البحث عبر فترات زمنية طويلة في مجموعات البيانات الكبيرة

• ينطبق على:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

استخدم مهمة بحث عند بدء تحقيق للعثور على أحداث محددة في سجلات منذ ما يصل إلى سبع سنوات. يمكنك البحث في الأحداث عبر جميع سجلاتك، بما في ذلك الأحداث في خطط السجل Analytics و Basic و Archived. قم بتصفية الأحداث التي تطابق معاييرك وابحث عنها.

• لمزيد من المعلومات حول مفاهيم وقيود مهمة البحث، راجع بدء التحقيق عن طريق البحث في مجموعات البيانات الكبيرة ووظائف البحث في Azure Monitor.

• قد تتحمل مهام البحث عبر مجموعات بيانات معينة رسوما إضافية. لمزيد من المعلومات، راجع صفحة تسعير Microsoft Sentinel.

هام

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

بدء مهمة بحث

انتقل إلى البحث في Microsoft Sentinel من مدخل Microsoft Azure أو مدخل Microsoft Defender لإدخال معايير البحث. اعتمادا على حجم مجموعة البيانات الهدف، تختلف أوقات البحث. بينما تستغرق معظم مهام البحث بضع دقائق لإكمالها، يتم أيضا دعم عمليات البحث عبر مجموعات البيانات الضخمة التي تصل إلى 24 ساعة.

1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن عام، حدد بحث.
   بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد بحث Microsoft Sentinel>.

2. حدد القائمة جدول واختر جدولا للبحث.

3. في مربع البحث ، أدخل مصطلح بحث.

   مدخل Microsoft Azure

   

   مدخل Defender

   

4. حدد البدء لفتح محرر لغة استعلام Kusto المتقدمة (KQL) ومعاينة النتائج لنطاق زمني محدد.

5. قم بتغيير استعلام KQL حسب الحاجة وحدد تشغيل للحصول على معاينة محدثة لنتائج البحث.

   

6. عندما تكون راضيا عن الاستعلام ومعاينة نتائج البحث، حدد علامات الحذف ... وقم بتبديل وضع مهمة البحث.

   

7. حدد النطاق الزمني المناسب.

8. حل أي مشكلات KQL يشار إليها بخط أحمر متعرج في المحرر.

9. عندما تصبح جاهزا لبدء مهمة البحث، حدد وظيفة البحث.

10. أدخل اسم جدول جديد لتخزين نتائج مهمة البحث.

11. حدد تشغيل مهمة بحث.

12. انتظر حتى يتم تنفيذ مهمة البحث للإعلام لعرض النتائج.

اعرض نتائج البحث

اعرض حالة ونتائج مهمة البحث بالانتقال إلى علامة التبويب عمليات البحث المحفوظة.

1. في Microsoft Sentinel، حدد البحث في>عمليات البحث المحفوظة.

2. في بطاقة البحث، حدد عرض نتائج البحث.

   

   بشكل افتراضي، سترى جميع النتائج التي تطابق معايير البحث الأصلية.

3. لتحسين قائمة النتائج التي تم إرجاعها من جدول البحث، حدد إضافة عامل تصفية.

4. أثناء مراجعة نتائج مهمة البحث، حدد إضافة إشارة مرجعية، أو حدد أيقونة الإشارة المرجعية للاحتفاظ بصف. تسمح لك إضافة إشارة مرجعية بوضع علامة على الأحداث وإضافة الملاحظات وإرفاق هذه الأحداث بحدث للرجوع إليها لاحقا.

   

5. حدد الزر أعمدة وحدد خانة الاختيار بجوار الأعمدة التي تريد إضافتها إلى طريقة عرض النتائج.

6. أضف عامل التصفية Bookmarked لإظهار الإدخالات المحفوظة فقط.

7. حدد عرض جميع الإشارات المرجعية للانتقال إلى صفحة التتبع حيث يمكنك إضافة إشارة مرجعية إلى حدث موجود.

الخطوات التالية

لمعرفة المزيد، راجع المقالات التالية.

• البحث باستخدام الإشارات المرجعية
• استعادة السجلات المؤرشفة
• تكوين نُهج استبقاء البيانات والأرشفة في Azure Monitor Logs (إصدار أولي)