مراقبة سلامة موصلات البيانات

لضمان استيعاب البيانات الكامل وغير المنقطع في خدمة Microsoft Sentinel، تتبع صحة موصلات البيانات والاتصال وأدائها.

تسمح لك الميزات التالية بإجراء هذه المراقبة من داخل Microsoft Sentinel:

• مصنف مراقبة سلامة جمع البيانات: يوفر هذا المصنف أجهزة عرض إضافية، ويكشف عن الحالات الشاذة، ويعطي نظرة ثاقبة حول حالة استيعاب البيانات في مساحة العمل. يمكنك استخدام منطق المصنف لمراقبة السلامة العامة للبيانات التي تم استيعابها، ولبناء طرق عرض مخصصة وتنبيهات تستند إلى القواعد.

• جدول بيانات SentinelHealth (معاينة): يوفر الاستعلام عن هذا الجدول رؤى حول الانجرافات الصحية، مثل أحدث أحداث الفشل لكل موصل، أو الموصلات ذات التغييرات من حالات النجاح إلى حالات الفشل، والتي يمكنك استخدامها لإنشاء تنبيهات وإجراءات تلقائية أخرى. جدول بيانات SentinelHealth مدعوم حالياً فقط لموصلات البيانات المحددة.

  هام

  جدول بيانات SentinelHealth قيد PREVIEWحاليًا. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

• عرض صحة وحالة أنظمة SAP المتصلة: راجع المعلومات الصحية لأنظمة SAP الخاصة بك ضمن موصل بيانات SAP، واستخدم قالب قاعدة تنبيه للحصول على معلومات حول صحة جمع بيانات عامل SAP.

استخدم مصنف مراقبة السلامة

1. من مدخل Microsoft Sentinel، حدد مركز المحتوى من قسم إدارة المحتوى في قائمة التنقل.

2. في مركز المحتوى، أدخل health في شريط البحث، وحدد Data collection health monitoring من بين النتائج.

3. حدد تثبيت من جزء التفاصيل. عندما ترى رسالة إعلام بأن المصنف مثبت، أو إذا كنت ترى التكوين بدلا من التثبيت، فانتقل إلى الخطوة التالية.

4. حدد المصنفات من قسم إدارة المخاطر في قائمة التنقل.

5. في صفحة Workbooks ، حدد علامة التبويب Templates ، وأدخل health في شريط البحث، وحدد Data collection health monitoring من بين النتائج.

6. حدد "View template" لاستخدام المصنف كما هو، أو حدد "Save" لإنشاء نسخة قابلة للتحرير من المصنف. عند إنشاء النسخة، حدد "View saved workbook".

7. بمجرد الدخول إلى المصنف، حدد أولاً الاشتراك ومساحة العمل التي ترغب في عرضها، ثم حدد "TimeRange" لتصفية البيانات وفقاً لاحتياجاتك. استخدم تبديل "Show help" لعرض الشرح الموضعي للمصنف.

   

يوجد ثلاثة أقسام مبوبة في هذا المصنف:

• تعرض علامة التبويب "Overview" الحالة العامة لاستيعاب البيانات في مساحة العمل المحددة: مقاييس الحجم ومعدلات EPS ووقت تلقي آخر سجل.

• ستساعدك علامة التبويب "Data collection anomalies" على اكتشاف حالات الخروج عن المألوف في عملية جمع البيانات، حسب الجدول ومصدر البيانات. تقدم كل علامة تبويب حالات الخروج عن المألوف لجدول معين (تتضمن علامة التبويب "General" مجموعة من الجداول). يتم حساب حالات الخروج عن المألوف باستخدام الدالة series_decompose_anomalies() التي ترجع درجة الخروج عن المألوف. تعرف على المزيد بشأن هذه الدالة. تعيين المعلمات التالية للدالة لتقييم:

  • AnomaliesTimeRange: ينطبق منتقي الوقت هذا فقط على طريقة عرض حالات الخروج عن المألوف لجمع البيانات.

  • SampleInterval: الفاصل الزمني لأخذ عينات من البيانات في النطاق الزمني المحدد. يتم حساب درجة الخروج عن المألوف فقط على بيانات الفاصل الزمني الأخير.

  • PositiveAlertThreshold: تحدد هذه القيمة حد درجة الخروج عن المألوف الإيجابي. يقبل القيم العشرية.

  • NegativeAlertThreshold: تحدد هذه القيمة حد درجة الخروج عن المألوف السالب. يقبل القيم العشرية.

    

• تعرض علامة التبويب "Agent info" معلومات بشأن سلامة عوامل Log Analytics المثبتة على أجهزتك المختلفة، سواء كان جهاز Azure ظاهرياً أو جهازاً ظاهريّاً سحابيّاً آخر أو جهازاً ظاهريّاً محليّاً أو جهازاً فعليّاً. يمكنك مراقبة ما يلي:

  • موقع النظام

  • حالة رسالة كشف أخطاء الاتصال وزمن الانتقال

  • الذاكرة المتوفرة ومساحة القرص

  • عمليات العامل

    في هذا القسم، يجب تحديد علامة التبويب التي تصف بيئة أجهزتك: اختر علامة التبويب "Azure-managed machines" إذا كنت تريد عرض الأجهزة المدارة بواسطة Azure Arc فقط؛ فاختر علامة التبويب "All machines" لعرض كل من الأجهزة المُدارة بواسطة Azure والأجهزة غير التابعة لـ Azure مع تثبيت عامل Log Analytics.

