات
- إنشاء المهام وتحريرها وتشغيلها وحذفها
يتم تمكين التدقيق بشكل افتراضي لمستودع بيانات Microsoft Sentinel. يتم عرض الإجراءات المدققة في سجل التدقيق.
لمزيد من المعلومات حول أنشطة مستودع البيانات المدققة، راجع سجل التدقيق لمستودع بيانات Microsoft Sentinel.
المناطق المدعومة
راجع المناطق المدعومة لمستودع بيانات Microsoft Sentinel للمناطق المدعومة.
Get started
لبدء استخدام مستودع بيانات Microsoft Sentinel، اتبع هذه الخطوات في دليل الإلحاق. لمزيد من المعلومات حول استخدام مستودع بيانات Microsoft Sentinel، راجع المقالات التالية: