مشاركة عبر

بدء التحقيق من خلال البحث عن الأحداث في مجموعات البيانات الكبيرة

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

أحد الأنشطة الأساسية لفريق الأمان هو البحث عن سجلات لأحداث معينة. على سبيل المثال، يمكنك البحث في السجلات عن أنشطة مستخدم معين ضمن إطار زمني معين.

في Microsoft Azure Sentinel، يمكنك البحث من خلال فترات زمنية طويلة في مجموعات بيانات كبيرة باستخدام مهمة بحث. بينما يمكنك تشغيل مهمة بحث على أي نوع من السجلات، فإن مهام البحث مناسبة بشكل مثالي للبحث في السجلات المؤرشفة. إذا كنت بحاجة إلى إجراء تحقيق كامل على البيانات المؤرشفة، يمكنك استعادة تلك البيانات في ذاكرة التخزين المؤقت الساخنة لتشغيل الاستعلامات عالية الأداء والتحليل الأعمق.

هام

يتوفر Microsoft Sentinel كجزء من النظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. يتم الآن دعم Microsoft Sentinel في مدخل Defender لاستخدام الإنتاج. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

البحث في مجموعات البيانات الكبيرة

استخدم مهمة بحث عند بدء التحقيق للعثور على أحداث معينة في السجلات ضمن إطار زمني معين. يمكنك البحث في جميع سجلاتك للعثور على الأحداث التي تطابق معاييرك والتصفية من خلال النتائج.

البحث في Microsoft Azure Sentinel مبني على مهام البحث. مهام البحث هي استعلامات غير متزامنة تجلب السجلات. يتم إرجاع النتائج إلى جدول بحث تم إنشاؤه في مساحة عمل Log Analytics بعد بدء مهمة البحث. تستخدم مهمة البحث معالجة متوازية لتشغيل البحث عبر فترات زمنية طويلة، في مجموعات بيانات كبيرة للغاية. لذلك لا تؤثر مهام البحث على أداء مساحة العمل أو توفرها.

يتم تخزين نتائج البحث في جدول يحتوي على لاحقة *_SRCH.

تُظهر الصورة التالية مثالًا لمعايير البحث لوظيفة البحث.

لقطة شاشة لصفحة البحث مع معايير البحث الخاصة بالمسؤول والنطاق الزمني لآخر عام والجدول المحدد.

أنواع السجلات المدعومة

استخدم البحث للعثور على الأحداث في أي من أنواع السجلات التالية:

يمكنك أيضا البحث في التحليلات أو بيانات السجل الأساسية المخزنة في السجلات المؤرشفة.

قيود مهمة البحث

قبل بدء مهمة بحث، كن على دراية بالقيود التالية:

  • محسن للاستعلام عن جدول واحد في كل مرة.
  • نطاق تاريخ البحث يصل إلى سبع سنوات.
  • يدعم عمليات البحث طويلة الأمد حتى مهلة 24 ساعة.
  • تقتصر النتائج على مليون سجل في مجموعة السجلات.
  • يقتصر التنفيذ المتزامن لكل مستخدم على خمس مهام بحث لكل مساحة عمل.
  • يقتصر على 100 جدول نتائج بحث لكل مساحة عمل.
  • يقتصر على 100 عملية تنفيذ مهمة بحث يومياً لكل مساحة عمل.

وظائف البحث غير مدعومة حاليا لمساحات العمل التالية:

  • مساحات العمل الممكنة بواسطة المفتاح المدار بواسطة العميل
  • مساحات العمل في منطقة شرق الصين 2

لمعرفة المزيد، انظر وظيفة البحث في Azure Monitor في وثائق Azure Monitor.

استعادة البيانات التاريخية من السجلات التي تمت أرشفتها

عندما تحتاج إلى إجراء تحقيق كامل في البيانات المخزنة في السجلات المؤرشفة، قم باستعادة جدول من صفحة البحث في Microsoft Azure Sentinel. حدد جدولا مستهدفا ونطاقا زمنيا للبيانات التي تريد استعادتها. في غضون بضع دقائق، تتم استعادة بيانات السجل وإتاحتها داخل مساحة عمل Log Analytics. ثم يمكنك استخدام البيانات في الاستعلامات عالية الأداء التي تدعم KQL الكامل.

يتوفر جدول سجل مستعادة في جدول جديد يحتوي على لاحقة *_RST. تتوفر البيانات المستعادة طالما أن بيانات المصدر الأساسية متوفرة. ولكن يمكنك حذف الجداول المستعادة في أي وقت دون حذف بيانات المصدر الأساسية. لتوفير التكاليف، نوصي بحذف الجدول المستعادة عندما لم تعد بحاجة إليه.

تُظهر الصورة الآتية خيار الاستعادة في بحث محفوظ.

لقطة شاشة لرابط الاستعادة في بحث محفوظ.

قيود استعادة السجل

قبل البدء في استعادة جدول سجل مؤرشف، كن على دراية بالقيود التالية:

  • استعادة البيانات لمدة يومين كحد أدنى.
  • استعادة البيانات منذ أكثر من 14 يوماً.
  • استعادة ما يصل إلى 60 تيرابايت.
  • تقتصر الاستعادة على استعادة نشطة واحدة لكل جدول.
  • استعادة ما يصل إلى أربعة جداول مؤرشفة لكل مساحة عمل في الأسبوع.
  • يقتصر على مهمتي استعادة متزامنتين لكل مساحة عمل.

لمعرفة المزيد، انظراستعادة السجلات في Azure Monitor.

احفظ نتائج البحث أو صفوف البيانات المستعادة

بالتشابه مع لوحة معلومات البحث عن التهديدات، توجد صفوف إشارات مرجعية تحتوي على معلومات تجدها مثيرة للاهتمام حتى تتمكن من إرفاقها بحادث أو الرجوع إليها لاحقًا. لمزيد من المعلومات، انظرإنشاء إشارات مرجعية.

الخطوات التالية