    

استخدام جدول بيانات SentinelHealth (معاينة عامة)

للحصول على بيانات صحة موصل البيانات من جدول بيانات SentinelHealth، يجب أولًا تشغيل ميزة حماية Microsoft Sentinel لمساحة العمل الخاصة بك. لمزيد من المعلومات، راجع تشغيل مراقبة السلامة لـ Microsoft Sentinel.

بمجرد تشغيل ميزة السلامة، يتم إنشاء جدول بيانات SentinelHealth في أول حدث نجاح أو فشل تم إنشاؤه لموصلات البيانات.

موصلات البيانات المدعومة

جدول بيانات SentinelHealth مدعوم حالياً فقط لموصلات البيانات التالية:

• Amazon Web Services (CloudTrail وS3)
• Dynamics 365
• Office 365
• Microsoft Defender لنقطة النهاية
• Threat Intelligence - TAXII
• منصات التحليل الذكي للمخاطر

فهم أحداث جدول SentinelHealth

يتم تسجيل الأنواع التالية من أحداث السلامة في جدول SentinelHealth:

• تغيير حالة إحضار البيانات. يتم التسجيل مرة واحدة في الساعة طالما ظلت حالة موصل البيانات مستقرة، مع استمرار أحداث النجاح أو الفشل. ما دامت حالة موصل البيانات لا تتغير، فإن المراقبة تعمل كل ساعة فقط لمنع التدقيق المتكرر وتقليل حجم الجدول. إذا كانت حالة موصل البيانات تحتوي على حالات فشل مستمرة، يتم تضمين تفاصيل إضافية بشأن حالات الفشل في العمود ExtendedProperties.

  إذا تغيرت حالة موصل البيانات، إما من النجاح إلى الفشل، أو من الفشل إلى النجاح، أو حدثت تغييرات في أسباب الفشل، يتم تسجيل الحدث على الفور للسماح لفريقك باتخاذ إجراء استباقي وفوري.

  يتم تسجيل الأخطاء العابرة المحتملة، مثل تقييد خدمة المصدر، فقط بعد أن تستمر لأكثر من 60 دقيقة. تسمح هذه الدقائق الـ 60 لـ Microsoft Azure Sentinel بالتغلب على المشكلة العابرة في الخلفية واللحاق بالبيانات، دون الحاجة إلى أي إجراء من المستخدم. يتم تسجيل الأخطاء غير العابرة بالتأكيد على الفور.

• ملخص الفشل. تم التسجيل مرة واحدة في الساعة، لكل موصل، ولكل مساحة عمل، مع ملخص فشل مجمع. يتم إنشاء أحداث ملخص الفشل فقط عندما يواجه الموصل أخطاء تحقق خلال الساعة المحددة. تحتوي على أي تفاصيل إضافية متوفرة في العمود ExtendedProperties، مثل الفترة الزمنية التي تم فيها الاستعلام عن النظام الأساسي لمصدر الموصل، وقائمة مميزة بحالات الفشل التي تمت مواجهتها خلال الفترة الزمنية.

لمزيد من المعلومات، راجع مخطط أعمدة جدول SentinelHealth.

تشغيل الاستعلامات للكشف عن انحرافات السلامة

إنشاء استعلامات على جدول SentinelHealth لمساعدتك في اكتشاف انحرافات السلامة في موصلات البيانات. على سبيل المثال:

الكشف عن أحدث أحداث الفشل لكل موصل:

SentinelHealth
| where TimeGenerated > ago(3d)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId
| where Status == 'Failure'

الكشف عن الموصلات التي تحتوي على تغييرات من حالة الفشل إلى حالة النجاح:

let lastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextToLastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (lastestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
lastestStatus
| join kind=inner (nextToLastestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Failure' and LastStatus == 'Success'

الكشف عن الموصلات التي تحتوي على تغييرات من حالة النجاح إلى حالة الفشل:

let lastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextToLastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (lastestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
lastestStatus
| join kind=inner (nextToLastestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Success' and LastStatus == 'Failure'

تكوين التنبيهات والإجراءات التلقائية لمشكلات السلامة

بينما يمكنك استخدام قواعد تحليلات Microsoft Azure Sentinel لتكوين التشغيل التلقائي في سجلات Microsoft Azure Sentinel، إذا كنت ترغب في الحصول على إعلام واتخاذ إجراء فوري لانحرافات السلامة في موصلات البيانات، فإننا نوصي باستخدام قواعد تنبيه Azure Monitor.

على سبيل المثال:

1. في قاعدة تنبيه Azure Monitor، حدد مساحة عمل Microsoft Azure Sentinel كنطاق القاعدة، و"Custom log search" كشرط أول.

2. قم بتخصيص منطق التنبيه حسب الحاجة، مثل التردد أو مدة المراجعة، ثم استخدم الاستعلامات للبحث عن انحرافات السلامة.

3. بالنسبة لإجراءات القاعدة، حدد مجموعة إجراءات موجودة أو أنشئ مجموعة جديدة حسب الحاجة لتكوين الإعلامات المنبثقة أو الإجراءات التلقائية الأخرى مثل تشغيل Logic App أو Webhook أو Azure Function في النظام.

لمزيد من المعلومات، راجع نظرة عامة على تنبيهات Azure Monitor وسجل تنبيهات Azure Monitor.

الخطوات التالية

• تعرف على التدقيق والمراقبة الصحية في Microsoft Sentinel.
• قم بتشغيل التدقيق والمراقبة الصحية في Microsoft Sentinel.
• مراقبة صحة قواعد التشغيل التلقائي ودلائل المبادئ.
• مراقبة سلامة وسلامة قواعد التحليلات الخاصة بك.
• راجع المزيد من المعلومات حول مخططات جدول SentinelHealth و SentinelAudit.