التعامل مع تأخير الابتلاع في قواعد التحليلات المجدولة

  • مقالة
  • قراءة خلال 3 دقائق

على الرغم من أن Microsoft Sentinel يمكنه استيعاب البيانات من مصادر مختلفة، إلا أن وقت الابتلاع لكل مصدر بيانات قد يختلف في ظروف مختلفة.

توضح هذه المقالة كيفية تأثير تأخير الابتلاع على قواعد التحليلات المجدولة وكيفية إصلاحها لتغطية هذه الثغرات.

لماذا التأخير مهم

على سبيل المثال، يمكنك كتابة قاعدة اكتشاف مخصصة، وتعيين الاستعلام "تشغيل" لكل وبيانات "البحث من الحقول الأخيرة" لتشغيل القاعدة كل خمس دقائق، والبحث عن البيانات من تلك الدقائق الخمس الأخيرة :

Screenshot showing the Analytics Rule Wizard - Create new rule window.

تحدد بيانات البحث من الحقل الأخير إعدادا يعرف باسم فترة النظر إلى الوراء . من الناحية المثالية، عندما لا يكون هناك تأخير، لا يفوت هذا الكشف أي أحداث، كما هو موضح في الرسم البياني التالي:

Diagram showing a five-minute look-back window.

يصل الحدث كما تم إنشاؤه ، ويتم تضمينه في فترة النظر إلى الوراء .

الآن ، افترض أن هناك بعض التأخير لمصدر البيانات الخاص بك. على سبيل المثال، لنفترض أنه تم استيعاب الحدث بعد دقيقتين من إنشائه. التأخير دقيقتين:

Diagram showing five-minute look back windows with a delay of two minutes.

يتم إنشاء الحدث خلال فترة النظرة الأولى إلى الوراء، ولكن لا يتم استيعابه في مساحة عمل Microsoft Sentinel الخاصة بك في التشغيل الأول. في المرة التالية التي يتم فيها تشغيل الاستعلام المجدول، فإنه يستوعب الحدث، ولكن عامل التصفية الذي تم إنشاؤه بالوقت يزيل الحدث لأنه حدث منذ أكثر من خمس دقائق. في هذه الحالة، لا تطلق القاعدة تنبيها.

كيفية التعامل مع التأخير

ملاحظة

يمكنك إما حل المشكلة باستخدام العملية الموضحة أدناه، أو تنفيذ قواعد الكشف في الوقت الفعلي القريب (NRT) الخاصة ب Microsoft Sentinel. لمزيد من المعلومات، راجع اكتشاف التهديدات بسرعة باستخدام قواعد التحليلات في الوقت الفعلي تقريبا (NRT) في Microsoft Sentinel.

لحل المشكلة ، تحتاج إلى معرفة التأخير لنوع البيانات الخاصة بك. على سبيل المثال ، أنت تعرف بالفعل أن التأخير هو دقيقتان.

بالنسبة لبياناتك الخاصة ، يمكنك فهم التأخير باستخدام وظيفة Kusto ingestion_time() ، وحساب الفرق بين TimeGenerated ووقت الابتلاع. لمزيد من المعلومات، راجع حساب تأخير الابتلاع.

بعد تحديد التأخير ، يمكنك معالجة المشكلة على النحو التالي:

  • زيادة فترة النظر إلى الوراء. يخبرك الحدس الأساسي أن زيادة حجم فترة النظر إلى الوراء سيساعدك. نظرا لأن فترة النظر إلى الوراء هي خمس دقائق وتأخرك دقيقتان ، فإن تعيين فترة النظر إلى الوراء إلى سبع دقائق سيساعد في معالجة هذه المشكلة. على سبيل المثال، في إعدادات القاعدة:

    Screenshot that shows setting the look-back window to seven minutes.

    يوضح الرسم التخطيطي التالي كيف تحتوي فترة حزمة المظهر الآن على الحدث الفائت:

    Diagram that shows seven-minute look back windows with a delay of two minutes.

  • التعامل مع الازدواجية. فقط زيادة فترة النظر إلى الوراء يمكن أن تخلق الازدواجية ، لأن نوافذ النظر إلى الوراء تتداخل الآن. على سبيل المثال، قد يبدو حدث مختلف كما هو موضح في الرسم التخطيطي التالي:

    Diagram showing how overlapping look-back windows create duplication.

    نظرا لأنه تم العثور على قيمة TimeGenerated للحدث في فترتي النظر إلى الوراء، يطلق الحدث تنبيهين. تحتاج إلى إيجاد طريقة لحل الازدواجية.

  • اربط الحدث بفترة معينة من النظرة إلى الوراء. في المثال الأول، فاتتك أحداث لأنه لم يتم استيعاب بياناتك عند تشغيل الاستعلام المجدول. قمت بتوسيع نظرة إلى الوراء لتشمل الحدث، ولكن هذا تسبب في الازدواجية. يجب عليك إقران الحدث بالنافذة التي قمت بتوسيعها لاحتوائه.

    قم بذلك عن طريق الإعداد ingestion_time() > ago(5m)، بدلا من القاعدة look-back = 5mالأصلية . يربط هذا الإعداد الحدث بنافذة النظرة الأولى إلى الوراء. على سبيل المثال:

    Diagram showing how setting the ago restriction avoids duplication.

    يؤدي تقييد وقت الابتلاع الآن إلى تقليص الدقيقتين الإضافيتين اللتين أضفتهما إلى فترة النظر إلى الوراء. وبالنسبة للمثال الأول ، فإن فترة النظر إلى الوراء الثانية تلتقط الآن الحدث:

    Diagram showing how setting the ago restriction captures the event.

يلخص نموذج الاستعلام التالي الحل لحل مشكلات تأخير الابتلاع:

let ingestion_delay = 2min;
let rule_look_back = 5min;
CommonSecurityLog
| where TimeGenerated >= ago(ingestion_delay + rule_look_back)
| where ingestion_time() > ago(rule_look_back)

حساب تأخير الابتلاع

بشكل افتراضي، يتم تكوين قواعد التنبيه المجدولة ل Microsoft Sentinel للحصول على فترة نظر إلى الوراء مدتها 5 دقائق. ومع ذلك ، قد يكون لكل مصدر بيانات تأخير ابتلاع فردي خاص به. عند الانضمام إلى أنواع بيانات متعددة، يجب أن تفهم التأخيرات المختلفة لكل نوع بيانات من أجل تكوين فترة البحث إلى الوراء بشكل صحيح.

يتضمن تقرير استخدام مساحة العمل، المتوفر في Microsoft Sentinel الجاهز، لوحة معلومات تعرض زمن الوصول والتأخير لأنواع البيانات المختلفة المتدفقة إلى مساحة العمل الخاصة بك.

على سبيل المثال:

Screenshot of the Workspace Usage Report showing End to End Latency by table

الخطوات التالية

لمزيد من المعلومات، انظر: