الاتصال Microsoft Sentinel إلى خدمات Azure و Windows و Microsoft و Amazon

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.

ملاحظة

للحصول على معلومات حول توفر الميزات في السحابات الحكومية الأمريكية، راجع جداول Microsoft Sentinel في توفر ميزة السحابة لعملاء الحكومة الأمريكية.

يستخدم Microsoft Sentinel أساس Azure لتوفير دعم مضمن من خدمة إلى خدمة لابتلاع البيانات من العديد من خدمات Azure و Microsoft 365 وخدمات Amazon Web Services والعديد من خدمات خادم Windows. هناك بعض الطرق المختلفة التي يتم من خلالها إجراء هذه الاتصالات، وتوضح هذه المقالة كيفية إجراء هذه الاتصالات.

تتناول هذه المقالة الأنواع التالية من الموصلات:

• الاتصالات المستندة إلى واجهة برمجة التطبيقات
• اتصالات إعدادات التشخيص، التي تتم إدارة بعضها بواسطة Azure Policy
• الاتصالات المستندة إلى وكيل Log Analytics

تقدم هذه المقالة معلومات شائعة في مجموعات الموصلات. راجع الصفحة المرجعية لموصل البيانات المصاحبة للحصول على معلومات فريدة لكل موصل، مثل متطلبات الترخيص الأساسية وجداول Log Analytics لتخزين البيانات.

عمليات الدمج التالية أكثر تفردا وأكثر شعبية ، ويتم التعامل معها بشكل فردي ، مع مقالاتها الخاصة:

• Microsoft 365 Defender
• Microsoft Defender للسحابة
• Azure Active Directory
• فعاليات أمن Windows
• Amazon Web Services (AWS) CloudTrail

الاتصالات المستندة إلى واجهة برمجة التطبيقات

المتطلبات الأساسية

• يجب أن يكون لديك أذونات قراءة وكتابة في مساحة عمل Log Analytics.
• يجب أن يكون لديك دور المسؤول العمومي أو مسؤول الأمان على مستأجر مساحة عمل Microsoft Sentinel.

الإرشادات

1. من قائمة التنقل في Microsoft Sentinel، حدد موصلات البيانات.

2. حدد خدمتك من معرض موصلات البيانات، ثم حدد فتح صفحة الموصل في جزء المعاينة.

3. حدد الاتصال لبدء بث الأحداث و/أو التنبيهات من خدمتك إلى Microsoft Sentinel.

4. إذا كان هناك قسم في صفحة الموصل بعنوان إنشاء حوادث - مستحسن!، فحدد تمكين إذا كنت تريد إنشاء حوادث تلقائيا من التنبيهات.

يمكنك العثور على البيانات الخاصة بكل خدمة والاستعلام عنها باستخدام أسماء الجداول التي تظهر في القسم الخاص بموصل الخدمة في الصفحة المرجعية لموصلات البيانات.

الاتصالات المستندة إلى إعدادات التشخيص

تتم إدارة تكوين بعض الموصلات من هذا النوع بواسطة Azure Policy. حدد علامة التبويب نهج Azure أدناه للحصول على الإرشادات. بالنسبة للموصلات الأخرى من هذا النوع، حدد علامة التبويب مستقلة .

مستقل

المتطلبات الأساسية

لاستيعاب البيانات في Microsoft Sentinel:

• يجب أن يكون لديك أذونات القراءة والكتابة على مساحة عمل Microsoft Sentinel.

الإرشادات

1. من قائمة التنقل في Microsoft Sentinel، حدد موصلات البيانات.

2. حدد نوع المورد الخاص بك من معرض موصلات البيانات، ثم حدد فتح صفحة الموصل في جزء المعاينة.

3. في قسم التكوين من صفحة الموصل، حدد الارتباط لفتح صفحة تكوين المورد.

   إذا عرضت عليك قائمة بالموارد من النوع المطلوب، فحدد الارتباط الخاص بمورد تريد استيعاب سجلاته.

4. من قائمة التنقل في الموارد، حدد إعدادات التشخيص.

5. حدد + إضافة إعداد تشخيصي في أسفل القائمة.

6. في شاشة إعدادات التشخيص ، أدخل اسما في حقل اسم إعدادات التشخيص .

   حدد خانة الاختيار إرسال إلى Log Analytics . سيتم عرض حقلين جديدين أسفله. اختر مساحة عمل الاشتراكوتحليلات السجل ذات الصلة (حيث يوجد Microsoft Sentinel).

7. حدد خانات الاختيار الخاصة بأنواع السجلات والمقاييس التي تريد تجميعها. راجع الخيارات الموصى بها لكل نوع مورد في القسم الخاص بموصل المورد في الصفحة المرجعية لموصلات البيانات .

8. حدد حفظ في أعلى الشاشة.

لمزيد من المعلومات، راجع أيضا إنشاء إعدادات تشخيصية لإرسال سجلات ومقاييس النظام الأساسي ل Azure Monitor إلى وجهات مختلفة في وثائق Azure Monitor.

نهج Azure

المتطلبات الأساسية

لاستيعاب البيانات في Microsoft Sentinel:

• يجب أن يكون لديك أذونات القراءة والكتابة على مساحة عمل Microsoft Sentinel.

• لاستخدام نهج Azure لتطبيق نهج دفق سجل على مواردك، يجب أن يكون لديك دور المالك لنطاق تعيين النهج.

الإرشادات

تستخدم الموصلات من هذا النوع Azure Policy لتطبيق تكوين إعدادات تشخيص واحد على مجموعة من الموارد من نوع واحد، يتم تعريفها على أنها نطاق. يمكنك رؤية أنواع السجلات التي تم استيعابها من نوع مورد معين على الجانب الأيمن من صفحة الموصل لهذا المورد، ضمن أنواع البيانات.

1. من قائمة التنقل في Microsoft Sentinel، حدد موصلات البيانات.

2. حدد نوع المورد الخاص بك من معرض موصلات البيانات، ثم حدد فتح صفحة الموصل في جزء المعاينة.

3. في قسم التكوين من صفحة الموصل، قم بتوسيع أي موسعات تراها هناك وحدد الزر تشغيل معالج تعيين نهج Azure .

   يفتح معالج تعيين النهج، جاهزا لإنشاء نهج جديد، مع تعبئة اسم نهج مسبقا.

   1. في علامة التبويب أساسيات ، حدد الزر الذي يحتوي على النقاط الثلاث ضمن النطاق لاختيار اشتراكك (واختياريا، مجموعة موارد). يمكنك أيضا إضافة وصف.

   2. في علامة التبويب المعلمات :

      • قم بإلغاء تحديد خانة الاختيار إظهار المعلمات التي تتطلب الإدخال فقط.
      • إذا رأيت حقلي التأثيروتعيين الاسم ، فاتركهما كما هما.
      • اختر مساحة عمل Microsoft Sentinel من القائمة المنسدلة مساحة عمل Log Analytics .
      • تمثل الحقول المنسدلة المتبقية أنواع سجلات التشخيص المتوفرة. اترك علامة "True" على جميع أنواع السجلات التي تريد استيعابها.

   3. وستطبق هذه السياسة على الموارد المضافة في المستقبل. لتطبيق النهج على مواردك الموجودة أيضا، حدد علامة التبويب معالجة وحدد خانة الاختيار إنشاء مهمة معالجة .

   4. في علامة التبويب مراجعة + إنشاء، انقر فوق إنشاء. يتم الآن تعيين سياستك للنطاق الذي اخترته.

ملاحظة

باستخدام هذا النوع من موصل البيانات، ستظهر مؤشرات حالة الاتصال (شريط ملون في معرض موصلات البيانات وأيقونات الاتصال بجوار أسماء أنواع البيانات) على أنها متصلة (خضراء) فقط إذا تم استيعاب البيانات في مرحلة ما خلال ال 14 يوما الماضية. بمجرد مرور 14 يوما دون ابتلاع البيانات ، سيظهر الموصل على أنه غير متصل. في اللحظة التي يأتي فيها المزيد من البيانات ، ستعود الحالة المتصلة .

يمكنك العثور على البيانات الخاصة بكل نوع مورد والاستعلام عنها باستخدام اسم الجدول الذي يظهر في القسم الخاص بموصل المورد في الصفحة المرجعية لموصلات البيانات . لمزيد من المعلومات، راجع إنشاء إعدادات تشخيصية لإرسال سجلات ومقاييس النظام الأساسي ل Azure Monitor إلى وجهات مختلفة في وثائق Azure Monitor.

اتصالات Windows قائمة على الوكيل

عامل Azure Monitor

هام

بعض الموصلات المستندة إلى عامل جهاز مراقبة Azure (AMA) موجودة حاليا في PREVIEW. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

يتم دعم عامل مراقبة Azure حاليا فقط للأحداث أمن Windows والأحداث Windows المعاد توجيهها.

يستخدم عامل Azure Monitorقواعد جمع البيانات (DCRs) لتحديد البيانات المطلوب تجميعها من كل وكيل. توفر لك قواعد جمع البيانات ميزتين متميزتين:

• يمكنك إدارة إعدادات المجموعة على نطاق واسع مع الاستمرار في السماح بتكوينات فريدة ومحددة النطاق لمجموعات فرعية من الأجهزة. وهي مستقلة عن مساحة العمل ومستقلة عن الجهاز الظاهري ، مما يعني أنه يمكن تعريفها مرة واحدة وإعادة استخدامها عبر الأجهزة والبيئات. انظرتكوين مجموعة البيانات لعامل مراقب Azure.

• أنشئ فلاتر مخصصة لاختيار الأحداث الدقيقة التي تريد استيعابها. يستخدم عامل مراقبة Azure هذه القواعد لتصفية البيانات من المصدر واستيعاب الأحداث التي تريدها فقط، مع ترك كل شيء آخر خلفك. هذا يمكن أن يوفر لك الكثير من المال في تكاليف ابتلاع البيانات!

انظر أدناه كيفية إنشاء قواعد جمع البيانات.

المتطلبات الأساسية

• يجب أن يكون لديك أذونات القراءة والكتابة على مساحة عمل Microsoft Sentinel.

• لتجميع الأحداث من أي نظام ليس جهازا ظاهريا من Azure، يجب أن يكون لدى النظام Azure Arc مثبتا وممكنا قبل تمكين الموصل المستند إلى عامل Azure Monitor.

  هذا يتضمن:

  • خوادم Windows مثبتة على الأجهزة الفعلية
  • Windows الخوادم المثبتة على الأجهزة الظاهرية المحلية
  • Windows الخوادم المثبتة على الأجهزة الظاهرية في السحب غير Azure

الإرشادات

1. من قائمة التنقل في Microsoft Sentinel، حدد موصلات البيانات. حدد الموصل من القائمة، ثم حدد فتح صفحة الموصل في جزء التفاصيل. ثم اتبع الإرشادات التي تظهر على الشاشة ضمن علامة التبويب تعليمات ، كما هو موضح في بقية هذا القسم.

2. تحقق من أن لديك الأذونات المناسبة كما هو موضح ضمن قسم المتطلبات الأساسية في صفحة الموصل.

3. ضمن التكوين، حدد +إضافة قاعدة جمع البيانات. سيتم فتح معالج إنشاء قاعدة جمع البيانات إلى اليمين.

4. ضمن الأساسيات، أدخل اسم قاعدة وحدد مجموعة اشتراكومورد حيث سيتم إنشاء قاعدة جمع البيانات (DCR). لا يجب أن تكون هذه هي نفس مجموعة الموارد أو الاشتراك الذي توجد فيه الأجهزة الخاضعة للمراقبة وارتباطاتها ، طالما أنها في نفس المستأجر.

