تشغيل سريع: إلحاق Microsoft Sentinel

في هذا التشغيل السريع، ستقوم بتمكين Microsoft Sentinel وتثبيت حل من مركز المحتوى. بعد ذلك، ستقوم بإعداد موصل بيانات لبدء استيعاب البيانات في Microsoft Sentinel.

يأتي Microsoft Sentinel مزودا بالعديد من موصلات البيانات لمنتجات Microsoft مثل موصل خدمة إلى خدمة Microsoft Defender XDR. يمكنك أيضا تمكين الموصلات المضمنة للمنتجات غير التابعة ل Microsoft مثل Syslog أو Common Event Format (CEF). لهذا التشغيل السريع، ستستخدم موصل بيانات نشاط Azure المتوفر في حل نشاط Azure ل Microsoft Sentinel.

المتطلبات الأساسية

• اشتراك Azure النشط. في حال لم يكن لديك اشتراك، أنشئ حسابًا مجانيًا قبل البدء.

• مساحة عمل Log Analytics. تعرف على كيفية إنشاء مساحة عمل "تحليلات السجل". لمزيد من المعلومات حول مساحات عمل Log Analytics، راجع تصميم نشر سجلات مراقب Azure .

  بشكل افتراضي، مدة استبقاء البيانات 30 يومًا في مساحة عمل Log Analytics المستخدمة لـ Microsoft Sentinel. للتأكد من إمكانية استخدام جميع وظائف Microsoft Sentinel وميزاتها، زِد مدة استبقاء البيانات لتصل إلى 90 يومًا. تكوين نُهج استبقاء البيانات والأرشفة في Azure Monitor Logs.

• الأذونات:

  • لتمكين Microsoft Sentinel، تحتاج إلى أذونات المساهم للاشتراك الذي توجد به مساحة عمل Microsoft Sentinel.

  • لاستخدام Microsoft Sentinel، تحتاج إما إلى أذونات Microsoft Sentinel Contributor أو Microsoft Sentinel Reader على مجموعة الموارد التي تنتمي إليها مساحة العمل.

  • لتثبيت الحلول أو إدارتها في مركز المحتوى، تحتاج إلى دور مساهم Microsoft Sentinel في مجموعة الموارد التي تنتمي إليها مساحة العمل.

• تعد Microsoft Sentinel خدمة مدفوعة. راجع خيارات الأسعاروصفحة أسعار Microsoft Sentinel.

• قبل نشر Microsoft Sentinel في بيئة إنتاج، راجع أنشطة النشر المسبق والمتطلبات الأساسية لنشر Microsoft Sentinel.

تمكين Microsoft Sentinel

للبدء، أضف Microsoft Sentinel إلى مساحة عمل موجودة أو أنشئ مساحة عمل جديدة.

1. قم بتسجيل الدخول إلى بوابة Azure.

2. ابحث عن وحدد Microsoft Sentinel.

   

3. حدد إنشاء.

4. حدد مساحة العمل التي تريد استخدامها أو قم بإنشاء مساحة عمل جديدة. يمكنك تشغيل Microsoft Sentinel في أكثر من مساحة عمل واحدة، ولكن يتم عزل البيانات في مساحة عمل واحدة.

   

   • لا تظهر مساحات العمل الافتراضية التي أنشأها Microsoft Defender for Cloud في القائمة. لا يمكنك تركيب Microsoft Sentinel على هذا النوع من مساحات العمل.
   • بمجرد نشرها على مساحة عمل، لا يدعم Microsoft Sentinel نقل مساحة العمل هذه إلى مجموعة موارد أو اشتراك آخر.

5. حدد إضافة.

كبديل لاستخدام المدخل، يمكنك الإلحاق ب Microsoft Sentinel باستخدام طلب واجهة برمجة التطبيقات، عن طريق استدعاء واجهة برمجة تطبيقات OnboardingStates ARM.

تثبيت حل من مركز المحتوى

مركز المحتوى في Microsoft Sentinel هو الموقع المركزي لاكتشاف المحتوى الجاهز وإدارته بما في ذلك موصلات البيانات. لهذا التشغيل السريع، قم بتثبيت الحل لنشاط Azure.

1. في Microsoft Sentinel، حدد مركز المحتوى.

2. ابحث عن حل نشاط Azure وحدده.

   

3. في شريط الأدوات في أعلى الصفحة، حدد تثبيت/تحديث.

إعداد موصل البيانات

يقوم Microsoft Sentinel باستيعاب البيانات من الخدمات والتطبيقات عن طريق الاتصال بالخدمة وإعادة توجيه الأحداث والسجلات إلى Microsoft Sentinel. لهذا التشغيل السريع، قم بتثبيت موصل البيانات لإعادة توجيه البيانات لنشاط Azure إلى Microsoft Sentinel.

1. في Microsoft Sentinel، حدد موصلات البيانات.

2. ابحث عن موصل بيانات نشاط Azure وحدده.

3. في جزء التفاصيل للموصل، حدد فتح صفحة الموصل.

4. راجع الإرشادات لتكوين الموصل.

5. حدد تشغيل معالج تعيين نهج Azure.

6. في علامة التبويب Basics ، قم بتعيين Scope إلى مجموعة الاشتراك والموارد التي لديها نشاط لإرساله إلى Microsoft Sentinel. على سبيل المثال، حدد الاشتراك الذي يحتوي على مثيل Microsoft Sentinel.

7. حدد علامة التبويب المحددات.

8. تعيين مساحة عمل تحليلات السجل الأساسي. يجب أن تكون هذه هي مساحة العمل حيث يتم تثبيت Microsoft Sentinel.

9. حدد Review + create وCreate.

إنشاء بيانات النشاط

دعونا ننشئ بعض بيانات النشاط عن طريق تمكين قاعدة تم تضمينها في حل نشاط Azure ل Microsoft Sentinel. توضح لك هذه الخطوة أيضا كيفية إدارة المحتوى في مركز المحتوى.

1. في Microsoft Sentinel، حدد مركز المحتوى.

2. ابحث عن حل نشاط Azure وحدده.

3. من الجزء الأيمن، حدد إدارة.

4. ابحث عن قالب القاعدة وحدد نشر الموارد المشبوهة.

5. حدد تكوين.

6. حدد القاعدة وإنشاء قاعدة.

7. في علامة التبويب عام ، قم بتغيير الحالة إلى ممكن. اترك باقي القيم الافتراضية.

8. اقبل الإعدادات الافتراضية في علامات التبويب الأخرى.

9. في علامة التبويب مراجعة وإنشاء ، حدد إنشاء.

عرض البيانات التي تم استيعابها في Microsoft Sentinel

الآن بعد أن قمت بتمكين موصل بيانات نشاط Azure وإنشاء بعض بيانات النشاط، دعنا نعرض بيانات النشاط المضافة إلى مساحة العمل.

1. في Microsoft Sentinel، حدد موصلات البيانات.

2. ابحث عن موصل بيانات نشاط Azure وحدده.

3. في جزء التفاصيل للموصل، حدد فتح صفحة الموصل.

4. راجع حالة موصل البيانات. يجب الاتصال.

   

5. في الجزء الأيسر أعلى المخطط، حدد Go لتسجيل التحليلات.

6. في أعلى الجزء، بجوار علامة التبويب استعلام جديد 1 ، حدد + لإضافة علامة تبويب استعلام جديدة.

7. في جزء الاستعلام، قم بتشغيل الاستعلام التالي لعرض تاريخ النشاط الذي تم استيعابه في مساحة العمل.

    AzureActivity
   

   

الخطوات التالية

في هذا التشغيل السريع، قمت بتمكين Microsoft Sentinel وتثبيت حل من مركز المحتوى. بعد ذلك، يمكنك إعداد موصل بيانات لبدء استيعاب البيانات في Microsoft Sentinel. لقد تحققت أيضا من أن البيانات يتم استيعابها عن طريق عرض البيانات في مساحة العمل.

• لتصور البيانات التي جمعتها باستخدام لوحات المعلومات والمصنفات، راجع تصور البيانات المجمعة.
• للكشف عن التهديدات باستخدام قواعد التحليلات، راجع البرنامج التعليمي: الكشف عن التهديدات باستخدام قواعد التحليلات في Microsoft Sentinel.