معالجة تأخير الاستيعاب في قواعد التحليلات
بينما يمكن لـ Microsoft Azure Sentinel استيعاب البيانات من مصادر مختلفة، قد يختلف وقت الاستيعاب لكل مصدر بيانات في ظروف مختلفة.
توضح هذه المقالة كيفية تأثير تأخير العرض على قواعد التحليلات المجدولة وكيفية إصلاحها لسد هذه الثغرات.
سبب أهمية التأخير
على سبيل المثال، قد تكتب قاعدة كشف مخصصة، وتعيين تشغيل الاستعلام كل فترةوبيانات البحث من حقول الأخيرة لتشغيل القاعدة كل خمس دقائق، والبحث عن البيانات من تلك الدقائق الخمس الأخيرة:
تحدد بيانات البحث من حقل الأخير إعدادًا يعرف باسم فترة المراجعة. من الناحية المثالية، عندما لا يكون هناك تأخير، لا يفوت هذا الاكتشاف أي أحداث، كما هو موضح في الرسم البياني التالي:
يصل الحدث عند إنشائه، ويتم تضمينه في فترة المراجعة
الآن، افترض أن هناك بعض التأخير لمصدر البيانات الخاص بك. في هذا المثال، لنفترض أنه تم استيعاب الحدث بعد دقيقتين من إنشائه. التأخير مدته دقيقتان:
يتم إنشاء الحدث خلال فترة المراجعة الأولى، ولكن لا يتم استيعابها في مساحة عمل Microsoft Azure Sentinel عند التشغيل الأول. في المرة التالية التي يتم فيها تشغيل الاستعلام المجدول، فإنه يستوعب الحدث، لكن عامل التصفية الذي تم إنشاؤه بواسطة الوقت يزيل الحدث لأنه حدث منذ أكثر من خمس دقائق. في هذه الحالة، لا تُصدر القاعدة تنبيهًا.
طريقة معالجة التأخير
ملاحظة
يمكنك إما حل المشكلة باستخدام العملية الموضحة أدناه، أو تنفيذ قواعد الكشف في الوقت الفعلي تقريبًا (NRT) من Microsoft Azure Sentinel. لمزيد من المعلومات، راجع الكشف عن التهديدات بسرعة باستخدام قواعد التحليلات شبه الحقيقية (NRT) في Microsoft Azure Sentinel.
لحل المشكلة، عليك معرفة التأخير لنوع البيانات. على سبيل المثال، أنت تعرف أن التأخير مدته دقيقتين بالفعل.
بالنسبة للبيانات الخاصة بك، يمكنك فهم التأخير باستخدام دالة Kusto ingestion_time()، وحساب الفرق بين TimeGenerated ووقت الاستيعاب. لمزيد من المعلومات، راجع حساب تأخير الاستيعاب.
بعد تحديد التأخير، يمكنك معالجة المشكلة على النحو التالي:
قم بزيادة فترة المراجعة. يخبرك الحدس الأساسي أن زيادة حجم فترة المراجعة سيساعدك. نظرًا لأن فترة المراجعة هي خمس دقائق والتأخير دقيقتان، فإن تعيين فترة المراجعة إلى سبع دقائق سيساعد في معالجة هذه المشكلة. على سبيل المثال، في إعدادات القاعدة:
يوضح الرسم البياني التالي كيف أن فترة البحث تحتوي الآن على الحدث المفقود:
معالجة التكرار. يمكن أن يؤدي فقط زيادة فترة المراجعة إلى حدوث تكرار، لأن نوافذ المراجعة تتداخل الآن. على سبيل المثال، قد يبدو حدث مختلف كما هو موضح في الرسم التخطيطي التالي:
نظرًا لأنه تم العثور على قيمة الحدث TimeGenerated في كلتا فترتي المراجعة السابقة، فإن الحدث يطلق تنبيهين. أنت بحاجة إلى إيجاد طريقة لحل مشكلة التكرار.
إقران الحدث بفترة مراجعة معينة. في المثال الأول، فاتتك أحداث لأنه لم يتم استيعاب بياناتك عند تشغيل طلب البحث المجدول. لقد قمت بمد عملية المراجعة لتشمل الحدث، ولكن هذا تسبب في حدوث تكرار. يجب عليك ربط الحدث بالنافذة التي قمت بتمديدها لاحتوائها.
قم بذلك عن طريق تعيين
ingestion_time() > ago(5m)، بدلًا من القاعدة الأصليةlook-back = 5m. يربط هذا الإعداد الحدث بنافذة المراجعة الأولى. على سبيل المثال:
يؤدي تقييد وقت الاستيعاب الآن إلى تقليص الدقيقتين الإضافيتين اللتين أضفتهما إلى فترة المراجعة. وبالنسبة للمثال الأول، فإن فترة المراجعة الثانية للتشغيل تسجل الحدث الآن:
يلخص نموذج الاستعلام التالي الحل لحل مشاكل تأخير الاستيعاب:
let ingestion_delay = 2min;
let rule_look_back = 5min;
CommonSecurityLog
| where TimeGenerated >= ago(ingestion_delay + rule_look_back)
| where ingestion_time() > ago(rule_look_back)
حساب تأخير الاستيعاب
بشكل افتراضي، يتم تكوين قواعد التنبيه المجدولة لـ Microsoft Azure Sentinel حتى يكون لها فترة مراجعة مدتها 5 دقائق. ومع ذلك، قد يكون لكل مصدر بيانات تأخير التحويل الفردي خاص به. عند الانضمام إلى أنواع بيانات متعددة، يجب أن تفهم التأخيرات المختلفة لكل نوع بيانات من أجل تكوين فترة المراجعة بشكل صحيح.
يتضمن تقرير استخدام مساحة العمل، المقدم في Azure Sentinel الجاهز، لوحة معلومات تعرض زمن الانتقال والتأخيرات الخاصة بأنواع البيانات المختلفة المتدفقة إلى مساحة العمل.
على سبيل المثال:
الخطوات التالية
لمزيد من المعلومات، انظر:
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