استخدام وظائف Azure لتوصيل Microsoft Sentinel بمصدر البيانات الخاص بك

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.

يمكنك استخدام وظائف Azure، بالاقتران مع لغات ترميز مختلفة مثل PowerShell أو Python، لإنشاء موصل بدون خادم إلى نقاط نهاية واجهة برمجة تطبيقات REST لمصادر البيانات المتوافقة. ثم تسمح لك تطبيقات وظائف Azure بتوصيل Microsoft Sentinel بواجهة برمجة تطبيقات REST الخاصة بمصدر البيانات الخاص بك لسحب السجلات.

توضح هذه المقالة كيفية تكوين Microsoft Sentinel لاستخدام تطبيقات وظائف Azure. قد تحتاج أيضا إلى تكوين النظام المصدر الخاص بك، ويمكنك العثور على ارتباطات المعلومات الخاصة بالمورد والمنتج في صفحة كل موصل بيانات في البوابة الإلكترونية، أو القسم الخاص بخدمتك في الصفحة المرجعية لموصلات بيانات Microsoft Sentinel .

ملاحظة

• بمجرد استيعابها في Microsoft Sentinel، يتم تخزين البيانات في الموقع الجغرافي لمساحة العمل التي تقوم بتشغيل Microsoft Sentinel فيها.

  للاحتفاظ على المدى الطويل، قد تحتاج أيضا إلى تخزين البيانات في Azure Data Explorer. لمزيد من المعلومات، راجع دمج مستكشف بيانات Azure.

• قد يؤدي استخدام وظائف Azure لاستيعاب البيانات في Microsoft Sentinel إلى تكاليف إضافية لاستيعاب البيانات. لمزيد من المعلومات، راجع صفحة تسعير وظائف Azure .

المتطلبات الأساسية

تأكد من أن لديك الأذونات وبيانات الاعتماد التالية قبل استخدام وظائف Azure لتوصيل Microsoft Sentinel بمصدر البيانات الخاص بك وسحب سجلاته إلى Microsoft Sentinel:

• يجب أن يكون لديك أذونات القراءة والكتابة على مساحة عمل Microsoft Sentinel.

• يجب أن يكون لديك أذونات قراءة للمفاتيح المشتركة لمساحة العمل. تعرف على المزيد حول مفاتيح مساحة العمل.

• يجب أن يكون لديك أذونات قراءة وكتابة على Azure Functions لإنشاء تطبيق دالة. تعرف على المزيد حول وظائف Azure.

• ستحتاج أيضا إلى بيانات اعتماد للوصول إلى واجهة برمجة تطبيقات المنتج - إما اسم مستخدم وكلمة مرور أو رمز مميز أو مفتاح أو مجموعة أخرى. قد تحتاج أيضا إلى معلومات واجهة برمجة تطبيقات أخرى مثل عنوان URI لنقطة النهاية.

  لمزيد من المعلومات، راجع الوثائق الخاصة بالخدمة التي تتصل بها والقسم الخاص بالخدمة في الصفحة المرجعية لموصلات بيانات Microsoft Sentinel .

تكوين مصدر البيانات وتوصيله

ملاحظة

• يمكنك تخزين مساحة العمل ومفاتيح تخويل واجهة برمجة التطبيقات أو الرموز المميزة بأمان في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع تطبيق Azure Function.

• تعتمد بعض موصلات البيانات على محلل استنادا إلى دالة Kusto للعمل كما هو متوقع. راجع القسم الخاص بخدمتك في الصفحة المرجعية لموصلات بيانات Microsoft Sentinel للحصول على ارتباطات إلى إرشادات لإنشاء وظيفة Kusto والاسم المستعار.

الخطوة 1 - الحصول على بيانات اعتماد واجهة برمجة التطبيقات للنظام المصدر

اتبع تعليمات النظام المصدر للحصول على بيانات اعتماد واجهة برمجة التطبيقات / مفاتيح التفويض / الرموز المميزة. انسخها والصقها في ملف نصي لوقت لاحق.

يمكنك العثور على تفاصيل حول بيانات الاعتماد الدقيقة التي ستحتاج إليها، والارتباطات إلى إرشادات المنتج للعثور عليها أو إنشائها، على صفحة موصل البيانات في البوابة الإلكترونية وفي القسم الخاص بخدمتك في الصفحة المرجعية لموصلات بيانات Microsoft Sentinel .

قد تحتاج أيضا إلى تكوين التسجيل أو الإعدادات الأخرى على النظام المصدر الخاص بك. ستجد التعليمات ذات الصلة جنبا إلى جنب مع تلك الواردة في الفقرة السابقة.

الخطوة 2 - نشر الموصل وتطبيق وظيفة Azure المرتبط

اختيار خيار توزيع

قالب Azure Resource Manager (ARM)

توفر هذه الطريقة نشرا تلقائيا للموصل المستند إلى وظيفة Azure باستخدام قالب ARM.

1. في مدخل Microsoft Sentinel، حدد موصلات البيانات. حدد الموصل المستند إلى وظائف Azure من القائمة، ثم افتح صفحة الموصل.