5. في علامة التبويب الموارد ، حدد +إضافة مورد (موارد) لإضافة الأجهزة التي سيتم تطبيق قاعدة جمع البيانات عليها. سيتم فتح مربع الحوار تحديد نطاق ، وسترى قائمة بالاشتراكات المتاحة. قم بتوسيع اشتراك لرؤية مجموعات الموارد الخاصة به، وقم بتوسيع مجموعة موارد لرؤية الأجهزة المتوفرة. سترى أجهزة Azure الظاهرية والخوادم التي تدعم Azure Arc في القائمة. يمكنك وضع علامة على خانات الاختيار الخاصة بالاشتراكات أو مجموعات الموارد لتحديد كافة الأجهزة التي تحتوي عليها، أو يمكنك تحديد أجهزة فردية. حدد تطبيق عند اختيار جميع أجهزتك. في نهاية هذه العملية، سيتم تثبيت عامل شاشة Azure على أي أجهزة محددة لم يتم تثبيته عليها بالفعل.

6. في علامة التبويب تجميع، اختر الأحداث التي ترغب في تجميعها: حدد كافة الأحداث أو مخصص لتحديد سجلات أخرى أو لتصفية الأحداث باستخدام استعلامات XPath (انظر الملاحظة أدناه). أدخل التعبيرات في المربع التي تقيم وفقا لمعايير XML محددة للأحداث المراد تجميعها، ثم حدد إضافة. يمكنك إدخال ما يصل إلى 20 تعبيرا في مربع واحد، وما يصل إلى 100 مربع في القاعدة.

   تعرف على المزيد حول قواعد جمع البيانات من وثائق Azure Monitor.

   ملاحظة

   • يوفر موصل أمن Windows Events مجموعتين أخريين من الأحداث التي تم إنشاؤها مسبقا والتي يمكنك اختيار تجميعها: Common و Minimal.

   • يدعم عامل شاشة Azure استعلامات XPath للإصدار 1.0 من XPath فقط.

7. عند إضافة جميع تعبيرات الفلتر التي تريدها، حدد التالي: مراجعة + إنشاء.

8. عندما تظهر لك رسالة "تم تمرير التحقق من الصحة"، حدد إنشاء.

سترى جميع قواعد جمع البيانات (بما في ذلك تلك التي تم إنشاؤها من خلال واجهة برمجة التطبيقات) ضمن التكوين في صفحة الموصل. من هناك يمكنك تحرير القواعد الحالية أو حذفها.

تلميح

استخدم PowerShell cmdlet Get-WinEvent مع المعلمة -FilterXPath لاختبار صحة استعلام XPath. يعرض البرنامج النصي التالي مثالا:

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath

• إذا تم إرجاع الأحداث، فعندها يكون الاستعلام صالحًا.
• إذا تلقيت الرسالة "لم يتم العثور على أحداث تتطابق مع معايير التحديد المحددة"، فقد يكون الاستعلام صالحا، ولكن لا توجد أحداث مطابقة على الجهاز المحلي.
• إذا تلقيت الرسالة "الاستعلام المحدد غير صالح"، يكون بناء جملة الاستعلام غير صالح.

إنشاء قواعد لجمع البيانات باستخدام واجهة برمجة التطبيقات

يمكنك أيضا إنشاء قواعد لجمع البيانات باستخدام واجهة برمجة التطبيقات (راجع المخطط)، والتي يمكن أن تجعل الحياة أسهل إذا كنت تقوم بإنشاء العديد من القواعد (إذا كنت MSSP، على سبيل المثال). في ما يلي مثال (للأحداث أمن Windows عبر موصل AMA) يمكنك استخدامه كقالب لإنشاء قاعدة:

طلب عنوان URL والرأس

PUT https://management.azure.com/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

نص الطلب

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

راجع هذا الوصف الكامل لقواعد جمع البيانات من وثائق Azure Monitor.

وكيل تحليلات السجل (قديم)

هام

سيتم إيقاف وكيل Log Analytics في 31 أغسطس 2024. إذا كنت تستخدم عامل Log Analytics في نشر Microsoft Sentinel، فإننا نوصي ببدء التخطيط للترحيل إلى AMA. لمزيد من المعلومات، راجع ترحيل AMA ل Microsoft Sentinel.

المتطلبات الأساسية

• يجب أن يكون لديك أذونات قراءة وكتابة في مساحة عمل Log Analytics، وأي مساحة عمل تحتوي على الأجهزة التي تريد جمع السجلات منها.
• يجب أن يكون لديك دور مساهم في Log Analytics على حل SecurityInsights (Microsoft Sentinel) على مساحات العمل هذه، بالإضافة إلى أي أدوار Microsoft Sentinel.

الإرشادات

1. من قائمة التنقل في Microsoft Sentinel، حدد موصلات البيانات.

2. حدد الخدمة (DNS أو Windows جدار الحماية) ثم حدد فتح صفحة الموصل.

3. قم بتثبيت الوكيل وإعداده على الجهاز الذي يقوم بإنشاء السجلات.

   نوع الجهاز	الإرشادات
   ل Azure Windows VM	1. ضمن اختيار مكان تثبيت الوكيل، قم بتوسيع تثبيتالعامل على Azure Windows الجهاز الظاهري. 2. حدد الارتباط تنزيل & وكيل التثبيت ل Azure Windows الأجهزة >الظاهرية. 3. في شفرة الأجهزة الظاهرية، حدد جهازا ظاهريا لتثبيت العامل عليه، ثم حدد الاتصال. كرر هذه الخطوة لكل جهاز ظاهري ترغب في الاتصال به.
   لأي آلة Windows أخرى	1. ضمن اختيار مكان تثبيت الوكيل، قم بتوسيع تثبيتالعامل على جهاز Windows غير Azure 2. حدد الارتباط تنزيل & عامل التثبيت للأجهزة >Windows غير Azure. 3. في شفرة إدارة الوكلاء، في علامة التبويب خوادم Windows، حدد الارتباط تنزيل Windows Agent لأنظمة 32 بت أو 64 بت، حسب الاقتضاء. 4. باستخدام الملف القابل للتنفيذ الذي تم تنزيله ، قم بتثبيت العامل على أنظمة Windows التي تختارها ، وقم بتكوينه باستخدام معرف مساحة العمل والمفاتيح التي تظهر أسفل روابط التنزيل في الخطوة السابقة.

ملاحظة

للسماح للأنظمة Windows التي لا تتوفر بها إمكانية الاتصال اللازم بالإنترنت بمواصلة دفق الأحداث إلى Microsoft Sentinel، قم بتنزيل بوابة تحليلات السجل وتثبيتها على جهاز منفصل، باستخدام الارتباط تنزيل بوابة تحليلات السجل في صفحة إدارة الوكلاء، للعمل كوكي. لا تزال بحاجة إلى تثبيت وكيل Log Analytics على كل نظام Windows تريد جمع أحداثه.

لمزيد من المعلومات حول هذا السيناريو، راجع وثائق بوابة Log Analytics.

للحصول على خيارات تثبيت إضافية ومزيد من التفاصيل، راجع وثائق وكيل Log Analytics.

تحديد السجلات المراد إرسالها

بالنسبة Windows موصلات DNS Server وجدار الحماية Windows، حدد الزر تثبيت الحل. بالنسبة إلى موصل أحداث الأمان القديم، اختر مجموعة الأحداث التي ترغب في إرسالها وحدد تحديث. لمزيد من المعلومات، راجع Windows مجموعات أحداث الأمان التي يمكن إرسالها إلى Microsoft Sentinel.

يمكنك العثور على البيانات الخاصة بهذه الخدمات والاستعلام عنها باستخدام أسماء الجداول في الأقسام الخاصة بها في الصفحة المرجعية لموصلات البيانات .

الخطوات التالية

في هذا المستند، تعلمت كيفية توصيل Azure وMicrosoft وخدمات Windows، بالإضافة إلى Amazon Web Services، ب Microsoft Sentinel.

• تعرف على موصلات بيانات Microsoft Sentinel بشكل عام.
• ابحث عن موصل بيانات Microsoft Sentinel.
• تعرف على كيفية الحصول على رؤية واضحة لبياناتك والتهديدات المحتملة.
• ابدأ في اكتشاف التهديدات باستخدام Microsoft Sentinel.