مراقبة وتحسين تنفيذ قواعد التحليلات المجدولة

للتأكد من أن الكشف عن التهديدات في Microsoft Sentinel يوفر تغطية كاملة في بيئتك، استفد من أدوات إدارة التنفيذ الخاصة به. تتكون هذه الأدوات من رؤى حول تنفيذ قواعد التحليلات المجدولة، استنادا إلى بيانات السلامة والتدقيق في Microsoft Sentinel، ومنشأة لإعادة تشغيل عمليات التنفيذ السابقة للقواعد يدويا على نوافذ زمنية محددة، لأغراض الاختبار و/أو استكشاف الأخطاء وإصلاحها.

هام

رؤى قواعد تحليلات Microsoft Sentinel وإعادة التشغيل اليدوي حاليا في PREVIEW. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

الملخص

هناك أداتان لإدارة التنفيذ لقواعد التحليلات المجدولة: رؤى القواعد المجدولة المضمنة والقدرة على إعادة تشغيل القواعد المجدولة عند الطلب.

في صفحة Analytics ، تعرض لوحة Insights كعلامة تبويب أخرى في جزء التفاصيل، إلى جانب علامة التبويب معلومات . توفر لوحة Insights معلومات حول نشاط القاعدة ونتائجها. على سبيل المثال: عمليات التنفيذ الفاشلة، ومشكلات الصحة العليا، وعدد التنبيهات بمرور الوقت، وإغلاق تصنيفات الحوادث التي تم إنشاؤها بواسطة القاعدة. تساعد هذه الرؤى محللي الأمان على تحديد المشكلات المحتملة أو التكوينات الخاطئة مع قواعد التحليلات، وتسمح لهم باكتشاف حالات فشل القواعد وإصلاحها وتحسين تكوينات القواعد للحصول على أداء ودقة أفضل.

أيضا في صفحة التحليلات ، لديك القدرة على إعادة تشغيل قواعد التحليلات عند الطلب. وتوفر هذه الإمكانية المرونة والتحكم في التحقق من فعالية القواعد. يمكن أن يكون مفيدا في سيناريوهات مثل تحسين القواعد والاختبار والتحقق من الصحة وغيرها. يمكن أن يدعم امتلاك المرونة لبدء عمليات إعادة التشغيل اليدوية العمليات الأمنية الفعالة، وتمكين الاستجابة الفعالة للحوادث، وتعزيز قدرات الكشف والاستجابة الشاملة للنظام.

استخدام حالات وفوائد إعادة تشغيل القاعدة

فيما يلي بعض السيناريوهات التي يمكن أن تستفيد من إعادة تشغيل عمليات تشغيل محددة لقواعد التحليلات:

تحسين القواعد وضبطها: قد تتطلب قواعد التحليلات تعديلات دورية وضبطا دقيقا استنادا إلى مشهد التهديد المتطور والاحتياجات التنظيمية المتغيرة. من خلال إعادة تشغيل القواعد يدويا، يمكن للمحللين تقييم تأثير تعديلات القواعد والتحقق من فعاليتها قبل نشرها في بيئة إنتاج.

الاختبار والتحقق من الصحة: عند إدخال قواعد تحليلات جديدة، أو إجراء تغييرات كبيرة على القواعد الموجودة، أو تطوير أدلة مبادئ جديدة للحوادث، من الضروري اختبار أدائها ودقتها بدقة. تتيح لك إعادة التشغيل اليدوي محاكاة سيناريوهات مختلفة، بما في ذلك التدفق التلقائي للحوادث من طرف إلى طرف، والتحقق من صحة القواعد مقابل مجموعة متسقة من مدخلات البيانات. تضمن هذه العملية أن تقوم القواعد بإنشاء التنبيهات المتوقعة دون إنتاج إيجابيات خاطئة زائدة.

التحقيق في الحادث: في حالة وقوع حادث أمني أو نشاط مشبوه، قد يرغب محللوك في عرض تفاصيل إضافية في التنبيهات التي تم إنشاؤها بالفعل. يمكنهم القيام بذلك عن طريق تحديث القاعدة وإعادة تشغيلها على فترات تنفيذ محددة (النسخ الاحتياطي حتى سبعة أيام) لجمع معلومات إضافية وتحديد الأحداث ذات الصلة. تسمح إعادة التشغيل اليدوي للمحللين بإجراء تحقيقات متعمقة وتساعد على ضمان تغطية شاملة.

الامتثال والتدقيق: قد تتطلب بعض المتطلبات التنظيمية أو السياسات الداخلية إعادة تشغيل قواعد التحليلات بشكل دوري أو عند الطلب لإثبات المراقبة المستمرة والامتثال. وتوفر إعادة التشغيل اليدوي القدرة على الوفاء بهذه الالتزامات من خلال ضمان تطبيق القواعد باستمرار وإنشاء تنبيهات مناسبة.

المتطلبات الأساسية

لاستخدام أدوات إدارة التنفيذ، يجب تمكين ميزة الحماية والتدقيق في Microsoft Sentinel، وتحديدا مراقبة سلامة قاعدة التحليلات. تعرف على كيفية تمكين الصحة والتدقيق.

عرض رؤى قواعد التحليلات

للاستفادة من هذه الأدوات، ابدأ بفحص الرؤى حول قاعدة معينة.

1. من قائمة التنقل Microsoft Sentinel، حدد Analytics.

2. ابحث عن قاعدة وحددها (مجدولة أو NRT) التي ترغب في رؤية نتائج تحليلاتها.