2. ضمن التكوين، انسخمعرف مساحة عمل Microsoft Sentinel والمفتاح الأساسي والصقهما جانبا.

3. حدد Deploy to Azure. (قد تضطر إلى التمرير لأسفل للعثور على الزر.)

4. ستظهر شاشة النشر المخصص .

   • حدد اشتراكاومجموعة مواردومنطقة لنشر تطبيق الوظائف فيها.

   • أدخل بيانات اعتماد واجهة برمجة التطبيقات / مفاتيح التفويض / الرموز المميزة التي قمت بحفظها في الخطوة 1 أعلاه.

   • أدخل معرف Microsoft Sentinel Workspaceومفتاح مساحة العمل (المفتاح الأساسي) اللذين قمت بنسخهما ووضعهما جانبا.

     ملاحظة

     في حالة استخدام أسرار Azure Key Vault لأي من القيم المذكورة أعلاه، استخدم @Microsoft.KeyVault(SecretUri={Security Identifier}) المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Key Vault لمزيد من التفاصيل.

   • أكمل أي حقول أخرى في النموذج على شاشة النشر المخصص . راجع صفحة موصل البيانات في البوابة الإلكترونية أو القسم الخاص بخدمتك في الصفحة المرجعية لموصلات بيانات Microsoft Sentinel .

   • حدد ⁧⁩مراجعة + إنشاء⁧⁩. عند اكتمال التحقق من الصحة، حدد إنشاء.

النشر اليدوي باستخدام PowerShell

استخدم الإرشادات التالية خطوة بخطوة لنشر الموصلات المستندة إلى وظائف Azure التي تستخدم وظائف PowerShell يدويا.

1. في مدخل Microsoft Sentinel، حدد موصلات البيانات. حدد الموصل المستند إلى وظائف Azure من القائمة، ثم افتح صفحة الموصل.

2. ضمن التكوين، انسخمعرف مساحة عمل Microsoft Sentinel والمفتاح الأساسي والصقهما جانبا.

3. إنشاء تطبيق الدالة

   1. من مدخل Azure، ابحث عن تطبيق الوظائف وحدده.

   2. في صفحة تطبيق الوظائف ، حدد إنشاء. سيتم فتح معالج إنشاء تطبيق وظيفة .

   3. في علامة التبويب Basics:

      • حدد مجموعة اشتراكوموارد.
      • امنح تطبيق الوظائف اسما.
      • قم بتعيين مكدس وقت التشغيل إلى PowerShell Core.
      • حدد رقم الإصدار المناسب.
      • حدد المنطقة التي تريد النشر فيها، ثم حدد التالي: استضافة.

   4. في علامة التبويب استضافة :

      • اختر حساب التخزين الذي تريد استخدامه، أو أنشئ حسابا جديدا.
      • حدد الاستهلاك (بدون خادم)كنوع خطتك.

   5. قم بإجراء أي تغييرات أخرى في التكوين تحتاج إليها، ثم حدد مراجعة + إنشاء.

   6. انتظر الرسالة "تم تمرير التحقق من الصحة"، ثم حدد إنشاء.

   7. عند اكتمال النشر، حدد الانتقال إلى المورد.

4. استيراد رمز تطبيق وظيفة

   1. في تطبيق الوظائف الذي تم إنشاؤه حديثا، حدد الوظائف من قائمة التنقل.

   2. في صفحة الوظائف ، حدد + إضافة.

   3. في لوحة إضافة وظيفة ، حدد مشغل المؤقت .

   4. أدخل اسما فريدا لدالتك وأدخل تعبير cron لتحديد الجدول. الفاصل الزمني الافتراضي هو كل 5 دقائق.

   5. عند إنشاء الدالة، حدد Code + Test في الجزء الأيمن.

   6. قم بتنزيل رمز تطبيق الوظيفة الذي يوفره مورد النظام المصدر وانسخه والصقه في محرر run.ps1تطبيق الوظيفة، ليحل محل ما هو موجود بشكل افتراضي. يمكنك العثور على ارتباط التنزيل على صفحة الموصل أو في القسم الخاص بخدمتك في الصفحة المرجعية لموصلات بيانات Microsoft Sentinel .

   7. حدد ⁧⁩حفظ⁧⁩.

5. تكوين تطبيق الوظائف

   1. في صفحة تطبيق الوظائف، حدد التكوين ضمن الإعدادات في قائمة التنقل.

   2. في علامة التبويب إعدادات التطبيق ، حدد + إعداد تطبيق جديد.

   3. أضف إعدادات التطبيق الموصوفة لمنتجك بشكل فردي، مع قيم السلسلة الحساسة لحالة الأحرف الخاصة بكل منها. راجع صفحة موصل البيانات أو قسم المنتج الخاص بك من القسم الخاص بخدمتك في الصفحة المرجعية لموصلات بيانات Microsoft Sentinel .

      تلميح

      إذا كان ذلك ممكنا، استخدم إعداد تطبيق logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل إذا كنت تستخدم سحابة مخصصة. لذلك ، على سبيل المثال ، إذا كنت تستخدم السحابة العامة ، فاترك القيمة فارغة. بالنسبة للبيئة السحابية Azure GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.

