تجميع بيانات Microsoft Sentinel مع قواعد الملخص

استخدم قواعد الملخص في Microsoft Sentinel لتجميع مجموعات كبيرة من البيانات في الخلفية للحصول على تجربة عمليات أمان أكثر سلاسة عبر جميع مستويات السجل. يتم تجميع بيانات الملخص مسبقا في جداول السجل المخصصة وتوفر أداء استعلام سريع، بما في ذلك الاستعلامات التي يتم تشغيلها على البيانات المشتقة من مستويات السجل منخفضة التكلفة. يمكن أن تساعد قواعد الملخص في تحسين بياناتك من أجل:

• التحليل والتقارير، خاصة عبر مجموعات البيانات الكبيرة والنطاقات الزمنية، كما هو مطلوب لتحليل الأمان والحوادث، وتقارير الأعمال الشهرية أو السنوية، وما إلى ذلك.
• توفير التكاليف على السجلات المطولة، والتي يمكنك الاحتفاظ بها بأقل قدر ممكن أو طالما كنت بحاجة إلى مستوى سجل أقل تكلفة، وإرسالها كبيانات ملخصة فقط إلى جدول التحليلات للتحليل والتقارير.
• الأمان وخصوصية البيانات، عن طريق إزالة تفاصيل الخصوصية أو تعتيمها في البيانات القابلة للمشاركة الملخصة والحد من الوصول إلى الجداول التي تحتوي على بيانات أولية.

Microsoft Sentinel يخزن نتائج قاعدة الملخص في جداول مخصصة مع خطة بيانات التحليلات. لمزيد من المعلومات حول خطط البيانات وتكاليف التخزين، راجع خطط جدول السجل.

تشرح هذه المقالة كيفية إنشاء قواعد ملخص أو توزيع قوالب قواعد التلخيص التي تم إنشاؤها مسبقا في Microsoft Sentinel، وتوفر أمثلة على السيناريوهات الشائعة لاستخدام قواعد الملخص.

هام

بعد 31 مارس 2027، لن يتم دعم Microsoft Sentinel في مدخل Azure ولن يتوفر إلا في مدخل Microsoft Defender. ستتم إعادة توجيه جميع العملاء الذين يستخدمون Microsoft Sentinel في مدخل Azure إلى مدخل Defender وسيستخدمون Microsoft Sentinel في مدخل Defender فقط. بدءا من يوليو 2025، يتم إلحاق العديد من العملاء الجدد تلقائيا وإعادة توجيههم إلى مدخل Defender.

إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي تقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت لنقل: إيقاف Azure مدخل Microsoft Sentinel لمزيد من الأمان.

المتطلبات الأساسية

لإنشاء قواعد موجزة في Microsoft Sentinel:

• يجب تمكين Microsoft Sentinel في مساحة عمل واحدة على الأقل، واستهلاك السجلات بنشاط.

• يجب أن تكون قادرا على الوصول إلى Microsoft Sentinel باستخدام أذونات المساهم Microsoft Sentinel. لمزيد من المعلومات، راجع الأدوار والأذونات في Microsoft Sentinel.

• لإنشاء قواعد ملخص في مدخل Microsoft Defender، يجب أولا إلحاق مساحة العمل بمدخل Defender. لمزيد من المعلومات، راجع توصيل Microsoft Sentinel بمدخل Microsoft Defender.

نوصي بتجربة استعلام قاعدة الملخص في صفحة السجلات قبل إنشاء القاعدة. تحقق من أن الاستعلام لا يصل إلى حد الاستعلام أو يقترب منه، وتحقق من أن الاستعلام ينتج المخطط المقصود والنتائج المتوقعة. إذا كان الاستعلام قريبا من حدود الاستعلام، ففكر في استخدام أصغر binSize لمعالجة بيانات أقل لكل سلة. يمكنك أيضا تعديل الاستعلام لإرجاع سجلات أقل أو إزالة حقول ذات حجم أعلى.

إنشاء قاعدة ملخص جديدة

إنشاء قاعدة ملخص جديدة لتجميع مجموعة كبيرة معينة من البيانات في جدول ديناميكي. قم بتكوين تكرار القاعدة لتحديد عدد المرات التي يتم فيها تحديث مجموعة البيانات المجمعة من البيانات الأولية.

1. افتح معالج قاعدة الملخص:

   • في مدخل Defender، حدد Microsoft Sentinel > Configuration > Summary rules.

   • في مدخل Azure، من قائمة التنقل Microsoft Sentinel، ضمن Configuration، حدد Summary rules. على سبيل المثال:

     

2. حدد + Create وأدخل التفاصيل التالية:

   • الاسم. أدخل اسما ذا معنى للقاعدة الخاصة بك.

   • الوصف. أدخل وصفا اختياريا.

   • جدول الوجهة. حدد جدول السجل المخصص حيث يتم تجميع بياناتك:

     • إذا حددت جدول سجل مخصص موجود، فحدد الجدول الذي تريد استخدامه.

     • إذا حددت جدول سجل مخصص جديد، أدخل اسما ذا معنى للجدول الخاص بك. يستخدم اسم الجدول الكامل بناء الجملة التالي: <tableName>_CL.

3. نوصي بتمكين إعدادات تشخيص SummaryLogs على مساحة العمل الخاصة بك للحصول على رؤية للتشغيلات التاريخية والفشل. إذا لم يتم تمكين إعدادات تشخيص SummaryLogs ، فستتم مطالبتك بتمكينها في منطقة إعدادات التشخيص .

   إذا تم تمكين إعدادات تشخيص SummaryLogs بالفعل، ولكنك تريد تعديل الإعدادات، فحدد تكوين إعدادات التشخيص المتقدمة. عند العودة إلى صفحة معالج قاعدة الملخص ، تأكد من تحديد تحديث لتحديث تفاصيل الإعداد.

   هام

   يحتوي إعداد تشخيص SummaryLogs على تكاليف إضافية. لمزيد من المعلومات، راجع إعدادات التشخيص في Azure Monitor.

4. حدد Next: Set summary logic > للمتابعة.

5. في صفحة تعيين منطق الملخص ، أدخل استعلام الملخص. على سبيل المثال، لتلخيص البيانات من Google Cloud Platform، قد تحتاج إلى إدخال:

   GCPAuditLogs
   | where ServiceName == 'pubsub.googleapis.com'
   | summarize count() by Severity
   

   لمزيد من المعلومات، راجع نموذج سيناريوهات قاعدة الملخصولغة استعلام Kusto (KQL) في Azure Monitor.

6. حدد Preview results لإظهار مثال على البيانات التي تجمعها مع الاستعلام الذي تم تكوينه.

7. في منطقة جدولة الاستعلام ، حدد التفاصيل التالية:

   • عدد المرات التي تريد فيها تشغيل القاعدة
   • ما إذا كنت تريد تشغيل القاعدة بأي نوع من التأخير، في دقائق
   • عندما تريد بدء تشغيل القاعدة

   تستند الأوقات المحددة في الجدولة إلى العمود الموجود timegenerated في بياناتك

8. حدد Next: Review + create >>Save لإكمال قاعدة الملخص.

يتم سرد قواعد الملخص الموجودة في صفحة قواعد الملخص ، حيث يمكنك مراجعة حالة القاعدة الخاصة بك. لكل قاعدة، حدد قائمة الخيارات في نهاية الصف لاتخاذ أي من الإجراءات التالية:

• عرض بيانات القاعدة الحالية في صفحة السجلات ، كما لو كنت تريد تشغيل الاستعلام على الفور
• عرض محفوظات التشغيل للقاعدة المحددة
• تعطيل القاعدة أو تمكينها.
• تحرير تكوين القاعدة

لحذف قاعدة، حدد صف القاعدة ثم حدد حذف في شريط الأدوات أعلى الصفحة.

ملاحظة

يدعم Azure Monitor أيضا إنشاء قواعد ملخصة عبر واجهة برمجة التطبيقات أو قالب Azure Resource Monitor (ARM). لمزيد من المعلومات، راجع إنشاء قاعدة ملخص أو تحديثها.

توزيع قوالب قاعدة التلخيص التي تم إنشاؤها مسبقا

قوالب قاعدة الملخص هي قواعد ملخص تم إنشاؤها مسبقا يمكنك نشرها كما هي أو تخصيصها لاحتياجاتك.

لنشر قالب قاعدة ملخص:

1. افتح مركز المحتوى وقم بتصفية نوع المحتوى حسب قواعد الملخص لعرض قوالب قاعدة الملخص المتوفرة.

   

2. حدد قالب قاعدة ملخص.

   يتم فتح لوحة تحتوي على معلومات حول قالب قاعدة الملخص، وتعرض حقولا مثل الوصف والاستعلام الموجز وجدول الوجهة.

   

3. حدد تثبيت لتثبيت القالب.

4. حدد علامة التبويب Templates في صفحة Summary rules ، وحدد قاعدة الملخص التي قمت بتثبيتها.

   

5. حدد إنشاء لفتح معالج قاعدة الملخص، حيث يتم ملء جميع الحقول مسبقا.

6. انتقل إلى معالج قاعدة الملخص وحدد حفظ لنشر قاعدة الملخص.

   لمزيد من المعلومات حول معالج قاعدة الملخص، راجع إنشاء قاعدة ملخص جديدة.

نموذج سيناريوهات قاعدة التلخيص في Microsoft Sentinel

يستعرض هذا القسم السيناريوهات الشائعة لإنشاء قواعد التلخيص في Microsoft Sentinel، وتوصياتنا حول كيفية تكوين كل قاعدة. لمزيد من المعلومات والأمثلة، راجع تلخيص الرؤى من البيانات الأولية في جدول إضافي إلى جدول تحليلات في Microsoft Sentinelومصادر السجل لاستخدامها لاستيعاب السجلات المساعدة.

العثور بسرعة على عنوان IP ضار في نسبة استخدام الشبكة

السيناريو: أنت صياد تهديدات، وأحد أهداف فريقك هو تحديد جميع مثيلات تفاعل عنوان IP ضار في سجلات نسبة استخدام الشبكة من حادث نشط، في آخر 90 يوما.

التحدي: Microsoft Sentinel حاليا استيعاب تيرابايت متعددة من سجلات الشبكة يوميا. تحتاج إلى التنقل عبرها بسرعة للعثور على تطابقات لعنوان IP الضار.

الحل: نوصي باستخدام قواعد الملخص للقيام بما يلي:

1. قم بإنشاء مجموعة بيانات ملخصة لكل عنوان IP متعلق بالحادث، بما في SourceIPذلك ، DestinationIPMaliciousIPو، RemoteIPو، و، و،IPTypeFirstTimeSeenLastTimeSeen

   تمكنك مجموعة بيانات الملخص من البحث بسرعة عن عنوان IP معين وتضييق النطاق الزمني حيث يتم العثور على عنوان IP. يمكنك القيام بذلك حتى عندما حدثت الأحداث التي تم البحث عنها منذ أكثر من 90 يوما، وهو ما يتجاوز فترة استبقاء مساحة العمل الخاصة بها.

   في هذا المثال، قم بتكوين الملخص لتشغيله يوميا، بحيث يضيف الاستعلام سجلات ملخص جديدة كل يوم حتى تنتهي صلاحيته.

2. إنشاء قاعدة تحليلات تعمل لمدة أقل من دقيقتين مقابل مجموعة بيانات الملخص، والتعمق بسرعة في النطاق الزمني المحدد عندما تفاعل عنوان IP الضار مع شبكة الشركة.

   تأكد من تكوين فواصل تشغيل تصل إلى خمس دقائق كحد أدنى، لاستيعاب أحجام البيانات الأساسية الملخصة المختلفة. وهذا يضمن عدم وجود خسارة حتى عندما يكون هناك تأخير في استيعاب الحدث.

