تتبع وظيفة البحث

  • 3 دقائق

أحد الأنشطة الأساسية لفريق الأمان هو البحث عن سجلات لأحداث معينة. على سبيل المثال، يمكنك البحث في السجلات عن أنشطة مستخدم معين ضمن إطار زمني معين.

في Microsoft Azure Sentinel، يمكنك البحث عبر فترات زمنية طويلة في مجموعات بيانات كبيرة باستخدام مهمة بحث. بينما يمكنك تشغيل مهمة بحث على أي نوع من السجلات، فإن مهام البحث مناسبة بشكل مثالي للبحث في السجلات المؤرشفة. إذا كنت بحاجة إلى إجراء تحقيق كامل في البيانات المؤرشفة، يمكنك استعادة تلك البيانات في ذاكرة التخزين المؤقت الساخنة لتشغيل الاستعلامات والتحليلات عالية الأداء.

البحث في مجموعات البيانات الكبيرة

استخدم مهمة بحث عند بدء التحقيق للعثور على أحداث معينة في السجلات ضمن إطار زمني معين. يمكنك البحث في جميع سجلاتك للعثور على الأحداث التي تطابق معاييرك والتصفية من خلال النتائج.

البحث في Microsoft Azure Sentinel مبني على مهام البحث. مهام البحث هي استعلامات غير متزامنة تجلب السجلات. يتم إرجاع النتائج إلى جدول بحث تم إنشاؤه في مساحة عمل Log Analytics بعد بدء مهمة البحث. تستخدم مهمة البحث معالجة متوازية لتشغيل البحث عبر فترات زمنية طويلة، في مجموعات بيانات كبيرة للغاية. لذلك لا تؤثر مهام البحث على أداء مساحة العمل أو توفرها.

تبقى نتائج البحث في جدول نتائج البحث الذي يحتوي على لاحقة *_SRCH.

أنواع السجلات المدعومة

استخدم البحث للعثور على الأحداث في أي من أنواع السجلات التالية:

  • سجلات التحليلات
  • السجلات الأساسية

قيود مهمة البحث

قبل بدء مهمة بحث، كن على دراية بالقيود التالية:

  • محسن للاستعلام عن جدول واحد في كل مرة.
  • نطاق تاريخ البحث يصل إلى سنة واحدة.
  • يدعم عمليات البحث طويلة الأمد حتى مهلة 24 ساعة.
  • تقتصر النتائج على مليون سجل في مجموعة السجلات.
  • يقتصر التنفيذ المتزامن على خمس مهام بحث لكل مساحة عمل.
  • يقتصر على 100 جدول نتائج بحث لكل مساحة عمل.
  • يقتصر على 100 عملية تنفيذ مهمة بحث يومياً لكل مساحة عمل.

بدء مهمة بحث

انتقل إلى البحث في Microsoft Sentinel لإدخال معايير البحث.

  1. في مدخل Microsoft Azure، انتقل إلى Microsoft Sentinel وحدد مساحة العمل المناسبة.

  2. ضمن عام، حدد البحث (إصدار أولي).

  3. في مربع البحث، أدخل مصطلح البحث.

  4. حدد النطاق الزمني المناسب.

  5. حدد الجدول الذي تريد البحث عنه.

  6. عندما تكون جاهزاً لبدء مهمة البحث، حدد بحث.

    عند بدء مهمة البحث، يظهر إعلام وحالة الوظيفة على صفحة البحث.

  7. انتظر حتى تكتمل وظيفة البحث. استناداً إلى مجموعة البيانات ومعايير البحث، قد تستغرق مهمة البحث بضع دقائق أو حتى 24 ساعة لإكمالها. إذا استغرقت مهمة البحث أكثر من 24 ساعة، فستنتهى مهلتها. إذا حدث ذلك، فقم بتحسين معايير البحث وحاول مرة أخرى.

اعرض نتائج البحث

اعرض حالة ونتائج مهمة البحث بالانتقال إلى علامة التبويب عمليات البحث المحفوظة.

  1. في مساحة عمل Microsoft Azure Sentinel، حدد البحث > في سجلات البحث المحفوظة.

  2. في بطاقة البحث، حدد عرض نتائج البحث.

  3. بشكل افتراضي، سترى جميع النتائج التي تطابق معايير البحث الأصلية. في استعلام البحث، لاحظ أعمدة الوقت المشار إليها.

    • TimeGenerated هو تاريخ ووقت استيعاب البيانات في جدول البحث.
    • _OriginalTimeGenerated هو تاريخ ووقت إنشاء السجل.

  4. لتحسين قائمة النتائج التي تم إرجاعها من جدول البحث، قم بتحرير استعلام KQL.

  5. أثناء مراجعة نتائج مهمة البحث، ضع إشارة مرجعية على صفوف تحتوي على معلومات تجدها مثيرة للاهتمام حتى تتمكن من إرفاقها بحادث أو الرجوع إليها لاحقاً.