مشاركة عبر

مراقبة سلامة قواعد التحليلات ومراجعة تكاملها

  • مقالة

لضمان الكشف الشامل وغير المنقطع والخال من العبث بالتهديدات في خدمة Microsoft Sentinel، تتبع صحة قواعد التحليلات وسلامتها والحفاظ على عملها على النحو الأمثل، من خلال مراقبة نتائج تحليلات التنفيذ الخاصة بهم، والاستعلام عن سجلات الصحة والتدقيق، واستخدام إعادة التشغيل اليدوي لاختبار القواعد وتحسينها.

قم بإعداد إعلامات بأحداث الصحة والتدقيق لأصحاب المصلحة المعنيين، الذين يمكنهم بعد ذلك اتخاذ إجراء. على سبيل المثال، حدد رسائل البريد الإلكتروني أو Microsoft Teams وأرسلها، وأنشئ تذاكر جديدة في نظام إصدار التذاكر، وما إلى ذلك.

توضح هذه المقالة كيفية استخدام ميزات التدقيق والمراقبة الصحية في Microsoft Sentinel لتتبع سلامة قواعد التحليلات وسلامتها من داخل Microsoft Sentinel.

للحصول على معلومات حول نتائج تحليلات القواعد وإعادة التشغيل اليدوي للقواعد، راجع مراقبة وتحسين تنفيذ قواعد التحليلات المجدولة.

هام

جداول بيانات SentinelHealth و SentinelAudit موجودة حاليا في PREVIEW. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

الملخص

  • سجلات صحة قاعدة تحليلات Microsoft Sentinel:

    • يلتقط هذا السجل الأحداث التي تسجل تشغيل قواعد التحليلات، والنتيجة النهائية لهذه التشغيلات - إذا نجحت أو فشلت، وإذا فشلت، فلماذا.
    • يسجل السجل أيضا، لكل تشغيل لقاعدة تحليلات:
      • كم عدد الأحداث التي تم التقاطها بواسطة استعلام القاعدة.
      • ما إذا كان عدد الأحداث قد تجاوز الحد المحدد في القاعدة، مما تسبب في تشغيل القاعدة لتنبيه.

    يتم تجميع هذه السجلات في جدول SentinelHealth في Log Analytics.

  • سجلات تدقيق قاعدة تحليلات Microsoft Sentinel:

    • يلتقط هذا السجل الأحداث التي تسجل التغييرات التي تم إجراؤها على أي قاعدة تحليلات، بما في ذلك التفاصيل التالية:
      • اسم القاعدة التي تم تغييرها.
      • خصائص القاعدة التي تم تغييرها.
      • حالة إعدادات القاعدة قبل التغيير وبعده.
      • المستخدم أو الهوية التي قامت بإجراء التغيير.
      • عنوان IP المصدر وتاريخ/وقت التغيير.
      • ... والمزيد.

    يتم تجميع هذه السجلات في جدول SentinelAudit في Log Analytics.

استخدام جداول بيانات SentinelHealth و SentinelAudit (معاينة)

للحصول على بيانات التدقيق والصحة من الجداول الموضحة أعلاه، يجب أولا تشغيل ميزة حماية Microsoft Sentinel لمساحة العمل الخاصة بك. لمزيد من المعلومات، راجع تشغيل التدقيق والمراقبة الصحية ل Microsoft Sentinel.

بمجرد تشغيل ميزة الصحة، يتم إنشاء جدول بيانات SentinelHealth في حدث النجاح أو الفشل الأول الذي تم إنشاؤه لقواعد التشغيل التلقائي ودلائل المبادئ.

فهم أحداث جدول SentinelHealth و SentinelAudit

يتم تسجيل الأنواع التالية من أحداث صحة قواعد التحليلات في جدول SentinelHealth :

يتم تسجيل الأنواع التالية من أحداث تدقيق قواعد التحليلات في جدول SentinelAudit :

  • إنشاء قاعدة التحليلات أو تحديثها.

  • تم حذف قاعدة التحليلات.

    لمزيد من المعلومات، راجع مخطط أعمدة جدول SentinelAudit.

تشغيل الاستعلامات للكشف عن مشكلات السلامة والتكامل

للحصول على أفضل النتائج، يجب إنشاء استعلاماتك على الدالات التي تم إنشاؤها مسبقا على هذه الجداول، _SentinelHealth() _SentinelAudit()، بدلا من الاستعلام عن الجداول مباشرة. تضمن هذه الوظائف الحفاظ على توافق الاستعلامات مع الإصدارات السابقة في حالة إجراء تغييرات على مخطط الجداول نفسها.

كخطوة أولى، يجب أن تقوم الاستعلامات بتصفية الجداول للبيانات المتعلقة بقواعد التحليلات. استخدم المعلمة SentinelResourceType .

_SentinelHealth()
| where SentinelResourceType == "Analytics Rule"

إذا أردت، يمكنك تصفية القائمة لنوع معين من قاعدة التحليلات. استخدم المعلمة SentinelResourceKind لهذا.

| where SentinelResourceKind == "Scheduled"

# OR

| where SentinelResourceKind == "NRT"

فيما يلي بعض نماذج الاستعلامات لمساعدتك على البدء:

  • البحث عن القواعد التي لم يتم تشغيلها بنجاح:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| where Status != "Success"

  • البحث عن القواعد التي تم "تعطيلها تلقائيا":

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| where Reason == "The analytics rule is disabled and was not executed."

  • حساب القواعد والتشغيلات التي نجحت أو فشلت، حسب السبب:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| summarize Occurrence=count(), Unique_rule=dcount(SentinelResourceId) by Status, Reason

  • البحث عن نشاط حذف القاعدة:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| where Description =="Analytics rule deleted"

  • ابحث عن النشاط على القواعد، حسب اسم القاعدة واسم النشاط:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| summarize Count= count() by RuleName=SentinelResourceName, Activity=Description

  • البحث عن النشاط على القواعد، حسب اسم المتصل (الهوية التي نفذت النشاط):

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| extend Caller= tostring(ExtendedProperties.CallerName)
| summarize Count = count() by Caller, Activity=Description

الحالات والأخطاء والخطوات المقترحة

بالنسبة لتشغيل قاعدة التحليلات المجدولة أو تشغيل قاعدة تحليلات NRT، قد ترى أي من الحالات والأوصاف التالية:

  • Success: تم تنفيذ القاعدة بنجاح، مما يؤدي إلى <n> إنشاء تنبيه (تنبيهات).

  • النجاح: تم تنفيذ القاعدة بنجاح، ولكنها لم تصل إلى الحد (<n>) المطلوب لإنشاء تنبيه.

  • الفشل: هذه هي الأوصاف المحتملة لفشل القاعدة، وما يمكنك القيام به حيالها.

    ‏‏الوصف المعالجة
    حدث خطأ داخلي في الخادم أثناء تشغيل الاستعلام.
    مهلة تنفيذ الاستعلام.
    لم يتم العثور على جدول مشار إليه في الاستعلام. تحقق من اتصال مصدر البيانات ذي الصلة.
    حدث خطأ دلالي أثناء تشغيل الاستعلام. حاول إعادة تعيين قاعدة التحليلات عن طريق تحريرها وحفظها (دون تغيير أي إعدادات).
    تتم تسمية دالة يتم استدعاؤها بواسطة الاستعلام بكلمة محجوزة. إزالة الدالة أو إعادة تسميتها.
    حدث خطأ في بناء الجملة أثناء تشغيل الاستعلام. حاول إعادة تعيين قاعدة التحليلات عن طريق تحريرها وحفظها (دون تغيير أي إعدادات).
    مساحة العمل غير موجودة.
    تم العثور على هذا الاستعلام لاستخدام عدد كبير جدا من موارد النظام وتم منعه من التشغيل. مراجعة قاعدة التحليلات وضبطها. راجع نظرة عامة على Kusto Query Language ووثائق أفضل الممارسات.
    لم يتم العثور على دالة تم استدعاؤها بواسطة الاستعلام. تحقق من وجود جميع الدالات التي استدعاها الاستعلام في مساحة العمل الخاصة بك.
    لم يتم العثور على مساحة العمل المستخدمة في الاستعلام. تحقق من وجود كافة مساحات العمل في الاستعلام.
    ليس لديك أذونات لتشغيل هذا الاستعلام. حاول إعادة تعيين قاعدة التحليلات عن طريق تحريرها وحفظها (دون تغيير أي إعدادات).
    ليس لديك أذونات الوصول إلى مورد واحد أو أكثر من الموارد في الاستعلام.
    أشار الاستعلام إلى مسار تخزين لم يتم العثور عليه.
    تم رفض وصول الاستعلام إلى مسار تخزين.
    يتم تعريف دوال متعددة بنفس الاسم في مساحة العمل هذه. قم بإزالة الدالة المكررة أو إعادة تسميتها وإعادة تعيين القاعدة عن طريق تحريرها وحفظها.
    لم يرجع هذا الاستعلام أي نتيجة.
    لا يسمح بمجموعات نتائج متعددة في هذا الاستعلام.
    تحتوي نتائج الاستعلام على عدد غير متناسق من الحقول لكل صف.
    تم تأخير تشغيل القاعدة بسبب أوقات استيعاب البيانات الطويلة.
    تم تأخير تشغيل القاعدة بسبب مشكلات مؤقتة.
    لم يتم إثراء التنبيه بسبب مشكلات مؤقتة.
    لم يتم إثراء التنبيه بسبب مشكلات تعيين الكيان.
    <تم إسقاط كيانات الأرقام> في اسم> التنبيه <بسبب حد حجم التنبيه 32 كيلوبايت.
    <تم إسقاط كيانات الأرقام> في اسم> التنبيه <بسبب مشكلات تعيين الكيان.
    نتج عن <الاستعلام أحداث أرقام>، والتي تتجاوز الحد الأقصى لنتائج <الحد> المسموح به< لقواعد نوع> القاعدة مع تكوين تجميع الأحداث للتنبيه لكل صف. تم إنشاء التنبيه لكل صف لأحداث الحد 1> الأولى <وتم إنشاء تنبيه مجمع إضافي لحساب جميع الأحداث.
    - <number> = عدد الأحداث التي تم إرجاعها بواسطة الاستعلام
    - <الحد> = حاليا 150 تنبيها للقواعد المجدولة، 30 لقواعد NRT
    - <نوع> القاعدة = مجدول أو NRT

استخدام مصنف التدقيق والمراقبة الصحية

  1. لتوفير المصنف في مساحة العمل، يجب تثبيت حل المصنف من مركز محتوى Microsoft Sentinel:

    1. من مدخل Microsoft Sentinel، حدد مركز المحتوى (معاينة) من قائمة إدارة المحتوى.

    2. في مركز المحتوى، أدخل health في شريط البحث، وحدد Analytics Health & Audit من بين حلول المصنف ضمن Standalone في النتائج.

      لقطة شاشة لاختيار مصنف صحة التحليلات من مركز المحتوى.

    3. حدد تثبيت من جزء التفاصيل، ثم حدد حفظ الذي يظهر في مكانه.

  2. عندما يشير الحل إلى أنه مثبت، حدد Workbooks من قائمة Threat management .

    لقطة شاشة للإشارة إلى تثبيت حل مصنف صحة التحليلات من مركز المحتوى.

  3. في معرض المصنفات ، حدد علامة التبويب Templates ، وأدخل health في شريط البحث، وحدد Analytics Health & Audit من بين النتائج.

    لقطة شاشة لتحديد مصنف صحة التحليلات من معرض القوالب.