   على سبيل المثال:

   let csl_columnmatch=(column_name: string) {
   summarized_CommonSecurityLog
   | where isnotempty(column_name)
   | extend
       Date = format_datetime(TimeGenerated, "yyyy-MM-dd"),
       IPaddress = column_ifexists(column_name, ""),
       FieldName = column_name
   | extend IPType = iff(ipv4_is_private(IPaddress) == true, "Private", "Public")
   | where isnotempty(IPaddress)
   | project Date, TimeGenerated, IPaddress, FieldName, IPType, DeviceVendor
   | summarize count(), FirstTimeSeen = min(TimeGenerated), LastTimeSeen = min(TimeGenerated) by Date, IPaddress, FieldName, IPType, DeviceVendor
   };
   union csl_columnmatch("SourceIP")
       , csl_columnmatch("DestinationIP") 
       , csl_columnmatch("MaliciousIP")
       , csl_columnmatch("RemoteIP")
   // Further summarization can be done per IPaddress to remove duplicates per day on larger timeframe for the first run
   | summarize make_set(FieldName), make_set(DeviceVendor) by IPType, IPaddress
   

3. قم بتشغيل بحث لاحق أو ارتباط ببيانات أخرى لإكمال قصة الهجوم.

إنشاء تنبيهات حول تطابقات التحليل الذكي للمخاطر مع بيانات الشبكة

إنشاء تنبيهات حول تطابقات التحليل الذكي للمخاطر مقابل بيانات الشبكة الصاخبة والعالية الحجم وذات القيمة الأمنية المنخفضة.

السيناريو: تحتاج إلى إنشاء قاعدة تحليلات لسجلات جدار الحماية لمطابقة أسماء المجالات في النظام الذي تمت زيارته مقابل قائمة اسم مجال التحليل الذكي للمخاطر.

معظم مصادر البيانات هي سجلات أولية صاخبة ومرتفعة الحجم، ولكن لها قيمة أمان أقل، بما في ذلك عناوين IP وحركة مرور جدار الحماية Azure وحركة مرور Fortigate وما إلى ذلك. هناك إجمالي حجم يبلغ حوالي 1 تيرابايت في اليوم.

التحدي: يتطلب إنشاء قواعد منفصلة تطبيقات منطقية متعددة، مما يتطلب نفقات وتكاليف إضافية للإعداد والصيانة.

الحل: نوصي باستخدام قواعد الملخص للقيام بما يلي:

1. إنشاء قاعدة ملخص:

   1. قم بتوسيع الاستعلام لاستخراج الحقول الرئيسية، مثل عنوان المصدر وعنوان الوجهة ومنفذ الوجهة من جدول CommonSecurityLog_CL ، وهو CommonSecurityLog مع الخطة الإضافية.

   2. قم بإجراء بحث داخلي مقابل مؤشرات التحليل الذكي للمخاطر النشطة لتحديد أي تطابقات مع عنوان المصدر الخاص بنا. يسمح لك هذا بالإشارة إلى بياناتك مع التهديدات المعروفة.

   3. عرض المعلومات ذات الصلة، بما في ذلك الوقت الذي تم إنشاؤه ونوع النشاط وأي عناوين IP مصدر ضارة، إلى جانب تفاصيل الوجهة. قم بتعيين التردد الذي تريد تشغيل الاستعلام فيه وجدول الوجهة، مثل MaliciousIPDetection . تكون النتائج في هذا الجدول في المستوى التحليلي ويتم تحصيل رسوم منها وفقا لذلك.

2. إنشاء تنبيه:

   إنشاء قاعدة تحليلات في Microsoft Sentinel تنبه استنادا إلى النتائج من جدول MaliciousIPDetection. هذه الخطوة حاسمة للكشف عن التهديدات الاستباقية والاستجابة للحوادث.

نموذج قاعدة الملخص:

CommonSecurityLog_CL​
| extend sourceAddress = tostring(parse_json(Message).sourceAddress), destinationAddress = tostring(parse_json(Message).destinationAddress), destinationPort = tostring(parse_json(Message).destinationPort)​
| lookup kind=inner (ThreatIntelligenceIndicator | where Active == true ) on $left.sourceAddress == $right.NetworkIP​
| project TimeGenerated, Activity, Message, DeviceVendor, DeviceProduct, sourceMaliciousIP =sourceAddress, destinationAddress, destinationPort

المحتويات ذات الصلة

• تجميع البيانات في مساحة عمل Log Analytics باستخدام قواعد الملخص
• تخطيط التكاليف وفهم أسعار Microsoft Sentinel والفوترة
• مصادر السجل لاستخدامها لاستيعاب السجلات المساعدة
• قيود وقيود قواعد الملخص