3. حدد علامة التبويب Insights في جزء التفاصيل.

   

4. عند تحديد علامة التبويب Insights ، سيظهر محدد الإطار الزمني. حدد إطارا زمنيا، أو اتركه كافتراضي لآخر 24 ساعة.

   

تعرض لوحة Insights حاليا أربعة أنواع من الرؤى. يتبع كل نتيجة تحليلات ارتباط View all ينقلك إلى صفحة Logs ويعرض الاستعلام الذي نتج عنه نتيجة التحليلات مع النتائج الأولية الكاملة. فيما يلي نتائج التحليلات:

• تعرض عمليات التنفيذ الفاشلة قائمة بعمليات التشغيل الفاشلة لهذه القاعدة في الإطار الزمني المحدد. يتبع هذه الرؤى أيضا ارتباط إلى لوحة تشغيل القاعدة، حيث يمكنك مشاهدة قائمة بجميع الأوقات التي تم فيها تشغيل القاعدة، ويمكنك إعادة تشغيل عمليات تشغيل معينة للقاعدة.

• تعرض أهم مشكلات الصحة قائمة بالمشكلات الصحية الأكثر شيوعا لهذه القاعدة أثناء الإطار الزمني المحدد. يتبع هذه الرؤى أيضا ارتباط View runs الذي ينقلك إلى صفحة السجلات حيث سترى استعلاما عن جميع الأوقات التي تم فيها تشغيل هذه القاعدة.

• يعرض الرسم البياني للتنبيه مخططا لعدد التنبيهات التي تم إنشاؤها بواسطة هذه القاعدة في الإطار الزمني المحدد.

• يظهر تصنيف الحوادث ملخصا لتصنيف الحوادث المغلقة التي أنشأتها هذه القاعدة خلال الإطار الزمني المحدد.

إعادة تشغيل قواعد التحليلات

هناك العديد من السيناريوهات التي قد تقودك إلى إعادة تشغيل قاعدة.

• فشل تشغيل قاعدة بسبب شرط مؤقت عاد إلى الحالة العادية، أو بسبب تكوين خاطئ. بعد تصحيح التكوين الخاطئ أو إصلاح الشرط، ستحتاج بعد ذلك إلى إعادة تشغيل القاعدة في نفس النافذة الزمنية (أي على نفس البيانات) مثل التشغيل الذي فشل، للتخفيف من الثغرات في التغطية.

• نجحت القاعدة في التشغيل، ولكنها لم توفر معلومات كافية في التنبيهات التي أنشأتها. في هذه الحالة، قد تحتاج إلى تحرير القاعدة لتوفير مزيد من المعلومات، سواء عن طريق تغيير الاستعلام أو إعدادات الإثراء. ستحتاج بعد ذلك إلى إعادة تشغيل القاعدة في نفس النافذة الزمنية (أي على نفس البيانات) مثل التشغيل الذي تريد الحصول على مزيد من المعلومات له.

• قد تقوم بتجربة كتابة قاعدة أو تحريرها وتريد معرفة كيفية تأثير الإعدادات المختلفة على التنبيهات التي تنشئها القاعدة. للمقارنة الصالحة، تريد إعادة تشغيل القاعدة في نفس النافذة الزمنية.

فيما يلي كيفية إعادة تشغيل قاعدة:

1. من صفحة Analytics، حدد Rule runs (Preview) من شريط الأدوات في الأعلى. سيتم فتح لوحة تشغيل القاعدة.

   

   يمكنك أيضا الوصول إلى لوحة تشغيل القاعدة عن طريق تحديد إعادة تشغيل القواعد من عرض عمليات التنفيذ الفاشلة في علامة التبويب نتائج التحليلات (انظر أعلاه).

   

2. حدد تشغيل القاعدة الذي تريد إعادة تشغيله، وفقا للنافذة الزمنية التي تم تشغيلها فيها في الأصل، كما هو معروض في عمود وقت التنفيذ. يمكنك اختيار أكثر من تشغيل قاعدة واحدة.

   

3. حدد Replay run. سيتم عرض الإعلامات التي تظهر تقدم الطلبات وأن القواعد تم وضعها في قائمة الانتظار للتنفيذ.

   

4. حدد تحديث لعرض الحالة المحدثة لتشغيل القاعدة. سترى أن طلباتك معروضة فيما بينها، بحالة قيد التقدم (ستظهر في النهاية على أنها نجاح) ونوع من المستخدم الذي يتم تشغيله بدلا من تشغيل النظام.

   

   ستلاحظ أيضا أن وقت تنفيذ عمليات إعادة التشغيل المطلوبة هو نفس تنفيذ التشغيل الأصلي الذي يشغله النظام، وليس وقت تنفيذ إعادة التشغيل. هذا لإظهار النافذة الزمنية التي تشير إليها إعادة التشغيل.

   يمكنك فقط إعادة تشغيل القاعدة التي يشغلها النظام، وليس تلك التي يشغلها المستخدم.

حدد عرض التفاصيل الكاملة في نهاية سطر أي قاعدة يتم تشغيلها لعرض تفاصيلها الأولية الكاملة في شاشة السجلات .

الخطوات التالية

• مراقبة السلامة ومراجعة سلامة قواعد التحليلات الخاصة بك.
• تعرف على التدقيق والمراقبة الصحية في Microsoft Sentinel.
• قم بتشغيل التدقيق والمراقبة الصحية في Microsoft Sentinel.
• راجع المزيد من المعلومات حول مخططات جدول SentinelHealth و SentinelAudit.