تنفيذ Microsoft Sentinel Data Lake للاحتفاظ بها على المدى الطويل

تنفيذ Microsoft Sentinel Data Lake للاحتفاظ بها على المدى الطويل

22 فبراير 2026

المقدمة: الحاجة المتزايدة للاحتفاظ بالبيانات الأمنية

بحلول عام 2026، سيصل حجم البيانات الناتجة عن أنظمة الأمن والشبكات والتطبيقات إلى مستويات هائلة. يعد جمع هذه البيانات وتحليلها أمرًا بالغ الأهمية لاكتشاف التهديدات والتحقيق في الحوادث والحفاظ على الوضع الأمني ​​لديك. ومع ذلك، فإن الاحتفاظ بسجلات الأمان لفترات طويلة يمثل تحديات كبيرة، تتعلق بشكل أساسي بالتكلفة والقدرة على الوصول والتحليل بكفاءة [1].

لقد تطورت لوائح الامتثال مثل اللائحة العامة لحماية البيانات (GDPR) وقانون LGPD وقانون نقل التأمين الصحي والمساءلة (HIPAA) وغيرها من اللوائح الخاصة بالصناعة لتتطلب من المؤسسات الاحتفاظ بسجلات الأمان لفترات زمنية ممتدة بشكل متزايد، وغالبًا ما تتجاوز 90 يومًا التي تقدمها تقليديًا حلول معلومات الأمان وإدارة الأحداث (SIEM) للتخزين الساخن. قد يصبح الاحتفاظ بهذه البيانات في أماكن تخزين عالية الأداء لسنوات باهظ التكلفة، مما يجبر المنظمات على اتخاذ خيارات صعبة بين الامتثال والقدرة على التحقيق والميزانية [2].

لحل هذه المعضلة، قدمت Microsoft Microsoft Sentinel Data Lake، وهو حل مبتكر يسمح للمؤسسات بتخزين كميات هائلة من البيانات الأمنية بتكلفة منخفضة بشكل كبير، دون المساس بقدرات البحث والتحليل السريع. يتكامل Sentinel Data Lake بسلاسة مع Microsoft Sentinel، مما يوسع إمكانات الاحتفاظ بالبيانات الخاصة به إلى ما هو أبعد من تحليلات السجل من خلال استخدام طبقة تخزين منخفضة التكلفة ولكن لا يزال من الممكن الوصول إليها لاستعلامات KQL (لغة استعلام Kusto) [3].

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمان ومهندسي البيانات ومسؤولي تكنولوجيا المعلومات في فهم وتنفيذ Microsoft Sentinel Data Lake. سنقوم بتغطية الفوائد والمتطلبات الأساسية ودليل تفصيلي خطوة بخطوة لتكوين وإدارة الاحتفاظ بسجلات الأمان الخاصة بك على المدى الطويل، مما يضمن الامتثال والقدرة على التحقيق الفعال.

تحدي الاحتفاظ بالسجلات وحل Sentinel Data Lake

يعد تخزين سجلات الأمان لفترات طويلة أمرًا ضروريًا لعدة أسباب:

  • الامتثال التنظيمي: تتطلب العديد من الصناعات والولايات القضائية الاحتفاظ بالبيانات الأمنية لسنوات لأغراض التدقيق والامتثال.

  • التحقيق في التهديدات المستمرة (APT): يمكن أن تظل الهجمات المتقدمة والمستمرة غير مكتشفة لعدة أشهر. تعد البيانات التاريخية أمرًا بالغ الأهمية لتعقب التهديدات وفهم الجدول الزمني الكامل للحادث.

  • تحليل الطب الشرعي: في حالة حدوث اختراق، تعد السجلات القديمة أمرًا حيويًا لتحليل الطب الشرعي، مما يساعد على تحديد السبب الجذري ونطاق الاختراق والإجراءات التي اتخذها المهاجم.

  • تحليل الاتجاهات وتحسين الوضع: تسمح البيانات التاريخية لفرق الأمان بتحديد اتجاهات الهجوم، وتقييم فعالية الدفاعات بمرور الوقت، وتحسين الوضع الأمني ​​باستمرار.

كانت العقبة الرئيسية أمام الاحتفاظ على المدى الطويل دائمًا هي تكلفة التخزين "الساخن" في Log Analytics، والذي تم تحسينه للتناول والاستعلام في الوقت الفعلي. تعالج Sentinel Data Lake هذا الأمر من خلال:

  • استخدام التخزين منخفض التكلفة: يتم نقل البيانات التاريخية إلى طبقة تخزين منخفضة التكلفة، مثل Azure Data Lake Storage Gen2 (ADLS Gen2)، الذي تم تحسينه لأحجام البيانات الكبيرة والوصول العرضي، ولكنه لا يزال يتمتع بأداء مقبول للاستعلامات التحليلية [4].

  • الحفاظ على إمكانية استعلام KQL: على عكس حلول الأرشفة التقليدية التي تتطلب معالجة كاملة للبيانات للاستعلام، تسمح Sentinel Data Lake لـ Sentinel بتشغيل استعلامات KQL مباشرة على البيانات المخزنة في ADLS Gen2. وهذا يعني أن المحللين يمكنهم الوصول إلى البيانات التاريخية وتحليلها دون انقطاع أو تأخير كبير.

  • الإدارة المبسطة: يعمل التكامل الأصلي مع Microsoft Sentinel على تبسيط إدارة دورة حياة البيانات من خلال أتمتة عملية نقل البيانات من Log Analytics إلى Data Lake استنادًا إلى سياسات الاحتفاظ المحددة.

مبادئ تشغيل Microsoft Sentinel Data Lake

يعتمد عمل Sentinel Data Lake على بعض المبادئ الأساسية:

  1. طبقات التخزين: يتم تسجيل بيانات السجل في البدايةويتم استيعابها في Log Analytics (الطبقة "الساخنة") للتحليل في الوقت الفعلي. وبعد فترة زمنية قابلة للتكوين، يتم نقلها تلقائيًا إلى Azure Data Lake Storage Gen2 ("البارد" أو طبقة الأرشيف).

  2. تنسيق مفتوح: يتم تخزين البيانات في Data Lake بتنسيق مفتوح (على سبيل المثال، Parquet)، مما يسمح ليس فقط بالاستعلامات عبر Sentinel، ولكن أيضًا باستخدام أدوات Azure التحليلية الأخرى (مثل Azure Synapse Analytics وAzure Databricks) لإجراء تحليلات أعمق أو التكامل مع الأنظمة الأخرى.

  3. الاستعلام الموحد: يتميز Microsoft Sentinel بواجهة استعلام موحدة حيث يمكن للمحللين تشغيل استعلامات KQL التي تغطي كلا من البيانات "الساخنة" في Log Analytics والبيانات "الباردة" في Data Lake، دون الحاجة إلى معرفة مكان تخزين البيانات فعليًا [5].

  4. الأمان والحوكمة: ترث Data Lake الإمكانات الأمنية لـ Azure Storage، بما في ذلك التشفير أثناء الراحة وأثناء النقل، والتحكم في الوصول على أساس الدور (RBAC)، والتكامل مع Azure Purview لإدارة البيانات.

متطلبات التنفيذ

لتنفيذ Microsoft Sentinel Data Lake، ستحتاج إلى العناصر التالية:

  • اشتراك Azure النشط: مع أذونات لإنشاء موارد حساب التخزين وتكوين Microsoft Sentinel.

  • تكوين Microsoft Sentinel: تم بالفعل نشر مساحة عمل Log Analytics مع Microsoft Sentinel وجمع السجلات.

  • ترخيص Microsoft Sentinel: تعتمد تكلفة Sentinel Data Lake على تخزين ADLS Gen2 وتشغيل الاستعلامات، بالإضافة إلى تكاليف استيعاب Log Analytics والاحتفاظ بها.

  • الوصول الإداري: حسابات ذات أذونات مساهم أو مالك على اشتراك Azure ومساحة عمل Log Analytics.

دليل خطوة بخطوة: تكوين Microsoft Sentinel Data Lake

يتضمن تكوين Sentinel Data Lake توفير حساب تخزين والتكامل مع Microsoft Sentinel.

