اقرأ باللغة الإنجليزية

مشاركة عبر

معالجة تأخير الاستيعاب في قواعد التحليلات

  • مقالة

بينما يمكن لـ Microsoft Azure Sentinel استيعاب البيانات من مصادر مختلفة، قد يختلف وقت الاستيعاب لكل مصدر بيانات في ظروف مختلفة.

توضح هذه المقالة كيفية تأثير تأخير العرض على قواعد التحليلات المجدولة وكيفية إصلاحها لسد هذه الثغرات.

سبب أهمية التأخير

على سبيل المثال، قد تكتب قاعدة كشف مخصصة، وتعيين تشغيل الاستعلام كل فترةوبيانات البحث من حقول الأخيرة لتشغيل القاعدة كل خمس دقائق، والبحث عن البيانات من تلك الدقائق الخمس الأخيرة:

لقطة شاشة تعرض معالج قواعد التحليلات - إنشاء نافذة قاعدة جديدة.

تحدد بيانات البحث من حقل الأخير إعدادًا يعرف باسم فترة المراجعة. من الناحية المثالية، عندما لا يكون هناك تأخير، لا يفوت هذا الاكتشاف أي أحداث، كما هو موضح في الرسم البياني التالي:

رسم تخطيطي يوضح نافذة المراجعة مدتها خمس دقائق.

يصل الحدث عند إنشائه، ويتم تضمينه في فترة المراجعة

الآن، افترض أن هناك بعض التأخير لمصدر البيانات الخاص بك. في هذا المثال، لنفترض أنه تم استيعاب الحدث بعد دقيقتين من إنشائه. التأخير مدته دقيقتان:

رسم تخطيطي يوضح نوافذ المراجعة لمدة خمس دقائق مع تأخير لمدة دقيقتين.

يتم إنشاء الحدث خلال فترة المراجعة الأولى، ولكن لا يتم استيعابها في مساحة عمل Microsoft Azure Sentinel عند التشغيل الأول. في المرة التالية التي يتم فيها تشغيل الاستعلام المجدول، فإنه يستوعب الحدث، لكن عامل التصفية الذي تم إنشاؤه بواسطة الوقت يزيل الحدث لأنه حدث منذ أكثر من خمس دقائق. في هذه الحالة، لا تُصدر القاعدة تنبيهًا.

طريقة معالجة التأخير

ملاحظة

يمكنك إما حل المشكلة باستخدام العملية الموضحة أدناه، أو تنفيذ قواعد الكشف في الوقت الفعلي تقريبًا (NRT) من Microsoft Azure Sentinel. لمزيد من المعلومات، راجع الكشف عن التهديدات بسرعة باستخدام قواعد التحليلات ذات الوقت شبه الحقيقي (NRT) في Microsoft Azure Sentinel.

لحل المشكلة، عليك معرفة التأخير لنوع البيانات. على سبيل المثال، أنت تعرف أن التأخير مدته دقيقتين بالفعل.

بالنسبة للبيانات الخاصة بك، يمكنك فهم التأخير باستخدام دالة Kusto ingestion_time()، وحساب الفرق بين TimeGenerated ووقت الاستيعاب. لمزيد من المعلومات، راجع حساب تأخير الاستيعاب.

بعد تحديد التأخير، يمكنك معالجة المشكلة على النحو التالي:

  • قم بزيادة فترة المراجعة. يخبرك الحدس الأساسي أن زيادة حجم فترة المراجعة سيساعدك. نظرًا لأن فترة المراجعة هي خمس دقائق والتأخير دقيقتان، فإن تعيين فترة المراجعة إلى سبع دقائق سيساعد في معالجة هذه المشكلة. على سبيل المثال، في إعدادات القاعدة:

    لقطة شاشة تظهر ضبط فترة المراجعة على سبع دقائق.

    يوضح الرسم البياني التالي كيف أن فترة البحث تحتوي الآن على الحدث المفقود:

    رسم تخطيطي يعرض نوافذ مراجعة مدتها سبع دقائق مع تأخير لمدة دقيقتين.

  • معالجة التكرار. يمكن أن يؤدي فقط زيادة فترة المراجعة إلى حدوث تكرار، لأن نوافذ المراجعة تتداخل الآن. على سبيل المثال، قد يبدو حدث مختلف كما هو موضح في الرسم التخطيطي التالي:

    رسم تخطيطي يوضح كيفية تداخل نوافذ المراجعة في إنشاء التكرار.

    نظرًا لأنه تم العثور على قيمة الحدث TimeGenerated في كلتا فترتي المراجعة السابقة، فإن الحدث يطلق تنبيهين. أنت بحاجة إلى إيجاد طريقة لحل مشكلة التكرار.

  • إقران الحدث بفترة مراجعة معينة. في المثال الأول، فاتتك أحداث لأنه لم يتم استيعاب بياناتك عند تشغيل طلب البحث المجدول. لقد قمت بمد عملية المراجعة لتشمل الحدث، ولكن هذا تسبب في حدوث تكرار. يجب عليك ربط الحدث بالنافذة التي قمت بتمديدها لاحتوائها.

    قم بذلك عن طريق تعيين ingestion_time() > ago(5m)، بدلًا من القاعدة الأصلية look-back = 5m. يربط هذا الإعداد الحدث بنافذة المراجعة الأولى. على سبيل المثال:

    رسم تخطيطي يوضح كيف يتجنب تعيين القيود السابقة التكرار.

    يؤدي تقييد وقت الاستيعاب الآن إلى تقليص الدقيقتين الإضافيتين اللتين أضفتهما إلى فترة المراجعة. وبالنسبة للمثال الأول، فإن فترة المراجعة الثانية للتشغيل تسجل الحدث الآن:

    رسم تخطيطي يوضح كيف أن تعيين التقييد السابق يسجل الحدث.

يلخص نموذج الاستعلام التالي الحل لحل مشاكل تأخير الاستيعاب:

Kusto 
let ingestion_delay = 2min;
let rule_look_back = 5min;
CommonSecurityLog
| where TimeGenerated >= ago(ingestion_delay + rule_look_back)
| where ingestion_time() > ago(rule_look_back)

راجع المزيد من المعلومات حول العناصر التالية المستخدمة في المثال السابق، في وثائق Kusto:

حساب تأخير الاستيعاب

بشكل افتراضي، يتم تكوين قواعد التنبيه المجدولة لـ Microsoft Azure Sentinel حتى يكون لها فترة مراجعة مدتها 5 دقائق. ومع ذلك، قد يكون لكل مصدر بيانات تأخير التحويل الفردي خاص به. عند الانضمام إلى أنواع بيانات متعددة، يجب أن تفهم التأخيرات المختلفة لكل نوع بيانات من أجل تكوين فترة المراجعة بشكل صحيح.

يتضمن تقرير استخدام مساحة العمل، المقدم في Azure Sentinel الجاهز، لوحة معلومات تعرض زمن الانتقال والتأخيرات الخاصة بأنواع البيانات المختلفة المتدفقة إلى مساحة العمل.

على سبيل المثال:

لقطة شاشة لتقرير استخدام مساحة العمل تعرض وقت الاستجابة من البداية إلى النهاية حسب الجدول

الخطوات التالية

لمزيد من المعلومات، راجع: