سجل خطط الاستبقاء في Microsoft Sentinel

• ينطبق على:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

هناك جانبان متنافسان لجمع السجل واستبقاءه، وهما أمران بالغا الأهمية لبرنامج ناجح للكشف عن التهديدات. من ناحية، تريد زيادة عدد مصادر السجل التي تجمعها إلى أقصى حد، بحيث يكون لديك تغطية أمنية أكثر شمولا ممكنة. من ناحية أخرى، تحتاج إلى تقليل التكاليف المتكبدة عن طريق استيعاب جميع تلك البيانات.

تتطلب هذه الاحتياجات المتنافسة استراتيجية إدارة السجل التي توازن بين إمكانية الوصول إلى البيانات وأداء الاستعلام وتكاليف التخزين.

تتناول هذه المقالة فئات البيانات وحالات الاستبقاء المستخدمة لتخزين بياناتك والوصول إليها. كما يصف خطط السجل التي يقدمها لك Microsoft Sentinel لإنشاء استراتيجية إدارة السجل والاستبقاء.

هام

نوع سجل السجلات الإضافية قيد المعاينة حاليا. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

فئات البيانات التي تم استيعابها

توصي Microsoft بتصنيف البيانات التي تم إدخالها في Microsoft Sentinel إلى فئتين عامتين:

• بيانات الأمان الأساسية هي البيانات التي تحتوي على قيمة أمان هامة. يتم استخدام هذه البيانات للمراقبة الاستباقية في الوقت الحقيقي والتنبيهات المجدولة والتحليلات للكشف عن التهديدات الأمنية. يجب أن تكون البيانات متاحة بسهولة لجميع تجارب Microsoft Sentinel في الوقت الفعلي تقريبا.

• بيانات الأمان الثانوية هي بيانات تكميلية، وغالبا ما تكون في سجلات مطولة عالية الحجم. هذه البيانات ذات قيمة أمنية محدودة، ولكنها يمكن أن توفر ثراء إضافيا وسياقا للكشف والتحقيقات، مما يساعد على رسم الصورة الكاملة لحادث أمني. لا تحتاج إلى أن تكون متاحة بسهولة، ولكن يجب أن تكون متاحة عند الطلب حسب الحاجة وفي الجرعات المناسبة.

بيانات الأمان الأساسية

تتكون هذه الفئة من سجلات تحتوي على قيمة أمان هامة لمؤسستك. يمكن وصف بيانات الأمان الأساسية من خلال حالات الاستخدام التالية لعمليات الأمان:

• المراقبة المتكررة. يتم تشغيل قواعد الكشف عن التهديدات (التحليلات) على هذه البيانات على فترات متكررة أو في الوقت الفعلي تقريبا.

• التتبع عند الطلب. يتم تشغيل الاستعلامات المعقدة على هذه البيانات لتنفيذ تتبع تفاعلي وعالي الأداء للتهديدات الأمنية.

• الارتباط. ترتبط البيانات من هذه المصادر بالبيانات من مصادر بيانات الأمان الأساسية الأخرى للكشف عن التهديدات وإنشاء قصص الهجوم.

• إعداد تقارير منتظمة. والبيانات الواردة من هذه المصادر متاحة بسهولة لتجميعها في تقارير منتظمة عن الصحة الأمنية للمنظمة، لكل من الأمن وصانعي القرار العام.

• تحليلات السلوك. يتم استخدام البيانات من هذه المصادر لإنشاء ملفات تعريف سلوك أساسية للمستخدمين والأجهزة، ما يتيح لك تحديد السلوكيات الخارجية على أنها مريبة.

تتضمن بعض الأمثلة على مصادر البيانات الأساسية سجلات من أنظمة مكافحة الفيروسات أو أنظمة الكشف والاستجابة للمؤسسات (EDR)، وسجلات المصادقة، ومسارات التدقيق من الأنظمة الأساسية السحابية، وموجزات التحليل الذكي للمخاطر، والتنبيهات من الأنظمة الخارجية.

يجب تخزين السجلات التي تحتوي على بيانات الأمان الأساسية باستخدام خطة سجلات التحليلات الموضحة لاحقا في هذه المقالة.

بيانات الأمان الثانوية

تشمل هذه الفئة السجلات التي تكون قيمتها الأمنية الفردية محدودة ولكنها ضرورية لتوفير عرض شامل لحادث أو خرق أمني. عادة ما تكون هذه السجلات عالية الحجم ويمكن أن تكون مطولة. تتضمن حالات استخدام عمليات الأمان لهذه البيانات ما يلي:

• التحليل الذكي للمخاطر. يمكن التحقق من البيانات الأساسية مقابل قوائم مؤشرات التسوية (IoC) أو مؤشرات الهجوم (IoA) للكشف عن التهديدات بسرعة وسهولة.

• التتبع/التحقيقات المخصصة. يمكن الاستعلام عن البيانات بشكل تفاعلي لمدة 30 يوما، مما يسهل التحليل الحاسم لتعقب التهديدات والتحقيقات.

• عمليات بحث واسعة النطاق. يمكن استيعاب البيانات والبحث فيها في الخلفية على نطاق بيتابايت، مع تخزينها بكفاءة مع الحد الأدنى من المعالجة.

• التلخيص عبر قواعد الملخص. تلخيص السجلات ذات الحجم الكبير في معلومات مجمعة وتخزين النتائج كبيانات أمان أساسية. لمعرفة المزيد حول قواعد الملخص، راجع تجميع بيانات Microsoft Sentinel مع قواعد الملخص.

بعض الأمثلة على مصادر سجل البيانات الثانوية هي سجلات الوصول إلى التخزين السحابي وسجلات NetFlow وسجلات شهادات TLS/SSL وسجلات جدار الحماية وسجلات الوكيل وسجلات IoT. لمعرفة المزيد حول كيفية جلب كل مصدر من هذه المصادر القيمة إلى عمليات الكشف عن الأمان دون الحاجة إليها طوال الوقت، راجع مصادر السجل لاستخدامها في استيعاب السجلات المساعدة.

يجب تخزين السجلات التي تحتوي على بيانات أمان ثانوية باستخدام خطة السجلات الإضافية (الآن في المعاينة) الموضحة لاحقا في هذه المقالة.

للحصول على خيار غير معاينة، يمكنك استخدام السجلات الأساسية بدلا من ذلك.

خطط إدارة السجل

يوفر Microsoft Sentinel اثنين من خطط تخزين السجل المختلفة، أو أنواعها، لاستيعاب هذه الفئات من البيانات التي تم استيعابها.

• تم تصميم خطة سجلات التحليلات لتخزين بيانات الأمان الأساسية وجعلها سهلة ومستمرة في الوصول إليها بأداء عال.

• تم تصميم خطة السجلات الإضافية لتخزين بيانات الأمان الثانوية بتكلفة منخفضة جدا لفترات طويلة من الوقت، مع السماح بإمكانية وصول محدودة.

• الخطة الثالثة، السجلات الأساسية، هي السابقة لخطة السجلات المساعدة، ويمكن استخدامها كبديل لها بينما تظل خطة السجلات المساعدة قيد المعاينة.

تحتفظ كل خطة من هذه الخطط بالبيانات في حالتين مختلفتين:

• حالة الاستبقاء التفاعلية هي الحالة الأولية التي يتم استيعاب البيانات فيها. تسمح هذه الحالة بمستويات مختلفة من الوصول إلى البيانات، اعتمادا على الخطة، وتختلف تكاليف هذه الحالة بشكل كبير، اعتمادا على الخطة.

• تحتفظ حالة الاستبقاء على المدى الطويل بالبيانات القديمة في جداولها الأصلية لمدة تصل إلى 12 عاما، بتكلفة منخفضة للغاية، بغض النظر عن الخطة.

لمعرفة المزيد حول حالات الاستبقاء، راجع إدارة استبقاء البيانات في مساحة عمل Log Analytics.

يلخص الرسم التخطيطي التالي خطتي إدارة السجل هاتين ويقارنهما.

خطة سجلات التحليلات

تحتفظ خطة سجلات التحليلات بالبيانات في حالة الاستبقاء التفاعلي لمدة 90 يوما بشكل افتراضي، قابلة للتوسيع لمدة تصل إلى عامين. هذه الحالة التفاعلية، على الرغم من أنها مكلفة، تسمح لك بالاستعلام عن بياناتك بطريقة غير محدودة، مع أداء عال، دون أي رسوم لكل استعلام.

عند انتهاء فترة الاستبقاء التفاعلية، تنتقل البيانات إلى حالة الاستبقاء على المدى الطويل، بينما تبقى في جدولها الأصلي. لا يتم تعريف فترة الاستبقاء طويلة الأجل بشكل افتراضي، ولكن يمكنك تعريفها لتدوم حتى 12 عاما. تحافظ حالة الاستبقاء هذه على بياناتك بتكلفة منخفضة للغاية، لأغراض الامتثال التنظيمي أو النهج الداخلي. يمكنك الوصول إلى البيانات في هذه الحالة فقط باستخدام مهمة بحث أو استعادة لسحب مجموعات محدودة من البيانات إلى جدول جديد في استبقاء تفاعلي، حيث يمكنك إحضار قدرات الاستعلام الكاملة لتحملها.

خطة السجلات الإضافية

تحتفظ خطة السجلات الإضافية بالبيانات في حالة الاستبقاء التفاعلي لمدة 30 يوما. في الخطة المساعدة، تحتوي هذه الحالة على تكاليف استبقاء منخفضة جدا مقارنة بخطة التحليلات. ومع ذلك، فإن قدرات الاستعلام محدودة: يتم فرض رسوم على الاستعلامات لكل غيغابايت من البيانات الممسوحة ضوئيا وتقتصر على جدول واحد، والأداء أقل بكثير. بينما تظل هذه البيانات في حالة الاستبقاء التفاعلي، يمكنك تشغيل قواعد التلخيص على هذه البيانات لإنشاء جداول من البيانات المجمعة والملخصة في خطة سجلات التحليلات، بحيث يكون لديك قدرات الاستعلام الكاملة على هذه البيانات التجميعية.

عند انتهاء فترة الاستبقاء التفاعلية، تنتقل البيانات إلى حالة الاستبقاء على المدى الطويل، وتبقى في جدولها الأصلي. الاستبقاء طويل الأجل في خطة السجلات المساعدة مشابه للاحتفاظ طويل الأجل في خطة سجلات التحليلات، باستثناء أن الخيار الوحيد للوصول إلى البيانات هو مع مهمة بحث. الاستعادة غير مدعومة لخطة السجلات المساعدة.

خطة السجلات الأساسية

توفر الخطة الثالثة، والمعروفة باسم السجلات الأساسية، وظائف مماثلة لخطة السجلات المساعدة، ولكن بتكلفة استبقاء تفاعلية أعلى (على الرغم من أنها ليست عالية مثل خطة سجلات التحليلات). بينما تظل خطة السجلات المساعدة قيد المعاينة، يمكن أن تكون السجلات الأساسية خيارا للاحتفاظ طويل الأجل ومنخفض التكلفة إذا لم تستخدم مؤسستك ميزات المعاينة. لمعرفة المزيد حول خطة السجلات الأساسية، راجع خطط الجدول في وثائق Azure Monitor.

المحتوى ذو الصلة

• للحصول على مقارنة أكثر تعمقا لخطط بيانات السجل، ومعلومات أكثر عمومية حول أنواع السجلات، راجع نظرة عامة على سجلات Azure Monitor | خطط الجدول.

• لإعداد جدول في خطة السجلات الإضافية، راجع إعداد جدول باستخدام الخطة الإضافية في مساحة عمل Log Analytics (معاينة).

• لفهم المزيد حول فترات الاستبقاء - الموجودة عبر الخطط - راجع إدارة استبقاء البيانات في مساحة عمل Log Analytics.