مراقبة البيانات وعرضها بشكل بياني

5 دقائق

توفر لك سجلاتMicrosoft Azure Sentinel الوصول إلى سجلات مختلفة تم جمعها من موصلات الأمان. يقوم Microsoft Azure Sentinel بتجميع هذه السجلات من الموصلات المتكاملة الخاصة بها وتخزينها في مساحة عمل Azure Log Analytics.

مساحة عمل Log Analytics

تُعد مساحة عمل Log Analytics مستودعًا لتخزن البيانات ومعلومات التكوين. يمكنك إنشاء استعلامات لتصفية المعلومات المهمة، والتي يمكنك استخدامها بعد ذلك لإنشاء قواعد التحليلات والكشف عن التهديدات. على سبيل المثال، يمكنك استخدام سجلات Microsoft Sentinel للبحث عن البيانات من مصادر متعددة، وتجميع مجموعات بيانات كبيرة، وتنفيذ عمليات معقدة لتحديد التهديدات الأمنية المحتملة والثغرات الأمنية.

استكشاف صفحة Microsoft Azure Sentinel Logs

يمكنك البحث عن سجلات معينة على صفحة سجلات Microsoft Sentinel. اعرض الصفحة عن طريق تحديد السجلات في جزء التنقل في Microsoft Sentinel.

تحتوي صفحة السجلات على الأجزاء الرئيسية التالية:

يحتوي رأس الصفحة على ارتباطات إلى قسم الاستعلامات والإعدادات والمساعدة.
يعرض جزء Tables البيانات التي تم تجميعها من السجلات في الجداول، ويتكون كل منها من عدة أعمدة.
جزء الاستعلام هو المكان الذي تكتب فيه تعبيرات الاستعلام الخاصة بك.
يعرض جزء نتائج الاستعلام نتائج الاستعلامات.

Screenshot of the default Logs page that shows four elements: the Header bar, the Tables pane, the Queries pane, and the Query results/history pane.

الاستعلامات

عند تحديد الارتباط Queries على رأس الصفحة، تفتح نافذة جديدة، حيث يمكنك تحديد من بعض استعلامات العينة المعرفة مسبقًا. من القائمة المنسدلة Queries، يمكنك تصفية هذه الاستعلامات استنادًا إلى:

Category
نوع الاستعلام
نوع المورد
Solution
موضوع

حدد تشغيل لبدء استعلام معرف مسبقا. يعيد هذا الإجراء توجيهك إلى جزء الاستعلام. يمكنك مراقبة بنية الاستعلام والنتائج. لمعالجة قلق Contoso بشأن المستخدمين غير المصرح لهم، قم بتشغيل الاستعلام المحدد مسبقا للمستخدمين غير المصرح لهم.

Screenshot that presents unauthorized users.

Query Explorer

استخدم Query Explorer للوصول إلى الاستعلامات المحفوظة مسبقا. يمكنك أيضًا الوصول إلى بعض Solution Queries التي تقوم بشكل أساسي بتصفية الاستعلامات الأكثر شيوعًا التي يمكنك استخدامها لتصفية البيانات. من قائمة Solution Queries يمكنك إما تشغيل الاستعلام أو تنظيم الاستعلام في القسم المفضل عن طريق تحديد رمز النجمة.

جزء الجداول

يقوم جزء Tables بتجميع السجلات من حلول مختلفة في جداول. يمكنك توسيع مجموعة الحل ومراقبة كافة السجلات التي تم تجميعها. يمكنك أيضا تحديد أحد السجلات من جزء الجداول. يمكنك معاينة البيانات أو إضافة هذا السجل إلى قسم المفضلة .

تعرض لقطة الشاشة التالية السجلات التي تم جمعها في حلMicrosoft Azure Sentinel.

Screenshot displaying the Tables view.

جزء Queries

استخدم جزء Queries لإنشاء استعلامات تسترد البيانات استنادا إلى التعبير الذي توفره. يساعدك جزء Queries على كتابة استعلام دقيق من خلال تقديم اقتراحات وملء العناصر المتوقعة من الاستعلام تلقائيا.

الاستفادة من قدرات لغة الاستعلام Kusto (KQL) لكتابة استعلام يسترد البيانات من السجلات. يوضح المثال التالي كيفية استخدام التعليمات البرمجية KQL في الاستعلامات الخاصة بك لتعريف الأجهزة الظاهرية المحذوفة.

AzureActivity
| where OperationName == 'Delete Virtual Machine'
| where ActivityStatus == 'Accepted'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress

يوفر شريط أدوات الرأس المزيد من التفاعل مع الاستعلام، كما هو معروض في لقطة الشاشة التالية.

Screenshot of the header toolbar, with options described in the text following the image.

حفظ الاستعلام من الجزء Query عن طريق تحديد Save. يفتح هذا الإجراء نافذة جديدة، حيث تتم مطالبتك بإدخال اسم الاستعلام والفئة المحفوظة. تظهر الاستعلامات المحفوظة في مستكشف الاستعلامات.
في حقل Time Range يمكنك توفير وقت مختلف لتغيير النطاق الزمني الذي تريد عرض نتائج الاستعلام له.
قم بإنشاء ارتباط للاستعلام ومشاركته مع أعضاء الفريق الآخرين عن طريق تحديد Copy link to query. يمكنك أيضًا نسخ نص الاستعلام.
من عنوان شريط الأدوات في الجزء استعلام يمكنك إنشاء تنبيه مراقبة جديد لـMicrosoft Azure Sentinel أو تنبيه Microsoft Azure Sentinel جديد. إذا اخترت إنشاء تنبيه Microsoft Sentinel جديد، فسيتم توجيهك إلى الخطوات التالية لإنشاء قاعدة تحليلات.
تصدير الاستعلام إلى أحد التنسيقات التالية:
- تصدير إلى CSV قم بتصدير كل الأعمدة، المرئية والمخفية، إلى ملف CSV الذي يمكنك فتحه باستخدام Microsoft Excel.
- تصدير إلى أعمدة معروضة بتنسيق CSV. تصدير الأعمدة التي يتم عرضها في نوافذ النتائج للاستعلام فقط.
- تصدير إلى Power BI (استعلام M). إنشاء ملف PowerBIQuery.txt وتنزيله يمكنك فتحه باستخدام تطبيق Microsoft Power BI.
يمكنك تثبيت نتائج الاستعلام في لوحة معلومات خاصة أو مشتركة لفحص نتائج الاستعلام بسرعة.
يمكنك استخدام Format query على شريط أدوات الرأس لجعل الاستعلام أكثر قابلية للقراءة.

إشعار

يمكنك تصدير الاستعلام أو تثبيته فقط إذا كان تعبير الاستعلام يقوم بإنشاء بيانات في قسم نتيجة الاستعلام.

نتائج الاستعلام

ضمن النتائج، يمكنك مراقبة نتائج الاستعلام. يمكنك أيضا تقديم النتائج باستخدام مخطط، أو إخفاء أعمدة أخرى وعرضها لتصفية نتائج الاستعلام.

‏‫اختبر معلوماتك

يريد المسؤول فتح استعلام تم حفظه مسبقًا. بعد فتح صفحة السجلات فيMicrosoft Azure Sentinel، أي من الخيارات التالية يجب على المسؤول تحديدها؟

الاستعلامات

Query Explorer

جزء الجداول

يرغب المسؤول في إنشاء قاعدة تحليل من الاستعلام الذي تم إنشاؤه. ما هو الخيار من جزء الاستعلامات الذي يتعين على المسؤول تحديده؟

تنبيه Azure Monitor

إخطار Microsoft Azure Sentinel

نسخ الارتباط

عليك الإجابة على كل الأسئلة قبل مراجعة عملك.

متابعة

مساحة عمل Log Analytics

استكشاف صفحة Microsoft Azure Sentinel Logs

الاستعلامات

Query Explorer

جزء الجداول

جزء Queries

شريط أدوات الرأس

نتائج الاستعلام

‏‫اختبر معلوماتك

الملاحظات