الخطوة 1: توفير وحدة تخزين Azure Data Lake من الجيل الثاني

يعد Azure Data Lake Storage Gen2 الأساس للتخزين طويل المدى لسجلات الأمان الخاصة بك.

  1. إنشاء حساب تخزين: في بوابة Azure، ابحث عن "حسابات التخزين" ثم انقر فوق + إنشاء. املأ التفاصيل الأساسية:

  2. الاشتراك: حدد اشتراك Azure الخاص بك.

  3. مجموعة الموارد: أنشئ مجموعة جديدة أو حدد مجموعة موجودة. إنها ممارسة جيدة أن يكون لديك مجموعة موارد مخصصة لموارد الأمان.

  4. اسم حساب التخزين: اختر اسمًا فريدًا وفريدًا عالميًا (على سبيل المثال، sentinellakedata).

  5. المنطقة: حدد نفس المنطقة التي توجد بها مساحة عمل Log Analytics لتحسين الأداء وتقليل تكاليف نقل البيانات.

  6. الأداء: حدد قياسي (لمعظم حالات استخدام الأرشفة).

  7. نوع الحساب: حدد StorageV2 (الإصدار 2 للأغراض العامة).

  8. التكرار: اختر خيار التكرار الذي يناسب متطلبات المتانة والتكلفة لديك (على سبيل المثال، GRS للمتانة العالية، وLRS للتكلفة الأقل).

  9. تمكين مساحة الاسم الهرمية: في علامة التبويب خيارات متقدمة أثناء إنشاء حساب التخزين، تأكد من تمكين ميزة "مساحة الاسم الهرمية" **. يعد هذا أحد متطلبات وظائف ADLS Gen2 وSentinel Data Lake.

  10. المراجعة والإنشاء: راجع الإعدادات وانقر على إنشاء.

الخطوة 2: توصيل Azure Sentinel ببحيرة البيانات

بعد توفير مساحة التخزين، تحتاج إلى دمج Data Lake مع مساحة عمل Azure Sentinel الخاصة بك.

  1. انتقل إلى Microsoft Sentinel Portal: في بوابة Azure، ابحث عن "Microsoft Sentinel" وحدد مساحة العمل الخاصة بك.

  2. انتقل إلى إعدادات مساحة العمل: في قائمة التنقل Sentinel، انتقل إلى الإعدادات > إعدادات مساحة العمل.

  3. حدد خيار "الاحتفاظ بالبيانات وأرشفتها": ضمن إعدادات مساحة العمل، ستجد خيارًا جديدًا (تم تقديمه في عام 2026) يسمى "الاحتفاظ بالبيانات وأرشفتها".

  4. الاتصال ببحيرة البيانات: انقر فوق "الاتصال ببحيرة البيانات". ستوجهك الواجهة لتحديد حساب تخزين ADLS Gen2 الذي قمت بإنشائه في الخطوة 1. وسيقوم Sentinel بإنشاء الأذونات اللازمة تلقائيًا.

الخطوة 3: تحديد سياسات أرشفة البيانات

مع اتصال Data Lake، يمكنك الآن تحديد جداول السجل التي سيتم أرشفتها ومدة أرشفتهاال.

  1. اختر جداول السجل: في قسم "الاحتفاظ بالبيانات والأرشفة"، سترى قائمة بجميع جداول السجل التي تم استيعابها في مساحة عمل Log Analytics. حدد الجداول التي تريد أرشفتها في Data Lake (على سبيل المثال، SecurityEvent، وSigninLogs، وAzureActivity، وSyslog). يوصى بأرشفة سجلات الأمان الهامة للامتثال والتحقيق.

  2. ضبط وقت الاحتفاظ في تحليلات السجل: لكل جدول محدد، قم بتعيين وقت الاحتفاظ للتخزين "السريع" في تحليلات السجل (على سبيل المثال: 30 أو 60 أو 90 يومًا). وبعد هذه الفترة، سيتم نقل البيانات إلى Data Lake.

  3. تحديد وقت الاحتفاظ في بحيرة البيانات: بعد ذلك، حدد وقت الاحتفاظ بالبيانات في بحيرة البيانات (على سبيل المثال: سنة واحدة، 3 سنوات، 7 سنوات). يجب أن تتوافق هذه الفترة مع متطلبات الامتثال الخاصة بك وسياسات الاحتفاظ بالبيانات الداخلية.

  4. حفظ التغييرات: قم بتأكيد سياسات الأرشفة الخاصة بك. سيبدأ Azure Sentinel تلقائيًا في نقل البيانات إلى Data Lake بعد فترة الاحتفاظ بـ Log Analytics، دون الحاجة إلى التدخل اليدوي.

مراقبة وإدارة بحيرة البيانات Sentinel

  • مراقبة الحالة: يوفر Sentinel لوحات معلومات مراقبة لتتبع حالة أرشفة البيانات، بما في ذلك حجم البيانات المنقولة وأي أخطاء ومساحة التخزين المستخدمة في Data Lake.

  • استعلامات KQL الموحدة: استمر في استخدام لغة استعلام Kusto (KQL) في Azure Sentinel للاستعلام عن بياناتك. موقع تخزين ملخصات Sentinel، مما يسمح بتشغيل استعلاماتك بسلاسة على البيانات "الساخنة" و"الباردة". على سبيل المثال، استعلام SecurityEvent | حيث سيقوم TimeGenerated >ago(2y) بجلب البيانات من Log Analytics وData Lake إذا لزم الأمر.

  • ** تحسين التكلفة **: مراقبة التكاليف المرتبطة بـ ADLS Gen2 وضبط سياسات الاحتفاظ حسب الحاجة. فكر في استخدام مستويات وصول مختلفة (ساخنة، باردة، أرشيفية) ضمن ADLS Gen2 لتحسين تكاليف البيانات التي يتم الوصول إليها بشكل أقل تكرارًا.

  • Data Lake Security: قم بتطبيق أفضل ممارسات أمان Azure Storage على ADLS Gen2، بما في ذلك التحكم في الوصول المستند إلى الدور (RBAC)، وتشفير البيانات، وسياسات الوصول، ومراقبة النشاط.

الخلاصة

يعد تنفيذ Microsoft Sentinel Data Lake في عام 2026 استراتيجية أساسية للمؤسسات التي تتطلع إلى تحقيق التوازن بين متطلبات الامتثال طويلة المدى والحاجة إلى إدارة تكاليف تخزين البيانات الأمنية. من خلال توسيع إمكانات الاحتفاظ بـ Microsoft Sentinel وتمكين استعلامات KQL الموحدة بشأن البيانات التاريخية منخفضة التكلفة، تعمل Data Lake على تمكين فرق الأمان من إجراء تحقيقات جنائية متعمقة ومطاردة التهديدات المستمرة والحفاظ على الامتثال التنظيمي دون المساس بالميزانية. إن اعتماد هذا الحل لا يعد مجرد مسألة امتثال، بل هو قرار استراتيجي لتعزيز المرونة السيبرانية وقدرات الاستجابة للحوادث في مشهد التهديدات المتطور باستمرار.

المراجع

[1] مجتمع مايكروسوفت التقني. "الأخبار الشهرية - أبريل 2026." متوفر على: https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/monthly-news---april-2026/4508050 [2] كلاود ث. "Azure DevOps وخريطة طريق الأمان لعام 2026: المهارات والشهادات." متوفر على: https://www.cloudthat.com/resources/blog/azure-devops-and-security-roadmap-for-2026-skills-and-certifications/ [3] مايكروسوفت تعلم. "ميزات جديدة في Microsoft Defender لنقطة النهاية." متوفر على: https://learn.microsoft.com/en-us/defender-endpoint/whats-new-in-microsoft-defender-endpoint [4] مايكروسوفت أزور. "وحدة تخزين بحيرة بيانات Azure Gen2." متوفر على: https://azure.microsoft.com/en-us/products/storage/data-lake-storage [5] مايكروسوفت تعلم. "الاستعلام عن البيانات في Azure Data Lake Storage Gen2 من Azure Synapse Analytics." متوفر على: https://learn.microsoft.com/en-us/azure/synapse-analytics/sql/query-data-lake-storage-gen2