  4. حدد حفظ في جزء التفاصيل لإنشاء نسخة قابلة للتحرير وقابلة للاستخدام من المصنف. عند إنشاء النسخة، حدد "View saved workbook".

  5. بمجرد الوصول إلى المصنف، حدد أولا الاشتراك ومساحة العمل التي ترغب في عرضها (قد يكونا محددين بالفعل)، ثم حدد TimeRange لتصفية البيانات وفقا لاحتياجاتك. استخدم تبديل "Show help" لعرض الشرح الموضعي للمصنف.

    لقطة شاشة لعلامة تبويب نظرة عامة على المصنف الصحي لقاعدة التحليلات.

يوجد ثلاثة أقسام مبوبة في هذا المصنف:

علامة التبويب نظرة عامة

تعرض علامة التبويب نظرة عامة ملخصات الصحة والتدقيق:

  • يتم تشغيل الملخصات الصحية لحالة قاعدة التحليلات في مساحة العمل المحددة: عدد عمليات التشغيل والنجاحات والفشل وتفاصيل حدث الفشل.
  • تدقيق ملخصات الأنشطة على قواعد التحليلات في مساحة العمل المحددة: عدد الأنشطة بمرور الوقت، وعدد الأنشطة حسب النوع، وعدد الأنشطة من أنواع مختلفة حسب القاعدة.

علامة تبويب السلامة

تتيح لك علامة التبويب Health التنقل لأسفل وصولا إلى أحداث صحية معينة.

لقطة شاشة لاختيار علامة التبويب health في مصنف صحة التحليلات.

  • تصفية بيانات الصفحة بأكملها حسب الحالة (النجاح/الفشل) ونوع القاعدة (مجدول/NRT).
  • راجع اتجاهات عمليات تشغيل القاعدة الناجحة و/أو الفاشلة (اعتمادا على عامل تصفية الحالة) خلال الفترة الزمنية المحددة. يمكنك "فرشاة الوقت" الرسم البياني للاتجاه لرؤية مجموعة فرعية من النطاق الزمني الأصلي. لقطة شاشة لقاعدة التحليلات تعمل بمرور الوقت في مصنف صحة التحليلات.
  • قم بتصفية بقية الصفحة حسب السبب.
  • راجع إجمالي عدد عمليات التشغيل لجميع قواعد التحليلات، المعروضة بشكل متناسب حسب الحالة في مخطط دائري.
  • فيما يلي جدول يعرض عدد قواعد التحليلات الفريدة التي تم تشغيلها، مقسمة حسب نوع القاعدة وحالتها.
    • حدد حالة لتصفية المخططات المتبقية لهذه الحالة.
    • قم بإلغاء تحديد عامل التصفية عن طريق تحديد أيقونة "مسح التحديد" (تبدو كأيقونة "تراجع") في الزاوية العلوية اليسرى من المخطط. لقطة شاشة لعدد القواعد التي يتم تشغيلها حسب الحالة ونوعها في مصنف صحة التحليلات.
  • راجع كل حالة، مع عدد الأسباب المحتملة لهذه الحالة. (سيتم عرض الأسباب الممثلة في عمليات التشغيل في الإطار الزمني المحدد فقط.)
    • حدد حالة لتصفية المخططات المتبقية لهذه الحالة.
    • قم بإلغاء تحديد عامل التصفية عن طريق تحديد أيقونة "مسح التحديد" (تبدو كأيقونة "تراجع") في الزاوية العلوية اليسرى من المخطط. لقطة شاشة لعدد الأسباب الفريدة حسب الحالة في مصنف صحة التحليلات.
  • بعد ذلك، راجع قائمة بهذه الأسباب، مع دمج عدد إجمالي عمليات تشغيل القاعدة وعدد القواعد الفريدة التي تم تشغيلها.
    • حدد سببا لتصفية المخططات التالية لهذا السبب.
    • قم بإلغاء تحديد عامل التصفية عن طريق تحديد أيقونة "مسح التحديد" (تبدو كأيقونة "تراجع") في الزاوية العلوية اليسرى من المخطط. لقطة شاشة للقاعدة يتم تشغيلها لسبب فريد في مصنف صحة التحليلات.
  • بعد ذلك قائمة بقواعد التحليلات الفريدة التي تم تشغيلها، مع أحدث النتائج وخطوط الاتجاه لنجاحها و/أو فشلها (اعتمادا على الحالة المحددة لتصفية القائمة).
    • حدد قاعدة للتنقل لأسفل وإظهار جدول جديد مع جميع عمليات تشغيل تلك القاعدة (في الإطار الزمني المحدد).
    • قم بإلغاء تحديد هذا الجدول عن طريق تحديد أيقونة "مسح التحديد" (تبدو كأيقونة "تراجع") في الزاوية العلوية اليسرى من المخطط. لقطة شاشة لقائمة القواعد الفريدة التي يتم تشغيلها، مع الحالة وخطوط الاتجاه، في مصنف صحة التحليلات.
  • إذا حددت قاعدة في القائمة أعلاه، فسيظهر جدول جديد مع تفاصيل السلامة للقاعدة المحددة. لقطة شاشة لقائمة عمليات تشغيل قاعدة التحليلات المحددة، في مصنف صحة التحليلات.

علامة التبويب "تدقيق"

تتيح لك علامة التبويب Audit التنقل لأسفل وصولا إلى أحداث تدقيق معينة.

لقطة شاشة لاختيار علامة تبويب التدقيق في مصنف صحة التحليلات.

  • تصفية بيانات الصفحة بأكملها حسب نوع قاعدة التدقيق (مجدول/الاندماج).
  • راجع اتجاهات النشاط المدقق على قواعد التحليلات خلال الفترة الزمنية المحددة. يمكنك "فرشاة الوقت" الرسم البياني للاتجاه لرؤية مجموعة فرعية من النطاق الزمني الأصلي. لقطة شاشة لنشاط التدقيق الرائج في مصنف صحة التحليلات.
  • راجع أرقام الأحداث التي تم تدقيقها، مقسمة حسب النشاط ونوع القاعدة.
    • حدد نشاطا لتصفية المخططات التالية لهذا النشاط.
    • قم بإلغاء تحديد عامل التصفية عن طريق تحديد أيقونة "مسح التحديد" (تبدو كأيقونة "تراجع") في الزاوية العلوية اليسرى من المخطط. لقطة شاشة لعدد أحداث التدقيق حسب النشاط والنوع في مصنف صحة التحليلات.
  • راجع عدد الأحداث التي تم تدقيقها حسب اسم القاعدة.
    • حدد اسم قاعدة لتصفية الجدول التالي لتلك القاعدة، وللتنقل لأسفل وإظهار جدول جديد مع كل النشاط على تلك القاعدة (في الإطار الزمني المحدد). (انظر بعد لقطة الشاشة التالية.)
    • قم بإلغاء تحديد عامل التصفية عن طريق تحديد أيقونة "مسح التحديد" (تبدو كأيقونة "تراجع") في الزاوية العلوية اليسرى من المخطط. لقطة شاشة للأحداث التي تم تدقيقها حسب اسم القاعدة والمتصل في مصنف صحة التحليلات.
  • راجع عدد الأحداث التي تم تدقيقها بواسطة المتصل (الهوية التي نفذت النشاط).
  • إذا حددت اسم قاعدة في المخطط الموضح أعلاه، فسيظهر جدول آخر يعرض الأنشطة التي تم تدقيقها على تلك القاعدة. حدد القيمة التي تظهر كارتباط في العمود ExtendedProperties لفتح لوحة جانبية تعرض التغييرات التي تم إجراؤها على القاعدة. لقطة شاشة لنشاط التدقيق للقاعدة المحددة في مصنف صحة التحليلات.

الخطوات التالية