النشر اليدوي باستخدام بايثون

استخدم الإرشادات التالية خطوة بخطوة لنشر الموصلات المستندة إلى وظائف Azure التي تستخدم وظائف Python يدويا. يتطلب هذا النوع من النشر Visual Studio التعليمات البرمجية.

1. في مدخل Microsoft Sentinel، حدد موصلات البيانات. حدد الموصل المستند إلى وظائف Azure من القائمة، ثم افتح صفحة الموصل.

2. ضمن التكوين، انسخمعرف مساحة عمل Microsoft Sentinel والمفتاح الأساسي والصقهما جانبا.

3. نشر تطبيق وظيفة

   ملاحظة

   ستحتاج إلى إعداد التعليمات البرمجية Visual Studio (VS Code) لتطوير وظيفة Azure.

   1. قم بتنزيل ملف Azure Function App باستخدام الارتباط المرفق في صفحة موصل البيانات وفي القسم الخاص بخدمتك في الصفحة المرجعية لموصلات بيانات Microsoft Sentinel . استخراج الأرشيف إلى كمبيوتر التنمية المحلية الخاص بك.

   2. ابدأ مقابل الرمز VS. من شريط القائمة، حدد ملف > فتح مجلد....

   3. حدد مجلد المستوى الأعلى من الملفات المستخرجة من الأرشيف.

   4. اختر أيقونة Azure في شريط نشاط رمز VS (على اليمين). ثم، في منطقة Azure: Functions ، اختر الزر نشر لتطبيق الوظائف .

      ملاحظة

      إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط. ثم، في منطقة Azure : Functions ، اختر تسجيل الدخول إلى Azure.
      إذا كنت قد سجلت الدخول بالفعل، فانتقل إلى الخطوة التالية.

   5. قدّم المعلومات التالية عند المطالبات:

      • تحديد مجلد: اختر مجلدا من مساحة العمل، أو استعرض وصولا إلى مجلد يحتوي على تطبيق الوظيفة.
      • ⁧⁩حدد خيار اشتراك⁧⁩: اختر الاشتراك الذي تود استخدامه.
      • حدد إنشاء تطبيق وظيفة جديد في Azure. (لا تحدد الخيار خيارات متقدمة .)
      • أدخل اسما فريدا عالميا لتطبيق الوظيفة: امنح تطبيق الدالة اسما صالحا في مسار عنوان URL. سيتم التحقق من صحة الاسم الذي تختاره للتأكد من أنه فريد من نوعه خلال وظائف Azure.
      • حدد وقت تشغيل: اختر Python 3.8.

   6. سيبدأ النشر. يُعرض إشعار بعد إنشاء تطبيق الدوال الخاص بك وتطبيق حزمة التوزيع.

   7. ارجع إلى صفحة تطبيق الوظائف للتكوين.

4. تكوين تطبيق الوظائف

   1. في صفحة تطبيق الوظائف، حدد التكوين ضمن الإعدادات في قائمة التنقل.

   2. في علامة التبويب إعدادات التطبيق ، حدد + إعداد تطبيق جديد.

   3. أضف إعدادات التطبيق الموصوفة لمنتجك بشكل فردي، مع قيم السلسلة الحساسة لحالة الأحرف الخاصة بكل منها. راجع صفحة موصل البيانات أو القسم الخاص بخدمتك في الصفحة المرجعية لموصلات بيانات Microsoft Sentinel للحصول على إعدادات التطبيق المراد إضافتها.

      • إذا كان ذلك ممكنا، استخدم إعداد تطبيق logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل إذا كنت تستخدم سحابة مخصصة. لذلك ، على سبيل المثال ، إذا كنت تستخدم السحابة العامة ، فاترك القيمة فارغة. بالنسبة للبيئة السحابية Azure GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.

العثور على بياناتك

بعد إنشاء اتصال ناجح، تظهر البيانات في السجلات ضمن CustomLogs، في الجداول المدرجة في القسم الخاص بخدمتك في الصفحة المرجعية لموصلات بيانات Microsoft Sentinel .

للاستعلام عن البيانات، أدخل أحد أسماء الجداول هذه - أو الاسم المستعار لدالة Kusto ذات الصلة - في نافذة الاستعلام.

راجع علامة التبويب الخطوات التالية في صفحة الموصل للحصول على بعض الاستعلامات النموذجية المفيدة.

التحقق من صحة الاتصال

قد يستغرق الأمر ما يصل إلى 20 دقيقة حتى تبدأ سجلاتك في الظهور في Log Analytics.

الخطوات التالية

في هذا المستند، تعلمت كيفية توصيل Microsoft Sentinel بمصدر البيانات باستخدام الموصلات المستندة إلى وظائف Azure. لمعرفة المزيد حول Microsoft Sentinel، راجع المقالات التالية:

• تعرف على كيفية الحصول على رؤية واضحة لبياناتك والتهديدات المحتملة.
• ابدأ في اكتشاف التهديدات باستخدام Microsoft Sentinel.
• استخدم المصنفات لمراقبة بياناتك.